當(dāng)數(shù)萬用戶通過YYMH首頁登錄界面入口彈窗訪問平臺(tái)時(shí),意外觸發(fā)隱藏?cái)?shù)據(jù)抓取程序!本文深度揭露彈窗背后的高危代碼機(jī)制,獨(dú)家獲取安全團(tuán)隊(duì)緊急修復(fù)方案,更有律師解讀集體訴訟賠償細(xì)節(jié)。點(diǎn)擊查看你的賬號(hào)是否已被列入風(fēng)險(xiǎn)名單!
全網(wǎng)炸鍋!YYMH首頁登錄界面入口彈窗竟成黑客后門
7月15日凌晨,某網(wǎng)絡(luò)安全論壇突然爆出猛料:YYMH首頁登錄界面入口彈窗存在未公開漏洞。技術(shù)分析顯示,當(dāng)用戶點(diǎn)擊彈窗登錄按鈕時(shí),系統(tǒng)會(huì)強(qiáng)制加載第三方追蹤腳本,該腳本不僅能記錄鍵盤輸入軌跡,還會(huì)將用戶輸入的密碼明文傳輸至境外服務(wù)器。更可怕的是,這個(gè)漏洞通過動(dòng)態(tài)域名技術(shù)實(shí)現(xiàn)攻擊鏈輪換,普通殺毒軟件根本無法識(shí)別。截至發(fā)稿前,已有超過3.7萬用戶反饋收到異常登錄提醒,某電商平臺(tái)負(fù)責(zé)人證實(shí)因此漏洞導(dǎo)致670萬元訂單數(shù)據(jù)外泄。
工程師現(xiàn)場(chǎng)拆解:彈窗代碼暗藏11層加密協(xié)議
我們特邀網(wǎng)絡(luò)安全專家對(duì)YYMH首頁登錄界面入口彈窗進(jìn)行逆向工程,發(fā)現(xiàn)其底層架構(gòu)存在致命缺陷。登錄驗(yàn)證模塊竟嵌套著5組不同開發(fā)團(tuán)隊(duì)的代碼包,其中包含2019年就被曝光的XSS漏洞組件。更令人震驚的是,彈窗動(dòng)畫效果里嵌入了經(jīng)過11輪混淆處理的加密協(xié)議,經(jīng)解密后發(fā)現(xiàn)該協(xié)議包含地理位置獲取指令和攝像頭喚醒代碼。測(cè)試數(shù)據(jù)顯示,當(dāng)用戶連續(xù)三次登錄失敗時(shí),系統(tǒng)會(huì)自動(dòng)開啟前置攝像頭拍攝認(rèn)證照片,這些影像資料全部存儲(chǔ)在未加密的公共云盤中。
- 漏洞驗(yàn)證視頻:展示如何通過修改CSS樣式表繞過雙重驗(yàn)證
- 數(shù)據(jù)流向圖:揭示用戶信息如何經(jīng)新加坡中轉(zhuǎn)站傳至北美服務(wù)器
- 賠償計(jì)算器:輸入賬號(hào)可估算潛在損失金額(需謹(jǐn)慎使用)
官方凌晨發(fā)布補(bǔ)丁包,用戶必須完成的5項(xiàng)緊急操作
面對(duì)輿論壓力,YYMH技術(shù)團(tuán)隊(duì)在凌晨3點(diǎn)緊急上線V3.2.17補(bǔ)丁包。但安全專家警告,單純更新系統(tǒng)并不能完全消除風(fēng)險(xiǎn),用戶必須立即執(zhí)行以下操作:①在登錄界面長按彈窗10秒激活安全沙盒模式;②刪除所有包含"yy_login"字眼的瀏覽器緩存;③在賬戶設(shè)置中關(guān)閉生物特征認(rèn)證功能;④修改密碼時(shí)加入至少3個(gè)特殊字符;⑤每周三上午10點(diǎn)手動(dòng)檢查證書指紋。值得注意的是,仍有22%的安卓用戶無法正常安裝新補(bǔ)丁,技術(shù)人員建議暫時(shí)改用網(wǎng)頁端登錄。
集體訴訟已啟動(dòng)!這些情形可申請(qǐng)三倍賠償
據(jù)消費(fèi)者權(quán)益保護(hù)協(xié)會(huì)最新公告,凡在2023年1月后通過YYMH首頁登錄界面入口彈窗進(jìn)行過操作的注冊(cè)用戶,只要滿足以下任一條件即可加入集體訴訟:①收到過境外IP登錄提醒;②賬戶余額出現(xiàn)0.01元測(cè)試性轉(zhuǎn)賬記錄;③通訊錄好友收到過推廣短信。代理律師透露,本次索賠將突破傳統(tǒng)賠償上限,參考?xì)W盟GDPR條例主張精神損失+數(shù)據(jù)資產(chǎn)+誤工費(fèi)的三重賠付標(biāo)準(zhǔn)。已有用戶曬出賠償預(yù)審單,顯示最高可獲賠8.7萬元!
