BUF早餐鋪 | 工信部要求應用商店全面下架“社保掌上通”APP;不安全的資料庫洩露中國3300萬份簡歷;...
各位Buffer早上好,今天是2019年3月18日星期一 。今天的早餐鋪內容主要有: 英美線上商店數千名使用者的支付資料被竊取 ; 不安全的資料庫洩露中國3300萬份簡歷; 環球易購旗下跨境電商網站Gearbest洩露數百萬使用者資訊和訂單; WinRAR bug 正被利用安裝難以檢測的惡意程式;三星商城被黑客攻擊:Galaxy S10訂購頁面出現Bug價格遭瘋搶 工信部:應用商店全面下架“社保掌上通”APP。
英美線上商店數千名使用者的支付資料被竊取
網路安全公司Group-IB近日公佈了一種專門竊取使用者支付資料的惡意程式碼,針對英國和美國七大線上商店發起攻擊。研究人員表示這種惡意程式碼屬於新型JavaScript Sniffer (JS Sniffer),最早在 FILA UK商店發現。在過去4個月中,這些程式碼至少竊取了5600名使用者的支付資訊。此外,British Airways、Ticketmaster、http://jungleeny.com (家居設計商店)、https://forshaw.com/ (害蟲治理產品商店)、https://www.absolutenewyork.com/ (化妝品商店)、https://www.cajungrocer.com/ (在西安百貨商店),、https://www.getrxd.com/ (運動裝置商店)等都受到影響。[來源:securityaffairs ]
不安全的資料庫洩露中國3300萬份簡歷
近日,研究人員Sanyam Jain發現一個不安全的資料庫,包含約3300萬份中國使用者的簡歷。這些簡歷檔案共有57G大小,可在網上公開訪問。簡歷資訊包括使用者名稱、性別、年齡、所在城市、家庭地址、郵箱、手機號、婚姻狀態、工作經歷、教育經歷、薪水等。在3月10日發現這個資料庫後,Sanyam嘗試尋找資料庫的管理員,但是並沒有找到,只分析出這些簡歷與中國的51Jobs、拉勾網以及智聯招聘等招聘網站有關。據分析,可能是有人專門從這些網站蒐集使用者上傳的簡歷並集中到一起,用於特殊目的。目前,國內安全應急響應中心CNCERT已經接到了Sanyam的報告,並確認該資料庫IP所屬者是“北京機到網路科技有限公司”,並通知該公司關閉了該資料庫。但是,尚不清楚此前有多少人接觸到或者利用過這些資訊,建議使用過這些網站的使用者注意保護自己的資訊並警惕釣魚攻擊。[來源:bleepingcomputer ]
環球易購旗下跨境電商網站Gearbest洩露數百萬使用者資訊和訂單
國外安全研究員Noam Rotem發現中國環球易購(Globalegrow)旗下自營網站Gearbest洩露了數百萬使用者資訊和訂單。洩露的資訊包括使用者姓名、地址、電話號碼、電子郵箱、訂單及產品資訊、支付和發票資訊等。此外,Rotem還在同一IP地址上發現了一個單獨的基於Web的資料庫管理系統,利用這個系統,可以操縱或破壞Gearbest母公司環球易購所執行的資料庫。目前,Rotem已經聯絡了Gearbest ,但是Gearbest既沒有關閉資料庫保護資料也沒有任何迴應。[來源:freebuf]
WinRAR bug 正被利用安裝難以檢測的惡意程式
上個月,流行的解壓縮軟體 WinRAR 曝出了一個至少 14 年曆史的程式碼執行漏洞,安全公司 Check Point 的研究人員在 UNACEV2.DLL 的過濾函式中發現了一個漏洞,允許將程式碼提取到 Windows 啟動資料夾,在 Windows 重啟之後執行。現在,McAfee 研究人員報告該漏洞正被利用安裝難以檢測的惡意程式。當存在漏洞的 WinRAR 解壓惡意壓縮文件,它會悄悄將名為 hi.exe 的檔案提取到啟動資料夾,當系統重啟之後它會安裝一個木馬程式,該木馬目前只有少數防毒軟體能檢測出來。WinRAR使用者最好升級到新版本或者改用其它解壓軟體如 7zip。[來源:solidot ]
三星商城被黑客攻擊:Galaxy S10訂購頁面出現Bug價格遭瘋搶
近日,三星中國官網上線了S10系列的“以舊換新”活動,舊機可抵購新機款,同時最高可享800元換新補貼。不過該服務上線後,有網友發現網頁疑似出現Bug,即便不換新也可以使用優惠選購三星S10手機,根據不同機型出現過金額不等的優惠,最高優惠可達2400元,部分S10遭到了羊毛黨的瘋搶。隨後三星發現此問題,並於3月16日釋出公告,公告表示三星網路商城受到了黑客攻擊而產生錯誤,至於已經產生的訂單,則會交由客服與消費者溝通解決。[來源:cnbeta ]
工信部:應用商店全面下架“社保掌上通”APP
3月15日,第29屆央視35晚會曝光了眾多APP通過不平等、不合理條款的授權協議,強制索取使用者的個人資訊的問題。其中,社保掌上通APP被晚會點名,晚會主持人通過實際操作發現,當用戶在該APP上輸入身份證號、社保賬號、手機號等資訊,完成註冊後,電腦遠端就能擷取到使用者的幾乎所有資訊。據媒體報道,工信部立即啟動應用商店聯動處置機制,要求騰訊、百度、華為、小米、OPPO、Vivo、360等國內主要應用商店全面下架 “社保掌上通”APP,對“社保掌上通”手機APP的責任主體杭州遞金網路科技有限公司進行核查處理,並全力組織對同類APP進行排查檢測,對類似問題一併要求整改。[來源:cnbeta ]