要聞速覽

1、中央網(wǎng)信辦等四部門(mén)發(fā)布《互聯(lián)網(wǎng)政務(wù)應(yīng)用安全管理規(guī)定》

2、國(guó)家標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全技術(shù) 生成式人工智能服務(wù)安全基本要求》公開(kāi)征求意見(jiàn)

3、YouTube成為助長(zhǎng)網(wǎng)絡(luò)犯罪的新“溫床”

4、超火爆的Fluent Bit 曝關(guān)鍵漏洞，影響幾乎所有云服務(wù)商

5、內(nèi)部VPN遭漏洞攻擊未向監(jiān)管報(bào)告，這家金融巨頭被罰超7000萬(wàn)元

6、我國(guó)多地3萬(wàn)余條新生兒信息被倒賣(mài)，背后非法產(chǎn)業(yè)鏈曝光

一周政策要聞

中央網(wǎng)信辦等四部門(mén)發(fā)布《互聯(lián)網(wǎng)政務(wù)應(yīng)用安全管理規(guī)定》

由中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室、中央機(jī)構(gòu)編制委員會(huì)辦公室、工業(yè)和信息化部、公安部制定的《互聯(lián)網(wǎng)政務(wù)應(yīng)用安全管理規(guī)定》（以下簡(jiǎn)稱(chēng)《規(guī)定》）近日印發(fā)，規(guī)定自2024年7月1日起施行。

規(guī)定要求，建設(shè)運(yùn)行互聯(lián)網(wǎng)政務(wù)應(yīng)用應(yīng)當(dāng)依照有關(guān)法律、行政法規(guī)的規(guī)定以及國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求，采取技術(shù)措施和其他必要措施，防范內(nèi)容篡改、攻擊致癱、數(shù)據(jù)竊取等風(fēng)險(xiǎn)，加強(qiáng)監(jiān)測(cè)預(yù)警和應(yīng)急處置，保障互聯(lián)網(wǎng)政務(wù)應(yīng)用安全穩(wěn)定運(yùn)行和數(shù)據(jù)安全。

信息來(lái)源：中華人民共和國(guó)中央人民政府https://www.gov.cn/lianbo/bumen/202405/content_6952956.htm

國(guó)家標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全技術(shù) 生成式人工智能服務(wù)安全基本要求》公開(kāi)征求意見(jiàn)

近日，全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布關(guān)于國(guó)家標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全技術(shù) 生成式人工智能服務(wù)安全基本要求》征求意見(jiàn)稿的通知。如有意見(jiàn)或建議請(qǐng)于2024年7月22日24:00前反饋秘書(shū)處。

本標(biāo)準(zhǔn)支撐《生成式人工智能服務(wù)管理暫行辦法》，給出了生成式人工智能服務(wù)在安全方面的基本要求，包括訓(xùn)練數(shù)據(jù)安全、模型安全、安全措施等，并給出了安全評(píng)估參考要點(diǎn)。

信息來(lái)源：全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20240523143149&norm_id=20240430101922&recode_id=55010

業(yè)內(nèi)新聞速覽

YouTube成為助長(zhǎng)網(wǎng)絡(luò)犯罪的新“溫床”

根據(jù)安全公司 Avast 最新報(bào)告發(fā)現(xiàn)，YouTube已經(jīng)成為幫助惡意行為者部署網(wǎng)絡(luò)釣魚(yú)、惡意軟件和虛假投資計(jì)劃等各種犯罪活動(dòng)的新“溫床”。該公司特別提到了兩種惡意軟件 Lumma 和 RedLine，它們正在 YouTube上大規(guī)?；顒?dòng)。

Avast 指出，YouTube 充當(dāng)了一個(gè)流量分發(fā)渠道，將用戶引導(dǎo)到各種惡意網(wǎng)站和頁(yè)面，助長(zhǎng)了不同嚴(yán)重程度的網(wǎng)絡(luò)犯罪。攻擊者利用 YouTube 的龐大影響力，誘導(dǎo)用戶訪問(wèn)欺騙性網(wǎng)站和下載惡意軟件。此外，YouTube 上日益增多的深度造假視頻也成為了一大問(wèn)題。這些虛假視頻通過(guò)模仿真人或事件來(lái)誤導(dǎo)觀眾，傳播虛假信息。Avast 發(fā)現(xiàn)，有多個(gè)擁有超過(guò) 5000 萬(wàn)訂閱者的賬號(hào)已被黑客入侵，并被用來(lái)傳播依賴(lài)于深度造假視頻的加密貨幣騙局。

消息來(lái)源：FREEBUFhttps://www.freebuf.com/news/400979.html

超火爆的Fluent Bit 曝關(guān)鍵漏洞，影響幾乎所有云服務(wù)商

Fluent Bit，一款廣泛使用的日志和度量解決方案，近日被發(fā)現(xiàn)存在一個(gè)名為L(zhǎng)inguistic Lumberjack的關(guān)鍵漏洞（CVE-2024-4323），該漏洞可能導(dǎo)致拒絕服務(wù)攻擊和潛在的遠(yuǎn)程代碼執(zhí)行。

該漏洞是由于Fluent Bit的嵌入式HTTP服務(wù)器在處理跟蹤請(qǐng)求時(shí)的堆緩沖區(qū)溢出弱點(diǎn)造成的。盡管遠(yuǎn)程代碼執(zhí)行需要特定的條件和大量時(shí)間，但拒絕服務(wù)攻擊和信息泄露的風(fēng)險(xiǎn)更為直接和顯著。

截至2024年3月，F(xiàn)luent Bit的下載和部署次數(shù)已超過(guò)130億次，其中包括亞馬遜AWS、谷歌GCP和微軟Azure等主流云服務(wù)商的發(fā)行版。此外，許多科技公司如Crowdstrike、Trend Micro、思科、VMware、英特爾、Adobe和戴爾等也在使用Fluent Bit。Tenable安全研究人員于4月30日向供應(yīng)商報(bào)告了該漏洞，并于5月15日提交了修補(bǔ)程序。預(yù)計(jì)包含該補(bǔ)丁的Fluent Bit 3.0.4版本將很快發(fā)布。在修復(fù)之前，建議已經(jīng)部署了Fluent Bit的客戶通過(guò)限制對(duì)監(jiān)控API的訪問(wèn)或禁用易受攻擊的API端點(diǎn)來(lái)降低風(fēng)險(xiǎn)。

消息來(lái)源：FREEBUF  https://www.freebuf.com/news/401435.html

內(nèi)部VPN遭漏洞攻擊未向監(jiān)管報(bào)告，這家金融巨頭被罰超7000萬(wàn)元

安全內(nèi)參5月23日消息，美國(guó)洲際交易所（ICE）因未能確保其子公司及時(shí)報(bào)告2021年4月出現(xiàn)的VPN安全漏洞，遭美國(guó)證券交易委員會(huì)（SEC）指控，需支付1000萬(wàn)美元（約合人民幣7245萬(wàn)元）罰款。

ICE是一家位列《財(cái)富》500強(qiáng)榜單的美國(guó)公司，在全球范圍內(nèi)擁有并經(jīng)營(yíng)多家金融交易所和結(jié)算所，包括紐約證券交易所。2023年，該公司雇傭了超過(guò)1.3萬(wàn)名員工，報(bào)告總收入為99.03億美元。SEC要求發(fā)現(xiàn)安全事件后需立即通知，但I(xiàn)CE延遲了四天才評(píng)估事件影響，并錯(cuò)誤地認(rèn)為影響微不足道。調(diào)查顯示，可能是國(guó)家級(jí)黑客入侵，試圖竊取敏感信息。ICE未能按法規(guī)要求通知SEC，違反了內(nèi)部報(bào)告程序，最終同意支付罰款并承諾不再違反相關(guān)法規(guī)。

消息來(lái)源：安全內(nèi)參  https://www.secrss.com/articles/66426

我國(guó)多地3萬(wàn)余條新生兒信息被倒賣(mài)，背后非法產(chǎn)業(yè)鏈曝光

“免費(fèi)上門(mén)給寶寶拍照，要幫您安排嗎？”“早教班免費(fèi)試聽(tīng)，您要報(bào)名嗎？”新生兒剛出生，各種推銷(xiāo)電話就不請(qǐng)自來(lái)，而且對(duì)方還能準(zhǔn)確說(shuō)出孩子和父母的信息。一旦放松警惕，同意他們上門(mén)，所謂的贈(zèng)送很可能就變成價(jià)格不菲的收費(fèi)項(xiàng)目。其實(shí)這背后隱藏著一條非法買(mǎi)賣(mài)、使用新生兒個(gè)人信息的黑色產(chǎn)業(yè)鏈！

近日，杭州互聯(lián)網(wǎng)法院審理了一起涉及3萬(wàn)余條新生兒個(gè)人信息的非法買(mǎi)賣(mài)、使用的民事公益訴訟案。

案件中，一攝影公司利用非法獲取的家長(zhǎng)和孩子信息進(jìn)行推銷(xiāo)，并成功誘導(dǎo)家長(zhǎng)購(gòu)買(mǎi)高價(jià)攝影套餐。經(jīng)查，李某作為該信息鏈的源頭，從多地購(gòu)入新生兒信息并出售給攝影機(jī)構(gòu)，非法獲利29萬(wàn)余元。

最終，李某因“侵犯公民個(gè)人信息罪”被判處有期徒刑二年十個(gè)月，并處罰金30萬(wàn)元，兩家攝影機(jī)構(gòu)也被追責(zé)。4月16日，杭州蕭山區(qū)人民檢察院提起公益訴訟，要求三被告公開(kāi)賠禮道歉并支付公益損害賠償金29萬(wàn)余元，用于個(gè)人信息及婦女兒童權(quán)益保護(hù)等公益事項(xiàng)。

據(jù)了解，2021年11月1日起實(shí)施的《中華人民共和國(guó)個(gè)人信息保護(hù)法》明確將個(gè)人信息保護(hù)納入公益訴訟法定領(lǐng)域，對(duì)檢察機(jī)關(guān)等組織提起個(gè)人信息保護(hù)公益訴訟作出明確規(guī)定。此案提醒廣大市民要增強(qiáng)個(gè)人信息保護(hù)意識(shí)，同時(shí)，相關(guān)部門(mén)也應(yīng)加強(qiáng)監(jiān)管和執(zhí)法力度。

消息來(lái)源：光明網(wǎng)  https://baijiahao.baidu.com/s?id=1799667263210775386&wfr=spider&for=pc

來(lái)源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來(lái)，僅用于分享，并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性，部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系，若涉及版權(quán)問(wèn)題，煩請(qǐng)?jiān)髡呗?lián)系我們，我們會(huì)盡快刪除處理，謝謝！