WTT日报：Struts漏洞导致近半数美国人信用资料泄露；俄罗斯议员儿子实施5000万美元黑客诈骗

Posted 2021-04-28 WTT资讯

近半数美国人信用资料泄露案利用的是Apache Struts漏洞

信用评级机构Equifax在9月7日宣布，黑客窃取了包含1.43亿美国消费者个人的信用资料。

根据William Baird＆Co.的数据泄露报告，此次黑客利用的漏洞来源于一个受欢迎的开源软件包Apache Struts，它是一个用Java构建Web应用程序的编程框架。

2017年Struts发现了两个漏洞。一个是在3月份公布的，另一个是在本周早些时候在9月4日公布的。

目前，Baird报告还不清楚是哪个漏洞造成了这次严重的数据泄露。

关于9月4日发布的Struts漏洞，当时已经对其严重性发出了警告：“至少有65％的财富100强企业正在使用了Struts框架构建Web应用程序。”

例如洛克希德马丁公司、美国国税局、花旗集团、沃达丰、维珍大西洋、Office Depot和SHOWTIME等企业机构都使用该框架的应用程序。

Lgtm的研究人员警告说：“所有使用Struts的组织现在应该立即升级组件。”

该bug特别影响了一个流行的被称为REST的插件，开发人员用于处理Web请求，例如从用户填写的表单发送到服务器的数据。

入侵者可能很容易将恶意软件注入Web服务器，并且使用它来窃取或删除敏感数据，或者用勒索病毒感染计算机等等。

Equifax现在为用户推出了一个数据泄漏检查器，用户可以检查他们的私人信息是否被盗。

不过据研究人员的测试结果，该数据泄漏检查器返回的结果极其混乱。

例如输入“test”作为姓氏，“123456”作为社会保险号，返回的结果居然是“可能已受到影响”。

在数据泄露案披露之后，Equifax股价暴跌14%。未来，Equifax还将面临数十亿美元的集体诉讼。

 

俄罗斯议员的儿子承认实施5000万美元黑客诈骗

32岁的俄罗斯黑客Roman Seleznev是俄罗斯议员Valery Seleznev的儿子。

他被指控入侵用户电脑，窃取美国170万张信用卡信息，造成1.7亿美元的损失。

今年4月份，他被马尔代夫政府逮捕并被引渡到美国审判。他因涉嫌诈骗罪被判处二十七年监禁。

这是美国对黑客判处的最长刑期之一。

俄罗斯坚持认为对Seleznev的引渡是非法绑架。

 

安全漏洞：

黑客可以远程访问和操作无线注射器输液泵

美国工业控制系统ICS CERT发布警报，研究人员发现了史密斯医疗公司制造的Medfusion 4000无线注射器输液泵存在8个漏洞。

受影响的注射器输液泵主要用于急性护理环境中的小剂量药物输送；此外也用于向危重护理患者提供药物，包括新生儿和儿科重症监护室以及手术室。

ICS CERT在一份声明中表示，“成功利用这些漏洞可能允许远程攻击者获得未经授权的访问并影响泵的预期操作。尽管采用分段设计，攻击者可能会损害泵的通信模块和治疗模块。”

医疗设备现在越来越容易受到黑客的攻击。

本月早些时候，美国FDA（食品和药物管理局）警告说，超过45万的雅培心脏起搏器易受黑客攻击并对之召回。

 

三星推出20万美元漏洞奖励计划

三星推出了一个漏洞奖励计划，希望IT安全研究人员或者白帽黑客提前报告三星手机关键的安全漏洞，赏金最高为20万美元。

该计划主要针对远程攻击漏洞，不包括物理攻击。此外，在第三方应用程序中发现的漏洞也不符合提交的资格。

“通过这个奖励计划，我们希望与安全研究人员建立和保持宝贵的关系，他们有助于三星移动安全问题的披露。”

 

数据泄露：

墨西哥税收退款MoneyBack网站暴露了400GB的敏感客户数据

Kromtech公司的安全专家发现墨西哥增值税退税网站MoneyBack因为数据库配置错误，暴露了400GB的敏感信息。

墨西哥增值税退税网站MoneyBack主要服务于游客，为在墨西哥的购物花费申请退税。

泄露的数据包含大约50万个客户的护照详细信息、信用卡号、旅行信息等。

其中护照主要来源于美国、加拿大、阿根廷、哥伦比亚和意大利的公民。

Kromtech副总裁Alex Kernishniuk说：“网络犯罪分子可能会利用这些信息进行身份欺诈，或使用数据库中成千上万的信用卡号进行诈骗消费。”

http://www.wttech.org/

http://leaks.wttech.org/