据美国科技媒体ZDNet报道，有研究人员发现，中国企业今年第一季度出现数起简历信息泄漏事故，涉及5.9亿份简历。大多数简历之所以泄露，主要是因为MongoDB和ElasticSearch服务器安全措施不到位，不需要密码就能在网上看到信息，或者是因为防火墙出现错误导致。 在过去几个月，尤其是过去几周，ZDNet收到一些服务器泄露信息的相关消息，这些服务器属于中国HR企业。发现信息泄露的安全研究者叫山亚简恩（Sanyam Jain）。单是在过去一个月，简恩就发现并汇报了7宗泄露事件，其中已经有4起泄露事故得到

我们处在一个万物互联时代，教育及其相关行业也并不例外，学生及教师撰写论文也更多地依靠线上期刊。但如果期刊运营者的数据库一旦泄露，将会对众多使用者造成不小的影响。 近期外媒报道，世界最大期刊出版商之一的 Elsevier 被发现错误配置了其数据库，导致外界可以公开访问其订阅用户的密码和电邮地址，受影响的主要是世界各地的高校和研究机构。 发现该问题的安全公司SpiderSilk称，大部分用户的电邮后缀是.edu，意味着这部分用户是学生或者教师。Elsevier 在接到报告之后修复了问题，公司发言人声称没有发现

保护区块链生态系统是当前最具挑战性的网络安全问题。区块链本身可能是安全的，但这并不意味着与之交互的所有部分都安全，比如加密货币钱包、加密货币交易所、挖矿软件、智能合约等。近期外媒报道日本18岁少年被控窃取13万美元数字货币事件再次引发关注。 一名18岁日本少年被控窃取了价值13万美元的数字货币。日本警方称这是第一次有人因为数字货币相关的黑客案件面临刑事指控。 去年8月14日到9月1日期间，这名少年利用礼品卡功能漏洞重复给自己充值，从萌奈币钱包服务Monappy的7735用户账号窃取了93078.7316个

摘要： 近期湖北日报报道，湖北荆门一公职人员，利用职务便利下载大量公民个人信息，因其行为涉嫌侵犯公民个人隐私罪被逮捕。今天我们一同来通过案件学习一下信息安全相关的法律知识吧！ 近日，荆门京山市检察院依法以涉嫌侵犯公民个人信息罪对犯罪嫌疑人张某批准逮捕。 张某，一公职人员，利用职务便利下载大量公民个人信息，并通过网上QQ聊天售出。 张某原本就职于某工商局，2017年4月以来，为谋取非法利益，利用职务便利在大数据分析平台上查询并下载了大量企业登记的公民个人信息，包括企业名称、法人代表姓名、电话号码等，后通过在

据悉警方近年查获曝光的大量案件显示，公民个人信息的泄露、非法收集、转卖，已影响了社会秩序。2019年网络安全执法检查重点之一是存储公民数据的重要信息系统，旨在建立一个安全、规范、有效的网络环境，切实保护好人民群众的合法权益。近期上海网警公布了今年近期工作。详细报道请见下方。 为维护清朗有序的网络空间，夯实属地企业主体责任，结合公安部净网2019专项行动要求，今年以来，上海公安网安部门在全市范围内开展了网络安全执法检查专项行动。 在执法检查中发现，有12家企业存在未向公安机关履行备案义务，未落实用户实名制要

千呼万唤！5月13日下午，国家市场监督管理总局召开新闻发布会，网络安全等级保护制度2.0标准（以下简称等保2.0标准）正式公开发布，包括网络安全等级保护的基本要求、测评要求、安全设计技术要求三个部分，并将于 2019年12月1日起正式实施。 网络安全等级保护制度是国家网络安全领域的基本国策、基本制度和基本方法。等保2.0覆盖技术更全面，监管范围更广，在1.0的基础上更加注重全方位主动防御、动态防御、整体防控和精准防护，将涵盖除个人及家庭自建网络之外，实现了对云计算、大数据、物联网、移动互联和工业控制信息系

据外媒报道，安全研究员Noam Rotem在进行网络扫描时，发现一个没有密码保护的Elasticsearch服务器，可直接访问，每周都会暴露数百万条记录，包括客户数据、订单和付款记录。由于没有密码保护，任何人都可通过这个服务器搜索数据。调查显示，这个数据库来自Gearbest， Globalegrow旗下的自营网站。 Rotem在VPNMentor上发布了其调查报告。报告称，该数据库泄露的数据包括： 订单数据：购买的产品、邮寄地址与邮编、用户姓名、电子邮件地址、电话号码； 支付与收据信息：订单号、支付类型

据外媒近期报道，黑客滥用谷歌云平台攻击 D-Link 等路由器。一位研究人员表示，在过去几个月中，谷歌云平台遭到滥用，针对 D-Link、ARGtek、DSLink、Secutech 和 TOTOLINK 路由器进行三次 DNS 劫持攻击，DNS劫持会导致路由器流量被重定向并发送到恶意网站。 第一波攻击发起，目标是 D-Link DSL-2640B、D-Link DSL-2740R、D-Link DSL-2780B和 D-Link DSL-526B，将其重定向到加拿大的流氓 DNS 服务器。第二波攻击也针

为适应新技术的发展，解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要，由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作，等级保护正式进入了2.0时代。 2019年5月9日，2019工业安全大会（ISSC2019）在京举行，公安部十一局七处处长祝国邦出席并宣布，《网络安全等级保护制度2.0》（简称等保2.0）将于5月13日正式出台，等保2.0将覆盖工业控制系统、云计算、大数据、物联网等新技术新应用。 等保1.0的时代于2008年正式拉开帷幕，经过10余年的实践，为保障

据外媒报道，伊朗网络间谍工具源代码在Telegram泄露。虽然黑客工具远不如2017年泄露的国家安全局工具复杂，但它们仍然很危险。 自3月中旬以来，一个名为Lab Dookhtegan的人在Telegram上陆续曝出了6个伊朗间谍工具的源代码。除了黑客工具之外，Dookhtegan还发布了一些似乎是来自APT34的一些黑客受害者的数据，这些数据主要包括通过网络钓鱼页面收集的用户名和密码信息。 此次事件曝光，还有一份关于部分情报官员个人信息的PDF文件，文件内容包含他们的姓名、职位、照片、电话号码、电子邮件

过去9年间，三名罗马尼亚黑客在全球40万台电脑中植入恶意软件并进行网络钓鱼，联邦陪审团判定他们21项罪名成立，将于今年8月底前入狱。 据外媒报道，两名罗马尼亚黑客，隶属于Bayrob 组织的36岁的Bogdan Nicolescu和37岁的Radu Miclaus，因在全球40万台电脑中植入恶意软件并进行网络钓鱼而被定罪。 联邦陪审团判定他们21项罪名成立，涉及用恶意软件感染受害者的电脑、窃取并出售银行卡信息、挖掘加密货币以及进行网络诈骗。还有一名黑客已于去年11月认罪。 他们在2007年开发了恶意软件，

据solidot报道，相关安全研究人员在4月中下旬披露了甲骨文刚刚修复的一个高危漏洞：Weblogic反序列化漏洞(CVE-2018-2628)。 安全研究人员是在去年11月将漏洞报告给了甲骨文，漏洞允许攻击者在未授权的情况下远程执行任意代码。漏洞影响Weblogic10.3.6.0、12.1.3.0、12.2.1.2和12.2.1.3。 研究人员公开了漏洞细节，随后该漏洞观察到被攻击者利用挖掘数字货币，以及安装勒索软件，整个过程无需任何点击或互动。 研究人员报告，该漏洞至少从4月21日起就被活跃利用。攻