【安全幫】美版“知乎” Quora 遭黑客入侵：1 億使用者資料裸奔

思科解決思科基礎許可證管理器中的 SQL 注入漏洞 據悉，思科釋出了安全更新，以解決思科基礎許可證管理器（CiscoPrime License Manager）網頁框架程式碼中的安全漏洞，攻擊者可利用該漏洞執行任意SQL查詢。思科修復了思科基礎許可證管理器（CiscoPrime License Manager）中的漏洞，未經身份驗證的遠端攻擊者可利用該漏洞執行任意SQL查詢。 該漏洞源於使用者輸入的SQL查詢中缺乏正確的驗證。 攻擊者可通過向易受攻擊的應用程式傳送其製作的 HTTP POST 請求來觸發漏洞，該請求中包含惡意SQL 語句 。 思科釋出通知表示，“思科基礎許可證管理器（CiscoPrime License Manager）網頁框架程式碼中的安全漏洞可允許未經身份驗證的遠端攻擊者執行任意SQL查詢。”

參考來源：

ofollow,noindex" target="_blank">https://www.easyaq.com/news/246042242.shtml

App Store 又被鑽空子，詐騙者利用 Touch ID 每月非法獲利數萬美元 不懷好意的開發人員找到了一種新方法，來欺騙使用者為毫無價值的服務付費。該欺詐模式使用TouchID，欺騙使用者進行應用內購，價格最高可達99.99美元。該部落格列舉的兩個例子，都是所謂的健身應用。在這兩個例子裡，應用都指示使用者將手指放在iPhone的Home鍵上，以便“掃描”他們的指紋來獲取健康資料。然而，在“掃描”時，應用會觸發應用內購行為，然後通過TouchID進行驗證，甚至在使用者意識到正在發生的事情之前就已經完成。這一事件也引發了人們對蘋果能否首先發現詐騙行為的質疑。雖然App Store一直以來都宣稱比其他應用商店更安全，但這並不是第一次允許不懷好意的開發者上架應用。

參考來源:

https://www.lieyunwang.com/archives/449698

小心！如果你在 Mac 上使用森海塞爾耳機很容易被黑客攻擊 Sennheiser（森海塞爾）在最近修復了其耳機軟體的一個嚴重漏洞。研究人員發現，這個漏洞允許攻擊者干擾HTTPS請求，將使用者暴露給惡意網站。需要指出的是，該漏洞並不涉及硬體，而是影響到了Sennheiser官方提供的HeadSetup音樂服務軟體。Sennheise耳機中的這個嚴重漏洞是由德國網路安全公司Secorvo的研究人員發現的，導致Windows和Mac使用者都容易遭受黑客攻擊。該漏洞可能允許黑客實施中間人（MITM）攻擊，以在使用者訪問某些網站時嗅探流量。

參考來源：

http://toutiao.secjia.com/article/page?topid=111032

巴西訂閱視訊服務 Sky Brasil 暴露 32.7 萬用戶資訊 獨立研究員Fabio Castro發現，巴西最大的訂閱電視服務公司Sky Brasil洩露了32.7萬用戶的資訊，包括28.7GB的日誌檔案和429.1GB的API資料，這些資料顯示姓名，家庭住址，電話號碼，出生日期，客戶端IP地址，付款方式和加密密碼。雖然Castro發現了這一事件後通知了Sky Brasil，公司隨後也對資料庫進行了密碼保護。但其伺服器至少從10月中旬就開始在Shodan上被編入索引，目前還不清楚資料庫的訪問者數量。

參考來源：

https://www.secrss.com/articles/6864

美版 “ 知乎 ” Quora 遭黑客入侵： 1 億使用者資料裸奔 美國社交問答網站Quora CEO亞當·德安傑洛（Adam D’Angelo）週一發表題為《Quora安全更新》的博文，披露該公司遭遇重大安全問題，導致1億使用者受到影響。Quora稱，該公司已經聘請“頂尖數字法證和安全公司”，並且已經上報執法部門。他們上週五發現其使用者資料遭到身份不明的第三方非法獲取。亞當在部落格中表示，大約1億Quora使用者可能有大量資訊遭到洩露，包括帳號資訊，例如姓名、電子郵件地址、密碼、使用者授權引入的其他網路資料；公開內容和活動，例如提問、回答、評論和贊同；非公開內容和活動，例如回答請求、不贊同、私信。

參考來源：

http://hackernews.cc/archives/24547

  工信部就使用者個人資訊保護問題約談同程藝龍 針對網民反映的同程藝龍微信小程式中“12306暢行會員”服務存在的預設開通會員協議等使用者個人資訊保護相關問題，工業和資訊化部資訊通訊管理局組織進行了核查，並於2018年12月3日約談了蘇州同程藝龍網路科技有限公司（以下簡稱同程藝龍公司）。資訊通訊管理局指出，對照《中華人民共和國網路安全法》《全國人民代表大會常務委員會關於加強網路資訊保護的決定》《電信和網際網路使用者個人資訊保護規定》（工業和資訊化部令第24號）等有關規定，同程藝龍微信小程式存在未公示使用者個人資訊收集使用規則、預設開通12306暢行會員協議、未履行部分服務承諾的問題，同程藝龍公司應當本著充分保障使用者知情權和選擇權的原則立即進行整改，切實維護使用者合法權益。

參考來源：

http://tech.caijing.com.cn/20181204/4543160.shtml

谷歌開源漏洞跟蹤工具 Monorail 中被曝跨站點搜尋漏洞 一名安全研究員表示，在谷歌開源漏洞跟蹤工具 Monorail 中找到一個漏洞，可被用於執行跨站點搜尋 (XS-Search) 攻擊。Monorail 用於檢查和 Chromium 相關專案中的問題，PDFium、Gerrit、V8甚至著名的 0day 漏洞團隊 Project Zero 也在使用它。Luan Herrera 表示，最近發現的這個漏洞可導致資訊洩露問題。Herrera 發現 Monorail 支援將某種搜尋查詢結果下載為 CSV 格式以及其它功能，它易受跨站點請求偽造攻擊的影響。因此，攻擊者能夠強制使用者在訪問惡意連結時下載搜尋查詢結果。

參考來源：

https://www.solidot.org/story?sid=58460

關於安全幫®

安全幫®，是中國電信北京研究院旗下安全團隊，致力於成為“SaaS安全服務領導者”。目前擁有“1+4”產品體系：一個SaaS電商(www.anquanbang.vip) 、四個平臺（SDS軟體定義安全平臺、安全能力開放平臺、安全大資料平臺、安全態勢感知平臺）。