易盾業務風控週報每週呈報值得關注的安全技術和事件,包括但不限於內容安全、移動安全、業務安全和網絡安全,幫助企業提高警惕,規避這些似小實大、影響業務健康發展的安全風險。
1、國家網信辦組織“抖音”等短視頻平臺試點青少年防沉迷系統
3月28日,國家網信辦指導組織“抖音”“快手”“火山小視頻”等短視頻平臺試點上線青少年防沉迷系統。“青少年防沉迷系統”內置於短視頻應用中,用戶每日首次啓動應用時,系統將進行彈窗提示,引導家長及青少年選擇“青少年模式”,使用更加方便。(來源:澎湃網)
2、巧達科技將8億份簡歷轉手賣到數據黑產鏈
近日,號稱擁有全國最大簡歷庫的招聘類數據公司巧達科技被曝公司所有人員被警方帶走。這家公司曾宣稱通過整合多達2.2億份自然人簡歷、10億份通訊錄、100億個用戶識別ID組合和1000億+用戶綜合數據,繪製出了涉及中國8億人口的多維度數據。其中,包含個人隱私與非隱私信息。(來源: cnbeta)
3、 外媒:同性社交App熱拉泄露530多萬用戶數據
熱門同×××友應用熱拉近日被披露,因其服務器未受密碼保護,其應用數據庫泄露,涉及530萬用戶的個人資料及隱私數據遭到泄露。每條記錄包括用戶暱稱、出生日期、身高和體重、民族、以及性取向和愛好。若用戶授權,記錄還包括用戶的精確地理位置。數據庫另外還包含2000多萬條狀態更新,其中也包含隱私數據。(來源:TechCrunch)
4 、上海消保委:窮遊、百度糯米等APP過度索權,存在安全風險
上海市消保委近期對網購平臺、生活服務等39款手機App涉及個人信息權限評測顯示,有9款手機App存在索取的權限與功能無法對應的問題,涉及聚美、窮遊、神州租車、百度糯米等。(來源:新浪財經)
5、 Elsevier 數據庫泄漏用戶密碼和電郵
世界最大期刊出版商之一的Elsevier被發現錯誤配置了其數據庫,導致外界可以公開訪問其訂閱用戶的密碼和電郵地址,受影響的主要是世界各地的高校和研究機構。發現該問題的安全公司 SpiderSilk 稱,大部分用戶的電郵後綴是.edu,意味着要麼是學生要麼就是教師。Elsevier 在接到報告之後修復了問題,公司發言人聲稱沒有發現數據被誤用的跡象,表示會採取預防措施通知受影響的用戶和重置賬號密碼。(來源:solidot)
6、 谷歌最新驗證系統又雙叒被「破解」了,這次是強化學習
自推出以來,谷歌的 reCaptcha 驗證系統就被頻繁破解,因此谷歌不得不一次又一次地迭代升級。現在,reCaptcha 已經升級到了 v3,由原來的用戶交互直接升級成了給用戶打分。但再強的系統也會有漏洞,來自加拿大和法國的研究者另闢蹊徑,用強化學習「破解」了這個最新的驗證系統。(來源:機器之心)
7、2018年度移動應用安全報告:8萬電商應用300萬個漏洞
2018年度經由Testin雲測漏洞掃描引擎掃描的80796款電商應用中,共發現漏洞3071250個,其中高危漏洞 1074587個,高危漏洞所佔比例最爲嚴重,高達35%,平均每個電商應用存在38個漏洞。其中高危漏洞中出現頻率最高的爲“Intent Scheme URL***”,該漏洞屬於代碼安全範疇,指惡意頁面可以通過Intent Scheme URL執行基於Intent的***,***者可利用該漏洞盜取Cookie信息進而進行惡意操控,建議可通過將Intent的component/selector設置爲null進行漏洞修復。(來源:安全牛)
8、盜30萬條個人信息叫價1比特幣 “網偷”被警方抓獲
去年11月,一篇微信公衆號信息引起人們關注,“‘暗網’上有人掛售某網站30餘萬條用戶資料信息,叫價1個比特幣”。經武漢市公安局網安支隊調查發現,這家網站後臺管理權限已被盜取,被偷走的客戶信息包括×××、手機號、銀行卡、家庭住址、工作單位、貸款情況等,在暗網上的售價是1個比特幣(時值3.5萬元)。最終查明這隻幕後黑手,指向四川省成都市雙流區華陽鎮的一個青年男子吳某。年僅22歲的吳某交代,他利用一個軟件以暴力破解手段***受侵網站後臺。他找到服務器的用戶註冊信息,盜取這家網站大批量、多維度的用戶數據,共計30餘萬條。(來源:Freebuf)
9、愛情銀行App:因內容違規被監管部門強制要求下架整改
3月25日,愛情銀行App通過官方微博“愛情銀行官微”發佈聲明稱,經監管部門檢測,愛情銀行App社區存在大量違規內容。應監管部門強制要求,愛情銀行App將關停下架,全面整改。
10、12家企業因違反網絡安全管理規定被上海網安依法查處
爲維護清朗有序的網絡空間,夯實屬地企業主體責任,結合公安部“淨網2019”專項行動要求,今年以來,上海公安網安部門在全市範圍內開展了網絡安全執法檢查專項行動。在執法檢查中發現,有12家企業存在未向公安機關履行備案義務,未落實用戶實名制要求,未落實網絡安全技術措施等違法違規行爲。根據《×××網絡安全法》、《計算機信息網絡國際聯網安全保護管理辦法》等相關法律法規,依法對12家企業予以行政處罰。(來源:Freebuf)