首頁>新聞聚焦>2億個人信息被兜售|漏洞導致任意定位手機|微軟谷歌發現熔斷四號

2億個人信息被兜售|漏洞導致任意定位手機|微軟谷歌發現熔斷四號

2018-05-26
教輔中心-李華雲

    FireEye最近表示,一個包含了2億個人身份信息的數據庫在地下論壇被兜售,這些信息來自數個知名日本網站的數據庫。這份數據庫很可能來自一名中國的商販,最早在2017年12月被以150美金的價格進行兜售,數據庫包含了名字、憑證、郵箱、生日、電話號碼以及居住地址。這些數據來自于多個日本網站,包括零售業、食品飲料哦、金融、娛樂以及交通。

    据悉,这份数据很可能是真实的,应该在2016年5月到 6月之间被 获取,但是有些数据可能2013年5月到6月间就已经被获取。不过研究人员也指出,这些信息很可能是从以前的泄露中的重复信息,因此这份泄露不一定会对个人信息造成严重的攻击。

    由于一個漏洞,LocationSmart的電話追蹤功能的試用版不得不被暫時下架。

    LocationSmart之前在自己的网站上给客户提供了一项服务的试用版:可以实时追踪某部手机的地理位置——但是需要电话所有者的 许可。经过测试,这个定位相当精准。然而,一名来自卡耐基梅隆大学的在读博士生表示,自己只用了15分钟就发现了网站上的漏洞。他表示,这个漏洞几乎能让任何懂一点网络知识的人免费追踪任何一个人的地理位置信息。这个漏洞体现在页面没有适当确认用户是否达成被追踪者的首肯,因此攻击者可以通过让网站回复一个不同格式的请求来达成自己的目的。

    LocationSmart表示,下架后已经修复了漏洞,并且没有其他人利用过这个漏洞。而民主党人Sen. Ron Wyden显然不买账,他借此事再次要求美国联邦通信委员会要严加调查无线供应商对地理数据的滥用,而此次事件体现了无线网络生态对美国的安全毫不关心。

    近日,微軟和谷歌的研究人員宣布熔斷/幽靈類型的漏洞有了第四種變體。第四種變體可以在不同的情況下,通過在有隱患的設備或者計算機上運行惡意軟件或者惡意進入系統,從而從內核或者應用內存中竊取隱私信息,比如密碼。該漏洞影響了英特爾、AMD以及ARM。

    这个变体可以通过在程序内运行脚本被利用——比如在浏览器的页面里运行JavaScript。不过英特尔表示,对于已经针对变体一打过补丁的系统,攻击者将更难利用变体四。另外,暂时并没有发现有针对变体四发起攻击的代码。尽管如此,英特尔、AMD以及ARM都相继表示将对这个漏洞进行更新,而Red Hat、VMware和Xen Project等也对此提出了建议与修复方法。