溢信每周信息防泄露简报-2012第15周

清明时节雨纷纷,最近的天气应了这个说法。过了个清明假期,相信部分读者还在“节后综合症”状态,另外部分度小黄金周假期的同志,此刻更是还在各地美景中流连忘返吧。闲话不多说,安全圈不会停止流动,每天都有新事发生,就让我们看一下2012年第15周,又有哪些信息安全新闻发生吧!

1.黑客盗取美国军用交友网站密码

据Pastebin网站本周报道,黑客入侵了军用交友网站数据库并且盗取了密码、邮箱地址以及171000份用户信息。所谓“数据转存”是一种黑客的常见手段,这次袭击的黑客组织代号为LulzSec和LulzSec Reborn。FBI称该组织的核心成员在三周前使用代理攻击政府网站,而去年则攻击FBI网站并且盗取数据。

短评:LulzSec攻击政府、商业、军事等高度涉密目标已经不是新鲜事了,新鲜的是这次的被攻击对象。看到“军用交友网站”,你真要感叹别人的细分市场做的有多细了。但与此同时,社交网络带来的风险同样适用于军队,不仅仅是黑客的攻击,还包括社交网络的开放性让用户有意或无意的泄漏敏感信息。看来,军队是有必要制定一个社交网络使用指南了。

2. NVIDIA有多恨台积电? 用PPT来告诉你答案

NVIDIA已经不止一次抱怨过TSMC 28nm工艺问题,认为后者的工艺进展不畅导致NVIDIA的GPU发布一再延期,看起来这些抱怨相当轻微,但是实际上NVIDIA对TSMC绝对是“怨 之深也、恨之切也”。这些内容是NVIDIA在去年11月份举行的ITPC会议(International Trade Partner Conference)上发布的,应该是没有公开的,因为激烈批评合作伙伴是业内的禁忌,此类情况非常少见,因此XtremeTech网站表示看到这些内 容很震惊,也不知他们是从哪里搞到来源的。

短评:批评合作伙伴的内部文件广泛外传了,不仅仅让合作双方,台积电和NVIDIA陷入尴尬,也拷问了NVIDIA的内部保密机制。我们不止一次的强调,内部泄密有可能造成巨大的经济损失,更可能带来严重的商誉损失,这次NVIDIA算是做了鲜明的注脚。NVIDIA是不是应该反思一下,自己的保密流程和权限机制,这些信息有多敏感?哪些人有权接触这些信息?是否应该采用加密来限制这些文档的传播?问题很多,未解决。

3. 保护个人信息将出台行业标准 非强制标准引担忧

个人信息保护指南的全称是《信息安全技术、公共及商用服务信息系统个人信息保护指南》,标准由工信部直属的中国软件测评中心牵头,联合近30家单位起草。该中心常务副主任黄子河透露说,指南目前还在等待批准文号,但其最终的发布应是“指日可待”。但这个指南并非国家强制性标准。

《个人信息保护指南》对个人信息的处理包括收集、加工、转移和删除四个主要环节,其中还提出了个人信息保护的原则。工信部安全协调司副司长欧阳武介绍,“这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。”

短评:“千呼万唤始出来”,想来这是对《个人信息保护指南》最贴切的描述了。CSDN那600万泄密的数据库犹在江湖飘,暗地里各种脱库不计其数。脱库也好,贩卖信息也罢,其根源是对个人隐私权的重视不足,更缺乏法律上的强制性。此次出台的规定,算是开了个头,但“指南”二字,也着实让人担心其效力。不多说,看效果吧。

4. RockYou因为明文储存密码被罚25万美元

2009年,社交游戏开发商RockYou的主页被发现存在SQL注入漏洞,黑客利用漏洞窃取了用户资料,发现RockYou用明文储存了用户密码,此事导致上千万用户资料被公布在网络上,其中包括大约18万未成年人。现在,RockYou因为未能保护用户隐私而被联邦贸易委员会罚款25万美元,并因收集儿童信息而被控侵犯了儿童隐私保护法。它被要求删除儿童信息,并在未来二十年内接受第三方的独立审计。

短评:同样是明文存储密码,人家被罚25万刀,这边厢的CSDN貌似就不痛不痒的警告一下,“同隐私,不同价”,如果国内也用“重典+重罚”,会不会有效果呢?须知,有时市场机制就是最好的监督者。

5. 出售从三星偷来的AMOLED技术 11名犯罪嫌疑人被捕

几乎十几个犯罪嫌疑人因盗窃和销售三星AMOLED显示器而被捕。本周四 Yonhap News Agency报道,目前已有11名嫌疑人被捕。据了解,一位46岁的三星研究员以170,000美元秘密交换了有关三星专有技术。还有消息称该名男子还出售到中国的显示器制造商,但至今还没有关于他的任何消息。专家认为,这次的AMOLED问题反而能够帮助领导三星的新兴AMOLED电视市场,而其价值更是高达80亿美元。

短评:又是三星,每当这种事情发生时,总会似有似无的牵扯到国内企业。为了17万美刀的个人利益,出卖价值80亿美刀的专利信息,内部泄密的代价并非所有人都能承受的。国内的知识产权法规和环境更不规范,问题只会比这更加严重,所以,有志于自主创新和自主知识产权的有志创业者们,该行动起来了,用信息防泄漏体系,保护你们的信息资产吧!

6. LulzSec成员在索尼黑客案中被判有罪

原黑客团体LulzSec成员Cody Kretsinger周四在法庭中就去年六月黑掉索尼影业服务器的指控认罪,从而接受了未经授权访问受保护的计算机的定罪,而不久前的庭审中他坚持不认罪。

短评:嗯,他们确实有罪,但他们也只是目前隐私数据保护中面临的重大挑战中的一个,数据就在那里,无论何时都有人觊觎,区别只是,你有没有足够的能力去获取这些数据的同时,保护好这些数据。

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注