安全周报（08.23-08.29）

1、网信办专项整治移动应用程序弹窗乱象，禁止PUSH弹窗推送娱乐八卦明星绯闻

国家网信办8月27日启动“清朗·移动应用程序PUSH弹窗突出问题专项整治”，重点面向新闻客户端、手机浏览器、公众账号平台、工具类应用等4类移动应用程序，分类施策，明确六项整改要求：

①禁止PUSH弹窗推送商业网站平台和“自媒体”账号违规采编发布、转载的新闻信息，推送新闻信息必须采用规范稿源。

②PUSH弹窗推送新闻信息不得渲染炒作舆情热点，断章取义、篡改原意吸引眼球、误导网民。

③未取得互联网新闻信息服务许可的工具类应用不得PUSH弹窗推送新闻信息。

④禁止PUSH弹窗推送娱乐八卦、明星绯闻、血腥暴力、奇闻异事、低俗恶俗等有悖社会主义核心价值观内容。

⑤禁止通过PUSH弹窗渠道放大传播失德艺人、负面争议人物的有关言论。

⑥遇突发事件、灾难事故，不得渲染血腥现场、过度强调案件血腥细节等，不得扎堆PUSH弹窗推送相关信息。

2、网信办拟出规定严管算法推荐服务提供者

近天，国家网信办就《互联网信息服务算法推荐管理规定（征求意见稿）》向社会公开征求意见，拟规定：算法推荐服务提供者

①不得利用算法实施流量造假、流量劫持；

②不得利用算法屏蔽信息、过度推荐、操纵榜单或者检索结果排序、控制热搜或者精选等干预信息呈现，实施自我优待、不正当竞争、影响网络舆论或者规避监管；

③不得向未成年人用户推送可能影响未成年人身心健康的信息内容，不得利用算法推荐服务诱导未成年人沉迷网络；

④算法推荐服务提供者应接受社会监督，设置便捷的投诉举报入口，及时受理和处理公众投诉举报。

3、我国互联网立法及监管方向日益明朗 网络安全问题出现下降趋势

数据安全受到社会各界的高度关注，互联网相关的立法和执法也在加速推进。随着《网络安全法》的施行，以及即将在今年先后施行的《数据安全法》和《个人信息保护法》，我国互联网立法及监管的方向日益明朗，网络安全问题也有下降趋势。

《报告》显示，截至今年6月，61.4%的网民表示过去半年在上网过程中未遭遇过网络安全问题，与2020年12月基本保持一致，遭遇个人信息泄露的网民比例最高为22.8%，遭遇网络诈骗的网民比例为17.2%。

2021年上半年，全国各级网络举报部门共受理举报7522.5万件，较2020年同期下降7.2%。

通过对遭遇网络诈骗网民的进一步调查发现，网民遭遇多种网络诈骗的比例均有所下降。其中，网民最常遭遇的虚拟中奖信息诈骗，占比为40.8%，较2020年12月下降7.1个百分点；遭遇网络购物诈骗的比例为31.7%，较2020年12月下降1.2个百分点；遭遇网络兼职诈骗的比例为28.2%，较2020年12月下降5.1个百分点。

4、云数据库严重漏洞或泄露密钥，微软警告数千客户抓紧处置

微软Azure云平台上的旗舰Cosmos DB数据库爆出严重漏洞，攻击者能够窃取数千家企业云上数据库的访问密钥，从而读取、篡改甚至删除企业的主数据库；

由于微软官方无法自行更改这些密钥，只能向广大云上客户发布安全警告，要求尽快更新密钥。

根据相关邮件及一位网络安全研究人员的证实，微软本周四（8月26日）向包括全球多家巨头企业在内的云服务客户发布广泛警告，称入侵者或有能力读取、篡改甚至删除其主数据库。

这项漏洞来自Microsoft Azure平台上的旗舰Cosmos DB数据库。云安全厂商Wiz的研究团队发现，攻击者能够借此漏洞掌握数千家企业日常使用的数据库的访问密钥。这里还有一段故事，Wiz公司首席技术官Ami Luttwak正是微软云安全团队的前任首席技术官。

由于微软无法自行更改这些密钥，因此只能于周四向客户发出邮件，提醒他们尽快创建新密钥。根据Wiz收到的微软邮件，微软公司愿意为此项漏洞的发现与上报支付4万美元奖励。

ChaosDB，史上最严重的云漏洞？

Luttwak在采访中表示，“这是我们所能想象到的最严重的云漏洞，也是个早已有之的潜在隐患。经由Azure中央数据库，我们能够访问任何客户的数据库。”