數(shù)據(jù)安全,是一個(gè)永恒的話題,更是關(guān)乎到企業(yè)生存的大問題。敏捷科技帶您聚焦數(shù)據(jù)安全行業(yè)最新國內(nèi)、國際資訊,關(guān)注數(shù)據(jù)安全政策與動(dòng)態(tài),提供企業(yè)數(shù)據(jù)安全解決方案與服務(wù)。
國外資訊
印度液化氣公司7百萬用戶和分銷商數(shù)據(jù)遭泄露
印度液化石油氣公司Indane近700萬名用戶和分銷商的敏感數(shù)據(jù)遭到泄露。Indane是世界第二大液化石油氣營銷商,擁有9800萬客戶群,9100個(gè)分銷商。這起事件的起因是其iOS應(yīng)用程序提供的主要服務(wù)存在嚴(yán)重的訪問控制漏洞,會(huì)導(dǎo)致未經(jīng)授權(quán)的信息泄露。泄露的用戶數(shù)據(jù)包括消費(fèi)者姓名、地址、郵件、手機(jī)號(hào)碼等;泄露的經(jīng)銷商信息包括銀行賬號(hào)、銀行名稱、綁定銀行的收集號(hào)碼等。此外,該漏洞還允許攻擊者修改消費(fèi)者的個(gè)人數(shù)據(jù)、關(guān)閉消費(fèi)者的Indane賬戶等。
雅虎就數(shù)據(jù)泄露案達(dá)成和解協(xié)議:金額達(dá)1.175億美元
據(jù)路透社報(bào)道,由于遭遇史上最大數(shù)據(jù)泄密事件,雅虎接受了一項(xiàng)修改后的1.175億美元和解協(xié)議,與本案的數(shù)百萬受害者達(dá)成和解。這起案件在2013至2016年間導(dǎo)致大約30億帳號(hào)受到影響,而雅虎則被控在披露此事的過程中反應(yīng)過慢。雅虎目前已經(jīng)成為Verizon電信旗下的一家公司。這份新的和解協(xié)議包含至少5500萬美元支付給受害者的實(shí)付費(fèi)用和其它成本,2400萬美元的兩年信用監(jiān)控費(fèi)用,和高達(dá)3000萬美元的法律費(fèi)用,另有最多850萬美元的其他費(fèi)用。本案涵蓋1.94億美國人和以色列人,大約涉及8.96億帳號(hào)。
6000萬條領(lǐng)英用戶信息遭暴露
近日,荷蘭非盈利機(jī)構(gòu)GDI基金會(huì)網(wǎng)絡(luò)安全研究員發(fā)現(xiàn),8個(gè)不安全的數(shù)據(jù)庫被暴露在網(wǎng)上,其中包含約6000萬條領(lǐng)英用戶數(shù)據(jù)記錄。八個(gè)數(shù)據(jù)庫的總大小為229GB,每個(gè)數(shù)據(jù)庫的大小在25 GB到32GB之間。泄露的信息包括用戶個(gè)人資料信息、ID、個(gè)人資料網(wǎng)址、工作經(jīng)歷、教育經(jīng)歷、住址、技能、其他社交個(gè)人資料以及個(gè)人資料上次更新的時(shí)間。但有些數(shù)據(jù)庫還包含內(nèi)部數(shù)據(jù),例如用戶的個(gè)人電子郵件和訂閱類型,由此表明來源可能是由于領(lǐng)英的數(shù)據(jù)泄露。領(lǐng)英信任與安全主管PaulRockwell稱,這些數(shù)據(jù)庫并不屬于他們,但他證實(shí),第三方公司暴露了一組來自領(lǐng)英的公開個(gè)人資料以及其他非利益資源的數(shù)據(jù)。
搜 Wi-Fi 熱點(diǎn) Android 應(yīng)用數(shù)據(jù)泄露:涉200多萬WiFi密碼
一款流行的Android熱點(diǎn)(WiFi)搜尋App“WiFi Finder”暴露了200多萬個(gè)網(wǎng)絡(luò)的WiFi密碼。目前已有數(shù)千人下載了這款WiFi Finder應(yīng)用,它允許用戶搜索附近的WiFi網(wǎng)絡(luò)。但同時(shí),這款應(yīng)用也允許用戶將WiFi密碼從自己的設(shè)備上傳到數(shù)據(jù)庫,供其他人使用。據(jù)悉,數(shù)據(jù)庫中的每條記錄都包含了WiFi網(wǎng)絡(luò)名稱、精確的地理位置、基本服務(wù)集標(biāo)識(shí)符(BSSID)和明文存儲(chǔ)的網(wǎng)絡(luò)密碼。
印度最大數(shù)據(jù)庫泄露超過1億用戶信息
印度本地搜索服務(wù)JustDial的數(shù)據(jù)庫在未受保護(hù)的情況下保持在線,通過其網(wǎng)站、移動(dòng)應(yīng)用程序或通過呼叫其客戶服務(wù)號(hào)碼訪問服務(wù)的方式,泄露了超過1億用戶的個(gè)人信息。泄露的數(shù)據(jù)包括JustDial用戶的姓名、電子郵件地址、手機(jī)號(hào)碼、所在位置地址、性別、出生日期、照片和公司名稱等。
湖北一公職人員泄露公民信息5萬余條,非法獲利23萬余元
荊門京山市檢察院依法以涉嫌侵犯公民個(gè)人信息罪對(duì)犯罪嫌疑人張某批準(zhǔn)逮捕。張某,一公職人員,利用職務(wù)便利下載大量公民個(gè)人信息,包括企業(yè)名稱、法人代表姓名、電話號(hào)碼等,并通過網(wǎng)上QQ聊天售出。經(jīng)公安機(jī)關(guān)鑒定,其提取、下載公民個(gè)人信息5萬余條,獲取非法利益23萬余元。
研究人員發(fā)現(xiàn)中國企業(yè)簡(jiǎn)歷信息泄露:涉5.9億份簡(jiǎn)歷
據(jù)美國科技媒體ZDNet報(bào)道,有研究人員發(fā)現(xiàn)中國企業(yè)今年前3個(gè)月出現(xiàn)數(shù)起簡(jiǎn)歷信息泄露事故,涉及5.9億份簡(jiǎn)歷。大多數(shù)簡(jiǎn)歷之所以泄露,主要是因?yàn)镸ongoDB和ElasticSearch服務(wù)器安全措施不到位,不需要密碼就能在網(wǎng)上看到信息,或者是因?yàn)榉阑饓Τ霈F(xiàn)錯(cuò)誤導(dǎo)致。
四部門抓緊推進(jìn)App違法收集使用個(gè)人信息專項(xiàng)治理
中央網(wǎng)信辦、工信部、公安部、市場(chǎng)監(jiān)管總局指導(dǎo)成立App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理工作組以來,組織開展的App收集使用個(gè)人信息評(píng)估工作取得階段性進(jìn)展。記者從工作組負(fù)責(zé)人處獲悉,截至4月16日,舉報(bào)信息超過3480條,涉及1300余款A(yù)pp。對(duì)于30款用戶量大、問題嚴(yán)重的App,工作組已向其運(yùn)營者發(fā)送了整改通知。
B站網(wǎng)站后臺(tái)工程源碼疑似泄露 內(nèi)含部分用戶名密碼
據(jù)微博@互聯(lián)網(wǎng)的那點(diǎn)事 爆料稱,嗶哩嗶哩(B站)整個(gè)網(wǎng)站后臺(tái)工程源碼泄露,并且“不少用戶名密碼被硬編碼在代碼里面,誰都可以用?!贬槍?duì)此事,B站做出回應(yīng),“經(jīng)內(nèi)部緊急核查,確認(rèn)該部分代碼屬于較老的歷史版本?!盉站表示,已經(jīng)執(zhí)行了主動(dòng)防御措施,確認(rèn)此事件不會(huì)影響網(wǎng)站安全和用戶數(shù)據(jù)安全。B站已第一時(shí)間報(bào)案,并將徹查源頭。
泄露公司源代碼造成超百萬損失,大疆前員工被罰20萬、獲刑半年
深圳法院對(duì)大疆源代碼泄露案做出一審判決,綜合考慮犯罪情節(jié)以及自愿認(rèn)罪、有悔罪表現(xiàn),以侵犯商業(yè)秘密罪判處大疆前員工有期徒刑六個(gè)月,并處罰金20萬人民幣。經(jīng)過大疆公司的調(diào)查,這個(gè)漏洞是大疆的一名前員工通過一個(gè)計(jì)算機(jī)指令,將含有公司農(nóng)業(yè)無人機(jī)的管理平臺(tái)和農(nóng)機(jī)噴灑系統(tǒng)兩個(gè)模塊的代碼上傳至GitHub網(wǎng)站的“公有倉庫”,造成了源代碼泄露。據(jù)悉,這些泄露出去的代碼,已用于該公司農(nóng)業(yè)無人機(jī)產(chǎn)品,具有實(shí)用性。盡管大疆公司采取了合理的保密措施,但該次事件依然給大疆造成經(jīng)濟(jì)損失116.4萬元人民幣。
02安全政策
三部門聯(lián)合發(fā)布《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》
公安部網(wǎng)絡(luò)安全保衛(wèi)局、北京網(wǎng)絡(luò)行業(yè)協(xié)會(huì)、公安部第三研究所聯(lián)合發(fā)布《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》,本文件制定了個(gè)人信息安全保護(hù)的管理機(jī)制、安全技術(shù)措施和業(yè)務(wù)流程。適用于個(gè)人信息持有者在個(gè)人信息生命周期處理過程中開展安全保護(hù)工作參考使用。本文件適用于通過互聯(lián)網(wǎng)提供服務(wù)的企業(yè),也適用于使用專網(wǎng)或非聯(lián)網(wǎng)環(huán)境控制和處理個(gè)人信息的組織或個(gè)人。
國資委:網(wǎng)絡(luò)安全成為央企負(fù)責(zé)人經(jīng)營業(yè)績(jī)考核指標(biāo)
近日,國務(wù)院國資委修訂印發(fā)了《中央企業(yè)負(fù)責(zé)人經(jīng)營業(yè)績(jī)考核辦法》,辦法多角度構(gòu)建中央企業(yè)負(fù)責(zé)人年度與任期相結(jié)合的高質(zhì)量發(fā)展考核指標(biāo)體系,突出分類與差異化考核,強(qiáng)化國際對(duì)標(biāo)、行業(yè)對(duì)標(biāo)。值得關(guān)注的是,辦法首次將網(wǎng)絡(luò)安全事件納入考核范圍,并視情節(jié)給予負(fù)責(zé)人相應(yīng)的處分。這必將是促進(jìn)我國網(wǎng)安事業(yè)發(fā)展的又一股力量,提高央企防范重大網(wǎng)絡(luò)安全事件的能力和水平,保護(hù)國有資產(chǎn)不受侵害。
工信部:《關(guān)于加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見 (征求意見稿) 》
為貫徹落實(shí)《國務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》,加快構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系,經(jīng)廣泛征求意見,反復(fù)研究修改,工業(yè)和信息化部會(huì)同有關(guān)部門起草了《關(guān)于加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見(征求意見稿)》。為保障公眾知情權(quán)和參與權(quán),凝聚各界共識(shí)和智慧,現(xiàn)向社會(huì)公開征求意見。
等保2.0預(yù)計(jì)4月底5月初出臺(tái)
網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn),即《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》。2.0是相對(duì)等保1.0提出的,即2007《信息安全等級(jí)保護(hù)管理辦法》、2008《信息安全等級(jí)保護(hù)基本要求》。(1)2018.6月發(fā)等保2.0標(biāo)準(zhǔn)的征求意見稿;(2)2019.3月底,公安部網(wǎng)絡(luò)安全保衛(wèi)局的處長(zhǎng)祝國邦:等保2.0今年4月份有望出臺(tái);(3)2019.4.20日,公安部網(wǎng)絡(luò)安全保衛(wèi)局總工程師郭啟全:等保2.0已經(jīng)完成安標(biāo)委審批,并宣布了具體落地時(shí)間。關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例等具體細(xì)則也有望年內(nèi)發(fā)布。
03安全報(bào)告
360智庫:2019年第一季度全球大規(guī)模數(shù)據(jù)泄露事件分析
從被泄露的數(shù)據(jù)類型來看,泄露發(fā)生最多的是公民的身份信息,包括:姓名、地址、身份識(shí)別號(hào)碼等。特別是航空、酒店等服務(wù)行業(yè)。其次是用戶賬號(hào)數(shù)據(jù)。再者是機(jī)密數(shù)據(jù)和敏感數(shù)據(jù)。這里指政府部門或企業(yè)掌握的不適宜公開傳播的內(nèi)部信息,包括國家秘密、商業(yè)秘密和內(nèi)部文檔等。從數(shù)據(jù)泄露的來源來分析,大部分被泄露數(shù)據(jù)來自于互聯(lián)網(wǎng)服務(wù)公司,位居第二的是公共服務(wù)機(jī)構(gòu),政府機(jī)構(gòu)也較為嚴(yán)重。安全管理不善、漏洞等是導(dǎo)致數(shù)據(jù)泄露的主要原因。
賽門鐵克2019年互聯(lián)網(wǎng)安全威脅報(bào)告:數(shù)據(jù)篇
在賽門鐵克《互聯(lián)網(wǎng)安全威脅報(bào)告》中,對(duì)2018年全球威脅活動(dòng)、網(wǎng)絡(luò)犯罪趨勢(shì)和攻擊者動(dòng)機(jī)進(jìn)行了深入剖析,提出了自己的最新見解。其中,分析數(shù)據(jù)來自全球最大的民用威脅情報(bào)網(wǎng)絡(luò),即賽門鐵克全球情報(bào)網(wǎng)絡(luò)。該網(wǎng)絡(luò)覆蓋全球1.23億個(gè)攻擊傳感器,日均攔截威脅數(shù)量達(dá)1.42億個(gè),有效跟蹤全球157多個(gè)國家/地區(qū)的威脅活動(dòng)。
《全球數(shù)據(jù)保護(hù)索引》:企業(yè)數(shù)據(jù)量暴漲569%
2018年,公司企業(yè)管理的平均數(shù)據(jù)量為9.7PB,比2016年的1.45PB暴漲了569%。絕大多數(shù)企業(yè)看到了數(shù)據(jù)的價(jià)值,更多企業(yè)靠數(shù)據(jù)生財(cái),但只有極少數(shù)公司對(duì)現(xiàn)有工具保護(hù)信息的能力抱有信心。幾乎全部 (92%) 受訪者都認(rèn)識(shí)到了數(shù)據(jù)的價(jià)值,36%在用數(shù)據(jù)賺錢。但絕大多數(shù)公司難以保護(hù)數(shù)據(jù)安全,其數(shù)據(jù)保護(hù)嘗試可能反將信息置于風(fēng)險(xiǎn)之中。超過3/4 (76%) 的受訪者稱其公司在過去一年中遭遇過某種形式的數(shù)據(jù)損失,27%受訪者表示用現(xiàn)有數(shù)據(jù)保護(hù)工具無法恢復(fù)數(shù)據(jù)——2016年時(shí)無法恢復(fù)數(shù)據(jù)的公司僅為14%。
IDC發(fā)布2019全球IT安全支出規(guī)模預(yù)測(cè):中國增速惹眼
近日,IDC發(fā)布的IDC Worldwide Semiannual Security Spending Guide, 2018H1再次引起全球網(wǎng)絡(luò)安全市場(chǎng)高度關(guān)注,根據(jù)IDC預(yù)測(cè),2019年全球IT安全相關(guān)硬件、軟件和服務(wù)支出將達(dá)到1031億美元,相比2018年增長(zhǎng)9.4%。隨著全球各行業(yè)在安全解決方案上持續(xù)投入巨資以應(yīng)對(duì)各種紛繁復(fù)雜的惡意威脅,滿足各類安全需求,這種快速增長(zhǎng)趨勢(shì)將在未來幾年仍將持續(xù)。IDC預(yù)測(cè),在2018-2022年預(yù)測(cè)期內(nèi),全球安全解決方案支出將實(shí)現(xiàn)9.2%的年復(fù)合增長(zhǎng)率(CAGR),預(yù)計(jì)2022年將達(dá)到1338億美元。
*來源于網(wǎng)絡(luò),由敏捷科技綜合整理