今年3月,全國政協十三屆二次會議舉行,數據安全成本屆立法新重點,引兩會代表熱議。個人信息保護法、數據安全法、等保2.0、數據泄露... ...下面,讓我們一起看看三月都發生了哪些國內外數據安全事件。
利用惡意插件收集用戶數據 Facebook起訴兩名開發者
3月11日,Facebook起訴兩名烏克蘭人利用測試應用收集用戶的私密數據,在用戶的消息流中插入廣告。在2017年至2018年期間,兩名被告誘使Facebook用戶安裝自稱與星座、性格測試有關的惡意瀏覽器插件,受影響的用戶達到約6.3萬人,其中主要是俄羅斯和烏克蘭用戶。
Citrix收FBI警告:6TB至10TB敏感數據被竊
軟件制造商Citrix近日承認公司已經淪為數據泄露的新受害者,導致國際黑客竊取了大量的數據。公司表示美國聯邦調查局(FBI)已經就此事和公司取得聯系,并警告稱本次網絡攻擊行為極有可能是伊朗黑客組織所為,竊取了6TB至10TB的商業文件。
沙特智能電話本應用Dalil被爆嚴重漏洞:500萬以上用戶信息被泄露
Dalil是一款類似于Truecaller的智能電話本應用程序,但僅限于沙特和其他阿拉伯地區用戶。由于該應用所使用的MongoDB數據庫可以在不輸入密碼的情況下在線訪問,導致用戶數據持續泄露一周時間。該漏洞由安全研究人員Ran Locar和Noam Rotem發現,在數據庫中包含了這款APP的所有數據,從用戶個人詳細信息到活動日志。
新加坡808201名獻血者信息遭泄露
新加坡衛生科學局(HSA)在3月15日的一份聲明中表示,一名網絡安全專家發現了該漏洞,并通知了個人數據保護委員會(PDPC),Secur的一臺服務器中包含了獻血者的數據庫,但沒有采取足夠的安全措施防止未經授權的訪問。HSA表示,除了獻血者的信息,服務器中不包含其他醫療信息。HSA進行初步調查及對數據庫日志審查后表示,沒有其他未經授權的個人訪問過該數據庫。HSA首席執行官Mimi Choong為安全漏洞道歉,并表示正在加強檢查和監控供應商。
同性社交App熱拉數據泄露 涉及530萬用戶信息
熱門同性交友應用熱拉(Rela)近日被披露,由于服務器未受密碼保護,應用數據庫泄露,涉及530萬用戶的個人資料及隱私數據遭到泄露。每條記錄包括用戶昵稱、出生日期、身高和體重、民族、以及性取向和愛好。若用戶授權,記錄還包括用戶的精確地理位置。數據庫另外還包含2000多萬條狀態更新,其中也包含隱私數據。
工信部:應用商店全面下架“社保掌上通”APP
3月15日,第29屆央視315晚會曝光了眾多APP通過不平等、不合理條款的授權協議,強制索取用戶的個人信息的問題。其中,社保掌上通APP被晚會點名,晚會主持人通過實際操作發現,當用戶在該APP上輸入身份證號、社保賬號、手機號等信息,完成注冊后,電腦遠程就能截取到用戶的幾乎所有信息。工信部立即啟動應用商店聯動處置機制,要求騰訊、百度、華為、小米、OPPO、Vivo、360等國內主要應用商店全面下架 “社保掌上通”APP,對“社保掌上通”手機APP的責任主體杭州遞金網絡科技有限公司進行核查處理,并全力組織對同類APP進行排查檢測,對類似問題一并要求整改。
個人信息保護法已被列入本屆立法規劃 正抓緊起草
十三屆全國人大二次會議3月4日上午11時15分在人民大會堂新聞發布廳舉行新聞發布會,由大會發言人張業遂就大會議程和人大工作相關的問題回答中外記者提問。張業遂說隨著網絡信息技術和數字經濟的快速發展,因個人信息不當收集、濫用、泄露,導致公民權益受到侵害的事件時有發生。通過立法加強個人信息保護已成為保護公民隱私和生命財產安全、規范網絡健康有序發展的必然要求。全國人大常委會已將制定個人信息保護法列入本屆立法規劃,相關部門正在抓緊研究和起草,爭取早日出臺。
等級保護2.0標準今年4月有望出臺
在日前舉辦的網絡安全論壇上,公安部網絡安全保衛局的處長祝國邦做了題為“等級保護標準2.0解讀”的精彩演講。祝國邦透露,等級保護步入了一個新的階段,等級保護2.0標準今年4月份有望出臺。等級保護標準2.0是根據當前的網絡安全的形勢變化、任務要求和整個技術的發展,重新去審視等級保護制度,提出了新的政策和要求,從而推動整個網絡安全等級保護制度的落實,進一步加強整體的安全防護。
9款APP泄露用戶信息 遭上海消保委約談后將集中整改
近日,上海市消保委召開了一場“低配”版互聯網大會,對網購平臺、旅游出行、生活服務等39款手機APP開展涉及個人信息權限的評測結果,有9款APP泄露用戶重要信息,“日歷”權限風險最令人擔憂。目前,餓了么已推出更新版本,刪除“讀取通話記錄”權限。市消保委披露,TripAdvisor貓途鷹、一嗨租車等APP已提交相關整改報告。
北京一警察倒賣公民犯罪記錄5萬余條,獲利32萬被判4年
北京一派出所警長聶某利用密鑰權限,從公安系統內部網絡查詢公民個人犯罪記錄5萬余條,這些信息被其出賣給一家公司,共獲利32.8萬余元。近日,經兩級法院審理,聶某因受賄罪被判處有期徒刑四年,輔警郭某因協助聶某實施犯罪,也獲刑一年半。
?▍▊據調研機構波洛蒙研究所的調查,組織的內部員工的無意行為是最常見的內部威脅形式,占數據泄露事件的64%,而外部攻擊行為只占數據泄露事件的23%。企業應當:制定網絡數據安全保護機制,實行安全保障責任制;建立網絡數據違法犯罪調查配合機制,協助公安機關查處通過國際聯網的計算機信息網絡的違法犯罪行為;建立網絡數據分級管理與保護制度,平衡用戶與企業利益... ...數據安全防護任重而道遠。
App專項治理工作組制定《App違法違規收集使用個人信息自評估指南》
日前,App專項治理工作組依據《網絡安全法》、《消費者權益保護法》、《信息安全技術 個人信息安全規范》等法律法規和國家標準,編制了《App違法違規收集使用個人信息自評估指南》(以下簡稱為“指南”),App運營者可參照指南對其收集使用個人信息的情況進行自查自糾,提升個人信息保護水平。
教育部辦公廳印發《2019年教育信息化和網絡安全工作要點》
經教育部網絡安全和信息化領導小組審議通過,印發《2019年教育信息化和網絡安全工作要點》。《工作要點》指出:以習近平新時代中國特色社會主義思想為指導,深入貫徹落實黨的十九大精神,全面落實全國教育大會、全國網絡安全和信息化工作會議精神,圍繞加快教育現代化、建設教育強國、辦好人民滿意的教育,以“育人為本、融合創新、系統推進、引領發展”為原則,堅持穩中求進工作總基調,深入落實《教育信息化“十三五”規劃》和《教育信息化2.0行動計劃》,實施好教育信息化“奮進之筆”,加快推動教育信息化轉段升級,積極推進“互聯網+教育”,堅持高質量發展,以教育信息化支撐和引領教育現代化。
央行發布《關于進一步加強支付結算管理 防范電信網絡新型違法犯罪有關事項的通知》
中國人民銀行研究制定《通知》,針對當前打擊治理電信網絡新型違法犯罪面臨的新形勢、新要求和新情況,從健全緊急止付和快速凍結機制、加強賬戶實名制管理、加強轉賬管理、強化特約商戶與受理終端管理、廣泛宣傳教育、落實責任追究機制等方面提出21項措施,進一步筑牢金融業支付結算安全防線。
澳大利亞推出政府數據共享臨時計劃
3月19日,澳大利亞聯邦政府發布了聯邦機構數據共享臨時性指導原則。由于先前擬議的《數據共享和發布法案》細節仍在制定之中,因此,19日發布的數據共享指導原則將作為立法準備期間的臨時措施。《數據共享和發布法案》的總體目標是,以一致和適當的方式保護數據的發布和共享;增強數據系統的完整性;建立對使用公共數據的信任;建立體制安排;促進更好地公共部門數據共享。
CIPL發布修訂后的美國隱私框架原則白皮書
3月21日,位于Hunton Andrews Kurth LLP的信息政策領導中心(“CIPL”)發布了一份關于修訂后的美國隱私框架的十項原則的白皮書(“白皮書”)。 CIPL認為,個人信息和隱私的使用可以在聯邦層面得到最有效的監管,并提出應納入任何新的聯邦隱私框架的十項原則,以確保為消費者提供適當的保護,同時促進數字經濟、創新和數據的負責任使用。
?▍▊數據違規成為全球性話題,數據泄露和個人信息成重災區,各國相關法規與合規政策相繼出臺。業界普遍認為,我國尚未施行針對數據保護的綜合性立法,而且現有涉及數據保護的法律法規和標準的操作性不強。在十三屆全國人大二次會議新聞發布會上,大會新聞發言人張業遂談到了今年的立法計劃,今年全國人大常委會將制定數據安全法。探索數據信息保護,離不開政府層面監管,應該由國家層面制定相關數據政策。各個國家之間也需要達成一致,建立相應的機制和落實細則來共同保護數據的安全。
工信安全智庫報告:2018年度工業信息安全形勢分析
2018年全球范圍內針對工業領域的網絡攻擊有增無減,攻擊手段花樣多變,大規模高強度的安全事件屢有發生,對政治、經濟、軍事、國家和社會安全等造成直接威脅和現實影響,工業信息安全成為各國政府高度關注的重大安全領域。
信通院觀察:物聯網安全風險分析報告
隨著物聯網產業規模不斷壯大,針對用戶隱私、基礎網絡環境的安全攻擊不斷增多,網絡安全問題已成為限制物聯網服務廣泛部署的障礙之一。分析物聯網面臨的安全風險,對提升物聯網安全水平,促進物聯網及其生態系統的健康發展有著重要意義。
360:《2018年智能網聯汽車信息安全年度報告》
3月20日,360發布了《2018年智能網聯汽車信息安全年度報告》。通過回顧歷年的汽車安全事件,分析漏洞破解案例,統籌行業標準制定情況、車廠重視程度和供應商的解決方案和能力,《報告》為汽車信息安全產業提出相應建議,以應對安全方面的挑戰。
賽門鐵克:2018年度互聯網安全威脅報告
賽門鐵克(Symantec)近期發布了2018年度互聯網安全威脅報告(ISTR24),總結性的披露其在2018年觀測到全球范圍的主要網絡安全威脅和攻擊方式,并對2019年的威脅趨勢進行了預測。ISTR報告是基于賽門鐵克全球最大的民用威脅情報網絡,提供過去一年的全球威脅活動和態勢洞見。據了解,該威脅情報網絡包括1.23億個監測終端,覆蓋全球超過157個國家和地區,平均每天攔截1.42億次網絡攻擊。ISTR24中強調的八大威脅態勢:1.表單劫持;2.挖礦劫持;3.勒索軟件;4.無文件和供應鏈攻擊;5.定向攻擊;6.云安全挑戰;7.物聯網威脅;8.選舉擾亂。
?▍▊安全報告、數據安全分析和網絡安全態勢感知等可以幫助企業、政府、行業機構等預測數據安全發展趨勢,是解決新形勢下的信息安全威脅的有效手段。筑牢數據安全屏障,不僅需要“技術手段”,更需要“集體智慧”、“團隊力量”,需要政府、企業、社會組織、廣大網民共同參與。
*來源于網絡,由敏捷科技綜合整理
18120179909
關注敏捷小助手,了解更多