【安全帮】严重漏洞让4亿微软账户险遭暴露；无业黑客最高能年赚50万美元 靠测试漏洞赚赏金

GitLab 推出公开漏洞奖励计划，最高赏金 1.2 万美元 本周，开源的 Git 仓库管理系统 GitLab 宣布推出公开的漏洞奖励计划。研究人员如在产品和服务中发现严重漏洞，最高可获得1.2万美元的奖励。GitLab 旨在通过提供可用于整个 DevOps 生命周期的开源平台让软件开发更容易更高效。虽然在很多方面它类似于 GitHub，但GitLab 最近融资1亿美元，提供范围更广的服务。2014年，GitLab 在 HackerOne 的协助下推出漏洞披露计划。去年，该公司表示小型私密漏洞奖励计划共为100多名白帽黑客找到的250个左右的漏洞支付约20万美元。GitLab 目前决定通过 HackerOne 推出公开漏洞奖励计划，涵盖 GitLab 安装、生产服务及其它产品如 SaaS 服务。研究人员已受邀报告 SQL 注入、远程代码执行、XSS、CSRF、目录遍历、权限提升和信息泄漏漏洞。

参考来源：

http://codesafe.cn/index.php?r=news/detail&id=4615

严重漏洞让 4 亿微软账户险遭暴露

在 SafetyDetective 公司工作的印度赏金猎人 Sahad Nk 发现并向微软报告了微软账户中的一系列严重漏洞并获得一笔数额不明的奖金。这些漏洞出现在用户的 MS Office 文件、Outlook 邮件等的微软账户中。也就是说所有类型的账户（超4亿）和所有类型的数据均易遭攻击。如果结合使用这些漏洞，将成为获取用户微软账户访问权限的完美攻击向量。攻击者需要的不过是强制用户点击某链接。Sahad Nk 在博客中表示，微软的一个子域名 “success.office.com” 配置不正确，这也是为何他能使用 CNAME 记录控制该子域名的原因。CNAME 记录是域名之间连接的规范记录。Sahad 使用 CNAME 记录能够定位配置错误的子域名并将其指向个人 Aure 实例，从而获取对子域名和它所获取的所有数据的控制。

参考来源：

https://tech.sina.com.cn

无业黑客最高能年赚 50 万美元 靠测试漏洞赚赏金 据美国媒体报道，安全漏洞悬赏平台Bugcrowd发布的最新数据显示，通过为特斯拉等公司和美国国防部等组织查找安全漏洞并报告所查找出的问题，自由职业型的精英黑客每年能够获得超过50万美元的收入。于2012年在旧金山成立的Bugcrowd，是为客户查找和报告软件安全漏洞的少数几家所谓的“漏洞悬赏”公司之一。这些公司为黑客提供了一个平台，让黑客安全地对那些希望接受测试的公司的软件进行安全漏洞追踪。黑客按照合同为特定的公司工作，当他们在该特定公司的基础设施中发现缺陷时，就会获得支付的赏金。他们获得支付赏金的多少，取决于所发现漏洞的严重程度。Bugcrowd首席执行官凯西·埃利斯(Casey Ellis)表示，随着该领域数百万个职位空缺，各公司正在越来越多地寻找网络安全测试的替代方案。据估计，到2021年，可能会有多达350万个网络工作岗位空缺。

参考来源：

http://tech.qq.com/a/20181212/013702.htm

FB 承认有软件漏洞 680 万用户的照片有风险被存取 社交网站Facebook承认有软件漏洞，导致最多680万名用户的照片有风险被人在未经同意下存取。受影响的用户将收到通知，提醒他们自己的照片可能已曝光。 Facebook还表示，它将与 开发 人员合作删除它们不应该访问的照片副本。总共有来自876个不同开发者的多达1500个应用程序可能不恰当地访问了用户的图片。Facebook表示，该漏洞与Facebook登录及其照片API相关的错误有关，该错误允许开发人员在自己的应用程序中访问Facebook照片。所有受影响的用户都使用他们的Facebook帐户登录到第三方应用程序，并授予这些应用程序一定程度的访问权限以查看他们的照片。

参考来源：

https://www.cnbeta.com/articles/tech/798641.htm

培训机构贩卖学生信息 安徽警方摧毁一条灰色产业链 安徽省滁州市琅琊警方成功破获一起涉及侵犯全省多地学生个人信息案件，累计查获学生个人信息20余万条，扣押作案电脑10余台。目前，涉案的4名嫌疑人已被警方刑事拘留。今年11月初，滁州琅琊警方在开展“净网2018”专项行动中获悉，滁州市五中旁的一家培训机构，掌握有该市多家中小学校学生及学生父母的个人信息。信息内容涵盖学生的姓名、班级，以及学生父母的姓名、联系方式、工作单位等详细信息。11月22日，专案组组织警力对该教育培训机构进行突击检查，当场查获学生及家长的个人信息一万余条，扣押涉案电脑三台。随着犯罪嫌疑人的悉数落网，整个犯罪链条也浮出水面。为了招揽生源，扩大知名度，束某东从朋友张某那获得了一份涉及安徽省中小学学籍信息，然后将这些信息打包出售，通过上家卖下家，下家再卖下家，循环在市场上扩散开来。截止目前，琅琊公安分局已经对涉嫌侵犯公民个人信息罪的犯罪嫌疑人闫某、付某、梁某某、束某东依法采取了强制措施。

参考来源：

http://www.xinhuanet.com/local/2018-12/12/c_1123843102.htm

共和党议员建议发行 “ 墙币 ” 资助美墨边界围墙建造 美国总统特朗普想要在美墨边境造墙，但该项目提议尚未获得国会拨款。俄亥俄州众议员 Warren Davidson 提出了新方法去资助该项目：通过众筹网站众筹或者利用区块链技术发行数字货币，他称之为“墙币（Wall Coins）”。他上月底向国会递交了法案“Buy a Brick, Build a Wall Act”，允许财政部长接受造墙的小额捐款，设立账号 Border Wall Trust Fund 去管理资金。

参考来源：

https://www.solidot.org/story?sid=58960

意大利石油和天然气服务公司 Saipem 称遭到了来自印度的网络攻击 据路透社（Reuters）报道，意大利石油和天然气服务公司Saipem（SPMI.MI）表示，它于周本一发现了一起网络攻击，主要影响了其在中东的服务器。Saipem公司的数字和创新负责人Mauro Piasere告诉路透社，攻击主要影响了该公司在中东地区的服务器，包括沙特阿拉伯、阿拉伯联合酋长国和科威特。他补充说，该公司在意大利、法国和英国的主要运营中心的服务器没有受到影响。Mauro Piasere表示，该公司正在努力使用备份来恢复受影响的系统。这种情况表明，该公司的服务器很可能是遭到了勒索软件的袭击。“为了评估攻击规模，相关服务器已经暂时关闭。一旦威胁被消除，数据备份系统将启动。”Mauro Piasere说，“没有数据丢失，因为我们所有的系统都有备份。”Mauro Piasere还透露，此次攻击来自印度金奈，但攻击者的身份尚不明确。

参考来源：

https://www.hackeye.net/securityevent/17864.aspx

关于安全帮®

安全帮®，是中国电信北京研究院旗下安全团队，致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系：一个SaaS电商(www.anquanbang.vip) 、四个平台（SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台）。