生物科技公司Suprema泄漏超过100万人的面部和指纹信息
一个暴露公网的数据库泄露了上百万人的指纹和面部识别信息,再次将“生物识别”推向风口浪尖。研究人员发现,属于生物科技公司Suprema的一个数据库暴露在公网上,其中包含100多万人的生物识别数据,涉及英国大都会警察局、当地小型企业和各大政府机构收集的面部和指纹识别信息。Suprema曾大力推销一款名为BioStar 2的生物识别软件,识别方式主要为面部识别和指纹识别,可帮助公司组织管理人员对特殊设施
【漏洞预警】Fortigate SSL VPN任意文件读取(可直接登录VPN)
2019年8月,白帽汇安全研究院观测到国外安全研究人员公布了针对Fortigate SSL VPN(飞塔VPN)的漏洞说明,其中一个任意文件读取漏洞利用门槛较低,预计会对全球Fortigate SSL VPN造成较大影响。该漏洞原理是由于使用了不安全的函数,导致未能正确过滤URL中的恶意代码,最终造成任意文件读取。任意攻击者都可在未经身份验证的情况下利用该漏洞,获取session等敏感信息,从而非
Raidforums攻破Cracked.to黑客论坛网站 曝光其32.1万名成员数据
外媒报道称,近日 Raidforums 攻破了竞争对手 Cracked.to 的黑客论坛网站,并泄露了后者超过 32.1 万名成员的数据。之所以发起这场行动,或是因为一些受害者正在讨论如何破解《堡垒之夜》账户、销售软件漏洞、自己从事其他可能非法的活动。漏洞披露网站 Have I Been Pwned 报道称:Raidforums 在上周五转储暴露了 74 万 9161 个唯一的电子邮件地址。除了电
英国航空公司电子票务系统泄露大量乘客数据
近期,英国航空公司电子票务系统曝出信息泄露漏洞,可以让攻击者非法查看乘客的个人数据或更改他们的预订信息。有研究人员于本周二称,英国航空公司通过电子邮件发送给乘客的乘机登记链接没有进行加密,攻击者很容易从中读取出受害者的预订号码、电话号码、电子邮件地址等信息。研究人员告诉Threatpost,据估计,在过去的六个月里,和英国航空公司有关的存在缺陷的链接共有250万条,因此该漏洞的影响很“显著”。研究
微软发布补丁:修复了远程桌面组件中存在的两个高危漏洞
在2019年8月的补丁星期二活动日中,面向Windows 10发布累积更新的同时微软还修复了存在于Remote Desktop Services组件中的两个漏洞,微软认为这些漏洞是“wormable”。和两年前的WannaCry攻击类似,无需用户进行任何输入的情况下在网络的电脑之间传播恶意软件,因此这些补丁是非常重要的。CVE-2019-1181和CVE-2019-1182利用了和今年5月发布的B
CVE-2019-0193:Apache Solr远程执行代码漏洞预警
Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。Apache Solr 中存储的资源是以 Document 为对象进行存储的。每个文档由一系列的 Field 构成,每个 Field 表示资源的一个属性。——百度百科2019年8月1日,Apache Solr公布了最新漏洞CVE-2019-0193预警,漏洞
Steam被曝出0day提权漏洞,但厂商拒绝修复
近期,全球流行的Steam游戏客户端被曝出0day提权漏洞,影响全球一亿多Steam用户。该漏洞可让机器上的低权限用户以SYSTEM权限运行程序。这意味着恶意软件很可能利用这个漏洞对受害者的机器进行深度破坏。考虑到Steam是一款总用户1.2亿,日常在线用户3百多万,并时刻有大量新用户加入使用的软件,预计这个漏洞将对全球游戏用户产生深远影响。权限升级在Valve(Steam的厂商)不认领该漏洞后,
“瑞智华胜”涉嫌非法窃取用户信息30亿条 7人被公诉
公众公司窃取30亿信息案被公诉 ,严打网络黑产提出新课题 去年8月,浙江省绍兴市越城区公安分局侦破一起特大流量劫持案,涉案的是新三板上市公司北京瑞智华胜科技股份有限公司(下称“瑞智华胜”)。该公司及其关联公司多名犯罪嫌疑人被抓获,涉嫌非法窃取用户个人信息30亿条,涉及全国96家互联网公司产品。 近日,越城区检
思科交换机的新漏洞恐引起新一轮全球扫描
近期,思科修复了旗下明星产品——Cisco Small Business 220系列智能交换机上的三个高危漏洞。这三个漏洞分别是身份验证绕过(CVE-2019-1912,评级为致命,评分为9.1)、远程命令执行(CVE-2019-1913,评级为致命,评分为9.8)和命令注入(CVE-2019-1914,评级为中等,评分为7.2)。这三个漏洞中,前两个最为危险,因为攻击者可以利用它们在不经过身份验
Capital One银行数据泄漏事件分析
最近,一起和云有关的大型数据泄露事件成了头条新闻。美国的Capital One银行由于“服务器配置错误”,被某个黑客窃取了上亿张信用卡数据以及十多万社保号码。目前,有关此次泄露事件中涉及的技术和黑客的各类分析报告都已出炉,让我们看看到底是什么原因导致了这起事件的发生。危险一直在身旁让黑客有可乘之机的是一个常见的云安全问题:云上基础设施资源的错误配置使得未经权限验证的用户非法提升自己的权限,从而接触