3月第2周業務風控關注 |上海市網信辦依法對“華爾街見聞”作出行政處罰

易盾業務風控週報每週呈報值得關注的安全技術和事件，包括但不限於內容安全、移動安全、業務安全和網路安全，幫助企業提高警惕，規避這些似小實大、影響業務健康發展的安全風險。

1
上海市網信辦依法對“華爾街見聞”作出行政處罰

近日，上海市網信辦依據《網路安全法》《網際網路資訊服務管理辦法》《網際網路新聞資訊服務管理規定》等法律法規，對上海阿牛資訊科技有限公司作出罰款的處罰決定。

經巡查發現，上海阿牛資訊科技有限公司運營的“華爾街見聞”網站及APP在未獲得網際網路新聞資訊服務資質的情況下，違規登載新聞資訊，且內容導向存在偏差，擾亂網路資訊傳播秩序。上海市網信辦依據相關法律法規，約談“華爾街見聞”負責人，責令其停止違法違規行為，開展全面深入整改。同時根據前期執法調查結果，上海市網信辦依法對上海阿牛資訊科技有限公司作出罰款的處罰決定。

“華爾街見聞”負責人表示接受處罰，並將按照網信部門要求，對暴露出的問題進行全面整改，確保合法合規開展運營服務。

上海市網信辦負責人強調，無論是網站還是自媒體，未取得資質不得開展網際網路新聞資訊服務。上海市網信辦將認真貫徹落實《網路安全法》等法律法規，繼續加大屬地網際網路資訊內容監管執法力度，依法查處網上違法違規行為。

2
2018年移動軟體攻擊數量近乎翻倍

卡巴斯基實驗室最近釋出報告稱，2018年針對移動應用的惡意攻擊數量激增，攻擊事件達到 一億一千六百五十萬次，與2017年的6640萬次相比，多了將近一倍。但是，被檢測到的還有惡意軟體的安裝包則只有532萬個左右。除了直接透過惡意軟體對移動應用發起攻擊，攻擊者還會選擇垃圾簡訊、DNS劫持等其他手段發起攻擊。移動應用攻擊者最喜歡的技術和目標分別是Dropper、透過移動裝置竊取銀行賬戶、惡意廣告應用等。2018年全年的資料顯示，銀行木馬和dropper木馬的數量與型別都有所增長。新增的移動銀行木馬數量超過15萬，新增的移動勒索木馬數量超過6萬。其中Trojan.AndroidOS.Triada.dl 和Trojan.AndroidOS.Dvmap.a這兩種木馬最為危險，但所幸傳播不廣。

3
微軟安全報告顯示去年網路釣魚攻擊有所增加

微軟釋出了一份新的安全報告，顯示了去年網路釣魚攻擊數量增加。該報告著重於2018年1月至12月發生的攻擊。報告還顯示，同一時期發生與惡意軟體相關的攻擊有所減少。根據報告顯示，2018年網路釣魚攻擊增加了250%，而惡意軟體攻擊減少了34%。微軟注意到，攻擊者在同一活動中使用多個攻擊點，在傳送電子郵件和託管網路釣魚表單時在URL、域和伺服器之間切換。微軟還看到攻擊者越來越多地使用被入侵的帳戶，來進一步分發組織內外的惡意電子郵件。報告還顯示，在2018年，愛爾蘭、日本、美國和中國的加密貨幣開採率最低，加密貨幣開採率在2018年整體下降了36%。

4
沙特智慧電話本應用Dalil被爆嚴重漏洞：500萬以上使用者資訊被洩露

安全研究人員Ran Locar和Noam Rotem發現，僅限於沙特和其他阿拉伯地區使用者使用的智慧電話本應用Dalil出現嚴重漏洞。該應用所使用的MongoDB資料庫可以在不輸入密碼的情況下線上訪問，導致使用者資料持續洩露一週時間。洩露的資料庫包含大約585.7GB的資訊，且在持續更新。資訊主要包括手機號碼、應用註冊資料（完整姓名、電子郵件地址、Viber賬號、性別等等）、裝置資訊（生產日期和型號、序列號、IMEI、MAC地址、SIM號碼、系統版本等等）、電信運營商細節、GPS定位（不適用於所有使用者）、個人通話詳情和號碼搜尋等。資料庫中包含的大多數資料屬於沙特使用者，此外還有少部分使用者是埃及，阿聯酋，歐洲甚至一些以色列/巴勒斯坦人。

5
Android TV曝出bug 或導致使用者私人照片洩露

近日，Twitter 網友 prashanth 爆料稱，他發現了 Android TV 的一個 bug，或導致使用者私人照片被洩露。當他連線到一臺 Vu Android TV、並選擇“切換其他賬號”時，竟然能夠檢視到所有用過這臺電視的人的名字和頭像，實在是太令人震驚了！由 prashanth 曬出的影片可知，你還可以透過 Android TV 的幻燈片功能，來檢視其他使用者的私人照片。

6
Facebook起訴四家中國公司 製造虛假賬號並銷售

據彭博社報導，Facebook公司及其Instagram部門起訴四家位於中國的公司和三名中國個人，稱這些公司和個人推銷虛假帳號、點贊和使用者好友。

據舊金山聯邦法院上週五接受的一份投訴，上述中國企業在過去兩年中釋出並製造虛假帳號，並在六個網站上批次銷售。Facebook稱，這些行為都是出於不良目的。

訴狀稱，從2018年1月到9月，Facebook和Instagram使用人工智慧技術檢測假帳號，暫停了21億個不真實帳號，虛假帳號“通常在建立後幾分鐘內”即告失效。

被列為被告的中國公司的總部設在龍巖和深圳。根據指控，他們均為電子和硬體的附屬製造商，也是軟體和線上廣告服務的提供商。

7
連續兩年，政府工作報告強調要整治侵犯公民個人資訊問題

3月5日，政府工作報告“2019年政府工作任務”中，明確表示要“加強國家安全能力建設。完善立體化社會治安防控體系，深入推進掃黑除惡專項鬥爭，依法懲治盜搶騙黃賭毒等違法犯罪活動，打擊非法集資、傳銷等經濟犯罪，整治侵犯公民個人資訊等突出問題，堅決守護人民群眾的平安生活”。

南都記者發現，關於整治侵犯公民個人問題已連續兩年出現在政府工作報告中。2018年的政府工作報告指出，我國要整治電信網路詐騙、侵犯公民個人資訊、網路傳銷等突出問題，維護國家安全和公共安全。關於保護個人資訊，早在2015年的政府工作報告中就已出現。該年政府工作報告指出要推進社會信用體系建設，建立全國統一的社會信用程式碼制度和信用資訊共享交換平臺，依法保護企業和個人資訊保安。

8
道瓊斯出漏洞：伺服器配置錯誤致高風險客戶資料公開

據美國科技媒體CNET報導，一名研究人員發現，道瓊斯一份列有數百萬名受賄或腐敗風險人士，以及知名犯罪分子和恐怖分子的名單，被公開在一個不安全的線上資料庫中。這個名為Watchlist的專有資料庫幫助金融機構標記高風險客戶。烏克蘭研究員鮑勃·迪亞琴科（Bob Diachenko）在部落格中表示，這份名單中有240多萬份記錄，列出了與高風險個人有關的親屬、企業和親密夥伴，以及來自聯邦機構和其他司法團體的資訊。這個名單被公開再次表明了更重大的問題：包含敏感資訊的資料庫在網際網路上常常沒有得到資訊保安保護，並且非常容易找到。任何人都可能出現在這些資料庫中。