国 内
1. 《陕西省大数据条例》正式通过
9月29日,《陕西省大数据条例》(以下简称《条例》)经省十三届人大常委会第三十六次会议表决通过,将于2023年1月1日起施行。《条例》共八章八十一条,立足陕西发展实际,重点在基础设施、数据资源、开发应用、产业发展和安全保障等方面进行了明确规定。
在网络安全方面,《条例》规定,关键信息基础设施运营者依照有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
国 际
1. 英特尔确认Alder Lake芯片代码遭到泄露
英特尔公司证实,Alder Lake芯片代码已被泄露。上周,未知第三方在4chan和GitHub上发布了相关源代码,其中包括英特尔公司第12代处理器Alder Lake的统一可扩展固件接口(UEFI)代码,这距离该处理器的发布时间2021年11月还不足一年。除了UEFI接口代码外,泄露的数据还包括大量文件和软件工具。
英特尔公司在声明中称,本次芯片源代码泄露并不会暴露任何新的安全漏洞,同时也鼓励安全研究团体通过英特尔的漏洞赏金计划上报任何发现的问题。目前GitHub存储库上的源代码已被移除,英特尔方面尚不能确认黑客来源和攻击活动的具体细节。
近两年以来,三星、微软AMD、英特尔、英伟达等大型科技公司都成为黑客组织的攻击目标。今年2月初,LAPSUS$勒索组织入侵了英伟达公司并窃取了1TB的敏感数据。
2. 黑客组织利用NPM存储库分发恶意软件包
Checkmarx软件安全公司在NPM开源存储库中发现了199个恶意软件包,这些软件包能够窃取用户的信用卡数据以及游戏和流媒体账号,目前已被下载安装数千次。
网络安全研究人员将这些恶意软件包归咎于LofyGang黑客组织。该黑客组织被认为是源自巴西的网络犯罪组织,且一直在黑客论坛上宣传他们研发的带有隐藏后门的黑客工具。此次发现的恶意软件包嵌入了密码窃取器和其它恶意软件,并通过不同的用户账户发布,从而提升恶意软件包在NPM库内的生存能力。
研究人员称,黑客组织越来越多的将攻击对象瞄准开源生态系统,此前GitHub也曾被黑客用于发布和嵌入恶意代码。开源代码库的开放性和可信度高,受到广大开发者的信任和依赖,这也便于黑客扩大攻击范围和提高攻击成功率。
3. 黑客利用币安跨链桥漏洞窃取1亿美元加密货币
币安加密货币交易所区块链BNB Chain存在一个跨链桥漏洞,黑客成功利用该漏洞窃取了约1亿美元的数字货币。
根据币安区块链负责人的说法,币安信标链和智能链之间的原生跨链桥(BSC Token Hub)存在一个漏洞,导致黑客可以攻击跨链桥,从而使数字资产和信息在独立的区块链之间转移。在此次攻击活动中,黑客成功利用该漏洞非法制造出200万枚新的币安代币,并通过借贷协议将其中的部分假币抵押,成功借出价值1亿美元的其它加密货币。受该事件影响,币安智能链和相关交易暂时关闭。
4. 超400多款恶意程序盗窃Facebook用户登录信息
Facebook公司透露称在安卓和苹果设备中发现400多款恶意应用程序,这些程序能够窃取Facebook用户登录信息。
Facebook发布报告称,这些恶意应用程序挂载在Google Play和App Store应用商店内,伪装成照片编辑器、游戏、VPN服务等实用程序,诱骗用户下载和安装。这400多款恶意程序中,42.6%的程序是照片编辑器。除了将恶意程序伪装成看似无害的应用,这些程序运营商还在应用商店内发布虚假评论,旨在抵消一些用户的负面评论。这些程序最终通过“使用Facebook登录”的提示按钮来窃取用户输入的登录凭证。如果用户账号被盗,攻击者能够获得对账号的完全访问权限,从而开展信息诈骗或网络钓鱼攻击。
5. 谷歌推出新一代无密码登录服务
谷歌于10月12日正式推出了面向安卓和Chrome浏览器的新一代身份验证标准密钥服务。新一代密钥是密码和其他身份验证因素的更安全的替代品,它不能重复使用,也不会在服务器漏洞中泄露,能够保护用户免受网络钓鱼攻击。
新一代密钥功能由FIDO联盟建立,于2022年5月首次宣布,得到了苹果、谷歌和微软等公司的大力支持。该密钥功能允许用户选择自己的手机等设备作为主要的身份验证设备,之后可通过指纹、面部识别或PIN码登录应用程序或网站。生成的密钥将安全存储在设备密码管理器并同步到云端服务器,其它开发人员可使用WebAuthn API在其网站上使用谷歌密钥服务。
新一代无密码登录服务具有更强的安全性,可防止黑客暴力破解密码或通过网络钓鱼窃取密码。在2023年底之前,Windows、macOS、iOS以及Safari浏览器也将提供无密码授权功能。