Amazon S3 泄露1.23亿美国家庭详细信息；Win10人脸识别可被照片骗过

内容提要：

1.Amazon S3 泄露1.23亿美国家庭详细信息

2.Win10人脸识别可被照片骗过

3.大规模的暴力破解攻击导致 WordPress 网站感染门罗币挖矿程序

4.Ecom Instruments 生产的平板、手机、PAD等带有Wifi功能的设备遭KRACK攻击

5.罗马尼亚警方逮捕 5 名散播 CTB-Locker 和 Cerber 勒索软件的嫌犯

6.安全研究人员发现苹果 HomeKit 漏洞更新后反而更严重

7.日本航空收到诈骗邮件中招，被骗3.84亿日元

8.新型Android恶意软件可对手机造成物理损坏

9.南方周末网站被恶意植入挖矿脚本，官方已恢复并上报

1.Amazon S3 泄露1.23亿美国家庭详细信息

美国网络安全公司 UpGuard 发现，数据分析公司 Alteryx 将包含 1.23 亿美国家庭详细信息的服务器公开放在 Amazon S3 上。此前，UpGuard 也发现过一个包含敏感 NSA 文件的 Amazon S3 服务器，还有一个泄露美国陆军中央司令部和太平洋司司长数据的 S3 服务器。与之前一样，访问 URL并登录到 Amazon 帐户的用户，就可以获取这个服务器中的信息。这个公开的数据库包含各种数据，但最重要的文件是Alteryx业务伙伴——美国消费信贷报告机构 Experian 和美国人口普查局的两个数据库档案。

2.Win10人脸识别可被照片骗过

微软在本月早些时候发布了更新，修复了 Windows 10Hello 面部识别系统中的一个漏洞。利用这个漏洞，攻击者可以使用打印的照片绕过面部扫描。 WindowsHello 是为 Windows 10 专门配置的功能，使用近红外（IR）成像来验证和解锁 Windows 设备（如台式机、笔记本电脑和平板电脑等配置近红外传感器兼容相机的设备）。但是近期，德国测试公司 SySS GmbH 的研究人员发现利用照片就能绕过这个人脸识别功能，破解设备。将设备所有者脸部的低分辨率（340x340像素）照片的激光彩色打印输出，修改为近红外光谱，就能解锁此前激活过Windows Hello 的多个 Windows 设备。目前微软已经发布更新，研究人员建议将 Windows 10 版本升级到 1709 版本，避免遭受攻击。

3.大规模的暴力破解攻击导致 WordPress 网站感染门罗币挖矿程序

本周，Wordpress 站点遭遇大规模暴利破解攻击，攻击者试图获取管理员登录账号，安装门罗币挖矿程序。最早的攻击开始于标准时间周一早上 3:00，目前攻击依然强劲。 WordPress 安服公司 Wordfence 表示，每小时平均有 190000 个 WordPress 站点遭受暴力攻击，最高峰时每小时攻击达到 1400 万次。研究人员称，此前暗网上泄露的 14 亿明文账号密码可能加速了此次攻击。攻击者的主要目的是在这些网站中植入门罗币挖矿程序，目前为止，攻击者已经赚取价值至少 10 万美元的门罗币。

4.Ecom Instruments 生产的平板、手机、PAD等带有Wifi功能的设备遭KRACK攻击

根据 ICS-CERT 及其德国 CERT @ VDE 的消息，Ecom Instruments 生产的基于 Windows 和 Android 的坚固平板电脑、手机和 PDA 所使用的 Wi-Fi 组件易遭受 KRACK 攻击。报告显示：“ecom仪器设备在理论上可以通过重放，解密和伪造数据包来攻击。但是，要执行攻击，攻击者必须比接入点更接近 ecom 设备。使用 KRACK 攻击并不能破坏 WPA2 密码。但需要注意的是，如果使用 WPA-TKIP，攻击者可以轻松地伪造数据包直接将其并注入 WLAN。 Pepperl + Fuchs 和 Ecom 目前正在解决受影响的 Android 产品中的漏洞。至于基于 Windows 的设备，建议用户应用 Microsoft 提供的补丁，并切换到使用 AES-CCMP 加密，放弃 WPA-TKIP 加密。

5.罗马尼亚警方逮捕 5 名散播 CTB-Locker 和 Cerber 勒索软件的嫌犯

欧洲刑警组织周三表示，在联合 OperationBakovia 行动中，来自罗马尼亚、荷兰和英国的 FBI 与执法机构展开突袭，逮捕了五名参与传播 CTB Locker 和 Cerber 勒索软件的嫌犯，并缴获大量硬盘、外部存储设备、笔记本电脑、加密货币挖掘设备、大批文件和数百张SIM卡。

6.安全研究人员发现苹果 HomeKit 漏洞更新后反而更严重

就在这个月月初的时候，有开发者发现了 HomeKit 中存在的严重漏洞，能允许任何人不经授权地控制网络中的设备。可惜的是在经过大半个月之后，苹果依旧没能完美解决这个问题。然而当 iOS 11.2 新版本到来后，Khaos Tian 失望地发现尽管苹果确实修复了一些报告中提到的问题，但却反而让攻击变得共容易了。开发者表示 HomeKit 现在存在的整个漏洞包含两个问题：尽管理论上任何人都无法找到HomeKit 设备独特的识别码，但有两个各自独立的 BUG 却让攻击者有可能找到，而不需要任何授权。第二，如果有未经授权的某人向 HomeKit 设备发送指令，HomeKit 不会对其进行任何认证，而是简单地让指令通过。

7.日本航空收到诈骗邮件中招，被骗3.84亿日元

据外媒报道，当地时间周三，日本航空公司（以下简称JAL）发布消息称，公司在今年早些时候在收到假邮件后被骗走3.84亿日元。现在，JAL已经报案，另外它还在考虑惩戒未能充分核实邮件真实性的管理人员。

8.新型Android恶意软件可对手机造成物理损坏

近日，俄罗斯网络安全公司卡巴斯基实验室的研究人员发现了一个潜伏在假冒反病毒和色情应用中的新型Android恶意软件，它能够执行大量的恶意活动 – 包括挖矿和分布式拒绝服务（DDoS）攻击。这款木马被称为Loapi，可以在一段时间内执行大量恶意活动，以至于感染后的两天内就会导致手机电池突出。Loapi有一个模块化的架构，可以进行各种恶意活动，包括挖掘门罗币，发动DDoS攻击，展示固定广告，重定向网页流量，发送短信，下载和安装其他应用程序等。幸运的是，Loapi未能通过Google Play商店审核，所以从官方商店下载应用的用户不会受到影响。

9. 南方周末网站被恶意植入挖矿脚本，官方已恢复并上报

近日消息，南方周末网站近日发布关于 OpenX业务模块被植入脚本的说明。南方周末发现，OpenX 广告业务模块被恶意植入挖矿脚本，目前已恢复。南方周末在说明中表示，近日南方周末网站发现 OpenX 广告业务模块被恶意植入挖矿脚本，立刻进行修复，目前已经恢复正常。这次事件给用户访问造成影响，特致歉意。南方周末表示，目前，在专业部门支持下，现已查清漏洞，删除植入，用户可放心浏览使用网站。南周报社已经将此事上报主管部门，依法保护自身权益。