最新信息安全事件(网络安全事件新闻)

全国人大常委会表决通过了《密码法》。
关键词：密码方法
《中华人民共和国密码法》经中华人民共和国第十三届全国人民代表大会常务委员会第十四次会议于2019年10月26日通过。现予公布，自2020年1月1日起施行。
《密码法》旨在规范密码的应用和管理，促进密码发展，保障网络和信息安全，提高密码管理的科学化、规范化和法制化水平。是我国密码领域的一部综合性、基础性法律。(来源：新华社)
印度政府请求脸书帮助解密印度网络上的用户数据。
关键词：解密数据
印度总检察长最近告诉最高法院，如果国家安全受到威胁，社交媒体公司有责任分享数据。他说，“恐怖分子不能要求隐私，脸书和WhatsApp说他们不能解密是不可接受的。”
脸书的即时通讯应用WhatsApp在印度拥有约4亿用户。它允许用户使用“端到端”加密技术交换文本、照片和视频，而不受调查人员甚至平台本身的监督。
对于一些大型互联网平台，Venugopal表示，考虑到对个人权利和国家完整、主权和安全的威胁越来越大，政府计划制定新的法规来管理社交媒体。他说，“这些平台不能进入一个国家，然后说我们要建立一个不可破译的系统。”(来源：新浪)
英国政府宣布新的主要网络安全伙伴关系
关键词：网络安全合作伙伴
上周，英国政府透露，它正在与芯片制造商Arm合作，并计划投资3600万英镑制造更安全的处理器。政府声称，该项目可以帮助保护更多英国企业免受远程网络攻击和入侵，同时增加新的商业机会，提高生产力。政府还宣布了六个新的“繁荣伙伴”，涉及一个4000万英镑的项目，旨在联合公共和私营部门机构与学术界开发新兴技术。宣布的新合作伙伴是东芝欧洲研究院、布里斯托尔大学、英国政府通信总部(GCHQ)和Roke Manor Research，它们将致力于开发更灵活的无线网络，以应对金融勒索、恐怖主义和破坏性攻击。(来源：信息安全网站)
美国陆军举行“网络突击”演习，演练多领域作战能力
关键词：网络攻击
本月美国陆军在新泽西州举行的“网络闪电战”演习是新成立的情报、信息、网络、电子战和空间(I2CEWS)部队的首次测试机会，可以测试多领域作战中使用的装备和作战概念。通常被描述为美国陆军多领域特遣部队的大脑，这支部队于今年1月正式成立。
还与在日本举行的“东方之盾”演习联合进行了网络闪电战。设计场景是在太平洋和演习举行地新泽西州之间，分散与美国陆军、日本自卫队和日本I2CEWS部队的部队和行动。
在演习期间，“他们拥有在整个电磁频谱中作战的能力，包括[电子战]电子战攻击、电子战监视、防御和进攻网络以及空间控制能力，”战略和创新负责人、陆军太平洋未来局局长克劳福德上校在美国陆军协会年会上对记者说。(来源：网络空间战争)
网络安全事件南非约翰内斯堡再次遭到勒索软件攻击。
关键词：勒索软件
南非最大城市约翰内斯堡今年7月因勒索软件攻击导致部分居民供电中断，如今再次成为勒索软件攻击的目标。
自称Shadow Kill Hackers的黑客团体在用勒索软件感染市政府内部网络后，索要4个比特币的赎金，并要求在当地时间10月28日下午5点前转出。按照现在的货币，这相当于37000美元。黑客表示，如果拒绝支付赎金，他们将在网上上传市政府的数据。在勒索通知中，黑客称他们侵入了市政府的服务器，植入了数十个后门，控制了一切，包括所有密码和财务、人口统计信息等敏感数据。市政当局关闭了所有信息技术基础设施，包括网站、支付门户和其他电子服务。市政府的官方推特账号证实了它被入侵了。(来源：solidot)
银行数据被黑客窃取，美国议员要求FTC调查亚马逊。
关键词：亚马逊
美国第一资本银行被黑了。在攻击之前，亚马逊有没有保护Capital One的服务器？针对这一问题，两名美国参议员要求FTC调查亚马逊。
参议员罗恩魏登和伊丽莎白沃伦表示，他们希望联邦贸易委员会进行调查，看看AWS是否违反了法律。“亚马逊继续向企业、政府机构和公众出售有缺陷的云计算服务，”这位参议员说。1亿Capital One客户的数据被盗，亚马逊应该承担部分责任。”
年初，Capital One表示，1亿名美国个人客户和600万名加拿大客户的个人信息被黑客窃取，包括他们的姓名和地址。Capital One把资料存进了亚马逊云服务，结果被盗了。
袭击事件的嫌疑人是佩吉汤普森(Peggy Thompson)，一名女程序员。通过错误配置的Web应用防火墙，Thompson成功访问了Capital One的数据。(来源：新浪科技)
新型恶意软件“浣熊”强势来袭。
关键词：恶意软件
最近，一种新的信息窃取恶意软件正在网络犯罪社区中快速传播。在短短几个月内，该恶意软件已经感染了全球数十万台设备。这种叫做浣熊的恶意软件最早发现于今年4月，现在已经成为互联网黑市十大恶意软件之一。
据了解，这种恶意软件是用C编写的，可以通过漏洞工具包、钓鱼攻击和捆绑恶意软件(即捆绑合法软件并下载的恶意软件)进行传播。成功植入受害者的设备后，浣熊会自动搜索支付卡信息、加密货币钱包、cookie，以及浏览器中存储的各种登录凭证。
严格来说，这个恶意软件的功能并不完善，也没有采用新的技术。然而，其恶意软件即服务模式为犯罪分子窃取敏感数据提供了一种快速便捷的方法。(来源：电子安全)
黑客从BriansClub窃取了超过2600万条信用卡信息。
关键词：信息窃取
BriansClub是全球最大的黑市网站之一，通过出售信用卡中的个人信息获利，但最近遭到黑客攻击。首先报告数据泄露的布莱恩克雷布斯(Brian Krebs)表示，黑客窃取了超过2600万张信用卡的信息。
专家估计，从BriansClub泄露的被盗卡总数约占黑市上可用卡的30%。
BriansClub的管理员证实，该网站的数据中心在今年早些时候遭到黑客攻击，并声称被盗数据已被删除，但有多条消息证实这些数据仍在BriansClub上出售。(来源：hacknews)
Mozilla Firefox 70正式发布，包括隐私报告工具，以进一步提高性能。
关键词：火狐70
Mozilla在上周正式公布了用于桌面电脑的Firefox 70.0，用于Android的Firefox 68.2和Firefox ESR 68.2.0。尽管有标志性的版本号，Firefox 70并没有太多新功能。最明显的变化只有更新的图标和新的欢迎屏幕。同时，它还为操作系统的系统黑暗模式提供了更好的支持，增强跟踪保护(ETP)现在已经成为所有平台和用户的默认设置。
此外，Firefox 70还增加了新的隐私报告，在Firefox的主菜单中选择“隐私保护”即可访问。该报告还结合了两个新更新的组件的信息：Firefox Lockwise(一种跨平台的密码管理工具，可以与Bitwarden和LastPass等竞争对手竞争)和Firefox Monitor。WISE显示关于数据泄露中暴露的潜在易受攻击的密码的警报。如果你不想使用它们，用户可以通过“登录和密码”下的“选项隐私和安全”禁用该功能。(来源：cnBeta)
Adobe已经曝光了750万在线Creative Cloud用户记录。
关键词：Adobe
近750万Adobe Creative Cloud用户的基本客户资料暴露在互联网上的Elasticsearch数据库中，无需密码即可在线连接。公开的详细信息主要包括用户账户的信息，但不包括密码或财务信息。暴露的用户详细信息包括电子邮件地址、Adobe会员ID(用户名)、原籍国和他们使用的Adobe产品。其他信息包括帐户创建日期、上次登录日期、帐户是否属于Adobe员工以及订阅和支付状态。
上周，也就是10月19日星期六，安全探索公司的安全研究员Bob Diachenko和CompariTech的技术记者Paul Bischoff发现了这些数据。这两个人通知了Adobe的安全团队，他们在同一天保护了服务器。
这种泄露远没有2013年臭名昭著的Adobe漏洞严重，当时黑客获得了近3800万Adobe用户的完整记录，包括加密的支付细节。当时Adobe漏洞是史上最大的黑客事件之一。(来源：ZDNet)
统计显示，约40%的Android和iOS应用存在高危漏洞。
关键词：高风险漏洞
根据一项涉及专家测试iOS和Android应用程序的新研究，超过三分之一的iOS和Android应用程序存在高危漏洞。换句话说，至少有些应用程序会公开数据。
研究来自正面科技的《漏洞与威胁移动应用2019报告》，指出大部分漏洞都是以不安全的数据存储形式出现的。更具体地说，发现43%的Android应用存在漏洞，而38%的iOS应用遭受同样的命运。
比许多易受攻击的应用程序更大的问题是，这些易受攻击的应用程序中有89%可以被恶意软件利用，这意味着潜在的黑客可以在没有实际物理访问的情况下利用这些漏洞。
“2018年，下载到用户设备的移动应用数量超过2050亿。为了给我们带来流畅便捷的体验，开发者一直非常重视软件设计，所以人们乐于安装移动应用，提供个人信息。然而，数量惊人的应用程序非常不安全，解决这个问题所需的开发人员的注意力要少得多。”从智能手机中窃取数据通常甚至不需要物理接触设备，”积极技术公司网络安全弹性主管利-安妮加洛韦说。(来源：平安财经网)
NCSC报道：英国今年防御了600多起网络攻击。
关键词：网络防御数量
英国国家网络安全中心宣布，2018年防御了600多起网络攻击，其中大部分攻击是由海外攻击者发起的。这些来自海外黑客的攻击大多针对政府部门。
NCSC是一个由政府组织领导的机构，在管理网络事件中发挥作用。报告显示，NCSC去年为658起事件辩护，并向近900名受害者提供帮助。该机构自开始运作以来已处理了近1，800起事件。
根据NCSC的报告，大多数攻击的目标是政府、大学、信息技术、医疗保健和交通。与此同时，NCSC还警告一些银行迅速采取防御措施，以保护它们免受财务损失和声誉损害。最近，在收到可操作的信息后，NCSC向56家银行发出了关于特定ATM取款威胁的警报。”(来源：Freebuf)
中国网络安全人才培养需要培养防御型专业人才。
关键词：防御性网络人才
首届INSEC WORLD世界信息安全大会于10月20日至23日在成都举行。大会以“信息时代，安全发声”为理念，邀请全球知名安全从业者和用户企业参与，旨在为蓬勃发展的信息安全产业搭建一个国际化的交流平台。
30网络安全大学总经理杨力在人才培养分论坛上发表了《网络安全应用型人才培养实践》的主题演讲。她表示，在大安全时代背景下，中国网络安全形势不容乐观，网络空间威胁无处不在。2019年上半年，网络安全人才需求总体保持高速增长态势，但市场供给相对疲软，人才短缺指数居高不下。
在人才培养分论坛的圆桌讨论环节，杨力指出，前沿技术的发展给网络安全带来了新的风险和挑战，网络安全人才的培养应逐步分领域、分系统的专业培养。同时，我国网络安全应用人才紧缺，需要根据行业需求培养防御型专业人才。(来源：360企业安全)
漏洞Alexa，Google Home漏洞，攻击者可以窃听用户，窃取信息。
关键词：窃听，窃取信息
安全实验室(Security Labs，简称SRLabs)的研究人员最近发现，Alexa和Google Home存在重大漏洞，黑客可以伪装成Alexa的功能或Google Home中的三方程序，实现用户窃听和信息窃取。
SRLabs的研究人员表示，通过“喂养”这些智能助手无法发音的字符，他们可以让助手在沉默的同时接收用户信息。不过，在这些漏洞公开之前，研究人员已经提前通知了亚马逊和谷歌，两家公司都做了相应的调整。然而，这一漏洞的披露无疑再次为用户的安全意识敲响了警钟。
SRLabs的研究人员发现，此次发现的漏洞会影响谷歌和亚马逊的智能音箱。黑客可以通过这个漏洞长时间窃听用户的对话，甚至诱骗用户输入账号密码。(来源：MottoIN)
三星发布软件更新修复Galaxy S10和Note 10的指纹漏洞
关键词：三星
据外媒报道，三星电子近日宣布发布软件更新，修复Galaxy S10和Galaxy Note 10系列手机的指纹识别漏洞。
对此，三星今天通过其客户支持应用程序“三星会员”道歉，并提醒其Galaxy手机用户将生物识别认证更新至最新软件版本。
原因是一些Galaxy S10用户发现，在他们的手机屏幕上覆盖一层保护膜后，任何人都可以成功解锁指纹。也有用户表示，Galaxy S10新机贴膜后，可以直接解锁手机，不需要注册指纹信息，任何人都可以。
三星后来表示：“当超声波指纹传感器将特定硅胶屏幕保护膜上的3D模式视为用户的‘指纹’时，它将解锁设备。”为此，三星建议用户去掉保护膜，删除之前的所有指纹，重新注册。(来源：新浪科技)
其他漏洞
10月21日-10月27日：
国家信息安全漏洞共享平台(CNVD)收集整理了496个信息安全漏洞，其中高危漏洞135个，中危漏洞333个，低危漏洞28个。
免责声明：
信息快闪的内容和图片均为非营利性转载，目的在于传递更多信息。如果您无意中侵犯了某媒体或个人的知识产权，请联系我们，我们将立即删除相关内容。其他媒体、网络或个人从本网站下载使用应承担版权等法律责任。