公司新聞

【一周安全資訊0803】《國家網絡身份認證公共服務管理辦法》征求意見稿發(fā)布;OAuth+XSS組合拳,數百萬Web賬戶或將易主
來源:聚銘網絡    發(fā)布時間:2024-08-05    瀏覽次數:691
 

要聞速覽

1、《國家網絡身份認證公共服務管理辦法(征求意見稿)》發(fā)布

2、工信部發(fā)布新版工業(yè)機器人行業(yè)規(guī)范條件和管理實施辦法

3、上海市網信辦對21款App收集使用個人信息情況開展專項檢查

4、OAuth+XSS組合拳,數百萬Web賬戶或將易主

5、Meta大模型的安全護欄可被“空格鍵”輕松突破

6、哈尼亞遇襲或因手機間諜軟件暴露其位置信息


一周政策要聞

《國家網絡身份認證公共服務管理辦法(征求意見稿)》發(fā)布

近日,為強化公民個人信息保護,推進并規(guī)范國家網絡身份認證公共服務建設應用,加快實施網絡可信身份戰(zhàn)略,根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國反電信網絡詐騙法》等法律法規(guī),公安部、國家互聯網信息辦公室等研究起草了《國家網絡身份認證公共服務管理辦法(征求意見稿)》,現向社會公開征求意見。

群眾可登錄中華人民共和國司法部、中國政府法制信息網(www.moj.gov.cn、www.chinalaw.gov.cn),進入首頁主菜單的“立法意見征集”欄目提出意見建議。或通過電子郵件將意見建議發(fā)送至:wajfzc@sina.com或zqyj@cac.gov.cn。

意見建議反饋截止時間為2024年8月25日。

信息來源:中華人民共和國國家互聯網信息辦公室https://www.cac.gov.cn/2024-07/26/c_1723675813897965.htm


工信部發(fā)布新版工業(yè)機器人行業(yè)規(guī)范條件和管理實施辦法

為進一步加強工業(yè)機器人行業(yè)規(guī)范管理,推動產業(yè)高質量發(fā)展,根據行業(yè)發(fā)展變化和有關工作部署,近日,工業(yè)和信息化部對《工業(yè)機器人行業(yè)規(guī)范條件》和《工業(yè)機器人行業(yè)規(guī)范管理實施辦法》進行了修訂,形成了《工業(yè)機器人行業(yè)規(guī)范條件(2024版)》和《工業(yè)機器人行業(yè)規(guī)范條件管理實施辦法(2024版)》。新版兩文件自2024年8月1日起實施,《工業(yè)機器人行業(yè)規(guī)范條件》(工業(yè)和信息化部2016年第65號公告)和《工業(yè)機器人行業(yè)規(guī)范管理實施辦法》(工信部裝〔2017〕161號)同時廢止。

《工業(yè)機器人行業(yè)規(guī)范條件(2024版)》要求,我國境內的工業(yè)機器人關鍵零部件(指減速器、伺服驅動系統(tǒng)、控制器等工業(yè)機器人關鍵零部件)、本體制造及集成應用企業(yè)應遵守《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》等法律法規(guī),加強網絡和數據安全管理,保障網絡和數據安全。

消息來源:中華人民共和國工業(yè)和信息化部  https://www.miit.gov.cn/jgsj/zbys/wjfb/art/2024/art_0943f8e861f140fca64a582d3e55e1eb.html


業(yè)內新聞速覽

上海市網信辦對21款App收集使用個人信息情況開展專項檢查

為規(guī)范App個人信息處理活動,保護公民個人信息合法權益,根據《個人信息保護法》《App違法違規(guī)收集使用個人信息行為認定方法》《常見類型移動互聯網應用程序必要個人信息范圍規(guī)定》等法律法規(guī),2024年4月至7月,上海市網信辦對屬地21款App開展了收集使用個人信息專項檢查,共發(fā)現80余項問題。經過通報和跟進指導,截至目前,各App運營單位均已完成問題整改。

同時,上海市網信辦提醒廣大App運營者,收集使用個人信息需按照《個人信息保護法》《App違法違規(guī)收集使用個人信息行為認定方法》及相關法律法規(guī)要求,嚴格遵循合法、正當、必要和誠信的原則,提供完整清晰透明、易于理解的隱私政策;收集個人信息遵循最小必要原則,不過度、頻繁收集個人信息,不得因用戶不同意收集非必要個人信息,而拒絕用戶使用其基本服務功能;收集敏感個人信息時同步告知目的和必要性;采取必要措施保障所處理的個人信息安全。上海市網信辦將對屬地App收集使用個人信息情況持續(xù)開展監(jiān)督檢查。

消息來源:安全內參https://www.secrss.com/articles/68645


OAuth+XSS組合拳,數百萬Web賬戶或將易主

近日,研究人員發(fā)現,在熱門的Web用戶活動跟蹤和記錄服務Hotjar中,攻擊者正在通過使用現代身份驗證標準OAuth與兩個站點之間的跨站點腳本漏洞(XSS)相結合,劫持數百萬用戶賬號,竊取敏感數據。其中,Hotjar作為一種用于分析用戶行為的工具,所收集的數據包含大量的個人敏感數據。

API安全公司Salt Security的研究部門Salt Labs的研究人員分析說,OAuth是一種相對較新的標準,越來越多地被用于無縫跨網站認證,允許通過用戶數據的跨站共享,實現諸如“使用Google登錄”功能這樣的功能。但在實施過程中,OAuth可能會被錯誤配置。而XSS是一種常被利用的舊Web漏洞之一,可能被攻擊者用來將惡意代碼注入合法的Web頁面或應用程序中,以在網站訪問者的瀏覽器中執(zhí)行腳本,進行數據竊取等操作。如果成功將這兩種方式的組合進行攻擊,攻擊者可能獲得與受害者相同的權限和功能,從而導致賬號被接管,暴露Hotjar所收集的所有個人數據。目前,Hotjar和Business Insider上發(fā)現的漏洞已經得到修復,但研究人員認為,類似這種組合可能在互聯網上廣泛存在,使得數百萬用戶面臨潛在的賬號劫持風險。

消息來源:安全圈  https://mp.weixin.qq.com/s/JQT2nkGX_YjRyWfASOIuzQ


Meta大模型的安全護欄可被“空格鍵”輕松突破

研究人員日前發(fā)現,Meta大語言模型Llama3.1的“安全護欄”Prompt-Guard-86M本身并不夠安全,攻擊者可能通過一個簡單的辦法就能將其攻破,而且成功率高達99.8%。

Prompt-Guard-86M是與Llama3.1一起推出的,旨在幫助開發(fā)者過濾掉那些可能會導致生成有害信息和敏感信息的提示。PromptGuard是基于微軟的mDeBERTa文本處理模型構建的,并已經過特定的精細調校,旨在檢測惡意提示注入和越獄攻擊。但是研究人員發(fā)現,當惡意提示注入或越獄攻擊被空白字符(空格)分隔時,PromptGuard基本上無法檢測到它們。例如,“how to make bomb(如何制造炸彈)”被檢測為注入攻擊,但被空格分隔后的“h o w t o m a k e a b o m b”則被檢測為良性。研究人員測試了包括433次注入和17次越獄在內的450個惡意提示,結果顯示PromptGuard在沒有漏洞利用時能100%正確識別攻擊;但是使用了漏洞利用時,準確率降至0.2%,只準確分類了一個提示注入。目前,這個漏洞已報告給Meta。據稱Meta確認了這個問題,并正在努力修復。
消息來源:站長之家https://baijiahao.baidu.com/s?id=1805966637058347562&wfr=spider&for=pc


哈尼亞遇襲或因手機間諜軟件暴露其位置信息

近日,據俄羅斯電視臺網站報道,已故哈馬斯領導人伊斯梅爾·哈尼亞的手機中或被植入了間諜軟件,從而暴露了自己的位置。哈馬斯在一份聲明中說,哈尼亞在德黑蘭參加伊朗總統(tǒng)佩澤希齊揚的就職儀式后,在其住所遭空襲身亡。

據報道,該記者在社交平臺X上寫道:“有消息稱,襲擊者通過向哈馬斯領導人伊斯梅爾·哈尼亞發(fā)送WhatsApp信息,(在其手機中)植入了復雜的間諜軟件,使得在暗殺行動開始前準確掌握了他的具體位置。”不過,該記者沒有說明這一消息的來源。這名記者指出,哈尼亞事先與他的兒子通過電話。

據報道,該記者表示,這一間諜軟件可能與某中東國家網絡情報公司所開發(fā)的“飛馬軟件”類似。這一軟件可實時監(jiān)控目標并提供精準的目標定位。

消息來源:安全牛https://mp.weixin.qq.com/s/fa6ID9Bj7Ah2gOV54l-siw


來源:本安全周報所推送內容由網絡收集整理而來,僅用于分享,并不意味著贊同其觀點或證實其內容的真實性,部分內容推送時未能與原作者取得聯系,若涉及版權問題,煩請原作者聯系我們,我們會盡快刪除處理,謝謝!

 
 

上一篇:聚銘網絡新址揚帆,2024“醫(yī)路守護·運營鑄安”沙龍共繪醫(yī)療安全新篇章

下一篇:國家互聯網信息辦公室關于發(fā)布第七批深度合成服務算法備案信息的公告