網(wǎng)絡安全熱點新聞摘編(12.06-12.12)

發(fā)布時間 2021-12-16

1 國外熱點

數(shù)十萬患者個人信息被泄露!洛杉磯計劃生育協(xié)會遭勒索攻擊

援引《華盛頓郵報》報道,發(fā)生于今年 10 月的勒索軟件攻擊中,黑客獲取了包含數(shù)十萬名洛杉磯計劃生育協(xié)會患者個人信息的文件。在致受影響患者的致歉信中,計劃生育協(xié)會表示該文件包含患者的姓名、地址、保險信息、出生日期和臨床信息,如診斷、手術和/或處方信息。

計劃生育協(xié)會表示,該機構網(wǎng)絡是在 10 月 9-17 日之間感染勒索軟件的。17 日,該組織注意到了這一入侵,將其系統(tǒng)下線,并聯(lián)系了執(zhí)法部門和網(wǎng)絡安全調查人員。據(jù) CNN報道,到 11 月初,該組織已經(jīng)確定了黑客訪問的內容,但對攻擊的實施者仍然一無所知。

原文鏈接:

https://mp.weixin.qq.com/s/hORNWNT2FzE3UIX174taTg

白嫖黨小心了,熱門 Windows 激活軟件 KMSPico 被植入惡意程序

據(jù) The Hacker News 網(wǎng)站報道,一種名為 CryptBot 的惡意程序正偽裝成時下熱門的Windows 系統(tǒng)第三方激活工具——KMSPico。

CryptBot 是一種信息竊取程序,能夠獲取瀏覽器 cookie、加密貨幣錢包、信用卡憑證,并從受感染的系統(tǒng)中捕獲屏幕截圖。研究人員分析發(fā)現(xiàn),該惡意程序由 CypherIT 打包程序進行包裝,可混淆安裝程序以防止其被安全軟件檢測到。然后,此安裝程序會啟動一個同樣經(jīng)過嚴重混淆的腳本,該腳本能夠檢測沙箱和 AV 仿真,因此在研究人員的設備上運行時不會執(zhí)行。

微信圖片_20211216172219.jpg

原文鏈接:

https://www.freebuf.com/news/307645.html

美 DNA 檢測公司敏感數(shù)據(jù)泄露影響 210 萬用戶

位于美國俄亥俄州費爾菲爾德進行 DNA 檢測服務的 DNA 診斷中心(DDC)披露了一起數(shù)據(jù)泄露事件,黑客設法訪問了用戶的高度敏感的個人數(shù)據(jù),包括支付卡數(shù)據(jù)。其中超過210 萬(2102436)名客戶/用戶的敏感個人和財務數(shù)據(jù)被黑客竊取。

根據(jù)該公司的公告文章,數(shù)據(jù)泄露是在 2021 年 8 月 6 日檢測到的,據(jù)信導致確認的數(shù)據(jù)泄露發(fā)生在 2021 年 5 月 24 日至 2021 年 7 月 28 日之間,該公司于 2021 年 10 月29 日結束了內部調查,其詳細信息在 2020 年 11 月 30 日才公布。

微信圖片_20211216172229.jpg

原文鏈接:

https://mp.weixin.qq.com/s/fNCFTxqKvwBjCnbrgHqSfA

判了!破解 Switch 的黑客被罰 1000 萬美元 做污點證人還面臨 10 年監(jiān)禁

12 月 8 日消息,加里 - 鮑澤(Gary Bowser)是一個名為 Team-Xecuter 的黑客組織的成員,因其參與銷售 Switch 和 3DS 的破解芯片而被判罰向任天堂支付 1000 萬美元。

這筆罰款是任天堂和鮑澤之間的民事案件的結果,在另一個聯(lián)邦訴訟案中,鮑澤還被判賠 450 萬美元。在之前的案件中,鮑澤和另一名 Team-Xecuter 成員 Max Louarn 被指控犯有 11 項重罪,包括電信欺詐和陰謀洗錢。如果被判有罪,這兩人將面臨長期監(jiān)禁,僅這兩項指控就可判處長達 20 年的監(jiān)禁。

微信圖片_20211216172235.jpg

原文鏈接:

https://mp.weixin.qq.com/s/aRzx4vIbo2Q3nVnUSq9aZw

2國內熱點

關注 | 央行發(fā)布《金融數(shù)據(jù)安全 數(shù)據(jù)安全評估規(guī)范》(征求意見稿)

據(jù)全國金融標準化技術委員會網(wǎng)站消息,《金融數(shù)據(jù)安全 數(shù)據(jù)安全評估規(guī)范》(征求意見稿)已發(fā)布并公開征求意見。據(jù)了解,該標準適用于金融業(yè)機構開展金融數(shù)據(jù)安全評估使用,并為第三方安全評估機構等單位開展金融數(shù)據(jù)安全檢查與評估工作提供參考。

當前金融業(yè)機構數(shù)據(jù)泄露、濫用、篡改等安全威脅的影響已逐步從機構內轉移擴大至行業(yè)間,甚至影響國家安全、社會秩序、公眾利益與金融市場穩(wěn)定。如何在滿足金融業(yè)務基本需求的基礎上,指導各相關機構規(guī)范金融數(shù)據(jù)安全管理,強化金融行業(yè)數(shù)據(jù)資源保護能力,切實保障金融數(shù)據(jù)安全流動,已成為當前亟待解決的問題。與此同時,在大數(shù)據(jù)時代的背景下,數(shù)據(jù)安全問題層出不窮,而當前金融業(yè)機構數(shù)據(jù)安全管理能力尚處于參差不齊的狀態(tài),金融業(yè)機構數(shù)據(jù)安全意識明顯落后于快速發(fā)展的應用需求及應用技術,金融行業(yè)整體數(shù)據(jù)安全管理仍有待進一步統(tǒng)籌協(xié)調。

微信圖片_20211216172239.jpg

原文鏈接:

https://mp.weixin.qq.com/s/nug1M39Iyf4ObjZc9gMmLQ

工信部:北京冬奧會測試賽期間處置網(wǎng)絡安全事件300 余個 未發(fā)生重大網(wǎng)絡安全突發(fā)事件

央廣網(wǎng)北京 12 月 7 日消息 工業(yè)和信息化部網(wǎng)站 12 月 7 日發(fā)布消息稱,信息通信行業(yè)圓滿完成北京冬奧會系列測試賽網(wǎng)絡安全保障任務,在網(wǎng)絡安全漏洞、移動惡意程序、惡意 IP 地址、僵尸網(wǎng)絡等網(wǎng)絡安全威脅監(jiān)測與處置過程中,累計屏蔽惡意程序發(fā)送端 IP 地址9000 余個、組織修復漏洞隱患 200 余個,處置網(wǎng)絡安全事件 300 余個。

2021 年 10 月 21 日至 12 月 5 日,北京冬奧會國際滑聯(lián)短道速滑世界杯等系列測試賽在北京、張家口地區(qū)成功舉辦。工業(yè)和信息化部組織信息通信行業(yè)根據(jù)第 24 屆冬奧會工作領導小組網(wǎng)絡安全保障機制統(tǒng)一部署,高效協(xié)同、快速反應,圓滿完成此次網(wǎng)絡安全保障任務。

微信圖片_20211216172245.jpg

原文鏈接:

https://baijiahao.baidu.com/sid=1718472069384500898&wfr=spider&for=pc

工信部下架豆瓣、唱吧等 106 款侵害用戶權益 App

12 月 9 日,工信部在官方網(wǎng)站發(fā)布通報,已論證《個人信息保護法》、《網(wǎng)絡安全法》等要求,組織對包括豆瓣、愛回收、唱吧時間表的 106 款 App 進行下架處理。

工信部在通報中表示,本次下架 106 款 App,是其持續(xù)推進的 App 探索用戶權益專項整治活動的主題。

今年以來,工信部持續(xù)推進 App 侵害用戶權益專項整治行動,加大常態(tài)化檢查力度,先后三次組織對用戶反映強烈的重點問題開展“回頭看”。11 月 3 日,工信部針對 App 超范圍、高頻次索取權限,非服務場景所必需收集用戶個人信息,欺騙誤導用戶下載等違規(guī)行為進行了檢查,并對未按要求完成整改的 App 進行了公開通報。截至目前,尚有 5款 App 未按工信部要求完成整改。各通信管理局按照工信部統(tǒng)籌部署,積極開展 App 技術檢測,截至目前尚有 101 款 App 仍未完成整改。

原文鏈接:

https://mp.weixin.qq.com/s/ic2kq7UsGcfFEgwMJE2GTw

3漏洞數(shù)據(jù)統(tǒng)計

本周漏洞態(tài)勢研判情況

本周信息安全漏洞威脅整體評價級別

國家信息安全漏洞共享平臺(以下簡稱CNVD)本周共收集、整理信息安全漏洞658個,其中高危漏洞176個、中危漏洞430個、低危漏洞52個。漏洞平均分值為5.73。本周收錄的漏洞中,涉及0day漏洞387個(占59%),其中互聯(lián)網(wǎng)上出現(xiàn)“WordPressSurvey And Poll SQL注入漏洞、Sourcecodester AlumniManagement System跨站腳本漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機關和企事業(yè)單位的原創(chuàng)漏洞總數(shù)35692個,與上周(10359個)環(huán)比增加245%。

來源:CNVD

安全漏洞分布情況

從廠商分布來看,WordPress基金會新增漏洞最多,有25個。各廠商漏洞數(shù)量分布如下表所示:

微信圖片_20211216172251.jpg

本周國內廠商漏洞30個,華為公司漏洞數(shù)量最多,有10個。國內廠商漏洞整體修復率為90.00%。請受影響用戶關注廠商修復情況,及時下載補丁修復漏洞。

從漏洞類型來看, 跨站腳本類的安全漏洞占比最大,達到19.49%。漏洞類型統(tǒng)計如下表所示。

微信圖片_20211216172256.jpg

來源:CNNVD