乐趣区

关于安全:顶象首期业务安全月报来了

导语:随着数字化的深刻遍及,业务更加凋谢互联。企业的要害数据、用户信息、基础设施、经营过程等均处于边界含糊且日益凋谢的环境中,波及利益流和高附加值的业务面临多样的安全隐患,随时可能遭逢损失,进而影响企业经营和倒退。

一方面,业务安全隐患形式多样,在电商、领取、信贷、账户、交互、交易等状态的业务场景中,存在着各类等欺诈行为;
另一方面,欺诈行为日益专业化、产业化,且具备团伙性、复杂性、隐蔽性和传染性等特点。

为了让大家更全面的理解业务平安的危险,顶象自本月起将针对每月的业务平安热点事件进行盘点总结。

一、国内业务平安热点 

WPS 被爆删除用户本地文件 
7 月 11 日,“WPS 被曝会删除用户本地文件”话题登上热搜,引起网友热议。当日 WPS 官网微博回应称,“删除用户本地文件”属于讹传,系近期一位用户分享的在线文档链接涉嫌违规,WPS 依法禁止了别人拜访该链接。对于删除用户本地文件的说法纯属误导,将保留通过法律路径保护合法利益的权力。

  7 月 13 日,针对近日网传的“WPS 删除用户本地文件”“进犯用户隐衷”等舆论,WPS 再次做出回应称:“WPS 不会对用户的本地文件进行任何审核、锁定或删除等操作。无关网传的“WPS 删除用户本地文件”“进犯用户隐衷”等,均系不实信息,对于因而给公司商誉造成的损失,咱们将采取法律手段保护合法权利。”
交通银行人脸识别零碎被攻破:6 次人脸识别比对,近 43 万被盗走  
7 月 18 日,据中国新闻网报道,欺骗人员先后 6 次假冒北京一名储户,进行了 6 次人脸识别比对,均显示“活检胜利”,并顺利从其交通银行卡中偷走近 43 万元。
但此类案件并不是孤例。
据媒体报道,2020 年 10 月至 2021 年 10 月间,五大国有银行之一的交通银行,产生了多起疑似与人脸识别破绽无关的盗刷案。交通银行的人脸识别零碎屡次被犯罪分子通过活体验证,目前已被多名用户起诉。

2021 年,有不法分子利用交通银行的人脸识别受权性能,再通过埋伏在用户手机里的木马病毒拦挡短信验证码,盗取了多位用户的银行存款,受害者包含金融行业员工、大厂员工、律师以及公司高管。有用户统计信息后通知市界,目前至多波及 6 名用户被盗刷资金,每户金额从几万到几十万不等,总金额超 200 万元。局部用户为了追回本人被盗刷的贷款,抉择将交通银行诉至法庭,但在往年 6 底,却收到了法院对交通银行“未见存在显著的过错和差错”的一审判决,驳回用户全副诉讼请求。
滴滴被罚 80.26 亿 
7 月 21 日,国家互联网信息办公室根据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴寰球股份有限公司处人民币 80.26 亿元罚款,对滴滴寰球股份有限公司董事长兼 CEO 程维、总裁柳青各处人民币 100 万元罚款。

  经查明,滴滴公司共存在 16 项守法事实,归纳起来次要是 8 个方面。

一是守法收集用户手机相册中的截图信息 1196.39 万条;
二是适度收集用户剪切板信息、利用列表信息 83.23 亿条;
三是适度收集乘客人脸识别信息 1.07 亿条、年龄段信息 5350.92 万条、职业信息 1633.56 万条、亲情关系信息 138.29 万条、“家”和“公司”打车地址信息 1.53 亿条;
 四是适度收集乘客评估代驾服务时、App 后盾运行时、手机连贯桔视记录仪设施时的精准地位(经纬度)信息 1.67 亿条;
五是适度收集司机学历信息 14.29 万条,以明文模式存储司机身份证号信息 5780.26 万条;
六是在未明确告知乘客状况下剖析乘客出行用意信息 539.76 亿条、常驻城市信息 15.38 亿条、异地商务 / 异地游览信息 3.04 亿条;
七是在乘客应用逆风车服务时频繁索取无关的“电话权限”;
八是未精确、清晰阐明用户设施信息等 19 项集体信息处理目标。

最高法:依法严惩强制“二选一”、大数据杀熟、高价倾销、强制搭售等行为 7 月 25 日,最高人民法院公布了《对于为放慢建设全国对立大市场提供司法服务和保障的意见》,其中提出,增强对平台企业垄断的司法规制,及时禁止利用数据、算法、技术手段等形式排除、限度竞争行为,依法严惩强制“二选一”、大数据杀熟、高价倾销、强制搭售等毁坏公平竞争、扰乱市场秩序行为,避免平台垄断和资本无序扩张。

二、国外业务平安热点 

IBM 数据泄露老本报告公布,网络钓鱼成主因 

近期,IBM 公布了最新的数据泄露老本报告,据报告称,目前寰球数据泄露的均匀老本为 435 万美元,过来两年数据泄露成本增加了近 13%,创下历史新高。数据泄露老本报告是 IBM 的年度重磅事项,至今曾经是该报告公布的第 17 年。

往年的数据泄露老本报告是依据 2021 年 3 月至 2022 年 3 月期间对 17 个国家 / 地区的 550 家企业的调研编制而成的。
与去年报告相比,往年的整体数据有 2.6% 的增长,同时,据 IBM 称,消费者也正因数据泄露事件而蒙受不成比例的苦楚。60% 的违规企业在蒙受数据泄露事件后反而进步了其产品价格,约等于变相加剧了寰球通胀的速度。

网络钓鱼成为代价最高的数据泄露起因,受益企业的均匀老本为 490 万美元,而凭据泄露是最常见的起因(19%)。间断第 12 年,医疗行业都是数据泄露老本最高的行业,而且还在快速增长中。2022 年医疗行业的均匀违规成本增加了近 100 万美元,达到创纪录的 1010 万美元。在泛滥国家中,美国依然是数据泄露事件里损失最低廉的国家,均匀违规老本达到了 940 万美元。

 UNI token 空投钓鱼攻打胜利窃取 Uniswap 800 万美元 7 月 11 日,有 Uniswap 用户遭逢空投钓鱼攻打,累计被窃取 7,574 ETH,价值约 800 万美元。Uniswap 称协定自身是平安的,没有破绽。

  Uniswap 是一家去中心化的加密货币交易所,Uniswap 是基于以太坊的协定,旨在促成 ETH 和 ERC20 代币数字资产之间的主动兑换交易,能够在以太坊上主动提供流动性。

空投(airdrop),就是收费给区块链地址(公钥)发送代币。攻击者应用收费 UNI token 空投作为钓饵,诱使用户受权一个给与攻击者其钱包齐全拜访权限的交易。钓鱼攻击者创立了一个 ERC token,并将其映射到持有 UNI token 的 73399 个用户。

Premint NFT 遭史上最大 NFT 黑客攻击 7 月 18 日,据外媒报道,出名 NFT 平台 Premint NFT 受到入侵,攻击者霸占了其官方网站,并盗取了 314 个 NFTs。据区块链平安公司 CertiK 的专家称,这是有历史记录以来最大的 NFT 黑客攻击之一。

专家们的剖析显示,威逼者向 Premint NFT 官网植入了一个歹意的 JavaScript 代码。该脚本被设计为批示用户在将其钱包连贯到该网站时 “ 为所有人设置审批 ”,这种形式使攻击者可能拜访他们的加密货币资产。

CertiK 在对外的事件申明报告中写道:“尽管因为域名服务器曾经生效,歹意文件不再可用,但攻打的影响在链上依然有迹可循。总共有六个内部领有的账户(EOAs)与这次攻打间接相干,大概有 275 个 ETH 被盗(价值约 37.5 万美元)。”Tor 浏览器迎重大更新,可主动绕过互联网审查 7 月 18 日,Tor 我的项目团队发表公布 Tor 浏览器 11.5 版本,而此次更新就只有一个目标——帮忙用户主动绕过互联网审查。

 家喻户晓,Tor 浏览器专为通过洋葱路由器 (Tor) 网络拜访网站而创立,被业界称之为“暗网世界大门钥匙”,在密码学层面很难破译。通过 Tor 浏览器拜访 Internet,就如同带着面具加入舞会,无人可知用户的实在身份。

而此次 Tor 浏览器的更新则进一步强化了这一性能,大大降低了用户匿名拜访的门槛。它通过通过网络上的节点路由流量并在每一步对其进行加密来实现这一点,连贯通过一个进口节点达到目的地,该进口节点用于将信息中继回用户。

App Store 存在大量欺诈利用,数百万 iOS 用户受影响 7 月 20 日,据外媒报道,苹果官网示意每天审核超过 10 万款新利用和利用更新申请,而严苛的审查制度让其只有 60% 能够通过上架。即便如此,App Store 仍然充斥着大量欺诈类利用,为这些利用的开发者带来大量支出的同时,因为 30% 的佣金让苹果也分得其中一杯羹。

 

退出移动版