【安全帮】超过一百个漏洞将三万门禁数据暴露给黑客

超过一百个漏洞将三万门禁数据暴露给黑客

研究人员在四家楼宇管理与访问控制系统供应商的产品中发现了 100 多个漏洞。攻击者可以利用这些漏洞完全控制被入侵的产品，并操纵与其关联的系统。   有近 50 个漏洞已被 CVE 标识；其中有些漏洞是同一缺陷的变种。漏洞包括：默认与硬编码凭证 、命令注入、跨站脚本攻击（ XSS ）、路径遍历、不受限制的文件上传、权限提升、授权绕过、密码明文存储、跨站请求伪造（ CSRF ）、任意代码执行、身份验证绕过、信息泄露、开放重定向、用户枚举和后门等。这些漏洞（其中许多被归类为高危）可能导致未经身份验证的攻击者完全控制被攻击系统 —— 无论是单独利用漏洞还是与其他漏洞并用。

参考来源：

https://www.freebuf.com/articles/wireless/203551.html

美国房地产保险公司泄露了 16 年的个人和财务文件

美国房地产保险公司 First American Financial 意外泄露了数亿份文件。 该公司拥有超过 18 , 000 名员工， 2018 年收入超过 57 亿美元。大约 8.85 亿份保险相关文件在网上泄露，其中包括电汇细节和财产记录。这些文件可以追溯到 2003 年，包括银行账号和对账单、抵押贷款和税务记录、社会保险号码、电汇收据和驾照图片。这一消息最初是由人气颇高的调查人员 Brian Krebs 报道的，他是从房地产开发商 Ben Shoval 那里得知这一消息的。

参考来源：

https://nosec.org/home/detail/2675.html

W3C 和 WHATWG 开发单一版本的 HTML 和 DOM 规格

W3C （ World Wide Web Consortium ）和 WHATWG  宣布签署协议 ，将联合制定单一版本的 HTML 和 DOM 规格。 W3C 和 WHATWG 将在 WHATWG 的库内产生一个 Living Standard 和推荐 / 评估草案快照， Living Standard 由 WHATWG 维护， W3C 将直接通过 WHATWG 促进社区工作，停止独立发布 HTML 和 DOM 相关的指定规格清单。

参考来源：

https://www.solidot.org/story?sid=60787

数据跟踪应该是选择加入而不是选择退出

DuckDuckGo CEO Gabe Weinberg  认为 数据跟踪应该是选择加入而不是选择退出。他说，人们并没有认识到他们的网络活动在多大程度上受到跟踪，一旦他们意识到科技公司如 Google 和 Facebook 在默默的大肆收集他们的隐私数据，他们会要求改变的。 DuckDuckGo 是一个强调隐私的搜索引擎，它在美国的市场份额只有 1% ，而 Google 是 88% 。他在接受采访时候称，作为一个非跟踪的搜索引擎替代他们已经运营 DuckDuckGo 长达 11 年，是第四大搜索引擎。该公司最近 提出了 请勿跟踪（ Do Not Track ， DNT ）法案，试图通过立法实现数据跟踪的选择加入而不是默认加入。

参考来源：

https://www.solidot.org/story?sid=60782

谷歌将投资 6.7 亿美元扩建芬兰数据中心

谷歌将投资约 6 亿欧元（ 6.7 亿美元）在芬兰建立一个数据中心，而其母公司 Alphabet 目前也在大力投资服务器，满足对文件和媒体访问速度的需求。谷歌周一在电子邮件公告中表示，这栋新建筑将在谷歌位于芬兰南部海岸 Hamina 的现有数据中心综合体上进行扩建，该公司在那里的总投资达到 14 亿欧元。谷歌的 Hamina 综合体将使用从北欧三个新风电场获得的可再生能源为动力。

参考来源：

http://hackernews.cc/archives/25767

爱尔兰数据保护机构发起 19 项调查， 11 项都是 Facebook

自欧盟最新的数据保护法规一年前生效以来， Facebook 及该公司旗下的 Instagram 和 WhatsApp 在爱尔兰遭遇了最多的数据调查。爱尔兰数据保护委员会表示，他们已经据此发起了 19 起调查，其中 11 起重点关注 Facebook 、 WhatsApp 和 Instagram 。 Twitter 和 LinkedIn 也遭到了调查，该委员会还在上周针对谷歌使用个人数据提供精准广告的方式展开调查。在此之前，谷歌刚刚因为广告个性化缺乏透明度、信息不足和授权不清而遭到法国数据监管机构 CNIL 罚款 5000 万欧元。但该公司已经对此提出上诉。

参考来源：

https://tech.sina.com.cn/i/2019-05-28/doc-ihvhiews5075413.shtml

华为就联邦快递失误转运一事向中国邮政监管部门正式投诉

华为公司表示，已向中国邮政监管部门提出正式投诉。此前，路透社报道，联邦快递公司将华为公司寄往中国的包裹转运到美国。央视新闻客户端查证发现， 5 月 23 日 18 点 42 分，联邦快递中国公司官方微博曾经发帖否认转运事件，称“有关近期社交媒体平台流传联邦快递将客户货件没收，并转运至美国检查的消息与事实严重不符”，但今天联邦快递在路透社等媒体报道出来后，突然又改口承认“失误”，前后表态 180 度大转弯，背后更显蹊跷。

参考来源：

https://www.cnbeta.com/articles/tech/851603.htm