【安全幫】新蛋網使用者信用卡資料洩漏:惡意程式碼存在約1個月
摘要: 印媒:黑客利用印度網站瘋狂“挖礦”,包括政府網站據《印度經濟時報(The Economic Times)》報道,儘管印度政府可能對加密貨幣持打壓態度,但該國的政府網站卻在無意中幫助了黑客從他們的網站上賺取這種近年來被熱捧的“網際網路利潤”。一份由三名安全專家組成...
印媒:黑客利用印度網站瘋狂“挖礦”,包括政府網站 據《印度經濟時報(The Economic Times)》報道,儘管印度政府可能對加密貨幣持打壓態度,但該國的政府網站卻在無意中幫助了黑客從他們的網站上賺取這種近年來被熱捧的“網際網路利潤”。一份由三名安全專家組成的研究團隊於近日公佈的調查報告顯示,包括安得拉邦市政管理局、蒂魯帕蒂市政公司和馬切爾拉市政機構在內的數百個印度網站都被發現感染了Cryptojacking惡意軟體(又稱“加密貨幣挖掘惡意軟體”)。
參考來源:
ofollow,noindex" target="_blank">https://www.hackeye.net/securityevent/16366.aspx
Alpine Linux 中存在程式碼執行漏洞,影響容器 根據安全研究人員的發現,Alpine Linux中存在多個漏洞,包括一個允許執行任意程式碼的漏洞。具體而言,Alpine Linux的預設包管理器APK受多個漏洞影響,其中一個最嚴重的漏洞可允許惡意包映象在使用者裝置上執行任意程式碼。目前該漏洞已被修復,且映象已經有了更新,建議受影響的使用者及時對映象進行更新。
參考來源:
https://www.easyaq.com/news/1131844370.shtml
“ 我是管理員 ” bug 將西部資料的 My Cloud 裝置變成每個人的雲 Securify 的安全研究人員 披露了 西部資料 My Cloud 的一個漏洞,編號為 CVE-2018-17153 的漏洞允許未經授權的攻擊者繞過密碼檢查以管理員許可權登入訪問聯網的 My Cloud 裝置,攻擊者可以瀏覽和拷貝上面所有儲存的資料,也能覆寫和刪除資料,它變成了所有人的“雲”。攻擊者只要向裝置的 Web 介面傳送包含 cookie username=admin – 的 HTTP CGI 請求就能以管理員許可權登入。研究人員在今年 4 月就向西部資料報告了 bug,但五個月後仍然沒有迴應,於是他們就公開披露了漏洞。西部資料目前也沒有 做出迴應 。
參考來源:
https://www.solidot.org/story?sid=58017
ESET 揪出六款虛假金融 app 可竊取 Android 使用者信用卡資料 ESET的Lukas Stefanko透露,該公司幫助谷歌在官方應用商店中,揪出並清除了六款虛假的金融類app。它們將自己偽裝成網銀或加密貨幣交易應用,旨在竊取 Android 使用者真實的信用卡資料和登陸憑證,隨後再展開網路釣魚。其中一款“李鬼”盜版了奧地利加密貨幣交易所 Bitpanda 的樣子,另外還有假冒瑞士、英國、紐西蘭、澳大利亞、波蘭銀行的網銀客戶端。這批惡意軟體的提交時間,可以追溯到 2018 年 6 月。即便如此,在谷歌發現它們的真正目的、並將之從 Google Play 下架之前,它們還是已經被下載、並安裝到了超過 1000 款不同的 Android 裝置上。
參考來源:
http://hackernews.cc/archives/23589
新蛋網使用者信用卡資料洩漏:惡意程式碼存在約1 個月 在過去約1個月的時間,購物網站新蛋(Newegg)的使用者資料發生洩露事故,目前新蛋正在對網站進行整理。有安全研究人員發現,黑客將15行銀行卡盜刷程式碼植入新蛋網支付頁面,從8月14月-9月18日,程式碼一直存在。這種惡意程式碼從使用者手中竊取信用卡資料,傳輸到由黑客控制的伺服器。黑客的程式碼同時影響桌面端和移動端使用者,只是目前還不清楚移動端使用者是否已經受到影響。最先發現惡意程式碼的是一家叫“Volexity”的公司,它將問題報告給新蛋網後,截至週二,新蛋網已經刪除程式碼。
參考來源:
https://tech.sina.com.cn/i/2018-09-20/doc-ihkhfqnt1451871.shtml
最高法五年工作規劃:擬出臺相關司法解釋,保護個人資訊權 隨著個人資訊洩露事件的增多,人們對個人資訊保護的需求也不斷高漲。近日,最高人民法院釋出《關於在司法解釋中全面貫徹社會主義核心價值觀的工作規劃(2018-2023)》。《規劃》明確規定,要及時出臺審理個人資訊權糾紛案件適用法律問題的司法解釋,保護個人資訊權。據南都記者瞭解,我國現行法律對個人資訊保護已有相應規定。2017年10月1日施行的《民法總則》第111條規定,自然人的個人資訊受法律保護。2018年8月27日,民法典各分編(草案)初次提請十三屆全國人大常委會第五次會議審議。其中,人格權編對個人資訊的規定進行了進一步細化,如明確了個人資訊的定義;收集個人資訊應當遵循的原則;保證個人資訊的儲存安全等。
參考來源:
http://hackernews.cc/archives/23966
關於安全幫
安全幫,是中國電信北京研究院旗下安全團隊,致力於成為“SaaS安全服務領導者”。目前擁有“1+4”產品體系:一個SaaS電商(www.anquanbang.vip) 、四個平臺(SDS軟體定義安全平臺、安全能力開放平臺、安全大資料平臺、安全態勢感知平臺)。