最高法工作报告：坚决制止大数据杀熟；中资著名手机品牌疑似被黑，11GB内部敏感数据泄露

IT 之家 3 月 7 日消息，IT 之家从最高人民法院获悉，最高法工作报告提出，人民法院依法促进数字经济健康发展。审理大数据权属交易、公共数据不正当竞争等案件，明确数据权利司法保护规则。惩处滥用数据、算法等排除、限制竞争的行为，坚决制止 “大数据杀熟”、强制 “二选一” 等 “店大欺客” 行为。规范直播带货、付费点播等新业态新模式，保护创新经营，惩处非法逐利。浙江温州法院积极探索数据资源专业审判机制。北京、天津、上海法院对盗播北京冬奥会、世界杯等行为及时作出禁令，促进优化数字文化市场环境。

去年 10 月 29 日，最高人民法院发布《关于加强新时代知识产权审判工作为知识产权强国建设提供有力司法服务和保障的意见》（以下简称《意见》）。《意见》提出，要加强对平台企业垄断的司法规制，依法严惩平台强制 “二选一”“大数据杀熟” 等破坏公平竞争、扰乱市场秩序行为。《意见》还要求加强互联网领域和大数据、人工智能、基因技术等新领域新业态知识产权司法保护，完善算法、商业方法和人工智能产出物知识产权司法保护规则；加强涉数据云存储、数据开源、数据确权、数据交易、数据服务、数据市场不正当竞争等案件审理和研究，切实维护数据安全；要依法适用惩罚性赔偿，加大知识产权侵权损害赔偿力度和对侵权行为惩治力度，及时有效阻遏侵权行为。

IT 之家注意到，事实上我国早就决定针对大数据杀熟等行为进行立法。去年 8 月，个人信息保护法草案出炉，其中就对 “大数据杀熟” 等行为作出针对性规范。

中资著名手机品牌疑似被黑，11GB 内部敏感数据泄露

地下数据泄露市场用户声称，成功通过故障和错误获得了摩托罗拉移动的 JIRA 系统备份控制面板访问权限，并窃取了约 11GB 数据。

安全内参 3 月 7 日消息，一家数据泄露市场的用户 LeakBase 宣称，已成功通过故障和错误获得了中资背景的美国摩托罗拉公司 JIRA 系统的备份控制面板访问权限。

据用户 LeakBase 透露，外泄的数据包括管理面板（即管理后台）数据，以 HTML 格式导出并带有截屏内容。该用户还提到，数据包含多种文件格式，总大小约为 11 GB。

通过对泄露网站上共享的数据进行初步分析，分析师发现信息内容真实有效。外媒 Cyber Express 已经就此事向摩托罗拉发出置评请求。

自 2022 年 3 月以来，用户 LeakBase 就一直活跃在该泄露论坛上。Cyber Express 之前曾经报道过这名网站成员的多篇帖子，比如涉及德国托管 IT 服务商 BITMARCK、美国互联网营销服务商 Purecars 等。

此次最新网络安全事故的突破口，正是摩托罗拉公司使用的 JIRA 软件（由澳大利亚软件公司 Atlassian 开发的应用程序）。

摩托罗拉移动的网络威胁状况

摩托罗拉公司曾是一家总部位于美国的跨国电信巨头。但在 2007 年至 2009 年遭受数十亿美元亏损之后，该公司于 2011 年拆分为两家独立的上市企业，分别为摩托罗拉移动和摩托罗拉解决方案。

作为重组计划的一部分，摩托罗拉移动被拆分出来，在 2014 年被中国科技企业联想收购，并仍以摩托罗拉品牌生产其产品。

目前，摩托罗拉移动是联想集团的子公司，主要制造消费级电子产品，例如智能手机和其他基于 Android 系统的移动设备。

根据泄露网站的数据，此次流出的信息来自摩托罗拉移动。样本数据中提到的网站 motorola.com 是摩托罗拉移动公司的零售门户。

这不是摩托罗拉移动近期唯一的安全事故。2022 年 6 月，安全厂商 Checkpoint 发现中国芯片制造商紫光展锐生产的 Tiger T700 芯片存在漏洞，而 2021 年销售的 Moto G20、E30 和 E40 设备采用的正是这款芯片。

当蜂窝调制解调器尝试接入 LTE 网络，且调制解调器的连接处理程序无法验证有效用户 ID（例如国际移动用户识别码 IMSI）时，就会触发该漏洞，导致读取零数字字段时发生堆栈溢出。一旦遭到利用，此漏洞可能导致拒绝服务攻击甚至允许远程代码执行。

研究人员表示，尚不清楚其它紫光展锐应用处理器芯片是否也使用搭载相同固件的同款基带调制解调器。

JIRA 的历史漏洞和安全问题

JIRA 可帮助用户团队跟踪问题、管理项目并实现工作流程自动化。今年 1 月，Atlassian 在发现 JIRA 软件易受网络攻击后发出了警报。

该公司表示，当时发现的 JIRA 软件漏洞可能允许黑客在受影响系统上远程执行任意代码。

相关披露说明称，“在 JIRA Service Management Server and Data Center 中发现的身份验证漏洞，允许攻击者在特定情况下冒充为另一用户，并获得对 JIRA Service Management 实例的访问权限。”

2022 年 10 月，网络安全厂商 Bishop Fox 又报告了 JIRA Align 中的两个漏洞。这些漏洞可能允许未经授权者访问管理员区域，并威胁到 Atlassian 公司的云基础设施。

其中一个漏洞为服务器端请求伪造（SSRF）缺陷，可能允许用户检索 Atlassian 服务账户的 AWS 凭证；另一缺陷来自用户授权机制，允许获得对 JIRA Align 租户的管理员控制权。

研究人员发现，这些漏洞组合可能导致针对 Atlassian 云基础设施的重大攻击。

发现该漏洞的 Bishop Fox 公司安全顾问 Jake Shafer 解释道，通过利用授权漏洞，低权限用户可以将其角色升级为超级管理员，进而获取对客户 JIRA 部署中全部内容的访问权限。

————————————————

原文作者：黑白之道

转自链接：https://www.wangan.com/p/11v73b5e7272bcd3

版权声明：著作权归作者所有。商业转载请联系作者获得授权，非商业转载请保留以上作者信息和原文链接。