首页 > 安全钻研 > 安全传递 > 安全简讯

印度支付利用BHIM因配置谬误泄露数百万用户信息；苹果颁布安全更新，建复unc0ver越狱缝隙

颁布功夫 2020-06-03

1.印度支付利用BHIM因配置谬误，泄露数百万用户信息

GA黄金甲·(中国区)官方网站

印度移动支付利用法式Bharat Interface for Money (BHIM) 存在安全缝隙，泄露数百万印杜酌户的幼我数据和财政数据。4月23日，vpnMentor钻研人员发现，该利用存放数据的Amazon Web Services S3存储桶由于配置谬误，导致能够被公开接见。这次泄露的文件蕴含扫描Ardaar卡（印度身份证）、种姓证书、专业和教育证书、用作居住证明的照片、与印度所得税服务有关的永远帐号（PAN）卡以及开设BHIM帐户所需的所有文件，泄露幼我信息蕴含姓名、诞生日期、春秋，性别、家庭住址、种姓身份、宗教信仰、生物特点具体信息、指纹扫描、身份证照片以及当拘钠划和社会保险服务的身份证号码。钻研人员暗示，在数星期后第二次联系了印度的CERT后，该缝隙才被建复。

原文链接：

https://www.infosecurity-magazine.com/news/indian-payment-app-bhim-data-breach/

2.REvil勒索英国Elexon失败后，泄露其1280个文件

GA黄金甲·(中国区)官方网站

黑客团伙REvil于两周前对英国公司Elexon提议勒索软件攻击，在索要赎金失败后，将窃取的1280个文件以缓存的大局颁布在其网站上。这些文件蕴含Elexon员工护照的文件和贸易保险申请表。Elexon在5月中旬遭到网络攻击时暗示，其已经确定了底子原因并在采取措施复原其IT系统，因而并未支付赎金。目前，Elexon并未回应The Register的置评要求，The Register暗示若是这次泄露的数据是真实的，REvil的行为能够看作是打算失败后的复仇。

原文链接：

https://www.theregister.com/2020/06/01/elexon_ransomware_was_revil_sodinokibi/

3.苹果颁布安全更新，建复unc0ver越狱缝隙

GA黄金甲·(中国区)官方网站

6月1日，苹果颁布了多个产品的安更新，在针对iOS 13.5.1和iPadOS 13.5.1的更新中建复了unc0ver越狱缝隙，其被跟踪为CVE-2020-9859，目前尚未颁布MITER / NVD条款。苹果公司暗示，由于该缝隙为内存处置缝隙并且多个PoCs已经被披露超过一个星期，所以这个缝隙可能会让攻击者使用内核特权执行肆意代码，并建议用户马上更新。除此之表，这次更新还蕴含针对macOS Catalina 10.15.5中统一缝隙的屡次更新的补充更新2020-003，用于Apple Watch和TV设备的watchOS 6.2.6和tvOS 13.4.6的更新，以及用于Apple Watch的watchOS 6.2.6安全更新。

原文链接：

https://www.bleepingcomputer.com/news/apple/apple-pushes-fix-across-all-devices-for-unc0ver-jailbreak-flaw/

4.社交视频利用Mitron存在缝隙，可导致账户收受

GA黄金甲·(中国区)官方网站

安全钻研员Rahul Kankrale在Mitron利用法式中发现使用Google登录职能存在问题，可导致账户收受。该利用中在用户允许接见配置文件信息时不创建私有身份验证令牌，所以，只有知路用户id就能够轻松地收受该帐户，而该id在页面源中公开显示。目前，还没有可用的补丁法式建复此缝隙，钻研人员尝试与开发人员联系但是没有成功。因而，目前该缝隙仍未建复，其PoC现已批露，因而所有效户都容易受到黑客攻击。Mitron在Google Play商店中有超过500万用户，钻研人员建议用户终场使用此利用以�；ひ院桶踩�。

原文链接：

https://latesthackingnews.com/2020/06/02/tiktok-alternative-mitron-app-has-a-critical-vulnerability-allowing-account-takeovers/

5.仅5月份就汇报了105起数据泄露事务，泄露88亿条数据

GA黄金甲·(中国区)官方网站

网络风险和隐衷治理解决规划提供商IT Governance颁布了一份数据泄露事务清单，该公司仅5月份就统计了105起事务，这些事务总共泄露了超过88亿笔纪录。其中最大的一次数据泄露事务来自泰国AIS移动运营商，其DNS查问和NetFlow日志数据库露出，泄露83亿笔纪录。对事务原因进行分类，其中39起由于网络攻击，37起由于数据泄露，17起由于勒索软件攻击，6起由于内部威胁或其他类型的网络事务。该公司暗示，这些数字只是极度守旧的估计，由于它仅反映出公开汇报的事务，还有一些未知事务。

原文链接：

https://www.bleepingcomputer.com/news/security/over-460-million-records-exposed-in-breach-incidents-reported-in-may/

6.钻研发现数据泄露后只有三分之一的用户更改密码

GA黄金甲·(中国区)官方网站

卡内基梅隆大学安全与隐衷钻研所（CyLab）钻研人员颁发了一项钻研，批注只有约莫三分之一的用户会在数据泄露后更改其密码。该钻研不是基于调查数据，而是基于现实的浏览器流量。钻研幼组通过网络于2017年1月至2018年12月之间249名参加者的家用推算机的信息进行分析，网络的数据蕴含网络流量、登录网站的密码以及存储在浏览器中的密码。钻研人员暗示，在这249个用户中有63个用户遭到了数据泄露，其中只有21位（33％）更改了密码，而在这21位用户中，只有15位在数据泄露布告颁布后的三个月内更改密码，并且只有9位（三分之一）凭据密码的log10转换强度将其更改为更强的密码。

原文链接：

https://www.zdnet.com/article/after-a-breach-users-rarely-change-their-passwords-study-finds/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

印度支付利用BHIM因配置谬误泄露数百万用户信息；苹果颁布安全更新，建复unc0ver越狱缝隙

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线

软件升级

投资者关系

安全钻研

印度支付利用BHIM因配置谬误泄露数百万用户信息；苹果颁布安全更新，建复unc0ver越狱缝隙

7*24幼时服务热线

印度支付利用BHIM因配置谬误泄露数百万用户信息；苹果颁布安全更新，建复unc0ver越狱缝隙