全球动态

1. 外交部：不能将网络安全问题政治化

中国外交部3月25日举行例行记者会。会上，有记者就英国计划以“网络攻击”为由进行制裁一事提问。对此，外交部发言人林剑表示，网络安全是全球性挑战，中国是网络攻击的主要受害者之一。网络攻击溯源问题高度复杂敏感。在调查和定性网络事件时，不能将网络安全问题政治化。【阅读原文】

2. 消息称苹果 iOS 18 系统因用户隐私处理问题，无法保证提供生成式 AI 服务

马克・古尔曼（Mark Gurman）表示，苹果公司仍在研究如何利用人工智能功能处理隐私问题，这或将导致苹果最终决定放弃与谷歌等其他公司合作在 iOS18 中提供生成式 AI 服务，不提供聊天机器人等 AI 功能。【阅读原文】

3. 国家网信办公布《促进和规范数据跨境流动规定》

3月22日，国家互联网信息办公室公布《促进和规范数据跨境流动规定》（以下简称《规定》），自公布之日起施行。【阅读原文】

4. 通用汽车宣布停止与数据经纪商共享司机驾驶行为数据

通用汽车3月22日宣布停止与两家数据经纪商共享司机驾驶行为数据。数据经纪商根据这些数据向保险业出售司机的风险评估报告。此前《纽约时报》披露，通用汽车与保险行业共享了司机驾驶里程、刹车、加速等数据，导致了部分司机车险费率上升。【阅读原文】

5. 德国警方查获了暗网市场NEMESIS MARKET

德国联邦刑事警察局 （BKA） 和法兰克福网络犯罪打击部门 （ZIT） 进行了一项行动，分布在德国和立陶宛的暗网市场 Nemesis Market 的基础设施被查封。【外刊-阅读原文】

6. 95%的企业面临 API 安全问题

据安全公司 Fastly最近做的一项调查显示，95%的企业在过去1年中遇到过 API 安全问题。

【外刊-阅读原文】

安全事件

1. 美国上千万卡车容易受蠕虫攻击

科罗拉多州立大学研究人员发现，美国商用卡车使用的 Electronic Logging Devices(ELDs)存在安全漏洞，可被用于控制卡车，甚至在卡车之间传播蠕虫。【阅读原文】

2. 超过 100 个美国和欧盟组织成为 StrelaStealer 恶意软件攻击的目标

一场新的大规模 StrelaStealer 恶意软件活动影响了美国和欧洲的一百多个组织，试图窃取电子邮件帐户凭证。【外刊-阅读原文】

3. 由于固有的漏洞，苹果M芯片系列Mac可能会泄露数据

根据研究，使苹果M 系列处理器的Mac容易受到一项无法修补的新侧信道攻击。从理论上讲，黑客可以提取秘密加密密钥，然后访问敏感数据。【外刊-阅读原文】

4. 欧罗巴航空宣布客户数据可能遭到泄露

西班牙著名航空公司欧罗巴航空公司（Air Europa）宣布，在去年10月发现安全事件后，其客户数据可能会遭到泄露。【外刊-阅读原文】

5. 谷歌子域中的 XSS 漏洞能让黑客劫持用户会话

安全研究员 Henry N. Caga 在 Google 子域中发现了一个重大的跨站点脚本 （XSS） 漏洞，该漏洞允许黑客执行各种攻击，包括会话劫持、网络钓鱼攻击、恶意软件分发和数据盗窃。【外刊-阅读原文】

6. MobSF 渗透测试工具输入验证缺陷导致 SSRF

移动安全框架 （MobSF）已被发现包含可能导致服务器端请求伪造 （SSRF） 攻击的关键输入验证缺陷，该漏洞被跟踪为 CVE-2024-29190，影响 MobSF 版本 3.9.5 Beta 及更早版本。【外刊-阅读原文】

优质文章

1. 大语言模型安全指南：如何提升LLM安全抵御Prompt Injection

本文将跟广大渗透测试人员和开发人员分享针对LLM的安全设计与开发基准，并演示如何使用各种技术来提升LLM的安全以降低Prompt Injection的风险。【阅读原文】

2. 执法行动高压下，勒索软件攻击仍持续增加

多国联合执法加强了执法机构在网络空间中的威慑力，但由于网络犯罪的特点，很多犯罪团伙的根基并未被动摇，主要的犯罪人员和攻击者并未落网。因此，往往是在执法机构严厉打击后，整个犯罪团伙“化整为零”后再度重生。【阅读原文】

3.《促进和规范数据跨境流动规定》的变化与数据跨境监管的未来

本文将首先梳理我国既有数据出境流动的监管脉络，对比《促进和规范数据跨境流动规定》和既有数据出境监管流程的差异，并对《促进和规范数据跨境流动规定》的主要条款和要求进行梳理和分析，进一步明晰《促进和规范数据跨境流动规定》对企业的影响，提出对数据出境常态化监管的思考。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。