致力于打造电子商务,信息安全的一流服务商

To focus on creating e-commerce, information security, first-class service providers

news center

新闻中心

网络安全热点资讯(第37期)

发布日期:2022年03月09日 浏览次数:

1.《互联网弹窗信息推送服务管理规定》征求意见

 

为了进一步规范互联网弹窗信息推送服务管理,营造清朗网络空间,国家互联网信息办公室起草了《互联网弹窗信息推送服务管理规定(征求意见稿)》,现向社会公开征求意见。

 

公众可将反馈意见通过电子邮件方式发送至:tcts@cac.gov.cn。意见反馈截止时间为2022年3月17日。

 

规定(征求意见稿)指出,互联网弹窗信息推送服务应当传播正能量,弘扬社会主义先进文化,积极推送向上向善的内容,不得推送《网络信息内容生态治理规定》明确的违法和不良信息。未取得互联网新闻信息服务许可,不得弹窗推送新闻信息。配备与服务规模相适应的人工力量,健全弹窗信息推送内容管理规范,完善信息筛选、编辑、推送等工作流程,确保弹窗信息推送必须经过人工审核。保障用户权益,以服务协议等方式明确告知用户弹窗信息推送服务的具体方式、内容频次、取消渠道等;充分考虑用户体验,科学规划推送频次,不得恶意对普通用户和会员用户进行差别频次推送;不得以任何形式干扰或者影响用户关闭弹窗。不得设置诱导用户沉迷、过度消费等违反法律法规或者违背伦理道德的算法模型;不得滥用个性化弹窗服务,利用算法屏蔽信息、过度推荐等;不得滥用算法,针对未成年用户进行画像,向未成年用户推送可能影响其身心健康的信息。

 

来源:网信中国

 

2. 工信部完成北京冬残奥会开幕式安全保障任务

 

3月4日晚,北京冬残奥会开幕式在国家体育场“鸟巢”举行,工业和信息化部相关司局、部系统相关单位密切协作,恪尽职守,连续奋战,完成冬残奥会开幕式无线电安全、信息通信和网络安全保障任务。

 

网络安全保障方面,工业和信息化部网络安全管理局主要负责同志靠前指挥、统筹协调,组织北京市、河北省通信管理局、中国联通、中国电信、中国移动、中国卫通、中国信息通信研究院、中国互联网络信息中心、阿里、腾讯等保障单位,开展网络安全各项保障工作。全行业充分总结北京冬奥会保障经验,发挥行业网络安全技术平台优势,做好冬残奥会相关重要网站系统的域名劫持、分布式拒绝服务攻击和网页篡改监测和防护;按照公共互联网网络安全威胁监测与处置机制,持续开展网络安全漏洞、恶意程序、恶意域名和恶意IP地址监测处置;强化京冀等重点地区数据安全风险隐患监测,核查处置了一批涉诈电话号码、互联网账号和域名网址。

 

开幕式期间,全行业网络安全保障力量在岗在位,电信和互联网整体网络安全态势良好,全国网络基础设施、域名系统和重点网站系统运行平稳,未发生重大网络安全事件。

 

来源:工信微报

 

3. 工信部督促规范APP推荐下载行为

 

近日,工业和信息化部信息通信管理局召开行政指导会,督促相关互联网企业进行整改。会议指出,部分信息资讯、网络社区等网站在用户浏览网页时,频繁弹窗推荐APP,要求下载APP才能查看全文、不用APP不能看评论等,妨碍用户使用网页浏览信息,侵害用户合法权益,群众反映强烈。

 

会议要求,相关互联网企业要坚持以人民为中心的发展思想,严格遵守相关法律法规要求,时刻把维护用户权益和改善服务体验作为赢得用户的根本,自查自纠、立行立改,坚决纠正存在的问题。在用户浏览页面内容时,一是未经用户同意或主动选择,不得自动或强制下载APP;推荐下载APP时,应同步提供明显的“取消”选项,切实保障用户的知情权、选择权。二是无合理正当理由,不得要求用户不下载APP就不给看,或者不让看全文。三是不得以折叠显示、主动弹窗、频繁提示、降低体验等方式强迫、误导用户下载、打开APP,或跳转至应用商店,影响用户正常浏览信息。

 

来源:工信微报

 

4. 勒索完英伟达又坑三星,黑客窃取机密上瘾

 

2月23日,黑客组织LAPSUS$对英伟达进行了网络攻击,并宣称窃取了超过1TB、40万份数据,包括英伟达之后几代显卡的原理图、源代码、英伟达超分辨率技术DLSS文件以及英伟达7万多名员工的电子邮件和密码。此前LAPSUS$组织已传出近20GB机密文件,并要求英伟达在上周五前开源其用于macOS、Windows 和Linux设备的图形芯片驱动程序,否则将泄露所有数据。

 

3月4日,LAPSUS$泄露了三星电子的大量机密数据,该组织将窃取的数据拆分为三个压缩文件,共有近190GB大小。

 

该组织宣称,其获取了三星TrustZone环境中安装的每个受信任小程序(TA)的源代码(可用于硬件加密、二进制加密、访问控制等敏感操作),所有生物特征解锁操作的算法,所有最新三星电子设备的引导加载程序源代码,来自高通的机密源代码,三星电子激活服务器的源代码,以及用于授权和验证三星电子账户的技术的完整源代码(包括API和服务)。

 

来源:芯东西

 

5. 东欧大型加油站遭勒索攻击,官网、app下线

 

3月6日,东欧国家罗马尼亚Rompetrol加油站遭到勒索软件攻击,官方网站及油站Fill&Go服务被迫下线。Rompetrol是罗马尼亚国内最大炼油厂Petromidia Navodari的配套油站运营商,该炼油厂的年油品加工能力超过500万吨。

 

Rompetrol公司在给员工的邮件中透露,这次攻击是在当地时间周日(3月6日)21:00被检测到的,影响到了公司“大部分IT服务”。KMG和Rompetrol的官网无法访问,Fill&Go应用程序也处于瘫痪状态。庆幸的是,该公司的电子邮件系统(Microsoft Outlook)仍在正常运行。

 

据悉,此次对KMG子公司Rompetrol发动突击的,是Hive勒索软件团伙。Hive团伙要求Rompetrol支付200万美元赎金,以换取解密器和不泄露被盗数据的承诺。

 

来源:secrss.com

 

6. 超过900个俄工控系统遭匿名者组织攻击

 

3月3日,知名黑客组织“匿名者”对俄罗斯900多个核心工业控制系统展开网络攻击,给俄罗斯关键行业的生产和运营造成了持续性的危害。

 

2月25日,黑客组织“匿名者”(Anonymous)官宣正式对俄罗斯政府发动网络战争。3月3日,匿名者组织在官方Twitter上发布了新一批攻击目标,涉及超过900个俄罗斯暴露在公网的工业控制系统。这批目标资产被发布在可公开下载的网站pastebin上,方便其他组织获取和协同攻击。本次发布的俄工控资产,主要涉及PLC(可编程逻辑控制器)、RTU(远程终端控制单元)、DCS(分布式控制系统)和SCADA(数据采集与监控系统)等各类常见工业控制系统,数据包括资产IP地址、端口和协议等。匿名者组织此次发布的俄罗斯暴露在互联网上的工控资产主要包括Rockwell、SIEMENS和Schneider等厂商的设备,协议主要包括Modbus、BACnet等。

 

来源:secrss.com

 

7. 微软修复Azure云严重漏洞

 

微软修复了Azure 自动化服务中的一个漏洞,可导致攻击者完全控制其它Azure 客户的数据。

 

微软 Azure 自动化服务提供进程自动化、配置管理和更新管理特性服务,每个Azure 客户的每个预定任务都在隔离的沙箱中运行。

 

该漏洞由 Orca Security 公司的云安全研究员Yanir Tsarimi 发现并被命名为 “AutoWarp”。攻击者可利用该漏洞从管理其它用户沙箱的内部服务器中窃取其它Azure 客户的管理身份认证令牌。他指出,“具有恶意意图的人员本可继续抓取令牌,并利用每个令牌攻击更多的Azure客户。根据客户分配权限的情况,这种攻击可导致目标账户的资源和数据被完全控制。我们发现很多大公司都受影响,包括一家跨国电信公司、两家汽车制造商、一家银行企业集团、四家会计事务所等等。”受该漏洞影响的Azure 自动化账户包括启用了管理身份特性的账户(Tsarimi 指出,默认为启用状态)。微软表示,“使用自动化Hybrid工人进行执行和/或自动化Run-As账户访问资源的自动化账户并不受影响。”

 

来源:代码卫士

Service phone
0533-3583100
山东省淄博市高新区柳泉北路西侧先进陶瓷产业创新园B座6楼
山东正舟信息技术有限公司版权所有 业务范围:电子商务平台建设电子商务平台运营内网信息安全文档数据加密数据文档安全高端网站建设企业微信公众平台建设淄博会展
友情链接: 齐贸通
QQ客服 问题建议