每日安全简讯(20210105)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 纽约市教育局教师纪律系统遭勒索软件攻击

美国纽约市教育局教师纪律系统遭到勒索软件攻击，导致系统瘫痪。为纽约市教育局提供听证笔录的承包商Ubiqus集团表示，在2020年12月4日遭到勒索软件攻击，作为预防措施，已经关闭了所有运营网站的所有IT系统。此次攻击导致纽约市针对被控能力不足或行为不端终身教育工作者的解雇听证会被迫关闭。


https://nypost.com/2021/01/02/cy ... isciplinary-system/

---

2 PayPal短信网络钓鱼活动试图窃取用户凭据

一项PayPal短信网络钓鱼活动正在进行中，该活动试图窃取用户帐户凭据和其他可用于身份盗用的敏感信息。短信钓鱼活动冒充PayPal，声称用户账户已经被永久限制，除非通过点击链接验证账户。点击附带链接后，将进入一个钓鱼页面，提示登录用户帐户，用户输入的PayPal凭据将被发送给攻击者。网络钓鱼页面还会尝试从用户收集更多详细信息，包括姓名、出生日期、地址、银行详细信息等等。


https://www.bleepingcomputer.com ... account-is-limited/

---

3 Radnor组织警告Covid-19疫苗接种邮件骗局

英国波伊斯Radnor妇女组织警告Covid-19疫苗接种电子邮件诈骗活动。该骗局冒充NHS（英国国家医疗服务体系）发送电子邮件，声称接收者想要接种Covid-19疫苗，需要填写一份表格，要求提供个人信息，以及银行账户的详细信息以便付款。


https://www.countytimes.co.uk/ne ... ovid-19-email-scam/

---

4 研究人员在暗网发现100万个游戏公司账户

安全研究人员在暗网发现50万名被入侵的游戏公司员工证书和100万个被入侵的游戏公司内部账户。研究人员通过调查发现，在这100万个涉及员工和客户资源的被入侵账户，其中一半在去年已被公开出售。在所研究的25家顶级游戏公司中，几乎都发现了与内部资源（如管理面板、VPN、Jira实例、FTP、SSO、开发者相关环境等）相关联的被入侵账户。研究人员表示这可能会使这些公司面临客户数据被盗、间谍活动、勒索软件攻击等安全风险。


https://www.infosecurity-magazin ... mpromised-accounts/

---

5 微软未发布的Core Polaris操作系统在线泄漏

微软未发布的Windows Core Polaris操作系统的开发版本在网上泄露。泄漏者称为“Scamdisk”，Scamdisk还曾发布了Windows 7、Windows 8、Windows 10和Windows Server的机密版本。Polaris版本可追溯到2018年，专为低端设备而开发。在开始开发名为“ Windows 10X ”的操作系统后，微软取消了Polaris的开发。


https://www.bleepingcomputer.com ... is-os-leaks-online/

---

6 Apple仍未修复某些用户的iOS 14通知错误

IOS 14发布以来一直存在一个通知问题，但在iOS 14.3中该问题仍然未完全解决。一些使用Apple Watch的用户注意到，当通知发送到他们的手表时，但iPhone并没有收到通知。这使得只使用iPhone的用户将错过这些通知。在iOS 14.3中包含一个修复程序，其提到可修复可能未收到某些彩信消息的错误，但并未提及通知问题。


https://www.zdnet.com/article/ap ... bug-for-some-users/

---