本文来源:

涉案金额2.7亿！特大涉电诈洗钱团伙作案手法曝光

为贯彻落实海南省公安厅打击治理电信网络新型违法犯罪的工作部署，结合“净网2022”专项行动，近日，三亚市公安局天涯分局成功打掉一个特大涉电信网络诈骗洗钱团伙，抓获犯罪嫌疑人15名，核破全国电信网络诈骗案件50余起，涉案金额达2.7亿余元。

3月18日，事主陈某收到一封“贝米钱包”资产清退邮件，因此前陈某曾在该平台进行过投资，并未多想，随即便按照自称“工作人员”的要求，通过微信扫码支付资产清退前的手续费83549元。事后，陈某怀疑被诈骗，遂于当日到天涯分局报警求助。接报后，天涯分局合成作战中心立即展开调查。

经调取相关资料、分析研判，事主陈某被骗的资金在洗白过程中，极有可能是一个有组织的、分工明确的涉电诈洗钱团伙所为。经过进一步的侦查摸排，民警发现该伙嫌疑人在定安、海口等地疯狂存取涉诈资金400余万元，一个以蔡某军、朱某雄为首多达20余人的定安籍特大涉电诈洗钱团伙浮出水面，且该团伙成员大部分具有吸贩毒前科。

3月28日，经过周密部署，天涯分局开展集中收网行动。在省公安厅合成作战中心和市局相关部门的支持下，民警辗转海口、定安、东方、琼中、乐东等地成功将犯罪嫌疑人蔡某军（男，41岁）、朱某雄（男，35岁）、李某能（男，45岁）、黄某鹏（男，29岁）、莫某楷（男，48岁）、吴某珠（女，33岁）、吴某硕（男，24岁）、林某蓉（女，32岁）、陈某潮（男，22岁）、黄某喜（男，19岁）、蒙某能（男，24岁）、李某（男，33岁）、王某靖（男，19岁）、庄某雄（男，18岁）、吴某乾（男，25岁）共15人抓获，缴获涉案手机21部、银行卡35张、作案小轿车3辆及其他作案工具一批。

5月13日，该案被海南省公安厅列为省督案件。目前，案件正在进一步侦办中。

谷歌Java OAuth客户端库存在高危漏洞！

谷歌Java OAuth客户端库存在高危漏洞，攻击者可使用被黑的token部署恶意payload。

 漏洞概述

谷歌OAuth Client Library for Java（Java OAuth客户端库）的设计目的是用来与web上的任意OAuth协作，而不仅仅是谷歌API。该库基于谷歌Java HTTP客户端库构建，支持Java 7标准版和企业版、安卓4.0、谷歌APP引擎。

研究人员在Java OAuth客户端库中发现一个高危的认证绕过漏洞，CVE编号为CVE-2021-22573，CVSSv3评分8.7分，攻击者可以利用该被黑的token来部署恶意payload。

漏洞产生的根源是IDToken验证器没有验证token是否正确签名。签名验证可以确保token的payload来源于有效的可信的提供者。因此，攻击者可绕过客户端的验证，利用该漏洞可以构造来自不可信的提供者的任意恶意payload。

 漏洞时间轴

该漏洞是由弗吉尼亚大学计算机科学专业4年级博士生Tamjid Al Rahat于3月12日发现的，微软已于4月发布了v 1.33.3版本来修复该漏洞。Tamjid Al Rahat因此获得了5000美元的漏洞奖励。

标签： Java 高危漏洞