数据安全早知道｜涉及27个省份的特大系列侵犯公民个人信息案件被侦破；国际足联世界杯应用程序带来数据安全和隐私噩梦

本期看点

热点资讯

· 涉及27省份的特大系列侵犯公民个人信息案件被侦破

· 谷歌将支付3.91亿美元解决Android位置跟踪诉讼

· 俄罗斯频发数据泄露事件，720万用户数据被出售

· 国际足联世界杯应用程序带来数据安全和隐私噩梦

· 泰安手机店主为“拉新”非法售卖公民个人信息

· 全球最大BT网站曝安全漏洞400万用户信息泄露

· 德意志银行网络访问权限被公开售卖

技术看点

· 利用内置加速度计进行手机侧信道窃听攻击

安全研究

· 勒索攻击肆虐零售行业，网安保险愈加难买

· 数据治理脚步加快，合规服务商迎来“风口”

· 密码在智能汽车数据安全领域的应用研究报告

· Lothar Determann：没有人可以拥有数据

· 隐私计算行业应用情况和标准化现状

· 现代企业数字攻击面中的七大安全挑战

· 物联网成恶意软件重要目标，金融等行业翻倍增长

行业法规

· 《“十四五”全民健康信息化规划》：医院核心信息全国互通

监管动态

· 本溪银行因过失泄露信息，被罚40万

会议活动

· 2022年首届数字信任峰会成功举行

· 2022（第二十一届）中国互联网大会圆满闭幕

涉及27省份的特大系列侵犯公民个人信息案件被侦破

近日，记者从黑龙江鸡西市公安局获悉，该局成功侦破一起特大系列侵犯公民个人信息案件，共计抓获犯罪嫌疑人 322 名，涉及全国 27 个省份。经查，该犯罪团伙组织严密，分为 " 客服 "" 中介 "" 粉商 "" 号商 "" 租号人员 " 五个层级，通过境外聊天软件互相勾连，层层转包、加价。以发布招嫖信息等诱导性信息吸粉引流，再通过租收的微信号进行登录，发布虚假信息，以达到获取巨额不法利益的目的。

（来源：央视财经）

谷歌将支付3.91亿美元解决Android位置跟踪诉讼

日前，谷歌同意支付 3.915 亿美元，以解决美国40个州总检察长联盟提起的隐私诉讼。和解协议显示，美国总检察长在调查美联社 2018 年的一篇文章时发现，这家搜索巨头至少从2014年就开始误导 Android 用户并跟踪他们的位置，即使他们认为位置跟踪已被禁用。

据悉，虽然Android 用户被误导认为在设备设置中禁用“位置历史记录”会禁用位置跟踪，但另一个帐户设置——默认打开并命名为“Web & App Activity”——使公司能够收集、存储和使用客户’ 个人可识别位置数据。

（来源：安全客）

俄罗斯频发数据泄露事件，720万用户数据被出售

近日，黑客开始在黑客论坛上出售包含720万客户详细信息的数据库后，俄罗斯踏板车共享服务Whoosh确认发生数据泄露。Whoosh 是俄罗斯领先的城市出行服务平台，在40个城市运营，拥有超过75,000辆电动滑板车。一名威胁行为者开始在黑客论坛上出售被盗数据，据称其中包含可用于免费访问该服务的促销代码，以及部分用户身份和支付卡数据。

（来源：E安全）

国际足联世界杯应用程序带来数据安全和隐私噩梦

鉴于数以万计配备人脸识别技术的监控摄像头被强制要求下载间谍软件，下个月将在卡塔尔举行的世界杯看起来更像是一场数据安全和隐私噩梦。足球迷及其他前往卡塔尔的人必须下载两个应用程序：Ehteraz和Hayya，前者是新冠疫情追踪程序，后者允许持票者进入体育馆，并享用免费的地铁和巴士交通服务。

在审查这两个应用程序后，法国数据保护机构CNIL建议带上话费预付的一次性手机，以免信息被窥视。而挪威的安全负责人也给出了类似的建议。

（来源：嘶吼）

泰安手机店主为“拉新”非法售卖公民个人信息

近日，泰安市公安局高新区分局徂徕派出所抓获1名涉嫌侵犯公民个人信息罪的网上在逃人员吴某。经查，吴某在自己经营的手机店里，利用售卖手机或是给客户实名办理手机卡之际，在客户不知情的情况下，手机号绑定注册多个APP软件，并从中获取佣金。因吴某经营移动通讯店，其经营范围及服务人群为不特定群体，利用提供服务的过程获得公民个人信息并出售、获利，已触犯刑法。

（来源：安全圈）

全球最大BT网站曝安全漏洞400万用户信息泄露

全球最大BT网站海盗湾(Pirate Bay)服务器存在安全漏洞，导致400多万用户的个人信息被泄露。阿根廷黑客查·卢索(Ch Russo)称，他和另外两名同事发现了多个SQL注入漏洞，允许黑客访问海盗湾的用户数据库。之后，黑客可以创建、删除、修改或查看所有用户的信息，包括用户名、电子邮件、用户上传的种子，以及正在下载的用户数量和名称等。

（来源：安全圈）

德意志银行网络访问权限被公开售卖

近日，有攻击者声称已经入侵了跨国投资银行德意志银行，并在线销售其网络的访问权限。初始访问代理在Telegram上发布的公告中声称，其可以访问德意志银行网络中的大约21000台设备，其中大部分是Windows系统。据称这些受感染的设备受到赛门铁克EDR（Endpoint Detection and Response，终端检测与响应）解决方案的保护。

（来源：看雪学苑）

利用内置加速度计进行手机侧信道窃听攻击

当前智能手机上的运动传感器由于对振动的敏感性已被用于监听音频。但由于两个公认的限制，此威胁被认为是低风险的：首先，与麦克风不同，运动传感器只能捕获通过固体介质传播的语音信号，因此先前唯一可行的设置是使用智能手机陀螺仪窃听放置在同一桌子上的扬声器；第二个限制来自常识，即由于200Hz的采样上限，这些传感器只能捕获语音信号的窄带（85-100Hz）。

在本文中将重新探讨运动传感器对语音隐私的威胁，并提出了一种新型侧信道攻击AccelEve，它利用智能手机的加速度计来窃听同一智能手机中的扬声器。

勒索攻击肆虐零售行业，网安保险愈加难买

网络安全公司Sophos所发布一份报告，其中的数据表明，零售行业的组织正在迅速成为勒索软件组织最热衷的目标群体。据了解，这份报告中的数据来自于Sophos对全球422位零售领域IT专业人员的调研。

报告的数据显示出当前勒索软件攻击的形势并不乐观，有77%的受访者表示他们所在的组织在2021年遭受了勒索软件攻击，而和该报告前一年（2020年）版本的对比可以看出，这一数据增长了75%，非常恐怖。

详情请看：

数据治理脚步加快，合规服务商迎来“风口”

伴随着数字经济发展，对个人信息的采集和利用成为一种“刚需”。个人信息保护不断涌现出新问题，随意收集、违法获取、过度使用、非法买卖个人信息等情况“野火烧不尽”。数据的挖掘利用与个人信息保护之间张力扩大，急需专门法律对个人信息处理活动提供规范样本。

各行业数字化进程日渐深入的过程中，大量数据资源得到挖掘和释放，监管框架的不断完善一方面为企业利用数据制定了标准，另一方面也催生了大量的合规需求。除了积极加强内部合规体系建设外，越来越多的企业也开始选择寻求外部力量的支持，希望借助专业合规服务机构从第三方视角审视自身合规水平，满足合规要求。在这样的背景下，数据合规服务市场迎来了快速发展。

详情请看：

密码在智能汽车数据安全领域的应用研究报告

随着人们对智能驾驶需求的增长、对安全的关注以及信息技术的进一步发展，智能网联汽车作为汽车、电子、信息通信等行业深度融合的新兴产业，已然成为未来汽车技术发展的重要方向之一，自动驾驶更是成为了科技新应用场景，为交通领域带来了无限的想象与美好的出行。交通出行的问题是政府一直在着力解决的重大民生问题，时代也迫切需要“更安全”、“更高效”的交通出行体系。当前，国家及各地政府也持续发力开展科技新基建、大力扶持智能网联汽车产业，车联网建设正是如火如荼之时。

详情请看：

Lothar Determann：没有人可以拥有数据

伴随物联网（IoT）领域的发展，包括智能汽车、工业机器、人工智能、玩具等其他设备产生了难以估量大量数据，而为了更好地利用数据并发掘其背后的经济利益，企业、政策制定者和学者都在呼吁对数据进行产权保护，同时各方也都在积极对数据提出主张和要求，籍此挖掘数字经济的燃料。然而，数据是否受制于或应该受制于任何产权这一命题是非常值得怀疑的。对此，Lothar Determann的该篇文章就美国和欧盟这两个对隐私、财产和个人自由态度明显不同的国家（与地区）现行法律和未来立法明确回答了这个问题。

详情请看：

隐私计算行业应用情况和标准化现状

在数据融合需求增强和数据保护要求提高的多重需求下，隐私计算成为关键。隐私计算应用需求促进了技术集成、行业适配，在金融、通信、政务、互联网等多个行业均有丰富的细分场景，同时能源、车辆网等新兴场景还在不断拓展。随着隐私计算应用不断拓展，应用方更关注隐私计算产品解决实际复杂场景的综合能力。标准制定从技术标准上升为场景标准，未来将制定更多行业垂类场景标准。

详情请看：

现代企业数字攻击面中的七大安全挑战

据Randori与ESG联合开展的《2022年攻击面管理现状报告》数据显示，在过去一年中，随着远程办公人员数量、云解决方案和SaaS应用程序使用量的不断增加，企业组织的网络应用攻击面进一步扩大。从表面上看，攻击面扩大并不奇怪，因为世界一直朝着更为互联和分散的方向发展，连接到互联网的计算设备自然会持续性增加。

但值得警惕的是，很多企业的安全团队难以跟上数字环境快速扩张和不断变化的步伐，因为缺乏对其有效管理的工具和流程，结果导致了暴露给攻击者的漏洞与安全团队已知的风险之间存在巨大差异。

详情请看：

物联网成恶意软件重要目标，金融等行业翻倍增长

SonicWall于近期发布了一份新的报告，意图通过对2022年上半年威胁形势的分析，为安全人员应着重注意哪些威胁提供参考。根据SonicWall研究人员在上半年所录得的数据显示，只有6月的恶意软件检出率低于2021年同期，同时总的恶意软件检测数量达到了28亿次。

在区域方面，针对亚洲的网络攻击增长最高，达到了32%，针对欧洲地区的增长了29%，接近持平，相比之下，针对北美的攻击相比去年同期几乎没有增长。在行业方面，教育行业仍是遭受攻击数量最高的，月均增长超过20%（21.4%），其次则是政府，月均增长为19.3%，相比之下，金融行业遭受此类攻击的相对较少。

详情请看：

《“十四五”全民健康信息化规划》：医院核心信息全国互通

近日，国家卫生健康委、国家中医药局、国家疾控局联合发布《“十四五”全民健康信息化规划》。《规划》部署八大主要任务、五项重点工程及八大优先行动，要求坚持“统筹集约、共建共享，服务导向、业务驱动，开放融合、创新发展，规范有序、安全可控”的基本原则，以引领支撑卫生健康事业高质量发展为主题，促进全民健康信息服务体系化、集约化、精细化发展，到2025年推动形成卫生健康行业机构数字化、资源网络化、服务智能化、监管一体化的全民健康信息服务体系。

（来源：国家卫健委）

本溪银行因过失泄露信息，被罚40万

11月14日消息，据央行近日公布的行政处罚信息公示表显示，本溪银行股份有限公司因过失泄露信息，被处以罚款40万元；时任该行普惠金融部直营中心代理经理郭佩强，因对上述行为负有直接责任，被处以罚款7.1万元。

（来源：金融一线）

2022年首届数字信任峰会成功举行

2022年11月12日，ISACA中国2022年度大会暨首届数字信任峰会在上海成功举行，来自各行业与ISACA和CMMI合作伙伴的一百多位与会人员参加了线下会议，本次峰会以“数字信任·共享未来”为主题，探讨数字信任领域的前沿热点技术话题以及行业实践。

（来源：ISACA）

2022（第二十一届）中国互联网大会圆满闭幕

11月17日，为期3天的2022（第二十一届）中国互联网大会圆满闭幕。本届大会由工业和信息化部、深圳市人民政府主办，中国互联网协会、广东省通信管理局、深圳市工业和信息化局等单位承办。

“中国互联网大会”是中国互联网业界的重要品牌活动，从2002年起至今已连续成功举办二十一届，是国内最具规模、最为专业、最有价值的互联网行业盛会之一，被誉为“行业的风向标、网民的嘉年华”。

（来源：中国互联网大会）