全球动态

1. 美国防部发布“零信任覆盖”政策指南

在零信任的情况下，用户仍将在网络上对自己进行身份验证，但他们还需要证明他们有权访问该网络上可用的每个文档、文件和子系统。这意味着，当攻击者入侵网络时，他们将无法访问所有内容。他们将不断受到挑战，为他们想要查看的所有内容提供额外的凭据。【阅读原文】

2. Cox Biz自动绕过漏洞导致数百万台设备被接管

如果漏洞被利用，攻击者不仅可以获取企业客户的个人身份信息（PII），还可以获取 Wi-Fi 密码和连接设备上的信息，甚至可能在设备上执行任意要求、更新设备或接管客户账户。【外刊-阅读原文】

3. 四部门开展智能网联汽车准入和上路试点 自动驾驶有望加速到来

通过试点加快智能网联汽车产品量产应用，带动汽车与新能源、人工智能、信息通信等产业融合，打造新质生产力，助力智能网联新能源汽车高质量发展。【阅读原文】

4. GDPR罚单开到爽，这家公司贡献了大头

依据GDPR，欧洲监管机构开出的 10 笔最大金额罚单中有 6 笔属于 Meta，其中Meta旗下的 WhatsApp在爱尔兰被罚了5笔，Facebook在法国被罚了1笔。就在去年，Meta在爱尔兰因“数据处理的法律依据不足”被处以创纪录的12亿欧元罚款。【外刊-阅读原文】

5. 中国信通院发布《数字乡村发展实践白皮书（2024年）》

数字乡村是立足于我国新时代农业农村发展现状而作出的重要战略部署，是伴随网络化、信息化和数字化在农业农村经济社会发展中的应用，以及农民现代信息技能的提高而内生的农业农村现代化发展和转型进程，既是乡村振兴的战略方向，也是建设数字中国的重要内容。【阅读原文】

6. 澳大利亚矿业公司Northern Minerals披露数据泄露事件

该公司昨天披露，2024 年 3 月下旬其系统中的数据被盗，随后被公布在暗网上，但未指明作案者姓名。外泄数据包括公司、运营和财务信息，以及与当前和前员工有关的一些详细信息和一些股东信息。【外刊-阅读原文】

安全事件

1. 谷歌意外泄露内部文档，被指欺骗SEO行业多年

近日，由于谷歌内部机器人“误操作”，一批描述谷歌如何对网页排名的内部文档在线泄露。由于这些文档披露的搜索排名机制与谷歌公开发布的规则并不完全一致，一些知名SEO专家指责谷歌欺骗了整个行业多年。【阅读原文】

2. TikTok 多个品牌和名人账户受到网络攻击

据《福布斯》报道，TikTok 平台有一个新的漏洞，攻击方式为直接通过消息传播，除了打开聊天之外，用户不需要下载、点击或任何形式的回复就会被攻击。【阅读原文】

3. 小心！暗网上的新型 Android 木马“Viper RAT”会窃取您的数据

提供的功能包括用于获取凭证、电子邮件、2FA 代码、钱包和密钥的多重抓取器，以及键盘记录功能。此外，这款 Android Remote Trojan Viper RAT 还提供超过 600 次全球范围的注入、手机解锁、VNC 控制以及音频和视频录制功能，以帮助进行网络钓鱼重定向。【阅读原文】

4. 美国一配件制造商因忘设密码影响50 万客户

数据泄露是由一个可公开访问的 Elasticsearch 实例造成的，Elasticsearch 是一种开源搜索引擎，用于搜索和分析网站或系统中的大量数据。【外刊-阅读原文】

5. 奥地利隐私组织投诉微软侵犯儿童隐私：涉嫌非法追踪学生数据

NOYB 要求奥地利数据保护监管机构对 Microsoft 365 Education 收集的数据进行调查和事实分析。他们表示已经进行了调查，查阅了微软的隐私政策文件并提出了数据访问请求，但无法弄清到底收集了哪些数据，这违反了 GDPR 的透明度规定。【阅读原文】

6. 伦敦国家医疗服务系统因勒索软件陷入瘫痪，多家医院成为目标

该事件严重影响了医疗服务的提供，特别是输血和检验结果的提供，并导致医院无法连接到提供病理服务的私营公司的服务器。【外刊-阅读原文】

优质文章

1. 步步为营：安全渗透测试实战思路与策略分享

本文旨在分享一次典型的安全测试实践，详细解析从目标识别到漏洞探索的全过程，旨在展示一个结构化且专业的测试流程。通过此案例，希望能为同行初学者、网络安全爱好者提供可借鉴的安全测试思路，并强调在合法合规的前提下，如何高效识别并评估潜在的安全风险。【阅读原文】

2. LeakSearch：针对网络公开凭证的安全扫描与检测工具

LeakSearch是一款针对网络公开凭证的安全扫描与检测工具，该工具使用了ProxyNova COMB来扫描和解析互联网上公开暴露的明文密码数据。我们可以定义一个自定义代理，并使用我们自己的密码文件和不同的关键词来搜索密码，例如“user”、“domain”或“password”等。【阅读原文】

3. PostgreSQL(ArteryBase3.6.2)数据库等级保护测评指南

本文主要讲解PostgreSQL9.6（ArteryBase）数据库在网络安全等级测评保护中针对安全计算环境如何核查数据库是否符合安全要求，对于等保测评以及数据库安全加固有一定参考价值。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。