易盾业务风控周报每周呈报值得关注的安全技术和事件,包括但不限于内容安全、移动安全、业务安全和网络安全,帮助企业提高警惕,规避这些似小实大、影响业务健康发展的安全风险。
1、四部委强力整治App乱象 违者或将吊销营业执照
1月25日,“App违法违规收集使用个人信息专项治理”新闻发布会在北京举行。针对当前强制、过度收集个人信息等App乱象,中央网信办联合工信部、公安部、市场监管总局,释放多个重要信号。
据了解,2019年1月到12月,各专业机构还要对地图导航、网约车、即时通信、网络支付、新闻资讯、网上购物、短视频、快递派送、餐饮外卖、交通票务等类别的千款App 进行评估,评估内容既包括隐私政策,也包括个人信息收集使用情况。用户数量大、与民众生活密切相关的 App,都将被纳入评估范围。
一旦查到违规行为,将按照网络安全法、消费者权益保护法的相关条款执行。有违法违规行为的App运营者,会被责令限期整改;逾期不改的,公开曝光。情节严重的,则将面临暂停相关业务、停业整顿、吊销相关业务许可制或者吊销营业执照的后果。
2、1.08亿条在线赌场信息泄露,来源指向 ElasticSearch
一家网上赌场集团已经泄露了超过1.08亿笔投注的信息,其中包括有关客户个人信息,存款和取款的详细信息。安全研究员 Justin Paine 在上周就发现这个没有安全保护和身份验证的 ElasticSearch 实例,并确认了这是在线投注有关的信息。
泄漏数据中,好消息是银行卡信息被部分加密、没有公开完整的财务细节。坏消息则是近期赢得大笔金钱的玩家,姓名、家庭住址和电话号码——这些玩家可能被发现该数据库的人敲诈和勒索。
3、谷歌因违反GDPR遭法国监管机构罚款5000万欧元
Alphabet旗下子公司谷歌被法国隐私监管机构处以5000万欧元(合5680万美元)的巨额罚款。法国监管机构国家信息与自由委员会在收到两家非政府组织的投诉后,对谷歌处以罚款,原因是该公司未能履行两项《通用数据保护条例》(GDPR)规定的义务。两家机构表示该公司没有法律依据来处理其服务用户的个人数据,尤其是用于广告个性化目的的数据。
4、ES文件浏览器被曝安全漏洞 用户资料可能被盗
近日,有两名安全研究人员相继曝光安卓应用 ES 文件浏览器的漏洞攻击手法,用户数据可能被窃取。ES 文件浏览器(ES File Explorer File Manager)是个功能完备的档案管理工具,宣称可于手机上提供媲美电脑桌面的档案管理功能,支持照片、音乐、电影、文件与程序等的管理。
5、美国多家大银行泄露大量贷款文件:数量有2400多万份
因为服务器出现安全漏洞,美国多家大银行泄露2400多万份金融及银行资料,涉及大量贷款和抵押贷款信息。
受影响的服务器上运行Elasticsearch数据库,里面包含了10多年的历史数据,比如贷款和抵押贷款协议、还款计划、敏感财务及税务文档。这些文件没有受到密码的保护,任何人都可以查阅。研究人员相信,数据库只被暴露了2周,1月15日又被保护起来。
泄露似乎可以追溯到德克萨斯州金融数据及分析公司Ascension,它提供数据分析、投资组合估值分析服务。在服务过程中,Ascension将纸制文档、手写文本转化为计算机可以阅读的文件。
Ascension母公司Rocktop Partners的高管证实,服务器出现漏洞,不过系统没有受到影响。1月15日,供应商在配置服务器时出现错误,导致一些与抵押贷款有关的文档泄露。不过供应商很快关闭了问题服务器,Rocktop Partners正在与第三方专家合作展开调查。出现问题的供应商叫作OpticsML。TechCrunch尝试联系该公司,不过它的网站已经下线,电话也无法接通。
6、青年学生组织AIESEC申请者信息泄露:规模有400多万条
安全研究人员近日称,国际经济学商学学生联合会(AIESEC)泄露400多万条青少年申请者的个人信息,而且这些信息不需要密码就能获取。1月11日,独立安全研究人员鲍勃·迪亚琴科(Bob Diachenko)在Elasticsearch找到一个未受保护的数据库,里面包含AIESEC申请人的信息,具体包括申请人的名字、性别、出生年月、申请实习原因等信息,还有申请被拒的时间。
7、北京网信办约谈天天快报,责令“推荐”频道停更一周
1月22日,北京市互联网信息办公室针对天天快报客户端传播低俗庸俗信息、破坏网络生态等问题,约谈其相关负责人,责令立即全面深入整改。整改期间,天天快报客户端“推荐”频道自2019年1月22日18时起暂停更新一周,企鹅号“王星星是吃货”“观天下阅然纸上”“爱生活朱莺”“情感解析斋”注销并纳入黑名单管理。
8、南京警方破获国内首例技术定位侵犯公民个人信息案
日前,南京市公安局鼓楼公安分局网安大队经过侦查,将开发“APP神探”非法定位软件的吴某以及用该软件非法定位的其他9人抓获。据悉,这是国内破获的首例非法侵入手机APP获取用户位置信息,为调查公司、讨债公司乃至涉黑涉恶团伙提供人员行踪、技术定位的侵犯公民个人信息刑事案件。