全球近 5 亿 WhatsApp 用户的电话号码被骇客明码标售

现在很多服务都会要求跟用户的电话号码绑定,与电子邮件绑定不同,你可能会有好几个信箱,但大多数人都只会有一个手机号码。近日,一项超大笔的资料外泄事件让人觉得超夸张,热门通讯软体 Whatsapp 传出用户电话号码外泄,来自全球各地近 5 亿笔的资料量相当惊人。

全球近 5 亿 WhatsApp 用户的电话号码被骇客明码标售

热门通讯软体 Whatsapp 在全球拥有约莫 20 亿用户,算是目前最大的讯息传递平台,而这次外泄的 4.8 亿笔资料几乎占据了总用户四分之一,且涵盖范围包括 84 个国家 / 地区,而且骇客已经将这批外泄的电话号码在论坛上标售,并标注是 2022 年最新版。

被外泄的用户电话号码来自四面八方,其中占笔最大宗的包含超过 3,200 万笔来自美国,4,500 万笔来自埃及,500 万来自义大利,2,900 万笔来自沙乌地阿拉伯,法国与土耳其各 2,000 万笔,俄罗斯 1,000 万笔,英国则有 1,100 万笔,即使在台湾用户没有那麽多也还是有近 73.5 万笔电话号码在这批名单中。 

据 Cybernews 的报导,在与刊登贩售讯息的骇客接触後,他们并没有具体说明如何获取资料库,并且隐讳地说是用「自己的方法」来收集资讯,且保证这些电话号码都是属於 …

新的 Gmail 监控方式不再执着盗帐号,改为透过 Chrome / Edge 浏览器扩充程式来「搬运」你的信

眼看两阶段认证还有各科技厂与服务,针对不明位置与装置的活动的侦测机制越来越完善。透过钓鱼的方式来窃取邮件帐号读取相关内容的监控方式,也越来越难为。然而,路不转人(骇客)转。最近有资安业者抓到疑似为北韩支援的骇客组织 SharpTongue / Kimsuky 所开发的一个仍处於相当初期阶段的恶意程式,透过安装通常感觉较为无害的浏览器扩充程式/附加元件/外挂程式的方式,藉此在不登入受害者帐号的状态下监控甚至窃取信件与副档内容。

因为没有登入的警告,所以这样的方式才更容易让人在不知情的状况下,「被搬运」了敏感的资讯(惊,但我信箱都垃圾信诶)。继续阅读新的 Gmail 监控方式不再执着盗帐号,改为透过 Chrome / Edge 浏览器扩充程式来「搬运」你的信报导内文。

▲图片来源:ArsTechnica

新的 Gmail 监控方式不再执着盗帐号,改为透过 Chrome / Edge 浏览器扩充程式来「搬运」你的信

虽然大家会想说,那我就不要去随便乱装以 Chromium 为基础开发的浏览器的扩充功能就好啦。不过「这套」恶意程式的手法其实相当聪明。基本上你可能会因为上网或收信不小心开启某些文件而触发这个名为「SHARPEXT」的恶意程式。

它也不会让你有任何的感觉,或该说,它就是希望你还有电子邮件的服务商都完全不会察觉 – 後者之所以可以绕过其实很简单,因为你已经正常的在浏览器登入了服务。目前被 SHARPEXT 列为目标的 Gmail 及 AOL 邮件服务,自然管不着正在使用浏览器观看信件的你看了些什麽。

SHARPEXT 在安装了浏览器的扩充程式之後,同时也会透过替换浏览器的设定档案与额外的执行脚本等方式来监控你的浏览器。这其中涉及的技术其实相当繁琐缜密,其中当它替换设定档案之後其实 Chromium 系列的浏览器本身是有反制机制 – 会提醒使用者,开发者相关的设定已经被开启之类的讯息,询问是否要关闭。

然而 SHARPEXT …

骇客比赛「Pwn2Own」参赛者们成功发现存在於 Windows 11 和 Microsoft Teams 中的漏洞,并抱回高额奖金

由 CanSecWest Applied Security Conference 安全会议主办的「Pwn2Own」是一场专为骇客或是「资安研究员」举行的挑战竞赛活动,参与这场活动的骇客团队们必须彼此较劲,比赛哪队能够最先从各家知名企业旗下的软体中找出最多从未被任何人发现的「漏洞」和错误。值得一提的是,今年这场为期三天的比赛活动还受到了微软、Zoom 等多间大型企业的赞助,而他们都为参赛者们提供了相当丰富的奖金,藉此鼓励他们能从旗下软体找出错误。

在今年举行於温哥华的第 15 届 Pwn2Own 比赛活动上,参赛者们光是在第一天就陆陆续续从浏览器 Firefox、甲骨文的 VirtualBox、微软作业系统 Windows 11 和会议软体 Microsoft Teams 等多款企业软体中发现了共计 16 个「Zero-Day」bug 和漏洞,并且已经成功抱回了超过 80 万美元的奖金。

这就如同一场专为骇客举办的大型电竞比赛活动,而目标就是找出存在於知名软体中的漏洞和 Bug,但已知的错误则不算数。而所谓的「Zero-Day」就是一种软体开发团队本身并没有注意到的漏洞或脆弱点,同时也很有可能会遭到一些有心人士滥用,针对软体进行攻击、入侵或勒索等行为,甚至有可能导致严重的损失。因此,对於软体发行商来说,如果能提前发现这些漏洞当然是一件再欢迎不过的事。

以目前来说,已经有 8 支参赛队伍都各自获得了至少 4 万美元以上的奖金,其中一支名为 STAR Labs 的队伍则以 23 万美元的奖金以及 23 点 Master …