Microsoft Azure爆出兩新漏洞;黑客捲走移動支付系統數十億先令;“二次放號”背後的安全風險
隨著5G商用,4G套餐的辦理渠道在不斷變窄。近期,有使用者發現中國移動多個地區的網上營業廳和App已不為使用者提供優惠的4G套餐,線上上使用者只能選擇價格相對較高的5G套餐進行辦理。而4G套餐需要使用者親自前往線下營業廳才可辦理,可自主選擇的4G套餐種類也減少了。同時,為緩解營收、利潤增長面臨的壓力,另兩大運營商線上4G套餐種類也呈大幅減少的情況。對此,很多網友認為4G套餐就能滿足日常需求,5G套餐價格較高,暫時用不上。你怎麼看呢?
今年6月,網路安全公司Intezer就發現Microsoft Azure雲服務中存在兩個新漏洞。若被不法分子利用,就可進行伺服器端請求偽造(SSRF)攻擊或執行任意程式碼並接管管理伺服器。
其中,第一個漏洞是許可權提升漏洞,它允許通過硬編碼憑證接管 KuduLite ,從而可以通過SSH進入,以root使用者身份登入,使攻擊者能夠完全控制SCM(又名軟體配置管理)Web伺服器。攻擊者甚至可能監視使用者對SCM網頁的HTTP 請求,並將惡意的Java注入使用者的網頁。
而另一個安全漏洞涉及應用程式節點向 KuduLite API 傳送請求的方式。其可能導致具有SSRF漏洞的Web應用程式訪問節點的檔案系統,並竊取原始碼和其他敏感資訊資料。
通過這兩個漏洞,攻擊者能悄悄接管 App Service的git伺服器,也可以利用Azure Portal訪問的惡意釣魚頁面來鎖定目標系統管理員。
目前,Microsoft在收到Intezer的漏洞報告後,已將漏洞進行修復。
據外媒報導,近日就有黑客入侵了烏干達的第三方移動支付系統Pegasus。該公司是一家整合了電信公司、銀行以及其他本地、地區和國際轉賬服務之間的移動貨幣交易公司,每年處理高達1.7萬億烏干達先令的金融交易。
本次事件中,深受其害的是佔烏干達移動支付90%份額的Airtel和MTN,以及烏干達最大的銀行Stanbic銀行。目前黑客疑似已捲走共數十億先令資金。
對此,Airtel和MTN發表聯合宣告稱此次事件影響到了銀行到移動貨幣的交易,相關服務已全部暫停,官方正在儘快修復。
值得注意的是,第三方支付系統遭到攻擊,產生的金融損失知識一方面,更嚴重的是我們的姓名、銀行賬戶、電話號碼等重要隱私資訊都會遭到洩露,後果不堪設想。因此第三方平臺應該加強身份識別和認證機制,提高平臺的安全性,使用者自身也應謹慎保管個人資訊,通過設定多重密碼等方式保護個人資訊保安。
1 Microsoft Azure爆出兩新漏洞
隨著越來越多的企業將資料遷移到雲中,保障雲端基礎設施的安全性愈發重要。
今年6月,網路安全公司Intezer就發現Microsoft Azure雲服務中存在兩個新漏洞。若被不法分子利用,就可進行伺服器端請求偽造(SSRF)攻擊或執行任意程式碼並接管管理伺服器。
其中,第一個漏洞是許可權提升漏洞,它允許通過硬編碼憑證接管 KuduLite ,從而可以通過SSH進入,以root使用者身份登入,使攻擊者能夠完全控制SCM(又名軟體配置管理)Web伺服器。攻擊者甚至可能監視使用者對SCM網頁的HTTP 請求,並將惡意的Java注入使用者的網頁。
而另一個安全漏洞涉及應用程式節點向 KuduLite API 傳送請求的方式。其可能導致具有SSRF漏洞的Web應用程式訪問節點的檔案系統,並竊取原始碼和其他敏感資訊資料。
通過這兩個漏洞,攻擊者能悄悄接管 App Service的git伺服器,也可以利用Azure Portal訪問的惡意釣魚頁面來鎖定目標系統管理員。
目前,Microsoft在收到Intezer的漏洞報告後,已將漏洞進行修復。
Xyxfs:雲安全在未來會成為保障資訊和資料安全的關鍵所在。
2 黑客捲走移動支付系統數十億先令
近年來,隨著移動支付的興起,它在給我們的日常生活帶來極大便利的同時,安全問題也日益凸顯。
據外媒報導,近日就有黑客入侵了烏干達的第三方移動支付系統Pegasus。該公司是一家整合了電信公司、銀行以及其他本地、地區和國際轉賬服務之間的移動貨幣交易公司,每年處理高達1.7萬億烏干達先令的金融交易。
本次事件中,深受其害的是佔烏干達移動支付90%份額的Airtel和MTN,以及烏干達最大的銀行Stanbic銀行。目前黑客疑似已捲走共數十億先令資金。
對此,Airtel和MTN發表聯合宣告稱此次事件影響到了銀行到移動貨幣的交易,相關服務已全部暫停,官方正在儘快修復。
值得注意的是,第三方支付系統遭到攻擊,產生的金融損失知識一方面,更嚴重的是我們的姓名、銀行賬戶、電話號碼等重要隱私資訊都會遭到洩露,後果不堪設想。因此第三方平臺應該加強身份識別和認證機制,提高平臺的安全性,使用者自身也應謹慎保管個人資訊,通過設定多重密碼等方式保護個人資訊保安。
Xyxfs:想減少此類事件的發生,任重而道遠啊。
3 “二次放號”背後的安全風險
“二次放號”是指老使用者停用或棄用手機號後,號碼由運營商收回,空置一段時間後再次投放市場,供新使用者選擇。
這本是種資源迴圈利用的方式,但現在隨著手機號用途愈發廣泛,甚至成為“網路身份證號”,“二次放號”監管不規範所造成的後果已不是接到很多騷擾電話那麼簡單了。
有使用者就發現自己的“新號碼”新號碼註冊遭拒,已註冊過多個第三方應用。還有使用者發現手機通訊錄裡甚至存有大量陌生人的電話,部分還備註了工作單位、職務等,大量個人隱私資訊洩露。若這樣的“新號”被不法分子發現並利用,後果將不堪設想。
更甚者,還有使用者一直莫名其妙接到來自網貸公司態度惡劣的催債電話。事實上,這是因為有不少老賴為薅網貸公司的“羊毛”,用手機號貸款後頻繁換號,才導致一些接盤“二次號”的無辜使用者背黑鍋。
為此,使用者自身在棄用原來手機號時,應嚴格做好賬號解綁,刪除個人資訊等工作,保障個人資訊保安。平臺也應在賬號系統內增加多因素驗證等方式妥善管理賬號資料。
Xyxfs:現在手機號繫結的東西太多了,換號真的很麻煩。
相關文章
- 全球黑客捲入烏俄亂局!數字網路戰的背後值得深思黑客
- 微信支付商戶系統架構背後的故事架構
- 烽火狼煙丨Microsoft多個安全漏洞風險提示ROS
- 新的 Azure AD 漏洞讓黑客在不被發現的情況下發動攻擊黑客
- 物聯網火爆背後隱藏的巨大安全風險
- "Hello World"背後的風險分析
- 客戶案例|江民終端安全系統護航中國移動數字新基建
- 電子書Kindle被爆出3個新漏洞,黑客可瞬間清空使用者餘額黑客
- ASX負責人表示新的DLT系統可以節省數十億美元
- 走進四川電信 揭秘核心計費系統改造的背後
- OA系統背後“那雙眼睛”-淺談OA系統的安全性
- 席捲全球158國的Citrix高危漏洞正被利用,有黑客組織安置“獨家”後門黑客
- 解析IT現代化背後舊系統資料互動的風險問題之檔案傳輸
- 雲遷移的安全風險
- Apple 登入爆出嚴重安全漏洞;任天堂續航版晶片遭破解;微信公眾號暫停 iOS 端虛擬支付APP晶片iOS
- Intel CPU 爆出安全漏洞:Windows / macOS / Linux 皆中招IntelWindowsMacLinux
- Goroutine背後的系統知識Go
- “梅麗莎”病毒背後的神祕黑客黑客
- 走進移動支付:開啟物聯網時代的商務之門
- Microsoft Azure News(4) Azure新D系列虛擬機器上線ROS虛擬機
- 企業上雲的背後 看新數科技如何推動資料庫創新?資料庫
- 移動應用安全:2021年的安全漏洞
- iOS 12.4系統遭黑客破解 漏洞危及數百萬使用者iOS黑客
- 遭遇數十億美元損失後SWIFT成立網路安全小組Swift
- 移動支付新時代——低程式碼如何對接支付寶和微信支付
- CVE-2012-4792Microsoft Internet Explorer 釋放後使用漏洞ROS
- Facebook移動端照片預覽背後的技術
- 移動支付時代的手機和app安全設定APP
- 開放式漏洞評估系統 - OpenVAS
- 數十億次數學運算消耗幾毫瓦電力,谷歌開源Pixel4背後的視覺模型谷歌視覺模型
- 初次使用Microsoft AzureROS
- 解讀銀行卡支付背後的原理
- 美團智慧支付背後的前端工程師前端工程師
- 黑客利用“Simjacker”漏洞竊取手機資料,或影響十億人黑客
- 數字藏品火爆背後:平臺密集湧現 專家提醒風險
- goroutine 背後的系統知識(轉載)Go
- PostgreSQL——51風控系統背後的利器SQL
- 支付寶alipay移動支付