周刊 | 网安大事回顾(2024.9.9-2024.9.15)
政策法规:国家网信办就《人工智能生成合成内容标识办法(征求意见稿)》公开征求意见;工信部印发《关于推进移动物联网“万物智联”发展的通知》;淘宝京东等62款知名App完成个人信息收集使用合规整改…
热点新闻:阿里云盘突发“灾难级 Bug”,创建相册之后可以随意观看他人照片;美国一AI公司因非法收集面部数据被罚超3000万欧元;南昌市某学校暴露超4000条学生个人信息被行政处罚…
融资动态:丈八网络安全宣布完成5000万元B轮融资;Strider Technologies宣布完成5500万美元C轮融资…
网络攻击:苹果Vision Pro曝出严重漏洞,黑客可通过用户眼动输入窃取信息;卡巴斯基发布的EDR防护杀手,被勒索组织广泛使用;只针对Linux,甲骨文Weblogic服务器被黑客入侵…
近日,国家安全机关公开了一起境外公司非法搜集窃取我稀土领域国家秘密案。该公司通过利诱中方人员,窃取7项机密级国家秘密。“内鬼”为51万美元泄露国家7项机密!该公司中方雇员叶某某在外籍员工指挥下,利诱收买国内某稀土公司副总经理成某,为境外刺探并非法提供涉及7项机密级国家秘密。
一周网安风云回顾,GoUpSec带你安全看世界。
#1
政策法规
关键词:网信办 人工智能 物联网
国家网信办就《人工智能生成合成内容标识办法(征求意见稿)》公开征求意见
为规范人工智能生成合成内容标识,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》、《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定》、《生成式人工智能服务管理暂行办法》等法律法规,国家互联网信息办公室起草了《人工智能生成合成内容标识办法(征求意见稿)》,现向社会公开征求意见。
工业和信息化部近日印发《关于推进移动物联网“万物智联”发展的通知》,旨在提升移动物联网行业供给水平、创新赋能能力和产业整体价值,加快推动移动物联网从“万物互联”向“万物智联”发展。《通知》立足移动物联网产业发展节奏、各行业领域移动物联网应用现状,明确了移动物联网发展目标。
为规范App收集使用个人信息行为,保护个人信息权益,推动形成全社会共同维护个人信息安全的良好环境,中国网络空间安全协会组织指导网上购物、地图导航、浏览器、新闻资讯、在线影音、电子图书、拍摄美化、云盘、短视频、演出票务共10类62款App运营方,对照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律法规,重点针对超范围收集个人信息、过度调用敏感权限、权限设置和账号注销不便等个人信息收集使用问题完成了合规整改优化。
#2
热点新闻
关键词:Fortinet 阿里云 数据泄露
Fortinet已对此事件发布了官方声明,表示该事件造成的影响非常有限,暂未发现该事件引发任何影响用户的恶意活动。Fortinet中国区也表示目前未发现任何中国客户的数据受到影响。
事件发生后,Fortinet立即采取有效措施终止未经授权的个人访问活动,有效遏制事件蔓延,且在第一时间启动事件调查程序,并即刻向全球相关执法部门和特定网络安全机构发送事件公告。与此同时,第一时间联系业内领先的外部取证机构,验证 Fortinet 取证团队针对该事件的调查结果。此外,Fortinet 即刻启动内部自查程序,加强账户监控和威胁检测措施,有效规避和防范类似事件发生。
阿里云盘突发“灾难级 Bug”,创建相册之后可以随意观看他人照片
多名网友在社交媒体上反映,阿里云盘出现了一起令人震惊的隐私安全事件。据用户反馈,在阿里云盘的相册功能中,只要创建一个新的文件夹,竟然能够自动加载并显示其他用户的照片,这些照片内容多样,包括自拍、风景照、家人旅游照片等,引发了广泛关注和讨论。对这一事件,阿里云盘客服表示,已经收到了大量用户反馈,并已将相关问题上报至相关部门。然而,关于“BUG”出现的具体原因、影响的人数以及何时能够修复等问题,客服人员表示暂时无法给出明确答复。
据Cyber News消息,荷兰数据保护局(Dutch DPA)已向美国人工智能公司Clearview AI开出 3050万欧元(3370万美元)巨额罚款,并对其服务下达了使用禁令。当局认为,该公司建立了一个非法数据库,其中包含300亿张面部照片,包括许多荷兰人的照片。因此,Clearview AI会自动从互联网上抓取这些照片,然后为每张人物的脸部特征生成唯一的生物识别代码。而被抓取的人并不不知道这一点,也未对这一行为进行授权。
近日,接上级网信部门通报,南昌市某学校网站上发布的公示信息附件中含有大量学生姓名、身份证号等明文信息,存在个人信息泄露风险。经过立案调查、远程勘验、现场勘验、笔录问询等工作,查明:学校未采取技术措施和其他必要措施,对公示附件中的学生名字、身份证号等4000多条个人信息开展脱敏或去标识化处理,导致信息泄露风险。相关行为违反了《中华人民共和国网络安全法》第四十二条第二款之规定。
#3
融资动态
关键词:丈八网络 人工智能
丈八网络安全宣布完成5000万元B轮融资
投资方:白云金控、泓沣资本。丈八网络安全专注于尖端网络仿真技术及研发创新,基于网络仿真技术推出了一系列创新产品,围绕特种、工控、金融、教育、电力等关键重点领域,在仿真网络攻击训练、竞赛、演习、应急响应预演、测试评估、策略验证、沙盘推演等多个场景中发挥重要作用。
Strider Technologies宣布完成5500万美元C轮融资
投资方:由Pelion Venture Partners领投,Cyfr、AXA Venture Partners、Valor Equity Partners、DataTribe跟投。Strider利用人工智能将公开数据转化为关键洞见。公司帮助组织保护和推进其技术与创新。Strider专注于识别和缓解与国家支持的知识产权(IP)盗窃、定向人才获取以及供应链漏洞相关的风险。
#4
网络攻击
关键词:苹果 Vision Pro 卡巴斯基
苹果Vision Pro曝出严重漏洞,黑客可通过用户眼动输入窃取信息
近日,苹果公司的Vision Pro混合现实头戴式设备曝出一个安全漏洞,一旦被黑客成功利用,他们就可以推断出用户在该设备的虚拟键盘上输入的具体数据。该攻击活动名为GAZEploit,该漏洞被追踪为CVE-2024-40865。佛罗里达大学的学者对此表示:这是一种新颖的攻击,因为攻击者可以从头像图片中推断出与眼睛有关的生物特征,从而重建通过注视控制输入的文本。
近期,RansomHub勒索组织一直通过利用卡巴斯基的合法工具TDSSKiller来禁用目标系统上的端点检测和响应(EDR)服务。在攻破防御系统后,RansomHub又部署了LaZagne凭证采集工具,试图从各种应用程序数据库中提取有助于在网络上横向移动的登录信息。
网络安全研究人员发现了一场针对Linux环境的新恶意软件活动,目的是进行非法加密货币挖矿和传播僵尸网络恶意软件。云安全公司Aqua指出,这项活动特别针对甲骨文Weblogic服务器,旨在传播一种名为Hadooken的恶意软件。该恶意软件利用的是Oracle Weblogic中的一个已知漏洞,即CVE-2020-14882。该漏洞允许攻击者获得对Weblogic服务器的未经授权访问,并执行任意代码。