易盾業務風控週報每週報道值得關注的安全技術和事件,包括但不限於內容安全、移動安全、業務安全和網絡安全,幫助企業提高警惕,規避這些似小實大、影響業務健康發展的安全風險。
1、國內首個安全電子簽章標準發佈
3月6日,國內首個安全電子簽章技術國家標準——GB/T 38540-2020《信息安全技術 安全電子簽章密碼技術規範》正式發佈。據悉,此標準將於10月1日正式實施。
2、工信部就App數據泄露問題約談新浪微博
3月21日,針對媒體報道的新浪微博因用戶查詢接口被惡意調用導致App數據泄露問題,工業和信息化部網絡安全管理局對新浪微博相關負責人進行了問詢約談,要求其按照《網絡安全法》《電信和互聯網用戶個人信息保護規定》等法律法規要求,對照工信部等四部門制定的《App違法違規收集使用個人信息行爲認定方法》,進一步採取有效措施,消除數據安全隱患。
3、安全公司Keepnet Labs意外發現一個包括50億條已泄露記錄的數據庫
專家發現一個屬於安全公司Keepnet Labs的Elasticsearch實例,其中包含超過50億條以前泄露的數據記錄網絡安全事件。泄露數據包括哈希類型、泄漏年份、密碼、電子郵件、電子郵件域和泄漏源(即Adobe,Last.fm,Twitter,LinkedIn,Tumblr,VK等)
4、Unit 42 物聯網威脅報告:美國83%聯網醫療成像設備易受黑客攻擊
3月21日消息,據國外媒體報道,一項新的研究顯示,美國絕大多數的醫療成像設備容易受到黑客攻擊,一大原因是操作系統老舊,不受支持。根據 Palo Alto Networks 旗下 Unit 42 Threat 安全團隊發佈的《 2020 年物聯網威脅報告》,多達 83%的聯網醫療成像設備(如乳房X光造影機、MRI 核磁共振成像機等等)存在安全隱患。
5、Twitter安全團隊稱可能疏於清理一些有關疫情的違規推文
在宣佈了要打擊在社交網絡上傳播的有關新冠病毒的錯誤信息之後,Twitter 官方又在週一發出了警告,稱其可能無法全面清理這類違反了新安全準則的推文。
6、安全公司發現Google Play 商店中的兒童應用隱藏惡意軟件
知名網絡安全公司Check Point的研究人員最近發現,谷歌的Google Play商店中的大量實用程序和兒童應用程序都包含隱藏的自動點擊型惡意軟件,其下載量超過100萬次。本月早些時候,Check Point向谷歌披露了調查結果後,谷歌刪除了這些應用程序。
7、數據公司”助推”山寨貸款App黑產 僞造系統僅需千元
近兩日,虛假貸款App詐騙消費者亂象引起多地警方注意,不少山寨App仿冒知名機構,引誘有貸款需求的消費者“上鉤”。這一系列山寨貸款App背後,連接了一套完整的產業鏈,包括山寨App開發者、網貸系統僞造商及個人信息販賣數據公司等。
8、暗網託管商Daniel's Hosting再次被黑 7600個網站全部下線
最大的暗網託管商 Daniel's Hosting 再次被黑,數據庫被刪除,託管的7600個網站全部下線。它上一次被黑髮生在 2018 年 11 月,這一次發生在 3 月 10 日,站長 Daniel Winzen 在一份聲明中稱,攻擊者訪問了服務的後端,刪除了所有託管相關的數據庫。
9、微博:帶熱搜詞發佈垃圾營銷、涉黃低俗等信息將被禁言封號
近期,微博站方發現有個別用戶惡意利用產品機制蹭熱搜,即帶熱搜詞發佈與熱點完全不相關的內容信息,此行爲嚴重影響熱點的呈現效果和用戶體驗。