快报¹⁰⁷丨法国《费加罗报》74亿条记录泄漏

360企业安全 360政企安全 2021-07-03

近日，据外媒报道：法国《费加罗报》数据库不小心在网上暴露，该档案库包含大约74亿条记录，其中包含员工和用户的个人信息。数据库由安全容量超过8TB，该存档还包括2020年2月至2020年4月之间注册的帐户数据以及同一时期的访问日志。

公开的数据包括全名，电子邮件，家庭住址（居住国家/地区，邮政编码），使用MD5散列的纯文本密码以及用于访问内部服务器的IP地址和令牌。该数据库还包含技术日志，可以为攻击者提供有关费加罗报基础设施的宝贵信息。专家认为，泄漏可能与Le Figaro用作CRM的AGORA系统有关。由于配置错误的Elasticsearch服务器，Le Figaro意外地暴露了该数据库。

Mozilla正在测试一项新的功能，它可以让你的主要电子邮件地址不受诈骗、垃圾邮件和一般骚扰。公司宣布了一项名为Firefox Private Relay的服务，它可以生成独特的电子邮件地址，因此你在填写表单时不必向网站透露真实的地址。

这项实验性的功能是Firefox的一个附加功能，用户只需点击浏览器中的Private Relay按钮，就可以用 "独特的、随机的、匿名的"电子邮件地址填写网页表格。然后Mozilla会将发往别名地址的邮件转发到你的真实收件箱。

这个功能背后的想法是，如果一个别名地址被广告商共享或成为数据泄露的一部分，最终落入垃圾邮件发送者手中，它可以很容易地被禁用或删除。虽然垃圾邮件过滤器确实能捕捉到很多垃圾邮件，但也有一些垃圾邮件还是会突出重围，尽管用户通常可以从邮件列表中取消订阅，但有时会很麻烦，这个时候简单地删除邮件别名是一个比较简单的选择。

据外媒报道，一位化名为奥尔德森(Elliot Alderson)的法国黑客日前在Twitter上表示，其发现了印度政府“Aarogya Setu”新型冠状病毒追踪APP的安全问题，这可能会危及9000万印度人的隐私。作为一名有良心的黑客，奥尔德森已经将这个问题“标记”发送至印度计算机应急响应小组(CERT)和隶属于印度电子和信息技术部的国家信息中心(NIC)。

印度政府确实在昨晚凌晨对黑客的推特做出了详细的回应。但奥尔德森仍在等待政府出手修复，用他的话来说，印度政府的回应基本上是“（这里）没什么问题啊”。换句话说，按照印度政府的说法，Aarogya Setu一切正常。

印度政府还要求公共和私营部门雇员把它安装在智能手机上。印度内政部最近的一项指令要求：“所有员工都必须使用Aarogya Setu应用程序，包括私人部门和公共部门的员工。各机构负责人有责任确保该应用程序在员工中的覆盖率达到100%。”所以可以说，Aarogya Setu已经是印度中央政府雇员以及居住在隔离区居民的必装软件。

近日，据外媒报道：一个概念验证(PoC)漏洞被公开，该漏洞是OpenSSL中最近修补的一个漏洞，可以被用于拒绝服务(DoS)攻击。OpenSSL版本1.1.1d，1.1.1e和1.1.1f受高严重性漏洞的影响，该漏洞在SSl_check_chain函数中为分段错误。该漏洞编号为CVE-2020-1967，已于4月21日随着OpenSSL 1.1.1g的发布进行了修补。

安全研究人员Imre Rad已发布了针对该漏洞的PoC攻击，并描述了攻击过程。他表示，利用此漏洞非常容易，只需将恶意有效负载发送到易受攻击的服务器即可，例如，可以使用GitHub页面上提供的经过修补的openssl s_client实用程序来完成。研究人员表示，该漏洞也可以通过中间人(MitM)攻击，或通过设置一个恶意的TLS服务器，让一个客户端连接到它。

现在有不少公司或者机构为了避免重要数据被外泄，都会对于那些极其重要的计算机进行物理断网，而这也可以说是保障计算机数据不被黑客盗取的终极方法之一。不过这方法理论上来说对于内部人员想要窃取机密数据似乎不是万一失的，而这也是公司企业不停加强内部安全监控的原因。

其实并非Mordechai Guri博士发现的第一个可以在物理断网的情况下窃取数据的方法。在之前，他也研究出利用以机箱内调速风扇发出特定的振动来传送数据的方法Air-ViBeR，不过这个方法效率更低，因为是需要手机来把接收到的振动来转化成1和0。

这两个窃取数据的方法Mordechai Guri博士都已经实现过。虽然说实现的条件限制很大，但是恶意软件写起来也不难，而且负责接收的装置可以设计成非常不显眼。如果是放在服务器或者机房这些地方，那么这些方法还真是有那么一丝可能会被用上。

人通常是数据安全的最薄弱环节。一名黑客再次证明了这一点。该名黑客贿赂了流行网络游戏 Roblox 的雇员，访问了游戏后端的客户支持面板，可以查询玩家的个人信息，获得游戏内的虚拟货币。Roblox 是一款在未成年人中间非常受欢迎的网络游戏，月活用户超过 1 亿。通过访问后端支持面板，黑客可以看到用户的电邮地址，可以修改密码，移除二步认证，封掉用户，等等。

近日，据外媒报道：Microsoft高级机器学习威胁检测模型检测到了多个恶意软件活动，这些活动分发了恶意软件标记的ISO.来自微软的专家检测到以冠状病毒为主题的垃圾邮件活动，该邮件旨在诱骗用户下载并安装ISO或IMG文件附件。诱饵ISO或IMG文件感染了Remcos远程访问木马（RAT）病毒。微软监控的主要垃圾邮件运动包括对美国小型企业，韩国制造企业和美国会计师的攻击。

在针对美国小企业的运动中，该邮件假装来自美国小企业管理局（SBA），带有恶意的IMG（磁盘映像）附件。在针对韩国制造公司的运动中，威胁行动者冒充了CDC的健康警报网络（HAN）。微软观察到的第三次活动针对的是美国的会计师，这次是冠状病毒为诱饵。这些信息假装为美国注册会计师协会(American Institute of CPAs)的会员提供“冠状病毒相关更新”。目前，尚不清楚垃圾邮件运动的最终目标。

近日，据外媒报道：当冠状病毒在全球范围内传播时，印度最大的手机网络Jio, Reliance的一个子公司，开发了一种冠状病毒自我检测症状检测仪。但该应用程序的一个安全漏洞暴露了一个没有密码的在线数据库。

数据库刚被曝光后，就被安全研究员发现，研究人员将其报告公司。公司立马使系统离线，还无法确定是否有第三方访问了数据库。该数据库包含数百万条日志和记录，用户代理，用户的浏览器版本，操作系统以及与每个配置文件相关联的数据，甚至还能追查到用户的地理位置。

- 往期精彩 -

- End -

感谢您抽出 来阅读此文不如点击下【在看】

”FAN某”的离婚财产分割判决书（全文）

”FAN某”的离婚财产分割判决书（全文）

哈里斯女粉搞4B运动、毒杀丈夫，回旋镖能否让美国“血流成河”

许纪霖：珠海驾车撞人事件的背后，弦绷得太紧了，要给人们以松弛感 | 二湘空间

刑讯逼供、管辖异议，唐山杨立国涉黑案争议