11月22日,DataViper专家Vinnie Troy和Bob Dyachenko宣布发现了一个庞大的数据库,其中包含了超过10亿人的个人数据(
新闻 ,原始
报告 )。 Elasticsearch服务器未经授权就可以使用;总共有4 TB的数据存储在那里。 从记录中的标记来看,两家专业从事个人数据收集和存储的公司成为了信息来源。 据称,最大的数据库是由People Data Labs收集的:一个开放的服务器包含30亿条记录(重复),包括6.5亿个电子邮件地址。
但是邮件不限于此。 研究人员将People Data Labs数据库中的数据与不安全服务器上的信息进行了比较,以查找有关其自身的记录。 我们几乎完全是巧合:社交网络上的数据,知名的邮政地址,电话号码(包括一个从未在任何地方使用过的号码,只有电信运营商才能知道他属于某个人)。 以及精确到城市和坐标的居住地址。 谁拥有开放式服务器尚不清楚,它是托管在Google云平台上的,该平台不透露客户信息。 服务器所有者通常可能是某些第三方,该第三方可以合法地或不太容易获得信息。
显然,个人数据的聚合者对这种泄漏不感兴趣-他们通过出售信息来赚钱。 由于竞争公司的数据库存储在一个服务器上,因此这种公司一方的意外泄漏也不大可能发生。 当然,这些不是密码数据库(过去已被数百万条记录泄露),它们不会造成直接损坏。 但是它们可以促进参与社会工程的网络罪犯的工作。 我们一定不要忘记,大多数信息都是由我们自愿发送的,例如在LinkedIn个人资料,Facebook帖子等中。 在几乎每个活动的网络用户的某个位置,都会存储非常详细的个人文件,并不断用新数据进行更新。 泄漏使我们可以估计规模:只有两家私营公司(最有可能与国家无关)从开放源中收集信息,拥有约15%的世界人口数据。
Facebook宣布关闭了Whatsapp Messenger中的一个严重漏洞(
新闻 ,官方
公告 )。 处理MP4格式的视频文件的元数据时,可能会导致缓冲区溢出,从而导致应用程序崩溃或任意代码执行。 利用此漏洞很容易:知道受害者的电话号码并向其发送准备好的视频文件就足够了。 如果在应用程序中启用了内容的自动下载,则用户无需采取其他操作(结论:最好禁用自动下载)。
该漏洞类似于
今年5月发现并关闭的另一个Whatsapp问题。 在这种情况下,将在VOIP通信模块中调用缓冲区溢出,并且操作更为简单-您甚至无需发送任何内容,足以启动“错误”调用。 May漏洞的后果更加严重,可靠地将其用于实际攻击中,并由向特殊服务出售漏洞的公司进行传播。 竞争的Telegram通讯工具Pavel Durov的创建者评论了
May漏洞和
新漏洞。 简而言之,他的论点是:在Telegram中没有这么大的漏洞,但是在Whatsapp中却没有安全隐患。 可以理解Durov,但事实并非如此,值得就
封闭漏洞代码的安全性做出深远的结论。 您可以得出有关实际攻击的结论,但在很大程度上取决于软件或服务的普及程度。
还有什么事
卡巴斯基实验室专家分享了对2020年复杂网络攻击发展的
预测 。 越来越多的大型网络操作是在“错误标记”下进行的:“证据”被添加到代码和服务器端,导致活动的错误归因。 在勒索软件木马的帮助下,攻击成为攻击目标,“地毯式轰炸”的数量正在下降。 他们确定了确切有能力支付的受害者,并专门针对他们。 可以预料到,使用IoT设备的攻击将会增长-既可以通过入侵已安装的设备,也可以通过将Trojan IoT马引入受害者的网络。
谷歌
将发现安全芯片Titan M中的漏洞
的奖励
提高到一百五十万美元。 Titan M用于最新的Pixel智能手机(从Pixel 3开始),并且可以安全地访问最有价值的数据,例如在付款时。 最大的收益是找到一个漏洞,该漏洞使您可以远程绕过安全系统。
上面的视频是通过用户帐户控制机制中的漏洞
来提升特权的一个
很好的例子 。 下载Microsoft签名的二进制文件,尝试以管理员权限开始,获取密码输入窗口,单击证书属性中的链接,以系统特权打开浏览器。 Windows 7、8和10中的漏洞
已于11月12日关闭。
Check Point
研究了流行的Android应用程序中嵌入的广泛开放源代码软件中的漏洞。 我们发现未修补的库是Facebook,微信和AliExpress应用程序的一部分。 Facebook评论说,代码中存在漏洞并不能保证其运行:可能根本不涉及问题代码。
Monero加密货币网站遭到
黑客攻击,并于11月18日中午分发了具有从用户钱包中窃取资金功能的修改过的发行版。