本周安全资讯

28 Mar 2019

暗网市场Dream Market宣布将于4月底关闭；

非法收集18亿份简历，某招聘类数据公司被查封；

WordPress两个常用插件曝出零日漏洞，均已在野外被利用······

一、信息泄露

1.非法收集18亿份简历，某招聘类数据公司被查封

据媒体报道，号称拥有全国最大简历库的某招聘类数据公司因涉及非法收集简历被查封，其员工均被警方带走调查。据悉，该公司主要数据来源平台曾于2015年宣称拥有1.6亿用户的18亿份简历，该平台旗下还包含10多款招聘相关产品，可为用人单位提供员工离职预警、简历的全部版本和修改记录，甚至给广告商开放接口进行精准营销投放。截至目前，该平台官网及旗下所有网站已无法登录。

来源：http://u6.gg/sneTL

图片来源于pexles

2.美国联邦应急管理局泄露230万灾难幸存者隐私信息

据外媒报道，美国国土安全部监察长办公室发布报告称，为帮助2017年哈维、玛利亚、厄玛飓风等灾难幸存者寻找临时住房解决方案，联邦应急管理局（FEMA）非法向一家联邦承包商提供了230万幸存者的个人隐私数据，包括姓名、出生日期、过渡性庇护援助批准书、FEMA注册号等个人信息，及申请人街道地址、银行转账号码、电子汇款号码等敏感信息。截至目前，FEMA已停止与承包商共享数据并开始检查承包商的信息系统。

来源：http://u6.gg/smyEE

3.HMD回应Nokia 7 Plus事件：从未向第三方共享用户数据

据媒体报道，近日有用户反馈，Nokia 7 Plus会向域名http://zzhc.vnet.cn发送未加密的数据包，内容包括地理位置、IMEI、SIM卡号和MACID等数据。对此HMD回应称从未向第三方共享用户数据，该问题源于固件错误，单批次设备受其影响会在手机启用、解锁、恢复休眠时收集用户数据并发送至特定服务器。截至目前，HMD已移除相关软件包。

来源：http://u6.gg/smzxv

图片来源于unsplash

4.Elsevier泄露用户密码和电邮

据媒体报道，世界最大期刊出版商之一Elsevier因错误配置数据库，导致其订阅用户密码和电邮地址被泄露。研究人员发现，泄露的大部分电邮后缀为.edu，可推测受影响用户多为世界各地高校、研究机构的学生或老师。事件曝光后，Elsevier发布声明称已修复该问题，将采取预防措施通知受影响用户重置账号密码，目前暂未发现数据被误用。

来源：http://u6.gg/sne65

二、恶意软件

1.LockerGoga再次发动攻击，曾令Norsk Hydro损失逾4千万

据媒体报道，继攻击全球最大铝生产商Norsk Hydro后，勒索软件LockerGoga又被发现疑似入侵了另外两家美国化学公司Hexion和Momentive的计算机网络，致其Windows计算机出现蓝屏且文件被加密。据悉，此前遭受攻击的Norsk Hydro近日发布声明称，公司当前损失逾4000万美元，建筑系统业务部门运营几乎瘫痪，目前正从备份服务器中恢复文件，不会向黑客支付赎金。

来源：http://u6.gg/sndbr

图片来源于pixabay

三、漏洞曝光

1.WordPress两个常用插件曝出零日漏洞，均已在野外被利用

研究人员发现，WordPress两个常用插件中分别存在零日漏洞，且这两个漏洞均已在野外被利用。据悉，其中一个漏洞为跨站点脚本（XSS）漏洞，位于Social Warefare插件中，该插件已被下载安装7万余次，黑客可利用该漏洞进行恶意重定向。另一个漏洞位于Easy WP SMTP插件中，已有超过30万网站安装使用。截至目前，这两个漏洞均已被修复，网站管理员应尽快更新以免受到攻击。

来源：http://u6.gg/smysF

2.NVIDIA修复GeFore Experience任意代码执行漏洞

据外媒报道，NVIDIA于近日针对GeFore Experience中的任意代码执行漏洞发布了版本3.18.0.94进行修复。据悉，该漏洞被追踪为CVE-2019-5674，允许黑客提权执行任意代码或发动拒绝服务（DoS）攻击，3.18之前版本软件均受影响。截至目前，研究人员已公布该漏洞技术细节和概念验证（PoC）代码，专家建议用户尽快更新以免受到攻击。

来源：http://u6.gg/snexz

图片来源于pexels

四、安全资讯

1.暗网市场Dream Market宣布将于4月底关闭

据外媒报道，暗网市场Dream Market发表声明称将于4月30日关闭，欧洲刑警组织、FBI和美国缉毒署也在同一天宣布对暗网毒品走私展开大规模打击，并逮捕了数十人。Dream Market作为目前最大的暗网市场之一，此次宣布关闭的时机令许多用户怀疑其与Hansa Market一样，早已被执法机关查封，并被部署了蜜罐技术，利用收集到的用户密码访问其他暗网市场。

来源：http://u6.gg/snfcg

2.iOS 12.2发布更新修复51个安全漏洞

近日，苹果发布iOS 12.2版本，修复了51个安全漏洞，iPad Air及更高版本、第6代iPod、iPhone 5s及更高版本受影响。据悉，此次涉及的漏洞中有13个位于WebKit中，该浏览器引擎被广泛用于Safari、Mail和App Store，其中被追踪为CVE-2019-8566的漏洞允许恶意应用程序不经用户同意访问麦克风并记录、传输附近的会话。专家建议用户尽快更新以保护设备。

来源：http://u6.gg/sm28z

图片来源于pixabay

3.黑客利用在线商店PayPal功能测试被盗卡有效性

据外媒报道，黑客利用Magento在线商店的PayPal Payflow Pro集成来测试被盗借记卡和信用卡号码的有效性。据悉，该功能是Magento商店提供的支付选项，允许在线商店通过PayPal商家（商业）账户接收付款，且用户无需在PayPal门户网站输入详细信息。研究人员发现，黑客已在黑市上出售这些卡片，专家建议商店建立一个Web应用程序防火墙（WAF）或其他反暴力及机器人检测系统来保护商店。

来源：http://u6.gg/snfuf