一周安全頭條 (20191117-1123) ?
作者:星期六, 十一月 23, 20190

行業動態 政策法規 威脅信息發布管理 意見征求據網信中國官微消息,為規范發布網絡安全威脅信息的行為,有效應對網絡安全威脅和風險,保障網絡運行安全,依據《中華人民共和國網絡安全法》等相關法律法規,國家互聯網信息辦公室會同公安部等有關部門起草了《網絡安全威脅信息發布管理辦法(征求意見稿)》,現向社會公開征求意見。有關單位和各界人士可以在2019年12月19日前,通過電子郵件或信函的方式提出意見

行業動態 公安三所 網絡安全企業聯盟近日,由公安部網絡安全保衛局指導,國家網絡與信息系統安全產品質量監督檢驗中心(公安部第三研究所)主辦的2019網絡安全標準論壇在北京成功舉辦,論壇以 “等保2.0背景下,網絡安全產品如何更好的支撐等保建設” 為主題,邀請了500余位行業主管部門領導、行業信息化建設負責人、權威專家和學者以及知名安全產品廠商代表,就等保 2.0 法規實施后的網絡安全合規管理、產業發展以及技術趨勢等議題展開深入研討。論壇期間,在公安部十一局統一部署下,由公安部第三研究所牽頭,與行業內專業機構共同發起成立的網絡安全企業聯盟也宣布正式啟動籌建。據悉,該聯盟目前已得到46家安全企業及行業專業機構的積極響應參與,所有籌建工作將于明年上半年完成。

行業動態 5G 世界5G大會于11月21日正式開幕,會上,中國廣電董事長趙景春公布了中國廣電5G網絡商用時間表,并表示,中國廣電在5G上的目標是:實現廣播電視由戶戶通到人人通;打造5G媒體和通信融合的創新范例;支撐中國5G領先。2020年廣電5G將正式商用,同時開展個人用戶業務和垂直行業應用;2021年要把廣電5G網絡打造成廣聯接、服務好的新型網絡。

行業動態 印度 通信監聽 隱私保護 印度政府稱,為了國家安全或維護與外國的友好關系,它有權在該國攔截、監視或解密公民設備上“生成、傳輸、接收或儲存”的任何數字通信。印度內政大臣Reddy更是援引2000年的Information Technology Act第69條和1885年Telegraph Act第5條(當時印度還在英國統治下),稱本地法律授權聯邦和州政府為捍衛印度主權完整性、國家安全、與外國友好關系或公共秩序或防止煽動而“攔截、監視或解密,或導致攔截、監視或解密任何計算機資源中產生、傳輸、接收或儲存的任何信息”。通告發布后,引起印度居民的強烈不滿,并有民眾表示,這將是是政府對個人隱私的進一步侵犯。

融資并購 密碼管理 1Password密碼管理解決方案廠商1Password近日宣布獲得A輪融資2億美元,這是他們自2005年成立以來第一次接受外部投資。1Password幫助其用戶創建獨特的強密碼,并且能夠安全地自動填寫網站和應用的登錄框,公司全球范圍有數百萬的用戶,其中包括大型企業IBM、Slack、Dropbox等5萬名大型商業客戶。

融資并購 威脅分析 CyberCube Analytics舊金山創業公司CyberCube Analytics周二宣布獲得B輪融資3,500萬美元。CyberCube在2005年成立于賽門鐵克內部,之后在2018年獨立。他們的SaaS平臺能夠幫助保險公司基于大量的模型分析其他公司面臨的安全威脅。CyberCube董事會主席Don Dixon認為,盡管網絡保險行業是一個逐漸發展的領域,但是他們依然無法準確根據公司面臨的危險程度進行保險定價。

融資并購 安全自動化 威脅檢測 ZecOps舊金山威脅檢測與安全自動化公司ZecOps本周宣布獲得種子輪融資1,020萬美元。ZecOps成立于2017年,迄今為止并未對外透露太多關于他們產品的細節,但是他們表示自己的解決方案不需要用到agent,并且能短時間大規模部署,通過“從攻擊者的錯誤中學習”,從而提升攻擊者消耗的資源和成本。

融資并購 郵件安全 Abnormal Security郵件安全公司Abnormal Security周二宣布獲得融資2,400萬美元,并發布了自己的云郵件安全平臺。該平臺通過使用不同來源的數據構造異常行為模型、異常關系圖譜以及異常內容分析,從而發現異常行為,抵御BEC、郵箱破解以及內部郵件攻擊等事件。

報告調研 刷臉支付 中國艾媒咨詢近日發布《2019年中國刷臉支付技術應用社會價值專題研究報告》。報告顯示,在移動支付市場規模逐漸擴大以及人臉識別技術發展漸趨成熟的背景下,2019年成為刷臉支付的“元年”,刷臉支付用戶有望增至1.18億人,并保持高速增長,到了2022年將突破7.6億人,屆時將取代掃碼支付成為主要支付方式。

漏洞補丁 WhatsApp 緩沖區溢出上周,Facebook稱發現了編號為CVE-2019-11931的WhatsApp的緩沖區溢出流漏洞。該漏洞允許攻擊者向用戶發送惡意的.MP4視頻文件。據悉,該漏洞可能通過目標設備上已安裝的惡意應用程序,或通過發送惡意.GIF文件觸發。如果被攻擊者利用,可能把用戶在私聊和群對話中發送的消息攔截,甚至導致DoS攻擊或RCE攻擊。據悉,WhatsApp Android(包括2.19.100及更低版本)和iOS(包括2.19.274及更低版本)均會受到影響,同時部分企業客戶端版本和Windows Phone版本也受到影響。專家建議WhatsApp用戶更新軟件到最新版本,以保護設備免受攻擊。

報告調研 Kryptowire  安卓 預裝APP近日,美國國土安全部發布一項研究報告中表示,Kryptowire(由國防高級研究計劃局(DARPA)和國土安全部(DHS S&T)啟動)在Android智能機上發現了由預裝應用造成的嚴重安全風險。這些App存在潛在的惡意活動,可能秘密錄制音頻、未經用戶許可就變更設置、甚至授予自身新的權限——這顯然與Android設備制造商和運營商的固件脫不了干系。在新工具的幫助下,Kryptowire得以在不需要接觸手機本體的情況下,掃描固件中存在的漏洞。最終在29家制造商的Android設備上,查找到了146個安全隱患。

安全研究 CheckPoint 數據泄露 高通近日,網絡安全公司CheckPoint發布了一份報告。報告指出,高通芯片存在漏洞,可能會讓攻擊者竊取存儲在安全區域的敏感數據,而這些安全區域本應該是智能設備中最安全的部分。據悉,數億臺智能設備將會遭受一系列潛在威脅,尤其是使用高通芯片組的Android智能手機和平板電腦等。

惡意攻擊 梅西百貨 網站安全2019年10月15日,梅西百貨官方宣稱自己的在線網站在10月15日遭到了黑客攻擊。據悉,黑客的惡意代碼已添加到macys.com上的結帳頁面和“我的帳戶”錢包頁面。惡意代碼旨在捕獲客戶在Macy網站的桌面版本上輸入的信息,并將其發送回由黑客控制的服務器。專家表示,如果攻擊者是在客戶在結帳時竊取信息的話,則攻擊者可能已獲得諸如全名,地址,城市,州,郵政編碼,電話號碼,電子郵件地址,支付卡號,卡安全碼和卡到期日期之類的信息。

數據泄露 GateHub EpicBot 賬戶數據近日,Have I Been Pwned維護者Troy Hunt爆料,加密錢包服務GateHub和游戲網站EpicBot的220萬用戶密碼數據暴露在公網上。Troy Hunt稱,此次GateHub被公開的數據庫包含高達140萬個賬號,數據庫大小達3.72GB;EpicBot數據庫則有80萬賬號,包含用戶名和IP地址。據悉,Gatehub此前曾承認網站遭到入侵,數據庫被非法訪問,表示受影響的賬號為18,473個。但最新公開的數據庫顯示入侵規模比之前認為的要大得多,賬號數量多達140萬而不是1.8萬。

數據泄露 PayMyTab 個人信息研究人員透露,由于一個開放的AWS數據庫,PayMyTab客戶的個人信息泄露,一些敏感的個人身份信息(PII)和部分財務細節也在網上公開,包括客戶名稱、電子郵件、地址、電話號碼、訂單詳細信息,甚至餐廳訪問信息以及客戶支付卡號的后四位。該團隊被告知存在一個不安全的Amazon Web Services(AWS)S3桶,其中PayMyTab“未能遵循Amazon的安全協議”,需要身份驗證才能訪問。

相關閱讀

 

一周安全頭條 (20191110-1116)

 


相關文章

寫一條評論

 

 

0條評論