易盾業務風控週報每週報道值得關注的安全技術和事件,包括但不限於內容安全、移動安全、業務安全和網絡安全,幫助企業提高警惕,規避這些似小實大、影響業務健康發展的安全風險。
一、廣電總局網絡司下發《關於加強網上談話(訪談)類節目管理的通知》
由於近期個別網站播出的談話類節目(包括訪談類、脫口秀視音頻節目)存在部分言論導向錯誤、與主流價值觀相悖,因而加強對試聽節目網站製作播放談話類節目的管理。
二、國家新聞出版署約談12家存在低俗問題的網絡文學企業
國家新聞出版署約談了咪咕閱讀、天翼閱讀、網易文學、紅袖添香網、起點中文網、追書神器、愛奇藝文學等12家企業,對近期發現的網絡文學內容低俗問題提出批評,責令全面整改,要求相關單位立即下架存在問題的網絡小說,停辦徵文活動,清理低俗宣傳推介內容。(人民網)
三、安全研究人員發現中國網貸App漏洞泄露大量個人信息
中國近年流行“網貸”,只需要使用手機 App 就可以簡單地借到錢,因此非常受歡迎。不過最近有研究人員發現有大量網貸 App 泄漏了個人信息,有幾百萬用戶受影響。來自 SafetyDetective 的研究人員 Anurag Sen發現,在網上有一個達 889GB 的巨型數據庫,內有超過460 萬使用網貸 App 的裝置信息。
四、《未成年人網絡保護條例》有望出臺 未成年人網絡保護將有法可依
近日,共青團中央召開2019年辦理全國人大代表建議、全國政協委員提案座談會。據相關媒體報道,今年擬提請全國人大常委會會議審議的未成年人保護法修訂草案,將增設網絡保護的章節。與此同時,醞釀多年的《未成年人網絡保護條例》,今年有望出臺。這無疑向廣大公衆釋放出一個重要信號:未成年人網絡保護將有法可依。
五、國家網信辦等四部門發佈《雲計算服務安全評估辦法》
《評估辦法》指出,雲計算服務安全評估重點評估雲平臺管理運營者(以下簡稱“雲服務商”)的徵信、經營狀況等基本情況,雲平臺技術、產品和服務供應鏈安全情況以及雲服務商安全管理能力及雲平臺安全防護情況等。據悉,評估結果將由國家互聯網信息辦公室網絡安全協調局在中國網信網公佈。評估結果有效期爲3年。
六、北京警方破獲一起微博流量造假案件
2019年5月,新浪微博向北京市公安局網安總隊舉報稱,一名爲“博點”的商業網站,通過第三方支付平臺以每萬次70元人民幣的價格,對其網站註冊客戶提交的指定微博貼文在短時間內實施批量點贊、轉發操作,從而達到製造、炒作網絡熱點事件的目的。北京市公安局網安總隊會同朝陽分局成立專案組開展偵查,“博點”網站使用自行研發的專門軟件,僞造生成大量請求數據,實現對指定博文的批量點贊、轉發操作。該團伙7名嫌疑人均對其犯罪事實供認不諱,現因涉嫌破壞計算機信息系統罪被朝陽分局依法刑事拘留。(北京市公安局)
七、四分之一數據泄露事件的原因是人爲錯誤
去年所有數據泄露事件中有四分之一是人爲錯誤引起的。同期所有違規行爲的平均成本爲392萬美元,比前一年增加1.5%。這是根據Ponemon Institute和IBM的第14 次年度數據違規成本報告得出的結果,收錄了2018年7月至2019年4月間對16個國家和地區以及17個行業的507個組織的調查數據。該報告還發現,數據泄露的平均總成本在長期內持續升級:在過去五年中,它已經從2014年的350萬美元增長了12%。
八、北京消協聯合海淀區消協就“明星勢力榜”問題約談新浪微博
北京市消協發文稱,接到多起因新浪微博明星停榜引發的退款投訴,消費者反映爲參加新浪微博“明星勢力榜”的某明星打榜而購買虛擬鮮花,7月14日主辦方發佈公告暫停該明星的上榜資格。7月22日,市消協聯合海淀消協緊急約談新浪微博相關負責人,要求新浪微博須對相關投訴及時覈實處理,就採取措施和退款情況作出書面說明(36氪)
九、50億美元罰款還不夠?美國政府可能對FB提出新指控
臉書因誤導用戶而面臨FTC新指控。50億美元罰款可能還不夠。7月24日,據路透社報道,美國聯邦貿易委員會或將於當地時間週三宣佈與Facebook達成和解,終止對Facebook在用戶隱私問題方面的指控,Facebook將支付50億美元罰款以獲得和解。50億美元罰款也是美國聯邦貿易委員會有史以來收到的最高的一筆民事罰款。(澎湃新聞)
十、Equifax與監管機構和解 6.5億美元擺平大型數據泄露
美國監管部門今日宣佈,徵信機構Equifax將支付6.5億美元的費用,就2017年一起大規模的數據泄露事件與美國聯邦貿易委員會(FTC)等監管機構和解。美國徵信巨頭Equifax 2017年9月曾確認,黑客利用其系統中未修復的Apache Struts漏洞發起攻擊,導致1.43億用戶的信用記錄被泄露,包括名稱、社會保障號、出生日期、地址,以及一些駕駛執照號碼等。此外,美國約20.9萬名消費者的信用卡詳情和涉及18.2萬人的爭議文件也可能遭到泄露。今日,Equifax宣佈與美國監管部門達成和解。這起有史以來規模最大的數據泄露案的和解,將結束FTC、消費者金融保護委員會(CFPB)和幾乎所有州總檢察長對Equifax的多項調查。此外,也將解決針對該公司的懸而未決的集體訴訟。
十一、FTC結束YouTube侵犯兒童隱私調查 谷歌或罰款100萬美元
美國聯邦貿易委員會(FTC)已經加大罰款力度,重拳打擊隱私泄漏。據悉FTC最新目標是谷歌的YouTube,相關調查顯示這家全球最大視頻網站非法跟蹤未成年人如何使用該平臺的相關數據。援引華盛頓郵報報道,FTC的一項調查結果顯示谷歌無法爲使用YouTube的兒童提供應有的保護,而且會收集他們的數據。這種行爲違反了兒童在線隱私保護法案(COPPA),該法案禁止對13歲及以下兒童進行數據收集和地理位置定位數據。
十二、黑客攻入俄羅斯聯邦安全局承包商服務器 竊取7.5TB數據
黑客入侵了俄羅斯國家情報部門FSB的承包商SyTech,並從那裏竊取了該公司爲FSB工作的內部項目的信息 – 包括用於對Tor流量進行去匿名化的信息。攻擊事件發生在上週末,即7月13日,一羣名爲0v1ru $的黑客入侵了SyTech的活動目錄服務器,從那裏他們獲得了訪問該公司整個IT網絡的權限,包括一個JIRA實例。
十三、Elasticsearch數據庫被植後門 變成DDoS僵屍網絡
彈性搜索 (ElasticSearch) 是目前流行的基於 Java 開源技術的分佈式搜索引擎,被雲服務提供商廣泛使用。近日,趨勢科技報告稱,最新監測到的攻擊活動正試圖將 Elasticsearch 集羣納入僵屍網絡以發動分佈式拒絕服務 (DDoS) 攻擊。這種多階段攻擊利用腳本最終將後門傳遞到目標服務器,並將其轉化爲 DDoS 僵屍網絡。