11月业务安全月报 | 台湾2300万人信息泄露;黑客两分钟即可破解安卓锁屏;乌克兰“IT军团”入侵俄罗斯中央银行

news2024/11/26 16:30:05

导语:随着数字化的深入普及,业务愈加开放互联。企业的关键数据、用户信息、基础设施、运营过程等均处于边界模糊且日益开放的环境中,涉及利益流和高附加值的业务面临多样的安全隐患,随时可能遭遇损失,进而影响企业运营和发展。

为了让大家更全面的了解网络安全的风险,顶象自7月起将针对每月值得关注的安全技术 和事件,包括业务安全、内容安全、移动安全等进行盘点总结。


国内安全热点

台湾 2300 万人民信息泄露,黑客开价5000美元

近期,联合新闻网披露,有黑客在国外论坛 “BreachForums”上出售 20 万条中国台湾省民众的个人资料,并声称拥有台湾省 2300 万民众的详细信息。

台湾省某部门接到举报后立刻展开调查,初步调查结果显示,在售的 20 万条信息所有者主要集中在宜兰地区,且信息全部吻合,县长林志妙、民进党立委陈欧珀的个人信息也在其中。

据悉,这些数据包括台湾省的人口记录,可以很容易地从这些数据中找到所有民众的兵役记录、教育记录和居住地址等个人信息。

中国台湾省某部门指出,论坛上出现的 20 万条个人资料,只是黑客抛出的样本,供买家 "测试",黑客会和有兴趣的买家打交道,事实上,想要这些数据的人大多是电诈团伙成员。

国家网信办修订《互联网跟帖评论服务管理规定》发布施行

近日,国家互联网信息办公室发布新修订的《互联网跟帖评论服务管理规定》(以下简称新《规定》)。新《规定》自2022年12月15日起施行。新《规定》旨在加强对互联网跟帖评论服务的规范管理,维护国家安全和公共利益,保护公民、法人和其他组织的合法权益,促进互联网跟帖评论服务健康发展。

《互联网跟帖评论服务管理规定》自2017年10月1日施行以来,对于规范跟帖评论环节信息秩序,维护良好网络环境发挥了积极作用。但随着互联网新技术新应用的快速发展,互联网跟帖评论服务也出现了许多新情况、新问题,需要适应形势发展变化进行修订完善。新《规定》共16条,重点明确了跟帖评论服务提供者跟帖评论管理责任、跟帖评论服务使用者和公众账号生产运营者应当遵守的有关要求等内容。

全国首个《信息安全技术关键信息基础设施安全保护要求》发布

11月7日,市场监管总局标准技术司、中央网信办网络安全协调局、公安部网络安全保卫局在京联合召开《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)(以下简称《保护要求》)国家标准发布宣贯会。据介绍,关键信息基础设施是国家网络安全保护的重中之重,作为《关键信息基础设施安全保护条例》(以下简称《条例》)发布一年后首个正式发布的关基标准,为关键信息基础设施保护的实际落地具有重要意义。

据悉,《信息安全技术关键信息基础设施安全保护要求》是关键信息基础设施安全保护标准体系的构建基础,将于2023年5月1日正式实施。标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则,从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等6个方面提出了111条安全要求,为运营者开展关键信息基础设施保护工作需求提供了强有力的标准保障。

市场监督总局、国家网信办发布《个人信息保护认证实施规则》

11月18日,国家市场监督管理总局、国家互联网信息办公室发布《个人信息保护认证实施规则》(以下简称《规则》),鼓励个人信息处理者通过认证方式提升个人信息保护能力。

《规则》共计7条,依据《中华人民共和国认证认可条例》制定,规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。

《规则》指出,个人信息处理者应当符合GB/T 35273《信息安全技术 个人信息安全规范》的要求。对于开展跨境处理活动的个人信息处理者,还应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。上述标准、规范原则上应当执行最新版本。

得物 APP 被爆删除用户视频

11 月 12 日,有网友在某平台发布一段视频,视频中该网友声称收到在得物 App 购买的商品后发现货物存在问题,随即拍下视频反馈给得物官方,并上传了一些与商品相关的视频证据到平台。

之后发生的事情就非常诡异了,该网友手机突然弹出两条信息,疑似是得物涉嫌通过调用其手机权限,删除了相册中与得物货物相关的视频。据悉,遭受删除视频里一条是开箱确定商品有问题的,另外一条是去专柜做对比的。

这一视频迅速传播,有关得物 APP 侵害用户个人信息的言论广为流传,13 日一早,得物 APP 立刻冲上热搜,得物方面不得不站出来回应。随后这一消息迅速登上“热搜”,并引发网友的广泛吐槽。

对于网友曝光的得物 APP 调用客户手机权限,删除其录下的货物有问题视频证据一事,得物 App 发布官方声明,收到用户反馈后,已第一时间联系用户和手机厂商进行核查,一定会对此事负责到底。

此外,得物方面一再强调公司完全没有立场和动力进行删除用户相册等不合规行为,对于用户海量视频数据,得物方面也没有相应技术能力进行批量识别,甚至定向删除。

值得一提的是,得物在声明中指出,根据公开报道信息,媒体曾对多家国内知名 App 遇到的类似情况进行报道说明,从事后相关公司和手机厂商公开披露信息看,当 App 对产生的缓存文件进行管理操作时,手机系统会将其判定为异常行为,并出现类似的误报。


国外安全热点

以威胁国家安全为由,美国禁止销售中兴、海康威视等电信和监控设备

11月25日,美国联邦通信委员会(FCC)正式宣布,禁止进口和销售包括华为和中兴通讯在内的,中国科技巨头制造的电信和监控设备,认为这些设备“对国家安全构成不可接受的风险”。

此次涉及的公司还包括海能达、海康威视和大华股份制造的电信和视频监控摄像头,这些设备一般用于公共安全、政府设施安保、关键基础设施监控和国家安全环境等场景。

安卓系统可能遭遇重大风险,两分钟可轻松破解锁屏

国外网络安全研究员 David Schütz发现了一种极为简单的绕过谷歌Pixel 6 和 Pixel 5 智能手机的锁屏的方法,任何拿到手机的用户都可以解开手机。

整个过程只需要简单的五个步骤,大概两分钟的时间。

  • 提供三次错误指纹以禁用锁定设备上的生物特征认证;

  • 将设备中的 SIM 卡与设置了 PIN 码的攻击者控制的 SIM 卡热交换;

  • 提示输入错误的 SIM 卡密码三次,锁定 SIM 卡;

  • 设备提示用户输入 SIM 的个人解锁密钥 (PUK) 码,这是一个唯一的 8 位数字,用于解锁 SIM 卡;

  • 为攻击者控制的 SIM 输入新的 PIN 码。

虽然谷歌针对这个问题已经发布了Android 更新,而在更新之前,这个锁屏漏洞持续存在超过五个月的时间。该安全漏洞的影响十分广泛,几乎所有未更新2022年11月补丁的,运行 Android 10、11、12 、13 版本的手机都受到影响。

亚洲航空 500 万乘客和员工数据信息被盗

The Hacker News 网站披露,马来西亚廉价航空公司-亚洲航空内部系统遭到勒索软件组织袭击,约 500万名乘客和员工的个人数据信息泄露。

据悉,此次网络攻击背后黑手是名为 Daixin 的勒索软件团伙,该团伙在成功获取亚洲航空大量内部数据资料后,随即在其数据泄露网站上公开了部分数据样本。根据上传到泄密网站的样本显示,被盗数据包含了乘客身份证号码、姓名和订票编号以及员工信息。

印度政府发布《2022年个人数据保护法案》草案

印度政府11月18日发布了《2022年个人数据保护法案》草案,自2018年7月首次提出以来,这是印度政府第四次修改该草案。

《2022年个人数据保护法案》草案旨在确保个人数据的安全,在用户同意的情况下,表明收集信息的目的并确切分类。该草案将在2022年12月17日之前公开征求公众意见。印度有超过7.6亿活跃的互联网用户,这就要求在线平台产生和使用的数据必须遵守隐私规则,以防止滥用,同时要加强问责,提高用户信任度。

年涉案金额超2亿,一国际投资欺诈团伙5名成员被捕

据BleepingComputer消息,乌克兰警方联合欧洲刑警组织逮捕了一个国际投资欺诈团伙5名主要成员,该团伙每年的涉案金额预估到达了2亿欧元。

据称,该组织在乌克兰、德国、西班牙、拉脱维亚、芬兰和阿尔巴尼亚等多个国家设有呼叫中心和办事处,并通过构建一个庞大的虚假网站体系,冒充加密货币、股票、债券、期货和期权投资门户网站,以诱骗潜在投资者进行一系列虚假投资。这些网站还会为投资者显示虚假利润,让受害者相信他们正在快速获得收益并诱骗他们进行更多的投资。

根据乌克兰警方发布的公告,估计该组织团伙在其呼叫中心雇用了 2000 多人,其中3个呼叫中心位于乌克兰,而被警方逮捕的5人被认为是当地呼叫中心的组织者。

2.7万份文件泄露,乌克兰”IT军团“入侵俄罗斯中央银行

近日,乌克兰黑客组织——”IT军团“(IT Army)声称已成功俄罗斯中央银行,窃取了2.7万份内部文件。

该组织公开了一个大小为2.6GB的文件包,TheRecord对部分内容进行审查发现,其中详细记录了银行业务、安全政策以及一些员工个人资料,甚至一些俄罗斯军人的个人资料、电话号码和银行账号。

”IT军团“在Telegram上发布言论称:”如果俄罗斯中央银行不能保护自己的数据,它怎么能保证卢布的稳定?“但据俄罗斯媒体报道,俄罗斯中央银行否认其系统被黑,并称所有被泄露的文件都已属于在公共领域信息。

俄罗斯中央银行是俄罗斯最重要的金融机构之一,也是国家货币政策的制定和监管单位,此次被黑客声称入侵在今年也非首次。今年3月,黑客组织Anonymous曾宣称窃取并泄露了该银行35000份文件。数据安全初创公司Very Good Security的分析师Kenneth Geers表示,对于间谍、媒体组织和人权活动家来说,中央银行是一个”宝库“,泄露的内部文件在可能对俄罗斯产生严重影响的同时,也能窥探俄罗斯的战略及政策走向。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/51949.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Android 8.0网络DNS

1 Linux DNS规范 Linux上并没有一个单独的方法可以完成DNS查询工作;没有一个有这样的明确接口的核心系统调用system call。不过,glibc (nss)的getaddrinfo (3), gethostbyname (3)等相关API (RFC3493)提供了DNS查询功能。 1)不支持nscd&#…

关于使用STM32CubeMx配置串口出现的一些问题

一、使用CubeMX配置好串口中断的工程,打开工程添加相关代码后串口没有数据输出或者看不见数据但串口助手的RX会一直增加的问题。 参考:这里 大概意思就是时钟的原因,需要把stm32f4xx_hal_conf.h文件中的时钟改一下,将25MHz改为8…

Ansys Zemax | 使用 OpticStudio 进行闪光激光雷达系统建模(中)

在消费类电子产品领域,工程师可利用激光雷达实现众多功能,如面部识别和3D映射等。尽管激光雷达系统的应用非常广泛而且截然不同,但是 “闪光激光雷达” 解决方案通常都适用于在使用固态光学元件的目标场景中生成可检测的点阵列。凭借具有针对…

我要涨知识——TypeScript 经典高频面试题(二)

又是一个年底来了,好大一批人可能又准备跑路了,翻了翻掘金和 CSDN 发现好多大佬都有大厂 Offer ,看着看着我心动了! 话不多说,赶紧开干,给自己整了一个前端面试小助手——微信小程序内搜索 “WEB学习学习加…

jar启动指定JDK/JRE 安装路径教程

前言 因为疫情在家办公的缘故,有个老项目,需要改个接口,然后需要前端联调,因为外网服务器没有多余的空间了,想着把jar给前端让前端开发人员,在自己的本机启动后端服务,进行接口联调,…

streptavidin-PEG-6-FAM 链霉亲和素-聚乙二醇-6-羧甲基荧光素

产品名称:链霉亲和素-聚乙二醇-6-羧甲基荧光素 英文名称:streptavidin-PEG-6-FAM 纯度:95% 存储条件:-20C,避光,避湿 外观:固体或粘性液体,取决于分子量 PEG分子量可选:350、550、75…

虚拟内存系统【如何支持巨大的虚拟地址空间】

如何支持巨大的虚拟地址空间📖1. 为什么要支持巨大的虚拟地址空间📖2. 交换空间📖3. 存在位📖4. 页错误📖5. 为了处理页错误,操作系统大致做了什么?📖6. 页面换出📖7. 当…

IDEA 中使用 SparkSQL 远程连接 Hive

文章目录第一步,环境配置第二步,IDEA 配置第三步,授权第四步,连接测试扩展——华为云/阿里云集群报错第一步,环境配置 首先,你要确保你的集群可以正常运行。 我们在 Windows 电脑中安装 Hadoop&#xff0…

【新知实验室--音视频通话】腾讯云TRTC-实时音视频---多人会议视频通话SDK基础搭建

🦖我是Sam9029,一个前端 Sam9029的CSDN博客主页:Sam9029的博客_CSDN博客-JS学习,CSS学习,Vue-2领域博主 🐱‍🐉🐱‍🐉恭喜你,若此文你认为写的不错,不要吝啬你的赞扬,求收…

基于STM32单片机的篮球计时记分器proteus仿真原理图PCB

功能: 0.本系统采用STC89C52作为单片机 1.LCD1602液晶实时显示比赛剩余时间,球队分数 2.默认计时器为4节,每节10分钟,每节比赛结束,蜂鸣器报警 3.按键功能介绍: 1’键——加1分 4’键——减1分 2’键——加2分 5’键—…

基于java+springmvc+mybatis+vue+mysql的水果食品果蔬生鲜商城销售系统

项目介绍 网络购物作为一种全新的销售方式赢得了越来越多销售者的青睐,近年来销售额更是以连年翻番的惊人速度成倍增长,网络购物已经形成了自身特有的网络销售市场和全新的网络营销模式,也使网络营销渠道应运而生,同时&#xff0…

SRM供应商平台哪些好用?

SRM系统是管理供应商的系统,旨在与供应商建立高效的协同关系,是一种围绕采购业务的双赢管理模式。 但市面上SRM系统供应商层出不穷,很多企业在数字化转型中不知如何挑选合适自己企业的SRM系统,或是选错了系统,效率提升…

成功的项目管理工具拥有的五大功能

如果您决定投资一种新的项目管理工具,那么您需要确保购买的是最适合自己的。在为您的企业寻找最佳项目管理软件时,不要被所有的花里胡哨分心,因为某些东西看起来很漂亮并不意味着它有实质。不要错过对团队成功至关重要的关键功能,…

【论文精读7】MVSNet系列论文详解-PVA-MVSNet

PVA-MVSNet论文名为:Pyramid Multi-view Stereo Net with Self-adaptive View Aggregation,主要是用了一个自适应的聚合模块来在构建代价体时不用均匀的方差、而是让不同的特征体具有一定的选择注意力权重来对最终的代价体做贡献,同时对于多尺…

星起航跨境:跨境卖家可以这样获得好评,稳步提升销量

据调查数据显示,90%以上的消费者购物之前会先查看产品评论,好的评价能促进产品更快地转化,不好的评价还会对产品listing权重产生一定的影响。例如:在产品listing的评价较少的情况下,一个1星差评在listing展示超过3天之…

WebRTC实战-第一章-理论基础

目录webrtc-demo基础理论ICE server/信令server/webrtc server的区别和联系coturn安装coturn穿透和转发服务器安装依赖ubuntu系统centos系统编译安装coturn快速测试启动自定义配置启动自定义配置真实配置新建start.sh测试地址,分别测试stun 和 turn打开测试地址测试…

jsp汽车销售管理系统Myeclipse开发mysql数据库web结构java编程计算机网页项目

一、源码特点 jsp汽车销售管理系统 是一套完善的web设计系统,对理解JSP java编程开发语言有帮助,系统具有完整的源代码和数据库,系统主要采用B/S模式开发。开发环境为 TOMCAT7.0,Myeclipse8.5开发,数据库为Mysql,使用…

Spire.Doc 10.11.9 支持设置形状填充颜色的透明度

度娘找破解版Spire.Doc for .NET是一个专业的Word .NET库,专门为开发人员设计,用于在任何.NET 平台(Target .NET Framework、.NET Core、.NET Standard、 .NET 5.0、.NET 6.0、Xamarin 和 Mono Android),具有快速和高质…

纷享销客2022新增长系列之《高科技行业橙皮书》重磅发布

二十大报告进一步提出建设数字中国,加快发展数字经济。这意味着,对于各行业而言,充分运用数字化技术推动业务变革、效率变革、流程变革,是各行各业发展的必经之路。 高科技行业作为一个知识与技术密度性高的行业,具备技…

【pen200-lab】10.11.1.146

pen200-lab 学习笔记 【pen200-lab】10.11.1.146 🔥系列专栏:pen200-lab 🎉欢迎关注🔎点赞👍收藏⭐️留言📝 📆首发时间:🌴2022年11月27日🌴 🍭作…