要聞速覽

1、《國家密碼管理局商用密碼隨機抽查事項清單（2024年版）》發(fā)布

2、國家金融監(jiān)督管理總局發(fā)布新型電信網(wǎng)絡(luò)詐騙風險提示

3、史詩級“微軟藍屏”擾亂數(shù)字社會

4、國際ERP軟件大廠云泄露超7億條記錄，內(nèi)含密鑰等敏感信息

5、阿里因違規(guī)跨境傳輸用戶信息被罰約20億韓元

6新ICS惡意軟件破壞了烏克蘭供暖系統(tǒng)，對全球 OT 構(gòu)成威脅

一周政策要聞

《國家密碼管理局商用密碼隨機抽查事項清單（2024年版）》發(fā)布

近日，國家密碼管理局發(fā)布相關(guān)公告：根據(jù)《中華人民共和國密碼法》、《商用密碼管理條例》及相關(guān)商用密碼管理規(guī)章，發(fā)布《國家密碼管理局商用密碼隨機抽查事項清單（2024年版）》，自發(fā)布之日起施行，2018年7月7日發(fā)布的《國家密碼管理局關(guān)于印發(fā)商用密碼隨機抽查事項清單的通知》（國密局字〔2018〕268號）同時廢止。

信息來源：國家密碼管理局https://www.oscca.gov.cn/sca/xwdt/2024-07/19/content_1061193.shtml

國家金融監(jiān)督管理總局發(fā)布新型電信網(wǎng)絡(luò)詐騙風險提示

近年來，隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，詐騙手段層出不窮，其迷惑性與危害性日益加劇，嚴重威脅到公眾的財產(chǎn)安全與合法權(quán)益。為有效應(yīng)對這一挑戰(zhàn)，國家金融監(jiān)督管理總局金融消費者權(quán)益保護局于2024年7月24日正式發(fā)布了《關(guān)于防范新型電信網(wǎng)絡(luò)詐騙的風險提示》，旨在向廣大公眾發(fā)出警示，提升大家的防騙意識與能力。

該提示特別指出了幾種新型電信網(wǎng)絡(luò)詐騙手段，包括利用“共享屏幕”竊取信息、“AI換臉擬聲”騙取信任、虛假網(wǎng)絡(luò)投資理財和高價游戲產(chǎn)品交易詐騙。為保護財產(chǎn)安全，總局建議：不貪小利，拒絕共享屏幕保護個人信息，轉(zhuǎn)賬匯款前嚴格核實，遇詐騙立即報警并保留證據(jù)。

業(yè)內(nèi)新聞速覽

史詩級“微軟藍屏”擾亂數(shù)字社會

7月19日，一場前所未有的數(shù)字危機悄然降臨。當日清晨，全球各地的Windows企業(yè)用戶紛紛遭遇“藍屏”困擾，電腦無法正常啟動，重要數(shù)據(jù)陷入癱瘓狀態(tài)。此次事件迅速演變?yōu)橐粓霾叭虻腎T災(zāi)難，據(jù)初步統(tǒng)計，約有850萬臺計算機系統(tǒng)受到?jīng)_擊，經(jīng)濟損失難以估量。

經(jīng)過緊張的技術(shù)排查，事件的罪魁禍首浮出水面——美國知名網(wǎng)絡(luò)安全公司Crowdstrike在推送常規(guī)軟件更新時發(fā)生嚴重失誤，導(dǎo)致裝載其安全軟件的Windows系統(tǒng)崩潰。作為全球網(wǎng)絡(luò)安全領(lǐng)域的佼佼者，Crowdstrike的此次失誤不僅讓自身聲譽受損，更引發(fā)了對全球數(shù)字社會網(wǎng)絡(luò)安全脆弱性的深刻反思。

有物流專家稱，這場意外已經(jīng)導(dǎo)致美國和全球港口中斷，而高度復(fù)雜的航空系統(tǒng)受創(chuàng)最為嚴重，航空運輸可能需要幾周時間才能恢復(fù)正常。據(jù)估算，在歐洲、亞洲和北美的全球最大航空貨運樞紐，數(shù)千架航班停飛或延誤。

面對此次突如其來的網(wǎng)絡(luò)安全危機，各國政府和企業(yè)紛紛采取行動。微軟公司緊急發(fā)布修復(fù)補丁，以盡快恢復(fù)受影響的系統(tǒng)。而Crowdstrike則公開道歉并承諾徹查原因、改進流程，以防止類似事件再次發(fā)生?！拔④浰{屏”事件也再次提醒我們，網(wǎng)絡(luò)安全問題不容忽視。必須時刻保持警惕，共同努力構(gòu)建一個更加安全、穩(wěn)定的數(shù)字世界。

消息來源：FREEBUFhttps://www.freebuf.com/news/406953.html

國際ERP軟件大廠云泄露超7億條記錄，內(nèi)含密鑰等敏感信息

安全內(nèi)參7月25日消息，根據(jù)安全研究員Jeremiah Fowler的最新發(fā)現(xiàn)，ERP軟件提供商ClickBalance擁有的一個包含7.69億條記錄的云數(shù)據(jù)庫未設(shè)置任何密碼或安全認證，惡意威脅行為者可以輕而易舉地訪問這些數(shù)據(jù)。

ClickBalance是墨西哥最大的企業(yè)資源規(guī)劃（ERP）技術(shù)提供商之一，提供可以從任何設(shè)備訪問的ERP工具。ERP工具負責管理和自動化各部門的業(yè)務(wù)流程，涵蓋財務(wù)、人力資源、供應(yīng)鏈、制造和銷售等部門。Fowler向WebsitePlanet報告了這一問題。該報告指出，該數(shù)據(jù)庫包含了潛在的敏感信息，如訪問令牌、API密鑰、密鑰、銀行賬號、稅號和381224個電子郵件地址。

API和密鑰的暴露非常令人擔憂，因為網(wǎng)絡(luò)犯罪分子可能利用這些數(shù)據(jù)未經(jīng)授權(quán)地訪問關(guān)鍵系統(tǒng)和敏感數(shù)據(jù)，進而引發(fā)數(shù)據(jù)盜竊、賬號接管、未經(jīng)授權(quán)的交易和服務(wù)中斷。好消息是，F(xiàn)owler發(fā)送了負責任的披露通知，幾小時后該數(shù)據(jù)庫限制了公共訪問。盡管如此，為了防范這些風險，組織應(yīng)更改密碼并啟用雙因素認證（2FA）。

消息來源：安全內(nèi)參  https://www.secrss.com/articles/68482

阿里因違規(guī)跨境傳輸用戶信息被罰約20億韓元

7月24日，韓國個人信息保護委員會（PIPC）在第13次全體會議上，對阿里因違反個人信息保護法規(guī)跨境傳輸用戶個人信息的行為，處以19億7800萬韓元的罰款和780萬韓元的滯納金。這是韓國政府首次對企業(yè)因違反個人信息保護程序而進行的處罰。至于同樣在接受調(diào)查的Temu（拼多多海外版），PIPC表示將在下一次全體會議上進一步審查該公司。

據(jù)了解，阿里提供了一個平臺速賣通（AliExpress），允許入駐賣家向用戶銷售商品，并從中收取一定比例的銷售金額作為中介費，目前該平臺已經(jīng)成功躋身韓國綜合電商前三名。根據(jù)韓國《個人信息保護法》，個人信息的跨境傳輸必須在信息主體明確同意的情況下進行，并且企業(yè)必須采取適當?shù)谋Ｗo措施。然而，PIPC的調(diào)查發(fā)現(xiàn)，在未充分告知用戶個人信息轉(zhuǎn)移的具體國家、接收方信息，以及未在合同中明確保護措施的情況下，將超過18萬韓國用戶的個人信息提供給了海外商家?；谏鲜鲞`規(guī)行為，PIPC對阿里作出了以下處罰決定：1.罰款19億7800萬韓元；2.處以滯納金780萬韓元；3.責令采取措施防止個人信息被接收方濫用，并簡化會員退出程序，以便用戶能夠更容易地行使自己的權(quán)利；4.提出改進建議，要求阿里完善個人信息保護機制。

消息來源：安全內(nèi)參https://www.secrss.com/articles/68483

新惡意軟件破壞了烏克蘭供暖系統(tǒng)，對全球 OT 構(gòu)成威脅

工業(yè)網(wǎng)絡(luò)安全公司Dragos的研究人員近日發(fā)現(xiàn)了一種名為FrostyGoop的新型工業(yè)控制系統(tǒng)（ICS）惡意軟件。這種惡意軟件是第九種專門針對ICS的惡意軟件，也是首個直接使用Modbus TCP通信來破壞OT網(wǎng)絡(luò)的惡意軟件。

FrostyGoop用Golang編寫，可以通過Modbus TCP與ICS直接交互。據(jù)信，這種惡意軟件主要針對Windows系統(tǒng)，并被用于攻擊TCP端口502暴露在互聯(lián)網(wǎng)上的ENCO控制器。該惡意軟件具有讀取和寫入ICS設(shè)備數(shù)據(jù)的能力，還可以接受命令行執(zhí)行參數(shù)，并使用JSON格式的配置文件來指定目標IP地址和Modbus命令。

據(jù)報道，在一次破壞性的網(wǎng)絡(luò)攻擊中，該惡意軟件導(dǎo)致烏克蘭利沃夫市市區(qū)能源公司的供暖服務(wù)中斷了近48小時，影響了600多棟公寓樓的供暖。攻擊者向ENCO控制器發(fā)送Modbus命令，導(dǎo)致測量不準確和系統(tǒng)故障。研究人員認為，攻擊者可能利用了一個可公開訪問的Mikrotik路由器中的未知漏洞獲得了初始訪問權(quán)限。

Dragos表示，超過4.6萬臺互聯(lián)網(wǎng)暴露的ICS設(shè)備使用了Modbus協(xié)議，而FrostyGoop能夠與各種ICS設(shè)備交互的潛力，給跨多個行業(yè)的關(guān)鍵基礎(chǔ)設(shè)施構(gòu)成了嚴重威脅。

消息來源：安全牛https://www.secrss.com/articles/68200

來源:本安全周報所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來，僅用于分享，并不意味著贊同其觀點或證實其內(nèi)容的真實性，部分內(nèi)容推送時未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請原作者聯(lián)系我們，我們會盡快刪除處理，謝謝！