【四維創智】-專研智能,智匯安全-網絡攻防-滲透測試-web安全-無線安全-內網安全 行業資訊 – 【四維創智】

                      四維資訊中心

                      關注最新行業動態,洞悉安全態勢,做行業領跑者!創造屬于我們自己的故事!

                      人臉識別再曝安全漏洞,15分鐘解鎖19款安卓手機

                      ?人臉識別最新漏洞曝光,測試的安卓手機無一幸免!

                       

                      要說之前,拿著照片直接往前置攝像頭懟,肯定不能解鎖手機。
                       

                      但現在,RealAI的團隊有了一個辦法,只需一副定制的“眼鏡”,就可以秒秒鐘破解手機的面部識別系統。
                      眼鏡是這樣式兒的。
                       

                       
                      所需的工具也很常見:一臺打印機、一張A4紙、一副眼鏡框。

                       

                      通過AI算法繪制特殊花紋,打印下來裁剪成眼鏡的形狀,貼在眼鏡框上,就可以破解了。

                       

                      結果在15分鐘內,除了一款iPhone 11,成功解鎖了其余所有19部安卓機型。

                       

                      這也就意味著,只要搭載了人臉識別功能的應用和設備,黑客都有可能利用這一漏洞,對用戶的隱私安全和財產安全造成威脅。

                       

                      那么具體是如何實現的呢?
                       

                      安卓手機無一幸免

                       

                      不同于以往在實驗室中的測試,這場測試是在現實場景下的實打實“攻擊”。

                       

                      測試過程非常簡單,只需要三個步驟。

                       

                      首先,選取20款攻擊對象。

                       

                      除了一臺iPhone 11,其余都是安卓機型。
                       

                      這些手機涵蓋了國內前五的手機品牌,覆蓋了不同價位、不同型號,低端機到旗艦機都有。

                       

                      甚至,連去年12月剛上市的手機也不放過。(Maybe大家可以猜猜是哪款,手動狗頭)
                       

                      第二步,錄入人臉,也就是在20部手機里統一錄入同一位測試人員的人臉驗證信息。

                       

                      第三步,定制“眼鏡”。

                       

                      拿到被攻擊者的照片后,攻擊者通過算法,在眼部區域生成干擾圖案,然后打印出來裁剪成“眼鏡”的形狀,貼在鏡框上。
                       

                       

                      這一“干擾圖案”,看上去像是被攻擊者的眼部圖案,但其實是攻擊者通過算法,計算生成的擾動圖案。

                       

                      △左一為被攻擊對象的眼部圖像,右一、右二為生成的對抗樣本圖案

                       

                      這一技術叫做“對抗攻擊”,其中生成的干擾圖案,就是對抗樣本。
                       

                      簡單來說,就是將攻擊者的圖像設定為輸入值,被攻擊者的圖像設定為輸出值。

                       

                      算法會自動計算出最佳的對抗樣本圖案,保證兩張圖像的相似度最高。

                       

                      最終,除了iPhone11幸免于難,其余手機全部成功解鎖,且攻擊難度上也幾乎沒有區分,都是秒級解鎖。

                       
                      除此之外,測試人員還發現:
                       

                      盡管普遍來看低端機識別安全性要更差一些,但抵御攻擊性能的強弱似乎與手機是否高端機型并無直接聯系。比如說,有一款2020年12月最新發布的的旗艦機,多次測試下來發現,基本都是“一下子”就打開了。

                       

                      “如果開源,黑客一張照片就可破解”
                       

                      其實,對抗攻擊技術算不上新穎。

                       

                      2019年8月份,AI算法就在現實世界中首次實現攻擊。

                       

                      來自莫斯科國立大學、華為研究者們曾發布,在腦門上貼一張對抗樣本圖案,能讓公開的 Face ID 系統識別出錯。

                       

                      去年7月,微軟曠視開發了一套算法,只在照片上做了小改動,就有如穿上「隱身衣」,導致人臉識別系統無法破解。
                       


                       
                      但這些攻擊,僅僅只是讓識別系統識別不出目標,并沒有完成破解。
                       

                      如今,RealAI團隊真正實現了破解過程,且整個操作時長不到15分鐘,這一方面證實了對抗樣本攻擊在現實生活中能夠帶來安全威脅。
                       

                      另一方面也印證了人臉識別系統背后的隱憂。正如團隊里的一個成員所說:
                       

                      如果有黑客惡意開源這一算法的話,上手難度就被大大降低了,剩下的工作就只是找張照片。
                       

                      言外之意就是,只要能拿到被攻擊對象的1張照片,就能很快制作出犯罪工具,實現破解。
                       

                      這也給一些企業帶來了全新的安全挑戰。

                      1月 26,2021 by admin

                      這63款侵害用戶權益行為APP你有嗎?

                      關于侵害用戶權益行為的APP通報(2020年第七批)

                        依據《網絡安全法》《電信條例》《電信和互聯網用戶個人信息保護規定》等法律法規,按照《關于開展縱深推進APP侵害用戶權益專項整治行動的通知》(工信部信管〔2020〕164號)工作部署,我部近期組織第三方檢測機構對手機應用軟件進行檢查,督促存在問題的企業進行整改。截至目前,尚有63款APP未完成整改(詳見附件),上述APP應在12月28日前完成整改落實工作。

                       

                      此次檢測發現,APP未經用戶同意,私自收集設備MAC地址信息;將用戶個人信息發送給第三方SDK的問題較多。部分頭部企業APP檢測仍發現問題,且未按我部要求時限整改完成。部分應用商店及移動應用分發平臺對利用技術對抗、更換“馬甲”等方式故意逃避我部監管的企業,監測發現和處置力度不夠。后續我部將對上述問題突出、有令不行、整改不徹底的相關企業,采取全面下架、停止接入、行政處罰以及納入電信業務經營不良名單或失信名單等措施,依法嚴厲處置。

                       

                      附件:存在問題的應用軟件名單(2020年第七批)

                      工業和信息化部信息通信管理局

                      2020年12月21日

                      存在問題的應用軟件名單(2020年第七批)

                      12月 22,2020 by admin

                      四維創智支撐丨國網北京市電力公司2020年網絡安全攻防技術大賽今天圓滿落幕

                      2020年12月4日國網北京市電力公司2020年網絡安全攻防技術大賽圓滿落下帷幕,本次大賽由國網北京市電力公司互聯網部、國網北京市電力公司電力調度控制中心主辦,國網北京市電力公司電力科學研究院、北京市電力公司黨校(人才服務公司)承辦、四維創智技術支撐。
                       

                       
                      此次競賽主要目的在于練習團隊配合默契,增強團隊成員的實戰能力,同時就競賽中發現的難點,四維創智技術專家,開展了有針對性的特訓工作。決賽以團隊作戰形式比拼,環境目標靶機為高度仿真的北京公司外網網站系統;學員在城市數字電網仿真環境場景下進行真攻真實防。
                       

                       
                      大賽期間四維創智安全團隊為攻防比賽提供了量身搭建、運行穩定的比賽環境,在整個比賽過程中設備運行流暢,獲得參賽選手的一致好評。

                      四維創智一直配備專業的技術團隊提供攻防競賽支撐服務,憑借專業的技術能力和豐富的支撐經驗天幕網絡攻防平臺系統受到客戶高度好評,多年來為政府、公安、電力、金融、等行業提供大型競賽方案及服務,受到各行各業認可。

                      12月 4,2020 by admin

                      特斯拉 Model X 遭遇黑客中繼攻擊 3 分鐘可開走汽車

                      一名黑客成功地為特斯拉汽車開發了一種新的密鑰克隆“中繼攻擊”(Relay Attack),并在特斯拉Model X電動汽車上進行了演示。報道稱,特斯拉被告知了這一新的攻擊,目前準備為其推出新的補丁。
                       

                      在北美,特斯拉汽車被盜相當罕見。但在歐洲,有一些老練的竊賊,他們通過“中繼攻擊”,盜竊了不少特斯拉汽車,其中大多數都沒有被找回。
                       

                      為了應對這些攻擊,特斯拉之前已經推出了額外的安全保護措施,配備了改進的密鑰卡和可選的“PIN to Drive”功能。但如今,一位安全研究員聲稱,他組織了一系列新的攻擊,可以繞過密鑰卡中新改進的加密技術。
                       

                      安全研究員表示,他只需大約90秒的時間,即可進入特斯拉汽車。一旦進入車內,為了能開走汽車,還需要進行第二步攻擊。大概1分鐘左右的時間,他就可以注冊自己的汽車鑰匙,然后把車開走。
                       

                      目前還不清楚,“PIN-to-Drive”功能能否讓沃特斯的第二步攻擊失效,該功能要求司機輸入PIN后,才能讓車輛進入駕駛狀態,而不管密鑰卡是什么。

                      11月 26,2020 by admin

                      閃送、瓜子二手車與聚美優品被約談:違規收集用戶信息、強制授權

                      據北京市通信管理局官網18日信息,閃送、瓜子二手車以及聚美優品移動APP等三家公司在抽測中發現存在違規收集使用用戶信息、強制授權等問題。11月16日,北京市通信管理局約談了相關公司負責人,就三家公司移動APP存在的問題發出書面整改通知,責令限期整改。
                       

                       
                      據悉,在工信部網安局統籌部署下,北京市通信管理局9月初開展了2020年北京市APP數據安全巡查檢測專項行動。
                       
                      北京市通信管理局要求三家公司加強對《網絡安全法》《電信和互聯網用戶個人信息保護規定》等相關法律法規的學習,不斷提升法律意識,并要進一步健全和完善企業數據安全管理和技術保障措施,強化對自身 App 數據安全的規范管理,不斷提升自身數據安全保護治理能力。
                       

                      本次專項行動以《APP違法違規收集使用個人信息行為認定方法》為依據,針對北京市地區獲得經營許可、且在國內主流移動應用商店下載量大的197款APP應用程序開展巡查專項檢測。

                      11月 19,2020 by admin

                      “刷臉”真的安全嗎?2元就能買上千張人臉照片

                      購物時“刷臉”支付、用手機時“刷臉”解鎖,進小區時“刷臉”開門……如今,越來越多的事情可以“刷臉”,用人臉識別技術來解決。
                       
                      近日發布的一份報告顯示,有九成以上的受訪者都使用過人臉識別,不過有六成受訪者認為人臉識別技術有濫用趨勢,還有三成受訪者表示,已經因為人臉信息泄露、濫用而遭受到隱私或財產損失。那么“刷臉”時代,我們的人臉信息安全嗎?
                       

                       
                      人臉識別存在哪些風險?
                       
                      對于人臉識別,多數人是又愛又恨,愛的是它的方便快捷,恨的就是安全風險。
                       
                      嫌疑人“AI換臉”騙過人臉識別實施犯罪
                       
                      在警方今年破獲的兩起盜用公民個人信息案中,值得注意的是,犯罪嫌疑人都是利用“AI換臉技術”非法獲取公民照片進行一定預處理,而后再通過“照片活化”軟件生成動態視頻,騙過了人臉核驗機制,得以實施犯罪的。
                       

                       
                      面具可代替人臉解鎖手機嗎?
                       
                      測試中,科研人員在手機對面放上面具,然后進行光線、色溫以及角度的調節。通過幾次比對,手機成功解鎖。
                       

                       
                      專家表示,這款面具的制作成本并不高,3D打印技術就可以制作出精度尚可的人臉面具或頭套。只要不是在極暗或極亮的背景下,通過面具或頭套進行人臉識別的成功率高達3成。
                       
                      如何增強人臉識別安全性?
                       
                      專家表示,目前最簡單的人臉識別,只需要采集、提取人臉上的6個或8個特征點就能實現。而復雜的人臉識別,則需要采集、提取人臉上的數十個乃至上百個特征點才能實現。相比于解鎖手機,“刷臉”支付、“刷臉”進小區等應用,采集的人臉特征點更多,安全性自然也更高。
                       
                      此外,目前已經研發出了專門針對生物特征的活體檢測技術,可有效識別掃描對象的生命體征,大大降低了識別系統把照片或面具當人臉的風險。
                       

                       
                      2元就能買上千張照片 人臉信息是如何泄露的?
                       
                      經調查發現,在某些網絡交易平臺上,只要花2元錢就能買到上千張人臉照片,而5000多張人臉照片標價還不到10元。
                       

                       
                      商家的素材庫里,全都是真人生活照、自拍照等充滿個人隱私內容的照片。當記者詢問客服,這些圖片是否涉及版權時,客服矢口否認,但卻提供不了任何可以證明照片版權的材料。
                       

                       
                      這些包含個人信息的人臉照片如果落入不法分子手中,照片主人除了有可能遭遇精準詐騙,蒙受財產損失之外,甚至還有可能因自己的人臉信息被用于洗錢、涉黑等違法犯罪活動,而卷入刑事訴訟。
                       
                      在專家看來,當下人臉識別技術的風險點,更多集中在存儲環節。由于人臉識別應用五花八門,也沒有統一的行業標準,大量的人臉數據都被存儲在各應用運營方,或是技術提供方的中心化數據庫中。
                       

                       
                      數據是否脫敏、安全是否到位、哪些用于算法訓練、哪些會被合作方分享,外界一概不知。而且,一旦服務器被入侵,高度敏感的人臉數據就會面臨泄露風險。
                       
                      個人信息法草案發布 人臉信息保護更規范
                       
                      為了封堵這個漏洞,專家提出了多種技術改進,并進一步指出,人臉數據存儲應該建立更嚴格的標準和規范,技術開發方、APP運營方應該在更趨嚴格的監管、法律以及行業規范下采集、使用、存儲數據。
                       

                       
                      針對人臉信息被濫用、盜用、隨意采集的現象,法律專家指出,《網絡安全法》明確將個人生物識別信息納入個人信息范圍。我國《民法典》規定,收集、處理自然人個人信息的,應當遵循合法、正當、必要原則,征得該自然人或其監護人同意,且被采用者同意后還有權撤回。
                       
                      目前,《中華人民共和國個人信息保護法(草案)》正在面向社會公開征求意見。草案提出,在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,并設置顯著的提示標識。所收集的個人圖像、個人身份特征信息只能用于維護公共安全的目的,不得公開或者向他人提供;取得個人單獨同意或者法律、行政法規另有規定的除外。

                      11月 7,2020 by admin

                      解析:11月1日實施的《信息安全技術網絡安全等級保護定級指南》有哪些變化?

                      近日,國家市場監督管理總局和國家標準化管理委員會發布了《GBT 22240-2020信息安全技術網絡安全等級保護定級指南》新的國家標準,新的國標將于2020年11月1日正式實施。
                       

                       
                      新版定級指南有哪些變化呢?指南前言中指出:
                       

                       
                      01、定級流程有變化
                       
                      第二級及以上等級保護對象定級流程新增專家評審環節,不再自主定級,需要聘請專家認定等級保護對象的級別。
                       
                      02、定級對象有變化
                       
                      定級對象的范圍相比舊標準變化較多,本次《指南》包含了云計算、物聯網、工業控制系統、采用移動互聯技術的系統、通信網絡設施以及數據資源。
                       
                      通用定級對象基本特征明確,共計三點:
                       
                      具有確定的主要安全責任體;
                       
                      承載相對獨立的業務應用;
                       
                      包含相互關聯的多個資源。
                       
                      從這幾個特征來看,基本互聯網上的系統差不多都要定級備案?!吨改稀方o出了有關安全責任主體的解釋:包括但不限于企業、機關和事業單位等法人,以及不具備法人資格的社會團體等其他組織。
                       
                      以前很多人一直有個疑問,我們的系統很小,沒多少數據,就不需要定級了?,F在官方給出了解釋,企事業單位、機關基本都是具有法人的,那么這些單位的系統必須都要定級備案。其他團體(包括公益組織)和中小私營企業原則上也都要對系統進行定級備案。
                       
                      哪些系統屬于強制定級備案范疇?
                       
                      ?云計算平臺/系統
                       
                      《指南》明確表示,云上租戶和云服務商的等級保護對象要分開定級,根據云上服務模式再分別定級。就是說,云服務商的平臺對外提供SaaS、PaaS、IaaS三種服務模式,那么就分為三個對象來分別定級。
                       
                      對于大型云計算平臺,除了服務模式之外還可能根據基礎設施和輔助服務系統再次分別定級。
                       
                      ?物聯網
                       
                      通常是以系統為單位,將所有邊緣設備和應用統一起來,作為一個整體來定級。(比如某些智能家居系統,就要以整體平臺作為定級對象,不能以不同家庭或不同區域作為定級對象)
                       
                      ?工業控制系統
                       
                      不同于其他行業,《指南》要求對于工業控制系統,將現場、過程控制要素作為一個整體定級,而生產管理要素單獨再作為一個定級對象。也就是一個工業控制系統,最終會分成兩個對象定級備案。
                       
                      對于大型工控系統,類似大型云計算平臺要求,根據功能、主體、控制對象和生產廠商等因素劃分多個定級對象。這里《指南》并不是建議,而是要求,也就是說大型工控系統會進行拆分定級。
                       
                      ?采用移動互聯技術的系統
                       
                      《指南》為這類系統進行了簡要描述,即包括移動終端(手機、平板、筆記本)、移動應用和無線網絡等特征要素的系統。將所有移動技術整合,作為一個整體來定級。
                       
                      ?通信網絡設施
                       
                      主要是通信和廣電行業的核心網絡,基本可以算得上關鍵信息基礎設施了,也是國家重點關注的行業之一?!吨改稀方ㄗh(用了“宜”)可根據安全責任主體、服務類型或服務地域劃分不同的定級對象。
                       
                      而對于運營商網絡(骨干網、接入網),多以地市為單位作為定級對象?!吨改稀方ㄗh跨省行業或單位專用通信網可作為一個整體對象定級,這對于運營商企業來說算是一個利好了。
                       
                      ?數據資源
                       
                      這是新版《指南》提出的一個新要素。數據資源可以獨立定級。定級是基于大數據、大數據平臺安全責任主體相同與否。舉個例子,比如某些電商平臺,數據分布在多個平臺,每個平臺都有獨立法人,這種情況就應該屬于安全責任主體不同,這時就要把數據資源單獨作為定級對象,電商平臺作為另一個定級對象。
                       
                      03、確定受侵害的客體方面有變化
                       
                      1.侵害國家安全事項方面:
                       
                      新增影響海洋權益完整的侵害;
                       
                      新增影響國家社會主義經濟秩序和文化實力的侵害。
                       
                      2.侵害社會秩序事項方面:
                       
                      明確提出影響企事業單位、社會團體生產秩序、醫療衛生秩序的侵害;
                       
                      新增影響公共交通秩序的侵害;
                       
                      新增影響人民群眾生活的侵害;
                       
                      隨著我國信息化進程的全面加快,全社會特別是重要行業、重要領域對基礎信息網絡和重要信息系統的依賴程度越來越高,網絡安全等級保護制度作為我國網絡安全領域的基本國策、基本制度,嚴格落實網絡安全等級保護測評工作已經逐漸成為各行業必備。

                      11月 7,2020 by admin

                      個人信息保護法草案首次亮相

                      備受關注的個人信息保護法草案今天提請十三屆全國人大常委會第二十二次會議審議。
                       
                      數字顯示,截至2020年3月,我國互聯網用戶已達9億,互聯網網站超過400萬個,應用程序數量超過300萬個,個人信息的收集、使用更為廣泛。應當看到,雖然近年來我國個人信息保護力度不斷加大,但在現實生活中,一些企業、機構甚至個人,從商業利益等出發,隨意收集、違法獲取、過度使用、非法買賣個人信息,利用個人信息侵擾人民群眾生活安寧、危害人民群眾生命健康和財產安全等問題仍十分突出。
                       
                      “為及時回應廣大人民群眾的呼聲和期待,落實黨中央部署要求,制定一部個人信息保護方面的專門法律,將廣大人民群眾的個人信息權益實現好、維護好、發展好,具有重要意義?!比珖舜蟪N瘯üの敝魅蝿⒖〕急硎?,制定個人信息保護法是進一步加強個人信息保護法制保障的客觀要求,是維護網絡空間良好生態的現實需要,也是促進數字經濟健康發展的重要舉措。
                       
                      草案共八章七十條。從內容上看,草案聚焦目前個人信息保護的突出問題,落實個人信息保護責任,加大違法行為懲處力度。
                       
                      聚焦突出問題 健全個人信息處理系列規則

                      ——設專節對處理敏感個人信息作出更嚴格的限制,只有在具有特定的目的和充分的必要性的情形下,方可處理敏感個人信息,并且應當取得個人的單獨同意或者書面同意
                       
                      在應對新冠肺炎疫情中,大數據應用為聯防聯控和復工復產提供了有力支持。為此,草案將應對突發公共衛生事件,或者緊急情況下保護自然人的生命健康,作為處理個人信息的合法情形之一。
                       
                      “需要強調的是,在上述情形下處理個人信息,也必須嚴格遵守本法規定的處理規則,履行個人信息保護義務?!眲⒖〕颊f。
                       
                      草案確立了個人信息處理應遵循的原則,強調處理個人信息應當采用合法、正當的方式,具有明確、合理的目的,限于實現處理目的的最小范圍,公開處理規則,保證信息準確,采取安全保護措施等,并將上述原則貫穿于個人信息處理的全過程、各環節。
                       
                      同時,草案還確立了以“告知一同意”為核心的個人信息處理一系列規則,要求處理個人信息應當在事先充分告知的前提下取得個人同意,并且個人有權撤回同意;重要事項發生變更的應當重新取得個人同意;不得以個人不同意為由拒絕提供產品或者服務。
                       
                      考慮到經濟社會生活的復雜性和個人信息處理的不同情況,草案還對基于個人同意以外合法處理個人信息的情形作了規定。
                       
                      草案還設專節對處理敏感個人信息作出更嚴格的限制,只有在具有特定的目的和充分的必要性的情形下,方可處理敏感個人信息,并且應當取得個人的單獨同意或者書面同意。
                       
                      此外,草案設專節規定國家機關處理個人信息的規則,在保障國家機關依法履行職責的同時,要求國家機關處理個人信息應當依照法律、行政法規規定的權限和程序進行。
                       
                      明確適用范圍 賦予本法必要域外適用效力

                      ——賦予個人信息保護法必要的域外適用效力,以充分保護我國境內個人的權益
                       
                      草案明確規定,個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息;個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。
                       
                      同時,借鑒有關國家和地區的做法,草案還賦予了必要的域外適用效力,以充分保護我國境內個人的權益。
                       
                      草案規定,以向境內自然人提供產品或者服務為目的,或者為分析、評估境內自然人的行為等發生在我國境外的個人信息處理活動,也適用本法;并要求境外的個人信息處理者在境內設立專門機構或者指定代表,負責個人信息保護相關事務。
                       
                      維護國家利益 完善個人信息跨境提供規則

                      ——對跨境提供個人信息的“告知—同意”作出更嚴格的要求
                       
                      草案明確,關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的處理者,確需向境外提供個人信息的,應當通過國家網信部門組織的安全評估;對于其他需要跨境提供個人信息的,規定了經專業機構認證等途徑。
                       
                      同時,草案對跨境提供個人信息的“告知—同意”作出更嚴格的要求。對因國際司法協助或者行政執法協助,需要向境外提供個人信息的,要求依法申請有關主管部門批準。
                       
                      對從事損害我國公民個人信息權益等活動的境外組織、個人,以及在個人信息保護方面對我國采取不合理措施的國家和地區,草案規定了可以采取的相應措施。
                       
                      落實保護責任 明確相關主體的權利和義務

                      ——要求個人信息處理者按照規定制定內部管理制度和操作規程,采取相應的安全技術措施,并指定負責人對其個人信息處理活動進行監督
                       
                      與民法典的有關規定相銜接,草案對個人信息處理活動中個人的各項權利進行了明確,包括知情權、決定權、查詢權、更正權、刪除權等,并要求個人信息處理者建立個人行使權利的申請受理和處理機制。
                       
                      與此同時,草案明確了個人信息處理者的合規管理和保障個人信息安全等義務,要求其按照規定制定內部管理制度和操作規程,采取相應的安全技術措施,并指定負責人對其個人信息處理活動進行監督;定期對其個人信息活動進行合規審計;對處理敏感個人信息、向境外提供個人信息等高風險處理活動,事前進行風險評估;履行個人信息泄露通知和補救義務等。
                       
                      明確職責分工 突出網信部門統籌協調作用

                      ——國家網信部門和國務院有關部門在各自職責范圍內負責個人信息保護和監督管理工作
                       
                      個人信息保護涉及各個領域和多個部門的職責。草案根據個人信息保護工作實際,明確國家網信部門負責個人信息保護工作的統籌協調,發揮其統籌協調作用。
                       
                      草案同時規定,國家網信部門和國務院有關部門在各自職責范圍內負責個人信息保護和監督管理工作。
                       
                      加大懲處力度 對違法行為設嚴格法律責任

                      ——侵害個人信息權益的違法行為,情節嚴重的,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款

                      草案對違反本法規定行為的處罰及侵害個人信息權益的民事賠償等作了規定。
                       
                      草案規定,違反本法規定處理個人信息,或者處理個人信息未按照規定采取必要的安全保護措施的,由履行個人信息保護職責的部門責令改正,沒收違法所得,給予警告;拒不改正的,并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
                       
                      草案同時規定,有前款規定的違法行為,情節嚴重的,由履行個人信息保護職責的部門責令改正,沒收違法所得,并處五千萬元以下或者上一年度營業額百分之五以下罰款,并可以責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他安志杰責任人員處十萬元以上一百萬元以下罰款。
                       
                      根據草案,有本法規定的違法行為的,依照有關法律、行政法規的規定記入信用檔案,并予以公示。
                       
                      此外,草案規定,對侵害個人信息權益的民事賠償,按照個人所受損失或者個人信息處理者所獲利益確定數額,上述數額無法確定的,由人民法院根據實際情況確定賠償數額。

                      (法治日報)

                      10月 13,2020 by admin

                      當手機失竊信息被盜后 我們應該怎么辦?

                      近日一篇《一部手機失竊而揭露的竊取個人信息實現資金盜取的黑色產業鏈》的文章引發廣泛關注,文章由一位信息安全專家根據親身經歷梳理。文章作者老駱駝表示,由于家人一部手機被盜,自己經歷一場與一伙專業老練、利用竊取個人信息盜取他人銀行賬戶資金的犯罪團伙斗智斗勇的事件。
                       
                      信息安全專家尚且如此,如果是普通用戶手機丟失或被盜之后,又該如何盡量避免個人信息泄露和保障資金安全?
                       
                      01手機信息安全
                       
                      從手機本身來說,大多數安卓手機和蘋果手機在設置中都具備查找手機的功能,如果該功能可用,失主可以通過定位功能盡可能的找到丟失的手機。
                       
                      以文章作者使用的華為手機為例,第一步當然是要設置好手機的鎖屏密碼,這是防止手機中聯系人、相冊等個人信息被盜取的第一道屏障。
                       
                      如果鎖屏密碼被破解,查找手機的功能就可以派上用場。
                       


                       
                      在華為手機上開啟“云空間”后,“查找我的手機”開關會自動開啟;如果用戶曾手動關閉了“查找我的手機”開關,可以前往“設置”>“華為帳號”>“云空間”>“查找我的手機”頁面重新開啟。
                       
                      當手機丟失時,失主可以通過訪問“云空間”官網(cloud.huawei.com),使用網頁版的“查找我的手機”對設備進行定位和數據保護。
                       
                      可以執行的操作包括:
                       
                      ? 定位設備:查看設備在地圖上的大致位置
                       
                      ? 播放鈴聲:讓設備響鈴,便于小范圍查找
                       
                      ? 擦除數據:清空設備數據,防止信息泄露
                       
                      其它品牌的安卓手機以及蘋果手機的查找手機功能,與華為手機的操作類似。如果是丟失,可以通過定位盡量找回;如果是被盜,可以直接鎖定設備或者擦除數據,防止個人信息泄露。
                       
                      02資金安全
                       
                      在文章作者的經歷中,起初犯罪團伙并未破解手機鎖屏密碼時,但選擇將手機SIM卡安裝在另一個設備中,通過SIM卡獲取失主的個人信息,進而盜取資金。
                       
                      這個時候,將手機SIM卡掛失就十分必要。
                       
                      以文章作者使用的中國電信SIM卡為例,中國電信有一項服務是因丟失、盜用或其它原因,暫時辦理緊急停機。撥打處于緊急停機狀態下的電話聽到的是“您所撥打的號碼已暫停服務”,緊急停機期間也不能收發短信。
                       
                      辦理的途徑有三種:
                       
                      一、登陸中國電信網上營業廳http://189.cn辦理,業務辦理->移動業務->可辦理業務->基礎業務->緊急停機;
                       
                      二、通過手機撥打中國電信客服10000號,按照語音提示自助辦理或選擇人工幫助辦理。自助模式下只能辦理緊急停機,無法辦理復話;
                       
                      三、在線下的中國電信營業廳辦理,用戶需持有效證件到營業廳辦理緊急停機和復話業務。
                       
                      除了事后的掛失,文章作者也給出了事前防范措施:設置SIM卡密碼。在手機設置中的安全選項中,有一項SIM卡鎖定的功能,設置密碼之后,當SIM卡被犯罪分子安裝到另外一個手機中時,就需要輸入密碼才能使用。如果密碼輸入錯誤多次,則需要PUK碼才能解鎖,PUK碼可以在SIM購買時的卡片上找到,或者聯系運營商獲取。
                       
                      當然,除了用戶SIM卡本身的密碼設置和掛失之外,銀行、支付寶、微信等金融App自身的安全風控也十分重要。
                       
                      支付寶相關部門人員就回應稱,文章所披露的黑產在支付寶里沒套到錢和信息;且支付寶承諾資金被盜全額賠付,包括手機丟失導致的。
                       
                      支付寶相關部門人員在回應中提到,熱文中的對手確實是高階黑產,但黑產在修改支付密碼時被支付寶風控攔住了,查不了銀行卡號,也沒法收付款,才注冊了一個新號,但新號也不能使用原號里的錢。
                       
                      此外,用戶在手機丟失之后,也可以通過相應的官方客服對銀行、支付寶、微信等金融App賬號進行凍結,以防止出現資金損失。

                      10月 10,2020 by admin

                      Razer數據泄漏暴露了十萬游戲玩家的個人信息

                      游戲硬件制造商Razer在其在線商店的不安全數據庫被在線暴露后遭受了數據泄漏。Razer是一家新加坡裔美國游戲硬件制造商,以其鼠標、鍵盤和其他高端游戲設備而聞名。
                       

                       
                      8月19日左右,安全研究員發現了一個不安全的數據庫,該數據庫暴露了大約100,000個人從Razer在線商店購買商品的信息。
                       
                      暴露的信息包括客戶的姓名,電子郵件地址,電話號碼,訂單號,訂單明細以及帳單和送貨地址,如下所示。
                       

                      不安全數據庫公開的Razer數據
                       

                       
                      幾周以來,安全研究員試圖聯系Razer的某人,他們可以保護暴露的數據庫。
                      Razer表示他們終于在9月9日保護了數據庫服務器,并感謝研究人員的幫助。
                       
                      “安全研究員通知我們,服務器配置錯誤可能會暴露訂單詳細信息,客戶和運輸信息。沒有暴露其他敏感數據,例如信用卡號或密碼。服務器配置錯誤已于9月9日修復,失誤被公開。
                       
                      我們非常感謝您,對于此問題已深表歉意,并已采取所有必要步驟解決此問題,并對我們的IT安全性和系統進行了全面審查。我們將繼續致力于確保所有客戶的數字安全性?!?br />  
                      受影響的Razer客戶應該怎么做?
                       
                      如果威脅行為者訪問了此數據,他們可以在針對性的網絡釣魚活動中使用該信息來收集更敏感的信息,例如密碼和信用卡詳細信息。
                       
                      雖然尚不確定是否有威脅行動者在獲得安全保護之前就訪問了已暴露的數據,但對于受影響的人來說,盡最大努力應對潛在的魚叉式釣魚活動至關重要。
                       
                      如果您曾經從Razer的在線商店購買過任何東西,請注意任何來自游戲公司的電子郵件。
                       
                      此外,如果您收到聲稱來自Razer的電子郵件,請確保僅登錄razer.com,而不登錄其他站點。

                      9月 16,2020 by admin
                      国产小视频精品_国产小视频网站_国产小视频在线播放