YouTube漏洞疑似洩露Gmail地址 Google接獲通知緊急修補

編譯／Cynthia

資安研究員Brutecat近期發現Google存在2個資安漏洞，可能導致YouTube頻道的Gmail地址外洩，這項發現讓資安界高度關注。研究員透過Google People API的「封鎖」功能獲取Gaia ID，再利用Pixel Recorder網頁版的分享機制解析出Gmail地址。更驚人的是，他運用Python腳本，透過250萬字元的超長檔名，讓Google的通知系統崩潰，成功隱藏操作紀錄。Google接獲回報後，起初提供3,133美元（新台幣約10.26萬元）獎勵，後來認為漏洞風險較高，將獎勵提高至7,500美元（新台幣約24.55萬元）。目前Google已修補漏洞，以防資料進一步外洩。

多起資安事件爆發

近期多起重大資安事故引發關注。勒索軟體集團「Kraken」聲稱成功入侵Cisco，並竊取包含管理員憑證與Kerberos票據系統等敏感數據。不過，Cisco表示該事件早在2022年5月發生，且已完全處理，無須過度擔憂。此外，馬斯克（Elon Musk）旗下「政府效率部門（DOGE）」推出的透明化網站也被發現存有安全漏洞，該網站採用Cloudflare Pages架設，並非政府伺服器，且API允許任何人修改內容，導致可信度受質疑。另一個是Zacks Investment Research遭駭客入侵，1,200萬筆用戶數據外洩，包含郵件、IP、地址、用戶名與SHA-256無鹽密碼雜湊（Unsalted Password Hashing）。駭客透過Active Directory管理員帳號入侵並竊取源碼，受影響用戶應立即更改密碼，以降低風險。

更多新聞：從Gmail到Word！AI雖然便利 但也正在侵犯個人隱私

FBI成功打擊加密貨幣詐騙

面對日益升級的加密貨幣詐騙問題，FBI透過「Operation Level Up」計畫成功阻止超過4,300名民眾受害，並挽回超過2.85億美元（新台幣約93.31億元）的損失。這些詐騙手法通常會利用長期建立的信任關係、虛假的投資機會，以及施加緊迫感來誘騙受害者。FBI強調，他們運用了先進的技術來識別受害者，並主動聯繫他們，提供防詐騙知識，協助降低未來的詐騙風險。資安專家提醒大眾，應提高警覺，避免隨意點擊不明連結或參與可疑的投資計畫，確保自身資金安全，免於成為詐騙的下個目標。

資料來源：The Register

※探索職場，透視薪資行情，請參考【科技類-職缺百科】幫助你找到最適合的舞台！

瀏覽 1,404 次