安全威胁情报周报（2025/03/29-2025/04/04）

Mozilla紧急修复Firefox高危漏洞 与Chrome零日漏洞原理相似

因长期不满足网安合规要求，这家国防科技公司被罚超3300万元

macOS 新威胁：恶意软件绕过端点安全防护，部署Shellcode

客户遭勒索攻击，软件供应商被罚超2800万元

黑客利用 DNS MX 记录动态创建超 100 品牌虚假登录页面

国内某快递巨头遭数据泄露 19.8GB客户信息疑流入暗网 

疑深圳某知名控股企业遭HellCat勒索攻击，70GB核心数据或被窃

国内某银行客户数据疑似泄露，客户敏感信息流入黑市

彩虹体育3万用户支付数据疑似泄露

《中华人民共和国网络安全法》修正草案再次征求意见

网信办等四部委关于开展2025年个人信息保护系列专项行动的公告

如何规避人工智能带来的政务服务风险

中银研究院：DeepSeek赋能银行业数字化转型专题研究

2025年4月1日监测发现，一名用户名为“lizzyczy”的用户在某知名黑客论坛发布帖子，声称掌握了中国某知名快递公司的数据库，并附上了部分SQL数据截图。

从样本截图来看，数据库包含了姓名、电话、省市区、详细地址等信息，疑似为快递用户的订单数据。数据以SQL格式展示，表明攻击者可能直接获取到了数据库文件，而非简单的爬取或数据整理。该用户表示，这份数据库的总大小为19.8GB，目前存储在其个人计算机上，并希望以论坛积分的形式进行交换。在后续的对话中，该用户自称英语不是母语，暗示其可能是非英语国家的网络黑客，由于语言障碍，其甚至提出通过Telegram免费分享数据。

图：黑客在论坛的发帖

大数据时代，用户个人隐私信息保护，事关快递行业健康持续发展，无论此数据集是否真实，这都提醒国内快递行业完善快递运单数据管理制度，确保用户信息绝对安全。

2025年3月31日监测发现，深圳某知名控股企业登上了勒索软件组织 HellCat 的受害者名单。勒索者放出了样本数据，并称有大量数据被窃取，数据包括电子邮件、内部通信、源代码、项目规划文档和机密文件，数据量高达 70GB。

勒索者称：“该企业必须使用其系统中提供的唯一受害者 ID 与我们联系，以协商条款。任何延迟都将导致数据完全公开发布，这可能会对公司及其合作伙伴产生严重影响。”

图：Hellcat组织暗网截图

Hellcat是一个新的黑客组织，自 2024 年 11 月以来，突然发起了一系列引人注目的攻击，迅速成为勒索软件即服务 (RaaS) 业务中的恶意行为者。Hellcat 优先攻击高价值目标，包括政府、企业和关键基础设施。其活动范围遍布全球，重点是窃取敏感数据，以获得最大优势。其目标行业也多种多样。

此次事件无疑给企业带来了巨大的挑战和风险，其客户信息、商业机密等敏感数据都可能面临泄露，后续影响有待进一步观察和评估，相关各方应密切关注事件发展，提前做好防范措施，避免遭受更大的损失。

在日常巡检中发现，3月30日，某论坛曝出一份名为"China Banks Customers"的数据库，声称包含2300万条国内银行客户信息。

从泄露样本来看，数据涵盖姓名、手机号、银行名称、银行账号、身份证号、省市地址、性别、年龄及出生日期等核心敏感字段，所有记录均指向同一家大型商业银行，信息详细程度令人担忧。

图：黑客在论坛的发贴

此类数据一旦被不法分子利用，可能引发精准电信诈骗、账户盗刷等安全事件。特别是中老年群体往往对新型诈骗手段防范意识较弱，更容易成为犯罪分子的目标。

建议相关银行客户密切关注账户异常情况，及时修改密码并开通账户变动提醒。金融机构也应加强内部数据管控，定期审计敏感信息的访问日志，防范内部泄露风险。目前该数据的真实性尚未得到官方证实，但此类事件再次提醒我们，在数字经济时代，个人金融信息的保护任重道远。

在日常巡检中发现，4月1日，一名ID为Kaught的泄露者在暗网论坛发布了一则名为“China Caihong Sport & Payment Leak - 30K Phones w/ E-Commerce & Pay Links”的数据泄露帖，声称其获取了彩虹体育平台泄露的30,000 条记录，有2.94 MB 的原始数据。

泄露者提供的样本显示，数据字段包含电话号码、支付链接等信息。

图：黑客在论坛的发贴

彩虹体育是山河体育公司推出的一款关于体育赛事APP，为广大体育爱好者提供足球、篮球方面的体育赛事的数据服务平台。此次泄露的用户数据，可能被用于进一步网络攻击或诈骗活动。事件凸显了企业数据保护的重要性，提醒企业端加强网络安全措施，定期审查系统漏洞，防止类似事件发生。对于公众用户来说，警惕陌生来电、及时修改支付密码， 防患于未然。

为了做好《中华人民共和国网络安全法》与相关法律的衔接协调，完善法律责任制度，保护个人、组织在网络空间的合法权益，维护国家安全和公共利益，根据《十四届全国人大常委会立法规划》，我办会同相关部门进一步研究起草了《中华人民共和国网络安全法（修正草案再次征求意见稿）》，现向社会公开征求意见。

党中央高度重视维护国家网络安全。习近平总书记多次作出重要指示，强调“没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障”。党的二十大和二十届三中全会对加强重点领域、新兴领域、涉外领域立法和增强立法系统性、整体性、协同性、时效性等作出了重要部署。为贯彻党中央决策部署，落实《十四届全国人大常委会立法规划》，适应网络安全新形势，我办会同相关部门起草了《中华人民共和国网络安全法（修正草案再次征求意见稿）》（以下简称《网络安全法（修正草案再次征求意见稿）》）。有关情况说明如下:

一、修改背景

《网络安全法》自2017年施行以来，为维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，提供了有力的法律保障。随着网络和信息技术日益融入社会生产生活，网络安全风险进一步凸显。2021年以来，《中华人民共和国数据安全法》（以下简称《数据安全法》）、《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）等网络安全相关立法相继制定实施，《中华人民共和国行政处罚法》（以下简称《行政处罚法》）修订出台，《网络安全法》需要适应形势加强与新出台法律的衔接协调，对相关法律责任制度作出科学优化，进一步保障网络安全。

2023年9月，《十四届全国人大常委会立法规划》发布，明确将“网络安全法（修改）”列入了“第一类项目：条件比较成熟、任期内拟提请审议的法律草案”。2025年3月，《全国人民代表大会常务委员会工作报告》将修改网络安全法列入2025年的立法工作任务。修改工作启动以来，我办会同相关部门密切沟通，共同推进修改《网络安全法》工作，先后开展了调查研究、修正草案起草、征求中央和国家机关有关单位、面向社会公开征求意见等工作。在认真听取有关方面意见的基础上，形成了《网络安全法（修正草案再次征求意见稿）》。

二、修改思路

在《网络安全法（修正草案再次征求意见稿）》起草过程中，着重把握以下几点：一是坚持以习近平新时代中国特色社会主义思想为指导，深入贯彻习近平法治思想和习近平总书记关于网络强国的重要思想。二是坚持问题导向，重点强化网络安全法律责任，加大对违法行为处罚力度。三是坚持体系化衔接，加强与《数据安全法》《个人信息保护法》《行政处罚法》等相关法律有机衔接，在行政处罚的种类、范围、幅度等方面作出合理安排。四是坚持分类施策，科学设置网络运行安全、网络信息安全等不同类型违法行为的法律责任。

三、修改的主要内容

（一）关于网络运行安全的法律责任。结合实践中危害网络安全后果的情况，增加造成大量数据泄露、关键信息基础设施丧失局部功能等严重危害网络安全后果的和造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的情形，并参照《数据安全法》调整了现行《网络安全法》第五十九条罚款幅度，增加相应处罚规定；新增销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的法律责任；明确关键信息基础设施运营者使用未经安全审查或者安全审查未通过的网络产品或者服务行为的处置处罚措施。

（二）关于网络信息安全的法律责任。为防范新形势下网络信息内容安全风险对国家安全、政治安全带来的风险挑战，结合近年来网络信息内容执法实践，借鉴国外相关立法法律责任制度的新调整，完善现行《网络安全法》第六十八条、第六十九条针对的违法情形，调整未向有关主管部门报告和不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息停止传输、采取消除等处置措施情形的法律责任，明确对造成特别严重影响、特别严重后果的违法情形的处置处罚措施。

（三）关于个人信息和重要数据安全的法律责任。鉴于《数据安全法》《个人信息保护法》等有关法律、行政法规对现行《网络安全法》第六十四条第一款、第六十六条涉及的个人信息和重要数据违法行为的处罚作出了新的专门规定，明确转致适用的规定。

（四）关于从轻、减轻或者不予行政处罚的情形。统筹考虑《网络安全法》和《行政处罚法》的适用关系，专门新增一条衔接规定，明确网络运营者存在主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果或者初次违法且危害后果轻微并及时改正等情形的，依法从轻、减轻或者不予处罚；明确有关主管部门依据职责制定相应的行政处罚裁量基准。

图:官网截图

《中华人民共和国个人信息保护法》施行以来，中央网信办会同有关部门持续组织开展个人信息保护相关工作，建立健全工作机制，研究制定标准规范，依法依规查处各类违法违规行为，加强正面典型示范引领，督促指导个人信息处理者不断提升合规水平，取得了积极治理成效。

2025年，中央网信办将会同工业和信息化部、公安部、市场监管总局等部门，进一步深入治理常用服务产品和常见生活场景中存在的违法违规收集使用个人信息典型问题，切实维护人民群众在网络空间合法权益，着力提升人民群众满意度、获得感。相关部门将围绕以下重点问题开展系列专项行动：

1.App（含小程序、公众号、快应用）违法违规收集使用个人信息。聚焦App（含小程序、公众号、快应用）未提供个人信息收集使用规则，未按照个人信息收集使用规则处理个人信息，无相关功能或未使用相关功能时调用位置、媒体文件、通讯录、设备等非必要权限或收集非必要个人信息，未提供个人信息相关投诉渠道，未提供有效的更正删除个人信息及注销账号功能，提供个性化信息推送等功能但未提供便捷的拒绝方式，以及开屏等场景频繁“意外”跳转广告页面等问题开展治理。

2.SDK违法违规收集使用个人信息。聚焦SDK未提供个人信息收集使用规则，未按照个人信息收集使用规则或与App明确的规则处理个人信息，未使用SDK相关功能时调用位置、媒体文件、通讯录、设备等非必要权限或收集非必要个人信息，未提供个人信息相关投诉渠道，提供个性化信息推送等功能但未向App提供停止收集个人信息或关闭该功能的选项等问题开展治理。

3.智能终端违法违规收集使用个人信息。聚焦智能手表、智能手环等穿戴产品，智能音箱、智能门锁、智能摄像头等家居产品，智能平板、智能学习机等学习终端，未提供个人信息收集使用规则，高频次、高精度、长时段超范围收集非必要个人信息，以及相关功能开启后需在后台持续收集个人信息或者需在云端计算和分析的，但未向用户进行显著提示等问题开展治理。

4.公共场所违法违规收集使用人脸识别信息。聚焦交通运输、住宿旅游、教育培训、文化体育、物流商贸、休闲娱乐等公共场所使用人脸识别技术处理人脸信息，但未履行单独或书面告知同意等法律义务，未设置显著提示标识，未采取加密等严格保护措施，以及未依法开展个人信息保护影响评估等问题开展治理。

5.线下消费场景违法违规收集使用个人信息。聚焦自动售卖、扫码点餐、出行乘车、入场停车、商超支付、扫码充电、房屋租赁等线下消费场景中，强制关注公众号、强制注册会员，强制收集非必要的手机号、生日、性别等信息，物业前台收集个人信息用于用户授权以外的目的，未经同意向第三方提供用户个人信息，以及上述场景中个人信息处理者未尽有效保护义务造成泄露等问题开展治理。

6.个人信息相关违法犯罪案件。聚焦网络借贷、求职招聘、出行购票、教育、医疗、旅游住宿等领域个人信息违法犯罪活动，通过暗网电报等境外渠道以及境内渠道违规售卖公民个人信息，以及个人信息泄露或被攻击窃取等违法犯罪案件开展治理。

中央网信办、工业和信息化部、公安部、市场监管总局等有关部门将有序推进系列专项行动中的各项任务，集中治理各类典型违法违规问题，对拒不整改的依法从严处理；同时，有关部门将根据实际工作需要及时调整重点治理问题，确保专项行动取得实效，切实保护公民个人信息安全。

图:官网截图

大模型在政务服务领域的应用已成为政府提升服务水平的重要抓手。尤其是随着“DeepSeek”的横空出世，一批“数智员工”也应用到政务场景。

作为一款开源大模型，DeepSeek凭借其在成本和性能上的优势，在政务服务、公共管理和城市治理等多个领域展现出巨大的应用潜力。从智能应答到自动化审批，人工智能通过快速处理海量数据和实时优化服务流程，显著提升了政务办理效率。但是，我们应该看到人工智能技术下的政务应用在提升效能的同时，其所带来的政务员工失业风险、政务算法黑箱、政务数据安全泄露风险等也亟待防范。如何在拥抱技术红利的同时规避潜在政务服务风险，是数字政府建设面临的关键课题。

破解技术风险、构建良性的数字政府治理生态要求突破传统治理范式的单向度改革思维，需要形成“技术向善、制度护航、生态共建”的治理格局。

公务员数字能力是关键。“人是生产力中最活跃的因素”。公务员是政务服务中的关键要素。推动数字政府建设、发挥好人工智能政务服务价值功能关键就在于人，即有数字能力的公务员。因此，推动公务员数字能力发展，加速培育既能驾驭技术逻辑又深谙治理规律的人员队伍，成为破解公务员结构性职业危机、建设有人文关怀数字政府的关键路径。地方政府可通过开展数字技能培训，将基层人员转型为系统运维专员和服务流程设计师，既保留人力资源价值，又提升政务服务体系的整体效能。同时，注重加强构建人机协作服务模式，让人工智能承担标准化工作，使政务人员更专注于政策解读、复杂案例处置等需人性化判断的领域。此外，重塑公务员数字能力，还要重点培养其监督算法的能力，探索建立责任追溯机制等。

算法规范化是制度框架。算法治理规范是数字政府的运行轨道，为数字政府建设提供刚性框架。建立算法备案追溯制度和伦理审查强制标准，遏制技术权力异化，在提升行政效率的同时守护程序正义底线。建立政务数据沙箱机制，实行数据的分级分类动态授权。探索人工智能行政行为备案追溯制度，与第三方算法审计机制相配套，理清技术开发商、运营方、政府部门的责任归属问题。在治理架构上形成政府主导的跨部门审查委员会、企业设立的算法伦理官、公众参与的全国投诉平台三方协同机制，将伦理审查嵌入算法研发应用全流程。同时完善数字权利渠道，开通个人算法异议通道及公益诉讼机制，避免算法不公现象的产生。

数据安全防护体系建设是基石。政务数据安全是智能治理的生命线，是系统稳定的技术基石。减少信息泄露风险，加强数据安全防护体系建设，要从事前、事中、事后进行多维度管理。首先要加强事前防范，制定各行业数据分类分级指南，明确不同敏感级别数据的存储使用规则，搭建实时追踪数据流动的智能监测平台。其次要从事中控制，在政务服务平台开设数据安全专栏，通过典型案例动画演示常见泄露途径。联合学校、社区等人群密集地区开设数字安全课程，培养公民基础防护意识。最后要进行事后修复，对违规企业实施罚款、行业限制、信用降级等分级惩罚标准，增加企业违法违规成本。同时，设立专项基金重点扶持数据安全技术创新，构建起“政府定规则、全民共防护、企业担主责”的数字安全防护网络。

全民参与实现数据监管是保障。开展全民监督是持续优化数字政务系统的制衡保障。一是建立双向透明的信息交互通道，确保公众可实时获取政务数据流转路径；二是构建低门槛的反馈响应体系，通过问题自动分类和系统自动响应，降低公众参与成本；三是形成政策改进的闭环回路，使公众建议能直接触发系统更新并使改进成效可视化。全民参与实质上将传统的外部监督转化为系统内生的纠错力量，通过持续输入用户真实体验数据，从单项服务转向价值共创，推动政务系统优化升级。

数字政府建设需在技术创新与风险防范间寻求动态平衡，唯有在技术创新与制度规范之间找到平衡点，才能让智能政务服务既跑出“加速度”，又始终行驶在“惠民生、守底线”的正确轨道上。技术治理与社会治理的有机融合，既保持创新活力，又守住风险底线，形成更具韧性的人工智能政务服务生态。

图:人工智能

中国银行研究院就DeepSeek赋能银行业数字化转型进行了专题研究。DeepSeek-R1性能优、成本低，已在银行精准营销等多领域提升效率。但也面临监管、模型幻觉及基础设施压力等挑战，研究院提出对应建议。

3月27日，中国银行研究院发布2025年第二季度经济金融展望报告。其中就DeepSeek赋能银行业数字化转型进行了专题研究。

长期以来，以银行为代表的金融部门以其大规模、高质量的数据资源和多维度、多元化的应用场景，被视为最适合大模型应用的行业之一。2025年1月，中国人工智能公司深度求索（DeepSeek）发布推理模型DeepSeek-R1，不仅在性能上逼近甚至超越了OpenAI的o1系列产品，并且推理成本仅需o1的3%左右。这一里程碑式进展被硅谷科技媒体、德意志银行等誉为中国人工智能领域的“斯普特尼克时刻”(SputnikMoment)。当前，以DeepSeek为代表的人工智能大模型持续赋能银行等金融相关领域，有望为金融行业数字化转型提供关键助力。

DeepSeek通过应用于精准营销、理财顾问、贷前风控、信用评估等核心领域，带动银行各类业务效率明显提升。例如，在精准营销环节，DeepSeek构建的对话式AI引擎，采用意图识别（NLU）与对话状态跟踪（DST）双引擎架构，多轮对话管理系统支持上下文感知的个性化服务，结合情感计算模块实现客户体验的量化评估。基于DeepSeek的智能客服系统，能够实现全天候不间断服务，快速响应客户的咨询和问题。通过自然语言处理技术，智能客服可以理解客户的意图，根据客户的历史记录和偏好，为客户提供个性化的服务推荐，提升客户满意度。此外，DeepSeek基于客户消费习惯和金融资源应用状态、所处行业特征、产品特性等生成的各类营销方案，也将为客户经理提供多维度的参考。

在投资决策环节，DeepSeek可以通过对客户的资产状况、风险偏好、投资目标等信息的分析，为客户制定个性化的投资组合方案。同时，DeepSeek也可以实时监测全球金融市场动态，包括股票、债券、外汇等各类金融市场的价格波动、交易量变化等，通过对历史数据和实时数据的分析，捕捉到市场趋势的细微变化，提前发出风险预警。在智能风控环节，DeepSeek基于实时风险决策引擎和整合流式计算框架与复杂事件处理（CEP）技术，能够实现毫秒级风险决策响应。从目前已完成或计划完成DeepSeek本地化部署的商业银行来看，其多元化业务为DeepSeek赋能提供了丰富场景。

报告指出，DeepSeek在赋能银行业数字化转型中面临一系列挑战。如DeepSeek引起的颠覆式创新对行业监管体系跟进完善提出较高要求；大模型幻觉问题无法根治，影响相关业务生产力潜能释放；商业银行部署过程中对算力、数据、IT基础设施要求不断提升，转型压力依然较大等。

对于上述问题，中银研究院提出三点建议：首先，推动完善银行业AI大模型监管体系。商业银行应积极参与监管政策的研讨与制定，与监管机构保持密切沟通，及时了解监管动态。同时，建立内部合规审查机制，对DeepSeek模型的开发、训练和应用进行全流程合规审查。

其次，加强系统性优化，缓解大模型幻觉问题。商业银行应加强数据治理，整合内部数据资源，建立统一的数据平台。通过数据清洗、标注、建模等工作，提高数据质量和可用性。加强外部数据的获取和整合，通过推进可信数据空间建设，打通公共数据空间、城市数据空间与金融数据空间互联互通，激发公共数据在金融可信数据空间中的带动效应。

最后，多维度制定优化策略，为AI持续赋能筑牢基础。如，在机构内部构建“AI+业务”的思维体系，鼓励职工以数据沟通业务和技术，加快形成人机协同工作新模式；加大对云计算、大数据等基础设施的投入，提高算力水平等。

图: DeepSeek