新闻速览
•2024年国家网络安全宣传周将于9月9日至15日举办
•工信部就《电子认证服务管理办法(征求意见稿)》公开征求意见
•北京市通管局通报5款存在侵害用户权益和安全隐患类问题APP
•波兰司法部前副部长应违规购买间谍软件遭起诉,或面临10年监禁
•涉嫌分发AI深度伪造的色情内容,韩国警方将对Telegram平台展开调查
•美国一视频监控公司因安全措施不到位被罚近300万美元
•攻击者利用GitHub评论功能大肆传播Lumma Stealer恶意软件
•杜蕾斯印度公司网站被曝存在安全漏洞,客户私密信息恐遭泄露
•美国航空安全系统中发现SQL注入缺陷,攻击者可绕过安检进入驾驶舱
特别关注
2024年国家网络安全宣传周将于9月9日至15日举办
9月2日,2024年国家网络安全宣传周新闻发布会在北京举行。会议宣布,2024年国家网络安全宣传周将于9月9日至15日在全国范围举办,开幕式等重要活动在广东省广州市举行。
据介绍,2024年国家网络安全宣传周由中央宣传部、中央网信办、教育部、工业和信息化部、公安部、中国人民银行、国家广播电视总局、全国总工会、共青团中央、全国妇联等十部门联合举办,以“网络安全为人民,网络安全靠人民”为主题,将举办开幕式、网络安全技术高峰论坛主论坛暨粤港澳大湾区网络安全大会、网络安全博览会,集中发布一系列网络安全领域重要成果。同时将举行校园日、电信日、法治日、金融日、青少年日、个人信息保护日等系列主题日活动。
此外,今年网安周还将举办网络安全产品和服务供需洽谈会、网络安全人才招聘、网络安全创新创业投资等系列活动,邀请国内顶尖投资机构、网络安全头部企业、科研机构等300余家单位参加,着力推动网络安全人才、技术、产业、资本高效对接。
中央网信办网络安全协调局局长高林表示,自首届网络安全宣传周举办以来,各地区、各部门以百姓通俗易懂、喜闻乐见的方式,广泛开展网络安全进社区、进农村、进企业、进机关、进校园、进军营、进家庭等活动,宣传网络安全理念、普及网络安全知识、推广网络安全技能,有力推动全社会网络安全意识和防护技能的提升,对于维护国家网络安全、保障人民群众合法权益发挥了重要作用。
原文链接:
https://www.gov.cn/yaowen/liebiao/202409/content_6971942.htm
工业和信息化部就《电子认证服务管理办法(征求意见稿)》公开征求意见
为加强电子认证服务行业监管,规范电子认证服务行为,根据《中华人民共和国电子签名法》等有关法律法规,工业和信息化部修订了《电子认证服务管理办法》。为进一步听取社会各界意见,现予以公示。如有意见或建议,请于2024年10月3日前反馈。
传真:010-68208288
地址:北京市海淀区万寿路27号院8号楼工业和信息化部信息技术发展司。请在信封上注明“《电子认证服务管理办法(征求意见稿)》意见反馈”字样。
原文链接:
https://wap.miit.gov.cn/jgsj/xxjsfzs/xxgk/art/2024/art_51b5449ae20a4fcea14b3a56a554bccc.html
北京市通管局通报5款存在侵害用户权益和安全隐患类问题APP
依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络产品安全漏洞管理规定》等法律法规,按照工业和信息化部工作部署要求,北京市通信管理局持续开展APP隐私合规和网络数据安全专项整治。
近期,北京市通信管理局通过抽测发现北京市部分APP存在“违反必要原则收集个人信息”“未明示收集使用个人信息的目的、方式和范围”等侵害用户权益和安全隐患类问题。截至目前,尚有5款APP未整改或整改不到位,予以公开通报。
原文链接:
https://mp.weixin.qq.com/s/rEfSn7LnhsP8r0OBj2gxTg
热点观察
波兰司法部前副部长应违规购买间谍软件遭起诉,或面临10年监禁
日前,波兰检察院日前对前司法部副部长米哈乌·沃什提出刑事指控,指控他未经授权将2500万波兰兹罗提(约合645万美元)从司法基金转移,用于为中央反腐败局(CBA)购买备受争议的Pegasus间谍软件。
检察院的调查显示,在2017年至2022年期间,波兰政府部门利用Pegasus软件监控了近600人。检察院指控沃什明知CBA不符合获得司法基金资助的条件,仍然下令向其支付巨额款项购买Pegasus。因为司法基金通常用于支持其他机构,而不能直接用于资助CBA的活动。检察院认为,沃什的行为不仅对波兰财政造成了重大损失,还损害了公众利益。如果罪名成立,沃什可能面临最高10年的监禁。
这一事件标志着波兰在处理间谍软件滥用问题上的态度发生了重大转变。波兰新政府最近还签署了美国政府提出的承诺,旨在打击间谍软件的传播和滥用。
原文链接:
https://thecyberexpress.com/pegasus-spyware-bought-with-misused-funds/
涉嫌分发AI深度伪造的色情内容,韩国警方将对Telegram平台展开调查
韩国警方于9月2日宣布,已对Telegram平台展开调查,原因是该平台涉嫌"教唆"分发深度伪造色情内容,其中包括由AI生成的青少年露骨图像。
上个月,韩国一家广播公司报道称,大学生们在一个非法的Telegram聊天室中分享女同学的深度伪造色情材料,这一事件引发了广泛关注。国家警察局调查局局长吴钟秀透露,首尔国家警察局上周启动了针对这些深度伪造的犯罪调查,并指出,在早期调查与Telegram相关的案件时,该平台对警方之前请求提供的账户信息没有回应。
此次事件凸显了AI技术在色情内容制作中的滥用问题,以及社交媒体平台在打击此类违法行为中所面临的挑战。韩国警方的行动可能会对其他国家处理类似问题产生借鉴作用,同时也引发了人们对隐私保护和技术监管的深入思考。
原文链接:
https://www.channelnewsasia.com/east-asia/south-korea-probe-telegram-deepfake-porn-4581311
美国一视频监控公司因安全措施不到位被罚近300万美元
美国联邦贸易委员会(FTC)近日对安全摄像头公司Verkada处以295万美元的巨额罚款,原因是该公司在安全措施方面存在重大缺陷,导致黑客能够非法监视客户。
Verkada是一家业务涵盖教育、医疗和酒店等多个领域的美国安全摄像头公司。2021年3月,一名黑客成功入侵Verkada系统,访问了15万个实时安全视频流,包括精神病院、妇女健康诊所、学校和监狱等敏感场所。不仅如此,黑客还下载了大量客户敏感数据,如姓名、电子邮件地址、实际位置、用户名和密码等。
FTC和司法部(DOJ)指出,Verkada不仅未能及时发现并阻止这次入侵,还在事发后未能及时通知受影响的客户。作为处罚的一部分,Verkada必须实施一个强有力的安全计划,包括信息加密和多因素身份验证等措施,并接受外部机构的评估。
原文链接:
https://cybernews.com/security/verkada-fined-by-ftc/
网络攻击
攻击者利用GitHub评论功能大肆传播Lumma Stealer恶意软件
近日,研究人员发现攻击者通过GitHub平台大肆传播Lumma Stealer信息窃取恶意软件。Lumma Stealer是一种高级信息窃取工具,能够从多种主流浏览器中窃取cookies、凭证、密码、信用卡信息和浏览历史。此外,它还能窃取加密货币钱包、私钥以及可能包含私有加密密钥和密码的特定文本文件。
调查发现,数千条类似评论被发布到GitHub上的各种项目中,这些评论均以提供虚假修复方案为幌子。逆向分析师Nicholas Sherrard透露,在短短3天内,已有超过2.9万条推送此恶意软件的评论被发布。这些评论建议用户从mediafire.com或通过bit.ly短链接下载一个密码统一为“changeme”的受密码保护压缩文件,并运行其中的可执行文件。下载的压缩文件名为“fix.zip”,包含多个DLL文件和一个名为x86_64-w64-ranlib.exe的可执行文件。经Any.Run平台分析,该可执行文件被确认为Lumma Stealer信息窃取恶意软件。
尽管GitHub员工在发现这些恶意评论后已开始删除,但仍有用户报告中招。安全专家建议感染了该恶意软件的用户立即更改所有账户密码,为每个网站设置唯一密码,并将加密货币迁移到新钱包。
原文链接:
https://www.bleepingcomputer.com/news/security/github-comments-abused-to-push-password-stealing-malware-masked-as-fixes/
杜蕾斯印度公司网站被曝存在安全漏洞,客户私密信息恐遭泄露
近日,杜蕾斯印度分公司被指控发生了一起严重的数据泄露事件,可能导致大量客户的敏感个人信息被曝光。这一事件不仅引发了人们对数据安全的担忧,也凸显了电子商务行业加强信息保护的迫切性。
据安全研究员Sourajeet Majumder报告,知名避孕套品牌杜蕾斯印度网站的订单确认页面存在安全漏洞,导致客户的个人信息被泄露。泄露的信息包括客户的全名、电话号码、电子邮件地址、送货地址、订购商品详情以及支付信息。虽然具体受影响的客户数量尚未确定,但Majumder表示,至少有数百名客户的信息可能已经泄露。考虑到杜蕾斯产品的私密性质,且发生在比较保守的地区,这次数据泄露可能会给受影响的客户带来严重的后果,甚至受到社会骚扰或道德审查。
目前,印度计算机应急响应小组(CERT-In)已确认收到了Majumder的报告。然而,杜蕾斯印度及其母公司瑞凯特尚未对此事作出公开回应。
原文链接:
https://thecyberexpress.com/durex-india-data-breach/
美国航空安全系统中发现SQL注入缺陷,攻击者可绕过安检进入驾驶舱
近日,安全研究人员在一项关键的美国航空运输安全系统中发现了一个严重的安全缺陷,攻击者可能利用这个缺陷绕过安全检查并进入商业航空公司的驾驶舱。
该缺陷存在于航空公司用于管理已知机组人员(KCM)计划和驾驶舱访问安全系统(CASS)的第三方网络服务FlyCASS中。KCM计划允许飞行员和空乘人员跳过常规安全检查,CASS则使授权的飞行员在非执勤状态下乘坐在驾驶舱内的额外座位上。这两个系统都由柯林斯航空航天公司的子公司ARINC运营,通过在线平台验证航空公司员工的凭证。研究人员发现FlyCASS的登录系统存在SQL注入漏洞。利用这一缺陷,他们成功以Air Transport International航空公司管理员身份登录,并添加了一个虚构的员工“Test TestOnly”,授予其KCM和CASS访问权限。
发现问题后,美国国土安全部(DHS)迅速采取行动,于2024年5月7日将FlyCASS与KCM/CASS系统断开连接。随后,FlyCASS修复了这一缺陷。
原文链接:
https://www.bleepingcomputer.com/news/security/researchers-find-sql-injection-to-bypass-airport-tsa-security-checks/