关注！数据安全新动态（2024年3月·下篇）

点击蓝字丨关注我们

申请加入数据安全共同体计划，请在本公众号回复“申请表”获取下载链接

前文回顾

国内外数据安全相关事件

3.1.国内数据安全相关事件

3.1.1.台湾省中华电信发生数据泄露事件

据外媒报道，台湾省当地最大的电信服务提供商中华电信股份有限公司发生数据泄露事件，目前被黑客窃取的1.7TB数据已出现在暗网黑客论坛中。报道称，泄露数据可能包含台政府和台军方合同。

来源：

https://www.france24.com/en/live-news/20240301-hackers-stole-sensitive-data-from-taiwan-telecom-giant-ministry

3.2.国外数据安全相关事件

3.2.1.流媒体公司Roku超过15000个账户信息泄露

3月13日，流媒体巨头Roku披露了一起影响超过15,000名客户的数据泄露事件。黑客利用“撞库”技术，使用其他数据泄露中泄露的用户名和密码来尝试登录不同服务（如Roku网站）上的账户，来获得未经授权的访问并进行欺诈性购买。

来源：

https://www.bitdefender.com/blog/hotforsecurity/hackers-target-roku-15-000-accounts-compromised-in-data-breach/

3.2.2.法国最大就业机构Travail重大安全漏洞泄露超过4300万个人信息

3月13日，据报道，法国最大的就业机构France Travail因数据安全漏洞导致大量个人信息被暴露，被泄露信息的时间跨度长达20年，包括注册用户的个人详细信息：姓名、社会安全号码、出生日期、电子邮件地址、邮政地址、电话号码和用户标识符。这一事件影响了该国约三分之二的人口。

来源：

https://meterpreter.org/france-travail-breach-compromises-data-of-millions/

3.2.3.数百个网站错误配置Google Firebase，泄露超过1.25亿条用户记录

3月19日，三名网络安全研究人员发现，谷歌用于托管数据库、云计算和应用程序开发的平台Firebase的错误配置实例在公共互联网上暴露了近1900万个明文密码。他们扫描了500多万个域名，发现有916个网站没有启用安全规则或安全规则设置错误。另外，他们还发现了超过1.25亿条敏感用户记录，包括电子邮件、姓名、密码、电话号码以及包含银行详细信息的账单。

来源：

https://www.securityweek.com/misconfigured-firebase-instances-expose-125-million-user-records/

3.2.4.印度一金融公司泄露用户信息，数据量超过3TB

近日Cybernews研究团队发现，印度一家非银行金融公司IKF Finance一个配置错误的MongoDB数据库实例导致400多万份IKF Finance的文件暴露在公众面前，泄漏了超过3TB的敏感客户和员工数据，可能暴露了其整个用户群体。

来源：

https://cybernews.com/security/ikf-finance-passport-data-leak

移动互联网安全热点

4.1.国内移动互联网安全热点

4.1.1.国家计算机病毒应急处理中心监测发现14款违规移动应用

国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规以及相关国家标准的要求，近期通过互联网监测发现14款移动App存在隐私不合规行为。

来源：

https://www.cverc.org.cn/zxdt/report20240321.htm

4.1.2.工信部关于侵害用户权益行为的APP（SDK）通报

工业和信息化部高度重视用户权益保护工作，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，持续整治APP侵害用户权益的违规行为。近期，工信部组织第三方检测机构对用户反映突出的开屏弹窗“乱跳转”“关不掉”以及违规收集使用个人信息等问题进行检查，共发现31款APP及SDK存在侵害用户权益行为并予以通报。

来源：

https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2024/art_a6f9db30756c4464804355afb64723ff.html

4.1.3.聚焦315：操控网络水军的主板机；AI“换脸”诈骗

今年的315晚会主题为“共筑诚信共享安全”，数据安全仍然是重点关注的议题，在晚会开篇便曝光了以主板机为载体的网络黑灰产。同时今年的315信息安全实验室，聚焦了由当下火爆的AI导致的变脸诈骗问题。不难看出，个人信息安全已成为315晚会的重点关注领域，这也从侧面反映出相关网络犯罪人员正不断变着花样，利用泄露的个人信息从事各类网络非法活动，不仅扰乱了正常的网络秩序和氛围，也侵害了消费者的个人生命财产安全，保护网络时代下的消费者权益仍然是一项长期且艰巨的任务。

来源：

https://www.freebuf.com/news/395065.html

4.2.国外移动互联网安全热点

4.2.1.苹果曝出两个iOS系统0-Day漏洞

近日，苹果公司发布了紧急安全更新，解决了两个iOS零日漏洞。这些漏洞存在于iOS内核（CVE-2024-23225）和RTKit（CVE-2024-23296）中，威胁攻击者可利用其绕过内核内存保护，这给了具备任意内核读写权限的威胁攻击者可乘之机。

来源：

https://new.qq.com/rain/a/20240306A04ETS00

4.2.2.TikTok至暗时刻，因“安全问题”被美国发布禁令

darkreading网站消息，继众议院能源与商务委员会上周通过禁用流行社交媒体平台TikTok的法案后，美国国会于周三投票赞成该法案。该法案规定，任何受“外国”控股的企业需在180天内撤资。法案建议将TikTok出售给一家美国公司，如果字节跳动拒绝出售，美国的应用商店和网络托管服务将被禁止提供TikTok应用，违反规定的公司将面临罚款。近年来TikTok因数据隐私和数据存储问题在全球范围内引起关注，不仅在美国，英国因为该公司去年未能遵守儿童数据保护规定对TikTok进行了巨额罚款。

来源：

https://www.freebuf.com/news/394901.html

4.2.3.超火的黑客小工具，可以通过WiFi解锁特斯拉

BleepingComputer消息，一种利用Flipper Zero设备进行的简单钓鱼攻击可能导致特斯拉账户被篡改，甚至能让汽车被解锁并启动。该攻击适用于版本为4.30.6和11.1 2024.2.7的特斯拉应用程序。目前就上述问题已与特斯拉联系，他们是否计划发布OTA更新，引入安全措施以防止这些攻击，但尚未收到回复。

来源：

https://www.freebuf.com/news/393813.html

4.2.4.苹果密码重置功能现重大安全漏洞：iPhone用户遭网络钓鱼攻击

近日，部分iPhone用户遭遇了一起利用苹果密码重置功能中的漏洞的网络钓鱼攻击。受影响的用户反馈称，黑客通过这个漏洞让他们在系统中收到数十条系统级提示，并且每条提示都有“允许”和“拒绝”两个选项。如果用户决定不响应这些提示通知，黑客后续会伪装成为苹果售后人员，告知称系统检测到用户设备受到攻击，并要求用户提供短信验证码。

来源：

http://news.sohu.com/a/767123151_114822

4.2.5.美国司法部：垄断使iPhone不再安全

过去多年，苹果的iOS生态系统都因技术和商业模式更封闭、（已知）漏洞和恶意软件更少，以及较为严格的应用审核而给人“更安全”的印象，但是近日美国司法部打破了“苹果更安全”的神话，在对苹果公司提起的反垄断诉讼中，司法部的调查结果显示iPhone的垄断已经威胁到了用户的隐私和信息安全。

来源：

https://baijiahao.baidu.com/s?id=1794649666218522624&wfr=spider&for=pc

4.2.6.苹果最新M系列芯片发现安全缺陷

据最新报道，研究人员在苹果M系列芯片中发现了一项新的安全漏洞。这个漏洞源于硬件优化功能——数据内存依赖预取器（DMP），它能够预测将要访问的内存地址以提高处理器效率。然而，DMP有时会错误地混淆密钥等敏感数据内容与内存地址指针，从而给攻击者带来了机会。

来源：

https://baijiahao.baidu.com/s?id=1794200017858485226&wfr=spider&for=pc

往期回顾

数据安全共同体计划