国内外简报industry briefing

2020年第3周国内外信息安全简报

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1. 超10亿张患者医学图像被泄漏,但始终没引起医疗机构重视

数以百计的医院、医疗工作室和影像中心都在运行着不安全的存储系统,以至于任何拥有互联网连接的用户都可以通过免费下载的软件来访问全球超过10亿例患者的医学图像。在所有曝光的图像(包括X射线,超声波和CT扫描)中,约有一半属于美国患者。(详情链接

2. 学术研究发现五家美国电信公司易受SIM交换攻击

普林斯顿大学发表的一项学术研究发现,美国五家主要的预付费无线运营商容易受到SIM交换攻击的攻击。SIM卡交换是指攻击者致电移动提供商并诱骗电信公司员工将受害者的电话号码更改为攻击者控制的SIM卡。这使攻击者可以重置密码并访问敏感的在线帐户,例如电子邮件收件箱,电子银行门户或加密货币交易系统。(详情链接

3. 承包商在对Skype和Cortana录音的审查中发现其审核流程缺乏安全性

据外媒MSPoweruser报道,去年7月,有消息称苹果,谷歌和微软都收听了语音助手相关的录音以进行培训。当时的主要问题是没有通知用户,人们将出于培训和质量目的而收听这些录音。据《卫报》透露,现在可能还有更多问题,因为围绕这些审核流程的安全性可能令人担忧。(详情链接

4. 谷歌公布iOS 12.4漏洞详情:黑客可远程破解iPhone、打开相机与麦克风

屡屡在安全事件中立功的谷歌Project Zero团队表示,只需要花费几分钟就可以远程破解掉一台iOS设备。苹果用户不用太担心,该漏洞出现于iOS 12.4系统中,在谷歌发现并报告给苹果后,后者已经在iOS 12.4.1中予以修复。(详情链接

5. Maze勒索软件运营商泄漏了从Southwire窃取的14GB文件

Maze勒索软件犯罪团伙公开了从Southwire电缆制造商那里窃取的14GB的文件。Maze勒索软件还具有数据收集功能,攻击者扬言要发布拒绝支付赎金的所有受害者的信息。Maze勒索软件背后的攻击者已经建立了一个网站,在该网站上公布了八家据称拒绝支付赎金的公司的名单。(详情链接

6. 博通芯片组件惊现内核级漏洞,全球数亿级设备面临被远程劫持风险

近日,博通(Broadcom)调制解调器芯片曝出内核级安全漏洞,该漏洞为Cable Haunt(CVE-2019-19494)。利用该漏洞,攻击者可以通过端点,远程控制且完全控制调制解调器,进而拦截私人消息、重定向流量或加入僵尸网络等操作。截止目前,仅欧洲,就有近2亿个调制解调器受到影响,然而影响范围仍在进一步扩大,全球数亿设备或将受波及。(详情链接

7. 微软发现恶意 npm 软件包,可从 UNIX 系统窃取数据

Microsoft 的漏洞研究团队在 npm(Node Package Manager) 存储库中发现了一个恶意 JavaScript 程序包,可从 UNIX 系统窃取敏感信息。(详情链接

8. 微软正式终止支持Win7 仍可正常使用但无安全更新

随着2020年1月14日的到来,服役十年之久的Windows 7操作系统终于正式退休了。自今日起,微软将会正式终止支持Win7,这意味着用户仍旧可以正常使用这一经典的操作系统,但微软已经不会再进行任何为何和更新了。(详情链接

9. WordPress插件中的严重安全漏洞影响320000个网站

WordPress的2个插件:InfiniteWP和WP Time Capsule存在严重安全漏洞,预计影响32万个网站。防火墙将不起作用,需要立即更新。(详情链接

10. 数据显示:2019年全国共拦截诈骗呼叫10.8亿次

日前,工信部公布 2019 年防范治理电信网络诈骗工作情况。数据显示, 2019 年全国共拦截诈骗呼叫10. 8 亿次,关停重点地区诈骗号码88. 8 万个。工信部表示,反诈要坚持“以技管网”、“以数管网”、“从严管网”、“协同管网”,明确“两大任务清单”,聚焦六大任务。(详情链接