前员工被控入侵迪士尼菜单系统:篡改过敏信息、转换文本为 Wingdings;|因健身应用轨迹,贴身保镖恐泄露美国总统位置信息
前员工被控入侵迪士尼菜单系统:篡改过敏信息、转换文本为 Wingdings;
IT之家 10 月 31 日消息,科技媒体 404Media 昨日(10 月 30 日)发布博文,报道称一名被解雇的员工心怀不满,多次入侵华特迪士尼世界度假区餐厅系统,将菜单文字修改为 Wingdings,并称含有花生的食物对过敏者是安全的。
Wingdings 是一种特殊的字体,并非传统的字母和数字,而是完全由符号组成,包括箭头、图标和装饰性符号,适合用于视觉表达。
根据起诉书指控内容,嫌疑人 Michael Scheuer 在被迪士尼解雇后不久,使用仍可访问的多个系统密码,入侵了专为迪士尼开发的菜单创建和库存系统。
在进入系统后,他对菜单进行了多项更改,包括错误标注含花生食品的安全性,可能对过敏者造成生命威胁。
IT之家注:迪士尼的菜单中有专门的“过敏友好”部分,旨在为顾客提供准确的过敏信息。
迪士尼工作人员及时发现了被篡改的菜单,分发到餐厅之前及时制止,避免了可能的严重后果。
这起事件不仅反映了员工在被解雇后的潜在报复行为,也突显了企业在网络安全和信息保护方面的脆弱性。
该媒体点赞迪士尼及时发现并制止篡改行为,但认为该公司仍需进一步加强其系统安全,以防止未来类似事件的发生。
因健身应用轨迹,贴身保镖恐泄露美国总统位置信息
位置打卡、路径分享近来已成为不好运动类应用的标配功能,但这些数据在记录自己锻炼历程的同时,也可能不经意间泄露个人行动数据,如果有用户身居要职,那这些数据将不再是侵犯个人隐私那么简单。
做为一款全球拥有1.2亿用户的流行健身应用程序,Strava能够记录跑步和骑行等在内的运动轨迹,但法国媒体《世界报》发现,一些国家政要的贴身安保人员也是用户之一,其轨迹能够反映这些政要去了哪里,在做什么,给国家安全留下严重隐患。
总统行踪被提前曝光
根据调查发现,即使是在特朗普被暗杀未遂后的几周内,一些美国特勤局特工活跃在 Strava 上。《世界报》称,这意味着至少可以在网上轻松追踪总统竞选人特朗普、哈里斯,以及现任总统拜登的一些保密动向。此外,他们还在Strava上找到了署于法国总统马克龙、俄罗斯总统普京的安保人员。
该报一共确定了 26 名美国特工、12 名法国 GSPR(共和国总统安全小组)成员和 6 名俄罗斯 FSO(联邦保护局)成员,他们都负责总统安全,并在 Strava 上拥有公共账户。
在浏览这12名马克龙安保人员的他们的 Strava 记录后,发现了马克龙将要出访日本、俄罗斯、以色列的行程行程。因为在正式访问数天前,这些安保人员已经提前抵达,提前确认相关行程的安全性。
Strava 记录甚至还曝光了马克龙入驻的酒店。例如在马克龙2020年9月28日抵达立陶宛维尔纽斯的三天前,安保人员已在当地留下足迹,并最后在一家五星级酒店门口停留。而这家酒店,刚好是马克龙随后入驻的酒店,并在这里与流亡立陶宛的白俄罗斯反对派主要人物交谈。
法国总统官方机构也回应称GSPR的某些成员在跑步时使用了Strava软件,但对总统的安全没有任何影响,安全风险完全不存在。美国特勤局告诉《世界报》,其工作人员在执勤时不允许使用个人设备,但警卫可以在下班后使用社交媒体,并表示这不会对安保行动构成威胁。
泄露国家军事行动
在 Strava 上可供跟踪的数据无疑可能会导致安全漏洞,除了安全人员通常会提前前往领导人下榻和举行会议的地点,即便是在非工作时间,识别出这些人员的个人生活细节和轨迹,也可能被用来向他们施加压力以达到恶意目的。《世界报 》 警告说 ,这些人员可能因此遭威胁,从而影响总统的人身安全。
而这也不是 Strava第一次卷入泄露国家机密行动的漩涡中。早在2017年,Strava 发布的全球健身热区图就曾被指暴露了美军人员在中东地区的机密活动位置、基地位置、补给线和巡逻路线。因为在战乱地区,当地人鲜有使用健身手环这种“高端”的设备,因此美军的这些运动轨迹就会显得异常显著。
2018年,法国也发现该应用内存有派驻海外的法国士兵的相关信息,从而可以定位到他们位于马里、尼日尔等国的法国军事基地。
对此,美国五角大楼曾表示将严肃处理,法国军方也表示,已向部队方面发布严密指令,尤其禁止相关人员在社交媒体上发布个人信息,以及在外执行任务期间发布消息。
文章来源 :IT之家、freebuf
精彩推荐
乘风破浪|华盟信安线下网络安全就业班招生中!
【Web精英班·开班】HW加油站,快来充电!
始于猎艳,终于诈骗!带你了解“约炮”APP