API存在疏漏:网站可检测Chrome用户是否启用了隐私浏览模式
为了避免被广告追踪和被网站知晓自己的浏览器历史记录,以谷歌 Chrome 为代表的现代浏览器,纷纷引入了“隐身模式”。但是一个开放的漏洞利用,却让别有用心的网站能够检测用户是否处于反追踪的“无痕模式”。据悉,该问题与 Web 开发侧的隐身模式检测有关。借助 FileSystem API,Chrome 隐身模式会阻止网站在用户设备中保存临时数据。
参考链接:https://www.cnbeta.com/articles/tech/819543.htm
国家计算机病毒应急处理中心公布十款违法移动应用
国家计算机病毒应急处理中心近期通过互联网监测发现,十款违法有害移动应用存在于移动应用发布平台中,其主要危害涉及隐私窃取、诱骗欺诈、流氓行为和赌博四类。其中,《财急送移动版》(版本1.1.1.22)、《Fotoplace足记分享》(版本6.4.2)、《Flurv》(版本5.3.4)、《电视之家》(版本6.2.5)、《CybrFM创意库》/《私密记事》(版本7.7.9)等被点名。
参考链接:http://www.bianews.com/news/flash?id=31603
Firefox Monitor已经被集成到Firefox 主动向用户提醒账户被盗用
早在去年9月,我们就报道了Mozilla与Have I Been Pwned合作,让用户知道他们的帐户是否在数据泄露期间遭到入侵。当时该公司正在使用Have I Been Pwned并将其服务命名为“Firefox Monitor”。现在,Mozilla正在将该功能直接集成到Web浏览器中,因此您无需访问Firefox Monitor来检查您的帐户是否已被盗用。该功能目前正在测试中,很快将推出给Firefox用户。目前,如果您想尝试一下,可以下载Firefox Canary版本并找到首选项“extensions.fxmonitor.enabled”并将其值更改为true。
参考链接:https://www.cnbeta.com/articles/tech/819361.htm
瑞典医疗热线泄露270万条通话记录:涉及诸多敏感信息
援引瑞典科技媒体Computer Sweden报道,拨打给瑞典医疗保健热线1177 Vårdguiden的270万条通话录音信息在网络上曝光。长达17万小时、包含极其敏感信息的呼叫音频存储在开放的Web服务器上,并且没有经过任何的加密和身份认证,意味着互联网上的任意用户都可以通过Web浏览器完全访问这些个人信息。
外媒Computer Sweden表示曾聆听了部分录音信息,其中包括患者的疾病、目前服用的药物以及相关病史等敏感信息。甚至在部分通话中要求描述孩子的症状并要求提供他们的社会安全号码。
参考链接:https://nosec.org/home/detail/2257.html
印度国有天然气公司再次泄露了数百万客户的敏感信息
外媒报道称,由于网络安全措施不到位,印度国有天然气公司(Indane)又一次暴露了数以百万计的 Aadhaar 生物识别数据库信息。问题出在 Indane 面向经销商和渠道商的网站上,尽管只能通过有效的用户名和密码进行访问,但部分内容已经被谷歌搜索引擎编入索引。如此一来,所有人都能够绕过登陆页面,直接获得对经销商数据库的自有访问权限。
据悉,这些数据是由一名安全研究人员发现的,但因害怕印度当局的报复,他要求媒体在报道中匿名。
作为 Aadhaar 的监管机构,印度唯一身份识别机构(UIDAI)会立即驳斥有关数据泄露的报道,称相关报道为‘假新闻’,并威胁向警方报案或提起诉讼。
不过,此前经手过 Aadhaar 暴露事件的法国安全研究员巴蒂斯特·罗伯特(Baptiste Robert)—— 其网名为艾略特·奥尔德森(Elliot Alderson)—— 还是将这件事捅到了外媒那边。
其通过定制脚本来挖掘数据,成功找到了 11000 个经销商的客户数据,其中包括客户的姓名、地址、以及隐藏在每条记录链接中的客户机密 —— Aadhaar 号码。
Robert 在博客文章中披露了更多细节,在脚本被封杀之前,他已经收集到了 580 万的 Indane 客户记录。其预计,受影响总人数或超过 670 万。
参考链接:http://www.youxia.org/2019/02/44561.html
打开这个链接,你的 Facebook 账户就被黑了
研究员Samm0uda在 Facebook 端点 facebook.com/comet/dialog_DONOTUSE/ 中发现了一个严重的跨站点请求伪造 (CSRF) 漏洞,只需诱骗目标用户点击某链接就可利用该漏洞劫持账户。他因此获得2.5万美元的奖励。这名白帽黑客指出,可利用该漏洞绕过 CSRF 防护措施并通过诱骗用户访问恶意 URL 的方式以用户的身份执行操作。
云天安全订阅号
云天安全服务号
鲁公网安备 37010202002190号