信息安全新闻|华尔街大行传遭罚逾10亿美元;苹果曝严重安全漏洞;谷歌曝光有史以来最大 DDoS 攻击......
INSEC Weekly News 集结本周安全圈的国际、国内热点新闻,方便安全从业者快速了解行业动态。
作为英富曼会展集团旗下重要的信息技术品牌展会,INSEC WORLD 成都·世界信息安全大会已成功举办三届,发展为极具知名度和美誉度的行业盛会。大会致力于汇集全球信息安全资源,与各界意见领袖和技术专家共商共谋行业发展,力求完整覆盖信息安全专业领域,打造立足成都、面向世界的中立第三方行业交流平台。
如您有企业资讯想通过INSEC WORLD的平台发布,可联系任女士(M:131-2068-6735)。
2022/8/22-2022/8/26
国际资讯
01
美国拟立法禁止采购有漏洞软件
处于立法进程中的《2023财年国防授权法案》提出,国土安全部新签和现有政府合同,软件供应商应保证产品中不存在已知漏洞;有安全专家担心,如果严格执行该项法案,美国政府后续将无法部署任何软件/服务;原因有多方面:任何代码都存在漏洞,美国漏洞库的部分漏洞并非安全风险,软件提供商可能隐瞒漏洞信息,竞争对手将极力挖掘对手产品漏洞以赢得合同等。
来源:安全内参
02
法国首都一医院遭勒索软件攻击:急诊被迫停业,赎金1000万美元
法国巴黎一家中大型医院CHSF上周日遭遇勒索软件攻击,医院业务软件、存储系统、患者信息系统均无法访问,急诊和手术被迫停业;法媒世界报称,勒索软件团队要求该医院支付价值1000万美元的赎金;据悉,法国网络犯罪执法部门正在追查该事件。
来源:bleepingcomputer
03
华尔街大行传遭罚逾10亿美元,涉员工不当使用WhatsApp等
华尔街多间大行与美国监管机构即将达成逾10亿美元罚款协议,并承认员工使用WhatsApp等个人通讯应用程序违反监管要求。
据悉,和解协议将在9月底前公布,华尔街多间大行将各自支付高达2亿美元的罚款,并承认其员工使用WhatsApp等个人短信应用程序违反了监管要求。名单包括美银、巴克莱、花旗、德银、高盛、摩根士丹利、瑞银。
来源:瑞恩资本
04
Twitter前安全负责人举报令人震惊的不作为乱象
在提交给SEC(美国证券交易委员会)的举报文件中,扎克称,2021年有很多次,他亲眼目睹推特高管进行欺骗性和误导性的表态,涉及董事会、用户和股东。其中,公司首席执行官埃格瓦(Parag Agrawal)要求扎克提供虚假和误导性文件。
后来,扎克被停职。在停职之前的最后一份工作报告中,扎克指控推特管理层在四个方面,没有向董事会如实反映存在的问题。这四大问题包括:缺乏最基本安全保障措施的陈旧软件;在谁能够访问或者控制系统以及数据方面,管理混乱;内部流程存在问题;发生了许多影响大批用户数据的网络安全事故,事故数量令人震惊。
Twitter 否认了这些指控。该公司表示,扎特克今年 1 月因绩效不佳而被辞退。
来源:新浪科技
05
希腊最大天然气运营商遭勒索软件攻击,多项在线服务被迫中断
希腊最大的天然气分销商DESFA披露,由于遭受网络攻击,多项在线服务被迫关闭,部分数据遭泄露。Ragnar Locker勒索软件团伙在其勒索门户公布了DESFA名字,并放出了一部分窃取数据。当前欧洲正面临停用俄罗斯天然气带来的能源危机,预计冬季将愈演愈烈,届时勒索软件团伙也将趁火打劫。
来源:安全内参
国内资讯
01
《智慧安全产业发展白皮书》发布
8月23日,由中国科学院大学应急管理科学与工程学院、国家工业信息安全发展研究中心、中国产业互联网发展联盟共同编制的《智慧安全产业发展白皮书》(以下简称“白皮书”)在2022首届应急管理与未来城市峰会暨中国产业互联网(江门)峰会上正式发布。
白皮书通过对智慧安全产业要素——设施、平台、数据、应用场景的深入剖析,全方位勾勒智慧安全产业发展全景,结合智慧安全产业的企业优秀实践案例,对智慧安全产业未来发展进行展望并给出相关对策建议,可为政府精准施策、企业重点发力,加快智慧安全产业发展壮大提供重要参考。
来源:安全内参
02
核酸结果阳性属于个人敏感信息,非法查询或将面临刑事处罚
近日,人力资源和社会保障部、最高人民法院联合发文,要求加强行政司法联动,保障新冠病毒肺炎康复者等劳动者平等就业权利,明确不得违反个人信息保护法等有关规定,擅自非法查询新冠病毒核酸检测结果。
有专家指出,核酸检测结果记录和新冠病毒肺炎患病经历属于个人信息中的敏感信息,除了防疫需要,应严格限制对这类敏感信息的访问,非法查询上述信息的将面临行政处罚甚至刑事处罚。
来源:南方都市报
03
南宁市中医医院:常态化信息系统应急演练提升医院信息安全
医院信息系统是现代化医院开展工作的必要基础设施,可以充分保障医疗工作有序开展、医疗秩序平稳正常以及医疗服务高效供给。8月22日,南宁市中医医院开展信息系统故障应急演练。此次演练由医院信息科、医务部、门诊部等多部门通力协作完成。演模拟了医院网络中断,在无法使用信息系统的情况下,全院医务工作人员按照信息系统突发故障应急预案的部署,启动手工开具单据方式相互协作的系列流程,演练在突发情况时确保每一位患者及时得到有效治疗。
来源:澎湃新闻
突发事件
01
黑客针对比特币ATM制造商
这家总部位于布拉格的公司声称是全球加密货币ATM机的大型制造商,该公司表示,公司的系统受到零日漏洞的攻击,该漏洞使黑客能够抽走未公开数量的数字货币。在创建了一个新的默认管理用户后,黑客随后能够修改双向机器的加密设置。
目前尚不清楚在这种情况下袭击者是谁,更令人担忧的是,该公司在“自2020年以来的多次安全审计”中没有发现有问题的错误。
来源:info security
02
谷歌曝光有史以来最大 DDoS 攻击,数据比之前的记录高出 76%
谷歌报告发现了一次大规模的 DDOS 攻击,对方尝试关闭其 Cloud Armor 客户服务,峰值可达每秒 4600 万个请求,规模相当于此前记录的 176.92%。这使其成为有史以来报告的最大的一次七层分布式拒绝服务攻击。谷歌解释说,在高峰期,这种攻击相当于在 10 秒内实现一整天的 Wikipedia 访问量。
谷歌报告称,Cloud Armor 成功检测到了此次 DDoS 攻击,并向客户推荐了一条规则来阻止攻击,实际效果不错。几分钟后,攻击者意识到攻击失败后,数据请求出现下降。
来源:IT之家
03
GitLab远程代码执行漏洞 (CVE-2022-2884) 安全风险通告
近日,奇安信CERT监测到GitLab官方发布GitLab远程代码执行漏洞(CVE-2022-2884)通告,经过身份认证的远程攻击者可通过GitHub导入功能实现远程代码执行。
来源:奇安信CERT
04
苹果曝严重安全漏洞
美国苹果公司在当地时间周三发布两份安全报告,披露公司旗下智能手机iPhone、平板电脑iPad和iMac电脑等产品存在严重安全漏洞。这些漏洞,可能会让潜在的攻击者入侵用户设备,获得管理权限,甚至完全控制设备,并运行其中的应用软件。
目前苹果安全漏洞已经修复,安全专家也呼吁苹果用户立即下载更新。
来源:北京日报
INSEC WORLD 2022
第四届INSEC WORLD 成都·世界信息安全大会将以“聚焦安全 打造多元新格局” 为主题,从技术和应用双维度入手,为金融、医疗、制造、教育、互联网等行业安全从业者打破沟通壁垒,助力中国网络信息安全产业正向蓬勃发展。
今年大会预计吸引超60位海内外演讲嘉宾助阵分享干货、近50家网安企业集体亮相、逾3000人次专业观众线下参会、百家媒体联袂全程跟踪报道。
观众预登记通道正式开启
手机端:可直接扫描二维码进行注册 电脑端:点击阅读原文进行注册 |
联系我们
项目合作 / 协会与院校合作
门女士 Grace Men
E:Grace.Men@informa.com
T:028-8550-0267
M:186-8369-2966
参展 / 赞助
施女士 Ruby Shi
E:Ruby.Shi@informa.com
T:028-8550-0895
M:135-1821-0316