新闻动态

News information

六方云 安全态势周刊丨第231期

<<返回

2023年01月16日 16:00

01.

业界动态


1、工信部等十二部门公布2022年网络安全技术应用试点示范项目名单

工业和信息化部、国家互联网信息办公室等十二部门近日联合公布2022年网络安全技术应用试点示范项目名单,共有99个项目上榜。

https://www.secrss.com/articles/50537


2、拜登签署 8580 亿美元的国防政策法案,扩大政府网络行动

拜登总统周五签署了一项价值 8580 亿美元的国防政策法案,赋予美国网络司令部更多的权力和义务。

http://www.infosecworld.cn/index.php?m=content&c=index&a=show&catid=38&id=3241


3、剑桥分析丑闻最新进展,Meta 花 7.25 亿美元进行和解

Facebook、Instagram 和 WhatsApp 的母公司 Meta Platform 已同意支付 7.25 亿美元来解决 2018 年提起的长期集体诉讼。这场法律纠纷是因为这家社交媒体巨头允许第三方应用程序(例如Cambridge Analytica使用的应用程序)在未经用户同意的情况下访问用户的个人信息以进行政治广告。

https://view.inews.qq.com/qr/20221228A056T800


4、美国国会通过法案禁止政府设备安装 TikTok

当地时间 12 月 23 日,美国国会通过了支出法案,其中包含禁止在政府设备上安装 TikTok。

https://baijiahao.baidu.com/s?id=1752261275768996646&wfr=spider&for=pc


5、美军为留住网络战专业人才每年发放高达数亿美元的额外津贴

从2017至2021财年,美军各军种为留住军职网络战专业人员均推出了岗位津贴及任务奖金措施,每年相关开支总额达数亿美元。

https://www.secrss.com/articles/50528


6、苏黎世保险CEO:网络攻击将“无法投保”

欧洲最大保险公司之一的首席执行官警告称,随着黑客攻击造成的破坏继续加剧,网络攻击(而非自然灾害)将变得“无法投保”。

https://www.anquanke.com/post/id/284719


7、法国因 Bing Cookie 对微软处以 6000 万欧元罚款

法国隐私监管机构对 Microsoft 处以 6000 万欧元的罚款,理由是其误导性 cookie 政策违反了该国的隐私法。

https://www.inforisktoday.com/france-fines-microsoft-ireland-60m-euros-over-bing-cookies-a-20781


02.

关键基础设施


1、加拿大矿业公司在勒索软件攻击后关闭工厂

不列颠哥伦比亚的加拿大铜山矿业公司(CMMC)宣布,它是影响其运营的勒索软件攻击的目标CMMC由三菱材料公司部分拥有,占地18,000英亩,平均每年生产1亿磅铜,估计矿产储量为32年。

https://www.163.com/dy/article/HQ3C56N80514B52J.html


2、洛克比特勒索软件团伙声称入侵了里斯本港

里斯本港的网站在成为Lockbit集团声称的勒索软件攻击目标几天后仍然关闭。里斯本港是葡萄牙第三大港口,由于其战略位置,也是欧洲主要港口之一。

https://securityaffairs.com/140137/cyber-crime/lockbit-group-port-of-lisbon.html


3、俄亥俄州法院、警察局遭到 LockBit 勒索软件攻击

市政府官员表示,本市信息技术 IT 供应商使用的某个远程访问工具中存在一个安全漏洞,攻击者安装了名为 LockBit 的勒索软件,并要求支付赎金以获取某些文件。

https://view.inews.qq.com/a/20221229A05L4900


03.

安全事件


1、美国路易斯安那州医院遭勒索攻击,27万名患者信息泄露

位于美国路易斯安那州的查尔斯湖纪念医院 (LCMHS) 发出通告称,该院近期发生了一起网络勒索攻击事件,近27万名患者信息遭到泄露。

https://www.secrss.com/articles/50623


2、包括美国前总统特朗普,攻击者窃取 Twitter 4 亿数据并出售

一名攻击者声称已窃取 Twitter 4 亿用户数据,并将其挂在地下论坛出售。这位昵称为“Ryushi”的论坛用户发帖称,他通过系统漏洞抓取了用户数据,这些用户身份上至名人、政府官员,下至普通的一般用户。

https://tech.ifeng.com/c/8M5SUaJvIEB


3、加拿大最大儿童医院遭勒索攻击,一周仍未恢复系统

加拿大规模最大的儿科保健中心,多伦多病童医院(The Hospital for Sick Children)在12月18日(星期日)遭遇勒索软件攻击,目前正在努力恢复系统。

https://www.secrss.com/articles/50534


4、推特出现全球宕机

当地时间12月28日凌晨,上万名Twitter用户报告Twitter出现故障,用户无法访问该网站或使用其主要功能。此次故障范围波及包括美国、日本、英国在内的全球各个国家和地区,Twitter再次爆发了全球性宕机事件。

https://www.freebuf.com/news/353919.html


04.

漏洞事件


1、Citrix 数千台服务器存在严重安全风险

数以千计的 Citrix ADC 和网关部署仍然存在安全风险,即便该品牌服务器在此之前已经修复了两个严重的安全漏洞。

https://www.163.com/dy/article/HPS8IPJ50552RMA4_pdya11y.html


2、Linux 被爆“满分级”关键内核级漏洞

近期披露的一个严重 Linux 内核漏洞,该漏洞的 CVSS 评分达到了最高级别的10分,影响启用了 KSMBD 的服务器。

https://it.sohu.com/a/621524781_354899


3、台达4G路由器存在安全漏洞

Delta 4G Router 是中国台湾台达电子(Delta Electronics)公司的一个工业4G路由器。Delta 4G Router  DX-3021存在任意代码执行漏洞,该漏洞源于受影响的产品存在未授权访问,成功利用该漏洞可未授权任意命令执行,添加修改内部系统文件等。

https://mp.weixin.qq.com/s/hFSeHQCj2R0rTzaicuAnfQ


4、Rockwell Automation GuardLogix 系列存在安全漏洞

Rockwell Automation GuardLogix and ControlLogix controllers是美国Rockwell Automation公司的一个工业自动化控制和信息产品。该漏洞源于应用程序没有正确控制内部资源的消耗。触发资源耗尽并执行拒绝服务 (DoS) 攻击。

https://mp.weixin.qq.com/s/d-8YJCb7NxcNgDVxNlmXrA


05.

政策监管


1、厦门人大通过《厦门经济特区数据条例》

2022年12月27日,厦门市十六届人大常委会第九次会议闭会会议表决通过《厦门经济特区数据条例》。


《厦门经济特区数据条例》规定,市、区政府应将数据应用和发展纳入国民经济和社会发展规划,建立健全数据治理和工作协调机制,创新探索数据流通利用体系,解决数据管理和发展中的重大问题。同时设立专门岗位和机构,探索建立首席数据官制度,由单位相关负责人负责数据管理与业务协同工作。明确将建立数据安全责任制,要求数据处理者建立健全全流程数据安全管理制度和重要系统、核心数据容灾备份制度。

https://www.xmrd.gov.cn/xwzx/qwfb/202212/t20221231_5541244.htm

 

2、《贵州省数据流通交易管理办法(试行)》发布

经贵州省人民政府同意,贵州省大数据发展管理局出台《贵州省数据流通交易管理办法(试行)》(以下简称《管理办法》)。《贵州省数据流通交易管理办法(试行)》共9章42条,分为总则、部门职责、交易场所、交易标的、交易主体、交易流程、安全管理、监督管理、附则。


《管理办法》中明确一要坚持政府引导、市场主导,场景牵引、释放价值,鼓励创新、包容审慎,严守底线、安全发展的原则。二是鼓励多元化数据流通交易,培育数据流通交易产业生态。

https://dsj.guizhou.gov.cn/zwgk/xxgkml/zcwj/bmwj/202212/t20221226_77732147.html

 

3、工信部印发《关于完善工业和信息化领域科技成果评价机制的实施方案(试行)》

工业和信息化部近日印发《关于完善工业和信息化领域科技成果评价机制的实施方案(试行)》,提出到2027年,形成一套工业和信息化领域的科技成果评价规范,培育遴选一批水平高、能力强、信誉好的科技成果评价和转移转化机构,健全工业和信息化领域科技成果项目库,形成一套推广应用模式,评价或转化一批高质量科技成果,各类创新主体参与评价的行为更加科学规范、科技成果的数量和质量显著提升、推广应用成效大幅增强、产业技术进步的速度明显加快。

https://www.miit.gov.cn/zwgk/zcjd/art/2022/art_be470a44a15046a78a113ae3496952f0.html

 

4、最高法发文 要求加强消费者个人信息保护

12月27日,最高人民法院发布《关于为促进消费提供司法服务和保障的意见》(以下简称《意见》),从四大方面提出30条具体服务保障举措,助力恢复和扩大消费,不断满足人民群众日益增长的美好生活需要。

https://www.court.gov.cn/fabu-xiangqing-384291.html