【四维创智】-专研智能,智汇安全-网络攻防-渗透测试-web安全-无线安全-内网安全 行业资讯 – 【四维创智】

四维资讯中心

关注最新行业动态,洞悉安全态势,做行业领跑者!创造属于我们自己的故事!

人脸识别再曝安全漏洞,15分钟解锁19款安卓手机

​人脸识别最新漏洞曝光,测试的安卓手机无一幸免!

 

要说之前,拿着照片直接往前置摄像头怼,肯定不能解锁手机。
 

但现在,RealAI的团队有了一个办法,只需一副定制的“眼镜”,就可以秒秒钟破解手机的面部识别系统。
眼镜是这样式儿的。
 

 
所需的工具也很常见:一台打印机、一张A4纸、一副眼镜框。

 

通过AI算法绘制特殊花纹,打印下来裁剪成眼镜的形状,贴在眼镜框上,就可以破解了。

 

结果在15分钟内,除了一款iPhone 11,成功解锁了其余所有19部安卓机型。

 

这也就意味着,只要搭载了人脸识别功能的应用和设备,黑客都有可能利用这一漏洞,对用户的隐私安全和财产安全造成威胁。

 

那么具体是如何实现的呢?
 

安卓手机无一幸免

 

不同于以往在实验室中的测试,这场测试是在现实场景下的实打实“攻击”。

 

测试过程非常简单,只需要三个步骤。

 

首先,选取20款攻击对象。

 

除了一台iPhone 11,其余都是安卓机型。
 

这些手机涵盖了国内前五的手机品牌,覆盖了不同价位、不同型号,低端机到旗舰机都有。

 

甚至,连去年12月刚上市的手机也不放过。(Maybe大家可以猜猜是哪款,手动狗头)
 

第二步,录入人脸,也就是在20部手机里统一录入同一位测试人员的人脸验证信息。

 

第三步,定制“眼镜”。

 

拿到被攻击者的照片后,攻击者通过算法,在眼部区域生成干扰图案,然后打印出来裁剪成“眼镜”的形状,贴在镜框上。
 

 

这一“干扰图案”,看上去像是被攻击者的眼部图案,但其实是攻击者通过算法,计算生成的扰动图案。

 

△左一为被攻击对象的眼部图像,右一、右二为生成的对抗样本图案

 

这一技术叫做“对抗攻击”,其中生成的干扰图案,就是对抗样本。
 

简单来说,就是将攻击者的图像设定为输入值,被攻击者的图像设定为输出值。

 

算法会自动计算出最佳的对抗样本图案,保证两张图像的相似度最高。

 

最终,除了iPhone11幸免于难,其余手机全部成功解锁,且攻击难度上也几乎没有区分,都是秒级解锁。

 
除此之外,测试人员还发现:
 

尽管普遍来看低端机识别安全性要更差一些,但抵御攻击性能的强弱似乎与手机是否高端机型并无直接联系。比如说,有一款2020年12月最新发布的的旗舰机,多次测试下来发现,基本都是“一下子”就打开了。

 

“如果开源,黑客一张照片就可破解”
 

其实,对抗攻击技术算不上新颖。

 

2019年8月份,AI算法就在现实世界中首次实现攻击。

 

来自莫斯科国立大学、华为研究者们曾发布,在脑门上贴一张对抗样本图案,能让公开的 Face ID 系统识别出错。

 

去年7月,微软旷视开发了一套算法,只在照片上做了小改动,就有如穿上「隐身衣」,导致人脸识别系统无法破解。
 


 
但这些攻击,仅仅只是让识别系统识别不出目标,并没有完成破解。
 

如今,RealAI团队真正实现了破解过程,且整个操作时长不到15分钟,这一方面证实了对抗样本攻击在现实生活中能够带来安全威胁。
 

另一方面也印证了人脸识别系统背后的隐忧。正如团队里的一个成员所说:
 

如果有黑客恶意开源这一算法的话,上手难度就被大大降低了,剩下的工作就只是找张照片。
 

言外之意就是,只要能拿到被攻击对象的1张照片,就能很快制作出犯罪工具,实现破解。
 

这也给一些企业带来了全新的安全挑战。

1月 26,2021 by admin

这63款侵害用户权益行为APP你有吗?

关于侵害用户权益行为的APP通报(2020年第七批)

  依据《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,按照《关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管〔2020〕164号)工作部署,我部近期组织第三方检测机构对手机应用软件进行检查,督促存在问题的企业进行整改。截至目前,尚有63款APP未完成整改(详见附件),上述APP应在12月28日前完成整改落实工作。

 

此次检测发现,APP未经用户同意,私自收集设备MAC地址信息;将用户个人信息发送给第三方SDK的问题较多。部分头部企业APP检测仍发现问题,且未按我部要求时限整改完成。部分应用商店及移动应用分发平台对利用技术对抗、更换“马甲”等方式故意逃避我部监管的企业,监测发现和处置力度不够。后续我部将对上述问题突出、有令不行、整改不彻底的相关企业,采取全面下架、停止接入、行政处罚以及纳入电信业务经营不良名单或失信名单等措施,依法严厉处置。

 

附件:存在问题的应用软件名单(2020年第七批)

工业和信息化部信息通信管理局

2020年12月21日

存在问题的应用软件名单(2020年第七批)

12月 22,2020 by admin

四维创智支撑丨国网北京市电力公司2020年网络安全攻防技术大赛今天圆满落幕

2020年12月4日国网北京市电力公司2020年网络安全攻防技术大赛圆满落下帷幕,本次大赛由国网北京市电力公司互联网部、国网北京市电力公司电力调度控制中心主办,国网北京市电力公司电力科学研究院、北京市电力公司党校(人才服务公司)承办、四维创智技术支撑。
 

 
此次竞赛主要目的在于练习团队配合默契,增强团队成员的实战能力,同时就竞赛中发现的难点,四维创智技术专家,开展了有针对性的特训工作。决赛以团队作战形式比拼,环境目标靶机为高度仿真的北京公司外网网站系统;学员在城市数字电网仿真环境场景下进行真攻真实防。
 

 
大赛期间四维创智安全团队为攻防比赛提供了量身搭建、运行稳定的比赛环境,在整个比赛过程中设备运行流畅,获得参赛选手的一致好评。
  
四维创智一直配备专业的技术团队提供攻防竞赛支撑服务,凭借专业的技术能力和丰富的支撑经验天幕网络攻防平台系统受到客户高度好评,多年来为政府、公安、电力、金融、等行业提供大型竞赛方案及服务,受到各行各业认可。

12月 4,2020 by admin

特斯拉 Model X 遭遇黑客中继攻击 3 分钟可开走汽车

一名黑客成功地为特斯拉汽车开发了一种新的密钥克隆“中继攻击”(Relay Attack),并在特斯拉Model X电动汽车上进行了演示。报道称,特斯拉被告知了这一新的攻击,目前准备为其推出新的补丁。
 

在北美,特斯拉汽车被盗相当罕见。但在欧洲,有一些老练的窃贼,他们通过“中继攻击”,盗窃了不少特斯拉汽车,其中大多数都没有被找回。
 

为了应对这些攻击,特斯拉之前已经推出了额外的安全保护措施,配备了改进的密钥卡和可选的“PIN to Drive”功能。但如今,一位安全研究员声称,他组织了一系列新的攻击,可以绕过密钥卡中新改进的加密技术。
 

安全研究员表示,他只需大约90秒的时间,即可进入特斯拉汽车。一旦进入车内,为了能开走汽车,还需要进行第二步攻击。大概1分钟左右的时间,他就可以注册自己的汽车钥匙,然后把车开走。
 

目前还不清楚,“PIN-to-Drive”功能能否让沃特斯的第二步攻击失效,该功能要求司机输入PIN后,才能让车辆进入驾驶状态,而不管密钥卡是什么。

11月 26,2020 by admin

闪送、瓜子二手车与聚美优品被约谈:违规收集用户信息、强制授权

据北京市通信管理局官网18日信息,闪送、瓜子二手车以及聚美优品移动APP等三家公司在抽测中发现存在违规收集使用用户信息、强制授权等问题。11月16日,北京市通信管理局约谈了相关公司负责人,就三家公司移动APP存在的问题发出书面整改通知,责令限期整改。
 

 
据悉,在工信部网安局统筹部署下,北京市通信管理局9月初开展了2020年北京市APP数据安全巡查检测专项行动。
 
北京市通信管理局要求三家公司加强对《网络安全法》《电信和互联网用户个人信息保护规定》等相关法律法规的学习,不断提升法律意识,并要进一步健全和完善企业数据安全管理和技术保障措施,强化对自身 App 数据安全的规范管理,不断提升自身数据安全保护治理能力。
 

本次专项行动以《APP违法违规收集使用个人信息行为认定方法》为依据,针对北京市地区获得经营许可、且在国内主流移动应用商店下载量大的197款APP应用程序开展巡查专项检测。

11月 19,2020 by admin

“刷脸”真的安全吗?2元就能买上千张人脸照片

购物时“刷脸”支付、用手机时“刷脸”解锁,进小区时“刷脸”开门……如今,越来越多的事情可以“刷脸”,用人脸识别技术来解决。
 
近日发布的一份报告显示,有九成以上的受访者都使用过人脸识别,不过有六成受访者认为人脸识别技术有滥用趋势,还有三成受访者表示,已经因为人脸信息泄露、滥用而遭受到隐私或财产损失。那么“刷脸”时代,我们的人脸信息安全吗?
 

 
人脸识别存在哪些风险?
 
对于人脸识别,多数人是又爱又恨,爱的是它的方便快捷,恨的就是安全风险。
 
嫌疑人“AI换脸”骗过人脸识别实施犯罪
 
在警方今年破获的两起盗用公民个人信息案中,值得注意的是,犯罪嫌疑人都是利用“AI换脸技术”非法获取公民照片进行一定预处理,而后再通过“照片活化”软件生成动态视频,骗过了人脸核验机制,得以实施犯罪的。
 

 
面具可代替人脸解锁手机吗?
 
测试中,科研人员在手机对面放上面具,然后进行光线、色温以及角度的调节。通过几次比对,手机成功解锁。
 

 
专家表示,这款面具的制作成本并不高,3D打印技术就可以制作出精度尚可的人脸面具或头套。只要不是在极暗或极亮的背景下,通过面具或头套进行人脸识别的成功率高达3成。
 
如何增强人脸识别安全性?
 
专家表示,目前最简单的人脸识别,只需要采集、提取人脸上的6个或8个特征点就能实现。而复杂的人脸识别,则需要采集、提取人脸上的数十个乃至上百个特征点才能实现。相比于解锁手机,“刷脸”支付、“刷脸”进小区等应用,采集的人脸特征点更多,安全性自然也更高。
 
此外,目前已经研发出了专门针对生物特征的活体检测技术,可有效识别扫描对象的生命体征,大大降低了识别系统把照片或面具当人脸的风险。
 

 
2元就能买上千张照片 人脸信息是如何泄露的?
 
经调查发现,在某些网络交易平台上,只要花2元钱就能买到上千张人脸照片,而5000多张人脸照片标价还不到10元。
 

 
商家的素材库里,全都是真人生活照、自拍照等充满个人隐私内容的照片。当记者询问客服,这些图片是否涉及版权时,客服矢口否认,但却提供不了任何可以证明照片版权的材料。
 

 
这些包含个人信息的人脸照片如果落入不法分子手中,照片主人除了有可能遭遇精准诈骗,蒙受财产损失之外,甚至还有可能因自己的人脸信息被用于洗钱、涉黑等违法犯罪活动,而卷入刑事诉讼。
 
在专家看来,当下人脸识别技术的风险点,更多集中在存储环节。由于人脸识别应用五花八门,也没有统一的行业标准,大量的人脸数据都被存储在各应用运营方,或是技术提供方的中心化数据库中。
 

 
数据是否脱敏、安全是否到位、哪些用于算法训练、哪些会被合作方分享,外界一概不知。而且,一旦服务器被入侵,高度敏感的人脸数据就会面临泄露风险。
 
个人信息法草案发布 人脸信息保护更规范
 
为了封堵这个漏洞,专家提出了多种技术改进,并进一步指出,人脸数据存储应该建立更严格的标准和规范,技术开发方、APP运营方应该在更趋严格的监管、法律以及行业规范下采集、使用、存储数据。
 

 
针对人脸信息被滥用、盗用、随意采集的现象,法律专家指出,《网络安全法》明确将个人生物识别信息纳入个人信息范围。我国《民法典》规定,收集、处理自然人个人信息的,应当遵循合法、正当、必要原则,征得该自然人或其监护人同意,且被采用者同意后还有权撤回。
 
目前,《中华人民共和国个人信息保护法(草案)》正在面向社会公开征求意见。草案提出,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。

11月 7,2020 by admin

解析:11月1日实施的《信息安全技术网络安全等级保护定级指南》有哪些变化?

近日,国家市场监督管理总局和国家标准化管理委员会发布了《GBT 22240-2020信息安全技术网络安全等级保护定级指南》新的国家标准,新的国标将于2020年11月1日正式实施。
 

 
新版定级指南有哪些变化呢?指南前言中指出:
 

 
01、定级流程有变化
 
第二级及以上等级保护对象定级流程新增专家评审环节,不再自主定级,需要聘请专家认定等级保护对象的级别。
 
02、定级对象有变化
 
定级对象的范围相比旧标准变化较多,本次《指南》包含了云计算、物联网、工业控制系统、采用移动互联技术的系统、通信网络设施以及数据资源。
 
通用定级对象基本特征明确,共计三点:
 
具有确定的主要安全责任体;
 
承载相对独立的业务应用;
 
包含相互关联的多个资源。
 
从这几个特征来看,基本互联网上的系统差不多都要定级备案。《指南》给出了有关安全责任主体的解释:包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。
 
以前很多人一直有个疑问,我们的系统很小,没多少数据,就不需要定级了。现在官方给出了解释,企事业单位、机关基本都是具有法人的,那么这些单位的系统必须都要定级备案。其他团体(包括公益组织)和中小私营企业原则上也都要对系统进行定级备案。
 
哪些系统属于强制定级备案范畴?
 
►云计算平台/系统
 
《指南》明确表示,云上租户和云服务商的等级保护对象要分开定级,根据云上服务模式再分别定级。就是说,云服务商的平台对外提供SaaS、PaaS、IaaS三种服务模式,那么就分为三个对象来分别定级。
 
对于大型云计算平台,除了服务模式之外还可能根据基础设施和辅助服务系统再次分别定级。
 
►物联网
 
通常是以系统为单位,将所有边缘设备和应用统一起来,作为一个整体来定级。(比如某些智能家居系统,就要以整体平台作为定级对象,不能以不同家庭或不同区域作为定级对象)
 
►工业控制系统
 
不同于其他行业,《指南》要求对于工业控制系统,将现场、过程控制要素作为一个整体定级,而生产管理要素单独再作为一个定级对象。也就是一个工业控制系统,最终会分成两个对象定级备案。
 
对于大型工控系统,类似大型云计算平台要求,根据功能、主体、控制对象和生产厂商等因素划分多个定级对象。这里《指南》并不是建议,而是要求,也就是说大型工控系统会进行拆分定级。
 
►采用移动互联技术的系统
 
《指南》为这类系统进行了简要描述,即包括移动终端(手机、平板、笔记本)、移动应用和无线网络等特征要素的系统。将所有移动技术整合,作为一个整体来定级。
 
►通信网络设施
 
主要是通信和广电行业的核心网络,基本可以算得上关键信息基础设施了,也是国家重点关注的行业之一。《指南》建议(用了“宜”)可根据安全责任主体、服务类型或服务地域划分不同的定级对象。
 
而对于运营商网络(骨干网、接入网),多以地市为单位作为定级对象。《指南》建议跨省行业或单位专用通信网可作为一个整体对象定级,这对于运营商企业来说算是一个利好了。
 
►数据资源
 
这是新版《指南》提出的一个新要素。数据资源可以独立定级。定级是基于大数据、大数据平台安全责任主体相同与否。举个例子,比如某些电商平台,数据分布在多个平台,每个平台都有独立法人,这种情况就应该属于安全责任主体不同,这时就要把数据资源单独作为定级对象,电商平台作为另一个定级对象。
 
03、确定受侵害的客体方面有变化
 
1.侵害国家安全事项方面:
 
新增影响海洋权益完整的侵害;
 
新增影响国家社会主义经济秩序和文化实力的侵害。
 
2.侵害社会秩序事项方面:
 
明确提出影响企事业单位、社会团体生产秩序、医疗卫生秩序的侵害;
 
新增影响公共交通秩序的侵害;
 
新增影响人民群众生活的侵害;
 
随着我国信息化进程的全面加快,全社会特别是重要行业、重要领域对基础信息网络和重要信息系统的依赖程度越来越高,网络安全等级保护制度作为我国网络安全领域的基本国策、基本制度,严格落实网络安全等级保护测评工作已经逐渐成为各行业必备。

11月 7,2020 by admin

个人信息保护法草案首次亮相

备受关注的个人信息保护法草案今天提请十三届全国人大常委会第二十二次会议审议。
 
数字显示,截至2020年3月,我国互联网用户已达9亿,互联网网站超过400万个,应用程序数量超过300万个,个人信息的收集、使用更为广泛。应当看到,虽然近年来我国个人信息保护力度不断加大,但在现实生活中,一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。
 
“为及时回应广大人民群众的呼声和期待,落实党中央部署要求,制定一部个人信息保护方面的专门法律,将广大人民群众的个人信息权益实现好、维护好、发展好,具有重要意义。”全国人大常委会法工委副主任刘俊臣表示,制定个人信息保护法是进一步加强个人信息保护法制保障的客观要求,是维护网络空间良好生态的现实需要,也是促进数字经济健康发展的重要举措。
 
草案共八章七十条。从内容上看,草案聚焦目前个人信息保护的突出问题,落实个人信息保护责任,加大违法行为惩处力度。
 
聚焦突出问题 健全个人信息处理系列规则

——设专节对处理敏感个人信息作出更严格的限制,只有在具有特定的目的和充分的必要性的情形下,方可处理敏感个人信息,并且应当取得个人的单独同意或者书面同意
 
在应对新冠肺炎疫情中,大数据应用为联防联控和复工复产提供了有力支持。为此,草案将应对突发公共卫生事件,或者紧急情况下保护自然人的生命健康,作为处理个人信息的合法情形之一。
 
“需要强调的是,在上述情形下处理个人信息,也必须严格遵守本法规定的处理规则,履行个人信息保护义务。”刘俊臣说。
 
草案确立了个人信息处理应遵循的原则,强调处理个人信息应当采用合法、正当的方式,具有明确、合理的目的,限于实现处理目的的最小范围,公开处理规则,保证信息准确,采取安全保护措施等,并将上述原则贯穿于个人信息处理的全过程、各环节。
 
同时,草案还确立了以“告知一同意”为核心的个人信息处理一系列规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。
 
考虑到经济社会生活的复杂性和个人信息处理的不同情况,草案还对基于个人同意以外合法处理个人信息的情形作了规定。
 
草案还设专节对处理敏感个人信息作出更严格的限制,只有在具有特定的目的和充分的必要性的情形下,方可处理敏感个人信息,并且应当取得个人的单独同意或者书面同意。
 
此外,草案设专节规定国家机关处理个人信息的规则,在保障国家机关依法履行职责的同时,要求国家机关处理个人信息应当依照法律、行政法规规定的权限和程序进行。
 
明确适用范围 赋予本法必要域外适用效力

——赋予个人信息保护法必要的域外适用效力,以充分保护我国境内个人的权益
 
草案明确规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息;个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。
 
同时,借鉴有关国家和地区的做法,草案还赋予了必要的域外适用效力,以充分保护我国境内个人的权益。
 
草案规定,以向境内自然人提供产品或者服务为目的,或者为分析、评估境内自然人的行为等发生在我国境外的个人信息处理活动,也适用本法;并要求境外的个人信息处理者在境内设立专门机构或者指定代表,负责个人信息保护相关事务。
 
维护国家利益 完善个人信息跨境提供规则

——对跨境提供个人信息的“告知—同意”作出更严格的要求
 
草案明确,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估;对于其他需要跨境提供个人信息的,规定了经专业机构认证等途径。
 
同时,草案对跨境提供个人信息的“告知—同意”作出更严格的要求。对因国际司法协助或者行政执法协助,需要向境外提供个人信息的,要求依法申请有关主管部门批准。
 
对从事损害我国公民个人信息权益等活动的境外组织、个人,以及在个人信息保护方面对我国采取不合理措施的国家和地区,草案规定了可以采取的相应措施。
 
落实保护责任 明确相关主体的权利和义务

——要求个人信息处理者按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,并指定负责人对其个人信息处理活动进行监督
 
与民法典的有关规定相衔接,草案对个人信息处理活动中个人的各项权利进行了明确,包括知情权、决定权、查询权、更正权、删除权等,并要求个人信息处理者建立个人行使权利的申请受理和处理机制。
 
与此同时,草案明确了个人信息处理者的合规管理和保障个人信息安全等义务,要求其按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,并指定负责人对其个人信息处理活动进行监督;定期对其个人信息活动进行合规审计;对处理敏感个人信息、向境外提供个人信息等高风险处理活动,事前进行风险评估;履行个人信息泄露通知和补救义务等。
 
明确职责分工 突出网信部门统筹协调作用

——国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作
 
个人信息保护涉及各个领域和多个部门的职责。草案根据个人信息保护工作实际,明确国家网信部门负责个人信息保护工作的统筹协调,发挥其统筹协调作用。
 
草案同时规定,国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。
 
加大惩处力度 对违法行为设严格法律责任

——侵害个人信息权益的违法行为,情节严重的,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款

草案对违反本法规定行为的处罚及侵害个人信息权益的民事赔偿等作了规定。
 
草案规定,违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
 
草案同时规定,有前款规定的违法行为,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他安志杰责任人员处十万元以上一百万元以下罚款。
 
根据草案,有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
 
此外,草案规定,对侵害个人信息权益的民事赔偿,按照个人所受损失或者个人信息处理者所获利益确定数额,上述数额无法确定的,由人民法院根据实际情况确定赔偿数额。

(法治日报)

10月 13,2020 by admin

当手机失窃信息被盗后 我们应该怎么办?

近日一篇《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》的文章引发广泛关注,文章由一位信息安全专家根据亲身经历梳理。文章作者老骆驼表示,由于家人一部手机被盗,自己经历一场与一伙专业老练、利用窃取个人信息盗取他人银行账户资金的犯罪团伙斗智斗勇的事件。
 
信息安全专家尚且如此,如果是普通用户手机丢失或被盗之后,又该如何尽量避免个人信息泄露和保障资金安全?
 
01手机信息安全
 
从手机本身来说,大多数安卓手机和苹果手机在设置中都具备查找手机的功能,如果该功能可用,失主可以通过定位功能尽可能的找到丢失的手机。
 
以文章作者使用的华为手机为例,第一步当然是要设置好手机的锁屏密码,这是防止手机中联系人、相册等个人信息被盗取的第一道屏障。
 
如果锁屏密码被破解,查找手机的功能就可以派上用场。
 


 
在华为手机上开启“云空间”后,“查找我的手机”开关会自动开启;如果用户曾手动关闭了“查找我的手机”开关,可以前往“设置”>“华为帐号”>“云空间”>“查找我的手机”页面重新开启。
 
当手机丢失时,失主可以通过访问“云空间”官网(cloud.huawei.com),使用网页版的“查找我的手机”对设备进行定位和数据保护。
 
可以执行的操作包括:
 
▪ 定位设备:查看设备在地图上的大致位置
 
▪ 播放铃声:让设备响铃,便于小范围查找
 
▪ 擦除数据:清空设备数据,防止信息泄露
 
其它品牌的安卓手机以及苹果手机的查找手机功能,与华为手机的操作类似。如果是丢失,可以通过定位尽量找回;如果是被盗,可以直接锁定设备或者擦除数据,防止个人信息泄露。
 
02资金安全
 
在文章作者的经历中,起初犯罪团伙并未破解手机锁屏密码时,但选择将手机SIM卡安装在另一个设备中,通过SIM卡获取失主的个人信息,进而盗取资金。
 
这个时候,将手机SIM卡挂失就十分必要。
 
以文章作者使用的中国电信SIM卡为例,中国电信有一项服务是因丢失、盗用或其它原因,暂时办理紧急停机。拨打处于紧急停机状态下的电话听到的是“您所拨打的号码已暂停服务”,紧急停机期间也不能收发短信。
 
办理的途径有三种:
 
一、登陆中国电信网上营业厅http://189.cn办理,业务办理->移动业务->可办理业务->基础业务->紧急停机;
 
二、通过手机拨打中国电信客服10000号,按照语音提示自助办理或选择人工帮助办理。自助模式下只能办理紧急停机,无法办理复话;
 
三、在线下的中国电信营业厅办理,用户需持有效证件到营业厅办理紧急停机和复话业务。
 
除了事后的挂失,文章作者也给出了事前防范措施:设置SIM卡密码。在手机设置中的安全选项中,有一项SIM卡锁定的功能,设置密码之后,当SIM卡被犯罪分子安装到另外一个手机中时,就需要输入密码才能使用。如果密码输入错误多次,则需要PUK码才能解锁,PUK码可以在SIM购买时的卡片上找到,或者联系运营商获取。
 
当然,除了用户SIM卡本身的密码设置和挂失之外,银行、支付宝、微信等金融App自身的安全风控也十分重要。
 
支付宝相关部门人员就回应称,文章所披露的黑产在支付宝里没套到钱和信息;且支付宝承诺资金被盗全额赔付,包括手机丢失导致的。
 
支付宝相关部门人员在回应中提到,热文中的对手确实是高阶黑产,但黑产在修改支付密码时被支付宝风控拦住了,查不了银行卡号,也没法收付款,才注册了一个新号,但新号也不能使用原号里的钱。
 
此外,用户在手机丢失之后,也可以通过相应的官方客服对银行、支付宝、微信等金融App账号进行冻结,以防止出现资金损失。

10月 10,2020 by admin

Razer数据泄漏暴露了十万游戏玩家的个人信息

游戏硬件制造商Razer在其在线商店的不安全数据库被在线暴露后遭受了数据泄漏。Razer是一家新加坡裔美国游戏硬件制造商,以其鼠标、键盘和其他高端游戏设备而闻名。
 

 
8月19日左右,安全研究员发现了一个不安全的数据库,该数据库暴露了大约100,000个人从Razer在线商店购买商品的信息。
 
暴露的信息包括客户的姓名,电子邮件地址,电话号码,订单号,订单明细以及帐单和送货地址,如下所示。
 

不安全数据库公开的Razer数据
 

 
几周以来,安全研究员试图联系Razer的某人,他们可以保护暴露的数据库。
Razer表示他们终于在9月9日保护了数据库服务器,并感谢研究人员的帮助。
 
“安全研究员通知我们,服务器配置错误可能会暴露订单详细信息,客户和运输信息。没有暴露其他敏感数据,例如信用卡号或密码。服务器配置错误已于9月9日修复,失误被公开。
 
我们非常感谢您,对于此问题已深表歉意,并已采取所有必要步骤解决此问题,并对我们的IT安全性和系统进行了全面审查。我们将继续致力于确保所有客户的数字安全性。”
 
受影响的Razer客户应该怎么做?
 
如果威胁行为者访问了此数据,他们可以在针对性的网络钓鱼活动中使用该信息来收集更敏感的信息,例如密码和信用卡详细信息。
 
虽然尚不确定是否有威胁行动者在获得安全保护之前就访问了已暴露的数据,但对于受影响的人来说,尽最大努力应对潜在的鱼叉式钓鱼活动至关重要。
 
如果您曾经从Razer的在线商店购买过任何东西,请注意任何来自游戏公司的电子邮件。
 
此外,如果您收到声称来自Razer的电子邮件,请确保仅登录razer.com,而不登录其他站点。

9月 16,2020 by admin