要聞速覽

1、中央網信辦等三部門印發(fā)《信息化標準建設行動計劃 (2024—2027年)》

2、ISO/IEC JTC1/SC27網絡安全國際標準提案公開征集啟動

3、GitLab 爆出安全漏洞，允許黑客接管賬戶

4、蘋果WiFi定位系統漏洞可監(jiān)控全球數億設備

5、俄羅斯最大快遞公司CDEK遭黑客攻擊，業(yè)務全面停擺

6、超6600名迪卡儂員工隱私信息被竊取

一周政策要聞

中央網信辦等三部門印發(fā)《信息化標準建設行動計劃 (2024—2027年)》

為深入落實《“十四五”國家信息化規(guī)劃》、《國家標準化發(fā)展綱要》任務部署，近日，中央網信辦、市場監(jiān)管總局、工業(yè)和信息化部聯合印發(fā)《信息化標準建設行動計劃（2024—2027年）》（以下簡稱《行動計劃》），要求加強統籌協調和系統推進，健全國家信息化標準體系，提升信息化發(fā)展綜合能力，有力推動網絡強國建設。

《行動計劃》圍繞4個方面部署了主要任務。一是創(chuàng)新信息化標準工作機制，包括完善國家信息化標準體系、優(yōu)化信息化標準管理制度、強化信息化標準實施應用。二是推進重點領域標準研制，在關鍵信息技術、數字基礎設施、數據資源、產業(yè)數字化、電子政務、信息惠民、數字文化、數字化綠色化協同發(fā)展等8個重點領域推進信息化標準研制工作。三是推進信息化標準國際化，包括深化國際標準化交流合作、積極參加國際標準組織工作、推動國際國內標準協同發(fā)展。四是提升信息化標準基礎能力，包括優(yōu)化標準供給結構、加強標準化人才培養(yǎng)、推動標準數字化發(fā)展。

信息來源：中華人民共和國國家互聯網信息辦公室https://www.cac.gov.cn/2024-05/29/c_1718573626260067.htm

ISO/IEC JTC1/SC27網絡安全國際標準提案公開征集啟動

為繼續(xù)推進我國網絡安全國際標準化工作，鼓勵更多網絡安全技術和應用領域優(yōu)秀實踐經驗以及科研項目標準成果向國際輸出，網安標委秘書處現組織開展SC27國際標準提案（以下簡稱“提案”）征集工作，面向網絡安全領域產學研用等相關單位征集提案，提案優(yōu)先但不限人工智能安全、數據安全、個人信息保護、密碼算法、物聯網安全、關鍵信息基礎設施安全、供應鏈安全等我國具有技術優(yōu)勢和豐富實踐應用經驗等領域。

有意單位請于2024年6月28日前提交紙質和電子版材料至秘書處（liuzh1@cesi.cn），將按規(guī)定程序審查后上報國家標準委。

業(yè)內新聞速覽

GitLab 爆出安全漏洞，允許黑客接管賬戶

近日，GitLab 又爆出一個安全漏洞（被追蹤為 CVE-2024-4835），未經認證的威脅攻擊者能夠利用該漏洞在跨站腳本 (XSS) 攻擊中，輕松接管受害者賬戶。

GitLab 是一個流行的基于網絡的 Git 存儲庫，擁有約 3000 萬注冊用戶和 100 萬付費客戶。為了修復這個漏洞，GitLab 發(fā)布了 17.0.1、16.11.3 和 16.10.6 版本，并建議所有用戶立即升級。

CVE-2024-4835 是 VS 代碼編輯器（Web IDE）中的一個 XSS 缺陷，盡管需要用戶交互，但攻擊者仍可能利用它來竊取信息。此外，GitLab 還修復了其他六個中等嚴重程度的安全漏洞，包括 CSRF 漏洞（CVE-2023-7045）和拒絕服務漏洞（CVE-2024-2874）。

GitLab 存儲了包括 API 密鑰和專有代碼在內的敏感數據，因此成為了攻擊者的目標。一旦攻擊者成功插入惡意代碼，可能導致賬戶被劫持，引發(fā)嚴重的網絡安全風險。

此前，CISA 曾發(fā)出警告，攻擊者正在利用 GitLab 的另一個漏洞 CVE-2023-7028 進行攻擊。而 2023 年 5 月，GitLab 發(fā)布了 16.0.1 版來修復一個嚴重性路徑遍歷漏洞 CVE-2023-2825，該漏洞允許未經認證的攻擊者讀取任意文件。幸運的是，這個漏洞只在特定條件下觸發(fā)，即當公共項目中的附件嵌套在至少五個組中。

消息來源：FREEBUFhttps://www.freebuf.com/news/401772.html

蘋果WiFi定位系統漏洞可監(jiān)控全球數億設備

近日，蘋果的Wi-Fi定位服務（WPS）被曝存在嚴重漏洞，這一漏洞可能被濫用以監(jiān)控全球用戶的隱私，即便非蘋果設備用戶也難以幸免。

美國馬里蘭大學的安全研究人員在論文《使用基于Wi-Fi的定位系統監(jiān)測人群》中詳細描述了蘋果WPS的設計缺陷。

根據論文描述，WPS定位主要有兩種工作方式：一是計算客戶端位置并返回這些坐標；二是返回提交的BSSID（基本服務集標識符）的地理位置（與AP硬件相關聯），并讓客戶端進行計算以確定其位置。

其中谷歌的WPS采用前者，安卓手機會記錄它能看到的BSSID及其信號強度，并將數據發(fā)送到谷歌服務器，服務器使用WPS數據庫計算手機的位置，并將其發(fā)送給手機。與谷歌的WPS相比，蘋果系統不僅返回請求的BSSID位置，還會額外返回多達400個附近BSSID的位置，且這一過程無需認證、沒有速率限制，且完全免費。

通過向蘋果WPS的API發(fā)送請求，研究人員能夠在一個月內收集到超過十億個BSSID的位置數據，并利用這些數據繪制出設備在全球范圍內的移動地圖。更令人擔憂的是，他們甚至利用這一漏洞追蹤了俄烏沖突區(qū)域的軍事設備移動情況，充分展示了這一漏洞的嚴重性和潛在的危險性。

消息來源：快科技  https://news.mydrivers.com/1/982/982398.htm

俄羅斯最大快遞公司CDEK遭黑客攻擊，業(yè)務全面停擺

近日，俄羅斯最大的快遞公司之一 CDEK 遭遇了網絡攻擊，這次攻擊導致該公司的服務中斷數日。

黑客組織“Head Mare”公開宣布對此次攻擊負責，他們不僅利用勒索軟件加密了CDEK的服務器數據，還銷毀了公司的系統備份，進一步加劇了危機。盡管CDEK最初試圖將服務中斷歸咎于“大規(guī)模技術故障”，但隨后有內部消息人士和俄羅斯國家杜馬信息政策委員會主席證實，這實際上是一起由網絡攻擊造成的嚴重安全事件。黑客組織在X平臺上公開披露了攻擊細節(jié)，批評CDEK的安全措施薄弱，并指責其系統管理員防御能力低下。CDEK公司表示，他們正在全力恢復服務。然而，由于攻擊造成的嚴重后果，公司面臨著巨大的挑戰(zhàn)，包括如何恢復被加密的數據和重建被摧毀的系統。此外，CDEK的客戶也受到了嚴重的影響，許多人在社交媒體和媒體上發(fā)表評論，抱怨包裹投遞的延誤。

消息來源：安全內參  https://www.secrss.com/articles/66611

超6600名迪卡儂員工隱私信息被竊取

據報道，最近發(fā)生的一起數據泄露事件導致迪卡儂西班牙員工的個人信息被盜。名為 888 的威脅行為者已承認對迪卡儂數據泄露事件負責，據稱該事件涉及一個包含這家著名體育用品零售商 6644 名員工敏感信息的數據庫。

據報道，該數據庫包含員工的電子郵件地址、總部信息和交通活動。該聲明通過社交媒體平臺 X（以前稱為Twitter）上的多篇帖子傳播，表明不僅員工信息，而且潛在的敏感客戶數據也可能被泄露。此外，威脅行為者還提供了迪卡儂泄露數據庫的樣本。

一旦確認數據泄露，迪卡儂可能會失去客戶信任，進而影響其銷售和整體市場地位。如果數據泄露被確認，迪卡儂還可能面臨巨額法律和經濟處罰。

消息來源：安全客https://www.anquanke.com/post/id/296889

來源:本安全周報所推送內容由網絡收集整理而來，僅用于分享，并不意味著贊同其觀點或證實其內容的真實性，部分內容推送時未能與原作者取得聯系，若涉及版權問題，煩請原作者聯系我們，我們會盡快刪除處理，謝謝！