Microsoft Azure爆出兩新漏洞;黑客捲走移動支付系統數十億先令;“二次放號”背後的安全風險

Editor發表於2020-10-10
隨著5G商用,4G套餐的辦理渠道在不斷變窄。近期,有使用者發現中國移動多個地區的網上營業廳和App已不為使用者提供優惠的4G套餐,線上上使用者只能選擇價格相對較高的5G套餐進行辦理。而4G套餐需要使用者親自前往線下營業廳才可辦理,可自主選擇的4G套餐種類也減少了。同時,為緩解營收、利潤增長面臨的壓力,另兩大運營商線上4G套餐種類也呈大幅減少的情況。對此,很多網友認為4G套餐就能滿足日常需求,5G套餐價格較高,暫時用不上。你怎麼看呢?



1 Microsoft Azure爆出兩新漏洞


Microsoft Azure爆出兩新漏洞;黑客捲走移動支付系統數十億先令;“二次放號”背後的安全風險


隨著越來越多的企業將資料遷移到雲中,保障雲端基礎設施的安全性愈發重要。

今年6月,網路安全公司Intezer就發現Microsoft Azure雲服務中存在兩個新漏洞。若被不法分子利用,就可進行伺服器端請求偽造(SSRF)攻擊或執行任意程式碼並接管管理伺服器。

其中,第一個漏洞是許可權提升漏洞,它允許通過硬編碼憑證接管 KuduLite ,從而可以通過SSH進入,以root使用者身份登入,使攻擊者能夠完全控制SCM(又名軟體配置管理)Web伺服器。攻擊者甚至可能監視使用者對SCM網頁的HTTP 請求,並將惡意的Java注入使用者的網頁。

而另一個安全漏洞涉及應用程式節點向 KuduLite API 傳送請求的方式。其可能導致具有SSRF漏洞的Web應用程式訪問節點的檔案系統,並竊取原始碼和其他敏感資訊資料。

通過這兩個漏洞,攻擊者能悄悄接管 App Service的git伺服器,也可以利用Azure Portal訪問的惡意釣魚頁面來鎖定目標系統管理員。

目前,Microsoft在收到Intezer的漏洞報告後,已將漏洞進行修復。

Xyxfs:雲安全在未來會成為保障資訊和資料安全的關鍵所在。




2  黑客捲走移動支付系統數十億先令


Microsoft Azure爆出兩新漏洞;黑客捲走移動支付系統數十億先令;“二次放號”背後的安全風險

近年來,隨著移動支付的興起,它在給我們的日常生活帶來極大便利的同時,安全問題也日益凸顯。

據外媒報導,近日就有黑客入侵了烏干達的第三方移動支付系統Pegasus。該公司是一家整合了電信公司、銀行以及其他本地、地區和國際轉賬服務之間的移動貨幣交易公司,每年處理高達1.7萬億烏干達先令的金融交易。

本次事件中,深受其害的是佔烏干達移動支付90%份額的Airtel和MTN,以及烏干達最大的銀行Stanbic銀行。目前黑客疑似已捲走共數十億先令資金。

對此,Airtel和MTN發表聯合宣告稱此次事件影響到了銀行到移動貨幣的交易,相關服務已全部暫停,官方正在儘快修復。

值得注意的是,第三方支付系統遭到攻擊,產生的金融損失知識一方面,更嚴重的是我們的姓名、銀行賬戶、電話號碼等重要隱私資訊都會遭到洩露,後果不堪設想。因此第三方平臺應該加強身份識別和認證機制,提高平臺的安全性,使用者自身也應謹慎保管個人資訊,通過設定多重密碼等方式保護個人資訊保安。

Xyxfs:想減少此類事件的發生,任重而道遠啊。



3  “二次放號”背後的安全風險


Microsoft Azure爆出兩新漏洞;黑客捲走移動支付系統數十億先令;“二次放號”背後的安全風險

“二次放號”是指老使用者停用或棄用手機號後,號碼由運營商收回,空置一段時間後再次投放市場,供新使用者選擇。

這本是種資源迴圈利用的方式,但現在隨著手機號用途愈發廣泛,甚至成為“網路身份證號”,“二次放號”監管不規範所造成的後果已不是接到很多騷擾電話那麼簡單了。

有使用者就發現自己的“新號碼”新號碼註冊遭拒,已註冊過多個第三方應用。還有使用者發現手機通訊錄裡甚至存有大量陌生人的電話,部分還備註了工作單位、職務等,大量個人隱私資訊洩露。若這樣的“新號”被不法分子發現並利用,後果將不堪設想。

更甚者,還有使用者一直莫名其妙接到來自網貸公司態度惡劣的催債電話。事實上,這是因為有不少老賴為薅網貸公司的“羊毛”,用手機號貸款後頻繁換號,才導致一些接盤“二次號”的無辜使用者背黑鍋。

為此,使用者自身在棄用原來手機號時,應嚴格做好賬號解綁,刪除個人資訊等工作,保障個人資訊保安。平臺也應在賬號系統內增加多因素驗證等方式妥善管理賬號資料。

Xyxfs:現在手機號繫結的東西太多了,換號真的很麻煩。



Microsoft Azure爆出兩新漏洞;黑客捲走移動支付系統數十億先令;“二次放號”背後的安全風險

相關文章