BUF 早餐铺 | 婚外情网站 Ashley Madison 泄露用户私密照片;近5500个wordpress 站点感染键盘记录脚本;新TeamViewer漏洞让攻击者劫持PC;英特尔修复的ME漏洞并不彻底

今天是12月8日星期五,今天早餐铺的主要内容有:婚外情网站 Ashley Madison 泄露用户私密照片;近5500个wordpress 站点受到带有键盘记录功能的恶意脚本感染;新TeamViewer漏洞让攻击者通过分享桌面会话,劫持他人PC;尽管英特尔修复了 ME中的漏洞,但并不彻底,研究人员依然可以用缓冲区溢出攻破。

1024px-Pavilion_cafe_breakfast.jpg

【国际时事】

婚外情网站 Ashley Madison 泄露用户私密照片

15126186347731.jpg

日前,有安全研究人员表示,知名婚外情网站 Ashley Madison 因其默认设置出现问题,导致用户私密照片泄露。

Ashley Madison.com是一家为已婚人士提供交友、约会服务的网站,鼓吹“人生苦短,及时行乐”(Life is short. Have an affair)。

在 Kromtech 安全团队和独立安全研究员 Matt Svensson 的联合调查中,发现 Ashley Madison 的默认设置存在问题,导致用户私密照泄露。

据了解,Ashley Madison 有两种照片存储模式,一种是直接公开分享,另一种是用密钥加密保管个人照片。如果有人人想要访问他人的加密照片,就必须使用密钥。但是,这种方式并不安全,因为一旦用户将密钥分享给其他人,对方的密钥也会自动分享出来,就算对方不愿意分享也无济于事。而一旦获取密钥,就可以通过 URL 查看照片。因此,就算从未注册过 Ashley Madison 的人也可以不经过身份验证,直接通过 URL 就可以查看并获取这些照片。

[FreeBuf]

近5500个wordpress 站点受到带有键盘记录功能的恶意脚本感染

WordPress-site-keylogger.png

近5500家WordPress网站传染了恶意脚本,这些脚本会记录键盘输入,有时候会加载挖矿程序。

恶意脚本是从”cloudflare.solutions”域名,跟Cloudflare没有任何关系,这个脚本会记录下用户输入的任何东西。

这段脚本会在网站的前端和后端运行,也就是说它能够在你登陆网站后台时记录用户名密码。

脚本在前台运行时也很危险。 虽然基本运行在WordPress网站上,它能够窃取用户数据的唯一地方是来自评论区,一些WordPress网站运行在线商店,此时攻击者可以记录信用卡数据和个人用户信息。

这些事件大多是因为黑客攻击了WordPress站点,并将恶意脚本隐藏在functions.php中,这是所有WordPress主题中的标准文件。

[BleepingComputer]

【漏洞攻击】

新TeamViewer漏洞让攻击者通过分享桌面会话,劫持他人PC

teamviewer-hack.png

你有没有安装远程支持软件TeamViewer?

如果是的话,那么你应该注意在软件中发现的一个严重的漏洞,可以让黑客在未经许可的情况下获得对方电脑的完全控制权。

TeamViewer是一个流行的远程支持软件,可让您安全地共享您的桌面,或通过网络完全控制其他人的电脑。

如果要建立远程会话,两台计算机(客户端和服务器)都必须安装软件,客户端必须与想控制他桌面的人员共享一个秘密认证码。

名为“Gellin”的GitHub用户在TeamViewer中披露了一个漏洞,该漏洞可能允许客户端(共享其桌面会话)在未经许可的情况下获得对观众计算机的控制权。

Gellin还发布了PoC代码,这是一个可注入的C++ DLL,它利用“内联hooking和直接修改内存来更改TeamViewer权限”。

可注入的C++ DLL可以被客户端和服务器使用:

用在服务器端:允许浏览者启用“互换服务器端/客户端”功能

用在客户端: 黑客能够用客户端控制服务器的鼠标和键盘“忽略服务器的当前控制设置和权限”。

[THN]

尽管英特尔修复了 ME中的漏洞,但并不彻底,研究人员依然可以用缓冲区溢出攻破

shutterstock_chip_person.jpg

星期三,Positive Technologies公司的安全研究人员Mark Ermolov和Maxim Goryachy在Black Hat Europe的一次演讲中演示了他们在英特尔管理引擎11中发现的固件漏洞,同时他们警告说英特尔的补丁还不够。

两周前,这两个演讲者获得了英特尔公司的感谢。当时Chipzilla发布了10条漏洞预警,涉及其管理引擎(ME)、服务器平台服务(SPS)和可信执行引擎(TXE)。

平台控制器中的英特尔管理引擎是一种协处理器,可以在各种芯片系列中提供vPro管理功能。它有自己的操作系统MINIX 3,它是一个类Unix操作系统,在设备主操作系统的内核之下运行。

这是一台专门用来监控电脑的“计算机”。

英特尔的漏洞可以让攻击者在受影响的硬件上运行任意代码,而用户并不知情。因此Chipzilla做了一个关闭开关。

[The Register]

【国内新闻】

谁在倒卖用户个人信息?新华社:内鬼是泄露主要渠道

0.jpg

去年以来,在公安部部署下,全国各地开展打击整治网络侵犯公民个人信息犯罪专项行动,取得了明显成效。但当前侵犯公民信息安全违法犯罪活动仍时有发生,非法收集、贩卖公民个人信息手法多样,手段更为隐蔽。

“新华视点”记者在多地反诈骗中心了解到,目前电信网络诈骗案件90%以上是违法分子靠掌握公民详细信息进行的精准诈骗,从已破获案件看,“内鬼”监守自盗和黑客攻击仍是公民个人信息泄露的主要渠道。

获案件看,“内鬼”监守自盗和黑客攻击仍然是公民个人信息泄露的主要渠道。

福州公安机关近日破获一起特大侵犯公民个人信息案,查获公民个人房产、征信报告、车辆、联系方式等信息超过千万条,抓获的19名犯罪嫌疑人绝大多数是房产开发、销售、中介等内部人员。他们利用职务便利,非法收集、交换、出售公民个人信息,从中牟利。

从公安机关破获和法院判决的案例看,车辆、征信报告、银行账户、房产、教育、医疗等信息成为“抢手货”,相关部门内部人员监守自盗案件时有发生。

在深圳福田的某资产管理有限公司,警方缴获非法公民个人信息1万余条、非法个人银行征信报告1000余份。警方最终摸查出非法提供这些个人信息的是3名某银行深圳分行个贷部在职员工。

此外,黑客攻击窃取个人信息呈增长趋势。“网络安全形势十分严峻。”从事网络安全保护业务的厦门服云信息科技有限公司技术人员朱一帆告诉记者,“从对政府机构、大型国企、高校、电商、交通等重点客户遭遇互联网黑客攻击的实时监测数据看,网络黑客入侵重点网站窃取信息有增无减,攻击手段日益多样化,而大量掌握公民个人信息的一些机构网络安全防护意识不强,投入不足,特别是没有对不断出现的网络安全漏洞及时采取修复措施,很容易被黑客攻陷,造成大规模信息泄露。”

[新浪科技]

政府网站泄露隐私受关注 各地整改升级保护机制

w700h350z1l10t10183.jpg

近日,多地政府专项工作网站被曝出在信息公开工作中存在泄露公民个人隐私的情况。登录某市政府信息公开网站,发布的市医疗救助对象花名册中,居民住址、联系电话,甚至个人病情等隐私赫然在列;某政府门户网站关于发放创业补贴的文件里,除了创业者姓名、项目名称、补贴金额等信息,创业者身份证号、家庭住址等隐私也被过度公开……如何平衡好政务公开与个人隐私保护?政府网站信息发布管理工作该补哪些短板?要更好地完成互联网时代的政务公开工作,这些问题亟待解决。

政府信息发布必须加强信息审查,否则,不仅可能泄露个人隐私,还可能泄露国家秘密和商业秘密。当然,政府网站并非个人隐私泄露的唯一渠道,但作为信息发布的重要平台,如何在个人隐私保护和政务信息公开中取得平衡,勘定知情与隐私的边界,政府网站理应作出示范。

《中华人民共和国政府信息公开条例》已施行近10年,条例中提到,行政机关不得公开涉及国家秘密、商业秘密、个人隐私的政府信息。但是,经权利人同意公开或者行政机关认为不公开可能对公共利益造成重大影响的涉及商业秘密、个人隐私的政府信息,可以予以公开。

去年公布的《国务院关于加快推进“互联网+政务服务”工作的指导意见》提出,建立健全保密审查制度,加大对涉及国家秘密、商业秘密、个人隐私等重要数据的保护力度;今年上半年出台的《政府网站发展指引》再次要求,建立保密审查机制,严禁涉密信息上网,不得泄露个人隐私和商业秘密……

一些地方的政府网站负责人反映,公民个人信息保护范畴不够明确,基层在具体操作时往往把握不准,建议制定明确的公民个人信息公开标准规范。

[新华网]

打造完美无缺的信息安全管理体系

猜您喜欢

安永发布第19届全球信息安全调查报告 深度解析网络安全挑战与对策
53% off Nulaxy Wireless In-Car FM Bluetooth Kit with Display and USB Charger #8211; Deal Alert http://news.keepred.cn/201705301624.html
电力信息安全审计工作指南
网络安全法学习课堂
JDRP THESAHWM
有效防范社交工程攻击的小贴士
企业安全意识之歌