要闻速览

1、《个人信息保护合规审计管理办法》发布，5月起施行

2、国家公共数据资源登记平台3月1日上线运行

3、ChatGPT Operator 遭提示注入攻击，泄露用户隐私数据

4、马斯克DOGE网站被黑，惊现“这是一个.gov网站的笑话”

5、小天才手表遭陌生号强绑监护人？二次放号或成隐私泄露重灾区

6、雅虎再曝数据泄露：60万邮箱账户暗网兜售

一周政策要闻

《个人信息保护合规审计管理办法》发布，5月起施行

近日，国家互联网信息办公室公布《个人信息保护合规审计管理办法》（以下简称《办法》），自2025年5月1日起施行。

国家互联网信息办公室有关负责人表示，《中华人民共和国个人信息保护法》《网络数据安全管理条例》对个人信息处理者开展个人信息保护合规审计作了规定，《办法》对合规审计活动的开展、合规审计机构的选择、合规审计的频次、个人信息处理者和专业机构在合规审计中的义务等作出细化规定，旨在为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范，提升个人信息处理活动合法合规水平，保护个人信息权益。

《办法》以附件形式提供了《个人信息保护合规审计指引》，对个人信息保护相关法律、行政法规的关键要点作了梳理，从合规审计的角度进行了细化。个人信息处理者自行开展或者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计，应当参照《个人信息保护合规审计指引》。

国家公共数据资源登记平台3月1日上线运行

 2月18日，国家数据局举行新闻发布会，介绍公共数据开发利用最新情况。国家数据局副局长陈荣辉在会上表示，国家公共数据资源登记平台将于3月1日正式上线试运行。

陈荣辉介绍，在登记平台建设方面，全国登记平台体系建设按照“一个标准，两级平台”的思路开展。国家数据局制订统一的登记技术和业务标准，负责建设国家登记平台，确保与各省级平台对接，实现登记信息互联互通和统一赋码。各省级数据管理部门牵头建设省级登记平台。

目标是在今年年内构建起职责明确、分工负责、运转有序的全国公共数据资源登记体系。

消息来源：中国政府网 https://www.gov.cn/lianbo/bumen/202502/content_7004272.htm

业内新闻速览

警惕！利用AI深度伪造视频的新型“自骗”攻击浪潮来袭

近日，一种名为“自骗”的新型攻击手段正在瞄准加密货币爱好者和金融交易者。这种攻击利用AI生成的深度伪造（Deepfake）视频和恶意脚本，标志着社交工程技术的一次危险升级。网络安全公司Gen Digital的研究人员发现，该攻击活动通过利用经过验证的YouTube频道、合成人物形象以及AI制作的恶意载荷，诱使受害者主动破坏自己的系统。

攻击手段：深度伪造视频结合恶意脚本

这种攻击在2024年第三季度激增了614%，它结合了尖端的深度伪造技术和心理定制的诱饵，引发了人们对生成式AI在网络犯罪中被武器化的高度关注。攻击通常从一个托管在已被劫持的YouTube频道上的深度伪造视频开始，该频道拥有11万订阅者。视频中出现一个名为“Thomas Harris”或“Thomas Roberts”的合成人物形象，通过高级的面部动画、语音合成和身体动作复制技术创建。

从深度伪造到PowerShell恶意载荷

攻击的核心在于其使用AI生成的脚本，旨在绕过用户的怀疑。受害者被引导打开Windows的运行对话框（Win+R），并执行一个PowerShell命令，从Pastefy[.]com或Obin[.]net等粘贴分享网站获取恶意脚本。

研究人员解密的一例代表性载荷显示，攻击者甚至使用ChatGPT优化了他们的代码：

该脚本连接到命令与控制（C&C）服务器（最近被追踪为developer-update[.]dev或developerbeta[.]dev），以部署Lumma Stealer或NetSupport远程访问工具。

Lumma Stealer会窃取加密货币钱包和浏览器凭证，而NetSupport则授予攻击者对其系统的完全控制权。取证分析揭示了关键组件的SHA-256哈希值，包括：

• a5e0635363bbb5d22d5ffc32d9738665942abdd89d2e6bd1784d6a60ac521797（恶意PowerShell脚本）
• 2fe60aa1db2cf7a1dc2b3629b4bbc843c703146f212e7495f4dc7745b3c5c59e（Lumma Stealer变种）

随着网络犯罪分子现在能够自动化人物创建和脚本优化，通过多种渠道验证数字指令已成为一项不可或缺的安全实践。

消息来源：FREEBUFhttps://www.freebuf.com/articles/network/422271.html

马斯克DOGE网站被黑，惊现“这是一个.gov网站的笑话”

近日，埃隆·马斯克的政府效率部(DOGE)推出的网站被发现存在重大安全漏洞，允许未经授权的用户直接修改网站内容，引发了人们对DOGE安全实践的质疑。

DOGE网站于今年1月上线，旨在展示该部门削减政府开支的努力。然而数周以来，该网站基本处于闲置状态，只有三行文字和一个卡通标志。直到上周，网站才得到进一步开发。该网站从Cloudflare Pages站点获取数据，底层代码在那里部署。两名网页开发专家发现，doge.gov网站连接到一个可被第三方访问和修改的数据库。这使任何人都能进行未经授权的修改，并在正式网站上显示。该漏洞很快就被利用，有人在网站主页发布了讽刺性的信息。其中一条写着"这是一个.gov网站的笑话。"另一条则是"这些'专家'让他们的数据库暴露了。"这些信息在网站上停留了数小时。专家指出，该网站似乎是匆忙构建的，页面源代码中存在许多错误和暴露的敏感信息。

目前，DOGE团队已解决了网站问题，删除了有争议的信息。然而，此事引发了人们对该部门处理敏感数据和维护安全系统的能力的质疑。据报道，在被黑之前，DOGE网站曾公布过机密情报数据。

消息来源：GoUpSec https://mp.weixin.qq.com/s/qwlYui7rnfg8goybl-6mpA

小天才手表遭陌生号强绑监护人？二次放号或成隐私泄露重灾区

近日，重庆一位家长在社交平台发布视频称，其孩子的小天才电话手表（型号ZZ8少年版）被陌生号码申请为监护人，并在家长拒绝绑定后仍成功关联。该陌生人不仅可查看孩子实时定位，还能发送语音信息，引发公众对这类儿童智能设备安全性的强烈关注。据该家长回忆称，尽管她在后台拒绝了绑定申请，但系统仍显示绑定成功。家长质疑称，手表从未丢失，绑定码也未泄露，且最高权限仅自己拥有，因此对绑定机制的安全性提出疑问。小天才客服最初回应，可能是对方通过绑定码完成操作，但未解释具体漏洞。

2月16日，该家长在社交平台进一步更新了事件后续，称“自己本身出了一个纰漏”，回忆曾将孩子手表绑定至一个不常用的手机号，后因忘记解绑，该号码被运营商回收并流入市场。新号主（一名女子）恰好为小天才用户，误将丈夫添加为监护人，导致其丈夫向孩子发送语音。经警方核实，该号码确系“二次放号”引发的问题。尽管如此，这一事件仍暴露了小天才手表在用户信息管理和解绑流程上的潜在漏洞。

消息来源：安全内参https://www.secrss.com/articles/75853

雅虎再曝数据泄露：60万邮箱账户暗网兜售

近日，网络安全领域再起波澜，雅虎公司被卷入一起严重的数据泄露事件。据外媒报道，一名化名为“exelo”的黑客在暗网论坛上兜售一个包含602,800个雅虎邮箱账户的数据库。该黑客声称这些数据是“私密且非俄罗斯来源的”，并以100美元的价格出售整个数据库，同时提供50,000个账户的免费样本供潜在买家测试。

这起事件引发了广泛关注，因为此类数据泄露往往包含用户的敏感信息，如用户名、加密密码、出生日期和备用电子邮件地址等。

网络安全专家提醒，旧的数据集有时会被重新包装，并在暗网市场上以“新数据”的名义出售给不知情的买家。如果此次泄露事件属实，可能会对受影响的用户产生严重后果，包括增加撞库攻击风险、网络钓鱼攻击以及身份盗用等。

为防止潜在的账户安全风险，雅虎用户应立即采取以下措施：

• 更改密码：更新雅虎账户密码，并确保密码的唯一性和强度。避免在不同平台上重复使用相同密码。
• 启用双重认证（2FA）：通过添加额外的安全层，即使凭据被泄露，也可以防止未经授权的访问。

消息来源：看雪学苑https://mp.weixin.qq.com/s/Idd75a_NKgmMoRjGDm_ODg

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！