5th域安全微讯早报【20241223】307期

2024-12-23 星期一 Vol-2024-307

1. 荷兰数据保护局对Netflix隐瞒用户数据处理方式处以475万欧元罚款

2. 美国财政部发布金融领域人工智能风险报告

3. 特朗普上台后五角大楼的网络安全规定CMMC 2.0有望保留

4. NatoHub声称泄露联合国代表数据库，涉13,529条记录

5. 韩国时事通讯平台Stevie遭黑客攻击，4万用户信息泄露

6. 美国法院裁定NSO集团对WhatsApp大规模监控负责

7. 全球2.5亿域名数据库涉嫌泄露

8. IBM Cognos Analytics平台发现高风险漏洞

9. Craft CMS中的关键PHP零日漏洞被修复

10. 2025年英国网络安全面临四大趋势和挑战

【Securitylab网站12月20日报道】流媒体服务Netflix因在2018至2020年期间违反个人数据处理规则，被荷兰数据保护局(Dutch DPA)处以475万欧元罚款。调查发现Netflix收集包括电子邮件、电话号码、付款信息和用户观看偏好等数据，但未清晰向用户说明数据处理的目的和原因。荷兰DPA指出，Netflix在隐私政策中未明确数据处理的目的、法律依据、数据传输给第三方的原因、数据存储期限以及欧洲以外数据传输的安全措施。调查始于奥地利隐私组织noyb的投诉，由于Netflix欧洲总部位于荷兰，因此由荷兰DPA协调调查。Netflix已更新隐私政策并改进信息提供，目前正在对罚款提出质疑。

2.美国财政部发布金融领域人工智能风险报告

【Executivegov网站12月20日报道】美国财政部发布了一份报告，识别了在金融领域使用人工智能相关的风险，并提出了缓解这些风险的建议。该报告基于6月份发出的信息征集请求，收集了来自金融公司、技术提供商、消费者倡导团体、咨询公司和贸易协会等103条评论。报告指出，AI在金融领域的应用日益广泛，但同时也引入了新的风险，导致主要行业参与者对扩大AI工具的部署持谨慎态度。评论者对银行和非银行机构在AI开发和部署监管上的差异，以及小型参与者对第三方技术提供商的依赖表示担忧。行业代表希望政府采取措施，如为金融领域建立相关模型和系统的定义，扩大消费者保护，统一遵守适用于现有和新兴技术的法律，并请求财政部协助评估和部署AI模型和系统。

3.特朗普上台后五角大楼的网络安全规定CMMC 2.0有望保留

【Breaking Defense网站12月20日报道】尽管候任总统唐纳德·特朗普承诺上任后削减政府法规，但业内人士和五角大楼官员表示，CMMC 2.0（网络成熟度模型认证的第二个版本）很可能在特朗普政府下继续存在。CMMC 2.0是一个框架，要求与五角大楼有业务往来的公司必须达到一定的网络安全水平，并接受外部审计。CMMC 1.0于2020年1月在特朗普的第一个任期内建立，而CMMC 2.0的计划于2023年12月在拜登总统任内宣布，为处理受控非密信息的承包商设定了新标准。CMMC 1.0有五个合规级别，而CMMC 2.0有三个级别，并且根据承包商处理的CUI级别引入了第三方评估。尽管一些公司担心网络安全法规将给它们带来负担，但专家表示，在拜登政府下CMMC实际上有所放宽，为特朗普政府保留大部分现行形式铺平了道路。然而，也有观点认为，鉴于共和党政府倾向于减少法规，CMMC 2.0的要求可能会减少。

4. NatoHub声称泄露联合国代表数据库，涉13,529条记录

【DarkWebInformer网站12月21日消息】网络威胁情报平台DarkWebInformer.com报道称，一个名为NatoHub的威胁行为者声称在网络犯罪论坛上泄露了两个包含联合国代表敏感信息的数据库。这两个数据库总共包含13,529条记录，涉及联合国人员和附属机构的个人和组织详细信息，包括身份证、头衔、名字、姓氏、电子邮件、电话号码、房间号、组织等。此次数据泄露可能导致身份盗窃、欺诈、间谍活动增加，以及对国际组织间信任与合作的损害。受影响个人需立即更改密码和安全问题，监控通信渠道，核实联系人来源。组织应立即进行取证分析，通知受影响方，增强数据安全性，并与当局合作追踪威胁行为者。这一事件凸显了网络安全的重要性和保护敏感信息的紧迫性。

5.韩国时事通讯平台Stevie遭黑客攻击，4万用户信息泄露

【Boan News网站12月22日报道】韩国国内时事通讯平台“Stevie”服务器遭受黑客攻击，导致约40,000名用户个人信息泄露。此次攻击使得这些用户收到了冒充韩国外交部的垃圾邮件，内容为“社会保障声明已准备好”。Stevie在12月17日遭受攻击，19日发现后立即报告并采取内部措施。受影响的R Square公司确认无意中发送了垃圾邮件，并指出其客户数据库和核心系统未受影响。R Square与韩国互联网振兴院合作，实施必要措施防止进一步损害，并全面审查外部合作伙伴的安全管理体系。Stevie表示将加强安全政策，仅保留提供服务所需的最低限度信息，并设立24小时事故响应客户中心，立即进行赔偿程序以防客户遭受额外损失。

6.美国法院裁定NSO集团对WhatsApp大规模监控负责

【SecurityLab网站12月21日报道】美国法院裁定以色列公司NSO Group需对利用WhatsApp漏洞安装间谍软件负责。该诉讼由WhatsApp于2019年提起，指控NSO集团非法访问服务器并安装Pegasus程序监视1,400人，包括记者、人权活动人士。法院认定NSO违反协议并进行非法活动，下一阶段将确定赔偿金额。WhatsApp首席执行官威尔·卡思卡特表示，这是隐私的胜利，间谍公司不能躲在法律豁免之后。网络安全专家也对此判决表示欢迎，认为这将为整个间谍软件行业树立重要先例。NSO集团虽辩称其技术帮助执法机构，但美国法院一再驳回其论点，包括根据《外国主权豁免法》获得豁免的尝试。此案凸显了遵守法律和尊重隐私权的必要性。

7.全球2.5亿域名数据库涉嫌泄露

【Daily Dark Web网站12月22日报道】近期一起数据泄露事件疑似暴露了包含全球2.5亿个域名的数据库，引发了对域名信息安全和在线用户隐私的严重担忧。此次泄露事件揭示了在管理敏感域名数据方面存在的漏洞，并强调了实施强有力的网络安全措施以保护在线平台的迫切需求。受影响的实体被建议监控其域名是否有异常活动，并加强安全协议。同时，呼吁当局和网络安全专家对此次泄露事件进行调查，并采取措施减轻其可能造成的影响。

10. 2025年英国网络安全面临四大趋势和挑战

【Cybersecurity Insiders网站12月22日消息】Armis国际副总裁Christina Kemper撰文分析了2025年英国网络安全的主要趋势和挑战。文章指出，随着全球地缘政治格局的影响加深，民族国家威胁将加剧，尤其是针对关键基础设施和私营企业的复杂网络攻击。预计2025年，供应链攻击将继续造成重大破坏，全球损失可能达到600亿美元。同时，监管合规变得更加复杂，新法规如欧盟的NIS2和DORA将推动更严格的网络安全框架。此外，解决方案整合将成为关键，组织将趋向于使用单一平台解决方案来应对复杂的威胁和监管环境。最后，文章强调，英国组织需要保持领先于威胁形势，采取主动的网络安全措施，以保护自身免受不断演变的网络威胁。