BUF早餐鋪 | MongoDB 資料庫洩露 1100 萬份郵件記錄;Facebook為提交網站第三方應用或網站漏洞的用...
各位Buffer早上好,今天是2018年9月20日星期四,農曆八月十一。今天的早餐鋪內容有: MongoDB 資料庫洩露 1100 萬份郵件記錄; Pegasus 間諜軟體已經滲透到 45 個國家和地區; 2018 年第二季度針對web網站的攻擊數量有所上升; Facebook 為提交網站第三方應用或網站漏洞的使用者發放獎金; GovPayNet憑證系統存在漏洞,1400萬交易記錄被曝光; 央行:將進一步探索構建行業共享的金融網路安全防護平臺。
以下請看詳細內容:
MongoDB 資料庫洩露 1100 萬份郵件記錄
9 月 17 日,安全研究員 Bob Diachenko發現了一個可公開訪問的 MongoDB 資料庫,其中包含 43.5 GB 的資料和 10999535(將近 1100 萬)份 Yahoo 電子郵件地址。 資料庫中可見的每條記錄都包含電子郵件地址、全名、性別、城市、郵政編碼以及實際地址等敏感個人資料。
除了電子郵件地址之外, 資料庫中還有關於郵件 伺服器 在聯絡時傳送狀態的資訊,詳細說明郵件是否已傳送或伺服器是否拒絕了電子郵件。隨後,該資料庫在Shodan 上被標記為“遭遇入侵”,且出現了被勒索的資訊,勒索者要求 0.4 BTC 的贖金。目前,該資料庫已經下線。[來源: ofollow,noindex" target="_blank">bleepingcomputer ]
臭名昭著的 Pegasus 間諜軟體已經滲透到 45 個國家和地區
Citizen Lab 的研究人員發現,近兩年來全球最危險的安卓與 iPhone 間諜軟體 Pegasus 已經滲透到 45 個國家與地區。這個軟體由專門售賣高科技監控工具的以色列黑客組織 NSO 開發,可以遠端入侵全球情報機構的蘋果手機和安卓裝置。利用這個軟體,攻擊者可以在攻擊目標不知情的情況下獲取大量資料,包括簡訊、日曆條目、郵件、WhatsApp 資訊、使用者位置、麥克風、攝像頭等許可權和內容。[來源: thehackernews ]
2018 年第二季度針對 web 網站的攻擊數量有所上升
web 網站服務供應商 SiteLock 調查發現,在 2018 年第二季度,web 網站遭遇的攻擊數量有所上升。平均每個網站每天遭遇的攻擊高達 58 次,也就是說一個網站每隔 25 分鐘就會遭遇一次攻擊。與一季度相比,攻擊體量增加了 16%。資料顯示,目前常見的方法是挖礦劫持以及基於 JS 的攻擊。與第一季度相比,挖礦劫持增加了一倍,而惡意 JS 檔案則增加了 16%。挖礦劫持的指令碼大多使用 JS 套件部署並挖掘加密貨幣,因此二者同步增長。加密劫持和 JS 指令碼往往有隱蔽性,不易被受害者發現,因此成為攻擊者青睞的攻擊手段。[來源: darkreading ]
Facebook 為提交網站第三方應用或網站漏洞的使用者發放獎金
近日,FaceBook 擴充套件了其漏洞獎勵計劃,把第三方程式或網站中可能洩露 FaceBook 使用者訪問 token 的漏洞也納入其中。FaceBook 認為,訪問 token 是使用者獨有的,可用於連線 FaceBook 賬號登入第三方應用或網站,一旦第三方應用或網站存在漏洞,洩露 token,那麼使用者的 FaceBook 賬號也存在風險。因此,FaceBook 為研究人員開放通道,專門用於提交相關漏洞,提交的材料需要包含 PoC 演示,還要滿足已經在使用者裝置上發現數據傳輸等條件。此外,只有提交的漏洞來自活躍使用者超過 5 萬人的第三方應用或網站才能得到認可。[來源: helpnetsecurity ]
GovPayNet憑證系統存在漏洞,1400萬交易記錄被曝光
安全研究員稱,專門為美國政府機構提供線上支付服務的網站 GovPayNow.com 出現數據洩露情況,其系統憑證存在漏洞,導致任意人即可訪問收據資料,其中包括法院下達的罰款、保釋金以及交通罰款等等。根據最新資訊,自2012年以來大概有1400萬條包含收據資訊的記錄被洩露。在演示中,研究人員簡單修改收據 URL 中的 ID 數字就能輕鬆訪問 GovPayNet 支付系統中的任意憑證,包括收據所有者的全名、居住地址、手機號碼以及交易所使用行用卡的後四位數字。目前,GovPayNet 已經收到問題警報並表示已經解決。[來源: darkreading ]
央行:將進一步探索構建行業共享的金融網路安全防護平臺
據澎湃新聞訊息,2018年網路安全技術高峰論壇上,中國人民銀行金融資訊中心副主任唐彬表示,央行將進一步探索構建行業共享的金融網路安全防護平臺,並著力保護關鍵資訊基礎設施。央行還將更多地推動建設行業協同和資訊共享,形成合力,“比如網路安全的資訊共享平臺,包括一些行業共享的公共的防護平臺,可以此推動網路安全漏洞、技術產品缺陷、安全威脅態勢的共享。”[來源: 介面新聞 ]
*AngelaY 編譯整理,轉載請註明來自 FreeBuf.COM