中文版 Global
首页 > 安全资讯 > 正文

【深度报告】《360智库 网安日报》2019.7.9

  • 2019-07-09 18:39:53

1. 英国航空公司违反GDPR被罚1.83亿英镑

据7月8日报道,英国信息专员办公室(ICO)对英国航空公司(British Airways)处以1.83亿英镑罚款,原因是该公司违反了《通用数据保护条例(General Data Protection Regulation,GDPR)》。

拟议的罚款涉及2018年9月英国航空公司向ICO通报的一起网络事件。据信,这起事件始于2018年6月,一个名为MageCart的犯罪团伙发动了本次攻击,涉及约50万名客户的个人数据。9月,攻击者窃取了英国航空公司客户的个人和支付卡信息。约38万名客户的个人详细信息和信用卡号被泄露,还有18.5万名客户因安全漏洞而受到影响。黑客还访问了7.7万支付卡持卡人的个人和财务数据,包括姓名、账单地址、电子邮件地址、银行卡支付信息。10.8万名没有信用卡验证价值的客户的个人信息也被泄露。黑客在此期间还侵入了ba.com官方网站和英国航空公司的手机应用程序,窃取了预订航班的客户的数据。

这笔1.8339亿英镑的罚款相当于2017财年英国航空公司营业额的1.5%,低于欧盟GDPR规定的4%的最高罚款。

来源:securityaffairs

https://securityaffairs.co/wordpress/88083/data-breach/british-airways-fined-183m.html

2. 思科发布10个高评级漏洞的更新

思科发布了10个高评级漏洞的更新,这些漏洞可能允许攻击者控制受影响的系统。

这些更新的是针对10个漏洞评级为“高”的补丁,其中包括四个拒绝服务(DoS)错误,涉及到Web安全设备HTTPS证书,小型企业系列交换机HTTP,Web安全设备Web代理和Unified Communications Manager会话启动议定书。

这次更新还解决了应用程序策略基础结构控制器REST API权限提升漏洞和Small BusinessSeries Switches内存损坏漏洞问题。 

特权升级漏洞由上载特定软件时文件路径的不完整验证和错误检查引起,而内存损坏错误由不正确的HTTPS数据包验证引起。

来源:scmagazine

https://www.scmagazine.com/home/security-news/vulnerabilities/cisco-released-security-updates-to-address-vulnerabilities-in-multiple-products-which-could-allow-an-attacker-to-take-control-of-an-affected-system/

3. 美国国防部进行“网络闪电”演习

据7月6日报道,美国国防部协助美国网络司令部开展了一次演习,测试作战司令部网络规划部门的能力,以帮助指挥官更好地整合战场上的网络行动。

“网络闪电2019(Cyber Lightning 2019)”演习是欧洲司令部“严峻挑战(Austere Challenge)”演习的一部分,于今年3月举行。该演习试图测试战斗指挥人员内的新网络计划单元。这些小区被称为网络操作集成规划元素(CO-IPE)。2017年,新组织被授权为所有服务网络组件,作为实际控制网络力量的网络实体的卫星办公室。预计它们将在2022年全面投入运营。

来源:ExecutiveGov

https://www.executivegov.com/2019/07/dod-conducts-cyber-lightning-exercise/

4. 监管机构称NSA未达到政府网络安全标准

7月8日,根据外媒报道,美国国家安全局(NSA)的内部监督部门表示,NSA未能达到政府的网络安全标准,可能容易受到网络攻击。NSA监察长周一透露,NSA虽然收集并分析政府的一些最敏感情报,却并不总是遵循规则来确保信息安全。审计检查员还发现,NSA持有一些数据的时间超过了法律允许的时长,而且未能实施针对内部威胁的保护措施。

根据《联邦信息安全管理法》(Federal Information Security Management Act,简称“FISMA”),审计检查员每年都会对八个IT安全类别的组织进行评级,评估它们在多大程度上实现了最佳实践。分数从1级到5级不等,分数越高表示安全性越好。审计员将NSA的风险管理、配置管理、数据保护和隐私、持续监控和事件反应五个方面的评级定为二级,这意味着官员们对政策有明确的定义,但未能始终如一地执行这些政策NSA在身份和访问管理、安全培训两方面获得了3级的评级,这意味着政策得到了持续的执行,但官员们并没有衡量这些政策的有效性。监察长将NSA的应急管理措施评为1级,这意味着如果NSA成为网络攻击的受害者,它还没有正式的应对计划。

审计报告显示,尽管NSA的任务是数据驱动的,它也面临着许多网络安全挑战。报告还强调了目前正在进行的一些审计和调查,包括对NSA首席信息官(CIO)权威的评估,以及该机构信号情报系统认证的研究。报告中几乎没有关于任何正在进行的调查的资料。

美国国家安全局没有立即回应置评请求。

来源:Nextgov

https://www.nextgov.com/cybersecurity/2019/07/nsa-isnt-always-following-its-own-cybersecurity-policies-watchdog-says/158261/

5. 巴西将数字数据保护纳入公民基本权利

7月9日,巴西参议院通过一项提案,将保护数字平台上的数据加入该国宪法中列出的基本权利和公民个人保障清单。据知情人士称,在宪法中增加这一主题表明政府认识到这一主题的重要性。

在今年的早些时候,巴西成立国家个人数据保护管理局,其职责包括建立处理信息的框架,指导组织如何遵守规则,该管理局还将负责监督违规组织并对其处以罚款。

巴西的一般数据保护法原定于2020年2月生效,但在2019年1月离任前,巴西前总统米歇尔·泰默签署的一项权宜之计已将最后期限延长至明年8月。

来源:ZDNet

https://www.zdnet.com/article/brazil-to-add-digital-data-protection-to-fundamental-rights/

6. 泰国《个人数据保护法》生效

7月9日,据报道,泰国《个人资料保护法》(PDPA)于今年5月生效,给予处理个人资料的公司和政府机构为期一年的宽限期。这项措施与去年5月生效的欧盟通用数据保护条例(GDPR)相结合。

同时,根据《个人资料保护法》第42条,公司必须委任一名保障资料主任(DPO),负责管理法例的遵行情况,并与个人资料保障委员会的办事处合作。如个人资料在储存、使用及披露方面出现问题,办事处会直接联络DPO。根据PDPA的规定,最高罚款为500万泰铢,监禁6个月。

根据GDPR,任何公司(即使是集团以外的公司)对欧盟公民的数据处理不当,可能会被处以最高4%的年营业额或2000万欧元的罚款,以较高者为准。

在个人数据保护模式形成之前,美国的公司公然将个人信息商品化、购买和销售。但目前尚不清楚,这些全面的监管是否会控制科技巨头和Facebook等串行数据滥用者。

来源:Bangkok Post

https://www.bangkokpost.com/business/1708787/dawn-of-a-new-paradigm

7. 币安价值800万美元比特币被黑客盗取

7月8日凌晨,全球最著名的加密货币交易所之一币安(Binance)受到黑客攻击,价值800多万美元的比特币被盗。黑客将707.1 BTC从他的一个比特币钱包中发送到另外两个地址,Twitter账户“鲸鱼警报”(@whale_alert)检测到这两笔分别为706.1 BTC(800万美元)和1 BTC(11384美元)的转账。

今年5月,币安价值4,100万美元比特币被黑客盗取。据币安CEO赵长鹏在公司网站发表公告称,黑客使用“包括钓鱼、病毒和其他攻击手段”偷走了7,000比特币 (当时约合4000万美元)。赵长鹏在推特中表示,Coinbase等其他加密货币交易所已经阻止了来自与此次黑客事件相关地址的存入。

今年6月,区块链分析和合规公司Chainalysis发现:黑客进行了一系列奇怪的交易,转移了被盗的7000比特币的一部分,此前他们将赃物分发到7个不同的比特币地址。但随着10%的被盗资金转移,所有人的目光都集中在互联网加密货币交易所的比特币地址上,因为黑客们很可能正在寻找一种途径来兑现他们的网络战利品。

来源:The Next Web

https://thenextweb.com/hardfork/2019/07/08/binance-hack-8-million-bitcoin-cryptocurrency-stolen-transfer/

360安全卫士

热点排行

用户
反馈 返回
顶部