SKS Keyserver Network 遭到“中毒”攻击

无法在短期内减轻这一攻击的影响，未来发布的 OpenPGP 将会包含一些削弱攻击的方法，但目前没有时间表。

作者/来源：安华金和

OpenPGP 项目的两位知名开发者 Robert J. Hansen (rjh) 和 Daniel Kahn Gillmor(dkg) 过去一周成为证书中毒攻击的受害者。未知攻击者利用 OpenPGP 协议本身的缺陷给 rjh 和 dkg 的 OpenPGP 证书下毒。

导入中毒版证书会破坏存在缺陷的 OpenPGP。中毒证书已经存在于 SKS Keyserver Network 中，没有理由认为攻击者在对两个证书下毒后就停止攻击。

dkg 称 Tor 项目的多个证书也遭到攻击。SKS keyserver 或 OpenPGP Working Group 无法在短期内减轻这一攻击的影响，未来发布的 OpenPGP 将会包含一些削弱攻击的方法，但目前没有时间表。权宜之计是不要从 SKS Keyserver Network 提取数据。Keyserver 使用的软件是一名研究员使用 OCaml 语言为自己的博士论文开发的，社区缺乏理解其算法或该语言的人才。软件没人维护，也没有人有资格去修改代码。

来源：solidot.org

更多资讯

Cloudflare 因自己软件的问题导致宕机事故

云服务商 Cloudflare 遭遇了一次持续约半个小时的宕机事故，用户访问报 503 错误。根据官方博客的解释，这个问题是它自己软件导致的。Cloudflare 称，为了改进内联 JavaScript 屏蔽，它在 Cloudflare Web Application Firewall 防火墙内部署了新的规则，其中一条规则包含的正则表达式导致了其在全世界各地的机器 CPU 占用 100%，从而导致了 502 错误。

来源：solidot.org
详情： http://www.dbsec.cn/zx/20190704-2.html 

网络攻击事件发生后 美国海关与边境保护局已暂停与分包商合作

今年 5 月，美国海关与边境保护局（CBP）的分包商遭遇了一起“恶意网络攻击”，导致出入境旅客的照片信息泄露。本周二，《华盛顿邮报》报道称，该机构现已暂停了为其制作车牌扫描仪和其它监控设备的 Perceptics 联邦政府合同。6 月 12 日，CBP 证实该分包商违反政策，将收集到的车牌和出入境旅客照片副本转移到了企业网络中。

来源：cnBeta.COM
详情： http://www.dbsec.cn/zx/20190704-3.html 

工信部点名：这些金融 APP 非法收集个人信息

日前，工业和信息化部（以下简称：工信部）发布了 2019 年第一季度电信服务质量通告。通告显示，多款金融 APP 存在非法收集个人信息问题，工信部表示已对违规软件进行下架处理，并责令企业整改。

来源：人民网-金融频道
详情： http://www.dbsec.cn/zx/20190704-4.html 

“沉默”的黑客袭击了孟加拉国，印度，斯里兰卡和吉尔吉斯斯坦的银行

一群专门攻击银行的黑客再次展开攻击，这次他们分别在孟加拉国，印度，斯里兰卡和吉尔吉斯斯坦攻击了四个目标，来自 Group-IB 的安全研究人员告诉 ZDNet。根据当地媒体的报道，目前公开的唯一事件是影响荷兰孟加拉银行的事件，该银行在5月份发生的几轮 ATM 取款攻击中损失了 300 多万美元。

来源：ZDNet
详情： http://www.dbsec.cn/zx/20190704-5.html 

（信息来源于网络，安华金和搜集整理）