圆通“内鬼”500元/天租账号,超40万条个人信息被1元倒卖
又又又是个人信息泄露。这次的主角是圆通。11 月 17 日消息,据新京报报道,河北省邯郸市公安在近期侦办的一起案件中,不法分子与圆通快递多位“内鬼”勾结,通过有偿租用圆通员工系统账号盗取公民个人信息,再层层倒卖公民个人信息至不同下游犯罪人员,涉案嫌疑人涉及河北、河南、山东等全国多个省市,涉案金额 120 余万元,被泄露的信息超过 40 万条。事情还要从今年 7 月底说起,圆通的风控系统监测到圆通速递河北省区下属加盟网点有两个账号存在非该网点运单信息的异常查询,判断为明显的异常操作。圆通调查后发现,疑似有加盟网点个别员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致信息外泄。一天500,每条信息 1 元,超40万人信息被倒卖,信息泄露在今天这个时代已经司空见惯了。
黑客把小米扫地机器人变成窃听器
一台被黑客入侵的智能扫地机器人能够监听主人的一言一行?这可不是天方夜谭。黑客已经找到了办法,利用一种名为LidarPhone的技术(下图),把智能扫地机器人中的导航组件——激光雷达(LiDAR),变成激光麦克风。近日,马里兰大学和新加坡国立大学的学者用LidarPhone成功将小米公司热卖的“石头”(Roborock)扫地机器人变成了窃听器。LidarPhone攻击并不简单,需要满足某些条件。首先,攻击者将需要使用恶意软件或受设备固件更新漏洞来修改吸尘器的固件,以便控制LiDAR激光雷达组件。通过被篡改的固件,攻击者可以停止激光雷达的旋转,并使其指向附近的一个物体(音源)上,记录其表面振动产生的声波。尽管LidarPhone攻击听起来像是对隐私的严重侵犯,但是用户暂时不必惊慌。这种复杂攻击通常不会被针对平民,因为监听普通人有很多更简单的办法,例如诱骗用户在手机上安装恶意软件。验证LidarPhone攻击的意义在于,它提醒了个人和企业安全主管在这个物联网横行的年代,网络安全和隐私的攻击面正在不断扩大,同时也为物联网设备厂商敲响了警钟,需要将安全性提高到产品设计的层面。
思科安全管理器曝出大量严重漏洞
思科安全管理器是一个企业级安全管理应用程序,可监控和管理思科的安全和网络设备,近日,威胁情报和渗透测试公司安全研究员在思科安全管理器中共发现了十二个漏洞,其中包括关键路径遍历漏洞、高风险的静态凭证错误和多个严重的Java反序列化漏洞,其中大多数可直接导致远程代码执行(RCE)。据悉,思科修复了安全管理器4.2.2版本中的前两个漏洞。思科同时表示将为4.2.3版本中的Java反序列化漏洞提供修复程序,但当前并没有提供任何解决方法。网络安全公司的安全响应经理说,“这些漏洞相对容易利用”。并指出:“攻击者有可能利用多种攻击媒介来控制受影响的系统。”当安全更新发布时,企业应当立刻对漏洞进行修补,否则在接下来的几周内,甚至几天内,就会发生野外攻击。
闪送、瓜子二手车与聚美优品被约谈:违规收集用户信息、强制授权
据北京市通信管理局官网18日信息,闪送、瓜子二手车以及聚美优品移动APP等三家公司在抽测中发现存在违规收集使用用户信息、强制授权等问题。11月16日,北京市通信管理局约谈了相关公司负责人,就三家公司移动APP存在的问题发出书面整改通知,责令限期整改。