BUF早餐鋪 | 開啟這個連結,你的 Facebook 賬戶就被黑了;網站可檢測Chrome使用者是否啟用了隱私瀏覽...
各位 Buffer 早上好,今天是 2019 年 02 月 20 日星期二。今天的早餐鋪內容有:開啟這個連結,你的 Facebook 賬戶就被黑了;API存在疏漏:網站可檢測Chrome使用者是否啟用了隱私瀏覽模式;國家計算機病毒應急處理中心公佈十款違法移動應用;Firefox Monitor已經被整合到Firefox 主動向使用者提醒賬戶被盜用;瑞典醫療熱線洩露270萬條通話記錄:涉及諸多敏感資訊。
開啟這個連結,你的 Facebook 賬戶就被黑了
研究員Samm0uda在 Facebook 端點 facebook.com/comet/dialog_DONOTUSE/ 中發現了一個嚴重的跨站點請求偽造 (CSRF) 漏洞,只需誘騙目標使用者點選某連結就可利用該漏洞劫持賬戶。他因此獲得2.5萬美元的獎勵。這名白帽黑客指出,可利用該漏洞繞過 CSRF 防護措施並通過誘騙使用者訪問惡意 URL 的方式以使用者的身份執行操作。[來源: CodeSafe ]
API存在疏漏:網站可檢測Chrome使用者是否啟用了隱私瀏覽模式
為了避免被廣告追蹤和被網站知曉自己的瀏覽器歷史記錄,以谷歌 Chrome 為代表的現代瀏覽器,紛紛引入了“隱身模式”。但是一個開放的漏洞利用,卻讓別有用心的網站能夠檢測使用者是否處於反追蹤的“無痕模式”。據悉,該問題與 Web 開發側的隱身模式檢測有關。藉助 FileSystem API,Chrome 隱身模式會阻止網站在使用者裝置中儲存臨時資料。[來源: CnBeta ]
國家計算機病毒應急處理中心公佈十款違法移動應用
國家計算機病毒應急處理中心近期通過網際網路監測發現,十款違法有害移動應用存在於移動應用釋出平臺中,其主要危害涉及隱私竊取、誘騙欺詐、流氓行為和賭博四類。其中,《財急送移動版》(版本1.1.1.22)、《Fotoplace足記分享》(版本6.4.2)、《Flurv》(版本5.3.4)、《電視之家》(版本6.2.5)、《CybrFM創意庫》/《私密記事》(版本7.7.9)等被點名。[來源: Bianews ]
Firefox Monitor已經被整合到Firefox 主動向使用者提醒賬戶被盜用
早在去年9月,我們就報道了Mozilla與Have I Been Pwned合作,讓使用者知道他們的帳戶是否在資料洩露期間遭到入侵。當時該公司正在使用Have I Been Pwned並將其服務命名為“Firefox Monitor”。現在,Mozilla正在將該功能直接整合到Web瀏覽器中,因此您無需訪問Firefox Monitor來檢查您的帳戶是否已被盜用。該功能目前正在測試中,很快將推出給Firefox使用者。目前,如果您想嘗試一下,可以下載Firefox Canary版本並找到首選項“extensions.fxmonitor.enabled”並將其值更改為true。[來源: cnBeta ]
瑞典醫療熱線洩露270萬條通話記錄:涉及諸多敏感資訊
援引瑞典科技媒體Computer Sweden報道,撥打給瑞典醫療保健熱線1177 Vårdguiden的270萬條通話錄音資訊在網路上曝光。長達17萬小時、包含極其敏感資訊的呼叫音訊儲存在開放的Web伺服器上,並且沒有經過任何的加密和身份認證,意味著網際網路上的任意使用者都可以通過Web瀏覽器完全訪問這些個人資訊。
外媒Computer Sweden表示曾聆聽了部分錄音資訊,其中包括患者的疾病、目前服用的藥物以及相關病史等敏感資訊。甚至在部分通話中要求描述孩子的症狀並要求提供他們的社會安全號碼。[來源: NOSEC ]