、小白劇場

小白：回顧2020年最受我青睞（最常使用）的APP榜單，沒想到北京健康寶榜上有名呀！

大東：哈哈哈，在北京，進出每一個地方都需要掃一掃北京健康寶，只有聽到它發出“通過”的聲音你才能自由通行。

小白：是呢，由于新冠肺炎疫情的原因，記錄人員的流行足跡是很有必要的。像健康寶這類的軟件在我們疫情防控環節中起到了很大的作用呢。

大東：那你在使用這個軟件的過程中，有沒有感覺有什么不妥之處呢？

小白：當然有！我之前用其它軟件進行掃碼登記的時候，根本不會顯示我的人臉。但是北京健康寶就不同了，它不僅要記錄你的面部，還會在你每次掃碼的時候顯示你的照片。天吶，我每次都不忍心看到自己的照片。

大東：小白，你的關注點很獨特呀！那作為安全人員，你有沒有想過其它的不妥之處呢？

小白：其實有很多人都在吐槽北京健康寶照片的問題，不止我一個。在最初使用此類軟件的時候，我還在擔心這個軟件記錄了我們的個人身份信息，還記錄了我們每天的行程，如果有不法分子盜取了這些信息，后果不敢想象呀。不過后來在使用的過程中也就忘記這件事情了。

大東：的確，隱私泄露是一個大問題，這不最近就爆出了健康寶泄露明星隱私信息的事件。

小白：這個事件一經爆出，就成了人們關注的焦點。當天此事件就上了微博的熱搜排行榜。

微博熱搜排行榜（圖片來源于網絡）

大東：那我們就趁此事件聊一下隱私泄露吧。

小白：好呀好呀！

二、話說事件

大東：近日，明星“代拍”行業里，出現了一項新型的“健康寶照片”買賣交易。

代拍群信息（圖片來源于網絡）

小白：是呀，聽說非常猖狂，隱私以極低的價格被泄露，如“1元購買健康寶查詢方式”、“2元70多位藝人健康寶照片”、“1元1000多位藝人身份證號”。

大東：據了解，在代拍群中，開始是花1元可購買1位明星健康寶照片，后來出現了3元可打包“tnt時代少年團”7人的健康寶照片，隨后，又出現了2元打包70多位藝人健康寶照片，1000多位藝人身份證號僅售1元等。

小白：驚呆！但這個是怎么做到的呢？

大東：其實沒有很復雜的操作。在微信中搜索“北京健康寶”小程序，將本人信息注冊之后，點擊“健康服務預約查詢”，隨后點擊底部鏈接打開“核酸檢測”服務，最后點擊“他人核酸檢測結果代查”即可達到輸入界面。

健康寶程序界面（圖片來源于網絡）

小白：也就是只要正確輸入他人信息，就可以獲取到此人的核酸檢測詳情信息。

大東：沒錯，在上述頁面中輸入明星的姓名與身份證號，無需再次人臉識別，即可獲得他人在錄入個人信息時，進行人臉識別的照片，即代拍們所販賣的“健康寶照片”。

販賣的明星信息（圖片來源于網絡）

小白：那核算檢測結果信息也可以被獲取？

大東：對，如果被搜索的人做過核酸檢查，通過該方式還可得到該人的核酸檢查結果與檢測機構、檢測時間。

三、大話始末

小白：那隱私泄露之后平臺做了哪些措施呢？

大東：首先，北京經信局及時地做出回應，核實此事件。

北京經信局回應（圖片來源于網絡）

小白：那核實之后問題解決了嗎？

大東：不要急，北京市經濟和信息化局大數據建設處（智慧城市建設處）已回應：“此問題已解決。”

小白：他們是不是在他人待查核酸檢測之前添加了驗證環節？

大東：沒錯，代查他人健康狀態及核酸檢測需姓名和身份證號外，已改為還需要被代查人人臉識別認證。

人臉識別圖片（圖片來源于網絡）

小白：這個方法不錯。東哥，我還有個問題，明星健康寶照片屬于個人隱私嗎？

大東：看一點專業的解釋，即將施行的《民法典》對隱私的定義是“自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息。”

小白：嗯！

大東：還有，判斷相關信息是否屬于個人隱私，往往還需考慮當事人對相關信息及其產生場景的預期。也就是說，如果按一般正常人的認知，當事人對所處空間的預期是私密的，認為其在該等空間的自由行為不會公開，且社會公眾也認為該等信息不應被他人所知。那么，當事人在該等空間的行為可以認為屬于個人隱私。

小白：也就是說，如果明星拍照時處于私密空間，加之明星使用健康寶拍照是為進行人臉識別，顯然沒有將照片公之于眾、廣泛傳播的預期。從這一層面，不排除明星健康寶照片被認定為屬個人隱私的可能性。

大東：不過，目前被泄露的信息不僅包含明星照片，還包括姓名、身份證號、電話號碼等綜合信息，該等信息實際已落入法律對“個人信息”的定義。

小白：那出售或傳播個人信息將面臨什么后果？

大東：咳咳，我國《刑法》中設有侵犯公民個人信息罪。向他人出售或者提供公民個人信息；或是將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的；以及竊取或者以其他方法非法獲取公民個人信息的，視情節嚴重性，都有可能構成犯罪，被處以有期徒刑或者拘役，并處或者單處罰金。

四、小白內心說

小白：小白和小白的朋友們都不會助紂為虐的。話說回來，小白我聽完這件事情后，更加認可技術和隱私保護要迭代發展的觀念了。

大東：是的，在個人隱私數據流轉的全鏈條里面，只要出現一個漏洞，引發大規模數據泄露及其輿論風波，多方共贏就可能淪為多方共輸：泄露數據的涉事企業要因此承擔法律責任，推廣“健康寶”的地方政府因此公信力受損，對“健康寶”拒絕共享數據或配合檢查的居民則可能承擔新冠肺炎感染風險。

小白：是的，這次健康寶的補救措施還做得不錯，這個問題被曝光之后，他們立馬就更新了版本，增加了人臉識別的功能。

大東：沒錯，對于平臺方，一旦發現軟件存在漏洞，應迅速行動，絕不能讓個人姓名、身份證號、出行軌跡、臉部照片等個人信息“裸奔”在互聯網的世界里。

小白：由于防控疫情的需求，我們越來越能接受在合理范圍內出讓自己的隱私，將行程、健康狀態相對開放的個人信息分享出來以便能在社會層面上獲取更多的便利、安全。不過我們的隱私信息一定要被保護在安全圈內，不能被非法分子所利用。

大東：是呀，鑒于大數據具有零成本復制、容易反向脫敏、容易刪后恢復的特性，要從隱私數據的最初產生直到徹底湮滅，將數據安全防護貫穿全生命周期。

小白：嗯嗯嗯！

參考資料：

1. 各方回應！大量明星核酸檢測人臉照片被買賣？https://mp.weixin.qq.com/s/QSkT-XmRSjeZ5f8OjxckWA

2. 百位明星健康寶照片外泄 窺私應該有底線

https://ent.people.com.cn/n1/2020/1230/c1012-31984109.html

3. “健康寶”明星隱私泄露事件：數據保護須閉環管理http://www.eeo.com.cn/2020/1229/451168.shtml

4. “健康寶”泄露明星個人信息，技術與隱私何去何從？https://mp.weixin.qq.com/s/edQbq87mV6iTW4Whf89K5w

來源：中國科學院信息工程研究所

來源： 中科院之聲

過第三方數據監測，新京報核心報道《一個自閉癥少年的死亡之路》(2017年3月20日新京報A12-13版刊發)，被以下網站、新聞移動端轉載，請侵權網站、新聞移動端立即停止侵權行為并與新京報版權部門聯系。

1、觀察者網

未經許可侵權轉載上述稿件，標題改為“廣東一托養中心49天死20人 1年盈利兩百萬”。

http://mobileservice.guancha.cn/Appdetail/get/?devices=ios&id=304230

2、沈陽網

未經許可侵權轉載上述稿件，標題改為“自閉癥少年的死亡之路 年齡被工作人員多估算9年”。

http://news.syd.com.cn/system/2017/03/20/011336516.shtml

3、安徽網

未經許可侵權轉載上述稿件，標題改為“自閉癥少年死亡事件始末 托養中心49天死20人” ，且來源標注為第三方網站。

http://www.ahwang.cn/china/20170320/1617023.shtml

4、多彩貴州網

http://gongyi.gog.cn/system/2017/03/20/015506537.shtml

5、東北網

http://yuqing.dbw.cn/system/2017/03/20/001183811.shtml

6、荔枝網

未經許可侵權轉載上述稿件，標題改為“自閉少年死亡 托養中心4名負責人被采取強制措施”，且來源標注為第三方網站。

http://news.jstv.com/a/20170320/1489977718543.shtml

7、環球網

未經許可侵權轉載上述稿件，標題改為“15歲自閉癥少年死亡:出現兩份死亡記錄 死因不同”。

http://health.huanqiu.com/health_news/2017-03/10340011.html

8、天天在線

未經許可侵權轉載上述稿件，標題改為“自閉癥少年走失四個月 被找到時已死亡”，且來源標注為第三方網站。

http://www.116.com.cn/news/files/1317347.shtml

9、 湖北日報網

http://news.cnhubei.com/xw/gn/201703/t3802921.shtml

10、揚子晚報網

http://www.yangtse.com/m/news/zhongguo/2017-03-20/405570.html

11、鄭州晚報網

未經許可侵權轉載上述稿件，且來源標注為第三方網站。

http://www.zzwb.cn/webhtml/haowan/201703/96913.html

12、交匯點移動端

http://jhdr.xhby.net/content/201703/20/c575499.html

13、大小新聞移動端

未經許可侵權轉載上述稿件，標題改為“自閉癥少年在托養中心死亡 該中心被曝49天死20人”。

http://www.ytcutv.com/folder5/folder6/folder9/2017-03-20/581869.html

14、廣西網絡廣播電視臺

http://news.gxtv.cn/201703/news_1856058111.html

為規范網絡轉載行為，制止非法侵權轉載，現鄭重公告如下：

1、任何單位及個人，凡在互聯網、無線客戶端、微博和微信等平臺上使用《新京報》擁有版權的作品及新聞信息，須事先取得《新京報》的書面授權后方可使用和轉載。

2、任何單位及個人，未經書面授權擅自使用《新京報》版權作品及新聞信息的，《新京報》將予以警告，并定期在《新京報》和新京報網上公告侵權人及其侵權行為。

3、對于警告無效者，《新京報》將采取包括但不限于向國家版權行政主管部門舉報，向人民法院提起侵權訴訟等多種措施以維護著作權人的合法權益。屆時產生的一切后果由侵權人承擔。

4、對于未經許可的各類非法轉載行為，任何單位及個人均有權舉報，我們將對舉報者的相關信息予以嚴格保密。舉報信息一經查證屬實，我們將給予一定的獎勵。

新京報版權事務聯系電話： 010-67106089

此反侵權行動由凡聞科技獨家提供技術支持，

電話：0571-85331960 郵箱：fw@cnfanews.com

新京報社

2017年3月22日

鋒網編者按：12月22日，雷鋒網從微步在線了解到，有黑客正在利用 WebLogic 反序列化漏洞（CVE-2017-3248）和 WebLogic WLS 組件漏洞（CVE-2017-10271）對企業服務器發起大范圍遠程攻擊，有大量企業的服務器已被攻陷，且被攻擊企業數量呈現明顯上升趨勢，需要引起高度重視。

其中，CVE-2017-12071是一個最新的利用 Oracle WebLogic 中 WLS 組件的遠程代碼執行漏洞，屬于沒有公開細節的野外利用漏洞，雖然官方在 2017 年 10 月份發布了該漏洞的補丁，但大量企業尚未及時安裝補丁。

以下為微步在線的投稿。

編號:TB-2017-0010

報告置信度:90

TAG: CVE-2017-3248、CVE-2017-10271、WebLogic、遠程執行、反序列化、挖礦

TLP: 白 (報告轉發及使用不受限制)

日期: 2017-12-21

漏洞利用方法

該漏洞的利用方法較為簡單，攻擊者只需要發送精心構造的 HTTP 請求，就可以拿到目標服務器的權限，危害巨大。由于漏洞較新，目前仍然存在很多主機尚未更新相關補丁。預計在此次突發事件之后，很可能出現攻擊事件數量激增，大量新主機被攻陷的情況。

攻擊者能夠同時攻擊Windows及Linux主機，并在目標中長期潛伏。由于Oracle WebLogic 的使用面較為廣泛，攻擊面涉及各個行業。此次攻擊中使用的木馬為典型的比特幣挖礦木馬，但該漏洞可被黑客用于其它目的攻擊。

漏洞參考鏈接：

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10271

http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

事件概要

詳情

根據捕獲到的 pcap 包分析，攻擊者選定要攻擊的目標主機后，將首先利用漏洞CVE-2017-3248進行攻擊，無論是否成功，都將再利用CVE-2017-10271進行攻擊。在每一次的攻擊過程中，都是先針對Windows系統，再針對Linux系統。具體攻擊流程如下：

1、利用 WebLogic 反序列化漏洞（CVE-2017-3248）調用 Linux 中的 wget 進行樣本下載和運行。

2、利用 WebLogic 反序列化漏洞（CVE-2017-3248）調用 Windows 中的 PowerShell 進行樣本下載和運行。

3、利用 WebLogic WLS 組件漏洞（CVE-2017-10271）調用 Linux 中的 wget 進行樣本下載和運行。

4、利用 WebLogic WLS 組件漏洞（CVE-2017-10271）調用 Windows 中的 powershell 進行樣本下載和運行。

5、在此次的攻擊事件中，CVE-2017-3248利用不成功，CVE-2017-10271則利用成功，從而導致了服務器被攻擊者攻陷，進而在系統日志中留下了痕跡。

告警截圖如下：

據觀測，該黑客團伙同時在使用 JBoss 和 Struts2 漏洞進行攻擊嘗試和滲透行為。

檢測措施

1. 網絡流量：

使用附錄中的IOC結合日志和防病毒安全套件等系統進行自查和清理。

詳情：通過防火墻檢查與IP 72.11.140.178的連接。

2. 盡快對失陷機器進行排查和清理，檢查主機日志中是否出現以下字符串：

對于 Linux 主機，檢查日志中是否出現以下字符串：

java.io.IOException: Cannot run program "cmd.exe": java.io.IOException: error=2, No such file or directory

b.對于 Windows 主機，檢查日志中是否出現以下字符串：

java.io.IOException: Cannot run program “/bin/bash": java.io.IOException: error=2, No such file or directory

若出現，則說明系統已被入侵。

行動建議

·及時更新補丁。

·加強生產網絡的威脅監控，及時發現潛在威脅。

附錄

IOC：72.11.140.178

為避免相關 POC 腳本被惡意利用，引起更大范圍的破壞，如需具體 POC 腳本，可聯系： contactus@threatbook.cn

以上內容來自微步在線投稿，雷鋒網編輯。