政府金融游戏安全资讯精选第七期:互联网群组和公众号监管加强,Equifax 数据泄漏事件解读,Struts2 最新漏洞分析

Posted 阿里云安全

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了政府金融游戏安全资讯精选第七期:互联网群组和公众号监管加强,Equifax 数据泄漏事件解读,Struts2 最新漏洞分析相关的知识,希望对你有一定的参考价值。


2017年 第七期

News From The Lab





http://www.cac.gov.cn/2017-09/07/c_1121624269.htm?spm=5176.100239.blogcont202759.13.DXIu2K


概要:网信办9月7日发布《互联网用户公众账号信息服务管理规定》《互联网群组信息服务管理规定》,2017年10月8日起施行。依据规定,互联网群组和公共账号须备案;群组建立者须承担管理责任;公众账号平台须设立总编辑,负责信息内容安全;群组信息服务提供者要做实名认证并建立黑名单管理制度,还需要留存网络日志至少6个月。

 

点评:两项规定进一步落实了内容安全的主体责任,群组“谁创建谁负责”,把责任落实到个人。群组和公众账号服务提供者的管理责任更加重大,内容安全的技术、人力投入以及网络日志存储的成本都将增加。

复制链接,阅读本周政府安全资讯


https://yq.aliyun.com/articles/202759?spm=5176.100244.teamhomeleft.20.SwiIht



政府、金融、游戏安全资讯精选第七期:互联网群组和公众号监管加强,Equifax 数据泄漏事件解读,Struts2 最新漏洞分析



【金融安全头条】美国信用评分公司Equifax 被攻击,泄漏 1.43 亿用户数据


http://www.chinanews.com/gj/2017/09-08/8325752.shtml


概要:泄露的信息包括用户社会安全码、驾照信息、生日信息、信用卡数据等。据SEC(U.S. Securities and Exchange Commission)的文件,三位Euifax董事已经售出了“一小部分”所持股票。Equifax 称黑客利用了 Web 应用的漏洞访问了某些文件,Apache Struts 受到的怀疑最多。Apache Struts 项目今年爆出了两个漏洞,一个是在 3 月,另一个就是在上周。Apache本周对此发表了澄清声明,称在接到漏洞报告之后,已经尽快修复了漏洞。


点评:令人恐慌的,不仅仅是泄露规模之大,和被泄露信息的“隐私”程度,更是因为Equifax是全美最权威的信用评分公司之一,却在网络攻击中“信用彻底崩塌”。随着针对性攻击变本加厉,信息泄露事件会更加频繁,以法律和标准来保护个人信息安全是必然,政府、金融等行业,也需要承担更大的安全责任。


有理由推断,该事件有可能成为近年来在广度和深度上最严重的数据泄露事件之一。根据国外法律,当隐私违规使得消费者利益受影响,FTC(Federal Trade Commission)有可能会予以20年审计的处罚,另可能涉及不同州的州际法律,对数据泄露的要求和惩罚。


在信用业务管理和信息安全技术方面,无论是市场成熟度还是政府监管,美国都有很多成熟的经验。但从此次事件的体量、发生原因和高层的表现来看,很多大型企业在技术,内部安全管理方面都缺乏应有的态度和经验,尤其在安全治理层面。


从另一个角度来说,通过法律和监管措施去推动企业提升安全管理水平才是长远之计。在国内,等级保护制度就是一个很好的方式,企业可通过“过等保”这个过程,沉淀出企业安全管理的方法论,从事后亡羊补牢,转换成事前风控,从根源上缓解安全风险。


复制链接,获取完整资讯点评、安全事件预警和行业安全建议


https://yq.aliyun.com/articles/204549?spm=5176.100244.teamhomeleft.4.SwiIht

 

政府、金融、游戏安全资讯精选第七期:互联网群组和公众号监管加强,Equifax 数据泄漏事件解读,Struts2 最新漏洞分析


【每周行业DDoS攻击态势】


政府、金融、游戏安全资讯精选第七期:互联网群组和公众号监管加强,Equifax 数据泄漏事件解读,Struts2 最新漏洞分析

(点击可放大)


【游戏安全头条】 游戏账号窃取日益猖獗,游戏运维人员如何做好防范?


https://www.gdatasoftware.com/blog/2017/07/29892-error-404-online-gamers-at-risk?spm=5176.100239.blogcont204550.18.NPCw18


概要:盗取游戏账号主要目的是获取个人信息在暗网售卖,并且用账号、虚拟货币、虚拟装备来盈利,这也意味着,游戏行业越发达,安全风险也就越高,因为攻击者的盈利空间越大。


作为游戏公司,可定期引导玩家去检查自己的账户密码是否受到数据泄露的影响;如果遇到游戏账号丢失或大面积被窃取,游戏公司需要尽快做好沟通;安全运维人员要随时关注登录游戏的活跃IP,如果遇到IP增加的情况,则需要及时提防响应;同时需要为安全准备相应的资源,安全产品能灵活扩展很重要;最后,通过序列号,个人信息验证机制,来确保玩家身份的真实性。


其它资讯精选

点击阅读原文可查阅


  • 微博推进实名制认证 所有新老用户需实名 否则无法发博与评论 

  • 欧盟裁决将加强对工作场所的隐私保护 

  • Struts2 REST插件远程执行命令漏洞全面分析





金融、政府、游戏安全资讯精选会通过云栖社区专栏,

阿里云安全微信和微博,每周与您见面。

如果您是阿里云用户,


扫码参与全球安全资讯精选

读者调研反馈


我们会认真讨论您的每一条建议

并邀请精彩回答者加入VIP读者群



点击阅读原文

阅读本周全部安全资讯


以上是关于政府金融游戏安全资讯精选第七期:互联网群组和公众号监管加强,Equifax 数据泄漏事件解读,Struts2 最新漏洞分析的主要内容,如果未能解决你的问题,请参考以下文章

第12阶段 SRC安全应急响应中心漏洞挖掘视频教程第七期课程 18.逻辑漏洞与SRC挖掘经验

第12阶段 SRC安全应急响应中心漏洞挖掘视频教程第七期课程 11.CSRF漏洞与SRC挖掘经验

《树莓派4B家庭服务器搭建指南》第七期:使用树莓派解锁网易云灰色音乐

Tool:安全狗

第12阶段 SRC安全应急响应中心漏洞挖掘视频教程第七期课程 9.代码执行和命令执行漏洞基础与SRC挖掘经验

CDN百科第七期 | 关于CDN的原理术语和应用场景那些事