周刊 | 网安大事回顾（2025.1.13-2025.1.19）

4 小时前作者：GoUpSec

政策法规：四部门联合印发《关于促进数据标注产业高质量发展的实施意见》；16款App存在隐私不合规行为被通报；拜登再次发布网络安全行政令，全面加强美国国家网络防御创新…

热点新闻：支付宝P0级重大事故：整整5分钟所有订单打8折，官方回应：不向用户追款；FTC要求通用汽车停止收集和销售驾驶员数据…

融资动态：安般科技完成新一轮股权融资，金额未披露；Orchid宣布完成3600万美元种子融资…

网络攻击：Windows远程桌面网关漏洞导致系统遭受DoS攻击；rsync被爆出多个安全漏洞；近期Fortinet防火墙频遭攻击，疑似零日漏洞被利用…

在美国总统任期行将结束之际，乔·拜登签署了第二份网络安全行政命令，旨在强化本届政府制定的软件安全标准的执行力度。它还致力于进一步整合联邦网络防御，强化对国家级黑客和勒索软件团伙的制裁措施，打击数字身份欺诈，并推动AI技术的安全发展。

一周网安风云回顾，GoUpSec带你安全看世界。

政策法规

关键词：隐私合规拜登

四部门联合印发《关于促进数据标注产业高质量发展的实施意见》

近日，国家发展改革委、国家数据局、财政部、人力资源社会保障部联合印发《关于促进数据标注产业高质量发展的实施意见》。《实施意见》以促进数据开发利用、赋能经济社会发展为主线，着力培育数据标注新业态，布局数字科技新赛道，构筑产业国际竞争新优势。

16款App存在隐私不合规行为被通报！

国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求，近期通过互联网监测发现16款移动App存在隐私不合规行为。国家计算机病毒应急处理中心提醒广大手机用户首先谨慎下载使用以上违规移动App，同时要注意认真阅读其用户协议和隐私政策说明，不随意开放和同意不必要的隐私权限，不随意输入个人隐私信息，定期维护和清理相关数据，避免个人隐私信息被泄露。

拜登再次发布网络安全行政令，全面加强美国国家网络防御创新

在美国总统任期行将结束之际，乔·拜登签署了第二份网络安全行政命令，旨在强化本届政府制定的软件安全标准的执行力度。这份文件名为《关于加强和促进国家网络安全创新的行政命令》，于1月16日签署。它还致力于进一步整合联邦网络防御，强化对国家级黑客和勒索软件团伙的制裁措施，打击数字身份欺诈，并推动AI技术的安全发展。

热点新闻

关键词：支付宝 FTC

支付宝P0级重大事故：整整5分钟所有订单打8折，官方回应：不向用户追款

1月16日14:40至14:45，支付宝平台突发严重线上故障，导致众多用户在购物、信用卡还款、缴纳签证费用、转账以及加油等支付场景中，订单金额意外享受了“政府补贴”20%的减免，相当于直接打8折。对此，1月17日凌晨，支付宝发布声明回应称，1月16日下午因操作失误，导致部分用户在支付时享受了立减优惠。支付宝强调，官方未发送任何资金追回短信。

FTC要求通用汽车停止收集和销售驾驶员数据

美国联邦贸易委员会(FTC)正在对通用汽车(GM)及其子公司OnStar采取行动，指控其非法收集和出售数百万辆汽车的驾驶员精确地理位置和驾驶行为数据。美国政府组织提出了一项和解方案，该汽车巨头将被禁止在五年内共享驾驶员的敏感数据。该汽车制造商还必须提高其数据处理的透明度，同时让用户更好地控制自己的信息。

融资动态

关键词：安般科技 Orchid

安般科技完成新一轮股权融资，金额未披露

投资方：建投创发。安般科技是一家智能模糊测试技术提供商，以当代智能模糊测试技术和程序分析技术为核心、以软件全流程负面测试为研发方向，从事商业化智能模糊测试技术的科技公司。

Orchid宣布完成3600万美元种子融资

投资方：由Team8和Intel Capital共同领投，Capital One以及个人投资者跟投。Orchid的身份优先安全编排平台持续发现自托管和SaaS应用程序，分析其身份验证和授权流程，以识别漏洞并促进修复，确保组织身份栈的统一和标准化安全态势。

网络攻击

关键词：Windows rsync

Windows远程桌面网关漏洞导致系统遭受DoS攻击

微软披露了其Windows远程桌面网关 (RD网关) 中的一个严重漏洞，该漏洞可能允许攻击者利用竞争条件，从而导致拒绝服务 (DoS) 攻击。该漏洞源自类型混淆问题，分类为CWE-843：使用不兼容类型访问资源。此漏洞允许攻击者利用与网络堆栈绑定的RD网关组件，使其可通过互联网远程利用。通过成功触发竞争条件，攻击者可以破坏RD网关服务的可用性。

高危！rsync被爆出多个安全漏洞

近期，Unix平台上广泛使用的文件同步工具rsync暴露出多项高危安全漏洞，安全专家已披露这些漏洞并提供修复措施。为了避免数据泄露和恶意代码执行的风险，所有使用rsync的用户必须尽快升级到3.4.0+版本。这些漏洞可以使攻击者通过控制恶意服务器，读取、写入任何已连接的客户端文件，包括但不限于提取敏感信息（如SSH密钥）或覆盖用户的配置文件（如~/.bashrc和 ~/.popt），从而执行恶意代码。

近期Fortinet防火墙频遭攻击，疑似零日漏洞被利用

近期一系列针对Fortinet FortiGate防火墙设备的攻击可能源于一个零日漏洞。这些设备的管理接口暴露在互联网上。研究人员发现，攻击者利用这些接口实施了未经授权的管理员登录、修改配置、创建新账号，并执行了SSL VPN认证操作。研究人员补充道，此次攻击活动的受害者分布广泛，没有集中于特定行业或组织规模，这表明攻击是“机会主义性质的，而非刻意的系统性目标攻击”。

专挑执法机构下手！欧盟执法培训机构发生大规模数据泄露

欧盟执法培训机构（CEPOL）近日披露了一起大规模数据泄漏事件。该机构承认在2024年5月遭受的一次网络攻击中，导致近10万名参与CEPOL培训的个人数据可能被泄露。被泄露的数据包括姓名、电子邮件地址、电话号码、职级/职位、所在机构、国家、专业资质以及性别等敏感信息。