欢迎来到安联智库seczk.com--做最好网安新媒体!!
快捷搜索:  热点  资讯  事件  漏洞  技术  攻防  
主页 > 安联智库 > 安联周报 > 《安联智库-网安周报》2022-02-13

《安联智库-网安周报》2022-02-13

安联智库WTX
 

1、北京一科技公司利用爬虫技术窃取2.1亿条简历数据 被告人被判处有期徒刑7年

据北京海淀检察院8日消息,近日,海淀区检察院起诉的某科技(北京)有限公司(以下简称某科技公司)、王某某等人涉嫌侵犯公民个人信息罪一案,经北京市第一中级人民法院裁定维持原判,案件一审判决生效。被告单位某科技公司被判处罚金人民币四千万元,被告人王某某被判处有期徒刑七年,罚金人民币一千万元,其他被告人均被判处相应刑罚。本案对被告单位判处的罚金数额、对被告人判处的刑期和罚金数额,均系近年来全国同类案件判罚最重案例。
某科技公司成立于2014年,主要经营招聘工具软件和大数据分析等业务。2015年至2019年间,该公司组建专门爬虫技术团队,在未取得求职者和平台直接授权的情况下,秘密爬取国内主流招聘平台上的求职者简历数据。本案涉案人员多、涉案电子存储设备多、涉案数据量特别巨大、被告人作案手段呈现高技术化特征,针对这些问题海淀区检察院科技犯罪检察团队适时提前介入案件,并密切配合公安机关取证工作。案件审查过程中,针对海量涉案公民简历数据,检察官提出具体指导意见,从涉案数据中发现具有爬虫特征的2.1亿余条个人信息。经查,某科技公司获取上述数据后,对数据进行重整,并用于开发产品意图谋利。期间,某科技公司爬虫技术团队负责人欧某某,私自将公司窃取的简历数据对外出售,个人非法获利人民币30余万元。
检察官提示:2021年相继出台的《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》,体现出加强数据和个人信息保护的立法态度,司法机关也会更加严厉打击侵害公民个人信息、侵害数据权属的各类不法行为。建议相关行业主体更加重视数据安全和个人信息保护,不仅不越权获取个人信息和关键数据,更要注重数据和个人信息保护工作。
2、禁止“最严算法”考核,上海出台举措维护新就业形态劳动者权益

2 月 13 日消息,据中新网报道,上海市人力资源和社会保障局 13 日发布消息称,该局联合上海市发展改革委、市交通委等八部门联合出台了《关于维护新就业形态劳动者劳动保障权益的实施意见》(以下称《实施意见》),旨在明确劳动者权益保障责任,补齐劳动者权益保障短板,优化劳动者权益保障服务,完善劳动者权益保障工作机制。

《实施意见》聚焦新业态劳动者权益保障面临的突出问题,健全了符合确立劳动关系情形、不完全符合确立劳动关系情形的新就业形态劳动者公平就业、劳动报酬、休息、劳动安全、社会保险等方面的制度,明确将以相关平台企业为重点,开展上海平台灵活就业人员职业伤害保障试点,要求平台优化算法原则,禁止平台将最严算法作为考核要求,遏制“以罚代管”

《实施意见》明确劳动者权益保障责任,要求企业依法合规用工,积极履行用工主体责任,对符合劳动关系情形、不完全符合确立劳动关系情形但企业对劳动者进行劳动管理的新就业形态劳动者权益保障承担相应责任。平台企业采取劳务派遣、外包等合作用工方式的,与合作企业依法承担各自的用工责任。企业以非劳动关系的名义用工,但符合劳动关系特征的,应当依法承担相应的责任。

了解到,针对新就业形态劳动者享受劳动保障等公共服务方面的问题短板,《实施意见》提出了完善就业服务体系、优化社会保险经办、加强职业技能培训、改善工作生活条件等方面的措施。

《实施意见》要求各区各有关部门协同推进新就业形态劳动者权益保障工作,做好政策宣传,发挥工会组织代表作用,加强工会对新就业形态劳动者的服务和保障,依法高效调处矛盾纠纷,加大监管力度,及时查处违法行为,切实维护新就业形态劳动者合法权益。

3、FBI注意到SIM卡替换攻击类型急剧增加 导致民众损失超过6800万美元

在一份公共服务公告中,联邦调查局透露,与SIM卡替换有关的犯罪行为有惊人的增长,在2021年给美国公众造成了价值超过6800万美元的损失。随着越来越多的消费者将其在线账户的访问和恢复与电话号码绑定为2FA(二次验证),攻击者通过恶意挂失SIM卡,并将所有数据如电话、恢复短信和OTP转移到他们选择的设备上,从而绕过这一额外的安全措施。

FBI建议除了2FA验证外,使用认证应用程序和物理安全令牌可以增加安全性,并建议人们避免在社交媒体网站和论坛上分享个人和财务细节。

SIM卡替换攻击的基本方式是嫌犯窃取一定数量的个人数据(包括受害者电话号码),假装机主联系另一家运营商,声称手机已丢失并说服运营商提供新手机和SIM卡,断开“旧”线路,然后从云端传输受害者的应用程序和信息。通过SIM卡替换攻击,罪犯可以用不同的设备控制手机以持续获得更多有用的信息。

SIM替换攻击迅速增加的一个证据是联邦调查局去年收到的相关投诉的数量。在2018年1月至2020年12月期间,总共有320起此类投诉,总计导致1200万美元的损失。然而,仅在2021年,在1611起SIM卡替换攻击投诉被记录以后,这一数字急剧上升到6800万美元。

虽然基于短信的2FA为账户增加了额外的安全层,但这种方法长期以来一直被认为是有风险的,因为移动运营商发来的短信仍然可以通过恶意软件窃取或冒充,攻击者会欺骗运营商将电话号码换到他们选择的SIM卡上。

SIM卡替换的受害者也可能因为在社交媒体和公共论坛上宣传他们的金融资产而自食其果,这也包括分享加密货币投资上的细节,正如联邦调查局的咨询中指出的那样。

当然,用户可以通过强度更大的密码(和密码管理器),以及采用更强大的2FA方法,而不是基于短信来解决依赖短信的问题问题。基于应用程序的认证器生成代码,或像Google这样的无代码实施,已被证明可以提高账户保护能力。

此外,联邦调查局还建议移动运营商对员工进行有关SIM卡替换的教育和培训,并采取更严格的措施来验证与将号码换到新设备上有关的真实用户请求。

4、渥太华卡车司机抗议活动捐赠网站现安全漏洞:捐赠者数据遭曝光

获悉,目前在渥太华抗议加拿大国家疫苗规定的卡车司机使用的捐赠网站已经修复了一个安全漏洞,该漏洞暴露了捐赠者的护照和驾驶执照。位于马萨诸塞州波士顿的捐赠服务GiveSendGo上周成为Freedom Convoy的主要捐赠服务商,此前GoFundMe冻结了数百万美元的捐赠,理由是警方报告了该市的暴力和骚扰。

抗议活动始于1月,数千名抗议者和卡车司机来到加拿大首都,致使街道交通陷入瘫痪。他们反对强制接种COVID-19疫苗。在GoFundMe上的一个筹款页面达到了约790万美元的捐款,众包巨头出面阻止了该活动,促使筹款工作转移到GiveSendGo--该公司公开宣布支持抗议活动。根据一份新闻稿,GiveSendGo表示,在该公司主办活动的第一天,它已经为Freedom Convoy的抗议者处理了超450万美元的捐款。

在安全领域工作的一位工作人员发现了一个暴露的亚马逊托管的S3储存库,其中包含超过50GB的文件--里边有在捐赠过程中收集的护照和驾驶执照,之后TechCrunch得到了这个数据丢失的消息。

该研究人员称,他们通过查看自由车队在GiveSendGo上的网页的源代码发现了这个暴露的桶的网络地址。S3储存库用于在亚马逊的云中存储文件、文档甚至整个网站,但默认设置为私有,在储存库的内容被公开供任何人访问之前需要一个多步骤的过程。

自2月4日Freedom Convoy的页面首次在GiveSendGo上建立以来,被曝光的储存库内有超1000张照片和护照及驾驶执照的扫描件。这些文件名表明,这些身份文件是在支付过程中上传的,一些金融机构在处理一个人的付款或捐款之前需要这些文件。

当地时间周二,TechCrunch联系了GiveSendGo的联合创始人Jacob Wells以了解了被曝光的储存库的细节信息,但Wells没有回应。

目前还不知道这个储存库到底被暴露了多久,但一位不愿透露姓名的安全研究员留下的一个文本文件显示日期为2018年9月,并警告称这个储存库“没有正确配置”、可能会产生“危险的安全影响”。


暂无

您可能还会对下面的文章感兴趣:

相关文章