1、国内外数据安全政策动态
1.1.国内数据安全政策动态
1.1.1.工业和信息化部印发《工业和信息化领域数据安全事件应急预案(试行)》
为贯彻落实《数据安全法》《网络数据安全管理条例》《工业和信息化领域数据安全管理办法(试行)》等法律政策关于应急处置的相关要求,加快推动工业和信息化领域数据安全应急处置工作制度化、规范化开展,工业和信息化部研究制定了《应急预案》,10月29日正式发布。正文共八章四十条,一是构建工业和信息化领域数据安全事件应急处置工作组织体系,明确工业和信息化部、地方行业监管部门、数据处理者、应急支撑机构等各方职责范围,建立权责一致的工作机制。二是细化数据安全事件应急处置事前、事中、事后全流程各环节要求,提出分级预警、响应、处置、上报等各类机制,建立衔接有序、高效运行的工作闭环。三是根据数据安全事件应急处置工作的需要,明确相关预防措施和保障措施。
来源:https://www.miit.gov.cn/jgsj/waj/wjfb/art/2024/art_b051a6efc2ac4f3c94123c5bb8cb9b22.html
1.1.2.国家发展改革委向社会公开征求《公共数据资源登记管理暂行办法(公开征求意见稿)》的意见
为认真贯彻落实《中共中央办公厅 国务院办公厅关于加快公共数据资源开发利用的意见》等文件要求,促进公共数据资源合规高效开发利用,构建全国一体化公共数据资源登记体系,规范公共数据资源登记工作,国家发展改革委会同有关部门起草了《公共数据资源登记管理暂行办法》,现向社会公开征求意见。此次公开征求意见的时间为2024年10月12日至2024年11月11日。公众可登录国家发展改革委门户网站(http://www.ndrc.gov.cn)首页“互动交流”版块,进入“意见征求”专栏,提出意见建议。
来源:https://mp.weixin.qq.com/s/qLpRX_Idq00ncTdkZP68rA
1.2.国外数据安全政策动态
1.2.1.NIST推进14个数字签名以防范量子网络威胁
美国国家标准与技术研究院(NIST)已选择14种后量子密码学(PQC)签名算法,以应对量子计算带来的网络安全威胁。NIST表示从40个数字签名提案中筛选出14个后量子密码学(PQC)签名公开发布,这些算法旨在抵御量子计算机的网络攻击,后者的计算速度比传统计算机快得多,能破解许多当前使用的加密技术。尽管不确定量子网络攻击何时开始,但NIST预计可能在下一个十年内出现,联邦政府正在寻求行业将PQC标准纳入产品与服务中。
来源:https://nvlpubs.nist.gov/nistpubs/ir/2024/NIST.IR.8528.pdf
1.2.2.英国将《数据使用和访问法案》提交议会
10月23日,英国《数据使用和访问法案》已提交议会,旨在发挥数据的巨大力量,助力英国经济增长100亿英镑。该法案由英国科学、创新和技术部提出,有三个核心目标:发展经济、改善英国公共服务、为人民生活提供便利。该法案还将通过建立研究人员数据访问制度来帮助英国探索应对网络威胁的方法。
来源:https://bills.parliament.uk/bills/3825
1.2.3.日本政府希望到2030年实现“牢不可破”的量子加密
Telecompaper 10月8日消息,日本政府计划在2030年之前开发出“牢不可破”的量子加密技术,以应对量子计算机可能带来的网络安全威胁,潜在的合作伙伴包括NEC和东芝。日本内务和通信省将从2025财年开始,在未来五年内投入数千亿日元的公私投资,用于量子加密技术的开发。日本信息通信研究机构(NICT)已经在东京启动了一个量子测试网络,连接了政府机构和金融机构,并计划在2024年开始评估量子加密方法,并招募公司参与政府的量子加密研发项目。
来源:https://www.telecompaper.com/news/japan-wants-unbreakable-quantum-encryption-by-2030-report--1514825
2、个人信息保护政策与法律法规动态
2.1.国内个人信息保护政策与法律法规动态
2.1.1.上海市网信办整治地铁站内滥用人脸识别技术违规收集个人信息现象
10月14日,上海市网信办官微“网信上海”发布全面整治地铁站内自动售货机人脸识别技术滥用问题的情况。前期,上海市网信办以地铁站内自动售货机为突破口,会同市市场监管局、市国资委联合约谈申通地铁及三家涉事自动售货机运营企业,要求企业立整立改,对个别重点头部企业开展了延伸检查,并指导申通地铁对全市范围地铁站内自动售货机人脸识别技术滥用问题进行全面整治。目前共有14家企业运营地铁站1462台自动售货机,已对其中存在问题的829台暂停人脸支付功能,待整改完成后重新上线。
上海市网信办相关负责人指出,人脸信息依法属于敏感个人生物信息,应在确保合规、安全,并取得消费者单独同意的前提下审慎使用。企业在不具有特定目的及充分必要性的场景,强制、诱导消费者使用人脸识别技术进行验证,属于过度收集消费者个人敏感信息的违法行为,因此,对于人脸信息的收集、存储、使用、传输、删除等各环节,企业都应该依法采取严格的保护措施。
来源:https://mp.weixin.qq.com/s/h0LJiqtPd0jPT5fjIiga5w
2.1.2.北京市互联网法院召开涉个人信息及数据相关案件审理情况新闻通报会
10月30日,北京互联网法院召开涉个人信息及数据相关案件审理情况新闻通报会,会上发布了八起典型案例,涉及个人信息保护纠纷、隐私权、人格权纠纷、网络服务合同纠纷、网络侵权责任纠纷等案由。
八起典型案例裁判要旨分别涉及:必要个人信息范围应结合相关规范性文件、服务性质、处理必要性等因素进行认定;未经消费者同意,线下商店的线上小程序无权获取消费者的线下交易信息;企业对经过去标识化处理后的个人信息进行访问所形成的访问记录,依法受法律保护;信息处理者未尽到个人信息安全保障义务致他人个人信息权益被侵害的,应与侵权用户承担连带责任;免费邮箱服务提供者可以对免费邮箱用户的权利进行一定程度的限制,但“清空邮箱”条款的内容与免费邮箱用户有重大利害关系,作为提供格式条款的一方应当采取合理的方式提示用户注意;未经授权对包含他人肖像的视频进行AI换脸处理,构成对他人个人信息权益的侵害;个人明确拒绝他人处理已公开个人信息的,个人信息处理者不得继续处理;个人应当妥善保管已注册的社交平台账号及注册信息。
来源:https://mp.weixin.qq.com/s/500PiHzTpl3VZ9Vg75lbwg
2.2.国外个人信息保护政策与法律法规动态
2.2.1.韩国监管机构将调查TikTok是否违反该国数据保护法规
10月7日,韩国通信委员会宣布就TikTok是否违反《个人信息保护法》和《信息通信法》展开调查。根据初步调查结果,TikTok可能因违反《信息通信网法》而面临罚款。韩方认为,TikTok在处理用户个人信息时,本应把有关营销和广告接收同意的部分设置为“选择同意”而非“必须同意”,但用户在注册时遭到强制同意接收广告,这一做法引发问题。韩国《关于促进信息通信网利用与信息保护法》规定,任何通过电子传输媒体发送的营利目的的广告信息,必须事先获得接收者的明确同意。如果违反可处以最高3000万韩元(约合人民币15.77万元)的罚款。此外,韩国个人信息保护委员会也开始审查TikTok是否违反《个人信息保护法》。
来源:http://www.koreaherald.com/view.php?ud=20241007050398
2.2.2.美国司法部拟发布新规,计划阻止我国等六国获取大量美国数据
10月21日,为落实拜登政府《关于防止关注国家访问美国人的大量敏感个人数据和美国政府相关数据的行政命令》,美国司法部国家安全司发布拟议规则制定通知(NPRM),计划通过限制特定交易,防止中国(包括香港和澳门)、古巴、伊朗、朝鲜、俄罗斯、委内瑞拉等六个受关注国家获取美国敏感数据。
NPRM确定了禁止和限制交易的类型、适用的受关注国家和相关人员范围、豁免情况,提供了司法部对经济和其他监管影响的初步评估,建立了授权某些禁止或限制交易、发布咨询意见、指定相关人员的程序,并规定了相关交易的记录保存、报告和其他尽职调查义务。NPRM并没有授权实施普遍的数据本地化要求,也未广泛禁止美国人从事商业交易。NPRM将几类数据交易从禁止和限制范围中排除,包括金融服务、电信服务、生物产品和医疗器械授权、临床调查等。
来源:https://www.justice.gov/opa/pr/justice-department-issues-comprehensive-proposed-rule-addressing-national-security-risks
2.2.3.澳大利亚信息专员办公室发布《有关隐私和使用商用人工智能产品的指南》
10月21日,澳大利亚信息专员办公室(OAIC)发布指南,旨在帮助企业在使用商用人工智能(AI)产品时更好地履行隐私保护义务。指南提出了多项要点:一是隐私义务适用于任何输入AI系统的个人信息,以及AI生成的包含个人信息的输出数据;二是企业需要更新隐私政策和通知,提供清晰的AI使用信息,包括确保面向公众的AI工具向外部用户清楚地标识出来;三是如果AI系统用于生成或推断个人信息,则属于收集个人信息,必须遵守澳大利亚隐私原则第3条的规定;四是OAIC建议企业不要将个人信息输入到公开的生成式AI工具中,以避免潜在的隐私风险。
来源:https://www.oaic.gov.au/privacy/privacy-guidance-for-organisations-and-government-agencies/guidance-on-privacy-and-the-use-of-commercially-available-ai-products
3、国内外数据安全相关事件
3.1.国外数据安全相关事件
3.1.1.美国医疗巨头遭勒索软件攻击,致1亿人健康信息泄露
10月24日消息,今年2月,美国医疗巨头UnitedHealth的子公司Change Healthcare遭受了勒索软件攻击,导致超过1亿美国人的私人健康信息被盗,包括健康保险信息(例如主要、次要或其他健康计划/政策、保险公司、会员/团体ID号、医疗补助/医疗保险/政府支付者ID号码)、健康信息(例如病历编号、提供者、诊断、药物、测试结果、图像、护理和治疗信息)、账单及索赔和付款信息(例如索赔编号、账号、账单代码、支付卡、财务和银行信息、已付款项和到期余额)、其他个人信息(例如社会安全号码、驾驶执照或身份证号码或护照号码)。这是美国已知的最大一起医疗记录数字盗窃案之一,也是历史上最大的数据泄露案之一。
来源:https://www.bleepingcomputer.com/news/security/unitedhealth-says-data-of-100-million-stolen-in-change-healthcare-breach/
3.1.2.法国第二大网络运营商Free遭遇数据泄露,1900万用户受影响
据BleepingComputer消息,法国主要互联网服务提供商(ISP)Free 在10月27日证实,稍早前有黑客入侵了其系统并窃取了用户的个人信息。被窃取的数据已经出现在了黑客论坛 BreachForums 上。该泄露影响了1920 万用户(约占法国近三分之一的人口),包含超过 511 万个 IBAN(国际银行账户)号码 。
来源:https://www.bleepingcomputer.com/news/security/free-frances-second-largest-isp-confirms-data-breach-after-leak/
3.1.3.互联网档案馆遭数据泄露,3100万用户信息被盗
10月9日消息,互联网档案馆的“Wayback Machine”近期遭遇了严重的数据泄露事件。一名威胁行为者成功入侵该网站,窃取了包含3100万条唯一记录的用户身份验证数据库。被盗的数据库名为“ia_users.sql”,是一个6.4GB的SQL文件,包含注册成员的身份验证信息,如电子邮件地址、屏幕名称、密码更改时间戳、Bcrypt哈希密码等。
来源:
https://www.bleepingcomputer.com/news/security/internet-archive-hacked-data-breach-impacts-31-million-users/
3.1.4.英国折扣剧院票务平台数据泄露,黑客泄露100万用户数据
10月14日,伦敦的折扣剧院票务平台Central Tickets近期遭遇了一次重大数据泄露事件,部分用户的个人信息被盗,包括姓名、电子邮件、电话号码等。Hackread.com追踪了黑客活动,并指出黑客在Breach Forums上泄露了100万客户的数据和内部信息。
来源:https://cybernews.com/security/french-records-exposed-by-mysterious-data-hoarder/
3.1.5.美国健康中心网络Omni Family Health遭遇大规模数据泄露,近47万人受影响
近日,黑客在暗网上发布了据称从加州健康中心网络Omni Family Health窃取的数据。此次泄露的信息涉及该网络现任和前任患者及员工,共468344人受到影响。患者的姓名、地址、出生日期、社会安全号码、健康保险计划和医疗信息可能泄露,而员工的数据泄露还包括财务账户详细信息和有关家属、受益人的信息。
来源:https://securityaffairs.com/169972/data-breach/omni-family-health-disclosed-a-data-breach.html
4、移动互联网安全热点
4.1.国内移动互联网安全热点
4.1.1.2024年第三季度电信服务质量通告:下架333款存在问题的不良手机应用
工业和信息化部近日发布通告,从电信服务重点工作情况、电信用户投诉申诉情况、工作要求及消费提示等三个方面,对2024年第三季度电信服务有关情况进行了介绍。通告显示,2024年第三季度,不良手机应用有效投诉中,涉及网络安全问题的投诉占比48.9%,涉及个人信息及权限问题的投诉占比29.4%,涉及信息安全问题的投诉占比21.7%。通过行业自律,中国互联网协会联合应用商店、安全检测厂商对存在问题的333款不良手机应用进行下架处理。
来源:https://mp.weixin.qq.com/s/l9DxY2J-KHlEaXEQKUvuFA
4.2.国外移动互联网安全热点
4.2.1.在办公环境中开iPhone镜像功能或存在严重的隐私和法律违规风险
网络安全公司Sevco日前表示,苹果公司新推出的iPhone镜像功能存在用户隐私泄露风险。对于iPhone用户来说,这个漏洞可能暴露用户个人生活的敏感信息,包括使用的VPN、约会应用程序或健康相关服务信息,使用户面临法律或社会风险,具体情况取决于用户所在地区。这个问题还给雇主带来了新的责任风险,包括可能违反隐私法。雇主企业可能无意中收集私人数据,如果这些数据管理不当,将面临法律后果。
来源:https://www.infosecurity-magazine.com/news/apples-iphone-mirroring-flaw/
4.2.2.Android 15推出多项新安全功能,全面提升敏感数据保护能力
谷歌在最新发布的Android 15操作系统中推出一系列强大的安全新功能,旨在全面保护用户的健康、财务和个人敏感信息,有效防范盗窃和欺诈风险。其中的核心亮点是新增的“Android盗窃保护”功能。这是谷歌经过严格测试开发的一整套全面解决方案,能够在设备被盗前、被盗中和被盗后的全过程中保护用户数据。而新推出的盗窃检测锁利用人工智能技术,一旦检测到手机被盗就会自动锁定设备。用户还可以通过手机号码和快速安全检查,随时远程锁定设备。
来源:https://www.helpnetsecurity.com/2024/10/16/android-15-security-privacy-features/
4.2.3.三星Exynos处理器曝安全隐患,权限提升漏洞引发关注
谷歌威胁分析团队(TAG)近日发出警告,在三星移动处理器中发现了一个已被实际利用的零日漏洞。该漏洞编号为CVE-2024-44068,CVSS评分高达8.1,被归类为使用后释放(Use-After-Free)漏洞。攻击者可利用它在易受攻击的安卓设备上提升权限,实现对设备的任意代码执行。受影响的处理器型号包括Exynos 9820、9825、980、990、850和W920等。
来源:https://securityaffairs.com/170119/security/samsung-zero-day-activey-exploited.html
4.2.4.堪称安卓手机杀手,1100 万台设备被植入恶意软件
近日,有研究人员发现在恶意SDK供应链攻击中,有黑客通过GooglePlay在1100万台设备上安装了新版本的Necro恶意安卓载入器。这种新版Necro木马是通过合法应用程序、安卓游戏mod和Spotify、WhatsApp和Minecraft等流行软件的修改版所使用的恶意广告软件开发工具包(SDK)安装的。
来源:https://www.bleepingcomputer.com/news/security/android-malware-necro-infects-11-million-devices-via-google-play/
4.2.5.美国得州起诉 TikTok 侵犯儿童隐私
美国得克萨斯州总检察长肯?帕克森(Ken Paxton)2024年10月4日起诉 TikTok,指责该社交媒体平台在未经儿童父母或法定监护人同意的情况下,分享儿童的个人身份信息,违反了儿童隐私和州法律。帕克森在诉讼中请求法院禁止 TikTok 的相关行为,并对每次违反《通过家长授权保护儿童在线》(SCOPE)法案的行为处以最高 1 万美元的民事罚款。帕克森表示,TikTok 没有提供限制儿童隐私和账户设置的工具,甚至允许从设置为“私有”的账户中共享信息,并允许向儿童投放定向广告。帕克森在一份声明中表示,TikTok 和其他大型科技公司必须为“剥削得州儿童,并未能优先考虑未成年人的在线安全和隐私”承担责任。
来源:https://baijiahao.baidu.com/s?id=1811966743372825230&wfr=spider&for=pc
4.2.6.TrickMo安卓银行木马新变种利用虚假锁屏窃取密码
近期,研究人员在野外发现了TrickMo Android银行木马的40个新变种,它们与16个下载器和22个不同的命令和控制(C2)基础设施相关联,具有旨在窃取 Android 密码的新功能。新版 TrickMo 的主要功能包括一次性密码(OTP)拦截、屏幕录制、数据外渗、远程控制等。该恶意软件试图滥用强大的辅助功能服务权限,为自己授予额外权限,并根据需要自动点击提示。该银行木马能够向用户提供各种银行和金融机构的钓鱼登录屏幕覆盖,以窃取他们的账户凭据,使攻击者能够执行未经授权的交易。
来源:https://www.bleepingcomputer.com/news/security/trickmo-malware-steals-android-pins-using-fake-lock-screen/
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...