MyException - 我的异常网
当前位置:我的异常网» 互联网 » 环球安全资讯精选 2017年 第七期: Equifax 泄漏 1.

环球安全资讯精选 2017年 第七期: Equifax 泄漏 1.43 亿用户数据

www.MyException.Cn  网友分享于:2013-10-08  浏览:0次
全球安全资讯精选 2017年 第七期: Equifax 泄漏 1.43 亿用户数据

游戏安全资讯精选

 

摘要: 游戏账号窃取日益猖獗,2017世界物联网博览会IoT安全观点

 

【每周游戏行业DDoS态势】

 

 

【游戏安全动态】

 

游戏账号窃取日益猖獗,游戏运维人员如何做好防范?点击查看原文

概要:盗取游戏账号主要目的是获取个人信息在暗网售卖,并且用账号、虚拟货币、虚拟装备来盈利,这也意味着,游戏行业越发达,安全风险也就越高,因为攻击者的盈利空间越大。

作为游戏公司,可定期引导玩家去检查自己的账户密码是否受到数据泄露的影响;如果遇到游戏账号丢失或大面积被窃取,游戏公司需要尽快做好沟通;安全运维人员要随时关注登录游戏的活跃IP,如果遇到IP增加的情况,则需要及时提防响应;同时需要为安全准备相应的资源,安全产品能灵活扩展很重要;最后,通过序列号,个人信息验证机制,来确保玩家身份的真实性。

 

【相关安全事件】

 

Struts2 REST插件远程执行命令漏洞全面分析。点击查看原文

概要:2017年9月5日,Apache Struts 2官方发布一个严重级别的安全漏洞公告,该漏洞由国外安全研究组织lgtm.com的安全研究人员发现,漏洞编号为CVE-2017-9805(S2-052)。

点评:当Struts2使用REST插件使用XStream的实例xstreamhandler处理反序列化XML有效载荷时没有进行任何过滤,可以导致远程执行代码,攻击者可以利用该漏洞构造恶意的XML内容获取服务器权限。

建议运维人员或开发人员尽快关注并资产,可以检查使用了REST插件Struts版本是否在受影响范围内。如果存在,建议您尽快按照以下方式修复漏洞。

目前官方已经发布补丁,建议升级到 Apache Struts2.5.13、Apache Struts 2.3.34版本。阿里云云盾WAF已发布该漏洞规则,用户可以通过WAF,对利用该漏洞的攻击行为进行检测和防御,最大程度减少安全风险。

 

【云上视角】

 

2017世界物联网博览会:IoT安全观点。点击查看原文

概要:9月10日,2017世界物联网博览会在江苏无锡拉开帷幕,阿里巴巴集团携阿里云IoT及蚂蚁金服参会在9月11日的安全智能高峰论坛上,三位阿里巴巴的IoT安全研究者:阿里云首席安全科学家吴翰清,阿里巴巴资深IoT安全专家谢君,和阿里巴巴集团安全部安全研究专家王康,从趋势和技术两个角度,分享物联网给我们带来的价值,以及如何才能构筑安全、可信、在线的物联网。

吴翰清提出,物联网的未来价值在于连接与在线;端、连接和云;IoT作为基础设施的三大支柱;与变革同时而来的是风险。庞大的数据量,实时的交换,如何对这些在线的数据做管控,是物联网安全的关键。

 

 

金融安全资讯精选

 

摘要: 美国信用评分公司Equifax 泄漏 1.43 亿用户数据,Struts2 REST插件远程执行命令漏洞全面分析,阿里云护航金砖五国大会

 

【金融安全动态】

 

美国信用评分公司Equifax 被攻击,泄漏 1.43 亿用户数据。点击查看原文

概要:泄露的信息包括用户社会安全码、驾照信息、生日信息、信用卡数据等。据SEC(U.S. Securities and Exchange Commission)的文件,三位Euifax董事已经售出了“一小部分”所持股票。Equifax 称黑客利用了 Web 应用的漏洞访问了某些文件,Apache Struts 受到的怀疑最多。Apache Struts 项目今年爆出了两个漏洞,一个是在 3 月,另一个就是在上周。Apache本周对此发表了澄清声明,称在接到漏洞报告之后,已经尽快修复了漏洞。

点评:令人恐慌的,不仅仅是泄露规模之大,和被泄露信息的“隐私”程度,更是因为Equifax是全美最权威的信用评分公司之一,却在网络攻击中“信用彻底崩塌”。随着针对性攻击变本加厉,信息泄露事件会更加频繁,以法律和标准来保护个人信息安全是必然,政府、金融等行业,也需要承担更大的安全责任。

有理由推断,该事件有可能成为近年来在广度和深度上最严重的数据泄露事件之一。根据国外法律,当隐私违规使得消费者利益受影响,FTC(Federal Trade Commission)有可能会予以20年审计的处罚,另可能涉及不同州的州际法律,对数据泄露的要求和惩罚。

在信用业务管理和信息安全技术方面,无论是市场成熟度还是政府监管,美国都有很多成熟的经验。但从此次事件的体量、发生原因和高层的表现来看,很多大型企业在技术,内部安全管理方面都缺乏应有的态度和经验。尤其在安全治理层面。从另一个角度来说,通过法律和监管措施去推动企业提升安全管理水平才是长远之计。在国内,等级保护制度就是一个很好的方式,企业可通过“过等保”这个过程,沉淀出企业安全管理的方法论,从事后亡羊补牢,转换成事前风控,从根源上缓解安全风险。

 

【相关安全事件】

 

Struts2 REST插件远程执行命令漏洞全面分析。点击查看原文

概要:2017年9月5日,Apache Struts 2官方发布一个严重级别的安全漏洞公告,该漏洞由国外安全研究组织lgtm.com的安全研究人员发现,漏洞编号为CVE-2017-9805(S2-052)。

点评:当Struts2使用REST插件使用XStream的实例xstreamhandler处理反序列化XML有效载荷时没有进行任何过滤,可以导致远程执行代码,攻击者可以利用该漏洞构造恶意的XML内容获取服务器权限。

建议运维人员或开发人员尽快关注并资产,可以检查使用了REST插件Struts版本是否在受影响范围内。如果存在,建议您尽快按照以下方式修复漏洞。

目前官方已经发布补丁,建议升级到 Apache Struts2.5.13、Apache Struts 2.3.34版本。阿里云云盾WAF已发布该漏洞规则,用户可以通过WAF,对利用该漏洞的攻击行为进行检测和防御,最大程度减少安全风险。

 

 

【云上视角】

 

阿里云护航金砖五国大会。点击查看原文

概要:护航期间,金砖会议官网域名服务0安全事件;重保网站0业务中断、0安全事件;云平台用户网站安全运营0干扰。大会启动前2个月,经相关部门授权,阿里云专家对云上政府类网站做了一次全方位“体检”,找出网站可能存在的漏洞,并出具优化、容灾建议,做到了安全不留死角。本次护航也启用了超长待机的“云博士” 向有安全隐患的客户进行通报隐患,确保通知用户环节更简单更快捷更高效,从而让更多安全专家可以集中精力解决难题。

 

政府安全资讯精选

 

摘要: 美国信用评级公司Equifax泄漏 1.43 亿用户数据 ; 网信办发布新规加强管理互联网群组和公众号;微博推进实名制认证 所有新老用户需实名 否则无法发博与评论; 欧盟裁决将加强对工作场所的隐私保护。

 

【安全事件】

美国信用评级公司Equifax泄漏 1.43 亿用户数据 点击查看原文

概要:美国三大权威征信公司之一Equifax 被攻击,泄漏 1.43 亿用户数据。泄露信息包括用户社会安全码(SSN)、驾照、生日、信用卡数据等。事件曝光之前,CFO等三位高管抛售了近180万美元的股票。作为应对,Equifax开通了一个网站帮助消费者确定个人信息是否遭到损害,并提供免费的信贷档案监控和识别盗 窃保护。从规模之大和被泄漏信息的隐私程度看,这可能是近年来最严重的数据泄露事故之一。

点评:对用户重要信息的有效保护是信用评级公司的核心能力。Equifax作为全美最权威的的信用评级公司之一,却在此次网络攻击中“信用彻底崩塌”。预计联邦贸易委员会(FTC)将会根据泄漏的影响程度作出相应惩处,如Uber近日被要求接受20年审计;各州监管也会有各自的裁决。目前,国内个人信息保护的相关标准不断健全,各类政府网站、金融机构保障数据安全的责任也在增加,避免重要数据泄漏造成严重损失。

 

【国内政策分析】

 

网信办发布新规 加强管理互联网群组和公众号

概要:网信办9月7日发布《互联网用户公众账号信息服务管理规定》和《互联网群组信息服务管理规定》,2017年10月8日起施行。依据规定,互联网群组和公共账号须备案;群组建立者须承担管理责任;公众账号平台须设立总编辑,负责信息内容安全;群组信息服务提供者要做实名认证并建立黑名单管理制度,还需要留存网络日志至少6个月。

点评:两项规定进一步落实了内容安全的主体责任,群组“谁创建谁负责”,把责任落实到个人。群组和公众账号服务提供者的管理责任更加重大,内容安全的技术、人力投入以及网络日志存储的成本都将增加。

 

微博推进实名制认证 所有新老用户需实名 否则无法发博与评论 点击查看全文

概要:微博近日发布公告称,在2011年《北京市微博客管理规定》实施以后,按照规定要求新用户进行“前台资源,后台实名”的认证,并引导老用户进行实名验证。截至目前,微博已完成了全站活跃用户的实名验证工作。根据相关法律要求,微博将在今年9月15日之前,完善产品机制,要求所有用户包括2011年之前注册的用户,在发博和评论前,先行完成实名验证。

点评:微博率先响应《网络安全法》有关实名认证的要求,对新老用户实名信息进行“查漏补缺”。值得注意的是,微博将向第三方开放授权登录服务,第三方使用微博登录时微博会反馈请求账号是否已完成实名验证。使用微博授权登录等同于该用户在第三方实名登录。换言之,第三方平台将与微博有更多的数据共享,也将相应地承担更多个人信息保护责任。

 

【国外政策趋势】

 

欧盟裁决将加强对工作场所的隐私保护 点击查看全文

概要:9月5日,欧洲人权法院对早前罗马尼亚籍男子因工作期间处理私人邮件被解雇案件做出了裁定。该决定对工作场所的隐私和监控具有里程碑式的意义。欧盟企业今后有义务提前告知雇员其电子邮件正被监控,私自操作属于违法行为。同时,企业对于隐私监测的合理性和程序性保障至关重要

点评:欧盟GDPR里显著增强了雇员作为数据主体的权利。雇主需要提供更多关于处理人力资源相关个人资料的方式和原因的详细资料。旨在提高数据处理的透明度和安全性。其次,员工有权访问他们的数据,并有权纠正不准确的数据。 最后,根据“被遗忘权”,员工有权要求雇主在某些情况下清除有关他们的个人资料。

文章评论

Java 与 .NET 的平台发展之争
Java 与 .NET 的平台发展之争
程序员最害怕的5件事 你中招了吗?
程序员最害怕的5件事 你中招了吗?
每天工作4小时的程序员
每天工作4小时的程序员
一个程序员的时间管理
一个程序员的时间管理
60个开发者不容错过的免费资源库
60个开发者不容错过的免费资源库
程序员的鄙视链
程序员的鄙视链
 程序员的样子
程序员的样子
5款最佳正则表达式编辑调试器
5款最佳正则表达式编辑调试器
旅行,写作,编程
旅行,写作,编程
“懒”出效率是程序员的美德
“懒”出效率是程序员的美德
老程序员的下场
老程序员的下场
做程序猿的老婆应该注意的一些事情
做程序猿的老婆应该注意的一些事情
Web开发人员为什么越来越懒了?
Web开发人员为什么越来越懒了?
老美怎么看待阿里赴美上市
老美怎么看待阿里赴美上市
总结2014中国互联网十大段子
总结2014中国互联网十大段子
如何成为一名黑客
如何成为一名黑客
Java程序员必看电影
Java程序员必看电影
程序员周末都喜欢做什么?
程序员周末都喜欢做什么?
我是如何打败拖延症的
我是如何打败拖延症的
为什么程序员都是夜猫子
为什么程序员都是夜猫子
亲爱的项目经理,我恨你
亲爱的项目经理,我恨你
程序猿的崛起——Growth Hacker
程序猿的崛起——Growth Hacker
什么才是优秀的用户界面设计
什么才是优秀的用户界面设计
科技史上最臭名昭著的13大罪犯
科技史上最臭名昭著的13大罪犯
程序员都该阅读的书
程序员都该阅读的书
Web开发者需具备的8个好习惯
Web开发者需具备的8个好习惯
初级 vs 高级开发者 哪个性价比更高?
初级 vs 高级开发者 哪个性价比更高?
程序员的一天:一寸光阴一寸金
程序员的一天:一寸光阴一寸金
我跳槽是因为他们的显示器更大
我跳槽是因为他们的显示器更大
我的丈夫是个程序员
我的丈夫是个程序员
2013年中国软件开发者薪资调查报告
2013年中国软件开发者薪资调查报告
那些性感的让人尖叫的程序员
那些性感的让人尖叫的程序员
漫画:程序员的工作
漫画:程序员的工作
程序员应该关注的一些事儿
程序员应该关注的一些事儿
当下全球最炙手可热的八位少年创业者
当下全球最炙手可热的八位少年创业者
不懂技术不要对懂技术的人说这很容易实现
不懂技术不要对懂技术的人说这很容易实现
要嫁就嫁程序猿—钱多话少死的早
要嫁就嫁程序猿—钱多话少死的早
2013年美国开发者薪资调查报告
2013年美国开发者薪资调查报告
程序员必看的十大电影
程序员必看的十大电影
为啥Android手机总会越用越慢?
为啥Android手机总会越用越慢?
鲜为人知的编程真相
鲜为人知的编程真相
“肮脏的”IT工作排行榜
“肮脏的”IT工作排行榜
10个帮程序员减压放松的网站
10个帮程序员减压放松的网站
10个调试和排错的小建议
10个调试和排错的小建议
代码女神横空出世
代码女神横空出世
程序员眼里IE浏览器是什么样的
程序员眼里IE浏览器是什么样的
写给自己也写给你 自己到底该何去何从
写给自己也写给你 自己到底该何去何从
团队中“技术大拿”并非越多越好
团队中“技术大拿”并非越多越好
十大编程算法助程序员走上高手之路
十大编程算法助程序员走上高手之路
软件开发程序错误异常ExceptionCopyright © 2009-2015 MyException 版权所有