全球数据保护资讯:Chrome曝出高危漏洞 可泄露上网记录
01
Chrome曝出高危漏洞 可泄露上网记录
安全公司揭露从Android 4.4版以来的Chrome就存在的漏洞,可能让骇客可窃取Android手机用户上网记录、登录信息等重要数据。这项漏洞是由俄罗斯Positive Technologies研究员Sergey Toshin在今年1月发现并已通报Google的。Google已在1月释出修补该漏洞的Chrome 72.0.3626.81版,但当时Google只是轻描淡写为“浏览器中策略执行不足”。
这项编号为CVE-2019-5765的漏洞是位于Android 4.4版本以后的Chromium引擎中,后者是Android的WebView一项组件,允许网页在Android app内显示网页。所有使用Chromium为核心的移动版浏览器,包括Google Chrome、Samsung Internet Browser、Yandex Browser都会受到影响。研究人员指出,项漏洞可经由Instant app引发安全风险。这类app让手机用户不必下载也能试用。用户点选浏览器链接后,智能手机就会下载一个小文件,然后像原生app般执行,它能访问手机硬件但不占用存储空间。当攻击者以instant app执行,就可在用户点选连接恶意app后拦截数据了。
该项漏洞可让骇客从程序内存中取得敏感信息,包括上网记录、app登录需要的验证权杖和标头,以及其他信息。由于大部分Android app都有WebView,也使这项漏洞变得非常危险,被Google列为高风险漏洞。
来源:新浪网站
02
Facebook再次面临数据泄露:超过2亿用户的信息仅保存在一个可读文件中
一个专注于网络信息安全的博客Krebs on Security近日发布了一则报告,称Facebook将用户的账户信息存储在一个文档中,而Facebook员工均有权限查看。据华尔街日报,Facebook回应称公司员工以外的人是无法看到这个文档的,并且表示目前没有员工曾泄露或者是恶意使用这些数据。Facebook称将会提醒这些用户他们的账户状态。
账户信息曝光的用户具体人数还不确定,但是估计在2-6亿人之间。Facebook对此还没有回应。Facebook近期由于信息安全问题多次成为新闻话题中心。美国和欧洲国家甚至因此将展开相关调差,若情节严重,Facebook或许会面临被罚款或者其他惩罚。
Facebook曾称他们利用哈希技术储存用户数据,并且这个数据库是不可读的。但是据Krebs on Security的报告,这些数据其实是可读的。Facebook的VP Pedro Canahuati说:“我们对此很是在意,因为我们的登录系统已经被设置为密码保护模式。我们已经修复了这个问题,并且通知了密码被曝光的用户以防万一。”
来源:火星财经
03
黑客在暗网Dream Market出售6个网站2700万条数据泄露数据
黑客组织 Gnosticplayers攻击了数38个热门网站,并将数据分成四次在暗网Dream Market上售卖,最近的一次数据泄露事件中, 包含来自6个热门网站的近2700万新用户记录 。黑客上个月在黑市Dream Market上发售了三轮被盗账户,发布了第一轮16个网站中有6.2亿个账户被盗的详细信息,第二轮有8个站点的1.27亿条数据,以及第三轮8个站点中的9200万条数据。
近期黑客发布了第四轮的数据售卖,其中包含来自其他6个网站的近2700万新用户记录。
Gnosticplayers在Dream Market上售卖的第四轮数据属于以下6个被黑网站:
Youthmanual – 印度尼西亚大学和职业平台 – 112万个账户
GameSalad – 在线学习平台-1.5万个账户
Bukalapak – 在线购物网站 – 1300万个帐户
Lifebear – 日本在线笔记本 – 386万个帐户
EstanteVirtual – 在线书店 – 545万账户
Coubic – 预约安排 – 150万个账户
黑客在Dream Market上单独销售上面列出的每个被黑客攻击的数据库,总价值为1.2431比特币,大约是5000美元。
来源:东方安全
04
杭州顺网私自收集用户个人信息 近12款APP有涉及
2019年3月13日,一家外国科技媒体披露了一条信息:杭州顺网科技控制的服务器通过数据窃取组件收集联系人列表、地理位置和登录信息。最可怕的是,这个数据收集组件存在于国内主要第三方应用商店提供的多达12个安卓应用程序中。
据悉,窃取用户个人信息的代码隐藏在看似良性应用程序的数据分析软件开发工具包(SDK)中,一旦用户手机重启或受感染的应用程序启动,就能提供详细信息。研究人员认为,收集最终用户的联系人列表可能会在没有应用程序开发人员的情况下发生。大多数的应用程序都是系统实用程序,可以从国内主流应用商店进行安装,比如腾讯应用宝、豌豆荚、华为应用商店和小米应用商店。据,受感染的应用程序已至少下载1.11亿次。一些开发人员似乎与顺网科技有关,因为他们的应用程序仅仅在公司网站上发布。
所有受影响的应用程序都集成了SWAnalytics SDK,并要求获得比正常运行所需的权限。监控“Operation Sheep”时分析的其中一个应用是Network Speed Master,它要求访问位置数据、摄像头和联系人,这些数据对网络监控工具毫无用处。两位研究人员看到的最新命令是,要求每五秒收集一次地理定位数据并进行登录。确保数据捕获过程存活的检查间隔设置为15分钟,这也是上传信息的间隔。
来源:新浪财经头条
05
上亿简历大数据公司被警方一锅端,李开复、中信资本均投资
近日,号称中国最大的简历大数据公司、曾获李开复旗下创新工场投资的“巧达科技”被警方一锅端,所有员工都被带走。该公司被查可能缘起在没有获得授权下抓取用户简历。
“巧达科技”公司成立于2014年7月,当年10月获得天使轮融资,投资方不明;11月,获得李开复旗下创新工场的A轮融资,金额数百万美元;2017年1月,获得中信产业基金等的B轮融资,金额数千万人民币,据称估值2亿美元。巧达数据对外宣传资料称,公司投资人李开复旗下创新工场、百度风投齐玉杰、中信产业基金、人工智能产业基金等。公开资料显示,巧达数据号称拥有中国最大的简历数据库,其主要数据来源为“乔大招”。而乔大招旗下则拥有“爱伙伴”、“简历时光机”等在内10多款招聘相关产品。
曾有知乎网友曝光称,5600多万份求职简历未经当事人允许,被“纷简历网站”非法贩卖、共享、兜售。“纷简历”网站商业模式核心就是非法贩卖、非法共享、非法兜售亿万量级个人信息。纷简历不仅造成包括姓名、联系方式、居住城市、户籍、收入、头像、工作单位等个人信息泄露严重,有不少当事人投诉收到大量骚扰电话,以招聘、诈骗为主。
来源:腾讯网
斩断伸向移动支付用户的黑手 便利背后暗藏风险
新闻链接:
http://news.cnjiwang.com/gn/201903/2843724.html
诺基亚手机泄露数据?HMD解释个人数据流向
新闻链接:
http://www.sohu.com/a/303463043_114760
访问文末左下角点击“阅读原文”获取更多相关内容
或点击以下二维码1秒解锁更多独家法律知识问答。
长按二维码
了解更多知识!
享法互联网法律团队主要创始人均来自国内著名互联网公司的法务部,依托于北京德和衡律师事务所,享法致力于为高科技创新型公司提供贴心实用的一站式法律管家服务。自成立至今,我们已为近百家公司提供了多样化服务。
享法围绕数据安全,电子商务,网络游戏,视频直播,互联网金融融资等互联网行业领域提供更具互联网思维的产品技术合规,融资并购以及新三板挂牌等法律服务,同时也针对企业的内部股权安排、劳动人事以及员工激励等开发了更实用优惠的专项打包法律服务。
请关注我们的微博:享法互联网法律
上周回顾
点击文章名就可以看(更多内容可以长按下方二维码查看更多历史信息)
周一全球数据保护资讯:国家市场监管总局、中央网信办决定开展App安全认证工作
周二往期回顾
全球数据保护资讯:国家市场监管总局、中央网信办决定开展App安全认证工作(3.18)
全球数据保护资讯:个人信息保护法已列入本届立法规划(3.11)
让我们为您保驾护航
微信:享法互联网JoyLegal
微博:享法互联网法律
电话:010-81050766
邮箱:info@joy-legal.com
24小时内答复咨询
关注和分享,总有一个在路上~