【火绒安全周报】明星“健康宝”遭泄露 Google 文档漏洞可使黑客窃取私人文档

超50位明星“健康宝”照片被泄露，官方通报来了

近日，“疑似超50位明星的北京“健康宝”照片被泄露一事，引发网友关注。日前，有网友通过输入明星姓名加身份证号，无需人脸识别，就可以查询到其在北京“健康宝”上的认证照片。目前智慧城市建设处表示，代查漏洞已解决。相关律师表示，对于此次出现他人“健康宝”照片泄露的问题，政府有义务督促相关公司完善系统，解决安全隐患。如果被侵权人是因为系统问题导致被侵权或受损，理论上除了向侵权方追责以外，对系统研发方也存在追责的可能。

原出处：新浪科技

相关链接：

https://finance.sina.com.cn/tech/2020-12-29/doc-iiznctke9231493.shtml?cref=cj

Google 文档漏洞可使黑客窃取私人文档

近日，谷歌修补了其服务中集成的反馈工具中的一个错误，黑客可以利用该错误将其嵌入到恶意网站中，从而窃取敏感的Google Docs文档的屏幕快照。据悉，Google的许多产品，包括Google Docs，都带有“发送反馈”或“帮助文档改进”选项。但是，安全人员发现了将这些消息传递到“ feedback.googleusercontent.com”的方式中的一个错误，从而使黑客可以将框架修改为任意外部网站，进而窃取和劫持Google Docs屏幕截图。值得注意的是，黑客可以轻松利用此漏洞来捕获上传的屏幕快照的URL并将其泄漏到恶意站点。Mozilla文档建议，用户将数据发送到其他窗口时，请始终指定确切的目标来源，而不是* 。

原出处：The Hacker News

相关链接：

https://thehackernews.com/2020/12/a-google-docs-bug-could-have-allowed.html

越南遭复杂供应链攻击，若处理不当或

致损失数十亿美元

近日，黑客通过在越南一个官方的政府软件数字签名工具包植入恶意代码，对越南私营企业和政府机构发起了一场复杂的供应链攻击。据悉，黑客侵入越南政府认证机构（VGCA）的网站ca.gov.vn，并在该网站上提供下载的两个VGCA客户端应用程序中插植入了恶意软件。这两个文件包含了一个名为“PhantomNet”的后门木马，也被称为Smanager。研究人员表示，这个恶意软件并不复杂，但其功能包括检索代理设置以绕过公司防火墙，以及下载和运行其他（恶意）应用程序的能力。对此，VGCA也正式承认存在安全漏洞，并发布了一个教程，指导用户如何从他们的系统中删除恶意软件。

原出处：TechWeb

相关链接：

http://www.techweb.com.cn/commerce/2020-12-30/2818740.shtml

美国FBI警告：恶作剧者正在劫持智能

设备直播虚假报警事件

近日，美国联邦调查局表示，恶作剧者正在劫持安全性较弱的智能设备，以直播所谓报警事件。据悉，设备主人在这些设备上创建了账户，但重新使用了之前在网上泄露的凭证，即相同的用户名和密码，恶作剧者则会利用这一点接管设备，然后向执法部门拨打电话，并向执法者谎称受害者住所正在进行犯罪活动。当执法部门到达住所作出反应时，恶作剧者观看直播镜头，并通过摄像头和扬声器与响应的警察接触。在某些情况下，其还在共享的在线社区平台上直播事件。对此，FBI建议设备所有者为每个在线账户使用复杂和独特的密码，在可用的情况下使用双因素认证。

原出处：cnBeta

相关链接：

https://www.sohu.com/a/441581071_99956743

光荣特库摩欧洲分公司遭黑客攻击 约有

6万多件个人信息泄露

据报道，光荣特库摩欧洲分公司遭受黑客攻击，导致大约6.5万条个人信息泄露。据了解，光荣特库摩是日本知名游戏企业，曾推出过《三国志》系列、《三国无双》系列、《死或生》系列等经典游戏。黑客在论坛上帖子泄露了一些个人信息数据，其中包含：邮箱地址、IP、用户名、用户出生年月日、所属国家。据悉，这些人还利用比特币来出售与FTP认证信息、官方推特账号隐藏项目的有关内容。目前光荣已关闭欧洲分公司的网站，并切断了该网站与光荣特库摩总部内网的关联。

原出处：cnBeta

相关链接：

https://hot.cnbeta.com/articles/game/1071557.htm