安全热点周报：超1.6亿条记录！越南全国公民信用数据疑似泄露

安全资讯导视
• 《中华人民共和国网络安全法（修正草案）》公开征求意见
• 国家能源局《能源行业数据安全管理办法（试行）》公开征求意见
• 超1.6亿条记录！越南全国公民信用数据疑似泄露

PART 01

深度观察

1.王京涛：加快推进国家网络安全体系和能力现代化以高水平安全保障高质量发展

中央网络安全和信息化委员会办公室副主任、国家互联网信息办公室副主任王京涛署名文章。该文章给出了加快推进国家网络安全体系和能力现代化建设的六大方向，包括进一步形成高效协同的网络安全工作体系、进一步筑牢纵深布防的联合防御体系、进一步建立安全可信的供应链安全管理体系、进一步构建包容审慎的新技术安全监管体系、进一步完善便利安全的数据出境安全管理体系、进一步夯实融合发展的基础支撑体系。

原文链接：

https://www.secrss.com/articles/82950

PART 02

安全事件

1.巴基斯坦AI公司116GB敏感数据暴露：涉用户聊天内容、身份令牌等

9月10日Cybernews消息，美国网络安全机构Cybernews的研究人员发现，巴基斯坦AI公司Vyro AI旗下一个Elasticsearch实例未受保护在公网暴露。这台公开的服务器实时泄露了该公司旗下三款应用的116GB用户日志，包括ImagineArt（在Google Play上的下载量超过1000万）、Chatly（下载量超过10万）以及Chatbotx（一款网页聊天机器人，月访问量约5万）。此次泄露涉及生产与开发环境，存储了大约2至7天的日志。研究人员指出，该数据库在2月中旬首次被网络测绘搜索引擎索引，这说明数据库早在数月前就已经对攻击者可见。Vyro AI声称旗下应用总下载量超过1.5亿，每周可生成350万张图片。

原文链接：

https://cybernews.com/security/ai-chatbots-vyro-data-leak/

2.超1.6亿条记录！越南全国公民信用数据疑似泄露

9月8日DataBreaches消息，黑客组织ShinyHunters声称，他们成功入侵并窃取了越南信用研究所超过1.6亿条记录。该机构负责管理越南国家信用信息中心（CIC）。CIC隶属于越南国家银行，是其直属事业单位，承担着国家信用登记管理、评分评级和社会服务等职能。与ShinyHunters有关联的人员在Telegram上炫耀称，越南在“24小时内被攻陷”。与此同时，ShinyHunters还在某黑客论坛上挂出了相关数据的出售信息，声称内容包括一般个人身份信息（PII）、信用支付记录、风险分析、信用卡信息（需自行解密全磁盘加密算法）、军人证件、政府证件、税务识别号、收入报表、债务信息等，并提供了样本。越南计算机应急响应中心后续发布公告确认CIC存在数据泄露，但数据规模仍在统计核实中。

原文链接：

https://databreaches.net/2025/09/08/vietnams-national-credit-registration-and-reporting-agency-hacked-most-of-the-population-affected/

3.大量公民通信敏感数据在外网售卖，巴基斯坦政府启动全面调查

9月8日Dwan消息，巴基斯坦内政部长穆赫辛·纳克维日前指示，就近期涉高级官员等至少数千人通信敏感数据在外网被任意售卖事件，要求巴基斯坦内政部指示国家网络犯罪调查局开展全面调查。此前媒体报道称，包括内政部长纳克维在内，大量SIM卡持有者的数据被放在网络上公开出售。手机定位信息售价500卢比，手机数据记录售价2000卢比，而出国旅行信息则高达5000卢比。此次泄露的数据于9月7日被发现，内容包括SIM卡所有者详情、国民身份证（CNIC）照片、通话记录、身份证件，甚至国际旅行记录。令人震惊的是，这些信息正在网络上公开交易，在部分情况下甚至可通过简单的谷歌搜索轻松获取。

原文链接：

https://www.dawn.com/news/1940395/interior-minister-forms-body-to-probe-sims-data-leak

PART 03

政策法规

1.国家能源局《能源行业数据安全管理办法（试行）》公开征求意见

9月13日，国家能源局编制了《能源行业数据安全管理办法（试行）（征求意见稿）》，现向社会公开征求意见。该文件共6章36条，包括总则、能源行业数据安全基本职责、能源行业数据保护要求、能源行业数据安全监测预警和应急处置、监督检查和法律责任、附则。该文件提出，利用互联网等信息网络开展能源行业数据处理活动的，应落实网络安全等级保护、关键信息基础设施安全保护、密码保护和保密等制度要求。存储处理能源行业重要数据的信息网络应落实三级及以上网络安全等级保护要求；存储处理能源行业核心数据的信息网络，如涉及关键信息基础设施，应在网络安全等级保护制度的基础上，落实关键信息基础设施安全保护要求；不涉及关键信息基础设施的，应落实四级网络安全等级保护要求。

原文链接：

https://www.nea.gov.cn/20250912/1ed9acfc3f80490c8203e25af2a41495/cb65026db313413088b94b6e6e15eb4a.wps

2.国家网信办《促进和规范电子单证应用规定》公开征求意见

9月13日，国家互联网信息办公室会同有关部门起草了《促进和规范电子单证应用规定（征求意见稿）》，现向社会公开征求意见。该文件共5章25条，包括总则、电子单证应用的促进、电子单证系统的可靠性安全性、监督检查和法律责任、附则。该文件提出，电子单证系统运营者应当使用符合国家有关安全标准的技术和设备，落实网络安全等级保护制度，确保电子单证系统和电子单证的网络安全。应当建立健全网络安全技术措施，持续监测系统的运行状况，及时处置异常情形。应当制定网络安全事件应急预案，在发生网络安全事件时，立即启动应急预案，采取相应补救措施，并按照有关规定向有关主管部门报告。

原文链接：

https://www.cac.gov.cn/2025-09/13/c_1758792083807526.htm

3.国家网信办《大型网络平台设立个人信息保护监督委员会规定》公开征求意见

9月12日，国家互联网信息办公室起草了《大型网络平台设立个人信息保护监督委员会规定（征求意见稿）》，现向社会公开征求意见。该文件提出，个人信息保护监督委员会是指由大型网络平台服务提供者成立的，主要由外部成员组成的，对大型网络平台个人信息保护情况进行监督的独立机构，人信息保护监督委员会外部成员是指具备个人信息保护专业知识和技能，不在受聘大型网络平台担任除监督委员会成员外的其他职务的人员。个人信息保护监督委员会（以下称为监督委员会）成员人数应与大型网络平台业务规模、用户数量等相匹配，一般不得少于7人，外部成员占比不低于三分之二。

原文链接：

https://www.cac.gov.cn/2025-09/12/c_1759395487456327.htm

4.《中华人民共和国网络安全法（修正草案）》公开征求意见

9月12日，十四届全国人大常委会第十七次会议对《中华人民共和国网络安全法（修正草案）》进行了审议，现公布《中华人民共和国网络安全法（修正草案）》，向社会公开征求意见。此次修改重点强化网络安全法律责任，加大对违法行为处罚力度，加强与数据安全法、个人信息保护法、行政处罚法等相关法律有机衔接，科学设置网络运行安全、网络信息安全等不同类型违法行为的法律责任。

原文链接：

http://www.npc.gov.cn/flcaw/flca/ff80818198a7ecd401993be8b36b6327/attachment.pdf

5.十五部门联合印发《关于加快推进质量认证数字化发展的指导意见》

9月12日，市场监管总局、中央网信办等十五部门联合发布《关于加快推进质量认证数字化发展的指导意见》。该文件共6章17项重点任务，其中一项为强化网络和数据安全保护。具体内容包括：推进网络关键设备和网络安全专用产品认证、网络安全服务认证，筑牢网络安全防护屏障。推行信息安全管理体系等认证，提升企业信用和市场竞争力。积极开展数据安全管理和个人信息保护认证，探索实施个人信息保护合规审计、数据安全风险评估等服务认证，深化数据安全治理。创新评价技术，推进商用密码认证体系建设，探索零信任、区块链和隐私计算等可信数字化认证。

原文链接：

https://www.samr.gov.cn/zw/zfxxgk/fdzdgknr/rzjgs/art/2025/art_7b662aedd16348fe9cabdb8056c6596c.html

6.美国众议院通过2026财年《国防授权法案》，部署网络安全与人工智能计划

9月10日，美国众议院以231比196通过2026财年《国防授权法案》，其中新增关于网络安全和人工智能的一系列政策条款。具体包括：要求国防部对其所使用的人工智能驱动技术创建“软件物料清单”；授权五角大楼设立12个生成式人工智能工作线，以探索人工智能如何增强国防部的网络安全与情报收集分析工作；要求国家安全局就其网络安全协调中心（Cybersecurity Coordination Center）的计划提供一份简报；法案要求所有联合作战司令部每年向议员提交报告，说明美国网络司令部向其提供支援的“充分性”；在众议院辩论期间通过了一项修正案，允许国家安全局与私营部门共享威胁情报，以加强电信行业的数字安全；另一项修正案要求国防部研究国民警卫队在联邦和州级网络事件响应中的作用，包括国民警卫队如何提高自身的响应能力。

原文链接：

https://armedservices.house.gov/uploadedfiles/h.r._3838_fy26_ndaa_as_reported_to_the_house.pdf

7.国家发改委、国家能源局印发《关于推进“人工智能+”能源高质量发展的实施意见》

9月8日，国家发展改革委、国家能源局印发《关于推进“人工智能+”能源高质量发展的实施意见》。该文件包括总体要求、加快能源应用场景赋能、加大关键技术供给、保障措施四部分内容。该文件针对能源领域数据安全、模型安全性和可解释性需求，要求推进能源数据分类分级技术、隐私计算技术以及智能数据动态加密和跨域可信溯源等技术研发，推动模型算法、应用系统等安全能力建设，加大可解释性等技术的研究等。

原文链接：

https://www.nea.gov.cn/20250908/8a90bf7f17b141038fe7be0988a2c603/c.html

往期精彩推荐

本期周报内容由安全内参&虎符智库&奇安信CERT联合出品！