国际资讯

WordPress禁用10个危险插件

据ThreatPress报道，安全研究员在10个插件中发现的漏洞类型五花八门。受影响的插件可通过WordPress.org获得，它们允许Woo商城用户管理其在线商店。据统计，易受攻击的插件有将近20,000次主动安装，其中包括10,000次页面访问计数器安装，3,000次WooCommerce类别横幅管理安装以及2,000次数字商品WooCommerce Checkout安装。

经过安全专家研究后发现，Multidots制作的插件受存储的跨站脚本（XSS）、跨站点请求伪造（CSRF）和SQL注入漏洞的影响，这些漏洞可以被用于全方位控制已安装插件的电子商务网站。攻击者可能会破坏网站，执行远程shell，植入键盘记录器，并上传加密货币挖掘程序或其他类型的恶意软件。

考虑到受影响的网站是收集个人和财务信息的在线商店，攻击者或许能够获得富含价值的信息。这些漏洞允许未经身份验证的攻击者注入恶意JavaScript，从而为劫持客户的信用卡数据并接收客户和管理员登录提供机会。虽然大多数危险情境的实现需要安装插件者访问特质的URL或者页面，但仍有一些漏洞带来的缺陷能在没有任何交互的情况下被利用。

参考链接：https://www.t00ls.net/articles-46214.html

健康应用PumpUp服务器未设密码 超过600万用户个人信息岌岌可危

据外媒ZDnet报道，位于加拿大安大略省的PumpUp公司在上周发布声明称，旗下同名社交健康追踪应用无意中暴露了用户的隐私和敏感数据，包括用户之间发送的健康信息和私人消息。

PumpUp公司将自己描述为一个健康与健身社区，由其开发的社交健康追踪应用PumpUp支持Android和iOS平台，并声称在全球拥有超过600万用户。通过该应用，用户可以分享自拍和健康秘诀、制定和保存定制式锻炼计划以及从健身教练和其他用户那里获取建议。另一方面，它也可以被用来追踪用户活动，如消耗的热量、锻炼时间、锻炼进展等。

以上所有这些数据都被存储在一个核心的后端服务器，并托管在亚马逊的云端。然而，安全研究员Oliver Hough发现，该服务器并没有设置密码，这使得任何人都能够查看都有谁在进行登录、谁在实时发送消息以及消息的内容。

根据PumpUp公司的声明内容来看，该服务器被用于充当消息传递代理，负责将用户请求和私人消息发送给其他PumpUp应用用户。该代理使用了鲜为人知的MQTT协议，通常被开发人员用于物联网设备和手机应用之间的通信。

参考链接：http://px.tcnet.com.cn/news/industry/1413.html

美将利用“五眼联盟”信息共享计划抵御俄罗斯黑客攻击

美国众议院首席信息安全官兰迪·维克斯透露，美国众议院正在试图扩大与“五眼联盟”成员国议会的网络威胁信息共享计划，以加强这些国家最高立法机关（国会或议会）的安全性。

共享的信息可能是指非保密性威胁情报。维克斯表示，“五眼联盟”的最高立法机关已经维系了牢固的信息共享关系，但美国众议院的目标是能更充分地利用这种关系，且目前正在研究如何更有效、更频繁地共享信息，但需确保“五眼联盟”达成共识，以充分了解网络威胁形势。

参考链接：http://baijiahao.baidu.com/s?id=1602352213595209010&wfr=spider&for=pc

黑客事件

“杀毒软件教父” John McAfee 宣布将竞选 2020 年美国总统，借此推动加密货币

据外媒CNET报道，杀毒软件先驱及加密货币“福音传教士”John McAfee当地时间周日宣布将在2020年竞选美国总统，并将其与他现在推动加密货币的角色联系起来。McAfee表示：“我相信通过为我们提供终极竞选平台，这将最好地服务于加密社区。”

2016年John McAfee曾竞选美国自由党总统候选人。不过他最终败给了前新墨西哥州州长Gary Johnson,未获提名。McAfee曾在推文中表示：“如果自由党再次提出要求，我会和他们一起参加竞选。否则，我将创建自己的党派。”

McAfee似乎对他此次的总统竞选并不抱有期望，他发推文称：“不要以为我有获胜的机会，我不这样认为。但真正改变美国不是总统，而是选出一个美国总统的过程。”

参考链接：http://hackernews.cc/archives/23216

两大金融网络犯罪“巨头”背后勾结：IcedID和Trickbot木马首次联合出击

暗网情报公司 Flashpoint 在2018年5月30日发布报告表示，臭名昭著的银行木马 IcedID 和 Trickbot 背后的僵尸网络操纵者已经联合起来，充分利用这两种木马骗取受害者现金，将银行受害者们置于双重威胁之中。恶意软件通常会攻击受害者的数据，尤其是在竞争激烈的银行业市场，例如 SpyEye 恶意软件就已经被发现在感染机器上卸载类似的 Zeus 木马。

参考链接：https://www.easyaq.com/news/1747927142.shtml

刚拆封的新手机竟成“毒窝” 趋势科技发现恶意广告泛滥成灾

别天真的以为只要自己足够小心，买到新手机之后不乱装APP就可以保证手机的安全了。最近，安全机构爆出数百款安卓手机在发售前就预装了恶意软件，不仅会自动弹出恶意广告，还可能导致个人隐私泄露。趋势科技提醒大家，除了要在手机使用中养成良好的安全习惯外，最好能够定期通过趋势科技PC-cillin 2018移动安全版等安全软件进行全盘扫描，以最大程度降低安全威胁。

信息显示，这些恶意软件大多被预装在较为廉价的安卓手机上，一旦用户购买此类手机并激活使用，恶意软件就会在后台监视用户的手机使用行为，并会在用户使用浏览器时弹出恶意广告，不但影响用户浏览网页的阅读体验，还会消耗手机流量，导致话费账单的增多。而且，恶意软件还可能将用户信息发送到指定的服务器上，造成用户的通讯录、短信等个人信息泄露。

参考链接：http://netsecurity.51cto.com/art/201806/575393.htm

（来源：云天安全搜集整理互联网安全资讯）