Android 应用因云端配置错误，致使上亿用户数据泄漏

Android应用因云端配置错误，致使上亿用户数据泄漏网络安全公司CheckPointResearch在周四发表了一份报告，在这份报告中CheckPointResearch表示，至少有23个热门的Android应用程序包含各种「第三方云服务的错误配置」。而这些严重的云服务错误配置，导致超过1亿用户的个人数据被泄漏。这23款Android应用涵盖了打车应用、设计软件、屏幕录制工具、传真服务和天文软件——泄露的数据包括电子邮件记录、通信信息、位置信息、用户ID、密码和图像。在这些应用程序中，有13个是敏感数据在不安全的云端设置下可以被公开访问。这些应用程序的下载量分别在1万到1千万之间。

报告：澳洲微信用户数据流向香港

报告：澳洲微信用户数据流向香港澳大利亚网络安全专家的一份报告指出，澳大利亚微信（Wechat）用户数据均流向香港，可能被北京掌握。据《澳大利亚金融评论报》（TheAustralianFinancialReview）6月20日报道，承接澳大利亚和美国政府网络安全业务的Internet2.0（网络2.0）提出的一份专家报告指出，澳大利亚微信用户的手机系统版本、行动网络、全球定位系统（GPS）以及身分识别（ID）等数据，均会流向位于香港的微信服务器。这份报告对微信应用程序收集个人数据的行为提出了安全和隐私方面的质疑，认为2020年7月中国实施港版国安法后，澳大利亚数十万微信（WeChat）用户的数据，难免会落入北京手中。报告的分析发现，虽然所有的聊天和音频或视频通话可能是由国际服务器处理的，但微信记录并发布到日志服务器的所有用户数据都直接发送到香港。报告中提到，微信的应用程序内有多个中国大陆的IP地址，而且有一些微信的服务器遭不明来历的第三者使用。另据美国之音报道，信息安全专家、澳大利亚蒙纳许大学(MonashUniversity)教授张耀中(LennonChang)认为，香港国安法的通过，对于这些用户在信息安全的影响并没有显著的差别。他对说:“其实用户的数据流入香港服务器或是中国大陆的服务器，只是在获取数据的时候有没有多一道手续而已。如果中国政府想要拿到这些数据，只要使用了中资参与的社交媒体平台，就不怕拿不到了。有些社媒公司虽然声称是海外企业，但是有中资介入，那就有可能被中国政府掌握用户数据。像是微信、微博、TikTok（抖音），即使服务器放在海外，用户数据流向中国也不会令人惊讶。”发布：2022年6月24日8:21AM

MetaMask：MetaMask Portfolio 和 SDK 用户未面临风险

MetaMask：MetaMaskPortfolio和SDK用户未面临风险MetaMask在X平台表示，Ledger已解决了当前问题，但目前建议用户等待24小时，然后再使用LedgerConnect套件与dapp进行交互。经过调查，我们确定MetaMaskPortfolio和SDK用户从未面临风险。作为预防措施，我们暂时关闭了投资组合上的交易以进行更新。

配置错误的Windows域服务器放大了DDoS攻击

配置错误的Windows域服务器放大了DDoS攻击根据黑莲花实验室最近发表的一份报告，超过12000台运行微软域控制器与活动目录的服务器经常被用来放大DDoS攻击。多年来，这一直是一场攻击者和防御者的战斗，很多时候，攻击者所要做的就是获得对僵尸网络中不断增长的连接设备列表的控制，并利用它们进行攻击。其中一个更常见的攻击方法被称为反射。反射是指攻击者不是用数据包淹没一个设备，而是将攻击发送到第三方服务器。利用第三方错误配置的服务器和欺骗数据包，使攻击看起来是来自目标的。这些第三方服务器在不知情的情况下，最终将攻击反映在目标上，往往比开始时大十倍。在过去的一年里，一个不断增长的攻击来源是无连接轻量级目录访问协议（CLDAP），它是标准轻量级目录访问协议（LDAP）的一个版本。CLDAP使用用户数据报协议数据包来验证用户，并在签署进入活动目录时发现服务。黑莲花公司的研究员ChadDavis在最近的一封电子邮件中这样说。"当这些域控制器没有暴露在开放的互联网上时（绝大多数的部署都是如此），这种UDP服务是无害的。但是在开放的互联网上，所有的UDP服务都容易受到反射的影响。"攻击者自2007年以来一直在使用该协议来放大攻击。当研究人员第一次发现CLDAP服务器中的错误配置时，数量达到了几万个。一旦这个问题引起管理员的注意，这个数字就会大幅下降，尽管自2020年以来，这个数字又急剧上升，包括根据黑莲花实验室的数据，在过去一年中上升了近60%。黑莲花为运行CLDAP的组织提供了以下建议：网络管理员应考虑不要将CLDAP服务（389/UDP）暴露在开放的互联网上。如果CLDAP服务暴露在开放的互联网上是绝对必要的，则需要努力确保系统的安全和防御。在支持TCPLDAP服务上的LDAPping的MSServer版本上，关闭UDP服务，通过TCP访问LDAPping。如果MSServer版本不支持TCP上的LDAPping，请限制389/UDP服务产生的流量，以防止被用于DDoS。如果MS服务器版本不支持TCP的LDAPping，那么就用防火墙访问该端口，这样就只有合法客户可以到达该服务。安全专业人员应实施一些措施来防止欺骗性的IP流量，如反向路径转发（RPF），可以是松散的，也可以是严格的，如果可行的话。黑莲花公司已经通知并协助管理员，他们在Lumen公司提供的IP空间中发现了漏洞。微软还没有对这些发现发表评论。...PC版：https://www.cnbeta.com.tw/articles/soft/1331447.htm手机版：https://m.cnbeta.com.tw/view/1331447.htm

macOS 版 Telegram 中的严重漏洞使用户隐私面临风险

macOS版Telegram中的严重漏洞使用户隐私面临风险在最近关于macOS版Telegram严重漏洞事件的发展中，Telegram团队已经对这个问题做出了回应。此外，对于发现该漏洞的谷歌工程师提出的问题，Telegram还提供了更多信息。谷歌工程师马特·约翰森(MattJohansen)于2023年2月发现了该安全漏洞，并立即向Telegram该问题，强调了它对用户隐私构成的风险。尽管工程师付出了努力并且三个月过去了，但该漏洞仍未得到解决。对该漏洞的担忧导致Matt在Twitter上分享了该信息，以试图提高认识并引起Telegram安全服务的注意。作为对这些爆料的回应，Telegram的团队通过他们的官方Twitter账户进行了澄清。他们解释说，该漏洞仅影响受感染Mac上的AppStore客户端用户，该Mac上装有已获得root访问权限的恶意软件。Telegram向用户保证，Apple正在审查解决该漏洞的更新。同时要注意的是，直接从Telegram网站下载的应用程序已确认不受安全漏洞的影响。Telegram还强调了他们接收安全相关报告的首选渠道，并表示：“我们要求所有提交内容直接发送至[email protected]目前不跟踪第三方平台上的错误报告。”中提供了更详细的技术信息。关注频道:@Hao12News

Hatch Bank 泄漏 14 万用户数据包括 SSN

HatchBank泄漏14万用户数据包括SSN#HatchBankHatchBank是一家数字银行，为一些fintech金融科技公司提供自有品牌信用卡的基础服务，包括我们介绍过的HatchBank最近披露了一起数据泄露事件，被盗数据包括14万名客户的SSN。该银行证实，黑客利用了GoAnywhereMFT软件中的0day漏洞，GoAnywhere是Fortra公司的产品HatchBank报告说，Fortra于1月29日得知其GoAnywhere软件中的漏洞，但直到2月3日，即Krebs报告安全漏洞的第二天，才通知银行。通过对被盗数据的审查，确定客户的姓名和SSN被攻击者盗用HatchBank正在为受漏洞影响的用户提供免费12个月以上信用监控服务消息来源：@DocOfCard