index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html
![]()
本周网络安全领域动态频发。官方开通了12387等六类网络安全事件报告渠道,为信息上报提供了便利。全国网安标委发布了三项网络安全标准实践指南,涵盖互联网平台停服数据处理、扫码点餐个人信息保护及学术科技服务平台数据安全。安全事件方面,陕西警方侦破一起特大侵犯公民个人信息案;中国网络空间安全协会发布《智能玩具个人信息保护倡议》;星链卫星互联网服务已连续三个月发生服务中断;汉堡王因安全漏洞报告争议引发关注;美国一公立学区因网络安全事件紧急停课;npm软件包被植入恶意代码,利用合法工具渗透;新型FileFix攻击利用假Facebook页面窃取用户隐私。此外,产业动态包括ChatGPT将推出“儿童版”,Google发布“史上最强差分隐私”大型语言模型,以及GitHub推出后量子SSH访问提升未来安全性。
🌐 **多渠道网络安全事件报告体系完善**:国家网信部门已全面开通12387网络安全事件报告热线、网站、微信小程序、公众号、邮件及传真等六类渠道,方便网络运营者、社会组织及个人及时、便捷地报告各类网络安全事件,进一步织密了网络安全事件的监测与响应网络。
🛡️ **网络安全标准实践指南发布**:全国网安标委发布了《互联网平台停服数据处理安全要求》、《扫码点餐个人信息保护要求》以及《学术科技服务平台数据安全要求》三项标准实践指南,为互联网平台、餐饮商家及学术科技服务平台在数据处理和个人信息保护方面提供了明确的安全要求和指导,有助于规范行业行为,提升整体安全水平。
🚨 **公民个人信息泄露与网络攻击风险加剧**:近期,多起事件凸显了公民个人信息泄露的严峻性,如陕西警方破获特大侵犯公民个人信息案。同时,网络攻击手段多样化,包括npm软件包被植入恶意代码进行横向渗透、利用假冒页面窃取隐私,以及对教育机构等关键基础设施的威胁,显示出网络攻击的持续性和复杂性。
👶 **未成年人网络安全与隐私保护受重视**:中国网络空间安全协会发布《智能玩具个人信息保护倡议》,OpenAI也正在研发ChatGPT的“儿童版”并加强未成年人使用规则,表明行业正积极关注并采取措施保护未成年人在网络空间的安全与隐私,平衡其使用自由。
🔒 **前沿技术推动网络安全升级**:Google发布了具备“史上最强差分隐私”能力的大型语言模型VaultGemma,标志着在保护用户数据隐私方面迈出重要一步。GitHub推出后量子SSH访问,采用抗量子攻击算法,为应对未来量子计算带来的威胁提供了前瞻性安全保障。
2025-09-17 14:02 北京
牛览网络安全全球资讯,洞察行业发展前沿态势!
新闻速览 12387等六类网络安全事件报告渠道已全面开通全国网安标委发布3项网络安全标准实践指南陕西警方成功侦破一起特大侵犯公民个人信息案中国网络空间安全协会发布《智能玩具个人信息保护倡议》星链又崩了!已连续3个月发生网络服务中断事故汉堡王以DMCA法规名义封杀安全漏洞报告惹争议美国密歇根州一公立学区因突发网络安全事件紧急停课超40个npm软件包被植入恶意代码,利用合法工具横向渗透新型FileFix攻击利用假Facebook页面窃取用户隐私ChatGPT将推出“儿童版”,平衡未成年人安全、自由与隐私保护Google发布宣称“史上最强差分隐私”大型语言模型GitHub宣布推出后量子SSH访问,提升未来安全性特别关注12387等六类网络安全事件报告渠道已全面开通日前,网信部门已开通12387网络安全事件报告热线、网站、微信小程序、微信公众号、邮件、传真等六类网络安全事件报告渠道,网络运营者、社会组织和个人可通过上述渠道向网信部门报告网络安全事件。具体如下:一、热线电话。拨打12387网络安全事件报告热线,按语音提示进行报告;二、网站访问。12387网络安全事件报告平台网站进行报告,地址为:https://12387.cert.org.cn;三、小程序。微信搜索“12387”小程序,进入首页后点击“事件报告”;四、公众号。关注“国家互联网应急中心CNCERT”微信公众号,点击“事件报告”;五、邮件。发送邮件至邮箱12387@cert.org.cn;六、传真。发送传真至010-82992387。参考链接:https://mp.weixin.qq.com/s/ZyBb8fgb-sLYa1fzkLw5zQ全国网安标委发布3项网络安全标准实践指南日前,全国网络安全标准化技术委员会秘书处发布通知,正式发布《网络安全标准实践指南——互联网平台停服数据处理安全要求》、《网络安全标准实践指南——扫码点餐个人信息保护要求》、《网络安全标准实践指南——学术科技服务平台数据安全要求》三项网络安全标准实践指南。其中:《网络安全标准实践指南——互联网平台停服数据处理安全要求》提出了互联网平台停服网络数据处理通用安全要求,个人信息处理安全要求和重要数据处理安全要求,用于指导互联网平台数据处理者开展数据安全保护工作,也可为主管部门和第三方评估机构提供参考。《网络安全标准实践指南——扫码点餐个人信息保护要求》规定了扫码点餐服务个人信息保护总体要求和具体要求,适用于规范餐饮商家扫码点餐服务个人信息处理活动。《网络安全标准实践指南——学术科技服务平台数据安全要求》提出了学术科技服务平台运营者开展数据处理活动的安全保护要求,及其应履行的安全责任和义务,适用于规范学术科技服务平台运营者数据处理活动,也可为有关主管监管部门组织开展相关检查评估提供参考。参考链接:https://mp.weixin.qq.com/s/yoBiXLdvHgqLZaaQmCUD6Ahttps://mp.weixin.qq.com/s/N-Ty5hiikzGsh6KrW29SGwhttps://mp.weixin.qq.com/s/l2GBzgEM4CRDaQ5NyKRecQ陕西警方成功侦破一起特大侵犯公民个人信息案近日,陕西公安网安部门成功侦破一起特大侵犯公民个人信息案,抓获2名主要犯罪嫌疑人,移交属地处理260人,查获涉案公民个人信息数据一批,彻底斩断了一条隐藏在网络空间中大规模贩卖公民个人信息的黑色产业链。今年5月,陕西岚皋工作中掌握一条涉及侵犯公民个人信息犯罪的线索。经梳理线索、深挖扩线,一个集收集、加工、转卖、应用于一体的犯罪团伙逐渐清晰。该团伙组织人员在全国各类展会现场大量搜集参展商名片,并将包含姓名、电话、公司名称、职务等敏感信息整理成电子表格,数量极为庞大。在全面掌握该团伙组织架构、作案手法、活动区域及核心证据后,网警分赴上海、广东等地同步开展收网行动,成功抓获何某等2名主要犯罪嫌疑人,现场查获电脑、手机、硬盘等涉案电子设备数十台。经查,涉案公民个人信息涵盖多个行业领域。目前,该案已移送检察机关审查起诉。参考链接:https://mp.weixin.qq.com/s/XNYQTWk02XaPk_K1vIB55w?scene=1&click_id=21热点观察中国网络空间安全协会发布《智能玩具个人信息保护倡议》9月16日,2025年国家网络安全宣传周个人信息保护分论坛在云南昆明举行。论坛上,中国网络空间安全协会在中央网信办网络数据管理局的指导下,会同专业机构、互联网企业等16家会员单位发布《智能玩具个人信息保护倡议》,旨在守护未成年人信息安全、促进智能玩具行业健康发展。据介绍,《倡议》主要包括八个核心原则:一是严守合规底线,扛起保护责任;二是聚焦必要原则,严控个人信息收集范围;三是优化告知方式,保障知情同意;四是强化风险评估,完善防护措施;五是尊重用户选择,提供替代方案;六是规范个人信息流转,严控第三方合作机构;七是关怀特殊需求,体现人文温度;八是配合监管检查,主动接受监督。参考链接:https://mp.weixin.qq.com/s/C-1MaIIXojHRQ4LV07aaDQ?scene=1&click_id=23星链又崩了!已连续3个月发生网络服务中断事故9月15日晚,SpaceX公司旗下的星链(Starlink)卫星互联网服务再次遭遇大规模网络中断故障。据网络状态监测平台Downdetector数据显示,此次故障高峰期影响超过4.3万名美国用户,持续时间近1小时40分钟。这已是该服务自今年7月以来连续第三个月出现服务中断,引发业界对卫星互联网可靠性的新一轮质疑。根据公开记录显示,7月24日的首次大规模中断持续约150分钟,影响范围覆盖北美和欧洲部分地区;8月18日的中断虽持续时间较短,但恰逢南太平洋地区重要商务活动期间;而本次9月中断事件中,受影响用户主要集中在美国东海岸经济发达地区。值得关注的是,三次故障均发生在UTC时间午夜至凌晨时段。有专家分析指出,星链系统目前部署的约1.2万颗低轨卫星需要依赖复杂的地面站网络和星间激光链路。故障集中发生的时段恰逢卫星切换地面站连接的"交接期",可能暴露了轨道动力学模型或路由算法的设计缺陷。更值得警惕的是,三次中断事件中,SpaceX平均需要76分钟才能恢复基本服务,应急响应机制明显滞后于传统光纤网络运营商。参考链接:https://mp.weixin.qq.com/s/-ARBj-HtTOo2TePCy4oIjA?scene=1汉堡王以DMCA法规名义封杀安全漏洞报告惹争议2025年9月,安全漏洞研究者BobDaHacker通过博客曝光汉堡王新推出的得来速助手系统中存在严重安全漏洞。该系统基于AWS Cognito构建,未禁用用户注册控制,任何人都能注册账户并通过邮件获取明文密码。利用该漏洞,研究者可访问所有门店数据,修改员工资料与设备订单,还能利用隐藏GraphQL突变提升至管理员权限,掌控店铺列表、通知及系统设置。尽管BobDaHacker在发现漏洞一小时内就通过披露流程向汉堡王母公司报告了相关情况,但Cyble公司却以商标滥用等为由发出DMCA通知,下线了相关博客内容。此举引发关于企业滥用版权法压制正当网络安全披露的广泛争议。不过,相关存档副本仍可获取,众多网络安全人士在社交媒体广泛转发,形成“斯特里伯格效应”,反而放大了该漏洞影响。参考链接:https://cyberpress.org/burger-king-drive-thru-security-flaws/网络攻击美国密歇根州一公立学区因突发网络安全事件紧急停课2025年9月16日,美国密歇根州的South Lyon公立学区发布公告,表示因突发网络安全事件紧急关闭所有学校,具体恢复时间待定。公告中未透露具体的攻击类型(如勒索软件或数据泄露),但表示正与网络安全专业机构及执法部门合作展开事件调查。公告称,事件导致当日课程全部取消,但声明强调"会优先保障学生与教职工数据安全",暗示可能存在敏感信息风险。美国教育机构近年频遭针对性攻击,黑客常利用老旧系统漏洞或钓鱼邮件入侵。尽管目前未公布技术细节,但分析人士称,此类事件通常涉及勒索软件加密文件或数据窃取勒索。公立学校的教育系统因预算有限、安全投入不足,已成网络犯罪高价值目标。原文链接:https://www.hometownlife.com/story/news/2025/09/16/south-lyon-schools-closed-cyber-security-incident/86184616007/超40个npm软件包被植入恶意代码,利用合法工具横向渗透2025年9月16日,安全团队披露一起针对npm生态的供应链攻击,超过40个热门软件包被植入恶意代码。攻击者通过标准bundle.js文件注入恶意脚本,并滥用TruffleHog等合法工具窃取开发者凭证。此次攻击由Socket团队于9月15日首次分析披露,其核心危害在于利用行业对npm注册库的信任链。攻击者通过劫持维护者账户,使恶意代码自动传播至其管理的所有包中,甚至进一步渗透至依赖这些包的项目内部。此次攻击手段隐蔽,波及范围广,对众多依赖 npm 仓库的开发项目构成严重威胁。相关安全机构已介入调查,呼吁开发者密切关注软件包来源,及时更新安全补丁,以降低风险。在软件供应链日益复杂的当下,此次事件为行业安全敲响警钟,凸显强化供应链安全管理的紧迫性。原文链接:https://www.scmagazine.com/news/supply-chain-attack-targets-more-than-40-npm-repos新型FileFix攻击利用假Facebook页面窃取用户隐私近期,网络安全专家发现了一种名为FileFix的新型攻击,黑客利用伪造的Facebook页面来传播Stealc信息窃取工具。该攻击手段旨在窃取用户的敏感信息,包括登录凭据和个人数据。攻击者通过创建看似合法的Facebook页面,诱使用户下载恶意软件。一旦用户安装了Stealc,攻击者便能够获取其设备上的敏感信息,并将其发送到远程服务器。该恶意软件能够记录键盘输入、截取屏幕和访问浏览器存储的密码,极大地威胁用户的隐私安全。安全专家提醒用户,在社交媒体上保持警惕,避免点击不明链接或下载不明来源的文件。此外,建议用户启用双重身份验证,并定期更新密码,以增强账户安全性。随着网络攻击手段的不断演变,用户的安全意识显得尤为重要。FileFix攻击的出现再次强调了在数字时代保护个人信息的必要性,用户应采取积极措施防范潜在的网络威胁原文链接:https://hackread.com/filefix-attack-stealc-infostealer-fake-facebook-pages/产业动态ChatGPT将推出“儿童版”,平衡未成年人安全、自由与隐私保护OpenAI 日前表示正研发更先进的安全功能,确保用户数据即便对公司员工也保持私密性。公告同时指出,在特定情况下仍会有例外,例如自动化系统监测到严重滥用,或涉及生命威胁、他人安全风险、大规模网络安全事件时,数据可能被提交人工审核。其目标是在安全范围内尽可能保障用户的使用自由。此外,由于ChatGPT 的使用对象设定为 13 岁及以上,公司正在研发年龄预测系统,以区分未成年人和成年人。针对未成年用户,OpenAI 会制定更严格的规则:不允许生成暧昧对话;在任何场景下,都不参与任何形式的自杀或自残话题讨论;若用户表现出自杀意图,OpenAI 将尝试联系家长,若无法联系则会在存在紧急危险时上报有关部门。参考链接:https://www.ithome.com/0/883/533.htmGoogle发布宣称“史上最强差分隐私”大型语言模型谷歌 DeepMind 最近发布了一款名为 VaultGemma 的新型语言模型,宣称是目前规模最大的具备差分隐私能力的大语言模型,参数数量达到了惊人的10亿。谷歌表示,这项技术的发布标志着人工智能领域在保护用户数据隐私方面的重大进步。据介绍,VaultGemma在技术架构方面主要基于Google的 Gemma2架构,采用了仅解码器的 Transformer 设计,包含26层,并使用了多查询注意力机制。一个关键的设计选择是将序列长度限制为1024个 Token,这样有助于管理私有训练所需的高密集计算。开发团队还借助一种新颖的 “差分隐私缩放定律”,为计算能力、隐私预算和模型效用之间的平衡提供了框架。参考链接:https://mp.weixin.qq.com/s/9J6TvtmA3zXh0QlO5puaTg?scene=1GitHub宣布推出后量子SSH访问,提升未来安全性GitHub近日宣布推出后量子SSH访问,旨在为用户提供更强大的安全保障,以应对未来量子计算带来的威胁。后量子加密技术能够抵御量子计算机的攻击,确保数据传输的安全性。该新功能基于最新的加密标准,采用了抗量子攻击的算法,确保即使在量子计算机普及的情况下,用户的SSH连接依然安全。GitHub表示,这一举措是其长期安全战略的一部分,旨在保护开发者和企业的敏感信息。后量子SSH访问的实现将为开发者提供更高的安全性,尤其是在处理敏感数据和进行远程访问时。GitHub鼓励用户尽快采用这一新功能,以增强其项目的安全防护。原文链接:https://www.helpnetsecurity.com/2025/09/16/github-post-quantum-ssh-access/合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com
阅读原文
跳转微信打开
