要聞速覽
1、中央網(wǎng)信辦等四部門(mén)發(fā)布《互聯(lián)網(wǎng)政務(wù)應(yīng)用安全管理規(guī)定》
2、國(guó)家標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全技術(shù) 生成式人工智能服務(wù)安全基本要求》公開(kāi)征求意見(jiàn)
3、YouTube成為助長(zhǎng)網(wǎng)絡(luò)犯罪的新“溫床”
4、超火爆的Fluent Bit 曝關(guān)鍵漏洞,影響幾乎所有云服務(wù)商
5、內(nèi)部VPN遭漏洞攻擊未向監(jiān)管報(bào)告,這家金融巨頭被罰超7000萬(wàn)元
6、我國(guó)多地3萬(wàn)余條新生兒信息被倒賣(mài),背后非法產(chǎn)業(yè)鏈曝光
一周政策要聞
中央網(wǎng)信辦等四部門(mén)發(fā)布《互聯(lián)網(wǎng)政務(wù)應(yīng)用安全管理規(guī)定》
由中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室、中央機(jī)構(gòu)編制委員會(huì)辦公室、工業(yè)和信息化部、公安部制定的《互聯(lián)網(wǎng)政務(wù)應(yīng)用安全管理規(guī)定》(以下簡(jiǎn)稱(chēng)《規(guī)定》)近日印發(fā),規(guī)定自2024年7月1日起施行。
規(guī)定要求,建設(shè)運(yùn)行互聯(lián)網(wǎng)政務(wù)應(yīng)用應(yīng)當(dāng)依照有關(guān)法律、行政法規(guī)的規(guī)定以及國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求,采取技術(shù)措施和其他必要措施,防范內(nèi)容篡改、攻擊致癱、數(shù)據(jù)竊取等風(fēng)險(xiǎn),加強(qiáng)監(jiān)測(cè)預(yù)警和應(yīng)急處置,保障互聯(lián)網(wǎng)政務(wù)應(yīng)用安全穩(wěn)定運(yùn)行和數(shù)據(jù)安全。
信息來(lái)源:中華人民共和國(guó)中央人民政府https://www.gov.cn/lianbo/bumen/202405/content_6952956.htm
國(guó)家標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全技術(shù) 生成式人工智能服務(wù)安全基本要求》公開(kāi)征求意見(jiàn)
近日,全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布關(guān)于國(guó)家標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全技術(shù) 生成式人工智能服務(wù)安全基本要求》征求意見(jiàn)稿的通知。如有意見(jiàn)或建議請(qǐng)于2024年7月22日24:00前反饋秘書(shū)處。
本標(biāo)準(zhǔn)支撐《生成式人工智能服務(wù)管理暫行辦法》,給出了生成式人工智能服務(wù)在安全方面的基本要求,包括訓(xùn)練數(shù)據(jù)安全、模型安全、安全措施等,并給出了安全評(píng)估參考要點(diǎn)。
信息來(lái)源:全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20240523143149&norm_id=20240430101922&recode_id=55010
業(yè)內(nèi)新聞速覽
YouTube成為助長(zhǎng)網(wǎng)絡(luò)犯罪的新“溫床”
根據(jù)安全公司 Avast 最新報(bào)告發(fā)現(xiàn),YouTube已經(jīng)成為幫助惡意行為者部署網(wǎng)絡(luò)釣魚(yú)、惡意軟件和虛假投資計(jì)劃等各種犯罪活動(dòng)的新“溫床”。該公司特別提到了兩種惡意軟件 Lumma 和 RedLine,它們正在 YouTube上大規(guī)?;顒?dòng)。
Avast 指出,YouTube 充當(dāng)了一個(gè)流量分發(fā)渠道,將用戶(hù)引導(dǎo)到各種惡意網(wǎng)站和頁(yè)面,助長(zhǎng)了不同嚴(yán)重程度的網(wǎng)絡(luò)犯罪。攻擊者利用 YouTube 的龐大影響力,誘導(dǎo)用戶(hù)訪問(wèn)欺騙性網(wǎng)站和下載惡意軟件。此外,YouTube 上日益增多的深度造假視頻也成為了一大問(wèn)題。這些虛假視頻通過(guò)模仿真人或事件來(lái)誤導(dǎo)觀眾,傳播虛假信息。Avast 發(fā)現(xiàn),有多個(gè)擁有超過(guò) 5000 萬(wàn)訂閱者的賬號(hào)已被黑客入侵,并被用來(lái)傳播依賴(lài)于深度造假視頻的加密貨幣騙局。
消息來(lái)源:FREEBUFhttps://www.freebuf.com/news/400979.html
超火爆的Fluent Bit 曝關(guān)鍵漏洞,影響幾乎所有云服務(wù)商
Fluent Bit,一款廣泛使用的日志和度量解決方案,近日被發(fā)現(xiàn)存在一個(gè)名為L(zhǎng)inguistic Lumberjack的關(guān)鍵漏洞(CVE-2024-4323),該漏洞可能導(dǎo)致拒絕服務(wù)攻擊和潛在的遠(yuǎn)程代碼執(zhí)行。
該漏洞是由于Fluent Bit的嵌入式HTTP服務(wù)器在處理跟蹤請(qǐng)求時(shí)的堆緩沖區(qū)溢出弱點(diǎn)造成的。盡管遠(yuǎn)程代碼執(zhí)行需要特定的條件和大量時(shí)間,但拒絕服務(wù)攻擊和信息泄露的風(fēng)險(xiǎn)更為直接和顯著。
截至2024年3月,F(xiàn)luent Bit的下載和部署次數(shù)已超過(guò)130億次,其中包括亞馬遜AWS、谷歌GCP和微軟Azure等主流云服務(wù)商的發(fā)行版。此外,許多科技公司如Crowdstrike、Trend Micro、思科、VMware、英特爾、Adobe和戴爾等也在使用Fluent Bit。Tenable安全研究人員于4月30日向供應(yīng)商報(bào)告了該漏洞,并于5月15日提交了修補(bǔ)程序。預(yù)計(jì)包含該補(bǔ)丁的Fluent Bit 3.0.4版本將很快發(fā)布。在修復(fù)之前,建議已經(jīng)部署了Fluent Bit的客戶(hù)通過(guò)限制對(duì)監(jiān)控API的訪問(wèn)或禁用易受攻擊的API端點(diǎn)來(lái)降低風(fēng)險(xiǎn)。
消息來(lái)源:FREEBUF https://www.freebuf.com/news/401435.html
內(nèi)部VPN遭漏洞攻擊未向監(jiān)管報(bào)告,這家金融巨頭被罰超7000萬(wàn)元
安全內(nèi)參5月23日消息,美國(guó)洲際交易所(ICE)因未能確保其子公司及時(shí)報(bào)告2021年4月出現(xiàn)的VPN安全漏洞,遭美國(guó)證券交易委員會(huì)(SEC)指控,需支付1000萬(wàn)美元(約合人民幣7245萬(wàn)元)罰款。
ICE是一家位列《財(cái)富》500強(qiáng)榜單的美國(guó)公司,在全球范圍內(nèi)擁有并經(jīng)營(yíng)多家金融交易所和結(jié)算所,包括紐約證券交易所。2023年,該公司雇傭了超過(guò)1.3萬(wàn)名員工,報(bào)告總收入為99.03億美元。SEC要求發(fā)現(xiàn)安全事件后需立即通知,但I(xiàn)CE延遲了四天才評(píng)估事件影響,并錯(cuò)誤地認(rèn)為影響微不足道。調(diào)查顯示,可能是國(guó)家級(jí)黑客入侵,試圖竊取敏感信息。ICE未能按法規(guī)要求通知SEC,違反了內(nèi)部報(bào)告程序,最終同意支付罰款并承諾不再違反相關(guān)法規(guī)。
消息來(lái)源:安全內(nèi)參 https://www.secrss.com/articles/66426
我國(guó)多地3萬(wàn)余條新生兒信息被倒賣(mài),背后非法產(chǎn)業(yè)鏈曝光
“免費(fèi)上門(mén)給寶寶拍照,要幫您安排嗎?”“早教班免費(fèi)試聽(tīng),您要報(bào)名嗎?”新生兒剛出生,各種推銷(xiāo)電話就不請(qǐng)自來(lái),而且對(duì)方還能準(zhǔn)確說(shuō)出孩子和父母的信息。一旦放松警惕,同意他們上門(mén),所謂的贈(zèng)送很可能就變成價(jià)格不菲的收費(fèi)項(xiàng)目。其實(shí)這背后隱藏著一條非法買(mǎi)賣(mài)、使用新生兒個(gè)人信息的黑色產(chǎn)業(yè)鏈!
近日,杭州互聯(lián)網(wǎng)法院審理了一起涉及3萬(wàn)余條新生兒個(gè)人信息的非法買(mǎi)賣(mài)、使用的民事公益訴訟案。
案件中,一攝影公司利用非法獲取的家長(zhǎng)和孩子信息進(jìn)行推銷(xiāo),并成功誘導(dǎo)家長(zhǎng)購(gòu)買(mǎi)高價(jià)攝影套餐。經(jīng)查,李某作為該信息鏈的源頭,從多地購(gòu)入新生兒信息并出售給攝影機(jī)構(gòu),非法獲利29萬(wàn)余元。
最終,李某因“侵犯公民個(gè)人信息罪”被判處有期徒刑二年十個(gè)月,并處罰金30萬(wàn)元,兩家攝影機(jī)構(gòu)也被追責(zé)。4月16日,杭州蕭山區(qū)人民檢察院提起公益訴訟,要求三被告公開(kāi)賠禮道歉并支付公益損害賠償金29萬(wàn)余元,用于個(gè)人信息及婦女兒童權(quán)益保護(hù)等公益事項(xiàng)。
據(jù)了解,2021年11月1日起實(shí)施的《中華人民共和國(guó)個(gè)人信息保護(hù)法》明確將個(gè)人信息保護(hù)納入公益訴訟法定領(lǐng)域,對(duì)檢察機(jī)關(guān)等組織提起個(gè)人信息保護(hù)公益訴訟作出明確規(guī)定。此案提醒廣大市民要增強(qiáng)個(gè)人信息保護(hù)意識(shí),同時(shí),相關(guān)部門(mén)也應(yīng)加強(qiáng)監(jiān)管和執(zhí)法力度。
消息來(lái)源:光明網(wǎng) https://baijiahao.baidu.com/s?id=1799667263210775386&wfr=spider&for=pc
來(lái)源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來(lái),僅用于分享,并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性,部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系,若涉及版權(quán)問(wèn)題,煩請(qǐng)?jiān)髡呗?lián)系我們,我們會(huì)盡快刪除處理,謝謝!