专注:网络安全、系统安全、应用安全、数据库安全、运维安全,趋势分析。

“游侠安全网”创建了网络安全从业者的2000人超级QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


【安全帮】调查称逾半中国网贷公司未遵守数据隐私规定

2018-04-08 09:36 推荐: 浏览: 63 views 字号:

摘要: 调查称逾半中国网贷公司未遵守数据隐私规定研究发现,超过半数的中国互联网金融贷款公司未能遵守数据隐私规定,给投资者带来风险。这些违规行为包括从用户的通信录中收集电话号码,这些电话号码可能被用于骚扰造势,通过羞辱用户来敦促其还款。中国人民大学和北京智库南都个人信息...

调查称逾半中国网贷公司未遵守数据隐私规定研究发现,超过半数的中国互联网金融贷款公司未能遵守数据隐私规定,给投资者带来风险。这些违规行为包括从用户的通信录中收集电话号码,这些电话号码可能被用于骚扰造势,通过羞辱用户来敦促其还款。中国人民大学和北京智库南都个人信息保护研究中心(Nandu Personal Data Protection Research Centre)对200个金融应用进行的调查显示,111个应用的合规水平为“低”。调查发现,几乎有一半(95个应用)试图读取用户的短信,而97个应用试图访问用户的通信录,尽管此类访问对于这些应用的正常运行并不必要。

参考来源:

http://www.ftchinese.com/story/001076985

思科智能安装协议遭到滥用,数十万关键基础设施倍感压力思科发布安全公告称其智能安装(SMI)协议遭到滥用,数十万设备在线暴露。目前一些研究人员已经报告了用于智能安装客户端(也称为集成分支客户端(IBC))的智能安装协议可能会允许未经身份验证的远程攻击者更改启动配置文件并强制重新加载设备,在设备上加载新的IOS映像,以及在运行Cisco IOS 和 IOS XE软件的交换机上执行高权限 CLI 命令。

参考来源:

http://hackernews.cc/archives/22291

 

15亿个敏感文件泄漏!因“FTP、SMB、rsync和S3存储桶”配置不当安全研究人员近日发现了网上泄露的15亿个企业和消费者文件,就在欧洲《通用数据保护条例》(GDPR)生效前一个月的节骨眼上居然发生了这么大的安全事件。

2018年短短的头三个月,威胁情报公司DigitalShadows在网上下列众多地方检测到了总共1550447111个公众唾手可得的文件:敞开的亚马逊简单存储服务(S3)存储桶、rsync、服务器消息块(SMB)、文件传输协议(FTP)服务器、配置不当的网站以及未加保护的网络附加存储(NAS)驱动器。

发现严重漏洞 Intel下架停用远程键盘App早在2015年Intel就宣布推出了Remote Keyboard App,允许用户通过无线控制英特尔NUC和英特尔Compute Stick单板计算机设备。该公司最近发现了3个导致停止该应用程序的重大Bug缺陷。据悉,该漏洞会被黑客利用,获得访问权限,并将击键指令注入到远程键盘会话中,并在用户的Android设备上执行恶意代码。Intel已经发布通知停产英特尔远程键盘,并建议用户尽快卸载远程键盘App。该应用已经从谷歌Play商店中下架删除,此前已经有超过50万次下载。

参考来源:

http://www.sohu.com/a/227405572_114760

芬兰第三大数据泄露案 暴露超过13万用户的明文密码据当地媒体报道,超过13万名芬兰公民的证件遭到了破坏,这是该国有史以来第三大数据泄露事件。芬兰通信管理局(FICORA)警告用户在赫尔辛基新商务中心(“Helsingin Uusyrityskeskus”)维护的网站上存在大规模数据泄露事件,该公司向企业家提供商业建议并帮助他们制定正确的商业计划。未知的攻击者设法破解了该网站(http://liiketoimintasuunnitelma.com),并窃取了超过13万名用户的登录用户名和密码,这些用户名和密码以纯文本形式存储在网站中,而没有使用任何加密散列。

参考来源:

https://thehackernews.com/2018/04/helsingin-uusyrityskeskus-hack.html

印度颁禁令,禁止银行与加密货币业者或个人往来印度储备银行发出禁令,要求受管辖的银行业者不得与从事加密货币交易的业者或个人往来,已提供相关服务的银行要在3个月内终止服务。

参考来源:

https://www.ithome.com.tw/news/122287

谷歌开源iOS自动测试框架GTXiLib,主打无障碍使用最近 Google 在帮助开发者提升 App 可用性上可谓是动作频频,不只发布了无障碍技术指导方案,成立无障碍支援团队,近日还在博客上宣布开源 iOS 专用的自动化测试框架 GTXiLib ,以帮助开发者打造无障碍App 。

GTXiLib 采用Objective-C编写,能与现存的 XCTest 测试框架整合,并在 XCTest 结束调用tearDown前,执行所有注册的可用性检查。当GTXiLib检测失败时,XCTest的测试也会失败,两者相辅相成,能够更好地修补和发现问题。

参考来源:

http://www.yuntiy.com/article/3687

比特币钱包也山寨  ElectrumPro不是Electrum的升级Electrum是一款受欢迎的轻量级比特币钱包,它使用electrum.org作为其主要网址。Electrum在Twitter 上澄清,Electrum不拥有electrum.com域名,这款ElectrumPro还有可能是“比特币窃取恶意软件”,该网站试图将其产品作为Electrum的升级版本,就好像它属于同一个团队一样。

参考来源:

https://thenextweb.com/hardfork/2018/04/06/1117443

联系站长租广告位!

中国首席信息安全官


关闭


关闭