11月业务安全月报 |
导语:随着数字化的深入普及,业务愈加开放互联。企业的关键数据、用户信息、基础设施、运营过程等均处于边界模糊且日益开放的环境中,涉及利益流和高附加值的业务面临多样的安全隐患,随时可能遭遇损失,进而影响企业运营和发展。
为了让大家更全面的了解网络安全的风险,顶象自7月起将针对每月值得关注的安全技术 和事件,包括业务安全、内容安全、移动安全等进行盘点总结。
国内安全热点
台湾 2300 万人民信息泄露,黑客开价5000美元
近期,联合新闻网披露,有黑客在国外论坛 “BreachForums”上出售 20 万条中国台湾省民众的个人资料,并声称拥有台湾省 2300 万民众的详细信息。
台湾省某部门接到举报后立刻展开调查,初步调查结果显示,在售的 20 万条信息所有者主要集中在宜兰地区,且信息全部吻合,县长林志妙、民进党立委陈欧珀的个人信息也在其中。
据悉,这些数据包括台湾省的人口记录,可以很容易地从这些数据中找到所有民众的兵役记录、教育记录和居住地址等个人信息。
中国台湾省某部门指出,论坛上出现的 20 万条个人资料,只是黑客抛出的样本,供买家 "测试",黑客会和有兴趣的买家打交道,事实上,想要这些数据的人大多是电诈团伙成员。
国家网信办修订《互联网跟帖评论服务管理规定》发布施行
近日,国家互联网信息办公室发布新修订的《互联网跟帖评论服务管理规定》(以下简称新《规定》)。新《规定》自2022年12月15日起施行。新《规定》旨在加强对互联网跟帖评论服务的规范管理,维护国家安全和公共利益,保护公民、法人和其他组织的合法权益,促进互联网跟帖评论服务健康发展。
《互联网跟帖评论服务管理规定》自2017年10月1日施行以来,对于规范跟帖评论环节信息秩序,维护良好网络环境发挥了积极作用。但随着互联网新技术新应用的快速发展,互联网跟帖评论服务也出现了许多新情况、新问题,需要适应形势发展变化进行修订完善。新《规定》共16条,重点明确了跟帖评论服务提供者跟帖评论管理责任、跟帖评论服务使用者和公众账号生产运营者应当遵守的有关要求等内容。
全国首个《信息安全技术关键信息基础设施安全保护要求》发布
11月7日,市场监管总局标准技术司、中央网信办网络安全协调局、公安部网络安全保卫局在京联合召开《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)(以下简称《保护要求》)国家标准发布宣贯会。据介绍,关键信息基础设施是国家网络安全保护的重中之重,作为《关键信息基础设施安全保护条例》(以下简称《条例》)发布一年后首个正式发布的关基标准,为关键信息基础设施保护的实际落地具有重要意义。
据悉,《信息安全技术关键信息基础设施安全保护要求》是关键信息基础设施安全保护标准体系的构建基础,将于2023年5月1日正式实施。标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则,从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等6个方面提出了111条安全要求,为运营者开展关键信息基础设施保护工作需求提供了强有力的标准保障。
市场监督总局、国家网信办发布《个人信息保护认证实施规则》
11月18日,国家市场监督管理总局、国家互联网信息办公室发布《个人信息保护认证实施规则》(以下简称《规则》),鼓励个人信息处理者通过认证方式提升个人信息保护能力。
《规则》共计7条,依据《中华人民共和国认证认可条例》制定,规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。
《规则》指出,个人信息处理者应当符合GB/T 35273《信息安全技术 个人信息安全规范》的要求。对于开展跨境处理活动的个人信息处理者,还应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。上述标准、规范原则上应当执行最新版本。
得物 APP 被爆删除用户视频
11 月 12 日,有网友在某平台发布一段视频,视频中该网友声称收到在得物 App 购买的商品后发现货物存在问题,随即拍下视频反馈给得物官方,并上传了一些与商品相关的视频证据到平台。
之后发生的事情就非常诡异了,该网友手机突然弹出两条信息,疑似是得物涉嫌通过调用其手机权限,删除了相册中与得物货物相关的视频。据悉,遭受删除视频里一条是开箱确定商品有问题的,另外一条是去专柜做对比的。
这一视频迅速传播,有关得物 APP 侵害用户个人信息的言论广为流传,13 日一早,得物 APP 立刻冲上热搜,得物方面不得不站出来回应。随后这一消息迅速登上“热搜”,并引发网友的广泛吐槽。
对于网友曝光的得物 APP 调用客户手机权限,删除其录下的货物有问题视频证据一事,得物 App 发布官方声明,收到用户反馈后,已第一时间联系用户和手机厂商进行核查,一定会对此事负责到底。
此外,得物方面一再强调公司完全没有立场和动力进行删除用户相册等不合规行为,对于用户海量视频数据,得物方面也没有相应技术能力进行批量识别,甚至定向删除。
值得一提的是,得物在声明中指出,根据公开报道信息,媒体曾对多家国内知名 App 遇到的类似情况进行报道说明,从事后相关公司和手机厂商公开披露信息看,当 App 对产生的缓存文件进行管理操作时,手机系统会将其判定为异常行为,并出现类似的误报。
国外安全热点
以威胁国家安全为由,美国禁止销售中兴、海康威视等电信和监控设备
11月25日,美国联邦通信委员会(FCC)正式宣布,禁止进口和销售包括华为和中兴通讯在内的,中国科技巨头制造的电信和监控设备,认为这些设备“对国家安全构成不可接受的风险”。
此次涉及的公司还包括海能达、海康威视和大华股份制造的电信和视频监控摄像头,这些设备一般用于公共安全、政府设施安保、关键基础设施监控和国家安全环境等场景。
安卓系统可能遭遇重大风险,两分钟可轻松破解锁屏
国外网络安全研究员 David Schütz发现了一种极为简单的绕过谷歌Pixel 6 和 Pixel 5 智能手机的锁屏的方法,任何拿到手机的用户都可以解开手机。
整个过程只需要简单的五个步骤,大概两分钟的时间。
² 提供三次错误指纹以禁用锁定设备上的生物特征认证;
² 将设备中的 SIM 卡与设置了 PIN 码的攻击者控制的 SIM 卡热交换;
² 提示输入错误的 SIM 卡密码三次,锁定 SIM 卡;
² 设备提示用户输入 SIM 的个人解锁密钥 (PUK) 码,这是一个唯一的 8 位数字,用于解锁 SIM 卡;
² 为攻击者控制的 SIM 输入新的 PIN 码。
虽然谷歌针对这个问题已经发布了Android 更新,而在更新之前,这个锁屏漏洞持续存在超过五个月的时间。该安全漏洞的影响十分广泛,几乎所有未更新2022年11月补丁的,运行 Android 10、11、12 、13 版本的手机都受到影响。
亚洲航空 500 万乘客和员工数据信息被盗
The Hacker News 网站披露,马来西亚廉价航空公司-亚洲航空内部系统遭到勒索软件组织袭击,约 500万名乘客和员工的个人数据信息泄露。
据悉,此次网络攻击背后黑手是名为 Daixin 的勒索软件团伙,该团伙在成功获取亚洲航空大量内部数据资料后,随即在其数据泄露网站上公开了部分数据样本。根据上传到泄密网站的样本显示,被盗数据包含了乘客身份证号码、姓名和订票编号以及员工信息。
印度政府发布《2022年个人数据保护法案》草案
印度政府11月18日发布了《2022年个人数据保护法案》草案,自2018年7月首次提出以来,这是印度政府第四次修改该草案。
《2022年个人数据保护法案》草案旨在确保个人数据的安全,在用户同意的情况下,表明收集信息的目的并确切分类。该草案将在2022年12月17日之前公开征求公众意见。印度有超过7.6亿活跃的互联网用户,这就要求在线平台产生和使用的数据必须遵守隐私规则,以防止滥用,同时要加强问责,提高用户信任度。
年涉案金额超2亿,一国际投资欺诈团伙5名成员被捕
据BleepingComputer消息,乌克兰警方联合欧洲刑警组织逮捕了一个国际投资欺诈团伙5名主要成员,该团伙每年的涉案金额预估到达了2亿欧元。
据称,该组织在乌克兰、德国、西班牙、拉脱维亚、芬兰和阿尔巴尼亚等多个国家设有呼叫中心和办事处,并通过构建一个庞大的虚假网站体系,冒充加密货币、股票、债券、期货和期权投资门户网站,以诱骗潜在投资者进行一系列虚假投资。这些网站还会为投资者显示虚假利润,让受害者相信他们正在快速获得收益并诱骗他们进行更多的投资。
根据乌克兰警方发布的公告,估计该组织团伙在其呼叫中心雇用了 2000 多人,其中3个呼叫中心位于乌克兰,而被警方逮捕的5人被认为是当地呼叫中心的组织者。
2.7万份文件泄露,乌克兰”IT军团“入侵俄罗斯中央银行
近日,乌克兰黑客组织——”IT军团“(IT Army)声称已成功俄罗斯中央银行,窃取了2.7万份内部文件。
该组织公开了一个大小为2.6GB的文件包,TheRecord对部分内容进行审查发现,其中详细记录了银行业务、安全政策以及一些员工个人资料,甚至一些俄罗斯军人的个人资料、电话号码和银行账号。
”IT军团“在Telegram上发布言论称:”如果俄罗斯中央银行不能保护自己的数据,它怎么能保证卢布的稳定?“但据俄罗斯媒体报道,俄罗斯中央银行否认其系统被黑,并称所有被泄露的文件都已属于在公共领域信息。
俄罗斯中央银行是俄罗斯最重要的金融机构之一,也是国家货币政策的制定和监管单位,此次被黑客声称入侵在今年也非首次。今年3月,黑客组织Anonymous曾宣称窃取并泄露了该银行35000份文件。数据安全初创公司Very Good Security的分析师Kenneth Geers表示,对于间谍、媒体组织和人权活动家来说,中央银行是一个”宝库“,泄露的内部文件在可能对俄罗斯产生严重影响的同时,也能窥探俄罗斯的战略及政策走向。