简介:随着数字化的深入和普及,商业变得更加开放和互联。企业的关键数据、用户信息、基础设施、运营流程都处于边界模糊且日益开放的环境中。涉及利润流、高附加值业务的业务面临各种安全风险,随时可能遭受损失,进而影响业务运营和发展。
一方面,业务安全风险存在多种形式。在电商、支付、征信、账户、交互、交易等业务场景中,存在各类欺诈行为;另一方面,欺诈行为日益专业化、产业化。且具有团伙性、复杂性、隐蔽性、传染性等特点。
为了让大家对业务安全风险有更全面的了解,头象将从7月起每月对业务安全热点事件进行盘点和总结。
国内安全热点
五角大楼将奇虎360和知道创宇列入黑名单
五角大楼将奇虎360、深圳大疆、北京智创宇、中科曙光等13家中国公司列入黑名单。大疆发言人Adam Lisberg 表示,没有理由将该公司列入黑名单,该公司是唯一一家反对将其无人机产品用于军事用途的制造商,而且大疆从未设计或制造过军用级设备。
工信部通报 38 款侵害用户权益 App
10月13日消息,为巩固治理成效,营造共同维护消费者权益的良好环境,工信部近日开展App侵犯用户权益的整治工作。和利益“回头看”,组织第三方检测机构违规推送信息弹窗、App过度请求权限等问题重点抽查,共发现38款App存在问题,现已公示。
官方应用列表中还包括智慧树、2345浏览器、映客直播、丁香医生、回头条、免费小说全书店、铃声、YOWA云游戏等众多知名应用。
2022 年网络交易突发事件应急实战演练启动,阿里、京东、拼多多等参加
据国家市场监管总局10月13日消息,为做好网络交易突发事件应急处置工作,有效防范和化解网络交易突发事件重大风险,维护网络交易秩序, 10月10日上午,市场监管总局组织2022年网上交易突发事件实战应急演练。
此次演练由总局网监司主办,总局办公厅、新闻宣传部、竞争政策与大数据中心,北京、上海、浙江等地市场监管部门、平台阿里巴巴、京东、拼多多等企业参与了此次演习。
据介绍,本次演练严格按照《网上交易突发事件应急预案》的要求进行。在市场监管总局设立指挥中心,在相关地方市场监管局和平台公司设立分会场。此次演练模拟了网上违法限售行为的发生。商品销售中发生突发事件,采用数字化手段,通过“实景拍摄+现场模拟”相结合,演练突发事件发生、事件调查、分析研判、级应急响应的全过程、事件处置、跟踪督导、舆情引导、响应终止等环节。此次演练示范引导作用强,在最短的时间内充分发挥了应对网络交易突发事件的保障机制。
《信息安全技术 智能手机预装应用程序基本安全要求(征求意见稿)》发布
近日,全国信息安全标准化技术委员会发布了《智能手机预装应用信息安全技术基本安全要求(征求意见稿)》(以下简称《安全要求》)。
《安全要求》给出了智能手机预装应用程序的基本安全要求,适用于智能手机制造商的生产活动,也可为相关监管和第三方评估工作提供参考。
《安全要求》明确了卸载范围,指出除系统设置、文件管理、多媒体录音、拨打和接听电话、发送和接收短信、通讯录、浏览器、应用商店等之外,必要的基本功能应用程序,智能手机中预装的其他应用程序应可卸载。最多可以将实现相同基本功能的预装应用程序设置为不可卸载。当不可卸载的应用程序包含直接支持操作系统运行的功能或实现智能手机基本功能以外的功能时,应提供禁用或卸载这些功能的方法。
工信部印发《网络产品安全漏洞收集平台备案管理办法》
10月29日消息,为规范网络产品安全漏洞采集平台备案管理,工业和信息化部近日发布了《网络产品安全漏洞采集平台备案管理办法》。办法规定,漏洞收集平台备案通过工业和信息化部网络安全威胁与漏洞信息共享平台进行,采取网上备案方式。
本办法所称网络产品安全漏洞收集平台,是指有关组织或者个人建立的收集非自有网络产品安全漏洞的公共互联网平台,但仅用于修复自有网络安全漏洞的除外。产品、网络和系统。办法明确,拟设立漏洞采集平台的组织或者个人应当通过工业和信息化部网络安全威胁与漏洞信息共享平台如实填写网络产品安全漏洞采集平台注册信息。该措施将于2023年1月1日起施行。
国外安全热点
微软被曝泄露 2.4TB 客户敏感数据,6.5 万家公司受影响
据报道,网络安全供应商SORadar 近日向微软通报了一起重大数据泄露事件,声称超过2.4TB 的敏感客户数据被泄露,6.5 万家公司受到影响。微软已经承认了这一事件,但辩称SORadar “夸大了违规行为的范围和严重性”。
据披露,泄露的数据包括用户名、电子邮件地址、电子邮件内容、公司名称和电话号码,以及受影响客户和微软或微软授权合作伙伴的业务文档。
FBI:网络诈骗者可能针对美国学生贷款债务减免申请人
据Bleeping Computer 10 月18 日消息,美国联邦调查局(FBI) 发出警告,称网络诈骗者很可能利用刚刚实施的美国学生贷款减免计划,对目标群体实施钓鱼攻击。
今年8月,拜登政府正式颁布学生贷款救助计划。该计划于上周末开始投入试运行,并于当地时间10月17日正式开放免费申请。超过800 万人已提交贷款减免申请。申请。
FBI表示,网络诈骗者可能会建立虚假的申请网站,并向符合申请资格的受害者发送钓鱼电子邮件和短信,其目的可分为两类,一是收集受害者的个人信息用于其他网络犯罪活动二是以报名参加项目或处理申请为借口,骗取项目费用。
据悉,美国约有4500万人申请了学生贷款,借款总额达1.6万亿美元。拜登表示,超过4000万人将从学生贷款减免计划中受益,其中90%的受益人年收入不到7.5万美元。
澳大利亚零售巨头泄露220万用户数据,并被黑客在线出售
据Security issues等网站消息,澳大利亚零售巨头Woolworths披露其子公司MyDeal近期发生数据泄露事件,影响220万用户。攻击者在黑客论坛上发帖出售窃取的数据。
根据披露的信息,攻击者使用受损的用户凭据来访问该公司的客户关系管理(CRM)系统,查看并导出220 万条用户信息。这些数据包括姓名、电子邮件地址、电话号码、送货地址等信息,在某些情况下还包括用户的出生日期。但MyDeal表示,它没有透露任何支付信息、政府ID或账户密码。
泄露约 30 万用户信息,丰田公开道歉
据路透社报道,丰田汽车公司T-Connect 服务近30 万用户的个人信息可能已被攻击者窃取。泄露的信息类型包括用户的电子邮件地址、客户编号等,影响范围包括自2017年7月以来使用电子邮件地址注册服务的用户。
键盘残余热量可能泄露密码,20秒内拍下键盘热像图,密码泄露86%
英国格拉斯哥大学计算科学学院副教授Mohamed Khamis 领导的团队开发了ThermoSecure 系统,该系统使用热成像相机来猜测和识别用户最后触摸的按键,然后使用人工智能来分析热量。如图所示,热图像中的按键越亮,其被触摸的时间距离越短。该研究论文发表在即将出版的《ACM Transactions on Privacy and Security》杂志上。
研究人员使用该系统猜测计算机键盘、智能手机屏幕和ATM 键盘上的密码和PIN。研究结果令人惊讶。 20秒内拍摄热图像时,密码恢复率为86%; 30秒内,密码恢复率为76%; 60秒内,密码恢复率为62%。
使用ThermoSecure 系统,研究人员能够破解三分之二的长达16 个字符的密码。较短的密码更容易破解:12 个字符的密码有82% 的几率被猜中,而8 个字符的密码有93% 的几率被破解。六个或更少字符的密码有100% 的机会被破解。
iPhone 备忘录被曝莫名清空
近日,多名iPhone用户在社交媒体平台上声称,自己的苹果备忘录被莫名清空,并且无法在苹果云服务中检索。对此,苹果客服回应称,部分用户遇到类似情况,苹果会尝试在系统中回复。不过,有网友表示,即使联系苹果支持后,也没有检索到备忘录内容,建议大家使用本地存储备忘录。不要保存到云服务。
苹果曝严重漏洞,可窃听用户与Siri对话
据The Hacker News 10 月27 日报道,苹果最近披露的漏洞包括一个名为SiriSpy 的iOS 和macOS 系统漏洞,该漏洞使得具有蓝牙访问权限的应用程序能够窃听用户与Siri 的对话。
该漏洞由应用程序开发人员Guilherme Rambo 于2022 年8 月发现并报告为CVE-2022-32946。
Rambo 表示,任何请求访问蓝牙的人都可以在使用AirPods 或Beats 等设备时录制与Siri 的对话。该漏洞与AirPods 中一项名为DoAP 的服务有关,该服务用于支持Siri 和听写功能,允许攻击者制作可以通过蓝牙连接到AirPods 并在后台录制音频的应用程序,而无需显示麦克风访问请求。
在macOS 上,该漏洞可能被滥用以完全绕过TCC 用户隐私保护框架,这意味着任何应用程序都可以记录用户与Siri 的对话,而无需请求任何权限。
目前该漏洞已通过系统更新补丁修复,涉及产品包括iPhone8及以上所有型号;所有iPad Pro; iPad Air 第3 代、标准iPad 第5 代、iPad mini 第5 代及后续型号。