【四维创智】-专研智能,智汇安全-网络攻防-渗透测试-web安全-无线安全-内网安全 资讯中心 – 第2页 – 【四维创智】

四维资讯中心

关注最新行业动态,洞悉安全态势,做行业领跑者!创造属于我们自己的故事!

闪送、瓜子二手车与聚美优品被约谈:违规收集用户信息、强制授权

据北京市通信管理局官网18日信息,闪送、瓜子二手车以及聚美优品移动APP等三家公司在抽测中发现存在违规收集使用用户信息、强制授权等问题。11月16日,北京市通信管理局约谈了相关公司负责人,就三家公司移动APP存在的问题发出书面整改通知,责令限期整改。
 

 
据悉,在工信部网安局统筹部署下,北京市通信管理局9月初开展了2020年北京市APP数据安全巡查检测专项行动。
 
北京市通信管理局要求三家公司加强对《网络安全法》《电信和互联网用户个人信息保护规定》等相关法律法规的学习,不断提升法律意识,并要进一步健全和完善企业数据安全管理和技术保障措施,强化对自身 App 数据安全的规范管理,不断提升自身数据安全保护治理能力。
 

本次专项行动以《APP违法违规收集使用个人信息行为认定方法》为依据,针对北京市地区获得经营许可、且在国内主流移动应用商店下载量大的197款APP应用程序开展巡查专项检测。

11月 19,2020 by admin

【上榜】四维创智入选《CCSIP2020中国网络安全产业全景图》三大领域!

11月16日,FreeBuf咨询正式发布《CCSIP(China Cyber Security Industry Panorama)2020中国网络安全产业全景图》。
 

 
在此次公开发布的“CCSIP全景图”中,四维创智凭借专业服务和持续创新能力分别入选“安全服务”“物联网安全”“移动安全”三大领域的7个细分项。
 



 

《CCSIP(China Cyber Security Industry Panorama)2020中国网络安全产业全景图》(以下简称CCSIP全景图)共涵盖19个一级分类,79个二级分类,覆盖550+家安全厂商,展现2000余次。所有调研及设计工作由FreeBuf咨询团队主导完成,上百家厂商提供数据支持。

 

CCSIP全景图以PDR网络安全模型为基础,并参考IPDRR安全框架和P2DR2模型,在基础的Protection(防护)、Detection(检测)、Response(响应)三层逻辑上优化出第4层,即“持续改进”,形成“防护——检测——响应——持续改进”的安全闭环。

 

在核心模型之外,增加了网络基础安全与行业场景2个大类,构建完整的企业网络安全建设链,以此作为CCSIP全景图的顶层设计逻辑,并将市面上主流的网络安全厂商以主要产品类型为依据进行归类。

11月 17,2020 by admin

物联网安全:5个主要漏洞以及解决方法

物联网全球市场,收入超过了1000亿美元,而2025年的收入预测将达到1.5万亿美元。虽然这意味着更多的便利和改进的服务,但也为网络犯罪分子创造了更多机会。
 
物联网设备面临网络安全漏洞。他们无需我们授权即可工作,这使得在被破坏之前威胁识别变得更加困难。但是,如果您知道危险潜伏在哪里,则可以找到一种方法最大程度地降低网络安全风险。以下是2020年物联网的五个重大网络安全漏洞。
 

 
威胁是绝对真实的,首先我们了解下2016年10月发生的一个攻击事件。黑客识别了安全摄像机模型中的薄弱环节。同时,有超过300,000台摄像机连接了互联网。
 
黑客利用该漏洞并使用这些IoT设备对社交媒体平台发起了大规模攻击。一些主要的社交媒体平台,包括Twitter,停运了几个小时。这种类型的恶意软件攻击称为僵尸网络攻击。它由数百个携带恶意软件并同时感染数千个IoT设备的机器人提供动力。显然,由于各种原因,物联网设备特别容易受到这些攻击。接下来让我们一个个进行分析:
 
系统漏洞分类
 
在大多数情况下,研究人员专注于各种类型的漏洞。典型的潜在缺陷列表包括以下条目:
 
未修补的软件。许多人无视的直接漏洞。如果您是普通网民,则可以使用许多应用程序。他们中的大多数正在不断发展。开发人员使他们适应解决问题。在某些情况下,修补程序和更新可解决严重的漏洞。当人们拒绝更新时,就会出现威胁。
 
配置错误。这个概念涉及系统的各种变更。示例之一与用户开始使用新服务时获得的默认设置有关。通常,默认设置不关注安全性。您的路由器是不应保留其默认设置的小工具之一。相反,您应该定期更改凭据。因此,您将防止未经授权的访问或通信拦截。
 
凭据差。简单或重复使用的密码仍然是一个问题。尽管网络安全行业已经为每个网友提供了选择,但是使用原始和复杂密码的建议仍然被忽略。取而代之的是,人们想出了舒适的密码。这是什么意思?人们可以轻松记住的组合,以及可悲的是,黑客可以轻松猜测的组合。了解凭证填充攻击的性质后,您将需要一个非常复杂的密码来保证安全。
 
恶意软件,网络钓鱼和网络。如今,恶意软件已成为Internet不可或缺的一部分(即使我们不喜欢它)。骇客每天都会散布各种复杂的变体,研究人员并不一定总能向我们发出警告。网络钓鱼也是与到达用户邮箱的欺诈和欺诈性报价有关的主要威胁之一。
 
信任关系。这些漏洞触发了连锁反应。例如,各种系统可以彼此链接以允许访问。如果一个网络遭到破坏,其他网络也可能崩溃。
 
凭据受损。这种威胁是指对您的凭据的不道德勒索。后来,它们被用来获得未经授权的访问。例如,我们可以使用未经正确加密的系统之间的通信。然后,黑客可以拦截此交换并以纯文本形式检索密码。
 
恶毒的内幕。系统中的某些参与者可以利用他们的特权并执行恶意操作。
 
加密不正确。黑客或其他恶意资源可以拦截网络上加密不良的通信。由于存在此类漏洞,因此可能会发生许多灾难性的情况。例如,骗子可以获取机密信息或在部门之间散布虚假信息。
 
零日漏洞和其他缺陷。此类漏洞无法解决,并且会继续困扰着系统。黑客将尝试利用此类缺陷,并查看哪些系统可能受到威胁。
 
没有经验的用户:是最大的漏洞
 
物联网是一个复杂的概念。大多数使用互联网连接设备的人远非精通技术的专家。没有人告诉他们他们的咖啡机可能被入侵,或者他们的相机可以被用来发起DDoS攻击。网络安全专家在过去的二十年中一直在强调强密码的重要性,而不是单击电子邮件中的恶意链接。
 
消费者认为公司和服务有责任确保其数据安全。他们甚至建议企业应采取法律行动。这是什么意思?好吧,用户希望公司将其安全性看作不是遵守规则,而是自然而然的责任。但是,这种态度可能会导致非常严重的漏洞。用户可以将所有责任留给政府和其他机构。如果不将自己视为重要变量,他们可能不会实施必要的网络安全步骤。因此,我们认为需要保持平衡。公司和消费者都需要积极主动地保护自己的信息。
 
制造过程中的缺陷
 
物联网市场爆炸性增长是因为物联网设备提供了更多的便利,易于使用并带来了真正的价值。但是,这个市场呈指数增长的另一个原因是-物联网设备价格合理。您无需再变得超级富有,即可将整个家庭变成一个智能家居。
 
制造商将其视为机遇,并争先恐后地抢占了自己的物联网市场。结果–无监督且便宜的制造过程,以及缺乏或完全缺乏合规性。这是制造难以妥协的物联网设备的秘诀,只有政府才能通过严格的法律和法规来解决。因此,错误的生产可能导致各种问题,例如注入缺陷。
 
所有程序和服务都必须在认为内容合适之前对其进行过滤。如果此类过程缺少适当的身份验证步骤,则它们可以充当更大问题的网关。输入的另一个问题是跨站点脚本(XSS)。简而言之,它是指为Web应用程序提供带有输入的JavaScript标记的过程。可疑输入的目的可能有所不同。可能是良性的,也可能是恶意的。
 
不定期更新
 
大多数著名的物联网品牌一词都在不断地致力于发现其设备上的漏洞。一旦找到后门,他们就会发布更新和补丁以提供必要的安全修复程序。最终用户需要更新其IoT设备,这是一个潜在的问题,因为人们仍然不愿更新其智能手机和计算机。研究人员发布了最具破坏性的漏洞列表。其中包括尚未修补的缺陷,并将继续威胁用户的安全。其中之一允许黑客通过诱骗的Microsoft Office文档运行恶意软件。另一个反映了Drupal的关键性质,它允许黑客传播被称为Kitty的恶意软件病毒。
 
有许多具有自动更新功能的IoT设备,但是此过程存在安全问题。设备应用更新之前,它将备份发送到服务器。黑客可以利用这一机会来窃取数据。公共Wi-Fi和加密网络上的IoT设备特别容易受到此类攻击。可以通过使用在线VPN来防止这种情况。它加密连接并屏蔽网络上所有设备的IP地址。
 
影子物联网设备
 
即使本地网络完全安全,并且其上所有IoT设备的固件和软件都已更新到最新版本,影子IoT设备也可能造成严重破坏。这些设备(也称为流氓IoT设备)可以完美地复制为替代而构建的IoT设备。
 
随着BYOD成为垂直行业的主要趋势,员工可以将自己感染的IoT设备带入工作中。一旦连接到网络,恶意的IoT设备就可以下载并发送或处理数据。潜在的损害是无法理解的。
 
在线物联网设备的数量每天都在增加。物联网的这些网络安全问题应同时涉及个人和企业用户。如果我们想看到结果,则必须最小化与IoT相关的安全漏洞。凭着物联网行业的当前状况以及最终用户的意识,可以肯定地说,我们将至少看到更多由物联网驱动的大规模网络攻击。我们只有更加关注消费者和公司对待漏洞的方式。在发生前阻止破坏行动。

11月 11,2020 by admin

“刷脸”真的安全吗?2元就能买上千张人脸照片

购物时“刷脸”支付、用手机时“刷脸”解锁,进小区时“刷脸”开门……如今,越来越多的事情可以“刷脸”,用人脸识别技术来解决。
 
近日发布的一份报告显示,有九成以上的受访者都使用过人脸识别,不过有六成受访者认为人脸识别技术有滥用趋势,还有三成受访者表示,已经因为人脸信息泄露、滥用而遭受到隐私或财产损失。那么“刷脸”时代,我们的人脸信息安全吗?
 

 
人脸识别存在哪些风险?
 
对于人脸识别,多数人是又爱又恨,爱的是它的方便快捷,恨的就是安全风险。
 
嫌疑人“AI换脸”骗过人脸识别实施犯罪
 
在警方今年破获的两起盗用公民个人信息案中,值得注意的是,犯罪嫌疑人都是利用“AI换脸技术”非法获取公民照片进行一定预处理,而后再通过“照片活化”软件生成动态视频,骗过了人脸核验机制,得以实施犯罪的。
 

 
面具可代替人脸解锁手机吗?
 
测试中,科研人员在手机对面放上面具,然后进行光线、色温以及角度的调节。通过几次比对,手机成功解锁。
 

 
专家表示,这款面具的制作成本并不高,3D打印技术就可以制作出精度尚可的人脸面具或头套。只要不是在极暗或极亮的背景下,通过面具或头套进行人脸识别的成功率高达3成。
 
如何增强人脸识别安全性?
 
专家表示,目前最简单的人脸识别,只需要采集、提取人脸上的6个或8个特征点就能实现。而复杂的人脸识别,则需要采集、提取人脸上的数十个乃至上百个特征点才能实现。相比于解锁手机,“刷脸”支付、“刷脸”进小区等应用,采集的人脸特征点更多,安全性自然也更高。
 
此外,目前已经研发出了专门针对生物特征的活体检测技术,可有效识别扫描对象的生命体征,大大降低了识别系统把照片或面具当人脸的风险。
 

 
2元就能买上千张照片 人脸信息是如何泄露的?
 
经调查发现,在某些网络交易平台上,只要花2元钱就能买到上千张人脸照片,而5000多张人脸照片标价还不到10元。
 

 
商家的素材库里,全都是真人生活照、自拍照等充满个人隐私内容的照片。当记者询问客服,这些图片是否涉及版权时,客服矢口否认,但却提供不了任何可以证明照片版权的材料。
 

 
这些包含个人信息的人脸照片如果落入不法分子手中,照片主人除了有可能遭遇精准诈骗,蒙受财产损失之外,甚至还有可能因自己的人脸信息被用于洗钱、涉黑等违法犯罪活动,而卷入刑事诉讼。
 
在专家看来,当下人脸识别技术的风险点,更多集中在存储环节。由于人脸识别应用五花八门,也没有统一的行业标准,大量的人脸数据都被存储在各应用运营方,或是技术提供方的中心化数据库中。
 

 
数据是否脱敏、安全是否到位、哪些用于算法训练、哪些会被合作方分享,外界一概不知。而且,一旦服务器被入侵,高度敏感的人脸数据就会面临泄露风险。
 
个人信息法草案发布 人脸信息保护更规范
 
为了封堵这个漏洞,专家提出了多种技术改进,并进一步指出,人脸数据存储应该建立更严格的标准和规范,技术开发方、APP运营方应该在更趋严格的监管、法律以及行业规范下采集、使用、存储数据。
 

 
针对人脸信息被滥用、盗用、随意采集的现象,法律专家指出,《网络安全法》明确将个人生物识别信息纳入个人信息范围。我国《民法典》规定,收集、处理自然人个人信息的,应当遵循合法、正当、必要原则,征得该自然人或其监护人同意,且被采用者同意后还有权撤回。
 
目前,《中华人民共和国个人信息保护法(草案)》正在面向社会公开征求意见。草案提出,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。

11月 7,2020 by admin

解析:11月1日实施的《信息安全技术网络安全等级保护定级指南》有哪些变化?

近日,国家市场监督管理总局和国家标准化管理委员会发布了《GBT 22240-2020信息安全技术网络安全等级保护定级指南》新的国家标准,新的国标将于2020年11月1日正式实施。
 

 
新版定级指南有哪些变化呢?指南前言中指出:
 

 
01、定级流程有变化
 
第二级及以上等级保护对象定级流程新增专家评审环节,不再自主定级,需要聘请专家认定等级保护对象的级别。
 
02、定级对象有变化
 
定级对象的范围相比旧标准变化较多,本次《指南》包含了云计算、物联网、工业控制系统、采用移动互联技术的系统、通信网络设施以及数据资源。
 
通用定级对象基本特征明确,共计三点:
 
具有确定的主要安全责任体;
 
承载相对独立的业务应用;
 
包含相互关联的多个资源。
 
从这几个特征来看,基本互联网上的系统差不多都要定级备案。《指南》给出了有关安全责任主体的解释:包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。
 
以前很多人一直有个疑问,我们的系统很小,没多少数据,就不需要定级了。现在官方给出了解释,企事业单位、机关基本都是具有法人的,那么这些单位的系统必须都要定级备案。其他团体(包括公益组织)和中小私营企业原则上也都要对系统进行定级备案。
 
哪些系统属于强制定级备案范畴?
 
►云计算平台/系统
 
《指南》明确表示,云上租户和云服务商的等级保护对象要分开定级,根据云上服务模式再分别定级。就是说,云服务商的平台对外提供SaaS、PaaS、IaaS三种服务模式,那么就分为三个对象来分别定级。
 
对于大型云计算平台,除了服务模式之外还可能根据基础设施和辅助服务系统再次分别定级。
 
►物联网
 
通常是以系统为单位,将所有边缘设备和应用统一起来,作为一个整体来定级。(比如某些智能家居系统,就要以整体平台作为定级对象,不能以不同家庭或不同区域作为定级对象)
 
►工业控制系统
 
不同于其他行业,《指南》要求对于工业控制系统,将现场、过程控制要素作为一个整体定级,而生产管理要素单独再作为一个定级对象。也就是一个工业控制系统,最终会分成两个对象定级备案。
 
对于大型工控系统,类似大型云计算平台要求,根据功能、主体、控制对象和生产厂商等因素划分多个定级对象。这里《指南》并不是建议,而是要求,也就是说大型工控系统会进行拆分定级。
 
►采用移动互联技术的系统
 
《指南》为这类系统进行了简要描述,即包括移动终端(手机、平板、笔记本)、移动应用和无线网络等特征要素的系统。将所有移动技术整合,作为一个整体来定级。
 
►通信网络设施
 
主要是通信和广电行业的核心网络,基本可以算得上关键信息基础设施了,也是国家重点关注的行业之一。《指南》建议(用了“宜”)可根据安全责任主体、服务类型或服务地域划分不同的定级对象。
 
而对于运营商网络(骨干网、接入网),多以地市为单位作为定级对象。《指南》建议跨省行业或单位专用通信网可作为一个整体对象定级,这对于运营商企业来说算是一个利好了。
 
►数据资源
 
这是新版《指南》提出的一个新要素。数据资源可以独立定级。定级是基于大数据、大数据平台安全责任主体相同与否。举个例子,比如某些电商平台,数据分布在多个平台,每个平台都有独立法人,这种情况就应该属于安全责任主体不同,这时就要把数据资源单独作为定级对象,电商平台作为另一个定级对象。
 
03、确定受侵害的客体方面有变化
 
1.侵害国家安全事项方面:
 
新增影响海洋权益完整的侵害;
 
新增影响国家社会主义经济秩序和文化实力的侵害。
 
2.侵害社会秩序事项方面:
 
明确提出影响企事业单位、社会团体生产秩序、医疗卫生秩序的侵害;
 
新增影响公共交通秩序的侵害;
 
新增影响人民群众生活的侵害;
 
随着我国信息化进程的全面加快,全社会特别是重要行业、重要领域对基础信息网络和重要信息系统的依赖程度越来越高,网络安全等级保护制度作为我国网络安全领域的基本国策、基本制度,严格落实网络安全等级保护测评工作已经逐渐成为各行业必备。

11月 7,2020 by admin

四维创智鬼斧车联网安全实验室在第三届中国汽车安全与召回技术论坛-“车联网信息安全技能大赛”斩获两项大奖

10月20日,第三届中国汽车安全与召回技术论坛在重庆开幕,活动的重要赛事之一“车联网信息安全技能大赛”同时开启,“车联网信息安全技能大赛”由国家市场监督管理总局缺陷产品管理中心指导,中国汽车工程研究院与国家互联网应急中心联合主办,裁判团队来自政府、科研院所、主机厂、安全公司等各级领导和专家,全程跟踪每一个比赛环节。为国家《智能汽车创新发展战略》加速落地提供有力支持,为智能汽车时代的汽车消费者保驾护航。
 

 
此次车联网信息安全技能大赛的参赛团队共16支,来自于科研院所、高校、主机厂以及安全公司,覆盖了车联网信息安全产业链的各个环节。四维创智鬼斧车联网安全实验室凭借丰富的项目实践经验和领先的产品研发能力斩获“车载娱乐交互攻防演练赛第一名”“车联网信息安全技能大赛三等奖”、两项大奖。
 


 
“车联网信息安全技能大赛”选择具有较高车联网信息安全水平的实车进行比赛,比赛内容涉及车内网络、汽车移动APP、高低频无线通讯、智能网联汽车云平台、车辆T-BOX/IVI渗透与攻击测试场景。对汽车云平台采用CTF夺旗赛方式进行竞赛,汽车移动APP、车辆T-BOX/IVI渗透与攻击测试以及车内网络采用挖掘漏洞累积分数方式,高低频无线通讯采用挑战赛方式进行。本次赛事采用真实车辆,实际车辆所用车机终端和系统,以及实车测试环境,更具实战意义。
 

 
四维创智鬼斧车联网安全实验室自主研发的四维车联网测试平台结合车联网仿真平台,实现模拟车内传统网络环境,快速搭建整车网络安全检测环境,对整车进行灵活多类型检测,包括但不限于检测车辆无线接口安全、车辆硬件接口安全、车辆控制安全、车辆总线系统安全、车辆人机系统安全、安全固件升级。功能安全测试的本质就是风险控制。此外,该系统能实现以3D动态演示汽车检测状态变化,支持跨网关数据的实时展示、分析和统计。本次获奖是对四维创智创新、研发能力的印证,更是对四维创智车联网安全研究领域的认可,未来四维创智将在车联网安全领域持续突破创新,为安全、智能、便捷的交通出行保驾护航。

10月 23,2020 by admin

个人信息保护法草案首次亮相

备受关注的个人信息保护法草案今天提请十三届全国人大常委会第二十二次会议审议。
 
数字显示,截至2020年3月,我国互联网用户已达9亿,互联网网站超过400万个,应用程序数量超过300万个,个人信息的收集、使用更为广泛。应当看到,虽然近年来我国个人信息保护力度不断加大,但在现实生活中,一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出。
 
“为及时回应广大人民群众的呼声和期待,落实党中央部署要求,制定一部个人信息保护方面的专门法律,将广大人民群众的个人信息权益实现好、维护好、发展好,具有重要意义。”全国人大常委会法工委副主任刘俊臣表示,制定个人信息保护法是进一步加强个人信息保护法制保障的客观要求,是维护网络空间良好生态的现实需要,也是促进数字经济健康发展的重要举措。
 
草案共八章七十条。从内容上看,草案聚焦目前个人信息保护的突出问题,落实个人信息保护责任,加大违法行为惩处力度。
 
聚焦突出问题 健全个人信息处理系列规则

——设专节对处理敏感个人信息作出更严格的限制,只有在具有特定的目的和充分的必要性的情形下,方可处理敏感个人信息,并且应当取得个人的单独同意或者书面同意
 
在应对新冠肺炎疫情中,大数据应用为联防联控和复工复产提供了有力支持。为此,草案将应对突发公共卫生事件,或者紧急情况下保护自然人的生命健康,作为处理个人信息的合法情形之一。
 
“需要强调的是,在上述情形下处理个人信息,也必须严格遵守本法规定的处理规则,履行个人信息保护义务。”刘俊臣说。
 
草案确立了个人信息处理应遵循的原则,强调处理个人信息应当采用合法、正当的方式,具有明确、合理的目的,限于实现处理目的的最小范围,公开处理规则,保证信息准确,采取安全保护措施等,并将上述原则贯穿于个人信息处理的全过程、各环节。
 
同时,草案还确立了以“告知一同意”为核心的个人信息处理一系列规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。
 
考虑到经济社会生活的复杂性和个人信息处理的不同情况,草案还对基于个人同意以外合法处理个人信息的情形作了规定。
 
草案还设专节对处理敏感个人信息作出更严格的限制,只有在具有特定的目的和充分的必要性的情形下,方可处理敏感个人信息,并且应当取得个人的单独同意或者书面同意。
 
此外,草案设专节规定国家机关处理个人信息的规则,在保障国家机关依法履行职责的同时,要求国家机关处理个人信息应当依照法律、行政法规规定的权限和程序进行。
 
明确适用范围 赋予本法必要域外适用效力

——赋予个人信息保护法必要的域外适用效力,以充分保护我国境内个人的权益
 
草案明确规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息;个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。
 
同时,借鉴有关国家和地区的做法,草案还赋予了必要的域外适用效力,以充分保护我国境内个人的权益。
 
草案规定,以向境内自然人提供产品或者服务为目的,或者为分析、评估境内自然人的行为等发生在我国境外的个人信息处理活动,也适用本法;并要求境外的个人信息处理者在境内设立专门机构或者指定代表,负责个人信息保护相关事务。
 
维护国家利益 完善个人信息跨境提供规则

——对跨境提供个人信息的“告知—同意”作出更严格的要求
 
草案明确,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估;对于其他需要跨境提供个人信息的,规定了经专业机构认证等途径。
 
同时,草案对跨境提供个人信息的“告知—同意”作出更严格的要求。对因国际司法协助或者行政执法协助,需要向境外提供个人信息的,要求依法申请有关主管部门批准。
 
对从事损害我国公民个人信息权益等活动的境外组织、个人,以及在个人信息保护方面对我国采取不合理措施的国家和地区,草案规定了可以采取的相应措施。
 
落实保护责任 明确相关主体的权利和义务

——要求个人信息处理者按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,并指定负责人对其个人信息处理活动进行监督
 
与民法典的有关规定相衔接,草案对个人信息处理活动中个人的各项权利进行了明确,包括知情权、决定权、查询权、更正权、删除权等,并要求个人信息处理者建立个人行使权利的申请受理和处理机制。
 
与此同时,草案明确了个人信息处理者的合规管理和保障个人信息安全等义务,要求其按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,并指定负责人对其个人信息处理活动进行监督;定期对其个人信息活动进行合规审计;对处理敏感个人信息、向境外提供个人信息等高风险处理活动,事前进行风险评估;履行个人信息泄露通知和补救义务等。
 
明确职责分工 突出网信部门统筹协调作用

——国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作
 
个人信息保护涉及各个领域和多个部门的职责。草案根据个人信息保护工作实际,明确国家网信部门负责个人信息保护工作的统筹协调,发挥其统筹协调作用。
 
草案同时规定,国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。
 
加大惩处力度 对违法行为设严格法律责任

——侵害个人信息权益的违法行为,情节严重的,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款

草案对违反本法规定行为的处罚及侵害个人信息权益的民事赔偿等作了规定。
 
草案规定,违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
 
草案同时规定,有前款规定的违法行为,情节严重的,由履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他安志杰责任人员处十万元以上一百万元以下罚款。
 
根据草案,有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
 
此外,草案规定,对侵害个人信息权益的民事赔偿,按照个人所受损失或者个人信息处理者所获利益确定数额,上述数额无法确定的,由人民法院根据实际情况确定赔偿数额。

(法治日报)

10月 13,2020 by admin

当手机失窃信息被盗后 我们应该怎么办?

近日一篇《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》的文章引发广泛关注,文章由一位信息安全专家根据亲身经历梳理。文章作者老骆驼表示,由于家人一部手机被盗,自己经历一场与一伙专业老练、利用窃取个人信息盗取他人银行账户资金的犯罪团伙斗智斗勇的事件。
 
信息安全专家尚且如此,如果是普通用户手机丢失或被盗之后,又该如何尽量避免个人信息泄露和保障资金安全?
 
01手机信息安全
 
从手机本身来说,大多数安卓手机和苹果手机在设置中都具备查找手机的功能,如果该功能可用,失主可以通过定位功能尽可能的找到丢失的手机。
 
以文章作者使用的华为手机为例,第一步当然是要设置好手机的锁屏密码,这是防止手机中联系人、相册等个人信息被盗取的第一道屏障。
 
如果锁屏密码被破解,查找手机的功能就可以派上用场。
 


 
在华为手机上开启“云空间”后,“查找我的手机”开关会自动开启;如果用户曾手动关闭了“查找我的手机”开关,可以前往“设置”>“华为帐号”>“云空间”>“查找我的手机”页面重新开启。
 
当手机丢失时,失主可以通过访问“云空间”官网(cloud.huawei.com),使用网页版的“查找我的手机”对设备进行定位和数据保护。
 
可以执行的操作包括:
 
▪ 定位设备:查看设备在地图上的大致位置
 
▪ 播放铃声:让设备响铃,便于小范围查找
 
▪ 擦除数据:清空设备数据,防止信息泄露
 
其它品牌的安卓手机以及苹果手机的查找手机功能,与华为手机的操作类似。如果是丢失,可以通过定位尽量找回;如果是被盗,可以直接锁定设备或者擦除数据,防止个人信息泄露。
 
02资金安全
 
在文章作者的经历中,起初犯罪团伙并未破解手机锁屏密码时,但选择将手机SIM卡安装在另一个设备中,通过SIM卡获取失主的个人信息,进而盗取资金。
 
这个时候,将手机SIM卡挂失就十分必要。
 
以文章作者使用的中国电信SIM卡为例,中国电信有一项服务是因丢失、盗用或其它原因,暂时办理紧急停机。拨打处于紧急停机状态下的电话听到的是“您所拨打的号码已暂停服务”,紧急停机期间也不能收发短信。
 
办理的途径有三种:
 
一、登陆中国电信网上营业厅http://189.cn办理,业务办理->移动业务->可办理业务->基础业务->紧急停机;
 
二、通过手机拨打中国电信客服10000号,按照语音提示自助办理或选择人工帮助办理。自助模式下只能办理紧急停机,无法办理复话;
 
三、在线下的中国电信营业厅办理,用户需持有效证件到营业厅办理紧急停机和复话业务。
 
除了事后的挂失,文章作者也给出了事前防范措施:设置SIM卡密码。在手机设置中的安全选项中,有一项SIM卡锁定的功能,设置密码之后,当SIM卡被犯罪分子安装到另外一个手机中时,就需要输入密码才能使用。如果密码输入错误多次,则需要PUK码才能解锁,PUK码可以在SIM购买时的卡片上找到,或者联系运营商获取。
 
当然,除了用户SIM卡本身的密码设置和挂失之外,银行、支付宝、微信等金融App自身的安全风控也十分重要。
 
支付宝相关部门人员就回应称,文章所披露的黑产在支付宝里没套到钱和信息;且支付宝承诺资金被盗全额赔付,包括手机丢失导致的。
 
支付宝相关部门人员在回应中提到,热文中的对手确实是高阶黑产,但黑产在修改支付密码时被支付宝风控拦住了,查不了银行卡号,也没法收付款,才注册了一个新号,但新号也不能使用原号里的钱。
 
此外,用户在手机丢失之后,也可以通过相应的官方客服对银行、支付宝、微信等金融App账号进行冻结,以防止出现资金损失。

10月 10,2020 by admin

红队必备-WEB蜜罐识别阻断插件

在真实攻防演习中,蓝队不再像以前只是被动防守,而是慢慢开始转变到主动出击的角色。对蓝队反制红队帮助最大的想来非蜜罐莫属,现在的商业蜜罐除了会模拟一个虚拟的靶机之外,还承担了一个很重要的任务:溯源黑客真实身份。相当一部分黑客因为浏览器没开隐身模式导致被利用jsonhijack漏洞抓到真实ID,虽然可以反手一个举报到src换积分,但是在漏洞修复之前,又是一批战友被溯源。相信很对已经被溯源的红方选手对此更有体会。

 
在这种背景下,各位红方老司机应当很需要一个能自动识别这种WEB蜜罐,因此我们写了个简单的chrome插件,用来帮助我们摆脱被溯源到真实ID的困境。插件有两个功能,一是识别当前访问的网站是否是蜜罐,是的话就弹框预警;二是对访问的jsonp接口进行重置,防止对方获取到真实ID。所采用的原理非常简单粗暴,就是判断当前网站域和jsonp接口的域是否是同一个,不是的话就预警并阻断。比如我访问一个http://1.2.3.4/的网站,结果这个网站里的js去请求了一个baidu.com的api,那妥妥的有问题了。但是粗暴判断也会带来误报,比如我正常访问baidu.com,但是其引用了个apibaidu.com的jsonp,就一样也会报警和拦截,这种情况下就暂时用白名单来解决了。

 

使用方法:

 
下载地址:https://github.com/cnrstar/anti-honeypot

 
打开chrome的插件管理 chrome://extensions/:

 
打开开发者模式,并点击”加载已解压的扩展程序”,选择对应的目录导入即可

 

 
当访问到满足条件的网站,会弹出警告框并阻断这个请求,注意开启弹窗权限。
 

 
由于时间问题,只能简单写个开源出来,希望能帮到大家,大家可以对源码随意修改,然后开源出来,红方加油!

 
原创文章,转载请注明出处:四维创智

9月 17,2020 by admin

Razer数据泄漏暴露了十万游戏玩家的个人信息

游戏硬件制造商Razer在其在线商店的不安全数据库被在线暴露后遭受了数据泄漏。Razer是一家新加坡裔美国游戏硬件制造商,以其鼠标、键盘和其他高端游戏设备而闻名。
 

 
8月19日左右,安全研究员发现了一个不安全的数据库,该数据库暴露了大约100,000个人从Razer在线商店购买商品的信息。
 
暴露的信息包括客户的姓名,电子邮件地址,电话号码,订单号,订单明细以及帐单和送货地址,如下所示。
 

不安全数据库公开的Razer数据
 

 
几周以来,安全研究员试图联系Razer的某人,他们可以保护暴露的数据库。
Razer表示他们终于在9月9日保护了数据库服务器,并感谢研究人员的帮助。
 
“安全研究员通知我们,服务器配置错误可能会暴露订单详细信息,客户和运输信息。没有暴露其他敏感数据,例如信用卡号或密码。服务器配置错误已于9月9日修复,失误被公开。
 
我们非常感谢您,对于此问题已深表歉意,并已采取所有必要步骤解决此问题,并对我们的IT安全性和系统进行了全面审查。我们将继续致力于确保所有客户的数字安全性。”
 
受影响的Razer客户应该怎么做?
 
如果威胁行为者访问了此数据,他们可以在针对性的网络钓鱼活动中使用该信息来收集更敏感的信息,例如密码和信用卡详细信息。
 
虽然尚不确定是否有威胁行动者在获得安全保护之前就访问了已暴露的数据,但对于受影响的人来说,尽最大努力应对潜在的鱼叉式钓鱼活动至关重要。
 
如果您曾经从Razer的在线商店购买过任何东西,请注意任何来自游戏公司的电子邮件。
 
此外,如果您收到声称来自Razer的电子邮件,请确保仅登录razer.com,而不登录其他站点。

9月 16,2020 by admin