首页
论坛
课程
招聘

Microsoft Azure爆出两新漏洞;黑客卷走移动支付系统数十亿先令;“二次放号”背后的安全风险

Editor 2020-10-10 18:05
随着5G商用,4G套餐的办理渠道在不断变窄。近期,有用户发现中国移动多个地区的网上营业厅和App已不为用户提供优惠的4G套餐,在线上用户只能选择价格相对较高的5G套餐进行办理。而4G套餐需要用户亲自前往线下营业厅才可办理,可自主选择的4G套餐种类也减少了。同时,为缓解营收、利润增长面临的压力,另两大运营商线上4G套餐种类也呈大幅减少的情况。对此,很多网友认为4G套餐就能满足日常需求,5G套餐价格较高,暂时用不上。你怎么看呢?



1 Microsoft Azure爆出两新漏洞




随着越来越多的企业将数据迁移到云中,保障云端基础设施的安全性愈发重要。

今年6月,网络安全公司Intezer就发现Microsoft Azure云服务中存在两个新漏洞。若被不法分子利用,就可进行服务器端请求伪造(SSRF)攻击或执行任意代码并接管管理服务器。

其中,第一个漏洞是权限提升漏洞,它允许通过硬编码凭证接管 KuduLite ,从而可以通过SSH进入,以root用户身份登录,使攻击者能够完全控制SCM(又名软件配置管理)Web服务器。攻击者甚至可能监视用户对SCM网页的HTTP 请求,并将恶意的Java注入用户的网页。

而另一个安全漏洞涉及应用程序节点向 KuduLite API 发送请求的方式。其可能导致具有SSRF漏洞的Web应用程序访问节点的文件系统,并窃取源代码和其他敏感信息数据。

通过这两个漏洞,攻击者能悄悄接管 App Service的git服务器,也可以利用Azure Portal访问的恶意钓鱼页面来锁定目标系统管理员。

目前,Microsoft在收到Intezer的漏洞报告后,已将漏洞进行修复。

Xyxfs:云安全在未来会成为保障信息和数据安全的关键所在。




2  黑客卷走移动支付系统数十亿先令




近年来,随着移动支付的兴起,它在给我们的日常生活带来极大便利的同时,安全问题也日益凸显。

据外媒报道,近日就有黑客入侵了乌干达的第三方移动支付系统Pegasus。该公司是一家整合了电信公司、银行以及其他本地、地区和国际转账服务之间的移动货币交易公司,每年处理高达1.7万亿乌干达先令的金融交易。

本次事件中,深受其害的是占乌干达移动支付90%份额的Airtel和MTN,以及乌干达最大的银行Stanbic银行。目前黑客疑似已卷走共数十亿先令资金。

对此,Airtel和MTN发表联合声明称此次事件影响到了银行到移动货币的交易,相关服务已全部暂停,官方正在尽快修复。

值得注意的是,第三方支付系统遭到攻击,产生的金融损失知识一方面,更严重的是我们的姓名、银行账户、电话号码等重要隐私信息都会遭到泄露,后果不堪设想。因此第三方平台应该加强身份识别和认证机制,提高平台的安全性,用户自身也应谨慎保管个人信息,通过设置多重密码等方式保护个人信息安全。

Xyxfs:想减少此类事件的发生,任重而道远啊。



3  “二次放号”背后的安全风险




“二次放号”是指老用户停用或弃用手机号后,号码由运营商收回,空置一段时间后再次投放市场,供新用户选择。

这本是种资源循环利用的方式,但现在随着手机号用途愈发广泛,甚至成为“网络身份证号”,“二次放号”监管不规范所造成的后果已不是接到很多骚扰电话那么简单了。

有用户就发现自己的“新号码”新号码注册遭拒,已注册过多个第三方应用。还有用户发现手机通讯录里甚至存有大量陌生人的电话,部分还备注了工作单位、职务等,大量个人隐私信息泄露。若这样的“新号”被不法分子发现并利用,后果将不堪设想。

更甚者,还有用户一直莫名其妙接到来自网贷公司态度恶劣的催债电话。事实上,这是因为有不少老赖为薅网贷公司的“羊毛”,用手机号贷款后频繁换号,才导致一些接盘“二次号”的无辜用户背黑锅。

为此,用户自身在弃用原来手机号时,应严格做好账号解绑,删除个人信息等工作,保障个人信息安全。平台也应在账号系统内增加多因素验证等方式妥善管理账号数据。

Xyxfs:现在手机号绑定的东西太多了,换号真的很麻烦。




分享到:
最新评论 (0)
登录后即可评论