-
-
[推荐]【每日资讯】 | 微软浏览器被曝将用户网站访问记录泄露给必应 | 2023年4月28日 星期五
-
发表于: 2023-4-4 10:56 8742
-
2023年4月28日 星期五
今日资讯速览:
1、微软浏览器被曝将用户网站访问记录泄露给必应
2、2023 RSAC 多家厂商发布由生成式AI驱动的新一代网络安全工具
3、北京发布互联网信息服务算法推荐合规指引
1、微软浏览器被曝将用户网站访问记录泄露给必应
4月27日消息,微软Edge浏览器被曝存在泄露用户隐私问题,正将用户所访问网站的URL发送给其必应API网站。
社交新闻网站Reddit的用户首先发现了Edge的隐私问题,他们注意到最新版本的Microsoft Edge会向bingapis.com发送请求,其中包含用户浏览的几乎每个页面的完整URL。微软对此表示,该公司正在展开调查。
最先发现这个问题的Reddit用户表示:“搜索这个URL的参考信息非常少,根本没有关于这个功能的任何文档。”虽然Reddit的用户无法发现为何Edge会将用户访问的URL发送给其必应API站点,但软件工程师、EarTrumket背后的开发者拉斐尔·里维拉(Rafael Rivera)受邀进行了调查,他发现这是Edge一个执行不力的新功能所致。
里维拉称:“微软Edge现在有个创作者关注功能,该功能在默认情况下处于启用状态。它的目的似乎是在用户访问某些页面时通知必应,比如YouTube、The Verge和Reddit等。但它似乎没能正常工作,而是将用户访问的几乎每个网站的URL都发送到必应。”
微软去年首先在Edge中测试了新的创作者关注功能,然后在最近几个月更广泛地推出了该功能。它的设计目的是让用户在YouTube上和整个网络上关注他们最喜欢的内容创作者。如果禁用该功能,URL将不再被发送到bingapis.com。
微软为该创作者关注功能提供了主过滤器,其中包括PornHub等域名,它们被阻止发送到Bing API站点。看起来,对于用户之前访问的每个未检查的URL,微软Edge都会将其发送给bingapis.com,这会带来巨大的隐私影响,特别是在默认启用此功能的情况下。
微软公关总监凯特琳·罗尔斯顿(Caitlin Roulston)在一份声明中表示:“我们已经了解了相关报道,正在调查,并将采取适当行动解决任何问题。”不过,微软还没有解释为什么URL会被发送到bingapis.com,或者Edge是如何被配置为将用户访问的几乎所有网站都发送到必应的。
在微软完成调查并可能修复这个问题之前,专家强烈建议关闭Edge中的创作者关注功能。(小小)
2、2023 RSAC 多家厂商发布由生成式AI驱动的新一代网络安全工具
据媒体26日消息,AI技术受到2023 RSAC参会嘉宾与企业组织的空前关注。通过观察在本次大会发布的一系列安全新品发现,整合应用生成式AI技术已成为其中的主打特色,包括SentinelOne、谷歌云、埃森哲、IBM等在内的众多厂商都发布了基于生成式AI技术的新一代网络安全产品。会上,多家厂商发布包括SentinelOne Threat Hunting Tool、Google Cloud Security AI Workbench、Accenture MDR、Cisco XDR及IBM Security QRadar Suite在内的10款新一代网络安全工具。
3、北京发布互联网信息服务算法推荐合规指引
26日,据北京市委网信办官方消息,首都互联网协会、中国科学院信息工程研究所等机构研究编制《北京市互联网信息服务算法推荐合规指引(2023年版)》。《指引》提出互联网信息服务算法安全通用要求、特定要求,着力引导算法推荐服务提供者准确把握责任义务、明确工作规范、健全管理制度、完善运行规则、强化技术手段。编制发布《指引》,是北京市推进属地算法安全治理、帮助企业更好理解管理规定、有效促进平台企业合规发展的有益探索。
2023年4月27日 星期四
今日资讯速览:
1、报告称 86% 的开发者对代码漏洞知情
2、黑客现在可能会利用热像仪和人工智能来揭示密码
3、史无前例!黑客演习夺取欧洲航天局卫星的控制权
1、报告称 86% 的开发者对代码漏洞知情
IT之家 4 月 26 日消息,根据最新问卷调查结果,86% 的软件开发人员和 AppSec 经理对代码中存在漏洞知情。88% 的受访 AppSec 经理表示,在过去 1 年里因代码漏洞遭到攻击。
市场调查机构 Checkmarx 对 1500 多名首席信息安全官(CISO)、AppSec 经理和软件开发人员展开调查,发现 60% 的漏洞可以在代码构建或者测试阶段检测发现的。
IT之家援引报告内容,发现 34% 的受访者表示 AppSec 扫描已完全集成并自动化到他们的软件配置管理 (SCM) 系统、集成开发环境 (IDE) 和持续集成 (CI) / 持续交付 (CD) 工具中。
受访 CISO 表示,代码中风险最大的是 API 的使用和暴露,占比为 37%;其次是开源软件供应链(即恶意代码)(37%)、应用容器化(37%)、开源软件(36%)和基础设施即代码风险(36%)。
经历过攻击的 AppSec 经理表示,排名前三的原因包括开源软件供应链攻击 (41%)、凭据被盗、机密或弱身份验证 / 授权 (40%) 以及发布到生产环境的代码中的已知和 / 或未知漏洞 ( 39%)。
完整报告链接如下:It’s Here: The Global Pulse on Application Security Report
2、黑客现在可能会利用热像仪和人工智能来揭示密码
研究人员警告说,如果劫持者开始使用人工智能辅助的热成像技术来确定输入后不久的密码,目前基于密码的安全保护设施情况可能会恶化。格拉斯哥大学的研究人员公布了一种方法,通过对用户手指的热信号进行成像,来猜测键盘和手机屏幕上最近输入的密码,精确度很高。
该技术的成功率因时间、材料和密码长度的不同而不同,但可能会使最近设备盗窃案的上升趋势恶化。
盗窃者们最近开始通过观察用户在公共场合输入密码来偷窃和闯入他们的手机和其他设备。用受害者的密码登录是克服苹果和Google等公司煞费苦心实施的所有安全措施的直接方法,一旦有人偷窃并登录他们的设备,受害者就无能为力。
然而,一次成功的身份盗窃需要犯罪者记住他们看到的密码,或者在受害者输入密码时进行录音。研究人员的新方法可以给盗贼一个更广阔的窗口,让他们在有人输入密码后分辨出密码。
如果一个人在输入密码后一分钟内用热像仪拍下屏幕或键盘的照片,人工智能就能可靠地猜出按键的顺序。这个被称为ThermoScure的系统,根据不同的条件,至少有62%的成功率。
时间是关键,ThermoSecure在分析输入密码后20秒内拍摄的照片时,成功率为86%。30秒时成功率下降到76%,一分钟后下降到62%。
较长的密码在一定程度上降低了系统的有效性。ThermoSecure可以猜出一个16个字符的密码,在有人输入密码后20秒内拍摄的图片中,有67%的时间可以猜出。12个字符的密码的猜测率上升到82%,8个字符的密码为93%,6个字符的密码为100%。这些结果使任何非字母数字的iPhone密码成为该系统的主要目标,因为该设备的简单密码最多为六个数字。
对于键盘来说,打字方式和材料等其他因素也会影响ThermoSecure的准确性。通过30秒的热特征图像,系统可以猜出80%的触摸式打字员的密码,92%的情况下可以猜出猎取式用户的密码。同时,由PBT塑料制成的按键将成功率降低到14%,而ABS塑料只能将其降低到50%左右,背光键盘也更安全,因为它们会产生更多热量,隐藏热指纹。
身份盗窃者已经可以轻松而廉价地获得热敏相机。虽然将它们与人工智能驱动的猜测结合起来的方法还没有出现,但这项研究似乎证明了这一理论,使用户有更多理由制定强有力的安全措施。他们应该避免在别人看得见的地方输入密码,并尽可能使用其他认证方法,如生物识别技术。
3、史无前例!黑客演习夺取欧洲航天局卫星的控制权
近日,网络安全研究人员将展示他们如何在被称为世界上第一个道德卫星黑客演习的演示中夺取对欧洲航天局 (ESA) 卫星的控制权。
法国国防巨头泰雷兹( Thales) 的专家周二宣布,他们将与 ESA 团队的成员一起,在巴黎的 CYSAT 会议上对攻击情景进行深入解释。
此次演习计划在一系列高度机密的美国情报文件公布之前进行。其中一份警告称,其他国家也正在发展类似的能力,以控制其评估为敌对卫星的卫星。
该文件称:“攻击者会模仿操作员的信号,可能使他们能够夺取对卫星的控制权,使其无法有效支持通信、武器或情报、监视和侦察系统。”
这次演示性黑客攻击是专门为 CYSAT 会议组织的,目的是举例说明现实世界中的网络攻击可能对太空民用系统造成的后果。
它针对的是 ESA 的OPS-SAT,这是一颗鞋盒大小的纳米卫星,于 2019 年 12 月发射,其中包含“一台比目前任何 ESA 航天器都强大十倍的实验计算机”。
OPS-SAT 的重点是解决实时测试任务控制系统所涉及的风险。Thales 表示,欧空局在整个演习过程中保留了对卫星系统的访问权限,以便之后可以恢复正常运行。
副总裁 Pierre-Yves Jolivet 说:“这次史无前例的演习是一个机会,可以提高人们对潜在缺陷和漏洞的认识……并提高卫星和太空计划的网络弹性,包括地面部分和轨道系统。”
尽管 Thales 演示的全部性质尚不清楚,但该公司表示其团队能够在看似传统的网络攻击中劫持用于操作演示卫星的多个系统。
该公司表示,其道德黑客利用卫星的“标准访问权限来控制其应用程序环境,然后利用漏洞并将恶意代码引入卫星系统。
Thales 说,“这使得有可能破坏发送回地球的数据,特别是通过修改卫星相机捕获的图像,并实现其他目标,例如在卫星图像中掩盖选定的地理区域,同时隐藏他们的活动以避免被欧空局发现。”
此次演示之际,空间网络安全总体上受到了专家的更多关注。美国政府支持的一个小组最近敦促拜登政府将太空指定为关键基础设施部门。
2023年4月26日 星期三
今日资讯速览:
1、微软支持的行业组织推动 AI 监管:呼吁在立法基础上制定管理人工智能使用规则
2、谷歌首次推出以网络安全为重点的人工智能系统
3、2023 Q1网络钓鱼排行:沃尔玛第一,微软第三
1、微软支持的行业组织推动 AI 监管:呼吁在立法基础上制定管理人工智能使用规则
4 月 25 日消息,美国当地时间周一,微软支持的科技倡导组织商业软件联盟(BSA)公开发文,呼吁在国家隐私立法基础上制定管理人工智能使用的规则。
图源 Pexels
BSA 代表 Adobe、IBM 和甲骨文等商业软件公司。微软是人工智能领域的领先者之一,因为它最近投资了人工智能研究公司 OpenAI,后者是生成性人工智能(AIGC)聊天机器人 ChatGPT 的创造者。但身为美国先进人工智能领域的另一个关键参与者,谷歌并不是 BSA 的成员。
BSA 呼吁采取四项关键保护措施:
—— 美国国会应该明确要求公司何时必须评估人工智能的设计或影响;
—— 当人工智能被用于做出“重大决定”时,这些要求应该生效,美国国会也应该对此给出定义;
—— 美国国会应该指定一个现有的联邦机构来审查公司是否遵守了规则;
—— 美国国会应该要求公司为高风险的人工智能制定风险管理计划。
BSA 负责美国政府关系的副总裁克雷格・奥尔布赖特(Craig Albright)说:“我们是一个行业组织,希望国会通过这样的立法。所以,我们正在努力让更多的人关注这一机会。我们觉得,人工智能监管还没有得到应有的关注。”
奥尔布赖特补充称:“这并不是要回答所有关于人工智能的问题,但这是国会可以给出的、关于人工智能一个重要问题的重要答案。”
像 ChatGPT 这样可访问先进人工智能工具的引入,加速了对该技术建立安全护栏的推动。虽然美国已经建立了一个自愿的风险管理框架,但许多倡导者始终在推动出台更强有力的保护措施。与此同时,欧洲正在努力敲定其《人工智能法案》,围绕高风险的人工智能建立防护措施。
奥尔布赖特说:“随着欧洲和中国推进监管和培育新技术的框架,美国政策制定者需要反思:数字转型是否是经济议程的重要组成部分?如果是的话,我们应该有一个推动数字转型的国家议程,其中将包括围绕人工智能的规则、国家隐私标准和强有力的网络安全政策。”
在 BSA 向国会提出建议的信息中,该组织表示,上届众议院能源和商务委员会通过的两党联立隐私法案《美国数据隐私和保护法案》是制定新人工智能规则的合适工具。尽管该法案要成为法律还有很长的路要走,但 BSA 表示,它已经为政府应该建立的那种国家人工智能护栏提供了正确的框架。
正如许多人预期的那样,BSA 希望当《美国数据隐私和保护法》重新引入时,它将包含规范人工智能的新规则。奥尔布赖特称,该组织已经就他们的建议与众议院能源和商务委员会进行了接触,该委员会对许多不同的声音“敞开大门”。
虽然《美国数据隐私和保护法》在成为法律方面仍然面临障碍,但奥尔布赖特表示,通过任何一项立法都需要付出巨大的努力。“我们想说的是,这是可行的,这是两党可以达成协议的事情。因此,我们希望,无论他们如何立法,这都将是其中的一部分。”
2、谷歌首次推出以网络安全为重点的人工智能系统
25日,据《华尔街日报》报道,谷歌云计算部门推出一个将其威胁情报和网络安全运营服务与生成性人工智能相结合的平台。这家Alphabet Inc.旗下的公司于24日表示,已将包括Mandiant网络情报部门和Chronicle安全运营平台的现有服务与Vertex人工智能基础设施以及名为Sec-PaLM的人工智能模型结合,创建Google Cloud Security AI Workbench。此举旨在让分析师将潜在的有害代码上传到Sec-PaLM进行分析,接收来自Mandiant的漏洞警报,并使用AI聊天功能,通过Chronicle与谷歌的历史安全数据库进行互动。
3、2023 Q1网络钓鱼排行:沃尔玛第一,微软第三
据外媒22日报道,根据Check Point最新品牌网络钓鱼报告,沃尔玛在2023年第一季度的排名中位列第一,占全球所有网络钓鱼事件的16%。原因在于黑客伪造沃尔玛发布的一场大型活动,该活动诱导人们点击一个所谓的“供应系统故障” 虚假链接。DHL位于本次品牌网络钓鱼报告中的第二名,占所有网络钓鱼事件的13%,微软以12%紧随其后。此外,报告还指出,金融服务公司越来越成为网络钓鱼活动的目标。
2023年4月25日 星期二
今日资讯速览:
1、八部门联合发布《关于推进IPv6技术演进和应用创新发展的实施意见》
2、ChatGPT明知自己写代码有漏洞,但你不问它就不说
3、2023 RSAC开幕 AI+网络安全等领域备受瞩目
1、八部门联合发布《关于推进IPv6技术演进和应用创新发展的实施意见》
近日,工信部、网信办、国家发改委、教育部等八部门联合发布《关于推进IPv6技术演进和应用创新发展的实施意见》,提出到2025年底,IPv6技术演进和应用创新取得显著成效,网络技术创新能力明显增强,“IPv6+”等创新技术应用范围进一步扩大,重点行业“IPv6+”融合应用水平大幅提升。《意见》围绕构建IPv6演进技术体系、强化IPv6演进创新产业基础、加快IPv6基础设施演进发展、深化“IPv6+”行业融合应用、提升安全保障能力等五个方面部署15项重点任务。
2、ChatGPT明知自己写代码有漏洞,但你不问它就不说
3、2023 RSAC开幕 AI+网络安全等领域备受瞩目
24日,网络安全行业年度盛会 RSAC在旧金山隆重开幕。此次大会以“Stronger Together(一起变得更强大)”为主题,议程主要包含安全研讨会、沙盒创新大赛、安全技术主题演讲等。今年的沙盒大赛最受瞩目的三个领域为AI+网络安全、供应链安全和云安全。此外,本届大会发布了Cycode应用程序安全编排和关联、Inside-Out Defense特权访问滥用检测和修复平台和eSentire云工作负载保护平台和云安全态势管理等新产品。
2023年4月24日 星期一
今日资讯速览:
1、GitHub现允许大规模启用私有漏洞报告
2、美国律师协会 (ABA) 遭数据泄露,140 万会员受到影响
3、工信部:加强APP全链条治理,规范软件服务行为
1、GitHub现允许大规模启用私有漏洞报告
据外媒22日报道,GitHub宣布私有漏洞报告现已普遍可用,并且可在一个组织的所有存储库上大规模启用,一旦打开,安全研究人员就可以使用这个专用的通信渠道私下向开源项目的维护人员披露安全问题,而不会意外泄露漏洞细节。GitHub的Eric Tooley和Kate Catlin表示,这是一个私人协作渠道,使研究人员和维护人员更容易报告和修复公共存储库上的漏洞。
2、美国律师协会 (ABA) 遭数据泄露,140 万会员受到影响
美国律师协会 (ABA) 是一个由律师和法学院学生自愿组成的律师协会;它不特定于美国的任何司法管辖区。截至 2022 年,ABA 拥有 166,000 名会员。
据悉,攻击者可能已经获得了对 2018 年停用的遗留会员系统的会员凭证的访问权限。
安全漏洞于 2003 年 3 月 17 日被发现,入侵始于 2023 年 3 月 6 日左右。该组织于周四开始通知成员。
“2023 年 3 月 17 日,ABA 观察到其网络上存在异常活动。事件响应计划立即启动响应,并聘请网络安全专家协助调查,”据 BleepingComputer 报道,发送给受影响成员的数据泄露通知电子邮件中写道。
“调查确定,未经授权的第三方从 2023 年 3 月 6 日前后开始访问 ABA 网络,并可能获取了某些信息。”
对该事件展开的调查显示,未经授权的第三方在 2018 年之前或自 2018 年以来在 ABA 网站或 ABA 职业中心获取了会员在线账户的用户名以及散列和密码。
据 BleepingComputer 称,有 1,466,000 名会员受到此次违规的影响。
需要强调的是,即使密码经过哈希处理和加盐处理,威胁行为者也可以获得明文密码,尤其是弱密码。
坏消息是,许多会员使用了平台分配的默认密码,并且一直没有更改过。
建议会员在新的 ABA 门户网站和共享相同凭据的所有在线服务上更改密码。
3、工信部:加强APP全链条治理,规范软件服务行为
20日,国新办发布会上,工信部总工程师赵志国表示,工信部将加强APP全链条治理,规范软件安装卸载、自动续费、开屏弹窗等服务行为。今年一季度,工信部出台《关于进一步提升移动互联网应用服务能力的通知》,发布《APP用户权益保护测评规范》等标准,并对50余万款APP进行技术检测,通报101款违规APP和SDK(第三方软件开发工具包),重点规范“摇一摇”、乱跳转等热点问题。赵志国表示,将通过落实一系列工作,切实维护人民群众的财产安全与合法权益。
2023年4月23日 星期日
今日资讯速览:
1、谷歌云平台现“鬼魂漏洞”,能让恶意软件隐身
2、IDC:2022年中国网络安全硬件市场规模为245亿元
3、Capita证实在近日发生的网络攻击中 数据遭窃取
1、谷歌云平台现“鬼魂漏洞”,能让恶意软件隐身
据Dark Reading 4月21日消息,谷歌云平台 (GCP) 被曝存在一个安全漏洞,可能允许网络攻击者在受害者的谷歌帐户中隐藏不可删除的恶意应用程序。
这个被称为“GhostToken”的漏洞是由 Astrix 安全研究人员发现并报告,根据该团队 4 月 20 日发布的分析,恶意程序之所以进行隐藏,是为了进一步读取受害者的 Gmail 帐户、访问 Google Drive 和 Google Photos 中的文件、查看 Google 日历以及通过谷歌地图跟踪位置,有了这些信息,攻击者就可以设计出极具迷惑性的网络钓鱼攻击。
除此之外,攻击者还可能从Google Drive 中删除文件,从受害者的 Gmail 帐户中写入电子邮件以执行社会工程攻击,从 Google Calendar、Photos 或 Docs 中敏感数据,等等。
如鬼魂般的恶意程序
谷歌云平台是谷歌所提供的一套公有云计算服务。该平台包括一系列在 Google 硬件上运行的用于计算、存储和应用程序开发的托管服务,也包括为最终用户托管各类应用程序,这些应用程序与其他应用程序生态系统一样,可通过谷歌应用市场下载。一旦用户授权下载,应用程序就会在后台收到一个令牌,根据应用程序请求的权限授予相应的Google 帐户访问权限。
但利用GhostToken 漏洞,网络攻击者可以制作一个恶意应用程序,将其植入到应用程序商店,伪装成合法的实用程序或服务。一旦用户下载并安装,便会隐藏在受害者的谷歌账户申请管理页面中,并无法从谷歌帐户中删除。此外,攻击者可以随时取消对恶意程序的隐藏状态,让其使用令牌访问受害者的帐户,然后再次隐藏并恢复成不可删除的状态。
Astrix 的研究员表示,这个特定的漏洞允许网络攻击者一方面访问组织的 GCP 环境,另一方面也可以访问个人 的Google Photos 和电子邮件帐户,从而对企业和个人构成严重的信息安全风险。
2、IDC:2022年中国网络安全硬件市场规模为245亿元
近日,IDC发布《中国网络安全硬件市场份额,2022:增长受挫,厂商仍需克服困难,砥砺前行》研究报告。报告数据显示,2022年,中国网络安全硬件产品的市场规模为36.5亿美金(约合人民币245亿元),规模同比减少3.3%,市场增速受挫。IDC中国网络安全市场分析师王一汀表示,2023年,伴随疫情放开,中国网络安全硬件市场也将有望实现反弹。IDC最新预测数据显示,到2026年,中国网络安全硬件市场规模将达到101亿美元,占到总体市场的35%。
3、Capita证实在近日发生的网络攻击中 数据遭窃取
据外媒20日报道,总部位于伦敦的专业外包巨头Capita发布了本月初对其造成影响的网络攻击事件的最新消息,证实黑客从其系统中窃取并泄露数据。据悉,该公司发现,黑客访问了大约4%的服务器基础设施,并窃取了被入侵系统上的文件。Capita的声明中写道,该事件受到了严重限制,可能影响到Capita约4%的服务器资产。目前,该公司表示,将继续对网络事件进行调查,并在出现对客户、供应商或同事产生影响的证据时及时提供最新情况。
2023年4月21日 星期五
今日资讯速览:
1、苹果 iOS 17 支持 App 侧载以符合欧洲法规
2、墨西哥总统再次指认美国窃听 誓言确保信息安全
3、欧盟网络安全战略最后一块拼图:《网络团结法案》提案发布
1、苹果 iOS 17 支持 App 侧载以符合欧洲法规
近日,据彭博社的 Mark Gurman称,苹果在 iOS 17 中将首次允许 iPhone 用户下载在其官方 App Store 之外托管的应用程序。
什么是侧载?
侧载,即允许客户下载应用程序而无需使用 App Store,意味着开发人员无需支付 Apple 的 15% 到 30% 的费用。
2022 年 11 月 1 日生效的欧盟《数字市场法》 (DMA) 要求“看门人”公司向其他公司和开发商开放其服务和平台。
《数字市场法》将对 Apple 的平台产生重大影响,它可能会导致 Apple 对 App Store、Messages、FaceTime、Siri 等进行重大更改。据 Gurman 称,Apple 计划在2023年实施侧载支持以符合新的欧洲法规。
彭博社称,Apple 的软件工程和服务员工正在努力开放“Apple 平台的关键元素”,而 Apple 使用“大量资源”来进行变革。Apple 计划在今年为iOS 17准备好该功能,这将提前截止日期。一些员工告诉彭博社,这些重大更新有可能影响为 iOS 17 设计的新功能的工作。
支持侧载有什么影响?
Apple 声称,侧载将“破坏 iPhone 用户所依赖的隐私和安全保护”,使人们容易受到恶意软件、诈骗、数据跟踪和其他问题的攻击。
为了保护用户免受上述侧载风险,Apple 正在考虑实施验证等安全要求,该过程可能会收取费用,而不是从应用程序销售中收取费用。Apple 在 Mac 上有一个验证系统,可以让用户安全地访问Mac App Store以外的应用程序。
Apple 可以向第三方应用程序开发人员开放底层应用程序框架和 API,从而提供对核心系统功能和硬件的更深入访问。第三方应用程序将来可以访问现在不可用的相机技术,Apple 正在努力以有限的方式开放 NFC,以允许Apple Pay替代方案。Apple 还在考虑进一步向 Tile 等配件制造商开放Find My网络。
截至目前,Apple 允许第三方设备制造商创建“Find My”配件,但有一项要求禁止他们使用非“Find My”应用和服务。
《数字市场法》的一个方面要求苹果允许开发者在其应用程序中安装第三方支付系统,而苹果尚未就是否遵守该规则“做出最终决定”。Apple 还未决定如何向第三方服务提供 Messages 应用程序,因为它需要消息传递平台之间的互操作性。
Apple 必须遵守《数字市场法》,因为如果违反该法律,欧盟可以对一家公司处以高达其全球收入 20% 的罚款。如果苹果不实施这些改变,罚款可能高达 800 亿美元。
古尔曼在 2022 年 12 月的一份报告中表示,苹果正在考虑实施验证等安全要求,苹果可以对这一过程收取费用,而不是从应用程序销售中收取费用。Apple 在 Mac 上有一个验证系统,可以让用户安全地访问 Mac App Store 以外的应用程序。
如果其他国家/地区引入类似立法,替代应用程序商店可能会扩展到欧盟以外。例如,美国正在考虑要求 Apple 允许侧载的立法。
2、墨西哥总统再次指认美国窃听 誓言确保信息安全
据媒体19日报道,墨西哥总统安德烈斯·曼努埃尔·洛佩斯·奥夫拉多尔在例行记者会上再次指认美国对墨西哥政府搞间谍活动,表示将保护好来自军方的信息以确保国家安全。洛佩斯所指墨西哥遭美国窃听,依据是近期在社交媒体平台流传的疑似美军泄密文件。美国国防部发言人称,国防部与墨西哥军方有稳固的防务合作关系,双方在相互尊重对方主权和外交政策议程情况下应对共同挑战。然而,美媒曝光的泄密文件显示,对韩国、乌克兰等盟友,美国一样窃听不误。
3、欧盟网络安全战略最后一块拼图:《网络团结法案》提案发布
安全内参4月20日消息,欧盟委员会发布内部争议巨大的《网络团结法案》提案,希望促进欧盟范围内合作,为重大网络攻击做好应对准备。
该提案是本周二(4月18日)提出的更广泛的网络安全一揽子计划的组成部分,旨在促进跨境与公私部门在预测和应对网络攻击方面的协调工作,相关预算为11亿欧元(约合人民币83亿元)。
此类立法建议最早出现于2022年3月,即俄乌战争爆发后不久,部分原因是欧盟委员会考虑到重大网络攻击的威胁正在持续增加。
该提案希望公共部门和私营实体能够相互配合,学习乌克兰已经实践的企业与政府当局合作应对网络威胁的模式。
但提案的某些内容引起了欧盟成员国的激烈争论和反对,特别是涉及情报共享以及私营企业认证和责任的条款。
欧盟委员会执行副主席玛格丽特·维斯塔格 (Margrethe Vestager)在提案发布会上表示,“近30%的欧洲中小企业在过去12个月中,至少经历过一次网络犯罪。”她补充称,《网络团结法案》标志着欧盟广泛的网络安全战略终于补齐了最后一块拼图,开始具备可操作性。
“我们将首次共同投资运营能力。网络安全能否成功将取决于我们是否能够携手并进,只有在整个欧洲的共同努力下才有可能实现。”
欧盟网络护盾
此次提案的首个核心要点,是建立起由欧盟各国和跨境安全运营中心(SOC)组成的欧洲网络护盾(Cyber Shield)。
提案目标是让安全运营中心明年投入运营,并与波罗的海和比荷卢经济联盟等近邻建立起区域网络合作中心。安全运营中心将使用AI等多项技术监控与识别网络威胁,并提醒政府当局注意即将发生的攻击活动。
在提案发布会上,负责欧盟内部市场的执行委员Thierry Breton表示,网络护盾将被用于检测、缓解和应对网络威胁。
与此同时,他试图向欧洲各国政府保证,这些措施将以成员国现有的网络安全运营中心为基础并展开配合,而非取代关系。
Breton指出,“各国可以继续保留原有设施,只是会在整个欧洲层面上来匹配这些现有网络安全设施。”
“各个国家都将有自己的中心,它们将充当对接原有设施的接口,并由此建立起覆盖整个欧洲的护盾或者护罩。”
网络安全预备队
该提案的第二大要点,是通过建立网络应急机制,提高欧盟在危机中的准备和应对能力。这项机制将测试能源和交通等关键部门的漏洞,并为欧盟各成员国间的互助工作提供财政支持。
该机制还将建立欧盟“网络安全预备队”,由可信赖和经过认证的私营企业参与,并随时准备应对重大网络事件。
Breton表示,虽然最初的计划是建立一支“网络军队”,但事实证明这项工作太过复杂。于是委员会选择建立储备力量,随时待命并在危机时刻进行干预。乌克兰已经采取了这样的制度。
该计划内容也引起了一些争议。据英国《金融时报》日前看到的一份文件,有24个欧洲国家政府(即除现任和之前连续两任欧盟主席国外的其他所有国家)呼吁欧盟委员会放缓这份网络团结提案,希望能将预备队的认证和部署维持在本国范围之内。
这一问题的症结在于,网络威胁情报可以被用来侵入任何一方的IT系统,不会区分目标具体是地缘政治对手、犯罪网络还是经济竞争对手。因此,各国政府都将威胁情报视为必须严密保护的信息。
欧盟委员会内部机构对公私合作问题也存在分歧。欧盟外交部门欧洲对外行动署(EEAS)目前在修订网络外交工具箱(Cyber Diplomacy Toolbox),该工具箱也会依靠私营企业来处理恶意网络活动。
《网络团结法案》的最后一个要素,是建立起网络安全事件审查机制。该机制要求对重大网络安全事件开展事后审查和分析,以指引欧盟网络防御方法的未来发展方向。
在提案发布会上,还公布了成立欧盟网络安全技能学院(EU Cybersecurity Skills Academy)的消息。该学院旨在提高网络技能,弥合现有网络人才缺口,帮助普通民众掌握必要网络安全能力,并培训该领域的专家。
2023年4月20日 星期四
今日资讯速览:
1、工信部:我国开源软件开发者数量突破 800 万,位居全球第二
2、生成式人工智能、深度合成技术与算法推荐的关联与合规要点
3、外媒:俄罗斯黑客劫持乌克兰境内摄像头,收集军队动向情报
1、工信部:我国开源软件开发者数量突破 800 万,位居全球第二
IT之家 4 月 18 日消息,据央视《新闻联播》4 月 17 日报道,记者从工信部了解到,我国开源软件开发者数量突破 800 万,位居全球第二。
开源软件(英语:open source software,缩写:OSS)又称开放源代码软件,是源代码可以任意获取的计算机软件,这种软件的著作权持有人在软件协议的规定下保留一部分权利并允许用户学习、修改以及以任何目的向任何人分发该软件。
IT之家查询获悉,工信部已制定实施《“十四五”软件和信息技术服务业发展规划》,对加快开源发展、繁荣开源生态作出战略部署,提出明确要求。
去年 9 月,工信部指出下一步将继续面向关键软件领域布局开源项目,优化开源社区,完善开源相关治理规则,加快繁荣国内开源生态。
2、生成式人工智能、深度合成技术与算法推荐的关联与合规要点
国务院早在2017年就发布了《新一代人工智能发展规划》,强调人工智能是引领未来的战略性技术,要把人工智能发展放在国家战略层面来系统布局,预计到2025年,国家会“初步建立人工智能法律法规、伦理规范和政策体系,形成人工智能安全评估和管控能力”。近几年,以ChatGPT为代表的生成式人工智能技术高速发展,世界各国的企业都在纷纷研发相关产品或服务,但是这种技术在为社会带来便利的同时也带来了相关的法律风险。在此背景下,国家网信办发布了《生成式人工智能服务管理办法(征求意见稿)》(以下简称《办法》),明确了生成式人工智能的定义,以及相关产品和服务提供者的合规义务,对生成式人工智能进行专项监管,逐步完善中国人工智能法律体系。
01 三者之间的关系是什么?
从字面来看,生成式人工智能不仅包括算法,还涉及模型、规则等,但是其涉及的算法生成技术与深度合成技术的定义基本是一致的,也都属于生成合成类的算法推荐技术。
名词 | 定义 | 来源 |
生成式人工智能 | 基于算法、模型、规则生成文本、图片、声音、视频、代码等内容的技术。 | 《办法》 |
深度合成技术 | 利用深度、虚拟现实等生成合成类算法制作文本、图像、音频、视频、虚拟场景等网络信息的技术。 | 《互联网信息服务深度合成管理规定》(以下简称《深度合成规定》) |
算法推荐技术 | 利用生成合成类、个性化推荐类、排序精选类、检索过滤类、调度决策类等算法技术向用户提供信息。 | 《互联网信息服务算法推荐管理规定》(以下简称《算法推荐规定》) |
02 如何实现模型训练合规?
《办法》特别强调了训练数据来源的合法性问题,因为生成式人工智能产品往往需要海量的数据来进行算法的更迭优化,但是这些数据中如果有个人信息,应具备同意等合法的处理基础,如果有受版权保护的图片,则需要先获得版权人的授权,例如盖蒂图片(Getty Images)目前已起诉Stability AI,因为它认为Stability AI未经其许可就爬取了它的1200万张受版权保护的图片,此行为构成了著作权侵权,此外,还有一些艺术家也在控诉Stability AI侵犯版权的问题。因此,提供者应通过内部的管理机制,在事前就进行数据源的合规性核查,尽到合理的注意义务。
提供者还需要保证训练数据真实准确、客观多样,从而促进生成式人工智能产品或服务生成内容的客观性,例如,亚马逊就曾被爆出了AI招聘歧视事件,据报道显示,亚马逊基于对过往10年的简历中的5万个关键词进行识别并进行排序训练,但是这些作为训练数据样本的简历中,大部分求职者为男性,所以基于此训练出的AI算法也存在重男轻女的歧视性风险。因此保证训练数据的多样性非常重要。
03 如何进行算法备案和评估?
《办法》指出,利用生成式人工智能产品向公众提供服务前,应当按照《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》向国家网信部门申报安全评估,并按照《算法推荐规定》履行算法备案手续。
国家互联网信息办公室目前已经公示了三批通过备案的算法,其中生成合成类算法共有10个,涵盖了文字、图片、语音、视频的生成合成类算法,人工智能客服场景是相对最为普遍的应用场景。公示的生成合成类算法具体汇总如下:
算法名称 | 主体名称 | 应用产品 | 主要用途 |
快手短视频生成合成算法 | 北京快手科技有限公司 | 快手 (APP) | 应用于短视频制作场景,利用生成模型对用户上传图片、视频进行编辑和重新生成,实属性编辑、风格转换等。 |
钉钉语音识别算法 | 钉钉科技有限公司 | 钉钉 (APP) | 应用于即时通讯场景的语音转文字功能,实现对语音消息的文字识别。 |
美团电话智能客服算法 | 北京三快科技有限公司 | 美团 (APP) | 应用于电话智能客服中的语音问题识别功能,实现对用户的简单问题给出解决方案。 |
美团在线智能客服算法 | 北京三快科技有限公司 | 美团 (APP) | 应用于在线智能客服中的文字问题识别功能,实现对用户的简单问题给出解决方案。 |
天猫小蜜智能客服算法 | 浙江天猫网络有限公司 | 手机天猫(APP) | 应用于智能客服场景,实现对文字或语音问题识别并从知识库中给出解决方案。 |
钉钉翻译算法 | 钉钉科技有限公司 | 钉钉 (APP) | 应用于即时通讯中的翻译功能,实现对特定语种之间的翻译服务。 |
钉钉图像识别文字算法 | 钉钉科技有限公司 | 钉钉 (APP) | 应用于即时通讯中的图像转文字功能,实现对图片中的文字消息识别和提取。 |
淘宝人生表情动作复刻算法 | 浙江淘宝网络有限公司 | 手机淘宝(APP) | 应用于形象图片制作功能,识别照片中人物表情动作,生成淘宝人生形象图片。 |
菜鸟物流智能客服算法 | 杭州菜鸟物流信息科技有限公司 | 菜鸟 (APP、小程序) | 应用于智能客服场景,分析用户提出的诉求,以文本方式提供智能回答。 |
逗拍风格迁移算法 | 深圳市大头兄弟科技有限公司 | 逗拍 (APP) | 应用于视频制作场景,将用户上传图片替换为用户选择的模板风格,生成风格化视频。 |
04 如何进行科技伦理审查?
虽然《办法》并没有特别提及科技伦理审查的问题,但是《深度合成规定》对深度合成服务提供者提出了科技伦理审查的要求,且科学技术部在近期发布了《科技伦理审查办法(试行)(征求意见稿)》,其指出,涉及人的科技活动(包括使用个人信息等),以及不直接涉及人,但可能在公共秩序等方面带来伦理风险挑战的科技活动都需要进行科技伦理审查,伦理高风险的科技活动还需要报请主管部门开展专家复核,而附录部分进一步指出,具有舆论社会动员能力和社会意识引导能力的算法模型、应用程序及系统的研发就需要进行专家复核。因此,提供生成式人工智能产品或服务还需要关注科技伦理审查的问题。若属于需要开展科技伦理审查的主体,则需要建立科技伦理(审查)委员会,明确相关制度规范和工作规程。
05 总结
随着各种人工智能模型的快速发展,各国的监管者也纷纷对其进行了回应,意大利数据保护局Garante宣布暂时禁用ChatGPT,并对其涉嫌违反GDPR的规定开始展开调查,要求OpenAI来对此进行解释说明。中国也通过发布《办法》来对生成式人工智能的监管问题进行了回应,宏观治理基调是“支持人工智能算法、框架等基础技术的自主创新、推广应用、国际合作,鼓励优先采用安全可信的软件、工具、计算和数据资源”,与《新一代人工智能发展规划》是一致的,再从微观治理路径来看,《办法》承袭了现有规范关于算法治理的内容,并特别强调了生成内容合规、算法模型合规、运营行为合规的问题。合规要点汇总如下:
3、外媒:俄罗斯黑客劫持乌克兰境内摄像头,收集军队动向情报
安全内参4月18日消息,美国高级安全官员表示,俄罗斯黑客已经侵入乌克兰咖啡厅内的私人安保摄像头,借此收集援助车队经过时的动向情报。
美国国家安全局网络安全主管罗伯·乔伊斯(Rob Joyce)称,作为乌克兰战争的一部分,俄罗斯政府和政府支持黑客一直在攻击乌克兰的信息技术系统。
而黑客攻击的一大重点,正是乌克兰地方当局和私营企业用于监控周边环境的闭路电视摄像头。
乔伊斯在华盛顿国际与战略研究中心表示,“乌克兰的利益正不断受到侵害,包括试图破坏其金融、政府、个人和个体企业。”
“俄方采取了种种创造性的攻击手段。我们观察到,俄罗斯黑客开始登入面向公众的联网摄像头,希望借此观察运送援助物资的车队和列车。”
“他们入侵了这些网络摄像头……并且选择的目标并非网上公开的城镇广场监控,而是咖啡厅安装的安保摄像头。”
他表示,俄罗斯方面还将黑客攻击的重点放在美国国防制造商和物流运输企业身上,希望了解关于乌克兰武器供应链的更多信息。
2023年4月19日 星期三
今日资讯速览:
1、谷歌和网络安全公司联合创建漏洞挖掘基金支持白帽黑客
2、破解 Switch 的黑客出狱,但仍需赔偿任天堂 1450 万美元
3、新加坡加密货币交易平台Bitrue被黑损失2300万美元
1、谷歌和网络安全公司联合创建漏洞挖掘基金支持白帽黑客
近日,谷歌宣布与多家公司成立网络安全研究法律辩护基金,以支持网络安全研究人员和渗透测试人员,保护他们在漏洞挖掘时免受法律问题影响。
网络安全研究法律辩护基金将由非营利性网络安全政策和法律中心运营,谷歌提供种子资金。该中心将为“因发现漏洞或黑客而受到不公正起诉”的网络安全研究人员和渗透测试人员提供法律建议。
与此同时,谷歌还与HackerOne、Bugcrowd、英特尔、Intigriti 和 Luta Security等公司合作成立了黑客政策委员会,以督促制定合理的漏洞信息披露规则。
2、破解 Switch 的黑客出狱,但仍需赔偿任天堂 1450 万美元
IT之家 4 月 18 日消息,根据 TorrentFreak 的报道,曾经因为破解任天堂 Switch 和其他游戏机而被捕的加拿大黑客 Gary Bowser 最近从美国联邦监狱获释,目前正在等待被遣返回加拿大。他在接受 YouTube 主播 Nick Moses 的采访时透露,他已经在上个月被转移到华盛顿的一个拘留中心,现在他在那里等待返回他的祖国加拿大。
Gary Bowser 是 Team Xecuter 的成员之一,这是一个臭名昭著的黑客团队,专门制作和销售用于破解任天堂 Switch、3DS、NES Classic Edition、索尼 PlayStation Classic 等游戏机的模块芯片,让用户可以玩盗版游戏。2020 年,Gary Bowser 因为欺诈罪被捕,并被从多米尼加共和国引渡到美国,被判处 40 个月的监禁。他说,由于表现良好,他的刑期被缩短了两年多。
尽管 Gary Bowser 已经出狱,但他仍然要向任天堂支付高达 1450 万美元(IT之家备注:当前约 9961.5 万元人民币)的赔偿金。他同意支付 1000 万美元来和解任天堂提起的盗版诉讼,此外还有另一项联邦法院命令要求他支付任天堂 450 万美元。Gary Bowser 说,他目前只还了 175 美元。
检察官称,Team Xecuter 的游戏机破解和模块销售行为给任天堂和其他游戏机厂商造成了 6500 万美元的损失。Gary Bowser 是 Team Xecuter 的公开代言人和主要销售人员,也是任天堂最恨的敌人之一。
3、新加坡加密货币交易平台Bitrue被黑损失2300万美元
据外媒近日报道,新加坡加密货币交易平台Bitrue的一个数字钱包遭网络攻击,损失约2300万美元。该平台表示,攻击者窃取了多种数字货币,包括以太坊(ETH)、Polygon(MATIC)、Shiba Inu(SHIB)、Quant(QNT)、GALA和Holo(HOT)。Bitrue称,受影响的是可以通过互联网访问的热钱包,只包含Bitrue总资金5%,其余钱包仍然安全。目前,该平台已暂停所有提款,正在进行安全检查。
2023年4月18日 星期二
今日资讯速览:
1、中央有关部门组织编写国家安全读本 关注数据安全
2、西门子 Metaverse 暴露了敏感的企业数据
3、德国军火制造商遭到网络攻击 国防部门未受影响
1、中央有关部门组织编写国家安全读本 关注数据安全
近日,人民出版社发布第三批重点领域国家安全普及读本,包括《国家数据安全知识百问》等三本。据悉,读本由中央有关部门组织编写,简要介绍相关领域发展情况、与国家安全的关系及社会关注的技术前沿问题。《国家数据安全知识百问》主要围绕数据安全治理的立法、政策、管理手段、工作机制等,介绍了工信、交通、金融、卫健、教育等领域的数据安全情况,还以专章介绍了如何提高数据安全治理能力。
2、西门子 Metaverse 暴露了敏感的企业数据
近日,安全专家发现西门子数字孪生平台Siemens Metaverse正在发生敏感数据泄露。如果攻击者获得了暴露的数据,可能会对该公司和其他使用其服务的大公司造成毁灭性后果,包括勒索软件攻击。
安全专家表示:metaverse 的构建方式,意味着它必然具有最新的工厂数据。从这一角度来说,攻击者甚至可以从中提取如制造技术之类的关键商业机密。这是元宇宙技术在可能泄露敏感现实世界数据的情况下使用的首批案例之一,目前尚不清楚威胁参与者将采用何种方法来充分利用此类问题。
对此,西门子表示,该问题并不严重,并补充说该问题已得到缓解。
3、德国军火制造商遭到网络攻击 国防部门未受影响
据外媒15日报道,德国军火制造商Rheinmetall(莱茵金属公司)遭受网络攻击。攻击影响了莱茵金属公司为工业客户提供服务的业务部门。据悉,这次袭击可能与公司从事的国防活动有关,影响到位于内卡苏尔姆的汽车供应商Kolbenschmidt等子公司,具体有多严重目前尚不得而知。莱茵金属公司的发言人表示,目前正在调查损害程度,并与相关网络安全部门保持密切联系,该公司生产军用车辆、武器和弹药的国防部门未受影响。
2023年4月17日 星期一
今日资讯速览:
1、Lazarus 黑客组织正在进行名为“死亡笔记”的新型攻击计划
2、2023年DDoS攻击暴增170%:美国、中国和印度是重灾区
3、Kodi称黑客利用其员工凭据多次下载论坛数据库备份
1、Lazarus 黑客组织正在进行名为“死亡笔记”的新型攻击计划
卡巴斯基近日发布公告,称 Lazarus黑客组织正在改变目标、战术,进行一项名为“死亡笔记”的攻击计划。
公告中,卡巴斯基称自 2019 年以来一直在跟踪该活动,也称为 Operation DreamJob 或 NukeSped。
“过去恶意软件作者使用与加密货币业务相关的诱饵文件,例如关于购买特定加密货币的调查问卷、特定加密货币的介绍以及比特币挖矿公司的介绍。”
2020年4月,卡巴斯基发现了Lazarus攻击目标以及感染媒介都在发生重大改变。
从攻击目标上,“死亡笔记”主要针对东欧的汽车和学术部门,这两个部门都与国防工业有关。攻击者会将所有诱饵文件转换为与国防承包商和外交服务相关的职位描述。
感染链也得到了改进。不仅依赖于武器化文档中的远程模板注入技术,还依赖于木马化的开源 PDF 查看器软件。
2、2023年DDoS攻击暴增170%:美国、中国和印度是重灾区
根据网络安全厂商StormWall近日发布的《2023年一季度全球DDoS攻击综合报告》,2023年一季度DDoS攻击与2022年同期相比增长了47%。
DDoS攻击呈现三大趋势
调查结果显示DDoS攻击呈现三大趋势:僵尸网络再次兴起、针对关键基础设施,以及越来越多的DDoS攻击被用于掩盖多向量攻击的“烟雾弹”。
该研究表明,攻击者越来越多地瞄准关键基础设施和服务,包括物流服务、支付处理中心和银行系统,试图影响更多的用户。平均攻击强度达到1.4Tbps的峰值,最长的攻击持续了4天。
越来越多的DDoS攻击开始使用僵尸网络,超过38%的DDoS攻击利用了感染僵尸网络的设备。此外,与上一年相比,作为多向量攻击的烟幕弹/诱饵的DDoS攻击增加了28%。
该报告还显示,更具破坏性的HTTP攻击正变得越来越容易实施。82.3%的DDoS攻击针对OSI模型的应用层(L7),11.7%针对OSI模型的传输(L4)和网络(L3)层。2.3%的攻击针对DNS,其余3.7%针对其他目标。
美国、中国和印度是重灾区
在行业分布(上图)中,金融业遭受的DDoS攻击数量最多,占总数的34%,与去年同期相比增长了68%。电子商务也是DDoS重灾区,遭受攻击数量占比22%,比去年同期增加了22%。电信仍然是热门目标,占攻击数量的51%,同比增长16%。
2023年全球DDoS攻击目标行业和国家分布
从攻击目标的地理分布来看,美国(17.6%)、印度(14.2%)和中国(11.7%)仍然是最多遭受攻击的国家。不过2023年阿拉伯联合酋长国的攻击数量显着激增,占比(6.4%)同比增长了将近一倍。另一方面,随着黑客行动主义的消退,俄罗斯和乌克兰的DDoS活动有所下降。
值得注意的是,美国、中国和印度的云安全问题也较为突出。2021年,由于配置错误导致的云服务器暴露最多的国家是美国和中国,印度排名第五。
2023年DDoS威胁全面升级
StormWall的报告显示2023年DDoS攻击威胁不断升级,攻击量,强度和持续时间也显著增长。随着威胁参与者不断调整其策略并将DDoS攻击集成到多向量攻击中,企业不仅需要解决过载服务器造成的中断问题,还需要解决数据泄露、勒索软件和其他相关威胁的问题。
根据针对客户端攻击的数据分析,StormWall预计到2023年底,DDoS攻击同比将增长170%,并强烈建议所有企业重新重视DDoS威胁防护。
3、Kodi称黑客利用其员工凭据多次下载论坛数据库备份
据外媒报道,Kodi披露一起数据泄露事件,称黑客已窃取其包含用户数据和私人消息的MyBB论坛数据库,并试图在线出售。现已关闭的Kodi论坛拥有约40万名成员。MyBB管理日志显示,管理团队中一名不活跃成员的账户先后两次访问MyBB管理控制台,该账户被用来创建数据库备份,然后下载和删除,它还下载了现有的数据库的夜间完整备份。Kodi团队证实,账户所有者没有执行这些活动,表明该帐户的凭据很可能被盗。
2023年4月14日 星期五
今日资讯速览:
1、现代汽车遭遇数据泄露,影响了法国和意大利的客户
2、微软4月补丁日 修复98个漏洞
3、外交部:揭穿美国在网络安全问题上的虚伪嘴脸 符合国际社会共同利益
1、现代汽车遭遇数据泄露,影响了法国和意大利的客户
近日,现代汽车披露了影响意大利和法国车主以及预订试驾者的数据泄露事件,并警告称黑客已获取个人数据,电子邮件地址、物理地址、电话号码、车辆底盘号等。
作为一家跨国汽车制造商,现代汽车每年在欧洲销售超过 50 万辆汽车,在法国和意大利的市场份额约为 3%。
现代意大利已通知隐私监管机构,并聘请了外部网络安全专家来确定事件的范围。截止目前,尚不清楚受影响范围,但现代称访问现代数据库的黑客并没有窃取财务数据或身份证号码。
2、微软4月补丁日 修复98个漏洞
12日,微软补丁日共计修复98个漏洞,其中7个漏洞因允许远程代码执行而被归类为“严重”。具体包括20个提权漏洞、8个安全功能绕过漏洞、45个远程代码执行漏洞、10个信息泄露漏洞、9个拒绝服务漏洞、6个欺骗漏洞。此外,微软修复了一个在攻击中被积极利用的零日漏洞,被跟踪为CVE-2023-28252。
3、外交部:揭穿美国在网络安全问题上的虚伪嘴脸 符合国际社会共同利益
12日,中国外交部发言人汪文斌主持例行记者会。针对11日中国网络安全产业联盟发布报告,中方对此作何评论问题。汪文斌表示,多项事实表明美国是网络战的始作俑者、先进网络武器的最大扩散方、全球最大的网络窃密者。维护网络安全是国际社会的共同责任。网络空间不应是各国角力的战场,更不应成为分裂国际社会和打压遏制别国的工具。阻止美国无法无天的网络窃密行为,揭穿美国在网络安全问题上的虚伪嘴脸,符合国际社会共同利益。
2023年4月13日 星期四
今日资讯速览:
1、Kodi 公司公告:论坛遭黑客攻击,用户数据已泄露
2、NoName黑客组织对德国政府和部委发出网络攻击警告
3、中国网络安全产业联盟发布《美国情报机构网络攻击的历史回顾》
1、Kodi 公司公告:论坛遭黑客攻击,用户数据已泄露
IT之家 4 月 12 日消息,流媒体娱乐中心应用厂商 Kodi 上周发布安全公告,表示论坛系统遭到黑客攻击,导致用户数据信息泄露。
Kodi 公司在暗网上发现有黑客出售 Kodi 论坛转储(dump)之后,才意识到团队遭到黑客攻击。
IT之家从初步调查结果中获悉,攻击者首先入侵了一个不活跃但受信任成员的论坛管理员帐户,并设法两次访问管理控制台。本次攻击发生于今年 2 月。
攻击者在获取管理员账户权限之后创建并下载了数据库备份。Kodi 目前已经禁用了相关帐户,以防止将来访问系统。
2、NoName黑客组织对德国政府和部委发出网络攻击警告
据外媒报道,NoName黑客组织对多个德国政府机构和部委发出网络攻击警告。该组织声称攻击针对多个政府组织,包括联邦最高法院、外交部等。若该说法真实有效,攻击可能会对德国政府造成重大损害和破坏,并使该国受到其他相关黑客组织的直接威胁。据悉,NoName黑客组织发动网络攻击,旨在报复各国对俄罗斯实施制裁的行为。
3、中国网络安全产业联盟发布《美国情报机构网络攻击的历史回顾》
斯诺登事件迄今已近十年,伴随着棱镜门的曝光,国家级网络攻击行为逐渐浮出水面。其实早在此前,已有多方信息显示,美相关机构利用其技术和先发优势针对他国开展网络攻击行为。全球网络安全厂商、学者和研究机构付出巨大的努力,对此进行了深入细致的跟踪分析和调查研究。为系统梳理美情报机构对全球各国开展的网络攻击活动,中国网络安全产业联盟(CCIA)组织编制了《美国情报机构网络攻击的历史回顾——基于全球网络安全界披露信息分析》(中英文版)(以下简称《报告》)。
《报告》立足网络安全专业视角,基于全球数十家网络安全企业、研究机构及专家学者的近千份研究文献,充分整合各方分析过程及研究成果,力求通过业界和学界的分析实证,努力呈现美国对他国长期开展网络攻击的恶劣行径,揭露其网络霸权对全球网络空间秩序构成的重大破坏及严重威胁。
《报告》按照时间和事件脉络,共分为13篇,主要包括美国情报机构网络攻击他国关键基础设施,进行无差别网络窃密与监控,植入后门污染标准及供应链源头,开发网络攻击武器并造成泄露,纵容渗透测试平台成为黑客工具,干扰和打压正常的国际技术交流与合作,破坏网络空间国际秩序和市场规则,阻碍全球信息技术发展,制造网络空间的分裂与对抗等。
报告中文版:《美国情报机构网络攻击的历史回顾——基于全球网络安全界披露信息分析》
2023年4月12日 星期三
今日资讯速览:
1、国家互联网信息办公室关于《生成式人工智能服务管理办法(征求意见稿)》公开征求意见的通知
2、供应商惹祸!知名律所客户敏感数据被Azure云暴露超半年
3、国际 | 英国发布《数据保护和数字信息法案》修正案
1、国家互联网信息办公室关于《生成式人工智能服务管理办法(征求意见稿)》公开征求意见的通知
为促进生成式人工智能技术健康发展和规范应用,根据《中华人民共和国网络安全法》等法律法规,国家互联网信息办公室起草了《生成式人工智能服务管理办法(征求意见稿)》,现向社会公开征求意见。公众可通过以下途径和方式提出反馈意见:
1.登录中华人民共和国司法部 中国政府法制信息网(www.moj.gov.cn、www.chinalaw.gov.cn),进入首页主菜单的“立法意见征集”栏目提出意见。
2.通过电子邮件方式发送至:wajscy@cac.gov.cn。
3.通过信函方式将意见寄至:北京市海淀区阜成路15号国家互联网信息办公室网络安全协调局,邮编100048,并在信封上注明“生成式人工智能服务管理办法征求意见”。
意见反馈截止时间为2023年5月10日。
附件:生成式人工智能服务管理办法(征求意见稿)
国家互联网信息办公室
2023年4月11日
生成式人工智能服务管理办法
(征求意见稿)
第一条 为促进生成式人工智能健康发展和规范应用,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律、行政法规,制定本办法。
第二条 研发、利用生成式人工智能产品,面向中华人民共和国境内公众提供服务的,适用本办法。
本办法所称生成式人工智能,是指基于算法、模型、规则生成文本、图片、声音、视频、代码等内容的技术。
第三条 国家支持人工智能算法、框架等基础技术的自主创新、推广应用、国际合作,鼓励优先采用安全可信的软件、工具、计算和数据资源。
第四条 提供生成式人工智能产品或服务应当遵守法律法规的要求,尊重社会公德、公序良俗,符合以下要求:
(一)利用生成式人工智能生成的内容应当体现社会主义核心价值观,不得含有颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,暴力、淫秽色情信息,虚假信息,以及可能扰乱经济秩序和社会秩序的内容。
(二)在算法设计、训练数据选择、模型生成和优化、提供服务等过程中,采取措施防止出现种族、民族、信仰、国别、地域、性别、年龄、职业等歧视。
(三)尊重知识产权、商业道德,不得利用算法、数据、平台等优势实施不公平竞争。
(四)利用生成式人工智能生成的内容应当真实准确,采取措施防止生成虚假信息。
(五)尊重他人合法利益,防止伤害他人身心健康,损害肖像权、名誉权和个人隐私,侵犯知识产权。禁止非法获取、披露、利用个人信息和隐私、商业秘密。
第五条 利用生成式人工智能产品提供聊天和文本、图像、声音生成等服务的组织和个人(以下称“提供者”),包括通过提供可编程接口等方式支持他人自行生成文本、图像、声音等,承担该产品生成内容生产者的责任;涉及个人信息的,承担个人信息处理者的法定责任,履行个人信息保护义务。
第六条 利用生成式人工智能产品向公众提供服务前,应当按照《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》向国家网信部门申报安全评估,并按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续。
第七条 提供者应当对生成式人工智能产品的预训练数据、优化训练数据来源的合法性负责。
用于生成式人工智能产品的预训练、优化训练数据,应满足以下要求:
(一)符合《中华人民共和国网络安全法》等法律法规的要求;
(二)不含有侵犯知识产权的内容;
(三)数据包含个人信息的,应当征得个人信息主体同意或者符合法律、行政法规规定的其他情形;
(四)能够保证数据的真实性、准确性、客观性、多样性;
(五)国家网信部门关于生成式人工智能服务的其他监管要求。
第八条 生成式人工智能产品研制中采用人工标注时,提供者应当制定符合本办法要求,清晰、具体、可操作的标注规则,对标注人员进行必要培训,抽样核验标注内容的正确性。
第九条 提供生成式人工智能服务应当按照《中华人民共和国网络安全法》规定,要求用户提供真实身份信息。
第十条 提供者应当明确并公开其服务的适用人群、场合、用途,采取适当措施防范用户过分依赖或沉迷生成内容。
第十一条 提供者在提供服务过程中,对用户的输入信息和使用记录承担保护义务。不得非法留存能够推断出用户身份的输入信息,不得根据用户输入信息和使用情况进行画像,不得向他人提供用户输入信息。法律法规另有规定的,从其规定。
第十二条 提供者不得根据用户的种族、国别、性别等进行带有歧视性的内容生成。
第十三条 提供者应当建立用户投诉接收处理机制,及时处置个人关于更正、删除、屏蔽其个人信息的请求;发现、知悉生成的文本、图片、声音、视频等侵害他人肖像权、名誉权、个人隐私、商业秘密,或者不符合本办法要求时,应当采取措施,停止生成,防止危害持续。
第十四条 提供者应当在生命周期内,提供安全、稳健、持续的服务,保障用户正常使用。
第十五条 对于运行中发现、用户举报的不符合本办法要求的生成内容,除采取内容过滤等措施外,应在3个月内通过模型优化训练等方式防止再次生成。
第十六条 提供者应当按照《互联网信息服务深度合成管理规定》对生成的图片、视频等内容进行标识。
第十七条 提供者应当根据国家网信部门和有关主管部门的要求,提供可以影响用户信任、选择的必要信息,包括预训练和优化训练数据的来源、规模、类型、质量等描述,人工标注规则,人工标注数据的规模和类型,基础算法和技术体系等。
第十八条 提供者应当指导用户科学认识和理性使用生成式人工智能生成的内容,不利用生成内容损害他人形象、名誉以及其他合法权益,不进行商业炒作、不正当营销。
用户发现生成内容不符合本办法要求时,有权向网信部门或者有关主管部门举报。
第十九条 提供者发现用户利用生成式人工智能产品过程中违反法律法规,违背商业道德、社会公德行为时,包括从事网络炒作、恶意发帖跟评、制造垃圾邮件、编写恶意软件,实施不正当的商业营销等,应当暂停或者终止服务。
第二十条 提供者违反本办法规定的,由网信部门和有关主管部门按照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律、行政法规的规定予以处罚。
法律、行政法规没有规定的,由网信部门和有关主管部门依据职责给予警告、通报批评,责令限期改正;拒不改正或者情节严重的,责令暂停或者终止其利用生成式人工智能提供服务,并处一万元以上十万元以下罚款。构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第二十一条 本办法自2023年 月 日起实施。
2、供应商惹祸!知名律所客户敏感数据被Azure云暴露超半年
安全内参4月11日消息,美国知名国际律师事务所普洛思(Proskauer Rose)因安全漏洞导致客户敏感数据暴露,持续时间超过六个月。
一位知情人士表示,普洛思律所将并购业务数据保存在一个不安全的微软Azure云服务器上。
外媒TechCrunch获得了部分暴露数据集,其中包含约18.4万个文件。只要知晓存储位置,任何人都能通过网络浏览器访问这些文件,具体涉及私人和高权限财务及法律文件、合同、保密协议、金融交易以及知名收购相关文件。
这台暴露云服务器由GrayHatWarfare发现。GrayHatWarfare是一个可搜索的数据库,能够索引公开可见的云存储及文件。据了解,这些文件已在网上公开至少六个月之久。
图:安全内参截自GrayHatWarfare官网
普洛思律所在两周前解决了暴露问题,但尚未通知客户。在这家律所网站的客户清单中,列出了美国职业棒球大联盟、摩根士丹利等众多大牌组织机构。
在我们联系该公司提出置评请求时,普洛思律所拒绝回应与暴露数据的规模及性质相关的问题,但也没有对这些说法提出异议。该公司也不清楚数据是如何暴露的,但因服务器配置错误而人为引发的类似问题并不少见。
在发给TechCrunch的电子邮件中,普洛思律所似乎错误将数据泄露称为“网络攻击”,毕竟目前既没有恶意迹象,也没有提到是否掌握关于数据渗漏的证据。
根据公司发言人Joanne Southern提供的一份声明,普洛思律所表示最近刚刚发现“聘请的一家外部供应商在第三方云存储平台上创建了信息门户,但没有对其进行适当保护。”
普洛思律所拒绝透露这家供应商的名称。
Southern表示,“我们的IT安全团队立即采取措施,重新配置了站点并保护相关数据。调查正在进行当中,我们也一直与内部及第三方网络安全专家开展紧急合作,以确认目前对事态的把握。我们非常重视数据保护工作,正采取积极措施以监控并防止任何对这部分数据的未经授权访问或使用。”
Southern指出,普洛思律所将“在获得充分的信息之后,以负责任的态度立即与受到影响的各方进行沟通。”
3、国际 | 英国发布《数据保护和数字信息法案》修正案
近日,英国在议会提交了新的《数据保护和数字信息法案》(Data Protec-tion and Digital Information Bill)。《数据保护和数字信息法案》被视为英国版的《通用数据保护条例》(GDPR),修改涉及减轻数据跨境义务、消除国际贸易壁垒、鼓励自动化决策等多个方面。
《数据保护和数字信息法案》于2022年夏天首次提出,由政府相关部门、数据保护专家和商业领袖共同参与设计。为了避免欧盟《通用数据保护条例》的“一刀切”和流程烦琐等问题,去年9月,英国暂缓了《数据保护和数字信息法案》的立法程序。
此次修订后的法案引入了一个简单清晰且对企业友好的框架,在沿用欧盟《通用数据保护条例》优势的基础上为企业提供更大的灵活性;确保新制度与欧盟数据容量保持一致;进一步减少合规性文书;不会为企业增加额外成本;明确何时可在未经同意的情况下处理个人数据;确保自动化决策有所保障,从而提高公众和企业对人工智能技术的信心。
此外,该法案还将对骚扰电话和短信的罚款提高到全球营业额的4%或1750万英镑(以更高额为准),旨在减少收集个人数据的确认弹窗数量;将为使用可信和安全的数字验证服务建立框架,允许以数字方式证明身份。
该法案赋予英国信息专员办公室(ICO)更大的职权,设立由主席和首席执行官组成的法定委员会,加强其数据监管机构地位。
英国政府官网的公告显示,软化后的数据监管框架预计在未来10年内为英国省下47亿英镑的合规成本,并将确保隐私和数据安全。
英国政府认为,数据对于推动社会各个领域的经济增长至关重要,尤其是在人工智能等创新技术的开发和应用方面。数据驱动的贸易占英国服务出口总额的85%,并在2021年为经济增长贡献了约2590亿英镑。
2023年4月11日 星期二
今日资讯速览:
1、湖南网安适用《数据安全法》对多个单位作出行政处罚
2、美国政府称微软向受制裁的俄罗斯公司出售软件 公司认罚300万美元
3、美军“泄密文件”爆新料 韩国政府高层疑遭美国监听
1、湖南网安适用《数据安全法》对多个单位作出行政处罚
《数据安全法》正式实施后,公安机关网安部门积极适用新法,坚持“以打促管、生态治理”,全面压紧压实网络运营单位数据安全主体责任,充分体现“有法可依、有法必依、执法必严”的法治精神。
典型案例一
2023年2月,湖南省长沙市公安局岳麓分局网安部门工作发现,辖区某电商平台存在数据泄露隐患,迅速组织专业技术人员调取日志并约谈单位相关责任人员。
经查,该企业服务器存在未授权访问漏洞,用户隐私数据存在泄露风险。通过进一步核实,该企业未制定数据安全管理制度、未充分落实网络安全等级保护制度。
长沙市公安局岳麓分局根据《数据安全法》第二十七条、第四十五条第一款之规定,给予该企业警告,并处罚款五万元,对直接责任人处罚款一万元,责令限期改正。
典型案例二
2023年2月,湖南省湘潭市公安局岳塘分局网安部门通过工作发现辖区某商旅服务公司票务系统中存有大量用户姓名、电话、身份证号、航班、银行账户等敏感数据,存在数据泄露风险。
经查,该公司服务器短时间内存在大量登录失败,被恶意用户暴力破解账户密码痕迹。同时,服务器内安装的ElasticSearch软件,可通过互联网在无需账号密码条件下直接访问系统内敏感数据。
湘潭市公安局岳塘分局根据《数据安全法》第二十七条、第四十五条第一款之规定,给予该企业警告,并责令限期改正。
典型案例三
2023年3月,湖南省永州市东安县公安局网安部门在查办一起侵犯公民个人信息案件中发现某小区业主信息泄露线索,随即对小区所属物业公司发起“一案双查”。
经查,该公司使用的人脸识别系统、车辆管理系统中明文存有6000余名业主姓名、电话、身份证号、银行账户等敏感数据信息。
同时,人脸识别系统、车辆管理系统均存在登录账号弱口令,账号未设置权限管理,存放用户数据的办公电脑使用向日葵远程控制软件进行操作,且未采取任何安全防护措施,未履行数据安全保护义务。
永州东安县公安局根据《数据安全法》第二十七条、第四十五条第一款之规定,给予该公司警告,并责令限期改正。
典型案例四
2023年3月,湖南省怀化市沅陵县公安局网安部门通过工作发现辖区某燃气公司缴费系统存有大量客户姓名、电话、身份证号、家庭住址等敏感数据。
经查,该公司办公电脑未设置开机密码,缴费系统账号密码均为弱口令,并且该企业未制定数据安全管理制度、未充分落实网络安全等级保护制度。
怀化沅陵县公安局根据《数据安全法》第二十七条、第四十五条第一款之规定,给予该企业警告,并责令限期改正。
《中华人民共和国数据安全法》
2021年9月1日起,《中华人民共和国数据安全法》正式施行。开展数据处理活动,应该重点了解并遵守以下法律规定:
第二十七条
开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。
利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
第四十五条
开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
《数据安全法》
《数据安全法》作为我国首部数据安全领域的基础性立法,以总体国家安全观为立法目标,聚焦数据安全领域的突出问题,确立了数据分类分级管理,建立了数据安全风险评估、监测预警、应急处置,数据安全审查等基本制度,并明确了相关主体的数据安全保护义务。
全国公安机关将依法严厉打击整治涉数据安全领域违法犯罪活动和各类乱象,坚决筑牢数据安全保护屏障。
2、美国政府称微软向受制裁的俄罗斯公司出售软件 公司认罚300万美元
微软已经同意支付超过300万美元的罚款,因为从2012年到2019年向古巴、伊朗、叙利亚和俄罗斯的受制裁实体和个人出售软件。美国财政部表示,"大多数明显的违规行为涉及位于乌克兰克里米亚地区的被封锁的俄罗斯实体或个人",该公司将向财政部外国资产控制办公室(或OFAC)支付约298万美元,向商务部支付347631美元(原本以624013美元和解,但将因其与财政部的协议而获得部分赦免)。
根据外国资产管制处的执行通知,微软、微软爱尔兰和微软俄罗斯未能监督谁在通过第三方合作伙伴购买公司的软件和服务。也就是说,微软把东西卖给了可以合法交易的公司,但这些公司转身就把东西卖给了那些不应该得到微软产品的公司。通知说:"在某些涉及中间商销售的批量许可项目中,微软没有被提供,也没有以其他方式获得关于其产品的最终客户的完整或准确信息。"
财政部说,这只是俄罗斯试图规避制裁的一个例子。微软俄罗斯公司的员工可能还故意试图挫败该公司的尽职调查工作。该公告包括关于一家俄罗斯石油和天然气基础设施公司的细节,在"某些微软俄罗斯员工成功地使用该子公司的假名,代表该公司安排订单"之前,微软筛选并拒绝了该公司。这些员工被解雇了,但外国资产管制处说,这一事实"强调了俄罗斯联邦的行为者在逃避美国制裁方面的持续努力"。
财政部还说,微软在其合规程序中还存在一些其他漏洞。显然,在一些情况下,它拥有的信息本应提醒它注意受制裁方正在使用其产品的事实,但由于各种原因,它没有发现。据财政部称,这些原因包括未能正确汇总信息,以及没有对所有受限方进行扫描--其名单不包括被制裁公司拥有多数股权的公司,也不包括西里尔语或中文名称,而这正是客户在申请购买该软件时提供的名称。
300万美元的罚款对微软来说不算什么大数字,尤其是当财政部说该公司从销售中净赚约1200万美元的时候。然而,尽管财政部说微软"表现出鲁莽地无视美国的制裁",但由于该公司处理情况的方式,它似乎对该公司给予了相当程度的宽限。根据公告,是微软自己发现了这些违规行为,对其进行了调查,然后向政府进行了自我报告,并且该公司已经做出了"重大"改变,以加强其执法政策和措施。
最后一部分可能是最大的问题。所有这些都发生在俄罗斯最近入侵乌克兰之前(它在2014年入侵并吞并了克里米亚),但自2022年初以来,美国对俄罗斯的制裁数量激增,其中许多涉及销售技术。微软并不是唯一一个因向俄罗斯出售受限技术而面临后果的公司;本周早些时候,美国司法部指控一名爱沙尼亚国民涉嫌向俄罗斯军方出售美国电子产品和黑客工具。
3、美军“泄密文件”爆新料 韩国政府高层疑遭美国监听
据美国《纽约时报》9日报道,在多家社交媒体近来出现的一批疑似美军秘密文件中,包含韩国政府高层讨论是否向乌克兰提供武器等内容,而根据韩国官方立场,韩国只向乌克兰提供防弹衣、防毒面具等非致命性军事援助。这些信息来自美国情报部门对韩方的监听。针对上述报道,韩国总统办公室一名官员9日回应,韩方将就此事与美方沟通。
2023年4月10日 星期一
今日资讯速览:
1、ChatGPT 写 PoC,拿下漏洞!
2、定了!快递电子运单上,禁止显示这些信息
3、安全研究人员诱导ChatGPT编写出危险的数据窃取恶意软件
1、ChatGPT 写 PoC,拿下漏洞!
2、定了!快递电子运单上,禁止显示这些信息
《快递电子运单》国家标准强化个人信息保护
近日实施的《快递电子运单》国家标准强化个人信息保护,禁止显示完整的个人信息,推荐对个人信息进行全加密处理,规范个人信息相关内容的读取权限。
这是记者7日从市场监管总局举行的快递业两项国家标准专题新闻发布会上获悉的。《快递电子运单》国家标准和《通用寄递地址编码规则》国家标准近日正式实施。
我国快递年业务量达千亿件,快递电子运单是应用于快递外包装的重要单据,每年耗用量很大。在强化个人信息保护方面,《快递电子运单》国家标准要求快递企业、电商经营主体等采取措施,避免在电子运单上显示完整的收寄件人个人信息。收寄件人姓名应隐藏1个汉字以上,联系电话应隐藏6位以上,地址应隐藏单元户室号。推荐对个人信息进行全加密处理,规范个人信息相关内容的读取权限,仅限于快递企业及其授权的第三方、相关管理部门,使用相关设备合法读取。标准还明确了纸张、背胶、油墨,以及字体字号、隐藏及加密处理、胶粘物理性能等一系列技术指标。
《通用寄递地址编码规则》国家标准实现全行业地址信息及编码体系的统一,将寄递地址代码化、替代文本地址,无需再记录和书写传统的文本地址,避免了地址不清、书写错误等问题,方便寄递企业和广大用户。通用寄递地址编码的应用场景十分广泛,如应用于无人机、无人车,实现自动导航和智能无接触服务;连通不同企业的数据信息,实现共同分拣、共同投递等。
3、安全研究人员诱导ChatGPT编写出危险的数据窃取恶意软件
自去年推出以来,ChatGPT以其撰写文章、诗歌、电影剧本等的能力在技术爱好者中引发轰动。该人工智能工具甚至可以生成功能性代码,只要给它一个写得很好、很清晰的提示。虽然大多数开发者会将该功能用于完全无害的目的,但一份新的报告表明,尽管OpenAI设置了保障措施,它也可以被恶意行为者用来创建恶意软件。
一位网络安全研究人员声称,他利用ChatGPT开发了一个零日漏洞攻击程序,可以从被攻击的设备中窃取数据。令人震惊的是,该恶意软件甚至逃避了VirusTotal上所有供应商的检测。
Forcepoint的Aaron Mulgrew说,他在恶意软件创建过程的早期就决定不自己编写任何代码,只使用先进的技术,这些技术通常是由像部分国家支持的复杂威胁行为者采用的。
Mulgrew将自己描述为恶意软件开发的"新手",他使用的是Go执行语言,不仅因为它易于开发,而且还因为他可以在需要时手动调试代码。他还使用了隐写术,将秘密数据隐藏在普通文件或信息中,以避免被发现。
Mulgrew一开始直接要求ChatGPT开发恶意软件,但这让聊天机器人的护栏开始发挥作用,它以道德理由直截了当地拒绝执行这项任务。然后,他决定发挥创意,要求人工智能工具在手动将整个可执行程序放在一起之前生成小段的辅助代码。
这一次,他的努力获得了成功,ChatGPT创造了包含入侵能力的代码,并且还绕过了VirusTotal上所有反恶意软件的检测。然而,要求编写混淆代码以避免检测被证明是棘手的,因为ChatGPT认识到这种要求是不道德的,并拒绝遵守它们。
尽管如此,Mulgrew在只做了几次尝试后就能做到这一点。该恶意软件第一次被上传到VirusTotal时,有五个供应商将其标记为恶意软件。经过几次调整,代码被成功混淆,没有一个供应商将其识别为恶意软件。
Mulgrew说整个过程"只花了几个小时"。如果没有这个聊天机器人,他相信一个由5-10名开发人员组成的团队会花上几周时间来制作这个恶意软件,并确保它能躲避安全应用程序的检测。
虽然Mulgrew创建恶意软件是为了研究目的,但他说,使用这种工具的理论上的零日攻击可以针对高价值的个人,渗透并发回计算机里的重要文件。
2023年4月7日 星期五
今日资讯速览:
1、OpenAI 将就 ChatGPT 禁令在意大利提交补救措施,承诺更透明处理用户数据
2、科技部公开征求对《科技伦理审查办法(试行)》的意见
3、惠普企业级打印机出现严重漏洞,涉及50余种机型
1、OpenAI 将就 ChatGPT 禁令在意大利提交补救措施,承诺更透明处理用户数据
IT之家 4 月 6 日消息,ChatGPT 是 OpenAI 在 2022 年 11 月推出了一款聊天机器人,几个月内火遍全球。然而,这款聊天机器人却引起了欧洲多国的数据安全和隐私方面的担忧。其中,意大利是第一个采取行动的国家。
意大利隐私监管机构将于当地时间周三与 OpenAI 代表会面,讨论在该国暂时禁止使用 ChatGPT 的问题。OpenAI 表示,该公司愿意同意大利当局合作,以确保遵守隐私法规。
意大利数据保护局(Garante per la Protezione dei Dati Personali)今天表示,OpenAI 计划当地时间周四向意大利当局提交补救措施,寻求缓解意方担忧。
意大利数据保护局称,在当地时间周三晚的视频会议上,OpenAI 承诺在处理用户数据和核实用户年龄的方式上更加透明。该机构表示将评估 OpenAI 提出的措施。
图源 Pexels
据IT之家了解,意大利上周宣布,基于欧盟的《通用数据保护条例》(GDPR)法律,暂时禁止 ChatGPT 在其境内运行。此外,意大利数据保护局在上月底对 ChatGPT 涉嫌违反隐私规则展开调查。该机构认为,3 月 20 日 ChatGPT 平台出现了用户对话数据和付款服务支付信息丢失情况。此外平台没有就收集处理用户信息予以告知,缺乏大量收集和存储个人信息的法律依据。
根据意大利方面的要求,OpenAI 须在 20 天内通过其在欧洲代表向监管机构通报公司执行其要求而采取的措施,否则将被处以最高 2000 万欧元或公司全球年营业额 4% 的罚款。
2、科技部公开征求对《科技伦理审查办法(试行)》的意见
4日,为贯彻落实《关于加强科技伦理治理的意见》,加强科技伦理审查和监管,促进负责任创新,科技部牵头,会同相关部门研究起草了《科技伦理审查办法(试行)》,现向社会公开征求意见。办法旨在规范科学研究、技术开发等科技活动的科技伦理审查工作,强化科技伦理风险防控,促进负责任创新,内容主体包括审查主体、审查程序及监督管理三方面。
3、惠普企业级打印机出现严重漏洞,涉及50余种机型
近日,惠普在一份安全公告中宣布,修复影响某些企业级打印机固件的严重漏洞最多需要 90 天。
该安全问题被追踪为 CVE-2023-1707,它影响了大约 50 种 HP Enterprise LaserJet 和 HP LaserJet Managed Printers 型号。
该公司使用 CVSS v3.1 标准计算出的严重性得分为 9.1(满分 10),并指出利用该标准可能会导致信息泄露。
尽管得分很高,但由于易受攻击的设备需要运行 FutureSmart 固件版本 5.6 并启用 IPsec,因此存在利用环境受限的情况。
IPsec(Internet 协议安全)是用于企业网络的 IP 网络安全协议套件,用于保护远程或内部通信并防止未经授权访问资产(包括打印机)。
FutureSmart 允许用户通过打印机上可用的控制面板或用于远程访问的 Web 浏览器来工作和配置打印机。
在这种情况下,信息泄露漏洞可能允许攻击者访问易受攻击的 HP 打印机与网络上其他设备之间传输的敏感信息。
BleepingComputer 媒体已联系HP官方以了解有关该缺陷的确切影响的更多信息,以及供应商是否看到了积极利用的迹象,但目前还没有收到任何声明。
以下打印机型号受 CVE-2023-1707 影响:
HP Color LaserJet Enterprise M455
HP Color LaserJet Enterprise MFP M480
HP Color LaserJet Managed E45028
HP Color LaserJet Managed MFP E47528、 E785dn、E78523、E78528
HP Color LaserJet Managed MFP E786、HP Color LaserJet Managed Flow MFP E786、HP Color LaserJet Managed MFP E78625/30/35、HP Color LaserJet Managed Flow MFP E78625/30/35
HP Color LaserJet Managed MFP E877、E87740/50/60/70、HP Color LaserJet Managed Flow E87740/50/60/70
HP LaserJet Enterprise M406、M407
HP LaserJet Enterprise MFP M430、M431
HP LaserJet Managed MFP E42540
HP LaserJet Managed MFP E730、HP LaserJet Managed MFP E73025、E73030
HP LaserJet Managed MFP E731、HP LaserJet Managed Flow MFP M731、HP LaserJet Managed MFP E73130/35/40、HP LaserJet Managed Flow MFP E73130/35/40
HP LaserJet Managed MFP E826dn、HP LaserJet Managed Flow MFP E826z、HP LaserJet Managed E82650/60/70、HP LaserJet Managed E82650/60/70
惠普表示,解决该漏洞的固件更新将在 90 天内发布,因此目前没有可用的修复程序。
对于运行 FutureSmart 5.6 的客户,建议的缓解措施是将其固件版本降级到 FS 5.5.0.3。
“惠普建议立即恢复到以前版本的固件(FutureSmart 版本 5.5.0.3)。预计将在 90 天内更新固件以解决该问题。” 惠普官方声明。
此外,还建议用户从HP 官方下载门户获取固件包,在那里他们可以选择自己的打印机型号并获取相关软件。
2023年4月6日 星期四
今日资讯速览:
1、关于发布 “CNNVD漏洞奖励计划”的公告
2、美媒曝光!美国政府用间谍软件监控世界各地手机用户!德国前总理、法国多任总统被监听
3、欧盟委员会发布2023-2024年数字欧洲工作计划
1、关于发布 “CNNVD漏洞奖励计划”的公告
一、计划简介
“CNNVD漏洞奖励计划”面向对象是为CNNVD报送漏洞的企业、团队以及个人,奖励其报送的高质量漏洞。本计划以精神表彰与物质奖励相结合的方式,鼓励引导安全研究人员积极有序提交漏洞,共同提升我国网络安全漏洞预警及风险消控能力水平。
二、奖励范围
CNNVD对接报的通用型漏洞,按相关标准和程序进行验证研判和危害评估,经专家审议后筛选出符合条件的漏洞,对报送者发放相应奖励。
三、奖项设置及奖励条件
1. 一级贡献奖
漏洞的危害程度高,并且在我国网络安全漏洞预警及风险消控工作中发挥了重要作用,奖励金额为人民币5万元(税后),同时颁发“一级贡献奖”荣誉证书。
2. 二级贡献奖
漏洞的危害程度较高,并且在我国网络安全漏洞预警及风险消控工作中发挥了积极作用,奖励金额为人民币2万元(税后)同时颁发“二级贡献奖”荣誉证书。
国家信息安全漏洞库(CNNVD)
2023年4月3日
2、美媒曝光!美国政府用间谍软件监控世界各地手机用户!德国前总理、法国多任总统被监听
据美国《纽约时报》2日报道,美国政府通过第三方公司,在2021年11月8日与以色列间谍软件公司NSO集团在美国的分支机构签署秘密合同。根据合同的约定,NSO将向美国政府提供间谍软件,用于秘密跟踪身处世界各地的手机用户。
《纽约时报》报道说,美国政府与以色列NSO集团签订的秘密合同至今有效。报道还说,虽然这份合同是第三方公司出面签订,但“美国政府”是间谍软件的最终用户。
根据这份合同,美国政府可以使用NSO集团一款名为“地标”(Landmark)的地理定位黑客工具,政府官员通过访问一个特殊的网站,在输入目标用户的手机号码后,即可在该用户不知情或未同意的情况下精确定位手机的位置。
报道披露,两名知情人士表示,在该合同下,美国对在墨西哥的手机用户就至少进行了数千次查询。目前,墨西哥政府方面尚未对上述消息作出回应。
这一合同甚至公然违背美国政府自己制定的措施。报道发现,就在合同签订5天前,也就是2021年11月3日,拜登政府公开宣布,将以色列NSO集团列入美国商务部黑名单,禁止该公司在美国的商业运营。但这一措施,显然被美国政府无视并违反。
而在《纽约时报》的这篇报道刊发前,3月27日,拜登还签署一项行政命令,禁止政府使用商业间谍软件。一名美国高级官员私下表示,美国政府使用NSO集团的间谍软件,违反了新的行政命令。
美国实施“无差别”监视监听。从竞争对手到盟友,甚至包括德国前总理默克尔、法国多任总统等盟国领导人,无不在监听范围之内。
(来源:央视财经)
3、欧盟委员会发布2023-2024年数字欧洲工作计划
欧盟委员会最近发布了其2023-2024年数字欧洲计划的工作方案及预算编制,概述了未来几年有关关键信息技术的政策重点,欧盟将投入1.13亿欧元用于改善云服务安全性、创设人工智能实验及测试设施以及提升各个领域的数据共享水平。在网络安全方面,欧盟今年发布了一份专门的工作文件,进一步强调提升识别和应对网络安全事件的能力。欧盟委员会2023-2024工作计划涉及以下重点内容:
高性能计算机
和去年的安排一样,高性能计算机相关的研发将继续由欧洲高性能计算联合工作组(EuroHPC JU)实施,开发、部署处于“世界领先地位”的超级计算机、量子计算机及数据基础设施;支持开发需求导向、用户导向的超级计算机系统;进一步扩大超级计算机的使用范围,扩大到足够数量的私人及公共用户,支持关键技能(key skills)的发展及欧洲科学及工业的双重转型。
云服务,数据及人工智能
欧盟将进一步增强其核心人工智能能力(core Artificial Intelligence capacities),并将其作为公私部门数字化转型的主要动力。《欧洲数据战略》论述了在保证隐私、伦理及网络安全的前提下,私主体以数据为驱动力创造社会价值的数字生态系统。欧盟委员会将投资更多的高影响力项目,提升全欧洲的数据共享水平,资助数据共享相关的工具、设施及治理机制的研究,资助人工智能生态系统及下一代端到云服务(cloud and edge services)。
1.继续开展端到云服务方面的研究及相关基础设施建设,预计2023年将会在去年工作方案的基础上新增两个项目;
2.继续安排部署“数据欧洲(Data for EU)”,以建设行业内数据空间为重点目标。以端到云服务及相关基础设施建设为基础,其适用范围将扩大到整个欧盟范围的企业及公共部门。同时,工作组将进一步开展“支持欧盟的数据(Support for data in the EU)”项目,如开放数据门户网站、数字产品证照等。
3.建设人工智能实验及测试设施(TEFs),协调和支持上一年度建设的卫生、制造业、农业、智慧城市等领域的TEF,开展跨部门性质的TEF活动,进一步增强人工智能生态系统的可持续性。
网络安全
网络安全是欧盟数字化转型的核心,欧盟将持续加强其应对网络安全事件及风险的能力,进一步保证数字产品供应链的安全性。欧盟将投资3500万欧元用于建设网络安全应急机制,将资助关键实体开展网络安全审计,帮助欧盟网络储备(European Cyber Reserve)组织应对网络事件,并计划在4月提出《网络团结法案》(Cyber Solidarity Act)。
欧盟将投资8500万欧元,用于强化安全操作中心(Security Operation Centres,SOC),这一数字超过了整个网络安全预算的一半,该组织的主要任务是监测、预测网络事件并做出回应。该计划下的资助项目及《网络团结法案》将共同推动欧洲侦察设施(European Detection Infrastructure)的建设,SOC将以此为基础实现信息共享及网络安全事件应对。欧盟计划建立覆盖波罗的海及东地中海地区的SOC,欧盟计划通过这种方式与其邻近国家分享网络威胁相关的情报。
此外,该工作计划还提到了网络威胁检测及分析能力提升、促进网络社区协调、帮助中小企业履行合规义务等目标。
数字能力提升
这部分内容主要是为了支持欧盟教育和培训机构在数字领域的相关工作,提升其吸引及培育数字人才的能力,营造有利于创新和数字化转型的人才系统,并鼓励研究机构与企业之间开展合作。这部分行动计划将有助于欧盟实现“数字十年(Digital decade)”的目标,包括2030年实现信息通信领域专家超2000万、推动更多的女性进入这一领域,并与数字教育行动计划(Digital Education Action Plan)保持一致,增加信息通信领域的毕业生数量。同时,欧盟将继续推动“深层技术人才倡议(Deep Tech Talent Initiative)”的实施,这是欧盟近年来的标志性倡议之一,计划在2023年提出两项有关数字教育及能力培养的相关法案。
数字技术的最佳使用
数字技术的推广及最佳使用将优先适用于支持中小企业及公共部门,如帮助其实现数字化转型。在区块链方面,工作组将与欧洲区块链伙伴关系(European Blockchain Partnership)合作,进一步加强欧洲区块链服务基础设施(EBSI)的建设、试点和部署。在公共服务方面,欧盟以建设数字身份为重心,推动政府及公共机构的数字化转型,加强公共数字服务的互操作性,提升欧洲司法系统的数字化水平。欧盟将继续实施“更有利于未成年的互联网(Better Internet for Kids,BIK)”计划,为未成年人提供更多的网络保护。此外,俄乌战争所带来的能源危机成为一个亟需解决的问题,智能电表和相关应用程序能帮助消费者减少或优化他们的能源消耗,2022年8月通过的“能源数字化行动计划”将推动欧盟和成员国之间的合作,为相关的应用程序开发提供一个共同的治理框架。
2023年4月5日 星期三
今日资讯速览:
1、西部数据遭黑客入侵,My Cloud 服务中断
2、美国国防部推出“攻击五角大楼”网站
3、宝马声称数据泄露仅限于当地经销商
1、西部数据遭黑客入侵,My Cloud 服务中断
西部数据(Western Digital)于当地时间4月3日公开声称,公司系统网络遭到了入侵,某未经授权的访问者获得了对多个系统的访问权限。
这家全球知名、总部位于美国加利福尼亚州的计算机驱动器制造商和数据存储服务提供商在一份新闻稿中表示,网络入侵是在上周日,也就是3 月 26 日被发现。事发后,公司实施了事件响应工作,并在专家团队的协助下开始进行调查。目前调查处于早期阶段,但根据现已掌握的迹象,公司认为入侵者已经访问了部分数据,可能会对其业务运营造成进一步破坏。
为了保护系统数据,西部数据采取了额外的安全措施,部分服务不得不中断。自3月26日以来,多个包括My Cloud、My Cloud Home、My Cloud Home Duo、My Cloud OS5、SanDisk ibi、SanDisk Ixpand等产品在内的用户一直在报告他们无法访问自己的云存储服务系统,在登陆时会弹出“服务暂时不可用”的提示。
Delinea 首席安全科学家兼咨询 CISO 约瑟夫·卡森表示,该事件提醒我们,当攻击者成功获得对受害者网络的未授权访问、尤其是该公司是一家为众多客户提供服务的云存储公司时会造成的后果。由于许多消费者和企业无法远程访问关键数据,因此这一安全事件的影响可能会显著升级。
根据 My Cloud 服务状态页面,当前的服务中断已经是该公司近几年来持续时间最长、范围最广的一次,而上一次该公司出现较为重大的安全事件是在2021年,其My Book Live 系列产品被曝存在两个严重漏洞,能允许外部攻击者远程擦除NAS 机箱内的硬盘数据。
2、美国国防部推出“攻击五角大楼”网站
近日,美国防部首席数字和人工智能办公室(CDAO)数字服务局(DDS)推出“攻击五角大楼”网站(HtP),以支持落实其同名计划。HtP采用漏洞赏金作为保护国防部关键系统和资产的方式,邀请经过审查的独立安全研究人员“白帽黑客”发现、调查、报告及修复漏洞。HtP网站用于为国防部各单位、供应商及安全研究人员提供相关信息资源,推进国防部落实包括HtP计划在内的综合网络安全战略。截至目前,在HtP计划框架下DDS已与1400多名“白帽黑客”开展40余次合作,标记并修复2100余个漏洞。
3、宝马声称数据泄露仅限于当地经销商
近日,宝马法国公司声称3月下旬Play勒索软件团伙发起的网络攻击只影响了其一家当地经销商,该经销商独立于该公司运营。Play威胁称窃取了个人机密数据、合同及财务信息等,若公司拒不支付赎金,将在两周内泄露数据。宝马表示,将帮助这家独立经销商解决涉嫌数据泄露的问题。
2023年4月4日 星期二
今日资讯速览:
1、主播“诱骗”ChatGPT 生成 Win95 系统密钥,三分之一概率可激活
2、美国修订法律:医疗器械上市需自证网络安全,否则不予通过
3、意大利个人信息保护局宣布禁用ChatGPT并展开调查
1、主播“诱骗”ChatGPT 生成 Win95 系统密钥,三分之一概率可激活
IT之家 4 月 1 日消息,YouTube 频道 Enderman 在最新一期视频中,“诱骗”ChatGPT 生成可激活 Win95 系统的密钥。
该主播首先直接要求 ChatGPT 生成 Win95 系统的密钥,理所当然地遭到了拒绝。
主播表示生成 Win95 密钥纯粹是出于好玩的目的,而且 Win95 的密钥生成机制也相当简单。该主播随后将 Win95 的密钥规则告诉 ChatGPT,然后通过调整一些语序和改进,生成了相应的密钥。
该主播随后在一台 Win95 虚拟机上随机测试了这些密钥,发现只有三分之一的密钥可以成功激活。IT之家附完整视频内容如下:
2、美国修订法律:医疗器械上市需自证网络安全,否则不予通过
安全内参3月31日消息,美国卫生与公众服务部(HHS)下辖食品药品监督管理局(FDA)日前发布最终指导文件,为网络设备制定了新的网络安全要求,其中包括网络设备在上市前的申报材料中必须提交的信息。文件还要求医疗保健相关方应将软件物料清单(SBOM)和漏洞披露报告纳入基础设施网络安全规定。
这份题为《医疗设备的网络安全:FD&C法案第524B条下网络设备及相关系统的拒绝接收政策》的指导文件称,《2023年综合拨款法案》第3305条修订了《联邦食品、药品和化妆品法案》(即FD&C法案),添加了第524B节以协助确保设备的网络安全。此外,法律还规定,FD&C法案的修正案将于2023年3月29日颁布起的90天后生效。
根据法案规定,这些网络安全要求不适用于2023年3月29日前提交至FDA的申报或提交材料。但FDA方面已经确定,FD&C法案第524B节中指定的日期,即在90天法定时限内征求公众意见并不具备可行性。尽管这项政策已经在未经前期评议的情况下立即实施,但FDA将考量收到的反馈并酌情对具体规定做出修改。
FDA表示,医疗设备越来越多地接入互联网、医院网络及其他医疗设备,旨在改善医疗保健效果并提高医疗服务方治疗患者的能力。但这些功能也会增加潜在的网络安全风险。与其他计算机系统一样,医疗设备同样易受安全漏洞的影响,进而破坏设备的安全性和有效性。
公示期间不会拒绝接收申报
威胁与漏洞不可避免,这就让降低网络安全风险变得极具挑战。医疗保健环境复杂,设备制造商、医院和公共部门必须协同努力以管理网络安全风险。
FDA原则上不会单纯根据FD&C法案新修正案的要求,在2023年10月1日之前对网络设备上市前提交的申报文件做“拒绝接收”批复。相反,FDA希望以交互及/或缺陷审查的方式与申报厂商合作。
拒绝接收简称RTA,是FDA在2012年针对上市前申报(即510k)制度实施的一项政策。根据Rob Packard在Medical Device Academy博文中的解释,上市前申报应在FDA审查流程之前的15个自然日内完成。“FDA将指派一名初步审查员对申报文件做RTA筛选,并由该审查员整理出一份RTA清单。FDA随后通过技术方式将RTA筛选内容替换进FDA eSTAR模板。这也是Medical Device Academy选择在所有510k申报中使用SFDA eSTAR模板,而非旧的20条式510k格式的原因之一。”
申报文件必须提供完整的网络安全状况
新发布的指导文件概述了自2023年3月29日起生效的第524B节中网络安全条款部分的一项要求,即根据510(k)、513、515(c)、515(f)或520(m)对于符合本节下网络设备定义的设备,“应包含[FDA]可能要求的信息,以确保此类网络设备满足网络安全要求。”
指导文件还提到,申报或提交的厂商应向FDA提供一份计划,以在合理的时间内酌情监控、识别和解决产品上市后出现的网络安全漏洞及利用,包括如何协调漏洞披露和相关程序。
厂商应提供设计、开及维护流程和程序,以合理保证设备及相关系统的网络安全。厂商还应提供设备及相关系统在上市后的更新和补丁修复,在合理的固定周期内解决不可接受的已知漏洞,并尽快以非固定周期解决可能导致失控风险的关键漏洞。
厂商还应向FDA提交软件物料清单(SBOM),包括商业、开源及现成的软件组件,并遵循FDA可能依据法规提出的其他要求,借此对设备及相关系统的网络安全水平做出合理保证。
指导文件规定,对于2023年10月1日前提交的网络设备上市申报,FDA原则上不会仅根据FD&C法案第524B条要求的信息做“拒绝接收”决定。“相反,FDA希望以交互及/或缺陷审查的方式与申报厂商合作。”
在评论这部分内容时,Packard写道,“我们相信FDA将在2023年10月1日更新eSTAR模板以纳入网络安全要求。在未来的eSTAR模板中,将无法提交不包含网络安全要求的510k,因为eSTAR会自动验证模板中各部分内容的填写情况。”
指导文件还补充称,自2023年10月1日起,“FDA预计网络设备厂商将有足够的时间根据FD&C法案第524B条筹备产品的上市申报材料,且FDA可能对信息不全的申报做「拒绝接收」处理。”
文件概述所谓“网络设备”的基本定义,其中应涉及软件的验证、安装及授权等,能够接入互联网,而且包含可能易受网络安全威胁的厂商验证、安装并授权的技术特征。
行业专家:此举意在要求厂商自证安全
工业物联网安全厂商MedCrypt及诊断软件开发商Gamma Basics的联合创始人Mike Kijewski发文解释了新规对医疗“网络设备”厂商造成的影响。“现在你必须证明自己开发的设备在设计上是安全的,必须制定策略来监控和维护该设备上市后和设备生命周期内的安全性,整理并维护软件物料清单,并提供必要的文件来证明所有这些工作。以上内容都应包含在提交给FDA的产品上市申报当中。”
面对FDA对指导文件的再次修正,Packard认为“2018年就发布过一份草案,2022年又推出了更新草案。这份最终指导文件也有相应的更新版本,已经被FDA列入A级优先列表,只是这个更新版本还没有发布。”
他还提到,FDA的网络安全页面已经更新,纳入了关于网络安全设备“拒绝接收”政策的新规定。“我们认为,这代表更新后的最终版本将很快发布。”
2022年4月,FDA曾经发布指导文件草案,建议医疗保健行业将网络安全设备的设计、标签和FDA给出的意见纳入上市申报材料。这些建议有助于提高上市审查流程,确保上市的医疗设备在面对网络安全威胁时具有足够的弹性。
3、意大利个人信息保护局宣布禁用ChatGPT并展开调查
3月31日,意大利个人数据保护局宣布,暂时禁止使用ChatGPT,限制其开发公司OpenAI处理意大利用户信息,同时开始立案调查。个人数据保护局认为,OpenAI公司非法收集用户个人数据,且没有设置年龄验证系统防止未成年人接触非法材料。据悉,该局要求OpenAI必须在20天内通报采取了哪些措施以确保用户数据隐私,否则将被处以最高2000万欧元或公司全球年营业额4%的罚款。目前,OpenAI表示已在意大利将ChatGPT下线,并愿与意大利个人数据保护局密切合作。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)