易盾業務風控週報每週呈報值得關注的安全技術和事件,包括但不限於內容安全、移動安全、業務安全和網路安全,幫助企業提高警惕,規避這些似小實大、影響業務健康發展的安全風險。
一、
9款違規App曝光:涉及惡意扣費、隱私竊取、賭博
據網信廣東訊息,國家計算機病毒應急處理中心近期在淨網行動中透過網際網路監測發現,9款違法有害移動應用存在於移動應用釋出平臺中,其主要危害涉及惡意扣費、隱私竊取、賭博三類。
這些違法有害移動應用具體如下:
1、《PhotoLoop》(版本20.4)、《快對答案》(版本7.9.0)這兩款應用存在扣費惡意程式碼,透過隱蔽等手段,導致使用者經濟損失。
2、《藍貸》(版本1.0)、《吃雞神助攻》(版本2.2.0)這兩款應用存在危險行為程式碼,警惕該應用私自下載安裝軟體,竊取使用者隱私資訊,造成使用者隱私洩露、資費消耗。
3、《Remember
Everything-數字記憶》(版本1.1.0)、《大菠蘿-線上平臺》(版本1.0)、《炸金花-全民真人炸金花歡樂版》(版本1.0)、《Cuncaoxin
Education》(版本1.0.6)、《銀河娛樂》(版本1.1)這五款移動應用涉及賭博,透過押點數、鬥牌、博彩等形式進行含有賭資往來的賭博活動,涉及違法並存在財產安全。[來源:網信廣東]
二、
Facebook等科技公司高管被國會要求就紐西蘭槍手直播案作出回應
據騰訊科技報導,上週,紐西蘭克賴斯特徹奇的兩座清真寺發生槍殺事件。槍手在社交網路臉書上直播殺戮過程,社交網路遲遲沒有刪除血腥內容,引發全球輿論的關注。
在紐西蘭槍擊事件引發社交網路爭議後,美國眾議院國土安全委員會(House Committee On Homeland
Security)主席給四家主要科技公司的高管寫了一封信,敦促他們在發生極端事件之後,要更快速刪除極端暴力內容,並向委員會簡要介紹他們的回應和計劃,以防止類似事件在未來發生。
週日,Facebook表示已經刪除了近150萬個相關影片,YouTube表示已刪除的影片數量“ 達到空前的水平 ”。[來源:騰訊科技]
三、
Facebook 利用AI限制“復仇色情”的傳播
據路透社3月15日報導,Facebook推出新的“復仇色情”檢測工具,利用AI來追蹤未經同意分享的親密照片。“復仇色情”是指將前交往物件的裸照等散佈到網上甚至向對方勒索贖金的行為。
人工智慧技術能夠在使用者舉報之前就檢測到在Facebook和Instagram上共享的近乎裸體的影像和影片,再由人工管理員審查標記的內容,如果違反了社群標準,就將其刪除。Facebook表示,分享“復仇色情”內容會導致賬號被封殺,但如果遭遇錯誤的刪除和封號,可提交反饋資訊。
“復仇色情”檢測工具是一個試點專案的補充,該專案允許使用者向Facebook提交照片以供審查,並阻止不符合要求的照片在平臺上共享。Facebook還表示,將在未來幾個月擴大這一試點專案。另外,Facebook安全中心設立了受害者支援中心,“復仇色情”受害者可以在那裡可以找到組織和資源來獲取幫助。[來源:Freebuf]
四、
新加坡血庫資料出現網安漏洞 經專家舉報及時糾正
超過80萬名捐血者的姓名、身份證號碼、性別和血型等資料被掛上有網際網路連線的伺服器,管理血庫資料的衛生科學局說,目前只有一名網路安全專家獲取該資料,他已承諾會把資料刪除。
衛生科學局局長莊美玲醫生就此網安漏洞向全體捐血者致歉,並呼籲捐血者不要因此對國家捐血計劃失去信任。[來源:看雪]
五、
一家健康科技公司正在洩露大量醫療記錄和處方
外媒TechCrunch報導,一家健康科技公司在安全證書失效導致伺服器沒有密碼後,每天洩漏數千張醫生藥方、醫療記錄和處方。這家名不見經傳的軟體公司來自加利福尼亞州的Meditab,自稱是醫院、醫生辦公室和藥房領先的電子醫療記錄軟體製造商之一。該公司為醫療保健提供商處理電子傳真,仍然是將患者檔案共享給其他提供商和藥房的主要方法。
據發現資料的安全公司稱,該傳真伺服器沒有得到妥善保護。自2018年3月建立以來,公開的傳真伺服器執行的Elasticsearch擁有超過600萬條記錄。由於伺服器沒有密碼,任何人都可以實時讀取傳輸的傳真,包括其內容。
根據對資料的簡要回顧,傳真包含大量個人身份資訊和健康資訊,包括醫療記錄、醫生藥方、處方數量和數量,以及疾病資訊等。傳真還包括姓名、地址、出生日期,在某些情況下還包括社會安全號碼和健康保險資訊以及支付資料。傳真還包括有關兒童的個人資料和健康資訊。沒有資料被加密。[來源:cnbeta]
六、
新的Mirai殭屍網路變種涉及27個漏洞,瞄準企業裝置
來自NOSEC訊息,一個新的Mirai變種帶來了11個新的漏洞攻擊,企業WePresent WiPG-1000無線演示系統和LG
Supersign TV是最顯眼的目標。由於其創造者增加了11個新的漏洞用於攻擊,總數現已達到27。正如Unit
42進一步發現的那樣,殭屍網路的惡意利用程式碼託管在哥倫比亞公司的伺服器上,具有諷刺意味的是,
該伺服器提供“電子安全,整合和警報監控”服務。[來源:今日頭條]
七、
不安全的資料庫洩露中國3300萬份簡歷
近日,研究人員Sanyam
Jain發現一個不安全的資料庫,包含約3300萬份中國使用者的簡歷。這些簡歷檔案共有57G大小,可在網上公開訪問。簡歷資訊包括使用者名稱、性別、年齡、所在城市、家庭地址、郵箱、手機號、婚姻狀態、工作經歷、教育經歷、薪水等。在3月10日發現這個資料庫後,Sanyam嘗試尋找資料庫的管理員,但是並沒有找到,只分析出這些簡歷與中國的51Jobs、拉勾網以及智聯招聘等招聘網站有關。據分析,可能是有人專門從這些網站蒐集使用者上傳的簡歷並集中到一起,用於特殊目的。目前,國內安全應急響應中心CNCERT已經接到了Sanyam的報告,並確認該資料庫IP所屬者是“北京機到網路科技有限公司”,並通知該公司關閉了該資料庫。但是,尚不清楚此前有多少人接觸到或者利用過這些資訊,建議使用過這些網站的使用者注意保護自己的資訊並警惕釣魚攻擊。[來源:Freebuf]
八、
工信部:應用商店全面下架“社保掌上通”APP
3月15日,第29屆央視35晚會曝光了眾多APP透過不平等、不合理條款的授權協議,強制索取使用者的個人資訊的問題。其中,社保掌上通APP被晚會點名,晚會主持人透過實際操作發現,當使用者在該APP上輸入身份證號、社保賬號、手機號等資訊,完成註冊後,電腦遠端就能擷取到使用者的幾乎所有資訊。據媒體報導,工信部立即啟動應用商店聯動處置機制,要求騰訊、百度、華為、小米、OPPO、Vivo、360等國內主要應用商店全面下架
“社保掌上通”APP,對“社保掌上通”手機APP的責任主體杭州遞金網路科技有限公司進行核查處理,並全力組織對同類APP進行排查檢測,對類似問題一併要求整改。[來源:cnbeta]