教育网络安全动态 2021年12月第3期(2021.12.10-2021.12.16) 一、政策要闻 1.国家网信办依法约谈处罚新浪微博 近日,国家互联网信息办公室负责人约谈新浪微博主要负责人、总编辑,针对近期新浪微博及其账号屡次出现法律、法规禁止发布或者传输的信息,情节严重,依据《中华人民共和国网络安全法》《中华人民共和国未成年人保护法》等法律法规,责令其立即整改,严肃处理相关责任人。 国家互联网信息办公室负责人强调,网站平台应当切实履行主体责任,健全信息发布审核、公共信息巡查、应急处置等信息安全管理制度,加强对其用户发布信息的管理,不得为违法违规信息提供传播平台。国家互联网信息办公室将坚持依法管网治网,进一步强化监督管理执法,压实网站平台依法办网的主体责任,保障人民群众合法权益,维护网络空间天朗气清。 (来源:网信中国) 2.中消协发布《50款APP账号注销及自动化推荐退订测评报告》 为推动《网络安全法》及《个人信息保护法》等相关法律法规和标准规范的落实,维护广大消费者个人信息权益,中国消费者协会近日组织开展了APP账号注销及自动化推荐退订测评工作。 测评结果显示,在是否可以顺利注销APP账号方面,50款APP中有20款APP存在不同程度问题,占总排查比例的40%。存在的主要问题为:一是未注明注销条件;二是注销条件设置不合理;三是注销流程设置不合理;四是经人工审核方可注销,但人工审核存在无人受理、承诺时限过长(超过15个工作日)或者承诺时限不明的情况;五是无法通过APP直接注销。 在自动化推荐退订方面,50款APP中有5款APP存在不同程度问题,占总排查比例的10%。存在的主要问题为:一是APP未向用户提供关闭自动化推荐的方式;二是APP内关闭自动化推荐的方式过于隐蔽。 总体来看,网络约车类、餐饮外卖类在两项测评内容上存在问题的APP数量较多,房屋租售类5款APP表现较好,在两项测评内容上均没有发现问题。 (来源:中国消费者协会) 3.小鹏汽车违法采集43万张人脸信息被处罚 近日,上海小鹏汽车销售服务有限公司被徐汇区市场监督管理局罚款10万元。处罚事由为,当事人购买具有人脸识别功能的摄像设备22台安装在旗下门店,以此统计进店人数并分析男女比例、年龄等。 2021年1月至6月,该公司共采集上传人脸照片431623张。该行为未经得消费者同意,也无明示或告知消费者收集、使用目的,违反消费者权益保护法。 (来源:安知讯) 二、技术资讯 4.微软、谷歌OAuth漏洞被用于钓鱼攻击 微软、谷歌OAuth漏洞被用于钓鱼攻击。Proofpoint研究人员发现一系列针对弱OAuth 2.0实现的URL重定向攻击。攻击可以通过钓鱼检测和绕过邮件安全解决方案,并使受害者感觉钓鱼URL看起来是合法的。相关的攻击活动目标包括Outlook Web Access、PayPal、Microsoft 365和Google Workspace。OAuth 2.0 被广泛应用于授权协议中,认证协议允许web或桌面客户端对终端用户控制的资源进行访问,包括邮件、联系人、个人简介、社交媒体账号等。 (来源:汇能云安全) 5.谷歌紧急修复已遭在野利用的高危 V8 0day (CVE-2021-4102) 谷歌表示,“已注意到在野出现CVE-2021-4102的 exploit 报告”。虽然谷歌表示安全更新到达所有用户手中还需要一段时间,不过已经开始在稳定桌面版频道向全球推出Chrome 96.0.4664.110版本。用户可通过“Chrome menu > Help > About Google Chrome”路径找到更新。Chrome 浏览器将自动检查最近发布的更新并在下一次启动时自动更新。一位匿名安全研究人员提交了 (CVE-2021-4102) 漏洞,漏洞源于 Chrome V8 JavaScript 引擎中的use-after-free bug(内存重用漏洞),在内存位置释放后,程序没有清除指向这里的指针,攻击者可利用这一漏洞来执行任意代码或逃脱浏览器安全沙箱的控制。虽然谷歌表示已检测到该0day 的在野利用攻击,但并未分享更多详情,为大多数用户修复漏洞争取时间。 (来源:汇能云安全) 6.涉及百万台主机,谷歌宣布摧毁Glupteba僵尸网络 近日,谷歌宣布破坏了Glupteba僵尸网络。同时,谷歌还起诉了两位俄罗斯人Dmitry Starovikov和Alexander Filippov,这两位被认为是该僵尸网络的创建者和运营者,并同步经营着为Glupteba做广告的在线网站。例如,dont.farm就被用来出售被感染的谷歌和Facebook广告账户访问权。Glupteba开始活跃于2011年,截至目前,该僵尸网络已经发展成由全球超100万台Windows PC设备组成的庞大网络。该僵尸网络从感染设备中窃取用户证书和数据,滥用受害者资源挖掘加密货币,并设置代理服务器,通过受感染的机器和路由器来输送其他人的互联网流量。僵尸网络运营商通过破解盗版软件的安装路径来传播恶意软件。去年夏天,谷歌就观察到Glupteba恶意软件打着“免费下载”的幌子,频频活跃在诸多在线电影流媒体和视频下载网站,当用户点击软件免费下载的链接时,Glupteba恶意软件就被神不知鬼不觉地下载安装到用户设备上。为了避免沦为Glupteba分发恶意软件的“工具”,谷歌已经删除了大约6300万个文档文件、1183个账户、908个云项目,以及870个谷歌广告账户。 (来源:FreeBuf) 7.微软发布了12月安全更新信息 2021年12月15日,微软发布了2021年12月份安全更新,共67个漏洞的补丁程序。本次更新主要涵盖了Microsoft Office、Microsoft PowerShell、Chromium-based Edgebrowser、Windows Kernel、PrintSpooler、Remote Desktop Client、WindowsEncrypting File System (EFS)等组件。CNNVD对其危害等级进行了评价,其中超危漏洞3个、高危漏洞41个、中危漏洞23个。微软多个产品和系统版本受漏洞影响,具体影响范围可访问https://portal.msrc.microsoft.com/zh-cn/security-guidance查询。 微软官方补丁下载地址: https://msrc.microsoft.com/update-guide/en-us (来源:CNNVD安全动态) 三、国际视野 8.南澳大利亚8万政府员工信息遭泄漏 12月10日,南澳大利亚州政府披露,由于外部薪资软件提供商Frontier Software的系统于上个月遭到Conti勒索软件攻击,因此州政府的数万名员工的敏感个人信息遭到泄露。南澳大利亚州政府唯一没有受到影响的公共组织是教育部,因为该部门不使用Frontier的产品。南澳大利亚州财政部长表示,除了教师和教育部之外,南澳大利亚政府的任何雇员都可能受到影响。州政府正采取一切可能的措施来审查其网络安全措施,以防止将来发生此类事件。研究人员建议受此事件影响的政府雇员谨慎对待收到的电子邮件、电话和短信,重置密码并在可能的情况下开启双因素身份验证。 (来源:腾讯新闻) 9.51人在乌克兰被逮捕,涉嫌在黑客论坛贩卖三亿数据 近日,乌克兰执法部门逮捕了51名嫌疑人,这些人涉嫌在全球多个黑客论坛出售数亿个人数据,涵盖美国和欧洲(含乌克兰)等多个国家地区。此次行动中,乌克兰执法部门总计查封了百余个与2020-2021年相关的个人数据库,其中涉及超3亿欧洲(包含乌克兰本土)和美国公民的个人数据,具体涵盖了包括电话号码、姓名、地址,甚至是车辆登记等内容。与此同时,在这次大规模行动之后,乌克兰警方还关闭了最大的非法数据交易网站,该网站长期出售从乌克兰人和外国人那里窃取的个人信息。 (来源:安全客) 10.以色列举行多国金融系统网络攻击防御演习 近日,由以色列领导的10个国家共同模拟了对全球金融系统的大规模网络攻击,此次演习试图加强全面合作,以共同遏制对金融市场和银行的任何潜在损害。原计划在迪拜世界博览会上举行的本次模拟演习,因新冠肺炎疫情转移到了以色列。这项称为“集体力量”倡议的演习,邀请到了美国、英国、阿拉伯联合酋长国、奥地利、瑞士、德国、意大利、荷兰和泰国的财政官员,以及国际货币基金组织(IMF)、世界银行(World Bank)、国际清算银行(BIS)等国际金融机构的代表参与。以色列财政部称其为模拟的“战争演习”,演习的准备工作在过去的一年中持续进行,想定的情况在10天发展演化,比如敏感数据在暗网上发布。在模拟中还使用了假新闻报道,这将导致全球市场混乱和银行挤兑。由“老练的”威胁行为参与者发起的模拟行动,包括多种不同类型的攻击,这会造成对全球外汇和债券市场、流动性、数据完整性以及进口商和出口商之间的交易的影响。 (来源:网络安全应急技术国家工程实验室) 以上内容不代表本部门观点,如有侵权请及时联系我们。
|