3、国内外数据安全相关事件

　　3.1.国内数据安全相关事件

　　3.1.1.微信、Wechat的绑定手机号泄漏

　　4月11日早，Telegram群组里有消息传出，可以查询指定微信号绑定的手机号信息。中午，某Telegram频道分享出一个样本文件：909条样本.xlsx，下午，另一个Telegram频道分享出一个新的样本文件：微信绑定一万条样本示范.txt。从这两批样本数据可以看出，泄露数据包含两个字段，一个是wxid，另一个是手机号。晚上，又有某个频道发出样本数据，该样本数据除了wxid与手机号外，还有昵称、性别、签名、头像URL地址、所在省市等信息。根据某频道里的信息，泄露的数据量为10.57亿，数据截止日期是2023年3月29日，而当天，腾讯服务出现大面积的故障，推测是黑产团队用了大量的服务器集群跑这个微信绑定信息导致的。

　　来源：https://www.qxwa.com/please-note-that-the-bound-cell-phone-number-information-of-wechat-is-rumored-to-be-leaked-more-than-1-billion.html

　　3.2.国外数据安全相关事件

　　3.2.1.现代汽车发生数据泄露事件，欧洲多国车主受影响

　　现代汽车近日披露发生数据泄漏事件，意大利和法国车主以及预订试驾数据遭泄露。根据Twitter上的多份报道以及“HaveIBeenPwned”创始人Troy Hunt分享的通知样本，该事件暴露了以下类型的个人数据：电子邮件地址、物理地址、电话号码、车辆底盘编号。现代汽车的通知澄清说，访问现代汽车数据库的黑客并没有窃取财务数据或身份证号码。

　　来源：https://attivissimo.blogspot.com/2023/04/hyundai-italia-attaccata-dati-dei.html

　　3.2.2.肯德基、必胜客母公司报告数据泄露事件

　　旗下拥有肯德基、必胜客和Taco Bell快餐连锁品牌的百胜集团近日发布通告，披露在今年1月13日遭遇的勒索软件攻击中失窃的个人信息被泄露。在上周四开始发送给信息遭泄露的个人的数据泄露通知信中，百胜集团透露已经发现攻击者窃取了一些个人隐私信息，包括姓名、驾驶执照号码和其他身份证号码。但是，百胜集团并未透露被盗个人信息属于员工还是客户，以及受此数据泄露影响的确切人数。

　　来源：http://www.documentcloud.org/documents/23769103-yum-brands-notification-letter

　　3.2.3.身份验证厂商OCR Labs数据泄露，危及大量银行客户

　　据Cybernews报道，全球知名数字身份验证工具提供商OCR Labs近日曝出敏感数据泄露事件，导致大量银行和政府客户面临严重风险。总部位于伦敦的OCR Labs是数字身份验证工具的主要提供商之一。其服务被宝马、沃达丰、澳大利亚政府、西太平洋银行、澳新银行、汇丰银行和维珍货币等知名企业使用。公司系统配置错误将敏感凭据暴露给公众。数据泄露影响了多个国家的多家金融机构。使用泄露的数据，黑客能够入侵OCR Labs的后端基础设施，从而渗透到其客户的基础设施。

　　来源：https://cybernews.com/security/ocr-labs-exposes-its-systems/

　　3.2.4.加拿大出版商证实网络攻击 数据遭到泄露

　　据外媒24日报道，加拿大目录出版商Yellow Pages集团向证实其受到了网络攻击。Black Basta勒索软件团伙声称对这次攻击负责，经确认，该团伙已泄露部分个人信息，包括但不限于身份证、税务文件等。据悉，Yellow Pages集团成立于1908年，如今拥有并经营YP.ca和YellowPages.ca网站，以及Canada411在线服务。Yellow Pages集团表示，立即在外部网络安全专家的协助下开始对这一问题进行彻底调查，以控制事件并确保系统安全。目前，所有服务基本已恢复。

　　来源：https://www.bleepingcomputer.com/news/security/yellow-pages-canada-confirms-cyber-attack-as-black-basta-leaks-data/

　　3.2.5.美国律师协会（ABA）遭数据泄露 140万会员受到影响

　　据外媒报道，攻击者或已获得美国律师协会2018年停用的遗留会员系统的访问权限。美国律师协会（ABA）是一个由律师和法学院学生自愿组成的律师协会，它不特定于美国的任何司法管辖区。协会发送给受影响成员的数据泄露通知电子邮件中写道，事件响应计划立即启动响应，并聘请网络安全专家协助调查。据悉，有140万名会员受到此次事件的影响。

　　来源：https://www.bleepingcomputer.com/news/security/american-bar-association-data-breach-hits-14-million-members/

　　3.2.6.ICICI银行泄露数百万条敏感数据 包括护照和信用卡号码

　　据外媒20日报道，ICICI银行泄露了数百万条包含敏感数据的记录。ICICI银行是一家印度跨国公司，市值超760亿美元，在印度拥有5000多家分支机构，并在全球至少15个国家开展跨国业务。本次事件中，泄露数据包括银行账户详细信息、银行对账单、信用卡号码、全名、出生日期、家庭住址、电话号码、电子邮件、个人身份证件以及员工和候选人的简历。据悉，2022年，印度ICICI银行的资源被印度政府命名为“关键信息基础设施”——对其的任何损害都可能影响国家安全。

　　来源：https://cybersecuritynews.com/icici-bank-data-leak/

　　3.2.7.NorthOne Bank数据库配置错误泄露100万条财务记录

　　据外媒12日报道，金融科技公司NorthOne Bank数据库配置错误，泄露超100万条财务记录。数据库中公开的PDF文件包括使用应用程序支付产品和服务的个人和企业的发票。涉及姓名、地址和电话号码等，还包括有关付款用途、总金额和到期日的注释，有些甚至包含税号等税务信息。目前，尚不清楚这些记录泄露持续时间。

　　来源：https://www.databreaches.net/over-a-million-financial-records-exposed-in-data-incident-involving-northone-bank/

　　3.2.8.沃尔沃零售商客户信息遭泄露 涉及大量敏感文件

　　据外媒报道，网络新闻研究小组调查发现，巴西沃尔沃汽车零售商Dimas Volvo在近一年时间里持续通过其网站泄露敏感信息，不仅包括数据库认证信息，还包括MySQL和Redis数据库主机、开放端口和证书信息等。这些信息可能会被不法分子用于劫持官方通信渠道或者直接入侵公司的系统。目前，据Dimas Volvo和负责沃尔沃总部数据保护的相关官员称，该信息泄漏问题已得到妥善解决。

　　来源：https://cybernews.com/security/volvo-retailer-leaks-sensitive-files/

　　4、移动互联网安全热点

　　4.1.国内移动互联网安全热点

　　4.1.1.新华时评：护苗！把对未成年人优先保护落到实处

　　“护苗”重在把对未成年人优先保护抓在细处、督在严处、落到实处。持续把对未成年人优先保护、特殊保护落细落实，才能保护好未成年人身心健康、保障好未成年人合法权益，更好地培养有理想、有道德、有文化、有纪律的社会主义建设者和接班人，更好地培养能够担当民族复兴大任的时代新人。

　　来源：http://www.news.cn/comments/2023-03/21/c_1129452239.htm

　　4.1.2.以消费者权益保护为导向持续优化App治理能力

　　在数字经济领域，各行业的App在优化服务、引导流量、拓展客户等层面发挥了重要作用。不过，非法收集个人信息、强制捆绑销售、折叠显示重要事项、频繁广告弹窗等现象成为侵害消费者合法权益的“重灾区”，严重阻碍了App产业高质量发展。

　　App治理方式应当坚持以消费者权益保护为导向，将治理重心置于各类常见的侵犯消费者权益业务活动，尤其是在个人信息保护、App功能自由选择以及权利救济等领域，更应当以常态化、针对性的监管措施保障市场竞争秩序的良性发展。

　　来源：http://epaper.legaldaily.com.cn/fzrb/content/20230407/Articel05003GN.htm

　　4.1.3.工信部：整治“摇一摇”“乱跳转” 已通报101款违规App和SDK

　　4月20日，国务院新闻办公室举行一季度工业和信息化发展情况新闻发布会。工业和信息化部总工程师、新闻发言人赵志国在会上表示，今年一季度，工业和信息化部整治重点问题，对50余万款App进行技术检测，通报了101款违规App和SDK，重点规范“摇一摇”乱跳转等热点问题，有效净化服务环境。

　　来源：https://www.cnii.com.cn/rmydb/202304/t20230420_464493.html

　　4.1.4.合力防范青少年短视频沉迷

　　近年来，短视频受到互联网用户青睐，青少年上网看短视频也愈发普遍。然而，由于内容特点、算法推荐、心理机制等多方面原因，不少人感觉刷短视频会“上瘾”。如何有效防止未成年人陷入短视频沉迷，成为一道现实课题。有关部门应加强监管，营造清朗的网络视听环境，多供给优质的精神文化产品，构建良好网络生态，进而提升未成年人网络素养和用网能力。

　　来源：http://paper.people.com.cn/rmrb/html/2023-04/14/nw.D110000renmrb_20230414_4-05.htm

　　4.1.5.给“AI换脸”划定法律和技术“红线”

　　随着人工智能的发展，“AI换脸”技术门槛逐渐降低，应用场景越来越多，在满足人们美颜、社交等需求的同时，因“AI换脸”引发的争议乃至违法犯罪行为屡见不鲜，违背了技术发展的向上向善原则。因此需对“AI换脸”作法律和社会道德伦理审查，并尽快制定完善技术发展和应用标准，给其划定法律和技术“红线”，引导“AI换脸”合规发展，防范不当使用。

　　来源：http://e.mzyfz.org.cn/paper/2021/paper_54107_11206.html

　　4.1.6.中国网络空间安全协会、国家计算机网络应急技术处理协调中心发布《“新闻资讯类”App个人信息收集情况测试报告》

　　近期，中国网络空间安全协会、国家计算机网络应急技术处理协调中心对“新闻资讯类”公众大量使用的部分App收集个人信息情况进行了测试。本次测试选取了19家应用商店累计下载量达到1亿次的“新闻资讯类”App，共计8款。

　　来源：http://www.cac.gov.cn/2023-04/28/c_1684329861567282.htm

　　4.2.国外移动互联网安全热点

　　4.2.1.Google Play 新政策：增设“数据删除”功能

　　近日，谷歌宣布了一项新的 Google Play 商店数据删除政策，该政策将要求 Android 开发者为用户提供在线选项，以删除他们的帐户和应用内数据。根据新政策，从 2024 年初开始，Google Play 用户将可以更好地控制他们的数据，因为每个商品详情都会在“数据删除”区域显示链接，允许他们要求删除他们的帐户或数据。

　　来源：https://www.163.com/dy/article/I1KR3C8V0531OFY0.html

　　4.2.2.WiFi协议曝安全漏洞，影响Linux、Android和iOS

　　来自美国东北大学和鲁汶大学的学者披露了一组IEEE 802.11 Wi-Fi协议标准的一个基础设计漏洞，影响到运行Linux、FreeBSD、Android和iOS的各种设备。研究人员在本周发表的一篇论文中披露，利用这一漏洞可以劫持TCP连接、拦截客户端和web流量。主要手段是利用终端设备的电源节能机制，诱使接入点泄漏数据帧，或使用全零密钥对其进行加密。

　　来源：https://www.freebuf.com/news/362195.html

　　4.2.3.iPhone曝“末日漏洞”，沦为间谍软件的监视工具

　　据研究人员于4月11日公开的报告，一家以色列间谍公司开发出的间谍应用 Reign被用来感染iPhone设备，对多国记者、不同党派要员和非政府组织工作人员进行监视。报告披露了这家名为QuaDream的间谍公司开发的这款间谍软件能够录制音频、拍照、跟踪位置和窃取密码，至少有10个国家或地区的政府曾进行采购。

　　来源：https://www.freebuf.com/news/363305.html