8827太阳集团

首页 > 安全钻研 > 安全传递 > 安全简讯

Twitter网络用户信息定向推送告白被�？？？？？？？？�1.5亿美元

颁布功夫 2022-05-26

1、Twitter网络用户信息定向推送告白被�？？？？？？？？�1.5亿美元

据5月26日报路，，，，，，，美国联国业务委员会FTC已对Twitter�？？？？？？？？�1.5亿美元，，，，，，，原因是它使用网络的2FA验证的电话号码和邮件地址来推送告白。。。。。凭据法庭文件，，，，，，，从2013年起头，，，，，，，Twitter要求超过1.4亿用户提供这些信息以保唬�；；；；に堑恼嘶В�，，但没有通知他们这些数据也将用于告白商投放告白。。。。。FTC主席称，，，，，，，Twitter以用于安全主张为借口从用户那里获取数据，，，，，，，但最终还使用这些数据来针对用户投放告白，，，，，，，这种做法影响了大量用户的同时还提升了Twitter的收入。。。。。Twitter已赞成支付1.5亿美元的�？？？？？？？？�。。。。。

https://www.bleepingcomputer.com/news/technology/ftc-fines-twitter-150m-for-using-2fa-info-for-targeted-advertising/

2、趋向科技建复已被Moshen Dragon利用的DLL劫持缝隙

据媒体5月24日报路，，，，，，，趋向科技建复其安全产品中的DLL劫持缝隙。。。。。正如Sentinel Labs在5月初披露的那样，，，，，，，Moshen Dragon在针对中亚的电信行业的攻击中，，，，，，，试图劫持安全供给商的法式，，，，，，，蕴含Symantec、TrendMicro、BitDefender、McAfee和Kaspersky。。。。。攻击者利用了多个恶意软件，，，，，，，并通过DLL劫持来侧加载ShadowPad和PlugX。。。。。Trend Micro已于5月19日通过其ActiveUpdate(AU)颁布了一个建复法式，，，，，，，并建议用户立即进行更新。。。。。

https://securityaffairs.co/wordpress/131635/hacking/trend-micro-flaw-moshen-dragon.html

3、某配置谬误的ES服务器泄露数百万贷款申请人的信息

据5月24日报路，，，，，，，一个配置谬误的Elasticsearch服务器泄露了147 GB的数据，，，，，，，共8.7亿笔纪录。。。。。该服务器于2021年12月5日被检测到，，，，，，，重要蕴含乌克兰、哈萨克斯坦和俄罗斯幼额贷款的申请人的信息，，，，，，，如姓名、住址和护照号码等幼我信息，，，，，，，以及薪水、贷款详情和INN（税号）等财政信息。。。。。据估计，，，，，，，约有1000万用户受到影响，，，，，，，其中大部门服务器日志和护照号码属于俄罗斯，，，，，，，大无数INN属于乌克兰，，，，，，，而该服务器位于荷兰的阿姆斯特丹。。。。。

https://www.hackread.com/personal-data-russians-ukrainians-exposed-online/

4、Mozilla颁布更新建复Pwn2Own大会中被利用的多个缝隙

5月20日，，，，，，，Mozilla颁布了Firefox和Thunderbird的安全更新，，，，，，，以建复在Pwn2Own 2022大会期间被利用的缝隙。。。。。第一个缝隙是Top-Level Await实现中的原型链传染（prototype pollution）缝隙，，，，，，，追踪为CVE-2022-1802，，，，，，，攻击者可利用它来执行JavaScript代码。。。。。第二个缝隙( CVE-2022-1529 ) 是JavaScript对象索引中使用不受信的输入导致的原型链传染缝隙，，，，，，，可用来在特权父过程中执行JavaScript。。。。。CISA在5月23日颁布安全公告，，，，，，，建议立刻建复这些缝隙。。。。。

https://www.bleepingcomputer.com/news/security/mozilla-fixes-firefox-thunderbird-zero-days-exploited-at-pwn2own/

5、Chrome扩大Screencastify建复可劫持摄像头的XSS缝隙

媒体5月24日称，，，，，，，盛行的Chrome扩大Screencastify建复了一个XSS缝隙。。。。。这是一个用于录屏、视频编纂和媒体共享的浏览器扩大，，，，，，，在Chrome中的装置量超过10000000次。。。。。攻击者能够利用缝隙启用Screencastify录造视频，，，，，，，并将其上传到Google Drive。。。。。唬�；；；；鼓芄焕猛姆煜独辞匀」雀枨鞯腛Auth令牌，，，，，，，并用它来下载上传的视频，，，，，，，以及存储在谷歌驱动器上的其它器材。。。。。

https://www.bleepingcomputer.com/news/security/screencastify-chrome-extension-flaws-allow-webcam-hijacks/

6、BlackBerry颁布关于Chaos新变体Yashma的分析汇报

5月24日，，，，，，，BlackBerry颁布了关于勒索软件Yashma及其家族的分析汇报。。。。。Chaos是一种可定造的勒索软件构建器，，，，，，，于2021年6月9日初次出现，，，，，，，曾经历了5次迭代，，，，，，，Yashma宣称是它的第六版(v6.0)，，，，，，，于2022年的年中在野表被发现。。。。。Chaos的前三个版本与传统的勒索软件比起来更像是拥有粉碎性的木马，，，，，，，但Chaos 4.0进一步改进，，，，，，，将可加密文件的上限提高到2.1MB。。。。。Chaos 5.0使用了AES-256加密指标文件，，，，，，，而Yashma与上一个版本险些一样，，，，，，，仅增长了两项批改。。。。。

https://blogs.blackberry.com/en/2022/05/yashma-ransomware-tracing-the-chaos-family-tree

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】