FreeBuf早报，安全圈值得关注的每日大事件

【全球动态】

1.Akamai:65.1%的Web应用程序攻击来自SQL注入

近日，Akamai发布了《 2019 年互联网安全状况报告：Web攻击和游戏撞库》。报告显示，作为最有利可图的行业之一，游戏行业成了黑客攻击的主要目标。从 2017 年 11 月至 2019 年 3 月的这 17 个月中，黑客已经针对游戏网站进行了 120 亿次撞库攻击，占总撞库次数( 550 亿次)的21.8%。报告指出：玩家账号一旦成功遭到黑客入侵，即被交易或出售。[阅读原文]

2.出于隐私考虑，苹果联合创始人Steve Wozniak建议用户删除Facebook账户

苹果联合创始人斯蒂夫·沃兹尼亚克(Steve Wozniak)近日提出建议称：“你应该找到一种方法来摆脱Facebook。”他警告称这家科技公司现在比以往更多地侵入人们的隐私。他的解决方案是让人们支付费用以保证他们的数据更安全和私密。[外刊-阅读原文]

3.FCC主席：机器人电话禁令应指向短信和跨国电话诈骗

FCC主席Ajit Pai提出了另一套关于机器人电话的规则，这一次针对的则是短信和国际电话。FCC将于8月1日就该反欺诈规则进行投票，目前其已经获得了40多位州检察长的支持。 新规将填补针对国际呼叫者的漏洞，包括单向互连的VoIP呼叫和使用短信的诈骗行为。[阅读原文]

4.干涉个人隐私，法国政府被判赔偿巴黎恐袭元凶500欧

法国政府被判向“欧洲第一恐怖分子”萨拉赫·阿布德斯拉姆支付500欧元赔偿，原因是政府法令干涉萨拉赫的个人隐私，但萨拉赫本人则拒绝了这笔赔偿。事发2016年萨拉赫在法国被关押期间，萨拉赫被关押在安装有视频监控的牢房。萨拉赫律师Berton表示该做法影响当事人隐私，要求暂停这一措施。[阅读原文]

5.意大利Swascan宣称“检出鸿蒙多项漏洞”

意大利网络资安研究公司Swascan当地时间7月8日宣称，他们已经在华为自主研发的操作系统“鸿蒙”发现有三项容易遭受黑客入侵的漏洞，黑客能够利用这些漏洞轻易取得国家机密资讯。[阅读原文]

6.大使文件泄露破坏美英关系，英国考虑指责俄罗斯黑客

近日英国驻美大使卷入了一场巨大的政治争端，《每日邮报》此前披露了遭泄露的大使基姆·达罗奇备忘录显示，他称特朗普“昏庸无能”。英国政府正在调查这些备忘录是如何泄露给媒体的。他们认为，可能是黑客发动了网络攻击以获取文件并破坏英美关系。[阅读原文]

7.美海岸警卫队称其一艘舰船曾遭黑客攻击

美国海岸警卫队周一发消息称，其一艘舰船上的计算机系统遭到了黑客袭击，美国海岸警卫队“强烈建议”美国船只的所有者“安装并定期更新基本的防病毒软件”。但是，美国海岸警卫队新闻服务部门没有具体说明遭到黑客攻击的是哪一艘船。[阅读原文]

【安全事件】

1.最新Redis未授权访问漏洞

由于在Reids 4.x及以上版本中新增了模块功能，攻击者可通过外部拓展，在 redis中实现一个新的Redis命令。攻击者可以利用该功能引入模块，使被攻击服务器中加载恶意的.so文件，从而实现恶意代码执行。[阅读原文]

2.Zoom安全漏洞被指可以让网站劫持Mac摄像头

据外媒报道，当地时间7月9日，安全研究员Jonathan Leitschuh公开披露了在Mac电脑上Zoom视频会议应用中出现的一个严重零日漏洞。他已经证明，任何网站都可以在安装了Zoom应用的Mac电脑上打开视频通话。[阅读原文]

3.欺骗用户付费订阅：谷歌终于下架Play商店中假冒的“三星更新”应用

上周，CSIS 安全小组的一份报告指出，许多媒体在谷歌 Play 商店里发现了一款假冒的“Updates for Samsung”应用程序。显然，其利用了官方反应不够及时的这个漏洞，旨在引诱不知情的三星移动设备用户花一笔冤枉钱。媒体曝光后，谷歌表示这款应用程序已因违反政策而被叫停，但目前暂不清楚具体根据的是哪一部分条款、以及该公司是如何发现异常的。[阅读原文]

4.因2018年数据泄露事件，万豪将面临1.24亿美元的GDPR罚款

万豪酒店因未能保护客户数据而面临1.24亿美元罚款，这是英国监管机构本周在欧洲严格的新隐私规则下提出的第二项重大罚款。该连锁酒店周二在一份监管​​文件中表示，英国信息专员办公室打算根据（GDPR）征收9900万英镑（1.24亿美元）的罚款。[外刊-阅读原文]

5.GE麻醉机中发现的漏洞

医院中使用的某些麻醉机固件中的漏洞可能会被滥用，以改变正常功能，直至调整吸入物质的混合水平。该漏洞影响GE Aestiva和GE Aespire麻醉系统，型号7100和7900，来自GE Healthcare。研究人员建议不要将易受攻击的麻醉机连接到医院网络。[外刊-阅读原文]

6.微软发布7月补丁，修复了2个零日漏洞

随着2019年7月安全更新的发布，微软发布了1个建议，1个服务堆栈更新，以及77个漏洞的更新，包含15个严重漏洞。 其中修复了两个被利用的0day漏洞，这些漏洞可能允许程序以更高的权限级别运行。[外刊-阅读原文]

7.严禁公布成绩排名,彰显未成年人隐私权

8日晚,《中共中央国务院关于深化教育教学改革全面提高义务教育质量的意见》全文公布。意见明确,从严控制考试次数,考试内容要符合课程标准、联系学生生活实际,考试成绩实行等级评价,严禁以任何方式公布学生成绩和排名，彰显未成年人隐私权。[阅读原文]

【优质文章】

1.Sodinokibi勒索病毒全解

Sodinokibi勒索病毒已经成为了GandCrab勒索病毒的接班人，可是遗憾的是：这款勒索病毒目前还没解密工具，全球各大企业和机构一定要做好相应的防范措施，以防中招![阅读原文]

2.数字风险防护DRP初探

数字风险防护可以有效降低企业数字化转型带来的风险，防止公司数据，品牌和攻击面的不必要暴露，提供有关来自外部的可执行的威胁情报，并构建针对外部风险及时处置的能力。[阅读原文]

3.智能门锁安全研究方法总结

随着智能门锁普及，各种安全漏洞也爆出来：指纹复制，密码猜解，强磁干扰，APP漏洞，近场通信劫持，WIFI流量劫持，云端服务器漏洞。[阅读原文]

4.防追踪溯源识别联网工控设备的方法

伴随中国智能制造2025、两化融合以及工业互联网等背景下，越来越多的工业控制系统暴露在网络空间里，为了掌握互联网上有多少工控设备，以及这些工控设备的型号和存在的风险。[阅读原文]

5.5G网络安全技术与发展

4G网络的发展已经成熟，同时商业化运行也已经非常稳定。信息化时代不断进步，对通信技术也提出了新的要求，5G网络技术应运而生。随着5G标准的逐步敲定，其逐步从技术走向应用，因而如何在使用过程中保护好用户隐私安全，成为每个通信企业需要考虑的问题。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。