易盾业务风控周报每周呈报值得关注的安全技术和事件,包括但不限于内容安全、移动安全、业务安全和网络安全,帮助企业提高警惕,规避这些似小实大、影响业务健康发展的安全风险。
1.广电总局巩固对视听网站整治效果:对快手抖音等警告罚款
继上半年国家广播电视总局联合北京市新闻出版广电局对多家视听网站突出问题开展系列整治工作后,为进一步巩固治理工作成效,严肃问责效果,压实主体责任,遏制问题反弹,北京市文化市场行政执法总队按照国家广播电视总局要求,根据《互联网视听节目服务管理规定》,近日又分别对“快手”开办单位北京快手网络科技有限公司,“今日头条”“西瓜视频”开办单位北京字节跳动科技有限公司和“抖音”“火山小视频”开办单位北京微播视界科技有限公司存在的问题作出警告和罚款的行政处罚。
针对“今日头条”“快手”等前期问题突出、社会影响较大的网站,国家广电总局联合属地主管部门持续加强监看和督导,要求两家机构在已开展深入整改工作的基础上,不断升级有效管用的管理办法,无死角清除存量问题节目,坚决遏制突出问题节目死灰复燃,严密管控新增变种问题节目。
2.25款安卓手机固件存在风险
上周的DEF CON大会上,安全研究人员详细介绍了25款安卓手机固件中出现的47种漏洞,其中有11款设备在美国销售。这些漏洞涵盖了系统崩溃的简单漏洞到攻击者获取root权限的高危漏洞多个等级。其中最危险的漏洞允许攻击者从用户手机中检索或发送短信,截取屏幕和录制手机视频,强制安装第三方app等操作,甚至可以擦除设备上的用户数据。目前受影响的品牌包括中兴、索尼、诺基亚LG等大公司,也包括VIVO,oppo等小品牌。
3.工信部组织开展电信和互联网行业网络安全检查
工信部印发关于开展2018年电信和互联网行业网络安全检查工作的通知,以强化电信和互联网行业网络安全风险防范和责任落实,提升行业网络安全保障水平。检查对象为依法获得电信主管部门许可的基础电信企业、互联网企业、域名注册管理和服务机构建设与运营的网络和系统。
重点是电信和互联网行业网络基础设施、用户信息和网络数据收集、集中存储与处理的系统、企业门户网站和计费系统、域名系统、电子邮件系统、移动应用商店、移动应用程序及后台系统、公共云服务平台、公众无线局域网、公众视频监控摄像头等重点物联网平台、网约车信息服务平台、车联网信息服务平台等。重点检查网络运行单位落实《中华人民共和国网络安全法》《通信网络安全防护管理办法》《电信和互联网用户个人信息保护规定》等法律法规情况,电信和互联网安全防护体系系列标准符合情况,可能存在的弱口令、中高危漏洞和其他网络安全风险隐患等。
4.FBI警告:全球ATM机将遭受大规模黑客袭击
知名安全网站Krebs On Security报道,犯罪分子可以通过在可重复使用的磁条卡上安装数据来制作银行卡的“欺诈性副本”。
黑客攻击可能影响到世界各地的银行,包括巴克莱银行和汇丰银行在内海外利息额巨大的英国银行,这些银行被认为已经意识到“头奖”技术带来的危险。据透露,今年早些时候,一个黑客团伙通过攻击美国ATM机窃取超过100万美元。从墨西哥湾沿岸到新英格兰,全美发生多起盗窃案,在这些案件中,黑客攻击ATM机,使其快速吐出大量现金。官员1月份表示,这一连串的袭击事件是美国第一次大范围头奖活动。
5.饭否遭受攻击,创始人王兴主页被“偷”走7年
据36氪报道,美团网及饭否创始人王兴的个人饭否账号,最新信息流停留在了2011年,2011年之后更新的动态全部消失不见。饭否成立于2007年,是一个提供140字迷你博客的社交网站,也是中国大陆地区第一家提供微博服务的网站,被称为“中国版Twitter”。
8月14日晚10点左右,饭否网站全线瘫痪,用户无法登入。经工程师修复后,用户可以成功登入网站,但用户主页却丢失了7年的信息流。
6.湖南打掉目前国内最大跨国跨境涉黄网络直播聚合平台
今年4月,郴州市公安局打掉了“桃花岛宝盒”聚合直播平台及35个涉黄直播站点,成功抓获涉案人员163人,涉案金额高达3.5亿元。这是目前已知国内最大、最活跃的跨国跨境涉黄网络直播聚合平台。
郴州市政府副市长、市公安局局长张军表示,“12.28”传播淫秽物品牟利案作为全国“扫黄打非”工作小组办公室和公安部联合挂牌督办案件,是郴州公安近年来破获的最大的网络犯罪团伙案件,同时也是今年公安部部署开展“净网2018”专项行动以来全国侦破的第一起特大部督传播淫秽物品牟利案。
7.苹果服务器被一高中生入侵,还带走了 90G 安全文件
据9to5Mac报道,澳大利亚一高中生反复入侵苹果服务器,并成功下载了 90G 的安全文件。苹果发现未经授权的访问后,便报告给了 FBI,澳洲联邦警察也加入国际调查。通过苹果安全系统所记录的 MacBook 序列号,警方找到了这名高中生。
目前这名高中生已经认罪,将在下个月被判刑。The Age援引律师介绍称,这名高中生是一名果粉,原本想通过这种方式来证明自己的能力并入职苹果,不过现在看来希望比较渺茫。
苹果发言人周五表示,该公司的信息安全人员“发现了未经授权的访问,对此进行了控制,并向执法部门报告了这一事件”,但没有进一步评论案件的具体情况。
他表示:
我们想向我们的客户保证,在这一事件中,他们的个人数据从来没有被泄露过。
8.Instagram平台被黑 已超百万用户信息泄露
近日Instagram社交平台受到了黑客的网络攻击,这导致其中一部分用户无法访问自己的账号,有双重身份(2FA)验证的用户也同样被攻破。不止是盗取,被攻破的用户发现,他们的电话号码、邮箱地址等联系方式也遭到了篡改,个人资料、图片,甚至Facebook里的个人资料链接也被黑客改掉。
在过去的7天里,被黑客袭击的用户在Twitter上抱怨的贴子超过了5000条,多达899名用户。虽然Instagram方面表示,目前黑客攻击活动已经不再加剧,但是根据Twitter上的活动以及Google Trends的记录来看却正好相反。
不管怎样,被攻击的用户目前仍然无法访问自己的邮箱地址,这是一件麻烦事,因为Instagram平台提供的账号恢复自动操作设置中,阻碍了这个过程。目前靠用户自己根本无法重置任何信息,这成为了一个死循环,我们只能期待Instagram平台能够尽快拿出新的解决方案。