各位Buffer早上好，今天是2019年3月18日星期一。今天的早餐铺内容主要有：英美在线商店数千名用户的支付数据被窃取 ； 不安全的数据库泄露中国3300万份简历；环球易购旗下跨境电商网站Gearbest泄露数百万用户信息和订单；WinRAR bug 正被利用安装难以检测的恶意程序；三星商城被黑客攻击：Galaxy S10订购页面出现Bug价格遭疯抢工信部：应用商店全面下架“社保掌上通”APP。

英美在线商店数千名用户的支付数据被窃取

网络安全公司Group-IB近日公布了一种专门窃取用户支付数据的恶意代码，针对英国和美国七大在线商店发起攻击。研究人员表示这种恶意代码属于新型JavaScript Sniffer (JS Sniffer)，最早在 FILA UK商店发现。在过去4个月中，这些代码至少窃取了5600名用户的支付信息。此外，British Airways、Ticketmaster、 http://jungleeny.com (家居设计商店)、https://forshaw.com/ (害虫治理产品商店)、 https://www.absolutenewyork.com/ （化妆品商店)、https://www.cajungrocer.com/ (在西安百货商店),、https://www.getrxd.com/ (运动设备商店)等都受到影响。[来源： securityaffairs]

 不安全的数据库泄露中国3300万份简历

近日，研究人员Sanyam Jain发现一个不安全的数据库，包含约3300万份中国用户的简历。这些简历文件共有57G大小，可在网上公开访问。简历信息包括用户名、性别、年龄、所在城市、家庭地址、邮箱、手机号、婚姻状态、工作经历、教育经历、薪水等。在3月10日发现这个数据库后，Sanyam尝试寻找数据库的管理员，但是并没有找到，只分析出这些简历与中国的51Jobs、拉勾网以及智联招聘等招聘网站有关。据分析，可能是有人专门从这些网站搜集用户上传的简历并集中到一起，用于特殊目的。目前，国内安全应急响应中心CNCERT已经接到了Sanyam的报告，并确认该数据库IP所属者是“北京机到网络科技有限公司”，并通知该公司关闭了该数据库。但是，尚不清楚此前有多少人接触到或者利用过这些信息，建议使用过这些网站的用户注意保护自己的信息并警惕钓鱼攻击。[来源： bleepingcomputer]

环球易购旗下跨境电商网站Gearbest泄露数百万用户信息和订单

国外安全研究员Noam Rotem发现中国环球易购（Globalegrow）旗下自营网站Gearbest泄露了数百万用户信息和订单。泄露的信息包括用户姓名、地址、电话号码、电子邮箱、订单及产品信息、支付和发票信息等。此外，Rotem还在同一IP地址上发现了一个单独的基于Web的数据库管理系统，利用这个系统，可以操纵或破坏Gearbest母公司环球易购所运行的数据库。目前，Rotem已经联系了Gearbest ，但是Gearbest既没有关闭数据库保护数据也没有任何回应。[来源：freebuf]

WinRAR bug 正被利用安装难以检测的恶意程序

上个月，流行的解压缩软件 WinRAR 曝出了一个至少 14 年历史的代码执行漏洞，安全公司 Check Point 的研究人员在 UNACEV2.DLL 的过滤函数中发现了一个漏洞，允许将代码提取到 Windows 启动文件夹，在 Windows 重启之后执行。现在，McAfee 研究人员报告该漏洞正被利用安装难以检测的恶意程序。当存在漏洞的 WinRAR 解压恶意压缩文档，它会悄悄将名为 hi.exe 的文件提取到启动文件夹，当系统重启之后它会安装一个木马程序，该木马目前只有少数杀毒软件能检测出来。WinRAR 用户最好升级到新版本或者改用其它解压软件如 7zip。[来源：solidot]

三星商城被黑客攻击：Galaxy S10订购页面出现Bug价格遭疯抢

近日，三星中国官网上线了S10系列的“以旧换新”活动，旧机可抵购新机款，同时最高可享800元换新补贴。不过该服务上线后，有网友发现网页疑似出现Bug，即便不换新也可以使用优惠选购三星S10手机，根据不同机型出现过金额不等的优惠，最高优惠可达2400元，部分S10遭到了羊毛党的疯抢。随后三星发现此问题，并于3月16日发布公告，公告表示三星网络商城受到了黑客攻击而产生错误，至于已经产生的订单，则会交由客服与消费者沟通解决。[来源：cnbeta]

工信部：应用商店全面下架“社保掌上通”APP

3月15日，第29届央视35晚会曝光了众多APP通过不平等、不合理条款的授权协议，强制索取用户的个人信息的问题。其中，社保掌上通APP被晚会点名，晚会主持人通过实际操作发现，当用户在该APP上输入身份证号、社保账号、手机号等信息，完成注册后，电脑远程就能截取到用户的几乎所有信息。据媒体报道，工信部立即启动应用商店联动处置机制，要求腾讯、百度、华为、小米、OPPO、Vivo、360等国内主要应用商店全面下架 “社保掌上通”APP，对“社保掌上通”手机APP的责任主体杭州递金网络科技有限公司进行核查处理，并全力组织对同类APP进行排查检测，对类似问题一并要求整改。[来源： cnbeta]