要聞速覽

1、《個人信息保護合規(guī)審計管理辦法》發(fā)布，5月起施行

2、國家公共數(shù)據(jù)資源登記平臺3月1日上線運行

3、ChatGPT Operator 遭提示注入攻擊，泄露用戶隱私數(shù)據(jù)

4、馬斯克DOGE網(wǎng)站被黑，驚現(xiàn)“這是一個.gov網(wǎng)站的笑話”

5、小天才手表遭陌生號強綁監(jiān)護人？二次放號或成隱私泄露重災區(qū)

6、雅虎再曝數(shù)據(jù)泄露：60萬郵箱賬戶暗網(wǎng)兜售

一周政策要聞

《個人信息保護合規(guī)審計管理辦法》發(fā)布，5月起施行

近日，國家互聯(lián)網(wǎng)信息辦公室公布《個人信息保護合規(guī)審計管理辦法》（以下簡稱《辦法》），自2025年5月1日起施行。

國家互聯(lián)網(wǎng)信息辦公室有關負責人表示，《中華人民共和國個人信息保護法》《網(wǎng)絡數(shù)據(jù)安全管理條例》對個人信息處理者開展個人信息保護合規(guī)審計作了規(guī)定，《辦法》對合規(guī)審計活動的開展、合規(guī)審計機構(gòu)的選擇、合規(guī)審計的頻次、個人信息處理者和專業(yè)機構(gòu)在合規(guī)審計中的義務等作出細化規(guī)定，旨在為個人信息處理者開展個人信息保護合規(guī)審計提供系統(tǒng)性、針對性、可操作性的規(guī)范，提升個人信息處理活動合法合規(guī)水平，保護個人信息權(quán)益。

《辦法》以附件形式提供了《個人信息保護合規(guī)審計指引》，對個人信息保護相關法律、行政法規(guī)的關鍵要點作了梳理，從合規(guī)審計的角度進行了細化。個人信息處理者自行開展或者按照履行個人信息保護職責的部門要求委托專業(yè)機構(gòu)開展個人信息保護合規(guī)審計，應當參照《個人信息保護合規(guī)審計指引》。

國家公共數(shù)據(jù)資源登記平臺3月1日上線運行

 2月18日，國家數(shù)據(jù)局舉行新聞發(fā)布會，介紹公共數(shù)據(jù)開發(fā)利用最新情況。國家數(shù)據(jù)局副局長陳榮輝在會上表示，國家公共數(shù)據(jù)資源登記平臺將于3月1日正式上線試運行。

陳榮輝介紹，在登記平臺建設方面，全國登記平臺體系建設按照“一個標準，兩級平臺”的思路開展。國家數(shù)據(jù)局制訂統(tǒng)一的登記技術和業(yè)務標準，負責建設國家登記平臺，確保與各省級平臺對接，實現(xiàn)登記信息互聯(lián)互通和統(tǒng)一賦碼。各省級數(shù)據(jù)管理部門牽頭建設省級登記平臺。

目標是在今年年內(nèi)構(gòu)建起職責明確、分工負責、運轉(zhuǎn)有序的全國公共數(shù)據(jù)資源登記體系。

消息來源：中國政府網(wǎng) https://www.gov.cn/lianbo/bumen/202502/content_7004272.htm

業(yè)內(nèi)新聞速覽

警惕！利用AI深度偽造視頻的新型“自騙”攻擊浪潮來襲

近日，一種名為“自騙”的新型攻擊手段正在瞄準加密貨幣愛好者和金融交易者。這種攻擊利用AI生成的深度偽造（Deepfake）視頻和惡意腳本，標志著社交工程技術的一次危險升級。網(wǎng)絡安全公司Gen Digital的研究人員發(fā)現(xiàn)，該攻擊活動通過利用經(jīng)過驗證的YouTube頻道、合成人物形象以及AI制作的惡意載荷，誘使受害者主動破壞自己的系統(tǒng)。

攻擊手段：深度偽造視頻結(jié)合惡意腳本

這種攻擊在2024年第三季度激增了614%，它結(jié)合了尖端的深度偽造技術和心理定制的誘餌，引發(fā)了人們對生成式AI在網(wǎng)絡犯罪中被武器化的高度關注。攻擊通常從一個托管在已被劫持的YouTube頻道上的深度偽造視頻開始，該頻道擁有11萬訂閱者。視頻中出現(xiàn)一個名為“Thomas Harris”或“Thomas Roberts”的合成人物形象，通過高級的面部動畫、語音合成和身體動作復制技術創(chuàng)建。

從深度偽造到PowerShell惡意載荷

攻擊的核心在于其使用AI生成的腳本，旨在繞過用戶的懷疑。受害者被引導打開Windows的運行對話框（Win+R），并執(zhí)行一個PowerShell命令，從Pastefy[.]com或Obin[.]net等粘貼分享網(wǎng)站獲取惡意腳本。

研究人員解密的一例代表性載荷顯示，攻擊者甚至使用ChatGPT優(yōu)化了他們的代碼：

該腳本連接到命令與控制（C&C）服務器（最近被追蹤為developer-update[.]dev或developerbeta[.]dev），以部署Lumma Stealer或NetSupport遠程訪問工具。

Lumma Stealer會竊取加密貨幣錢包和瀏覽器憑證，而NetSupport則授予攻擊者對其系統(tǒng)的完全控制權(quán)。取證分析揭示了關鍵組件的SHA-256哈希值，包括：

• a5e0635363bbb5d22d5ffc32d9738665942abdd89d2e6bd1784d6a60ac521797（惡意PowerShell腳本）
• 2fe60aa1db2cf7a1dc2b3629b4bbc843c703146f212e7495f4dc7745b3c5c59e（Lumma Stealer變種）

隨著網(wǎng)絡犯罪分子現(xiàn)在能夠自動化人物創(chuàng)建和腳本優(yōu)化，通過多種渠道驗證數(shù)字指令已成為一項不可或缺的安全實踐。

消息來源：FREEBUFhttps://www.freebuf.com/articles/network/422271.html

馬斯克DOGE網(wǎng)站被黑，驚現(xiàn)“這是一個.gov網(wǎng)站的笑話”

近日，埃隆·馬斯克的政府效率部(DOGE)推出的網(wǎng)站被發(fā)現(xiàn)存在重大安全漏洞，允許未經(jīng)授權(quán)的用戶直接修改網(wǎng)站內(nèi)容，引發(fā)了人們對DOGE安全實踐的質(zhì)疑。

DOGE網(wǎng)站于今年1月上線，旨在展示該部門削減政府開支的努力。然而數(shù)周以來，該網(wǎng)站基本處于閑置狀態(tài)，只有三行文字和一個卡通標志。直到上周，網(wǎng)站才得到進一步開發(fā)。該網(wǎng)站從Cloudflare Pages站點獲取數(shù)據(jù)，底層代碼在那里部署。兩名網(wǎng)頁開發(fā)專家發(fā)現(xiàn)，doge.gov網(wǎng)站連接到一個可被第三方訪問和修改的數(shù)據(jù)庫。這使任何人都能進行未經(jīng)授權(quán)的修改，并在正式網(wǎng)站上顯示。該漏洞很快就被利用，有人在網(wǎng)站主頁發(fā)布了諷刺性的信息。其中一條寫著"這是一個.gov網(wǎng)站的笑話。"另一條則是"這些'專家'讓他們的數(shù)據(jù)庫暴露了。"這些信息在網(wǎng)站上停留了數(shù)小時。專家指出，該網(wǎng)站似乎是匆忙構(gòu)建的，頁面源代碼中存在許多錯誤和暴露的敏感信息。

目前，DOGE團隊已解決了網(wǎng)站問題，刪除了有爭議的信息。然而，此事引發(fā)了人們對該部門處理敏感數(shù)據(jù)和維護安全系統(tǒng)的能力的質(zhì)疑。據(jù)報道，在被黑之前，DOGE網(wǎng)站曾公布過機密情報數(shù)據(jù)。

消息來源：GoUpSec https://mp.weixin.qq.com/s/qwlYui7rnfg8goybl-6mpA

小天才手表遭陌生號強綁監(jiān)護人？二次放號或成隱私泄露重災區(qū)

近日，重慶一位家長在社交平臺發(fā)布視頻稱，其孩子的小天才電話手表（型號ZZ8少年版）被陌生號碼申請為監(jiān)護人，并在家長拒絕綁定后仍成功關聯(lián)。該陌生人不僅可查看孩子實時定位，還能發(fā)送語音信息，引發(fā)公眾對這類兒童智能設備安全性的強烈關注。據(jù)該家長回憶稱，盡管她在后臺拒絕了綁定申請，但系統(tǒng)仍顯示綁定成功。家長質(zhì)疑稱，手表從未丟失，綁定碼也未泄露，且最高權(quán)限僅自己擁有，因此對綁定機制的安全性提出疑問。小天才客服最初回應，可能是對方通過綁定碼完成操作，但未解釋具體漏洞。

2月16日，該家長在社交平臺進一步更新了事件后續(xù)，稱“自己本身出了一個紕漏”，回憶曾將孩子手表綁定至一個不常用的手機號，后因忘記解綁，該號碼被運營商回收并流入市場。新號主（一名女子）恰好為小天才用戶，誤將丈夫添加為監(jiān)護人，導致其丈夫向孩子發(fā)送語音。經(jīng)警方核實，該號碼確系“二次放號”引發(fā)的問題。盡管如此，這一事件仍暴露了小天才手表在用戶信息管理和解綁流程上的潛在漏洞。

消息來源：安全內(nèi)參https://www.secrss.com/articles/75853

雅虎再曝數(shù)據(jù)泄露：60萬郵箱賬戶暗網(wǎng)兜售

近日，網(wǎng)絡安全領域再起波瀾，雅虎公司被卷入一起嚴重的數(shù)據(jù)泄露事件。據(jù)外媒報道，一名化名為“exelo”的黑客在暗網(wǎng)論壇上兜售一個包含602,800個雅虎郵箱賬戶的數(shù)據(jù)庫。該黑客聲稱這些數(shù)據(jù)是“私密且非俄羅斯來源的”，并以100美元的價格出售整個數(shù)據(jù)庫，同時提供50,000個賬戶的免費樣本供潛在買家測試。

這起事件引發(fā)了廣泛關注，因為此類數(shù)據(jù)泄露往往包含用戶的敏感信息，如用戶名、加密密碼、出生日期和備用電子郵件地址等。

網(wǎng)絡安全專家提醒，舊的數(shù)據(jù)集有時會被重新包裝，并在暗網(wǎng)市場上以“新數(shù)據(jù)”的名義出售給不知情的買家。如果此次泄露事件屬實，可能會對受影響的用戶產(chǎn)生嚴重后果，包括增加撞庫攻擊風險、網(wǎng)絡釣魚攻擊以及身份盜用等。

為防止?jié)撛诘馁~戶安全風險，雅虎用戶應立即采取以下措施：

• 更改密碼：更新雅虎賬戶密碼，并確保密碼的唯一性和強度。避免在不同平臺上重復使用相同密碼。
• 啟用雙重認證（2FA）：通過添加額外的安全層，即使憑據(jù)被泄露，也可以防止未經(jīng)授權(quán)的訪問。

消息來源：看雪學苑https://mp.weixin.qq.com/s/Idd75a_NKgmMoRjGDm_ODg

來源:本安全周報所推送內(nèi)容由網(wǎng)絡收集整理而來，僅用于分享，并不意味著贊同其觀點或證實其內(nèi)容的真實性，部分內(nèi)容推送時未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請原作者聯(lián)系我們，我們會盡快刪除處理，謝謝！