个人数据资产可以变现了?国家数据局已官方辟谣;Palo Alto紧急修复多个严重的防火墙劫持漏洞 | 牛­览
作者: 日期:2024年10月12日 阅:1,055


新闻速览

•个人数据资产可以变现了?国家数据局已官方辟谣

•中央网信办部署开展“清朗·规范网络语言文字使用”专项行动

•欧盟通过《网络韧性法案》,全面提升数字产品安全标准

•微软将在新版Windows系统中引入“管理员保护”新功能

•富达资本再次发生数据泄露,7.7万客户数据疑似被泄露

•针对大模型的平均攻击时间仅需42秒,5次尝试就可越狱成功

•CNNVD官方通报微软多个安全漏洞情况

•Palo  Alto紧急修复多个严重的防火墙劫持漏洞

•CISA就飞塔网络RCE漏洞利用情况发布风险提示

特别关注

个人数据资产可以变现了?国家数据局已官方辟谣

日前,国家数据局综合司发布声明,发现有不法分子以国家数据局的名义发布虚假信息,谣称国家数据局颁发“个人数据资产拥有权确权凭证”,发布《关于10月15日开放个人数据资产价值变现权确权工作的通知》,联合相关单位印发《关于成立人民数据资产确权服务平台的通知》等,严重损害国家机关形象,造成恶劣社会影响。

经查,此类文件系伪造,相关信息均不属实,国家数据局从未发布过上述政策文件,从未颁发过相关凭证。由于该行为涉嫌伪造国家公文、印章,国家数据局将保留通过法律程序追究虚假信息发布者法律责任的权利。请有关单位、企业和广大群众提高警惕、加强甄别,谨防上当受骗。

实际上,目前个人数据资产价值变现权并不存在。2022年12月,《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(下称“数据二十条”)发布,提出探索数据产权结构性分置制度,建立数据资源持有权、数据加工使用权、数据产品经营权“三权分置”的数据产权制度框架。

北京大成律师事务所高级合伙人陈福曾表示,我国现行有效的法律并没有规定数据属于什么类型的权利,在实践中对数据进行确权还存在很多的挑战和困难。

对外经贸大学数字经济与法律创新研究中心主任许可曾表示,推出数据产权制度有其现实紧迫性。数据作为关键性的生产要素,呼唤着更加明晰的权利义务的界定,从而能够形成一个可预期的交易规则。我国还需要采取一种更加明确的对于权利保护的宣誓。

原文链接:
https://mp.weixin.qq.com/s/vhB2vp8A5RqggNSoqnWJWg

中央网信办部署开展“清朗·规范网络语言文字使用”专项行动

按照2024年“清朗”系列专项行动计划安排,为整治网上国家通用语言文字不规范使用乱象,塑造有利于未成年人健康成长的网络环境和育人生态,近日,中央网信办、教育部印发通知,部署开展“清朗·规范网络语言文字使用”专项行动。

专项行动聚焦部分网站平台在热搜榜单、首页首屏、发现精选等重点环节呈现的语言文字不规范、不文明现象,重点整治歪曲音、形、义,编造网络黑话烂梗,滥用隐晦表达等突出问题。

专项行动要求,各地网信、教育部门要强化协同联动,形成依法管理和正面引导合力,坚持问题导向,聚焦群众反映集中的问题,聚焦未成年人等特殊群体权益保护,畅通举报渠道,集中清理不规范、不文明网络语言文字相关信息,严格落实整治任务。鼓励各地结合工作实际,加强语言文字相关法律法规科普宣传,倡导文明用语用字,营造全社会重视和参与的良好氛围。

原文链接:
https://mp.weixin.qq.com/s/eKYXR-kKJb9ds-okVARjNg

热点观察

欧盟通过《网络韧性法案》,全面提升数字产品安全标准

近日,欧盟理事会正式通过了《网络弹性法案》(CRA),该法案规定数字产品须满足针对全欧盟的网络安全要求。这项新法规将适用于所有直接或间接连接到其他设备或网络的产品,旨在填补现有法律框架的空白,使网络安全立法更加一致,并确保物联网(IoT)等产品在整个供应链和生命周期中的安全性。

CRA 的要求将覆盖硬件和软件产品的设计、开发、生产以及市场投放等环节,以避免欧盟成员国不同法律法规的重叠要求。符合该法规要求的软件和硬件产品将贴上 CE 标志,这一标志在欧洲经济区(EEA)已广泛使用,表示产品符合高安全、健康和环境保护标准。这将有助于消费者更容易识别具备适当网络安全功能的产品。

CRA 通过立法程序后,将由理事会和欧洲议会的主席签署,并在随后几周内发布在欧盟官方公报上。新法规将在发布后 20 天生效,并在 36 个月内全面实施,部分条款将在更早阶段适用。这一举措标志着欧盟在网络安全领域迈出了重要一步,将为数字产品市场带来更高的安全标准和消费者保护。

原文链接:

https://www.infosecurity-magazine.com/news/eu-adopts-cyber-resilience-act/

微软将在新版Windows系统中引入“管理员保护”新功能

日前,微软公司在最新推出的Windows预览版中引入了一项重要的安全升级,旨在锁定本地管理员特权,大幅加大网络攻击者利用特权升级问题的难度。

这一名为Administrator Protection(管理员保护)的功能,将改变Windows处理管理员权限的方式,从由用户账户控制(UAC)提示管控的分割令牌模型改为由系统管理的独立影子环境。一旦指定的任务完成,这个影子管理员账户就会消失,网络攻击者将难以滥用管理员的提升特权从事恶意活动。这项功能将限制管理员账户的特权提升范围。

管理员保护功能是微软为消除其软件中的不良信任模式而采取的最新策略。面对这项新功能,攻击者仍然可以使用管理员的凭据来尝试提升特权,但攻击操作的时间窗口将会小得多。这项功能在显著提高系统安全性的同时,有利于企业更好地监控账户活动。

原文链接:

https://www.darkreading.com/endpoint-security/windows-preview-limit-administrator-privileges

网络攻击

富达资本再次发生数据泄露,7.7万客户数据疑似被泄露

日前,7.7多个投资者接到富达投资公司的事故通告,称他们的个人信息在近期发生的一次数据安全事件中被泄露。这起泄露事件发生在8月17日至8月19日,当时未经授权的第三方访问了两个客户的账户,并获取了私密信息。8月19日发现该活动时,访问被终止,调查随即展开。

据富达的通告显示,目前还未发现这次泄露事件中泄露的客户个人信息已被恶意使用,但这是该公司今年第二次遭遇泄露事件了。今年3月,富达通知了约3万人称,他们的信息在涉及服务提供商Infosys McCamish(IMS)的第三方泄露事件中泄露。

富达将通过TransUnion Interactive为受此次泄露事件影响的用户提供为期24个月的免费信用监控和身份恢复服务。富达还建议用户个人保持警惕,经常核对财务报表,报告任何可疑或欺诈活动。

原文链接:

https://www.darkreading.com/cyberattacks-data-breaches/fidelity-notifies-77k-customers-data-breach

针对大模型的平均攻击时间仅需42秒,5次尝试就可越狱成功

据Pillar Security最新开展的一项安全调查显示,针对大语言模型(LLM)的攻击平均只需不到1分钟就能完成;在90%的有效攻击会造成系统泄露敏感数据。

Pillar近日发布的《生成式AI攻击状况》报告基于遥测数据和来自2000多个AI应用软件的真实攻击例子,揭示了LLM攻击方面的新动向。LLM越狱每五次尝试中就有一次可成功绕过模型护栏,表明了不断扩大的生成式AI带来的攻击面风险。

这份报告研究的2000多个LLM应用软件涵盖多个行业和用例,虚拟客户支持聊天机器人是最普遍的用例,占所有应用场景的57.6%,而便于个性化客户互动的聊天机器人占另外17.3%的应用场景。客户服务和支持相关的LLM也是攻击和越狱的最主要目标,占所有攻击的25%。能源行业、咨询服务和工程软件行业的LLM应用软件常成为攻击目标。

原文链接:

https://www.scmagazine.com/news/llm-attacks-take-just-42-seconds-on-average-20-of-jailbreaks-succeed

安全漏洞

CNNVD官方通报微软多个安全漏洞情况

近日,国家信息安全漏洞库(CNNVD)就微软多个安全漏洞发布了情况通报,其中包括123个微软产品本身漏洞,影响到微软产品的其他厂商漏洞2个。微软Microsoft Windows、Microsoft Windows Network Address Translation、Microsoft Windows Remote Registry Service、Microsoft Windows Scripting等多个产品和系统受漏洞影响。

目前,微软官方已经发布了漏洞修复补丁,CNNVD建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。联系方式: cnnvdvul@itsec.gov.cn

原文链接:
https://mp.weixin.qq.com/s/EhgXSnOAlIgdq8_dOuzZtA

Palo Alto紧急修复多个严重的防火墙劫持漏洞

据SecurityWeek报道,Palo Alto公司日前发布了安全补丁更新,以修复Expedition客户迁移工具中发现的5个较严重安全漏洞,这些漏洞可能危及PAN-OS防火墙设备应用安全型。

派拓网络官方通告显示,本次修复的漏洞主要包括:

  • 两个较严重的操作系统命令注入问题(编号为CVE-2024-9463,CVE-2024-9464),一旦被利用,就会暴露防火墙的用户名、明码密码、API密钥以及配置;
  • 一个严重的SQL注入漏洞(编号为CVE-2024-9465),该漏洞可用于危及Expedition数据库中的用户名和密码哈希;
  • 修复了CVE-2024-9466和CVE-2024-9467这两个严重漏洞,这两个漏洞可分别用于泄露敏感的防火墙信息和执行恶意JavaScript实施网络钓鱼入侵。

针对以上漏洞, Palo Alto官方已经发布了漏洞修复版本,建议相关组织立即更新到安全版本:Palo Alto Networks Expedition >= 1.2.96

下载链接:
https://live.paloaltonetworks.com/t5/expedition/ct-p/migration_tool

CISA就飞塔网络RCE漏洞利用情况发布风险提示

美国网络安全和基础设施安全局(CISA)日前就飞塔网络产品中编号为CVE-2024-23113的远程代码执行(RCE)漏洞发布了紧急安全提醒。通报显示,攻击者已在大肆利用该漏洞,这将对使用相关飞塔软件的组织构成重大安全风险。

据介绍,CVE-2024-23113是一个格式字符串漏洞,影响飞塔的多款产品,包括FortiOS、FortiPAM、FortiProxy和FortiWeb等。该漏洞源自在fgfmd守护进程中使用外部控制的格式字符串,该守护进程负责处理身份验证请求,并管理keep-alive消息。该漏洞允许未经身份验证的远程攻击者通过特制请求在未打补丁的设备上执行任意代码或命令。

飞塔公司目前已发布补丁来修复该漏洞,强烈建议组织将系统升级到最新版本。除了打补丁外,管理员还应该考虑实施网络分段和访问控制,以限制潜在的攻击途径。在打补丁之前,取消对所有接口的fgfm访问是权宜之计。

原文链接:

https://cybersecuritynews.com/fortinet-rce-vulnerability-exploited/

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章