【安全幫】華大基因澄清：“14萬中國人基因大資料”研究全部在境內完成

多款 NAS 裝置被指存在遠端命令執行漏洞 WizCase在近日發表的一篇博文中指出，他們日前邀請安全專家 Paulos Yibelo和Daniel Eshetu一起對一些受歡迎的NAS裝置進行了安全測試，從中發現了兩個可能允許攻擊者任意讀取檔案、新增/刪除使用者、新增/修改現有資料，以及在裝置上遠端執行具有最高許可權命令的關鍵漏洞（CVE-2018-18471和CVE-2018-18472）。他們一共對四款NAS裝置進行了測試，這包括WD My Book、SeaGate Home、NetGear Stora和Medion LifeCloud NAS。其中，SeaGate Home、NetGear Stora和Medion LifeCloud NAS均受到CVE-2018-18471的影響，而WD My Book則受到CVE-2018-18472的影響。

參考來源：

ofollow,noindex" target="_blank">https://www.hackeye.net/threatintelligence/16944.aspx

UWP API 被爆安全漏洞：可在使用者不知情下竊取任意資料 相關證據表明Windows 10 系統中的UWP API 存在嚴重的安全漏洞，允許惡意開發人員遠端自由遍歷你的磁碟資訊，並竊取你的任意資料。 UWP應用由於使用沙盒機制，並且限定在自身路徑和特殊資料夾內，因此具備較高的安全係數。不過近期外媒發現broadFileSystemAccess API允許 開發 者訪問整個硬碟，而該API存在的BUG可以不向使用者發出諮詢的情況下獲得訪問磁碟的許可權，並且預設授予完整的檔案系統訪問許可權。在 Windows 10 October 2018更新中 微軟 已經修復了這個問題。

參考來源：

https://www.cnbeta.com/articles/tech/781361.htm

  大多數安全專家對 AI 攻擊表示擔心 國外統計機構Neustar釋出了最新的國際網路基準指數，該指數突顯了專業人士對安全漏洞逐年增加之勢表現出的擔憂，其中就包括人工智慧（AI）對公司安全防禦的影響。根據該報告顯示，安全研究人員認識到人工智慧在網路安全方面的潛力，約87％的受訪者同意這將對他們公司的網路防禦產生影響。但是，約82％的受訪者擔心攻擊者也可以利用AI發起攻擊，導致資料被盜（50％）、客戶信任度下降（19％）、業務效能不穩定（16％）等結果。

參考來源：

http://www.freebuf.com/

庫克表達對使用者資料濫用的擔憂 呼籲制定聯邦隱私法 蘋果執行長蒂姆庫克（Tim Cook）週三表示，客戶資料正在被各個公司以“軍事化的效率”增加利潤，並呼籲在美國製定聯邦隱私法。但Facebook執行長馬克扎克伯格（Mark Zuckerberg）為其公司基於廣告的商業模式辯護說，使用者意識到了要為免費服務作出一定的讓步的。庫克在國際資料保護和隱私委員會會議上發表講話稱， 蘋果將支援美國隱私法，並且還宣稱蘋果公司保護使用者資料和隱私的承諾。 蘋果公司過去設計了許多保護使用者的產品，這樣的做法不像今年的谷歌和Facebook，很大程度上使其避免了陷入的使用者資料隱私醜聞。

參考來源：

http://hackernews.cc/archives/24332

2018 網購欺詐洞察報告出爐：釣魚網站數量增加 297% 電子商務防欺詐公司Riskified和網路情報公司IntSights本週三釋出的聯合報告中指出，偽裝成電商網站來收集客戶資訊的冒牌網站數量正在不斷增加。在對過去一年（去年三季度至今年三季度）的資料進行分析後，兩家公司發現網購釣魚網站數量增加了297%。此外在報告中還指出現在這些釣魚網站製作的越來越精細，看起來和正規購物網站幾乎沒有區別。為了避免釣魚攻擊，兩家公司強烈推薦使用者在點選連結之前需要先檢查是否為可信任以及熟悉的站點。

參考來源：

https://www.cnbeta.com/articles/tech/781321.htm

華大基因澄清： “14 萬中國人基因大資料 ” 研究全部在境內完成 10月24日，科技部官網更新6條處罰資訊，復旦大學附屬華山醫院、華大基因、昆皓睿誠、廈門艾德生物、阿斯利康等6家單位涉及其中。10月26日，有自媒體釋出了相關文章。隨後，華大基因釋出《澄清宣告》表示，該自媒體將2015年的“科技部國科罰”與華大研究團隊在2018年10月釋出的一項“14萬中國人基因大資料”研究聯絡在一起，系張冠李戴，刻意關聯，製造恐慌。關於資料安全性問題，華大基因稱，“14萬中國人基因大資料”研究全部在境內完成，樣本及資料全部保留在深圳國家基因庫，不存在任何遺傳資源資料出境的情況，這也得到了世界著名學術期刊《Cell》的認同。

參考來源：

https://www.thepaper.cn/newsDetail_forward_2568202

MageCart 竊取英國航空公司資料事件另有 7.7 萬受害顧客 據英國航空公司網站釋出的更新，“調查顯示，黑客可能竊取了更多使用者的個人資訊。我們正通知之前未通知的這7.7萬信用卡卡主，其姓名、賬單地址、電子郵箱地址、以及信用卡支付資訊包括卡號、有效期、安全碼（CVV）可能已遭黑客竊取，同時還通知了另外10.8萬無安全碼的信用卡卡主。可能遭資訊洩露的使用者僅為在2018年4月21日至七月28日期間使用信用卡進行獎勵預定的客戶”。 該宣告進一步表明，該公司尚無確鑿證據證明使用者資料遭利用，其正聯絡可能受影響的客戶。如客戶在格林尼治標準時間（GMT）10月26日17：00前未收到該公司通知，則其無需擔心。

此次英航資料洩露事件是由攻擊者向名為“Modernizr”的第三方JavaScript庫新增惡意MageCart指令碼引起的。由於英國航空公司網站使用了Modernizr，惡意指令碼得以收集提交的信用卡詳情以及支付資訊，並將其傳送至攻擊者控制的遠端伺服器。

參考來源：

https://www.easyaq.com/news/54897376.shtml

關於安全幫

安全幫，是中國電信北京研究院旗下安全團隊，致力於成為“SaaS安全服務領導者”。目前擁有“1+4”產品體系：一個SaaS電商(www.anquanbang.vip) 、四個平臺（SDS軟體定義安全平臺、安全能力開放平臺、安全大資料平臺、安全態勢感知平臺）。