【安全幫】嚴重漏洞讓4億微軟賬戶險遭暴露；無業黑客最高能年賺50萬美元 靠測試漏洞賺賞金

GitLab 推出公開漏洞獎勵計劃，最高賞金 1.2 萬美元 本週，開源的 Git 倉庫管理系統 GitLab 宣佈推出公開的漏洞獎勵計劃。研究人員如在產品和服務中發現嚴重漏洞，最高可獲得1.2萬美元的獎勵。GitLab 旨在通過提供可用於整個 DevOps 生命週期的開源平臺讓軟體開發更容易更高效。雖然在很多方面它類似於 GitHub，但GitLab 最近融資1億美元，提供範圍更廣的服務。2014年，GitLab 在 HackerOne 的協助下推出漏洞披露計劃。去年，該公司表示小型私密漏洞獎勵計劃共為100多名白帽黑客找到的250個左右的漏洞支付約20萬美元。GitLab 目前決定通過 HackerOne 推出公開漏洞獎勵計劃，涵蓋 GitLab 安裝、生產服務及其它產品如 SaaS 服務。研究人員已受邀報告 SQL 注入、遠端程式碼執行、XSS、CSRF、目錄遍歷、許可權提升和資訊洩漏漏洞。

參考來源：

ofollow,noindex" target="_blank">http://codesafe.cn/index.php?r=news/detail&id=4615

嚴重漏洞讓 4 億微軟賬戶險遭暴露

在 SafetyDetective 公司工作的印度賞金獵人 Sahad Nk 發現並向微軟報告了微軟賬戶中的一系列嚴重漏洞並獲得一筆數額不明的獎金。這些漏洞出現在使用者的 MS Office 檔案、Outlook 郵件等的微軟賬戶中。也就是說所有型別的賬戶（超4億）和所有型別的資料均易遭攻擊。如果結合使用這些漏洞，將成為獲取使用者微軟賬戶訪問許可權的完美攻擊向量。攻擊者需要的不過是強制使用者點選某連結。Sahad Nk 在部落格中表示，微軟的一個子域名 “success.office.com” 配置不正確，這也是為何他能使用 CNAME 記錄控制該子域名的原因。CNAME 記錄是域名之間連線的規範記錄。Sahad 使用 CNAME 記錄能夠定位配置錯誤的子域名並將其指向個人 Aure 例項，從而獲取對子域名和它所獲取的所有資料的控制。

參考來源：

https://tech.sina.com.cn

無業黑客最高能年賺 50 萬美元 靠測試漏洞賺賞金 據美國媒體報道，安全漏洞懸賞平臺Bugcrowd釋出的最新資料顯示，通過為特斯拉等公司和美國國防部等組織查詢安全漏洞並報告所查找出的問題，自由職業型的精英黑客每年能夠獲得超過50萬美元的收入。於2012年在舊金山成立的Bugcrowd，是為客戶查詢和報告軟體安全漏洞的少數幾家所謂的“漏洞懸賞”公司之一。這些公司為黑客提供了一個平臺，讓黑客安全地對那些希望接受測試的公司的軟體進行安全漏洞追蹤。黑客按照合同為特定的公司工作，當他們在該特定公司的基礎設施中發現缺陷時，就會獲得支付的賞金。他們獲得支付賞金的多少，取決於所發現漏洞的嚴重程度。Bugcrowd執行長凱西·埃利斯(Casey Ellis)表示，隨著該領域數百萬個職位空缺，各公司正在越來越多地尋找網路安全測試的替代方案。據估計，到2021年，可能會有多達350萬個網路工作崗位空缺。

參考來源：

http://tech.qq.com/a/20181212/013702.htm

FB 承認有軟體漏洞 680 萬用戶的照片有風險被存取 社交網站Facebook承認有軟體漏洞，導致最多680萬名使用者的照片有風險被人在未經同意下存取。受影響的使用者將收到通知，提醒他們自己的照片可能已曝光。 Facebook還表示，它將與 開發 人員合作刪除它們不應該訪問的照片副本。總共有來自876個不同開發者的多達1500個應用程式可能不恰當地訪問了使用者的圖片。Facebook表示，該漏洞與Facebook登入及其照片API相關的錯誤有關，該錯誤允許開發人員在自己的應用程式中訪問Facebook照片。所有受影響的使用者都使用他們的Facebook帳戶登入到第三方應用程式，並授予這些應用程式一定程度的訪問許可權以檢視他們的照片。

參考來源：

https://www.cnbeta.com/articles/tech/798641.htm

培訓機構販賣學生資訊 安徽警方摧毀一條灰色產業鏈 安徽省滁州市琅琊警方成功破獲一起涉及侵犯全省多地學生個人資訊案件，累計查獲學生個人資訊20餘萬條，扣押作案電腦10餘臺。目前，涉案的4名嫌疑人已被警方刑事拘留。今年11月初，滁州琅琊警方在開展“淨網2018”專項行動中獲悉，滁州市五中旁的一家培訓機構，掌握有該市多家中小學校學生及學生父母的個人資訊。資訊內容涵蓋學生的姓名、班級，以及學生父母的姓名、聯絡方式、工作單位等詳細資訊。11月22日，專案組組織警力對該教育培訓機構進行突擊檢查，當場查獲學生及家長的個人資訊一萬餘條，扣押涉案電腦三臺。隨著犯罪嫌疑人的悉數落網，整個犯罪鏈條也浮出水面。為了招攬生源，擴大知名度，束某東從朋友張某那獲得了一份涉及安徽省中小學學籍資訊，然後將這些資訊打包出售，通過上家賣下家，下家再賣下家，迴圈在市場上擴散開來。截止目前，琅琊公安分局已經對涉嫌侵犯公民個人資訊罪的犯罪嫌疑人閆某、付某、樑某某、束某東依法採取了強制措施。

參考來源：

http://www.xinhuanet.com/local/2018-12/12/c_1123843102.htm

共和黨議員建議發行 “ 牆幣 ” 資助美墨邊界圍牆建造 美國總統特朗普想要在美墨邊境造牆，但該專案提議尚未獲得國會撥款。俄亥俄州眾議員 Warren Davidson 提出了新方法去資助該專案：通過眾籌網站眾籌或者利用區塊鏈技術發行數字貨幣，他稱之為“牆幣（Wall Coins）”。他上月底向國會遞交了法案“Buy a Brick, Build a Wall Act”，允許財政部長接受造牆的小額捐款，設立賬號 Border Wall Trust Fund 去管理資金。

參考來源：

https://www.solidot.org/story?sid=58960

義大利石油和天然氣服務公司 Saipem 稱遭到了來自印度的網路攻擊 據路透社（Reuters）報道，義大利石油和天然氣服務公司Saipem（SPMI.MI）表示，它於周本一發現了一起網路攻擊，主要影響了其在中東的伺服器。Saipem公司的數字和創新負責人Mauro Piasere告訴路透社，攻擊主要影響了該公司在中東地區的伺服器，包括沙烏地阿拉伯、阿拉伯聯合大公國和科威特。他補充說，該公司在義大利、法國和英國的主要運營中心的伺服器沒有受到影響。Mauro Piasere表示，該公司正在努力使用備份來恢復受影響的系統。這種情況表明，該公司的伺服器很可能是遭到了勒索軟體的襲擊。“為了評估攻擊規模，相關伺服器已經暫時關閉。一旦威脅被消除，資料備份系統將啟動。”Mauro Piasere說，“沒有資料丟失，因為我們所有的系統都有備份。”Mauro Piasere還透露，此次攻擊來自印度金奈，但攻擊者的身份尚不明確。

參考來源：

https://www.hackeye.net/securityevent/17864.aspx

關於安全幫®

安全幫®，是中國電信北京研究院旗下安全團隊，致力於成為“SaaS安全服務領導者”。目前擁有“1+4”產品體系：一個SaaS電商(www.anquanbang.vip) 、四個平臺（SDS軟體定義安全平臺、安全能力開放平臺、安全大資料平臺、安全態勢感知平臺）。