易盾业务风控周报每周报道值得关注的安全技术和事件,包括但不限于内容安全、移动安全、业务安全和网络安全,帮助企业提高警惕,规避这些似小实大、影响业务健康发展的安全风险。
一、广电总局网络司下发《关于加强网上谈话(访谈)类节目管理的通知》
由于近期个别网站播出的谈话类节目(包括访谈类、脱口秀视音频节目)存在部分言论导向错误、与主流价值观相悖,因而加强对试听节目网站制作播放谈话类节目的管理。
二、国家新闻出版署约谈 12 家存在低俗问题的网络文学企业
国家新闻出版署约谈了咪咕阅读、天翼阅读、网易文学、红袖添香网、起点中文网、追书神器、爱奇艺文学等 12 家企业,对近期发现的网络文学内容低俗问题提出批评,责令全面整改,要求相关单位立即下架存在问题的网络小说,停办征文活动,清理低俗宣传推介内容。(人民网)
三、安全研究人员发现中国网贷 App 漏洞泄露大量个人信息
中国近年流行“网贷”,只需要使用手机 App 就可以简单地借到钱,因此非常受欢迎。不过最近有研究人员发现有大量网贷 App 泄漏了个人信息,有几百万用户受影响。来自 SafetyDetective 的研究人员 Anurag Sen 发现,在网上有一个达 889GB 的巨型数据库,内有超过 460 万使用网贷 App 的装置信息。
四、《未成年人网络保护条例》有望出台 未成年人网络保护将有法可依
近日,共青团中央召开 2019 年办理全国人大代表建议、全国政协委员提案座谈会。据相关媒体报道,今年拟提请全国人大常委会会议审议的未成年人保护法修订草案,将增设网络保护的章节。与此同时,酝酿多年的《未成年人网络保护条例》,今年有望出台。这无疑向广大公众释放出一个重要信号:未成年人网络保护将有法可依。
五、国家网信办等四部门发布《云计算服务安全评估办法》
《评估办法》指出,云计算服务安全评估重点评估云平台管理运营者(以下简称“云服务商”)的征信、经营状况等基本情况,云平台技术、产品和服务供应链安全情况以及云服务商安全管理能力及云平台安全防护情况等。据悉,评估结果将由国家互联网信息办公室网络安全协调局在中国网信网公布。评估结果有效期为 3 年。
六、北京警方破获一起微博流量造假案件
2019 年 5 月,新浪微博向北京市公安局网安总队举报称,一名为“博点”的商业网站,通过第三方支付平台以每万次 70 元人民币的价格,对其网站注册客户提交的指定微博贴文在短时间内实施批量点赞、转发操作, 从而达到制造、炒作网络热点事件的目的。北京市公安局网安总队会同朝阳分局成立专案组开展侦查,“博点”网站使用自行研发的专门软件,伪造生成大量请求数据,实现对指定博文的批量点赞、转发操作。该团伙 7 名嫌疑人均对其犯罪事实供认不讳,现因涉嫌破坏计算机信息系统罪被朝阳分局依法刑事拘留。(北京市公安局)
七、四分之一数据泄露事件的原因是人为错误
去年所有数据泄露事件中有四分之一是人为错误引起的。同期所有违规行为的平均成本为 392 万美元,比前一年增加 1.5%。这是根据 Ponemon Institute 和 IBM 的第 14 次年度数据违规成本报告得出的结果,收录了 2018 年 7 月至 2019 年 4 月间对 16 个国家和地区以及 17 个行业的 507 个组织的调查数据。该报告还发现,数据泄露的平均总成本在长期内持续升级:在过去五年中,它已经从 2014 年的 350 万美元增长了 12%。
八、北京消协联合海淀区消协就“明星势力榜”问题约谈新浪微博
北京市消协发文称,接到多起因新浪微博明星停榜引发的退款投诉,消费者反映为参加新浪微博“明星势力榜”的某明星打榜而购买虚拟鲜花,7 月 14 日主办方发布公告暂停该明星的上榜资格。7 月 22 日,市消协联合海淀消协紧急约谈新浪微博相关负责人,要求新浪微博须对相关投诉及时核实处理,就采取措施和退款情况作出书面说明(36 氪)
九、50 亿美元罚款还不够?美国政府可能对 FB 提出新指控
脸书因误导用户而面临 FTC 新指控。50 亿美元罚款可能还不够。7 月 24 日,据路透社报道,美国联邦贸易委员会或将于当地时间周三宣布与 Facebook 达成和解,终止对 Facebook 在用户隐私问题方面的指控,Facebook 将支付 50 亿美元罚款以获得和解。50 亿美元罚款也是美国联邦贸易委员会有史以来收到的最高的一笔民事罚款。(澎湃新闻)
十、Equifax 与监管机构和解 6.5 亿美元摆平大型数据泄露
美国监管部门今日宣布,征信机构 Equifax 将支付 6.5 亿美元的费用,就 2017 年一起大规模的数据泄露事件与美国联邦贸易委员会(FTC)等监管机构和解。美国征信巨头 Equifax 2017 年 9 月曾确认,黑客利用其系统中未修复的 Apache Struts 漏洞发起攻击,导致 1.43 亿用户的信用记录被泄露,包括名称、社会保障号、出生日期、地址,以及一些驾驶执照号码等。此外,美国约 20.9 万名消费者的信用卡详情和涉及 18.2 万人的争议文件也可能遭到泄露。今日,Equifax 宣布与美国监管部门达成和解。这起有史以来规模最大的数据泄露案的和解,将结束 FTC、消费者金融保护委员会(CFPB)和几乎所有州总检察长对 Equifax 的多项调查。此外,也将解决针对该公司的悬而未决的集体诉讼。
十一、FTC 结束 YouTube 侵犯儿童隐私调查 谷歌或罚款 100 万美元
美国联邦贸易委员会(FTC)已经加大罚款力度,重拳打击隐私泄漏。据悉 FTC 最新目标是谷歌的 YouTube,相关调查显示这家全球最大视频网站非法跟踪未成年人如何使用该平台的相关数据。援引华盛顿邮报报道,FTC 的一项调查结果显示谷歌无法为使用 YouTube 的儿童提供应有的保护,而且会收集他们的数据。这种行为违反了儿童在线隐私保护法案(COPPA),该法案禁止对 13 岁及以下儿童进行数据收集和地理位置定位数据。
十二、黑客攻入俄罗斯联邦安全局承包商服务器 窃取 7.5TB 数据
黑客入侵了俄罗斯国家情报部门 FSB 的承包商 SyTech,并从那里窃取了该公司为 FSB 工作的内部项目的信息 – 包括用于对 Tor 流量进行去匿名化的信息。攻击事件发生在上周末,即 7 月 13 日,一群名为 0v1ru $ 的黑客入侵了 SyTech 的活动目录服务器,从那里他们获得了访问该公司整个 IT 网络的权限,包括一个 JIRA 实例。
十三、Elasticsearch 数据库被植后门 变成 DDoS 僵尸网络
弹性搜索 (ElasticSearch) 是目前流行的基于 Java 开源技术的分布式搜索引擎,被云服务提供商广泛使用。近日,趋势科技报告称,最新监测到的攻击活动正试图将 Elasticsearch 集群纳入僵尸网络以发动分布式拒绝服务 (DDoS) 攻击。这种多阶段攻击利用脚本最终将后门传递到目标服务器,并将其转化为 DDoS 僵尸网络。
点击免费体验网易易盾安全解决方案。