行业动态 政策法规 威胁信息发布管理 意见征求据网信中国官微消息，为规范发布网络安全威胁信息的行为，有效应对网络安全威胁和风险，保障网络运行安全，依据《中华人民共和国网络安全法》等相关法律法规，国家互联网信息办公室会同公安部等有关部门起草了《网络安全威胁信息发布管理办法(征求意见稿)》，现向社会公开征求意见。有关单位和各界人士可以在2019年12月19日前，通过电子邮件或信函的方式提出意见

行业动态 公安三所 网络安全企业联盟近日，由公安部网络安全保卫局指导，国家网络与信息系统安全产品质量监督检验中心（公安部第三研究所）主办的2019网络安全标准论坛在北京成功举办，论坛以 “等保2.0背景下，网络安全产品如何更好的支撑等保建设” 为主题，邀请了500余位行业主管部门领导、行业信息化建设负责人、权威专家和学者以及知名安全产品厂商代表，就等保 2.0 法规实施后的网络安全合规管理、产业发展以及技术趋势等议题展开深入研讨。论坛期间，在公安部十一局统一部署下，由公安部第三研究所牵头，与行业内专业机构共同发起成立的网络安全企业联盟也宣布正式启动筹建。据悉，该联盟目前已得到46家安全企业及行业专业机构的积极响应参与，所有筹建工作将于明年上半年完成。

行业动态 5G 世界5G大会于11月21日正式开幕，会上，中国广电董事长赵景春公布了中国广电5G网络商用时间表，并表示，中国广电在5G上的目标是：实现广播电视由户户通到人人通；打造5G媒体和通信融合的创新范例；支撑中国5G领先。2020年广电5G将正式商用，同时开展个人用户业务和垂直行业应用；2021年要把广电5G网络打造成广联接、服务好的新型网络。

行业动态 印度 通信监听 隐私保护 印度政府称，为了国家安全或维护与外国的友好关系，它有权在该国拦截、监视或解密公民设备上“生成、传输、接收或储存”的任何数字通信。印度内政大臣Reddy更是援引2000年的Information Technology Act第69条和1885年Telegraph Act第5条（当时印度还在英国统治下），称本地法律授权联邦和州政府为捍卫印度主权完整性、国家安全、与外国友好关系或公共秩序或防止煽动而“拦截、监视或解密，或导致拦截、监视或解密任何计算机资源中产生、传输、接收或储存的任何信息”。通告发布后，引起印度居民的强烈不满，并有民众表示，这将是是政府对个人隐私的进一步侵犯。

融资并购 密码管理 1Password密码管理解决方案厂商1Password近日宣布获得A轮融资2亿美元，这是他们自2005年成立以来第一次接受外部投资。1Password帮助其用户创建独特的强密码，并且能够安全地自动填写网站和应用的登录框，公司全球范围有数百万的用户，其中包括大型企业IBM、Slack、Dropbox等5万名大型商业客户。

融资并购 威胁分析 CyberCube Analytics旧金山创业公司CyberCube Analytics周二宣布获得B轮融资3,500万美元。CyberCube在2005年成立于赛门铁克内部，之后在2018年独立。他们的SaaS平台能够帮助保险公司基于大量的模型分析其他公司面临的安全威胁。CyberCube董事会主席Don Dixon认为，尽管网络保险行业是一个逐渐发展的领域，但是他们依然无法准确根据公司面临的危险程度进行保险定价。

融资并购 安全自动化 威胁检测 ZecOps旧金山威胁检测与安全自动化公司ZecOps本周宣布获得种子轮融资1,020万美元。ZecOps成立于2017年，迄今为止并未对外透露太多关于他们产品的细节，但是他们表示自己的解决方案不需要用到agent，并且能短时间大规模部署，通过“从攻击者的错误中学习”，从而提升攻击者消耗的资源和成本。

融资并购 邮件安全 Abnormal Security邮件安全公司Abnormal Security周二宣布获得融资2,400万美元，并发布了自己的云邮件安全平台。该平台通过使用不同来源的数据构造异常行为模型、异常关系图谱以及异常内容分析，从而发现异常行为，抵御BEC、邮箱破解以及内部邮件攻击等事件。

报告调研 刷脸支付 中国艾媒咨询近日发布《2019年中国刷脸支付技术应用社会价值专题研究报告》。报告显示，在移动支付市场规模逐渐扩大以及人脸识别技术发展渐趋成熟的背景下，2019年成为刷脸支付的“元年”，刷脸支付用户有望增至1.18亿人，并保持高速增长，到了2022年将突破7.6亿人，届时将取代扫码支付成为主要支付方式。

漏洞补丁 WhatsApp 缓冲区溢出上周，Facebook称发现了编号为CVE-2019-11931的WhatsApp的缓冲区溢出流漏洞。该漏洞允许攻击者向用户发送恶意的.MP4视频文件。据悉，该漏洞可能通过目标设备上已安装的恶意应用程序，或通过发送恶意.GIF文件触发。如果被攻击者利用，可能把用户在私聊和群对话中发送的消息拦截，甚至导致DoS攻击或RCE攻击。据悉，WhatsApp Android（包括2.19.100及更低版本）和iOS（包括2.19.274及更低版本）均会受到影响，同时部分企业客户端版本和Windows Phone版本也受到影响。专家建议WhatsApp用户更新软件到最新版本，以保护设备免受攻击。

报告调研 Kryptowire  安卓 预装APP近日，美国国土安全部发布一项研究报告中表示，Kryptowire（由国防高级研究计划局（DARPA）和国土安全部（DHS S&T）启动）在Android智能机上发现了由预装应用造成的严重安全风险。这些App存在潜在的恶意活动，可能秘密录制音频、未经用户许可就变更设置、甚至授予自身新的权限——这显然与Android设备制造商和运营商的固件脱不了干系。在新工具的帮助下，Kryptowire得以在不需要接触手机本体的情况下，扫描固件中存在的漏洞。最终在29家制造商的Android设备上，查找到了146个安全隐患。

安全研究 CheckPoint 数据泄露 高通近日，网络安全公司CheckPoint发布了一份报告。报告指出，高通芯片存在漏洞，可能会让攻击者窃取存储在安全区域的敏感数据，而这些安全区域本应该是智能设备中最安全的部分。据悉，数亿台智能设备将会遭受一系列潜在威胁，尤其是使用高通芯片组的Android智能手机和平板电脑等。

恶意攻击 梅西百货 网站安全2019年10月15日，梅西百货官方宣称自己的在线网站在10月15日遭到了黑客攻击。据悉，黑客的恶意代码已添加到macys.com上的结帐页面和“我的帐户”钱包页面。恶意代码旨在捕获客户在Macy网站的桌面版本上输入的信息，并将其发送回由黑客控制的服务器。专家表示，如果攻击者是在客户在结帐时窃取信息的话，则攻击者可能已获得诸如全名，地址，城市，州，邮政编码，电话号码，电子邮件地址，支付卡号，卡安全码和卡到期日期之类的信息。

数据泄露 GateHub EpicBot 账户数据近日，Have I Been Pwned维护者Troy Hunt爆料，加密钱包服务GateHub和游戏网站EpicBot的220万用户密码数据暴露在公网上。Troy Hunt称，此次GateHub被公开的数据库包含高达140万个账号，数据库大小达3.72GB；EpicBot数据库则有80万账号，包含用户名和IP地址。据悉，Gatehub此前曾承认网站遭到入侵，数据库被非法访问，表示受影响的账号为18,473个。但最新公开的数据库显示入侵规模比之前认为的要大得多，账号数量多达140万而不是1.8万。

数据泄露 PayMyTab 个人信息研究人员透露，由于一个开放的AWS数据库，PayMyTab客户的个人信息泄露，一些敏感的个人身份信息（PII）和部分财务细节也在网上公开，包括客户名称、电子邮件、地址、电话号码、订单详细信息，甚至餐厅访问信息以及客户支付卡号的后四位。该团队被告知存在一个不安全的Amazon Web Services(AWS)S3桶，其中PayMyTab“未能遵循Amazon的安全协议”，需要身份验证才能访问。

相关阅读

一周安全头条 (20191110-1116)