要聞速覽

1、國(guó)家數(shù)據(jù)局、中央網(wǎng)信辦、工業(yè)和信息化部、公安部、國(guó)務(wù)院國(guó)資委印發(fā)《關(guān)于促進(jìn)企業(yè)數(shù)據(jù)資源開發(fā)利用的意見》

2、聯(lián)大通過《聯(lián)合國(guó)打擊網(wǎng)絡(luò)犯罪公約》

3、警惕！“銀狐”木馬新變種直接通過微信群傳播含病毒壓縮包文件

4、賬號(hào)和密鑰明文存儲(chǔ)，AI平臺(tái)1.29T數(shù)據(jù)庫(kù)裸奔

5、平安夜不平安，美國(guó)航空因軟件故障致旗下全美航班停飛

6、一美分下單！這個(gè)外賣應(yīng)用API漏洞差點(diǎn)讓麥當(dāng)勞虧大了

一周政策要聞

國(guó)家數(shù)據(jù)局、中央網(wǎng)信辦、工業(yè)和信息化部、公安部、國(guó)務(wù)院國(guó)資委印發(fā)《關(guān)于促進(jìn)企業(yè)數(shù)據(jù)資源開發(fā)利用的意見》

為充分釋放企業(yè)數(shù)據(jù)資源價(jià)值，構(gòu)建以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)，近日，國(guó)家數(shù)據(jù)局聯(lián)合中央網(wǎng)信辦、工業(yè)和信息化部、公安部、國(guó)務(wù)院國(guó)資委印發(fā)了《關(guān)于促進(jìn)企業(yè)數(shù)據(jù)資源開發(fā)利用的意見》（以下簡(jiǎn)稱《意見》）。

《意見》以習(xí)近平新時(shí)代中國(guó)特色社會(huì)主義思想為指引，貫徹黨的二十大及后續(xù)全會(huì)精神，推動(dòng)高質(zhì)量發(fā)展，平衡數(shù)據(jù)發(fā)展與安全。其核心為深化數(shù)據(jù)要素市場(chǎng)化改革，激發(fā)企業(yè)創(chuàng)新活力，健全數(shù)據(jù)權(quán)益機(jī)制，分類推進(jìn)數(shù)據(jù)資源開發(fā)，提升企業(yè)競(jìng)爭(zhēng)力，促進(jìn)產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型，提升治理與公共服務(wù)效能，為高質(zhì)量發(fā)展提供支撐。具體從健全企業(yè)數(shù)據(jù)權(quán)益實(shí)現(xiàn)機(jī)制、培育企業(yè)數(shù)字化競(jìng)爭(zhēng)力、賦能產(chǎn)業(yè)轉(zhuǎn)型升級(jí)、服務(wù)經(jīng)濟(jì)社會(huì)高質(zhì)量發(fā)展、營(yíng)造開放透明可預(yù)期的發(fā)展環(huán)境等五個(gè)方面作出部署。

聯(lián)大通過《聯(lián)合國(guó)打擊網(wǎng)絡(luò)犯罪公約》

聯(lián)合國(guó)大會(huì)12月24日以一致同意的方式通過具有法律約束力的《聯(lián)合國(guó)打擊網(wǎng)絡(luò)犯罪公約》，旨在加強(qiáng)國(guó)際合作，預(yù)防和打擊網(wǎng)絡(luò)犯罪。

聯(lián)合國(guó)秘書長(zhǎng)古特雷斯對(duì)此表示歡迎并指出，這是20多年來經(jīng)談判達(dá)成的首個(gè)國(guó)際刑事司法條約，這項(xiàng)條約表明多邊主義在困難時(shí)期取得了成功，反映了會(huì)員國(guó)加強(qiáng)國(guó)際合作以預(yù)防和打擊網(wǎng)絡(luò)犯罪的集體意愿。

公約將于2025年在越南首都河內(nèi)舉行的正式儀式上開放簽署，并將在第40個(gè)簽署國(guó)批準(zhǔn)后90天生效。

消息來源：央廣網(wǎng)https://news.cnr.cn/native/gd/kx/20241225/t20241225_527020458.shtml

業(yè)內(nèi)新聞速覽

警惕！“銀狐”木馬新變種直接通過微信群傳播含病毒壓縮包文件

近日，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和計(jì)算機(jī)病毒防治技術(shù)國(guó)家工程實(shí)驗(yàn)室依托國(guó)家計(jì)算機(jī)病毒協(xié)同分析平臺(tái)（https://virus.cverc.org.cn）在我國(guó)境內(nèi)再次捕獲針對(duì)我國(guó)用戶的“銀狐”木馬病毒的最新變種。在本次傳播過程中，攻擊者繼續(xù)構(gòu)造財(cái)務(wù)、稅務(wù)違規(guī)稽查通知等主題的釣魚信息和收藏鏈接，通過微信群直接傳播包含該木馬病毒的加密壓縮包文件。

圖中名為“筆記”等字樣的收藏鏈接指向文件名為“違規(guī)-記錄（1）.rar”等壓縮包文件，用戶按照釣魚信息給出的解壓密碼解壓壓縮包文件后，會(huì)看到以“開票-目錄.exe”“違規(guī)-告示.exe”等命名的可執(zhí)行程序文件。這些可執(zhí)行程序?qū)嶋H為“銀狐”遠(yuǎn)控木馬家族于12月更新傳播的最新變種程序。如果用戶運(yùn)行相關(guān)惡意程序文件，將被攻擊者實(shí)施遠(yuǎn)程控制、竊密等惡意操作，并可能被犯罪分子用來充當(dāng)進(jìn)一步實(shí)施電信網(wǎng)絡(luò)詐騙活動(dòng)的“跳板”。

本次發(fā)現(xiàn)的新變種還具有主動(dòng)攻擊安全軟件的功能，試圖通過模擬用戶鼠標(biāo)鍵盤操作關(guān)閉防病毒軟件。

臨近年末，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心再次提示廣大企事業(yè)單位和個(gè)人網(wǎng)絡(luò)用戶提高針對(duì)各類電信網(wǎng)絡(luò)詐騙活動(dòng)的警惕性和防范意識(shí)，不要輕易被犯罪分子的釣魚話術(shù)所誘導(dǎo)。

消息來源：國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心https://mp.weixin.qq.com/s/QPvATUs-1BX0AhF1Iw0e2A

賬號(hào)和密鑰明文存儲(chǔ)，AI平臺(tái)1.29T數(shù)據(jù)庫(kù)裸奔

近日，網(wǎng)絡(luò)安全研究員Jeremiah Fowler透露，一家總部位于英國(guó)倫敦的人工智能開發(fā)平臺(tái)Builder.ai，由于數(shù)據(jù)庫(kù)配置錯(cuò)誤，該平臺(tái)遭遇了重大數(shù)據(jù)泄露事件，共計(jì)泄露數(shù)據(jù)超過300萬(wàn)條，1.29TB。

Builder.ai是一家提供AI驅(qū)動(dòng)軟件開發(fā)平臺(tái)的公司。Builder.ai可以與Microsoft Dataverse以及各種云數(shù)據(jù)源（如SharePoint、OneDrive或Azure）集成，方便用戶訪問和管理業(yè)務(wù)數(shù)據(jù)。

根據(jù)Fowler在Website Planet的報(bào)告，在300多萬(wàn)條記錄中，包含可識(shí)別個(gè)人身份的信息，例如姓名、電子郵件地址、電話號(hào)碼及實(shí)際地址。數(shù)據(jù)庫(kù)還記錄了項(xiàng)目細(xì)節(jié)，包括正在進(jìn)行和已完成的軟件開發(fā)計(jì)劃、客戶互動(dòng)記錄及時(shí)間表。這些信息可能導(dǎo)致知識(shí)產(chǎn)權(quán)泄露，進(jìn)而被惡意行為者或競(jìng)爭(zhēng)對(duì)手利用。

除了客戶數(shù)據(jù)，數(shù)據(jù)庫(kù)還暴露了Builder.ai員工之間的內(nèi)部通信。敏感信息包括客戶成本提案、保密協(xié)議、發(fā)票、稅務(wù)文件、內(nèi)部溝通記錄、秘密訪問密鑰、客戶個(gè)人信息以及電子郵件往來的截圖。

更糟糕的是，Builder.ai 應(yīng)急響應(yīng)流程十分遲緩。在研究人員通知后，Builder.ai花了整整一個(gè)月才保護(hù)數(shù)據(jù)庫(kù)，并稱“復(fù)雜的系統(tǒng)依賴”是延遲的原因。盡管解釋不夠明確，但這表明數(shù)據(jù)庫(kù)曝光可能涉及第三方承包商。

消息來源：FREEBUF  https://www.freebuf.com/news/418279.html

平安夜不平安，美國(guó)航空因軟件故障致旗下全美航班停飛

圣誕節(jié)前，原本是旅客出行最為繁忙的時(shí)段，但美國(guó)航空領(lǐng)域卻在此時(shí)遭遇了一場(chǎng)突如其來的風(fēng)波。據(jù)路透社、雅虎新聞等媒體消息，美國(guó)聯(lián)邦航空管理局（FAA）突然宣布，美國(guó)航空公司（American Airlines）12月24日全國(guó)范圍內(nèi)停飛所有航班。
隨后，美國(guó)航空公司迅速在社交平臺(tái)上發(fā)文稱，指出該公司所有航班正在經(jīng)歷“技術(shù)問題”，并承諾將全力以赴排除故障。該停飛令大約持續(xù)了一小時(shí)左右，目前美國(guó)航空航班都已恢復(fù)正常運(yùn)行。美國(guó)航空尚未披露所遇到“技術(shù)問題”的細(xì)節(jié)。有消息稱，這一“技術(shù)問題”或?yàn)檐浖收显斐珊娇展緹o法進(jìn)行稱重和航班需求測(cè)算。據(jù)美國(guó)聯(lián)邦航空管理局預(yù)計(jì)，12月24日美國(guó)共有約3萬(wàn)個(gè)航班起降。對(duì)于此次突然大面積停飛的原因，格外引發(fā)外界的關(guān)注。

消息來源：IT之家https://www.ithome.com/0/819/929.htm

一美分下單！這個(gè)外賣應(yīng)用API漏洞差點(diǎn)讓麥當(dāng)勞虧大了

近日，一位安全研究人員發(fā)現(xiàn)麥當(dāng)勞在印度的外賣App McDelivery 存在多個(gè)嚴(yán)重漏洞，允許用戶以極低的價(jià)格下單，甚至可以竊取他人的訂單和個(gè)人信息。

根據(jù)研究人員的報(bào)告，McDelivery App 存在多個(gè)漏洞，包括：

• 價(jià)格操縱漏洞：用戶可以通過修改購(gòu)物車中的價(jià)格參數(shù)，以極低的價(jià)格下單。例如，只需支付0.01美元就可以下單。
• 訂單劫持漏洞：黑客可以通過修改訂單的地址ID或用戶ID，將他人的訂單劫持到自己的地址。
• 實(shí)時(shí)跟蹤漏洞：黑客可以通過修改API請(qǐng)求，實(shí)時(shí)跟蹤送貨司機(jī)的位置和個(gè)人信息。
• 敏感數(shù)據(jù)泄露漏洞：用戶可以訪問他人的訂單詳情、下載發(fā)票，甚至可以提交對(duì)他人訂單的反饋。
• 司機(jī)信息泄露漏洞：黑客可以訪問送貨司機(jī)的個(gè)人信息，包括姓名、電話號(hào)碼、電子郵件、頭像和車牌號(hào)碼。
• 管理員數(shù)據(jù)訪問漏洞：用戶可以訪問管理員的關(guān)鍵績(jī)效指標(biāo)（KPI）報(bào)告，而無需授權(quán)。

研究人員利用了諸如破損對(duì)象級(jí)別授權(quán)（BOLA）和大規(guī)模賦值漏洞等技術(shù)，系統(tǒng)性地揭示了McDelivery應(yīng)用的弱點(diǎn)。調(diào)查顯示，這些漏洞不僅是技術(shù)缺陷，更對(duì)用戶隱私和麥當(dāng)勞的聲譽(yù)構(gòu)成了真正的威脅。對(duì)此，編寫了一份詳細(xì)的24頁(yè)報(bào)告并提交給了McDelivery的漏洞獎(jiǎng)勵(lì)計(jì)劃。麥當(dāng)勞在90天內(nèi)修復(fù)了所有漏洞，并給予了相應(yīng)獎(jiǎng)勵(lì)。

消息來源：看雪學(xué)苑https://weibo.com/ttarticle/p/show?id=2309405115172732928167

來源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來，僅用于分享，并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性，部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請(qǐng)?jiān)髡呗?lián)系我們，我們會(huì)盡快刪除處理，謝謝！