网络安全与隐私保护 9月大事记

I. New regulatory requirements / standards / reports

关于国家标准《信息安全技术网络数据处理安全规范》征求意见稿征求意见的通知

2020-8-28

各相关单位和专家：

    经标准编制单位的辛勤努力，现已形成国家标准《信息安全技术网络数据处理安全规范》征求意见稿。为确保标准质量，信安标委秘书处面向社会广泛征求意见。

    恳切希望您对该标准提出宝贵意见。并将意见于2020年10月27日前反馈给信安标委秘书处。

    联系人：王姣   13661025214   [email protected]

全国信息安全标准化技术委员会秘书处

                                          2020年08月28日

【信息来源】复制链接并浏览器打开进入官方网站查阅：https://www.tc260.org.cn/front/bzzqyjDetail.html？id=20200831081043&norm_id=20200112070028&recode_id=39664

市场监管总局关于《商业秘密保护规定（征求意见稿）》公开征求意见的通知

2020-09-04

为了制止侵犯商业秘密的行为，加强商业秘密保护，保护商业秘密权利人和相关主体的合法权益，激励研发与创新，维护公平竞争、优化营商环境，市场监管总局起草了《商业秘密保护规定（征求意见稿）》，现向社会公开征求意见。欢迎有关单位和个人提出修改意见，并于2020年10月18日前反馈市场监管总局。公众可以通过以下途径和方式提出意见：

一、登录中华人民共和国司法部 中国政府法制信息网（http://www.moj.gov.cn、http://www.chinalaw.gov.cn），进入首页主菜单的“立法意见征集”栏目提出意见。

二、登录国家市场监督管理总局网站（网址：http://www.samr.gov.cn），通过首页“互动”栏目中的“征集调查”提出意见。

市场监管总局

2020年9月4日

【信息来源】复制链接并浏览器打开进入官方网站查阅：http://www.moj.gov.cn/government_public/content/2020-09/04/657_3255348.html

关于《商用密码管理条例（修订草案征求意见稿）》公开征求意见的通知

2020-08-20

为了贯彻落实《中华人民共和国密码法》，国家密码管理局起草了《商用密码管理条例(修订草案征求意见稿)》，现向社会公开征求意见。公众可以在2020年9月19日前，通过以下途径和方式提出意见：

1.通过信函方式将意见寄至：北京市丰台区靛厂路7号国家密码管理局监督检查处(邮政编码:100036)，请在信封上注明“商用密码管理条例意见”。

2.通过电子邮件方式将意见发送至：[email protected]。

附件：1.商用密码管理条例（修订草案征求意见稿）

      2.关于商用密码管理条例（修订草案征求意见稿）的说明

国家密码管理局

2020年8月20日

【信息来源】http://www.oscca.gov.cn/sca/hdjl/2020-08/20/content_1060779.shtml

公安部【2020】1960号文关于《贯彻等保和关保保护制度指导意见》

2020-09-09

网络安全等级保护制度和关键信息基础设施安全保护制度是党中央有关文件和《网络安全法》确定的基本制度。近年来，各单位、各部门按照中央网络安全政策要求和《网络安全法》等法律法规规定，全面加强网络安全工作，有力保障了国家关键信息基础设施、重要网络和数据安全。但随着信息技术飞速发展，网络安全工作仍面临一些新形势、新任务和新挑战。为深入贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度，健全完善国家网络安全综合防控体系，有效防范网络安全威胁，有力处置网络安全事件，严厉打击危害网络安全的违法犯罪活动，切实保障国家网络安全，特制定以下指导意见。

【信息来源】https://www.ics-cert.org.cn/portal/page/132/d522721b910b4c3a95d7704dd38950b0.html

《全球数据安全倡议》

2020-09-08

  2020年9月8日上午，国务委员兼外长王毅在“抓住数字机遇，共谋合作发展”国际研讨会高级别会议上发表题为《坚守多边主义 倡导公平正义 携手合作共赢》的主旨讲话，提出《全球数据安全倡议》。

  王毅表示，当前正处在新一轮科技革命和产业变革蓄势待发的历史时刻。各国面临促进数字和实体经济融合发展、加速新旧发展动能转换、打造新产业和新业态的共同任务。全球数据正在成为各国经济发展和产业革新的动力源泉。与此同时，数据安全风险对全球数字治理构成新的挑战。各国亟需加强沟通、建立互信，密切协调，深化合作，共商应对数据安全风险之策，共谋全球数字治理之道。

  王毅表示，有效应对数据安全风险挑战，应遵循三原则：

  王毅强调，中国数字经济蓬勃发展，网民数量超过9亿。中国法律对于保障公民和组织的合法权益，包括数据安全和个人信息等，都做出了明确规定。中国政府严格践行数据安全保护有关原则，没有也不会要求中方企业违反别国法律向中国政府提供境外数据。

  王毅表示，为应对新问题新挑战，共同构建和平、安全、开放、合作、有序的网络空间，中国愿发起《全球数据安全倡议》，欢迎各方积极支持。倡议主要内容包括

【信息来源】https://baijiahao.baidu.com/s?id=1677229108115488379&wfr=spider&for=pc

II. Technical updates

思科路由器曝出两个严重零日漏洞，已被野外利用

 2020-09-02

思科在上周末警告说，其运营商级路由器上运行的Cisco IOS XR软件中存在两个严重的内存耗尽拒绝服务（DoS）漏洞，攻击者正在试图利用中。

关于漏洞

思科的 IOS XR网络操作系统已部署在多个路由器平台上，包括NCS 540和560，NCS 5500、8000和ASR 9000系列路由器。

两个零日漏洞—— CVE-2020-3566和CVE-2020-3569 ，影响Cisco IOS XR软件的距离矢量多播路由协议（DVMRP）功能，允许远程未经身份验证的攻击者耗尽目标设备的内存。该功能运行在面向服务提供商、数据中心以及企业关键基础架构的Cisco企业级路由器上。

未经授权的远程攻击者可以可以通过漏洞通过将精心制作的IGMP（Internet组管理协议）流量发送到受影响的设备来利用它们。

成功的利用可导致设备内存耗尽，从而导致其他进程的不稳定。这些进程可能包括但不限于内部和外部路由协议，”思科解释。

要确定设备上是否启用了多播路由，管理员可以运行  show igmp interface命令。对于未启用多播路由的IOS XR路由器，输出将为空则设备不受CVE-2020-3566的影响。

思科尚未发布软件更新来解决这一被积极利用的安全漏洞，但该公司在周末发布的安全公告中提供了缓解措施。

缓解措施

  思科表示，管理员可以采取措施部分或完全消除可利用的攻击向量，以缓解对设备CVE-2020-3566漏洞的攻击：

·管理员可以实施速率限制以降低IGMP流量并延缓CVE-2020-3566的利用时间，同时也为恢复争取时间。

·可以在现有ACL访问控制列表上部署一个新的ACL或者ACE来拒绝流向启用多播路由的接口的DVRMP入站流量。

·进入IGMP路由器配置模式，在不需要处理IGMP流量的接口上禁用IGMP路由。这可以通过输入router igmp命令，使用interface选择接口以及使用router disable禁用IGMP路由来完成。

上个月，思科修复了另一个严重性为严重并被积极利用的只读路径穿越漏洞，漏洞跟踪代码为CVE-2020-3452，该漏洞影响了思科自适应安全设备（ASA）软件和思科Firepower威胁防御（FTD）软件的Web服务接口。

  一周前，该公司发布了另一组安全更新，以解决预身份验证关键远程代码执行（RCE），身份验证绕过以及影响多个防火墙和路由器设备的静态默认凭据漏洞，这些漏洞可能导致整个设备被接管。

【信息来源】https://www.ics-cert.org.cn/portal/page/111/b762dab67976481d8cb3435e78356b4e.html

一个无法检测到的Linux恶意软件——Doki

2020-08-25

Intezer研究人员发现一款利用无文件技术来绕过检测的Linux恶意软件——Doki。自2020年1月14日上传到VirusTotal后，先后有60个恶意软件检测引擎对其就进行了检测分析。Doki成功绕过了这些引擎的检测，其攻击的目标主要是公有云平台上的Docker服务器，包括AWS、Azure和阿里云。Docker是Linux和Windows平台的一种PaaS 解决方案，开发者利用它可以在隔离的容器环境中创建、测试和运行应用。

样本地址：

https://www.virustotal.com/gui/file/4aadb47706f0fe1734ee514e79c93eed65e1a0a9f61b63f3e7b6367bd9a3e63b/detection

Intezer研究人员发现Ngrok挖矿僵尸网络正在扫描互联网上错误配置的Docker API端点，并用新的恶意软件来感染有漏洞的服务器。Ngrok僵尸网络已经活跃了2年的时间，本次攻击活动主要针对错误配置的Docker服务器，并在受害者基础设施上搭建进行加密货币挖矿的恶意容器。

Doki是一款多线程的恶意软件，使用了Dogecoin区块链以一种动态的方式在生成C2域名地址实现了与运营者通信的无文件方法。Doki恶意软件的功能包括：

•执行从运营者处接收的命令；

•使用Dogecoin 区块链浏览器来实时、动态地生成其C2域名；

•使用embedTLS库用于加密和网络通信；

•构造短期有效的URL，并使用这些URL来下载payload。

恶意软件使用了DynDNS服务和基于Dogecoin区块链的域名生成方法来找出实时的C2域名。此外，攻击活动背后的攻击者通过将服务器的root目录与新创建的容器绑定成功入侵了host机器，可以访问和修改系统中的任意文件。通过使用bind配置，攻击者可以控制主机的cron工具。修改主机的cron后就可以每分钟执行一次下载的payload。

由于攻击者可以利用容器逃逸技术完全控制受害者的基础设施，因为攻击非常危险。一旦安装成功，Doki既可以利用被入侵的系统来扫描与Redis、Docker、 SSH、 HTTP相关的端口。

第一个Doki样本是2020年1月14日上传到VirusTotal的，截止目前，61个顶级的恶意软件检测引擎都无法成功检测出Doki。也就是说，过去6个月，用户和研究人员对Doki的恶意活动是完全无感知的。

Docker是最主流的容器软件，这也是一个月内Docker第二次成为攻击的目标。上个月，研究人员就发现攻击者利用暴露的Docker API终端和伪造的图像来发起DDoS攻击和进行加密货币挖矿。

研究人员建议运行Docker实例的用户和企业不要暴露Docker API到互联网，如果必须要暴露的话，建议使用可信网络或VPN，并设置只允许可信用户控制Docker daemon。如果是通过API来管理Docker，建议进行参数检查来确保恶意用户无法传递恶意参数导致Docker创建任意容器。

【信息来源】https://www.ics-cert.org.cn/portal/page/111/b762dab67976481d8cb3435e78356b4e.html

TeamViewer高危漏洞可泄露用户密码

2020-08-27

近日，安全人士在TeamViewer 15.8.3之前的Windows桌面版本中发现了高危漏洞（CVE-2020-13699）。通过利用此漏洞，攻击者可以在受害者的系统上远程执行代码或破解其TeamViewer密码。

TeamViewer是一种非常流行的远程办公应用程序，允许用户远程控制一系列智能设备，以执行文件传输、桌面共享和网络会议等功能。新冠疫情全球大流行以来，TeamViewer的用户数量激增。

据悉，存在漏洞CVE-2020-13699的Windows版TeamViewer未正确引用其自定义URI处理程序，使得攻击者可以迫使受害者发送NTLM身份验证请求，并中继该请求或捕获哈希以进行离线密码破解。

攻击者还可以引导受害者访问其开发的恶意网站，以窃取凭据或个人数据。

该漏洞的发现者，Praetorian的安全工程师Jeffrey Hofmann解释说：“攻击者可以将恶意iframe嵌入具有特制URL的网站中，该URL会启动TeamViewer Windows桌面客户端，并迫使其打开远程SMB共享。”

根据Hofmann的说法，大多数Web浏览器都已设置为可以防止此类攻击的发生。

他说：“除Firefox URL外，每个现代浏览器在移交给URI处理程序时都会对空格进行编码，从而有效地防止了这种攻击。”

15.8.3之前的TeamViewer版本容易受到此漏洞的影响，该漏洞已在最新版本中修复。

AbsoluteSoftware副总裁Andy Harcup表示：“某些软件和应用程序中的安全漏洞将始终被投机的网络攻击者发现和利用，而这一最新发现可能会影响数百万Windows用户。”

Harcup建议企业用户及时更新安全更新，以保护其操作系统。

“为确保用户免受当前面临的网络攻击的侵扰，IT运营团队必须确保其系统保持最新状态，同时培训其员工保持高度的在线警惕性和对互联网安全协议的安全意识。”

【信息来源】https://www.aqniu.com/news-views/69677.html

Visa发现一款新型信用卡窃取器，能够规避检测并窃取用户卡内数据

2020-09-08

E安全9月8日讯 近日，Visa发布了一项关于新的信用卡JavaScript窃取器的警告，它被称为Baka，这种电子窃取器会在窃取银行卡信息后自动从内存中删除，实现了规避检测的新功能。

2020年2月，Visa支付欺诈破坏(PFD)项目的专家在分析另一场活动中使用的指挥和控制(C2)服务器时首次发现了这个电子窃取器，该服务器还托管了一个ImageID电子拦截工具包。

据了解，Baka是由一个熟练的恶意软件开发者开发的电子窃取器，它实现了独特的混淆方法和加载程序。

“该套件最引人注目的组件是独特的加载程序和混淆方法。窃取器动态加载以避免静态恶意软件扫描，并为每个受害者使用唯一的加密参数来混淆恶意代码。”VISA发布的警告中写道。“PFD评估，当它检测到数据已经成功泄露时，便会从内存中删除自身信息，避免被检测和发现。”

PFD专家在全球多个使用Visa eTD功能的商家网站上发现了Baka窃取器。

Baka窃取器的工作原理是动态地向远程JavaScript文件加载当前页面，添加脚本标记。

JavaScript网址以加密格式硬编码在加载器脚本中，专家观察到，攻击者可以更改每个受害者的网址。

窃取器有效负载解密为JavaScript编写，类似于用于动态呈现页面的代码。有效负载和加载器使用相同的加密方法，一旦执行，窃取器就会从付款表单窃取支付卡数据。

据了解，Baka还是第一个使用XOR密码对硬编码进行加密的JavaScript窃取恶意软件。

【信息来源】https://www.secrss.com/articles/25375

为提高用户隐私，谷歌Chrome浏览器推出安全DNS

2020-09-04

E安全9月4日讯 谷歌浏览器是最常用的浏览器之一，近日，谷歌表示，Android系统中的Chrome浏览器将很快支持dns-over-https (DoH)，该协议可加密和保护DNS查询以提高用户隐私。

其实，自Chrome 83发布以来，桌面版本的Chrome浏览器就已经提供了DoH支持。但是，该功能从未添加到Android和iOS版本中。

在今天的一篇简短的博客文章中，谷歌表示他们现在已经决定为Android用户启用DoH功能，在未来几周内将逐步在Chrome移动浏览器中启用DoH功能。

所有使用Chrome 85版本的用户，都将在浏览器的设置中看到一个名为“安全DNS”的新选项。

所有用户都将默认启用安全DNS选项，一旦打开，Chrome将尝试以加密的形式(通过DoH)进行DNS查询，并使用传统的纯文本DNS作为应急计划。

谷歌表示，该功能与Chrome的桌面版本具有相同的功能，这意味着用户不必修改Android的整体DNS设置。

取而代之的是，Chrome将使用内部具有DoH功能的DNS服务器的列表，并且如果用户已将其配置为操作系统范围的DNS设置，则Chrome将使用该服务器的DoH接口而不是默认的DoH接口，并用加密的明文DNS查询替换DoH即时查询。

此外，如果用户不想将其Android设备的系统范围内的DNS服务器更改为支持DoH的DNS服务器，则Google还可让用户仅为其浏览器自定义Chrome的DoH服务器。

Chrome用户可以使用上面的屏幕快照中的第二个选项“ Choose another provider”，并添加他们要使用的DNS服务器的IP地址。由于此选项是在Chrome的设置中配置的，因此仅适用于Android版Chrome，不适用于整个Android操作系统。

此外，谷歌还表示，如果发现智能手机是托管环境的一部分，比如在企业网络中，针对Android的Chrome也会自动禁用DoH。在这类网络中，出于安全考虑，IT人员通常会部署企业范围的策略来控制公司的智能手机，而DoH有时可能会让用户受到攻击，因此谷歌不会在如此严格控制的环境中强制设置该设置。

另外，Google没有透露DoH何时进入iOS版Chrome。但是，这很可能还有很长的路要走，因为Apple最近才在iOS和macOS中增加了对DoH协议的支持。

【信息来源】https://www.secrss.com/articles/25279

III.Negative news / scandals

工信部通报101款侵害用户权益行为APP

2020-09-01

关于侵害用户权益行为的APP通报（2020年第四批）

依据《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，我部近期组织第三方检测机构对手机应用软件进行检查，督促存在问题的企业进行整改。截至目前，尚有101款APP未完成整改（详见附件）。上述APP应在9月7日前完成整改落实工作，逾期不整改的，我部将依法依规组织开展相关处置工作。

此次检测中，应用宝、豌豆荚、小米应用商店等部分移动应用分发平台管理主体责任缺位，对上架APP审核把关不严，检测发现问题较多，未严格落实我部《移动智能终端应用软件预置和分发管理暂行规定》（工信部信管〔2016〕407号）要求，后续我部将对问题突出、有令不行、整改不彻底的企业依法严厉处置。

工业和信息化部信息通信管理局

2020年8月31日

【信息来源】复制链接并浏览器打开可查询《存在问题的应用软件名单（2020年第四批）》https://baijiahao.baidu.com/s?id=1676635498919741410&wfr=spider&for=pc

北京将开展App数据安全巡查检测专项行动 共检测197款 

2020-09-03

北京市通信管理局在官网发布《关于开展2020年北京市APP数据安全巡查检测专项行动的通知》，检测对象为辖区内197款下载量较大的App。如果有App在最终的复测处置环节仍存在问题，将面临处罚。

据了解，本次专项行动主要是依据《App违法违规收集使用个人信息行为认定方法》，对标对表，针对本辖区内获得经营许可、且在国内主流移动应用商店下载量大的197款App应用程序开展巡查检测工作。

南都记者梳理App名单发现，涉及的App类型较为广泛，包括购物、社交、视频、地图、生活、浏览器等多个行业，搜狗输入法、京东、快手、爱奇艺、百度、新浪微博等大家耳熟能详的App均在名单内。

通知介绍，专项行动包括三个环节，其中企业自测环节由App运营者主动登录电信和互联网行业网络数据安全公共服务平台开展自测并整改；在管局抽测环节，北京市通信管理局将随机抽取应检App中的20%-30%，委托第三方专业机构基于重点检测指标进行数据安全技术检测。针对抽测中发现的问题，相关App运营者应立即整改并在规定时间内提交整改报告。

值得注意的是，前两个环节将于今年12月底前完成，在此期间，企业可以进行整改。但在最后的复测处置环节中，如果北京市通信管理局仍然发现问题，将依法进行处罚。

【信息来源】https://www.sohu.com/a/416299257_161795

承德市7-8月份依法查处13个违法违规网站，约谈多个自媒体

2020-09-09

  2020年7-8月份，承德市网信办认真贯彻落实《网络信息内容生态治理规定》，扎实推进“清朗·燕赵净网2020”网络生态治理专项行动，深入开展未成年人暑期网络环境专项整治、遏阻“祖安文化”网上传播专项整治等行动，依法约谈违法违规网站13家，指导属地19家域名过期网站注销ICP备案，责令整改承德大城小事、今日乐生活等微信公众号4个，依法清理淫秽、色情、暴恐、谣言等违法信息2312条，处置“标题党”“软色情”等不良贴文37篇，依法解散QQ群组1个，及时发布属地辟谣信息7条，有效净化了网络生态环境。

承德市网信办指导平泉市、丰宁满族自治县、围场满族蒙古族自治县、双滦区等属地网信办对“承德汽车运动协会”、“展示自我”、“爱马仕度假村”、“隆亨园林绿化工程有限公司”等违法违规网站开展约谈，依法告知其存在的违法违规问题，责令其停止违法行为，消除违规信息，并视情节给予批评教育、消除影响、关闭网站、注销备案等处理。

典型案例之一：网站域名到期未注销导致出现违规信息

  8月12日，承德市网信办指导平泉市网信办依法对“展示自我”网站负责人冯某展开约谈，经查，该网站系冯某注册，后因域名到期未及时注销ICP备案信息，导致网站内容被非法篡改，添加了大量淫秽色情、庸俗媚俗信息内容，其行为已涉嫌违反《中华人民共和国网络安全法》《互联网信息服务管理办法》和《网络信息内容生态治理规定》等相关法律法规。

通过约谈，该网站负责人冯某认识到自己存在的问题，表示今后一定吸取教训，立即着手整改，在规定期限内完成整改，主动签署承诺书，确保今后依法依规严格落实网络安全管理责任，切实履行网络安全保护义务。

典型案例之二：承德市网信办依法解散属地一“祖安文化”QQ群组

  近日，承德市网信办接群众举报，称属地一QQ群组“天下赦”中有多名用户肆意发布短视频互飙脏话、谩骂挑衅，并且存在传播淫秽色情短视频等违法违规问题，严重破坏网络传播秩序，影响网络生态。

经查，该群组共有47名用户，群内确有大量违法违规信息内容，该群组负责人涉嫌违反《网络信息内容生态治理规定》第十九条、《互联网群组信息服务管理规定》第九条之规定，承德市网信办随即通过向平台举报的方式依法关闭该群组。目前，该QQ群组已被停用。

【信息来源】https://www.thepaper.cn/newsDetail_forward_9098761

新浪一官方微博被约谈

2020-08-03

昨天（9月7日），浙江省网信办发布消息称，日前，该办就新浪浙江官方微博出现内容偏差一事，专门约谈了新浪浙江负责人。网信部门相关负责人强调，在转载互联网新闻信息可转载稿源单位稿件过程中，要重视内容把关；新浪浙江要加强对热点榜单的规范管理，制定话题设置和内容管理相关制度。

微博已经成为人们生活中重要的信息获取平台。因信息违规问题，新浪微博热搜曾被暂停一周，受到广泛关注。微博也是重要的社交平台，不少未成年人通过该平台为明星造势，引发关注。为此，微博已在整治诱导未成年人无底线追星等方面进行治理。

官方微博出现内容偏差浙江省网信办约谈新浪浙江负责人

9月7日，浙江省网信办发布消息称，日前，根据国家网信办“三项整治”行动和浙江省网络生态治理“两专一规”行动工作要求，浙江省网信办就新浪浙江官方微博出现内容偏差一事，专门约谈了新浪浙江负责人，要求严格履行主体责任，认真开展自查自纠，切实进行整改。

浙江省网信办相关负责人强调，在转载互联网新闻信息可转载稿源单位稿件过程中，也要重视内容把关，严格落实“三审”制度，确保来源权威、导向正确、讲求社会效益和道德价值，切忌简单地“一转了之”。

同时，当前各类网络平台热点话题和热搜榜单受到越来越多媒体和网民的关注，新浪浙江要加强对热点榜单的规范管理，制定话题设置和内容管理相关制度，加强对从业人员培训教育，积极弘扬主旋律，传播正能量，防止出现内容导向偏差，杜绝恶意炒作现象。

新浪浙江负责人表示，已按规定对相关责任人进行严肃处理，下一步将严格按照浙江省网信办要求对发现的问题切实整改到位，进一步加强内容管理制度建设，维护好网络传播秩序。

“新浪浙江”是新浪网在浙江省的地方门户，内容覆盖浙江突发新闻事件、便民实用信息等，于2011年9月7日正式上线。针对被网信部门约谈一事，目前，“新浪浙江”官方微博尚未有回应。

微博热搜曾被暂停更新一周已上线“热搜定制化榜单”

新浪微博已经成为人们生活中重要的信息获取平台。其中，热搜榜和热门话题榜，能反映、影响微博用户对热点内容的关注程度和方向。因信息违规问题，微博热搜曾被暂停一周。

6月10日，国家互联网信息办公室指导北京市互联网信息办公室，约谈新浪微博负责人，针对微博在蒋某舆论事件中干扰网上传播秩序，以及传播违法违规信息等问题，责令其立即整改，暂停更新微博热搜榜一周，严肃处理相关责任人，同时，要求北京市互联网信息办公室对新浪微博依法从严予以罚款的行政处罚。

【信息来源】https://www.thepaper.cn/newsDetail_forward_9078890

2020年8月全国受理网络违法和不良信息举报 1224.6万件

2020-09-01

2020年8月，全国各级网络举报部门受理举报1224.6万件，环比下降15.8%、同比下降9.5%。其中，中央网信办（国家互联网信息办公室）违法和不良信息举报中心受理举报10.5万件，环比增长10.2%、同比下降54.4%；各地网信办举报部门受理举报141.4万件，环比下降3.0%、同比下降18.2%；全国主要网站受理举报1072.7万件，环比下降17.5%，同比下降7.3%。

在全国主要网站受理的举报中，微博、百度、阿里巴巴、腾讯、新浪网、今日头条等主要商业网站受理量占75.1%，达805.2万件。

在各级网信部门指导下，目前全国各主要网站不断畅通举报渠道、受理处置网民举报。欢迎广大网民积极参与网络综合治理，共同维护清朗网络空间。

【信息来源】https://www.thepaper.cn/newsDetail_forward_8989953

Instagram、TikTok等社交平台大规模数据泄露 2.35亿用户受影响 

2020-08-20

据外媒报道，Comparitech的安全研究小组日前披露了一个不安全的数据库，导致2. 35 亿Instagram、TikTok和YouTube用户的资料泄露到网上，这无疑是一起大规模数据泄露事件。

泄露的数据分布在几个数据集上，其中有两个数据集泄露的信息均来自Instagram，共约1.92 亿条记录;另外一个数据集包括了4200 万TikTok用户记录，以及还有一个包含 400 万YouTube用户的数据集。

Comparitech研究人员表示，根据其收集的样本，五分之一的记录中包含电话号码或电子邮件地址。其中每条记录还包括至少一些，有的包含了以下全部信息：

账户名称、个人照片、账户描述、粉丝数、性别、年龄、最新发帖时间等等。

研究人员称，这些信息对垃圾邮件发送者和网络钓鱼活动的网络罪犯最有价值。尽管这些数据是可以公开获取的，但打包成结构清晰的数据库被泄露出来后，使这些数据比单独泄露的个人档案更有价值。

那么，这些数据从何而来呢?研究人员认为，包括数据集名称在内的证据指向一家名为Deep Social的公司。然而，Deep Social在抓取用户资料数据后，已经于 2018 年被脸书和Instagram禁止。这家公司在这之后不久就倒闭了。

研究人员联系了Deep Social，该公司随后将披露的信息转发给了一家在香港注册的社交媒体影响力数据营销公司Social Data。几个小时候后，Social Data关闭了该数据库，并否认自己和Deep Social之间有任何联系。

对于这些数据泄露事件，TikTok和谷歌方面表示，仍在调查此事，暂时无法提供声明。

【信息来源】https://www.sohu.com/a/414030610_114774

90亿信用卡曝出协议漏洞：黑客无需密码即可盗刷

2020-09-01

每次我们使用信用卡/借记卡付款时，收款机都会使用EMV通信协议来处理付款。该协议由Europay，Mastercard和Visa等公司开发，目前在全球超过90亿张卡中使用。

最近，来自苏黎世联邦理工学院计算机科学系的3名研究人员，即David Basin，RalfSasse和JorgeToro-Pozo发现了EMV协议中的漏洞，该漏洞使攻击者可以实施中间人攻击（MITM），进行欺诈性交易。

通过一个模型来模拟商家机器、用户卡和银行的真实情况，研究人员找到2个主要漏洞。首先，他们开发了一个Android应用程序概念验证（POC）漏洞，当用于非接触式支付时，攻击者可以在不使用任何PIN码的情况下进行攻击。

该攻击能够得手的原因是持卡人验证方法中缺少身份验证和加密技术，攻击者可以根据自己的需要修改设置。例如，研究人员还成功进行了这样的交易（下图），价值190美元，可以使用自己的卡在真实商店中进行了现场测试。

第二个漏洞使攻击者诱使商家认为现场的脱机非接触式交易已成功，攻击者离开后才发现该交易已被拒绝。在他们的报告[PDF]中，研究人员解释说：

在使用Visa或旧的万事达卡进行的离线非接触式交易中，该卡不会向终端认证应用密码（AC），这使犯罪分子可以欺骗终端以接受未经认证的离线交易。后来，当收单行将交易数据作为清算记录的一部分提交时，发卡行将检测到错误的密码，但罪犯早已得手而去。

综上所述，可以通过直接全局更新终端系统而不是EMV协议本身来修复这2个漏洞。但是，考虑到大约有1.61亿个这样的终端，其中许多位于技术落后的国家，可能需要花费大量时间才能避免此类漏洞被犯罪分子利用。

【信息来源】https://www.aqniu.com/industry/69820.html

数据中心巨头Equinix遭遇勒索攻击：解密赎金450万美元

2020-09-13

近日，数据中心运营巨头Equinix遭遇Netwalker勒索软件攻击，被要求支付450万美元的赎金来解密被加密的数据以及承诺不公布被窃数据。

Equinix成立于1998年，是全球最大的IBX数据中心和托管服务提供商，在5大洲拥有210个数据中心，连接了4000多家企业、云、数字内容和金融公司，拥有24亿美元资产的互连力量。

本周，有消息称Equinix遭遇Netwalker勒索软件攻击，并分享了一封勒索信。

勒索信息给了我们Equinix如何被入侵，攻击何时发生，以及有哪些数据被窃的信息。与大多数Netwalker勒索信不同的是，该勒索信中有一个关于受害者被窃数据的截图的链接。

如下图所示，其中含有多个不同的文件夹，从文件夹名字来看含有财务信息、审计和数据中心报告等内容。

攻击者声称窃取的Equinix数据

的文件名包含的数据中心和工程师名字位于澳大利亚办公室，这表明应该是澳大利亚办公室网络被入侵了。文件夹中最新的时间戳是2020年9月7日，也就是说攻击发生的时间应该是本周。

勒索信中含有一个Netwalker Tor 支付网站的链接，要求支付450万美元或455比特币的赎金。如果没有在一定时间内支付，勒索赎金将会翻倍到900万美元。

对此事件，Equinix也发表了声明称，Equinix正在调查一起涉及其内部系统的勒索软件安全事件。安全团队采取了措施来快速应对该事件，并通知了执法部门，目前团队仍在进一步调查中。目前，数据中心和托管服务运行良好，可以为用户正常提供服务。由于大多数客户在Equinix 数据中心是有独立的设备的，因此该事件不影响这些数据的正常运行和数据。

Equinix有大量RDP服务器暴露

暴露的远程桌面服务器是攻击者入侵网络的最常用方法。在得知Equinix遭遇攻击后，BleepingComputer与AdvancedIntel研究人员进行了沟通，得到有74个Equinix 远程桌面服务器和登陆凭证在黑市售卖。而这74个远程桌面服务器大多数位于澳大利亚、土耳其和巴西。

【信息来源】https://www.secrss.com/articles/25528

美国酒业巨头遭遇勒索软件攻击

2020-08-28

美国烈酒和葡萄酒行业最大的公司之一布朗·福尔曼（Brown-Forman）遭受了网络攻击。据称入侵者拷走了1TB的机密数据，攻击者计划将最重要的信息卖给出价最高的人，然后泄漏其余信息。

勒索软件运营商Sodinokibi（REvil）周五宣布，他们已经入侵了布朗·福尔曼公司的计算机网络，并花费了一个多月的时间检索用户服务、云数据存储和总体结构，总共窃取了1TB数据，其中包括有关员工、公司协议、合同、财务报表和内部通信的机密信息。

在其泄漏站点上的帖子中，REvil发布了多个屏幕快照，其中包括目录树，其中一些文件可追溯到2009年。

攻击者还发布了布朗·福尔曼公司数据库备份条目的屏幕截图（下图），最新时间是2020年7月，这表明入侵者有足够的时间在公司网络中横向移动。

值得注意的，尽管勒索软件攻击的最后一步是加密数据，但REvil未能成功实施加密。布朗·福尔曼公司代表向媒体透露，布朗·福尔曼公司的安全部门检测到了攻击并在数据被加密锁定之前将其阻止。

【信息来源】https://www.aqniu.com/news-views/69688.html

免费图片素材网站Freepik遭入侵，830万用户数据泄露

2020-08-25

E安全8月25日讯 Freepik是一个致力于提供高质量免费照片和设计图形访问的网站，也是互联网上最受欢迎的网站之一。近日，Freepik披露了一起重大安全漏洞，一名黑客(或多名黑客)利用SQL注入漏洞访问其存储用户数据的数据库，并获得了其Freepik和Flaticon网站上830万注册用户的用户名和密码。

据了解，Freepik官方并没有说明漏洞发生的时间，也没有说明它是何时发现的。不过，该公司表示，在得知这一事件后，立即通知了有关部门，并开始调查这一漏洞以及清点黑客获取的内容。

Freepik方面强调，黑客并未窃取了所有用户的账户都有相关的密码，只取走了部分用户的信息。

其中有450 万用户由于使用第三方(包括谷歌、Facebook或Twitter)联合登录，攻击者可以获得的数据只有电子邮件，并不存在哈希密码。另外，还有 377 万用户的邮件地址和密码哈希值已经被黑客获取。目前，Freepik已经将所有用户密码加密方式更新为Bcrypt。

该公司表示，他们正在根据失窃内容，通过定制邮件通知所有受影响的用户。这些邮件将发送给Freepik和Flaticon的用户，具体取决于用户注册的服务。Freepik说。“使用bcrypt散列密码的用户收到一封电子邮件，提示他们更改密码，特别是在密码容易被猜到的情况下。只有电子邮件泄漏的用户会收到通知，但无需采取任何特殊措施。”

据了解，Freepik是当今互联网上最受欢迎的网站之一，目前在Alexa百强网站排行榜上排名第97位。Flaticon也不甘落后，排名第668位。

当EQT在今年5月底收购Freepik公司时，该公司宣称Freepik服务拥有超过2000万注册用户。

【信息来源】https://www.secrss.com/articles/24994

本文始发于微信公众号（赛博星人）：网络安全与隐私保护 9月大事记