存储域
数据库加密 诺亚防勒索访问域
数据库防水坝 数据库防火墙 数据库安全审计 动态脱敏流动域
静态脱敏 数据水印 API安全 医疗防统方运维服务
数据库运维服务 中间件运维服务 国产信创改造服务 驻场运维服务 供数服务安全咨询服务
数据出境安全治理服务 数据安全能力评估认证服务 数据安全风险评估服务 数据安全治理咨询服务 数据分类分级咨询服务 个人信息风险评估服务 数据安全检查服务3.1.国外数据安全相关事件
近日,研究人员在用于训练人工智能模型的Common Crawl数据集中发现了11908个有效的API密钥、口令以及密码等敏感信息。作为全球最大的开源网络数据集之一,Common Crawl自2008年起持续收集PB级Web数据,并免费向公众开放,许多人工智能项目可能至少在一定程度上依赖这些数字档案来训练大型语言模型(LLM),其中包括OpenAI、DeepSeek、Google、Meta、Anthropic和Stability等公司的模型,这一发现再次凸显了硬编码凭证给用户和组织带来的严重安全风险。
来源:
https://www.bleepingcomputer.com/news/security/nearly-12-000-api-keys-and-passwords-found-in-ai-training-dataset/
3月13日,网络安全研究员Jeremiah Fowler发现一个没有密码保护或加密的数据库,属于业务遍及29个州、总部位于新泽西州的健康科技公司ESHYFT暴露了,该数据库包括ESHYFT旗下86000多名医护人员的108.8 GB敏感数据,包括SSN、身份证件扫描件、薪资详情等个人身份信息。
来源:
https://hackread.com/healthtech-database-exposed-medical-employment-records/
3月18日,美国保险经纪公司Oberlin Marketing因未保护其AWS S3存储桶,导致数十万份包含客户健康状况和财务信息的敏感文件遭泄露。这些文件涉及超过320000名用户,包括姓名、家庭住址、出生日期、性别、电话号码、签名、健康信息和财务详情等。
来源:
https://cybernews.com/security/oberlin-marketing-medicare-applications-leaked/
3月21日,独立安全研究员发现俄罗斯网络设备供应商Keenetic移动应用数据库遭未授权访问,包含用户邮箱、设备型号、加密密钥及管理员凭证等。泄露数据包括:超103万用户账户信息、92万设备详情、55万网络配置及5300万条服务日志,其中94%用户来自俄罗斯。
来源:
https://cybernews.com/security/keenetic-router-data-leak-puts-users-at-risk/
3月25日,澳大利亚专业工具零售商Sydney Tools遭遇重大数据泄露事件,暴露的未加密数据库持续泄露员工及客户敏感信息。泄露数据包含5000余名现职及离职员工的姓名、部门、薪资及销售目标等核心人力资源信息,同时涉及超3400万条客户在线订单记录,涵盖姓名、住址、电话、邮箱及购买明细等个人隐私。
来源:
https://cybernews.com/security/sydney-tools-exposed-data-leak/
3月27日,澳大利亚金融科技公司Vroom by YouX近期遭遇敏感数据泄露事件,安全研究员Jeremiah Fowler在公开可访问的Amazon S3存储桶中发现包含27000条记录的无保护数据库,泄露信息涵盖驾照、医疗记录、就业证明及含部分信用卡号的银行对账单等高度敏感数据。
来源:
https://hackread.com/aussie-fintech-vroom-pii-records-aws-misconfiguration/
4.1.国内移动互联网安全热点
4.1.1.国家计算机病毒应急处理中心监测发现15款违规移动应用
国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求,近期通过互联网监测发现15款移动应用存在隐私不合规行为。针对上述情况,国家计算机病毒应急处理中心提醒广大手机用户首先谨慎下载使用以上违规移动应用,同时要注意认真阅读其用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据,避免个人隐私信息被泄露。
来源:
https://www.cverc.org.cn/zxdt/report20250307.htm?sessionid=-588464977
4.1.2.北京市通信管理局关于问题APP的通报
依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络产品安全漏洞管理规定》等法律法规,按照工业和信息化部工作部署要求,北京市通信管理局持续开展APP隐私合规和网络数据安全专项整治。现将存在侵害用户权益和安全隐患等问题的APP实行通报、下架处理。
https://bjca.miit.gov.cn/zwgk/tzgg/art/2025/art_f35387342b85406286d6bba43270035c.html
4.1.3.小红书回应3天读取用户信息1.7万次
近日,有多位小红书用户向媒体反映,小红书后台持续高频获取用户位置信息,有用户最高3天内被访问1.7万次,包含定位、照片与视频、设备状态、日程、剪贴板等,甚至凌晨未使用软件时段仍有高频操作,引发隐私安全方面的担忧。3月27日晚,小红书最新回应关于平台“高频读取用户位置信息”一事。?小红书官方账号“薯管家”发布公告称,3月26日至3月27日,陆续有外界关注到“小红书高频读取用户信息”的相关信息。?经核查,平台不会在未经授权的情况下读取用户位置信息。读取频次取决于用户使用场景,个别用户遇到的高频读取情形可能与个人使用行为有关。
https://www.360kuai.com/pc/990da232fb9e14e0e?cota=3&kuai_so=1&refer_scene=so_3&sign=360_da20e874&sessionid=-585360645
4.1.4.中消协提示:谨防“免密支付”盗刷漏洞
中国消费者协会25日发布消费提示,近期陆续接到消费者投诉,因“免密支付”功能导致账户资金被盗刷,提醒消费者谨慎使用“免密支付”功能,避免因账户权限过度开放而引发资金损失。
https://mp.weixin.qq.com/s/fmLGQEwTaYOoFI1Wx1Jsvg
4.2.国外移动互联网安全热点
4.2.1.谷歌官方应用SafetyCore暗中扫描用户手机中的照片
近期,大量用户报告揭示,自2024年10月以来,谷歌的Android系统服务SafetyCore已在运行Android 9及以上版本的设备上悄然安装。该服务旨在实现设备端内容扫描,但由于其安装过程隐蔽且缺乏透明度,引发了广泛的隐私担忧。与常规应用安装不同,SafetyCore没有图标,隐藏在系统进程中,并占用了约2GB的存储空间。这一细节在一篇广泛传播的X(原Twitter)帖子中被曝光,帖子指责谷歌暗中开启了照片库扫描功能。用户只有在进入“设置 > 应用 > 显示系统进程”时,才能发现该应用作为后台服务存在,并拥有互联网访问、存储和设备传感器等权限。
来源:
https://www.freebuf.com/news/423112.html?sessionid=-587045682
4.2.2.331个恶意应用潜入Google Play商店,影响60万用户
近日,安全研究人员揭露了一起代号为“Vapor”大规模Android恶意应用攻击事件。据Bitdefender最新报告,共有331个恶意应用被上传至Google Play商店,累计下载量超过3亿次,影响约60万用户。这些应用主要充当广告软件或试图窃取用户凭证和信用卡信息。这些应用采用多种技术规避检测,如禁用启动器活动、重命名自身、使用原生代码启用隐藏组件等。一些应用甚至会显示虚假的Facebook和YouTube登录界面以窃取凭证。Google已下架所有相关应用,但专家警告Vapor可能通过新应用卷土重来。建议Android用户谨慎安装来源不明的应用,仔细审查权限,并定期比对已安装应用列表。
来源:
https://www.bleepingcomputer.com/news/security/malicious-android-vapor-apps-on-google-play-installed-60-million-times/
4.2.3.TikTok和Reddit等社交平台在英国受调查,涉嫌侵犯儿童隐私
近日,英国隐私监管机构英国信息专员办公室(ICO)宣布对TikTok、Reddit和Imgur三家社交媒体平台展开调查,原因是这些平台的“推荐系统”可能导致未成年用户接触不当或有害内容。ICO表示,将审查这些平台如何使用儿童个人信息,以及它们采取何种年龄核实措施,以确保向儿童用户提供适龄内容。
来源:
https://www.infosecurity-magazine.com/news/ico-tiktok-investigation-use/
官方订阅号
官方服务号
第59号
浙公网安备 33010502006954号 
