黑客攻破美一女孩房间安全摄像头并称自己是圣诞老人

据外媒报道，有人黑进了美国密西西比一户人家的环形安全摄像头，并且还用扬声器骚扰这家的8岁女孩。这名黑客告诉她自己是圣诞老人并还怂恿她破坏房间。这是近期发生的几起黑客在用户不知情的情况下登陆其Ring账号的攻击事件之一。

Ashley LeMay近日告诉媒体，她在自己女儿房间里安装了摄像头，这样她就可以在上夜班时照看她们。“在我买到它们之前做了很多研究。你知道，我真的觉得它是安全的。”

然而这次入侵就发生在她安装这款摄像头四天后，当时她正在出差，她的丈夫在家带**。

当她的女儿Alyssa听到自己卧室传出来声音后于是走进去看看究竟是什么。

从当事人分享的视频可以看到，Alyssa非常紧张地站在自己的房间里，黑客则远程播放了来自恐怖片《潜伏》里的歌曲《Tiptoe through the Tulips》。

“谁在那里，”Alyssa问道。

“我是你最好的朋友。我是圣诞老人。我是圣诞老人。难道你不想成为我最好的朋友吗？”黑客说道。

之后，这个匿名黑客继续骚扰Alyssa、嘲笑她并怂恿她破坏房间。

对此，这款摄像头厂商Ring在提供给媒体的声明中指出，黑客并不是通过数据泄露或破坏Ring的安全获取信息的，相反，这个人可能利用了这户人家账户的安全性。

根据声明，Ring用户经常会使用相同的用户名和密码来注册不同账户和订阅服务。“作为预防措施，我们强烈并公开鼓励所有Ring用户在其Ring账户上启用双重认证、添加共享用户（而不是共享登录凭证）、使用高安全性密码并定期更换密码。”

Ashley表示，她还没有在她的设备上设置双重认证。

详文阅读：

http://hackernews.cc/archives/28809

安全研究人员发现亚马逊上销售的儿童智能手表存在严重安全漏洞

安全公司Rapid7披露了在亚马逊上出售的三款儿童智能手表存在安全漏洞，这三款儿童智能手表是Duiwoim，Jsbaby和Smarturtle，价格不到40美元。它们被用作跟踪设备，以跟踪**并允许父母向**发送消息或者打电话。

但是Rapid7的安全研究人员发现，与佩戴手表的**保持联系的不仅仅是父母，因为它们内建的过滤器本来只允许白名单上的电话号码与手表联系，但是Rapid7发现此过滤器根本不起作用。

这些手表还通过短信接受了配置命令，这意味着潜在的黑客可以更改手表上的设置，从而使**处于危险之中。研究人员说，这三款手表都使用相同的软件，因此，这三款手表的漏洞会全面扩散。

Rapid7的研究人员还发现，这三款智能手表的默认密码完全相同，它们都是123456。Rapid7说，人们不太可能更改此密码，设备甚至不会告诉用户密码存在或如何更改。研究人员警告说，凭借这种简单的密码和通过短信更改配置的能力，潜在的黑客可以接管设备并跟踪**，甚至将智能手表与自己的手机配对。

Rapid7发现的另一个明显缺陷是，无法联系三款智能手表的制造商。 Rapid7的研究人员没有任何办法与制造商取得联系，因此担心无法解决这些漏洞。亚马逊目前没有回应是否要从商店中下架这三款儿童智能手表。

详文阅读：

http://hackernews.cc/archives/28753

小米米家摄像头被爆安全漏洞：谷歌已紧急禁止集成功能

近期，不时有报道称“智能”安全摄像头出现了一些愚蠢的安全问题，而绑定谷歌账号的小米米家安全摄像头发现的严重漏洞更令人担忧。援引外媒Android Police报道，由于小米米家摄像头存在的风险隐患，目前谷歌官方已经宣布在Google Home、Google Assistant设备上禁止绑定小米的集成功能。

谷歌阻止小米访问Assistant: https://www.bilibili.com/video/av81851575?zw

据悉，这个问题最初是由Reddit社区用户/r/Dio-V发现并分享的，他表示他自家的小米米家1080P Smart IP安全摄像头，会通过小米的Mi Home应用/服务连接绑定谷歌账号从而使用Google /Nest设备。Dio-V表示Nest Hub和米家摄像头都是从AliExpress新购买的，摄像头正在运行固件版本3.5.1_00.66。

详文阅读：

http://hackernews.cc/archives/29111

物联网供应商 Wyze 确认服务器发生泄露

据外媒ZDNet报道，Wyze是一家销售安全设备（如安全摄像头、智能插头，智能灯泡和智能门锁）的公司，该公司周日证实发生了服务器泄露，大约240万客户的详细信息遭泄露。Wyze联合创始人在圣诞节期间发表的论坛帖子中说，泄露是在内部数据库意外在线暴露之后发生的。

该公司表示，公开的数据库-一个Elasticsearch系统-不是生产系统；但是，服务器正在存储有效的用户数据。Elasticsearch服务器是一种用于支持超快速搜索查询的技术，旨在帮助该公司对大量用户数据进行分类。该公司表示：

 ‘’为了帮助管理Wyze的快速增长，我们最近启动了一个新的内部项目，以寻找更好的方法来衡量基本的业务指标，例如设备激活，连接失败率等。

我们从主要生产服务器复制了一些数据，并将其放入更灵活的数据库中，以便于查询。最初创建此新数据表时，该表受到了保护。但是，Wyze员工在12月4日使用此数据库时犯了一个错误，并且该数据的先前安全协议已删除。我们仍在调查此事件，以找出原因和发生方式。”

泄露的服务器是由网络安全咨询公司TwelveSecurity发现并记录的，并由IPVM（一个致力于视频监控产品的博客）的记者进行了独立验证。

Wyze公司对Twelve Security和IPVM如何处理数据泄漏公开表示不满，在公开调查结果之前，Wyze仅用了14分钟的时间解决了泄露问题。

详文阅读：

http://hackernews.cc/archives/29091

美国Ruckus无线路由器中发现3个严重漏洞 被黑客远程控制路由器

近日，有外媒报道称，美国无线系统供应商RuckusWireless公司的安全研究人员发现，其无线路由器中存在3个严重的远程代码执行漏洞，可被黑客用于绕过路由器并对其进行远程控制。

据了解，这些漏洞是在基于Web的界面中发现的。通过这些漏洞，黑客可以在路由器上获得root用户访问权限，无需密码即可利用路由器，并完全控制Internet。但研究人员表示，想要完全利用这些漏洞其实是非常困难的，因为需要对3个漏洞进行协调。

通过对路由器进行控制，攻击者可以监视到企业网络上未加密的流量，然后将用户重定向到包含恶意软件的网站中，并使用网络钓鱼攻击窃取用户名和密码等敏感信息。

Ruckus Wireless是一家总部位于硅谷的移动网络无线系统供应商。公司面向全球移动运营商、宽带服务提供商和企业用户。销售、制造各种室内外的智能Wi-Fi产品。到目前为止，公司已经在全球范围发售了超过200万台智能Wi-Fi系统。

目前，该公司已发布了补丁，以修补漏洞。并强烈建议其客户及时更新。

详文阅读：

http://mini.eastday.com/a/200103093854236.html