周刊 | 网安大事回顾(2022.12.12—2022.12.18)

近日,国家互联网信息办公室、工业和信息化部、公安部联合发布《互联网信息服务深度合成管理规定》,自2023年1月10日起施行。国家互联网信息办公室有关负责人表示,出台《规定》,旨在加强互联网信息服务深度合成管理,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。

网安热点方面,亚马逊云曝出“超级漏洞”,攻击者可删除任何镜像;谷歌进军漏洞管理市场,推出免费开源漏洞扫描工具;全球最大乐高用户社区曝出账户劫持漏洞;国际乒联泄露马龙和樊振东的信息;美国加州财政部遭勒索攻击,专家称不清楚黑客如何入侵;印度外交部泄露其海外居民的护照详细信息…

一周网安风云回顾,GoUpSec带你安全看世界。

1政策法规

关键词:互联网信息 电力 数据安全

国家网信办等三部门发布《互联网信息服务深度合成管理规定》

近日,国家互联网信息办公室、工业和信息化部、公安部联合发布《互联网信息服务深度合成管理规定》,自2023年1月10日起施行。国家互联网信息办公室有关负责人表示,出台《规定》,旨在加强互联网信息服务深度合成管理,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。

国家能源局印发《电力行业网络安全管理办法》

为深入贯彻习近平总书记关于网络强国的重要思想,加强电力行业网络安全监督管理,规范电力行业网络安全工作,国家能源局对《电力行业网络与信息安全管理办法》(国能安全〔2014〕317号)进行了修订。修订后的《电力行业网络安全管理办法》已印发。

工信部印发《工业和信息化领域数据安全管理办法(试行)》

为了规范工业和信息化领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益,根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国国家安全法》《中华人民共和国民法典》等法律法规,工业和信息化部印发工业和信息化领域数据安全管理办法(试行)》。

工信部、国家网信办发文 进一步规范移动智能终端应用软件预置行为

为进一步规范移动智能终端应用软件预置行为,保护用户权益,提升移动互联网应用服务供给水平,构建更加安全、更有活力的产业生态,促进移动互联网持续繁荣发展,根据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国电信条例》,工业和信息化部、国家互联网信息办公室发布关于进一步规范移动智能终端应用软件预置行为的通告。

2热点新闻

关键词:超级漏洞 漏洞管理 API安全漏洞

亚马逊云曝出“超级漏洞”,攻击者可删除任何镜像

近日,Lightspin安全分析师在Amazon ECR公共库中发现一个严重漏洞,允许攻击者删除任何容器映像或将恶意代码注入其他AWS账户的镜像。研究者透露,利用该漏洞,攻击者可通过滥用未记录的API操作来修改其他用户的现有公共映像、层、标签、注册表和存储库。研究人员于2022年11月15日向亚马逊网络安全部门报告了该漏洞,亚马逊在24小时内推出了修复程序。

谷歌进军漏洞管理市场,推出免费开源漏洞扫描工具

谷歌周三宣布推出免费漏洞扫描器OSV-Scanner,为开发人员提供开源项目漏洞信息查询服务,谷歌宣称OSV-Scanner提供当前最大的社区可编辑开源漏洞数据库。据悉,OSV-Scanner使开发人员能够自动将代码和依赖项与已知漏洞列表进行匹配,并确定是否有补丁或更新可用。

全球最大乐高用户社区曝出账户劫持漏洞

近日,Salt Security的安全分析师在乐高集团的官方积木市场BrickLink.com中发现了两个API安全漏洞,漏洞可允许攻击者接管用户帐户,访问和窃取存储在平台上的个人身份信息(PII),甚至访问乐高内部生产数据并破坏内部服务器。BrickLink是世界上最大的乐高粉丝在线社区,拥有超过一百万的注册会员。

3融资动态 

关键词:埃文科技

埃文科技获得数千万元的A轮融资

全国网络信息安全创业投资服务联盟(筹)会员单位——郑州埃文计算机科技有限公司宣布完成数千万A轮融资,投资方为河南数豫高成长服务业股权投资基金。资金主要用于全球网络实体实时定位技术的迭代、网络性能监测与诊断和数据安全的研发与升级、人才队伍建设、市场拓展等方面。

4网络攻击 

关键词:国际乒联 勒索攻击 护照信息泄露 世界杯

国际乒联泄露马龙和樊振东的信息

据荷兰媒体RTL Nieuws当地时间12月12日报道,由于国际乒乓球联合会(ITTF)的服务器出现安全问题,数百名乒乓球运动员的护照细节和疫苗接种证明等信息被泄露,其中包括中国运动员马龙和樊振东的信息。泄露原因可能是国际乓联的云储存是开放状态,每个人都可以搜索文件夹文档/medical_information。该媒体在发布新闻之前,告知了国际乒联此安全问题,暴露的文件将不再能公开访问。

美国加州财政部遭勒索攻击,专家称不清楚黑客如何入侵

Bleeping Computer网站披露,LockBit黑客组织宣布从加州财政部盗取近76GB数据。目前,加州网络安全情报中心已着手调查此次网络攻击事件。据悉,加州州长紧急事务办公室已经证实了财政部遭受了网络攻击,并强调攻击事件发生不久后,通过与联邦安全合作伙伴协调,确定网络威胁后,迅速部署数字安全和在线威胁猎取专家,评估网络入侵的危害程度,以期控制、减轻网络攻击带来的影响。

印度外交部泄露其海外居民的护照详细信息

据Cybernews 12月13日的报道,其研究团队收到报告,说是印度外交部专门负责联络海外印度侨民的Global Pravasi Rishta Portal平台泄露了用户敏感的护照详细信息。Cybernews在调查后证明确有其事。据悉,Global Pravasi Rishta Portal以明文形式公开了注册用户的用户名、姓氏、电话、电子邮件地址,职业状态、护照号码和居住国。该数据泄漏可能是由于安全措施不佳,例如缺乏身份验证方法。

错过半决赛,黑客攻击导致世界杯流媒体FuboTV中断

据BleepingComputer近日消息,美国东部时间14日下午2点,FuboTV因遭到网络攻击,导致用户无法登录流媒体直播,观看卡塔尔世界杯半决赛法国与摩洛哥的比赛。根据FuboTV发布的声明,他们已于14日晚间恢复了服务,对这一事件造成的影响深感遗憾,并表示调查尚处于早期阶段,但会致力于确保此事件的透明度,适时公布调查的最新动态

前一篇外媒:国际乒联服务器出问题,马龙樊振东等个人信息遭泄露
后一篇2023年五大免费在线网络安全课程