BUF早餐鋪 | 工信部開展網路安全技術應用試點示範專案推薦工作;美國郵政服務網站漏洞可暴露6000萬...
各位 Buffer 早上好,今天是 2018 年 11 月 23日星期五,農曆十月十六。今天的早餐鋪內容有:工信部開展網路安全技術應用試點示範專案推薦工作;美國郵政服務網站漏洞可暴露6000萬用戶資料,現已修復;Facebook大幅提升漏洞賞金計劃金額,最高可拿4萬美元;重慶警方打掉一DDoS團伙:自學黑客技術 攻擊境外博彩網站日進萬元;亞馬遜技術故障導致部分使用者資料暴露。
工信部開展網路安全技術應用試點示範專案推薦工作
11月21日,工信部辦公廳印發關於開展網路安全技術應用試點示範專案推薦工作的通知,示範專案重點引導方向包括但不限於網路安全防護、網路安全監測預警、網路安全應急處置、網路安全檢測評估,以及包括用於保障雲端計算、大資料、人工智慧、區塊鏈、下一代網路(5G和IPv6)、物聯網、車聯網等新技術新應用安全的平臺或系統。工業和資訊化部組織對申報專案進行評審,遴選符合要求的專案開展試點示範,原則上試點示範入選專案數量不超過申報專案總數的30%。試點示範期為3年。具體方法與流程可在 ofollow,noindex" target="_blank">工信部官網 檢視。[來源: 工信部 ]
美國郵政服務網站漏洞可暴露6000萬用戶資料,現已修復
美國郵政服務系統剛剛修復了一個嚴重的網站漏洞,該漏洞使得擁有usps.com帳戶的任何人都可檢視和修改約6000萬用戶的賬戶詳情。該漏洞源於USPS Web元件中的身份驗證API,根據USPS的說法,基於該API構建的”通知可見“功能可為企業、廣告商和其他批量郵件發件人提供幾乎實時的資料跟蹤和獲取能力,以“做出更好的業務決策”。
該漏洞除了公開USPS商業客戶傳送的包裹和郵件實時資料外,還允許任何登入usps.com的使用者向系統查詢其他使用者的帳戶詳情,例如電子郵件地址、使用者名稱、ID、帳號、街道地址、電話號碼、授權使用者、郵寄活動資料和其他資訊。通過“通知可見”API獲得對帳戶相關資料庫條目的修改能力,可能會給USPS的大客戶帶來問題,試想一下像Netflix這樣的公司以及其他需要大批量傳送郵件的客戶,要是API允許任何使用者將常規usps.com帳戶轉換為Informed Visibility業務帳戶,中間損失的費用怎麼算。此外,這也會給垃圾郵件傳送者和電子郵件詐騙者提供可趁之機,很容易被用來構建大規模針對性垃圾郵件攻擊或魚叉式網路釣魚。[來源: krebsonsecurity ]
Facebook大幅提升漏洞賞金計劃金額,最高可拿4萬美元
Facebook於美國當地時間週二宣佈提高對發現和上報帳戶接管漏洞的獎勵金額,以鼓勵安全研究人員和“威脅獵人”幫助Facebook能夠先於網路犯罪分子修復高影響問題。該公告稱網路安全研究人員在Facebook旗下任何產品中發現帳戶接管安全漏洞,包括Instagram、WhatsApp和Oculus,可獲得以下獎勵:
如果完全不需要使用者互動:4萬美元
如果需要使用者少量互動:2.5萬美元
[來源: thehackernews ]
重慶警方打掉一DDoS團伙:自學黑客技術 攻擊境外博彩網站日進萬元
週三上午,巴南警方通報了一起網路犯罪案件——巴南區28歲小夥徐某,因在網路賭博時贏了一萬多元無法提款,怒而自學DDOS黑客技術,並組建黑客團伙,從去年開始專門黑賭博網站、遊戲私服的伺服器賺錢。據偵辦此案的巴南區公安分局網路安全支隊馬警官透露:一年半以來徐某“生意興隆”日進萬金,現在徐某及其團伙因涉嫌非法控制計算機資訊系統罪被捕。
據馬警官介紹,他們在調查了徐某的銀行卡、支付寶和微信支付記錄後,發現徐某在短短一年半的時間內就非法獲利100多萬,可謂“生意興隆”日進萬金。不過,大部分的非法所得已經被徐某及其團伙成員揮霍一空。[來源: 重慶晨報 ]
亞馬遜技術故障導致部分使用者資料暴露
當地時間週三上午,亞馬遜通過電子郵件告知一些客戶,由於“技術故障”,這些使用者的姓名和電子郵件地址被亞馬遜在其網站上被“無意公開”。週三上午,部分使用者在社交媒體上分享了他們從亞馬遜收到郵件圖片。一名使用者對亞馬遜在郵件中沒有提供更多相關資訊的做法提出質疑,並補充說自己現在“很可能成為釣魚欺詐的受害者”。目前尚不清楚哪個地區、多少使用者受到了影響,來自美國和歐洲的一些使用者,紛紛在Twitter上分享了他們所收到的、來自亞馬遜的電郵圖片。
一名使用者在Twitter上留言稱,“這封敷衍的郵件稱使用者不需要做任何事情,但他們忽視了這樣的事實,那就是我們的電子郵件和名字都被洩露了,我們很可能成為網路釣魚詐騙的受害者,並最終出現在垃圾郵件列表中。亞馬遜做的還遠遠不夠好。”[來源: cnbeta ]
*Freddy編譯整理,轉載請註明來自 FreeBuf