各位 Buffer 早上好,今天是 2019 年 02 月 18 日星期一。今天的早餐铺内容有:英国议员称Facebook蓄意违反英国隐私法规;京东金融就侵犯隐私致歉;白帽黑客展示了内置Wi-Fi芯片的恶意Lightning数据线;岳云鹏张云雷等德云社演员信息泄露:100元被打包卖;美国陆军Stryker装甲车遭到黑客攻击。
英国议员:Facebook蓄意违反英国隐私法规
据《华盛顿邮报》报道,英国立法者上周日指责Facebook在该国“蓄意和故意违反数据隐私和反竞争法” ,必须接受全面监管,并呼吁对这家社交媒体巨头的商业行为以及2014年以来干预英国选举相关问题进行独立调查。这一尖锐批评来自英国议会议员撰写的一份长达108页的报告,该报告于2017年开始对Facebook和网络恶意内容传播行为展开广泛研究。
他们得出的结论是,英国应出台新的法规,以便立法者能够让Facebook及其硅谷的技术同行对数字犯罪负起责任。英国援引调查过程中获得的秘密文件称,多年来,Facebook一直有意“践踏用户的隐私设置”,作为一项更广泛活动的一部分,这种做法可以最大限度地增加此类敏感信息所带来的收入。这些文件来自美国软件商Six43公司,这家公司曾与Facebook发生激烈冲突。[cnbeta]
京东金融就侵犯隐私致歉:安卓版有问题,属错误开发
近日有用户在微博上发布视频称京东金融App会保存用户的截屏图片在自己的文件夹内,因此质疑京东金融App侵犯用户隐私。京东金融方面昨日称,图片缓存为方便客户投诉或建议使用,不会上传京东金融后台,不会未经允许收集用户隐私。
今日,京东金融客服官方微博再发声明致歉,称排查后,发现安卓系统上的App5.0.5以后的版本存在该问题,并已定位问题且下线修复。京东金融在致歉信中称,2018年12月,京东金融App5.0.5版本上线了客服截屏反馈功能,此功能的目的是,用户对京东金融App进行截屏时,本人可将京东金融App截屏发送给在线客服人员,以提高与在线客服的沟通效率。
京东金融App在该项功能上存在技术问题,具体为用户将京东金融App切换到后台后,该功能继续运行,继续接收新增图片通知(包括截屏和照片等)并在手机本地缓存,而原功能设计需求是切换后自动停止该功能,属于需求错误开发。
声明中也补充道,此次技术问题涉及的新增缓存图片仅存在用户手机本地,京东金融App坚决没有对用户照片和截屏进行私自上传,也对该功能进行了全面排查,并未发现任何一张未经授权的图片被收集。[sina]
白帽黑客展示了内置Wi-Fi芯片的恶意Lightning数据线
一名黑客利用一个隐藏的Wi-Fi芯片开发了一种验证概念的Lightning数据线,以说明不受信任的附件可能带来的威胁,该芯片可以让黑客获得对Mac的控制权。
这种绰号“O.MG Cable”的Lightning数据线,与苹果自己的官方产品非常相似。据其创建者称,当连接时,它可以传递和触发代码有效负载,甚至可能重新刷新系统。
实际上,大多数人不太可能遭遇恶意Lightning数据线窃听风险,因为他们直接从苹果或MFI认证的供应商那里购买。O.MG技术似乎还要求攻击者在本地Wi-Fi范围内,这对大多数黑帽黑客来说也没有什么用处。但是可以想象,某些类似技术可以用于政治或企业间谍活动。[mg.lol-blog]
岳云鹏张云雷等德云社演员信息泄露:100元被打包卖
最近两天,德云社维权声明在网上引发大量关注。声明称,一段时间以来,德云社旗下多位艺人的住址、行程等信息多次被泄露、传播及售卖,这些行为已严重妨碍了艺人正常的工作和生活,并严重侵犯了艺人的隐私权,甚至还会对艺人的人身安全带来潜在的隐患。针对上述侵权行为,德云社将委托律师依法维权。
经过调查发现,声明发布后,仍有人公开出售岳云鹏、张云雷等德云社艺人个人信息,无论是身份证号码还是家庭住址、航班信息,均可提供,只需100元就能获得一名艺人的“打包信息”。律师建议网友理性追星,切勿购买他人个人信息。
泄露、买卖旗下艺人个人信息的行为,已构成侵权。按照《刑法》规定,向他人出售或者提供公民个人信息,情节严重的,将被处以三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。[secrss]
美国陆军Stryker装甲车遭到黑客攻击
五角大楼测试与评估主任办公室在关于该车辆持续发展状况的最新年度报告中披露了Stryker龙骑装甲车的网络漏洞。
DOT&E于2019年1月发布的报告称:“在竞争激烈的网络环境中作战时,对手能够降低ICV-D选择的能力。大多数情况下,在杀伤力升级之前漏洞就会被利用。”
报告并没有说明网络攻击发生在何处,以及它们具体影响哪些系统。攻击似乎最有可能对车辆的数据共享、导航或数字通信能力产生影响。该报告建议立即移除所有受影响的车辆,全面开展补救或缓解措施,同时全面调查所有系统,并利用自动化和非自动化测试独立破坏甚至电子战(“网络攻击”、互联网攻击、物理攻击、无线电通话攻击和相干光入侵,包括独立的、一次性攻击)的各种漏洞,以及测试操作系统。
但最重要的是,这份报告没有列出这些“对手”是谁。DOT&E报告中指的可能是演习中模拟的敌方网络攻击者。面对日益增长的网络安全威胁,美国军方及其北约(NATO)盟友开展越来越多的演习训练来模拟这些危险。[secrss]
来源:freebuf.com 2019-02-18 07:10:51 by: Karunesh91
请登录后发表评论
注册