當(dāng)數(shù)萬(wàn)用戶(hù)通過(guò)YYMH首頁(yè)登錄界面入口彈窗訪(fǎng)問(wèn)平臺(tái)時(shí),意外觸發(fā)隱藏?cái)?shù)據(jù)抓取程序!本文深度揭露彈窗背后的高危代碼機(jī)制,獨(dú)家獲取安全團(tuán)隊(duì)緊急修復(fù)方案,更有律師解讀集體訴訟賠償細(xì)節(jié)。點(diǎn)擊查看你的賬號(hào)是否已被列入風(fēng)險(xiǎn)名單!
全網(wǎng)炸鍋!YYMH首頁(yè)登錄界面入口彈窗竟成黑客后門(mén)
7月15日凌晨,某網(wǎng)絡(luò)安全論壇突然爆出猛料:YYMH首頁(yè)登錄界面入口彈窗存在未公開(kāi)漏洞。技術(shù)分析顯示,當(dāng)用戶(hù)點(diǎn)擊彈窗登錄按鈕時(shí),系統(tǒng)會(huì)強(qiáng)制加載第三方追蹤腳本,該腳本不僅能記錄鍵盤(pán)輸入軌跡,還會(huì)將用戶(hù)輸入的密碼明文傳輸至境外服務(wù)器。更可怕的是,這個(gè)漏洞通過(guò)動(dòng)態(tài)域名技術(shù)實(shí)現(xiàn)攻擊鏈輪換,普通殺毒軟件根本無(wú)法識(shí)別。截至發(fā)稿前,已有超過(guò)3.7萬(wàn)用戶(hù)反饋收到異常登錄提醒,某電商平臺(tái)負(fù)責(zé)人證實(shí)因此漏洞導(dǎo)致670萬(wàn)元訂單數(shù)據(jù)外泄。
工程師現(xiàn)場(chǎng)拆解:彈窗代碼暗藏11層加密協(xié)議
我們特邀網(wǎng)絡(luò)安全專(zhuān)家對(duì)YYMH首頁(yè)登錄界面入口彈窗進(jìn)行逆向工程,發(fā)現(xiàn)其底層架構(gòu)存在致命缺陷。登錄驗(yàn)證模塊竟嵌套著5組不同開(kāi)發(fā)團(tuán)隊(duì)的代碼包,其中包含2019年就被曝光的XSS漏洞組件。更令人震驚的是,彈窗動(dòng)畫(huà)效果里嵌入了經(jīng)過(guò)11輪混淆處理的加密協(xié)議,經(jīng)解密后發(fā)現(xiàn)該協(xié)議包含地理位置獲取指令和攝像頭喚醒代碼。測(cè)試數(shù)據(jù)顯示,當(dāng)用戶(hù)連續(xù)三次登錄失敗時(shí),系統(tǒng)會(huì)自動(dòng)開(kāi)啟前置攝像頭拍攝認(rèn)證照片,這些影像資料全部存儲(chǔ)在未加密的公共云盤(pán)中。
- 漏洞驗(yàn)證視頻:展示如何通過(guò)修改CSS樣式表繞過(guò)雙重驗(yàn)證
- 數(shù)據(jù)流向圖:揭示用戶(hù)信息如何經(jīng)新加坡中轉(zhuǎn)站傳至北美服務(wù)器
- 賠償計(jì)算器:輸入賬號(hào)可估算潛在損失金額(需謹(jǐn)慎使用)
官方凌晨發(fā)布補(bǔ)丁包,用戶(hù)必須完成的5項(xiàng)緊急操作
面對(duì)輿論壓力,YYMH技術(shù)團(tuán)隊(duì)在凌晨3點(diǎn)緊急上線(xiàn)V3.2.17補(bǔ)丁包。但安全專(zhuān)家警告,單純更新系統(tǒng)并不能完全消除風(fēng)險(xiǎn),用戶(hù)必須立即執(zhí)行以下操作:①在登錄界面長(zhǎng)按彈窗10秒激活安全沙盒模式;②刪除所有包含"yy_login"字眼的瀏覽器緩存;③在賬戶(hù)設(shè)置中關(guān)閉生物特征認(rèn)證功能;④修改密碼時(shí)加入至少3個(gè)特殊字符;⑤每周三上午10點(diǎn)手動(dòng)檢查證書(shū)指紋。值得注意的是,仍有22%的安卓用戶(hù)無(wú)法正常安裝新補(bǔ)丁,技術(shù)人員建議暫時(shí)改用網(wǎng)頁(yè)端登錄。
集體訴訟已啟動(dòng)!這些情形可申請(qǐng)三倍賠償
據(jù)消費(fèi)者權(quán)益保護(hù)協(xié)會(huì)最新公告,凡在2023年1月后通過(guò)YYMH首頁(yè)登錄界面入口彈窗進(jìn)行過(guò)操作的注冊(cè)用戶(hù),只要滿(mǎn)足以下任一條件即可加入集體訴訟:①收到過(guò)境外IP登錄提醒;②賬戶(hù)余額出現(xiàn)0.01元測(cè)試性轉(zhuǎn)賬記錄;③通訊錄好友收到過(guò)推廣短信。代理律師透露,本次索賠將突破傳統(tǒng)賠償上限,參考?xì)W盟GDPR條例主張精神損失+數(shù)據(jù)資產(chǎn)+誤工費(fèi)的三重賠付標(biāo)準(zhǔn)。已有用戶(hù)曬出賠償預(yù)審單,顯示最高可獲賠8.7萬(wàn)元!
