一、业界动态

1.工信部组织BAT等开座谈会，强化企业防治诈骗主体责任

根据工信部印发的2019年通信行业防范治理电信网络诈骗重点任务清单和互联网集中清理专项任务清单“两大清单”，全行业积极推进防范治理电信网络诈骗重点工作。工信部网络安全管理局组织中国互联网协会、中国信息通信研究院和腾讯、阿里巴巴、百度等11家重点互联网企业就网络诈骗治理工作进行研讨交流，进一步强化企业主体责任。

https://www.cnbeta.com/articles/tech/919433.htm

2.GitHub 计划在中国设立子公司

GitHub首席运营官埃里卡•布雷西亚（Erica Brescia）表示，该公司计划分阶段进入中国，首先考虑在中国设立一家外资全资子公司，从总经理级别开始招聘员工。之后，该公司可能会在中国探索合资企业和托管GitHub内容的可能性。

https://tech.sina.com.cn/roll/2019-12-10/doc-iihnzahi6607618.shtml

3.车联网如何应对信息安全新挑战

1886年诞生至今，汽车已有130多年的历史。诞生之初，汽车只是被当作方便出行的交通工具，让人没想到的是如今它却和IT技术有如此紧密的结合，成为万物互联版图中的一员。

近几年，汽车被远程攻击的事件层出不穷，车联网的安全形势日益严峻。

https://www.t00ls.net/articles-54235.html

 

二、工业安全

1.越南黑客组织发起新攻击，宝马、现代沦陷

据外媒报道，德国汽车巨头宝马发现并监控了一起长期的黑客入侵行为,并怀疑幕后黑手是越南APT组织——海莲花（Ocean Lotus、APT 32），目的是为了窃取汽车商业机密。

http://www.mottoin.com/detail/4271.html

 

三、安全事件

1.斯科城市监控系统访问权限在暗网出售

MBKh Media调查记者Andrey Kaganskikh发现莫斯科城市监控系统和面部识别数据的访问权限正在地下论坛和聊天室中出售。Andrey表示卖方是执法人员/政府官员，可以登录莫斯科城市监视系统的数据处理和存储集成中心（YTKD）。购买了摄像头权限的用户将会收到指向城市CCTV系统的一个链接，该链接可访问所有公共摄像头，其可用时间为5天。此外，具有无限访问权限的登录凭据价格为30000卢布（470美元）。调查人员测试了其照片，卖方返回了238张图片，这些图片来自140台摄像头，还列出了捕捉到的具体地址和时间，但返回的照片都不是调查人员的，这可能与摄像头的数量和算法有关，系统对其面部特征的评估相似度为67%。

https://www.bleepingcomputer.com/news/security/moscow-cops-sell-access-to-city-cctv-facial-recognition-data/

2.印度武装部队遭受钓鱼攻击

在新德里，武装部队在周五深夜受到攻击者的袭击后，三军网络部门向所有国防人员发出紧急警告，禁止其访问带有附件的标题为“通知”的邮件

https://cio.economictimes.indiatimes.com/news/digital-security/cyber-crooks-attack-indian-armed-forces/72432787

3.暗网论坛上出售了460,000+张支付卡数据

研究人员发现，在一个暗网论坛上出售了超过460,000张支付卡记录。信息分为四个数据库，在10月28日和11月27日依次出售，价格超过$550k。

https://www.bleepingcomputer.com/news/security/batch-of-460-000-payment-cards-sold-on-black-market-forum/

4.微软：微软帐户使用泄露密码达4400万个

微软在 2019 年间对超过 30亿 个公司帐户进行了密码重用分析，以找出微软客户正在使用的密码中有多少。该公司从公开来源收集了密码哈希信息，并从执法机构收到了其他数据，并将这些数据用作比较的基础。

https://www.t00ls.net/articles-54196.html

5.超过 75.2 万美国人出生证明泄露 受影响人数还在不断增加

一家允许美国人获取出生/死亡证明的在线公司被爆信息泄露事件。目前在Amazon Web Services (AWS) 储存库中发现了超过75.2万美国人的出生证明副本，此外的还有90400个死亡证明申请，不过无法访问或者下载。

https://www.t00ls.net/articles-54223.html

 

四、漏洞事件

1.phpMyAdmin SQL注入漏洞（CNVD-2019-45016）

phpMyAdmin是phpMyAdmin团队的一套免费的、基于Web的MySQL数据库管理工具。该工具能够创建和删除数据库，创建、删除、修改数据库表，执行SQL脚本命令等。 phpMyAdmin 4.9.2之前版本中存在SQL注入漏洞。该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。目前，供应商发布了安全公告及相关补丁信息，修复了此漏洞。

https://www.cnvd.org.cn/patchInfo/show/193901

2.阿里云存储应用越权访问和文件上传漏洞

云存储是云计算基础上延伸和衍生发展出来的新概念，综合采用分布式处理、并行处理和网格计算等手段，将网络中不同类型的存储设备通过应用软件集合起来协同工作，对外提供统一的数据存储和业务访问功能。阿里云存储应用存在越权访问和文件上传漏洞。攻击者利用该漏洞，可在越权的情况下，远程读取、修改云存储中的内容。

https://www.cnvd.org.cn/flaw/show/CNVD-2019-37700

3.安全研究人员发现亚马逊上销售的儿童智能手表存在严重安全漏洞

安全公司Rapid7披露了在亚马逊上出售的三款儿童智能手表存在安全漏洞，这三款儿童智能手表是Duiwoim，Jsbaby和Smarturtle，价格不到40美元。它们被用作跟踪设备，以跟踪孩子并允许父母向孩子发送消息或者打电话。

https://www.t00ls.net/articles-54251.html