新闻速览
•十一部门联合印发《关于推动新型信息基础设施协调发展有关事项的通知》,提出增强全方位安全保障能力
•2024年北京地区电信和互联网行业网络与数据安全检查工作启动
•北京暑期“清朗”行动处置2.3万余违法违规账号
•Clearview AI在荷兰遭遇2.39亿元重罚
•三名男子因提供多因素身份验证绕过服务面临审判
•美国福利保险公司CBIZ遭遇数据泄露,3.6万客户敏感信息被窃取
•位置追踪服务Tracelo遭遇重大数据泄露,超140万用户信息暴露
•一款已停产的D-Link路由器上发现多个严重远程代码执行漏洞
•VMware紧急修复可让黑客恶意代码的Fusion严重安全漏洞
特别关注
十一部门联合印发《关于推动新型信息基础设施协调发展有关事项的通知》,提出增强全方位安全保障能力
9月4日,工业和信息化部、中央网信办等11个部门联合引发《关于推动新型信息基础设施协调发展有关事项的通知》。《通知》从全国统筹布局、跨区域协调、跨网络协调、跨行业协调、发展与绿色协调、发展与安全协调、跨部门政策协调等方面明确具体举措,推动新型信息基础设施协调发展。
《通知》提出要从三方面增强全方位安全保障能力:
(一)提升网络和数据安全保障能力。基础电信企业要加强网络安全设施与信息基础设施协同建设。相关企业要配合开展网络安全能力成熟度评价,强化物联网、人工智能等新技术风险评估,严格落实物联网卡安全管理要求。要建立健全数据安全管理制度,强化重要数据识别备案和分级防护,加强数据安全监测预警和应急处置手段建设,开展数据安全风险评估,提升数据安全保障能力。
(二)增强跨行业安全服务赋能。各地通信管理局要组织相关单位升级完善国家工业互联网安全技术监测体系,支持重点工业互联网企业、车联网企业建设网络和数据安全技术监测手段。推广实施工业互联网安全分类分级管理、车联网网络安全定级防护备案,加快安全防护贯标,加强车联网卡实名登记管理。
(三)增强信息基础设施稳定安全运行能力。各地通信管理局要指导基础电信企业开展运行安全风险评估,严格落实“三同步”要求,对重要网元进行分级分类管理。基础电信企业要做好通信安全生产工作,完善抗震、防灾、防火、防雷等措施,加强隐患排查整治,坚决遏制重特大安全事故。
原文链接:
https://wap.miit.gov.cn/jgsj/txs/wjfb/art/2024/art_fd2f0e91ff0d45209ae74744d58b6b50.html
2024年北京地区电信和互联网行业网络与数据安全检查工作启动
9月4日,北京市通信管理局印发《关于开展2024年电信和互联网行业网络与数据安全检查的通知》。《通知》指出,为进一步提升北京市电信和互联网行业网络与数据安全防护水平,按照工业和信息化部、北京市委市政府总体部署,结合工作职责,北京市通信管理局决定组织开展2024年电信和互联网行业网络与数据安全检查工作。
此次检查对象为北京市基础电信企业、域名注册服务企业、云平台服务提供商、APP运营企业、车联网平台企业、工业互联网平台和标识解析节点企业等。重点检查相关企业建设运营的网络、系统、平台、应用、业务,特别是电信和互联网行业关键信息基础设施和重要网络单元及承载的信息系统。
检查内容包括网络安全管理制度和保障体系建设落实情况、通信网络安全防护工作落实情况、数据安全保护落实情况、个人信息保护及安全隐患工作情况、工业互联网企业网络安全防护情况,以及车联网网络安全防护定级备案管理情况。
检查工作将分成四个部分;一是自查自纠,自通知印发之日起至2024年9月20日进行;二是通报处置,自通知印发之日起至11月30日进行;三是重点抽查,自2024年9月21日至10月30日进行;四是整改问责,对检查过程中发现的问题,各企业要将相关整改情况要形成总结报告及时报送北京市通信管理局,对拒不配合检查、逾期不改正者,北京市通信管理局将依法依规严肃处理。
原文链接:
https://mp.weixin.qq.com/s/g2hXlP2qCVExIjmWD290MA
北京暑期“清朗”行动处置2.3万余违法违规账号
北京市网信办9月3日消息,自“清朗·2024年暑期未成年人网络环境整治”专项行动启动以来,暑期属地重点网站平台拦截清理涉未成年人违法违规信息130余万条,处置违法违规账号2.3万余个,未成年人网络环境日渐清新清朗。
今年暑期,北京市网信办指导属地重点网站平台结合自身产品类型和未成年人上网特点,全面排查产品服务,重点巡查未成年人较为活跃的产品功能和位置板块,深入清理涉未成年人违法违规信息,严肃处置违法违规账号。
针对一些重点问题,指导各平台结合产品特点,对将“二次包装”经典动画、摆拍校园霸凌视频、发布诱导不良交友等6个环节26项突出问题逐一细化,制定整改方案,及时通报典型处置案例。如快手绘制了“未成年风险地图”,细分出14类75项具体问题,涵盖未成年色情、未成年营销、未成年不良导向等各类风险;微博重点加强在未成年人照片分享、交友信息等页面,发布诱导不良交友、引流非法网站等信息的打击治理力度。各平台重点针对动画、漫画、表情包等不良二创内容进行治理,截至目前共计定位并处置涉不良二创内容约6000条。
原文链接:
https://mp.weixin.qq.com/s/GXwFDcLLRa6kjHBVcT5XOQ
热点观察
Clearview AI在荷兰遭遇2.39亿元重罚
近日,荷兰数据保护局(DPA)对美国AI公司Clearview AI处以3050万欧元(约合人民币2.39亿元)的巨额罚款,这一处罚力度在隐私违规案例中堪称最严厉之一。此外,荷兰DPA还明确警告本国组织禁止使用Clearview AI的服务。
Clearview AI因未经公民知情或同意,从互联网上收集超过300亿张面部照片建立庞大数据库的行为而受到严厉制裁。该公司将这些图像转换为独特的生物识别代码,使其客户能够根据摄像头录制的画面识别个体。荷兰DPA认为,这种做法严重侵犯了公民隐私权,面部识别作为一种高度侵入性的技术的使用应限制在具备能力的机构,像Clearview AI这样的商业公司无权建立和维护此类数据库。
欧洲数据保护委员会(EDPB)列出了Clearview AI多项违反通用数据保护条例(GDPR)的行为,包括非法数据处理、生物识别数据违规、信息披露不足、忽视访问请求,以及缺乏欧盟代表等。除罚款外,荷兰DPA要求Clearview AI立即停止违规行为,否则可能面临高达510万欧元的额外罚款。此外,荷兰DPA正在探索追究Clearview董事个人责任的可能性。
荷兰DPA对面部识别技术使用的严格立场,可能会对欧盟乃至全球范围内该技术的发展和监管产生深远影响。
原文链接:
https://thecyberexpress.com/dutch-dpa-fine-on-clearview-ai/
三名男子因提供多因素身份验证绕过服务面临审判
近日,三名英国男子承认通过运营OTP Agency的网站,为网络犯罪分子提供绕过银行账户的多因素身份验证(MFA)服务,从而实施账户劫持。
OTP Agency提供不同级别的套餐服务,基础套餐月费30英镑,可绕过HSBC、Monzo和Lloyds等银行的MFA;高级“精英”计划月费380英镑,可访问Visa和Mastercard的验证网站。该网站还通过自动拨号系统冒充银行工作人员,诱骗受害者透露一次性密码(OTP),并伪造来电显示以增加可信度。英国国家犯罪局(NCA)于2020年6月开始调查此案。据估计,在2019年9月至2021年3月网站关闭期间,超过1.25万名公众成为攻击目标。NCA认为,三名嫌疑人通过这些非法活动至少赚取了30万英镑。他们将于11月2日在斯内尔斯布鲁克皇家法院接受判决。
网络安全研究人员指出,当前网络钓鱼工具包变得越来越复杂,使得网络犯罪分子能够绕过MFA,甚至能够突破身份验证应用程序的防护,建议在线银行客户保持警惕,如有需求直接通过官方渠道与相关组织联系进行核实。
原文链接:
https://www.infosecurity-magazine.com/news/three-plead-guilty-running-mfa/
网络攻击
美国福利保险公司CBIZ遭遇数据泄露,3.6万客户敏感信息被窃取
近日,美国福利与保险服务公司披露了一起涉及近3.6万名客户敏感信息的严重数据泄露事件。
根据披露信息,黑客利用CBIZ网站的一个漏洞,在6月2日至21日期间未经授权访问了多个数据库,窃取了大量客户敏感信息。CBIZ于6月24日发现异常,随即启动调查并聘请网络安全专家评估影响范围。调查结果显示,此次泄露主要涉及CBIZ客户中的退休人员健康和福利计划相关数据。被泄露的信息可能包括姓名、联系方式、社会安全号码、出生日期,某些情况下还包括死亡日期。
CBIZ从7月24日起开始通知受影响客户,提供详细的数据泄露信息,并在8月28日前向受影响个人发送通知信,概述保护措施,为涉及社会安全号码泄露的个人提供两年免费信用监控和身份盗窃保护服务。同时,CBIZ修复了导致泄露的网站漏洞,加强系统安全措施,并与执法机构合作调查事件,追究责任人。尽管目前没有证据表明泄露信息被滥用,CBIZ仍建议受影响个人保持警惕,定期检查账户对账单和信用报告,防范可能的诈骗和身份盗窃风险。
原文链接:
https://thecyberexpress.com/cbiz-data-breach-disclosed/
位置追踪服务Tracelo遭遇重大数据泄露,超140万用户信息暴露
近日,智能手机地理定位追踪服务Tracelo发生严重数据泄露事件,导致超过140万用户的个人信息被公开。黑客Satanic声称成功入侵Tracelo系统,并在暗网论坛Breach Forums上暴露了1459014名个人的敏感数据。
Tracelo是一项新兴服务,号称只需电话号码即可确定个人位置。尽管公司强调其道德实践和负责任的追踪方式,但其透明度不足引发了隐私方面的担忧。
根据Hackread.com研究团队的分析,此次泄露的数据总量为264MB,包含三个CSV文件。泄露的信息涵盖了用户全名、电话运营商、电话号码、国家、城市、时区、电子邮件地址、实际地址、密码哈希值、最近登录日期、订阅类型、谷歌ID号码等敏感信息。值得注意的是,虽然Tracelo的服务旨在追踪他人位置,但此次泄露的数据并不包含被追踪者的位置信息,反而暴露了Tracelo客户自身的个人数据。
原文链接:
https://hackread.com/tracelo-location-tracker-data-breach-user-records-leak/
漏洞预警
一款已停产的D-Link路由器上发现多个严重远程代码执行漏洞
近日,安全研究人员发现D-Link已停产的DIR-846W路由器存在多个严重的远程代码执行(RCE)漏洞,其中三个被评为严重且无需身份验证即可利用。
其中,CVE-2024-41622是利用/HNAP1/接口中的tomography_ping_address参数进行的RCE漏洞,CVSS v3评分高达9.8;CVE-2024-44340是利用SetNetworkSettings接口的RCE漏洞。研究人员目前尚未公开这些漏洞的概念验证(PoC)利用方式,但考虑到漏洞的严重性,可能会在短期内被恶意利用。
为此,D-Link强烈建议用户立即停用DIR-846W路由器,并警告称继续使用可能会对连接的设备造成风险。尽管D-Link已于2020年结束对DIR-846型号的支持,距今已有四年多,但由于许多用户往往只有在遇到硬件问题或实际限制时才会更换路由器,因此受影响的设备为数可能不少。
原文链接:
https://www.bleepingcomputer.com/news/security/d-link-says-it-is-not-fixing-four-rce-flaws-in-dir-846w-routers/
VMware紧急修复可让黑客恶意代码的Fusion严重安全漏洞
近日,VMware发布安全公告,修复了其VMware Fusion产品中一个严重安全漏洞。该漏洞(CVE-2024-38811)由于应用程序使用了不安全的环境变量,让具有标准用户权限的攻击者就能在Fusion应用程序的上下文中执行任意代码。
这一漏洞影响运行在MacOS上的VMware Fusion 13.x版本。截至目前,尚未发现针对CVE-2024-38811的具体利用方式在流传。为应对此威胁,VMware的母公司博通已发布更新以修复此漏洞,并强烈建议用户升级到VMware响应矩阵中指定的修复版本VMware Fusion 13.6。
根据公告,用户可以通过以下步骤检查已安装的VMware Fusion版本:在Mac上打开VMware Fusion,点击屏幕顶部菜单栏中的“VMware Fusion”,从下拉菜单中选择“关于VMware Fusion”,随后会出现一个显示当前安装版本号的窗口。
原文链接:
https://cybersecuritynews.com/vmware-fusion-code-execution-vulnerability/