数据安全

一周新闻纵览:工信部组织召开综合整治骚扰电话专项行动;智能锁百万指纹泄密;4G不会降速5G网速会更快

不知不觉 又到了周五了 伴随着一周的小尾巴 开始我们今天的一周IT新闻盘点吧 我们曾如此期盼外界的认可,到最后才知道:世界是自己的,与他人毫无关系。—杨绛 1 网络黑产无孔不入 随着社会进入数字经济时代,网络黑产不再是散兵游勇式的单打独斗,已经演化成具有专业分工、链条化运作特征的产业。提及网络黑产,就绕不开暗网,暗网复杂隐蔽,承载着大量的信息资源且鱼龙混杂,成为助长网络犯罪的重要工具。 2 工信部组织召开综合整治骚扰电话专项行动 8月15日,工信部信息通信管理局在北京组织召开综合整治骚扰电话专项行动工作会,进一步加大骚扰电话源头治理力度,深入推进骚扰电话综合整治。最高人民法院、最高人民检察院、教育部、公安部、司法部等十三部门参加会议。 3 智能锁百万指纹泄密,攻击者可进入任何地方! 近日,研究人员在生物识别公司Suprema的智能锁系统中发现了一个可公开访问的生物识别数据库安全漏洞,能够访问超过100万人的身份验证数据。该数据库超过2780万条记录的数据,包括指纹、面部识别数据,甚至还有员工的个人信息。 4 三大运营商回应降速传言 4G不会降速 近日,有传言称4G网络速度下降,目的是“为了推广50”。对此,记者分别致电三大运营商,相关客服工作人员均对此表示否认,并表示5G速度会更快,没有接到4G会降速的通知。 对于5G推出了4G是否会降速的疑问,一位客服明确表示,“5G网速会更快,4G不会降速。”他表示,没有接到公司通知。 独立电信分析师付亮指出,从日常使用来看,4G的下载速率通常在数十兆的量级,20-30Mbps、30-40Mbps的速率均属于正常范围,也较为常见。关于5G推广对4G网速是否会有影响,付亮认为,目前阶段5G非独立组网与4G有共用资源,从这角度看有可能对部分双载波4G+的百兆以上超高网速略有降低,但对普通4G用户来说不会有影响,并不会带来4G降速。 三大运营商客服昨日回复相关咨询时均表示,用户只需更换一部56手机,不换卡不换号即可接收到56信号。同时运营商目前相应的5G体验包提供免费体验流量。 5 数字人民币初露真容:非网络支付或电子钱包 在日前举行的第三届中国金融四十人伊春论坛上,央行支付结算司副司长穆长春表示,央行下属的数字货币研究所早于2018年就开始了数字货币系统的开发,央行数字货币已是“呼之欲出”。目前,该所已经申请了74项涉及数字货币技术的专利。央行数字货币是基于国家信用、由央行发行的法定数字货币,与比特币等“虚拟货币”有着本质区别。穆长春表示,以往电子支付工具的资金转移必须通过传统银行账户才能完成,而央行数字货币可脱离传统银行账户实现价值转移,使交易环节对账户依赖程度大为降低。 6 蓝牙存在泄露隐私风险,你一直开着吗? 波士顿大学研究人员发现,部分蓝牙设备上,蓝牙通信协议存在的漏洞,会导致个人信息被窃取,允许第三方追踪设备所在位置。Windows 10、ioS、macOS等软件系统以及Apple Watch、Fitbit手环等设备上都存在此漏洞。 7 App存隐忧莫让便民利器成扰民工具 在对上百款App代码进行了“全景扫描”后发现,有超8成App安装包中均含有超出其业务范围的权限代码;有过半数的App含有索取用户通讯录的代码。这意味着,用户对“隐私协议”点下“我同意”的按钮时,也向App敞开了隐私的大门。 8 App超半数留索取用户通讯录”后门” 据报道,109款App中嘀嗒出行、百合婚恋、和包支付、瑞钱包、e代驾、飞嘀打车、中国工商银行、悟空理财、平安好医生、开心消消乐10个App申请的敏感权限最多;83.6%的App含越界代码,中移动旗下的和包支付“越界”严重。 9 大量App存在读写用户设备文件等异常行为 国家互联网应急中心8月13日发布《2019年上半年我国互联网网络安全态势》。这份报告指出,我国移动APP违法违规使用个人信息问题十分突出,大量APP存在探测其他APP或读写用户设备文件等异常行为,对用户的个人信息安全造成潜在安全威胁。 10 iOS 12.4系统遭黑客破解 漏洞危及数百万用户 在最近的一次iOS 12.4系统更新中,苹果公司无意中恢复了在先前版本中修复过的一个漏洞,从而使得当前iOS 12.4版本系统遭到了黑客的破解,继而为众多iPhone用户带来了多年以来唯一一次最新系统的公开越狱机会,而这也将为苹果公司带来一系列的安全风险。 

暗网出售180万苏宁会员数据,背后是谁在泄露用户信息?

近日,有暗网用户“pum***”发帖出售苏宁会员数据,共计180万名用户,售价100美元,包含手机号、密码、6位交易密码、姓名、身份证号等信息。 某安全机构随机挑选了10个显示完整的账号,其中七人表示姓名、手机号、身份证号属实。在这七人当中,三人表示密码信息也是正确的,其他人由于忘记密码,无法确认真实性。并且,七人中有两人表示,今天在未登录苏宁账号的情况,收到了苏宁发过来的验证码,一人登录账号被提示存在安全风险。 剩余三人中,一位手机号为空号,一位表示身份证号不属实,另一位未对信息真假作出回应。 “pum***”还称,购买上述数据后,可额外赠送苏宁金融-易付宝支密账户7.5万条,还有2018年某航空公司头等舱的乘客数据等。 针对上述泄露事件,苏宁表示,经对网曝示例数据进行核查,并非苏宁用户数据。其还表示,不管是买卖个人信息还是编造谣言损害苏宁声誉均已触犯法律乃至构成犯罪。 有安全机构表示,即便数据真实度比较高,也并不能说明就是苏宁泄露的,也可能是由其他来源的真实数据组合而成的。 商务密邮建议,如果用户担心受到影响,可以修改苏宁的账号密码等信息。如果在其他平台使用了相同密码,也需要一起修改,出于安全考虑,建议使用“一账号、一套密码”的策略,即不同账号使用不同的密码,减少因单个平台账户泄露后,不法分子利用撞库获得更多的登录权限,从而引发的更大面积数据泄露。 包含个人隐私或商业机密的敏感数据一旦泄露,会即刻流入黑产市场,经过多手倒卖之后为黑客谋取巨大的利益,而这也使得黑客攻击更加难以防范。 2018年,全球范围内公共数据泄露事件严重程度指数,共涵盖945次事件,导致45亿条信息泄露。 在这么多的数据泄露事件中,47%的数据泄露事件涉及恶意或犯罪行为,25%是由于员工或承包商疏忽(人为因素),28%涉及系统故障,包括IT和业务流程故障。 对此,我们能做些什么来保障数据隐私呢? 1、及时更新软件修复漏洞,保障数据的隐私安全; 2、更换弱密码,使用强密码并定期进行修改; 3、定期检查网络环境,当使用公共网络及WIFI发送邮件时,使用加密邮件; 4、从官方下载软件,不随意在网上下载无资质保护的软件使用; 5、对于陌生邮件要仔细核对来源,不随意点击不明邮件和附件,对重要信息使用加密发送,也可使用邮件水印功能,可快速辨别钓鱼或欺诈邮件。 6、对于企业而言,建议部署:邮件防泄漏、反垃圾邮件系统、强制加密、禁止转发、禁止截图、离职管控、邮件水印、邮件归档、邮件详情跟踪等系统功能,因企业敏感数据较多且集中,应尽快增加数据保护能力,减少数据泄露风险,确保邮件安全。