安全周报（11.11-11.17）

1、千万别下！这10款App违法！

国家计算机病毒应急处理中心近期开展电商平台整治行动，发现多款电商平台App存在隐私不合规行为，违反《网络安全法》相关规定，涉嫌超范围采集个人隐私信息。

1、未经用户同意收集个人隐私信息，涉嫌隐私不合规。具体App如下：《楚楚街》（版本3.34）、《毒》（版本4.17.0）、《萌推》（版本2.5.0）、《淘集集》（版本2.29.0）、《折800》（版本4.66.0）。

2、未向用户明示申请的全部隐私权限，涉嫌隐私不合规。具体App如下：《贝贝》（版本9.26.01）、《返利》（版本7.9.2）、《微店》（版本5.7.8）、《找靓机》（版本7.5.01）、《转转》（版本7.1.2）

 2、jQuery 跨站脚本漏洞影响大量网站

Snyk 发布了 2019 年度的 JavaScript 框架安全状况报告（PDF），除了最流行的 JS 框架  Angular 和 React 外，报告还观察了其它三个流行 JS 前端框架 Vue.js、Bootstrap 和 jQuery 的安全漏洞。

jQuery 过去 12 个月的下载量超过了 1.2 亿次，是 Vue.js 的 4000 万次和 Bootstrap 的 7900 万次之和。Vue.js 发现了 4 个漏洞，都已经修复。

  3、非法倒卖股民信息683条获利20余万元 检方依法批捕两人

2019年3月,犯罪嫌疑人蔡某甲了解到倒卖股民信息可以赚钱,便联系了同乡好友蔡某乙,经商议,二人决定在钟祥市某镇一商铺内成立“工作室”并招聘员工。每日上班前,蔡某甲都会发给员工一张号码清单(100多条手机号码)和一位股民老师的微信二维码,随后,员工们将逐一拨打电话确认这些号码是否为股民信息。

检察机关认为,犯罪嫌疑人蔡某甲、蔡某乙违反国家有关规定,向他人出售公民个人信息,情节严重,根据相关法律规定,决定以涉嫌侵犯公民个人信息罪依法对二人作出批准逮捕决定。

 4、高通芯片曝出漏洞，可让黑客窃取Android设备中的敏感数据

海量智能设备，尤其是使用高通芯片组的Android智能手机和平板电脑，或遭受一系列潜在漏洞的影响。

根据网络安全公司CheckPoint发布的安全报告的内容，这些芯片漏洞可能会让攻击者窃取存储在安全区域的敏感数据，而这些安全区域本应该是智能设备中最安全的部分。

CheckPoint已向所有受影响的厂商报告了漏洞，其中三星、高通和LG已经发布了针对这些QSEE漏洞的补丁。

 5、太原警方处罚两家因长期无人维护被黑客入侵网站

长期无人维护且未建立安全保护制度造成黑客入侵,主页被篡改为赌博信息。近日,山西省太原市公安局网安支队对两家网站运营主体进行处罚。

经查,以上两家公司为推广业务注册了一级域名,并设立网站,但因收效甚微,长期无人管理,且未建立安全保护管理制度,未采取安全技术保护措施,造成网站被黑客入侵,篡改为赌博网站。

鉴于该行为已违反《计算机信息网络国际联网安全保护管理办法》第十条、第十二条之规定,警方对两家网站运营主体处以警告的行政处罚,并责令其一周内予以改正。

 6、墨西哥国有石油公司Pemex遭受勒索软件攻击，被索要490万美元

11月10日，墨西哥国有石油公司Pemex遭受到勒索软件攻击，被索要490万美元的赎金。

不过Pemex表示，只有不到5%的电脑受到了影响。不过根据内部备忘录的说法，要求所有员工切勿打开电脑，在本周晚些时候再重新开机。

尽管最初有报道称，Pemex受到了Ryuk勒索软件的影响，但泄露出的赎金信息和Tor付款网站都证实这是DoppelPaymer勒索软件，属于BitPaymer勒索软件的变种。