网易易盾

网易易盾官方号

286篇博客

3月第5周业务风控关注 |国家网信办组织“抖音”等短视频平台试点青少年防沉迷系统

网易易盾2019-03-29 21:12

易盾业务风控周报每周呈报值得关注的安全技术和事件,包括但不限于内容安全、移动安全、业务安全和网络安全,帮助企业提高警惕,规避这些似小实大、影响业务健康发展的安全风险。

1、国家网信办组织“抖音”等短视频平台试点青少年防沉迷系统

3月28日,国家网信办指导组织“抖音”“快手”“火山小视频”等短视频平台试点上线青少年防沉迷系统。“青少年防沉迷系统”内置于短视频应用中,用户每日首次启动应用时,系统将进行弹窗提示,引导家长及青少年选择“青少年模式”,使用更加方便。(来源:澎湃网)

2、巧达科技将8亿份简历转手卖到数据黑产链

近日,号称拥有全国最大简历库的招聘类数据公司巧达科技被曝公司所有人员被警方带走。这家公司曾宣称通过整合多达2.2亿份自然人简历、10亿份通讯录、100亿个用户识别ID组合和1000亿+用户综合数据,绘制出了涉及中国8亿人口的多维度数据。其中,包含个人隐私与非隐私信息。(来源:

 cnbeta)

3、 外媒:同性社交App热拉泄露530多万用户数据

热门同性交友应用热拉近日被披露,因其服务器未受密码保护,其应用数据库泄露,涉及530万用户的个人资料及隐私数据遭到泄露。每条记录包括用户昵称、出生日期、身高和体重、民族、以及性取向和爱好。若用户授权,记录还包括用户的精确地理位置。数据库另外还包含2000多万条状态更新,其中也包含隐私数据。(来源:TechCrunch)

4 、上海消保委:穷游、百度糯米等APP过度索权,存在安全风险

上海市消保委近期对网购平台、生活服务等39款手机App涉及个人信息权限评测显示,有9款手机App存在索取的权限与功能无法对应的问题,涉及聚美、穷游、神州租车、百度糯米等。(来源:新浪财经)

5、 Elsevier 数据库泄漏用户密码和电邮

世界最大期刊出版商之一的Elsevier被发现错误配置了其数据库,导致外界可以公开访问其订阅用户的密码和电邮地址,受影响的主要是世界各地的高校和研究机构。发现该问题的安全公司

 SpiderSilk 称,大部分用户的电邮后缀是.edu,意味着要么是学生要么就是教师。Elsevier  

在接到报告之后修复了问题,公司发言人声称没有发现数据被误用的迹象,表示会采取预防措施通知受影响的用户和重置账号密码。(来源:solidot)

6、 谷歌最新验证系统又双叒被「破解」了,这次是强化学习

自推出以来,谷歌的

 reCaptcha 验证系统就被频繁破解,因此谷歌不得不一次又一次地迭代升级。现在,reCaptcha 已经升级到了  

v3,由原来的用户交互直接升级成了给用户打分。但再强的系统也会有漏洞,来自加拿大和法国的研究者另辟蹊径,用强化学习「破解」了这个最新的验证系统。(来源:机器之心)

7、2018年度移动应用安全报告:8万电商应用300万个漏洞

2018年度经由Testin云测漏洞扫描引擎扫描的80796款电商应用中,共发现漏洞3071250个,其中高危漏洞

 1074587个,高危漏洞所占比例最为严重,高达35%,平均每个电商应用存在38个漏洞。其中高危漏洞中出现频率最高的为“Intent  

Scheme URL攻击”,该漏洞属于代码安全范畴,指恶意页面可以通过Intent Scheme  

URL执行基于Intent的攻击,攻击者可利用该漏洞盗取Cookie信息进而进行恶意操控,建议可通过将Intent的component/selector设置为null进行漏洞修复。(来源:安全牛)

8、盗30万条个人信息叫价1比特币 “网偷”被警方抓获

去年11月,一篇微信公众号信息引起人们关注,“‘暗网’上有人挂售某网站30余万条用户资料信息,叫价1个比特币”。经武汉市公安局网安支队调查发现,这家网站后台管理权限已被盗取,被偷走的客户信息包括身份证、手机号、银行卡、家庭住址、工作单位、贷款情况等,在暗网上的售价是1个比特币(时值3.5万元)。最终查明这只幕后黑手,指向四川省成都市双流区华阳镇的一个青年男子吴某。年仅22岁的吴某交代,他利用一个软件以暴力破解手段入侵受侵网站后台。他找到服务器的用户注册信息,盗取这家网站大批量、多维度的用户数据,共计30余万条。(来源:Freebuf)

9、爱情银行App:因内容违规被监管部门强制要求下架整改

3月25日,爱情银行App通过官方微博“爱情银行官微”发布声明称,经监管部门检测,爱情银行App社区存在大量违规内容。应监管部门强制要求,爱情银行App将关停下架,全面整改。

10、12家企业因违反网络安全管理规定被上海网安依法查处

为维护清朗有序的网络空间,夯实属地企业主体责任,结合公安部“净网2019”专项行动要求,今年以来,上海公安网安部门在全市范围内开展了网络安全执法检查专项行动。在执法检查中发现,有12家企业存在未向公安机关履行备案义务,未落实用户实名制要求,未落实网络安全技术措施等违法违规行为。根据《中华人民共和国网络安全法》、《计算机信息网络国际联网安全保护管理办法》等相关法律法规,依法对12家企业予以行政处罚。(来源:Freebuf)