、小白剧场

小白：回顾2020年最受我青睐（最常使用）的APP榜单，没想到北京健康宝榜上有名呀！

大东：哈哈哈，在北京，进出每一个地方都需要扫一扫北京健康宝，只有听到它发出“通过”的声音你才能自由通行。

小白：是呢，由于新冠肺炎疫情的原因，记录人员的流行足迹是很有必要的。像健康宝这类的软件在我们疫情防控环节中起到了很大的作用呢。

大东：那你在使用这个软件的过程中，有没有感觉有什么不妥之处呢？

小白：当然有！我之前用其它软件进行扫码登记的时候，根本不会显示我的人脸。但是北京健康宝就不同了，它不仅要记录你的面部，还会在你每次扫码的时候显示你的照片。天呐，我每次都不忍心看到自己的照片。

大东：小白，你的关注点很独特呀！那作为安全人员，你有没有想过其它的不妥之处呢？

小白：其实有很多人都在吐槽北京健康宝照片的问题，不止我一个。在最初使用此类软件的时候，我还在担心这个软件记录了我们的个人身份信息，还记录了我们每天的行程，如果有不法分子盗取了这些信息，后果不敢想象呀。不过后来在使用的过程中也就忘记这件事情了。

大东：的确，隐私泄露是一个大问题，这不最近就爆出了健康宝泄露明星隐私信息的事件。

小白：这个事件一经爆出，就成了人们关注的焦点。当天此事件就上了微博的热搜排行榜。

微博热搜排行榜（图片来源于网络）

大东：那我们就趁此事件聊一下隐私泄露吧。

小白：好呀好呀！

二、话说事件

大东：近日，明星“代拍”行业里，出现了一项新型的“健康宝照片”买卖交易。

代拍群信息（图片来源于网络）

小白：是呀，听说非常猖狂，隐私以极低的价格被泄露，如“1元购买健康宝查询方式”、“2元70多位艺人健康宝照片”、“1元1000多位艺人身份证号”。

大东：据了解，在代拍群中，开始是花1元可购买1位明星健康宝照片，后来出现了3元可打包“tnt时代少年团”7人的健康宝照片，随后，又出现了2元打包70多位艺人健康宝照片，1000多位艺人身份证号仅售1元等。

小白：惊呆！但这个是怎么做到的呢？

大东：其实没有很复杂的操作。在微信中搜索“北京健康宝”小程序，将本人信息注册之后，点击“健康服务预约查询”，随后点击底部链接打开“核酸检测”服务，最后点击“他人核酸检测结果代查”即可达到输入界面。

健康宝程序界面（图片来源于网络）

小白：也就是只要正确输入他人信息，就可以获取到此人的核酸检测详情信息。

大东：没错，在上述页面中输入明星的姓名与身份证号，无需再次人脸识别，即可获得他人在录入个人信息时，进行人脸识别的照片，即代拍们所贩卖的“健康宝照片”。

贩卖的明星信息（图片来源于网络）

小白：那核算检测结果信息也可以被获取？

大东：对，如果被搜索的人做过核酸检查，通过该方式还可得到该人的核酸检查结果与检测机构、检测时间。

三、大话始末

小白：那隐私泄露之后平台做了哪些措施呢？

大东：首先，北京经信局及时地做出回应，核实此事件。

北京经信局回应（图片来源于网络）

小白：那核实之后问题解决了吗？

大东：不要急，北京市经济和信息化局大数据建设处（智慧城市建设处）已回应：“此问题已解决。”

小白：他们是不是在他人待查核酸检测之前添加了验证环节？

大东：没错，代查他人健康状态及核酸检测需姓名和身份证号外，已改为还需要被代查人人脸识别认证。

人脸识别图片（图片来源于网络）

小白：这个方法不错。东哥，我还有个问题，明星健康宝照片属于个人隐私吗？

大东：看一点专业的解释，即将施行的《民法典》对隐私的定义是“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”

小白：嗯！

大东：还有，判断相关信息是否属于个人隐私，往往还需考虑当事人对相关信息及其产生场景的预期。也就是说，如果按一般正常人的认知，当事人对所处空间的预期是私密的，认为其在该等空间的自由行为不会公开，且社会公众也认为该等信息不应被他人所知。那么，当事人在该等空间的行为可以认为属于个人隐私。

小白：也就是说，如果明星拍照时处于私密空间，加之明星使用健康宝拍照是为进行人脸识别，显然没有将照片公之于众、广泛传播的预期。从这一层面，不排除明星健康宝照片被认定为属个人隐私的可能性。

大东：不过，目前被泄露的信息不仅包含明星照片，还包括姓名、身份证号、电话号码等综合信息，该等信息实际已落入法律对“个人信息”的定义。

小白：那出售或传播个人信息将面临什么后果？

大东：咳咳，我国《刑法》中设有侵犯公民个人信息罪。向他人出售或者提供公民个人信息；或是将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的；以及窃取或者以其他方法非法获取公民个人信息的，视情节严重性，都有可能构成犯罪，被处以有期徒刑或者拘役，并处或者单处罚金。

四、小白内心说

小白：小白和小白的朋友们都不会助纣为虐的。话说回来，小白我听完这件事情后，更加认可技术和隐私保护要迭代发展的观念了。

大东：是的，在个人隐私数据流转的全链条里面，只要出现一个漏洞，引发大规模数据泄露及其舆论风波，多方共赢就可能沦为多方共输：泄露数据的涉事企业要因此承担法律责任，推广“健康宝”的地方政府因此公信力受损，对“健康宝”拒绝共享数据或配合检查的居民则可能承担新冠肺炎感染风险。

小白：是的，这次健康宝的补救措施还做得不错，这个问题被曝光之后，他们立马就更新了版本，增加了人脸识别的功能。

大东：没错，对于平台方，一旦发现软件存在漏洞，应迅速行动，绝不能让个人姓名、身份证号、出行轨迹、脸部照片等个人信息“裸奔”在互联网的世界里。

小白：由于防控疫情的需求，我们越来越能接受在合理范围内出让自己的隐私，将行程、健康状态相对开放的个人信息分享出来以便能在社会层面上获取更多的便利、安全。不过我们的隐私信息一定要被保护在安全圈内，不能被非法分子所利用。

大东：是呀，鉴于大数据具有零成本复制、容易反向脱敏、容易删后恢复的特性，要从隐私数据的最初产生直到彻底湮灭，将数据安全防护贯穿全生命周期。

小白：嗯嗯嗯！

参考资料：

1. 各方回应！大量明星核酸检测人脸照片被买卖？https://mp.weixin.qq.com/s/QSkT-XmRSjeZ5f8OjxckWA

2. 百位明星健康宝照片外泄 窥私应该有底线

https://ent.people.com.cn/n1/2020/1230/c1012-31984109.html

3. “健康宝”明星隐私泄露事件：数据保护须闭环管理http://www.eeo.com.cn/2020/1229/451168.shtml

4. “健康宝”泄露明星个人信息，技术与隐私何去何从？https://mp.weixin.qq.com/s/edQbq87mV6iTW4Whf89K5w

来源：中国科学院信息工程研究所

来源： 中科院之声

过第三方数据监测，新京报核心报道《一个自闭症少年的死亡之路》(2017年3月20日新京报A12-13版刊发)，被以下网站、新闻移动端转载，请侵权网站、新闻移动端立即停止侵权行为并与新京报版权部门联系。

1、观察者网

未经许可侵权转载上述稿件，标题改为“广东一托养中心49天死20人 1年盈利两百万”。

http://mobileservice.guancha.cn/Appdetail/get/?devices=ios&id=304230

2、沈阳网

未经许可侵权转载上述稿件，标题改为“自闭症少年的死亡之路 年龄被工作人员多估算9年”。

http://news.syd.com.cn/system/2017/03/20/011336516.shtml

3、安徽网

未经许可侵权转载上述稿件，标题改为“自闭症少年死亡事件始末 托养中心49天死20人” ，且来源标注为第三方网站。

http://www.ahwang.cn/china/20170320/1617023.shtml

4、多彩贵州网

http://gongyi.gog.cn/system/2017/03/20/015506537.shtml

5、东北网

http://yuqing.dbw.cn/system/2017/03/20/001183811.shtml

6、荔枝网

未经许可侵权转载上述稿件，标题改为“自闭少年死亡 托养中心4名负责人被采取强制措施”，且来源标注为第三方网站。

http://news.jstv.com/a/20170320/1489977718543.shtml

7、环球网

未经许可侵权转载上述稿件，标题改为“15岁自闭症少年死亡:出现两份死亡记录 死因不同”。

http://health.huanqiu.com/health_news/2017-03/10340011.html

8、天天在线

未经许可侵权转载上述稿件，标题改为“自闭症少年走失四个月 被找到时已死亡”，且来源标注为第三方网站。

http://www.116.com.cn/news/files/1317347.shtml

9、 湖北日报网

http://news.cnhubei.com/xw/gn/201703/t3802921.shtml

10、扬子晚报网

http://www.yangtse.com/m/news/zhongguo/2017-03-20/405570.html

11、郑州晚报网

未经许可侵权转载上述稿件，且来源标注为第三方网站。

http://www.zzwb.cn/webhtml/haowan/201703/96913.html

12、交汇点移动端

http://jhdr.xhby.net/content/201703/20/c575499.html

13、大小新闻移动端

未经许可侵权转载上述稿件，标题改为“自闭症少年在托养中心死亡 该中心被曝49天死20人”。

http://www.ytcutv.com/folder5/folder6/folder9/2017-03-20/581869.html

14、广西网络广播电视台

http://news.gxtv.cn/201703/news_1856058111.html

为规范网络转载行为，制止非法侵权转载，现郑重公告如下：

1、任何单位及个人，凡在互联网、无线客户端、微博和微信等平台上使用《新京报》拥有版权的作品及新闻信息，须事先取得《新京报》的书面授权后方可使用和转载。

2、任何单位及个人，未经书面授权擅自使用《新京报》版权作品及新闻信息的，《新京报》将予以警告，并定期在《新京报》和新京报网上公告侵权人及其侵权行为。

3、对于警告无效者，《新京报》将采取包括但不限于向国家版权行政主管部门举报，向人民法院提起侵权诉讼等多种措施以维护著作权人的合法权益。届时产生的一切后果由侵权人承担。

4、对于未经许可的各类非法转载行为，任何单位及个人均有权举报，我们将对举报者的相关信息予以严格保密。举报信息一经查证属实，我们将给予一定的奖励。

新京报版权事务联系电话： 010-67106089

此反侵权行动由凡闻科技独家提供技术支持，

电话：0571-85331960 邮箱：fw@cnfanews.com

新京报社

2017年3月22日

锋网编者按：12月22日，雷锋网从微步在线了解到，有黑客正在利用 WebLogic 反序列化漏洞（CVE-2017-3248）和 WebLogic WLS 组件漏洞（CVE-2017-10271）对企业服务器发起大范围远程攻击，有大量企业的服务器已被攻陷，且被攻击企业数量呈现明显上升趋势，需要引起高度重视。

其中，CVE-2017-12071是一个最新的利用 Oracle WebLogic 中 WLS 组件的远程代码执行漏洞，属于没有公开细节的野外利用漏洞，虽然官方在 2017 年 10 月份发布了该漏洞的补丁，但大量企业尚未及时安装补丁。

以下为微步在线的投稿。

编号:TB-2017-0010

报告置信度:90

TAG: CVE-2017-3248、CVE-2017-10271、WebLogic、远程执行、反序列化、挖矿

TLP: 白 (报告转发及使用不受限制)

日期: 2017-12-21

漏洞利用方法

该漏洞的利用方法较为简单，攻击者只需要发送精心构造的 HTTP 请求，就可以拿到目标服务器的权限，危害巨大。由于漏洞较新，目前仍然存在很多主机尚未更新相关补丁。预计在此次突发事件之后，很可能出现攻击事件数量激增，大量新主机被攻陷的情况。

攻击者能够同时攻击Windows及Linux主机，并在目标中长期潜伏。由于Oracle WebLogic 的使用面较为广泛，攻击面涉及各个行业。此次攻击中使用的木马为典型的比特币挖矿木马，但该漏洞可被黑客用于其它目的攻击。

漏洞参考链接：

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10271

http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

事件概要

详情

根据捕获到的 pcap 包分析，攻击者选定要攻击的目标主机后，将首先利用漏洞CVE-2017-3248进行攻击，无论是否成功，都将再利用CVE-2017-10271进行攻击。在每一次的攻击过程中，都是先针对Windows系统，再针对Linux系统。具体攻击流程如下：

1、利用 WebLogic 反序列化漏洞（CVE-2017-3248）调用 Linux 中的 wget 进行样本下载和运行。

2、利用 WebLogic 反序列化漏洞（CVE-2017-3248）调用 Windows 中的 PowerShell 进行样本下载和运行。

3、利用 WebLogic WLS 组件漏洞（CVE-2017-10271）调用 Linux 中的 wget 进行样本下载和运行。

4、利用 WebLogic WLS 组件漏洞（CVE-2017-10271）调用 Windows 中的 powershell 进行样本下载和运行。

5、在此次的攻击事件中，CVE-2017-3248利用不成功，CVE-2017-10271则利用成功，从而导致了服务器被攻击者攻陷，进而在系统日志中留下了痕迹。

告警截图如下：

据观测，该黑客团伙同时在使用 JBoss 和 Struts2 漏洞进行攻击尝试和渗透行为。

检测措施

1. 网络流量：

使用附录中的IOC结合日志和防病毒安全套件等系统进行自查和清理。

详情：通过防火墙检查与IP 72.11.140.178的连接。

2. 尽快对失陷机器进行排查和清理，检查主机日志中是否出现以下字符串：

对于 Linux 主机，检查日志中是否出现以下字符串：

java.io.IOException: Cannot run program "cmd.exe": java.io.IOException: error=2, No such file or directory

b.对于 Windows 主机，检查日志中是否出现以下字符串：

java.io.IOException: Cannot run program “/bin/bash": java.io.IOException: error=2, No such file or directory

若出现，则说明系统已被入侵。

行动建议

·及时更新补丁。

·加强生产网络的威胁监控，及时发现潜在威胁。

附录

IOC：72.11.140.178

为避免相关 POC 脚本被恶意利用，引起更大范围的破坏，如需具体 POC 脚本，可联系： contactus@threatbook.cn

以上内容来自微步在线投稿，雷锋网编辑。