安全周报（04.12-04.18）

1、微信被曝高危0day漏洞，建议立即更新

假期配手机，越玩越开心，很多孩子放假，就喜欢玩手机，父母们为了图方便，直接把手机给孩子，连带着一些密码也告诉孩子。这却给了诈骗分子可乘之机！

近日，南通市9岁女孩妮妮（化名）在用妈妈手机玩游戏时，收到一条“你要游戏皮肤吗”的消息。出于好奇，妮妮点开了消息。

诈骗分子和她介绍这个皮肤本来要几千块钱，现在只要一千八百块。妮妮心动了，在用妈妈的微信加入了对方提供的微信群后，几分钟内就发出了9个200元的微信红包，随后，妮妮被踢出了群聊。就这样，因为懵懂无知，妮妮落入了诈骗分子精心设计的圈套。

害怕被责骂的妮妮思考再三，最终还是将事情的原委告诉了家长，家长这才反应过来，连忙带着女儿来到派出所报警。

无独有偶，16岁的小文（化名）在网上被陌生人邀请做刷单返利任务，在对方诱导下向对方支付宝转账7次，共计被骗1.7万余元。

近期，各类网络诈骗多瞄中未成年人下手，家长要加强风险教育，树立孩子正确的经济价值观。此外，家长要做好自身手机支付的安全措施，不要轻易告知孩子手机支付密码、银行支付密码等重要信息。

据知名网络安全新闻网站KrebsOnSecurity报道，有人正在网络犯罪论坛上出售在北美颇受欢迎的移动停车应用ParkMobile的2100万客户的账户信息。被盗数据包括客户的电子邮件地址、出生日期、电话号码、车牌号、哈希密码和邮寄地址。

KrebsOnSecurity首次从纽约市的威胁情报公司Gemini Advisory那里听说了这一漏洞，该公司密切关注网络犯罪论坛。Gemini在一个俄语犯罪论坛上分享了一个新的销售线索，在附带的被盗数据截图中包含了一些用户的ParkMobile账户信息、电子邮件地址和电话号码，以及车辆的车牌号。

当被问及销售线索时，总部位于亚特兰大的ParkMobile表示，该公司在3月26日发布了一则通知，内容是 "发生了一起网络安全事件，与我们使用的一款第三方软件的漏洞有关"。

Group-IB的研究人员在4月8日发表博客，Swarmshop信用卡商店的用户数据（个人信息和支付记录）于3月17日在网上泄露，并被发布在了另一个地下暗网论坛上，其中包含12344条信用卡商店管理员、卖家和买家的记录。

此次泄露的数据还包括目标用户的昵称、哈希密码、联系方式、活动历史和当前余额等等。该数据库还公开了网站上交易的所有泄露数据：其中包括美国、加拿大、英国、中国、新加坡、法国、巴西、沙特阿拉伯和墨西哥的银行发行的623036张银行卡记录。除此之外，还有498份网上银行凭证和69592份美国社会保障号码和加拿大社会保险号码。

虽然，导致此次数据泄露事件的漏洞来源尚不清楚，但研究人员认为，根据曝光的数据记录显示，有两名信用卡商店的用户曾试图注入恶意脚本，并搜索网站联系人信息功能中的安全漏洞。