政策资讯协会

【圈内热闻】伊朗?暗网?Uber?

来源:Patchingthesky    发布时间:2018-09-29 12:16:32

抖腿款、Relax~~~


1、通过Telegram bot,2千万伊朗用户一夜之间被黑


最近,一个机器人程序攻击了伊朗第二大移动电话运营商MTN Irancell的大部分用户。据梅尔通讯社7月2日的报道称,被攻击的人数是2千万,相当于MTN Irancell 75%的用户。


当天晚上的早些时候出现了一个消息说在Telegram的消息应用程序中有一个名为@MTNProBot的网络机器人(bot),它能够嵌入到手机运营商的电话号码中,并且它还可以提供与所有者相关的个人信息如姓名、座机电话号码、国家代码、城市、地址和邮政编码


互联网机器人


也被称为网络机器人(web robot)、WWW机器人或简单的机器人,是一个软件应用程序,它能够在互联网上自动化地运行任务(脚本)。通常,机器人执行的任务都是简单和结构重复的,以一个人类不可达的高速度运行。使用最广泛的机器人是web搜索(网络爬虫),一个自动化的脚本用来获取,分析和存储web服务器上的信息,它的速度是人的很多倍。



2、黑客售卖110万Lookbook用户的明文密码


110万lookbook用户的登录数据正在暗网上出售,我们甚至不敢确定该公司是否已经意识到他们的信息被泄露。


暗网是一个奇怪的地方,在这里,人们可以购买任何一样东西,从政府凭证、毒品、武器到顶级在线平台的数据库,无所不包。最近我们看到,黑客一直在提供社交媒体巨头的机密数据,包括MySpace、LinkedIn Twitter、 Beautiful People和VK.com。


数据已经泄露了出来,但是还有一件破坏性更大的事情——LookBook允许用户使用他们的Facebook账号进行登录,由此我们可以得出结论:售卖的数据中可能还包括Facebook用户的登录凭证,但是目前还没有发生LookBook用户受到黑客攻击的事件, Facebook账户也没有因为LookBook数据泄露而受到影响。


Uber优惠码漏洞允许黑客免费乘车


你想不想通过Uber打车服务来免费乘车呢?


一名来自埃及的独立安全研究员在Uber应用程序中发现了一个严重的安全漏洞,这个漏洞将允许潜在的攻击者通过暴力破解等手段获取到Uber的优惠码,通过这些有效的促销码,攻击者就可以实现免费乘车了。


利用暴力破解等手段破解Uber应用程序中的“优惠码”功能,并从中获取到高额的优惠码。据他所说,他可以获取到价值两万五千美金的优惠码。


Fouad在Uber的注册邀请链接中发现了这个“优惠码”漏洞,Uber注册邀请链接允许任何一名用户邀请其他的用户加入Uber服务,邀请成功之后,用户将可以得到相应的优惠码,如果优惠码的面值足够大,那么用户就可以免费乘坐一次甚至多次出租车了。



Fouad发现,在Uber应用程序的优惠码功能中,并没有对用户的尝试输入次数或者输入频率进行限制,这也就意味着,Uber用户可以不停地尝试输入优惠码,其操作次数和频率完全不会受到系统限制。Fouad可以利用这个漏洞来不断地生成优惠码,直到找出一个可用的优惠码为止。除此之外,他还发现他可以自定义生成形如“uber+code_name”的优惠码。



与往常一样,Fouad将这个暴力破解漏洞提交给了Uber公司的技术部门,以便他们及时修复这一漏洞。但令人惊讶的是,这个漏洞并没有吸引Uber公司的注意力,而且Uber公司也并不打算修复这个漏洞。


Fouad在接受Techworm网站采访时表示,他对Uber公司的这一回应感到十分惊讶,他说到:“原来,我并不是唯一一个向他们报告这一漏洞的安全研究人员,但这也说明我们所有人都认为这的确是一个安全漏洞。”


现在,虽然Uber公司在其支付页面中设置了输入尝试的限制,但是其优惠码功能中仍然存在安全漏洞,应用程序仍然无法抵御暴力破解攻击。


无论怎样,希望Uber公司可以尽快修复这一漏洞。




协会简介

  政策资讯协会是由民间人士依据相关法律自发组织成立的一个公益性组织,协会提供各个地区的相关政策及政府动态。

组织机构

待定

协会宗旨

  协会致力于向各地民众提供当地政府出台的相关政策,使得民众更加关心国家政策。