创作中心
  1. 首席安全官首页
  2. 快讯
2024年7月24日 • 周三
00:01

人工智能安全监管制度促进网络安全体制建设

新华社受权发布《中共中央关于进一步全面深化改革推进中国式现代化的决定》,其中提到,加强网络安全体制建设,建立人工智能安全监管制度。

2024年6月1日 • 周六
02:20

加拿大医疗组织个人敏感信息大规模数据泄露

据称,2024 年 5 月 30 日,Qiulong勒索软件组织宣布发生一起重大数据泄露事件,涉及Indigo ENT Group,该公司从事医院和医疗保健行业,总部位于加拿大不列颠哥伦比亚省高贵林。根据该组织分享的一篇帖子,他们已经渗透了 Indigo ENT 的网络数周,在此期间,他们声称窃取了数千份个人、机密和受保护的健康信息 (PHI) 以及患者的个人身份信息 (PII)。

加拿大医疗组织个人敏感信息大规模数据泄露
02:02

秘鲁信贷银行用户敏感信息大规模数据泄露

据称BCP 秘鲁银行的数据库遭到入侵并可供下载。据称泄露的数据包括57,694 行,包括敏感的客户信息,例如卡类型、发行类型、银行识别号、持卡人姓名、账户持有人姓名、家庭住址、居住省份、客户 ID和主要电话号码。如果属实,此次入侵将对受影响的个人构成重大风险,可能导致身份盗窃、金融欺诈和其他恶意活动。

秘鲁信贷银行用户敏感信息大规模数据泄露
01:57

美国医疗保健公司医疗数据大规模泄露

一家美国大型医疗服务提供商正在以未经授权的 FTP 方式出售 1.5 TB 的敏感患者数据。访问内容包括包含详细个人信息的综合患者文件。访问类型为具有写入下载功能的 FTP,允许潜在买家根据自己的意愿操纵数据。这些数据大小为 1.5 TB,于 2024 年 1 月 30 日开放。

患者档案包含大量个人信息,包括地址、患者姓名、出生日期、社会安全号码 (SSN)、性别、电话号码等等。令人震惊的是,该公司每天都在积极更新和编辑这些数据。尽管自 2024 年 3 月 2 日起挂牌出售,但仍未售出。目标组织涵盖了美国 50 多个设施,因此此次泄露的潜在影响范围很广。

泄露数据信息:

访问类型:具有写入下载功能的 FTP
数据大小: 1.5 TB
上市时间:截至 2024 年 1 月 30 日
内容:完整的患者档案,包括地址、患者姓名、出生日期、社会安全号码 (SSN)、性别、电话号码等
更新:公司每天都会积极更新和编辑数据。尽管自 2024 年 3 月 2 日起挂牌出售,但仍未售出。
范围:目标包括美国境内 50 多家工厂

美国医疗保健公司医疗数据大规模泄露
00:53

施华洛世奇存存在未经授权的访问遭受勒索威胁

在一次网络事件中,有人出售未经授权的施华洛世奇管理门户访问权限。据称,这种访问权限允许潜在买家查看和提取所有客户数据,对公司客户构成重大安全威胁。这种非法访问的标价为800 欧元。

施华洛世奇存存在未经授权的访问遭受勒索威胁
00:49

俄罗斯黑客组织Hunt3r Kill3rs对以色列政府和军事基础设施发起网络攻击

俄罗斯黑客组织Hunt3r Kill3rs宣布将对以色列发动新一轮网络攻击,重点攻击以色列的军事和政府基础设施。该组织在一份声明中宣称其意图是“折磨以色列”,并承诺将进行无情攻击,直到他们认为以色列的罪行停止。

Hunt3r Kill3rs 组织宣布将继续对以色列发动攻击。根据该组织的声明,这些网络攻击将持续进行,直到他们所说的以色列罪行结束。该组织誓言要加大力度,这表明他们将对以色列基础设施进行长期和有针对性的攻击。

俄罗斯黑客组织Hunt3r Kill3rs对以色列政府和军事基础设施发起网络攻击
2024年5月28日 • 周二
07:07

暗网出售Outlook邮件客户端远程代码执行高危漏洞

一个名为“Cvsp”的id,在暗网论坛宣布出售Outlook 远程代码执行 (RCE) 漏洞0day。该漏洞旨在针对跨 x86和x64 架构的Microsoft Office 版本,全球用户构成重大安全威胁。

漏洞影响版本

– Microsoft Office 2016

– Microsoft Office 2019

– Microsoft Office LTSC 2021

– Microsoft 3654 APP for Enterprise

暗网出售Outlook邮件客户端远程代码执行高危漏洞
2024年5月22日 • 周三
23:48

可绕过身份验证,GitHub企业服务器曝满分漏洞,附PoC

近日,安全研究人员披露了GitHub企业服务器(GHES)的关键漏洞(CVE-2024-4985,cvss得分:10.0),该漏洞允许未经授权的攻击者,在不需要预先认证的情况下访问GHES实例。目前GitHub已经推出了修复措施,没有发现该漏洞已经被大规模利用,用户可将GHES更新到已修补的版本(3.9.15、3.10.12、3.11.10、3.12.4或更高版本)。如果无法立即更新,考虑暂时禁用SAML认证或加密断言功能作为临时缓解措施。
参考:https://cncso.com/critical-github-enterprise-server-flaw-allows-authentication-bypass.html

可绕过身份验证,GitHub企业服务器曝满分漏洞,附PoC
2024年4月23日 • 周二
07:38

网络钓鱼狂潮:Microsoft和谷歌是网络诈骗中被模仿最多的品牌

根据 Check Point 的一份报告,Microsoft 和 Google 是 2024 年第一季度网络钓鱼攻击中最常被冒充的品牌。 2024 年第一季度,以 Microsoft 为主题的网络钓鱼尝试占攻击的 38%,而谷歌为11%。科技行业仍然是品牌网络钓鱼中被冒充最多的行业,其次是社交网络和银行业。

网络钓鱼狂潮:Microsoft和谷歌是网络诈骗中被模仿最多的品牌
2024年3月20日 • 周三
08:34

上海通管局开展车联网网络和数据安全专项行动

近日,上海市通信管理局发布的《关于开展“铸盾车联”2024年车联网网络和数据安全专项行动的通知》已对外公示。本次专项行动重点对象为在上海市生产、销售智能网联汽车产品的生产企业、运营车联网相关平台的服务企业车联网网络设施和车路协同设施运营企业以及自动驾驶功能产品和解决方案服务企业。其中包括网络和数据安全主体责任、车联网网络设施和系统安全、智能网联汽车产品安全、车联网平台和应用服务安全、车联网数据安全、自动驾驶功能安全六大方向。

上海通管局开展车联网网络和数据安全专项行动
点击加载更多