銳成信息壹周快報(bào)，匯總了本周的熱點(diǎn)資訊、安全事件，保證大家不錯(cuò)過本周的每一個(gè)重點(diǎn)!本周重點(diǎn)關(guān)注：國家標(biāo)準(zhǔn)《信息安全技術(shù) 政務(wù)計(jì)算機(jī)終端核心配置規(guī)范》征求意見稿發(fā)布；北京某公司遭攻擊，或泄露30余萬條用戶數(shù)據(jù)；美國知名基因測試公司被黑，或泄露690萬份個(gè)人信息，內(nèi)含30萬份華人數(shù)據(jù)。

【熱點(diǎn)資訊】

1、國標(biāo)《信息安全技術(shù) 政務(wù)計(jì)算機(jī)終端核心配置規(guī)范》征求意見稿發(fā)布，并發(fā)布征求意見的通知

12月04日，國家標(biāo)準(zhǔn)《信息安全技術(shù) 政務(wù)計(jì)算機(jī)終端核心配置規(guī)范》征求意見稿發(fā)布，并發(fā)布征求意見的通知。

此標(biāo)準(zhǔn)給出了對政務(wù)計(jì)算機(jī)終端的BIOS、操作系統(tǒng)、辦公軟件、瀏覽器、電子郵件客戶端、安全防護(hù)軟件以及及時(shí)通信軟件的通用配置項(xiàng)及其具體配置要求，以有效封堵系統(tǒng)安全漏洞，增強(qiáng)終端的安全可控性，保護(hù)計(jì)算機(jī)終端安全。

• 資料來源鏈接：
• https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20231204144131&norm_id=20221102145137&recode_id=53582

2、《江西省數(shù)據(jù)應(yīng)用條例》公布，并自2024年3月1日起施行

《江西省數(shù)據(jù)應(yīng)用條例》已由江西省第十四屆人民代表大會(huì)常務(wù)委員會(huì)第五次會(huì)議于2023年11月30日通過，并于近日公布。

此條例是為了加強(qiáng)數(shù)據(jù)資源管理，規(guī)范數(shù)據(jù)處理活動(dòng)，培育數(shù)據(jù)要素市場，促進(jìn)數(shù)據(jù)應(yīng)用，推動(dòng)數(shù)字經(jīng)濟(jì)發(fā)展，根據(jù)《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個(gè)人信息保護(hù)法》等法律、行政法規(guī)，結(jié)合江西省實(shí)際而制定，自2024年3月1日起施行。

• 資料來源鏈接：https://www.jiangxi.gov.cn/art/2023/12/1/art_396_4699947.html?xxgkhide=1

3、Sierra發(fā)現(xiàn)安全漏洞，或致關(guān)鍵基礎(chǔ)設(shè)施易被襲擊

研究人員發(fā)現(xiàn)了 21 個(gè)安全漏洞，這些漏洞會(huì)嚴(yán)重影響 Sierra OT/IoT 路由器，威脅攻擊者能夠利用漏洞，通過遠(yuǎn)程代碼執(zhí)行、未授權(quán)訪問、跨站腳本、身份驗(yàn)證繞過和拒絕服務(wù)攻擊襲擊關(guān)鍵基礎(chǔ)設(shè)施。

4、中國臺(tái)灣發(fā)布關(guān)鍵技術(shù)清單，網(wǎng)絡(luò)主動(dòng)防御技術(shù)受管控

近日，中國臺(tái)灣地區(qū)國科發(fā)布核心關(guān)鍵技術(shù)清單，其中有22項(xiàng)技術(shù)上榜，涉及國防、農(nóng)業(yè)、半導(dǎo)體、太空、資通安全等五大領(lǐng)域。

5、美國政府近十年發(fā)生1283起數(shù)據(jù)泄露事件，造成約304億美元的損失

據(jù)相關(guān)數(shù)據(jù)統(tǒng)計(jì)顯示，美國政府近十年發(fā)生1283起數(shù)據(jù)泄露事件，涉及超過2億條數(shù)據(jù)記錄，這些泄露事件給政府機(jī)構(gòu)帶來幾乎達(dá)到304億美元的損失。

【安全事件】

1、北京某公司遭攻擊，或泄露30余萬條用戶數(shù)據(jù)

北京某互聯(lián)網(wǎng)公司報(bào)案稱，該公司的求職招聘類App的短信驗(yàn)證碼接口遭受攻擊達(dá)1300余萬次，這次攻擊成功匹配注冊賬號(hào)30余萬個(gè)，這意味著或泄露30余萬條用戶數(shù)據(jù)，危及用戶信息安全。

2、美國知名基因測試公司被黑，或泄露690萬份個(gè)人信息

近日，美國基因測試公司23andMe宣布，黑客利用客戶的舊密碼，成功獲取了大約690萬份用戶的檔案信息，部分被竊檔案信息包括家族譜系、出生年份和地理位置。黑客發(fā)布在地下論壇中的帖子公布了約100萬猶太人和30萬華人的樣例用戶數(shù)據(jù)，并對外報(bào)價(jià)1-10美元單個(gè)賬號(hào)數(shù)據(jù)進(jìn)行售賣。

3、AI 平臺(tái) Hugging Face 現(xiàn) API 令牌漏洞，黑客可獲取微軟、谷歌等模型庫權(quán)限

安全公司 Lasso Security 日前發(fā)現(xiàn) AI 模型平臺(tái) Hugging Face 上存在 API 令牌漏洞，由于平臺(tái)的令牌信息寫死在 API 中，因此黑客可以直接從 Hugging Face 及 GitHub 的存儲(chǔ)庫（repository）獲得平臺(tái)上各模型分發(fā)者的 API 令牌（token），比如微軟、谷歌、Meta 等公司的令牌，并能夠訪問模型庫，污染訓(xùn)練數(shù)據(jù)或竊取、修改 AI 模型。

目前安全公司已經(jīng)上報(bào)相關(guān)漏洞，微軟、Meta、谷歌、VMware 等公司紛紛撤銷了此前的 API 令牌及暴露的 token。

4、知名機(jī)構(gòu)HTC Global 遭勒索攻擊，泄露大量敏感信息

據(jù)Bleeping Computer 網(wǎng)站消息，IT 服務(wù)和商業(yè)咨詢公司 HTC Global services 遭勒索攻擊，泄露包括護(hù)照、聯(lián)系人名單、電子郵件和一些機(jī)密文件等在內(nèi)的大量敏感信息。

HTC Global Services 在其 X 上發(fā)布了一則簡短公告，確認(rèn)了自身遭到了網(wǎng)絡(luò)攻擊，公告中提到“我們的團(tuán)隊(duì)一直在積極調(diào)查和處理這一情況，以確保用戶數(shù)據(jù)的安全性和完整性。目前，公司已經(jīng)邀請了網(wǎng)絡(luò)安全專家，正在努力解決安全問題，您的信任是公司的首要任務(wù)。”。

5、全球最大的巧克力制造商好時(shí)遭到網(wǎng)絡(luò)釣魚攻擊

全球最大的巧克力制造商之一好時(shí)公司正在調(diào)查一起網(wǎng)絡(luò)釣魚攻擊，惡意行為者在攻擊中獲得了“有限數(shù)量的好時(shí)電子郵件帳戶”以及憑證、財(cái)務(wù)帳戶等敏感個(gè)人信息。該公司向緬因州總檢察長提交的文件顯示，當(dāng)未經(jīng)授權(quán)的黑客獲得這些賬戶的訪問權(quán)限時(shí)，至少有 2214 人受到了影響。

根據(jù)聲明，黑客已無法訪問受影響的賬戶，好時(shí)公司強(qiáng)制更改了密碼，并對公司電子郵件環(huán)境實(shí)施了額外的檢測保護(hù)措施。

部分圖文內(nèi)容來源網(wǎng)絡(luò)，僅供傳播交流