查看原文
其他

因多次索要个人权限和信息,星巴克被上海网信办约谈;立即修复!华硕曝路由器的关键漏洞

黑白之道 2023-07-09

因多次索要个人权限和信息,星巴克被上海网信办约谈;

6 月中旬,国内某新闻媒体披露上海商圈中一家星巴克点餐小程序过度索客户信息,仅是点 1 杯咖啡,消费者至少被弹窗提示注册会员 3 次,弹窗索要定位授权 2 次。对此,上海市网信办、市市场监管局共执法人员来到位于星巴克涉事门店,向该店工作人员指出上述问题涉嫌违反《个人信息保护法》的有关要求,已要求门店方向其公司高层及时反馈,按时参加约谈,并将指导相关企业进一步整改。


记者调查期间,顾客扫描星巴克前台的二维码时,页面首先跳转出现“扫码入会 领券立减”整屏活动海报(这个无法直接关闭),当用户点击下方“领取”按钮后,页面又直接跳转进入“微信用户一键登录”页。
值得一提的是,此时需要用户勾选同意相关隐私政策和绑定协议,做好这一切后,点击“登录”,页面下方又弹窗索要手机号授权,显示可用微信手机号一键绑定或者其他手机号快速注册成为会员。一番操作下来,小程序这才跳转出现堂食点单入口,本来一键点击购买,付账的流程,硬生生的被玩成了“关卡游戏”。


随着点餐类 APP 攻占餐饮市场,越来越多的商家开始线上点餐,对于星巴克“套路”用户一事,社会民众似乎早已习以为常,见怪不怪了。在大多数情况下,客户为了能够快速下单或换取门店就餐优惠福利,会做出一些妥协让步,一步一步按照商家的“套路”来,最终把自己的用户权限、位置信息、储存信息、手机号等机密内容泄露给平台。当然,也有一部分消费者不会为了“蝇头小利”,选择对商家开放权限。
对于餐饮行业过度、强制收集信息,消费者早已深恶痛绝,如果商家一味追求把点餐小程序页面处理的过于花哨,放大突出误导性文字和图标,迎逢平台要求,肆意获取用户的信息,之后势必后遭受消费者抛弃。

立即修复!华硕曝路由器的关键漏洞

近日,华硕针对多种路由器型号的漏洞,发布了安全固件更新,并敦促客户立即更新设备或限制WAN访问,以保证其设备安全。

华硕方面表示,新发布的固件中包含九个安全漏洞的修复程序,包括高漏洞和关键漏洞。其中最严重的漏洞是CVE-2022-26376和CVE-2018-1160。华硕路由器的Asuswrt固件存在严重的内存损坏缺陷,这可能会让攻击者触发拒绝服务状态或获得代码执行。

另一个关键补丁是针对一个近五年的CVE-2018-1160漏洞,该漏洞是由一个越界写入Netatalk漏洞引起的,该漏洞也可以被利用来在未打补丁的设备上获得任意代码执行。

华硕在其发布的安全资讯中警告称,如果用户不安装这个新固件版本,那么最好禁用从WAN端访问的服务,以避免潜在的入侵风险。这些服务包括广域网的远程访问、端口转发、DDNS、VPN服务器、DMZ、端口触发。

华硕方面强烈建议用户定期审核设备和安全程序,这能够更好的确保设备安全。受影响的设备包括以下型号:GT6、GT-AXE16000、GT-AX11000 PRO、GT-AX6000、GT-AX11000、GS-AX5400、GS-AX3000、XT9、XT8、XT8 V2、RT-AX86U PRO、RT-AX86U、RT-AX86S、RT-AX82U、RT-AX58U、RT-AX3000、TUF-AX6000和TUF-AX5400。

华硕方面敦促客户立即打补丁

华硕警告路由器受到影响的用户尽快将固件更新到最新版本,可以通过支持网站、产品页面或资讯中提供的链接获得最新固件的下载链接。

此外,华硕方面还建议用户为无线网络和路由器管理页面创建至少八个字符(大写字母、数字和符号的组合)的不同密码,并避免对多个设备或服务使用相同的密码。支持网站还提供了更新固件到最新版本的详细信息,以及为保障路由器安全,用户可以采取的安全措施。

华硕的这次安全警告应该引起重视,因为该公司的产品之前曾被僵尸网络攻击过。

例如,在2022年3月,华硕方面称遭遇了Cyclops Blink恶意软件攻击,并利用它们远程访问受感染的网络。

2022年2月,美国和英国网络安全机构的联合安全顾问一同打击了Cyclops Blink僵尸网络与俄罗斯军方的Sandworm威胁组织,以阻止其进行网络攻击活动。

文章来源 :互联网、freebuf

精彩推荐

乘风破浪|华盟信安线下·web渗透夏令营暨网络安全就业班招生中!


web渗透入门基础篇|充电


重磅|2023华盟HW工程师招募


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存