周刊 | 网安大事回顾（2022.12.26—2023.1.1）

2023年1月3日作者：GoUpSec

工业和信息化部12月27日在官方网站公开征求对《工业和信息化部关于进一步提升移动互联网应用服务能力的通知（征求意见稿）》的意见。《征求意见稿》对安装卸载行为、优化服务体验、加强个人信息保护以及响应用户诉求等方面作出了相关规定。

网安热点方面，2022年中国网络安全行业《零信任产品及服务购买决策参考》发布；2022年三季度网络钓鱼攻击暴增五倍；黑客在暗网出售4亿Twitter用户数据；因未经用户同意存放cookie，微软被罚6000万欧元；加拿大最大儿童医院遭勒索攻击，一周仍未恢复系统；关基保护重大事件！能源巨头因遭受勒索攻击影响信用评级…

一周网安风云回顾，GoUpSec带你安全看世界。

1、政策法规

关键词：APP 个人信息保护

工信部拟出台措施规范APP安装卸载行为

最高法发文要求加强消费者个人信息保护

12月27日，最高人民法院发布《关于为促进消费提供司法服务和保障的意见》，从四大方面提出30条具体服务保障举措，助力恢复和扩大消费，不断满足人民群众日益增长的美好生活需要。《意见》明确，要加强消费者个人信息保护。要求经营者处理敏感个人信息、跨境转移个人信息等行为应当取得消费者单独同意，经营者以其获得消费者概括同意为由进行免责抗辩的，人民法院对其抗辩不予支持。

2、热点新闻

关键词：零信任钓鱼黑客

2022年中国网络安全行业《零信任产品及服务购买决策参考》发布

为了帮助企业拨开零信任营销迷雾，提高市场能见度，全面了解潜在零信任战略合作伙伴。GoUpSec深入调研了20家知名国内零信任专业提供商和综合安全厂商，从产品功能、应用行业、成功案例、安全策略等维度对各厂商零信任产品及服务进行调研了解，整理形成了2022年中国网络安全行业《零信任产品及服务购买决策参考》。

2022年三季度网络钓鱼攻击暴增五倍

根据APWG最新发布的安全报告，2022年第三季度APWG共监测到127万次网络钓鱼攻击，创下历史新高。2022年8月发现了43万个网络钓鱼站点，是APWG报告有史以来单月最高记录。2020年第一季度APWG监测到23万次网络钓鱼攻击，2022年第三季度这个数字增长了五倍多。

黑客在暗网出售4亿Twitter用户数据

近日，一位名为“Ryushi”的黑客以20万美元的买断价格独家在黑客论坛上出售4亿Twitter用户的公共和私人数据（包括私人电话号码和电子邮件地址），这名黑客声称这些数据是2021年利用一个现已修复的Twitter漏洞抓取的。这名黑客还警告埃隆·马斯克和Twitter，他们应该在欧洲GDPR隐私法开出巨额罚单之前购买这些数据。

因未经用户同意存放cookie，微软被罚6000万欧元

近日，法国隐私监管机构对微软爱尔兰子公司处以了6000万欧元的罚款，因微软在未经用户明确同意的情况下在用户计算机中投放广告cookie，这违反了欧盟的数据保护法。除了行政罚款外，CNIL还通过了一项处罚禁令，促使微软在三个月内在“bing.com”网站上建立等效于接受cookie的拒绝cookie机制，并确保只有在用户同意之后才能存入用于广告目的的cookie。否则，微软将承担每天60000欧元的罚款。

3、融资动态

关键词：华云安长扬科技安势信息

华云安完成B轮融资

近日，北京华云安信息技术有限公司完成数千万人民币的B轮融资，此轮融资由执一资本领投，领沨资本、老股东微智数科、国君景泰跟投，密码资本再次担任独家财务顾问。本轮融资将用于加速攻击面管理（ASM）+入侵和攻击模拟（BAS）产品体系建设,进一步打造数字时代ASM和BAS产品创新力，引领全球数字安全创新方向。

长扬科技完成F轮共计近3亿元战略融资

近日，长扬科技完成F2轮战略融资。本轮融资由曦域资本领投，老股东景泰投资跟投，安澜新扬成为新的投资方。至此，长扬科技F轮融资已全部到位，F1+F2合计近3亿元。本轮融资将主要用于核心技术创新以及相关研发基础设施建设等。

安势信息完成数千万元级别Pre-A轮融资

安势信息于日前完成Pre-A轮融资。据了解，本轮融资金额在数千万元级别，领投方为微智数科，晨壹投资跟投，山景资本担任独家财务顾问。

4、网络攻击

关键词：勒索攻击关基加密货币

加拿大最大儿童医院遭勒索攻击，一周仍未恢复系统

加拿大规模最大的儿科保健中心，多伦多病童医院在12月18日遭遇勒索软件攻击，目前正在努力恢复系统。这家隶属多伦多大学的医院最初表示，攻击事件只影响到几个网络系统，对病患的正常护理仍在继续。尽管如此，该机构还是将事件划归“灰色代码”级别，即代表发生了“系统故障”。

关基保护重大事件！能源巨头因遭受勒索攻击影响信用评级

南美洲国家哥伦比亚的能源巨头Empresas Publicas de Medellin(EPM)近日遭到网络攻击，导致公司网站、移动应用、支付网关以及内联网运营中断。穆迪评级称，这起事件可能影响其信用水平。该事件为关键基础设施行业敲响警钟，提醒相关企业应制定行之有效的缓解措施与漏洞管理计划。

300万美元加密货币被盗，BTC.com遭受网络攻击

12月26日，知名加密货币挖矿公司BIT Mining发布了一则公告，证实该公司的子公司BTC.com于2022年12月3日遭受了网络攻击，并导致了部分数字资产（价值约300万美元）失窃。BTC.com在新闻稿中透露，属于其客户的价值约70万美元的加密货币和属于该公司的价值约230万美元的加密货币在这次网络攻击中被盗。

BitKeep遭网络攻击，数字货币损失超900万美元

区块链加密钱包BitKeep于12月28日证实了一次网络攻击，该攻击允许攻击者分发带有欺诈性的Android应用程序，目的是窃取用户的数字货币。BitKeep首席执行官Kevin Como表示：该次网络攻击通过恶意植入的代码，更改的APK导致用户私钥泄露，使黑客能够转移资金，其性质可以称为“大规模黑客事件”。根据区块链安全公司PeckShield和多链区块链浏览器OKLink的说法，到目前为止，估计已有价值990万美元的资产被掠夺。

关键词：周刊