周刊 | 网安大事回顾(2022.9.19—2022.9.25)
2022年8月29日,中国人民银行正式发布《金融网络安全 信息科技外包评价指标数据元》标准。此标准结合金融行业信息科技外包服务特点,从基本情况、协议履行、服务质量、安全保障等方面提出信息科技外包服务评价指标,并给出评价指标数据元定义,可为金融机构信息科技外包服务评价工作提供指导。此标准的发布有助于规范和统一金融行业信息科技外包服务评价体系,促进金融行业信息科技外包服务高质量稳健发展。
网安热点方面,Python曝出15年“老洞”,数十万开源项目受影响;美国关键基础设施软件供应链安全指南的十大谬误;美国驻华使馆被曝过度采集个人信息;美国航空发生数据泄露事件;火爆全网的人工智能绘画工具抓取私人病例照片;河南一高校学信网信息泄露;网约车巨头Uber再遭黑客攻击…
一周网安风云回顾,GoUpSec带你安全看世界。
1、政策法规
关键词:金融网络安全 气象数据安全
央行正式发布《金融网络安全 信息科技外包评价指标数据元》(JR/T 0254—2022)标准
2022年8月29日,中国人民银行正式发布《金融网络安全 信息科技外包评价指标数据元》(JR/T 0254—2022)标准。此标准结合金融行业信息科技外包服务特点,从基本情况、协议履行、服务质量、安全保障等方面提出信息科技外包服务评价指标,并给出评价指标数据元定义,可为金融机构信息科技外包服务评价工作提供指导。此标准的发布有助于规范和统一金融行业信息科技外包服务评价体系,促进金融行业信息科技外包服务高质量稳健发展。
中国气象局印发《气象数据开放共享实施细则(试行)》 推进气象数据安全合规有序开放共享
日前,中国气象局印发《气象数据开放共享实施细则(试行)》,进一步规范气象数据开放共享工作,推进气象数据安全、合规、有序开放共享,提升气象数据资源价值和应用效益。根据《实施细则》,中国气象局预报与网络司负责全国气象数据共享服务和安全管理工作,并根据部门职能和工作实际授予中国气象局直属单位、地方气象部门气象数据共享服务和安全审查管理权;被授权单位应在被授权范围内行使气象数据共享服务和安全管理职责。
2、热点新闻
关键词:Python 个人信息 软件供应链安全 暗网
近日,Trellix高级研究中心在Python的tarfile模块中发现一个存在长达15年之久的漏洞(CVE-2007-4559),全球数十万个开源和闭源项目受漏洞影响。研究人员警告说,这无意中产生了一个规模超大的软件供应链攻击面,大多数受影响的组织甚至都不知道。据透露,该漏洞是Python tarfile模块中的一个与路径遍历相关的漏洞,被跟踪为CVE-2007-4559,目前有超过35万个开源存储库存在该尚未修补的漏洞,使得软件应用程序非常容易被利用。
据《环球时报》的独家披露,美方涉嫌以“背调”为由,强迫中方雇员提交个人、家庭甚至邻居的信息,这些信息甚至可能被“分享”给美国情报部门。相关专家在接受采访时认为,美方做法是典型的数据过度采集行为,美国的做法完全违背了我国的《个人信息保护法》的相关规定。
美国网络和基础设施安全局(CISA)等机构联合发布的软件供应链安全指南遭到了软件开发业界人士的广泛批评,企业网络安全专家凯利肖特里奇认为这份指南脱离实际甚至非常危险,任何实施该指南的企业都将面临灾难性的后果。里奇为此专门发布了万字长文,对指南进行了猛烈抨击,并提出了自己的十大反对意见。
网络安全公司BitSight从2022年1月开始在暗网上搜寻与3000家上市公司相关的关键SSO书,结果发现25%的标准普尔500指数企业和50%的全球市值最高的20家美国上市公司在2022年至少有一个SSO证书在暗网上出售。在暗网上出售的上市公司SSO凭证数量持续稳步增长。这些受影响的公司市值超过11万亿美元,可能与其全球客户群一起面临单点登录证书泄露的风险。
3、融资动态
关键词:友友天宇 云驰未来
北京友友天宇系统技术有限公司近日完成数千万元Pre-B轮融资,投资方为科力创投,航行资本担任独家财务顾问。友友天宇此前已完成三轮融资,投资方分别是CBC宽带资本、深圳国创硕和国投创业。据友友天宇董事长兼CEO姚宏宇透露,本轮资金主要用于补充公司的现金储备以及开展市场推广。
近日,智能网联汽车信息安全企业——云驰未来宣布完成新一轮战略融资,由中电基金领投,老股东中关村前沿基金和金沙江创投跟投,累计实现过亿融资规模。据了解,本轮融资主要用于汽车安全产品的技术研发和持续迭代,以及团队建设和市场拓展等方面,航行资本提供财务顾问服务。
4、网络攻击
关键词:数据泄露 人工智能 信息泄露 黑客攻击
美国航空公司上周末发出客户通知信确认遭遇黑客攻击,声称攻击者获取了数量不明的客户和员工电子邮件账户和敏感个人信息。根据通知,美国航空公司在7月5日发现了这一漏洞,立即保护了受影响的电子邮件账户,并聘请了一家网络安全取证公司来调查安全事件。在攻击中暴露并可能被攻击者访问的个人信息可能包括:员工和客户的姓名、出生日期、邮寄地址、电话号码、电子邮件地址、驾驶执照号码、护照号码和/或某些医疗信息。
近日,一位名为Lapine的艺术家通过一个Have I Being Trained的网站反向查询LAION-B图片库,惊讶地发现自己的面部病例照片居然出现在训练数据集中,Lapine在推特上晒出了这些医学照片的使用协议,表明这些照片仅供医生使用,不得公开泄露。显然,在拥有Lapine病例照片的外科医生去世后,这些照片不知何故从诊所泄露,被搜罗到了人工智能图像合成算法训练数据库中,并被“烘培”到无数人工智能合成的图像中。
据报道,2016年,美国网约车巨头Uber发生了重大黑客攻击事件,该公司一直到现在还没有终结这一事件的余波。然而日前,Uber再一次爆出攻击事件,再度陷入了网络安全的泥潭。上周四,一名黑客获得了Uber一位员工的Slack账号,并获取了该公司在亚马逊和谷歌云计算平台的访问权限。位于旧金山的Uber公司目前已经证实了这次黑客攻击,公司上下正在匆忙评估这次黑客攻击造成的损失。
信阳师范学院曝“学信网信息泄露”,学院:已报警,涉事学生干部被撤职
据国内多家媒体报道,9月19日,河南省信阳师范学院被曝“学信网信息泄露”,导致不少学生三个月内不能享受购买苹果电脑、耳机等产品的优惠政策。根据信阳师范学院发布的通告,学校有关部门已于9月19日上午向信阳市五星乡派出所报案,并立案调查。