《维他命》每日安全简讯20180808

发布时间 2018-08-08

【威胁情报】研究人员发现破解WPA和WPA2无线密码的新简化方法


Hashcat开发人员Jens Steube发现一种破解WPA/WPA2无线密码的更快更简单的方法。过去破解WPA/WPA2加密协议是一个繁重耗时的过程,需要等待合法用户登录并拦截其四次握手的完整信息。新的攻击策略允许攻击者直接从路由器中获得PMKID,而无需等待合法用户登录,也无需捕获四次握手信息。攻击者平均只需要约10分钟就可以获得其所需的信息,然后可以开始暴力破解过程。

原文链接:https://www.bleepingcomputer.com/news/security/new-method-simplifies-cracking-wpa-wpa2-passwords-on-80211-networks/


【数据泄露】墨西哥一医疗数据库可公开访问,约200万患者的信息泄露


安全研究员Bob Diachenko通过Shodan发现一个墨西哥医疗数据库可公开访问,该MongoDB数据库包含约200万患者的医疗信息,包括姓名、性别、出生日期、保险信息、残疾状况和家庭住址等信息。Diachenko发现该数据库的管理员电子邮件域名为hovahealth.com和efimed.care,在通知Hova Health企业后,该数据库在三个小时内得到保护。

原文链接:https://www.bleepingcomputer.com/news/security/health-care-data-of-2-million-people-in-mexico-exposed-online/


【数据泄露】TCM银行因网站配置错误导致部分用户的敏感数据泄露


TCM银行是ICBA Bancard的子企业,它是美国750多家小型和社区银行的信用卡发行商。该银行宣布其网站配置错误导致部分信用卡申请人的信息在2017年3月初至2018年7月中旬之间的16个月内在线暴露。可能泄露的数据包括申请人的姓名、地址、出生日期和社保号码等。受影响的客户数量为不到1万人。TCM称其在2018年7月16日发现了该问题,并在第二天进行了修复。

原文链接:https://securityaffairs.co/wordpress/75078/data-breach/tcm-bank-data-leak.html


【安全播报】五角大楼禁止士兵在敏感基地使用可进行GPS定位的电子设备


根据五角大楼的新命令,在敏感基地或某些高风险战地地区的军队和国防人员将不被允许使用可以进行地理定位的健身追踪器和手机app等。这些地理定位功能可能会暴露个人信息、位置、日常活动和国防人员的数量等信息,并可能造成意外的安全后果和增加任务风险。这些限制包括健身追踪器、手机、平板电脑、智能手表和其它应用程序的GPS功能。

原文链接:https://www.securityweek.com/pentagon-restricts-use-fitness-trackers-other-devices


【安全播报】脸书宣布开源高性能TLS库Fizz,帮助推动普及TLS 1.3协议


Fizz是用C++ 14编写的一个可靠的、高性能的TLS库,它支撑所有的主要握手模式,具有强大的加密算法和优越的性能。自上个月底以来,谷歌的Chrome浏览器已开始将所有的非HTTPS网站标记为不安全,以迫使网站管理员切换到HTTPS。脸书在GitHub上开源了Fizz,以帮助推动TLS 1.3协议的普及。

原文链接:https://thehackernews.com/2018/08/fizz-tls-ssl-library.html


【漏洞补丁】谷歌发布8月Android安全更新,共修复43个安全漏洞


根据谷歌最新发布的Android安全公告,8月的Android安全更新包含2018-08-01和2018-08-05两个安全补丁级别,修复了包括框架、多媒体框架、系统、内核、高通组件、高通闭源组件等组件内的43个安全漏洞。谷歌同时还发布了Pixel/Nexus的8月安全更新,共修复了28个安全漏洞。建议相关用户尽快进行升级。

原文链接:https://source.android.com/security/bulletin/2018-08-01