各位Buffer早上好，今天是2019年02月26日星期二。今天的早餐铺内容有：ICANN呼吁全面推进部署DNSSEC 有效阻止“中间人”域名攻击；软件故障导致 Lime 电动滑板车锁定；北京一警察倒卖公民犯罪记录5万余条，获利32万被判4年；研究人员发现4G/5G漏洞，可拦截通话追踪用户位置；疑似国内某天气APP上传用户所有WiFi账号和网络信息；攻击多地房管部门网站窃公民信息，低至2元出售！重庆32人获刑。

ICANN呼吁全面推进部署DNSSEC 有效阻止“中间人”域名攻击

网络域名管理者互联网名称与数字地址分配机构（ICANN）近日发布警告称，DNS基础设施的关键部分存在持续且重大的安全更新。ICANN通过域名系统（DNS）来监督管理全球的互联网通信地址，系统将用户在浏览器中输入的地址转换成为唯一的数字地址，从而让用户访问对应的网站。不过ICANN本周五发布公告称，DNS基础设施正成为“恶意活动”的攻击目标。

针对此类DNS攻击，ICANN呼吁全面部署“系统安全扩展”（DNSSEC）。 DNSSEC是一种对数据进行数字“签名”的有效技术，可以阻止受害者重定向至恶意。通过部署DNSSEC，可以有效阻止“中间人”攻击方式。通过这种攻击方式，欺诈者可以将受害者重定向至精心制作的虚假网站，并诱骗他们提供登录凭证、付款信息以及其他个人信息。[cnbeta]

软件故障导致 Lime 电动滑板车锁定

瑞士和新西兰的用户报告，他们的电动滑板车车轮在行驶过程中突然锁定，导致他们摔倒在地，有数十人因此受伤。在相关报道披露之后，Lime 于今年一月在瑞士停止了其电动滑板车租赁服务。上周新西兰奥克兰市也投票暂停其服务。Lime 承认是软件故障导致了这一问题，该公司声称受影响的滑板不到总数的 0.0045%。Lime 称初步的修正减少了事故发生数量，最终版更新预计将会更快完成。

Lime 称，bug存在于滑板车的固件中，在极其罕见的情况下它会导致使用过程的过多刹车。这种罕见的情况通常是以最高速度下坡碰到路面坑洞或其它障碍物，前轮制动力过大，导致滑板车意外停止。[solidot]

北京一警察倒卖公民犯罪记录5万余条，获利32万被判4年

北京一派出所警长聂某利用密钥权限，从公安系统内部网络查询公民个人犯罪记录5万余条，这些信息被其出卖给一家公司，共获利32.8万余元。近日，经两级法院审理，聂某因受贿罪被判处有期徒刑四年，辅警郭某因协助聂某实施犯罪，也获刑一年半。

董某是睿思科管理顾问（北京）有限公司的法定代表人，公司的主营业务是接受客户的委托，对应聘人员进行背景调查，内容主要包括身份证信息是否真实、学历学位是否属实、有无犯罪记录等。为了开展调查犯罪记录方面的业务，董某通过朋友介绍，联系到了派出所警长聂某。因聂某持有公安数字证书，可以登录公安内部系统进行犯罪记录的查询，董某便与其达成合意，由聂某提供董某所需的个人犯罪记录信息，并收取相应报酬。

经审理，一审法院认定聂某、郭某的行为构成受贿罪，董某成立单位行贿罪。故一审以受贿罪判处聂某有期徒刑四年，罚金30万；判处郭某有期徒刑一年半，罚金10万；以单位行贿罪判处董某有期徒刑两年，罚金50万。二人提起上诉后法院驳回，维持原判。[secrss]

研究人员发现4G/5G漏洞，可拦截通话追踪用户位置

一组研究人员发现了4G和5G的三个新漏洞，可以用来拦截电话和跟踪手机用户的位置。 据称，该项发现是首批影响4G及5G标准的漏洞。但研究人员表示，开发的新攻击手段可以击败新的保护措施。 

首先，使用Torpedo来利用寻呼协议中的漏洞，运营商使用这个协议在打电话或发送短信前通知手机。 研究人员发现，在短时间内拨打或取消的电话可以触发寻呼消息，而不会警告目标设备有来电。攻击者可以使用该来电来跟踪受害者的位置。 在了解受害者的寻呼时段后，还可以让攻击者通过警报等欺骗信息或彻底屏蔽信息，劫持寻呼信道，并注入或拒绝寻呼消息。

 Torpedo打开了另外两个攻击的大门：研究人员表示，Piercer允许攻击者在4G网络上确定国际移动用户身份，及IMSI破解攻击，可以在4G和5G网络中强制破解加密的IMSI识别码。 研究人员表示，即使是最新的5G设备也面临着stingray的威胁，执法部门使用它来判断某人的实时位置，并记录其范围内的所有手机。部分更先进的设备还能够拦截电话和短信。 

研究人员表示，美国四大运营商均受到Torpedo的影响，而进行攻击所需的无线电设备售价最低为200美元。 美国四大运营商均未对此置评。[bianews]

疑似国内某天气APP上传用户所有WiFi账号和网络信息

近日，推特一名网友发布消息称墨迹天气app上传用户所有的wifi账号，根据数据被抓包显示，该APP上传了用户的WiFi账号和相关网络信息，并进行足迹和画像记录，隐私跟踪。同事还指出其背后另有大企业接口，并非独立事件。当前墨迹天气官方尚未给出任何回应。[secrss]

攻击多地房管部门网站窃公民信息，低至2元出售！重庆32人获刑

不久前，重庆市出现非法入侵多地房管部门网站窃取大量公民个人信息，然后以每条2-6元的价格公开出售，从中获取利益等一系列事件。重庆市忠县人民法院对这起侵犯公民个人信息案件作出公开判决，32名被告人因侵犯公民个人信息罪、非法侵入计算机信息系统罪，分别被判处五年六个月至一年不等的有期徒刑，并处罚金。

警方分析查证，这是一条以黑客窃取、非法出售、加价转卖、非法收买、交换公民个人信息，然后用于商业推销或犯罪活动的黑色产业链。涉案的公民个人信息达3890万条，覆盖了学生、新生儿、病人等人群。重庆某装饰公司员工汪某某发现装饰行业需要大量房屋业主个人信息用于联系业务，便将此前公司掌握的房屋业主信息以及通过购买、交换等方式从他人处获取的大量公民个人信息，向其他装饰公司以及装饰公司业务员出售赚钱。

通过对上述被告人作案使用的电脑、U盘和QQ进行检查，警方查获大量公民房产信息、学生信息、新生儿母婴信息、车主信息、住院病人等信息上亿条。去掉重复信息后统计，涉案信息共3890万条，其中房产信息3120万条，车主信息104万条，学生信息540万条，新生儿母婴信息6000余条，病人信息7万条，银行卡客户信息4万条，另外还有部分贫困户信息、个人征信信息等。

1月10日，该案公开宣判，以汪某某为首的32名被告人因侵犯公民个人信息罪、非法侵入计算机信息系统罪，分别被判处有期徒刑五年六个月至有期徒刑一年缓刑一年，并处罚金。[secrss]