2025年第7周安全周报 | 本周安全要闻速览

近日，法国数据监管机构发布两项人工智能新意见，即《人工智能：向有关人员通报情况》和《人工智能：尊重和促进数据主体行使权利》 ，旨在促进负责任使用人工智能并确保个人数据保护合规。这些建议证实，GDPR的要求已经足够平衡，可以应对人工智能的具体挑战。它们提供了具体和相称的解决办法，以告知个人并促进其行使权利：当个人数据用于训练人工智能模型并可能被其记忆时，必须通知相关个人。提供这一信息的方式可以根据个人面临的风险和业务限制加以调整。根据GDPR，在某些情况下-特别是当AI模型依赖于第三方数据源并且提供商无法直接联系个人时-组织可能会将自己限制在一般信息。当使用多个来源时，就像通用AI模型一样，广泛披露来源类别或列出几个关键来源通常就足够了。

为应对英国皇家武装部队内的网络技能短缺,包括负责进攻性网络行动的国家网络部队,英国政府正在放弃对专门的网络军事招募人员进行传统的体能和武器训练。新的招募渠道将在今年年底前加快50名新兵加入皇家海军或皇家空军的现有空缺职位。英国陆军将于2026年加入此次招募行动。新兵只需完成为期4周的基础训练,比皇家海军和皇家空军通常要求的10周大幅缩短，之后将在牛津郡Shrivenham的国防学院接受为期3个月的军事网络技能培训。英国国防部表示，到2025年底,新兵将被派往实际岗位，要么在科瑟姆的数字总部确保国防网络和服务的安全；要么作为国家网络部队的一员，进行网络行动以应对那些意图危害英国的势力。

在备受瞩目的巴黎AI行动峰会（Paris AI Action Summit）上，美国和英国拒绝签署关于“包容和可持续”AI的宣言。该宣言得到了包括中国和印度在内的60个国家的支持。该声明承诺“促进AI的可及性以缩小数字鸿沟”，并“确保AI是开放、包容、透明、伦理、安全、可靠和值得信赖的”。声明还呼吁“使AI对人类和地球可持续发展”，并保护“人权、性别平等、语言多样性、消费者权益和知识产权”。英国表示，只有符合国家利益的倡议才会得到政府的支持，而美国则批评欧洲对AI的“过度监管”。美国副总统JD Vance在峰会上发表演讲，警告全球领导人和科技行业高管，过度监管可能会阻碍快速发展的人工智能产业，直接反驳了欧洲遏制AI风险的努力。美国在特朗普总统的领导下，主张不干预的政策以促进创新，而欧洲则通过严格的法规确保安全和责任。

俄罗斯央行制定并批准了二维码支付的安全标准，该标准为建议性文件，将于 2 月 17 日生效。该标准规定了二维码支付和转账的安全使用规则，描述了四种类型的二维码：付款人信息码、收款人生成的支付详情码、付款人和收款人的支付链接码。二维码可以是动态的（每次交易生成）或静态的（可重复使用）。央行还系统化了使用二维码时的威胁，包括代码替换、支付数据修改、网络钓鱼攻击等，并提出了保护措施，如数据完整性控制、重复请求检查等。此外，针对 ATM 二维码存取现金也制定了单独的安全措施。2024年12月，关于引入通用支付二维码和数字卢布的法案提交至国家杜马，预计在春季审议。如果通过，部分法规将于 2025年7月1日生效。该法案赋予国家支付卡系统股份公司（NSPK）确定通用支付二维码使用规则的专有权利，NSPK 将为银行和支付平台提供服务，确保数据传输的准确性。银行将被要求通过通用二维码向客户传输支付详细信息，支付运营商需将其集成到技术解决方案中。通用支付二维码的实施截止日期为 2026年1月1日。从该日期起，银行需向客户提供转账详细信息，电子支付运营商需确保其软件和硬件支持通用二维码支付。该标准还允许通过通用二维码进行数字卢布转账，不仅适用于法人和个体经营者，还适用于公证人、律师等其他类别。  

众议院能源与商业委员会的共和党领导人宣布成立工作组，旨在起草全面的数据隐私法案。宾夕法尼亚州副主席约翰·乔伊斯将领导该工作组，目前成员包括九名共和党人，尚无民主党人参与。工作组计划与利益相关方合作，推动立法通过。国会过去多次尝试制定数据隐私法案，但因保护措施和消费者权利的分歧未能成功。目前，已有13个州自行制定了相关法律。共和党在声明中强调，国家数据隐私标准对保护美国人权利和维护美国在数字技术领域的领导地位至关重要。今年1月，数十个行业团体呼吁国会通过优先于州法律的数据隐私法案，但其提议的条款被认为保护力度较弱。去年6月，相关法案因文本争议被搁置。目前尚不清楚工作组是否会审查政府效率部对敏感个人数据的访问问题。  

美国网络安全和基础设施安全局（CISA）和联邦调查局（FBI）发布联合警报，敦促制造商采用安全设计实践消除缓冲区溢出漏洞。缓冲区溢出漏洞是一种常见的内存安全缺陷，可能导致数据损坏、敏感信息泄露、程序崩溃甚至未经授权的代码执行，常被威胁行为者用于初始网络入侵。CISA和FBI建议制造商通过使用内存安全语言（如Rust、Go等）开发新软件，并逐步将现有代码库迁移至内存安全语言，以减少缓冲区溢出漏洞。此外，制造商应启用编译器保护机制、使用检测工具链（如AddressSanitizer）进行单元测试，并实施对抗性测试（如模糊测试和人工代码审查）以确保代码安全。警报还建议制造商发布内存安全路线图，对过去漏洞进行根本原因分析，并签署“安全设计承诺”以展示其在消除系统性漏洞方面的进展。软件客户应要求制造商提供软件物料清单（SBOM）和安全开发证明，并在采购过程中纳入安全要求。  

近日，国际运输平台Hipshipper意外泄露了数百万份运输标签， 导致大量客户个人信息外泄。Hipshipper广泛用于eBay、Shopify和亚马逊等电商平台的卖家，为超过150个国家提供完整的跟踪送货、免费保险和无忧退货服务。这一数据泄露事件发生在2024年 12 月国际运输高峰期。Cybernews研究团队发现，该公司一个未受保护的AWS存储桶中存储了超过1430万条记录，主要是运输标签和海关申报单。泄露的运输标签对于任何国际运输物品都至关重要，因为它们清楚地标明了包裹内容和目的地。然而，Hipshipper 却疏于防范，导致这些敏感信息被公之于众。泄露的数据包括买家的姓名、家庭地址、电话号码以及订单详情等个人信息。虽然目前没有迹象表明网络犯罪分子获取了这些数据，但黑客可能会利用这些信息实施诈骗、网络钓鱼或其他恶意行为。

随着大规模联邦改革后网络安全和基础设施安全局的未来变得越来越不确定，专家警告说，包括能源、金融服务和选举基础设施在内的美国关键基础设施部门面临更高的网络攻击和网络间谍风险。美国虚拟精神健康服务提供商Brightline已同意支付700万美元（约合人民币5098万元），以解决一项拟议中的联邦集体诉讼。该诉讼涉及2023年的一起数据泄露事件，受影响人数约为100万人。在此次事件中，勒索软件团伙Clop利用软件供应商Fortra旗下GoAnywhere托管文件传输（MFT）应用中的零日漏洞发动攻击，泄露可能包含个人姓名、地址、会员ID、出生日期、电话号码、雇主名称、团体ID、健康保险计划的生效/终止日期及社会安全号码等敏感信息。根据协议，每位符合条件的集体诉讼成员可申请最高5000美元的赔偿，以弥补因该事件导致的身份盗窃、欺诈等可证明损失。作为替代方案，集体诉讼成员可选择一次性100美元的现金赔偿。此外，加州的和解子类成员还可申请100美元的加州法定赔偿。集体诉讼成员还可申请为期三年的免费信用监控服务。如果此前已接受Brightline提供的两年信用监控服务，则可额外获得一年。根据修订后的合并诉状，Brightline被指控在保护客户敏感信息方面存在过失，并违反了加州《消费者隐私法》和《不正当竞争法》。根据和解协议，Brightline否认所有指控，包括不当行为及法律责任。