【资讯】美SEC数据库遭入侵 犯罪分子非法牟利410万美元；纽约隐私法案强制企业披露消费者数据使用情况

在当地时间星期二举行的新闻发布会上，新泽西州检察官克莱格·卡蓬尼托（Craig Carpenito）、SEC、美国联邦调查局和美国特勤局联合公布了一起国际股票交易犯罪活动，犯罪分子入侵了美国证券交易委员会（以下简称“SEC”）的EDGAR企业文件系统，并利用内幕信息非法牟利410万美元。据路透社称，犯罪团伙利用获得的非公开信息进行股票交易，从美国、俄罗斯和乌克兰非法牟利410万美元。犯罪分子获得了157份企业财报，其中部分财报是“测试文档”。

纽约近日修订了通用商务法律，增加了一个名为“2019知情权法案”(S00224)的议案，规定消费者有权知晓个人信息被企业搜集的情况以及披露给第三方的使用情况。此外，这项新规定还强调企业之间共享消费者信息的过程要透明化。法令规定，隐私权是基本人权，受到美国宪法保护，各企业应当遵守法律。此外，法令也详细列举了企业在何种情况下应当披露消费者数据使用以及披露的具体条目。这堪称数据保护立法领域的一项新进展。

趋势科技（Trend Micro）的两名研究人员近日演示了如何成功入侵并控制建筑工地上的起重机进行各种任务。实验表示，当施工现场唯一能控制起重机的发射器关闭后，起重机处于“停止”状态。但是安全专家通过笔记本电脑、一些无线电硬件、特制的攻击脚本就能成功控制起重机，不仅开动起来而且还能进行起重作业。如果黑客利用这种方式完全可以肆意破坏建筑工地。这主要是因为这些机械设备使用的RF通信协议存在漏洞。Saga、Juuko、Telecrane、Hetronic等多款设备都受到影响。

安全研究人员公布了 Secure Copy Protocol（SCP）的五个漏洞，其根源可追溯到 1983 年，至今有 35 年历史。漏洞影响 OpenSSH scp、PuTTY PSCP 和 WinSCP，其中 WinSCP 已经修复。漏洞允许恶意 SCP 服务器悄悄的纂改客户端机器上的任意文件。安全研究人员解释说，SCP 基于的 RCP 允许服务器控制发送的文件，如果没有仔细核查客户端最终下载的文件可能与用户想要的文件不同，攻击者可以覆写用户的 .bash_aliases 文件，在用户执行例行操作如罗列目录时攻击者可以执行任意命令。

以上内容均来源于网络