本期看点
热点资讯
损坏的Word钓鱼文件可以绕过微软安全防护?
勒索攻击致重要能源数字系统瘫痪,政府安抚民众燃油供应稳定 国外央行被黑:超1.2亿元被盗 近半或损失 湖南省网信办对某信息技术公司未履行数据安全保护义务作出行政处罚
监管动态
澳大利亚新《网络安全法》获通过,强制要求报告勒索赎金支付
欧洲发布关于境外司法机构要求数据处理者提供数据的适用指南征求意见稿 欧盟信息安全局(ENISA)发布首份2024年欧盟网络安全状况报告 关于联合发布《工业和信息化领域数据安全合规指引》的通知
安全研究
知名开源监控系统Zabbix存在SQL注入漏洞 Crypto.com与HackerOne 一起推出200万美元的漏洞赏金计划
谷歌浏览器解决 V8 JavaScript 引擎中的高严重性漏洞
保护混合和多云环境的7个PAM最佳实践和8个热门解决方案
01
热点资讯
/ Hot information
损坏的Word钓鱼文件可以绕过微软安全防护?
一种新型的网络钓鱼攻击利用微软的Word文件恢复功能,绕过电子邮件安全软件,给目标发送损坏的Word文档作为电子邮件附件,并提示扫描二维码即可检索文档,从而窃取用户信息。
这些附件在实现目标方面相当成功,恶意软件狩猎公司Any.Run也称大多数安全解决方案无法检测到这些文件,这可能是因为文档中只显示了一个二维码并未添加恶意代码。
勒索攻击致重要能源数字系统瘫痪,政府安抚民众燃油供应稳定
11月27日,哥斯达黎加国家能源公司因勒索攻击致使支付系统瘫痪,美国专家已在感恩节期间抵达并协助恢复系统。公司将手动进行销售服务并延长售油运营时间以满足燃油购买需求,直到完全确保系统安全为止。与此同时,哥斯达黎加加入了拜登政府的反勒索软件计划。
其实近年来,哥斯达黎加政府曾多次受到由Conti勒索软件团伙发动的勒索软件攻击,包括税务系统、交通运输部、海关、电力、气象服务以及医疗系统等多个领域。
(来源:安全内参)
国外央行被黑:超1.2亿元被盗 近半或损失
11月28日,乌干达国务部长穆萨西齐在议会发言中表示:乌干达中央银行的账户遭到了黑客攻击,正在进行相关调查。当地国有媒体New Vision同日报道,黑客自称为“Waste”,在本月早些时候非法窃取了620亿乌干达先令(约合1680万美元,人民币1.22亿元),后又援引银行内部匿名消息,黑客组织已将部分被盗资金转移至日本,中央银行已成功追回了超过一半的被盗资金。并据Daily Monitor报道,这起盗窃案可能涉及内部人员的勾结。
然而近年来,乌干达的银行及其他金融服务提供商曾多次发生网络盗窃事件,因担心失去客户而选择不公开承认。
(来源:安全内参)
湖南省网信办对某信息技术公司未履行数据安全保护义务作出行政处罚
近日,湖南省互联网信息办公室依据《中华人民共和国数据安全法》和《湖南省网络安全和信息化条例》对湖南某信息技术有限公司的不履行网络安全、数据安全保护义务行为给予警告并对相关人员进行行政处罚。据悉,该公司未采取相关措施保障数据安全,造成部分数据多次泄露,严重损害数据安全。
(来源:央广网)
02
监管动态
/ Regulatory developments
该法还引入了智能设备新安全标准,设立了网络事件审查委员会并扩大了《关键基础设施安全法》(2018年)的范围,这些变化赋予了监管机构更多权力。
这条强调了对第三国法律的法律主权,本指南的目的则是澄清该条款的理由和目标,包括其与GDPR第五章其他条款的相互作用,并为可能收到第三国当局披露或转移个人数据请求的欧盟控制者和处理者提供实际建议。
该报告旨在为欧盟层面的政策制定者提供欧盟、国家和社会层面网络安全状况和能力的概述,并提出政策建议,以解决已发现的缺陷并提高整个联盟的网络安全水平。
03
安全研究
/ Security research
知名开源监控系统Zabbix存在SQL 注入漏洞
安全和合规是Crypto.com工作的基石,这一举措旨在积极加强平台的防御能力,表明其致力于为用户提供一个安全可靠的平台。
谷歌在最新的稳定版渠道解决了这一问题及另外3个安全修复,该更新将在未来几天和几周内逐步向用户推出。
(原文链接:谷歌浏览器解决V8 JavaScript 引擎中的高严重性漏洞)
(原文链接:保护混合和多云环境的7个PAM最佳实践和8个热门解决方案)
往期回顾