Facebook 被曝从第三方 App 收集数据:涉及位置信息
据美国科技媒体CNET报道,Facebook或许一直在收集用户的一些私密信息。德国移动安全公司Mobilsicher在周三发布的报告称,像Tinder、Grindr以及Pregnancy+等Android应用会与Facebook共享用户的一些敏感信息。报道称,约会档案、健康数据、宗教信仰等其它细节信息都包括在内。BuzzFeed表示,共享的信息还包括用户的广告ID(广告辨识码)。Facebook可以通过用户的广告ID,将第三方应用信息与使用应用的用户挂钩。第三方应用开发者可以利用Facebook提供的软件开发工具包(SDK)来收集这些信息,用户则能通过SDK来登录Facebook。参考来源:
今年9月,网络安全公司FireEye证实Click2Gov发生了一起安全事件,威胁行为者已经在其中种植前所未见的恶意软件,解析支付卡数据的日志并提取付款细节等详细信息。而安全研究公司双子座咨询公司(Gemini Advisory)最近发布了一份报告,指出该软件再一次遭受攻击。报告显示,至少有美国的46个城市以及加拿大的一个城市的294,929条付款记录遭到了泄露。调查结果显示,在丢失客户数据的城市中,只有不到50%的城市知情或公开披露了其网站上发生的数据泄露事件。恶意行为者通过在暗网销售这些信息,至少获利170万美元。
Google 工程师发现 IE 中存在一个漏洞,攻击者可以通过漏洞完全控制受害操作系统。据分析,这是一个脚本引擎内存损坏漏洞,影响所有受支持windows 上的 IE,包括 Windows 10 1809。该漏洞由 Google 威胁分析组的 Clement Lecigne 发现并报告给微软。微软表示,在被公开披露之前,该漏洞已经被利用。目前漏洞已经被收录为CVE-2018-8653。
为防止语音网络钓鱼攻击,韩国金融监管机构(简称FSS)将与SK电讯合作开发人工智能技术。FSS将提供金融欺诈相关数据,而电信运营商将建立人工智能系统,该系统将在接到疑似语音网络钓鱼电话时发出警报。 FSS称,今年上半年语音网络钓鱼活动造成损失达1802亿韩元(即1.59亿美元),比去年同期增长了73.7%。 目前使用的过滤方法基于对特定关键词的使用来检测网络钓鱼攻击。而据FSS称,该新研发的人工智能系统将基于上下文检测网络钓鱼攻击。 预计将在明年上半年推出该服务。
近日,卡巴斯基实验室技术自动在微软的Windows操作系统内核中检测到一个新的被利用的漏洞,这是三个月以来连续被发现的第三个零日漏洞。最新的漏洞(CVE-2018-8611)是在针对中东和亚洲少数受害者进行攻击的恶意软件中发现的。由于这该漏洞存在于操作系统的内核模式模块中,所以非常危险,可以被用来绕过现代网页浏览器的内置漏洞利用缓解机制,例如Chrome和Edge。该漏洞已经被上报给微软公司,微软已经发布了修复补丁。
欧洲各国已经开始进入“围殴”模式,一个接一个地向Uber开出罚单,以惩戒其处理2016年数据泄露的方式。今天,法国的数据保护监管机构CNIL宣布将对Uber开出460000美元(400000欧元)的罚款。因早在2016年,Uber的大规模数据泄露影响了5700万用户,其中包括法国的140万用户。根据CNIL的报告,黑客正使用来自这些泄露数据的登录名和密码连接到Uber的GitHub存储库,然后再设法连接到Uber的亚马逊网络服务帐户并下载用户数据,更夸张的是AWS登录信息以纯文本格式存储在GitHub上。
澳大利亚法庭命令 ISP 屏蔽 181 个盗版网站域名。这起案件由 Village Roadshow、Disney、Twentieth Century Fox、Paramount、Columbia、Universal、Warner 等好莱坞巨头和娱乐公司提起。命令屏蔽的域名除了 IPTorrents、BT-Scene、Fmovies BT 下载站外,还有字幕站 OpenSubtitles、YifySubtitles 和 SubScene 等。字幕站主要是提供电视电影的不同语种字幕,通常不会托管相关侵权视频文件的下载。但电影公司认为字幕是有版权的,字幕站公开传播了版权保护的剧本。ISP 被要求采用 DNS 屏蔽、IP 地址屏蔽或其它版权持有者同意的方法,要求在 15 天内完成,禁令有效期为三年,可以申请延长。电影公司需要为每个被屏蔽的域名支付 50 美元,这笔费用并不高。
据美国科技媒体CNET报道,Facebook或许一直在收集用户的一些私密信息。德国移动安全公司Mobilsicher在周三发布的报告称,像Tinder、Grindr以及Pregnancy+等Android应用会与Facebook共享用户的一些敏感信息。报道称,约会档案、健康数据、宗教信仰等其它细节信息都包括在内。BuzzFeed表示,共享的信息还包括用户的广告ID(广告辨识码)。Facebook可以通过用户的广告ID,将第三方应用信息与使用应用的用户挂钩。第三方应用开发者可以利用Facebook提供的软件开发工具包(SDK)来收集这些信息,用户则能通过SDK来登录Facebook。参考来源:
https://www.secrss.com/articles/7263
黑客利用漏洞从美国政府支付系统获利 170 万美元今年9月,网络安全公司FireEye证实Click2Gov发生了一起安全事件,威胁行为者已经在其中种植前所未见的恶意软件,解析支付卡数据的日志并提取付款细节等详细信息。而安全研究公司双子座咨询公司(Gemini Advisory)最近发布了一份报告,指出该软件再一次遭受攻击。报告显示,至少有美国的46个城市以及加拿大的一个城市的294,929条付款记录遭到了泄露。调查结果显示,在丢失客户数据的城市中,只有不到50%的城市知情或公开披露了其网站上发生的数据泄露事件。恶意行为者通过在暗网销售这些信息,至少获利170万美元。
参考来源:
https://www.hackeye.net/securityevent/18023.aspx
微软对外披露 Google 工程师发现的 IE 漏洞 攻击者可以控制受影响系统Google 工程师发现 IE 中存在一个漏洞,攻击者可以通过漏洞完全控制受害操作系统。据分析,这是一个脚本引擎内存损坏漏洞,影响所有受支持windows 上的 IE,包括 Windows 10 1809。该漏洞由 Google 威胁分析组的 Clement Lecigne 发现并报告给微软。微软表示,在被公开披露之前,该漏洞已经被利用。目前漏洞已经被收录为CVE-2018-8653。
参考来源:
https://www.oschina.net/news/102885/ie-cve-2018-8653
韩国试图利用 AI 避免语音网络钓鱼攻击为防止语音网络钓鱼攻击,韩国金融监管机构(简称FSS)将与SK电讯合作开发人工智能技术。FSS将提供金融欺诈相关数据,而电信运营商将建立人工智能系统,该系统将在接到疑似语音网络钓鱼电话时发出警报。 FSS称,今年上半年语音网络钓鱼活动造成损失达1802亿韩元(即1.59亿美元),比去年同期增长了73.7%。 目前使用的过滤方法基于对特定关键词的使用来检测网络钓鱼攻击。而据FSS称,该新研发的人工智能系统将基于上下文检测网络钓鱼攻击。 预计将在明年上半年推出该服务。
参考来源:
https://www.easyaq.com/news/32708545.shtml
研究人员发现新的 Windows 0-day 漏洞近日,卡巴斯基实验室技术自动在微软的Windows操作系统内核中检测到一个新的被利用的漏洞,这是三个月以来连续被发现的第三个零日漏洞。最新的漏洞(CVE-2018-8611)是在针对中东和亚洲少数受害者进行攻击的恶意软件中发现的。由于这该漏洞存在于操作系统的内核模式模块中,所以非常危险,可以被用来绕过现代网页浏览器的内置漏洞利用缓解机制,例如Chrome和Edge。该漏洞已经被上报给微软公司,微软已经发布了修复补丁。
参考来源:
https://www.CodeSec.Net/
法国数据保护监管机构 CNIL 因 Uber 数据保护不力 向其开出 46 万美元罚单欧洲各国已经开始进入“围殴”模式,一个接一个地向Uber开出罚单,以惩戒其处理2016年数据泄露的方式。今天,法国的数据保护监管机构CNIL宣布将对Uber开出460000美元(400000欧元)的罚款。因早在2016年,Uber的大规模数据泄露影响了5700万用户,其中包括法国的140万用户。根据CNIL的报告,黑客正使用来自这些泄露数据的登录名和密码连接到Uber的GitHub存储库,然后再设法连接到Uber的亚马逊网络服务帐户并下载用户数据,更夸张的是AWS登录信息以纯文本格式存储在GitHub上。
参考来源:
https://www.cnbeta.com/articles/tech/800641.htm
澳大利亚法庭命令 ISP 屏蔽 181 个盗版网站域名,其中包括字幕站澳大利亚法庭命令 ISP 屏蔽 181 个盗版网站域名。这起案件由 Village Roadshow、Disney、Twentieth Century Fox、Paramount、Columbia、Universal、Warner 等好莱坞巨头和娱乐公司提起。命令屏蔽的域名除了 IPTorrents、BT-Scene、Fmovies BT 下载站外,还有字幕站 OpenSubtitles、YifySubtitles 和 SubScene 等。字幕站主要是提供电视电影的不同语种字幕,通常不会托管相关侵权视频文件的下载。但电影公司认为字幕是有版权的,字幕站公开传播了版权保护的剧本。ISP 被要求采用 DNS 屏蔽、IP 地址屏蔽或其它版权持有者同意的方法,要求在 15 天内完成,禁令有效期为三年,可以申请延长。电影公司需要为每个被屏蔽的域名支付 50 美元,这笔费用并不高。
参考来源:
https://www.solidot.org/story?sid=59037
关于安全帮安全帮,是中国电信北京研究院旗下安全团队,致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系:一个SaaS电商(www.anquanbang.vip) 、四个平台(SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台)。