BUF早餐铺 | MongoDB 数据库泄露 1100 万份邮件记录;Facebook为提交网站第三方应用或网站漏洞的用...

栏目: 数据库 · 发布时间: 6年前

内容简介:各位Buffer早上好,今天是2018年9月20日星期四,农历八月十一。今天的早餐铺内容有:以下请看详细内容:

各位Buffer早上好,今天是2018年9月20日星期四,农历八月十一。今天的早餐铺内容有: MongoDB 数据库泄露 1100 万份邮件记录; Pegasus 间谍软件已经渗透到 45 个国家和地区; 2018 年第二季度针对web网站的攻击数量有所上升; Facebook 为提交网站第三方应用或网站漏洞的用户发放奖金; GovPayNet凭证系统存在漏洞,1400万交易记录被曝光; 央行:将进一步探索构建行业共享的金融网络安全防护平台。

BUF早餐铺 | MongoDB 数据库泄露 1100 万份邮件记录;Facebook为提交网站第三方应用或网站漏洞的用...

以下请看详细内容:

MongoDB 数据库泄露 1100 万份邮件记录

9 月 17 日,安全研究员 Bob Diachenko发现了一个可公开访问的 MongoDB 数据库,其中包含 43.5 GB 的数据和 10999535(将近 1100 万)份 Yahoo 电子邮件地址。 数据库中可见的每条记录都包含电子邮件地址、全名、性别、城市、邮政编码以及实际地址等敏感个人数据。

除了电子邮件地址之外, 数据库中还有关于邮件 服务器 在联系时发送状态的信息,详细说明邮件是否已发送或服务器是否拒绝了电子邮件。随后,该数据库在Shodan 上被标记为“遭遇入侵”,且出现了被勒索的信息,勒索者要求 0.4 BTC 的赎金。目前,该数据库已经下线。[来源: bleepingcomputer ]

臭名昭著的 Pegasus 间谍软件已经渗透到 45 个国家和地区

Citizen Lab 的研究人员发现,近两年来全球最危险的安卓与 iPhone 间谍软件 Pegasus 已经渗透到 45 个国家与地区。这个软件由专门售卖高科技监控 工具 的以色列黑客组织 NSO 开发,可以远程入侵全球情报机构的苹果手机和安卓设备。利用这个软件,攻击者可以在攻击目标不知情的情况下获取大量数据,包括短信、日历条目、邮件、WhatsApp 信息、用户位置、麦克风、摄像头等权限和内容。[来源: thehackernews ]

2018 年第二季度针对 web 网站的攻击数量有所上升

web 网站服务供应商 SiteLock 调查发现,在 2018 年第二季度,web 网站遭遇的攻击数量有所上升。平均每个网站每天遭遇的攻击高达 58 次,也就是说一个网站每隔 25 分钟就会遭遇一次攻击。与一季度相比,攻击体量增加了 16%。数据显示,目前常见的方法是挖矿劫持以及基于 JS 的攻击。与第一季度相比,挖矿劫持增加了一倍,而恶意 JS 文件则增加了 16%。挖矿劫持的脚本大多使用 JS 套件部署并挖掘加密货币,因此二者同步增长。加密劫持和 JS 脚本往往有隐蔽性,不易被受害者发现,因此成为攻击者青睐的攻击手段。[来源: darkreading ]

Facebook 为提交网站第三方应用或网站漏洞的用户发放奖金

近日,FaceBook 扩展了其漏洞奖励计划,把第三方程序或网站中可能泄露 FaceBook 用户访问 token 的漏洞也纳入其中。FaceBook 认为,访问 token 是用户独有的,可用于连接 FaceBook 账号登录第三方应用或网站,一旦第三方应用或网站存在漏洞,泄露 token,那么用户的 FaceBook 账号也存在风险。因此,FaceBook 为研究人员开放通道,专门用于提交相关漏洞,提交的材料需要包含 PoC 演示,还要满足已经在用户设备上发现数据传输等条件。此外,只有提交的漏洞来自活跃用户超过 5 万人的第三方应用或网站才能得到认可。[来源: helpnetsecurity ]

GovPayNet凭证系统存在漏洞,1400万交易记录被曝光

安全研究员称,专门为美国政府机构提供在线支付服务的网站 GovPayNow.com 出现数据泄露情况,其系统凭证存在漏洞,导致任意人即可访问收据数据,其中包括法院下达的罚款、保释金以及交通罚款等等。根据最新信息,自2012年以来大概有1400万条包含收据信息的记录被泄露。在演示中,研究人员简单修改收据 URL 中的 ID 数字就能轻松访问 GovPayNet 支付系统中的任意凭证,包括收据所有者的全名、居住地址、手机号码以及交易所使用行用卡的后四位数字。目前,GovPayNet 已经收到问题警报并表示已经解决。[来源: darkreading ]

央行:将进一步探索构建行业共享的金融网络安全防护平台

据澎湃新闻消息,2018年网络安全技术高峰论坛上,中国人民银行金融信息中心副主任唐彬表示,央行将进一步探索构建行业共享的金融网络安全防护平台,并着力保护关键信息基础设施。央行还将更多地推动建设行业协同和信息共享,形成合力,“比如网络安全的信息共享平台,包括一些行业共享的公共的防护平台,可以此推动网络安全漏洞、技术产品缺陷、安全威胁态势的共享。”[来源: 界面新闻 ]

*AngelaY 编译整理,转载请注明来自 FreeBuf.COM


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

C算法(第二卷:图算法)(第3版)

C算法(第二卷:图算法)(第3版)

塞德威克(Sedgewick Robert) / 周良忠 / 第1版 (2004年1月1日) / 2004-4 / 38.0

《C算法(第2卷)(图算法)(第3版)(中文版)》所讨论的图算法,都是实际中解决图问题的最重要的已知方法。《C算法(第2卷)(图算法)(第3版)(中文版)》的主要宗旨是让越来越多需要了解这些算法的人的能够掌握这些方法及基本原理。书中根据基本原理从基本住处开始循序渐进地讲解,然后再介绍一些经典方法,最后介绍仍在进行研究和发展的现代技术。精心挑选的实例、详尽的图示以及完整的实现代码与正文中的算法和应用......一起来看看 《C算法(第二卷:图算法)(第3版)》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

html转js在线工具
html转js在线工具

html转js在线工具

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具