国内外网络安全热点情报（2024年第37期）

9月19日印尼商报消息，印尼税务机构正在调查包括总统佐科威及其部长在内的数百万纳税人数据在网上泄露的指控。

这起纳税人识别号信息疑似泄露事件，在印尼道德黑客创始人 特古·阿普里安托 上传臭名昭著的BreachForums数据泄露网站截图后浮出水面。他在X账号@secgron发文称，本周三，有600万条纳税人识别号信息在该网站上被名为Biorka的账号出售。

除了纳税人识别号，还有居民身份证号码(NIK)、地址、手机号码、电子邮件等也跟着泄露，总售价达到1.5亿盾。在同一条消息中，特古表示还包括佐科威总统及其儿子吉布兰和凯桑的资料。

此外，一些部长也在名单中，如通信和信息部长布迪·阿里·塞蒂阿迪、财政部长丝莉·慕利亚妮、国企部长埃里克托希尔、人文发展统筹部长穆哈吉尔·艾芬迪、宗教事务部长雅库特·乔利尔·库马斯、贸易部长祖尔基弗里·哈桑以及经济统筹部长艾尔朗卡·哈塔尔托。

该事件源自AT&T的一家第三方云服务供应商，负责为AT&T提供用于营销、账单处理和生成个性化视频内容的服务，是此次事件的罪魁祸首。协议中提到，AT&T为了使用这家供应商的服务，与其共享了包括用户数据在内的大量客户信息。

AT&T并非唯一一家经历大规模客户数据泄露的电信运营商。

T-Mobile在2018年至2023年间公开承认了八起数据泄露事件，其中最严重的一次发生在2021年8月，导致至少7660万人的个人数据被曝光。

2024年4月，一次针对AT&T的Snowflake环境的网络攻击，导致几乎所有电信提供商的无线客户数据遭到泄露，涉及约1.1亿人。

这一发现来自FTC对Meta、YouTube等九家公司收集和使用消费者数据的研究。报告称，这些网站大多提供免费服务，通过将这些数据用于针对特定用户的定向广告来获利。这些公司也未能保护用户，尤其是儿童和青少年。

FTC表示，该委员会从近四年前开始进行这项研究，目的是首次全面审视一些大型在线平台的不透明商业行为，这些平台利用消费者数据创造了价值数以十亿美元计的广告业务。FTC称，报告表明，有必要制定联邦隐私立法，并限制公司收集和使用数据的方式。

卡巴斯基在周五的分析中表示：与要求赎金解密数据不同，该组织更倾向于加密受害者的数据，然后使用擦除器破坏他们的基础设施，以防止恢复。

这表明，他们希望对目标组织造成最大程度的损害，而不是直接获得经济利益。

卡巴斯基研究人员说：攻击者使用了一个流行的 LockBit 3.0 勒索软件版本，该版本由公开源代码编译而成，用于加密数据。该组织坚持使用公开的、人们熟悉的恶意软件工具，这也表明它没有自制的工具，那么大家就还是有机会能及时发现并阻止 Twelve 的攻击。

9月19日公安部网站消息，2024年以来，依托“净网2024”专项行动，公安部组织全国公安机关持续开展打击整治网络谣言专项行动，及时发现查处借热点舆情事件进行造谣传谣线索，坚决整治自媒体运营人员移花接木、摆拍造谣等利用网络谣言进行吸粉引流、非法牟利等行为，重拳打击编造虚假险情、灾情、警情等违法犯罪活动。

截至目前，全国公安机关网安部门已办理网络谣言类案件2.7万余起，依法查处造谣传谣网民3.1万余人，依法关停违法违规账号19.9万余个，清理网络谣言信息156.2万余条。

公安部公布5起打击整治“移花接木”拼接网络谣言违法犯罪典型案例。包括：广东公安机关侦办的张某某拼接虚假字幕谣言案；江苏公安机关侦办的徐某某拼接“高速公路交通事故55人死亡”网络谣言案；湖北公安机关办理的袁某拼接“公安交警与部队人员发生冲突”谣言案；江苏公安机关办理的马某某拼接“南京机场女子排队中暑进大厅休息被安检员拒绝”网络谣言案；青海公安机关办理的童某某拼接“网约车罢工”网络谣言案。

下一步，公安机关将继续依法严惩网络谣言违法犯罪活动，切实维护公民合法权益和网络生态秩序。网络空间清朗有序是各方共同的愿望，维护网络空间安全也是各方共同的责任义务，请广大网民及时关注官方发布的权威信息和辟谣信息，积极向公安机关和有关平台举报反映网络谣言相关违法犯罪线索。

9月20日，内蒙古自治区公安厅网安部门向社会通报7起未建立管理制度、不履行网络信息安全管理义务的典型案例，以此警示全社会履行网络安全保护义务，切实压紧压实网络运营者的主体责任。

1. 内蒙古呼和浩特市某博物馆，未采取有效的技术防护措施，综合安防管理平台软件Web界面被攻击篡改，依法对呼和浩特某博物馆处以行政警告。

2.  内蒙古锡林郭勒盟某煤矿公司，未采取有效防范技术措施，系统存在弱口令等问题隐患，不法分子在服务器植入勒索病毒，依法对该公司处以行政警告。

3. 内蒙古通辽某热电公司，在监督检查中，曾多次被网络安全高危漏洞处以行政警告，但该公司一直未开展有效整改，依法对该公司法人曹某栋、网络安全负责人杨某平分别处以1万元、5仟元的行政罚款。

4. 内蒙古鄂尔多斯市某事业单位，APP存在配置错误、敏感信息泄露等高危漏洞，并且该APP具有对外公开性，后台存储大量工作人员信息和用户人员信息，存在数据泄露和个人信息泄露风险，依法对该事业单位处以行政警告。

5.  内蒙古某供应链企业，网络安全保护意识淡薄，安全管理制度缺失，其开发的信息系统存在高危钓鱼漏洞，可导致被服务单位敏感数据泄漏等后果发生，依法对该供应链企业处以行政警告。

6. 内蒙古鄂尔多斯市某酒店，工作人员网络安全保护意识淡薄，网络安全保护责任落实不到位，酒店所使用的IPTV网关设备直接映射在互联网端，IPTV网关设备登录开机界面被非法篡改，依法对该酒店主管杜某、责任人员苏某分别处以5万元、1万元的行政处罚。

7. 内蒙古赤峰市某培训学校，域名到期后未进行续费和注销操作，无人管理，后被不法人员篡改为赌博网站，同时还发现该企业未按相关规定落实网络安全等级保护制度，依法对该培训学校处以行政警告。

9月20日消息，工信部发布了《关于印发工业重点行业领域设备更新和技术改造指南的通知》，明确了至2027年工业软件及工业操作系统的国产化替换目标。

《通知》指出，工业软件领域设备更新目标为:以提升产业链供应链韧性和安全水平为重点，围绕石油、化工、航空、船舶、钢铁、汽车、医药、轨道交通等关系经济命脉和国计民生的行业领域，推动基础软件、工业软件和工业操作系统更新换代。

基础软件方面，重点更新工业领域应用的操作系统、数据库、中间件等产品。工业软件方面，重点更新计算机辅助设计(CAD)、计算机辅助工程(CAE)、计算机辅助制造(CAM)、制造执行系统(MES)、企业资源计划(ERP)等研发设计、生产制造、经营管理、运营维护相关软件。

工业操作系统方面，重点更新可编程逻辑控制器(PLC)、分布式控制系统(DCS)、数据采集与监视控制系统(SCADA)安全仪表系统(SIS)、嵌入式软件等产品。

到2027年，完成约200万套工业软件和80万台套工业操作系统更新换代任务。