【安全帮】苹果”盗刷门”闹大了！中消协出手:该赔偿的就赔偿

马蜂窝被指数据造假： 85% 的点评不真实 充斥僵尸和水军 10 月 21 日，一篇名为《估值 175 亿的旅游独角兽，是一座僵尸和水军构成的鬼城？》在社交网络广为流传，该篇文章作者乎睿数据团队直指在线旅游网站马蜂窝存在点评大量造假的情况，包括从其他网站如大众点评、携程等抓取相关点评，及自建团队撰写虚拟点评。根据马蜂窝官网提供的数据，目前，马蜂窝全站拥有超过 2100 万条点评，是马蜂窝对外展示的核心竞争力之一。如果乎睿数据团队的指控被坐实，马蜂窝一直以来强调的用户 PGC 神话将被打破，或将严重影响这只旅游独角兽的估值。

参考来源：

http://industry.caijing.com.cn/20181021/4527031.shtml

苹果 “ 盗刷门 “ 闹大了！中消协出手 : 该赔偿的就赔偿 针对近来苹果手机消费者网上财产安全权被侵害一事，中国消费者协会今天发表声明表示，相关经营者必须明确自身法律责任，切实保障消费者支付安全。中消协指出，苹果公司在声明中表示的“试图通过欺诈性的退款申请试图牟利的情况有所增加”、黑客原因、“撞库”手段等，这些无法构成免责理由，不应把自身存在的问题与试图有欺诈性的情况混为一谈。苹果公司不应推卸责任，淡化自身存在的安全问题，转移消费者关注点。应正视安全责任和存在的安全问题，对于提出损失要求赔偿的消费者，经营者及第三方支付平台没有足够主证据反驳，均应一视同仁进行足额赔偿。

参考来源：

http://tech.163.com/18/1021/01/DUJR7LRA00097U7R.html

先进技术能够在数秒内发现秘密间谍芯片 根据《彭博商业周刊》的报道，中国特工设法将芯片接入计算机系统，以便对这些系统施以外部控制。亚马逊、苹果、中国政府以及Super Micro公司皆对这一事件予以否认，然而，也有部分专家对彭博的报道及攻击性质深信不疑，其中之一正是佛罗里达州网络安全研究所（简称FICS）主任 Mark M. Tehranipoor。事实上，他所在的研究所一直在开发针对此类攻击的检测与反击性技术。Tehranipoor表示，该研究所的半自动化系统“能够在数秒到数分钟之内识别出添加部分。”该系统利用光学扫描、显微镜、X射线断层扫描以及人工智能技术以比较印刷电路板及其芯片与组件同预期设计间的区别。

参考来源：

https://www.secrss.com/articles/5830

新媒体广告软文泛滥 致大量带病带毒广告隐藏其中 新媒体广告软文的泛滥不仅引起了受众反感，更重要的是造成大量“带病”“带毒”广告隐藏其中。监管乏力一定程度上造成了当前新媒体广告软文中假、毒、黄内容肆虐，虚假违法食品药品广告危害人民群众人身安全健康，金融投资、招商、收藏品类广告含有欺骗误导消费者的内容，甚至一些广告内容违背社会道德风尚，造成了恶劣社会影响。今年2月开始，国家工商总局开始部署开展互联网广告专项整治工作，不仅重点整治社会影响大、覆盖面广的门户网站、搜索引擎、电子商务平台、移动客户端，还首次将新媒体账户列为重点整治对象。

参考来源：

http://www.chinanews.com/sh/2018/10-21/8655542.shtml

FreeRTOS 漏洞将多个系统暴露于攻击之下 安全研究员警告，FreeRTOS操作系统中发现的漏洞可能使大范围的系统遭受攻击，这些系统包括智能家居设备及关键基础设施。FreeRTOS是专门为单片机设计的开源操作系统。于2017年接手FreeRTOS项目的亚马逊已为其增加了云连接服务。该操作系统商业版本为OpenRTOS，由WITTENSTEIN高集成系统（WHIS）维护。 同时， WHIS 也开发了其安全版本SafeRTOS 。 Zimperium zLabs的安全研究员们分析了FreeRTOS的TCP/IP协议栈，及亚马逊云服务（AWS）安全连接模块，发现其中存在的十余个漏洞也对OpenRTOS与SafeRTOS有影响。

参考来源：

https://www.easyaq.com/news/1486159818.shtml

OKEx 发布诈骗预警 诈骗者冒充 OKEx 工作人员 10月21日消息，OKEx发布警告称，有诈骗者冒充OKEx工作人员欺骗用户，声称将免费赠送ETH或其他代币，前提是用户先通过向指定地址存入一小部分代币的方式进行“验证”。OKEx称，永远不会要求用户将资金汇入某个指定地址。

参考来源：

https://www.bianews.com/news/flash?id=22852

62% 的网站仍然运行 PHP 5 美国互联网安全中心与国土安全部网络安全和通信办公室对多个高危 PHP 漏洞 发出警告 ，漏洞允许攻击者执行任意代码，即使漏洞没有成功利用，攻击者也能诱导拒绝访问让服务器无法工作。PHP Group 已经释出了  PHP 7.1.23 和  7.2.11 修复了漏洞，这两个版本之前的所有版本都受到漏洞影响。与此同时，62% 的网站 仍然运行 PHP 5 ，而到 12 月 31 日这个版本将终止支持，如果 PHP 网站不及时更新到支持版本，那么它们将再也得不到安全更新。

参考来源：

https://www.solidot.org/story?sid=58290

关于安全帮

安全帮，是中国电信北京研究院旗下安全团队，致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系：一个SaaS电商(www.anquanbang.vip) 、四个平台（SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台）。