安全

Unix之父Ken Thompson 的密碼在4天內被破解

最近,開發人員 Leah Neukirchen 在博客中稱,Unix 之父 Ken Thompson 的舊密碼被破解了。這是什么情況呢?早在 2014 年時,Leah 在 BSD 3 源碼樹的文件轉儲中發現了一個 /etc/passwd 文件,其中包含了計算機領域中一些具有傳奇性的工程師的舊密碼,如Dennis Ritchie、Ken Thompson、Brian Kernighan、Steve Bourne 和 Bill Joy 等開發 Unix 的大師。

主流虛擬化平臺QEMU-KVM被曝存在漏洞 可完全控制母機及其虛擬機

近日,研究人員發現主流虛擬化平臺QEMU-KVM存在嚴重漏洞,攻擊者利用該漏洞在一定條件下可通過子機使母機崩潰,導致拒絕服務,甚至完全控制母機和母機上其他商戶虛擬機。據悉,這個漏洞很可能將影響到Google、Amazon等國際公司及國內眾多知名廠商。

國際刑警組織報告:勒索軟件仍是網絡安全最大威脅

總部設在荷蘭海牙的歐洲刑警組織9日與國際刑警組織共同發布報告說,勒索軟件仍是網絡安全最大威脅,全球各界需加強合作打擊網絡犯罪。

美國參議員向維薩和萬事達施加壓力 要求它們撤出Facebook區塊鏈項目

立法者已經開始積極向天秤座協會成員施加壓力,以重新考慮它們與該組織的合作。天秤座協會是由Facebook領導的國際區塊鏈支付項目。在寄給Visa,Mastercard和Stripe首席執行官的一封新信中,參議員Brian Schatz和Sherrod Brown警告天秤座項目存在巨大風險,包括方便犯罪和恐怖分子融資以及破壞全球金融體系的穩定。

[圖]四款D-Link路由器發現無法修復的漏洞 唯一選擇是棄之不用

DIR-652,DIR-655,DIR-866L和DHP-1565這四款D-Link路由器中發現了嚴重的安全漏洞。如果你不幸的擁有這四款路由器中任意一款,那么為了你的安全唯一的選擇就是棄之不用,因為這個漏洞永遠無法修復。

研究人員在PDF加密方式中發現兩個主要的安全漏洞

來自波鴻魯爾大學和明斯特大學的研究人員在 PDF 加密方式中發現了兩個主要的安全漏洞。PDF 文檔常被使用加密方案,確保只有目標收件人才能看到私人文檔,除此之外,醫生、律師甚至公司也已開始使用該方法保護隱私。但是現在看來,此類文檔的加密方案具有兩個主要漏洞,研究人員將它們稱為單個 PDFex 漏洞的兩個變體。

U盤仍是企業計算機安全風險的主要威脅

一份最新報告顯示,盡管云存儲興起,87%企業仍在使用USB驅動器。加密驅動器制造商Apricorn的研究表明,58%的公司和組織不使用端口控制或白名單軟件來管理USB設備的使用,而26%的用戶不使用基于軟件的加密。

一封公開信敦促議會規管亞馬遜視頻門鈴公司與警方的合作

亞馬遜視頻門鈴公司Ring在全美擁有500多個警方合作伙伴關系,而民權組織聯盟則呼吁地方政府取消所有這些伙伴關系。周二,專注于技術的非營利組織“為未來而戰”(Fight For the Future)向美國民選官員發表了一封公開信,讓人們擔憂Ring的警察伙伴關系及其對隱私的影響。

Whatsapp被曝漏洞 一張GIF動圖黑客便可接管賬戶

近日,Facebook旗下即時通訊工具WhatsApp修復了一個安全漏洞,此前通過該漏洞,黑客可以用惡意GIF動圖入侵該軟件。當用戶在他們的圖庫中打開一個惡意GIF動圖時,就可能觸發黑客攻擊。GIF被打開后,Whatsapp軟件里面的內容可能會被盜用,包括用戶個人信息、聊天記錄等。

俄羅斯黑客修改Chrome和Firefox瀏覽器安裝程序以追蹤用戶

瀏覽器制造商正在實施一些功能,如HTTPS和TLS加密,以防止站點通過各種技術來跟蹤用戶。但是,世界各地黑客喜歡與安全專家和軟件開發人員一起玩貓捉老鼠的游戲。來自俄羅斯一個特別臭名昭著的團體將計就計,他們在用戶安裝Web瀏覽器同時,即時修改這些Web瀏覽器,為加密流量添加所謂“指紋”功能,以實時跟蹤用戶和其使用的電腦。

高田氣囊仍在作祟 澳大利亞要求2萬輛汽車停止上路

澳大利亞消費者監督機構日前將2萬輛配置問題高田氣囊的汽車列為特別不安全(critical)級別,并敦促這2萬輛汽車的車主立即停止開車上路。受影響的車型品牌包括寶馬、通用、霍頓、本田、三菱和豐田。澳大利亞競爭與消費者委員會(ACCC)表示,共有425971輛汽車仍在強制召回中,受到召回影響的顧客不要駕駛自己的問題汽車,并建議顧客把汽車拖運到汽車經銷商處,免費更換安全氣囊。

浪子回頭 HildaCrypt勒索軟件開發者免費發布解密密鑰

勒索軟件是一個網絡上的世界性問題,對于受害者而言,可能很難知道即便乖乖付款也是否會幫助他們重新獲得對其惡意加密文件的訪問權限。因此,當免費釋放勒索軟件解密密鑰時,對他們而言總歸是一個好消息,而這正是勒索軟件HildaCrypt的最新動態。

[圖]PDF加密協議發現嚴重漏洞 無需密碼可獲取明文內容

正如你所預期的,PDF文檔加密功能在商業領域被廣泛使用,它通常用于保護商業秘密,機密圖像以及健康記錄。甚至為了提高安全性,有些企業會以加密PDF附件的形式來發送電子郵件。

法國擬推出人臉識別身份證項目

據報道,法國將成為第一個使用面部識別技術為公民提供安全的數字身份的歐洲國家。馬克龍政府表示,為提高效率,計劃在11月份推出一個名為“Alicem”的身份證項目,比原計劃的圣誕節提前1個月。

超200億虧損之后 蔚來又陷“隱私泄漏”風波

繼因巨額虧損登上熱搜后,近日,蔚來再因被爆料泄漏用戶隱私而登上熱搜。自9月26日起,@王銅根 @軾界 @摔丸子 等微博認證車評人發文指責蔚來涉嫌記錄車主形成數據,并泄漏私密旅程信息。

黑客竊取了超過2.18億個Zynga“Words with Friends”玩家數據

一名巴基斯坦黑客曾于今年早些時候成為頭條新聞,因為他們公開出售在將近45種流行在線服務中盜取的近10億條用戶記錄,而最近他們又有“斬獲”,聲稱已入侵了流行的移動社交游戲公司ZyngaInc。Zynga目前的市值超過50億美元,是全球最成功的社交游戲開發商之一,擁有超過10億美元的熱門在線游戲集合,包括FarmVille,Words With Friends,Zynga Poker,Mafia Wars和CaféWorld等。

家中攝像頭突然說話 “智能”與“安全”如何共舞?

昨天,一則關于“家中攝像頭突然說話”的新聞持續霸榜微博熱搜。據《全球時報》報道,美國一對夫婦的Nest智能家居攝像頭突然與他們說話,無論是重啟電源還是修改密碼都無所功用,最后聯系運營商修改了網絡ID才得以恢復平靜。

電動車充電事故頻發 罪魁禍首都有哪些?

生活中,電動車的身影無處不在,大街小巷不停穿梭,不得不說,電動車的出現給人們的日常生活帶來了諸多的便利,可是便利的背后,也存在著許多安全的隱患。就拿電動車日常充電來說,大家可能都知道當電動車一旦發生著火,其燃燒起火且短時間內產生的高溫都來得讓人措手不及。那么到底是什么原因造成的充電事故呢?

SIM卡又出現新漏送 可盜取用戶短信和電話位置信息

前不久,SIM卡被曝出存在一個嚴重的漏洞Simjacker,使得遠程攻擊者可以在用戶不知情的情況下發送短信攻擊目標手機并監控受害者。 目前,安全研究人員有發現了另外一個SIM卡漏洞,可發送短信和電話位置數據信息。

一種難以被Windows Defender檢測到的惡意軟件正在快速傳播

微軟和思科Talos表示,一種新的,難以被反病毒軟件發現的惡意軟件正在積極開發中,目前正在歐洲和美國的數千臺計算機中傳播。該惡意軟件被微軟稱為Nodersok,或被Cisco Talos稱為Divergent。

工信部就網絡安全產業發展征意見:2025年規模超2000億

9月27日,工信部官網刊載《關于促進網絡安全產業發展的指導意見(征求意見稿)》(以下簡稱“《意見》”),面向社會公開征求意見。《意見》提出,到2025年,培育形成一批年營收超過20億的網絡安全企業,形成若干具有國際競爭力的網絡安全骨干企業,網絡安全產業規模超過2000億。

黑客入侵了一對夫婦的Nest設備 將溫度調至90華氏度并播放低俗音樂

據外媒BGR報道,近日一個奇怪的故事提醒人們將日常家用物品連接到互聯網可能帶來的風險:黑客最近入侵了密爾沃基一對夫婦的智能家居系統,隨后他們開始制造麻煩以獲得一點樂趣。

美國外賣服務DoorDash數據泄露:影響490萬人

北京時間9月27日早間消息,美國外賣服務DoorDash周四宣布,一項安全漏洞暴露了該公司大約490萬客戶、商家和送貨員的個人數據。

谷歌發布全新數據庫 以幫助檢測深度假冒視頻音頻

許多人擔心全新深層偽造技術出現,讓人很難分辨音頻、視頻和圖像真假。現在,谷歌希望更輕松幫助人們地知道這些東西是真實的還是偽造的,并為檢測音頻、視頻和圖像真偽做出貢獻。谷歌表示,盡管許多假冒視頻和圖像本來是幽默的,但它們有可能對個人和社會造成危害。

滴滴:配合警方辦理黑產案20宗 抓捕279名犯罪嫌疑人

滴滴今日上線第五期有問必答,重點聚焦司機和乘客關心的作弊問題。滴滴業務安全負責人、反作弊專家北海詳細解釋了平臺的反作弊打擊體系,并廣泛征集意見與建議,誠邀公眾積極向平臺舉報作弊線索。

一測試成績查詢網的開發者被指將考生數據直接寫在源碼里

昨晚開始程序員圈子里突然被陜西普通話等級查詢網刷屏,這個非常簡陋的網站為什么突然引起大量程序員關注?當該網站的源代碼被打碼截圖發出后無疑引起無數程序員震驚,這個網站竟然把所有考生數據直接寫在源代碼里!

研究發現與俄羅斯情報部門有關的黑客之間很少共享代碼

兩家安全公司Check Point和Intezer Labs共同撰寫了一份報告。這份報告顯示,俄羅斯政府資助的黑客組織很少彼此共享代碼,他們如果共享代碼,這些代碼通常是由同一情報機構管理的組織內部代碼。

黑客創建虛假退伍軍人招聘網站 用惡意軟件感染受害者的電腦

據外媒CNET報道,思科Talos團隊周二表示,一個黑客組織創建了一個假裝幫助美國退伍軍人尋找就業機會的虛假老兵招聘網站,并通過惡意軟件感染受害者的電腦。Talos團隊在博客文章中稱,該網站名為hiringmilitaryheroes.com,要求用戶下載一個偽造的安裝應用程序,該應用程序部署了惡意軟件和惡意間諜工具。

谷歌從其商店中刪除了2個自拍相機應用程序 內含惡意廣告軟件

谷歌從其Play商店中刪除了包含惡意廣告軟件的2款應用程序。兩者都是自拍相機應用程序,下載量總計超過150萬。之前,移動安全公司Wandera研究人員在Google商店中發現了這兩個應用。第一款應用是Sun Pro Beauty Camera,下載量超過一百萬次,第2款應用是Funny Sweet Beauty Selfie Camera,下載量超過50萬次。

[圖]STOP:過去1年最猖獗的勒索軟件 通過破解軟件肆意傳播

你是否聽說到STOP勒索軟件?或許答案是否定的,畢竟目前沒有太多關于該勒索軟件的報道,也沒有大多數安全研究人員涉及,而且它主要是通過破解軟件、廣告軟件包和暗網等渠道進行感染傳播的。

男子支付寶凌晨被異地登錄 醒來后發現三張銀行卡被盜走1.6萬元

2019年9月16日,在江西撫州,一名男子萬先生的支付寶凌晨被異地登錄,他第二天醒來后發現支付寶綁定的三張銀行卡共被盜走1.6萬。據萬先生說,事發當時大概是晚上12:00的時候,他睡著了,醒來后發現手機里面有很多短信,在中國建設銀行APP上發現有兩條轉賬信息都是5000元,便趕緊把其他的銀行APP打開。

用戶遭騷擾質疑隱私被航旅縱橫泄露 回應稱用戶有開關自主權

9月22日消息,針對用戶關于平臺隱私泄露的質疑,航旅縱橫今天發布微博回應稱,該功能是默認關閉的,在本人沒有開通虛擬身份前,他人無法看到用戶的信息。用戶可以隨時修改、刪除虛擬身份,關閉該功能。用戶對該功能有開啟關閉的自主權。

美國FBI逮捕兩名騙子 涉嫌以PC技術支持為由進行詐騙

美國聯邦調查局已逮捕兩名技術支持詐騙犯,罪名是從2015年3月至2018年12月,詐騙7500多名受害者1000多萬美元,其中大部分受害者是老年人。這兩名詐騙犯于9月18日被捕,被指控犯有電匯欺詐和串謀欺詐行為。每項指控最高可判處20年監禁。

網信辦等部門治理App超范圍收集信息、過度索權

今年1月,中央網信辦、工信部、公安部、市場監管總局四部門聯合發布《關于開展App違法違規收集使用個人信息專項治理的公告》,成立了App違法違規收集使用個人信息專項治理工作組。

升級漏洞受攻擊者“青睞”即時通信軟件被劫持用于傳播病毒

近日,火絨安全團隊在用戶現場截獲一起利用阿里旺旺升級漏洞,通過HTTP劫持植入病毒的攻擊事件,攻擊者可利用該漏洞下發任意代碼。截止到目前,從阿里官方下載的阿里旺旺新、舊兩個版本(買家版)均存在此漏洞。

工信部:32款應用和網站未經同意收集使用用戶信息

工信部在其官網發布工業和信息化部關于電信服務質量的通告(2019年第3號),以下為全文:

工業和信息化部關于電信服務質量的通告(2019年第3號)

誰在賣我的隱私數據?不賣了!整個行業都快被抓沒了

大數據,可謂是眼下各個領域都需要的資源,也因此,從事大數據服務的公司越來越多,這是一門“好生意”。不過,這門“好生意”在最近這段時間卻波瀾起伏,大量數據公司相繼被查,而原因則是這些數據公司涉嫌販賣個人隱私。

[圖]16款防病毒軟件橫評:僅Defender等6款達到100%的防護能力

專門測試各種防毒軟體的奧地利非營利機構AV-Comparatives,本周公布了Windows上的防毒軟體測試排行榜,該組織在64位的Windows 10 Pro平臺上以352個案例,來測試市面上的16款防毒軟件,顯示其中的6款達到100%的防護能力。

數據庫泄露了厄瓜多爾大多數公民的數據 其中包括670萬兒童

ZDNet了解到,由于數據庫配置錯誤,厄瓜多爾大部分人口(包括兒童)的個人記錄已在網上曝光。兩周前,vpnMentor安全研究人員Noam Rotem和Ran Locar發現了這個數據庫泄露。這應該是厄瓜多爾歷史上最大的數據泄露事件之一,厄瓜多爾是一個擁有1660萬公民的南美小國。

LastPass修復了可能讓惡意網站提取用戶密碼的漏洞

LastPass修補了一個錯誤,該錯誤會使惡意網站提取該服務瀏覽器擴展程序輸入的先前密碼。 ZDNet報告稱該漏洞是由谷歌Project Zero團隊的研究員Tavis Ormandy發現,并在8月29日一份漏洞報告中披露。 LastPass在9月13日修復了該問題,并將更新部署到針對所有瀏覽器的LastPass擴展當中。

黑客利用“Simjacker”漏洞竊取手機數據 或影響10億人

據TNW報道,網絡安全研究人員警告稱,SIM卡存在一個嚴重的漏洞,使得遠程攻擊者可以在用戶不知情的情況下發送短信攻擊目標手機并監控受害者。都柏林的AdaptiveMobile Security公司表示,這個被稱為“Simjacker”的漏洞已經被一家間諜軟件供應商利用了至少兩年的時間,不過該安全公司并未透露利用這一漏洞公司的名稱以及受害者信息。

新研究暗示2016年烏克蘭停電事件背后的潛在原因

據外媒報道,2016年12月,俄羅斯黑客在烏克蘭國家電網運營商Ukrenergo的網絡中植入了一種被稱為Industroyer或Crash Override的惡意軟件。而在圣誕節前兩天的午夜,網絡犯罪分子利用已經部署好的惡意軟件破壞了烏克蘭首都基輔附近一個傳輸站的所有斷路器,從而導致首都大部分地區斷電。

兒童個人信息網絡保護規定發布 如何保障孩子安全

據中國之聲報道:最近,國家互聯網信息辦公室發布《兒童個人信息網絡保護規定》,如果用一句話來講這個規定能干什么,那就是:保護兒童個人信息安全,促進兒童健康成長。這些年,隨著互聯網技術的大踏步發展,各種手機應用程序遍地開花,這極大地暢通了人與人之間溝通交流,但同時,也會造成一定程度的個人信息安全隱患。

超過四分之三美國人接受政府機構之間分享他們的個人數據

根據YouGov和Unisys公司贊助的一項新調查,大多數美國公民承認并接受州和地方政府機構之間分享他們的個人數據,即使涉及犯罪記錄和收入等個人信息。對八個州近2000人的調查發現,超過四分之三(77%)的受訪者認為他們的數據已經在政府機構之間共享。

英特爾芯片弱點允許攻擊者竊取敏感信息

2011 年,英特爾服務器處理器引入了一項新功能去提升性能,它允許網卡等外圍設備直接訪問 CPU 的最后一級緩存。被稱為 DDIO(Data-Direct I/O)的功能通過避開系統主內存而增加了輸入/輸出帶寬,減少延遲和功耗。

Facebook收緊有關自我傷害和自殺的政策

Facebook在與一系列專家進行磋商后,在世界預防自殺日,圍繞自殘,自殺和飲食故意失調等內容,收緊政策。它還聘請了一位新的安全政策經理,就這些領域提出建議。此人將專門負責分析Facebook政策及其應用對人們健康和福祉的影響,并將探索改善Facebook社區內容的新方法。

數以千計的服務器感染Lilocked勒索軟件

數以千計的服務器感染了名為 Lilocked (Lilu)的勒索軟件。最早的感染是在 7 月中旬報告的,最近兩周愈演愈烈,它被認為主要針對的是 Linux 服務器,可能利用舊版本  Exim 軟件的漏洞,但還不清楚勒索軟件是如何獲得服務器的 root 訪問的。

漏洞賞金平臺HackerOne完成3640萬美元D輪融資

據外媒VentureBeat報道,2018年,全球網絡安全市場固定在1520億美元,預計幾年內將增長到2500億美元。無論公司投入多少資金以確保其產品無故障,其系統中可能存在某些漏洞,使其容易被入侵。在此背景下,漏洞賞金平臺HackerOne周日宣布,其已經在Valor Equity Partners領投的D輪融資中募集了3640萬美元,另外包括Benchmark,New Enterprise Associates,Dragoneer Investment Group和EQT Ventures等跟投。

科學家警告:女性使用電子煙會影響懷孕 影響后代健康

據外媒報道,北卡羅萊納大學的一項新的研究表明,女性在使用電子煙可能會影響懷孕。電子煙經常被描繪成一種比吸煙更健康的替代品,但一項新的研究可能會讓你不再使用它,特別是當你試圖懷孕的時候。令人擔憂的是,研究人員還發現,在整個懷孕期間使用電子煙的女性可能會在不知不覺中影響寶寶的新陳代謝

人氣網絡漫畫XKCD論壇遭網絡攻擊:大量用戶數據被盜

據外媒報道,黑客攻擊了人氣網絡漫畫網站XKCD的論壇并從中竊取了約56萬個用戶名、電子郵件和IP地址以及散列密碼。XKCD在周末公開了這次攻擊,此前,負責數據漏洞通知網站Have I Been Pwned維護工作的安全研究員Troy Hunt向該網站發出了警告。現在,這個論壇已經下線。

朋友圈刷屏的換臉軟件 可以拿你的臉去賣錢?

上周末中午差評君剛一睡醒,就發現自己手機里的朋友圈和討論組被一件事情刷屏了……在這款名為 ZAO 的軟件中,你只需要上傳一張照片,就能把電影片段里面的周星馳、陳冠希、吳彥祖等人的臉,替換成你自己的臉。效果還真的挺棒的……

德國秘密特工協助美以用Stuxnet攻擊伊朗設施的內幕

kokerkov 寫道 "多年以來,美以聯合開發用以攻擊伊朗核設施的Stuxnet病毒/惡意軟件是如何進入高度安全的伊朗核濃縮工廠的,一直是個揮之不去的謎團。從Yahoo的一篇報道中,我們可以窺見一斑。

谷歌發現的iPhone攻擊者同樣也在攻擊Android和Windows系統

據外媒報道,谷歌本周披露的針對蘋果iPhone的空前攻擊比人們最初想象的要廣泛。據匿名知情人士透露,谷歌和微軟操作系統受到的網絡公司也是來源于對iPhone發起網絡攻擊的同一家網站。

警方劫持僵尸網絡并遠程移除85萬臺受感染計算機上的惡意程序

據外媒TechCrunch報道,在一項罕見的壯舉中,法國警方劫持了一個龐大的加密貨幣挖掘僵尸網絡,其控制著近百萬臺受感染的計算機。臭名昭著的Retadup惡意軟件感染計算機,主要被用于挖掘加密貨幣。

今晨AI換臉視頻收割百萬用戶 從好玩到可怕只需一步

今天早晨,筆者的朋友圈中出現了大量的AI換臉小視頻。這些小視頻大多來自眾多影視劇或者電影作品,用戶則可以把自己的臉通過人工智能的識別換到影視明星的身上。我們也了解到,這一AI換臉工具是一款名為“ZAO-逢臉造戲”APP,軟件的slogan為“僅需一張照片,出演天下好戲”。

隱私安全遭質疑:ZAO修改用戶協議 新增“刪除”功能

昨晚,一款名為“ZAO”的換臉軟件在朋友圈刷屏,不過,在一夜刷屏之后,ZAO的用戶協議條款卻引發網友爭議,部分人呼吁大家不要盲目跟風。ZAO修改了其用戶協議內容,在用戶協議的開頭部分增加了“特別提示”。除此之外,最具爭議的用戶協議第六條有明顯更改。

法律人士:ZAO涉嫌過度攫取用戶授權 侵權后可能甩鍋

AI換臉軟件ZAO一夜爆紅,但很快其用戶協議被網友指稱“霸王條款”,包括:用戶上傳發布內容后,意味著同意授予ZAO及其關聯公司以及ZAO用戶在“全球范圍內完全免費、不可撤銷、永久、可轉授權和可再許可的權利”,

律師分析ZAO用戶協議:試圖責任轉嫁 但法律上難實現

ZAO,這款有望成為2019年首款現象級產品的App,剛剛火了不過一天,就被澆了盆冷水。昨晚,一款名為“ZAO”的換臉軟件在朋友圈刷屏,據了解,ZAO使用AI技術,用戶只需要一張正臉照,就可以替換為影視作品或者小視頻中的人物,生成以自己為主角的視頻片段。

[圖]Android端Facebook被爆擅自收集系統庫信息并上傳服務器

開發人員在對Android端Facebook的代碼進行深入發掘之后,發現使用名為“Global Library Collector”(全局庫收集器)來收集用戶的系統庫信息,并將它們上傳到Facebook的服務器上。Facebook從來不是行業中的標桿,甚至因為隱私事件而臭名昭著。此前公司曾利用Facebook Research VPN來收集用戶的所有信息。而最新事實證明,Facebook應用程序可能會做一些可能被認為是不道德的事情。

推特CEO多爾西的推特賬號被黑客入侵

當地時間周五下午,推特首席執行官杰克-多爾西(Jack Dorsey)的推特賬號似乎被一個自稱“The Chuckling Squad”的組織入侵了。多爾西在推特上有超過421萬粉絲。在這次網絡攻擊中,黑客在多爾西的賬戶上迅速連續發布了十幾條包括種族主義言論和為納粹德國辯護的推文,并與一個似乎被黑客使用的賬戶相關聯。

加載中...

精彩評論

全部展開

CBer 熱度


created by ceallan 山东时时11夺金