易盾业务风控周报每周呈报值得关注的安全技术和事件,包括但不限于内容安全、移动安全、业务安全和网络安全,帮助企业提高警惕,规避这些似小实大、影响业务健康发展的安全风险。
1、脸书”涉泄680万用户照片 或面临16亿美元罚款
据外媒报道,美国社交网站“脸书”(Facebook)又出现安全漏洞,导致第三方应用软件获取用户未公开的私人照片,初步估计,有多达680万用户受影响。目前,欧洲隐私管制机构爱尔兰数据保护委员会已着手调查,“脸书”或因此被罚款超过16亿美元。
“脸书”表示,如果用户曾使用“脸书”账号登录第三方应用软件,并授权软件存取照片,那用户的私人照片可能已经外泄,其中包括没有公开分享的照片。据“脸书”工程总监巴尔指出,用户使用第三方应用软件上传到“脸书”,但未完成分享程序的照片,其副本被保留在应用内,因此被有关应用取得。
2、星巴克新活动仅一天就被疯狂薅羊毛,企业业务安全告急!
近日,威胁猎人业务情报监测平台监控发现,星巴克2018年12月17日上线的“星巴克APP注册新人礼”营销活动,遭受黑灰产大规模攻击。黑产利用大量手机号注册星巴克APP的虚假账号,并成功领取活动优惠券。
从17日星巴克营销活动上线至18日中午监测到的黑灰产虚假注册量已达到40W。由于活动门槛较低,黑灰产仅需要一个新的手机号并提交一些基本的资料即可领券,且已经出现了自动化注册的脚本。
据悉,星巴克已紧急下线该营销活动。保守估计,短短一天半时间,如果不及时止损,按照普通中杯咖啡的售价来估算,星巴克的损失可能达到1000万人民币。
随着近几年来业务安全问题的频发,黑灰产的技术能力和资源规模都在呈指数型增长,技术手段也在不断更新。而绝大部分企业在面对黑产攻击时往往处于被动状态:一方面是缺乏对黑灰产的认知及对外部风险的感知和监测能力;另一方面则是缺乏外部风险数据能力的补充,无法有效识别恶意账号,导致出现了此次的星巴克被薅羊毛事件。
3、上海一犯罪团伙利用银行APP漏洞非法获利2800余万元
从上海警方获悉,近日警方捣毁一个利用网上银行漏洞非法获利的犯罪团伙,马某等6名犯罪嫌疑人被依法刑事拘留。
该团伙利用银行APP(手机应用程序)安全漏洞,使用技术软件成倍放大定期存单金额,从中非法获利2800余万元(人民币,下同)。
经进一步侦查,警方还循线抓获了非法出售个人身份信息和银行储户信息的方某某以及倒卖此类信息的邓某某,并对其他倒卖个人信息的犯罪嫌疑人进行布控。目前,警方已将马某、方某某、邓某某等6名犯罪嫌疑人依法刑事拘留,并敦促涉案银行完成了安全漏洞的修复,案件正在进一步侦查中。
4、在线教育App测评:仅1家公示教师资质 个别惊现软色情
监管风暴之下,在线教育行业或将迎来行业洗牌。12月初,南方都市报新业态法治研究中心从主体资质、教育资源版权保护、个人信息和隐私安全、教学与师资、游戏广告等内容审核、校内推广、特殊技术设计等7个方面推出30家热门K12在线教育类App的测评报告,取样时间为11月25-11月30日。
测评发现,在教学与师资上,30家App中仅有1家进行了资质公示,有App甚至在招聘要求里写明“不需要教师资格证”。教学内容上,曾被多次明令禁止的奥数等超纲内容仍可在小猿搜题、100教育、天天练乐乐课堂、家有学霸这4家平台上找到。
此外,学习宝、天天练乐乐课堂两家App的社区版块内含不良内容,其中学习宝内有未成年人发亲吻自拍、大尺度照片等软色情内容。
5、谷歌打击应用商店恶意评级和评论:诱导评级也被禁止
据美国科技媒体ZDNet报道,谷歌近日宣布将对购买评级和评论欺骗用户或破坏竞争对手声誉的应用开发人员进行严厉打击。那些使用应用内策略来鼓励用户对应用进行评级和评论(比如奖励用户游戏内货币、额外升级乃至真实货币等)的开发商也在此打击范围内。
除了应用开发商之外,打击对象还包括在评论中发表亵渎、仇恨或与主题无关言论的用户。
6、WhatsApp曝大量儿童色情内容,已封账号13万
据CNET消息,以色列两家信息安全组织Netivei Reshet和Screensaverz发布的报告显示,Facebook旗下聊天应用WhatsApp上出现大量儿童性虐待图片和视频。WhatsApp上很容易找到这种分享这类图片的群,一些提供WhatsApp加群链接的成人内容第三方应用成功打入了WhatsApp,分享儿童色情内容。
研究者就这个问题联系了Facebook,但是WhatsApp上的某些群聊仍然很活跃。其中一个儿童色情群聊包含 256 名来自美国等不同国家的用户,这些账号随后被WhatsApp封禁。目前WhatsApp已经封禁了 13 万个违反儿童色情规定的帐号。
7、北京首次打掉撞库诈骗产业链团伙
近日,北京市公安局海淀分局通过发挥专业优势,不断深化网络犯罪打击深度和广度,破获北京首例通过撞库盗号实施诈骗的产业链条,3名犯罪嫌疑人被刑事拘留。
据介绍,今年7月10日,海淀公安分局警务支援大队接辖区某互联网企业报案称,该公司网站被他人利用木马程序进行攻击,非法获取网站大量的注册用户名和密码,并通过这些用户名和密码登录公司网站,发布非法招嫖、办证等信息3.7万余条,造成公司直接经济损失18万余元,且严重影响了公司的声誉。
8、NASA服务器遭到网络攻击,员工信息泄露
美国国家航空航天局(NASA)已确认旗下一台服务器在10月被黑客攻击,黑客从其中盗取了一些员工信息,包括社会安全号码等等。在12月18日发布的通知中,美国国家航空航天局表示,它目前正在通知那些可能因此受到损害的员工。调查已经开始,NASA表示社会安全号码和其他个人身份信息存储在被黑的服务器上。NASA表示,在发现这些事件后,NASA网络安全人员立即采取行动保护服务器及其中包含的数据。美国宇航局及其联邦网络安全合作伙伴正在继续检查服务器,以确定潜在数据泄漏的范围,并识别可能受影响的个人。NASA表示,调查需要时间,但强调它现在已成为NASA目前最重要的优先事项。
该机构声称没有任何迹象表明NASA的各项任务受到了黑客影响,但现在它已经传达给所有员工,让他们知道某些信息已经暴露给黑客。NASA表示,将为所有员工提供额外服务,包括身份保护服务。但是NASA没有详细说明服务器是如何被破坏的,以及事件背后的黑客组织名称。