立秋至，暑难消，e安在线信息安全快讯

美国国土安全部（DHS）部长克尔斯滕·尼尔森近日宣布成立新的机构间中心——国家风险管理中心，旨在帮助关键基础设施企业长期评估持续存在的网络威胁以及由此引发的网络风险，尼尔森表示将致力打击入侵和破坏金融、能源以及医疗保健系统的黑客行为，化解科技公司遭受网络攻击的危机。

在经历了2016年大选前黑客入侵国家系统之后，DHS 于2017年1月决定将投票系统指定为关键基础设施，同时新增加面向16个关键基础设施部门的统计数据归档。随着关键基础设施的定义范围不断扩大，且美国绝大多数关键基础设施皆掌握在私有企业手中，这项工作的复杂度一直在持续提升。（来源：E安全）

据悉，乌干达通信委员会(UCC)已经向该国的各个电信公司和互联网服务供应商(ISP)提出了屏蔽当地以及国际色情网站的指示。UCC执行主任Godfrey Mutabazi表示目前他们已经确定了17个热门当地和10个国际色情网站，他们已经要求ISP和通信公司屏蔽掉这些网站。

该国政府最初在2016年宣布，他们购置了一台色情检测机器并于该年9月抵达乌干达。然后最终并没有出现。

据称，这台机器可以检测到储存在某人手机、电脑或相机中的色情图片。2017年8月，一名政府官员在乌干达色情控制委员会(PCC)举行的一场活动上宣布，色情检测机器人即将到来。

然而它还是没有出现。现在， 2018年7月23日，UCC决定采取了屏蔽色情网站的做法。

Mutabazi指出，屏蔽网站列表由PCC提供。另外他发出警告，如果电信公司和ISP不遵守命令它们将要面临处罚。（来源：cnbeta/国际）

近期，由退休法官B.N. Srikrishna出任出席的委员会，向印度Union law minister Ravi Shankar Prasad提交了《个人数据保护法（草案）》。

与《个人数据保护法（草案）》相配的报告称，印度中央政府应根据战略利益和执法要求确定对国家至关重要的敏感个人数据类别，也就是认定哪些个人敏感数据应当被认定为关键个人数据。

在《个人数据保护法（草案）》中，个人敏感数据将包括密码，财务数据，健康数据，官方标识符，性生活，性取向，生物识别和遗传数据，以及揭示跨性别状态，双性人身份，种姓，部落，宗教或政治信仰或个人隶属关系的数据。（来源：网安寻路人）

针对社会上反映较为集中的“部分应用随意调取手机摄像头权限、用户订单信息泄露引发诈骗案件、用户信息过度收集和滥用”等网络数据和用户个人信息安全突出情况，工信部对北京爱奇艺科技有限公司、上海携程商务有限公司等多家涉事企业开展调查。

结合情况问询及调查核实情况，工信部初步认定上海洋码头网络技术有限公司存在用户个人信息安全管理制度不完善、用户个人信息泄露补救措施不到位等问题，对该企业相关负责人进行了约谈，责令企业限期整改，并提交整改报告。

据介绍，下一步，工信部将持续加大对网络数据和用户个人信息安全事件的监测巡查力度，指导督促企业切实履行相关法律责任，依法依规严肃处理涉事企业，切实做好网络数据和用户个人信息安全保护工作。 （来源：新华网）

网络安全事件

8 月 3 日晚间接近午夜时分，全球晶圆代工龙头大厂台积电位于台湾新竹科学园区的营运总部突遭电脑病毒入侵，且生产线全数停摆。不到几个小时，台积电位于台中科学园区以及台南科学园区的厂房也陆续传出同样消息。

随后，台积电也对外证实此事。台积电方面称，8月3日傍晚，部分生产设备受到病毒感染，非如外传之遭受黑客攻击，公司已经控制此病毒感染范围，同时找到解决方案，受影响生产设备正逐步恢复生产。受病毒感染的程度因工厂而异，部分工厂在短时间内已恢复正常，其余工厂预计在一天内恢复正常。

台积电发生的电脑病毒感染，导致全台湾主要的生产线都暂时停摆，这对于台积电是重大事件，发生至今不到 24 小时，很多细节都须等待公司对外进行详细的解说，包括影响情况等，尤其是下半年即将放量的7纳米工艺技术，苹果、海思等大客户订单是否会被影响，以及台积电下周一是否需要暂停停牌以对外说明情况，都是接下来观察重点。（来源：新浪）

近日，网络安全公司Check Point披露了一场大规模恶意广告攻击行动。攻击者通过购买披着合法外衣的”加料“网站广告位，劫持用户流量来获取黑色利益。研究人员推测，这些来路不明的广告位已经加入到合法的在线广告平台，以用来劫持受害者的网络流量，重定向至骗子网站或利用工具推送勒索软件、网银木马或挖矿插件等恶意软件。

Check Point在报告中表示，“Master134”是这场恶意攻击背后的黑手， 该团伙入侵了1万多个基于WordPress CMS 4.7.1版本的网站，接管网站后自行开设网站广告位，并发布到实时竞价广告平台AdsTerra。而且，第三方广告发布平台和经销商很可能明知这些情况，但仍选择帮助这条黑色利益链上的各方完成交易。（来源：freebuf）

8月1日晚间，“威胁猎人”微信公众号披露，其当日下午通过暗网监测到浙江省1000万学籍数据正在暗网上售卖。截图显示，售卖的学籍数据覆盖了浙江的大部分市区，被泄露的信息包含了学生姓名、***、学籍号、户籍位置、监护人、监护人号码、居住地址、出生地、学校名称等。

据悉，除了文字信息，售卖的学籍数据里还提供有照片链接，数据在100G左右。

据其分析，虽然卖家说是今年最新的数据，但不排除存在有老数据的可能。而且，被泄露的学籍数据里只含有中小学生，不包含大学生，推测浙江省中小学生学籍信息管理类系统可能被“拖库”。如果属于漏洞导致的泄露问题，那么其他省份类似系统也可能会存在相同的问题。但目前从暗网上只售卖浙江省的数据来看，推测该事件也可能是内部人员泄露或内部人员账号泄露导致的问题。（来源：威胁猎人）

美国社交新闻网站Reddit周三宣布，该公司的几个系统遭到黑客入侵，导致一些用户数据被盗，其中包括用户目前使用的电子邮箱以及2007年的一份包含旧加密密码的数据库备份。Reddit称，黑客获取了旧数据库备份的一个副本，其中包含了早期Reddit用户数据，时间跨度从2005年该网站成立到2007年5月。

Reddit表示，此次攻击是通过拦截员工的短信实现的，该短信中包含了一次性登录码。该公司还补充道，他们已经将此事通知受影响的用户。（来源：新浪科技）

近日，深圳市宝安区人民检察院依法以涉嫌侵犯公民个人信息罪，对深圳某航空服务公司的副总经理李某、网管员汪某等人提起公诉。

该航空服务公司从2014年开始，竟悄悄地利用技术手段，将授权的原始账号放大为多个子账号。李某、汪某将授权账号放大得到70多个子账号之后，将 40 个左右的子账号租出去牟利。经查证，通过这种方法，该航空公司并同李某、王某共牟利十万多元，泄露用户信息将近 500 万条。

最终，法院分别判处涉事人员十一个月至一年六个月有期徒刑，并处罚金。办案检察官表示：登录航空公司售票相关系统的账号，竟然能够被人通过技术手段放大为多个子账号，造成被他人出租等，这也反映在相关软件设计上存在一定的漏洞，相关单位应当进一步堵塞漏洞。此外，一些特定岗位的从业人员，掌握着获取公民个人信息的资源与便利，也应当加强行业监管，并加强从业人员的道德意识和法律意识，谨防从事一些违法犯罪的行为。（来源：深圳新闻网）

2018年以来，针对爆发式增长的在线娱乐需求，国内对于内容产业的监管趋严，主管部门整顿直播答题、约谈抖音B站等事件历历在目。如今，苹果也被发现存在App审核不严、系统存漏洞等问题，被央视、新华社等权威官媒点名批评。

在央视第13套新闻频道9点开播的新闻进行时栏目当中，央视以“苹果官方应用商店管理存漏洞”为标题进行了专题报道，并共分为5个部分，从网络彩票、马甲包、非法App等多个层面进行了总计长达34分钟的综合报道。

同一天，新华社在官方微信账号发布了一篇名为《黄、赌、药都敢发！苹果，你怎么连这样的事都不管？》的文章，以3000余字的篇幅直接批评苹果在审核上的失职，忽视iMessage漏洞致使用户受到包含赌场、色情、贷款等垃圾内容信息的轰炸。（来源：央广网）

数据统计

卡巴斯基实验室ICS CERT的研究人员在8月1日发表的一篇博文中指出，该团队发现了一系列带有恶意附件的网络钓鱼电子邮件，主要针对的是与工业生产相关的俄罗斯公司和机构。从主题和内容上来看，这些电子邮件极具针对性。攻击者将这些电子邮件伪装成合法的商业报价，并且电子邮件内容与其目标所进行的工作极具相关性。

根据卡巴斯基实验室提供的数据我们可以看出，大约有400家与工业生产相关的公司成为了此次攻击的目标，这包括制造业、石油和天然气、冶金、工程、能源、建筑、采矿以及物流等。在2017年10月到2018年6月期间，大约有800名在这些公司工作的员工遭到了攻击。（来源：黑客视界）

以色列一家专门从事汽车联网安全的公司卡拉姆巴安全公司（Karamba Security）首席执行官阿米·多坦表示，自动驾驶汽车每1800行代码就存在一些错误，其中80%是安全漏洞。一辆联网车辆和一辆自动驾驶汽车的潜在安全漏洞数目分别为5000和15000。”

多坦称，自动驾驶汽车的代码可能超过3亿行，这大约是拥有1500万行代码的波音787梦幻客机的20倍。

为了解决这一问题，多坦建议汽车制造商要确保电子控制单元被“强化”，以检测未经授权的、试图修改软件的行为。其中一种可能行之有效的方法是，一旦检测到未经授权的访问尝试，车辆软件就会自动恢复到出厂设置。

目前，汽车制造商在阻止黑客入侵车辆方面做得明显还不够。（来源：中国汽车报）

漏洞速递

8月1日，去中心化漏洞平台（Decentralized Vulnerability Platform，DVP）召开“安全链接计划”发布会，宣布自7月24日正式上线的DVP，上线第一周已收到白帽子提供的漏洞312个，涉及175个项目方，包括一些智能合约、知名公链、交易所等一系列项目。

经审核，在白帽子提交的漏洞中，高危漏洞达122个，占所有漏洞的39.1%，中危漏洞53个，约占17%。其中，包括某智能合约厂商存在重入漏洞，黑客可通过该漏洞从合约中无限提取资金。某大型公链更是存在设计缺陷，可导致此项目大量的公链节点崩溃，甚至可能导致项目方硬分叉。（来源：中国信息安全）

其他漏洞：