FreeBuf早报 | 美国外卖巨头DoorDash发生数据泄露事件;黑客窃取LastPass源代码
2022-8-29 13:15:47 Author: www.freebuf.com(查看原文) 阅读量:11 收藏

全球动态

1. 黑客窃取 LastPass 源代码

LastPass 称,两周前他们检测到开发环境中有异常活动,随后展开的调查发现未经授权的黑客通过一个入侵的开发者账号获得了对部分开发环境的访问权限,窃取了部分源代码和私有技术信息。【阅读原文

2. 至少 136 家公司遭到相同黑客的钓鱼攻击

安全公司 Group-IB 称,至少 136 家公司遭到相同黑客的钓鱼攻击 ,其中包括 Twilio、LastPass 和 DoorDash。【阅读原文

3. 印度阿卡萨航空公司承认存在安全漏洞,导致 34533 条用户信息暴露

本月初开始商业运营的印度阿卡萨航空公司(Akasa Air)由于注册登陆服务中的技术故障,导致数千名用户的个人数据被披露。 这些披露的数据是由阿舒托什·巴罗特(Ashutosh Barot)发现的,其中包括客户全名、性别、电子邮件地址、手机号码等等。 【阅读原文

4. FCC: 美国大多数顶级移动运营商对客户地理位置数据保留两年

根据美国联邦通信委员会 FCC 公布的电信公司信息, 15 大移动运营商中有 10 家收集地理位置数据,并且没有提供消费者选择退出的方式。 【阅读原文

5. 卡巴斯基撰文解释"Kimsuky"黑客如何确保其恶意软件精准到达有效目标

根据卡巴斯基发布的一份报告,自 2022 年开始,该威胁组织一直在采用新技术来过滤无效的下载请求,当时该组织针对朝鲜半岛的各种目标发起了新的活动。【阅读原文

6. Google 开源 Paranoid:用于识别各种加密产品中的漏洞

Google 近日宣布开源 Paranoid ,该项目主要用于识别各种加密产品中的漏洞。 该库支持测试数字签名、通用伪随机数和公钥等多种类型的加密产品,以识别由编程错误或使用弱专有随机数生成器引起的问题。【阅读原文

安全事件

1. 软件公司老板黑进 40 多家金融机构,盗指令炒股赚百万获刑

一名软件公司的法定代表人在 12 年中,通过非法控制 40 余家金融机构的计算机信息系统,非法获取相关数据并进行内幕交易,最终被执行有期徒刑 6 年,并处罚金人民币 369.8 万元。【阅读原文

2. 因涉嫌未经同意收集人脸信息,Snap 以 2.4 亿元达成和解

据科技媒体 TechCrunch 报道,知名通讯软件 Snapchat 的母公司 Snap 与美国伊利诺伊州居民就一起隐私相关集体诉讼达成和解,和解金额总计为 3500 万美元(约合人民币 2.4 亿元)。【阅读原文

3. 北约对黑客在暗网中出售欧洲导弹集团涉密文件的情况进行调查

北约日前在一份声明中表示,该组织正在就前段时间黑客在暗网中出售欧洲导弹集团(MBDA)涉密文件的情况进行调查,但截至目前“尚未发现北约内部网络遭入侵的迹象”。【阅读原文

4. 看到快递单全朝上,老板果断报警:两名快递员窃取近万条买家个人信息

老李(化名)是一个仓库老板,从事第三方仓储业务,为网络电商提供货物仓储、打包服务。近来, 有客户向老李反映,有多名网店买家投诉称接到诈骗电话,怀疑个人信息被泄露。【阅读原文

5. 天鹅到家、中国移动和包等 11 款 App 被通报侵害用户权益和存在安全隐患

湖南省通信管理局 8 月 24 日公开通报了 11 款未按期完成整改的 App ,包括天鹅到家、中国移动和包等。【阅读原文

6. 美国外卖巨头 DoorDash 发生数据泄露事件,涉及部分用户姓名、地址和电话等

据华尔街日报报道,DoorDash 报告了一起数据泄露事件, 涉及该公司的用户和配送员等信息 。【阅读原文

优质文章

1. 简易高效的供应链攻击—依赖混淆

为了简约并快速的让读者能够对这样一份报告有大体上的理解,所以我决定将漏洞报告分析概况提到文章前头来。这样也方便读者决定是否要继续阅读完整报告,也尽量能让一些非专业读者能够对此篇文章所介绍的内容有所了解,而不至于太过枯燥乏味。【阅读原文

2. 样本分析 | 攻防演练期间针对攻击队的钓鱼执法

攻防演练期间,矢安科技安全研究部在社交媒体、代码托管平台、公众号、IM群组等渠道检测到大量漏洞利用样本。其中部分样本“换汤不换药”,依然使用历史payload,部分样本编译为exe,其中捆绑了后门。在攻防演练接近尾声时,防守成员利用部分攻击成员“最后冲刺”的心理,公开投递了部分捆绑后门的样本。现针对名为“X达OA-list接口反序列化命令执行漏洞.exe”的样本进行分析。【阅读原文

3. 实战攻防演之阻击 CSRF 威胁

CSRF(Cross-site Request Forgery:跨站请求伪造),利用受害者尚未失效的身份信息(cookie/会话),创建恶意的web页面产生伪造请求,在受害者不知情的情况下,向服务器发送请求完成非法操作(增删改查用户信息或业务数据、转账、改密、评论、点关注、点赞等),对用户和企业的数据安全造成了非常严重的威胁。本文从攻击者的攻击手法进行研究,站在攻击者的角度研究CSRF攻击,并同步给出了有效的阻击方法,正所谓未知攻,焉知防。【阅读原文

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。


文章来源: https://www.freebuf.com/news/343158.html
如有侵权请联系:admin#unsafe.sh