全球动态

1. 网络威胁形势严峻！美国航空业紧急发布网络安全新规

美国国土安全部运输安全管理局公布了新的网络安全规则，以加强境内最大、最重要的机场和航空运营商的保障能力，这也是拜登政府在近一周内第二次推动关键基础设施发布网络规则。【阅读原文】

2. 美国众议院议员和工作人员遭遇数据泄露，FBI 开始介入调查

联邦调查局正在调查一起影响美国众议院议员和工作人员的数据泄露事件，因为他们的账户和敏感个人信息从 DC Health Link 的服务器上被盗。【外刊-阅读原文】

3. 全国政协委员连玉明：组建国家数据局将带来三大变化

《数字中国建设整体布局规划》政策出台，叠加组建国家数据局这一重大举措，数据要素市场发展加速向前。【阅读原文】

4. Bitwarden 漏洞允许黑客使用 iframes 窃取密码

Bitwarder 的凭据自动填充功能包含一种危险的行为，它可能允许嵌入可信网站的恶意 iframe 窃取用户的凭据并将其发送给攻击者。【外刊-阅读原文】

5. 中消协发布《2022 年个人信息保护领域消费者权益保护报告》

中消协发布《2022 年个人信息保护领域消费者权益保护报告》，报告认为我国对个人信息保护的立法构建经历了由刑事规制到民事规制、由原则性规定到具体规则的发展过程。【阅读原文】

6. Jenkins 开源：新的安全漏洞可允许代码执行攻击

Jenkins 开源自动化服务器中披露了两个严重的安全漏洞，利用此漏洞可在目标系统上执行任何代码。这些漏洞被追踪为 CVE-2023-27898 和 CVE-2023-27905，影响 Jenkins 服务器和更新中心，并被云安全公司 Aqua 统称为 CorePlague。【外刊-阅读原文】

安全事件

1. Sharp Panda 攻击东南亚政府机构

Check Point 近日表示，研究人员发现了 Sharp Panda 针对东南亚政府机构的攻击活动。该活动从 2022 年底开始并持续到 2023 年，使用鱼叉式钓鱼攻击进行初始入侵。【阅读原文】

2. GDPR 恐被废除？英国再次考虑制定本国数据安全法案

英国政府正再次考虑取代被采纳为本国法律的欧盟《通用数据保护条例》（GDPR），并试图向世人解释通过制定更加符合本国的法案将在未来十年内节省数十亿英镑支出。【外刊-阅读原文】

3. 加大对内鬼泄露个人信息的刑事处罚力度

全国两会期间，全国政协委员、农工党广西区委副主委、广西高级人民法院副院长义芳指出，个人信息保护仍面临“同意原则”失灵、责任边界不明、保护举措乏力等诸多困境。【阅读原文】

4. 勒索软件团伙发布从明尼阿波利斯学校盗出的数据视频

美杜莎勒索软件团伙要求明尼阿波利斯公立学校（MPS）区支付 1000000 美元赎金，以删除据称在勒索软件攻击中被盗的数据。【外刊-阅读原文】

5. 西班牙格拉纳达议会近 3GB 的信息在黑客论坛被出售

据外媒报道，西班牙格拉纳达议会近 3GB 的信息在黑客论坛被出售。格拉纳达议会是一个公共实体，为公民提供直接服务，并为西班牙格拉纳达省市议会提供技术、经济和技术支持等。【阅读原文】

6. Fortinet FortiOS 和 FortiProxy 存在严重漏洞，请立即修补！

优质文章

1. 为什么政府官员和机构不断被黑客入侵？

在过去的十年中，网络攻击变得更具破坏性，影响范围更广，甚至在许多情况下更具政治性。各国政首和政要的私人信息和设备被间谍软件入侵，造成隐私信息泄露的事件时有发生；政府机构则不仅面临间谍软件，还包括勒索软件的双重攻击。在网络攻击指数级增长的当下，各国将网络安全视为国家安全的关键挑战。【阅读原文】

2. 巧用 Windows 事件日志“隐藏”载荷

根据卡巴斯基发布的研究报告发现一项恶意活动，其中的技术涉及将 shellcode 直接放入 Windows 事件日志，Windows 事件日志可以被攻击者用来掩盖特洛伊木马病毒的恶意使用，实现了”无文件”攻击技术，下面就利用该涉及的技术，简单尝试一下。【阅读原文】

3. 数据出境常态化合规的十个趋势性问题

影响广泛的《数据出境安全评估办法》自 2022 年 9 月 1 日起施行，并给了 6 个月的整改期。整改 deadline 期满后，自 2023 年 3 月起，数据出境安全评估集中整改/申报暂告一段落，未来转向常态化合规阶段。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。