5月,國(guó)家網(wǎng)信辦發(fā)布《數(shù)據(jù)安全管理辦法(征求意見(jiàn)稿)》,數(shù)據(jù)安全刻不容緩!敏捷科技帶您聚焦數(shù)據(jù)安全行業(yè)最新國(guó)內(nèi)、國(guó)際資訊,關(guān)注數(shù)據(jù)安全政策與動(dòng)態(tài),提供企業(yè)數(shù)據(jù)安全解決方案與服務(wù)。
涉及2.75億條印度公民信息的MongoDB數(shù)據(jù)庫(kù)被曝光和公開(kāi)索引
援引外媒Security Discovery于5月1日發(fā)現(xiàn)了一個(gè)未經(jīng)保護(hù)和公開(kāi)索引的MongoDB數(shù)據(jù)庫(kù),其中包括了涉及印度公民的個(gè)人身份信息的275,265,298條記錄。這些信息中包括姓名、電子郵件地址、性別、教育水平和專(zhuān)業(yè)領(lǐng)域、專(zhuān)業(yè)技能和職稱(chēng)、手機(jī)號(hào)碼、就業(yè)經(jīng)歷和當(dāng)前雇主、出生日期以及當(dāng)前的薪資水平。
Docker Hub遭入侵 19萬(wàn)帳號(hào)被泄露
近日,有開(kāi)發(fā)者表示收到來(lái)自 Docker 的官方郵件,郵件內(nèi)容顯示由于 Docker Hub 遭受非法入侵,已導(dǎo)致 19 萬(wàn)個(gè)帳號(hào)的敏感數(shù)據(jù)被泄露,這些數(shù)據(jù)包括小部分用戶的用戶名和哈希密碼,以及用于自動(dòng)構(gòu)建 Docker 鏡像而授權(quán)給 Docker Hub 的 GitHub 和 Bitbucket token。
俄羅斯政府網(wǎng)站被爆泄露225萬(wàn)用戶社保和護(hù)照等信息
多家俄羅斯政府網(wǎng)站泄露了超過(guò)225萬(wàn)公民、公務(wù)員和高層政治家的私人和護(hù)照信息。俄羅斯非政府組織Informational Culture的聯(lián)合創(chuàng)始人Ivan Begtin最先發(fā)現(xiàn)并公開(kāi)了本次嚴(yán)重的數(shù)據(jù)泄露事件。Begtin對(duì)政府在線認(rèn)證中心、50家政府門(mén)戶網(wǎng)站以及政府機(jī)構(gòu)使用的電子投標(biāo)平臺(tái)進(jìn)行了調(diào)查,發(fā)現(xiàn)有23家網(wǎng)站泄露個(gè)人保險(xiǎn)信息,14家網(wǎng)站泄露護(hù)照信息,從這些網(wǎng)站泄露的數(shù)據(jù)包括全名、職稱(chēng)、工作地點(diǎn)、電子郵件和稅號(hào)。
數(shù)千萬(wàn)條Instagram名人信息泄露
安全研究人員Anurag Sen發(fā)現(xiàn)Instagram位于AWS存儲(chǔ)桶上的一個(gè)大型數(shù)據(jù)庫(kù)保護(hù)不當(dāng),可被任意沒(méi)有訪問(wèn)權(quán)限的人訪問(wèn)。該數(shù)據(jù)庫(kù)包含4900多萬(wàn)條Instagram賬戶的聯(lián)系信息,其中大部分都是網(wǎng)紅和大V的個(gè)人信息,如個(gè)人經(jīng)歷、資料圖片、粉絲數(shù)量、所在城市、私人聯(lián)系方式、電子郵件地址以及電話號(hào)碼等信息。另外,該數(shù)據(jù)庫(kù)中還包含了計(jì)算每個(gè)賬戶價(jià)值的具體字段,可以估算賬戶的商業(yè)價(jià)值。據(jù)TechCrunch調(diào)查,該數(shù)據(jù)庫(kù)屬于社交媒體營(yíng)銷(xiāo)公司Chtrbox,其總部位于印度,主要業(yè)務(wù)就是讓網(wǎng)紅和網(wǎng)絡(luò)大V發(fā)布廣告。目前事件正在進(jìn)一步調(diào)查當(dāng)中。
美國(guó)金融公司網(wǎng)站泄露8.85億份敏感數(shù)據(jù)
據(jù)外媒報(bào)道,F(xiàn)irst American是美國(guó)歷史最悠久的公司之一,公司經(jīng)營(yíng)近130年,核心業(yè)務(wù)為房地產(chǎn)記錄與影像、產(chǎn)品估價(jià)與服務(wù)、房屋保修產(chǎn)品、財(cái)險(xiǎn)意外險(xiǎn)、銀行、信托、投資咨詢服務(wù)等。由于First American網(wǎng)站缺乏安全措施,任何人無(wú)需身份驗(yàn)證即可訪問(wèn)數(shù)據(jù),大約泄露了8.85億份文件,包括一些高度敏感的數(shù)據(jù),如抵押貸款、稅務(wù)記錄、社會(huì)保險(xiǎn)號(hào)、電匯收據(jù)、駕照?qǐng)D像、銀行賬號(hào)和對(duì)賬單等。First American發(fā)表聲明稱(chēng)關(guān)閉了應(yīng)用程序的外部訪問(wèn),目前正在評(píng)估這對(duì)客戶信息安全的影響。
重慶某醫(yī)院未履行等級(jí)保護(hù)制度被罰款1萬(wàn)元
近日,重慶永川某私立醫(yī)院因未安裝邊界防護(hù)設(shè)備、未安裝日志行為審計(jì)設(shè)備,未設(shè)置數(shù)據(jù)安全備份策略等其他網(wǎng)絡(luò)安全技術(shù)措施,使醫(yī)院業(yè)務(wù)在互聯(lián)網(wǎng)上長(zhǎng)期處于“裸奔”狀態(tài)。黑客通過(guò)互聯(lián)網(wǎng)攻破醫(yī)院系統(tǒng)后植入勒索病毒,導(dǎo)致醫(yī)院業(yè)務(wù)全面“停擺”。經(jīng)過(guò)民警和技術(shù)專(zhuān)家調(diào)查核實(shí),該私立醫(yī)院因未按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求履行安全保護(hù)義務(wù)。并按照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第五十九條之規(guī)定,對(duì)醫(yī)院處以罰款一萬(wàn)元,對(duì)直接負(fù)責(zé)的主管人員處以罰款五千元的行政處罰。
網(wǎng)易郵箱賬號(hào)遭公開(kāi)叫賣(mài) 官方回應(yīng):已報(bào)案
日前有消息稱(chēng),在一些社交平臺(tái)平臺(tái),有人公開(kāi)叫賣(mài)網(wǎng)易郵箱賬號(hào),售價(jià)僅50元。賣(mài)家自稱(chēng)可向這些郵箱發(fā)送營(yíng)銷(xiāo)信息,并展示了據(jù)說(shuō)包含有百萬(wàn)個(gè)郵箱賬號(hào)的文件。對(duì)此,網(wǎng)易郵箱官方微博發(fā)布聲明稱(chēng),“經(jīng)查,報(bào)道中提及的違法行為,僅涉及郵箱地址,不涉及用戶敏感信息,目前已向公安機(jī)關(guān)報(bào)案?!?/span>
網(wǎng)信辦通報(bào)百款常用App申請(qǐng)收集個(gè)人信息權(quán)限情況
針對(duì)App過(guò)度索要各種權(quán)限、搜集用戶隱私信息的亂象,國(guó)家曾重拳出擊,發(fā)布通告,就《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法(征求意見(jiàn)稿)》,明確了七種相關(guān)違規(guī)行為。具體包括:沒(méi)有公開(kāi)收集使用規(guī)則、沒(méi)有明示收集使用個(gè)人信息的目的方式和范圍、未經(jīng)同意收集使用個(gè)人信息、違反必要性原則收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息、未經(jīng)同意向他人提供個(gè)人信息、未按法律規(guī)定提供刪除或更正個(gè)人信息功能、侵犯未成年人在網(wǎng)絡(luò)空間合法權(quán)益。
“等保2.0”新標(biāo)準(zhǔn)落地
5月13日,國(guó)家標(biāo)準(zhǔn)新聞發(fā)布會(huì)正式發(fā)布網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)(以下簡(jiǎn)稱(chēng)“等保2.0”),新標(biāo)準(zhǔn)將于2019年12月1日開(kāi)始實(shí)施,這意味著“等保2.0”時(shí)代從國(guó)家合規(guī)層面正式拉開(kāi)了帷幕。等保2.0標(biāo)準(zhǔn)中,網(wǎng)絡(luò)安全等級(jí)保護(hù)監(jiān)管的對(duì)象得到很大擴(kuò)充,從企業(yè)基礎(chǔ)的業(yè)務(wù)系統(tǒng),拓展到工業(yè)控制系統(tǒng)、云計(jì)算平臺(tái),安全保護(hù)的內(nèi)容也擴(kuò)大,供應(yīng)鏈安全、通報(bào)預(yù)警等也被納入其中。這將進(jìn)一步加強(qiáng)整體的安全防護(hù)。
國(guó)家互聯(lián)網(wǎng)信息辦公室關(guān)于《數(shù)據(jù)安全管理辦法(征求意見(jiàn)稿)》公開(kāi)征求意見(jiàn)
為了維護(hù)國(guó)家安全、社會(huì)公共利益,保護(hù)公民、法人和其他組織在網(wǎng)絡(luò)空間的合法權(quán)益,保障個(gè)人信息和重要數(shù)據(jù)安全,根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等法律法規(guī),國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同相關(guān)部門(mén)研究起草了《數(shù)據(jù)安全管理辦法(征求意見(jiàn)稿)》,現(xiàn)向社會(huì)公開(kāi)征求意見(jiàn)。
國(guó)家互聯(lián)網(wǎng)應(yīng)急中心開(kāi)通勒索病毒免費(fèi)查詢服務(wù)
從國(guó)家互聯(lián)網(wǎng)應(yīng)急中心獲悉,為了有效控制WannaCry勒索病毒的傳播感染,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心近日開(kāi)通了該病毒感染數(shù)據(jù)免費(fèi)查詢服務(wù)。查詢說(shuō)明如下:1、WannaCry勒索病毒暫只能感染W(wǎng)indows操作系統(tǒng),請(qǐng)用戶在Windows操作系統(tǒng)上的瀏覽器中輸入查詢地址打開(kāi)查詢頁(yè)面進(jìn)行查詢,查詢地址為:http://wanna-check.cert.org.cn。2、若提示IP地址承載的計(jì)算機(jī)受到感染,建議使用WannaCry勒索病毒專(zhuān)殺工具進(jìn)行查殺,并及時(shí)修復(fù)相關(guān)漏洞。3、如果使用寬帶撥號(hào)上網(wǎng)或手機(jī)上網(wǎng),由于IP地址經(jīng)常變化,會(huì)導(dǎo)致查詢結(jié)果不準(zhǔn)確,僅供參考。
美國(guó)華盛頓州修訂《數(shù)據(jù)泄露通知法》
5月7日,華盛頓州州長(zhǎng)簽發(fā)修訂的《數(shù)據(jù)泄露通知法》,該法將在2020年3月1日生效。目前,在美國(guó)聯(lián)邦層面尚未有統(tǒng)一的數(shù)據(jù)泄露通知法,但許多州都出臺(tái)了此類(lèi)法案。從2003年頒布第一個(gè)數(shù)據(jù)泄露通知法的加利福尼亞州開(kāi)始,48個(gè)州先后通過(guò)了與數(shù)據(jù)泄露通知相關(guān)的法案。華盛頓州是亞馬遜和微軟兩大全球頂級(jí)互聯(lián)網(wǎng)公司的所在地,因此,其立法的修訂對(duì)其他各州有重要的借鑒意義。
Verizon:《2019年數(shù)據(jù)泄露調(diào)查報(bào)告》
據(jù)外媒報(bào)道,《Verizon 2019年數(shù)據(jù)泄露調(diào)查報(bào)告》(The Verizon 2019 Data Breach Investigations Report ,簡(jiǎn)稱(chēng)DBIR)發(fā)布,該報(bào)告共有73個(gè)貢獻(xiàn)組織,分析了41686起安全事件。從細(xì)節(jié)和覆蓋面來(lái)看,DBIR已成為安全行業(yè)的權(quán)威。DBIR強(qiáng)調(diào),以勒索錢(qián)財(cái)為目的的網(wǎng)絡(luò)攻擊正在增加。長(zhǎng)期以來(lái)人們普遍認(rèn)為,制造業(yè)的多數(shù)網(wǎng)絡(luò)攻擊是出于網(wǎng)絡(luò)間諜活動(dòng)。
歐洲數(shù)據(jù)保護(hù)委員會(huì):《GDPR年度報(bào)告》
近日,歐洲數(shù)據(jù)保護(hù)委員會(huì)(EDPB)在GDPR實(shí)施一周年之際,發(fā)布其首份GDPR年度報(bào)告。報(bào)告揭示了歐洲經(jīng)濟(jì)區(qū) (EEA:歐盟28國(guó)、冰島、芬蘭和列支敦士登) 各國(guó)家監(jiān)管機(jī)構(gòu)(SA)在這一年中是如何攜手一致實(shí)施GDPR的。EDPB報(bào)告發(fā)現(xiàn),GDPR實(shí)施頭一年里,EEA各SA共上報(bào)了206,326例案件,分屬3個(gè)主要門(mén)類(lèi):近半數(shù)(94,622)是投訴;64,684件涉及數(shù)據(jù)泄露通知;剩下的則是 “其他” 問(wèn)題,31家SA采取最后一種監(jiān)管方式共判處了55,955,871歐元的行政罰款。
澳大利亞數(shù)據(jù)信息委員會(huì):《2019第一季度安全報(bào)告》
澳大利亞數(shù)據(jù)信息委員會(huì)近日發(fā)布了這一季度的報(bào)告,其中指出,大約有1,005萬(wàn)名澳大利亞人(占總?cè)丝诘?0%)在2019年的前三個(gè)月就至少在一次事件中被泄露自己的個(gè)人信息。報(bào)告中特別指出了兩起事件,其中一起造成了1,000萬(wàn)以上人數(shù)的信息泄露,而另一起則有大概25萬(wàn)到100萬(wàn)人受到影響。從2018年4月開(kāi)始,澳大利亞的信息泄露事件中,大約有35%是個(gè)人失誤引起,60%是因黑客攻擊,5%是因?yàn)橄到y(tǒng)問(wèn)題。從另一個(gè)角度,31%的泄露事件是因?yàn)檎`發(fā)郵件,16%因?yàn)榈袈湎嚓P(guān)打印文件以及存儲(chǔ)設(shè)備,28%因?yàn)橐馔獍l(fā)布信息。而對(duì)于因外部人員產(chǎn)生的泄露事件中,66%因?yàn)榫W(wǎng)絡(luò)攻擊,15%因?yàn)閮?nèi)部間諜行為,14%因?yàn)槲臋n或者存儲(chǔ)設(shè)備被竊取,5%因?yàn)樯鐣?huì)工程。
中國(guó)信通院:《歐盟GDPR合規(guī)指引》
GDPR實(shí)施一周年之際,5月28日在貴陽(yáng)舉辦的2019年中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)“人工智能產(chǎn)業(yè)與數(shù)據(jù)跨境業(yè)務(wù)的法律監(jiān)管?chē)?guó)際論壇”上,中國(guó)信息通信研究院安全研究所聯(lián)合對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)數(shù)字經(jīng)濟(jì)與法律創(chuàng)新研究中心、北京大學(xué)法治與發(fā)展研究院、奮迅律師事務(wù)所、科文頓?柏靈律師事務(wù)所、京東集團(tuán),共同發(fā)布《歐盟GDPR合規(guī)指引》,為深入理解GDPR提供了有益思路。