2022年第22周安全周报 | 本周安全要闻速览

上海市十五届人大常委会第四十次会议表决通过了《上海市人民代表大会常务委员会关于进一步促进和保障城市运行“一网统管”建设的决定》。《决定》作为上海治理数字化领域的综合性决定，共23条，主要涵盖以下五方面内容：

• 一是明确“一网统管”建设目标。

• 二是明确“一网统管”运行体系。

• 三是数据赋能基层治理。

• 四是发挥治理数字化功能，规范推进疫情防控相关应用场景。

• 五是加强“一网统管”建设保障。

为帮助用户降低Windows 7操作系统停服后带来的网络安全风险，全国信息安全标准化技术委员会组织编制了《网络安全标准实践指南—Windows 7操作系统安全加固指引》。本《实践指南》从安全防护加固和安全配置加固两个方面，给出了Windows 7操作系统本地安全防护和安全策略配置建议。

老牌互联网公司，同时也是国内较早的邮件服务提供商，多名员工却遭遇邮件诈骗数万元。5月25日，搜狐公司董事局主席兼CEO张朝阳终于对外回应此事，称“事情不像大家想象那么严重。搜狐一个员工的内部邮箱密码被盗，盗贼冒充财务部发信给员工，发现后技术部门紧急处理，资金损失总额少于5万元。不涉及对公共服务的个人邮箱。”

5月19日，俄罗斯最大银行Sberbank（联邦储蓄银行）官网披露，在5月6日成功击退了有史以来规模最大的DDoS攻击，峰值流量高达450 GB/秒。次日，普京召开俄罗斯联邦安全会议，称正经历“信息空间战争”。他提出了三项关键任务，以确保俄关键信息基础设施安全。

俄罗斯联邦安全委员会会议通过《保护关键信息基础设施国家政策基本原则》草案，并决定额外制定旨在改善俄罗斯信息安全体系的若干战略规划文件。该草案定义了在信息技术部门实施国家政策的目的和机制，特别是计划通过使用国产信息技术提高关键信息基础设施的安全水平。草案决定运用国家力量组织研发人工智能、量子计算技术，创建富有竞争力的电子元件基地和高科技生产区，并开发用于检测、预防和消除网络攻击后果的国家信息系统。此外，草案还将特别关注信息安全领域的专家及技能培训。

印度第二大航司香料航空遭勒索软件攻击，内部系统受影响离线，导致多个航班延误数小时，大量乘客滞留在机场；这次对香料航空运营体系的网络攻击，直接影响到飞往印度及海外各国的众多乘客，数小时的延误将转化为巨大的经济损失；这是近期又一起网络攻击影响航班运转事件，此前4月，加拿大老牌航空公司阳翼航空遭网络攻击，致使航班严重延误近一周时间，大量乘客在机场滞留多天。

目前，网络攻击事件频发，诸如数据泄漏、勒索软件、黑客攻击等层出不穷。互联网的公开性，让网络攻击者的攻击成本大大降低，而且攻击方式更加先进，更难利用特征进行检测，再加上被攻击方自身防护的薄弱性，对网络安全乃至国家安全形成了严重的威胁。根据网上公开资料内容整理，盘点了20条近期全球重大网络安全事件。

据The Hacker News消息，昵称为h4x0r_dz的安全研究人员在支付巨头PayPal的汇款服务中发现了一个未修补的大漏洞，可允许攻击者窃取用户账户中的资金。其攻击原理是利用点击劫持技术诱导用户进行点击，在不知不觉中完成交易，最终达到窃取资金的目的。

近期，通用汽车表示他们在今年4月11日至29日期间检测到了恶意登录活动，经调查后发现黑客在某些情况下将客户奖励积分兑换为礼品卡，这些违规行为并不是通用汽车被黑客入侵的结果，而是由针对其平台上的客户的一波撞库攻击引起的。撞库是指黑客通过收集网上已泄露的用户和密码信息，生成对应的字典表，并尝试批量登陆其他网站后，得到一系列可以登录的用户。