易盾業(yè)務(wù)風(fēng)控周報(bào)每周報(bào)道值得關(guān)注的安全技術(shù)和事件，包括但不限于內(nèi)容安全、移動(dòng)安全、業(yè)務(wù)安全和網(wǎng)絡(luò)安全，幫助企業(yè)提高警惕，規(guī)避這些似大實(shí)小、影響業(yè)務(wù)健康發(fā)展的安全風(fēng)險(xiǎn)。

1、傳暗網(wǎng)出售180萬蘇寧會(huì)員數(shù)據(jù)

6月18日晚7點(diǎn)，南方都市報(bào)報(bào)道，有網(wǎng)友在暗網(wǎng)發(fā)帖出售蘇寧會(huì)員數(shù)據(jù)，數(shù)據(jù)涉及180萬蘇寧用戶，售價(jià)100美元，包含手機(jī)號(hào)、密碼、姓名、身份證號(hào)等信息。針對以上事件，蘇寧表示，經(jīng)對網(wǎng)曝示例數(shù)據(jù)進(jìn)行核查，并非蘇寧用戶數(shù)據(jù)。其還表示，不管是買賣個(gè)人信息還是編造謠言損害蘇寧聲譽(yù)均已觸犯法律乃至構(gòu)成犯罪。

2、以色列公司宣稱可從任何iOS設(shè)備上提取數(shù)據(jù)

據(jù)外媒報(bào)道，以色列移動(dòng)設(shè)備取證公司Cellebrite宣稱可以解鎖任何iOS設(shè)備，包括運(yùn)行最新移動(dòng)操作系統(tǒng)iOS 12.3的設(shè)備。在安卓設(shè)備上，該公司表示，三星的所有旗艦設(shè)備都可以執(zhí)行類似操作，還可以提取未分配的數(shù)據(jù)，甚至收集有關(guān)已刪除項(xiàng)目的信息。

3、京東金融、智聯(lián)招聘等24款A(yù)PP被曝超限索權(quán)

6月10日至17日，新京報(bào)記者依照《信息規(guī)范》中的分類選取了50款常用APP，對其索取的權(quán)限以及收集信息的范圍進(jìn)行實(shí)測，發(fā)現(xiàn)若嚴(yán)格按照《信息規(guī)范》中劃定的信息收集范圍，這50個(gè)APP中有24個(gè)APP索取的權(quán)限超出范圍，如智聯(lián)招聘索取了相機(jī)、位置、通訊錄權(quán)限，百合婚戀收集了通訊錄權(quán)限。

4、Linux曝出TCP拒絕服務(wù)漏洞

Netflix 工程師在 Linux 和 FreeBSD 內(nèi)核中發(fā)現(xiàn)了多個(gè) TCP 網(wǎng)絡(luò)漏洞。漏洞與最小分段大小(MSS)和TCP Selective Acknowledgement(SACK)有關(guān)，其中最嚴(yán)重的漏洞綽號(hào)為 SACK Panic，允許遠(yuǎn)程對Linux 內(nèi)核觸發(fā)內(nèi)核崩潰。

5、CBP分包商出現(xiàn)重大數(shù)據(jù)泄露事件

援引美國有線電視新聞網(wǎng)（CNN）報(bào)道，美國海關(guān)和邊境保護(hù)局（CBP）所雇傭的分包商Perceptics出現(xiàn)重大數(shù)據(jù)泄露事件，在對已經(jīng)泄露的數(shù)據(jù)分析后發(fā)現(xiàn)至少有5萬條美國車牌號(hào)碼數(shù)據(jù)在暗網(wǎng)上被銷售。更為重要的是，CBP向CNN透露從未向該公司授權(quán)保留這些車主信息。

6、工信部《網(wǎng)絡(luò)安全漏洞管理規(guī)定（征求意見稿）》

為貫徹落實(shí)《中華人民共和國網(wǎng)絡(luò)安全法》，加強(qiáng)網(wǎng)絡(luò)安全漏洞管理，工業(yè)和信息化部會(huì)同有關(guān)部門起草了《網(wǎng)絡(luò)安全漏洞管理規(guī)定（征求意見稿）》（見附件），擬以規(guī)范性文件形式印發(fā)，現(xiàn)面向社會(huì)公開征求意見。

7、微信安全團(tuán)隊(duì)：用外掛，就處罰

6 月 18 日，微信安全中心發(fā)布公告稱，對于明確使用外掛功能的帳號(hào)，一經(jīng)確認(rèn)，微信安全團(tuán)隊(duì)將做出限制功能直至限制登錄等處罰；對于多次違規(guī)者，將根據(jù)梯度處理原則加重處罰。（雷鋒網(wǎng)）

8、2019年5月|我國DDoS攻擊資源月度分析報(bào)告

根據(jù)CNCERT抽樣監(jiān)測數(shù)據(jù)，2019年5月，利用肉雞發(fā)起DDoS攻擊的控制端有257個(gè)，其中，37個(gè)控制端位于我國境內(nèi)，220個(gè)控制端位于境外。位于境外的控制端按國家或地區(qū)分布，美國占的比例最大，占45.9%，其次是加拿大和中國香港！

9、感染型病毒通過淘寶店傳播，竊取用戶上網(wǎng)信息

近日，有用戶求助，稱在淘寶一家名為“CF游戲單機(jī)社”網(wǎng)店購買游戲后，下載運(yùn)行時(shí)，導(dǎo)致電腦感染病毒。據(jù)了解，該店鋪出售的帶毒游戲?yàn)椤按┰交鹁€（CF）”單機(jī)版，原本為網(wǎng)絡(luò)游戲，被人為破解改編成單機(jī)游戲，并放在淘寶售賣。

根據(jù)工程師分析，由于破解該游戲的環(huán)境被感染病毒，最終導(dǎo)致整個(gè)游戲壓縮包攜帶病毒，并通過用戶購買安裝不斷感染和傳播。更為嚴(yán)重的是，該店鋪中其它游戲也極有可能感染該病毒。（cnBeta）

10、南京提議將褻瀆英烈列為嚴(yán)重失信行為

南京市信用辦公布了《南京市社會(huì)信用條例（草案）》（doc），公開征求意見，意見截至日期 7 月 17日。第三十四條規(guī)定將褻瀆英烈，損害國家和民族尊嚴(yán)、傷害人民感情的行為列為嚴(yán)重失信行為。（科技行者）

11、谷歌考慮將所有兒童視頻遷移至YouTube Kids應(yīng)用

援引彭博社報(bào)道，美國聯(lián)邦交易委員會(huì)（FTC）正在調(diào)查谷歌旗下YouTube是否違反了對兒童收集數(shù)據(jù)和打廣告的規(guī)定。具體包括是否非法收集未成年人信息以及在沒有家長允許的情況下透露給其他人。YouTube已經(jīng)因?yàn)閮和瘍?nèi)容飽受爭議。該公司聘請了專門的員工來觀看和審查兒童視頻，移除有害內(nèi)容，并推出了一款兒童款應(yīng)用，更加安全。

12、偷拍產(chǎn)業(yè)鏈曝光：你的私生活，可能正被幾萬人圍觀

你或許從沒想到過，當(dāng)自己在外出差、旅游時(shí)入住的酒店，其實(shí)是一個(gè)現(xiàn)場直播的演播廳。而主角，就是你自己。你在房間內(nèi)的一舉一動(dòng)，都被一個(gè)小小的攝像頭盡收眼底。從制造出售偷拍設(shè)備，到收集視頻，再銷售傳播，這中間其實(shí)藏著的是不僅僅是一個(gè)隱蔽攝像頭，而是一條完整的偷拍黑色利益鏈。

偷拍者拿到偷拍視頻后，只用在網(wǎng)上轉(zhuǎn)手一賣，就可以從中獲利。被抓獲的偷拍者透露，每個(gè)攝像頭可共享給 100 人觀看，并且有現(xiàn)場直播、回放和下載觀看等功能。偷拍者將每個(gè)觀看賬號(hào)以每月 100-300 元不等的價(jià)格出售給代理，代理再以 200-400 元不等的價(jià)格出售給下級(jí)代理或網(wǎng)民。個(gè)別代理還將隱蔽攝像頭回傳的視頻下載后，存儲(chǔ)在網(wǎng)盤中，通過微信、QQ 以 20-60 元不等的價(jià)格出售網(wǎng)盤賬號(hào)。（科技行者）

歡迎免費(fèi)體驗(yàn)網(wǎng)易易盾安全解決方案。