易盾業務風控週報每週呈報值得關注的安全技術和事件,包括但不限於內容安全、移動安全、業務安全和網路安全,幫助企業提高警惕,規避這些似小實大、影響業務健康發展的安全風險。
1、國家網信辦組織“抖音”等短視訊平臺試點青少年防沉迷系統
3月28日,國家網信辦指導組織“抖音”“快手”“火山小視訊”等短視訊平臺試點上線青少年防沉迷系統。“青少年防沉迷系統”內建於短視訊應用中,使用者每日首次啟動應用時,系統將進行彈窗提示,引導家長及青少年選擇“青少年模式”,使用更加方便。(來源:澎湃網)
2、巧達科技將8億份簡歷轉手賣到資料黑產鏈
近日,號稱擁有全國最大簡歷庫的招聘類資料公司巧達科技被曝公司所有人員被警方帶走。這家公司曾宣稱通過整合多達2.2億份自然人簡歷、10億份通訊錄、100億個使用者識別ID組合和1000億+使用者綜合資料,繪製出了涉及中國8億人口的多維度資料。其中,包含個人隱私與非隱私資訊。(來源:
cnbeta)
3、 外媒:同性社交App熱拉洩露530多萬使用者資料
熱門同性交友應用熱拉近日被披露,因其伺服器未受密碼保護,其應用資料庫洩露,涉及530萬使用者的個人資料及隱私資料遭到洩露。每條記錄包括使用者暱稱、出生日期、身高和體重、民族、以及性取向和愛好。若使用者授權,記錄還包括使用者的精確地理位置。資料庫另外還包含2000多萬條狀態更新,其中也包含隱私資料。(來源:TechCrunch)
4 、上海消保委:窮遊、百度糯米等APP過度索權,存在安全風險
上海市消保委近期對網購平臺、生活服務等39款手機App涉及個人資訊許可權評測顯示,有9款手機App存在索取的許可權與功能無法對應的問題,涉及聚美、窮遊、神州租車、百度糯米等。(來源:新浪財經)
5、 Elsevier 資料庫洩漏使用者密碼和電郵
世界最大期刊出版商之一的Elsevier被發現錯誤配置了其資料庫,導致外界可以公開訪問其訂閱使用者的密碼和電郵地址,受影響的主要是世界各地的高校和研究機構。發現該問題的安全公司
SpiderSilk 稱,大部分使用者的電郵字尾是.edu,意味著要麼是學生要麼就是教師。Elsevier
在接到報告之後修復了問題,公司發言人聲稱沒有發現資料被誤用的跡象,表示會採取預防措施通知受影響的使用者和重置賬號密碼。(來源:solidot)
6、 谷歌最新驗證系統又雙叒被「破解」了,這次是強化學習
自推出以來,谷歌的
reCaptcha 驗證系統就被頻繁破解,因此谷歌不得不一次又一次地迭代升級。現在,reCaptcha 已經升級到了
v3,由原來的使用者互動直接升級成了給使用者打分。但再強的系統也會有漏洞,來自加拿大和法國的研究者另闢蹊徑,用強化學習「破解」了這個最新的驗證系統。(來源:機器之心)
7、2018年度移動應用安全報告:8萬電商應用300萬個漏洞
2018年度經由Testin雲測漏洞掃描引擎掃描的80796款電商應用中,共發現漏洞3071250個,其中高危漏洞
1074587個,高危漏洞所佔比例最為嚴重,高達35%,平均每個電商應用存在38個漏洞。其中高危漏洞中出現頻率最高的為“Intent
Scheme URL攻擊”,該漏洞屬於程式碼安全範疇,指惡意頁面可以通過Intent Scheme
URL執行基於Intent的攻擊,攻擊者可利用該漏洞盜取Cookie資訊進而進行惡意操控,建議可通過將Intent的component/selector設定為null進行漏洞修復。(來源:安全牛)
8、盜30萬條個人資訊叫價1比特幣 “網偷”被警方抓獲
去年11月,一篇微信公眾號資訊引起人們關注,“‘暗網’上有人掛售某網站30餘萬條使用者資料資訊,叫價1個比特幣”。經武漢市公安局網安支隊調查發現,這家網站後臺管理許可權已被盜取,被偷走的客戶資訊包括身份證、手機號、銀行卡、家庭住址、工作單位、貸款情況等,在暗網上的售價是1個比特幣(時值3.5萬元)。最終查明這隻幕後黑手,指向四川省成都市雙流區華陽鎮的一個青年男子吳某。年僅22歲的吳某交代,他利用一個軟體以暴力破解手段入侵受侵網站後臺。他找到伺服器的使用者註冊資訊,盜取這家網站大批量、多維度的使用者資料,共計30餘萬條。(來源:Freebuf)
9、愛情銀行App:因內容違規被監管部門強制要求下架整改
3月25日,愛情銀行App通過官方微博“愛情銀行官微”釋出宣告稱,經監管部門檢測,愛情銀行App社群存在大量違規內容。應監管部門強制要求,愛情銀行App將關停下架,全面整改。
10、12家企業因違反網路安全管理規定被上海網安依法查處
為維護清朗有序的網路空間,夯實屬地企業主體責任,結合公安部“淨網2019”專項行動要求,今年以來,上海公安網安部門在全市範圍內開展了網路安全執法檢查專項行動。在執法檢查中發現,有12家企業存在未向公安機關履行備案義務,未落實使用者實名制要求,未落實網路安全技術措施等違法違規行為。根據《中華人民共和國網路安全法》、《計算機資訊網路國際聯網安全保護管理辦法》等相關法律法規,依法對12家企業予以行政處罰。(來源:Freebuf)