SSL证书一年有效期在CA / B论坛上投票失败
由 Web 浏览器制造商、软件开发人员和安全证书颁发机构组成的行业团CA/Browser Forum上提出了一项重要提案,考虑将 HTTPS 证书的有效期从 27 个月缩短到 13 个月。该提案于今年早些时候谷歌的 Ryan Sleevi 在一次会议上提出。
然而,这项提议在9月CA/B论坛投票中以失败告终,目前SSL证书最长有效期仍为2年。
这是近年来谷歌第二次提议缩短SSL证书最长有效期,上一次改变发生在2018年3月,将SSL证书最长有效期从3年(39个月)缩短至2年(825天)。距离上次改变仅1年多,该提议再次被提出来,大部分CA机构都对此提议持反对态度。
CA厂商DigiCert认为,进一步缩短SSL证书最大有效期,会给站点运营商带来不必要的负担,让数百万的站点运营者在更短时间周期内替换数百万的证书,并不能解决目前面临的一些问题。
从长远来看,缩短SSL证书最长有效期的提议可能会再次被提出,用户需要更完善的SSL证书管理机制以应对SSL证书替换和运营的难题。
《个人金融信息(数据)保护试行办法》出炉
2019年10月9日,消金界获悉,《个人金融信息(数据)保护试行办法(初稿)》已经出炉,央行已经下发到各家银行,目前正在征求意见中。据了解到,《个人金融信息(数据)保护试行办法(初稿)》第十二条中规定:“(金融机构)不得从非法从事个人征信业务活动的第三方获取个人金融信息。”
第十八条规定:“金融机构不得以“概括授权”的方式取得信息主体对收集、处理、使用和对外提供其个人金融信息的同意。”
待到《办法》正式出台后,银行将根据该办法的要求,对提供业务数据的第三方机构进行摸排。对于不能保证数据来源合法的数据供应商,要停止合作。日前,已经有银行停止了与部分第三方数据提供商的合作。
2019年4月,央行发布了《中国人民银行2019年规章制定工作计划》中,其中就包括制定《个人金融信息(数据)保护试行办法》。已经进入第四季度,从时间进度上看,离正式推出已经不远。
科摩多(Comodo)用户论坛被黑
去年蓝点网曾报道国外安全研究人员发现多数固态硬盘硬件加密方案存在弱点、非常容易通过硬件手段进行破解。日常看到有网站泄露数据或者数据库被拖库应该已经习惯,不过安全软件开发商的网站被黑泄露数据就有点尴尬。日前知名安全软件开发商科摩多的用户反馈论坛就被黑,合计约24.5万论坛用户完整的用户数据全部被黑客窃取。比较尴尬的是标榜安全的科摩多这次被黑算是人为事故,因为没有及时修复论坛程序的漏洞导致黑客有可乘之机。
此前有匿名黑客直接公布知名的互联网软件 vBulletin 高危漏洞 ,借助这枚漏洞黑客可以直接掌控对应的网站等。随后这枚高危漏洞得到关注并获得软件开发商的修复,随后开发商发布安全更新将远程执行任意代码漏洞修复了。尽在漏洞公布后的第四天,科摩多的官方论坛就遭到黑客入侵,当时其技术人员并未及时安装更新进行漏洞修复。
攻击者直接将科摩多论坛的数据库下载并转移,尽管科摩多发现被入侵但是已经没太大用处,数据已经遭到窃取。据科摩多官方消息目前论坛已经暂停注册,而在此之前注册的用户提供的所有信息都已经遭到匿名攻击者的窃取。包括用户提供的用户名、电子邮件、经加密的密码、访问论坛的IP,不过直接社交网站登陆的用户信息泄露很少。社交网站登陆通常会被自动生成特殊的名称无需提供其他信息,因此这类账户即便遭到泄露也不会有太大的影响。
值得关注的是尽管科摩多已经对论坛的用户密码进行加密,但是也难免密码遭到破解而泄露这些用户的明文密码。因此科摩多提醒用户若密码与其他网站相同则应该尽快进行更改,以免黑客使用撞库方式登录其他网站窃取信息。
100万新西兰人的健康信息或处于危险之中
2019年10月5日,新西兰又现黑客攻击公众信息事件。黑客成功进入了Tū Ora Compass Health的系统,该卫生医疗机构为Think Hauora提供数据服务,为Cosine,Te Awakairangi Health Network 和 Ora Toa提供医疗服务。这些组织覆盖的地区大约有64.8万人,但如果算上死亡或迁移的人数,受影响的人数可能高达100万。
三年都没人注意 卫生部一无所知
这场危及100万人医疗信息的黑客攻击在三年内都没有引起人们的注意。卫生部对此次网络攻击的具体内容一无所知。
有消息称,这次将人们的医疗信息置于危险境地的黑客攻击仅仅是在一次检查中发现的。检查过程中,国家网络安全中心(National Cyber Security Centre)发现了其他入侵行为,包括2016年的一次“复杂”攻击,那次网络攻击窃取了人们2002年以来的个人数据。政府通讯安全局(GCSB)国家网络安全中心(NCSC)的分析表明,Tū Ora Compass Health曾遭受了四次恶意网络攻击,利用众所周知的网络服务器漏洞。其中两次可以追溯到2016年。
共四起攻击 信息涉及100万人
卫生部健康主管Dr Ashley Bloomfield表示:自8月初发现这一黑客攻击以来,国家网络安全中心一直在与卫生当局合作。他说,他们当时决定,在检查系统脆弱性和尚未确定是否有数据被窃取时,不将此事告诉公众。他说,在检查卫生系统时发现,有三个地区卫生委员会容易受到网络攻击。他说,从9月中旬开始的检查旨在发现更多漏洞,目前检查仍在进行中。检查将包括所有卫生委员会和公共卫生组织。公共卫生组织不包括在内。
Zynga遭黑 2亿数据外泄
知名社交平台游戏开发商Zynga近日证实被骇客入侵,致使超过2亿用户的个人信息遭受泄露。一名代号为Gnosticplayers的巴基斯坦骇客向媒体表示,他对攻击事件负责,同时承认获得了多达2.18亿名Zynga用户数据。
自2007年创立的Zynga以虚拟农场游戏FarmVille打出名号后,其在Facebook上先后推出了数十款游戏。Zynga的游戏都是免费的,仅在游戏中植入广告或销售虚拟商品,但已于2011年成功上市。
据Gnosticplayers表示,他所访问的是在今年9月2日以前,安装了Android与iOS版Words With Friends填字游戏的用户数据,包括姓名、电子邮件帐号、登录ID、密码、电话号码、Facebook ID,以及Zynga的帐号ID等。
Gnosticplayers还访问了Zynga其它游戏的用户数据,包括Draw Something及OMGPOP等,总计约有2.18亿名使用者的数据外泄。不过这一数字并未经Zynga证实。
消息曝出后,Zynga表示已展开调查,并开始采取措施来保护用户帐号,所幸骇客并未获得用户的金融信息。目前该公司已开始陆续通知受影响的用户变更自己的账户信息。
【亚洲诚信搜集整理分享,以上信息均来自互联网】