教育网络安全动态

2021年6月第3期（2021.6.15-6.21）

一、政策要闻

1.最高院副院长贺小荣：加大数据安全司法保护力度

6月16日，中国政法大学主办的首届数据法治高峰论坛暨中国政法大学数据法治研究院、数据法治学科创新引智基地（111计划）、智慧法治联合实验室揭牌仪式在北京举行，最高人民法院副院长贺小荣出席会议并讲话。贺小荣指出，数据已经成为与土地、劳动力、资本、技术并列的生产要素，要平衡各方利益，促进数字经济健康快速发展。数据法律问题本质上就是法律和科技的相互关系问题。从我国目前的司法实践来看，数据法律问题集中表现在四个方面：数据的产权归属问题、数据处理者侵犯个人隐私问题、大数据集中导致的“杀熟”问题、数据算法合理性的裁量标准问题。

（来源：最高人民法院）

2.北京市启动2021年度App网络安全专项治理行动

按照国家互联网信息办公室等四部委联合发布的《关于开展App违法违规收集使用个人信息专项治理的公告》等文件精神，严格规范App收集使用个人信息行为，市委网信办、市公安局、市市场监督管理局、市通信管理局决定，自发布本通告之日起至11月，在全市范围内组织开展App违法违规收集使用个人信息专项治理行动。

（来源：网信北京）

3.工信部就《车联网（智能网联汽车）网络安全标准体系建设指南》（征求意见稿）公开征求意见

为落实《中华人民共和国网络安全法》等法律法规要求，加强车联网（智能网联汽车）网络安全标准化工作顶层设计，工信部组织编制了《车联网（智能网联汽车）网络安全标准体系建设指南》（征求意见稿）及《编制说明》。为进一步听取社会各界意见，现予以公示，公示截止日期2021年7月20日。

（来源：工业和信息化部官网）

4.国家安全部：既要抓间谍，又要抓“内奸”和“幕后金主”

2021年6月18日上午，国家安全部副部长董经纬主持召开座谈会，学习贯彻今年4月26日起施行的《反间谍安全防范工作规定》，就做好反奸防谍工作作出部署。座谈会指出，党中央高度重视国家安全工作，对反间谍工作作出一系列重要决策部署。作为反间谍工作主管机关，国家安全部制定出台规定，是依法防范、制止、打击危害国家安全违法犯罪活动的现实需要，有利于进一步压实反间谍安全防范责任，更好地组织动员全社会力量打好反间谍“人民战争”。

（来源：中央政法委长安剑）

5.人社部就《信息安全测试员国家职业技能标准（征求意见稿）》公开征求意见

6月17日，为贯彻落实《国务院关于推行终身职业技能培训制度的意见》提出的“紧跟新技术、新职业发展变化，建立职业分类动态调整机制，加快职业标准开发工作”要求，人力资源和社会保障部组织开发了“互联网营销师” “网约配送员” “信息安全测试员”等21个《国家职业技能标准（征求意见稿）》，面向社会公开征求意见，意见反馈截止时间为2021年6月30日。

（来源：人社部官网）

6.工信部、公安部通告依法清理整治涉诈电话卡、物联网卡以及关联互联网账号

为深入贯彻落实党中央、国务院决策部署，坚决遏制电信网络诈骗犯罪高发多发态势，切实维护广大人民群众合法权益，按照《中华人民共和国刑法》《中华人民共和国治安管理处罚法》《中华人民共和国网络安全法》《互联网信息服务管理办法》等相关法律法规要求，工信部、公安部就依法清理整治涉诈电话卡、物联网卡以及关联互联网账号有关事项进行了通告。

（来源：工信微报）

二、技术资讯

7.Dell EMC PowerScale OneFS权限提升漏洞（CNVD-2021-40323）

Dell EMC PowerScale OneFS是一款由API驱动的文件系统。Dell EMC PowerScale OneFS 8.1.0至9.1.0版本存在权限提升漏洞。该漏洞源于OS命令中使用的特殊元素的错误中性化。具有ISI_PRIV_LOGIN_SSH或ISI_PRIV_LOGIN_CONSOLE权限的攻击者可利用该漏洞提升权限。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2021-41124

（来源：国家互联网应急中心）

8.Paradise勒索软件源代码被公开，攻击者可进行“私人定制”

Paradise勒索软件的完整源代码已被发布在一个黑客论坛上，这将使任何网络罪犯都能够开发自己的定制版勒索软件。不幸的是，此次被公布源代码的是.NET版本的Paradise，它使用RSA加密无法被解密器破解。

该研究人员表示，目前并不清楚上述版本是否由同一个组织开发，因为他们都是在大约统一时间以数千种不同的扩展名流传的。并且，日益流行的RaaS（勒索软件即服务）也为其推广推波助澜。

（来源：FreeBuf）

三、国际视野

9.有你吗？泰国的外国人疫苗接种网站信息泄露！

Thailandintervac.com是泰国政府专门针对外籍人士提供新冠疫苗接种注册的网站。该网站在本周一上线，多名外籍人士抱怨说，他们可以查看和编辑其他注册人的个人信息，因为这些信息出现在网页上。泄露信息包括：姓名、护照号码、所在位置。泰国外交部副发言人Natapanu Nopakun表示，该故障是暂时的，泰国公共卫生部(MOPH)立即修复了该故障。

（来源：汇能云安全）

10.新兴勒索组织称四个月攻破30多个组织

据外媒，一个新兴的勒索软件声称利用勒索软件集团的信息在运营以来的短短4个月内已经攻破了30个组织。该组织名为Prometheus，据悉该组织是另一支著名勒索团体Thanos的分支，于2021年2月首次被发现，该软件去年曾被用于对付中东和北非的国有组织。研究显示，受影响的实体据信包括了美国、英国的政府、金融服务、制造业、物流、咨询、农业、医疗保健服务、保险机构、能源和律师事务所以及亚洲、欧洲、中东和南美的十几个国家。

（来源：聚铭网络）

11.网络安全公司Cognyte泄漏50亿条数据

近日，网络安全公司Cognyte泄漏了50亿条数据。网络安全公司遭遇网络攻击，泄漏安全工具源代码，甚至成为黑客发动供应链攻击的跳板已经不是新鲜事，但颇具讽刺意味的是，Cognyte所泄漏的数据恰恰是用来提醒客户注意第三方数据泄漏的，而且数据规模惊人。一名安全研究人员最近在网上发现了一个由网络安全分析公司Cognyte运营的不安全数据库，该数据库采集了从一系列在线数据泄漏事件中收集的约50亿条记录，并且无需身份验证即可访问。存储的数据是Cognyte网络情报服务的一部分，用于提醒客户注意第三方数据泄漏。“具有讽刺意味的是，用于交叉检查已知数据泄漏事件的个人信息的数据库本身已暴露。这些信息包括姓名、密码、电子邮件地址和泄漏的原始来源。”Comparitech在一份报告中写道。

（来源：聚铭网络）

以上内容不代表本公众号观点，如有侵权请及时联系我们。