[推荐]【每日资讯】 | 思科Talos报告：威胁分子使用已知的Excel漏洞 | 2022年12月31日星期六

发表于: 2022-12-1 10:22 10690

[推荐]【每日资讯】 | 思科Talos报告：威胁分子使用已知的Excel漏洞 | 2022年12月31日星期六

Editor

2022-12-1 10:22

10690

2022年12月31日星期六

今日资讯速览：

1、思科Talos报告：威胁分子使用已知的Excel漏洞

2、LastPass 安全事件持续发酵，破解常规主密码只需 100 美元

3、马斯克疯狂裁员75%后，推特出现全球宕机

1、思科Talos报告：威胁分子使用已知的Excel漏洞

长期以来，微软Office文件（尤其是Excel文件和Word文件）一直是一些网络犯罪分子的目标。攻击者借助不同的技术，使用嵌入的Visual Basic for Applications宏，用不同类型的恶意软件感染计算机，进而实施网络犯罪和网络间谍活动。

在大多数情况下，用户在这些应用程序中执行代码时，仍然需要点击“同意”，但一些社会工程伎俩诱使毫不知情的受害者点击并允许执行恶意宏本身。也有可能在没有任何用户交互的情况下直接利用漏洞，以启动恶意软件。

思科Talos的一项新研究显示，威胁分子可能会利用Excel文件中的事件处理函数来自动启动.XLL文件。最常见的方法是在Excel Add-In管理器调用xlAutoOpen或xlAutoClose函数时执行恶意代码。

思科Talos研究人员利用VirusTotal中的特定查询来查找恶意的.XLL文件，并提供YARA规则来查找此类文件。他们将使用常用的微软.XLL SDK构建的原生.XLL样本和使用ExcelDNA框架生成的样本分开来，因为ExcelDNA框架是免费的，往往是最常被威胁分子所使用的框架（见下图）。

图2. VirusTotal中.XLL文件的提交数量（图片来源：思科Talos）

图3. VirusTotal中.XLL文件的提交数量（图片来源：思科Talos）

上面两个图表显示，早在微软开始阻止包含VBA宏的文档之前，威胁分子就一直在利用.XLL文件漏洞了。

思科Talos的研究人员查明，在2017年7月之前，没有提交任何潜在恶意的样本。在VirusTotal平台上发现的第一个.XLL攻击载荷启动了calc.exe，这是渗透测试人员和网络犯罪分子常用的测试方法。同月提交的第二个样本启动了Meterpreter反向shell，可能用于渗透测试或恶意用途。

在那次活动之后，.XLL文件零星出现，但直到2021年底，Dridex和FormBook等臭名昭著的恶意软件家族开始使用，利用.XLL文件的活动才有所增加。

一些威胁分子现正在使用.XLL文件来感染计算机。

据美国司法部声称，APT10（又叫Red Apollo、menuPass、Stone Panda或Potassium）是一伙网络间谍威胁分子，自2006年以来一直在运作。

2017年12月，研究人员发现了一个文件利用.XLL注入了APT10专有的名为Anel的恶意软件

TA410是另一伙针对美国公用事业和外交机构下手的威胁分子，与APT10有着松散的联系。他们使用的工具包也包括2020年发现的.XLL阶段。

针对克什米尔非营利组织和巴基斯坦政府官员的DoNot团队似乎也使用了这种方法：一个.XLL文件包含两个导出函数，一个导出函数名为pdteong，第二个导出函数名为xlAutoOpen，使其成为功能齐全的.XLL攻击载荷。pdteong导出函数名称仅由DoNot团队使用。

FIN7是一伙来自俄罗斯的网络犯罪威胁分子。2022年，这伙威胁分子开始在恶意电子邮件活动中使用.XLL文件作为附件来发送。这些文件被执行后，它们充当了下一个感染阶段的下载器。

然而，VirusTotal中.XLL检测出现高峰主要来自Dridex恶意软件活动。这些.XLL文件被用作下一个感染阶段的下载器，该阶段是从通过Discord软件应用程序访问的大量攻击载荷中选择出来的。

第二种最常见的载荷是FormBook，这是一种在网上可以低价买到的信息窃取服务。它使用电子邮件活动来传播.XLL下载器，从而获取下一个感染阶段，即FormBook恶意软件本身。

最近针对匈牙利的AgentTesla和Lokibot活动通过电子邮件利用了.XLL文件。电子邮件假装来自匈牙利警察局（见下图）。

图4. AgentTesla活动中的欺诈邮件内容（图片来源：思科Talos）

思科Talos将文本翻译如下：

“我们是布达佩斯第七区警察局。我们已听说贵公司的优秀业绩。我们中心需要您对我们的2022年预算（附上）给一个报价。预算由我们匈牙利政府的内政部共同出资。请于2022年8月25日前提交报价。请查收附件，如果您需要更多信息，请告知我们。”

此外，Ducktail恶意软件是一种信息窃取恶意软件，由越南运营的威胁团伙运行，它也利用了.XLL。这伙威胁分子使用一个名为“项目营销计划细节和Facebook谷歌广告结果报告.xll”的文件，用Ducktail恶意软件感染目标。

为了通过使用VBA宏来帮助对抗感染，微软决定改变其Office产品的默认行为，阻止从互联网下载的文件中的宏。

Office Add-In是可以添加到Office应用程序中以改进功能或增强应用程序外观的可执行代码段。Office Add-In可能包含VBA代码或在.NET字节码中嵌入已编译功能的模块。这可能表现为COM服务器，也可能表现为用特定的文件扩展名重命名的动态链接库。

面向微软Word应用程序的Add-In需要放在由注册表值指定的位置，具体取决于Office版本。文件扩展名为. WLL的文件将被加载到Word进程空间中。

对于微软Excel，用户点击的任何具有.XLL扩展名的文件都将自动尝试运行Excel作为.XLL文件的打开器。在任何情况下，Excel软件都会触发有关潜在恶意软件或安全问题的显示消息，但这对普通用户无效，他们往往忽视此类警告。

.XLL Add-in通常使用微软Excel .XLL软件开发工具包由C/C++编程语言开发，但Add-In Express和Excel-DNA等一些框架允许使用C#或VB.NET之类的.NET语言。

使用.XLL文件在企业环境中并不普遍；不需要它的企业应该阻止试图在其环境中执行.XLL文件的任何活动。如果贵公司确实允许使用.XLL文件，必须在端点和服务器上进行密切的监视，以便检测并调查任何可疑活动。

电子邮件网关不应该默认接受.XLL文件，并增强企业用户的意识。如果他们从Excel中看到关于运行Add-In的警告消息，又不知道为什么会出现这种情况，就不应该允许执行，并打电话给IT/安全部门。

【阅读原文】

2、LastPass 安全事件持续发酵，破解常规主密码只需 100 美元

LastPass 今年 11 月发生的安全事件持续发酵。继安全专家对官方公告提出 14 点疑问之后，友商 1Password 也加入拆台行列。

在 LastPass 公告中表示破解用户主密码需要数百万年时间，此前安全专家质疑表示破解常规用户主密码只需要 2 个月时间。而现在友商 1Password 再次拆台，表示破解常规主密码只需要 100 美元（约 698 元人民币）。

1Password 的首席安全架构师 Jeffrey Goldberg 在一篇博文中表示，LastPass 公告所提及的内容大幅夸大了破解难度，而如果真的想要破解常规 LastPass 客户的主密码，成本只需要 100 美元（约 698 元人民币）左右。

Goldberg 支撑这个观点的理由是大多数用户的现实生活中的主密码不是随机的，对于密码破解者来说他们也知道这一点。如果破解只是英文和数字的密码（例如 Fido8my2Sox）要明显简单很多，而如果破解“2b||!2b.titq”、“zm-@MvY7*7eL”自然需要很久。但是普通用户不会使用这样复杂、难以记忆的密码作为主密码。

他说，大多数密码只需不到 100 亿次猜测就可以破解，而且只需大约 100 美元（约 698 元人民币）即可破解。

【阅读原文】

3、马斯克疯狂裁员75%后，推特出现全球宕机

上万名Twitter用户报告Twitter出现故障，用户无法访问该网站或使用其主要功能。此次故障范围波及包括美国、日本、英国在内的全球各个国家和地区，换句话说，Twitter再次爆发了全球性宕机事件。

据网络状况监测站Downdetector的数据显示，此次宕机事件发生在半夜，直接影响到手机应用和通知等功能，其中美国和亚洲的法新社记者的账户也在遇到故障之列。

一些用户反馈Twitter出现很多奇怪的错误消息，比如看到的是空白页面，或无法回复推文或关注热门话题，而另一些人是退出服务。Twitter 还向一些用户显示“速率超出限制”，这表明其服务器无法处理传入的请求。话题标签 #TwitterDown 正在该平台上流行。

故障出现之后，Twitter官方表示正在修复问题，不到一小时候，通报故障的问题数量下降至3700多起，一些遗失的信息和推文也重新出现在Twitter上。

这是自马斯克440亿美元收购Twitter之后，首次出现如此大规模的全球宕机事件。有人猜测，此次Twitter宕机或许和前段时间马斯克疯狂裁员有关，裁员比例达到了前所未有的75%，包括开发人员、维护人员在内的数千名员工被解雇，其中安全部门更是全部被裁撤，并且导致Twitter内部一直处于混乱之中。

马斯克疯狂裁员虽然有利于降低企业成本和对现金流的负担，但是也让很多用户对于Twitter快速修复BUG，快速解决问题能力的担忧。

值得一提的是，这是2022年Twitter第二次出现全球性大宕机事件。7月14日，仅在美国，就有超过5.4万人报告了Twitter的问题。此外，包括英国、墨西哥、巴西和意大利在内的其他国家的用户，也报告了类似的问题。

此次全球宕机事件也和马斯克有关，彼时正处于Twitter起诉特斯拉CEO埃隆·马斯克的期间，称称其违反了以440亿美元收购Twitter交易。为此，Twitter要求特拉华州一家法院命令马斯克继续完成这笔交易。

【阅读原文】

2022年12月30日星期五

今日资讯速览：

1、美国法院、警察局遭到 LockBit 勒索软件攻击

2、首个“开源ChatGPT”来了：基于谷歌5400亿参数大模型，华人小哥出品，网友吐槽：这谁能跑？

3、加拿大最大儿童医院遭勒索攻击，一周仍未恢复系统

1、美国法院、警察局遭到 LockBit 勒索软件攻击

Therecord 网站披露，俄亥俄州芒特弗农市警察局、法院和其它政府办公室遭到勒索软件攻击。市政府官员表示，本市信息技术 IT 供应商使用的某个远程访问工具中存在一个安全漏洞，攻击者安装了名为 LockBit 的勒索软件，并要求支付赎金以获取某些文件。

攻击事件发生后，市政府安全专家和 IT 供应商 Dynamic Networks 一直在努力利用备份恢复所有受影响的系统。从发布的声明来看，易受勒索软件影响的软件已经从所有系统中移除了。

LockBit 勒索软件团伙

2022 年，勒索软件团伙针对新泽西、科罗拉多、俄勒冈、纽约和其他几个州的政府展开了网络攻击。专家指出，这是针对地方、州和国家政府持续攻击趋势的一部分，今年发生了 175 起针对政府的网络攻击，相比 2021 年 196 起有所下降，但仍然是一个大问题。

LockBit 已迅速成为 2022 年最“活跃”的勒索软件团伙，今年对世界各地政府机构、公司和组织发动了数百次网络袭击。该团伙在 2020 年 1 月开始崭露头角，目前已经成为世界上最活跃和最具破坏性的勒索软件变种之一。

根据 Recorded Future 从勒索网站、政府机构、新闻报道、黑客论坛和其它来源收集到的数据来看，LockBit团伙与 8 月份发生的 82 次网络攻击事件有关，受害者总数更是达到 1111 个。

法国警方也表示，LockBit 上个月对巴黎东南部一家医院进行破坏性的网络攻击，此次攻击破坏了医院的医疗影像、病人入院和其它服务。此外，据网络安全公司 Dragos 的数据，第二季度针对工业系统的勒索软件攻击中约有三分之一是由 LockBi t发起的。

截至 2022 年 12 月，勒索软件攻击的图表。

自 6 月以来，LockBit 组织的活动突然激增，值得一提的是，该组织还推出了新版本 LockBit 3.0”，据称该版本包括技术改进和漏洞赏金计划。

【阅读原文】

2、首个“开源ChatGPT”来了：基于谷歌5400亿参数大模型，华人小哥出品，网友吐槽：这谁能跑？

就说程序员的手速有多快吧，首个开源ChatGPT项目已经出现了！

基于谷歌语言大模型PaLM架构，以及使用从人类反馈中强化学习的方法（RLHF），华人小哥Phillip Wang复刻了一个ChatGPT出来。

项目GitHub星已经超过1.7k了，而且还在一路飙升ing。

不过一反常态的是，网友们看到“开源ChatGPT”却没有火速开冲，反倒齐刷刷在发问：

这……有人能run？

开源了但没完全开？

项目的核心内容，是在PaLM架构上实现基于人类反馈的强化学习。

其中，PaLM（Pathways Language Model）是谷歌在今年4月发布的5400亿参数全能大模型，基于Pathways系统训练，BERT之父Jacob Devlin为主要贡献者之一。

PaLM可以完成写代码、聊天、语言理解等任务，并且在大多数任务上实现了SOTA少样本学习性能。

另一个核心点是RLHF“从人类反馈中强化学习”。

OpenAI提出InstructGPT时就用到了这一方法，它能让AI的回答更加符合情景要求，降低“有害性”。

具体分三步：

第一步，找一些人写下示范答案，来微调GPT-3模型，训练监督模型baseline。

第二步，收集某个问题的几组不同输出数据，由人类对几组答案进行排序，在此数据集上训练奖励模型。

第三步，使用RM作为奖励函数，近端策略优化（PPO）算法微调GPT-3策略，以强化学习方法最大化奖励。

ChatGPT使用的GPT-3.5，其中text-davinci-002就是在code-davinci-002的基础上，采用了InstructGPT训练方法改进得到。

正是基于如上两方面核心内容，作者实现了ChatGPT的复刻。

大致步骤有3步：

首先来训练一下PaLM，就和其他自回归Transformer一样。
第二……

等等，训练PaLM？？？这确定不是在开玩笑？

现在明白为啥大家都觉得这个开源项目完全不能run了……

打个不恰当的比方，这就像如果想吃熊肉，那先自己去打头熊来。

项目中只有PaLM架构和代码，没有预先训练好的权重。

所以完成第一步，大概效果就是……

话虽如此，但还是继续接着往下看看……

第二步，就要训练基于RLHF的奖励模型了。作者使用的是一种轻量级训练大语言模型方法LoRA，这种方法是开源的。

然后，再把之前训练好的模型和奖励模型用强化学习进行微调。

经过这三步后，就能得到一个开源版的ChatGPT了。

这中间面临的问题包括巨大的计算量、超大模型和难收集的文本……所以有人也不免发问：

有没有一种可能，它也没啥用？

不过有网友觉得这本质上还是一件好事啦。

AI的一个关键区别就是，每有一个重大突破，很快就会出现一个开源版本。

实际上，开源项目作者小哥Philip Wang一直都热衷于复刻各种明星项目，过去还尝试过Dall·E 2、AlphaFold 2等。

以及LAION也发起了一个类似项目Open Assistant，他们将通过“众筹脑力”的方式，共同开发一个开源的聊天AI。

Stable Diffusion用的开放数据集，就是这一组织做的。

感兴趣的童鞋不妨去试试看~

【阅读原文】

3、加拿大最大儿童医院遭勒索攻击，一周仍未恢复系统

安全内参12月29日消息，加拿大规模最大的儿科保健中心，多伦多病童医院（The Hospital for Sick Children）在12月18日（星期日）遭遇勒索软件攻击，目前正在努力恢复系统。

这家隶属多伦多大学的医院最初表示，攻击事件只影响到几个网络系统，对病患的正常护理仍在继续。

尽管如此，该机构还是将事件划归“灰色代码”级别，即代表发生了“系统故障”。

证实为勒索软件攻击，已启动停机程序

院方官员随后证实，这是一起勒索软件攻击，但“没有证据”表明患者的个人信息遭到泄露。

院方解释称，“截至目前，事件似乎只影响到部分内部临床和业务系统，以及一些医院电话线路与网页。我院已经根据实际需要启动了相应的停机程序。”

该事件已被上报至政府机构，病童医院还聘请了第三方专家参与事件响应。目前医院的部分网页已经关闭，电话系统也存在一定的通话问题。

该院未回应置评请求。自首次公布攻击事件以来，院方持续在官方网站和推特上发布更新。

系统恢复难度大，需数周时间才能完成

12月23日，院方给出最新确认，称所有系统都需要数周时间才能恢复正常。医院解释道，临床和运营团队正在对无法访问的系统执行备份程序。

此次攻击导致医生无法正常访问实验室和成像资料，病患的待诊时间也随之延长。另外，处方的发放流程也受到了影响。

院方官员上周四表示，“此次灰色代码事件影响到了我们的内部计时系统。病童医院的人力资源团队已经启动应急恢复计划，努力确保按时向员工支付工资。对于可能受到延误影响的员工，我们也将致力于保证他们最终拿到正确薪酬。”

上周五，医院的电话线路和内部员工工资计时系统已经恢复正常。但由于其他系统中断，病患的诊断与治疗仍存在延误。

针对医院的勒索攻击已屡见不鲜

截至本周二上午，尚无勒索软件团伙宣布对此次攻击负责。

病童院是近年来儿童医院网络攻击事件中的最新受害者。美国联邦调查局局长Christopher Wray曾在今年6月表示，伊朗政府支持的黑客以波士顿儿童医院为目标，并怒斥“这是我见过的最卑劣的网络攻击之一”。

纵观2021年到2022年，针对医疗保健组织的勒索软件攻击可谓持续不断。相关事件包括近期针对法国一家综合医院、得克萨斯州一家医院、加利福尼亚州一家非营利性组织以及英国国民健康服务中心的攻击活动。

【阅读原文】

2022年12月29日星期四

今日资讯速览：

1、罚款7.25亿美元，Facebook因数据泄露再被罚

2、谷歌在Gmail中引入端到端加密

3、首次！美国政府立法推动改善内存安全问题

1、罚款7.25亿美元，Facebook因数据泄露再被罚

近日，Facebook、Instagram 和 WhatsApp 的母公司 Meta Platform 已同意支付 7.25 亿美元来解决 2018 年提起的长期集体诉讼。这场法律纠纷是因为这家社交媒体巨头允许第三方应用程序（例如Cambridge Analytica使用的应用程序）在未经用户同意的情况下访问用户的个人信息以进行政治广告。

路透社上周首次报道的拟议和解协议是该公司多年来在一系列隐私事故之后支付的最新罚款。当然，目前仍然需要美国地方法院旧金山分院的联邦法官的批准。

值得一提的是，Facebook此前曾于2019年9月试图驳回该诉讼，声称用户在社交媒体上提供给朋友的任何信息都没有合法的隐私利益。

数据收集丑闻于2018年3月曝光，涉及一个名为“thisisyourdigitallife”的性格测验应用程序，该应用程序允许收集用户的公开个人资料，页面喜欢，出生日期，性别，位置，甚至消息（在某些情况下）用于建立心理档案。

该应用程序由剑桥大学讲师亚历山大·科根（Aleksandr Kogan）于2013年创建，声称通过抓取用户的个人资料信息以换取小额付款，根据用户在Facebook上喜欢的内容来揭示用户的个性特征。

通过Kogan于2014年成立的全球科学研究（GSR），这些数据随后被传递给SCL集团旗下的英国政治咨询公司Cambridge Analytica，作为研究项目的一部分。据说大约有30万用户参加了心理测试，但该应用程序在没有寻求明确许可的情况下收集了安装该应用程序的人及其Facebook朋友的私人数据，从而形成了一个涵盖8700万个个人资料的数据集。

thisisyourdigitallife随后于2015年因违反其平台政策而被Facebook禁止，该公司还向GSR和Cambridge Analytica发送了法律要求，要求删除不当获取的数据。只是后来发现，未经授权的数据从一开始就没有被清除，这家现已倒闭的咨询公司使用来自数百万Facebook帐户的个人信息，用于2016年美国总统大选前的选民分析和定位。

重磅炸弹的曝光引发了大西洋两岸的政府审查，促使该公司在2019年与美国证券交易委员会（SEC）和英国信息专员办公室（ICO）达成和解。

同年，在美国联邦贸易委员会（FTC）对其隐私实践进行调查并解决该公司破坏用户选择控制其个人信息隐私的指控后，Meta也被处以创纪录的50亿美元罚款。

Facebook尚未承认与有问题的数据共享存在其他任何不当行为，此后已采取措施限制第三方访问用户信息并推出了一个名为Off-Facebook Activity的工具，供用户“查看向我们发送有关您的活动信息的应用程序和网站的摘要，并根据需要从您的帐户中清除此信息。

【阅读原文】

2、谷歌在Gmail中引入端到端加密

谷歌在Gmail中引入端到端加密功能。

12月16日，谷歌宣布在Gmail web应用中加入端到端加密（end-to-end encryption, E2EE）。加入端到端加密功能后，谷歌Workspace用户就可以发送和接收加密邮件。

谷歌在Gmail应用中引入的端到端加密功能即客户端加密，已广泛应用于Google Drive、Google Docs、Sheets、Slides、Google Meet、Google Calendar等应用中。

Gmail 客户端加密可以确保邮件主体和附件中的所有敏感数据都无法被谷歌服务器解密，但包括主题、时间戳、接收者列表在内的邮件头信息都不会被加密。谷歌解释说，用户除了使用谷歌Workspace提供的默认加密方式外，还可以使用自己的加密密钥来加密企业的数据。

通过谷歌Workspace客户端加密，内容加密是在客户端浏览器中处理的，而且是在数据传输或保存在Drive的基于云的存储之前完成的。因此，谷歌服务器无法访问用户的加密密钥，也不能解密用户的数据。在用户设置客户端加密后，用户可以选择哪些用户可以创建客户端加密内容并在内部或外部分享。

图在Gmail 中发送和接收端到端加密邮件内容

目前，谷歌Workspace Enterprise Plus、Education Plus、Education Standard用户可以试用Gmail E2EE测试版。想试用的用户可以在2023年1月20日前提交Gmail CSE Beta Test Application申请，包括邮箱地址、项目ID、测试组域名等。但该特征还不适用于谷歌Accounts、谷歌Workspace Essentials、 Business Starter、Business Standard、Business Plus、Enterprise Essentials、Education Fundamentals、Frontline和Nonprofits个人用户。

谷歌在确认用户账户可试用该功能后，管理员可以配置环境、准备S/MIME证书、配置密钥服务和身份提供商。启用该功能后，用户可以点击接收者域附近的锁图标，并点击其他加密选项的开启按钮：

【阅读原文】

3、首次！美国政府立法推动改善内存安全问题

安全内参12月28日消息，美国国会上周五通过的2023财年综合拨款法案中包含一份“圣诞彩蛋”，倡导开发者使用可支持内存安全的编码语言，以阻止网络对手利用绝大多数软件漏洞。

“有史以来第一次，国会将内存安全纳入法律，要求国家网络总监研究政府层面的内存安全问题。总体法案预计将在本周通过。为在参议院期间参与制定这项法规感到自豪！”知名安全研究员Jack Cable昨天发布推文称。

Cable推文中引用的法案原文采用了更保守的用词，称“鼓励”国家网络总监研究和报告内存安全问题，而非“要求”，并提到国家网络总监办公室的领导作用仍在不断变化。

非内存安全语言存在较高安全隐患

与此同时，美国国家安全局和网络安全与基础设施安全局一直在密切关注编码语言的影响，承认多数语言并不会自动检查和控制软件开发者的内存管理方法。

网络安全与基础设施安全局高级技术顾问Bob Lord在内部网络安全咨询委员会12月6日的会议上表示，“我们年复一年，甚至可以说十年如一日地发现各类漏洞，而其中约有三分之二”跟内存管理问题有关。

在11月公布的一份信息表中，NSA表示，“质量低下或粗糙的内存管理设计，可能令恶意黑客获得可乘之机，例如随意令程序崩溃、或者篡改正在执行的程序指令以完成任何恶意操作。”

内存安全语言可解决问题，但性能消耗大

NSA认为“软件程序的内存管理机制是预防各类漏洞、保障程序健壮性的核心所在”，并建议开发者应尽可能使用内存安全语言。

典型内存安全语言包括JavaScript、Ruby、Python等。NSA指出，与C、C++等常见的非内存安全语言不同，内存安全语言可以“控制内存的分配、访问和管理方式，在很大程度上提供安全保护。”

当然，这其中也存在着权衡取舍。内存安全语言的默认检查可能会耗费大量时间和开发资源。

NSA表示，“对于极端强调内存保护的语言，即使是简单程序的编译也涉及大量检查和保护工作。必须承认，内存安全也带来了高昂的性能和灵活性成本。”

另一方面，手动检查代码中的内存管理错误同样耗时耗力，考虑到可能引发的网络攻击后果，其成本可能更为沉重。

美国政府呼吁采用内存安全语言

在12月6日的会议上，网络安全与基础设施安全局长Jen Easterly强调了技术在“设计层面上保障安全”的重要意义。她认为应当“继续呼吁软件开发企业以完全透明的方式，从设计出发构建切实安全的产品。”

除了鼓励开发商改用内存安全编程语言之外，NSA的文件还列出了推荐工具，可用于测试应用程序是否存在易遭对手利用的内存管理错误。

考虑到开发人员已经习惯于使用非内存安全语言的软件库，并积累起大量相关专业知识，国安局承认这种开发范式转换绝非易事。

Lord总结称，“好消息是，新兴的内存安全编程语言已经存在，其他配套技术、硬件和保障性元素也陆续问世。所以，我们已经有了可行的解决方案。接下来的重点是提高人们的安全意识，现在各相关组织是时候行动起来了。”

【阅读原文】

2022年12月28日星期三

今日资讯速览：

1、Linux 内核被爆CVSS评分9.6的“关键”漏洞

2、关基保护重大事件！能源巨头因遭受勒索攻击影响信用评级

3、BitKeep钱包被盗达3100万美元，团队会赔付吗？

1、Linux 内核被爆CVSS评分9.6的“关键”漏洞

12 月 26 日消息，安全专家近日在 Linux Kernel 中发现了一个“关键”漏洞（ CVSS 评分为 9.6 分），黑客可以利用该漏洞攻击 SMB 服务器，在远程执行任意代码。这个漏洞主要发生在启用了 ksmbd 的 SMB 服务器上。

了解到，KSMBD 是一个 Linux 内核服务器，在内核空间实现 SMB3 协议，用于通过网络共享文件。一个未经认证的远程攻击者可以利用该漏洞执行任意代码。

ZDI 在公告中表示：“该漏洞允许远程攻击者在受影响的 Linux Kernel 安装上执行任意代码。只要系统启用了 ksmbd 就容易被黑客攻击，而且这个漏洞不需要用户 / 管理人员认证。更详细的解释是，该漏洞存在于 SMB2_TREE_DISCONNECT 命令的处理过程中。这个问题是由于操作对某个对象之前，没有验证该对象是否存在。攻击者可以利用该漏洞在内核中执行任意代码”。

该漏洞于 2022 年 7 月 26 日被 Thales Group Thalium 团队的研究人员 Arnaud Gatignol, Quentin Minster, Florent Saudel, Guillaume Teissier 发现。该漏洞于 2022 年 12 月 22 日被公开披露。

了解到，CVSS 系统对所有漏洞按照从 0.0 至 10.0 的级别进行评分，其中，10.0 表示最高安全风险。高于或等于 4.0 的分数表示不符合 PCI 标准。在 CVSS 系统中获得 0.0 至 3.9 的分数的低危漏洞仅可能被本地利用且需要认证。

【阅读原文】

2、关基保护重大事件！能源巨头因遭受勒索攻击影响信用评级

安全内参12月27日消息，南美洲国家哥伦比亚的能源巨头Empresas Publicas de Medellin (EPM)近日遭到网络攻击。穆迪评级称，这起事件可能影响其信用水平。该事件为关键基础设施行业敲响警钟，提醒相关企业应制定行之有效的缓解措施与漏洞管理计划。

EPM是哥伦比亚最大的公共电力、水与天然气供应商之一。据报道该公司在12月13日遭受勒索软件攻击，导致公司网站、移动应用、支付网关以及内联网运营中断。穆迪称EPM正在努力处置善后工作，但攻击事实可能影响其信用评分。

12月20日，穆迪评级发布报告称，“虽然EPM没有对攻击的严重性发表评论，但勒索软件攻击可能导致运营中断，迫使企业将本该自动执行的流程转为成本更高、速度更慢的手动模式——这会损害其信用评级。”

EPM的危机也给电力、天然气和供水等关键基础设施行业敲响了警钟。在2022年的网络热力图中，穆迪确认这些领域将面临极高的网络攻击风险。

穆迪在报告中提到，“这类关键基础设施企业在整体经济中具有重要的系统性作用，也在迅速向服务体系内引入数字技术。但与银行、电信等其他同样面临高攻击风险的行业相比，关基领域的网络防御实践仅处于中等水平。”

根据穆迪的说法，衡量网络防御实践是否健全的关键指标之一，就是补丁修复速度——即相关企业能否在勒索攻击等安全事件期间及时修复已知漏洞。

具体而言，网络安全评级与分析厂商、穆迪合作伙伴BitSight公司的首席风险官Derek Vadala认为，补丁修复速度与遭遇勒索攻击的几率之间存在着很强的相关性。全球最大保险经纪公司威达信集团（Marsh McLennan）在最近的一项独立研究中，也证实了这种相关性。

在网络防御实践方面，EPM在BitSight的近期评级中只得到了“C”，表明该公司沦为攻击目标的可能性相当于评级为“A”的组织的近七倍。

穆迪指出，“虽然还不清楚攻击者如何渗透EPM网络，也必须承认恶意黑客也许并未利用未经补丁修复的系统，但补丁安装速度太慢无疑代表着EPM在现行网安实践方面存在不足之处。”

受此次勒索攻击影响，穆迪公司暂未对EPM做出信用评级。

穆迪高级副总裁Gerry Granovsky表示，穆迪始终关注网络风险带来的长期影响。如果风险确对业务运营产生持续压力，则穆迪可能会下调组织评级。

【阅读原文】

3、BitKeep钱包被盗达3100万美元，团队会赔付吗？

12月26日消息，Web3多链钱包BitKeep发布公告称，经过团队初步排查，疑似部分APK包下载被黑客劫持，安装了被黑客植入代码的包。如用户资金出现被盗情况，用户下载或者更新的应用或许是被劫持的不明版本（非官方发布版本）。现在出于用户资金安全的谨慎考虑，如用户下载的是APK版本，请将资金转移至其他官方商店（App Store或Google Play）下载的钱包中。

此外，建议使用新创建的钱包地址，用户通过APK创建的地址或有可能泄漏给了黑客。BitKeep发布提示称：“如条件允许，请务必使用苹果或谷歌官方商店下载和使用BitKeep钱包，以确保您的资产安全。”

金色财经此前报道，多名用户在其官方Telegarm群中称其资金被盗，BitKeep团队称如因平台原因导致的资产损失，BitKeep安全基金将进行全额赔付。

据 OKLINK，BitKeep 钱包黑客地址目前有 2,896,386 USDT 166,010 DAI 和 2,310 BNB，被盗总金额超过 360 万美金，主要集中在 BNBChain。

据 Supremacy，BitKeep 黑客正在使用 SideShift 和 FixedFloat 混币，已经转移了 652 BNB 和 70,000 DAI。

据派盾，截至目前，BitKeep 钱包用户被盗资金价值达 800 万美元，包括约 4373 枚BNB 、540 万枚 USDT 、19.6 万枚 DAI 和 1233.21 枚 ETH。

据 Lookonchain，BitKeep 黑客共盗取 6,127,253 枚 BUSD、4,536 枚 BNB、216,011 枚 DAI，总价值超 740 万美元。该黑客已将 3600 枚 BNB 交易为 805,024 枚 DAI，并向币安转入 10 万枚 DAI。

据 OKLINK，BitKeep 钱包被盗事件金额已上升为 800 万美金，涉及 BSC、ETH、TRX、Polygon 4 条链，共计 50 个黑客地址，此次大规模盗窃的原因是黑客劫持了最新安装包7.9.2。

【阅读原文】

2022年12月27日星期二

今日资讯速览：

1、揭秘：伊朗黑客曾入侵以色列敏感区域摄像头，后者国安部门未做处置

2、字节跳动员工违规获取TikTok用户数据：公司或面临重罚

3、思科安全报告调查：超9成受访中国企业将在2023年提升安全预算

1、揭秘：伊朗黑客曾入侵以色列敏感区域摄像头，后者国安部门未做处置

安全内参12月26日消息，以色列时报报道称，以色列国家安全机构一年前就已发现，有伊朗黑客团伙控制了以色列数十台安保摄像头，但并未采取任何阻止措施。直到上周一晚间有报道称，该黑客团伙发布了来自以色列各地的多段视频，包括去年一处武器制造设施以及上月发生在耶路撒冷的恐怖袭击的监控画面。

此次播报为前期预告，完整调查报道在次日（12月20日）正式播出。以色列公共广播公司Kan称，尽管以色列官员早已发现黑客团伙Moses Staff的活动，但却并未对摄像机采取保护行动。这次播放的报道片段并未公布消息来源。

该团伙在其Telegram频道上公布了多地视频画面，包括以色列海法拉斐尔国防承包工厂周边镜头，以及耶路撒冷及特拉维夫等各处摄像机拍下的镜头。

该团伙还公布了上月在耶路撒冷发生的恐怖爆炸袭击事件画面，该事件已导致两人死亡。这些画面明显来自以色列主要安全机构所使用的监控摄像头。

根据Kan广播公司的介绍，黑客团伙在很长一段时间内能够随意控制摄像机，包括平移、倾斜和缩放拍摄镜头。目前还不清楚这些摄像机是否遭受黑客攻击。

安全官员在接受Kan采访时表示，Moses Staff上传的视频来自未接入任何安保网络的民用摄像机。

Kan广播公司提到，完整报道将探讨黑客在监视以色列高级官员方面做出的尝试，同时会揭露Moses Staff背后的推动力量。

Moses Staff黑客团伙曾在今年6月宣称对一次网络攻击负责，此次攻击导致耶路撒冷和以色列南部城市埃拉特的部分地区误响火箭空袭警报。

Moses Staff去年还曾表示其窃取到关于士兵的敏感信息，具体内容似乎来自LinkedIn上的公开资料；此外，该团伙还通过商业网站获得了以色列航拍图像。

还有另一条未经证实的消息，该团伙声称曾在6月致使军用观察气球在加沙地带坠毁。但以色列军方表示事故起因是气球没有正确系好。

【阅读原文】

2、字节跳动员工违规获取TikTok用户数据：公司或面临重罚

字节跳动旗下热门应用TikTok日前曝出严重风波。

字节跳动CEO梁汝波日前在致员工的邮件中称，公司内部调查发现有员工不当获取少量美国TikTok用户的数据，包括两名美国记者的TikTok用户数据。

“得知这一情况后，我深感失望，我相信你们也有同感。”梁汝波说：“我们花费巨大努力建立起来的公众信任，被少数人的不当行为严重破坏。”

当前，字节跳动内部调查组涉事的4名员工，有一人辞职，三人被解雇。这四名调查人员中，两名在中国工作，两名在美国工作。

事情的起源是，字节跳动在2022年夏天为找到涉嫌向记者泄露内部谈话和商业文件的源头，成立了一个内部调查组。

在这个过程中，调查人员查看了一名前BuzzFeed记者和一名《金融时报》记者的IP地址和其他个人数据，及少数通过TikTok账户与这两名记者联系的人的数据，试图了解他们是否与涉嫌泄露机密信息的员工处于同一地点。

BuzzFeed News发言人表示，称字节跳动“公然无视记者和TikTok用户的隐私和权利”。

TikTok CEO周受资表示，这种“不当行为根本不符合我所了解的公司原则”。公司“将继续加强这些访问协议，自从这项举措实施以来，这些协议已经得到显著改进和强化。”

周受资说，过去15个月，TikTok一直致力于构建TikTok美国数据安全（USDS），以确保受保护的TikTok美国用户数据留在美国。“我们正在完成将受保护的美国用户数据管理迁移到USDS部门，并一直在系统地切断接入点。”

美国一向重视用户隐私保护，一旦公司违反美国相关的保护隐私法律，都可能面临重罚。

2019年，Facebook因泄露隐私接受史上最大罚单，在美国被罚50亿美元。此次TikTok可能也会因此遭遇重罚。

【阅读原文】

3、思科安全报告调查：超9成受访中国企业将在2023年提升安全预算

报告研究认为，混合办公模式让企业组织面临多种新的安全挑战。报告同时发现，中国企业组织已经开始为抵御内部和外部网络安全威胁进行更积极准备。96%的受访中国企业安全主管预计，他们所在的企业将在2023年将网络安全预算增加10%以上。

根据报告调查数据显示：

90%的中国受访企业表示，他们的员工存在使用未经授权的影子IT设备进行工作的情况；
77%的中国受访企业表示，他们的员工每天至少有10%的工作是通过未经授权的影子设备和系统来完成；
91%的受访人认为，混合办公过程中的远程访问会增加网络安全事件发生的可能性，企业安全团队需要重视未经授权的影子设备可能带来的风险。

思科亚太、日本和大中华区GSSO安全业务资深副总裁Yoshiyuki Hamada表示：随着混合办公成为常态，企业需要支持员工在任何地点远程开展工作。但从网络安全方面而言，因为企业不知道员工在哪里工作，何时工作，以及使用了什么设备，这样可能的网络威胁变得无处不在。为了能真正意义上让混合办公成为常态，企业需要高度重视并提升组织的网络安全弹性，从而保护数字化业务正常开展，同时必须能够识别、预防和应对整个网络的威胁——无论是在企业内部、外部还是云上。”

值得关注的是，参与本次调查的中国企业中，有57%的企业在过去12个月中经历过网络安全事件，排名前三的网络安全事件类型分别为恶意软件、网络钓鱼以及数据泄露。其中，84%的企业组织损失超过10万美元，59%的企业组织损失超过50万美元。报告研究人员认为，中国企业组织已经开始为抵御内部和外部网络安全威胁进行更积极准备，96%的受访中国企业安全主管预计，他们所在的企业将在2023年将网络安全预算增加10%以上，97%的企业则预计在未来两年内升级企业IT基础设施。

【阅读原文】

2022年12月26日星期一

今日资讯速览：

1、俄罗斯黑客劫持美国机场出租车调度系统搞黑产

2、鞋类品牌Ecco在500天内泄露超60GB敏感数据

3、博彩公司 BetMGM 发生数据泄露，“赌徒”面临网络风险

1、俄罗斯黑客劫持美国机场出租车调度系统搞黑产

安全内参12月23日消息，因涉嫌与俄罗斯黑客合谋入侵美国大型机场约翰·肯尼迪国际机场 (JFK)的出租车调度系统，两名美国公民被捕。他们涉嫌使用非法手段将特定出租车移至队列最前，以换取10美元非法收益。

出租车调度系统是一套计算机控制系统，负责统筹机场等候区的出租车资源，引导其在适当的航站楼接单载客。

通常，出租车需要在停车场等上几个小时才会收到调度系统的派单。这套系统的存在，是为了在机场这一需求量巨大的区域内为出租车司机们维持公平的运营环境。

调度系统遭入侵

根据美国司法部日前公布的未密封起诉书，Daniel Abayev和Peter Leyman两名男子在俄罗斯黑客的协助下，于2019年9月至2021年9月期间入侵了肯尼迪机场的出租车调度系统。

自2019年开始，Abayev和Leyman研究并尝试了各种对调度系统的访问机制，包括贿赂工作人员将包含恶意软件的U盘接入调度系统计算机，通过Wi-Fi连接获取对调度系统的未授权访问，以及窃取已接入调度系统的平板电脑。
参与此次计划的各位成员还相互发送消息，明确讨论了其入侵调度系统的意图。例如，2019年11月10日左右，Abayev用俄语向一名俄罗斯黑客发送消息称，“我知道五角大楼正在被黑客入侵。既然如此，难道我们就入侵不了出租车系统吗？”

——美国司法部

司法部提到，黑客们利用未经授权的访问权限创建了一项付费服务，能够将停留在肯尼迪机场的特定出租车添加至队列最前端、迅速为其派单。

参与该计划的出租车司机必须以现金或者移动支付方式，向黑客们支付10美元。愿意向同行们推销这项服务的司机则能获得优惠，可以免费享受“插队”待遇。

出租车司机和黑客之间是通过聊天应用的私人群组进行交流的。Abayev和Leyman会在聊天中发布“开门营业”和“关门打烊”的公告。

起诉书中提到，“为了完成插队，出租车司机会将自己的车牌号码发送到群聊当中，而后由黑客成员发送操纵指令，告知司机应前往哪座航站楼、跳过正常排队直接接单。”

执法部门看到的电子表格文件表明，黑客们每周以非法方式帮助出租车司机拿下约2500份派单。2019年12月9日成为创纪录的一天，黑客们单日完成插队高达600次。

起诉书还指出，Abayev和Leyman共向俄罗斯黑客转移了至少10万美元，转账理由包括“支付软件开发费用”。

两人面临两项指控，罪名为串谋实施计算机入侵，最高可判处10年监禁。

如果被证明有罪，两人与所犯罪行直接或间接相关的所有财产也将被没收。

【阅读原文】

2、鞋类品牌Ecco在500天内泄露超60GB敏感数据

12月22日消息，Cybernews研究人员发现全球鞋类制造商和零售商Ecco，在500天内暴露了数百万份敏感文件，共计60GB。

Ecco是一家丹麦鞋类制造商和零售商，在全球拥有数千家店铺和销售点。研究人员表示，不仅任何人都可能修改数据，而且服务器的配置错误很可能会使公司遭受攻击，从而波及世界各地的客户。

据了解，Ecco从销售数据到系统信息的数百万份敏感文档都处于可在线访问状态，任何有权限的人都可以查看、编辑、复制、窃取或删除数据。

Cybernews研究员就此联系了Ecco但未收到回复。但截至发稿，Ecco似乎已经解决了这个问题。

研究员称发现一个公开实例，它为Ecco托管了Kibana，Kibana是一个ElasticSearch可视化仪表板。Kibana允许处理ElasticSearch上的信息，ElasticSearch是企业处理大量数据时使用的存储设施。

尽管托管仪表板受超文本传输协议（HTTP）认证保护，但服务器配置错误导致所有应用程序接口（API）请求被允许通过。

研究员通过错误配置的认证在Ecco的ElasticSearch上查找索引名称，查找出50个暴露的索引，有超过60GB的数据。

研究员称，历史数据表明，自2021年6月4日以来，被暴露的数据库至少有506天是可以访问的。威胁行为者可能通过修改代码、命名和url进行网络钓鱼，或者让受害者在浏览器和设备上安装勒索软件加载程序或远程访问工具，进行远程攻击。

Cybernews研究人员指出，企业应该提高审查安全策略和访问的频率，确保没有不一致的地方，特别是在每次代码推送到实时环境之后。

【阅读原文】

3、博彩公司 BetMGM 发生数据泄露，“赌徒”面临网络风险

Bleeping Computer 网站披露，著名体育博彩公司 BetMGM 发生一起数据泄露事件，一名威胁攻击者成功窃取其大量用户个人信息。

据悉，BetMGM 数据泄漏事件中，攻击者盗取了包括用户姓名、联系信息（如邮政地址、电子邮件地址和电话号码）、出生日期、加密的社会安全号码、账户标识（如 ID 和网名）以及与 BetMGM 交易记录等了大量敏感数据信息。

攻击事件发生在 5 月份

数据泄漏事件爆出后，BetMGM 在一份新闻稿中表示，公司于 2022 年 11 月察觉数据泄漏事件，经安全专家分析研究认为数据泄露发生在 2022 年 5 月。

此外，BetMGM 强调没有证据表明，攻击者访问了用户的密码或账户资金，公司在线业务也没有受到影响，目前正在与执法部门协调，将采取措施进一步加强其安全性。

值得一提的是，BetMGM 在 2022 年 12 月 21 日发出的漏洞通知信中，建议客户注意与其个人信息有关的 "未经请求的通信 "和 "可疑活动"。

超过 150 万 BetMGM 用户受到影响

BetMGM 博彩公司一直不愿公布遭到数据泄露用户的具体数量，但网上有攻击者在出售这些信息。一个名为 betmgmhacked 的威胁攻击者声称攻破了 BetMGM 赌场数据库，并在一个黑客论坛出售了被盗信息。

数据库中主要包含了截至 2022 年 11 月，来自密歇根州、新泽西州、安大略省、PV 和西弗吉尼亚州的每个 BetMGM 赌场的用户信息（超过150万）。根据攻击者题为 "BetMGM.com赌场数据库泄露 "的帖子来看，被盗的数据库约包含 1569310 条用户记录。

此外，betmgmhacked 还声称数据库中有新泽西州和宾夕法尼亚州 BetMGM 赌场玩家的数据集，以及一个“Master Casino”数据集，该数据集中包含来自所有州的客户信息（包括电话号码、电子邮件和地址信息）。

BetMGM 是一家总部位于新泽西州的体育博彩运营商，成立于 2018 年，是美国酒店和娱乐公司 MGM Resorts International 与全球最大的体育博彩和游戏公司之一 Entain plc 的合资企业，旗下体育博彩和在线游戏品牌包括 BetMGM、Borgata Casino、Party Casino和Party Poker 等。

【阅读原文】

2022年12月24日星期六

今日资讯速览：

1、扫地机器人暴露用户隐私！女生在自家厕所遭偷拍，照片全网泄露

2、中央网信办秘书局中国证监会办公厅关于印发《非法证券活动网上信息内容治理工作方案》的通知

3、思科安全团队：黑客正利用 XLL 文件注入恶意代码方式攻击 Excel 用户

1、扫地机器人暴露用户隐私！女生在自家厕所遭偷拍，照片全网泄露

你绝对想不到，自己在家上厕所的「实时动态」，不仅被拿去给AI做了训练数据，而且还被发到了网上！

最近，《麻省理工科技评论》在一篇万字长文调查中，就曝光了这样触目惊心的一幕——

图中，一位女士穿着淡紫色T恤的年轻女子正坐在自家的马桶上，而她的短裤已经脱到了大腿中部。

萌萌的TA竟然是个偷窥狂？

时间回到2020年秋天，一系列从低角度拍摄的照片突然出现在了网络论坛上。

其内容全是家庭生活中场景——家具的陈列，电视播放的节目内容，甚至连家庭成员的脸都看得一清二楚。

比如在下面这张图中，一个八九岁的男孩，正趴在走廊的地板上，并很高兴地注视着面前的这个物体。

根据爆料，这些图片全部由iRobot开发的Roomba J7系列扫地机器人拍摄，之后则会被发给Scale AI进行处理，也就是那个大名鼎鼎的人工智能数据标注公司。

Scale AI成立于2016年，在其专有的众包平台Remotasks上，公司会以十分低廉廉的费用与较不富裕国家的远程工人签订合同，并由此建立了一个非常成功商业模式。

而这家公司的创始人Alexandr Wang，曾经从MIT辍学并白手起家，并在今年也就是25岁时，成为了全球最年轻亿万富翁。

值得注意的是，人脸信息在原图中其实是清晰可见的。

我们看到的灰框框，是《麻省理工科技评论》为了保护隐私特地手动打上去的。

那么问题来了，这些信息理论上应该是在严格的存储和访问控制之下的。然而，实际情况却是，它们被负责标注的工人分享到了网上。

这些由机器人拍摄的画面展示了世界各地的家庭房间，有些是人住的，有些是狗住的。家具、装饰品和位于墙壁和天花板上的物体被矩形框勾勒出来，并附有「电视」、「植物或花」和「天花板灯」等标注。

对此，世界上最大的扫地机器人供应商iRobot证实，这些图像是由自家的Roombas在2020年拍摄的。

公司在一份声明中表示，所有这些图像都来自「经过硬件和软件修改的特殊开发机器人，这些机器人现在和将来都不会出现在iRobot的消费者产品上」。

此外，iRobot还表示，他们已经与Scale AI分享了超过200万张图片，并与其他数据标注平台分享了数量不详的图片。

机器学习革命带来了什么？

今天，越来越多的扫地机器人已经转向计算机视觉，通过训练算法从图像和视频中提取信息来接近人类的视觉，甚至配备激光雷达，该技术被广泛认为是当今市场上最精确但最昂贵的导航技术。

计算机视觉依赖于高清摄像头，越来越多的公司在其机器人真空吸尘器中安装了前置摄像头，用于导航和物体识别，以及越来越多的家庭监控。

为了使扫地机器人中的计算机视觉真正按预期工作，需要在高质量、多样化的数据集上对其进行训练，以反映它们可能看到的巨大范围。与自动驾驶汽车相比，扫地机器人面临的家庭环境更难以标准化，训练难度可想而知。

这时候，训练数据往往需要是更加个性化、私密化的，而且需要以大量的用户基数为支撑，收集这样的数据，需要用户的同意。

以本文iRobot为例，其95%以上的图像数据集来自真实的家庭，这些家庭成员要么是iRobot的员工，要么是由第三方数据供应商招募的志愿者。

根据iRobot的一份声明，使用开发设备的人同意让iRobot在设备运行时收集数据，包括视频流，并可由此换取「奖励」。

但公司拒绝说明这些激励措施是什么，只说它们「根据数据收集的长度和复杂性」而有所不同。

《麻省理工科技评论》采访的大多数扫地机器人公司明确表示，他们不使用客户数据来训练他们的机器学习算法。

然而，在东北大学研究物联网设备安全漏洞的博士生Dennis Giese在对这些机器人进行逆向工程之后发现，它们的管理软件中有一个名为「AI服务器」的文件夹，并有图像上传功能。

这么看来，这些公司所谓的「摄像头数据永远不会被发送到云端」，其实很难成立。

但即便如此，如果这些公司自己不说，或者没有遭到黑客攻击的话，没有人能够验证他们以「训练模型」为由从客户那里具体收集了什么。

我们的数据是怎么泄露的？

众所周知，机器学习算法的训练，需要投喂大量的数据。过程中所依赖的标注数据，则需要消耗非常多的人力资源才能完成。

作为一个新兴但不断增长的行业，数据标注预计到2030年将达到133亿美元的市场价值。

目前来说，负责对数据进行标注的，通常是发展中国家的低薪合同工。

他们通过转录低质量的音频改善语音识别软件，并通过标记照片和视频帮助扫地机器人识别环境中的物体。

2020年，Scale AI发布了一项全新的任务——Project IO。

其特点是，视角从地面以大约45度向上，图像内容为世界各地的墙壁、天花板和地板，以及上面的各种东西，当然也包括人。

通常来说，这些负责标注的工人会在Facebook、Discord和其他社交平台上建群，然后在其中讨论和工作有关的各种问题，比如分享处理延迟付款的建议，谈论报酬最好的任务，或请其他人帮忙等等。

对此，iRobot表示，在社交媒体群组中分享图片违反了Scale与它的协议；Scale AI也表示，合同工分享这些图片违反了他们自己的协议。

但现实情况是，这种行为在众包平台上是几乎不可能被监管到的。

惊喜：你可能已经同意了！

扫地机器人制造商自己也认识到设备上的摄像头带来的更大的隐私风险。

对于摄像头带来的隐私风险，iRobot表示，公司已经对此采取很多保护措施，包括使用加密，定期修补安全漏洞，限制和监控内部员工对信息的访问，并向客户提供有关其收集的数据的详细信息。

但是，公司谈论隐私的方式和消费者理解隐私的方式之间存在很大差距。

Mozilla的隐私安全项目的研究员Jen Caltrider表示，在企业看来，数据安全指的是产品的物理和网络安全，或者它对黑客或入侵的脆弱性。而数据隐私是关于透明度：知道并能够控制公司拥有的数据，如何使用，为什么分享，是否保留、以及保留多久等等。

他们有时会使用微妙的措辞差异，比如使用「共享」数据，而不是出售数据，这使得如何处理隐私对于非专业人士来说特别难以解析。

只不过，当一家公司说它永远不会出售你的数据时，它很可能会使用或与他人分享这些数据。

根据公司措辞含糊的隐私政策，这些广泛的数据收集定义往往是合乎规定的，几乎所有的隐私政策都包含一些条款，允许将数据用于「改善产品和服务」，用语非常广泛，基本上拿来干什么都行。

事实上，《麻省理工科技评论》审查了12个扫地机器人的隐私政策，所有这些政策，包括iRobot的，都包含类似的表述。

此外，大部分公司也都没有回应关于所谓「产品改进」是否包括机器学习算法的问题。

在隐私条款中列明的「不公平」或「欺骗性」的做法，基本上都是狭义的，也就是说，除非隐私政策明确规定「嘿，我们不会让承包商看你的数据」，然后还是分享了数据，否则公司方面在法律上就是没问题的。

扫地机器人，只是个开始

对数据的渴求在未来几年只会增加。扫地机器人只是在我们生活中大量出现的联网设备中的一小部分，而扫地机器人领域的大公司，包括iRobot、三星、Roborock和戴森等，都表示出了比「扫地」更宏大的野心。

机器人技术，包括家用机器人技术，长期以来一直是真正的香饽饽。而且，真正的重点不在于扫地，而在于机器人。

2018年，时任iRobot技术高级副总裁的Mario Munich就在一次演讲中解释过这个问题。

在关于该公司第一台计算机视觉扫地机器人Roomba 980的演示中，他展示了来自该设备有利位置的图像：包括一个有桌子、椅子和凳子的厨房，旁边是机器人算法对它们的标记和感知。

实际上的挑战不在于吸尘，而在于机器人，他解释说。如果我们能够更充分了解环境，就能够改变机器人的操作。

制造扫地机器人的公司已经在投资其他功能和设备，使我们更接近机器人的未来。

可想而知的是，这样的业务多样化大潮，带来的是对数据标注在深度和广度上巨大需求的双重增长，一旦这种需求没有有效监督，或者超出了监管的能力，对隐私的侵犯就变得几乎不可避免。

而很多时候，这种侵犯是以一种便捷、易用、智能的方式进行的。

【阅读原文】

2、中央网信办秘书局中国证监会办公厅关于印发《非法证券活动网上信息内容治理工作方案》的通知

中央网信办秘书局中国证监会办公厅

关于印发《非法证券活动网上信息内容治理工作方案》的通知

各省、自治区、直辖市党委网信办，新疆生产建设兵团党委网信办，中国证监会各监管局：

　　现将《非法证券活动网上信息内容治理工作方案》印发给你们，请结合实际认真贯彻执行。

中央网信办秘书局　　中国证监会办公厅

2022年12月1日

非法证券活动网上信息内容治理工作方案

　　为切实维护人民群众财产安全，进一步规范证券活动网上信息内容，严厉打击股市“黑嘴”、非法荐股等行为，打造清朗网络空间，制定本工作方案。

　　一、指导思想

　　以习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想为指导，认真贯彻落实党的二十大和二十届一中全会精神，切实维护人民群众财产安全，压紧压实各方责任，建立健全常态长效工作机制，最大限度压缩股市“黑嘴”、非法荐股活动网络生存空间，切实维护清朗网络空间和社会和谐稳定。

　　二、工作目标

　　通过各地各有关部门共同努力，2023年3月底前，现有网上涉股市“黑嘴”、非法荐股的信息、账号和网站平台得到基本处置。2023年6月底前，证券业务必须持牌经营的要求得到落实，网上证券信息内容明显改善，非法证券活动多发频发态势得到有效遏制。

　　三、基本原则

　　1.坚持问题导向。围绕典型问题和主要网站平台，加强重点人员、重点账号和关键环节的管理，集中力量、多措并举清理处置违法违规信息、账号和网站平台。

　　2.坚持源头治理。强化金融业务必须持牌理念，要求网站平台严格落实网上证券业务资质前置审核。对无法提供资质材料的机构和个人，不予开展业务合作，不为其提供任何便利。

　　3.坚持协同监管。加强监管工作的统筹协调，建立健全跨部门协调监管、联动监管机制，加强重要线索会商研判、重大违法违规情况通报处置，提升监管效能。

　　四、工作举措

　　1.清理处置涉非法证券活动的信息、账号和网站。压实网站平台信息内容管理主体责任，组织开展全面自查，及时清理处置未取得证券投资咨询业务许可的机构、未登记为证券投资咨询从业人员的个人提供证券投资建议等涉非法荐股的信息和账号，以及编造传播虚假证券信息、蛊惑交易等涉股市“黑嘴”和仿冒证券基金经营机构、工作人员的信息和账号。

　　2.严格落实证券业务必须持牌经营要求。指导网站平台、移动应用程序商店将核验证券服务资质作为开展证券领域业务合作、应用程序上架的前置程序。未获相关资质的，不予合作、上架。督促网站平台加强账号管理，有关账号在推广证券投资咨询服务、发布证券投资咨询文章、报告或者意见时，要明示所在证券投资咨询机构或证券公司名称、个人真实姓名及其登记编码。未明示合法身份的，要限期整改。对整改不及时不到位的，网站平台不得再为其提供证券投资咨询信息发布服务。

　　3.建立健全非法证券活动网上信息内容常态化处置工作机制。指导网站平台规范开展非法证券活动网上信息内容举报受理工作。依托12386服务平台、12377举报平台，常态化受理、协助处置涉非法证券活动网上信息内容的问题线索。各地网信办和证监局建立健全信息共享、联合会商等常态化协同监管机制，对涉及投资者较多、金额较大、社会影响较广的问题线索，及时召开专题会进行会商研判。对问题较大的，要进行通报并做好跟踪督办。对涉嫌违法犯罪的，移送司法机关处理。

　　4.加强网上宣传引导助力投资者提高风险防范意识。多渠道、多形式宣传非法证券活动网上信息内容治理工作，提升知晓度和影响力，营造人人参与的浓厚氛围。开展证券业务知识普及和投资者教育，引导投资者增强风险防范意识，正确识别非法荐股和股市“黑嘴”的表现形式和典型特征，切实保护自身财产安全。择机公布一批处置处罚非法荐股、股市“黑嘴”的典型案例，实现“查处一起、震慑一批、教育一片”的效果。

　　请各地网信办牵头汇总辖内相关工作情况，及时向中央网信办上报处置处罚典型案例，并于2023年6月30日前上报工作总结。

【阅读原文】

3、思科安全团队：黑客正利用 XLL 文件注入恶意代码方式攻击 Excel 用户

IT之家 12 月 23 日消息，微软于今年 7 月开始为了防止针对 Microsoft 365 的网络攻击，阻止 Word、Excel 和 PowerPoint 使用某些宏（Macro）。微软封堵这些安全漏洞之后，黑客们并未就此放弃攻击步伐，近日安全公司发现了一款针对 Excel 类似于宏攻击的漏洞。

思科 Cisco Talos Threat Source 安全团队在近日披露的文档中，发现恶意行为者正试图利用 XLL 文件来攻击 Excel 用户。

思科安全团队：黑客正利用 XLL 文件注入恶意代码方式攻击 Excel 用户

IT之家了解到，XLL 文件是一种只能由 Excel 打开的动态链接库文件，用于向电子表格添加额外功能。在过去几年间，不断有黑客利用 XLL 文件发起攻击，其中 2021 年年底攻击密度最大。

思科 Talos 的外联研究员 Vanja Svajcer 表示：“在过去很长一段时间里，黑客使用 XLL 文件发起的攻击只有零星几起。不过在 2021 年，Dridex 和 Formbook 等恶意软件家族开始使用它时，相关攻击才明显增加”。

APT10（也称为 Chessmaster、Potassium 和 menuPass）、TA410（也称为 Cicada 或 Stone Panda）、DoNot 和 Fin7XLLs 等组织一直在使用 XLLs 注入 Anel Backdoor 等恶意软件，以便通过键盘记录、密码窃取和屏幕截图来窃取信息。

思科安全团队：黑客正利用 XLL 文件注入恶意代码方式攻击 Excel 用户

为了尽可能保证自己的安全，微软建议你不要打开来自不受信任的来源的 XLL 文件，并建议你使用 Office 信任中心来管理插件的安全设置。

【阅读原文】

2022年12月24日星期六

今日资讯速览：

1、天才黑客 Geohot 从推特辞职，刚入职约一个月

2、暗网市场：被盗的个人数据的销售额达到了数百万

3、快速识别网络钓鱼攻击的8种迹象

1、天才黑客 Geohot 从推特辞职，刚入职约一个月

IT之家 12 月 21 日消息，“天才黑客”George Hotz 因成为第一个为 iPhone 解锁和为 PS3 越狱的人而闻名，其黑客别名为“Geohot”，周二晚上他在 Twitter 上宣布已经辞去了他的 Twitter 实习工作。

天才黑客 Geohot 从推特辞职，刚入职约一个月

Geohot 写道：“感谢这个机会，但我不认为我能在那里产生任何真正的影响，此外，看到自己的 GitHub‘枯萎’很悲伤，将回归写代码。”

IT之家了解到，Geohot 于 10 月刚刚辞去自动驾驶初创公司 Comma AI 首席执行官的职位，在 11 月 16 日表示支持首席执行官埃隆-马斯克 (Elon Musk) 的表态，即该公司需要“非常硬核”，然后提出加入 Twitter。他称：“这就是建造不可思议的东西应该有的态度，让所有不渴望伟大的人离开。”马斯克回答说“我们来谈谈”，Geohot 将在旧金山的 Twitter 进行为期 12 周的实习。

天才黑客 Geohot 从推特辞职，刚入职约一个月

两天后，即 11 月 18 日，Geohot 说他已经正式开始为 Twitter 工作。三天后，Geohot 说马斯克给他布置了两件事，他有 12 周的时间来完成：修复 Twitter 搜索和修复用户在未登录时滚动 Twitter 可能看到的弹出窗口。

如果从 11 月 18 日开始计算 Geohot 的工作时间，他在 Twitter 工作了大约 5.5 周。不知道他是否修复了 Twitter 搜索功能，但第二个任务已经完成，现在可以关闭登录弹出窗口，继续浏览 Twitter。

Geohot 在最近几天曾发出信号，表示他正在考虑离开。他还对 Twitter 短暂的禁止发布 Instagram 链接的政策感到不满。不过，即使他提前离开，Geohot 称仍然支持 Twitter 2.0 的成功。

【阅读原文】

2、暗网市场：被盗的个人数据的销售额达到了数百万

这种违法的数据供应链产生于生产者的加入，即黑客或威胁集团，他们未经授权访问含有漏洞的系统并窃取其中的敏感信息。那些被盗的数据中可能包含信用卡号码、银行账户信息、社会保险号码等。

然后，这些被盗的数据会被批发商和分销商私下进行宣传，方便对外交易这些数据。

最后，消费者可能会购买这些被盗数据。这些数据可能会被用来进行网络犯罪活动，或者进行欺诈性的信用卡交易、身份盗窃或网络钓鱼攻击等骗局。

据报道，生产者、批发商和消费者之间的这种数据交易是在暗网市场进行的，暗网市场是非法的网站，与其他合法的电子商务网站一样，只有通过特殊的浏览器或使用授权码的情况下才能进入。

据报道，仅在30个暗网市场上，就发现了有数千名卖家在出售数以万计的被盗的数据。在八个月的时间里，这些数据零售商的销售额高达1.4亿美元甚至更多。

暗网市场为各个卖家提供了一个与潜在的客户接触的平台，以帮助买家和卖家之间进行交易，这与其他的传统电子商务网站很相似。然而，暗网市场因销售非法产品而被大众所认知。另一个重要的区别是访问暗网需要专门的软件，如洋葱路由器，或TOR浏览器，它会为用户提供安全匿名的隧道来访问暗网市场。

著名的暗网市场 "丝绸之路 "于2011年被曝光。后来，在2013年，该地下市场最终被查封，创始人罗斯-乌尔布里希特被判处无期徒刑，外加40年监禁，不得假释。给予乌尔布里特的严厉刑罚并没有产生预期的威慑作用。为了填补这一空白，许多地下市场发展了起来，从而形成了一个强大的网络生态系统，这些犯罪分子会从被盗的个人数据中获利。

考虑到那些被盗窃的数据主要是通过暗网市场进行的交易，该研究对被盗数据的市场进行了大规模的系统调查，以便更好地了解非法暗网生态系统的规模。该研究首先检查了30个暗网市场，这些市场在为被盗的产品做了大量的广告。

在2020年9月1日至2021年4月30日的8个月中，以一周为单位，进一步调查了这些地下市场中被盗产品的信息。从这一调查中得到的信息会被用来确定交易供应商数量、宣传的被盗数据的产品数量、销售的产品数量和产生的收入数额。

该研究在评估了市场生态系统的整体特征后，又分别对每个市场进行了分析。在调查的过程中就发现，有少数的市场在负责销售大部分被盗数据项目。Apollon、WhiteHouse和Agartha是其中的三个最大的市场，占所有卖家的58%。销售总数从0到237,512不等，挂牌数量从38到16,296不等。在调查期间，每个市场的总收入也有很大差异，Agartha的总收入达到了91,582,216美元，是上述所有市场中收入最高的。

暗网的数据销售市场

The Conversation所做的研究揭示了蓬勃发展的地下经济和数据的非法供应链，这些都是在暗网市场上运作的。只要有数据被盗，那么就有可能出现交易市场规模的大幅增加。

虽然暗网市场不可能会被直接取缔，但此次调查为防止这些数据被进一步利用提供了一些帮助。其中一个很好的方法是，利用人工智能技术的进步，为执法机构、金融机构和其他机构提供必要的信息，防止数据被盗或被盗数据用于网络犯罪活动。

这也会进一步阻止供应链中被盗数据的流动，从而扰乱这个从被盗的个人信息进行获利的地下市场。

【阅读原文】

3、快速识别网络钓鱼攻击的8种迹象

2022年，网络钓鱼已成为最常见、也最容易得逞的攻击手段之一。随着网络技术的不断发展，钓鱼攻击的伪装手段也变得愈发狡诈，攻击频次不断提升，各种新奇的攻击方式层出不穷，这对企业组织的业务安全开展和防护工作带来了巨大的风险。对抗和缓解网络钓鱼非常具有挑战性，并且需要多层防御。

防止网络钓鱼的最基本原则是保持警惕，在点击任何链接并输入账户详细信息之前，仔细确认其真实性，避免陷入网络钓鱼的陷阱。同时，企业还应该让每个员工更多了解网络钓鱼手法的各种变化，尽可能在危害发生前抢先发现它们。本文汇总了目前较为有效的网络钓鱼攻击识别经验，当我们发现以下某些不安全的迹象时，应该立刻保持警惕。

01陌生号码打来的电话

当一个未知号码的来电者声称来自与你有往来的银行或金融组织，你要格外小心，这是典型的网络钓鱼攻击伎俩。攻击者的目的可能是要获取你的个人信息，比如信用卡号码或身份证号码。他们还可能会引诱你点击木马病毒链接，从而在你的电脑上安装恶意软件。

当收到陌生人突然打来的电话时，请不要透露任何个人信息，也不要点击其提供的任何链接。挂断电话后，可以用你知道的正规号码回拨进行核实。此外，不妨对来电者进行反向电话查询，看看该号码究竟是来自哪里。

02公式化编写的电子邮件

如果你收到的邮件抬头只是“尊敬的用户”或“尊敬的客户”，就要开始引起警惕了。钓鱼邮件常常使用泛泛的问候语，这是由于它们通常是作为大规模自动钓鱼活动的一部分而批量式发送的。电子邮件钓鱼者通常只有一份邮件地址列表，因此难以做深入的个性化内容编制，因此其攻击目的是让尽可能多的人点击邮件中的链接。

03非官方邮件地址发送的邮件

这是一种非常简单直观的方法，却可以有效发现网络钓鱼企图。如果你收到一封声称银行发来的邮件，但邮件地址却是*****@gmail.com之类的免费第三方邮箱服务商，那么很显然是有问题的。对于企业组织而言，通常是不会通过Gmail或Hotmail地址发送正式业务邮件的，它们会始终规范要求使用自己的域名。

04邮件有语法或拼写错误

如果你收到的邮件充斥着语法错误、拼写错误，或者看起来写得很糟糕，这些迹象表明这大概率是一封网络钓鱼邮件。因为攻击者往往追求用更快的速度发送邮件，而不太关心或注意文字表述的细节。所以如果一封邮件看起来像是仓促发送的，未考虑正确的拼写或语法，这很可能是一封钓鱼邮件。

此外，很多网络钓鱼攻击的发起者会来自国外，这些钓鱼攻击的设计者并非以受害者所在地区的官方语言为母语。因此，邮件种自然会含有糟糕的语法或奇怪的措辞。

05邮件中带有明显威胁的意图

网络钓鱼攻击者常常试图在邮件中营造一种紧迫感，以便让被攻击者不假思索地迅速采取行动。他们可能告诉你，你的账户即将被关闭，或者你需要立即采取行动，不然会酿成某种严重的后果。当然，这些都不是真的。钓鱼者只是想营造一种紧迫感，促使你点击邮件中的恶意链接。所以，如果邮件含有某种紧迫感的威胁性措辞，就要小心了。

06邮件含有不合理的附件

如果你收到一封含有不合理附件的邮件，打开之前要格外小心。这是另一种常见的网络钓鱼伎俩。钓鱼者会向你发送一封带有附件的邮件，附件看起来是无害的，比如PDF文档或图像。但是只要打开附件后，它就会在受害者的电脑上安装恶意软件。如果你没料到邮件会含有附件，打开之前一定要非常小心。如果你不认识发件人，或者邮件看起来有一些可疑之处，就别打开附件，直接删除邮件是正确的做法。

07索要用户个人信息

钓鱼者通常会试图获取受害者的个人信息，比如信用卡号码、身份证号码或登录凭据。为此，他们可能会要求你在表单上填写个人信息。或者邮件可能含有一个恶意链接，把你跳转到一个恶意的网站，在那里你会被提示输入个人信息。

请记住，永远不要在回复邮件时透露个人信息，也不要点击把你带到提示输入个人信息的网站的链接。如果你需要更新账户信息，就直接登录网站、自行更新，别通过邮件或邮件中的链接来登录。

08陌生人在社交媒体上申请好友

这种钓鱼攻击在Facebook、LinkedIn以及微信、QQ等社交媒体上比较常见。如果没有关注者开始申请加你为好友，这是个危险信号。他们很有可能就是网络钓鱼者。因此，在接受陌生人申请好友的请求之前要小心。看看对方的个人简档，看看有没有可疑的地方。如果没把握，宁可谨慎行事，不要贸然接受对方希望加为好友的请求。

【阅读原文】

2022年12月22日星期四

今日资讯速览：

1、FBI上万特工的个人数据被盗？俄罗斯Killnet黑客虚张声势？

2、澳大利亚地方消防局遭网络攻击：近百个消防站断网工作多天

3、英国主流媒体《卫报》疑遭勒索软件攻击

1、FBI上万特工的个人数据被盗？俄罗斯Killnet黑客虚张声势？

据Hackread网站12月21日报道，在Telegram上，知名的俄罗斯Killnet黑客泄露了一个文本文件，其中显示了他们声称是FBI特工的10,000人的登录凭据。该黑客组织还声称已经破坏了美国联邦汽车运输安全管理局(FMCSA)的安全措施。

俄罗斯黑客组织KillNet声称侵入了美国联邦调查局的数据库，据称窃取了超过10,000名美国联邦特工的个人信息。与他们的大多数攻击一样，这次所谓的攻击似乎也具有激励亲克里姆林宫组织的政治色彩。

值得一提的是，就在上周，美国联邦调查局的安全平台InfraGard遭遇数据泄露，其8.7万名成员的个人数据被盗并在线泄露。

尽管Killnet的攻击仍未得到证实，但KillNet黑客声称被盗数据包括社交媒体口令和银行详细信息。该组织在Telegram上发布了屏幕截图，其中显示了在线商店、医疗ID卡以及Google、Apple和Instagram帐户的口令。

Telegram上的 Killnet黑客展示的据称FBI特工的数据

“从网上商店到大众接受卡、谷歌和苹果账户的所有口令都由我们支配，”俄罗斯电报频道上的一份归因于黑客的声明中写道。

正如Hackread.com所见，另一段屏幕录像显示黑客使用了据称属于联邦汽车运输安全管理局(FMCSA)一名雇员的Facebook帐户。他们通过在该人的个人资料页面上发布“We are KillNet”来表明对帐户的控制。

自2月俄罗斯入侵以来，KillNet黑客一直在支持针对支持乌克兰的西方政府机构和私营公司的一系列行动。

上个月，该组织首先对威廉王子的网站进行了DDoS攻击，几天后，欧洲议会网站成为攻击目标。

8月，Killnet声称入侵了洛克希德马丁公司并窃取了员工数据。6月，立陶宛政府网站也遭到同一组织发起的严重DDoS攻击。

不完全统计，自2月俄乌战争爆发以来，Killnet已经对支持乌克兰的国家发动了76次袭击。

【阅读原文】

2、澳大利亚地方消防局遭网络攻击：近百个消防站断网工作多天

安全内参12月21日消息，澳大利亚维多利亚州消防与救援服务局在上周五（12月16日）发布声明称，因遭受“外部第三方”的网络攻击，已关闭其运营网络并转为手动操作。

此次网络攻击导致了“大范围IT中断”，影响到维多利亚州消防救援局（FRV）的电子邮件、电话与紧急调度系统。这些系统负责为消防员的日常工作提供自动化支持，例如在接到紧急呼叫后为其自动开启站门。

维多利亚州共有约650万人口，消防救援局在州内运营有85个消防分站，包括墨尔本市。该消防部门成立于2020年，属于澳大利亚消防与救援响应现代化改革工作的一部分。

维州消防局目前仍在照常工作，只是被迫使用无线电、寻呼机和手机来响应当地000报警呼叫。局长Gavin Freeman表示，目前事件仍在调查当中，预计系统关闭可能持续达四天。

在上周四的新闻发布会上，Freeman表示消防部门必须增加额外的工作人员，以确保始终有人守在无线电前。

此次网络中断最初是在上周四早上被发现的，官员们当时并未将其归咎为网络攻击。攻击主要影响了紧急调度系统，但为了防止进一步蔓延，消防部门决定关闭整个网络。

据Freeman称，在当前调查阶段，没有收到勒索攻击提出的赎金要求。

消防局表示，他们正与当地网络安全企业及政府“全天候工作”，努力恢复系统运行并找出事件起因。

Freeman强调，“我们将采取一切措施加以缓解，并确保类似事件不会再次发生。”

截至本文发布时，消防局仍未回应置评请求。

网络攻击已经成为澳大利亚政府和企业面临的巨大问题。澳大利亚网络安全中心在上财年内收到超76000份网络犯罪报告，较前一年增长13%，其警告称澳大利亚的网络空间已然沦为“战场”。

澳大利亚近期备受瞩目的数据泄露事件，包括针对健康保险公司Medibank和澳第二大电信企业Optus的网络攻击。两次攻击均导致客户敏感数据暴露和信息失窃。

有专家称，澳大利亚薄弱的数据隐私保护制度以及网络安全专家的匮乏，可能导致其长期成为网络犯罪分子眼中的理想目标。

【阅读原文】

3、英国主流媒体《卫报》疑遭勒索软件攻击

知名新闻机构是黑客的高价值目标，英国卫报似乎是最新一家成为攻击的受害者。当地时间周二（12月20日）晚上，该出版物发生了“严重的IT事件”。总编辑凯瑟琳·维纳 (Katharine Viner)和卫报媒体集团(Guardian Media Group)首席执行官安娜·贝特森(Anna Bateson)在一份报告中告诉员工，过去24小时内发生了一起严重事件，影响了IT网络和系统。他们认为这是勒索软件袭击，继续考虑所有可能性。卫报的技术团队一直在努力处理这一事件的各个方面，有大量的员工都能够像大流行期间那样在家工作。目前尚没有任何组织声称对此事件负责。

正如《卫报》媒体编辑首次报道的那样，该事件发生在当地时间12月20日（星期二）深夜，并扰乱了该公司的部分技术基础设施。它促使管理层告诉员工在本周剩下的时间里远程工作。《卫报》的一些技术基础设施和“后台服务”受到了影响。对在线出版几乎没有影响，新文章定期出现在卫报的网站和移动应用程序上。《卫报》仍然能够在其网站和应用程序上发布新闻，领导人有信心能够在周四（22日）发布印刷版。

目前尚不清楚是否有任何数据被盗，或者卫报是否收到赎金要求。根据TechCrunch的说法，有关该事件的其他事实仍然模糊不清。

使用勒索软件的犯罪分子通常会从受害者那里窃取敏感信息，并威胁要泄露这些信息，除非向他们支付赎金。

也不清楚谁应对这次袭击负责，目前还没有大型勒索软件团伙声称对此负责。

据《新闻公报》报道，卫报是世界上阅读量排名第九的新闻网站，11月的访问量接近3.9亿。

最近几个月，其他新闻机构也遭遇了安全事件。

安全软件公司ESET的全球网络安全顾问Jake Moore表示，Guardian成为被攻击并不令人意外。“今年，新闻机构已成为网络攻击的常规目标，这些攻击通常会对目标公司造成更大的破坏性影响，”他说。“勒索软件通常会使所有部门陷入停顿，因此幸运的是，尽管发生了这次攻击，该组织仍会看到一些关键领域照常工作。”

美国公司网站Fast Company在9月遭到黑客攻击，目的是向Apple News读者发送恶意推送警报。根据之前的报道，有人以“Thrax”的名义侵入了Fast Company新闻并引发了这起事件。尽管暴露了一个名字，但这次违规行为的真正肇事者仍然不为人知。

推特上充斥着来自相关iPhone用户的各种截图。许多没有订阅Fast Company的人仍然收到了类似的警报。该警报将读者带到另一篇被黑的文章，其中使用了相同的挑衅性语言。

纽约邮报在10月份声称，一名流氓员工接管了其网站和Twitter账户，是种族主义和性别歧视帖子背后的罪魁祸首。

【阅读原文】

2022年12月21日星期三

今日资讯速览：

1、构建数据基础制度体系 “数据二十条”来了

2、美政府安全专家：俄罗斯黑客已在美国卫星网络驻留数月

3、【安全圈】蔚来用户数据遭窃取被勒索225万美元

1、构建数据基础制度体系 “数据二十条”来了

中共中央、国务院近日印发《关于构建数据基础制度更好发挥数据要素作用的意见》。《意见》指出，数据基础制度建设事关国家发展和安全大局。为加快构建数据基础制度，充分发挥我国海量数据规模和丰富应用场景优势，激活数据要素潜能，做强做优做大数字经济，增强经济发展新动能，构筑国家竞争新优势，提出相关意见。

【阅读原文】

2、美政府安全专家：俄罗斯黑客已在美国卫星网络驻留数月

安全内参12月20日消息，美国网络安全与基础设施安全局（CISA）的研究人员最近发现，有可疑的俄罗斯黑客正潜伏在美国卫星网络中。对于正在迅速扩张的美太空经济而言，此次发现无疑引发了人们对于俄方实施渗透和破坏的担忧。

虽然攻击细节披露不多，但研究人员将此次事件归咎于名为Fancy Bear（又名APT28）的俄罗斯黑客组织。其攻击对象是一家卫星通信提供商，客户遍布美国各关键基础设施领域。

为响应关于可疑网络行为的提示，CISA研究人员于今年早些时候在卫星网络中搜查并发现了黑客踪迹。在上个月的CYBERWARCON网络安全会议上，CISA事件响应分析师MJ Emanuel在讨论此次事件时称，Fancy Bear似乎已经在受害者网络中驻留了数月之久。

太空安全已经成为全球愈发关注的重大问题，如今世界各地的关键行业和军队都高度依赖卫星开展重要通信、GPS和互联网访问。就在今年2月俄乌战争爆发前，为欧洲提供卫星互联网服务的美国电信企业Viasat曾遭受网络攻击，并导致乌克兰当地网络服务中断。官员们将此次攻击归因于俄罗斯，认为这是战争期间最为重大的数字攻势之一，也使得FBI与CISA就俄罗斯可能对卫星系统进行的其他渗透活动发出警告。

标准冲突、新厂商涌现，太空网络安全面临噩梦

约翰霍普金斯大学专注太空网络安全的Gregory Falco教授认为，如今的卫星安全状况堪称“有史以来最关键、也最脆弱的时期”。在他看来，随着以往被严格限定在机密环境之内的漏洞与攻击模式愈发公开，卫星系统已无法再低调保持自己的安全运行状态。

Falco指出，航天工业缺乏标准导致安全方法之间相互冲突，这也是许多系统易受攻击的根源。“就安全态势而言，所有卫星通信企业都面临着一场可怕的噩梦。”

电气与电子工程师协会（IEEE）和国际标准化组织，正在努力为太空制定网络安全技术标准。但这些举措还需要数年时间才能真正成型。

网络安全专家还在关注其他问题，包括市场参与者的快速增加。根据英国宇航公司发布的一份报告，新厂商们可能并未充分关注安全，特别是那些着力提高制造效率、依赖商业部件降低产品成本的企业。

CISA发现的此次卫星网络入侵事件，就是安全防范松懈的实证。以此为跳板，攻击者可以获取渗透关键网络的网关。Fancy Bear利用的似乎是2018年在未修复VPN中发现的漏洞，其允许恶意黑客通过活动会话抓取所有凭证。

由于目标卫星通信提供商与普通账户共享同样的“应急”账户凭证，因此黑客可以使用窃取到的凭证登录应急账户，进而在系统中往来移动。Emmanuel表示，在入侵发生之时，该公司还在传输未经加密的监控和数据采集（SCADA）流量，其中很可能包含工业设备状态和来自控制中心的命令等数据。

网络安全公司QuSecure执行负责人、前DARPA卫星项目经理Aaron Moore表示，未加密的SCADA数据流并不少见。Moore称经由卫星通信的大部分SCADA流量都未经过端到端加密，而是经“引导”通过无数路径从地面站将信息传输至卫星、再返回地面接收站。因此，这类数据极易遭到拦截。

为了改善卫星通信行业的安全态势，CISA之前曾主张将太空技术指定为关键基础设施，借此让该行业更易获得情报共享支持与灾难规划资源。

虽然意见已提出一段时间，但似乎并未获得积极响应。美国国家网络总监Chris Inglis去年曾表示，“我们要迈开步子，向着关键部门、沿着这个思路前进。我们的关注重点在于如何跨越这些威胁。”

【阅读原文】

3、【安全圈】蔚来用户数据遭窃取被勒索225万美元

蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布公告，2022年12月11日，蔚来公司收到外部邮件，声称拥有蔚来内部数据，并以泄露数据勒索225万美元(当前约1570.5万元人民币)等额比特币。

在收到勒索邮件后，公司当天即成立专项小组进行调查与应对，并第一时间向有关监管部门报告此事件。经初步调查，被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。

【阅读原文】

2022年12月20日星期二

今日资讯速览：

1、多个关基设施网站无法访问：因阿里云香港发生故障

2、如何在战争中保护国家重要数据安全？乌克兰选择打包上云

3、GitHub宣布提供免费扫描工具，5类用户将被强制启动

1、多个关基设施网站无法访问：因阿里云香港发生故障

【阅读原文】

2、如何在战争中保护国家重要数据安全？乌克兰选择打包上云

安全内参12月19日消息，自2月24日俄乌战争爆发以来，亚马逊一直与乌克兰政府密切合作，下载基础数据并将其存放在手提箱大小的Snowball Edge固态计算机存储单元中。这些设备被物理运送出境之后，存放的数据将被汇集至亚马逊的云计算系统。

31岁的乌克兰副总统兼数字转型部长米哈伊洛·费多罗夫 (Mykhailo Fedorov)表示，“这是人类历史上技术水平最高的战争。”他指的不仅是武器，还有数据。亚马逊云的“领导层做出的这个决定拯救了乌克兰政府和国家经济。”

迄今为止，亚马逊已经在乌克兰项目中投资了7500万美元，其中就包括通过Snowball进行的数据传输。费多罗夫本月在拉斯维加斯的一场科技会议上，盛赞其为“无价之宝”。

截至目前，通过Snowball传输的数据已达1000万GB，作为“关键信息基础设施承载着经济、税收、银行乃至整个政府的运作核心。”数据中包含财产记录，妥善保管这些记录有助于防止乌克兰民众的房屋、企业和土地被他人侵夺。

紧急修订法律，允许重要数据跨境

亚马逊云政府转型部门负责人利亚姆·马克斯韦尔（Liam Maxwell）指出，纵观历史，战争发起方往往“在占据领土后会组织公投，并将土地分给自己的亲密党羽。自‘征服者威廉’以来，这种情况一直在重演。”

乌克兰媒体《敖德萨日报》今年6月报道称，被俄罗斯占领的马里乌波尔市大量民房被毁，留在当地的居民被强行安置在清空的他人房屋当中。俄军还要求他们服从配合，参与对逃亡民众的搜寻。

今年1月，俄罗斯计划袭击乌克兰的征兆逐步明显。位于伦敦的马克斯韦尔已经与乌克兰合作多年。

当时，乌克兰的法律要求将大部分政府数据和部分私人数据存放在本土服务器上。2月，乌议会修改了该条款，允许将这部分信息传输至境外。

重要数据云备份，避免被物理摧毁

2月24日战争爆发当天，马克斯韦尔在乌克兰驻伦敦大使馆与乌大使瓦迪姆·普赖斯泰科（Vadym Prystaiko）共进午餐。

他们用纸和笔勾勒出一份最重要数据的清单：人口登记、土地和财产所有权记录、纳税记录、银行记录、教育登记、反腐败数据库等。该项目涉及乌克兰27个部委、18所乌克兰大学、国内为数十万流浪儿童提供教育服务的K-12远程学校，以及包括乌克兰最大私营金融机构PrivatBankd 内的数十家私营部门企业。

最初，Snowball装置被存放在灰色的防震容器内，由都柏林空运至波兰的克拉科夫。马克斯韦尔称，乌克兰人随后“越过边境将这些设备偷偷运进国内”。

数据下载完成后，大部分信息将通过安全网络被发送至云端，一个个承载着高达80 TB加密数据的Snowball被运送回亚马逊。马克斯韦尔没有透露具体运送路径，他回忆道“那个时刻人们都非常紧张，死盯着行李传送带。这是从字面意义上「将政府存入保险箱」。”

在设备被送上飞机、发往世界各地后，人们才真正松了一口气。“分布全球的云基础设施可不是巡航导弹能轻易摧毁的了。”

这项任务对速度、组织能力的技术水平提出了严苛要求。马克斯韦尔称费多罗夫是个“行动迅速的人”，符合所有条件。

与此同时，亚马逊还花时间对乌克兰民众进行培训，帮助他们理解AWS系统的工作原理。这些免费培训已经扩展到波兰和欧洲其他地区的难民当中。这除了是对乌克兰积极配合的认可之外，也希望能让难民们掌握一些关键的技术与技能，借此扩大AWS的人才基础。

亚马逊并不担心Snowball这个“箱中政府”计划会惹恼俄罗斯。马克斯韦尔坦言，“我们在俄罗斯没有基础设施、也没做过投资。在原则问题上，我们的立场很坚定。”

自项目开始以来，也有其他国家地区表示对亚马逊的政府数据跨境云备份抱有兴趣。马克斯韦尔并未具体透露具体名字，只提到是来自东亚。

【阅读原文】

3、GitHub宣布提供免费扫描工具，5类用户将被强制启动

及稽核采取的行为正确与否。

GitHub会陆续将这工具开放给所有公开储存库，预计在2023年1月底以前让所有用户可享受这项功能。

一旦储存库得以使用扫描通知功能后，可在设定区的“程序码安全及分析”设定区启用。当中的“安全”页、“漏洞警告”下的侧边选单中选择“凭证扫描”可看到侦测的密码或凭证，用户可点选通知检视哪些密码或凭证外泄了、位置何在，以及建议的修复措施。

GitHub上周也公布进阶安全工具，已经定义了凭证样态的储存库用户可以启动推送保护（push protection）。这功能允许用户以储存库、组织或企业层级定义样态（pattern）。启用推送保护后，一旦有贡献者试图将符合样态的凭证推送到程序码内，就会遭到GitHub的阻挡。

GitHub表示，进阶安全功能4月间释出第一版时，其推送防护已经阻挡了100种凭证共8,000多项凭证免于外泄。

GitHub也号召服务供应商加入其扫瞄合作伙伴方案，目前其方案已有100多家供应商。

5类用户被强制要求启用2FA

此外，继今年5月的预告后，GitHub上周再次重申将在2023年全面强制实施双因素验证（2FA）。GitHub已展开要求相依模组超过500个或每周下载次数超过100万的套件强制启用2FA。

未来，GitHub将要求自2023年3月开始，以下特定群组必须启用2FA。包括出版GitHub或OAuth App或套件的用户、新增release的用户、企业或组织管理员、贡献程序码到npm、OpenSSF、PyPI、RubbyGems认为很重要的储存库的用户、贡献程序码到排名前400万的公开、或私有储存库的用户。

这些用户会收到GitHub电子邮件通知，要求在45天内完成启用2FA。过了这期限，用户会接到提示讯息一个星期，若没有采取动作，就会被GitHub阻挡存取。至于用户担心可能因休假而被封锁，GitHub表示，这一个星期的提示会期限过后登入才生效，若未登入则不会启动封锁倒数。

【阅读原文】

2022年12月19日星期一

今日资讯速览：

1、亚马逊云曝出“超级漏洞”，攻击者可删除任何镜像

2、打压不断！美国参议院通过法案，禁止在政府设备上使用TikTok

3、微信已限制 ChatGPT 小程序，目前已搜索不到相关内容

1、亚马逊云曝出“超级漏洞”，攻击者可删除任何镜像

近日，Lightspin安全分析师在Amazon ECR（弹性容器注册表）公共库中发现一个严重漏洞，允许攻击者删除任何容器映像或将恶意代码注入其他AWS账户的镜像。

Amazon ECR Public Gallery是容器镜像的公共存储库，用于共享即用型应用程序和流行的Linux发行版，例如Nginx、EKS Distro、Amazon Linux、CloudWatch代理和Datadog代理。

研究者透露，利用该漏洞，攻击者可通过滥用未记录的API操作来修改其他用户的现有公共映像、层、标签、注册表和存储库。

研究人员于2022年11月15日向亚马逊网络安全部门报告了该漏洞，亚马逊在24小时内推出了修复程序。

虽然没有迹象表明这个漏洞在野外被滥用，但威胁行为者本可以将其用于针对许多用户的大规模供应链攻击。

ECR Public Gallery中下载量最高的前六个容器映像的下载量超过130亿次，因此其中的任何恶意注入都可能导致“失控式”感染。

研究者的分析显示，26%的Kubernetes集群至少有一个pod可以从ECR公共库中提取镜像，因此潜在影响面极大。

利用未记录的API操作

研究人员发现，ECR Public Gallery公共库有几个内部API操作，用于支持特定的命令和用户操作，但不会公开。

下面列出的其中四个API操作没有任何触发器，但它们在平台上仍然处于活动状态，因此可以调用。

DeleteImageForConvergentReplicationInternal
DeleteTagForConvergentReplicationInternal
PutImageForConvergentReplicationInternal
PutLayerForConvergentReplicationInternal

分析师成功找到了让恶意API请求获得通过的方法：用Amazon Cognito的临时凭证对ECR内部API进行身份验证。

当然，要使上述方法可行，请求应具有有效的JSON结构，并且由于没有这些API调用的文档，因此推断它需要进行一些实验。

在Lightspin报告提供的概念验证示例中，该请求使用“DeleteImage”API调用以及公开可用的存储库和镜像ID来擦除研究人员上传的公开镜像。

研究人员将漏洞利用步骤编写到Python脚本中，可以自动滥用未记录的API来攻击公共镜像。

亚马逊的回应

亚马逊告诉BleepingComputer，他们立即修复了Lightspin发现的问题，内部调查没有发现恶意行为者利用的迹象。

根据日志分析，亚马逊表示确信没有客户帐户或其他资产受到损害。

亚马逊的完整声明如下：

2022年11月14日，一位安全研究人员报告了Amazon Elastic容器注册表（ECR）公共库中的问题，这是一个用于查找和共享公共容器镜像的公共网站。研究人员确定了一个ECR API操作，如果调用该操作，则可以修改或删除ECR公共库上可用的镜像。

截至2022年11月15日，亚马逊已修复该问题。我们对所有日志进行了详尽的分析。我们相信我们的审查是决定性的，与这个问题相关的唯一活动是研究人员拥有的账户，没有其他客户的帐户受到影响，也不需要客户执行任何操作。我们要感谢Lightspin报告此问题。

【阅读原文】

2、打压不断！美国参议院通过法案，禁止在政府设备上使用TikTok

【环球网报道记者索炎琦】据美国Axios新闻网、英国《卫报》等媒体15日最新消息，美国参议院当地时间周三（15日）投票通过法案，禁止美国联邦政府人员在政府下发的设备上使用TikTok。关于美方近来以“国家安全担忧”打压TikTok等中国企业的无理行为，中国外交部已多次回应，中方坚决反对美方借口虚假信息、打压中方企业的惯常做法。

美国Axios新闻网报道截图

报道称，该法案接下来需获得众议院通过，随后将提交给美国总统拜登进行批准。

《卫报》称，这是美国方面担忧中国公司对其构成“国家安全风险”之际，打击后者的最新举动。

据美国全国广播公司（NBC）此前报道，当地时间13日，多名美国两党议员在众议院和参议院提出议案，试图推动美国总统对TikTok以及其他“来自令人担忧国家”的社交媒体公司实施禁令，阻止它们在美国国内运营。此外，综合美媒报道，自12月以来，已有包括亚拉巴马州、犹他州、田纳西州、俄克拉荷马州、得克萨斯州、马里兰州、南卡罗来纳州在内的7州宣布在州政府设备或网络上禁用TikTok。

一段时间以来，美国一直以“国家安全”为名打压TikTok。美国前总统特朗普于2020年发布行政命令，禁止TikTok在美国运营，但在针对该措施的一系列法庭诉讼中败诉。现任总统拜登于去年6月撤销特朗普的一系列行政命令，并命令商务部对相关应用程序带来的安全问题进行审查。据路透社报道，TikTok今年6月已完成将美国用户的数据信息迁移到甲骨文公司的服务器，从而解决美国监管机构对数据完整性的担忧。然而，美国联邦通信委员会委员布兰登·卡尔上月1日仍建议美国外国投资委员会采取行动禁止TikTok。

对于美方以“国家安全担忧”打压TikTok等中国企业的无理行为，中国外交部发言人毛宁在11月16日的例行记者会上曾作出坚决回应。毛宁称，散布虚假信息，并以此为借口打压中方有关企业已经成为美国政府的惯常做法，中方对此坚决反对。美方应采取负责任的方式，切实尊重和遵守公平、开放和非歧视的国际规则。

【阅读原文】

3、微信已限制 ChatGPT 小程序，目前已搜索不到相关内容

IT之家 12 月 15 日消息，最近聊天机器人 ChatGPT 非常火，ChatGPT 不仅能流畅地与人对话，还能写代码、找 Bug、做海报、写年报…… 甚至还以鲁迅的文风进行天马行空的创作，几乎无所不能。

ChatGPT 走红后，微信上也出现了很多相关小程序，甚至还有人做到将 ChatGPT 接入微信，让大家在微信对话框里玩“有问必答”。

然而好景不长，目前微信似乎已经限制了 ChatGPT 相关小程序，在在微信搜索关键词已经找不到任何相关的小程序。ChatGPT 小程序也显示“由于内容属于平台未开放服务范围，已暂停服务。”

微信已限制 ChatGPT 小程序，目前已搜索不到相关内容

IT之家了解到，ChatGPT 是 OpenAI 开发的大型预训练语言模型。这是 GPT-3 模型的一个变体，这一模型可以与人类进行谈话般的交互，可以回答追问，连续性的问题，承认其回答中的错误，指出人类提问时的不正确前提，拒绝回答不适当的问题。

OpenAI 表示，ChatGPT 上线短短 5 天用户数量已突破 100 万。

【阅读原文】

2022年12月15日星期四

今日资讯速览：

1、工信部印发《工业和信息化领域数据安全管理办法（试行）》

2、工业和信息化部国家互联网信息办公室关于进一步规范移动智能终端应用软件预置行为的通告

3、美国和以色列举行第七届“网络穹顶”联合演习

1、工信部印发《工业和信息化领域数据安全管理办法（试行）》

为规范工业和信息化领域数据处理活动，加强数据安全管理，促进数据开发利用，保护个人、组织的合法权益，维护国家安全和发展利益，根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国国家安全法》《中华人民共和国民法典》等法律法规，工业和信息化部近日印发《工业和信息化领域数据安全管理办法（试行）》。本办法共八章四十二条，主要内容包括七个方面：一是界定工业和信息化领域数据和数据处理者概念，明确监管范围和监管职责。二是确定数据分类分级管理、重要数据识别与备案相关要求。三是针对不同级别的数据，围绕数据收集、存储、加工、传输、提供、公开、销毁、出境、转移、委托处理等环节，提出相应安全管理和保护要求。四是建立数据安全监测预警、风险信息报送和共享、应急处置、投诉举报受理等工作机制。五是明确开展数据安全监测、认证、评估的相关要求。六是规定监督检查等工作要求。七是明确相关违法违规行为的法律责任和惩罚措施。本办法自2023年1月1日起施行。

关于印发《工业和信息化领域数据安全管理办法（试行）》的通知

工信部网安〔2022〕166号

各省、自治区、直辖市、计划单列市及新疆生产建设兵团工业和信息化主管部门，各省、自治区、直辖市通信管理局，青海、宁夏无线电管理机构，部属各单位，部属各高校，各有关企业：

现将《工业和信息化领域数据安全管理办法（试行）》印发给你们，请认真遵照执行。

工业和信息化部

2022年12月8日

工业和信息化领域数据安全管理办法（试行）

第一章总则

第一条为了规范工业和信息化领域数据处理活动，加强数据安全管理，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家安全和发展利益，根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国国家安全法》《中华人民共和国民法典》等法律法规，制定本办法。

第二条在中华人民共和国境内开展的工业和信息化领域数据处理活动及其安全监管，应当遵守相关法律、行政法规和本办法的要求。

第三条工业和信息化领域数据包括工业数据、电信数据和无线电数据等。

工业数据是指工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。

电信数据是指在电信业务经营活动中产生和收集的数据。

无线电数据是指在开展无线电业务活动中产生和收集的无线电频率、台（站）等电波参数数据。

工业和信息化领域数据处理者是指数据处理活动中自主决定处理目的、处理方式的工业企业、软件和信息技术服务企业、取得电信业务经营许可证的电信业务经营者和无线电频率、台（站）使用单位等工业和信息化领域各类主体。工业和信息化领域数据处理者按照所属行业领域可分为工业数据处理者、电信数据处理者、无线电数据处理者等。数据处理活动包括但不限于数据收集、存储、使用、加工、传输、提供、公开等活动。

第四条在国家数据安全工作协调机制统筹协调下，工业和信息化部负责督促指导各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门，各省、自治区、直辖市通信管理局和无线电管理机构（以下统称地方行业监管部门）开展数据安全监管，对工业和信息化领域的数据处理活动和安全保护进行监督管理。

地方行业监管部门分别负责对本地区工业、电信、无线电数据处理者的数据处理活动和安全保护进行监督管理。

工业和信息化部及地方行业监管部门统称为行业监管部门。

行业监管部门按照有关法律、行政法规，依法配合有关部门开展的数据安全监管相关工作。

第五条行业监管部门鼓励数据开发利用和数据安全技术研究，支持推广数据安全产品和服务，培育数据安全企业、研究和服务机构，发展数据安全产业，提升数据安全保障能力，促进数据的创新应用。

工业和信息化领域数据处理者研究、开发、使用数据新技术、新产品、新服务，应当有利于促进经济社会和行业发展，符合社会公德和伦理。

第六条行业监管部门推进工业和信息化领域数据开发利用和数据安全标准体系建设，组织开展相关标准制修订及推广应用工作。

第二章数据分类分级管理

第七条工业和信息化部组织制定工业和信息化领域数据分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范，指导开展数据分类分级管理工作，制定行业重要数据和核心数据具体目录并实施动态管理。

地方行业监管部门分别组织开展本地区工业和信息化领域数据分类分级管理及重要数据和核心数据识别工作，确定本地区重要数据和核心数据具体目录并上报工业和信息化部，目录发生变化的，应当及时上报更新。

工业和信息化领域数据处理者应当定期梳理数据，按照相关标准规范识别重要数据和核心数据并形成本单位的具体目录。

第八条根据行业要求、特点、业务需求、数据来源和用途等因素，工业和信息化领域数据分类类别包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等。

根据数据遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益等造成的危害程度，工业和信息化领域数据分为一般数据、重要数据和核心数据三级。

工业和信息化领域数据处理者可在此基础上细分数据的类别和级别。

第九条危害程度符合下列条件之一的数据为一般数据：

（一）对公共利益或者个人、组织合法权益造成较小影响，社会负面影响小；

（二）受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短，对企业经营、行业发展、技术进步和产业生态等影响较小；

（三）其他未纳入重要数据、核心数据目录的数据。

第十条危害程度符合下列条件之一的数据为重要数据：

（一）对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁，影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域；

（二）对工业和信息化领域发展、生产、运行和经济利益等造成严重影响；

（三）造成重大数据安全事件或生产安全事故，对公共利益或者个人、组织合法权益造成严重影响，社会负面影响大；

（四）引发的级联效应明显，影响范围涉及多个行业、区域或者行业内多个企业，或者影响持续时间长，对行业发展、技术进步和产业生态等造成严重影响；

（五）经工业和信息化部评估确定的其他重要数据。

第十一条危害程度符合下列条件之一的数据为核心数据：

（一）对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成严重威胁，严重影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域；

（二）对工业和信息化领域及其重要骨干企业、关键信息基础设施、重要资源等造成重大影响；

（三）对工业生产运营、电信网络和互联网运行服务、无线电业务开展等造成重大损害，导致大范围停工停产、大面积无线电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等；

（四）经工业和信息化部评估确定的其他核心数据。

第十二条工业和信息化领域数据处理者应当将本单位重要数据和核心数据目录向本地区行业监管部门备案。备案内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况，不包括数据内容本身。

地方行业监管部门应当在工业和信息化领域数据处理者提交备案申请的二十个工作日内完成审核工作，备案内容符合要求的，予以备案，同时将备案情况报工业和信息化部；不予备案的应当及时反馈备案申请人并说明理由。备案申请人应当在收到反馈情况后的十五个工作日内再次提交备案申请。

备案内容发生重大变化的，工业和信息化领域数据处理者应当在发生变化的三个月内履行备案变更手续。重大变化是指某类重要数据和核心数据规模（数据条目数量或者存储总量等）变化30％以上，或者其它备案内容发生变化。

第三章数据全生命周期安全管理

第十三条工业和信息化领域数据处理者应当对数据处理活动负安全主体责任，对各类数据实行分级防护，不同级别数据同时被处理且难以分别采取保护措施的，应当按照其中级别最高的要求实施保护，确保数据持续处于有效保护和合法利用的状态。

（一）建立数据全生命周期安全管理制度，针对不同级别数据，制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程；

（二）根据需要配备数据安全管理人员，统筹负责数据处理活动的安全监督管理，协助行业监管部门开展工作；

（三）合理确定数据处理活动的操作权限，严格实施人员权限管理；

（四）根据应对数据安全事件的需要，制定应急预案，并开展应急演练；

（五）定期对从业人员开展数据安全教育和培训；

（六）法律、行政法规等规定的其他措施。

工业和信息化领域重要数据和核心数据处理者，还应当：

（一）建立覆盖本单位相关部门的数据安全工作体系，明确数据安全负责人和管理机构，建立常态化沟通与协作机制。本单位法定代表人或者主要负责人是数据安全第一责任人，领导团队中分管数据安全的成员是直接责任人；

（二）明确数据处理关键岗位和岗位职责，并要求关键岗位人员签署数据安全责任书，责任书内容包括但不限于数据安全岗位职责、义务、处罚措施、注意事项等内容；

（三）建立内部登记、审批等工作机制，对重要数据和核心数据的处理活动进行严格管理并留存记录。

第十四条工业和信息化领域数据处理者收集数据应当遵循合法、正当的原则，不得窃取或者以其他非法方式收集数据。

数据收集过程中，应当根据数据安全级别采取相应的安全措施，加强重要数据和核心数据收集人员、设备的管理，并对收集来源、时间、类型、数量、频度、流向等进行记录。

通过间接途径获取重要数据和核心数据的，工业和信息化领域数据处理者应当与数据提供方通过签署相关协议、承诺书等方式，明确双方法律责任。

第十五条工业和信息化领域数据处理者应当按照法律、行政法规规定和用户约定的方式、期限进行数据存储。存储重要数据和核心数据的，应当采用校验技术、密码技术等措施进行安全存储，并实施数据容灾备份和存储介质安全管理，定期开展数据恢复测试。

第十六条工业和信息化领域数据处理者利用数据进行自动化决策的，应当保证决策的透明度和结果公平合理。使用、加工重要数据和核心数据的，还应当加强访问控制。

工业和信息化领域数据处理者提供数据处理服务，涉及经营电信业务的，应当按照相关法律、行政法规规定取得电信业务经营许可。

第十七条工业和信息化领域数据处理者应当根据传输的数据类型、级别和应用场景，制定安全策略并采取保护措施。传输重要数据和核心数据的，应当采取校验技术、密码技术、安全传输通道或者安全传输协议等措施。

第十八条工业和信息化领域数据处理者对外提供数据，应当明确提供的范围、类别、条件、程序等。提供重要数据和核心数据的，应当与数据获取方签订数据安全协议，对数据获取方数据安全保护能力进行核验，采取必要的安全保护措施。

第十九条工业和信息化领域数据处理者应当在数据公开前分析研判可能对国家安全、公共利益产生的影响，存在重大影响的不得公开。

第二十条工业和信息化领域数据处理者应当建立数据销毁制度，明确销毁对象、规则、流程和技术等要求，对销毁活动进行记录和留存。个人、组织按照法律规定、合同约定等请求销毁的，工业和信息化领域数据处理者应当销毁相应数据。

工业和信息化领域数据处理者销毁重要数据和核心数据后，不得以任何理由、任何方式对销毁数据进行恢复，引起备案内容发生变化的，应当履行备案变更手续。

第二十一条工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据，法律、行政法规有境内存储要求的，应当在境内存储，确需向境外提供的，应当依法依规进行数据出境安全评估。

工业和信息化部根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国工业、电信、无线电执法机构关于提供工业和信息化领域数据的请求。非经工业和信息化部批准，工业和信息化领域数据处理者不得向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据。

第二十二条工业和信息化领域数据处理者因兼并、重组、破产等原因需要转移数据的，应当明确数据转移方案，并通过电话、短信、邮件、公告等方式通知受影响用户。涉及重要数据和核心数据备案内容发生变化的，应当履行备案变更手续。

第二十三条工业和信息化领域数据处理者委托他人开展数据处理活动的，应当通过签订合同协议等方式，明确委托方与受托方的数据安全责任和义务。委托处理重要数据和核心数据的，应当对受托方的数据安全保护能力、资质进行核验。

除法律、行政法规等另有规定外，未经委托方同意，受托方不得将数据提供给第三方。

第二十四条跨主体提供、转移、委托处理核心数据的，工业和信息化领域数据处理者应当评估安全风险，采取必要的安全保护措施，并由本地区行业监管部门审查后报工业和信息化部。工业和信息化部按照有关规定进行审查。

第二十五条工业和信息化领域数据处理者应当在数据全生命周期处理过程中，记录数据处理、权限管理、人员操作等日志。日志留存时间不少于六个月。

第四章数据安全监测预警与应急管理

第二十六条工业和信息化部建立数据安全风险监测机制，组织制定数据安全监测预警接口和标准，统筹建设数据安全监测预警技术手段，形成监测、预警、处置、溯源等能力，与相关部门加强信息共享。

地方行业监管部门分别建设本地区数据安全风险监测预警机制，组织开展数据安全风险监测，按照有关规定及时发布预警信息，通知本地区工业和信息化领域数据处理者及时采取应对措施。

工业和信息化领域数据处理者应当开展数据安全风险监测，及时排查安全隐患，采取必要的措施防范数据安全风险。

第二十七条工业和信息化部建立数据安全风险信息上报和共享机制，统一汇集、分析、研判、通报数据安全风险信息，鼓励安全服务机构、行业组织、科研机构等开展数据安全风险信息上报和共享。

地方行业监管部门分别汇总分析本地区数据安全风险，及时将可能造成重大及以上安全事件的风险上报工业和信息化部。

工业和信息化领域数据处理者应当及时将可能造成较大及以上安全事件的风险向本地区行业监管部门报告。

第二十八条工业和信息化部制定工业和信息化领域数据安全事件应急预案，组织协调重要数据和核心数据安全事件应急处置工作。

地方行业监管部门分别组织开展本地区数据安全事件应急处置工作。涉及重要数据和核心数据的安全事件，应当立即上报工业和信息化部，并及时报告事件发展和处置情况。

工业和信息化领域数据处理者在数据安全事件发生后，应当按照应急预案，及时开展应急处置，涉及重要数据和核心数据的安全事件，第一时间向本地区行业监管部门报告，事件处置完成后在规定期限内形成总结报告，每年向本地区行业监管部门报告数据安全事件处置情况。

工业和信息化领域数据处理者对发生的可能损害用户合法权益的数据安全事件，应当及时告知用户，并提供减轻危害措施。

第二十九条工业和信息化部委托相关行业组织建立工业和信息化领域数据安全违法行为投诉举报渠道，地方行业监管部门分别建立本地区数据安全违法行为投诉举报机制或渠道，依法接收、处理投诉举报，根据工作需要开展执法调查。鼓励工业和信息化领域数据处理者建立用户投诉处理机制。

第五章数据安全检测、认证、评估管理

第三十条工业和信息化部指导、鼓励具备相应资质的机构，依据相关标准开展行业数据安全检测、认证工作。

第三十一条工业和信息化部制定行业数据安全评估管理制度，开展评估机构管理工作。制定行业数据安全评估规范，指导评估机构开展数据安全风险评估、出境安全评估等工作。

地方行业监管部门分别负责组织开展本地区数据安全评估工作。

工业和信息化领域重要数据和核心数据处理者应当自行或委托第三方评估机构，每年对其数据处理活动至少开展一次风险评估，及时整改风险问题，并向本地区行业监管部门报送风险评估报告。

第六章监督检查

第三十二条行业监管部门对工业和信息化领域数据处理者落实本办法要求的情况进行监督检查。

工业和信息化领域数据处理者应当对行业监管部门监督检查予以配合。

第三十三条工业和信息化部在国家数据安全工作协调机制指导下，开展工业和信息化领域数据安全审查相关工作。

第三十四条行业监管部门及其委托的数据安全评估机构工作人员对在履行职责中知悉的个人信息和商业秘密等，应当严格保密，不得泄露或者非法向他人提供。

第七章法律责任

第三十五条行业监管部门在履行数据安全监督管理职责中，发现数据处理活动存在较大安全风险的，可以按照规定权限和程序对工业和信息化领域数据处理者进行约谈，并要求采取措施进行整改，消除隐患。

第三十六条有违反本办法规定行为的，由行业监管部门按照相关法律法规，根据情节严重程度给予没收违法所得、罚款、暂停业务、停业整顿、吊销业务许可证等行政处罚；构成犯罪的，依法追究刑事责任。

第八章附则

第三十七条中央企业应当督促指导所属企业，在重要数据和核心数据目录备案、核心数据跨主体处理风险评估、风险信息上报、年度数据安全事件处置报告、重要数据和核心数据风险评估等工作中履行属地管理要求，还应当全面梳理汇总企业集团本部、所属公司的数据安全相关情况，并及时报送工业和信息化部。

第三十八条开展涉及个人信息的数据处理活动，还应当遵守有关法律、行政法规的规定。

第三十九条涉及军事、国家秘密信息等数据处理活动，按照国家有关规定执行。

第四十条工业和信息化领域政务数据处理活动的具体办法，由工业和信息化部另行规定。

第四十一条国防科技工业、烟草领域数据安全管理由国家国防科技工业局、国家烟草专卖局负责，具体制度参照本办法另行制定。

第四十二条本办法自2023年1月1日起施行。

【阅读原文】

2、工业和信息化部国家互联网信息办公室关于进一步规范移动智能终端应用软件预置行为的通告

为进一步规范移动智能终端应用软件预置行为，保护用户权益，提升移动互联网应用服务供给水平，构建更加安全、更有活力的产业生态，促进移动互联网持续繁荣发展，根据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国电信条例》，现将有关事项通告如下：

一、本通告所称预置应用软件，是指由生产企业预置，在移动智能终端主屏幕和辅助屏界面内存在用户交互入口，为满足用户应用需求而提供的、可独立使用的软件程序。

二、移动智能终端应用软件预置行为应遵循依法合规、用户至上、安全便捷、最小必要的原则，依据谁预置、谁负责的要求，落实企业主体责任，尊重并依法维护用户知情权、选择权，保障用户合法权益。

三、生产企业应确保移动智能终端中除基本功能软件外的预置应用软件均可卸载，并提供安全便捷的卸载方式供用户选择。

四、基本功能软件限于以下范围：

（一）操作系统基本组件：系统设置、文件管理；

（二）保证智能终端硬件正常运行的应用：多媒体摄录；

（三）基本通信应用：接打电话、收发短信、通讯录、浏览器；

（四）应用软件下载通道：应用商店。

实现同一基本功能的预置应用软件，至多有一个可设置为不可卸载。

五、生产企业应完善移动智能终端权限管理机制，提升操作系统安全性，采取技术和管理措施预防在产品流通环节发生置换操作系统和安装应用软件的行为。

六、生产企业应按照《移动智能终端应用软件预置和分发管理暂行规定》（工信部信管〔2016〕407号）有关规定，保证预置应用软件安全合规，明示所提供预置应用软件的相关信息，履行登记、审核、监测、留存、下架等全链条管理责任，完善投诉受理制度等服务保障措施，及时处理用户投诉，落实个人信息保护责任。

七、工业和信息化部会同国家互联网信息办公室加强对预置应用软件的监督检查。对违反本通告的行为，依照有关法律法规规定进行处理。

八、本通告自2023年1月1日起执行。

特此通告。

工业和信息化部国家互联网信息办公室

2022年11月30日

【阅读原文】

3、美国和以色列举行第七届“网络穹顶”联合演习

以色列和美国军事网络部队在美国佐治亚网络中心共同训练如何战胜信息维度的威胁。

作为第七届“网络穹顶”演习（Cyber Dome VII）的一部分，美以盟军网络部队击退了一个虚构的地中海岛屿独裁者及与其结盟的黑客。在该演习中，网络规划人员设计了复杂而现实的场景，挑战美以军队联盟在防御关键网络地形的同时有效地针对高度先进的威胁开展行动的能力。

美国陆军联合部队总部-网络（JFHQ-C(A)）副总司令保罗·克拉夫特准将表示，这次演习符合联盟的理念，即共同准备和训练以抵御未来的网络威胁。

这项为期五天的挑战赛于2022年12月4日开始，由美国网络司令部组织，由陆军联合部队总部-网络和网络国家任务部队（CNMF）主办，旨在模拟现实世界威胁、同步合作伙伴的网络操作并建立互操作性。

为CNMF工作的活动组织者之一保罗·梅斯称，“今年，这是以色列和美国开展全方位网络行动的机会，目的是进行对话、分享和相互学习。”

以色列团队包括以色列国防军（IDF）联合网络防御部门（J6）和网络防御机构的成员，以及以色列的J2情报组。在美国方面，来自美国网络司令部、网络国家任务部队、陆军联合部队总部-网络和陆军网络司令部的士兵和文职人员参加了演习。

以色列和美国的网络团队在他们的笔记本电脑上并肩工作。协助创建和监督培训的美国陆军网络司令部情报部门的鲍勃·彼得斯表示，演习的盟军和敌对部队的训练网络位于美国网络司令部为专用网络靶场环境设立的训练服务器上。彼得斯称，“我们正在努力为他们提供他们需要的东西，让情报驱动他们的工作。”

以色列和美国的参与人员表示，他们互相学习了新技术，因为演习在两支部队之间建立了互操作性，并帮助建立了新的友谊，这将加强他们的关系，并更好地让两国团队为在现实世界的冲突中合作做好准备。

一名来自美国陆军网络保护旅的参与士兵称，“我认为我们正在与我们的分析人员和我们的合作伙伴以色列人一起获得一些很好的经验......我们正在与他们分享我们如何做事，他们也正在与我们分享。这是一个很好的训练演习，模拟了更多的高压力环境，将实际的动能行动与网络、多域等相结合。我们都训练有素，这在双方都很明显，看到不同的东西走到一起真是太好了。”

美国陆军网络司令部司令玛丽亚·巴雷特中将表示，“我为我们的盟友以色列和美国网络团队作为Cyber Dome VII的一部分共同完成的出色工作和合作感到自豪。美国和以色列从一开始就是长期的朋友和伙伴。1982年，作家威廉·吉布森创造了网络空间一词，以色列和美国同年签署了《总体信息安全协议》。从那以后，以色列和美国一直是强大的网络合作伙伴。Cyber Dome VII联合防御演习进一步加强了与美国网络司令部、陆军联合部队总部-网络和以色列联合网络防御部门的伙伴关系。团队作为蓝军和敌军进行了训练。该演习符合我们持续网络训练环境的理念，并将帮助以色列和美国军队更紧密地合作以抵御未来网络威胁。”

以色列国防军J6和网络防御机构负责人埃兰·尼夫少将访问了佐治亚网络中心，观看和评估了训练。尼夫称，“网络是近年来飞速发展的作战维度。网络战在世界各地不断发生，在不同领域具有不同的影响潜力。此次联合演习体现了以色列国防军与美国网络司令部在网络维度的深度合作，体现在各个领域、多种作战维度的联合日常作战行动中。”

在演习结束致辞中，保罗·克拉夫特和美国国家任务部队指挥官威廉·哈特曼强调，两国部队间的价值协作和伙伴关系有助于通过分享在网络空间开展全频谱行动的想法、技术和流程，使双方网络团队和军队在技术和专业上更加强大。

【阅读原文】

2022年12月14日星期三

今日资讯速览：

1、中央网信办部署开展“清朗·移动互联网应用程序领域乱象整治”专项行动

2、国家能源局关于印发《电力行业网络安全等级保护管理办法》的通知

3、日本新版国家安全战略引入“主动网络防御”原则

1、中央网信办部署开展“清朗·移动互联网应用程序领域乱象整治”专项行动

　　为规范移动互联网应用程序信息服务管理，深入治理APP、小程序、快应用等应用程序乱象，进一步压实应用程序分发平台主体责任，促进行业健康有序发展，中央网信办开展“清朗·移动互联网应用程序领域乱象整治”专项行动。

　　一、工作目标

　　贯彻落实党的二十大精神，坚持以人民为中心，加强移动互联网应用程序全链条管理，全面规范移动应用程序在搜索、下载、使用等环节的运营行为，着力解决损害用户合法权益的突出问题，深入治理当前各种乱象，净化网络环境，营造清朗网络空间。

　　二、主要任务

　　按照《移动互联网应用程序信息服务管理规定》要求，督促应用程序分发平台落实好各项任务，整治各个环节存在的问题，促进行业健康有序发展。

　　（一）搜索查找环节

　　一是重点打击“山寨APP”。严厉打击各类假冒APP以相似标志、图片、文字以假乱真，欺骗用户访问下载、违规收集个人信息、传播不良有害信息。从严查处各类小程序违法收取用户预付款，欺诈消费者、卷钱跑路。

　　二是从严整治虚假排名。从严惩处应用程序提供者为获得更好的排名或者推荐位，刷虚假下载量和好评，诱导用户下载。坚决打击应用程序分发平台弄虚作假，为应用程序作虚假排名推荐。

　　三是全面净化页面呈现。集中整治应用程序利用暗示词汇、衣着暴露的图片或引人联想的标题等不良信息，诱导用户点击下载。全面清理应用商店首页首屏、搜索推荐等重要页面呈现低俗、软色情等违法不良信息。

　　四是严格规范备案要求。重点打击未经备案提供应用程序分发服务的行为。对通过浏览器以链接或二维码等方式提供下载服务的，须按照《移动互联网应用程序信息服务管理规定》进行备案。

　　（二）下载安装环节

　　一是集中整治强制、捆绑下载安装。重点治理应用程序关闭、退出等按钮失灵，未经用户同意自动下载安装的行为。严厉打击通过默认勾选标记，误导用户点击下载安装捆绑软件的行为。

　　二是坚决惩处应用程序“挂羊头卖狗肉”规避监管。从严查处应用程序提供者上架版本与实际运营版本不一致，通过内嵌非法软件或违规马甲包等开展涉黄涉赌等违法行为。

　　三是严厉打击以赚钱为诱饵诱导用户下载。重点治理应用程序分发平台恶意推广赚钱类应用程序，套路用户，利用流量变现获利。坚决打击各类应用程序以赚钱为幌子欺骗用户下载使用，设置多种提现障碍。

　　（三）运行使用环节

　　一是集中治理弹窗问题。全面整治各类应用程序弹窗多且难屏蔽的问题。重点整治弹窗页面设置虚假关闭、跳转按钮，利用引人误解的内容欺骗、误导、诱导用户点击或自行跳转至其他链接。从严整治频繁弹窗、强制分享等侵害用户合法权益的行为。

　　二是严格规范功能设置。从严查处应用程序恶意隐藏相关功能的行为，如设置透明图标、不显示下载或运行记录等。从严整治应用程序设置卸载障碍、强制自动续费等严重侵害用户权益的行为。

　　三是严厉打击诱导充值。坚决打击部分应用程序恶意借虚假免费试用、特惠活动或异性聊天等诱导用户付费。从严惩处应用程序诱导未成年人充值消费。

　　三、工作要求

　　（一）扎实部署推进。明确目标任务、实施步骤和具体措施，以加强分发平台规范管理为抓手，全面清理整治突出问题。

　　（二）抓好重点平台。对问题突出的应用程序分发平台加大整治力度，尤其是分发平台集中的重点地区，要采取更有针对性的措施，狠抓工作落实。

　　（三）加大宣传力度。采取多种形式，强化舆论宣传引导，加强典型案例通报，有效凝聚社会共识，动员社会各方广泛参与。

　　（四）强化法规执行。结合专项行动，扎实做好移动互联网应用程序管理工作，通过强化政策指导，督促应用程序分发平台切实履行主体责任。

【阅读原文】

2、国家能源局关于印发《电力行业网络安全等级保护管理办法》的通知

各省（自治区、直辖市）能源局，有关省（自治区、直辖市）及新疆生产建设兵团发展改革委、工业和信息化主管部门，北京市城市管理委，各派出机构，全国电力安全生产委员会各企业成员单位，有关电力企业：

　　为深入贯彻习近平总书记关于网络强国的重要思想，规范电力行业网络安全等级保护管理，提高电力行业网络安全保障能力和水平，国家能源局对《电力行业信息安全等级保护管理办法》（国能安全〔2014〕318号）进行了修订。现将修订后的《电力行业网络安全等级保护管理办法》印发你们，请遵照执行。

　　国家能源局

　　2022年11月16日

【阅读原文】

3、日本新版国家安全战略引入“主动网络防御”原则

日本将建立一个法律框架，该框架允许日本采取加强措施在网络空间自卫。日本政府旨在修改立法，以便在出现潜在风险迹象后立即开始监控潜在攻击者并入侵攻击者的系统。

根据目前的法律规定，除非发生需要日本自卫队在军事攻击后进行部署的紧急情况，否则很难启动此类措施。该计划在12月10日提交给执政联盟的拟议国家安全战略修订的概述中得到强调。修订文件有望在本月底前获得日本内阁批准。

世界其他国家也有类似的法律，允许政府在检测到可疑活动时发起网络攻击以摧毁外国系统。随着全球网络攻击的频率和规模不断增加，日本政府表示迫切需要使法律与时俱进。

此举有望成为日本网络防御的转折点，由于对日本宪法和与使用武力有关的法律的解释以及隐私问题，日本的网络防御受到限制。这些变化将使日本政府能够保护私营部门的基础设施，例如电网和金融网络。此举还有可能为日本在网络空间进行反击和压制攻击者打开大门。

日本内阁批准相关文件后，执政联盟将在2023年1月份就此议题进行辩论，以修改现有法律并制定新法律。文件称，日本将把网络防御加强到“与西方大国相当的水平”。

文件条款包括引入“主动网络防御”，允许在有害软件造成严重损害前予以阻止。在这些情况下，即使没有使用武力，当局会预见到国家安全受到威胁的情况，例如重要基础设施遭到破坏。

根据计划，日本内阁网络安全中心将改组为负责国家网络防御的机构。

该计划还旨在加强政府支持，以保护目前委托给私营公司的基础设施。消息人士透露，需要仔细考虑政府可以干预的程度，以免违反国际法。

这是日本国家安全战略自2013年12月制定以来的首次修订，以应对不断变化的地缘政治格局。该战略的其他变化包括增加国防预算和获得打击敌方导弹发射场的反击能力等。

美国战略与国际研究中心（CSIS）资深顾问克里斯托弗·约翰斯通分析认为，岸田政府的新国家安全战略代表了一个转折点——在安倍实施的政策和法律改革的基础上，启动了日本防卫态势的实质性转变；这些变化在几年前是不可想象的，对美日同盟来说是一个巨大的机遇。

【阅读原文】

2022年12月13日星期二

今日资讯速览：

1、国家互联网信息办公室等三部门发布《互联网信息服务深度合成管理规定》

2、关于下线“通信行程卡”服务的公告

3、【安全圈】快递客服出售用户信息获利24万夫妻俩双双获刑

1、国家互联网信息办公室等三部门发布《互联网信息服务深度合成管理规定》

国家互联网信息办公室

中华人民共和国工业和信息化部

中华人民共和国公安部

令

第12号

　　《互联网信息服务深度合成管理规定》已经2022年11月3日国家互联网信息办公室2022年第21次室务会议审议通过，并经工业和信息化部、公安部同意，现予公布，自2023年1月10日起施行。

国家互联网信息办公室主任庄荣文

工业和信息化部部长金壮龙

公安部部长王小洪

2022年11月25日

互联网信息服务深度合成管理规定

第一章总则

　　第一条为了加强互联网信息服务深度合成管理，弘扬社会主义核心价值观，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《互联网信息服务管理办法》等法律、行政法规，制定本规定。

　　第二条在中华人民共和国境内应用深度合成技术提供互联网信息服务（以下简称深度合成服务），适用本规定。法律、行政法规另有规定的，依照其规定。

　　第三条国家网信部门负责统筹协调全国深度合成服务的治理和相关监督管理工作。国务院电信主管部门、公安部门依据各自职责负责深度合成服务的监督管理工作。

　　地方网信部门负责统筹协调本行政区域内的深度合成服务的治理和相关监督管理工作。地方电信主管部门、公安部门依据各自职责负责本行政区域内的深度合成服务的监督管理工作。

　　第四条提供深度合成服务，应当遵守法律法规，尊重社会公德和伦理道德，坚持正确政治方向、舆论导向、价值取向，促进深度合成服务向上向善。

　　第五条鼓励相关行业组织加强行业自律，建立健全行业标准、行业准则和自律管理制度，督促指导深度合成服务提供者和技术支持者制定完善业务规范、依法开展业务和接受社会监督。

第二章一般规定

　　第六条任何组织和个人不得利用深度合成服务制作、复制、发布、传播法律、行政法规禁止的信息，不得利用深度合成服务从事危害国家安全和利益、损害国家形象、侵害社会公共利益、扰乱经济和社会秩序、侵犯他人合法权益等法律、行政法规禁止的活动。

　　深度合成服务提供者和使用者不得利用深度合成服务制作、复制、发布、传播虚假新闻信息。转载基于深度合成服务制作发布的新闻信息的，应当依法转载互联网新闻信息稿源单位发布的新闻信息。

　　第七条深度合成服务提供者应当落实信息安全主体责任，建立健全用户注册、算法机制机理审核、科技伦理审查、信息发布审核、数据安全、个人信息保护、反电信网络诈骗、应急处置等管理制度，具有安全可控的技术保障措施。

　　第八条深度合成服务提供者应当制定和公开管理规则、平台公约，完善服务协议，依法依约履行管理责任，以显著方式提示深度合成服务技术支持者和使用者承担信息安全义务。

　　第九条深度合成服务提供者应当基于移动电话号码、身份证件号码、统一社会信用代码或者国家网络身份认证公共服务等方式，依法对深度合成服务使用者进行真实身份信息认证，不得向未进行真实身份信息认证的深度合成服务使用者提供信息发布服务。

　　第十条深度合成服务提供者应当加强深度合成内容管理，采取技术或者人工方式对深度合成服务使用者的输入数据和合成结果进行审核。

　　深度合成服务提供者应当建立健全用于识别违法和不良信息的特征库，完善入库标准、规则和程序，记录并留存相关网络日志。

　　深度合成服务提供者发现违法和不良信息的，应当依法采取处置措施，保存有关记录，及时向网信部门和有关主管部门报告；对相关深度合成服务使用者依法依约采取警示、限制功能、暂停服务、关闭账号等处置措施。

　　第十一条深度合成服务提供者应当建立健全辟谣机制，发现利用深度合成服务制作、复制、发布、传播虚假信息的，应当及时采取辟谣措施，保存有关记录，并向网信部门和有关主管部门报告。

　　第十二条深度合成服务提供者应当设置便捷的用户申诉和公众投诉、举报入口，公布处理流程和反馈时限，及时受理、处理和反馈处理结果。

　　第十三条互联网应用商店等应用程序分发平台应当落实上架审核、日常管理、应急处置等安全管理责任，核验深度合成类应用程序的安全评估、备案等情况；对违反国家有关规定的，应当及时采取不予上架、警示、暂停服务或者下架等处置措施。

第三章数据和技术管理规范

　　第十四条深度合成服务提供者和技术支持者应当加强训练数据管理，采取必要措施保障训练数据安全；训练数据包含个人信息的，应当遵守个人信息保护的有关规定。

　　深度合成服务提供者和技术支持者提供人脸、人声等生物识别信息编辑功能的，应当提示深度合成服务使用者依法告知被编辑的个人，并取得其单独同意。

　　第十五条深度合成服务提供者和技术支持者应当加强技术管理，定期审核、评估、验证生成合成类算法机制机理。

　　深度合成服务提供者和技术支持者提供具有以下功能的模型、模板等工具的，应当依法自行或者委托专业机构开展安全评估：

　　（一）生成或者编辑人脸、人声等生物识别信息的；

　　（二）生成或者编辑可能涉及国家安全、国家形象、国家利益和社会公共利益的特殊物体、场景等非生物识别信息的。

　　第十六条深度合成服务提供者对使用其服务生成或者编辑的信息内容，应当采取技术措施添加不影响用户使用的标识，并依照法律、行政法规和国家有关规定保存日志信息。

　　第十七条深度合成服务提供者提供以下深度合成服务，可能导致公众混淆或者误认的，应当在生成或者编辑的信息内容的合理位置、区域进行显著标识，向公众提示深度合成情况：

　　（一）智能对话、智能写作等模拟自然人进行文本的生成或者编辑服务；

　　（二）合成人声、仿声等语音生成或者显著改变个人身份特征的编辑服务；

　　（三）人脸生成、人脸替换、人脸操控、姿态操控等人物图像、视频生成或者显著改变个人身份特征的编辑服务；

　　（四）沉浸式拟真场景等生成或者编辑服务；

　　（五）其他具有生成或者显著改变信息内容功能的服务。

　　深度合成服务提供者提供前款规定之外的深度合成服务的，应当提供显著标识功能，并提示深度合成服务使用者可以进行显著标识。

　　第十八条任何组织和个人不得采用技术手段删除、篡改、隐匿本规定第十六条和第十七条规定的深度合成标识。

第四章监督检查与法律责任

　　第十九条具有舆论属性或者社会动员能力的深度合成服务提供者，应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。

　　深度合成服务技术支持者应当参照前款规定履行备案和变更、注销备案手续。

　　完成备案的深度合成服务提供者和技术支持者应当在其对外提供服务的网站、应用程序等的显著位置标明其备案编号并提供公示信息链接。

　　第二十条深度合成服务提供者开发上线具有舆论属性或者社会动员能力的新产品、新应用、新功能的，应当按照国家有关规定开展安全评估。

　　第二十一条网信部门和电信主管部门、公安部门依据职责对深度合成服务开展监督检查。深度合成服务提供者和技术支持者应当依法予以配合，并提供必要的技术、数据等支持和协助。

　　网信部门和有关主管部门发现深度合成服务存在较大信息安全风险的，可以按照职责依法要求深度合成服务提供者和技术支持者采取暂停信息更新、用户账号注册或者其他相关服务等措施。深度合成服务提供者和技术支持者应当按照要求采取措施，进行整改，消除隐患。

　　第二十二条深度合成服务提供者和技术支持者违反本规定的，依照有关法律、行政法规的规定处罚；造成严重后果的，依法从重处罚。

　　构成违反治安管理行为的，由公安机关依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

第五章附则

　　第二十三条本规定中下列用语的含义：

　　深度合成技术，是指利用深度学习、虚拟现实等生成合成类算法制作文本、图像、音频、视频、虚拟场景等网络信息的技术，包括但不限于：

　　（一）篇章生成、文本风格转换、问答对话等生成或者编辑文本内容的技术；

　　（二）文本转语音、语音转换、语音属性编辑等生成或者编辑语音内容的技术；

　　（三）音乐生成、场景声编辑等生成或者编辑非语音内容的技术；

　　（四）人脸生成、人脸替换、人物属性编辑、人脸操控、姿态操控等生成或者编辑图像、视频内容中生物特征的技术；

　　（五）图像生成、图像增强、图像修复等生成或者编辑图像、视频内容中非生物特征的技术；

　　（六）三维重建、数字仿真等生成或者编辑数字人物、虚拟场景的技术。

　　深度合成服务提供者，是指提供深度合成服务的组织、个人。

　　深度合成服务技术支持者，是指为深度合成服务提供技术支持的组织、个人。

　　深度合成服务使用者，是指使用深度合成服务制作、复制、发布、传播信息的组织、个人。

　　训练数据，是指被用于训练机器学习模型的标注或者基准数据集。

　　沉浸式拟真场景，是指应用深度合成技术生成或者编辑的、可供参与者体验或者互动的、具有高度真实感的虚拟场景。

　　第二十四条深度合成服务提供者和技术支持者从事网络出版服务、网络文化活动和网络视听节目服务的，应当同时符合新闻出版、文化和旅游、广播电视主管部门的规定。

　　第二十五条本规定自2023年1月10日起施行。

【阅读原文】

2、关于下线“通信行程卡”服务的公告

为深入贯彻党中央、国务院关于进一步优化新冠肺炎疫情防控措施，科学精准做好防控工作的决策部署，根据国务院联防联控机制综合组有关要求，12月13日0时起，正式下线“通信行程卡”服务。“通信行程卡”短信、网页、微信小程序、支付宝小程序、 APP等查询渠道将同步下线。

特此公告。

【阅读原文】

3、【安全圈】快递客服出售用户信息获利24万夫妻俩双双获刑

男子利用从事寄递客服的便利条件，伙同妻子查询、出售大量寄递用户的个人信息牟利，非法获利24万余元，两人双双获刑。11月23日，最高人民检察院发布检察机关落实“七号检察建议”典型案例，其中包括这起“江苏王某涛、董某婷侵犯公民个人信息案”。

2021年5月至7月，王某涛（男，1996年出生，某快递公司职工）在某快递公司工作期间，利用担任快递客服的工作便利，单独或者伙同其妻子董某婷（女，1998年出生，无业），通过公司系统查询收集大量寄递用户的公民个人信息向他人出售，非法获利24万余元。

案发后，江苏省如皋市检察院接到公安机关商请提前介入的通知，立即派员提前介入，引导取证。经审查，被非法出售的公民信息含有姓名、地址、电话号码，买家购买信息系用于推销产品，故信息类型属于普通公民个人信息。因王某涛微信发送给买家的公民个人信息未能全部提取，检察机关引导公安机关确立以违法所得认定犯罪的思路，及时调取转账记录，固定犯罪证据。

2022年5月30日，公安机关以王某涛、董某婷涉嫌侵犯公民个人信息罪移送审查起诉。6月30日，江苏省如皋市检察院以被告人王某涛、董某婷涉嫌侵犯公民个人信息罪提起公诉，并提起刑事附带民事公益诉讼。庭审前，二人自愿缴纳了公益诉讼赔偿金，如皋市检察院撤回附带民事公益诉讼的起诉。8月30日，如皋市法院以侵犯公民个人信息罪判处被告人王某涛有期徒刑三年三个月，并处罚金二十万元；以侵犯公民个人信息罪判处被告人董某婷有期徒刑二年，缓刑二年六个月，并处罚金五万元。该判决已生效。

检察机关在办理此案的过程中，从刑事、民事和行政责任方面依法全面履行法律监督职责。

在刑事责任方面，检察机关在提起公诉前通过对认罪认罚从宽制度释法说理，督促王某涛、董某婷主动退出16万余元违法所得，后依法提出了适当的量刑建议。

在民事责任方面，因二人侵犯了众多主体的人身权利，损害了社会公共利益，检察机关依法提起附带民事公益诉讼，要求二人承担24万余元的公益诉讼赔偿金，后二人庭前自愿缴纳。

在行政责任方面，当地邮政管理部门对快递公司负有监管责任，检察机关针对其履职不到位问题发出行政公益诉讼诉前检察建议，邮政管理局高度重视，组织开展专项整治，后整改到位。

【阅读原文】

2022年12月12日星期一

今日资讯速览：

1、国家互联网信息办公室等三部门发布《互联网信息服务深度合成管理规定》

2、3.6 亿据称 WhatsApp 的数据在暗网流传

3、Google发布Chrome 108浏览器紧急更新以修补零日漏洞

1、国家互联网信息办公室等三部门发布《互联网信息服务深度合成管理规定》

　　近日，国家互联网信息办公室、工业和信息化部、公安部联合发布《互联网信息服务深度合成管理规定》（以下简称《规定》），自2023年1月10日起施行。国家互联网信息办公室有关负责人表示，出台《规定》，旨在加强互联网信息服务深度合成管理，弘扬社会主义核心价值观，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益。

　　近年来，深度合成技术快速发展，在服务用户需求、改进用户体验的同时，也被一些不法人员用于制作、复制、发布、传播违法和不良信息，诋毁、贬损他人名誉、荣誉，仿冒他人身份实施诈骗等，影响传播秩序和社会秩序，损害人民群众合法权益，危害国家安全和社会稳定。出台《规定》，是防范化解安全风险的需要，也是促进深度合成服务健康发展、提升监管能力水平的需要。

　　《规定》明确了制定目的依据、适用范围、部门职责和导向要求。明确在中华人民共和国境内应用深度合成技术提供互联网信息服务，适用本规定。明确国家和地方网信部门统筹协调深度合成服务的治理和相关监督管理职责，国务院电信主管部门、公安部门以及地方相关部门的监督管理职责。明确提供深度合成服务的总体要求。鼓励相关行业组织加强行业自律。

　　《规定》明确了深度合成服务的一般规定。强调不得利用深度合成服务从事法律、行政法规禁止的活动。要求深度合成服务提供者落实信息安全主体责任，建立健全管理制度和技术保障措施，制定公开管理规则、平台公约，对使用者进行真实身份信息认证，加强深度合成内容管理，建立健全辟谣机制和申诉、投诉、举报机制。明确应用程序分发平台应当落实安全管理责任，核验深度合成类应用程序相关情况。

　　《规定》明确了深度合成数据和技术管理规范。要求深度合成服务提供者和技术支持者加强训练数据管理和技术管理，保障数据安全，不得非法处理个人信息，定期审核、评估、验证算法机制机理。深度合成服务提供者对使用其服务生成或编辑的信息内容，应当添加不影响使用的标识。提供智能对话、合成人声、人脸生成、沉浸式拟真场景等生成或者显著改变信息内容功能的服务的，应当进行显著标识，避免公众混淆或者误认。要求任何组织和个人不得采用技术手段删除、篡改、隐匿相关标识。

　　《规定》明确了监督检查与法律责任。明确具有舆论属性或者社会动员能力的深度合成服务提供者、技术支持者应当履行备案和变更、注销备案手续。上线具有舆论属性或者社会动员能力的新产品、新应用、新功能的，应当开展安全评估。深度合成服务提供者、技术支持者应当依法配合网信部门和有关主管部门开展的监督检查，并提供必要的支持和协助。发现存在较大信息安全风险的，网信部门和有关主管部门可以按照职责依法要求其采取暂停信息更新、用户账号注册或者其他服务等措施。明确违反规定的法律责任。

　　《规定》明确了相关用语的含义。要求深度合成服务提供者和技术支持者从事网络出版服务、网络文化活动、网络视听节目服务的，应当同时符合有关主管部门的规定。

　　国家互联网信息办公室有关负责人指出，深度合成服务治理需要政府、企业、社会、网民等多方主体共同参与，推动深度合成技术的依法、合理、有效使用，积极防范化解深度合成技术带来的风险，促进互联网信息服务健康发展，维护网络空间良好生态。

【阅读原文】

2、3.6 亿据称 WhatsApp 的数据在暗网流传

Check Point Research (CPR) 发布了一份报告，他们确认在暗网和 Telegram 群组上看到可供出售的文件，其中包含来自 108 个国家/地区的 3.6 亿个电话号码。

CheckPoint在暗网上看到的数据

每个国家的记录中都有不同数量的手机号码，这些文件正在黑客之间自由分发。

CPR在其报告中表示，无法确认这些号码是否真的属于 WhatsApp 用户。另一方面，Hackread.com 下载了一个文件，出售者声称该文件包含 5 亿个 WhatsApp 号码。

Hackread.com 在 Telegram 上看到的数据

波兰金融部门 (CSIRT KNF) 计算机安全事件响应小组的网络安全研究员和专家 Karol Paciorek周二在 Twitter 上写道，泄露的数据库只是对2019 年 Facebook旧漏洞的重新利用。

他表示，来自波兰的 5000 条 WhatsApp 数据记录的样本与他们在 2019 年看到的相同。

【阅读原文】

3、Google发布Chrome 108浏览器紧急更新以修补零日漏洞

上周五，Google开始为Windows、Mac和Linux上的Chrome浏览器推出紧急稳定通道更新，以修补一个已经被利用于外部的零日漏洞。如果你还没有这样做，请检查并确保你的浏览器在Mac和Linux上至少更新到108.0.5359.94版本，在Windows上至少更新到108.0.5359.94/.95。

Google的Prudhvikumar Bommana在Chrome发布的博客上说，CVE-2022-4262是Chrome的V8 JavaScript引擎的一个高严重性的类型混淆弱点。如果这听起来很熟悉，那是因为这是今年Chrome浏览器中的第三个此类漏洞。

正如我们之前解释的那样，如果攻击者利用类型混淆漏洞，可以让他们在浏览器中执行任意代码。如果他们有必要的权限，他们还可以查看、编辑或删除数据。不过我们不确定攻击者如何利用这个具体的漏洞，因为Google希望大家在分享细节之前更新Chrome。

"对错误细节和链接的访问可能会保持限制，直到大多数用户都更新了修复程序，"Google解释说。"如果该漏洞存在于其他项目同样依赖的第三方库中，但尚未修复，我们也将保留限制。"

这是Google在2022年修补的第九个Chrome零日漏洞。在此之前的一次是在11月25日浮出水面，涉及GPU的堆缓冲区溢出。

当你打开浏览器时，Chrome浏览器并不总是应用最新的更新，所以如果你想检查并查看你正在运行的版本，请进入设置界面，然后在屏幕左侧的菜单栏底部的"关于Chrome"。

了解更多技术细节：

https://chromereleases.googleblog.com/2022/12/stable-channel-update-for-desktop.html

【阅读原文】

2022年12月9日星期五

今日资讯速览：

1、ViperSoftX：隐藏在系统日志中并传播VenomSoftX的窃密程序

2、Zerobot 僵尸网络利用数十个物联网漏洞来扩展其网络

3、超过半数EDR工具存在严重漏洞，数亿端点面临风险

1、ViperSoftX：隐藏在系统日志中并传播VenomSoftX的窃密程序

【阅读原文】

2、Zerobot 僵尸网络利用数十个物联网漏洞来扩展其网络

Hackernews 编译，转载请注明出处：

据观察，一种名为Zerobot的基于Go的新型僵尸网络利用物联网（IoT）设备和其他软件中的近20个安全漏洞，在野外迅速扩散。

Fortinet FortiGuard实验室的研究员Cara Lin说：“僵尸网络包含几个模块，包括自我复制、针对不同协议的攻击和自我传播。它还使用WebSocket协议与其命令和控制服务器进行通信。”

据称，该行动于2022年11月18日之后开始，主要针对Linux操作系统，以控制易受攻击的设备。

Zerobot的名字来自于一个传播脚本，该脚本用于在获得对主机的访问权后根据其微架构实现（例如“zero.arm64”）检索恶意有效载荷。

该恶意软件旨在针对各种CPU架构，如i386、amd64、arm、arm64、mips、mips64、mips64le、mipsle、ppc64、ppc64le、riscv64和s390x。

微信截图_20221207145821

迄今为止，已经发现了两个版本的Zerobot：一个是在2022年11月24日之前使用的，它具有基本功能和一个更新的版本，包括自传播模块，可以使用21个漏洞攻击其他端点。

这包括影响TOTOLINK路由器、Zysel防火墙、F5 BIG-IP、海康威视摄像头、FLIR AX8热成像摄像头、D-Link DNS320 NAS和Spring Framework等的漏洞。

Zerobot在受感染的机器上初始化后，会与远程命令控制（C2）服务器建立联系，并等待进一步的指令，允许它运行任意命令，并对TCP、UDP、TLS、HTTP和ICMP等不同网络协议发起攻击。

“在很短的时间内，它被更新为字符串模糊处理、复制文件模块和传播攻击模块，这使得它更难被检测出来，并使其具有更高的感染能力。”Lin说。

【阅读原文】

3、超过半数EDR工具存在严重漏洞，数亿端点面临风险

在12月7日举行的欧洲黑帽大会上，SafeBreach安全研究员Yair发表了主题为“开发下一代擦除器”的演讲，并公布了对多家安全厂商的11种EDR工具的测试结果，其中四家厂商的六种工具存在严重漏洞。这些易受攻击的产品分别是Microsoft Windows Defender，Windows Defender for Endpoint、TrendMicro ApexOne、Avast Antivirus、AVG Antivirus和SentinelOne。

在Yair披露漏洞之前，其中三家供应商已经为这些漏洞分配了正式的CVE编号并为其发布了补丁。

Yair还在黑帽大会上发布了名为Aikido的概念验证代码（一个数据擦除器），演示了仅拥有非特权用户权限的擦除器如何操纵存在漏洞的EDR工具擦除系统上的几乎所有文件，包括系统文件。

“超过半数的受测EDR和AV产品中存在该漏洞，包括Windows上的默认端点保护产品，”Yair在他的黑帽大会演讲中说：“我们很幸运能抢在黑客之前发现问题，因为这些工具和漏洞一旦落入坏人手中会造成难以估量的严重损失，易受该漏洞攻击的EDR版本管理着数亿个端点！”

Yair透露他在7月至8月期间向受影响的供应商报告了该漏洞。“然后，在接下来的几个月里，我们与供应商密切合作，在披露漏洞（利用）之前开发补丁程序，其中三家供应商发布了新版本的软件或补丁来解决这个漏洞。分别是微软，趋势科技和Gen（Avast与AVG的开发商）。但是没有收到SentinelOne发布修复程序的确认”。

Yair表示，披露的漏洞与某些EDR工具删除恶意文件的方式有关。“在这个删除过程中有两个关键事件，”Yair指出：“EDR有时会将文件检测为恶意文件，而实际删除文件时，有时可能需要重新启动系统。在这两个事件之间，攻击者有机会使用所谓的NTFS链接点来指示EDR删除与其标识为恶意的文件不同的文件。”

NTFS链接点类似于所谓的符号链接，符号链接是位于系统中其他位置的文件夹和文件的快捷方式文件，只是用于链接系统上不同本地卷上的目录。

Yair说道，为了在易受攻击的系统上触发问题，他首先创建了一个恶意文件，使用非特权用户权限，因此EDR将检测并尝试删除该文件。Yair找到了一种方法，通过保持恶意文件打开，强制EDR将删除推迟到重新启动后。然后，恶意文件会在系统上创建一个C：\TEMP\目录，使其成为另一个目录的联结点，并进行硬件设置，以便当EDR产品尝试执行删除恶意文件的操作时（重新启动后），会被导引到完全不同的文件。Yair发现黑客可以使用相同的技巧删除计算机上不同位置的多个文件，方法是创建一个目录快捷方式并将指向不同文件的特制路径放入其中。

Yair透露，在测试某些EDR产品时，虽然他无法删除指定文件，但是能够删除整个文件夹。

受该漏洞影响的主要是那些将删除恶意文件推迟到系统重启后的EDR工具。此类EDR产品将恶意文件的路径存储在某个位置（因供应商而异），并在重新启动后使用该路径删除文件。Yair表示，一些EDR产品在重新启动后不会检查恶意文件的路径是否指向同一位置，这为攻击者提供了一种在路径中间安插快捷方式的方法。他指出，此类漏洞属于检查与使用时间差（TOCTOU）漏洞。

【阅读原文】

2022年12月8日星期四

今日资讯速览：

1、最高检发布5件依法惩治侵犯公民个人信息犯罪典型案例

2、勒索软件凶猛！比利时最大城市数字服务被迫中断

3、安卓远程键盘漏洞影响超200万用户

1、最高检发布5件依法惩治侵犯公民个人信息犯罪典型案例

近日，最高人民检察院发布5件依法惩治侵犯公民个人信息犯罪典型案例。记者了解到，该批典型案例涵盖了对公民征信信息、生物识别信息、行踪轨迹信息、健康生理信息等不同类型个人信息的全面保护，体现了检察机关依法从严惩治侵犯公民个人信息犯罪的政策导向。

记者注意到，该批典型案例对司法办案中涉及个人信息的有关法律适用问题进行了重申或明确。比如，案例一明确，对客观上无法排重计算所涉个人信息数量的，可以通过确定违法所得数额作为定罪量刑的事实依据。案例二明确，对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。

信息数量、违法所得数额是侵犯公民个人信息罪定罪量刑的重要依据。其中之一达到司法解释规定的标准，即可认定为“情节严重”或者“情节特别严重”，按照侵犯公民个人信息罪定罪量刑。如果二者分别属于不同的量刑幅度的，可以按照处罚较重的量刑幅度处理。

党的二十大明确指出要“加强个人信息保护”。近年来，全国检察机关强化履职担当，不断加强对公民个人信息的司法保护。2019年至今年10月，全国检察机关共批准逮捕涉嫌侵犯公民个人信息犯罪嫌疑人1.3万余人，提起公诉2.8万余人。

最高检第一检察厅负责人表示，民法典第四编第六章专章规定了“隐私权和个人信息的保护”。2021年11月1日颁布施行的个人信息保护法完善了个人信息保护的法律体系。在司法实践中，涉及信息类型的界定、刑事处罚标准的确定，以及庞杂的信息数量核查等问题，仍亟需加强指导。通过该批典型案例的选编、发布，以期促进个人信息保护相关法律深入贯彻实施，为检察办案提供指导。下一步，检察机关要进一步强化履职，结合打击治理电信网络诈骗犯罪等深挖关联犯罪，加强对上游信息采集、提供、倒卖等环节犯罪行为的全链条打击，对公民个人信息的信息类型以及刑事处罚标准加强研究，协同推进个人信息保护刑事检察和公益诉讼检察一体化办案，促进平台、行业完善内部管控，推动形成个人信息保护多元共治新格局。

关于印发检察机关依法惩治

侵犯公民个人信息犯罪

典型案例的通知

各省、自治区、直辖市人民检察院，解放军军事检察院，新疆生产建设兵团人民检察院：

近年来，全国检察机关坚持以习近平新时代中国特色社会主义思想为指导，依法能动履职，切实加强对公民个人信息的司法保护。2019年至2022年10月，共批准逮捕涉嫌侵犯公民个人信息犯罪嫌疑人1.3万余人，提起公诉2.8万余人，有力保护了被害人的合法权益。为深入学习贯彻党的二十大精神，全面贯彻习近平法治思想，积极回应社会关切，切实加强公民个人信息保护，加强办案指导，持续推动《中华人民共和国个人信息保护法》贯彻实施，最高人民检察院选编了“解某某、辛某某等人侵犯公民个人信息案”等5件检察机关依法惩治侵犯公民个人信息犯罪典型案例，现印发你们，供参考借鉴。

本批典型案例有以下特点：一是体现了依法从严惩治侵犯公民个人信息犯罪的政策导向，注重全面打击上下游犯罪。如案例三中，天津检察机关通过加强检警协作，深挖上下游犯罪，从窃取信息的源头到出售末端全面排查、精准打击，彻底斩断犯罪链条。二是体现了对公民个人信息的全面保护。个人信息内涵丰富，民法典、个人信息保护法专门进行了定义。本批案例涵盖了对公民征信信息、生物识别信息、行踪轨迹信息、健康生理信息等不同类型信息的全面保护。三是强调发挥指导检察办案的作用。如案例一提出，对客观上无法排重计算信息数量的，可以通过确定违法所得数额作为定罪量刑的事实依据。案例二提出，对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。对信息的真实性，可以采取抽样方式进行验证。四是强调法治宣传教育和促进诉源治理。通过发布典型案例，提醒广大人民群众提高自我保护意识，谨防个人信息泄露。如案例二中被告人将开发的窃取被害人照片的软件伪装成“颜值检测”软件，迷惑性极强，只要用户下载打开使用就会造成个人信息的泄露。针对行业“内鬼”泄露公民个人信息案件中反映出的管理漏洞和内部监管机制不到位等问题，检察机关通过制发检察建议，督促相关单位履行监管职责，完善管理制度，预防和杜绝泄露公民个人信息问题的发生。

下一步，各级检察机关要进一步强化履职，结合打击治理电信网络诈骗犯罪等深挖关联犯罪，加强对上游信息采集、提供、倒卖等环节犯罪行为全链条打击，加强对公民个人信息“信息类型”和刑事处罚标准的研究，充分发挥检察监督职能优势，协同推进个人信息保护刑事检察和公益诉讼检察一体化办案，促进平台、行业完善内部管控，推动形成个人信息保护多元共治新格局。

最高人民检察院
2022年12月2日

检察机关依法惩治
侵犯公民个人信息犯罪典型案例

案例一

解某某、辛某某等人

侵犯公民个人信息案

【关键词】

侵犯公民个人信息征信信息信息数量违法所得数额

【基本案情】

被告人解某某，北京某信息咨询有限公司法定代表人。

被告人辛某某，北京某信息咨询有限公司股东。

被告人吴某某、郝某、李某某等基本情况略。

该公司2015年7月成立后，最初主要是网络商业推广，后公司出现亏损。解某某、辛某某便决定出售公民信息牟利。2018年1月至2019年6月，解某某、辛某某雇佣吴某某、郝某、李某某等50余人通过在网上刊登贷款广告、在公司的“点有钱”微信公众号设置贷款广告链接，吸引有贷款需求的人填写“姓名、手机号、有无本地社保和公积金、有无负债、房产和车辆持有状况、工资收入、有无保险、征信情况、借款需求、还款周期”等信息。获取上述信息后，解某某、辛某某指使员工将上述信息上传到公司开发的“点有钱”App，再通过在微信群搜集、在“点有钱”微信公众号发放广告，获取银行、金融公司信贷员的姓名和手机号。通过与信贷员联系，吸引他们在App注册充值。信贷员充值后，解某某、辛某某等人在未经信息权利人同意的情况下，将信息以每条30元至150元的价格出售给信贷员。通过出售上述信息，解某某、辛某某等人违法所得共计450余万元。

2019年6月，公安机关立案侦查，将解某某、辛某某等人抓获，从网站后台提取到公民个人信息共计31万余条。

【检察机关履职过程】

（一）审查逮捕

检察官召开联席会议研讨案件

2019年8月5日，北京市昌平区人民检察院以涉嫌侵犯公民个人信息罪对解某某等人批准逮捕。批捕后，检察机关建议公安机关围绕涉案公民个人信息的内容、数量、是否属于单位犯罪等问题进一步侦查。

（二）审查起诉

2019年12月30日，公安机关将解某某等人移送审查起诉。检察机关审查认为，2017年底，解某某、辛某某决定实施犯罪，招募员工，收集、出售公民信息，除此之外公司并无其他合法经营活动，依法应以自然人犯罪论处。由于存放数据的服务器域名过期未续费导致原始信息被删除，通过后台提取的信息包含“*”，客观上无法对具体信息条数排重计算。于是，检察机关通过审查银行流水、业绩单等电子证据等认定每名被告人的违法所得均超过5万元，属于“情节特别严重”。在共同犯罪中，解某某、辛某某起主要作用，系主犯；其余被告人系被雇佣，在犯罪中分工合作，实施信息上传、筛选、销售等，起次要作用，系从犯。经释法说理，解某某、辛某某等人均自愿认罪认罚。

2020年6月24日，昌平区人民检察院以解某某、辛某某等人涉嫌侵犯公民个人信息罪提起公诉。

（三）指控与证明犯罪

2020年9月16日，昌平区人民法院依法公开审理。

庭审中，被告人对指控的事实与罪名均无异议。但有的辩护人提出，一是本案属于单位犯罪。二是信息数量没有排重，故数量认定不准确。三是指控的违法所得包含了公司其他合法经营所得，该部分不应当作为犯罪金额。

公诉人答辩指出，一是谢某某、辛某某成立公司后，虽然最初是合法经营，但公司出现亏损后，自2017年底就预谋收集、出售公民信息，并招募员工等，2018年以后除实施收集、出售公民信息犯罪活动以外，并无其他合法经营。根据《最高人民法院关于审理单位犯罪案件具体应用法律有关问题的解释》的规定，公司、企业、事业单位设立后，以实施犯罪为主要活动的，不以单位犯罪论处。二是本案在客观上无法实现信息排重，但有确实、充分的证据可以证实各被告人违法所得数额均在5万元以上。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的规定，信息数量、违法所得数额中某一项达到刑事追诉标准，即构成侵犯公民个人信息罪。本案虽然无法确定信息数量，但可以证实被告人违法所得数额达到5万元以上，属于“情节特别严重”。三是被告人供述、公司银行流水、业绩单及各被告人之间的微信聊天记录等证据可以证实谢某某、辛某某自2018年1月以后除出售公民个人信息外并无其他合法经营活动，所以指控的金额均系犯罪所得。

（四）裁判结果

2020年12月11日，昌平区人民法院采纳检察机关指控意见和量刑建议，以侵犯公民个人信息罪判处解某某、辛某某等被告人有期徒刑三年六个月至一年四个月不等，并处罚金。

【典型意义】

（一）非法获取、出售征信信息，情节严重的，应以侵犯公民个人信息罪依法惩处。个人征信信息属于公民个人信息，包括个人基本信息、个人信贷交易信息，以及反映个人信用状况的其他信息。具有非法获取、出售征信信息50条以上，或者违法所得5000元以上情形之一的，属于“情节严重”，依法应以侵犯公民个人信息罪定罪处罚。数量或者数额达到上述规定标准十倍以上的，属于“情节特别严重”，依法应处三年以上七年以下有期徒刑，并处罚金。

（二）对客观上无法排重计算信息数量的，可以通过确定违法所得数额作为定罪量刑的事实依据。信息数量、违法所得数额是侵犯公民个人信息罪定罪量刑的重要依据。其中之一达到司法解释规定的标准，即可认定为“情节严重”或者“情节特别严重”，按照侵犯公民个人信息罪定罪量刑。如果二者分别属于不同的量刑幅度的，可以按照处罚较重的量刑幅度处理。

（三）提高自我保护意识，防止个人信息泄露。征信信息全面反映个人信贷状况，与公民人身、财产安全直接相关，被泄露后容易成为电信网络诈骗、套路贷等违法犯罪活动的被害人。生活中，要注意选择正规的金融机构贷款，不随意点击不明贷款链接，不轻易透露个人财产状况，谨防信息泄露。

案例二

李某侵犯公民个人信息案

【关键词】

侵犯公民个人信息人脸信息生物识别信息信息数量

【基本案情】

被告人李某，某网络科技有限公司软件开发人员。

2020年6月至9月，李某制作了一款可以窃取安装者手机内的照片的软件。当手机用户下载安装该软件打开使用时，软件就会自动获取手机相册的照片并且上传到李某搭建的服务器后台。李某将该软件发布在暗网某论坛售卖，截至2021年2月9日，共卖得网站虚拟币30$。后李某为炫耀技术、满足虚荣心，又将该软件伪装成“颜值检测”软件，发布在某论坛供网友免费下载安装，以此方式窃取安装者手机相册照片1751张。其中，含有人脸信息、姓名、身份证号码、联系方式、家庭住址等100余条公民个人信息。

2020年9月，李某又用虚拟币在该暗网的论坛购买“社工库资料”并转存于网盘。2021年2月，李某为炫耀自己的能力，明知“社工库资料”含有户籍信息、车主信息等，仍将网盘链接分享到“业主交流”QQ群（150名成员）。经去除无效数据、合并去重后，该“社工库资料”包含公民个人信息共计8100余万条。

2021年3月9日，公安机关将李某抓获。经侦查，因“社工库资料”内容庞大且存储于境外网盘，未查到有人下载使用。

【检察机关履职过程】

（一）审查逮捕

2021年3月26日，公安机关对李某提请批准逮捕。上海市奉贤区人民检察院审查认为，李某非法获取并在QQ群内提供8100余万条公民个人信息，信息数量巨大，符合“情节特别严重”的规定，且李某利用“颜值检测”软件窃取“人脸信息”等事实需继续侦查，本案存在毁灭证据的可能，遂于4月2日批准逮捕。

（二）审查起诉

2021年5月28日，公安机关将该案移送审查起诉。奉贤区人民检察院审查认为，李某非法获取并提供公民个人信息，已涉嫌侵犯公民个人信息罪，且信息数量符合“情节特别严重”的规定，鉴于李某主观上没有出售牟利的目的，客观上未造成信息传播、扩散，且系初犯，自愿认罪认罚，8月10日，奉贤区人民检察院以李某涉嫌侵犯公民个人信息罪提起公诉，提出有期徒刑三年，缓刑三年的量刑建议。

（三）指控与证明犯罪

公诉人在庭审中指控犯罪

2021年8月23日，奉贤区人民法院依法公开审理。

庭审中，辩护人提出，一是本案未对涉案8100余万条信息的真实性核实确认，数量认定依据不足。二是被告人到案后如实供述自己利用黑客软件窃取照片的事实，还主动交代公安机关未掌握的在暗网非法购买公民个人信息并分享至QQ群的事实，对于该事实应当认定为自首。

公诉人答辩指出，一是司法鉴定机构去除无效信息，合并去重进行鉴定，鉴定出有效个人信息8100余万条，信息数量客观、真实，符合《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定的对批量公民个人信息具体数量的认定规则，且公安机关抽样验证，随机抽取部分个人信息进行核实，能够确认涉案个人信息的真实性。二是公安机关抓获李某前已掌握其在暗网非法购买公民个人信息并分享到QQ群的事实，与其利用黑客软件窃取照片的行为属同种罪行，依法不能认定为自首。

（四）裁判结果

奉贤区人民法院审理认为，李某具有坦白情节，且自愿认罪认罚，对其依法从宽处理，以侵犯公民个人信息罪判处李某有期徒刑三年，缓刑三年，并处罚金。

【典型意义】

（一）对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。侵犯公民个人信息犯罪中，涉案信息动辄上万乃至数十万条，在海量信息状态下，对信息逐一核实在客观上较难实现。所以，实践中允许适用推定规则，即根据查获的数量直接认定，但这不意味着举证责任倒置，对通过技术手段可以去重的，应当作去重处理，排除重复的信息。对信息的真实性，可以采取抽样方式进行验证。

（二）人脸信息是具有不可更改性和唯一性的生物识别信息。人脸识别技术给生活带来便利的同时，也容易被犯罪分子窃取利用或者制作合成，破解人脸识别验证程序，侵害隐私、名誉和财产。生活中，要谨慎下载使用“颜值检测”等“趣味”软件，防范个人信息泄露，造成合法权益受损。

案例三

谢某、李某甲等人

侵犯公民个人信息案

【关键词】

侵犯公民个人信息全链条打击宽严相济诉源治理

【基本案情】

被告人谢某，无业。

被告人李某甲，无业。

被告人李某乙、张某、刘某甲、高某、刘某乙等基本情况略。

2020年，某公司针对新型农村社会养老保险（简称“新农保”）研发了一款具备快速注册和人脸识别功能的App。谢某获悉后，联系该公司表示可免费承接认证操作业务。2021年4月至7月，谢某先后组织杨某等10人前往吉林、辽宁多地农村，使用该App对参保村民进行认证。

其间，天津市宁河区的李某甲、李某乙等人与谢某联系，向谢某提供事先已经批量注册的百家号“白号”（未实名认证），由谢某等人借“新农保”认证之机采集村民姓名、身份证号码和人脸信息，将上述“白号”激活为具备发布功能和商业营销价值的实名认证账号，再向李某甲、李某乙等人出售。

通过此种方式，李某甲、李某乙从谢某处购得账号1.9万余个，连同从张某、刘某甲等人处非法获取的其他账号，在宁河区又向高某、刘某乙等20余人出售。高某、刘某乙等人将所得账号再出售或者批量运营，致使包含公民个人信息的实名账号被多次转卖，被用于运营收益等。

2021年7月至11月，上述人员被陆续抓获。经查，李某甲违法所得70余万元，谢某等11人违法所得共计31余万元，李某乙、刘某甲等26人违法所得数千元至10余万元不等。

【检察机关履职过程】

（一）引导侦查

应公安机关商请，天津市宁河区人民检察院提出犯罪嫌疑人的行为涉嫌侵犯公民个人信息罪，建议围绕信息获取方式、数量、流向、违法所得等收集证据，固定关键电子证据防止灭失。公安机关及时开展侦查，排查控制了其他上下游涉案人员，同步扣押手机、电脑等作案工具。

（二）审查逮捕

公安机关将谢某、李某甲等29人提请批准逮捕。宁河区人民检察院审查认为，上述犯罪嫌疑人在主观恶性、犯罪层级、违法所得数额等方面存在较大差异，应区分处理。审查后，对谢某等直接窃取公民个人信息的犯罪团伙成员，李某甲等专门从事网络账号灰产的购买者及其他情节较重、违法所得数额较高的犯罪嫌疑人依法作出批捕决定；对情节较轻、违法所得数额较低的中末端购买者，评估社会危险性后作出不批捕决定。根据这一标准，公安机关对后续拟提请批准逮捕的9名犯罪嫌疑人采取了非羁押强制措施。批捕后，检察机关制发继续侦查提纲，建议公安机关继续深挖上下游犯罪。

（三）审查起诉

2021年10月29日、12月10日，公安机关陆续将谢某、李某甲等38人移送审查起诉。宁河区人民检察院全面审查案件事实、证据，开展认罪认罚和追赃工作。审查后，检察机关对窃取信息源头的主犯、与谢某直接联络的始端购买者李某甲、李某乙等9人依法起诉并建议判处实刑；对团伙从犯、销售环节赚取差价及仅有购买行为的27名中末端人员，结合情节、获利、退赃情况依法起诉并建议判处缓刑；对犯罪情节轻微，依法不需要判处刑罚的1名未成年犯罪嫌疑人，1名在校就读的大学生犯罪嫌疑人作出相对不起诉处理。上述38名犯罪嫌疑人均认罪认罚，退赃共计100余万元。

（四）指控与证明犯罪

2021年12月14日、2022年3月9日，宁河区人民检察院陆续将谢某、李某甲等36人提起公诉。

庭审中，各被告人均当庭认罪认罚。李某甲的辩护人提出，被告人系先买入后卖出的行为，计算违法所得时应将购买信息的费用作为成本扣减。

公诉人答辩指出，违法所得是犯罪分子因实施违法犯罪活动而取得的全部财产。根据《检察机关办理侵犯公民个人信息案件指引》的规定，对于违法所得，直接以被告人出售公民个人信息的收入予以认定，不必扣减其购买信息的犯罪成本。

（五）裁判结果

2022年6月8日、21日，宁河区人民法院采纳检察机关全部指控事实和量刑建议，认定谢某、李某甲等36人构成侵犯公民个人信息罪，对谢某、李某甲等9人分别判处有期徒刑四年至二年不等，并处罚金，对李某乙等27人分别判处有期徒刑三年至六个月不等，适用缓刑，并处罚金。

（六）综合治理

检察机关向有关职能部门送达检察建议

对办案中发现的社保认证工作的管理漏洞，宁河区人民检察院向有关职能部门制发检察建议，建议规范“新农保”认证工作流程和保密规定，加强委托合作方的资质审核及转委托监督，加强个人信息保护法治宣传。

【典型意义】

（一）从严惩处，全面打击上下游犯罪。侵犯公民个人信息犯罪往往呈现链条化、产业化特征，严重影响人民群众安全感，对“上游窃取信息—中间购买加工—下游运营获利”的链条式犯罪，通过加强检警协作，深挖上下游犯罪，从窃取源头到出售末端，全面排查、精准打击，彻底斩断犯罪链条。

（二）区分情形、区别对待，落实宽严相济刑事政策。对犯罪嫌疑人众多的侵犯公民个人信息犯罪，要结合犯罪嫌疑人在共同犯罪中的地位、作用、主观恶性、犯罪情节等，依法区分主从犯，分类处理。对主犯、“职业惯犯”以及利用未成年人实施犯罪的，要依法从严处理，当捕则捕，当诉则诉，并建议从严判处实刑。对认罪认罚、积极退赃退赔，初犯、偶犯，作用较小、获利较少的从犯，要依法从宽处理，采取非羁押措施，依法不起诉或者建议判处缓刑。

（三）延伸职能，注重诉源治理。检察机关在办案中，要注意分析案件反映出的问题，加强与相关职能部门沟通，通过检察建议等方式提示风险、督促改进，及时堵塞社会治理漏洞，促进形成保护公民个人信息的合力。

案例四

陈某甲、于某、陈某乙

侵犯公民个人信息案

【关键词】

侵犯公民个人信息行踪轨迹信息情节特别严重

【基本案情】

被告人陈某甲，无业。

被告人于某，无业。

被告人陈某乙，无业。

2018年，陈某甲了解到“私家侦探”获利高。2020年，陈某甲决定从事“私家侦探”活动，后在网上发布信息，称可找人、查人，并注册了昵称为“专业商务调查”的微信号承揽业务。2020年12月，闵某（另案处理）通过网络搜索，联系到陈某甲，要求陈某甲寻找其离家出走的妻子郭某，并将郭某的姓名、照片、手机号码等提供给陈某甲。陈某甲于2021年1月、3月将郭某的手机号码交给他人（网络用名，正在进一步侦查确认），由该人获得郭某的手机定位后反馈给陈某甲。陈某甲则伙同于某等人在山西省吕梁市柳林县采取蹲点守候的方式，确认了郭某的具体位置，并向闵某提供。

2021年6月，闵某再次联系陈某甲要求帮助寻找其妻子。6月17日，陈某甲又采取上述方法获得了郭某的手机定位信息、快递地址信息。6月18日，陈某甲与于某、陈某乙三人驾车到达山西省吕梁市柳林县，与闵某一起蹲点守候到6月23日。后被害人郭某出现后，陈某甲等三人驾车离开。当日13时左右，闵某将郭某杀害。

经查，闵某先后支付陈某甲39500元。陈某甲分给于某9000元、分给陈某乙6000元。

【检察机关履职过程】

（一）审查逮捕

检察机关与公安机关召开案件分析会

山西省柳林县人民检察院在审查逮捕闵某涉嫌故意杀人案时，发现陈某甲、于某、陈某乙虽然不能认定为闵某故意杀人罪的共犯，但涉嫌侵犯公民个人信息犯罪，遂建议公安机关立案侦查。后公安机关以陈某甲、于某、陈某乙涉嫌侵犯公民个人信息罪提请批准逮捕。

2021年8月5日，柳林县人民检察院审查认为，陈某甲、于某、陈某乙出售公民行踪轨迹信息，被他人用于犯罪，造成被害人死亡的严重后果，属于侵犯公民个人信息“情节特别严重”，依法对三人作出批捕决定。批捕后，检察机关制发继续侦查提纲，建议公安机关进一步梳理闵某给陈某甲的转账证据，继续查找其他犯罪嫌疑人。

（二）审查起诉

2021年9月22日，公安机关将该案移送审查起诉。其间，陈某甲、于某的家属对被害人家属进行了赔偿，被害人家属对二人表示谅解。三人均认罪认罚，在辩护人见证下自愿签署具结书。检察机关根据被告人在犯罪中的地位、作用，认定陈某甲在共同犯罪中起主要作用，系主犯；于某、陈某乙在共同犯罪中起次要、辅助作用，系从犯。10月22日，检察机关将三名被告人以涉嫌侵犯公民个人信息罪提起公诉，并提出量刑建议。

（三）指控与证明犯罪

2021年12月16日，柳林县人民法院公开开庭审理。

审理期间，陈某乙对被害人家属进行了赔偿。三名被告人及辩护人对检察机关指控的事实、罪名均无异议。陈某甲的辩护人提出，被害人家属已谅解，陈某甲自愿认罪认罚，建议从轻处罚，并适用缓刑。

公诉人答辩指出，被告人通过采用手机定位、查看快递信息、蹲点守候等手段非法获取被害人郭某的个人信息并提供给闵某，闵某据此信息将被害人郭某找到并杀害。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的规定，出售或者提供行踪轨迹信息，被他人用于犯罪的，应当认定为“情节严重”；造成被害人死亡的，应当认定为“情节特别严重”。本案被告人陈某甲即属于“情节特别严重”的情形，依法应判处三年以上七年以下有期徒刑，虽然认罪认罚，可以依法从宽处理，但仍应判处三年以上有期徒刑，不符合适用缓刑的条件。

（四）裁判结果

2021年12月25日，柳林县人民法院采纳检察机关指控事实和量刑建议，认定三名被告人构成侵犯公民个人信息罪，判处陈某甲、于某、陈某乙有期徒刑三年至一年三个月不等，并处罚金。

【典型意义】

（一）非法获取、出售或者提供行踪轨迹信息，构成犯罪的，应当依法从严惩处。行踪轨迹信息属于公民个人信息。行为人出售或者提供行踪轨迹信息，被他人用于犯罪的，应认定为“情节严重”，依法构成侵犯公民个人信息罪。实施前述行为，造成被害人死亡等严重后果的，属于侵犯公民个人信息罪“情节特别严重”，依法应判处三年以上七年以下有期徒刑。

（二）强化行踪轨迹信息保护意识，维护自身安全。行踪轨迹信息可以直接定位特定自然人的具体位置，与公民的生命、健康、财产、隐私等息息相关。犯罪分子通过窃取、非法提供行踪轨迹信息谋取不法利益，严重危害公民人身、财产安全和社会管理秩序。生活中，要注意提高对快递地址、手机号码、定位信息等个人信息的保护意识和安全防范意识，防止被不法分子窃取利用。

案例五

韦某、吴某甲、吴某乙

侵犯公民个人信息案

【关键词】

侵犯公民个人信息行业“内鬼” 健康生理信息诉源治理

【基本案情】

被告人韦某，某医院产科主管护师。

被告人吴某甲、吴某乙，二人均系保健按摩中心个体经营者。

吴某甲、吴某乙在广西南宁市江南区经营一家保健按摩中心，主要是向产妇提供服务。为扩大客源，吴某甲向南宁市某医院产科主管护师韦某提出，由韦某提供产妇信息，并承诺每发展一名客户就给韦某50元或60元报酬，若客户后续办卡消费则另外向韦某支付10%的提成。

2018年至2020年6月，韦某便以写论文需要数据为由，通过欺骗有权限的同事登录该医院“护士站”系统查询产妇信息后拍照发给自己，或者自行通过科室办公电脑查询该医院“桂妇儿”系统产妇信息后拍照，不定期将上述产妇信息照片通过微信发给吴某甲，吴某甲、吴某乙则利用上述信息安排员工通过电话联系产妇发展客户。

经查，韦某向吴某甲、吴某乙出售包括产妇姓名、家庭住址、电话号码、分娩日期、分娩方式等在内的产妇健康生理信息500余条。

【检察机关履职过程】

（一）审查逮捕

2020年7月10日，公安机关对韦某、吴某甲、吴某乙提请批准逮捕。广西南宁青秀区人民检察院审查认为，韦某、吴某甲、吴某乙涉嫌侵犯公民个人信息罪，可能判处徒刑以上刑罚，因部分事实需进一步查证，不采取逮捕措施可能导致证据被毁灭，遂作出批捕决定。

（二）审查起诉

检察官与公安人员梳理研判案件证据

2020年9月11日，公安机关将该案移送审查起诉。10月12日，青秀区人民检察院将该案移送有管辖权的江南区人民检察院审查起诉。检察机关通过梳理韦某获取产妇健康生理信息的渠道、交易方式等，认定韦某非法获取、出售产妇公民个人信息数量500余条，依法应予定罪处罚。而且，韦某将其在履职过程中获得的信息出售给他人，依法应从重处罚。经释法说理，韦某等三人均认罪认罚，在辩护人见证下自愿签署具结书。10月26日，江南区人民检察院对韦某、吴某甲、吴某乙以侵犯公民个人信息罪提起公诉。

（三）指控与证明犯罪

2020年11月12日，江南区人民法院依法公开审理。

审理期间，韦某主动退赔违法所得。韦某、吴某甲及辩护人提出，涉案公民个人信息大部分隐私性不高，且未被用于其他违法犯罪活动；吴某乙及辩护人提出，吴某乙没有直接参与获取产妇信息，是从犯的辩护意见。

公诉人答辩指出，涉案信息不仅有产妇姓名、家庭住址、电话号码等一般信息，还涉及分娩日期、分娩方式等隐私信息，敏感程度高，韦某将在履职或者提供服务过程中获得的信息出售给他人，不仅侵害孕产妇的个人权益，还危害了整个医疗体系的信用，依法应从重处罚。吴某乙虽未直接参与获取信息，但与吴某甲共同出资购买信息，并用于经营活动，在共同犯罪中起主要作用，系主犯，应当按照其所参与的全部犯罪处罚。

（四）裁判结果

2020年12月16日，江南区人民法院采纳检察机关的指控事实和意见，认定韦某、吴某甲、吴某乙犯侵犯公民个人信息罪，分别判处韦某、吴某甲、吴某乙有期徒刑十个月，缓刑两年至有期徒刑六个月不等，并处罚金。

（五）综合治理

针对涉案医院对公民个人信息管理不善、对从业人员纪律约束不强、法治教育不足等问题，江南区人民检察院制发检察建议，促进涉案医院倒查信息安全管理状况，完善患者信息安全管理措施与制度，从源头防范公民个人信息泄露。

【典型意义】

（一）依法打击“行业”内鬼内外勾连出售公民个人信息犯罪活动。产妇分娩信息等是医院在开展医疗活动过程中掌握的公民健康生理信息。对于医护人员将其在履行职责或者提供服务中获得的产妇健康生理信息出售或者提供给他人的行为，构成犯罪的，应依法予以打击。对下游非法获取公民个人信息的犯罪也应依法打击，实现全链条惩处。

（二）通过检察建议促进诉源治理。行业“内鬼”泄露公民个人信息，反映出部分重点领域公民个人信息管理存在漏洞，内部监管机制不到位，相关从业人员法律意识淡薄。检察机关办案中应通过制发检察建议，督促医疗单位履行监管职责，完善对患者健康生理信息的安全管理制度，预防和杜绝泄露公民个人信息问题的发生。

【阅读原文】

2、勒索软件凶猛！比利时最大城市数字服务被迫中断

安全内参12月7日消息，由于合作的数字供应商日前遭受网络攻击，西欧国家比利时的安特卫普市的数字服务被迫中断，目前正努力恢复。

服务中断影响到当地市民、学校、日托中心和警署所使用的服务。截至目前，各项服务仍处于时断时续的不稳定状态。

资料显示，安特卫普市是比利时面积最大、人口最多的城市。

电子邮件和电话系统均已中断

针对这起事件的调查正在进行中。从已公布的少量信息来看，造成服务中断的应该是勒索软件攻击，但幕后黑手是谁尚不明确。

据比利时媒体《Het Laatste Nieuws》（简称HLN）报道，黑客实际是破坏了为城市提供管理软件的数字合作伙伴Digipolis的服务器，由此导致安特卫普的政务系统陷入瘫痪。

HLN还提到，几乎所有Widows应用程序都受到了影响。

一些部门的电话服务无法正常使用。维尔莱克区议员Alexandrad’Archambeau早些时候评论称，该市的电子邮件服务也出现了故障。

图：安特卫普市政决策使用的电子邮件和平台均已中断

比利时媒体《德斯坦达德报》（De Standaard）报道称，他们已经收到消息，造成事故的元凶正是勒索软件，但攻击者身份尚未确定。

事件还影响到该市的预订系统，服务中断导致人们无法正常领取身份证。截至目前，只有出行卡还可正常使用。

护理中心亦受到影响

受攻击影响的其他机构还包括安特卫普医疗保健公司（Zorgbedrijf Antwerpen），这是一家专为省内老年人提供住宿护理服务的组织。

该公司总经理Johan De Muynck表示，此次攻击导致用于跟踪患者治疗用药记录的软件无法工作。

为此，18个住宿护理中心的工作人员被迫改用纸笔记录，并依靠传统的纸质处方为老年患者们开药。

De Muynck表示，“现在，医生们只能重新签署处方，再把纸质处方送至药房。虽然文书工作量极大，但至少保证了患者们当天内就能拿到药品。估计明天早上，自动系统就会恢复运行。”

De Muynck补充道，好在数据库并未受到攻击影响，所以民众的个人信息仍然安全无忧。

目前还不清楚安特卫普市的IT系统何时才能完全恢复正常。该市市长表示，事件造成的影响可能持续到12月底。

尽管警察和消防部门也受到一定影响，但各项应急服务仍可正常运行。

一周多之前，Ragnar Locker勒索软件团伙刚刚泄露了从安特卫普省兹韦恩德雷赫特地方警局窃取到的数据。

比利时媒体将此事报道为该国最严重的公共服务信息失窃之一。据报道，团伙泄露的缓存数据包含过去16年间的车牌信息、犯罪报告文件、调查报告和罚款记录。

【阅读原文】

3、安卓远程键盘漏洞影响超200万用户

研究人员在3款远程键盘中发现7个安全漏洞，影响超过200万用户。

远程键盘APP允许用户将设备通过无线方式连接到计算机。Synopsys研究人员在3款远程键盘APP中发现多个安全漏洞，攻击者利用相关漏洞可以泄露用户键盘输入，并实现远程代码执行。受影响的3款APP在谷歌应用商店累计下载量超过200万次。

图谷歌play中的PC Keyboard和 Lazy Mouse

受影响的APP分别是PC Keyboard、Lazy Mouse、Telepad，受影响的版本既包括免费版，也包括付费版。研究人员在这3款APP中发现了弱认证机制或没有认证授权机制、不安全的通信等问题。漏洞CVE编号分别为：CVE-2022-45477：是Telepad APP中的安全漏洞，CVSS评分9.8分。攻击者利用该漏洞可以在非授权的请求下发送指令给服务器来执行任意代码，而无需认证或授权。

CVE-2022-45478：是Telepad APP中的安全漏洞，CVSS评分5.1分。攻击者利用该漏洞可以发起中间人攻击，并读取所有键盘输入。

CVE-2022-45479：是PC Keyboard APP中的安全漏洞，CVSS评分9.8分。攻击者利用该漏洞可以在非授权的请求下发送指令给服务器来执行任意代码，而无需认证或授权。

CVE-2022-45480：是PC Keyboard APP中的安全漏洞，CVSS评分5.1分。攻击者利用该漏洞可以发起中间人攻击，并读取所有键盘输入。

CVE-2022-45481：是Lazy Mouse APP默认配置中缺乏密码要求引发的安全漏洞，CVSS评分9.8分。未经认证的攻击者利用在漏洞可以在无需认证或授权的情况下执行任意代码。

CVE-2022-45482：是Lazy Mouse服务器弱密码要求，没有实现尝试次数限制。攻击者利用该漏洞可以暴力破解PIN码，并执行任意命令。

CVE-2022-45483：是Lazy Mouse APP中的安全漏洞，CVSS评分5.1分。攻击者利用该漏洞可以执行中间人攻击，并提取键盘输入。

目前，这三款APP都不再维护或支持。Telepad已从谷歌play应用商店移除，但仍然可以从官网下载。

继续使用有漏洞的APP可能会暴露用户敏感信息。远程攻击者成功利用漏洞可以在用户设备上执行任意代码。研究人员建议用户在下载远程键盘APP之前首先检查用户评分，阅读隐私政策，并检查是否是最新版本。如果可以的话，还应确认数据的数据是否是加密的。

【阅读原文】

2022年12月7日星期三

今日资讯速览：

1、男子自制小程序等获取个人信息4亿余条，卖给电诈团伙获利175万！法院判了！

2、勒索软件凶猛！法国巴黎又一医院暂停运营并转移患者

3、一种前所未见的恶意软件正在大肆清除俄罗斯重要数据

1、男子自制小程序等获取个人信息4亿余条，卖给电诈团伙获利175万！法院判了！

微信小程序在便捷民众生活的同时，

也存在泄露个人信息的风险。

湖南一男子就通过自制小程序

非法获取大量公民个人信息后，

贩卖给诈骗团伙从中牟利。

近日，湖南省汨罗市人民法院

依法审理了这起侵犯公民个人信息案。

基本案情

2020年8月，男子钟某为批量获取公民个人信息出售获利，自制“新查询”“新监控”二个小程序。其中，“新查询”小程序可以批量查询获取他人手机号码对应的微信号、微信昵称、性别以及是否实名认证等内容的公民个人信息；“新监控”小程序可以批量查询获取微信群群名、群内成员的微信号、微信昵称、入群方式、入群时间、退群时间等内容的公民个人信息。

证据图片

2020年9月至案发，钟某利用上述小程序批量查询获取公民个人信息后，出售给电信诈骗团伙进行诈骗活动，违法所得共计175.96万元。

2021年6月9日，钟某被汨罗市公安局抓获到案，公安人员在钟某的电脑及U盘内查获其非法获取的非重合的公民个人信息共计4.24亿条，并扣押现金156.8万元及多种虚拟货币。

法院判决

汨罗市人民法院审理认为，被告人钟某违反国家有关规定，非法获取公民个人信息，并向他人出售获利，情节特别严重，其行为已构成侵犯公民个人信息罪。同时，钟某的行为不仅侵犯了社会不特定多数人的个人信息权益，且威胁到广大人民群众的人身和财产安全，损害了社会公共利益，不仅应承担刑事责任，依法还应当承担相应的侵权民事责任。

最终，法院判处被告人钟某有期徒刑三年六个月，并处罚金175.96万元，退缴的违法所得175.96万予以没收，上缴国库。同时判令钟某承担公益损害赔偿金175.96万元，并在国家级以上新闻媒体公开赔礼道歉。

【阅读原文】

2、勒索软件凶猛！法国巴黎又一医院暂停运营并转移患者

安全内参12月6日消息，上周末，法国巴黎一家综合性医院遭到勒索软件攻击，被迫叫停医疗手术并转移了6名患者。

法国卫生部表示，凡尔赛医院中心目前已经陷入无计算机系统可用的困境，该医疗综合体旗下有两所医院与一家养老院。

6名患者中，3名转移患者来自重症监护室，另外3名则来自新生儿病房。法国卫生部长弗朗索瓦·布劳恩 (Francois Braun)周日警告称，此次攻击后可能还有更多患者需要被转移至其他位置，并导致“医院进行了全面组织调整”。

这位部长在推特上表示，“这种以法国民众健康为要挟的行为不可接受……我们正在动员一切专业人员，确保给予患者护理和照料。”

虽然医院内部重症监护室的关键设备仍在运行，但由于内部网络故障再加上员工人手不足，已经无法单独监控各设备发回的生命体征。

巴黎检察官已经对这起所谓“勒索未遂”案件展开初步调查。

近几月法国医疗机构频遭网络攻击

布劳恩表示，近几个月来，包括凡尔赛医院中心在内，法国的医疗保健服务机构“每天都会遭到攻击”。不过其中“绝大多数”攻击都被成功阻止。

今年8月，巴黎另一家医院Center Hospitalier Sud Francilien也遭到勒索软件攻击，经过数周时间才得以恢复。

该医院雇员和患者的敏感数据被勒索团伙发布至其官方主页。法国警方已将此次攻击的幕后黑手归因于LockBit勒索软件团伙。

针对本次攻击，外媒The Record已经联系卫生部、法国国家网络安全机构国家信息系统安全局（ANSSI）并提出置评请求。

就在攻击前不久，上任已有八年九个月的法国国家信息系统安全局局长Guillaume Poupard宣布即将离职。

【阅读原文】

3、一种前所未见的恶意软件正在大肆清除俄罗斯重要数据

卡巴斯基的研究人员发现了一种以前不为人知的恶意软件，称为CryWiper，用于对俄罗斯市长办公室和法院进行破坏性攻击。这种恶意软件会伪装成勒索软件，但实际上是一种数据擦除恶意软件，可以永久销毁受感染系统上的数据。目前有多少机构受到了攻击、该恶意软件是否成功擦除了数据等具体细节还不得而知。

卡巴斯基的报告声称，他们在仔细分析了恶意软件样本后发现，尽管这种木马伪装成勒索软件，向受害者勒索钱财以“解密”数据，但实际上并不加密数据，而是有意破坏受影响系统中的数据。此外，分析该木马的程序代码后发现，这不是开发人员的错误，而是其初衷。

数据擦除恶意软件在过去十年中已变得越来越常见。2012年，一种名为Shamoon的数据擦除软件对沙特阿拉伯的沙特阿美和卡塔尔的拉斯拉凡液化天然气公司（RasGas）造成了严重破坏。四年后，Shamoon的一个新变种卷土重来，攻击了沙特阿拉伯的多家组织。2017年，一种名为NotPetya的自我复制恶意软件在短短数小时内肆虐全球，造成的损失估计高达100亿美元。

专家认为，该恶意软件是专门针对 Windows 系统设计的，因为它使用了对 WinAPI 函数的多次调用。在执行后，CryWiper 使用任务计划程序和 schtasks create 命令创建一个任务，每 5 分钟运行一次其文件。擦除器使用 HTTP GET 请求联系命令和控制服务器，并将受感染系统的名称作为参数传递。C2 依次响应“运行”或“不运行”命令，以确定恶意软件是否必须启动。

在某些情况下，研究人员观察到执行延迟 4 天（345,600 秒）以隐藏感染背后的逻辑。收到运行响应后，CryWiper 使用 taskkill 命令停止与 MySQL 和 MS SQL 数据库服务器、MS Exchange 邮件服务器和 MS Active Directory Web 服务相关的进程。此操作会在加密之前解锁上述合法应用程序使用的文件。CryWiper 将停止与 MySQL、MS SQL 数据库服务器、MS Exchange 电子邮件服务器和 MS Active Directory Web 服务相关的关键进程，以释放锁定的数据以供销毁。

擦除器还会删除受感染机器上的卷影副本，以防止受害者恢复已擦除的文件。为了破坏用户文件，擦除器使用伪随机数生成器“Mersenne Vortex”生成一系列数据覆盖原始文件内容。该恶意软件还将.CRY 扩展名附加到它已损坏的文件中，并投放赎金票据（'README.txt'），要求 0.5 比特币用于解密。

报告总结到，CryWiper 会将自己定位为勒索软件程序，即声称受害者的文件已加密，如果支付赎金，则可以恢复。然而，这是一个骗局：事实上，数据已被销毁，无法归还。

【阅读原文】

2022年12月6日星期二

今日资讯速览：

1、ARR超2.5亿美元，Recorded Future成为全球最大威胁情报公司

2、谷歌修复了今年第九个积极利用的 Chrome 零日漏洞

3、微软联手国防承包商研发新的AR/VR工具以促进国家安全

1、ARR超2.5亿美元，Recorded Future成为全球最大威胁情报公司

2022年11月28日，总部位于波士顿的威胁情报公司Recorded Future宣布其年度经常性收入(ARR)已超过2.5亿美元，成为全球最成功的SaaS公司行列。这标志着该公司的一个重要里程碑，并巩固了其作为不断增长的市场领导者的地位，证明情报对于抵御融合的威胁至关重要。

“这一成绩使得Recorded Future成为全球最大的情报公司。”Recorded Future的CEO Christopher Ahlberg激动宣称，“我们的成功证明了不断增长的情报市场及其在安全方面发挥的重要作用。”

ARR和威胁情报SaaS订阅

ARR（Annual Recurring Revenue）即年度经常性收入，是衡量SaaS企业经营优劣的基本指标，一般是指SaaS的订阅模式这部分收入。ARR的特别之处在于收入的「经常性」，也就是说如果没有特别情况，这个收入明年会继续有（且数额也不会有太大的波动），因此ARR也经常被用作评判未来SaaS收入可衡量和可预测性的核心指标。

威胁情报业务中，符合SaaS订阅模式收入的可以分为TI Feed和TI Lookup两种常见形态，Recorded Future两者均支持。

关于Insight Partners

Recorded Future于2019年5月被美国知名私募基金Insight Partners以7.8亿美金并购。

Insight Partners专注于软件领域的投资与并购，拥有超过25年的运营和投资经验，截至2022年2月24日管理的资产超过900亿美元。InsightPartners对安全领域非常关注，有众多成功的投资、IPO和退出记录，迄今Portfolio中依然还有57个安全公司，许多都是新兴技术领域的明星厂商，如OneTrust、Wiz、INKY、Aqua、Island等等。

威胁情报SaaS订阅在国内

TI Feed和TI Lookup这两种SaaS订阅模式，也同样被国内许多威胁情报厂商所采用。近年国内兴起的TI Inside合作生态，是订阅模式逐步走向成熟的一个例证。

【阅读原文】

2、谷歌修复了今年第九个积极利用的 Chrome 零日漏洞

Hackernews 编译，转载请注明出处：

谷歌为Chrome网络浏览器推出了紧急安全更新，以解决一个新的零日漏洞，该漏洞在野外被积极利用，追踪为CVE-2022-4262。

CVE-2022-4262漏洞是V8 JavaScript中的一个类型混淆漏洞。

2022年11月29日，谷歌威胁分析小组的Clement Lecigne报告了该漏洞。

谷歌没有分享有关该漏洞的技术细节，以允许用户更新其Chrome安装。无论如何，黑客可以利用该漏洞来实现任意代码执行。

谷歌通过发布适用于Mac和Linux的108.0.5359.94以及适用于Windows的108.0.5359.94/.95修复了零日漏洞，该公司计划在未来几天/几周内推出。

CVE-2022-4262 是谷歌今年解决的第九个积极利用的Chrome零日漏洞，以下是这家科技巨头修复的其他零日漏洞列表：

CVE-2022-4135（11月25日）– GPU中的堆缓冲区溢出漏洞。
CVE-2022-3723（10月28日）– V8 Javascript引擎中的类型混淆漏洞。
CVE-2022-3075（9月2日）– Mojo运行库集合中的数据验证不足。
CVE-2022-2856（8月17日）– Intents中不可信输入的验证不足。
CVE-2022-2294（7月4日）– Web实时通信（WebRTC）组件中的堆缓冲区溢出。
CVE-2022-1364（4月14日）– V8 JavaScript引擎中存在的类型混淆漏洞。
CVE-2022-1096（3月25日）– V8 JavaScript引擎中的类型混淆漏洞。
CVE-2022-0609（2月14日）– 在动画组件中释放问题后使用。

建议Chrome用户尽快更新其安装，以消除试图利用零日漏洞的攻击。

【阅读原文】

3、微软联手国防承包商研发新的AR/VR工具以促进国家安全

根据微软11月29日发布的一篇博客文章，该近几个月与BAE Systems和其他公司建立了合作伙伴关系，以寻求国防部的游戏、演习、建模和模拟或GEMS合同。

微软联邦国防副总裁韦斯·安德森在博文中表示，该公司及其合作伙伴正在使用微软Azure的云平台和服务来开发GEMS功能。微软很乐意再次参加今年022年11月28日至12月2日在佛罗里达州奥兰多举行的军种/行业培训、模拟和教育会议(I/ITSEC)，分享其如何支持美国武装部队，通过带来最好的游戏、演练、建模和模拟(GEMS)功能，帮助他们比以往更安全、更有效地分析、实验和训练。借助超大规模Microsoft Azure的力量，Microsoft和其强大的合作伙伴生态系统正在开发创新功能，为任务领导者释放新机会，将数据转化为行动。微软对GEMS的关注旨在实现跨越物理和虚拟世界的人与机器之间的新水平协同推理。

为此，Microsoft实现了快速的世界级数据摄取和洞察力生成，并提供了解决特定目标所需的灵活性和适应性。Lockheed、BAE Systems其他公司正在使用这家西雅图巨人的Azure云平台来开发培训和演练系统。

国防部将更先进的GEMS能力视为维持现代军事力量的重要组成部分。国防科学委员会2021年1月的一份关于GEMS的报告指出，在“系统开发、采购、训练、威慑和作战”方面，“有必要增加GEMS的使用，以确保国防部能够应对未来的挑战”。

国防部进行更准确模型和模拟的能力对于五角大楼预测和充分准备应对未来威胁的能力也起着重要作用。国防部2022年核态势评估——其公开版本于10月27日发布——部分指出，“情报分析、模拟和兵棋推演、‘红队’和其他手段为美国领导人提供了可操作的见解，有助于减轻”核升级和误判的风险。

鉴于国防部增强其GEMS能力的需求日益增长，微软最近几个月更加重视与致力于为国防部门开发和支持建模和仿真技术的公司和机构合作。这些合作在很大程度上集中在使用Microsoft Azure来支持被视为对下一代作战至关重要的平台和新兴技术的公司。

BAE Systems也于29日宣布，他们将使用Microsoft Azure来托管他们的Pioneer兵棋推演平台，他们将其描述为“一个系统的系统，可以实现跨多个领域的兵棋推演，包括陆地、空中、海洋、太空和网络。” 同一天，总部位于伦敦的云计算初创公司Hadean还宣布，它将致力于将其“元宇宙基础设施”与Microsoft Azure集成，以“生产适合用途的强大解决方案，这些解决方案可以快速切割数据并为政府机构、国防承包商和武装部队的客户。”

周一（28日），虚拟现实和增强现实公司VRAI发布了类似的公告，称他们还将使用Microsoft Azure“为军事终端用户带来下一代模拟能力”。

微软在其博文中表示，通过将物理世界带入数字规模，利用数字孪生和人工智能服务的力量在全球范围内构建解决方案，并推动自主努力以帮助获得新的见解和分析，他们正在帮助任务领导者跟上快速发展的步伐世界。

无论您是在开发严肃的游戏还是模拟游戏以加快自主资产的使用，Microsoft决方案都是模块化的并且可以适应任务需求。这意味着您可以构建、训练和部署专为特定任务目标设计的 AI 模型——帮助推动洞察力，从而在需要的时间和地点做出关键决策。分布式培训解决方案支持通过云进行远程参与，所有这些都受到最高机密级别的保护。

这些功能是推动任务领导者实现价值的关键。Microsof的GEMS解决方案允许实时交互、迭代和适应性，减少模拟与现实世界之间的差距。可重复、可复制的模拟减少冷启动，并帮助国家安全规划人员随着全球环境的变化快速启动和调整模拟。借助一套丰富的值得信赖的生产力和协作工具，战略游戏分析师可以从包括文本和语音数据在内的大量数据源中获取参与者的见解，以推动更深入的理解和洞察力。

本月早些时候，微软还宣布与洛克希德马丁公司达成协议，共同致力于国防部四个关键的GEMS相关技术领域，包括机密云创新；人工智能/机器学习和建模与仿真能力；5G.MIL技术；和数字化转型工作。

安德森表示，与洛克希德马丁公司的战略合作伙伴关系将使该公司能够“以微软GEMS技术和Azure功能为基础，使洛克希德马丁公司及其客户能够测试军事平台和技术，为数字平台上的联合全领域作战提供动力。”

虽然微软最近优先考虑与其他以国防为重点的公司建立合作伙伴关系，但他们此前曾于5月宣布与海军研究生院合作，研究将新兴技术引入海军的方法。这项正在进行的工作包括探索“海军和海军陆战队可以利用游戏、演习、建模和模拟来帮助作战指挥官做出更快更好的决策的方式。”

微软还将与多个行业合作伙伴一起支持国家培训和模拟协会的Multi-Verse Training Environment (MVTE)。MVTE展示一种端到端的沉浸式解决方案，该解决方案利用创新技术来压缩空间和时间并同时提供上下文和内容，从而提供更快、更有效的培训。

微软最近与BAE Systems、Hadean和VRAI合作的消息发布之际，该公司参加了本周在佛罗里达州奥兰多举行的服务间/行业培训、模拟和教育会议，组织者称其为“世界上最大的建模、模拟和培训事件。”

【阅读原文】

2022年12月5日星期一

今日资讯速览：

1、三星小米等厂商均受影响，谷歌披露威胁数百万安卓设备的高危漏洞

2、CISA发布工业控制系统建议，多个关键漏洞影响三菱电机PLC

3、【安全圈】中国科大在蓝牙协议方面发现重要安全漏洞，iOS / 安卓 / 鸿蒙设备都躲不过

1、三星小米等厂商均受影响，谷歌披露威胁数百万安卓设备的高危漏洞

IT之家 12 月 3 日消息，谷歌安卓合作伙伴漏洞计划（APVI）网站上的一个新帖子中，曝光了一个影响数百万安卓设备的安全漏洞。黑客利用该漏洞，就能够在三星、LG、小米等诸多 OEM 厂商品牌手机中植入恶意软件。而且这些恶意软件可以获得系统级别的最高权限。

三星小米等厂商均受影响，谷歌披露威胁数百万安卓设备的高危漏洞

IT之家了解到，这个安全漏洞的关键就是平台证书。谷歌员工和恶意软件逆向工程师卢卡兹・塞维尔斯基（Łukasz Siewierski）率先发现了这个证书问题，他表示这些证书或签名密钥决定了设备上安卓版本的合法性。供应商也使用这些证书来签署应用程序。

三星小米等厂商均受影响，谷歌披露威胁数百万安卓设备的高危漏洞

虽然安卓系统在安装时为每个应用程序分配了一个独特的用户 ID（UID），但共享签名密钥的应用程序也可以有一个共享的 UID，并可以访问对方的数据。而通过这种设计，与操作系统本身使用相同证书签署的应用程序也能获得同样的特权。

而问题的关键是，部分 OEM 厂商的安卓平台证书泄露给了错误的人。这些证书现在被滥用于签署恶意应用程序，使其具有与安卓系统相同的权限。这些应用程序可以在受影响的设备上可以不和用户交互，直接获得系统级权限。因此安卓设备一旦感染，就能在用户不知情的情况下获取所有数据。

【阅读原文】

2、CISA发布工业控制系统建议，多个关键漏洞影响三菱电机PLC

美国网络安全和基础设施安全局（CISA）上周发布了一份工业控制系统（ICS）咨询报告，警告三菱电机GX Works3工程软件存在多个漏洞。如果成功利用这些漏洞可使未经授权的用户获得对MELSEC iQ-R/F/L系列CPU模块和MELSEC iQ-R系列OPC UA服务器模块的访问权，或查看和执行程序。

GX Works3是ICS环境中使用的工程工作站软件，作为从控制器上传和下载程序的机制，排除软件和硬件问题，并执行维护操作。广泛的功能也使该平台成为希望破坏此类系统以控制被管理的PLC的威胁者的诱人目标。

10个缺陷中有3个与敏感数据的明文存储有关，4个与使用硬编码的加密密钥有关，2个与使用硬编码的密码有关，1个涉及保护不足的凭证情况。

其中最关键的漏洞CVE-2022-25164和CVE-2022-29830的CVSS评分为9.1，可以被滥用，以获得对CPU模块的访问，并获得项目文件的信息，而不需要任何权限。

发现CVE-2022-29831（CVSS评分：7.5）的Nozomi Networks表示，能够访问安全PLC项目文件的攻击者可以利用硬编码密码直接访问安全CPU模块，并可能破坏工业流程。

报告指出：“工程软件是工业控制器安全链中的一个重要组成部分，如果其中出现任何漏洞，对手可能会滥用这些漏洞，最终破坏所管理的设备，从而破坏受监督的工业流程。"

CISA披露了三菱电机MELSEC iQ-R系列的拒绝服务（DoS）漏洞的细节，该漏洞源于缺乏适当的输入验证（CVE-2022-40265，CVSS评分：8.6）。

CISA指出："成功利用这个漏洞可以使远程未认证的攻击者通过发送特制的数据包在目标产品上造成拒绝服务的情况。

在一个相关的发展中，网络安全机构进一步概述了影响霍纳自动化公司的远程紧凑型控制器（RCC）972的三个问题，其中最关键的问题（CVE-2022-2641，CVSS评分：9.8）可能导致远程代码执行或引起DoS条件。

【阅读原文】

3、【安全圈】中国科大在蓝牙协议方面发现重要安全漏洞，iOS / 安卓 / 鸿蒙设备都躲不过

据中国科学技术大学官方消息，近日，中国科学技术大学网络空间安全学院薛开平教授团队在移动设备蓝牙安全研究中取得重要进展。团队成员实现了在用户无感知、无交互、无需恶意程序配合的情况下，通过蓝牙协议漏洞对目标设备进行了有效攻击。

相关研究成果发表于网络安全领域顶级会议 ACM Conference on Computer and Communications Security 2022 （CCS 2022）上，并获得大会的 Best Paper Honorable Mention 奖项。在研究过程中，此项研究所发现的蓝牙协议相关的 7 个高危漏洞、2 个中危漏洞被国家信息安全漏洞共享平台（CNVD）定级并收录。

据介绍，该项研究针对经典蓝牙协议进行安全性分析，首次发现蓝牙设备非固定角色等安全漏洞，结合已知蓝牙协议漏洞，逐次突破经典蓝牙认证、加密、授权等各项防御机制，实现在用户无感知无交互且无需恶意程序配合的情况下静默构建提权攻击链路，并利用该链路完成对目标设备的命令注入与信息窃取等攻击。

此项研究在 Android、iOS、iPadOS、macOS、HarmonyOS 等主流操作系统的各类智能设备中进行了广泛的测试，并在所有被测设备中发现了相关漏洞并完成攻击流程。

网络空间安全学院博士生艾明瑞是该论文的第一作者，网络空间安全学院薛开平教授是该论文的通讯作者，论文的共同作者还包括堪萨斯大学的罗勃教授、网络空间安全学院俞能海教授、孙启彬研究员、信息科学与技术学院吴枫教授等。

【阅读原文】

2022年12月2日星期五

今日资讯速览：

1、12月1日起施行！一图看懂《中华人民共和国反电信网络诈骗法》

2、澳大利亚《隐私法》迎来重大修订：严重或多次违法至少重罚5000万澳元

3、亲俄黑客组织Killnet发起“总攻”预热，星链瘫痪数小时

1、12月1日起施行！一图看懂《中华人民共和国反电信网络诈骗法》

《中华人民共和国反电信网络诈骗法》已由中华人民共和国第十三届全国人民代表大会常务委员会第三十六次会议于2022年9月2日通过，自2022年12月1日起施行。《中华人民共和国反电信网络诈骗法》共七章50条，包括总则、电信治理、金融治理、互联网治理、综合措施、法律责任、附则等，立足各环节、全链条防范治理电信网络诈骗，精准发力，为反电信网络诈骗工作提供有力法律支撑。

【阅读原文】

2、澳大利亚《隐私法》迎来重大修订：严重或多次违法至少重罚5000万澳元

2022年11月28日，澳大利亚议会正式通过《2022年隐私法修订案（执行和其它措施）》（Privacy Legislation Amendment (Enforcement and Other Measures) Bill 2022），本次修订大幅提高了对于严重或多次侵犯隐私行为的处罚力度，并赋予澳大利亚信息专员办公室（OAIC）更广泛的监管权力。之前，澳大利亚《隐私法》下最高罚款为 222 万澳元（约合人民币 1076 万元）。修订后，此项罚款金额至少为5000万澳元（约合人民币 2.42 亿元），或为滥用个人信息所获利润的3倍与公司在相关期间调整后营业额的30%之中的较高者（当其高于5000万澳元时）。

澳大利亚信息专员兼隐私专员Angelene Falk表示，本次修订将使澳大利亚《隐私法》与竞争和消费者的救济措施，以及国际上诸如欧洲《通用数据保护条例》下的法律责任规定更加一致。与此同时，本次修订也是在对1988年《隐私法》进行全面修订之前迈出的积极一步，将更好为个人隐私提供保护。此外值得注意的是，本次修订案还对域外效力条款进行了简化，将有助于确保在澳大利亚开展业务的外国公司遵守澳大利亚《隐私法》。

导读系本公众号原创，转载请注明文字出自本公众号。

本文源自：澳大利亚信息专员办公室（OAIC）

【阅读原文】

3、亲俄黑客组织Killnet发起“总攻”预热，星链瘫痪数小时

本周三，亲俄黑客组织Killnet宣称已经完成对埃隆·马斯克的星链（Starlink）、白宫官网（WhiteHouse.gov）和威尔士亲王网站的“测试攻击”。安全公司Trustwave的研究人员确认了上述攻击的真实性。

星链瘫痪数小时

Killnet及其黑客合作者团伙在宣言中声称，他们完成了三次“试探性的”DDoS攻击，旨在惩罚支持乌克兰的一些最关键的力量，包括马斯克的Starlink卫星宽带服务以及美国白宫和英国威尔士亲王的网站。

Killnet声称在11月18日通过DDoS攻击关闭了Starlink服务。同一天，网络安全公司Trustwave的研究人员在Reddit上发现Starlink客户抱怨他们几个小时内无法登录帐户。

Killnet在Telegram上发布消息称：“同志们久等了，对星链发动的集体DDoS攻击导致没有人可以登录Starlink。”

马斯克的星链对乌克兰军队的战场情报和指挥至关重要。11月初，黑客组织“Joker DPR”（顿涅兹克小丑）宣称成功入侵乌克兰武装部队(AFU)使用的所有军事指挥和控制程序，包括可接入北约ISR系统的美国Delta数字地图战场指挥系统。根据Joker DPR泄露的信息，该系统目前是乌克兰部队主要使用的战场指挥系统，且严重依赖星链网络提供的通讯服务。

据悉有大量黑客组织参与了Killnet围剿星链的DDoS攻击活动，包括Anonymous Russia，Msidstress，Radis，Mrai和Halva。

根据Cyberknow的统计，全球目前有36家黑客组织宣布支持乌克兰，有40家支持俄罗斯，具体如下：

白宫，威尔士亲王网站被针对

除了星链，Killnet还宣称在11月17日成功地在白宫网站上实施了“30分钟的试探性攻击”。

“当然，我们希望攻击持续更长的时间，但没有考虑到请求过滤系统的强度，”Killnet补充道：“即便如此!白宫官网还是在所有人面前被搞瘫了！”

据Trustwave透露，白宫动用了军用级保护来抵御Automattic的DDoS攻击。

数日后，即11月22日，Killnet又发起了另一次DDoS攻击，这次是针对威尔士亲王的网站，并警告说英国医疗系统将是下一个目标。Killnet还威胁未来将对伦敦证券交易所，英国陆军等重要目标实施攻击。

尽管目标雄心勃勃，但Trustwave表示，Killnet及其网络犯罪团伙还不够先进，无法实施比基本DDoS攻击更高级的攻击。

“我们应该期待看到更多来自Killnet的低技能攻击，针对越来越多与俄罗斯作对的目标，”Trustwave在周二关于Killnet DDoS攻击的报告中表示：“然而，该组织的攻击力能否升级到造成损害、泄露数据或长时间瘫痪网站还有待观察。”

周四发动大规模攻击

在星链和白宫官网“小试牛刀”后，Killnet在社交网络上号召数以千计的俄罗斯黑客本周四对敌人发起大规模集体攻击（主要为网站篡改、垃圾邮件、DDoS等低技能攻击），参与攻击的黑客将得到加密货币作为奖励（下图）。

Killnet宣称本周四的第一波攻击将拿拉脱维亚开刀，因为后者宣布支持向乌克兰提供武器：

Killnet公布了拉脱维亚政府目标网站的网址和IP地址，同时还呼吁得到俄罗斯政府的支持，这表明Killnet期望能够得到类似乌克兰IT部队的官方认可和支持。

【阅读原文】

2022年12月1日星期四

今日资讯速览：

1、英国政府修订网络安全法，严禁社交媒体吸纳儿童用户

2、卡巴斯基 | 2023年高级威胁预测，邮件服务器和卫星成主要目标

3、北约举行年度旗舰网络防御演习“网络联盟”

1、英国政府修订网络安全法，严禁社交媒体吸纳儿童用户

据英国《每日电讯报》11月28日报道，根据英国一项保护儿童免受网络伤害的新法律，社交媒体公司须禁止低龄儿童进入，否则将面临数以百万计英镑的罚款。

英国政府将于29日公布修订后的网络安全法案，该法案规定各大公司必须公布针对用户的年龄限制条款，便于家长和英国通信管理局（Ofcom）核验。

英国文化部部长米歇尔·多尼兰表示，当她负责该法案时，加强儿童保护是她的“红线”，必须确保科技公司保护儿童免受有害内容的影响，包括性虐待和网络欺凌。

根据修订后的法案，社交媒体公司需要规定用户的最低年龄，它们现在必须在服务条款中明确规定并解释他们用于执行这一规定的措施。这可能包括使用年龄验证技术，该技术要求用户提供由第三方认证的官方身份，以维护安全和隐私。

科技公司还必须公布其网站对儿童构成的危险的风险评估。此前，Facebook内部研究表明，这家科技巨头知道Instagram对少女心理健康存在一定的风险，以及贩毒集团和人贩子在其应用上普遍存在。

根据该法案，如果不遵守公布的条款（包括年龄限制），将面临高达全球营业额10%的罚款。对于Facebook和Instagram的母公司Meta来说，这将高达120亿美元。

据英国媒体报道，几乎所有的社交媒体网站都不允许13岁以下儿童创建账号，但英国通信管理局的数据显示，英国三分之一5至7岁儿童和60%的8至11岁儿童拥有自己的社交媒体资料。这表明，英国有多达180万13岁以下的儿童拥有社交媒体账户。

【阅读原文】

2、卡巴斯基 | 2023年高级威胁预测，邮件服务器和卫星成主要目标

去年，Karspersky也做了2022年度的预测。但自去年的预测以来，世界发生了巨大的变化。地缘政治格局仍在持续不断的变化，但网络攻击却与之相反——它仍是一个持续的危险，而且没有任何消退的现象。无论身处何处，世界各地的人们都应该为网络安全事件做好准备。对此，一项有益的工作就是设法预见未来网络威胁的发展趋势以及可能发生的重大事件。

Karspersky将注意力转向了未来，报告指出了2023年可能看到的发展与事件。

破坏性攻击的兴起

历史表明，地缘政治的变化总是会转化为网络活动的增加——有时是出于收集情报的目的，有时是作为外交信号的一种方式。随着东西方之间的冲突水平加剧，Karspersky预计2023年将出现前所未有的严重的网络攻击行为。

具体而言，预计明年出现的破坏性网络攻击数量将创纪录，并且影响政府部门和一些重要行业。值得注意的是，一部分网络攻击很可能难以追踪，不易被定为网络攻击事件，从而看起来更像是随机事故。其余的攻击将采取伪勒索软件攻击或黑客活动的形式，以便为真正的攻击者提供合理的推诿。

此外，还有可能会发生一些针对重要民用基础设施（例如能源电网或公共广播）的网络攻击。由于面对物理破坏行为时，水下电缆和光纤集成器特别难以保护，因此，它们也是一个值得关注的问题。

邮件服务器成为优先目标

在过去的几年里，Karspersky发现研究网络安全脆弱性的人员越发地关注电子邮件软件。这是因为它们代表了巨大的软件栈、必须支持多种协议，并且必须面向互联网才能正常运行。一些知名企业，如Microsoft Exchange和Zimbra都面临着严重的漏洞(预认证RCEs)，在补丁可用之前，攻击者有时就会大规模地利用这些漏洞。

事实上，对邮件软件漏洞的研究才刚刚开始。邮件服务器面临着双重难题：一方面它是APT参与者感兴趣的关键情报的避风港，另一方面它也是可以想象到的最大的攻击面。

对于所有主要的电子邮件软件而言，2023年很可能是充斥着零日漏洞的一年。系统管理员应当立即对这些机器进行监视，因为即使是及时的补丁也不足以保护它们。

下一个WannaCry

据统计，一些规模最大、影响最大的网络流行病每6-7年发生一次。这类事件的最近一次是臭名昭著的WannaCry勒索软件蠕虫，它利用极其强大的“EternalBlue”漏洞自动传播到易受攻击的机器上。

幸运的是，能够生成蠕虫的漏洞较为罕见的，并且需要满足许多条件才能使用(如漏洞利用的可靠性、目标机器的稳定性等)。很难预测下次什么时候会发现这样的bug，但Karspersky大胆猜测并将其标记在明年。做出这一预测是因为，世界上最老练的行为者很可能至少拥有一种此类的漏洞，而当前的紧张局势极大地增加shadowbrokers式黑客入侵和泄密(见下文)发生的可能性。

APT目标转向卫星技术、卫星生产商和运营商

自美国战略防御计划（绰号“星球大战”）考虑将军事能力扩展到包括太空技术以来，已经过去了近40年。尽管这在1983年看来了似乎有点牵强，但事实上已经有了几次国家成功干扰绕地卫星的实例。

如果Viasat事件是一个迹象，那么APT威胁行为者很可能在未来会越来越多地将注意力转向操纵和干扰卫星技术，从而使此类技术的安全性变得更加重要。

黑客入侵和泄密

显而易见的是，一种新的混合冲突形式——“网络战”正在展开，其中黑客和泄密行动。

这种作案手法包括侵入目标主体并公开内部文件和电子邮件。勒索软件组织已经将这种策略作为对受害者施加压力的一种方式，但APT可能会利用它来达到纯粹的破坏目的。过去，APT参与者曾泄露竞争威胁集团的数据，或创建网站传播个人信息。虽然很难从旁观者的角度评估它们的有效性，但毫无疑问，它们现在是未来威胁形势的一部分，而2023年将会产生大量相关案例。

更多APT集团将从CobaltStrike转向其他替代品

2012年发布的CobalStrike是一个威胁模拟工具，旨在帮助了解攻击者渗透网络的方法。不幸的是，与Metasploit框架一起，它已经成为网络犯罪集团和APT威胁行为者的首选工具。然而，Karspersky认为一些威胁行为者将开始使用其他替代办法。

其中一个替代方案是Brute Ratel C4，这是一个特别危险的商业攻击模拟工具，因为它的设计避免了防病毒和EDR保护的检测。另一个则是开源进攻工具Sliver。

除了威胁行为者滥用的现成产品外，APT还可能利用其他工具。Manjusaka是其中之一，它被宣传为CobaltStrike框架的仿造品。该工具的植入物是用Windows和Linux的Rust语言编写的。用Golang编写的C&C的全功能版本是免费的，可以使用自定义配置轻松生成新的植入物。另一个是Ninja，这是一个提供大量命令的工具，它允许攻击者控制远程系统，避免检测并深入目标网络内部。

总的来说，Karspersky怀疑CobaltStrike受到了防御者的太多关注(特别是当涉及到基础设施时)，APT将尝试多样化他们的工具集，以保持不被发现。

SIGINT-delivered恶意软件

距离斯诺登曝光美国国家安全局使用的FoxAcid/Quantum黑客系统已经过去了近10年。这些手段包括利用“与美国电信公司的合作关系”，将服务器放置在互联网骨干网络的关键位置，使它们能够实施攻击。这是可以想象的最强大的攻击载体之一，因为它们允许受害者在没有任何交互的情况下被感染。毫无疑问，许多组织为获得这种能力而不懈努力。虽然大规模部署它需要少数人拥有的政治和技术力量，但就目前而言，类似量子的工具很可能将在地方层面实现。

这种攻击极难发现，但Karspersky预测，它们变得越来越普遍，并将在2023年发现更多此类攻击。

无人机黑客

尽管标题听起来十分华丽，但讨论的并不是用来监视甚至军用的无人机的黑客攻击。最后一个预测是：使用商业级无人机来实现近距离黑客攻击。

年复一年，公众可用的无人机已经有了更远的射程和更强的能力。安装一个恶意的Wi-Fi接入点或IMSI捕捉器并不费劲，或者只需足够的工具，就能收集用于离线破解Wi-Fi密码的WPA握手。另一种攻击方案是使用无人机在限制区域放置恶意USB密钥，希望路人会捡起它们并将其插入机器。总而言之，这将是一个很有前途的攻击媒介，可能会被大胆的攻击者或擅长物理入侵和网络入侵并用的专家使用。

【阅读原文】

3、北约举行年度旗舰网络防御演习“网络联盟”

北约2022年“网络联盟”演习（Cyber Coalition 22）于11月28日在爱沙尼亚塔林举行，并将持续到12月2日。该网络演习是北约年度旗舰集体网络防御演习，也是世界上同类演习中规模最大的演习之一，旨在增强北约、盟国和合作伙伴保卫其网络和在网络空间共同行动的能力。

“网络联盟”是一项集体活动而非竞争性活动，参与者共同努力以实现特定目标，而不是开展竞争以解决问题或完成特定任务。“网络联盟”寻求三项主要目标：

● 运用现有的北约、盟国和合作伙伴间的互动机制，以改善网络空间领域内的协作。

● 通过发展态势感知、共享网络空间情报和进行网络事件管理，增强联盟为军事和民用实体开展网络空间行动的能力。

● 通过提供一个平台来识别能力差距、培训要求和验证正在开发的程序，为北约网络空间转型提供输入，以支持网络战的发展并改进网络教育和培训。

今年演习期间，来自26个盟国以及6个北约伙伴国（芬兰、格鲁吉亚、爱尔兰、日本、瑞典和瑞士）、欧盟的约1000名网络防御人员以及来自业界和学术界的参与者将接受培训，以应对现实生活中的网络挑战，例如对运行中的电网、程序和北约及盟国资产的网络攻击。韩国作为受邀观察员国参加了此次演习。

2022年“网络联盟”演习为协作、经验共享、最佳实践和实验提供了一个独特的平台。通过共同努力，个人参与者以及其所在组织、国家和北约可以增强网络弹性。自2008年以来，“网络联盟”一直是北约计划已久的年度演习。

该演习由北约盟军转型司令部在军事委员会的管理下计划和实施，汇集了由北约机构、北约盟国和合作伙伴组成的网络联盟，以加强联盟在网络空间和通过网络空间威慑、防御和反击威胁的能力，通过合作和网络空间行动支持北约的核心任务，并为北约转型提供投入。

2022年“网络联盟”演习通过爱沙尼亚网络安全演习和培训中心（CR14）执行，该中心是塔林支持北约盟国和合作伙伴的最新网络靶场。培训受众和当地培训师通过虚拟网络从各自的国家和实体参与，一个小型演习控制小组聚集在爱沙尼亚执行演习。

2022年“网络联盟”演习是网络空间实验和支持北约网络领域能力发展和转型的理想场所。

北约盟军转型司令部将在2022年“网络联盟”演习期间与其他北约机构、北约国家、业界和学术界合作开展三项实验。这些实验旨在评估人工智能支持的工具是否可以帮助检测网络威胁并以更快、自动化的方式保护网络；展示近实时使用机器可读/可用防御性网络信息的现有技术；实时捕获公开可用信息，包括社交媒体提要，以生成仪表板并测试其对操作级网络空间态势感知的有用性。

虽然根据虚构场景开展，但此次演习适应了当前的地缘政治形势（今年演习受到俄乌战争的严重影响）以及威胁任何参与国的现实世界可能面临的挑战。目标是提出一种现实的网络攻击防御状态，并鼓励开发在实际情况下有用的能力。

爱沙尼亚国防部长汉诺·佩夫库尔表示，“虽然我们听闻甚少，但甚至在2月24日之前就开始发生针对乌克兰开展的网络行动。针对盟国的网络攻击也每天都在发生，但对攻击的抵制绝不是不言而喻的——这就是为什么盟国需要在北约层面演练所有可能的场景，以便在未来我们可以回答有关网络攻击的问题。”

来自美国海军的演习主管查尔斯·埃利奥特表示，“盟友致力于保护其关键基础设施，建立弹性并加强网络防御。我们将在未来继续提高对此类恶意网络活动的警惕，并相互支持以威慑、防御和反击全方位的网络威胁，包括考虑可能的集体应对措施。”

此次演习将使北约盟国加强全天候保护信息技术网络免受网络攻击的能力，并与盟国和伙伴实时交换有关网络攻击的信息。

网络防御是北约集体防御的核心任务。在2022年6月的马德里峰会上，北约盟国承诺进一步努力增强网络防御能力，并与业界和欧盟等其他主要利益相关方展开合作。

【阅读原文】

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

最后于 2022-12-31 10:59 被Editor编辑，原因：

#资讯

收藏・0

免费・1

支持

最新回复 (0)
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Editor

1588

发帖

4397

回帖

135

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

[推荐]【每日资讯】 | 思科Talos报告：威胁分子使用已知的Excel漏洞 | 2022年12月31日 星期六

2022年12月31日 星期六

今日资讯速览：

1、思科Talos报告：威胁分子使用已知的Excel漏洞

2、LastPass 安全事件持续发酵，破解常规主密码只需 100 美元

3、马斯克疯狂裁员75%后，推特出现全球宕机

2022年12月30日 星期五

今日资讯速览：

1、美国法院、警察局遭到 LockBit 勒索软件攻击

LockBit 勒索软件团伙

2、首个“开源ChatGPT”来了：基于谷歌5400亿参数大模型，华人小哥出品，网友吐槽：这谁能跑？

开源了但没完全开？

3、加拿大最大儿童医院遭勒索攻击，一周仍未恢复系统

2022年12月29日 星期四

今日资讯速览：

1、罚款7.25亿美元，Facebook因数据泄露再被罚

2、谷歌在Gmail中引入端到端加密

3、首次！美国政府立法推动改善内存安全问题

2022年12月28日 星期三

今日资讯速览：

1、Linux 内核被爆CVSS评分9.6的“关键”漏洞

2、关基保护重大事件！能源巨头因遭受勒索攻击影响信用评级

3、BitKeep钱包被盗达3100万美元，团队会赔付吗？

2022年12月27日 星期二

今日资讯速览：

1、揭秘：伊朗黑客曾入侵以色列敏感区域摄像头，后者国安部门未做处置

2、字节跳动员工违规获取TikTok用户数据：公司或面临重罚

3、思科安全报告调查：超9成受访中国企业将在2023年提升安全预算

2022年12月26日 星期一

今日资讯速览：

1、俄罗斯黑客劫持美国机场出租车调度系统搞黑产

2、鞋类品牌Ecco在500天内泄露超60GB敏感数据

3、博彩公司 BetMGM 发生数据泄露，“赌徒”面临网络风险

攻击事件发生在 5 月份

超过 150 万 BetMGM 用户受到影响

2022年12月24日 星期六

今日资讯速览：

1、扫地机器人暴露用户隐私！女生在自家厕所遭偷拍，照片全网泄露

2、中央网信办秘书局 中国证监会办公厅关于印发《非法证券活动网上信息内容治理工作方案》的通知

3、思科安全团队：黑客正利用 XLL 文件注入恶意代码方式攻击 Excel 用户

2022年12月24日 星期六

今日资讯速览：

1、天才黑客 Geohot 从推特辞职，刚入职约一个月

2、暗网市场：被盗的个人数据的销售额达到了数百万

3、快速识别网络钓鱼攻击的8种迹象

2022年12月22日 星期四

今日资讯速览：

1、FBI上万特工的个人数据被盗？俄罗斯Killnet黑客虚张声势？

2、澳大利亚地方消防局遭网络攻击：近百个消防站断网工作多天

3、英国主流媒体《卫报》疑遭勒索软件攻击

2022年12月21日 星期三

今日资讯速览：

1、构建数据基础制度体系 “数据二十条”来了

2、美政府安全专家：俄罗斯黑客已在美国卫星网络驻留数月

3、【安全圈】蔚来用户数据遭窃取被勒索225万美元

2022年12月20日 星期二

今日资讯速览：

1、多个关基设施网站无法访问：因阿里云香港发生故障

2、如何在战争中保护国家重要数据安全？乌克兰选择打包上云

3、GitHub宣布提供免费扫描工具，5类用户将被强制启动

2022年12月19日 星期一

今日资讯速览：

1、亚马逊云曝出“超级漏洞”，攻击者可删除任何镜像

2、打压不断！美国参议院通过法案，禁止在政府设备上使用TikTok

3、微信已限制 ChatGPT 小程序，目前已搜索不到相关内容

2022年12月15日 星期四

今日资讯速览：

1、工信部印发《工业和信息化领域数据安全管理办法（试行）》

2、工业和信息化部 国家互联网信息办公室关于进一步规范移动智能终端应用软件预置行为的通告

3、美国和以色列举行第七届“网络穹顶”联合演习

2022年12月14日 星期三

今日资讯速览：

1、中央网信办部署开展“清朗·移动互联网应用程序领域乱象整治”专项行动

2、国家能源局关于印发《电力行业网络安全等级保护管理办法》的通知

3、日本新版国家安全战略引入“主动网络防御”原则

2022年12月13日 星期二

今日资讯速览：

1、国家互联网信息办公室等三部门发布《互联网信息服务深度合成管理规定》

2、关于下线“通信行程卡”服务的公告

3、【安全圈】快递客服出售用户信息获利24万 夫妻俩双双获刑

[推荐]【每日资讯】 | 思科Talos报告：威胁分子使用已知的Excel漏洞 | 2022年12月31日星期六

2022年12月31日星期六

2022年12月30日星期五

2022年12月29日星期四

2022年12月28日星期三

2022年12月27日星期二

2022年12月26日星期一

2022年12月24日星期六

2、中央网信办秘书局中国证监会办公厅关于印发《非法证券活动网上信息内容治理工作方案》的通知

2022年12月24日星期六

2022年12月22日星期四

2022年12月21日星期三

2022年12月20日星期二

2022年12月19日星期一

2022年12月15日星期四

2、工业和信息化部国家互联网信息办公室关于进一步规范移动智能终端应用软件预置行为的通告

2022年12月14日星期三

2022年12月13日星期二

3、【安全圈】快递客服出售用户信息获利24万夫妻俩双双获刑

2022年12月12日星期一

2022年12月9日星期五

2022年12月8日星期四

2022年12月7日星期三

2022年12月6日星期二

2022年12月5日星期一

2022年12月2日星期五

2022年12月1日星期四