要聞速覽

1、一圖讀懂《工業(yè)和信息化部辦公廳關(guān)于組織開展網(wǎng)絡(luò)安全保險服務(wù)試點工作的通知》

2、國家數(shù)據(jù)局《“數(shù)據(jù)要素×”三年行動計劃 (2024—2026年)》公開征求意見

3、中國信息通信研究院發(fā)布《公共數(shù)據(jù)授權(quán)運營發(fā)展洞察 (2023年)》

4、15億條紐約房產(chǎn)記錄泄露，馬斯克、特朗普都中招

5、CNVD：關(guān)于藍牙協(xié)議存在中間人攻擊漏洞的安全公告

6、BlackCat 勒索軟件狂“薅” 3 億美元

一周政策要聞

一圖讀懂《工業(yè)和信息化部辦公廳關(guān)于組織開展網(wǎng)絡(luò)安全保險服務(wù)試點工作的通知》

信息來源：中華人民共和國工業(yè)和信息化部https://www.miit.gov.cn/zwgk/zcjd/art/2023/art_d0b68c22ee034e4da89a5c1b401b917e.html

國家數(shù)據(jù)局《“數(shù)據(jù)要素×”三年行動計劃 (2024—2026年)》公開征求意見

據(jù)國家發(fā)展改革委網(wǎng)站消息，為發(fā)揮數(shù)據(jù)要素乘數(shù)效應(yīng)，賦能經(jīng)濟社會發(fā)展，國家數(shù)據(jù)局研究起草了《“數(shù)據(jù)要素x”三年行動計劃（2024—2026年）（征求意見稿）》，面向社會公開征求意見。

在總體目標(biāo)上，《行動計劃》提出，到2026年底，數(shù)據(jù)要素應(yīng)用場景廣度和深度將大幅拓展，計劃打造300個以上示范性強、顯示度高、帶動性廣的典型應(yīng)用場景，產(chǎn)品和服務(wù)質(zhì)量效益實現(xiàn)明顯提升，涌現(xiàn)出一批成效明顯的數(shù)據(jù)要素應(yīng)用示范地區(qū)，培育一批創(chuàng)新能力強、市場影響力大的數(shù)據(jù)商和第三方專業(yè)服務(wù)機構(gòu)，數(shù)據(jù)產(chǎn)業(yè)年均增速超過20%，數(shù)據(jù)交易規(guī)模增長1倍，場內(nèi)交易規(guī)模大幅提升。

圍繞上述目標(biāo)，《行動計劃》提出數(shù)據(jù)要素×智能制造、數(shù)據(jù)要素×智慧農(nóng)業(yè)、數(shù)據(jù)要素×金融服務(wù)、數(shù)據(jù)要素×醫(yī)療健康、數(shù)據(jù)要素×應(yīng)急管理、數(shù)據(jù)要素×科技創(chuàng)新等12項重點行動。

需要獲取行動計劃請在評論區(qū)留言“行動計劃”，小銘哥會第一時間為您提供相關(guān)資料。

信息來源：中華人民共和國國家發(fā)展和改革委員會zhttps://www.ndrc.gov.cn/hdjl/yjzq/202312/t20231215_1362671.html

業(yè)內(nèi)新聞速覽

中國信息通信研究院發(fā)布《公共數(shù)據(jù)授權(quán)運營發(fā)展洞察 (2023年)》

公共數(shù)據(jù)是我國數(shù)據(jù)要素供給體系的重要組成部分，具有公共性、權(quán)威性與規(guī)模性，蘊藏巨大價值。如何開拓公共數(shù)據(jù)開發(fā)利用的機制創(chuàng)新、模式創(chuàng)新、場景創(chuàng)新對于促進數(shù)據(jù)要素價值釋放具有重要意義。近年來，各地各部門在堅持?jǐn)?shù)據(jù)開放的基礎(chǔ)上，有序探索公共數(shù)據(jù)授權(quán)運營，不斷嘗試創(chuàng)新，積累了一定經(jīng)驗，但仍存在共性的困難和挑戰(zhàn)，亟待整合多方力量共同探索突破。

2023年12月21日，中國信息通信研究院（簡稱“中國信通院”）在“2023年數(shù)據(jù)資產(chǎn)管理大會——公共數(shù)據(jù)論壇”上發(fā)布了《公共數(shù)據(jù)授權(quán)運營發(fā)展洞察（2023年）》，并對報告進行了深度解讀。

需要獲取報告請在評論區(qū)留言“報告”，小銘哥會第一時間為您提供相關(guān)資料。

消息來源：安全內(nèi)參  https://www.secrss.com/articles/62038

15億條紐約房產(chǎn)記錄泄露，馬斯克、特朗普都中招

由于云配置錯誤，紐約15億條房地產(chǎn)記錄泄露，包括馬斯克、特朗普在內(nèi)，在紐約買過房的文體明星和政商大佬幾乎無人幸免。

近日，網(wǎng)絡(luò)安全研究員Jeremiah Fowler發(fā)現(xiàn)了一個疑似紐約在線房地產(chǎn)平臺Real Estate Wealth Network的數(shù)據(jù)庫在線暴露且沒有任何保護措施，隨即向VPNMentor發(fā)出警報。該暴露數(shù)據(jù)庫中保存了15億條記錄，其中包括數(shù)百萬人的房地產(chǎn)所有權(quán)數(shù)據(jù)。

研究人員透露，該數(shù)據(jù)庫大小為1.16TB（總共1,523,776,691條記錄），數(shù)據(jù)分門別類存儲在多個文件夾中（下圖），其中包含有關(guān)業(yè)主、賣家、投資者和內(nèi)部用戶日志數(shù)據(jù)的信息。數(shù)據(jù)庫還包括從2023年4月22日到23年10月23日的內(nèi)部用戶搜索數(shù)據(jù)的日志記錄。

研究人員透露，該數(shù)據(jù)庫大小為1.16TB（總共1,523,776,691條記錄），數(shù)據(jù)分門別類存儲在多個文件夾中（下圖），其中包含有關(guān)業(yè)主、賣家、投資者和內(nèi)部用戶日志數(shù)據(jù)的信息。數(shù)據(jù)庫還包括從2023年4月22日到23年10月23日的內(nèi)部用戶搜索數(shù)據(jù)的日志記錄。經(jīng)過研究人員檢查，在數(shù)據(jù)庫中發(fā)現(xiàn)大量文娛明星、政商大佬的房產(chǎn)數(shù)據(jù)，包括凱莉·詹納、布萊克·謝爾頓、布蘭妮·斯皮爾斯、弗洛伊德·梅威瑟（世界拳王）、戴夫·查佩爾、埃隆·馬斯克（特斯拉創(chuàng)始人）、多莉·帕頓、唐納德·特朗普、馬克·沃爾伯格和南?！づ迓逦鞯姆慨a(chǎn)數(shù)據(jù)都被泄漏。研究者能夠看到他們的街道地址、購買價格和日期、抵押貸款公司、抵押貸款金額、稅號、所欠稅款、已付稅款或到期稅款以及其他信息。

VPNMentor在博客中指出：“這些數(shù)據(jù)根據(jù)房產(chǎn)歷史、活躍賣家、破產(chǎn)、離婚、稅收留置權(quán)、止贖、房主協(xié)會(HOA)留置權(quán)、繼承、法院判決、訃告（死亡）、空置房產(chǎn)等組織在不同的文件夾中?！卑踩珜＜抑赋觯堂鞯募彝サ刂吩诰€曝光可能會帶來各種風(fēng)險，包括人身安全威脅、侵犯隱私、跟蹤以及粉絲或惡意個人的騷擾。除了名流外，財產(chǎn)隱私信息泄漏對于每個人來說都意味著風(fēng)險，因為包含財產(chǎn)所有權(quán)詳細信息、評估財產(chǎn)價值、納稅歷史記錄和財產(chǎn)稅繳納歷史記錄的房地產(chǎn)稅數(shù)據(jù)可能被犯罪分子利用來收集有關(guān)財產(chǎn)所有者的個人信息。黑客可利用這些泄漏數(shù)據(jù)向用戶發(fā)起有針對性的社會工程或網(wǎng)絡(luò)釣魚攻擊，黑客還能根據(jù)個人是否用現(xiàn)金購買房屋、是否抵押貸款或是否已全額還清抵押貸款的記錄實施財務(wù)欺詐。房屋產(chǎn)權(quán)欺詐和抵押貸款欺詐近年來日益猖獗。2022年FBI報告了11578起此類案件，一年內(nèi)造成3.5億美元損失，較2017年增加了20%。房產(chǎn)欺詐案件通常涉及竊取房主身份和偽造房屋產(chǎn)權(quán)文件。據(jù)VPNMentor報道，盡管暴露的數(shù)據(jù)庫已被禁止公眾訪問，但暴露的持續(xù)時間和潛在的未授權(quán)訪問仍不清楚。只有通過內(nèi)部取證審計才能確定記錄是否被訪問、提取或下載。

消息來源：安全內(nèi)參  https://www.secrss.com/articles/62005

CNVD：關(guān)于藍牙協(xié)議存在中間人攻擊漏洞的安全公告

安全公告編號:CNTA-2023-0020

2023年12月20日，國家信息安全漏洞共享平臺（CNVD）收錄了藍牙協(xié)議中間人攻擊漏洞（CNVD-2023-98846，對應(yīng)CVE-2023-24023）。攻擊者利用漏洞通過欺騙性的配對或綁定設(shè)備強制使用較短的加密密鑰長度，破壞藍牙設(shè)備會話的安全驗證機制。目前，漏洞技術(shù)原理已公開，CNVD建議受漏洞影響的設(shè)備廠商和用戶加強安全防范措施。

一、漏洞情況分析

藍牙（Bluetooth）是一種支持設(shè)備短距離通信的無線電通信協(xié)議，目前已成為全球通用的開放性技術(shù)規(guī)范，廣泛應(yīng)用于個人終端、車載娛樂、工業(yè)生產(chǎn)和醫(yī)藥醫(yī)療領(lǐng)域。藍牙設(shè)備的有效傳輸距離一般小于10米，其通信質(zhì)量易受障礙物的影響。法國 EURECOM 安全研究員兼助理教授Daniele Antonioli發(fā)現(xiàn)了藍牙BR/EDR設(shè)備的安全連接配對和安全簡單配對的核心規(guī)范存在安全漏洞。位于目標(biāo)設(shè)備有效藍牙傳輸距離內(nèi)的攻擊者利用上述漏洞，通過捕獲和偽造藍牙會話數(shù)據(jù)包，可對目標(biāo)會話發(fā)起中間人攻擊（BLUFFS）。BLUFFS攻擊能夠破壞藍牙配對設(shè)備的會話身份驗證機制，通過使用欺騙性的配對或綁定設(shè)備強制使用較短的加密密鑰長度，繼而破壞藍牙通信會話的保密性和完整性。CNVD對該漏洞的綜合評級為“中?！薄?

二、漏洞影響范圍

該漏洞影響的產(chǎn)品和版本為：藍牙協(xié)議核心規(guī)范，版本范圍為4.2（2014年12月發(fā)布）至5.4（2023年2月發(fā)布）。

三、漏洞處置建議

目前，負責(zé)藍牙標(biāo)準(zhǔn)開發(fā)和技術(shù)許可的藍牙技術(shù)聯(lián)盟（SIG，Special Interest Group）已發(fā)布安全防范措施。CNVD建議藍牙設(shè)備廠商將藍牙設(shè)備的默認設(shè)置修改為安全連接模式，以確保密鑰強度；建議藍牙設(shè)備用戶加強安全防范措施，開啟藍牙連接時注意周圍的可疑設(shè)備，同時使用不小于7個字節(jié)長度的藍牙通信密鑰。

消息來源：國家信息安全漏洞共享平臺  https://www.cnvd.org.cn/webinfo/show/9576

BlackCat 勒索軟件狂“薅” 3 億美元

Bleeping Computer 網(wǎng)站消息，美國聯(lián)邦調(diào)查局（FBI）近期宣稱，截至 2023 年 9 月，ALPHV/BlackCat 勒索軟件團伙已成功襲擊全球 1000 多名受害者，狂“薅”了超過 3 億美元的贖金，其中近 75% 受害者來自美國，其余約 250 個散布全球各地。

在近期與 CISA 合作發(fā)布的聯(lián)合公告中，F(xiàn)BI 分享了 ALPHV/BlackCat 勒索軟件的緩解措施，以期幫助降低全球?qū)嶓w組織受該勒索軟件攻擊的風(fēng)險。FBI 和 CISA 這兩家機構(gòu)還提供了聯(lián)邦調(diào)查局于 12 月 6 日確定的 ALPPV IOC（妥協(xié)指標(biāo)）和 TTP（戰(zhàn)術(shù)、技術(shù)和程序），強烈建議網(wǎng)絡(luò)管理者優(yōu)先修補在野被利用的安全漏洞。

此外，F(xiàn)BI 督促網(wǎng)絡(luò)管理員盡快在所有服務(wù)中使用強密碼強制執(zhí)行多因素身份驗證（MFA），尤其是對于網(wǎng)絡(luò)郵件、VPN 和與關(guān)鍵系統(tǒng)鏈接的帳戶，并定期更新軟件到最新版本，日常重點工作應(yīng)放在漏洞評估上，將其作為標(biāo)準(zhǔn)安全協(xié)議的重要組成部分。

2021 年 11 月，ALPHV/BlackCat 勒索軟件首次 "浮出水面"，一度被業(yè)內(nèi)人士懷疑是臭名昭著的 DarkSide 和BlackMatter 勒索軟件的品牌重塑，成功襲擊 Colonial Pipeline 后，在全球范圍內(nèi)臭名昭著，執(zhí)法機構(gòu)開始對其進行了廣泛調(diào)查。FBI 曾將 ALPHV/BlackCat 勒索軟件團伙與 2021 年 11 月至 2022 年 3 月期間發(fā)生的 60 多起違規(guī)行為聯(lián)系起來。

12 月 7 日，Bleeping Computer 首次報道稱，ALPHV/BlackCat 勒索軟件團伙的 Tor 談判和數(shù)據(jù)泄露網(wǎng)站突然停止工作。近期，美國司法部證實了報道，稱聯(lián)邦調(diào)查局成功”攻入“了 ALPHV/BlackCat 勒索軟件的服務(wù)器，監(jiān)控了該組織的日?；顒硬@得了解密密鑰。

值得一提的是，為了”訪問“ ALPHV/BlackCat 勒索軟件的后端附屬小組，聯(lián)邦調(diào)查局與一名機密人力資源（CHS）接觸，該人員在與勒索軟件運營商面談后獲得了作為附屬機構(gòu)的登錄憑據(jù)。

FBI 在收集解密密鑰的同時，對 ALPHV/BlackCat 勒索軟件的運作進行了持續(xù)數(shù)月的監(jiān)控，使得其能夠幫助全球 500 多名受害者免費恢復(fù)文件，節(jié)省了約 6800 萬美元的贖金。

FBI 還扣押了 ALPHV/BlackCat 勒索軟件數(shù)據(jù)泄露網(wǎng)站的域名，并添加了一條橫幅。然而，幾個小時后，ALPHV/BlackCat 勒索軟件就“解封”了數(shù)據(jù)泄露網(wǎng)站，并聲稱聯(lián)邦調(diào)查局進入了托管該團伙服務(wù)器的數(shù)據(jù)中心。此外，ALPHV/BlackCat 勒索軟件還在其泄漏網(wǎng)站上發(fā)布的消息中聲稱，他們已經(jīng)突破了至少 3400 名受害者的網(wǎng)絡(luò)防御系統(tǒng)。

最后，由于 ALPHV/BlackCat 勒索軟件團伙 和 FBI 目前都擁有數(shù)據(jù)泄漏網(wǎng)站的私鑰，因此雙方可以從對方手中奪取域名的控制權(quán)，目前這種局面已被其它網(wǎng)絡(luò)犯罪團伙視為提前送上的”節(jié)日禮物“，例如，LockBit 勒索軟件團伙已經(jīng)開始要求 ALPHV/BlackCat 勒索軟件的分支機構(gòu)轉(zhuǎn)換團隊，繼續(xù)與受害者談判。

消息來源：FREEBUF  https://www.freebuf.com/news/387160.html

來源:本安全周報所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來，僅用于分享，并不意味著贊同其觀點或證實其內(nèi)容的真實性，部分內(nèi)容推送時未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請原作者聯(lián)系我們，我們會盡快刪除處理，謝謝！