一周安全大事记

据报道，研究人员在宜家的智能照明系统中发现了两个漏洞，允许攻击者控制该系统并使灯泡快速闪烁，还可能导致恢复出厂设置。

两个漏洞影响了宜家的 E1526 型 Trådfri 网关 1.17.44 及之前版本。该产品的价格约为 80 美元，通常用于照亮书架和梳妆台。

Synopsys 网络安全研究中心的 Kari Hulkko 和 Tuomo Untinen 表示，他们在2021 年 6 月就将这两个漏洞（CVE-2022-39064 和 CVE-2022-39065）告知宜家。CVE-2022-39064 的 CVSS 评分为 7.1，其核心是 Zigbee 协议，一种用于无线电、医疗设备和家庭自动化工具等低功率、低数据率设备的无线网络类型。

该漏洞允许攻击者通过该协议发送一个恶意帧，使宜家的 TRÅDFRI 灯泡闪烁。如果攻击者多次重发该恶意信息，灯泡就会执行出厂重置。

丰田为此次隐私泄露事件致歉，解释称一名负责构建 T-Connect 的外包开发人员在2017 年 12 月将该网站的源代码上传至 GitHub 公开库中。直到 2022 年 9 月 15日才发现该事件。

丰田查看源代码后发现，该公开代码仓库中包含存储着客户数据的服务器的访问密钥，于是该服务器暴露在全世界面前。

发现该 GitHub 公开仓库后，丰田立即将其专为私有仓库，并在两天后更改了该数据服务器的访问密钥。随后丰田启动调查，当时表示无法证实或否认是否有恶意人员发现该仓库并利用该密钥从服务器中窃取数据。

T-Connect 提供多种特性如基于智能手机的数字化密钥，以解锁丰田汽车、导航服务和远程启动等。好在，存储在该服务器上的客户管理号码对于第三方而言并无太大用处。但邮件地址，尤其如果犯罪分子决定构造关于丰田的钓鱼邮件时将发挥重大作用。因此，丰田提醒T-Connect 用户仔细检查收到的邮件。

暗网市场 BidenCash 近日公开了超过 120 万信用卡用户细节。援引国外科技媒体 BleepingComputer 报道，这些泄漏的信息包括卡号、过期时间、CVV 号码、卡片持有人名称、银行名称、卡片类型、家庭住址、电子邮件地址、身份证号码和手机号码等等。

这些信息足以让网络犯罪分子进行财务欺诈和身份盗窃。这些泄露的信用卡持卡人主要来自美国，此外还有来自印度、巴西、英国、墨西哥、澳大利亚、西班牙和中国。其中大部分信用卡的有效期到 2023 年，有些甚至到 2026年。

此次泄密似乎是 BidenCash 在其此前商店域遭受分布式拒绝服务（DDoS）攻击后对其新商店域的促销活动。为了确保更广泛的范围，网络犯罪分子通过公共网络域以及各种黑客和卡片论坛分发 URL。

像这样的暗网信用卡转储通常是骗局，因为其他信用卡转储仅包含虚假数据或以新名称打包的旧转储中的回收数据。然而，网络安全公司 D3Labs 证实，大约 30% 的信用卡是有效的，这意味着大约 350,000 张信用卡仍然有效。

10 月 13 日消息，印度孟买警方就 5G 相关诈骗发出警告。骗子们通过提供升级到 5G 连接的指导来欺骗用户。此前，海德拉巴和古鲁格拉姆警方也警告用户注意类似的骗局。

印度于 10 月 1 日启动 5G 服务后，该网络正分阶段慢慢推广中。下一代移动网络带来了众多升级，但这也为骗子们创造了新的机会。孟买警方的一条推文提醒用户注意新的骗局：骗子通过为人们提供升级 5G 的指南，以欺骗客户。警方称，不要分享他们的个人或银行信息或点击任何未知链接。

网络诈骗者以 5G 的名义发送链接。如果用户打开这个链接，就有黑客攻击手机的风险。如果用户不警惕，将处于危险之中。“通过发送从 4G 升级到 5G SIM 的链接，账户余额会被清空。这些链接是以各自电信公司的名义发送的。”

报告显示，骗子们会假装是主要电信公司的高管，并引导人们切换到 5G SIM 卡。然而，在该过程中，他们会向用户发送 OTP（一次性密码）或链接，这有可能会导致进一步侵入用户的设备或银行账户。