黑客從iCloud備份中獲取MetaMask種子后竊取了655萬美元
責(zé)編:gltian |2022-04-21 11:17:351、黑客從iCloud備份中獲取MetaMask種子后竊取了655萬美元
MetaMask已向iOS用戶發(fā)布警告,如果應(yīng)用數(shù)據(jù)備份處于活動(dòng)狀態(tài),蘋果iCloud中會(huì)存儲(chǔ)加密貨幣錢包的種子。MetaMask是一款“熱門”加密貨幣錢包,有2100多萬投資者使用它來存儲(chǔ)錢包令牌和管理數(shù)字資產(chǎn)。在加密貨幣術(shù)語中,“種子”是一個(gè)秘密恢復(fù)短語,由12個(gè)單詞組成,用于保護(hù)對(duì)錢包內(nèi)容的訪問。將錢包種子存儲(chǔ)在iCloud中實(shí)際上意味著,如果所有者的蘋果賬戶受損,他們的數(shù)字資產(chǎn)也會(huì)面臨風(fēng)險(xiǎn)。
不幸的是,上述場(chǎng)景已經(jīng)被用于攻擊至少一名MetaMask用戶,該用戶因精心策劃的網(wǎng)絡(luò)釣魚攻擊而損失了超過655k美元。[閱讀原文]
2、Beanstalk加密貨幣在2009年損失1.82億美元
Beanstalk加密貨幣已被剝奪價(jià)值超過襲擊者用借來的錢搶購后,幾秒鐘內(nèi)損失1.8億美元(1.38億英鎊)足夠的投票權(quán)來轉(zhuǎn)移這筆錢。
閃電般的敵意收購引發(fā)了關(guān)于不受監(jiān)管性質(zhì)的新問題以及對(duì)投資者缺乏保護(hù)。Beanstalk稱自己是一個(gè)“基于分散信用的stablecoin協(xié)議”提供一種名為beans的加密貨幣,目的是使每枚硬幣的價(jià)值穩(wěn)定在1美元。
信息技術(shù)作為銀行有效運(yùn)作,讓儲(chǔ)戶(“豆農(nóng)”)存款“豆子”變成了“田”),并用自己的積蓄來確保一個(gè)單一的價(jià)值bean盡可能地接近1美元。[閱讀原文]
3、美國上訴法院重申,抓取網(wǎng)頁是合法的
對(duì)于檔案管理員、學(xué)者、研究人員和記者來說,這是一個(gè)好消息:根據(jù)美國上訴法院的一項(xiàng)裁決,刮取公開獲取的數(shù)據(jù)是合法的。美國第九上訴巡回法庭做出的這一具有里程碑意義的裁決,是LinkedIn發(fā)起的一場(chǎng)長(zhǎng)期法律戰(zhàn)的最新一次。這場(chǎng)法律戰(zhàn)的目的是阻止一家競(jìng)爭(zhēng)對(duì)手從用戶的公開資料中通過網(wǎng)絡(luò)竊取個(gè)人信息。該案于去年提交美國最高法院,但被送回第九巡回法院,由原上訴法院重新審查該案。
在周一的第二次裁決中,第九巡回法院重申了其最初的裁決,并認(rèn)定,在互聯(lián)網(wǎng)上公開獲取的數(shù)據(jù)并沒有違反《計(jì)算機(jī)欺詐和濫用法案》(CFAA),該法案根據(jù)美國法律對(duì)計(jì)算機(jī)黑客行為的構(gòu)成進(jìn)行了規(guī)定。[閱讀原文]
4、GNU gzip的zgrep實(shí)用程序中發(fā)現(xiàn)了一個(gè)任意文件寫入漏洞。
當(dāng)對(duì)攻擊者選擇的文件名(例如,精心編制的文件名)應(yīng)用zgrep時(shí),這可能會(huì)將攻擊者的內(nèi)容覆蓋到攻擊者選擇的任意文件中。在處理包含兩行或多行換行符的文件名時(shí),如果選定內(nèi)容和目標(biāo)文件名嵌入到精心編制的多行文件名中,則會(huì)由于驗(yàn)證不足而出現(xiàn)此漏洞。此漏洞允許遠(yuǎn)程低權(quán)限攻擊者強(qiáng)制zgrep在系統(tǒng)上寫入任意文件。這個(gè)bug是在gzip-1.3.10中引入的,相對(duì)來說很難利用。
Red Hat已經(jīng)調(diào)查了這個(gè)問題是否存在可能的緩解措施,并且還沒有找到一個(gè)實(shí)際的例子。請(qǐng)盡快更新受影響的軟件包。除非明確聲明不受影響,否則此處列出的產(chǎn)品的任何次要更新流中的所有以前版本的軟件包都應(yīng)被視為易受攻擊,盡管可能沒有經(jīng)過全面分析。[閱讀原文]
5、LinkedIn品牌在網(wǎng)絡(luò)釣魚攻擊中最冒充的品牌處于領(lǐng)先地位
安全研究人員警告稱,LinkedIn已成為網(wǎng)絡(luò)釣魚攻擊中最具欺騙性的品牌,占全球所有此類事件的52%以上。
這些數(shù)據(jù)來自網(wǎng)絡(luò)安全公司Check Point,該公司在今年第一季度記錄了網(wǎng)絡(luò)釣魚事件中LinkedIn品牌濫用的急劇上升。
第二個(gè)類似的品牌是德國快遞DHL,該公司此前排名第一。造成這種情況的一個(gè)因素是假日期間購物的增加。
結(jié)合DHL、聯(lián)邦快遞、馬士基和阿里快遞,2022年前三個(gè)月與航運(yùn)相關(guān)的網(wǎng)絡(luò)釣魚信息占21.8%,仍占很大一部分。
在Check Point提供的LinkedIn模擬示例中,到達(dá)目標(biāo)收件箱的釣魚電子郵件帶有LinkedIn徽標(biāo)和特定于公司的風(fēng)格,并帶有與虛構(gòu)公司連接的欺詐請(qǐng)求。[閱讀原文]
來源:安全客。https://www.anquanke.com/post/id/272297
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧