要聞速覽

1、《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》發(fā)布，5月起施行

2、國(guó)家公共數(shù)據(jù)資源登記平臺(tái)3月1日上線運(yùn)行

3、ChatGPT Operator 遭提示注入攻擊，泄露用戶(hù)隱私數(shù)據(jù)

4、馬斯克DOGE網(wǎng)站被黑，驚現(xiàn)“這是一個(gè).gov網(wǎng)站的笑話”

5、小天才手表遭陌生號(hào)強(qiáng)綁監(jiān)護(hù)人？二次放號(hào)或成隱私泄露重災(zāi)區(qū)

6、雅虎再曝?cái)?shù)據(jù)泄露：60萬(wàn)郵箱賬戶(hù)暗網(wǎng)兜售

一周政策要聞

《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》發(fā)布，5月起施行

近日，國(guó)家互聯(lián)網(wǎng)信息辦公室公布《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》（以下簡(jiǎn)稱(chēng)《辦法》），自2025年5月1日起施行。

國(guó)家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人表示，《中華人民共和國(guó)個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》對(duì)個(gè)人信息處理者開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)作了規(guī)定，《辦法》對(duì)合規(guī)審計(jì)活動(dòng)的開(kāi)展、合規(guī)審計(jì)機(jī)構(gòu)的選擇、合規(guī)審計(jì)的頻次、個(gè)人信息處理者和專(zhuān)業(yè)機(jī)構(gòu)在合規(guī)審計(jì)中的義務(wù)等作出細(xì)化規(guī)定，旨在為個(gè)人信息處理者開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)提供系統(tǒng)性、針對(duì)性、可操作性的規(guī)范，提升個(gè)人信息處理活動(dòng)合法合規(guī)水平，保護(hù)個(gè)人信息權(quán)益。

《辦法》以附件形式提供了《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》，對(duì)個(gè)人信息保護(hù)相關(guān)法律、行政法規(guī)的關(guān)鍵要點(diǎn)作了梳理，從合規(guī)審計(jì)的角度進(jìn)行了細(xì)化。個(gè)人信息處理者自行開(kāi)展或者按照履行個(gè)人信息保護(hù)職責(zé)的部門(mén)要求委托專(zhuān)業(yè)機(jī)構(gòu)開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)，應(yīng)當(dāng)參照《個(gè)人信息保護(hù)合規(guī)審計(jì)指引》。

國(guó)家公共數(shù)據(jù)資源登記平臺(tái)3月1日上線運(yùn)行

 2月18日，國(guó)家數(shù)據(jù)局舉行新聞發(fā)布會(huì)，介紹公共數(shù)據(jù)開(kāi)發(fā)利用最新情況。國(guó)家數(shù)據(jù)局副局長(zhǎng)陳榮輝在會(huì)上表示，國(guó)家公共數(shù)據(jù)資源登記平臺(tái)將于3月1日正式上線試運(yùn)行。

陳榮輝介紹，在登記平臺(tái)建設(shè)方面，全國(guó)登記平臺(tái)體系建設(shè)按照“一個(gè)標(biāo)準(zhǔn)，兩級(jí)平臺(tái)”的思路開(kāi)展。國(guó)家數(shù)據(jù)局制訂統(tǒng)一的登記技術(shù)和業(yè)務(wù)標(biāo)準(zhǔn)，負(fù)責(zé)建設(shè)國(guó)家登記平臺(tái)，確保與各省級(jí)平臺(tái)對(duì)接，實(shí)現(xiàn)登記信息互聯(lián)互通和統(tǒng)一賦碼。各省級(jí)數(shù)據(jù)管理部門(mén)牽頭建設(shè)省級(jí)登記平臺(tái)。

目標(biāo)是在今年年內(nèi)構(gòu)建起職責(zé)明確、分工負(fù)責(zé)、運(yùn)轉(zhuǎn)有序的全國(guó)公共數(shù)據(jù)資源登記體系。

消息來(lái)源：中國(guó)政府網(wǎng) https://www.gov.cn/lianbo/bumen/202502/content_7004272.htm

業(yè)內(nèi)新聞速覽

警惕！利用AI深度偽造視頻的新型“自騙”攻擊浪潮來(lái)襲

近日，一種名為“自騙”的新型攻擊手段正在瞄準(zhǔn)加密貨幣愛(ài)好者和金融交易者。這種攻擊利用AI生成的深度偽造（Deepfake）視頻和惡意腳本，標(biāo)志著社交工程技術(shù)的一次危險(xiǎn)升級(jí)。網(wǎng)絡(luò)安全公司Gen Digital的研究人員發(fā)現(xiàn)，該攻擊活動(dòng)通過(guò)利用經(jīng)過(guò)驗(yàn)證的YouTube頻道、合成人物形象以及AI制作的惡意載荷，誘使受害者主動(dòng)破壞自己的系統(tǒng)。

攻擊手段：深度偽造視頻結(jié)合惡意腳本

這種攻擊在2024年第三季度激增了614%，它結(jié)合了尖端的深度偽造技術(shù)和心理定制的誘餌，引發(fā)了人們對(duì)生成式AI在網(wǎng)絡(luò)犯罪中被武器化的高度關(guān)注。攻擊通常從一個(gè)托管在已被劫持的YouTube頻道上的深度偽造視頻開(kāi)始，該頻道擁有11萬(wàn)訂閱者。視頻中出現(xiàn)一個(gè)名為“Thomas Harris”或“Thomas Roberts”的合成人物形象，通過(guò)高級(jí)的面部動(dòng)畫(huà)、語(yǔ)音合成和身體動(dòng)作復(fù)制技術(shù)創(chuàng)建。

從深度偽造到PowerShell惡意載荷

攻擊的核心在于其使用AI生成的腳本，旨在繞過(guò)用戶(hù)的懷疑。受害者被引導(dǎo)打開(kāi)Windows的運(yùn)行對(duì)話框（Win+R），并執(zhí)行一個(gè)PowerShell命令，從Pastefy[.]com或Obin[.]net等粘貼分享網(wǎng)站獲取惡意腳本。

研究人員解密的一例代表性載荷顯示，攻擊者甚至使用ChatGPT優(yōu)化了他們的代碼：

該腳本連接到命令與控制（C&C）服務(wù)器（最近被追蹤為developer-update[.]dev或developerbeta[.]dev），以部署Lumma Stealer或NetSupport遠(yuǎn)程訪問(wèn)工具。

Lumma Stealer會(huì)竊取加密貨幣錢(qián)包和瀏覽器憑證，而NetSupport則授予攻擊者對(duì)其系統(tǒng)的完全控制權(quán)。取證分析揭示了關(guān)鍵組件的SHA-256哈希值，包括：

• a5e0635363bbb5d22d5ffc32d9738665942abdd89d2e6bd1784d6a60ac521797（惡意PowerShell腳本）
• 2fe60aa1db2cf7a1dc2b3629b4bbc843c703146f212e7495f4dc7745b3c5c59e（Lumma Stealer變種）

隨著網(wǎng)絡(luò)犯罪分子現(xiàn)在能夠自動(dòng)化人物創(chuàng)建和腳本優(yōu)化，通過(guò)多種渠道驗(yàn)證數(shù)字指令已成為一項(xiàng)不可或缺的安全實(shí)踐。

消息來(lái)源：FREEBUFhttps://www.freebuf.com/articles/network/422271.html

馬斯克DOGE網(wǎng)站被黑，驚現(xiàn)“這是一個(gè).gov網(wǎng)站的笑話”

近日，埃隆·馬斯克的政府效率部(DOGE)推出的網(wǎng)站被發(fā)現(xiàn)存在重大安全漏洞，允許未經(jīng)授權(quán)的用戶(hù)直接修改網(wǎng)站內(nèi)容，引發(fā)了人們對(duì)DOGE安全實(shí)踐的質(zhì)疑。

DOGE網(wǎng)站于今年1月上線，旨在展示該部門(mén)削減政府開(kāi)支的努力。然而數(shù)周以來(lái)，該網(wǎng)站基本處于閑置狀態(tài)，只有三行文字和一個(gè)卡通標(biāo)志。直到上周，網(wǎng)站才得到進(jìn)一步開(kāi)發(fā)。該網(wǎng)站從Cloudflare Pages站點(diǎn)獲取數(shù)據(jù)，底層代碼在那里部署。兩名網(wǎng)頁(yè)開(kāi)發(fā)專(zhuān)家發(fā)現(xiàn)，doge.gov網(wǎng)站連接到一個(gè)可被第三方訪問(wèn)和修改的數(shù)據(jù)庫(kù)。這使任何人都能進(jìn)行未經(jīng)授權(quán)的修改，并在正式網(wǎng)站上顯示。該漏洞很快就被利用，有人在網(wǎng)站主頁(yè)發(fā)布了諷刺性的信息。其中一條寫(xiě)著"這是一個(gè).gov網(wǎng)站的笑話。"另一條則是"這些'專(zhuān)家'讓他們的數(shù)據(jù)庫(kù)暴露了。"這些信息在網(wǎng)站上停留了數(shù)小時(shí)。專(zhuān)家指出，該網(wǎng)站似乎是匆忙構(gòu)建的，頁(yè)面源代碼中存在許多錯(cuò)誤和暴露的敏感信息。

目前，DOGE團(tuán)隊(duì)已解決了網(wǎng)站問(wèn)題，刪除了有爭(zhēng)議的信息。然而，此事引發(fā)了人們對(duì)該部門(mén)處理敏感數(shù)據(jù)和維護(hù)安全系統(tǒng)的能力的質(zhì)疑。據(jù)報(bào)道，在被黑之前，DOGE網(wǎng)站曾公布過(guò)機(jī)密情報(bào)數(shù)據(jù)。

消息來(lái)源：GoUpSec https://mp.weixin.qq.com/s/qwlYui7rnfg8goybl-6mpA

小天才手表遭陌生號(hào)強(qiáng)綁監(jiān)護(hù)人？二次放號(hào)或成隱私泄露重災(zāi)區(qū)

近日，重慶一位家長(zhǎng)在社交平臺(tái)發(fā)布視頻稱(chēng)，其孩子的小天才電話手表（型號(hào)ZZ8少年版）被陌生號(hào)碼申請(qǐng)為監(jiān)護(hù)人，并在家長(zhǎng)拒絕綁定后仍成功關(guān)聯(lián)。該陌生人不僅可查看孩子實(shí)時(shí)定位，還能發(fā)送語(yǔ)音信息，引發(fā)公眾對(duì)這類(lèi)兒童智能設(shè)備安全性的強(qiáng)烈關(guān)注。據(jù)該家長(zhǎng)回憶稱(chēng)，盡管她在后臺(tái)拒絕了綁定申請(qǐng)，但系統(tǒng)仍顯示綁定成功。家長(zhǎng)質(zhì)疑稱(chēng)，手表從未丟失，綁定碼也未泄露，且最高權(quán)限僅自己擁有，因此對(duì)綁定機(jī)制的安全性提出疑問(wèn)。小天才客服最初回應(yīng)，可能是對(duì)方通過(guò)綁定碼完成操作，但未解釋具體漏洞。

2月16日，該家長(zhǎng)在社交平臺(tái)進(jìn)一步更新了事件后續(xù)，稱(chēng)“自己本身出了一個(gè)紕漏”，回憶曾將孩子手表綁定至一個(gè)不常用的手機(jī)號(hào)，后因忘記解綁，該號(hào)碼被運(yùn)營(yíng)商回收并流入市場(chǎng)。新號(hào)主（一名女子）恰好為小天才用戶(hù)，誤將丈夫添加為監(jiān)護(hù)人，導(dǎo)致其丈夫向孩子發(fā)送語(yǔ)音。經(jīng)警方核實(shí)，該號(hào)碼確系“二次放號(hào)”引發(fā)的問(wèn)題。盡管如此，這一事件仍暴露了小天才手表在用戶(hù)信息管理和解綁流程上的潛在漏洞。

消息來(lái)源：安全內(nèi)參https://www.secrss.com/articles/75853

雅虎再曝?cái)?shù)據(jù)泄露：60萬(wàn)郵箱賬戶(hù)暗網(wǎng)兜售

近日，網(wǎng)絡(luò)安全領(lǐng)域再起波瀾，雅虎公司被卷入一起嚴(yán)重的數(shù)據(jù)泄露事件。據(jù)外媒報(bào)道，一名化名為“exelo”的黑客在暗網(wǎng)論壇上兜售一個(gè)包含602,800個(gè)雅虎郵箱賬戶(hù)的數(shù)據(jù)庫(kù)。該黑客聲稱(chēng)這些數(shù)據(jù)是“私密且非俄羅斯來(lái)源的”，并以100美元的價(jià)格出售整個(gè)數(shù)據(jù)庫(kù)，同時(shí)提供50,000個(gè)賬戶(hù)的免費(fèi)樣本供潛在買(mǎi)家測(cè)試。

這起事件引發(fā)了廣泛關(guān)注，因?yàn)榇祟?lèi)數(shù)據(jù)泄露往往包含用戶(hù)的敏感信息，如用戶(hù)名、加密密碼、出生日期和備用電子郵件地址等。

網(wǎng)絡(luò)安全專(zhuān)家提醒，舊的數(shù)據(jù)集有時(shí)會(huì)被重新包裝，并在暗網(wǎng)市場(chǎng)上以“新數(shù)據(jù)”的名義出售給不知情的買(mǎi)家。如果此次泄露事件屬實(shí)，可能會(huì)對(duì)受影響的用戶(hù)產(chǎn)生嚴(yán)重后果，包括增加撞庫(kù)攻擊風(fēng)險(xiǎn)、網(wǎng)絡(luò)釣魚(yú)攻擊以及身份盜用等。

為防止?jié)撛诘馁~戶(hù)安全風(fēng)險(xiǎn)，雅虎用戶(hù)應(yīng)立即采取以下措施：

• 更改密碼：更新雅虎賬戶(hù)密碼，并確保密碼的唯一性和強(qiáng)度。避免在不同平臺(tái)上重復(fù)使用相同密碼。
• 啟用雙重認(rèn)證（2FA）：通過(guò)添加額外的安全層，即使憑據(jù)被泄露，也可以防止未經(jīng)授權(quán)的訪問(wèn)。

消息來(lái)源：看雪學(xué)苑https://mp.weixin.qq.com/s/Idd75a_NKgmMoRjGDm_ODg

來(lái)源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來(lái)，僅用于分享，并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性，部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系，若涉及版權(quán)問(wèn)題，煩請(qǐng)?jiān)髡呗?lián)系我們，我們會(huì)盡快刪除處理，謝謝！