史上最大规模的DDoS攻击试图瘫痪俄罗斯科技巨头Yandex

（ChinaIT.com讯）随着德克萨斯州 SB 8堕胎法激起阵阵涟漪，人们对互联网基础设施公司的关注度显著下降。多家托管和域名注册提供商以违反第三方数据收集相关服务条款为由，拒绝向某堕胎举报网站提供服务。该网站专注于收集人们在德克萨斯州遭遇、实施或促成堕胎方面的信息，目前已关闭一个多星期。

与此同时，随着苹果公司扫描 iPhone 中儿童性虐待材料的计划引起争议且已搁浅，WhatsApp 本周决定堵上其最大的端到端加密漏洞。无处不在的安全通信平台无法在数字服务中随时查看您的消息，但如果您在第三方云服务（如 iCloud 或 Google Cloud）上备份了聊天记录，则这些消息不会经过端到端加密。最终，这类服务设计了一种巧妙的方法，能够在备份发送到云端进行存储前对其进行加密。

在将一位激进分子的 IP 地址交给执法部门后，安全电子邮件服务公司 ProtonMail 本周表示，他们正在更新安全策略，以进一步明确可合法收集的客户元数据。不过，该公司强调，通过其平台发送的电子邮件内容始终会经过端到端加密，且不可读取，即使是 ProtonMail 本身也不行。

在911恐袭20周年之际，隐私研究人员仍在关注这一悲剧事件对美国监控态度的持续影响。

Yandex 遭遇史上最大规模的 DDoS 攻击

俄罗斯科技巨头 Yandex 本周表示，该公司在8 月和9 月遭受了互联网有史以来最大规模的分布式拒绝服务(DDoS)攻击。试图瘫痪系统的垃圾流量洪潮在9 月5 日达到顶峰，但 Yandex 成功抵御了这一波史无前例的攻击。该公司在一份声明中说：我们的专家确实成功击退了每秒近2200万次请求的创纪录攻击。这是互联网史上规模最大的攻击。

俄罗斯 TrickBot 黑客据称在疫情后被捕，护照问题将他困在韩国

上周，一名效力于臭名昭著的恶意软件团伙 TrickBot 的俄罗斯国民在首尔国际机场被捕。该男子被当地媒体称为 A 先生，在韩国逗留超过一年半后，他试图飞往俄罗斯。A 先生于2020年 2月抵达首尔，此后因新冠疫情防控方面的国际旅行限制而无法离开首尔。在此期间，因护照过期，A 先生不得不寄居在首尔的一套公寓内，同时与俄罗斯大使馆联系，希望更换护照。与此同时，美国执法官员开始对 TrickBot 的活动展开调查，该团伙开发的、涉嫌协助2020年一连串勒索软件攻击的僵尸网络成为调查重点。调查官员收集了 A 先生为 TrickBot 效力的证据，包括可能在2016年参与开发了一款恶意浏览器工具。

麦当劳大富翁VIP 游戏数据库被泄露给获奖者

麦当劳大富翁VIP 游戏英国版出现漏洞，导致游戏数据库的用户名和密码被泄露给所有获奖者。该漏洞致使游戏生产和登台服务器的数据出现在兑奖邮件中。泄露的信息包括 Microsoft Azure SQL 数据库详情和凭据。获得凭据的获奖者可能因防火墙保护而无法登录生产服务器，但可以访问登台服务器，并可能取得获奖码，从而兑换更多奖品。

黑客泄露500,000个 Fortinet VPN 密码

黑客发布了500,000个 Fortinet VPN 凭据、用户名和密码，这些数据显然是去年夏天从存在安全漏洞的设备中窃取的。造成数据泄露的漏洞很快修补妥当，但一些被盗的凭据可能仍然有效。借助这些凭据，攻击者可登录组织的 Fortinet VPN，访问他们的网络以安装恶意软件、窃取数据或发起其他攻击。此次数据泄露由勒索软件团伙 Orange无偿实施。Fortinet 在发给 Bleeping Computer的一份声明中表示：CVE-2018-13379是 2019年 5月解决的旧漏洞。如果客户尚未解决，应尽快完成升级和补丁安装。

来源：WIRED