易盾業務風控週報每週報道值得關注的安全技術和事件,包括但不限於內容安全、移動安全、業務安全和網絡安全,幫助企業提高警惕,規避這些似大實小、影響業務健康發展的安全風險。
1、傳暗網出售180萬蘇寧會員數據
6月18日晚7點,南方都市報報道,有網友在暗網發帖出售蘇寧會員數據,數據涉及180萬蘇寧用戶,售價100美元,包含手機號、密碼、姓名、×××號等信息。針對以上事件,蘇寧表示,經對網曝示例數據進行覈查,並非蘇寧用戶數據。其還表示,不管是買賣個人信息還是編造謠言損害蘇寧聲譽均已觸犯法律乃至構成犯罪。
2、以色列公司宣稱可從任何iOS設備上提取數據
據外媒報道,以色列移動設備取證公司Cellebrite宣稱可以解鎖任何iOS設備,包括運行最新移動操作系統iOS 12.3的設備。在安卓設備上,該公司表示,三星的所有旗艦設備都可以執行類似操作,還可以提取未分配的數據,甚至收集有關已刪除項目的信息。
3、京東金融、智聯招聘等24款APP被曝超限索權
6月10日至17日,新京報記者依照《信息規範》中的分類選取了50款常用APP,對其索取的權限以及收集信息的範圍進行實測,發現若嚴格按照《信息規範》中劃定的信息收集範圍,這50個APP中有24個APP索取的權限超出範圍,如智聯招聘索取了相機、位置、通訊錄權限,百合婚戀收集了通訊錄權限。
4、Linux曝出TCP拒絕服務漏洞
Netflix 工程師在 Linux 和 FreeBSD 內核中發現了多個 TCP 網絡漏洞。漏洞與最小分段大小(MSS)和TCP Selective Acknowledgement(SACK)有關,其中最嚴重的漏洞綽號爲 SACK Panic,允許遠程對Linux 內核觸發內核崩潰。
5、CBP分包商出現重大數據泄露事件
援引美國有線電視新聞網(CNN)報道,美國海關和邊境保護局(CBP)所僱傭的分包商Perceptics出現重大數據泄露事件,在對已經泄露的數據分析後發現至少有5萬條美國車牌號碼數據在暗網上被銷售。更爲重要的是,CBP向CNN透露從未向該公司授權保留這些車主信息。
6、工信部《網絡安全漏洞管理規定(徵求意見稿)》
爲貫徹落實《×××網絡安全法》,加強網絡安全漏洞管理,工業和信息化部會同有關部門起草了《網絡安全漏洞管理規定(徵求意見稿)》(見附件),擬以規範性文件形式印發,現面向社會公開徵求意見。
7、微信安全團隊:用外掛,就處罰
6 月 18 日,微信安全中心發佈公告稱,對於明確使用外掛功能的帳號,一經確認,微信安全團隊將做出限制功能直至限制登錄等處罰;對於多次違規者,將根據梯度處理原則加重處罰。(雷鋒網)
8、2019年5月|我國DDoS***資源月度分析報告
根據CNCERT抽樣監測數據,2019年5月,利用肉雞發起DDoS***的控制端有257個,其中,37個控制端位於我國境內,220個控制端位於境外。位於境外的控制端按國家或地區分佈,美國佔的比例最大,佔45.9%,其次是加拿大和中國香港!
9、感染型病毒通過淘寶店傳播,竊取用戶上網信息
近日,有用戶求助,稱在淘寶一家名爲“CF遊戲單機社”網店購買遊戲後,下載運行時,導致電腦感染病毒。據瞭解,該店鋪出售的帶毒遊戲爲“穿越火線(CF)”單機版,原本爲網絡遊戲,被人爲破解改編成單機遊戲,並放在淘寶售賣。
根據工程師分析,由於破解該遊戲的環境被感染病毒,最終導致整個遊戲壓縮包攜帶病毒,並通過用戶購買安裝不斷感染和傳播。更爲嚴重的是,該店鋪中其它遊戲也極有可能感染該病毒。(cnBeta)
10、南京提議將褻瀆英烈列爲嚴重失信行爲
南京市信用辦公佈了《南京市社會信用條例(草案)》(doc),公開徵求意見,意見截至日期 7 月 17日。第三十四條規定將褻瀆英烈,損害國家和民族尊嚴、傷害人民感情的行爲列爲嚴重失信行爲。(科技行者)
11、谷歌考慮將所有兒童視頻遷移至YouTube Kids應用
援引彭博社報道,美國聯邦交易委員會(FTC)正在調查谷歌旗下YouTube是否違反了對兒童收集數據和打廣告的規定。具體包括是否非法收集未成年人信息以及在沒有家長允許的情況下透露給其他人。YouTube已經因爲兒童內容飽受爭議。該公司聘請了專門的員工來觀看和審查兒童視頻,移除有害內容,並推出了一款兒童款應用,更加安全。
12、偷拍產業鏈曝光:你的私生活,可能正被幾萬人圍觀
你或許從沒想到過,當自己在外出差、旅遊時入住的酒店,其實是一個現場直播的演播廳。而主角,就是你自己。你在房間內的一舉一動,都被一個小小的攝像頭盡收眼底。從製造出售偷拍設備,到收集視頻,再銷售傳播,這中間其實藏着的是不僅僅是一個隱蔽攝像頭,而是一條完整的偷拍黑色利益鏈。
偷拍者拿到×××後,只用在網上轉手一賣,就可以從中獲利。被抓獲的偷拍者透露,每個攝像頭可共享給 100 人觀看,並且有現場直播、回放和下載觀看等功能。偷拍者將每個觀看賬號以每月 100-300 元不等的價格出售給代理,代理再以 200-400 元不等的價格出售給下級代理或網民。個別代理還將隱蔽攝像頭回傳的視頻下載後,存儲在網盤中,通過微信、QQ 以 20-60 元不等的價格出售網盤賬號。(科技行者)