上周安全熱點回顧

　　工信部通報今年第7批未落實開屏彈窗信息騷擾用戶問題整改的14款APP名單；互聯(lián)網行業(yè)專項整治行動宣貫部署會在京召開；第九屆互聯(lián)網安全大會（ISC 2021）在北京國家會議中心開幕；中國信通院發(fā)布《區(qū)塊鏈基礎設施研究報告（2021年）》；虎符網絡正式完成數千萬元Pre-A輪融資；Zimbra新漏洞或造成20萬家企業(yè)數據泄漏；國外出行行業(yè)陷風波，Uber被控違反隱私法；EspoCRM、Pimcore和Akaunting被曝存在九個安全漏洞，或影響數千企業(yè)；Clubhouse被曝“非法竊取”超38億電話號碼；HP、三星、Xerox打印機驅動中存在高危漏洞，影響數百萬打印機；美英澳聯(lián)合發(fā)布2020-2021期間遭利用最多的Top 30漏洞報告。

　　國內

　　1、工信部通報14款未完成整改的APP

　　前期，工業(yè)和信息化部針對用戶反映強烈投訴較多的開屏彈窗信息騷擾用戶等違規(guī)行為進行了集中整治，督促企業(yè)重視用戶訴求，解決好在開屏信息頁面中存在利用文字、整屏圖片、視頻等方式欺騙誤導用戶跳轉等問題。

　　近期，工業(yè)和信息化部在對該問題“回頭看”中，依然發(fā)現部分企業(yè)“有令不行、有禁不止”，存在問題整改不徹底、將整改過的問題改回原樣、采取技術手段對抗針對不同地區(qū)差異化整改的情況。檢測發(fā)現，14款APP未嚴格落實整改要求（詳見附件），上述APP應在8月3日前完成徹底整改工作。逾期不整改的或整改不到位的，工業(yè)和信息化部將依法依規(guī)組織開展相關處置工作。

　　通報名單詳情點擊：

　　工信部通報14款未嚴格落實開屏彈窗信息騷擾用戶問題整改要求的APP

　　2、互聯(lián)網行業(yè)專項整治行動宣貫部署會在京召開

　　7月30日，工業(yè)和信息化部信息通信管理局在京召開互聯(lián)網行業(yè)專項整治行動宣貫部署會，面向主要互聯(lián)網平臺企業(yè)進行政策解讀和宣貫部署。趙志國局長主持會議并做動員部署。

　　北京市通信管理局、中國信息通信研究院、中國互聯(lián)網協(xié)會有關負責同志，阿里巴巴、騰訊、字節(jié)跳動、拼多多、百度、新浪微博、快手、京東、華為、滴滴、美團、OPPO、VIVO、小米、嗶哩嗶哩、360、蘇寧、攜程、58同城、知乎、陌陌、小紅書、網易、WIFI萬能鑰匙、墨跡天氣等主要互聯(lián)網平臺企業(yè)負責人均參加了本次會議。

　　會議詳情點擊：

　　工信部召開互聯(lián)網行業(yè)專項整治行動企業(yè)宣貫部署會

　　3、2021第九屆互聯(lián)網安全大會開幕

　　7月27日，第九屆互聯(lián)網安全大會（簡稱ISC 2021）在北京國家會議中心開幕。

　　ISC大會主席、360創(chuàng)始人、董事長周鴻祎發(fā)表了主題為《面向未來的新一代安全能力框架》的演講，他表示：數字化的本質就是軟件定義世界，城市、汽車、網絡都將由軟件定義。這也意味著數字化讓整個網絡安全環(huán)境更加脆弱，安全風險更加無處不在，整個世界更易攻擊，造成危害也更大。因此，網絡安全需要一套新戰(zhàn)法和新框架。

　　本次會議為期三天，共有1場未來峰會，9大聯(lián)合峰會，1場千人生態(tài)大會，2場特色活動以及30余場分論壇，堪稱國內安全行業(yè)的“饕餮盛宴”。

　　大會詳情了解：

　　第九屆互聯(lián)網安全大會（ISC 2021）

　　4、中國信通院發(fā)布《區(qū)塊鏈基礎設施研究報告（2021年）》

　　近日，中國信息通信研究院（以下簡稱“中國信通院”）在“2021年中國互聯(lián)網大會鏈網協(xié)同創(chuàng)新發(fā)展論壇”上發(fā)布了《區(qū)塊鏈基礎設施研究報告（2021年）》。

　　該報告重點對“區(qū)塊鏈究竟是不是新型基礎設施”“區(qū)塊鏈基礎設施由哪些要素組成”“區(qū)塊鏈基礎設施如何發(fā)展”“區(qū)塊鏈基礎設施面臨何種挑戰(zhàn)”“區(qū)塊鏈基礎設施將怎樣演進”等關鍵問題進行了分析和闡述，希望能夠有助于產業(yè)界和學術界凝聚共識，更好地發(fā)揮區(qū)塊鏈作為基礎設施的作用和功能，為技術和產業(yè)變革提供創(chuàng)新動力。

　　報告詳情了解：

　　中國信通院發(fā)布《區(qū)塊鏈基礎設施研究報告（2021年）》

　　5、虎符網絡完成數千萬Pre-A輪融資

　　近日，虎符網絡正式完成數千萬元Pre-A輪融資，由凱泰資本和盈動資本共同投資，高遠資本為本輪融資提供獨家財務顧問服務。

　　虎符網絡成立于2019年底，是一家以阿里系和海歸系為核心的新一代網絡安全公司。公司成立后半年，即獲得投資機構的青睞，完成近千萬元的天使輪融資。

　　基于“聚焦零信任安全，構建身份網絡，重塑企業(yè)安全”的產品理念，虎符網絡已發(fā)布了虎盾系列安全產品：虎盾零信任遠程訪問系統(tǒng)、虎盾零信任Web訪問系統(tǒng)，廣泛應用于有贊、國家電網、大數據等多家行業(yè)標桿企業(yè)。

　　融資詳情了解：

　　虎符網絡完成數千萬Pre-A輪融資

　　國際

　　1、美英澳聯(lián)合發(fā)布漏洞調查報告

　　澳大利亞網絡安全中心 （ACSC）、英國國家網絡安全中心 （NCSC）、美國網絡安全和基礎設施安全局 （CISA） 和美國聯(lián)邦調查局 （FBI） 聯(lián)合發(fā)布安全調查公告。報告包括2020年間利用頻率最高的漏洞清單和2021年遭利用的漏洞清單。

　　這些漏洞影響大量產品，如 VPN 設備、郵件服務器、web 企業(yè)應用和桌面軟件的網絡訪問網關。調查的初衷是希望私有企業(yè)和政府機構能夠更加關注并修復易受上述清單中漏洞影響的設備，將惡意人員利用的風險降到最低。

　　報告詳情了解：

　　美英澳聯(lián)合發(fā)布2020-2021期間遭利用最多的Top 30漏洞

　　2、EspoCRM、Pimcore和Akaunting被曝存在九個安全漏洞

　　日前三大熱門開源軟件——EspoCRM、Pimcore和Akaunting被曝存在九個安全漏洞。據了解，這些開源軟件已被廣泛應用于數千家企業(yè)用戶，是支持其服務和云托管工作的核心應用程序。如果這些漏洞被攻擊者成功利用，可能會為更復雜的攻擊提供途徑。

　　幸運的是，研究人員指出：“用戶可以通過更新應用程序版本來解決上述安全問題。對于無法更新的用戶，也可以通過隱藏其生產實例來減少威脅暴露面，只需要將生產實例暴露給公司內部網絡中的可信人員?！?/p>

　　新聞詳情了解：

　　三大熱門開源軟件曝出漏洞，或影響數千企業(yè)

　　3、安全專家披露了Zimbra中的兩個開源新漏洞

　　Zimbra是一套開源協(xié)同辦公套件，包括WebMail、日歷、通信錄、Web文檔管理和創(chuàng)作。它通過將終端用戶的信息和活動連接到私有云中，為用戶提供了最具創(chuàng)新性的消息接收體驗，因此每天有超過20萬家企業(yè)和1000多家政府、金融機構使用Zimbra與數百萬用戶交換電子郵件。

　　SonarSource的專家近期披露了開源Zimbra代碼中的兩個漏洞。這些漏洞可能使未經身份驗證的攻擊者破壞目標企業(yè)的Zimbra網絡郵件服務器。借此，攻擊者就可以不受限制的訪問所有員工通過Zimbra傳輸的電子郵件內容。

　　新聞詳情了解：

　　Zimbra新漏洞或造成20萬家企業(yè)數據泄漏

　　4、高危漏洞CVE-2021-3438影響數百萬臺打印設備

　　SentinelLabs研究人員在HP、三星、Xerox打印機驅動中發(fā)現一個漏洞——CVE-2021-3438，CVSS評分8.8分，由于有漏洞的打印機驅動從2005年開始發(fā)布，因此共有數百萬打印機受到該漏洞的影響，目前漏洞已經修復。

　　新聞詳情了解：

　　隱藏16年的漏洞影響數百萬打印機

　　5、國外出行行業(yè)陷風波，Uber被控違反隱私法

　　7月23日，澳大利亞信息專員辦公室（Australian Information Commissioner，OAIC）發(fā)布了一份關于其對Uber 2016年極具爭議的違規(guī)事件的調查報告，確認Uber侵犯了超百萬澳大利亞人的隱私。

　　由于這件“陳年舊案”，Uber第四次遭到了安全控告。此前，Uber已經因為該事件受到了來自美國、英國和荷蘭的處罰。由此也不難看出，數據安全在全球的重視程度都在不斷加深，同時也在警醒著出海企業(yè)要做好數據的安全防護，避免出現這種被多面處罰的局面。

　　新聞詳情了解：

　　滴滴之后，Uber陷入數據安全風波

　　6、Clubhouse被曝“非法竊取”用戶信息

　　近日，一名黑客在某論壇上開始出售據稱包含了38億個電話號碼的Clubhouse秘密數據庫，而且該款軟件在國內也擁有一定數量的用戶。根據黑客的說法，Clubhouse公司在其出售的秘密數據庫中非法竊取了每個用戶的電話簿。

　　早在今年4月，Clubhouse就被指控泄漏了130萬用戶的個人信息，包括：ID、姓名、用戶名、Twitter用戶名、Instsgram用戶名等，當時Clubhouse發(fā)布聲明表示這些數據都是公開可用的，他們的系統(tǒng)并未遭到破壞，一波未平一波又起，本次事件發(fā)展形式如何還尚待分曉。