【火绒安全周报】Twitter任命著名黑客为安全主管 IBM披露思科Webex的三个高危漏洞

1、Twitter任命著名黑客“Mudge”为安全主管

据报道，在安全威胁的困扰，以及越来越多的安全法规限制下，Twitter任命Zatko（代号：Mudge，是全球最受尊敬的黑客之一）担任新的安全主管一职，赋予他广泛的授权，以解决从工程失误到错误信息的一切问题。他曾先后任职于DARPA、Google和Stripe，还创建了国防部用来研究网络安全领域和投资的框架，并且领导过Cult of the Dead Cow（一个因发布Windows黑客工具而臭名昭著的黑客组织）。据悉，Zatko将在对Twitter的当前措施和实践进行45至60天的审查后接任，届时直接向首席执行官Jack Dorsey报告。

原出处：FreeBuf

相关链接：

https://www. freebuf.com/news/255148 .html

2、IBM披露思科Webex的三个高危漏洞

据报道，IBM研究人员对思科 Webex 进行了测试，发现该服务存在三个漏洞（CVE-2020-3441、CVE-2020-3471、 CVE-2020-3419）。这些漏洞能够让攻击者以“Ghost”（又称幽灵）身份加入到会议中而不被发现。该漏洞可以发生在客户端和服务器之间的“握手”过程中。攻击者可以操纵通过WebSocket发送的请求，并将特殊设计的值注入到请求中以作为虚拟主机加入。思科于近日已成功修复该上述漏洞并发布了安全公告。由于此问题影响了大多数平台上的Webex客户端，因此该公司建议用户将其应用程序更新到最新版本。

原出处：cnBeta

相关链接：

https://www. cnbeta.com/articles/tec h/1055445.htm

3、卡普空传闻更新：《龙之信条2》《鬼武者》正在开发

据报道，因卡普空拒绝了向该黑客组织交付赎金，黑客将总计1TB大小的数据泄露到了4chan网站上。据泄露的数据显示，卡普空或正在开发《龙之信条2》和《鬼武者》新作。此外，文档中还提及了VR版本的《生化危机4》，该游戏将是Oculus平台独占，计划于2021年4月发行。值得注意的是，卡普空并不打算制作《恐龙危机》系列，也没有制作《漫画英雄VS卡普空》系列的打算。但是一款全新的多人游戏被曝在开发中，预计于2022年发售。

原出处：网易、电科技

相关链接：

https:// dy.163.com/article/FRR7 DUVS0526D8LR.html

http://www. diankeji.com/vr/57527.h tml

4、Animal Jam儿童虚拟世界遭遇数据泄露，影响4600万用户

据报道，知名儿童游戏 Animal Jam 的制作公司 WildWorks确认发生了数据泄漏事件。据了解，Animal Jam 是美国最受欢迎的儿童游戏之一，目标群体是7至11岁的孩童，形态有点类似任天堂开发的“动物森友会”。这款游戏自2010年推出以来，目前有超过1.3亿人游玩，而且平均1.4秒就会出现新的玩家。近日，黑客论坛上有人分享了两个属于Animal Jam的数据库，其包含大约4600万条被盗用户记录。该公司CEO表示，他们认为黑客借着公司的Slack服务器，窃得AWS密钥。所有用户应立即更改账户的密码。如果该密码在任何其他站点使用，也将其更改为唯一的密码。另外，也要时刻监控孩子的账户中是否存在可疑电子邮件。

原出处：网易、腾讯新闻

相关链接：

https:// view.inews.qq.com/a/202 01113A0ASA700

https:// dy.163.com/article/FRAC R0GH0518EMHU.html

5、圆通内鬼泄露40万条个人信息背后：不仅快递，你的简历也被卖了

近日，圆通多位“内鬼”有偿租借员工账号，40万条公民个人信息被泄露一事，引起大众对于个人隐私安全问题的重视。事实上，这只是信息贩卖黑市的冰山一角。记者从某信息商贩了解到，通常情况下，为防止黑吃黑，信息买家会要求信息贩子提供小部分数据来测试。测试数据包括多个信息维度，其中物流种类一栏中，除了申通E物流、顺丰速运、韵达快运、百世汇通外，还包括此次身陷隐私泄露风波的圆通。值得一提的是，相比于快递数据，被泄露的更为全面、敏感的简历数据也正在被兜售。信息贩子称，40元可买超过4G的简历数据，文件夹的最终修改日期在2014年至2015年之间。而这些信息均带有智联招聘或前程无忧的logo。

原出处：cnBeta