关注！数据安全新动态（2024年9月·下篇）

点击蓝字丨关注我们

申请加入数据安全共同体计划，请在本公众号回复“申请表”获取下载链接

航天点亮梦想

中国航天日，是为了纪念中国航天事业成就，发扬中国航天精神而计划设立的一个纪念日。主旨是要铭记历史、传承精神，激发全民尤其是青少年崇尚科学、探索未知的热情，实现中华民族伟大复兴的中国梦。

前文回顾

国内外数据安全相关事件

3.1.国外数据安全相关事件

3.1.1.美国背景调查公司发生超大规模数据泄露，超1亿人受到影响

近日，网络安全研究机构Cybernews发现美国背景调查和公共记录服务公司MC2 Data发生了一起大规模数据泄露事件，超1亿美国公民的个人信息遭到泄露。泄露原因是MC2 Data 配置错误，导致其数据库没有设置密码保护，任何互联网用户都可以轻易访问其中的敏感数据。该数据库中共包含1.06亿条记录，具体包括：姓名、电子邮件地址、IP地址、用户代理、加密后的密码、部分支付信息、家庭住址、出生日期、电话号码、房产记录、法律记录、家庭成员、亲戚及邻居信息、就业经历。此次泄露不仅影响了背景调查针对的个人，还涉及230万MC2 Data的订阅用户，其中包括雇主、房东、执法机构等。

来源：

https://www.foxnews.com/health/106-million-americans-exposed-massive-data-leak-rocks-background-check-firm

3.1.2.美国国会超3000名工作人员信息遭暗网泄露

9月26日，美国国会大厦近期成为大规模网络攻击的受害者，导致超过3,000名国会工作人员的敏感个人信息在暗网上曝光。据Proton和Constella Intelligence公司的研究发现，这些泄露数据包括密码、IP地址及社交媒体信息，共计约3,191条记录，其中近五分之一的国会员工受到波及。

来源：

https://securityaffairs.com/168912/deep-web/3000-congressional-staffers-data-leaked-dark-web.html

3.1.3.美国蒙大拿州计划生育协会遭入侵，近100GB敏感数据被泄露

美国蒙大拿州计划生育协会证实其网络系统近期遭到勒索软件组织RansomHub 入侵，近100GB敏感数据被泄露。黑客公布了多个被盗文件的样本，这些样本包含2024年以来的财务预算记录、工资信息、米苏拉县拘留所正在进行的法庭案件的文件以及责任保险证明。

来源：

https://cybernews.com/news/planned-parenthood-confirms-breach-ransomhub-gang-claims-responsibility/

3.1.4.法国9500万条公民数据遭泄露，涉及多行业信息

9月25日报道，法国近期发生了一起重大数据泄露事件，涉及超过9500万条公民数据记录被公然置于互联网上，远超法国总人口数，数据范围涵盖姓名、联系方式、电子邮件及部分支付信息等敏感内容。此次事件由Cybernews与网络安全专家共同揭露，源头指向一个开放的Elasticsearch服务器“vip-v3”，无需认证即可访问，内含来源于17起不同的数据泄露事故的至少30GB数据。泄露数据不仅数量庞大，且种类繁多，涉及电信、电商、社交媒体等多个行业和多家知名公司。

来源：

https://cybernews.com/security/french-records-exposed-by-mysterious-data-hoarder/

3.1.5.俄罗斯最大社交网站VK数据泄露，涉及3.9亿用户信息

Hackread报道，黑客HikkI-Chan在Breach论坛泄露了俄罗斯最大社交网站VK超过3.9亿用户个人数据。窃取的数据大小超过27GB。泄露的信息不包含电话号码和密码，但是包括城市、国家、姓名、用户个人资料图像URL链接和电子邮件地址（总数未知）。

来源：

https://hackread.com/hacker-leaks-data-of-vk-users-russian-social-network/

3.2.1.流媒体公司Roku超过15000个账户信息泄露

移动互联网安全热点

4.1.国内移动互联网安全热点

4.1.1.工信部发布关于侵害用户权益行为的APP（SDK）通报

工业和信息化部高度重视用户权益保护工作，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，持续整治APP侵害用户权益的违规行为。近期，工信部组织第三方检测机构进行抽查，共发现21款APP及SDK存在侵害用户权益行为，予以通报。

来源：

https://www.miit.gov.cn/xwfb/gxdt/sjdt/art/2024/art_30d7bc2bfb6f465ab7b7841e2a750f4e.html

4.1.2.国家计算机病毒应急处理中心监测发现13款违规移动应用

国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规以及相关国家标准的要求，近期通过互联网监测发现13款移动App存在隐私不合规行为。

来源：

https://www.cverc.org.cn/zxdt/report20240925.htm

4.1.3.中国网络空间安全协会公布62款APP完成个人信息收集使用合规整改

日前，腾讯方面就国家安全部对“文件传输助手”安全风险可为规范App收集使用个人信息行为，保护个人信息权益，推动形成全社会共同维护个人信息安全的良好环境，中国网络空间安全协会组织指导网上购物、地图导航、浏览器、新闻资讯、在线影音、电子图书、拍摄美化、云盘、短视频、演出票务共10类62款App运营方，对照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律法规，重点针对超范围收集个人信息、过度调用敏感权限、权限设置和账号注销不便等个人信息收集使用问题完成了合规整改优化。

来源：

https://www.cybersac.cn/detail/1833077486582276098

4.1.4.北京网信办整治连锁超市APP、二维码违法收集个人信息乱象

个人信息事关人身财产隐私安全，超市购物又与每个人日常生活息息相关。随着个人信息保护意识的增强，消费者在超市购物结算过程中对App索权愈加敏感。记者从北京市委网信办举行的新闻通气会上获悉，为回应市民诉求，北京市进一步加强超市购物领域个人信息保护，提升大型连锁超市企业收集使用个人信息合规能力和数据安全防护能力。

来源：

https://baijiahao.baidu.com/s?id=1810574854688734591&wfr=spider&for=pc

4.2.国外移动互联网安全热点

4.2.1.俄罗斯版“微信”遭黑客入侵，泄露3.9亿条用户数据

据报道，俄罗斯最大的社交媒体和网络服务VK（VKontakte）遭遇大规模数据泄露，影响了大量的用户。据非法市场BreachForums上一位名为Hikki-Chan的威胁行为者称，2024年9月，VK出现大规模数据泄露事件，其数据在论坛上下载仅需几个积分，几乎可以免费下载。

来源：

https://cybernews.com/news/russian-state-owned-social-network-vk-breached/

4.2.2.苹果 Vision Pro 曝出严重漏洞，黑客可通过用户眼动输入窃取信息

近日，苹果公司的Vision Pro混合现实头戴式设备曝出一个安全漏洞，一旦被黑客成功利用，他们就可以推断出用户在该设备的虚拟键盘上输入的具体数据。该攻击活动名为GAZEploit，该漏洞被追踪为CVE-2024-40865。佛罗里达大学的学者对此表示：这是一种新颖的攻击，因为攻击者可以从头像图片中推断出与眼睛有关的生物特征，从而重建通过注视控制输入的文本。GAZEploit攻击利用了用户共享虚拟化身时凝视控制文本输入的固有漏洞。

来源：

https://thehackernews.com/2024/09/apple-vision-pro-vulnerability-exposed.html

4.2.3.Meta、YouTube等巨头被曝长期监视未成年用户，牟利数十亿美元

根据美国联邦贸易委员会（FTC）工作人员的一份报告显示，社交媒体和视频流媒体公司一直在对用户，尤其是儿童和青少年进行广泛的监控，隐私保护不足，并通过数据货币化每年赚取数十亿美元。此调查始于2020年 12月，联邦贸易委员会于2020年12月公布了调查结果，并向亚马逊（Twitch 的所有者）、Meta（Facebook）、YouTube、Twitter（现为 X 公司）、Snapchat、TikTok（ByteDance 所有）、Discord、Reddit 和 WhatsApp（Meta）发出了命令。这份报告调查了公司在2019年至2020年期间如何收集数据，追踪个人和人口统计信息，以及这些行为对未成年人造成了哪些影响。联邦贸易委员会今天公布的结果显示，这些做法在数据保留、数据共享和针对性广告方面引起了严重的担忧。

来源：

https://www.bleepingcomputer.com/news/technology/ftc-exposes-massive-surveillance-of-kids-teens-by-social-media-giants/

4.2.4.美国一AI公司因非法收集面部数据被罚超3000万欧元

据Cyber News消息，荷兰数据保护局（Dutch DPA）已向美国人工智能公司Clearview AI开出3050万欧元（3370万美元）巨额罚款，并对其服务下达了使用禁令。Clearview AI是一家总部位于美国纽约的面部识别公司，为执法部门、政府机构和其他组织提供面部识别服务，能够根据视觉输入查找特定人员的身份。当局认为，该公司建立了一个非法数据库，其中包含300亿张面部照片，包括许多荷兰人的照片。因此，Clearview AI会自动从互联网上抓取这些照片，然后为每张人物的脸部特征生成唯一的生物识别代码。而被抓取的人并不知道这一点，也未对这一行为进行授权。

来源：

https://cybernews.com/ai-news/clearviewai-fined-millions-declared-illegal/

4.2.5.继TikTok风波后，Temu成为美国数据安全审查新焦点

近期，继对TikTok进行调查后，美国众议院共和党人致信美国证券交易委员会（SEC）和联邦调查局（FBI），要求对跨境电商平台Temu及其母公司拼多多（PDD）数据处理行为进行调查。Temu自2022年进入美国市场以来，通过提供低价商品迅速积累了用户基础，但其商业行为和数据处理方式引发了多项争议。此前，拼多多因被指利用安全漏洞读取用户设备数据而遭谷歌应用商店下架，Temu也因涉嫌违规数据收集行为在美国面临集体诉讼。由于拼多多在纳斯达克上市，国会议员希望SEC和FBI能够说明是否已就这些数据安全问题展开调查，并通报进展情况。

来源：

https://therecord.media/republicans-call-to-investigate-temu-china-tiktok?__cf_chl_rt_tk=I31YybSFwbb1FXAw6yYkofdz4RxnRGYeDMBlAhIHRx4-1727597356-0.0.1.1-4266

推荐阅读：