喜马拉雅山雪怪
原标题:BUF 早餐铺 婚外情网站 Ashley Madison 泄露用户私密照片;近5500个wordpress 站点感染键盘记录脚本;新TeamViewer漏洞让者劫持PC;英特尔修复的ME漏洞并不彻底
今天是12月8日星期五,今天早餐铺的主要内容有:婚外情网站 Ashley Madison 泄露用户私密照片;近5500个wordpress 站点受到带有键盘记录功能的恶意脚本感染;新TeamViewer漏洞让者通过分享桌面会话,劫持他人PC;尽管英特尔修复了 ME中的漏洞,但并不彻底,研究人员依然可以用缓冲区溢出攻破。
日前,有安全研究人员表示,知名婚外情网站 Ashley Madison 因其默认设置出现问题,导致用户私密照片泄露。
在 Kromtech 安全团队和安全研究员 Matt Svensson 的联合调查中,发现 Ashley Madison 的默认设置存在问题,导致用户私密照泄露。
据了解,Ashley Madison 有两种照片存储模式,一种是直接公开分享,另一种是用密钥加密保管个人照片。如果有人人想要访问他人的加密照片,就必须使用密钥。但是,这种方式并不安全,因为一旦用户将密钥分享给其他人,对方的密钥也会自动分享出来,就算对方不愿意分享也无济于事。而一旦获取密钥,就可以通过 URL 查看照片。因此,就算从未注册过 Ashley Madison 的人也可以不经过身份验证,直接通过 URL 就可以查看并获取这些照片。
近5500家WordPress网站传染了恶意脚本,这些脚本会记录键盘输入,有时候会加载挖矿程序。
恶意脚本是从”cloudflare.solutions”域名,跟Cloudflare没有任何关系,这个脚本会记录下用户输入的任何东西。
脚本在前台运行时也很。 虽然基本运行在WordPress网站上,它能够窃取用户数据的唯一地方是来自评论区,一些WordPress网站运行在线商店,此时者可以记录信用卡数据和个人用户信息。
这些事件大多是因为黑客了WordPress站点,并将恶意脚本隐藏在functions.php中,这是所有WordPress主题中的标准文件。
如果是的话,那么你应该注意在软件中发现的一个严重的漏洞,可以让黑客在未经许可的情况下获得对方电脑的完全控制权。
TeamViewer是一个流行的远程支持软件,可让您安全地共享您的桌面,或通过网络完全控制其他人的电脑。
如果要建立远程会话,两台计算机(客户端和服务器)都必须安装软件,客户端必须与想控制他桌面的人员共享一个秘密认证码。
名为“Gellin”的GitHub用户在TeamViewer中披露了一个漏洞,该漏洞可能允许客户端(共享其桌面会话)在未经许可的情况下获得对观众计算机的控制权。
Gellin还发布了PoC代码,这是一个可注入的C++ DLL,它利用“内联hooking和直接修改内存来更改TeamViewer权限”。
两周前,这两个者获得了英特尔公司的感谢。当时Chipzilla发布了10条漏洞预警,涉及其管理引擎(ME)、服务器平台服务(SPS)和可信执行引擎(TXE)。
平台控制器中的英特尔管理引擎是一种协处理器,可以在各种芯片系列中提供vPro管理功能。它有自己的操作系统MINIX 3,它是一个类Unix操作系统,在设备主操作系统的内核之下运行。
英特尔的漏洞可以让者在受影响的硬件上运行任意代码,而用户并不知情。因此Chipzilla做了一个关闭开关。
去年以来,在部署下,全国各地开展打击整治网络个人信息犯罪专项行动,取得了明显成效。但当前信息安全违法犯罪活动仍时有发生,非法收集、贩卖个人信息手法多样,手段更为隐蔽。
“新华视点”记者在多地反诈骗中心了解到,目前电信网络诈骗案件90%以上是违法靠掌握详细信息进行的精准诈骗,从已破获案件看,“内鬼”监守自盗和黑客仍是个人信息泄露的主要渠道。
福州机关近日破获一起特大个人信息案,查获个人房产、征信报告、车辆、联系方式等信息超过千万条,抓获的19名犯罪嫌疑人绝大多数是房产开发、销售、中介等内部人员。他们利用职务便利,非法收集、交换、出售个人信息,从中牟利。
从机关破获和法院判决的案例看,车辆、征信报告、银行账户、房产、教育、医疗等信息成为“抢手货”,相关部门内部人员监守自盗案件时有发生。
在深圳福田的某资产管理有限公司,警方缴获非法个人信息1万余条、非法个人银行征信报告1000余份。警方最终摸查出非法提供这些个人信息的是3名某银行深圳分行个贷部在职员工。
此外,黑客窃取个人信息呈增长趋势。“网络安全形势十分严峻。”从事网络安全业务的厦门服云信息科技有限公司技术人员朱一帆告诉记者,“从对机构、大型国企、高校、电商、交通等重点客户互联网黑客的实时监测数据看,网络黑客入侵重点网站窃取信息有增无减,手段日益多样化,而大量掌握个人信息的一些机构网络安全防护意识不强,投入不足,特别是没有对不断出现的网络安全漏洞及时采取修复措施,很容易被黑客攻陷,造成大规模信息泄露。”
近日,多地专项工作网站被曝出在信息公开工作中存在泄露个人隐私的情况。登录某市信息公开网站,发布的市医疗救助对象花名册中,居民住址、联系电话,甚至个人病情等隐私赫然在列;某门户网站关于发放创业补贴的文件里,除了创业者姓名、项目名称、补贴金额等信息,创业者身份证号、家庭住址等隐私也被过度公开……如何平衡好政务公开与个人隐私?网站信息发布管理工作该补哪些短板?要更好地完成互联网时代的政务公开工作,这些问题亟待解决。
信息发布必须加强信息审查,否则,不仅可能泄露个人隐私,还可能泄露国家秘密和商业秘密。当然,网站并非个人隐私泄露的唯一渠道,但作为信息发布的重要平台,如何在个人隐私和政务信息公开中取得平衡,勘定知情与隐私的边界,网站理应作出示范。
《中华人民国信息公开条例》已施行近10年,条例中提到,行政机关不得公开涉及国家秘密、商业秘密、个人隐私的信息。但是,经人同意公开或者行政机关认为不公开可能对公共利益造成重大影响的涉及商业秘密、个人隐私的信息,可以予以公开。
去年公布的《国务院关于加快推进“互联网+政务服务”工作的指导意见》提出,建立健全保密审查制度,加大对涉及国家秘密、商业秘密、个人隐私等重要数据的力度;今年上半年出台的《网站发展》再次要求,建立保密审查机制,严禁涉密信息上网,不得泄露个人隐私和商业秘密……
一些地方的网站负责人反映,个人信息范畴不够明确,基层在具体操作时往往把握不准,制定明确的个人信息公开标准规范。
本文由来源于325棋牌 325游戏中心唯一官方网站