黑客：【E周道】Webkinz儿童游戏网站泄露2300万用户信息 iOS漏洞曝光 |iOS|GitHub|OpenSSL|

本文插图
?本周安全资讯
23 Apr. 2020

Webkinz儿童游戏网站泄露2300万用户信息
iOS漏洞曝光，允许黑客执行任意代码发动远程攻击
IP电话漏洞曝光，允许黑客发动远程攻击

一、信息泄露
1.Webkinz儿童游戏网站泄露2300万用户信息
据外媒报道，研究人员近日披露，加拿大玩具公司Ganz管理的在线儿童游戏网站泄露近2300万用户信息。据悉，黑客通过SQL注入漏洞访问游戏数据库获取相关信息，包括用户名、密码及父母电子邮箱地址等。截至目前， Webkinz已修补黑客进入其系统的入口点，并删除非活动状态账户，以免泄露更多信息。

本文插图
【黑客：【E周道】Webkinz儿童游戏网站泄露2300万用户信息 iOS漏洞曝光】图片来源：Pexels
二、网络攻击
1.GitHub用户遭遇网络钓鱼攻击
据外媒报道，黑客对GitHub用户发动网络钓鱼攻击，窃取账户权限。据悉，此次钓鱼攻击活动被称作Sawfish ，黑客通过发送钓鱼邮件，引导用户点击邮件中嵌入的非正式GitHub登录链接窃取用户登录凭证及其他重要信息。此次钓鱼攻击涉及的域名为git-hub.co、githb.co、glthub.net、glthubs.com和corp-github.com 。专家建议用户立即重置密码、恢复 two-factor recovery codes、检查个人访问令牌、采取额外步骤检查和保护账户安全。
2.黑客攻击Lendf.me贷款平台，窃取2500万美元加密货币
据外媒报道，研究人员近日披露，黑客对Lendf.me贷款平台发动攻击，窃取超过2500万美元加密货币。据悉，黑客通过将不同区块链技术的漏洞和合法功能链接在一起，组织复杂的“重入攻击” ，在原始交易被批准或拒绝前循环重复窃取资金，并对Uniswap加密货币交易所进行了类似攻击。截至目前，两个受影响网站已关闭，以防止遭受进一步攻击。此外，由于在攻击过程中泄露了IP地址，黑客已退还窃取资金。

本文插图
图片来源：Pexels
3.迷宫集团对新泽西州Cognizant发动勒索软件攻击
据外媒报道，研究人员近日披露，迷宫集团对新泽西州Cognizant公司发动勒索软件攻击，破坏其内部系统，导致运营陷入混乱，中断部分客户服务。截至目前，该公司已向客户提供损害指数（IOC）和其他具有防御性的技术，建议客户应加强网络防御和警惕。
三、漏洞曝光
1.IP电话漏洞曝光，允许黑客发动远程攻击
据外媒报道，研究人员近日披露， IP电话中存在严重漏洞，被追踪为CVE-2020-3161 ，允许未经身份验证的黑客通过root特权执行任意代码、发动远程攻击，台式IP电话7811、7821、7841、7861 ，会议IP电话8831及无线IP电话8821、8821-EX受到影响。截至目前，思科已发布免费更新软件，建议用户立即更新，以免受到攻击。

本文插图
图片来源：Pexels
2.OpenSSL中存在严重漏洞，允许黑客发动DoS攻击
据外媒报道，研究人员近日披露， OpenSSL中存在严重漏洞，被追踪为CVE-2020-1967 ，允许黑客发动DOS攻击，导致服务器或客户端应用程序崩溃。版本OpenSSL1.1.1d、1.1.1e和1.1.1f受影响，旧版本1.0.2和1.1.0未受影响。截至目前，该公司已发布修复版本1.1.1g ，并建议用户立即更新，以免受到攻击。