導語:隨著數字化的深入普及,業務愈加開放互聯,企業的關鍵資料、用戶資訊、基礎設施、運營程序等均處于邊界模糊且日益開放的環境中,涉及利益流和高附加值的業務面臨多樣的安全隱患,隨時可能遭遇損失,進而影響企業運營和發展,
一方面,業務安全隱患形式多樣,在電商、支付、信貸、賬戶、互動、交易等形態的業務場景中,存在著各類等欺詐行為;另一方面,欺詐行為日益專業化、產業化,且具有團伙性、復雜性、隱蔽性和傳染性等特點,
為了讓大家更全面的了解業務安全的風險,頂象自本月起將針對每月的業務安全熱點事件進行盤點總結,
一、國內業務安全熱點
WPS被爆洗掉用戶本地檔案
7 月 11 日,“WPS 被曝會洗掉用戶本地檔案”話題登上熱搜,引起網友熱議,
當日 WPS 官方微博回應稱,“洗掉用戶本地檔案”屬于訛傳,系近期一位用戶分享的在線檔案鏈接涉嫌違規,WPS 依法禁止了他人訪問該鏈接,關于洗掉用戶本地檔案的說法純屬誤導,將保留通過法律途徑維護合法利益的權利,
7 月 13 日,針對近日網傳的“WPS 洗掉用戶本地檔案”“侵犯用戶隱私”等言論,WPS再次做出回應稱:“WPS 不會對用戶的本地檔案進行任何審核、鎖定或洗掉等操作,有關網傳的“WPS 洗掉用戶本地檔案”“侵犯用戶隱私”等,均系不實資訊,對于因此給公司商譽造成的損失,我們將采取法律手段維護合法權利,”
交通銀行人臉識別系統被攻破:6次人臉識別比對,近43萬被盜走
7月18日,據中國新聞網報道,詐騙人員先后6次冒充北京一名儲戶,進行了6次人臉識別比對,均顯示“活檢成功”,并順利從其交通銀行卡中偷走近43萬元,
但此類案件并不是孤例,
據媒體報道,2020年10月至2021年10月間,五大國有銀行之一的交通銀行,發生了多起疑似與人臉識別漏洞有關的盜刷案,交通銀行的人臉識別系統多次被犯罪分子通過活體驗證,目前已被多名用戶起訴,
2021年,有不法分子利用交通銀行的人臉識別授權功能,再通過潛伏在用戶手機里的木馬病毒攔截短信驗證碼,盜取了多位用戶的銀行存款,受害者包括金融行業員工、大廠員工、律師以及公司高管,有用戶統計資訊后告訴市界,目前至少涉及6名用戶被盜刷資金,每戶金額從幾萬到幾十萬不等,總金額超200萬元,
部分用戶為了追回自己被盜刷的存款,選擇將交通銀行訴至法庭,但在今年6底,卻收到了法院對交通銀行“未見存在明顯的過錯和過失”的一審判決,駁回用戶全部訴訟請求,
滴滴被罰80.26億
7月21日,國家互聯網資訊辦公室依據《網路安全法》《資料安全法》《個人資訊保護法》《行政處罰法》等法律法規,對滴滴全球股份有限公司處人民幣80.26億元罰款,對滴滴全球股份有限公司董事長兼CEO程維、總裁柳青各處人民幣100萬元罰款,
經查明,滴滴公司共存在16項違法事實,歸納起來主要是8個方面,
一是違法收集用戶手機相冊中的截圖資訊1196.39萬條;
二是過度收集用戶剪切板資訊、應用串列資訊83.23億條;
三是過度收集乘客人臉識別資訊1.07億條、年齡段資訊5350.92萬條、職業資訊1633.56萬條、親情關系資訊138.29萬條、“家”和“公司”打車地址資訊1.53億條;
四是過度收集乘客評價代駕服務時、App后臺運行時、手機連接桔視記錄儀設備時的精準位置(經緯度)資訊1.67億條;
五是過度收集司機學歷資訊14.29萬條,以明文形式存盤司機身份證號資訊5780.26萬條;
六是在未明確告知乘客情況下分析乘客出行意圖資訊539.76億條、常駐城市資訊15.38億條、異地商務/異地旅游資訊3.04億條;
七是在乘客使用順風車服務時頻繁索取無關的“電話權限”;
八是未準確、清晰說明用戶設備資訊等19項個人資訊處理目的,
最高法:依法嚴懲強制“二選一”、大資料殺熟、低價傾銷、強制搭售等行為
7月25日,最高人民法院發布了《關于為加快建設全國統一大市場提供司法服務和保障的意見》,其中提出,加強對平臺企業壟斷的司法規制,及時制止利用資料、演算法、技術手段等方式排除、限制競爭行為,依法嚴懲強制“二選一”、大資料殺熟、低價傾銷、強制搭售等破壞公平競爭、擾亂市場秩序行為,防止平臺壟斷和資本無序擴張,
二、國外業務安全熱點
IBM資料泄露成本報告發布,網路釣魚成主因
近期,IBM發布了最新的資料泄露成本報告,據報告稱,目前全球資料泄露的平均成本為435萬美元,過去兩年資料泄露成本增加了近13%,創下歷史新高,資料泄露成本報告是IBM的年度重磅事項,至今已經是該報告發布的第17年,今年的資料泄露成本報告是根據2021年3月至2022年3月期間對17個國家/地區的550家企業的調研編制而成的,
與去年報告相比,今年的整體資料有2.6%的增長,同時,據IBM稱,消費者也正因資料泄露事件而遭受不成比例的痛苦,60%的違規企業在遭受資料泄露事件后反而提高了其產品價格,約等于變相加劇了全球通脹的速度,
網路釣魚成為代價最高的資料泄露原因,受害企業的平均成本為490萬美元,而憑據泄露是最常見的原因(19%),連續第12年,醫療行業都是資料泄露成本最高的行業,而且還在快速增長中,2022年醫療行業的平均違規成本增加了近100萬美元,達到創紀錄的1010萬美元,在眾多國家中,美國仍然是資料泄露事件里損失最昂貴的國家,平均違規成本達到了940萬美元,
UNI token空投釣魚攻擊成功竊取Uniswap 800萬美元
7月11日,有Uniswap用戶遭遇空投釣魚攻擊,累計被竊取7,574 ETH,價值約800萬美元,Uniswap稱協議本身是安全的,沒有漏洞,
Uniswap是一家去中心化的加密貨幣交易所,Uniswap是基于以太坊的協議,旨在促進ETH和ERC20 代幣數字資產之間的自動兌換交易,可以在以太坊上自動提供流動性,
空投(airdrop),就是免費給區塊鏈地址(公鑰)發送代幣,攻擊者使用免費UNI token空投作為誘餌,誘使用戶授權一個給與攻擊者其錢包完全訪問權限的交易,釣魚攻擊者創建了一個ERC token,并將其映射到持有UNI token的73399個用戶,
Premint NFT遭史上最大NFT黑客攻擊
7月18日,據外媒報道,知名NFT平臺Premint NFT遭到入侵,攻擊者占領了其官方網站,并盜取了314個NFTs,據區塊鏈安全公司CertiK的專家稱,這是有歷史記錄以來最大的NFT黑客攻擊之一,
專家們的分析顯示,威脅者向Premint NFT官網植入了一個惡意的JavaScript代碼,該腳本被設計為指示用戶在將其錢包連接到該網站時 "為所有人設定審批",這種方式使攻擊者能夠訪問他們的加密貨幣資產,
CertiK在對外的事件宣告報告中寫道:“雖然由于域名服務器已經失效,惡意檔案不再可用,但攻擊的影響在鏈上仍然有跡可循,總共有六個外部擁有的賬戶(EOAs)與這次攻擊直接相關,大約有275個ETH被盜(價值約37.5萬美元),”
Tor 瀏覽器迎重大更新,可自動繞過互聯網審查
7月18日,Tor 專案團隊宣布發布 Tor 瀏覽器 11.5版本,而此次更新就只有一個目的——幫助用戶自動繞過互聯網審查,
眾所周知,Tor 瀏覽器專為通過洋蔥路由器 (Tor) 網路訪問網站而創建,被業界稱之為“暗網世界大門鑰匙”,在密碼學層面很難破譯,通過Tor瀏覽器訪問Internet,就如同帶著面具參加舞會,無人可知用戶的真實身份,而此次Tor 瀏覽器的更新則進一步強化了這一功能,大大降低了用戶匿名訪問的門檻,
它通過通過網路上的節點路由流量并在每一步對其進行加密來實作這一點,連接通過一個出口節點到達目的地,該出口節點用于將資訊中繼回用戶,
App Store存在大量欺詐應用,數百萬iOS用戶受影響
7月20日,據外媒報道,蘋果官方表示每天審核超過 10 萬款新應用和應用更新申請,而嚴苛的審查制度讓其只有 60% 可以通過上架,即便如此,App Store 依然充斥著大量欺詐類應用,為這些應用的開發者帶來大量收入的同時,由于 30% 的傭金讓蘋果也分得其中一杯羹,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/501143.html
標籤:訊息安全
上一篇:Vue3系列6--watch偵聽器和watchEffect高級偵聽器
下一篇:BOM