各位Buffer早上好，今天是2019年3月28日星期四。今天的早餐铺内容主要有：UC浏览器存在中间人攻击(MITM)漏洞，可能影响十多亿设备；华硕发布补丁应对 ShadowHammer 攻击；巧达科技将8亿份简历转手卖到数据黑产链；暗网市场 Dream Market 将于下月底关闭；WordPress 插件漏洞被利用 近20万站点还没打补丁；Elsevier 数据库泄漏用户密码和电邮。

UC浏览器存在中间人攻击(MITM)漏洞，可能影响十多亿设备

研究人员发现UC浏览器中存在易受攻击的功能模块，可被攻击者利用执行中间人攻击。由于UC浏览器采用HTTP协议与服务器通信，传输的信息没有经过加密，所以会被攻击者hook来自应用程序的请求，并将命令和链接替换为恶意地址，导致从UC浏览器下载模块时，会下载来自恶意服务器的内容。而UC浏览器本身使用未签名的插件，因此没有任何验证就可能启动恶意模块。攻击者可以利用这种机制，使用UC浏览器分发、执行不同的恶意插件，甚至利用木马访问受保护的浏览器文件并窃取存储在程序目录中的密码。UC浏览器有十几亿下载量，相关设备都可能暴露在风险之中。[来源： bleepingcomputer]

华硕发布补丁应对 ShadowHammer 攻击

卡巴斯基研究人员公开了 ShadowHammer 攻击，攻击者通过入侵华硕自动更新工具的服务器，利用自动更新将恶意后门推送到客户计算机。华硕现在宣布了它释出了自动更新工具 ASUS Live Update 的新版本 3.6.8，加入了多个安全验证机制，防止软件自动更新或其它方式进行的任何恶意操纵，实现了一个端对端加密机制，加强了服务器到终端的软件架构，防止未来类似的攻击再次发生。华硕还发布了一个诊断工具，帮助华硕客户诊断是否感染了恶意后门。[来源：solidot]

巧达科技将8亿份简历转手卖到数据黑产链；

近日，号称拥有全国最大简历库的招聘类数据公司巧达科技被曝公司所有人员被警方带走。这家公司曾宣称通过整合多达2.2亿份自然人简历、10亿份通讯录、100亿个用户识别ID组合和1000亿+用户综合数据，绘制出了涉及中国8亿人口的多维度数据。其中，包含个人隐私与非隐私信息。此前，巧达科技号称拥有中国最大的简历数据库，其主要数据来源为“乔大招”。而乔大招旗下则拥有“爱伙伴”、“简历时光机”等在内10多款招聘相关产品。有了个人数据，就可以为个人绘制用户画像，有了用户用户画像，巧达科技还可以给广告商开放接口做精准营销投放。截止3月27日，乔大招官网以及旗下所有网站（爱伙伴等）已经无法登入。[来源： cnbeta]

暗网市场 Dream Market 将于下月底关闭

暗网市场 Dream Market 发表声明宣布将于 4 月 30 日关闭。同一天，欧洲刑警组织、FBI 和美国缉毒署宣布对暗网毒品走私展开大规模打击，执行了数十次逮捕。Dream Market 是目前最大的暗网市场之一，它宣布关闭的时机在用户中间引发了怀疑：即 Dream Market 可能早就被执法机关扣押了，目前只是把它作为蜜罐运营。这种情况有过先例，2017 年荷兰警方接管了暗网市场 Hansa Market，然后继续运行了一个月去收集其用户的证据，执法机构还利用收集到的用户密码去访问用户在其它暗网市场的账号。[来源： zdnet]

WordPress 插件漏洞被利用 近20万站点还没打补丁

攻击者正在利用两个广泛使用的 WordPress 插件中的严重漏洞，以入侵托管站点，影响站点数量众多。被利用的两个插件，其中之一是 Easy WP SMTP，最早由安全公司 NinTechNet 在上周日报导了其被利用进行攻击，数据显示有 300 000 次下载安装；另一个插件是 Social Warfare，已经被安装了 70 000 次，它的利用是由另一家安全公司 Defiant 披露的。两个插件漏洞都允许攻击者在受攻击的网站上创建恶意管理员帐户。据 Defiant 报导，有两个竞争组织正在实施攻击，其中一个在创建管理员帐户后暂时停止操作，而另一个组织则会进行后续步骤，其会使用虚假帐户更改站点，将访问者重定向到恶意站点。[来源： cnbeta]

Elsevier 数据库泄漏用户密码和电邮

世界最大期刊出版商之一的 Elsevier 被发现错误配置了其数据库，导致外界可以公开访问其订阅用户的密码和电邮地址，受影响的主要是世界各地的高校和研究机构。发现该问题的安全公司 SpiderSilk 称，大部分用户的电邮后缀是.edu，意味着要么是学生要么就是教师。Elsevier 在接到报告之后修复了问题，公司发言人声称没有发现数据被误用的迹象，表示会采取预防措施通知受影响的用户和重置账号密码。[来源：solidot]