近期网络安全事件盘点
2023-11-30 18:1:49 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

01

国际动态/事件盘点

1

美国众议院官员要求中国自动驾驶汽车公司披露收集美国个人数据的情况

2023年11月16日,众议院能源和商业委员会宣布要求中国的10家汽车公司回应有关从中国自动驾驶汽车公司收集美国人数据的询问。其中,询问包括以下问题:

· 车辆在美国收集的信息种类;

· 是否在中国或美国以外的其他地区储存或处理数据;

· 在美国收集的数据是否共享到美国以外的地区;

· 是否从中国或其他中国国有企业获得资金;

· 与中国政府官员的会议详情。

上述十家自动驾驶汽车公司分别为百度、AutoX、元戎启行、滴滴出行、嬴彻科技、蔚来、小马智行、轻舟智航、文远知行、小鹏。

2

三星英国曝出信息泄露事件:黑客入侵长达 1 年,3 年后才发现

11 月 17 日消息,三星近日致信英国消费者,表示有黑客在 2019 年 7 月 1 日至 2020 年 6 月 30 日期间,利用第三方业务应用程序(未公布)中的漏洞,窃取了三星英国商店客户的个人信息。

三星在信件中表示,在 2023 年 11 月 13 日,也就是 3 年后才发现系统遭到入侵,受影响用户的姓名、电话号码、邮政地址和电子邮件地址都可能已经外泄。

三星发言人部分内容如下:“没有证据表明黑客窃取的数据,包含用户银行或信用卡详细信息或客户密码”,并补充说该公司已向英国信息专员办公室(ICO)报告了此问题。

ICO 发言人阿黛尔・伯恩斯(Adele Burns)向 TechCrunch 证实,英国数据保护监管机构已经意识到这一事件,并“将进行调查”。这一事件是三星在过去两年中披露的第三起数据泄露事件。

3

丰田公司确认遭遇美杜莎勒索软件攻击

丰田金融服务公司(TFS)证实遭遇Medusa(美杜莎)勒索软件组织的攻击,该公司在欧洲和非洲的系统上检测到未经授权的访问。丰田金融服务公司是丰田汽车公司的子公司,作为一家全球性企业,其业务覆盖丰田汽车90%的市场,为丰田客户提供汽车融资服务。

为了证明攻击成果,Medusa发布了丰田金融的样本数据,其中包括财务文件、电子表格、采购发票、哈希帐户密码、明文用户ID和密码、协议、护照扫描、内部组织结构图、财务绩效报告、员工电子邮件地址等。

Medusa还提供了一个.TXT文件,其中包含他们声称从丰田系统窃取的所有数据的文件树结构。这些文件大多数都是德语,表明黑客成功访问了丰田在中欧的业务系统。

安全事件发生后,Bleeping Computer 联系了丰田汽车,希望其就泄露数据发表评论,该公司发言人发表了如下声明:

丰田欧洲和非洲金融服务公司最近在其少数几个地点的系统中发现了未经授权的活动,目前已经将某些系统下线。同时,内部安全人员已开始与执法部门合作。截至目前,此次安全事件仅限于丰田金融服务欧洲和非洲地区。

关于受影响系统的状态及其预计恢复正常运行的时间,丰田汽车方面的发言人表示,大多数国家的系统恢复已经开始进行了。

4

日本主要通讯应用Line遭攻击,数十万用户面临数据泄露风险

11月27日下午,日本最主要通讯应用程序Line的运营商、日本LY公司发布公告称,有攻击者通过附属公司的 NAVER Cloud 系统访问了其内部服务器,可能泄露了数十万条包含用户、员工和业务合作伙伴在内的数据。

这一攻击事件发生在10月9日,当时攻击者通过恶意软件感染了附属公司一名员工的电脑。10 月 27 日,LY 公司的安全团队确定,这极有可能是未经授权的外部人员访问该应用程序的系统。

据悉,此次Line可能泄露的302569条用户数据包括通话页面活动、通话终止类型、通话室详情(包括发送方和接收方的国家、性别、年龄和操作系统)以及内容发布详情(包括时间和日期、关注者/好友总数以及发布视频的开始和结束时间)等信息;而51353 条员工相关数据则包括姓名、员工 ID 号、电子邮件地址。此外,该公司业务合作伙伴的 86071 条电子邮件地址记录也可能同样泄露。

该公司声称,泄露的数据不包括有关银行账户、信用卡或 LINE 应用中的聊天对话信息。

LY 公司在公告中也表示尚未收到任何造成二次损害的报告,包括滥用用户和业务合作伙伴的信息。

02

国内动态/事件盘点

1

工信部发布关于侵害用户权益行为的App(SDK)通报(2023年第7批,总第33批)

近期,工信部组织第三方检测机构对群众关注的实用工具、在线影音等移动互联网应用程序App及第三方软件开发工具包(SDK)进行检查。发现13款App、SDK存在侵害用户权益行为,并于2023年11月17日予以通报。本次通报的具体问题包括:

1)违规收集个人信息;

2)App强制、频繁、过度索取权限;

3)欺骗误导强迫用户;

4)超范围收集个人信息;

5)应用分发平台上的App信息明示不到位。

详见:

https://wap.miit.gov.cn/xwdt/gxdt/sjdt/art/2023/art_683f60ee2d40492783fe0b09c1ac701e.html

2

WPS深夜致歉!承诺用户文档不会被用于AI训练

近日有媒体报道称,此前《WPS隐私政策》中提到“我们将对您主动上传的文档材料,在采取脱敏处理后作为AI训练的基础材料使用”,被质疑涉及用户隐私问题。对此,11月18日,WPS官方微博做出回应,在向用户致歉的同时,承诺用户文档不会被用于AI训练目的。

详见:

https://m.gmw.cn/2023-11/19/content_1303575370.htm

3

北京高院发布《侵犯公民个人信息犯罪审判白皮书》

随着互联网的高速发展和信息化建设不断推进,信息资源成为重要的生产要素和社会财富。而其中个人信息的价值日渐凸显,成为数字经济的主要元素之一。随之而来,个人信息泄露问题日益突出,垃圾短信、骚扰电话层出不穷,个人信息安全与保护引发全社会高度关注。2009年,《刑法修正案(七)》增设第二百五十三条之一,规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。2015年,《刑法修正案(九)》将该条修订为侵犯公民个人信息罪。2016年,《网络安全法》制定了网络运营者收集、使用个人信息的规则。2020年,《民法典》进一步明确个人信息的定义和处理原则。2021年,《个人信息保护法》实施,完善了公民个人信息保护体系。

自侵犯公民个人信息的行为入刑以来,北京法院准确认定事实、正确适用法律,依法妥善审结了众多犯罪情节严重、社会影响恶劣的刑事案件。在案件办理过程中,“治理”如何与“治罪”并重的课题也成为法院能动司法的落脚点。北京高院通过对近5年来全市法院审结的侵犯公民个人信息罪案件进行调研统计和实证分析,形成《侵犯公民个人信息犯罪审判白皮书》,以期为社会、行业综合治理提供司法智慧。

详见:

https://mp.weixin.qq.com/s/NHNx0Rp6-lTFjQXOuHMxaA

4

数据公司员工盗取全国导航地图信息2000余万条 卖到论坛上非法获利被取保候审

据上海警方11月21日消息,近期,在上海市公安局网安总队的指导下,普陀警方破获一起非法获取计算机信息系统数据案。嫌疑人利用技术手段盗取公司服务器内全国导航地图信息数据2000余万条,并在论坛中售卖,导致受害公司损失21万元。目前,四名嫌疑人已被采取取保候审的刑事强制措施。

普陀分局网安支队迅速开展侦查工作,成功锁定就职于一家数据科技公司的犯罪嫌疑人张某齐。警方循线追踪,发现张某齐售卖的“盗版”数据均来自其所就职公司的数据库。该公司自2021年7月起从事大数据分析业务,主要根据客户需求出具分析报告,并提供营销分析、运营分析、产品分析等服务。经警方进一步侦查发现,在该公司实际控制人张某某的指使下,公司技术负责人吕某昌和技术员张某齐编写爬虫程序,对目标平台的数据进行非法爬取,通过分析“盗版”数据出具分析报告以非法牟利。

6月底,警方将张某某、吕某昌、张某齐等3名犯罪嫌疑人抓获。7月21日,警方赴外省抓获犯罪嫌疑人丘某平。

目前,犯罪嫌疑人张某某、吕某昌、张某齐、丘某平因涉嫌非法获取计算机信息系统数据罪被警方依法采取取保候审的刑事强制措施。

网警提醒,从事相关工作的技术人员要进一步规范自身运用行为,遵守行业规范和法律法规。企业也应进一步提高数据安全保护意识,积极构建系统长效的安全防护体系,严格落实网络数据安全制度和措施。

详见:

https://baijiahao.baidu.com/s?id=1783340631286094809&wfr=spider&for=pc

5

国家数据局局长刘烈宏解读国家数据局工作任务

11月23日,在第二届全球数字贸易博览会数据要素治理与市场化论坛上,国家数据局局长刘烈宏表示,当前,数据作为数字经济时代的关键生产要素,逐步融入生产生活各方面,深刻影响并重构着经济社会运行和社会治理,已成为影响未来发展的关键战略性资源。

刘烈宏提到,目前,国家数据局围绕数据要素市场化配置改革正在推进系列重点工作。下一步,我们将加快推进数据基础设施的建设工作。

刘烈宏认为,从能力角度看,数据基础设施支撑数据汇聚、处理、流通、应用、运营、安全保障全流程。

详见:

https://mp.weixin.qq.com/s?__biz=MzU5OTQ0NzY3Ng==&mid=2247495424&idx=1&sn=bf804a1cd6f03d3a854217f62d9b7c98&chksm=feb66e13c9c1e70513ce1e73fad4e008005822ccda918bd2527499cd425df3a19cc7a5c70e34&token=2069032185&lang=zh_CN#rd

6

公安部召开新闻发布会通报打击黑客类违法犯罪举措成效并答记者问

11月30日,公安部在京召开“公安心向党 护航新征程”主题新闻发布会,通报全国公安机关持续开展“净网”系列专项行动,全力打击黑客类违法犯罪举措及总体成效情况,公布十大典型案例。

公安部网络安全保卫局副局长李彤在发布会上通报,在全球数字经济时代,网络技术给人民群众的生产生活带来了前所未有的便利,也带来了前所未有的风险,其中衍生出了以网络空间为场地、以网络技术为手段、以信息系统和数据为目标的黑客犯罪。

公安部高度重视黑客犯罪,部署全国公安机关持续开展“净网”专项行动,摧生态、斩链条,重拳打击黑客犯罪活动。

2022年以来,全国公安机关共侦破黑客类犯罪案件2430起、抓获犯罪嫌疑人7092名,有效斩断了以黑客犯罪为核心的黑产链条,切实保障了网络与数据安全,有力维护了网络空间正常秩序。他还向大家介绍了公安机关依法打击黑客类犯罪有关情况。

详见:

https://mp.weixin.qq.com/s/8MY_YG-0CwmR9S87W2BIgg

7

标准动态

关于发布《网络安全标准实践指南——网络安全产品互联互通 告警信息格式》的通知

本《实践指南》给出了网络安全产品互联互通时告警信息的描述格式,可用于指导网络安全产品互联互通功能的设计、开发、应用和测试。

详见:

https://www.tc260.org.cn/upload/2023-11-28/1701165595335020772.pdf

5

最新政策法规动态

1、工信部就《工业和信息化领域数据安全行政处罚裁量指引(试行)》公开征求意见

《裁量指引》由正文及附件裁量基准组成。其中,正文共五章二十六条,附件共十四条

详见:

https://wap.miit.gov.cn/jgsj/waj/wjfb/art/2023/art_e14338d7b2684c79bec7931b75336520.html

2、国务院批复同意《支持北京深化国家服务业扩大开放综合示范区建设工作方案》

新华社北京11月23日电据中国政府网23日消息,国务院日前批复同意《支持北京深化国家服务业扩大开放综合示范区建设工作方案》。

工作方案结合电信、健康医疗、金融、文化教育、专业服务等行业领域发展需要,从推进服务业重点领域深化改革扩大开放、探索新兴业态规则规范、优化贸易投资制度安排、完善公共服务政策环境、强化权益保护机制、健全风险防控体系等6个方面,提出170余项试点任务。

记者从商务部获悉,商务部将会同有关部门加强对国家服务业扩大开放综合示范区建设工作的指导和协调推进,开展督促和评估,确保工作方案各项改革开放措施落实到位。

《工作方案》提出“探索新兴业态规则规范”等主要任务,部分节选:

(二)探索新兴业态规则规范

6.推动构建数字经济国际规则。支持北京建设国际信息产业和数字贸易港,加强数字领域国际合作,推动相关国际规则制定,争取在数据跨境传输、数字产品安全检测与认证、数据服务市场安全有序开放等方面实现互惠互利、合作共赢。试点推动电子签名证书跨境互认和电子合同跨境认可机制,推广电子签名互认证书在公共服务、金融、商贸等领域应用。支持北京参与制定数字经济领域标准规范,探索人工智能治理标准研究与规则建设,参与相关国际、国家、行业标准制定。深入推广数据安全管理认证等安全保护认证制度。利用中国国际服务贸易交易会、中关村论坛、金融街论坛、全球数字经济大会等平台,支持北京加强与《数字经济伙伴关系协定》(DEPA)成员方在数字身份、数字包容性、网络安全、金融科技、物流等方面的合作和交流。

7.推动数据资源开发利用。支持北京积极创建数据基础制度先行区,推动建立健全数据产权制度、数据要素流通和交易制度、数据要素收益分配制度、数据要素治理制度。壮大北京国际数据交易联盟,健全交易标准和市场运营体系,推进数据托管服务试点。推动完善数据权属登记和数据资产评估机制,探索将数据资产纳入资产管理体系。制定数据交易标准合同指引,出台数据交易负面清单和谨慎清单。加大公共数据开放力度,完善第三方多元主体开发利用数据机制,探索建设安全可信的数据共享空间,鼓励多方公共数据导入和融合应用。扩大面向北京市具备数据加工处理和分析能力的经营主体范围,免费提供知识产权标准化数据,降低数据再加工成本,助力建设世界一流知识产权数据库。在国家数据跨境传输安全管理制度框架下,开展数据出境安全评估、个人信息出境标准合同备案、个人信息保护认证工作,探索形成既能便利数据流动又能保障安全的机制。推动建设数据跨境服务中心与技术服务平台,探索提供安全治理、监测审计、体系认证等全链条第三方服务。支持设立跨国机构数据流通服务窗口,以合规服务方式优先实现集团内数据安全合规跨境传输。探索制定自动驾驶、生物基因等行业数据分类分级指南和重要数据目录,以重点领域企业数据出境需求为牵引,明确重要数据识别认定标准,做好数据安全保护支撑。深化运用金融科技创新监管工具,充分发挥数字技术和数据要素作用,提升金融科技守正创新能力和惠民利企水平。聚焦自动驾驶、数据交易等业务场景开展全链条“沙盒监管”和包容创新运用。

详见:

https://www.gov.cn/zhengce/content/202311/content_6916720.htm

3、财政部、网信办发布《会计师事务所数据安全管理暂行办法(征求意见稿)》

财政部、国家网信办联合起草了《会计师事务所数据安全管理暂行办法(征求意见稿)》。《办法》的适用范围是在中国境内依法设立并为上市公司以及非上市的国有金融机构、中央企业等提供审计服务,或者开展跨境审计的会计师事务所及其从业人员。数据是指会计师事务所执行审计业务过程中,从外部获取和内部生成的任何以电子或者其他方式对信息的记录。会计师事务所承担本机构的数据安全主体责任。财政部门和网信部门是会计师事务所数据安全的监管机构。注册会计师协会是会计师事务所数据安全的自律管理主体。

详见:

http://www.cac.gov.cn/2023-11/16/c_1701796837521268.htm

4、《数据清洗、去标识化、匿名化业务规程(试行)》发布

为规范数据处理行为,激活数据要素市场,北京市经济和信息化局指导中国信息通信研究院产业与规划研究所、北京国际大数据交易所联合编制、发布国内首个数据清洗、去标识化、匿名化处理相关流程方法的业务规程——《数据清洗、去标识化、匿名化业务规程(试行)》,旨在指导行业主体组织开展数据清洗、去标识化、匿名化处理等及相应的技术测试评估,支撑数据共享、交易、开放等流通活动合规、有序进行。

规范数据清洗、去标识化、匿名化处理等业务活动,有助于提升数据的可用、可信、可流通、可追溯水平,推动数据要素强化优质供给,是促进数据要素化和要素市场化的必经步骤。

《数据清洗、去标识化、匿名化业务规程(试行)》在《个人信息保护法》《数据安全法》《北京市数字经济促进条例》《北京市数字经济全产业链开放发展行动方案》等法规政策框架下,体系性地明晰了数据清洗、去标识化、匿名化处理的技术特点、相互关系和落地方式,总结了各项处理活动的目的、流程、技术方法及环境要求,可适用于广义的数据范畴,包括但不限于个人数据、企业数据、物联网数据等,以期为企业等主体开展相关数据处理活动和相应测试评估提供参考。

下一步,《数据清洗、去标识化、匿名化业务规程(试行)》将作为北京数据基础制度先行区内数据处理活动的工作指南,指导行业主体有序开展数据共享、交易、开放等流通活动,并根据工作实践情况不断优化完善。

详见:

https://jxj.beijing.gov.cn/jxdt/gzdt/202311/t20231114_3301360.html


文章来源: https://mp.weixin.qq.com/s?__biz=MzU5OTQ0NzY3Ng==&mid=2247495443&idx=1&sn=35ccc55e7be4a4d9ed3938163abfd993&chksm=feb66e00c9c1e71633e9e8132938507eb1852e6c06dd39e65570f625c0123cf2d95739ea34df&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh