2023年第22周安全周报 | 本周安全要闻速

根据2023年5月23日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2023年第2号），全国信息安全标准化技术委员会归口的19项网络安全国家标准正式发布。

据国家互联网信息办公室5月30日消息，为了指导和帮助个人信息处理者规范、有序备案个人信息出境标准合同，国家互联网信息办公室编制了《个人信息出境标准合同备案指南（第一版）》，对个人信息出境标准合同备案方式、备案流程、备案材料等具体要求作出了说明。个人信息处理者通过与境外接收方订立个人信息出境标准合同的方式向境外提供个人信息，应当根据《个人信息出境标准合同办法》规定，按照备案指南向所在地省级网信部门备案。

近日，有网友反映，其在使用北京公交APP时，遇到诈骗广告，该广告伪装成登录入口，十分隐蔽，稍不注意就会被扣29.8元。针对此事，北京公交集团回应表示，针对网传的“北京公交APP”广告问题，北京公交集团发现网上相关情况，立即开展调查后，向“北京公交APP”运营商启迪公交（北京）科技股份有限公司发函要求其迅速整改，目前启迪公交已下线弹窗广告。

希腊教育部遭受了该国历史上最严重的网络攻击，攻击旨在瘫痪希腊高中考试平台。希腊教育部周二表示，这次分布式拒绝服务（DDoS）攻击已经进入第二天，试图超过考试平台的运转负荷。来自114个国家的计算机共同发起攻击，导致高中考试中断和延迟，但未能使系统瘫痪。针对此次网络攻击，希腊最高法院检察官下令开展司法调查，要求警方网络犯罪部门提供协助。希腊教育部表示：“这是希腊公共机构或政府机构有史以来遭遇的最严重攻击”；周一和周二的攻击事件特点是“规模大、持续时间长”。

北美牙科管理护理（Managed Care of North America Dental，简称MCNA Dental）在官方网站上发布数据泄露通知，称近900万患者的个人数据已遭外泄。MCNA Dental是美国最大的政府资助牙科护理和口腔健康保险服务商之一。调查显示，有未经授权者访问其计算机系统。在此期间，恶意黑客窃取到的数据涉及近900万患者，具体包含：全名，联系地址，出生日期，电话号码，电子邮件，社保号码，驾照号码，政府签发的身份证号码，健康保险（计划信息、保险公司、会员编号、Medicaid-Medicare ID号码），牙齿或牙套护理信息（就诊信息、牙医姓名、医生姓名、既往护理、X光/照片、药物和治疗方案），账单和保险索赔。目前已采取一切适当措施加以补救，并努力增强系统安全性以防止未来发生类似事件。该公司还联系了执法部门，希望防止被盗信息遭到滥用。

企业安全公司Barracuda5月30日披露，自2022年10月以来，其电子邮件安全网关（ESG）设备中最近修补的一个零日漏洞被攻击者滥用，对设备进行后门攻击。最新调查结果显示，这个被追踪为CVE-2023-2868（CVSS评分：N/A）的关键漏洞在被发现之前至少已经被利用了七个月。在2023年5月19日发现的这个漏洞影响到5.1.3.001至9.2.0.006版本，可能允许远程代码执行。Barracuda 于5月20日和5月21日发布了补丁。网络和电子邮件安全公司在一份更新的公告中说：CVE-2023-2868被利用来获得对ESG设备子集的未经授权的访问。在一部分设备上发现的恶意软件允许持续的后门访问。在一部分受影响的设备上发现了数据外流的证据。

乌克兰黑客侵入了俄罗斯斯科尔科沃基金会（Skolkovo Foundation）的系统。该基金会是莫斯科市郊高科技商业区的管理机构，由俄罗斯前总统梅德韦杰夫创立和负责，旨在对标美国硅谷。该基金会发布声明称，黑客成功获得了该组织的某些信息系统的有限访问权限，包括物理服务器上的文件托管服务。一群乌克兰黑客活动分子表示对发生在上周的这次攻击负责，并在Telegram上分享了他们成功访问系统的截屏。他们还给斯科尔科沃基金会留下信息：“你们的基础设施已经被摧毁。我们拥有所有文件和项目源代码。敬请关注。”目前，斯科尔科沃基金会网站已经正常运行，但完全恢复所有服务花费了大约一天之久。该基金会表示，俄罗斯执法机构参与了对此事件的调查。

新的PCI DSS增加了关于网络安全控制的更广泛语言。先前版本的标准中，曾特别提到通过防火墙配置来保护持卡人数据环境(CDE)。此次的新标准对这一点做了扩展。它创造了更大的空间，这可能会给一些银行带来重大转变。