各位 Buffer 早上好,今天是 2019 年 02 月 20 日星期三。今天的早餐铺内容有:打开这个链接,你的 Facebook 账户就被黑了;API存在疏漏:网站可检测Chrome用户是否启用了隐私浏览模式;国家计算机病毒应急处理中心公布十款违法移动应用;Firefox Monitor已经被集成到Firefox 主动向用户提醒账户被盗用;瑞典医疗热线泄露270万条通话记录:涉及诸多敏感信息。
打开这个链接,你的 Facebook 账户就被黑了
研究员Samm0uda在 Facebook 端点 facebook.com/comet/dialog_DONOTUSE/ 中发现了一个严重的跨站点请求伪造 (CSRF) 漏洞,只需诱骗目标用户点击某链接就可利用该漏洞劫持账户。他因此获得2.5万美元的奖励。这名白帽黑客指出,可利用该漏洞绕过 CSRF 防护措施并通过诱骗用户访问恶意 URL 的方式以用户的身份执行操作。[来源:CodeSafe]
API存在疏漏:网站可检测Chrome用户是否启用了隐私浏览模式
为了避免被广告追踪和被网站知晓自己的浏览器历史记录,以谷歌 Chrome 为代表的现代浏览器,纷纷引入了“隐身模式”。但是一个开放的漏洞利用,却让别有用心的网站能够检测用户是否处于反追踪的“无痕模式”。据悉,该问题与 Web 开发侧的隐身模式检测有关。借助 FileSystem API,Chrome 隐身模式会阻止网站在用户设备中保存临时数据。[来源:CnBeta]
国家计算机病毒应急处理中心公布十款违法移动应用
国家计算机病毒应急处理中心近期通过互联网监测发现,十款违法有害移动应用存在于移动应用发布平台中,其主要危害涉及隐私窃取、诱骗欺诈、流氓行为和赌博四类。其中,《财急送移动版》(版本1.1.1.22)、《Fotoplace足记分享》(版本6.4.2)、《Flurv》(版本5.3.4)、《电视之家》(版本6.2.5)、《CybrFM创意库》/《私密记事》(版本7.7.9)等被点名。[来源:Bianews]
Firefox Monitor已经被集成到Firefox 主动向用户提醒账户被盗用
早在去年9月,我们就报道了Mozilla与Have I Been Pwned合作,让用户知道他们的帐户是否在数据泄露期间遭到入侵。当时该公司正在使用Have I Been Pwned并将其服务命名为“Firefox Monitor”。现在,Mozilla正在将该功能直接集成到Web浏览器中,因此您无需访问Firefox Monitor来检查您的帐户是否已被盗用。该功能目前正在测试中,很快将推出给Firefox用户。目前,如果您想尝试一下,可以下载Firefox Canary版本并找到首选项“extensions.fxmonitor.enabled”并将其值更改为true。[来源:cnBeta]
瑞典医疗热线泄露270万条通话记录:涉及诸多敏感信息
援引瑞典科技媒体Computer Sweden报道,拨打给瑞典医疗保健热线1177 Vårdguiden的270万条通话录音信息在网络上曝光。长达17万小时、包含极其敏感信息的呼叫音频存储在开放的Web服务器上,并且没有经过任何的加密和身份认证,意味着互联网上的任意用户都可以通过Web浏览器完全访问这些个人信息。
外媒Computer Sweden表示曾聆听了部分录音信息,其中包括患者的疾病、目前服用的药物以及相关病史等敏感信息。甚至在部分通话中要求描述孩子的症状并要求提供他们的社会安全号码。[来源:NOSEC]