要聞速覽

1、國家數(shù)據(jù)局、中央網(wǎng)信辦、工業(yè)和信息化部、公安部、國務(wù)院國資委印發(fā)《關(guān)于促進企業(yè)數(shù)據(jù)資源開發(fā)利用的意見》

2、聯(lián)大通過《聯(lián)合國打擊網(wǎng)絡(luò)犯罪公約》

3、警惕！“銀狐”木馬新變種直接通過微信群傳播含病毒壓縮包文件

4、賬號和密鑰明文存儲，AI平臺1.29T數(shù)據(jù)庫裸奔

5、平安夜不平安，美國航空因軟件故障致旗下全美航班停飛

6、一美分下單！這個外賣應(yīng)用API漏洞差點讓麥當勞虧大了

一周政策要聞

國家數(shù)據(jù)局、中央網(wǎng)信辦、工業(yè)和信息化部、公安部、國務(wù)院國資委印發(fā)《關(guān)于促進企業(yè)數(shù)據(jù)資源開發(fā)利用的意見》

為充分釋放企業(yè)數(shù)據(jù)資源價值，構(gòu)建以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟，近日，國家數(shù)據(jù)局聯(lián)合中央網(wǎng)信辦、工業(yè)和信息化部、公安部、國務(wù)院國資委印發(fā)了《關(guān)于促進企業(yè)數(shù)據(jù)資源開發(fā)利用的意見》（以下簡稱《意見》）。

《意見》以習(xí)近平新時代中國特色社會主義思想為指引，貫徹黨的二十大及后續(xù)全會精神，推動高質(zhì)量發(fā)展，平衡數(shù)據(jù)發(fā)展與安全。其核心為深化數(shù)據(jù)要素市場化改革，激發(fā)企業(yè)創(chuàng)新活力，健全數(shù)據(jù)權(quán)益機制，分類推進數(shù)據(jù)資源開發(fā)，提升企業(yè)競爭力，促進產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型，提升治理與公共服務(wù)效能，為高質(zhì)量發(fā)展提供支撐。具體從健全企業(yè)數(shù)據(jù)權(quán)益實現(xiàn)機制、培育企業(yè)數(shù)字化競爭力、賦能產(chǎn)業(yè)轉(zhuǎn)型升級、服務(wù)經(jīng)濟社會高質(zhì)量發(fā)展、營造開放透明可預(yù)期的發(fā)展環(huán)境等五個方面作出部署。

聯(lián)大通過《聯(lián)合國打擊網(wǎng)絡(luò)犯罪公約》

聯(lián)合國大會12月24日以一致同意的方式通過具有法律約束力的《聯(lián)合國打擊網(wǎng)絡(luò)犯罪公約》，旨在加強國際合作，預(yù)防和打擊網(wǎng)絡(luò)犯罪。

聯(lián)合國秘書長古特雷斯對此表示歡迎并指出，這是20多年來經(jīng)談判達成的首個國際刑事司法條約，這項條約表明多邊主義在困難時期取得了成功，反映了會員國加強國際合作以預(yù)防和打擊網(wǎng)絡(luò)犯罪的集體意愿。

公約將于2025年在越南首都河內(nèi)舉行的正式儀式上開放簽署，并將在第40個簽署國批準后90天生效。

消息來源：央廣網(wǎng)https://news.cnr.cn/native/gd/kx/20241225/t20241225_527020458.shtml

業(yè)內(nèi)新聞速覽

警惕！“銀狐”木馬新變種直接通過微信群傳播含病毒壓縮包文件

近日，國家計算機病毒應(yīng)急處理中心和計算機病毒防治技術(shù)國家工程實驗室依托國家計算機病毒協(xié)同分析平臺（https://virus.cverc.org.cn）在我國境內(nèi)再次捕獲針對我國用戶的“銀狐”木馬病毒的最新變種。在本次傳播過程中，攻擊者繼續(xù)構(gòu)造財務(wù)、稅務(wù)違規(guī)稽查通知等主題的釣魚信息和收藏鏈接，通過微信群直接傳播包含該木馬病毒的加密壓縮包文件。

圖中名為“筆記”等字樣的收藏鏈接指向文件名為“違規(guī)-記錄（1）.rar”等壓縮包文件，用戶按照釣魚信息給出的解壓密碼解壓壓縮包文件后，會看到以“開票-目錄.exe”“違規(guī)-告示.exe”等命名的可執(zhí)行程序文件。這些可執(zhí)行程序?qū)嶋H為“銀狐”遠控木馬家族于12月更新傳播的最新變種程序。如果用戶運行相關(guān)惡意程序文件，將被攻擊者實施遠程控制、竊密等惡意操作，并可能被犯罪分子用來充當進一步實施電信網(wǎng)絡(luò)詐騙活動的“跳板”。

本次發(fā)現(xiàn)的新變種還具有主動攻擊安全軟件的功能，試圖通過模擬用戶鼠標鍵盤操作關(guān)閉防病毒軟件。

臨近年末，國家計算機病毒應(yīng)急處理中心再次提示廣大企事業(yè)單位和個人網(wǎng)絡(luò)用戶提高針對各類電信網(wǎng)絡(luò)詐騙活動的警惕性和防范意識，不要輕易被犯罪分子的釣魚話術(shù)所誘導(dǎo)。

消息來源：國家計算機病毒應(yīng)急處理中心https://mp.weixin.qq.com/s/QPvATUs-1BX0AhF1Iw0e2A

賬號和密鑰明文存儲，AI平臺1.29T數(shù)據(jù)庫裸奔

近日，網(wǎng)絡(luò)安全研究員Jeremiah Fowler透露，一家總部位于英國倫敦的人工智能開發(fā)平臺Builder.ai，由于數(shù)據(jù)庫配置錯誤，該平臺遭遇了重大數(shù)據(jù)泄露事件，共計泄露數(shù)據(jù)超過300萬條，1.29TB。

Builder.ai是一家提供AI驅(qū)動軟件開發(fā)平臺的公司。Builder.ai可以與Microsoft Dataverse以及各種云數(shù)據(jù)源（如SharePoint、OneDrive或Azure）集成，方便用戶訪問和管理業(yè)務(wù)數(shù)據(jù)。

根據(jù)Fowler在Website Planet的報告，在300多萬條記錄中，包含可識別個人身份的信息，例如姓名、電子郵件地址、電話號碼及實際地址。數(shù)據(jù)庫還記錄了項目細節(jié)，包括正在進行和已完成的軟件開發(fā)計劃、客戶互動記錄及時間表。這些信息可能導(dǎo)致知識產(chǎn)權(quán)泄露，進而被惡意行為者或競爭對手利用。

除了客戶數(shù)據(jù)，數(shù)據(jù)庫還暴露了Builder.ai員工之間的內(nèi)部通信。敏感信息包括客戶成本提案、保密協(xié)議、發(fā)票、稅務(wù)文件、內(nèi)部溝通記錄、秘密訪問密鑰、客戶個人信息以及電子郵件往來的截圖。

更糟糕的是，Builder.ai 應(yīng)急響應(yīng)流程十分遲緩。在研究人員通知后，Builder.ai花了整整一個月才保護數(shù)據(jù)庫，并稱“復(fù)雜的系統(tǒng)依賴”是延遲的原因。盡管解釋不夠明確，但這表明數(shù)據(jù)庫曝光可能涉及第三方承包商。

消息來源：FREEBUF  https://www.freebuf.com/news/418279.html

平安夜不平安，美國航空因軟件故障致旗下全美航班停飛

圣誕節(jié)前，原本是旅客出行最為繁忙的時段，但美國航空領(lǐng)域卻在此時遭遇了一場突如其來的風(fēng)波。據(jù)路透社、雅虎新聞等媒體消息，美國聯(lián)邦航空管理局（FAA）突然宣布，美國航空公司（American Airlines）12月24日全國范圍內(nèi)停飛所有航班。
隨后，美國航空公司迅速在社交平臺上發(fā)文稱，指出該公司所有航班正在經(jīng)歷“技術(shù)問題”，并承諾將全力以赴排除故障。該停飛令大約持續(xù)了一小時左右，目前美國航空航班都已恢復(fù)正常運行。美國航空尚未披露所遇到“技術(shù)問題”的細節(jié)。有消息稱，這一“技術(shù)問題”或為軟件故障造成航空公司無法進行稱重和航班需求測算。據(jù)美國聯(lián)邦航空管理局預(yù)計，12月24日美國共有約3萬個航班起降。對于此次突然大面積停飛的原因，格外引發(fā)外界的關(guān)注。

消息來源：IT之家https://www.ithome.com/0/819/929.htm

一美分下單！這個外賣應(yīng)用API漏洞差點讓麥當勞虧大了

近日，一位安全研究人員發(fā)現(xiàn)麥當勞在印度的外賣App McDelivery 存在多個嚴重漏洞，允許用戶以極低的價格下單，甚至可以竊取他人的訂單和個人信息。

根據(jù)研究人員的報告，McDelivery App 存在多個漏洞，包括：

• 價格操縱漏洞：用戶可以通過修改購物車中的價格參數(shù)，以極低的價格下單。例如，只需支付0.01美元就可以下單。
• 訂單劫持漏洞：黑客可以通過修改訂單的地址ID或用戶ID，將他人的訂單劫持到自己的地址。
• 實時跟蹤漏洞：黑客可以通過修改API請求，實時跟蹤送貨司機的位置和個人信息。
• 敏感數(shù)據(jù)泄露漏洞：用戶可以訪問他人的訂單詳情、下載發(fā)票，甚至可以提交對他人訂單的反饋。
• 司機信息泄露漏洞：黑客可以訪問送貨司機的個人信息，包括姓名、電話號碼、電子郵件、頭像和車牌號碼。
• 管理員數(shù)據(jù)訪問漏洞：用戶可以訪問管理員的關(guān)鍵績效指標（KPI）報告，而無需授權(quán)。

研究人員利用了諸如破損對象級別授權(quán)（BOLA）和大規(guī)模賦值漏洞等技術(shù)，系統(tǒng)性地揭示了McDelivery應(yīng)用的弱點。調(diào)查顯示，這些漏洞不僅是技術(shù)缺陷，更對用戶隱私和麥當勞的聲譽構(gòu)成了真正的威脅。對此，編寫了一份詳細的24頁報告并提交給了McDelivery的漏洞獎勵計劃。麥當勞在90天內(nèi)修復(fù)了所有漏洞，并給予了相應(yīng)獎勵。

消息來源：看雪學(xué)苑https://weibo.com/ttarticle/p/show?id=2309405115172732928167

來源:本安全周報所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來，僅用于分享，并不意味著贊同其觀點或證實其內(nèi)容的真實性，部分內(nèi)容推送時未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請原作者聯(lián)系我們，我們會盡快刪除處理，謝謝！