【安全帮】美版“知乎” Quora 遭黑客入侵：1 亿用户数据裸奔

思科解决思科基础许可证管理器中的 SQL 注入漏洞 据悉，思科发布了安全更新，以解决思科基础许可证管理器（CiscoPrime License Manager）网页框架代码中的安全漏洞，攻击者可利用该漏洞执行任意SQL查询。思科修复了思科基础许可证管理器（CiscoPrime License Manager）中的漏洞，未经身份验证的远程攻击者可利用该漏洞执行任意SQL查询。 该漏洞源于用户输入的SQL查询中缺乏正确的验证。 攻击者可通过向易受攻击的应用程序发送其制作的 HTTP POST 请求来触发漏洞，该请求中包含恶意SQL 语句 。 思科发布通知表示，“思科基础许可证管理器（CiscoPrime License Manager）网页框架代码中的安全漏洞可允许未经身份验证的远程攻击者执行任意SQL查询。”

参考来源：

https://www.easyaq.com/news/246042242.shtml

App Store 又被钻空子，诈骗者利用 Touch ID 每月非法获利数万美元 不怀好意的开发人员找到了一种新方法，来欺骗用户为毫无价值的服务付费。该欺诈模式使用TouchID，欺骗用户进行应用内购，价格最高可达99.99美元。该博客列举的两个例子，都是所谓的健身应用。在这两个例子里，应用都指示用户将手指放在iPhone的Home键上，以便“扫描”他们的指纹来获取健康数据。然而，在“扫描”时，应用会触发应用内购行为，然后通过TouchID进行验证，甚至在用户意识到正在发生的事情之前就已经完成。这一事件也引发了人们对苹果能否首先发现诈骗行为的质疑。虽然App Store一直以来都宣称比其他应用商店更安全，但这并不是第一次允许不怀好意的开发者上架应用。

参考来源:

https://www.lieyunwang.com/archives/449698

小心！如果你在 Mac 上使用森海塞尔耳机很容易被黑客攻击 Sennheiser（森海塞尔）在最近修复了其耳机软件的一个严重漏洞。研究人员发现，这个漏洞允许攻击者干扰HTTPS请求，将用户暴露给恶意网站。需要指出的是，该漏洞并不涉及硬件，而是影响到了Sennheiser官方提供的HeadSetup音乐服务软件。Sennheise耳机中的这个严重漏洞是由德国网络安全公司Secorvo的研究人员发现的，导致Windows和Mac用户都容易遭受黑客攻击。该漏洞可能允许黑客实施中间人（MITM）攻击，以在用户访问某些网站时嗅探流量。

参考来源：

http://toutiao.secjia.com/article/page?topid=111032

巴西订阅视频服务 Sky Brasil 暴露 32.7 万用户信息 独立研究员Fabio Castro发现，巴西最大的订阅电视服务公司Sky Brasil泄露了32.7万用户的信息，包括28.7GB的日志文件和429.1GB的API数据，这些数据显示姓名，家庭住址，电话号码，出生日期，客户端IP地址，付款方式和加密密码。虽然Castro发现了这一事件后通知了Sky Brasil，公司随后也对数据库进行了密码保护。但其服务器至少从10月中旬就开始在Shodan上被编入索引，目前还不清楚数据库的访问者数量。

参考来源：

https://www.secrss.com/articles/6864

美版 “ 知乎 ” Quora 遭黑客入侵： 1 亿用户数据裸奔 美国社交问答网站Quora CEO亚当·德安杰洛（Adam D’Angelo）周一发表题为《Quora安全更新》的博文，披露该公司遭遇重大安全问题，导致1亿用户受到影响。Quora称，该公司已经聘请“顶尖数字法证和安全公司”，并且已经上报执法部门。他们上周五发现其用户数据遭到身份不明的第三方非法获取。亚当在博客中表示，大约1亿Quora用户可能有大量信息遭到泄露，包括帐号信息，例如姓名、电子邮件地址、密码、用户授权引入的其他网络数据；公开内容和活动，例如提问、回答、评论和赞同；非公开内容和活动，例如回答请求、不赞同、私信。

参考来源：

http://hackernews.cc/archives/24547

  工信部就用户个人信息保护问题约谈同程艺龙 针对网民反映的同程艺龙微信小程序中“12306畅行会员”服务存在的默认开通会员协议等用户个人信息保护相关问题，工业和信息化部信息通信管理局组织进行了核查，并于2018年12月3日约谈了苏州同程艺龙网络科技有限公司（以下简称同程艺龙公司）。信息通信管理局指出，对照《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》（工业和信息化部令第24号）等有关规定，同程艺龙微信小程序存在未公示用户个人信息收集使用规则、默认开通12306畅行会员协议、未履行部分服务承诺的问题，同程艺龙公司应当本着充分保障用户知情权和选择权的原则立即进行整改，切实维护用户合法权益。

参考来源：

http://tech.caijing.com.cn/20181204/4543160.shtml

谷歌开源漏洞跟踪工具 Monorail 中被曝跨站点搜索漏洞 一名安全研究员表示，在谷歌开源漏洞跟踪工具 Monorail 中找到一个漏洞，可被用于执行跨站点搜索 (XS-Search) 攻击。Monorail 用于检查和 Chromium 相关项目中的问题，PDFium、Gerrit、V8甚至著名的 0day 漏洞团队 Project Zero 也在使用它。Luan Herrera 表示，最近发现的这个漏洞可导致信息泄露问题。Herrera 发现 Monorail 支持将某种搜索查询结果下载为 CSV 格式以及其它功能，它易受跨站点请求伪造攻击的影响。因此，攻击者能够强制用户在访问恶意链接时下载搜索查询结果。

参考来源：

https://www.solidot.org/story?sid=58460

关于安全帮®

安全帮®，是中国电信北京研究院旗下安全团队，致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系：一个SaaS电商(www.anquanbang.vip) 、四个平台（SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台）。