【安全帮】100辆共享奔驰车遭黑客入侵被盗 中国暂停运营

泄露公司源代码造成超百万损失，大疆前员工被罚 20 万、获刑半年

2017年安全研究员Kevin Finisterr在大疆的网络安全方面发现了一个非常严重的漏洞。这个漏洞能让攻击者获取到SSL证书的私钥，并允许他们访问存储在大疆服务器上的客户敏感信息，这使得大疆的所有旧密钥毫无用处，从而可能导致大疆服务器上的用户信息、飞行日志等私密信息能被下载。经过大疆公司的调查，这个漏洞是大疆的一名前员工通过一个计算机指令，将含有公司农业无人机的管理平台和农机喷洒系统两个模块的代码上传至GitHub网站的“公有仓库”，造成了源代码泄露。经鉴定，大疆这些泄露出去的代码具有非公知性，且已用于该公司农业无人机产品，属于商业秘密。经评估，这次泄漏公司造成经济损失116.4万元人民币。

参考来源：

http://epaper.oeeee.com/epaper/A/html/2019-04/27/node_6120.htm

网信办等启动剑网 2019 专项整治

国家版权局、国家互联网信息办公室、工业和信息化部、公安部四部门今天宣布联合启动打击网络侵权盗版 “剑网 2019” 专项行动。专项行动将开展媒体融合发展版权、院线电影网络版权、流媒体软硬件版权、图片市场版权、网络重点领域版权等五方面专项整治。此次专项行动自 4 月底开始到 10 月底结束，将开展 5 项重点整治。包括深化媒体融合发展版权专题保护；严格院线电影网络版权专项整治；加强流媒体软硬件版权重点监管；规范图片市场版权保护运营秩序；巩固网络重点领域版权治理成果。

参考来源：

https://www.solidot.org/story?sid=60409

百度将在月底关闭多个产品和服务

百度宣布将在 4 月 30 日关闭或停止更新多个产品和服务，其中包括桌面百度、百度 工具 栏、百度地址栏、百度极速浏览器，hao123 浏览器。官方给出的理由是业务调整。百度称，停止更新之后，同步、登录、推荐以及插件等功能将会失效，但基本功能可以正常使用。但停止更新应该也意味着百度不会继续提供安全方面的更新，这意味继续使用这些产品将会存在安全风险，用户最好切换到其他类似产品，比如 Firefox 浏览器。

参考来源：

https://www.solidot.org/story?sid=60410

赛门铁克公司加入美国防部的网络威胁情报共享项目

4月22日，美网络安全公司赛门铁克（Symantec）宣布加入美国防部旨在向美本土国防承包商提供涉密与非涉密网络威胁情报、以及信息安全保障最佳实践的网络威胁情报共享项目“国防行业基础网络安全项目（Defense Industrial Base Cybersecurity Program）”。拥有大型网络威胁情报体系的赛门铁克公司对该项目的参与，将显著地提升美国防部通过该项目向其承包商交付之网络威胁信息的质量和先进性，赛门铁克公司宣称其全球情报网（Global Intelligence Network）可从1.75亿个受其保护的终端及1.23亿个攻击传感器中收集来自全球互联网的威胁数据。

参考来源：

https://www.secrss.com/articles/10174

富士胶卷全球 X 射线设备被曝重大漏洞，尚未修复

研究人员在日本成像巨头富士胶卷 (Fujifilm) 生产的 X 射线设备中发现了严重的拒绝服务和访问控制不当漏洞。ICS-CERT 发布安全通告指出，这些漏洞影响 FCR XC-2 和 CR-IR 357 设备（Carbon 产品），受影响设备用于全球医疗行业。研究员表示，易受攻击的设备通常并不和互联网连接，而要利用漏洞要求访问本地网络。虽然能够发动攻击的人员包括医院员工、病患或访客，但也可通过攻陷网络上的另外一台设备并通过社工（要求用户交互）也可从互联网发动攻击。

参考来源：

http://codesafe.cn/index.php?r=news/detail&id=4832

研究人员开发新方法来检测隐藏在硬件组件中的恶意软件

恶意软件开发人员通过将恶意代码嵌入到硬件固件中让其更加狡猾，但北卡罗来纳州立大学和德克萨斯大学奥斯汀分校的研究人员已经开发出一种可靠的识别此类入侵的方法。通过测量系统及其中每个组件的功耗，可以确定存在恶意软件的类型。研究由洛克希德马丁公司和国家科学基金会赞助。微架构攻击的本质使它们很难被发现，但研究人员找到了一种方法来检测它们。台式电脑不是这种创新的主要应用。物联网设备和工业嵌入式系统是重要的用例，这多这种设备没有操作系统，并且仅执行存储在非易失性存储器的一小部分机器代码。在部署到现实世界的大多数嵌入式系统中，防病毒软件甚至都不实用。

参考来源：

https://www.cnbeta.com/articles/tech/841663.htm

在美 100 辆共享奔驰车遭黑客入侵被盗 中国暂停运营

近日，据美国科技网站TheVerge报道，德国汽车租赁公司Car2 Go 在遭遇“黑客袭击”后，丢失了多达100辆奔驰豪华轿车。到目前为止，已有21人因涉嫌参与劫持汽车，并将其用于各种犯罪的计划而受到指控。Car2go官方对外澄清称，他们没有被黑客攻击。这是一起欺诈案，他们目前正在与执法部门合作。个人的机密信息均未被泄露。为防万一，他们暂时停止在芝加哥的业务。同时，没有其他市场报告过汽车丢失，并且其服务继续按照美国和国外其他地方的预期运作。参考来源：

https://www.t00ls.net/articles-50961.html