请关注“中国信息安全”
原文始发于微信公众号(中国信息安全):专题·原创 | 量子通信技术助力“新基建”信息安全
请关注“中国信息安全”
原文始发于微信公众号(中国信息安全):专题·原创 | 量子通信技术助力“新基建”信息安全
工业和信息化部办公厅关于开展2020年网络安全技术应用试点示范工作的通知
工信厅网安函〔2020〕190号
为深入贯彻习近平总书记关于发展网络安全产业的重要指示精神,落实党中央、国务院关于加快新型基础设施建设的重大决策部署,挖掘新一代信息技术与网络安全技术融合创新的典型应用场景,提炼推广网络安全最佳实践和解决方案,促进网络安全教育、技术、产业融合发展,提升网络安全产业发展水平,强化新型信息基础设施安全保障能力,现开展2020年网络安全技术应用试点示范工作。有关事项通知如下:
面向新型信息基础设施安全类、网络安全公共服务类重点方向,以及拟态防御、可信计算、零信任、安全智能编排等前沿性、创新性、先导性的重大网络安全技术理念,汇聚产学研用等创新资源,具备核心技术攻关、产业化应用推广等关键环节协同创新环境和载体的网络安全技术创新或试点示范区。
(六)中央企业集团公司和各省、自治区、直辖市及计划单列市工业和信息化主管部门、通信管理局可进行推荐。
(二)遴选评审。工业和信息化部组织中国信息通信研究院、中国电子信息产业发展研究院、国家工业信息安全发展研究中心、工业和信息化部网络安全产业发展中心、中国工业互联网研究院等单位开展评审,并对符合要求的项目开展试点示范。试点示范期为2年。
工业和信息化部办公厅
2020年7月30日
原文始发于微信公众号(中国信息安全):通知 | 工信部组织开展2020年网络安全技术应用试点示范工作
2020年07月27日-2020年08月02日
本周漏洞态势研判情况
图2 CNVD 0day漏洞总数按周统计
本周,CNVD向银行、保险、能源等重要行业单位通报漏洞事件14起,向基础电信企业通报漏洞事件5起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件292起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件32起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件33起。
图3 CNVD各行业漏洞处置情况按周统计
图4 CNCERT各分中心处置情况按周统计
图5 CNVD教育行业应急组织处置情况按周统计
此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:
深圳市网心科技有限公司、常州市青之峰网络科技有限公司、上海丹帆网络科技有限公司、太原迅易科技有限公司、山西尚品优创科技股份有限公司、义乌市创博网络科技有限公司、北京万维盈创科技发展有限公司、北京人大金仓信息技术股份有限公司、南昌市博然科技有限公司、深圳市华磊信息科技有限公司、北京通达信科科技有限公司、诸城市三剑网络传媒有限公司、上海金桥信息股份有限公司、杭州涂鸦科技有限公司、深圳市圆梦云科技有限公司、江苏智汇信息技术有限公司、西安佰联网络技术有限公司、微软(中国)有限公司、山西牛酷信息科技有限公司、南通点酷网络科技有限公司、合肥彼岸互联信息技术有限公司、中国建筑股份有限公司、安徽龙讯信息科技有限公司、上海智休信息科技有限公司、深圳华磊物流通信息科技有限公司、合肥明信软件技术有限公司、三菱电机自动化(中国)有限公司、廊坊市极致网络科技有限公司、深圳迅雷网络技术有限公司、珠海国津软件科技有限公司、甘肃修森网络信息科技有限公司、张家港市易盟电子商务有限公司、杭州吉拉科技有限公司、沈阳盘古网络技术有限公司、北京完美创意科技有限公司、湖南翱云网络科技有限公司、中凯信息网络有限公司、台达电子企业管理(上海)有限公司、深圳市网狐科技有限公司、上海诣策信息科技有限公司、广州搜浪网络科技有限公司、北京米尔伟业科技公司、洛阳市万谦网络科技有限公司、成都康菲顿特网络科技有限公司、南京酷奇信息科技有限公司、哈尔滨巨耀网络科技有限公司、高等教育出版社有限公司、联奕科技有限公司、江苏国泰新点软件有限公司、上海卓卓网络科技有限公司、东方博冠(北京)科技有限公司、镇江明润信息科技有限公司、贵阳同心软件科技有限公司、河南卓奇信息技术有限公司、海南易而优科技有限公司、西安丝路智慧科技有限公司、成都飞鱼星科技股份有限公司、天津南大通用数据技术股份有限公司、深圳市迅雷网络技术有限公司、海南赞赞网络科技有限公司、霍尔果斯鸿鹭华阅文化传播有限公司、深圳市天地心网络技术有限公司、《中国学术期刊(光盘版)》电子杂志社有限公司、广州市华企网络科技有限公司、西门子(中国)有限公司、哈工大大数据集团(哈尔滨)农林有限公司、西安华尚软件科技有限公司、喆企网络科技(上海)有限公司、安徽阳光心健科技发展有限公司、西安三才科技实业有限公司、洛阳云业信息科技有限公司、福州亿虎云科技有限公司、珠海金山办公软件有限公司、北京畅娱科技有限公司、花生未来(广州)科技有限公司、上海优恒酒店管理有限公司、上海格平信息科技有限公司、中山市自定易网络科技有限公司、用友网络科技股份有限公司、广州市粤企网络科技有限公司、北京东云创达科技有限公司、晋城优逸网络技术有限公司、广东布恩网络有限公司、帝国软件、逍遥B2C商城系统、施耐德(Schneider Electric)、zzz中文网、通达CMS、海洋CMS、ZZCMS、YCCMS、UCMS、BEESCMS、The Apache Software Foundation、SeaCMS、Wdlinux、Bludit、Bo-Blog Wind和PHPEMS。
表1 漏洞报送情况统计表
本周漏洞按类型和厂商统计
本周,CNVD收录了292个漏洞。应用程序135个,WEB应用95个,操作系统39个,网络设备(交换机、路由器等网络端设备)21个,安全产品1个,数据库1个。
表2 漏洞按影响类型统计表
图6 本周漏洞按影响类型分布
CNVD整理和发布的漏洞涉及Oracle、Google、Microsoft等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。
表3 漏洞产品涉及厂商分布统计表
本周,CNVD收录了18个电信行业漏洞,21个移动互联网行业漏洞,5个工控行业漏洞(如下图所示)。其中,“Apple iOS和iPadOSWiFi组件代码问题漏洞、GoogleAndroid External Memory Interface权限提升漏洞、Cisco Data Center Network Manager参数注入漏洞、Open-Xchange OX App Suite访问控制错误漏洞(CNVD-2020-43160)、D-LinkDIR-816L命令注入漏洞”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序,请参照CNVD相关行业漏洞库链接。
电信行业漏洞链接:http://telecom.cnvd.org.cn/
移动互联网行业漏洞链接:http://mi.cnvd.org.cn/
工控系统行业漏洞链接:http://ics.cnvd.org.cn/
图7 电信行业漏洞统计
1、 Cisco产品安全漏洞
Cisco SD-WAN vManage Software是一款用于SD-WAN(软件定义广域网络)解决方案的管理软件。Cisco Data Center NetworkManager(DCNM)是一套数据中心管理系统。Cisco SD-WAN Solution是一套网络扩展解决方案。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞读取或修改系统上的任意文件,以root用户权限登录账户,执行任意命令,导致系统内存耗尽(拒绝服务)等。
https://www.cnvd.org.cn/flaw/show/CNVD-2020-43668
2、Microsoft产品安全漏洞
5、NETGEAR R6700缓冲区溢出漏洞(CNVD-2020-43667)
NETGEAR R6700是一款无线路由器。本周,NETGEAR R6700被披露存在缓冲区溢出漏洞。该漏洞源于程序将用户提供的数据复制到基于栈的固定缓冲区之前,未能正确验证数据长度。攻击者可利用该漏洞绕过身份验证。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-43667
更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询。
本周重要漏洞攻击验证情况
本周,CNVD建议注意防范以下已公开漏洞攻击验证情况。
1、eGroupWare ‘spellchecker.php’远程代码执行漏洞
验证描述
eGroupWare是一个多用户,在以PHP为基础的API上的定制集为基础开发的,以WEB为基础的工作件套装。
eGroupWare ‘spellchecker.php’存在远程代码执行漏洞,该漏洞源于程序未能正确地验证用户提交的数据。远程攻击者可通过发送恶意的请求利用该漏洞在底层操作系统上执行任意代码。
验证信息
POC链接:
https://www.exploitalert.com/view-details.html?id=35891
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2020-43466
信息提供者
深信服科技股份有限公司
注:以上验证信息(方法)可能带有攻击性,仅供安全研究之用。请广大用户加强对漏洞的防范工作,尽快下载相关补丁。
关于CNVD
国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。
关于CNCERT
国家计算机网络应急技术处理协调中心(简称“国家互联网应急中心”,英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构。
作为国家级应急中心,CNCERT的主要职责是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行。
网址:www.cert.org.cn
电话:010-82991537
关注CNVD漏洞平台
原文始发于微信公众号(CNVD漏洞平台):CNVD漏洞周报2020年第31期
原文始发于微信公众号(黑白之道):7个香港免费VPN被爆泄露用户隐私,1.2TB上千万条用户个人信息在线公开
概要信息:
OpenStack RCE 0Day
漏洞危害: 高,攻击者利用此漏洞,可实现远程代码执行。
应急等级: 黄色
版本: 1.0
01
漏洞概述
关于 OpenStack
OpenStack 是一个利用虚拟资源池构建和管理私有云和公共云的平台。在虚拟化环境中,例如存储、CPU 和 RAM 等资源都是从诸多供应商特定的项目中提取出来,然后由虚拟机监控程序进行拆分并按需进行分配。
OpenStack 使用一组一致的应用编程接口(API),进一步将这些虚拟资源提取为离散池,用于辅助标准云计算工具,供管理员和用户直接交互使用。
02
漏洞描述
Openstack Trove是openstack为用户提供的数据库即服务(DBaaS)。即trove既具有数据库管理的功能,又具有云计算的优势。
使用trove,用户可以:
“按需”获得数据库服务器,配置所获得的数据库服务器或者数据库服务器集群,对它们进行自动化管理,根据数据库的负载让数据库服务器集群动态伸缩。
漏洞位于OpenStack的trove模块中,OpenStack和每个已部署的数据库实例之间都有一个连接协议,该协议用于更改这些实例的配置,进行备份以及对数据库实例执行其他操作。它还用于从数据库收集统计信息。我们在此协议中进行代码审查和执行流审计过程中发现可导致远程代码执行的0day漏洞。
03
处置建议
目前我们已经对OpenStack 官方进行通报,并且也已经与国内云厂商进行积极沟通和确认。
为了保护您的OpenStack服务器,请确保您使用Service Tenant模型进行trove。
(https://docs.openstack.org/trove/latest/admin/run_trove_in_production.html#service-tenant-deployment)
另外,请使用最新版本的数据库服务器,确保在trove中使用的所有数据库映像都是安全的,存在漏洞的数据库映像也将使您的OpenStack服务器容易受到攻击。
原文始发于微信公众号(极光无限):漏洞公告 | OpenStack远程代码执行0day
上周,社交媒体平台Twitter 遭受了历史上最大的网络攻击之一,黑客入侵了许多备受瞩目的帐户,包括巴拉克·奥巴马,美国总统候选人乔·拜登,亚马逊首席执行官杰夫·贝索斯,比尔·盖茨,埃隆的那些帐户。埃隆·马斯克,优步和苹果。
Twitter解释说,它是针对员工的“协调社会工程攻击”的受害者,该攻击使攻击者可以使用其内部工具。
所有帐户同时遭到入侵,威胁参与者使用它们来促进加密货币骗局。攻击者发布了消息,敦促被黑帐户的追随者向特定的比特币钱包地址汇款,以收取更大的款项。
从比尔·盖茨(Bill Gates)的Twitter帐户张贴的一条消息中读到:“每个人都在要求我回馈,现在是时候了。” “您寄出$ 1,000,我寄回给您$ 2,000。”
专家还注意到,攻击者已更改与帐户关联的电子邮件地址,以延迟对劫持的响应。
现在,Twitter提供了有关安全事件的更新,确认攻击者通过社会工程计划将某些Twitter员工作为目标。
黑客锁定了130个帐户,并能够控制其中45个帐户,这些帐户代表所有者发送了一些帖子,并从8个帐户下载了数据。
“攻击者成功操纵了少量员工,并使用其凭据访问Twitter的内部系统,包括获得我们的两因素保护。到目前为止,我们知道他们访问了仅内部支持团队可用的工具,以130个Twitter帐户为目标。” 读取Twitter提供的更新。“对于其中的45个帐户,攻击者能够发起密码重置,登录到该帐户并发送推文。”
在Twitter提供的针对黑客所针对的130个帐户的信息下方:
对于多达8个被黑客锁定的Twitter帐户,入侵者还通过Twitter的“ 您的Twitter数据 ”工具下载了该帐户的信息。
“对于多达8个涉及的Twitter帐户,攻击者采取了额外的步骤,即通过我们的“ 您的Twitter数据 ”工具下载该帐户的信息。” 继续更新。
“此工具旨在为帐户所有者提供其Twitter帐户详细信息和活动的摘要。我们会直接与我们知道确实如此的任何帐户所有者联系。这八个帐户中没有一个是经过验证的帐户。”
Twitter指出,一旦发现该黑客事件,其事件响应团队便立即采取行动,它保护并撤销了对内部系统的访问权限,以将攻击者拒之门外。该公司决定仅在线共享有关其补救程序的一些细节,以保护其有效性。Twitter计划将来提供有关修复程序的更多技术细节。
社交媒体网络正与执法部门一起继续调查此事件。
本周,《纽约时报》发布了一份报告,该报告显示,黑客破坏了该员工的Twitter内部Slack消息通道,他们在该通道中找到了社交网络后端系统的凭据。
原文始发于微信公众号(熊貓情報局PIB):Twitter发现黑客还从八个受感染的帐户下载了数据
最新消息,渡鸦币出现安全漏洞问题,攻击者使用漏洞成功窃取4000 万元人民币!不仅如此,此次漏洞中,黑客仅用3行代码便轻易得逞,不得不惊叹:这样的骚操作到底是如何进行的?
首先,我先介绍一下渡鸦币(Ravencoin,RVN),渡鸦币是比较典型的代币 (AltCoin,山寨币) ,使用 KAWPOW 挖掘算法略微小众但也倒是吸引部分矿工。该币种发行总量为 210 亿枚,按其社区说法该币种基于比特币代码分叉,但改进后支持在区块链上创建发布令牌。
文章参考内容来源:蓝点网
原文始发于微信公众号(黑白之道):3行代码窃取4000万元!有文化的黑客太可怕了!
作者:腾讯安全平台部研发安全团队 Martin
众多名流被黑,推特面临严重安全事件
16日凌晨,众多推特“大V”突然集体转发诈骗信息 —— “只要给特定账号汇入等值1000美元的比特币,就能获得双倍返还”,受影响账户包括:前总统奥巴马、比尔盖茨、巴菲特、马斯克和苹果公司等。
推特官方很快介入调查,并于三小时后给出初步调查结果:“员工受钓鱼攻击,内部系统和工具被攻击者滥用”。
事件很快攻占各大媒体头条,对平台安全的质疑声四起。
并由此引发蝴蝶效应,推特面临公关危机,股价受累。当今万物互联,作为重要媒介,越来越多政商名流、企业等通过推特等社交媒体宣布重大政策决定,此类攻击甚至有可能掀起现实世界的乱局。
居安思危,相关风险应该如何防范?
从公开信息分析,本次安全事件与“认证鉴权、访问控制”相关。历史上,通过内部安全测试、TSRC等渠道,腾讯安全团队曾提前发现并处置过多起类似安全风险。
2013年,腾讯微博也曾差点经历类似的“惊魂时刻”。因存在一个CGI鉴权漏洞,若被攻击者利用,能以任何人的账号发微博。当时漏洞由国内著名白帽子、知道创宇CSO SuperHei发现并提交给腾讯安全应急响应中心(TSRC),接到报告后TSRC很快就联合业务修复了漏洞。同时内部展开排查,又修复了数个类似问题。
该次事件的TSRC应急响应过程
为保护用户隐私数据,近年来,腾讯各团队积极开展安全内建。透过本次事件,结合内部实践经验,从系统研发及运营视角,我们简单梳理了风险及建议。
01. “零信任”,精细化访问控制
管理系统在内网一定“高枕无忧”吗?本次推特的安全事件,无疑敲响警钟 —— 风险也有可能来自内部。甚至有时内部“作恶”并非是有意的,员工可能成为攻击者的“提线木偶”。从披露的推特管理后台看,此次事件暴露出许多系统设计可吸取的教训。
安全,再怎么严谨都不为过。当前,业界推行的“零信任”安全理念,或许是更好的安全防御思路。即:每个用户、设备、服务或应用程序都是不可信任的,必须经历身份和访问管理过程才能获得最低级别的信任和关联访问特权。这意味着,不应将内外网作为是否可信的“边界”,访问控制应精细到个体级别,尤其是特权接口、敏感数据。
从应用视角看,原则上,只有用户能接触、操作自身的数据。如因业务需要,员工或运营系统访问、操作敏感接口和数据,均应审批并留存日志,方便定期审计、回溯。
在业界,相关理念已有实践。如,针对云原生服务架构,Google提出的BeyondProd (https://cloud.google.com/security/beyondprod) 模型。相关要点可概括为:
不信任网络边界。
Google不依赖内部网络分段或防火墙作为主要安全机制;
服务模块间访问控制。
在Google基础架构上运行的每项服务都具有关联的服务帐号身份标识。服务具有加密凭据,可在向其他服务发送或从其他服务处接收远程过程调用 (RPC) 时用于证明自己的身份。客户端利用这些身份标识来确保其与正确的目标服务器通信,而服务器则利用这些身份标识将方法与数据的访问权限授权给特定的客户端;
精确到单用户角色的访问控制。
Google的中央身份识别服务会对最终用户的登录信息进行验证,然后向该用户的客户端设备签发用户凭据,例如 Cookie 或 OAuth 令牌。从该客户端设备向 Google 发出的任何后续请求都需要提交此用户凭据。当一项服务收到最终用户凭据时,就会将该凭据传递给中央身份识别服务进行验证。如果最终用户凭据经验证正确无误,中央身份识别服务就会返回短期有效的“最终用户权限工单”,该工单可用于与请求相关的远程过程调用 (RPC);
异曲同工,类似理念在腾讯业务也已有落地实践,如:微信 —— 全程票据系统。是由微信团队设计的一套数据保护机制,其方案核心是:用户登录后,后台会下发一个票据给客户端,客户端每次请求带上票据,请求在后台服务的整个处理链条中,所有对核心数据服务的访问,都会被校验票据是否合法,非法请求会被拒绝,从而保障用户隐私数据只能用户通过自己的客户端发起操作来访问。
02. 同级别“地雷”,权限控制类逻辑漏洞
一如前文所述的“腾讯微博”案例,业务中的权限控制类逻辑漏洞,也能产生类似此次事件的效果。从TSRC历史报告来看,由于此类问题与业务逻辑高度相关,无法设计通用的自动化检测手段,正逐年成为各类业务面临的首要风险。
漏洞主要分三类:
未鉴权,业务未校验登录态,外部可任意拉取业务敏感数据。例如:SNS社交动态任何人可删除、网站管理接口可直接操作。
水平越权,具有同等权限的A、B能相互进行敏感操作。例如:以QQ号A的身份,能在B的QQ空间中发布动态。
垂直越权,即普通用户能执行需要更高级别身份的操作。
我们建议,业务开发阶段遵循以下原则:
1) “零信任”,系统/接口开启默认鉴权。除非敏感功能外,所有接口/功能校验权限;
2) 禁止将参数值作为判断用户身份或权限的依据。应从登录态判断用户并根据用户角色、权限等级进行鉴权;
3) 健全访问控制相关的人工及自动化测试用例。开发过程中,按功能设计需求,编写单元测试用例进行自测。对于核心的业务逻辑,采用自动化测试用例的方式覆盖,避免持续的变更过程中因疏忽导致漏洞产生;
在此背景下,结合Google BeyondProd和微信全程票据方案,安全团队也正与公司系统框架中台协同预研 —— RPC票据。我们认为它可能会是一种更为彻底、有效的数据保护和逻辑漏洞收敛手段。相关技术细节与实践经验,敬请期待后续TSRC分享。方案可简述为:
用户鉴权登录后,衍生成RPC票据,供内部服务间流转
RPC票据采用非对称加密保护完整性,只有指定颁/验票节点才有权创建、修改
授权信息通过RPC票据承载、层层透传,且会随扩展颁票,不断填充入增强信息(如:关系链等)
基于“零信任”思路,数据操作(DAO)时,没有或持非法RPC票据则拒绝操作
总结
“应对一场被3亿人关注的安全事件,一点也不好笑”。曾负责推特安全团队的Charlie Miller如是说。
作为从事安全防御方向的同行,深知其中不易。有时攻击只要击破一个点,而防御往往需要考虑千百种情况,往往面临更大挑战和不确定因素。正如Google安全总监Heather对此次事件评论的那样“这就是为什么我看到同行面临困境时,一点也笑不出来的原因。”
居安思危,在访问控制方向的安全防御建设,仍任重道远。欢迎与我们携手,一同探索零信任、数据保护、逻辑漏洞收敛方面的方案与经验。
参考资料
[1]《从无到有:微信后台系统的演进之路》
https://www.infoq.cn/article/the-road-of-the-growth-weixin-background/
[2] Google BeyondProd
https://cloud.google.com/security/beyondprod
我们是TSRC
互联网安全的守护者
用户数据安全的保卫者
我们找漏洞、查入侵、防攻击
与安全行业精英携手共建互联网生态安全
期待正能量的你与我们结盟!
微信号:tsrc_team
原文始发于微信公众号(腾讯安全应急响应中心):企业安全建设 丨 当我们在谈论推特安全事件时,我们在谈论什么?
7月16日,2020年315晚会再次提到手机超限违规收集个人信息情况。据央视报道,上海市消费者权益保护委员会委托第三方对市场上的App进行检测,发现某些第三方开发的SDK包存在违规收集用户个人信息的情况。
SDK是Software Development Kit的缩写,即“软件开发工具包”。简单来说,它是辅助开发某一类应用软件的相关文档、范例和工具的集合。对App来说,可以将某项功能交给第三方来开发以缩短周期。
据移动支付网了解,具备强大功能的第三方SDK广泛应用在大量App的设计开发阶段,成为整个手机软件供应链中不可或缺的一部分。
上海市消费者协会权益保护委员会检测了50多款App,这些App中带有两家公司的SDK:上海氪信信息技术有限公司、北京招彩旺旺信息技术有限公司。而50多款App中包含大量的金融App,如:国美易卡、美期分期、口袋钱包、九秒贷、趣花呗等等。
在上海市消费者协会权益保护委员会的调查当中,第三方SDK除了收集用户手机号码、设备信息之外,还会收集用户手机通讯录、短信信息、传感器信息等用户隐私信息。在采集之后还会发送至指定服务器进行存储。
北京招财旺旺信息技术有限公司开发的SDK甚至会收集并上传用户手机中的短信内容,带有验证码的短信同样会被采集上传。
短信验证码是目前手机App验证用户身份的重要手段,通过短信验证码可以完成开通业务、支付款项、修改密码、修改绑定邮箱等敏感操作。在掌握手机号码的前提下,可以无密码登陆,只要有系统发送的验证码,就可以快速登陆。
短信验证码一旦泄露可能带来极为严重的财务损失。多地警方陆续破获使用“伪基站2.0”盗取短信验证码,进而通过各大银行、网站、移动支付App,实现信息窃取、资金盗刷和网络诈骗等犯罪。
去年1月,中央网信办、工信部、公安部、国家市场监督管理总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,成立了App违法违规收集使用个人信息专项治理工作组。
在随后的几个月时间里,仿冒App、过度索权、账户注销难、霸王隐私政策等问题得到了社会各界的广泛关注。在这段时间里《App违法违规收集使用个人信息行为认定方法(征求意见稿)》、《移动互联网应用基本业务功能必要信息规范》等文件相继出炉。
在一系列文件出炉的同时,公安部、国家网信办、工信部等监管部门开始了违法违规App“点名”,2019年下半年几乎每个月都会有一批违法违规App被曝光。
去年11月,央行下发了《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》(237号文),并随通知发布了《移动金融客户端应用软件安全管理规范》。在规范中,对移动客户端的身份认证安全、逻辑安全、安全功能设计、密码算法及密钥管理、数据安全都做出了要求。
在今年2月,央行发布了《个人金融信息保护技术规范》,并在其中强调,个人金融信息相关的客户端应用软件及应用软件开发工具包(SDK)应符合《移动金融客户端应用软件安全管理规范》、《网上银行系统信息安全通用规范》客户端应用软件有关安全技术要求。
原文始发于微信公众号(移动支付网):315晚会曝光SDK窃取个人隐私信息:涉及多款金融App
美国前总统奥巴马推特上的诈骗推文。
7月15日,美国社交网站推特(Twitter)上关注度最高的名人账号集体遭到黑客攻击。包括奥巴马、贝索斯、苹果等认证账号,均发布了拙劣的诈骗推文,让人们给同一个比特币账户打钱。
这也成为了有史以来一家社交媒体网站上影响最大的“史诗级”安全漏洞事件。
乔·拜登的推特。
美国前总统巴拉克·奥巴马(Barack Obama),正在与特朗普竞争的下一任美国总统候选人乔·拜登(Joe Biden),微软创始人比尔·盖茨(Bill Gates),亚马逊创始人杰夫·贝索斯(Jeff Bezos),特斯拉CEO埃隆·马斯克(Elon Musk),歌手坎爷(Kanye West)和妻子金·卡戴珊(Kim Kardashian)、股神沃伦·巴菲特(Warren Buffett),以及苹果(Apple)、优步(Uber)等个人和企业的认证账号均被黑客攻陷。
杰夫·贝索斯的推特。
苹果(Apple)公司的推特。
以比尔·盖茨为例,盖茨的认证官方账号周三下午发表推文称:“每个人都让我回馈社会,现在是时候了。只要接下来30分钟之内向我的比特币账户打钱,我将双倍奉还。你发我1000美元,我会发回你2000美元。仅30分钟内有效!快快行动吧!”
盖茨的认证官方账号。
这些推文在7月15日下午发布不久后被推特移除。
推特在这些诈骗信息出现一个多小时后才发现问题,随后推特官方账号发文称:“我们发现了一个影响推特账号的安全事故,我们正在调查并采取行动修复它,很快就会向大家更新动态。”
但推特的修复做法是把先把所有的官方认证账号都禁止发推,CNN记者测试发现,非认证普通账号仍能继续发推。
随后推特官方又连发两条推文称,“在我们检查和处理这一状况时,你可能无法发推,也无法重设你的密码。”“我们仍然在继续限制发推和重设密码、以及一些其他的账户功能,感谢你的耐心。”
CNN当天报道评论称,这一“史诗级”漏洞可能是推特有史以来最严重的安全事故,但它的关键之处不在于黑客到底成功诈骗了多少钱,而是因为被黑的这些账号都是全世界最大的意见领袖,其中有一些人会在这些推特上发布重要消息甚至是政治决策,他们的账号被黑可能会造成灾难性的后果。
科技网站TheVerge当天报道称,现在还不知道黑客是怎么做到的,也不知道推特的系统受到了多大程度的破坏。