要聞速覽

1、中央網(wǎng)信辦等四部門發(fā)布《互聯(lián)網(wǎng)政務(wù)應(yīng)用安全管理規(guī)定》

2、國家標準《網(wǎng)絡(luò)安全技術(shù) 生成式人工智能服務(wù)安全基本要求》公開征求意見

3、YouTube成為助長網(wǎng)絡(luò)犯罪的新“溫床”

4、超火爆的Fluent Bit 曝關(guān)鍵漏洞，影響幾乎所有云服務(wù)商

5、內(nèi)部VPN遭漏洞攻擊未向監(jiān)管報告，這家金融巨頭被罰超7000萬元

6、我國多地3萬余條新生兒信息被倒賣，背后非法產(chǎn)業(yè)鏈曝光

一周政策要聞

中央網(wǎng)信辦等四部門發(fā)布《互聯(lián)網(wǎng)政務(wù)應(yīng)用安全管理規(guī)定》

由中央網(wǎng)絡(luò)安全和信息化委員會辦公室、中央機構(gòu)編制委員會辦公室、工業(yè)和信息化部、公安部制定的《互聯(lián)網(wǎng)政務(wù)應(yīng)用安全管理規(guī)定》（以下簡稱《規(guī)定》）近日印發(fā)，規(guī)定自2024年7月1日起施行。

規(guī)定要求，建設(shè)運行互聯(lián)網(wǎng)政務(wù)應(yīng)用應(yīng)當依照有關(guān)法律、行政法規(guī)的規(guī)定以及國家標準的強制性要求，采取技術(shù)措施和其他必要措施，防范內(nèi)容篡改、攻擊致癱、數(shù)據(jù)竊取等風險，加強監(jiān)測預(yù)警和應(yīng)急處置，保障互聯(lián)網(wǎng)政務(wù)應(yīng)用安全穩(wěn)定運行和數(shù)據(jù)安全。

信息來源：中華人民共和國中央人民政府https://www.gov.cn/lianbo/bumen/202405/content_6952956.htm

國家標準《網(wǎng)絡(luò)安全技術(shù) 生成式人工智能服務(wù)安全基本要求》公開征求意見

近日，全國網(wǎng)絡(luò)安全標準化技術(shù)委員會發(fā)布關(guān)于國家標準《網(wǎng)絡(luò)安全技術(shù) 生成式人工智能服務(wù)安全基本要求》征求意見稿的通知。如有意見或建議請于2024年7月22日24:00前反饋秘書處。

本標準支撐《生成式人工智能服務(wù)管理暫行辦法》，給出了生成式人工智能服務(wù)在安全方面的基本要求，包括訓(xùn)練數(shù)據(jù)安全、模型安全、安全措施等，并給出了安全評估參考要點。

信息來源：全國網(wǎng)絡(luò)安全標準化技術(shù)委員會https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20240523143149&norm_id=20240430101922&recode_id=55010

業(yè)內(nèi)新聞速覽

YouTube成為助長網(wǎng)絡(luò)犯罪的新“溫床”

根據(jù)安全公司 Avast 最新報告發(fā)現(xiàn)，YouTube已經(jīng)成為幫助惡意行為者部署網(wǎng)絡(luò)釣魚、惡意軟件和虛假投資計劃等各種犯罪活動的新“溫床”。該公司特別提到了兩種惡意軟件 Lumma 和 RedLine，它們正在 YouTube上大規(guī)?；顒?。

Avast 指出，YouTube 充當了一個流量分發(fā)渠道，將用戶引導(dǎo)到各種惡意網(wǎng)站和頁面，助長了不同嚴重程度的網(wǎng)絡(luò)犯罪。攻擊者利用 YouTube 的龐大影響力，誘導(dǎo)用戶訪問欺騙性網(wǎng)站和下載惡意軟件。此外，YouTube 上日益增多的深度造假視頻也成為了一大問題。這些虛假視頻通過模仿真人或事件來誤導(dǎo)觀眾，傳播虛假信息。Avast 發(fā)現(xiàn)，有多個擁有超過 5000 萬訂閱者的賬號已被黑客入侵，并被用來傳播依賴于深度造假視頻的加密貨幣騙局。

消息來源：FREEBUFhttps://www.freebuf.com/news/400979.html

超火爆的Fluent Bit 曝關(guān)鍵漏洞，影響幾乎所有云服務(wù)商

Fluent Bit，一款廣泛使用的日志和度量解決方案，近日被發(fā)現(xiàn)存在一個名為Linguistic Lumberjack的關(guān)鍵漏洞（CVE-2024-4323），該漏洞可能導(dǎo)致拒絕服務(wù)攻擊和潛在的遠程代碼執(zhí)行。

該漏洞是由于Fluent Bit的嵌入式HTTP服務(wù)器在處理跟蹤請求時的堆緩沖區(qū)溢出弱點造成的。盡管遠程代碼執(zhí)行需要特定的條件和大量時間，但拒絕服務(wù)攻擊和信息泄露的風險更為直接和顯著。

截至2024年3月，F(xiàn)luent Bit的下載和部署次數(shù)已超過130億次，其中包括亞馬遜AWS、谷歌GCP和微軟Azure等主流云服務(wù)商的發(fā)行版。此外，許多科技公司如Crowdstrike、Trend Micro、思科、VMware、英特爾、Adobe和戴爾等也在使用Fluent Bit。Tenable安全研究人員于4月30日向供應(yīng)商報告了該漏洞，并于5月15日提交了修補程序。預(yù)計包含該補丁的Fluent Bit 3.0.4版本將很快發(fā)布。在修復(fù)之前，建議已經(jīng)部署了Fluent Bit的客戶通過限制對監(jiān)控API的訪問或禁用易受攻擊的API端點來降低風險。

消息來源：FREEBUF  https://www.freebuf.com/news/401435.html

內(nèi)部VPN遭漏洞攻擊未向監(jiān)管報告，這家金融巨頭被罰超7000萬元

安全內(nèi)參5月23日消息，美國洲際交易所（ICE）因未能確保其子公司及時報告2021年4月出現(xiàn)的VPN安全漏洞，遭美國證券交易委員會（SEC）指控，需支付1000萬美元（約合人民幣7245萬元）罰款。

ICE是一家位列《財富》500強榜單的美國公司，在全球范圍內(nèi)擁有并經(jīng)營多家金融交易所和結(jié)算所，包括紐約證券交易所。2023年，該公司雇傭了超過1.3萬名員工，報告總收入為99.03億美元。SEC要求發(fā)現(xiàn)安全事件后需立即通知，但ICE延遲了四天才評估事件影響，并錯誤地認為影響微不足道。調(diào)查顯示，可能是國家級黑客入侵，試圖竊取敏感信息。ICE未能按法規(guī)要求通知SEC，違反了內(nèi)部報告程序，最終同意支付罰款并承諾不再違反相關(guān)法規(guī)。

消息來源：安全內(nèi)參  https://www.secrss.com/articles/66426

我國多地3萬余條新生兒信息被倒賣，背后非法產(chǎn)業(yè)鏈曝光

“免費上門給寶寶拍照，要幫您安排嗎？”“早教班免費試聽，您要報名嗎？”新生兒剛出生，各種推銷電話就不請自來，而且對方還能準確說出孩子和父母的信息。一旦放松警惕，同意他們上門，所謂的贈送很可能就變成價格不菲的收費項目。其實這背后隱藏著一條非法買賣、使用新生兒個人信息的黑色產(chǎn)業(yè)鏈！

近日，杭州互聯(lián)網(wǎng)法院審理了一起涉及3萬余條新生兒個人信息的非法買賣、使用的民事公益訴訟案。

案件中，一攝影公司利用非法獲取的家長和孩子信息進行推銷，并成功誘導(dǎo)家長購買高價攝影套餐。經(jīng)查，李某作為該信息鏈的源頭，從多地購入新生兒信息并出售給攝影機構(gòu)，非法獲利29萬余元。

最終，李某因“侵犯公民個人信息罪”被判處有期徒刑二年十個月，并處罰金30萬元，兩家攝影機構(gòu)也被追責。4月16日，杭州蕭山區(qū)人民檢察院提起公益訴訟，要求三被告公開賠禮道歉并支付公益損害賠償金29萬余元，用于個人信息及婦女兒童權(quán)益保護等公益事項。

據(jù)了解，2021年11月1日起實施的《中華人民共和國個人信息保護法》明確將個人信息保護納入公益訴訟法定領(lǐng)域，對檢察機關(guān)等組織提起個人信息保護公益訴訟作出明確規(guī)定。此案提醒廣大市民要增強個人信息保護意識，同時，相關(guān)部門也應(yīng)加強監(jiān)管和執(zhí)法力度。

消息來源：光明網(wǎng)  https://baijiahao.baidu.com/s?id=1799667263210775386&wfr=spider&for=pc

來源:本安全周報所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來，僅用于分享，并不意味著贊同其觀點或證實其內(nèi)容的真實性，部分內(nèi)容推送時未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請原作者聯(lián)系我們，我們會盡快刪除處理，謝謝！