1、Capital One泄露1.06亿用户信息,嫌疑人已被捕
Capital One确认其系统于3月22日至23日期间遭未授权访问,导致1.06亿用户的信息泄露,包括交易数据、信用评分、支付历史、余额以及关联的银行账户和社会安全号码。受影响的用户包括1亿美国人和600万加拿大人。根据相关证据,FBI已经逮捕了嫌疑人Paige Thompson。Capital One表示由于客户通知、免费的信用监控服务、安全改进成本以及法律费用,这一事件将导致约1亿至1.5亿美元的成本。
原文链接:https://www.bleepingcomputer.com/news/security/capital-one-data-breach-affects-106-million-people-suspect-arrested/
2、丝芙兰官网遭黑客入侵,客户隐私信息泄露
丝芙兰官网遭黑客入侵,导致客户隐私信息泄露。丝芙兰是美容产品、化妆品和护肤品的在线购物网站,其客户信息遭第三方未授权访问。泄露的信息包括客户的姓名、出生日期、性别、电子邮件地址、美容偏好和加密密码,但不涉及信用卡信息。受影响的地区包括新加坡、马来西亚、印度尼西亚、泰国、菲律宾、中国香港、澳大利亚以及新西兰。该公司要求客户更改现有密码,并为受影响的客户提供免费的隐私监控服务。
原文链接:https://www.stuff.co.nz/business/114597785/kiwi-customers-names-emails-passwords-stolen-in-sephora-data-breach
3、波多黎各两家医院遭勒索软件攻击,波及52万患者信息
波多黎各Bayamón医疗中心及其附属妇女儿童医院成为勒索软件攻击的最新受害者,该攻击事件影响了超过52万名患者的数据,其中包括42万Bayamón医疗中心患者和近10万妇女和儿童医院患者。在事件发生后,医院进行了内部调查以确认攻击的来源和受损程度,并聘请了第三方来帮助恢复加密的文件。医院表示目前没有任何迹象表明这些信息已被任何未经授权的个人所使用。
原文链接:http://www.bayamon-medical.com/prwch/docs/comunicado_de_prensa.jpg
4、休斯敦学校遭勒索软件攻击,被迫推迟开学日期
休斯敦学校遭勒索软件攻击,该学校被迫将开学日期向后推迟了4天。该学校原定于8月1日开学,但由于攻击者感染了学校的系统服务器,导致整个学校的系统功能受到影响,因此学生将被推迟到8月5日开学。该学校要求教师和职员不要使用学校的电脑,直至收到另行通知。学校负责人David Sewell表示还无法确认攻击的受损程度。该学校正在与联邦机构、FBI等协同解决该问题。
原文链接:https://www.dothaneagle.com/news/education/officials-can-t-confirm-county-school-system-hack-isn-t/article_f628759e-afd7-11e9-a8aa-eba139975480.html
5、Facebook Widget XSS漏洞,下载量近100万
WordPress插件Facebook Widget被曝存在一个XSS漏洞,该插件的下载量达将近100万。根据Plugin Vulnerabilities的报告,该漏洞与缺乏对短代码属性安全性的正确处理有关,具体来说,短代码“fb_widget”使得函数fb_plugin_shortcode()运行,但该函数的第一行代码将短代码中的属性设置为变量$defaults而未对输入进行清理,该代码还将未经转义的输出作为HTML标签的属性。攻击者可利用该漏洞植入恶意JavaScript代码,导致经过身份验证的持久性XSS攻击。研究人员发布了用于演示攻击的PoC。
原文链接:https://www.securityweek.com/authenticated-xss-found-wordpress-plugin-facebook-widget
6、Android RCE漏洞,可通过播放恶意视频入侵用户设备
Android OS版本7.0和9.0之间存在严重的RCE漏洞(CVE-2019-2107),因此用户的Android设备可能因播放视频而被黑客入侵。该漏洞存在于媒体框架组件中,攻击者可利用恶意文件在特权进程的上下文中执行任意代码。谷歌在7月的Android安全更新中修复了该漏洞,但仍有大量设备在等待厂商推送该补丁。研究人员Marcin Kozlowski发布了一个漏洞验证的PoC,使用Android的原生视频播放器播放该HEVC编码的视频可导致播放器崩溃。但如果使用WhatsApp或Facebook等即时通信APP接收此恶意视频,则攻击无效,因为压缩会破坏视频中的恶意代码。
原文链接:https://securityaffairs.co/wordpress/89027/hacking/android-rce-cve-2019-2107.html
京公网安备11010802024551号