各位Buffer早上好,今天是2019年4月8日星期一。今天的早餐铺内容主要有:研究人员发现中国企业简历信息泄露:涉5.9亿份简历;黑客滥用Google Cloud攻击D-Link路由器;流行Ruby库曝出恶意后门代码,始作俑者未知;Qt5 GUI开发的应用易受远程代码执行漏洞的影响;湖北一公职人员泄露公民信息5万余条,非法获利23万余元
研究人员发现中国企业简历信息泄露:涉5.9亿份简历
据美国科技媒体ZDNet报道,有研究人员发现,中国企业今年前3个月出现数起简历信息泄漏事故,涉及5.9亿份简历。大多数简历之所以泄露,主要是因为MongoDB和ElasticSearch服务器安全措施不到位,不需要密码就能在网上看到信息,或者是因为防火墙出现错误导致。
在过去几个月,尤其是过去几周,ZDNet收到一些服务器泄露信息的相关消息,这些服务器属于中国HR企业。发现信息泄露的安全研究者叫山亚·简恩(Sanyam Jain)。单是在过去一个月,简恩就发现并汇报了7宗泄露事件,其中已经有4起泄露事故得到修复。
简单统计,中国企业在过去3个月泄露的简历达以5.90497亿份。[sina]
黑客滥用Google Cloud攻击D-Link路由器
一位研究人员表示,在过去三个月中,谷歌云平台遭到滥用,针对D-Link、ARGtek、DSLink、Secutech和TOTOLINK路由器进行三次DNS劫持攻击,DNS劫持会导致路由器流量被重定向并发送到恶意网站。
2018年12月29日,第一波攻击发起,目标是D-Link DSL-2640B、D-Link DSL-2740R、D-Link DSL-2780B和D-Link DSL-526B,将其重定向到加拿大的流氓DNS服务器。2019年2月6日发起的第二波攻击也针对这些相同类型的 D-Link 调制解调器。3月26日,第三次攻击是针对的是ARG-W4 ADSL 、DSLink 260E、Secutech和TOTOLINK的路由器。
虽然暂时无法列出有多少路由器受到其影响,但有研究者表示,超过14000台D-Link DSL-2640B路由器与2265台TOTOLINK路由器暴露在公网上。研究人员也没有具体说明攻击者如何攻击路由器。然而,他指出,在过去几年中,DNSChanger恶意软件已经多产到为网络犯罪分子提供了1400万美元的收入。[leiphone]
流行Ruby库曝出恶意后门代码,始作俑者未知
流行的Ruby库Bootstrap-Sass曝出后门代码。Bootstrap-Sass是一个流行的Ruby UI框架,它为开发人员提供了一个Sass版本的Bootstrap。据报导,上周三,开发者Derek Barnes在该库3.2.0.3版本中发现后门代码,这一小段具有恶意性质的代码如上图所示,它嵌入Ruby或Ruby on Rails之后,会加载一个cookie文件并执行其内容。
据统计,虽然Bootstrap-Sass的安装量达到2800万,但是此后门版本仅有1477次安装,因为该库的最新版本是3.4.1,而很少有开发者在使用旧版本分支,这一点提供了有效的安全保障。报告公开的同一天该后门已经从RubyGems中删除,Bootstrap-Sass团队还撤销了对RubyGems的访问权限,因为开发人员认为他们的帐户遭到入侵并被用来推送恶意代码。
此外,RubyGems和GitHub上也发布了Bootstrap-Sass v3.2.0.4版本,完全删除了后门的相关内容。[cnbeta]
Qt5 GUI 开发的应用易受远程代码执行漏洞的影响
外媒报导称使用Qt5 GUI框架开发的应用程序容易面临远程代码执行漏洞。攻击者通过一个鲜为人知的命令行参数配置自定义协议处理程序,就可利用这个漏洞。
许多开发者并不知道当使用Qt5框架时,它还添加了可用于修改框架工作方式的命令行参数,例如要显示的窗口标题、窗口大小,甚至是图标。这些命令行参数会被传递给初始化Qt框架的函数,然后在其中对它们进行解析。上文所说的鲜为人知的命令行参数是platformpluginpath命令,用于指定从哪个文件夹加载Qt5插件,可以是本地文件夹,或者是远程UNC URL。当将此参数提供给程序时,程序将使用已输入的路径加载程序的Qt插件,这些插件是由框架加载以扩展其功能的特制DLL程序。
这意味着,如果攻击者在远程UNC上托管恶意DLL并且可以使用platformpluginpath参数启动程序,则他们可以远程加载DLL并执行它,从而进行远程代码执行。[cnbeta]
湖北一公职人员泄露公民信息5万余条,非法获利23万余元
近日,荆门京山市检察院依法以涉嫌侵犯公民个人信息罪对犯罪嫌疑人张某批准逮捕。张某,一公职人员,利用职务便利下载大量公民个人信息,并通过网上QQ聊天售出。
张某原本就职于某工商局,2017年4月以来,为谋取非法利益,利用职务便利在大数据分析平台上查询并下载了大量企业登记的公民个人信息,包括企业名称、法人代表姓名、电话号码等,后通过在网上QQ聊天寻找购买工商登记注册信息的“买家”,并通过QQ将企业登记的公民个人信息发送给客户。
经公安机关鉴定,其提取、下载公民个人信息5万余条,获取非法利益23万余元。
法律规定,公民个人信息不容侵犯,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。因此,张某在履行职责过程中获得的公民个人信息,出售给他人的,依照前款规定从重处罚。[secrss]
来源:freebuf.com 2019-04-08 06:59:04 by: Karunesh91
请登录后发表评论
注册