要聞速覽

1、工業(yè)和信息化部等六部門印發(fā)《算力基礎設施高質量發(fā)展行動計劃》

2、香港芭蕾舞團電腦遭勒索軟件入侵讀取個人及內部資料

3、日本最大通信運營商九百萬條數(shù)據被盜，泄露時間長達十年

4、疑似迪卡儂 8000 名員工個人信息暴露暗網上

5、Kwik Trip遭遇“神秘”網絡事件，導致IT系統(tǒng)中斷

6、滿分漏洞！思科未修補的零日漏洞正被積極利用

一周政策要聞

工業(yè)和信息化部等六部門印發(fā)《算力基礎設施高質量發(fā)展行動計劃》

2023年10月8日，工業(yè)和信息化部、中央網信辦、教育部、國家衛(wèi)生健康委、中國人民銀行、國務院國資委等六部門近日聯(lián)合印發(fā)《算力基礎設施高質量發(fā)展行動計劃》，從計算力、運載力、存儲力以及應用賦能四個方面提出了到2025年發(fā)展量化指標。

主要內容

計劃提出，到2025年，計算力方面，算力規(guī)模超過300EFLOPS（EFLOPS是指每秒百億億次浮點運算次數(shù)），智能算力占比達到35%，東西部算力平衡協(xié)調發(fā)展。運載力方面，國家樞紐節(jié)點數(shù)據中心集群間基本實現(xiàn)不高于理論時延1.5倍的直連網絡傳輸，重點應用場所光傳送網（OTN）覆蓋率達到80%，骨干網、城域網全面支持IPv6，SRv6等創(chuàng)新技術使用占比達到40%。存儲力方面，存儲總量超過1800EB，先進存儲容量占比達到30%以上，重點行業(yè)核心數(shù)據、重要數(shù)據災備覆蓋率達到100%。應用賦能方面，圍繞工業(yè)、金融、醫(yī)療、交通、能源、教育等重點領域，各打造30個以上應用標桿。

計劃還在完善算力綜合供給體系、提升算力高效運載能力、強化存力高效靈活保障、深化算力賦能行業(yè)應用、促進綠色低碳算力發(fā)展、加強安全保障能力建設等六方面部署25項重點任務。

據了解，算力是集信息計算力、網絡運載力、數(shù)據存儲力于一體的新型生產力，主要通過算力基礎設施向社會提供服務。算力基礎設施是支撐數(shù)字經濟發(fā)展的重要資源和基礎設施，呈現(xiàn)多元泛在、智能敏捷、安全可靠、綠色低碳等特征，對于實現(xiàn)數(shù)字化轉型、培育未來產業(yè)，以及形成經濟發(fā)展新動能等方面具有重要作用。

加強安全保障能力建設

計劃從增強網絡安全保障能力、強化數(shù)據安全保護能力、強化產業(yè)鏈供應鏈安全、保障算力設施平穩(wěn)運行四個方面，加強我國安全保障能力建設。

計劃提出開展算力安全保障行動。一是基于算力數(shù)據生產和消費需求，進行數(shù)據全生命周期保護和管理，實現(xiàn)算網一體的數(shù)據高效流轉和數(shù)據安全防護、計算。二是推動算力建設運營應用安全標準體系建設，多角度推進安全標準研究和應用，開展算力設施安全等級測試，總結安全治理優(yōu)秀經驗。三是聚焦 CPU、GPU、操作系統(tǒng)、存儲等關鍵產品，推動關鍵技術試點驗證，形成標桿應用產品與方案，構建軟硬件相互適配、協(xié)調發(fā)展的生態(tài)體系。

信息來源： 中華人民共和國工業(yè)和信息化部 https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2023/art_fcb3aa793e674960b1c00d7e3b6ad448.html

業(yè)內新聞速覽

香港芭蕾舞團電腦遭勒索軟件入侵讀取個人及內部資料

繼數(shù)碼港及消委會，本港再發(fā)生黑客入侵電腦系統(tǒng)事件，香港芭蕾舞團于10月16日公布，電腦網絡系統(tǒng)近日遭勒索軟體入侵，導致內部電腦系統(tǒng)遭非法讀取，當中或包括個人資料及港芭內部資料。港芭發(fā)現(xiàn)后已立即內部調查，聘用網絡安全專家評估，并報警及通報私隱專員公署，現(xiàn)時暫未收到網絡入侵者勒索或威脅將資料外泄。

消息來源：安全內參 https://www.secrss.com/articles/59712

日本最大通信運營商九百萬條數(shù)據被盜，泄露時間長達十年

10月17日，日本最大通信網絡運營商NTT WEST兩家子公司宣布，一位負責系統(tǒng)維護的前外包臨時工非法獲取了約900萬條用戶信息，并將部分信息發(fā)給其他公司，其中包括用戶姓名、地址、電話號碼以及信用卡信息等。兩家子公司表示，目前尚無法確認信息泄露造成的損害，警方正對此展開調查。

據悉，2022年4月，一位使用NTT WEST子公司系統(tǒng)的用戶指出存在信息泄露情況的可能性，于是兩家子公司開展了內部調查，但未能掌握相關證據。直到今年7月，警方以違反《反不正當競爭法》為依據對上述前臨時工進行調查，才曝光了信息泄露一事。

根據NTT WEST一子公司披露的案情，信息泄露事件發(fā)生在2013年7月至今年1月前后，持續(xù)時間長達十年之久。前臨時工利用職務之便，濫用系統(tǒng)管理員的賬戶權限長期訪問存儲用戶信息的服務器，非法下載大量用戶信息。其后，該前臨時工還將竊取的部分信息交給其他公司。

2017年至2018年間，NTT WEST一子公司曾被委托開展一個項目，即鼓勵年齡在43至59歲之間，已加入國民健康保險且三年未接受特定健康檢查的公民參與體檢。在此次事件中，通過該項目收集的個人信息幾乎全部被泄露。另外，日本西南部福岡縣政府就此事表示，2015年至2019年間，約14萬名納稅人的信息可能已被泄露。

值得一提的是，兩家子公司表示，到目前為止，尚無法確認此次信息泄露造成的任何損害，也暫無證據證實前臨時工是否與其他公司有金錢往來。為避免此類事件再發(fā)生，子公司更改了公司系統(tǒng)操作規(guī)范，要求多個管理員檢查維護計算機的下載功能，新安裝一個能對存在安全風險的行為進行快速檢測的系統(tǒng)。

消息來源：隱私護衛(wèi)隊 https://mp.weixin.qq.com/s/jbOVSNM2el8arYoKiRc3hQ

疑似迪卡儂 8000 名員工個人信息暴露暗網上

The cyber express 網站消息，某論壇用戶爆料知名體育用品零售商迪卡儂一起數(shù)據泄露事件，大約 8000 名員工個人信息在此前迪卡儂數(shù)據泄露事件中被曝光，這些信息目前已在暗網上“共享”。

據悉，消息源于 vpnMentor 最近發(fā)表的一篇博客，一名攻擊者“共享”了此前迪卡儂發(fā)生的數(shù)據泄露事件中的數(shù)據，該事件影響了迪卡儂的全球員工和客戶。論壇用戶上傳了一個據稱與迪卡儂有關的 61MB 數(shù)據庫，根據帖子內容，該數(shù)據庫據稱包含約 8000 名迪卡儂員工的個人身份信息 (PII)。

值得一提的是，迪卡儂之前發(fā)生的數(shù)據泄露事件中暴露的數(shù)據包含一系列敏感信息，例如全名、用戶名、電話號碼、電子郵件地址、居住國家和城市的詳細信息、身份驗證令牌甚至照片。

數(shù)據泄露還包括來自技術和咨詢公司 Bluenove 的信息，the cyber express 與 Bluenove 聯(lián)系后，該公司迅速做出回應，確認暗網論壇上流傳的數(shù)據庫副本真實存在。

對暗網論壇上發(fā)布的數(shù)據庫進行進一步分析檢查后，網絡安全研究人員發(fā)現(xiàn)這些竊取的信息似乎與研究小組在 2021 年發(fā)現(xiàn)并報告的迪卡儂員工數(shù)據泄漏事件相吻合，vpnMentor 因其數(shù)據儲存相關政策，不能再擁有最初迪卡儂數(shù)據泄漏事件的數(shù)據樣本，但根據之前的報告，網絡攻擊者共享樣本中包含的信息與團隊兩年前發(fā)現(xiàn)的數(shù)據信息基本一致。

為收集更多有關迪卡儂數(shù)據泄露的信息，the cyber express 聯(lián)系了迪卡儂和 Bluenove。然而，截至本文發(fā)布前，兩家公司均未發(fā)表官方聲明或做出回應。因此，從現(xiàn)有掌握的數(shù)據來看，有關迪卡儂員工數(shù)據泄露和 Bluenove 網絡攻擊的說法仍未得到完全證實。

消息來源：Freebuf https://www.freebuf.com/news/380889.html

Kwik Trip遭遇“神秘”網絡事件，導致IT系統(tǒng)中斷

近日，Kwik Trip 遭遇勒索軟件攻擊，導致其業(yè)務中斷。Kwik Trip 是一家美國連鎖店，在密歇根州、明尼蘇達州和威斯康星州擁有 800 多家便利店和加油站；在伊利諾伊州、愛荷華州和南達科他州還以 Kwik Star 的名義經營，公司員工超過 35000 人。

自上周末以來，Kwik Trip的員工在網上報告稱IT系統(tǒng)都出現(xiàn)了中斷，但并未提供導致系統(tǒng)中斷的明確原因。

據報道，目前Kwik Trip的員工無法接收新訂單，無法使用Kwik獎勵系統(tǒng)接受付款，也無法訪問公司的支持系統(tǒng)。此外，這次“網絡事件”還影響到了Kwik Trip辦公室的電子郵件和電話系統(tǒng)。

由于 IT 中斷影響了公司的 Kwik Rewards 平臺，因此顧客無法使用之前積攢的獎勵購買汽油或雜貨，他們越來越很失望。

不少Kwik Trip的門店經理和員工都開始在店門口張貼告示，解釋停電是他們無法控制的，這是一次公司范圍的事件，并表示希望客戶尊重工人。

Kwik Trip 在 Twitter 上發(fā)布的一份聲明中寫道：正如大家所知，我們目前正在處理一起網絡事件，該事件導致公司出現(xiàn)了系統(tǒng)中斷。

而根據該公司所經歷的 IT 故障時間和類型表明，這很可能是一次勒索軟件攻擊。

消息來源：Freebuf https://www.freebuf.com/news/380766.html

滿分漏洞！思科未修補的零日漏洞正被積極利用

思科要求客戶立即在其所有面向互聯(lián)網的 IOS XE 設備上禁用 HTTPS 服務器功能，以防止攻擊者利用操作系統(tǒng) Web 用戶界面中的一個關鍵零日漏洞。

思科 IOS XE 是思科用于下一代企業(yè)網絡設備的操作系統(tǒng)。該漏洞被命名為 CVE-2023-20198，影響所有啟用了 Web UI 功能的 Cisco IOS XE 設備。思科將該漏洞定義為一個權限升級漏洞，可以完全接管設備。思科將該漏洞在 CVSS 評級中定為 10 分（滿分 10 分）。

消息來源：Freebuf https://www.freebuf.com/news/380882.html

來源:本安全周報所推送內容由網絡收集整理而來，僅用于分享，并不意味著贊同其觀點或證實其內容的真實性，部分內容推送時未能與原作者取得聯(lián)系，若涉及版權問題，煩請原作者聯(lián)系我們，我們會盡快刪除處理，謝謝！