•马斯克称X不被允许在华运营情况需改变，外交部回应

•特朗普宣布延长期限，TikTok在美暂时恢复运营

•拜登临别签署行政命令，强化软件供应链安全认证

•美国联邦贸易委员会下令通用汽车停止收集和出售驾驶员数据

•美国联邦调查局担忧AT&T数据泄露可能暴露线人身份

•Sneaky Log网钓工具绕过可微软365账户防护

•WordPress热门插件现漏洞，数十万网站面临攻击风险

•微软解除《刺客信条》游戏对Windows 11升级的阻碍

•关闭3281个账号，微信出拳打击利用AI仿冒名人行为

马斯克称X不被允许在华运营情况需改变，外交部回应

1月20日，外交部发言人毛宁主持例行记者会。英国《金融时报》记者提问，上周日马斯克表示，TikTok可以在美国运营，但X却不被允许在中国运营。这需要做出改变。请问中方对此有何回应？

毛宁表示，中国政府依法管理互联网，只要遵守中国的法律法规，提供安全可靠的产品和服务，我们欢迎各国的互联网企业来中国发展。

原文链接：

https://www.thepaper.cn/newsDetail_forward_29975653

特朗普宣布延长期限，TikTok在美暂时恢复运营

1月19日，在特朗普宣布将延长90天期限，让TikTok寻找美国买家后，该公司在美国恢复了运营。一天前，在最高法院一致投票允许TikTok禁令生效后， TikTok停止了在美国的访问。

特朗普当日宣布他将于当地时间1月20日签署一项行政命令，延长TikTok寻找美国买家的期限，同时公司不会因允许访问该应用而承担任何责任。几小时后，TikTok在美国恢复了服务，并感谢特朗普的帮助。TikTok应用程序中显示一条欢迎回归的消息:"感谢您的耐心和支持。由于特朗普总统的努力，TikTok重新在美国运营!"

尽管该应用现在可供现有用户使用，但时由于该应用在谷歌和苹果应用商店下架后没有恢复上架，因此无法在新设备上安装。如果按照特朗普即将发布行政命令，TikTok仍然必须寻找美国买家，否则还将再次面临被禁的风险。

原文链接：

https://www.bleepingcomputer.com/news/software/tiktok-is-back-up-in-the-us-after-trump-says-he-will-extend-deadline/

拜登临别签署行政命令，强化软件供应链安全认证

1月17日，拜登政府在任期即将结束之际，发布了一项新的网络安全行政命令，要求软件供应商提供特定的软件供应链安全信息。

2021年，拜登总统签署了14028号行政命令，要求软件供应商向联邦政府机构提供软件材料清单(SBOM)。这是一种机器可读的软件组件和依赖项清单。网络安全与基础设施安全局(CISA)被指定创建一个流程，让这些供应商可以证明其产品的内容和安全性。但在公开征求意见和与行业领导人会议后，该表格只要求软件供应商高管以书面形式正式证明其产品的安全性，而无需提供机器可读的具体组成清单。

该命令要求多个联邦机构在120天内修改联邦采购条例，纳入新的语言；更新NIST安全软件开发框架和 CISA的自我认证流程。但鉴于新一届总统政府即将到来，这项新的网络安全行政命令能否存活下去仍是一个悬而未决的问题。

原文链接：

https://www.techtarget.com/searchitoperations/news/366618234/Biden-order-gives-CISA-software-supply-chain-teeth

美国联邦贸易委员会下令通用汽车停止收集和出售驾驶员数据

美国联邦贸易委员会（FTC）正对通用汽车及其子公司OnStar非法收集和出售数百万辆汽车的精确地理位置和驾驶行为数据采取行动。根据FTC提出的一项和解方案，在未来五年内，这家汽车巨头将被禁止共享驾驶员的敏感数据，还必须改善数据处理的透明度，同时让用户对自己的信息拥有更多控制权。

FTC指控通用汽车在未经消费者明确同意的情况下，从数百万辆汽车收集每三秒一次的精确地理位置数据，以及驾驶数据(如制动、超速)。这些数据随后被出售给第三方，包括Verisk和LexisNexis等消费者报告机构，后又被雅各布斯工程公司购买，其报告影响了这些驾驶员的保险费率，甚至导致被拒绝承保。联邦贸易委员会还指出，通用汽车误导消费者，将OnStar的"智能驾驶员"功能显示为一种驾驶习惯自我评估工具，而非实际的数据收集机制。而通用汽车的隐私声明含糊不清，未能充分告知消费者他们的数据正被收集并出售给第三方。

尽管FTC没有就通用汽车之前的违规行为宣布罚款金额，但它建议如果违反规定，每次违规可处以高达51，744美元的民事罚款，并给予两家公司180天的合规期限。

原文链接：

https://www.bleepingcomputer.com/news/legal/ftc-orders-gm-to-stop-collecting-and-selling-drivers-data/

美国联邦调查局担忧AT&T数据泄露可能暴露线人身份

据报道，近日美国联邦调查局对AT&T发生的一起数据泄露事件表示高度关注，担心泄露的通话记录可能导致机密线人身份曝光，从而危及调查工作。

据悉，联邦调查局内部文件透露，该局正在采取行动保护可能遭到泄露的特工及线人。文件指出，黑客或其所属组织可能会利用窃取的通话记录和短信日志，识别联邦调查局人员并追查他们的线人来源。一旦线人身份曝光，不仅会严重影响调查进程，甚至可能危及线人生命安全。

虽然目前泄露数据尚未在地下论坛公开，但联邦调查局仍对此次事件表示高度重视。泄露的数据来自于去年4月AT&T遭受的一次网络攻击，当时黑客利用服务提供商Snowflake的漏洞，窃取了约1亿用户的通话记录和短信日志。这起数据泄露事件再次引发了美国立法者加强数据安全法规的呼声，要求制定更严格的数据泄露报告制度和对违规企业实施更严厉的处罚。

原文链接：

https://www.scworld.com/news/feds-worry-att-breach-could-out-informants

Sneaky Log网钓工具绕过可微软365账户防护

近日，研究人员发现一种新的针对微软365账户的"中间人"网络钓鱼工具Sneaky Log具有拦截用户凭证和双因素认证(2FA)的能力，绕过电子邮件和安全网关等反网络钓鱼防御措施。2FA网络钓鱼页面托管在被入侵的基础设施上，频繁涉及WordPress网站和其他由攻击者控制的域名。

Sekoia研究员透露， Sneaky Log网络犯罪服务作为"网络钓鱼即服务"工具包通过Telegram上的一个功能齐全的机器人出售。这种网络钓鱼技术非常隐秘：网络钓鱼邮件中的链接会将受害者的电子邮件地址传递给登录页面，从而实现"自动填充"电子邮件字段；对微软网页的屏幕截图进行了模糊处理，以创建一个令人信服的登录背景，使用户在成功登录后似乎可以访问合法内容；在网页上实施了区分人机的常用方法，如果访问者被检测为机器人，页面要么显示无害内容，要么重定向到维基百科等合法网站，旨在逃避安全系统的自动检测。

为此，安全研究人员建议，采用直接检查页面代码以识别可疑行为的网络钓鱼防护；在终端层面部署网络和反网络钓鱼防护；利用人工智能的力量进行高级页面分析，实现更深层次的情境和意图分析。

原文链接：

https://www.scworld.com/news/sneaky-log-phishing-kits-slip-by-microsoft-365-accounts

WordPress热门插件现漏洞，数十万网站面临攻击风险

近日，安全研究人员发现WordPress W3 Total Cache插件存在一个严重的漏洞(CVE-2024-12365)，可能导致内部服务和云应用的元数据泄露。

W3 Total Cache是一款流行的WordPress性能优化插件，旨在提高网站的速度和效率，目前安装在超过100万个WordPress网站上。网站所有者使用该插件来增强用户体验、提高SEO排名并减轻服务器负载。

问题源于插件未能对is_w3tc_admin_page函数进行功能检查，使得经过身份验证的用户(订阅者级别或更高)能够获取插件的nonce值并执行未经授权的操作，从而导致信息泄露、消耗服务限额，以及访问内部服务(包括云应用元数据)。

该漏洞允许经过身份验证的攻击者利用缺失的功能检查，导致信息泄露。受影响的版本包括2.8.1及更低版本。尽管安全补丁已经发布，但数十万个网站仍未升级到最新的2.8.2版本。WordPress已发布安全通告，呼吁用户立即升级。

原文链接：

https://securityaffairs.com/173219/security/w3-total-cache-wordpress-plugin-cve-2024-12365.html

微软解除《刺客信条》游戏对Windows 11升级的阻碍

近日，微软宣布移除了阻止部分游戏在Windows 11 24H2版本上运行的"安全保护"限制，其中包括久负盛名的《刺客信条》系列作品。

早在11月下旬，微软就收到了大量用户反馈，称《刺客信条》、《星球大战:边疆游骑兵》和《阿凡达:潘多拉边疆》等热门游戏在升级到Windows 11 24H2版本后出现崩溃、freezing和音频问题。为了确保用户体验，微软不得不阻止安装有这些游戏的电脑升级到新系统。

最近，游戏开发商优游才相继发布了修复补丁。在优游推出临时热修复补丁后，微软先是解除了《星球大战:边疆游骑兵》和《阿凡达:潘多拉边疆》的升级限制。上周，优游再次发布了《刺客信条:英灵殿》和《刺客信条:起源》的补丁，彻底解决了与Windows 11 24H2的兼容性问题。微软随即宣布，移除了阻碍这两款游戏升级的最后"安全保护"措施。

值得一提的是，微软上周还开始了Windows 11 24H2版本的强制推送，将推广至符合条件的Windows 11 22H2和23H2家庭版及专业版用户。不过，仍有部分设备受到其他"安全保护"限制的阻碍，包括启用了自动HDR、运行Dirac音频增强软件、安装了《狂野飙车8》游戏，以及部分华硕设备等。

原文链接：

https://www.bleepingcomputer.com/news/microsoft/microsoft-removes-assassins-creed-windows-11-upgrade-blocks/

关闭3281个账号，微信出拳打击利用AI仿冒名人行为

1月18日，“微信珊瑚安全”微信公众号发布“关于打击利用AI仿冒知名人士进行营销宣传的公告（第二期）”。

公告称，微信一直致力于打造安全、健康、绿色的平台生态环境。一段时间以来，微信平台持续关注利用AI技术仿冒名人进行不当营销的行为，为守护用户权益，避免消费者上当受骗，结合用户举报、日常巡查等线索，微信平台从速从严打击利用AI仿冒知名人士进行违规拼接、不当营销、恶意博取流量等行为。最近一个月，累计处置内容12091条，关闭账号3281个。

根据公告，下一步微信平台将持续加大利用AI仿冒知名人士进行营销宣传等违规内容的发现，进一步提升技术治理能力和水平，维护良好生态。同时，微信平台也倡导广大用户自觉遵守法律法规与平台规则，对于利用AI合成技术生成违规内容的行为，平台欢迎广大网友提供更多线索，共同构建清朗有序的网络环境。

原文链接：

https://mp.weixin.qq.com/s/DzAw7252D5Om7-sp5xhQEA