一周安全头条(20190120-0126)
政策法规 移动应用安全1月25日,中央网信办、工业和信息化部、公安部、市场监管总局在北京举行“App违法违规收集使用个人信息专项治理”新闻发布会,正式对外发布《关于开展App违法违规收集使用个人信息专项治理的公告》。
政策法规 GDPR罚单 谷歌1月21日,法国数据监管部门开出首张GDPR罚单,对美国搜索巨头谷歌处以5000万欧元罚款,约合人民币3.66亿元。据悉,此次罚单的理由是谷歌未能在其数据同意政策中提供透明易懂的信息,存在通过其安卓移动操作软件施行“强迫同意”政策的倾向。
会议活动 中国网络安全产业联盟理事会及会员大会1月22日,2018年度中国网络安全产业联盟理事会及会员大会在京召开。理事会审议通过了联盟2018年工作总结和2019年工作重点、联盟2018年财务报告,听取了有关2019年联盟增选理事单位征集情况的汇报。会议期间,还举行了“2018年中国网络安全产业联盟优秀会员单位”颁奖仪式,对评选出的21家优秀会员单位进行了表彰。
行业动态 谷歌发布安卓企业推荐(AER)计划2019年1月16日,谷歌发布安卓企业推荐(AER)计划,选出9家满足安卓设备兼容性需求的EMM提供商:黑莓、谷歌Cloud、I3 Systems、微软、MobileIron、软银、SOTI和VMware均被列入。
行业动态 网络安全保险2018年10月,NotPetya勒索软件受害索赔1亿美元被拒付后,亿滋国际集团以网络保险违约为由,对苏黎世美国保险公司提起诉讼。事情追溯到2017年6月,亿滋国际集团遭NotPetya袭击,约1700台服务器和2.4万台笔记本电脑被永久锁定。亿滋国际遭受的财产损失、商业供应及销售中断、客户订单未兑现、盈利缩减及其他保险覆盖损失总计超过1亿美元。这种背景下,亿滋/苏黎世案就难免会牵扯出有关网络保险价值的问题。
调查报告 人才就业近期,企业战略集团(ESG)对全球IT从业者做问卷调查,询问他们这一年遇到的挑战、未来采购计划、战略等等。调查结果显示,2018-2019年,网络安全人才短缺位列榜首:53%的受访者报告称自家公司遭遇问题性网络安全人才短缺。IT架构/规划技术人才短缺位列第二,有38%的受访者指出该问题。
调查报告 恶意软件近期,Check Point开展了一项关于威胁数据的调研报告,结果显示,涉加密货币挖矿恶意软件的攻击连续第13个月位居榜首;其中,十大最常见恶意软件样本有半数是加密货币挖矿机。加密货币Coinhive挖矿恶意软件又一次作为最普遍的恶意软件样本冒头,影响全球12%的公司企业。
融资并购 身份安全本周四,身份管理解决方案公司Keyfactor宣布从Insight Venture Partner处获得融资7,700万美元。Keyfactor有两大产品:证书管理平台Keyfactor Command以及对物联网的端到端身份安全管理产品Keyfactor Control。Keyfactor表示自己在全球范围内为2000家公司提供了5亿份证书,并且年收入翻倍。
融资并购 业务安全近日,业务安全厂商北京芯盾时代科技有限公司宣布完成C轮融资,本轮融资额3亿元。本次融资将用于企业在“以人为核心的业务安全”理念基础上,继续加大研发投入、完善并扩充现有产品线,加强分支机构建设、加大销售和工程资源方面的投入,将产品和技术迅速有效的传递到客户端。
电子取证 刑事司法英国杀手Mark Fellows因为杀人被起诉,而检方的关键证据则来自于他的佳明智能手表。在去年的一起谋杀案件中,警察通过视频监控发现了Fellows的身影,从而对他家进行了搜查,并在他家中发现了一个智能手表。通过对智能手表的地理记录分析,他们搜集到了Fellows在案发之前在死者家附近数次踩点的关键信息。
黑客攻击 拼多多从1月20日凌晨到当天上午9点,互联网销售平台拼多多遭遇了“优惠券Bug”:网站每一位注册用户可以通过微信渠道、网页端、QQ渠道等,领取面值为100元的优惠券,该优惠券适用该网站的商品。并可实现充值百元话费只用用0.46元,且可以通过新账号的方式无限制领券。据悉,此次薅羊毛事件是由一个黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券引起的。目前,拼多多已向公安机关报案,但并未对网传的此次优惠券bug造成200多亿元损失一说法做官方确认。
黑客攻击 证券交易近日,新泽西检方起诉了26岁的Oleksandr Ieremenko和27岁的Artem Radchenko。两人被指控安全欺诈,电信欺诈和计算机欺诈和共谋,不法获益超过25万美元。据悉,两名男子在2016年就入侵了美国证券交易委员会(SEC)的EDGAR系统,盗取财务文件,再将这些不法获取的这些内幕信息提供给股票交易员,助力他们暗箱操作,从而迅速获利。
黑客攻击 物联网安全近日,Nest督促其安全摄像头用户使用更强的认证方式(比如多因子认证)来避免遭到黑客攻击。Nest这么做的原因是近日旧金山附近有一户人家,由于黑客获取了他们家摄像头的权限,对他们发布了核弹攻击的虚假消息。之后,Nest的母公司谷歌发表声明,声称Nest并未有数据泄露问题;黑客的攻击尽管是因为通过密码获取了摄像头权限,但这些密码信息是从其他网站上被泄露的。
漏洞补丁 微软第三方公司ACROS Security近日发布了三个微软尚未发布的Windows补丁。三个修复的漏洞如果被攻击者利用,分别能造成DoS攻击、数据泄露以及执行任意代码。其中,微软表示不会专门对第三个漏洞进行修复。
漏洞补丁 微软近日,国外一名安全研究员发布了通过CVE-2018-8581的SSRF漏洞获取域控权限的攻击方式并且附带了POC,目前微软官方还没有推送出最新的补丁来防止该攻击方式,并且微软针对CVE-2018-8581的补丁也不能防御该攻击方式来获取域控权限,本次受影响的版本包括Exchange 2010-2016版本。请用户及时采取应对措施,避免可能造成的损失。
漏洞补丁 思科思科周三通知他们的客户尽快进行他们最近发布的安全更新。该更新修复了数个安全漏洞,涉及产品包括SD-WAN、Webex、Firepower防火墙、IoT Field Network Director、Identity Service Engine以及小型商用路由器。一旦这些漏洞被攻击者利用,攻击者可以做到提权、DoS攻击、数据窃取、执行任意代码等行为。
广告位 |