要闻速览

1、中央网信办等四部门发布《互联网政务应用安全管理规定》

2、国家标准《网络安全技术 生成式人工智能服务安全基本要求》公开征求意见

3、YouTube成为助长网络犯罪的新“温床”

4、超火爆的Fluent Bit 曝关键漏洞，影响几乎所有云服务商

5、内部VPN遭漏洞攻击未向监管报告，这家金融巨头被罚超7000万元

6、我国多地3万余条新生儿信息被倒卖，背后非法产业链曝光

一周政策要闻

中央网信办等四部门发布《互联网政务应用安全管理规定》

由中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部制定的《互联网政务应用安全管理规定》（以下简称《规定》）近日印发，规定自2024年7月1日起施行。

规定要求，建设运行互联网政务应用应当依照有关法律、行政法规的规定以及国家标准的强制性要求，采取技术措施和其他必要措施，防范内容篡改、攻击致瘫、数据窃取等风险，加强监测预警和应急处置，保障互联网政务应用安全稳定运行和数据安全。

信息来源：中华人民共和国中央人民政府https://www.gov.cn/lianbo/bumen/202405/content_6952956.htm

国家标准《网络安全技术 生成式人工智能服务安全基本要求》公开征求意见

近日，全国网络安全标准化技术委员会发布关于国家标准《网络安全技术 生成式人工智能服务安全基本要求》征求意见稿的通知。如有意见或建议请于2024年7月22日24:00前反馈秘书处。

本标准支撑《生成式人工智能服务管理暂行办法》，给出了生成式人工智能服务在安全方面的基本要求，包括训练数据安全、模型安全、安全措施等，并给出了安全评估参考要点。

信息来源：全国网络安全标准化技术委员会https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20240523143149&norm_id=20240430101922&recode_id=55010

业内新闻速览

YouTube成为助长网络犯罪的新“温床”

根据安全公司 Avast 最新报告发现，YouTube已经成为帮助恶意行为者部署网络钓鱼、恶意软件和虚假投资计划等各种犯罪活动的新“温床”。该公司特别提到了两种恶意软件 Lumma 和 RedLine，它们正在 YouTube上大规模活动。

Avast 指出，YouTube 充当了一个流量分发渠道，将用户引导到各种恶意网站和页面，助长了不同严重程度的网络犯罪。攻击者利用 YouTube 的庞大影响力，诱导用户访问欺骗性网站和下载恶意软件。此外，YouTube 上日益增多的深度造假视频也成为了一大问题。这些虚假视频通过模仿真人或事件来误导观众，传播虚假信息。Avast 发现，有多个拥有超过 5000 万订阅者的账号已被黑客入侵，并被用来传播依赖于深度造假视频的加密货币骗局。

消息来源：FREEBUFhttps://www.freebuf.com/news/400979.html

超火爆的Fluent Bit 曝关键漏洞，影响几乎所有云服务商

Fluent Bit，一款广泛使用的日志和度量解决方案，近日被发现存在一个名为Linguistic Lumberjack的关键漏洞（CVE-2024-4323），该漏洞可能导致拒绝服务攻击和潜在的远程代码执行。

该漏洞是由于Fluent Bit的嵌入式HTTP服务器在处理跟踪请求时的堆缓冲区溢出弱点造成的。尽管远程代码执行需要特定的条件和大量时间，但拒绝服务攻击和信息泄露的风险更为直接和显著。

截至2024年3月，Fluent Bit的下载和部署次数已超过130亿次，其中包括亚马逊AWS、谷歌GCP和微软Azure等主流云服务商的发行版。此外，许多科技公司如Crowdstrike、Trend Micro、思科、VMware、英特尔、Adobe和戴尔等也在使用Fluent Bit。Tenable安全研究人员于4月30日向供应商报告了该漏洞，并于5月15日提交了修补程序。预计包含该补丁的Fluent Bit 3.0.4版本将很快发布。在修复之前，建议已经部署了Fluent Bit的客户通过限制对监控API的访问或禁用易受攻击的API端点来降低风险。

消息来源：FREEBUF  https://www.freebuf.com/news/401435.html

内部VPN遭漏洞攻击未向监管报告，这家金融巨头被罚超7000万元

安全内参5月23日消息，美国洲际交易所（ICE）因未能确保其子公司及时报告2021年4月出现的VPN安全漏洞，遭美国证券交易委员会（SEC）指控，需支付1000万美元（约合人民币7245万元）罚款。

ICE是一家位列《财富》500强榜单的美国公司，在全球范围内拥有并经营多家金融交易所和结算所，包括纽约证券交易所。2023年，该公司雇佣了超过1.3万名员工，报告总收入为99.03亿美元。SEC要求发现安全事件后需立即通知，但ICE延迟了四天才评估事件影响，并错误地认为影响微不足道。调查显示，可能是国家级黑客入侵，试图窃取敏感信息。ICE未能按法规要求通知SEC，违反了内部报告程序，最终同意支付罚款并承诺不再违反相关法规。

消息来源：安全内参  https://www.secrss.com/articles/66426

我国多地3万余条新生儿信息被倒卖，背后非法产业链曝光

“免费上门给宝宝拍照，要帮您安排吗？”“早教班免费试听，您要报名吗？”新生儿刚出生，各种推销电话就不请自来，而且对方还能准确说出孩子和父母的信息。一旦放松警惕，同意他们上门，所谓的赠送很可能就变成价格不菲的收费项目。其实这背后隐藏着一条非法买卖、使用新生儿个人信息的黑色产业链！

近日，杭州互联网法院审理了一起涉及3万余条新生儿个人信息的非法买卖、使用的民事公益诉讼案。

案件中，一摄影公司利用非法获取的家长和孩子信息进行推销，并成功诱导家长购买高价摄影套餐。经查，李某作为该信息链的源头，从多地购入新生儿信息并出售给摄影机构，非法获利29万余元。

最终，李某因“侵犯公民个人信息罪”被判处有期徒刑二年十个月，并处罚金30万元，两家摄影机构也被追责。4月16日，杭州萧山区人民检察院提起公益诉讼，要求三被告公开赔礼道歉并支付公益损害赔偿金29万余元，用于个人信息及妇女儿童权益保护等公益事项。

据了解，2021年11月1日起实施的《中华人民共和国个人信息保护法》明确将个人信息保护纳入公益诉讼法定领域，对检察机关等组织提起个人信息保护公益诉讼作出明确规定。此案提醒广大市民要增强个人信息保护意识，同时，相关部门也应加强监管和执法力度。

消息来源：光明网  https://baijiahao.baidu.com/s?id=1799667263210775386&wfr=spider&for=pc

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！