9月23日，工信部通报了关于侵害用户权益行为的App（2021年第10批，总第19批）。依据《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，工信部近期组织第三方检测机构对手机应用软件进行检查，重点对假日出行、民生服务类App进行抽测。

 

截至目前，尚有52款APP未完成整改，其中包括驴妈妈旅游、滴答出行、南方航空、喜茶GO等。各通信管理局按照工信部统筹部署，积极开展APP技术检测。截至目前，尚有282款APP未按时限要求完成整改。

 

这些APP应在9月29日前完成整改落实工作。逾期不整改的，工信部将依法依规组织开展相关处置工作。

 

 

 

在我国数据安全监管制度中，“重要数据”具有举足轻重的位置。《网络安全法》最早在数据出境安全评估制度中引入了“重要数据”的概念；《数据安全法》在设立我国数据分类分级制度时又强调了重要数据，并要求各地区、各部门确定本地区、本部门以及相关行业、领域的重要数据具体目录。不仅如此，《数据安全法》以及其他多部法律、法规和政策文件对重要数据保护提出了一系列责任义务要求。显然，一个组织是否收集、存储和处理重要数据，对其数据安全合规有直接重大影响。因此，什么是重要数据，这成为了一个迫切需要回答的重要基础性问题。

 

目前，国家标准《重要数据识别指南》正在按程序编制，征求意见稿已经完成，即将征求社会意见。《重要数据识别指南》因其基础性而十分敏感，因关系监管制度而影响广泛，编制难度极大。本次公布的征求意见稿仅为初始阶段的成果，相信在各界的反馈下，标准还将历经多轮次改动。

 

 

 

近日，微软官方发布了多个安全漏洞的公告，包括Microsoft Excel代码注入漏洞（CNNVD-202109-820、CVE-2021-38660）、Microsoft Office代码注入（CNNVD-202109-821、CVE-2021-38658）等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据，提升权限等。微软多个产品和系统受漏洞影响。目前，微软官方已经发布了漏洞修复补丁，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

 

2021年9月15日，微软发布了2021年9月份安全更新，共59个漏洞的补丁程序，CNNVD对这些漏洞进行了收录。本次更新主要涵盖了Windows操作系统、Office、Remote DesktopClient、Visual Studio Code、Windows Kernel等。CNNVD对其危害等级进行了评价，其中高危漏洞有31个，中危漏洞27个，低危漏洞1个。微软多个产品和系统版本受漏洞影响，具体影响范围可访问https://portal.msrc.microsoft.com/zh-cn/security-guidance查询。微软官方补丁可访问https://msrc.microsoft.com/update-guide/en-us下载。

 

 

 

9月21日，据security affairs披露，网络安全研究Bob Diachenko在网上发现，他的个人数据存储在一个未受保护的Elasticsearch数据库中，数据库还包含了超过1.06亿条泰国游客的个人信息。

 

该数据库大小为200GB，包含多项资产，其中暴露的记录包括全名、抵达日期、性别、居留身份、护照号码、签证信息和泰国入境卡号码等。

 

Bob Diachenko于2021年8月22日发现了这个不安全数据库，并立即通知了泰国当局，于此同时，他注意到数据库中存储的一些数据可以追溯到十年前。Comparitech（科技网站）发表的文章中写道，Bob Diachenko推测，任何在过去十年中去泰国旅行的外国人都可能在这次事件中暴露了他们的信息。他甚至确认了该数据库包含本人的名字和去泰国的信息。

 

目前，暂时无法确定数据库在被发现之前的暴露程度，但泰国当局称，数据库中不包含任何财务数据，也没有被任何未经授权的各方访问。

 

 

 

近日，美国最大的农业合作社之一New Cooperative Inc.遭到Black Matter勒索软件组织的攻击，攻击者要求合作社为解密密钥支付590万美元。

 

New Cooperative合作社在近期证实了这次袭击，并表示该事件影响了公司的一些设备和系统。该公司发言人表示：“出于谨慎考虑，我们已主动将系统脱机以遏制威胁。我们还迅速通知了执法部门，并正在与数据安全专家密切合作，以调查和纠正这种情况。”

 

勒索软件团伙声称已经获取了该合作社的财务和人力资源信息、网络信息和密码、研发结果以及Soilmap软件（农业生产者技术平台）的源代码（目前无法使用）。据悉，合作社一直在与该勒索团伙谈判，尽管此前很多勒索软件组织承诺不会攻击关键基础设施，但现实是，这次攻击的后果可能直接导致食品供应链中断。

 

 

 

近日，农场供应与粮食营销合作社Crystal Valley在官方网站上发布了一份声明，该网站已经暂时关闭。在Facebook上，Crystal Valley证实他们在9月19日遭遇到勒索软件攻击。

 

该公司表示，“此次攻击已经感染了我们的计算机系统并导致公司日常运营中断。受到此次入侵的影响，位于曼凯托总部的所有合作社系统均已关闭，我们将在能够安全恢复之后再将系统重新上线。”

 

安全专家认为，农业组织的技术债务较重，小型组织常常外包技术和安全事务，面临较高的安全风险。此前本月初FBI曾发布农业勒索软件预警。

 

 

 

Apache OpenOffice 中存在一个缓冲区溢出漏洞，可被用于在使用恶意文档的目标机器上执行任意代码。该漏洞的编号是CVE-2021-33035，由安全研究员 Eugene Lim 发现，影响4.1.10及之前版本，补丁仅部署在 4.1.11 测试版，意味着多数版本可能易受攻击。

 

Lim 表示自己在基西 .dbf 文件格式的软件中查找潜在的安全漏洞时发现了该缓冲区溢出漏洞。他通过dumb fuzzing模板在目标机器上触发了该漏洞并在多个DBF处理器上进行了测试，进而发现了两个漏洞：Scalabium dBase Viewer 中的 CVE-2021-35297和下载量已达到数百万次的开源办公套件 Apache OpenOffice 中的 CVE-2021-33035。