#leaks 超过120GB的 Twitch 网站数据被泄露到网上:源代码、加密的密码、博主的报酬等 ——
就在几个小时前,Twitch 的120GB数据泄漏被发布到网上。
请马上更改您的密码并启用2fa。
泄露的Twitch数据包括:
Twitch的全部源代码与评论历史记录,可追溯到其早期;
2019年的创作者报酬报告;
移动、桌面和控制台Twitch客户端;
Twitch使用的专有SDK和内部AWS服务;
Twitch拥有的所有其他资产,包括IGDB和CurseForge;
亚马逊游戏工作室未发布的代号为Vapor的Steam竞争者;
Twitch内部的 "红队" 工具(旨在通过让员工假装成黑客来提高安全性)
就在几个小时前,Twitch 的120GB数据泄漏被发布到网上。
请马上更改您的密码并启用2fa。
泄露的Twitch数据包括:
Twitch的全部源代码与评论历史记录,可追溯到其早期;
2019年的创作者报酬报告;
移动、桌面和控制台Twitch客户端;
Twitch使用的专有SDK和内部AWS服务;
Twitch拥有的所有其他资产,包括IGDB和CurseForge;
亚马逊游戏工作室未发布的代号为Vapor的Steam竞争者;
Twitch内部的 "红队" 工具(旨在通过让员工假装成黑客来提高安全性)
#leaks 接昨天的消息:流媒体服务 Twitch 的源代码和各种其他数据,torrent,128GB。
Jeff Bezos 为此支付了9.7 亿美元,这里免费赠送:
magnet:?xt=urn:btih:N5BLZ6XECNEHHARHJOVQAS4W7TWRXCSI&dn=twitch-leaks-part-one&tr=udp%3A%2F%2Fopen.stealth.si%3A80%2Fannounce
Jeff Bezos 为此支付了9.7 亿美元,这里免费赠送:
magnet:?xt=urn:btih:N5BLZ6XECNEHHARHJOVQAS4W7TWRXCSI&dn=twitch-leaks-part-one&tr=udp%3A%2F%2Fopen.stealth.si%3A80%2Fannounce
cta-2021-1005.pdf
3.7 MB
Recorded Future:中文暗网主要是由在市场上经营的有经济动机的网络犯罪分子驱动。由于政府对网络犯罪的容忍度很低,而且经常进行打击,保持良好的操作安全性和匿名性对这些网络犯罪分子来说至关重要。
虽然中文暗网市场的产品种类繁多,但一般以泄露的数据和虚拟商品为主,在保持匿名的情况下容易买卖。
出于同样的原因,比特币是这些市场上的主要货币,而且这些市场一般与信息平台,特别是 Telegram 整合。
由于不断的执法行动,较低级别的市场通常会关闭和重新开放;一些更有经验的威胁行为者可能会迁移到国际的、成熟的暗网资源来开展业务。
尽管政府采取了打击行动,但中文的地下网络犯罪分子几乎肯定能找到生存和发展的途径。
这里是报告:Illegal Activities Endure on China’s Dark Web Despite Strict Internet Control
#China #darkweb
虽然中文暗网市场的产品种类繁多,但一般以泄露的数据和虚拟商品为主,在保持匿名的情况下容易买卖。
出于同样的原因,比特币是这些市场上的主要货币,而且这些市场一般与信息平台,特别是 Telegram 整合。
由于不断的执法行动,较低级别的市场通常会关闭和重新开放;一些更有经验的威胁行为者可能会迁移到国际的、成熟的暗网资源来开展业务。
尽管政府采取了打击行动,但中文的地下网络犯罪分子几乎肯定能找到生存和发展的途径。
这里是报告:Illegal Activities Endure on China’s Dark Web Despite Strict Internet Control
#China #darkweb
iMessage成为黑客的主要目标这是有原因的。每个苹果设备都默认包含该应用程序,它是预装的,而且它接受任何知道你号码的人发来的信息。没有办法卸载它,没有办法检查它,除了尽快下载每一个苹果安全更新外,用户没有任何办法抵御这种威胁。
那么,iMessage漏洞是谁干的?
📌https://iyouport.substack.com/p/-iphone-
那么,iMessage漏洞是谁干的?
📌https://iyouport.substack.com/p/-iphone-
iyouport
这个恐怖的 iPhone 黑客工具居然来自美国公司……
现在您的手机中这个预装的应用程序仍然是黑客最喜欢的目标。
Fastmail 现在可以隐藏您的电子邮件地址 ——
有时,您不希望您注册的应用程序和服务知道您的实际电子邮件地址。1Password 正在与 Fastmail 合作添加一项新功能,该功能将您的电子邮件地址隐藏在一次性地址后面,而您无需付出任何额外努力。
Fastmail 谈到在其网站上屏蔽您的电子邮件地址的价值时说,“您不会想把您的名字和家庭地址随便告诉任何人的。公司可以出售或泄露您的电子邮件地址。当您注册在线服务和商店时,使用唯一的电子邮件地址代替您的真实电子邮件可以增加隐私。”
至于检查您的电子邮件,Fastmail 会将您从隐蔽的电子邮件地址收到的所有邮件放入一个收件箱中。这样,您从您注册的服务中获得的所有垃圾信息和垃圾邮件都将集中在一处。另外,您可能会收到一些想要阅读的邮件,因此有一个干净的收件箱来检查它们是很好的。
需要注意的重要一点是,除非您手动删除别名,否则它们不会过期,因此您可以一直使用被隐蔽的电子邮件地址在您的应用程序和服务中。
https://www.fastmail.com/1password/
有时,您不希望您注册的应用程序和服务知道您的实际电子邮件地址。1Password 正在与 Fastmail 合作添加一项新功能,该功能将您的电子邮件地址隐藏在一次性地址后面,而您无需付出任何额外努力。
Fastmail 谈到在其网站上屏蔽您的电子邮件地址的价值时说,“您不会想把您的名字和家庭地址随便告诉任何人的。公司可以出售或泄露您的电子邮件地址。当您注册在线服务和商店时,使用唯一的电子邮件地址代替您的真实电子邮件可以增加隐私。”
至于检查您的电子邮件,Fastmail 会将您从隐蔽的电子邮件地址收到的所有邮件放入一个收件箱中。这样,您从您注册的服务中获得的所有垃圾信息和垃圾邮件都将集中在一处。另外,您可能会收到一些想要阅读的邮件,因此有一个干净的收件箱来检查它们是很好的。
需要注意的重要一点是,除非您手动删除别名,否则它们不会过期,因此您可以一直使用被隐蔽的电子邮件地址在您的应用程序和服务中。
https://www.fastmail.com/1password/
Fastmail
Connect 1Password
Free 30-day trial of Fastmail. Masked Email addresses made and managed in 1Password. Better security for all your signups, and get 25% off the first year of Fastmail.
事实证明,Apache中最近的一个漏洞创造了目录遍历攻击的可能性,实际上也可以允许RCE。
这只在通过mod_cgi启用CGI支持的Linux机器上工作。在这里,黑客可以通过目录遍历攻击的链条,以与Apache进程相同的权限执行任意代码。在重现已发布的 Apache PoC 的漏洞时,意外发现了这个问题。
#ThreatIntelligence
这只在通过mod_cgi启用CGI支持的Linux机器上工作。在这里,黑客可以通过目录遍历攻击的链条,以与Apache进程相同的权限执行任意代码。在重现已发布的 Apache PoC 的漏洞时,意外发现了这个问题。
#ThreatIntelligence
安全混沌工程 ——
安全混沌工程(SCE) 指的是通过主动的实验来识别安全控制上的故障,以建立对系统能力的信心,以抵御生产中的恶意场景 。
SCE填补了当代安全方法中的许多空白,如红紫队演习等。红紫队演习或其他安全测试方法仍然很有价值,但是面临上述提到的囧境,一切都不同了。
与单独实施相比,与SCE的结合提供了更客观、更主动的反馈机制,为系统应对不良事件做好准备。
红队起源于美国武装部队,可描述为一种“对抗的方法,以最真实的方式模仿攻击者的行为和技术”。
企业中常见的红队有两种形式,分别是白客攻击和渗透测试。在这些演习中,蓝队是红队的防守队伍。
紫队是红队演习的一种进化,“紫”字反映了红蓝组队的混合。
但这三种都有各自的缺陷。
SCE可以弥补这些缺陷,并提供了一些好处,包括:
- SCE对系统有更全面的关注。主要的目标不是欺骗其他人员或测试警报;相反,这是为了主动识别由复杂分布式系统所引起的系统安全故障,并建立信心。
- SCE利用简单的隔离和受控实验,而不是复杂的攻击链。当同时进行大量更改时,很难控制爆炸半径,也难以将信号与噪声区分开。SCE大大降低了噪声。
- SCE提供了一种协作式学习体验,其重点是构建更具韧性的系统,而不是对事件做出反应。
SCE不一定与红队或紫队的发现或意图竞争。然而,SCE确实增加了一层有效性、透明度和可重复性,可以显著提高这些实践的价值。
红队和紫队的练习,根本无法跟上CI/CD和复杂分布式环境的步伐。现在,软件工程团队在24小时内会交付多个产品更新。在红队或紫队练习中获得的结果,其相关性很快就会降低,因为在此期间系统可能已经发生了根本的变化。
如果您希望在安全领域有所深入,这本新书将能够帮助您详细理解SCE。
安全混沌工程(SCE) 指的是通过主动的实验来识别安全控制上的故障,以建立对系统能力的信心,以抵御生产中的恶意场景 。
SCE填补了当代安全方法中的许多空白,如红紫队演习等。红紫队演习或其他安全测试方法仍然很有价值,但是面临上述提到的囧境,一切都不同了。
与单独实施相比,与SCE的结合提供了更客观、更主动的反馈机制,为系统应对不良事件做好准备。
红队起源于美国武装部队,可描述为一种“对抗的方法,以最真实的方式模仿攻击者的行为和技术”。
企业中常见的红队有两种形式,分别是白客攻击和渗透测试。在这些演习中,蓝队是红队的防守队伍。
紫队是红队演习的一种进化,“紫”字反映了红蓝组队的混合。
但这三种都有各自的缺陷。
SCE可以弥补这些缺陷,并提供了一些好处,包括:
- SCE对系统有更全面的关注。主要的目标不是欺骗其他人员或测试警报;相反,这是为了主动识别由复杂分布式系统所引起的系统安全故障,并建立信心。
- SCE利用简单的隔离和受控实验,而不是复杂的攻击链。当同时进行大量更改时,很难控制爆炸半径,也难以将信号与噪声区分开。SCE大大降低了噪声。
- SCE提供了一种协作式学习体验,其重点是构建更具韧性的系统,而不是对事件做出反应。
SCE不一定与红队或紫队的发现或意图竞争。然而,SCE确实增加了一层有效性、透明度和可重复性,可以显著提高这些实践的价值。
红队和紫队的练习,根本无法跟上CI/CD和复杂分布式环境的步伐。现在,软件工程团队在24小时内会交付多个产品更新。在红队或紫队练习中获得的结果,其相关性很快就会降低,因为在此期间系统可能已经发生了根本的变化。
如果您希望在安全领域有所深入,这本新书将能够帮助您详细理解SCE。
行动者工具包:实例框架 ——
今年我们同时启动了多个行动主义教程:
关于武器和防护装备及战术技巧的《示威参与者指南》、
研究战略智慧和吸纳经验教训的《行动主义》、
作为部署战略图谱的培训教程和工具推荐的《信息行动主义》、
对行动者的完整教程《整体安全》,
以及非常多的和尽可能同步的全球反抗经验,详解;
这些知识都是专业级的,对于从未接受过相关培训的中国行动者来说,它们很重要。
老读者知道,IYP不断强调战略智慧,用技巧而不是蛮力,但这必须建立在丰富的经验和知识的基础上。幸运的是,您不必亲自身经百战,也能通过全世界行动者的实践获得丰富的经验,这就是IYP一直在为您提供的。
我们从来不会就一个具体行动方案进行战略指导,这是因为,如果我们没有直接参与行动,这样做会产生不平衡的风险;如果我们直接参与行动,我们就绝不能公开讲述这个问题,一旦提前说出,它就会失效。
更重要的是,您应该学会在具体事件中主动进行专业级的思考,而不是等待菜谱 …… 对我们来说,授人以渔,而非鱼,既能保护我们所有人的安全 —— 因为战略图在您的头脑中,您的对手无法偷走;也能帮您培养创造力 —— 出其不意,而非套路,将是您制胜的关键。
众所周知,对抗警察暴力的运动必需必然是一场持久战,在全球范围内,远非这半年多来的几百场冲突。对此,行动者应该相应地做好准备,从安防到进攻,从战术到心理。最近,MediaJustice 和 MPD150 共同创建了一个框架式的协作工具包,该工具包虽然以这一项战略目的为中心,但其包含的内容中大部分将适合非常多不同的反抗行动。
比如:
虚假信息、错误信息、恶意信息;
镇压战术之水壶 - 包括抗议运动中的水壶,和作为媒体战术的水壶;
警察审判中的媒体操纵:人格暗杀、误导性、削弱反抗力量等;
应对方式 - 社区协作、公民记录真相、信息人性化;
心理层面 - 行动者的自我提升,联盟和团结,角色分配和轮班、紧急联系 ……等等
所有这些我们都介绍过。该工具包将最必要的部分提炼出来,于是它可以构建一个思考框架,作为行动者社区在部署过程中的基础考虑。
下面将上传的是一个PDF和一个图片的打包文件,后者可供打印以便在您的亲密团队中使用。尤其是,我们非常建议中国的行动者团队对这些资源进行本地化处理,添加适合于您的行动计划的需求。
https://iyouport.substack.com/p/a99
今年我们同时启动了多个行动主义教程:
关于武器和防护装备及战术技巧的《示威参与者指南》、
研究战略智慧和吸纳经验教训的《行动主义》、
作为部署战略图谱的培训教程和工具推荐的《信息行动主义》、
对行动者的完整教程《整体安全》,
以及非常多的和尽可能同步的全球反抗经验,详解;
这些知识都是专业级的,对于从未接受过相关培训的中国行动者来说,它们很重要。
老读者知道,IYP不断强调战略智慧,用技巧而不是蛮力,但这必须建立在丰富的经验和知识的基础上。幸运的是,您不必亲自身经百战,也能通过全世界行动者的实践获得丰富的经验,这就是IYP一直在为您提供的。
我们从来不会就一个具体行动方案进行战略指导,这是因为,如果我们没有直接参与行动,这样做会产生不平衡的风险;如果我们直接参与行动,我们就绝不能公开讲述这个问题,一旦提前说出,它就会失效。
更重要的是,您应该学会在具体事件中主动进行专业级的思考,而不是等待菜谱 …… 对我们来说,授人以渔,而非鱼,既能保护我们所有人的安全 —— 因为战略图在您的头脑中,您的对手无法偷走;也能帮您培养创造力 —— 出其不意,而非套路,将是您制胜的关键。
众所周知,对抗警察暴力的运动必需必然是一场持久战,在全球范围内,远非这半年多来的几百场冲突。对此,行动者应该相应地做好准备,从安防到进攻,从战术到心理。最近,MediaJustice 和 MPD150 共同创建了一个框架式的协作工具包,该工具包虽然以这一项战略目的为中心,但其包含的内容中大部分将适合非常多不同的反抗行动。
比如:
虚假信息、错误信息、恶意信息;
镇压战术之水壶 - 包括抗议运动中的水壶,和作为媒体战术的水壶;
警察审判中的媒体操纵:人格暗杀、误导性、削弱反抗力量等;
应对方式 - 社区协作、公民记录真相、信息人性化;
心理层面 - 行动者的自我提升,联盟和团结,角色分配和轮班、紧急联系 ……等等
所有这些我们都介绍过。该工具包将最必要的部分提炼出来,于是它可以构建一个思考框架,作为行动者社区在部署过程中的基础考虑。
下面将上传的是一个PDF和一个图片的打包文件,后者可供打印以便在您的亲密团队中使用。尤其是,我们非常建议中国的行动者团队对这些资源进行本地化处理,添加适合于您的行动计划的需求。
https://iyouport.substack.com/p/a99
iyouport
(0)直接行动分步指南:它是什么、它有什么用、如何获得成功
(2021年4月13日存档)直接行动意味着省去中间人:自己解决问题,而不是向当局请愿或依赖外部机构。