此篇文章发布距今已超过600天,您需要注意文章的内容或图片是否可用!
· 小红书回应后台删照片:系清理用户使用 App 时生成的临时缓存· 美国电信巨头 AT&T 遭数据泄露,殃及 900 万客户账户· 医疗设备巨头遭到网络攻击,100万人敏感信息被泄露· Fortinet:新的零日漏洞攻击政府网络,窃取数据
· Lazarus组织木马化开源软件的加密通信分析
· 侧重实战的主动防御能力建设 攻击面管理不可或缺· 充电桩成为网络攻击新目标 汽车网络安全管理亟待规范· 新零售线下门店之《人脸识别摄像头使用数据合规指引》重磅发布· 浙商证券:2025年数据安全市场天花板接近千亿元
· 国务院新闻办:新时代的中国网络法治建设(全文)· 《政府工作报告》通过!涉及加强网络、数据安全和个人信息保护· 信安标委发布《个人信息跨境传输认证要求》征求意见稿· 上海市网信办、消保委等就知名餐饮店强索个人信息开展约谈· 金华银行“未审慎保护客户信息”,被罚30万元
· 全议题公布 | FreeBuf企业安全俱乐部·北京站· 《管理、技术、实践——营造金融消费新环境》3.15上海金融信息安全论坛顺利举行· 第四届国际工业信息安全应急大会重新启动
Cyber News 网站披露,黑客组织 KelvinSecurity 在网上共享了数百份文件,其中包含俄罗斯 Sputnik V 新冠肺炎疫苗开发的相关信息,其中一些文件甚至囊括了临床试验中已故参与者的姓名信息。披露的文件中包含了疫苗开发阶段、财务成本和技术细节相关的文件等机密信息。其中一个文件描述了一名疫苗实验者在去年 2 月 17 日接种疫苗一个月后经历了“自然流产”。该文件没有进一步说明疫苗接种和怀孕流产是否直接相关。其它文件包括发票和研究论文的费用,其中一份标价为 700 万卢布(9.3万美元)。小红书回应后台删照片:系清理用户使用 App 时生成的临时缓存近日,有用户反馈自己在使用手机时发现系统提示小红书正在试图删除手机内部图片,引发用户对个人隐私安全的担忧。针对这一事件,小红书今日回应称:小红书 App 并未删除用户手机中的原图片,而是清理了用户在使用 App 时生成的临时缓存。用户在使用某些版本小红书 App 的部分功能时,系统可能会生成临时缓存文件以便于使用。用户完成相应操作后,系统会自动清除,以避免占用用户手机存储空间。美国电信巨头 AT&T 遭数据泄露,殃及 900 万客户账户美国电信巨头 AT&T 近日向客户通报了一起数据泄露事件,导致攻击者能够获取与客户“设备升级资格”相关的信息。这起严重的安全漏洞影响了大约 900 万个客户账户,发生在 2023 年 1 月,这也是 T-Mobile 遭受大规模数据泄露的同一个月,T-Mobile 的数据泄露影响了大约 3700 万个后付费和预付费账户。AT&T 的一位代表在接受采访时表示,此次事件泄露了客户专有网络信息(CPNI),包括账户上线路数量或无线套餐等数据。此外,个人身份信息如名字、无线账号、无线电话号码和电子邮件地址也被暴露。在某些情况下,黑客还获取了客户其它信息,如每月支付金额、过期金额、套餐名称以及每月收费和 / 或使用分钟数。安全内参3月15日消息,一位数据泄露论坛的用户声称,可以访问一个包含超9亿条印度法律记录和文件的数据库,其中包括印度警方记录、报告、法庭案件,以及被告与被捕人员的详细信息。该用户正在兜售这批数据,据称数据内容为JSON格式,附有指向原始PDF文件的链接。文件总大小约为600 GB,泄露数据的庞大规模可见一斑。医疗设备巨头遭到网络攻击,100万人敏感信息被泄露近日,医疗设备制造商ZOLL表示,1月份的一次网络攻击暴露了超过100万人的敏感信息。“可能已披露的信息包括您的姓名、地址、出生日期和社会安全号码。也可能会推断您使用或被考虑使用ZOLL产品。”该公司告诉受害者,“我们咨询了第三方网络安全专家,以协助我们对事件做出响应和补救,并根据法律要求通知了执法部门以及联邦和州监管机构。”近日,一位匿名黑客成功入侵瑞士网络安全公司 Acronis 并窃取大量敏感数据的消息引爆了安全圈。更讽刺的是,在其官网上 ,Acronis 一直高调宣称能够“通过第一时间阻止网络攻击发生,主动保护数据、系统和应用程序。”数据被盗事件不断发酵后,Acronis 官方账号在 FalconFeedsio 的爆料推文下面回复称,只有一个客户上传诊断数据到 Acronis 文件服务器的凭据受到损害,其它的 Acronis 产品并未受到影响,公司的内部客户服务团队正在与该客户合作处理,会根据需要进行更新。Fortinet:新的零日漏洞攻击政府网络,窃取数据
近日,根据 Fortinet 最新报告:不明来源的的攻击者利用零日漏洞针对政府和大型组织,导致操作系统和文件损坏以及数据丢失。Fortinet于2023年3月7日发布了安全更新,以解决这个高危安全漏洞(CVE-2022-41328),该漏洞可以让攻击者执行未经授权的代码或命令。该公司在公告中说:FortiOS中的路径名对受限目录漏洞的不当限制(路径穿越)[CWE-22]允许有特权的攻击者通过CLI命令读取和写入任意文件。虽然该漏洞的公告没有提到该漏洞被人在野外利用,但Fortinet上周发布的一份报告显示,CVE-2022-41328漏洞已被用来入侵并攻陷客户的多个FortiGate防火墙设备。
对于推荐算法治理探索研究,因跨新闻传播、广告营销、竞争关系、反垄断、计算机、数据治理、个人信息保护等等多学科复合度高。推荐算法本身技术复杂,外界多数认为是“黑箱”,难以穿透造成理解困难,治理更是无从下手。要对推荐算法更有效的治理和引导,需要从技术视角上理解推荐算法逻辑和技术,否则,治理容易常浮于表面不够深入和准确,事倍功半。对于推荐算法长期存在信息茧房和正能量引导不足等问题,本文从推荐算法技术和数据指标上初步尝试分析,探讨问题症结所在、目标融合及可能的治理路径。Lazarus组织近期利用社交平台实施新型钓鱼攻击,通过社交平台诱导受害者使用被改造成木马的开源软件,从而获取到受害主机的控制权限。观成科技安全研究团队发现该组织在某次攻击活动中使用了被改造成木马的开源软件UltraVNC。UltraVNC是一款开源的远程管理工具,Lazarus组织在该工具中嵌入了恶意下载器。下载器会从C&C服务器(互联网失陷主机)获取恶意DLL并在内存中加载,与服务器的C&C通信全程使用HTTPS加密协议,加密载荷里的通信交互数据本身又使用了自定义的加密方式进行二次加密。攻击面管理近两年在网络安全领域被讨论颇多的一个热门话题,包括我们在内,在过去的一年中也多次强调过在网络安全形势日趋严峻的当下,组织应用攻击面管理的重要性乃至必要性均在提升。在调研过程中,有部分人对于攻击面管理的理解仍然有一些片面,主要体现在将攻击面管理等同于外部攻击面管理,有些混淆。如果单纯的从“攻击面”这个词本身给人的感觉去看,可能很多人会认为它是指暴露在外面的风险点,之所以有这种情况其实并不难理解,因为在绝大多数情况下,“敌人”一词就默认是来自于外部的,但实际上,攻击面是指在一次网络攻击中可以被利用的任何资产,它当然会包含外部资产,可同时也会包括组织内的所有其他资产。充电桩成为网络攻击新目标 汽车网络安全管理亟待规范随着近年来我国智能网联汽车产业爆发增长,电动汽车(EV)充电基础设施需求逐步增长,但随之而来的远程控制、数据窃取等安全问题也日益显现。例如,2月,以色列网络安全公司Saiflow经过调查发现,开放充电点协议(OCPP)中存在两个漏洞,可被用于进行分布式拒绝服务(DDoS)攻击、窃取敏感信息等。在俄乌冲突爆发时,亲乌黑客就曾通过攻击莫斯科附近的充电桩,致使系统瘫痪。
详情请看:
近日,Palo Alto Networks公司发布了《2023年云原生安全状况报告》。报告数据显示,企业组织目前平均需要使用30种以上的安全工具来构建云应用的整体安全性,其中有1/3的产品专门应用于云安全。但这种复杂性并没有带来可靠的安全性,反而导致日常安全运营问题不断出现。报告指出,尽管有超过60%的受访企业已经使用了云服务3年以上时间,但云安全运营维护的复杂性正在阻碍它们进一步将数字化业务系统向云上迁移。新零售线下门店之《人脸识别摄像头使用数据合规指引》重磅发布在2023年“315”来临之日,也是我国《个人信息保护法》正式实施第二年的关键阶段,结合上述立法趋势、司法案例以及执法趋势,我们以当前新零售线下门店的应用场景为切入点,制作了《人脸识别摄像头使用之数据合规指引(1.0版)——以新零售线下门店为主要场景》(以下简称“本指引”)。本指引包含五个方面的内容,即“人脸识别摄像头使用的主要场景”、“人脸识别摄像头数据合规相关法律法规”、“摄像头相关数据合规典型案例及启示”、“摄像头数据合规高频问题”以及“线下门店摄像头使用合规方案的提出与落地”,以期更好地识别线下门店摄像头使用和人脸识别的痛点问题,并提出我们的一些参考建议。
促进消费,需要重塑消费信心。3月15日,中国消费者协会对外发布2023年“提振消费信心”消费维权年主题调查结果。调查结果显示,超八成受访者对国内消费环境总体表示满意,73.1%的受访者认为线上消费总体规范、低于线下消费的80.1%,但也有七成受访者表示对过去一年线上消费信任度有所增加。调查结果表明,当前消费环境仍面临着个人信息泄露、消费浪费、网络谣言多发、预付费/卡商家跑路、虚假宣传等问题的困扰,占比人群均超过 20%。3月13日,中国消费者协会发布《2022年农村消费环境与相关问题调查报告》(以下简称《调查报告》),调查结果显示,我国农村居民对当前农村消费环境的综合满意度为75.35分,总体表现良好。数字化方面,九成以上的农村商店、超市已基本支持手机扫码支付,每月有1—5次网上购物频率的农村居民占比已接近四成,超过半数的经营者有计划或已经开始进行数字化改造。同时,《调查报告》显示,农村消费环境目前仍面临着网络通讯信号差、缺少快递点、电商快递配送慢、假冒伪劣产品等问题的困扰;在网络购物时,农村居民最担心和最不满意的问题前三名均为商品质量不可靠、商家广告夸大/虚假宣传以及个人信息泄露。环大西洋数据隐私框架 (Transatlantic Data Privacy Framework, DPF),刚接触的读者可能会误以为是美国联邦层面的类GDPR规范。实际上,DPF的功能仅限于数据跨境,性质上是按照GDPR第45条向欧盟委员会提交的“充分性认定”框架。环大西洋框架与安全港和隐私盾存在承继关系,后者框架中的很多内容原封不动照搬进来,这也是EDPB意见中诟病的问题之一。环太平洋框架结构上比较复杂,将GDPR规则“原则化”后每个原则所指以及相互关系较难厘定(详见讲义对比表格)。EDPB在意见中诟病了这一点,又提出了自己的理解和评估框架。本文不基于其中任何一种,为避免混淆,将DPF框架的原则重新还原为GDPR的具体概念、原则和制度加以论述。数据已成为数字经济时代最核心、最具价值的生产要素,为全球经济增长不断注入新动力、新能量。随着数据利用的不断深入,数据规模不断扩大,数据泄露、滥用等风险日益凸显,亟需建设数据安全防护能力,防范数据安全风险,护航数字经济发展。密码是保护数据安全的关键技术手段,在建立网络主体身份体系,确保数据机密性、完整性,促进数据流通等方面起到核心支撑作用。梳理了近期发布的数据安全相关法律法规中的密码要求,重点分析了数据全生命周期中密码发挥的核心作用,提出了基于密码的数据安全防护体系,并探讨了未来的研究方向和面临的挑战。面对传统区块链系统交易过程信息在链上公开透明化时,极易遭到攻击者透露秘密的问题,根据传统区块链系统完成交易过程时所存在的漏洞,对通过零知识证明解决隐私泄露问题的方法,展开了深入细致的探究。方案不但可以实现对区块链中的交易数据加密,还可以让链码端在所有交易数据都是密文的情形下证明交易过程的合规性,并详细地分析了该方法在区块链信息安全保障流程中的应用效果。此外,针对加密情形下的链上链下数据可能存在的不一致问题提出了基于 IPFS 系统的协同改进方案。浙商证券计算机研究团队近日发布行业分析报告《数据安全——为数据要素奠基,为数字经济护航》。报告认为,数据安全是数据要素市场和数字经济建设的重要基础设施之一,在我国数据安全防护和数据开发利用并重的数据安全监管格局下,数据安全市场正从传统以数据承载环境为中心的“系统视角”向以数据全生命周期流转为中心的“业务视角”转变,逐步演进为独立的赛道。在此背景下,数据安全赛道市场具有广阔成长空间,2025年市场天花板接近千亿元,2019-2025年复合增长率可达67%。
详情请看:
3月16日,国务院新闻办公室发布《新时代的中国网络法治建设》白皮书,全面介绍了中国网络法治建设情况,分享中国网络法治建设的经验做法。白皮书除前言、结束语外共分为六个部分,分别是坚定不移走依法治网之路、夯实网络空间法制基础、保障网络空间规范有序、捍卫网络空间公平正义、提升全社会网络法治意识和素养、加强网络法治国际交流合作。《政府工作报告》通过!涉及加强网络、数据安全和个人信息保护3月13日,十四届全国人大一次会议表决通过了关于政府工作报告的决议,批准了李克强总理代表国务院在十四届全国人大一次会议上所作的《政府工作报告》。报告共分两个部分:一、过去一年和五年工作回顾;二、对今年政府工作的建议。报告指出,今年发展主要预期目标是:国内生产总值增长5%左右;城镇新增就业1200万人左右,城镇调查失业率5.5%左右;居民消费价格涨幅3%左右;居民收入增长与经济增长基本同步;进出口促稳提质,国际收支基本平衡;粮食产量保持在1.3万亿斤以上;单位国内生产总值能耗和主要污染物排放量继续下降,重点控制化石能源消费,生态环境质量稳定改善。信安标委发布《个人信息跨境传输认证要求》征求意见稿3月16日,全国信息安全标准化技术委员会秘书处发布《信息安全技术 个人信息跨境传输认证要求》征求意见稿。该标准拟解决的主要问题是支撑《个人信息保护法》38条“建立个人信息保护认证制度”的需要,明确个人信息跨境处理相关安全要求。上海市网信办、消保委等就知名餐饮店强索个人信息开展约谈近期,上海市消保委对29家知名度较高的奶茶店和快餐店进行了暗访,发现其中有CoCo、沈大成、茶百道、7分甜、蜜雪冰城、望湘园、吉祥馄饨和书亦烧仙草等8个品牌的小程序会索要消费者的手机号。其中,CoCo和沈大成问题最为突出,如果消费者拒绝提供手机号,则无法进行点餐。其余6家在消费者拒绝后仍可继续点餐。
上海市消保委认为,商家提供扫码点餐服务,一方面是方便消费者,另一方面也降低了人工成本(比如很多门店虽然有人工点餐服务,但不设置专职点餐员)。按照《个人信息保护法》的规定,收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。《消费者权益保护法》也规定,经营者收集、使用消费者个人信息应当遵循合法、正当、必要的原则。消费者在扫码点餐中,商家应按照最小和必要原则获取消费者个人信息。
(来源:网信上海)
在今年全国两会上,住琼全国政协委员、海南省副省长、农工党海南省委会主委、省科技厅厅长谢京向大会提交提案,建议支持海南探索国际数据中心试点。提案建议,支持海南探索国际数据中心试点。按照“特定区域、特定对象、特殊授权、特殊监管”的试点思路,发展“两头在外”“来料加工”的国际数据加工、交换中心等业务,打造“境内关外”数据实验区。推进以“游戏出海”数据服务等为试点,探索设立国际数据交易中心,搭建数字产品国际交易平台。推动数据跨境流动在海南自贸港先行先试,形成国际数据产业新优势,打造具有国际影响力的国际数据跨境流动枢纽。银保监会3月10日发布的行政处罚信息显示,金华银行因存在“客户信息保护不审慎”这一违法违规事实,依据《中华人民共和国银行业监督管理法》第四十六条第(五)项,被浙江监管局处以罚款30万元。
全议题公布 | FreeBuf企业安全俱乐部·北京站阳春三月,万物复苏,2023 FreeBuf首场线下重磅活动——FreeBuf企业安全俱乐部·北京站即将于3 月 22 日 9 点(周三)在北京举行。让我们赶赴一场久违的春日相聚盛宴。本次活动设有「数字化安全合规论坛」、「零信任安全论坛」、「安全验证与安全运营实践论坛」、「开源风险治理实践峰会」四大论坛,邀请到了持安科技CEO何艺、方广资本投资副总裁王博、荣耀终端开源软件管理专家钟鸣、信通院领导等诸多网安行业代表进行分享。《管理、技术、实践——营造金融消费新环境》3.15上海金融信息安全论坛顺利举行3月14日下午,以《管理、技术、实践——营造金融消费新环境》为主题的3.15上海金融信息安全论坛在黄浦区举行。本次活动由上海市经济和信息化委员会软信处指导,黄浦区金融服务办公室、黄浦区科学技术委员会支持,上海金融信息行业协会联合上海市信息安全行业协会、上海市银行同业公会、上海市保险同业公会、华师大长三角金融科技研究院、上海浦东陆家嘴金融城全球资产管理机构联合会、上海数据交易所、黄浦科创集团共同主办,上海联通、宝付、信也集团协办,亿欧媒体支持。来自本市产学研用各行业企业、机构的技术开发、风控合规、安全负责人及高管逾100人参加了线下交流,同时近700位观众观看了线上直播。第四届国际工业信息安全应急大会将于3月22日-24日在北京市通州区重新召开。目前,各项工作已准备就绪,届时将邀请地方政府、行业主管部门、行业专家、企业代表等出席并作主题演讲,开展论坛交流、应急大赛、投融资路演、产业推介会等多项活动。嘶吼将于3月23日承办“工业信息安全产业创新发展论坛”。为加速构建工业领域网络安全管理体系,推动工业大数据深度发展,工业信息安全产业创新发展论坛以“探索新思路,共创工信安全新未来”为主题。深度探讨制造强国、网络强国建设和工业信息安全之间的重要关系,探索符合新时代发展需要的新思路,共筑工业互联网信息安全防护墙。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-周飒博客
还没有评论,来说两句吧...