11月16日，星期三，您好！中科汇能与您分享信息安全快讯：

国际足联（FIFA）世界杯即将开始，隐私专家们指出了这两款应用的隐私问题。参加庆典需要两个应用程序：Ehteraz，一个新冠肺炎跟踪系统，和Hayya，一个用于允许球迷进入体育场、查看时间表和免费公共交通的应用程序。

Ehteraz在全国范围内使用，它要求用户允许远程访问图片和视频，拨打免费电话，读取或修改设备数据。Hayya权限包括完全网络访问和对个人数据的无限制访问。两者都跟踪用户的位置。

谷歌将支付 3.915 亿美元，就 40 个州指控其非法追踪用户位置达成和解。

和解协议显示，谷歌甚至存在误导用户的情况，当用户本以为禁用设备设置中的 "位置历史 "就能禁用位置追踪时，另一个账户设置会默认打开名为 "网络和应用程序活动"，使得谷歌能够收集、存储和使用用户个人定位数据。

和解协议中要求谷歌必须引入更人性化的账户控制，并限制公司使用和存储某些类型的位置数据。

PCSpoof已经被披露是一种针对安全关键基础设施中使用的称为时间触发以太网（TTE）的关键技术的新攻击方法，可能导致航天器和飞机供电系统故障。

旨在打破TTE的安全保证并诱导TTE设备失去同步长达一秒钟，这种行为甚至可能导致太空飞行任务中不受控制的机动并威胁机组人员的安全。

德克萨斯州一家医院的勒索软件攻击导致电话和电子邮件系统瘫痪数周，现在情况更糟，因为OakBend医疗中心承认黑客从多达50万人的医疗记录中下载了数据。

勒索软件组织Daixin声称对OakBend攻击负责。OakBend发言人向信息安全媒体集团证实，网络犯罪分子要求非营利性安全网医院支付数千万美元的赎金。

为贯彻落实习近平总书记关于完善信用体系方面的法律制度的重要指示精神，按照党中央、国务院关于推动社会信用体系建设高质量发展的部署要求，国家发展改革委、人民银行会同社会信用体系建设部际联席会议成员单位和其他有关部门（单位）研究起草了《中华人民共和国社会信用体系建设法（向社会公开征求意见稿）》，现向社会公开征求意见。

俄罗斯滑板车共享服务Whoosh在黑客开始出售包含黑客论坛上720万客户详细信息的数据库后，证实了数据泄露。

该数据库还包含 1，900，000 名用户子集的部分支付卡详细信息。卖家还声称，被盗数据包括3，000，000个促销代码，人们可以使用这些代码租用Whoosh踏板车而无需付费。

卖家表示，他们只以每人4，200美元或0.21490980比特币的价格将数据出售给五名买家，根据用于交易的SatoshiDisk平台，还没有人购买该数据库。

一个名为“fangxiao”的恶意营利性组织创建了一个由 42，000 多个网络域组成的庞大网络，这些网络域冒充知名品牌将用户重定向到推广广告软件应用程序、约会网站或“免费”赠品的网站。

威胁行为者来自中国。他们自 2017 年以来一直在运营，欺骗了来自零售、银行、旅游、制药、运输、金融和能源行业的 400 多个知名品牌。

fangxiao受害者会被重定向到使用Triada 木马或其他恶意软件感染他们的站点。然而，这些站点的运营商与fangxiao之间的联系尚未建立。

研究人员警告说，由于Mastodon的一个分支Glitch中的漏洞，攻击者可以从Mastodon用户那里窃取密码凭据。

攻击者使用 Chrome 的自动填充功能窃取用户的存储凭据，方法是诱骗用户点击他伪装成工具栏的恶意元件。

专家表示，任何使用Mastodon的Gitch分支的Mastodon实例都是脆弱的，并补充说，由于服务器容易受到攻击，“用户无法采取太多措施来保护自己“。

意大利暂停使用面部识别技术和能识别汽车牌照的红外智能眼镜。

隐私监督机构数据保护局称，在相关法律采用前或至少到明年年底之前，不允许使用生物识别数据的面部识别系统。司法调查或打击犯罪行为将作为例外情况。

数据保护局表示要对面部识别相关的做法进行规范。该机构表示，根据欧盟和意大利的法律，公共机构使用视频设备处理个人数据，基于公共利益的理由且与公共当局活动有关，这些通常是允许的。

网络安全研究人员已经披露了Zendesk Explore中现已修补的漏洞的详细信息，攻击者可能利用这些漏洞从启用了该功能的客户帐户中未经授权访问信息。

该漏洞将允许威胁行为者在启用Explore的情况下访问来自Zendesk帐户的对话，电子邮件地址，票证，评论和其他信息。