易盾业务风控周报每周呈报值得关注的安全技术和事件,包括但不限于内容安全、移动安全、业务安全和网络安全,帮助企业提高警惕,规避这些似小实大、影响业务健康发展的安全风险。
1、趣头条旗下“米读”传播淫秽色情小说
据三言财经报道,在米读 APP中,发现了一些涉黄小说。在一本人气值高达2万、评分8.5、名为《梦想人生》的小说封面介绍中,我们就已经看到了很多诱导性词语,“风骚”、“性感”、“粉臀”。而点击进入阅读界面后,小说的具体内容和用词则更是露骨。
在书的首页,米读还声明,该书由米读进行电子制作与发行,版权属于米读。除小说涉黄外,三言财经还发现,在使用米读App阅读时,会穿插有诱惑性的“连信”广告。其中一个的广告词是“家里那位长期出差,想找个本地人照顾”。
2、教育部:2019年与网信部门联合治理校园App乱象
3月13日,教育部办公厅印发《2019年教育信息化和网络安全工作要点》通知,其中明确要求全面规范校园APP的管理和使用,与网信部门开展联合行动,治理校园APP乱象。
通知要求,开展校园APP专项调研,摸清底数,研判形势。并明确,2019年教育部将与网信部门开展联合行动,治理校园APP乱象。
通知要求,研究制定规范校园APP管理的意见,规范第三方校园APP的引入和自主开发校园APP的建设,探索建立规范校园APP管理的长效机制,促进移动互联网有序健康发展。推动落实《教育部办公厅关于严禁有害APP进入中小学校园的通知》,重点加强学习类APP的规范管理。
3、转转:去年总用户量超2亿 封禁12万个涉嫌诈骗账号
《2018年度转转二手交易服务白皮书》首次批露2018年度平台客诉、风控等服务数据。2018年,转转平台屏蔽的关键词新增1300余个,处理违规违禁物品 35000余件,处理虚假链接 1000余条,通过技术手段提前识别封禁120000个涉嫌诈骗账号。与此同时,转转升级原风控部门为信息质量部,全面负责整个平台的动态风险监测及管控,及时下架及处理违规商品;同时还加强与有关政府部门的合作与联动,共同打击网络黑产。
4、Citrix收FBI警告:6TB至10TB敏感数据被窃
软件制造商Citrix近日承认公司已沦为数据泄露的新受害者,导致国际黑客窃取了大量数据。公司表示美国联邦调查局(FBI)已经就此事和公司取得联系,并警告称本次网络攻击行为极有可能是伊朗黑客组织所为,窃取了6TB至10TB的商业文件,Citrix已采取积极措施。
5、Android安全App大调查:大多无法有效保护用户
独立评测机构AV-Comparatives近期对市场上的防病毒APP进行了大规模测试,发现均无法有效正确的保护用户。AV-Comparatives测试了2000款恶意APP,结果发现只有不到十分之一的APP能够完全检测出这些恶意程序,而超过三分之二的防病毒APP识别恶意程序数量没有达到30%。AV-Comparatives采用了和因斯布鲁克大学合作开发自动测试程序,并使用物理Android手机并非模拟器来确保测试结果的精准性。
6、利用恶意插件收集用户数据 Facebook起诉两名开发者
当地时间星期五,Facebook起诉两名乌克兰人利用测试应用收集用户的私密数据,在用户的消息流中插入广告。在2017年至2018年期间,两名被告诱使Facebook用户安装自称与星座、性格测试有关的恶意浏览器插件,受影响的用户达到约6.3万人,其中主要是俄罗斯和乌克兰用户。
起诉书称,除自行发布广告外,被告还收集了用户的公开档案信息和不公开的好友列表。他们还可能与去年出售8.1万名用户私密信息的事件有关。
7、小红书陷“部分种草笔记编造”风波 官方回应
315前夕,小红书“部分种草笔记疑编造”一事甚嚣尘上。据中新经纬报道,小红书笔记代写代发、刷量、提升搜索排名的产业链浮出水面,让你“种草”的笔记可能并非来自真实用户的亲身体验,而是由专业写手按照商家需求“编造”的。
针对此事,小红书回应称,黑产刷量行为,正是小红书一直以来严厉打击的对象;公司一贯对社区刷量、刷粉行为“零容忍”。小红书表示,已经就这类事件向公安机关报案,并积极配合公安调查处理。
8、云盘服务Box帐号配置不当,致数十家公司敏感数据泄露
据美国科技媒体TechCrunch报道,网络安全公司Adversis发现,有数十家公司因为员工公开分享云盘服务Box企业存储帐号的文件链接,而无意间泄露了敏感的企业和客户数据。
虽然存储在Box企业帐号内的数据默认设置称私密状态,但用户可以与任何人分享文件或文件夹,因而只需要一个链接就可以公开接触这些文件。但Adversis表示,这些秘密链接还可以被其他人发现。使用脚本扫描和枚举的方式,Adversis发现有90多家公司的文件夹都可以公开访问。