免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 黑客入侵了超过1.5万台Elasticsearch服务器
在过去的两周里,一名黑客入侵了Elasticsearch服务器,这些服务器在没有密码的情况下一直处于开放状态,并试图删除其内容,同时还留下了一家网络安全公司的名字,试图转移人们的注意力。攻击似乎是在自动脚本的帮助下进行的,该脚本扫描网上不受保护的ElasticSearch系统,连接到数据库,尝试删除其内容,然后创建一个新的空索引,称为nightlionsecurity.com。
https://www.zdnet.com/article/a- ... sticsearch-servers/
2 儿童智能手表TicTocTrack中存在安全漏洞
总部位于布里斯班的iStaySafe公司,该公司生产的TicTocTrack手表可让父母看到孩子的位置,打电话给手表,并在孩子离开特定地理边界时获得警报。该公司无意中在其软件中引入了一个安全漏洞,黑客可以利用该漏洞来伪造儿童的位置,并下载其客户的个人信息。今年1月,南非开发人员Gordon Beeming第二次发现了这一漏洞,Beeming表示,他能够获取至少1000名注册用户的个人数据。数据类型包括姓名、电子邮件地址、电话号码和个人资料照片。
https://www.govinfosecurity.com/ ... e-bug-again-a-14046
3 黑客大赛上公布了Linux内核漏洞的补丁程序
RedRocket CTF团队的研究员Manfred Paul因为针对Ubuntu桌面的本地权限提升漏洞获得了3万美元奖金。具体漏洞存在于eBPF程序的处理中,这个问题是由于在执行用户提供的eBPF程序之前缺乏适当的验证。攻击者可以利用这个漏洞提升权限并在内核上下文中执行代码。该漏洞已被归类为高严重性,CVE标识符为CVE-2020-8835。Linux内核开发人员已修复了该漏洞,Ubuntu已发布了更新和缓解措施来解决该漏洞。
https://www.securityweek.com/pat ... sed-hacking-contest
4 研究人员发现约8000个不受保护的Redis实例
趋势科技的研究人员报告说,他们已经发现了大约8000个没有密码保护、不使用TLS加密的Redis实例。这些实例遍布世界各地,有些部署在公共云中。所有这些都由Shodan等专业搜索引擎索引。通过进一步扫描,趋势科技发现,大多数不安全的Redis实例都部署在AWS上。Redis在4.0版本中引入了一种特殊的“保护模式”,甚至还将其移植到了3.2版本中,以帮助疏忽大意的管理员在未分配任何密码时设置保护。
https://www.technadu.com/researc ... ances-online/97610/
5 黑客论坛上公开出售OnlyFans网站用户数据
上个月有报道称,一家总部位于伦敦的成人娱乐网站OnlyFans遭到黑客攻击,原因是该网站在几个黑客论坛上暴露了一个包含多达4TB博主照片和视频的大型数据库。尽管该公司明确否认遭到黑客攻击,但数据泄露只影响了数百名OnlyFans内容创作者。泄漏的内容可能是从多个第三方来源和社交媒体应用程序收集的。然而,内容创作者现在非常容易受到敲诈和勒索,这主要是因为OnlyFans无法在站点上实施最佳的数据安全实践和机制。
https://www.hackread.com/terabyt ... d-on-hacking-forum/
6 Key Ring应用程序数据泄露暴露用户个人信息
研究人员表示,Key Ring是一款数字钱包应用程序,该程序在北美有1400万人使用。它已经向开放的互联网泄露了4400万张ID卡、签账卡、积分卡、礼品卡和会员卡。Key Ring应用程序允许用户将各种物理卡的扫描和照片上传到用户手机的数字文件夹中。据vpnMentor的研究团队称,他们在一个配置错误的云数据库中发现了4,400万次扫描,其中包括:政府ID,零售俱乐部会员资格和会员卡,NRA会员卡,礼品卡,带有详细信息(包括CVV号码)的信用卡 ,医疗保险卡和医用大麻ID卡等。
https://threatpost.com/44m-digit ... d-misconfig/154260/
|
发表于 2020-4-3 20:29