2023年第26周安全周报 | 本周安全要闻速

《智能化矿山数据融合共享规范》发布会在内蒙古鄂尔多斯市召开，会议指出，《规范》的发布，将有效解决矿山、装备和通信企业面临的数据编码不统一、通信接口不兼容、传输协议不开放、系统集成难度大、智能化建设成本高等突出问题，打通“数据孤岛”，破除“信息烟囱”，推动智能化矿山各类数据的互联互通、集中集成，为实现过程可视可控、安全可防可测、要素可调可配的矿山高水平智能化奠定了基础。

加拿大石油公司（Petro-Canada）位于全国各地的加油站受到技术故障影响，客户无法使用信用卡或奖励积分支付油费。故障原因是母公司森科能源（Suncor Energy）遭遇网络攻击。森科能源表示已采取措施应对此次攻击，并通报有关部门。在事件解决之前，公司与客户和供应商的交易将受到负面影响。森科能源公布的新闻稿称：“目前，我们尚未获得任何证据表明此次事件导致客户、供应商或员工的数据被泄露或被滥用。”

全球最大的两家航空公司美国航空(American Airlines)和西南航空(Southwest Airlines)披露了一起数据泄露事件。泄露原因是航空飞行员管理招聘平台Pilot Credentials遭遇了黑客入侵。此次攻击事件仅影响到了Pilot Credentials的系统，对航空公司的网络或系统并未造成损害或影响。美国航空公司表示，此次事件导致至少5745名飞行员和申请人的数据被泄露，西南航空公司报告的数据泄露总数为3009人。根据美国航空公司的调查，泄露的数据涉及到了一些个人信息，例如姓名、社保号码、驾驶执照号码、护照号码、出生日期、飞行员证书号码以及其他政府颁发的身份证号等。

暴雪娱乐的 Battle.net在线服务遭到分布式拒绝服务（DDoS）攻击，导致玩家无法正常登录游戏或游戏中断，受影响的游戏包括《暗黑破坏神4》、《魔兽世界》等。当在 PC 上启动 Battle.net时，会出现一个通知：“我们目前正遭受 DDoS 攻击，可能造成游戏高延迟以及断线情况。我们正在努力减缓此次攻击所造成的影响。”据统计，至少从25日上午起已发生连线问题，包括无法登入、连线缓慢及网站问题，持续了数小时。有用户表示至少有10到12小时无法存取该平台。受这波连线影响的用户分布美国、欧洲，及部分亚洲地区。

新成立的部门正式简称为 NatSec Cyber，是为了响应美国司法部长办公室在司法部 (DoJ) 2022 年全面网络审查中的核心调查结果而创建。该审查的任务是评估司法部的诉讼和调查能力，包括进攻和防御，以及司法部与其他联邦、州和地方执法机构以及私营部门的合作情况。美国国家安全事务的助理司法部长马修 · 奥尔森（Matthew G. Olsen）表示：这个新部门将协助国家安全局提高打击网络攻击活动的规模和速度，并对民族、国家威胁者、国家支持的网络组织、相关的洗钱者以及其他由网络引起的对国家安全的威胁进行起诉。

美国运输安全管理局(TSA)代表David P. Pekoske在众议院国土安全部运输和海事安全小组委员会作证时表示，该机构正在制定规则，以永久编纂管道和铁路运输的关键网络安全要求。此次听证会是针对美国政府TSA 2024财年预算请求举行的听证会。Pekoske在证词中写道：“TSA制定了第一个基于绩效、注重成果的网络安全相关安全指令和安全计划修正案，要求向交通基础设施最关键的所有者和运营商强制报告事件并采取缓解措施在管道、铁路和航空领域。”

联邦委员会下属的数字经济发展委员会已要求俄罗斯联邦数字发展、电信和大众传媒部加快制定一项法案，为搜索软件漏洞提供法律依据。收取费用并确定专家搜索漏洞的责任界限。这是数字化委员会副主席Artem Sheikin向塔斯社宣布的。负责俄罗斯联邦技术主权和信息安全部门的副主席表示，制定一项法案的想法是将错误赏金的概念引入俄罗斯联邦。该法律领域自2022年夏季以来一直在公开讨论，并由数字发展部制定。该法案特别规定了对俄罗斯联邦刑法(CC)第272条的修改。提出的新提案，定义一种新型的收费软件漏洞查找活动，以及一项根据法律依据定义专家在查找漏洞时的责任限制的提案。