2月第3周业务风控关注|上海网信办复测23个被约谈APP 涉及1号店、小红书等

易盾业务风控周报每周呈报值得关注的安全技术和事件，包括但不限于内容安全、移动安全、业务安全和网络安全，帮助企业提高警惕，规避这些似小实大、影响业务健康发展的安全风险。

1、上海网信办复测23个被约谈APP 涉及1号店、小红书等

近日，上海市网信办对此前被约谈的23个APP开展“回头看”复测工作，要求各企业按照整改报告切实做好整改工作。2018年10月，上海市网信办对本地最常用的23个App获取用户个人信息等权限申请情况开展安全抽查，并就抽查中发现的申请权限不合理、过度索取用户个人信息等问题依法对23家App运营企业进行约谈。

根据安全抽查结果，结合运营企业发展实际，最终确定整改前的“不合理权限”数量为164项，“合理但存在风险权限”数量为113项。

此次复测结果显示，截止1月中旬，各App共整改158个“不合理权限”和98个“合理但存在风险权限”。整改后剩余6个“不合理权限”因企业战略调整等原因还未整改，但都已列出详细整改计划，剩余15个“合理但存在风险权限”因安卓系统的限制，无法完成“修改为一次性授权”的整改，但会对此类权限加强网络安全管控，严防个人信息泄露风险。

上海市网信办表示，下一步将根据《关于开展App违法违规收集使用个人信息专项治理的公告》要求，加强对App运营企业违法违规申请权限、收集用户个人信息等行为的监管和处罚，对未完成整改的企业进行再检查。

2、WordPress曝出插件漏洞 允许任何用户接管网站

一名来自WebARX的安全研究人员，刚刚发现了“简易社交分享按钮”（Simple Social Buttons）插件的一个缺陷。该插件旨在方便网站管理员在文章、评论、或网站的其它部分，嵌入 Facebook 或 Twitter 等 SNS 平台的社交分享按钮。然而最新曝光的漏洞允许任何能够在网站上创建新账户的用户，利用它来访问“通常只有管理员才能解除的设置”。换言之，别有用心的攻击者可以通过该插件来接管网站。

安全研究人员指出，截止目前，WPBrigade 简易社交分享按钮插件的下载量，早已超过 50 万次。WordPress 声称，其已被超过 4 万网站采用。

3、Facebook被发现可搜索女性朋友的照片却无法搜索男性的

据外媒TheNextWeb报道，一位比利时安全研究人员在Facebook的搜索功能中发现了一个不寻常的怪异现象。Facebook允许用户搜索女性朋友的照片，但却无法查看男性朋友的照片。这个现象被臭名昭著的比利时白帽黑客Inti De Ceukelaire发现。

TNW已经设法复制了几个Facebook帐户的故障。当用户在搜索栏中输入“我的女性朋友的照片”时，Facebook将出现一些看似随意的女性朋友照片。用“男性”换掉“女性”会让人感觉完全不同。而不是社交网络中的朋友的照片，而是显示来自社交网络的精选图片。这些来自用户没有关注的帐户和团体。假设用户错误输入了查询，Facebook也会询问用户是否打算输入“女性”。

4、16家国外网站近6.2亿用户信息被挂暗网出售 

近日，一个名为Dream Market暗网市场上挂出了6.2亿用户信息，交易通过比特币转账进行，打包售价不高于2万美元，该卖家宣称这些数据来自16个被攻击的网站：

Dubsmash（1.62亿）、MyFitnessPal（1.51亿）、MyHeritage（9200万）、ShareThis（4100万）、HauteLook（2800万）、Animoto（2500万）、EyeEm（2200万），8fit（2000万）、Whitepages（1800万）、Fotolog（1600万）、500px（1500万）、Armor Games（1100万）、BookMate（800万）、CoffeeMeetsBagel（600万）、Artsy（100万）和DataCamp（70万）。

从放出的部分样本来看，包含的用户信息有效性很高，主要有帐户持有人姓名、电子邮件地址和密码等数据。密码经过哈希处理或单向加密，因此必须先破解才能使用。根据来源网站的不同，某些数据还包含位置、个人详细信息和社交媒体身份验证信息等内容，而付款或银行卡详细信息不在其中。

MyHeritage发言人证实，该卖家现在出售的数据库样本是真实有效的，这些数据是2017年10月从其服务器泄露的，公司已在2018年发出通报。

5、四川开展学习类APP整治行动 坚持“凡进必审” 原则

据四川日报报道，四川省教育厅启动学习类APP等移动应用程序专项整治行动，按照“凡进必审”“谁选用谁负责”“谁主管谁负责”的原则，督促各地建立学习类APP进校园备案审查制度。

据了解，凡是未经备案审查的学习类APP一律被禁止在校园内使用。凡发现APP内包含色情暴力、网络游戏、商业广告等内容及链接，或利用抄作业、搞题海、公布成绩排名等应试教育手段增加学生课业负担的,要立即停止使用，卸载APP。同时，对存在违规问题的APP要报告给相关部门进行查处。

此外，新华微评文章也指出，含有色情暴力、低俗游戏的有害教育类App屡禁不止，令人忧心。面对乱象，不仅需要加强监管力度与提高违法成本，更应改变靠用户“举报”推动监管的被动状态。切实提高行业门槛，从内容上正本清源，在技术上精细化甄别，才能让优质教育类App脱颖而出，让害群之马无所遁形，还青少年一个健康的网络环境。

6、腾讯公布直播规范，这12条直播禁令需要注意！

北京时间2月15日，腾讯游戏发布关于直播行为规范化的公告，提出12条严禁出现的不良行为。

公告称，游戏内容与游戏直播内容存在天然的版权关联，作为直播行业及其衍生领域的内容提供者，腾讯承担其游戏内容合规运营责任的同时，也有责任推动基于腾讯游戏画面的直播内容和授权的规范化。

在基于腾讯所运营游戏的直播中，严禁出现下列不良行为，包括但不限于：

1.违反宪法确定的基本原则的;涉及国家政治、民族、宗教、地域等敏感话题的;
2.宣传或发布违法信息、违反社会公德的信息，或不利于精神文明建设的信息，包括但不限于色情、赌博、邪教、恐怖主义等内容;
3.通过任何方式、行为直接或间接损害腾讯游戏用户体验和腾讯游戏品牌;
4.通过任何方式、行为冒充平台或腾讯游戏官方向其他用户散布或传播虚假信息;
5.通过任何方式、行为散布或传播低俗、不雅信息;
6.通过任何方式、行为散布或传播使用私服、木马、外挂、病毒、代练及此类信息;
7.宣扬、鼓动现实世界内的血腥暴力行为;
8.未经许可，侵犯他人隐私，泄露他人信息的;
9.不遵守契约精神，合约期内无故单方面解约或与第三方签署影响合约正常履行的其他协议;
10.侵害游戏厂商和内容创作者的著作权，通过任何方式损害内容创作者或版权方权益;
11.通过任何方式或途径引起纷争，造成不良社会影响的;
12.其他不符合法律法规、社会公德或游戏规则的言论或行为。

7、Facebook安全部门被爆“监视”部分用户，股价转跌

Facebook安全部门保留了一份详细的“监视”威胁名单，用于监视对Facebook构成威胁的用户。这项工具是BOLO List，大约每周更新一次。该名单创建于2008年，目前有数百人在该名单上。该公司甚至可以使用其产品来追踪用户的位置。一些前Facebook雇员质疑，Facebook的安全策略并不道德。Facebook回吐涨幅转跌。

8、沙特通过App监控女性出境，苹果CEO库克承诺要调查

针对近日曝光的一款可以实时追踪女性出境情况的App，苹果公司(以下简称“苹果”)CEO蒂姆·库克(Tim Cook)表示，如果消息属实，苹果将对此展开调查。

近日有报道称，沙特政府出台的一款名为“Absher”的手机App可以实时追踪该国女性的出境情况，并在对方离境时向男性监护人发送短信警告。根据沙特的法律，每名女性必须有一位男性监护人，且未经同意不得随意旅游出境。虽然该软件已存在7年，但直至最近才吸引了媒体的关注。原因是：上月初一名18岁的沙特少女自称受家人虐待逃至泰国，而她的父亲随后赶到希望接回女儿，但被拒绝。

9、500px 千万用户信息泄露

著名摄影网站500px发布公告称在去年 7 月遭到黑客攻击，大约 1480 万用户的信息泄露，而它直到上周才获悉此事。500px 称 2 月 8 日，工程团队了解了一个潜在安全问题，随后它立即发起全面调查以查清问题的性质和范围，它还雇佣了第三方专家来帮助调查，结果发现在 2018 年 7 月 5 日，它的系统和部分用户数据遭到未经授权的访问，被访问的数据包括了用户名、电子邮件地址、哈希密码、出生日期性别地址等可选输入的信息。出于谨慎起见，它决定重置所有用户的账号密码，并建议用户如果在其它网站复用密码最好一并修改。500px 去年二月被视觉中国收购。

点击这里可免费试用易盾云安全产品，包括反垃圾、验证码、注册保护、登录保护、活动反作弊、应用加固、DDoS 防护等整体安全解决方案。

相关文章：
【推荐】 不再任人欺负！手游安全的进阶之路