在网络安全、网络隐私和数据保护领域，每个月都有这么多事情发生。很难跟上！

我们的每月安全摘要将帮助您每月关注最重要的安全和隐私新闻。以下是11月份发生的事情。

1万豪国际遭遇5亿记录数据泄露

和以往一样，本月底最热门的一条安全新闻也会出现。

11月底，万豪国际酒店集团（Marriott International hotel group）披露了一个巨大的数据泄露事件。自2014年以来，由于攻击者访问了万豪国际喜达屋分部网络，据信多达5亿条客户记录受到影响。

万豪国际于2016年收购喜达屋，打造全球最大的连锁酒店，拥有5800多处房产。

泄漏对不同的用户意味着不同的事情。但是，每个用户的信息包含以下组合：

• 姓名
• 地址
• 电话号码
• 电子邮件地址
• 护照号码
• 账户信息
• 出生日期
• 性别
• 到发信息

也许最重要的是万豪透露，一些记录包括加密的卡信息——但也不能排除私钥也被盗的可能。

长短不一的是：如果您在2018年9月10日之前入住喜达屋万豪酒店，包括分时度假酒店，您的信息可能已被泄露。

万豪正在采取措施，通过提供一年的免费订阅WebWatcher来保护可能受到影响的用户。美国公民还将免费获得欺诈咨询和报销。目前，共有三个报名网站：

• 美国
• 加拿大
• 大不列颠联合王国

否则，请查看以下三种简单的方法，以便在发生重大漏洞后保护您的数据。

2注入加密窃取恶意软件的事件流javascript库

一个每周下载量超过200万次的JavaScript库被注入了旨在窃取加密货币的恶意代码。

事件流存储库，一个简化节点.js发现流模块包含模糊代码。当研究人员对代码进行除臭后，很明显它的目标是比特币盗窃。

分析表明，该代码的目标库与移动和桌面的Copay比特币钱包相关。如果系统上存在Copay钱包，则恶意代码会试图窃取钱包内容。然后它尝试连接到一个马来西亚IP地址。

在最初的开发人员Dominic Tarr将库的控制权交给另一个开发人员right9ctrl之后，恶意代码被上传到事件流存储库。

Right9ctrl几乎在控制权移交后就上传了一个新版本的库，这个新版本包含针对Copay钱包的恶意代码。

然而，从那时起，right9ctrl已经上传了该库的另一个新版本——没有任何恶意代码。新上传的同时，Copay也更新了他们的**和桌面钱包软件包，以消除恶意代码所针对的JavaScript库的使用。

三。亚马逊在黑色星期五前几天遭遇数据泄露

就在今年最大的购物日（当然除了中国的光棍节）前几天，亚马逊遭遇数据泄露。

"We're contacting you to let you know that our website inadvertently disclosed your name and email address due to a technical error. The issue has been fixed. This is not a result of anything you have done, and there is no need for you to change your password or take any other action."

很难估量漏洞的确切细节，因为，好吧，亚马逊并没有告诉我们。然而，英国、美国、韩国和荷兰的亚马逊用户都收到了亚马逊的电子邮件，这是一个相当全球性的问题。

用户可以得到一些安慰，因为导致数据泄露的是亚马逊的技术问题，而不是对亚马逊的攻击。发布的信息也不包含任何银行信息。

不过，亚马逊表示受影响的用户无需更改密码的消息显然是错误的。如果您受到亚马逊数据泄露的影响，请更改您的帐户密码。

4自我加密三星和关键的ssd漏洞

安全研究人员发现了三星的多个关键漏洞和关键的自加密固态硬盘。研究小组测试了三个关键的固态硬盘和四个三星固态硬盘，发现每种型号的关键问题。

荷兰Radboud大学的安全研究人员Carlo Meijer和Bernard van Gastel发现了硬盘实现ATA security和TCG Opal的漏洞[PDF]，这两个漏洞是在使用基于硬件的加密的ssd上实现加密的两个规范。

有各种各样的问题：

• 密码和数据加密密钥之间缺少加密绑定意味着攻击者可以通过修改密码验证过程来解锁驱动器。
• 关键的MX300有一个由**商设置的主密码——这个密码是一个空字符串，例如，没有。
• 利用SSD恢复三星数据加密密钥。

令人不安的是，研究人员表示，这些漏洞可能非常适用于其他型号以及不同的SSD**商。

想知道如何保护你的硬盘吗？下面介绍如何使用开源加密工具VeraCrypt保护数据。

5苹果支付恶意广告活动的目标是iphone用户

iPhone用户是苹果支付（applepay）正在进行的恶意宣传活动的目标。

该活动试图通过两个弹出式钓鱼窗口重定向和欺骗用户的Apple Pay凭据，攻击源于通过iOS访问的一系列高级报纸和杂志。

这种被称为PayLeak的恶意软件将毫无戒心的iPhone用户点击恶意广告后，送到中国注册的域名。

当用户到达域时，恶意软件会检查一系列凭据，包括设备运动、设备类型（Android或iPhone）以及设备浏览器是Linux x86_64、Win32还是MacIntel。

此外，恶意软件会检查设备是否存在任何防病毒或反恶意软件应用程序。

如果满足了正确的条件，Android用户将被重定向到一个声称该用户赢得了Amazon礼品卡的钓鱼网站。

不过，iPhone用户会收到两个弹出窗口。第一个警报是iPhone需要更新，第二个警报则通知用户他们的applepay应用程序也需要更新。第二个警报与远程命令和控制服务器共享Apple Pay信用卡信息。

6100万儿童追踪器手表

至少有一百万个支持全球定位系统的儿童跟踪手表卖给了有漏洞的父母。

笔测试合作伙伴的研究详细说明了一系列的安全问题与极受欢迎的米萨菲儿童安全手表。支持GPS的手表可以让父母随时追踪孩子的位置。

然而，安全研究人员发现，设备ID号——因此，用户帐户——是可以访问的。

通过访问该帐户，安全团队可以找到孩子，查看孩子的照片，收听孩子与父母之间的对话，或者给孩子自己打电话或发信息。

"Our research was carried out on watches branded 'Misafes kids watcher' and appears to affect up to 30,000 watches. However, we discovered at least 53 other kids tracker watch brands that are affected by identical or near-identical security issues."

针对儿童的智能设备的漏洞并不是一个新问题。然而，这仍然是一个令人担忧的问题。

“那么如何为孩子购买安全的智能玩具呢？“你不知道，”黑客一号的IT工程师亚伦·赞德说但如果必须的话，不要选择最便宜的选择，尽量减少视频、Wi-Fi和蓝牙等功能。此外，如果你真的有一个装置，而且它确实存在安全缺陷，那么联系你的**代表，写下你的监管机构，对它大肆宣扬，这是它变得更好的唯一途径。”

11月安全新闻综述

这是2018年11月的六大安全事件。但是发生了更多的事情；我们只是没有足够的空间来详细列出。下面是上个月出现的五个更有趣的安全故事：

• 日本网络安全战略副局长透露，他从未使用过电脑。
• 国家恶意软件Stuxnet攻击伊朗的设施和组织（再次）。
• 黑客发现iPhone X、三星Galaxy S9和小米Mi6设备存在零日漏洞。
• 微软修补了一个Windows零日漏洞，该漏洞用于各种黑客组织的多次攻击。
• Pegasus高级间谍软件被用来攻击墨西哥的调查记者。

又一轮网络安全新闻旋风。网络安全的世界在不断变化，及时了解最新的漏洞、恶意软件和隐私问题是一项艰巨的任务。

这就是为什么我们每个月都会为你收集最重要、最有趣的新闻。

在下个月初——也就是新的一年的开始——回来看看你2018年12月的安全综述。下个月还将在安全综述中看到MakeuseOf2018年。同时，看看这五个提示和技巧来保护你的智能设备。

图片来源：Karlis Dambrans/Flickr