周刊 | 网安大事回顾（2024.9.23-2024.9.29）

美国白宫发布了一份重磅声明，提议禁止进口和销售含有中国和俄罗斯技术的联网汽车和关键组件，并计划在2027年和2030年分别对相关软件和硬件实施禁令。新的拟议规则以拜登2月份提出的一项倡议为基础，旨在解决中国联网汽车技术带来的“国家安全风险”，因为这些技术“可能被远程访问或禁用”。

一周网安风云回顾，GoUpSec带你安全看世界。

中国电子信息行业联合会、中国计算机行业协会、中国通信标准化协会、中国通信企业协会、中国互联网协会、中国中小企业国际合作协会、中国通信学会、工业和信息化部商用密码应用产业促进联盟、工业信息安全产业发展联盟等十七家行业组织共同编制《工业和信息化领域数据安全合规指引（征求意见稿）》，充分发挥行业自律作用，引导工业和信息化领域数据处理者合法合规开展数据处理活动，准确全面履行数据安全保护责任义务。

为了促进和规范终端设备直连卫星服务健康发展，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，根据有关法律法规，我办会同有关部门起草了《终端设备直连卫星服务管理规定（征求意见稿）》，现向社会公开征求意见。

工业和信息化部高度重视用户权益保护工作，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，持续整治APP侵害用户权益的违规行为。近期，工信部组织第三方检测机构进行抽查，共发现21款APP及SDK存在侵害用户权益行为（详见附件），现予以通报。

爱尔兰数据保护委员会（DPC）对Meta处以1.01亿美元的罚款，原因是该公司存储了数亿用户的明文密码，并允许大约2000名Meta工程师自由查询这些数据。据称，这些工程师共查询了这些敏感信息900万次之多。虽然Meta没有透露具体有多少用户受到影响，但估计将涉及“数亿Facebook Lite用户、数千万其他Facebook用户”和数百万Instagram用户。

上周一美国白宫发布了一份重磅声明，提议禁止进口和销售含有中国和俄罗斯技术的联网汽车和关键组件，并计划在2027年和2030年分别对相关软件和硬件实施禁令。新的拟议规则以拜登2月份提出的一项倡议为基础，旨在解决中国联网汽车技术带来的“国家安全风险”，因为这些技术“可能被远程访问或禁用”。

9月27日，10点40分左右因A股近期持续上涨买入火爆，上交所系统疑似出现了异常现象也影响到了多家炒股软件。有股民反映，买入股票的时候出现卡顿、交易延迟以及闪退等情形，有投资者调侃称，“买入量太过火爆，把交易所系统都给买崩了。随后，有券商机构证实，即“经公司技术监控发现，目前报单有延迟。各家券商均有反馈，属于行业共性问题”。

据BleepingComputer消息，乌克兰国家网络安全协调中心 （NCCC） 以国家安全为由，已下令限制在政府机构、军事单位和关键基础设施内使用 Telegram 消息应用程序。NSDC担心 Telegram被用来发起针对乌克兰的网络攻击、传播网络钓鱼信息和恶意软件、跟踪用户的行踪并收集情报，以帮助敌方军方用无人机和导弹瞄准乌克兰的设施。

万径安全（四维创智）宣布完成数千万元股权融资

投资方：深创投。公司以“AI+YAK”为企业核心战略，专注于网络安全基础设施和智能化技术研究，打造了首款国产安全语言Yaklang和网络安全专用AI模型千机（ChatCS）两大核心产品，并基于Yak构建自主可控的网络安全生态体系，推动安全产业融合发展，产品已广泛应用于能源、金融、运营商等多个行业。

Second Front Systems宣布完成7000万美元C轮融资

投资方：Salesforce Ventures、Battery Ventures、NEA、Moore Strategic Ventures和Artis。Second Front Systems(2F)加速政府获取颠覆性、经过商业验证的软件即服务（SaaS）应用，服务于国家安全任务。公司的软件帮助配置、保护和部署符合规定的应用程序，供企业向全球政府客户交付。

近日，网络安全研究人员披露了起亚汽车的一组已修复严重漏洞，黑客仅凭车牌号即可在30秒内远程控制车辆关键功能，2013年之后的生产的起亚汽车都存在该漏洞。此外，黑客还能在车主毫无察觉的情况下偷偷获取车主隐私信息，包括车主的姓名、电话号码、电子邮件地址和实际住址等。更为严重的是，黑客甚至可以在车主不知情的情况下，悄悄将自己添加为车辆的“隐形”第二用户。

近日，网络安全研究机构Cybernews发现，美国背景调查和公共记录服务公司MC2 Data发生了大规模数据泄露事件，暴露了该公司2.2TB的敏感数据。这些数据中包含超过1亿美国公民的个人信息，严重威胁了个人隐私与信息安全。这是Facebook（2019年5亿）和Linkedin（2021年7亿）之后，近年来美国发生的最严重的数据泄漏事件。

据Cyber Security News消息，美国卡巴斯基用户反馈，他们的安全软件以悄无声息的方式自动替换为了另一款产品UltraAV。9月19日，美国卡巴斯基用户的一次软件更新显示，这次更新自动将用户计算机上的卡巴斯基的防病毒软件替换为了UltraAV，这一变更被指此前美国商务部以涉嫌国家安全风险为由，禁止卡巴斯基在美国销售或更新某些防病毒产品。

前段时间，迪士尼遭遇了其迄今为止规模最大的内部数据泄露事件。黑客组织“NullBulge”宣称成功入侵了迪士尼的内部沟通平台Slack，并窃取了超过1.1TB的数据，其中包括近10000个Slack频道的内部通信记录、未公开项目细节、财务信息、IT信息以及其他机密信息。