3.1.國(guó)外數(shù)據(jù)安全相關(guān)事件
3.1.1.GonnaOrder平臺(tái)因配置錯(cuò)誤導(dǎo)致數(shù)據(jù)泄露
歐洲食品配送平臺(tái)GonnaOrder因Kafka Broker實(shí)例配置錯(cuò)誤,導(dǎo)致該平臺(tái)一個(gè)不受保護(hù)的實(shí)例將實(shí)時(shí)訂單信息暴露給公眾。泄露的數(shù)據(jù)包括客戶(hù)訂單、餐廳和酒店訂單、電話(huà)號(hào)碼、電子郵件地址、家庭住址、交貨單及使用的付款方式等。
來(lái)源:
https://cybernews.com/security/gonnaorder-food-delivery-data-leak/
3.1.2.Gargle公司數(shù)據(jù)庫(kù)存隱患致270萬(wàn)患者信息暴露
Cybernews研究人員發(fā)現(xiàn)美國(guó)牙科診所服務(wù)提供商Gargle因未加密的MongoDB數(shù)據(jù)庫(kù)配置錯(cuò)誤,導(dǎo)致270萬(wàn)名患者資料和880萬(wàn)條預(yù)約記錄泄露。泄露的數(shù)據(jù)包括患者姓名、出生日期、電子郵件地址、住址、電話(huà)號(hào)碼、性別、病歷ID、語(yǔ)言偏好、賬單詳情及預(yù)約記錄等敏感信息。
來(lái)源:
https://cybernews.com/security/dental-marketing-gargle-data-leak/
3.1.3.Cock.li確認(rèn)數(shù)據(jù)泄露,超百萬(wàn)用戶(hù)信息遭竊
電子郵件托管提供商Cock.li因已退役的Roundcube網(wǎng)絡(luò)郵件平臺(tái)漏洞,導(dǎo)致超過(guò)100萬(wàn)用戶(hù)記錄泄露。泄露的數(shù)據(jù)包括用戶(hù)電子郵件地址和登錄時(shí)間戳,但密碼和郵件內(nèi)容未受影響。
來(lái)源:
https://www.bleepingcomputer.com/news/security/hacker-steals-1-million-cockli-user-records-in-webmail-data-breach/
3.1.4.合規(guī)自動(dòng)化商Vanta軟件漏洞致客戶(hù)數(shù)據(jù)泄露
合規(guī)自動(dòng)化提供商Vanta由于產(chǎn)品變更引起的代碼錯(cuò)誤,致敏感員工數(shù)據(jù)、賬戶(hù)設(shè)置方式、雙因素身份驗(yàn)證(MFA)使用詳情及工具設(shè)置信息等被“錯(cuò)誤地導(dǎo)入”到其他客戶(hù)賬戶(hù),事件影響數(shù)百名客戶(hù)。
來(lái)源:
https://hackread.com/code-bug-compliance-vanta-data-leak-customer-clients/
4.1.1.工信部通報(bào)57款侵害用戶(hù)權(quán)益行為的APP(SDK)
根據(jù)中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局等四部門(mén)聯(lián)合發(fā)布的《關(guān)于開(kāi)展2025年個(gè)人信息保護(hù)系列專(zhuān)項(xiàng)行動(dòng)的公告》,依據(jù)《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全法》《電信條例》《電信和互聯(lián)網(wǎng)用戶(hù)個(gè)人信息保護(hù)規(guī)定》等法律法規(guī),工信部對(duì)APP、SDK違法違規(guī)收集使用個(gè)人信息等問(wèn)題開(kāi)展治理。近期,工信部組織第三方檢測(cè)機(jī)構(gòu)進(jìn)行抽查,共發(fā)現(xiàn)57款A(yù)PP及SDK存在侵害用戶(hù)權(quán)益行為并予以通報(bào)。
來(lái)源:
https://wap.miit.gov.cn/xwfb/gxdt/sjdt/art/2025/art_1b941e8dd0a64d5ba163cc4606c63b9b.html
4.1.2.公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心發(fā)現(xiàn)45款違法違規(guī)收集使用個(gè)人信息移動(dòng)應(yīng)用
依據(jù)《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》等法律法規(guī),按照《中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局關(guān)于開(kāi)展2025年個(gè)人信息保護(hù)系列專(zhuān)項(xiàng)行動(dòng)的公告》要求,經(jīng)公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心檢測(cè),45款移動(dòng)應(yīng)用存在違法違規(guī)收集使用個(gè)人信息情況并予以通報(bào)。
https://mp.weixin.qq.com/s/1aCQ8SaOfP1GuVUTDEVYVA?scene=25&sessionid=-1333887364#wechat_redirect
4.1.3.國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心發(fā)現(xiàn)64款違法違規(guī)收集使用個(gè)人信息移動(dòng)應(yīng)用
依據(jù)《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》等法律法規(guī),按照《中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局關(guān)于開(kāi)展2025年個(gè)人信息保護(hù)系列專(zhuān)項(xiàng)行動(dòng)的公告》要求,經(jīng)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心檢測(cè),64款移動(dòng)應(yīng)用存在違法違規(guī)收集使用個(gè)人信息情況并予以通報(bào)。
https://www.cverc.org.cn/zxdt/report20250619.htm
4.1.4.北京開(kāi)展民生消費(fèi)領(lǐng)域數(shù)據(jù)安全和個(gè)人信息保護(hù)專(zhuān)項(xiàng)整治
移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(包含App和小程序)廣泛普及,在促進(jìn)經(jīng)濟(jì)社會(huì)發(fā)展、服務(wù)便利民生等方面發(fā)揮了積極作用,但應(yīng)用程序使用過(guò)程中,用戶(hù)個(gè)人信息被商家過(guò)度強(qiáng)制收集、存儲(chǔ)管理不當(dāng)、違規(guī)使用加工、傳輸防護(hù)不足、擅自提供公開(kāi)、刪除注銷(xiāo)設(shè)限的情況愈發(fā)突出。北京市互聯(lián)網(wǎng)信息辦公室會(huì)同有關(guān)部門(mén)組織開(kāi)展了數(shù)據(jù)安全和個(gè)人信息保護(hù)專(zhuān)項(xiàng)整治行動(dòng),在隨機(jī)抽取的197款應(yīng)用程序中,發(fā)現(xiàn)并督導(dǎo)整改問(wèn)題388個(gè)。
https://www.beijing.gov.cn/ywdt/gzdt/202506/t20250616_4113716.html?sessionid=-1333622571
4.2.國(guó)外移動(dòng)互聯(lián)網(wǎng)安全熱點(diǎn)
4.2.1.SparkKitty間諜軟件攻擊iOS和Android設(shè)備
復(fù)雜間諜軟件活動(dòng)SparkKitty近日已成為iOS和Android用戶(hù)的重大威脅。SparkKitty不僅通過(guò)非官方渠道傳播,更成功滲透了Google Play和App Store等官方應(yīng)用商店,主要竊取設(shè)備圖庫(kù)中的敏感圖像數(shù)據(jù)。該惡意軟件通常請(qǐng)求訪(fǎng)問(wèn)設(shè)備圖庫(kù),竊取所有圖像或選擇性地使用OCR技術(shù)定位特定內(nèi)容。分發(fā)方式同樣具有欺騙性,涉及TikToki Mall等可疑在線(xiàn)商店、偽造的應(yīng)用下載頁(yè)面以及幣coin和SOEX等加密主題應(yīng)用。
來(lái)源:
https://gbhackers.com/sparkkitty-targets-ios-and-android-devices
4.2.2.GodFather惡意軟件采用設(shè)備虛擬化技術(shù)劫持合法銀行應(yīng)用
銀行惡意軟件GodFather的高級(jí)變種出現(xiàn)。該變種引入了突破性的攻擊方法,利用設(shè)備虛擬化技術(shù)來(lái)入侵合法移動(dòng)應(yīng)用程序。這種先進(jìn)威脅不再使用傳統(tǒng)的覆蓋攻擊,而是在受害設(shè)備上創(chuàng)建完全隔離的虛擬環(huán)境,執(zhí)行更具欺騙性和有效性的金融欺詐操作。
來(lái)源:
https://cybersecuritynews.com/godfather-android-malware-leverages-on-device-virtualization-technique/