各位 Buffer 早上好，今天是 2018 年 8 月 9 日星期四，农历六月二十八。今天份的 BUF 早餐内容有：墨西哥 200 万人的医疗保健数据在线上曝光；Linux 内核出现漏洞可触发远程 DoS 攻击；Let's Encrypt Root 获得了所有主要机构的信任；谷歌要求安卓 9.0 设备必须加入防回滚机制；顺丰上线下单“隐址件”:收寄双方均看不到对方信息；发改委：“双公示”要保护个人隐私 防止信息泄露。

安全资讯早知道，两分钟听完最新安全快讯~

以下请看详细内容：

墨西哥 200 万人的医疗保健数据在线上曝光

近日，有安全研究员通过撒旦搜索引擎发现一个 MongoDB 数据库，其中包含 200 万墨西哥公民的医疗保健数据。这些数据包括公民全名、性别、生日、保险信息、疾病状况以及地址。当时，这个数据库处于全线曝光状态，无需密码即可访问。该安全研究员分析了数据库内容，找到多个管理员邮箱地址，并联系到对应的医疗机构 Hova，告知这一问题。目前，Hova 已经采取相关措施保护这个数据库的安全，并着手调查事件详情。[来源：bleepingcomputer]

Linux 内核出现漏洞可触发远程 DoS 攻击

Linux 内核 4.9 版本中出现一个漏洞，可被攻击者利用，通过网络工具套件发起 DoS 攻击。研究人员表示，有很多网络设备供应商、电脑和服务器制造商、移动供应商以及操作系统制造商都可能受到影响。此外，由于 Linux 使用范围很广，亚马逊、苹果、Ubuntu 以及 ZyXEL 也都可能中招。漏洞目前命名为 SegementSmack，编号为 CVE-2018-5390，目前除了还没有有效的缓解措施。[来源：ZDNet]

Let's Encrypt Root 获得了所有主要机构的信任

Let's Encrypt 日前宣布其受到所有主流根证书项目的信任。包括微软、谷歌、苹果、Mozilla、甲骨文和黑莓在内的所有主流浏览器和操作系统厂商都认可了 Let's Encrypt 的根证书 ISRG Root X1。Let’s Encrypt 称，虽然所有较新版本的操作系统、浏览器和设备都直接信任它的证书，但许多旧版本仍然没有直接信任 Let’s Encrypt CA，其中一部分会升级到信任其证书的新版本，但还有很多不会升级。要等待它们彻底消失可能至少需要五年时间。 [来源：bleepingcomputer]

谷歌要求安卓 9.0 设备必须加入防回滚机制

从Android 8.0 Oreo开始，谷歌引入“rollback protection（回滚保护）”机制，禁止从新版本刷回到旧版本。这样做的目的一是为了更高的安全性，二是为了配合Project Treble，改善碎片化，加速系统迭代速度。 8月7日，谷歌正式推送了 Android 9 Pie 系统，其中的“回滚保护”从推荐特性变为强制特性，包括 OEM 厂商。“防回滚”的实现依赖于新的Android Verified Boot 2.0，即便用户强刷成功，这套启动机制在检测到当前版本低于上一版本后，也会拒绝启动。目前的安卓8.0设备中，Pixel 2、雷蛇手机、一加6都集成了该特性。[来源：cnBeta]

顺丰上线下单“隐址件”:收寄双方均看不到对方信息

随着《快递暂行条例》的出台和落实，快递信息安全议题持续引发关注。近日，顺丰推出了可隐匿收/寄件人地址的产品——“隐址件”，收寄件双方只需分别填写自己的地址即可完成下单。使用时，寄件人在填写好寄件信息后，将收件信息填写页面分享给收件人，收件人补充收件信息后，寄件人则可在线上完成下单，在此过程中，收寄双方都通过第三方平台进行信息交互。第三方平台对收寄双方的姓名、手机号、详细地址进行隐匿处理，不会在快递单上显示。在寄递全流程中，仅收派员拥有通过巴枪扫描获取相关信息的权限，可明显提高信息安全保密性。[来源： 澎湃新闻]

发改委：“双公示”要保护个人隐私 防止信息泄露

据国家发改委网站消息，为进一步提升“双公示”信息质量，加大政府信息公开和数据开放力度，国家发改委办公厅发布《关于进一步完善行政许可和行政处罚等信用信息公示工作的指导意见》(下称《指导意见》)。《指导意见》称，“双公示”要保障信息安全。严格按照相关法律法规，贯彻落实网络安全等级保护制度，加大对“信用中国”网站、全国信用信息共享平台、各地区各部门信用信息系统、信用服务机构数据库等的监管力度，保障信息主体合法权益，确保国家信息安全。对于涉及企业商业秘密和个人隐私的信息，发布前应进行必要的技术处理。要加强个人隐私和信息安全保护，建立完善个人信息查询使用登记和审查制度，防止信息泄露。[来源： 新华网]

*AngelaY 编译整理，转载请注明来自 FreeBuf.COM