想象一下,运行约会应用程序并被告知帐户可能很容易被劫持。这是怎么感觉的,grindr?

加:一点提醒不要偿还赎金瓶骗子


简单来说 LGBTQ约会网站Grindr在其网站上挤压了一个安全错误,这可能是普遍剥削的是使用受害者的电子邮件地址劫持任何人的个人资料。

法国臭虫 - 查找器Wassime Bouimadaghene发现,当您使用其电子邮件地址尝试重置帐户的密码时,网站响应页面,该页面会告诉您要检查收件箱以重置登录详细信息至关重要的是,该响应包含隐藏的令牌。

事实证明,令牌在链接电子邮件发送给帐户所有者以重置密码中的相同。因此,您可以进入某人的帐户电子邮件地址到密码重置页面,检查响应,获取泄露的令牌,从令牌构造重置URL,单击它,然后您将进入页面输入新密码帐户。然后你控制该用户的帐户,可以通过它的图片和消息等。

在向Grindr报告Blunder并没有快乐后,Bouimadaghene 去了 澳大利亚互联网英雄特洛伊狩猎,最终掌握了软件制造商的人,这个错误得到了修复,令牌不再泄漏了。

“这是我见过的最基本的账户收购技术之一。我不能因为重置令牌 - 应该是一个秘密密钥的原因 - 在匿名发出的请求的响应机构中返回,”亨特说。 “易用性令人难以置信地低,影响显然是显着的,所以显然这是要认真对待的事情。”

“我们相信我们在任何恶意缔约方利用之前解决了这个问题”Grindr 告诉 TechCrunch.

证券委员会咨询有 警告萨默塞网络管理系统可以通过命令注入,SQL注入和CSV公式喷射错误损害。在尝试私下报告漏洞时忽略Infosec Biz,没有补丁。

同时,有人故意 涓涓细刻 僵尸网络据说,由超过200万个受感染的窗户组成,收获人们为其他人的欺诈者和吊索赎金软件的财务细节。

财政部警告:不要陷入勒索沃特沃软件需求,它可能会花费你

本周美国财政部向网络安全公司,呃发出警告,嗯,至少在各州的人:代表客户支付网络勒索民族的要求绝对不行,这取决于情况。

官员 提醒美国人 [PDF]同意在批准国家偿还赎金瓶骗子是犯罪,也可以在国外资产控制办公室(OFAC)设定的规则中逃离原则,即使它在客户的服务中。请记住这是一个咨询,而不是法律裁决。

“为代表受害者提供赎制卫生仓库的公司,包括金融机构,网络保险公司和参与数字取证和事件反应的公司,不仅鼓励未来的赎金软件支付要求,而且可能违反OFAC规定,”财政部“说。

芭蕾舞演员为社会账户细节滚动

好像运动和恒定的Covid-19病毒测试中的距离泡沫不足以专业运动员,他们也必须谨寻找网络上的歹徒。

本周美联储 被告 Trevontae华盛顿特区,21岁的Thibodaux,Louisiana和Ronnie Magrehbi,20,佛罗里达州奥兰多,互联网互联网互联网互联网互联网互联网互联网互联网互联网。根据检察官:

据称华盛顿据称已经受到了属于多个NFL和NBA运动员的账户。华盛顿致力于运动员凭据,在Instagram这样的平台上向嵌入式链接媒体,与似乎是具有合法的社交媒体登录站点的嵌入式链接,但实际上用于窃取运动员的用户名和密码。一旦运动员进入了他们的凭据,华盛顿和其他人将运动员锁定了他们的账户,并用它们来获得其他账户。随后华盛顿贩售对诸如其他人的妥协账户,价格从500美元到1,000美元。

和...

据称,Magrehbi据称已经获得了属于专业足球运动员的账户,包括Instagram帐户和个人电子邮件帐户。 MagRehbi嵌入了播放器,要求付款恢复对帐户的访问。该玩家在至少有一个场合发送资金,其中部分被转移到由Magrehbi控制的个人银行账户,但从未恢复访问他的在线账户。

该货币对承担欺诈,并承担计算机欺诈和滥用的阴谋。 ®

类似主题


您可能喜欢的其他故事

咬住它的手©1998-2021