>> FireEye最近表示,一個包含了2億個人身份信息的數據庫在地下論壇被兜售,這些信息來自數個知名日本網站的數據庫。
這份數據庫很可能來自一名中國的商販,最早在2017年12月被以150美金的價格進行兜售,數據庫包含了名字、憑證、郵箱、生日、電話號碼以及居住地址。這些數據來自于多個日本網站,包括零售業、食品飲料哦、金融、娛樂以及交通。
據悉,這份數據很可能是真實的,應該在2016年5月到 6月之間被 獲取,但是有些數據可能2013年5月到6月間就已經被獲取。不過研究人員也指出,這些信息很可能是從以前的泄露中的重復信息,因此這份泄露不一定會對個人信息造成嚴重的攻擊。
>> 由于一個漏洞,LocationSmart的電話追蹤功能的試用版不得不被暫時下架。
LocationSmart之前在自己的網站上給客戶提供了一項服務的試用版:可以實時追蹤某部手機的地理位置——但是需要電話所有者的 許可。經過測試,這個定位相當精準。然而,一名來自卡耐基梅隆大學的在讀博士生表示,自己只用了15分鐘就發現了網站上的漏洞。他表示,這個漏洞幾乎能讓任何懂一點網絡知識的人免費追蹤任何一個人的地理位置信息。這個漏洞體現在頁面沒有適當確認用戶是否達成被追蹤者的首肯,因此攻擊者可以通過讓網站回復一個不同格式的請求來達成自己的目的。
LocationSmart表示,下架后已經修復了漏洞,并且沒有其他人利用過這個漏洞。而民主黨人Sen. Ron Wyden顯然不買賬,他借此事再次要求美國聯邦通信委員會要嚴加調查無線供應商對地理數據的濫用,而此次事件體現了無線網絡生態對美國的安全毫不關心。
>> 近日,微軟和谷歌的研究人員宣布熔斷/幽靈類型的漏洞有了第四種變體。第四種變體可以在不同的情況下,通過在有隱患的設備或者計算機上運行惡意軟件或者惡意進入系統,從而從內核或者應用內存中竊取隱私信息,比如密碼。該漏洞影響了英特爾、AMD以及ARM。
這個變體可以通過在程序內運行腳本被利用——比如在瀏覽器的頁面里運行JavaScript。不過英特爾表示,對于已經針對變體一打過補丁的系統,攻擊者將更難利用變體四。另外,暫時并沒有發現有針對變體四發起攻擊的代碼。盡管如此,英特爾、AMD以及ARM都相繼表示將對這個漏洞進行更新,而Red Hat、VMware和Xen Project等也對此提出了建議與修復方法。