教育网络安全动态
2021年11月第2期(2021.11.5-2021.11.11)
一、政策要闻
1.中央网信办等部门联合印发《关于开展IPv6技术创新和融合应用试点工作的通知》
近日,中央网信办、国家发展改革委、工业和信息化部、教育部、科技部、公安部、财政部、住房和城乡建设部、水利部、中国人民银行、国务院国资委、国家广电总局印发《关于开展IPv6技术创新和融合应用试点工作的通知》,联合组织开展IPv6技术创新和融合应用试点工作,聚焦重点领域,优先方向和瓶颈问题,探索IPv6全链条、全业务、全场景部署和创新应用,以点促面,整体提升IPv6规模部署和应用水平。
(来源:网信中国)
2.江苏省消保委通报电商平台:关闭定向推送仍强制收集消费习惯
继工信部提出腾讯、阿里等39家互联网企业应建立“个人信息保护双清单”后,江苏省消保委于11月9日通报对淘宝、京东、拼多多、苏宁易购、考拉海购、网易严选、唯品会七家知名电商平台的调查情况。
调查发现,七家平台均存在的问题有:要求消费者默认同意收集非必要信息以便推送个性化广告;用户个人信息去标识化的所有流程都被隐藏于平台的“内定规则”之中;平台只提供了个性化展示关闭功能,而未提供信息收集终止功能,消费者即使选择关闭定向推送,其消费习惯、搜索记录等信息依然在被强制收集的状态之下。
江苏消保委认为,根据消费者的购物记录、消费习惯进行分析进而推送商品的个性化展示不是网购的基本功能,也不是网购平台的必须功能。平台要求消费者接受收集非必要信息属于违法违规收集个人信息的行为,侵害了消费者的选择权、公平交易权以及个人信息安全。
(来源:隐私护卫队)
3.八部门发文:加强校外培训广告管控,开展全面排查清理!
近日,市场监管总局会同中央宣传部、中央网信办、教育部、民政部、住房城乡建设部、国资委、广电总局研究出台《关于做好校外培训广告管控的通知》(以下简称《通知》),就做好校外培训广告管控工作作出部署。《通知》要求,地方相关部门要立即开展专项行动,严格按照有关政策文件要求,不区分学科、非学科类,集中时间、集中力量对校外培训广告进行全面排查清理,清理存量、杜绝增量。
各地要立即组织主流媒体及其新媒体、网络平台企业、户外广告位经营管理单位等相关市场主体开展自查整改,要求相关传播平台全面梳理在播、在刊广告,发现校外培训广告立即停止刊播。
(来源:人民网)
二、技术资讯
4.关于微软多个安全漏洞的预警
微软官方发布了多个安全漏洞的公告,包括MicrosoftWindows Active Directory 权限许可和访问控制问题漏洞(CNNVD-202111-788、CVE-2021-42291)、Microsoft Windows ActiveDirectory 权限许可和访问控制问题漏洞(CNNVD-202111-789、CVE-2021-42287)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据、提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
(来源:CNNVD)
5.改进版的Mekotio银行木马卷土重来
Mekotio银行木马自2018年3月以来一直处于活动状态,自那时起,该木马一直在不断升级攻击的能力和范围。Mekotio以前针对拉丁美洲的Windows用户,现其目标专注于比特币,而不仅仅是窃取银行业务详细信息。最近,Mekotio银行木马迭代了其隐身和加密技术,卷土重来,其变种的进化版本被设计用于破坏Windows系统,其攻击链善于伪装成待发税收收据的钓鱼电子邮件,其中包含一个ZIP文件链接或一个ZIP文件作为附件。Check Point Research (CPR) 最近几周检测到最新版本的Mekotio的100多次攻击。研究发现,Mekotio的主要特征之一是模块化攻击,这使攻击者能够通过更改整体的一小部分来通过传播发起攻击,以避免被发现。
(来源:汇能云安全)
6.CISA发布306个已知漏洞目录,命令联邦机构及时修补
近日,美国网络安全与基础设施安全局(CISA)发布了306个被积极利用的漏洞目录,并配套出台了一系列具有强约束力的操作指令,命令美国联邦机构在特定时间范围内及时修补这些漏洞。该目录包括来自Adobe、Apple、Atlassian、Cisco、Google、IBM、Microsoft、Nagios、Netgear、Oracle、Pulse Secure 等多个公司的产品漏洞,其中最早的漏洞可追溯到2010年。CISA命令联邦机构在6个月内修复2021年之前分配的CVE(公共漏洞和暴露出弱点的统称),并在两周内修复其它漏洞。
(来源:FreeBuf)
三、国际视野
7.知名券商Robinhood泄露700万用户资料:因员工被社会工程攻击
美国知名互联网股票交易平台Robinhood已经证实在上周遭到黑客攻击,超过500万个客户的电子邮件地址、200万个客户的姓名以及一小批更为具体的客户身份数据被恶意人士掌握。该公司在官方博客中披露,某恶意黑客于11月3日通过电话对一名客服代表展开社会工程攻击,成功访问到客户支持系统,并获得了上述客户姓名、电子邮件地址以及310位客户的具体身份数据(包括全名、出生日期及邮政编码)。Robinhood公司表示,还有10位客户的“更多账户细节信息遭到外泄”,但并没有具体做出解释。不过他们强调泄露内容不涉及社保号码、银行账户或者借记卡号,也没有给客户造成直接经济损失。但恶意黑客完全可以利用这些信息对受害者发动进一步攻击,例如发送有针对性的网络钓鱼邮件,并使用姓名和出生日期伪装成受害者通过某些简单验证等。Robinhood公司还表示,在发现问题并将系统保护起来之后,该黑客立即发出了“勒索赎金”要求。不过Robinhood选择邀请取证与安全厂商Mandiant帮助其调查这次事件。
(来源:汇能云安全)
8.美国基建法案获两院通过,将投入19亿美元建设网络安全
美国时间11月5日晚,美国国会众议院以228票比206票的投票结果,通过了价值1.2万亿美元的两党基建法案。这项基础设施法案将分配19亿美元的网络安全资金,其中将有10亿美元用于建立新的资助计划,帮助各州、地方、部落及领地政府提升网络安全水平。这笔资金将由联邦紧急事务管理局(一直负责国土安全部的各项拨款计划)负责管理,从2022财年开始并持续四年,网络安全与基础设施安全局(CISA)为资金调配提供指导意见。
(来源:央视新闻)
9.新脸书Meta宣布将停用人脸识别系统,删除超10亿份数据
近日,马克·扎克伯格宣布,Facebook将更名为“Meta”。Facebook宣布将不再其平台上使用面部识别系统,并将删除超过10亿的人脸识别数据。当前各国政府对人脸识别技术的应用都有很多担忧,也都出台了一系列人脸识别技术应用的治理措施。关于人脸识别技术应用带来的不确定性风险,最好的办法是将人脸识别技术的使用限制到一定的范围内。Facebook停用人脸识别系统和删除相关数据的背后也反映出其在人脸识别技术使用中的担忧。比如,Facebook因在未经用户同意的情况下收集和存储Facebook用户的生物数据而被伊利诺伊州起诉,最终Facebook与伊利诺伊州达成了6.5亿美元的和解。对于人脸识别技术的应用,有超过1/3的Facebook用户同意使用面部识别特征。由于Facebook不在其平台使用面部识别系统,一些相关的功能将不可用。
(来源:澎湃新闻)
以上内容不代表本部门观点,如有侵权请及时联系我们。