周刊 | 网安大事回顾（2024.4.1-2024.4.7）

2024年4月8日作者：GoUpSec

政策法规：国家安全部发文：立即停止对中国的污蔑抹黑和网络攻击；国家网信办发布生成式人工智能服务已备案信息；上海市财政局发布关于进一步加强本市数据资产管理的通知…

热点新闻：西安网警成功打掉一出售公民个人信息团伙；聊城警方破获全市首例虚拟币传销大案涉案金额近亿元；德国将成立网络军事部门以打击俄罗斯威胁…

融资动态：Permiso Security完成1850万美元A轮融资；Allure Security Technology完成1000万美元A轮融资…

网络攻击：OWASP发生大规模数据泄露；黑客滥用谷歌虚假广告传播恶意软件；黑客利用WordPress插件缺陷感染了3300个网站…

近日，美英政府合谋诬陷所谓“同中国政府有关联”的黑客组织对其实施网络攻击，并发起无理单边制裁，这是典型的“贼喊捉贼”式污蔑抹黑，是将网络安全问题政治化的恶意操弄，严重侵害中方合法权益。

一周网安风云回顾，GoUpSec带你安全看世界。

政策法规

关键词：网信办人工智能

国家安全部发文：立即停止对中国的污蔑抹黑和网络攻击！

4月2日，国家安全部发文《立即停止对中国的污蔑抹黑和网络攻击！》。文中提到，近日美英政府合谋诬陷所谓“同中国政府有关联”的黑客组织对其实施网络攻击，并发起无理单边制裁，这是典型的“贼喊捉贼”式污蔑抹黑，是将网络安全问题政治化的恶意操弄，严重侵害中方合法权益。中方对此强烈不满，坚决反对，敦促相关方面立即停止，并将采取必要措施坚决维护自身的合法权益。

国家网信办发布生成式人工智能服务已备案信息

为促进生成式人工智能服务创新发展和规范应用，网信部门会同相关部门按照《生成式人工智能服务管理暂行办法》要求，有序开展生成式人工智能服务备案工作，并将已备案信息进行公告。同时，提供具有舆论属性或者社会动员能力的生成式人工智能服务的，可通过属地网信部门履行备案程序，属地网信部门应及时将已备案信息对外公开发布，国家网信办将在官网定期汇总更新，不再另行公告。

上海市财政局发布关于进一步加强本市数据资产管理的通知

当前，数据资产作为经济社会数字化转型进程中的新兴资产类型，正成为推动高质量发展、推进国家治理体系和治理能力现代化的重要战略资源。为更好推动数字经济发展，更好地服务与保障单位履职和事业发展等方面明确了相关指导意见和有关管理规定，上海市财政局发布关于进一步加强本市数据资产管理的通知。

热点新闻

关键词：虚拟币信息泄露

西安网警成功打掉一出售公民个人信息团伙

近日，陕西省西安市未央网警成功打掉一个非法出售公民个人信息团伙，抓获犯罪嫌疑人124人，依法刑事拘留19人，冻结涉案银行卡账户13个，目前案件正在进一步侦办中。经统计，该公司所提供的查询内容包括身份证号查地址、身份证查手机等个人敏感信息，索要价格在600元至2000元不等，存在集团式非法买卖、获取公民个人信息的犯罪行为。

聊城警方破获全市首例虚拟币传销大案涉案金额近亿元

近日，聊城市公安局成功破获全市首例利用网络虚拟货币传销案件——“12.04非法经营案”，一举摧毁了一个涉及全国多个省市、涉案金额近亿元的大型传销网络。经过一个多月的艰苦努力，专案组民警逐步掌握了该犯罪团伙的框架结构和层级联系，以及运作方式。这是一个涉及全国多个省市、涉案人员千余人、涉案金额近亿元的新型网络传销案。

德国将成立网络军事部门以打击俄罗斯威胁

德国国防部长鲍里斯·皮斯托利斯宣布，作为其军事重组的一部分，德国将成立一个专门的网络分支，旨在打击俄罗斯对北约成员国日益增加的网络侵略。扩大后的德国网络和信息域服务（CIR）将成为该国武装部队的第四个独立分支。

融资动态

关键词：云安全 AI

Permiso Security完成1850万美元A轮融资

投资方为Altimeter Capital领投，Point72 Ventures跟投。Permiso Security 是一家位于美国的云安全公司，专注于通过其独特的检测信号库和统一的威胁预防、检测和响应平台，提供云环境可见性。

Allure Security Technology完成1000万美元A轮融资

投资方为Curql领投，Zetta Venture Partners、PBJ Capital、Jens Montanana、Gutbrain Ventures、Glasswing Ventures跟投。Allure Security Technology是一家位于美国加州的网络风险管理公司，其利用人工智能开发出反钓鱼解决方案，使网络犯罪分子窃取的信息贬值，并协助企业通过关闭恶意网站来消除威胁。

网络攻击

关键词：OWASP 谷歌 WordPress

OWASP发生大规模数据泄露

近日，全球知名的网络安全组织OWASP基金会承认发生数据泄露事件，影响范围可能涉及2006年至2014年间加入OWASP并提交过简历的老成员。此次数据泄露事件源于OWASP的旧Wiki服务器配置错误，导致部分老成员简历信息被公开访问。泄露的简历信息可能包含姓名、电子邮件地址、电话号码、物理地址和其他个人识别信息。

黑客滥用谷歌虚假广告传播恶意软件

近日，有安全人员发现有黑客再次滥用谷歌广告向目标用户发送信息窃取恶意软件，这次他们利用广告跟踪功能，向企业用户发送Slack和Notion等流行协作群件的虚假广告。研究人员发现，黑客并没有插入外部统计网站的URL，而是滥用该功能进入网站分发恶意代码。目前此类广告已被删除。

以色列社交软件面临数据泄露，70万用户受影响

以色列流行的LGBTQ约会应用程序Atraf遭遇了重大数据泄露，超过50万用户的个人信息被泄露，包括明文密码和支付卡数据。已泄露Atraf数据库，包含超过150万用户的个人数据。然而，Hackread.com分析了价值2.63 GB的数据，显示泄露的账户总数实际上减少到超过50万个，即669,672个，经过删除重复项后确认。

黑客利用WordPress插件缺陷感染了3300个网站

黑客利用Popup Builder插件过时版本中的漏洞入侵了WordPress网站后，用恶意代码感染了3300多个网站。攻击中利用的缺陷被追踪为 CVE-2023-6000，这是一个影响Popup Builder版本4.2.3及更早版本的跨站点脚本(XSS)漏洞，最初于2023年11月披露。