一、业界动态
1、个人信息保护法11月1日起实施
《中华人民共和国个人信息保护法》于2021年11月1日起施行。法律明确不得过度收集个人信息、大数据杀熟,对人脸信息等敏感个人信息的处理作出规制,完善个人信息保护投诉、举报工作机制等,充分回应了社会关切,为破解个人信息保护中的热点难点问题提供了强有力的法律保障。
https://www.163.com/dy/article/GNN7ARBP0514CFC7.html
2、工信部印发《物联网基础安全标准体系建设指南(2021版)》
到2022年,初步建立物联网基础安全标准体系,研制重点行业标准10项以上,明确物联网终端、网关、平台等关键基础环节安全要求,满足物联网基础安全保障需要,促进物联网基础安全能力提升。
https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2021/art_d78e9d282eb44709998705d3214b668c.html
3、中国已组织制订网络安全国家标准332项
第三届全国信息安全标准化技术委员会第一次全体会议日前在京召开。记者从会上了解到,成立于2002年的全国信息安全标准化技术委员会,已组织制订网络安全国家标准332项。
https://m.thepaper.cn/baijiahao_15095401
4、《反电信网络诈骗法》(草案)全文公布
10月23日,《反电信网络诈骗法》(草案)等多部法案公布全文,公开征求社会公众意见。草案中规定,公安部门组织协调反电信网络诈骗工作,金融、通信、互联网等行业主管部门依照职责负责本行业反电信网络诈骗工作,承担行业监管主体责任。草案支持研发电信网络诈骗反制技术措施,统筹推进跨行业、企业统一监测系统建设,为利用大数据反诈提供制度支持。
https://www.freebuf.com/news/292842.html
二、关键基础设施
伊朗的一次网络攻击导致全国各地的加油站瘫痪,燃料销售中断,电子广告牌被污损以显示挑战该政权分配汽油能力的信息。伊朗最高网络空间委员会主席阿博哈桑·菲鲁扎巴迪 (Abolhassan Firouzabadi)表示,这些攻击“很可能”是由国家支持的,但补充说现在确定是哪个国家进行了入侵还为时过早。
https://thehackernews.com/2021/10/cyber-attack-in-iran-reportedly.html
韩国电信 KT 就“网络瘫痪事件”正式道歉,称将尽快制定补偿方案
KT 表示,由于流量超负荷,公司起初推测遭到大规模分布式拒绝服务攻击(DDoS),但经缜密调查发现,该事故由设备更换过程中出现的设置错误所致,目前正在进一步调查具体原因。
https://www.ithome.com/0/582/864.htm
三、安全事件
一个新的垃圾邮件活动已经成为以前未记录的恶意软件加载程序的渠道,使攻击者能够在企业网络中获得初步立足点,并在受感染的系统上投放恶意负载。该恶意垃圾邮件活动于 2021 年 9 月中旬通过带有花边的 Microsoft Office 文档开始,当打开这些文档时,会触发感染链,导致计算机感染名为SQUIRRELWAFFLE的恶意软件。
https://thehackernews.com/2021/10/hackers-using-squirrelwaffle-loader-to.html
54亿条个人信息在暗网出售
近日,无锡警方成功破获了一起侵犯公民个人信息案,犯罪团伙非法获取医疗、出行、快递等公民信息,数据累计高达54亿多条,并通过"暗网"平台提供查询、出售服务。
https://view.inews.qq.com/a/20211026A08AIZ00
最新的情报收集行动涉及使用 MATA 恶意软件框架以及被称为BLINDINGCAN和COPPERHEDGE 的后门来攻击国防工业、位于拉脱维亚的 IT 资产监控解决方案供应商和位于韩国的智囊团。卡巴斯基发布的2021 年第三季度 APT 趋势报告。
https://thehackernews.com/2021/10/latest-report-uncovers-supply-chain.html
攻击者从 Cream Finance 去中心化金融 (DeFi) 平台窃取了价值 1.3 亿美元的加密货币资产
CREAM Finance 是一种去中心化借贷协议,供个人、机构和协议访问金融服务。它向被动持有 ETH 或 wBTC 的用户承诺收益。威胁行为者从去中心化金融 (DeFi) 平台窃取了价值 1.3 亿美元的加密货币资产。该公司也证实了此次袭击。
https://securityaffairs.co/wordpress/123861/cyber-crime/cream-finance-cyber-heist-130m.html
四、漏洞事件
谷歌10.28日为其 Chrome 网络浏览器推出了紧急更新,包括修复两个零日漏洞,该漏洞表示正在被广泛利用。被跟踪为CVE-2021-38000和CVE-2021-38003,这些弱点与一个名为 Intents 的特性中不可信输入的验证不足以及在 V8 JavaScript 和 WebAssembly 引擎中实现不当有关。
https://thehackernews.com/2021/10/google-releases-urgent-chrome-update-to.html
富士电机 Tellus Lite V-Simulator 和 V-Server Lite系列漏洞预警
据美国国家互联网应急中心公布,富士电机中的Tellus Lite V-Simulator、V-Server Lite设备存在基于堆栈的缓冲区溢出、越界写入、不受信任的指针取消引用、越界读取、未初始化指针的访问等漏洞。成功利用这些漏洞可能允许攻击者造成数据损坏、读取敏感信息、获取代码执行或使应用程序崩溃。
https://us-cert.cisa.gov/ics/advisories/icsa-21-299-01
爱立信无线运营系统惊现新漏洞
意大利电信公司TIM的漏洞研究部门Red Team Research(RTR)发现了影响爱立信OSS-RC的2个新漏洞。
https://securityaffairs.co/wordpress/123764/security/ericsson-oss-rc-flaws.html