全球数据安全观察
总第108期 2022年第36期
2022.09.26-2022.10.09
目录
政策形势
1、国务院办公厅关于扩大政务服务“跨省通办”范围进一步提升服务效能的意见
2、自然资源部门、国家安全机关对使用境外“问题地图”服务的相关企业组织开展联合执法行动
3、《陕西省大数据条例》发布
4、黑龙江省人民政府关于加强数字政府建设的实施意见
5、上海市银行同业公会、保险同业公会:建立健全数据合规和治理体系 增强管理能力
6、深圳数据交易市场创新举措!全国范围内首推数据商分级分类认证
7、上海数交所上线一站通金融数据交易
8、广州数据交易所揭牌成立
9、可信数据流通区块链国际标准立项
10、拜登总统签署行政命令以实施欧盟-美国数据隐私框架
技术、产品与市场
1、中国信通院联合河南省发改委发布《河南省数字经济发展报告(2022)》
2、《数据安全法》实施一年后面临的三个趋势
3、《数据安全市场研究报告》报告发布
4、IDC 首份中国数据泄露防护市场份额报告发布
5、因担心数据泄露,科技公司每年销毁数百万可重复使用的存储设备
业界观点
1、钱业斐:个人隐私数据保护需要技术来监督
2、鲁京辉:数据安全与隐私保护是消费者的基本权利,是企业的“铁律”
3、梅宏:数据要素化分为三个递进层次
4、洪延青:“网络安全”并非单指技术安全,还涉及数据“合法利用”
5、专家:“四招”守护个人信息安全
数据安全事件
1、丰田称大约29.6万条客户信息遭泄露
2、香格里拉酒店遭黑客入侵,29 万港人个人信息受影响
3、澳大利亚最大的电信公司 Telstra 遭受员工数据泄露,可能影响 30,000 人
4、币安智能链区块链网络遭黑客攻击,或导致1亿美元被盗
5、巴西利亚银行遭到网络攻击并被黑客勒索50 BTC
6、400万条2K Games用户数据正在暗网上出售
7、图森市数据泄露影响了123,500人
8、仅售“50元”:英国首相个人手机号遭曝光
9、Facebook 检测到 400 个Android 和iOS应用程序窃取用户登录凭据
10、Swachh City 平台遭受数据泄露,涉及 1600 万条用户记录
11、英特尔第12代Alder Lake CPU源代码据称在黑客攻击中被泄露
12、法拉利受到勒索软件攻击,泄露数据可在线下载
政策形势
1、国务院办公厅关于扩大政务服务“跨省通办”范围进一步提升服务效能的意见
10月5日,国务院办公厅发布《关于扩大政务服务“跨省通办”范围进一步提升服务效能的意见》,进一步提升服务效能,更好满足企业和群众异地办事需求。
其中,在“增强“跨省通办”数据共享支撑能力”中强调加强政务数据共享安全保障,依法保护个人信息、隐私和企业商业秘密,切实守住数据安全底线。
http://www.gov.cn/zhengce/content/2022-10/05/content_5715850.htm
2、自然资源部门、国家安全机关对使用境外“问题地图”服务的相关企业组织开展联合执法行动
近一个时期以来,一些境外地图服务商以“开源共享”等名义,诱导境内人员对我重要军事目标、关键基础设施等开展非法测绘活动,造成我相关敏感涉密地理空间信息数据泄露。一些境内企业在提供互联网服务时,忽视国家安全风险隐患,未依法履行地图审核程序,直接使用境外地图服务商共享的“问题地图”。
有关部门将持续加强对相关行业领域的执法监督,进一步规范管理,促进行业健康发展,切实维护国家地理信息数据安全。
https://mp.weixin.qq.com/s/_nxOGuhP7RDPpa7D2DDNxQ
3、《陕西省大数据条例》发布
9月29日,陕西省第十三届人民代表大会常务委员会第三十六次会议通过《陕西省大数据条例》,以加强数据资源管理,规范数据处理活动,保障数据安全,促进大数据在经济发展、民生改善、社会治理中的应用,加快数字陕西建设。
条例中在安全保障章节强调各级单位、部门的数据安全责任、义务与职责内容。
http://www.sxrd.gov.cn/shanxi/gg/139231.htm
4、黑龙江省人民政府关于加强数字政府建设的实施意见
9月30日,黑龙江省人民政府发布《关于加强数字政府建设的实施意见》。
在“构建全方位安全保障体系”部分,强调确保政务系统和数据安全管理边界清晰、职责明确、责任落实,加强数据安全防护,以及构建数字政府统一安全管理平台,为基础设施安全、应用和数据安全以及新技术应用安全提供立体化的安全技术支撑。
https://mp.weixin.qq.com/s/f9QP5BLjPO0g55GP51LPHw
5、上海市银行同业公会、保险同业公会:建立健全数据合规和治理体系 增强管理能力
9月27日,上海市银行同业公会和上海市保险同业公会联合发布的数据合规倡议书指出,辖内银行保险机构要加强数据治理,明确数据生产、报送和使用应实现全流程合规的概念,提高数据质量,切实发挥数据价值,促进上海银行保险机构数字化转型和金融高质量发展,更好服务实体经济发展和满足人民群众需要。
倡议书表示:机构要搭建数据合规组织架构,优化工作流程;机构要建立健全数据合规和治理体系,增强管理能力;强化科技基础能力建设,加强人才培养;强化数据合规和治理主体责任,提升数据质量。
https://news.cnstock.com/news,bwkx-202209-4962551.htm
6、深圳数据交易市场创新举措!全国范围内首推数据商分级分类认证
为进一步优化市场资源配置,探索培育数据商主体规范化、规模化发展,今年六月以来,深圳数据交易有限公司(简称“深数交”)率先在全国开展数据商分级分类工作。深数交设定生态级、认证级、战略级三级数据商认证合作及四级风险评级策略。通过优化数据商分级结构,赋予数据商相应的权益与资源,推动数据商业务合作积极性,助力数据要素市场建设,共建数据要素生态圈。
截止9月底,深数交在市场主体培育方面,累计引入市场主体348家,其中备案数据商74家、数源单位85家、数据需求方189家。经过认证,当前深数交已合作数据商分级为生态级35家、认证级32家、战略级7家。
https://mp.weixin.qq.com/s/xnQeFXkZNnVc2C1TdH0ipw
7、上海数交所上线一站通金融数据交易
9月23日,上海数据交易所在“元宇宙大厅”发布一站通金融数据交易板块,支持各类金融数据要素对接,推进实现金融板块银行领域数据全品类覆盖,扩大交易规模,助力金融数据要素安全高效有序流通。
据悉,上海数据交易所重磅推出一站通金融数据交易板块并发布两项内容:金融板块银行数据全品类上线;同时,上海数据交易所“2022金融数据交易茁壮计划”正式启动。上海数据交易所将为特定金融数据交易项目,提供专项资金支持。
https://www.pudong.gov.cn/006001/20220926/735639.html
8、广州数据交易所揭牌成立
9月30日,广州数据交易所揭牌仪式在广州市南沙区举行,首批数据经纪人、数商企业签约进场,在广州数据交易所已申请挂牌的交易标的超300个,进场交易标的超200个,涉及金融、交通、建筑、信息等多个行业,达成交易额累计超1.55亿元。
广州数据交易所坚持“无场景不登记、无登记不交易、无合规不上架”的原则,在技术规范保障数据安全方面,严格按照数据“可用不可见、可控可计量”以及“数据不出域”的要求,牢筑数据安全屏障。建设登记平台、数据交易平台和监管平台等基础设施,引入多方安全计算、联邦学习等隐私计算先进技术,构造完善的数据交易安全防护体系,确保数据合规登记、流通交易和监督管理等全流程顺利开展。
http://zfsg.gd.gov.cn/xxfb/ywsd/content/post_4023610.html
9、可信数据流通区块链国际标准立项
9月20日至22日,IEEE计算机协会区块链和分布式记账标准委员会全体会议暨P3200系列国际标准工作组召开线上会议。《基于区块链的可信数据流通标准》成功立项并正式成立工作组。
该标准由蚂蚁集团牵头,中国电子技术标准化研究院、国家电网、中国移动、中国电信、北京微芯区块链与边缘计算研究院、腾讯、浙江大学、四川长虹、无锡物联网研究院、云象、趣链等机构共同参与制定。
这是IEEE首个面向可信数据流通场景的区块链国际标准。该标准定义了区块链可信数据流通平台的系统架构,包括计算引擎底层、区块链核心功能层、可信数据流通层和接口层,规定了平台功能模块、数据流通流程和技术安全等要求,可以帮助相关从业者在数据流通场景下更规范高效的开展技术服务。
https://mp.weixin.qq.com/s/Ckv587CvpVeDtkekYr22ew
10、拜登总统签署行政命令以实施欧盟-美国数据隐私框架
10月7日,美国总统拜登签署了《关于加强美国信号情报活动保障措施的行政命令》(Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities, E.O), 指示美国将采取的步骤,以落实拜登总统和欧盟委员会主席冯德莱恩于2022年3月宣布的美国在欧盟-美国数据隐私框架(EU-US DPF)下的承诺。
跨大西洋的数据流动对于促成7.1万亿美元的欧盟-美国经济关系至关重要。欧盟-美国隐私保护框架将恢复跨大西洋数据流动的重要法律基础,解决欧盟法院在驳回先前的欧盟-美国隐私保护框架作为欧盟法律下的有效数据传输机制时所提出的关切。该行政命令加强了对美国信号情报活动已经很严格的一系列隐私和公民自由保障措施。
https://www.presidency.ucsb.edu/documents/fact-sheet-president-biden-signs-executive-order-implement-the-european-union-us-data
技术、产品与市场
1、中国信通院联合河南省发改委发布《河南省数字经济发展报告(2022)》
9月27日,《河南省数字经济发展报告(2022)》正式发布,报告由河南省发展和改革委员会、中国信通院联合编撰。《报告》指出,2021年以来,河南省大力实施数字化转型战略,不断建立健全数字经济发展政策体系,努力营造数字经济发展的良好生态。《报告》显示,2021年,河南省数字经济规模突破1.7万亿元,较“十三五”初期扩张了近一倍,规模连续六年稳居全国前十。
从增速和占比看,2021年,河南省数字经济增速为14.6%,较上一年提升6.3个百分点;数字经济占GDP比重为29.6%,较上一年提升近2个百分点,呈现稳中向好的发展趋势。其中,河南省数字产业化规模突破2800亿元,同比名义增长10.9%;产业数字化规模突破1.45万亿元,同比名义增长15.4%。
根据《报告》,2021年,河南省17个市的数字经济规模相比去年同期均实现正增长。郑州数字经济规模首次突破5000亿元大关,洛阳数字经济规模近2000亿元,南阳、许昌、新乡数字经济规模首次突破900亿元。驻马店、漯河迎来高速增长,高于全国全省平均增速,呈现“后发快进”的态势。
https://mp.weixin.qq.com/s/VQFplshE_0DnHQnz5lUtdQ
2、《数据安全法》实施一年后面临的三个趋势
《数据安全法》自2021年9月1日实施已经一周年,这一年的变化有目共睹。数据处理活动开始有规可循,数据安全得到更多保障,数据开发利用更加规范,个人和组织更加具有数据安全意识,企业安全建设越来越完善,政务数据越来越开放。
数据安全和数字经济密不可分,数据显示,2017年到2021年,我国数字经济规模从27.2万亿元增至45.5万亿元,总量排名世界第二,年均复合增长率达13.6%。数字经济在提升市场效率的同时,也带来了数据安全问题。再加上如今远程网课、居家办公的需求迅猛增长,网络环境愈加开放和多元也暗含着风险因素增加。
https://mp.weixin.qq.com/s/Bc1b4tUn4Pju1xz4tUh6SQ
3、《数据安全市场研究报告》报告发布
近日,数说安全研究院有限公司发布了《数据安全市场研究报告》(以下简称《报告》)。《报告》从数据安全背景与政策、数据安全市场发展概况、重点行业数据安全市场需求分析、数据安全市场供给分析四个方面介绍了当前数据安全市场的各方面情况。
2021年我国数据安全市场规模约为53亿,同比增长30.7%,随着上位法律和政策的出台,以及规范标准的加速落地,未来数据安全市场仍将保持较好的增长态势。社会整体对数据安全的重视程度显著提升,2021年采购数据安全产品的项目数量约23000个,同比增长28%。
深入到具体行业,政府、电信、金融等行业数据安全建设领先,解决方案、隐私计算关注度明显提升。根据数说安全统计(2018年至2022年6月),数据库安全、数据防泄露、数据脱敏依然是市场的主流关注点,作为数据安全基础产品,在未来很长一段时间依然会处于数量热度的高位;数据分类分级、数据安全管控、数据安全治理类解决方案和隐私计算(多方安全计算、可信执行环境、联邦学习)的热度增速明显提升,说明一些行业数据安全规范标准进展较快及数据共享业务需求已经展开,预计未来依然会保持较高增速,数据安全建设由产品向体系发展。
https://mp.weixin.qq.com/s/91aYw7uiSGvNaEK-KVRJlA
4、IDC 首份中国数据泄露防护市场份额报告发布
数据泄露防护作为企业数据安全建设的刚需产品,重新受到中国市场的热切关注。
IDC日前正式发布了针对中国DLP产品的市场份额研究报告,即:《中国数据泄露防护市场份额,2021:合规驱动与业务需求齐发力,DLP市场重现活力》。报告针对2021年中国数据泄露防护市场的规模、增长速度、主要玩家、市场与技术的发展趋势等内容进行了详细研究。报告数据显示,中国数据泄露防护市场在2021年实现了39.2%的同比增长,规模达到1.25亿美元。该市场头部玩家以专业数据安全技术提供商为主,例如天空卫士、亿赛通、明朝万达等。同时,众多综合网络安全厂商也在该领域持续投入,并获得快速增长。
IDC认为,数据泄露防护产品正在从相对独立的数据安全防护单品向集成化的数据安全管理平台演进。DLP产品作为企业实现数据安全治理的重要能力支撑,将与包括数据发现、数据分类分级、数据脱敏、数据访问控制等诸多数据安全组件或工具配合,共同帮助企业打造数据全生命周期安全治理的统一管理平台。
https://mp.weixin.qq.com/s/KzQA-XyGZTa21-2arsTaew
5、因担心数据泄露,科技公司每年销毁数百万可重复使用的存储设备
根据《金融时报》的一份新报告,目前科技公司的标准程序是每隔几年就粉碎服务器和硬盘,而不是删除上面的数据然后重新出售,该报告概述了这种做法对地球造成的损害。
IT之家了解到,像亚马逊、微软和谷歌这样的科技巨头每隔四五年就会升级他们的存储硬件。他们与银行、警察部门和政府机构一起,每年粉碎大约数千万个过时的存储设备,因为即使是少量的数据暴露也会产生相当严重的法律后果,因为这可能会激怒监管机构并损害消费者的信任。科技公司可能认为销毁是确保数据安全的唯一方法,但专家认为这是一个不必要的极端选择。
https://www.ithome.com/0/645/360.htm
业界观点
1、钱业斐:个人隐私数据保护需要技术来监督
9月22日,2022(第十九届)北京互联网大会举办,在云网安全与数字治理论坛上,腾讯云安全副总经理钱业斐分享了“大型互联网企业个人隐私安全治理实践”。
钱业斐强调,个人隐私数据保护不仅是管理和法律合规问题,更需要技术思路来监督,确保有效执行。对此,他指出从“理、收、管、查、抓”五个环节开展个人隐私数据保护实践:
第一环节是通过技术“梳理”各个阶段的个人隐私数据如何流动;第二环节是定义关键个人隐私数据范围并收敛,尽量归一库统一管理;第三环节是定管理制度,看抓手、定指标,建立正向技术防御能力,降低事件发生;第四环节是重检测快响应,用事件反向驱动正向建设,用数据验证正向建设效果;第五环节是抓恶性严重数据安全事件,重处置重威慑,辅以必要性的染色或溯源。
“要保障云平台的严重数据安全事件趋近于0发生!”,在钱业斐看来,具体到个人隐私安全保护,可以采用数据驱动的方式,把风险点量化出来,通过数据驱动方式计算出最终的风险发生概率。
https://www.bjcia.org.cn/74/202209/18635.html
2、鲁京辉:数据安全与隐私保护是消费者的基本权利,是企业的“铁律”
9月28日,博鳌亚洲论坛国际科技与创新论坛第二届大会在广州举行,vivo首席安全官鲁京辉受邀出席,就如何做好数据安全和隐私保护提出了主张。
鲁京辉认为,数据是人工智能时代的基础设施,是人工智能技术得以发展的底层架构。因此,必须重视数据安全和个人信息保护,二者是人工智能行业生态圈健康、有序、可持续发展的“基石”。
同时他表示,表示,作为人工智能行业生态圈的一环,科技企业必须为数据安全担负起应尽的责任,数据安全和隐私保护是必须上升到企业战略层面的“铁律”。
https://www.cnitom.com/security/202209/75048.html
3、梅宏:数据要素化分为三个递进层次
数据要素化是把数据确立为重要的生产要素,并通过各种手段让它参与社会生产经营活动。数据要素化分为三个递进层次:
数据资源化。它涉及原始数据的获取以及数据后期的加工组织。这是数据价值释放的潜力。数据作为基础性、战略性资源已经得到广泛共识。大家都认识到数据的资源属性。
数据资产化。资产地位一定要在法律上确立。在法律上确定数据的资产属性,就是要让数据成为个人财产、国家财产等不动产、物产一样可以入表的资产。法律保障是要素价值的保障根本。作为资产,必然涉及权属、产权问题。现行的法律体系框架,事实上无法解决数据确权问题。
数据资本化和商品化。这就是使数据价值可度量、可交换,成为被经营的产品或者商品。这是释放和创造数据要素价值的途径。当前面临的主要障碍是,数据流通共享、定价、收益、分配无章可寻,数据平台具有虹吸效应,所有人都给平台贡献数据但收益分配机制未明确。
梅宏认为,数据要素化还在探索的初期,还有很长路要走,是一项系统工程。现在国家开始着手构建顶层设计,体系构建要做好顶层设计,也需要留足探索创新的空间。
https://www.sohu.com/a/588070868_398084
4、洪延青:“网络安全”并非单指技术安全,还涉及数据“合法利用”
9月28日下午,“2022年深圳市重点行业领域网络数据安全管理论坛”在深圳福田举行。
北京理工大学法学院教授洪延青教授指出,《网络安全法》中“网络安全”是一个技术化的概念,指通过采取必要的措施,防范对网络的攻击、侵入、干扰、破坏、非法使用和意外事故,而在《数据安全法》中“合法利用”被加入到“数据安全”的概念之中,网络数据安全不仅是技术意义上的安全概念,还具有“技术+合法利用”的内涵,“安全”二字秉持“技术+合规+持续动态变化”的特点,随着内外部环境的发展而做动态调整。
https://www.163.com/dy/article/HIF72LPH055004XG.html
5、专家:“四招”守护个人信息安全
近年来,各类个人信息泄露导致的网络电信诈骗案件多发。公安部数据显示,在全国公安机关开展的“净网2021”专项行动中共侦办侵犯公民个人信息案件9800余起,抓获犯罪嫌疑人1.7万余名。
业内分析认为,当前个人信息泄露涉及的案件有几大特点:不法分子获取公民个人信息更加精准,指向性更明确;信息采集主体和场景的多样性带来安全隐患;人脸识别等新技术带来更多类型信息泄露风险。
业内专家做出如下建议:
一是加强安全技术的应用,消除技术盲区,提升公众技术应用的“安全感”。
二是注重个人数据信息的管理。
三是完善相关法律法规,加大监管和打击力度。
四是增强个人信息保护意识,从源头减少、杜绝信息的泄露。
http://www.jjckb.cn/2022-09/15/c_1310662894.htm
数据安全事件
1、丰田称大约29.6万条客户信息遭泄露
2022年10月7日,丰田汽车发现, T-Connect 服务中296019名客户的电子邮件地址和客户编号可能已被泄露。不过,其他敏感个人信息如姓名、电话号码和信用卡信息等均未受到影响。据介绍,T-Connect 是一种通过网络连接车辆的远程信息服务,受影响的客户是自 2017 年 7 月以来使用电子邮件地址注册该服务网站的个人用户。目前丰田没有证实这些信息是否已被滥用,但他们警告称,用户可能会收到垃圾邮件、网络钓鱼和未经请求的电子邮件。
http://www.anquan419.com/knews/24/3392.html
2、香格里拉酒店遭黑客入侵,29 万港人个人信息受影响
10月2日报道称,香格里拉酒店集团的网络系统于今年 5至7月受到黑客攻击,旗下三间位于香港的酒店,客户的个人资料包括姓名、电话、通讯地址等外泄。公署估计可能多达29万名香港客户受影响,目前已就事件展开调查,呼吁顾客留意账户及交易有否不寻常纪录。
https://www.secrss.com/articles/47617
3、澳大利亚最大的电信公司 Telstra 遭受员工数据泄露,可能影响 30,000 人
10月4日,据路透社消息,澳大利亚最大的电信公司 Telstra Corp Ltd于周二表示,它在其主要竞争对手 Optus 受到大规模的网络攻击后,也遭遇了数据泄露事件。
Telstra 拥有 1880 万个客户账户,相当于澳大利亚人口的四分之三,该公司表示,第三方组织的入侵暴露了一些可追溯到 2017 年的员工数据。
据Telstra 内部员工的一封电子邮件显示,受影响的现任和前任员工人数为 30,000 人。公司发言人在一份声明中表示,入侵者所获取的数据仅限于姓名和电子邮件地址。
https://www.reuters.com/technology/australias-telstra-hit-by-data-breach-two-weeks-after-attack-optus-2022-10-04/?&web_view=true
4、币安智能链区块链网络遭黑客攻击,或导致1亿美元被盗
《华尔街日报》10月7日消息,加密货币交易所币安当地时间周四晚些时候表示,币安智能链(Binance Smart Chain)区块链网络遭黑客攻击,可能导致1亿美元被盗。
在检测到其所说的两个区块链之间桥梁上的漏洞后,币安智能链已暂停交易和资金转移。币安CEO赵长鹏在推特上发文说,这个问题涉及跨链桥BSC Token Hub。跨链桥能够将数字资产和信息从一个独立的区块链转移到另一个区块链。
https://www.anquanke.com/post/id/281246
5、巴西利亚银行遭到网络攻击并被黑客勒索50 BTC
2022年10月7日,据报道,由巴西政府控制的巴西利亚银行遭到了攻击,并被勒索50 BTC。当地新闻媒体Tecmundo声称,名为Crydat的黑客联系了他们,并要求他们在10月6日15:00之前支付520万巴西雷亚尔。针对黑客这一要求,巴西利亚银行一直保持沉默。据悉,攻击者利用了勒索软件LockBit,于10月3日感染该银行,当地负责打击网络犯罪活动的执法部门正在调查此事件。
https://www.databreaches.net/bank-of-brasilia-attacked-by-ransomware-demanding-50-btc/
6、400万条2K Games用户数据正在暗网上出售
10月6日,视频游戏发行商 2K 向用户发送电子邮件称,其个人信息已在9月19日的攻击事件中被盗并在网上出售。
9月20日,2K证实其帮助台平台被黑客入侵,并被通过嵌入式链接向用户推送含有Redline Stealer 恶意软件的虚假支持票。随后,2K关闭了其支持门户网站以调查违规行为,并建议收到电子邮件并单击链接的用户重置浏览器存储的密码,检查其帐户是否存在可疑活动。
但显然,这没能阻止数据泄露的发生。在邮件中,2K告诉用户,发现未经授权的第三方访问并复制了用户注册时提供的姓名、电子邮件地址、帮助台识别号、玩家代号和控制台详细信息,但表示没有迹象表明涉及用户资金的账户及密码泄露。在黑客论坛上,2K的游戏支持数据库已被挂出进行销售,包括用户 id、用户名、电子邮件、真实姓名等信息,总计达到400万条。
https://www.freebuf.com/news/346294.html
7、图森市数据泄露影响了123,500人
2022年10月6日报道,美国亚利桑那州图森市披露了一起数据泄露事件,该事件于2022年5月被发现,影响了 123,500人。暴露的数据包括姓名、社会安全号码、驾驶执照或州身份证号码以及护照号码。纽约市已经通知受影响的个人,并通过 Experian 向他们提供为期一年的免费信用监控服务。该市确认没有证据表明暴露的信息被滥用。
https://securityaffairs.co/wordpress/136735/data-breach/city-of-tucson-data-breach.html
8、仅售“50元”:英国首相个人手机号遭曝光
10月4日报道,据英国《每日邮报》网站转述《星期日邮报》的报道称,英国首相特拉斯和她的25名内阁成员的个人手机号正在互联网上出售。
报道称,一家可疑的美国网站正在以区区6.49英镑的价格出售这些信息。该美国网站列出了首相特拉斯、财政大臣克沃滕、国防大臣华莱士、外交大臣克莱弗利等人的电话号码和其他个人信息。网上出售的内容还包括他们的电子邮件地址和密码等。
一名前英国情报官员称,这一信息泄漏“确实惊人”。这家美国网站的订阅用户可以通过输入某个人的名字,迅速搜索到信息。《星期日邮报》拒绝透露这家网站的网址,网站背后的主人是谁也仍然是个谜。
https://www.secrss.com/articles/47628
9、Facebook 检测到 400 个Android 和iOS应用程序窃取用户登录凭据
近日,Meta Platforms披露,它已在Android和iOS上识别出400多个恶意应用程序,据称这些应用程序针对在线用户,目的是窃取他们的Facebook登录信息。据称,这些应用程序被列在Google Play Store和Apple的App Store 上,并伪装成照片编辑器、游戏、VPN 服务、商业应用程序和其他实用程序来诱骗人们下载它们。
https://thehackernews.com/2022/10/facebook-detects-400-android-and-ios.html
10、Swachh City 平台遭受数据泄露,涉及 1600 万条用户记录
据9月29日报道,名为LeakBase的攻击者共享了一个数据库,其中包含据称影响印度投诉补救平台Swachh City的1600万用户的个人信息。该漏洞可能利用了属于管理员和非管理员帐户的受损凭据,很可能是通过蛮力攻击获得的。根据安全公司CloudSEK与黑客新闻分享的一份报告,泄露的详细信息包括用户名、电子邮件地址、密码哈希、手机号码、一次性密码、上次登录时间和 IP 地址等。
https://thehackernews.com/2022/09/swachh-city-platform-suffers-data.html
11、英特尔第12代Alder Lake CPU源代码据称在黑客攻击中被泄露
10 月 8 日消息,据知情人士 @vxunderground 称,有一位匿名者将英特尔Alder Lake的源代码发布到了4chan上,主要涉及到一些用于英特尔 Alder Lake平台和芯片组BIOS /UEFI的文件和工具。
@glowingfreak 补充道,有一份关于C970项目的BIOS源码副本已经出现在了GitHub上,压缩文件大约有2.8GB大小,解压后为5.86GB,但我们目前无法验证其中的内容是否真实,以及是否包含敏感代码,英特尔尚未回应。
https://www.anquanke.com/post/id/281348
12、法拉利受到勒索软件攻击,泄露数据可在线下载
10 月 7 日消息,意大利著名豪华汽车公司法拉利遭到勒索软件攻击。勒索软件团伙RansomEXX 在其数据泄露网站 (DLS) 上发布了一个帖子,声称成功入侵了知名汽车制造商并窃取了6.99GB数据,其中包括内部文档、数据表、维修手册等。据法拉利证实,这些遭到泄露的数据是真实的,但他们表示并没有发现存在网络攻击的迹象。另外,这些遭到泄露的文件的来源也尚不清楚。法拉利正在调查内部文件的泄露情况,并宣布将采取一切必要措施。
https://www.goupsec.com/news/9009.html
本文转自公众号“BDS国家工程研究中心”
↓↓↓ 点击 阅读原文 查看详情
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...