美国国家标准技术研究院发布隐私风险管理框架1.0版;GDPR监管机构迄今为止已罚款1.26亿美金

发布时间 2020-01-21

1.美国国家标准技术研究院发布隐私风险管理框架1.0版



美国国家标准技术研究院(NIST)上周发布了隐私框架1.0版,该工具旨在帮助组织管理隐私风险。NIST于2019年9月发布了隐私框架初稿并收集公众意见,该机构最初希翼在2019年底之前发布1.0版,但直到1月16日才正式发布。NIST隐私框架旨在通过关注三个主要方面来帮助各种规模和各个部门的组织管理隐私风险:在开发产品或服务时要考虑到隐私、交流隐私惯例以及跨组织的协作。该框架包括三个主要部分:核心、概要和实现层。核心提供一组细化的活动和结果,其目的是实现内部沟通。概要层表示组织已确定核心职能、类别和子类别的优先级别。最后,实施层可帮助组织优化实现概要层所需的资源。


原文链接:

https://www.securityweek.com/nist-releases-framework-privacy-risk-management


2.GDPR监管机构迄今为止已罚款1.26亿美金



一项新的调查发现,迄今为止监管机构已对数据泄露和其他GDPR侵权行为处以了价值1.26亿美金的罚款。根据DLA Piper的GDPR数据违规调查,数据保护监管机构在2018年5月25日至2020年1月27日期间对GDPR相关的罚款为1.14亿欧元(约合1.26亿美金/ 9,700万英镑)。这家国际律师事务所指出,法国、德国和奥地利的罚款总额最高,分别为5100万欧元,2450万欧元和1800万欧元。该报告并未涵盖英国信息专员办公室(ICO)对英国航空企业(British Airways)处以1.83亿英镑的GDPR罚款及对万豪国际企业(Marriott International)进行9990万英镑的GDPR罚款,因为截至报告完成时ICO尚未最终确定处以罚款。


原文链接:

https://www.tripwire.com/state-of-security/security-data-protection/gdpr-regulators-have-imposed-126m-in-fines-thus-far-finds-survey/


3.三菱电机疑遭黑客团伙Bronze Butler攻击



根据三菱电机发布的一份简短的声明,去年6月28日该企业遭到黑客入侵,尽管该企业于9月份开始了正式的内部调查,但直到近日当地媒体报道了该事件后,三菱电机才披露了此事件。根据当地媒体报道,攻击者疑为黑客团伙Bronze Butler,入侵开始于一个受感染的员工账户。《朝日资讯》和《日经资讯》称黑客获得了大约14个企业部门(例如销售和总企业)的网络访问权限,并窃取了约200MB的文件,其中大部分是商业文件。三菱电机表示,黑客没有获得有关国防合同的敏感信息。


原文链接:

https://www.zdnet.com/article/mitsubishi-electric-discloses-security-breach-china-is-main-suspect/


4.美国儿童服装制造和零售商Hanna Andersson遭到Magecart攻击



美国儿童服装制造和在线零售商汉娜·安德森(Hanna Andersson)表示其在线购物平台遭到Magecart攻击。事件原因是Hanna Andersson使用的第三方电子商务平台Salesforce Commerce Cloud感染了窃取客户支付信息的恶意代码,调查人员确认的最早危害日期是2019年9月16日,该恶意代码于2019年11月11日被删除。Hanna Andersson通知称该事件可能影响了客户在www.hannaandersson.com上提交的信息,包括姓名、运输地址、账单地址、付款卡号、CVV码和有效期。目前执法部门正在对此事件进行调查。



原文链接:

https://www.bleepingcomputer.com/news/security/us-retailer-hanna-andersson-hacked-to-steal-credit-cards/


5.英国政府向博彩企业提供2800万儿童信息的访问权限



根据《星期日泰晤士报》进行的一项调查,博彩企业被不适当地提供了从政府数据库中访问儿童信息的权限,该数据库包含2800万儿童的信息。该数据库由英国教育部(DfE)负责,其中包含公立和私立学校以及全英各大学中14岁及以上未成年人的详细信息,旨在用于培训和教育用途。根据调查,一家合作伙伴企业未经许可就将数据库中的信息访问权限提供给了博彩集团,使赌博企业可以利用这些数据进行快速的在线身份验证和年龄检查。据称泄露的数据包括姓名、年龄和实际地址。此后,DfE已禁用对该数据库的访问。


原文链接:

https://www.zdnet.com/article/betting-companies-given-free-rein-with-data-of-28-million-children/


6.WP Database Reset插件漏洞可导致网站被接管



Wordfence安全研究人员在WordPress插件WP Database Reset中发现了两个安全漏洞,攻击者可以利用这些漏洞接管受影响的网站。第一个漏洞(CVE-2020-7048)的CVSS评分为9.1分,其原因是没有保护任何数据库重置功能,这可能使得任何用户无需身份验证即可重置任何数据库表。第二个漏洞(CVE-2020-7047)的CVSS评分为8.1分,任何经过身份验证的攻击者均可通过重置wp_users表来删除所有其他用户和升级为管理特权。开发团队已经在WP Database Reset最新版本3.15中修复了这两个漏洞。


原文链接:

https://securityaffairs.co/wordpress/96611/hacking/wp-database-reset-wordpress-flaws.html