科技

BUF早餐鋪 | MongoDB 資料庫洩露 1100 萬份郵件記錄；Facebook為提交網站第三方應用或網站漏洞的用...

Facebook 中國建設銀行 MongoDB · 發表 2018-09-20 07:11:31

摘要：各位Buffer早上好，今天是2018年9月20日星期四，農曆八月十一。今天的早餐鋪內容有：MongoDB 資料庫洩露 1100 萬份郵件記錄；Pegasus 間諜軟體已經滲透到 45 個國家和地區；2018 年第二季度針對web網站的攻擊數量有所上升；Facebook 為提...

各位Buffer早上好，今天是2018年9月20日星期四，農曆八月十一。今天的早餐鋪內容有： MongoDB 資料庫洩露 1100 萬份郵件記錄； Pegasus 間諜軟體已經滲透到 45 個國家和地區； 2018 年第二季度針對web網站的攻擊數量有所上升； Facebook 為提交網站第三方應用或網站漏洞的使用者發放獎金； GovPayNet憑證系統存在漏洞，1400萬交易記錄被曝光；央行：將進一步探索構建行業共享的金融網路安全防護平臺。

以下請看詳細內容：

MongoDB 資料庫洩露 1100 萬份郵件記錄

9 月 17 日，安全研究員 Bob Diachenko發現了一個可公開訪問的 MongoDB 資料庫，其中包含 43.5 GB 的資料和 10999535（將近 1100 萬）份 Yahoo 電子郵件地址。資料庫中可見的每條記錄都包含電子郵件地址、全名、性別、城市、郵政編碼以及實際地址等敏感個人資料。

除了電子郵件地址之外，資料庫中還有關於郵件伺服器在聯絡時傳送狀態的資訊，詳細說明郵件是否已傳送或伺服器是否拒絕了電子郵件。隨後，該資料庫在Shodan 上被標記為“遭遇入侵”，且出現了被勒索的資訊，勒索者要求 0.4 BTC 的贖金。目前，該資料庫已經下線。[來源： ofollow,noindex" target="_blank">bleepingcomputer ]

臭名昭著的 Pegasus 間諜軟體已經滲透到 45 個國家和地區

Citizen Lab 的研究人員發現，近兩年來全球最危險的安卓與 iPhone 間諜軟體 Pegasus 已經滲透到 45 個國家與地區。這個軟體由專門售賣高科技監控工具的以色列黑客組織 NSO 開發，可以遠端入侵全球情報機構的蘋果手機和安卓裝置。利用這個軟體，攻擊者可以在攻擊目標不知情的情況下獲取大量資料，包括簡訊、日曆條目、郵件、WhatsApp 資訊、使用者位置、麥克風、攝像頭等許可權和內容。[來源： thehackernews ]

2018 年第二季度針對 web 網站的攻擊數量有所上升

web 網站服務供應商 SiteLock 調查發現，在 2018 年第二季度，web 網站遭遇的攻擊數量有所上升。平均每個網站每天遭遇的攻擊高達 58 次，也就是說一個網站每隔 25 分鐘就會遭遇一次攻擊。與一季度相比，攻擊體量增加了 16%。資料顯示，目前常見的方法是挖礦劫持以及基於 JS 的攻擊。與第一季度相比，挖礦劫持增加了一倍，而惡意 JS 檔案則增加了 16%。挖礦劫持的指令碼大多使用 JS 套件部署並挖掘加密貨幣，因此二者同步增長。加密劫持和 JS 指令碼往往有隱蔽性，不易被受害者發現，因此成為攻擊者青睞的攻擊手段。[來源： darkreading ]

Facebook 為提交網站第三方應用或網站漏洞的使用者發放獎金

近日，FaceBook 擴充套件了其漏洞獎勵計劃，把第三方程式或網站中可能洩露 FaceBook 使用者訪問 token 的漏洞也納入其中。FaceBook 認為，訪問 token 是使用者獨有的，可用於連線 FaceBook 賬號登入第三方應用或網站，一旦第三方應用或網站存在漏洞，洩露 token，那麼使用者的 FaceBook 賬號也存在風險。因此，FaceBook 為研究人員開放通道，專門用於提交相關漏洞，提交的材料需要包含 PoC 演示，還要滿足已經在使用者裝置上發現數據傳輸等條件。此外，只有提交的漏洞來自活躍使用者超過 5 萬人的第三方應用或網站才能得到認可。[來源： helpnetsecurity ]

GovPayNet憑證系統存在漏洞，1400萬交易記錄被曝光

安全研究員稱，專門為美國政府機構提供線上支付服務的網站 GovPayNow.com 出現數據洩露情況，其系統憑證存在漏洞，導致任意人即可訪問收據資料，其中包括法院下達的罰款、保釋金以及交通罰款等等。根據最新資訊，自2012年以來大概有1400萬條包含收據資訊的記錄被洩露。在演示中，研究人員簡單修改收據 URL 中的 ID 數字就能輕鬆訪問 GovPayNet 支付系統中的任意憑證，包括收據所有者的全名、居住地址、手機號碼以及交易所使用行用卡的後四位數字。目前，GovPayNet 已經收到問題警報並表示已經解決。[來源： darkreading ]

央行：將進一步探索構建行業共享的金融網路安全防護平臺

據澎湃新聞訊息，2018年網路安全技術高峰論壇上，中國人民銀行金融資訊中心副主任唐彬表示，央行將進一步探索構建行業共享的金融網路安全防護平臺，並著力保護關鍵資訊基礎設施。央行還將更多地推動建設行業協同和資訊共享，形成合力，“比如網路安全的資訊共享平臺，包括一些行業共享的公共的防護平臺，可以此推動網路安全漏洞、技術產品缺陷、安全威脅態勢的共享。”[來源：介面新聞 ]

*AngelaY 編譯整理，轉載請註明來自 FreeBuf.COM

來源：FreeBuf