BUF早餐铺 | 福布斯全球2000强企业HCL泄露大量员工和商业信息;数千万条Instagram名人信息泄露;Win10计划任务程序0-day漏洞攻击代码发布 – 作者:AngelaY

各位Buffer早上好,今天是 2019 年 5 月 23 日星期四。今天的早餐铺内容主要有:福布斯全球2000强企业HCL泄露大量员工和商业信息;数千万条Instagram名人信息泄露;Win10计划任务程序0-day漏洞攻击代码发布;谷歌发现G Suite漏洞,部分密码明文存储长达十四年;微软呼吁行业数据隐私问题需要联邦监管;禁用超线程才能完全缓解ZombieLoad 但性能下降高达 40%。

chinese-dim-sum-char-siu-pao-har-gao.jpg

福布斯全球2000强企业HCL泄露大量员工和商业信息

近日,UpGuard研究团队发现位列福布斯全球2000强的IT服务和咨询公司Hindustan计算机有限公司(HCL)存在信息泄露的风险。HCL在多个子域上托管了可公开访问的页面和Web界面,导致大量员工和商业信息公开暴露。UpGuard研究团队最早在5月1日就发现这些安全隐患,当时他们在HCL域中检测到一个可免费下载的文档(包含客户关键字),随后发现了“其他可公开访问的页面,包含个人和商业数据”。暴露的数据“包括新雇员的个人信息和明文密码、客户基础设施安装报告以及管理人员的Web应用程序。”目前,HCL仍未对此事发表公开回复,不过至少及时响应了研究人员的提醒并采取了防护和补救措施。UpGuard认为,HCL及时有效的响应值得其他存在泄露风险的企业学习。[来源: bleepingcomputer]

数千万条Instagram名人信息泄露

据外媒TechCrunch报道,安全研究人员Anurag Sen发现Instagram位于AWS存储桶上的一个大型数据库保护不当,可被任意没有访问权限的人访问。该数据库包含4900多万条Instagram账户的联系信息,其中大部分都是网红和大V的个人信息,如个人经历、资料图片、粉丝数量、所在城市、私人联系方式、电子邮件地址以及电话号码等信息。另外,该数据库中还包含了计算每个账户价值的具体字段,可以估算账户的商业价值。据TechCrunch调查,该数据库属于社交媒体营销公司Chtrbox,其总部位于印度,主要业务就是让网红和网络大V发布广告。目前事件正在进一步调查当中。[来源: securityaffairs]

Win10计划任务程序0-day漏洞攻击代码发布

在微软发布本月安全更新之后,研究人员SandboxEscaper发布了Win10计划任务程序0-day漏洞的攻击代码。该漏洞的利用目标主要是提升本地权限,让权限有限的用户可以完全控制SYSTEM和TrustedInstaller等高级权限用户才能访问的文件。通过将遗留任务文件导入Windows 10上的计划任务程序,就可以利用该漏洞。运行从旧系统复制的可执行文件’schtasks.exe’和’schedsvc.dll’命令可以触发远程过程调用(RPC) ),并触发“_SchRpcRegisterTask”。这个过程中,触发特定功能就能实现上述提升权限的目标。目前,该攻击可以在Windows 10 系统上成功复现,而在Windows 7 和 Windows 8系统上则未复现成功。[来源:bleepingcomputer]

谷歌发现G Suite漏洞:部分密码明文存储长达十四年

据美国科技媒体The Verge报道,谷歌在博客文章里披露,公司最近发现一个漏洞,导致部分G Suite用户的密码以明文方式存储。博文中称,该漏洞自2005年以来就存在,但谷歌未能找到任何证据表明,任何人的密码被非法访问过。公司正在重置可能受影响的密码,并已告知各G Suite管理员。谷歌并未说明具体有多少用户受到这一漏洞的影响,只是表示该漏洞影响了“我们部分的企业G Suite用户”——估计是2005年时使用G Suite的那些人。尽管谷歌也没有发现任何人恶意使用这一访问权限的证据,但我们也无法清楚地知道究竟谁访问过这些明文密码。目前这个漏洞已经修复,同时谷歌在博文最后表达了歉意。[来源: sina]

微软呼吁行业数据隐私问题需要联邦监管

据外媒报道,最近的隐私问题使得数据收集成为公众关注的焦点。在过去,科技公司采用的都是自我监管的方式,但现在,这个行业开始呼吁联邦监管。当地时间周一,微软副总裁兼副总法律顾问Julie Brill在一篇博文中对欧盟近一年前颁布的《通用数据保护条例(GDPR)》进行了反思。Brill认为,GDPR在改变科技公司处理个人数据的方式方面非常有效。Brill指出,GDPR已经激励其他一些国家采取类似的规定。她还赞赏自己的公司是“第一家将GDPR核心的数据控制权提供给全球客户,而不仅仅是欧洲客户的公司”。然而,这种自我监管在Brill看来还不够好。尽管加州和伊利诺斯州等州已经拥有强有力的数据保护法,但Brill认为,美国需要类似于联邦级别的GDPR。

微软并不是唯一一家呼吁联邦监管的大型科技公司。同样强调其强大隐私政策的苹果最近也表示,自我监管的时代已经结束。今年4月,该公司CEO蒂姆·库克在Time 100峰会上表示:“我们都必须在理智上诚实,我们必须承认,我们正在做的事情并不奏效。技术需要被监管。”[来源:cnbeta]

禁用超线程才能完全缓解ZombieLoad 但性能下降高达 40%

上周 Intel 曝出影响 2011 年以来几乎所有芯片的漏洞 ZombieLoad,利用该漏洞,攻击者可以对芯片发起边信道攻击,在同一 CPU 上执行恶意进程,进而获取 CPU 的微架构缓冲器中的存储器内容。虽然 ZombieLoad 得到有价值数据的成本比较高,但是各大公司都十分重视这个漏洞,毕竟它影响了 2011 年以来几乎所有芯片,打击范围十分广泛。Intel 自己已经发布了微代码,从架构上缓解该问题,其它科技公司如苹果、微软与谷歌也都相继发布了补丁。

事实上,苹果和谷歌都已经警告 macOS 和 Chrome OS 用户禁用超线程可获得全面保护,并且谷歌现在默认从 Chrome OS 74 开始禁用超线程。但是禁用超线程的性能代价实在有点高。

Intel 发言人表示,大部分打过补丁的设备在最坏的情况下可能会受到 3% 的性能影响,而在数据中心环境中可能会是 9%。而PostgreSQL 基准测试发现,禁用超线程后,性能下降了近 40%;Ngnix 基准测试的性能下降了约 34%;Zombieload 的研究人员表示禁用超线程会使某些工作负载的性能下降 30% 至 40%。[来源:cnbeta]

来源:freebuf.com 2019-05-23 07:00:25 by: AngelaY

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论