【安全热点周报】第167期：阿里旗下电商平台110万用户信息被泄露

阿里旗下电商平台110万用户信息被泄露

10 月 31 日，阿里巴巴旗下电商平台、新加坡电子商务公司 Lazada 宣布，该公司 110 万用户账号信息由于黑客入侵被泄露。相关发言人称：“被非法获取的用户信息包括姓名、电话号码、电子邮件和邮寄地址、加密密码和部分信用卡号码等。”Lazada 在入侵事件发生后发布的一封电子邮件显示，该公司发现数据被泄露的时间是周四（10 月 29 日），黑客 从其2016年收购的杂货子公司 RedMart 的 数据库中窃取到账号信息，该数据库一直由 第三方服务供应商托管，泄露的数据是18个月前的内容。对拥有570万人口的国家新加坡而言，此次百万级别的账号信息泄露，无疑是一次重大的黑客入侵事件。对此，Lazada 表示，目前公司已立即采取行动，阻止黑客对数据库的访问，并且当前的用户数据不会受到攻击影响。

原文链接：

https://www.cnbeta.com/articles/tech/1047381.htm

美国2020大选竞争激烈，也引起了全世界的关注。近日奇安信威胁情报中心红雨滴团队在日常高级威胁狩猎中，捕获东北亚地区的Kimsuky APT组织以美国大选为诱饵的攻击样本，该样本以美国 总统大选预测为标题，诱导受害者点击执行，同时采用在HWP文档中嵌入VBS脚本方式，有效的绕过杀软检测，该样本在首次上传到VirusTotal时，没有杀软检测到其恶意代码。

https://mp.weixin.qq.com/s/RYMI-zMRuZwWQx4zegBZPQ

HackerOne发布2020年十大漏洞列表，跨站脚本漏洞（XSS）仍然是影响力最大、赏金最高的漏洞。除了排名第一的XSS，2020年最具影响力和赏金最高的十大漏洞类型还包括：不当访问控制、信息泄露、服务器端伪造请求（SSRF）、不安全的直接对象引用（IDOR）、特权升级、SQL注入、不正确的身份验证、代码注入以及跨站点请求伪造 （CSRF）。

https://www.aqniu.com/industry/70970.html

DDoS攻击报告显示，2020年第三季度所有DDoS攻击指标较上一季度报告均大幅下降。对此，研究人员表示，“如果将当前情况与2019年同期的数据进行比较，可以看到，总攻击次数增加了0.5倍，针对智能设备攻击的次数几乎翻了一番。说明本季度各项指标的下降，大概率是由于第二季度出现了异常的DDoS活动，而不是本季度的攻击平息。” 报告还指出，近期与DDoS攻击竞争激烈的加密货币市场的增长，导致当前DDoS活动日益规范化。

https://securelist.com/ddos-attacks-in-q3-2020/99171/

一名黑客利用恶意软件攻击了蒙特利尔的运输公司（STM），要求该公司支付赎金280万美元，以恢复网络的正常运行。勒索软件导致该机构的预订系统停运，无法进行适应性离线运输，该系统的1600台服务器中近1000台机器受到影响，其中624台服务器上运行着重要业务。对该事件的调查仍进行中，目前透露的信息表明，攻击者是通过网络钓鱼电子邮件达到访问STM网络的目的。STM表示， 在调查完成之前不会公开进一步的细节。

https://www.infosecurity-magazine.com/news/montreal-metro-hacker-demands-28m/

据外媒TechCrunch报道，一款承诺保护用户隐私的社交网络应用Ture，由于服务器安全漏洞， 导致大量用户私人数据曝光。知情人称，该应用的 一个数据库的控制面板在没有密码的情况下被暴露在网上，允许任何人阅读、浏览和搜索，该数据库中储存了大量用户私人数据。搜索引擎BinaryEdge 提供的数据显示，该事件早在9月初就已经发生。目前，这家公司对控制面板进行了紧急离线处理。

https://www.cnbeta.com/articles/tech/1046645.htm

研究人员最近发现一个活跃的“KashmirBlac k”僵尸网络，该网络由遍布30个国家的数十万个 被劫持的系统组成，目前正在利用“数十个已知漏 洞”攻击各大内容管理系统(CMS)。据悉“Kashmi rBlack” 僵尸网络活动于2019年11月开始，将各大流行的CMS平台作为攻击目标，劫持这些网站的主要目的是通过它们恶意使用门罗币加密货币挖掘系统资源，并将其合法流量重定向到垃圾邮件页面。

https://thehackernews.com/2020/10/kashmirblack-botnet-hijacks-thousands.html