安全周报(08.23-08.29)
1、网信办专项整治移动应用程序弹窗乱象,禁止PUSH弹窗推送娱乐八卦明星绯闻
国家网信办8月27日启动“清朗·移动应用程序PUSH弹窗突出问题专项整治”,重点面向新闻客户端、手机浏览器、公众账号平台、工具类应用等4类移动应用程序,分类施策,明确六项整改要求:
①禁止PUSH弹窗推送商业网站平台和“自媒体”账号违规采编发布、转载的新闻信息,推送新闻信息必须采用规范稿源。
②PUSH弹窗推送新闻信息不得渲染炒作舆情热点,断章取义、篡改原意吸引眼球、误导网民。
③未取得互联网新闻信息服务许可的工具类应用不得PUSH弹窗推送新闻信息。
④禁止PUSH弹窗推送娱乐八卦、明星绯闻、血腥暴力、奇闻异事、低俗恶俗等有悖社会主义核心价值观内容。
⑤禁止通过PUSH弹窗渠道放大传播失德艺人、负面争议人物的有关言论。
⑥遇突发事件、灾难事故,不得渲染血腥现场、过度强调案件血腥细节等,不得扎堆PUSH弹窗推送相关信息。
2、网信办拟出规定严管算法推荐服务提供者
近天,国家网信办就《互联网信息服务算法推荐管理规定(征求意见稿)》向社会公开征求意见,拟规定:算法推荐服务提供者
①不得利用算法实施流量造假、流量劫持;
②不得利用算法屏蔽信息、过度推荐、操纵榜单或者检索结果排序、控制热搜或者精选等干预信息呈现,实施自我优待、不正当竞争、影响网络舆论或者规避监管;
③不得向未成年人用户推送可能影响未成年人身心健康的信息内容,不得利用算法推荐服务诱导未成年人沉迷网络;
④算法推荐服务提供者应接受社会监督,设置便捷的投诉举报入口,及时受理和处理公众投诉举报。
3、我国互联网立法及监管方向日益明朗 网络安全问题出现下降趋势
数据安全受到社会各界的高度关注,互联网相关的立法和执法也在加速推进。随着《网络安全法》的施行,以及即将在今年先后施行的《数据安全法》和《个人信息保护法》,我国互联网立法及监管的方向日益明朗,网络安全问题也有下降趋势。
《报告》显示,截至今年6月,61.4%的网民表示过去半年在上网过程中未遭遇过网络安全问题,与2020年12月基本保持一致,遭遇个人信息泄露的网民比例最高为22.8%,遭遇网络诈骗的网民比例为17.2%。
2021年上半年,全国各级网络举报部门共受理举报7522.5万件,较2020年同期下降7.2%。
通过对遭遇网络诈骗网民的进一步调查发现,网民遭遇多种网络诈骗的比例均有所下降。其中,网民最常遭遇的虚拟中奖信息诈骗,占比为40.8%,较2020年12月下降7.1个百分点;遭遇网络购物诈骗的比例为31.7%,较2020年12月下降1.2个百分点;遭遇网络兼职诈骗的比例为28.2%,较2020年12月下降5.1个百分点。
4、云数据库严重漏洞或泄露密钥,微软警告数千客户抓紧处置
微软Azure云平台上的旗舰Cosmos DB数据库爆出严重漏洞,攻击者能够窃取数千家企业云上数据库的访问密钥,从而读取、篡改甚至删除企业的主数据库;
由于微软官方无法自行更改这些密钥,只能向广大云上客户发布安全警告,要求尽快更新密钥。
根据相关邮件及一位网络安全研究人员的证实,微软本周四(8月26日)向包括全球多家巨头企业在内的云服务客户发布广泛警告,称入侵者或有能力读取、篡改甚至删除其主数据库。
这项漏洞来自Microsoft Azure平台上的旗舰Cosmos DB数据库。云安全厂商Wiz的研究团队发现,攻击者能够借此漏洞掌握数千家企业日常使用的数据库的访问密钥。这里还有一段故事,Wiz公司首席技术官Ami Luttwak正是微软云安全团队的前任首席技术官。
由于微软无法自行更改这些密钥,因此只能于周四向客户发出邮件,提醒他们尽快创建新密钥。根据Wiz收到的微软邮件,微软公司愿意为此项漏洞的发现与上报支付4万美元奖励。
ChaosDB,史上最严重的云漏洞?
Luttwak在采访中表示,“这是我们所能想象到的最严重的云漏洞,也是个早已有之的潜在隐患。经由Azure中央数据库,我们能够访问任何客户的数据库。”