要闻速览

1、中央网信办等三部门印发《信息化标准建设行动计划 (2024—2027年)》

2、ISO/IEC JTC1/SC27网络安全国际标准提案公开征集启动

3、GitLab 爆出安全漏洞，允许黑客接管账户

4、苹果WiFi定位系统漏洞可监控全球数亿设备

5、俄罗斯最大快递公司CDEK遭黑客攻击，业务全面停摆

6、超6600名迪卡侬员工隐私信息被窃取

一周政策要闻

中央网信办等三部门印发《信息化标准建设行动计划 (2024—2027年)》

为深入落实《“十四五”国家信息化规划》、《国家标准化发展纲要》任务部署，近日，中央网信办、市场监管总局、工业和信息化部联合印发《信息化标准建设行动计划（2024—2027年）》（以下简称《行动计划》），要求加强统筹协调和系统推进，健全国家信息化标准体系，提升信息化发展综合能力，有力推动网络强国建设。

《行动计划》围绕4个方面部署了主要任务。一是创新信息化标准工作机制，包括完善国家信息化标准体系、优化信息化标准管理制度、强化信息化标准实施应用。二是推进重点领域标准研制，在关键信息技术、数字基础设施、数据资源、产业数字化、电子政务、信息惠民、数字文化、数字化绿色化协同发展等8个重点领域推进信息化标准研制工作。三是推进信息化标准国际化，包括深化国际标准化交流合作、积极参加国际标准组织工作、推动国际国内标准协同发展。四是提升信息化标准基础能力，包括优化标准供给结构、加强标准化人才培养、推动标准数字化发展。

信息来源：中华人民共和国国家互联网信息办公室https://www.cac.gov.cn/2024-05/29/c_1718573626260067.htm

ISO/IEC JTC1/SC27网络安全国际标准提案公开征集启动

为继续推进我国网络安全国际标准化工作，鼓励更多网络安全技术和应用领域优秀实践经验以及科研项目标准成果向国际输出，网安标委秘书处现组织开展SC27国际标准提案（以下简称“提案”）征集工作，面向网络安全领域产学研用等相关单位征集提案，提案优先但不限人工智能安全、数据安全、个人信息保护、密码算法、物联网安全、关键信息基础设施安全、供应链安全等我国具有技术优势和丰富实践应用经验等领域。

有意单位请于2024年6月28日前提交纸质和电子版材料至秘书处（liuzh1@cesi.cn），将按规定程序审查后上报国家标准委。

业内新闻速览

GitLab 爆出安全漏洞，允许黑客接管账户

近日，GitLab 又爆出一个安全漏洞（被追踪为 CVE-2024-4835），未经认证的威胁攻击者能够利用该漏洞在跨站脚本 (XSS) 攻击中，轻松接管受害者账户。

GitLab 是一个流行的基于网络的 Git 存储库，拥有约 3000 万注册用户和 100 万付费客户。为了修复这个漏洞，GitLab 发布了 17.0.1、16.11.3 和 16.10.6 版本，并建议所有用户立即升级。

CVE-2024-4835 是 VS 代码编辑器（Web IDE）中的一个 XSS 缺陷，尽管需要用户交互，但攻击者仍可能利用它来窃取信息。此外，GitLab 还修复了其他六个中等严重程度的安全漏洞，包括 CSRF 漏洞（CVE-2023-7045）和拒绝服务漏洞（CVE-2024-2874）。

GitLab 存储了包括 API 密钥和专有代码在内的敏感数据，因此成为了攻击者的目标。一旦攻击者成功插入恶意代码，可能导致账户被劫持，引发严重的网络安全风险。

此前，CISA 曾发出警告，攻击者正在利用 GitLab 的另一个漏洞 CVE-2023-7028 进行攻击。而 2023 年 5 月，GitLab 发布了 16.0.1 版来修复一个严重性路径遍历漏洞 CVE-2023-2825，该漏洞允许未经认证的攻击者读取任意文件。幸运的是，这个漏洞只在特定条件下触发，即当公共项目中的附件嵌套在至少五个组中。

消息来源：FREEBUFhttps://www.freebuf.com/news/401772.html

苹果WiFi定位系统漏洞可监控全球数亿设备

近日，苹果的Wi-Fi定位服务（WPS）被曝存在严重漏洞，这一漏洞可能被滥用以监控全球用户的隐私，即便非苹果设备用户也难以幸免。

美国马里兰大学的安全研究人员在论文《使用基于Wi-Fi的定位系统监测人群》中详细描述了苹果WPS的设计缺陷。

根据论文描述，WPS定位主要有两种工作方式：一是计算客户端位置并返回这些坐标；二是返回提交的BSSID（基本服务集标识符）的地理位置（与AP硬件相关联），并让客户端进行计算以确定其位置。

其中谷歌的WPS采用前者，安卓手机会记录它能看到的BSSID及其信号强度，并将数据发送到谷歌服务器，服务器使用WPS数据库计算手机的位置，并将其发送给手机。与谷歌的WPS相比，苹果系统不仅返回请求的BSSID位置，还会额外返回多达400个附近BSSID的位置，且这一过程无需认证、没有速率限制，且完全免费。

通过向苹果WPS的API发送请求，研究人员能够在一个月内收集到超过十亿个BSSID的位置数据，并利用这些数据绘制出设备在全球范围内的移动地图。更令人担忧的是，他们甚至利用这一漏洞追踪了俄乌冲突区域的军事设备移动情况，充分展示了这一漏洞的严重性和潜在的危险性。

消息来源：快科技  https://news.mydrivers.com/1/982/982398.htm

俄罗斯最大快递公司CDEK遭黑客攻击，业务全面停摆

近日，俄罗斯最大的快递公司之一 CDEK 遭遇了网络攻击，这次攻击导致该公司的服务中断数日。

黑客组织“Head Mare”公开宣布对此次攻击负责，他们不仅利用勒索软件加密了CDEK的服务器数据，还销毁了公司的系统备份，进一步加剧了危机。尽管CDEK最初试图将服务中断归咎于“大规模技术故障”，但随后有内部消息人士和俄罗斯国家杜马信息政策委员会主席证实，这实际上是一起由网络攻击造成的严重安全事件。黑客组织在X平台上公开披露了攻击细节，批评CDEK的安全措施薄弱，并指责其系统管理员防御能力低下。CDEK公司表示，他们正在全力恢复服务。然而，由于攻击造成的严重后果，公司面临着巨大的挑战，包括如何恢复被加密的数据和重建被摧毁的系统。此外，CDEK的客户也受到了严重的影响，许多人在社交媒体和媒体上发表评论，抱怨包裹投递的延误。

消息来源：安全内参  https://www.secrss.com/articles/66611

超6600名迪卡侬员工隐私信息被窃取

据报道，最近发生的一起数据泄露事件导致迪卡侬西班牙员工的个人信息被盗。名为 888 的威胁行为者已承认对迪卡侬数据泄露事件负责，据称该事件涉及一个包含这家著名体育用品零售商 6644 名员工敏感信息的数据库。

据报道，该数据库包含员工的电子邮件地址、总部信息和交通活动。该声明通过社交媒体平台 X（以前称为Twitter）上的多篇帖子传播，表明不仅员工信息，而且潜在的敏感客户数据也可能被泄露。此外，威胁行为者还提供了迪卡侬泄露数据库的样本。

一旦确认数据泄露，迪卡侬可能会失去客户信任，进而影响其销售和整体市场地位。如果数据泄露被确认，迪卡侬还可能面临巨额法律和经济处罚。

消息来源：安全客https://www.anquanke.com/post/id/296889

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！