时间:10月29日
工业和信息化部印发《工业和信息化领域数据安全事件应急预案(试行)》,重点明确了以下八方面内容:
一是界定适用范围,明确了数据安全事件以及事件分级的相关概念定义;
二是明确了工信领域数据安全应急处置工作的组织体系;
三是明确了开展数据安全风险监测预警工作的具体流程和要求;
四是明确了不同级别数据安全事件应急处置工作的具体流程和要求;
五是规定了重大及以上数据安全事件应急工作结束后,地方行业监管部门和数据处理者的具体工作要求;
六是提出预防保护、应急演练、宣传培训、手段建设、重大活动期间保障共五项预防措施;
七是提出落实责任、奖惩问责、经费保障、工作协同、物资保障、国际合作、保密管理共七项保障措施;
八是规定了应急预案修订原则和排除条款等要求。
关注本公众号【威努特安全网络】,在对话框回复【应急预案】可下载。
时间:11月1日
市场监管总局官网公布,11月1日起,13项网络安全国家标准正式实施。清单如下:
《网络安全技术 信息技术安全评估准则 第1部分:简介和一般模型》(GB/T 18336.1—2024) 《网络安全技术 信息技术安全评估准则 第2部分:安全功能组件》(GB/T 18336.2—2024) 《网络安全技术 信息技术安全评估准则 第3部分:安全保障组件》(GB/T 18336.3—2024) 《网络安全技术 信息技术安全评估准则 第4部分:评估方法和活动的规范框架》(GB/T 18336.4—2024) 《网络安全技术 信息技术安全评估准则 第5部分:预定义的安全要求包》(GB/T 18336.5—2024) 《网络安全技术 信息技术安全评估方法》(GB/T 30270—2024) 《网络安全技术 无线局域网客户端安全技术要求》(GB/T 33563—2024) 《网络安全技术 无线局域网接入系统安全技术要求》(GB/T 33565—2024) 《网络安全技术 零信任参考体系架构》(GB/T 43696—2024) 《网络安全技术 证书应用综合服务接口规范》(GB/T 43694—2024) 《网络安全技术 软件供应链安全要求》(GB/T 43698—2024) 《网络安全技术 网络安全众测服务要求》(GB/T 43741—2024) 《网络安全技术 软件产品开源代码安全评价方法》(GB/T 43848—2024)
时间:10月30日
北京互联网法院召开涉个人信息及数据相关案件审理情况新闻通报会,通报了涉个人信息及数据相关案件审理情况,并发布八起典型案例。
自2023年10月至2024年10月,该院共受理113件涉及个人信息保护的案件,近一年数量呈现增长趋势。将其作为统计分析样本调研发现如下特征:
以互联网企业为被诉主体的案件最多; 涉诉个人信息类型和侵权形态较为多样,包括网络交易信息、浏览记录及浏览量、网络社交媒体留言/关注与粉丝列表、个人动态信息等信息类型; 个人信息保护与数据合理利用价值存在平衡问题; “AI换脸”人工智能等新类型侵权案件不断涌现; 主张未经同意收集、超范围收集案件最多。
时间:10月28日
时间:10月30日
时间:10月31日
时间:10月29日
超过 22,000 个 Cyber Panel 实例在线暴露于关键的远程代码执行 (RCE) 漏洞,成为 PSAUX 勒索软件攻击的大规模目标,该攻击导致几乎所有实例离线。
本周,安全研究员 DreyAnd 透露,Cyber Panel 2.3.6(可能还有 2.3.7)存在三个不同的安全问题,这些问题可能导致漏洞利用,允许未经身份验证的远程 root 访问。
研究人员表示,他们于 2024 年 10 月 23 日向 Cyber Panel 开发人员披露了该漏洞,并于当晚晚些时候在 GitHub 上提交了身份验证问题的修复程序。在这篇文章发布后,Cyber Panel 的创建者 Usman Nasir 告诉媒体,2.3.8 版本已经发布,并且错误在收到安全披露后的 30 分钟内就得到了修复。
Cyber Panel 还发布了一份关于漏洞利用和持续攻击的安全公告,其中包含用户应如何保护其系统的步骤。
时间:10月30日
一个名为“EmeraldWhale”的大规模恶意操作扫描了暴露的 Git 配置文件,从数千个私有存储库中窃取了超过 15,000 个云帐户凭据。
根据发现该操作的 Sysdig 的说法,该操作涉及使用自动化工具扫描 IP 范围以查找暴露的 Git 配置文件,其中可能包括身份验证令牌。然后,这些令牌用于下载存储在 GitHub、GitLab 和 BitBucket 上的存储库,并扫描这些存储库以获得更多凭据。
被盗数据被泄露到其他受害者的 Amazon S3 存储桶中,随后被用于网络钓鱼和垃圾邮件活动,并直接出售给其他网络犯罪分子。
时间:10月28日
