安全焦点
Zoom被控向脸书泄漏个人信息,同意支付5.4亿元赔偿
视频会议软件Zoom于近日同意支付8500万美元(约合人民币5.4亿元)以就一项隐私集体诉讼达成和解。此项集体诉讼的原告一方指控,Zoom与脸书(Facebook)等第三方共享用户个人信息、未阻止黑客劫持Zoom会议等,侵犯了用户的隐私权。
自疫情暴发以来,Zoom的用户剧增。美国联邦贸易委员会(FTC)的数据显示,Zoom用户已由2019年12月的1000万飙升至2020年4月的3亿。此项和解协议还需要加州圣何塞地区法官露西·高( Lucy Koh)的批准。每名参与集体诉讼的付费用户将有资格获得15%的退款或者25美元的赔偿,其余每人可以获得15美元的赔偿。
原告主要提出三项指控:Zoom向脸书、谷歌、领英等第三方共享了原告的个人身份信息;Zoom错误地陈述了其产品的安全能力;Zoom未能阻止以及提前告知用户安全漏洞“Zoom炸弹”。去年3月26日,《Motherboard》 刊文指出,在iOS系统下载或打开Zoom App时,App内嵌的Facebook SDK(软件开发工具包)会向Facebook传送用户的手机型号、时区、城市、运营商以及广告唯一标识符等信息。
原告方面表示,Zoom允许第三方“识别用户,并在多项数字服务中跟踪用户的行为”,并且允许第三方知道用户何时打开或关闭Zoom。
“Zoom炸弹”指的是未被邀请的人劫持Zoom会议,展示色情、种族主义等其他令人不适的内容。作为原告之一的HeddiN.Cundle便遇到了“Zoom炸弹”。她表示,2020年5月6日,她创建了一个密码保护的Zoom会议,举行圣经研究。尽管已经设置了密码,但一个入侵者还是劫持了Zoom会议并展示了儿童色情片。Zoom方面同意采取安全措施,具体包括:当会议参与者使用第三方应用时提醒用户,为Zoom员工提供隐私和数据处理方面的专门培训。不过,Zoom在和解中否认其存在不当行为。
安全风险
思科路由器爆严重VPN漏洞
近日,网络设备巨头思科已经推出补丁来解决影响其小型企业 VPN 路由器的关键漏洞,远程攻击者可能会滥用这些漏洞来执行任意代码,甚至导致拒绝服务 (DoS) 条件。主要漏洞问题存在于小型企业 RV340、RV340W、RV345 和 RV345P Dual运行版本 1.0.03.22 之前的固件版本的 WAN 千兆 VPN 路由器。成功利用相关漏洞可能允许未经身份验证的远程攻击者在设备上执行任意代码或导致设备重新加载,从而导致 DoS 条件。
思科还解决了一个影响小型企业 RV160、RV160W、RV260、RV260P 和 RV260W VPN 路由器的高严重性远程代码执行错误,未经身份验证的远程攻击者可以利用该漏洞在受影响设备的底层操作系统上执行任意命令。运行早于 1.0.01.04 的固件版本的小型企业 RV 系列路由器容易受到影响。
思科表示“此漏洞是由于用户输入验证不足造成的。攻击者可以通过向基于 Web 的管理界面发送精心设计的请求来利用此漏洞,成功的利用可能允许攻击者使用 root 级权限在受影响的设备上执行任意命令。由于漏洞的性质,只能执行没有参数的命令。”
企业安全
关于DLP数据防泄漏
DLP(Data leakage prevention)终端数据防泄漏技术,目的是管理企业终端上(主要是PC端)的敏感数据,其原理是在受管控的终端上安装代理程序,由代理程序与后台管理平台交互,并结合企业的数据管理要求和分级分类策略,对下载到终端的敏感数据进行加密,从而将加密应用到企业数据的日常流转和存储中。信息被读取到内存中时会进行解密,而未授权复制到管控范围外则是密文形式,主要适用于非结构化数据的保护。
DLP终端数据防泄漏技术主要适用于企业终端数据的安全管理,在原有安全防护能力之上,可有效增强以下场景的数据防护能力:
1)操作失误或恶意外发导致技术数据泄漏;
2)通过打印、剪切、复制、粘贴、另存为、重命名等操作泄漏数据;
3)离职人员通过U盘、移动硬盘等方式随意拷走机密资料;
4)移动笔记本被盗、丢失或维修等造成数据泄漏。
文件外发强管控。和其他终端安全技术相比,能够强制实现重要敏感文件的外发管控,从而实现对数据的“事前防护”,可防范一定程度的“有意泄露”。但在企业具体实施落地过程中又会面临以下挑战:
* 企业终端一般具有操作系统众多、终端类型复杂、文档使用场景多样等特点,终端加密在落地应用时,易出现终端兼容适配困难、运维成本较高等问题;
* 在移动终端,由于存在权限问题,技术落地难度大。
终端适配困难、运维成本高是中小企业实施DLP解决方案不得不面对的问题。
如需要对DLP解决方案进一步了解,请联系蓝盟IT外包获取免费咨询。
中文
电话咨询
微信咨询
公众号
