英伟达商店bug泄露用户信息;Pastebin新增功能或成攻击者帮凶;揭秘刷量新“套路”

发布者:Editor
发布于:2020-09-28 18:20
近日,某网络热播剧公开使用了黄某实名购买的手机号码,导致黄某频繁遭受陌生电话及微信好友验证通知的骚扰,黄某以该剧的制作方公司侵害其隐私权为由诉至北京互联网法院。目前,因并未有确切证据显示涉案公司有权使用黄某手机号码,且公司所称合法使用的期限明显短于涉案影片制作与播出的正常周期,以及公司的确未对手机号做画面处理,因此一审判决认定影视公司主观上存在过错,构成对黄某隐私权的侵害,要求其赔偿黄某共4000元。



1  英伟达商店bug泄露用户信息



几年前,曾有大量Steam用户遇到一件怪事。他们在登陆后看到的Steam首页并非自己所在地区的语言,点击界面右上角的账户信息竟然还跳转到其他用户的信息页,可以直接查看其他人的邮箱地址、Steam钱包余额以及购买记录。


无独有偶,最近英伟达网上商店也出现了与Steam类似的缓存bug,用户会在页面上随机看到其他顾客的邮箱地址和个人信息。


一位Reddit用户就发布了一张截图,并声称这是其他用户的地址以及“部分遮盖”的信用卡信息。此后,多位用户也跟帖表示他们在登陆检查订单时也发现了陌生人的邮箱地址。


在推特上,甚至有用户反映发生了另一件令人毛骨悚然的事。该用户收到另一位用户的邮件,对方称自己没有RTX3080,想问他要他的RTX3080。而该发送者就是通过英伟达商店得知该用户的邮箱地址以及其上班的公司的。


目前,英伟达官方表示正在调查此事,之后会提供更多信息。


Xyxfs:这也太吓人了吧,求那位推特用户的心理阴影面积。



2  Pastebin新增功能或成攻击者帮凶



Pastebin是迄今为止使用最广泛的粘贴网站,开发者会用它来托管代码或文本片段,以便于和同事分享。因此该网站存储了全球数百万用户的重要数据,如算法,来自各种服务、机器人、网络设备的日志,以及专有软件代码。


但在过去十年时间里,Pastebin也逐渐变成了托管恶意代码的网站。恶意软件作者会利用它来存储他们检索并在受感染主机上运行的恶意命令、黑客数据、恶意软件命令和控制服务器的IP地址以及许多其他操作细节。


今天,该网站在一封电子邮件中表示,应用户的要求,为Pastebin新增了名为“阅后即焚”、“密码保护粘贴”的两项新功能,允许用户创建单次阅读就过期的文本文段,以及受密码保护的粘贴。


对此,网络安全研究人员认为除非Pastebin 采取一些隐藏措施来阻止阅后即焚和密码保护进行C2和恶意软件的暂存,否则对于使用 PasteBin 的恶意软件攻击者来说,这些新功能反而是助纣为虐,会广泛而疯狂地被攻击者滥用。


Xyxfs:功能没有好坏之分,重要的在于人如何去使用它。



3  揭秘刷量新“套路”



现在人肉刷量、群控刷量等刷量进行数据造假已经屡见不鲜,但新兴的“挂机刷量”与这些常见的刷量方式都不同,因此相关监管及查处极为困难。


近日,腾讯就将一从事挂机刷量业务的深圳某“挂机刷量”公司告上了法庭。


本案中,被告公司以“微信小号轻松日赚100元”、“1元提现秒速到账”等宣传语吸引微信用户“躺着”赚钱。


上钩的用若往往会将使用频度不高的微信小号进行“托管”,在“挂机刷量”网站上注册,并用微信号登录,即可在“托管”客户端上通过做手动或是自动任务,进行“挂机刷量”赚钱,小号多的人每月收益甚至能达几千元。


这种“挂机刷量”的不同之处在于平台方无需购买和维护大量的微信号,而是直接以佣金分成的方式吸引用户、获取帐号。此外,用户只需给平台授权帐号使用权,即可轻松赚取佣金。


更重要的是,正是这样的托管模式能更有效逃避平台监管,因为微信号是真实注册,需要用时由托管方来操作,不托管时由用户正常使用,异常操作不易被发现和锁定。


目前,深圳市中级人民法院一审判决该公司及其法定代表人构成不正当竞争,赔偿腾讯2374万余元。


Xyxfs:面对层出不穷的“新套路”,还是踏踏实实赚钱最安生。




声明:该文观点仅代表作者本人,转载请注明来自看雪