eBay不正アクセス、ユーザにパスワードの変更を求める
- eBay Inc. To Ask eBay Users To Change Passwords | eBay InceBay Inc
- Reactions to the eBay breach
- eBay asks 145 million users to change passwords after data breach
- eBayに不正アクセス、暗号化されたパスワードなどが流出 - ITmedia エンタープライズ
漏えいしたのは暗号化されたパスワードの他、氏名、メールアドレス、住所、電話番号、誕生日など。支払情報は漏洩していない模様。eBayユーザはThe GuardianのQ&Aを読むといいかも。
145million usersて1億4500万人よね?そんなにいるんだ。
PayPal、マーチャントアカウントが盗まれる可能性のある脆弱性を修正
- PayPal fixes merchant account hijacking bug
- PayPal Manager bug left web stores wide open to cyber-burglars • The Register
The bug – discovered by security researcher Mark Litchfield of Securatary – affected PayPal Manager, which is used to manage PayFlow accounts by people selling stuff online.
PayPal personal accounts were not affected by the vulnerability, and it's understood to be separate to PayPal parent eBay's customer database compromise.
eBayのとは別物。
PayPalのリダイレクトの脆弱性を利用したフィッシングメール
偽のiTunes Storeでの高額商品の購入記録のメールで、購入のキャンセル用のリンク先がフィッシングサイトになっている。
そのリンクは「www.order.itunes.com/verify/cancel」というそれっぽい見た目だけど実際は「www.paypal-communication.com/(略)/h?a=フィッシングサイトのURL」になっていて、これをクリックするとPayPalの脆弱性のせいでフィッシングサイトのURLにリダイレクトされてしまう。
リンクにマウスを置くと当然リンク先のアドレスが見えるわけだけど、それが大変trustedなPayPalのURLである(正規のPayPalのドメインだっとしても、表示と実際のリンク先が違ったらおかしいと思うけど・・・)。さらに、フィッシングサイトへのアクセスをブロックするようなセキュリティ製品をインストールしていたとしても、直接のリンク先はPayPalなので素通りしてしまう(こっちはフィッシングサイトにとってとても有利)。
ICS-CERT Monitor Jan-April 2014
- ICS-CERT Monitor Jan-April 2014(PDF)
- ICS-CERT Confirms Public Utility Compromised Recently | Threatpost | The first stop for security news
- DHS Confirms U.S. Public Utility’s Control System Was Hacked - The State of Security
インターネットにF/Wやアクセス制御無しで接続されていた制御システムに、長期間に渡ってHTTPやSCADAを利用してアクセスされていたことが分かった。幸運にもその制御システムはメンテナンスのために機器には接続されていなかった。
なんてことが赤裸々に書かれています。(と、tripwireの記事に書いてある)
Internet Explorer 8 CMarkup における解放済みメモリ使用の脆弱性
- (0Day) Microsoft Internet Explorer CMarkup Use-After-Free Remote Code Execution Vulnerability
- Vulnerability Note VU#239151 - Microsoft Internet Explorer 8 CMarkup use-after-free vulnerability
- JVNVU#97953185: Internet Explorer 8 CMarkup における解放済みメモリ使用の脆弱性
- IEに新たな未解決の脆弱性、セキュリティ企業が公表 - ITmedia エンタープライズ
パッチ未公開。EMETを入れましょう。
ゴルフWeb予約システムに不正アクセス、最大1万7790件のメールアドレスが流出
被害者にゴルフコース名を騙ったメールが来ているらしい。