为了提升使用者浏览网站的体验,许多WordPress网站可能会导入外挂程式LiteSpeed Cache,但最近开发商修补的重大层级漏洞CVE-2024-28000,已有实际攻击行动出现。
由于此外挂程式全球有超过500万个网站采用,但事隔一周仍有近4成尚未修补而成为骇客下手的目标。值得留意的是,该外挂程式今年已二度遭遇大规模漏洞攻击。
【攻击与威胁】
资安业者Cado Security揭露自2023年底现身的恶意程式Cthulhu Stealer,专门锁定macOS电脑用户窃取密码、cookies或其他敏感资讯。
此窃资软体本身是苹果磁碟映像档(.DMG),开发者以Go语言打造,并以租用型式提供骇客运用,可附加于x86、Arm执行档偷渡到受害电脑。攻击者曾经声称提供磁碟清理工具CleanMyMac、游戏软体侠盗猎车手IV(Grand Theft Auto IV)、破解工具Adobe GenP的名义,散布这款窃资软体。
一旦用户下载对方提供的DMG档案并执行,此映像档会要求用户开启档案,并启动macOS命令列工具osascript,要求用户输入特定敏感资讯,包括cookies、帐号或电子钱包密码。研究人员归纳Cthulhu的窃取目标,包含Chrome与Firefox浏览器的cookies、Telegram密码、Apple Keychain、SafeStorage、Minecraft帐号,以及十多种电子钱包应用如Chrome Extension Wallet、MetaMask、XDeFI、Coinbase或Blockchain Wallet等。
荷兰资料保护主管机构(Data Protection Authority,DPA)周一(8月26日)向Uber处以2.9亿欧元罚款,原因是Uber将欧盟的计程车司机资料在未妥善保护的情况下传送至美国。
此事件源自法国人权组织Ligue des droits de l’Homme(LDH)收到逾170名当地司机投拆,LDH随后将此案上交至法国的DPA,由于Uber的欧洲总部位于荷兰,因此法国DPA向荷兰DPA告状。荷兰DPA发现,Uber搜集了欧洲司机的敏感资讯,并将它们保留在美国伺服器,包括这些司机的帐户细节与计程车执照,以及位置资料、照片、支付细节、身分文件,甚至是司机的犯罪与医疗资料。此外,Uber是在未经法律及技术框架的保护下将资料传送至美国,且时间长达2年,严重违反GDPR。
对此,荷兰DPA祭出2.9罚款,这是Uber第3次受罚,金额创下GDPR最高的纪录。
其他攻击与威胁
【漏洞与修补】