安全周报（11.09-11.15）

联通官网携带木马脚本，可向用户推广色情APP

TCL的Android智能电视曝出允许远程控制的漏洞

两位安全研究人员披露了 TCL 制造的 Android 智能电视的两个漏洞，TCL 已通过遥测方法在 11 月初修复了这些漏洞。其中一个漏洞编号 CVE-2020-27403 允许邻近网络的攻击者通过运行在 7989 端口的 web server 访问和下载敏感文件，包括大部分系统文件、照片、个人数据和连接应用的安全令牌。另一个漏洞编号 CVE-2020-28055 位于 TCL 软件中，允许本地非特权用户读写文件系统内的重要供应商资源目录，其中包括升级文件夹。受影响的 TCL 智能电视多达数百万。

笔记本电脑代工大厂遭遇勒索软件攻击，赎金高达1670万美元

阿里巴巴投资的印度杂货电商BigBasket遭黑客攻击，2000万用户信息被泄

援引多家印媒报道，阿里巴巴投资的印度最大杂货电商 BigBasket 近期遭受黑客网络攻击，导致大约 2000 万用户的个人数据被泄漏。这些泄漏的信息包括用户的电子邮件地址、密码哈希值、联系方式（移动和手机）、地址、生日、住址和登录 IP 地址等等，这些信息在暗网上以 300 万卢比（约 26.8 万人民币）的价格出售。