国内外简报industry briefing

2019年第42周国内外信息安全简报

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1. 大麻信息平台Leafly遭受数据泄露

Leafly,全球领先的大麻资源平台,在9月30日,被发现其客户信息泄露。泄露的记录包括用户的电子邮件地址,用户名和加密密码,而部分用户的姓名,年龄,性别,位置和手机号码也被泄露。(详情链接

2. 黑客破坏了意大利和荷兰的在线陪同论坛,并出售用户数据

一名名叫InstaKilla的保加利亚黑客入侵了两个在线陪同论坛,并在一个黑客论坛上窃取了用户信息用于出售。这些网站主要供意大利和荷兰的性工作者及其客户使用,而泄露的用户信息包括了用户名、ip地址等。(详情链接

3. 研究显示智能电视是数据收集机器

普林斯顿大学的研究显示,联网智能电视加载了大量的跟踪程序。如果你使用 Roku 或 Amazon Fire 等设备,那么有很多公司能对你正在观看的内容构建相对全面的画面。普林斯顿计算机科学副教授 Arvind Narayanan 和同事开发了一个机器人程序自动在 Roku 和 Amazon Fire 上安装了数千个频道,然后它模拟人类行为去浏览和观看视频,在播放广告时它会跟踪幕后的数据收集。(详情链接

4. Windows 10更新助手中的安全漏洞为黑客打开大门

据外媒Softpedia报道,微软Windows 10更新助手(Update Assistant) 中的一个安全漏洞使攻击者可以执行具有SYSTEM权限的代码。CVE-2019-1378中记录了这个权限提升漏洞。微软解释说,攻击者最终可以创建具有完全用户权限的帐户,最终获得访问权限以丢弃其他有效负载并控制设备。(详情链接

5. 央视网评:“爬虫”滥觞 窃取数据的行径该整肃了!

最近,多家知名大数据风控公司身陷丑闻,他们运用“爬虫”技术侵犯用户隐私,滥用数据,还涉嫌助力放贷和催收。这又是一种披着科技创新外衣,做着“挂羊头卖狗肉”的传统生意,值得多方警惕。(详情链接

6. 工信部:加快宽带网络基础设施优化升级

10月14日,由工信部主办的“信息通信业高质量发展高层次专家座谈会”在北京召开,工信部副部长陈肇雄出席并主持会议。陈肇雄强调,要突出基础巩固,加快宽带网络基础设施优化升级;突出创新驱动,增强信息通信领域关键核心技术创新能力。(详情链接

7. 儿童信息网络泄露严重 日本法律界推动专门立法工作补短板

在世界主要国家已经制定专门保护未成年人网络信息安全相关法律的背景下,日本国内已经有声音指出,日本法律已经落后于世界潮流,急需迎头赶上完善儿童网络信息安全保护专项立法。目前,日本法律界也在积极推动相关立法工作。(详情链接

8. 巴西将建立包含所有公民信息的大规模生物识别数据库

据外媒Techspot报道,巴西总统贾尔·博尔索纳罗(Jair Bolsonaro)已签署一项法令,以建立一个包含该国所有2亿公民个人信息的单一数据库。但是也有人提出反对这种制度的论点,因为一周前黑客在暗网拍卖一个据称包含9200万巴西公民详细信息的数据库。(详情链接

9. 号贩子转战网络太猖獗:”3秒1刷”在医院官方平台抢票

近期,北京市东城区人民法院以破坏计算机信息系统罪判处高某等3名“号贩子”九个月至一年六个月有期徒刑。“号贩子”使用自制非法软件,每3秒攻击一次‘京医通’等官方挂号平台抢号。透过这起案件,一条线上贩卖医院预约号的非法产业链浮出水面。(详情链接

10. 永恒之蓝下载器木马再升级,集成BlueKeep漏洞攻击能力

腾讯安全御见威胁情报中心检测到“永恒之蓝下载器”木马于2019年10月09日再次更新,本次更新新增了Bluekeep漏洞(CVE-2019-0708)检测利用。CVE-2019-0708为RDP远程代码执行漏洞,该漏洞无需身份认证和用户交互,只要存在漏洞的电脑联网,就有可能被黑客完全控制。利用该漏洞可能形成类似WannaCry的蠕虫式传播,腾讯安全建议企业用户及时安装相关补丁并启用安全软件防御攻击。(详情链接