FBI 服务器被黑客入侵；谷歌服软！3.915亿美金求和解；东莞一房产中介老板购买转发4万余条业主个人信息获刑三年半！

热点目录

国外热点

·将机密藏在三明治中，美国夫妇因出售核潜艇机密被判入狱

·FBI 服务器被黑客入侵

·谷歌服软！3.915 亿美金求和解

·马斯克执掌推特三周后，双因素身份认证出现漏洞

国内热点

·特大系列侵犯公民个人信息案件，侦破！涉及 27 个省份

·东莞一房产中介老板购买转发 4 万余条业主个人信息获刑三年半！

·得物 APP 被爆删除用户视频

国外热点

将机密藏在三明治中

美国夫妇因出售核潜艇机密被判入狱

据称，44 岁的被告乔纳森·托贝在任职海军核工程师期间，具备访问海军核推进装置机密信息，包括军事敏感的设计元素、性能特征以及核动力潜艇反应堆其他敏感数据的权限，他协同自己 46 岁的妻子戴安娜·托贝，试图将上述部分信息出售给外国政府。这对夫妇第一次将加密 SD 卡藏进半个花生酱三明治中、第二次将另一张加密 SD 卡藏在口香糖包装中，在第三次交易过程中被抓获。

据《华盛顿邮报》的报道，乔纳森·托贝对出售这些机密信息早已蓄谋已久，甚至为事情败露预留了护照和现金。在一封写给外国的信中，乔纳森称，“这些信息是在我的正常工作过程中，经过几年的缓慢而仔细地收集的，以避免引起注意，每次都是几页纸，偷偷通过安检。”

FBI 服务器被黑客入侵

据美国国家公共广播电台 13 日报道，美国联邦调查局（FBI）证实，有黑客当天入侵其服务器并发出大量虚假信息。黑客于 13 日零时许侵入 FBI 一个对外电子邮件系统，2 时开始第二轮攻击。据估计，至少 10 万个电子邮箱收到黑客发送的虚假邮件。邮件标题为“紧急：系统中的威胁行为人”，内容声称网络安全专家文尼·特罗亚可能破坏网络安全，因为他去年撰写了一份对知名黑客组织“黑暗霸主”的调查报告，邮件末尾署名为“美国国土安全部网络威胁检测与分析组”。

“斯帕姆豪斯”组织称，这些邮件中没有恶意软件，但黑客的目的可能是诽谤特罗亚，并煽动民众向 FBI 拨打电话，从而达成骚扰性攻击的目的。对于此事，特罗亚没有予以回应。

究竟谁是幕后黑手？FBI 表示，这是一波持续入侵，目前尚不清楚这些电子邮件是由可以访问 FBI 服务器的个人发送的，还是黑客，所以无法向公众提供任何额外信息。

谷歌服软！

3.915 亿美金求和解

美国总检察长调查美联社 2018 年的一篇文章时，发现谷歌至少从 2014 年起就开始追踪安卓用户位置。本次和解协议显示，谷歌甚至存在误导用户的情况，当用户本以为禁用设备设置中的 "位置历史 "就能禁用位置追踪时，另一个账户设置会默认打开名为 "网络和应用程序活动"，使得谷歌能够收集、存储和使用用户个人定位数据。

和解协议中要求谷歌必须引入更人性化的账户控制，并限制公司使用和存储某些类型的位置数据。此外，谷歌还应该对其用户位置数据跟踪和收集保持透明，在切换与位置相关的帐户设置时，必须显示其收集的数据以及如何使用这些数据的详细信息。

马斯克执掌推特三周后

双因素身份认证出现漏洞

11 月 15 日，据 Info Risk Today 报道，安全研究人员警告称，推特的多因素身份验证存在一个漏洞，可能导致账户接管。

该漏洞出现之际正值埃隆•马斯克（Elon Musk）执掌推特第三周，公司的主要安全合规人员离职，大量员工和承包商被解雇。一位匿名研究人员向媒体透露，向推特验证服务发送“STOP”会导致关闭短信双因素认证，它会自动回复“您的设备已被移除，所有账户的短信双因素验证已被禁用。”

国内热点

涉及 27 个省份

特大系列侵犯公民个人信息案件侦破

近日，记者从黑龙江鸡西市公安局获悉，该局成功侦破一起特大系列侵犯公民个人信息案件，共计抓获犯罪嫌疑人 322 名，涉及全国 27 个省份。

今年 2 月，鸡西市公安局发现辖区内有居民大量收租微信号、QQ 号，并以从中赚取差价的方式进行牟利。鸡西市公安局组织 100 余名警力，先后辗转湖南、河南、云南等 7省份 12 地，共抓获犯罪嫌疑人 50 名，捣毁窝点 10 处，缴获全部涉案工具。

今年 9 月 22 日，警方再次抽调警力，一举全链条摧毁该犯罪团伙，共抓获犯罪嫌疑人 322 名，依法扣押涉案资金 560 余万元，扣押电脑 78 部，手机 412 部，涉案银行卡638 张。

东莞一房产中介老板购买转发

4 万余条业主个人信息获刑三年半！

近日，广东省东莞市中级人民法院对一起侵犯公民个人信息案二审宣判，被告人黄某犯侵犯公民个人信息罪，被判处有期徒刑三年六个月，并处罚金 5000 元。

黄某于 2011 年开始任东莞某房地产中介公司老板。为发掘、联系潜在客户，黄某从微信上向他人购买了东莞多个小区合计 4 万多条业主个人信息，包括业主姓名、家庭地址、联系方式等，部分还含有房屋面积、职业、学历、车牌号等信息。其间，黄某还将上述业主信息资料通过微信转发给张某、叶某（均另案处理）等人使用，并同时转发到公司业务群。

法院审理后认为，被告人黄某违反国家有关规定，通过购买、收受、交换等方式获取可能影响人身、财产安全的公民个人信息，情节特别严重，其行为已构成侵犯公民个人信息罪。一审法院判决认定事实清楚，证据确实、充分，遂依法驳回上诉，维持原判。

得物 APP 被爆删除用户视频

11 月 12 日，有网友在某平台发布一段视频，视频中该网友声称收到在得物 App 购买的商品后发现货物存在问题，随即拍下视频反馈给得物官方，并上传了一些与商品相关的视频证据到平台。这一视频迅速传播，有关得物 APP 侵害用户个人信息的言论广为流传，13 日一早，得物 APP 立刻冲上热搜，得物方面不得不站出来回应。随后这一消息迅速登上“热搜”，并引发网友的广泛吐槽。

得物后续又发文强调，经内部团队核实，平台从未删除用户手机相册中的“原视频”，删除的是临时“缓存文件”，用户使用的华为手机系统可能检测到了得物 APP对临时缓存文件的处理，触发了系统拦截通知。在收到用户反馈意见后，已第一时间研究优化该体验，以期避免误会。

漏洞数据统计

本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞622个，其中高危漏洞228个、中危漏洞323个、低危漏洞71个。漏洞平均分值为6.10。本周收录的漏洞中，涉及0day漏洞411个（占66%），其中互联网上出现“Tenda AX180堆栈溢出漏洞、Delight Nashorn Sandbox拒绝服务漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数17037个，与上周（18262个）环比减少7%。

数据来源：CNVD

安全漏洞分布情况

从厂商分布来看，微软公司新增漏洞最多，有 62 个。各厂商漏洞数量分布如下表所示：

11.7—11.13，国内厂商漏洞 44 个，联发科公司漏洞数量最多，有 16 个。国内厂商漏洞整体修复率为 74.51%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看, 缓冲区错误类的安全漏洞占比最大，达到7.16%。漏洞类型统计如下表所示：

数据来源：CNNVD

长风实验室发布、转载的文章中所涉及的技术、思路和工具，仅供以网络安全为目的的学习交流使用，不得用作它途。部分文章来源于网络，如有侵权请联系删除。

END