5月，國家網(wǎng)信辦發(fā)布《數(shù)據(jù)安全管理辦法(征求意見稿)》，數(shù)據(jù)安全刻不容緩！敏捷科技帶您聚焦數(shù)據(jù)安全行業(yè)最新國內、國際資訊，關注數(shù)據(jù)安全政策與動態(tài)，提供企業(yè)數(shù)據(jù)安全解決方案與服務。

涉及2.75億條印度公民信息的MongoDB數(shù)據(jù)庫被曝光和公開索引

援引外媒Security Discovery于5月1日發(fā)現(xiàn)了一個未經(jīng)保護和公開索引的MongoDB數(shù)據(jù)庫，其中包括了涉及印度公民的個人身份信息的275,265,298條記錄。這些信息中包括姓名、電子郵件地址、性別、教育水平和專業(yè)領域、專業(yè)技能和職稱、手機號碼、就業(yè)經(jīng)歷和當前雇主、出生日期以及當前的薪資水平。

Docker Hub遭入侵 19萬帳號被泄露

近日，有開發(fā)者表示收到來自 Docker 的官方郵件，郵件內容顯示由于 Docker Hub 遭受非法入侵，已導致 19 萬個帳號的敏感數(shù)據(jù)被泄露，這些數(shù)據(jù)包括小部分用戶的用戶名和哈希密碼，以及用于自動構建 Docker 鏡像而授權給 Docker Hub 的 GitHub 和 Bitbucket token。

俄羅斯政府網(wǎng)站被爆泄露225萬用戶社保和護照等信息

多家俄羅斯政府網(wǎng)站泄露了超過225萬公民、公務員和高層政治家的私人和護照信息。俄羅斯非政府組織Informational Culture的聯(lián)合創(chuàng)始人Ivan Begtin最先發(fā)現(xiàn)并公開了本次嚴重的數(shù)據(jù)泄露事件。Begtin對政府在線認證中心、50家政府門戶網(wǎng)站以及政府機構使用的電子投標平臺進行了調查，發(fā)現(xiàn)有23家網(wǎng)站泄露個人保險信息，14家網(wǎng)站泄露護照信息，從這些網(wǎng)站泄露的數(shù)據(jù)包括全名、職稱、工作地點、電子郵件和稅號。

數(shù)千萬條Instagram名人信息泄露

安全研究人員Anurag Sen發(fā)現(xiàn)Instagram位于AWS存儲桶上的一個大型數(shù)據(jù)庫保護不當，可被任意沒有訪問權限的人訪問。該數(shù)據(jù)庫包含4900多萬條Instagram賬戶的聯(lián)系信息，其中大部分都是網(wǎng)紅和大V的個人信息，如個人經(jīng)歷、資料圖片、粉絲數(shù)量、所在城市、私人聯(lián)系方式、電子郵件地址以及電話號碼等信息。另外，該數(shù)據(jù)庫中還包含了計算每個賬戶價值的具體字段，可以估算賬戶的商業(yè)價值。據(jù)TechCrunch調查，該數(shù)據(jù)庫屬于社交媒體營銷公司Chtrbox，其總部位于印度，主要業(yè)務就是讓網(wǎng)紅和網(wǎng)絡大V發(fā)布廣告。目前事件正在進一步調查當中。

美國金融公司網(wǎng)站泄露8.85億份敏感數(shù)據(jù)

據(jù)外媒報道，F(xiàn)irst American是美國歷史最悠久的公司之一，公司經(jīng)營近130年，核心業(yè)務為房地產記錄與影像、產品估價與服務、房屋保修產品、財險意外險、銀行、信托、投資咨詢服務等。由于First American網(wǎng)站缺乏安全措施，任何人無需身份驗證即可訪問數(shù)據(jù),大約泄露了8.85億份文件,包括一些高度敏感的數(shù)據(jù)，如抵押貸款、稅務記錄、社會保險號、電匯收據(jù)、駕照圖像、銀行賬號和對賬單等。First American發(fā)表聲明稱關閉了應用程序的外部訪問,目前正在評估這對客戶信息安全的影響。

重慶某醫(yī)院未履行等級保護制度被罰款1萬元

近日，重慶永川某私立醫(yī)院因未安裝邊界防護設備、未安裝日志行為審計設備，未設置數(shù)據(jù)安全備份策略等其他網(wǎng)絡安全技術措施，使醫(yī)院業(yè)務在互聯(lián)網(wǎng)上長期處于“裸奔”狀態(tài)。黑客通過互聯(lián)網(wǎng)攻破醫(yī)院系統(tǒng)后植入勒索病毒，導致醫(yī)院業(yè)務全面“停擺”。經(jīng)過民警和技術專家調查核實，該私立醫(yī)院因未按照網(wǎng)絡安全等級保護制度的要求履行安全保護義務。并按照《中華人民共和國網(wǎng)絡安全法》第五十九條之規(guī)定，對醫(yī)院處以罰款一萬元，對直接負責的主管人員處以罰款五千元的行政處罰。

網(wǎng)易郵箱賬號遭公開叫賣 官方回應：已報案

日前有消息稱，在一些社交平臺平臺，有人公開叫賣網(wǎng)易郵箱賬號，售價僅50元。賣家自稱可向這些郵箱發(fā)送營銷信息，并展示了據(jù)說包含有百萬個郵箱賬號的文件。對此，網(wǎng)易郵箱官方微博發(fā)布聲明稱，“經(jīng)查，報道中提及的違法行為，僅涉及郵箱地址，不涉及用戶敏感信息，目前已向公安機關報案?！?/span>

網(wǎng)信辦通報百款常用App申請收集個人信息權限情況

針對App過度索要各種權限、搜集用戶隱私信息的亂象，國家曾重拳出擊，發(fā)布通告，就《App違法違規(guī)收集使用個人信息行為認定方法（征求意見稿）》，明確了七種相關違規(guī)行為。具體包括：沒有公開收集使用規(guī)則、沒有明示收集使用個人信息的目的方式和范圍、未經(jīng)同意收集使用個人信息、違反必要性原則收集與其提供的服務無關的個人信息、未經(jīng)同意向他人提供個人信息、未按法律規(guī)定提供刪除或更正個人信息功能、侵犯未成年人在網(wǎng)絡空間合法權益。

“等保2.0”新標準落地

5月13日,國家標準新聞發(fā)布會正式發(fā)布網(wǎng)絡安全等級保護制度2.0標準(以下簡稱“等保2.0”),新標準將于2019年12月1日開始實施,這意味著“等保2.0”時代從國家合規(guī)層面正式拉開了帷幕。等保2.0標準中，網(wǎng)絡安全等級保護監(jiān)管的對象得到很大擴充，從企業(yè)基礎的業(yè)務系統(tǒng)，拓展到工業(yè)控制系統(tǒng)、云計算平臺，安全保護的內容也擴大，供應鏈安全、通報預警等也被納入其中。這將進一步加強整體的安全防護。

國家互聯(lián)網(wǎng)信息辦公室關于《數(shù)據(jù)安全管理辦法（征求意見稿）》公開征求意見

為了維護國家安全、社會公共利益，保護公民、法人和其他組織在網(wǎng)絡空間的合法權益，保障個人信息和重要數(shù)據(jù)安全，根據(jù)《中華人民共和國網(wǎng)絡安全法》等法律法規(guī)，國家互聯(lián)網(wǎng)信息辦公室會同相關部門研究起草了《數(shù)據(jù)安全管理辦法（征求意見稿）》，現(xiàn)向社會公開征求意見。

國家互聯(lián)網(wǎng)應急中心開通勒索病毒免費查詢服務

從國家互聯(lián)網(wǎng)應急中心獲悉，為了有效控制WannaCry勒索病毒的傳播感染，國家互聯(lián)網(wǎng)應急中心近日開通了該病毒感染數(shù)據(jù)免費查詢服務。查詢說明如下：1、WannaCry勒索病毒暫只能感染W(wǎng)indows操作系統(tǒng)，請用戶在Windows操作系統(tǒng)上的瀏覽器中輸入查詢地址打開查詢頁面進行查詢，查詢地址為：http://wanna-check.cert.org.cn。2、若提示IP地址承載的計算機受到感染，建議使用WannaCry勒索病毒專殺工具進行查殺，并及時修復相關漏洞。3、如果使用寬帶撥號上網(wǎng)或手機上網(wǎng)，由于IP地址經(jīng)常變化，會導致查詢結果不準確，僅供參考。

美國華盛頓州修訂《數(shù)據(jù)泄露通知法》

5月7日，華盛頓州州長簽發(fā)修訂的《數(shù)據(jù)泄露通知法》，該法將在2020年3月1日生效。目前，在美國聯(lián)邦層面尚未有統(tǒng)一的數(shù)據(jù)泄露通知法，但許多州都出臺了此類法案。從2003年頒布第一個數(shù)據(jù)泄露通知法的加利福尼亞州開始，48個州先后通過了與數(shù)據(jù)泄露通知相關的法案。華盛頓州是亞馬遜和微軟兩大全球頂級互聯(lián)網(wǎng)公司的所在地，因此，其立法的修訂對其他各州有重要的借鑒意義。

Verizon：《2019年數(shù)據(jù)泄露調查報告》

據(jù)外媒報道，《Verizon 2019年數(shù)據(jù)泄露調查報告》（The Verizon 2019 Data Breach Investigations Report ，簡稱DBIR）發(fā)布，該報告共有73個貢獻組織，分析了41686起安全事件。從細節(jié)和覆蓋面來看，DBIR已成為安全行業(yè)的權威。DBIR強調，以勒索錢財為目的的網(wǎng)絡攻擊正在增加。長期以來人們普遍認為，制造業(yè)的多數(shù)網(wǎng)絡攻擊是出于網(wǎng)絡間諜活動。

歐洲數(shù)據(jù)保護委員會：《GDPR年度報告》

近日，歐洲數(shù)據(jù)保護委員會(EDPB)在GDPR實施一周年之際，發(fā)布其首份GDPR年度報告。報告揭示了歐洲經(jīng)濟區(qū) (EEA：歐盟28國、冰島、芬蘭和列支敦士登) 各國家監(jiān)管機構(SA)在這一年中是如何攜手一致實施GDPR的。EDPB報告發(fā)現(xiàn)，GDPR實施頭一年里，EEA各SA共上報了206,326例案件，分屬3個主要門類：近半數(shù)(94,622)是投訴；64,684件涉及數(shù)據(jù)泄露通知；剩下的則是 “其他” 問題，31家SA采取最后一種監(jiān)管方式共判處了55,955,871歐元的行政罰款。

澳大利亞數(shù)據(jù)信息委員會：《2019第一季度安全報告》

澳大利亞數(shù)據(jù)信息委員會近日發(fā)布了這一季度的報告，其中指出，大約有1,005萬名澳大利亞人（占總人口的40%）在2019年的前三個月就至少在一次事件中被泄露自己的個人信息。報告中特別指出了兩起事件，其中一起造成了1,000萬以上人數(shù)的信息泄露，而另一起則有大概25萬到100萬人受到影響。從2018年4月開始，澳大利亞的信息泄露事件中，大約有35%是個人失誤引起，60%是因黑客攻擊，5%是因為系統(tǒng)問題。從另一個角度，31%的泄露事件是因為誤發(fā)郵件，16%因為掉落相關打印文件以及存儲設備，28%因為意外發(fā)布信息。而對于因外部人員產生的泄露事件中，66%因為網(wǎng)絡攻擊，15%因為內部間諜行為，14%因為文檔或者存儲設備被竊取，5%因為社會工程。

中國信通院：《歐盟GDPR合規(guī)指引》

GDPR實施一周年之際，5月28日在貴陽舉辦的2019年中國國際大數(shù)據(jù)產業(yè)博覽會“人工智能產業(yè)與數(shù)據(jù)跨境業(yè)務的法律監(jiān)管國際論壇”上，中國信息通信研究院安全研究所聯(lián)合對外經(jīng)濟貿易大學數(shù)字經(jīng)濟與法律創(chuàng)新研究中心、北京大學法治與發(fā)展研究院、奮迅律師事務所、科文頓?柏靈律師事務所、京東集團，共同發(fā)布《歐盟GDPR合規(guī)指引》，為深入理解GDPR提供了有益思路。