哈萨克斯坦对所有 HTTPS 流量发动中间人攻击
| 2019-07-20 07:30
从 7 月 17 日开始,哈萨克斯坦发出通知要求所有设备所有浏览器安装来自政府的 Root CA(qca.kz),这意味着该国 ISP 可以对所有 HTTPS 加密流量发动中间人攻击。
HTTP 是明文传输,ISP 可以实时查看传输的内容,可以随时向 HTTP 流量插入信息比如广告;HTTPS 加密了客户端和服务器端之间的连接,使得 ISP 无法获悉传输的内容,但利用 Root CA 它可以伪造证书,解密加密的流量,发动中间人攻击。
用户呼吁浏览器开发商如 Mozilla 和 Google 将哈萨克斯坦的 Root CA 加入到黑名单拒绝接受它的证书。已有证据显示,qca.kz 签发了 Facebook 的证书。
来源:solidot.org
更多资讯
商务电子邮件泄密事件频发 平均每月损失 3 亿美元
金融犯罪执法网络(FinCEN)对过去两年发生的BEC事件进行了统计,确认了最常见的目标类型、窃取资金的目标预期以及诈骗者所使用的技术。根据FBI互联网犯罪投诉中心(IC3)提供的《Internet Crime Report》报告,显示BEC诈骗已经成为网络犯罪的主要攻击方式。
来源: cnBeta.COM
详情: https://www.dbsec.cn/zx/20190720-1.html
谷歌上调 ChromeOS / Chrome 漏洞赏金额度 最高达 15 万/ 3 万美元
谷歌表示,自 2010 年 Chrome 漏洞奖励计划创建以来,人们已经报告了超过 8500 个漏洞,谷歌已经为此支付了超过 500 万美元。
来源:cnBeta.COM
详情: https://www.dbsec.cn/zx/20190720-2.html
报告:93% 的成人网站向第三方泄露用户浏览数据
据 zdnet 报道,在本周发表的一篇研究论文中,学者们分析了 22484 个成人网站,发现有93%的网站向线广告商或网络分析提供商等第三方泄露数据。据悉,获取这些用户浏览习惯和偏好的公司包括:谷歌、甲骨文、Facebook、Cloudflare以及成人行业的广告商。
来源: ChinaZ 站长之家
详情: http://www.dbsec.cn/zx/20190720-4.html
上海破获一起假冒招考热线网站非法获取公民信息案
随着“净网 2019”专项行动的深入开展,上海公安机关加大对侵犯公民个人信息等网上违法犯罪的打击力度。2019 年 7 月 8 日,上海市公安局破获一起假冒“上海招考热线”网站非法获取公民信息案,抓获犯罪嫌疑人徐某某。同时,上海市网信办依法关闭假冒“上海招考热线”网站和微信公众号。
来源: 警民直通车-上海
详情: http://www.dbsec.cn/zx/20190720-5.html
(信息来源于网络,安华金和搜集整理)