GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全简讯

Twitter网络用户信息定向推送告白被�？�1.5亿美元

颁布功夫 2022-05-26

1、Twitter网络用户信息定向推送告白被�？�1.5亿美元

据5月26日报路，美国联国业务委员会FTC已对Twitter�？�1.5亿美元，原因是它使用网络的2FA验证的电话号码和邮件地址来推送告白。凭据法庭文件，从2013年起头，Twitter要求超过1.4亿用户提供这些信息以�；に堑恼嘶�，但没有通知他们这些数据也将用于告白商投放告白。FTC主席称，Twitter以用于安全主张为借口从用户那里获取数据，但最终还使用这些数据来针对用户投放告白，这种做法影响了大量用户的同时还提升了Twitter的收入。Twitter已赞成支付1.5亿美元的�？�。

https://www.bleepingcomputer.com/news/technology/ftc-fines-twitter-150m-for-using-2fa-info-for-targeted-advertising/

2、趋向科技建复已被Moshen Dragon利用的DLL劫持缝隙

据媒体5月24日报路，趋向科技建复其安全产品中的DLL劫持缝隙。正如Sentinel Labs在5月初披露的那样，Moshen Dragon在针对中亚的电信行业的攻击中，试图劫持安全供给商的法式，蕴含Symantec、TrendMicro、BitDefender、McAfee和Kaspersky。攻击者利用了多个恶意软件，并通过DLL劫持来侧加载ShadowPad和PlugX。Trend Micro已于5月19日通过其ActiveUpdate(AU)颁布了一个建复法式，并建议用户当即进行更新。

https://securityaffairs.co/wordpress/131635/hacking/trend-micro-flaw-moshen-dragon.html

3、某配置谬误的ES服务器泄露数百万贷款申请人的信息

据5月24日报路，一个配置谬误的Elasticsearch服务器泄露了147 GB的数据，共8.7亿笔纪录。该服务器于2021年12月5日被检测到，重要蕴含乌克兰、哈萨克斯坦和俄罗斯幼额贷款的申请人的信息，如姓名、住址和护照号码等幼我信息，以及薪水、贷款详情和INN（税号）等财政信息。据估计，约有1000万用户受到影响，其中大部门服务器日志和护照号码属于俄罗斯，大无数INN属于乌克兰，而该服务器位于荷兰的阿姆斯特丹。

https://www.hackread.com/personal-data-russians-ukrainians-exposed-online/

4、Mozilla颁布更新建复Pwn2Own大会中被利用的多个缝隙

5月20日，Mozilla颁布了Firefox和Thunderbird的安全更新，以建复在Pwn2Own 2022大会期间被利用的缝隙。第一个缝隙是Top-Level Await实现中的原型链传染（prototype pollution）缝隙，追踪为CVE-2022-1802，攻击者可利用它来执行JavaScript代码。第二个缝隙( CVE-2022-1529 ) 是JavaScript对象索引中使用不受信的输入导致的原型链传染缝隙，可用来在特权父过程中执行JavaScript。CISA在5月23日颁布安全公告，建议马上建复这些缝隙。

https://www.bleepingcomputer.com/news/security/mozilla-fixes-firefox-thunderbird-zero-days-exploited-at-pwn2own/

5、Chrome扩大Screencastify建复可劫持摄像头的XSS缝隙

媒体5月24日称，盛行的Chrome扩大Screencastify建复了一个XSS缝隙。这是一个用于录屏、视频编纂和媒体共享的浏览器扩大，在Chrome中的装置量超过10000000次。攻击者能够利用缝隙启用Screencastify录造视频，并将其上传到Google Drive�；鼓芄焕猛姆煜独辞匀」雀枨鞯腛Auth令牌，并用它来下载上传的视频，以及存储在谷歌驱动器上的其它器材。

https://www.bleepingcomputer.com/news/security/screencastify-chrome-extension-flaws-allow-webcam-hijacks/

6、BlackBerry颁布关于Chaos新变体Yashma的分析汇报

5月24日，BlackBerry颁布了关于勒索软件Yashma及其家族的分析汇报。Chaos是一种可定造的勒索软件构建器，于2021年6月9日初次出现，曾经历了5次迭代，Yashma宣称是它的第六版(v6.0)，于2022年的年中在野表被发现。Chaos的前三个版本与传统的勒索软件比起来更像是拥有粉碎性的木马，但Chaos 4.0进一步改进，将可加密文件的上限提高到2.1MB。Chaos 5.0使用了AES-256加密指标文件，而Yashma与上一个版本险些一样，仅增长了两项批改。

https://blogs.blackberry.com/en/2022/05/yashma-ransomware-tracing-the-chaos-family-tree

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】