| 安全资讯导视 |
|---|
• 国家发改委等六部门印发《关于促进数据产业高质量发展的指导意见》 |
• 美政府拟修订HIPAA网络安全要求,医疗行业将新增超2400亿元合规支出 |
• 大众汽车集团发生严重数据泄漏,80万车主可被定位 |
1.Windows轻量级目录访问协议(LDAP)拒绝服务漏洞安全风险通告
1月3日,奇安信CERT监测到微软发布12月补丁日安全更新修复Windows 轻量级目录访问协议(LDAP)拒绝服务漏洞(CVE-2024-49113),该漏洞产生的原因是Windows LDAP客户端在处理Netlogon Remote Protocol(NRPC)和LDAP客户端交互时,未能正确处理特制的LDAP响应。攻击者通过向目标服务器发送恶意RPC请求诱骗目标服务器向攻击者发送LDAP查询,从而导致信息泄露和服务器崩溃等危害。目前该漏洞技术细节与POC已在互联网上公开,奇安信CERT已成功复现,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
1.日本最大移动运营商NTT Docomo因DDoS攻击致多个业务中断服务
1月3日The Record消息,日本最大的移动通信公司NTT Docomo报告称,1月2日遭受DDoS攻击,导致部分服务暂时中断,公司正在努力恢复服务。从2日凌晨到下午晚些时候,当地用户无法访问NTT Docomo的新闻网站、视频流媒体平台、移动支付和网络邮件服务及一个高尔夫爱好者网站。该公司表示,大多数服务目前已恢复,但某些内容的更新可能仍会有所延迟。NTT Docomo尚未将此事件归咎于任何特定的威胁行为者。值得注意的是,2023 年,该公司曾遭受勒索软件攻击,Ransomed.vc团伙当时宣称对该次攻击负责。
原文链接:
https://therecord.media/ntt-docomo-japan-mobile-carrier-ddos-incident
2.思科开发中心超4TB敏感数据遭黑客组织公开
2024年12月30日SecurityWeek消息,黑客组织IntelBroker从思科开发中心(DevHub)窃取数据并对外泄露,思科已确认这些数据属实,并指出它们源自近期披露的一起安全事件。IntelBroker于10月14日宣布侵入了思科系统,获取了源代码、证书、凭证、机密文件、加密密钥等多种信息。12月中旬,IntelBroker公布了约3GB的数据,并在圣诞节当天又泄露了一批文件,总量超过4GB。泄露的数据包括与思科产品相关的源代码、脚本、数字证书和配置文件。思科此前称泄露数据为DevHub对外公开的数据,不含敏感信息,但后续表示里边的部分信息本不应公开。
原文链接:
https://www.securityweek.com/cisco-confirms-authenticity-of-data-after-second-leak/
3.大众汽车集团发生严重数据泄漏,80万车主可被定位
2024年12月27日《明镜周刊》消息,大众汽车集团的软件子公司Cariad因配置错误导致80万辆电动汽车数据暴露。Cariad有两个IT应用配置错误,导致数据存储在亚马逊云平台上“裸奔”,这些数据包括车辆位置、驾驶员信息等敏感内容,甚至包括部分德国政要和警方巡逻车的数据,引发广泛关注。此次事件影响的车辆包括大众、奥迪、西雅特和斯柯达等品牌车型,在近80万辆被暴露的汽车中,研究人员发现约46万辆车的地理位置数据可被追踪。其中大众汽车和西亚特汽车的地理数据精确度可达10厘米以内,而奥迪和斯柯达汽车的地理数据精确度要差都多,只能定位到10公里以内,因此后两者的问题相对不是很严重。据悉,此次事件由一位内部举报者向欧洲最大的道德黑客组织混沌计算机俱乐部提供线索。该组织在测试确认漏洞后,于2023年11月26日向Cariad和大众汽车通报了问题,并提供了详细的技术信息。
原文链接:
https://www.spiegel.de/netzwelt/web/volkswagen-konzern-datenleck-wir-wissen-wo-dein-auto-steht-a-e12d33d0-97bc-493c-96d1-aa5892861027
1.印度《2025年数字个人数据保护规则》公开征求意见
1月3日,印度电子和信息技术部起草了《2025年数字个人数据保护规则(草案)》公开征求意见,以落实《2023年数字个人数据保护法》。该文件旨在为数据受托人(处理个人数据的实体)提供明确的指导,确保数据收集和使用的透明度。该文件要求,数据受托人在收集数据时向用户提供清晰的通知,说明数据用途,并获得用户的知情同意;数据受托人需在数据泄露后72小时内通知印度数据保护委员会,并采取加密、假名化等技术措施保护数据;处理未成年人数据,需要获得父母或监护人的可验证同意;重要数据受托人需定期进行数据保护影响评估和审计等。
原文链接:
https://pib.gov.in/PressReleasePage.aspx?PRID=2090048
2.国家网信办《个人信息出境个人信息保护认证办法》公开征求意见
1月3日,国家互联网信息办公室起草了《个人信息出境个人信息保护认证办法(征求意见稿)》,现向社会公开征求意见。该文件共20条内容。该文件提出,非关键信息基础设施运营者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息,且不包括重要数据的,适应个人信息出境个人信息保护认证方式。个人信息保护认证遵循自愿性、市场化、社会化服务原则。由具备资质的专业认证机构按照统一标准、统一规则、统一标识开展个人信息出境个人信息保护认证活动。
原文链接:
https://www.cac.gov.cn/2025-01/03/c_1737600915141373.htm
3.工信部印发《打造“5G+工业互联网”512工程升级版实施方案》
2024年12月31日,工业和信息化部印发《打造“5G+工业互联网”512工程升级版实施方案》,对2019年起实施的“5G+工业互联网”512工程进行全面升级。该文件共6章18节,其中专设一节,要求健全安全保障。具体包括:强化“5G+工业互联网”网络安全技术手段建设,建立健全网络安全监测发现、预警通报、应急处置技术体系。发生重大网络安全事件时,按照《国家网络安全事件应急预案》及时向有关部门报告。加强“5G+工业互联网”应用安全技术产品研究,满足不同场景下安全保障需求。深入实施工业互联网安全分类分级管理,推进企业利用人工智能、新型加密算法等技术,构建多层级“5G+工业互联网”网络安全防护体系。
原文链接:
https://www.miit.gov.cn/cms_files/demo/pdfjs/web/viewer.html?file=/cms_files/filemanager/1226211233/attach/202410/3053624067514396a6034b4b08188f91.pdf
4.国家发改委等六部门印发《关于促进数据产业高质量发展的指导意见》
2024年12月30日,国家发展改革委、国家数据局、教育部、财政部、金融监管总局、中国证监会联合印发《关于促进数据产业高质量发展的指导意见》。该文件共9章,其中多处提及数字安全。在“培育多元经营主体”章节,提出发展数据安全企业,具体包括:支持企业面向数据大范围、高速度、高通量流通的发展趋势,研发智能化数据安全产品,大力发展数据可信流通技术,培育一批满足高水平动态安全需求的新型数据安全企业。在“提高数据领域动态安全保障能力”章节,提出创新数据安全产品服务,具体包括:推动基础设施安全、数据安全、应用安全协同发展,加强身份认证、数据加密、安全传输、合规检测等技术创新,培育壮大适应数据流通特征和人工智能应用的安全服务业态。支持企业创新数据分类分级、隐私保护、安全监测、应急处置等数据安全产品和服务。该章节还提出加强动态数据安全保障,具体包括:扩大可信流通技术应用范围,增强数据可信、可控、可计量开发利用能力。建立健全数据安全风险识别、监测预警、应急处置等相关规范,落实数据流通利用全过程相关主体的安全责任。健全数据分类分级标准,加强对涉及国家安全、商业秘密、个人隐私等数据的保护。
原文链接:
https://www.ndrc.gov.cn/xxgk/zcfb/tz/202412/t20241230_1395341.html
5.美政府拟修订HIPAA网络安全要求,医疗行业将新增超2400亿元合规支出
2024年12月27日,美国卫生与公众服务部民权办公室发布《加强受保护电子健康信息网络安全的HIPAA安全规则》拟议规则,以修改《健康保险流通与责任法案》(HIPAA法案)的网络安全要求。该文件提出,每年至少清点一次技术资产清单和网络拓扑图,以核查受保护电子健康信息的移动情况;执行更详细的风险分析,包括资产清点、威胁建模、脆弱性识别、风险级别评估;加强应急规划和响应要求,建立72小时内恢复系统或数据丢失的书面流程,确定各电子信息系统和技术资产的恢复优先级等。据估算,新规在未来5年内将产生超2400亿元的网络安全合规支出。
原文链接:
https://www.hhs.gov/hipaa/for-professionals/security/hipaa-security-rule-nprm/factsheet/index.html
6.美国白宫发布《能源现代化网络安全实施计划》
2024年12月20日,美国白宫国家网络总监办公室(ONCD)发布《能源现代化网络安全实施计划》,旨在增强五种关键能源技术的网络安全与弹性,包括电池和电池管理系统、逆变器控制和功率转换设备、分布式控制系统、建筑能源管理系统、电动汽车和电动汽车供电设备,以构建更安全的能源生态系统。该文件提出了32项举措,分别由不同的牵头机构负责,并设有明确的完成期限。该文件提出的举措包括:将电池储能系统运营商纳入网络演练计划,制定指导文件和最佳实践来提高网络连接逆变器运营商的网络态势,对建筑能源管理系统的常用组件和平台进行脆弱性评估等。
原文链接:
https://www.whitehouse.gov/wp-content/uploads/2024/12/Energy-Modernization-Cybersecurity-Implementation-Plan.pdf
安全热点周报:黑客利用 DoS 漏洞禁用 Palo Alto Networks 防火墙
本期周报内容由安全内参&虎符智库&奇安信CERT联合出品!
如有侵权请联系:admin#unsafe.sh