6月第2周業務風控關注 | 抖音廣告現對英烈不敬內容，被立案查處

易盾業務風控週報每週呈報值得關注的安全技術和事件，包括但不限於內容安全、移動安全、業務安全和網路安全，幫助企業提高警惕，規避這些似小實大、影響業務健康發展的安全風險。

1．抖音廣告現對英烈不敬內容，被立案查處

北京時間6月6日訊息，今日頭條旗下短影片平臺抖音在搜狗搜尋的廣告投放中，出現侮辱英烈邱少雲的內容。在被爆出的影片中，使用搜狗搜尋關鍵詞“邱少雲”，出現的首條是以“邱少雲-被火燒的笑話-2018新版下載”的連結，點開該連結是抖音的廣告，點選上面的提示banner，可以下載抖音。

事後今日頭條致歉，稱未認真稽核關鍵詞，相關人員已停職！事後今日頭條致歉，稱未認真稽核關鍵詞，相關人員已停職！目前，市網信辦、市工商局針對抖音在搜狗搜尋引擎投放的廣告中出現侮辱英烈內容問題，依法聯合約談查處抖音、搜狗，責令網站立即清除相關違法違規內容並進行嚴肅整改。啟動行政執法程式，對抖音、搜狗違法違規行為進行立案查處。

2．網際網路金融統一身份核驗平臺啟動試執行

近日，中國網際網路金融協會網際網路金融統一身份核驗平臺啟動試執行。該平臺採用先進的身份核驗技術，整合各身份核驗渠道主流資料資源，作為網際網路金融行業的統一入口，為從業機構提供客戶身份核驗的一站式接入。可顯著提高身份核驗效率，節約從業機構開展業務的運營管理成本，著力解決當前從業機構在實名驗證方面存在的驗證渠道不一、效率差別大、成本高、多點接入等問題。

目前，網際網路金融統一身份核驗平臺一期正在試執行，現已具備公民身份資訊核驗、銀行卡賬戶資訊核驗、通訊運營商資訊核驗、數字證書核驗、人臉識別等5個模組共13種介面的核驗能力。已接入的機構包括商業銀行、第三方支付、網路借貸等，待接入的機構包括證券、保險等其他從業機構。下一步，平臺將不斷豐富系統功能，擴大資料來源接入範圍，在助力從業機構合法合規經營、行業規範健康發展方面發揮更大的作用。

3.工信部發布《一季度網路威脅態勢分析》 先敵防禦構築安全

近日，工信部發布《2018年第一季度網路安全威脅態勢分析與工作綜述》，報告顯示第一季度共監測各類網路安全威脅約4541萬個，網路安全威脅態勢呈現以下特點：底層硬體漏洞波及廣修復難，共享類應用涉嫌危害使用者資訊，工控系統漏洞增長明顯，駭客入侵篡改仍有發生。

第一季度，發現部分移動應用程式存在未經明示收集使用使用者資訊、未履行安全保護義務等問題，危害使用者資訊保安。新增工控安全漏洞112個，比上季度增長約50%。發生30起駭客組織篡改網頁並張貼反動標語的事件，包括企業網站被篡改事件19起，事業單位網站被篡改事件9起，政府機關網站被篡改事件2起。與2017年第一季度情況相比，總體數量相等，企事業單位網站被篡改的事件數量增長約155.6%，政府機關網站被篡改的事件數量減少約80%。

4.Facebook稱由於軟體漏洞，1400萬使用者私密帖子被公開

Facebook向約1400萬使用者發出通知，稱發現了一個軟體漏洞，導致使用者發表的認為只有朋友可見的私密帖子實際上所有人都看得到。

對於導致該問題的原因，Facebook解釋稱是因為一個允許使用者在其個人資訊，如發表的圖片上新增標籤的功能。這個被新增了標籤的圖片被系統預設設定為公開可見，由於軟體漏洞，導致一段時間內使用者發表的帖子都應用了此設定。

5.令人驚歎的CSS漏洞攻擊 Firefox和Chrome中槍

來自Google的安全工程師Ruslan Habalov近日在其個人站點中披露，在Chrome和Firefox等瀏覽器中出現了一個旁路攻擊，能夠洩露跨來源框架的視覺內容。發現該漏洞的還有德國的滲透測試工程師Dario Weißer和另外一名安全研究人員。

該漏洞歸因於2016年CSS3 Web標準中引入的名為“mix-blend-mode”的特性，允許Web開發人員將Web元件疊加在一起，並新增控制其互動方式的效果。

6.Facebook API讓60多裝潢置製造商能夠獲取使用者資料

在Cambridge Analytica隱私醜聞之後，Facebook現在面臨著新的問題。紐約時報報導稱，Facebook API 允許60多名裝置製造商訪問屬於FB使用者的資料，其中包括亞馬遜、蘋果、微軟、黑莓和三星，以便他們可以實現FaceBook訊息傳遞功能、“點贊”功能、地址簿和其他不需要使用者安裝應用程式就能實現的功能。

這再次引發了相關人員對於FaceBook安全性和合規的擔憂。但FaceBook 卻釋出宣告稱，未經使用者許可，第三方無法訪問到使用者的資訊。同時表示一直在監控FaceBookAPI 的使用情況，以避免濫用。

此外，外媒路透社還發文報導稱FaceBook承認與至少四家中國科技公司有資料共享協議，美國情報機構認為這會構成國家安全威脅，FaceBook已經接受相關審查。

這四家公司分別是華為、聯想、OPPO以及TCL Corp。FaceBook稱目前超過一半的合作關係已經停止，並將在本週晚些時候與中國這四家廠商結束協議。

7.世界盃在即，城市Wi-Fi熱點可能帶來安全風險

2018世界盃即將在俄羅斯拉開帷幕，而這一盛事竟然得到了駭客的關注。卡巴斯基實驗室的安全專家在對俄羅斯11個舉辦城市中的32000個公共Wi-Fi進行安全評估時發現，22.4%的Wi-Fi熱點使用了不可靠的網路；62.4%的熱點透過WPA2加密獲得保護；另有13.5%的熱點採用其他未知加密方法。

攻擊者很可能會利用這些公共Wi-Fi來竊取敏感資料，發動中間人攻擊。卡巴斯基提醒使用者儘量透過VPN連線網路，不連線沒有密碼保護的網路，不適用Wi-Fi時直接關閉無線網路功能，同時啟用”HTTPS”連線。

8.多家網站被掃黃打非辦約談：存在涉色情低俗ASMR內容

北京時間6月8日訊息，全國“掃黃打非”辦公室官網訊息，針對近期部分網民舉報的一些網路平臺上出現借ASMR(中文譯稱“自發性知覺經絡反應”，主要產品為聲音內容，用於放鬆、助眠)名義傳播低俗、色情內容問題，6月8日，全國“掃黃打非”辦公室約談多家網站負責人，要求各平臺大力清理涉色情低俗問題的ASMR內容，加強對相關內容的監管和稽核。同時，執法部門將大力查辦典型案件，追究違法違規者責任。

點選“閱讀原文”，一鍵接入易盾安全解決方案。