8月26日，由中国电子信息产业发展研究院、中国软件评测中心（工业和信息化部软件与集成电路促进中心）共同主办，中国计算机行业协会协办的工业和信息化部移动互联网APP产品安全漏洞库发布会暨安全漏洞管理特设工作组成立仪式在京举办。工业和信息化部网络安全管理局副局长陶青、北京市通信管理局副局长王晖、中国电子信息产业研究院副院长黄子河出席会议并致辞。中国工程院院士倪光南出席开幕式并作了题为“浅谈开源软件安全风险”的报告。

 

本次会议充分发挥移动互联网领域相关企业的技术优势，联合业界知名科研机构、高校、安全企业、网络产品提供者、网络运营者等，全力做好移动互联网APP产品漏洞收集、认定、修补等工作，提高威胁应对与风险管理能力，保障国家网络安全。

 

工业和信息化部网络安全管理局，其他行业主管部门，部属单位，各省（自治区、直辖市）通信管理局负责人，基础电信企业、互联网企业、网络安全企业、科研机构、高校代表和专家学者等参加会议。

 

 

8月25日，工信部发布关于侵害用户权益行为的APP通报（2021年第9批，总第18批）。截至目前，发现210款APP未按要求整改。通报显示，这些APP主要来源于vivo应用商店、豌豆荚、搜狗手机助手、OPPO应用商城、小米应用商店、华为应用市场、360手机助手等渠道。

 

这210款APP所涉问题包括：违规收集个人信息；超范围收集个人信息；APP强制、频繁、过度频繁索取权限；违规使用个人信息等。

 

工信部通报要求，这些APP应按相关通信管理局要求，在9月1日前完成整改落实工作。逾期不整改的，工信部将依法依规开展相关处置工作。

 

 

 

8月24日，国务院新闻办公室举行国务院政策例行吹风会，请国家互联网信息办公室副主任盛荣华、国家互联网信息办公室网络安全协调局局长孙蔚敏、工业和信息化部网络安全管理局局长隋静、公安部网络安全保卫局局长王瑛玮、司法部立法一局负责人张耀明介绍《关键信息基础设施安全保护条例》有关情况。国家互联网信息办公室副主任盛荣华在回答记者问题时指出，在《条例》保护工作总体思路上，主要把握以下几点。

 

一是坚持问题导向。针对关键信息基础设施安全保护工作当中存在的短板问题、薄弱环节，在细化《中华人民共和国网络安全法》有关规定的基础上，将实践证明比较成熟的一些做法上升为法规制度，为保护工作提供法治保障。

 

二是压实责任。压实各方面的责任，这里面有运营者的主体责任、有保护部门的协调统筹监督管理责任，也有社会各方面的协同配合和监督责任。这里特别强调和明确的是运营者的主体责任，这是基础、是关键。运营者的主体责任落实好了，关键信息基础设施安全保护的工作就能够做得更好。

 

三是要做好与相关法律、行政法规的衔接配套。在网络安全法确立的总框架下，我们细化相关制度措施，处理好与其他相关法律、行政法规的关系。

 

 

 

本月中旬，美国连锁医疗机构Memorial Health System遭勒索攻击瘫痪，被迫缴纳赎金。近日，FBI发布了针对Hive勒索软件的警报。截至目前，Hive勒索软件已经先后攻击了至少28个组织。

 

警报称，Hive是今年6月首次出现的联合运营形式勒索软件。Hive部署了“多种机制以入侵商业网络，包括使用网络钓鱼邮件中的恶意附件夺取访问权限，并配合远程桌面协议在网络中横向移动”。

 

FBI解释道，“在成功入侵受害者网络后，Hive勒索软件攻击者会窃取数据并加密网络上的文件。之后，攻击者会在受害者系统中每个受影响的目录内留下一份勒索信息，其中包含如何购买解密软件的说明。这份信息还威胁要在Tor网站「HiveLeaks」上公开受害者的数据。”

 

 

 

微软低代码开发平台Power Apps默认配置不安全，导致上千款应用的3800万条记录在线暴露，记录中包括大量个人敏感信息。

 

上千款Web应用程序错误暴露在开放互联网之上，涉及多个COVID-19接触者追踪平台、疫苗接种登记、工作申请门户以及员工数据库的多达3800万条记录已经确认暴露。数据中涵盖一系列敏感信息，包括电话号码、家庭住址、社保号码乃至COVID-19疫苗接种状态。

 

此次事件还给多家主要企业及组织造成影响，包括美国航空公司、福特、运输与物流企业J.B. Hunt、马里兰州卫生部、纽约市交通局以及纽约多所公立学校。虽然情况已经得到控制，但事件再次表明，流行技术平台中的一项错误设置很可能引发深远的影响。

 

 

 

近日，诺基亚子公司SAC Wireless披露在遭遇勒索软件Conti攻击后发生了数据泄露事件。Conti勒索软件运营者成功入侵其网络、窃取数据（250GB）并加密了系统。

 

SAC Wireless公司直到Conti勒索软件部署了有效载荷并加密了无线系统之后，才发现其网络被勒索软件入侵。在外部网络安全专家的帮助下进行数字取证调查后，该公司发现，在勒索软件攻击期间，现任和离职员工（及其健康计划的家属或受益人）的个人信息也被盗。

 

在完成取证调查后，该公司认为被盗文件包含以下几类个人信息：姓名、出生日期、联系方式（如家庭地址、电子邮件和电话）、政府身份证号码（如驾照、护照或军人身份证）、社会安全号码、公民身份、工作信息（如头衔、工资和评估）、病史、健康保险政策信息、车牌号、数字签名、结婚或出生证明、纳税申报表信息和受抚养人/受益人姓名。

 

 

 

美国国务院近期遭受网络攻击，国防部网络司令部通知称可能发生严重违规。据悉，攻击活动并没有影响国务院的正常运作。美国国务院近期遭受网络攻击，国防部网络司令部正在通知受到影响的个人。白宫记者兼福克斯新闻替补主持人Jacqui Heinrich在推特上透露了该消息。

 

据路透社报道，“在没有证实任何攻击事件的情况下，一位知情人士告知路透社，国务院方面没有经历任何严重宕机、也没有发生任何形式的职能运作障碍。”国务院发言人则在一份声明中强调，“国务院在信息保护方面抱有认真负责的态度，而且持续采取措施以确保信息得到严密保护。出于安全原因，我们目前无法讨论任何所谓网络安全事件的性质或影响范围。”