新的一周又开始了,以下是本周「Lianwei周报」,我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件,保证大家不错过本周的每一个重点!
政策/标准/指南最新动态
01 网络安全保险典型服务方案目录公布
根据中国新闻网的报道,工信部办公厅近日公布了一份网络安全保险典型服务方案目录,共包含49个服务方案。该目录的发布旨在鼓励各单位积极组织开展网络安全保险服务试点工作,并探索建立网络安全保险服务模式。
详情:
https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art_75e0130e77554ba9ba3987649b9b82c7.html
02 美国发布《美国隐私权法案》草案
《美国隐私权法案》草案要点:数据最小化、消费者拒绝定向广告权、数据访问与控制权、数据安全条款、国家数据中介登记、防止强制性仲裁、个人信息非歧视、算法决策权、信息去向控制、敏感数据严格保护。
详情:
03 欧盟EDPS发布2023年度报告重点强调数据安全
欧洲数据保护监督机构(EDPS)于2023年4月9日发布了其年度报告,重点关注数据安全的监督与执法、政策与咨询、技术与隐私方面的情况和努力。报告内容涵盖七大章节,涉及机构运行状况、履职情况、公共责任、前景展望等多方面内容。
详情:
热点资讯
01 估值超两千亿,“暗网版微信”准备上市
Telegram,估值超两千亿人民币的通讯平台,计划在2024年美国进行IPO。该平台使用户在网络世界为非作歹,成为加密货币乐园,被用于犯罪和恐怖主义。被多国政府禁用,但服务器分散难以被政府强迫放弃数据。
详情:
https://www.freebuf.com/articles/neopoints/397165.html
02 德国将设立网络军事部门应对俄罗斯威胁
德国计划设立网络军事部门,应对俄罗斯对北约成员国的网络攻击。该部门将成为德国武装部队的第四个独立军种,负责网络和信息领域的军事行动,将在新中央司令部下运作,以适应时代变化和俄罗斯日益增加的威胁。
详情:
https://therecord.media/germany-to-launch-cyber-military-unit-russia
03 谷歌就隐私诉讼达成和解
谷歌与三名加州原告就“隐身模式”隐私诉讼达成和解,同意删除2023年底前收集的数据,对无法删除数据去标识化,改进免责声明,未来五年默认阻止第三方cookie。
详情:
https://www.npr.org/2024/04/01/1242019127/google-incognito-mode-settlement-search-history
04 预算超2亿元,这家经纪公司扩大零日漏洞收购规模
Crowdfense更新漏洞收购计划,报价3000万美元,扩大收购范围至企业软件、无线/基带技术和即时通讯应用程序。提供不同类型漏洞的高额报价,如iPhone 500-700万美元,安卓500万美元,Chrome/Safari 300万美元,WhatsApp/iMessage 300-500万美元。
详情:
https://securityaffairs.com/161584/hacking/crowdfense-30m-exploit-acquisition-program.html
05 Google Cloud 携手 GenAI 打造网络安全“双子座”
谷歌与Palo Alto合作推出Gemini安全平台,结合谷歌云架构和Palo Alto端到端安全解决方案,实现零信任网络。Gemini Pro 1.5人工智能模型提供高级推理和多模式处理。
详情:
http://cybernews.com/security/google-cloud-gemini-genai-ai-powered-security/
安全事件
01 印度消费电子厂商 boAt 遇重大数据泄露 超 750 万人波及
印度消费电子厂商boAt近日发生重大数据泄露,超过750万客户个人数据。黑客ShopifyGUY声称负责,窃取约2GB数据并转储。福布斯印度版通过客户证实数据泄露真实性,受影响个人面临身份盗窃、金融欺诈和网络钓鱼攻击风险。、
详情:
https://www.myzaker.com/article/66137c798e9f0973a26f8569
02 美国环保局涉嫌遭黑客攻击,850万用户数据遭泄露
美国环境保护署(EPA)遭受黑客攻击,超过850万用户数据泄露,黑客化名为USDoD,数据泄露事件于2024年4月7日曝光。泄露数据在俄罗斯黑客论坛中流传,存在身份盗窃、网络钓鱼等风险。
详情:
https://www.hackread.com/us-environmental-protection-agency-hacked-data-leaked/
03 颠覆大众认知,苹果“强制”收集用户数据
研究人员研究了八款应用程序,分别是 Safari,Siri,家庭共享,iMessage,FaceTime,定位服务,查找和 Touch ID。他们发现,无论是 iPhone、iPad 或 MacBook,默认应用程序即使在显示为禁用状态时也会收集用户数据,这表明苹果用户无法完全控制他们的隐私。
详情:
https://cybernews.com/privacy/apple-privacy-protections-questioned/
04 微软被点名批评:34 页报告称其安全措施不到位
美国网络安全审查委员会(CSRB)近日发布了 34 页安全报告,点名批评微软安全措施不够到位,导致来自美国 22 个组织、影响 500 多人的电子邮件被泄露。
详情:
https://www.ithome.com/0/760/911.htm
05 新 SharePoint 缺陷可帮助黑客在窃取文件时逃避检测
研究人员发现SharePoint两个缺陷,允许攻击者绕过审核日志和下载触发,从而泄露数据。SharePoint广泛用于政府和企业。攻击者可通过代码、PowerShell脚本或SkyDriveSync用户代理下载文件,并错误标记为同步而非下载,从而秘密窃取敏感信息。这强调了增强安全性的迫切需要。
详情:
http://www.scmagazine.com/news/two-new-bugs-can-bypass-detection-and-steal-sharepoint-data