BUF早餐铺 福布斯全球2000强企业HCL泄露大量员工和商业信息；数千万条Instagram名人信息泄露；Win10计划任务程序0-day漏洞攻击代码发布

  原标题：BUF早餐铺 福布斯全球2000强企业HCL泄露大量员工和商业信息；数千万条Instagram名人信息泄露；Win10计划任务程序0-day漏洞攻击代码发布

  各位Buffer早上好，今天是 2019 年 5 月 23 日星期四。今天的早餐铺内容主要有：福布斯全球2000强企业HCL泄露大量员工和商业信息；数千万条Instagram名人信息泄露；Win10计划任务程序0-day漏洞攻击代码发布；谷歌发现G Suite漏洞，部分密码明文存储长达十四年；微软呼吁行业数据隐私问题是需要联邦监管；禁用超线程才能完全缓解ZombieLoad 但性能直线下降高达 40%。

  近日，UpGuard研究团队发现位列福布斯全球2000强的IT服务和咨询公司Hindustan计算机有限公司（HCL）存在信息泄露的风险。HCL在多个子域上托管了可公开访问的页面和Web界面，导致大量员工和商业信息公开暴露。UpGuard研究团队最早在5月1日就发现这些安全风险隐患，当时他们在HCL域中检测到一个可免费下载的文档（包含客户关键字），随后发现了“其他可公开访问的页面，包含个人和商业数据”。暴露的数据“包括新雇员的个人隐私信息和明文密码、客户基础设施安装报告以及管理人员的Web应用程序。”目前，HCL仍未对此事发表公开回复，不过至少及时响应了研究人员的提醒并采取了防护和补救措施。UpGuard认为，HCL及时有效的响应值得其他存在泄露风险的企业学习。[来源： bleepingcomputer]

  据外媒TechCrunch报道，安全研究人员Anurag Sen发现Instagram位于AWS存储桶上的一个大型数据库保护不当，可被任意没有访问权限的人访问。该数据库包含4900多万条Instagram账户的联系信息，其中大部分都是网红和大V的个人隐私信息，如个人经历、资料图片、粉丝数量、所在城市、私人联系方式、电子邮件地址以及手机号等信息。另外，该数据库中还包含了计算每个账户价值的具体字段，可以估算账户的商业经济价值。据TechCrunch调查，该数据库属于社会化媒体营销公司Chtrbox，其总部在印度，主体业务就是让网红和网络大V发布广告。目前事件正在进一步调查当中。[来源： ]

  在微软发布本月安全更新之后，研究人员SandboxEscaper发布了Win10计划任务程序0-day漏洞的攻击代码。该漏洞的利用目标主要是提升本地权限，让权限有限的用户都能够完全控制SYSTEM和TrustedInstaller等高级权限用户才能访问的文件。通过将遗留任务文件导入Windows 10上的计划任务程序，就可通过该漏洞。运行从旧系统复制的可执行文件’schtasks.exe’和’schedsvc.dll’命令可以触发远程过程调用（RPC） ），并触发“_SchRpcRegisterTask”。这样的一个过程中，触发特定功能就能实现上述提升权限的目标。目前，该攻击可以在Windows 10 系统上成功复现，而在Windows 7 和 Windows 8系统上则未复现成功。[来源：]

  据美国科技媒体The Verge报道，谷歌在博客文章里披露，公司最近发现一个漏洞，导致部分G Suite用户的密码以明文方式存储。博文中称，该漏洞自2005年以来就存在，但谷歌未能找到任何证据说明，任何人的密码被非法访问过。公司正在重置可能受影响的密码，并已告知各G Suite管理员。谷歌并未说明具体有多少用户受到这一漏洞的影响，只是表示该漏洞影响了“我们部分的企业G Suite用户”——估计是2005年时使用G Suite的那些人。尽管谷歌也未曾发现任何人恶意使用这一访问权限的证据，但我们也无法清楚地知道究竟谁访问过这些明文密码。目前这个漏洞已经修复，同时谷歌在博文最后表达了歉意。[来源： sina]

  据外媒报道，最近的隐私问题使得数据收集成为公众关注的焦点。在过去，科技公司采用的都是自我监管的方式，但现在，这个行业开始呼吁联邦监管。当地时间周一，微软副总裁兼副总法律顾问Julie Brill在一篇博文中对欧盟近一年前颁布的《通用数据保护条例(GDPR)》进行了反思。Brill认为，GDPR在改变科技公司处理个人数据的方式方面很有效。Brill指出，GDPR已经激励其他一些国家采取类似的规定。她还赞赏自己的公司是“第一家将GDPR核心的数据控制权提供给全球客户，而不仅仅是欧洲客户的公司”。然而，这种自我监管在Brill看来还不够好。尽管加州和伊利诺斯州等州已拥有强有力的数据保护法，但Brill认为，美国需要类似于联邦级别的GDPR。

  微软并不是唯一一家呼吁联邦监管的大型科技公司。同样强调其强大隐私政策的苹果最近也表示，自我监管的时代已结束。今年4月，该公司CEO蒂姆·库克在Time 100峰会上表示:“我们都必须在理智上诚实，我们一定要承认，我们正在做的事情并不奏效。技术需要被监管。”[来源：cnbeta]

  上周 Intel 曝出影响 2011 年以来几乎所有芯片的漏洞 ZombieLoad，利用该漏洞，攻击者可以对芯片发起边信道攻击，在同一 CPU 上执行恶意进程，进而获取 CPU 的微架构缓冲器中的存储器内容。虽然 ZombieLoad 得到有价值数据的成本比较高，但是各大公司都十分重视这个漏洞，毕竟它影响了 2011 年以来几乎所有芯片，打击范围十分广泛。Intel 自己已经发布了微代码，从架构上缓解该问题，其它科技公司如苹果、微软与谷歌也都相继发布了补丁。

  事实上，苹果和谷歌都已经警告 macOS 和 Chrome OS 用户禁用超线程可获得全面保护，并且谷歌现在默认从 Chrome OS 74 开始禁用超线程。但是禁用超线程的性能代价实在有点高。

  Intel 发言人表示，大部分打过补丁的设备在最坏的情况下可能会受到 3% 的性能影响，而在数据中心环境中可能会是 9%。而PostgreSQL 基准测试发现，禁用超线％；Ngnix 基准测试的性能直线下降了约 34％；Zombieload 的研究人员表示禁用超线程会使某些工作负载的性能直线下降 30％ 至 40％。[来源：cnbeta]返回搜狐，查看更加多