9月第2周易盾业务风控关注 | 文旅部明令禁止大数据“杀熟”等行为

易盾业务风控周报每周报道值得关注的安全技术和事件,包括但不限于内容安全、移动安全、业务安全和网络安全,帮助企业提高警惕,规避这些似小实大、影响业务健康发展的安全风险。

1.政策观察

【王毅:中国愿发起《全球数据安全倡议》】国务委员兼外长王毅在全球数字治理研讨会上表示,把数据安全问题政治化,违背国际关系基本准则,严重阻碍全球合作与发展。中国愿发起《全球数据安全倡议》。倡议内容提及信息技术企业不得利用用户对产品依赖,谋取不正当利益;反对利用信息技术破坏他国关键基础设施或窃取重要数据,等等。

【文旅部明令禁止大数据“杀熟”等行为】近日,国家文旅部发布《在线旅游经营服务管理暂行规定》。规定要求,在线旅游经营者不得滥用大数据分析等技术手段,基于旅游者消费记录、旅游偏好等设置不公平的交易条件,侵犯旅游者合法权益。据悉,该《规定》将于2020年10月1日起正式施行。

【波兰起草新网络安全法,或对华为不利】本周二,波兰公布网络安全法草案,禁止通信运营商采购高风险供应商的产品。有关方面可以在14天内对草案提出意见。有评论认为这是准备将华为排除在波兰5G网络的建设之外。

2.国内安全盘点

【微博整治自媒体,多个账号禁言并改名】10日,按照国家和网信办关于全面部署加强“自媒体”规范管理工作的通知要求,微博开展整治平台和自媒体账号突出问题规范网络传播秩序专项行动,公布第八批违规账号共31个,禁言60天并修改昵称11个、禁言30天并修改昵称8个。

【晋江文学城一栏目暂停更新14天】近日,知名网络文学网站“晋江文学城”目前正在进行整改。公告显示,根据网信部门要求,自9月7日至21日暂停纯爱板块文章和评论的更新。晋江也将全面重新审核站内多个栏目内容。

【助眠内容低俗挑逗,荔枝APP被约谈】荔枝APP(Nasdaq:LIZI.US)被广东网信办约谈,限期整改。“网信广东”消息,由于荔枝APP助眠内容存在挑逗、低俗色情等问题,责令其关停直播板块“助眠”频道,下架录播板块中助眠类违规节目,全面排查清理违规音视频。

【闲鱼增加三倍审核,整治“擦边球”商品】浙江网信办发文称,将督导闲鱼平台开展“百日专项行动”。闲鱼方面表示,在整治期间将关停“鱼塘”业务,新增约300%的审核力量,针对低俗色情、涉黑产等方面,大力查处有害信息。值得关注的是,闲鱼事业部总经理陈镭于9日离职,在职刚满一年,曾向蒋凡汇报,离职原因不明。

【十四款游戏应用涉嫌超范围采集个人信息】国家计算机病毒应急处理中心近期在“净网2020”专项行动中通过互联网监测发现,多款游戏类移动应用存在隐私不合规行为,违反《网络安全法》相关规定,涉嫌超范围采集个人隐私信息。包括《和平精英》、《神庙逃亡2》、《植物大战僵尸2》、《我的汤姆猫》在内的14款游戏被通知。

【工信部赵志国:车联网安全有待加强】工信部网管局局长赵志国在2020中国汽车产业发展国际论坛上表示,今年检测的车联网系统相关恶意攻击达到280余万次,平台漏洞、通信劫持、隐私泄漏等问题严重。调查显示,传统车企的网络安全意识不强,安全投入意识不足,85%的关键部件存在着安全的漏洞。

3.国际风险速递

【欧盟施压脸书,停止传输欧洲用户数据】欧盟隐私监管机构向脸书(Facebook)发出初步命令,禁止将欧盟用户的数据传输至美国,进一步执行7月欧盟最高法院的数据传输裁定,打响数据传输隐私第一枪。为此脸书很可能不得不重新设计服务,否则将面临至多年收入4%的罚款,即28亿美元。

【黑客攻击阿根廷移民局,并勒索400万美元】阿根廷官方移民局(Dirección Nacional de Migraciones)遭遇Netwalker勒索软件攻击。该攻击导致边境进入和离开该国的边境中断了四个小时,并从本地媒体的报道中窃取了该机构的敏感数据。得逞的黑客们要求官方递交赎金,否则不恢复其服务器。赎金要价从最初200万美元,提高到一周后的400万美元。

【员工邮箱被黑,澳大利亚政府机构数据遭窃】澳大利亚政府机构遭遇网络攻击,47个员工电子邮件帐户遭到入侵。最终,黑客窃取了的738 GB数据,其中包括380万份文档,大约18.6万个客户的个人详细信息。

【以色列芯片工厂遭网络攻击,生产停摆】位于以色列的芯片代工商塔尔半导体(Tower Semiconductor)遭到网络攻击,从而暂停了部分服务器和生产设施的运行。近年来,制造企业频频成为网络攻击的受害者,芯片代工商台积电曾在2018年因网络攻击致多个工厂的数条生产线停摆。

【韩国半导体企业机密信息被窃】据韩媒消息,一个勒索软件组织攻击了韩国著名半导体厂商SK海力士和LG电子,并窃取了包括贸易信息在内的机密信息,包括SK海力士与苹果、IBM等客户公司的存储芯片价格协商邮件。该事件可能导致进一步损害。

【微软:美国大选被多伙黑客盯上】微软报告指,俄罗斯,伊朗等国家的黑客组织正在将攻击参与今年美国总统大选的组织和个人。微软客户安全副总裁汤姆·伯特(Tom Burt)表示,这些攻击者不仅针对候选人和竞选人员,而且针对他们背后的咨询团队。

4.产业趋势分析

【国家网信办发布数字中国建设报告】近日,国家互联网信息办公室印发《数字中国建设发展进程报告(2019年)》。《报告》梳理总结了各地区、各部门2019年信息化发展情况,分析了数字中国建设面临的新形势、新挑战和新机遇,提出了努力方向和发展重点。

【针对在线游戏的黑客攻击暴增】网络安全商Arkose报告指出,今年四、五、六三个月中的大约20亿次在线游戏登录尝试中,有31%是欺诈性的,而去年同期为11%。黑客最常见的攻击手法是账户复用,既使用被盗密码登录账户。对于黑客来说,数字货币和游戏道具物品(从武器到“皮肤”)都非常有价值。

【DDoS攻击暴增三倍,在线教育成黑客标的】卡巴斯基的最新研究显示,在全球范围内,2020上半年针对在线教育资源的分布式拒绝服务(DDoS)攻击的数量是去年同期的三倍多。在2020年1月至2020年6月期间,针对在线教育资源的DDoS攻击数量较上一年同期增加了350%。

【东南亚勒索软件攻击数量下降】数据显示,今年针对东南亚中小型企业的勒索软件攻击数量急剧下降64%至2020年的50万次。由于许多国家的政治局势动荡和广泛的安全漏洞,非洲和中东是受勒索软件影响最严重的地区。中国、巴西和俄罗斯则在卡巴斯基的勒索软件攻击全球排名中名列前茅。