近日，国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部、广电总局公布《生成式人工智能服务管理暂行办法》（以下称《办法》），自2023年8月15日起施行。国家互联网信息办公室有关负责人表示，出台《办法》，旨在促进生成式人工智能健康发展和规范应用，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益。 近年来，生成式人工智能技术快速发展，为经济社会发展带来新机遇的同时，也产生了传播虚假信息、侵害个人信息权益、数据安全和偏见歧视等问题，如何统筹生成式人工智能发展和安全引起各方关注。出台《办法》，既是促进生成式人工智能健康发展的重要要求，也是防范生成式人工智能服务风险的现实需要。 《办法》提出国家坚持发展和安全并重、促进创新和依法治理相结合的原则，采取有效措施鼓励生成式人工智能创新发展，对生成式人工智能服务实行包容审慎和分类分级监管，明确了提供和使用生成式人工智能服务总体要求。提出了促进生成式人工智能技术发展的具体措施，明确了训练数据处理活动和数据标注等要求。规定了生成式人工智能服务规范，明确生成式人工智能服务提供者应当采取有效措施防范未成年人用户过度依赖或者沉迷生成式人工智能服务，按照《互联网信息服务深度合成管理规定》对图片、视频等生成内容进行标识，发现违法内容应当及时采取处置措施等。此外，还规定了安全评估、算法备案、投诉举报等制度，明确了法律责任。 国家互联网信息办公室有关负责人指出，生成式人工智能服务的发展与治理需要政府、企业、社会、网民等多方参与，共同促进生成式人工智能健康发展，让生成式人工智能技术更好地造福人民。     转自Freebuf，原文链接:https://www.freebuf.com/articles/371964.html 封面来源于网络，如有侵权请联系删除

为切实加强网络暴力信息治理力度，营造良好的网络生态环境，国家互联网信息办公室根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等法律、行政法规，起草《网络暴力信息治理规定（征求意见稿）》（以下简称《规定》）。 《规定》共 31 条。第 1 条至第 4 条阐述了立法的目的，适用范围、网络暴力涉及的内容管理体制。第5条至第 23 条划定明确的网络信息提供商主体责任。第 24 至 29 条为监督及法律责任，规定管理部门的能力检查、工作监管职责以及运营者的违法情形与法律责任。 《规定》中划定的网络暴力信息是指通过网络对个人集中发布的，侮辱谩骂、造谣诽谤、侵犯隐私，以及严重影响身心健康的道德绑架、贬低歧视、恶意揣测等违法和不良的信息。 网络信息服务商应该怎样做？ 网络信息服务商应当履行内容主体责任。《规定》指出网络信息服务提供者应当履行信息内容管理主体责任，建立完善网络暴力信息治理机制，健全账号管理、信息发布审核、监测预警、举报救助、网络暴力信息处置等制度。 网络信息服务商应当制定管理规则，定期公布治理情况。《规定》第七条要求网络信息服务提供者制定和公开管理规则、平台公约，在用户协议中明确用户制作、复制、发布和传播网络暴力信息应承担的责任，并依法依约履行相应管理职责。此外，《规定》强调网络信息服务提供者应当定期发布网络暴力信息治理公告，并在网络信息内容生态治理工作年度报告中，报告相关工作情况。 网络信息服务商应当及时预警、处理网络暴力事件。《规定》第十一条指出网络信息服务提供者应当建立健全网络暴力信息预警模型，综合考虑事件类别、针对主体、参与人数、信息内容、发布频次、环节场景、举报投诉等维度，及时发现预警网络暴力风险。 一旦发现网络暴力事件，《规定》第十二条要求网络信息服务提供者发现侮辱谩骂、造谣诽谤、侵犯隐私等网络暴力信息的，应当采取删除屏蔽、断开链接、限制传播等处置措施。 网络信息服务商应当建立完善的用户保护机制。《规定》第十八条强调网络信息服务提供者应当建立完善网络暴力防护功能，提供一键关闭陌生人私信、评论、转发和消息提醒等设置。用户面临网络暴力风险时，应当及时发送系统信息，提示其启动一键防护。值得一提的是，在《规定》第二十三条中明确指出要加强对于未成年人用户的特殊、优先保护，网络信息服务提供者应当优先处理涉未成年人网络暴力信息举报。 对于互联网新闻信息服务单位，《规定》也做出相应要求，要求这些单位应当坚持正确的舆论导向，加强信息内容真实性、合法性审核，不得渲染炒作网络暴力事件，新闻信息跟帖评论实行先审后发。 最后，《规定》第十七条中明确要求任何组织和个人不得借网络暴力事件实施蹭炒热度、推广引流、故意带偏节奏或者跨平台搬运拼接虚假信息等恶意营销炒作行为。网络信息服务提供者不得为传播网络暴力的账号、机构等提供流量、资金等支持。 网信部门依法进行监督审查 在《规定》二十四条中明确了网信部门应当依法对网络信息服务提供者网络暴力信息治理工作落实情况进行监督检查。对于违法《规定》的网络信息服务提供者，依照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律、行政法规的规定予以处罚。 注：法律、行政法规没有规定的，各级网信部门依据职责给予警告、通报批评，责令限期改正，可以并处一万元以上十万元以下罚款；因处置不及时造成公民生命健康安全等严重后果的，处十万元以上二十万元以下罚款，可责令暂停信息更新。网络信息服务提供者发起、组织网络暴力或借网络暴力事件实施恶意营销炒作等行为，应当依法从严从重处罚。 除履行监管责任外，网信部门应当会同有关部门建立健全信息共享、会商通报、取证调证、案件督办等工作机制，协同开展网络暴力信息治理工作。 对于用户层面的网络暴力，《规定》第二十八条中提出网络用户违反本规定的，网络信息服务提供者应当依法依约采取警示提醒、限制账号功能、关闭注销账号等处置措施；对首发、多发、组织、煽动发布网络暴力信息的，采取列入黑名单、禁止重新注册等处置措施。对借网络暴力事件实施恶意营销、违规营利等行为的，除前款规定外，应当依法依约采取清除新增粉丝、暂停营利权限等处置措施。     转自Freebuf，原文链接：https://www.freebuf.com/news/371416.html 封面来源于网络，如有侵权请联系删除

问题到底出在哪里？ 当个人信息被用于颜值打分时，信息裸奔时代的人们再一次愤怒了。 近日，中国人民大学毕业生马某某涉嫌在校期间非法获取学校内网数据，收集全校学生个人隐私信息，并公开发布在网站上进行颜值打分。目前，北京海淀警方已经依法刑事拘留马某某，案件正在进一步调查中。 当事件曝光时，中国人民大学在校生小琳的第一反应是惊讶：“他是通过什么方式获取这些数据的？从哪里获得的”，随之而来的是愤怒以及被冒犯的厌恶。 澎湃新闻梳理了近三年 52 份学生个人信息泄露的相关裁判文书，试图探究到底是谁在泄露学生信息，哪些环节出了纰漏，又是谁应当为此负责？ 廉价的个人信息： 1 元能买 200 名学生的信息 这 52 份判决书透露着与学生个人信息泄露相关的“罪与罚”。 有 39 份明确了信息泄露的主要类型——个人基本信息、学校信息是泄露最多的信息类型，包括姓名、性别、出生年月、院校、专业、班级等。此外，不法分子还获取了身份证、贷款信息等更敏感的个人信息。 除了学生相关个人信息外，学生群体的信息泄露往往还伴随家长个人信息的“裸奔”。据不完全统计，有 53% 的学生信息泄露案件涉及家长个人信息泄露。 而这些个人信息的单价极其低廉，《王某某侵犯公民个人信息刑事一审刑事判决书》显示，不法分子仅花费 1 千元就买到 18 万条学生信息，约等于只花 1 元就可以买到 200 个人的信息。 不同类型的个人信息在泄露、组合后，成为不法分子进一步实施侵害的“原料”。而这些侵害又往往以电信诈骗的形式出现。 江苏省无锡市惠山区人民法院于 2020 年审理的案件中，被告人王宜恒利用事先在网上购买的学生家长个人信息和 QQ 号码，使用伪造的培训通知书，冒充子女身份，以需缴纳培训费为由，多次骗得被害人钱财共计人民币 76120 元。判决书显示，被告人王宜恒犯诈骗罪、侵犯公民个人信息罪等，数罪并罚被判处有期徒刑四年三个月，罚金 5000 元。其中，犯侵犯公民个人信息罪的部分，判处有期徒刑三个月、罚金 3000 元。 通过梳理多份判决书的量刑标准可以看到，在侵犯公民个人信息罪的刑罚上，会考量信息泄露体量、犯罪手段、犯罪目的等多方面因素。 对比《蔡滔侵犯公民个人信息一审刑事判决书》（下称蔡滔案）及《张晓东侵犯公民个人信息罪一审刑事判决书》（下称张晓东案）两份判决书可以看到，被告人均被判处 4 年 9 个月的有期徒刑，但涉案的个人信息体量却差异显著。 蔡滔案涉及侵犯公民个人信息 1603 万条，非法获利 3.8 万元；张晓东案涉及侵犯公民个人信息 27.9 万条，非法获利 238 美元（约 1723 元）。法院指出，由于张晓东案在非法获取公民个人信息中，使用了侵入、控制他人计算机等手段，情节特别严重，量刑上要重于其他类似公民个人信息泄露体量、获利的案件。 专家：企业等单位应设定 并实施数据合规制度 关于马某某获取学校内网数据的途径，目前尚不清楚。而在以往案例中，不少犯罪分子是借着“职务之便”，获取大量学生个人信息。52 份裁判文书中，至少有 1/3 都是此类情况。 一则曾被多家媒体报道的案例是，成都多所高校学生突然发现他们“被就业”，有企业盗用了他们的身份信息，用于逃税。而信息泄露的源头是，某保险公司员工泄露了其在职时获得的学生信息名单。 上述案例都告诉我们，学生信息泄露的漏洞往往在于接触到数据的员工。 而学生个人信息泄露的责任通常归咎于个体，不会落到公司头上。在 52 份相关文书中，仅有两例是公司需要为个人信息泄露负责，而其他 50 例都是由个体来承担责任。 一份判定公司违法的文书提到，某教育咨询公司法定代表人从网上购买了 27 万余条学生信息，并雇佣他人使用这些信息，以打电话、上门免费授课等方式推销教育软件。该公司借此获利至少六万元。最终法院判定该公司及其负责人犯侵犯公民个人信息罪，并合计处以 14 万元的罚金。 在此次人大学生信息泄露事件中，浙江垦丁律师事务所创始合伙人麻策认为，马某某可能构成侵犯公民个人信息罪，而学校和学生间因为没有“犯罪合意”，学校一般不构成侵犯公民个人信息罪。 “一般来说，需要综合考虑犯罪行为是否为单位利益而实施、是否以单位名义实施、是否经单位决策、违法所得是否归单位所有、单位是否明知应知等因素来考虑企业等单位是否构罪。”麻策告诉澎湃新闻，但如果学校违反信息网络安全管理义务，经监管部门责令采取改正措施后拒不改正，致使用户的公民个人信息泄露，则可能以拒不履行信息网络安全管理义务罪来定罪处罚。 不过，数据安全法和个人信息保护法等法律法规都对运营单位赋予了必要的法定义务。麻策说，企业等单位应当在内部制定并实施数据合规制度，采取必要组织和安全权限措施，比如设置信息安全部门，指定个人信息保护负责人。此外，企业等单位也应当培养员工的数据合规意识，明确违规红线，以此来隔绝或减少员工的犯罪牵连概率。 在大规模信息泄露事件中，麻策建议用户直接报警，尤其是当个人信息仍持续面临扩大化泄露风险的情况下，而企业等单位也有义务通知用户，“目前鲜有企业会实施通告，这无疑会影响用户采取保护措施的时机”。     转自安全内参，原文链接：https://www.secrss.com/articles/56401 封面来源于网络，如有侵权请联系删除

7 月 1 日 晚，社交媒体上突然出现大量讨论#人大学生信息泄露#的帖子，网传中国人民大学一名毕业生通过非法技术手段，盗取了近几届人民大学学生的个人信息，并制作成网页供任何人随意浏览，甚至还可给该校女学生的颜值打分。 从网上披露的网传信息显示，被盗取的学生信息包括照片、姓名、学号、籍贯等，这些信息被公开在网站上。 人民大学学生信息被盗一事引起社会广泛关注，人民大学很快便做出回应。7 月 2 日，中国人民大学官方微博账号发布情况通报表示，学校已关注到我校部分学生信息被非法获取的情况，对此高度重视，第一时间联系警方，目前正积极配合警方等相关部门开展调查。学校强烈谴责侵犯个人隐私、危害信息安全的行为。感谢社会各界对学校的关心。 人民大学对学生信息被盗一事快速处理的态度获得民众的大力支持，社会上开始讨论若此事属实，该名毕业生曝光盗取的全校学生照片等个人信息，并制作网站，是否涉嫌犯罪？ 对于数据被盗事件，上海某律师事务所合伙人陈律师指出《民法典》和 2021 年 11 月 1 日起施行的《中华人民共和国个人信息保护法》中均明确了自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。一旦确认该男生的行为，其不但涉嫌侵权，严重的可能要承担刑事责任，即便该男生没有将相关网站内容对外公布，其收集和处理他人个人信息的行为也可能涉嫌违法。 此外，根据河南某律师事务所付律师的意见，涉事男生不但涉及侵犯公民个人信息罪，还涉及非法获取计算机信息系统数据罪。根据《检察机关办理侵犯公民个人信息案件指引》规定，对于采取网络技术手段非法获取计算机系统中公民个人信息的，同时触犯侵犯公民个人信息罪和非法获取计算机信息系统数据罪，应当择一重罪论处。具体处罚要依据嫌疑人的犯罪情节来定。 警方回应 海淀警方接到人民大学报警后，迅速针对“中国人民大学部分学生信息被非法获取”的情况，组织人员开展调查。经查，嫌疑人马某某（男，25岁，该校毕业生）涉嫌非法获取该校部分学生个人信息等违法犯罪行为。目前，马某某已被海淀公安分局依法刑事拘留，案件正在进一步调查中。警方高度重视公民个人信息保护，对于相关违法犯罪，将依法予以严厉打击。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370922.html 封面来源于网络，如有侵权请联系删除

近日，LockBit勒索软件团伙声称已入侵台湾半导体制造公司（TSMC），并获得7000万美元赎金。据悉，台积电是全球第一家专业积体电路制造服务（晶圆代工foundry）企业。 上周三，一个名为Bassterlord的Lockbit关联公司通过Twitter宣布了对台积电的黑客攻击，并分享了与该公司相关信息的截图，作为攻击的证据。 该勒索软件集团声称已经从该公司窃取了大量敏感信息，并威胁说在拒绝付款的情况下将公布这些信息。该组织还计划公布可以让威胁者进入该公司基础设施的信息。 “在拒绝付款的情况下，还将公布进入网络的点以及密码和登录公司。”Lockbit运营商在其泄漏网站上发布的公告这样写道。 该组织最初给了台积电7天时间来支付赎金，但后来它将最后期限推迟到8月6日。台积电否认它被Lockbit攻破，而是证实该组织攻破了该公司的一个IT硬件供应商Kinmax Technology。 官方声明如下：“台积电经过审查，本次网络安全事件并未影响台积电的业务运营，也没有泄露台积电的任何客户信息。台积电在事件发生之后，立即根据公司的安全协议和标准操作程序，终止与该供应商的数据交换。”同时勒索集团LockBit宣称对本次安全事件负责，官方在其网站上列出了相关数据，并索要7000万美元（当前约5.08亿元人民币）赎金。 LockBit表示，如果台积电不付款，它还将发布密码和登录信息。LockBit表示相关数据是从Kinmax Technology窃取的，该公司为台积电提供网络，云计算，存储和数据库管理等IT服务。经审查，这一事件没有影响台积电的业务运营，也没有泄露台积电的任何客户信息。台积电指出，在情况得到解决之前，它不会与被黑的供应商合作。 “事件发生后，台积电已经根据公司的安全协议和标准操作程序，立即终止了与这家相关供应商的数据交换。台湾的Kinmax Technology还为其他知名公司提供服务，包括思科、思杰、HPE、微软和Nvidia。 Kinmax在6月29日发现了安全漏洞，它还补充说，该事件影响了一个测试环境。 Kinmax解释说”泄露的内容主要包括本公司作为默认配置提供给客户的系统安装准备，我们要向受影响的客户表示诚挚的歉意，因为泄露的信息中含有他们的名字，可能给他们带来一些不便。公司已经彻底调查了这一事件，并实施了强化的安全措施，以防止将来发生此类事件。” 早在2018年8月，一个恶意软件感染了几个台湾半导体制造有限公司（TSMC）工厂的系统，这些工厂是苹果生产其设备的工厂。该公司证实，其系统感染了臭名昭著的WannaCry勒索软件的一个变体，该软件在2017年5月的几个小时内袭击了150个国家的20万台电脑。     转自E安全，原文链接：https://mp.weixin.qq.com/s/tFYKM2Fi1RgFUfzGF1k5qQ 封面来源于网络，如有侵权请联系删除

Gartner于2022年首次发布《2022年中国安全技术成熟度曲线》，该曲线指出，随着国内数字化转型的推进，尤其是云计算、大数据、人工智能、物联网和电子商务的发展，企业机构数字资产保护已成为安全和风险管理领导者的关键任务。 国内法规日趋严格，安全的重要性更甚以往。这篇报告是全新的中国安全创新领域技术成熟度曲线。中国安全技术与市场，在技术成熟度、产品、供应商等方面与国际市场存在差异，因此本文针对国内特点筛选了一批创新安全技术和服务（见图一）。 （图一：2022年中国安全技术成熟度曲线） 中国的机密计算 机密计算是在基于硬件的可信执行环境（TEE，也被称作Enclave）中执行代码的安全机制。这些Enclave将代码和数据与主机系统及主机系统所有者隔离，保护代码和数据的安全，同时确保代码完整性并进行证明。 中国于2020年将数据定义为一种生产要素，希望通过数据交换和处理的方法来激活数据价值。《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）和《中华人民共和国数据安全法》（以下简称《数据安全法》）的实施，也促使企业寻求数据保护。 机密计算将芯片级TEE与传统密钥管理与加密协议相结合，以实现不可读取的计算，支持多个项目在无需数据或IP共享的情况下实现重要的合作。 中国的物联网身份认证 物联网（IoT）身份认证是指设备、应用、云服务、网关或在物联网环境中操作的人工用户等实体在与某个单一实体（通常是设备）互动时，为该实体的身份建立信任的机制。物联网身份认证需要考虑到物联网设备的潜在资源限制、所用网络的带宽限制，以及各种物联网实体之间的机制性交互。 物联网解决方案，为优化流程或挖掘新的收入来源带来了新机会。工业物联网带来了更高的制造自动化水平，也推动了制造业的发展。在中国，互联汽车、智慧城市、智能家居和智能可穿戴设备等市场发展迅速。然而，这些互联互通的设备在联通网络和物理世界的同时，也引发了新的攻击威胁。为减少网络攻击，物联网设备需要可信的身份和强大的设备认证。 安全多方计算 安全多方计算（SMPC）是一种分布式计算和密码学方法，支持多个实体（例如：应用、个人、企业机构或设备）进行数据运算，同时使各方的数据或加密密钥受到保护。具体而言，SMPC可使多个实体共享洞察，同时保证可识别数据或其他敏感数据对除己方外的其他实体不可见。 中国政府出台了新的数据相关法律法规，如《个人信息保护法》《数据安全法》，而在中国运营的企业机构也需要实现其业务目标；因此，处理个人数据时面临的复杂性增加，同时需要应对数据安全和隐私保护的挑战。长期以来，数据保护主要用于确保静态数据和传输中数据的安全。采用SMPC方法，则可以保护使用中数据的安全。这是一种安全方法新范式，是传统安全策略的增强版。 中国的零信任网络访问 零信任网络访问（ZTNA）可以为应用提供基于身份和情景的逻辑访问边界。应用可以隐藏起来，无法在检索中发现，仅允许部分指定实体通过信任代理访问。信任代理在允许用户访问前，会先验证用户身份、访问情景以及指定人员和设备是否遵循规定，并禁止网络中的横向移动，从而避免应用对公众曝光，大幅缩小攻击面。 ZTNA通过信任代理，实现用户到应用的分段访问。这是一项重要技术，使企业机构能够隐藏专有应用和服务，并要求所有应用实施最小特权访问模型，通过创建仅包含用户、设备和应用的个性化“虚拟外围”来缩小攻击面。在中国，终端用户对于使用ZTNA来保护企业机构的数据兴趣渐浓。 攻防演练 在攻防演练中，攻击团队（红队）的任务是，利用攻击者可以采用的一切手段对企业机构系统实施攻击，以展示攻击成功带来的影响。这些手段包括网络钓鱼、社会工程、物理渗透、潜伏和突袭。与之相对的是，防守团队（蓝队）负责检测并应对来自红队的攻击。 中国政府每年都会组织国家级攻防演练，不可预测的恶意攻击也日益增多，这些都促使企业机构主动实施攻防演练。安全服务提供商可能会在演练中担任攻击团队的角色，帮助企业安全团队在接近真实的场景下查漏补缺。 转自 Freebuf，原文链接：https://www.freebuf.com/news/350923.html 封面来源于网络，如有侵权请联系删除

据媒体消息，我国首部《反电信网络诈骗法》（以下简称《反诈骗法》）已于9月2日表决通过，12月1日起正式施行。 《反诈骗法》共七章50条，包括总则、电信治理、金融治理、互联网治理、综合措施、法律责任、附则等，坚持以人民为中心，统筹发展和安全，立足各环节、全链条防范治理电信网络诈骗，为反电信网络诈骗工作提供有力法律支撑。 近年来，电信网络诈骗多发高发、社会影响恶劣。国家司法机关对电信网络诈骗的打击力度在不断加大。2016年、2021年，最高人民法院、最高人民检察院、公安部相继联合出台两个法律指导意见，明确严惩电信诈骗，提出了具体的适用法律依据。 法工委发言人杨合庆介绍，对于惩治电信网络诈骗犯罪、依法追究电信网络诈骗犯罪分子的刑事责任，我国现有的法律依据是比较充分的。同时，政府和有关部门近年来采取了多项举措来预防、惩治电信网络诈骗犯罪，取得了一定的成效。 但总体看，电信网络诈骗活动仍然十分猖獗，严重危害了广大人民群众的切身利益，严重损害了社会诚信和国家形象。 “应该说，需要进一步建立健全预防和惩治电信网络诈骗违法犯罪活动的法律制度。”杨合庆说，反电信网络诈骗立法是为了贯彻落实习近平总书记的重要指示批示精神和党中央的决策部署，着眼打击治理的实践需要，着力解决突出问题，回应人民群众的重大关切，织密防范惩治电信网络诈骗犯罪的法律之网。 2021年10月全国人大常委会第31次会议和2022年6月全国人大常委会第35次会议对反电信网络诈骗法草案进行了两次审议。草案二次审议后，中国人大网公布了草案全文，向社会公开征求意见。共有12390位公众提出了28406条意见。 针对公众提出的“加大对电信网络诈骗违法犯罪人员的惩戒力度”“充实完善宣传教育防范方面的规定”的意见建议，草案三次审议稿予以吸收，并在二次审议稿基础上作出相应修改。 草案三次审议稿增加规定：对从事电信网络诈骗犯罪及关联犯罪的人员，可以按照国家有关规定记入信用记录，并采取相应的惩戒措施；进一步加大对尚不构成犯罪人员的行政处罚力度；进一步明确电信网络诈骗分子除依法承担刑事责任、行政责任以外，造成他人损害的，还应当依法承担民事责任。 针对审议稿相关内容，公安部刑事侦查局有关负责人表示，草案三次审议稿加大对从事电信网络诈骗犯罪及关联犯罪人员的打击惩处力度，将在打击非法出售出租出借“两卡”、互联网账号人员，打击涉诈网络黑灰产等方面发挥重要作用。 消息来源：人民公安报 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343637.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 以“Bitter”为名的高级持续性威胁继续对孟加拉国的军事实体进行网络攻击。 该消息来自SecuInfra网络安全专家团队，他们在周二发布了一份报告，描述了南亚APT最近的行动。 “通过恶意文档文件和中间恶意软件阶段，黑客通过部署远程访问木马进行间谍活动。”该文件写道。 SecuInfra的调查结果基于Talos 去年5月发布的一份报告(该报告披露了该组织的扩张和攻击孟加拉国政府组织的意图)，并涵盖了可能在2022年5月中旬发生的一次攻击事件。 具体来说，该攻击可能源于一份武器化Excel文档，该文档可能通过鱼叉式网络钓鱼电子邮件分发。 打开后，电子邮件将利用Microsoft 公式编辑器漏洞(CVE-2018-0798) 从远程服务器中删除名为ZxxZ的有效载荷。 然后，恶意代码将在 Visual C++中实现，并作为第二阶段植入工作，允许黑客部署其他恶意软件。 “将这个指纹识别功能与Cisco Talos文档中记录的指纹识别功能进行比较，我们可以发现Bitter放弃了ZxxZ值分隔符，而使用了一个简单的下划线。” 据SecuInfra称，APT这样做是为了避免通过基于此特定分离器的IDS/IPS系统进行检测。 安全研究人员说，为了防止此类攻击，企业和政府应该定期实施网络和端点检测和响应措施，并修补 Microsoft Office等常用软件。   消息来源：infosecurity，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

6月14日，国家互联网信息办公室发布新修订的《移动互联网应用程序信息服务管理规定》（以下简称新《规定》）。新《规定》自2022年8月1日起施行。国家互联网信息办公室有关负责人表示，修订发布新《规定》旨在进一步依法监管移动互联网应用程序，促进应用程序信息服务健康有序发展。 新《规定》共27条，包括信息内容主体责任、真实身份信息认证、分类管理、行业自律、社会监督及行政管理等条款。 新《规定》提出，应用程序提供者和应用程序分发平台应当遵守法律法规，大力弘扬社会主义核心价值观，坚持正确政治方向、舆论导向和价值取向，自觉遵守公序良俗，积极履行社会责任，维护清朗网络空间。 新《规定》要求，应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任，建立健全信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度，确保网络安全，维护良好网络生态。 这里需要注意，新《规定》所指的应用程序信息服务，是指通过应用程序向用户提供文字、图片、语音、视频等信息制作、复制、发布、传播等服务的活动，包括即时通讯、新闻资讯、知识问答、论坛社区、网络直播、电子商务、网络音视频、生活服务等类型。 新《规定》所指的应用程序分发服务，是指通过互联网提供应用程序发布、下载、动态加载等服务的活动，包括应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型。 新《规定》提出，应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任，积极配合国家实施网络可信身份战略，建立健全信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度，确保网络安全，维护良好网络生态。 针对应用程序提供者，新《规定》提出应当对信息内容呈现结果负责，不得生产传播违法信息，自觉防范和抵制不良信息。应用程序提供者还应当建立健全信息内容审核管理机制，建立完善用户注册、账号管理、信息审核、日常巡查、应急处置等管理措施，配备与服务规模相适应的专业人员和技术能力。不得通过虚假宣传、捆绑下载等行为，通过机器或者人工刷榜、刷量、控评等方式，或者利用违法和不良信息诱导用户下载。 应用程序提供者处理个人信息应当遵循合法、正当、必要和诚信原则，具有明确、合理的目的并公开处理规则，遵守必要个人信息范围的有关规定，规范个人信息处理活动，采取必要措施保障个人信息安全，不得以任何理由强制要求用户同意个人信息处理行为，不得因用户不同意提供非必要个人信息，而拒绝用户使用其基本功能服务。 针对应用程序分发平台，新《规定》提出应当建立分类管理制度，对上架的应用程序实施分类管理，并按类别向其所在地省、自治区、直辖市网信部门备案应用程序。应用程序分发平台还应当采取复合验证等措施，对申请上架的应用程序提供者进行基于移动电话号码、身份证件号码或者统一社会信用代码等多种方式相结合的真实身份信息认证。根据应用程序提供者的不同主体性质，公示提供者名称、统一社会信用代码等信息，方便社会监督查询。 此外，应用程序分发平台应当建立健全管理机制和技术手段，建立完善上架审核、日常管理、应急处置等管理措施；对申请上架和更新的应用程序进行审核，发现应用程序名称、图标、简介存在违法和不良信息，与注册主体真实身份信息不相符，业务类型存在违法违规等情况的，不得为其提供服务。 附：《移动互联网应用程序信息服务管理规定》全文   转自 FreeBuf，原文链接：https://www.freebuf.com/news/336254.html 封面来源于网络，如有侵权请联系删除

近日，全国信息安全标准化技术委员会发布了《网络安全标准实践指南—个人信息跨境处理活动认证技术规范（征求意见稿）》（以下简称《实践指南》）。 《实践指南》从基本原则、相关方在跨境处理活动中应遵循的要求、个人信息主体权益保障等方面提出了要求，为认证机构实施个人信息跨境处理活动认证提供认证依据，也为个人信息处理者规范个人信息跨境处理活动提供参考。 《实践指南》作为认证机构对个人信息跨境处理活动进行个人信息保护认证的基本要求，适用于以下情形： 1、 跨国公司或者同一经济、事业实体内部的个人信息跨境处理活动； 2、《中华人民共和国个人信息保护法》第三条第二款规定的境外个人信息处理者，在境外处理境内自然人个人信息的活动。按照法律、行政法规、部门规章有关规定，需要通过国家网信部门组织的安全评估的个人信息跨境处理活动，应当向国家网信部门申报安全评估。 《实践指南》指出，涉及跨境个人信息处理应遵循以下基本原则： 1、合法、正当、必要和诚信原则。个人信息直接关系到信息主体的人格尊严，跨境个人信息处理应当满足法律法规的规定，严格按照法定目的并采取对个人信息权益影响最小的方式处理个人信息，严守合同、协议等具有法律效力文件的约定和承诺，不随意违背约定、承诺损害个人信息主体的合法权益。 2、公开、透明原则。跨境处理个人信息应当满足处理规则公开、处理过程透明要求，及时向个人信息主体告知个人信息跨境提供的目的、范围和处理方式，确保个人信息主体了解自己的个人信息的处理全过程。 3、信息质量原则。参与跨境处理个人信息活动的相关方应当保证跨境个人信息的准确性、完整性，避免个人信息处理活动出现偏差，对个人信息主体权益造成不利影响。 4、同等保护原则。参与个人信息跨境处理活动的相关方应当采取必要措施，确保个人信息跨境处理活动达到中华人民共和国个人信息保护相关法律法规规定的个人信息保护标准。 5、责任明确原则。参与个人信息跨境处理活动的相关方应当采取必要措施，保护所处理个人信息的安全，保障个人信息主体权益，并指定境内一方、多方或者境外相关方在境内设置的机构承担法律责任。 6、自愿认证原则。个人信息跨境处理活动认证属于国家推荐的自愿性认证，鼓励符合条件的个人信息跨境活动相关方自愿申请个人信息跨境处理活动认证，充分发挥认证在加强个人信息保护、提高个人信息跨境处理效率的作用。 附：《网络安全标准实践指南—个人信息跨境处理活动认证技术规范（征求意见稿）》 转自 FreeBuf ，原文链接：https://www.freebuf.com/news/332355.html 封面来源于网络，如有侵权请联系删除