全球动态

1. 粤港澳大湾区数据保护和数据跨境服务平台上线，覆盖三种数据跨境机制

12月19日，“粤港澳大湾区数据保护和数据跨境服务平台”在第二届粤港澳数据合作会议上正式上线。该服务平台的上线正值《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》发布之际，全面响应了粤港澳数据跨境流动便利化政策的出台，将为大湾区企业数据跨境合规治理能力提升提供重要支持，助力粤港澳大湾区数字经济高质量发展。【阅读原文】

2. 美国联邦贸易委员会十年来首次提出更严格的儿童数据隐私规则

美国联邦贸易委员会（FTC）周三宣布，该机构正在提议对儿童个人数据的使用和披露实施新的限制，并希望在公司无法将其数据货币化的情况下，将儿童排除在其服务之外变得更加困难。【外刊-阅读原文】

3. 工信部发布关于组织开展网络安全保险服务试点工作的通知

为深入贯彻《中华人民共和国网络安全法》《中华人民共和国数据安全法》等相关法律法规，落实工业和信息化部、国家金融监督管理总局《关于促进网络安全保险规范健康发展的意见》要求，加快推进网络安全保险新模式落地应用，现组织开展网络安全保险服务试点工作。【阅读原文】

4. 谷歌修复了今年在攻击中被利用的第 8 个 Chrome 零日漏洞

该公司为稳定版桌面频道的用户修复了零日漏洞，修补后的版本在报告给谷歌后的一天内向全球的Windows用户（120.0.6099.129/130）以及Mac和Linux用户（120.0.6099.129）推出。【外刊-阅读原文】

5. 商务部等12部门发布数字化指导意见 强调落实数据安全保护

商务部等12部门关于加快生活服务数字化赋能的指导意见提出，严格落实数据安全法、个人信息保护法等相关法规要求，落实数据分类分级保护制度，推进网络身份认证公共服务建设，保护个人信息权益，规范个人信息处理活动。【阅读原文】

6. 支撑AI图像生成的最大数据集被移除

斯坦福研究发现，由Stable Diffusion和其他主要AI产品使用的LAION-5B机器学习数据集中包含3,226例疑似儿童性虐待材料，其中1,008例经外部验证。因此，创建该数据集的组织已将其移除。【外刊-阅读原文】

安全事件

1. 云被黑，上千个政府机构服务中断、数据丢失

意大利云服务提供商Westpole在12月8日遭受网络攻击，此次事件殃及Westpole的客户、政务服务商PA Digitale。后者通过旗下Urbi平台为各地地方政府机构和组织提供服务。服务对象包括1300家公共管理机构，其中有540家为市政机构。【阅读原文】

2. Wolverine开发商 Insomniac Games在数据泄露事件中泄露了1.67TB的机密信息

勒索软件组织Rhysida泄露了1.67TB的数据，包括未发布游戏的资产和故事剧透、即将推出的游戏路线图、公司内部通信、员工个人数据如护照扫描和薪酬数字等等。【外刊-阅读原文】

3. 金蝶天燕远程代码执行漏洞安全风险通告

近日，奇安信CERT监测到金蝶天燕远程代码执行漏洞(QVD-2023-48081) POC及EXP在互联网上流传，该漏洞允许未授权的远程攻击者上传任意文件，最终可能导致远程执行恶意命令，控制服务器等。【阅读原文】

4. 加密货币诈骗者滥用Twitter“功能”来冒充高知名度账户

加密货币诈骗者正在滥用Twitter的一个合法“功能”来宣传诈骗、假冒的赠品活动，以及用来窃取你的加密货币和非同质化代币（NFTs）的欺诈Telegram频道。【外刊-阅读原文】

5. 2023年全球共披露26447个计算机漏洞

漏洞管理公司Qualys发布2023网络威胁安全回顾报告指出，2023年全球共披露26447个计算机漏洞，为“历年之最”，相比去年的25050个漏洞，多了5.2%。【阅读原文】

6. 伊朗“Seedworm”网络间谍瞄准非洲电信运营商和互联网服务提供商

根Symantec的安全研究人员称，Seedworm（又名MuddyWater、APT34、Crambus、Helix Kitten或OilRig）的高级持续性威胁（APT）最新的网络攻击正针对埃及、苏丹和坦桑尼亚的电信部门组织。特别是一家电信部门组织，该组织在2023年早些时候曾被Seedworm渗透，但到目前为止尚未被命名，正承受着最新攻击的重担。【外刊-阅读原文】

优质文章

1. 美国第二大互联网供应商泄露3600万用户数据

该公司表示，攻击是受Citrix Bleed的 CVE-2023-4966 漏洞影响，攻击者可能在 10 月 16 日至 19 日期间利用该漏洞获得了数据。经过调查，数据泄露具体影响了 35879455 人。【阅读原文】

2. 明显的、一般的和高级的：Outlook攻击向量的综合分析

Outlook是微软Office套件中的桌面应用程序，现已成为世界上最受欢迎的应用程序之一，用于发送和接收电子邮件、安排会议等操作。从安全角度来看，该应用程序是负责将各种网络威胁引入组织的关键“网关”之一。该应用程序中任何微小的安全问题都可能造成严重的损害，并破坏企业的整体安全性。【阅读原文】

3. 警惕掠夺性金融技术：看Android上的欺骗性贷款应用如何绕过Google Play检测

自2023年初以来，ESET研究人员发现，欺诈性的Android贷款应用程序出现了惊人的增长，这些应用程序将自身标榜为合法的个人贷款服务，承诺快速便捷地获得资金。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。