【安全幫】MongoDB伺服器配置不當!Veeam(衛盟軟體)4.45億條記錄遭洩露
摘要: 滴滴:司機出車前需先完成安全教育問答9月13日起持續十天,滴滴司機們將每天開啟車主端APP,除了要進行人臉識別外,還需要參與安全知識問答。每次考試包括兩道選擇題,兩題均回答正確才算通過,如果兩題中有一題回答錯誤則為考試失敗,司機需要重新考試直到通過,才能正常出...
滴滴:司機出車前需先完成安全教育問答 
9月13日起持續十天,滴滴司機們將每天開啟車主端APP,除了要進行人臉識別外,還需要參與安全知識問答。每次考試包括兩道選擇題,兩題均回答正確才算通過,如果兩題中有一題回答錯誤則為考試失敗,司機需要重新考試直到通過,才能正常出車。選擇題內容涵蓋了出行過程中的多項安全相關問題,比如滴滴安全保障制度、違反安全服務規則的處罰措施、“一鍵報警”等APP內安全功能的使用方式、安全駕駛規範以及如何與乘客文明友好溝通等。
參考來源:
ofollow,noindex" target="_blank">http://tech.163.com/18/0913/16/DRJKVQAL00097U7R.html
DHS 在 9.11 恐襲紀念日強調網路威脅已超過恐怖主義 
2018年9月11日,美國迎來9.11恐襲17週年紀念日,美國國土安全部(DHS)的領導表示,對美國而言最大的威脅不是恐怖主義威脅,而是網路攻擊。日前,除了 DHS 部長,DHS 代理副部長 Matthew Travis 也表示,網路威脅已經超出了恐怖主義威脅。儘管美國政府高階領導人發出大量警告和反思,但重視程度仍不夠。
參考來源:
https://www.easyaq.com/news/773824423.shtml
英國航空資料洩露:可疑程式碼現身 
網路安全公司 RiskIQ 稱其發現注入英國航空公司網站的惡意程式碼,這些程式碼很可能是導致38萬支付資料洩露的原因所在。RiskIQ 的研究人員聲稱,發現了抄錄(skimming)指令碼的證據,其旨在竊取線上支付表格的財務資料,在英國航空網站上發現的程式碼與攻擊 Ticketmaster 網站的程式碼非常相似,但似乎這次攻擊使用的程式碼根據英國航空網站的設計方式進行了特別的修改。
參考來源:
https://www.easyaq.com/news/871216931.shtml
亞馬遜 Facebook 等支援美國政府制定現代化的資料隱私法 
包括Facebook、亞馬遜和Alphabet等成員在內的美國網際網路協會(The Internet Association)昨日表示,支援美國政府制定現代化的消費者資料隱私法,但希望這部法規是全國性的,從而取代加州2020年即將生效的新隱私法規。除了Facebook、亞馬遜和Alphabet,美國網際網路協會其他成員還包括Netflix、微軟和Twitter等。該協會週二稱:“網際網路公司支援一部全國性的法案來保護所有美國消費者的隱私。”
參考來源:
http://tech.caijing.com.cn/20180813/4499963.shtml
MongoDB 伺服器配置不當! Veeam (衛盟軟體) 4.45 億條記錄遭洩露 
安全研究員Bob Diachenko於本週二(9月11)日釋出訊息稱,由於配置不當,一個歸屬於Veeam(衛盟軟體)的MongoDB伺服器暴露在了網際網路上。該伺服器包含了一個儲存有200GB資料的資料庫,然而它並沒有受到密碼保護。換句話來說,只要有人能發現該伺服器,就能任意訪問這些資料。Veeam是一家總部位於瑞士的公司,成立於 2006 年,並在世界各地設有辦事處。更具諷刺意味的是,該公司本身的主要業務就是為虛擬、物理和雲基礎架構提供備份、災難恢復和智慧資料管理服務。
參考來源:
https://www.hackeye.net/securityevent/16222.aspx
富士電機 PLC 訪問工具被曝多個漏洞 
研究人員在富士電機 V-Server 工具中發現了多個“高危”漏洞,該廠商已釋出相關更新。ICS-CERT 本週公佈兩個安全公告指出,這些安全漏洞可導致遠端攻擊者執行任意程式碼。富士電機 V-Server 工具可導致組織機從位於企業網路中的計算機訪問位於工廠中的可程式設計邏輯控制器 (PLCs)。這兩個系統經由用於監控 PLCs 的 Monitouch HMI 通過乙太網連線。ICS-CERT 表示該產品在全球範圍內主要是在關鍵製造行業使用。ICS-CERT 表示,富士電機 V-Server 受使用後釋放、不受信任的指標引用、堆緩衝溢位、帶外寫入、整數反向溢位、帶外讀取和棧緩衝溢位漏洞的影響,可能導致出現遠端程式碼執行後果,從而引發 DoS 條件或資訊洩露問題。
參考來源:
http://codesafe.cn/index.php?r=news/detail&id=4442
Mozilla 創始人投訴谷歌:違反 GDPR 法規 洩露使用者資料 
Mozilla聯合創始人布蘭登·艾奇(Brendan Eich)創立的瀏覽器公司Brave今日在英國和愛爾蘭對谷歌和其他廣告公司進行了投訴,稱這些公司洩露使用者資料的行為違反了歐盟新生效的資料隱私法規《通用資料保護條例》(以下簡稱“GDPR”)。
GDPR於今年5月正式生效。該法規旨在賦予歐盟居民對個人資料有更多的控制權。如果一家公司不遵守這項條例,將面臨最高相當於其全球年度營業額4%或2000萬歐元(約合2340萬美元)的罰款,Brave和其他一些原告稱,谷歌和其他一些廣告公司存在大規模、系統性的資料洩露行為。雖然GDPR在正式實施前,已經賦予企業兩年的準備時間,但包括谷歌在內的廣告科技公司至今仍未遵守該規定。
參考來源:
https://tech.sina.com.cn/i/2018-09-13/doc-ihkahyhw7258875.shtml
關於安全幫
安全幫,是中國電信北京研究院旗下安全團隊,致力於成為“SaaS安全服務領導者”。目前擁有“1+4”產品體系:一個SaaS電商(www.anquanbang.vip) 、四個平臺(SDS軟體定義安全平臺、安全能力開放平臺、安全大資料平臺、安全態勢感知平臺)。
