Meta因使用医疗数据提供广告遭集体诉讼​
2022-8-3 10:30:12 Author: 汇能云安全(查看原文) 阅读量:14 收藏

8月3期三

  • Meta因使用医疗数据提供广告遭集体诉讼

加州法院受理了一份对Meta、UCSF医疗中心等机构的集体诉讼,指控这些企业和机构非法收集患者敏感信息并投放广告。据称,敏感信息包括患者病情、医生和药方等,Meta和医疗机构在没有通知患者的情况下收集了这些信息并使用他们进行针对性广告投放,这对个人隐私是严重的侵犯。主谋当然是负责收集信息和投放广告的Meta,他们利用多个网站部署的Meta Pixel收集访问者数据,就算没有Facebook账号也会被收集可以拿到的任何信息。有人统计后发现,8万个高浏览量网站中Meta Pixel在其中30%都有部署,这是一个相当高的比例,统计出的数据也非常夸张。目前原告将代表受到影响的人发起集体诉讼,Meta和医疗机构很可能因违反医疗信息保密、侵犯隐私、联邦窃听法等面临巨额罚款。
  • 美国政府提醒公民注意短信钓鱼信息泄露

美国联邦通信委员会发布安全通告,提醒公民小心短信钓鱼带来的信息泄露。FCC分析消费者投诉后发现,近年来短信业务下降带来的反而是短信条鱼的逐年上升,今年仅半年份的短信相关钓鱼投诉就达到了8500起。另一家数据公司统计,6月份消费者收到的总垃圾短信量达120亿条,足够每个人喝一壶的。普通的垃圾短信倒也罢了,钓鱼短信还暗含信息泄露甚至财产损失的风险。比如投诉中就有针对待付账单、未收快递、银行账号错误、警方索赔等各种各样的钓鱼信息,一旦相信后果不堪设想。FCC就投诉的主要主题,总结出部分防范措施展示在官网,不过都是很传统的内容,有兴趣可自行查看。

  • 上万钓鱼投资网站瞄准欧洲用户埋下饵料

安全研究员发现规模过万钓鱼网络,以投资为诱饵针对欧洲投资者发起攻击。这些钓鱼网站表面功夫倒是做足了,捏造各种名人代言和名人名言,吸引受害者抓紧立刻马上投资,只需250欧元注册,便可获得高额回报,早日成为大富翁。根据语言和地区,安全研究员判断主要目标用户为包括英国、比利时、德国、荷兰、葡萄牙、波兰、挪威和瑞典在内的欧洲公民。为了进行推广,黑客在各种社交媒体平台发广告,还黑掉一些小有名气的账号发钓鱼链接,待受害者上当后,还做了个投资逐渐上涨的界面给自己缓冲,等受害者满足了想提现才发现钱已成为服务器上的浮云。安全研究员提醒,投资一定要关注平台是否可靠,认准官方网站可以大大减少受骗概率。
  • 付费订阅的车辆功能会让汽车黑客成为趋势吗

近年来,宝马方面开始在他们的新车中部署名为“Operating System 7”的车载系统。新系统虽然带来了交互感受上的重大革新,但也招致了部分消费者的强烈批评,其中主要的原因就是因为,宝马在这套车载系统中加入了更多的“微交易”设计。说得更通俗一点,也就是设计了“氪金解锁车辆功能”的机制。比如说在相关报道中,就提到了一家名为“Litchfield Motors”的英国汽车改装公司。其不仅可以像大多数改装厂那样,通过软件改装为汽车提供动力提升,并且还“擅长”破解那些原本需要后付费的车辆预装功能,比如语音识别、无线Carplay、座椅加热,甚至像是行驶途中可以在中控屏上播放视频这种、因为安全原因早已被禁用的功能。

书签同步已经成为浏览器的一个标准功能,能帮助用户在某一设备上对书签进行改动时,也能同步到其他设备上。然而,研究发现,这种操作也给网络犯罪分子提供了一个便捷的攻击途径。SANS技术研究所的学术研究人员大卫·普雷弗(David Prefer)的这一发现,是对攻击者如何滥用浏览器功能,从被破坏的环境中偷取数据并执行其他恶意功能研究的一部分。总的来说,书签可以被滥用来从企业环境中吸走大量被盗数据,或者在几乎不会被发现的情况下从中部署攻击工具和恶意有效载荷。

  • 超3200个应用程序泄露了 Twitter API 密钥

近日,网络安全研究人员发现一组异常的移动应用程序,这些应用程序向民众公开了 Twitter API 密钥,据统计,此类应用程序多达 3200 个。网络安全公司 CloudSEK 首次发现了这一问题,该公司在检查大型应用程序集合是否存在数据泄漏时,发现了大量应用程序泄露了 Twitter  API 密钥。据悉,造成这一现象的主要原因是开发者在整合移动应用与 Twitter 时,会得到一个特殊的认证密钥(或称),允许其移动应用与 Twitter  API 交互。当用户使其 Twitter账户与移动应用联系起来时,这些密钥允许其他人代表用户行事,例如通过 Twitter 登录,创建推文,发送 DM 等。当攻击者设法得到这些密钥后,就能够以关联的 Twitter 用户身份进行操作,建议大家不要将密钥直接存储在移动应用中,避免攻击者找到并利用它们。

  • CompleteFTP 路径遍历缺陷可导致服务器文件遭删除

CompleteFTP 由澳大利亚公司 EnterpriseDT 开发,它是适用于 Windows 系统的专有 FTP 和 SFTP 服务器,支持FTPS、SFTP和HTTPS。昵称为 “rgod” 的安全研究员从 HttpFile 类中发现一个漏洞,是因为在将用户提供的路径用于文件操作前缺乏正确验证造成的。安全公告指出,“该漏洞可导致远程攻击者删除 EnterpriseDT CompleteFTP服务器上受影响安装程序上的任意文件。攻击者可利用该漏洞删除系统上下文中的文件。”该漏洞的编号为CVE-2022-2560,已在 CompleteFTP 版本22.1.1中修复。修复版本中包括其它安全增强功能,这些增强以RSA签名的SHA-2加密哈希函数的形式和 PuTTY 私钥的新格式体现。

  • 黑客声称通过受陷 MSP 获得对50家美国企业的访问权限

管理服务提供商通过管理IT基础设施和提供支持而获得报酬,通常为没有IT部门的规模较小的组织机构服务。近年来,管理服务提供商被网络安全机构列为黑客实施利用的潜在易受攻击访问点。网络安全公司 Huntress 公司的资深事件响应师 Harlan Carvey 表示,7月18日,名为 “Beeper” 的用户在 exploit[.]in 上用俄语发布帖子,寻求对某管理服务提供商访问权限的变现,“寻找 MSP 处理的合伙伙伴。我拥有对50多家企业的MSP面板的访问权限。超过100台 ESXi、1000多台服务器。我想量化工作但人手不够。从准备方面看只剩下一小部分工作,因此我的利润分成较高。请发送讯息获取更多详情和建议。”多名网络安全专家在推特和其它社交网站上分享了这条消息,并提醒称注意这类访问权限的潜在后果。

  • 中欧天然气管道公司疑遭勒索软件攻击,150GB数据失窃

据近日消息,ALPHV勒索软件团伙(又名BlackCat)声称,对上周中欧地区天然气管道与电力网络运营商Creos Luxembourg S.A.遭受的网络攻击负责。Creos母公司Encevo在7月25日证实,在7月22日至23日遭受了网络攻击。Encevo在欧盟五个国家拥有能源经营业务。虽然网络攻击致使Encevo和Creos的客户门户网站无法访问,但其服务运营并未中断。7月28日,Encevo公司发布关于网络攻击的最新消息,称初步调查结果表明,网络入侵者已经从被访问系统中窃取到“一定数量的数据”。Encevo还坦言,他们暂时无法估量影响的具体范围,并恳请客户耐心等待调查结束,届时将分别发送个性化事件通报。目前Encevo的媒体门户上仍未发布进一步更新,因此调查程序可能仍在进行当中。Encevo表示在掌握更多情报时,会将消息发布在专门的网络攻击页面上。

  • 全球平台间互联互通的现状分析

经过长期复杂博弈,国内互联网头部平台之间逐渐形成了互不相通的生态封闭局面。屏蔽封杀成为大型互联网平台间常用的竞争策略,从PC时代一直延续至移动互联网时代,覆盖移动支付、社交、电商等多个领域。由于长期缺乏有效监管和引导,导致我国互联网行业形成了围绕头部平台的“生态垄断”现象,即“生态内开放共赢、生态外隔离封锁”,对创新、竞争、用户体验和政府治理都形成了巨大挑战。

    360 GT  E  NOSEC      MACFEE  Symantec    


文章来源: http://mp.weixin.qq.com/s?__biz=MzIwNzAwOTQxMg==&mid=2652246075&idx=1&sn=c1a465ae5869454c7420bae915f14abc&chksm=8cfa53d0bb8ddac6d7133ea43d87244ea58dc678a759d712fe4a60cecce154d14cc506497c20#rd
如有侵权请联系:admin#unsafe.sh