>> FireEye最近表示,一個(gè)包含了2億個(gè)人身份信息的數(shù)據(jù)庫(kù)在地下論壇被兜售,這些信息來(lái)自數(shù)個(gè)知名日本網(wǎng)站的數(shù)據(jù)庫(kù)。這份數(shù)據(jù)庫(kù)很可能來(lái)自一名中國(guó)的商販,最早在2017年12月被以150美金的價(jià)格進(jìn)行兜售,數(shù)據(jù)庫(kù)包含了名字、憑證、郵箱、生日、電話號(hào)碼以及居住地址。這些數(shù)據(jù)來(lái)自于多個(gè)日本網(wǎng)站,包括零售業(yè)、食品飲料哦、金融、娛樂(lè)以及交通。
據(jù)悉,這份數(shù)據(jù)很可能是真實(shí)的,應(yīng)該在2016年5月到 6月之間被 獲取,但是有些數(shù)據(jù)可能2013年5月到6月間就已經(jīng)被獲取。不過(guò)研究人員也指出,這些信息很可能是從以前的泄露中的重復(fù)信息,因此這份泄露不一定會(huì)對(duì)個(gè)人信息造成嚴(yán)重的攻擊。
>> 由于一個(gè)漏洞,LocationSmart的電話追蹤功能的試用版不得不被暫時(shí)下架。
LocationSmart之前在自己的網(wǎng)站上給客戶提供了一項(xiàng)服務(wù)的試用版:可以實(shí)時(shí)追蹤某部手機(jī)的地理位置——但是需要電話所有者的 許可。經(jīng)過(guò)測(cè)試,這個(gè)定位相當(dāng)精準(zhǔn)。然而,一名來(lái)自卡耐基梅隆大學(xué)的在讀博士生表示,香港服務(wù)器租用,自己只用了15分鐘就發(fā)現(xiàn)了網(wǎng)站上的漏洞。他表示,這個(gè)漏洞幾乎能讓任何懂一點(diǎn)網(wǎng)絡(luò)知識(shí)的人免費(fèi)追蹤任何一個(gè)人的地理位置信息。這個(gè)漏洞體現(xiàn)在頁(yè)面沒(méi)有適當(dāng)確認(rèn)用戶是否達(dá)成被追蹤者的首肯,因此攻擊者可以通過(guò)讓網(wǎng)站回復(fù)一個(gè)不同格式的請(qǐng)求來(lái)達(dá)成自己的目的。
LocationSmart表示,下架后已經(jīng)修復(fù)了漏洞,并且沒(méi)有其他人利用過(guò)這個(gè)漏洞。而民主黨人Sen. Ron Wyden顯然不買(mǎi)賬,他借此事再次要求美國(guó)聯(lián)邦通信委員會(huì)要嚴(yán)加調(diào)查無(wú)線供應(yīng)商對(duì)地理數(shù)據(jù)的濫用,而此次事件體現(xiàn)了無(wú)線網(wǎng)絡(luò)生態(tài)對(duì)美國(guó)的安全毫不關(guān)心。
>> 近日,微軟和谷歌的研究人員宣布熔斷/幽靈類型的漏洞有了第四種變體。第四種變體可以在不同的情況下,VPS租用 國(guó)內(nèi)服務(wù)器,通過(guò)在有隱患的設(shè)備或者計(jì)算機(jī)上運(yùn)行惡意軟件或者惡意進(jìn)入系統(tǒng),從而從內(nèi)核或者應(yīng)用內(nèi)存中竊取隱私信息,比如密碼。該漏洞影響了英特爾、AMD以及ARM。
這個(gè)變體可以通過(guò)在程序內(nèi)運(yùn)行腳本被利用——比如在瀏覽器的頁(yè)面里運(yùn)行JavaScript。不過(guò)英特爾表示,對(duì)于已經(jīng)針對(duì)變體一打過(guò)補(bǔ)丁的系統(tǒng),攻擊者將更難利用變體四。另外,暫時(shí)并沒(méi)有發(fā)現(xiàn)有針對(duì)變體四發(fā)起攻擊的代碼。盡管如此,英特爾、AMD以及ARM都相繼表示將對(duì)這個(gè)漏洞進(jìn)行更新,而Red Hat、VMware和Xen Project等也對(duì)此提出了建議與修復(fù)方法。
