要闻速览
1、国家网信办等三部门联合公布《网络数据安全风险评估办法》
2、国家网信办印发《实施网络安全标识的产品目录(第一批)》及相关实施规则
3、43万台FortiGate防火墙遭“窃听”,1.1亿账号密码被偷
4、已修复:三星 7.8 分漏洞披露,影响 Galaxy S9 至 S25 系列手机
5、印度塔塔电子遭勒索,苹果、特斯拉超630G数据泄露
6、巴西全国手机遭疑似网络攻击,虚假紧急警报大范围传播
一周政策要闻
国家网信办等三部门联合公布《网络数据安全风险评估办法》
为贯彻落实《数据安全法》等法律法规,国家互联网信息办公室、工业和信息化部、公安部于6月18日联合发布《网络数据安全风险评估办法》。办法自2026年8月20日起施行,旨在规范风险评估活动,以安全保障数据产业发展。
办法明确了差异化评估频次:重要数据每年评估,重大变动追加专项评估,一般数据建议三年一次,企业可自主或委托第三方开展,但须专人负责并签订权责清晰的委托协议。评估工作可参照GB/T 45577-2025、GB/T 45389-2025两项国家标准执行,行业另有规范的从其规定。
办法对第三方机构提出硬性约束:禁止转委托、评估结果须真实完整,同一机构不得连续三次为同一企业做年度评估,接触数据须严格保密,发现重大风险须及时告知企业。
在监管层面,各部门每年1月底前报送检查计划由网信部门统筹协调,避免重复检查与重复委托。省级以上部门对重要数据企业评估报告进行核验,存在安全隐患可责令整改、暂停数据处理,违规者依法处置,同时开放社会投诉举报,形成事前、事中、事后全链条监管闭环。
国家网信办印发《实施网络安全标识的产品目录(第一批)》及相关实施规则
根据《网络安全标识管理办法》,国家互联网信息办公室、工业和信息化部、公安部制定了《实施网络安全标识的产品目录(第一批)》及相关实施规则,现印发公布,请各单位遵照执行。
同时,全国网络安全标准化技术委员会组织制定的《网络安全标识 消费类网联摄像头安全要求》(网络安全标准实践指南TC260-PG-20265A),将作为该类产品实施网络安全标识的标准依据,自2026年7月1日起正式施行。
消息来源:国家互联网信息办公室 https://www.cac.gov.cn/2026-06/18/c_1783525604615337.htm
业内新闻速览
43万台FortiGate防火墙遭“窃听”,1.1亿账号密码被偷
一场代号为FortiBleed的大规模凭证窃取行动正席卷全球,已导致超过43万台FortiGate防火墙沦陷,超1.1亿条用户名、密码及密码哈希被截获。该行动至少自2026年2月起持续至今,攻击者并非利用漏洞,而是将处于网络边界的FortiGate设备变为隐蔽监听哨,滥用其内置诊断命令在实时流量中截获认证信息,全程不触发告警,并借助定制化程序和AI代理实现高度工业化的自动化运作。
受害范围覆盖美国、印度及东南亚多国,中小企业成为重灾区,约三分之二受害企业员工不足两百人,近九成年营收低于一亿美元。攻击链条涵盖五个阶段:利用已泄露凭证和定制字典识别公网设备;自动化工具对FortiGate、Synology及MSSQL等服务进行登录尝试;获取SSH权限后植入嗅探工具捕捉流量中的明文密码和NTLM哈希;将哈希送入基于Hashtopolis管理的分布式GPU集群进行高速破解,用于活动目录枚举和横向移动;最后通过SMB/DFS共享窃取文件并重放Web Cookie劫持会话以维持持久化,其背后甚至设有定制Telegram机器人用于回传指令,运作规模已近乎企业化。
针对这一威胁,防御者应立即轮换所有VPN及管理员凭证,强制启用多因素认证,并将管理界面从公网暴露中撤下,同时排查日志中的异常行为痕迹,强化对网关层网络嗅探和大规模凭证窃取行为的检测能力。
已修复:三星 7.8 分漏洞披露,影响 Galaxy S9 至 S25 系列手机
三星安卓内核被曝存在一个持续约八年之久的高危漏洞(CVE-2026-20971,CVSS评分7.8),该漏洞由网络安全公司LucidBit Labs于2026年6月22日披露,影响范围涵盖从Galaxy S9系列到S25系列以及Galaxy A系列在内的多款设备,无论搭载高通骁龙还是三星Exynos芯片均存在风险,涉及安卓13至16系统。
该漏洞潜伏于三星KNOX安全体系的PROCA进程认证子系统与FIVE完整性度量子系统相关代码中,属于use-after-free类型,根因在于task_integrity对象的生命周期管理存在缺陷。/proc/[pid]/integrity/目录下的接口直接引用了task->integrity指针,却未能妥善处理对象失效后的引用关系。这一疏忽导致任意应用程序即便不持有任何权限,也能利用该漏洞搜索内核内存空间,进而获取设备的完全控制权,安全影响极为严重。
据悉,三星已于2026年1月推送安全更新完成修复,建议受影响设备用户及时更新系统以消除风险。
消息来源:IT之家 https://baijiahao.baidu.com/s?id=1868951891107125897&wfr=spider&for=pc
印度塔塔电子遭勒索,苹果、特斯拉超630G数据泄露
6月22日,印度塔塔电子近日证实发生一起网络安全事件,事件发生几周前,公司已立即启动应对方案,并强调该事件未对各业务运营造成任何影响。此前勒索组织World Leaks在其暗网泄密网站上发布了超过20万份据称与该企业相关的文件,数据总量达630.4GB。泄露的204,341份文件中包含大量机密和专有数据,包括苹果和特斯拉的原理图、技术与机械图纸、完整的护照扫描件等。安全研究人员审查样本后发现,文件涉及苹果制造流程和特斯拉工程项目,其中包含名为“com.apple.factorydata”的文件夹以及标注为“商业机密”的文件。尤其值得注意的是,一份涉及特斯拉改进型Model 3轿车的图纸被明确标记为商业机密。此外,泄露数据还涵盖PDF、Excel电子表格、能源账单、工厂许可证、员工电子邮件、加密证书、密钥文件以及跨越数年的事件日志等。研究人员还在文件中发现对富士康、和硕和高通等苹果供应链关键公司的提及,但暂无证据表明这些企业已被入侵。据路透社报道,苹果公司已表示正在调查此事件,塔塔集团据称已收到赎金要求,但未透露是否正在谈判或具体索要金额。
巴西全国手机遭疑似网络攻击,虚假紧急警报大范围传播
近日,巴西全国范围的紧急警报系统遭遇网络攻击,攻击者利用该系统向多地手机用户发送虚假极端警报。事件发生在上周六清晨,巴西多州居民收到一条包含葡萄牙语单词"misantropia"变体"misantropi4"的异常短信,并带有最高级别的"极端警报"标识,而当时并未发生任何自然灾害或紧急事件,引发广泛混乱。虚假信息最早出现在南部巴拉那州,数分钟内便扩散至圣保罗、里约热内卢等主要城市。巴西采用Cellbroadcast工具发送公共警报,由电信管理局管理。因虚假警报来自政府网络外部,当局于凌晨1时30分将预警平台强制下线。调查发现,攻击者利用系统严重安全缺陷入侵:2016年政府员工电脑感染恶意软件致密码泄露,但该密码十年来从未更改且与用户名相同;系统亦未要求安全连接或短信验证,安全问答长期固定为“2+2=”。目前地方当局正与电信管理局联合调查,此次事件为各国公共警报系统安全运维敲响了警钟。
消息来源:FREEBUF https://www.freebuf.com/news/487662.html
来源:本安全周报所推送内容由网络收集整理而来,仅用于分享,并不意味着赞同其观点或证实其内容的真实性,部分内容推送时未能与原作者取得联系,若涉及版权问题,烦请原作者联系我们,我们会尽快删除处理,谢谢!
