网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


【安全帮】黑客正在利用Analytics 服务窃取电商网站的信用卡数据

2020-06-26 09:30 推荐: 浏览: 25 views 字号:

摘要: ——更多安全资讯和情报,可关注微信公众号:安全帮—— 1.黑客正在利用Analytics 服务窃取电商网站的信用卡数据 PerimeterX、卡巴斯基和 Sansec 公司均在报告中指出,黑客正在向受攻陷网站注入数据窃取代码并结合谷歌 Analytics 为自...

——更多安全资讯和情报,可关注微信公众号:安全帮——

1.黑客正在利用Analytics 服务窃取电商网站的信用卡数据

PerimeterX、卡巴斯基和 Sansec 公司均在报告中指出,黑客正在向受攻陷网站注入数据窃取代码并结合谷歌 Analytics 为自己的账户生成的跟踪代码窃取用户输入的支付信息,即使是在执行内容安全策略获得最大化的 web 安全的情况下也不例外。攻击者将恶意代码注入站点,收集用户输入的所有数据之后通过 Analytics 发送之后可以在自己的 Google Analytics账户中访问被盗数据。

参考来源:

https://www.secrss.com/articles/22085

 

  1. 微软安全软件加入对 Linux 和 Android 的支持

微软安全软件 Microsoft Defender 发布了 Linux 的正式版本和 Android 的预览版本。微软去年将 Windows 自带的杀毒软件 Defender 带到了 macOS 平台,并改名为 Microsoft Defender,以表明该杀毒软件不再限于运行在 Windows 操作系统。上周 Microsoft Defender 还加入了新功能,支持扫描恶意固件。Microsoft Defender 的付费版本叫 Microsoft Defender ATP,面向企业级客户,每台机器每年 30 到 72 美元。

参考来源:

https://www.solidot.org/story?sid=64759

 

  1. 3. Apache Shiro身份验证绕过漏洞

近日,白帽汇安全研究院监测到 Apache Shiro 披露了一个身份验证绕过漏洞。Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。当 Apache Shiro 与 Spring Dynamic Controllers 一起使用时,远程攻击者可以通过构造恶意请求包进行利用,成功利用此漏洞可绕过身份验证。鉴于该漏洞影响较大,建议客户尽快自查修复。

参考来源:

https://nosec.org/home/detail/4485.html

 

4.苹果和谷歌没有以COVID-19疫情名义秘密监控你的智能手机

关于苹果、谷歌,或世界各国政府已使用冠状病毒应用程序跟踪你的智能手机的谣言流传很广。手机运营商的确可以通过距离用户最近的信号铁塔进行定位即可知道用户位置,但苹果和谷歌应该打造的冠状病毒接触追踪应用不需要位置信息,相反,他们通过找出与其他用户的接近程度来做到这一点,与位置信息无关。

参考来源:

https://www.cnbeta.com/articles/tech/995295.htm

 

  1. 谷歌发布TensorFlow,用于测试人工智能模型的隐私保护

近日,谷歌发布了隐私保护TensorFlow工具包,可以评估各种机器学习分类器的隐私属性。谷歌表示,它旨在成为一个隐私测试套件的基础,不管AI开发者的技能水平高低都可以使用它。TensorFlow采用的缓解方法是差分隐私,它在训练数据中添加噪声以隐藏单个示例。据了解,这种噪声是以学术上最坏的情况去设计的,同时会显著影响模型的准确性。

参考来源:

https://www.leiphone.com/news/202006/kjo4xI0yzMCsPHUh.html

 

  1. 华为、海康威视等被指为军方支持,20家中国公司上美国防部名单

根据路透社(Reuters)报道,包括华和海康威视在内的20家中国公司被特朗普政府列为中国军方所有或控制,相关文件已提交国会,若名单生效,特朗普政府可利用这份名单对中国公司实施制裁。五角大楼的指认并不会引发直接的惩罚,但是美国法律规定总统可以宣布国家进入紧急状态,这样特朗普就可以对名单上在美国运营的中国公司实施制裁。

参考来源:

https://tech.ifeng.com/c/7xajVQNnWIy

 

7.电源变扬声器!地球上最安全的气隙系统不再安全

最近,国外一项新的网络安全研究显示,黑客可以在计算机完全物理断网的情况下窃取本地数据。网络安全研究人员Mordechai Guri博士演示了一种新型恶意软件,可以从带有电源设备的计算机中,绕过气隙系统和音频隔离系统,在物理断网状态下窃取高度敏感数据。该研究基于一系列对电磁、声、热、光学隐蔽通道甚至电力电缆的利用进行攻击。

参考来源:

https://www.secfree.com/17951.html

联系站长租广告位!

中国首席信息安全官