2024年第52周安全周报 | 本周安全要闻速览
● 国家网信办发布第九批深度合成服务算法备案信息
根据《互联网信息服务深度合成管理规定》,国家网信办日前公开发布第九批境内深度合成服务算法备案信息,具体信息可通过互联网信息服务算法备案系统(https://beian.cac.gov.cn)进行查询。任何单位或个人如有疑议,请发送邮件至pingguchu@cac.gov.cn,提出疑议应以事实为依据,并提供相关证据材料。《互联网信息服务深度合成管理规定》第十九条明确规定,具有舆论属性或者社会动员能力的深度合成服务提供者,应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。深度合成服务技术支持者应当参照履行备案和变更、注销备案手续。请尚未履行备案手续的深度合成服务提供者和技术支持者尽快申请备案。
来源:国家互联网信息办公室
● 《网络安全标准实践指南—— 一键停止收集车外数据指引》发布
为指导汽车制造企业、自动驾驶研发企业以及相关零部件或服务提供商在装有车载摄像头、雷达等传感器的智能网联汽车上设置一键停止收集车外数据功能,全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南—— 一键停止收集车外数据指引》。本《实践指南》给出了在智能网联汽车上设置一键停止收集车外数据功能指引,适用于重要敏感区域的管理机构对进入该区域内的汽车的数据收集状态进行判断,还可为第三方测评机构开展智能网联汽车车外数据停止收集功能性和安全性测试评估提供参考。
来源:全国网络安全标准化技术委员会
● 《珠江委数据安全管理办法(试行)》印发实施
为深入贯彻习近平总书记关于网络强国的重要思想和关于建设数字中国的系列重要论述精神,全面贯彻落实水利部大力推进数字孪生水利建设和强化网络安全保障的决策部署,加强和规范珠江委数据安全管理工作,近日,珠江委制定印发《珠江委数据安全管理办法(试行)》。珠江委党组高度重视数据安全工作,将建立数据安全管理制度列入2024年珠江委重点督办事项,经过前期多方调研、专家咨询、征求意见和多轮修改完善,完成《办法》的编制。《办法》的印发实施,对于贯彻落实党中央和水利部有关数据安全工作要求、建立完善珠江委数据安全制度体系、持续推进数字孪生珠江建设具有重要意义。《办法》明确落实珠江委数据安全保护工作主管部门主要职责,细化实化数据全生命周期的安全防护和管理要求,重点强化对外部支撑单位或第三方开展数据处理和数据维护相关工作的安全管理,为规范和促进珠江委数据安全管理提供制度支撑和根本遵循。下一步,珠江委将严格抓好《办法》的贯彻落实,确保《办法》落地见效,切实提升珠江委数据安全管理能力和水平,为珠江水利高质量发展提供数据安全保障。
来源:中国新闻网
● 警惕!“银狐”木马新变种直接通过微信群传播含病毒压缩包文件
近日,国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台在我国境内再次捕获针对我国用户的“银狐”木马病毒的最新变种。在本次传播过程中,攻击者继续构造财务、税务违规稽查通知等主题的钓鱼信息和收藏链接,通过微信群直接传播包含该木马病毒的加密压缩包文件。图中名为“笔记”等字样的收藏链接指向文件名为“违规-记录(1).rar”等压缩包文件,用户按照钓鱼信息给出的解压密码解压压缩包文件后,会看到以“开票-目录.exe”“违规-告示.exe”等命名的可执行程序文件。这些可执行程序实际为“银狐”远控木马家族于12月更新传播的最新变种程序。如果用户运行相关恶意程序文件,将被攻击者实施远程控制、窃密等恶意操作,并可能被犯罪分子用来充当进一步实施电信网络诈骗活动的“跳板”。本次发现的新变种还具有主动攻击安全软件的功能,试图通过模拟用户鼠标键盘操作关闭防病毒软件。
来源:公安部网安局
● ONCD CISA剧本旨在加强网络安全,赠款资助的基础设施项目的弹性
美国网络安全和基础设施安全局(CISA)和国家网络局长办公室(ONCD)发布了一份指南,以帮助拨款机构将网络安全纳入其计划,并帮助接受者增强其项目的网络弹性。CISA和ONCD发展了战术手册尽量减轻联邦拨款过程的负担,旨在加强关键基础设施项目的网络安全。建议的指南和行动对接收者来说是灵活的,同时提供了一种机制来支持纳入基线网络安全最佳做法。该文件面向联邦拨款管理者、关键基础设施利益相关者以及州、地方、部落和地区(SLTT)政府等参与次级拨款基金的组织。它帮助赠款机构将网络安全要求纳入各自的赠款计划。它为包含技术的项目提供指导,这些技术如果受到网络事件的影响,可能会影响关键基础设施的安全性、可靠性或可操作性。它还提供工具和资源,资助计划可以指导申请人支持他们满足要求的能力。剧本帮助联邦资助项目的管理者和接受者加强关键基础设施的网络安全。虽然是建议性的和非约束性的,但它提供了推荐的需求、模型语言、资源和指导。机构应该为将剧本应用于具体项目设定标准。该行动手册将定期审查和更新。具体而言,该指南包含在整个赠款管理生命周期内将网络安全纳入赠款方案的建议行动;赠款项目经理和分授机构纳入资助机会通知(NOFOs)和条款与条件的标准语言;收件人在制定网络风险评估和项目网络安全计划时可以利用的模板;以及可用于支持赠款接受者项目执行的网络安全资源的综合清单。
来源:Industrial Cyber
● 美国发布白皮书加强海底电缆安全性与弹性
美国国土安全部(DHS)联合多个政府部门及行业利益相关者发布了一份关于海底电缆安全性和弹性的白皮书。白皮书强调海底电缆作为全球互联网和电信的支柱,处理约99%的洲际数据流量,对国家安全和经济稳定至关重要。DHS确定了三个关键优先事项:加强公私协调机制、简化许可流程、明确联邦在应急管理中的角色。白皮书提出,需要改善联邦与电缆行业的协调,以实现国家和经济安全目标,并强调了国际协调的重要性。DHS承诺促进公私合作伙伴关系,简化联邦许可流程,并支持电缆技术的负责任创新。此外,DHS将评估电缆许可和授权流程,通过Team Telecom支持FCC的电缆许可,以提高流程的可靠性和安全性。
来源:IndustrialCyber
● 荷兰数据保护局对Netflix隐瞒用户数据处理方式处以475万欧元罚款
流媒体服务Netflix因在2018至2020年期间违反个人数据处理规则,被荷兰数据保护局(Dutch DPA)处以475万欧元罚款。调查发现Netflix收集包括电子邮件、电话号码、付款信息和用户观看偏好等数据,但未清晰向用户说明数据处理的目的和原因。荷兰DPA指出,Netflix在隐私政策中未明确数据处理的目的、法律依据、数据传输给第三方的原因、数据存储期限以及欧洲以外数据传输的安全措施。调查始于奥地利隐私组织noyb的投诉,由于Netflix欧洲总部位于荷兰,因此由荷兰DPA协调调查。Netflix已更新隐私政策并改进信息提供,目前正在对罚款提出质疑。
来源:Securitylab
● 知名AI公司云泄漏超1.29TB内部敏感数据
英国知名人工智能初创公司因配置错误的云存储系统,导致1.29TB数据和超过300万条记录被曝光。据安全研究员Jeremiah Fowler发现并由Website Planet披露,这个未受保护的数据库据称属于Builder.ai。这是一家提供AI驱动软件开发平台的公司。暴露的数据库包含敏感数据和运营数据,这可能对Builder.ai的客户以及内部运营构成风险。在300多万条记录中,包含可识别个人身份的信息,例如姓名、电子邮件地址、电话号码及实际地址。数据库还记录了项目细节,包括正在进行和已完成的软件开发计划、客户互动记录及时间表。这些信息可能导致知识产权泄露,进而被恶意行为者或竞争对手利用。除了客户数据,数据库还暴露了Builder.ai员工之间的内部通信。这些电子邮件和消息涉及客户项目、运营挑战以及机密商业策略。此外,数据库还包含财务记录,例如发票和支付详情,这进一步增加了欺诈活动和财务被滥用的风险。此次数据泄露被归因于云存储系统配置错误。该系统缺乏足够的安全设置,从而允许未经授权的访问。
来源:安全内参
● 阿尔巴尼亚实施一年TikTok禁令以保护儿童
阿尔巴尼亚政府在发生一起涉及青少年的悲剧后,决定实施为期一年的TikTok使用禁令。该国总理埃迪·拉马在与家长团体和教育工作者协商后宣布,从明年起全面封锁TikTok。该禁令是提升学校安全计划的一部分,起因是11月一名14岁学生在社交网络冲突后被谋杀,随后TikTok上出现了认可该行为的视频。阿尔巴尼亚当局认为社交媒体,尤其是TikTok,助长了青少年暴力行为。拉马强调问题在于现代社会和社交平台,而非儿童。TikTok要求阿尔巴尼亚政府澄清,声称未发现事件涉及者有账户,相关视频发布在其他平台。
来源:SecurityLab
● 德克萨斯理工大学数据泄露影响140万人的个人和医疗信息
特朗普政府的回归预示着网络安全政策的重大转变。网络安全和基础设施安全局(CISA)在特朗普首次任期内成立,但随后因政治争议而成为保守派的对立面。CISA的使命是协调美国基础设施的网络防御并促进信息共享,但在2020年大选中因打击“错误信息”而受到保守派的强烈反对。CISA在拜登政府期间积极推动网络安全标准制定和资金支持,但面临监管和合规挑战。随着特朗普2.0的到来,预计CISA的角色将缩小,政府将减少监管,增加公私合作伙伴关系,这可能为私营部门带来新的商业和创新机会。同时,联邦对CISOs的SEC监管规定可能发生变化,减轻对公司的监管压力。尽管存在挑战,但专家对联邦政府在网络安全中维持基本作用持谨慎乐观态度。
来源:Darkreading
