安全资讯 | 谷歌违反通用数据保护条例遭法国当局罚款5000万欧元 ;购买993.36 GB的电子邮箱ID和密码仅需40美元……

x
用微信扫描二维码
分享至好友和朋友圈

  网络安全新闻太多?信仔帮您选!

  1

  物联网火爆背后隐藏的巨大安全风险

  根据 TheConversation 制作的预估图表数据显示,2018 年物联网设备规模已经达到70亿台,非物联网设备数量在 108 亿台,而预估 2025 年物联网设备数量将突破至 215 亿台。这些物联网设备涵盖网络摄像头、血压传感器、温度计、麦克风、智能音箱和毛绒玩具等等,这些产品很多都是由不为人知的小型工厂设计生产,通常没有妥善的安全保护。

  

  这就意味着大量物联网设备存在非常严重且广泛的漏洞,包括使用弱密码、对通信不加密以及不安全的 Web 界面等等。而黑客往往会劫持数千甚至是数十万个遍布全球的设备来发起 DDoS 在内的攻击。如果制造商在特定类型的设备上设置了不可更改的管理密码,黑客就可以在网络上搜索这些设备,在登陆控制和安装自己的恶意程序之后将设备招募到僵尸网络中。

  2

  美国多个赌博网站泄露 1.08 亿条信息 包括支付卡资料

  据美国科技媒体ZDNet报道,美国一个网络赌博集团泄露1.08亿条赌博信息,里面包括客户的个人信息、存款及提款详情。

  网络安全研究人员贾斯汀·潘恩(Justin Paine)说,这些信息是从ElasticSearch服务器泄露的,并在网上流传,不需要密码就能获得。

  ElasticSearch是一个搜索引擎,企业喜欢用它来改进自有网络App的数据索引和搜索功能。一般来说这样的搜索引擎会装在内部网络,用来处理公司机密信息,信息不会泄露在网上。

  上周,潘恩发现一些敏感信息,这些信息来自在线赌博门户网站。虽然开放的服务器只有一台,但是里面的数据相当庞大,来自数个网络域名。

  经过一番分析,潘恩认定这些域名全都用来运营网络赌场,用户可以下注参与。潘恩发现总计大约有1.08亿条记录曝光,里面有押注、获胜、存款、取款信息。在存款和取款信息里还有支付卡资料。

  3

  谷歌违反通用数据保护条例遭法国当局罚款 5000 万欧元

  

  北京时间1月22日凌晨消息,谷歌已因违反“通用数据保护条例”(GDPR)而被法国数据保护监管机构处以5000万欧元(约合5680万美元)罚款,这对马克斯·施雷姆斯(Max Schrems)旗下隐私集团NOYB来说是一场胜利。

  法国国家互联网信息中心(以下简称“CNIL”)今日裁定,谷歌向用户提供了不充分的信息,在多个页面上分散提供信息,而且并未在广告个性化的问题上获得有效许可。

  CNIL对NOYB和法国数字版权组织La Quadrature du Net提出的投诉作出了反应,称其已对通过Android设备开设谷歌账户的流程进行了调查。这个监管机构作出的结论是,谷歌在两个方面违反了“通用数据保护条例”:一是未满足透明度和信息相关要求,二是没有为其处理流程获得法律依据。

  根据这项条例,违规公司可被处以最高2000万欧元或相当于年度营业额4%的罚款,而CNIL已经行使了这种新的权力,向谷歌开出了5000万欧元的罚单。

  4

  招聘网站数百万条敏感数据泄露,简历、身份证扫描件统统曝光

  据外媒报道,国际网络安全咨询公司HackenProof的安全专家在2018年12月21日发现了另一个没有得到很好保护的Elasticsearch集群,其中包含数百万非常敏感的数据记录。

  这是一家法国临时工招聘网站,声称任何人都可以通过该网站快速申请一份临时工作,并能够提供来自法国全国范围内不同行业的临时工作机会。

  HackenProof的安全专家在使用“MisterTemp”相关的名称进行快速搜索后发现,至少有2个属于该网站的IP暴露在外——未设密码的Elasticsearch集群允许任何人进行查看。

  其中,名为“mistertemp-2.14.0”的索引所包含的记录总数约为290万(2,898,153)条。每一条记录都包含了相当详细和敏感的申请人个人信息,如姓名、电子邮箱地址、住址、出生日期、国籍、手机号码、教育水平、技能、工作经验和可供下载简历和身份证件扫描件的外部S3存储链接。此外,其中一些记录还包含申请人的社会保障卡或护照号码。

  5

  购买993.36 GB的电子邮箱ID和密码仅需40美元

  

  据外媒报道,最近发生了重大的数据泄露事件,目前已有约7.73亿个密码被盗,文件大小约1T。这些用户名和密码早先在深网(deep web)上售卖,但交易现在转到了Mega网盘上。

  此次售卖的数据大约有7.73亿个用户名和密码,而且买家看不到卖家信息。由于sanixer卖家帐户在互联网上出售大量用户名和密码,且影响范围很广,该账户现在已被销售数据的网站cracked.to禁用。

  国际网络安全研究所的数字取证专家称,名为sanixer的卖家以40美元的价格出售电子邮件密码合集。根据cracked.to网站的数据,购买了这个数据合集的人数非常多。一些公司或个人购买这些数据应该是用于制造垃圾邮件。

  但是,专家分析购买者的信息后发现,sanixer帐户所有者还有另外的账号,且仍处于活跃状态。

  6

  大厂也难逃GDPR,谷歌、亚马逊再遭投诉

  GDPR自颁布、实施以来就一直占据了相当大的话题热度。最近一段时间,一家关注欧洲商业隐私问题的非营利执法组织noyb找上了几家大企业,因为GDPR的存在,该机构已代表其用户针对8家在线流媒体公司向奥地利数据保护局提交10起投诉。

  受到投诉的公司包括:Amazon、Google、Apple、DAZN、Spotify、SoundCloud、YouTube、Flimmit、Netflix。

  由于GDPR的罚款标准是2000万欧元或全年收入的4%,因此这10项投诉理论上最高罚款可达188亿欧元。

  根据noyb主管Max Schrems的说法,所有这些公司都经过了GDPR的测试,用于确认其是否符合DPA法规(即《个人数据保护法》)第15条中的标准。

  针对“访问权”违规行为提出的投诉“访问权”,即所有欧盟公民都对自己提交的数据享有知情权,能够随时调用相关信息的原始数据及副本,同时有权利知晓数据的用途和接收者信息等。

  在对上述八家公司进行合规测试后,noyb发现并没有任何一家完全符合GDPR标准,甚至都存在一定的违规现象。

  【亚洲诚信搜集整理分享,以上信息均来自互联网】

  或许你喜欢

  亚洲诚信荣获“网易2018年度最杰出合作伙伴”奖项

  亚洲诚信联合又拍云升级云端SSL证书服务

   测一测您部署的HTTPS网站安全吗?

特别声明:本文为网易自媒体平台“网易号”作者上传并发布,仅代表该作者观点。网易仅提供信息发布平台。

跟贴 跟贴 1 参与 1
© 1997-2019 网易公司版权所有 About NetEase | 公司简介 | 联系方法 | 招聘信息 | 客户服务 | 隐私政策 | 广告服务 | 网站地图 | 意见反馈 | 不良信息举报

亚洲诚信

一键轻松开启HTTPS

头像

亚洲诚信

一键轻松开启HTTPS

81

篇文章

12

人关注

列表加载中...
请登录后再关注
x

用户登录

网易通行证/邮箱用户可以直接登录:
忘记密码