广州市发布《网络数据安全管理规范》地方标准

近日，研究人员发现，心理健康服务机构Confidant Health的一个未加密数据库意外暴露在互联网上，导致数千名心理治疗患者的高度敏感健康信息被泄露。

据了解，这个5.3TB的数据库包含超过12万个文件和170多万条活动日志。泄露的内容涵盖心理治疗过程的音频和视频记录、详细的精神科评估报告、医疗历史信息，以及患者的个人档案等。这些数据涉及酒精和药物成瘾恢复、心理健康治疗等多个敏感领域。此外，泄露的数据还包含大量行政和验证文件，包括驾驶执照、身份证和保险卡的复印件。一些日志显示部分数据可能是由聊天机器人或人工智能收集的。

对此，Confidant Health的联合创始人Jon Read回应称，该公司在接到通知后迅速采取行动，在不到一小时内修复了问题。他强调，只有不到1%的文件在短时间内可被公开访问，目前没有发现恶意行为者访问患者记录的证据。公司已更新相关政策以防止类似事件再次发生。

以色列大学研究团队近日公布了一种名为"RAMBO"（气隙内存总线辐射攻击）的新型侧信道攻击方法。该攻击利用计算机RAM产生的电磁辐射，从气隙系统中窃取数据，对高安全性环境构成潜在威胁。

气隙系统通常用于政府、武器系统和核电站等需要高度安全保护的场所。尽管这些系统与公共互联网隔离，但仍可能通过物理媒介或复杂的供应链攻击引入恶意软件。RAMBO攻击就是利用这一潜在漏洞，通过操控RAM的读写模式生成电磁辐射来传输数据。攻击过程中，植入的恶意软件收集敏感数据并准备传输。通过快速切换RAM中的电信号（开关调制"OOK"），产生的电磁辐射被编码为"1"和"0"。攻击者使用软件定义无线电（SDR）和天线拦截这些辐射，并将其转换为二进制信息。

RAMBO攻击的数据传输速率可达每秒1000比特（bps），适合窃取小量数据如文本和小文件。在测试中，窃取一个密码需要0.1到1.28秒，4096位RSA密钥需要4到42秒。传输距离方面，快速传输最远可达300厘米，慢速传输在几乎零错误率的情况下可达7米。

为防范RAMBO攻击，研究人员建议采取严格的区域限制、RAM干扰、外部电磁干扰以及使用法拉第笼等措施。

多年以来，硬件密钥一直被视为保护个人隐私和敏感数据的最后一道防线，然而最新研究发现，这些被认为牢不可破的“安全硬件”，实际上暗藏严重漏洞。

近日，来自NinjaLab的研究团队发表了一篇题为“EUCLEAK”的技术论文，披露英飞凌（Infineon）安全微控制器中存在一个重大侧信道漏洞。该漏洞影响了广泛应用于电子护照、加密货币硬件钱包、智能汽车和FIDO硬件认证设备（如YubiKey 5系列）的加密库。

由于漏洞波及范围广大，影响深远，这一发现立刻引发了安全行业的广泛关注。

9月10日，广州在2024年国家网络安全宣传周期间发布《网络数据安全管理规范》（DB4401/T 276—2024）地方标准。该标准将于9月28日开始实施，为规范数据处理者的数据处理活动、保障网络数据安全、促进数据安全流通，助力数据经济发展提供参考依据和重要支撑。

据了解，在探索出台《广州市网络数据安全工作指引（试行）》基础上，广州细化制定《网络数据安全管理规范》，为全市各行业、各领域、各地区、各部门数据处理者开展网络数据安全管理工作提供指导，为数据安全监管部门、数据安全认证、评估、审计机构或其他有关组织对网络数据处理活动实施安全监管、评估提供参考，有效推动全市数据要素发展在合法合规中实现数据安全、高速流通。

同时，《规范》面向数据收集、存储、使用、加工、传输、提供、公开、删除等数据处理活动管理要求，列举相关数据处理场景，进一步明确相对应的安全管理意见，指导各单位建立业务场景与数据处理活动环节的对应关系。

近日，研究人员发现，曾经肆虐一时的捕食者（Predator）间谍软件正通过使用新的基础设施活动卷土重来。此前，随着捕食者间谍软件的运营者Intellexa财团活动的曝光和美国政府的制裁，该间谍软件一度消失在雷达上。

捕食者间谍软件指的是一系列监控工具，以其强大的数据窃取和监控能力而闻名，这些工具可以通过零点击攻击来入侵受害者的设备。Intellexa财团作为多家进攻性网络公司的营销伞，提供商业间谍软件和监控工具，旨在进行针对性和大规模监控活动。

2024年3月，美国财政部外国资产控制办公室（OFAC）宣布对与Intellexa财团相关的两名个人和五个实体采取行动，原因是他们在开发和分发被用于监视美国政府官员、记者和政策专家的捕食者间谍软件中扮演了重要角色。

研究报告显示，捕食者间谍软件的运营者增加了多个层以增强其基础设施、匿名化操作并躲避检测，但其攻击链没有改变，依然依赖于“单击”和“零点击”漏洞，且通常利用浏览器漏洞。该间谍软件在刚果民主共和国和安哥拉等国被持续使用，使得对其的追踪变得更加困难。

Elasticsearch服务器提供了强大的全文搜索和分析功能，因此广泛应用于各种场景。近日，据Cybernews网站报道，一个托管在美国IP地址上的Elasticsearch服务器由于错误配置而引发数据泄露，研究人员在其中却意外发现了76.2万名车主的隐私信息，这引发了多方面的安全担忧。

据介绍，这个未加密的 Elasticsearch 数据库实例泄露了车主的姓名、出生日期、电话号码、身份证号码、电子邮件地址、家庭地址、车辆识别号码、汽车品牌和型号、发动机号码以及车辆颜色等隐私信息。这些信息可能导致身份盗窃、金融欺诈和人身安全风险。此外，车辆相关信息的泄露可能被犯罪分子利用于汽车盗窃或掩盖被盗车辆身份。

令人不安的是，本次数据泄露的数据库所有者身份仍然未知，这意味着受影响的个人可能不会收到信息泄露的预警通知。研究人员认为，这个数据库的所有者很可能是某个网络犯罪团伙，他们通常会汇集大量数据，并用于各种攻击，例如身份盗窃、复杂的网络钓鱼计划、针对性的网络攻击和未经授权访问个人和敏感账户。

9月11日，2024年“羊城杯”粤港澳大湾区网络安全大赛决赛在广州市南沙国际金融论坛会议中心举行。自2020年开始，广州市连续多年举办“羊城杯”网络安全大赛，赛事规模逐年扩大，已成为国内具有较大影响力的网络安全大赛之一。　　

本届“羊城杯”大赛面向全国全日制在校本科生、研究生、高职、高专生，以及全国党政机关及事业单位的专职工作人员和互联网、网络安全企业及其他相关企业的专职工作人员开放报名。此外，大赛首次特邀港澳地区队伍一同参赛，共集结2085支队伍、4160人参赛，今年参赛队伍、参赛人数均再创新高。

近期，RansomHub 勒索组织一直通过利用卡巴斯基的合法工具 TDSSKiller 来禁用目标系统上的端点检测和响应 (EDR) 服务。

在攻破防御系统后，RansomHub 又部署了 LaZagne 凭证采集工具，试图从各种应用程序数据库中提取有助于在网络上横向移动的登录信息。

卡巴斯基创建的 TDSSKiller 是一种可以扫描系统是否存在 rootkit 和 bootkit 的工具，这两种恶意软件特别难以检测，而且可以躲避标准的安全工具。EDR代理是更先进的解决方案，它们至少部分在内核级别上运行，以便监控和控制如文件访问、进程创建和网络连接等低级系统活动，从而提供针对勒索软件等威胁的实时保护。

网络安全公司 Malwarebytes 报告称，他们最近观察到 RansomHub 勒索组织滥用 TDSSKiller，使用命令行脚本或批处理文件与内核级服务交互，从而禁用机器上运行的 Malwarebytes 反恶意软件服务（MBAMService）。