俄罗斯贵宾会入口-俄罗斯贵宾会-官网

信息化处
 学院俄罗斯贵宾会入口  部门俄罗斯贵宾会入口  资讯动态  通知公告  部门概述  网络安全  规章制度  智慧校园  服务指南  常用下载 
今天是:
您的位置: 部门俄罗斯贵宾会入口>网络安全>正文
一周安全资讯(2019年第7期)
2019-04-14  

2019年第7期

【内容导读】

1、教育部:2019年与网信部门联合治理校园App乱象

2、企鹅号回应盗号事件:部分帐号被恶意破解 将重拳打击

3、中国企业未经用户许可大规模收集用户联系人信息

4、Android安全App大调查:大多无法有效保护用户

5、加密货币挖矿类恶意App仍是互联网的一大威胁 但已有下滑的趋势

6、SRE超载系统导致 GOOGLE发布宕机事故阐发报告

7、GoDaddy、苹果和谷歌错误签发了一百多万个63位序列号证书

国内资讯

教育部:2019年与网信部门联合治理校园App乱象

(内容源自:TechWeb)

3月13日,教育部办公厅印发《2019年教育信息化和网络安全工作要点》通知,此中明确要求全面规范校园APP的打点和使用,与网信部门开展联合行动,治理校园APP乱象。《2019年教育信息化和网络安全工作要点》提出了十一个大项、35个细项的重点任务。此中包括“全面规范校园APP的打点和使用”。

 

通知要求,开展校园APP专项调研,摸清底数,研判形势。并明确,2019年教育部将与网信部门开展联合行动,治理校园APP乱象。

通知要求,研究制定规范校园APP打点的意见,规范第三方校园APP的引入和自主开发校园APP的建设,探索创立规范校园APP打点的长效机制,促进移动互联网有序健康发展。推动落实《教育部办公厅关于严禁有害APP进入中小学校园的通知》,重点加强学习类APP的规范打点。

今年1月,教育部办公厅印发了《关于严禁有害APP进入中小学校园的通知》,要求各地采取有效措施,坚决防止有害APP进入中小学校园。

企鹅号回应盗号事件:部分帐号被恶意破解 将重拳打击

(内容源自:新浪科技)

今日,自媒体“三表龙门阵”发文称自己的企鹅号被做号集团恶意盗号,并在60天里获利逾7.5万,此事引起网友广泛存眷。对此,Tencent内容开放平台(企鹅号)发布公告称,平台查明原因系部分帐号被恶意破解,将重拳打击盗号行为。

公告指出,近期,企鹅号收到部分用户反馈账号被盗问题,平台查明原因系2018年12月底外部某知名网站账号密码数据库泄露,有不法分子近期利用该数据库泄漏信息,恶意对企鹅号账号进行攻击和破解,导致部分企鹅号编辑无法正常登陆,账号及相关受益出现异常。

对此,企鹅号表示将采取重拳打击盗号、增强登陆安全、排查历史数据等措施解决账号异常问题。

 

以下是公告全文:

Tencent内容开放平台关于严打盗号和安全机制全面升级的公告

近期,Tencent内容开放平台(企鹅号)收到部分用户反馈账号被盗问题,对企鹅号生态造成恶劣影响。平台详细阐发问题,查明原因如下:

2018年12月底,外部某知名网站账号密码数据库泄露,有不法分子近期利用该数据库泄漏信息,恶意对企鹅号账号进行攻击和破解,导致部分企鹅号编辑无法正常登录,账号及相关收益出现异常。

针对上述问题,平台采取系列措施加强安全体系、打击盗号:

(1) 重拳打击盗号:对涉嫌盗号的任何群体或个人零容忍,发现一例处理一例,封禁盗号所得利益,涉嫌严重违法行为的报送国家执法部广]处理。

(2)增强登录安全:逐步下线邮箱、手机登录,全面使用QQ/微信登录体系,增加用户异地登录等异常行为通知。

(3)排查历史数据:针对所有疑似被盗账号,平台正进行全面排查,增加专项人力,解决账号异常问题。

这里再次提醒各位企鹅号编辑,为维护您的个人合法权益,防止不法分子恶意盗取您的帐号、密码,建议您不按期更换高安全性的帐户密码,如发现账号异常及时向平台反馈。

在此,平台对此前被盗号的创编辑表示诚挚的歉意。

我们深知责任重大,应对行业痼疾,绝不手软。打击盗号,企鹅号责无旁贷!

我们一直在努力,希翼在这里,您的每一笔/帧创作努力都不会被轻视,每一份信任与坚持都不会被辜负。

Tencent内容开放平台

2019年3月12日

中国企业未经用户许可大规模收集用户联系人信息(内容源自:solidot)

安全企业 Check Point 披露了杭州顺网科技有限企业利用嵌入到流行应用中的数据阐发 SDK SWAnalytics,在未经用户同意下可能收集到了数亿中国用户的手机联系人信息。

研究人员观察到了 12 个被嵌入恶意功能的应用,这些应用发布在中国第三方应用商店如Tencent、小米、HUAWEI和豌豆荚,总下载量高达 1.11 亿,研究人员估计顺网收集到了中国三分之一人口的联络人信息,它将这个大规模数据收集行动命名为 Operation Sheep,利用了 Man-in-the-Disk 漏洞。

被感染的应用包括了来电闪光灯、测速大师、电池大夫、Wi-Fi 密码神器、Wi-Fi 信号增强器、氧秀直播、充电加速器、快乐打鱼、91Y 直播及91Y 游戏。 用户一旦安装被感染应用,启动之后 SWAnalytics 会频繁访问用户的通讯录并将其上传到顺网控制的服务器上。SWAnalytics 还会窃取 QQ 登陆数据,只针对 Android 6.0 以上系统,而且会放过美图手机。

国际资讯

Android安全App大调查:大多无法有效保护用户

(内容源自:cnBeta.COM)

在病毒肆虐的Android平台上,很多消费者可能希翼下载和安装防病毒产品来提供更妥善的保护。然而在对250款Android防病毒App进行测试之后,发现这些所谓的安全APP功能含糊,不够安全甚至完全没有防护能力。独立评测机构AV-Comparatives近期对市场上的防病毒APP进行了大规模测试,发现均无法有效正确的保护用户。

AV-Comparatives测试了2000款恶意APP,结果发现只有不到十分之一的APP能够完全检测出这些恶意程序,而超过三分之二的防病毒APP识别恶意程序数量没有达到30%。AV-Comparatives采用了和因斯布鲁克大学合作开发自动测试程序,并使用物理Android手机并非模拟器来确保测试结果的精准性。

AV-Comparatives创始人兼首席实行官Andreas Clementi表示:“尽管去年市场上的Android安全应用数量有所增加,但是我们的测试结果发现只有极少比例的应用程序可以提供有效的保护。去年我们也做过相同的测试,发现有三分之一的安全应用检测的恶意程序样本低于30%,而今年这个数字达到了三分之二。谷歌 Play商城应用页面的用户评级可能表明这款安全应用程序是否易于使用,但是普通用户无法确定检测结果是否真实。我们的测试报告可让您了解哪些程序可以保护您的Android设备,而不会出现误报。”

如果您想确保您的设备受到适当保护,那么有23个应用程序可以实现100%检测,14个应用程序打点超过99%。如果你想要了解更多信息,可以访问AV-Comparatives网站。

加密货币挖矿类恶意App仍是互联网的一大威胁 但已有下滑的趋势

(内容源自:cnBeta.COM)

Check Point 最新发布的全球恶意App报告显示,加密货币挖矿类恶意App,仍然是互联网上最为活跃的一大威胁,前十里面有五个都是它。其主要借助浏览器的 JavaScript 脚本来作妖,当网友不慎访问到恶意网站时,其 CPU 资源占用就会迅速飙升。除了被黑客攻击的站点,一些不道德的 Web 开发者还是与恶意App开发者同流合污,从灰色的挖矿过程中分得一杯羹。

 

好消息是,随着加密货币价格的暴跌,这类恶意App的驱动力也有所下滑。甚至主打“正经挖矿”功能的 Coinhive 网站,都在上周宣布了正式停止运营的消息。

与此同时,GandCrab 之类的勒索App和网银木马正在崛起,并衍生出了逃避反病毒App追踪的新手段。

需要指出的是,尽管与 PC 相比,移动设备的境况略好一些,但这并不意味着后者就能完全免疫。

因为包括 Lotoor 和 Triada 在内的三大移动恶意App,都能够获取设备的打点权限,允许其监视用户、窃取密码、或注入广告。

此中 Triada 借助了别出心裁的手段来攻入移动设备 —— 不是直接利用漏洞,而是将合法的应用从头打包并上传,然后引诱缺乏戒备心的用户去下载。

一旦进入系统,这些糖衣里面的炮弹就会被释放,提取安全密钥并做出更多匪夷所思的事情。

SRE超载系统导致 GOOGLE发布宕机事故阐发报告

(内容源自:开源中国)

GOOGLE发布了 12 日大面积服务中断事故的阐发报告,指出系 SRE 超载系统使得 谷歌 云存储错误率提高导致。12 日全球各地的许多用户反映使用 Gmail、YouTube、谷歌 Drive、GOOGLE音乐与GOOGLE的其它服务时都遇到了问题。

 

包括北美洲、南美洲、欧洲和亚洲的部分地区都受到影响,GOOGLE随后承认出现故障,GOOGLE云平台状态页面(谷歌 Cloud Status Dashboard)显示,此次故障影响了GOOGLE云存储的所有区域。

当地时间 14 日,GOOGLE发布了针对该事件的阐发报告。

GOOGLE表示内部 blob(大型数据对象)存储服务经历了 4 小时 10 分钟的服务中断。阐发了根本原因,其指出在 3 月 11 日,谷歌 SRE 被告警内部 blob 服务使用的元数据的存储资源显著增加;3 月 12 日,为了减少资源使用,SRE 进行了配置更改,其副作用是使系统的关键部分超载以查找 blob 数据的位置,而增加的负载最终导致级联故障。

更具体的,12 日 18:40 到 22:50,GOOGLE内部 blob 存储服务错误率提高,平均错误率为 20%,事件发生时错误率为 31%,用户可见的 谷歌 服务,包括使用 blob 存储服务的 Gmail、照片和 谷歌 云硬盘错误率也提高了,如果没有这些服务中内置的缓存和冗余机制极大地降低了用户影响,那么后果会更加严重。

此次事故中,重大的影响包括:谷歌 云存储的长从头至尾延迟较高,平均错误率为 4.8%,所有存储桶位置和存储类都受到影响,依赖于云存储的 谷歌 云平台服务也受到影响;Stackdriver Monitoring 在检索历史时间序列数据时出现了高达 5% 的错误率,最近的时间序列数据可用,警报没有受到影响。App Engine 的 Blobstore API 出现了较高的延迟和错误率,在获取 blob 数据时达到峰值 21%,App Engine 部署出现了高达 90% 的错误,从 App Engine 提供静态文件也会出现错误率提升。

GOOGLE表示非 谷歌 云平台服务受到的影响将会有单独的事件报告。

对于因此事件受到影响的服务与应用客户,GOOGLE深表歉意,并表示正在采取措施以提高可用性并防止此类中断再次发生。

GoDaddy、苹果和谷歌错误签发了一百多万个63位序列号证书

(内容源自:solidot)

错误配置的 EJBCA 开源App包致使 GoDaddy、苹果和 谷歌 签发了一百多万个不符合要求的 63 位序列号证书。EJBCA 被很多浏览器信任的 CA 用于生成证书,在默认情况下 EJBCA 使用伪随机数生成器生成了 64 位序列号的证书。

工程师发现 64 位中必须有一个定值才能确保序列号是正整数,这意味着 EJBCA 默认生成的序列号的熵值只有 63 位。

63位 和 64 位虽然只相差一位,但 2^63 和 2^64 之间是相差巨大的。错误签发 63 位序列号证书所构成的风险主要是理论上的,实际上几乎不可能被恶意利用。但这不符合行业规定的要求。

谷歌 被发现自 2016 年以来签发了 10 万以上不符合要求的证书,不过到目前只有 7000 个证书还有效。

 

关闭窗口
 
相关文章  
读取内容中,请等待...

版权所有: 重庆俄罗斯贵宾会职业学院 校址:重庆市沙坪坝区大学城中路81号
德律风:023-61691001邮编:401331
50010602500176 

 

浏览总数:
今日浏览:

俄罗斯贵宾会入口|俄罗斯贵宾会

XML 地图 | Sitemap 地图