新闻速览
•国家发展改革委、国家数据局等部门联合印发《国家数据标准体系建设指南》
•金融业商用密码技术应用发展报告(2023-2024)》与相关应用图谱发布
•微软承认Word离奇Bug:命名不当会导致文件被删
•Imperva:全球企业每年因API和机器人程序攻击损失已达1860亿美元
•美国多家电信运营商因网络安全防护不利被重罚
•欧洲最大核废料处理场因存在网络安全隐患受到监管处罚
•美国水务公司因网络攻击紧急关闭在线服务系统
•环球音乐集团数据泄露,数百用户隐私信息泄露
•黑客利用CosmicSting漏洞攻击Adobe Commerce商店
•可被针对性利用!高通紧密修补一个较严重的安全缺陷
特别关注
国家发展改革委、国家数据局等部门联合印发《国家数据标准体系建设指南》
近日,国家发展改革委、国家数据局、中央网信办、工业和信息化部、财政部、国家标准委联合印发《国家数据标准体系建设指南》(以下简称《建设指南》)。
《建设指南》深入贯彻落实习近平总书记关于数据发展和安全的重要论述精神,以数据“供得出、流得动、用得好、保安全”为指引,从基础通用、数据基础设施、数据资源、数据技术、数据流通、融合应用、安全保障等7个部分,加快构建数据标准体系,全面指导数据标准化工作开展,为制修订数据领域相关标准提供了重要指引,有利于充分发挥数据标准体系在激活数据要素潜能、建设数据产业生态、做强做优做大数字经济、培育和发展新质生产力等方面的引领和规范作用。
《建设指南》提出计划到2026年底,基本建成国家数据标准体系,围绕数据流通利用基础设施、数据管理、数据服务、训练数据集、公共数据授权运营、数据确权、数据资源定价、企业数据范式交易等方面,制修订30多项数据领域基础通用国家标准,形成一批标准应用示范案例,建成标准验证和应用服务平台,培育一批具备数据管理能力评估、数据评价、数据服务能力评估、公共数据授权运营绩效评估等能力的第三方标准化服务机构。
原文链接:
https://mp.weixin.qq.com/s/Ude_xSzYPZx119JgGuHKtw
热点观察
《金融业商用密码技术应用发展报告(2023-2024)》与相关应用图谱发布
日前,北京金融信息化研究所在京举办数字金融安全大会暨第二届金融业密码技术应用大会(闭门),并在会上发布《金融业商用密码技术应用发展报告(2023-2024)》《金融行业商用密码技术应用全景图(2024版)》《量子计算与抗量子密码金融应用图谱(2024版)》多项成果。
《金融业商用密码技术应用发展报告(2023-2024)》研究认为,商用密码技术作为保障金融网络与数据安全的基石,未来仍存在广阔应用前景。研究表明,多数被调研机构已实现等保4级系统数据传输和存储的机密性与完整性保护,但考虑性能、改造复杂度与成本等因素,等保3级系统中重要数据的防护情况差异较大。未来,预计行业将围绕数据安全持续推进商用密码技术应用。其中,关键业务数据的数据库层面存储加密是被调研机构优先考虑的数据安全应用场景,随着相关政策不断深化,金融行业对数据库加密产品的兼容适配需求也在不断涌现。
为切实缓解金融机构在商用密码应用改造和评估工作中面临的产品选型挑战,深化商用密码在数据安全保护中的应用,推动商用密码的金融创新,并呈现商用密码的金融应用生态,研究所与安全牛开展合作,通过企业自主申报与银企两侧的多轮调研与筛选,现正式发布《金融行业商用密码技术应用全景图(2024版)》。
原文链接:
https://mp.weixin.qq.com/s/xeBQg3MC1_S7DNIGVslqUg
微软承认Word离奇Bug:命名不当会导致文件被删
10月8日消息,微软近日确认Word应用中存在一个Bug,该漏洞可能导致用户在特定情况下错误地删除文件。该问题主要出现在文件命名过程中,如果用户在保存Word文件时采用特定的命名方式,文件可能会被移动到回收站。
根据微软支持中心的消息,如果用户在命名Word文件时使用大写文件扩展名(例如.DOCX或.RTF而不是.docx或.rtf),或者在文件名中包含井号(#),文件在保存时可能会被删除。不过这些文件不会永久丢失,用户可以从回收站中恢复它们。
为了解决这个问题,微软建议用户在关闭文件前手动保存,因为该Bug似乎只在用户通过点击窗口右上角的关闭按钮保存文件时发生。用户还可以通过访问“文件-选项-保存-使用键盘快捷键打开或保存文件时不显示后台视图”,并启用此功能,以避免这一问题。此外,还可以恢复到以前的版本直到推出修复。
原文链接:
https://news.mydrivers.com/1/1006/1006988.htm
Imperva:全球企业每年因API和机器人程序攻击损失已达1860亿美元
Imperva公司日前发布《API和机器人程序攻击的经济影响》报告。数据显示,由于易受攻击或不安全的应用编程接口(API)和机器人程序自动滥用,企业每年损失940亿至1860亿美元。这些安全威胁已占全球网络事件和损失的11.8%,对全球企业构成了越来越大的风险。
该报告基于Marsh McLennan网络风险情报中心开展的全面研究,分析了161000多起独特的网络安全事件。研究认为,企业高度依赖API显著扩大了攻击面,与API相关的安全事件在2023年增加了9%。这类攻击特别危险,因为API经常充当直接通往企业底层基础设施和敏感数据的途径。
随着针对API的攻击不断增多,机器人程序攻击已成为一种广泛而严重的威胁,每年造成高达1160亿美元的损失。机器人程序现在是API安全面临的最严重威胁之一。去年,所有API攻击中30%来知自动化威胁,17%就与利用业务逻辑漏洞的机器人程序有关。尤其是年收入超过10亿美元的企业面临API和机器人程序攻击的风险特别高。
原文链接:
https://thehackernews.com/2024/10/vulnerable-apis-and-bot-attacks-costing.html
美国多家电信运营商因网络安全防护不利被重罚
近日,美国电信运营商T-Mobile US和AT&T因网络安全防护不利,受到美国政府数千万美元的重罚和公开警告,这也显示了拥有大量宝贵消费者信息的电信运营商正面临日益严峻的安全挑战。
美国联邦通信委员会执法局指控T-Mobile 未能履行其保护私人信息机密性的法律义务,同时未能采取合理措施保证其数据安全性,导致公司在 2021-2023 年连续三年遭受数据泄露事件,并造成了重大影响,因此向 T-Mobile 处以 1575 万美元罚款。
同样,AT&T公司也因云数据提供商Snowflake存储的客户信息泄露而被联邦通信委员会执法局罚款1300万美元。联邦通信委员会指出,AT&T未能确保其数据存储供应商妥善处理客户数据。该公司同意实施更可靠的数据治理做法,以加强其供应链完整性。
原文链接:
https://www.sdxcentral.com/articles/analysis/t-mobile-us-att-slapped-with-hefty-cybersecurity-attack-fines/2024/10/
欧洲最大核废料处理场因存在网络安全隐患受到监管处罚
日前,英国核监管办公室(ONR)表示,欧洲最大的核废料处理场塞拉菲尔德核废料场(Sellafield)未能达到其自己的网络安全计划中规定的标准、程序和措施,也未能在2019年至2023年期间妥善保护敏感的核信息,因此将对其处以332500英镑罚款。
今年6月,ONR根据《2003年核工业安全条例》对塞拉菲尔德有限公司提起诉讼,指责其涉嫌信息技术安全违法行为。在提交给法院的文件中,英国核监管办公室指出,塞拉菲尔德核废料场多年来一直存在网络安全管理方面的问题,任何运营差错都将带来灾难性影响。
ONR声称,虽然还没有发现这些漏洞已经被利用,但是有充分证据表明,这些安全漏洞不仅会泄露有关核能方面的敏感信息,还给塞拉菲尔德核废料场带来重大安全隐患。针对ONR的指控,Sellafield公司表示认罪并接受处罚。
原文链接:
https://www.itpro.com/security/sellafield-issued-hefty-fine-for-cybersecurity-failures
网络攻击
美国水务公司因网络攻击紧急关闭在线服务系统
日前,美国最大的自来水和污水处理公用事业上市公司美国水务公司(American Water Works)向美国证券交易委员会(SEC)提交了相关文件,向公众通报一起网络攻击事件。通报表示,已聘请第三方网络安全专家帮助遏制和评估事件的影响,现正在开展联合调查。
美国水务公司是美国最大的受监管水务公共事业公司,总部位于新泽西州,为14个州及18个军事设施的约1400万人提供饮用水、废水处理及其他相关服务。公司在其受监管的业务中报告,2023年净收入达9.71亿美元。
公告显示,目前这次攻击已迫使美国水务公司关闭了其在线客户门户网站服务MyWater,并暂停了计费服务。此外,所有账单处理已暂停,公司的呼叫中心也已无法正常运作。但其供水和废水设施未受到攻击的影响。
美国环保署最近发布了指导意见,帮助自来水和废水系统的所有者和运营者评估网络安全实践,并确定降低攻击风险的措施。
原文链接:
https://www.bleepingcomputer.com/news/security/american-water-shuts-down-online-services-after-cyberattack/
环球音乐集团数据泄露,数百用户隐私信息泄露
据Cyberrnews网站报道,全球知名唱片公司环球音乐集团(UMG)日前发生数据泄露事件,导致680名用户的个人隐私信息被盗。
UMG在向缅因州总检察长办公室提交的一份事件说明文件中表示,他们已确定未经授权的第三方获取了可能含有个人信息的数据。公司已经聘请了一家数据审查公司来审查泄露的数据,并在2024年8月30日收到了审查结果。攻击者窃取了公司部分用户的姓名、社会保障号码及其他个人资料,但没有证据表明这些受被窃取的数据被恶意利用。
UMG表示,将为数据被泄露的用户提供了为期两年的免费信用监控和身份盗窃防护。这家知名唱片公司并未具体透露这起入侵事件的性质。
原文链接:
https://www.scmagazine.com/brief/data-breach-reported-by-universal-music-group
安全漏洞
黑客利用CosmicSting漏洞攻击Adobe Commerce商店
Adobe Commerce(前身为Magento)是Adobe拥有的一个强大的电子商务平台,为B2B企业和B2C企业提供灵活可扩展的解决方案。它提供“高级定制”、“集成分析”以及通过Adobe Commerce Cloud提供的“基于云的托管”等功能。
Sansec的研究分析师近日发现,攻击者一直在大肆利用CosmicSting漏洞以攻击数千家Adobe Commerce(即Magento商店)。
自2024年6月11日以来,名为“CosmicSting”的严重安全漏洞(编号为CVE-2024-34102)使7个不同的黑客组织得以入侵4275个Adobe Commerce和Magento电子商务平台。这些黑客组织采用各种复杂的技术,比如“恶意软件加载器”、“自定义混淆方法”以及通过受感染“代理商店”从受影响的商家窃取敏感的客户支付信息。
该漏洞专门针对平台的加密密钥系统,这使攻击者能够生成未经授权的API授权令牌,从而使他们能够通过“CMS块”将名为“支付盗刷器”的恶意代码注入到商店结账页面中。
尽管Adobe在7月8日发布了安全补丁,但大约5%的商店受到了影响。这是由于更新并不自动使现有的加密密钥失效,从而使商家易受攻击,除非它们手动删除旧密钥。
原文链接:
https://cybersecuritynews.com/hackers-exploit-cosmicsting-flaw/
可被针对性利用!高通紧密修补一个较严重的安全缺陷
日前,高通公司紧急发布了针对数字信号处理器(DSP)服务一个较为严重的安全缺陷的补丁。这个安全缺陷由谷歌Project Zero报告,其根源是释放后使用(UAF)缺陷,一旦被拥有低权限的本地攻击者成功利用,该缺陷可能导致内存损坏。
高通公司警告称,该安全缺陷可能受到有限的针对性利用。影响FASTRPC驱动程序的补丁已提供给OEM厂商,强烈建议用户尽快在受影响的设备上部署更新。高通还敦促用户与设备制造商联系,以了解有关具体设备补丁状态的更多细节。
原文链接:
https://www.bleepingcomputer.com/news/security/qualcomm-patches-high-severity-zero-day-exploited-in-attacks/