你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。
欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!
1、数据泄露后,HIBP新增DatPiff查询
近750万名DatPiff会员的破解密码正在网上出售,用户可以通过Have I Being Pwned通知服务检查自己的信息是否在泄露数据之中。据悉,DatPiff是一种流行的混音带托管服务,拥有超1500万用户,可允许未注册用户免费下载或上传样本。
目前,尚不清楚数据泄露发生的确切时间,但DatPiff数据库最早在2020年7月既已在黑客论坛上被公开出售。此次,被盗的DatPiff数据库包含7476940条会员记录,涉及用户电子邮件地址、密码、用户名和安全问题等信息。不过有消息显示,窃取数据的攻击者并未破坏DatPiff网站,而是攻击了DatPiff网站备份了旧数据库的服务器。[阅读原文]
2、UScellular计费系统遭攻击致数据泄露
前不久,美国第四大无线运营商UScellular计费系统遭黑客攻击,导致数据泄露。据悉,攻击者在入侵UScellular计费系统后,可查看系统客户帐户信息,而在客户账户信息中涉及姓名、地址、PIN码、移动电话号码、无线服务,以及服务计划、使用情况和帐单等诸多内容。[阅读原文]
3、黑客借视频播放器染指百家网站数据
日前,有黑客利用云视频托管服务对百余家房地产网站进行供应链攻击,通过注入恶意脚本窃取网站表单信息。从安全团队捕获的信息来看,攻击黑客滥用云视频托管功能将浏览器代码注入视频播放器,而当网站嵌入该播放器时,则会嵌入恶意脚本,导致网站被感染。目前,已累计发现超百个受此次攻击活动影响的房地产网站。
安全研究人员分析称,攻击黑客获得了上游 JavaScript 文件的访问权限,并将其修改为包含恶意脚本的版本。这样,在播放器更新时,视频播放器则开始向所有已嵌入播放器的房地产网站提供恶意脚本,从而允许脚本窃取输入到网站表单中的敏感信息。[阅读原文]
4、FTC告警log4j漏洞,倒逼企业保护用户
美国联邦贸易委员会(FTC)发布警告称,将追捕任何未能保护其客户数据免受持续 Log4J 攻击的美国公司。对此,相关机构解读称,美国联邦贸易委员会(FTC)意在利用其全部法律权力追究未能采取合理措施保护消费者数据免遭Log4j或类似已知漏洞暴露的公司。
这将倒逼依赖Log4j的公司及其供应商立即采取行动,以减少对消费者造成伤害的可能性,并避免 FTC 采取法律行动。[阅读原文]
5、Curious Cat域名“失控”无人解
近日,流行的社交网络应用Curious Cat在失去对自己域名的控制权后,发生了一系列奇怪的事情。首先,在Curious Cat服务疑似被关闭后,页面从常规的社交网络服务变成了一个奇怪的页面,并有大批自称Curious Cat支持者的Twitter用户发文表示支持。
需要注意的是,一直到今天登录curiouscat.qa,仍会显示“正在维护中”的提示信息,且显示logo与社交平台官方表示完全不同。有消息显示,早在12月18日,Curious Cat既已显示“pendingDelete”,处于待删除状态。而到了23日,WHOIS数据显示该域被其他人注册,其名称服务器发生了变化。
目前,尚不清楚到底发生了什么,不过部分Curious Cat用户已表示远离这款具有潜在风险的应用。[阅读原文]