要聞速覽
1、中央網信辦等四部門發(fā)布《互聯(lián)網政務應用安全管理規(guī)定》
2、國家標準《網絡安全技術 生成式人工智能服務安全基本要求》公開征求意見
3、YouTube成為助長網絡犯罪的新“溫床”
4、超火爆的Fluent Bit 曝關鍵漏洞,影響幾乎所有云服務商
5、內部VPN遭漏洞攻擊未向監(jiān)管報告,這家金融巨頭被罰超7000萬元
6、我國多地3萬余條新生兒信息被倒賣,背后非法產業(yè)鏈曝光
一周政策要聞
中央網信辦等四部門發(fā)布《互聯(lián)網政務應用安全管理規(guī)定》
由中央網絡安全和信息化委員會辦公室、中央機構編制委員會辦公室、工業(yè)和信息化部、公安部制定的《互聯(lián)網政務應用安全管理規(guī)定》(以下簡稱《規(guī)定》)近日印發(fā),規(guī)定自2024年7月1日起施行。
規(guī)定要求,建設運行互聯(lián)網政務應用應當依照有關法律、行政法規(guī)的規(guī)定以及國家標準的強制性要求,采取技術措施和其他必要措施,防范內容篡改、攻擊致癱、數據竊取等風險,加強監(jiān)測預警和應急處置,保障互聯(lián)網政務應用安全穩(wěn)定運行和數據安全。
信息來源:中華人民共和國中央人民政府https://www.gov.cn/lianbo/bumen/202405/content_6952956.htm
國家標準《網絡安全技術 生成式人工智能服務安全基本要求》公開征求意見
近日,全國網絡安全標準化技術委員會發(fā)布關于國家標準《網絡安全技術 生成式人工智能服務安全基本要求》征求意見稿的通知。如有意見或建議請于2024年7月22日24:00前反饋秘書處。
本標準支撐《生成式人工智能服務管理暫行辦法》,給出了生成式人工智能服務在安全方面的基本要求,包括訓練數據安全、模型安全、安全措施等,并給出了安全評估參考要點。
信息來源:全國網絡安全標準化技術委員會https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20240523143149&norm_id=20240430101922&recode_id=55010
業(yè)內新聞速覽
YouTube成為助長網絡犯罪的新“溫床”
根據安全公司 Avast 最新報告發(fā)現,YouTube已經成為幫助惡意行為者部署網絡釣魚、惡意軟件和虛假投資計劃等各種犯罪活動的新“溫床”。該公司特別提到了兩種惡意軟件 Lumma 和 RedLine,它們正在 YouTube上大規(guī)?;顒?。
Avast 指出,YouTube 充當了一個流量分發(fā)渠道,將用戶引導到各種惡意網站和頁面,助長了不同嚴重程度的網絡犯罪。攻擊者利用 YouTube 的龐大影響力,誘導用戶訪問欺騙性網站和下載惡意軟件。此外,YouTube 上日益增多的深度造假視頻也成為了一大問題。這些虛假視頻通過模仿真人或事件來誤導觀眾,傳播虛假信息。Avast 發(fā)現,有多個擁有超過 5000 萬訂閱者的賬號已被黑客入侵,并被用來傳播依賴于深度造假視頻的加密貨幣騙局。
消息來源:FREEBUFhttps://www.freebuf.com/news/400979.html
超火爆的Fluent Bit 曝關鍵漏洞,影響幾乎所有云服務商
Fluent Bit,一款廣泛使用的日志和度量解決方案,近日被發(fā)現存在一個名為Linguistic Lumberjack的關鍵漏洞(CVE-2024-4323),該漏洞可能導致拒絕服務攻擊和潛在的遠程代碼執(zhí)行。
該漏洞是由于Fluent Bit的嵌入式HTTP服務器在處理跟蹤請求時的堆緩沖區(qū)溢出弱點造成的。盡管遠程代碼執(zhí)行需要特定的條件和大量時間,但拒絕服務攻擊和信息泄露的風險更為直接和顯著。
截至2024年3月,Fluent Bit的下載和部署次數已超過130億次,其中包括亞馬遜AWS、谷歌GCP和微軟Azure等主流云服務商的發(fā)行版。此外,許多科技公司如Crowdstrike、Trend Micro、思科、VMware、英特爾、Adobe和戴爾等也在使用Fluent Bit。Tenable安全研究人員于4月30日向供應商報告了該漏洞,并于5月15日提交了修補程序。預計包含該補丁的Fluent Bit 3.0.4版本將很快發(fā)布。在修復之前,建議已經部署了Fluent Bit的客戶通過限制對監(jiān)控API的訪問或禁用易受攻擊的API端點來降低風險。
消息來源:FREEBUF https://www.freebuf.com/news/401435.html
內部VPN遭漏洞攻擊未向監(jiān)管報告,這家金融巨頭被罰超7000萬元
安全內參5月23日消息,美國洲際交易所(ICE)因未能確保其子公司及時報告2021年4月出現的VPN安全漏洞,遭美國證券交易委員會(SEC)指控,需支付1000萬美元(約合人民幣7245萬元)罰款。
ICE是一家位列《財富》500強榜單的美國公司,在全球范圍內擁有并經營多家金融交易所和結算所,包括紐約證券交易所。2023年,該公司雇傭了超過1.3萬名員工,報告總收入為99.03億美元。SEC要求發(fā)現安全事件后需立即通知,但ICE延遲了四天才評估事件影響,并錯誤地認為影響微不足道。調查顯示,可能是國家級黑客入侵,試圖竊取敏感信息。ICE未能按法規(guī)要求通知SEC,違反了內部報告程序,最終同意支付罰款并承諾不再違反相關法規(guī)。
消息來源:安全內參 https://www.secrss.com/articles/66426
我國多地3萬余條新生兒信息被倒賣,背后非法產業(yè)鏈曝光
“免費上門給寶寶拍照,要幫您安排嗎?”“早教班免費試聽,您要報名嗎?”新生兒剛出生,各種推銷電話就不請自來,而且對方還能準確說出孩子和父母的信息。一旦放松警惕,同意他們上門,所謂的贈送很可能就變成價格不菲的收費項目。其實這背后隱藏著一條非法買賣、使用新生兒個人信息的黑色產業(yè)鏈!
近日,杭州互聯(lián)網法院審理了一起涉及3萬余條新生兒個人信息的非法買賣、使用的民事公益訴訟案。
案件中,一攝影公司利用非法獲取的家長和孩子信息進行推銷,并成功誘導家長購買高價攝影套餐。經查,李某作為該信息鏈的源頭,從多地購入新生兒信息并出售給攝影機構,非法獲利29萬余元。
最終,李某因“侵犯公民個人信息罪”被判處有期徒刑二年十個月,并處罰金30萬元,兩家攝影機構也被追責。4月16日,杭州蕭山區(qū)人民檢察院提起公益訴訟,要求三被告公開賠禮道歉并支付公益損害賠償金29萬余元,用于個人信息及婦女兒童權益保護等公益事項。
據了解,2021年11月1日起實施的《中華人民共和國個人信息保護法》明確將個人信息保護納入公益訴訟法定領域,對檢察機關等組織提起個人信息保護公益訴訟作出明確規(guī)定。此案提醒廣大市民要增強個人信息保護意識,同時,相關部門也應加強監(jiān)管和執(zhí)法力度。
消息來源:光明網 https://baijiahao.baidu.com/s?id=1799667263210775386&wfr=spider&for=pc
來源:本安全周報所推送內容由網絡收集整理而來,僅用于分享,并不意味著贊同其觀點或證實其內容的真實性,部分內容推送時未能與原作者取得聯(lián)系,若涉及版權問題,煩請原作者聯(lián)系我們,我們會盡快刪除處理,謝謝!