在網絡安全、網絡隱私和數據保護領域，每個月都有這麼多事情發生。很難跟上！

我們的每月安全摘要將幫助您每月關注最重要的安全和隱私新聞。以下是11月份發生的事情。

1萬豪國際遭遇5億記錄數據洩露

和以往一樣，本月底最熱門的一條安全新聞也會出現。

11月底，萬豪國際酒店集團（Marriott International hotel group）披露了一個巨大的數據洩露事件。自2014年以來，由於攻擊者訪問了萬豪國際喜達屋分部網絡，據信多達5億條客戶記錄受到影響。

萬豪國際於2016年收購喜達屋，打造全球最大的連鎖酒店，擁有5800多處房產。

洩漏對不同的用戶意味著不同的事情。但是，每個用戶的信息包含以下組合：

• 姓名
• 地址
• 電話號碼
• 電子郵件地址
• 護照號碼
• 賬戶信息
• 出生日期
• 性別
• 到發信息

也許最重要的是萬豪透露，一些記錄包括加密的卡信息——但也不能排除私鑰也被盜的可能。

長短不一的是：如果您在2018年9月10日之前入住喜達屋萬豪酒店，包括分時度假酒店，您的信息可能已被洩露。

萬豪正在採取措施，通過提供一年的免費訂閱WebWatcher來保護可能受到影響的用戶。美國公民還將免費獲得欺詐諮詢和報銷。目前，共有三個報名網站：

• 美國
• 加拿大
• 大不列顛聯合王國

否則，請查看以下三種簡單的方法，以便在發生重大漏洞後保護您的數據。

2注入加密竊取惡意軟件的事件流javascript庫

一個每週下載量超過200萬次的JavaScript庫被注入了旨在竊取加密貨幣的惡意代碼。

事件流存儲庫，一個簡化節點.js發現流模塊包含模糊代碼。當研究人員對代碼進行除臭後，很明顯它的目標是比特幣盜竊。

分析表明，該代碼的目標庫與移動和桌面的Copay比特幣錢包相關。如果系統上存在Copay錢包，則惡意代碼會試圖竊取錢包內容。然後它嘗試連接到一個馬來西亞IP地址。

在最初的開發人員Dominic Tarr將庫的控制權交給另一個開發人員right9ctrl之後，惡意代碼被上傳到事件流存儲庫。

Right9ctrl幾乎在控制權移交後就上傳了一個新版本的庫，這個新版本包含針對Copay錢包的惡意代碼。

然而，從那時起，right9ctrl已經上傳了該庫的另一個新版本——沒有任何惡意代碼。新上傳的同時，Copay也更新了他們的**和桌面錢包軟件包，以消除惡意代碼所針對的JavaScript庫的使用。

三。亞馬遜在黑色星期五前幾天遭遇數據洩露

就在今年最大的購物日（當然除了中國的光棍節）前幾天，亞馬遜遭遇數據洩露。

"We're contacting you to let you know that our website inadvertently disclosed your name and email address due to a technical error. The issue has been fixed. This is not a result of anything you have done, and there is no need for you to change your password or take any other action."

很難估量漏洞的確切細節，因為，好吧，亞馬遜並沒有告訴我們。然而，英國、美國、韓國和荷蘭的亞馬遜用戶都收到了亞馬遜的電子郵件，這是一個相當全球性的問題。

用戶可以得到一些安慰，因為導致數據洩露的是亞馬遜的技術問題，而不是對亞馬遜的攻擊。發佈的信息也不包含任何銀行信息。

不過，亞馬遜表示受影響的用戶無需更改密碼的消息顯然是錯誤的。如果您受到亞馬遜數據洩露的影響，請更改您的帳戶密碼。

4自我加密三星和關鍵的ssd漏洞

安全研究人員發現了三星的多個關鍵漏洞和關鍵的自加密固態硬盤。研究小組測試了三個關鍵的固態硬盤和四個三星固態硬盤，發現每種型號的關鍵問題。

荷蘭Radboud大學的安全研究人員Carlo Meijer和Bernard van Gastel發現了硬盤實現ATA security和TCG Opal的漏洞[PDF]，這兩個漏洞是在使用基於硬件的加密的ssd上實現加密的兩個規範。

有各種各樣的問題：

• 密碼和數據加密密鑰之間缺少加密綁定意味著攻擊者可以通過修改密碼驗證過程來解鎖驅動器。
• 關鍵的MX300有一個由**商設置的主密碼——這個密碼是一個空字符串，例如，沒有。
• 利用SSD恢復三星數據加密密鑰。

令人不安的是，研究人員表示，這些漏洞可能非常適用於其他型號以及不同的SSD**商。

想知道如何保護你的硬盤嗎？下面介紹如何使用開源加密工具VeraCrypt保護數據。

5蘋果支付惡意廣告活動的目標是iphone用戶

iPhone用戶是蘋果支付（applepay）正在進行的惡意宣傳活動的目標。

該活動試圖通過兩個彈出式釣魚窗口重定向和欺騙用戶的Apple Pay憑據，攻擊源於通過iOS訪問的一系列高級報紙和雜誌。

這種被稱為PayLeak的惡意軟件將毫無戒心的iPhone用戶點擊惡意廣告後，送到中國註冊的域名。

當用戶到達域時，惡意軟件會檢查一系列憑據，包括設備運動、設備類型（Android或iPhone）以及設備瀏覽器是Linux x86_64、Win32還是MacIntel。

此外，惡意軟件會檢查設備是否存在任何防病毒或反惡意軟件應用程序。

如果滿足了正確的條件，Android用戶將被重定向到一個聲稱該用戶贏得了Amazon禮品卡的釣魚網站。

不過，iPhone用戶會收到兩個彈出窗口。第一個警報是iPhone需要更新，第二個警報則通知用戶他們的applepay應用程序也需要更新。第二個警報與遠程命令和控制服務器共享Apple Pay信用卡信息。

6100萬兒童追蹤器手錶

至少有一百萬個支持全球定位系統的兒童跟蹤手錶賣給了有漏洞的父母。

筆測試合作伙伴的研究詳細說明了一系列的安全問題與極受歡迎的米薩菲兒童安全手錶。支持GPS的手錶可以讓父母隨時追蹤孩子的位置。

然而，安全研究人員發現，設備ID號——因此，用戶帳戶——是可以訪問的。

通過訪問該帳戶，安全團隊可以找到孩子，查看孩子的照片，收聽孩子與父母之間的對話，或者給孩子自己打電話或發信息。

"Our research was carried out on watches branded 'Misafes kids watcher' and appears to affect up to 30,000 watches. However, we discovered at least 53 other kids tracker watch brands that are affected by identical or near-identical security issues."

針對兒童的智能設備的漏洞並不是一個新問題。然而，這仍然是一個令人擔憂的問題。

“那麼如何為孩子購買安全的智能玩具呢？“你不知道，”黑客一號的IT工程師亞倫·贊德說但如果必須的話，不要選擇最便宜的選擇，儘量減少視頻、Wi-Fi和藍牙等功能。此外，如果你真的有一個裝置，而且它確實存在安全缺陷，那麼聯繫你的**代表，寫下你的監管機構，對它大肆宣揚，這是它變得更好的唯一途徑。”

11月安全新聞綜述

這是2018年11月的六大安全事件。但是發生了更多的事情；我們只是沒有足夠的空間來詳細列出。下面是上個月出現的五個更有趣的安全故事：

• 日本網絡安全戰略副局長透露，他從未使用過電腦。
• 國家惡意軟件Stuxnet攻擊伊朗的設施和組織（再次）。
• 黑客發現iPhone X、三星Galaxy S9和小米Mi6設備存在零日漏洞。
• 微軟修補了一個Windows零日漏洞，該漏洞用於各種黑客組織的多次攻擊。
• Pegasus高級間諜軟件被用來攻擊墨西哥的調查記者。

又一輪網絡安全新聞旋風。網絡安全的世界在不斷變化，及時瞭解最新的漏洞、惡意軟件和隱私問題是一項艱鉅的任務。

這就是為什麼我們每個月都會為你收集最重要、最有趣的新聞。

在下個月初——也就是新的一年的開始——回來看看你2018年12月的安全綜述。下個月還將在安全綜述中看到MakeuseOf2018年。同時，看看這五個提示和技巧來保護你的智能設備。

圖片來源：Karlis Dambrans/Flickr