12月第1周易盾业务风控关注 | 38类App戴紧箍,收集信息更规范

易盾业务风控周报每周报道值得关注的安全技术和事件,包括但不限于内容安全、移动安全、业务安全和网络安全,帮助企业提高警惕,规避这些似小实大、影响业务健康发展的安全风险。

1.政策监管观察

【38类App戴紧箍,收集信息更规范】日前,国家互联网信息办公室研究起草的《常见类型移动互联网应用程序(App)必要个人信息范围(征求意见稿)》,正式向社会公开征求意见。该文件规定了地图导航、网络约车、即时通信、网络社区、网上购物等38类常见类型App必要个人信息范围。

【中央网信办、教育部建立未成年人网课平台长效治理机制】12月3日,中央网信办、教育部联合印发《关于进一步加强涉未成年人网课平台规范管理的通知》,旨在进一步巩固和深化整治成果,推动未成年人网课平台长远规范发展。《通知》从加强备案管理、强化日常监管、提升人员素质和注重协同治理四个方面对网课平台做出要求。

【天津立法禁止采集人脸识别信息】《天津市社会信用条例》12月1日表决通过,自2021年1月1日起施行。《条例》第十六条规定,市场信用信息提供单位采集自然人信息的,应当经本人同意并约定用途,法律、行政法规另有规定的除外。

2.国内安全盘点

【工信部通报60家侵害用户权益行为APP】工信部近期组织第三方检测机构对手机应用软件进行检查,督促存在问题的企业进行整改。截至目前,尚有60款APP未完成整改,上述APP应在12月10日前完成整改落实工作。

【工业和信息化部组织召开全国App个人信息保护监管会】11月27日,在全国APP个人信息保护监管会上,工信部副部长刘烈宏表示,工信部开展的APP侵害用户权益专项整治行动目前已取得了阶段性明显成效,但一些企业在整改过程中存在推诿、阻挠、故意拖延的现象,有些企业多个产品线反复出现问题,反映出公司内部没有形成用户个人信息保护的红线意识,没有建立完善的管理机制。

【“马保国事件”体现互联网内容平台审核重要性】11月27日,人民日报发文指出马保国的一些言行,实际是哗众取宠招摇撞骗。无论平台还是资本,蹭热点找卖点的前提都是遵循公序良俗,否则就会沦为浅薄而拙劣的商业游戏。回顾这段时间,相关视频已在平台持续发酵,UP主们争相模仿,用戏谑化、泛娱乐化的表达解构事件。这也引发人们对互联网平台责任的思考。

【虐杀动物视频买卖形成地下产业链,暴力内容治理任重道远】新华社主办《半月谈》记者调查发现,在一些网络平台,制作、传播、兜售虐杀动物视频已形成地下产业链。仅今年4月至10月间,志愿者就在互联网上搜集到100多起虐杀动物事件,地点涉及21个省份,虐杀行为包括活埋、剥皮、火烧、水烫、挖眼等。此类视频有单部价也有打包价,价格则根据虐杀手法的残忍程度和拍摄者资历来定。

3.全球动态速递

【CISA和FBI警告:APT团体已瞄准美国智库】网络安全和基础设施安全局(CISA)和联邦调查局(FBI)警告说,威胁行动者对美国智库进行了攻击。攻击者还使用第三方消息服务将目标受害者的公司帐户和个人帐户作为目标。

【欧盟外交部计算机被植入后门】网络安全研究人员揭开了一起文件窃取安全事件。窃取者针对2015年至2020年初的特定目标进行了部署。新的恶意软件被 ESET 研究人员命名为 “Crutch”(拐杖),并且被归因于俄罗斯APT组织Turla所为。

【黑客因泄露任天堂机密被判入狱三年】被告人Ryan Hernandez于2016年利用钓鱼手段非法入侵任天堂机密服务器并窃取了大量信息,随后还分别与2018年2019年继续对任天堂保密文件进行挖掘。近日,该案嫌疑人被判处三年监禁,并且同意向任天堂支付近26万美元的赔偿款,成为 “最强法务部”的又一次胜利。

【远程办公暗藏风险,日本逾600个组织遭网络攻击】据日本共同社报道,由于远程办公及远程操作的信息设备漏洞被恶意使用,至少607家日本国内企业及行政机构等遭到网络攻击,多家机构蒙受损失。而有漏洞的设备为美国Fortinet(飞塔)公司制造的VPN。

4.产业趋势分析

【工信部副部长:中国网络安全产值5年翻一番】工信部副部长刘烈宏介绍,“十三五”期间,中国网络安全产业规模高速增长,2020年将超过1700亿元,较2015年翻一番。网络安全从业企业超过3000家,上市企业20余家,市值超过5000亿元。

【网络黑产开始由“单兵作战”向平台化发展】近日,2020互联网法律大会暨2020数字化治理高峰论坛发布相关报告指出,社交群组已成了“商业水军”的隐蔽聚集地,他们依托社交群组招募人员、组织培训、分发任务,严重破坏了新经济环境。这些人从事的黑灰产行为具体包括网络传销诈骗、污染数据、恶意评价、恶意投诉、“黄牛党”、“羊毛党”等等,覆盖各类线上平台和线下交易,可以说无孔不入。

【今年11月包裹投递钓鱼诈骗案上升400%】Check Point的研究人员发现,利用DHL、亚马逊和联邦快递的品牌,试图让人们在网购高峰期分出信息的钓鱼诈骗活动增加了400%。两周前,Check Point的研究人员记录了针对网上购物者的 "特别优惠"的恶意网络钓鱼活动增加了80%,最新的峰值出现在使用 "跟踪您的货物"和 "交付问题"等主题词。

【上半年捕获计算机恶意境外程序多来自美国】国家互联网应急中心对我国网络安全态势监测数据显示,2020年上半年捕获计算机恶意程序样本约1815万个,日均传播次数483万余次。其中境外恶意程序主要来自美国,占比达57.4%。