推特(Twitter)於今年8 月對外承認 540 萬個帳號遭外洩,包含用戶電話號碼與電子郵件等資訊,被放在駭客論壇以 3 萬美元的價碼打包出售。最新消息指出,這540萬筆的使用者記錄(包含資料)已經被免費分享在駭客論壇上。
Twitter在八月時披露了可以在登錄頁面輸入電話號碼或電子郵件地址來獲取相關 Twitter 帳號資訊的漏洞。此API漏洞讓駭客收集了540萬筆使用者私人資料。Restore Privacy在2022年一月最早揭露報導該漏洞可用來收集資料,透過漏洞懸賞平臺 HackerOne向 Twitter 披露。HackerOne成員 – Zhirinovsky對其描述如下:
「這個漏洞可以讓任何人在沒有經過身份驗證的情況下透過提交電話號碼/電子郵件來獲取任何使用者的Twitter ID(這幾乎等於取得帳號的使用者名稱),即便使用者在隱私權設定中禁止了此動作。」
繼續閱讀雖然很多人都覺得 Apple(蘋果) 的產品在安全方面一直做得很好,但近日卻出現了兩個可能讓駭客掌控使用者裝置的安全漏洞。Apple 表示他們知道駭客可能正在積極地利用這些漏洞,目前已經有安全更新可安裝,強烈建議使用者應盡速安裝。
該公司目前已釋出緊急安全更新來修正這些漏洞,包括 iPhone、iPad 和 Mac 等產品都受到影響,不過 Apple 只表示他們知道駭客可能正在積極地利用這些漏洞。
受到此次安全漏洞影響的裝置型號包括:iPhone 6s 及後續機型、所有 iPad Pro 機型、iPad Air 2 和後續機型、iPad 第 5 代及後續機型、iPad mini 4 及後續機型、iPod touch 第 7 代,以及使用 macOS Monterey 作業系統的 Mac 電腦。這些裝置目前都已經有安全更新可安裝,強烈建議使用者應盡速安裝。
Apple 並未交代他們如何知道這些問題,只是感謝發現這些漏洞的匿名研究人員。不過他們表示這些漏洞可能會讓駭客執行任意程式碼,意思就是,駭客可以在受影響的裝置上執行惡意程式碼,進而完全掌控裝置或從事其他惡意活動。
趨勢科技近日觀察發現,名為Magniber的勒索病毒,偽裝成Windows 10的系統更新程式,將惡意程式包裝成Windows Installer MSI檔案,以降低受害者的戒心。因此,趨勢科技特別提醒用戶應提高警覺。
此類攻擊手法主要透過以下幾個步驟:
