要闻速览

1、国家数据局、中央网信办、工业和信息化部、公安部、国务院国资委印发《关于促进企业数据资源开发利用的意见》

2、联大通过《联合国打击网络犯罪公约》

3、警惕！“银狐”木马新变种直接通过微信群传播含病毒压缩包文件

4、账号和密钥明文存储，AI平台1.29T数据库裸奔

5、平安夜不平安，美国航空因软件故障致旗下全美航班停飞

6、一美分下单！这个外卖应用API漏洞差点让麦当劳亏大了

一周政策要闻

国家数据局、中央网信办、工业和信息化部、公安部、国务院国资委印发《关于促进企业数据资源开发利用的意见》

为充分释放企业数据资源价值，构建以数据为关键要素的数字经济，近日，国家数据局联合中央网信办、工业和信息化部、公安部、国务院国资委印发了《关于促进企业数据资源开发利用的意见》（以下简称《意见》）。

《意见》以习近平新时代中国特色社会主义思想为指引，贯彻党的二十大及后续全会精神，推动高质量发展，平衡数据发展与安全。其核心为深化数据要素市场化改革，激发企业创新活力，健全数据权益机制，分类推进数据资源开发，提升企业竞争力，促进产业数字化转型，提升治理与公共服务效能，为高质量发展提供支撑。具体从健全企业数据权益实现机制、培育企业数字化竞争力、赋能产业转型升级、服务经济社会高质量发展、营造开放透明可预期的发展环境等五个方面作出部署。

联大通过《联合国打击网络犯罪公约》

联合国大会12月24日以一致同意的方式通过具有法律约束力的《联合国打击网络犯罪公约》，旨在加强国际合作，预防和打击网络犯罪。

联合国秘书长古特雷斯对此表示欢迎并指出，这是20多年来经谈判达成的首个国际刑事司法条约，这项条约表明多边主义在困难时期取得了成功，反映了会员国加强国际合作以预防和打击网络犯罪的集体意愿。

公约将于2025年在越南首都河内举行的正式仪式上开放签署，并将在第40个签署国批准后90天生效。

消息来源：央广网https://news.cnr.cn/native/gd/kx/20241225/t20241225_527020458.shtml

业内新闻速览

警惕！“银狐”木马新变种直接通过微信群传播含病毒压缩包文件

近日，国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室依托国家计算机病毒协同分析平台（https://virus.cverc.org.cn）在我国境内再次捕获针对我国用户的“银狐”木马病毒的最新变种。在本次传播过程中，攻击者继续构造财务、税务违规稽查通知等主题的钓鱼信息和收藏链接，通过微信群直接传播包含该木马病毒的加密压缩包文件。

图中名为“笔记”等字样的收藏链接指向文件名为“违规-记录（1）.rar”等压缩包文件，用户按照钓鱼信息给出的解压密码解压压缩包文件后，会看到以“开票-目录.exe”“违规-告示.exe”等命名的可执行程序文件。这些可执行程序实际为“银狐”远控木马家族于12月更新传播的最新变种程序。如果用户运行相关恶意程序文件，将被攻击者实施远程控制、窃密等恶意操作，并可能被犯罪分子用来充当进一步实施电信网络诈骗活动的“跳板”。

本次发现的新变种还具有主动攻击安全软件的功能，试图通过模拟用户鼠标键盘操作关闭防病毒软件。

临近年末，国家计算机病毒应急处理中心再次提示广大企事业单位和个人网络用户提高针对各类电信网络诈骗活动的警惕性和防范意识，不要轻易被犯罪分子的钓鱼话术所诱导。

消息来源：国家计算机病毒应急处理中心https://mp.weixin.qq.com/s/QPvATUs-1BX0AhF1Iw0e2A

账号和密钥明文存储，AI平台1.29T数据库裸奔

近日，网络安全研究员Jeremiah Fowler透露，一家总部位于英国伦敦的人工智能开发平台Builder.ai，由于数据库配置错误，该平台遭遇了重大数据泄露事件，共计泄露数据超过300万条，1.29TB。

Builder.ai是一家提供AI驱动软件开发平台的公司。Builder.ai可以与Microsoft Dataverse以及各种云数据源（如SharePoint、OneDrive或Azure）集成，方便用户访问和管理业务数据。

根据Fowler在Website Planet的报告，在300多万条记录中，包含可识别个人身份的信息，例如姓名、电子邮件地址、电话号码及实际地址。数据库还记录了项目细节，包括正在进行和已完成的软件开发计划、客户互动记录及时间表。这些信息可能导致知识产权泄露，进而被恶意行为者或竞争对手利用。

除了客户数据，数据库还暴露了Builder.ai员工之间的内部通信。敏感信息包括客户成本提案、保密协议、发票、税务文件、内部沟通记录、秘密访问密钥、客户个人信息以及电子邮件往来的截图。

更糟糕的是，Builder.ai 应急响应流程十分迟缓。在研究人员通知后，Builder.ai花了整整一个月才保护数据库，并称“复杂的系统依赖”是延迟的原因。尽管解释不够明确，但这表明数据库曝光可能涉及第三方承包商。

消息来源：FREEBUF  https://www.freebuf.com/news/418279.html

平安夜不平安，美国航空因软件故障致旗下全美航班停飞

圣诞节前，原本是旅客出行最为繁忙的时段，但美国航空领域却在此时遭遇了一场突如其来的风波。据路透社、雅虎新闻等媒体消息，美国联邦航空管理局（FAA）突然宣布，美国航空公司（American Airlines）12月24日全国范围内停飞所有航班。
随后，美国航空公司迅速在社交平台上发文称，指出该公司所有航班正在经历“技术问题”，并承诺将全力以赴排除故障。该停飞令大约持续了一小时左右，目前美国航空航班都已恢复正常运行。美国航空尚未披露所遇到“技术问题”的细节。有消息称，这一“技术问题”或为软件故障造成航空公司无法进行称重和航班需求测算。据美国联邦航空管理局预计，12月24日美国共有约3万个航班起降。对于此次突然大面积停飞的原因，格外引发外界的关注。

消息来源：IT之家https://www.ithome.com/0/819/929.htm

一美分下单！这个外卖应用API漏洞差点让麦当劳亏大了

近日，一位安全研究人员发现麦当劳在印度的外卖App McDelivery 存在多个严重漏洞，允许用户以极低的价格下单，甚至可以窃取他人的订单和个人信息。

根据研究人员的报告，McDelivery App 存在多个漏洞，包括：

• 价格操纵漏洞：用户可以通过修改购物车中的价格参数，以极低的价格下单。例如，只需支付0.01美元就可以下单。
• 订单劫持漏洞：黑客可以通过修改订单的地址ID或用户ID，将他人的订单劫持到自己的地址。
• 实时跟踪漏洞：黑客可以通过修改API请求，实时跟踪送货司机的位置和个人信息。
• 敏感数据泄露漏洞：用户可以访问他人的订单详情、下载发票，甚至可以提交对他人订单的反馈。
• 司机信息泄露漏洞：黑客可以访问送货司机的个人信息，包括姓名、电话号码、电子邮件、头像和车牌号码。
• 管理员数据访问漏洞：用户可以访问管理员的关键绩效指标（KPI）报告，而无需授权。

研究人员利用了诸如破损对象级别授权（BOLA）和大规模赋值漏洞等技术，系统性地揭示了McDelivery应用的弱点。调查显示，这些漏洞不仅是技术缺陷，更对用户隐私和麦当劳的声誉构成了真正的威胁。对此，编写了一份详细的24页报告并提交给了McDelivery的漏洞奖励计划。麦当劳在90天内修复了所有漏洞，并给予了相应奖励。

消息来源：看雪学苑https://weibo.com/ttarticle/p/show?id=2309405115172732928167

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！