*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。

各位 Buffer 早上好，今天是 2019 年 02 月 13 日星期三，农历正月初九。今天的早餐铺内容有：WordPress曝出插件漏洞，允许任何用户接管网站；俄罗斯测试脱离国际互联网；16家国外网站近6.2亿用户信息被挂暗网出售；美国交友平台OKCupid被曝存在系统漏洞；安全专家发出警告：黑客正在测试感染Mac的新方法。

WordPress曝出插件漏洞，允许任何用户接管网站

使用 WordPress 管理其网站的用户，很可能在其中一个插件中，找到近期曝光的那个安全漏洞。一名来自 WebARX 的安全研究人员，刚刚发现了“简易社交分享按钮”（Simple Social Buttons）插件的一个缺陷。该插件旨在方便网站管理员在文章、评论、或网站的其它部分，嵌入 Facebook 或 Twitter 等 SNS 平台的社交分享按钮。

然而最新曝光的漏洞，允许任何能够在上创建新账户的用户，利用它来访问“通常只有管理员才能解除的设置”。换言之，别有用心的攻击者，可以通过该插件来接管网站。[来源：cnBeta]

俄罗斯测试脱离国际互联网

俄罗斯新闻媒体报道，作为计划中的实验的一部分，俄罗斯政府和主要 ISP 正计划测试脱离国际互联网。俄罗斯议会去年 12 月引入了一项法律草案，要求该国 ISP 必须确保俄罗斯网际空间的独立性，以防万一外国侵略导致俄罗斯的网络与其它互联网分离。此外，俄罗斯电信公司还必须安装“技术方法”，将所有俄罗斯互联网流量重路由经过电信监管局 Roskomnazor 批准或管理的交换点。Roskomnazor 将检查流量屏蔽禁止的内容，确保俄罗斯用户之间的流量留在本国境内。计划中的测试就是为修改草案获取数据提供反馈和见解。[来源：Solidot]

16家国外网站近6.2亿用户信息被挂暗网出售

近日，一个名为Dream Market暗网市场上挂出了6.2亿用户信息，交易通过比特币转账进行，打包售价不高于2万美元，该卖家宣称这些数据来自16个被攻击的网站：

Dubsmash（1.62亿）、MyFitnessPal（1.51亿）、MyHeritage（9200万）、ShareThis（4100万）、HauteLook（2800万）、Animoto（2500万）、EyeEm（2200万），8fit（2000万）、Whitepages（1800万）、Fotolog（1600万）、500px（1500万）、Armor Games（1100万）、BookMate（800万）、CoffeeMeetsBagel（600万）、Artsy（100万）和DataCamp（70万）。

从放出的部分样本来看，包含的用户信息有效性很高，主要有帐户持有人姓名、电子邮件地址和密码等数据。密码经过哈希处理或单向加密，因此必须先破解才能使用。根据来源网站的不同，某些数据还包含位置、个人详细信息和社交媒体身份验证信息等内容，而付款或银行卡详细信息不在其中。[来源：FreeBuf]

美国交友平台OKCupid被曝存在系统漏洞

据TechCrunch报道，有用户投诉称，自己在美国交友平台OKCupid的帐户被黑客攻击。黑客更改了他的密码，导致他无法登录帐号。此外黑客还修改了资料中的电子邮件地址，使得他也无法重置自己的密码。OKCupid客服在回应投诉时表示：“不幸的是，我们无法提供任何未连接到你电子邮件地址的帐号的详情。”[来源：Bianews]

安全专家发出警告：黑客正在测试感染Mac的新方法

趋势科技发出警告，黑客正在测试一种感染 Mac 的新方法。其能够绕过 macOS 的 Gatekeeper 安全特性，将包含恶意软件的可执行文件部署到受害者的计算机上。据悉，这家安全企业是在分析 Little Snitch 时，发现的这一最新威胁。Little Snitch是一个易于作为洪流访问的防火墙应用程序。研究人员认为，黑客仍在研究恶意软件及其使用方式。[来源：cnBeta]