1月安全月报 | 2亿Twitter用户数据被公开;美计划发起“黑掉五角大楼3.0”漏洞赏金计划

目录

国外安全热点

👉安全政策

👉数据安全

👉市场趋势

👉勒索事件

国内安全热点

👉数据安全

👉业务安全

👉移动安全

👉网安政策


为了让大家更全面的了解网络安全的风险,针对每月值得关注的安全技术和事件进行盘点总结。

 

国外安全热点

👉安全政策

美国防部计划发起“黑掉五角大楼3.0”漏洞赏金计划

美国防部1月13日宣布将发起“黑掉五角大楼3.0”计划,重点是发现维持五角大楼和相关场地运行操作技术中的漏洞。

“黑掉五角大楼3.0”计划寻求在五角大楼设施相关控制系统(FRCS)网络上执行众包实践,该网络用于管理五角大楼保留区内的机械操作,如主楼内的供暖和空调、五角大楼供暖和制冷厂、模块化办公大楼和停车场等。该计划的总体目标是通过众包获得创新信息安全研究人员的支持,以开展漏洞发现、协调和披露活动,并评估FRCS网络当前的网络安全状况,找出弱点和漏洞,同时提供改善和加强整体安全态势的建议。该计划仅涉及五角大楼FRCS网络中所包含的非机密信息系统和操作技术。鉴于资产的敏感性,参与该计划承包商需要利用技术娴熟且值得信赖的研究人员,相关人员仅限于美国人,且必须符合美国防部制定的资格标准。

👉数据安全

2亿Twitter用户数据被公开,仅需2美元即可下载

1月5日消息,有黑客在论坛上泄露了含有2.35亿推特用户的数据。援引Cybernews报道,此次泄露的数据大约有 63GB,其中包括用户的姓名、电子邮件地址、粉丝数量和账户创建日期。该数据库甚至是公开的,允许任何人下载它。

1月13日,Twitter 在声明中表示,针对媒体报道的用户数据在网上出售问题,公司组织了安全专家,进行彻底调查后,发现没有证据表明泄露的用户数据是利用推特系统漏洞获取的。

沃尔沃汽车泄露200GB用户数据

近日,一位昵称为 IntelBroker 的成员宣布,VOLVO CARS 成为勒索软件攻击的受害者。他声称该公司遭到 Endurance 勒索软件团伙的袭击,攻击者窃取了 200GB 的敏感数据,这些数据现在正在出售。

目前沃尔沃公司并未对此事件进行回应,因此尚无法确定被泄数据的真实性。但是在2021 年 12 月,瑞典汽车制造商沃尔沃汽车公司透露攻击者从其系统中窃取了研发数据,此后数据并未公开,也没有收到任何勒索信息。因此,此次公开出售的数据尚不清楚是否是2021 年数据泄露事件中的数据,或者是新的数据泄露事件。

奔驰、宝马等汽车品牌存在 API 漏洞,可能暴露车主个人信息

Bleeping Computer 网站披露,近 20 家汽车制造商和服务机构存在 API 安全漏洞,这些漏洞允许黑客进行远程解锁、启动车辆、跟踪汽车行踪,窃取车主个人信息的恶意攻击活动。

据悉,API 漏洞主要影响宝马、罗尔斯、奔驰、法拉利、保时捷、捷豹、路虎、福特、起亚、本田、英菲尼迪、日产、讴歌、现代、丰田和创世纪等其知名汽车品牌。此外,漏洞还影响汽车技术品牌 Spireon 和 Reviver 以及流媒体服务 SiriusXM。

宝马和奔驰中发现了最严重的 API 漏洞,这些漏洞受到 SSO(单点登录)漏洞的影响,攻击者可以利用访问内部业务系统。例如在对梅赛德斯-奔驰的测试中,研究人员可以访问多个私有 GitHub 实例、Mattermost 上的内部聊天频道、服务器、Jenkins 和 AWS 实例,并成功连接到客户汽车的 XENTRY 系统等。

谷歌 Chrome 浏览器曝高危漏洞

1 月 15 日消息,网络安全公司 Imperva Red 近日披露了存在于 Chrome / Chromium 浏览器上的漏洞细节,并警告称全球超过 25 亿用户的数据面临安全威胁。

微软 GitHub 不再支持 PayPal 付款

1 月 26 日消息,微软 GitHub 官方博客近日发表简短声明,宣布从 2023 年 2 月 23 日起,GitHub Sponsors 项目打赏功能将不再支持 PayPal 支付方式。赞助人将无法再通过 PayPal 打赏开发者或组织,GitHub 建议赞助人更新支付方式,使用信用卡或借记卡。GitHub 官方对此没有给出更多解释。

此前,PayPal 于 2023 年 1 月 18 日透露,该公司在 2022 年 12 月受到网络攻击,泄露了 34942 条用户个人信息。

👉市场趋势

Canalys:2022年第三季度全球网络安全市场达178亿美元,同比增长16%

科技市场独立分析机构Canalys发布报告称,全球网络安全市场在2022年第三季度仍同比增长15.9%,达到178亿美元。根据报告,网络安全是体量最大的细分类别,占51亿美元,增长14.8%。

迄今为止,北美是最大的网络安全市场,其支出达到96亿美元,占全球总支出的53.8%。同时,北美也是增长最快的市场,达到17.1%。欧洲、中东和非洲地区的网络安全支出达到52亿美元,亚太地区为24亿美元,拉丁美洲为6亿美元。

Canalys 研究:2023 年全球网络安全支出将达 2238 亿美元增长 13%,勒索软件仍是最大威胁

1 月 21 日消息,Canalys 最新预测,2023年全球网络安全支出(包括企业产品和服务)将增长 13.2%,对渠道伙伴来说,仍是关键的增长领域。在理想条件下,2023 年的总支出预计将达到 2238 亿美元,网络安全服务的交付量将超过产品的出货量。

Canalys 分析师表示,“从运营、财务和品牌角度来看,勒索软件仍然是各企业面临的最大威胁。但 ChatGPT 等生成式人工智能模型的出现和滥用,在 2023 年将网络风险提高到另一个水平。

👉勒索事件

英国多所学校数据遭大规模泄露,教育行业成勒索软件的主目标

在 2022 年发生高校攻击事件后,来自 14 所英国学校的数据被黑客在线泄露。泄露的文件包括学生的 SEN 信息、学生护照扫描件、员工工资表和合同细节。在被攻击的学校拒绝支付赎金要求后,信息被泄露。

据报,攻击和泄露事件是由黑客组织 Vice Society 实施的,该组织针对英国和美国的教育机构进行了多次勒索攻击。

2022 年 10 月,洛杉矶联合学区 (LAUSD)警告称,Vice Society已开始发布从该机构窃取的数据。此前,LAUSD 宣布不会向勒索者付款。

受影响的 14 所英国学校中的许多学校已向家长、学生和教职员工提供了有关该事件的最新信息。

在过去几年中,教育行业一直是勒索软件的主要目标。Sophos 于 2022 年 7 月发布的一份报告发现,56% 的低等教育机构和 64% 的高等教育机构在过去一年受到了勒索软件的攻击。

国内安全热点

👉数据安全

历时500多天,滴滴宣布恢复新用户注册

1月16日下午,滴滴出现官方微博发文称即日起恢复“滴滴出行”的新用户注册。后续,公司将采取有效措施,切实保障平台设施安全和大数据安全,维护国家网络安全。

截至目前,苹果、小米、华为、OPPO等手机应用市场上,滴滴出行旗下APP尚未恢复上架,只能在过去已下载的App中进行新用户注册。有业内人士表示,随着滴滴恢复新用户注册,后续包括滴滴出行等APP,应该会陆续恢复。

知名航空公司被黑,多位台湾名人个人信息疑外泄

1月15日消息,台湾中华航空股份有限公司(下简称“华航”)被发现疑似遭遇黑客攻击,导致大批旅客资料外泄到互联网上,其中包括赖清德、张忠谋、林志玲等数十位政商名人、知名艺人。

1月4日首次疑似旅客资料泄露事件发生后,1月7日,“华航”发表声明称收到匿名网络勒索邮件,并在第一时间启动了应急防御措施并报警。“华航”称没有出现旅客资料遭遇不当使用的情况。1月11日,疑似泄露资料的黑客再次公布了一批旅客资料。黑客称,由于“华航”迟迟不承认旅客资料泄露,将持续公布黑客入侵路径、“华航”系统清单以及300万会员的资料库等。

1月14日,“华航”发布声明称,经过清查,目前网上流传的疑似泄露的旅客资料与该公司的资料库不尽相符。“华航”再次强烈谴责非法行为,将全力配合警方进行调查。“华航”还提醒旅客定期修改密码,保护好个人资料安全。

👉业务安全

公安部:2022 年关闭 537 万个“网络水军”账号

1月 9 日消息,公安部网安局表示,2022 年,全国公安机关网安部门深入推进“净网 2022”专项行动,截至 2022 年 12 月底,共侦办案件 8.3 万起,针对“网络水军”违法犯罪,组织对造谣引流、舆情敲诈、刷量控评、有偿删帖 4 类常见“网络水军”违法犯罪发起集群战役,侦破“网络水军”案件 550 余起,关闭“网络水军”账号 537 万个,关停“网络水军”非法网站 530 余个,清理网上违法有害信息 56.4 万余条,有效净化了网络环境。

👉移动安全

北京市通信管理局通报 29 款问题 App,高途、考虫等在列

1 月 10 日消息,据工业和信息化部官微“工信微报”,依据相关法律法规,北京市通信管理局持续开展 App 隐私合规和网络数据安全专项整治。通报中存在侵害用户权益和安全隐患等问题的 29 款 App。

其中,21 款 App 存在不同类型问题需整改,相关 App 运营企业需立即整改,并于 1 月 18 日前提交整改报告,逾期不整改或整改不到位的,将依法依规予以处置。

浙江省网信办依法集中查处一批侵犯个人信息合法权益的违法违规App

近期,浙江省网信办依据《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规规定,依法查处“诺言”等173款违法违规App。经查,“诺言”等173款App存在频繁索要非必要权限、未告知相关个人信息处理规则、违反必要原则收集、未经用户同意收集使用个人信息等问题,依法责令限期50日完成整改,逾期未完成整改的,依法予以下架处置。

👉网安政策

十六部门:加快数据安全技术与人工智能、大数据、区块链等新兴技术的交叉融合创新

1 月 13 日消息,据工信部网站,工业和信息化部等十六部门发布关于促进数据安全产业发展的指导意见。

意见提出,到 2025 年,数据安全产业基础能力和综合实力明显增强。产业生态和创新体系初步建立,标准供给结构和覆盖范围显著优化,产品和服务供给能力大幅提升,重点行业领域应用水平持续深化,人才培养体系基本形成。

意见提出,加快数据安全技术与人工智能、大数据、区块链等新兴技术的交叉融合创新,赋能提升数据安全态势感知、风险研判等能力水平。加强第五代和第六代移动通信、工业互联网、物联网、车联网等领域的数据安全需求分析,推动专用数据安全技术产品创新研发、融合应用。支持数据安全产品云化改造,提升集约化、弹性化服务能力。推动先进适用数据安全技术产品在电子商务、远程医疗、在线教育、线上办公、直播新媒体等新型应用场景,以及国家数据中心集群、国家算力枢纽节点等重大数据基础设施中的应用。推进安全多方计算、联邦学习、全同态加密等数据开发利用支撑技术的部署应用。

附意见全文。

信通院发布《网络立法白皮书 (2022年)》

近年来,网络空间已经成为人们生产生活的新空间,现实空间加速向网络空间全面映射,加快建立网络综合治理体系,推进依法治网已经成为全面依法治国的时代命题和重要组成部分。中国信息通信研究院在往年《互联网法律白皮书》的基础上,结合全球数字经济发展新趋势,阐述进入新时代我国的网络立法成就,回顾过去一年国内外重要网络立法活动,形成《网络立法白皮书(2022年)》,供社会各界参考。

白皮书确立了“3+1”的网络立法框架,全面梳理了2022年国内外网络立法情况,同时结合发展现状对网络立法趋势进行展望。

附下载链接。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/27839.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

上下文工程:基于 Github Copilot 的实时能力分析与思考

上个月在计划为 AutoDev 添加多语言支持时候,发现 GitHub Copilot 的插件功能是语言无关的(通过 plugin.xml 分析),便想研究一下它是如何使用 TreeSitter 的。可惜的是,直到最近才有空,研究一下它是如何实现…

零门槛复现ChatGPT:预训练模型数据集直接用,包含完整RLHF流程,在线可体验...

明敏 发自 凹非寺量子位 | 公众号 QbitAI 这边ChatGPT、GPT-4等AI大模型和应用打得火热; 另一边“平替”开源复现方案也加紧更新迭代。 这不,“首个开源ChatGPT低成本复现流程”就来了波大更新! 现在,仅需不到百亿参数&#xff0c…

面试的三种形式

对于面试大家都不会陌生,大大小小的面试也都经历过,有过不是很正规的,也有过让自己大开眼界的大型面试,但无外乎三种形式电话面试,共享桌面远程面试,现场面试。但是在这几种面试的场合中,我们到…

shp文件批量导入SDE

仿照ArcGIS的数据导入功能做了个简易的数据导入界面: 需要注意的问题:上篇博文中的要素类导入函数要变成静态函数,不然会报错。原因我想可能是因为非静态函数导入时,workspace与workspacefactory等类型变量未释放,希望…

Oracle 配置Linux环境 ArcGIS Server 64位客户端创建SDE

1. 环境情况 oracle数据库 11_2 g所在服务器环境: Windows Server 2016虚拟机,默认实例orcl ,默认密码orclServer所在服务器环境:ArcGIS Server10.8.1,CentOS7.5虚拟机,64位Instant客户端本机ArcMap10.8.1…

如何快速搭建基于PostgreSQL的空间数据库(SDE)

如何快速搭建基于PostgreSQL的空间数据库(SDE) 1 安装准备 1.1 ArcGIS平台 ArcGIS Desktop 10.5以及ArcGIS Enterprise 10.5。 1.2 数据库 ArcGIS 支持以下PostgreSQL 和 PostGIS 版本。列出的特定版本为支持的最低次要版本,受支持…

SDE数据库解锁

SDE数据库解锁 arcgis sde数据库解锁 方法一:登录修改数据用户,选择数据上层数据集或数据库 选择一行数据右键解锁,shift选择多行数据解锁 方法二:plsql 数据库语句解锁数据库 select * from sde.state_locks; select * from s…

sde用sql实现erase

概述: 本文讲述基于Arc SDE forOracle实现erase空间分析计算。 实现流程: 1、叠加计算 判断叠加,非叠加部分即为一部分所要结果,叠加部分进入第二步; 2、合并计算 根据objectid进行union计算; 3、差异…

SDE常用函数

SDE常用函数 arcgis sde库常用函数:(示例使用Oracle数据库) 1、ST_AsText 返回表示几何的文本字符串(wkt) sde.st_astext(shape) SELECT SDE.ST_ASTEXT(SHAPE) FROM TEXT结果: 2、ST_Geometry ST_Geometry 通过文本(wkt,坐…

Sentaurus SDE

Sentaurus SDE visual

sde方面的一些疑问(笔记)

sde: (1)ArcSDE 服务自 ArcGIS 10.3 起不再可用。但是,ArcGIS 10.3.1 和更高版本的客户端仍可以使用 ArcSDE 服务连接到 10.1 或 10.2.x 版本的地理数据库。 http://desktop.arcgis.com/zh-cn/arcmap/latest/manage-data/admini…

Sentaurus TCAD学习之SDE

Sentaurus TCAD学习之Sde 分析IGBT例子中SDE代码 分析IGBT例子中SDE代码 ; Using DF-ISE coordinate system for structure generation //使用DF-ISE坐标系生成结构 (sde:set-process-up-direction "z");---------------------------------------------------------…

SDE:Stochastic Differential Equation 简述

一、ODE vs. SDE 常微分方程(ODE)的基本形式为: 一般来说其解是一条确定的曲线,而随机微分方程(SDE),其结果是一个随机的过程,最终得到是的多种样本轨道。 那么在ODE方程里加入随机性主要有两种方式: 1、随机化初值…

ArcEngine连接sde并读取数据

第一步:创建空数据库 打开SQL Server 2012,新建一个空的数据库,我这里命名为TestGDB 第二步:建立SDE数据库 打开ArcMap,在ArcToolbox中选择数据管理工具下的地理数据库管理,点击创建企业级地理数据库。…

ArcCatalog连接PostgreSQL创建SDE库

本文默认环境已经安装好ArcGIS及PostgreSQL。 1.将 ArcGIS桌面程序安装目录下的文件([Installdir]\DatabaseSupport\PostgreSQL\9.2\Windows64)拷贝到postgresql安装目录下的lib文件夹 2.将32位的postgresql library 安装目录 bin文件夹的5个dll文件&…

配置 SDE 的 st_geometry

终于搞好了软件,搞好了 SDE 的 Post,现在还有一个问题,即使用 SQL 直接操作 sde for oralce,只有这种操作,才最高效,也是该项目的最终目标。 马上找了一个测试 sql 语句做试验: select sde.ST…

SDE —— 扩展SDE表空间容量

扩展SDE表空间容量 起因解决总体流程 查看表空间基本属性查看表空间物理存储文件位置及状态信息查看表空间中各“段类型(Segment)”创建新的物理存储文件以扩展表空间重设原有数据文件的大小使指定表空间物理文件容量自动增加使表空间自动扩容&#xff0…

CSND近期推出的猿如意到底怎么样?

CSND近期推出的猿如意到底怎么样? 投稿测评正文 猿如意传送门 猿如意下载地址:猿如意-程序员的如意兵器,工具代码,一搜就有 猿如意使用了几次了,今天来想分享一下我对于猿如意的使用感受吧!! 先说结论&#xff1a…

匆匆遭遇猿如意

刚刚收到一条消息,说有一个csdn的猿如意可以测试了,我就下载了一个,根据提示下载了,然后开始体验。 一、ChatGPT 谁让这个东西最近这么热呢,所以,我第一个就体验这个东东了,结果,结…

高效好用的开发工具箱——猿如意

目录 前言: 1.我常用的功能介绍 2.主要功能chatGPT测评 3.我的使用体验和改进建议 前言: 猿如意是一款帮助开发的效率工具,集成了许多有用的工具和文档教程。帮助开发者提升开发效率,帮你从“问题”找到“答案”。尤其是12月…