黑客利用 Four-Faith 路由器漏洞打开反向 shell
亲俄组织 NoName 攻击意大利机场网站
12月28日消息,在地缘政治紧张局势加剧的背景下,亲俄组织 NoName057 发起新一轮 DDoS 攻击,攻击目标包括马尔彭萨机场和利纳特机场等意大利机场。。
亲俄组织NoName57继续对意大利基础设施发动 DDoS 攻击。这一次,这群所谓的黑客组织针对了多个网站,包括马尔彭萨机场和利纳特机场的网站,以及外交部 (Farnesina) 和都灵交通集团 (GTT) 的网站。
意大利邮政警察局的 Cnaipic(国家网络犯罪关键基础设施保护中心)正在调查网络攻击并帮助受害者减轻攻击。
马尔彭萨机场和米兰利纳特机场的网站今天早上开始遭受 DDoS 攻击。截至本文撰写时,这两个机场的网站仍然出现问题。这些攻击对机场的运营没有影响。
该组织在其 Telegram 频道上声称,此次袭击是对意大利恐俄人士的回应。
NoName57 写道:“意大利的恐俄者们正在遭受应得的网络报复。”
“今天的攻击肯定是俄罗斯发起的,目标是外交部网站。我已经指示外交部秘书长准备改革,成立网络安全和人工智能总局,”外交部长安东尼奥·塔亚尼在参议院对记者说。“我们正在努力坚决应对来自国外的网络攻击。我们成功地击退了所有攻击,但我们将进一步提高意大利全球所有办事处的安全门槛,”外交部长保证道。
邮政和通信警察局局长伊万诺·加布里埃利 (Ivano Gabrielli)告诉Adnkronos,袭击者是“受意识形态驱动的网络犯罪分子,他们寻求的是知名度,而不是造成实际损害”。
“三天来,我们一直在记录针对各种基础设施和部长网站的类似攻击,”加布里埃利告诉 Adnkronos。“这些是支持和配合俄罗斯在乌克兰的战争的团体定期进行的攻击,目标是在国际上支持乌克兰的国家。随着意大利政府重新支持乌克兰,该组织已恢复针对某些意大利网站的攻击。”
该组织在其 Telegram 频道上公布了目标名单,其中包括政府和机构网站。
NoName57 组织自 2022 年 3 月以来一直活跃,并以全球政府和关键基础设施组织为目标。
图:目标名单
NoName057(16) 使用多种工具进行攻击。2022 年 9 月,Avast 研究人员观察到该组织 使用 Bobik 僵尸网络 发起 DDoS 攻击。
他们分波次行动,在地缘政治紧张时期升级袭击,例如其他国家增加对乌克兰的军事或外交支持。
这些攻击发生的时间恰逢圣诞节假期,具有战略意义。威胁行为者通常会在组织人员减少、响应时间变慢的时间段(如假期或周末)计划其行动。在这些时间段内,IT 支持、网络安全和事件响应等关键团队可能会以最低限度的效率运行,这使得及时发现、缓解和从攻击中恢复变得更加困难。
全球网络合作击落 PlugX 蠕虫
12月29日消息,为了打击恶意软件,Sekoia 威胁检测与研究团队采取了前所未有的行动,率先开展了一项活动,清除了数千个感染 PlugX 蠕虫的系统。这种恶意软件与臭名昭著的 Mustang Panda 组织有关,通过受感染的闪存驱动器传播,对全球网络安全构成了重大威胁。
此次行动充分体现了协作威胁情报和行动的力量,Sekoia 与来自 20 多个国家的国家 CERT 和执法机构展开合作。此次行动针对的是臭名昭著的 Mustang Panda 威胁组织相关的 PlugX 变种,该组织以其蠕虫能力和感染可移动驱动器的倾向而闻名。
图:plugx蠕虫
Sekoia 的旅程始于 2023 年 9 月,当时他们控制了 PlugX 蠕虫使用的关键 IP 地址。这一突破使他们能够分析恶意软件的行为并开发消毒方法,详情请参阅他们的博客文章和BotConf 2024上的演示。
Sekoia 在其最新报告中解释道:“创建消毒过程比设置一个简单的天坑要复杂一些。”为了促进这一复杂过程,Sekoia 开发了一个用户友好的界面,使每个参与国能够:
访问关键统计数据:深入了解其境内受损资产。
精准清理目标:选择特定的自治系统、CIDR 块或 IP 地址进行有针对性的清理。
启动全国消毒:轻松启动全面消毒行动。
为了确保安全并尽量减少潜在的副作用,该活动采用了自毁命令作为主要消毒方法。Sekoia 的 Sinkhole 充当中央指挥点,使用这种自毁有效载荷响应受感染机器的请求。
这次开创性活动的结果不言而喻:
34 个国家收到了漏洞日志,以识别其管辖范围内受到攻击的网络。
22个国家对消毒过程表现出浓厚兴趣。
在强有力的法律框架支持下, 10个国家积极参与消毒行动。
Sekoia 报告称:“这次消毒活动对我们来说是第一次,是主权消毒概念的证明。”该活动成功消除了5,539 个 IP 地址上的威胁,共发送了59,475 个消毒有效载荷。
研究发现人工智能可以在 0.02 秒内猜出加密货币种子短语
12月29日消息,NFTEvening 和 Storible 合作开展了一项研究,旨在测试 AI,特别是长短期记忆 (LSTM) 网络是否可以通过使用 BIP39 单词列表分析 8570 万个组合来恢复丢失的加密货币种子短语。
专注于 NFT 的新闻网站 NFTEvening 和NFT市场的数据和分析平台 Storible 合作开展了一项研究,以调查强大的人工智能(特别是一种称为长短期记忆 (LSTM) 的人工智能)是否可以破解加密货币种子短语。
在这项研究中,他们使用 BIP39 单词列表中的 2048 个单词分析了85,714,285 个种子短语组合,以确定 AI 恢复丢失的加密种子短语所需的时间以及 LSTM 网络恢复丢失或不完整的加密货币短语的可行性。
为此,我们在云端服务器上训练了一个神经网络,为期 30 天,用于预测种子短语并估算恢复时间。该模型采用 LSTM 架构,平均预测率为每秒 994,051 次猜测。我们利用缺失 1 到 12 个单词的场景分析了恢复时间。
结果显示,AI可以在0.02秒内找回一个缺失单词,29秒内找回两个单词,2.28小时内找回三个单词,最多可找回四个单词,最长恢复时间为178小时。此外,AI可以在8分钟内找到12个单词的正确种子短语序列,而从一个种子短语中恢复8个缺失单词所需的时间是宇宙当前年龄的174倍。
什么是 LSTM?
供您参考,种子短语就像您的加密货币的秘密密码。它是 12-24 个单词的列表,可让您访问您的数字钱包。
LSTM 网络是一种循环神经网络 (RNN),擅长记忆扩展序列中的信息。它们结合了记忆单元和门来控制信息流,从而能够有效地学习和预测文本和时间序列等序列数据中的模式。
LSTM 如何在种子短语恢复中发挥作用
LSTM 可以预测序列中下一个可能的单词,或者通过观察已知种子短语中的模式来补充缺失的单词。记忆单元存储关键信息,三个门(遗忘门、输入门和输出门)调节信息流。遗忘门丢弃不相关的信息,输入门确定新信息,输出门控制下一个单词预测。
图:LSTM
研究人员尝试使用这种人工智能来猜测种子短语中缺失的单词。他们对数百万种可能的组合进行了测试。他们发现,即使使用这种强大的人工智能,也需要很长时间,比宇宙的年龄还要长,才能猜出足够的单词来窃取某人的加密货币。
研究表明,如果你对种子短语保密,人工智能就不会对你的加密货币构成威胁。虽然人工智能最终可能会破解种子短语,但目前它是高度安全的。虽然 LSTM 提供了强大的序列学习功能,但可能的组合数量之多和种子短语结构固有的复杂性使得成功恢复的可能性极小。
黑客利用 Four-Faith 路由器漏洞打开反向 shell
12月30日消息,威胁行为者正在利用 Four-Faith 路由器中跟踪为 CVE-2024-12856 的后身份验证远程命令注入漏洞来向攻击者打开反向 shell。
该恶意活动由 VulnCheck 发现,并于 2024 年 12 月 20 日向 Four-Faith 通报了该恶意攻击行为。但目前尚不清楚该漏洞是否有可用的安全更新。
“我们于 2024 年 12 月 20 日将此问题通知了 Four-Faith 和我们的客户。有关补丁、受影响的型号和受影响的固件版本的问题应直接向 Four-Faith 提出。” VulnCheck 报告解释道。
缺陷细节和范围
CVE-2024-12856 是一个操作系统命令注入漏洞,影响 Four-Faith 路由器型号 F3x24 和 F3x36,通常部署在能源和公用事业、交通运输、电信和制造业领域。
VulnCheck 表示,黑客之所以能够访问这些设备,是因为许多设备都配置了默认凭证,很容易被暴力破解。
攻击首先向路由器的“/apply.cgi”端点传输特制的 HTTP POST 请求,以“adj_time_year”参数为目标。
这是用于调整系统时间的参数,但可以通过包含shell命令来操作。
VulnCheck 警告称,当前的攻击与针对CVE-2019-12168 的攻击类似,这是一个通过 apply.cgi 端点发现的类似漏洞,但通过“ping_ip”参数执行代码注入。
图:设置反向shell
VulnCheck 分享了一个示例有效负载,它可以为攻击者的计算机创建一个反向 shell,使他们能够完全远程访问路由器。
设备被攻陷后,攻击者可能会修改其配置文件以实现持久性、探索网络以寻找其他设备作为枢纽,并通常会升级攻击。
Censys 报告称,目前有 15,000 台面向互联网的 Four-Faith 路由器可能成为目标。
这些设备的用户应确保他们运行的是其型号的最新固件版本,并将默认凭据更改为独特且强大(长)的凭据。
VulnCheck 还分享了 Suricata 规则,以检测CVE-2024-12856的利用尝试并及时阻止它们。
最后,用户应联系他们的 Four-Faith 销售代表或客户支持代理,以寻求有关如何减轻 CVE-2024-12856 的建议。
GitHub 项目上有超过 310 万个虚假“星星”用于提高排名
12月31日消息,GitHub 存在使用虚假“星星”的问题,该问题被用来人为地提高诈骗和恶意软件分发存储库的知名度,从而帮助它们接触更多毫无戒心的用户。
星号类似于社交媒体网站上的“赞”按钮,可让 GitHub 用户收藏某个存储库。GitHub 使用星号作为全球排名系统的一部分,并向您显示它认为您可能喜欢的相关内容。
“您可以为存储库和主题加注星标,以在 GitHub 上发现类似的项目。当您为存储库或主题加注星标时,GitHub 可能会在您的个人仪表板上推荐相关内容,” GitHub解释道。
图:github加星服务列表
该问题之前已被记录在案,例如去年夏天,Check Point 发现了一个名为“ Stargazers Ghost Network ”的恶意软件传送服务,该服务使用由虚假项目组成的广泛虚假用户网络来推送窃取信息的恶意软件。
非恶意项目也会使用虚假星星来提升知名度、扩大影响力,并吸引合法用户的关注、真正的星星和采用。
Socket、卡内基梅隆大学和北卡罗来纳州立大学的研究人员进行的一项新研究让我们更好地了解了问题的规模,发现 GitHub 上有 450 万个星星疑似是假的。
研究人员开发并使用了一种名为“StarScout”的工具来分析来自“GHArchive”的 20TB 数据,以查找虚假的星星。
GHArchive 包含 2019 年 7 月至 2024 年 10 月期间超过 60 亿个 GitHub 事件的元数据,其中包括 3.1 亿个存储库上的 6050 万个用户操作和 6.1 亿个星标。
StarScout 可检测在 GitHub 上表现出最少活动的用户,例如关注单个存储库、具有机器人或临时帐户活动模式,以及协同行动的帐户组,例如在短时间内关注相同的存储库。
他们的方法基于 CopyCatch,一种旨在检测社交网络中的欺诈模式的算法。
通过应用低活跃度和锁步签名算法对数据进行处理,识别了各个存储库中的可疑星星,研究团队发现,22,915 个存储库中的 1,320,000 个账户给出了 4,530,000 个疑似虚假星星。
为了增强对这些星星真实性质的信心,研究人员仅考虑在一个月内星星活动出现显著异常峰值的存储库,并且假星星的百分比占星星总数的 10% 以上,从而过滤掉了潜在的误报。
这样一来,结果就减少到 278,000 个账户向 15,835 个存储库给出的 3,100,000 颗假星星。
其中,截至 2024 年 10 月,大约 91% 的存储库和 62% 的疑似虚假账户已被删除,这证明了 StarScout 工具的准确性。
研究还显示,2024 年虚假星星活动激增,2024 年 7 月拥有超过 50 个星星的存储库中约有 15.8% 参与了这些恶意活动。
研究人员于 2024 年 7 月报告了 StarScout 识别为不真实的存储库和帐户,GitHub 已将其全部删除。不过,他们仍在评估和报告 2024 年 11 月发现的其他集群。
图:虚假星号存储库的词云(已删除和现有)
虚假星星对 GitHub 及其用户的影响是多方面的,但总的来说,这个问题会削弱人们对该平台及其托管的各种软件项目的信任。
用户应该查看过去的星级,评估存储库的活动和质量,阅读文档,检查内容和贡献,并在可能的情况下检查代码。
欺骗性的 GitHub 存储库随处可见,该平台甚至被国家支持的行动所利用,因此从该平台下载软件时请务必小心。
黑客攻击美国财政部制裁办公室
1月2日消息,黑客入侵了美国财政部外国资产控制办公室(OFAC),该办公室负责管理和执行贸易和经济制裁计划。
OFAC 成立于 1950 年 12 月,在中国参加朝鲜战争后,负责冻结美国管辖下的所有中国和朝鲜资产。
美国财政部在本周发送给国会的一封信中披露,威胁行为者在入侵 BeyondTrust 远程支持 SaaS 平台后,对其网络进行了黑客攻击,并称这是一次“重大网络安全事件”。
据《华盛顿邮报》报道,美国官员随后透露,攻击者专门针对该机构的外国资产控制办公室(OFAC),可能是为了收集美国可能考虑制裁的中国个人和组织的情报。
图:美国商务部
虽然同样的官员表示,黑客还入侵了财政部金融研究办公室,且攻击的全面影响仍在评估中,但没有证据表明攻击者在关闭受损的 BeyondTrust 实例后仍然可以访问该机构的系统。
被称为“盐台风”的黑客还与最近对 9 家美国电信公司的攻击有关,其中包括 Verizon、AT&T 和 Lumen。
白宫负责网络和新兴技术的副国家安全顾问安妮·纽伯格 (Anne Neuberger) 告诉记者,同一网络间谍组织还被认为入侵了其他数十个国家的运营商。
在入侵他们的系统后,Salt Typhoon 获取了目标个人的短信、语音邮件和电话记录,以及美国执法部门正在调查的人员的窃听信息。
自此次大规模电信入侵事件发生以来,CISA 敦促政府官员改用 Signal 等端到端加密消息应用程序,以降低通信被拦截的风险。
据报道,美国政府还计划禁止中国电信在美国最后的活跃业务,而美国俄勒冈州参议员罗恩·怀登(Ron Wyden)宣布了一项新法案,以保护美国电信网络免受类似的黑客攻击。
超过 300 万台未加密的邮件服务器面临嗅探攻击
1月2日消息,目前有超过三百万个未采用 TLS 加密的 POP3 和 IMAP 邮件服务器暴露在互联网上,容易受到网络嗅探攻击。
IMAP 和 POP3 是两种访问邮件服务器上电子邮件的方法。建议使用 IMAP 从多个设备(例如手机和笔记本电脑)检查电子邮件,因为它会将您的邮件保存在服务器上并在设备之间同步。另一方面,POP3 从服务器下载电子邮件,因此只能从下载它们的设备访问它们。
TLS 安全通信协议有助于在通过客户端/服务器应用程序通过互联网交换和访问电子邮件时保护用户信息。但是,当未启用 TLS 加密时,其邮件内容和凭据将以明文形式发送,从而使其容易受到网络嗅探攻击。
ShadowServer 安全威胁监控平台 Shadowserver 的扫描显示,约有 330 万台主机正在运行未启用 TLS 加密的 POP3/IMAP 服务,并且在通过互联网传输时以纯文本形式暴露用户名和密码。
图:无TLS的IMAP和POP3邮件服务器 (Shadowserver)
ShadowServer 现在正在通知 邮件服务器运营商,他们的 POP3/IMAP 服务器未启用 TLS,从而使用户未加密的用户名和密码暴露于嗅探攻击。
Shadowserver表示:“这意味着用于访问邮件的密码可能会被网络嗅探器截获。此外,服务暴露可能会导致针对服务器的密码猜测攻击。”
“如果您收到我们发送的此报告,请启用对 IMAP 的 TLS 支持,并考虑是否需要启用该服务或将其移到 VPN 后面。”
最初的 TLS 1.0 规范及其后续版本 TLS 1.1 已经使用了近二十年,其中 TLS 1.0于 1999 年推出,TLS 1.1于 2006 年推出。经过广泛的讨论和 28 个协议草案的制定,互联网工程任务组 (IETF)于 2018 年 3 月批准了 TLS 协议的下一个主要版本TLS 1.3 。
2018 年 10 月,微软、谷歌、苹果和 Mozilla在一份联合声明中表示,他们将在 2020 年上半年淘汰不安全的 TLS 1.0 和 TLS 1.1 协议。微软从 2020 年 8 月开始在最新的 Windows 10 Insider 版本中默认启用 TLS 1.3 。
2021 年 1 月,美国国家安全局还提供了有关识别和用现代、安全的替代方案替换过时的 TLS 协议版本和配置的指导。
美国国家安全局表示:“过时的配置可以让对手使用各种技术访问敏感的操作流量,比如被动解密和通过中间人攻击修改流量。”
“攻击者可以利用过时的传输层安全性 (TLS) 协议配置来访问敏感数据,只需很少的技能。”
罗德岛州居民数据泄露
近日消息,罗德岛州长丹尼尔·麦基表示,入侵罗德岛州医疗和福利计划系统的网络犯罪分子已将文件发布到暗网上的一个网站,该州一直在为此做准备。
根据麦基办公室的新闻稿,该州制定了一项外联策略,鼓励可能受到影响的罗德岛居民保护他们的个人信息。州长表示,目前尚不清楚从 RIBridges 窃取的所有文件是否都已发布到暗网,暗网是互联网的一部分,托管在加密网络中,只能通过专门的匿名提供工具访问。
图:罗德岛州
McKee 办公室的一份声明称:“目前,IT 团队正在努力分析已发布的文件。这是一个复杂的过程,我们还不知道这些文件中包含的数据范围。”
麦基在下午的新闻发布会上表示,负责建设和维护 RIBridges 的公司德勤已经与网络犯罪分子取得了联系。
官员表示,该州正在与德勤合作,列出受影响人员名单。政府将向这些人员发送信函,指导他们如何获得免费信用监控。
依赖 RIBridges 的州计划包括医疗补助 (Medicaid)、补充营养援助计划 (SNAP)、贫困家庭临时援助、儿童保育援助计划、罗德岛工程、长期服务和支持、居家费用分摊计划和通过 HealthSource RI 购买的健康保险。
声明补充道:“虽然这些数据已经被泄露,但这并不意味着它们已被用于身份盗窃目的。”
麦基敦促罗德岛居民采取一系列措施保护他们的财务信息,包括:联系所有三家信用报告机构——Equifax、Experian 和 TransUnion——冻结他们的信用;联系其中一个报告机构订购免费信用报告;并要求在信用档案中设置欺诈警报。
居民还应使用多因素身份验证而不是仅使用一个密码来访问他们的信息,并警惕看似合法的虚假电子邮件、电话或短信。
麦基表示,执法官员也在调查此次数据泄露事件,但他表示,考虑到犯罪的性质,抓获责任人的可能性很小。
80 万辆电动汽车及车主的客户数据被曝光
12月28日消息,大众汽车软件公司 Cariad 披露了从约 80 万辆电动汽车收集的数据。这些信息可能与驾驶员姓名有关,并揭示车辆的精确位置。
亚马逊云存储中的大众汽车客户详细信息的数 TB 数据在数月内一直处于未受保护的状态,任何具有少量技术知识的人都可以跟踪驾驶员的动向或收集个人信息。
暴露的数据库包括大众、西雅特、奥迪和斯柯达汽车的详细信息,其中一些汽车的地理位置数据精确到几厘米。
精确地理位置数据
该公司代表告诉 BleepingComputer,由于 Cariad 在两个 IT 应用程序中的配置不正确,因此汽车数据得以访问。
11 月 26 日,混沌计算机俱乐部(CCC)向 Cariad 通报了这一问题,该俱乐部是欧洲最大的道德黑客组织,30 多年来一直致力于推动安全、隐私和信息的自由获取。
据德国出版物《明镜周刊》报道,CCC 从一名举报人那里发现了这个漏洞,并在向 Cariad 和大众公司通报责任并提供技术细节之前对不安全的访问进行了测试。
Cariad 代表向 BleepingComputer 发表声明称,泄露的数据仅影响连接到互联网并已注册在线服务的车辆。
在近 80 万辆被暴露的汽车中,研究人员发现了 46 万辆汽车的地理位置数据,其中一些汽车的精度达到 10 厘米。
斯皮格尔说,其中 30 多辆汽车是汉堡警方的巡逻车队的一部分,其他汽车则属于疑似情报部门雇员。
该公司表示,CCC 黑客只有绕过需要大量时间和技术专长的多种安全机制才能访问数据。
此外,由于出于隐私目的,单个车辆数据均被匿名化,因此黑客必须组合不同的数据集才能将详细信息与特定用户关联起来。
然而,《明镜》周刊召集了一支由 IT 专家和记者组成的团队,他们发现有人使用免费软件收集了两位德国政客娜贾·韦珀特 (Nadja Weippert) 和联邦议院议员马库斯·格吕贝尔 (Markus Grübel) 的汽车位置详细信息。
这些工具搜索了包含敏感信息文件的暴露的 Cariad 资产,结果找到了来自内部 Cariad 应用程序的内存转储副本。
在内存转储中,黑客发现了亚马逊云存储实例的访问密钥,Cariad 在该云存储实例中保存了从大众集团客户车辆收集的数据。
据《明镜》周刊报道,一些数据点指的是电动机关闭时汽车的经度和纬度位置。
受影响的车辆大部分(30 万辆)位于德国,但研究人员还发现了挪威(80,000 辆)、瑞典(68,000 辆)、英国(63,000 辆)、荷兰(61,000 辆)、法国(53,000 辆)、比利时(68,000 辆)和丹麦(35,000 辆)汽车的详细信息。
图:cariad公司
负责任的披露后快速修复
Cariad 告诉 BleepingComputer,其安全团队迅速做出反应,解决了该问题,并在 CCC 向其发送报告的同一天关闭了访问权限。
CCC 代表向 Spiegel 证实,Cariad 的“技术团队反应迅速、彻底且负责任”,并且公司在收到技术细节后的数小时内就做出了反应。
根据调查结果,Cariad 没有证据表明除 CCC 黑客之外的其他方可以访问已泄露的车辆数据,或这些信息被第三方滥用。
该公司还强调,CCC 只能访问从车辆收集的数据,而无法访问汽车本身。
Cariad 表示,大众汽车集团品牌的客户可以同意使用需要处理个人数据的产品和服务,并且可以随时停用该选项。
不过,该公司指出,从车辆收集的数据有助于其“为客户提供、开发和改进数字功能”并创造额外的好处。
举例来说,该公司解释说,客户的充电行为和习惯是匿名的,有助于优化未来的电池和充电软件。
同时,收集到的数据以保护客户身份及其与车辆的移动的方式存储在云端。
卡里亚德表示:“大众汽车集团旗下的品牌仅在法律法规和现有合同关系、合法利益或客户明确同意的框架内收集、存储、传输和使用个人数据。”
该汽车软件公司还表示,它采用了强大的数据保护措施,包括单独存储数据点、限制访问权限、假名化和匿名化,以及在规定目的内汇总和处理数据。
黑客发布第二批被盗思科数据
12月28日消息,臭名昭著的威胁行为者 IntelBroker 发布了第二批思科被盗数据。
IntelBroker Cisco 泄密事件分析:
臭名昭著的威胁行为者 IntelBroker 参与了一起影响 Cisco 的重大数据泄露事件。Cisco 证实了此次泄密事件,并表示 IntelBroker 在网络犯罪论坛上发布的数据被从其 DevHub 环境中窃取。泄露的数据包括 2.9 GB 的源代码、证书和内部文档。
思科服务器安全配置错误:
此次漏洞归因于配置错误,而非系统漏洞。这表明漏洞与服务器的设置方式有关,而不是系统安全性的缺陷。思科已迅速对此次事件做出回应,强调正确配置和安全实践的重要性。
图:思科
主要亮点:
被盗数据:2.9 GB 的源代码、证书和内部文件。
威胁行为者:IntelBroker,一个已知的威胁行为者。
原因:配置错误,而非系统漏洞。
回应:思科已发表声明,确认该违规行为,并强调需要正确的服务器配置和安全实践。
详细背景:
此次事件凸显了采取强有力的安全措施(包括定期审计和配置检查)以防止此类违规行为的重要性。它还凸显了 IntelBroker 等威胁行为者在利用漏洞方面所扮演的角色,这些漏洞通常是通过配置错误或其他人为错误造成的。
黑客利用第三方漏洞窃取 ZAGG 客户的信用卡
12月31日消息,ZAGG Inc. 通知客户,在黑客入侵该公司电子商务提供商 BigCommerce 提供的第三方应用程序后,他们的信用卡数据已被泄露给未经授权的个人。
ZAGG 是一家消费电子配件制造商,以其手机配件而闻名,例如屏幕保护膜、手机壳、键盘和移动电源。这家总部位于犹他州的公司年收入为 6 亿美元。
根据发送给受影响个人的信件,攻击者入侵了 BigCommerce 提供的 FreshClicks 应用程序并注入了窃取购物者信用卡详细信息的恶意代码。
“我们了解到,一名未知行为者向 FreshClick 应用程序中注入了恶意代码,该代码旨在抓取 2024 年 10 月 26 日至 2024 年 11 月 7 日期间在 ZAGG.com 某些客户交易的结帐过程中输入的信用卡数据。” - ZAGG
图:zagg
BigCommerce 是一家位于奥斯汀的软件即服务 (SaaS) 电子商务平台提供商,为各个行业和地区的从小型企业到大型企业的各种企业提供服务。
FreshClick 是一款第三方应用,可帮助为 BigCommerce 平台创建应用程序和响应式网站。它旨在增强电子商店的功能并改善客户体验。
虽然 FreshClick 并非由 BigCommerce 直接开发,但它是通过该平台的应用程序市场提供的,该市场是商家为他们的商店寻找和安装附加组件的精选空间。
BigCommerce 在给 BleepingComputer 的一份声明中强调,其系统并未遭到入侵或损害。BigCommerce 使用内部工具发现 FreshClicks 应用程序遭到黑客攻击,并将其从客户的商店中卸载。
“通过内部工具并与合作伙伴沟通,我们确认第三方 FreshClicks 应用已遭入侵。为了保护客户及其购物者的利益,我们立即卸载了他们商店中的应用,从而删除了所有遭入侵的 API 和恶意代码” - BigCommerce
此次数据泄露导致攻击者在 2024 年 10 月 26 日至 11 月 7 日期间窃取了 zagg.com 购物者的姓名、地址和支付卡数据。
针对这一事件,ZAGG 实施了补救措施,通知了联邦执法部门和监管机构,并安排受影响的个人通过 Experian 获得免费的 12 个月信用监控服务。
信函还建议收件人密切监控金融账户活动,设置欺诈警报,并考虑冻结信用。
ZAGG 尚未透露有多少客户受到此次安全漏洞的影响。
BigCommerce 商店目前列出了由 FreshClick 创建的 6 个插件,总共有 178 条评论。不过,受感染的插件可能已被暂时删除。
《网络数据安全管理条例》公布 自2025年1月1日起施行
《网络数据安全管理条例》已经2024年8月30日国务院第40次常务会议通过,现予公布,自2025年1月1日起施行。
第一章 总 则
第一条 为了规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律,制定本条例。
图:国务院令
第二条 在中华人民共和国境内开展网络数据处理活动及其安全监督管理,适用本条例。
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,符合《中华人民共和国个人信息保护法》第三条第二款规定情形的,也适用本条例。
在中华人民共和国境外开展网络数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
第三条 网络数据安全管理工作坚持中国共产党的领导,贯彻总体国家安全观,统筹促进网络数据开发利用与保障网络数据安全。
第四条 国家鼓励网络数据在各行业、各领域的创新应用,加强网络数据安全防护能力建设,支持网络数据相关技术、产品、服务创新,开展网络数据安全宣传教育和人才培养,促进网络数据开发利用和产业发展。
第五条 国家根据网络数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对网络数据实行分类分级保护。
第六条 国家积极参与网络数据安全相关国际规则和标准的制定,促进国际交流与合作。
第七条 国家支持相关行业组织按照章程,制定网络数据安全行为规范,加强行业自律,指导会员加强网络数据安全保护,提高网络数据安全保护水平,促进行业健康发展。
第二章 一般规定
第八条 任何个人、组织不得利用网络数据从事非法活动,不得从事窃取或者以其他非法方式获取网络数据、非法出售或者非法向他人提供网络数据等非法网络数据处理活动。
任何个人、组织不得提供专门用于从事前款非法活动的程序、工具;明知他人从事前款非法活动的,不得为其提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助。
第九条 网络数据处理者应当依照法律、行政法规的规定和国家标准的强制性要求,在网络安全等级保护的基础上,加强网络数据安全防护,建立健全网络数据安全管理制度,采取加密、备份、访问控制、安全认证等技术措施和其他必要措施,保护网络数据免遭篡改、破坏、泄露或者非法获取、非法利用,处置网络数据安全事件,防范针对和利用网络数据实施的违法犯罪活动,并对所处理网络数据的安全承担主体责任。
第十条 网络数据处理者提供的网络产品、服务应当符合相关国家标准的强制性要求;发现网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告;涉及危害国家安全、公共利益的,网络数据处理者还应当在24小时内向有关主管部门报告。
第十一条 网络数据处理者应当建立健全网络数据安全事件应急预案,发生网络数据安全事件时,应当立即启动预案,采取措施防止危害扩大,消除安全隐患,并按照规定向有关主管部门报告。
网络数据安全事件对个人、组织合法权益造成危害的,网络数据处理者应当及时将安全事件和风险情况、危害后果、已经采取的补救措施等,以电话、短信、即时通信工具、电子邮件或者公告等方式通知利害关系人;法律、行政法规规定可以不通知的,从其规定。网络数据处理者在处置网络数据安全事件过程中发现涉嫌违法犯罪线索的,应当按照规定向公安机关、国家安全机关报案,并配合开展侦查、调查和处置工作。
第十二条 网络数据处理者向其他网络数据处理者提供、委托处理个人信息和重要数据的,应当通过合同等与网络数据接收方约定处理目的、方式、范围以及安全保护义务等,并对网络数据接收方履行义务的情况进行监督。向其他网络数据处理者提供、委托处理个人信息和重要数据的处理情况记录,应当至少保存3年。
网络数据接收方应当履行网络数据安全保护义务,并按照约定的目的、方式、范围等处理个人信息和重要数据。
两个以上的网络数据处理者共同决定个人信息和重要数据的处理目的和处理方式的,应当约定各自的权利和义务。
第十三条 网络数据处理者开展网络数据处理活动,影响或者可能影响国家安全的,应当按照国家有关规定进行国家安全审查。
第十四条 网络数据处理者因合并、分立、解散、破产等原因需要转移网络数据的,网络数据接收方应当继续履行网络数据安全保护义务。
第十五条 国家机关委托他人建设、运行、维护电子政务系统,存储、加工政务数据,应当按照国家有关规定经过严格的批准程序,明确受托方的网络数据处理权限、保护责任等,监督受托方履行网络数据安全保护义务。
第十六条 网络数据处理者为国家机关、关键信息基础设施运营者提供服务,或者参与其他公共基础设施、公共服务系统建设、运行、维护的,应当依照法律、法规的规定和合同约定履行网络数据安全保护义务,提供安全、稳定、持续的服务。
前款规定的网络数据处理者未经委托方同意,不得访问、获取、留存、使用、泄露或者向他人提供网络数据,不得对网络数据进行关联分析。
第十七条 为国家机关提供服务的信息系统应当参照电子政务系统的管理要求加强网络数据安全管理,保障网络数据安全。
第十八条 网络数据处理者使用自动化工具访问、收集网络数据,应当评估对网络服务带来的影响,不得非法侵入他人网络,不得干扰网络服务正常运行。
第十九条 提供生成式人工智能服务的网络数据处理者应当加强对训练数据和训练数据处理活动的安全管理,采取有效措施防范和处置网络数据安全风险。
第二十条 面向社会提供产品、服务的网络数据处理者应当接受社会监督,建立便捷的网络数据安全投诉、举报渠道,公布投诉、举报方式等信息,及时受理并处理网络数据安全投诉、举报。
第三章 个人信息保护
第二十一条 网络数据处理者在处理个人信息前,通过制定个人信息处理规则的方式依法向个人告知的,个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、清晰易懂,包括但不限于下列内容:
(一)网络数据处理者的名称或者姓名和联系方式;
(二)处理个人信息的目的、方式、种类,处理敏感个人信息的必要性以及对个人权益的影响;
(三)个人信息保存期限和到期后的处理方式,保存期限难以确定的,应当明确保存期限的确定方法;
(四)个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的方法和途径等。
网络数据处理者按照前款规定向个人告知收集和向其他网络数据处理者提供个人信息的目的、方式、种类以及网络数据接收方信息的,应当以清单等形式予以列明。网络数据处理者处理不满十四周岁未成年人个人信息的,还应当制定专门的个人信息处理规则。
第二十二条 网络数据处理者基于个人同意处理个人信息的,应当遵守下列规定:
(一)收集个人信息为提供产品或者服务所必需,不得超范围收集个人信息,不得通过误导、欺诈、胁迫等方式取得个人同意;
(二)处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的,应当取得个人的单独同意;
(三)处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意;
(四)不得超出个人同意的个人信息处理目的、方式、种类、保存期限处理个人信息;
(五)不得在个人明确表示不同意处理其个人信息后,频繁征求同意;
(六)个人信息的处理目的、方式、种类发生变更的,应当重新取得个人同意。
法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
第二十三条 个人请求查阅、复制、更正、补充、删除、限制处理其个人信息,或者个人注销账号、撤回同意的,网络数据处理者应当及时受理,并提供便捷的支持个人行使权利的方法和途径,不得设置不合理条件限制个人的合理请求。
第二十四条 因使用自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息,以及个人注销账号的,网络数据处理者应当删除个人信息或者进行匿名化处理。法律、行政法规规定的保存期限未届满,或者删除、匿名化处理个人信息从技术上难以实现的,网络数据处理者应当停止除存储和采取必要的安全保护措施之外的处理。
第二十五条 对符合下列条件的个人信息转移请求,网络数据处理者应当为个人指定的其他网络数据处理者访问、获取有关个人信息提供途径:
(一)能够验证请求人的真实身份;
(二)请求转移的是本人同意提供的或者基于合同收集的个人信息;
(三)转移个人信息具备技术可行性;
(四)转移个人信息不损害他人合法权益。
请求转移个人信息次数等明显超出合理范围的,网络数据处理者可以根据转移个人信息的成本收取必要费用。
第二十六条 中华人民共和国境外网络数据处理者处理境内自然人个人信息,依照《中华人民共和国个人信息保护法》第五十三条规定在境内设立专门机构或者指定代表的,应当将有关机构的名称或者代表的姓名、联系方式等报送所在地设区的市级网信部门;网信部门应当及时通报同级有关主管部门。
第二十七条 网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。
第二十八条 网络数据处理者处理1000万人以上个人信息的,还应当遵守本条例第三十条、第三十二条对处理重要数据的网络数据处理者(以下简称重要数据的处理者)作出的规定。
第四章 重要数据安全
第二十九条 国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的网络数据进行重点保护。
网络数据处理者应当按照国家有关规定识别、申报重要数据。对确认为重要数据的,相关地区、部门应当及时向网络数据处理者告知或者公开发布。网络数据处理者应当履行网络数据安全保护责任。
国家鼓励网络数据处理者使用数据标签标识等技术和产品,提高重要数据安全管理水平。
第三十条 重要数据的处理者应当明确网络数据安全负责人和网络数据安全管理机构。网络数据安全管理机构应当履行下列网络数据安全保护责任:
(一)制定实施网络数据安全管理制度、操作规程和网络数据安全事件应急预案;
(二)定期组织开展网络数据安全风险监测、风险评估、应急演练、宣传教育培训等活动,及时处置网络数据安全风险和事件;
(三)受理并处理网络数据安全投诉、举报。
网络数据安全负责人应当具备网络数据安全专业知识和相关管理工作经历,由网络数据处理者管理层成员担任,有权直接向有关主管部门报告网络数据安全情况。
掌握有关主管部门规定的特定种类、规模的重要数据的网络数据处理者,应当对网络数据安全负责人和关键岗位的人员进行安全背景审查,加强相关人员培训。审查时,可以申请公安机关、国家安全机关协助。
第三十一条 重要数据的处理者提供、委托处理、共同处理重要数据前,应当进行风险评估,但是属于履行法定职责或者法定义务的除外。
风险评估应当重点评估下列内容:
(一)提供、委托处理、共同处理网络数据,以及网络数据接收方处理网络数据的目的、方式、范围等是否合法、正当、必要;
(二)提供、委托处理、共同处理的网络数据遭到篡改、破坏、泄露或者非法获取、非法利用的风险,以及对国家安全、公共利益或者个人、组织合法权益带来的风险;
(三)网络数据接收方的诚信、守法等情况;
(四)与网络数据接收方订立或者拟订立的相关合同中关于网络数据安全的要求能否有效约束网络数据接收方履行网络数据安全保护义务;
(五)采取或者拟采取的技术和管理措施等能否有效防范网络数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险;
(六)有关主管部门规定的其他评估内容。
第三十二条 重要数据的处理者因合并、分立、解散、破产等可能影响重要数据安全的,应当采取措施保障网络数据安全,并向省级以上有关主管部门报告重要数据处置方案、接收方的名称或者姓名和联系方式等;主管部门不明确的,应当向省级以上数据安全工作协调机制报告。
第三十三条 重要数据的处理者应当每年度对其网络数据处理活动开展风险评估,并向省级以上有关主管部门报送风险评估报告,有关主管部门应当及时通报同级网信部门、公安机关。
风险评估报告应当包括下列内容:
(一)网络数据处理者基本信息、网络数据安全管理机构信息、网络数据安全负责人姓名和联系方式等;
(二)处理重要数据的目的、种类、数量、方式、范围、存储期限、存储地点等,开展网络数据处理活动的情况,不包括网络数据内容本身;
(三)网络数据安全管理制度及实施情况,加密、备份、标签标识、访问控制、安全认证等技术措施和其他必要措施及其有效性;
(四)发现的网络数据安全风险,发生的网络数据安全事件及处置情况;
(五)提供、委托处理、共同处理重要数据的风险评估情况;
(六)网络数据出境情况;
(七)有关主管部门规定的其他报告内容。
处理重要数据的大型网络平台服务提供者报送的风险评估报告,除包括前款规定的内容外,还应当充分说明关键业务和供应链网络数据安全等情况。
重要数据的处理者存在可能危害国家安全的重要数据处理活动的,省级以上有关主管部门应当责令其采取整改或者停止处理重要数据等措施。重要数据的处理者应当按照有关要求立即采取措施。
第五章 网络数据跨境安全管理
第三十四条 国家网信部门统筹协调有关部门建立国家数据出境安全管理专项工作机制,研究制定国家网络数据出境安全管理相关政策,协调处理网络数据出境安全重大事项。
第三十五条 符合下列条件之一的,网络数据处理者可以向境外提供个人信息:
(一)通过国家网信部门组织的数据出境安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)符合国家网信部门制定的关于个人信息出境标准合同的规定;
(四)为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息;
(五)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息;
(六)为履行法定职责或者法定义务,确需向境外提供个人信息;
(七)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息;
(八)法律、行政法规或者国家网信部门规定的其他条件。
第三十六条 中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
第三十七条 网络数据处理者在中华人民共和国境内运营中收集和产生的重要数据确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。网络数据处理者按照国家有关规定识别、申报重要数据,但未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估。
第三十八条 通过数据出境安全评估后,网络数据处理者向境外提供个人信息和重要数据的,不得超出评估时明确的数据出境目的、方式、范围和种类、规模等。
第三十九条 国家采取措施,防范、处置网络数据跨境安全风险和威胁。任何个人、组织不得提供专门用于破坏、避开技术措施的程序、工具等;明知他人从事破坏、避开技术措施等活动的,不得为其提供技术支持或者帮助。
第六章 网络平台服务提供者义务
第四十条 网络平台服务提供者应当通过平台规则或者合同等明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务,督促第三方产品和服务提供者加强网络数据安全管理。
预装应用程序的智能终端等设备生产者,适用前款规定。
第三方产品和服务提供者违反法律、行政法规的规定或者平台规则、合同约定开展网络数据处理活动,对用户造成损害的,网络平台服务提供者、第三方产品和服务提供者、预装应用程序的智能终端等设备生产者应当依法承担相应责任。
国家鼓励保险公司开发网络数据损害赔偿责任险种,鼓励网络平台服务提供者、预装应用程序的智能终端等设备生产者投保。
第四十一条 提供应用程序分发服务的网络平台服务提供者,应当建立应用程序核验规则并开展网络数据安全相关核验。发现待分发或者已分发的应用程序不符合法律、行政法规的规定或者国家标准的强制性要求的,应当采取警示、不予分发、暂停分发或者终止分发等措施。
第四十二条 网络平台服务提供者通过自动化决策方式向个人进行信息推送的,应当设置易于理解、便于访问和操作的个性化推荐关闭选项,为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能。
第四十三条 国家推进网络身份认证公共服务建设,按照政府引导、用户自愿原则进行推广应用。
鼓励网络平台服务提供者支持用户使用国家网络身份认证公共服务登记、核验真实身份信息。
第四十四条 大型网络平台服务提供者应当每年度发布个人信息保护社会责任报告,报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等。
第四十五条 大型网络平台服务提供者跨境提供网络数据,应当遵守国家数据跨境安全管理要求,健全相关技术和管理措施,防范网络数据跨境安全风险。
第四十六条 大型网络平台服务提供者不得利用网络数据、算法以及平台规则等从事下列活动:
(一)通过误导、欺诈、胁迫等方式处理用户在平台上产生的网络数据;
(二)无正当理由限制用户访问、使用其在平台上产生的网络数据;
(三)对用户实施不合理的差别待遇,损害用户合法权益;
(四)法律、行政法规禁止的其他活动。
第七章 监督管理
第四十七条 国家网信部门负责统筹协调网络数据安全和相关监督管理工作。
公安机关、国家安全机关依照有关法律、行政法规和本条例的规定,在各自职责范围内承担网络数据安全监督管理职责,依法防范和打击危害网络数据安全的违法犯罪活动。
国家数据管理部门在具体承担数据管理工作中履行相应的网络数据安全职责。
各地区、各部门对本地区、本部门工作中收集和产生的网络数据及网络数据安全负责。
第四十八条 各有关主管部门承担本行业、本领域网络数据安全监督管理职责,应当明确本行业、本领域网络数据安全保护工作机构,统筹制定并组织实施本行业、本领域网络数据安全事件应急预案,定期组织开展本行业、本领域网络数据安全风险评估,对网络数据处理者履行网络数据安全保护义务情况进行监督检查,指导督促网络数据处理者及时对存在的风险隐患进行整改。
第四十九条 国家网信部门统筹协调有关主管部门及时汇总、研判、共享、发布网络数据安全风险相关信息,加强网络数据安全信息共享、网络数据安全风险和威胁监测预警以及网络数据安全事件应急处置工作。
第五十条 有关主管部门可以采取下列措施对网络数据安全进行监督检查:
(一)要求网络数据处理者及其相关人员就监督检查事项作出说明;
(二)查阅、复制与网络数据安全有关的文件、记录;
(三)检查网络数据安全措施运行情况;
(四)检查与网络数据处理活动有关的设备、物品;
(五)法律、行政法规规定的其他必要措施。
网络数据处理者应当对有关主管部门依法开展的网络数据安全监督检查予以配合。
第五十一条 有关主管部门开展网络数据安全监督检查,应当客观公正,不得向被检查单位收取费用。
有关主管部门在网络数据安全监督检查中不得访问、收集与网络数据安全无关的业务信息,获取的信息只能用于维护网络数据安全的需要,不得用于其他用途。
有关主管部门发现网络数据处理者的网络数据处理活动存在较大安全风险的,可以按照规定的权限和程序要求网络数据处理者暂停相关服务、修改平台规则、完善技术措施等,消除网络数据安全隐患。
第五十二条 有关主管部门在开展网络数据安全监督检查时,应当加强协同配合、信息沟通,合理确定检查频次和检查方式,避免不必要的检查和交叉重复检查。
个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等应当加强衔接,避免重复评估、审计。重要数据风险评估和网络安全等级测评的内容重合的,相关结果可以互相采信。
第五十三条 有关主管部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等网络数据应当依法予以保密,不得泄露或者非法向他人提供。
第五十四条 境外的组织、个人从事危害中华人民共和国国家安全、公共利益,或者侵害中华人民共和国公民的个人信息权益的网络数据处理活动的,国家网信部门会同有关主管部门可以依法采取相应的必要措施。
第八章 法律责任
第五十五条 违反本条例第十二条、第十六条至第二十条、第二十二条、第四十条第一款和第二款、第四十一条、第四十二条规定的,由网信、电信、公安等主管部门依据各自职责责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处100万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员可以处1万元以上10万元以下罚款。
第五十六条 违反本条例第十三条规定的,由网信、电信、公安、国家安全等主管部门依据各自职责责令改正,给予警告,可以并处10万元以上100万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处1万元以上10万元以下罚款;拒不改正或者情节严重的,处100万元以上1000万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款。
第五十七条 违反本条例第二十九条第二款、第三十条第二款和第三款、第三十一条、第三十二条规定的,由网信、电信、公安等主管部门依据各自职责责令改正,给予警告,可以并处5万元以上50万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处1万元以上10万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处50万元以上200万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处5万元以上20万元以下罚款。
第五十八条 违反本条例其他有关规定的,由有关主管部门依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律的有关规定追究法律责任。
第五十九条 网络数据处理者存在主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果或者初次违法且危害后果轻微并及时改正等情形的,依照《中华人民共和国行政处罚法》的规定从轻、减轻或者不予行政处罚。
第六十条 国家机关不履行本条例规定的网络数据安全保护义务的,由其上级机关或者有关主管部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。
第六十一条 违反本条例规定,给他人造成损害的,依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第九章 附 则
第六十二条 本条例下列用语的含义:
(一)网络数据,是指通过网络处理和产生的各种电子数据。
(二)网络数据处理活动,是指网络数据的收集、存储、使用、加工、传输、提供、公开、删除等活动。
(三)网络数据处理者,是指在网络数据处理活动中自主决定处理目的和处理方式的个人、组织。
(四)重要数据,是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
(五)委托处理,是指网络数据处理者委托个人、组织按照约定的目的和方式开展的网络数据处理活动。
(六)共同处理,是指两个以上的网络数据处理者共同决定网络数据的处理目的和处理方式的网络数据处理活动。
(七)单独同意,是指个人针对其个人信息进行特定处理而专门作出具体、明确的同意。
(八)大型网络平台,是指注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。
第六十三条 开展核心数据的网络数据处理活动,按照国家有关规定执行。
自然人因个人或者家庭事务处理个人信息的,不适用本条例。
开展涉及国家秘密、工作秘密的网络数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。
第六十四条 本条例自2025年1月1日起施行。
美政府拟修订HIPAA法规,医疗行业将新增超2400亿元网络安全支出
12月30日消息,美国卫生与公众服务部民权办公室发布《加强受保护电子健康信息(ePHI)网络安全的HIPAA安全规则》拟议规则,以修改HIPAA法案的网络安全要求;威胁态势恶化倒逼网安投入增加,据估算,新规在未来5年内将产生超2400亿元的网络安全合规支出。
一位白宫高级官员在27日表示,美国医疗机构可能需要加强网络安全措施,以更有效地防止敏感信息因网络攻击而泄露,例如此前针对Ascension和联合健康集团等机构的攻击事件。
美国负责网络和新兴技术的副国家安全顾问安妮·纽伯格(Anne Neuberger)对记者表示,鉴于大量美国人因医疗信息大规模泄露而受到影响,提出这些要求是十分必要的。新提案包括对数据进行加密,以确保即使数据被泄露也无法被访问,以及要求医疗机构进行合规性检查,以确保其符合网络安全规则。
完整的拟议规则(NPRM)已于27日发布在《联邦公报》上,美国卫生与公众服务部(HHS)在官网上发布了简洁版概要。
HHS下属的民权办公室(OCR)提出的这项拟议规则,将更新《健康保险可携性与责任法案》(HIPAA)下的相关要求。据纽伯格介绍,第一年的实施预计将耗资90亿美元,而第2年至第5年预计每年将耗资60亿美元。5年总计合规成本将达340亿美元(约合人民币2481亿元)。
OCR发言人于27日晚间表示:“我们提出了一系列重要建议,如果这些建议最终被采纳,将显著改善网络安全水平,并最终保护每个人的健康信息。”
拟议规则下一步将进入为期60天的公众意见征询阶段,之后才会做出最终决定。
修订背景
由于过去5年中医疗数据泄露事件频发,特别是2024年发生了美国历史上最严重的两起医疗事件(Change Healthcare和Ascension医院网络的勒索软件攻击),白宫决定在最近几个月采取行动应对这一问题。
纽伯格指出,尽管2023年医疗数据泄露的平均成本为1010万美元,但像Ascension和Change Healthcare这样的组织正面临潜在的灾难性损失。据估计,Change Healthcare的母公司美国联合健康集团在今年2月的事件中损失超过8.5亿美元。
图:美国卫生与公众服务部
她说:“自2019年以来,由黑客攻击和勒索软件导致的大型数据泄露事件分别增长了89%和102%。在我的工作中,最令人担忧和深感不安的一些事件之一,就是医院被黑客攻击,医疗数据遭受严重泄露。”
纽伯格表示,2023年超过1.67亿人的医疗信息由于网络安全事件受到了影响。
“我们看到医院被迫转为手动操作,我们也看到大量美国人的敏感医疗数据、心理健康数据以及医疗程序数据被泄露到暗网上,为敲诈个人提供了机会。”
合规要求
该规则将明确并详细指导覆盖实体及其业务伙伴应采取的措施,以确保电子受保护健康信息(ePHI)的安全。提议的规则还要求将相关政策和程序以书面形式记录,并定期审查、测试和更新。OCR表示,这些规则将进一步使安全规定与现代网络安全最佳实践保持一致。
这些建议涵盖以下方面:
医疗服务提供环境的变化。
数据泄露和网络攻击的显著增长。
OCR在对覆盖实体及其业务伙伴安全规则合规性调查中发现的常见问题。
其他网络安全指南、最佳实践、方法论、程序和流程。
影响安全规则实施的法院判决。
例如,提议的规则要求对风险分析进行更明确的规定。新的具体要求包括书面评估,其中需包含以下内容:
技术资产清单和网络架构图的审查。
对涉及ePHI的保密性、完整性和可用性的所有合理预期威胁的识别。
对受监管实体相关电子信息系统中潜在漏洞及其诱发条件的识别。
基于每个已识别威胁和漏洞的利用可能性,对每个风险的级别进行评估。
此外,该规则还要求至少每6个月进行一次漏洞扫描,每12个月进行一次渗透测试,以及实施网络分段措施等。
低空经济网络和数据安全风险分析研究
低空经济作为一种新兴的经济模式,在农业、物流、交通、紧急救援、文化旅游等多个领域显示出其广泛的应用潜力,其发展依赖于飞行控制系统、通信技术、感知与导航技术、信息技术以及数据处理技术等核心技术。然而,随着低空经济的进一步发展,网络安全与数据安全风险亦日益显著,涉及安全监管不完善、数据高度敏感、设备广泛联网以及对数字技术高度依赖等问题。为有效应对这些风险,应通过完善顶层设计、构建安全防护体系、促进多方合作、创新安全服务、建设技术体系以及培养安全专业人才等策略,促进低空经济的健康、有序和可持续发展。
0 引言
近年来,低空经济作为一种新兴的经济形态,在我国迅速发展并得到广泛应用。自2021年《国家综合立体交通网规划纲要》将低空经济纳入其中以来,该领域逐渐受到关注。2023年中央经济工作会议以及2024年政府工作报告均强调了低空经济的重要性,多个省份和城市也将其纳入政府工作报告,并推出相关政策以促进其发展。据估算,2023年我国低空经济的规模已达到5059.5亿元,预计到2026年将超过1万亿元。目前,一些具有代表性的企业群体正在逐步壮大,推动低空经济的持续发展。然而,随着低空经济的深入发展,其面临的网络安全和数据安全风险也日益突出。本文旨在介绍低空经济的主要应用场景及关键技术,并深入分析其所面临的网络和数据安全风险,以期为提升低空经济的安全性和可持续发展提供参考。
1 低空经济主要应用场景及关键技术
近年来,低空经济作为一种新兴的经济形态,并逐步发展成为新兴产业的重要组成部分[4]。该经济形态得益于低空空域的逐步开放以及相关技术的迅猛进步,以无人机、电动垂直起降飞行器(electric Vertical Take-off and Landing,eVTOL)、直升机等航空器为核心驱动力,通过低空飞行活动促进相关领域的融合与发展,在农业、物流、交通、应急救援、文化旅游等多个领域展现出广泛的应用前景,对于构建现代产业体系具有至关重要的作用。因此,低空经济不仅展现出传统通用航空业态的特点,而且对信息化、数字化技术以及协同管理表现出高度的依赖性,从而形成了一种多领域协调发展的综合性经济形态。
1.1 低空经济主要应用场景
低空经济在众多领域展示了其巨大的应用潜力和市场价值,涵盖了农业植保、物流配送、航拍摄像、遥感监测、公共安全以及空中出租车等当前主要的应用场景。根据应用场景的类型,低空经济的应用可分为三大类。
一是生产作业场景的应用。主要为工农林牧渔业提供各种飞行作业活动,这些活动多集中在远离城市的工业园区、农林耕地区域等。主要作业任务包括喷洒、运输、检测等,旨在保障相关领域的生产作业活动。
二是公共服务场景的应用。主要面向相关单位或社会提供服务型飞行活动,包括医疗救护、应急救援、警用飞行等。这些活动通常集中于自然灾害发生地、事件突发区域或者重大活动地区。在应急救援、医疗救护等场景中,低空飞行也涉及到中短途载人飞行或物资运输等。
三是航空交通场景的应用。主要作为地面交通、高空航线的补充,是立体化交通的重要组成部分。同时,它与各类服务性消费相结合,包括短途飞行、低空旅游、私人飞行、航空运动、娱乐飞行等。例如,2024年,上海浦东—江苏昆山的低空载客直升机航线、合肥—芜湖—黄山的低空旅游观光航线等,与观光旅游服务相结合,打造“低空+旅游”场景。国内一些头部企业已实现无人机快递配送、生鲜冷链等全场景常态化运营[1]。
1.2 低空经济应用的关键技术
为确保低空飞行场景的有效实施及飞行动态的稳定性,低空飞行所依赖的关键技术可归纳为五大核心类别。
一是飞行控制系统。飞行控制系统承担着低空飞行器飞行姿态控制等关键职能,它是飞行器能够稳定飞行和进行安全导航的重要保障。
二是通信技术。涉及无线通信和卫星通信两个方面,它们负责确保低空飞行器的即时通信和数据传输功能,卫星通信的广泛覆盖能力进一步保证了飞行器在偏远区域的操作稳定性。
三是感知与导航技术。感知与导航技术专注于低空飞行器的各项状态监测,如能源状况、飞行高度与速度、气压与气象条件以及航线的精确导航,这些技术确保了包括摄像头、毫米波雷达、激光雷达等传感器在内的环境感知能力,以及高精度的定位导航服务,从而保障了飞行的安全性。
四是信息技术与数据处理技术。涵盖了云计算、大数据和大模型技术,这些技术基于数据分析处理,提供实时的飞行监控、预测和维护服务,并借助大模型实现低空飞行器的自主飞行及自动着陆,从而提高了飞行的安全性和效率。
五是基础设施相关技术。包括起降场的规划与建设,以及充电站的技术支持,这些是确保低空飞行器能够安全起降和维持连续运营的关键。
2 低空经济面临的网络和数据安全风险因素分析
随着低空产业的广泛应用及深入探索,其产业链结构逐渐完整,产业链上游主要为原材料与核心零部件生产,如电池、发动机、传感器等;中游为低空产品制造及系统服务,包括无人机、eVTOL、地面控制系统等;下游为各类应用场景,如农业、物流、环境监测、城市交通等,覆盖了装备制造、新能源、地理测绘、技术研发、服务消费等多个关键产业。在数智化浪潮的推动下,行业内对设备联网、数据共享及信息传输等需求显著提升,呈现出跨行业、跨领域深度协同的态势。与此同时,随着联网设备的增加和数字技术依赖程度增强,低空产业所面临的网络和数据安全风险亦呈增长态势,相较于其他行业,其网络及数据安全防线一旦被突破,可能引发的安全事故后果更为严重,甚至可能对国家安全构成威胁。
2.1 低空领域安全监管尚不完善,缺乏统一标准规范
随着低空经济的迅猛发展,现行的法律法规和监管政策尚未完全成熟,导致了网络安全防护缺乏统一的标准和规范。目前,网络和数据安全主要遵循的法律包括《中华人民共和国网络安全法》《中华人民共和国数据安全法》以及《中华人民共和国个人信息保护法》等具有普遍适用性的法律[5]。然而,针对低空产业的数据安全和隐私保护规定,目前仅有《无人驾驶航空器飞行管理暂行条例》和《民用无人驾驶航空器生产管理若干规定》对其进行了原则性的阐述,尚未形成一套专门针对低空行业的系统性规定和网络数据安全的统一规范。因此,在构建低空经济的网络和数据安全保障体系方面,缺乏统一的标准和有效的参考依据。
2.2 低空产业数据高度敏感,数据安全管理面临挑战
低空产业是一个包含生产制造、低空飞行、保障与服务等多个环节的综合性领域,其数据类型繁多且复杂。特别是在公共服务场景中,部分空域属于管制空域,相关航线及定位数据受到监管部门的严格监管。因此,如何确保此类数据的机密性、完整性和可用性,成为当前低空产业数据安全领域面临的关键挑战,也是亟需解决的重要问题。
在生产制造阶段[6],企业的敏感技术信息和经营信息,飞行器的产品序列号及多重飞行参数,都对企业经营安全和飞行器的生产安全至关重要。进入低空飞行阶段后,飞行器需实时接收和发送多种数据以确保飞行的可靠性,包括飞行器中存储的个人身份信息、飞行轨迹及其他敏感信息。这些数据的完整性、真实性和不可否认性对于飞行器的安全飞行以及飞行通道的顺畅具有至关重要的作用。在保障和服务环节,设备采购、维护、空中飞行服务以及监管追责等方面所涉及的数据均需得到妥善管理。
2.3 飞行设备联网广泛,数据泄露风险增加
随着低空经济领域的迅猛发展,大量联网设备纷纷涌入,设备种类繁多、技术复杂多样。这些设备包括无人机、直升机、固定翼飞机等飞行器以及各类传感器和通信设备等,根据不同的应用场景需求,构建了多元化的网络环境。这些环境涵盖了低空智联网、低空通信网络、空联网、航路网、服务网络及通感一体网络等。为了适应这些多样化的网络环境,飞行设备和网络基础设施采取了灵活的联网方式和多种接入方式,这不仅极大地促进了行业的发展,同时也显著增加了设备和数据的暴露风险,给低空产业的数据安全防护带来了前所未有的挑战。
2.4 高度依赖数字技术,网络数据安全风险不容忽视
低空产业的蓬勃发展与数字技术的进步密切相关,而数字技术的不断演进既促进了低空经济的繁荣,也带来了数据流通、存储和应用等环节的安全挑战。首先,数据的采集、传输和应用过程涉及众多参与者和复杂系统,数据在不同系统和组织之间的流动增加了数据被非法获取、篡改或伪造的风险。这些安全问题可能导致企业蒙受经济损失,还可能侵犯用户隐私,甚至影响社会稳定。其次,黑客可能利用系统漏洞发起攻击,窃取敏感信息或破坏系统的正常功能。随着低空经济的迅猛发展,大量产业数据和用户敏感信息汇聚于网络空间,导致单次网络攻击的潜在收益显著增加,吸引了更高水平、更复杂的网络攻击。这不仅加剧了系统潜在的安全风险,也增大了破坏性,对正常的飞行任务乃至业务运营造成重大影响,进而对整个产业链的稳定运作构成威胁。
3 未来低空领域网络和数据安全管理建议
在深入分析低空经济的应用领域及其未来发展趋势的基础上,可以清晰地看到,大模型、大数据等先进技术将与低空飞行器、航线监测等关键领域实现深度融合。同时,应用场景亦将不断拓展。因此,在低空经济的初始发展阶段,必须将网络安全与数据保护工作和产业发展同步推进,确保为低空产业的发展提供坚实的安全保障,进而构建一个现代化的低空经济产业体系,具体建议如下。
3.1 完善顶层架构,构建低空产业安全防护体系
为有效应对低空经济领域所面临的网络安全及数据安全风险挑战,首先,需构建并完善针对低空产业的网络安全与数据安全政策体系。该体系应明确低空产业在数据收集、存储、使用及共享等环节的标准与规则,为飞行器制造商、服务运营商、通信服务提供商等市场参与主体提供清晰的操作指导。例如,可根据各地区低空经济产业发展的重点,建立低空行业数据分级制度[6],确保敏感数据在传输与存储过程中获得高强度的加密与保护,从而保障行业数据的合规使用与保护。其次,应明确相关部门的职责,加强低空产业网络安全与数据安全的监管力度。定期对相关企业进行网络与数据风险安全检查与评估,指导并督促企业完成潜在风险的整改工作,推动建立网络与数据安全的应急响应机制,以确保低空行业的安全与稳定发展。
3.2 联合多方参与,共同构建低空领域安全规范
低空产业融合了众多行业,其数据与网络特性各异。首先,建议以政府机构为核心,协同行业协会、低空领域的领军企业以及低空经济领域的专家,积极参与到低空产业网络与数据安全的标准化和规范化建设中。此举旨在为低空行业提供网络与数据安全的技术支持和标准框架,以推动网络与数据安全产品及服务创新的有序发展。同时,应加强多方在这一领域的协同合作,充分考虑各方在网络与数据安全方面的需求与特点,实现资源共享、优势互补,共同构建低空产业安全的生态系统。其次,建议联合网络与数据安全服务机构,打造低空领域的可信基础设施。通过探索多方安全计算、联邦计算、区块链等数据流动安全技术,建立安全可信的数据流动基础设施,有效保障数据的隐私性和完整性,降低数据泄露和篡改的风险,确保低空产业数据传输与共享的安全性。此外,鼓励5G网络和光纤通信技术在低空产业的应用,以满足大规模数据传输和实时通信的需求。同时,完善防火墙和入侵检测系统在网络通信设施中的部署,有效防范各种网络攻击和威胁。
图:低空经济
3.3 创新安全服务,推动开展低空企业数据治理
首先,需构建一套与低空产业发展相适应的、完善的数据分类分级管理体系。该体系应依据低空产业数据的敏感性、复杂性以及应用环境,制定相应的数据分类分级标准,并据此形成核心数据目录、重要数据目录以及数据“负面清单”。其次,基于低空产业数据分类分级目录,应激励相关企业建立数据治理体系,包括但不限于制定数据安全管理制度、明确数据安全责任、强化数据访问控制、执行数据加密存储和传输等措施;将数据信息与业务内容相结合,依据企业战略规划及业务发展状况对数据进行全方位梳理,全面掌握数据资源;定期进行数据安全风险评估和系统漏洞扫描等网络数据安全管理工作,及时发现并诊断数据安全风险,排查潜在的漏洞风险。最后,应鼓励数据安全机构创新数据安全产品的供给,针对低空产业的特性及应用场景,开发定制化、精细化的数据安全产品和服务,特别是在核心数据识别、数据流向溯源等关键技术领域进行重点突破,持续完善数据安全产品和服务体系。
3.4 建设技术体系,构建多维度技术防护策略
首先,应通过应用密码技术来增强低空经济的安全性。密码技术作为数据安全的关键支撑,其在生产制造、飞行操作、保障服务等环节的恰当运用,能够确保数据的机密性、完整性、真实性和不可否认性。对于低空经济中敏感数据的保护,建议采用SM2/SM4等国家密码标准算法或其他高强度加密算法来实现数据的机密性。对于需要保护数据完整性和真实性的场合,则应利用SM2/SM3/SM4等国家密码标准算法或其他高强度加密算法,结合数字签名技术、区块链技术等手段来实现。其次,需明确涉及数据的各方权责,并制定相应的访问控制策略。具体而言,应对飞行器产业链的制造商、设备操作人员、地面管理系统运营人员、系统安全管理部门的工作人员以及安全服务机构的人员等进行权责梳理。依据最小权限原则,结合多因素认证和安全审计等措施,实施严格的访问控制策略,以防止数据被滥用或篡改,并将审计数据作为追溯责任的依据。应将安全防护措施前移,以提前发现潜在漏洞。对于涉及的应用系统,应在正式投入使用前,运用安全漏洞扫描、渗透测试、源代码审计等技术手段,全面检测系统底层的安全漏洞,从而防止恶意攻击者利用这些漏洞非法获取或篡改系统数据。最后,应在生产制造、飞行、保障和服务环节的关键数据节点部署流量监控设备,实时监测网络中的异常流量。基于建立的基线流量模型,通过态势感知、沙箱技术、多维度关联分析、人工智能等技术手段,及时发现各环节中的数据安全威胁[6]。
3.5 培养安全人才,支撑低空经济安全稳定发展
随着无人机、eVTOL等低空飞行器的广泛应用,以及低空物流、低空旅游、应急救援等新兴业态的蓬勃发展,网络和数据安全人才的培养与规范化发展已成为产业可持续发展的关键。依据低空经济的产业发展特点和技术需求,可以从多个维度出发,构建完善的网络和数据安全人才评价体系与培养机制,以促进低空经济的健康、有序发展。首先,可以联合行业协会、标准机构等多方机构,共同参与制定安全人才评价标准,内容涵盖飞行安全、数据安全、网络安全等多个方面,构建职业技能认证体系,完善相关领域的职业资格制度,推动安全人才规范化发展。其次,鼓励低空产业内构建多维度安全人才评估标准,结合产业发展需求及技能岗位需求,增设飞行安全评估、数据安全评估、数据安全技术、网络运维等领域人才评估资质证书,突出评价标准的专业性、前瞻性和实用性。最后,面向一线业务人员、技术人员及网络和数据安全运维人员建立完善的员工安全意识培训及技术能力培训体系,通过专业化的培训课程,提升一线业务人员的网络和数据安全意识,同时增强技术人员、安全运维人员对业务的理解,从而不断提高相关工作人员的安全意识与技能,以适应行业发展的新形势与新要求。
4 结束语
综上所述,低空经济作为一种新兴且充满活力的经济形态,在众多领域展现了巨大的应用潜力和市场价值。低空经济已经能够实现包括生产作业、公共服务、航空交通等多种应用场景的高效运行。然而,随着低空经济的深入发展,其面临的网络和数据安全风险也日益显著。因此,必须高度重视并解决其面临的网络和数据安全风险问题。展望未来,随着技术的不断进步和应用的持续拓展,低空经济有望在更多领域展现其独特优势,为经济社会发展注入新的活力和动力。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...