3月第4周業務風控關註 |9款違規App曝光:涉及惡意扣費、隱私竊取、×××
阿新 • • 發佈:2019-03-23
用戶 超過 應用發布 pre 之前 智聯招聘 體驗 全面 來源 易盾業務風控周報每周呈報值得關註的安全技術和事件,包括但不限於內容安全、移動安全、業務安全和網絡安全,幫助企業提高警惕,規避這些似小實大、影響業務健康發展的安全風險。
一、9款違規App曝光:涉及惡意扣費、隱私竊取、×××
據網信廣東消息,國家計算機病毒應急處理中心近期在凈網行動中通過互聯網監測發現,9款違法有害移動應用存在於移動應用發布平臺中,其主要危害涉及惡意扣費、隱私竊取、×××三類。
這些違法有害移動應用具體如下:
1、《PhotoLoop》(版本20.4)、《快對答案》(版本7.9.0)這兩款應用存在扣費惡意代碼,通過隱蔽等手段,導致用戶經濟損失。
2、《藍貸》(版本1.0)、《吃雞神助攻》(版本2.2.0)這兩款應用存在危險行為代碼,警惕該應用私自下載安裝軟件,竊取用戶隱私信息,造成用戶隱私泄露、資費消耗。
二、Facebook等科技公司高管被國會要求就新西蘭槍手直播案作出回應
據騰訊科技報道,上周,新西蘭克賴斯特徹奇的兩座清真寺發生槍殺事件。槍手在社交網絡臉書上直播殺戮過程,社交網絡遲遲沒有刪除血腥內容,引發全球輿論的關註。
在新西蘭槍擊事件引發社交網絡爭議後,美國眾議院國土安全委員會(House Committee On Homeland Security)主席給四家主要科技公司的高管寫了一封信,敦促他們在發生極端事件之後,要更快速刪除極端暴力內容,並向委員會簡要介紹他們的回應和計劃,以防止類似事件在未來發生。
三、Facebook 利用AI限制“復仇×××”的傳播
據路透社3月15日報道,Facebook推出新的“復仇×××”檢測工具,利用AI來追蹤未經同意分享的親密照片。“復仇×××”是指將前交往對象的裸照等散布到網上甚至向對方勒索贖金的行為。
人工智能技術能夠在用戶舉報之前就檢測到在Facebook和Instagram上共享的近乎裸體的圖像和視頻,再由人工管理員審查標記的內容,如果違反了社區標準,就將其刪除。Facebook表示,分享“復仇×××”內容會導致賬號被封殺,但如果遭遇錯誤的刪除和封號,可提交反饋信息。
四、新加坡血庫數據出現網安漏洞 經專家舉報及時糾正
超過80萬名捐血者的姓名、×××號碼、性別和血型等資料被掛上有互聯網連接的服務器,管理血庫數據的衛生科學局說,目前只有一名網絡安全專家獲取該數據,他已承諾會把數據刪除。
衛生科學局局長莊美玲醫生就此網安漏洞向全體捐血者致歉,並呼籲捐血者不要因此對國家捐血計劃失去信任。[來源:看雪]
五、一家健康科技公司正在泄露大量醫療記錄和處方
外媒TechCrunch報道,一家健康科技公司在安全證書失效導致服務器沒有密碼後,每天泄漏數千張醫生藥方、醫療記錄和處方。這家名不見經傳的軟件公司來自加利福尼亞州的Meditab,自稱是醫院、醫生辦公室和藥房領先的電子醫療記錄軟件制造商之一。該公司為醫療保健提供商處理電子傳真,仍然是將患者文件共享給其他提供商和藥房的主要方法。
據發現數據的安全公司稱,該傳真服務器沒有得到妥善保護。自2018年3月創建以來,公開的傳真服務器運行的Elasticsearch擁有超過600萬條記錄。由於服務器沒有密碼,任何人都可以實時讀取傳輸的傳真,包括其內容。
根據對數據的簡要回顧,傳真包含大量個人身份信息和健康信息,包括醫療記錄、醫生藥方、處方數量和數量,以及疾病信息等。傳真還包括姓名、地址、出生日期,在某些情況下還包括社會安全號碼和健康保險信息以及支付數據。傳真還包括有關兒童的個人數據和健康信息。沒有數據被加密。[來源:cnbeta]
六、新的Mirai僵屍網絡變種涉及27個漏洞,瞄準企業設備
來自NOSEC消息,一個新的Mirai變種帶來了11個新的漏洞***,企業WePresent WiPG-1000無線演示系統和LG Supersign TV是最顯眼的目標。由於其創造者增加了11個新的漏洞用於***,總數現已達到27。正如Unit 42進一步發現的那樣,僵屍網絡的惡意利用代碼托管在哥倫比亞公司的服務器上,具有諷刺意味的是, 該服務器提供“電子安全,集成和警報監控”服務。[來源:今日頭條]
七、不安全的數據庫泄露中國3300萬份簡歷
近日,研究人員Sanyam Jain發現一個不安全的數據庫,包含約3300萬份中國用戶的簡歷。這些簡歷文件共有57G大小,可在網上公開訪問。簡歷信息包括用戶名、性別、年齡、所在城市、家庭地址、郵箱、手機號、婚姻狀態、工作經歷、教育經歷、薪水等。在3月10日發現這個數據庫後,Sanyam嘗試尋找數據庫的管理員,但是並沒有找到,只分析出這些簡歷與中國的51Jobs、拉勾網以及智聯招聘等招聘網站有關。據分析,可能是有人專門從這些網站搜集用戶上傳的簡歷並集中到一起,用於特殊目的。目前,國內安全應急響應中心CNCERT已經接到了Sanyam的報告,並確認該數據庫IP所屬者是“北京機到網絡科技有限公司”,並通知該公司關閉了該數據庫。但是,尚不清楚此前有多少人接觸到或者利用過這些信息,建議使用過這些網站的用戶註意保護自己的信息並警惕釣魚***。[來源:Freebuf]
八、工信部:應用商店全面下架“社保掌上通”APP
3月15日,第29屆央視35晚會曝光了眾多APP通過不平等、不合理條款的授權協議,強制索取用戶的個人信息的問題。其中,社保掌上通APP被晚會點名,晚會主持人通過實際操作發現,當用戶在該APP上輸入×××號、社保賬號、手機號等信息,完成註冊後,電腦遠程就能截取到用戶的幾乎所有信息。據媒體報道,工信部立即啟動應用商店聯動處置機制,要求騰訊、百度、華為、小米、OPPO、Vivo、360等國內主要應用商店全面下架 “社保掌上通”APP,對“社保掌上通”手機APP的責任主體杭州遞金網絡科技有限公司進行核查處理,並全力組織對同類APP進行排查檢測,對類似問題一並要求整改。[來源:cnbeta]
點擊免費體驗網易易盾安全解決方案。
一、9款違規App曝光:涉及惡意扣費、隱私竊取、×××
據網信廣東消息,國家計算機病毒應急處理中心近期在凈網行動中通過互聯網監測發現,9款違法有害移動應用存在於移動應用發布平臺中,其主要危害涉及惡意扣費、隱私竊取、×××三類。
這些違法有害移動應用具體如下:
1、《PhotoLoop》(版本20.4)、《快對答案》(版本7.9.0)這兩款應用存在扣費惡意代碼,通過隱蔽等手段,導致用戶經濟損失。
2、《藍貸》(版本1.0)、《吃雞神助攻》(版本2.2.0)這兩款應用存在危險行為代碼,警惕該應用私自下載安裝軟件,竊取用戶隱私信息,造成用戶隱私泄露、資費消耗。
二、Facebook等科技公司高管被國會要求就新西蘭槍手直播案作出回應
據騰訊科技報道,上周,新西蘭克賴斯特徹奇的兩座清真寺發生槍殺事件。槍手在社交網絡臉書上直播殺戮過程,社交網絡遲遲沒有刪除血腥內容,引發全球輿論的關註。
在新西蘭槍擊事件引發社交網絡爭議後,美國眾議院國土安全委員會(House Committee On Homeland Security)主席給四家主要科技公司的高管寫了一封信,敦促他們在發生極端事件之後,要更快速刪除極端暴力內容,並向委員會簡要介紹他們的回應和計劃,以防止類似事件在未來發生。
三、Facebook 利用AI限制“復仇×××”的傳播
據路透社3月15日報道,Facebook推出新的“復仇×××”檢測工具,利用AI來追蹤未經同意分享的親密照片。“復仇×××”是指將前交往對象的裸照等散布到網上甚至向對方勒索贖金的行為。
人工智能技術能夠在用戶舉報之前就檢測到在Facebook和Instagram上共享的近乎裸體的圖像和視頻,再由人工管理員審查標記的內容,如果違反了社區標準,就將其刪除。Facebook表示,分享“復仇×××”內容會導致賬號被封殺,但如果遭遇錯誤的刪除和封號,可提交反饋信息。
四、新加坡血庫數據出現網安漏洞 經專家舉報及時糾正
超過80萬名捐血者的姓名、×××號碼、性別和血型等資料被掛上有互聯網連接的服務器,管理血庫數據的衛生科學局說,目前只有一名網絡安全專家獲取該數據,他已承諾會把數據刪除。
衛生科學局局長莊美玲醫生就此網安漏洞向全體捐血者致歉,並呼籲捐血者不要因此對國家捐血計劃失去信任。[來源:看雪]
五、一家健康科技公司正在泄露大量醫療記錄和處方
外媒TechCrunch報道,一家健康科技公司在安全證書失效導致服務器沒有密碼後,每天泄漏數千張醫生藥方、醫療記錄和處方。這家名不見經傳的軟件公司來自加利福尼亞州的Meditab,自稱是醫院、醫生辦公室和藥房領先的電子醫療記錄軟件制造商之一。該公司為醫療保健提供商處理電子傳真,仍然是將患者文件共享給其他提供商和藥房的主要方法。
據發現數據的安全公司稱,該傳真服務器沒有得到妥善保護。自2018年3月創建以來,公開的傳真服務器運行的Elasticsearch擁有超過600萬條記錄。由於服務器沒有密碼,任何人都可以實時讀取傳輸的傳真,包括其內容。
根據對數據的簡要回顧,傳真包含大量個人身份信息和健康信息,包括醫療記錄、醫生藥方、處方數量和數量,以及疾病信息等。傳真還包括姓名、地址、出生日期,在某些情況下還包括社會安全號碼和健康保險信息以及支付數據。傳真還包括有關兒童的個人數據和健康信息。沒有數據被加密。[來源:cnbeta]
六、新的Mirai僵屍網絡變種涉及27個漏洞,瞄準企業設備
來自NOSEC消息,一個新的Mirai變種帶來了11個新的漏洞***,企業WePresent WiPG-1000無線演示系統和LG Supersign TV是最顯眼的目標。由於其創造者增加了11個新的漏洞用於***,總數現已達到27。正如Unit 42進一步發現的那樣,僵屍網絡的惡意利用代碼托管在哥倫比亞公司的服務器上,具有諷刺意味的是, 該服務器提供“電子安全,集成和警報監控”服務。[來源:今日頭條]
七、不安全的數據庫泄露中國3300萬份簡歷
近日,研究人員Sanyam Jain發現一個不安全的數據庫,包含約3300萬份中國用戶的簡歷。這些簡歷文件共有57G大小,可在網上公開訪問。簡歷信息包括用戶名、性別、年齡、所在城市、家庭地址、郵箱、手機號、婚姻狀態、工作經歷、教育經歷、薪水等。在3月10日發現這個數據庫後,Sanyam嘗試尋找數據庫的管理員,但是並沒有找到,只分析出這些簡歷與中國的51Jobs、拉勾網以及智聯招聘等招聘網站有關。據分析,可能是有人專門從這些網站搜集用戶上傳的簡歷並集中到一起,用於特殊目的。目前,國內安全應急響應中心CNCERT已經接到了Sanyam的報告,並確認該數據庫IP所屬者是“北京機到網絡科技有限公司”,並通知該公司關閉了該數據庫。但是,尚不清楚此前有多少人接觸到或者利用過這些信息,建議使用過這些網站的用戶註意保護自己的信息並警惕釣魚***。[來源:Freebuf]
八、工信部:應用商店全面下架“社保掌上通”APP
3月15日,第29屆央視35晚會曝光了眾多APP通過不平等、不合理條款的授權協議,強制索取用戶的個人信息的問題。其中,社保掌上通APP被晚會點名,晚會主持人通過實際操作發現,當用戶在該APP上輸入×××號、社保賬號、手機號等信息,完成註冊後,電腦遠程就能截取到用戶的幾乎所有信息。據媒體報道,工信部立即啟動應用商店聯動處置機制,要求騰訊、百度、華為、小米、OPPO、Vivo、360等國內主要應用商店全面下架 “社保掌上通”APP,對“社保掌上通”手機APP的責任主體杭州遞金網絡科技有限公司進行核查處理,並全力組織對同類APP進行排查檢測,對類似問題一並要求整改。[來源:cnbeta]
點擊免費體驗網易易盾安全解決方案。
3月第4周業務風控關註 |9款違規App曝光:涉及惡意扣費、隱私竊取、×××