2024年9月,網站 Internet Archive 的數位圖書館遭受了一次資料外洩事件,導致3100萬條記錄被公開。此次外洩暴露了使用者記錄,包括電子郵件地址、使用者名稱和bcrypt密碼雜湊值。
[*1] 這裡的「使用者名稱」原文是 screen name,就是指 username 的概念
好消息是你如果你有使用密碼管理器同時又有使用 mail relay 那麼你大可不必慌張,前往網站去修改密碼就好了,不確定有沒有在名單內的話可以到 HIBP 查詢,或是 vault.futa.gg 點一下就會自動檢查
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9
FutaGuard
HIBP 作者表示,他早在 9/30 就收到 Internet Archive 被打穿的資料,然後將時間軸整理出來,我將它原文翻譯並整理成圖片(Gemini)
https://x.com/troyhunt/status/1844148532703526928
https://x.com/troyhunt/status/1844148532703526928
👍10💯1
Bitwaredn 重新調整了 SDK 的授權,先別說這個
我現在才知道 Bitwarden internal SDK 用 rust 寫的
https://github.com/bitwarden/sdk-internal/commit/db648d7ea85878e9cce03283694d01d878481f6b
我現在才知道 Bitwarden internal SDK 用 rust 寫的
https://github.com/bitwarden/sdk-internal/commit/db648d7ea85878e9cce03283694d01d878481f6b
GitHub
Improve licensing language (#10) · bitwarden/sdk-internal@db648d7
Improve language around licensing for most crates to be GPL or Bitwarden
SDK License.
SDK License.
❤8🔥4👍2🤡2
FutaGuard
因為台灣數發部對於資料洩漏處理速度太慢,而且也沒有實質性的懲罰,我剛剛已經將這幾天成功採集的資料洩漏轉交給 HIBP 目前有一個站洩漏數量為 13168 筆 而另一個某食品公司已經處理中,我等他修復後再說 再另一個某娛樂公司洩漏數量達 4 萬多筆,還在下載中,稍晚一同給 HIBP 還有沒什麼作用的數發部
結果問了認識的刑警叫我自己註冊然後去報案才有用 😌
然後 HIBP不收這種,感覺他嫌太少的樣子,做白工
收工了散會
真的是小丑,請大家給我一個 🤡
然後 HIBP不收這種,感覺他嫌太少的樣子,做白工
收工了散會
真的是小丑,請大家給我一個 🤡
Please open Telegram to view this post
VIEW IN TELEGRAM
🤡67😭5👍2❤1
Please open Telegram to view this post
VIEW IN TELEGRAM
👍22🤔2❤1🤡1
Android 的 bitwarden 終於發現自訂 server url option 沒補上嗎?我終於能在手機上用上 futa.app 了嗎
https://github.com/bitwarden/android/issues/4308
https://github.com/bitwarden/android/issues/4308
GitHub
Addy.io and SimpleLogin missing server URL option · Issue #4308 · bitwarden/android
Steps To Reproduce Go to Generator Go to Username tab Choose Forwarded email alias type Choose addy.io or SimpleLogin service Expected Result Server URL should be configurable for self-hosted insta...
❤10
地震震到機器嚇到睡著,現在已經恢復運作
另外更新了圖表,寄包裹前可以看一下哪家物流比較不雷,結果現在看起來 -4 的店到店是最穩的(時間的部分)
https://logistic.sudo.host/superset/dashboard/taiwandelivery
另外更新了圖表,寄包裹前可以看一下哪家物流比較不雷,結果現在看起來 -4 的店到店是最穩的(時間的部分)
https://logistic.sudo.host/superset/dashboard/taiwandelivery
👍10🤣5❤4🙉1
根據卡巴斯基安全部落格指出,他們發現全新的木馬病毒,而且已經全面入侵 iOS 以及 Android。
存取裝置裡的照片,並透過圖片文字轉換功能讀取照片,試圖找出加密錢包的恢復密鑰並回傳到目標伺服器。
1. 根據拆 App 發現的線索,惡意框架的作者名稱叫做 qiongwu
2. 該惡意程式使用 rust 🦀 開發
3. 跨平台,不管你是 iOS 或 Android 都有可能中標
1. 立即移除受感染的 App
2. 立即檢視加密貨幣錢包,並使用 PassKey 加強,如有必要請立即更換錢包
3. 使用 FutaGuard DNS,如果有自己的 AdGuard Home 請更新 FutaGuard 提供的清單
📋 App 清單
Android
com.crownplay.vanity.address
com.atvnewsonline.app
com.bintiger.mall.android
com.websea.exchange
org.safew.messenger
org.safew.messenger.store
com.tonghui.paybank
com.bs.feifubao
com.sapp.chatai
com.sapp.starcoin
iOS
im.pop.app.iOS.Messenger
com.hkatv.ios
com.atvnewsonline.app
io.zorixchange
com.yykc.vpnjsq
com.llyy.au
com.star.har91vnlive
com.jhgj.jinhulalaab
com.qingwa.qingwa888lalaaa
com.blockchain.uttool
com.wukongwaimai.client
com.unicornsoft.unicornhttpsforios
staffs.mil.CoinPark
com.lc.btdj
com.baijia.waimai
com.ctc.jirepaidui
com.ai.gbet
app.nicegram
com.blockchain.ogiut
com.blockchain.98ut
com.dream.towncn
com.mjb.Hardwood.Test
com.galaxy666888.ios
njiujiu.vpntest
com.qqt.jykj
com.ai.sport
com.feidu.pay
app.ikun277.test
com.usdtone.usdtoneApp2
com.cgapp2.wallet0
com.bbydqb
com.yz.Byteswap.native
jiujiu.vpntest
com.wetink.chat
com.websea.exchange
com.customize.authenticator
im.token.app
com.mjb.WorldMiner.new
com.kh-super.ios.superapp
com.thedgptai.event
com.yz.Eternal.new
xyz.starohm.chat
com.crownplay.luckyaddress1
來源
https://securelist.com/sparkcat-stealer-in-app-store-and-google-play/115385/
Please open Telegram to view this post
VIEW IN TELEGRAM
201🙏15😱6🤣4👍2🎉2🐳2❤1🤔1🍾1
昨天 Swiftgram 作者(前身 Nicegram)看到此篇貼文後,也在自己的頻道發文。
‼️ 兩者關係
作者 [at]Kylmakalle 先前創立了 nicegram 後,向另一個團隊合作,後續將 nicegram 轉賣給對方,後續 nicegram 的行為與作者原先理念越走越遠,因此作者另外創立了另一個 client 叫做 swiftgram,而自己也離開了 nicegram
(這段若有誤請作者自己來跟我更正)😂 👍
🤨 重點
Swiftgram 作者在頻道重複描述了新聞內容,同時他也複測了卡巴斯基的內容,並沒有在 Nicegram 中發現有任何「SparkCat」木馬的蹤跡
😭 我可以相信 Swiftgram 嗎?
Swiftgram 作者提到兩者 App 最大的差別在於 Swiftgram 是完全開源,與 Nicegram 相反,完全可以讓使用者自行建構重現。
但這成本太高,我不認一般大眾有這個能力,因此如果使用者想要舒服的使用的話,我會建議使用官方 App 即可,若使用者自己有相關技術能力,可以提供 code review 意見在下方給大家參考
😮 結論
有些人在詢問我這樣能代表什麼意思,同時該則算不算澄清?以下是我的看法
1. 他只是將新聞內容重複說了一次
2. 由於卡巴斯基提到的內容並沒有明確的指出通報時間,說不定其實已經處理了很久,之後才曝光的,因此複測才沒有找到蹤跡
3. 我覺得這不是供應鏈攻擊
原文
https://t.me/swiftgram/132
作者 [at]Kylmakalle 先前創立了 nicegram 後,向另一個團隊合作,後續將 nicegram 轉賣給對方,後續 nicegram 的行為與作者原先理念越走越遠,因此作者另外創立了另一個 client 叫做 swiftgram,而自己也離開了 nicegram
(這段若有誤請作者自己來跟我更正)
Swiftgram 作者在頻道重複描述了新聞內容,同時他也複測了卡巴斯基的內容,並沒有在 Nicegram 中發現有任何「SparkCat」木馬的蹤跡
Swiftgram 作者提到兩者 App 最大的差別在於 Swiftgram 是完全開源,與 Nicegram 相反,完全可以讓使用者自行建構重現。
但這成本太高,我不認一般大眾有這個能力,因此如果使用者想要舒服的使用的話,我會建議使用官方 App 即可,若使用者自己有相關技術能力,可以提供 code review 意見在下方給大家參考
有些人在詢問我這樣能代表什麼意思,同時該則算不算澄清?以下是我的看法
1. 他只是將新聞內容重複說了一次
2. 由於卡巴斯基提到的內容並沒有明確的指出通報時間,說不定其實已經處理了很久,之後才曝光的,因此複測才沒有找到蹤跡
3. 我覺得這不是供應鏈攻擊
原文
https://t.me/swiftgram/132
Please open Telegram to view this post
VIEW IN TELEGRAM
57👍16😁2❤1👏1
Bitwarden 官方手機端加入了 SimpleLogin 以及 AnonAddy 的自建 Endpoint 選項
參考 https://t.me/FutaGuard/95
https://github.com/bitwarden/android/pull/4708
參考 https://t.me/FutaGuard/95
https://github.com/bitwarden/android/pull/4708
Telegram
FutaGuard
明天是我舊帳號 @Shawn_N 的忌日
先送上祝福
隱私是人權的一種,但我沒錢
所以我把目光鎖定到了 SimpleLogin 身上,大家都知道 Futa 有提供功能全開的 vault.futa.gg 而且免費
其中 Bitwarden 支援 SimpleLogin 可以在註冊帳號時使用不同的 Email,這樣一來哪個網站外洩一眼就能知道
現在我把 SimpleLogin 部分功能變成大家都能使用了,只要你有使用 vault.futa.gg 現在點選 @futavault_bot 並發送 /api…
先送上祝福
隱私是人權的一種,但我沒錢
所以我把目光鎖定到了 SimpleLogin 身上,大家都知道 Futa 有提供功能全開的 vault.futa.gg 而且免費
其中 Bitwarden 支援 SimpleLogin 可以在註冊帳號時使用不同的 Email,這樣一來哪個網站外洩一眼就能知道
現在我把 SimpleLogin 部分功能變成大家都能使用了,只要你有使用 vault.futa.gg 現在點選 @futavault_bot 並發送 /api…
👍11❤2
+888 user 可能要注意,大半夜第一次遇到新的釣魚手法,攻擊方會利用 telegram 第三方登入請求對你發送廣告,例如下方
這時不小心點了 Confirm 可能會被授權奇怪的東西,如果你沒有及時反應可能也會好奇點開網址只看看,就可能進到釣魚頁面陷阱
這招有點妙啊,一方面你根本不可能把通知帳號給檢舉也不能 Ban 了他
有點東西啊😧
踢低吸, we received a request to log in on airdrop.釣魚網址.sbs with your Telegram account.
To authorize this request, use the 'Confirm' button below.
Browser: Unknown browser on Unknown OS
IP: 72.195.34.59 (United States)
If you didn't request this, use the 'Decline' button or ignore this message.
⌛️ Session expired
這時不小心點了 Confirm 可能會被授權奇怪的東西,如果你沒有及時反應可能也會好奇點開網址只看看,就可能進到釣魚頁面陷阱
這招有點妙啊,一方面你根本不可能把通知帳號給檢舉也不能 Ban 了他
有點東西啊
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19🤡5😱3🤬1
Have I Been Pawned 創始人 Tony Hunt,自稱在時差嚴重且疲勞的狀態下,不慎點擊了一封偽裝成Mailchimp的釣魚郵件,並手動輸入帳號資訊以及憑證,攻擊者迅速登入並導出了他約 16,000 條郵件列表記錄,數據包含電子郵件地址、IP地址、地理位置資料...等等
重點
1. Mailchimp保留了已取消訂閱用戶的數據
2. 使用者取消訂閱時沒有明確說明訂閱資料會被保留
3. 是針對性攻擊
我個人是覺得他應該只是坐在椅子上書舒服服講講幹話的那種管理階層,畢竟我所知道的資訊安全專家不是藥娘就是福瑞
另外此次攻擊洩漏事件他也自己列上去了
> https://haveibeenpwned.com/PwnedWebsites#TroyHuntMailchimpList
https://www.troyhunt.com/a-sneaky-phish-just-grabbed-my-mailchimp-mailing-list/
重點
1. Mailchimp保留了已取消訂閱用戶的數據
2. 使用者取消訂閱時沒有明確說明訂閱資料會被保留
3. 是針對性攻擊
我個人是覺得他應該只是坐在椅子上書舒服服講講幹話的那種管理階層,
另外此次攻擊洩漏事件他也自己列上去了
> https://haveibeenpwned.com/PwnedWebsites#TroyHuntMailchimpList
https://www.troyhunt.com/a-sneaky-phish-just-grabbed-my-mailchimp-mailing-list/
🤡23🤯2😭1
太精彩了,所以我要發一篇
Windscribe 一樣在今年發愚人節 Email,不過這次不是什麼 Windscribe 密碼管理器,而是要販賣你的資料,然而隨著郵件點擊進去發現商店掛著你的資料顯示已售罄,隨即下面是一個下載按鈕,會打開一張圖片,放大仔細看你會看到
https://swag.windscribe.com/products/your-personal-data-dump-text-format
Congratulations, you have been April fooled by the greatest April foolers on the planet. Take a moment to compose yourself. We will never betray you, That’s Mozilla’s Job
恭喜你,你被地球上最偉大的愚人節惡作劇者愚弄了。請花點時間冷靜一下。我們絕不會背叛你,那是 Mozilla 的工作。
😂 😂 😂 😂 😂 😂 😂 😂 😂 😂
Windscribe 一樣在今年發愚人節 Email,不過這次不是什麼 Windscribe 密碼管理器,而是要販賣你的資料,然而隨著郵件點擊進去發現商店掛著你的資料顯示已售罄,隨即下面是一個下載按鈕,會打開一張圖片,放大仔細看你會看到
https://swag.windscribe.com/products/your-personal-data-dump-text-format
恭喜你,你被地球上最偉大的愚人節惡作劇者愚弄了。請花點時間冷靜一下。我們絕不會背叛你,那是 Mozilla 的工作。
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣25🤡7❤1😁1
淺看「TaiwanSupplyChainAttack 取證數據庫」 (1/6)
今天在網路上有人突然丟了一個很嚴肅的東西,害我足足被硬控了十分鐘,表情從凝重一路變成看笑話的心態;這其中太多吐槽點了,且涉及的知識過於廣泛,因此其中我不懂的地方我會向該領域的人請教。
1. 韌體層級惡意程式預置
首先這位大神說了
查看 Repo 內的檔案只有一堆崩潰日誌,我打開檔案逐一瀏覽
- Google Pixel 8a
> 都是崩潰日誌並沒有看到任何惡意韌體之類的跡象,文章內也沒有提出任何證明只有甩出一堆崩潰日誌
- GrapheneOS
> 貼了一個開源手機作業系統的 system error log,同樣的我也不知道要看什麼哪裡有惡意韌體,我只有看到打包的時候遺漏了 libbox.so 導致 linkerror,如果 opensource 有這麼大的漏洞你應該可以拿到不少獎金
https://grapheneos.org/source
- OPPO A3x
> 同上
- Google Pixel 5
> 略
今天在網路上有人突然丟了一個很嚴肅的東西,害我足足被硬控了十分鐘,表情從凝重一路變成看笑話的心態;這其中太多吐槽點了,且涉及的知識過於廣泛,因此其中我不懂的地方我會向該領域的人請教。
1. 韌體層級惡意程式預置
首先這位大神說了
於電信商通路裝置(台灣大哥大經銷之 Google Pixel 8a、遠傳電信經銷之 OPPO A3x 裝置)植入經簽章之惡意韌體
查看 Repo 內的檔案只有一堆崩潰日誌,我打開檔案逐一瀏覽
- Google Pixel 8a
> 都是崩潰日誌並沒有看到任何惡意韌體之類的跡象,文章內也沒有提出任何證明只有甩出一堆崩潰日誌
- GrapheneOS
> 貼了一個開源手機作業系統的 system error log,同樣的我也不知道要看什麼哪裡有惡意韌體,我只有看到打包的時候遺漏了 libbox.so 導致 linkerror,如果 opensource 有這麼大的漏洞你應該可以拿到不少獎金
https://grapheneos.org/source
- OPPO A3x
> 同上
- Google Pixel 5
> 略
🤯6❤1👍1
淺看「TaiwanSupplyChainAttack 取證數據庫」 (2/6)
在看了一堆意義不明且空泛的 system dump log 之後,我決定來看第二項指控
2. 通訊基礎設施攻擊
然後我浪費我生命八分鐘看這奇怪的操作,打開 FireFox 瀏覽器,然後把 DNS 改成 Cloudflare DoH 接著強制瀏覽 HTTPS,接著下載 gmer 文件顯示 HTTPS 錯誤不安全,接著又到 majorgeeks 下載 malwarebytes 的 Anti-Rootkit 工具被轉跳到廣告頁面,接著又在 majorgeeks 中尋找 kaspersky 的 TDSSKiller 在卡巴斯基官網中顯示 404
畫面一轉又到 GitHub 下載 OpenArk,FireFox 提示含有病毒,並將檔案上傳到 VirusTotal 掃描說檔案被動過手腳...之類的操作。
看完只覺得我想討回我這八分鐘。
1. 為何 FireFox 開啟 Cloudflare DoH 以及僅允許 HTTPS 後,gmer.net 會顯示不安全。
> 人家根本沒開 https 當然不安全(下面附圖)
2. 在 majorgeeks 下載 Anti-Rootkit 轉跳到廣告頁面?
>無法復現
> 重新測試後發現是被我的檔廣告軟體擋住了,是 malwarebytes 對子網域
經調查 malwarebytes 在 2016 將網址從 .org 換成 .com 而在那之前檔案下載服務外包給 StackPath 一家 CDN 公司,該 CDN 公司在 2019 賣給其他公司,因此因為年代久遠配置不得宜導致沒有 301, 302 到 .com 去
3. OpenArk 下載顯示有病毒
> 這類工具經常被誤判,同時防毒軟體在多種情況下誤判也很正常 FYI https://github.com/BlackINT3/OpenArk/issues/175
4. PC Hunter 病毒
> 同上
5. 火絨安全有毒
> 同上
6. PSTools 有毒
> 同上,順便補充微軟中間有一行紫色提示框框
7. Sysinternals 有毒
> 同上
8. 7-zip.org 有毒
> 同上
補充資料:
https://forums.malwarebytes.com/topic/195557-did-malwarebytes-forum-change-its-domain/
在看了一堆意義不明且空泛的 system dump log 之後,我決定來看第二項指控
2. 通訊基礎設施攻擊
透過中華電信網路架構進行系統性攻擊:
- 行動通訊網路(4G/5G eNodeB基站)
- 公共/企業WiFi熱點
- 家用寬頻網路
- 網咖網路環境
此攻擊基礎設施已實現 全台範圍設備感染,具備持續性監控、資料竊取及遠端控制能力。
台灣地區目前電腦 與 網路下載檔案的實際情形 已利用 「Windows 螢幕錄影」將畫面上傳至 YouTube 頻道:@iamontou1023
https://youtu.be/K7IQyfpk4Tc?si=_uLom-bZ-Bf89_eD
然後我浪費我生命八分鐘看這奇怪的操作,打開 FireFox 瀏覽器,然後把 DNS 改成 Cloudflare DoH 接著強制瀏覽 HTTPS,接著下載 gmer 文件顯示 HTTPS 錯誤不安全,接著又到 majorgeeks 下載 malwarebytes 的 Anti-Rootkit 工具被轉跳到廣告頁面,接著又在 majorgeeks 中尋找 kaspersky 的 TDSSKiller 在卡巴斯基官網中顯示 404
畫面一轉又到 GitHub 下載 OpenArk,FireFox 提示含有病毒,並將檔案上傳到 VirusTotal 掃描說檔案被動過手腳...之類的操作。
看完只覺得我想討回我這八分鐘。
1. 為何 FireFox 開啟 Cloudflare DoH 以及僅允許 HTTPS 後,gmer.net 會顯示不安全。
> 人家根本沒開 https 當然不安全(下面附圖)
2. 在 majorgeeks 下載 Anti-Rootkit 轉跳到廣告頁面?
>
> 重新測試後發現是被我的檔廣告軟體擋住了,是 malwarebytes 對子網域
downloads.malwarebytes.org 沒有做好 301, 302 轉跳處理經調查 malwarebytes 在 2016 將網址從 .org 換成 .com 而在那之前檔案下載服務外包給 StackPath 一家 CDN 公司,該 CDN 公司在 2019 賣給其他公司,因此因為年代久遠配置不得宜導致沒有 301, 302 到 .com 去
3. OpenArk 下載顯示有病毒
> 這類工具經常被誤判,同時防毒軟體在多種情況下誤判也很正常 FYI https://github.com/BlackINT3/OpenArk/issues/175
4. PC Hunter 病毒
> 同上
5. 火絨安全有毒
> 同上
6. PSTools 有毒
> 同上,順便補充微軟中間有一行紫色提示框框
Some anti-virus scanners report that one or more of the tools are infected with a "remote admin" virus. None of the PsTools contain viruses, but they have been used by viruses, which is why they trigger virus notifications.
7. Sysinternals 有毒
> 同上
8. 7-zip.org 有毒
> 同上
補充資料:
https://forums.malwarebytes.com/topic/195557-did-malwarebytes-forum-change-its-domain/
淺看「TaiwanSupplyChainAttack 取證數據庫」 (3/6)
浪費了八分鐘之後,我決定浪費更多時間來看接下來 GPT 還寫了哪些東西
3. 核心級Rootkit植入技術
1. 偽造 TLS 憑證鏈
> 有沒有一種可能中華電信的 ePKI 以及 HiPKI 是你自然人憑證、銀行簽發委託中華電信的憑證中心簽發的軟體安裝的?
http://eca.hinet.net/index.htm
https://publicca.hinet.net/repository.htm
https://publicca.hinet.net/HiPKI-01.htm
https://chtca.hinet.net/repository.html
2. DNS 快取投毒?
> 有沒有投毒我不知道,但防止你連到詐騙網站上,另外這叫 RPZ 不叫什麼投毒
https://rpz.nog.tw/
3. 硬體供應鏈攻擊
> 這就很可怕了,請你幫我們 dump 出 boot.img 並告訴我們哪裡被篡改了,篡改了什麼?並且做了些什麼?
浪費了八分鐘之後,我決定浪費更多時間來看接下來 GPT 還寫了哪些東西
3. 核心級Rootkit植入技術
網路傳播機制:
中華電信網路架構實施之攻擊手法:
偽造TLS憑證鏈 (利用預置根憑證:
Chunghwa Telecom Co., Ltd. (ePKI Root Certification Authority)
Chunghwa Telecom Co., Ltd. (HiPKI Root CA - G1)
DNS快取投毒攻擊 (強制更新導向)
區域網路ARP欺騙攻擊 (針對網咖等高風險環境)
硬體供應鏈攻擊:
電信商銷售設備出廠即搭載經竄改之韌體映像檔(boot.img、vendor.img)
1. 偽造 TLS 憑證鏈
> 有沒有一種可能中華電信的 ePKI 以及 HiPKI 是你自然人憑證、銀行簽發委託中華電信的憑證中心簽發的軟體安裝的?
http://eca.hinet.net/index.htm
https://publicca.hinet.net/repository.htm
https://publicca.hinet.net/HiPKI-01.htm
https://chtca.hinet.net/repository.html
2. DNS 快取投毒?
> 有沒有投毒我不知道,但防止你連到詐騙網站上,另外這叫 RPZ 不叫什麼投毒
https://rpz.nog.tw/
3. 硬體供應鏈攻擊
> 這就很可怕了,請你幫我們 dump 出 boot.img 並告訴我們哪裡被篡改了,篡改了什麼?並且做了些什麼?
🤣4