一周安全头条(20201130-1206)
星期一, 十二月 7, 2020
为落实《中华人民共和国网络安全法》关于个人信息收集合法、正当、必要的原则,规范App个人信息收集行为,保障公民个人信息安全,国家互联网信息办公室研究起草了《常见类型移动互联网应用程序(App)必要个人信息范围(征求意见稿)》,现向社会公开征求意见。
https://mp.weixin.qq.com/s/snlH4HPOTG4vd_piEV0p_A
近日,《天津市社会信用条例》表决通过,自2021年1月1日起施行。《条例》第十六条规定,市场信用信息提供单位采集自然人信息的,应当经本人同意并约定用途,法律、行政法规另有规定的除外。
https://mp.weixin.qq.com/s/CENqye5oP4u-5X5o6cbmOg
11月27日,《APP用户权益保护测评规范》10项标准、《APP收集使用个人信息最小必要评估规范》8项系列标准,在全国APP个人信息保护监管会上以电信终端产业协会(TAF)团标形式发布,为APP侵害用户权益专项整治工作提供依据和支撑,为企业合规经营明确规范要求。
https://mp.weixin.qq.com/s/_92s4x9sbUQjMOmIsdBZsQ
12月4日,2020年中国工业信息安全大会暨全国工控安全深度行(京津冀站)在北京国际会议中心举行。大会由国家工业信息安全发展研究中心、工业信息安全产业发展联盟主办,以“贯彻总体国家安全观,把牢工控安全基准线”为主题,聚焦工业信息安全发展现状、重点任务和前瞻热点展开讨论,打造工业信息安全行业交流平台。 https://mp.weixin.qq.com/s/jHsIkIiioXkMsRIHz3js6w
近日,北京时代亿信科技股份有限公司完成亿元新一轮融资,本轮投资由中国通信服务下属通服资本领投,合创资本跟投。时代亿信成立于2003年,致力于为政企客户提供信息安全整体解决方案,产品和服务涵盖密级标志、安全邮件、身份鉴别与访问控制、文档安全与数据防泄漏、数据安全等方面。
https://mp.weixin.qq.com/s/tkvrR3EFxa1HPb6HWqeYgg
研究人员表示,自11月披露一个重大安全漏洞以来,GO SMS PRO 的Android应用已经在Google Play上发布了两个新版本,但都没有修复原来的漏洞,这使得1亿用户面临着隐私被侵犯的风险。根据Trustwave SpiderLabs的说法,该公司最初发现了一个安全漏洞,可以利用该漏洞使流行的应用程序Messenger发送的私人语音邮件,使视频邮件和照片发生泄漏。
https://mp.weixin.qq.com/s/EUpVCNfpE3atWhy75ZmF0g
近日,研究人员披露了一个令人震惊的iPhone漏洞的详细信息。苹果今年5月份“悄悄”修补了这个漏洞,但是直到现在,该漏洞的细节鲜为人知。该漏洞的恐怖程度堪称“灭霸级”,攻击者可以完全控制附近的所有iPhone。只要受害者的iPhone与攻击者处于同一WiFi网络,攻击者就可隔空实施攻击,无需与受害者设备交互,也无需受害者点击操作。
https://mp.weixin.qq.com/s/8FmfZ0Z5x-C7wMxdrUMbvA
Conti勒索软件团伙袭击了工业自动化和工业物联网(IIoT)芯片制造商Advantech研华科技的系统,现在要求提供1400万美元的赎金以解密受影响的系统并停止泄漏被盗的公司数据。根据记录,攻击研华网络的Conti运营商已设置750 BTC(1260万美元)赎金,以进行完全数据解密并从服务器中删除被盗数据。
https://mp.weixin.qq.com/s/lodP-s96alViOe2HH5BmKw
ESET安全研究人员指出,疑似有俄方背景的黑客组织Turla,正在利用前所未有的方式,存储恶意软件窃取来的相关数据。此前有研究称Turla涉嫌在欧盟外交机构部署了后门程序,并窃取了敏感文件。
https://mp.weixin.qq.com/s/OIop_lDk3LSOICcZGKHdGQ
巴西当地媒体Estadao再次放出重料,包括在世和已故的在内,有超过2.43亿巴西人的个人信息已经在网络上曝光。这些数据来自于巴西卫生部官方网站的源代码,开发者在其中发现了重要政府数据库。该数据库包含巴西人提供给政府的所有个人信息,从全名到家庭住址,从电话号码到医疗详细信息。现在已经从站点的源代码中删除了凭据,但是尚不清楚是否有人访问过该系统并窃取了巴西公民的数据。
https://mp.weixin.qq.com/s/7nJCld4zJtPa5UvUubkmrg
近日有消息报道有黑客泄漏了Peatix上注册的超过420万用户的数据,并且公开在Instagram广告叫卖。已经泄漏的用户数据可通过Instagram stories,Telegram频道以及几个不同的黑客论坛获得。通过对Peatix泄漏数据样本的分析,泄漏的信息包括用户全名、用户名、电子邮件以及密码。
https://mp.weixin.qq.com/s/3SCt-SSmBSGYdYin7RB6sw
一家开曼群岛离岸银行的备份数据(涵盖5亿美元的投资组合)近日公开暴露,泄露信息包括个人银行业务信息、护照数据甚至在线银行PIN码。由于使用Microsoft Azure Blob云服务时发生配置错误,这家开曼群岛投资公司(匿名)已删除多年的备份数据不但没有消失,反而直到事件曝光前都可以在线轻松获得。
https://mp.weixin.qq.com/s/HuI0toBvSxtd8LQnZQrQnw