政府舉措
公安部網絡安全保衛局發佈《互聯網個人信息安全保護指引(徵求意見稿)》
關鍵詞:個人信息保護
近日,為深入貫徹落實《網絡安全法》,指導互聯網企業建立健全公民個人信息安全保護管理制度和技術措施,有效防範侵犯公民個人信息違法行為,保障網絡數據安全和公民合法權益,公安部結合偵辦侵犯公民個人信息網絡犯罪案件和安全監督管理工作中掌握的情況,組織北京市網絡行業協會、北京郵電大學和公安部第三研究所相關專家,研究起草了《互聯網個人信息安全保護指引(徵求意見稿)》。
同時,為凝聚各界共識和智慧,進一步完善防護措施,更好地為互聯網企業和廣大網民保護個人信息提供指導指引,公安部現已面向社會廣泛徵求意見。公眾可以通過網站(全國互聯網安全管理服務平臺)查閱徵求意見稿,有關建議則可通過電子郵件或傳真進行反饋。(來源:公安部網絡安全保衛局)
上海消保委測試18款App,獵豹、觸寶等自動開隱私權限
關鍵詞:App權限
11月28日,上海市消保委通報關於規範瀏覽器、輸入法、綜合視頻等手機App涉及個人信息權限的測評結果,有的手機甚至出現自動發送短信等異常現象。在這場通報會之前,上海市消保委已邀請18家涉事企業進行溝通。15家企業火速修改相關權限或者發佈新版本。獵豹瀏覽器、觸寶輸入法、芒果tv三家企業未參加溝通會,App也沒有任何改進。
上海市消保委副秘書長唐健盛向媒體表示,目前,國家對手機App權限的開發、立法和標準不完善。很多都是概念上的規定,只要求必要正當合理。但是什麼是必要正當合理,並沒有明確的規定和規範。事實上,目前市場上的App開發者,全憑覺悟在做。“而且,覺悟高的不多。”唐健盛說道。為此,上海市消保委透露,希望國家相關主管部門能更加明確(App權限),使之制度化。其次,希望能建立團體標準。(來源:澎湃新聞)
美國政府要求盟國禁用華為設備
關鍵詞:美禁用華為
據華爾街日報稱,美國政府計劃為禁用中國製造設備的國家在通信發展方面提供經濟援助。
雖然許多國家計劃建設5G基礎設施,但各國政府的方式卻不相同。意大利政治家似乎完全忽視了5G基礎設施對國家經濟增長的重要性,以及對國家安全的潛在影響。而德國高級官員因擔心國家安全存在潛在風險,禁止華為及其他中國公司參加招標。
德國並非第一個禁止中國公司參加5G招標的國家,做出同樣決定的還有澳大利亞與美國。
雖然華為一貫避免與中國情報部門產生聯繫。美國官員仍舊擔心中國通信設備在德國、意大利與日本等其他美國軍事基地所駐紮國家的使用。(來源:E安全)
歐盟成員國提案要求加強網絡安全投資
關鍵詞:網絡安全投資
11月26日,來自19個歐盟成員國的私營企業、國家組織和部委提交了49個提案以申請投資2800萬歐元,從而提高他們在網絡安全方面的操作能力。此項投資將有助於建立歐盟的數字單一市場,並作為歐盟委員會2021-2027年長期戰略“數字歐洲計劃”的基礎。(來源:歐盟委員會網站)
網絡安全事件
波及近5億用戶,萬豪酒店集團遭遇超大規模數據洩露
關鍵詞:萬豪國際
2018年11月30日晚,萬豪酒店集團在其官網、微博等多個社交平臺發佈其旗下酒店《喜達屋賓客預訂數據庫安全事件相關信息》,主要說明了關於第三方試圖訪問喜達屋賓客預訂數據庫的調查情況。而且萬豪國際在調查過程中瞭解自2014年起,即存在第三方對喜達屋網絡未經授權的訪問。
目前,萬豪國際尚未完成對數據庫中重複信息的識別,但相信數據庫中包含在2018年9月10日或之前曾在喜達屋酒店預訂的最多約5億名客人的信息。
從11月30日開始,萬豪酒店將會通過郵件告知所有受影響的用戶本次數據安全事件的消息,同時提供一年免費註冊WebWatcher監控工具的機會。一旦發現涉及賓客個人信息的證據,就會發出警告。不過需要注意的是,由於各國法律規定及政策原因,WebWatcher只向英國、美國、加拿大三個國家的用戶提供,中國並不在此範圍內。
此外,鑑於此次數據庫安全事件波及範圍過大,萬豪酒店將會逐步淘汰們目前的喜達屋系統,儘快改善網絡安全工作。(來源:freebuf)
戴爾披露 11 月初網絡攻擊事件:或有數據洩露 建議客戶重置密碼
關鍵詞:戴爾
針對 11 月 9 號遭遇的網絡攻擊事件,戴爾發佈公告稱:“我司檢測並瓦解了一場針對 Dell.com 的網絡攻擊,未經授權的攻擊者試圖竊取我司的客戶信息,但僅限於姓名、電子郵件地址、以及散列(哈希)後的密碼”。儘管戴爾未發現任何服務器上的客戶信息被滲透的證據,但不排除有數據洩露的可能。
儘管數據失竊的可能性很小,戴爾還是建議客戶重置所有密碼,以防止客戶信息的進一步洩露 ——“所有客戶請通過多步身份驗證流程,以重新獲得對賬戶的訪問權限”。(來源:cnbeta)
300 萬用戶數據洩露 Uber 被英國和荷蘭罰款 117 萬美元
關鍵詞:Uber被罰款
據美媒報道,因2016年的數據洩露事件,週二英國和荷蘭當局分別對Uber處以罰款,罰款總金額達117萬美元。
2016年10月和11月,Uber遭到網絡攻擊致使用戶數據洩露,洩露的信息包括用戶完整姓名、電子郵箱地址和電話號碼。對此,英國信息專員辦公室(ICO)宣佈對Uber處以38.5萬英鎊(約49.1萬美元),理由是公司“未能在網絡攻擊期間保護消費者個人信息”。荷蘭數據保護局也針對該次數據洩露事故對公司處以60萬歐元(約67.9萬美元)罰款。
不過,由於網絡攻擊發生於2016年,該次數據洩露事件不受今年5月份生效的歐盟“通用數據保護條例”的管轄。(來源:新浪科技)
國家計算機病毒應急處理中心監測發現九款違法移動應用
關鍵詞:違法移動應用
國家計算機病毒應急處理中心近期在淨網行動中通過互聯網監測發現,九款違法有害移動應用存在於移動應用發佈平臺中,其主要危害涉及惡意扣費、隱私竊取、惡意傳播、資費消耗和流氓行為五類。
這些違法有害移動應用具體如下:《E惡意扣費》《1000種死法》《小豬佩奇的故事》(《ScreenHero》《綠色兵團》、《彈珠泡泡球》、《海拔高度》。
針對上述情況,國家計算機病毒應急處理中心提醒廣大手機用戶首先不要下載這些違法有害移動應用,避免手機操作系統受到不必要的安全威脅。其次,建議打開手機中防病毒移動應用的“實時監控”功能,對手機操作進行主動防禦,這樣可以第一時間監控未知病毒的入侵。(來源:新華網)
數據統計
中消協測評報告:超九成App涉嫌過度收集用戶個人信息
關鍵詞:App收集隱私
近日,中消協在京召開新聞發佈會,通報100款App個人信息收集與隱私政策測評情況。被測評的10類100款App分別從App Store和安卓市場進行下載,根據測評結果顯示,從App Store下載的與從安卓市場下載的App在信息的收集內容和隱私政策上並無明顯差別,但常用App與中小型企業App的評分差距明顯。根據測評結果,新聞閱讀、網上購物和交易支付等類型App為總平均分相對較高的App類別,而金融理財類App得分相對較低,僅為28.91分。
《測評報告》顯示,10類App普遍存在涉嫌過度收集個人信息的情況,59款App涉嫌過度收集“位置信息”,28 款App涉嫌過度收集“通訊錄信息”,23 款App涉嫌過度收集“身份信息”,22款App涉嫌過度收集“手機號碼”等。在隱私政策方面:47款App隱私條款內容不達標,其中34款App沒有隱私條款。(來源:中國消費者協會)
Windows 10殺軟10月測試出爐:Defender與Avast並列第三
關鍵詞:殺毒軟件龍虎榜
權威殺軟評測機構AV-TEST發佈了2018年10月份的殺軟測試“龍虎榜”,基於Windows 10桌面平臺。評分維度沒有變化,依然是防護力、性能和易用程度三項,每項滿分6分,總計18分。最終,Avira Pro(小紅傘)、Bitdefender、卡巴斯基、Microworld、Bullguard、Symantec(賽門鐵克)六款產品拿下18分滿分。
以17.5分並列屈居第二的有VIRPE(蝰蛇)、AhnLab(安博士)、F-Secure、McAfee、Trend Micro共五款。值得注意的是,Win10自帶的Defender安全中心獲評17分,性能和防護力方面各丟0.5分,不過,這個表現已經完全堪用,畢竟和專業的Avast、AVG等並列。(來源:cnbeta)
2018年77%的組織遭受DNS攻擊
關鍵詞:DNS攻擊
DNS-DHCP-IPAM供應商EfficientIP發佈了《全球 DNS 威脅報告 2018》白皮書,報告指出,2018 年有77%的組織至少經歷過一次基於DNS的網絡攻擊。當前網絡攻擊形式越來越複雜,越來越難以發現和預防,不斷增加的網絡攻擊頻率和種類,以及具有全球影響力的最新法規,使得2018年成為網絡安全十分重要的一年。
報告指出,2018年有77%的組織至少經歷過一次基於DNS的網絡攻擊,而在這些遭受攻擊的組織中,有大約三分之一報告稱他們同時遭到了數據竊取,而這通常是更嚴重攻擊的前奏。在全球組織經歷的五大基於 DNS 的攻擊中,基於 DNS 的惡意軟件和釣魚佔據了絕大比例,鎖定、DNS 隧道與 DNS DDoS 攻擊比例則相當。相比 2017 年,2018 年 DNS 攻擊的損失率增加了 57%,平均損失從 456000 美元增加到了 715000 美元。(來源:efficientip)
漏洞速遞
思科修復Prime License Manager中的關鍵SQL注入漏洞
關鍵詞:思科
思科剛剛修補了一個關鍵的SQL注入漏洞,該漏洞存在於Cisco Prime License Manager(PLM)的Web框架代碼中,旨在幫助管理員在企業範圍內管理用戶許可。在成功利用CVE-2018-15441安全問題之後,潛在的遠程攻擊者可以在脆弱的機器上執行任意SQL查詢。根據思科在Cisco Prime License Manager解決方案中詳細說明此SQL注入安全漏洞的建議,問題在於“缺乏對SQL查詢中用戶提供的輸入的正確驗證”。
思科還說:“攻擊者可以通過向受影響的應用程序發送包含惡意SQL語句的精心製作的HTTP POST請求來利用這個漏洞。”此外,設法使用漏洞攻擊來破壞易受攻擊目標的攻擊者還可以刪除或修改Prime License Manager數據庫中的任何數據,以及使用postgres用戶帳戶的系統權限獲取shell訪問權限。目前思科已經發布瞭解決漏洞的軟件更新。(來源:linuxidc)
其他漏洞
11月26日-12月2日:
國家信息安全漏洞共享平臺(簡稱 CNVD)共收集、整理信息安全漏洞194個,其中高危漏洞50個,中危漏洞136個,低危漏洞8個。
信息安全快訊的內容及圖片出於傳遞更多信息之目的,屬於非營利性的轉載。如無意中侵犯了某個媒體或個人的知識產權,請聯繫我們,我們將立即刪除相關內容。其他媒體、網絡或個人從本網下載使用須自負版權等法律責任。
閱讀更多 e安教育 的文章
