Lianwei 安全周报|2024.07.15

新的一周又开始了，以下是本周「Lianwei周报」，我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件，保证大家不错过本周的每一个重点！

政策/标准/指南最新动态

01 《人工智能全球治理上海宣言》发布

我们强调共同促进人工智能技术发展和应用的必要性，同时确保其发展过程中的安全性、可靠性、可控性和公平性，促进人工智能技术赋能人类社会发展。我们相信，只有在全球范围内的合作与努力下，我们才能充分发挥人工智能的潜力，为人类带来更大的福祉。

详情：

人工智能全球治理上海宣言

02 欧盟与日本关于跨境数据流动的协议正式生效

7月1日，欧盟委员会宣布，《欧盟-日本关于跨境数据流动的协议》正式生效，该协议同时被纳入《欧盟-日本经济伙伴关系协定》，其条款将促进双方的业务发展，并反映出对数字保护主义的反对信号。

详情：

欧盟与日本关于跨境数据流动的协议正式生效 - 安全内参 | 决策者的网络安全知识库

03 美国参议院《2025年国防授权法案》推动军事网络和人工智能计划

现代化是该法案确定的一个关键优先事项，该法案建立了一个试点项目，以优化国防部设施中使用的人工智能软件，并需要采取各种行动来改善军事供应链安全。

详情：

Senate NDAA 2025 Boosts Military Cyber and AI Initiatives

04 日本拟修订《个人信息保护法》

6月27日，日本个人信息保护委员会（以下简称“委员会”）公布了《个人信息保护法修订临时摘要》，概述了委员会根据迄今为止的讨论和审查情况提出的当前意见。

详情：

日本拟修订《个人信息保护法》 - 安全内参 | 决策者的网络安全知识库

05 CNIL发布《欧洲人工智能法》适用问答

2024年7月12日，法国数据保护主管机构法国国家信息自由委员会（CNIL）第一时间发布了关于《欧洲人工智能法》（本文简称《人工智能法》）适用的相关问答，促进相关方更加全面理解该法律的适用方法。

详情：

CNIL发布《欧洲人工智能法》适用问答 - 安全内参 | 决策者的网络安全知识库

06 奥地利发布关于国际法适用于网络空间的立场文件

5月29日，联合国裁军事务厅（发布《奥地利共和国的立场文件：网络活动与国际法》。该文件从国家主权、不干涉、禁止使用武力、自卫权、国家责任、审慎义务、和平解决国际争端、人权、外交和领事法、国际人道法、国际刑法和中立法等角度，全面阐述了奥地利对国际法适用于网络活动的立场和态度。

详情：

奥地利发布关于国际法适用于网络空间的立场文件 - 安全内参 | 决策者的网络安全知识库

热点资讯

01 巴西因隐私问题叫停Meta 的人工智能数据处理

巴西数据保护机构ANPD表示，它发现 "有证据表明，Meta公司对于个人数据的处理基于不充分的法律假设，缺乏透明度，限制了数据主体的权利，并给儿童和青少年带来了风险"。

详情：

Brazil Halts Meta's AI Data Processing Amid Privacy Concerns

02 2024 年因 Web3 网络事件损失的加密货币超过 10 亿美元

这些损失发生在半年内的408起链上安全事件中，每起事件给受害者造成的平均损失为290万美元。损失中位数为230784美元，凸显了单个攻击所造成损失之间的巨大差异。

详情：

Over $1bn in Cryptocurrency Lost to Web3 Cyber Incidents in 2024 - Infosecurity Magazine

03 以太坊邮件列表泄露，5万人面临加密货币流失攻击

以太坊表示，威胁行为者使用了他们自己的电子邮件地址列表，并且从平台博客邮件列表中额外导出了3759个地址。然而，其中只有81个导出的地址之前对攻击者来说是未知的。

详情：

https://www.bleepingcomputer.com/news/security/ethereum-mailing-list-breach-exposes-35-000-to-crypto-draining-attack/

04 OpenAI 公司被指不重视安全，未披露和报告 2023 年入侵事件

《纽约时报》日前发布博文，表示 OpenAI 公司于 2023 年年初发生安全事件，攻击者成功入侵 OpenAI 的内部邮件系统，窃取了有关该公司人工智能技术和研究材料的敏感讨论，但黑客并未进入托管人工智能源代码的服务器。

详情：

OpenAI 公司被指不重视安全，未披露和报告 2023 年入侵事件 - IT之家

05 RADIUS协议遭破解，全球大量设备恐沦为“黑客跳板”

本文揭示了名为Blast-RADIUS的新安全漏洞，该漏洞存在于RADIUS网络认证协议中，允许黑客利用MD5哈希算法的缺陷进行中间人攻击，进而获取网络管理权限。文章强调该漏洞的严重性，并建议相关厂商和网络管理员尽快采取补救措施。

详情：

BLAST RADIUS

安全事件

01 泰勒斯威夫特演唱会16万张门票泄露

代号Sp1d3rHunters的黑客宣称泄露了美国歌手泰勒斯威夫特（Taylor swift）“Eras Tour”演唱会的16.6万张门票的条形码数据，并索要200万美元赎金，否则将泄露更多门票数据。

详情：

https://www.bleepingcomputer.com/news/security/hackers-leak-alleged-taylor-swift-tickets-amp-up-ticketmaster-extortion/

02 国家医保系统泄露超4200万用户数据，菲律宾国企高管遭议会公开质询

菲律宾国家医保系统遭遇勒索软件攻击，导致系统中断数周，且超4200万用户数据泄露；由于负责该系统的菲律宾健康保险公司未尽义务，未能就数据泄露通知受害者，该公司高管在国会听证会上被公开质询。

详情：

国家医保系统泄露超4200万用户数据，菲律宾国企高管遭议会公开质询 - 安全内参 | 决策者的网络安全知识库

03 ZOTAC 安全漏洞导致客户数据在谷歌搜索中曝光

根据 ZOTAC 的售后流程，客户需要在表格中填写真实信息并上传到 ZOTAC 的服务系统。这一过程无意中成为数据泄漏的最初来源。通常情况下，此类文件应受到严格的访问控制保护，确保只有售后团队成员才能查看。然而，由于 ZOTAC 服务器安全策略的缺陷，这些文件被公开访问和下载。

详情：

ZOTAC Security Breach Exposes Customer Data in Google Search

04 南非矿业巨头遭网络攻击：被迫隔离IT系统 企业运营受干扰

南非矿业巨头Sibanye-Stillwater遭受黑客攻击，被迫隔离全球IT系统以阻止恶意软件扩散。此次事件凸显了网络安全对企业运营的重要性，尤其是关键基础设施行业需加强防护措施。

详情：

https://mybroadband.co.za/news/security/544063-south-african-mining-giant-hacked.html

05 美国知名银行Evolve Bank遭数据泄露，760万人受影响

本文探讨了区块链技术在网络安全中的应用，指出其能够提高数据透明度、增强信任度和保护用户隐私。同时，文章也分析了区块链技术在应对网络攻击和数据泄露方面的潜力和挑战。

详情：

美国知名银行Evolve Bank遭数据泄露，760万人受影响 - 安全内参 | 决策者的网络安全知识库