本文字数:1947|预计3分钟读完
9月14日晚上,阿里云盘出现了一个可能允许用户查看他人私密照片的安全漏洞。阿里云盘爆漏洞,可看别人隐私照
9月11日,一女子分享自家卧室的监控视频,称突然听到了陌生男子说话。女子表示,本来安装摄像头是为了方便照看孩子,没想到出现这种情况,觉得很害怕,看来也不能太相信摄像头。小米公司官方微博9月13日中午回应网传“摄像头里惊现陌生男子说话
。
文丨hacking
1
阿里云盘爆漏洞,可看别人隐私照
9月14日晚上,阿里云盘疑似出现了一个可能允许用户查看他人私密照片的安全漏洞。
根据初步的信息显示,当用户试图在云盘内的相册功能中创建新的文件夹并选择图片分类时,系统界面竟然加载了其他用户的私人图片。
有网友反馈,在使用阿里云盘相册时,创建新文件夹后会“自动出现”陌生照片。从用户公布的视频中可以发现,陌生照片包括自拍、风景照、家人旅游照片等等。
这一漏洞最早被发现是在当天晚上18点08分左右。
14日晚间8点之后,系统已经开始修复 ,虽然用户仍然能够看到其他人的图片缩略图,但已无法再打开查看。
阿里云的技术团队可能已经开始采取措施来应对这一突发事件,并进行临时性的拦截处理。
阿里云盘相关工作人员回应时表示:“已经收到其他用户反馈此类问题,已经上报相关部门。”
截至记者发稿,阿里云盘官方未有事件的公告,阿里云盘相关人士表示,已经关注到相关BUG,将尽快对外进行回应。
2
小米摄像头里惊现陌生男子说话!
小米回应来了
近日,一女子分享自家卧室的监控视频,称突然听到了陌生男子说话。女子表示,本来安装摄像头是为了方便照看孩子,没想到出现这种情况,觉得很害怕,看来也不能太相信摄像头。
小米公司官方微博9月13日中午回应网传“摄像头里惊现陌生男子说话”一事。
我们关注到网友对小米智能摄像机2 云台版的有关疑问,经查实,我们声明如下:
1.相关视频中出现的产品,根据用户提供的访问记录截图信息显示,对应时段无人访问。
2.该型号摄像机固件有声音回声消除功能(AEC),摄像机扬声器发出的声音被摄像机麦克风采集后会被回声消除算法过滤掉,所以摄像机与手机对讲过程中,不会把摄像机扬声器播放的声音录制存储。如果是本机发出的声音,也不会被回放监测视频录制。
3.该款摄像机及相关网络服务未被网络攻击,任何未经授权的个人或设备均无法与该摄像机进行语音对话。与该摄像机语音对话的唯一方式是,通过米家 App 与摄多TTIE三"业而以而省33行,加密通道使用一次一密机制,并采用行业标准加密算法。
4.经沟通,我们已经征求用户同意,取回设备并进行检测,目前设备状态一切正常后续我们会再次进行检测。同时也邀请第三方鉴定机构对该产品进行鉴定测试,确保公众对安全保障的知情权。
我们高度重视用户安全隐私保护。小米智能摄像机严格按照国家相关标准和小米《消费级物联网安全基线》要求设计开发,遵循小米产品安全开发流程,产品在需求设计、功能开发各阶段均经过安全评估和渗透测试确保提前识别安全风险并进行处置,将产品安全放心地交给用户。小米安全中心持续对已销售产品安全防护机制进行验证,保障小米产品安全防护水平持续有效,感谢广大网友和媒体的关注。
【Hacking黑白红】,一线渗透攻防实战交流公众号
回复“电子书”获取web渗透、CTF电子书:
回复“视频教程”获取渗透测试视频教程;
回复“内网书籍”获取内网学习书籍;
回复“CTF工具”获取渗透、CTF全套工具;
回复“内网渗透”;获取内网渗透资料;
回复“护网”;获取护网学习资料 ;
回复“python”,获取python视频教程;
回复“java”,获取Java视频教程;
回复“go”,获取go视频教程
知识星球
【Hacking藏经阁】知识星球致力于分享技术和认知。
1、技术方面。主攻渗透测试(web和内网)、CTF比赛、逆向、护网行动等;
400G渗透教学视频、80多本安全类电子书、50个渗透靶场(资料主要来自本人总结、以及学习过程中购买的课程)
2、认知方面。副业经营、人设IP打造,具体点公众号运营、抖*yin等自媒体运营(目前主要在运营两个平台4个号)。
如果你也想像我一样,不想35岁以后被动的去面试,那么加入星球我们一起成长。
欢迎加入99米/年,平均每天2毛7分钱,学习网络安全一整年。
▶【渗透实战系列】|52-记一次"91"站点渗透
▶【渗透实战系列】51|- 一次BC站点的GetShell过程
▶【渗透实战系列】50|- Log4j打点后与管理员斗智斗勇
▶【渗透实战系列】49|-实战某高校的一次挖矿病毒的应急处置
▶【渗透实战系列】|45-记一次渗透实战-代码审计到getshell
▶【渗透实战系列】|44-记一次授权渗透实战(过程曲折,Java getshell)
▶【渗透实战系列】|42-防范诈骗,记一次帮助粉丝渗透黑入某盘诈骗的实战
▶【渗透实战系列】|40-APP渗透测试步骤(环境、代理、抓包挖洞)
▶【渗透实战系列】|35-旁站信息泄露的dedecms站点渗透
▶【渗透实战系列】|33-App渗透 ,由sql注入、绕过人脸识别、成功登录APP
▶【渗透实战系列】|32-FOFA寻找漏洞,绕过杀软拿下目标站
▶【渗透实战系列】|30-从SQL注入渗透内网(渗透的本质就是信息搜集)
▶【渗透实战系列】|29-实战|对某勒索APP的Getshell
▶【渗透实战系列】|27-对钓鱼诈骗网站的渗透测试(成功获取管理员真实IP)
▶【渗透实战系列】|25一次从 APP 逆向到 Getshell 的过程
▶【渗透实战系列】|24-针对CMS的SQL注入漏洞的代码审计思路和方法
▶【渗透实战系列】|18-手动拿学校站点 得到上万人的信息(漏洞已提交)
▶【渗透实战系列】|17-巧用fofa对目标网站进行getshell
▶【渗透实战系列】|15-博彩网站(APP)渗透的常见切入点
▶【渗透实战系列】|12 -渗透实战, 被骗4000花呗背后的骗局
▶【渗透实战系列】|10 - 记某色X商城支付逻辑漏洞的白嫖(修改价格提交订单)
▶【渗透实战系列】|9-对境外网站开展的一次web渗透测试(非常详细,适合打战练手)
▶【渗透实战系列】|8-记一次渗透测试从XSS到Getshell过程(详细到无语)
▶【渗透实战系列】|1一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)
点分享
点收藏
点点赞
点在看
