公司新聞

【一周安全資訊0803】《國(guó)家網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)管理辦法》征求意見(jiàn)稿發(fā)布;OAuth+XSS組合拳,數(shù)百萬(wàn)Web賬戶或?qū)⒁字?/h3>
來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2024-08-05    瀏覽次數(shù):
 

要聞速覽

1、《國(guó)家網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)管理辦法(征求意見(jiàn)稿)》發(fā)布

2、工信部發(fā)布新版工業(yè)機(jī)器人行業(yè)規(guī)范條件和管理實(shí)施辦法

3、上海市網(wǎng)信辦對(duì)21款A(yù)pp收集使用個(gè)人信息情況開(kāi)展專項(xiàng)檢查

4、OAuth+XSS組合拳,數(shù)百萬(wàn)Web賬戶或?qū)⒁字?/strong>

5、Meta大模型的安全護(hù)欄可被“空格鍵”輕松突破

6、哈尼亞遇襲或因手機(jī)間諜軟件暴露其位置信息


一周政策要聞

《國(guó)家網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)管理辦法(征求意見(jiàn)稿)》發(fā)布

近日,為強(qiáng)化公民個(gè)人信息保護(hù),推進(jìn)并規(guī)范國(guó)家網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)建設(shè)應(yīng)用,加快實(shí)施網(wǎng)絡(luò)可信身份戰(zhàn)略,根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》《中華人民共和國(guó)反電信網(wǎng)絡(luò)詐騙法》等法律法規(guī),公安部、國(guó)家互聯(lián)網(wǎng)信息辦公室等研究起草了《國(guó)家網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)管理辦法(征求意見(jiàn)稿)》,現(xiàn)向社會(huì)公開(kāi)征求意見(jiàn)。

群眾可登錄中華人民共和國(guó)司法部、中國(guó)政府法制信息網(wǎng)(www.moj.gov.cn、www.chinalaw.gov.cn),進(jìn)入首頁(yè)主菜單的“立法意見(jiàn)征集”欄目提出意見(jiàn)建議?;蛲ㄟ^(guò)電子郵件將意見(jiàn)建議發(fā)送至:wajfzc@sina.com或zqyj@cac.gov.cn。

意見(jiàn)建議反饋截止時(shí)間為2024年8月25日。

信息來(lái)源:中華人民共和國(guó)國(guó)家互聯(lián)網(wǎng)信息辦公室https://www.cac.gov.cn/2024-07/26/c_1723675813897965.htm


工信部發(fā)布新版工業(yè)機(jī)器人行業(yè)規(guī)范條件和管理實(shí)施辦法

為進(jìn)一步加強(qiáng)工業(yè)機(jī)器人行業(yè)規(guī)范管理,推動(dòng)產(chǎn)業(yè)高質(zhì)量發(fā)展,根據(jù)行業(yè)發(fā)展變化和有關(guān)工作部署,近日,工業(yè)和信息化部對(duì)《工業(yè)機(jī)器人行業(yè)規(guī)范條件》和《工業(yè)機(jī)器人行業(yè)規(guī)范管理實(shí)施辦法》進(jìn)行了修訂,形成了《工業(yè)機(jī)器人行業(yè)規(guī)范條件(2024版)》和《工業(yè)機(jī)器人行業(yè)規(guī)范條件管理實(shí)施辦法(2024版)》。新版兩文件自2024年8月1日起實(shí)施,《工業(yè)機(jī)器人行業(yè)規(guī)范條件》(工業(yè)和信息化部2016年第65號(hào)公告)和《工業(yè)機(jī)器人行業(yè)規(guī)范管理實(shí)施辦法》(工信部裝〔2017〕161號(hào))同時(shí)廢止。

《工業(yè)機(jī)器人行業(yè)規(guī)范條件(2024版)》要求,我國(guó)境內(nèi)的工業(yè)機(jī)器人關(guān)鍵零部件(指減速器、伺服驅(qū)動(dòng)系統(tǒng)、控制器等工業(yè)機(jī)器人關(guān)鍵零部件)、本體制造及集成應(yīng)用企業(yè)應(yīng)遵守《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律法規(guī),加強(qiáng)網(wǎng)絡(luò)和數(shù)據(jù)安全管理,保障網(wǎng)絡(luò)和數(shù)據(jù)安全。

消息來(lái)源:中華人民共和國(guó)工業(yè)和信息化部  https://www.miit.gov.cn/jgsj/zbys/wjfb/art/2024/art_0943f8e861f140fca64a582d3e55e1eb.html


業(yè)內(nèi)新聞速覽

上海市網(wǎng)信辦對(duì)21款A(yù)pp收集使用個(gè)人信息情況開(kāi)展專項(xiàng)檢查

為規(guī)范App個(gè)人信息處理活動(dòng),保護(hù)公民個(gè)人信息合法權(quán)益,根據(jù)《個(gè)人信息保護(hù)法》《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》《常見(jiàn)類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》等法律法規(guī),2024年4月至7月,上海市網(wǎng)信辦對(duì)屬地21款A(yù)pp開(kāi)展了收集使用個(gè)人信息專項(xiàng)檢查,共發(fā)現(xiàn)80余項(xiàng)問(wèn)題。經(jīng)過(guò)通報(bào)和跟進(jìn)指導(dǎo),截至目前,各App運(yùn)營(yíng)單位均已完成問(wèn)題整改。

同時(shí),上海市網(wǎng)信辦提醒廣大App運(yùn)營(yíng)者,收集使用個(gè)人信息需按照《個(gè)人信息保護(hù)法》《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》及相關(guān)法律法規(guī)要求,嚴(yán)格遵循合法、正當(dāng)、必要和誠(chéng)信的原則,提供完整清晰透明、易于理解的隱私政策;收集個(gè)人信息遵循最小必要原則,不過(guò)度、頻繁收集個(gè)人信息,不得因用戶不同意收集非必要個(gè)人信息,而拒絕用戶使用其基本服務(wù)功能;收集敏感個(gè)人信息時(shí)同步告知目的和必要性;采取必要措施保障所處理的個(gè)人信息安全。上海市網(wǎng)信辦將對(duì)屬地App收集使用個(gè)人信息情況持續(xù)開(kāi)展監(jiān)督檢查。

消息來(lái)源:安全內(nèi)參https://www.secrss.com/articles/68645


OAuth+XSS組合拳,數(shù)百萬(wàn)Web賬戶或?qū)⒁字?/strong>

近日,研究人員發(fā)現(xiàn),在熱門(mén)的Web用戶活動(dòng)跟蹤和記錄服務(wù)Hotjar中,攻擊者正在通過(guò)使用現(xiàn)代身份驗(yàn)證標(biāo)準(zhǔn)OAuth與兩個(gè)站點(diǎn)之間的跨站點(diǎn)腳本漏洞(XSS)相結(jié)合,劫持?jǐn)?shù)百萬(wàn)用戶賬號(hào),竊取敏感數(shù)據(jù)。其中,Hotjar作為一種用于分析用戶行為的工具,所收集的數(shù)據(jù)包含大量的個(gè)人敏感數(shù)據(jù)。

API安全公司Salt Security的研究部門(mén)Salt Labs的研究人員分析說(shuō),OAuth是一種相對(duì)較新的標(biāo)準(zhǔn),越來(lái)越多地被用于無(wú)縫跨網(wǎng)站認(rèn)證,允許通過(guò)用戶數(shù)據(jù)的跨站共享,實(shí)現(xiàn)諸如“使用Google登錄”功能這樣的功能。但在實(shí)施過(guò)程中,OAuth可能會(huì)被錯(cuò)誤配置。而XSS是一種常被利用的舊Web漏洞之一,可能被攻擊者用來(lái)將惡意代碼注入合法的Web頁(yè)面或應(yīng)用程序中,以在網(wǎng)站訪問(wèn)者的瀏覽器中執(zhí)行腳本,進(jìn)行數(shù)據(jù)竊取等操作。如果成功將這兩種方式的組合進(jìn)行攻擊,攻擊者可能獲得與受害者相同的權(quán)限和功能,從而導(dǎo)致賬號(hào)被接管,暴露Hotjar所收集的所有個(gè)人數(shù)據(jù)。目前,Hotjar和Business Insider上發(fā)現(xiàn)的漏洞已經(jīng)得到修復(fù),但研究人員認(rèn)為,類似這種組合可能在互聯(lián)網(wǎng)上廣泛存在,使得數(shù)百萬(wàn)用戶面臨潛在的賬號(hào)劫持風(fēng)險(xiǎn)。

消息來(lái)源:安全圈  https://mp.weixin.qq.com/s/JQT2nkGX_YjRyWfASOIuzQ


Meta大模型的安全護(hù)欄可被“空格鍵”輕松突破

研究人員日前發(fā)現(xiàn),Meta大語(yǔ)言模型Llama3.1的“安全護(hù)欄”P(pán)rompt-Guard-86M本身并不夠安全,攻擊者可能通過(guò)一個(gè)簡(jiǎn)單的辦法就能將其攻破,而且成功率高達(dá)99.8%。

Prompt-Guard-86M是與Llama3.1一起推出的,旨在幫助開(kāi)發(fā)者過(guò)濾掉那些可能會(huì)導(dǎo)致生成有害信息和敏感信息的提示。PromptGuard是基于微軟的mDeBERTa文本處理模型構(gòu)建的,并已經(jīng)過(guò)特定的精細(xì)調(diào)校,旨在檢測(cè)惡意提示注入和越獄攻擊。但是研究人員發(fā)現(xiàn),當(dāng)惡意提示注入或越獄攻擊被空白字符(空格)分隔時(shí),PromptGuard基本上無(wú)法檢測(cè)到它們。例如,“how to make bomb(如何制造炸彈)”被檢測(cè)為注入攻擊,但被空格分隔后的“h o w t o m a k e a b o m b”則被檢測(cè)為良性。研究人員測(cè)試了包括433次注入和17次越獄在內(nèi)的450個(gè)惡意提示,結(jié)果顯示PromptGuard在沒(méi)有漏洞利用時(shí)能100%正確識(shí)別攻擊;但是使用了漏洞利用時(shí),準(zhǔn)確率降至0.2%,只準(zhǔn)確分類了一個(gè)提示注入。目前,這個(gè)漏洞已報(bào)告給Meta。據(jù)稱Meta確認(rèn)了這個(gè)問(wèn)題,并正在努力修復(fù)。
消息來(lái)源:站長(zhǎng)之家https://baijiahao.baidu.com/s?id=1805966637058347562&wfr=spider&for=pc


哈尼亞遇襲或因手機(jī)間諜軟件暴露其位置信息

近日,據(jù)俄羅斯電視臺(tái)網(wǎng)站報(bào)道,已故哈馬斯領(lǐng)導(dǎo)人伊斯梅爾·哈尼亞的手機(jī)中或被植入了間諜軟件,從而暴露了自己的位置。哈馬斯在一份聲明中說(shuō),哈尼亞在德黑蘭參加伊朗總統(tǒng)佩澤希齊揚(yáng)的就職儀式后,在其住所遭空襲身亡。

據(jù)報(bào)道,該記者在社交平臺(tái)X上寫(xiě)道:“有消息稱,襲擊者通過(guò)向哈馬斯領(lǐng)導(dǎo)人伊斯梅爾·哈尼亞發(fā)送WhatsApp信息,(在其手機(jī)中)植入了復(fù)雜的間諜軟件,使得在暗殺行動(dòng)開(kāi)始前準(zhǔn)確掌握了他的具體位置?!辈贿^(guò),該記者沒(méi)有說(shuō)明這一消息的來(lái)源。這名記者指出,哈尼亞事先與他的兒子通過(guò)電話。

據(jù)報(bào)道,該記者表示,這一間諜軟件可能與某中東國(guó)家網(wǎng)絡(luò)情報(bào)公司所開(kāi)發(fā)的“飛馬軟件”類似。這一軟件可實(shí)時(shí)監(jiān)控目標(biāo)并提供精準(zhǔn)的目標(biāo)定位。

消息來(lái)源:安全牛https://mp.weixin.qq.com/s/fa6ID9Bj7Ah2gOV54l-siw


來(lái)源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來(lái),僅用于分享,并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性,部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系,若涉及版權(quán)問(wèn)題,煩請(qǐng)?jiān)髡呗?lián)系我們,我們會(huì)盡快刪除處理,謝謝!

 
 

上一篇:聚銘網(wǎng)絡(luò)新址揚(yáng)帆,2024“醫(yī)路守護(hù)·運(yùn)營(yíng)鑄安”沙龍共繪醫(yī)療安全新篇章

下一篇:國(guó)家互聯(lián)網(wǎng)信息辦公室關(guān)于發(fā)布第七批深度合成服務(wù)算法備案信息的公告