要聞速覽

1、《聯(lián)合國打擊網(wǎng)絡犯罪公約》將提交聯(lián)大表決，我國發(fā)揮關(guān)鍵作用

2、國家標準《信息技術(shù) 大數(shù)據(jù) 數(shù)據(jù)治理實施指南》將于2024年12月1日正式實施

3、AMD曝出“超級權(quán)限漏洞”，數(shù)億設備面臨威脅

4、GitHub全球宕機，微軟Copilot同時癱瘓

5、通用汽車因非法收集和出售駕駛者隱私數(shù)據(jù)遭起訴

6、英國一核設施曝出嚴重網(wǎng)絡安全失誤，已造成國家安全威脅

一周政策要聞

《聯(lián)合國打擊網(wǎng)絡犯罪公約》將提交聯(lián)大表決，我國發(fā)揮關(guān)鍵作用

近日，聯(lián)合國打擊網(wǎng)絡犯罪公約特委會順利通過《關(guān)于打擊為犯罪目的使用信息和通信技術(shù)行為的全面國際公約》（簡稱《聯(lián)合國打擊網(wǎng)絡犯罪公約》)。該條約接下來將于秋季提交聯(lián)合國大會進行投票。由于投票國家與之前相同，預計該條約將在聯(lián)合國大會順利通過。

我國一貫倡導并支持在聯(lián)合國談判制定關(guān)于打擊網(wǎng)絡犯罪的全球性公約，并于2019年共同提出關(guān)于啟動公約談判的聯(lián)大第74/247號決議。2022年以來，中國作為特委會副主席國，以網(wǎng)絡空間命運共同體理念為引領(lǐng)，旗幟鮮明倡導加強打擊網(wǎng)絡犯罪國際合作，支持強化發(fā)展中國家能力建設，并在談判中與各方開展建設性對話，引導各方展現(xiàn)靈活，為最終談成公約發(fā)揮關(guān)鍵作用。

據(jù)了解，該公約是網(wǎng)絡領(lǐng)域首個由聯(lián)合國主持制定的普遍性國際公約，將在全球范圍內(nèi)為打擊網(wǎng)絡犯罪國際合作提供法律框架，對網(wǎng)絡空間國際法發(fā)展有重大意義。

信息來源：信息安全國家工程研究中心https://mp.weixin.qq.com/s/37x_wjRmYDwTibY_2G61HA

國家標準《信息技術(shù) 大數(shù)據(jù) 數(shù)據(jù)治理實施指南》將于2024年12月1日正式實施

國家標準《信息技術(shù) 大數(shù)據(jù) 數(shù)據(jù)治理實施指南》GB/T 44109-2024的發(fā)布與實施，是我國數(shù)據(jù)安全治理體系邁向成熟的重要標志。據(jù)悉，該標準將于2024年12月1日正式實施。

該標準規(guī)定了數(shù)據(jù)治理實施過程框架，從數(shù)據(jù)治理的規(guī)劃、執(zhí)行、評價、改進等方面進行了全面系統(tǒng)的闡述，為各企業(yè)、機構(gòu)的數(shù)據(jù)治理實施提供了有力的支持。

消息來源：中國信息協(xié)會大數(shù)據(jù)分會  https://www.ciiabd.org.cn/articles/R9xxD9.html

業(yè)內(nèi)新聞速覽

AMD曝出“超級權(quán)限漏洞”，數(shù)億設備面臨威脅

在2024年度Defcon黑客大會上，安全公司IOActive的研究員披露了AMD處理器的一個名為“Sinkclose”的難以修復的嚴重漏洞。這一漏洞影響了自2006年以來發(fā)布的幾乎所有AMD處理器，這意味著數(shù)以億計的筆記本、臺式機和服務器等設備都可能成為潛在的攻擊目標。

“Sinkclose”漏洞的嚴重性在于，它允許攻擊者將權(quán)限從操作系統(tǒng)的最高權(quán)限級別（ring 0，即操作系統(tǒng)內(nèi)核）提升至處理器的最高特權(quán)模式——系統(tǒng)管理模式（System Management Mode, SMM）。在這一模式下，攻擊者可以執(zhí)行惡意代碼，并在系統(tǒng)固件中植入難以檢測和移除的惡意軟件。更為嚴重的是，這種惡意軟件可以繞過安全引導等關(guān)鍵安全機制，即使在操作系統(tǒng)重新安裝后仍然長期駐留。

目前，AMD雖然發(fā)布了針對部分最新處理器的更新補丁，但對于較舊的處理器，AMD決定不提供補丁，這無疑增加了仍在大量使用中的舊型號處理器的潛在威脅。

消息來源：安全內(nèi)參https://www.secrss.com/articles/69080

GitHub全球宕機，微軟Copilot同時癱瘓

FREEBUF 8月15日消息，全球最大的代碼托管平臺 GitHub 近日遭遇了全球性宕機事件，不僅影響了其網(wǎng)站的正常訪問，還導致多項服務如pull requests、GitHub Pages和GitHub API等出現(xiàn)故障。

在宕機期間，前往 GitHub 主網(wǎng)站后頁面會顯示一條錯誤消息（錯誤消息中還附有一張憤怒的獨角獸圖片），提示“當前沒有可用于響應您請求的服務器”。

此次宕機事件的影響范圍相當廣泛，Downdetector的數(shù)據(jù)顯示，超過1萬名用戶受到了影響，這其中包括了眾多開發(fā)者和公司?；ヂ?lián)網(wǎng)監(jiān)控服務BetBlocks也發(fā)布消息，確認GitHub經(jīng)歷了跨國服務中斷。更有人在 Hacker News 上調(diào)侃稱：“這下所有 AI 原生應用開發(fā)者可以正大光明摸魚了，因為 Copilot 已經(jīng)癱瘓了！”。幸運的是，系統(tǒng)目前已經(jīng)恢復正常運行，GitHub 迅速回滾了導致此次事故的數(shù)據(jù)庫基礎設施變更，并宣布服務已經(jīng)“全面恢復運行”。據(jù)了解，GitHub自2018年被微軟以75億美元收購后，用戶數(shù)量實現(xiàn)了強勁增長，從當時的不到4000萬用戶增長到現(xiàn)在的7300多萬開發(fā)者用戶。然而，一些用戶認為，盡管GitHub的知名度不斷提高，但其在開發(fā)者心中的地位卻逐漸下滑，平臺的可靠性也成為了一些人關(guān)注的焦點。此次宕機事件不僅是一個平臺的問題，更影響了整個全球開發(fā)者社區(qū)，無數(shù)項目的開發(fā)進程被迫中斷，這也再次突顯了對單一平臺依賴的風險。

消息來源：FREEBUF  https://www.freebuf.com/news/408688.html

通用汽車因非法收集和出售駕駛者隱私數(shù)據(jù)遭起訴

日前，美國德克薩斯州檢察長辦公室對通用汽車提起訴訟，指控該汽車制造商非法收集并出售約150萬德州客戶的駕駛數(shù)據(jù)。這一行為不僅侵犯了車主隱私，還涉嫌違反德州法律。

據(jù)調(diào)查，通用汽車自2015年起利用車載技術(shù)收集、記錄、分析并傳輸詳細的駕駛數(shù)據(jù)，隨后將這些信息出售給第三方公司，包括保險公司。這些數(shù)據(jù)被用于生成“駕駛評分”，而車主對此并不知情。調(diào)查還發(fā)現(xiàn)，通用汽車在車輛過戶過程中強制客戶注冊OnStar等產(chǎn)品，否則車輛的安全功能將被停用。通過這種方式，客戶在不知情的情況下同意了數(shù)據(jù)收集和出售。近年來，隨著車輛互聯(lián)程度的提高，汽車數(shù)據(jù)安全問題日益凸顯。例如，日產(chǎn)北美和香港寶馬經(jīng)銷商今年都曾發(fā)生客戶信息泄露事件。特斯拉則被曝出車主攝像頭拍攝的錄音在內(nèi)部消息系統(tǒng)中共享。

英國一核設施曝出嚴重網(wǎng)絡安全失誤，已造成國家安全威脅

安全內(nèi)參8月14日消息，英國最危險的核設施——塞拉菲爾德（Sellafield）因一系列網(wǎng)絡安全失誤面臨刑事指控。近日，該公司對相關(guān)指控表示認罪，并承認其失誤可能對國家安全構(gòu)成威脅。

法院獲悉，該核廢料堆場中75%的計算機服務器易受網(wǎng)絡攻擊，可能威脅國家安全。塞拉菲爾德在過去幾年中發(fā)生了一系列IT失誤，包括外部承包商能無監(jiān)督地將U盤插入系統(tǒng)、服務器極度不安全等問題。今年6月，該公司承認了核監(jiān)管辦公室提出的指控，涉及2019年至2023年間的一系列信息技術(shù)安全違規(guī)行為。目前等待最終判決，預計將在9月進行。

此次判決是首個因IT安全被起訴的核設施案例，塞拉菲爾德已同意支付法律費用，并表示已對系統(tǒng)進行重大改進以確保更好的保護和更強的彈性。此次事件不僅是塞拉菲爾德的危機，也是整個核能行業(yè)的一次警鐘。

消息來源：安全內(nèi)參https://www.secrss.com/articles/69143

來源:本安全周報所推送內(nèi)容由網(wǎng)絡收集整理而來，僅用于分享，并不意味著贊同其觀點或證實其內(nèi)容的真實性，部分內(nèi)容推送時未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請原作者聯(lián)系我們，我們會盡快刪除處理，謝謝！