Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 1 http://www.cncisa.com
2016 年 09 月 05 日第 128 期
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 2 http://www.cncisa.com
国盟信息安全通报
(第 128 期)
国家信息安全漏洞共享平台(以下简称 CNVD)本周共收集、整理信息
安全漏洞 343 个,其中高危漏洞 203个、中危漏洞 131个、低危漏洞
9 个。漏洞平均分值为 6.79 分。本周收录的漏洞中,涉及 0day 漏洞
183 个(占 53%)。本周,境外黑客组织“方程式组织”被泄露的涉及
国内外多款防火墙漏洞以及苹果 iOS 的三个高危漏洞对互联网用户
安全防护边界以及终端安全构成较为严重的威胁,请使用相关产品的
用户注意加强防范。
国际信息安全学习联盟
2016 年 09 月 05 日
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 3 http://www.cncisa.com
主要内容
一、概述........................................................................................................................................... 4
二、安全漏洞增长数量及种类分布情况 ....................................................................................... 4
漏洞产生原因(2016 年 08 月 22 日—2016 年 09 月 05 日) ...................................... 4
漏洞引发的威胁(2016 年 08 月 22 日—2016 年 09 月 05 日) .................................. 5
漏洞影响对象类型(2016 年 08 月 22 日—2016 年 09 月 05 日) .............................. 5
三、安全产业动态 ........................................................................................................................... 6
近七成网友曾遭遇电信诈骗信息安全防范意识需提高 .................................................... 6
构建网络安全标准体系“发令枪”打响,释放哪些信号? ............................................ 8
“互联网+”背景下国家电子政务服务问题 .................................................................. 11
Return Path 平均每家企业因电子邮件钓鱼攻击损失 370 万美元 .................................. 16
四、政府之声 ................................................................................................................................. 17
《网络借贷信息中介机构业务活动管理暂行办法》发布 .............................................. 17
中美打击网络犯罪及相关事项高级别联合对话联络热线开通 ...................................... 19
首届网络空间战略论坛暨中国信息安全网上线发布会在京举行 .................................. 19
欧盟强化网络通信监管引争议 .......................................................................................... 21
五、本期重要漏洞实例 ................................................................................................................. 23
Cisco Small Business 220 设备跨站请求伪造漏洞 ............................................................. 23
Bitdefender Antivirus Plus bdfwfpf 权限提升漏洞 ............................................................ 23
Adobe ColdFusion 信息泄露漏洞 ...................................................................................... 24
Libxml2 'xmlsave.c'拒绝服务漏洞 ....................................................................................... 25
六、本期网络安全事件 ................................................................................................................. 26
英网民发布大量囚犯监狱自拍照 曝光监狱管理漏洞 .................................................... 26
漏洞百出:美国总统大选系统被俄罗斯黑客入侵 .......................................................... 27
上海某支付公司员工被抓因违规提供接口 ...................................................................... 29
顺丰现内鬼泄露客户信息员工出售公司账号密码获利 3.8 万 ...................................... 32
Dropbox 信息安全事故导致 6000 万用户密码泄露 .................................................... 36
注:本报根据中国国家信息安全漏洞库(CNNVD)和各大信息安全网站整理分析而成。
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 4 http://www.cncisa.com
一、 概述
国盟信息安全通报是根据国家信息安全漏洞共享平台(以下简称 CNVD)本周共收集、
整理信息安全漏洞 343 个,其中高危漏洞 203 个、中危漏洞 131 个、低危漏洞 9 个。漏洞平
均分值为 6.79 分。本周收录的漏洞中,涉及 0day 漏洞 183 个(占 53%)。本周,境外黑客
组织“方程式组织”被泄露的涉及国内外多款防火墙漏洞以及苹果 iOS 的三个高危漏洞对互
联网用户安全防护边界以及终端安全构成较为严重的威胁,请使用相关产品的用户注意加强
防范。
二、 安全漏洞增长数量及种类分布情况
漏洞产生原因(2016 年 08 月 22 日—2016 年 09 月 05 日)
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 5 http://www.cncisa.com
漏洞引发的威胁(2016 年 08 月 22 日—2016 年 09 月 05 日)
漏洞影响对象类型(2016 年 08 月 22 日—2016 年 09 月 05 日)
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 6 http://www.cncisa.com
三、 安全产业动态
近七成网友曾遭遇电信诈骗信息安全防范意识需提高
2016年 8月 28日,引发广泛社会关注的山东临沂徐玉玉被骗猝死案中,最后一名在逃
的公安部 A级通缉令嫌疑人郑贤聪向警方自首,目前该案 6名犯罪嫌疑人全部落网。
2016 年 8 月 19 日,山东省临沂市准大学生徐玉玉被犯罪嫌疑人以发放助学金的名义,
实施电信诈骗骗走 9900 元。案发后,徐玉玉与父亲到公安机关报案,回家途中晕倒,出现
心脏骤停,送医院抢救无效死亡。23 日,同在临沂市的准大二学生宋振宁也在遭遇电信诈
骗后不幸离世。两起事件让电信诈骗成为舆论焦点,公众在痛批行骗者的同时,更因事件中
个人信息疑泄露的情况感到恐慌。
事实上,个人信息“裸奔”、电信诈骗屡禁不止的问题存在已久,此次两个年轻生命的
殒落,让社会再次意识到问题的严重性。谁来保障个人信息安全?又该如何避免类似事件再
次发生?
电信诈骗案多次引爆舆论
2016年 8月 19日,山东省临沂市准大学生徐玉玉被骗后离世的报道引起舆论关注。微
博话题“女孩被骗光学费离世”连续一周位居教育榜榜首。百度指数显示,关键词“电信诈
骗”的搜索指数达 9788 点,是近半年来的峰值。然而这并不是电信诈骗第一次引爆舆论—
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 7 http://www.cncisa.com
—2014年 1月,女星汤唯被骗 21万元;2015年 1月,河南民工被骗 1万元后上吊自杀等都
引发公众热议。
2016年 8月 24日,临沂市的准大二学生宋振宁遭遇电信诈骗后,也不幸离世。两起事
件中,行骗者都掌握了当事人某方面的个人信息,并以此诱导行骗。而仅在 8月,就有多起
类似事件被报道:24日,上海大二女生小文订机票后,收到短信称其航班被取消,按照对方
的返款操作,结果被骗走 6100元。同日,山东临沂女大学生小芹接到来自“邮政”的电话,
对方以其信用卡透支,将会被通缉为由,骗取了她东拼西凑的 6800 元学费……
记者发起一项“你遇到过电信诈骗吗?”的网络问卷调查,截至 27日 10时,在 215 份
有效问卷中,有 69.77%的受访者表示自己曾遇到电信诈骗。
关键在于加强行政监管
随着徐玉玉案件的持续进展,越来越多的人开始关注电信诈骗背后的信息泄露问题。
百度指数显示,从 21日到 26日,关键词“信息泄露”的搜索指数翻了近四倍。截至 27
日 14时,新浪微博话题“谁卖了我的信息”阅读量已超 2595.2万,讨论数达 1.7万次。有
网友质疑:不法分子如何精准地获得了徐玉玉的个人信息?
央视发表评论《徐玉玉之死,该负责的不仅是诈骗犯》指出,“到底是谁贩卖学生信息
的同时也贩卖了自己的灵魂?谁该站出来堵住漏洞?谁该做民众信息的保护神呢?个人信
息的长期 裸奔 早该有个终结。”
中国政法大学知识产权研究中心客座研究员、知名 IT 律师赵占领认为,个人信息泄露
问题已非常严重,保护个人信息安全最重要在于加强行政监管。“遭遇因信息泄露而发生的
电信诈骗事件,民众个人很难对其追溯,而目前的行政监管明显不足。”
针对徐玉玉案件,赵占领分析,此案的信息泄露可能有两种原因:一是掌握信息的教育
部门工作人员主动将信息泄露,依法可追究相关人员的刑事责任;二是教育部门的信息系统
有漏洞,被不法分子攻破以盗取信息,教育部门则可能面对行政处罚。
信息安全防范意识需提高
据新华社报道,2015年全国电信网络诈骗案 59万余起,被骗走 222亿元。有网友认为,
除信息泄露外,受骗者的信息安全防范意识不够强也是骗子屡屡得逞的另一重要原因。
在上述网络问卷调查中,仅有 59.53%的受访者表示曾接受过防骗安全教育。不少网友
就学生防范意识缺失的问题表示质疑。上述问卷调查还显示,行骗者的诈骗名义越来越多样
化——同学、老师、亲友、领导……除了问卷中已设定的 6 个选项,受访者还提供了 15 种
行骗名义,包括有所谓的警察局、银行等。
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 8 http://www.cncisa.com
对此,华南师范大学心理学院副教授许思安认为,随着诈骗者不断更新诈骗方式,普通
民众基本处于“被动防守”状态;此外诈骗者还掌握了当事人的基本信息,这更容易诱导当
事人相信。许思安认为,学历的高低与被骗没有必然的关系,当事人在短时间内被激发了自
身的某种需要,才是被骗的主因。如在徐玉玉事件中,当事人的家境贫困,因此对助学金很
看重,而且对方又以“短时内有效”刺激当事者行动。
因此,她建议相关部门应完善相关的法律制度,并通过宣传教育提高学生的防范意识;
学校和家庭应注重学生抗逆力训练,普及危机干预尝试,提升学生心理弹性。(来源:网易)
构建网络安全标准体系“发令枪”打响,释放哪些信号?
中国《关于加强国家网络安全标准化工作的若干意见》8 月 22 日出炉。这份构建网络
安全标准体系的“操作指南”,将深刻影响中国网信行业和社会经济,释放出中国将加力争
夺国际标准制定话语权的清晰信号。
《意见》明确
全国信息安全标准化技术委员会在国家标准委的领导下,在中央网信办的统筹协调
和有关网络安全主管部门的支持下,对网络安全国家标准进行统一技术归口,统一
组织申报、送审和报批;
探索建立网络安全行业标准联络员机制和会商机制;
建立重大工程、重大科技项目标准信息共享机制;
建立军民网络安全标准协调机制和联络员机制。
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 9 http://www.cncisa.com
《意见》要求
推动网络安全标准与国家相关法律法规的配套衔接,促进网络安全标准与信息化应
用标准同步规划、同步制定;
整合精简强制性标准,在国家关键信息基础设施保护、涉密网络等领域制定强制性
国家标准,优化完善推荐性标准,视情在行业特殊需求的领域制定推荐性行业标准,
原则上不制定网络安全地方标准;
围绕国家战略需求,开展关键信息基础设施保护、网络安全审查、工业控制系统安
全、大数据安全、个人信息保护、网络安全信息共享等领域标准研制工作;
从适用性、先进性、规范性三个方面提高标准质量,提升标准信息服务能力和标准
符合性测试能力;
通过传统媒体和互联网等多种渠道公开发布网络安全国家标准;
发挥各地区、各部门在网络安全标准实施中的作用,在政策文件制定、相关工作部
署时积极采用国家标准;
积极参与制定相关国际标准并发挥作用;
积极开展教育培训,引进和培育高端人才;引导社会公益性基金支持网络安全标准
化活动,设立网络安全标准优秀奖,对先进适用、贡献突出的标准进行奖励。
专家解读:构建网络安全标准体系“发令枪”打响,释放哪些信号
这份构建网络安全标准体系的“操作指南”,将深刻影响中国网信行业和社会经济,
释放出中国将加力争夺国际标准制定话语权的清晰信号。
一、推动大工程、大项目成果转化为国家标准
《意见》提出,要促进产业应用与标准化的紧密互动,建立重大工程、重大科技项目标
准信息共享机制,推动国家网络安全相关重大工程或科研项目成果转化为国家标准。
中国信息安全研究院副院长左晓栋表示,作为重要的智力成果,标准对提升产业竞争力
具有不可替代的作用。《意见》明确要求建立重大工程、重大科技项目标准信息共享机制,
实际上是建立项目主管部门与标准化管理部门之间的工作联系,有利于推动项目成果真正转
化为国家标准,更好引领和拉动产业发展。
二、促个人信息保护等关键领域标准先行
根据《意见》,关键信息基础设施保护、网络安全审查、关键信息技术产品、工业控制
系统安全、大数据安全、个人信息保护、智慧城市安全、物联网安全、新一代通信网络安全、
网络安全信息共享等领域的标准研究和制定工作将“先行一步”。
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 10 http://www.cncisa.com
这一安排契合了“互联网+”行动计划、“中国制造 2025”和大数据发展行动纲要等中国
国家战略需求,既有助于保障国家重要信息系统和关键基础网络的信息安全,也将惠及普通
民众。
同时,《意见》提出,要紧密跟踪网络安全技术和信息技术发展趋势,及时转化科技创
新成果,标准制修订周期原则上不超过 2年。“先进是对标准的基本要求”,左晓栋称,缩短
标准制修订周期,有助于打破繁琐复杂制定程序这一瓶颈,提升标准的先进性。
三、谋中国网络安全标准占世界一席之地
《意见》提出,要积极参与网络空间国际规则和国际标准规则制定,提升话语权和影响
力;积极参与制定相关国际标准并发挥作用,推动将自主制定的国家标准转化为国际标准,
促进自主技术产品“走出去”。从中,中国制定国际标准的强烈意愿清晰可见。
目前,中国在参与国际标准制定方面力量还很薄弱。中国国家标准对国际标准的贡献率
仅为 0.5%,在网络安全标准领域更低。
“官方此次强调要实质性参与国际标准化活动,意味着中国将在网络空间国际博弈中积
极发力,更好维护国家利益。”左晓栋说。
媒体短评:不断推动网络安全标准化工作迈向新台阶
习近平总书记在今年网络安全和信息化工作座谈会上明确指出,要落实网络安全责任制,
制定网络安全标准,明确保护对象、保护层级、保护措施。哪些方面要重兵把守、严防死守,
哪些方面由地方政府保障、适度防范,哪些方面由市场力量防护,都要有本清清楚楚的账。
可见,增强网络安全防御能力,加快制定网络安全标准,已是任务所需、形势所迫。
网络安全标准化是网络安全保障体系建设的重要组成部分,在构建安全的网络空间、推
动网络治理体系变革方面发挥着基础性、规范性、引领性作用。可以说,谁制定标准谁就拥
有话语权,谁掌握标准谁就占领制高点。因此,维护网络安全必须把网络安全标准牢牢抓在
手中。
深化标准化工作改革,就必须构建一个统一权威、科学高效的网络安全标准体系和标准
化工作机制。惟其如此,才能支撑网络安全和信息化发展,才能保障网络强国战略的顺利实
施。当前,《意见》已经公布,接下来就是深刻领会文件精神,抓紧制定落实方案,把意见
落实下去。一方面,要充分认识网络安全标准化工作的极端重要性。网络安全标准化工作者
应从战略全局高度、网络安全博弈制高点、国际话语权主导、推动企业走出去等四个方面提
高认识,保证认识到位。另一方面,相关部门要抓好统筹,做好宣传,加快亟需标准的研究
制定,抓紧完善网络安全国家标准体系,共同推动我国网络安全标准化工作持续快速发展,
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 11 http://www.cncisa.com
保证行动到位。惟其如此,才能不断推动网络安全标准化工作迈向新台阶。(来源:网信中国)
网信办:关于加强国家网络安全标准化工作的若干意见全文:
http://www.cncisa.com/read-htm-tid-26334.html
“互联网+”背景下国家电子政务服务问题
编者按。信息技术和互联网已经广泛地应用在国家治理之中,以“互联网+”为特征的
新的社会环境下的治理变革,使得人的生活和工作行为模式发生了革命性变化。当前,要继
续以政府为主导,以信息化为支撑,以新技术、新媒体为突破,持续推动提升国家电子政务
处理、监管和服务水平。积极落实以民生服务为根本,数据治理为核心,网络安全为保障的
信息化发展战略举措,夯实“互联网+”背景下国家治理体系构建的基础。
从桌面互联网到移动互联网,到智能互联网和可穿戴设备,实现了泛在连接,界限也被
打通,“互联网+”创新 2.0模式在引领社会的变革,制度的变革和社会行为规范的转变。从
2002年国家开始建设电子政务,政府网站、部委条线的专用系统,政务微博、政务微信、政
务 APP快速发展,形成了政府治理的网络。 “互联网+”已经成为国家治理体系创新与发展
的重要领域。
一、政府主导,持续推动电子政务创新发展
2002 年 7 月,国家信息化领导小组召开的第二次会议审计通过了《关于我国电子政务
建设的指导意见》。领导小组决定把电子政务建设作为今后一个时期我国信息化建设的重点。
“政府先行,带动国民经济和社会发展信息化”,电子政务成为我国信息化发展的重点建设
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 12 http://www.cncisa.com
方向。十三年的电子政务发展,依托国家规划,发挥了积极的作用。推动了政府的经济调节、
市场监管、社会管理和公共服务。在网络技术设施、门户网站建设、核心业务整合支持、公
共资源开发和整合取得了不错的成绩。
据 CNNIC 发布的数据显示,截至 2014 年底,中国以 gov.cn 为结尾的域名数为 57024
个。100%的国务院组成部门和省级政府、99.1%的地市及 85%以上的县(区)政府都已经建设
了政府网站。各级政府网站基本都具备了信息公开、网上办事和政民互动三大服务功能,政
府网站已经成为信息公开、回应关切、提供服务的重要平台。
“金卡”、“金关”、“金税”,“金盾”等金字工程的建设和推广,有效支撑了政府的事务
处理能力和监管能力,极大地满足了公众的需求。《国家电子政务“十二五”规划》中期评
估工作组的中期评估报告中数据显示,到“十二五”中期,中央各部门核心业务信息化覆盖
率已经达到 80%,相较“十一五”时期增长了 10%。中央政府各部委办公业务信息化覆盖率
从 2001 年的不到 10%提高到 100%,海关、税务、公安、国土、金融监管、社会保障等有金
字工程支撑的重点领域核心业务信息化覆盖率接近或达到 100%。通过金字工程的建设,提
升了政府的监管能力和事务处理能力,政府内部办公、对外管理和服务整体上对电子政务应
用系统的依赖度越来越高。
根据党的十八大、十八届三中、四中全会精神和国务院关于推进行政审批制度改革的一
系列重要决策部署,要求各地区、各部门要抓紧做好取消和下放管理层级行政审批项目的落
实和衔接工作,并切实加强事中事后监管。要继续大力推进行政审批制度改革,使简政放权
成为持续的改革行动。要健全监督制约机制,加强对行政审批权运行的监督,不断提高政府
管理科学化、规范化水平。
简政放权中“放、管、服”结合作为重点任务。实现“原来跑断腿,如今一条龙”,“让
信息多跑路,让群众少跑路。”简政放权使得政府冲破部门之间的利益壁垒,突破权利的制
约,更好地发挥市场在资源配置中的决定性作用,进一步缩小权力寻租空间。为做好放权工
作,必须精简审批事项,可以采用取消和下放两种方式对行政审批事项进行梳理,很多政府
采用了“法无授权不可为”的方式,作为简政放权的依据。任何无法律依据的审批事项均可
取消或者合并。多地实现了在政务中心内部组织各个部门进行联合审批、联合审查,强化监
管是放权后,抓好事中和事后的对部门的权利运行和市场秩序的监管,多地通过纵横联动协
同监管机制,有序推进在线审批监管平台建设。监管从简单的物理整合到化学融合的转变,
不再是简单的业务叠加,而是业务的重组和改造,做到全流程、一体化的监管。
二、优化服务,提高服务效率和质量,提升政府公信力
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 13 http://www.cncisa.com
通过政务大厅或者行政审批大厅的建设,实现信息和业务的后台流转,业务流程的重组。
行政服务大厅随之陆续在各地建立。各部门通过进驻行政服务大厅的方式实施审批,方便公
众、企业、事业单位办理相关审批手续,做到集中收件,集中批件。各地行政服务大厅的工
作方式不同,有的地方是集中收件,分别送件,再回到服务大厅批复,政府的流程既然没有
发生改变,从让办事人跑,到政府工作人员跑,审批职能仍然分散,办事效率未必有所提高。
天津市滨海新区 2014 年成立行政审批局,废除了 109 枚公章。2014 年 9 月 11 日,国务院
总理李克强在天津滨海新区行政审批局办事大厅,见证封存 109枚审批公章,公章随后被国
家博物馆收藏。滨海新区发展改革委、经济信息委、建设交通局、教育局、科委、财政局、
民政局、司法局、人力社保局、环保市容局、农业局、卫生局、安全监管局、文化广播电视
局、档案局、民族宗教侨务办、编办等 18 个部门的 216项审批职责,全部划转到行政审批
局,由行政审批局直接实施审批事项,启用行政审批专用章,从而实现了滨海新区“一颗印
章管审批”。滨海新区的审批主体由分散变为集中,为审批服务提速奠定了坚实基础,创造
了良好体制条件。在创新审批体制的同时,天津市在滨海新区行政审批局积极实施审批流程
再造,打破了按部门设置审批窗口的方式,而是按企业办理事项,建立了“车间式流水线”
审批方式,现场审批率达到 100%。对审批工作人员采取“车间式”管理模式,实行定岗定员
定责定质和绩效考核。
各级政府积极建设政府呼叫中心。通过呼叫中心,作为公共服务一体化中独特的建设方
式。政府职能部门拉近和公众的距离,能够直接听取群众的意见,加强沟通,提高政府的公
信力,提升政府形象。宁波市 81890呼叫成立于 2001年 8月 18日,是宁波市海曙区委、区
政府建立的公共信息服务平台,旨在转变政府职能,改进机关作风,优化投资环境,帮助市
民解决生活中信息不对称问题,提升公共服务水平。首先,服务平台明确提供优质服务的方
向,满足公民日益增长的诉求,促进政府由全能型、管理型向有限型、服务型政府转变是现
代政府的发展方向。第二,寻求“代理”,改变供求信息不对称,提供综合性的公共服务。
第三,深入人心, “81890”( 宁波话“拨一拨就灵”的谐音)便于人记忆, logo上面是
三条半弧,分别代表政府、市场、社会;三条弧弯成一个平台,构成一个“e”字代表信息
化时代;底色是纯净的蓝,寓意公共服务广阔前景。第四,零收费:提供的所有咨询服务都
是免费的,全部运作经费由财政保障;并且打破社区服务的空间边界、地域限制的行政边界
和政府不能充当服务主体的角色限制;不管是什么求助和咨询,都必须有个说法,让老百姓
不生气不麻烦。81890模式被多个部委向全国推广。
三、移动技术和新媒体为政府公共服务注入新血液
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 14 http://www.cncisa.com
近两年来,由于移动通信技术、4G、无线网络的普及和快速发展,基于手机等移动终端
的移动服务越来越成为人们的倾向性选择。移动互联网的快速发展为我国电子政务的发展提
供了新的发展机遇,促使了包括政务微信、政务 APP 等移动政务平台的大量产生和快速发
展。根据中国传媒大学媒介与公共事务研究院《中国政务微信发展年度分析报告》统计,我
国政务微信总量已近 6000 个,微信公众平台覆盖了从中央部委到省区市、从地县到乡镇的
所有行政级别。政务 APP方面,有许多中央及省市的政府办公大厅、交通、气象、新闻等政
府部门推出了自己的 APP,如国家统计局、铁路 12306、上海地铁、上海天气等都是应用广
泛、影响比较大的政务 APP。基于移动互联网的智能服务越来越成为推动智慧城市建设的重
要路径。
四、构建“互联网+”下的国家治理体系的主要措施
以互联网为代表的信息技术,突破传统的电子政务、电子治理体系,给“互联网+”下
的国家治理体系带来重大变化。可借助互联网实现公共治理,创新政府服务模式,提升政府
科学决策能力和管理水平。
(一)以民生类服务为根本,促进基本公共服务的均等化
2014年 1月 9日,国家发改委发布了《关于加快实施信息惠民工程有关工作通知》。通
知指出,信息惠民工程实施的重点是解决社保、医疗、教育等九大领域的突出问题。各地方
在实施信息惠民工程中,要注重资源整合,逐步实现公共服务事项和社会信息服务的全人群
覆盖、全天候受理和“一站式”办理。2014年 6月 12日,国家发改委公布了信息惠民国家
试点城市名单,全国共计 80 个城市。旨在通过试点城市加快提升公共服务水平和均等普惠
程度、探索信息化优化公共资源配置、创新社会管理和公共服务的新机制新模式。2015年,
民生类的服务平台将在中国各地快速涌现,并且会结合政府的政务云建设,因地制宜,结合
4G 网络推广,推动基本公共服务在不同层级、不同区域和不同群体之间的覆盖,以此促进
基本公共服务的均等化。
经李克强总理签批,国务院印发《关于积极推进“互联网+ ”行动的指导意见》,这是
推动互联网由消费领域向生产领域拓展,加速提升产业发展水平,增强各行业创新能力,构
筑经济社会发展新优势和新动能的重要举措。《指导意见》提出,到 2025 年,“互联网+ ”
新经济形态初步形成,“互联网+ ”成为我国经济社会创新发展的重要驱动力量。其中指导
意见的第六条,谈及“互联网+”益民服务。提出充分发挥互联网的高效、便捷优势,提高
资源利用效率,降低服务消费成本。大力发展以互联网为载体、线上线下互动的新兴消费,
加快发展基于互联网的医疗、健康、养老、教育、旅游、社会保障等新兴服务,创新政府服
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 15 http://www.cncisa.com
务模式,提升政府科学决策能力和管理水平。
(二)实施数据治理为核心战略
数据治理意味着技术革命到产业布局革命,引领制度变革。政府的业务从事前的审批转
到事中事后的监管,用于公共决策的数据的质量成为发展的软肋。
信息技术的重点在于各行资源配置效率的提升,应用力是核心,带动产业,政府应用创
造市场。阿里巴巴提出数据的使用可用不可见,数据不搬家的理念,以及贵州大数据战略把
数据分成了三类都是属于数据治理的范畴。红数据为涉及国家秘密不可开放,里面包括不能
整块开放,不能单独开放,完全不能开放三类。黄数据需要通过脱敏和清洗来进行交换和共
享,政府部门和社会分层次或者有偿交换,绿数据为无条件在政府部门和社会开放。随之带
来的问题是数据标准如何界定,数据如何标识,如何共享,如何关联运用,机制体制如何设
计,以及数据的伦理问题。通过治理实现数据的交换共享,数据的分析可用实现业务流程改
变,业务处理从串行改为并行。
(三)持续把应对网络安全风险作为建设重点
“十二五”期间,各级政务部门的信息安全保障能力稳步提高。数据显示,有 92%的中
央国家机关和 71%的省级政府将建设和完善信息安全保障体系,提升信息安全保障水平,作
为加强信息安全的重要措施。地方和部门进一步加强信息安全防护体系建设,建立电子政务
网络信任体系、应急处置体系和监管体系。加强信息系统安全检查制度建设,加大信息安全
检查工作力度,提高电子政务信息安全保障水平。同时,各级政府建设完善信息安全保障制
度,进一步加强了政府信息安全管理。
据 2015年 6 月国家计算机病毒应急处理中心调查显示, 2014 年,88.7%的被调查者发
生过网络安全事件,与 2013年相比增长了 37.5%;感染计算机病毒的比例为 63.7%,比 2013
年增长了 8.8%;移动终端的病毒感染比例为 31.5%,比 2013年增长了 5.2%。无论是传统 PC
还是移动终端,安全事件和病毒感染率都呈现出了上升的态势。特别是针对移动终端的安全
事件频发,微博、微信、二维码等新型应用成为病毒的入口和传播平台。《国家电子政务“十
二五”规划》中期评估报告中给出在抽查的 2714 个政府网站中,有 50.4%的网站存在安全
隐患,其中平均每个网站存在 15.6个风险漏洞。据 2013年公安部开展的“全国重要信息系
统和政府网站安全专项检查”显示,在接受检查的 3.2万个重要系统和政府网站中,发现安
全漏洞 26.2 万个,部分单位存在安全管理责任落实不到位、安全体系建设薄弱、安全监控
与预警能力不足、关键安全措施缺失等问题。安全问题依然严峻。对于国家治理体系中,伴
随信息技术发展的安全问题讲成为重点而不可规避的问题。(本文刊登于《中国信息安全·网络空
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 16 http://www.cncisa.com
间战略论坛》2016 年第 7期)
Return Path 平均每家企业因电子邮件钓鱼攻击损失 370 万美元
Return Path 最新报告发现,最有价值的营销渠道——电子邮件也是最不安全的,给品
牌声誉、消费者信任和营收带来风险。
和其他营销渠道比,电子邮件能够带来
更多的潜在消费者、提高转化和收入;但是,
它也是全球网络犯罪的武器之一。
调查发现电子邮件欺诈带来的影响远
不止品牌声誉的短期损害。
报告显示:
网络钓鱼损失巨大。平均每家大企业每年为恢复网络钓鱼攻击带来的影响需要花费
370 万美元,包括生产力、消费者服务方面的损失和监管罚款。
网络钓鱼危及参与。受到电子邮件网络钓鱼攻击后消费者不会再信任品牌,受到网
络钓鱼电子邮件后,Gmail 阅读率下降 18%,Yahoo 下降 11%。
网络钓鱼影响传播。受到网络钓鱼攻击后,电子邮件提供商会将品牌的合法邮件也
归为垃圾邮件,Gmail 电子邮件打开率下降 10%,Yahoo 下降 7%。
营销人员已经认识到电子邮件欺诈的危害,但是并没有采取相应的措施
调查发现 81%的营销人员担心消费者是否会收到来自品牌的恶意电子邮件;但是,
只有 32%的营销人员表示确保电子邮件营销渠道安全性是 2016 年的优先事项。
更糟糕的是,营销人员在对抗网络钓鱼方面心有余而力不足。76%的受访者表示不
知道品牌是否存在电子邮件攻击事件。
电子邮件平台正在改变游戏规则
像谷歌和微软这样的电子邮件提供商巨头正在采取行动,打击那些没有遵循电子邮件安
全最佳实践的品牌。2016 年 2 月,Google 开始给那些企业身份验证失败的邮件标注红色问
号。微软现在也在验证失败的电子邮件前插入红色安全提醒。
如果消费者看到这些警告,就不大会打开了。
报告全文:http://www.cncisa.com/read-htm-tid-26353.html (来源:Z i199IT)
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 17 http://www.cncisa.com
四、 政府之声
《网络借贷信息中介机构业务活动管理暂行办法》发布
2016 年 8 月 24 日,为促进网络借贷(以下简称“网贷”)行业健康发展,引导其更好
地满足小微企业、“三农”、创新企业和个人投融资需求,本着维护互联网金融稳定、保护消
费者权益、提升互联网金融效率三大监管目标,按照党中央、国务院工作部署和人民银行等
十部委《关于促进互联网金融健康发展的指导意见》(以下简称《指导意见》)明确的总体要
求和基本原则,银监会会同工业和信息化部、公安部、国家互联网信息办公室等部门研究起
草了《网络借贷信息中介机构业务活动管理暂行办法》(以下简称《办法》),《办法》向社会
公开征求了意见,并定向征求了 31 个省(区、市)政府金融监管部门、国家有关部委及第
三方评估机构的意见,对各方意见进行充分吸收考虑,修改完善。《办法》已报国务院同意,
现以四部委规章形式发布实施。
《办法》共有八章四十七条,主要内容如下:
一是界定了网贷内涵,明确了适用范围及网贷活动基本原则,重申了从业机构作为信息
中介的法律地位。网贷机构以互联网为主要渠道,为出借人和借款人提供信息搜集、信息公
布、资信评估、信息交互、借贷撮合等服务,具有高效便捷、贴近客户需求、成本低等特点,
在完善金融体系,弥补小微企业融资缺口、满足民间资本投资需求、促进普惠金融发展等方
面发挥了积极的作用。《办法》规定,从事网贷业务,应当遵循依法、诚信、自愿、公平的
原则,对出借人及相关当事人合法权益以及合法的网贷业务和创新活动予以支持和保护。
二是确立了网贷监管体制,明确了网贷监管各相关主体的责任,促进各方依法履职,加
强沟通、协作,形成监管合力,增强监管效力。按照《指导意见》提出的“依法监管、适度
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 18 http://www.cncisa.com
监管、分类监管、协同监管、创新监管”的原则及中央和地方金融监管职责分工的有关规定,
按照“双负责”的原则,《办法》明确银监会及其派出机构负责对网贷业务活动实施行为监
管,制定网贷业务活动监管制度;地方金融监管部门负责本辖区网贷的机构监管,具体监管
职能包括备案管理、规范引导、风险防范和处置工作等。《办法》还明确了工业和信息化部、
公安部、国家互联网信息办公室等相关业务主管部门的监管职责以及相关主体法律责任。
三是明确了网贷业务规则,坚持底线思维,加强事中事后行为监管。根据《指导意见》
提出的“鼓励创新、防范风险、趋利避害、健康发展”总体要求,为网贷机构提供充足的发
展和创新空间,进一步释放市场活力,引导其回归信息中介、小额分散、服务实体以及普惠
金融的本质,《办法》以负面清单形式划定了业务边界,明确提出不得吸收公众存款、不得
归集资金设立资金池、不得自身为出借人提供任何形式的担保等,并根据征求意见,增设不
得从事的债权转让行为、不得提供融资信息中介服务的高风险领域等内容,旨在对打着网贷
旗号从事非法集资等违法违规行为,坚决实施市场退出,按照相关法律和工作机制予以打击
和取缔,净化市场环境,保护投资人等合法权益。
四是对业务管理和风险控制提出了具体要求。《办法》落实《指导意见》有关要求,规
定实行客户资金由银行业金融机构第三方存管制度,防范平台道德风险,保障客户资金安全,
严守风险底线。同时,为防止信贷集中度风险,根据相关部门意见,实现《办法》与刑事法
律中非法集资有关规定衔接,引导网贷机构遵循小额分散原则,避免刑事执法混乱,规范行业
乱象,《办法》明确规定了同一借款人在同一网贷机构及不同网贷机构的借款余额上限。
五是注重加强消费者权益保护,明确对出借人进行风险揭示及纠纷解决途径等要求,明
确出借人应当具备的条件。《办法》设置了借款人和出借人的义务、合格出借人条件,明确
对出借人风险承受能力进行评估和实行分级管理,通过风险揭示等措施保障出借人知情权和
决策权,保障客户信息采集、处理及使用的合法性和安全性。《办法》还明确了纠纷、投诉
和举报等解决渠道和途径,确保及时有效地解决纠纷、投诉和举报等,保护消费者合法权益。
六是强化信息披露监管,发挥市场自律作用,创造透明、公开、公平的网贷经营环境。
《办法》规定网贷机构应履行的信息披露责任,充分披露借款人和融资项目信息,定期披露
网贷平台有关经营管理信息,对信息披露情况等进行审计和公布,保证披露的信息真实、准
确、完整、及时。《办法》坚持市场自律为主,行政监管为辅的思路,明确了行业自律组织、
资金存管机构、审计等第三方机构职责和义务,充分发挥网贷市场主体自治、行业自律和社
会监督的作用。
为避免《办法》出台对行业造成较大冲击,《办法》作出了 12个月过渡期的安排,在过
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 19 http://www.cncisa.com
渡期内通过采取自查自纠、清理整顿、分类处置等措施,进一步净化市场环境,促进机构规
范发展。《办法》的制定和出台,始终坚持服务实体经济主旨,坚持风险底线思维,坚持发
展和规范并举,坚持保护投资者权益和提高公众风险意识并重,为网贷行业的规范发展提供
了制度依据,下一步根据《办法》有关规定,相关配套措施将陆续出台落地,共同构建网贷
行业制度体系,确保网贷行业健康可持续发展。(来源:银监会)
中美打击网络犯罪及相关事项高级别联合对话联络热线开通
8 月 26 日,公安部副部长陈智敏通过热线电话,分别与美国国土安全部副部长斯波尔
丁、美国司法部助理部长帮办斯沃茨和美国联邦调查局代表进行通话,宣布中美打击网络犯
罪及相关事项高级别联合对话联络热线正式启用。
为落实习近平主席与奥巴马总统在 2015 年 9 月就网络安全合作达成的重要共识,中美
两国建立了打击网络犯罪及相关事项高级别联合对话机制。在此对话机制框架下,双方在打
击网络犯罪和网络保护领域开展了一系列务实合作。根据两次中美打击网络犯罪及相关事项
高级别联合对话成果安排,双方决定建立热线联络渠道,及时就重大网络案事件进行沟通交
流。近日,双方有关部门交换了热线联络方式,并就热线工作程序达成一致。
通话中,双方积极评价了第二次中美打击网络犯罪及相关事项高级别联合对话以来的合
作成果,就下一阶段中美双方关注的执法合作事项交换了意见。
中美打击网络犯罪及相关事项联络热线的开通,将进一步加强双方在网络安全案事件上
的沟通交流,有利于双方快速判明情况,采取有效措施,共同消除网络危害,打击网络犯罪,
维护两国网络安全。(来源:中国网信网 )
首届网络空间战略论坛暨中国信息安全网上线发布会在京举行
8 月 27 日,由国家军民融合委员会、中国互联网发展基金会和中国信息安全测评中心
联合指导,《中国信息安全》杂志社和北京华夏文化交流促进会联合主办的“首届网络空间
战略论坛暨中国信息安全网上线仪式”(以下简称“会议”)在国际关系学院召开。会议以“聚
焦网络空间军民融合”为主旨,坚持“自主可控”导向,从产学研等多个视角展开了深入的
交流探讨。来自军队、政府部门、科研院所、网络安全企业、新闻媒体的 300余位嘉宾到场
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 20 http://www.cncisa.com
参会。
会议在《网络空间战略之歌》中开场。国防大学副校长毕京京中将 、中国互联网发展
基金会马利理事长、中国信息安全测评中心朱胜涛主任、国际关系学院刘慧党委书记、《中
国信息安全》杂志社徐平社长发表致辞。会议有四项主要议程:“中国信息安全网上线仪式”、
“网络空间战略论坛年度人物颁奖仪式”、“网络中国 繁荣世界高端对话”,以及“网络空间
军民融合主题演讲”。
徐平社长主持“中国信息安全网上线仪式”。中国信息安全网紧紧围绕网络强国、大数
据战略和“互联网+”行动,力求从事件驱动、责任驱动向文化驱动转化,持续提升网络空
间生产力、文化力、国防力,旨在为各级主管部门提供决策支撑平台,为网络安全和信息化
产业提供媒体传播平台,为广大学者专家提供交流互动平台。
“网络空间战略论坛年度人物颁奖仪式”中,毕京京中将、魏正耀院士、马利理事长、
龙永图先生、郝叶力少将、冯燕春少将、蒋亚民少将、朱胜涛主任、徐平社长、刘慧党委书
记作为颁奖嘉宾,向安卫平、叶征、吴世忠、马民虎、王世伟、程琳、肖新光、秦安、张乐
天、谈剑峰等十位对“网络空间战略论坛”做出突出贡献的人物颁发荣誉证书和奖杯。来自
《中国信息安全》杂志社的彭琳和来自互联网发展基金会的张佑任担当主持。
“网络中国 繁荣世界高端对话”由“网络空间战略论坛”主编秦安主持,龙永图、刘
慧、安卫平、富彦斌、肖新光、张文木参与对话并分别作为“从睁开眼睛看世界到睁大眼睛
看网络”的中国视野、“以前瞻性发展,和平共赢走出去”的中国方案、“以忠诚铸就网络国
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 21 http://www.cncisa.com
防,以实力维护网络繁荣”的中国力量、“网络化和国际化双轮驱动,中国创新与世界同步”
的中国格局、“铸造威胁检测中国引擎,坚持开放博弈网络强国”的中国产业和“国家战略
事关国家兴衰,大数据话语决定网络强国”的中国战略,表述了“网络中国、繁荣世界”的
总体构想和实现路径。
“网络空间军民融合主题演讲”环节,相关代表分别从军事理论、信息产业、工程技术
方面对网络空间安全发展、数字资产安全保护、网信领域军民融合等话题做了精彩发言,从
各自研究领域深入阐述了对“网络空间军民融合”主题的观点,明晰网络空间军民融合的决
心、恒心、重心,增强全天候全方位网络安全态势感知、整体防御和综合威慑能力,加速推
动我国从网络大国走向网络强国。(来源:中国军网)
欧盟强化网络通信监管引争议
2016 年 8 月 23 日《金融时报》和路透社日前披露的一份欧盟内部文件显示,在 9 月份
即将发表的政策文件中,欧盟将进一步强化个人隐私保护,准备将 WhatsApp、脸书和 skype
等互联网通信服务商也纳入电子隐私指令的监管之下。此举引起了业界的激烈反弹,有可能
对欧盟网络通信数据监管的走向产生重要影响。
互联网通信服务商已超越现行电子隐私指令管辖范畴
电子隐私指令是欧盟委员会 2002 年实施的一份行政指令,目的是规范电信服务商和互
联网服务商的隐私保护规则。但随着互联网科技飞速进步,WhatsApp、脸书和 skype 等互联
网通信服务商异军突起,超越了电子隐私指令的管辖范畴。为此,欧盟委员会 2014 年宣布
将对电子隐私指令进行重新评估,今年 4—7 月进行了公开意见征询,预计 9 月份将发表政
策文件,2017 年正式通过新方案。
按照现行的电子隐私指令,传统电信服务商和互联网接入服务商在地址信息、小点心
(cookies)文件和广告邮件等方面必须严格执行相关规定:地址信息记录了手机等电子设备
曾经停留过的确切物理地址,商业企业可以据此推送临近地区的广告。但这些数据也会暴露
用户的敏感信息,因此相关企业被禁止处理地址信息,除非这些信息经过匿名处理或得到用
户的明确允许。即使在获得许可的条件下,它们也只能在特定环境下使用数据,比如必须事
先告知用户即将搜集的是何种地址数据、准备如何处理及保存多长时间等。用户可以随时要
求电信商停止搜集地址信息。
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 22 http://www.cncisa.com
小点心文件则是网站记录用户上网历史的纯文本文档。网络运营商往往用它来分析用户
的上网习惯,广告商则从中发现未来的广告投放目标。电子隐私指令要求相关企业在搜集小
点心文件时获得用户同意。目前网站通常以弹出窗口的方式要求用户点击同意按钮。预计新
指令通过后,类似弹出窗口将显著增加。在垃圾邮件和广告方面,企业向用户发送广告邮件,
必须事先获得允许,并且用户随时能够中止合同。内部报告显示,拟议中的电子隐私指令将
保持同样或更大的压力。去年欧盟的一个专家组发表研究报告建议,电子隐私指令的原则应
当是:相关企业处理用户上网记录前,必须预先获得清晰、明确和主动的许可。
新的监管指令能否通过取决于利益团体的进一步博弈
在今年 4—7 月的意见公开征询期间,不同利益团体纷纷致信欧盟委员会或发表公开信,
表达各方不同立场。总体来说,互联网企业和电信服务商强烈反对,个人隐私保护团体则呼
吁欧盟坚持立场。脸书等网络电信服务商的意见是,他们已经提供了非常安全的隐私加密方
式,电子隐私指令没有必要;相反,新规将让政府有权突破个人隐私获取相关数据,这样隐
私不仅没能受到保护,反而更不安全。传统电信服务商虽然对现行指令覆盖面不广抱有微词,
但他们更看重整体市场的发展。十多家电信和电子软硬件行业协会集体致信欧盟,认为今年
5 月批准通过的通用数据保护条例两年后将生效,另起炉灶通过一个电子隐私指令实属多余,
即便要通过新文件,也必须确保两者协调。
业界团体反复提及的通用数据保护条例确实是欧盟迄今为止通过的最统一的、适用于所
有欧盟国家的个人数据保护法规。无论是银行、保险、航空等传统行业,还是电子商务、社
交网络等新兴领域,只要涉及向欧盟境内个人提供服务并处理个人数据,都在条例适用范围。
条例中最引人注目的有两条,一条是“个人数据可携权”,用户可以无障碍地将其个人数据
从一个信息服务提供商转移至另一个。例如脸书用户可以将其账号中的照片以及其他资料转
移至其他社交网络服务提供商。另一个是“被遗忘权”,即当用户依法撤回同意或者数据控
制者不再有合法理由继续处理数据时,用户有权要求删除数据。
根据欧盟法律,指令的具体内容有待各成员国消化后纳入本国法律。但现行电子隐私指
令在各国的执行情况五花八门,甚至彼此抵触。还有一些游说团体呼吁欧盟制定一份针对电
子隐私的条例,而不仅仅是更新电子隐私指令,因为条例一旦通过将对所有成员国具有法律
效力。从欧盟目前的表态和媒体透露的内部讨论情况看,欧盟认为电子隐私指令是通用数据
保护条例的补充,作为专门针对移动互联网背景下的个人隐私保护措施,电子隐私指令有必
要进一步加强。考虑到目前欧盟内部仍在讨论之中,电子隐私指令如何出台将取决于不同利
益团体的进一步博弈。(来源:网易)
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 23 http://www.cncisa.com
五、 本期重要漏洞实例
Cisco Small Business 220 设备跨站请求伪造漏洞
发布日期:2016-08-31
更新日期:2016-09-02
受影响系统:
Cisco Small Business 220 < 1.0.1.1
描述:
CVE(CAN) ID: CVE-2016-1470
Cisco Small Business 220 系列产品是高速的、安全的智能网关。
Cisco Small Business 220 设备 1.0.1.1 之前固件版本的 Web 管理接口存在跨站请求伪造漏洞。远程攻击
者利用此漏洞可劫持任意用户的身份验证。
<*来源:Cisco
链接:http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160831-
sps
*>
建议:
厂商补丁:
Cisco
-----
Cisco 已经为此发布了一个安全公告(cisco-sa-20160831-sps)以及相应补丁:
cisco-sa-20160831-sps:Cisco Small Business 220 Series Smart Plus Switches Web Interface
Cross-Site Request Forgery Vulnerability
链接:http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160831-
sps
Bitdefender Antivirus Plus bdfwfpf 权限提升漏洞
发布日期:2016-08-31
更新日期:2016-09-02
受影响系统:
BitDefender BitDefender Anti-Virus
描述:
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 24 http://www.cncisa.com
Bitdefender Antivirus Plus 是一个防病毒插件。
Bitdefender Antivirus Plus 在 bdfwfpf 处理 0x8000e038 IOCTL 中存在安全漏洞。攻击者利用此漏洞在
目标系统上提升其权限。
<*来源:bear13oy
*>
建议:
厂商补丁:
BitDefender
-----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.bitdefender.com/site/view/bug-bounty-hall-of-fame.html
Adobe ColdFusion 信息泄露漏洞
发布日期:2016-08-30
更新日期:2016-08-31
受影响系统:
Adobe ColdFusion 11
Adobe ColdFusion 10
描述:
CVE(CAN) ID: CVE-2016-4264
Adobe ColdFusion 是一个动态 Web 服务器。
ColdFusion 10、11 解析构造的 XML 实体时存在安全漏洞,远程攻击者利用此漏洞可导致信息泄露。
<*来源:Dawid Golunski
链接:https://helpx.adobe.com/content/help/en/security/products/coldfusion/apsb16-30.html
*>
建议:
厂商补丁:
Adobe
-----
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 25 http://www.cncisa.com
Adobe 已经为此发布了一个安全公告(APSB16-30)以及相应补丁:
APSB16-30:Security Update: Hotfixes available for ColdFusion
链接:https://helpx.adobe.com/content/help/en/security/products/coldfusion/apsb16-30.html
补丁下载:ColdFusion 11:
http://helpx.adobe.com/coldfusion/kb/coldfusion-11-update-10.html
ColdFusion 10:
http://helpx.adobe.com/coldfusion/kb/coldfusion-10-update-21.html
Libxml2 'xmlsave.c'拒绝服务漏洞
发布日期:2016-05-03
更新日期:2016-08-31
受影响系统:
libxml libxml2 < 2.9
libxml libxml2
描述:
BUGTRAQ ID: 90013
CVE(CAN) ID: CVE-2016-4483
libxml2 是 XML 解析程序和标记工具集。
Libxml2 解析某些文件时存在安全漏洞,远程攻击者通过构造的文件,可造成 libxml2 崩溃,导致拒绝服
务。
<*来源:Gustavo Grieco
*>
建议:
厂商补丁:
libxml
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版
本:
http://www.xmlsoft.org/index.html
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 26 http://www.cncisa.com
六、 本期网络安全事件
英网民发布大量囚犯监狱自拍照 曝光监狱管理漏洞
8 月 30日,一位注册名为“HMPFacebook”的“推特”用户发布了一组囚犯们自己在监
狱中拍摄的照片,称此推文旨在让人们看看“有多少囚犯即使身在囹圄还可以上社交媒体”
以及“监狱对这种行为的纵容让受害者多么心寒”。
在英国,监狱中禁止使用手机、照相机,禁止拍照,禁止上网,违反者将面临延长刑期
等处罚。但在该用户发布的这些照片中,囚犯们笑容灿烂,有的还是在公共区域拍的,他们
的明目张胆充满了对受害者以及公众的冒犯,同时也是对英国司法系统的嘲笑。这些人中有
很多都是杀人犯、持械抢劫犯等。
该用户既不是囚犯也不是监狱工作人员。他称自己在浏览“脸谱”以及 Instagram时非
常震惊,居然有如此多囚犯的社交网络账号。他们在自己的账号上炫耀监狱生活。于是,他
决定发一条推文,使得这种猖獗的现象引起重视。早前,他发现这些照片后曾发送链接给司
法部,但是对方只是把这些页面清除了,没有别的阻止措施。有两名杀人犯在账号被删除后
48小时内又注册了新账号。
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 27 http://www.cncisa.com
他称,先前还读过一篇文章说,在监狱中安装信号屏蔽设备没有充足的理由,因为囚犯
中拥有手机的比例很低。他的这个活动也是为了证明,事实并非如此,希望可以督促相关部
门安装必要的设备。
目前,司法部做出回应称,这些囚犯的行为是不可容忍的,这些账号已被注销。司法部
会加强监管力度和惩罚措施,加大力度找到这些漏网之鱼,切断上网渠道。(来源:英国《每日
邮报》)
扩展阅读:目前已有超过 12万物联网设备构成 DDoS僵尸网络
漏洞百出:美国总统大选系统被俄罗斯黑客入侵
2016 年 9 月 2 日报道:最近,关于俄罗斯黑客入侵美国大选投票系统的报道震惊了许
多美国民众。但计算机专家们却一点也不惊讶——他们一直在警告美国大选投票的方式并不
安全。黑客入侵后可以修改某地、一个州,甚至是全国的投票结果。
2000 年大选之后,要求放弃基于传统纸张的投票方式的呼声越来越高。于是美国政府
投了数万亿美元,建立新的电子选举系统。但是由于时间紧张,新的选举系统存在不少漏洞,
可能需要很多年来完善。
“现在,在选举的各个环节都有电脑参与完成,这都是可以被入侵的。”普林斯顿大学
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 28 http://www.cncisa.com
的计算机学家 Andrew Appel 表示,“所以我们要对系统进行全方位的检查来保证他们即使
被‘黑’,数据依然是可信的。”
之前,俄罗斯黑客事件暴露了美国选举系统里一个重要的弱点:黑客们入侵了亚利桑那
州和伊利诺伊州的选民注册系统,删除并修改了选民名单,导致一些选民的公民权利被剥夺。
此外,还有一些投票机本身就存在问题,特别是触屏系统。它并不会生成纸质记录,导致在
出现骗局和恶意修改时无从查证。
包括宾夕法尼亚、佛罗里达和弗吉尼亚在内的一些摇摆州,将这些“不可靠”的触屏系
统机器管理了起来;而像乔治亚、新泽西等州,还是把机器直接放在投票站里。
“有危险”还不仅仅是投票结果本身。专家表示,纸质投票的可靠和透明对于整个国家
的民主来说是很重要的。特别是在今年,选举上的一些违规行为被共和党总统候选人唐纳
德·特朗普公之于众。
尽管到现在,还没有投票系统漏洞导致结果出错的报告出现,但是专家们对于潜在的隐
患,比如被国外智能服务入侵表示出了担忧。近几年,政府的各类数据库经常会出现被入侵
并窃取数据的情况,这意味着选民名单也是很容易被攻击的。
DanS.Wallach,莱斯大学一位研究了多年选举系统的计算机学家表示,“我并不知道普
京的脑子里在想些什么,想要什么。但是如果他只是想制造一些混乱的话,摧毁选民注册数
据库无疑是最好的方法。”
对于投票机来说,最安全的方式是将传统手段与新技术结合起来。比如为投票机配置光
学扫描仪,用电脑技术识别纸质投票单上,选民在哪一位候选人的名字上画了圈或打了孔。
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 29 http://www.cncisa.com
这可以保证既有电子记录,又有纸质记录。这种结合哪怕是最狡猾的“黑客”想要入侵也不
是太容易。一些州甚至会用机器自动录音选民的选择来保证电脑记录和纸质记录的结果一
致。
单纯只记录电子数据的系统会给黑客许多可乘之机。普林斯顿大学的研究者们发现,
2006 年,有一种广泛使用的投票机会感染一种病毒,该病毒还可以被保留在储存卡里。一
旦入侵投票机,它就可以在不被发现的情况下偷偷地改变结果。
电子系统还可能出现软件错误等情况,影响选举结果。
2006年,艾奥瓦州的波特瓦特米县(Pottawattamie County)的共和党候选人选举中,
一个选举工作人员发现,一位不知名的候选人差点击败了人气很高的在任者。当工作人员重
新人工清点纸质选票时,他们发现,一个程序错误导致了这次选举的“惊险”。
马里兰州最近在为投票机更换了更安全的光学扫描仪;维吉尼亚近期在升级投票系统,
并将在 2020 年前完成调整。现在的趋势是要将选举系统调整为同时留下电子记录和纸质记
录。已经有 35 个州,和之外的一些县在逐步更新系统。一家关注投票技术的非盈利组织
Verified Voting Foundation主席 Pamela Smith表示,“当投票者需要用将选择直接写在
纸上,数据是多少就十分明确。而且也方便相关工作人员进行核对查验。”(来源:华盛顿邮报)
上海某支付公司员工被抓因违规提供接口
2016 年 08 月 29 日,以社交群作为主要联系手段,在网上发布广告诱人上当,再利用
木马程序实施诈骗……昨天,镇江扬中市公安局召开新闻发布会,通报了公安部挂牌督办的
“第三方支付平台为诈骗团伙洗钱案”侦办情况。记者了解到,涉案赃款资金大多从第三方
支付平台流转,该团伙也包含第三方支付平台的工作人员,这些“内鬼”负责将接口通道非
法提供给洗钱人员,用来搭建第四方支付、结算平台,并帮助处理投诉。据悉,此案摧毁用
于结算的第四方支付平台 3 个、打掉为犯罪团伙非法提供接口并帮助处理投诉的第三方支
付公司 1个、查及非法接口 32个,涉案金额 2042.9万元。
报案:低价币没买成还被骗了 6800 元
去年 8 月 22 日,镇江扬中市油坊镇居民张女士报案称,自己在网上以 10 元钱充 2888
个 Q 币,点击发送二维码支付链接时,银行卡被人转走了 6800元。张女士昨天告诉记者,
她比较喜欢玩电脑游戏,经常要充 Q 币买装备,当天,在她加入的一个“炫舞游戏”群中,
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 30 http://www.cncisa.com
有人打广告说,10 元可以充 2888 个 Q 币,而正常情况下买一个 Q 币要花 1 块钱。“我就跟
他聊天,后来我就用银行卡转了 10 块钱给他,但是过了一会儿发现没有币到账,我就问他
是怎么回事。他就说需要支付 1块钱激活,还发了一个支付的二维码给我,然后那个人就一
直催我把银行卡账号、密码还有手机验证码填上去。电脑上显示的是我支付了 1元钱,但是
我把所有信息填完之后,银行卡被扣了 6800元。”
昨天,扬中公安局刑侦大队副大队长聂朝军向记者揭露了骗子的伎俩。其实,就在张女
士点击第一个链接支付 10元时,“找单手”(专门寻找受害者的诈骗人员)武某就已获悉了她
的支付信息——付款时用的是银行卡还是支付宝、余额还有多少钱。等张女士没收到币再联
系武某时,他将张女士介绍给了“秒单手”(专门实施诈骗的人员)随某,随某发给张女士的
链接和页面显示只要再支付 1 元钱,但实际上金额在后台已被篡改成 6800 元,在张女士提
供了手机验证码等信息后,这笔钱就被转走了。去年 9 月 11 日,在常州市某小区,办案民
警抓获了武某。他交代,自己也曾是个受害者,在上当后他通过百度搜索得知了这种骗局的
原理,他认为这种手段“还是蛮高端的”,就找到骗子云集的入行。
侦查:第三方支付平台沦为洗钱工具
武某落网后,扬中警方将此案和镇江京口区的 2起类似案件串并,并成立代号为“8·22”
的专案组。为进一步了解嫌疑人作案细节,扬中市公安局副局长童国际还带队飞抵深圳开展
工作。
侦查中,民警还发现了用于资金流转、结算的相关支付平台(下称第四方支付平台,上
述群里的人均在该平台注册),理清了犯罪流程——该团伙利用“找单手”在网上以低价出
售币为由诱人上当,“秒单手”再利用带有木马程序的支付链接和洗钱人员提供的结算通道,
修改支付金额或窃取受害人的支付密码,实施诈骗;骗来的钱则流入第四方支付平台,平台
管理人员抽成 10%后,再由“找单手”“秒单手”五五分成。去年 11 月 13 日,专案指挥部
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 31 http://www.cncisa.com
派出 6个取证组分赴广东佛山、湖南衡阳、江苏宿迁、浙江绍兴等地,秘密调取了 9个平台
服务器的数据。扬中公安局刑侦大队副大队长聂朝军说,本案中有 3500 名受害人的损失在
千元以上,被骗得最多的达到 10万元。他们大多是二三十岁的年轻人。
16个工作组分赴 13 省市抓获 38名嫌疑人
去年 11 月 27 日,镇江市公安局协调抽调 100 余名警力分成 16 个工作组赴 13 省市开
展抓捕,12 月 2 日凌晨 0 时,共抓获犯罪嫌疑人 26 人,其中有洗钱人员 6 名、秒单手 15
名、找单手 3名,技术员 2名。去年 12 月 3日,聂朝军带领一组民警循线追捕到主要嫌疑
人随某(河南商丘籍人)的暂住地——海门市三星镇,从傍晚一直跟踪到晚上 10 时许。民警
在抓捕时,遭遇随某跳窗逃跑,由于天寒地冻,紧追不舍的民警在追捕中掉进粪池里,全然
不顾,爬上来继续追,直到将嫌疑人戴上手铐。
今年 3月 3日、9日、10日,镇江市公安局网安支队等技术人员连夜赶到上海,将第三
方支付平台、该市某信息科技有限公司客服经理沙某、销售团队负责人李某、风控部经理唐
某相继控制到手。7月 10日,“秒单手”许某、“找单手”陈某分别在南京、杭州落网。警方
对本案中另一重要犯罪嫌疑人、灌南县孟兴庄人柳某的抓捕,却是对方炫富送上的大礼。柳
某专门在网上发链接作案,他在上向随某炫耀自己用赃款买了一辆售价 20 万的轿车,将其
在 4S 店买车的图片放在网上晒。“他说你看,我一个月的所得就买了这辆车子。”民警获取
到此情况后,按图索骥,一直追到孟兴庄,在当地警方的协助下,找到照片中的街道。柳某
到案后,对民警说的第一句话就是:“我知道你们在找我呢。”最终,民警当场在其车上搜出
20万元赃款。
警方昨天提供的数据显示,此案共抓获犯罪嫌疑人 38名,带破案件 3519起,摧毁用于
结算的第四方支付平台 3 个,打掉为犯罪团伙非法提供接口并帮助处理投诉的第三方支付
公司 1个,查及非法接口 32个,涉案金额 2042.9万元。
幕后:支付平台出“内鬼”
“此案的受害人遍布全国各地,查证难度、追捕难度系数堪称近年来侦破各类案件之首。
犯罪分子使用高科技手段作案,为防止受害人报案,每次成功盗取受害人银行卡现金后,预
先在链接提示中植入另外一种木马病毒,只要点击,受害人的电脑随之发生爆屏毁机。警方
在取证过程中也被爆毁数台电脑。”童国际告诉现代快报记者,除了涉案人员众多、受害者
遍布全国(已核实受害者 3500 多人)、诈骗团伙电脑技术高超外,第三方支付平台的违规行
为为犯罪提供条件也是本案一大特点。据了解,这个团伙案件中涉案赃款资金大多从第三方
支付平台流转,侦查中,民警发现第三方支付公司在该案中非法向作案人提供接口、帮助处
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 32 http://www.cncisa.com
理投诉。“诈骗平台相连接的接口多由合法第三方支付公司提供。”办案民警告诉记者,侦查
人员选择证据充分的某佳讯公司为突破口,挖出接口提供犯罪内幕情况,抓获 5名接口提供
人员,其中 1人为风控部经理,1人为客服部经理,1人为营销中心团队负责人。
经审查,该公司部分业务员对一些从事违法犯罪活动的客户,会告知如何办理“假五证”
或直接帮助其办理假证,并承诺帮助处理投诉或在接口封闭前通知客户转出资金,业务员每
办理一个接口收取 4000 元至 6000 元不等的费用,同时根据资金流量收取 3%左右的费用。
“客服部是受理投诉的部门,风控部是核实处理投诉的部门,业务员与客服部和风控部相连
接,发送截图以获取支付方式以及账号余额等信息,交由上线继续作案,其上线利用网上发
布广告,诱使受害人上当,每月定期获取好处费。”民警介绍,作案嫌疑人员又建立专门的
第四方支付平台用于洗钱、统计结算诈骗、盗窃资金,从中结算分赃。童国际昨天透露,结
合此案,公安部对全国第三方支付平台进行了整治。目前,此案已移交检察机关起诉。
提醒:只要不贪小便宜,骗子就拿你没办法
点开卖家发来的支付链接,电脑上显示只付了一块钱,但实际上银行卡里的钱已经全部
被转走……扬中警方指出,类似的网络交易骗局,在全国发生过多起,针对本案的特点,他
们给网友列出了几点建议:
不贪便宜。购买网络虚拟产品一定要到正规官网购买,遇到低价出售币或游戏装备
时一定要提高警惕,以免上当受骗。
不要告知别人手机验证码。在利用银行卡购买商品时,当点击确认支付链接后,手
机会收到支付验证码,同时短信内容上有真实的交易价格,购买者需看清金额再支
付。
仔细甄别,严加防范。虚假网站虽然做得惟妙惟肖,但若仔细分辨,还是会发现差
别。要注意域名,虚假网页再逼真,与官网的域名也是有差别的,一旦发现域名多
了“后缀”或篡改了“字母”,就一定要提高警惕了。(来源:现代快报)
顺丰现内鬼泄露客户信息员工出售公司账号密码获利 3.8 万
8 月 15 日山东临沂女生徐某因学费被骗离世,引发公众对个人信息安全的担忧。个人
信息泄露源头众多,这其中来自快递公司“内鬼”的泄露也不容忽视。26日,一名在湖南顺
丰速递公司工作的员工在深圳南山区人民法院受审,被指控侵犯公民个人信息罪,将公司系
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 33 http://www.cncisa.com
统的账号密码出售他人,导致大量个人信息泄露。实际上根据公开披露的司法文书,类似顺
丰“内鬼”出售个人信息的事件屡有发生。
网上公开出售快递面单几角钱一条
面单即快递公司所掌握的客户收件人和寄件人信息,包括姓名、地址、电话以及购买的
物品种类。通过 QQ 平台搜索面单群,即有多个群显示出售面单信息,除了顺丰公司亦有其
他多家快递公司。一个名为快递面单选购的群就公告称,每单 3.5 元,50 单起购,一次性
购买 300单,价格则为每单 3元。这些信息不少是被商家买来推销自有产品,一些商家就较
为青睐那些有过购买相关产品的客户信息。相应的,在面单销售中,也有专门针对某一个行
业的面单群,如一个群名就为顺丰保健品数据面单群,主要用来销售通过顺丰购买保健品的
客户资料。还有的人则专门在网络上求购手机行业的相关面单信息。
在南山法院受审的一名被告人曾在供述中指出,购买过壮阳药、丰胸、减肥以及保健品
的客户信息很多人想购买,而他也发现顺丰快递的单号有一些规律性,即客户购买的究竟是
哪一种类的物品可以通过快递单号进行判断。他因而专门购买这些指定单号的信息,再进行
售卖。在百度上,搜索面单出售信息,同样也可以出现多条有关的消息,甚至还有人求购提
取顺丰面单信息的工具。由于顺丰普通员工往往只能查询订单,并没有批量下载订单的权限,
因而有一款在顺丰系统内提取、批量下载客户信息的工具,显然将大大提高作案的效率。
除此之外,早前披露的案件信息显示,网络上还有人公开销售顺丰公司系统的账号与密
码。去年 10 月,湖北枝江市人民法院一审宣判的案件显示,2013 年 4 月至 8 月 16 日,被
告人杨某通过互联网购买顺丰快递公司内部网络系统登录地址、用户名及密码,并先后邀约
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 34 http://www.cncisa.com
杨某甲、杨某乙、刘某等人,在枝江市马家店街道办事处民主大道顺丰公司附近一出租屋内,
通过连接顺丰快递枝江网点无线网络进入顺丰公司内部办公系统,从该公司服务器上下载大
量记录有客户姓名、地址、联系方式等内容的快递信息,并将上述信息通过网络贩卖从中牟
利。截至案发,杨某等人共非法获取公民个人信息 180万余个,从中牟利 5万余元。
谁在盗取?有仓管员有研发工程师
那么这些公开销售的面单信息以及账号和密码究竟来源于何处?26日,在南山区人民法
院受审的被告人宋仁宇,供职于湖南省长沙市顺丰速递有限公司。从检方指控来看,自 2015
年 8月开始,宋仁宇一方面获取了同事所拥有的公司操作平台账号与密码,同时又将个人所
拥有的登陆公司虚拟网络的权限以及相关账号密码提供给信息贩子,收取了 3.8 万元费用。
庭审中,宋仁宇的行为究竟造成多少个人信息泄露则不明确。
今年 7月南山区人民法院一审宣判的另一宗案件中,显示出一名顺丰员工伙同他人,于
2014年下半年到 2015年 7月左右,半年时间通过批量下载软件盗取顺丰客户的个人信息 10
多万条。该案件中,被告人陈洋于 2008 年 9 月入职顺丰公司,成为该公司东莞市石碣分部
仓管员,主要负责快递件的入出仓及问题件的处理等。直到 2014 年间,陈洋结识了懂得编
写计算机程序的杨维保,两人商量由杨维保编写一个批量下载的工具,来从顺丰公司系统内
下载个人信息。
这一工具操作简单方便,由陈洋装载在手机之中,通过手机连接公司的电脑,再打开软
件,随后进入公司的系统,即可以批量下载相关的客户信息。由于杨维保发现顺丰的单号有
一定的规律性,且市场上对保健品、减肥、丰胸等面单的信息需求旺盛,他开发的这一软件
还可以批量下载指定的订单信息,针对性极强。除此之外,一旦软件出现问题,杨维保还可
以立即予以修复,重新投入使用。
除了前述这些普通员工利用多种途径出售个人信息之外,具有较大便利的则是研发工程
师。去年 2月,福田区人民法院一审宣判的一宗案件中,显示顺丰公司的研发工程师利用工
作之便大量出售个人信息。
法院审理认定的内容显示,2012 年 8 月,被告人严某入职顺丰速运有限公司,任研发
工程师。2013年 10月份开始,被告人严某利用其任研发工程师的职务便利,从顺丰速运有
限公司的数据库里导出客户信息资料(包括个人姓名、住址、联系电话)到互联网上其自己的
网盘内,回到住处后将网盘内的客户信息资料数据下载保存到自己的电脑上,再进行出售。
严某出售的个人信息每条价格在 0.2-0.5 元之间,截至 2014年 6 月,不足一年的时间,严
某获利达到 36万元人民币。依此推算,严某出售的个人信息达到百万条。
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 35 http://www.cncisa.com
个人信息售出后通常被用来营销或诈骗
这些个人信息被出售之后,一部分被用来实施诈骗。如前述顺丰东莞石碣分部仓管员陈
洋一案案发,就是源于客户信息被盗取销售后用于诈骗。顺丰公司安保经理在一份报案材料
中指出,2015 年 3 月份公司接到客户投诉,反映信息被泄露,收货方收到诈骗电话,冒充
顺丰、寄方实施诈骗。其中一个 2015 年 3 月 14 日由深圳发往湖北襄阳市的快递,3 月 23
日收货方投诉称接到了诈骗电话,3月 24 日寄货方投诉认为顺丰客户资料被泄露。
该公司遂予以核查,发现公司内部有员工曾查询过该笔单号,该公司通过该员工的公号
进行反查,发现这一账号在 3月查询过 2.8 万条客户资料,这才予以报案,追查出公司内鬼
使用多名同事账号下载客户信息。
2014年福建省安溪县人民法院作出的一审判决显示,被告人苏某某于 2013年 1月至 8
月间,在安溪县凤城镇江滨花园 9号楼 1605室租房内,以每条 0.02元-0.03元的价格多次
在网上向他人购买“顺丰快递”、“宅急送”等快递公司的快件单据扫描件,从而获得快递单
上的公民姓名、住址及联系方式等信息。这些信息被其用于茶叶营销。
疑问 顺丰公司内部管理上有漏洞?
顺丰东莞员工陈洋一案中,除了陈洋本人的贪欲之外,实则反映出了顺丰管理上的一些
漏洞。从该公司多名员工的证言上可以看出,顺丰内部的阿修罗系统只能在公司内网登陆,
同时每两个月要更换一次密码。一名员工还证实,2015 年 5 月份之前他曾有权限查看运单
图片,获得运单信息,但之后就没有该类权限。另一员工的证言显示,对于单张的运单图片,
可以另存到电脑上进行打印,不能同时下载多张运单图片和其他信息。这均表明,顺丰公司
在通过多种手段来预防客户个人信息的大面积泄露。
但前述作案的员工陈洋,有证人证实其权限低,无法查看所有运单信息。不过陈洋以个
人账号很多图片看不清,要进行补录工单等为由,多次向公司财务以及相关部门主管索要账
号进行登录,轻松逾越了公司的有关规定。同时,顺丰内部系统虽然设定了批量下载的限制,
但是陈洋亦通过第三方软件轻松突破了这样的限制,实现了个人信息的批量下载,显示出内
部系统上安全性仍有欠缺。
定性 非法获取公民信息是犯罪行为
刑法中明确规定侵犯公民个人信息罪:违反国家有关规定,向他人出售或者提供公民个
人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,
处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务
过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 36 http://www.cncisa.com
以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位
判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
前述多宗案件中,窃取、销售面单信息的人员大多均被处以非法获取公民个人信息罪,
判处有期徒刑,并处以罚金。除此之外,对于前述顺丰东莞员工陈洋利用其他软件入侵顺丰
系统,批量下载客户个人信息的行为,南山区人民法院一审以非法获取计算机信息系统罪对
陈洋予以定罪,判处其有期徒刑四年,处罚金 8000 元。对于开发软件的杨维保,则被判处
提供侵入、非法控制计算机信息系统的程序、工具罪,判处有期徒刑四年,处罚金人民币 8000
元。(来源:新浪)
Dropbox 信息安全事故导致 6000 万用户密码泄露
Dropbox 本周早些时候披露,2012 年泄露的一大批用户账号密码流出至暗网络网站。
不过,受影响的账号数量或许要远远高于我们最初的预期。
Motherboard 网站最初报道称,Dropbox 的 超过 6000 万帐号信息泄露,而
TechCrunch 的信源也证实了这一消息。泄露的密码来自于 2012 年 Dropbox 的一次信息
安全事故。Dropbox 当时表示,丢失的数据只有用户的电子邮件。
以下是 2012 年 Dropbox 官方博客中的解释 :
丢失的密码被用于访问 Dropbox 的员工账号,其中包括带用户电子邮件地址的项目文
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 37 http://www.cncisa.com
件。我们认为,这一非法访问导致了垃圾邮件的出现。我们对此感到抱歉,并采取了额外的
控制措施,确保这种事故不会再次发生。
Dropbox 于 2012 年披露,一名员工的帐号被非法获得,用于访问了包含电子邮件地址
的文件。不过 Dropbox 并未提到,用户的密码也被泄露。由于 Dropbox 以加密形式保存用
户的密码,因此从技术上来说,Dropbox 的解释也没有问题。黑客只是获得了保存 Dropbox
用户密码的加密文件,无法对其进行解密。不过目前看来,Dropbox 实际上丢失了更多信息。
而奇怪的是,该公司过了如此长的时间才披露这一信息。
根据 Dropbox 一名消息人士的说法,除了 2012 年披露的用户电子邮件之外,与电子
邮件相关的许多加密密码也已泄露。在发生数据泄露事故时,Dropbox 放弃了此前使用的
SHA-1 加密算法,即当时的标准算法,同时改用一种更强的加密标准 bcrypt。根据
Motherboard 的报告,某些泄露的密码采用了 SHA-1 技术来加密,而 3200 万密码采用了
bcrypt 来加密。此外,这些密码也采用了 salt 技术,利用随机数据串去强化加密效果。
即使密码被泄露在网上,但这些加密机制并未被破解。
在 2012 年接受《福布斯》杂志采访时,Dropbox CEO 德鲁·休斯顿(Drew Houston)
表示,Dropbox 已经吸引了约 1 亿用户,较一年前上升了一倍。近期,Dropbox 又宣布,
注册用户数已突破 5 亿,但没有透露月活跃用户数据。如果在黑客事故发生时 Dropbox 有
约 1 亿用户,那么相当于有 3/5 的用户密码泄露。
消息人士表示,黑客通过攻击 LinkedIn 获得了 Dropbox 员工的账号密码,并使用这
一账号密码访问了 Dropbox 的企业网,从而获取了用户密码。因此,问题并不完全出在
Dropbox 方面。不过,这仍然违反了 Dropbox 内部的信息安全标准,并标明员工重复使用
同一账号密码的问题已经影响了企业环境。(来源:TechCrunch 中国)
国盟信息安全通报(2016 年 09 月 05 日第 128 期)
国际信息安全学习联盟主办 38 http://www.cncisa.com
信息安全意识产品免费大赠送