3.1.國外數(shù)據(jù)安全相關(guān)事件
3.1.1.GonnaOrder平臺因配置錯誤導(dǎo)致數(shù)據(jù)泄露
歐洲食品配送平臺GonnaOrder因Kafka Broker實例配置錯誤,導(dǎo)致該平臺一個不受保護的實例將實時訂單信息暴露給公眾。泄露的數(shù)據(jù)包括客戶訂單、餐廳和酒店訂單、電話號碼、電子郵件地址、家庭住址、交貨單及使用的付款方式等。
來源:
https://cybernews.com/security/gonnaorder-food-delivery-data-leak/
3.1.2.Gargle公司數(shù)據(jù)庫存隱患致270萬患者信息暴露
Cybernews研究人員發(fā)現(xiàn)美國牙科診所服務(wù)提供商Gargle因未加密的MongoDB數(shù)據(jù)庫配置錯誤,導(dǎo)致270萬名患者資料和880萬條預(yù)約記錄泄露。泄露的數(shù)據(jù)包括患者姓名、出生日期、電子郵件地址、住址、電話號碼、性別、病歷ID、語言偏好、賬單詳情及預(yù)約記錄等敏感信息。
來源:
https://cybernews.com/security/dental-marketing-gargle-data-leak/
3.1.3.Cock.li確認數(shù)據(jù)泄露,超百萬用戶信息遭竊
電子郵件托管提供商Cock.li因已退役的Roundcube網(wǎng)絡(luò)郵件平臺漏洞,導(dǎo)致超過100萬用戶記錄泄露。泄露的數(shù)據(jù)包括用戶電子郵件地址和登錄時間戳,但密碼和郵件內(nèi)容未受影響。
來源:
https://www.bleepingcomputer.com/news/security/hacker-steals-1-million-cockli-user-records-in-webmail-data-breach/
3.1.4.合規(guī)自動化商Vanta軟件漏洞致客戶數(shù)據(jù)泄露
合規(guī)自動化提供商Vanta由于產(chǎn)品變更引起的代碼錯誤,致敏感員工數(shù)據(jù)、賬戶設(shè)置方式、雙因素身份驗證(MFA)使用詳情及工具設(shè)置信息等被“錯誤地導(dǎo)入”到其他客戶賬戶,事件影響數(shù)百名客戶。
來源:
https://hackread.com/code-bug-compliance-vanta-data-leak-customer-clients/
4.1.1.工信部通報57款侵害用戶權(quán)益行為的APP(SDK)
根據(jù)中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局等四部門聯(lián)合發(fā)布的《關(guān)于開展2025年個人信息保護系列專項行動的公告》,依據(jù)《個人信息保護法》《網(wǎng)絡(luò)安全法》《電信條例》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等法律法規(guī),工信部對APP、SDK違法違規(guī)收集使用個人信息等問題開展治理。近期,工信部組織第三方檢測機構(gòu)進行抽查,共發(fā)現(xiàn)57款A(yù)PP及SDK存在侵害用戶權(quán)益行為并予以通報。
來源:
https://wap.miit.gov.cn/xwfb/gxdt/sjdt/art/2025/art_1b941e8dd0a64d5ba163cc4606c63b9b.html
4.1.2.公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心發(fā)現(xiàn)45款違法違規(guī)收集使用個人信息移動應(yīng)用
依據(jù)《網(wǎng)絡(luò)安全法》《個人信息保護法》等法律法規(guī),按照《中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局關(guān)于開展2025年個人信息保護系列專項行動的公告》要求,經(jīng)公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心檢測,45款移動應(yīng)用存在違法違規(guī)收集使用個人信息情況并予以通報。
https://mp.weixin.qq.com/s/1aCQ8SaOfP1GuVUTDEVYVA?scene=25&sessionid=-1333887364#wechat_redirect
4.1.3.國家計算機病毒應(yīng)急處理中心發(fā)現(xiàn)64款違法違規(guī)收集使用個人信息移動應(yīng)用
依據(jù)《網(wǎng)絡(luò)安全法》《個人信息保護法》等法律法規(guī),按照《中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局關(guān)于開展2025年個人信息保護系列專項行動的公告》要求,經(jīng)國家計算機病毒應(yīng)急處理中心檢測,64款移動應(yīng)用存在違法違規(guī)收集使用個人信息情況并予以通報。
https://www.cverc.org.cn/zxdt/report20250619.htm
4.1.4.北京開展民生消費領(lǐng)域數(shù)據(jù)安全和個人信息保護專項整治
移動互聯(lián)網(wǎng)應(yīng)用程序(包含App和小程序)廣泛普及,在促進經(jīng)濟社會發(fā)展、服務(wù)便利民生等方面發(fā)揮了積極作用,但應(yīng)用程序使用過程中,用戶個人信息被商家過度強制收集、存儲管理不當、違規(guī)使用加工、傳輸防護不足、擅自提供公開、刪除注銷設(shè)限的情況愈發(fā)突出。北京市互聯(lián)網(wǎng)信息辦公室會同有關(guān)部門組織開展了數(shù)據(jù)安全和個人信息保護專項整治行動,在隨機抽取的197款應(yīng)用程序中,發(fā)現(xiàn)并督導(dǎo)整改問題388個。
https://www.beijing.gov.cn/ywdt/gzdt/202506/t20250616_4113716.html?sessionid=-1333622571
4.2.國外移動互聯(lián)網(wǎng)安全熱點
4.2.1.SparkKitty間諜軟件攻擊iOS和Android設(shè)備
復(fù)雜間諜軟件活動SparkKitty近日已成為iOS和Android用戶的重大威脅。SparkKitty不僅通過非官方渠道傳播,更成功滲透了Google Play和App Store等官方應(yīng)用商店,主要竊取設(shè)備圖庫中的敏感圖像數(shù)據(jù)。該惡意軟件通常請求訪問設(shè)備圖庫,竊取所有圖像或選擇性地使用OCR技術(shù)定位特定內(nèi)容。分發(fā)方式同樣具有欺騙性,涉及TikToki Mall等可疑在線商店、偽造的應(yīng)用下載頁面以及幣coin和SOEX等加密主題應(yīng)用。
來源:
https://gbhackers.com/sparkkitty-targets-ios-and-android-devices
4.2.2.GodFather惡意軟件采用設(shè)備虛擬化技術(shù)劫持合法銀行應(yīng)用
銀行惡意軟件GodFather的高級變種出現(xiàn)。該變種引入了突破性的攻擊方法,利用設(shè)備虛擬化技術(shù)來入侵合法移動應(yīng)用程序。這種先進威脅不再使用傳統(tǒng)的覆蓋攻擊,而是在受害設(shè)備上創(chuàng)建完全隔離的虛擬環(huán)境,執(zhí)行更具欺騙性和有效性的金融欺詐操作。
來源:
https://cybersecuritynews.com/godfather-android-malware-leverages-on-device-virtualization-technique/