教育网络安全动态

2021年6月第2期（2021.6.8-6.14）

一、政策要闻

1.《中华人民共和国数据安全法》2021年9月1日施行

6月10日,《中华人民共和国数据安全法》由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议审议通过，自2021年9月1日起施行。《数据安全法》规定国家建立数据分类分级保护制度，对数据实行分类分级保护。

（来源：中国人大网）

2.中央网信办等四部门：在全国范围组织开展摄像头偷窥黑产集中治理

近年来，不法分子利用黑客技术破解并控制家用及公共场所摄像头，将智能手机、运动手环等改装成偷拍设备，出售破解软件，传授偷拍技术，供客户“偷窥”隐私画面并借此牟利，已形成黑产链条，严重侵害公民个人隐私，人民群众对此反应强烈。为切实保护公民个人隐私安全，中央网信办、工业和信息化部、公安部、市场监管总局决定, 2021年5月至8月，在全国范围组织开展摄像头偷窥黑产集中治理。

（来源：中央网信办）

3.违法违规收集使用个人信息，129款APP被通报

6月11日，针对人民群众反映强烈的 App 非法获取、超范围收集、过度索权等侵害个人信息的现象，国家互联网信息办公室依据《中华人民共和国网络安全法》《App 违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律和有关规定，组织对运动健身、新闻资讯、网络直播、应用商店、女性健康等常见类型公众大量使用的部分 App 的个人信息收集使用情况进行了检测。针对检测发现的问题，相关 App 运营者应当于本通报发布之日起15个工作日内完成整改，逾期未完成整改的网信办将依法予以处置。

（来源：中央网信办）

4.工业和信息化部、中央网信办印发《关于加快推动区块链技术应用和产业发展的指导意见》

工业和信息化部、中央网络安全和信息化委员会办公室近日联合发布《关于加快推动区块链技术应用和产业发展的指导意见》。明确到2025年，区块链产业综合实力达到世界先进水平，产业初具规模；区块链应用渗透到经济社会多个领域，在产品溯源、数据流通、供应链管理等领域培育一批知名产品，形成场景化示范应用；培育3~5家具有国际竞争力的骨干企业和一批创新引领型企业，打造3~5个区块链产业发展集聚区；区块链标准体系初步建立；形成支撑产业发展的专业人才队伍，区块链产业生态基本完善。区块链有效支撑制造强国、网络强国、数字中国战略，为推进国家治理体系和治理能力现代化发挥重要作用。到2030年，区块链产业综合实力持续提升，产业规模进一步壮大。区块链与互联网、大数据、人工智能等新一代信息技术深度融合，在各领域实现普遍应用，培育形成若干具有国际领先水平的企业和产业集群，产业生态体系趋于完善。区块链成为建设制造强国和网络强国，发展数字经济，实现国家治理体系和治理能力现代化的重要支撑。

（来源：中央网信办）

5.国家网络安全产业园区（通州园）政策发布会成功举办

2021年6月10日，由北京市经济和信息化局、北京市通州区人民政府主办，国家网络安全产业园区（通州）工作专班承办，北京通州网络安全产业园区运营管理有限公司协办的“国家网络安全产业园区（通州园）政策发布会暨《致广大 尽精微：云上安全白皮书 2021》发布会”在北京城市副中心设计小镇创新中心成功举办。

（来源：信安君）

二、技术资讯

6.英特尔最新补丁修补了CPU、蓝牙产品中的隐患，安全库中也被发现漏洞

Threat Post报道，英特尔已经发布了29个安全警告，解决英特尔芯片BIOS的固件、蓝牙产品、主动管理技术工具、NUC迷你PC，以及有讽刺意义的英特尔自家安全库中的关键漏洞。本月的补丁集包含对各种问题的修复，其中几个被评为高严重性——包括产品的固件CPU中的4个本地权限升级漏洞；英特尔定向I/O虚拟化技术(VT-d)中的另一个本地权限升级漏洞；以及英特尔安全库中的一个可网络利用的权限升级漏洞。

（来源：今日头条）

7.八成金融APP存在数据泄露严重漏洞

Intertrust近日发布的一份报告显示，77%的金融应用程序至少存在一个可能导致数据泄露的严重漏洞，81%的金融应用程序会泄漏数据。加密问题是最普遍和最严重的威胁之一，88%的分析应用程序未能通过一项或多项加密测试。这意味着这些金融应用程序中使用的加密很容易被网络犯罪分子破解，可能会暴露机密支付信息和客户数据，并使应用程序代码面临被分析和篡改的风险。

（来源：安全牛）

8.Check Point在 Microsoft Office 中发现了四个安全漏洞

Check Point Research (CPR) 近日发现了四个影响 Microsoft Office 套件产品(包括 Excel 和 Office Online)的安全漏洞。攻击者可利用这些漏洞，通过 Word (.DOCX)、Excel (.EXE) 和 Outlook (.EML) 等恶意 Office 文档在攻击目标上执行代码。这些漏洞源于在 Excel 95 文件格式中发现的遗留代码解析错误，研究人员据此推断这些安全漏洞已存在多年。

（来源：51CTO）

9.微软6月更新多个高危漏洞

近日，微软官方发布漏洞安全补丁，共修复了50个针对微软产品的CVE漏洞。涉及Windows操作系统、.NET Core、Visual Studio、Microsoft Defender、scripting、Engine Server for NFS、Windows MSHTML Platform、Microsoft SharePoint Server等相关组件。其中5个严重漏洞，45个高危漏洞。目前6个漏洞已发现在野利用。微软官方已发布修复方案，可在对应CVE页面处查询：https://msrc.microsoft.com/update-guide/releaseNote/2021-Jun

（来源：Microsoft 安全响应中心 ）

三、国际视野

10.三星手机预装应用爆多个严重漏洞，可被用于监视用户

安全研究人员在三星预装的安卓应用中发现了多个关键的安全漏洞，如果成功利用这些漏洞，可能会让黑客在未经用户同意的情况下访问个人数据，并控制设备。移动安全初创公司Oversecured的创始人Sergey Toshin在上周四发表的分析报告中表示，这些漏洞可能允许攻击者访问和编辑受害者的联系人、电话、短信/彩信，以设备管理员的权限安装任意应用程序，或以系统用户身份读写任意文件，并且可能改变设备的设置。建议三星设备所有者安装三星最新固件更新，以避免任何潜在的安全风险。

（来源：安全内参）

11.伊朗黑客入侵一家非洲银行和一家美国联邦图书馆的网站

据外媒《Iran Briefing》报道，自称来自伊朗的黑客攻击了塞拉利昂非洲商业银行和美国联邦寄存图书馆计划的网站，并发布了亲伊朗的评论和图片。

（来源：今日头条）

12.麦当劳遭到黑客攻击，部分客户信息遭泄露

6月11日，麦当劳披露了一起数据泄露事件，该事件影响了其美国、韩国和台湾地区的相关员工和用户。麦当劳表示，根据外部安全顾问进行的调查发现，攻击者攻击了其全球多个市场的系统，并窃取了美国员工和特许经销商的业务联系信息。攻击者还窃取了韩国和台湾地区的用户个人信息。(包括姓名、电子邮件、电话号码和地址)。

（来源：FreeBuf）

13.大众汽车遭到黑客攻击，超300万奥迪车主个人信息被窃取

大众汽车美国公司表示，负责为其提供销售与营销服务的第三方供应商遭遇数据泄露事件，导致超过330万客户的个人信息意外流出，其中大部分为奥迪车主。大多数奥迪车主泄露了姓名、收件地址、邮箱或电话等信息，少部分受影响较大的还泄露了购买车辆相关信息、购买凭证信息、驾照及个人身份识别信息等。

（信息来源：安全内参）

14.84亿条密码汇编集合泄露，恐成最大泄露事件

据CyberNews 6月8日消息，一位用户在某黑客论坛上发布了一个100GB 的txt文件，其中包含84亿条密码。根据推测，这些密码可能是之前泄露事件的数据集合。这将是有史以来最大的密码泄露事件。据帖子作者称，泄露的所有密码长度都是6-20个字符，非ascii字符和空格都被删除。该作者还声称文件中包含820亿条密码。然而，在Cybernes测试后发现，实际的数字仅为宣称的十分之一——84亿条。

（来源：FreeBuf）

以上内容不代表本部门观点，如有侵权请及时联系我们。