点击蓝字丨关注我们
申请加入数据安全共同体计划,请在本公众号回复“申请表”获取下载链接
3.1.国内数据安全相关事件
3.1.1.中国银行因12项违法行为被罚款3664万元
中国人民银行12月1日公布的行政处罚决定书显示,中国银行股份有限公司因违反账户管理规定,违反信用信息采集、提供、查询及相关管理规定,违反个人金融信息保护规定等12项违法行为被处以警告,并没收违法所得37.340315万元,罚款3664.2万元,有18名相关责任人受到警告和罚款处罚。
http://www.pbc.gov.cn/zhengwugongkai/4081330/4081344/4081407/4081705/5156761/index.html
3.2.国外数据安全相关事件
3.2.1.WeMystic网站数据库配置错误1330万条用户记录泄露
据媒体12月2日报道,WeMystic网站一个开放且无密码的MongoDB数据库泄露了34 GB的数据。WeMystic提供占星学、精神健康和神秘学的相关知识,还提供天然宝石、脉轮、塔罗牌和手链等产品的在线商店。其中一个名为"users"的数据集合包含多达1330万条记录,涉及姓名、邮件地址、IP地址和用户系统数据等。
来源:
https://securityaffairs.com/155102/security/wemystic-website-data-leak.html
3.2.2.Barcode to Sheet应用配置错误泄露368MB的数据
媒体12月8日称,Android应用Barcode to Sheet配置错误泄露了用户信息和企业数据。这是一个条形码扫描工具,主要面向电子商务客户,在Google Play商店的下载量超过10万次。Cybernews团队发现应用的的Firebase数据库配置错误,包含超过368MB数据可被所有人访问。数据库泄露了有关产品、报告、电子邮件和用户ID的信息,以及Web客户端ID、Google API密钥、Google应用程序ID和崩溃报告密钥等。
来源:
https://securityaffairs.com/155444/mobile-2/android-barcode-scanner-app-exposes-user-passwords.html
3.2.3.加密货币交易平台GokuMarket上百万用户的信息泄露
媒体12月15日称,ByteX旗下的集中式加密货币交易所GokuMarket泄露了几乎所有用户的详细信息。Cybernews发现了一个未受保护的MongoDB实例,存储了GokuMarket超过一百万客户和管理用户的详细信息。这个暴露的数据库包括用户IP、国家、邮件地址、加密密码和用户加密钱包地址等信息,以及35个具有完全管理访问权限的帐户。
https://securityaffairs.com/155885/security/crypto-exchange-gokumarket-exposed.html
3.2.4.纽约某房地产公司云服务器配置错误泄露15亿条地产记录
20日媒体报道,网络安全研究员 Jeremiah Fowler 发现了一个与纽约在线平台 Real Estate Wealth Network 相关的未受保护的数据库,数据库保存了 15 亿条记录,其中包括数百万人的房地产所有权数据。该数据库大小为 1.16 TB(总共 1,523,776,691 条记录),具有组织有序的文件夹,其中包含有关业主、卖家、投资者和内部用户日志数据的信息。
https://www.hackread.com/data-leak-exposes-real-estate-records-elon-musk-trump/
3.2.5.Blink Mobility数据库配置错误泄露2万多用户信息
据媒体12月21日报道,总部位于洛杉矶的电动汽车共享提供商Blink Mobility的一个MongoDB数据库配置错误。随后,其元数据被搜索引擎编入索引,并于10月17日被Cybernews研究人员发现。调查显示,该数据库包含超过22000名用户和181000条记录,其中大部分与汽车租赁有关,例如电话号码、邮件地址、加密密码、注册日期、设备信息和设备令牌以及订阅和租赁车辆的详细信息。
https://securityaffairs.com/156241/security/blink-mobility-data-leak.html
4.1.国内移动互联网安全热点
工业和信息化部高度重视用户权益保护工作,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,持续开展APP侵害用户权益专项整治行动。近期,工信部组织第三方检测机构对群众关注的实用工具、本地生活、网络游戏等移动互联网应用程序(APP)及第三方软件开发工具包(SDK)进行检查。发现24款APP、SDK存在侵害用户权益行为予以通报。
https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2023/art_8e9cc391f75d49ed9a1d1c61cd13e195.html
2023年12月23日,团中央维护青少年权益部联合中国互联网络信息中心、中国青少年新媒体协会,在京召开“宣传贯彻《条例》 益起助力成长”主题研讨会。会上,团中央维护青少年权益部发布《第5次全国未成年人互联网使用情况调查报告》成果。会上大家一致认为,《条例》作为我国第一部专门性的未成年人网络保护综合立法,是贯彻落实习近平法治思想和习近平总书记关于青年工作的重要思想,进一步完善互联网领域治理体系,健全青少年健康成长法治保障的重要举措,在未成年人保护工作领域具有里程碑意义。
https://www.cnnic.cn/n4/2023/1225/c116-10908.html
近期,中国网络空间安全协会对“餐饮外卖类”公众大量使用的部分App收集个人信息情况进行了测试。本次测试选取了19家应用商店累计下载量达到1亿次的“餐饮外卖类”App,共计7款。测试发现7款App共上传5种类型个人信息,包括位置信息、设备唯一识别码、应用列表信息、用户截图操作信息、用户使用App产生交互信息等。
https://www.cybersac.cn/detail/1734013574080143361
一段时间以来,“AI换脸”技术被广泛应用于短视频的二次创作,给社会公众带来了新鲜体验。不少网友感叹,“AI换脸”生成的视频,惟妙惟肖,很有意思。但同时“AI换脸”技术也可能侵害公民的个人信息安全甚至公共信息安全。一旦发生这样的情况,需要花费大量的时间精力去维权,因此社会公众既要增强个人信息特别是人脸等生物特征等信息的保护意识,同时使用新技术也要尊重他人的知识产权和人格权,尽到审慎的注意义务,避免陷入不必要的诉讼纠纷。
https://paper.people.com.cn/rmrb/html/2023-12/04/nw.D110000renmrb_20231204_4-07.htm
4.1.5.招聘App短信验证码接口遭1300多万次黑客攻击,致300万条数据泄露
据央视新闻官微,一求职招聘类 App 短信验证码接口遭遇了 1300 多万次的攻击,警方调查发现 2 名嫌犯利用网站漏洞制作黑客软件并实施“撞库”攻击,获取大量个人信息和公司账号数据在境外出售。经过民警不懈努力,专案组成功在四川成都将嫌疑人焦某抓获,现场起获各类公司、人员数据 330 余万条。
来源:
https://baijiahao.baidu.com/s?id=1784861011688189137&wfr=spider&for=pc
4.2.国外移动互联网安全热点
12月8日消息,网络安全公司 IIIT Hyderabad 的安全专家近日出席Black Hat Europe大会,披露了存在于安卓系统自动填充功能中的漏洞,会意外泄露用户的密码信息。Keeper 首席技术官克雷格?卢里在与 TechCrunch 分享的讲话中表示,该公司已收到有关潜在漏洞的通知,但没有说明是否进行了任何修复。
https://baijiahao.baidu.com/s?id=1784679474252884008&wfr=spider&for=pc
4.2.2.研究人员提醒iPhone用户,开启锁定模式并不意味着安全
https://www.jamf.com/blog/fake-lockdown-mode/
变色龙安卓银行木马最近发布了最新的版本并重出江湖,它采用了一种非常“野”的方式来接管设备——禁用指纹和面部解锁功能,以窃取设备的PIN码。它通过使用HTML页面的技巧来获取访问辅助服务的权限,以及一种干扰生物识别操作的方法,来窃取PIN码并随意解锁设备。为防范变色龙威胁,用户应避免从非官方渠道下载APK,因为这是Zombinder服务的主要分发方式。
https://www.freebuf.com/news/387465.html
当你正开心地用手机看小说、新闻...忽然出现一个弹窗,提示“不是你的AirPods”,接下来你的iPhone不仅跳出AirPods弹窗,还有AirPods Pro的弹窗,甚至还有Apple TV...显然,这不是一个正常现象。一般我们称之为“弹窗攻击”。而实现这一攻击的核心,就是这个小工具——Flipper Zero。FlipperZero让苹果用户崩溃的原因很简单,它可以轻松写入代码从而控制各种协议,而苹果蓝牙协议就是其中之一。轻松让iPhone用户体验一波绝望和崩溃。而对于攻击者本人来说,它的目的可能仅仅是为了“测试设备或好玩”,并不会对用户造成数据泄露、财产损失等实质性伤害。据国外科技媒体报道,苹果日前发布的 iOS 17.2 更新,已经缓解了 Flipper Zero 相关的漏洞,可以让 iPhone 抵御相关的攻击。虽然弹窗依然会出现,但不会导致锁定等崩溃情况。对于普通用户来说,该更新有点不治标的问题,弹窗依旧会让用户感到极度不适,以及无法使用手机,因此想要彻底解决这一问题的办法只能是——关掉蓝牙。
往期回顾:
)
数据安全共同体计划
(data security community)
“数据安全共同体计划”为了促进《数据安全法》《个人信息保护法》落地实施,推动数据开发利用和数据安全领域的技术推广和产业创新,致力于促进数据安全产业链各环节的交流与合作,推动数据安全政策、技术、人才多要素良性互动,构建数据安全产业生态共同体。
咨询电话:
曹京 (010) 5884 6840
解伯延 18631643906
联系人邮箱:[email protected]
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...