1. <tbody id="z2biv"><center id="z2biv"></center></tbody><form id="z2biv"><strike id="z2biv"></strike></form>

        <progress id="z2biv"></progress>
        15320004362

        從權限角度看滴滴處罰事件

        日期:2022-08-10 19:53:25 訪問:1372 作者:必火安全學院
        從權限角度看滴滴處罰事件
        必火網絡安全學院,實打實的為就業而生,為年薪30W而戰!
        五個月零基礎到精通,從網絡協議路由到系統安全、從代碼編程PHP、python到代碼審計SRC漏洞挖掘、從腳本安全到CTF全面解析。
        網絡信息安全攻防培訓,必火質量第一,實至名歸。全天上課,包高薪就業。
        第14期網絡安全就業班:2022年05月24日
        CISP/CISSP/CISP-PTE/CISA/CISW...網絡安全證書認證
        從權限角度看滴滴處罰事件



        1、事件概況
        2022年7月21日,據新聞報道,經查實,滴滴全球股份有限公司違反《網絡安全法》《數據安全法》《個人信息保護法》的違法違規行為事實清楚、證據確鑿、情節嚴重、性質惡劣。依據《行政處罰法》等法律法規,對滴滴全球股份有限公司處人民幣80.26億元罰款,對滴滴全球股份有限公司董事長兼CEO程維、總裁柳青各處人民幣100萬元罰款。

        新聞中還提到滴滴公司的違法違規行為,主要存在16項違法事實,歸納起來是8個方面:
        1、違法收集用戶手機相冊中的截圖信息1196.39萬條;
        2、過度收集用戶剪切板信息、應用列表信息83.23億條;
        3、過度收集乘客人臉識別信息1.07億條、年齡段信息5350.92萬條、職業信息1633.56萬條、親情關系信息138.29萬條、“家”和“公司”打車地址信息1.53億條;
        4、過度收集乘客評價代駕服務時、App后臺運行時、手機連接桔視記錄儀設備時的精準位置(經緯度)信息1.67億條;
        5、過度收集司機學歷信息14.29萬條,以明文形式存儲司機身份信息5780.26萬條;
        6、在未明確告知乘客情況下分析乘客出行意圖信息539.76億條、常駐城市信息15.38億條、異地商務/異地旅游信息3.04億條;
        7、在乘客使用順風車服務時頻繁索取無關的“電話權限”;
        8、未準確、清晰說明用戶設備信息等19項個人信息處理目的。

         

        2、滴滴事情始末
        2021年6月30日,滴滴出行成為國內網約車在美上市第一股。
        2021年7月2日,國家網信辦官網發布公告,對滴滴出行啟動網絡安全審查。由于其存在嚴重違法違規收集使用個人信息問題,25款滴滴旗下APP下架整改,新用戶無法再注冊。
        2022年6月2日,據滴滴官網文件顯示,其已于6月2日正式遞交了退市申請。
        2022年6月10日,成為滴滴(DIDI)在紐交所的最后一個交易日,完成退市。
        2022年7月21日,滴滴收到網信辦處罰。
        滴滴存在嚴重影響國家安全的數據處理活動,違法違規的運營給國家關鍵信息基礎設施安全和數據安全帶來嚴重安全風險隱患,因此才予以重罰。滴滴也態度誠懇地正面回應了此次事件。

         

        3、權限研究
        在違法違規的描述中提到,滴滴有違規收集用戶手機相冊中的截圖、收集用戶剪切板信息、應用列表、收集精準位置(經緯度)、電話權限等行為,讓作者對這款app中到底開了什么權限表示好奇,于是在互聯網上下載了3款滴滴出行的app,分別是:
        1、滴滴出行
        版本:6.0.18
        包名:com.sdu.didi.psnger_6.0.18_1209.apk
        發布時間:2021-01-25
        2、滴滴出行
        版本:6.2.4
        包名:com.sdu.didi.psnger_V6.2.4.apk
        發布時間:2021-07-09
        3、DiDi-Rider(google play版)
        版本:7.2.58
        包名:com-didiglobal-passenger-1865-59564642-265b4f061b6487f8a37abaa6803ab04a.apk
        發布時間:2022-7-12
        由于國內在7月4日之后就下架了所有滴滴出行相關的軟件,只能在第三方平臺上找其他人上傳的軟件,而國外的滴滴出行則沒有受到影響,曾在7月12日才更新過。



        針對這三個版本,首先看看新聞中提到的違規收集數據的權限開了哪些(資源文件中的AndroidManifest):
        收集用戶手機相冊中的截圖信息對應的權限



        收集用戶剪切板信息對應的權限



        Android讀取已安裝應用列表不需要申請權限。
        收集精準位置(經緯度)對應的權限



        收集電話權限(包括通訊錄權限和電話狀態)



        新聞中提到的可能違規的權限均能在app中找到,除了常規收集的設備手機號碼、MAC、IMEI等信息,還開了藍牙、網絡狀態、wifi狀態等權限,這些權限都是可以結合使用,讓用戶的定位更加準確;據谷歌稱,經緯度信息,結合wifi信息和藍牙信息,可以將手機的位置精確定位到10米以內。



        作者還查了一下該app外聯的域名,國內的兩款沒有向境外傳輸數據的情況,否則對我國數據安全的影響將更加巨大,處罰也會更加嚴重。
        其實還有很多日常使用率較高的app也有這種情況出現,打開很多功能根本用不到的權限,各種違規收集和利用個人隱私信息,可以以上面提到的這些比較敏感的權限為特征進行檢測和自查,如果隱私保護策略中沒有提到需要某功能,卻開放了此權限,其目的是十分可疑的。



         

        4、其他可疑app
        除了滴滴這種大眾經常使用的app在收集用戶個人隱私數據外,還有很多非?!疤貏e的”獲取個人信息的途徑:
        例如此前外媒報道過的一家美國公司,借激勵計劃的名頭,通過向開發人員付費,以將其SDK代碼整合到開發者的應用程序中,此SDK則是帶有收集用戶敏感數據的功能,并且據報道,國內是有用戶在使用這些嵌入了違規SDK的app的。這種情況比滴滴的行為還要惡劣,因為他們會將數據出售給美國政府機構,更加嚴重地危害到我國數據安全。
        再例如,作者發現了一篇標題名為《如何通過下載這4個應用程序一年賺取395美元》的文章,這些應用程序會收集用戶個人數據并自稱用于市場調研,會給安裝此app的用戶每年提供一定的報酬。他們是否有將數據出售給美國政府還未可知,但是他們收集用戶數據的行為確實是板上釘釘的,并且通過某些渠道,作者發現這些app也是有部分國內用戶在使用的。



        最后,據報道,在被罰款、整改后,滴滴有望重新上架,接受新用戶注冊。





        美國財政部禁止公民使用鏈上混幣器TornadoCash 加密行業對此紛紛作出反應

        1、deBridge Finance平臺遭Lazarus黑客組織攻擊
        黑客向deBridge Finance員工發送了一封釣魚郵件,附上偽裝成PDF的網頁文件和偽裝成純文本的快捷方式,試圖部署后門。

        很多員工收到了這份郵件,大部分還是比較警覺并報告了可疑郵件,一名員工不慎下載打開了文件,導致電腦被感染,不過這也讓安全部門第一時間介入。目前還不清楚背后的黑客最終目的為何,但安全研究員認為肯定是Lazarus所為,這次監測到的基礎設施和之前Lazarus所使用的有重疊。Lazarus之前就專注于加密貨幣的竊取和轉移,這次盯上deBridge Finance大概也是同樣的理由,意圖后續通過它在各個區塊鏈之間轉移非法所得。[閱讀原文]



         

        2、黑客入侵電子郵件營銷公司竊取郵件列表
        黑客在8月3日成功入侵電子郵件營銷公司Klaviyo,拿到不少加密貨幣相關的賬號信息,并試圖利用它實施進一步攻擊。

        黑客竊取的信息包括這部分賬號的姓名、地址、郵件和電話,用來進行釣魚攻擊再好不過,而且他們行動非???,如今已有利用跡象。Klaviyo確認數據泄露后對事件進行了披露,通知執法部門,并與第三方網絡安全公司合作進行事件調查和分析。[閱讀原文]



         

        3、Twilio披露數據泄露事件 起因是員工誤入短信釣魚陷阱
        云通信公司Twilio披露數據泄露事件,一部分用戶數據被黑客竊取。

        調查后發現,最開始是部分員工遭短信釣魚攻擊,黑客拿到員工賬號密碼后,以此當跳板又獲取部分用戶的敏感信息。安全研究員分析后得知,黑客冒充公司IT部門,謊稱密碼已過期,騙員工訪問釣魚頁面修改密碼,達成目的。但官方并未透露諸如受影響用戶數量、受影響員工數量等數據,需要等一手提交給政府的調查報告。

        雖然并沒公布數量,但官方承諾已向受影響用戶發送安全警告,希望收到消息的及時確認修改密碼。[閱讀原文]



         

        4、美國財政部禁止公民使用鏈上混幣器TornadoCash 加密行業對此紛紛作出反應
        美國財政部周一宣布,禁止所有美國人使用去中心化加密貨幣混合服務 Tornado Cash,財政部負責防止違反制裁的監管機構外國資產控制辦公室 (OFAC) 將 Tornado Cash 添加到其特別指定國民名單(Specially Designated Nationals list)中,該名單旨在統計所有受制裁人員、實體和加密貨幣地址。因此,所有美國個人和實體都被禁止與 Tornado Cash 或與該協議相關的任何以太坊錢包地址進行交互。對故意不遵守規定的處罰從5萬美元到1000萬美元不等,以及10年到30年監禁。

        針對這一最新制裁,加密行業紛紛作出反應。根據加密數據聚合商 Dune Analytics 的數據,周一,USD Coin穩定幣 (USDC) 的發行商 Circle 凍結了與44 個 Tornado Cash 地址相關的價值超過 75,000 USDC 的資金。

        USDC 和 Tether 背后的實體都可以在以太坊智能合約級別凍結他們與 Tornado Cash 之間的穩定幣轉賬。與此同時,位于加利福尼亞州帕洛阿爾托的 BitGo 理論上也需要限制對 Tornado Cash 的訪問以遵守此類制裁。一種可能的方法是暫停贖回與Tornado-Cash掛鉤的wBTC。

        正如 DeFi 教育家@BowTiedIguana 所說,新的 Tornado Cash 制裁措施針對美國個人和實體。簡單的互動,例如 Gitcoin 捐贈、為該項目工作、運行或下載其軟件、訪問其網站以及從智能合約中存入/取款,都可能被解釋為違規行為。

        Tornado Cash 的聯合創始人之一 Roman Semenov 報告稱,他在開發者平臺 GitHub 的賬戶被暫停。

        在周一的一條推文中,Semenov 表示,盡管沒有被單獨點名,但他似乎正面臨政府部門指控 Tornado Cash 清洗了價值超過70億美元的加密貨幣的影響。

        根據聯邦金融機構審查委員會和外國資產控制辦公室的聯合聲明,被禁止的交易可能被解釋為包括“從受制裁的實體下載軟件補丁”。

        Semenov 稱,暫停他的賬戶的舉動“有點不合邏輯”。

        然而,美國財政部負責恐怖主義和金融情報的副部長布賴恩·納爾遜表示,美國居民實際上已經被禁止使用這種加密貨幣混合器,因為它被指“未能實施有效的控制措施,旨在阻止它定期為惡意網絡行為者洗錢,并且沒有基本措施來應對其風險”。

        加密倡導者對這一舉措感到不滿。Coin Center執行董事Jerry Brito在接受《財富》雜志采訪時表示,這項制裁剝奪了美國人“憲法賦予的匿名權”。

        Jerry Brito稱:“受到制裁的不是某個特定的不良行為者,而是所有希望在網上交易時使用這一自動化工具以保護自己隱私的美國人,他們的自由受到了限制?!?br />
        區塊鏈協會政策負責人Jake Chervinsky聲稱,美國財政部在懲罰不良行為者可能使用的工具和技術之間的決定中可能“越界”了。

        Tornado Cash 是一種加密混合器,可用于隱藏交易軌跡。該協議是去中心化金融中一些重大黑客攻擊和利用的中心,包括 2 月對 Wormhole 的 3.75 億美元攻擊和 6 月對 Horizon Bridge 的 1 億美元黑客攻擊。

        今年 5 月,美財政部制裁了另一家代幣混合服務 Blender,理由是它涉嫌幫助朝鮮清洗從 Axie Infinity 竊取的部分資金。

        Blender 和 Tornado Cash 以及網絡黑客組織Lazarus Group 有關聯,Lazarus Group迄今為止進行了最大的虛擬貨幣黑客攻擊,Axie Infinity 近 6.2 億美元被盜,大約 2050 萬美元被用于 Blender 洗錢。

        美國財政部官員在新聞發布會上表示,他們將繼續監控混合器,并在需要時立即采取行動。

        两个人BD高清在线观看2018年|亚洲中文字幕无亚洲人成影院|天天看黄片靠逼视频免费看|国产一级aa无码大片293