【四維創智】-專研智能,智匯安全-網絡攻防-滲透測試-web安全-無線安全-內網安全 行業資訊 – 第2頁 – 【四維創智】

                    四維資訊中心

                    關注最新行業動態,洞悉安全態勢,做行業領跑者!創造屬于我們自己的故事!

                    國家計算機病毒應急處理中心監測發現十四款違法移動應用

                    國家計算機病毒應急處理中心近期在“凈網2020”專項行動中通過互聯網監測發現,多款游戲類移動應用存在隱私不合規行為,違反《網絡安全法》相關規定,涉嫌超范圍采集個人隱私信息。

                     

                    違法、違規移動應用具體如下:

                     

                    ?1.在 App 首次運行時未通過彈窗等明顯方式提示用戶閱讀隱私政策等收集使用規則,或以默認選擇同意隱私政策等非明示方式征求用戶同意。具體App如下:

                     

                    《湯姆貓跑酷》(版本4.3.2.351)、《賓果消消消 》(版本7.5.1)、《我的安吉拉》(版本4.6.2.1007)、《我的湯姆貓》(版本5.8.8.671)、《植物大戰僵尸2》(版本2.4.84)。

                     

                    ?2.未向用戶明示申請的全部隱私權限,涉嫌隱私不合規。具體App如下:

                     

                    《湯姆貓跑酷》(版本4.3.2.351)、《迷你世界》(版本0.44.2)、《開心消消樂》(版本1.83)、《和平精英》(版本1.8.10)、《天天飛車》 (版本3.6.4.709)、《我的安吉拉》(版本4.6.2.1007)、《我的湯姆貓》(版本5.8.8.671)、《植物大戰僵尸2》(版本2.4.84)、《微賽斗地主》(版本1.7.2.0)。

                     

                    ?3.未逐一列出收集使用個人信息的目的、方式、范圍等,涉嫌隱私不合規。具體App如下:

                     

                    《貪吃蛇大作戰 》(版本4.3.36)、《湯姆貓跑酷》(版本4.3.2.351)、《我的安吉拉》(版本4.6.2.1007)、《我的湯姆貓》(版本5.8.8.671)、《神廟逃亡2》(版本5.4.0)。

                     

                    ?4.未提供有效的更正、刪除個人信息及注銷用戶賬號功能,或注銷用戶賬號設置不合理條件,涉嫌隱私不合規。具體App如下:

                     

                    《貪吃蛇大作戰 》(版本4.3.36)、《天天酷跑》(版本1.0.78.0)、《湯姆貓跑酷》(版本4.3.2.351)、《迷你世界》(版本0.44.2)、《賓果消消消 》(版本7.5.1)、《和平精英》(版本1.8.10)、《天天飛車》 (版本3.6.4.709)、《植物大戰僵尸2》(版本2.4.84)、《神廟逃亡2》(版本5.4.0)、《地鐵跑酷》(版本3.08.0)、《微賽斗地主》(版本1.7.2.0)。

                     

                    針對上述情況,國家計算機病毒應急處理中心提醒廣大手機用戶首先謹慎下載使用以上違法、違規移動應用,避免手機操作系統受到安全威脅;其次,建議打開手機中防病毒移動應用的“實時監控”功能,對手機操作進行主動防御,第一時間監控未知病毒的入侵活動。

                    9月 11,2020 by admin

                    新西蘭證交所系統連續5個交易日遭到DDOS攻擊

                    當地時間8月31日上午,新西蘭證券交易所表示,證交所網站在周一的市場交易開盤不久再次崩潰。這已是自8月25日以來,新西蘭證券交易所連續第5天“宕機”。

                    央視新聞 圖

                     

                    8月25日,新西蘭證券交易所收到分布式拒絕服務(DDoS)攻擊,這是一種通過大量互聯網流量淹沒服務器來破壞服務器的常見方法。襲擊迫使交易所暫停其現金市場交易1小時,擾亂了其債務市場。
                     

                    8月26日再次受到攻擊,暫停交易3小時。
                     

                    8月27日,由于無法發布公司公告,新西蘭證券交易所暫停交易長達6小時,僅進行了1小時的交易。
                     

                    8月28日,新西蘭證券交易所再度崩潰。
                     

                    根據該交易所此前的一份聲明,之所以遭遇連接問題,與來自境外的嚴重DDoS攻擊所造成的。
                     

                    DDoS攻擊,這是最簡單的網絡攻擊形式之一。它通常需要借助被黑客入侵的計算機網絡來傳遞大量信息和流量,以壓倒目標系統,使之超負荷。這種攻擊會使網絡暫時中斷,從而導致在線服務系統宕機,投資者無法查看市場行情。
                     

                    新西蘭財政部長格蘭特·羅伯遜(Grant Robertson)上周表示,已要求政府通信安全局和打擊網絡犯罪的國家機構提供幫助。羅伯遜說:“除了說我們作為政府正在認真對待這一點以外,在具體細節上我無能為力?!?br />  

                    新西蘭股東協會首席執行官邁克爾·米德利(Michael Midgley)表示,交易中斷令投資者感到沮喪,因為他們在盈利旺季無法進行交易;奧克蘭的Pie Funds Management首席執行官Mike Taylor說:“持續的時間越長,對交易所的網絡安全性的破壞力就越大,投資者的信心就越低?!?br />  

                    文章來源:澎湃新聞
                    編輯本文出于傳遞更多信息之目的,侵刪

                    8月 31,2020 by admin

                    寶塔面板曝出嚴重安全漏洞!站長需趕緊升級到最新版本

                    昨日,寶塔面板被曝出存在嚴重安全漏洞,目前官方已經給寶塔面板用戶發送短信提醒升級,影響范圍包括了寶塔linux面板 7.4.2以及寶塔windows面板 6.8。
                     

                    昨日晚間,寶塔面板官方發布緊急安全更新短信通知稱,Linux面板7.4. 2 版本/Windows面板6. 8 版本存在安全隱患,官方已發布緊急更新,請所有使用此版本的用戶務必升級到最新版,更新方法,登錄面板直接升級更新即可,如更新出現問題,請登錄寶塔論壇反饋或者聯系客服反饋。

                     


                     

                    據了解,此次更新是為了修復 phpmyadmin 未鑒權,可通過特定地址直接登陸數據庫的嚴重 Bug 。目前,用戶可登錄面板后臺,右上角點擊更新,彈窗后,點擊立即更新,進行更新。

                     


                     
                    據悉,Linux版本7.4.2版本的用戶將更新到寶塔linux 正式版 7.4.3,Windows版本6.8的用戶將更新到Windows 正式版6.9.0。

                    8月 24,2020 by admin

                    應用軟件過度索取權限 個人信息保護期待“牙齒”更鋒利

                    7月24日,工業和信息化部對侵害用戶權益行為的手機應用軟件進行通報,這是今年以來的第三批通報名單。截至目前,工業和信息化部已對今年檢查出的存在問題的89款App進行了通報?!斗ㄖ稳請蟆酚浾咦⒁獾?,“私自收集個人信息”“私自共享給第三方”“過度索取權限”等是這次通報的主要問題。
                     

                     
                    同日,工業和信息化部發布《關于開展縱深推進App侵害用戶權益專項整治行動的通知》,專項整治時間為通知印發之日至2020年12月10日。重點整治App、SDK未告知用戶收集個人信息的目的、方式、范圍且未經用戶同意,私自收集用戶個人信息的行為。
                     
                    近年來,通報App違規現象并不少見,涉及軟件數量日益增多,側面暴露了我國公民個人信息保護的短板和難題。
                     
                    應用軟件越界索權
                     
                    私自共享缺乏監督
                     
                    在互聯網時代,大數據在提供便利的同時也帶來了隱私被泄露的潛在危險。身份證號碼、手機號碼、購買記錄、行車路線等個人信息都在數據庫里一覽無余?!按髷祿⑹臁薄按髷祿呜溬u”等現象也層出不窮。
                     
                    消費記錄被購物App分析,出行住宿被旅行App掌握,行車線路也被導航App知道得一清二楚……在互聯網大數據面前,普通用戶幾乎是“裸體”的,而一旦這些數據被泄露,后果不堪設想。更為嚴重的是,一些手機App從一開始的信息采集就是過度的。
                     
                    2019年年初,中央網信辦、工業和信息化部、公安部、市場監管總局對外發布《關于開展App違法違規收集使用個人信息專項治理的公告》,中國消費者協會、中國互聯網協會等聯合成立App專項治理工作組,對用戶數量大、與民眾生活密切相關的App的隱私政策和個人信息收集使用情況進行評估。
                     
                    然而,在專項治理的攻勢下,App過度采集個人信息的問題并未得到遏制。
                     
                    2019年7月16日,上述App專項治理工作組發布通知,稱有40款App在個人信息收集方面存在問題,且未公開有效聯系方式。工作組敦促這40款App的運營者30日內完成整改,并向工作組提交整改報告。這份通知顯示,Wi-Fi萬能鑰匙、同花順、墨跡天氣、安居客、糗事百科、起點讀書等常見的App,都在需要整改的名單之中。
                     
                    據了解,一般來說,App的安裝和使用只能對一些必要的權限征求使用人的同意。在使用安卓系統的手機中,有以下幾個權限最常被調取,其一是“讀取已安裝應用列表”,借此可以了解和分析用戶的使用習慣;其二是“讀取本機識別碼”,主要用來確定用戶的身份;其三是“讀取位置信息”,通過獲取位置,搜集用戶的活動范圍,例如導航類軟件就必須調取這一權限。
                     
                    然而,在現實生活中,許多App普遍存在越界索權現象,比如視頻類App要求讀取運動數據、資訊類App要求開啟相機和麥克風錄音權限等。
                     
                    更為嚴重的是,泄露的信息從一般信息向生物識別信息蔓延。近期,360安全大腦監測到,在金融類移動軟件中,存在一批具有隱秘拍照行為的軟件,以提供借貸服務之名,悄無聲息地進行隱私非法收集行為。據360安全大腦監測數據顯示,截至今年6月中旬,共發現9款軟件,捕獲90個樣本。相比以往,這9款軟件“偷盜”手段略有不同,除了非法收集用戶敏感通訊數據外,還會嘗試對用戶面部圖像進行靜默偷拍與上傳。
                     
                    除偷拍用戶面部圖像外,這類借貸軟件“掃蕩式”地采集用戶的各種敏感通訊與網絡數據,包括用戶短信、通話記錄、通訊錄、接入網絡等,進行非法收集與明文傳輸。
                     
                    中國傳媒大學人類命運共同體研究院副院長王四新告訴《法治日報》記者,App超范圍收集個人信息、私自共享給第三方的行為屢禁不止的主要原因是,App在收集使用和向第三方傳輸私人信息的整個流程缺乏有效監督。
                     
                    “從個人來講,用戶完全沒有知覺,所以沒有辦法進行維權,只能被動地依靠執法機關或者監管機關。此外,這種行為可以獲得多層次的利益回報,再加上企業內部管理不嚴導致目前這種情況比較嚴重?!蓖跛男抡f。
                     
                    處罰手段比較有限
                     
                    違法成本普遍偏低
                     
                    《法治日報》記者調查發現,今年以來,違法App的種類在發生變化。從國家計算機病毒應急處理中心下架的App來看,今年上半年,直播、社交、外賣、醫療、在線教育等App涉嫌侵犯個人隱私占到很大比重。
                     
                    盡管App泄露個人信息日益嚴重,但《法治日報》記者梳理發現,目前對這些App還是以行政處罰為主?!禔pp違法違規收集使用個人信息專項治理報告(2019)》顯示,目前相關部門對App違法行為采取的懲罰措施主要有整改、通報、下架、罰款、查處、行政約談等。
                     
                    在業內人士看來,責令整改、罰款等處罰措施往往對一些違規App不能產生觸動,“這次錯了,下次還敢上榜單”的現象比比皆是。
                     
                    工業和信息化部每曝出一批問題App名單,也會給相關App規定整改期限,如對于7月24日公布的App名單,工信部要求在7月30日之前完成整改。
                     
                    “違法成本低,監管難度大成為當下監管App違規行為的主要難題?!敝袊鴤髅酱髮W文化產業管理學院法律系主任鄭寧告訴《法治日報》記者,“工業和信息化部如果僅依據相關部門規章進行處罰,只能予以警告和處以一定數額的罰款(通常是3萬元以下),這種處罰力度對違反者而言成本很低?!?br />  
                    上海交通大學數據法律研究中心執行主任何淵認為,目前相關部門對于違法違規收集個人信息的處罰手段有限,主要依靠企業自律,或是監管部門采取限期整改、約談和下架等方式。這也就意味著沒有鋒利的“牙齒”能震懾這類行為。
                     
                    除了違法成本低的問題外,監管部門還面臨企業用戶雙方需求難以平衡的困境。
                     
                    有媒體報道稱,企業收集用戶隱私信息可以用來作為用戶畫像,便于發送廣告,合理的廣告訴求應該予以理解,“一些小微企業的收入來源就是App中的廣告,如果采用‘一刀切’的方式完全禁止發廣告,一些App就無法生存。但從用戶的直觀角度考慮,用戶有可能認為自己的隱私信息遭到了竊取。此時監管部門需要綜合考慮用戶與企業雙方的需求”。
                     
                    有監管層人士介紹說,目前查到一些App存在侵權問題時,他們會直接與App運營企業聯系要求對方進行整改,對于比較容易整改的問題,如App注銷難等,企業可以很快出臺注銷方式,用戶也能簡單地發現這一改變,因此關于注銷難的整改容易推進;但私自收集個人信息的問題就較為復雜,如一些App出于使用目的不得不收集必要的個人信息,此時如何判斷什么屬于“私自收集”往往較麻煩,這可能是App通報名單中“私自收集個人信息”問題始終存在的原因之一。
                     
                    北京師范大學法學院教授劉德良告訴《法治日報》記者:“企業收集用戶隱私信息可以用來作為用戶畫像,可以更精準地為用戶提供服務。另外,合理收集個人信息,也便于精準地發送廣告來維持企業生產,這種合理的訴求應該予以理解?!?br />  
                    但是,劉德良認為,個人信息和個人隱私要作區分,互聯網搜索信息偏向等數據屬于正常的個人信息片段,企業收集這類信息后只要不進行電話騷擾,合理推送廣告和產品推薦并不屬于隱私侵犯。
                     
                    如何平衡兩者的需求關系,鄭寧的意見是:“個人信息兼具個人利益和公共利益,監管部門應該平衡用戶的個人信息權益以及企業的創新發展。隨著網絡技術進步和數字經濟的發展,收集使用個人信息的手段和方式日益多樣化、復雜化,通過立法、行政執法和司法加強個人信息保護是非常必要的,但是在大數據、人工智能時代,信息只有在合理流動和使用中才能發揮其價值?!?br />  
                    努力平衡各方需求
                     
                    監管亟須落到實處
                     
                    去年年底,國家互聯網信息辦公室、工業和信息化部等四部門印發《App違法違規收集使用個人信息行為認定方法》,對于如何界定App明確告知收集使用個人信息等行為作出了詳細的解釋。App專項治理工作組有關專家曾對該認定方法進行解讀,未明示收集使用個人信息的目的、方式和范圍的情況包括,未逐一列出App(包括委托的第三方或嵌入的第三方代碼、插件)收集使用個人信息的目的、方式、范圍等。
                     
                    App專項治理工作組有關專家解讀稱,App和App中嵌入代碼的第三方收集使用個人信息,都需要采取適當方式通知用戶?!拔覀冊褂脵z測工具檢測到一款App中嵌入了54個SDK,這么多SDK有沒有個人信息泄露的風險,這些都要提。目前有一些App在整改后做得很到位,有些專門列出了SDK的列表,甚至把第三方共享的接收方都列出來了,如果把明示工作做到這個程度,相信用戶也會提升對App的信任度?!?br />  
                    《法治日報》記者注意到,在立法層面,《網絡安全實踐指南——移動互聯網應用基本業務功能必要信息規范》《App違法違規收集使用個人信息行為認定方法》先后出臺,明確了未公開收集使用規則;未明示收集使用個人信息的目的、方式和范圍等6項認定準則,包含31種場景。
                     
                    當下,我國關于個人信息安全的法律在不斷完善和細化,但監管如何落到實處是當下更值得考慮的問題。
                     
                    對此,鄭寧建議,監管的完善需要從以下幾個方面進行:第一,互聯網平臺應加強對App上架環節的事前審核;第二,建立健全投訴舉報制度,進行相應回應;第三,加大對違法違規App的懲處力度;第四,運用新型監管方式,如信用記錄監管;第五,運用大數據、人工智能等技術進行監管。
                     
                    “在互聯網時代,任何問題都不能采取‘一刀切’的方式,要采取靈活變動的監管辦法?!痹谕跛男驴磥?,要想將監管措施落到實處,需要有更多懂技術、懂業務的專家型人才補充到監管的隊伍里。在目前這類人才難以滿足監管要求的情況下,可以發揮不同領域的技術人才的作用,同時調動廣大網民的積極性。
                     
                    “此外,要平衡App開發者或者服務提供者與廣大用戶之間的關系,要求平臺履行責任,例如上線時加強審核把關,上線運營過程中增加透明度。同時也要為消費者維護權益降低難度,提供更多便利,讓消費者通過自主的維權活動來保障自身利益。這樣既可將監管落到實處,又能減少監管費用?!蓖跛男抡f。
                     
                    王四新認為,App開發者和用戶之間的權利義務關系模式,是隨著相關變量的不斷變化而變化的。從監管的角度來講,就是平衡合理使用與保護隱私權的問題,一方面要保護消費者的合法權益,保證他們的隱私不被過度開發或非法利用,另外一方面也要確保App的開發者能夠有效利用他們提供服務過程中采集的數據,讓這些數據發揮更大的作用。
                     
                    不過,鄭寧也提出:“如果過度強調個人信息保護,會給互聯網企業造成過重的負擔,不利于產業創新和信息自由流動?!?/p>

                    8月 4,2020 by admin

                    Twitter:黑客在上周的入侵中訪問了36個賬戶的直接信息

                    Twitter正在繼續調查上周蘋果和其他知名人士和公司的Twitter賬戶被比特幣騙子黑客入侵的安全漏洞。當地時間周三這家社交媒體公司證實,黑客訪問了36個Twitter賬戶的直接信息(Direct Messages )。
                     

                     
                    Twitter此前表示,在此次黑客攻擊中沒有密碼被盜,這是一次針對Twitter員工的 “協調性社會工程攻擊”。黑客能夠獲得員工憑證,利用這些信息訪問Twitter的內部系統,包括繞過雙因素認證保護。
                     
                    內部工具被用來攻擊130個賬戶,對于其中的45個賬戶,黑客啟動了密碼重置,并完全可以進入該賬戶發送推文。對于其中的8個Twitter賬戶,攻擊者通過“你的Twitter數據”工具下載了賬戶信息,該工具提供了Twitter賬戶的詳細信息和活動情況,但以這種方式為目標的8個賬戶都不是經過驗證的賬戶。
                     

                     
                    在被入侵的130個賬戶中,包括特斯拉CEO埃隆·馬斯克、美國前總統奧巴馬、微軟聯合創始人比爾·蓋茨、亞馬遜CEO杰夫·貝佐斯、總統候選人喬·拜登等人的賬戶,黑客能夠看到電子郵件地址和電話號碼等個人信息,對于一些被接管的賬戶,還能獲得更多信息。
                     
                    Twitter沒有提供具體細節,說明36個賬戶中哪些賬戶的直接信息被入侵,但黑客確實訪問了荷蘭一名民選官員的直接信息。沒有其他前任或現任民選官員的DM被訪問。
                     
                    Twitter正在與受影響的賬戶持有人直接溝通,并進一步保護其系統安全,以防止未來的攻擊。作為阻止類似事情再次發生的努力的一部分,Twitter正在全公司范圍內推出額外的培訓,以防范社交工程策略。

                    7月 27,2020 by admin

                    女子被騙后找程序員朋友破解詐騙網站 發現千條受害者信息

                    近日,在上海從事IT行業的陸女士經歷了一次“淘寶退款”的電信詐騙。及時發現騙局后,她在程序員朋友的幫助下,破解了騙子網站,并發現網站有上千名受害者的銀行卡、賬號密碼等隱私信息。對此,上海市公安局反電信網絡詐騙平臺工作人員向新京報記者透露,已接到陸女士的上述報警信息并安排民警處理。

                     
                    同時工作人員提醒,“淘寶退款”是電信詐騙的“常規套路”,不少受害者因此遭受損失。

                     


                    ▲掃描二維碼,出現虛假支付寶登錄頁面。受訪者供圖
                     
                    網購3個月后接到“退款電話”

                     
                    陸女士告訴新京報記者,7月13日,她接到一個來自廣西的詐騙電話。對方自稱是她購買過的一家淘寶店的廠家員工,因用戶反饋對產品過敏,工商部門檢測出成分超標,所以廠家要求把產品回收銷毀,并對消費者雙倍賠償。

                     
                    “對方一開口就說出我的淘寶賬號,還有我的訂單信息?!标懪糠Q,這一度讓她相信對方的身份。

                     
                    對方在電話里說,由于購買時間是4月,已無法通過淘寶退款,要求陸女士加QQ交流。在確認了退款信息后,對方又稱需要通過支付寶“線上理賠”,并給陸女士發了一個二維碼。

                     
                    陸女士掃描后出現支付寶登錄頁面。反常的是,這個頁面除了輸入賬號、密碼外,還需要填寫支付密碼。陸女士說,她察覺到不對勁,就和她購買產品的淘寶店客服溝通,客服表示沒有退款的情況。

                     
                    當陸女士在電話里對騙子提出質疑時,對方迅速掛斷電話。

                     


                    ▲詐騙網站后臺存儲的受害者隱私信息。受訪者供圖

                     
                    破解騙子網站發現千條受害者信息

                     
                    記者掃描陸女士提供的二維碼發現,顯示的支付寶登錄頁面中,除了賬戶、密碼和支付密碼外,其他按鈕都沒有反應。

                     
                    發現被騙后,陸女士的程序員朋友王群(化名)幫她揭開了謎底。

                     
                    7月15日,王群向新京報記者介紹,他通過技術手段掃描二維碼進入了網站后臺,發現如果有人掃描登錄后,還需要填寫銀行卡號、真實姓名、身份證號碼、取款密碼、銀行預留手機號等隱私信息,提交退款信息后還需要填寫手機驗證碼。

                     
                    王群說,網站鏈接指向一臺境外服務器,后臺管理頁面顯示,這個網站除了支付寶,還可以模擬淘寶網、京東、美囤媽媽、快遞100等頁面。

                     
                    在網站后臺存儲的表格里,王群看到了上千條受害者信息,銀行卡、支付寶賬號密碼、真實姓名、手機號均登記在上面。據此,王群立即報警,向上海警方提供了這些信息。

                     
                    根據王群提供的表格信息,新京報記者隨機撥打其中一個電話,對方告訴記者,她曾購買和陸女士同款淘寶產品,并且在7月13日也接到了詐騙電話?!拔耶敃r相信了,填寫了自己的銀行卡信息,還把銀行的驗證碼發給對方?!?/p>

                     
                    這位女士說,同事提醒她“會不會是騙子”,她才掛斷電話,并立即掛失銀行卡。

                     
                    7月16日,記者就此問題聯系了兩人購買產品的淘寶店,客服表示不會泄露客戶信息,如遇上述問題,可以報警處理。

                     

                    ▲詐騙網站管理頁面顯示,可模擬多種網頁。受訪者供圖

                     
                    警方:“冒充客服”是騙子的常規套路

                     
                    新京報記者查詢發現,類似的詐騙的案例時常發生。據媒體報道,去年年底,浙江嘉興市民小王接到類似退款詐騙電話,要求她掃描二維碼在支付寶理賠通道退款。

                     
                    7月16日下午,新京報記者咨詢了支付寶客服,對方表示,用戶的支付寶登陸頁面都是一樣的,目前支付寶頁面沒有理賠通道。

                     
                    此外,淘寶客服針對上述問題向記者解釋說,如果是淘寶正規退款渠道,不會讓消費者添加QQ號,即使過了正常的售后期限,與商家協商后也可以再次開通?!吧碳液灹吮C軈f議,不會泄露客戶信息。平臺對信息泄露防控做了一些措施,但無法規避所有漏洞,只能進一步加強?!?/p>

                     
                    昨日下午,上海市公安局反電信網絡詐騙平臺工作人員告訴新京報記者,對于陸女士的報案情況已經登記,并安排派出所民警處理。工作人員表示,以“淘寶客服”名義退款是電信詐騙的“常規套路”,近段時間接到過一些報案,有受害者遭受財物損失。

                     
                    根據上海市公安局反電信網絡詐騙平臺統計,2018年在上海發生的各類電信網絡詐騙方式中,排名首位的“冒充客服”類電信網絡詐騙,發案占比超過20%。

                     
                    該平臺提醒,物流、電商平臺、銀行等部門,不會要求離開平臺通過具有轉款功能的社交軟件進行退款、賠款。絕大多數退款、賠款都是從支付賬戶中原路返回,不會通過掃碼、點擊鏈接、提供銀行卡卡號密碼、短信驗證碼等方式退賠。常規的退款、賠款會有一個時間審核階段,不會要求短時間內按指導操作。

                    7月 20,2020 by admin

                    0.5元一份!誰在出賣我們的人臉信息?

                    ?“要的話五毛一張打包帶走,總共兩萬套,不議價?!币晃毁u家用微信語音對記者說。他還發來兩套手持身份證的人臉照片截圖?!靶氯A視點”記者近日調查發現,一些網絡黑產從業者利用電商平臺,批量倒賣非法獲取的人臉等身份信息和“照片活化”網絡工具及教程。專家提醒,這些人臉信息有可能被用于虛假注冊、電信網絡詐騙等違法犯罪活動。
                     

                     
                    人臉數據0.5元一份、修改軟件35元一套

                     
                    “新華視點”記者調查發現,在淘寶、閑魚等網絡交易平臺上,通過搜索特定關鍵詞,就能找到專門出售人臉數據和“照片活化”工具的店鋪。

                     
                    在淘寶上,部分賣家以“人臉全國各地區行業可做,信譽第一”“出售人臉四件套,懂的來”等暗語招徠買家。記者隨機點進一家出售“××同城及各大平臺人臉”商品的店鋪,旋即跳轉到閑魚界面。在該賣家的閑魚主頁中,售賣的商品為部分平臺包含用戶人臉的信息數據。

                     
                    在閑魚平臺,不少賣家公開兜售人臉數據。為了保證店鋪的“正常運營”,賣家常慫恿買家通過微信或QQ溝通議價。記者近日隨機咨詢其中一位賣家,對方用語音答復道“加微信聊吧,這個說多了會被封”,并向記者發來了微信號。

                     
                    除售賣人臉數據外,一些“膽大”的閑魚賣家還出售“照片活化”工具,利用這種工具,可將人臉照片修改為執行“眨眨眼、張張嘴、點點頭”等操作的人臉驗證視頻。

                     
                    “一套(‘照片活化’)軟件加教程35元,你直接付款,確認收貨后我把鏈接發你?!币晃婚e魚賣家在閑魚對話框內使用語音與記者議價。在記者完成支付并確認收貨后,賣家通過百度網盤給記者發來一個文件大小約20GB的“工具箱”,“工具箱”里有虛擬視頻刷機包、虛擬視頻模擬器和人臉視頻修改軟件等工具,還有相關工具的操作教程文件。

                     
                    還有一位賣家在添加記者QQ好友后,先發來了一些單人手持身份證的樣本照片,隨后向記者展示了其利用工具修改上述照片后欺騙某網絡社交平臺人臉識別機制的效果視頻。

                     
                    目前,記者已將調查中發現的一些線索移交有關公安機關。

                     

                     
                    倒賣的人臉數據拿來做什么?

                     
                    “如果只是采集個人的人臉信息,比如在馬路上你被人拍了照,但是沒有獲得你的其他身份信息,隱私泄露風險并不大?!敝袊娮蛹夹g標準化研究院信安中心測評實驗室副主任何延哲說,問題在于,當前網絡黑市中售賣的人臉信息并非單純的“人臉照片”,而是包含公民個人身份信息(包括身份證號、銀行卡號、手機號等)的一系列敏感數據。

                     
                    一位倒賣“人臉視頻工具箱”并聲稱可以“包教會”的賣家告訴記者,只要學會熟練使用“工具箱”,不僅可以利用這些人臉數據幫他人解封微信和支付寶的凍結賬號,還能繞過知名婚戀交友平臺及手機卡實名認證的人臉識別機制。這位賣家還給記者傳來了幫一些“客戶”成功解封凍結賬號的截圖。

                     
                    “從技術角度看,將人臉信息和身份信息相關聯后,利用系統漏洞‘騙過’部分平臺的人臉識別機制是有可能的?!比四樧R別技術專家賈寶芝博士認為,盡管一些金融平臺在大額轉賬時需要多重身份認證,但“道高一尺魔高一丈”,網絡黑產技術手段也在不斷更新,絕不能因此忽視賬戶安全。

                     
                    何延哲向記者舉例:如果人臉信息和其他身份信息相匹配,可能會被不法分子用以盜取網絡社交平臺賬號或竊取金融賬戶內財產;如果人臉信息和行蹤信息相匹配,可能會被不法分子用于精準詐騙、敲詐勒索等違法犯罪活動。

                     
                    這些包含人臉信息和其他身份信息的數據從何而來?有賣家向記者透露,自己所售賣的人臉信息來自一些網貸和招聘平臺;至于如何從這些平臺中獲取此類信息,對方沒有作答。

                     
                    需警惕利用人臉信息進行的違法犯罪活動

                     
                    近年來,人臉識別技術被用于金融支付、小區安防、政務服務等諸多場景,既提高了便利性,也通過數據交互在一定程度上增強了安全性。

                     
                    但是,人臉數據如果發生泄露或被不法分子非法獲取,就有可能被用于違法犯罪活動,對此應保持警惕。

                     
                    去年8月,深圳龍崗警方發現有轄區居民的身份信息被人冒用,其駕駛證被不法分子通過網絡服務平臺冒用扣分。

                     
                    在開展“凈網2020”行動中,龍崗警方經多方偵查發現,有不法分子使用AI換臉技術,繞開多個社交服務平臺或系統的人臉認證機制,為違法犯罪團伙提供虛假注冊、刷臉支付等黑產服務。截至目前,龍崗警方在廣東、河南、山東等地已抓獲涉案犯罪嫌疑人13名。

                     
                    據警方介紹,在上述案件中,犯罪嫌疑人利用非法獲取的公民照片進行一定預處理,而后通過“照片活化”軟件生成動態視頻,騙過人臉核驗機制。隨后,通過網上批量購買的私人社交平臺賬號登錄各網絡服務平臺注冊會員或進行實名認證。

                     
                    人臉信息關系到每個人的生命財產安全。業內專家認為,對倒賣人臉信息的黑色產業鏈必須予以嚴厲打擊,立法機關需統籌考慮技術發展與信息安全,劃定人臉識別技術的使用紅線;監管部門也應對惡意泄露他人人臉和身份信息的違法行為予以堅決制止。

                     
                    明年將施行的民法典,對自然人個人信息的范疇進行了專門說明,生物識別信息被納入其中。中國信息安全研究院副院長左曉棟認為,除民法典外,正在制定的個人信息保護法和數據安全法也應對人臉等生物特征信息的保護作出安排;立法要充分考慮人臉這一特殊身份信息的可獲得性,不能讓制定出來的法律因執行難而流于形式。

                     
                    專家建議

                     
                    網絡平臺對平臺上的交易行為負有監管義務,應嚴謹審核賣家資質,對平臺內經營者的合規情況進行監控、記錄,不應允許發布任何侵犯他人人身財產權利或法律法規禁止的物項。

                     
                    相關平臺在制定人臉識別安全規范的過程中,要強調“人臉數據等生物特征信息”與“其他身份信息”實行完全隔離存儲,避免將人臉數據與身份信息相關聯后發生批量化泄露。

                     
                    對于曾經上傳過清晰手持身份證照片或同時上傳人臉照片并填寫身份證、銀行卡信息的用戶,應在開啟人臉驗證的同時,盡可能選擇多重驗證方式,減輕單重人臉驗證風險。

                    7月 14,2020 by admin

                    昨日美國被黑客攻擊,全國網絡幾乎癱瘓!

                    中國日報消息:美國電信網絡遭遇DDSO攻擊 全國網絡幾乎癱瘓!網絡 電話 短信均已無法正常使用。至發稿時,還沒有黑客組織聲稱對這個事件負責。
                     

                    這也不是第一次出現大規則的ddos攻擊,美國斷網的事件。

                     

                    2016全球首次大規模物聯網攻擊,導致美國東海岸大面積斷網,嚴重影響當地人民生活秩序和社會穩定,這是由三位大學生所編寫的Mirai源代碼及運營僵尸網絡,造成嚴重后果,其中在2016年10月,險些搞砸美國大選!當時Mirai大規模爆發,黑客發起對美國互聯網域名解析服務商DYN的DDoS攻擊,攻擊當天,美國東海岸大面積斷網,導致Twitter、亞馬遜、華爾街日報等數百個重要網站無法訪問,美國主要公共服務、社交平臺、民眾網絡服務癱瘓。這次災難,僅DYN一家公司的直接損失就超過了1.1億美元,事件的整體損失不可估量。
                     

                    美國大規?!皵嗑W”暴露兩個問題
                     

                    網絡攻擊歸因技術尚未突破
                     

                    網絡攻擊歸因技術,即通過對網絡攻擊路徑的反向溯源,找到網絡攻擊發起者的技術。由于網絡攻擊的隱秘性和手段的多樣性,攻擊方可利用所控制的第三方、第四方設備展開攻擊,被攻擊者找到隱蔽攻擊者(即歸因判斷)目前仍然存在技術上的重大障礙。對于此次多達三個波次、斷續攻擊接近6個小時、數千萬個IP地址一同發動的普通的“分布式拒絕服務攻擊”,美國官方包括奧巴馬總統都坦率承認“我們不知道是誰做的”。這說明美國在網絡攻擊歸因技術上尚未取得根本性突破,其發展嚴重滯后于攻擊技術的發展。
                     

                    “低技術戰術”難以防范
                     

                    科索沃戰爭中,號稱“不可擊落”的美軍F-117A隱形轟炸機在貝爾格萊德上空折戟沉沙,原因就在于可以在高技術毫米波雷達上隱形遁跡的“夜鷹”,在南聯盟低技術米波雷達上原形畢露,使得北約和美國的戰略轟炸效果大打折扣,這是一次典型“低技術戰術”的成功案例。
                     

                    此次對美國進行的大規模網絡攻擊,攻擊者采用的就是普通的“分布式拒絕服務攻擊”。這一攻擊技術非?!霸肌?,技術含量很低。發動這種攻擊的要點,是必須形成由攻擊者控制的龐大的“僵尸網絡”,經過精心策劃且執行良好,數千萬個IP地址同一時間發動攻擊。美國在網絡防御的高技術研發上不遺余力,而事實證明,在防人力密集型的“低技術”攻擊方面,反而是其弱點。
                     

                    美國只要有黑客攻擊,引發的問題,就會甩鍋,排名第一,中國,第二是俄羅斯。華盟君覺得吧,這事件有可能是美國黑客干,美國的黑人團體也有大量高技術的黑客,由于美國種族事件高起,引發一些高技術人員不滿意。就像能讓美國如此大面積故障的,也只有他們自己內部,中國現在技術可能還達不到。

                    6月 17,2020 by admin

                    關于侵害用戶權益行為的APP通報(2020年第一批)其中當當、知乎日報等被點名


                     
                    關于侵害用戶權益行為的APP通報(2020年第一批)
                     
                    依據《網絡安全法》《電信條例》《電信和互聯網用戶個人信息保護規定》等法律法規,工業和信息化部近期組織第三方檢測機構對手機應用軟件進行檢查,對發現存在問題的企業進行督促整改。截至目前,尚有16款APP未完成整改(詳見附件)。上述APP應在5月25日前完成整改落實工作,逾期不整改的,工業和信息化部將依法依規組織開展相關處置工作。
                     

                    5月 22,2020 by admin

                    Edison Mail爆嚴重BUG:同步后可全權訪問他人帳號內容

                    Edison Mail是一款在iPhone、iPad和Mac上比較流行的第三方電子郵件應用,不過近日曝光的一個BUG引起了人們對隱私的極大關注。Edison Mail用戶報告稱,在該應用中開啟新的賬戶同步功能后,他們可以完全訪問其他Edison Mail用戶的電子郵件賬戶。
                     

                     
                    Edison Mail在給外媒9to5Mac一份聲明中表示這個BUG目前只影響iOS用戶:
                     
                    10小時前,我們向少部分iOS用戶推出了一個軟件更新。在收到這些更新的部分用戶遇到了影響郵件賬戶的應用漏洞,今天早上我們已經注意到了這個漏洞。我們已經迅速回滾了該更新。我們正在聯系受影響的Edison Mail用戶(僅限于過去10小時內更新并打開應用的用戶子集),通知他們。
                     
                    目前來看,這似乎是一個BUG,而不是安全漏洞。這個問題似乎源于上周在Edison Mail客戶端推出的新同步功能。
                     
                    Zach Knox是Edison Mail的首批用戶之一,他今天早上在Twitter上反饋存在這個問題。
                     
                    我剛剛更新了@Edisonapps Mail,在啟用了一個新的同步功能后,一個不是我的郵件賬戶出現在應用中,我似乎可以完全訪問。這是一個重大的安全問題。在沒有憑證的情況下訪問他人的電子郵件! 我再也不會相信這個應用程序了。

                    5月 22,2020 by admin
                    国产小视频精品_国产小视频网站_国产小视频在线播放