安全周报（04.5-04.11）

安联智库WTX 2021-04-13 21:59:00

1、酒店社交APP涉黄

近年来，网络“拼住”App悄然盛行。不过，在“酒店社交”外衣、“共享”外壳之下，内里却有着赤条条的情色交易。近日，有媒体调查发现，在一款名为“趣住”的酒店社交App上，充斥着大量“约炮”信息和“拉皮条”账号。

据“趣住”官方介绍，App定位的用户人群为“出差人群”，平台以酒店为单位，每家酒店都设有单独的留言墙和聊天室。借此，用户可以“搭讪”同住一家酒店且“独自居住”的房客。

在“趣住”App中，有众多北上广等一线城市的豪华酒店的留言墙和聊天室活跃度较高。在这些留言中，发布者九成使用女性身份，发布照片多以身体部位特写为主，性暗示意味明显，还有发布者疑似未成年用户。而众多疑似“拉皮条”账号，也将自身包装成“交友平台客服”混迹于其中。

640.webp (2).jpg

说到底，网络并非法外之地。无论是平台，还是利用平台发布违规信息进行非法色情交易的，一旦逾越了法律和道德的底线，就理应受到法律的严惩。

2、5亿LinkedIn用户倒霉，个人信息泄露

据Cyber News报道，LinkedIn信息大规模泄露，影响5亿用户，目前信息已经被攻击者拿到网上出售。LinkedIn新闻发言人证实，出售的信息的确来自LinkedIn。LinkedIn新闻发言人在声明中表示：

“我们正在调查，网上发布的数据集看起来包含LinkedIn公开可浏览信息，还包括来自其它网站或者企业的聚合信息。从LinkedIn收集会员数据违反我们的服务条款，我们一直在努力，希望保护好会员和会员数据。”

640.webp (3).jpg

目前LinkedIn约有用户7.4亿，也就是说受影响的用户约占总用户数的三分之二。泄露的信息包括用户ID、名称、邮件地址、手机号码、工作信息、性别、其它社交媒体账户。

安全情报公司IntSights的分析师保罗·普鲁德霍姆（Paul Prudhomme）指出，泄露的数据影响巨大，因为作恶者可以利用员工信息攻击企业。

3、Cyberhouse数据泄露：130万名用户信息被免费挂到网上

据外媒cybernews报道，在从Facebook和LinkedIn上收集的超10亿个人资料的数据在网上公开出售几天后，现在似乎轮到Clubhouse了。这个正在冉冉升起的平台似乎也经历了同样的命运，一个包含130万Clubhouse用户记录的SQL数据库在一个人气黑客论坛上被免费泄露。

据悉，泄露的数据库包含了Clubhouse档案中的各种用户相关信息，包括用户ID、名字、照片URL、用户名、Twitter、Instagram处理、关注者的数量、被关注的用户数量、帐号创建日期、受用户配置文件名的邀请。

数据泄露示例：

4、黑客用GitHub服务器挖矿：三天跑了3万个任务

加密货币价格一路高涨，显卡又买不起，怎么才能“廉价”挖矿？黑客们动起了歪心思——“白嫖”服务器。给PC植入挖矿木马，已经无法满足黑客日益增长的算力需求，如果能用上GitHub的服务器，还不花钱，那当然是极好的。

而且整个过程可能比侵入PC还容易，甚至都不需要程序员上当受骗。只需提交Pull Request（PR），即使项目管理者没有批准，恶意挖矿代码依然能够执行。

原理也很简单，利用GitHub Action的自动执行工作流功能，轻松将挖矿程序运行在GitHub的服务器上。

早在去年11月，就已经有人发现黑客这种行为。更可怕的是，半年过去了，这种现象依然没得到有效制止。

暂无