6月第3周業務風控關注 | 偷拍產業鏈曝光：你的私生活，可能正被幾萬人圍觀

易盾業務風控週報每週報導值得關注的安全技術和事件，包括但不限於內容安全、移動安全、業務安全和網路安全，幫助企業提高警惕，規避這些似大實小、影響業務健康發展的安全風險。

1、傳暗網出售180萬蘇寧會員資料

6月18日晚7點，南方都市報報導，有網友在暗網發帖出售蘇寧會員資料，資料涉及180萬蘇寧使用者，售價100美元，包含手機號、密碼、姓名、身份證號等資訊。針對以上事件，蘇寧表示，經對網曝示例資料進行核查，並非蘇寧使用者資料。其還表示，不管是買賣個人資訊還是編造謠言損害蘇寧聲譽均已觸犯法律乃至構成犯罪。

2、以色列公司宣稱可從任何iOS裝置上提取資料

據外媒報導，以色列移動裝置取證公司Cellebrite宣稱可以解鎖任何iOS裝置，包括執行最新移動作業系統iOS 12.3的裝置。在安卓裝置上，該公司表示，三星的所有旗艦裝置都可以執行類似操作，還可以提取未分配的資料，甚至收集有關已刪除專案的資訊。

3、京東金融、智聯招聘等24款APP被曝超限索權

6月10日至17日，新京報記者依照《資訊規範》中的分類選取了50款常用APP，對其索取的許可權以及收集資訊的範圍進行實測，發現若嚴格按照《資訊規範》中劃定的資訊收集範圍，這50個APP中有24個APP索取的許可權超出範圍，如智聯招聘索取了相機、位置、通訊錄許可權，百合婚戀收集了通訊錄許可權。

4、Linux曝出TCP拒絕服務漏洞

Netflix 工程師在 Linux 和 FreeBSD 核心中發現了多個 TCP 網路漏洞。漏洞與最小分段大小(MSS)和TCP Selective Acknowledgement(SACK)有關，其中最嚴重的漏洞綽號為 SACK Panic，允許遠端對Linux 核心觸發核心崩潰。

5、CBP分包商出現重大資料洩露事件

援引美國有線電視新聞網（CNN）報導，美國海關和邊境保護局（CBP）所僱傭的分包商Perceptics出現重大資料洩露事件，在對已經洩露的資料分析後發現至少有5萬條美國車牌號碼資料在暗網上被銷售。更為重要的是，CBP向CNN透露從未向該公司授權保留這些車主資訊。

6、工信部《網路安全漏洞管理規定（徵求意見稿）》

為貫徹落實《中華人民共和國網路安全法》，加強網路安全漏洞管理，工業和資訊化部會同有關部門起草了《網路安全漏洞管理規定（徵求意見稿）》（見附件），擬以規範性檔案形式印發，現面向社會公開徵求意見。

7、微信安全團隊：用外掛，就處罰

6 月 18 日，微信安全中心釋出公告稱，對於明確使用外掛功能的帳號，一經確認，微信安全團隊將做出限制功能直至限制登入等處罰；對於多次違規者，將根據梯度處理原則加重處罰。（雷鋒網）

8、2019年5月|我國DDoS攻擊資源月度分析報告

根據CNCERT抽樣監測資料，2019年5月，利用肉雞發起DDoS攻擊的控制端有257個，其中，37個控制端位於我國境內，220個控制端位於境外。位於境外的控制端按國家或地區分佈，美國佔的比例最大，佔45.9%，其次是加拿大和中國香港！

9、感染型病毒通過淘寶店傳播，竊取使用者上網資訊

近日，有使用者求助，稱在淘寶一家名為“CF遊戲單機社”網店購買遊戲後，下載執行時，導致電腦感染病毒。據瞭解，該店鋪出售的帶毒遊戲為“穿越火線（CF）”單機版，原本為網路遊戲，被人為破解改編成單機遊戲，並放在淘寶售賣。

根據工程師分析，由於破解該遊戲的環境被感染病毒，最終導致整個遊戲壓縮包攜帶病毒，並通過使用者購買安裝不斷感染和傳播。更為嚴重的是，該店鋪中其它遊戲也極有可能感染該病毒。（cnBeta）

10、南京提議將褻瀆英烈列為嚴重失信行為

南京市信用辦公佈了《南京市社會信用條例（草案）》（doc），公開徵求意見，意見截至日期 7 月 17日。第三十四條規定將褻瀆英烈，損害國家和民族尊嚴、傷害人民感情的行為列為嚴重失信行為。（科技行者）

11、谷歌考慮將所有兒童視訊遷移至YouTube Kids應用

援引彭博社報導，美國聯邦交易委員會（FTC）正在調查谷歌旗下YouTube是否違反了對兒童收集資料和打廣告的規定。具體包括是否非法收集未成年人資訊以及在沒有家長允許的情況下透露給其他人。YouTube已經因為兒童內容飽受爭議。該公司聘請了專門的員工來觀看和審查兒童視訊，移除有害內容，並推出了一款兒童款應用，更加安全。

12、偷拍產業鏈曝光：你的私生活，可能正被幾萬人圍觀

你或許從沒想到過，當自己在外出差、旅遊時入住的酒店，其實是一個現場直播的演播廳。而主角，就是你自己。你在房間內的一舉一動，都被一個小小的攝像頭盡收眼底。從製造出售偷拍裝置，到收集視訊，再銷售傳播，這中間其實藏著的是不僅僅是一個隱蔽攝像頭，而是一條完整的偷拍黑色利益鏈。

偷拍者拿到偷拍視訊後，只用在網上轉手一賣，就可以從中獲利。被抓獲的偷拍者透露，每個攝像頭可共享給 100 人觀看，並且有現場直播、回放和下載觀看等功能。偷拍者將每個觀看賬號以每月 100-300 元不等的價格出售給代理，代理再以 200-400 元不等的價格出售給下級代理或網民。個別代理還將隱蔽攝像頭回傳的視訊下載後，儲存在網盤中，通過微信、QQ 以 20-60 元不等的價格出售網盤賬號。（科技行者）