摘要：上海網(wǎng)信辦復(fù)測(cè)個(gè)被約談涉及號(hào)店小紅書等近日，上海市網(wǎng)信辦對(duì)此前被約談的個(gè)開(kāi)展回頭看復(fù)測(cè)工作，要求各企業(yè)按照整改報(bào)告切實(shí)做好整改工作。

易盾業(yè)務(wù)風(fēng)控周報(bào)每周呈報(bào)值得關(guān)注的安全技術(shù)和事件，包括但不限于內(nèi)容安全、移動(dòng)安全、業(yè)務(wù)安全和網(wǎng)絡(luò)安全，幫助企業(yè)提高警惕，規(guī)避這些似小實(shí)大、影響業(yè)務(wù)健康發(fā)展的安全風(fēng)險(xiǎn)。

1、上海網(wǎng)信辦復(fù)測(cè)23個(gè)被約談APP 涉及1號(hào)店、小紅書等

近日，上海市網(wǎng)信辦對(duì)此前被約談的23個(gè)APP開(kāi)展“回頭看”復(fù)測(cè)工作，要求各企業(yè)按照整改報(bào)告切實(shí)做好整改工作。2018年10月，上海市網(wǎng)信辦對(duì)本地最常用的23個(gè)App獲取用戶個(gè)人信息等權(quán)限申請(qǐng)情況開(kāi)展安全抽查，并就抽查中發(fā)現(xiàn)的申請(qǐng)權(quán)限不合理、過(guò)度索取用戶個(gè)人信息等問(wèn)題依法對(duì)23家App運(yùn)營(yíng)企業(yè)進(jìn)行約談。

根據(jù)安全抽查結(jié)果，結(jié)合運(yùn)營(yíng)企業(yè)發(fā)展實(shí)際，最終確定整改前的“不合理權(quán)限”數(shù)量為164項(xiàng)，“合理但存在風(fēng)險(xiǎn)權(quán)限”數(shù)量為113項(xiàng)。

此次復(fù)測(cè)結(jié)果顯示，截止1月中旬，各App共整改158個(gè)“不合理權(quán)限”和98個(gè)“合理但存在風(fēng)險(xiǎn)權(quán)限”。整改后剩余6個(gè)“不合理權(quán)限”因企業(yè)戰(zhàn)略調(diào)整等原因還未整改，但都已列出詳細(xì)整改計(jì)劃，剩余15個(gè)“合理但存在風(fēng)險(xiǎn)權(quán)限”因安卓系統(tǒng)的限制，無(wú)法完成“修改為一次性授權(quán)”的整改，但會(huì)對(duì)此類權(quán)限加強(qiáng)網(wǎng)絡(luò)安全管控，嚴(yán)防個(gè)人信息泄露風(fēng)險(xiǎn)。

上海市網(wǎng)信辦表示，下一步將根據(jù)《關(guān)于開(kāi)展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》要求，加強(qiáng)對(duì)App運(yùn)營(yíng)企業(yè)違法違規(guī)申請(qǐng)權(quán)限、收集用戶個(gè)人信息等行為的監(jiān)管和處罰，對(duì)未完成整改的企業(yè)進(jìn)行再檢查。

2、WordPress曝出插件漏洞 允許任何用戶接管網(wǎng)站

一名來(lái)自WebARX的安全研究人員，剛剛發(fā)現(xiàn)了“簡(jiǎn)易社交分享按鈕”（Simple Social Buttons）插件的一個(gè)缺陷。該插件旨在方便網(wǎng)站管理員在文章、評(píng)論、或網(wǎng)站的其它部分，嵌入 Facebook 或 Twitter 等 SNS 平臺(tái)的社交分享按鈕。然而最新曝光的漏洞允許任何能夠在網(wǎng)站上創(chuàng)建新賬戶的用戶，利用它來(lái)訪問(wèn)“通常只有管理員才能解除的設(shè)置”。換言之，別有用心的攻擊者可以通過(guò)該插件來(lái)接管網(wǎng)站。

安全研究人員指出，截止目前，WPBrigade 簡(jiǎn)易社交分享按鈕插件的下載量，早已超過(guò) 50 萬(wàn)次。WordPress 聲稱，其已被超過(guò) 4 萬(wàn)網(wǎng)站采用。

3、Facebook被發(fā)現(xiàn)可搜索女性朋友的照片卻無(wú)法搜索男性的

據(jù)外媒TheNextWeb報(bào)道，一位比利時(shí)安全研究人員在Facebook的搜索功能中發(fā)現(xiàn)了一個(gè)不尋常的怪異現(xiàn)象。Facebook允許用戶搜索女性朋友的照片，但卻無(wú)法查看男性朋友的照片。這個(gè)現(xiàn)象被臭名昭著的比利時(shí)白帽黑客Inti De Ceukelaire發(fā)現(xiàn)。

TNW已經(jīng)設(shè)法復(fù)制了幾個(gè)Facebook帳戶的故障。當(dāng)用戶在搜索欄中輸入“我的女性朋友的照片”時(shí)，F(xiàn)acebook將出現(xiàn)一些看似隨意的女性朋友照片。用“男性”換掉“女性”會(huì)讓人感覺(jué)完全不同。而不是社交網(wǎng)絡(luò)中的朋友的照片，而是顯示來(lái)自社交網(wǎng)絡(luò)的精選圖片。這些來(lái)自用戶沒(méi)有關(guān)注的帳戶和團(tuán)體。假設(shè)用戶錯(cuò)誤輸入了查詢，F(xiàn)acebook也會(huì)詢問(wèn)用戶是否打算輸入“女性”。

4、16家國(guó)外網(wǎng)站近6.2億用戶信息被掛暗網(wǎng)出售

近日，一個(gè)名為Dream Market暗網(wǎng)市場(chǎng)上掛出了6.2億用戶信息，交易通過(guò)比特幣轉(zhuǎn)賬進(jìn)行，打包售價(jià)不高于2萬(wàn)美元，該賣家宣稱這些數(shù)據(jù)來(lái)自16個(gè)被攻擊的網(wǎng)站：

Dubsmash（1.62億）、MyFitnessPal（1.51億）、MyHeritage（9200萬(wàn)）、ShareThis（4100萬(wàn)）、HauteLook（2800萬(wàn)）、Animoto（2500萬(wàn)）、EyeEm（2200萬(wàn)），8fit（2000萬(wàn)）、Whitepages（1800萬(wàn)）、Fotolog（1600萬(wàn)）、500px（1500萬(wàn)）、Armor Games（1100萬(wàn)）、BookMate（800萬(wàn)）、CoffeeMeetsBagel（600萬(wàn)）、Artsy（100萬(wàn)）和DataCamp（70萬(wàn)）。
從放出的部分樣本來(lái)看，包含的用戶信息有效性很高，主要有帳戶持有人姓名、電子郵件地址和密碼等數(shù)據(jù)。密碼經(jīng)過(guò)哈希處理或單向加密，因此必須先破解才能使用。根據(jù)來(lái)源網(wǎng)站的不同，某些數(shù)據(jù)還包含位置、個(gè)人詳細(xì)信息和社交媒體身份驗(yàn)證信息等內(nèi)容，而付款或銀行卡詳細(xì)信息不在其中。

MyHeritage發(fā)言人證實(shí)，該賣家現(xiàn)在出售的數(shù)據(jù)庫(kù)樣本是真實(shí)有效的，這些數(shù)據(jù)是2017年10月從其服務(wù)器泄露的，公司已在2018年發(fā)出通報(bào)。

5、四川開(kāi)展學(xué)習(xí)類APP整治行動(dòng) 堅(jiān)持“凡進(jìn)必審” 原則

據(jù)四川日?qǐng)?bào)報(bào)道，四川省教育廳啟動(dòng)學(xué)習(xí)類APP等移動(dòng)應(yīng)用程序?qū)ｍ?xiàng)整治行動(dòng)，按照“凡進(jìn)必審”“誰(shuí)選用誰(shuí)負(fù)責(zé)”“誰(shuí)主管誰(shuí)負(fù)責(zé)”的原則，督促各地建立學(xué)習(xí)類APP進(jìn)校園備案審查制度。

據(jù)了解，凡是未經(jīng)備案審查的學(xué)習(xí)類APP一律被禁止在校園內(nèi)使用。凡發(fā)現(xiàn)APP內(nèi)包含色情暴力、網(wǎng)絡(luò)游戲、商業(yè)廣告等內(nèi)容及鏈接，或利用抄作業(yè)、搞題海、公布成績(jī)排名等應(yīng)試教育手段增加學(xué)生課業(yè)負(fù)擔(dān)的,要立即停止使用，卸載APP。同時(shí)，對(duì)存在違規(guī)問(wèn)題的APP要報(bào)告給相關(guān)部門進(jìn)行查處。

此外，新華微評(píng)文章也指出，含有色情暴力、低俗游戲的有害教育類App屢禁不止，令人憂心。面對(duì)亂象，不僅需要加強(qiáng)監(jiān)管力度與提高違法成本，更應(yīng)改變靠用戶“舉報(bào)”推動(dòng)監(jiān)管的被動(dòng)狀態(tài)。切實(shí)提高行業(yè)門檻，從內(nèi)容上正本清源，在技術(shù)上精細(xì)化甄別，才能讓優(yōu)質(zhì)教育類App脫穎而出，讓害群之馬無(wú)所遁形，還青少年一個(gè)健康的網(wǎng)絡(luò)環(huán)境。

6、騰訊公布直播規(guī)范，這12條直播禁令需要注意！

北京時(shí)間2月15日，騰訊游戲發(fā)布關(guān)于直播行為規(guī)范化的公告，提出12條嚴(yán)禁出現(xiàn)的不良行為。

公告稱，游戲內(nèi)容與游戲直播內(nèi)容存在天然的版權(quán)關(guān)聯(lián)，作為直播行業(yè)及其衍生領(lǐng)域的內(nèi)容提供者，騰訊承擔(dān)其游戲內(nèi)容合規(guī)運(yùn)營(yíng)責(zé)任的同時(shí)，也有責(zé)任推動(dòng)基于騰訊游戲畫面的直播內(nèi)容和授權(quán)的規(guī)范化。

在基于騰訊所運(yùn)營(yíng)游戲的直播中，嚴(yán)禁出現(xiàn)下列不良行為，包括但不限于：

1.違反憲法確定的基本原則的;涉及國(guó)家政治、民族、宗教、地域等敏感話題的;
2.宣傳或發(fā)布違法信息、違反社會(huì)公德的信息，或不利于精神文明建設(shè)的信息，包括但不限于色情、賭博、邪教、恐怖主義等內(nèi)容;
3.通過(guò)任何方式、行為直接或間接損害騰訊游戲用戶體驗(yàn)和騰訊游戲品牌;
4.通過(guò)任何方式、行為冒充平臺(tái)或騰訊游戲官方向其他用戶散布或傳播虛假信息;
5.通過(guò)任何方式、行為散布或傳播低俗、不雅信息;
6.通過(guò)任何方式、行為散布或傳播使用私服、木馬、外掛、病毒、代練及此類信息;
7.宣揚(yáng)、鼓動(dòng)現(xiàn)實(shí)世界內(nèi)的血腥暴力行為;
8.未經(jīng)許可，侵犯他人隱私，泄露他人信息的;
9.不遵守契約精神，合約期內(nèi)無(wú)故單方面解約或與第三方簽署影響合約正常履行的其他協(xié)議;
10.侵害游戲廠商和內(nèi)容創(chuàng)作者的著作權(quán)，通過(guò)任何方式損害內(nèi)容創(chuàng)作者或版權(quán)方權(quán)益;
11.通過(guò)任何方式或途徑引起紛爭(zhēng)，造成不良社會(huì)影響的;
12.其他不符合法律法規(guī)、社會(huì)公德或游戲規(guī)則的言論或行為。

7、Facebook安全部門被爆“監(jiān)視”部分用戶，股價(jià)轉(zhuǎn)跌

Facebook安全部門保留了一份詳細(xì)的“監(jiān)視”威脅名單，用于監(jiān)視對(duì)Facebook構(gòu)成威脅的用戶。這項(xiàng)工具是BOLO List，大約每周更新一次。該名單創(chuàng)建于2008年，目前有數(shù)百人在該名單上。該公司甚至可以使用其產(chǎn)品來(lái)追蹤用戶的位置。一些前Facebook雇員質(zhì)疑，F(xiàn)acebook的安全策略并不道德。Facebook回吐漲幅轉(zhuǎn)跌。

8、沙特通過(guò)App監(jiān)控女性出境，蘋果CEO庫(kù)克承諾要調(diào)查

針對(duì)近日曝光的一款可以實(shí)時(shí)追蹤女性出境情況的App，蘋果公司(以下簡(jiǎn)稱“蘋果”)CEO蒂姆·庫(kù)克(Tim Cook)表示，如果消息屬實(shí)，蘋果將對(duì)此展開(kāi)調(diào)查。

近日有報(bào)道稱，沙特政府出臺(tái)的一款名為“Absher”的手機(jī)App可以實(shí)時(shí)追蹤該國(guó)女性的出境情況，并在對(duì)方離境時(shí)向男性監(jiān)護(hù)人發(fā)送短信警告。根據(jù)沙特的法律，每名女性必須有一位男性監(jiān)護(hù)人，且未經(jīng)同意不得隨意旅游出境。雖然該軟件已存在7年，但直至最近才吸引了媒體的關(guān)注。原因是：上月初一名18歲的沙特少女自稱受家人虐待逃至泰國(guó)，而她的父親隨后趕到希望接回女兒，但被拒絕。

9、500px 千萬(wàn)用戶信息泄露

著名攝影網(wǎng)站500px發(fā)布公告稱在去年 7 月遭到黑客攻擊，大約 1480 萬(wàn)用戶的信息泄露，而它直到上周才獲悉此事。500px 稱 2 月 8 日，工程團(tuán)隊(duì)了解了一個(gè)潛在安全問(wèn)題，隨后它立即發(fā)起全面調(diào)查以查清問(wèn)題的性質(zhì)和范圍，它還雇傭了第三方專家來(lái)幫助調(diào)查，結(jié)果發(fā)現(xiàn)在 2018 年 7 月 5 日，它的系統(tǒng)和部分用戶數(shù)據(jù)遭到未經(jīng)授權(quán)的訪問(wèn)，被訪問(wèn)的數(shù)據(jù)包括了用戶名、電子郵件地址、哈希密碼、出生日期性別地址等可選輸入的信息。出于謹(jǐn)慎起見(jiàn)，它決定重置所有用戶的賬號(hào)密碼，并建議用戶如果在其它網(wǎng)站復(fù)用密碼最好一并修改。500px 去年二月被視覺(jué)中國(guó)收購(gòu)。

點(diǎn)擊這里可免費(fèi)試用易盾云安全產(chǎn)品，包括反垃圾、驗(yàn)證碼、注冊(cè)保護(hù)、登錄保護(hù)、活動(dòng)反作弊、應(yīng)用加固、DDoS 防護(hù)等整體安全解決方案。

文章來(lái)源： 網(wǎng)易云社區(qū)