【安全帮】阿里云出现源代码泄露企业涉及万科等40家企业200余项目

栏目: 编程工具 · 发布时间: 5年前

内容简介：摘要: 黑客入侵POS公司系统，在客户网络植入恶意软件总部位于明尼苏达州的POS产品供应商North Country Business Products（NCBP）上周公开了一个安全事件：黑客入侵了其IT系统，后来在其部分客户的网络上植入了POS恶意软件。根据NCB...

摘要: 黑客入侵POS公司系统，在客户网络植入恶意软件总部位于明尼苏达州的POS产品供应商North Country Business Products（NCBP）上周公开了一个安全事件：黑客入侵了其IT系统，后来在其部分客户的网络上植入了POS恶意软件。根据NCB...

黑客入侵 POS 公司系统，在客户网络植入恶意软件

总部位于明尼苏达州的POS产品供应商North Country Business Products（NCBP）上周公开了一个安全事件：黑客入侵了其IT系统，后来在其部分客户的网络上植入了POS恶意软件。根据NCBP称，这次破坏发生在2019年1月3日。该公司在第二天于其网络上发现了可疑活动，并在第三方调查员的帮助下开始调查。至1月30日，调查证实了存在违规行为，不过攻击者似乎也在这期间发现了调查人员的检测，于1月24日停止了所有活动。

参考来源：

https://www.hackeye.net/securityevent/19096.aspx

Drupal 被曝 RCE 漏洞，可导致网站被劫持

Drupal 中被曝潜在的严重的远程代码执行漏洞，可导致攻击者黑掉并劫持网站。网站管理员们应尽快更新。该漏洞的编号是 CVE-2019-6340，是由 Drupal 未能正确检查 RESTful web服务的数据造成的。如漏洞被成功利用，可导致黑客在目标网站的服务器上远程运行恶意代码并控制网站。Drupal 将该漏洞评级为“高危”，并建议管理员尽快打补丁。Drupal 团队披露该漏洞时表示，“某些字段类型并未正确地清洁非表单来源数据。在某种情况下可导致任意 PHP 代码执行。”

参考来源：

http://codesafe.cn/index.php?r=news/detail&id=4720

金融工程师两毛一条贩卖隐私，泄露公民信息被判刑 5 年

日前，和讯银行从裁判文书网获悉，原深圳市佰仟金融服务有限公司数据工程师张勇因犯侵犯公民个人信息罪，被判处有期徒刑5年。自2017年4月份以来，被告人张勇在深圳市佰仟金融服务有限公司工作期间，利用工作上的便利，通过连接公司管理系统数据库的方式导出大量含有客户姓名、电话、身份证号码等内容的公民个人信息，后以每条2角、5角钱不等的价格通过QQ、微信等即时聊天工具卖给谢某等人，张勇从中非法获利401968.75元。经过对张勇持有的一部手机及一台笔记本电脑进行电子证据检查，发现存有公民个人信息2797371条。参考来源：

https://www.secrss.com/articles/8537

美国航空公司也被发现部分座椅靠背屏幕内嵌摄像头

早些时候，新加坡航空公司因其部分飞机的娱乐系统配备了摄像头，而遭到了旅客的大量批评。不过事实证明，这并不是孤例，因为一些美国航空公司的飞机座椅靠背上，也同样配备了内嵌摄像头的信息娱乐屏。一名乘客向 BuzzFeed News 吐露，他在去年 9 月飞东京的航班上，遇到了同样的事情。不过 BuzzFeed 指出，早在 2017 年 6 月的时候，就有一条针对美国航空超级经济舱的评论、还有一段商旅杂志拍摄的视频，指出了同样的问题。美国航空（American Airlines）向 CNET 证实，其部分航班的机上娱乐屏幕中，确有嵌入了摄像头。

参考来源：

https://www.cnbeta.com/articles/tech/820943.htm

Google 研究人员称光靠软件不能完全避开 Spectre 漏洞

Google 研究人员警告，除非对 CPU 设计进行大幅的修改，否则很难在未来避开 Spectre 漏洞。Google Chrome V8 JavaScript 引擎团队开发者在预印本网站 ArXiv 发表论文，报告了他们的发现。研究人员指出，光靠软件不能完全避开 Spectre 漏洞。他们得出结论，所有执行预测执行的处理器总是容易受到不同边信道攻击的影响，即使未来可能发现缓解方法。恶意程序能够利用 Spectre 漏洞来窃取其它程序执行时储存在内存中的敏感数据。要真正解决现有和未来的 Spectre 漏洞，CPU 制造商需要提出新的 CPU 微架构设计。

参考来源：

https://www.solidot.org/story?sid=59652

阿里云出现源代码泄露企业 涉及万科等 40 家企业 200 余项目

“能造成多大损失，那就要看你的想象力了。”说完，张中南通过微信发来几张用户手持身份证的照片。照片中，隐约可以看到用户的个人信息。这是张中南在阿里云公共代码托管平台上，浏览到的万科集团的用户“内部资料”。张中南是一位网络安全方面的爱好者，同时也是上海一家科技公司的后端工程师。近日，他向铅笔道爆料，半年前他发现，由于阿里云代码托管平台的项目权限设置存在歧义，导致开发者操作失误，造成至少40家以上企业的200多个项目代码泄露，其中涉及到万科集团、咪咕音乐、51信用卡旗下51足迹、百度无人车合作伙伴ecarx等知名企业，问题至今未完全解决。

参考来源：

铅笔道 https://mp.weixin.qq.com/s/NoPXitWuuyuzD0CnBjVr3w

法国拥抱 Matrix 去中心化实时通讯系统

Matrix 是一个端对端加密、去中心化的实时通讯系统。没有中心服务器。项目负责人 Matthew Hodgson 在 FOSDEM 会议上透露，法国数字部 DINSIC 去年初接触了 Matrix 的 Android 版客户端 Riot 的开发者，透露了它准备将 Matrix 作为一个安全通信系统提供给所有法国政府部门的计划。为什么一个政府想要一个去中心化的通讯系统？法国从表面上是一个中心化的，但实际上整个组织架构是联邦式的。这一联邦特性意味着通讯系统必须是端对端加密的。此外 DINSIC 还想要该系统具有企业级的反病毒支持，以便于分享文件。

参考来源：

https://www.cnbeta.com/articles/tech/820979.htm