2019年最可怕的黑客事件与安全漏洞(3)

蓝牙漏洞利用可以跟踪和识别 iOS、微软移动设备用户：尽管存在本机操作系统保护但该漏洞可用于监视用户，它影响 Windows 10、iOS 和 macOS 计算机上的蓝牙设备。其中包括 iPhone、iPad、Apple Watch、MacBook 和微软的平板电脑和笔记本电脑。

“7-11” 日本的客户由于移动应用漏洞而损失了 50 万美元：7-11 最终关闭了该应用。

八月

SWAPGSAttack CPU 漏洞：研究人员详细介绍了该硬件漏洞，它绕过了 Windows 系统上针对 Spectre 和 Meltdown CPU 漏洞的缓解措施，并影响了所有使用自 2012 年以来制造的英特尔处理器的系统。

新的 Dragonblood 漏洞：今年四月初，两名安全研究人员披露了 WiFi 联盟最近发布的 WPA3 WiFi 安全和身份验证标准中五个漏洞(统称为 Dragonblood)的详细信息。

14 个 iOS 零日漏洞：自 2016 年 9 月以来，谷歌发现了针对 14 个 iOS 漏洞的攻击，这些漏洞分为五个漏洞利用链，并已被广泛部署。

VPN 安全漏洞：黑客对 Pulse Secure 和 Fortinet VPN 发起攻击。

Windows CTF 漏洞：Microsoft CTF 协议中的漏洞可以追溯到 Windows XP。该错误允许黑客劫持任何 Windows 应用，逃脱沙箱并获得管理员权限。

WS-Discovery 协议被滥用于 DDoS 攻击：该协议被 DDoS 租用服务所利用，已在实际攻击中使用。

Capitol One 黑客事件：一名黑客侵入了 Capitol One，从那里窃取了 1 亿用户的记录。她还入侵了其他 30 家公司。

Hy-Vee 卡泄露：超市连锁店 Hy-Vee 承认其某些 PoS 系统存在安全漏洞。该数据最终被在黑客论坛上出售。

员工将核电厂连接到互联网，以便他们可以开采加密货币：乌克兰核电厂的员工为了开采比特币而承担了不必要的安全风险。他们最终被捕。

莫斯科的区块链投票系统在大选前一个月就被攻破了：法国研究人员因在基于以太坊的投票系统中发现漏洞而获得 15000 美元的奖金。

美国军方购买了价值 3280 万美元的具有已知安全风险的电子产品：国防部购买的易受攻击产品包括 Lexmark 打印机、GoPro相机和联想计算机。

AT&T 员工受贿以在公司网络上植入恶意软件：美国司法部指控巴基斯坦男子贿赂 AT&T 员工超过 100 万美元，以在该公司网络上安装恶意软件，解锁超过 200 万台设备。

Windows 恶意软件会记录用户在成人网站上的访问：新的 Varenyky 木马会记录用户浏览成人网站的桌面视频。当前仅针对法国用户。

TrickBot 木马具备协助 SIM 交换攻击的功能：TrickBot 木马可以收集 Sprint、T-Mobile 和 Verizon Wireless 帐户的凭据和 PIN 码。

战争技术：黑客可以使用包裹传递服务将黑客设备直接运送到你公司的门口。

Instagram 踢掉了广告合作伙伴 Hyp3r：Instagram 发现该广告合作伙伴收集其用户数据。

九月

Simjacker 攻击：安全研究人员详细介绍了一种基于 SMS 的攻击，该攻击可以通过滥用 SIM 卡上运行的鲜为人知的应用程序，使恶意行为者可以跟踪用户的设备。发现 29 个国家/地区的 SIM 卡受到了影响。 还发现了第二起名为 WIBAttack 的攻击。

智能电视间谍活动：两项学术论文发现，智能电视正在收集有关用户的电视观看习惯的数据。

Checkm8 iOS 越狱：针对所有运行 A5 至 A11 芯片的 iOS 设备(在 iPhone 4S 以及 iPhone 8 和 X 上)发布的新 Checkm8 越狱。过去九年来，这是第一个在硬件级别起作用的越狱漏洞。

数据库泄漏了厄瓜多尔大多数公民的数据：Elasticsearch 服务器泄漏了有关厄瓜多尔公民其家谱和孩子的个人数据，还泄漏了一些用户的财务记录和汽车登记信息。该公司高管随后被捕。

Limin PDF 泄露事件：九月中旬，超过 2430 万 Lumin PDF 的用户详细信息在黑客论坛上被分享。该公司在第二天承认这次泄露。

Heyyo 约会应用程序泄漏事件：他们泄漏了除私人消息以外的几乎所有内容。

vBulletin 零日漏洞和随后的黑客攻击：一位匿名安全研究人员发布了 vBulletin 论坛软件中的零日漏洞。该漏洞立即被黑客用于入侵一系列论坛。

大量的帐户劫持事件袭击了 YouTube 创作者：汽车社区的 YouTube 创作者遭受了鱼叉式网络钓鱼攻击，这些攻击可以绕过 2FA，从而使黑客可以接管其 Google 和 YouTube 帐户。

Lilocked(Lilu)勒索软件：成千上万的 Linux 服务器感染了新的 Lilocked(Lilu)勒索软件。

超过 47,000 台超微服务器正在互联网上暴露了其 BMC 端口：研究人员在超微服务器上发现了一个新的远程攻击方式，发现它在互联网上暴露了其 BMC 端口。

勒索软件事件给公司造成了高达 9500 万美元的损失：丹麦制造助听器 Demant 的勒索软件事件造成了近 9500 万美元的损失，这是迄今为止最昂贵的事件之一。

Exim 漏洞(CVE-2019-15846)：数百万的 Exim 服务器容易受到一个安全漏洞的攻击，利用该漏洞可以使攻击者能够以 root 特权运行恶意代码。

十月

Avast 黑客事件：这家捷克的杀毒软件制造商在 2017 年遭受攻击之后，披露了其受到了第二次攻击，旨在破坏 CCleaner 版本。该公司表示，黑客通过受损的 VPN 配置文件破坏了该公司。

被广泛利用的 Android 零日漏洞：Google Project Zero 研究人员发现了被广泛利用的 Android 零日漏洞，影响了 Pixel、三星、华为、小米设备。

Alexa 和 Google Home 设备再次被利用来网络钓鱼和窃听用户：亚马逊、Google 在首次报告后一年多未能解决 Alexa 和 Home 设备中的安全漏洞。

捷克当局拆除了据称是俄罗斯的网络间谍网络：捷克官员说，俄罗斯特工利用当地公司对外国目标发起网络攻击。官员们表示，运营得到了俄罗斯国家情报局 FSB 的支持以及当地大使馆的财政帮助。

（编辑：ASP站长网）