教育网络安全动态

2022年8月第2期（2022.8.3-2022.8.11）

一、政策要闻

1.国家网信办发布《数字中国发展报告（2021年）》，强调完善数字安全和治理体系

为贯彻落实党中央、国务院关于建设数字中国的重要部署，深入实施《国家信息化发展战略纲要》《“十四五”国家信息化规划》等战略规划，国家互联网信息办公室会同有关方面跟踪监测各地区、各部门数字化发展情况，开展数字中国发展水平评估工作，编制完成《数字中国发展报告（2021年）》（以下简称《报告》）。《报告》总结了党的十九大以来数字中国建设取得的显著成就和2021年的重要进展成效，评估了2021年各地区数字化发展水平，并对2022年数字中国建设进行了展望。在第三章数字中国发展趋势与展望中提到十项实际行动，其中强调“九、完善数字安全和治理体系，营造健康安全的发展环境”。

（来源：网信中国）

2.最高检公布首例数据非法“爬取”经合规整改后不予起诉典型案例

近日，最高人民检察院发布第三批涉案企业合规典型案例，这也是今年4月最高检部署在全国范围全面推开涉案企业合规改革试点工作之后，首次发布涉案企业合规典型案例。本批典型案例之一是上海Z公司、陈某某等人非法获取计算机信息系统数据案，涉及互联网企业数据合规。最高检第四检察厅负责人介绍说，案例一上海Z公司、陈某某等人非法获取计算机信息系统数据案，针对互联网科创企业开展数据合规，多措并举推动行业治理，在疫情期间灵活运用智慧检务开展“云听证”，助力复工复产。该案例系最高检第四检察厅直接指导上海培育的首例数据合规典型案例，相关做法和成效得到关注该领域的多名全国人大代表的高度肯定。

（来源：网络法前哨）

3.银保监会：开展侵害个人信息权益专项整治

8月9日，中国证券报·中证金牛座记者独家获悉，银保监会办公厅近日向各银保监局，各大型银行、股份制银行、外资银行、直销银行、理财公司，各保险集团（控股）公司、保险公司下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》。《通知》强调，自查过程中要坚持立查立改。对短期无法整改完成的问题，要建立整改台账，明确整改措施，逐项逐步推进。

（来源：中国证券报）

二、技术资讯

4.DrayTek爆出RCE漏洞，影响旗下29个型号的路由器

据网站披露，Trellix 的研究人员发现一个严重的远程代码执行 (RCE) 漏洞，该漏洞会对 29 种型号的 DrayTek Vigor 商业路由器产生严重影响。RCE 漏洞被跟踪为 CVE-2022-32548，最高 CVSS v3 严重性评分为 10.0，将其归类为严重漏洞。据悉，攻击者无需凭据或用户交互即可利用 CVE-2022-32548 漏洞，默认设备配置使攻击可以通过 Internet 和 LAN 进行。

（来源：汇能云安全）

5.CVE-2022-30563：浙江大华网络摄像机安全漏洞

研究人员在大华部分IP摄像机产品Open Network Video Interface Forum（ONVIF，开放式网络视频接口论坛）标准规范WS-UsernameToken认证机制的实现中发现了一个安全漏洞，漏洞CVE编号CVE-2022-30563，CVSS评分7.4分。攻击者利用该漏洞嗅探之前未加密的ONVIF交互、在新的请求中重放该凭证，最终实现入侵网络摄像机的目的。

（来源：汇能云安全）

6.黑客公布马斯克“星链”攻击工具

本周，在拉斯维加斯举行的Black Hat安全会议上，比利时鲁汶大学(KU Leuven)的安全研究员Lennert Wouters将首次披露Starlink用户终端（即位于住宅和建筑物上的星链卫星天线）的安全漏洞。Wouters将详细介绍攻击者如何利用一系列硬件漏洞访问Starlink系统并在设备上运行自定义代码。Wouter曾向Starlink通报了这些漏洞，后者也通过其漏洞赏金计划向Wouters支付了漏洞赏金。Wouters表示，虽然SpaceX已发布更新以使攻击更加困难（更改了modchip），但除非该公司开发新版本的主芯片，否则无法解决根本问题，所有现有星链用户终端仍然容易受到攻击。

（来源：关键信息基础设施安全保护联盟(筹)）

三、国际视野

7.印度废除数据保护法

在经历了来自科技行业和隐私倡导者长期的抗议和批评之后，近日，印度电子和信息技术国务部长Rajeev Chandrasekhar宣布，于2019年颁布的《数据保护法案》已正式撤回。Chandrasekhar表示，这部法案的一些规定超出了数据保护范围，一些复杂性措施也增加了中小企业的合规负担，比如对跨境数据流动进行严格监管、强制要求共享部分“非个人”数据等。接下来，莫迪政府表示会推出一个包括隐私在内的科技监管 "综合框架"，有望在2023年初获得批准。

（来源：汇能云安全）

8.针对Windows和Linux ESXi服务器，Gwisin Locker勒索软件发起勒索攻击

近期，一个名为“GwisinLocker”的新勒索软件系列针对具有Windows和Linux加密器的韩国医疗保健、工业和制药公司发动勒索攻击，包括对加密VMware ESXi服务器和虚拟机。新的恶意软件是一个鲜为人知的威胁行为者Gwisin的产物，在韩语中意为“幽灵”。该威胁行为者来历不明，但似乎精通韩语。此外，袭击恰逢韩国公众假期，并且发生在凌晨，这就表明Gwisin对该国的文化和商业惯例有很好的掌握。关于Gwisin及其活动的报道于上个月底首次出现在韩国媒体上，当时威胁者入侵了该国的大型制药公司。

（来源：安全圈）

9.NHS遭网络攻击，系统出现重大故障

英国国家卫生服务（NHS）的111紧急服务受到网络攻击,继而引发了重大影响，服务系统出现持续性中断，该攻击袭击了英国管理服务提供商（MSP）Advanced的系统。根据NHS111服务的介绍页面，85% 的 NHS 111 服务都使用了Advanced 的 Adastra 客户患者管理解决方案，该解决方案与 MSP 提供的其他几项服务一起遭遇重大中断 。威尔士救护车服务中心近日称用于将病人从威尔士的国家医疗服务体系转诊到小时外全科医生的NHS计算机系统发生了重大故障，该系统是由地方卫生局用来协调病人转诊的。此次持续的故障是非常重大的，故障造成的影响也十分深远，英国全境都因此受到了不同程度的影响。NHS建议英国公众在此次事件得到解决之前，先使用在线平台访问NHS 111紧急服务。

（来源：汇能云安全）

10.推特承认540万用户数据泄露，漏洞6个月后才被修复

8月5日，Twitter在其隐私中心发布声明，确认此前被曝出的540万个账户信息泄露事件确实存在。据了解，黑客利用漏洞创建了一个包含540万个Twitter账户的数据库，知道某人的电子邮件地址或电话号码就可能可以查到相关的Twitter账户，以及公开的个人资料信息。被黑客利用的漏洞是Twitter 在2021年6月更新时引入的：如果有人向Twitter系统提交一个电子邮件地址或电话号码，Twitter系统会回复相关联的账户信息。

（来源：隐私护卫队）

以上内容不代表本部门观点，如有侵权请及时联系我们。