10月第4周業務風控關注|多部門聯合調查教育類App:重點排查遊戲、打賞等內容
易盾業務風控週報每週呈報值得關注的安全技術和事件,包括但不限於內容安全、移動安全、業務安全和網路安全,幫助企業提高警惕,規避這些似小實大、影響業務健康發展的安全風險。
1、多部門聯合調查教育類App:重點排查遊戲、打賞等內容
近期,深圳、北京、重慶多位家長向記者反映,在老師推薦的第三方學習類App“一起小學學生”存在利用網路社交、虛擬貨幣,誘導學生之間進行遊戲分值、電子寵物的比較和排名,不僅增加了學生的課外負擔,還促使學生沉迷網路的現象。而一款名為“互動作業”的App還向未成年人提供大量涉及性暗示、性誘惑的遊戲涉出現通道。日前全國掃黃辦、教育部門等多部門已經展開調查。
2、外掛盜號、群控養號,52人團伙微信黑產日流水千萬元
今年3月,國內首個集微信惡意註冊、群控外掛、賭博網路平臺於一身的黑產團伙被查獲。這個公司全員只有 52 個人,日流水卻有近千萬元,相當於六十多家一線城市海底撈門店的日流水總和。
作為黑產上游,這個團伙的產號養號業務沒有落下。這些賬號在後續以莊家、發包手、記賬員、託等角色,出現在各個賭博群裡。與此同時,他們通過篡改微信官方客戶端,增加遠端呼叫介面,開發出能自動拉人、自動識別下注和結果、自動計算賭資的賭博套件。這些就是群控外掛。
3、國泰航空資料洩露,940萬乘客受影響
國泰航空公司於前天深夜釋出“資訊保安事件”通告,表示一個包含多達940萬乘客資料的系統遭到網路攻擊。根據國泰航空的說法,他們於今年3月在系統中發現可疑活動後立即與網路安全公司合作進行調查,確定攻擊者如何獲得系統訪問許可權以及如何修復漏洞。調查進行至5月,國泰航空發現攻擊者能夠訪問包含多達940萬條乘客個人資料的系統。
4、史上最大安全漏洞案和解,雅虎向2億使用者賠償3.5億元
據NBC News報道,雅虎已經同意向2億使用者支付5000萬美元(約合3.47億元人民幣)賠償金,併為他們提供為期兩年的免費信用監控服務。2016 年曝出的雅虎資訊洩露案件成為有史以來最大的安全漏洞案,導致約 30 億雅虎賬戶遭到黑客攻擊,洩露了受害使用者的電子郵件地址和其他個人資訊。根據初步和解協議,雅虎將以每小時25美元的標準對雅虎賬戶持有人進行補償,以彌補他們在處理因安全漏洞引發問題的時間損失。那些有記錄在案的損失可以要求最多獲得15小時賠償,或者375美元。而無法記錄損失的人可以提出索賠,要求最多獲得5個小時(約125美元)的賠償。
5、部分安卓應用發現廣告騙局,竊取金額達數億美元
美國的新聞網站 Buzzfeed News 釋出的深入調查報告顯示,超過125個安卓(Android)應用程式和網站被捲入一個大規模的欺詐行為,該行為導致數億美元的廣告收入被盜。報告顯示,欺詐者通過一家名為“我們購買應用程式”的前端公司從開發者處購買合法的,已上傳的應用程式。這些應用程式會將其所有權轉移給將繼續管理該應用程式的空殼公司,同時還會分析使用者的行為和與該應用的互動行為。然後,該資料將被程式設計成為一個網路機器人,從而連結到有購買行為的應用程式上,接著用真實的資料欺騙使用者,而使用者此時並未意識到。這就可以從應用內(包括谷歌自身運營的那些)支付廣告費用的公司那裡獲得了數億美元的廣告收入。
6、國家網際網路應急中心或將成立區塊鏈安全技術檢測中心
據紅網訊息,該站記者從長沙市星沙區塊鏈產業園獲悉,10月24日,國家網際網路應急中心將與長沙經開區簽約成立全國首個區塊鏈安全技術檢測中心,打造區塊鏈程式碼審計、區塊鏈金融風控平臺。
7、8個成人網站暴露大量使用者隱私,快檢查下你的收藏夾
有多達8個成人網站的暴露了98MB檔案,其中包含使用者IP、加密密碼、名稱以及120萬個郵件地址,鑑於成人網站的特殊性,還不能確定有多少是真實使用者。這8個網站網址分別如下:
wifelov***.com asianse***.com bbwse***.com indianse***.com nudeafr***.com nudela***.com nude***.com wifepos***com
值得注意的是,這8個網站的歸屬者都是同一個人 Robert Angelini,這些網站安全性都比較差,甚至還在採用四十年前的加密方案來保護使用者密碼。同時,在網站的留言板上,有不少使用者分享圖片等私密資訊,甚至還聲稱是自己的配偶,至於是否屬實以及是否經過本人同意均無法斷定,這本身對使用者隱私是比較大的傷害。
註冊系統名為聯邦便民交易所(Federally Facilitated Exchanges),由醫療保險和醫療補助服務中心(CMS)聯合管理,醫療保險代理人員可通過該系統將使用者在http://HealthCare.gov的資料匯入Obamacare計劃中。
CMS表示從上週起(10月13日)在系統中發現了一些異常活動,並對其展開了調查,隨後確認了黑客行為,約75000人資訊被盜。當前該系統已被停用。目前CMS已通知聯邦調查局以及所有受影響的使用者,以爭取儘快解決問題。
9、兩部門約談騰訊 要求清理傳播色情等內容微信公眾號
10月26日,全國“掃黃打非”辦公室和國家新聞出版署就微信公眾號傳播淫穢色情和低俗網路小說問題約談了騰訊公司,責令其立即下架違背社會主義核心價值觀,低俗、庸俗、媚俗網路小說,堅決清理傳播淫穢色情等有害內容的微信公眾號,切實履行企業主體責任。
活動預告
活動主題:安卓巴士開發者沙龍(成都站)
議題:《如何提升Android程式碼的安全性》
分享專家:網易雲易盾移動安全專家 尹彬彬
議題簡介:針對Android開發者,分享在app開發週期的各個階段中常見的安全隱患,給出提升Android程式碼安全性的建議,保護APP的安全。
時間:11月3日,14:00-17:30
地點:四川成都高新區成都市菁蓉國際廣場4號樓B座10樓 優貝空間