国内外网络安全热点情报（2024年第33期）

8月19日消息，Cybernews研究人员发现，智利最大的社会保障基金机构Caja Los Andes因一次数据泄露，导致1000万用户的数据遭到暴露，其数量超过了该国人口的一半。

这些遭到暴露的数据包括用户的姓名、出生日期、家庭住址、电话号码、电子邮箱、信用额度、付款地点等详细信息。

据报道，该组织在2023年拥有超过400万名用户，但泄露的数据数量是这个数字的两倍多，表明数据可能关联了用户的家庭成员以及一些已经过世的用户。

研究人员表示，这些数据可能让用户卷入真假难辨定向诈骗或网络钓鱼的骗局。

除了给用户带来的安全风险，这家组织也可能受到监管机构的处罚。根据智利的数据保护法，泄露了个人数据的公司最高可处以其年收入4%的罚款。

8月20日，据BleepingComputer消息，一名黑客在论坛上发帖称自己从丰田美国分公司窃取的240GB数据，丰田官方随后表示这一情况属实。

根据这名黑客的描述，这些数据不仅涉及丰田员工和客户的信息，还包括合同和财务信息，并通过AD-Recon搜集了更多类型的数据。

据悉，仅在去年，丰田就已发生至少两起数据泄露事件。

2023年12月，丰田子公司丰田金融服务公司（Toyota Financial Services，TFS）向客户发出警告，该公司的欧洲和非洲分部在11月受到Medusa勒索软件攻击，导致敏感的个人和财务数据泄露。

2023年5月，丰田披露了一起云环境中因配置错误导致的数据泄露事件，暴露了2013年11月6日至2023年4月17日这10年间215万车主的位置信息；而在几周后，又有两个配置错误的云服务被发现，暴露了2016年10月至2023年5月期间亚洲和大洋洲部分车主的个人信息。

7月31日，负责管理印度所有零售支付系统的综合组织，印度国家支付公司（NPCI）宣布，正在处理由于其第三方技术供应商C-Edge Technologies遭受勒索软件攻击而导致的服务中断。

去年11月，SonarSource首次发现了CVE-2024-23897漏洞，并帮助Jenkins团队验证今年1月发布的修复程序。

漏洞概念验证（PoC）一经发布，研究人员立即开始注意到攻击企图，并指出该漏洞允许攻击者接管未打补丁的Jenkins服务器。

8月27日消息，近日，荷兰数据保护局指控Uber在未采取《通用数据保护条例》（下文简称：GDPR）第五章规定的充分保障措施的情况下，将个人数据从欧洲经济区（EEA）转移至美国的服务器。荷兰数据保护局称其违反了GDPR的规定，并对其处以罚款23.18亿元（2.9亿欧元）罚款，这是荷兰数据保护局第三次对Uber处以行政罚款。

第一起是2018年11月因数据访问控制不力被罚款60万欧（约合人民币479万元）。第二起是2024年1月因Uber在处理欧盟主体数据方面的模糊数据管理做法而被处以1000万欧（约合人民币7989万元）的罚款。

此次调查的起因，是法国的一个人权组织代表当地170多名出租车司机向该国数据保护机构提出投诉。然而由于Uber的欧洲总部设在荷兰，因而此案被转交给了DPA。与此同时，法国国家数据保护监管局（CNIL）也表示已与DPA取得合作。

对于处罚，Uber发言人卡斯帕·尼克松（Caspar Nixon）回应路透社称，Uber将提起上诉，并相信“常识将占上风”。他认为这一决定存在有缺陷，罚款数额也过大，是完全没有道理的。他表示，在欧盟和美国之间存在“巨大不确定性的3年”期间，Uber的跨境数据传输流程符合GDPR。

8月27日网信天津消息，近期公安部、国家网信办等研究起草的《国家网络身份认证公共服务管理办法（征求意见稿）》，向社会公开征求意见，引发广泛关注。

　　网号、网证是什么？将对公众和数字经济发展产生怎样的影响？新华社记者梳理当前公众关心的热点问题，采访了有关权威专家。

　　根据征求意见稿起草说明，网号是由字母和数字组成、不含明文身份信息的网络身份符号；网证是承载网号及自然人非明文身份信息的网络身份认证凭证。

　　通俗地说，网号是用户在网络空间中的身份编码，同时隐去了个人身份信息；网证是一种简化版的数字证书，在网络社交、即时通讯等法定实名制领域以及其他需要验证身份的场景，作为一种可选择的身份认证方式。

　　公安部第一研究所研究员于锐介绍：“用户不是‘持证’才能‘上网’，而是在需要证明身份的场景中多了一种更加安全、方便的选择，不需要反复向各个平台提供明文的个人身份信息。同时，原有的身份认证方式仍可继续使用，没有网号、网证也可正常上网。”

　　根据有关规定，目前，用户使用网络服务遵循“后台实名、前台自愿”原则，需向不同的互联网平台以明文方式重复提供个人真实身份信息。

　　国家信息中心研究员李新友表示，对于传统的身份认证方式，互联网平台从前端采集到后台存储链条较长、环节较多，并且网络传输环境较为复杂，个人信息安全保障有难度，泄露事件时有发生。

　　推行网号、网证，旨在减少互联网平台收集姓名、身份证件号码、人脸等个人身份信息，实现公民身份信息的“可用但不可见”。

　　电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者可使用国家网络身份认证公共服务，对涉诈等异常账号进行动态身份认证，最大限度减少“实名不实人”的情况，提高网络黑灰产违法犯罪的成本。

　　于锐表示，国家网络身份认证公共服务的工作原理，是基于国家人口基础信息库对用户身份进行远程比对核验，人口信息是国家本已掌握的信息。用户在申领、使用网号、网证的过程中，公共服务按照“最小必要”原则，仅采集与用户身份认证密切相关的信息，如通过 NFC 功能识读证件来验证证件真伪，通过人脸识别来验证用户本人操作，通过手机号来确认本人意愿和应急联络，通过手机参数来确认运行环境的安全性，除此之外，不采集其他个人信息。

　　在用户注销网号、网证时，相关个人信息将全部删除。而且，对上述个人信息，国家投入强大的技术力量保证信息安全。

　　李新友表示，与其他身份认证服务相比，国家网络身份认证公共服务具有很大的便利性，使用智能手机即可证明身份，方便人民群众在数字化、网络化、智能化条件下办理事项。

　　比如，网上购买门票时，通常需要输入姓名、身份证件号码等信息，比较繁琐，如果依托国家网络身份认证公共服务，经点击跳转即可完成认证。此外，国家网络身份认证公共服务还可跨应用、跨平台使用，有效减少记忆各种网站和互联网平台账户、口令的负担。

　　在一些需要出示身份证进入场馆的场景中，参观者可以使用国家网络身份认证 App 快速通行，在一定程度上减轻了携带实体身份证件的负担，也避免了一些个人身份信息泄露等安全风险。

　　征求意见稿规定，持有有效法定身份证件的自然人，可自愿向公共服务平台申领网号、网证；鼓励有关主管部门、重点行业按照自愿原则推广应用网号、网证；鼓励互联网平台按照自愿原则接入公共服务。

　　于锐表示，特别是反电信网络诈骗法等上位法规定，国家推进网络身份认证公共服务建设，支持个人、企业自愿使用。对存在涉诈异常的卡、号，电信业务经营者、互联网服务提供者等“可以”而不是“应当”通过国家网络身份认证公共服务对用户身份重新进行核验。这充分体现了用户自愿使用网号、网证的原则。国家网络身份认证公共服务管理办法作为下位的部门规章，不可能在该问题上突破上位法规定。

　　于锐介绍，用户接受或者退出国家网络身份认证服务，完全基于用户自愿。从App操作层面，国家网络身份认证App自愿下载、申领，并不会强制或强迫用户使用。从推广应用层面，互联网企业、接入单位也是自愿使用，可将公共服务作为可选项而非唯一项，保留现有其他方式。

　　于锐介绍，国家网络身份认证公共服务在网络安全法、个人信息保护法、反电信网络诈骗法等法律中均有相关规定和依据。

　　网络安全法第二十四条提出“国家实施网络可信身份战略”，明确了网络可信身份的概念。

　　个人信息保护法第六十二条规定“支持研究开发和推广应用安全、方便的电子身份认证技术，推进网络身份认证公共服务建设”，明确在国家层面建设网络身份认证公共服务。

　　反电信网络诈骗法第三十三条规定，“国家推进网络身份认证公共服务建设，支持个人、企业自愿使用，电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者对存在涉诈异常的电话卡、银行账户、支付账户、互联网账号，可以通过国家网络身份认证公共服务对用户身份重新进行核验”，明确了国家网络身份认证公共服务在打击电信网络诈骗中的地位。

　　根据上述法律，公安部、国家网信办会同有关部门组织建设了国家网络身份认证公共服务平台，并在相关领域开展了试点应用。同时，为了规范公共服务的运行管理，进一步保护用户的个人信息权益，研究制定部门规章——国家网络身份认证公共服务管理办法。

　　数据要素是发展数字经济的关键和核心，激活数据要素、实现数据要素流动的前提是明确数据权属，其基础便是个人身份的确认。李新友表示，基于国家网络身份认证公共服务，个人可实现对数据的有效确权和授权，进而形成并固化自身数据资产，以此促进数据要素的有序流动和增值，助力数字经济发展。

　　数字经济时代，信任是基石。李新友认为，国家网络身份认证公共服务为网络交易、在线服务等提供了更加可靠的身份验证手段，减少了因身份冒用带来的经济损失，通过提高网络诚信水平改善营商环境。同时，由国家提供身份认证服务，为企业降本增效，促使其把更多精力投入到提高产品服务质量、提升用户体验感中，推动互联网产业和数字经济持续健康发展。

消息来源：