6月第3周业务风控关注 | 偷拍产业链曝光:你的私生活,可能正被几万人围观

易盾业务风控周报每周报道值得关注的安全技术和事件,包括但不限于内容安全、移动安全、业务安全和网络安全,帮助企业提高警惕,规避这些似大实小、影响业务健康发展的安全风险。

1、传暗网出售180万苏宁会员数据

6月18日晚7点,南方都市报报道,有网友在暗网发帖出售苏宁会员数据,数据涉及180万苏宁用户,售价100美元,包含手机号、密码、姓名、身份证号等信息。针对以上事件,苏宁表示,经对网曝示例数据进行核查,并非苏宁用户数据。其还表示,不管是买卖个人信息还是编造谣言损害苏宁声誉均已触犯法律乃至构成犯罪。

 

2、以色列公司宣称可从任何iOS设备上提取数据

据外媒报道,以色列移动设备取证公司Cellebrite宣称可以解锁任何iOS设备,包括运行最新移动操作系统iOS 12.3的设备。在安卓设备上,该公司表示,三星的所有旗舰设备都可以执行类似操作,还可以提取未分配的数据,甚至收集有关已删除项目的信息。

 

3、京东金融、智联招聘等24款APP被曝超限索权

6月10日至17日,新京报记者依照《信息规范》中的分类选取了50款常用APP,对其索取的权限以及收集信息的范围进行实测,发现若严格按照《信息规范》中划定的信息收集范围,这50个APP中有24个APP索取的权限超出范围,如智联招聘索取了相机、位置、通讯录权限,百合婚恋收集了通讯录权限。

 

4、Linux曝出TCP拒绝服务漏洞

Netflix 工程师在 Linux 和 FreeBSD 内核中发现了多个 TCP 网络漏洞。漏洞与最小分段大小(MSS)和TCP Selective Acknowledgement(SACK)有关,其中最严重的漏洞绰号为 SACK Panic,允许远程对Linux 内核触发内核崩溃。

 

5、CBP分包商出现重大数据泄露事件

援引美国有线电视新闻网(CNN)报道,美国海关和边境保护局(CBP)所雇佣的分包商Perceptics出现重大数据泄露事件,在对已经泄露的数据分析后发现至少有5万条美国车牌号码数据在暗网上被销售。更为重要的是,CBP向CNN透露从未向该公司授权保留这些车主信息。

 

6、工信部《网络安全漏洞管理规定(征求意见稿)》

为贯彻落实《中华人民共和国网络安全法》,加强网络安全漏洞管理,工业和信息化部会同有关部门起草了《网络安全漏洞管理规定(征求意见稿)》(见附件),拟以规范性文件形式印发,现面向社会公开征求意见。

 

7、微信安全团队:用外挂,就处罚

6 月 18 日,微信安全中心发布公告称,对于明确使用外挂功能的帐号,一经确认,微信安全团队将做出限制功能直至限制登录等处罚;对于多次违规者,将根据梯度处理原则加重处罚。(雷锋网)

 

8、2019年5月|我国DDoS攻击资源月度分析报告

根据CNCERT抽样监测数据,2019年5月,利用肉鸡发起DDoS攻击的控制端有257个,其中,37个控制端位于我国境内,220个控制端位于境外。位于境外的控制端按国家或地区分布,美国占的比例最大,占45.9%,其次是加拿大和中国香港!

 

9、感染型病毒通过淘宝店传播,窃取用户上网信息

近日,有用户求助,称在淘宝一家名为“CF游戏单机社”网店购买游戏后,下载运行时,导致电脑感染病毒。据了解,该店铺出售的带毒游戏为“穿越火线(CF)”单机版,原本为网络游戏,被人为破解改编成单机游戏,并放在淘宝售卖。

 

根据工程师分析,由于破解该游戏的环境被感染病毒,最终导致整个游戏压缩包携带病毒,并通过用户购买安装不断感染和传播。更为严重的是,该店铺中其它游戏也极有可能感染该病毒。(cnBeta)

 

10、南京提议将亵渎英烈列为严重失信行为

南京市信用办公布了《南京市社会信用条例(草案)》(doc),公开征求意见,意见截至日期 7 月 17日。第三十四条规定将亵渎英烈,损害国家和民族尊严、伤害人民感情的行为列为严重失信行为。(科技行者)

 

11、谷歌考虑将所有儿童视频迁移至YouTube Kids应用

援引彭博社报道,美国联邦交易委员会(FTC)正在调查谷歌旗下YouTube是否违反了对儿童收集数据和打广告的规定。具体包括是否非法收集未成年人信息以及在没有家长允许的情况下透露给其他人。YouTube已经因为儿童内容饱受争议。该公司聘请了专门的员工来观看和审查儿童视频,移除有害内容,并推出了一款儿童款应用,更加安全。

 

12、偷拍产业链曝光:你的私生活,可能正被几万人围观

你或许从没想到过,当自己在外出差、旅游时入住的酒店,其实是一个现场直播的演播厅。而主角,就是你自己。你在房间内的一举一动,都被一个小小的摄像头尽收眼底。从制造出售偷拍设备,到收集视频,再销售传播,这中间其实藏着的是不仅仅是一个隐蔽摄像头,而是一条完整的偷拍黑色利益链。

 

偷拍者拿到偷拍视频后,只用在网上转手一卖,就可以从中获利。被抓获的偷拍者透露,每个摄像头可共享给 100 人观看,并且有现场直播、回放和下载观看等功能。偷拍者将每个观看账号以每月 100-300 元不等的价格出售给代理,代理再以 200-400 元不等的价格出售给下级代理或网民。个别代理还将隐蔽摄像头回传的视频下载后,存储在网盘中,通过微信、QQ 以 20-60 元不等的价格出售网盘账号。(科技行者)

 

欢迎免费体验网易易盾安全解决方案。