安全态势周刊

News information

六方云 安全态势周刊丨第239期

<<返回

2023年03月08日 15:00

01.

业界动态


1、白宫发布新版美国国家网络安全战略

拜登政府于当地时间3月2日发布了新版美国国家网络安全战略,重点是将保卫国家网络空间的负担转移给软件供应商和服务提供商。

https://www.bleepingcomputer.com/news/security/white-house-releases-new-us-national-cybersecurity-strategy/


2、首批10亿个人涉疫数据销毁

2023 年 3 月 2 日,无锡市举行涉疫个人数据销毁仪式,首批销毁 10 亿余条此前出于疫情防控及服务目的存储在城市大数据中心的个人信息数据。

https://www.freebuf.com/news/359237.html


3、ChatGPT在全球范围内关闭 - OpenAI正在解决问题

ChatGPT 是著名的人工智能聊天机器人,允许用户与各种个性和话题交谈,在全球范围内存在连接问题。OpenAI已经确认用户目前在全球范围内遇到问题,许多人无法访问AI。

https://www.bleepingcomputer.com/news/technology/chatgpt-is-down-worldwide-openai-working-on-issues/



02.

关键基础设施



1、加拿大电信巨头Telus员工信息及源代码遭泄露

Telus是加拿大三大电信巨头之一,总部坐落于哥伦比亚省的温哥华市。Telus是加拿大发展最快的电信公司,拥有大约6万名员工,为数千万的客户提供电信服务。据外媒报道,Telus目前正在调查一起数据泄露事件,事关其员工信息及源代码。

https://www.secrss.com/articles/52302


2、食品公司都乐遭到勒索攻击导致其加工厂暂时关闭

媒体2月26日称,食品公司都乐遭到了勒索攻击。都乐是世界上最大的水果和蔬菜生产商之一,在全球75个国家/地区供应约300种产品,2021年的收入为65亿美元。该公司称其遭到勒索攻击正常运营受到影响,但是没有提供有关攻击的详细信息。发送给商店的便笺提到,该公司被迫关闭其在北美的系统以遏制攻击。目前尚不清楚攻击者是否已从其系统中窃取了数据。

https://redqueen.tj-un.com/InfoDetails.html?id=0f18a48f3f9545779929fdeebc606cea



03.

安全事件



1、波士顿工会健康基金的网络攻击导致 640 万美元的损失

据外媒 27 日报道,波士顿工会官员表示对波士顿工会健康基金的网络攻击导致 640 万美元的损失,但成员个人信息似乎并未被盗或泄露。

http://www.anquan419.com/knews/24/4496.html


2、时隔近两年,斯坦福大学再遭数据泄露

美国斯坦福大学被曝在2022 年12 月至 2023 年 1 月期间发生了数据泄露事件,涉及897名正申请博士学位的研究生。

https://www.freebuf.com/news/358736.html



04.

漏洞事件



1、Smartbi 0day 远程命令执行漏洞

martbi大数据分析平台存在远程命令执行漏洞,该漏洞为Smartbi DB2 命令执行漏洞的补丁绕过,未经身份认证的远程攻击者利用此漏洞向系统发送恶意数据,可能执行任意命令,导致系统被攻击与控制。

https://redqueen.tj-un.com/InfoDetails.html?id=c1ab9c584e70485480f0165ab9b6a4ae


2、研究人员披露macOS和iOS中新的权限提升漏洞的细节

Trellix研究人员披露了macOS和iOS中发现的一个新的权限提升漏洞类别。此次发现的新漏洞可绕过代码签名在多个平台应用程序中执行任意代码,导致macOS和iOS上的权限提升和沙箱逃逸,CVSS评分在5.1到7.1之间。研究人员称,这些漏洞可被用来获取用户消息、位置数据、通话记录和照片等敏感信息的访问权限。

https://redqueen.tj-un.com/InfoDetails.html?id=2c3d845ecc3849c594bd9c12c195b426



05.

政策监管



1、中共中央国务院印发《数字中国建设整体布局规划》

近日,中共中央国务院印发了《数字中国建设整体布局规划》(以下简称《规划》),并发出通知,要求各地区各部门结合实际认真贯彻落实。《规划》指出,建设数字中国是数字时代推进中国式现代化的重要引擎,是构筑国家竞争新优势的有力支撑。加快数字中国建设,对全面建设社会主义现代化国家、全面推进中华民族伟大复兴具有重要意义和深远影响。

http://www.gov.cn/zhengce/2023-02/27/content_5743484.htm


2、证监会发布《证券期货业网络和信息安全管理办法》

为有效落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求,规范证券期货业网络和信息安全管理,防范化解行业网络和信息安全风险,维护资本市场安全平稳高效运行,证监会制定并发布了《证券期货业网络和信息安全管理办法》(以下简称《办法》)。


《办法》聚焦网络和信息安全领域,在总结实践经验的基础上,为上位法在证券期货行业的落地实施明确了路径。《办法》全面覆盖了包括证券期货关键信息基础设施运营者、核心机构、经营机构、信息技术系统服务机构等各类主体,以安全保障为基本原则,对网络和信息安全管理提出规范要求,主要内容包括:网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与发展、监督管理和法律责任等。

http://www.csrc.gov.cn/csrc/c101953/c7202800/content.shtml

 

3、《深圳市数据交易管理暂行办法》发布

深圳市发改委印发《深圳市数据交易管理暂行办法》,明确在保证数据安全、公共利益及数据来源合法的前提下,市场主体按照不同情形,依法享有数据资源持有权、数据加工使用权和数据产品经营权等权利。数据卖方和数据商应加强数据质量、安全及合规管理,确保数据的真实性和来源合法性。数据买方应当按照交易申报的使用目的、场景和方式合规使用数据。数据交易场所运营机构对交易过程形成完整的交易日志并安全保存,保存时间不少于三十年。法律法规另有规定的,依照其规定。交易信息可作为监管部门进行监管执法的重要依据。

http://fgw.sz.gov.cn/zwgk/zcjzcjd/zc/content/post_10454243.html

 

4、工信部发布关于进一步提升移动互联网应用服务能力的通知

近年来,工业和信息化部大力推动提升移动互联网应用服务质量,切实维护用户合法权益,取得积极社会成效,但部分企业服务行为不规范、相关环节责任落实不到位等问题仍时有发生。为优化服务供给,改善用户体验,维护良好的信息消费环境,促进行业高质量发展,依据《个人信息保护法》《电信条例》《规范互联网信息服务市场秩序若干规定》《电信和互联网用户个人信息保护规定》等相关法律法规规章,通知中公布26条措施:一是聚焦APP安装卸载、服务体验、个人信息保护、诉求响应等,针对性提出改善用户服务感知的12条措施。二是从行业协同规范发展、上下游联防共治的角度出发,抓住当前移动互联网服务的5类关键主体,即APP开发运营者、分发平台、SDK(软件开发工具)、终端和接入企业,提出14条措施。

https://wap.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2023/art_261ee9a52be545c09dc4323a45e8631f.html


5、工信部公布工业领域数据安全管理试点典型案例和成效突出地区名单

按照《工业和信息化部办公厅关于组织开展工业领域数据安全管理试点典型案例和成效突出地区遴选工作的通知》(工信厅网安函〔2022〕242号)要求,经申报、评审和网上公示,工信部确定29个工业领域数据安全管理试点典型案例和5个试点成效突出地区,并予以公布。工信部在通知中提到,各地区、各有关单位应结合工作实际,加大支持力度,互相学习借鉴,进一步推动做好本地区、本单位数据安全管理工作。

https://wap.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2023/art_abf3fa3916ef401c9830fe360cf91574.html



06.

安全标准



1、两项国家信息安全技术标准征集参编单位

近日,信息安全标准委员会在官网上发布关于征集两项国家标准参编单位的通知,两项标准分别是《信息安全技术 网络弹性评价准则》和《信息安全技术 网络攻击和网络攻击事件判定准则》,这意味着这两项标准的编制工作即将进入到新阶段。

https://www.tc260.org.cn/front/postDetail.html?id=20230227121156

https://www.tc260.org.cn/front/postDetail.html?id=20230227181042