3月第3周業務風控關注 |趣頭條旗下“米讀”傳播淫穢色情小說

易盾業務風控週報每週呈報值得關注的安全技術和事件，包括但不限於內容安全、移動安全、業務安全和網路安全，幫助企業提高警惕，規避這些似小實大、影響業務健康發展的安全風險。

1、趣頭條旗下“米讀”傳播淫穢色情小說

據三言財經報導，在米讀 APP中，發現了一些涉黃小說。在一本人氣值高達2萬、評分8.5、名為《夢想人生》的小說封面介紹中，我們就已經看到了很多誘導性詞語，“風騷”、“性感”、“粉臀”。而點選進入閱讀介面後，小說的具體內容和用詞則更是露骨。

在書的首頁，米讀還宣告，該書由米讀進行電子製作與發行，版權屬於米讀。除小說涉黃外，三言財經還發現，在使用米讀App閱讀時，會穿插有誘惑性的“連信”廣告。其中一個的廣告詞是“家裡那位長期出差，想找個本地人照顧”。

2、教育部：2019年與網信部門聯合治理校園App亂象

3月13日，教育部辦公廳印發《2019年教育資訊化和網路安全工作要點》通知，其中明確要求全面規範校園APP的管理和使用，與網信部門開展聯合行動，治理校園APP亂象。

通知要求，開展校園APP專項調研，摸清底數，研判形勢。並明確，2019年教育部將與網信部門開展聯合行動，治理校園APP亂象。

通知要求，研究制定規範校園APP管理的意見，規範第三方校園APP的引入和自主開發校園APP的建設，探索建立規範校園APP管理的長效機制，促進移動網際網路有序健康發展。推動落實《教育部辦公廳關於嚴禁有害APP進入中小學校園的通知》，重點加強學習類APP的規範管理。

3、轉轉：去年總使用者量超2億 封禁12萬個涉嫌詐騙賬號

《2018年度轉轉二手交易服務白皮書》首次批露2018年度平臺客訴、風控等服務資料。2018年，轉轉平臺遮蔽的關鍵詞新增1300餘個，處理違規違禁物品 35000餘件，處理虛假連結 1000餘條，透過技術手段提前識別封禁120000個涉嫌詐騙賬號。與此同時，轉轉升級原風控部門為資訊質量部，全面負責整個平臺的動態風險監測及管控，及時下架及處理違規商品；同時還加強與有關政府部門的合作與聯動，共同打擊網路黑產。

4、Citrix收FBI警告：6TB至10TB敏感資料被竊

軟體製造商Citrix近日承認公司已淪為資料洩露的新受害者，導致國際駭客竊取了大量資料。公司表示美國聯邦調查局（FBI）已經就此事和公司取得聯絡，並警告稱本次網路攻擊行為極有可能是伊朗駭客組織所為，竊取了6TB至10TB的商業檔案，Citrix已採取積極措施。

5、Android安全App大調查：大多無法有效保護使用者

獨立評測機構AV-Comparatives近期對市場上的防病毒APP進行了大規模測試，發現均無法有效正確的保護使用者。AV-Comparatives測試了2000款惡意APP，結果發現只有不到十分之一的APP能夠完全檢測出這些惡意程式，而超過三分之二的防病毒APP識別惡意程式數量沒有達到30%。AV-Comparatives採用了和因斯布魯克大學合作開發自動測試程式，並使用物理Android手機並非模擬器來確保測試結果的精準性。

6、利用惡意外掛收集使用者資料 Facebook起訴兩名開發者

當地時間星期五，Facebook起訴兩名烏克蘭人利用測試應用收集使用者的私密資料，在使用者的訊息流中插入廣告。在2017年至2018年期間，兩名被告誘使Facebook使用者安裝自稱與星座、性格測試有關的惡意瀏覽器外掛，受影響的使用者達到約6.3萬人，其中主要是俄羅斯和烏克蘭使用者。

起訴書稱，除自行釋出廣告外，被告還收集了使用者的公開檔案資訊和不公開的好友列表。他們還可能與去年出售8.1萬名使用者私密資訊的事件有關。

7、小紅書陷“部分種草筆記編造”風波 官方回應

315前夕，小紅書“部分種草筆記疑編造”一事甚囂塵上。據中新經緯報導，小紅書筆記代寫代發、刷量、提升搜尋排名的產業鏈浮出水面，讓你“種草”的筆記可能並非來自真實使用者的親身體驗，而是由專業寫手按照商家需求“編造”的。

針對此事，小紅書回應稱，黑產刷量行為，正是小紅書一直以來嚴厲打擊的物件；公司一貫對社群刷量、刷粉行為“零容忍”。小紅書表示，已經就這類事件向公安機關報案，並積極配合公安調查處理。

8、雲盤服務Box帳號配置不當，致數十家公司敏感資料洩露

據美國科技媒體TechCrunch報導，網路安全公司Adversis發現，有數十家公司因為員工公開分享雲盤服務Box企業儲存帳號的檔案連結，而無意間洩露了敏感的企業和客戶資料。

雖然儲存在Box企業帳號內的資料預設設定稱私密狀態，但使用者可以與任何人分享檔案或資料夾，因而只需要一個連結就可以公開接觸這些檔案。但Adversis表示，這些秘密連結還可以被其他人發現。使用指令碼掃描和列舉的方式，Adversis發現有90多家公司的資料夾都可以公開訪問。