国内外简报industry briefing

国内外信息安全简报2016年第三十二周

admin

1. 雅虎邮箱存储型XSS漏洞,黑客能看任何人的邮件

最近来自芬兰Klikki Oy的研究员Jouko Pynnönen发表了一篇博客,其中演示了恶意攻击者如何利用XSS漏洞攻下雅虎邮箱,将受害者收件箱中的邮件发到外部站点;以及构建病毒,这个病毒可以通过向邮件签名中添加恶意脚本,附加在所有传出的电子邮件中 (详情链接 )

2. 雅虎再爆数据泄露事件:涉10亿账户 有史以来最严重

新浪科技讯 北京时间12月14日上午消息,雅虎周三警告称,该公司又发现一起大规模黑客攻击事件,导致10亿用户帐号在2013年8月被盗。这成为有史以来最大规模的网络帐号被盗事件。此次被盗事件较该公司今年9月公布的2014年的那起事件的规模翻了一番,他们认为是政府控制的黑客主导了此次攻击。之前的帐号被盗事件至少影响5亿帐号,Verizon甚至在10月表示,可能因此撤销48.3亿美元收购雅虎核心资产的协议 (详情链接 )

3. 调查报告:75%的企业不能对数据泄露事件作出有效的检测响

今年早些时候,为了解企业网络安全和程序合规性面临的挑战,Tripwire曾委托Dimensional Research咨询公司,对全球500家企业的信息安全专家开展了问卷调查。而在2016年Tripwire完成的安全威胁调查活动中,很多行业都从不同层面反映了对信息安全人才的重视和需求,当然,这也侧面说明了信息安全专业人才存在的巨大缺口。 (详情链接 )

4. 俄罗斯驻荷兰大使馆领事部被黑 护照号码和个人信息被盗

据外媒报道, 近日黑客Kapustkiy入侵了俄罗斯驻荷兰大使馆领事馆网站 (ambru.nl) ,并获取了包括姓名、电子邮件地址、电话号码和护照号码在内的个人信息。目前该网站已经恢复正常运行。尽管外媒试图联系该网站管理官,但并未得到任何回应。 (详情链接 )

5. 国家电网旗下APP用户数据泄露 规模已超千万级

国家电网面向4亿用户推出的掌上电力App,如今正成为数据黑色产业链觊觎的对象。近日,有知情人士向21世纪经济报道记者爆料:“掌上电力、电e宝App正在出现数据泄露,涉及用户规模已经超过千万级,而且部分数据可能已经流入‘黑产’,危害持续扩大。” (详情链接 )

6. 【国际资讯】Facebook聊天记录窃取漏洞,影响十亿Messenger用户(含视频)

在这篇文章中,我们详细讲述一个在Facebook 上发现的服务器安全漏洞,这个漏洞可能会影响数百万CORS(跨域资源共享)中Origin头允许“NULL”值的网站,该漏洞会威胁用户的隐私,恶意实体可以不受限的访问网站。被称为“Originull”的攻击方法,允许黑客访问和浏览到所有经过Facebook Messenger发送的私人聊天记录、照片、和其他附加信息。这个安全问题是由Ysrael Gurt研究团队发现的,目前已经通知了Facebook。 (详情链接 )

7. 陕西3千名大学生信息遭泄露 莫名被办中行信用卡

本人不知情的情况下,商洛学院 3000名学生竟被中国银行商洛分行办理了信用卡。记者就此事展开调查时,该银行一名副行长以“需要省行审批为由”拒绝本报采访。今天,中国银行业监督管理委员会商洛监管分局工作人员承认确有此事,已对该行行长进行约谈,并称未经学生本人同意为其办理信用卡系明显违规,目前银监局已介入调查。 (详情链接 )

8. 美国欲在2021年前彻底杜绝因身份原因导致的大规模信息泄露事件

白宫下属网络安全促进委员会向唐纳德·特朗普政府提出了一系列建议——包括杜绝因身份泄露导致的重大安全事件。 (详情链接 )

9. “史上最难抢票季”已开幕 抢票软件成勒索“利器”

号称“史上一票难求”的春运抢票季今日开启,抢票软件也自然成为抢客们的获胜利器。然而,很多抢票软件表面上标榜着高成功率,实际上却是山寨软件,一旦感染消费者操作系统,就会窃取联系人、短信、通话记录等个人信息,还可能推送恶意广告或是执行其它恶意行为。 (详情链接 )

10. LinkedIn向用户发出Lynda.com数据泄露通知邮件

据外媒报道,日前,LinkedIn开始向用户发出一封通知邮件,告知他们旗下在线教育网站Lynda.com发生数据外泄,曝光的数据包括用户的联系人、课程等在线学习数据。 (详情链接 )