銳成信息壹周快報(bào)，匯總了本周的熱點(diǎn)資訊、安全事件，保證大家不錯(cuò)過本周的每一個(gè)重點(diǎn)!本周重點(diǎn)關(guān)注：《生成式人工智能個(gè)人信息保護(hù)基本要求》等3項(xiàng)地方標(biāo)準(zhǔn)公開征求意見；因插件漏洞，9萬+WordPress站點(diǎn)面臨LFI和RCE攻擊風(fēng)險(xiǎn)。

【熱點(diǎn)資訊】

1、《生成式人工智能個(gè)人信息保護(hù)基本要求》等3項(xiàng)地方標(biāo)準(zhǔn)公開征求意見

近日，由上海市信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口的《公共區(qū)域電子屏及相關(guān)播控系統(tǒng)安全管理要求》《多模態(tài)大模型安全評估指南》《生成式人工智能個(gè)人信息保護(hù)基本要求》等3項(xiàng)地方標(biāo)準(zhǔn)征求意見稿發(fā)布，并發(fā)布公開征求意見的通知。

• 資料來源：上海市信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)
• 資料鏈接：https://mp.weixin.qq.com/s/qKx2xOy_wc10CiNPg0PERg

2、歐盟將《虛假信息行為準(zhǔn)則》納入《數(shù)字服務(wù)法》框架

《虛假信息行為準(zhǔn)則》是一個(gè)由廣泛的利益相關(guān)者（在線平臺(tái)、搜索引擎、廣告行業(yè)、事實(shí)核查和民間社會(huì)組織等）共同商定的開創(chuàng)性框架，用于確定遵守《數(shù)字服務(wù)協(xié)定》的虛假信息風(fēng)險(xiǎn)。2025年2月13日，歐盟委員會(huì)和歐洲數(shù)字服務(wù)委員會(huì)批準(zhǔn)將自愿性《虛假信息行為準(zhǔn)則》正式納入《數(shù)字服務(wù)法》（DSA）框架。

【安全事件】

1、因插件漏洞，9萬+WordPress站點(diǎn)面臨LFI和RCE攻擊風(fēng)險(xiǎn)

據(jù)cybersecuritynews消息，因WordPress的Jupiter X Core 插件存在嚴(yán)重安全漏洞，導(dǎo)致90,000多個(gè)網(wǎng)站面臨本地文件包含(LFI)和遠(yuǎn)程代碼執(zhí)行(RCE)攻擊的風(fēng)險(xiǎn)。據(jù)悉，該漏洞被追蹤為CVE-2025-0366，CVSS得分為 8.8（高），可使擁有貢獻(xiàn)者級別訪問權(quán)限的驗(yàn)證攻擊者上傳惡意SVG文件，并在易受攻擊的服務(wù)器上執(zhí)行任意代碼。

2、雅虎數(shù)據(jù)泄露事件，疑似60.2萬個(gè)電子郵件賬戶被黑客兜售

據(jù)cybersecuritynews消息，一名化名為 “exelo ”的黑客據(jù)稱在一個(gè)地下論壇上發(fā)布了一個(gè)包含602,800個(gè)雅虎電子郵件賬戶的數(shù)據(jù)庫，該黑客聲稱這些數(shù)據(jù)是“私密且非俄羅斯來源的”，并以100美元的價(jià)格出售整個(gè)數(shù)據(jù)庫，同時(shí)提供50,000個(gè)賬戶的免費(fèi)樣本供潛在買家測試。目前尚不能確認(rèn)事件的真實(shí)與否，但鑒于賬戶泄露可能會(huì)導(dǎo)致受影響的用戶面臨憑證重復(fù)使用攻擊、網(wǎng)絡(luò)釣魚活動(dòng)以及身份盜竊等風(fēng)險(xiǎn)，建議雅虎用戶立即采取更改密碼以及啟用雙因素驗(yàn)證(2FA)等行動(dòng)來保護(hù)賬戶安全。

3、美風(fēng)投巨頭披露一起網(wǎng)絡(luò)攻擊事件，系統(tǒng)遭黑客入侵

據(jù)securityaffairs消息，近日，美國知名風(fēng)險(xiǎn)投資公司Insight Partners披露了一起網(wǎng)絡(luò)安全事件，稱網(wǎng)絡(luò)攻擊者未經(jīng)授權(quán)訪問了其內(nèi)部信息系統(tǒng)。此次事件發(fā)生在2025 年 1 月 16 日，網(wǎng)絡(luò)攻擊者使用了一種復(fù)雜的社交工程技術(shù)來訪問其基礎(chǔ)設(shè)施。該公司稱已通知了與 Insight相關(guān)的利益相關(guān)者，提醒他們提高警惕，并鼓勵(lì)他們加強(qiáng)安全協(xié)議，無論共享數(shù)據(jù)是否被泄露，并表示該事件并未影響其運(yùn)營。

4、ChatGPT Operator嚴(yán)重漏洞，會(huì)致敏感個(gè)人數(shù)據(jù)泄露

據(jù)cybersecuritynews消息，OpenAI的一款專為 ChatGPT Pro 用戶設(shè)計(jì)的尖端研究預(yù)覽工具ChatGPT Operator存在嚴(yán)重漏洞，漏洞可通過提示注入攻擊，致使敏感個(gè)人數(shù)據(jù)面臨泄露風(fēng)險(xiǎn)。據(jù)悉，OpenAI實(shí)施了用戶監(jiān)控、內(nèi)聯(lián)外帶確認(rèn)請求等多層防御措施來降低此類風(fēng)險(xiǎn)，但這些防御措施都是概率性的，并非萬無一失。

5、印度郵局門戶網(wǎng)站泄密數(shù)千份敏感KYC記錄

據(jù)gbhackers消息，近日，因存在一個(gè)名為 “不安全直接對象引用”（IDOR）的關(guān)鍵漏洞，印度郵局門戶網(wǎng)站暴露了數(shù)千名用戶的敏感了解您的客戶 （KYC）數(shù)據(jù)。據(jù)悉，此漏洞允許未經(jīng)授權(quán)的個(gè)人僅通過操作URL中的數(shù)字就能訪問用戶的私人信息，包括 Aadhaar 號碼、PAN 詳情、地址和其他個(gè)人記錄。

部分圖文內(nèi)容來源網(wǎng)絡(luò)，僅供傳播交流