一周安全头条(20190915-09211)
星期六, 九月 21, 2019
行业动态 政策法规 儿童个人信息保护
近日,国家互联网信息办公室发布了《儿童个人信息保护规定》,并将于10约1日起实施。这是中国第一部专门针对儿童保护的立法。规定明确了网络运营者收集、存储、使用、转移、披露儿童个人信息的 “五大原则”,即正当必要、知情同意、目的明确、安全保障、依法利用。同时规定还要求网络运营者应当在内部设立专门针对儿童的个人信息保护规则,对外应当指定专门的用户协议。
行业动态 隐私合规 ISO 27701
2019 年 8 月 6 日,国际标准化组织 (ISO) 和国际电工委员会 (IEC) 发布了 ISO/IEC 27701 (ISO 27701)——ISO/IEC 27001 和 ISO/IEC 27002 的隐私扩展,旨在帮助组织机构保护和控制所处理的个人信息。与现有 ISO 标准 ISO 27701 补充类似,该新 ISO 标准可能成为组织机构保护个人可识别信息 (PII) 的事实标准,且可能用于证明包括《通用数据保护条例》(EU) 2016/679 (GDPR) 在内的全球隐私合规。对安全合规而言,该新标准相当于锦上添花。著名的 ISO 27001 筑基,新 ISO 27701 则建立在此基础上,提供全面的信息安全控制和个人信息保护。
行业动态 Gartner 物联网技术成熟度曲线
近日,Gartner公司发布《2019物联网技术成熟度曲线》。物联网是第四大引起变革的重要技术,15%的企业正在增加物联网业务的预算。许多企业正在应用物联网技术进行运营优化、产品创新,但是,随着物联网计划和数字化转型战略的实施,业务调整仍然是这些企业面临的主要挑战。报告指出,“物联网技术”已进入了幻想破灭期;“物联网业务解决方案”即将接近过热期顶峰;“数字孪生”处于过热期顶峰;“物联网平台”还存在众多技术问题(如数据的提取、安全和集成挑战)和业务问题(如持续的供应商炒作、人力限制和进度挑战)。未来二至五年内的关键物联网技术包括:数字业务技术平台、边缘人工智能、事件流处理、物联网边缘架构、物联网集成、信息技术/运营技术(IT/OT)融合。物联网的主要用例包括:自动驾驶车辆、建筑信息模型、资产室内定位、支持物联网的产品即服务(PaaS)。
行业动态 WiFi联盟 WiFi 6认证
近日,WiFi联盟宣布启动WiFi 6认证计划。据悉,与上一代Wi-Fi标准相比,WiFi 6不仅有着更快速的连接速度、更高效的联机效率与更安全的传输方法,更重要的是数据传输速度整整提高四成!相关人士表示,WiFi 6的理论速度可以达到9.6Gb/s——这个速度和5G的10Gb/s速度差不多快。相对于5G主要针对室外场景的高速上网,WiFi 6是家庭、办公等场景内更为经济的高速上网新模式。据业内估计,今年WiFi 6标准的芯片全球出货量约为3亿套,到2022年将超过20亿套,会大幅超越5G基带芯片出货的规模!
行业动态 黑客组织 制裁 朝鲜
美国财政部上周五宣布对朝鲜的三个国家黑客组织进行制裁。三个组织分别为Lazarus Group,以及其两个附属组织Bluenoroff与Andariel。美方表示这三个黑客组织对美国的关键基础设施进行了多次毁灭性的网络攻击,并且从全球多个金融机构窃取上亿美元用于资助朝鲜政府进行违规武器以及导弹项目。在这项制裁中,美国财政部同时表示会锁定与这三个黑客组织关系密切的金融机构,并冻结这三个黑客组织的相关资产。
行业动态 美国 伊朗 网络战
美国政府本周表示,将可能对伊朗进行一次网络攻击,作为上周伊朗使用无人机对沙特阿拉伯的两个主要石油设施攻击的回应。事实上,这不是美国第一次对伊朗进行网络攻击,在6月,美国就对伊朗的导弹控制系统以及间谍网络进行了一次攻击。
融资并购 IPO 身份安全
美国身份管理方案供应商Ping Identity周四宣布参加IPO,以每股15美元的价格发行1,250万股,即期望通过上市获得融资1.87亿美元。Ping Identity于2016年被Vista Equity以6亿美元的价格收购,其产品与服务致力于为企业提供安全的云、移动端、SaaS、以及API接口的入口。
融资并购 反欺诈 机器人流量识别
在线反欺诈公司Shape Security近日获得F轮融资5,100万美元,总融资额达1.83亿美元,估值到达10亿美元。Shape运用AI,对真人行为和自动化流量进行分辨,从而检测出欺诈行为。据称,Shape每天检测并阻断近20亿欺诈或者违规操作行为。
融资并购 动态沙盒 威胁检测
德国安全公司VMRay近日获得B轮融资1,000万美元,总融资额达1,400万美元。VMRay利用动态沙盒技术检测恶意软件。同时,VMRay表示,自己的动态沙盒可以不被恶意软件发现(从而恶意软件无法伪装进行检测规避)。
融资并购 数据保护 容灾备份
Acronis近期获得高盛领投的1.47亿美元,其成为一家估值超10亿美元的独角兽公司。Acronis是一家提供混合云备份、灾后恢复、文件同步和共享的数据保护解决方案提供商,解决方案提供与500多万消费者和50万家企业使用,其中不乏财富1000强榜单之中的企业。2019年,公司业务整体增长30%,云业务增长超过100%。
融资并购 高通 5G
近日,高通在其官网上宣布,将收购 RF360 控股新加坡有限公司的剩余权益;而这家公司为高通与日本 TDK 公司的合资公司,公司业务可支持高通提供完整的 4G/5G 射频前端解决方案。高通在声明中说道,收购之后,该公司的技术将完全整合到下一代 5G 解决方案中;本次收购也将成为高通在 5G 业务方面的重要里程碑——高通将能够为客户提供从调制解调器到天线的完整端到端的 5G 解决方案。截至今年 8 月,TDK 在该合资企业中的剩余权益价值 11.5 亿美元。算上初始投资、根据合资企业销售情况支付给 TDK 的款项,以及开发义务费用,高通需要向 TDK 支付的总采购价格约为 31 亿美元。
调查报告 BEC攻击 网络犯罪
美国联邦调查局 (FBI) 互联网犯罪投诉中心 (IC3) 估计,在过去三年中,商业电子邮件诈骗(BEC诈骗)已经为全球组织造成了高达 260 亿美元的经济损失。据悉,这 260 亿美元的损失包括实际的经济损失以及尝试性 BEC 欺诈行为所造成的损失,统计数据,在 2016 年 6 月至 2019 年 7 月期间,IC3 收到了 166,349 起国内(即美国)和国际事件的受害者投诉。据 FBI 介绍称,BEC 诈骗的目标包括小型、中型和大型企业组织。
漏洞补丁 SIM卡 远程监控
近日,国外某安全公司研究人员告警称:SIM卡被发现存在严重漏洞,远程攻击者可利用漏洞在用户不知情的情况下发送短信,攻击目标手机,监控跟踪受害者。据悉,全球或有超10 亿手机用户会受危害。目前,事件还在持续发酵,且在这份披露的报告中已显示:与某政府合作的一家特定私营公司正在积极利用SimJacker漏洞,并且至少在过去两年中对多个国家和地区(主要在中东,北非,亚洲和东欧)的移动电话用户进行有针对性的监控。可以说,这家未透露姓名的私人公司一直在利用这一漏洞帮助政府监视一些特定人群,追踪一直持续到今天。
漏洞补丁 iOS 13 锁屏绕过
近日,安全研究员何塞·罗德里格兹在iOS 13测试版中发现了一个漏洞,允许黑客在锁屏状态下查看iPhone上的联系人列表。据了解,罗德里格兹还在Youtube上发布了视频,详细演示了该漏洞的利用方法。视频中,罗德里格兹使用了以下步骤:首先,使用自定义消息回复来电,启用VoiceOver功能,禁用VoiceOver功能,将新联系人添加到自定义消息,继而单击联系人图像并打开选项菜单,然后选择“添加到现有联系人”,最后当显示联系人列表时,点击其他联系人以查看其信息。罗德里格兹称,此前他联系了苹果公司并报告了该漏洞。但截至该漏洞被公开时,苹果依然没有修复该漏洞,并表示之前也曾在iOS 12.0.1和12.1中发现过类似漏洞。
漏洞补丁 数据库管理 phpMyAdmin
近日,研究人员在MySQL和MariaDB数据库的管理型应用phpMyAdmin中发现了一个未修复的0day漏洞,并发布了PoC。phpMyAdmin被广泛应用于管理由WordPress、Joomla以及其他内容平台创建的网站的数据库。该漏洞可以构成跨站请求伪造攻击,从而使得攻击者可以删除被攻击服务器的phpMyAdmin仪表板设置部分的服务器目录——不过攻击者无法确实地删除任何数据库或者表单。研究人员在6月就发现了该漏洞,但是由于管理人员90天都没有回复,研究人员决定公开漏洞,同时建议相关管理员在正式补丁发布之前,不要点击任何可疑链接。
漏洞管理 GitHub CVE授权
GitHub正式成为CVE编号授权机构的一员,能够分配、管理和发布CVE编号。另一方面,GitHub收购了代码分析引擎Semmle,从而更好地为普通用户以及企业用户服务。GitHub表示,通过结合Semmle的分析能力和CVE编号管理,开源项目中的漏洞会更容易被发现并被汇报。
网络犯罪 菲律宾 网络欺诈
上周五,菲律宾警察抓捕了277名中国人后,本周一菲律宾警察再次抓捕了327名非法入境的中国人。据称,这604名中国人在菲律宾从事网络欺诈活动,造成受害人损失超过1,400万美元。
黑客攻击 台湾民众党官网 简讯认证
据台湾《联合报》报道,台北市长柯文哲日前成立台湾民众党,强调招收党员采云端作业,15日官网才刚刚上线,16日凌晨便遭到黑客入侵,通过简讯认证机制,瘫痪注册系统,逼得民众党只好先暂时关闭网页进行维护。该党发言人陈思宇表示,有心人士通过简讯验证机制,瘫痪注册系统,因此先暂时关闭网站,并调整简讯认证机制,等恢复正常,会再度开放使用。
网络犯罪 丰田纺织 欺诈
近日,丰田纺织公司在其全球网站上发布了一份声明,称其欧洲子公司受骗,于 8 月 14 日向罪犯控制下的银行账户汇入了约 40 亿日元(3,700 多万美元)。该公司称,事发后不久即意识到遭遇了欺诈,随即组织团队试图挽回受损资金。
数据泄露 Dealer Leads 消费者信息
美国汽车市场公司Dealer Leads的一个未受保护的数据库近日被发现暴露在公网之上,造成413GB的资料,共1.98亿条记录被泄露。该公司致力于为汽车厂商提供精确的地理与消费者行为画像。因此,这些被泄露的数据中包括了潜在的购车者私人信息、车辆信息、贷款信息、网站登录IP以及日志等等信息,并且都是以明文的方式储存。尽管公司被告知后最快速度限制了访问权限,但是由于不确定暴露时间长度,影响面难以估计。
数据泄露 厄瓜多尔 个人隐私
近日,研究员在公网上发现了一个未受保护的数据库,其中包含了18GB的数据,大部分数据为厄瓜多尔人的隐私数据。被泄露的数据总共有2,080万条,而厄瓜多尔人口只有1,660万人,这个差异可能是数据库包括了之前的数据造成。这些数据包括了厄瓜多尔人的个人信息、雇佣信息、财务信息、购车记录等多类隐私数据。其中,有670万条数据是18岁以下的未成年人数据。在消息被曝出后,厄瓜多尔政府迅速展开调查,并逮捕了一名嫌疑人。嫌疑人为一家名为Novaestrat的数据分析公司高管。在对于事件调查的过程中,厄瓜多尔政府并未发现任何系统被攻击的迹象,但是认为该公司很有可能在2015年到2017年接到政府合同的时候接入了政府的服务器。
安全研究 PACS系统 缺乏保护
在最近的一项研究中,安全研究员发现,许多图像储存与传输系统(PACS)服务器缺乏应用的安全保护,造成大量的医疗数据被外泄。研究员在全球范围共发现了590个不安全的PACS系统服务器,包含了7.37亿相关医疗数据图像,其中4亿图像可下载。研究人员表示,绝大部分服务器都毫无任何保护措施,既没有密码保护,也没有加密——事实上,任何一个普通网民都可以轻松地接入这些数据库而不需要任何编程或者使用工具的能力。