HackerNews.cc 24 日消息，安全公司 

RedLock 研究人员发现 Google Groups 在线服务出现配置错误，导致 IBM’s Weather Company 、Fusion Media Group、协助桌面支持服务提供商 Freshworks 与视频广告平台 SpotX 等数百家企业机密数据在线曝光。

Google Groups 作为企业协作工具与交流平台，负责团队通信维护与邮件管理。当这些电子邮件组被设置为公开状态而非内部共享时，无需成为内部成员即可公开查看成员之间发送的内部消息。

RedLock 研究人员发现，此次事件致使受害企业员工电子邮件地址与内容，以及员工薪酬补偿、销售渠道数据、客户密码、姓名与家庭地址等个人身份信息在线泄露，可供全球用户任意查看。

值得深思的是，引发这起数据泄露事件并非安全漏洞，仅是 Google Groups 功能设置。但这一事件表明，任何一次操作疏忽都将对企业产生毁灭性影响。一旦网络犯罪分子获取这些企业信息，就可用来劫持企业帐户、开展网络钓鱼攻击以及在线泄露敏感谈话内容等。

目前，为防止数据信息再次泄露，研究人员建议各企业立即检查 Google Groups 设置，以确保域名访问权限切换至内部成员使用。

来源：hackernews

据福布斯报道，针对 Mac 设备的恶意软件爆发现象不常见。但一旦出现，便会立即引起人们的关注。前美国国家安全局员工、现就职于网络安全公司 Synack 的 Patrick Wardle 表示，据调查发现，部分 Mac 用户遭到了一种叫做 FruitFly 恶意监控软件的入侵。

据其统计，约有 400 台左右的设备感染了这一恶意软件，但由于他只找出了部分用于控制恶意软件的服务器，因此这一数字还将继续上升。

通过追查黑客曾利用过的域名备案，Patrick Wardle 发现了 FruitFly 的受害者，而这些域名都是被黑客盗用的。他可以由此查出受害者的 IP 地址，据其透露其中 90％ 的设备位于美国境内。而他也可以看到受害者 Mac 设备的电脑名称，所以甚至可以具体指出是哪一台 Mac 设备感染了 FruitFly。

他认为，监视是 FruitFly 的主要目的，通过入侵用户的网络摄像头来进行窥视并截图。与普通网络犯罪类型不同，它没有弹出广告、键盘记录器或是勒索软件。当用户在 Mac 设备上活动时会提醒黑客，并且它也可以模拟鼠标点击和键盘事件。

Patrick Wardle 表示，这似乎是一款老式的恶意软件，因为在其代码中有对 Mac OS X Yosemite 更新的引用，而这一系统最初发布于 2014 年。这也意味着在此之前这一恶意软件就已经存在了。

苹果目前尚未就这一报道做出回应。

来源：威锋网

谷歌研究人员近期仍在调查赛门铁克旗下证书颁发机构在过去几年里错误和违规签发数字证书的问题。不过在这个时候却有其他安全研究人员通过钓鱼的方式发现赛门铁克公司在吊销证书时并未按照规定操作。

该研究人员注册新域名后向赛门铁克和科莫多申请证书，在此过程中两家公司都给签发了数字证书。紧接着这名研究人员伪造对应证书的伪造私钥上传 Pastebin 网站，然后开始向赛门铁克和科莫多申请撤销证书。

正常情况下如果数字证书的私钥泄露了那么应该立刻联系证书颁发机构将对应的数字证书吊销防止出现问题。因此赛门铁克在收到这名研究人员的申请后立刻吊销证书，而科莫多在收到申请后却没有将对应证书吊销。但别忘了本身研究人员发给赛门铁克的就是伪造私钥， 赛门铁克直接吊销了证书说明该公司并没有去验证私钥。

按照既定流程颁发机构只有在验证申请者身份或者其他资料后才可以将对应的数字证书加入到证书吊销列表。但是赛门铁克在未经验证的情况下直接将证书吊销， 这个操作不但不符合要求而且还可能造成极大的危害。例如研究人员直接伪造私钥后向赛门铁克申请吊销搜狗的证书， 赛门铁克就会直接吊销。随后，大家在访问搜狗时就会直接出现拦截提醒， 因为搜狗证书已被作废并不再被任何浏览器信任。

当然如果真的去申请吊销大公司的证书不大可能实现， 但是如果去申请吊销中小网站的搞不好就真的会成功。谷歌和 Mozilla 要求赛门铁克改善基础设施提高安全，同时谷歌也提出需要对赛门铁克执行惩罚性措施。目前，惩罚性措施主要包括缩短赛门铁克签发证书的有效期， 同时还包括暂停信任赛门铁克的 EV 扩展验证证书。

来源：蓝点网