易盾业务风控周报每周呈报值得关注的安全技术和事件,包括但不限于内容安全、移动安全、业务安全和网络安全,帮助企业提高警惕,规避这些似小实大、影响业务健康发展的安全风险。
1.国家网信办启动专项行动 剑指12类违法违规互联网信息
近日,针对网络生态问题频发、各类有害信息屡禁不止等突出问题,为积极回应民众关切,国家网信办启动网络生态治理专项行动。
据悉,此次专项行动于2019年1月正式启动,将持续开展6个月,分为启动部署、全面整治、督导检查、总结评估四个阶段,对各类网站、移动客户端、论坛贴吧、即时通信工具、直播平台等重点环节中的淫秽色情、低俗庸俗、暴力血腥、恐怖惊悚、赌博诈骗、网络谣言、封建迷信、谩骂恶搞、威胁恐吓、标题党、仇恨煽动、传播不良生活方式和不良流行文化等12类负面有害信息进行整治,集中解决网络生态重点环节突出问题,充分运用现有行政执法手段,严厉查处关闭一批违法违规网站和账号,有效遏制有害信息反弹、反复势头,促进网络生态空间更加清朗。
2.贩卖470余万条12306用户数据的嫌疑人被刑拘
据北京市公安局网络安全保卫总队微博消息,北京警方破获一起侵犯公民个人信息案,网上贩卖470余万条疑似12306铁路订票网站用户数据的犯罪嫌疑人陈某,已被刑拘。12月28日,北京市公安局网络安全保卫总队(以下简称网安总队)工作中发现,网传有人利用互联网贩卖470余万条疑似12306铁路订票网站的用户数据,引发社会广泛关注。中国铁路总公司官方微博回应“网传信息不实,12306网站未发生用户信息泄露”。
3.携程陷“信息泄露”丑闻!用户买机票遭诈骗12万
《北京晚报》报道,申女士通过携程手机app替同事订机票后却收到航班取消的诈骗短信,在对方诱骗之下,申女士开通了支付宝“亲密付”功能和银行卡的网银功能,先后被转走近12万元。事后,申女士将携程和支付宝(中国)网络技术有限公司一并诉至法院,要求两公司连带赔偿经济损失并赔礼道歉,赔偿精神损害抚慰金1万元。日前,朝阳法院对此案作出一审判决,审理后认定,携程公司在信息安全管理的落实方面存在漏洞,未尽个人信息的保管及防止泄露义务,判决携程公司赔偿申女士经济损失5万元并赔礼道歉。
4.教育部:禁止有害app进入中小学校园
近日,教育部办公厅印发了《关于严禁有害app进入中小学校园的通知》,要求各地采取有效措施,坚决防止有害app进入中小学校园。《通知》强调,要开展全面排查,凡发现包含色情暴力、网络游戏、商业广告及违背教育教学规律等内容的app要立即停止使用,要将涉嫌违法违规的app、微信公众号报告当地网络信息管理和公安部门查处。
5.越南网络安全新法生效,责令互联网公司删除“有毒”内容
据法新社报道,越南网络安全新法于1月1日正式生效。该法规定,互联网公司必须删除被政府认定为“有毒”的网上内容,越南互联网用户也不得在互联网上散布反政府信息或歪曲历史。此外,脸书、谷歌等国际科技巨头要在越南开展业务必须在越南国内设立代表处,而且在越南政府要求下必须将用户数据提交给政府。
越南公安部两个月前发布法令草案,说明如何实施这项法律,且给予在越南提供网络服务的公司12个月的宽限期。
6.twitter对推广内容监管不力 让假paypal账号大肆行骗
近日,外媒tnw 编辑 matthew hughes 不幸刷出了一条来自诈骗账号 @paypalchristm 的推广内容。诈骗者宣称自己是个合法的 paypal 官方账号,忽悠用户参加年中抽奖。虽然没有明确说明这些奖品是啥,但配图已经赤裸裸地晒出了 iphone 和玛莎拉蒂。想要参与,就必须“验证”用户信息。尽管骗局漏洞百出,但是对于专业技能欠缺的普通网友来说,它的杀伤力还是不容小觑的。有经验的人们,可以一眼发现该账号未经认证、粉丝数少于 100,所附网址的 paypal 也被拼成了 paypall 。
7.利用“爬虫”抓视频 法院审结全国首例计算机抓取数据案
近期,海淀法院审结了一起利用“爬虫”技术侵入计算机信息系统抓取数据的刑事案件。该案是全国首例利用“爬虫”技术非法入侵其他公司服务器抓取数据,进而实施复制被害单位视频资源的案件。
被告人宋某于2016年8月至2017年2月任职上海某网络科技有限公司,担任联席ceo,是产品负责人;被告人侯某于2016年8月至2017年2月任上海某网络科技有限公司cto,是技术负责人;被告人郭某是上海某网络科技有限公司职员。张某、宋某、侯某经共谋,2016年至2017年间采用技术手段抓取被害单位北京某网络技术有限公司服务器中存储的视频数据。法院审理认为其行为已构成非法获取计算机信息系统数据罪,分别判处被告单位罚金人民币20万元,判处张某等四人有期徒刑9个月至1年不等的刑罚及人民币3万元至5万元不等的罚金。
8.谷歌recaptcha系统被破解,机器语音验证准确率高达85%
美国马里兰大学的四位研究员开源了一个名为uncaptcha的工具,能够破解谷歌的验证码系统recaptcha,其进行语音验证的准确率高达85%。据该项目负责人称:“recaptcha系统的语音识别体制由一长串数字读音组成,每个字的语速、音调都不相同,甚至还会改变口音。为了解析这些数字,首先需要从网页上将音频文件下载下来,再导入到在线的语音识别工具中(比如ibm、谷歌云、谷歌语音识别、sphinx、wit-ai、微软bing语音识别)进行识别,再将解析后的结果嵌入验证框即可通过验证。”
9.任正非致全体员工信:网络安全和隐私保护是最高纲领
新年伊始,任正非签发华为2019年一号文件,任正非在文中指出,华为已经明确把网络安全和隐私保护作为公司的最高纲领,要在每一个ict基础设施产品和至尊全讯大全官网的解决方案中,都融入信任、构建高质量。关键内容包括:
安全性(security)。产品有良好的抗攻击能力,保护业务和数据的机密性、完整性和可用性。
韧性(resilience)。系统受攻击时保持有定义的运行状态,包括降级,以及遭遇攻击时快速恢复的能力。
隐私性(privacy)。遵从隐私保护既是法律法规的要求,也是价值观的体现。用户应该能够适当地控制他们的数据的使用方式。信息的使用政策应该是对用户透明的。用户应该根据自己的需要来控制何时接收以及是否接收信息。用户的隐私数据要有完善的保护能力和机制。
可靠性和可用性(reliability& availability)。产品能在生命周期内长期保障业务无故障运行,具备快速恢复和自我管理的能力,提供可预期的、一致的服务。
10.北京市网信办约谈百度、搜狐等公司 责令其相关产品暂停更新
1月2日,国家互联网信息办公室指导北京市互联网信息办公室,分别约谈百度、搜狐等互联网公司,针对百度部分产品和频道传播低俗庸俗信息、严重破坏网上舆论生态等问题,约谈百度相关负责人,责令立即全面深入整改。整改期间,百度手机网页版、百度新闻客户端“推荐频道”、百度app“女人频道”“搞笑频道”“情感频道”自1月3日15时起暂停更新一周;针对搜狐wap网、搜狐新闻客户端传播低俗庸俗信息、破坏网上舆论生态等问题,约谈搜狐相关负责人,责令立即全面深入整改。整改期间,搜狐wap网“新闻频道”、搜狐新闻客户端“新闻频道”自2019年1月3日15时起暂停更新一周。
11.百度发布2018内容生态综合治理报告 全年处置有害信息502.2亿条
1月2日,百度发布了《百度2018年内容生态综合治理报告》,公布了其2018年在内容生态治理和建设的全方位措施以及取得的成效。尤其是在互联网信息安全方面,百度通过全方面手段所处置的包括淫秽色情、毒品、赌博、诈骗、侵权等11类有害信息共达502.2亿余条,有效净化了互联网环境,保障了广大用户的安全和利益。