国内多地3万余条新生儿信息被倒卖，背后非法产业链曝光

运营技术安全厂商 Nozomi Networks 在技术报告中提到，“这些缺陷造成的影响是多方面的：可在超声设备上植入勒索软件、访问并操纵存储在易受攻击设备上的患者数据等不一而足。”

这些缺陷影响 Vivid T9 哨声系统及其预安装 Common Service Desktop web 应用程序，该应用程序被暴露在设备的本地主机界面，可导致用户执行管理员操作。它们还影响另一款安装在医生 Windows 工作站上的 EchoPAC。EchoPAC 帮助医生访问多维度的回声、血管和腹部超声波图像。

威胁行动者需要受陷访问医院环境和物理接触该设备才能成功利用这些缺陷，之后可通过管理员权限实现任意代码执行后果。在假设的攻击场景中，恶意人员可植入勒索软件 payload 甚至提取或篡改患者信息，来锁定 Vivid T9 系统。

2019年，法国监管机构对 Google 处以 5000 万欧元的罚款，因为 Google 在未经用户同意的情况下擅自收集了用户的个人数据，并未提供充分透明度；

2019 年，英国信息委员会对英国航空公司 British Airways 处以 2,030 万英镑的罚款，因为该公司的网站和移动应用程序中存在安全漏洞，导致超过 50 万名用户的个人数据被盗取；

2020 年，英国信息委员会对万豪国际店集团处以 1,010 万英镑的罚款，因为该公司在 2018 年发生的数据泄露中没有及时采取措施防止数据丢失，导致 339 万名客人的个人数据泄露；

2021年，德国监管机构对时尚品牌 H&M 处以 3500 万欧元的罚款，因为该公司在对员工进行监控时违反了 GDPR 的规定，导致员工的个人数据被非法收集和使用；

2022 年爱尔兰监管机构对美国社交媒体巨头脸书的母公司 Meta 处以 2.65 亿欧元（约19.7 亿人民币）的罚款。

近日，杭州互联网法院审理了一起个人信息保护民事公益诉讼案，该案涉及的新生儿个人信息达3万余条。2021年5月，家住浙江杭州萧山区的叶女士刚刚生完孩子没几天，就接到了摄影公司的推销电话，对方声称可以免费给新生儿拍照，而且还可以提供上门服务。

拍照结束后，工作人员向叶女士介绍，之前答应的3张免费照片不包含底片和精修，如果想要的话需要另外收费。考虑到对方已经到家里拍了照片，而且自己也确实有这个需求，叶女士还是选择了这家摄影公司提供的拍照套餐，总价值5000多元。

尽管对摄影公司如何获取自己及孩子个人信息的问题产生过疑惑，但叶女士觉得这种事情在日常生活中经常发生，所以并没有进一步追究和维权。

近日，澳大利亚电子处方服务提供商MediSecure因遭遇第三方供应商的勒索软件攻击而关闭了网站和电话线路。该事件已经影响到了个人的个人信息和健康信息，但目前影响的程度尚不明确。

MediSecure在一份公开声明中表示：“我们已经发现了一起涉及个人和健康信息的网络安全事件。我们已经立即采取措施，以减轻对我们系统可能造成的任何影响。”并表示“初步迹象表明，此次事件源于我们的第三方供应商之一。

银行业巨头桑坦德银行证实，由于第三方供应商遭到入侵，客户和员工数据遭到泄露。在2024年5月14日发布的一份声明中，该银行透露，与桑坦德智利、西班牙和乌拉圭的客户以及该集团的部分现任和前任桑坦德员工有关的“某些信息”已被黑客获取。

在意识到这一安全漏洞后，该西班牙银行立即采取措施遏制这一事件，包括封锁被入侵的访问权限，并设立额外的欺诈预防控制措施以保护受影响的客户。

近日，特斯拉自动驾驶系统FSD正面临一个全新的威胁。新加坡安全研究人员发现了一种新的攻击方法，可以利用自动驾驶汽车摄像头传感器的弱点，通过向道路交通标志投射特殊的光线图案来干扰自动驾驶汽车的摄像头，使其无法识别标志来欺骗汽车，甚至人为制造致命车祸。要避免该攻击可能需要厂商更换自动驾驶视觉方案中的硬件组件。值得注意的是，强光会降低攻击的成功率，因为攻击光被环境光淹没了。研究团队表示，不法分子在计划实施此类攻击时需要仔细挑选时间和地点。