行業(yè)趨勢政策法規(guī)移動(dòng)互聯(lián)網(wǎng)應(yīng)用個(gè)人信息收集

8月8日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布關(guān)于就國家標(biāo)準(zhǔn)《信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用（App）收集個(gè)人信息基本規(guī)范（草案）》征求意見的通知。通知稱，為貫徹落實(shí)《網(wǎng)絡(luò)安全法》關(guān)于個(gè)人信息保護(hù)的相關(guān)要求，加快相應(yīng)的標(biāo)準(zhǔn)化工作，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處組織起草了《信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)基本規(guī)范》應(yīng)用程序（應(yīng)用程序）收集個(gè)人信息（草案）”，現(xiàn)已向公眾開放征求意見。 《信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用（App）收集個(gè)人信息基本規(guī)范（征求意見稿）》顯示，該標(biāo)準(zhǔn)明確了移動(dòng)互聯(lián)網(wǎng)應(yīng)用收集個(gè)人信息應(yīng)滿足的基本要求精美的花紋筆刷下載5，用于規(guī)范收集個(gè)人信息由移動(dòng)互聯(lián)網(wǎng)應(yīng)用運(yùn)營商提供。行為。

行業(yè)動(dòng)態(tài)應(yīng)用指南報(bào)告信息資產(chǎn)風(fēng)險(xiǎn)與合規(guī)管理

近日，安全公牛正式在線發(fā)布了《信息資產(chǎn)風(fēng)險(xiǎn)與合規(guī)管理（ITARC）應(yīng)用指南》，旨在從業(yè)務(wù)和資產(chǎn)關(guān)聯(lián)的角度與多家經(jīng)驗(yàn)豐富的安全廠商和咨詢機(jī)構(gòu)合作。 ，為行業(yè)提供信息資產(chǎn)風(fēng)險(xiǎn)與合規(guī)管理的思路和解決方案。同時(shí)，《信息資產(chǎn)風(fēng)險(xiǎn)與合規(guī)管理（ITARC）應(yīng)用指南》線下發(fā)布會(huì)將于8月21日（周三）下午3:30-4:50）在大宴會(huì)廳舉行國家會(huì)議中心（即北京網(wǎng)絡(luò)安全會(huì)議展區(qū)）在啟動(dòng)階段舉行。

金融并購個(gè)人數(shù)據(jù)合規(guī)

數(shù)據(jù)合規(guī)公司 .ai 在 A 輪融資中籌集了 3100 萬美元。 .ai 推出了一個(gè)新平臺 .ai，該平臺使用人工智能來識別公司存儲(chǔ)和使用的個(gè)人數(shù)據(jù)類型，以幫助企業(yè)更好地遵守?cái)?shù)據(jù)使用規(guī)定。

波音 787 安全研究漏洞補(bǔ)丁

近日，安全研究機(jī)構(gòu)在波音787夢幻客機(jī)的固件系統(tǒng)中發(fā)現(xiàn)了一系列漏洞，包括不安全的函數(shù)調(diào)用、整數(shù)溢出、緩沖區(qū)溢出等。隨后，波音公司回應(yīng)稱，他們認(rèn)為這些漏洞不具備可利用性，并已采取措施防止這些漏洞被攻擊者利用。

安全研究自動(dòng)加密系統(tǒng)法幣加密

麻省理工學(xué)院 (MIT) 的研究人員今天宣布，他們已成功開發(fā)出一種用于創(chuàng)建代碼的新系統(tǒng)。該系統(tǒng)稱為 Fiat 加密，自動(dòng)生成并同步驗(yàn)證所有硬件平臺的優(yōu)化加密算法，這一過程以前是手動(dòng)完成的。麻省理工學(xué)院的研究人員在 5 月份的 EEE 安全和隱私研討會(huì)上發(fā)表了他們的論文，他們在會(huì)上列出了他們系統(tǒng)的細(xì)節(jié)，以便任何人都可以實(shí)施。據(jù)悉，該系統(tǒng)目前用于保護(hù)其網(wǎng)絡(luò)瀏覽器通信。

安全研究漏洞補(bǔ)丁 IBM X-Force Red Lab Wi-Fi 入侵

最近，IBM X-Force Red Labs 表示，他們創(chuàng)造了一種低于 100 美元的 DIY 設(shè)備，可以通過日常快遞包裹運(yùn)送到指定的設(shè)施，然后可以遠(yuǎn)程控制該設(shè)備。嗅探和入侵目標(biāo)企業(yè)的本地 Wi-Fi 以訪問敏感的企業(yè)網(wǎng)絡(luò)，這是 X-Force Red 配音的一項(xiàng)新技術(shù)。據(jù)悉，X-Force Red 使用現(xiàn)成的組件（包括低功耗單板計(jì)算機(jī)和物聯(lián)網(wǎng)調(diào)制解調(diào)器）構(gòu)建了該設(shè)備，然后通過其遠(yuǎn)程服務(wù)器對其進(jìn)行控制，從而成功發(fā)起攻擊。

漏洞補(bǔ)丁硬件驅(qū)動(dòng)

最近，研究人員在 40 個(gè)驅(qū)動(dòng)器系統(tǒng)中發(fā)現(xiàn)了可能允許攻擊者提升權(quán)限的安全漏洞。該漏洞可能允許攻擊者偽裝成代理并獲得對硬件資源的特權(quán)訪問。該漏洞影響了 20 家全球知名硬件制造商，其中 15 家已經(jīng)升級了受影響的驅(qū)動(dòng)程序。

漏洞補(bǔ)丁 CTF 協(xié)議漏洞

近日，零安全團(tuán)隊(duì)的研究人員表示，微軟鮮為人知的 CTF 協(xié)議中的一個(gè)漏洞很容易被利用，黑客或惡意程序已經(jīng)在受害者的計(jì)算機(jī)上站穩(wěn)腳跟，可以利用該漏洞劫持任何應(yīng)用程序并接管整個(gè)操作系統(tǒng)。據(jù)悉，該漏洞影響自XP以來的所有版本，目前尚不清楚微軟是否或何時(shí)發(fā)布補(bǔ)丁。

漏洞補(bǔ)丁遠(yuǎn)程控制

用戶需要盡快將系統(tǒng)升級到最新版本，以修復(fù)現(xiàn)有的 4 個(gè)遠(yuǎn)程桌面漏洞。蠕蟲可以利用這四個(gè)已修復(fù)的漏洞快速從一個(gè)終端感染到另一個(gè)終端。利用這些漏洞，攻擊者無需身份驗(yàn)證即可控制受影響的機(jī)器，而無需與用戶進(jìn)行任何交互。此外，在微軟 8 月份的更新中，除了這 4 個(gè)漏洞外，還修復(fù)了 89 個(gè)漏洞，其中嚴(yán)重的 25 個(gè)，嚴(yán)重的 64 個(gè)。

漏洞補(bǔ)丁藍(lán)牙密鑰協(xié)商

最近，超過 10 億臺藍(lán)牙設(shè)備（包括智能手機(jī)、筆記本電腦、智能物聯(lián)網(wǎng)設(shè)備和工業(yè)設(shè)備）被發(fā)現(xiàn)容易受到名為 CVE-2019-9506 的高度嚴(yán)重漏洞的攻擊，該漏洞可能允許攻擊者監(jiān)控兩個(gè)設(shè)備之間傳輸?shù)臄?shù)據(jù)。該漏洞稱為藍(lán)牙密鑰 (KNOB) 攻擊，可讓靠近目標(biāo)設(shè)備的遠(yuǎn)程攻擊者攔截、監(jiān)控或操縱兩個(gè)配對設(shè)備之間的加密藍(lán)牙通信。

Adobe 漏洞補(bǔ)丁

Adobe 于周二發(fā)布了 8 月份的錯(cuò)誤，修復(fù)了 8 個(gè)產(chǎn)品中的 118 個(gè)錯(cuò)誤。其中，Adobe 涉及的漏洞數(shù)量最多，達(dá)到 75 個(gè)；此外光束筆刷下載2，還修復(fù)了 CC 中的 34 個(gè)漏洞。 Adobe表示，目前修復(fù)的漏洞還沒有被廣泛發(fā)現(xiàn)和利用。

漏洞補(bǔ)丁 0day 特權(quán)升級漏洞 Steam

近日，全球流行的Steam游戲客戶端曝光了一個(gè)0day提權(quán)漏洞，影響全球超過1億的Steam用戶。該漏洞可能允許計(jì)算機(jī)上的低權(quán)限用戶以特權(quán)運(yùn)行程序。這意味著惡意 軟件 很可能利用此漏洞對受害者的機(jī)器進(jìn)行深度破壞。考慮到Steam是一個(gè)軟件，總用戶1.2億，日在線用戶超過300萬，并且一直有大量新用戶加入和使用，預(yù)計(jì)這漏洞將對全球游戲用戶產(chǎn)生深遠(yuǎn)影響。

黑客攻擊捷克外交部

近日unfold3d，捷克外交部于周二被曝遭到外國當(dāng)局襲擊，但杰克官員并未透露事件細(xì)節(jié)，也未指明發(fā)動(dòng)襲擊的國家。一位政府消息人士告訴路透社，捷克當(dāng)局懷疑襲擊來自俄羅斯。

黑客攻擊數(shù)據(jù)泄露.to

最近入侵了競爭對手.to的黑客論壇網(wǎng)站，泄露了后者超過32.10,000名成員的數(shù)據(jù)。該行動(dòng)之所以啟動(dòng)，是因?yàn)橐恍┦芎φ哒谟懻撊绾纹平? 帳戶、出售 軟件 漏洞以及自己從事其他潛在的非法活動(dòng)。漏洞披露網(wǎng)站 Have I Been Pwned 報(bào)告稱，周五的轉(zhuǎn)儲(chǔ)暴露了 749,161 個(gè)唯一的電子郵件地址。除了電子郵件地址外，論壇用戶的 IP 地址、私人消息和轉(zhuǎn)儲(chǔ)的哈希密碼等數(shù)據(jù)也被泄露，由網(wǎng)站論壇應(yīng)用程序 myBB 生成。

黑客攻擊海蓮花柬埔寨微布在線

近日，微步網(wǎng)獵系統(tǒng)捕捉到了海蓮花針對柬埔寨的新攻擊活動(dòng)。經(jīng)分析，此次襲擊發(fā)生在6月底至今。受害者似乎是柬埔寨政府的目標(biāo)。推測可能是為了竊取政治情報(bào)；攻擊向量是偽裝成Word文檔的RAR自解壓文件，攻擊者在自解壓層添加注冊表操作繞過UAC；攻擊者利用核心木馬多層加載機(jī)制并插入花指令等對抗分析，核心木馬具有采集受害主機(jī)相關(guān)配置信息并接受C2指令控制各種操作執(zhí)行的功能；通過對相關(guān)樣本、IP和域名的溯源分析，共提取出4個(gè)相關(guān)IOC，可用于威脅情報(bào)檢測。

數(shù)據(jù)泄露漏洞補(bǔ)丁英國航空電子客票系統(tǒng)未加密鏈接

電子客票系統(tǒng)中的一個(gè)漏洞最近被曝光，攻擊者可以利用該漏洞非法查看乘客的個(gè)人數(shù)據(jù)或更改其預(yù)訂信息。研究人員周二表示，英國航空公司通過電子郵件發(fā)送給乘客的登機(jī)手續(xù)鏈接未加密，因此攻擊者很容易讀取受害者的預(yù)訂號碼、電話號碼、電子郵件地址和其他信息。同一公共 WiFi 網(wǎng)絡(luò)上的攻擊者可以輕松攔截鏈接請求，偽裝成普通用戶，進(jìn)入乘客的旅行頁面。更糟糕的是，一些機(jī)場早些時(shí)候因其 WiFi 網(wǎng)絡(luò)的漏洞而臭名昭著。攻擊者最終可以訪問大量受害者的個(gè)人數(shù)據(jù)并修改他們的旅行信息。具體包括：郵箱地址、電話號碼、會(huì)員號、姓名、預(yù)訂號、行程、航班號、航班時(shí)間、座位號等信息。該漏洞于今年 7 月首次被發(fā)現(xiàn)。研究人員發(fā)現(xiàn)漏洞后立即通知航空公司。

數(shù)據(jù)泄露約會(huì)軟件3Fun

近日使用破解版adobe軟件的風(fēng)險(xiǎn)，針對“好奇單身人士”的3Fun手機(jī)交友應(yīng)用被曝出涉及用戶隱私和地理位置的會(huì)員數(shù)據(jù)泄露事件。 3Fun 聲稱在全球擁有超過 150 萬會(huì)員。每天產(chǎn)生超過 180,000 條通信。 Pen Test 的安全研究人員發(fā)現(xiàn)，這款約會(huì)應(yīng)用存在幾個(gè)嚴(yán)重的安全漏洞，導(dǎo)致用戶的實(shí)時(shí)位置和其他敏感數(shù)據(jù)被泄露。具體數(shù)據(jù)包括出生日期、性偏好、聊天消息和私人照片。此外，信息泄露與用戶設(shè)置無關(guān)，即使用戶正確啟用了隱私設(shè)置，也會(huì)泄露個(gè)人數(shù)據(jù)。研究人員注意到，應(yīng)用程序?qū)?shù)據(jù)的管理過濾僅在客戶端實(shí)現(xiàn)，攻擊者只需使用簡單的流量中繼即可繞過安全限制查看敏感信息軟件。

美國酒店數(shù)據(jù)泄露

最近使用破解版adobe軟件的風(fēng)險(xiǎn)，這家位于馬里蘭州的酒店特許經(jīng)營商被黑客竊取了 700,000 名賓客信息，包括賓客全名、地址、電話號碼、電子郵件地址等。該漏洞在報(bào)告后幾天被發(fā)現(xiàn)，攻擊者從一個(gè)不安全的數(shù)據(jù)庫中竊取了數(shù)百萬客戶信息。它說，在數(shù)據(jù)庫中發(fā)現(xiàn)的 560 萬條客人記錄中，只有 70 萬是真實(shí)客人，其余都是測試數(shù)據(jù)。攻擊者要求支付 0.4 BTC 以換取保密，相當(dāng)于當(dāng)前價(jià)格 4,200 美元。之后，它表示正在努力實(shí)施額外的控制措施，以防止這種情況再次發(fā)生。

數(shù)據(jù)泄露、監(jiān)控風(fēng)暴、語音轉(zhuǎn)錄

最近又有一條關(guān)于監(jiān)控用戶語音通話的負(fù)面消息，承認(rèn)其聘請了外部承包商將錄制的用戶對話語音轉(zhuǎn)錄成文本，而對此行為的解釋是轉(zhuǎn)錄對話以評估工具準(zhǔn)確性還要強(qiáng)調(diào)的是，這些語音源是完全匿名的，并且都得到了提供者的同意。但是，這樣做的目的并沒有告知承包商的員工，外部承包商不僅不知道語音的來源，也不知道為什么要將語音轉(zhuǎn)換為文本。面對眾多用戶的質(zhì)疑，他選擇暫停語音轉(zhuǎn)錄工作。

Data Leak 2 未加密數(shù)據(jù)

近日，研究人員發(fā)現(xiàn) 2發(fā)生信息泄露事件，導(dǎo)致大量數(shù)據(jù)外流。 2 使用面部識別和指紋掃描作為識別用戶的方式之一，其客戶包括銀行、政府和英國交警等數(shù)千家組織。 2的重要客戶，安防公司也成了“受害者”。據(jù)了解，全球有83個(gè)國家、5700家機(jī)構(gòu)正在使用該安全管理系統(tǒng)。研究人員在掃描過程中發(fā)現(xiàn)了 2 個(gè)網(wǎng)站漏洞。在進(jìn)一步查看是否存在泄漏的過程中，他們發(fā)現(xiàn)了大量未加密、未分類的數(shù)據(jù)庫（即保存的不是生物特征信息的哈希值，而是真實(shí)數(shù)據(jù)）。這大約是 23GB 的數(shù)據(jù)，2780 萬條記錄：包括未受保護(hù)的用戶名、密碼、面部和指紋識別數(shù)據(jù)、出入記錄、設(shè)施日志、員工資料和管理面板。