【安全帮】优衣库称日本购物网站46万账户遭黑客攻击

微信：对朋友圈诱导分享行为将采取永久封禁帐号等措施

5月13日，微信安全中心发布《关于利诱分享朋友圈打卡的处理公告》称，近期，某些公众号、App软件等主体通过以返学费、送实物等方式，利诱微信用户分享其链接（包括二维码图片等）到朋友圈打卡，违反了《微信外部链接内容管理规范》。部分主体在违规活动被处理后，只是改掉课程介绍页面中的违规字眼，但仍在业务流程中用各种方式利诱用户分享朋友圈打卡，有的甚至通过变换域名、新增类似业务等进行恶意对抗、多次违规。

参考来源：

https://www.jiemian.com/article/3122796.html

WhatsApp 漏洞被利用感染以色列间谍软件

《金融时报》披露，攻击者正利用 WhatsApp 的一个漏洞向目标手机注入以色列公司 NSO Group 开发的先进间谍软件。WhatsApp 是最流行的消息应用之一，在全世界有 15 亿用户。该公司的研究人员是在本月初发现这个缓冲溢出漏洞的，编号为 CVE-2019-3568 的漏洞存在于应用程序的 VOIP 堆栈中，允许攻击者向目标手机号码发送特制的 SRTCP 包实现远程执行代码。在iPhone或Android 设备上该漏洞可以通过 WhatsApp 呼叫功能进行利用。目标不需要接听电话，呼叫记录通常也不会显示在日志里。WhatsApp公司称它已经在上周五释出的更新中修改了该漏洞。加拿大多伦多大学公民实验室的研究人员称，在WhatsApp 工程师忙于堵上漏洞时有攻击者利用该漏洞针对了一位英国人权律师。对于攻击者利用 NSO Group 的间谍软件，该公司表示正在进行调查。

参考来源：

https://www.solidot.org/story?sid=60595

开源组件漏洞影响多个 CMS 系统

运行 Drupal、Joomla 或 Typo3 系统的网站 需要及时打上补丁 。编号为   CVE-2019-11831 的漏洞位于 PHP 组件 PharStreamWrapper 中，源于一个路径遍历 bug，允许攻击者用恶意的 phar 归档替换网站的合法相同文件。Drupal 开发者将这个漏洞标记中等危险级别，尽管不是高危，网站管理员还是应该尽可能快的打上补丁。发现该漏洞的安全研究员认为该漏洞属于高危。运行 Drupal 8.7 的网站需要升级到 8.7.1，8.6 或更早版本的网站需要更新到 8.6.16，7 需要升级到 7.67。Joomla 需要升级到 3.9.6。

参考来源：

https://www.solidot.org/story?sid=60590

优衣库称日本购物网站 46 万账户遭黑客攻击

亚洲最大的零售商迅销表示，黑客可能已经获取了旗下优衣库和GU品牌电子商务门户网站大约50万用户的个人信息。该公司周一发布声明称，黑客访问了在迅销的日本购物网站上注册的至少46万个账户。总部位于东京的迅销表示，可能已经获取了用户的个人信息、购买历史记录和部分信用卡号码。黑客攻击发生在4月23日至5月10日，公司仍在调查之中。迅销称，此事件仅限于日本网站，是一次基于列表的攻击。当客户在多个网站上使用相同的用户名和密码组合时，可能会遭受此类攻击。该公司建议用户更改密码。

参考来源：

https://finance.sina.com.cn/stock/usstock/c/2019-05-14/doc-ihvhiews1726925.shtml

Twitter 公开会将用户位置数据共享出去的漏洞

据外媒报道，当地时间周一下午，Twitter披露了一个漏洞，即在某些情况下，一个账户的位置数据会被共享给Twitter的合作伙伴–即使用户没有选择共享这些数据。这家公司表示，该漏洞只影响了Twitter iOS用户群的一部分，另外他们都已经得到了存在这一问题的通知。据了解，受影响用户在iOS上拥有多个Twitter账号，并且选择在一个账号中使用可选功能分享自己的精确位置。Twitter表示，它可能意外地对其他账号或同一移动设备上的其他账号也进行了位置数据收集，即使这些账户没有选择共享位置数据。

参考来源：

http://hackernews.cc/archives/25510

黑客正在收集 4600 个网站上的支付细节及用户密码

据外媒报道，黑客已经窃取了分析服务Picreel和开源项目Alpaca Forms的数据，并修改了他们的JavaScript文件，以便在超过4,600个网站上嵌入恶意代码。Picreel是一种分析服务，允许网站所有者记录用户正在做什么以及他们如何与网站进行互动以分析其行为模式并提高会话率。Picreel的客户，即网站所有者，在他们的网站上嵌入了一段JavaScript代码，以便运行Picreel服务。正是这个脚本被黑客入侵，并添加了恶意代码。Alpaca Forms是一个用于构建Web表单的开源项目。它最初由企业CMS的供应商Cloud CMS开发，并于八年前开放了源代码。

参考来源：

http://hackernews.cc/archives/25499

土耳其对 Facebook 数据泄露事件罚款 27 万美元

土耳其官方部门“个人数据保护机构”10日说，就社交媒体脸书去年泄露用户数据影响土耳其用户事件，该机构于今年4月对脸书罚款165万土耳其里拉（约合27万美元）。根据脸书公司2018年12月发表的声明，该公司当年9月出现图片程序错误，导致第三方应用软件可以获取用户图片。声明说，受到影响的用户共约680万人。个人数据保护机构估计，大约有30万土耳其用户可能因此受到影响。个人数据保护机构说，那次用户数据泄露事件持续了12天，期间脸书公司既没有采取适当措施及时纠正，事后也未向该机构报告，显示相关技术防范措施存在缺陷。

参考来源：

https://www.secrss.com/articles/10584