一周安全头条(20181125-1201)

作者:aqniu, 星期六, 十二月 1, 2018
来源:https://www.aqniu.com/industry/41304.html

1.安全趋势 2019年

勒索软件、个人隐私、大选造假、网络战、鱼叉式网络钓鱼……CSO网站给出明年可能出现的9个网络安全趋势。

2.厂商动态 媒体评奖

近日,世界知名IT媒体Computing近日评出其2018年度“安全卓越奖”,共20余家安全公司和一些个人奖项,评奖范围包括,年度大数据产品、云安全、DevSecOps、DLP、电子邮件安全、企业安全等。

3.调查报告 容器安全

根据StackRox公司针对230名IT员工进行的一项调查结果显示,35%的受访者认为,他们的公司并没有对容器安全进行充分投资;而另有15%的受访者认为,他们的公司并没有认真对待容器威胁。更有高达54%的受访者表示,容器协调器中的“配置错误”是最大的安全问题。

4.安全整改 工信部

近期,工业和信息化部网络安全管理局对7家电信企业(南京途牛科技有限公司、阿里云计算有限公司、上海帝联网络科技有限公司、郑州市景安网络科技股份有限公司、上海携程商务有限公司、武汉长城宽带网络服务有限公司、成都西维数码科技有限公司)落实《网络安全法》《通信网络安全防护办法》《电信和互联网用户个人信息保护规定》等法律法规情况进行了实地检查,针对检查发现的问题,责令企业进行整改。

5.国家安全 贸易战

据华尔街日报称,美国政府计划为禁用中国制造设备的国家在通信发展方面提供经济援助。 此前,德国就表示禁止中国公司参加5G招标的国家,做出同样决定的还有澳大利亚与日本。网友表示,这种完全忽视了5G基础设施对国家经济增长的重要性的举措是不具有国家战略眼光的。

6.会议活动 工控安全

11月28-30日, 2018中国(长沙)网络安全·智能制造大会在长沙国际会展中心召开。本次大会聚焦网络安全和智能制造领域最新技术、产品和应用,全面展示新一代网络安全和智能制造新动态、新成果和新经验。本次参展企业数527家,其中智能制造企业300余家、网络安全企业200余家。

7.数据泄露 亚马逊

近日,据Tech Crunch报道,亚马逊向用户发送电子邮件,警告他们在网站出现“技术错误”后,会泄露未知数量的客户电子邮件地址。亚马逊发言人表示,此次数据泄露不是由于网络黑客攻击或安全漏洞造成的。但亚马逊不仅拒绝透露目前有多少用户受到影响,或用户信息暴露了多长时间,也并未说明信息被泄漏到了哪里,因而也无法估计此事的严重性。

8.数据泄露 通讯安全

美国邮政系统USPS近日修复了一个漏洞,该漏洞可以让任何用户查看或者修改其他用户的信息——包括用户名、邮箱以及地址。据称,该漏洞影响大约6,000万用户。

9.数据泄露 罚款

Uber因对信息泄露的隐瞒遭到ICO罚款38.5万英镑。该泄露事件在2017年11月被曝出,全球大约有5,700万用户信息遭到泄露——而这件事件却发生在2016年。英国受影响人数大概在270万。在事件发生后,Uber并未选择公开,而是选择私下支付黑客10万美元删除相关数据。

另外,荷兰对Uber也做出了60万欧元的罚款。在这次事件中,荷兰有大约17.4万人受到影响。

10.数据泄露 罚款

 

德国聊天平台Knuddels近日因明文储存用户密码遭到GDPR罚款2万英镑。9月份时,有人邮件通知Kunuddels表示用户信息在网上被公开,共有大概80万的邮件地址以及180万用户名以及密码组合被公开。

11.预装软件  联想

联想支付了730万美元来处理在笔记本中的预装广告软件问题。在2015年,约75万台联想笔记本被偷偷预装了名为VisualDiscovery的广告软件。该广告软件会影响用户自己安装的安全防护软件,并且让攻击者实行中间人攻击。联想共将支付730万美元给在自己设备上发现这款软件的用户。

12.漏洞补丁 加密货币

近日,国外知名钱包Copay爆出严重安全漏洞,据悉,此次漏洞是黑客利用该恶意代码获得( 合法) 访问热门JavaScript 库,通过注射恶意代码从BitPay 的Copay 钱包应用中窃取比特币和比特币现金。目前已经确认所有版本的Copay钱包都可能已经被感染。随后,BitPay团队发布了Copay v5.2.2版本,并建议用户断网更新至5.2.0或者使用桌面版本转出资产,还可将资产转至Cobo等其它更安全的钱包。

 

13.漏洞补丁 Rowhammer

近日,阿姆斯特丹自由大学(The Vrije Universiteit Amsterdam)的一组研究人员表示,他们已经开发出了一种切实可行的方法,来精确地改变服务器RAM内存芯片中的比特,而不会触发ECC的校正机制。这就使得他们能够篡改数据,注入恶意代码和命令,并更改访问权限,以便可以窃取密码、密钥和其他秘密信息。这一研究发现可谓意义非凡,因为虽然ECC曾被认为是阻止Rowhammer式攻击的可靠方法,但有人认为从理论上可以绕过这种防御机制。现在这种想法已经得到了证实。

14.信息泄露 戴尔

近日,戴尔官方表示,检测到未经授权的入侵者“尝试从系统中提取‘Dell.com’客户信息”,这些信息包括客户姓名、电子邮箱地址以及哈希密码。目前,“Dell.com”用户除了重置密码外,还应手动查看其各自账户中所储存的信息。安全起见,储存了财务信息的用户应关注信用卡消费明细表。