中文站

3月第2周业务风控关注 |上海市网信办依法对“华尔街见闻”作出行政处罚

易盾业务风控周报每周呈报值得关注的安全技术和事件,包括但不限于内容安全、移动安全、业务安全和网络安全,帮助企业提高警惕,规避这些似小实大、影响业务健康发展的安全风险。

1、上海市网信办依法对“华尔街见闻”作出行政处罚

近日,上海市网信办依据《网络安全法》《互联网信息服务管理办法》《互联网新闻信息服务管理规定》等法律法规,对上海阿牛信息科技有限公司作出罚款的处罚决定。

经巡查发现,上海阿牛信息科技有限公司运营的“华尔街见闻”网站及APP在未获得互联网新闻信息服务资质的情况下,违规登载新闻信息,且内容导向存在偏差,扰乱网络信息传播秩序。上海市网信办依据相关法律法规,约谈“华尔街见闻”负责人,责令其停止违法违规行为,开展全面深入整改。同时根据前期执法调查结果,上海市网信办依法对上海阿牛信息科技有限公司作出罚款的处罚决定。

“华尔街见闻”负责人表示接受处罚,并将按照网信部门要求,对暴露出的问题进行全面整改,确保合法合规开展运营服务。

上海市网信办负责人强调,无论是网站还是自媒体,未取得资质不得开展互联网新闻信息服务。上海市网信办将认真贯彻落实《网络安全法》等法律法规,继续加大属地互联网信息内容监管执法力度,依法查处网上违法违规行为。

2、2018年移动软件攻击数量近乎翻倍

卡巴斯基实验室最近发布报告称,2018年针对移动应用的恶意攻击数量激增,攻击事件达到 一亿一千六百五十万次,与2017年的6640万次相比,多了将近一倍。但是,被检测到的还有恶意软件的安装包则只有532万个左右。除了直接通过恶意软件对移动应用发起攻击,攻击者还会选择垃圾短信、DNS劫持等其他手段发起攻击。移动应用攻击者最喜欢的技术和目标分别是Dropper、通过移动设备窃取银行账户、恶意广告应用等。2018年全年的数据显示,银行木马和dropper木马的数量与类型都有所增长。新增的移动银行木马数量超过15万,新增的移动勒索木马数量超过6万。其中Trojan.AndroidOS.Triada.dl 和Trojan.AndroidOS.Dvmap.a这两种木马最为危险,但所幸传播不广。

3、微软安全报告显示去年网络钓鱼攻击有所增加

微软发布了一份新的安全报告,显示了去年网络钓鱼攻击数量增加。该报告着重于2018年1月至12月发生的攻击。报告还显示,同一时期发生与恶意软件相关的攻击有所减少。根据报告显示,2018年网络钓鱼攻击增加了250%,而恶意软件攻击减少了34%。微软注意到,攻击者在同一活动中使用多个攻击点,在发送电子邮件和托管网络钓鱼表单时在URL、域和服务器之间切换。微软还看到攻击者越来越多地使用被入侵的帐户,来进一步分发组织内外的恶意电子邮件。报告还显示,在2018年,爱尔兰、日本、美国和中国的加密货币开采率最低,加密货币开采率在2018年整体下降了36%。

4、沙特智能电话本应用Dalil被爆严重漏洞:500万以上用户信息被泄露

安全研究人员Ran Locar和Noam Rotem发现,仅限于沙特和其他阿拉伯地区用户使用的智能电话本应用Dalil出现严重漏洞。该应用所使用的MongoDB数据库可以在不输入密码的情况下在线访问,导致用户数据持续泄露一周时间。泄露的数据库包含大约585.7GB的信息,且在持续更新。信息主要包括手机号码、应用注册数据(完整姓名、电子邮件地址、Viber账号、性别等等)、设备信息(生产日期和型号、序列号、IMEI、MAC地址、SIM号码、系统版本等等)、电信运营商细节、GPS定位(不适用于所有用户)、个人通话详情和号码搜索等。数据库中包含的大多数数据属于沙特用户,此外还有少部分用户是埃及,阿联酋,欧洲甚至一些以色列/巴勒斯坦人。

5、Android TV曝出bug 或导致用户私人照片泄露

近日,Twitter 网友 prashanth 爆料称,他发现了 Android TV 的一个 bug,或导致用户私人照片被泄露。当他连接到一台 Vu Android TV、并选择“切换其他账号”时,竟然能够查看到所有用过这台电视的人的名字和头像,实在是太令人震惊了!由 prashanth 晒出的视频可知,你还可以通过 Android TV 的幻灯片功能,来查看其他用户的私人照片。

6、Facebook起诉四家中国公司 制造虚假账号并销售

据彭博社报道,Facebook公司及其Instagram部门起诉四家位于中国的公司和三名中国个人,称这些公司和个人推销虚假帐号、点赞和用户好友。

据旧金山联邦法院上周五接受的一份投诉,上述中国企业在过去两年中发布并制造虚假帐号,并在六个网站上批量销售。Facebook称,这些行为都是出于不良目的。

诉状称,从2018年1月到9月,Facebook和Instagram使用人工智能技术检测假帐号,暂停了21亿个不真实帐号,虚假帐号“通常在创建后几分钟内”即告失效。

被列为被告的中国公司的总部设在龙岩和深圳。根据指控,他们均为电子和硬件的附属制造商,也是软件和在线广告服务的提供商。

7、连续两年,政府工作报告强调要整治侵犯公民个人信息问题

3月5日,政府工作报告“2019年政府工作任务”中,明确表示要“加强国家安全能力建设。完善立体化社会治安防控体系,深入推进扫黑除恶专项斗争,依法惩治盗抢骗黄赌毒等违法犯罪活动,打击非法集资、传销等经济犯罪,整治侵犯公民个人信息等突出问题,坚决守护人民群众的平安生活”。

南都记者发现,关于整治侵犯公民个人问题已连续两年出现在政府工作报告中。2018年的政府工作报告指出,我国要整治电信网络诈骗、侵犯公民个人信息、网络传销等突出问题,维护国家安全和公共安全。关于保护个人信息,早在2015年的政府工作报告中就已出现。该年政府工作报告指出要推进社会信用体系建设,建立全国统一的社会信用代码制度和信用信息共享交换平台,依法保护企业和个人信息安全。

8、道琼斯出漏洞:服务器配置错误致高风险客户数据公开

据美国科技媒体CNET报道,一名研究人员发现,道琼斯一份列有数百万名受贿或腐败风险人士,以及知名犯罪分子和恐怖分子的名单,被公开在一个不安全的在线数据库中。这个名为Watchlist的专有数据库帮助金融机构标记高风险客户。乌克兰研究员鲍勃·迪亚琴科(Bob Diachenko)在博客中表示,这份名单中有240多万份记录,列出了与高风险个人有关的亲属、企业和亲密伙伴,以及来自联邦机构和其他司法团体的信息。这个名单被公开再次表明了更重大的问题:包含敏感信息的数据库在互联网上常常没有得到信息安全保护,并且非常容易找到。任何人都可能出现在这些数据库中。