首页 > 安全研究 > 安全通报 > 安全简讯

Twitter收集用户信息定向推送广告被罚款1.5亿美元

发布时间 2022-05-26

1、Twitter收集用户信息定向推送广告被罚款1.5亿美元


据5月26日报道,美国联邦贸易委员会FTC已对Twitter罚款1.5亿美元,原因是它使用收集的2FA验证的电话号码和邮件地址来推送广告。根据法庭文件,从2013年开始,Twitter要求超过1.4亿用户提供这些信息以保护他们的账户,但没有通知他们这些数据也将用于广告商投放广告。FTC主席称,Twitter以用于安全目的为借口从用户那里获取数据,但最终还使用这些数据来针对用户投放广告,这种做法影响了大量用户的同时还提升了Twitter的收入。Twitter已同意支付1.5亿美元的罚款。


https://www.bleepingcomputer.com/news/technology/ftc-fines-twitter-150m-for-using-2fa-info-for-targeted-advertising/


2、趋势科技修复已被Moshen Dragon利用的DLL劫持漏洞


据媒体5月24日报道,趋势科技修复其安全产品中的DLL劫持漏洞。正如Sentinel Labs在5月初披露的那样,Moshen Dragon在针对中亚的电信行业的攻击中,试图劫持安全供应商的程序,包括Symantec、TrendMicro、BitDefender、McAfee和Kaspersky。攻击者利用了多个恶意软件,并通过DLL劫持来侧加载ShadowPad和PlugX。Trend Micro已于5月19日通过其ActiveUpdate(AU)发布了一个修复程序,并建议用户立即进行更新。


https://securityaffairs.co/wordpress/131635/hacking/trend-micro-flaw-moshen-dragon.html


3、某配置错误的ES服务器泄露数百万贷款申请人的信息


据5月24日报道,一个配置错误的Elasticsearch服务器泄露了147 GB的数据,共8.7亿条记录。该服务器于2021年12月5日被检测到,主要包括乌克兰、哈萨克斯坦和俄罗斯小额贷款的申请人的信息,如姓名、住址和护照号码等个人信息,以及薪水、贷款详情和INN(税号)等财务信息。据估计,约有1000万用户受到影响,其中大部分服务器日志和护照号码属于俄罗斯,大多数INN属于乌克兰,而该服务器位于荷兰的阿姆斯特丹。


https://www.hackread.com/personal-data-russians-ukrainians-exposed-online/


4、Mozilla发布更新修复Pwn2Own大会中被利用的多个漏洞


5月20日,Mozilla发布了Firefox和Thunderbird的安全更新,以修复在Pwn2Own 2022大会期间被利用的漏洞。第一个漏洞是Top-Level Await实现中的原型链污染(prototype pollution)漏洞,追踪为CVE-2022-1802,攻击者可利用它来执行JavaScript代码。第二个漏洞( CVE-2022-1529 ) 是JavaScript对象索引中使用不受信的输入导致的原型链污染漏洞,可用来在特权父进程中执行JavaScript。CISA在5月23日发布安全通告,建议立刻修复这些漏洞。


https://www.bleepingcomputer.com/news/security/mozilla-fixes-firefox-thunderbird-zero-days-exploited-at-pwn2own/


5、Chrome扩展Screencastify修复可劫持摄像头的XSS漏洞


媒体5月24日称,流行的Chrome扩展Screencastify修复了一个XSS漏洞。这是一个用于录屏、视频编辑和媒体共享的浏览器扩展,在Chrome中的安装量超过10000000次。攻击者可以利用漏洞启用Screencastify录制视频,并将其上传到Google Drive。还可以利用同样的漏洞来窃取谷歌驱动器的OAuth令牌,并用它来下载上传的视频,以及存储在谷歌驱动器上的其它东西。


https://www.bleepingcomputer.com/news/security/screencastify-chrome-extension-flaws-allow-webcam-hijacks/


6、BlackBerry发布关于Chaos新变体Yashma的分析报告


5月24日,BlackBerry发布了关于勒索软件Yashma及其家族的分析报告。Chaos是一种可定制的勒索软件构建器,于2021年6月9日首次出现,已经历了5次迭代,Yashma声称是它的第六版(v6.0),于2022年的年中在野外被发现。Chaos的前三个版本与传统的勒索软件比起来更像是具有破坏性的木马,但Chaos 4.0进一步改进,将可加密文件的上限提高到2.1MB。Chaos 5.0使用了AES-256加密目标文件,而Yashma与上一个版本几乎相同,仅添加了两项修改。 


https://blogs.blackberry.com/en/2022/05/yashma-ransomware-tracing-the-chaos-family-tree

上一篇 下一篇