网站首页
产品中心
解决方案
客户案例
新闻资讯
伙伴合作
服务与支持
关于敏捷
行业资讯
敏捷速递丨5月国内外数据安全一览
发布时间:2019-06-03    作者:admin

5月,国家网信办发布《数据安全管理办法(征求意见稿)》,数据安全刻不容缓!敏捷科技带您聚焦数据安全行业最新国内、国际资讯关注数据安全政策与动态,提供企业数据安全解决方案与服务

01安全资讯

国外资讯

涉及2.75亿条印度公民信息的MongoDB数据库被曝光和公开索引

援引外媒Security Discovery于5月1日发现了一个未经保护和公开索引的MongoDB数据库,其中包括了涉及印度公民的个人身份信息的275,265,298条记录。这些信息中包括姓名、电子邮件地址、性别、教育水平和专业领域、专业技能和职称、手机号码、就业经历和当前雇主、出生日期以及当前的薪资水平。

Docker Hub遭入侵 19万帐号被泄露

近日,有开发者表示收到来自 Docker 的官方邮件,邮件内容显示由于 Docker Hub 遭受非法入侵,已导致 19 万个帐号的敏感数据被泄露,这些数据包括小部分用户的用户名和哈希密码,以及用于自动构建 Docker 镜像而授权给 Docker Hub 的 GitHub 和 Bitbucket token。

俄罗斯政府网站被爆泄露225万用户社保和护照等信息

多家俄罗斯政府网站泄露了超过225万公民、公务员和高层政治家的私人和护照信息。俄罗斯非政府组织Informational Culture的联合创始人Ivan Begtin最先发现并公开了本次严重的数据泄露事件。Begtin对政府在线认证中心、50家政府门户网站以及政府机构使用的电子投标平台进行了调查,发现有23家网站泄露个人保险信息,14家网站泄露护照信息,从这些网站泄露的数据包括全名、职称、工作地点、电子邮件和税号。

数千万条Instagram名人信息泄露

安全研究人员Anurag Sen发现Instagram位于AWS存储桶上的一个大型数据库保护不当,可被任意没有访问权限的人访问。该数据库包含4900多万条Instagram账户的联系信息,其中大部分都是网红和大V的个人信息,如个人经历、资料图片、粉丝数量、所在城市、私人联系方式、电子邮件地址以及电话号码等信息。另外,该数据库中还包含了计算每个账户价值的具体字段,可以估算账户的商业价值。据TechCrunch调查,该数据库属于社交媒体营销公司Chtrbox,其总部位于印度,主要业务就是让网红和网络大V发布广告。目前事件正在进一步调查当中。

美国金融公司网站泄露8.85亿份敏感数据

据外媒报道,First American是美国历史最悠久的公司之一,公司经营近130年,核心业务为房地产记录与影像、产品估价与服务、房屋保修产品、财险意外险、银行、信托、投资咨询服务等。由于First American网站缺乏安全措施,任何人无需身份验证即可访问数据,大约泄露了8.85亿份文件,包括一些高度敏感的数据,如抵押贷款、税务记录、社会保险号、电汇收据、驾照图像、银行账号和对账单等。First American发表声明称关闭了应用程序的外部访问,目前正在评估这对客户信息安全的影响。

国内资讯

重庆某医院未履行等级保护制度被罚款1万元

近日,重庆永川某私立医院因未安装边界防护设备、未安装日志行为审计设备,未设置数据安全备份策略等其他网络安全技术措施,使医院业务在互联网上长期处于“裸奔”状态。黑客通过互联网攻破医院系统后植入勒索病毒,导致医院业务全面“停摆”。经过民警和技术专家调查核实,该私立医院因未按照网络安全等级保护制度的要求履行安全保护义务。并按照《中华人民共和国网络安全法》第五十九条之规定,对医院处以罚款一万元,对直接负责的主管人员处以罚款五千元的行政处罚。

网易邮箱账号遭公开叫卖 官方回应:已报案

日前有消息称,在一些社交平台平台,有人公开叫卖网易邮箱账号,售价仅50元。卖家自称可向这些邮箱发送营销信息,并展示了据说包含有百万个邮箱账号的文件。对此,网易邮箱官方微博发布声明称,“经查,报道中提及的违法行为,仅涉及邮箱地址,不涉及用户敏感信息,目前已向公安机关报案。”

网信办通报百款常用App申请收集个人信息权限情况

针对App过度索要各种权限、搜集用户隐私信息的乱象,国家曾重拳出击,发布通告,就《App违法违规收集使用个人信息行为认定方法(征求意见稿)》,明确了七种相关违规行为。具体包括:没有公开收集使用规则、没有明示收集使用个人信息的目的方式和范围、未经同意收集使用个人信息、违反必要性原则收集与其提供的服务无关的个人信息、未经同意向他人提供个人信息、未按法律规定提供删除或更正个人信息功能、侵犯未成年人在网络空间合法权益。

02安全政策

“等保2.0”新标准落地

5月13日,国家标准新闻发布会正式发布网络安全等级保护制度2.0标准(以下简称“等保2.0”),新标准将于2019年12月1日开始实施,这意味着“等保2.0”时代从国家合规层面正式拉开了帷幕。等保2.0标准中,网络安全等级保护监管的对象得到很大扩充,从企业基础的业务系统,拓展到工业控制系统、云计算平台,安全保护的内容也扩大,供应链安全、通报预警等也被纳入其中。这将进一步加强整体的安全防护。

国家互联网信息办公室关于《数据安全管理办法(征求意见稿)》公开征求意见

为了维护国家安全、社会公共利益,保护公民、法人和其他组织在网络空间的合法权益,保障个人信息和重要数据安全,根据《中华人民共和国网络安全法》等法律法规,国家互联网信息办公室会同相关部门研究起草了《数据安全管理办法(征求意见稿)》,现向社会公开征求意见。

国家互联网应急中心开通勒索病毒免费查询服务

从国家互联网应急中心获悉,为了有效控制WannaCry勒索病毒的传播感染,国家互联网应急中心近日开通了该病毒感染数据免费查询服务。查询说明如下:1、WannaCry勒索病毒暂只能感染Windows操作系统,请用户在Windows操作系统上的浏览器中输入查询地址打开查询页面进行查询,查询地址为:http://wanna-check.cert.org.cn。2、若提示IP地址承载的计算机受到感染,建议使用WannaCry勒索病毒专杀工具进行查杀,并及时修复相关漏洞。3、如果使用宽带拨号上网或手机上网,由于IP地址经常变化,会导致查询结果不准确,仅供参考。

美国华盛顿州修订《数据泄露通知法》

5月7日,华盛顿州州长签发修订的《数据泄露通知法》,该法将在2020年3月1日生效。目前,在美国联邦层面尚未有统一的数据泄露通知法,但许多州都出台了此类法案。从2003年颁布第一个数据泄露通知法的加利福尼亚州开始,48个州先后通过了与数据泄露通知相关的法案。华盛顿州是亚马逊和微软两大全球顶级互联网公司的所在地,因此,其立法的修订对其他各州有重要的借鉴意义。

03安全报告

Verizon:《2019年数据泄露调查报告》

据外媒报道,《Verizon 2019年数据泄露调查报告》(The Verizon 2019 Data Breach Investigations Report ,简称DBIR)发布,该报告共有73个贡献组织,分析了41686起安全事件。从细节和覆盖面来看,DBIR已成为安全行业的权威。DBIR强调,以勒索钱财为目的的网络攻击正在增加。长期以来人们普遍认为,制造业的多数网络攻击是出于网络间谍活动。

欧洲数据保护委员会:《GDPR年度报告

近日,欧洲数据保护委员会(EDPB)在GDPR实施一周年之际,发布其首份GDPR年度报告。报告揭示了欧洲经济区 (EEA:欧盟28国、冰岛、芬兰和列支敦士登) 各国家监管机构(SA)在这一年中是如何携手一致实施GDPR的。EDPB报告发现,GDPR实施头一年里,EEA各SA共上报了206,326例案件,分属3个主要门类:近半数(94,622)是投诉;64,684件涉及数据泄露通知;剩下的则是 “其他” 问题,31家SA采取最后一种监管方式共判处了55,955,871欧元的行政罚款。

澳大利亚数据信息委员会:《2019第一季度安全报告》

澳大利亚数据信息委员会近日发布了这一季度的报告,其中指出,大约有1,005万名澳大利亚人(占总人口的40%)在2019年的前三个月就至少在一次事件中被泄露自己的个人信息。报告中特别指出了两起事件,其中一起造成了1,000万以上人数的信息泄露,而另一起则有大概25万到100万人受到影响。从2018年4月开始,澳大利亚的信息泄露事件中,大约有35%是个人失误引起,60%是因黑客攻击,5%是因为系统问题。从另一个角度,31%的泄露事件是因为误发邮件,16%因为掉落相关打印文件以及存储设备,28%因为意外发布信息。而对于因外部人员产生的泄露事件中,66%因为网络攻击,15%因为内部间谍行为,14%因为文档或者存储设备被窃取,5%因为社会工程。


中国信通院:《欧盟GDPR合规指引》

GDPR实施一周年之际,5月28日在贵阳举办的2019年中国国际大数据产业博览会“人工智能产业与数据跨境业务的法律监管国际论坛”上,中国信息通信研究院安全研究所联合对外经济贸易大学数字经济与法律创新研究中心、北京大学法治与发展研究院、奋迅律师事务所、科文顿∙柏灵律师事务所、京东集团,共同发布《欧盟GDPR合规指引》,为深入理解GDPR提供了有益思路。

电话:18120179909