數(shù)據(jù)安全，是一個(gè)永恒的話題，更是關(guān)乎到企業(yè)生存的大問題。敏捷科技帶您聚焦數(shù)據(jù)安全行業(yè)最新國內(nèi)、國際資訊，關(guān)注數(shù)據(jù)安全政策與動(dòng)態(tài)，提供企業(yè)數(shù)據(jù)安全解決方案與服務(wù)。

國外資訊

印度液化氣公司7百萬用戶和分銷商數(shù)據(jù)遭泄露

印度液化石油氣公司Indane近700萬名用戶和分銷商的敏感數(shù)據(jù)遭到泄露。Indane是世界第二大液化石油氣營銷商，擁有9800萬客戶群，9100個(gè)分銷商。這起事件的起因是其iOS應(yīng)用程序提供的主要服務(wù)存在嚴(yán)重的訪問控制漏洞，會(huì)導(dǎo)致未經(jīng)授權(quán)的信息泄露。泄露的用戶數(shù)據(jù)包括消費(fèi)者姓名、地址、郵件、手機(jī)號(hào)碼等；泄露的經(jīng)銷商信息包括銀行賬號(hào)、銀行名稱、綁定銀行的收集號(hào)碼等。此外，該漏洞還允許攻擊者修改消費(fèi)者的個(gè)人數(shù)據(jù)、關(guān)閉消費(fèi)者的Indane賬戶等。

雅虎就數(shù)據(jù)泄露案達(dá)成和解協(xié)議：金額達(dá)1.175億美元

據(jù)路透社報(bào)道，由于遭遇史上最大數(shù)據(jù)泄密事件，雅虎接受了一項(xiàng)修改后的1.175億美元和解協(xié)議，與本案的數(shù)百萬受害者達(dá)成和解。這起案件在2013至2016年間導(dǎo)致大約30億帳號(hào)受到影響，而雅虎則被控在披露此事的過程中反應(yīng)過慢。雅虎目前已經(jīng)成為Verizon電信旗下的一家公司。這份新的和解協(xié)議包含至少5500萬美元支付給受害者的實(shí)付費(fèi)用和其它成本，2400萬美元的兩年信用監(jiān)控費(fèi)用，和高達(dá)3000萬美元的法律費(fèi)用，另有最多850萬美元的其他費(fèi)用。本案涵蓋1.94億美國人和以色列人，大約涉及8.96億帳號(hào)。

6000萬條領(lǐng)英用戶信息遭暴露

近日，荷蘭非盈利機(jī)構(gòu)GDI基金會(huì)網(wǎng)絡(luò)安全研究員發(fā)現(xiàn)，8個(gè)不安全的數(shù)據(jù)庫被暴露在網(wǎng)上，其中包含約6000萬條領(lǐng)英用戶數(shù)據(jù)記錄。八個(gè)數(shù)據(jù)庫的總大小為229GB，每個(gè)數(shù)據(jù)庫的大小在25 GB到32GB之間。泄露的信息包括用戶個(gè)人資料信息、ID、個(gè)人資料網(wǎng)址、工作經(jīng)歷、教育經(jīng)歷、住址、技能、其他社交個(gè)人資料以及個(gè)人資料上次更新的時(shí)間。但有些數(shù)據(jù)庫還包含內(nèi)部數(shù)據(jù)，例如用戶的個(gè)人電子郵件和訂閱類型，由此表明來源可能是由于領(lǐng)英的數(shù)據(jù)泄露。領(lǐng)英信任與安全主管PaulRockwell稱，這些數(shù)據(jù)庫并不屬于他們，但他證實(shí)，第三方公司暴露了一組來自領(lǐng)英的公開個(gè)人資料以及其他非利益資源的數(shù)據(jù)。

搜 Wi-Fi 熱點(diǎn) Android 應(yīng)用數(shù)據(jù)泄露：涉200多萬WiFi密碼

一款流行的Android熱點(diǎn)（WiFi）搜尋App“WiFi Finder”暴露了200多萬個(gè)網(wǎng)絡(luò)的WiFi密碼。目前已有數(shù)千人下載了這款WiFi Finder應(yīng)用，它允許用戶搜索附近的WiFi網(wǎng)絡(luò)。但同時(shí)，這款應(yīng)用也允許用戶將WiFi密碼從自己的設(shè)備上傳到數(shù)據(jù)庫，供其他人使用。據(jù)悉，數(shù)據(jù)庫中的每條記錄都包含了WiFi網(wǎng)絡(luò)名稱、精確的地理位置、基本服務(wù)集標(biāo)識(shí)符（BSSID）和明文存儲(chǔ)的網(wǎng)絡(luò)密碼。

印度最大數(shù)據(jù)庫泄露超過1億用戶信息

印度本地搜索服務(wù)JustDial的數(shù)據(jù)庫在未受保護(hù)的情況下保持在線，通過其網(wǎng)站、移動(dòng)應(yīng)用程序或通過呼叫其客戶服務(wù)號(hào)碼訪問服務(wù)的方式，泄露了超過1億用戶的個(gè)人信息。泄露的數(shù)據(jù)包括JustDial用戶的姓名、電子郵件地址、手機(jī)號(hào)碼、所在位置地址、性別、出生日期、照片和公司名稱等。

湖北一公職人員泄露公民信息5萬余條，非法獲利23萬余元

荊門京山市檢察院依法以涉嫌侵犯公民個(gè)人信息罪對(duì)犯罪嫌疑人張某批準(zhǔn)逮捕。張某，一公職人員，利用職務(wù)便利下載大量公民個(gè)人信息，包括企業(yè)名稱、法人代表姓名、電話號(hào)碼等，并通過網(wǎng)上QQ聊天售出。經(jīng)公安機(jī)關(guān)鑒定，其提取、下載公民個(gè)人信息5萬余條，獲取非法利益23萬余元。

研究人員發(fā)現(xiàn)中國企業(yè)簡(jiǎn)歷信息泄露：涉5.9億份簡(jiǎn)歷

據(jù)美國科技媒體ZDNet報(bào)道，有研究人員發(fā)現(xiàn)中國企業(yè)今年前3個(gè)月出現(xiàn)數(shù)起簡(jiǎn)歷信息泄露事故，涉及5.9億份簡(jiǎn)歷。大多數(shù)簡(jiǎn)歷之所以泄露，主要是因?yàn)镸ongoDB和ElasticSearch服務(wù)器安全措施不到位，不需要密碼就能在網(wǎng)上看到信息，或者是因?yàn)榉阑饓Τ霈F(xiàn)錯(cuò)誤導(dǎo)致。

四部門抓緊推進(jìn)App違法收集使用個(gè)人信息專項(xiàng)治理

中央網(wǎng)信辦、工信部、公安部、市場(chǎng)監(jiān)管總局指導(dǎo)成立App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理工作組以來，組織開展的App收集使用個(gè)人信息評(píng)估工作取得階段性進(jìn)展。記者從工作組負(fù)責(zé)人處獲悉，截至4月16日，舉報(bào)信息超過3480條，涉及1300余款A(yù)pp。對(duì)于30款用戶量大、問題嚴(yán)重的App，工作組已向其運(yùn)營者發(fā)送了整改通知。

B站網(wǎng)站后臺(tái)工程源碼疑似泄露 內(nèi)含部分用戶名密碼

據(jù)微博@互聯(lián)網(wǎng)的那點(diǎn)事 爆料稱，嗶哩嗶哩（B站）整個(gè)網(wǎng)站后臺(tái)工程源碼泄露，并且“不少用戶名密碼被硬編碼在代碼里面，誰都可以用?！贬槍?duì)此事，B站做出回應(yīng)，“經(jīng)內(nèi)部緊急核查，確認(rèn)該部分代碼屬于較老的歷史版本?！盉站表示，已經(jīng)執(zhí)行了主動(dòng)防御措施，確認(rèn)此事件不會(huì)影響網(wǎng)站安全和用戶數(shù)據(jù)安全。B站已第一時(shí)間報(bào)案，并將徹查源頭。

泄露公司源代碼造成超百萬損失，大疆前員工被罰20萬、獲刑半年

深圳法院對(duì)大疆源代碼泄露案做出一審判決，綜合考慮犯罪情節(jié)以及自愿認(rèn)罪、有悔罪表現(xiàn)，以侵犯商業(yè)秘密罪判處大疆前員工有期徒刑六個(gè)月，并處罰金20萬人民幣。經(jīng)過大疆公司的調(diào)查，這個(gè)漏洞是大疆的一名前員工通過一個(gè)計(jì)算機(jī)指令，將含有公司農(nóng)業(yè)無人機(jī)的管理平臺(tái)和農(nóng)機(jī)噴灑系統(tǒng)兩個(gè)模塊的代碼上傳至GitHub網(wǎng)站的“公有倉庫”，造成了源代碼泄露。據(jù)悉，這些泄露出去的代碼，已用于該公司農(nóng)業(yè)無人機(jī)產(chǎn)品，具有實(shí)用性。盡管大疆公司采取了合理的保密措施，但該次事件依然給大疆造成經(jīng)濟(jì)損失116.4萬元人民幣。

02安全政策

三部門聯(lián)合發(fā)布《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》

公安部網(wǎng)絡(luò)安全保衛(wèi)局、北京網(wǎng)絡(luò)行業(yè)協(xié)會(huì)、公安部第三研究所聯(lián)合發(fā)布《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》，本文件制定了個(gè)人信息安全保護(hù)的管理機(jī)制、安全技術(shù)措施和業(yè)務(wù)流程。適用于個(gè)人信息持有者在個(gè)人信息生命周期處理過程中開展安全保護(hù)工作參考使用。本文件適用于通過互聯(lián)網(wǎng)提供服務(wù)的企業(yè)，也適用于使用專網(wǎng)或非聯(lián)網(wǎng)環(huán)境控制和處理個(gè)人信息的組織或個(gè)人。

國資委：網(wǎng)絡(luò)安全成為央企負(fù)責(zé)人經(jīng)營業(yè)績(jī)考核指標(biāo)

近日，國務(wù)院國資委修訂印發(fā)了《中央企業(yè)負(fù)責(zé)人經(jīng)營業(yè)績(jī)考核辦法》，辦法多角度構(gòu)建中央企業(yè)負(fù)責(zé)人年度與任期相結(jié)合的高質(zhì)量發(fā)展考核指標(biāo)體系，突出分類與差異化考核，強(qiáng)化國際對(duì)標(biāo)、行業(yè)對(duì)標(biāo)。值得關(guān)注的是，辦法首次將網(wǎng)絡(luò)安全事件納入考核范圍，并視情節(jié)給予負(fù)責(zé)人相應(yīng)的處分。這必將是促進(jìn)我國網(wǎng)安事業(yè)發(fā)展的又一股力量，提高央企防范重大網(wǎng)絡(luò)安全事件的能力和水平，保護(hù)國有資產(chǎn)不受侵害。

工信部：《關(guān)于加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見 (征求意見稿) 》

為貫徹落實(shí)《國務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》，加快構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系，經(jīng)廣泛征求意見，反復(fù)研究修改，工業(yè)和信息化部會(huì)同有關(guān)部門起草了《關(guān)于加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見（征求意見稿）》。為保障公眾知情權(quán)和參與權(quán)，凝聚各界共識(shí)和智慧，現(xiàn)向社會(huì)公開征求意見。

等保2.0預(yù)計(jì)4月底5月初出臺(tái)

網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)，即《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》。2.0是相對(duì)等保1.0提出的，即2007《信息安全等級(jí)保護(hù)管理辦法》、2008《信息安全等級(jí)保護(hù)基本要求》。（1）2018.6月發(fā)等保2.0標(biāo)準(zhǔn)的征求意見稿；（2）2019.3月底，公安部網(wǎng)絡(luò)安全保衛(wèi)局的處長(zhǎng)祝國邦：等保2.0今年4月份有望出臺(tái)；（3）2019.4.20日，公安部網(wǎng)絡(luò)安全保衛(wèi)局總工程師郭啟全：等保2.0已經(jīng)完成安標(biāo)委審批，并宣布了具體落地時(shí)間。關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例等具體細(xì)則也有望年內(nèi)發(fā)布。

03安全報(bào)告

360智庫：2019年第一季度全球大規(guī)模數(shù)據(jù)泄露事件分析

從被泄露的數(shù)據(jù)類型來看，泄露發(fā)生最多的是公民的身份信息，包括：姓名、地址、身份識(shí)別號(hào)碼等。特別是航空、酒店等服務(wù)行業(yè)。其次是用戶賬號(hào)數(shù)據(jù)。再者是機(jī)密數(shù)據(jù)和敏感數(shù)據(jù)。這里指政府部門或企業(yè)掌握的不適宜公開傳播的內(nèi)部信息，包括國家秘密、商業(yè)秘密和內(nèi)部文檔等。從數(shù)據(jù)泄露的來源來分析，大部分被泄露數(shù)據(jù)來自于互聯(lián)網(wǎng)服務(wù)公司，位居第二的是公共服務(wù)機(jī)構(gòu)，政府機(jī)構(gòu)也較為嚴(yán)重。安全管理不善、漏洞等是導(dǎo)致數(shù)據(jù)泄露的主要原因。

賽門鐵克2019年互聯(lián)網(wǎng)安全威脅報(bào)告：數(shù)據(jù)篇

在賽門鐵克《互聯(lián)網(wǎng)安全威脅報(bào)告》中，對(duì)2018年全球威脅活動(dòng)、網(wǎng)絡(luò)犯罪趨勢(shì)和攻擊者動(dòng)機(jī)進(jìn)行了深入剖析，提出了自己的最新見解。其中，分析數(shù)據(jù)來自全球最大的民用威脅情報(bào)網(wǎng)絡(luò)，即賽門鐵克全球情報(bào)網(wǎng)絡(luò)。該網(wǎng)絡(luò)覆蓋全球1.23億個(gè)攻擊傳感器，日均攔截威脅數(shù)量達(dá)1.42億個(gè)，有效跟蹤全球157多個(gè)國家/地區(qū)的威脅活動(dòng)。

《全球數(shù)據(jù)保護(hù)索引》：企業(yè)數(shù)據(jù)量暴漲569% 

2018年，公司企業(yè)管理的平均數(shù)據(jù)量為9.7PB，比2016年的1.45PB暴漲了569%。絕大多數(shù)企業(yè)看到了數(shù)據(jù)的價(jià)值，更多企業(yè)靠數(shù)據(jù)生財(cái)，但只有極少數(shù)公司對(duì)現(xiàn)有工具保護(hù)信息的能力抱有信心。幾乎全部 (92%) 受訪者都認(rèn)識(shí)到了數(shù)據(jù)的價(jià)值，36%在用數(shù)據(jù)賺錢。但絕大多數(shù)公司難以保護(hù)數(shù)據(jù)安全，其數(shù)據(jù)保護(hù)嘗試可能反將信息置于風(fēng)險(xiǎn)之中。超過3/4 (76%) 的受訪者稱其公司在過去一年中遭遇過某種形式的數(shù)據(jù)損失，27%受訪者表示用現(xiàn)有數(shù)據(jù)保護(hù)工具無法恢復(fù)數(shù)據(jù)——2016年時(shí)無法恢復(fù)數(shù)據(jù)的公司僅為14%。

 IDC發(fā)布2019全球IT安全支出規(guī)模預(yù)測(cè)：中國增速惹眼

近日，IDC發(fā)布的IDC Worldwide Semiannual Security Spending Guide, 2018H1再次引起全球網(wǎng)絡(luò)安全市場(chǎng)高度關(guān)注，根據(jù)IDC預(yù)測(cè)，2019年全球IT安全相關(guān)硬件、軟件和服務(wù)支出將達(dá)到1031億美元，相比2018年增長(zhǎng)9.4%。隨著全球各行業(yè)在安全解決方案上持續(xù)投入巨資以應(yīng)對(duì)各種紛繁復(fù)雜的惡意威脅，滿足各類安全需求，這種快速增長(zhǎng)趨勢(shì)將在未來幾年仍將持續(xù)。IDC預(yù)測(cè)，在2018-2022年預(yù)測(cè)期內(nèi)，全球安全解決方案支出將實(shí)現(xiàn)9.2%的年復(fù)合增長(zhǎng)率（CAGR），預(yù)計(jì)2022年將達(dá)到1338億美元。

*來源于網(wǎng)絡(luò)，由敏捷科技綜合整理