政府举措
工信部:应用商店全面下架“社保掌上通”APP
关键词:315 个人信息保护
3月15日,第29届央视315晚会曝光了众多APP通过不平等、不合理条款的授权协议,强制索取用户的个人信息的问题。其中,社保掌上通APP被晚会点名,晚会主持人通过实际操作发现,当用户在该APP上输入身份证号、社保账号、手机号等信息,完成注册后,电脑远程就能截取到用户的几乎所有信息。
据媒体报道,工信部立即启动应用商店联动处置机制,要求腾讯、百度、华为、小米、OPPO、Vivo、360等国内主要应用商店全面下架 “社保掌上通”APP,对“社保掌上通”手机APP的责任主体杭州递金网络科技有限公司进行核查处理,并全力组织对同类APP进行排查检测,对类似问题一并要求整改。
此外,工信部将会同有关部门继续推进综合整治骚扰电话专项行动,加强源头治理,合力斩断骚扰电话利益链,营造良好通信环境。持续加强电信和互联网用户个人信息保护,依法依规严厉查处涉事企业,并将违规企业纳入电信业务经营不良名单。(来源:快科技)
欧盟就“数字欧洲”计划核心内容达成一致
关键词:数字欧洲
欧盟理事会与欧洲议会已就“数字欧洲(Digital Europe)”核心内容达成共识,至此,该计划一个重要政治障碍被扫除。
“数字欧洲”计划由欧盟委员会于去年提出,目的是让欧盟委员会和欧盟成员国共享高性能计算、人工智能和网络安全基础设施。该计划将拨款92亿欧元(约700亿人民币),其中,27亿欧元用于超级电脑及数据处理领域;25亿欧元投入人工智能领域,希望人工智能技术能够在欧盟经济和社会领域得到广泛运用,使政府和民营企业都能受益;20亿欧元将投入网络安全领域。(来源:sciencebusiness)
美国政府拟加强能源部的网络安全职能部门
关键词:能源网络安全
在近日披露的2020财年预算提议中,美国白宫计划为美国能源部(DOE)新设立的网络安全、能源安全及应急响应办公室申请额外的6100万美元预算,来支持该办公室指导美国关键基础设施运营企业应对美国电网及其他关键能源基础设施所面临的网络安全威胁。但白宫为美国能源部申请的2020财年预算比上一财年下降11个百分点,为317亿美元。
美国能源部官员在面向媒体的一次电话会议上指出,能源部网络安全、能源安全及应急响应办公室将在2020财年得到1.57亿美元的美国电网网络安全预算经费,来支持若干旨在提升美国电网安全性和弹性的早期研究项目,这些研究项目的成果将支持美国关键基础设施运营企业“强化和提升”各自系统应对人造风险和自然灾害的能力。这名官员指出,“我们很早就认识到网络安全是非常重要的,同时网络安全风险仍在不断增加,因此美国能源部在去年就开始了网络安全、能源安全及应急响应办公室的组建工作”。(来源:国际安全简报)
英国推出网络安全信息测试网站
关键词:网络安全信息测试
在万维网创建30周年之际,英国国家安全中心(National Cyber Security Centre, NCSC)推出新网站,该网站的目的是向每位英国人提供重要的网络安全建议。NCSC是英国情报机构政府通信总部(Government Communications Headquarters,GCHQ)的一部分,旨在通过其新网站帮助所有网络专业人士。NCSC的首席安全架构师理查德说:“在网络安全领域,往往把门槛设得尽可能高。而我们想要展示的关键则是明智的风险管理策略”。NCSC希望能够将此网站打造成为英国网络安全的主页。(来源:NSCS官网消息)
网络安全事件
三星商城被黑客攻击:Galaxy S10订购页面出现Bug价格遭疯抢
关键词:三星商城
近日,三星中国官网上线了S10系列的“以旧换新”活动,旧机可抵购新机款,同时最高可享800元换新补贴。S10系列“以旧换新”回收流程如下:选择机型——旧机估值——花呗预授权——下单购机——回收旧机。最终支付的购机款=产品建议零售价,减去旧机最高抵扣金额,再去掉换新补贴金额。
不过该服务上线后,有网友发现网页疑似出现Bug,即便不换新也可以使用优惠选购三星S10手机,根据不同机型出现过金额不等的优惠,最高优惠可达2400元,部分S10遭到了羊毛党的疯抢。
随后三星发现此问题,并发布公告表示三星网络商城受到了黑客攻击而产生错误,至于已经产生的订单,则会交由客服与消费者沟通解决。(来源:cnbeta)
环球易购旗下跨境电商网站Gearbest泄露数百万用户信息和订单
关键词:Gearbest数据泄露
国外安全研究员Noam Rotem发现中国环球易购(Globalegrow)旗下自营网站Gearbest泄露了数百万用户信息和订单。泄露的信息包括用户姓名、地址、电话号码、电子邮箱、订单及产品信息、支付和发票信息等。此外,Rotem还在同一IP地址上发现了一个单独的基于Web的数据库管理系统,利用这个系统,可以操纵或破坏Gearbest母公司环球易购所运行的数据库。目前,Rotem已经联系了Gearbest ,但是Gearbest既没有关闭数据库保护数据也没有任何回应。(来源:freebuf)
巴基斯坦政府网站遭黑客入侵
关键词:巴基斯坦政府网络
据媒体报道,上周有黑客使用Scanbox框架攻击巴基斯坦政府网站,该网站为申请巴基斯坦护照的用户提供状态查询服务。
研究人员指出,Scanbox是一种恶意负载,从远程位置加载,可以获取用户设备上的各种信息,并记录用户在访问网站时的操作。Scanbox于2014年被发现,常被APT组织使用。
目前还不清楚谁是此次袭击的幕后主使,但值得注意的是,此次攻击与上周孟加拉国驻开罗大使馆受到的攻击属于同一类型。该网站管理部门已被告知感染情况,但尚未做出任何响应,因此该网站仍处于被攻击状态。(来源:hackread)
云盘服务 Box 帐号配置不当 致数十家公司敏感数据泄露
关键词:云盘配置
据美国科技媒体TechCrunch报道,网络安全公司Adversis发现,有数十家公司因为员工公开分享云盘服务Box企业存储帐号的文件链接,而无意间泄露了敏感的企业和客户数据。
虽然存储在Box企业帐号内的数据默认设置称私密状态,但用户可以与任何人分享文件或文件夹,因而只需要一个链接就可以公开接触这些文件。但Adversis表示,这些秘密链接还可以被其他人发现。使用脚本扫描和枚举的方式,Adversis发现有90多家公司的文件夹都可以公开访问。
Adversis表示,Box应该重新配置默认共享链接,限制为“公司内部的人员”,从而降低意外暴露敏感信息的概率。(来源:新浪科技)
利用恶意插件收集用户数据 Facebook起诉两名开发者
关键词:Facebook
据报道,Facebook在上周起诉了两名乌克兰人利用测试应用收集用户的私密数据,在用户的消息流中插入广告。
在2017年至2018年期间,两名被告诱使Facebook用户安装自称与星座、性格测试有关的恶意浏览器插件,受影响的用户达到约6.3万人,其中主要是俄罗斯和乌克兰用户。
Facebook起诉两名被告在未经授权的情况下访问其数据触犯了《计算机欺诈和滥用法案》,把自己“伪装”成开发者违犯了合同,涉嫌欺诈。Facebook调查这一事件的支出超过7.5万美元,这一事件“妨碍和破坏了Facebook与其用户的关系”。(来源:凤凰网科技)
新加坡80万名献血者信息遭泄露
关键词:新加坡
据外媒报道,新加坡近日发生了一起重大数据泄露事件。因为一家第三方供应商未能妥善保护包含808201名献血者个人信息的服务器,导致献血者的血型、身份证、体重等数据遭到了泄露。
新加坡卫生科学局(HSA)称,1月4日,承包商Secur Solutions Group在更新和测试时,将信息存储在一个联网的服务器上,但未能采取适当的安全措施。卫生科学局于3月13日发现了这个安全漏洞。
HSA在3月15日的一份声明中表示,一名网络安全专家发现了该漏洞,并通知了个人数据保护委员会(PDPC),Secur的一台服务器中包含了献血者的数据库,但没有采取足够的安全措施防止未经授权的访问。HSA表示,除了献血者的信息,服务器中不包含其他医疗信息。
目前数据库已经禁止被访问。HAS的报告指出,报告该漏洞的网络安全专家表示,他不会公布数据库中的内容,并正在与机构合作删除这些数据。(来源:E安全)
数据统计
2018年全球数据泄漏事件比上年增加424%
关键词:2018数据泄露事件
身份情报公司4iQ发布的一份新报告显示,2018年,随着黑客将更广泛的目标对准更小的组织,地下社区中流通着近150亿份身份记录,同比增长71%。其中47%的身份信息记录是在美国和中国的机构的数据泄漏中泄露出来的。
该公司还证实,2018年有12449起泄密事件,比2017年增加了424%,不过平均规模下降至21.7万条记录,比2017年小4.7倍。据该供应商说,这在一定程度上是因为黑客攻击了大量小企业。
报告指出:“小企业和大公司的供应商在价值链上存在薄弱环节——他们几乎没有或没有网络安全预算,也更难以保护自己免受日益有组织的、系统性的黑客攻击。”
最后,4iQ 发现,有关地下网络犯罪传播的选民记录和政府数据的数量有所上升。事实上,公共部门的身份曝光率同比上升了291%,这一趋势可能受到地缘政治紧张局势日益加剧的影响。(来源:infosecurity-magazine)
2018年网络钓鱼攻击达5亿次
关键词:2018网络钓鱼攻击
上周,卡巴斯基实验室(Kaspersky Lab)发布了《2018年的垃圾邮件和网络钓鱼》报告。报告显示卡巴斯基的反钓鱼系统在2018年阻止了逾4.82亿次访问欺诈网页的活动,比2017年的2.36亿次增加了一倍。这说明此类攻击的使用和流行程度显著上升。2018年的特点是积极利用新方案和新技巧,如诈骗通知(scam-notifications),同时完善旧技巧,如黑色星期五前后的传统诈骗。
金融业受到的打击尤其严重,在检测到的所有钓鱼攻击中,44%以上针对银行、支付系统和在线商店。
受到网络钓鱼攻击的用户比例最高的国家仍然是巴西,在所有受到攻击的用户中占28%。葡萄牙现在以23%的比例排名第二,而澳大利亚排名第三,受影响的用户占21%。
(来源:kaspersky)
人才培养
教育部办公厅印发《2019年教育信息化和网络安全工作要点》
关键词:教育&网络安全
经教育部网络安全和信息化领导小组审议通过,印发《2019年教育信息化和网络安全工作要点》。《工作要点》指出:要全面落实全国教育大会、全国网络安全和信息化工作会议精神,围绕加快教育现代化、建设教育强国、办好人民满意的教育,以“育人为本、融合创新、系统推进、引领发展”为原则,坚持稳中求进工作总基调,深入落实《教育信息化“十三五”规划》和《教育信息化2.0行动计划》,实施好教育信息化“奋进之笔”,加快推动教育信息化转段升级,积极推进“互联网+教育”,坚持高质量发展,以教育信息化支撑和引领教育现代化。(来源:教育部)
漏洞速递
微软 Word 中的新漏洞允许攻击者绕过所有防恶意软件防御
关键词:word漏洞
Mimecast研究实验室的一组研究人员发现了一个影响Microsoft Word的新漏洞,它不仅仅影响这个办公应用,同时还对整个操作系统都形成了威胁:允许黑客绕过目标系统上的反恶意软件等所有安全措施。该漏洞的目标是微软处理OLE文件格式时的整数溢出错误,一群来自叙利亚的黑客发现了这一重大问题。
利用这个漏洞能绕过许多旨在保护数据免受侵扰的安全解决方案,包括领先的沙盒和反恶意软件技术。
恶意软件代码显示它能够访问URL,创建文件和/或文件夹,运行shell命令以及执行和结束程序,它还可以通过记录击键和鼠标事件来窃取信息。
Mimecast Research Labs已经向微软通报了这个漏洞,但微软公司表示因为该问题仅在特殊状况下才能被利用,对大部分人来说并不会导致内存错误和代码执行,暂时还没有修复漏洞的计划,但这一工作可能会在以后完成。(来源:cnbeta)
其他漏洞
3月11日-3月17日:
国家信息安全漏洞共享平台(简称 CNVD)共收集、整理信息安全漏洞309个,其中高危漏洞65个,中危漏洞213个,低危漏洞31个。
免责声明:
信息安全快讯的内容及图片出于传递更多信息之目的,属于非营利性的转载。如无意中侵犯了某个媒体或个人的知识产权,请联系我们,我们将立即删除相关内容。其他媒体、网络或个人从本网下载使用须自负版权等法律责任。