教育网络安全动态2021年12月第4期(2021.12.17-2021.12.30) 一、政策要闻 1.工信部就《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)(征求意见稿)》公开征求意见为贯彻落实《中华人民共和国数据安全法》等法律法规,加强工业和信息化领域数据安全风险信息获取、分析、研判和预警工作,及时掌握工业和信息化领域数据安全整体态势,提高数据安全风险处置能力,工业和信息化部研究起草了《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)(征求意见稿)》,拟以规范性文件形式印发,现面向社会公开征求意见。 (来源:工信部) 2.北京地铁又见刷脸安检,引隐私泄露担忧。专家:应先征求意见近日,北京地铁天通苑等五座试点车站开通“实名常乘客快速进站通道”——乘客“刷脸”可免去部分安检。据南都记者现场采访,有乘客认为,走人脸识别通道更方便;也有部分乘客直言担心人脸信息遭泄露,拒绝“刷脸”安检。据北京地铁方面介绍,该服务系方便实名认证常乘客快速进站,一定程度上减少了安检人力,目前仍处于试点阶段,未来将会依据试点情况决定是否推行。南都记者了解到,早在两年前,北京地铁方面就曾试点过人脸识别安检,济南、西安、广州、成都等地也已引入类似服务。 专家表示,地铁与日常生活结合紧密,一旦地铁全面推广人脸识别,公众的行踪轨迹容易被追踪,或有隐私泄露风险。另外,不应压缩原有的安检通道改成人脸识别通道,需充分保证乘客的自主选择权,若是采取内部不透明的标准将乘客分类并采取不同安检措施,可能引发对某些群体的歧视性对待。 (来源:隐私护卫队) 3.央视曝光部分App禁止全部权限仍可获取用户信息根据央视网快看视频内容,工程师现场随机安装了一款APP,打开软件并禁止了所有权限,退出等待几分钟之后,检测系统有了惊奇的发现:“它(APP)退到后台的时候,还有对于位置的一些访问信息和访问动作”。此外,工程师还对另外一款APP设置了在使用期间可用位置信息,但是在没有对手机进行任何操作的情况下,这个APP依然在不断地获取用户位置信息,短短几分钟之内就多达14次。目前APP窃取个人隐私,主要是通过获取位置以及通讯录和照片等权限的方式,因此专家也建议,手机用户在使用手机的过程中,应该尽量最小化地赋予APP权限。 (来源:央视网快看视频) 4.通讯营业厅业务员贩卖公民个人信息被判刑6个月2021年12月20日,广西富川瑶族自治县人民法院开庭审理了被告人王某某侵犯公民个人信息罪一案。被告人王某某利用其系某移动通讯代理商及员工身份,在给客户办理业务时,未经过客户同意,使用客户手机和号码下载并注册特定渠道的抖音、淘宝、拼多多等手机软件,同时开通客户手机软件地理位置访问权限。注册成功后,被告人王某某将手机型号、手机编号等信息发送至特定微信群或某微信账号,以此方式将公民信息贩卖他人,期间共获利10423.5元。2021年7月6日,被告人王某某被抓获归案。富川法院依法以侵犯公民个人信息罪,判处被告人王某某有期徒刑六个月,缓刑一年,并处罚金人民币一万元,并对违法所得予以没收,上缴国库。 (来源:广西新闻频道) 5.K-12教育应用存在“严重安全风险”据非营利组织Me2B Alliance近期发布的报告显示,K-12教育使用的许多应用程序存在各种严重的安全问题,其中包括可能导致学生数据“不受监管和失控”地分享给广告公司。Me2B共对38 所k-12学校使用的73个应用程序进行测评,发现其中有60%的应用会将学生数据发送给第三方,大约有50%的应用将数据发送给了Google,约有10%的应用将数据发送给Facebook。值得一提的是,Me2B对一个名为“WebView”通用功能的使用进行专门研究,该功能允许开发人员将网页集成到应用程序中。在学校的很多应用中都使用了该功能,它允许学校在应用中集成动态的网页信息(例如日历和体育赛事的结果),且无需更新应用程序。但是,它也很有可能导致学生数据被窃取,更糟糕的是,学生和家长还可能因此成为网络诈骗的目标。 (来源:FreeBuf) 二、技术资讯 6.微软 Azure App Service 漏洞 NotLegit已存在4年,客户源代码被暴露该漏洞被称为 “NotLegit”,存在于 Azure 云的特性 Azure App Service 中,可使客户从源代码仓库部署网站和 web 应用。研究人员表示,如果Azure 客户从托管于同一个 Azure 服务器上的 Git 仓库的部署网站上选择 “Local Git” 选项,则源代码也被暴露在网上。微软在文章中表示,通过这种方法部署的所有 PHP、Node、Ruby 和 Python 应用均受影响。仅部署在基于 Linux 的 Azure 服务器上的应用受影响,托管在 Windows Server 系统上的应用不受影响。Wiz 公司在报告中指出,虽然源代码暴露始于2017年即漏洞出现在Azure 系统之时,但自2013年部署的应用均受影响。 (来源:汇能云安全) 7.阿帕奇最新漏洞通报近期Apache HTTP Server 代码问题漏洞(CNNVD-202112-1578、CVE-2021-44224)和Apache HTTP Server 缓冲区错误漏洞(CNNVD-202112-1579、CVE-2021-44790)频发。成功利用漏洞的攻击者,可以构造恶意数据对目标服务器进行攻击,进而执行任意代码。Apache HTTP Server 2.4.51及其以下版本均受此漏洞影响。目前,Apache官方已经发布了版本更新修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。 (CNNVD安全动态) 三、国际视野 8.全球最大图片服务公司Shutterfly遭Conti 勒索软件攻击近日,Shutterfly被曝大约在两周前遭受了Conti 勒索软件攻击,大约有4000多台设备和120台 VMware ESXi 服务器被加密,攻击者以此勒索数百万美元的赎金。截止到目前,Shutterfly依旧在和攻击者进行协商。这些数据包括法律协议、银行和商家帐户信息、公司服务的登录凭据、电子表格,以及其他用户私密的信息,包括信用卡最后四位数字等。此外,Conti勒索组织还表示已经拿到 Shutterfly 商店的源代码,但目前无法确定是不是Shutterfly.com网站。目前Shutterfly公司已经聘请了第三方网络安全专家,通知了执法部门,正以最大的努力解决这一问题。 (来源:汇能云安全) 9.隐瞒数据泄露,前优步CSO面临重罪指控近日,美国联邦大陪审团指控优步(Uber)的前首席安全官(CSO)约瑟夫·沙利文(Joseph Sullivan)犯有三项电汇欺诈罪,此前沙利文因隐瞒2016年的大规模数据泄露事件而被起诉。现年52岁的沙利文2015年4月至2017年11月期间担任优步的CSO,目前还面临2020年8月被指控的妨碍司法公正和叛国罪等重罪指控。如果这些罪名成立,沙利文将面临最高8年的监禁和50万美元的罚款。检察官声称沙利文向当局隐瞒和误导2016年的数据泄露事件,该事件暴露了5700万乘客的个人信息,其中包括约60万名优步司机的驾照等信息。 (来源:数据合规社) 10.黑客利用Log4Shell漏洞攻击比利时国防部Security Affairs 网站披露,比利时国防部遭到了网络攻击,研究人员发现,威胁者似乎利用了Log4Shell漏洞。此次网络攻击于上周四被发现,但是国防部一直到今天才披露了这一情况。随后比利时国防部发言人称,黑客利用了Log4j软件中被爆出的Log4Shell漏洞,而关于这次攻击更详细的信息没有提供。但据当地媒体报道,这一安全漏洞使国防部日常工作受阻数日。比利时国防部长Ludivine Dedonder的发言人称:过去几天,国防部网络安全团队一直在努力工作,以确保其网络安全。为了防止未来发生类似事件,政府将继续投资于网络安全。据悉,Log4Shell漏洞被披露后,许多APT组织立即开始在其行动中利用该漏洞。 (来源:FreeBuf) 以上内容不代表本部门观点,如有侵权请及时联系我们。
|