Twitter收集用户信息定向推送广告被�？�1.5亿美元

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Twitter收集用户信息定向推送广告被�？�1.5亿美元

宣布时间 2022-05-26

1、Twitter收集用户信息定向推送广告被�？�1.5亿美元

据5月26日报道，美国联邦贸易委员会FTC已对Twitter�？�1.5亿美元，原因是它使用收集的2FA验证的电话号码和邮件地址来推送广告。凭据法庭文件，从2013年开始，Twitter要求凌驾1.4亿用户提供这些信息以掩护他们的账户，但没有通知他们这些数据也将用于广告商投放广告。FTC主席称，Twitter以用于宁静目的为借口从用户那里获取数据，但最终还使用这些数据来针对用户投放广告，这种做法影响了大量用户的同时还提升了Twitter的收入。Twitter已同意支付1.5亿美元的�？�。

https://www.bleepingcomputer.com/news/technology/ftc-fines-twitter-150m-for-using-2fa-info-for-targeted-advertising/

2、趋势科技修复已被Moshen Dragon利用的DLL劫持漏洞

据媒体5月24日报道，趋势科技修复其宁静产物中的DLL劫持漏洞。正如Sentinel Labs在5月初披露的那样，Moshen Dragon在针对中亚的电信行业的攻击中，试图劫持宁静供应商的法式，包罗Symantec、TrendMicro、BitDefender、McAfee和Kaspersky。攻击者利用了多个恶意软件，并通过DLL劫持来侧加载ShadowPad和PlugX。Trend Micro已于5月19日通过其ActiveUpdate(AU)宣布了一个修复法式，并建议用户立即进行更新。

https://securityaffairs.co/wordpress/131635/hacking/trend-micro-flaw-moshen-dragon.html

3、某配置错误的ES服务器泄露数百万贷款申请人的信息

据5月24日报道，一个配置错误的Elasticsearch服务器泄露了147 GB的数据，共8.7亿条记录。该服务器于2021年12月5日被检测到，主要包罗乌克兰、哈萨克斯坦和俄罗斯小额贷款的申请人的信息，如姓名、住址和护照号码等个人信息，以及薪水、贷款详情和INN（税号）等财政信息。据预计，约有1000万用户受到影响，其中大部门服务器日志和护照号码属于俄罗斯，大多数INN属于乌克兰，而该服务器位于荷兰的阿姆斯特丹。

https://www.hackread.com/personal-data-russians-ukrainians-exposed-online/

4、Mozilla宣布更新修复Pwn2Own大会中被利用的多个漏洞

5月20日，Mozilla宣布了Firefox和Thunderbird的宁静更新，以修复在Pwn2Own 2022大会期间被利用的漏洞。第一个漏洞是Top-Level Await实现中的原型链污染（prototype pollution）漏洞，追踪为CVE-2022-1802，攻击者可利用它来执行JavaScript代码。第二个漏洞( CVE-2022-1529 ) 是JavaScript工具索引中使用不受信的输入导致的原型链污染漏洞，可用来在特权父进程中执行JavaScript。CISA在5月23日宣布宁静通告，建议立刻修复这些漏洞。

https://www.bleepingcomputer.com/news/security/mozilla-fixes-firefox-thunderbird-zero-days-exploited-at-pwn2own/

5、Chrome扩展Screencastify修复可劫持摄像头的XSS漏洞

媒体5月24日称，流行的Chrome扩展Screencastify修复了一个XSS漏洞。这是一个用于录屏、视频编辑和媒体共享的浏览器扩展，在Chrome中的安装量凌驾10000000次。攻击者可以利用漏洞启用Screencastify录制视频，并将其上传到Google Drive。还可以利用同样的漏洞来窃取谷歌驱动器的OAuth令牌，并用它来下载上传的视频，以及存储在谷歌驱动器上的其它工具。

https://www.bleepingcomputer.com/news/security/screencastify-chrome-extension-flaws-allow-webcam-hijacks/

6、BlackBerry宣布关于Chaos新变体Yashma的分析陈诉

5月24日，BlackBerry宣布了关于勒索软件Yashma及其家族的分析陈诉。Chaos是一种可定制的勒索软件构建器，于2021年6月9日首次泛起，已经历了5次迭代，Yashma声称是它的第六版(v6.0)，于2022年的年中在野外被发现。Chaos的前三个版本与传统的勒索软件比起来更像是具有破坏性的木马，但Chaos 4.0进一步革新，将可加密文件的上限提高到2.1MB。Chaos 5.0使用了AES-256加密目标文件，而Yashma与上一个版本几乎相同，仅添加了两项修改。

https://blogs.blackberry.com/en/2022/05/yashma-ransomware-tracing-the-chaos-family-tree

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究