BUF早餐铺 | 工信部要求应用商店全面下架“社保掌上通”APP;不安全数据库泄露中国3300万份简历;WinRAR bug被用于安装恶意程序 – 作者:AngelaY

各位Buffer早上好,今天是2019年3月18日星期一。今天的早餐铺内容主要有:英美在线商店数千名用户的支付数据被窃取 ; 不安全的数据库泄露中国3300万份简历;环球易购旗下跨境电商网站Gearbest泄露数百万用户信息和订单;WinRAR bug 正被利用安装难以检测的恶意程序;三星商城被黑客攻击:Galaxy S10订购页面出现Bug价格遭疯抢工信部:应用商店全面下架“社保掌上通”APP。

CR-Health-InlineHero-How-to-Reduce-Inflamation-07-18.jpg

英美在线商店数千名用户的支付数据被窃取

网络安全公司Group-IB近日公布了一种专门窃取用户支付数据的恶意代码,针对英国和美国七大在线商店发起攻击。研究人员表示这种恶意代码属于新型JavaScript Sniffer (JS Sniffer),最早在 FILA UK商店发现。在过去4个月中,这些代码至少窃取了5600名用户的支付信息。此外,British Airways、Ticketmaster、 http://jungleeny.com (家居设计商店)、https://forshaw.com/ (害虫治理产品商店)、 https://www.absolutenewyork.com/ (化妆品商店)、https://www.cajungrocer.com/ (在西安百货商店),、https://www.getrxd.com/ (运动设备商店)等都受到影响。[来源: securityaffairs]

 不安全的数据库泄露中国3300万份简历

近日,研究人员Sanyam Jain发现一个不安全的数据库,包含约3300万份中国用户的简历。这些简历文件共有57G大小,可在网上公开访问。简历信息包括用户名、性别、年龄、所在城市、家庭地址、邮箱、手机号、婚姻状态、工作经历、教育经历、薪水等。在3月10日发现这个数据库后,Sanyam尝试寻找数据库的管理员,但是并没有找到,只分析出这些简历与中国的51Jobs、拉勾网以及智联招聘等招聘网站有关。据分析,可能是有人专门从这些网站搜集用户上传的简历并集中到一起,用于特殊目的。目前,国内安全应急响应中心CNCERT已经接到了Sanyam的报告,并确认该数据库IP所属者是“北京机到网络科技有限公司”,并通知该公司关闭了该数据库。但是,尚不清楚此前有多少人接触到或者利用过这些信息,建议使用过这些网站的用户注意保护自己的信息并警惕钓鱼攻击。[来源: bleepingcomputer]

环球易购旗下跨境电商网站Gearbest泄露数百万用户信息和订单

国外安全研究员Noam Rotem发现中国环球易购(Globalegrow)旗下自营网站Gearbest泄露了数百万用户信息和订单。泄露的信息包括用户姓名、地址、电话号码、电子邮箱、订单及产品信息、支付和发票信息等。此外,Rotem还在同一IP地址上发现了一个单独的基于Web的数据库管理系统,利用这个系统,可以操纵或破坏Gearbest母公司环球易购所运行的数据库。目前,Rotem已经联系了Gearbest ,但是Gearbest既没有关闭数据库保护数据也没有任何回应。[来源:freebuf]

WinRAR bug 正被利用安装难以检测的恶意程序

上个月,流行的解压缩软件 WinRAR 曝出了一个至少 14 年历史的代码执行漏洞,安全公司 Check Point 的研究人员在 UNACEV2.DLL 的过滤函数中发现了一个漏洞,允许将代码提取到 Windows 启动文件夹,在 Windows 重启之后执行。现在,McAfee 研究人员报告该漏洞正被利用安装难以检测的恶意程序。当存在漏洞的 WinRAR 解压恶意压缩文档,它会悄悄将名为 hi.exe 的文件提取到启动文件夹,当系统重启之后它会安装一个木马程序,该木马目前只有少数杀毒软件能检测出来。WinRAR 用户最好升级到新版本或者改用其它解压软件如 7zip。[来源:solidot]

三星商城被黑客攻击:Galaxy S10订购页面出现Bug价格遭疯抢

近日,三星中国官网上线了S10系列的“以旧换新”活动,旧机可抵购新机款,同时最高可享800元换新补贴。不过该服务上线后,有网友发现网页疑似出现Bug,即便不换新也可以使用优惠选购三星S10手机,根据不同机型出现过金额不等的优惠,最高优惠可达2400元,部分S10遭到了羊毛党的疯抢。随后三星发现此问题,并于3月16日发布公告,公告表示三星网络商城受到了黑客攻击而产生错误,至于已经产生的订单,则会交由客服与消费者沟通解决。[来源:cnbeta]

工信部:应用商店全面下架“社保掌上通”APP

3月15日,第29届央视35晚会曝光了众多APP通过不平等、不合理条款的授权协议,强制索取用户的个人信息的问题。其中,社保掌上通APP被晚会点名,晚会主持人通过实际操作发现,当用户在该APP上输入身份证号、社保账号、手机号等信息,完成注册后,电脑远程就能截取到用户的几乎所有信息。据媒体报道,工信部立即启动应用商店联动处置机制,要求腾讯、百度、华为、小米、OPPO、Vivo、360等国内主要应用商店全面下架 “社保掌上通”APP,对“社保掌上通”手机APP的责任主体杭州递金网络科技有限公司进行核查处理,并全力组织对同类APP进行排查检测,对类似问题一并要求整改。[来源: cnbeta]

来源:freebuf.com 2019-03-18 07:00:19 by: AngelaY

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论