5月，國(guó)家網(wǎng)信辦發(fā)布《數(shù)據(jù)安全管理辦法(征求意見(jiàn)稿)》，數(shù)據(jù)安全刻不容緩！敏捷科技帶您聚焦數(shù)據(jù)安全行業(yè)最新國(guó)內(nèi)、國(guó)際資訊，關(guān)注數(shù)據(jù)安全政策與動(dòng)態(tài)，提供企業(yè)數(shù)據(jù)安全解決方案與服務(wù)。

涉及2.75億條印度公民信息的MongoDB數(shù)據(jù)庫(kù)被曝光和公開(kāi)索引

援引外媒Security Discovery于5月1日發(fā)現(xiàn)了一個(gè)未經(jīng)保護(hù)和公開(kāi)索引的MongoDB數(shù)據(jù)庫(kù)，其中包括了涉及印度公民的個(gè)人身份信息的275,265,298條記錄。這些信息中包括姓名、電子郵件地址、性別、教育水平和專業(yè)領(lǐng)域、專業(yè)技能和職稱、手機(jī)號(hào)碼、就業(yè)經(jīng)歷和當(dāng)前雇主、出生日期以及當(dāng)前的薪資水平。

Docker Hub遭入侵 19萬(wàn)帳號(hào)被泄露

近日，有開(kāi)發(fā)者表示收到來(lái)自 Docker 的官方郵件，郵件內(nèi)容顯示由于 Docker Hub 遭受非法入侵，已導(dǎo)致 19 萬(wàn)個(gè)帳號(hào)的敏感數(shù)據(jù)被泄露，這些數(shù)據(jù)包括小部分用戶的用戶名和哈希密碼，以及用于自動(dòng)構(gòu)建 Docker 鏡像而授權(quán)給 Docker Hub 的 GitHub 和 Bitbucket token。

俄羅斯政府網(wǎng)站被爆泄露225萬(wàn)用戶社保和護(hù)照等信息

多家俄羅斯政府網(wǎng)站泄露了超過(guò)225萬(wàn)公民、公務(wù)員和高層政治家的私人和護(hù)照信息。俄羅斯非政府組織Informational Culture的聯(lián)合創(chuàng)始人Ivan Begtin最先發(fā)現(xiàn)并公開(kāi)了本次嚴(yán)重的數(shù)據(jù)泄露事件。Begtin對(duì)政府在線認(rèn)證中心、50家政府門(mén)戶網(wǎng)站以及政府機(jī)構(gòu)使用的電子投標(biāo)平臺(tái)進(jìn)行了調(diào)查，發(fā)現(xiàn)有23家網(wǎng)站泄露個(gè)人保險(xiǎn)信息，14家網(wǎng)站泄露護(hù)照信息，從這些網(wǎng)站泄露的數(shù)據(jù)包括全名、職稱、工作地點(diǎn)、電子郵件和稅號(hào)。

數(shù)千萬(wàn)條Instagram名人信息泄露

安全研究人員Anurag Sen發(fā)現(xiàn)Instagram位于AWS存儲(chǔ)桶上的一個(gè)大型數(shù)據(jù)庫(kù)保護(hù)不當(dāng)，可被任意沒(méi)有訪問(wèn)權(quán)限的人訪問(wèn)。該數(shù)據(jù)庫(kù)包含4900多萬(wàn)條Instagram賬戶的聯(lián)系信息，其中大部分都是網(wǎng)紅和大V的個(gè)人信息，如個(gè)人經(jīng)歷、資料圖片、粉絲數(shù)量、所在城市、私人聯(lián)系方式、電子郵件地址以及電話號(hào)碼等信息。另外，該數(shù)據(jù)庫(kù)中還包含了計(jì)算每個(gè)賬戶價(jià)值的具體字段，可以估算賬戶的商業(yè)價(jià)值。據(jù)TechCrunch調(diào)查，該數(shù)據(jù)庫(kù)屬于社交媒體營(yíng)銷公司Chtrbox，其總部位于印度，主要業(yè)務(wù)就是讓網(wǎng)紅和網(wǎng)絡(luò)大V發(fā)布廣告。目前事件正在進(jìn)一步調(diào)查當(dāng)中。

美國(guó)金融公司網(wǎng)站泄露8.85億份敏感數(shù)據(jù)

據(jù)外媒報(bào)道，F(xiàn)irst American是美國(guó)歷史最悠久的公司之一，公司經(jīng)營(yíng)近130年，核心業(yè)務(wù)為房地產(chǎn)記錄與影像、產(chǎn)品估價(jià)與服務(wù)、房屋保修產(chǎn)品、財(cái)險(xiǎn)意外險(xiǎn)、銀行、信托、投資咨詢服務(wù)等。由于First American網(wǎng)站缺乏安全措施，任何人無(wú)需身份驗(yàn)證即可訪問(wèn)數(shù)據(jù),大約泄露了8.85億份文件,包括一些高度敏感的數(shù)據(jù)，如抵押貸款、稅務(wù)記錄、社會(huì)保險(xiǎn)號(hào)、電匯收據(jù)、駕照?qǐng)D像、銀行賬號(hào)和對(duì)賬單等。First American發(fā)表聲明稱關(guān)閉了應(yīng)用程序的外部訪問(wèn),目前正在評(píng)估這對(duì)客戶信息安全的影響。

重慶某醫(yī)院未履行等級(jí)保護(hù)制度被罰款1萬(wàn)元

近日，重慶永川某私立醫(yī)院因未安裝邊界防護(hù)設(shè)備、未安裝日志行為審計(jì)設(shè)備，未設(shè)置數(shù)據(jù)安全備份策略等其他網(wǎng)絡(luò)安全技術(shù)措施，使醫(yī)院業(yè)務(wù)在互聯(lián)網(wǎng)上長(zhǎng)期處于“裸奔”狀態(tài)。黑客通過(guò)互聯(lián)網(wǎng)攻破醫(yī)院系統(tǒng)后植入勒索病毒，導(dǎo)致醫(yī)院業(yè)務(wù)全面“停擺”。經(jīng)過(guò)民警和技術(shù)專家調(diào)查核實(shí)，該私立醫(yī)院因未按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求履行安全保護(hù)義務(wù)。并按照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第五十九條之規(guī)定，對(duì)醫(yī)院處以罰款一萬(wàn)元，對(duì)直接負(fù)責(zé)的主管人員處以罰款五千元的行政處罰。

網(wǎng)易郵箱賬號(hào)遭公開(kāi)叫賣 官方回應(yīng)：已報(bào)案

日前有消息稱，在一些社交平臺(tái)平臺(tái)，有人公開(kāi)叫賣網(wǎng)易郵箱賬號(hào)，售價(jià)僅50元。賣家自稱可向這些郵箱發(fā)送營(yíng)銷信息，并展示了據(jù)說(shuō)包含有百萬(wàn)個(gè)郵箱賬號(hào)的文件。對(duì)此，網(wǎng)易郵箱官方微博發(fā)布聲明稱，“經(jīng)查，報(bào)道中提及的違法行為，僅涉及郵箱地址，不涉及用戶敏感信息，目前已向公安機(jī)關(guān)報(bào)案?！?/span>

網(wǎng)信辦通報(bào)百款常用App申請(qǐng)收集個(gè)人信息權(quán)限情況

針對(duì)App過(guò)度索要各種權(quán)限、搜集用戶隱私信息的亂象，國(guó)家曾重拳出擊，發(fā)布通告，就《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法（征求意見(jiàn)稿）》，明確了七種相關(guān)違規(guī)行為。具體包括：沒(méi)有公開(kāi)收集使用規(guī)則、沒(méi)有明示收集使用個(gè)人信息的目的方式和范圍、未經(jīng)同意收集使用個(gè)人信息、違反必要性原則收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息、未經(jīng)同意向他人提供個(gè)人信息、未按法律規(guī)定提供刪除或更正個(gè)人信息功能、侵犯未成年人在網(wǎng)絡(luò)空間合法權(quán)益。

“等保2.0”新標(biāo)準(zhǔn)落地

5月13日,國(guó)家標(biāo)準(zhǔn)新聞發(fā)布會(huì)正式發(fā)布網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)(以下簡(jiǎn)稱“等保2.0”),新標(biāo)準(zhǔn)將于2019年12月1日開(kāi)始實(shí)施,這意味著“等保2.0”時(shí)代從國(guó)家合規(guī)層面正式拉開(kāi)了帷幕。等保2.0標(biāo)準(zhǔn)中，網(wǎng)絡(luò)安全等級(jí)保護(hù)監(jiān)管的對(duì)象得到很大擴(kuò)充，從企業(yè)基礎(chǔ)的業(yè)務(wù)系統(tǒng)，拓展到工業(yè)控制系統(tǒng)、云計(jì)算平臺(tái)，安全保護(hù)的內(nèi)容也擴(kuò)大，供應(yīng)鏈安全、通報(bào)預(yù)警等也被納入其中。這將進(jìn)一步加強(qiáng)整體的安全防護(hù)。

國(guó)家互聯(lián)網(wǎng)信息辦公室關(guān)于《數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》公開(kāi)征求意見(jiàn)

為了維護(hù)國(guó)家安全、社會(huì)公共利益，保護(hù)公民、法人和其他組織在網(wǎng)絡(luò)空間的合法權(quán)益，保障個(gè)人信息和重要數(shù)據(jù)安全，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等法律法規(guī)，國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同相關(guān)部門(mén)研究起草了《數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》，現(xiàn)向社會(huì)公開(kāi)征求意見(jiàn)。

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心開(kāi)通勒索病毒免費(fèi)查詢服務(wù)

從國(guó)家互聯(lián)網(wǎng)應(yīng)急中心獲悉，為了有效控制WannaCry勒索病毒的傳播感染，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心近日開(kāi)通了該病毒感染數(shù)據(jù)免費(fèi)查詢服務(wù)。查詢說(shuō)明如下：1、WannaCry勒索病毒暫只能感染W(wǎng)indows操作系統(tǒng)，請(qǐng)用戶在Windows操作系統(tǒng)上的瀏覽器中輸入查詢地址打開(kāi)查詢頁(yè)面進(jìn)行查詢，查詢地址為：http://wanna-check.cert.org.cn。2、若提示IP地址承載的計(jì)算機(jī)受到感染，建議使用WannaCry勒索病毒專殺工具進(jìn)行查殺，并及時(shí)修復(fù)相關(guān)漏洞。3、如果使用寬帶撥號(hào)上網(wǎng)或手機(jī)上網(wǎng)，由于IP地址經(jīng)常變化，會(huì)導(dǎo)致查詢結(jié)果不準(zhǔn)確，僅供參考。

美國(guó)華盛頓州修訂《數(shù)據(jù)泄露通知法》

5月7日，華盛頓州州長(zhǎng)簽發(fā)修訂的《數(shù)據(jù)泄露通知法》，該法將在2020年3月1日生效。目前，在美國(guó)聯(lián)邦層面尚未有統(tǒng)一的數(shù)據(jù)泄露通知法，但許多州都出臺(tái)了此類法案。從2003年頒布第一個(gè)數(shù)據(jù)泄露通知法的加利福尼亞州開(kāi)始，48個(gè)州先后通過(guò)了與數(shù)據(jù)泄露通知相關(guān)的法案。華盛頓州是亞馬遜和微軟兩大全球頂級(jí)互聯(lián)網(wǎng)公司的所在地，因此，其立法的修訂對(duì)其他各州有重要的借鑒意義。

Verizon：《2019年數(shù)據(jù)泄露調(diào)查報(bào)告》

據(jù)外媒報(bào)道，《Verizon 2019年數(shù)據(jù)泄露調(diào)查報(bào)告》（The Verizon 2019 Data Breach Investigations Report ，簡(jiǎn)稱DBIR）發(fā)布，該報(bào)告共有73個(gè)貢獻(xiàn)組織，分析了41686起安全事件。從細(xì)節(jié)和覆蓋面來(lái)看，DBIR已成為安全行業(yè)的權(quán)威。DBIR強(qiáng)調(diào)，以勒索錢(qián)財(cái)為目的的網(wǎng)絡(luò)攻擊正在增加。長(zhǎng)期以來(lái)人們普遍認(rèn)為，制造業(yè)的多數(shù)網(wǎng)絡(luò)攻擊是出于網(wǎng)絡(luò)間諜活動(dòng)。

歐洲數(shù)據(jù)保護(hù)委員會(huì)：《GDPR年度報(bào)告》

近日，歐洲數(shù)據(jù)保護(hù)委員會(huì)(EDPB)在GDPR實(shí)施一周年之際，發(fā)布其首份GDPR年度報(bào)告。報(bào)告揭示了歐洲經(jīng)濟(jì)區(qū) (EEA：歐盟28國(guó)、冰島、芬蘭和列支敦士登) 各國(guó)家監(jiān)管機(jī)構(gòu)(SA)在這一年中是如何攜手一致實(shí)施GDPR的。EDPB報(bào)告發(fā)現(xiàn)，GDPR實(shí)施頭一年里，EEA各SA共上報(bào)了206,326例案件，分屬3個(gè)主要門(mén)類：近半數(shù)(94,622)是投訴；64,684件涉及數(shù)據(jù)泄露通知；剩下的則是 “其他” 問(wèn)題，31家SA采取最后一種監(jiān)管方式共判處了55,955,871歐元的行政罰款。

澳大利亞數(shù)據(jù)信息委員會(huì)：《2019第一季度安全報(bào)告》

澳大利亞數(shù)據(jù)信息委員會(huì)近日發(fā)布了這一季度的報(bào)告，其中指出，大約有1,005萬(wàn)名澳大利亞人（占總?cè)丝诘?0%）在2019年的前三個(gè)月就至少在一次事件中被泄露自己的個(gè)人信息。報(bào)告中特別指出了兩起事件，其中一起造成了1,000萬(wàn)以上人數(shù)的信息泄露，而另一起則有大概25萬(wàn)到100萬(wàn)人受到影響。從2018年4月開(kāi)始，澳大利亞的信息泄露事件中，大約有35%是個(gè)人失誤引起，60%是因黑客攻擊，5%是因?yàn)橄到y(tǒng)問(wèn)題。從另一個(gè)角度，31%的泄露事件是因?yàn)檎`發(fā)郵件，16%因?yàn)榈袈湎嚓P(guān)打印文件以及存儲(chǔ)設(shè)備，28%因?yàn)橐馔獍l(fā)布信息。而對(duì)于因外部人員產(chǎn)生的泄露事件中，66%因?yàn)榫W(wǎng)絡(luò)攻擊，15%因?yàn)閮?nèi)部間諜行為，14%因?yàn)槲臋n或者存儲(chǔ)設(shè)備被竊取，5%因?yàn)樯鐣?huì)工程。

中國(guó)信通院：《歐盟GDPR合規(guī)指引》

GDPR實(shí)施一周年之際，5月28日在貴陽(yáng)舉辦的2019年中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)“人工智能產(chǎn)業(yè)與數(shù)據(jù)跨境業(yè)務(wù)的法律監(jiān)管國(guó)際論壇”上，中國(guó)信息通信研究院安全研究所聯(lián)合對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)數(shù)字經(jīng)濟(jì)與法律創(chuàng)新研究中心、北京大學(xué)法治與發(fā)展研究院、奮迅律師事務(wù)所、科文頓?柏靈律師事務(wù)所、京東集團(tuán)，共同發(fā)布《歐盟GDPR合規(guī)指引》，為深入理解GDPR提供了有益思路。