要聞速覽

1、一圖讀懂《工業(yè)和信息化部辦公廳關(guān)于組織開展網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)試點(diǎn)工作的通知》

2、國家數(shù)據(jù)局《“數(shù)據(jù)要素×”三年行動(dòng)計(jì)劃 (2024—2026年)》公開征求意見

3、中國信息通信研究院發(fā)布《公共數(shù)據(jù)授權(quán)運(yùn)營發(fā)展洞察 (2023年)》

4、15億條紐約房產(chǎn)記錄泄露，馬斯克、特朗普都中招

5、CNVD：關(guān)于藍(lán)牙協(xié)議存在中間人攻擊漏洞的安全公告

6、BlackCat 勒索軟件狂“薅” 3 億美元

一周政策要聞

一圖讀懂《工業(yè)和信息化部辦公廳關(guān)于組織開展網(wǎng)絡(luò)安全保險(xiǎn)服務(wù)試點(diǎn)工作的通知》

信息來源：中華人民共和國工業(yè)和信息化部https://www.miit.gov.cn/zwgk/zcjd/art/2023/art_d0b68c22ee034e4da89a5c1b401b917e.html

國家數(shù)據(jù)局《“數(shù)據(jù)要素×”三年行動(dòng)計(jì)劃 (2024—2026年)》公開征求意見

據(jù)國家發(fā)展改革委網(wǎng)站消息，為發(fā)揮數(shù)據(jù)要素乘數(shù)效應(yīng)，賦能經(jīng)濟(jì)社會(huì)發(fā)展，國家數(shù)據(jù)局研究起草了《“數(shù)據(jù)要素x”三年行動(dòng)計(jì)劃（2024—2026年）（征求意見稿）》，面向社會(huì)公開征求意見。

在總體目標(biāo)上，《行動(dòng)計(jì)劃》提出，到2026年底，數(shù)據(jù)要素應(yīng)用場景廣度和深度將大幅拓展，計(jì)劃打造300個(gè)以上示范性強(qiáng)、顯示度高、帶動(dòng)性廣的典型應(yīng)用場景，產(chǎn)品和服務(wù)質(zhì)量效益實(shí)現(xiàn)明顯提升，涌現(xiàn)出一批成效明顯的數(shù)據(jù)要素應(yīng)用示范地區(qū)，培育一批創(chuàng)新能力強(qiáng)、市場影響力大的數(shù)據(jù)商和第三方專業(yè)服務(wù)機(jī)構(gòu)，數(shù)據(jù)產(chǎn)業(yè)年均增速超過20%，數(shù)據(jù)交易規(guī)模增長1倍，場內(nèi)交易規(guī)模大幅提升。

圍繞上述目標(biāo)，《行動(dòng)計(jì)劃》提出數(shù)據(jù)要素×智能制造、數(shù)據(jù)要素×智慧農(nóng)業(yè)、數(shù)據(jù)要素×金融服務(wù)、數(shù)據(jù)要素×醫(yī)療健康、數(shù)據(jù)要素×應(yīng)急管理、數(shù)據(jù)要素×科技創(chuàng)新等12項(xiàng)重點(diǎn)行動(dòng)。

需要獲取行動(dòng)計(jì)劃請?jiān)谠u論區(qū)留言“行動(dòng)計(jì)劃”，小銘哥會(huì)第一時(shí)間為您提供相關(guān)資料。

信息來源：中華人民共和國國家發(fā)展和改革委員會(huì)zhttps://www.ndrc.gov.cn/hdjl/yjzq/202312/t20231215_1362671.html

業(yè)內(nèi)新聞速覽

中國信息通信研究院發(fā)布《公共數(shù)據(jù)授權(quán)運(yùn)營發(fā)展洞察 (2023年)》

公共數(shù)據(jù)是我國數(shù)據(jù)要素供給體系的重要組成部分，具有公共性、權(quán)威性與規(guī)模性，蘊(yùn)藏巨大價(jià)值。如何開拓公共數(shù)據(jù)開發(fā)利用的機(jī)制創(chuàng)新、模式創(chuàng)新、場景創(chuàng)新對于促進(jìn)數(shù)據(jù)要素價(jià)值釋放具有重要意義。近年來，各地各部門在堅(jiān)持?jǐn)?shù)據(jù)開放的基礎(chǔ)上，有序探索公共數(shù)據(jù)授權(quán)運(yùn)營，不斷嘗試創(chuàng)新，積累了一定經(jīng)驗(yàn)，但仍存在共性的困難和挑戰(zhàn)，亟待整合多方力量共同探索突破。

2023年12月21日，中國信息通信研究院（簡稱“中國信通院”）在“2023年數(shù)據(jù)資產(chǎn)管理大會(huì)——公共數(shù)據(jù)論壇”上發(fā)布了《公共數(shù)據(jù)授權(quán)運(yùn)營發(fā)展洞察（2023年）》，并對報(bào)告進(jìn)行了深度解讀。

需要獲取報(bào)告請?jiān)谠u論區(qū)留言“報(bào)告”，小銘哥會(huì)第一時(shí)間為您提供相關(guān)資料。

消息來源：安全內(nèi)參  https://www.secrss.com/articles/62038

15億條紐約房產(chǎn)記錄泄露，馬斯克、特朗普都中招

由于云配置錯(cuò)誤，紐約15億條房地產(chǎn)記錄泄露，包括馬斯克、特朗普在內(nèi)，在紐約買過房的文體明星和政商大佬幾乎無人幸免。

近日，網(wǎng)絡(luò)安全研究員Jeremiah Fowler發(fā)現(xiàn)了一個(gè)疑似紐約在線房地產(chǎn)平臺(tái)Real Estate Wealth Network的數(shù)據(jù)庫在線暴露且沒有任何保護(hù)措施，隨即向VPNMentor發(fā)出警報(bào)。該暴露數(shù)據(jù)庫中保存了15億條記錄，其中包括數(shù)百萬人的房地產(chǎn)所有權(quán)數(shù)據(jù)。

研究人員透露，該數(shù)據(jù)庫大小為1.16TB（總共1,523,776,691條記錄），數(shù)據(jù)分門別類存儲(chǔ)在多個(gè)文件夾中（下圖），其中包含有關(guān)業(yè)主、賣家、投資者和內(nèi)部用戶日志數(shù)據(jù)的信息。數(shù)據(jù)庫還包括從2023年4月22日到23年10月23日的內(nèi)部用戶搜索數(shù)據(jù)的日志記錄。

研究人員透露，該數(shù)據(jù)庫大小為1.16TB（總共1,523,776,691條記錄），數(shù)據(jù)分門別類存儲(chǔ)在多個(gè)文件夾中（下圖），其中包含有關(guān)業(yè)主、賣家、投資者和內(nèi)部用戶日志數(shù)據(jù)的信息。數(shù)據(jù)庫還包括從2023年4月22日到23年10月23日的內(nèi)部用戶搜索數(shù)據(jù)的日志記錄。經(jīng)過研究人員檢查，在數(shù)據(jù)庫中發(fā)現(xiàn)大量文娛明星、政商大佬的房產(chǎn)數(shù)據(jù)，包括凱莉·詹納、布萊克·謝爾頓、布蘭妮·斯皮爾斯、弗洛伊德·梅威瑟（世界拳王）、戴夫·查佩爾、埃隆·馬斯克（特斯拉創(chuàng)始人）、多莉·帕頓、唐納德·特朗普、馬克·沃爾伯格和南?！づ迓逦鞯姆慨a(chǎn)數(shù)據(jù)都被泄漏。研究者能夠看到他們的街道地址、購買價(jià)格和日期、抵押貸款公司、抵押貸款金額、稅號(hào)、所欠稅款、已付稅款或到期稅款以及其他信息。

VPNMentor在博客中指出：“這些數(shù)據(jù)根據(jù)房產(chǎn)歷史、活躍賣家、破產(chǎn)、離婚、稅收留置權(quán)、止贖、房主協(xié)會(huì)(HOA)留置權(quán)、繼承、法院判決、訃告（死亡）、空置房產(chǎn)等組織在不同的文件夾中?！卑踩珜＜抑赋?，政商名流的家庭地址在線曝光可能會(huì)帶來各種風(fēng)險(xiǎn)，包括人身安全威脅、侵犯隱私、跟蹤以及粉絲或惡意個(gè)人的騷擾。除了名流外，財(cái)產(chǎn)隱私信息泄漏對于每個(gè)人來說都意味著風(fēng)險(xiǎn)，因?yàn)榘?cái)產(chǎn)所有權(quán)詳細(xì)信息、評估財(cái)產(chǎn)價(jià)值、納稅歷史記錄和財(cái)產(chǎn)稅繳納歷史記錄的房地產(chǎn)稅數(shù)據(jù)可能被犯罪分子利用來收集有關(guān)財(cái)產(chǎn)所有者的個(gè)人信息。黑客可利用這些泄漏數(shù)據(jù)向用戶發(fā)起有針對性的社會(huì)工程或網(wǎng)絡(luò)釣魚攻擊，黑客還能根據(jù)個(gè)人是否用現(xiàn)金購買房屋、是否抵押貸款或是否已全額還清抵押貸款的記錄實(shí)施財(cái)務(wù)欺詐。房屋產(chǎn)權(quán)欺詐和抵押貸款欺詐近年來日益猖獗。2022年FBI報(bào)告了11578起此類案件，一年內(nèi)造成3.5億美元損失，較2017年增加了20%。房產(chǎn)欺詐案件通常涉及竊取房主身份和偽造房屋產(chǎn)權(quán)文件。據(jù)VPNMentor報(bào)道，盡管暴露的數(shù)據(jù)庫已被禁止公眾訪問，但暴露的持續(xù)時(shí)間和潛在的未授權(quán)訪問仍不清楚。只有通過內(nèi)部取證審計(jì)才能確定記錄是否被訪問、提取或下載。

消息來源：安全內(nèi)參  https://www.secrss.com/articles/62005

CNVD：關(guān)于藍(lán)牙協(xié)議存在中間人攻擊漏洞的安全公告

安全公告編號(hào):CNTA-2023-0020

2023年12月20日，國家信息安全漏洞共享平臺(tái)（CNVD）收錄了藍(lán)牙協(xié)議中間人攻擊漏洞（CNVD-2023-98846，對應(yīng)CVE-2023-24023）。攻擊者利用漏洞通過欺騙性的配對或綁定設(shè)備強(qiáng)制使用較短的加密密鑰長度，破壞藍(lán)牙設(shè)備會(huì)話的安全驗(yàn)證機(jī)制。目前，漏洞技術(shù)原理已公開，CNVD建議受漏洞影響的設(shè)備廠商和用戶加強(qiáng)安全防范措施。

一、漏洞情況分析

藍(lán)牙（Bluetooth）是一種支持設(shè)備短距離通信的無線電通信協(xié)議，目前已成為全球通用的開放性技術(shù)規(guī)范，廣泛應(yīng)用于個(gè)人終端、車載娛樂、工業(yè)生產(chǎn)和醫(yī)藥醫(yī)療領(lǐng)域。藍(lán)牙設(shè)備的有效傳輸距離一般小于10米，其通信質(zhì)量易受障礙物的影響。法國 EURECOM 安全研究員兼助理教授Daniele Antonioli發(fā)現(xiàn)了藍(lán)牙BR/EDR設(shè)備的安全連接配對和安全簡單配對的核心規(guī)范存在安全漏洞。位于目標(biāo)設(shè)備有效藍(lán)牙傳輸距離內(nèi)的攻擊者利用上述漏洞，通過捕獲和偽造藍(lán)牙會(huì)話數(shù)據(jù)包，可對目標(biāo)會(huì)話發(fā)起中間人攻擊（BLUFFS）。BLUFFS攻擊能夠破壞藍(lán)牙配對設(shè)備的會(huì)話身份驗(yàn)證機(jī)制，通過使用欺騙性的配對或綁定設(shè)備強(qiáng)制使用較短的加密密鑰長度，繼而破壞藍(lán)牙通信會(huì)話的保密性和完整性。CNVD對該漏洞的綜合評級為“中?！?。

二、漏洞影響范圍

該漏洞影響的產(chǎn)品和版本為：藍(lán)牙協(xié)議核心規(guī)范，版本范圍為4.2（2014年12月發(fā)布）至5.4（2023年2月發(fā)布）。

三、漏洞處置建議

目前，負(fù)責(zé)藍(lán)牙標(biāo)準(zhǔn)開發(fā)和技術(shù)許可的藍(lán)牙技術(shù)聯(lián)盟（SIG，Special Interest Group）已發(fā)布安全防范措施。CNVD建議藍(lán)牙設(shè)備廠商將藍(lán)牙設(shè)備的默認(rèn)設(shè)置修改為安全連接模式，以確保密鑰強(qiáng)度；建議藍(lán)牙設(shè)備用戶加強(qiáng)安全防范措施，開啟藍(lán)牙連接時(shí)注意周圍的可疑設(shè)備，同時(shí)使用不小于7個(gè)字節(jié)長度的藍(lán)牙通信密鑰。

消息來源：國家信息安全漏洞共享平臺(tái)  https://www.cnvd.org.cn/webinfo/show/9576

BlackCat 勒索軟件狂“薅” 3 億美元

Bleeping Computer 網(wǎng)站消息，美國聯(lián)邦調(diào)查局（FBI）近期宣稱，截至 2023 年 9 月，ALPHV/BlackCat 勒索軟件團(tuán)伙已成功襲擊全球 1000 多名受害者，狂“薅”了超過 3 億美元的贖金，其中近 75% 受害者來自美國，其余約 250 個(gè)散布全球各地。

在近期與 CISA 合作發(fā)布的聯(lián)合公告中，F(xiàn)BI 分享了 ALPHV/BlackCat 勒索軟件的緩解措施，以期幫助降低全球?qū)嶓w組織受該勒索軟件攻擊的風(fēng)險(xiǎn)。FBI 和 CISA 這兩家機(jī)構(gòu)還提供了聯(lián)邦調(diào)查局于 12 月 6 日確定的 ALPPV IOC（妥協(xié)指標(biāo)）和 TTP（戰(zhàn)術(shù)、技術(shù)和程序），強(qiáng)烈建議網(wǎng)絡(luò)管理者優(yōu)先修補(bǔ)在野被利用的安全漏洞。

此外，F(xiàn)BI 督促網(wǎng)絡(luò)管理員盡快在所有服務(wù)中使用強(qiáng)密碼強(qiáng)制執(zhí)行多因素身份驗(yàn)證（MFA），尤其是對于網(wǎng)絡(luò)郵件、VPN 和與關(guān)鍵系統(tǒng)鏈接的帳戶，并定期更新軟件到最新版本，日常重點(diǎn)工作應(yīng)放在漏洞評估上，將其作為標(biāo)準(zhǔn)安全協(xié)議的重要組成部分。

2021 年 11 月，ALPHV/BlackCat 勒索軟件首次 "浮出水面"，一度被業(yè)內(nèi)人士懷疑是臭名昭著的 DarkSide 和BlackMatter 勒索軟件的品牌重塑，成功襲擊 Colonial Pipeline 后，在全球范圍內(nèi)臭名昭著，執(zhí)法機(jī)構(gòu)開始對其進(jìn)行了廣泛調(diào)查。FBI 曾將 ALPHV/BlackCat 勒索軟件團(tuán)伙與 2021 年 11 月至 2022 年 3 月期間發(fā)生的 60 多起違規(guī)行為聯(lián)系起來。

12 月 7 日，Bleeping Computer 首次報(bào)道稱，ALPHV/BlackCat 勒索軟件團(tuán)伙的 Tor 談判和數(shù)據(jù)泄露網(wǎng)站突然停止工作。近期，美國司法部證實(shí)了報(bào)道，稱聯(lián)邦調(diào)查局成功”攻入“了 ALPHV/BlackCat 勒索軟件的服務(wù)器，監(jiān)控了該組織的日?；顒?dòng)并獲得了解密密鑰。

值得一提的是，為了”訪問“ ALPHV/BlackCat 勒索軟件的后端附屬小組，聯(lián)邦調(diào)查局與一名機(jī)密人力資源（CHS）接觸，該人員在與勒索軟件運(yùn)營商面談后獲得了作為附屬機(jī)構(gòu)的登錄憑據(jù)。

FBI 在收集解密密鑰的同時(shí)，對 ALPHV/BlackCat 勒索軟件的運(yùn)作進(jìn)行了持續(xù)數(shù)月的監(jiān)控，使得其能夠幫助全球 500 多名受害者免費(fèi)恢復(fù)文件，節(jié)省了約 6800 萬美元的贖金。

FBI 還扣押了 ALPHV/BlackCat 勒索軟件數(shù)據(jù)泄露網(wǎng)站的域名，并添加了一條橫幅。然而，幾個(gè)小時(shí)后，ALPHV/BlackCat 勒索軟件就“解封”了數(shù)據(jù)泄露網(wǎng)站，并聲稱聯(lián)邦調(diào)查局進(jìn)入了托管該團(tuán)伙服務(wù)器的數(shù)據(jù)中心。此外，ALPHV/BlackCat 勒索軟件還在其泄漏網(wǎng)站上發(fā)布的消息中聲稱，他們已經(jīng)突破了至少 3400 名受害者的網(wǎng)絡(luò)防御系統(tǒng)。

最后，由于 ALPHV/BlackCat 勒索軟件團(tuán)伙 和 FBI 目前都擁有數(shù)據(jù)泄漏網(wǎng)站的私鑰，因此雙方可以從對方手中奪取域名的控制權(quán)，目前這種局面已被其它網(wǎng)絡(luò)犯罪團(tuán)伙視為提前送上的”節(jié)日禮物“，例如，LockBit 勒索軟件團(tuán)伙已經(jīng)開始要求 ALPHV/BlackCat 勒索軟件的分支機(jī)構(gòu)轉(zhuǎn)換團(tuán)隊(duì)，繼續(xù)與受害者談判。

消息來源：FREEBUF  https://www.freebuf.com/news/387160.html

來源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來，僅用于分享，并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性，部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請?jiān)髡呗?lián)系我們，我們會(huì)盡快刪除處理，謝謝！