【安全帮】报道披露简历买卖产业链

McAfee 漏洞防护更新包导致 Windows 登录功能出现故障

近日发布的 McAfee Endpoint Security （ ENS ）安全软件更新给该产品的用户带来了严重的麻烦，更新包阻止用户登录计算机。根据 McAfee 发布的公告，如果 Windows PC 正在使用 McAfee ENS 10.2 ，并启用了漏洞利用防护并且安装了 Exploit Prevent 定义更新 9418 ，则会无法登录 Windows 。为解决此问题， McAfee 立即发布了更新包 9419 ，该更新可防止新工作站遇到此问题。但是对于已经受影响的工作站，即使禁用了漏洞利用防护，用户仍然无法登录，必须要进行手动 Windows 注册表修复。该修复过程必须通过安全模式完成，对于拥有数千甚至数十万个工作站的组织来说，难以招架。

参考来源：

https://www.freebuf.com/news/208041.html

报道披露简历买卖产业链

国内媒体报道了简历资源倒卖产业链。那么简历资源是谁提供的？一种可能的资源来源显然是内部人士，本周早些时候媒体就报道了智联招聘员工参与倒卖公民个人信息的案件。报道称，知情人士表示，简历信息泄露也可能是招聘网站出现了 “内鬼” … 一位自称是某招聘平台内部员工郭江，他表示可以通过内部方式开通后台账号，下载全国任意城市的求职人员简历 … 简历资源大部分被拿去做卡发短信。什么是卡发短信？资料显示，卡发短信指的是虚拟网关短信，这种短信显示的是服务器上的虚拟手机号码，而且每次都不一样。卡发短信适合大量群发，适用于广告宣传、促销等营销方式。

参考来源：

https://www.solidot.org/

Pale Moon 存档服务器被入侵和感染木马

Firefox 开源分支 Pale Moon 披露它的存档服务器 archive.palemoon.org  遭到入侵 ，而入侵时间很有可能发生在两年前，入侵者运行脚本感染了所有存档的 Pale Moon 可执行文件。根据文件修改的时间戳，感染发生在 2017 年 12 月 27 日下午 3 点半，入侵细节已经难以判断，原因是服务器在今年 5 月发生过一次数据损坏故障，导致系统日志丢失。受影响的存档是 Pale Moon 27.6.2 以及之前的版本，如果用户从未在存档服务器下载文件，那么应该没有感染恶意程序，如果下载并执行了修改版的文件，那么最好使用杀毒软件进行一次全盘扫描。

参考来源：

https://www.solidot.org/story?sid=61333

超 3300 万个邮箱密码泄露，一大波勒索邮件攻击正在到来

腾讯安全御见威胁情报中心近期捕获到一起挖矿木马攻击事件，该木马病毒的独特亮点就是利用肉鸡电脑大量发送恐吓勒索邮件。攻击者首先通过 VNC 爆破弱口令尝试登录服务器，得手后先下载门罗币挖矿木马挖矿，木马会关闭 Windows 安全中心，添加开机启动项，会感染 U 盘或移动硬盘，劫持比特币钱包等等。但这些都是再平常不过的挖矿木马常规套路，该挖矿木马最大的亮点是利用被感染的服务器去分别验证数以千万计的邮箱帐号密码，再群发恐吓勒索邮件。每攻克一台服务器，攻击者就验证 2 万个邮箱地址。截止目前，该病毒已经攻克了 1691 台服务器，已验证的邮箱帐号超过 3300 万个 .

参考来源：

http://hackernews.cc/archives/26309

中国银行回应 App 隐私信息问题：提示了隐私政策条款

据财联社消息，昨日，中国银行回应针对手机银行隐私问题的相关报道称，中国银行高度重视保护客户隐私信息。手机银行 App 向客户提示了隐私政策条款。中国银行将根据有关方面最新要求不断完善客户隐私政策，持续强化客户隐私保护措施。此前，有报道称，中国银行手机银行等 10 款 App 存在无隐私政策等问题被通报。

参考来源：

https://www.bianews.com/news/flash?id=39775

不给收集个人信息权限就无法安装 鲁大师发布整改公告

7 月 11 日晚间，针对要求用户一次性同意开启多个可收集个人信息权限一事，鲁大师官微发布整改公告称，已经进行调整，下个版本，将会在用户使用评测前提示用户本测试需要获取的相应权限并进行测试。鲁大师承诺，现在及将来都不会利用用户隐私进行非法获利。 7 月 11 日，据媒体报道，相关部门通报，铃声多多、天天酷跑、趣店、探探、猎豹安全大师、旺信、双开助手、鲁大师、人人、 2345 手机浏览器、儿歌多多、看看视频、优联 WiFi 、 in 、惠锁屏、全能相机、 DJ 多多、快贷、鸿雁传书、合拍这 20 款 APP 违反《网络安全法》第四十一条“网络运营者收集使用个人信息，应当遵循合法、正当、必要的原则”的要求，要求用户一次性同意开启多个可收集个人信息权限，不同意则无法安装使用。

参考来源：

https://www.cnbeta.com/articles/tech/866713.htm

谷歌被曝聘请合同工，监听全球用户与语音助手的对话

据美国科技网站 The Verge 报道，日前，谷歌的一名合同工透露，谷歌在监听其语音助手（ Google Assistant ）录制的用户对话。有时，即使用户没有使用语音助手，其对话依旧可能被监听。比利时公共广播公司 VRT NWS 在本周的一篇报道中称，谷歌在全球各地聘请合同工监听用户与语音助手之间的一些对话录音。这些录音可能会暴露有关用户的敏感信息，如姓名和地址。据合同工透露，录音内容还包括一些用户要求谷歌语音助手提供医疗状况信息或搜索色情内容。 VRT NWS 的报道还表示，在某些情况下，即使用户没有发出“ Hey, Google ”或“ OK, Google ”的语音指令启动语音助手，语音助手还是会对用户的对话进行录音。这名合同工向媒体提供了 1000 个多个代码片段，其中包括 150 个左右的荷兰语对话录音片段。

参考来源：

https://nosec.org/home/detail/2776.html