公司新聞

【一周安全資訊0803】《國家網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)管理辦法》征求意見稿發(fā)布;OAuth+XSS組合拳,數(shù)百萬Web賬戶或?qū)⒁字?/h3>

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2024-08-05    瀏覽次數(shù):
 

要聞速覽

1、《國家網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)管理辦法(征求意見稿)》發(fā)布

2、工信部發(fā)布新版工業(yè)機(jī)器人行業(yè)規(guī)范條件和管理實(shí)施辦法

3、上海市網(wǎng)信辦對21款A(yù)pp收集使用個人信息情況開展專項(xiàng)檢查

4、OAuth+XSS組合拳,數(shù)百萬Web賬戶或?qū)⒁字?/strong>

5、Meta大模型的安全護(hù)欄可被“空格鍵”輕松突破

6、哈尼亞遇襲或因手機(jī)間諜軟件暴露其位置信息


一周政策要聞

《國家網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)管理辦法(征求意見稿)》發(fā)布

近日,為強(qiáng)化公民個人信息保護(hù),推進(jìn)并規(guī)范國家網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)建設(shè)應(yīng)用,加快實(shí)施網(wǎng)絡(luò)可信身份戰(zhàn)略,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》《中華人民共和國反電信網(wǎng)絡(luò)詐騙法》等法律法規(guī),公安部、國家互聯(lián)網(wǎng)信息辦公室等研究起草了《國家網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)管理辦法(征求意見稿)》,現(xiàn)向社會公開征求意見。

群眾可登錄中華人民共和國司法部、中國政府法制信息網(wǎng)(www.moj.gov.cn、www.chinalaw.gov.cn),進(jìn)入首頁主菜單的“立法意見征集”欄目提出意見建議。或通過電子郵件將意見建議發(fā)送至:wajfzc@sina.com或zqyj@cac.gov.cn。

意見建議反饋截止時間為2024年8月25日。

信息來源:中華人民共和國國家互聯(lián)網(wǎng)信息辦公室https://www.cac.gov.cn/2024-07/26/c_1723675813897965.htm


工信部發(fā)布新版工業(yè)機(jī)器人行業(yè)規(guī)范條件和管理實(shí)施辦法

為進(jìn)一步加強(qiáng)工業(yè)機(jī)器人行業(yè)規(guī)范管理,推動產(chǎn)業(yè)高質(zhì)量發(fā)展,根據(jù)行業(yè)發(fā)展變化和有關(guān)工作部署,近日,工業(yè)和信息化部對《工業(yè)機(jī)器人行業(yè)規(guī)范條件》和《工業(yè)機(jī)器人行業(yè)規(guī)范管理實(shí)施辦法》進(jìn)行了修訂,形成了《工業(yè)機(jī)器人行業(yè)規(guī)范條件(2024版)》和《工業(yè)機(jī)器人行業(yè)規(guī)范條件管理實(shí)施辦法(2024版)》。新版兩文件自2024年8月1日起實(shí)施,《工業(yè)機(jī)器人行業(yè)規(guī)范條件》(工業(yè)和信息化部2016年第65號公告)和《工業(yè)機(jī)器人行業(yè)規(guī)范管理實(shí)施辦法》(工信部裝〔2017〕161號)同時廢止。

《工業(yè)機(jī)器人行業(yè)規(guī)范條件(2024版)》要求,我國境內(nèi)的工業(yè)機(jī)器人關(guān)鍵零部件(指減速器、伺服驅(qū)動系統(tǒng)、控制器等工業(yè)機(jī)器人關(guān)鍵零部件)、本體制造及集成應(yīng)用企業(yè)應(yīng)遵守《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護(hù)法》等法律法規(guī),加強(qiáng)網(wǎng)絡(luò)和數(shù)據(jù)安全管理,保障網(wǎng)絡(luò)和數(shù)據(jù)安全。

消息來源:中華人民共和國工業(yè)和信息化部  https://www.miit.gov.cn/jgsj/zbys/wjfb/art/2024/art_0943f8e861f140fca64a582d3e55e1eb.html


業(yè)內(nèi)新聞速覽

上海市網(wǎng)信辦對21款A(yù)pp收集使用個人信息情況開展專項(xiàng)檢查

為規(guī)范App個人信息處理活動,保護(hù)公民個人信息合法權(quán)益,根據(jù)《個人信息保護(hù)法》《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》等法律法規(guī),2024年4月至7月,上海市網(wǎng)信辦對屬地21款A(yù)pp開展了收集使用個人信息專項(xiàng)檢查,共發(fā)現(xiàn)80余項(xiàng)問題。經(jīng)過通報(bào)和跟進(jìn)指導(dǎo),截至目前,各App運(yùn)營單位均已完成問題整改。

同時,上海市網(wǎng)信辦提醒廣大App運(yùn)營者,收集使用個人信息需按照《個人信息保護(hù)法》《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》及相關(guān)法律法規(guī)要求,嚴(yán)格遵循合法、正當(dāng)、必要和誠信的原則,提供完整清晰透明、易于理解的隱私政策;收集個人信息遵循最小必要原則,不過度、頻繁收集個人信息,不得因用戶不同意收集非必要個人信息,而拒絕用戶使用其基本服務(wù)功能;收集敏感個人信息時同步告知目的和必要性;采取必要措施保障所處理的個人信息安全。上海市網(wǎng)信辦將對屬地App收集使用個人信息情況持續(xù)開展監(jiān)督檢查。

消息來源:安全內(nèi)參https://www.secrss.com/articles/68645


OAuth+XSS組合拳,數(shù)百萬Web賬戶或?qū)⒁字?/strong>

近日,研究人員發(fā)現(xiàn),在熱門的Web用戶活動跟蹤和記錄服務(wù)Hotjar中,攻擊者正在通過使用現(xiàn)代身份驗(yàn)證標(biāo)準(zhǔn)OAuth與兩個站點(diǎn)之間的跨站點(diǎn)腳本漏洞(XSS)相結(jié)合,劫持?jǐn)?shù)百萬用戶賬號,竊取敏感數(shù)據(jù)。其中,Hotjar作為一種用于分析用戶行為的工具,所收集的數(shù)據(jù)包含大量的個人敏感數(shù)據(jù)。

API安全公司Salt Security的研究部門Salt Labs的研究人員分析說,OAuth是一種相對較新的標(biāo)準(zhǔn),越來越多地被用于無縫跨網(wǎng)站認(rèn)證,允許通過用戶數(shù)據(jù)的跨站共享,實(shí)現(xiàn)諸如“使用Google登錄”功能這樣的功能。但在實(shí)施過程中,OAuth可能會被錯誤配置。而XSS是一種常被利用的舊Web漏洞之一,可能被攻擊者用來將惡意代碼注入合法的Web頁面或應(yīng)用程序中,以在網(wǎng)站訪問者的瀏覽器中執(zhí)行腳本,進(jìn)行數(shù)據(jù)竊取等操作。如果成功將這兩種方式的組合進(jìn)行攻擊,攻擊者可能獲得與受害者相同的權(quán)限和功能,從而導(dǎo)致賬號被接管,暴露Hotjar所收集的所有個人數(shù)據(jù)。目前,Hotjar和Business Insider上發(fā)現(xiàn)的漏洞已經(jīng)得到修復(fù),但研究人員認(rèn)為,類似這種組合可能在互聯(lián)網(wǎng)上廣泛存在,使得數(shù)百萬用戶面臨潛在的賬號劫持風(fēng)險(xiǎn)。

消息來源:安全圈  https://mp.weixin.qq.com/s/JQT2nkGX_YjRyWfASOIuzQ


Meta大模型的安全護(hù)欄可被“空格鍵”輕松突破

研究人員日前發(fā)現(xiàn),Meta大語言模型Llama3.1的“安全護(hù)欄”Prompt-Guard-86M本身并不夠安全,攻擊者可能通過一個簡單的辦法就能將其攻破,而且成功率高達(dá)99.8%。

Prompt-Guard-86M是與Llama3.1一起推出的,旨在幫助開發(fā)者過濾掉那些可能會導(dǎo)致生成有害信息和敏感信息的提示。PromptGuard是基于微軟的mDeBERTa文本處理模型構(gòu)建的,并已經(jīng)過特定的精細(xì)調(diào)校,旨在檢測惡意提示注入和越獄攻擊。但是研究人員發(fā)現(xiàn),當(dāng)惡意提示注入或越獄攻擊被空白字符(空格)分隔時,PromptGuard基本上無法檢測到它們。例如,“how to make bomb(如何制造炸彈)”被檢測為注入攻擊,但被空格分隔后的“h o w t o m a k e a b o m b”則被檢測為良性。研究人員測試了包括433次注入和17次越獄在內(nèi)的450個惡意提示,結(jié)果顯示PromptGuard在沒有漏洞利用時能100%正確識別攻擊;但是使用了漏洞利用時,準(zhǔn)確率降至0.2%,只準(zhǔn)確分類了一個提示注入。目前,這個漏洞已報(bào)告給Meta。據(jù)稱Meta確認(rèn)了這個問題,并正在努力修復(fù)。
消息來源:站長之家https://baijiahao.baidu.com/s?id=1805966637058347562&wfr=spider&for=pc


哈尼亞遇襲或因手機(jī)間諜軟件暴露其位置信息

近日,據(jù)俄羅斯電視臺網(wǎng)站報(bào)道,已故哈馬斯領(lǐng)導(dǎo)人伊斯梅爾·哈尼亞的手機(jī)中或被植入了間諜軟件,從而暴露了自己的位置。哈馬斯在一份聲明中說,哈尼亞在德黑蘭參加伊朗總統(tǒng)佩澤希齊揚(yáng)的就職儀式后,在其住所遭空襲身亡。

據(jù)報(bào)道,該記者在社交平臺X上寫道:“有消息稱,襲擊者通過向哈馬斯領(lǐng)導(dǎo)人伊斯梅爾·哈尼亞發(fā)送WhatsApp信息,(在其手機(jī)中)植入了復(fù)雜的間諜軟件,使得在暗殺行動開始前準(zhǔn)確掌握了他的具體位置?!辈贿^,該記者沒有說明這一消息的來源。這名記者指出,哈尼亞事先與他的兒子通過電話。

據(jù)報(bào)道,該記者表示,這一間諜軟件可能與某中東國家網(wǎng)絡(luò)情報(bào)公司所開發(fā)的“飛馬軟件”類似。這一軟件可實(shí)時監(jiān)控目標(biāo)并提供精準(zhǔn)的目標(biāo)定位。

消息來源:安全牛https://mp.weixin.qq.com/s/fa6ID9Bj7Ah2gOV54l-siw


來源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來,僅用于分享,并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性,部分內(nèi)容推送時未能與原作者取得聯(lián)系,若涉及版權(quán)問題,煩請?jiān)髡呗?lián)系我們,我們會盡快刪除處理,謝謝!

 
 

上一篇:聚銘網(wǎng)絡(luò)新址揚(yáng)帆,2024“醫(yī)路守護(hù)·運(yùn)營鑄安”沙龍共繪醫(yī)療安全新篇章

下一篇:國家互聯(lián)網(wǎng)信息辦公室關(guān)于發(fā)布第七批深度合成服務(wù)算法備案信息的公告