安华金和 发布的文章

手机 APP(应用程序)过度索权、注销难等导致个人信息“裸奔”的现象,近年来屡屡被曝光并引发关注。针对手机APP违法违规收集和使用个人信息问题,有关部门连出重拳。今年,中央网信办、工信部、公安部、市场监管总局等四部门开展专项治理行动,向违法违规手机APP“开刀”。

手机APP的哪些伎俩属于违法违规收集个人信息?根据国家网信办官网消息,《APP违法违规收集使用个人信息行为认定方法(征求意见稿)》(以下简称《征求意见稿》)近日公开征求社会意见,对相关行为给出了较为明确的界定。

7 种 APP 情形被认定为违法违规

根据《征求意见稿》,APP违法违规收集使用个人信息共有7种情形,包括没有公开收集使用规则;没有明示收集使用个人信息的目的、方式和范围;未经同意收集使用个人信息;违反必要性原则收集与其提供的服务无关的个人信息;未经同意向他人提供个人信息;未按法律规定提供删除或更正个人信息功能;侵犯未成年人在网络空间合法权益。

针对上述7种情形,《征求意见稿》有进一步的详细规定。例如,APP没有隐私政策、用户协议,在安装、使用等过程中均未通过弹窗、链接等方式提示用户阅读隐私政策,进入APP主功能界面后,多于4次点击、滑动才能访问到隐私政策等,都算作违法违规行为。

业内人士指出,《征求意见稿》的制定和公开征求意见,标志着APP违法违规专项治理行动又向前迈进了一步。这一规定既为手机APP运营者自查自纠提供了指引,也为有关监管部门评估和处置违法违规APP提供了参考,内容更加细化,同时切中了专项治理过程中的突出问题,有利于行业的有序发展,也利于公民的个人隐私得到更完善的保护。

“强制授权”等将受到严厉处罚

针对用户“吐槽”已久的一些违法违规情形,《征求意见稿》作出了明确的认定。例如,一些APP仅以改善程序功能、提高用户体验为由,收集用户个人信息;不少APP在申请调阅通讯录等权限时,未告知用户收集使用的目的;很多APP收集使用规则的内容晦涩难懂、长如“天书”;一些APP利用个人信息定向推送新闻、广告,却不提供终止推送的选项……以上这些行为,都被认定为违法违规。

与此同时,强制授权、过度索权、超范围收集、注销难等诸多行为都有明确的认定规则,如收集与现有业务无关的个人信息、收集频率等超出业务功能需要,未提供更正、删除个人信息和注销用户账号功能等。

中央网信办网络安全协调局巡视员兼副局长杨春艳表示,对于存在的问题和消费者反映强烈的问题,APP监管部门将重拳出击。对强制、过度收集个人信息,未经消费者同意、违反法律法规规定和双方约定收集、使用个人信息,发生或可能发生信息泄露、丢失而未采取补救措施,非法出售、非法向他人提供个人信息等行为,按照《网络安全法》《消费者权益保护法》等依法予以处罚。公安机关开展打击整治网络侵犯公民个人信息违法犯罪专项工作,依法严厉打击针对和利用个人信息的违法犯罪行为。

彻底打破滥取用户信息的潜规则

据悉,自APP违法违规收集使用个人信息专项治理工作组成立以来,至今年4月上旬,举报信息已近3500条,涉及1300余款APP。其中,对于30款用户量大、问题严重的APP,工作组已向其运营者发出了整改通知。

移动安全专家田铭表示,在大数据时代,一些互联网企业将手机APP用户视为重要资源,过度、过量索取用户隐私已成潜规则。企业获取的消费者信息越多,能绘制的消费者画像就越精准,从而达到流量变现的目的。

而获取消费者信息后,企业的数据保存和利用也存在安全隐患。一些企业的数据库缺乏有力的安全防护,在遭遇网络攻击时容易造成用户数据泄露。因此,专家指出,在认定方法最终出台后,要让相关规范在行业中得到严格执行,还需要一个循序渐进的过程。应通过技术性、长效性的个人信息保护解决方案,从源头上规范APP运营商的研发和推广,有效解决APP违规违法使用个人信息问题。

有APP运营者表示,运营团队十分关注认定方法的提出,也正在按照法律法规要求进行自查自纠。未来,将根据《征求意见稿》的进展做好合规准备,及时按照规定的要求查漏补缺,保护好用户的个人信息安全。

来源:人民日报海外版

更多资讯

Facebook 起诉韩国数据分析公司 欲重塑公司隐私形象

据外媒 Gizmodo 报道,在韩国数据分析公司 Rankwave 未能提供证据证明其遵守 Facebook 的数据政策之后,Facebook 已对该公司提起诉讼,指控 Rankwave 违反合同约定。

来源: 新浪科技

详情: http://t.cn/EK5nKxs

报道称与俄罗斯有关的社交媒体账户正在传播针对欧盟选举的虚假信息

据《纽约时报》周日报道,一组与俄罗斯或极右翼团体有联系的网站和社交媒体账户正在传播虚假信息,并在欧盟关键选举前几周鼓励政治分歧。欧盟调查人员告诉《纽约时报》,该活动与俄罗斯此前的攻击活动具有许多相同的特征,包括俄罗斯干涉2016年美国大选的事件。

来源: cnBeta.COM

详情: http://t.cn/EK5np5C

关于国家信息安全漏洞库(CNNVD)正式启动 2019 年兼容性服务申请工作的通知

CNNVD 兼容性服务是 CNNVD 面向国内外信息安全从业单位,对其产品/服务等涉及的漏洞信息进行规范性评估与认证的服务。通过 CNNVD 兼容性服务的信息安全产品/服务,可实现其漏洞信息拥有统一的规范性命名与标准化描述,为漏洞挖掘、应用、验证与规避等技术研究提供基础支持,为开发更安全的信息产品或软件系统提供理论和技术支撑,进一步满足国家重要信息系统安全保障的需求。

来源: FreeBuf.COM

详情: http://t.cn/EK5nWd9

湖南一网站遭黑客入侵发布大量招嫖信息被查处

2019 年 5 月 5 日,在湘西州公安局网技支队的大力支持下,保靖县公安局成功办理一起违反《中华人民共和国网络安全法》行政案件,及时查处一家涉黄网站。这是自今年扫黑除恶 " 大走访、大排查、大管控、大研判 " 专项整治行动开展以来,该县依法成功处置的全州第一起网络安全类行政案件,有效防止涉黄招嫖有害信息进一步扩散。

来源: 中国经济网

详情: http://t.cn/EK5nTrp

(信息来源于网络,安华金和搜集整理)

根据上个月公布的 Research Grants 2019H1,Mozilla 正寻求资助开发在 Firefox 中更有效的整合 Tor 的方法。目前 Tor 能工作在 Firefox 浏览器上,Tor 浏览器就是证据,但这种整合方法拖慢了浏览器的速度。Mozilla 认为,要让更多的用户使用 Tor 匿名网络需要解决目前 Tor 存在的效率低下的问题。学术界正在研究替代的协议架构和路线选择协议,如 Tor-over-QUIC、DTLS 和 Walking Onions。但替代的协议架构和路线选择协议是否能带来可接受的 Tor 性能增强,是否能保留 Tor 的特性,是否能大规模部署 Tor,如何全面整合 Tor 和 Firefox?Mozilla 愿意在这些方面提供研究资金。

来源:solidot.org

更多资讯

杠上美国反病毒公司:俄罗斯黑客要卖它们的源代码

5月12日,Ars technica称,Fxmsp是一个破坏私人企业和政府信息的俄罗斯组织,自3月份以来,Fxmsp在网络犯罪论坛上声称持有了从美国三家主要防病毒公司软件开发相关的独家源代码。

来源: 雷锋网

详情: http://t.cn/EK215J0

错误更新导致荷兰数百名嫌犯佩戴的监控踝带短暂失联

一个有缺陷的 Windows 更新或许会令人烦恼,但还不足以引起人们的恐慌,但是如果是数百名被警方监控的嫌犯或者有前科的罪犯突然失控呢?本周四佩戴在嫌犯腿部的踝关节监视器在更新中出现问题,导致设备和警察之间的通信被中断。

来源: cnBeta.COM

详情: http://t.cn/EK21Vcx

为了挖掘加密货币 两个黑客组织争夺 Linux 服务器

Rocke 和 Pascha 两个从事门罗币挖掘业务的黑客组织正在努力控制尽可能多的 Linux 云环境,以便挖掘加密货币。去年年底,自新黑客组织 Pacha 崛起以来,这场争夺战就一直秘密进行。这两个组织都进行了大规模扫描来寻找开放或未打补丁的云服务和服务器,然后用基于 Linux 的多功能恶意软件感染它们。

来源: 雷锋网
详情: http://t.cn/EK21Mwm

5 月全球 Web 服务器报告 微软减少 1.12 亿站点

Netcraft 发布了 2019 年 5 月份全球 Web 服务器调查报告。Netcraft 公司官网每月公布的 Web Server Survey 是当前人们了解全球网站数量以及服务器市场分额情况的主要参考依据。5 月份报告共收录了 1 326 664 693 个站点数据,比上个月减少了 1.19 亿个,其中活跃站点有 187 976 419 个

来源: 开源中国
详情: http://t.cn/EK21Jpv

(信息来源于网络,安华金和搜集整理)

作为全球头号浏览器,谷歌浏览器不断发展,谷歌一直在寻求提高所有平台的可用性,安全性和性能的方法。最近,谷歌开始研究一项新功能,该功能将阻止网站接管 Chromium 中的后退按钮。

由于许多用户发现许多网站或者网页使得浏览器中的后退按钮几乎没用,因为它们不想让用户离开当前页面,在这种情况下,按下后退按钮没有任何效果,因为浏览器似乎卡在同一页面上。这是一种噱头,利用后退按钮在浏览器中的工作方式,并使用重定向或历史操作。

谷歌表示,有些页面使用户很难或不可能通过浏览器后退按钮返回他们原先的页面。这是通过重定向或操纵浏览器历史记录来实现的,并导致滥用和恼人的用户体验。谷歌将通过阻止任何不涉及用户输入的行为来解决这个问题,这意味着按下后退按钮将获得预期的结果,并且不允许复杂的代码进行干预。浏览器后退按钮的新行为将跳过添加历史记录条目或重定向用户页面,但是同时不会影响 history.back/forward API。

该功能仍在开发中,可在所有平台上使用,包括 Windows,Mac,Linux,Chrome OS,Android 和 iOS。

来源:cnBeta.COM

更多资讯

法院驳回针对苹果 FaceTime 窃听漏洞发起的诉讼

据外媒报道,早在今年 1 月,FaceTime 就出现了一个重大漏洞,它能让用户在 FaceTime 电话未被接受的情况下也能强行与另一个人建立 FaceTime 连接,即使在 FaceTime 调用未被接受的情况下,同时还可以访问其音频和视频。

来源: cnBeta.COM

详情: http://t.cn/EosuMLj

报道称美国军方不知道其运营网站的具体数量

据外媒 The Verge 报道,美国国防部不确定其运营了多少个网站。据美国军事专刊 《星条旗报》 Starsand Stripes 报道,在上个月的一次活动中,马里兰州米德堡国防媒体活动代理主任、美国陆军上校 Paul Haverstick 表示,对五角大楼运营的网站数量“并不确定”。

来源: cnBeta.COM

详情: http://t.cn/EosuSvy

网络公司后台被攻击损失近千万元 民警千里抓“黑客”

去年 12 月,北京回龙观派出所接到辖区内一网络公司报警,称其开发的软件被黑客攻击,公司服务器全面瘫痪。警方经过近半年的侦查,通过层层数据梳理成功锁定嫌疑人,近日远赴成都将雇佣黑客实施网络攻击的两名嫌疑人抓获归案。目前案件正在进一步工作中。

来源: 北京晚报

详情: http://t.cn/EosupM6

土耳其对脸书数据泄露事件罚款 27 万美元

土耳其官方部门“个人数据保护机构”10 日说,就社交媒体脸书去年泄露用户数据影响土耳其用户事件,该机构于今年 4 月对脸书罚款 165 万土耳其里拉(约合 27 万美元)。

来源: 新华网

详情: http://t.cn/EosuYpu

(信息来源于网络,安华金和搜集整理)

由于 Mozilla 方面的一个失误,导致许多 Firefox 用户在上周末遇到了附加组件无法使用的 bug 。后来该公司发布了更新,才让浏览器恢复正常。对于此事,这家机构现已发表正式道歉,详细解释发生了怎样的事情,且承诺会删除期间为了推出修复程序而收集的私人数据。据悉,为了修复 bug,Firefox 初期希望用户启用遥测选项。因为在默认的情况下,其出于隐私考量而禁用了此类数据收集选项。

现在,我们已经知道附加组件遇到的故障,源自安全证书方面的 bug 。在 Mozilla Hacks 的一篇博客文章中,首席技术官 Eric Rescorla 已经给出了详细的解释。

Joe Hidebrand 在另一篇文章中写到:

我们在努力为 Firefox 带来极棒的体验,但可惜上周遭遇了失败,对此我们深表歉意。

过去几年,我们花费了很多时间,来思考如何将附加组件(Add-ons)变得更加安全。然而鉴于附加组件的功能是如此的强大,我们也必须努力构建和部署一套系统,以免用户遭受恶意附加组件的侵扰。

至于上周的问题,其实源自防护系统中的一项错误部署—— 保险模式导致附加组件被禁用了。

尽管我们认为这套机制的基本设计原则是合理的,但仍会努力改进该系统,以防将来再次发生类似的问题。

此外,Hildebrand 还向关注 Firefox 最初“紧急修复”时段收集私人数据一事的网友们保证:

为尽快解决这个问题,我们曾呼吁用户开启遥测选项,以获取附加信息。

不过在 5 月 8 日 23:28 分的 Firefox 附加组件博客上,我们宣布已经不再需要开启遥测选项,所以请大家根据自己的真实意愿来选择是否退出。

为尽可能地尊重用户,Mozilla 决定删除 5 月 4 日 11:00 到 5 月 11 日 11:00 期间手机的所有用户的遥测与研究数据。

最后,Mozilla 表示将会披露与本次事件有关的更多细节,感兴趣的朋友可以留意后续发布的报告。

更多资讯

涉及 2.75 亿条印度公民信息的 MongoDB 数据库被曝光和公开索引

援引外媒Security Discovery报道,他们于5月1日发现了一个未经保护和公开索引的MongoDB数据库,其中包括了涉及印度公民的个人身份信息的275,265,298条记录。这些信息中包括姓名、电子邮件地址、性别、教育水平和专业领域、专业技能和职称、手机号码、就业经历和当前雇主、出生日期以及当前的薪资水平。

来源: cnBeta.COM

详情: http://www.dbsec.cn/zx/20190511-5.html

研究人员披露黑客入侵了三家美国杀毒软件公司

Advanced Intelligence (AdvIntel) 公司的研究人员透露,名叫 Fxmsp 的组织正在积极销售三家美国杀毒软件公司的源代码和网络访问。它提供了样本作为证据证明其声明是有效的。AdvIntel 的研究总监 Yelisey Boguslavskiy 称他们已经通知了相关公司和美国执法机构。在安全社区 Fxmsp 已经是名声在外,该组织在今年三月透露它能提供美国三家顶级杀毒软件公司的独有信息。它在地下黑客市场销售这些公司软件开发的源代码和网络访问,开价超过 30 万美元。

来源: solidot.org

详情: http://www.dbsec.cn/zx/20190511-3.html

恶意差评案件多发 侵蚀网络营商环境亟待立法规制

传统的网络评价机制亟待改进,以优化网络营商环境。近日在杭州互联网法院落槌的一起民事案件,将这一问题再次提上议事日程。在这起案件中,7 名 90 后组成的差评师团伙被判决赔偿阿里经济损失 8 万余元、合理支出 4 万余元。而这已经是他们因同一件事情所受到的第二次惩罚。

此前,深圳市龙华区法院以敲诈勒索罪对他们分别判处 7 个月至 2 年不等的刑期。这意味着因为恶意差评,这一团伙遭到刑事民事的“双杀”。

来源: 法制日报

详情: http://www.dbsec.cn/zx/20190511-2.html

美国巴尔的摩市政网络遭勒索软件攻击

美国巴尔的摩市政网络 5 月 7 日遭勒索软件攻击后下线。攻击没有影响警察、消防和紧急反应系统,但市政府的其它部门都在某种程度上受到冲击。市政府的首席信息官 Frank Johnson 在新闻发布会上证实,攻击他们的勒索软件是 RobbinHood。

逆向工程 RobbinHood 样本的安全研究人员 Vitali Kremez 称,恶意程序在一个系统只针对文件,不会通过网络共享传播。这意味着恶意程序是逐个的部署到机器上的,攻击者需要在部署前已经获得了网络的管理级别的访问权限。

市长 Bernard “Jack” Young 表示, IT 部门有备份,但无法简单的替换备份。他说他不希望人们认为他们没有备份。

来源:solidot.org

详情: http://www.dbsec.cn/zx/20190511-1.html

美国科技媒体报道称,一名信息安全研究员近期发现,三星工程师使用的一个开发平台泄露了多个内部项目,包括三星 SmartThings 敏感的源代码、证书和密钥。三星数十个自主编码项目出现在旗下 Vandev Lab 的 GitLab 实例中。该实例被三星员工用于分享并贡献各种应用、服务和项目的代码。由于这些项目被设置为“公开”,同时没有受到密码的保护,因此任何人都可以查看项目,获取并下载源代码。

三星回应称,其中一些文件是用于测试的,但研究员对此提出质疑。他表示,在 GitLab 代码仓库中发现的源代码与 4 月 10 日 在 Google Play 上发布的 Android 应用包含的代码相同。这款应用随后又有过升级,到目前为止的安装量已经超过 1 亿多次。

研究员说:“我获得了一名用户的私有令牌,该用户可以完全访问 GitLab 上的所有 135 个项目。”因此,他可以使用该员工的帐号去修改代码。

研究员还提供了多张屏幕截图和视频作为证据。泄露的 GitLab 实例中还包括三星 SmartThings 的 iOS 和 Android 应用的私有证书。

来源:新浪科技

更多资讯

“手机墙”4个月“刷单”骗走1200余万元 - “流量造假”乱象何时休?

用 2000 部手机排成几面“手机墙”,每部手机同时操作自动下载 App、“刷”高注册量后骗取客户推广费……记者日前从北京市公安局海淀分局获悉,按照公安部“净网 2019”专项行动部署,北京警方在广东警方的配合下打掉一个利用计算机软件控制大量手机虚拟下载安装App产品骗取推广费的犯罪团伙,App刷量问题再度引发关注。

来源: 新华社

详情: http://t.cn/EoEvZ2K

调查显示美国人对网络安全过于自信

一项来自 webroot 的新研究调查了 1 万名美国人(每个州 200 人)的网络安全习惯,发现 88% 的人认为他们采取了正确的措施来保护自己免受网络攻击。然而,只有 10% 的受访者在网络安全测试中得分达到 90% 或更高,平均只有 60%。

来源: cnBeta.COM

详情: http://t.cn/EoEvLRj

曾被黑客攻入 亚马逊大量商户账户面临危险

最新文件显示,去年 11 月亚马逊要求英国某法院批准搜查巴克莱银行和万事达卡旗下 Prepa Technologies 的相关账户信息。亚马逊相信,自己正受到大规模欺诈攻击,身份不明的黑客去年六个月从英国亚马逊卖家账户窃取资金。

来源: 华尔街见闻

详情: http://t.cn/EoEvfrx

(信息来源于网络,安华金和搜集整理)

美国中央情报局(CIA)最近一改“神秘”形象,开始在社交网站上“抖机灵”。两周前,中情局在 Instagram 上发布一张“猜谜”照片,吸了一波流量,没想到7日却因在推特上分享的暗网链接“翻了车”。

“来洋葱网络(Tor network)找我们呀!”5 月 7 日,中情局一连在推特上发布了 4 条加密链接相关推文。中情局公布了其在洋葱网络的网址链接,承诺网友可以匿名通过该平台上向政府“提供信息”。

1.png

推特截图

中情局在推文中写到:“情报收集任务存在着安全、匿名、不可追踪等特点,洋葱网络也刚好具有同样特性。中情局信息一应俱全,如果想获得相关内容,请点击下方链接。”

2.png

推特截图

中情局此举也让网友感到疑惑:洋葱网络到底是不是间谍工具?推特上网友回复似乎不完全符合中情局的意。有网友断然拒绝:不用,谢谢!另有评论称:“原来中情局就是这么监视美国民众的。”

更有网友认为,中情局使用加密网络与罪犯和恐怖分子使用的是一样的,被讽刺称“肯定不会让人失望”。(海外网 张琪)

来源:cnBeta.COM

更多资讯

FBI 查获并捣毁暗网索引和新闻网站 Deep Dot Web

据外媒报道,美国 FBI 日前已查获暗网索引和新闻网站 Deep Dot Web。该网站的暗网现已被撤下,取而代之的是一个通知。根据通知了解到,FBI 联合电脑犯罪调查人员和欧洲执法部门并在接到搜查令后查封了该网站。

来源: 海外网
详情: http://t.cn/EoO361X

除 bug 务尽 Mozilla 再次更新 Firefox 以修复扩展被禁用的相关问题

上周末,Mozilla 意外地在桌面和 Android 上安装的 Firefox 浏览器上禁用了许多用户的附加组件,引发一阵混乱,一天后, Mozilla 推出 Firefox 66.0.4,许多问题就得到了解决,但事实上公司承认仍有一大批用户存在一些遗留问题,他们通常需要等待很长时间才会恢复正常,而使用今天新发布的 Firefox 66.0.5,就可以有立竿见影的疗效。

来源: cnBeta.COM

详情: http://t.cn/EoO3o8m

大连警方破获一起侵犯公民个人信息案 查获个人信息近亿条

大连警方近日成功破获一起侵犯公民个人信息案,抓获犯罪嫌疑人 1 名,查获公民个人信息数量近亿条。

来源: 新华网

详情: http://t.cn/EoO3NYO

(信息来源于网络,安华金和搜集整理)