国内外简报industry briefing

2020年第38周国内外信息安全简报

恒安嘉新

本周共收集整理国内外安全信息11例,具体如下:

1. 外交部回应微软称中国网络攻击美大选

外交部发言人赵立坚表示,关于美国大选,我多次说过美国大选是内部事务,我们没有兴趣,也无意干涉。近日多名美国情报官员向美国媒体表示,美国情报机构并没有看到中国干预美国大选的证据。美国微软公司不应该无中生有,不应该硬拿中国说事。(详情链接

2. 涉嫌违反《网络安全法》和平精英等多款游戏类应用被通报

据央视新闻客户端消息,国家计算机病毒应急处理中心通过互联网监测发现,多款游戏类移动应用存在隐私不合规行为,违反《网络安全法》相关规定,涉嫌超范围采集个人隐私信息。(详情链接

3. 2020年上半年勒索软件占所有网络保险索赔的41%

勒索软件事件已占2020年上半年提交的网络保险索赔41%。高额的索赔数量是为了证实此前多家网络安全公司的报告,即勒索软件是当今最普遍、最具破坏性的威胁之一。(详情链接

4. 工信部下架23款侵害用户权益App,含蛋壳公寓等应用

2020年8月31日,工业和信息化部向社会通报了101家存在侵害用户权益行为App企业的名单。截至目前,经第三方检测机构核查复检,尚有23款App未按要求完成整改。(详情链接

5. 成千上万的MobileIron服务器遭受远程攻击

研究人员披露了影响MobileIron移动设备管理(MDM)解决方案的几个潜在的严重漏洞的详细信息,其中包括一个攻击者可未经身份验证的在受影响的服务器上远程执行代码的漏洞。(详情链接

6. 深圳振华数据库泄露,澳印媒体借机炒作

整合境外数据信息为国内机构提供服务的深圳振华数据信息技术有限公司的一个数据库外泄。数据库包含了大约 240 万人的信息,绝大部分收集自社交网络。(详情链接

7. 乔·拜登竞选应用现漏洞:选民敏感信息可被轻易查询

一名安全研究人员发现,美民主党总统候选人乔·拜登的官方竞选应用存在隐私漏洞--任何人都可以查询数百万美国人的敏感选民信息。(详情链接

8. 错误配置的Elasticsearch服务器泄露3.7亿条记录的数据

vpnMentor发布了一份新报告,该报告调查了70多个网站的新数据泄漏,这些网站主要属于约会领域,也包括电子商务网站。(详情链接

9. 蓝牙欺骗漏洞BLESA影响数十亿物联网设备

美国普度大学研究人员发表论文称,其发现了一个蓝牙低功耗(BLE)漏洞,该漏洞允许欺骗攻击,可能会影响人类和机器执行任务的方式。研究人员表示,它可能会影响数十亿物联网(IoT)设备。BLE欺骗攻击(BLESA)漏洞会影响重新连接过程,重新连接过程是设备在丢失或丢失配对后重新进入范围时发生的。(详情链接

10. 美国CISA显示飞利浦医疗监护产品存在多个安全漏洞,可导致患者数据中断

飞利浦(Philips)医疗监护产品存在多个安全漏洞,攻击者可利用这些漏洞获取未经授权的患者数据访问权限。研究人员共发现八个安全漏洞。美国网络安全和基础设施安全局(CISA)发布安全告警称,虽然这些漏洞的危害等级为中危和低危,但即便是低技术水平的攻击者也可以成功利用它们。CISA表示,成功利用这些漏洞可以导致越权访问、中断监控、访问信息或收集患者数据。(详情链接

11. CVE宣布与CISA合作推动工业控制系统和医疗设备的突破披露

9?月15日,通用突破和披露(CVE?)计划宣布,其正在扩大与网络安全和基础设施安全局(CISA)的合作关系,以管理CVE计划的CVE标识符(ID)分配。CISA被指定为工业控制系统(ICS)和参加CVE编号提交机构(CNA)的医疗设备供应商的顶级根。CNA是被授权为在特定范围内影响产品的分配CVE ID的组织。顶级根CNA(例如CISA)管理给定域或社区内部的一对CNA,并可以为拆分分配CVE ID。(详情链接