1、上海網信辦復測23個被約談APP 涉及1號店、小紅書等

近日，上海市網信辦對此前被約談的23個APP開展“回頭看”復測工作，要求各企業按照整改報告切實做好整改工作。2018年10月，上海市網信辦對本地最常用的23個App獲取用戶個人信息等權限申請情況開展安全抽查，並就抽查中發現的申請權限不合理、過度索取用戶個人信息等問題依法對23家App運營企業進行約談。

根據安全抽查結果，結合運營企業發展實際，最終確定整改前的“不合理權限”數量為164項，“合理但存在風險權限”數量為113項。

此次復測結果顯示，截止1月中旬，各App共整改158個“不合理權限”和98個“合理但存在風險權限”。整改後剩余6個“不合理權限”因企業戰略調整等原因還未整改，但都已列出詳細整改計劃，剩余15個“合理但存在風險權限”因安卓系統的限制，無法完成“修改為一次性授權”的整改，但會對此類權限加強網絡安全管控，嚴防個人信息泄露風險。

上海市網信辦表示，下一步將根據《關於開展App違法違規收集使用個人信息專項治理的公告》要求，加強對App運營企業違法違規申請權限、收集用戶個人信息等行為的監管和處罰，對未完成整改的企業進行再檢查。

2、WordPress曝出插件漏洞 允許任何用戶接管網站

一名來自WebARX的安全研究人員，剛剛發現了“簡易社交分享按鈕”（Simple Social Buttons）插件的一個缺陷。該插件旨在方便網站管理員在文章、評論、或網站的其它部分，嵌入 Facebook 或 Twitter 等 SNS 平臺的社交分享按鈕。然而最新曝光的漏洞允許任何能夠在網站上創建新賬戶的用戶，利用它來訪問“通常只有管理員才能解除的設置”。換言之，別有用心的***者可以通過該插件來接管網站。

安全研究人員指出，截止目前，WPBrigade 簡易社交分享按鈕插件的下載量，早已超過 50 萬次。WordPress 聲稱，其已被超過 4 萬網站采用。

3、Facebook被發現可搜索女性朋友的照片卻無法搜索男性的

據外媒TheNextWeb報道，一位比利時安全研究人員在Facebook的搜索功能中發現了一個不尋常的怪異現象。Facebook允許用戶搜索女性朋友的照片，但卻無法查看男性朋友的照片。這個現象被臭名昭著的比利時白帽***Inti De Ceukelaire發現。

TNW已經設法復制了幾個Facebook帳戶的故障。當用戶在搜索欄中輸入“我的女性朋友的照片”時，Facebook將出現一些看似隨意的女性朋友照片。用“男性”換掉“女性”會讓人感覺完全不同。而不是社交網絡中的朋友的照片，而是顯示來自社交網絡的精選圖片。這些來自用戶沒有關註的帳戶和團體。假設用戶錯誤輸入了查詢，Facebook也會詢問用戶是否打算輸入“女性”。

4、16家國外網站近6.2億用戶信息被掛暗網出售

近日，一個名為Dream Market暗網市場上掛出了6.2億用戶信息，交易通過比特幣轉賬進行，打包售價不高於2萬美元，該賣家宣稱這些數據來自16個被***的網站：

Dubsmash（1.62億）、MyFitnessPal（1.51億）、MyHeritage（9200萬）、ShareThis（4100萬）、HauteLook（2800萬）、Animoto（2500萬）、EyeEm（2200萬），8fit（2000萬）、Whitepages（1800萬）、Fotolog（1600萬）、500px（1500萬）、Armor Games（1100萬）、BookMate（800萬）、CoffeeMeetsBagel（600萬）、Artsy（100萬）和DataCamp（70萬）。

從放出的部分樣本來看，包含的用戶信息有效性很高，主要有帳戶持有人姓名、電子郵件地址和密碼等數據。密碼經過哈希處理或單向加密，因此必須先破解才能使用。根據來源網站的不同，某些數據還包含位置、個人詳細信息和社交媒體身份驗證信息等內容，而付款或銀行卡詳細信息不在其中。

MyHeritage發言人證實，該賣家現在出售的數據庫樣本是真實有效的，這些數據是2017年10月從其服務器泄露的，公司已在2018年發出通報。

5、四川開展學習類APP整治行動 堅持“凡進必審” 原則

據四川日報報道，四川省教育廳啟動學習類APP等移動應用程序專項整治行動，按照“凡進必審”“誰選用誰負責”“誰主管誰負責”的原則，督促各地建立學習類APP進校園備案審查制度。

據了解，凡是未經備案審查的學習類APP一律被禁止在校園內使用。凡發現APP內包含×××暴力、網絡遊戲、商業廣告等內容及鏈接，或利用抄作業、搞題海、公布成績排名等應試教育手段增加學生課業負擔的,要立即停止使用，卸載APP。同時，對存在違規問題的APP要報告給相關部門進行查處。

此外，新華微評文章也指出，含有×××暴力、低俗遊戲的有害教育類App屢禁不止，令人憂心。面對亂象，不僅需要加強監管力度與提高違法成本，更應改變靠用戶“舉報”推動監管的被動狀態。切實提高行業門檻，從內容上正本清源，在技術上精細化甄別，才能讓優質教育類App脫穎而出，讓害群之馬無所遁形，還青少年一個健康的網絡環境。

6、騰訊公布直播規範，這12條直播禁令需要註意！

北京時間2月15日，騰訊遊戲發布關於直播行為規範化的公告，提出12條嚴禁出現的不良行為。

公告稱，遊戲內容與遊戲直播內容存在天然的版權關聯，作為直播行業及其衍生領域的內容提供者，騰訊承擔其遊戲內容合規運營責任的同時，也有責任推動基於騰訊遊戲畫面的直播內容和授權的規範化。

在基於騰訊所運營遊戲的直播中，嚴禁出現下列不良行為，包括但不限於：

1.違反憲法確定的基本原則的;涉及國家政治、民族、宗教、地域等敏感話題的;
2.宣傳或發布違法信息、違反社會公德的信息，或不利於精神文明建設的信息，包括但不限於×××、×××、邪教、恐怖主義等內容;
3.通過任何方式、行為直接或間接損害騰訊遊戲用戶體驗和騰訊遊戲品牌;
4.通過任何方式、行為冒充平臺或騰訊遊戲官方向其他用戶散布或傳播虛假信息;
5.通過任何方式、行為散布或傳播低俗、不雅信息;
6.通過任何方式、行為散布或傳播使用私服、***、外掛、病毒、代練及此類信息;
7.宣揚、鼓動現實世界內的血腥暴力行為;
8.未經許可，侵犯他人隱私，泄露他人信息的;
9.不遵守契約精神，合約期內無故單方面解約或與第三方簽署影響合約正常履行的其他協議;
10.侵害遊戲廠商和內容創作者的著作權，通過任何方式損害內容創作者或版權方權益;
11.通過任何方式或途徑引起紛爭，造成不良社會影響的;
12.其他不符合法律法規、社會公德或遊戲規則的言論或行為。

7、Facebook安全部門被爆“監視”部分用戶，股價轉跌

Facebook安全部門保留了一份詳細的“監視”威脅名單，用於監視對Facebook構成威脅的用戶。這項工具是BOLO List，大約每周更新一次。該名單創建於2008年，目前有數百人在該名單上。該公司甚至可以使用其產品來追蹤用戶的位置。一些前Facebook雇員質疑，Facebook的安全策略並不道德。Facebook回吐漲幅轉跌。

8、沙特通過App監控女性出境，蘋果CEO庫克承諾要調查

針對近日曝光的一款可以實時追蹤女性出境情況的App，蘋果公司(以下簡稱“蘋果”)CEO蒂姆·庫克(Tim Cook)表示，如果消息屬實，蘋果將對此展開調查。

近日有報道稱，沙特政府出臺的一款名為“Absher”的手機App可以實時追蹤該國女性的出境情況，並在對方離境時向男性監護人發送短信警告。根據沙特的法律，每名女性必須有一位男性監護人，且未經同意不得隨意旅遊出境。雖然該軟件已存在7年，但直至最近才吸引了媒體的關註。原因是：上月初一名18歲的沙特少女自稱受家人虐待逃至泰國，而她的父親隨後趕到希望接回女兒，但被拒絕。

9、500px 千萬用戶信息泄露

著名攝影網站500px發布公告稱在去年 7 月遭到******，大約 1480 萬用戶的信息泄露，而它直到上周才獲悉此事。500px 稱 2 月 8 日，工程團隊了解了一個潛在安全問題，隨後它立即發起全面調查以查清問題的性質和範圍，它還雇傭了第三方專家來幫助調查，結果發現在 2018 年 7 月 5 日，它的系統和部分用戶數據遭到未經授權的訪問，被訪問的數據包括了用戶名、電子郵件地址、哈希密碼、出生日期性別地址等可選輸入的信息。出於謹慎起見，它決定重置所有用戶的賬號密碼，並建議用戶如果在其它網站復用密碼最好一並修改。500px 去年二月被視覺中國收購。

2月第3周業務風控關註|上海網信辦復測23個被約談APP 涉及1號店、小紅書等