勒索软件 LockBit 运营的多家数据泄露站点由于遭到 DDoS 攻击而在上周末关闭，这些攻击的目的是要求该组织移除从 Entrust 盗取的数据。在 7 月下旬，数字安全机构 Entrust 确认在今年 6 月遭到网络攻击，攻击者从网络中窃取了部分数据。 当时消息人士告诉 BleepingComputer，这是一次勒索软件攻击，但我们无法独立确认背后的原因。上周末，LockBit 宣布对本次攻击负责，并于上周五开始公开泄漏的数据。 在描述中提供了 30 张样本截图，显示了法律文件、营销电子表格和会计数据。在他们开始泄露数据后不久，研究人员开始报告说，勒索软件团伙的 Tor 数据泄露站点由于 DDoS 攻击而无法使用。 昨天，安全研究小组 VX-Underground 从 LockBitSupp（LockBit 勒索软件运营的公众账号）处获悉，其 Tor 站点遭到了攻击，而且他们认为和 Entrust 有关联。 LockBitSupp 表示：“在数据公开和谈判开始之后这些 DDoS 攻击立即开始了，很显然这是 Entrust 的手笔，不然还有谁需要呢？此外，在攻击日志中就提到了要求移除这些数据”。 从这些 HTTPS 请求中可以看出，攻击者在浏览器用户代理字段中向 LockBit 添加了一条消息，告诉他们删除 Entrust 的数据。思科 Talos 研究员 Azim Shukuhi 在Twitter上表示，对 LockBit 服务器的 DDoS 攻击包括“每秒来自 1000 多台服务器的 400 个请求”。 作为对攻击的报复，LockBit 的数据泄露站点现在显示一条消息，警告说勒索软件团伙计划将 Entrust 的所有数据作为种子上传，这将使其几乎不可能被删除。 此外，威胁行为者与安全研究员 Soufiane Tahiri 分享了 Entrust 和勒索软件团伙之间所谓的谈判。该聊天记录表明，最初的赎金要求为 800 万美元，后来降至 680 万美元。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1307537.htm 封面来源于网络，如有侵权请联系删除

研究人员在英特尔 CPU 中发现了一个名为 ÆPIC 的新漏洞，该漏洞使攻击者能够从处理器中获取加密密钥和其他机密信息。ÆPIC 泄漏( CVE-2022-21233 ) 是第一个架构上的CPU 错误，它可能导致敏感数据泄露并影响大多数第 10 代、第 11 代和第 12 代 Intel CPU。 ÆPIC Leak 适用于基于 Ice Lake、Alder Lake 和 Ice Lake SP 的最新 Intel CPU，并且不依赖于启用的超线程。 英特尔发布的公告：“某些英特尔® 处理器中的潜在安全漏洞可能允许信息泄露。英特尔正在发布固件更新以解决此潜在漏洞。” “某些英特尔(R) 处理器中共享资源的不当隔离可能允许特权用户通过本地访问潜在启用信息泄露。” 该漏洞的发现是罗马第一大学、格拉茨科技大学、亚马逊网络服务和 CISPA 亥姆霍兹信息安全中心的研究人员进行的研究的结果。 与Meltdown 和 Spectre不同，ÆPIC Leak 是一个架构漏洞，这意味着敏感数据会在不依赖侧信道攻击的情况下被泄露。 研究人员说：“ÆPIC Leak 就像在 CPU 本身中读取的未初始化内存。访问 APIC MMIO 需要特权攻击者（管理员或 root）。因此，大多数系统都不会受到 ÆPIC 泄漏的影响。然而，依靠 SGX 保护数据免受特权攻击者的系统将面临风险，因此必须进行修补。” CVE-2022-21233问题存在于高级可编程中断控制器 ( APIC ) 中，负责接受、确定优先级并将中断分派给处理器。 “基于 Sunny Cove 微架构的英特尔 CPU 上的 I/O 地址空间扫描显示，本地高级可编程中断控制器 (APIC) 的内存映射寄存器未正确初始化。因此，从架构上读取这些寄存器会返回来自微架构的陈旧数据。由于只有特权软件才能访问 I/O 地址空间，ÆPIC Leak 的目标是英特尔的 TEE、SGX。ÆPIC Leak 可能会从运行在同一物理内核上的 SGX enclave 泄露数据。虽然 ÆPIC Leak 会在虚拟化环境中构成巨大威胁，但管理程序通常不会将本地 APIC 寄存器暴露给虚拟机，从而消除了基于云的场景中的威胁。” 专家们使用 100 个不同的随机密钥测试了 ÆPIC Leak 问题，并试图通过一次攻击来泄露 AES 密钥。结果是完整的密钥恢复平均需要 1.35 秒 （n = 100，σ = 15.70%），成功率为 94% 该漏洞使具有权限的攻击者能够在目标机器上执行特权本机代码以提取私钥，并且更糟糕的是破坏证明，这是 SGX 中用于确保代码和数据完整性的安全原语的基石。“我们展示了允许泄露内存和寄存器中的数据的攻击。我们展示了 ÆPIC Leak 如何完全打破 SGX 提供的保证，确定性地泄露 AES 密钥、RSA 私钥，并提取 SGX 密封密钥以进行远程认证。” 研究人员还提出了几种固件和软件缓解措施，以防止 ÆPIC Leak 泄露敏感数据或完全防止 ÆPIC Leak。 英特尔已经发布了固件更新以解决该漏洞。 随着研究人员展示了对影响 AMD Zen 1、Zen 2 和 Zen 3 微架构的调度程序队列的首次侧信道攻击 (CVE-2021-46778)，攻击者可能会滥用该攻击来恢复 RSA 密钥。 该攻击代号为 SQUIP（Scheduler Queue Usage via Interference Probing 的缩写），需要测量调度程序队列的争用级别，以潜在地收集敏感信息。 尚未发布任何安全更新来修补攻击线，但该芯片制造商建议 “软件开发人员采用现有的最佳实践，包括恒定时间算法并在适当的情况下避免依赖秘密的控制流。” 转自 E安全 ，原文链接：https://mp.weixin.qq.com/s/0rn40GzfZaQJo4-hkHOklA 封面来源于网络，如有侵权请联系删除

2022年8月10日，思科证实，Yanluowang勒索软件集团在今年5月下旬入侵了公司网络，攻击者试图以泄露被盗数据威胁索要赎金。 对此，思科发言人表示，攻击者只能从与受感染员工帐户相关联的 Box 文件夹中获取和窃取非敏感数据，声称公司及时采取了相应行动进行遏制。 “思科未发现此事件对我们的业务造成任何影响，包括思科产品或服务、敏感的客户数据或敏感的员工信息、知识产权或供应链运营。8 月 10 日，攻击者将此次安全事件中的文件列表发布到了暗网。但思科采取了额外措施来保护系统，并分享技术细节以帮助保护更广泛的安全社区。” Yanluowang 发给 Cisco 的邮件 用于破坏思科网络的被盗员工凭证 Yanluowang 攻击者在劫持员工的个人 Google 帐户（包含从其浏览器同步的凭据）后，使用员工被盗的凭据获得了对思科网络的访问权限。随后，攻击者多因素身份验证 (MFA) 推送说服员工接受该通知，并假冒受信任的支持组织发起了一系列复杂的语音网络钓鱼攻击。 最终，攻击者者诱骗受害者接受其中一个 MFA 通知，并在目标用户的上下文中获得了对 VPN 的访问权限。一旦他们在公司的企业网络上站稳脚跟，Yanluowang运营商随即横向扩展到思科服务器和域控制器。 在获得域管理员权限后，他们使用 ntdsutil、adfind 和 secretsdump 等枚举工具收集更多信息，并将一系列有效负载安装到受感染的系统上，其中就包括后门。 在获得初始访问权限后，攻击者进行了各种活动来维护访问权限，最大限度地减少取证，并提高他们对环境中系统的访问级别。虽然思科检测到了该攻击行为并将其驱逐出环境，但在未来的几周内，Yanluowang依旧尝试重新获得访问权限，均未成功。 黑客声称从思科窃取数据 虽然思科一再强调，Yanluowang勒索组织在攻击期间没有在其网络上部署任何勒索软件。 Talos 专家在报告中指出，“我们没有在这次攻击中观察到勒索软件的部署，但使用的 TTP 与“勒索软件前活动”一致，这是在受害者环境中部署勒索软件之前通常观察到的活动。观察到的许多 TTP 与 CTIR 在之前的交战中观察到的活动是一致的。我们的分析还建议重用与这些先前参与相关的服务器端基础设施。在之前的活动中，我们也没有观察到勒索软件在受害者环境中的部署。” 但攻击者声称已经从窃取了2.75GB数据，大约有3100个文件，其中很多文件涉及保密协议、数据转储和工程图纸。此外，攻击者还公布了一份在攻击中被盗的经过编辑的 NDA 文件，作为攻击的证据，并“暗示”他们破坏了思科的网络并泄露了文件。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341607.html 封面来源于网络，如有侵权请联系删除

据Bleeping Computer网站8月8日消息，云通讯巨头Twilio表示，有攻击者利用短信网络钓鱼攻击窃取了员工凭证，并潜入内部系统泄露了部分客户数据。 根据Twilio在上周末的公开披露，8月4日，Twilio首次注意到了这些旨在窃取员工凭证的复杂社会工程学攻击。这些攻击者冒充公司内部的IT部门人员，向公司员工发送短信，警告他们的系统密码已经过期，需要通过点击短信附带的URL进行修改。该URL带有“Twilio”、“Okta”和“SSO”等具有高仿真性的字段，受害员工一旦点击便会跳转到一个克隆的 Twilio 登录页面。 当被问及有多少员工的帐户在网络钓鱼攻击中“失陷”，以及有多少客户数据受到泄露影响时，Twilio 的 EMEA 通讯总监 Katherine James 拒绝透露相关信息。Twilio 对外表示，已经与美国的短信供应商取得联系，封闭了发送钓鱼短信的账户。 员工收到的钓鱼短信 Twilio尚未确定攻击者的身份，但已联系执法部门对攻击者展开调查。为此，Twilio已经封禁了在攻击期间遭到破坏的员工账户，以阻止攻击者访问其系统，并已开始通知受此事件影响的客户。 Twillio在 17 个国家和地区拥有26 个办事处，共计 5000 多名员工，提供可编程语音、文本、聊天、视频和电子邮件 API，被超过 1000 万开发人员和 150000 家企业用于构建客户参与平台。 Twilio还在2015年2月收购了Authy，这是一家面向终端用户、开发者和企业的流行双因素认证（2FA）供应商，在全球拥有数百万用户。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341361.html 封面来源于网络，如有侵权请联系删除

Twitter 证实，最近泄露 540 万个账户数据的数据泄露事件是由利用零日漏洞造成的。7月底，一名威胁参与者泄露了 540 万个 Twitter 账户的数据，这些账户是通过利用Twitter 平台中现已修复的漏洞获得的。 威胁行为者在流行的黑客论坛 Breached Forums 上出售被盗数据。早在一月份，Hacker 上发布的一份报告声称发现了一个漏洞，攻击者可以利用该漏洞通过相关的电话号码/电子邮件找到 Twitter 账户，即使用户已选择在隐私选项中阻止这种情况。 “该漏洞允许任何未经任何身份验证的一方 通过提交电话号码/电子邮件来获取任何用户的Twitter ID（这几乎等于获取账户的用户名），即使用户已在隐私设置中禁止此操作。由于 Twitter 的 Android 客户端中使用的授权过程，特别是在检查 Twitter 账户重复的过程中，存在该错误。”zhirinovskiy 提交的报告中指出：“通过漏洞赏金平台 HackerOne，这是一个严重的威胁，因为人们不仅可以找到限制通过电子邮件/电话号码找到能力的用户，而且任何具有脚本/编码基本知识的攻击者都可以列举出大量无法使用的 Twitter 用户群枚举之前（创建一个带有电话/电子邮件到用户名连接的数据库）。此类基地可以出售给恶意方用于广告目的，或用于在不同的恶意活动中对名人进行攻击。” 卖家声称该数据库包含从名人到公司的用户数据（即电子邮件、电话号码）。卖家还以 csv 文件的形式分享了一份数据样本。 在帖子发布几个小时后，Breach Forums 的所有者验证了泄漏的真实性，并指出它是通过上述 HackerOne 报告中的漏洞提取的。 “我们下载了样本数据库进行验证和分析。它包括来自世界各地的人，拥有公开的个人资料信息以及与该账户一起使用的 Twitter 用户的电子邮件或电话号码。” 卖家告诉 RestorePrivacy，他要求为整个数据库至少支付 30,000 美元。 现在 Twitter 确认数据泄露是由 zhirinovskiy 通过漏洞赏金平台 HackerOne 提交的现已修补的零日漏洞造成的。 Twitter 确认了此漏洞的存在，并授予了 zhirinovskiy 5,040美元的奖金。 “我们想让你知道一个漏洞，该漏洞允许某人在登录流程中输入电话号码或电子邮件地址，以试图了解该信息是否与现有的 Twitter 账户相关联，如果是，哪个特定账户。” Twitter 的公告。“在 2022 年 1 月，我们通过我们的漏洞赏金计划收到了一份漏洞报告，该漏洞允许某人识别与账户关联的电子邮件或电话号码，或者，如果他们知道某人的电子邮件或电话号码，他们可以识别他们的 Twitter 账户，如果存在的话，”这家社交媒体公司继续说道。 “这个错误是由 2021 年 6 月我们的代码更新造成的。当我们了解到这一点时，我们立即进行了调查并修复了它。当时，我们没有证据表明有人利用了这个漏洞。” 该公司正在通知受影响的用户，它还补充说，它知道安全漏洞对那些使用假名 Twitter 账户以保护其隐私的用户造成的风险。没有泄露密码，但鼓励其用户 使用身份验证应用程序或硬件安全密钥启用 2 因素身份 验证，以保护其账户免受未经授权的登录。 BleepingComputer报告说，两个不同的威胁参与者以低于原始售价的价格购买了这些数据。这意味着威胁行为者将来可以使用这些数据来攻击 Twitter 账户。 转自 E安全 ，原文链接：https://mp.weixin.qq.com/s/G9mHzpFpEcbLzwDb1KpuMg 封面来源于网络，如有侵权请联系删除

一个包含印度养老基金持有人全名、银行账户号码等信息的巨大数据缓存已在网上浮出水面。安全研究员Bob Diachenko发现两个独立的IP地址存储了超过2.88亿条记录–其中一个IP地址下有约2.8亿条记录，约840万条是第二个IP地址的一部分。该研究人员说，这两个IP地址都公开向互联网暴露数据，但没有密码保护。 这些记录是名为”UAN”的集群指数的一部分，这显然是指该国国有雇员公积金组织（EPFO）分配给养老基金持有人的通用账户号码。 Diachenko表示:”据我所知，数据库中的信息可能被用来拼凑出一个印度公民的完整档案，使他们成为网络钓鱼或诈骗攻击的目标。” 每条记录都包括详细的个人信息，包括他们的婚姻状况、性别和出生日期。还有一些细节主要与他们的养老基金账户有关，包括UAN、银行账户号码和就业状况。 除了泄露持有养老基金账户的个人身份信息（PII）外，这些记录还暴露了其办理人的详细信息。这些信息包括他们的全名和与账户持有人的关系。 Diachenko本周早些时候发现了泄露敏感数据的IP地址。他在Twitter上发布了一张截图，显示了周三暴露个人信息的数据字段，同时提醒了印度计算机应急响应小组（CERT-In）。在发布他的推文后不到一天，这两个有问题的IP地址已经无法访问。 但Diachenko说，目前还不清楚谁应该对网上出现的曝光数据负责。目前也不清楚除了他之外，是否还有其他人也发现了这些曝光的数据。 印度养老金的IT系统出现安全问题已经不是第一次，2018年，印度中央公积金专员通知技术支持部门，黑客能够从EPFO网站的Aadhaar播种门户窃取数据。这一事件使约2700万养老基金成员的信息处于危险之中。然而，该养老基金机构后来在记录上声称，其方面没有数据泄漏，但没有提供证据。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1300399.htm 封面来源于网络，如有侵权请联系删除

书签同步已经成为浏览器的一个标准功能，能帮助用户在某一设备上对书签进行改动时，也能同步到其他设备上。然而，研究发现，这种操作也给网络犯罪分子提供了一个便捷的攻击途径。 SANS技术研究所的学术研究人员大卫·普雷弗（David Prefer）的这一发现，是对攻击者如何滥用浏览器功能，从被破坏的环境中偷取数据并执行其他恶意功能研究的一部分。总的来说，书签可以被滥用来从企业环境中吸走大量被盗数据，或者在几乎不会被发现的情况下从中部署攻击工具和恶意有效载荷。 在最近的一篇技术论文中，普雷弗将这一过程描述为 “bruggling”——浏览器和偷渡的谐音。这是一个新颖的数据渗出载体，他用一个名为 “Brugglemark “的概念验证（PoC）PowerShell脚本进行了演示。 泄露原理 如果攻击者已经渗透进系统环境中，他们可以从受害用户那里窃取浏览器的同步凭证，或自行创建浏览器配置文件，并在另一设备系统中访问这些书签。攻击者可以使用同样的技术将恶意的有效载荷和攻击工具偷偷带入一个系统环境。 在实操层面，普雷弗举例，即攻击者可能已经破坏了一个企业环境并访问了敏感文件。为了通过书签同步来渗出数据，攻击者首先需要把数据放到可以存储为书签的形式中。要做到这一点，攻击者可以简单地将数据编码为base64格式，然后将文本分成独立的小块，并将每个小块保存为单独的书签。 普雷弗通过反复试验发现，如今的浏览器允许将大量字符存储为单个书签，实际数量因浏览器不同而存在差异，例如，在使用Brave浏览器时，普雷弗发现他只需使用两个书签就可以很快同步整个《勇敢的新世界》（Brave New World ）一书，而用Chrome浏览器做同样的事情需要59个书签。普雷弗在测试中还发现，浏览器配置文件可以一次同步多达20万个书签。 将文本保存为书签并同步后，攻击者需要做的就是从另一台设备登录浏览器，访问、重新组合这些书签并将其从 base64 解码回原始文本。 普雷弗表示，在同步过程中没有利用任何漏洞，主要集中在如何通过书签同步这一实用功能进行恶意滥用。 普雷弗的研究主要集中在浏览器市场份额的领导者 Chrome 上，而如 Edge、Brave 和 Opera等其他浏览器，它们和 Chrome 都基于同一个开源 Chromium 项目。但他指出，Bruggling 也可能同样适用于 Firefox 和 Safari 等浏览器。 SANS研究所的研究院长约翰内斯·乌尔里奇（Johannes Ullrich）认为，通过书签同步的数据渗出给了攻击者一种绕过大多数基于主机和网络的检测工具的方法。对大多数检测工具来说，这些流量会显示为谷歌或任何其他浏览器的正常同步流量。 值得注意的是，书签同步可能不是唯一一个能被滥用的功能，普雷弗表示，自动填充、扩展、浏览器历史记录、存储的密码、首选项和主题等都可以同步并进行滥用，但这些还有待进一步的研究。 防范建议 普雷弗建议，企业组织可以通过使用组策略禁用书签同步来降低数据泄露的风险。另一种选择是限制通过登录进行同步的电子邮箱数量，攻击者将无法使用自己的帐户进行同步。此外，浏览器厂商可通过基于帐户年龄或从新地理位置登录等因素动态限制书签同步。类似地，还可以阻止包含 base64 编码的书签以及具有过多名称和 URL 的书签。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340801.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 研究人员发现了一份3207个应用程序的列表，其中一些应用程序可以用来获取未经授权的Twitter帐户访问权限。 研究人员说：“在3207个应用程序中，有230个应用程序泄漏了所有四个身份验证凭据，可用于完全接管其Twitter帐户，并执行任何关键/敏感操作。” 从阅读直接消息到执行任意操作，如转发、点赞和删除推文，关注任何帐户，删除关注者，访问帐户设置，甚至更改帐户头像。 访问Twitter API需要生成密钥和访问令牌，这些密钥和令牌充当应用程序的用户名和密码，并代表发出API请求的用户。 因此，拥有这些信息的黑客可以创建一个Twitter机器人军队，该军队可能被用来在社交媒体平台上传播错误/虚假信息。 此外，在CloudSEK解释的一个假设场景中，从移动应用程序中获取的API密钥和令牌可以嵌入到一个程序中，通过验证帐户运行大规模恶意软件活动，以锁定其追随者。 除此之外，应该注意的是，密钥泄漏不仅仅限于Twitter API。过去，CloudSEK研究人员已经从未受保护的移动应用程序中发现了GitHub、AWS、HubSpot和Razorpay帐户的密钥。 为了缓解此类攻击，建议查看代码中是否有直接硬编码的API密钥，同时定期轮换密钥，以降低泄漏可能带来的风险。 研究人员说：“环境中的变量是引用和隐藏密钥的另一种方法，而不是将它们嵌入源文件。变量可以节省时间并提高安全性，应充分注意确保源代码中不包含环境变量的文件。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

近期，IBM发布了最新的数据泄露成本报告，据报告称，目前全球数据泄露的平均成本为435万美元，过去两年数据泄露成本增加了近13%，创下历史新高。数据泄露成本报告是IBM的年度重磅事项，至今已经是该报告发布的第17年。今年的数据泄露成本报告是根据2021年3月至2022年3月期间对17个国家/地区的550家企业的调研编制而成的。 与去年报告相比，今年的整体数据有2.6%的增长，同时，据IBM称，消费者也正因数据泄露事件而遭受不成比例的痛苦。60%的违规企业在遭受数据泄露事件后反而提高了其产品价格，约等于变相加剧了全球通胀的速度。 网络钓鱼成为代价最高的数据泄露原因，受害企业的平均成本为490万美元，而凭据泄露是最常见的原因(19%)。连续第12年，医疗行业都是数据泄露成本最高的行业，而且还在快速增长中。2022年医疗行业的平均违规成本增加了近100万美元，达到创纪录的1010万美元。在众多国家中，美国仍然是数据泄露事件里损失最昂贵的国家，平均违规成本达到了940万美元。 据调研，将近80%的关键基础设施企业都没有采用零信任策略，这使得他们的违规成本比其他人增加了近 120 万美元，平均数据泄露成本上升到540万美元，与采用零信任策略的组织相比增加了117万美元。未实施零信任方案的组织所发生的数据泄露事件中，28%与勒索软件或破坏性攻击有关。 如果企业受到勒索软件的影响，他们也会向敲诈者付款。确实发现平均违规成本仅减少了 610,000 美元。当包括赎金本身时，违规成本可能会高得多。没有支付赎金的赎金攻击的平均成本为 450 万美元。 据报告研究，在有记录的数据泄露事件里，近一半的 (45%) 事件发生在云上，那些尚未制定安全策略或处于制定安全策略的早期阶段的企业比拥有成熟云安全态势的人平均要多支付660,000美元。 数据泄露似乎是不可避免的：83% 的研究企业表示他们遭受了不止一次数据泄露事件。但是，随着技术的升级，企业对网络攻击的检测和响应也越来越快了。其中识别和遏制数据泄露的平均时间从 2021年的287天下降到2022年的277天，整体数据下降了3.5%。其中运行XDR工具的企业在检测和响应的时间整体上又要比其他企业快29天。 报告指出，最大的成本节省是安全人工智能和自动化技术的使用——运行这些技术的企业平均减少了300万美元的数据泄露成本。IBM Security X-Force 全球负责人查尔斯·亨德森 (Charles Henderson) 表示：“企业需要将安全防御置于进攻端并击败攻击者。现在是阻止对手实现其目标并开始将攻击影响降至最低的时候了。越来越多的企业试图完善自己的边界，而不是在检测和反应方面加强，所以数据泄露事件就会导致其成本增加。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340388.html 封面来源于网络，如有侵权请联系删除

一家允许用户购买“mRNA FREE”精子的反疫苗约会网站出现了用户数据泄露事件。该网站名为 Unjected，成立于 2021 年 5 月，声称是互联网上“最大的反疫苗平台”。去年 8 月，该应用违反了苹果关于 COVID-19 的相关策略而遭下架，从而受到了外界的关注。   尽管这款应用在界面上比较接近于 Twitter，但通常认为是“反疫苗者的 Tinder”。Unjected 随后一直受到某些人的关注，后续也增加了一些新的功能。 该网站提供了一项名为“mRNA FREE 血液匹配和生育目录”的功能，那些不愿意接受疫苗的用户可以向其他人贡献血液、精子或者卵子。尽管关于血液的一部分广告看起来是合理的，但是该应用还提供了未接受过疫苗的精子。该网站的生育区域允许用户提供自己的卵子、母乳和精子。 网名为 GeopJr 的程序员和安全专家发现，任意用户都可以访问该网站的管理员面板。在访问之后该面板可以添加、编辑和停用页面，例如网站的“About Us”页面和各种用户账户。 这是因为 GeopJr 发现 Unjected 的网络应用框架目前正处于 Debug 模式，允许用户了解患者的信息。国外科技媒体 Daily Dot 在该平台设置了一个测试账号，然后 GeopJr 成功更改了该账号的私有电子邮件以及头像。GeopJr 甚至还可以编辑 Daily Dot 发布的帖子并更改措辞。 网站的备份也可以进行下载或者删除。GeopJr 还能绕过每月 15 美元费用进行订阅，回复和删除帮助中心的帖子和相关报道。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1296781.htm 封面来源于网络，如有侵权请联系删除