freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

BUF早餐铺丨携程疑再现“大数据杀熟” ,机票重搜贵了近1500元;Citrix收FBI警告:6TB...
2019-03-12 07:00:01

各位Buffer早上好,今天是2019年3月12日星期二。今天的早餐铺内容主要有:携程疑再现“大数据杀熟” ,机票重搜贵了近1500元;Citrix收FBI警告:6TB至10TB敏感数据被窃;利用恶意插件收集用户数据,​Facebook起诉两名开发者;日本警方指控分享无限循环弹出窗代码的13岁女孩;职业病?网络安全专家居然在航班上“玩坏了”机载娱乐系统。

timg.jpg

携程疑再现“大数据杀熟” ,机票重搜贵了近1500元

据微博网友爆料,携程疑似再次出现“大数据杀熟”现象。用户“陈利人”表示,日前在携程购买了一张机票,总价格17548元,下单时间为10:47;他支付前尝试修改订单,退回去之后再去支付,就被告知没有票了,让回去重新选择,重新搜索时,价格变成了18987元。随后他在海航官方查看发现,同样的行程,不但有票,而且价格比携程便宜不少。时间是12:24,价格是16890元。携程的牌坊再一次在用户心中崩塌。[sina]

Citrix收FBI警告:6TB至10TB敏感数据被窃

软件制造商Citrix近日承认公司已经沦为数据泄露的新受害者,导致国际黑客窃取了大量的数据。公司表示美国联邦调查局(FBI)已经就此事和公司取得联系,并警告称本次网络攻击行为极有可能是伊朗黑客组织所为,窃取了6TB至10TB的商业文件。

针对本次安全事件,Citrix已经采取积极措施。公司表示:“我们已经全面配合FBI开展调查,并且聘请了一家专业领先的网络安全公司提供协助,巩固我们的内部网络。”随后公司补充道Citrix的任何产品或者服务没有任何迹象表明它们的安全受到了损害,但也承认并不清楚有多少或者哪些文件被访问过。

根据披露的细节显示,黑客使用了一种名为“password spraying”的策略,他们利用弱密码获取有限的访问权限,然后努力绕过其他安全系统。在3月6日被FBI通知之前,网络安全公司Resecurity表示,它已于12月28日联系该公司。公司认为在最近的两次袭击中,有6-10TB的数据被盗,重点是与FBI,NASA和航空航天业以及沙特阿拉伯国有石油公司有关的文件。[citrix]

利用恶意插件收集用户数据,​Facebook起诉两名开发者

当地时间星期五,Facebook起诉两名乌克兰人利用测试应用收集用户的私密数据,在用户的消息流中插入广告。

在2017年至2018年期间,两名被告诱使Facebook用户安装自称与星座、性格测试有关的恶意浏览器插件,受影响的用户达到约6.3万人,其中主要是俄罗斯和乌克兰用户。被告的应用利用了Facebook的登录功能,承诺只收集有限的信息。应用会诱导用户安装浏览器插件,从而使他们能获得用户Facebook(和其他社交网络)账户的访问权限。

起诉书称,除自行发布广告外,被告还收集了用户的公开档案信息和不公开的好友列表。他们还可能与去年出售8.1万名用户私密信息的事件有关。Facebook在起诉书中表示,被告“给Facebook的声誉造成不可挽回的损害”,并且Facebook不是唯一受到影响的社交网络,但没有提及具体的其他社交网络。[ifeng]

日本警方指控分享无限循环弹出窗代码的13岁女孩

日本一名13岁女孩在网上遭遇Javascript无限弹窗然后觉得好玩而将代码在论坛上进行分享,结果遭到了刈谷警方的询问和指控。

此事引发了广泛争议,以至于日本程序员Kimikazu Kato在GitHub上发起了快来逮捕我的抗议活动,呼吁大家一起分享JS无限弹窗代码,让日本警方来逮捕他们或者去警局自首。

这段无限循环代码主要影响桌面版Chrome和移动浏览器,而Edge和Firefox浏览器则不受影响,可以正常关闭窗口。代码是在2014年写的,已经被很多人分享过,而这名女孩不是唯一一位受到调查的,还有另外两人受到调查。[solidot]

职业病?网络安全专家居然在航班上“玩坏了”机载娱乐系统

最近,西苏格兰大学助理教授Hector Marco在越洋航班上发现了飞行娱乐系统屏幕上的拒绝服务攻击 Bug(CVE-2019-9109),他的发现可能会让大量搭载Thales设备的航班头大。

Marco在YouTube上发了视频,解释自己是怎么在娱乐系统屏幕上操作鼠标的。他“不厌其烦”的在屏幕上复制粘贴一长串字符,其中还有像“fdkfdkfdkfdkfdhhhhhhhh”这样的文字。不久之后,这个应用就卡住了。好在,这并没有影响这架波音飞机上其它乘客面前的屏幕。

不断在输入区域复制粘贴长传文本是一种渗透测试技术。这样操作会引发软件缓冲区溢出,内存保护机制就无法起效了(比如ASLR)。几年前,Marco和另一个研究人员就发现,只要连敲退格键28次,就能绕过Linux bootloader Grub2的启动认证。

虽然搞瘫痪了面前的娱乐系统,但Marco也承认,他并不清楚自己在这次越洋航班上到底发现了什么。他只是表示:“这个问题更像缓冲区溢出,但也不能排除内存不足或类似原因。既然它被分类为未知类型的漏洞,我们就该寻找真正原因并作出修正。”[cnbeta]

本文作者:, 转载请注明来自FreeBuf.COM

# 数据泄露 # 缓冲区溢出 # 大数据
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑