全球动态

1. 国家标准《网络安全技术 生成式人工智能服务安全基本要求》公开征求意见

本文件规定了生成式人工智能服务在安全方面的基本要求，包括训练数据安全、模型安全、安全措施等，并给出了安全评估参考要点。【阅读原文】

2. 谷歌研究报告：企业发送钓鱼邮件“测试员工应急能力”多此一举，反而有害

谷歌安全经理 Matt Linton 指出，这种类似火灾演练的测试实际上有很多负面影响，只会增加员工困扰及信息安全部门的工作负担。【阅读原文】

3. 苹果解释 / 澄清已删除照片“复活”问题：数据库损坏导致，仅影响少量用户

苹果公司表示本次“复活”的照片主要都是 2010 年之前的用户照片，苹果公司表示这个问题并不应该归咎于 iCloud Photos，而是应该归咎于设备文件系统本身存在的数据库条目损坏。【阅读原文】

4. 10 名 Twitter 超级传播者传播了逾三分之一虚假信息

根据发表在《PLOS ONE》期刊上的一项研究，10 名 Twitter 超级传播者传播了逾三分之一的虚假信息。这项研究针对 2020 年 1 月到 10 月之间发表的推文。研究人员分析了448103 位用户发送的 2397388 条包含低可信度内容的推文。1000 个账号发表了其中七成以上的推文，34% 的推文来自于 10 名用户，他们被称为超级传播者。【外刊-阅读原文】

5. 美国洲际交易所因VPN遭漏洞攻击未向监管报告被罚1000万美元

疑似国家级黑客入侵了纽交所母公司的VPN设备，试图窃取该设备上的用户账号信息，以进一步渗透内网；该公司评估事件影响极小，但SEC认为其作为市场关键主体，未能及时上报事件，以此遭美国证券交易委员会（SEC）指控，要求处罚1000万美元。【外刊-阅读原文】

6. 政治顾问、电信公司因拜登深度伪造抢答电话被罚 800 万美元

近日，政治顾问因向数千名新罕布什尔州选民发送乔·拜登总统声音的深度伪造录音而被联邦调查局起诉。现在，允许机器人通话发生的电信公司可能会因未能阻止它们而被罚款 200 万美元，其个人将面临 600 万美元的罚款。【外刊-阅读原文】

安全事件

1. 开源代码托管平台 GitLab 修复高危漏洞：攻击者可接管账号

开源代码托管平台 GitLab 发布公告，修复了 1 个高危和 6 个中危漏洞，并敦促用户尽快升级到最新版本。其中的高危漏洞追踪编号为 CVE-2024-4835，存在于 VS 代码编辑器（Web IDE）中，攻击者利用该漏洞使用跨站脚本（XSS）可以完全接管用户账号。【阅读原文】

2. 沈阳一奥迪车主称被续费弹窗骚扰，无法自行永久关闭

服务到期后，李先生每次启动车辆时，车机联网服务的“续费提醒”弹窗都会第一时间显示在中控大屏幕上，让李先生交费购买，如果不去手动关闭的话，这个弹窗会一直显示，屏幕的其它界面都不会出现。如果没提前关闭“续费弹窗”，倒车影像也不会显示。【阅读原文】

3. 微软必应全球宕机事件涟漪，波及 ChatGPT、Copilot、DuckDuckGo 等服务

5月23日，微软必应搜索服务出现全球性宕机，且持续了 1 天时间，但影响并不仅仅局限于必应搜索网站，很多调用必应搜索 API 的服务也因此受到影响。【阅读原文】

4. 在线视频下载器泄露用户数据，包括露骨内容

Cybernews 研究团队发现了一个属于在线视频下载器 Dirpy 的开放 Kibana 实例。Dirpy 在日本和美国拥有最大的用户群，提供主要用于 YouTube 和成人网站的在线视频下载服务。【外刊-阅读原文】

5. 黑客入侵诈骗呼叫中心，对受害者发出警告

根据与媒体分享的屏幕截图和文件，一位黑客声称入侵了一家诈骗呼叫中心，窃取了工具源代码，向受害者发送电子邮件进行警告。这次入侵是一系列义警行动的最新一起，黑客采取主动行动解决问题，破坏或以其它方式扰乱诈骗中心。【外刊-阅读原文】

6. 黑客利用 VMware ESXi 漏洞进行勒索软件攻击

网络安全公司Sygnia在一份报告中提到：虚拟化平台是组织IT基础设施的核心组成部分，但它们往往存在固有的错误配置和漏洞，这使它们成为威胁行为者有利可图和高度有效的滥用目标。【外刊-阅读原文】

优质文章

1. 安全随笔——安全到底是什么？

为了更好地理解什么是安全，可行的方案是学习信息安全领域的道统学科——密码学。【阅读原文】

2. Dispossessor 勒索软件是否会成为 LockBit 的接班者

最近浮出水面的 Dispossessor 勒索软件，其与臭名昭著的 LockBit 勒索软件团伙存在许多相似之处。在全球执法机构联合打击了 LockBit 的攻击基础设施后，Dispossessor 带着与 LockBit 高度相似的结构与内容出现在众人眼前。【阅读原文】

3. 美国防部《2024年国防工业基础网络安全战略》解读

为面对DIB领域严峻的网络安全形势和避免重大安全事件造成严重后果，《2024年国防工业基础网络安全战略》随之发布，其明确了2024至2027财年期间，DIB在网络安全方面的总体愿景和使命，旨在保护DIB免遭恶意网络活动和攻击的威胁，增强DIB的网络安全和弹性。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。