要聞速覽

1、關(guān)于開展個(gè)人信息保護(hù)負(fù)責(zé)人信息報(bào)送工作的公告

2、《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——掃碼點(diǎn)餐個(gè)人信息保護(hù)要求》公開征求意見

3、MacOS 現(xiàn)嚴(yán)重零日漏洞，或致系統(tǒng)被完全控制

4、首個(gè)AI驅(qū)動(dòng)惡意軟件現(xiàn)身，俄羅斯APT28組織操控通義大模型竊密

5、LV近42萬香港客戶資料外泄

6、戴爾數(shù)據(jù)泄露事件：測(cè)試實(shí)驗(yàn)室平臺(tái)遭World Leaks黑客組織入侵

一周政策要聞

關(guān)于開展個(gè)人信息保護(hù)負(fù)責(zé)人信息報(bào)送工作的公告

近日，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布公告，根據(jù)《個(gè)人信息保護(hù)法》《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》等規(guī)定，處理100萬人以上個(gè)人信息的個(gè)人信息處理者，應(yīng)當(dāng)向所在地設(shè)區(qū)的市級(jí)網(wǎng)信部門履行個(gè)人信息保護(hù)負(fù)責(zé)人信息報(bào)送手續(xù)。

自公告發(fā)布之日起，處理個(gè)人信息達(dá)到 100 萬人的，應(yīng)自數(shù)量達(dá)到之日起 30 個(gè)工作日內(nèi)完成報(bào)送；公告發(fā)布前已達(dá)到 100 萬人的，應(yīng)在 2025 年 8 月 29 日前完成報(bào)送；報(bào)送信息發(fā)生實(shí)質(zhì)性變更的，應(yīng)在變更之日起 30 個(gè)工作日內(nèi)辦理變更手續(xù)。

報(bào)送工作采用線上方式，通過 “個(gè)人信息保護(hù)業(yè)務(wù)系統(tǒng)”（https://grxxbh.cacdtsc.cn）進(jìn)行。

信息來源：國(guó)家互聯(lián)網(wǎng)信息辦公室 https://www.cac.gov.cn/2025-07/18/c_1754553420421538.htm

《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——掃碼點(diǎn)餐個(gè)人信息保護(hù)要求》公開征求意見

為指導(dǎo)餐飲商家規(guī)范掃碼點(diǎn)餐服務(wù)個(gè)人信息處理活動(dòng)，減少因掃碼點(diǎn)餐造成的個(gè)人權(quán)益損害問題，近日，全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處組織編制了《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——掃碼點(diǎn)餐個(gè)人信息保護(hù)要求（征求意見稿）》。

現(xiàn)面向社會(huì)公開征求意見，如有意見或建議，請(qǐng)于2025年8月4日前反饋至秘書處。

聯(lián)系人：王寒生 010-64102730  wanghs@cesi.cn。

消息來源：全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)

關(guān)于對(duì)《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——掃碼點(diǎn)餐個(gè)人信息保護(hù)要求（征求意見稿）》公開征求意見的通知

業(yè)內(nèi)新聞速覽

MacOS 現(xiàn)嚴(yán)重零日漏洞，或致系統(tǒng)被完全控制

近日，代號(hào)為“skart7”的黑客在黑客論壇兜售針對(duì)蘋果macOS操作系統(tǒng)的零日本地提權(quán)漏洞（LPE），這一消息引發(fā)了macOS用戶尤其是企業(yè)和高價(jià)值目標(biāo)組織的高度警惕。

據(jù)“skart7”聲稱，該零日漏洞影響范圍廣泛，涵蓋macOS 13.0至15.5版本，甚至兼容最新的macOS 26測(cè)試版。從技術(shù)層面來看，此漏洞與常見的內(nèi)存破壞漏洞不同，其利用的是macOS權(quán)限管理系統(tǒng)的邏輯缺陷，能讓普通用戶賬戶直接獲取root權(quán)限。而root權(quán)限意味著對(duì)操作系統(tǒng)的完全控制，攻擊者可借此安裝持久性惡意軟件、訪問敏感數(shù)據(jù)、修改系統(tǒng)配置及繞過安全控制等。

網(wǎng)絡(luò)安全公司KrakenLabs報(bào)告顯示，該黑客稱漏洞在所有受影響版本上的成功率高達(dá)100%，這暗示漏洞可能源于macOS架構(gòu)層面的根本性問題。

目前，該漏洞在一個(gè)知名黑客論壇的地下市場(chǎng)軟件類別中以 13 萬美元的價(jià)格出售，賣家還表示愿意使用第三方托管服務(wù)以確保交易合法性，關(guān)于該漏洞的真實(shí)性有待進(jìn)一步核實(shí)。

首個(gè)AI驅(qū)動(dòng)惡意軟件現(xiàn)身，俄羅斯APT28組織操控通義大模型竊密

近日，烏克蘭計(jì)算機(jī)應(yīng)急響應(yīng)小組（CERT-UA）發(fā)現(xiàn)了一款名為 LameHug 的新型惡意軟件，這是首款利用大語(yǔ)言模型（LLM）生成攻擊指令的惡意程序，具有高度適應(yīng)性和隱蔽性，主要針對(duì)烏克蘭政府部門發(fā)起攻擊。

該惡意軟件通過釣魚郵件傳播，郵件附件為偽裝成政府文件的 ZIP 壓縮包，內(nèi)含偽裝成 .pif 文件的 LameHug 程序，實(shí)際由 Python 編寫并通過 PyInstaller 打包，具備多種數(shù)據(jù)竊取方式。攻擊者利用被入侵的郵箱賬戶和合法但已被攻陷的平臺(tái)托管基礎(chǔ)設(shè)施，以增強(qiáng)隱蔽性。

感染系統(tǒng)后，LameHug 會(huì)收集系統(tǒng)信息（如硬件配置、進(jìn)程、服務(wù)和網(wǎng)絡(luò)連接），并搜索“文檔”、“下載”和“桌面”目錄中的 Office 文檔、PDF 和 TXT 文件，隨后通過 SFTP 或 HTTP POST 請(qǐng)求將數(shù)據(jù)外傳至攻擊者服務(wù)器。

其最大特點(diǎn)是通過調(diào)用 HuggingFace 上的 Qwen 2.5-Coder-32B-Instruct 模型，根據(jù)文本描述動(dòng)態(tài)生成攻擊指令，顯著提升了攻擊的靈活性和隱蔽性。

LameHug 的出現(xiàn)標(biāo)志著攻擊者開始將人工智能技術(shù)用于惡意目的，給網(wǎng)絡(luò)安全防御帶來了新的挑戰(zhàn)。

消息來源：安全內(nèi)參 https://www.secrss.com/articles/81079

LV近42萬香港客戶資料外泄

7月21日，據(jù)財(cái)聯(lián)社援引香港文匯報(bào)等媒體消息，LV近日給其客戶發(fā)信稱發(fā)生客戶資料外泄事件，近42萬名香港客戶受影響。外泄的信息涉及客戶姓名、護(hù)照號(hào)碼、出生日期、地址、電郵地址、電話號(hào)碼、購(gòu)物記錄和產(chǎn)品喜好等內(nèi)容，但不包含信用卡、銀行及其他金融賬戶。
香港個(gè)人資料私隱專員公署表示已根據(jù)既定程序?qū)VHK展開調(diào)查，包括事件是否涉及延誤通報(bào)。
據(jù)了解，這并非LV首次面臨此類問題。早在今年5月，同屬路易威登集團(tuán)的迪奧（Dior）也發(fā)生了嚴(yán)重的數(shù)據(jù)泄露事件。

戴爾數(shù)據(jù)泄露事件：測(cè)試實(shí)驗(yàn)室平臺(tái)遭World Leaks黑客組織入侵

近日，World Leaks 勒索軟件團(tuán)伙（其前身為 Hunters International）宣稱入侵了美國(guó)跨國(guó)科技巨頭戴爾科技公司，并泄露了 1.3TB 的數(shù)據(jù)。7月21日，該組織在其暗網(wǎng)泄漏站點(diǎn)發(fā)布消息。經(jīng) Hackread.com 核查，泄露文件共416,103個(gè)，可公開下載。
分析表明，這些數(shù)據(jù)源自戴爾全球網(wǎng)絡(luò)，覆蓋美洲、歐洲、亞太等多個(gè)區(qū)域的系統(tǒng)，內(nèi)容包括員工文件夾、軟件工具、基礎(chǔ)設(shè)施腳本及備份數(shù)據(jù)等。特別地，文件中提到了多種戴爾產(chǎn)品（如PowerPath、PowerStore等），以及VMware工具、Terraform編寫的自動(dòng)化腳本等，顯示了數(shù)據(jù)的真實(shí)性和企業(yè)內(nèi)部特征。
戴爾向Hackread.com做出回應(yīng)，確認(rèn)有黑客訪問了其用于產(chǎn)品演示和測(cè)試的內(nèi)部 “解決方案中心”，但強(qiáng)調(diào)該系統(tǒng)與客戶及合作伙伴的網(wǎng)絡(luò)相隔離，并非服務(wù)基礎(chǔ)設(shè)施的一部分。目前，調(diào)查仍在進(jìn)行中。

來源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來，僅用于分享，并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性，部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請(qǐng)?jiān)髡呗?lián)系我們，我們會(huì)盡快刪除處理，謝謝！