安全资讯

网络安全新闻太多？信仔帮您选！

1

物联网火爆背后隐藏的巨大安全风险

根据 TheConversation 制作的预估图表数据显示，2020 年物联网设备规模已经达到70亿台，非物联网设备数量在 108 亿台，而预估 2025 年物联网设备数量将突破至 215 亿台。这些物联网设备涵盖网络摄像头、血压传感器、温度计、麦克风、智能音箱和毛绒玩具等等，这些产品很多都是由不为人知的小型工厂设计生产，通常没有妥善的安全保护。

这就意味着大量物联网设备存在非常严重且广泛的漏洞，包括使用弱密码、对通信不加密以及不安全的 Web 界面等等。而黑客往往会劫持数千甚至是数十万个遍布全球的设备来发起 DDoS 在内的攻击。如果制造商在特定类型的设备上设置了不可更改的管理密码，黑客就可以在网络上搜索这些设备，在登陆控制和安装自己的恶意程序之后将设备招募到僵尸网络中。

2

网络安全研究人员贾斯汀·潘恩（Justin Paine）说，这些信息是从ElasticSearch服务器泄露的，并在网上流传，不需要密码就能获得。

ElasticSearch是一个搜索引擎，企业喜欢用它来改进自有网络App的数据索引和搜索功能。一般来说这样的搜索引擎会装在内部网络，用来处理公司机密信息，信息不会泄露在网上。

3

谷歌违反通用数据保护条例遭法国当局罚款 5000 万欧元

北京时间1月22日凌晨消息，谷歌已因违反通用数据保护条例（GDPR）而被法国数据保护监管机构处以5000万欧元（约合5680万美元）罚款，这对马克斯·施雷姆斯(Max Schrems)旗下隐私集团NOYB来说是一场胜利。

法国国家互联网信息中心（以下简称CNIL）今日裁定，谷歌向用户提供了不充分的信息，在多个页面上分散提供信息，而且并未在广告个性化的问题上获得有效许可。

CNIL对NOYB和法国数字版权组织La Quadrature du Net提出的投诉作出了反应，称其已对通过Android设备开设谷歌账户的流程进行了调查。这个监管机构作出的结论是，谷歌在两个方面违反了通用数据保护条例：一是未满足透明度和信息相关要求，二是没有为其处理流程获得法律依据。

4

招聘网站数百万条敏感数据泄露，简历、证件扫描件统统曝光

据外媒报道，国际网络安全咨询公司HackenProof的安全专家在2020年12月21日发现了另一个没有得到很好保护的Elasticsearch集群，其中包含数百万非常敏感的数据记录。

这是一家法国临时工招聘网站，声称任何人都可以通过该网站快速申请一份临时工作，并能够提供来自法国全国范围内不同行业的临时工作机会。

HackenProof的安全专家在使用MisterTemp相关的名称进行快速搜索后发现，至少有2个属于该网站的IP暴露在外——未设密码的Elasticsearch集群允许任何人进行查看。

其中，名为mistertemp-2.14.0的索引所包含的记录总数约为290万（2,898,153）条。每一条记录都包含了相当详细和敏感的申请人个人信息，如姓名、电子邮箱地址、住址、出生日期、国籍、电话号码、教育水平、技能、工作经验和可供下载简历和证件件扫描件的外部S3存储链接。此外，其中一些记录还包含申请人的社会保障卡或护照号码。

5

购买993.36 GB的电子邮箱ID和密码仅需40美元

据外媒报道，最近发生了重大的数据泄露事件，目前已有约7.73亿个密码被盗，文件大小约1T。这些用户名和密码早先在深网（deep web）上售卖，但交易现在转到了Mega网盘上。

此次售卖的数据大约有7.73亿个用户名和密码，而且买家看不到卖家信息。由于sanixer卖家帐户在互联网上出售大量用户名和密码，且影响范围很广，该账户现在已被销售数据的网站cracked.to禁用。

国际网络安全研究所的数字取证专家称，名为sanixer的卖家以40美元的价格出售电子邮件密码合集。根据cracked.to网站的数据，购买了这个数据合集的人数非常多。一些公司或个人购买这些数据应该是用于制造垃圾邮件。

但是，专家分析购买者的信息后发现，sanixer帐户所有者还有另外的账号，且仍处于活跃状态。

6

大厂也难逃GDPR，谷歌、亚马逊再遭投诉

GDPR自颁布、实施以来就一直占据了相当大的话题热度。最近一段时间，一家关注欧洲商业隐私问题的非营利执法组织noyb找上了几家大企业，因为GDPR的存在，该机构已代表其用户针对8家在线流媒体公司向奥地利数据保护局提交10起投诉。

受到投诉的公司包括：Amazon、Google、Apple、DAZN、Spotify、SoundCloud、YouTube、Flimmit、Netflix。

由于GDPR的罚款标准是2000万欧元或全年收入的4%，因此这10项投诉理论上最高罚款可达188亿欧元。

根据noyb主管Max Schrems的说法，所有这些公司都经过了GDPR的测试，用于确认其是否符合DPA法规（即《个人数据保护法》）第15条中的标准。

【亚洲诚信搜集整理分享，以上信息均来自互联网】

或许你喜欢

亚洲诚信荣获网易2020年度最杰出合作伙伴奖项

亚洲诚信联合又拍云升级云端SSL证书服务

测一测您部署的HTTPS网站安全吗？