一周安全头条 (20190714-0720)

行业动态 会议活动 2019年网络安全年会
7 月 17 -18 日以 “智能感知态势 携手构建安全” 为主题的 2019（第十六届）中国网络安全年会在广州召开。本次网络安全年会由国家互联网信息办公室指导，国家互联网应急中心 (CNCERT/CC) 主办，恒安嘉新（北京）科技股份公司、深信服科技股份有限公司、360集团、奇安信集团、天融信科技集团、北京启明星辰信息安全技术有限公司、阿里云计算有限公司联合主办。据悉，在本次中国网络安全年会中，七家网络安全主办单位不仅带来了最新产品展示，还分别承办七个主题分论坛。

行业动态 《数字品牌保护 (DBP) 业务应用指南》 天际友盟
近日，安全牛联合天际友盟，共同编写并于今日发布《数字品牌保护 (DBP) 业务应用指南》，供业内参考借鉴。本报告旨在介绍数字品牌保护服务已经落地的应用场景，涉及的关键技术，以及市场前景。

行业动态 华为 5G
近日，根据华为华为5G产品线副总裁甘斌介绍，华为目前已获得全球50个以上5G商用合同，且今年预计将有60个网络宣布5G商用。与3G/4G相比，5G的发展速度前所未有，预计三年内，全球5G用户将达到5亿人次。

行业动态 罚款 Facebook
近日，联邦贸易委员会以3比2的票数通过了这项和解提案——联邦贸易委员会Facebook开出50亿美元的罚单，事由为该公司在隐私及数据保护方面存在漏洞。该报道指出，虽然 FTC 已通过罚款和解提案，但仍需美国司法部审批后方可最终定案。若获批准，这将成为 FTC 有史以来开出的最大隐私违规罚单。

行业动态 漏洞悬赏 车联网
近日，安全研究人员Sam Curry因祸得福，找到了一个特斯拉车中的漏洞，并通过特斯拉的漏洞项目获得了1万美元的赏金。Curry自己购买了一辆特斯拉车进行破解，在长期破解未果后，Curry的车因挡风玻璃被撞坏准备向特斯拉进行要求修复；而就在特斯拉的客服进行响应的时候，他在发现了一个能导致打开恶意页面的漏洞。该页面能够获取当下特斯拉车的各项关键数据，包括车速、温度、系统版本、车压等。Curry表示在他提交漏洞以后，特斯拉在12小时内修复了漏洞，并且他发现自己无法再利用该漏洞。

黑客攻击 亚马逊 黑客组织Magecart
黑客组织Magecart最近利用配置不当的漏洞，攻击了超过1.7万的域名。从四月开始，攻击者开始主动扫描网络，寻找因配置不当导致任何AWS账户都能对其进行读写的Amazon S3存储空间。一旦存储空间中有js文件，攻击者就会对文件进行下载，并对文件进行改写，加上恶意代码。不过，这些恶意代码并无法窃取任何支付信息。为了防范这类攻击，亚马逊已经将所有储存空间默认为私有，防止被人恶意修改。

黑客攻击 加密货币 BITPoint
东京加密货币交易机构BITPoint Japan上周五在发现自己遭到攻击后暂停了自己所有服务。攻击发生在周四晚上，因为公司的对外汇款系统发生错误，BITPoint直接损失超过3,200万美元。公司表示他们依然在对事件以及损失进行调查，并会对受损用户进行赔偿。在事件发生后，BITPoint的母公司Remixpoint股价下跌了18.6%。

恶意软件 广告病毒
近日，安全研究者发现一种新型的病毒框架，该框架在过去三个月中，产生了10亿虚假广告传播。该病毒通过在浏览器上安全恶意插件进行虚假广告推送、给YouTube视频点赞、查看隐藏Twitch视频流等。受影响浏览器包括Chrome、Firefox和Yandex。研究人员表示，该恶意软件似乎针对某些区域，包括俄罗斯、乌克兰和哈萨克斯坦。

漏洞补丁 联想
近日，联想部分NAS设备被而发现固件中存在漏洞，会造成信息泄漏的风险。攻击者可以利用API，轻易在未被认证的情况下浏览并接入设备中储存的数据。暂时最初始的对网络上的扫描，发现了至少5,100个设备被暴露在网上，造成300万文件面临泄露风险。

漏洞补丁 蓝牙通讯协议 Windows10/iOS/macOS
近日，波士顿大学的研究者发现，在一种新的蓝牙信号Bluetooth Low Energy (BLE)中，攻击者可以通过追踪信号。研究者表示，尽管这种信号运用了随机排列的方式来躲避追踪，但是攻击者依然可以通过对制造商信号模式的研究，探测出不同厂商的信号。受影响的操作系统包括iOS、macOS、Windows 10以及Fitbit；而安卓系统未受影响。

漏洞补丁 认证绕过 iOS13/iPadOS
近日，有网友爆出iOS13和iPadOS最新测试版本存在安全漏洞，允许黑客绕过安全机制访问设置应用中的用户名和密码。据悉，当黑客在解锁状态下访问设置应用，并反复点击“网站&应用密码”选项时，可绕过Face ID、Touch IS访问用户名和密码。截至目前，苹果已收到该漏洞报告，但暂未做出回应，iOS13和iPadOS正式版将于今年秋季正式推出。

漏洞补丁 联想 技嘉
近日，Eclypsium 的研究人员披露了联想和技嘉服务器所使用的 BMC 固件发现的漏洞。该漏洞可用于向固件植入恶意程序，使其难以探测或在硬盘格式化后仍然存在。但要利用漏洞，攻击者需要已经拥有管理员权限。漏洞存在于 Vertiv 的 MergePoint EMS 基板管理控制器（BMC）固件内，该产品被用于联想的服务器产品和技嘉的服务器主板。研究人员在 2018 年 7 月报告给了联想，11 月联想释出了补丁；今年 3 月又在技嘉的主板相同固件内发现了漏洞。研究人员发现了两个问题，其一时固件更新前没有执行加密签名检查，因此可被攻击者安装恶意固件；其二是 shell 命令注入漏洞。

数据泄露 保加利亚 居民隐私
近日，保加利亚新闻媒体收到一封神秘电邮，自称是“俄罗斯黑客”的寄信人号称攻破了该国光放110个数据库，其中包含核心政府部门的高度涉密信息。据攻击者讲述，该数据包约为11GB，另外还有10GB的数据掌握在手中。据悉，该11GB的数据包内，包含了110万公民的个人关键信息，包括身份证、社保号码、个人收入、缴税记录以及医疗信息等。

数据泄露 数据库配置 K12.com
近日，研究人员发现，在线教育平台K12.com数据库在互联网曝光逾一周，近700万学生个人隐私被泄露，泄露信息包括姓名、电子邮件地址、出生日期、性别、学校、账户身份验证密钥和其他内部数据。据悉，该泄露事件可能源于K12.com数据库配置错误，其A+nyWhere学习系统（A+LS）受影响，该系统已被美国1100多个学区使用。截至目前，该数据库已下线。

数据泄露 Evite 黑客Gnosticplayers
据媒体报道，电子邀请网站Evite发布声明承认发生数据泄露事件，逾1亿用户受影响，泄露信息不含用户社会安全号码或银行信息。据悉，Evite在今年4月发现其系统自2019年2月22日起遭黑客Gnosticplayers入侵，存储有2013年以前用户数据的数据库被泄露，泄露数据包括姓名、用户名、电子邮件地址、密码、电话号码、出生日期等隐私信息。截至目前，Evite已通知受影响用户重置密码。

数据泄露 凯悦酒店
近日，全球11个国家的41家凯悦酒店支付系统被黑客入侵，大量数据外泄，包括住客支付卡姓名、卡号、到期日期和验证码。据统计，目前国内共有18家凯悦酒店可能会受到此次数据泄露事件的影响。

漏洞补丁 媒体文件劫持 WhatsApp Telegram
近日，赛门铁克的研究人员发现了一种名为 “媒体文件劫持” (Media File Jacking) 的攻击方法。该攻击方法可利用WhatsApp 和 Telegram 收发文件时在写入磁盘和加载到应用用户界面之间存在的时间差，趁此间隙快速修改文件。据悉，该攻击只对对保持默认设置的 WhatsApp 和 勾选了 “保存到图库” 选项的 Telegram 有效。目前，赛门铁克已向 WhatsApp 和 Telegram 报告了自己的发现。WhatsApp 认为该问题应由谷歌解决，并将寻求评论的媒体引向了谷歌即将推出的 Android Q。Telegram 对此事不予置评。

数据泄露 安全罚款 医疗保险 Premera Blue Cross美国最大的医疗保险公司之一的Premera Blue Cross将因信息泄露事件赔偿30个州共1,000万美元。州政府表示，审计员在之前已经过警告过Premera系统中存在隐患，包括系统没有及时升级以及进行安全更新，但Premera对此置若罔闻；另一方面，Premera也并未满足HIPAA合规要求。泄露发生在2014年5月到2015年3月，攻击者获取了1,040万用户的个人敏感信息，包括医疗记录、银行账户信息以及社保卡账号，其中大部分人在华盛顿州。