《维他命》每日安全简讯20181224

发布时间 2018-12-24
1、圣地亚哥学区遭黑客入侵,超过50万学生及员工的信息泄露



圣地亚哥学区(SDUSD)遭到网络钓鱼攻击,攻击者通过收集到的工作人员凭据访问了该学区的网络服务,超过50万学生、父母以及工作人员的信息泄露。SDUSD称该未授权访问持续了将近一年的时间(2018年1月到11月),受影响的数据最早可追溯至2008至2009学年,包括学生和员工的姓名、出生日期、家庭住址、电话号码、社保号码/学生ID、学生的注册信息、学生家长及员工的紧急联系人信息、员工的工资以及福利信息等。

  

 原文链接:

https://www.bleepingcomputer.com/news/security/info-on-over-500-000-students-and-staff-exposed-in-san-diego-school-district-hack/


2、新技术支撑诈骗页面将导致Chrome浏览器卡死



谷歌 Chrome的bug报告中披露了一个新的技术支撑诈骗活动,该诈骗网页将使用JavaScript循环耗尽计算机的CPU资源并导致Chrome卡死。该网页的标题为“重要信息”,伪装成提示感染的Windows错误警报,此页面包含的JavaScript将使浏览器重复跳转至# URL,并来回点击后退和前进按钮,最终导致CPU占用100%。用户可通过杀死Chrome进程来结束卡死情况。

 

 原文链接:

https://www.bleepingcomputer.com/news/security/new-tech-support-scam-causes-chrome-browser-to-use-100-percent-of-the-cpu/


3、针对Gmail和Yahoo帐户的新钓鱼攻击可绕过SMS 2FA验证



根据国际特赦组织的报告,该组织发现两起针对中东和非洲周边地区的约1000名人权主义者的钓鱼活动。这些钓鱼活动伪装成账户警报,主要针对使用基于SMS的2FA验证方法的Gmail和Yahoo帐户。这些活动还针对了更为专业的电子邮件服务,例如ProtonMail和Tutanota,尽管它们默认采用了更高级别的安全性和隐私性。证据表明某些案例中Yahoo和Gmail的SMS 2FA被成功绕过,但没有ProtonMail和Tutanota账户受到损害。

 

 原文链接:

https://nakedsecurity.sophos.com/2018/12/21/more-phishing-attacks-on-yahoo-and-gmail-sms-2fa-authentication/


4、针对Orange调制解调器的大规模扫描活动,试图获取WiFi密码



Bad Packets LLC研究人员Troy Mursch发现攻击者正在大规模扫描Orange Livebox ADSL调制解调器。该扫描活动于12月21日星期五开始,攻击者利用Orange LiveBox设备中的漏洞(CVE-2018-20377)来获取WiFi网络的SSID和密码。研究人员发现近19.5万个易受攻击的Orange调制解调器,绝大多数位于法国和西班牙。

  

原文链接:

https://www.zdnet.com/article/over-19000-orange-modems-are-leaking-wifi-credentials/


5、研究人员披露脸书点击劫持漏洞,但脸书不打算修复



波兰安全研究人员发现脸书的Android移动版本存在一个点击劫持漏洞,攻击者可以通过iframe标签利用该漏洞在用户的脸书上发布链接。研究人员认为该漏洞与脸书的特定API调用忽略了X-Frame-Options标头有关,该标头可以通知浏览器是否加载iFrame网页。攻击者可以将网页加载到诱饵网页的顶层中(不可见的iFrame),用户将看见诱饵网页,但实际上与该iFrame进行交互。脸书认为这不是一个安全问题,因为它没有影响到用户账户的完整性。

  

原文链接:

https://www.bleepingcomputer.com/news/security/the-clickjacking-bug-that-脸书-wont-fix/


6、继英国和荷兰之后,Uber再被法国数据保护机构罚款40万欧元



2016年Uber遭遇数据泄露事件,导致全球约5700万用户和司机的个人数据泄露,但直到一年多以后的2017年11月该企业才向外界披露了这一事件。2018年9月,Uber同意向美国哥伦比亚特区支付1.48亿美金的和解金。2018年11月,英国和荷兰的数据保护机构分别向Uber罚款38.5万英镑和60万欧元的罚款。现在,法国的数据保护机构再次向其罚款40万欧元。

  

原文链接:

https://securityaffairs.co/wordpress/79104/security/frence-agency-fines-uber.html


声明:本资讯由澳门浦京娱乐场维他命安全小组翻译和整理