-
漏洞
支付宝因做社交暴漏巨大安全漏洞!!!简直是可恨!! 网曝支付宝存在新漏洞:熟人可重置登录密码。
PS: 最新消息漏洞被堵上了。
1月10日上午消息,近日,网曝支付宝存在新漏洞——陌生人有五分之一的机会登录你的支付宝,而熟人则有百分之百的机会登录你的支付宝。
网曝支付宝存在新漏洞:熟人可重置登录密码
按照网友的说法,漏洞的原理是这样的:登录手机账号——忘记密码——手机不在身边——淘宝买过的东西9张图片选1个——好友验证9个好友图片选1个——登录成功。这时就可以直接扫二维码付款不用密码。
对此,新浪科技根据上述步骤进行试验。首先,退出登录现有账户,然后输入你想要登录的手机账号,点击“密码登录”,此时会有“忘记密码?”的选项,确认需要重置登录密码的账户,点击“下一步”;此时,会收到支付宝发来的检验码;因为此时登录账号的手机不在你手里,因此选择“无法接收短信”;支付宝会提供其他的验证方式,这个时候“选一个您购买过的商品”的验证页面就出现了;选择以后点击下一步,还需要“选一个你可能认识的人”;完成这两个步骤之后,你就可以修改该账户的密码了,连同该账户关联的淘宝登录密码也会被修改。
从上述过程中可以发现,若为熟人操作,则账户被登录的成功率极高。
广告:
-
漏洞
智联,你就尽情羞辱我们吧
3日上午,国内漏洞应急平台乌云公开了一个导致智联招聘86万用户简历信息泄露的漏洞,其中包括身份证号、地址等核心信息。随后,智联做出回应称,经技术部门排查,漏洞中曝出的ip地址并非智联招聘,疑似泄露的信息图片中,标有智联招聘字段的简历信息绝非来自智联招聘。
这样极其传统的媒体应对倒是像极了老迈的智联的风格,IP地址不属于智联并不能排除与智联的干系,而” 标有智联招聘字段的简历信息绝非来自智联”的论断又是从何而来?是将泄露的信息与公司的总数据库比对后的结果?还是有其他的办法?
我绝不是主张,因为泄露的信息标有智联招聘字段,就一定和智联有关。而是,智联如此简单粗暴的官方回应显然丝毫没有考虑过潜在受害者的用户体会。相当一部分人看到此事的第一反应是,啊!那我属于86万中的一个吗?纵然信息泄露如今已是司空见惯,但核心信息的走露,谁可以淡定?
起底智联的盈利模式
对智联的回应如此不淡定,一方面是惯有的“爆料基本上八九不离十”的别扭心里,另一方面是翻看6月12日在纽交所挂牌时,智联的招股书内容。
招股书对公司的盈利模式有这样的表述:
(1)公司收入来自企业客户,不直接从注册用户和求职者获取营收。当然,注册用户和日均独立访问用户数量、以及数据库中简历的质量和数量,是吸引企业客户的筹码。
(2)企业客户购买的服务包括:基于平台上发布招聘职位和展示广告,以及在数据库总下载完整简历的数量。
(3)营收增长依赖于全国性的销售和客户服务网络的支持。公司拥有庞大的销售和客户服务团队,截至2013年12月31日,在中国的32个地区办事处、公司总部和位于北京的呼叫中心聘用了超过2000名销售和客户管理代表。
(4)在线招聘服务其规模和毛利率均超过了线下招聘服务。截至2013年6月30日的上一财年和截至2012年6月30日的前一财年,在线招聘服务营收均占据了总营收的84.3%;在截至2013年12月31日的本财年上半财年,在线招聘服务营收占据了总营收的79.4%。
看完这些,我彻底不淡定了,“企业客户购买的服务包括:基于平台上发布招聘职位和展示广告,以及在数据库总下载完整简历的数量”。智联短时间内做出“信息绝非来自智联招聘”的论断,哪里来的底气?
潜规则众所周知,却果真无动于衷
此次的简历信息泄露,看似只是信息不安全的一个普通例子,细究似乎都成了对众所周知的潜规则的多余苛责。简历信息成为公司盈利的明码标价的交易内容,潜规则众所周知,参与者却果真无动于衷。
在此我只提出两个疑问:
1.行业服务提供者是否持有用户信息的权利?
提出这个疑问,是基于在昨日“乌云事件”发生后,我登陆自己的智联账号,发现过去找工作时填的满满当当的个人信息都一一在列。以前不觉得是件什么打紧的事,现在却真的后怕,自己这些可怜巴巴的家底被人知道得一清二楚。
在线招聘的服务商们,敢不敢增加一个“找到工作后即销毁”的功能?(btw:就当做是增值服务,即便你收点费用也是可以接受的)
2.粗糙的信息收集系统是为哪般?
大量对找工作无用却是用户的关键信息,却几乎成了每个在线招聘服务提供商的通病,我想这也是此次事件引起恐慌的重要根源。
当初3Q大战的背后,忽略的是,他们挣的谁可以看到用户更深、更多的后台信息。此次简历信息泄露,只愿智联的应对可以走走心!
来源:雷锋网
-
漏洞
智联招聘86万简历泄露,到底谁脱了谁的“裤”?
今天上午,国内漏洞应急平台乌云公开了一个导致智联招聘86万用户简历信息泄露的漏洞。
该漏洞由乌云用户“天地不仁 以万物为刍狗”在昨晚9点左右提交,据其表述可导致智联招聘的用户简历数据库泄露,其中包括用户的姓名、地址、身份证、户口等信息。
漏洞提交后,智联招聘今天早上主动“忽略”并公开了该漏洞(忽略为乌云的一种状态,表示否认、不相关的意思),其官方在乌云回应称,漏洞披露的网站IP并非智联招聘所有,图中的用户信息还待核实。
“感谢对智联招聘的关注,经核实,漏洞详情中披露的IP地址,非智联招聘的。图片中的标有‘智联招聘’的信息待核实。建设总比破坏有意义,这个事情同时也给我们敲响了安全的警钟。”
尽管智联招聘官方还未确认被曝光的用户信息是否为其所有,但据接近此事的白帽子透露,这次被泄露的信息是在另外一家招聘网站上,并确认为智联招聘所有。
对方解释称,这件事情看起来古怪,但有其可能性。很可能是智联招聘曾经遭遇脱库,这批信息被转手到本次事件中的招聘网站,然后因为漏洞又被发现。这些事情在地下黑产中并不少见。
当前国内招聘网站中,老牌的有中华英才、前程无忧,新兴的有58同城招聘、大街网、拉勾网、猎聘网等,还不清楚这次信息泄露主角会是哪一家?
在漏洞公开大概一小时后,智联招聘向新浪科技回应称称,正在确认该漏洞并进行修复,目前尚未有更新回应。我们将持续跟踪此事。
乌云平台上信息泄露的细节图片:
乌云曝智联招聘86万用户简历信息泄露漏洞(敏感信息已打马赛克)
乌云曝智联招聘86万用户简历信息泄露漏洞(漏洞证明)
来源:雷锋网
-
漏洞
Dropbox企业服务度过失意一周
Dropbox的企业用户已经达到了400万,并且仍在不断为企业用户提供新的协作工具的消息。可即便这样,最近发生的若干事件可能还是要为Dropbox的企业级服务蒙上一些阴影。
我们在上周,也报道过《云存储曝安全漏洞,Dropbox暂停链接分享》,企业协作解决方案提供商Intralinks无意中发现Dropbox处理URL方式可能会泄漏一些用户私人信息或雇主的文件。在Dropbox里,当用户分享文档时会生成一个链接,而如果接收方在查看这个文档时又点击了文档内部包含的链接,那么第三方将可能获取文档的最初来源,进而读取到文档的内容。Intralinks甚至已经发现通过这种方式可以获取包括税收记录、银行备案信息在内的多种敏感数据。
问题被披露出来后,Dropbox立即取消了一些问题链接的访问权限,并且在官方博客中向受到影响的用户表示歉意。
除了自身服务的安全性出现了问题外,Dropbox竞争对手的表现也让其昔日的光环略显失色。经过接近两年时间的努力,企业级云服务提供商Box最终赢得了通用电气的青睐。通用电气超过30万的雇员接下来将使用Box的云服务来进行工作文件的存储和分享。虽然Box目前仅有20多万的企业级客户,但赢得通用电气的订单不但可以提升其云服务的竞争力,也为接下来的扩张增加了筹码。
相对于有着2.75亿个人用户、400万企业用户的Dropbox来说,Box的2500万注册用户在体量上和其还有很大的差距。不过看上去后者正在变得越来越大。
虽然经历了一系列波折,但Dropbox并没有停下来。在最近一段时间里,Dropbox还是针对其企业级业务做出了多项更新。它不但向所有用户开放了全新的Dropbox企业版、推出文档协作工具Project Harmony,还将Dropbox Partner Network推广到了更多的国家和地区。
Recode今天的消息也显示,著名的流媒体音乐服务商Spotify接下来会成为Dropbox的企业级客户,所以Dropbox在经历了失意的一周后也许会赢回一些局面,不过想吸引一家通用电气那样级别的客户就不是件容易事了
【文章来源:pingwest】
-
漏洞
云存储曝安全漏洞,Dropbox暂停链接分享
【编译:阿沫】
近日Dropbox确认其文件分享机制中存在漏洞,可能引起安全问题,因此近日暂停原有含超链接的文档分享链接的使用,并着手修复漏洞。
根据Dropbox的声明,以下场景中,文档分享存在安全隐患:
Dropbox用户分享的文档中含有导向第三方网站的超链接地址;
分享链接的用户双方若点击了该超链接地址,则原本的分享链接将导向第三方网站;
拥有该网站主页权限的人则能够通过分享链接接触到原本加密分享的文件。
所幸Dropbox表示目前尚未有该漏洞造成的问题反馈。为了安全起见,Dropbox完全暂停了含有超链接的文档的分享,在数日修复后重新启用该功能——其他文档的分享功能照常。
云存储给多设备越发普遍的社会带来了便利,然而且安全性也引起外界忧虑。这已经不是云存储第一次出现安全漏洞了。
Dropbox 目前估值已过百亿美元,支持其高估值的是它从个人云存储市场向企业市场进军的广阔前景。相对于个人存储,企业服务需要更高的安全性,而Dropbox需要在这一领域多下工夫。
【文章来源:猎云网】
扫一扫 加微信
hrtechchina
