“隐私安全”成为315焦点话题；谷歌发布幽灵漏洞PoC

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻，今年的“3.15”晚会上，“隐私安全”首次成为焦点话题，简历买卖、人脸收集问题引发关注；HackerOne发布2020年白帽黑客年度报告；谷歌公布Spectre漏洞概念验证代码。想要了解详情，来看本周的BUF大事件吧！

观看视频

内容梗概

人脸收集，个人隐私泄露防不胜防

今年的“3.15”晚会上，“隐私安全”首次成为焦点话题，提及的九个事件中，有两个都涉及到了个人隐私安全，首当其冲的就是人脸信息收集。如今，监控摄像头在我们的生活中几乎无处不在，大部分的摄像头都是以保障公共安全为目的，但是，一些商家店铺内我们认为平平无奇的摄像头，背后却暗藏玄机。这些摄像头并不只是单纯地记录商店内的景象，而是在顾客浑然不知的时候，记录下了顾客的人脸信息并将其收集用于之后的销售及其他工作。此次被爆出安装此种功能摄像头的商家有：科勒卫浴、宝马汽车4s店、MaxMara专卖店等。这些摄像头的供应商包括苏州万店掌公司、悠络客电子科技股份有限公司、广州雅量智能技术有限公司、深圳瑞为信息技术有限公司等。《民法典》规定：处理个人信息，应征得自然人或者其监护人同意。显然，以上公司并没有重视这一点，在顾客不知情的情况下肆意盗取数据并加以利用，严重侵犯了顾客的权益。

智联招聘、猎聘平台简历给钱就可随意下载

除了人脸信息收集事件，智联、猎聘等平台的简历买卖事件也在无数“打工人”中引起重大反响。近年来，警方破获多起诈骗案，不法分子之所以能成功行骗，其重要原因是获得了大量的个人简历以进行精准诈骗。那么这些简历是哪里来的呢？记者发现，在智联平台上，只要身为企业用户就可以不限量地在求职者未知情的状态下下载并查阅他们的简历。而一些不法分子可以买卖这些企业账号，导致大量的简历流入地下市场来进行诈骗等违法行为。大数据时代，人们在网上留下的信息越来越多，在带来越来越便利的生活的同时，个人隐私泄露的风险也随之增加。而个人隐私的保护意识应该渗透我们生活的方方面面，如果等到受到实际伤害才去保护，那就为时已晚。

谷歌发布Spectre漏洞概念验证代码

近日，谷歌安全团队公布了适用于Chrome浏览器的幽灵攻击的概念验证代码，并于 leaky.page 网站上公开了一个交互式攻击演示。PoC代码使用JavaScript编写，可以在英特尔Skylake CPU上的Chrome 88上运行，它允许以1kB / s的速度从设备内存中下载数据。谷歌研究人员表示：这次的概念验证代码是针对Intel Skylake CPU设计的的，进行微调后同样适用于其他处理器、操作系统和浏览器，包括苹果的M1芯片。

2020白帽年度报告：金钱不是第一驱动力

近期，全球知名漏洞众测平台HackerOne发布了2020年白帽黑客年度报告。报告显示，2020年度HackerOne社区的规模已经翻了一番，注册白帽人数超过100万。地域分布上，俄罗斯、中国、印度、澳大利亚、北美、巴西、阿根廷的白帽数量最多，欧洲、非洲也有部分国家拥有较多白帽。白帽动机分析显示，很多白帽挖洞的目的不仅仅是赏金，更多的是想要获取知识与技能，还有47%的白帽出于自身的正义感，想要保护和捍卫企业与个人免受网络威胁的困扰。在疫情的影响下，漏洞的类型也出现了新变化，十大漏洞之中，信息披露的漏洞的有效提交量增幅最大，达到了65%。

精彩推荐

本文始发于微信公众号（FreeBuf）：BUF大事件丨“隐私安全”成为315焦点话题；谷歌发布幽灵漏洞PoC