专栏名称: 网空闲话plus

原《网空闲话》。主推网络空间安全情报分享，安全意识教育普及，安全文化建设培育。将陆续推出网安快讯、网安锐评、网安政策、谍影扫描、APT掠影、密码技术、OT安全等专集。

5th域安全微讯早报【20241025】257期

网空闲话plus · 公众号 · · 2024-10-25 07:28

正文

2024-10-25 星期五 Vol-2024-257

今日热点导读

1 . 美国商务部提议汽车经销商展示隐私标签

2. 英国新数据保护法案旨在促进经济增长

3. 美国政府发布人工智能发展优势计划

4. LinkedIn 因未经同意使用会员数据被罚款 3.35 亿美元

5. 美国参议员质问域名公司在俄罗斯虚假宣传中的责任

6. 保险公司管理公司 Landmark Admin 数据泄露影响 80 万人

7. 格鲁吉亚议会选举前虚假信息研究员遭突袭

8. GitLab 修复导致 XSS 攻击的严重 HTML 注入漏洞

9. 思科 ASA 软件现严重 SSH 远程命令注入漏洞

10. 美国消费者金融保护局警告行业慎用人工智能监控工具

1 1 . 英国最高法院允许起诉沙特政府使用间谍软件

12. 美国悬赏1000万美元追缉伊朗黑客组织

13. 苹果开放私有云计算以供公共安全检查

14. HYPR揭露雇佣欺诈性IT员工事件

15. 在天空环球的阴影下：美国正在欧洲秘密搜捕数百万人

16. Henry Schein在勒索软件攻击一年后披露数据泄露

17. Pwn2Own爱尔兰站第二天：三星Galaxy S24和Sonos Era被黑

18. 思科披露ASA和FTD VPN软件严重漏洞正遭利用

19. Nvidia修复Windows和Linux图形驱动程序中的多个高危漏洞

20. “hnb659fds”：一个危险的习惯，却成为访问AWS的关键

备注: 第11-20条资讯为订阅用户专享！（更多信息，欢迎订阅！）

资讯详情

政策法规

1. 美国商务部提议汽车经销商展示隐私标签

【The Record网站10月25日消息】美国商务部物联网小组呼吁政府机构和国会要求汽车经销商在车辆上显著位置展示隐私披露标签，作为对物联网设备隐私保护建议的一部分。该报告由商务部物联网咨询委员会发布，建议在车辆的Monroney标签上提供易于理解的隐私披露，包括车辆是否收集个人数据、数据是否被出售以及是否可以选择不收集数据。报告还建议标签上应包含链接到在线隐私政策的二维码。此举旨在加强消费者保护，解决对汽车物联网设备使用和共享个人数据的担忧。报告还提出整个行业应提供通用的退出选项，让消费者更容易管理各种物联网设备上的隐私设置。汽车行业最大的游说团体汽车创新联盟反对隐私贴纸建议，但咨询委员会在评估了标签对消费者隐私的积极影响后，决定采纳该建议。

2. 英国新数据保护法案旨在促进经济增长

【The Record网站10月24日消息】英国政府向议会提交了新的《数据使用和访问法案》，预计该法案将在未来十年内为英国经济带来高达100亿英镑的增长。该法案提出了对英国隐私制度的改革，以适应数字经济的发展。改革内容包括简化数据共享流程，提高公共服务效率，以及支持数字身份服务和国家地下资产登记册的建立。政府预计，通过减少官僚主义和提高数据质量，可以节省大量成本，例如在警务和国家医疗服务体系(NHS)中。此外，法案还计划加强数据保护监管机构的权力，以提高其调查和监管能力。尽管有担忧认为合规成本的增加可能削弱经济利益，但新法案被认为在维护高数据保护标准和推动必要改革之间取得了平衡。

3. 美国政府发布人工智能发展优势计划

【The Record网站10月24日消息】拜登政府发布了首份关于人工智能的国家安全备忘录，旨在推动联邦机构更多采用人工智能技术，以保持美国在人工智能领域相对于中国等国家的优势。备忘录强调了保护先进计算硬件供应链、成立联邦人工智能安全研究所、为国家安全任务中的人工智能提供治理和风险管理指导，以及评估美国私营部门在人工智能发展方面的表现。政府官员表示，人工智能在国家安全方面有明确应用，包括网络安全和反情报等领域。此外，备忘录还提到了需要制定国际规范以反映民主价值观，并指导行动以追踪和打击对手为国家安全目的对人工智能的开发和使用。尽管面临数据使用、监管缺失等问题，政府官员认为联邦机构采用人工智能将有助于解决这些问题，并为未来的最佳实践提供指导。

安全事件

4. LinkedIn因未经同意使用会员数据被罚款3.35亿美元

【The Record网站10月24日报道】爱尔兰数据保护委员会(DPC)对社交媒体平台LinkedIn处以3.1亿欧元（约3.35亿美元）的罚款，原因是其涉嫌在未经会员同意的情况下使用会员数据进行广告定位。DPC表示，LinkedIn在处理用户数据进行行为分析和定向广告时违反了欧盟《通用数据保护条例》(GDPR)。LinkedIn被指在没有透明度或未经同意的情况下不公平地处理数据，违反了法律。这笔罚款是有史以来针对违反GDPR的科技公司征收的最高罚款之一。LinkedIn坚称自己并未违反GDPR，但仍在努力满足DPC的变更要求。DPC的声明中指出，LinkedIn获得的同意不是自愿的、信息充分的、具体的或明确的。此案件的调查始于2018年，当时法国监管机构提出索赔，DPC接手调查因其负责监管微软。

5. 美国参议员质问域名公司在俄罗斯虚假宣传中的责任

【The Record网站10月25日消息】美国参议员马克·沃纳向Cloudflare、GoDaddy、Verisign等六大互联网域名公司首席执行官发出信函，质询其在俄罗斯虚假宣传网络中所扮演的角色。沃纳指出，这些公司为俄罗斯的“分身”网络提供了域名注册服务，该网络模仿主流新闻媒体传播虚假信息，特别是在大选前夕。沃纳警告，如果不采取行动，国会可能会通过立法加强监管。司法部的报告表明，俄罗斯利用这些域名进行虚假信息活动，冒充知名网站，试图影响选举进程。

6. 保险公司管理公司Landmark Admin数据泄露影响80万人

【The Record网站10月25日消息】保险公司管理公司Landmark Admin透露，5月份的网络攻击导致超过80万人的敏感信息被泄露。泄露的信息包括姓名、社会安全号码、税务识别号码，以及部分人的驾驶执照号码、护照号码、银行账户信息、路由号码和医疗信息。Landmark Admin是Liberty Bankers Insurance Group等保险公司的第三方管理人。5月13日，公司IT团队发现可疑活动，随后断开受影响系统并聘请第三方网络安全公司进行调查。调查显示，黑客未经授权访问了Landmark的网络，数据被加密并泄露。黑客从5月13日至6月17日持续入侵系统。Landmark仍在调查此事件，并已开始发送违规通知信。公司在攻击后采取了多项措施强化系统，并为受害者提供为期一年的信用监控服务。受影响人数总计为806,519人。

7. 格鲁吉亚议会选举前虚假信息研究员遭突袭

【The Record网站10月24日消息】格鲁吉亚当局在即将举行的议会选举前，突袭了两名亚特兰大理事会虚假信息研究员Eto Buziashvili和Sopo Gelava的住所，扣押了她们及家属的电子设备。据报道，Buziashvili刚发表文章揭露克里姆林宫通过支持现任政府干预格鲁吉亚选举。这一行动引发了对研究员安全及其数据保护的担忧。亚特兰大理事会副总裁格雷厄姆·布鲁基对此表示严重关切，呼吁格鲁吉亚当局尽快归还设备，保障员工的安全及工作自由。此次突袭还涉及了当地外包公司Concentrix及其他个人，格鲁吉亚财政部在社交媒体上声称突袭与涉嫌非法活动的“呼叫中心”有关。选举前，格鲁吉亚正面临政府亲俄与反对派亲西方之间的激烈对抗。此外，格鲁吉亚最近爆发了反对非政府组织注册为“外国代理人”法案的抗议，法案被批评为打压公民社会，并受到西方国家和欧盟的反对。

漏洞预警

8. GitLab修复导致XSS攻击的严重HTML注入漏洞

【Cybersecuritynews网站10月24日报道】GitLab发布了针对其社区版（CE）和企业版（EE）的新补丁版本17.5.1、17.4.3和17.3.6，修复了可能导致跨站点脚本（XSS）攻击的严重HTML注入漏洞。该漏洞影响从15.10版本至新补丁发布前的所有版本，允许攻击者在差异视图的搜索字段中注入恶意HTML，执行XSS攻击，危及用户敏感数据和账户安全。漏洞编号为CVE-2024-8312，CVSS评分为8.7，表明其高影响力和易利用性。GitLab感谢安全研究员joaxcar通过HackerOne漏洞赏金计划发现此漏洞，并强烈建议运行受影响版本的用户立即升级。此外，更新还解决了与XML清单文件导入相关的中等严重程度的拒绝服务（DoS）漏洞。GitLab承诺定期发布更新和针对严重漏洞的临时补丁，以维护高安全标准，并建议用户定期更新安装至最新支持版本。

9. 思科ASA软件现严重SSH远程命令注入漏洞

【Cybersecuritynews网站10月24日报道】思科自适应安全设备（ASA）软件中存在一个严重漏洞，允许经过身份验证的远程攻击者以root用户身份执行命令，完全控制受影响系统。该漏洞位于Cisco ASA软件的SSH子系统中，由于用户输入验证不足，攻击者可以通过SSH执行远程CLI命令时注入恶意HTML，引发XSS攻击。漏洞影响所有从版本15.10起至新补丁发布前的ASA软件版本。思科已发布软件更新修复此漏洞，并建议用户尽快应用更新。对于无法立即更新的用户，思科提供了一个变通方法：禁用CiscoSSH堆栈。此外，思科还提供了软件检查工具帮助用户识别安全公告并确定最早可用的修复版本。此漏洞的发现强调了维护最新安全措施和软件补丁的重要性，使用受影响思科产品的组织应立即采取行动保护系统。

风险预警

10. 美国消费者金融保护局警告行业慎用人工智能监控工具

【The Record网站10月25日消息】美国消费者金融保护局（CFPB）向企业发出警告，禁止滥用数字监控和人工智能工具监视员工。根据《公平信用报告法》（FCRA），企业在使用第三方监控数据时必须征得员工同意，并允许员工对不准确的信息提出异议。CFPB局长罗希特·乔普拉强调，人工智能收集的数据被用于员工评分或雇佣决策可能带来隐私风险和职业不公。与CFPB局长一起发表声明的劳工部长朱莉·苏也呼吁限制工作场所监控的范围，确保数据使用负责任。

往期推荐

5th域安全微讯早报【20241025】257期

正文

请到「今天看啥」查看全文