【CMS Strapi：攻击者可利用漏洞接管Admin帐户等权限】

【CMS Strapi：攻击者可利用漏洞接管Admin帐户等权限】 4月23日消息，慢雾研究员 IM_23pds 发推表示，开源无头 CMS Strapi 发布安全提醒，攻击者可以利用已知漏洞接管 Admin 账户或 RCE 接管服务器权限。虚拟货币行业有大量项目方使用此产品，请立即升级。

CNN：在拼多多被发现恶意利用漏洞后解散了挖掘漏洞的团队 但拼多多在中国屹立不倒

CNN：在拼多多被发现恶意利用漏洞后解散了挖掘漏洞的团队 但拼多多在中国屹立不倒 据拼多多现任员工称，2020 年，该公司成立了一个由约 100 名工程师和产品经理组成的团队，负责挖掘 Android 手机中的漏洞，开发利用这些漏洞的方法并将其转化为利润。 据因害怕遭到报复而要求匿名的消息人士称，该公司最初只针对农村地区和小城镇的用户，而避开了北京和上海等特大城市的用户。 “目标是降低暴露的风险，”他们说。 消息人士称，通过收集有关用户活动的大量数据，该公司能够全面了解用户的习惯、兴趣和偏好。 他们说，这使其能够改进其机器学习模型，以提供更加个性化的推送通知和广告，吸引用户打开应用程序并下订单。 消息人士补充说，在有关他们活动的问题曝光后，该团队于 3 月初解散。 Toshin 将拼多多描述为主流应用程序中发现的“最危险的恶意软件”。“我以前从未见过这样的事情。”他说。 据 CNN 采访的两位专家称，不久之后，3 月 5 日，拼多多发布了其应用程序的新更新版本 6.50.0，删除了这些漏洞。 据拼多多消息人士透露，更新两天后，拼多多解散了开发漏洞的工程师和产品经理团队。 第二天，团队成员发现自己被锁定在拼多多定制的工作场所通讯应用程序 Knock 之外，并且无法访问公司内部网络上的文件。消息人士称，工程师们还发现他们对大数据、数据表和日志系统的访问权限被撤销。 团队中的大部分人都被转移到 Temu 工作。据消息人士称，他们被分配到子公司的不同部门，其中一些负责营销或开发推送通知。 研究更新的 Oversecured 的 Toshin 表示，尽管漏洞已被删除，但底层代码仍然存在，可以重新激活以进行攻击。 在中国政府从 2020 年底开始对大型科技公司进行监管打压的背景下，拼多多扩大了其用户群。 “这会让工业和信息化部感到尴尬，因为这是他们的工作，”咨询公司 Trivium China 的技术政策专家 Kendra Schaefer 说。“他们应该检查拼多多，而他们没有发现（任何东西）的事实让监管机构感到尴尬。” 该部定期发布名单，以点名和羞辱被发现破坏了用户隐私或其他权利的应用程序。 拼多多没有出现在任何一个名单上。

窃取用户隐私的拼多多，拿到了黑客奥斯卡提名

窃取用户隐私的拼多多，拿到了黑客奥斯卡提名 近日，素有“全球白帽黑客奥斯卡”之称的网络安全奖项Pwnie Awards揭榜了2023年度的各大奖项提名。在今年的奖项提名中，有Best Desktop Bug、Best Mobile Bug、Most Innovative Research、Lamest Vendor等30项通过筛选获得提名，其中“Lamest Vendor”中文译为“最差厂商奖”，也是每一年Pwnie Awards最受关注的一个奖项。 “最差厂商奖”旨在颁发给行业内那些面对安全事件、安全问题掩耳盗铃混淆是非，或闹出大乌龙的公司。2023年度Pwnie Awards的“最差厂商奖”提名花落“拼多多”，被提名的理由是：“拼多多因在自己App中植入无可辩驳的后门来窃听用户而被Google踢出安卓应用市场。在被包括在内的多家媒体和安全公司曝光后，拼多多不仅拒不承认，还反而指责Google的处罚，但却私下迅速将恶意代码悄悄删除并解散了木马团队。”该颁奖仪式将在 8 月 9 日举行，拼多多最终能否拿到“最差厂商奖”，我们也拭目以待。 事实上，2023年3月，拼多多APP因安全问题被Google Play下架的新闻曾被CNN等国外媒体报道，Twitter上也有大量讨论，但是在国内却鲜有报道。 此外，前不久《财经》公众号发布了一篇文章《4年超2000款App因侵犯个人信息违规，有一家公司从未被点名》，这篇文章对2019年以来工信部通报批评过的APP做了统计，发现“四年来，阿里巴巴、字节跳动、腾讯、百度、京东、美团、网易、快手等头部互联网公司均有产品被点名。主要的互联网平台公司中，仅有拼多多从未被点名通报。” 这也引发了业界广泛热议。为何在国外被证明存在“后门”，被Google Play下架，又被媒体报道的拼多多在国内却拥有“金刚不坏之身”呢？ 磐石之心（原文已被删除）