【安全帮】赌博无法提款 小伙自学成黑客攻击境外博彩网站，日进万元

美国邮政局发布API漏洞补丁 6000万用户安全受影响

据报道，美国邮政局（USPS）周三发布补丁修补了一个API漏洞。该漏洞可允许任何拥有USPS.com账户的人查看其他用户账户，大约有6000万美国邮政用户受该安全漏洞影响。根据Kerbs on Security的报道，这个漏洞在一年前由一名独立的安全研究员首次发现，该研究员随后告知了美国邮政局，然而从未获得任何回复，直到上周Krebs以该研究员名义联系了美国邮政局。随后美国邮政局发布了一份声明，称目前为止他们并未发现该漏洞为人利用以获取用户信息。邮政局在获得此漏洞消息后将竭力修复漏洞减轻其影响。

参考来源：

https://www.cnbeta.com/articles/tech/790543.htm

亚马逊出现技术故障 用户姓名和邮箱地址被曝光

据报道，周三亚马逊提醒部分用户，由于技术故障，公司网站意外公布了他们的名字和电子邮箱地址。此外，公司表示已经修复了该技术故障。周四晚些时候，部分用户称他们已经收到亚马逊发送的邮件提醒。在邮件中，亚马逊告知用户，他们无需更改账户密码或采取任何其他的改正措施。尽管亚马逊表示这一次的失误为技术故障所致，并不涉及更为严重的黑客攻击或数据泄露，然而泄露的名字和邮箱地址仍可能会导致用户更多信息泄露的风险。

参考来源：

https://tech.sina.com.cn/i/2018-11-22/doc-ihnyuqhi8158098.shtml

赌博无法提款 小伙自学成黑客攻击境外博彩网站，日进万元 11月21日上午，巴南警方通报了一起网络犯罪案件——巴南区28岁小伙徐某，因在网络赌博时赢了一万多元无法提款，怒而自学DDOS黑客技术，并组建黑客团伙，从去年开始专门黑赌博网站、游戏私服的服务器赚钱。据侦办此案的巴南区公安分局网络安全支队马警官透露：一年半以来徐某“生意兴隆”日进万金，现在徐某及其团伙因涉嫌非法控制计算机信息系统罪被捕。据警官透露，DDOS黑客技术有专人编写源代码，对硬件要求低，所需成本低，已经形成了相关产业链。所以徐某只是购买相关软件和硬件，就成为黑客。

参考来源：

http://www.xinhuanet.com/local/2018-11/22/c_1123749595.htm

假冒谷歌安卓驾驶应用程序受害者人数达 50 万 逾50万谷歌安卓用户下载了一系列无任何合法功能的驾驶应用程序。这些安卓应用程序包括货运卡车模拟器、豪华汽车驾驶、摩托车越野赛与消防车模拟器，其中某些应用程序展示的图片与其他合法应用程序相似。 据ESET安全研究员卢卡斯·斯特凡科（Lukas Stefanko）称， 这些应用程序由名为路易斯·奥平托（ Luiz O Pinto ）的开发员发布 ，且安装量已超过56万。 这些应用程序共有13款， 且都在某种程度上与模拟驾驶相关 。  这些应用程序不会在下载后显示任何合法功能 。相反，这些应用程序会将自己及其快捷方式图标隐藏起来，并要求用户一并下载、安装其他APK格式的文件。  一旦用户同意请求，应用程序将无需批准便可在移动设备解锁的情况下显示广告 。之前还有用户报告，这些应用程序会严重拖慢设备运行速度。

参考来源：

https://www.solidot.org/story?sid=58297

Flash Player 被曝类型混乱安全漏洞 Adobe 推荐升级新版本 Adobe近期修复了存在于Flash Player的类型混乱安全漏洞，潜在攻击者可以利用该漏洞执行任意代码。Adobe表示Flash Player 31.0.0.148以及此前版本，Windows、macOS和 Linux 系统均受影响。该漏洞编号为CVE-2018-15981，被Adobe评为关键漏洞，攻击者可以在用户不知情的情况下执行各种恶意代码。正如Common Weakness Enumeration平台所详述的，当“程序使用一种类型进行分配或者初始化资源（例如指针、对象或者变量），稍后使用与原始类型不兼容的类型访问该资源时，会出现类型混淆错误。”该错误是由处理恶意制作的.swf文件时触发的类型混淆错误引起的，这些文件可能使攻击者能够使用当前用户的系统权限在目标系统上执行任意代码。

参考来源：

https://www.cnbeta.com/articles/tech/790457.htm

德国eID卡系统容易受到在线身份伪造攻击 安全研究人员发现德国政府使用的电子身份证（eID）卡系统的主干存在漏洞。该漏洞在被利用时允许攻击者在线伪造，在使用eID身份验证选项时伪造其他德国公民的身份。在滥用此漏洞之前，攻击者需要客服一些障碍，发现它的研究人员表示的eID欺骗攻击是可行的。该漏洞不存在于嵌入德国eID卡的射频识别（RFID）芯片中，而是存在于支持eID身份验证的网站的软件包中。易受攻击的组件被命名为Governikus Autent SDK，是德国网站（包括政府门户网站）用于添加对基于eID的登录和注册程序的支持的SDK之一。

参考来源：

https://www.t00ls.net/articles-48633.html

工信部开展网络安全技术应用试点示范项目推荐工作 11月21日，工信部办公厅印发关于开展网络安全技术应用试点示范项目推荐工作的通知，示范项目重点引导方向包括但不限于网络安全防护、网络安全监测预警、网络安全应急处置、网络安全检测评估，以及包括用于保障云计算、大数据、人工智能、区块链、下一代网络（5G和IPv6）、物联网、车联网等新技术新应用安全的平台或系统。具体方法与流程可在工信部官网查看。

参考来源：

https://www.freebuf.com/

关于安全帮

安全帮，是中国电信北京研究院旗下安全团队，致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系：一个SaaS电商(www.anquanbang.vip) 、四个平台（SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台）。