2023年第9周安全周报 | 本周安全要闻速览

国家互联网信息办公室公布《个人信息出境标准合同办法》，自2023年6月1日起施行。《办法》明确，个人信息处理者向境外提供个人信息前，应当开展个人信息保护影响评估并明确了重点评估内容。规定个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。提出在标准合同有效期内个人信息处理者应当重新开展个人信息保护影响评估，补充或者重新订立标准合同，并履行相应备案手续的具体情形。《办法》还对监督管理、法律责任、合规整改要求等作出了规定。

近日，《中国数字乡村发展报告（2022年）》正式发布。《报告》全面总结2021年以来数字乡村发展取得的新进展新成效，涵盖乡村数字基础设施、智慧农业、乡村新业态新模式、乡村数字化治理、乡村网络文化、乡村数字惠民服务、智慧绿色乡村、数字乡村发展环境等8个方面内容。

密码管理供应商LastPass日前公布了去年遭受“二次协同攻击”事件的更多信息，发现恶意黑客潜伏在其内网长达两个月的时间内，持续访问并窃取了亚马逊AWS云存储中的数据。黑客利用第三方媒体软件包中的远程代码执行漏洞，在一名高级DevOps工程师的计算机上安装了键盘记录器。借此获得了该DevOps工程师对LastPass企业密码保险库的访问权。导致其顺利从LastPass的云存储服务器处访问并窃取到大量数据。

美国软件公司Beeline的数据库被攻击者发布在黑客论坛上，数据库内包含亚马逊、瑞士信贷、3M、波音、宝马、戴姆勒、摩根大通、麦当劳、蒙特利尔银行等Beeline客户的数据。该数据库大约1.5GB，包括名字、姓氏、Beeline用户名、职位以及其他数据。据称是攻击者从Beeline的Jira帐户中窃取的。Jira是由Atlassian开发的问题跟踪软件，用于bug跟踪和项目管理活动。

美国卫星电视运营商Dish Network上周遭遇勒索软件攻击，截至3月1日仍在恢复当中。据称，此次攻击中断了Dish Network的运营、网站和客服中心，包括Dish.com、Dish Anywhere应用、MTV和Starz等电视频道应用的Dish登录功能、呼叫中心、支付账单、多个网站和网络等，相关运营和服务均处于瘫痪状态，部分内部数据被盗，正在调查其中是否包含客户的个人信息。

美国政府3月2日正式发布新版《美国国家网络安全战略》，提出了改善全国数字安全的整体方法，旨在帮助美国准备和应对新出现的网络威胁。美国白宫表示，网络空间是一种以反映美国价值观的方式实现自身目标的工具，必须从根本上改变在网络空间分配角色、责任和资源的方式，包括“重新平衡保卫网络空间的责任”以及“重新调整激励措施以支持长期投资”；世界需要一种更有意识、更协调、资源更充足的网络防御方法，美国将与盟友和合作伙伴共同打造“可防御的”“有弹性的”“符合价值观的”数字生态系统。

加拿大政府以维护政府信息安全为由，宣布禁止在政府部门使用的移动设备上使用TikTok(抖音海外版)应用程序。按加官方要求，从2023年2月28日起，TikTok应用程序将被从加政府发放的移动设备上删除；这些设备的使用者也不得下载该应用程序。加政府库务委员会主席莫娜·弗堤耶在一份声明中表示，在对TikTok进行审查后，加拿大首席信息官认定，该应用程序对隐私和安全构成“不可接受的”风险。弗堤耶称，上述禁令是一项预防措施，且与加拿大的国际伙伴的做法一致。但她承认，目前没有证据表明加政府信息已被(TikTok)泄露。