1、研究人員發現中國企業簡歷信息洩露:涉5.9億份簡歷
外媒報道稱,中國企業今年前3個月出現數起簡歷信息洩露事故,涉及5.9億份簡歷。主要是因為MongoDB和ElasticSearch服務器安全措施不到位,不需要密碼就能在網上看到信息,或者是因為防火牆出現錯誤導致。研究人員向中國國家計算機應急響應小組(CNCERT)報告了該問題。四天後,該數據庫得到了保護。
2、黑客濫用Google Cloud攻擊 D-Link 路由器
有研究人員表示,在過去三個月中,谷歌雲平臺遭到黑客濫用,針對 D-Link、ARGtek、DSLink、Secutech 和 TOTOLINK 路由器進行三次 DNS 劫持攻擊,該劫持會導致路由器流量被重定向併發送到惡意網站。
3、研究人員披露WiFi WPA3標準中的“龍血”漏洞
近日有研究人員發現WiFi WPA3標準中存在名為“龍血”的漏洞。漏洞共有五個,包括拒絕服務攻擊、兩個降級攻擊和兩個側通道信息洩露漏洞。拒絕服務攻擊漏洞危害程度較低,只會導致使用WPA3的接入點崩潰,其他四個可用於獲取用戶密碼。在研究人員發佈漏洞信息後,WiFi聯盟表示WPA3標準已經添加了安全更新,修復了漏洞。
4、流行開發工具 Bootstrap-Sass 被修改植入後門
安全研究人員在官方的 RubyGems 庫發現了後門版本的網站開發工具 Bootstrap-Sass,該後門允許攻擊者遠程執行代碼。受影響的版本是 v3.2.0.3,研究人員呼籲用戶儘可能快的更新。目前該工具的下載量高達 2800 萬次。
5、三分之二的酒店網站洩露客人預訂詳情並允許訪問個人數據
有安全廠商近日發文稱,酒店網站可能會洩露客人的預訂詳情,允許其他人查看客人的個人數據,甚至取消他們的預訂。
研究人員測試了多個網站(包括54個國家/地區的1500多家酒店 )以確定這個隱私問題的常見程度。這些網站中有三分之二(67%)無意中將預訂參考代碼洩露給第三方網站,如廣告客戶和分析公司。共享的信息可以允許這些第三方服務登錄預訂,查看個人詳細信息,甚至完全取消預訂。
閱讀更多 火絨安全實驗室 的文章
