2023年国家网络安全宣传周开幕式在福建福州举行​

9月12日，星期二，您好！中科汇能与您分享信息安全快讯：

调查称全球多所顶尖高校网站存在网络攻击风险

据调查研究显示，全球多所顶尖高校的网站未能及时更新安全补丁，存在敏感信息泄露，甚至被攻击者全面接管的风险。

Cyber News 研究团队详细调查了 20 个每月有数百万访问量的高校网站，其中至少有6个是位于全球Top 100的顶尖高校。研究人员表示，针对大学的攻击历来非常常见，包括了从学生试图取消课程发起的 DDoS 攻击到全面的勒索软件攻击。

安全级别不一定与高校的规模或重要性相关，因为规模较小和较大的高校都表现出类似的漏洞。虽然调查结果不包括任何未受保护的数据库或一年多前的漏洞，但一些高校迟迟没有应用安全更新。研究人员还发现了几个关键漏洞和非常敏感的凭证被泄露。

Atlas VPN 曝零日漏洞，允许查看用户真实 IP 地址

Atlas VPN 已确认存在一个零日漏洞，该漏洞允许网站所有者查看 Linux 用户的真实 IP 地址。不久前，发现该漏洞的人在Reddit上公开发布了有关该零日漏洞的详细信息以及漏洞利用代码。

Atlas VPN提供 "免费 "和付费的 "高级 "VPN解决方案，可以改变用户的IP地址，以及与网站和在线服务的连接进行加密。该公司为 Windows、macOS、Linux、Android、iOS、Android TV 和 Amazon Fire TV 提供应用程序。此次发现的漏洞仅影响Lunux版AtlasVPN客户端v1.0.3（即最新版本）。

丰田工厂因数据存储空间不足而停工

丰田公司称，最近日本生产工厂的运营中断是由于其数据库服务器的存储空间不足所致。据报道，8 月 29 日，丰田公司在日本的 14 家汽车组装厂中，有 12 家因未定义的系统故障而不得不停止运行。作为世界上最大的汽车制造商之一，这种情况造成每天大约 13000 辆汽车的产量损失，有可能影响到对全球市场的出口。

近日，丰田公司在其日本新闻门户网站上发布了一份声明，解释说故障发生在 2023 年 8 月 27 日的一次日常 IT 系统维护期间。日常的维护工作是整理数据库中的数据并删除零散数据。然而，由于在完成任务之前存储空间已不足，因此发生了错误，导致系统崩溃。这次事件直接影响了公司的生产订购系统，导致无法计划和执行生产任务。

德国金融监管机构网站遭遇大规模DDoS攻击后“瘫痪”

BaFin是负责监督和监管德国金融机构和市场的金融监管机构，其职责是确保德国金融体系的稳定性、完整性和透明度。此外，BaFin 的网站还为企业和消费者提供银行、贷款和财产融资等方面的信息。它还提供消费者帮助热线和举报人信息共享平台，帮助揭露金融业个人或公司的不法行为。

BaFin共监管约 2700 家银行、800 家金融服务机构和 700 多家保险公司。近日，其对上周末发生的DDoS攻击事件做出了回应。BaFin在近日发布的声明中提到，由于攻击仍在继续，因此德国联邦金融监管局的网站目前仅有一小部分内容支持访问。5日，欧洲用户已经可以正常访问该网站。

但Recorded Future News 在美国尝试连接该网站，信息提示DDoS 攻击使网站流量过大，用户暂时无法访问。

Facebook 已删除 276.7 亿虚假账户，大量真实用户被“误伤

据Cyber News消息，正有数以千计的用户在X（Twitter）及其他平台上表达对Facebook的不满，因为该平台在打击虚假账户时对他们的正常账户进行了“误伤”。

自 2017 年 10 月以来，Facebook 已删除了 276.7 亿个虚假账户，相当于目前地球总人口的3.5倍。Facebook 每个季度都会删除上亿个、有时甚至超过 10 亿个虚假账户。

Cyber News曾向Facebook母公司Meta询问删除背后的原因是什么、准确性如何体现，但Meta还尚未给出回复。据悉，不少用户都抱怨账户被莫名暂停使用、封禁，甚至是被黑客攻击后缺乏必要的响应与支持。

知网被罚，罚款5000万元

根据网络安全审查结论及发现的问题和移送的线索，国家互联网信息办公室依法对知网涉嫌违法处理个人信息行为进行立案调查。经查实，手机知网、知网阅读等14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。

近日，国家互联网信息办公室依据《网络安全法》《个人信息保护法》《行政处罚法》等法律法规，综合考虑知网（CNKI）违法处理个人信息行为的性质、后果、持续时间，特别是网络安全审查情况等因素，对知网（CNKI）依法作出网络安全审查相关行政处罚的决定，责令停止违法处理个人信息行为，并处人民币5000万元罚款。

Apache Superset 漏洞导致服务器易遭RCE攻击

Apache Superset 更新版本 2.1.1 修复了两个漏洞CVE-2023-39265和CVE-2023-37941。一旦恶意人员获得对 Superset 元数据数据库的控制权限，就能够利用这两个漏洞执行恶意操作。

除了这两个漏洞外，Superset 最新版本还修复了一个 REST API 权限不当问题CVE-2023-36388，它可导致低权限用户执行服务器端请求伪造攻击。Horizon3.ai 公司的研究员 Naveen Sunkavally 在一份技术详情中指出，“Superset 从设计上课使权限用户连接到任意数据库并使用强大的 SQLLab 接口在这些数据库中执行任意SQL请求。如果Superset 可被诱骗于连接到自身的元数据数据库，则攻击者可直接通过SQLLab 读或写应用配置，从而收割凭据并远程执行代码。”

2023年国家网络安全宣传周开幕式在福建福州举行

由中央宣传部、中央网信办、教育部、工业和信息化部等十部门联合举办的2023年国家网络安全宣传周，昨天在福建福州开幕。

本届网络安全宣传周以“网络安全为人民，网络安全靠人民”为主题，9月11日至17日在全国范围内统一开展，其间将举办网络安全技术高峰论坛、网络安全博览会、分论坛和校园日、电信日、法治日、金融日、青少年日、个人信息保护日等主题日活动，围绕网络安全协同治理、汽车数据安全、工业互联网安全、云计算服务安全、青少年网络保护等议题，研讨展望网络安全领域产业发展。

广州2名医院护工出售“死者”信息获利10余万元被判刑

近日，广州市荔湾区人民法院公布了一起侵犯公民个人信息罪案件，两名医院护工利用工作便利出售死亡患者个人信息获利10万余元，最终被依法判刑。

易某和唐某是广州某医院护工，两人利用工作便利，在跟随医院救护车急救过程中，未经同意擅自将包括急救病人及丧者家属的居住住址、联系方式等公民个人信息，分别按照每条1000元、2000元的价格非法出售给某殡葬服务公司实际控制人劳某（另案处理）。荔湾法院经审理认为，易某、唐某违反国家有关规定，向他人出售公民个人信息，其行为已构成侵犯公民个人信息罪。法院依法判处易某、唐某犯侵犯公民个人信息罪，判处有期徒刑三年至一年，缓刑四年至一年六个月，并处罚金。

香港数码港遭勒索攻击：400GB数据泄露，科技中心受打击

据消息，香港科创中心数码港已就网络安全漏洞向警方和香港隐私监管机构上报。勒索软件组织Trigona声称，已从数码港窃取超过400GB数据，要求支付30万美元（约合港币235万元）才能归还。

上周四，一位IT专家查阅了暗网相关材料，发现包括银行账户信息和身份证复印件在内的被窃数据正在竞价售卖，起价定为30万美元。香港网络安全公司VX Research的安全专家Anthony Lai Cheuk-tung分析称，“假设一个人的信息是1GB，那就至少有400名受害者。”

信息来源：人民网国家计算机网络应急技术处理协调中心国家信息安全漏洞库今日头条 360威胁情报中心中科汇能GT攻防实验室安全牛 E安全安全客 NOSEC安全讯息平台火绒安全亚信安全奇安信威胁情报中心 MACFEE Symantec 白帽汇安全研究院安全帮卡巴斯基