周刊 | 网安大事回顾(2023.1.30—2023.2.5)
为促进数字藏品产业健康发展,切实防范相关风险,海南十部门发布《关于加强数字藏品风险监管工作的通知》,通知要求相关部门和各市县要高度重视,增强做好数字藏品监管工作的责任感和紧迫感,积极采取监管手段,切实净化数字藏品市场环境,推动数字藏品行业健康、合规、有序发展。
网安热点方面,美国涉恐禁飞名单被公开泄露;开源电子病历OpenEMR曝出严重漏洞,影响全球10万医疗机构;OpenAI紧急发布AI文本检测工具;技术高管冒充黑客勒索公司导致市值暴跌40亿美元;Google Fi数据泄漏,黑客发起SIM卡交换攻击;欧洲汽车经销商巨头遭勒索攻击,客户个人数据全部泄露…
一周网安风云回顾,GoUpSec带你安全看世界。
1、政策法规
关键词:APP 数字藏品 电力安全
在工信部指导下,中国信通院、电信终端产业协会联合多家行业重点企业制定并发布实施相关标准,以规范“乱跳转”问题,切实保护用户合法权益。此次标准制定修订提出,一是强化明示告知义务;二是细化参数设置参值;三是保障用户选择权。明确未经用户主动选择同意,不得强迫下载、安装、打开APP,不得使用欺骗误导用户的图片、文字和链接进行页面跳转或使用第三方APP。
为促进数字藏品产业健康发展,切实防范相关风险,海南十部门发布《关于加强数字藏品风险监管工作的通知》,通知要求相关部门和各市县要高度重视,增强做好数字藏品监管工作的责任感和紧迫感,积极采取监管手段,切实净化数字藏品市场环境,推动数字藏品行业健康、合规、有序发展。
国家能源局印发《2023 年电力安全监管重点任务》强调网络与信息安全工作
据国家能源局网站消息,为贯彻落实党的二十大精神,扎实做好2023年电力安全监管工作,确保电力系统安全稳定运行和电力可靠供应,推动全国电力安全生产形势持续稳定向好,国家能源局近日印发了《2023年电力安全监管重点任务》,强调推进电力行业网络与信息安全工作,修订行业网络安全事件应急预案,建立完善网络安全监督管理技术支撑体系推动量子计算、北斗、商用密码等在电力行业的应用。
2、热点新闻
关键词:禁飞名单 漏洞 ChatGPT 黑客勒索
近日,美国交通安全管理局(TSA)两个包含超过150万条涉恐禁飞人员和25万条“二级安检选中者”人员信息的禁飞名单被黑客在论坛公开泄露。据BleepingComputer报道,黑客论坛泄露的禁飞名单与数日前美国航空公司CommuteAir服务器上公开暴露的TSA禁飞名单相同。
开源电子病历OpenEMR曝出严重漏洞,影响全球10万医疗机构
近日,安全研究人员在流行的开源电子病历系统OpenEMR中发现多个严重漏洞,可被攻击者组合利用,在服务器上远程执行代码。OpenEMR是一种全球流行的电子病历(EHR)系统和医疗实践管理解决方案,被全球超过10万家医疗机构使用,服务超过2亿患者。
随着ChatGPT在教育和学术领域的迅速蹿红,用人工智能写作业、代码甚至论文已经成为ChatGPT最热门的应用,这引起了各国教育部门的高度关注和警惕。据报道,纽约市、西雅图、洛杉矶和巴尔的摩K-12公立学区已经禁止使用ChatGPT,法国和印度的大学也禁止在学校计算机上使用该平台。近日,OpenAI紧急发布了一个AI文本检查工具,能够检测输入内容是否是使用ChatGPT等人工智能工具生成的。
本周四,无线宽带网络设备制造商Ubiquiti Networks前员工尼古拉斯夏普在法庭认罪,承认在Ubiquiti担任云计算负责人期间从公司网络中窃取大量机密文件,并在冒充匿名黑客勒索雇主失败后,向媒体举报雇主瞒报安全事件,导致Ubiquiti市值暴跌40亿美元。
3、融资动态
关键词:蜚语安全 雅客云
蜚语安全于近期完成Pre-A轮融资,投资方为红华繁星网安天使基金,由航行资本担任独家财务顾问。上海蜚语信息科技有限公司成立于2019年,以高精度,自动化的静态代码扫描工具Corax切入软件供应链安全市场,解决代码中存在的质量与安全问题。
云原生安全厂商雅客云近日正式宣布完成Pre-A轮融资。据介绍,本轮融资金额为超千万元级别,投资方为奇绩创坛、盈富泰克。本轮融资将用于人才梯队的搭建,以更好地打磨云原生安全产品,服务更多客户。
4、网络攻击
关键词:数据泄漏 勒索攻击 网络攻击
近日,谷歌通知Google Fi用户,由于其主要移动网络提供商发生数据泄漏,Google Fi用户的个人数据也遭到泄漏。目前已经有Google Fi用户在社交媒体上反映遭到了SIM卡交换攻击。根据Google本周向Google Fi用户发送的数据泄露通知,该事件泄露了用户的电话号码、SIM卡序列号、帐户状态、帐户激活日期和移动服务计划详细信息。
2月3日消息,英国汽车零售商Arnold Clark日前通知客户,其个人信息可能因网络攻击而失窃。已经有勒索软件团伙表示对此负责,并声称掌握了数GB敏感信息。调查显示,恶意黑客可能已经窃取到客户个人数据,包括姓名、联系方式、出生日期、车辆信息、护照/驾照、国民保险号和银行账户等详细信息。
JD Sports近日披露了一次涉及1000万客户数据的网络攻击,这些客户的个人和财务信息可能已被攻击者访问。此次攻击影响范围包含了2018年11月至2020年10月期间在JD、Size、Millets、Blacks、Scotts和MilletSport品牌下订单的客户——估计有“1000万独立客户”。被泄露的信息包括姓名、地址、电子邮件帐户、电话号码、订单详细信息和银行卡的最后四位数字。
