万豪国际遭受500m记录数据突破

在网络安全，在线隐私和数据保护领域，每个月都有如此多的事情发生。很难跟上！

我们的每月安全摘要将帮助您每月查看最重要的安全和隐私新闻。这是十一月发生的事情。

1。万豪国际遭受500m记录数据泄露

与往常一样，本月末，安全新闻领域的头号新闻之一。

11月，万豪国际酒店集团揭幕巨大的数据泄露。自2014年以来，由于攻击者可以访问万豪国际喜达屋分部网络，人们认为有多达5亿条客户记录受到影响。

万豪国际（Marriott International）在2016年收购了喜达屋，创建了全球最大的连锁酒店，超过5,800个属性。

对于不同的用户，泄漏意味着不同的事情。但是，每个用户的信息包含以下组合：

也许最重要的是万豪的启示，即一些记录包含加密的卡信息，但也不能排除私钥也被盗。

长短事实是这样的：如果您在2018年9月10日之前入住喜达屋万豪酒店，包括分时度假酒店，您的信息可能已经受到损害。一年的WebWatcher免费订阅。美国公民还将获得免费的欺诈咨询和免费报销。目前，有三个注册站点：

否则，请检查这三个站点重大突破后保护数据的简单方法。

2。注入了窃取加密软件的事件流JavaScript库

一个每周接收超过200万次下载的JavaScript库注入了旨在窃取加密货币的恶意代码。

事件流存储库是一个简化了Node.js流模块工作的JavaScript程序包，其中包含混淆的代码。当研究人员对代码进行模糊处理后，很明显它的目标是盗窃比特币。

分析表明，该代码针对与移动和台式机Copay比特币钱包相关的库。如果系统上存在Copay钱包，则恶意代码会尝试窃取钱包内容。然后，它尝试连接到马来西亚的IP地址。

在原始开发者Dominic Tarr将对该库的控制权交给了另一个开发者right9ctrl之后，恶意代码就被上传到Event-Stream存储库。

p>

Right9ctrl几乎在控制权移交后立即上传了该库的新版本，该新版本包含针对Copay钱包的恶意代码。

但是，自那时以来，right9ctrl又上传了另一个版本库的新版本-没有任何恶意代码。新上传的文件还与Copay更新了其移动钱包和台式机钱包程序包，以删除对恶意代码所针对的JavaScript库的使用。

3。亚马逊遭受黑色星期五之前的数据泄露几天

在一年中最大的购物日（当然是中国的双十一）之前，亚马逊遭受了数据泄露。

正在与您联系，以告知您由于技术错误，我们的网站无意中泄露了您的姓名和电子邮件地址。该问题已解决。这不是您所做的任何事情的结果，也不需要更改密码或采取任何其他措施。"

很难准确评估违规的详细信息，因为，亚马逊没有透露。但是，英国，美国，韩国和荷兰的Amazon用户都报告收到有关该违规行为的Amazon电子邮件，因此这是一个相当全球性的问题。

用户可以安慰一下，因为导致数据泄露的亚马逊技术问题，而不是对亚马逊的攻击。信息的发布也不包含任何银行信息。

但是，亚马逊的消息是，受影响的用户无需更改密码是完全错误的。如果您受到Amazon数据泄露的影响，请更改您的帐户密码。

4。自加密三星和Crucial SSD漏洞

安全研究人员发现了三星和Crucial自加密SSD中的多个关键漏洞。该研究小组测试了3个Crucial SSD和4个Samsung SSD，发现每种测试型号都存在关键问题。

荷兰拉德布德大学安全研究人员Carlo Meijer和Bernard van Gastel发现了安全漏洞[PDF]驱动器的ATA安全性和TCG Opal的实现，这是在使用基于硬件的加密的SSD上实现加密的两个规范。

存在很多问题：

令人不安的是，研究人员表示，这些漏洞也很可能也适用于其他模型。作为不同的SSD制造讲师。

想知道如何保护驱动器？使用开源加密工具VeraCrypt保护数据的方法如下。

5。 Apple Pay恶意广告活动针对iPhone用户

iPhone用户是正在进行的涉及Apple Pay的恶意广告活动的目标。

该活动试图使用两种方式重定向和骗取其Apple Pay凭证用户网页仿冒弹出窗口，其攻击来自通过iOS进行访问时通过一系列高级报纸和杂志发起的攻击。<​​

这种被称为PayLeak的恶意软件将毫无疑问的iPhone用户吸引到了在中国注册的点击了恶意广告的用户

当用户到达域时，恶意软件会检查一系列凭据，包括设备运动，设备类型（Android或iPhone）以及设备浏览器是否为Linux x86_64，Win32或MacIntel。

此外，该恶意软件还会检查设备中是否存在任何防病毒或反恶意软件应用。

如果符合正确的条件，Android用户将被重定向到声称该用户的网络钓鱼站点赢得了亚马逊礼品卡。

但是，iPhone用户会收到两个弹出窗口s。第一个是iPhone需要更新的警报，第二个是通知用户其Apple Pay应用也需要更新的警报。第二个警报与远程命令和控制服务器共享Apple Pay信用卡信息。

6。

Pen Test Partners的研究详细介绍了与安全相关的一系列安全问题，其中至少有100万个儿童GPS跟踪器手表被出售给存在漏洞的父母。极受欢迎的MiSafe儿童安全手表。具有GPS功能的手表旨在允许父母随时跟踪其孩子的位置。

但是，安全研究人员发现，可以访问设备ID号以及用户帐户。

访问该帐户使安全团队能够找到孩子，查看孩子的照片，听取孩子与父母之间的对话，或者远程呼叫或给孩子自己发消息。

“我们的研究是针对名叫'Misafes kids watcher'的手表进行的，似乎影响了30,000块手表。但是，我们发现了至少53个受相同或接近完全相同的安全问题影响的儿童跟踪器手表品牌。"

针对儿童的智能设备中的漏洞并不是一个新问题。但这确实令人担忧。

“那么，如何为孩子购买安全的智能玩具呢？事实并非如此。" Hacker One的IT工程师Aaron Zander说。 “但是，如果必须的话，不要选择最便宜的选择，而要尽量减少视频，Wi-Fi和蓝牙等功能。此外，如果您确实拥有设备并且确实存在安全漏洞，请与您的政府代表联系，写出您的监管机构，对它发臭，这是它变得更好的唯一途径。"

《十一月安全新闻摘要》

这些是自2018年11月以来的六大顶级安全新闻。我们只是没有空间来详细列出所有内容。以下是上个月出现的另外五个有趣的安全故事：

网络安全新闻的又一旋风。网络安全的世界在不断变化，并且要及时了解最新的漏洞，恶意软件和隐私问题。

这就是我们每个月为您收集最重要，最有趣的新闻的原因。 。

在下个月的月底（新的一年的开始，不多于此）进行检查，以进行2018年12月的安全摘要。下个月还将在安全综述中看到PCPC.me 2018年。同时，请查看保护智能设备安全的这五个提示和技巧。

图片来源：Karlis Dambrans / Flickr