7月第4周業務風控關注 | 廣電總局下發《關於加強網上談話（訪談）類節目管理的通知》

易盾業務風控週報每週報導值得關注的安全技術和事件，包括但不限於內容安全、移動安全、業務安全和網路安全，幫助企業提高警惕，規避這些似小實大、影響業務健康發展的安全風險。

​

一、廣電總局網路司下發《關於加強網上談話（訪談）類節目管理的通知》

由於近期個別網站播出的談話類節目（包括訪談類、脫口秀視音訊節目）存在部分言論導向錯誤、與主流價值觀相悖，因而加強對試聽節目網站製作播放談話類節目的管理。

二、國家新聞出版署約談12家存在低俗問題的網路文學企業

國家新聞出版署約談了咪咕閱讀、天翼閱讀、網易文學、紅袖添香網、起點中文網、追書神器、愛奇藝文學等12家企業，對近期發現的網路文學內容低俗問題提出批評，責令全面整改，要求相關單位立即下架存在問題的網路小說，停辦徵文活動，清理低俗宣傳推介內容。（人民網）

三、安全研究人員發現中國網貸App漏洞洩露大量個人資訊

中國近年流行“網貸”，只需要使用手機 App 就可以簡單地借到錢，因此非常受歡迎。不過最近有研究人員發現有大量網貸 App 洩漏了個人資訊，有幾百萬使用者受影響。來自 SafetyDetective 的研究人員 Anurag Sen發現，在網上有一個達 889GB 的巨型資料庫，內有超過460 萬使用網貸 App 的裝置資訊。

四、《未成年人網路保護條例》有望出臺 未成年人網路保護將有法可依

近日，共青團中央召開2019年辦理全國人大代表建議、全國政協委員提案座談會。據相關媒體報導，今年擬提請全國人大常委會會議審議的未成年人保護法修訂草案，將增設網路保護的章節。與此同時，醞釀多年的《未成年人網路保護條例》，今年有望出臺。這無疑向廣大公眾釋放出一個重要訊號：未成年人網路保護將有法可依。

五、國家網信辦等四部門釋出《雲端計算服務安全評估辦法》

《評估辦法》指出，雲端計算服務安全評估重點評估雲平臺管理運營者（以下簡稱“雲服務商”）的徵信、經營狀況等基本情況，雲平臺技術、產品和服務供應鏈安全情況以及雲服務商安全管理能力及雲平臺安全防護情況等。據悉，評估結果將由國家網際網路資訊辦公室網路安全協調局在中國網信網公佈。評估結果有效期為3年。

六、北京警方破獲一起微博流量造假案件

2019年5月，新浪微博向北京市公安局網安總隊舉報稱，一名為“博點”的商業網站，透過第三方支付平臺以每萬次70元人民幣的價格，對其網站註冊客戶提交的指定微博貼文在短時間內實施批次點贊、轉發操作,從而達到製造、炒作網路熱點事件的目的。北京市公安局網安總隊會同朝陽分局成立專案組開展偵查，“博點”網站使用自行研發的專門軟體，偽造生成大量請求資料，實現對指定博文的批次點贊、轉發操作。該團伙7名嫌疑人均對其犯罪事實供認不諱，現因涉嫌破壞計算機資訊系統罪被朝陽分局依法刑事拘留。（北京市公安局）

七、四分之一資料洩露事件的原因是人為錯誤

去年所有資料洩露事件中有四分之一是人為錯誤引起的。同期所有違規行為的平均成本為392萬美元，比前一年增加1.5％。這是根據Ponemon Institute和IBM的第14 次年度資料違規成本報告得出的結果，收錄了2018年7月至2019年4月間對16個國家和地區以及17個行業的507個組織的調查資料。該報告還發現，資料洩露的平均總成本在長期內持續升級：在過去五年中，它已經從2014年的350萬美元增長了12％。

八、北京消協聯合海淀區消協就“明星勢力榜”問題約談新浪微博

北京市消協發文稱，接到多起因新浪微博明星停榜引發的退款投訴，消費者反映為參加新浪微博“明星勢力榜”的某明星打榜而購買虛擬鮮花，7月14日主辦方釋出公告暫停該明星的上榜資格。7月22日，市消協聯合海淀消協緊急約談新浪微博相關負責人，要求新浪微博須對相關投訴及時核實處理，就採取措施和退款情況作出書面說明（36氪）

九、50億美元罰款還不夠？美國政府可能對FB提出新指控

臉書因誤導使用者而面臨FTC新指控。50億美元罰款可能還不夠。7月24日，據路透社報導，美國聯邦貿易委員會或將於當地時間週三宣佈與Facebook達成和解，終止對Facebook在使用者隱私問題方面的指控，Facebook將支付50億美元罰款以獲得和解。50億美元罰款也是美國聯邦貿易委員會有史以來收到的最高的一筆民事罰款。（澎湃新聞）

十、Equifax與監管機構和解 6.5億美元擺平大型資料洩露

美國監管部門今日宣佈，徵信機構Equifax將支付6.5億美元的費用，就2017年一起大規模的資料洩露事件與美國聯邦貿易委員會（FTC）等監管機構和解。美國徵信巨頭Equifax 2017年9月曾確認，駭客利用其系統中未修復的Apache Struts漏洞發起攻擊，導致1.43億使用者的信用記錄被洩露，包括名稱、社會保障號、出生日期、地址，以及一些駕駛執照號碼等。此外，美國約20.9萬名消費者的信用卡詳情和涉及18.2萬人的爭議檔案也可能遭到洩露。今日，Equifax宣佈與美國監管部門達成和解。這起有史以來規模最大的資料洩露案的和解，將結束FTC、消費者金融保護委員會（CFPB）和幾乎所有州總檢察長對Equifax的多項調查。此外，也將解決針對該公司的懸而未決的集體訴訟。

十一、FTC結束YouTube侵犯兒童隱私調查 谷歌或罰款100萬美元

美國聯邦貿易委員會（FTC）已經加大罰款力度，重拳打擊隱私洩漏。據悉FTC最新目標是谷歌的YouTube，相關調查顯示這家全球最大影片網站非法跟蹤未成年人如何使用該平臺的相關資料。援引華盛頓郵報報導，FTC的一項調查結果顯示谷歌無法為使用YouTube的兒童提供應有的保護，而且會收集他們的資料。這種行為違反了兒童線上隱私保護法案（COPPA），該法案禁止對13歲及以下兒童進行資料收集和地理位置定位資料。

十二、駭客攻入俄羅斯聯邦安全域性承包商伺服器 竊取7.5TB資料

駭客入侵了俄羅斯國家情報部門FSB的承包商SyTech，並從那裡竊取了該公司為FSB工作的內部專案的資訊 – 包括用於對Tor流量進行去匿名化的資訊。攻擊事件發生在上週末，即7月13日，一群名為0v1ru $的駭客入侵了SyTech的活動目錄伺服器，從那裡他們獲得了訪問該公司整個IT網路的許可權，包括一個JIRA例項。

十三、Elasticsearch資料庫被植後門 變成DDoS殭屍網路

彈性搜尋 (ElasticSearch) 是目前流行的基於 Java 開源技術的分散式搜尋引擎，被雲服務提供商廣泛使用。近日，趨勢科技報告稱，最新監測到的攻擊活動正試圖將 Elasticsearch 叢集納入殭屍網路以發動分散式拒絕服務 (DDoS) 攻擊。這種多階段攻擊利用指令碼最終將後門傳遞到目標伺服器，並將其轉化為 DDoS 殭屍網路。