2022年第23周安全周报 | 本周安全要闻速览

近日，全国信息安全标准化技术委员会发布了《信息安全技术 互联网平台及产品服务隐私协议要求》（征求意见稿）,规定了互联网平台及产品服务隐私协议编制程序、具体内容、发布形式，增加隐私协议的可读性、透明性，以及处理隐私协议相关的争议纠纷等方面的要求；适用于规范个人信息处理者制定、发布隐私协议的过程，也适用于主管监管部门、第三方评估机构等对隐私协议进行监督、管理和评估。

依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，工信部组织第三方检测机构对群众关注的生活服务类、日常工具类等移动互联网应用程序（APP）进行检查，对发现存在侵害用户权益行为的368款APP提出整改要求。截至目前，尚有84款APP未按要求完成整改。

俄罗斯试图破解乌克兰拖拉机的远程保护机制，一旦成功规模化，这类“手段”很可能会破坏农业关键基础设施中的重要组成部分；现代农业设备早已不是老式模拟设备，而是配备了大量传感器和数字技术，可以持续生成大量农业数据的数字连接智能设备；有农业专家认为，黑客给农业生产体系造成重大损害的唯一方式，就是入侵大型农机设备制造商。

黑客团伙SpiderLog$公开窃取了南非总统Cyril Ramaphosa自2000年代在国内四大银行之一的贷款详细记录；该团伙称，南非已经成为黑客乐园，任何人都能轻松绘制出南非数字基础设施分布，甚至包括国防/国安等敏感系统；此次曝光使得大众关注到南非信息系统的显著漏洞，特别政府/国防/国安等部门的系统安全性。

泰国《个人数据保护法（2019年）》（Personal Data Protection Act B.E. 2562 [2019]，简称PDPA）将于2022年6月1日正式生效，该法规定个人数据主体享有受法律保护的权利。个人数据主体有权选择是否同意他人收集、使用和披露其个人数据，并且该选择将不会构成其权利被限制的条件，此外，如果个人数据主体权利受到侵犯，个人数据主体有权利投诉和要求赔偿。

美国2023财年国防授权法案进入国会讨论期，认定具有系统重要性的关基设施、网络威胁信息协作环境计划等将成为讨论议题；国防授权法案已成为美国网络立法的首选工具，各方都积极参与推进，将无争议措施尽可能纳入。

据悉，超过360万台MySQL服务器暴露于互联网并响应查询，成为黑客和勒索者的目标。在这些可访问的MySQL服务器中，有230万台通过IPv4连接，130万台设备通过IPv6连接。虽然Web服务和应用程序连接到远程数据库是很常见的，但这些实例应该被锁定，以便只有经过授权的设备才能连接。此外，公开服务器暴露应始终伴随着严格的用户策略、更改默认访问端口（3306）、启用二进制日志记录、密切监控所有查询并执行加密。

土耳其Pegasus Airlines公司在错误配置AWS存储后，意外泄露了超过6.5TB的敏感电子飞行包数据，包括航班细节、源代码、飞行数据和机组人员的个人信息。

哥斯达黎加公共卫生服务网络上所有计算机系统受Hive勒索软件攻击后处于离线状态。其政府机构表示，存储在EDUS（统一数字健康）和SICERE（集中税收系统）数据库中的公民健康和税务信息没有受到损害。目前正在努力恢复受影响的系统和关键服务，但到目前为止，还无法确定系统备份需要多长时间。