安全内参1月24日消息，安全研究员Sam Curry和Shubham Shah发现了斯巴鲁（Subaru）汽车星链管理系统中的一个漏洞。通过该漏洞，攻击者仅凭借基本的客户信息，如姓氏、邮政编码、电子邮件地址、电话号码或车牌号码，就能够完全访问车辆的控制系统及数据。 这一漏洞使得黑客可以精确追踪车辆位置，精度达到5米，并记录下过去一年中每次发动机启动时的坐标。 通过管理系统漏洞访问全球车辆 安全研究员Sam Curry昨天发布文章称，去年11月20日发现了斯巴鲁星链联网汽车服务中的一个严重漏洞，攻…

网络安全威胁情报公司 Cyble 在1月22日的报告中披露，自 2025 年初以来，多个主要网络安全供应商的账户凭证在暗网上被发现泄露。这些凭证涉及至少 14 家安全提供商，泄露的凭证可能来源于信息窃取者的日志，并以低至 10 美元的价格在网络犯罪市场上批量出售。泄露的数据包括内部账户和客户访问权限，涵盖了网络和云环境这表明安全供应商的客户和员工均可能受到影响。 虽然研究人员未对凭证的有效性进行验证，但许多凭证与易于访问的网络控制台接口、单点登录（SSO）以及其他面向互联网的账户访问点相关。研究…

江苏省数据条例 （2025年1月22日江苏省第十四届人民代表大会第三次会议通过） 目 录 第一章 总则 第二章 数据权益 第三章 数据资源 第四章 数据流通 第五章 数据产业 第六章 数据应用 第七章 数据安全 第八章 保障措施 第九章 法律责任 第十章 附则 第一章　总则 第一条　为了加强数据资源管理，保护数据权益，保障数据安全，促进数据依法有序流通和应用，推动数据要素赋能新质生产力发展，加快建设数实融合强省，根据《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律、行政法规，…

2024年，各医疗相关机构向美国政府上报了超580起医疗数据泄露事件，总计近1.8亿用户记录受影响。 588件数据泄露事件 SecurityWeek对美国卫生与公众服务部民权办公室（HHS OCR）所维护的医疗泄露数据库进行了深入分析。该数据库存储了影响超过500人受保护健康信息的各类事件。 2024年全年，美国卫生与公众服务部民权办公室（HHS OCR）共接到585起事件报告。经统计，这些数据泄露事件总计波及约1.8亿人。不过，由于部分个体可能在多次数据泄露中“中招”，实际受影响人数应低于1.…

1月21日，国家金融监督管理总局咸阳监管分局公布一则行政处罚（咸金罚决字〔2025〕1号）。行政处罚信息公开表显示，某村镇银行有限公司因敏感数据安全管理不到位，被咸阳金融监管分局处以罚款30万元。 邓某（时任乾县中银富登村镇银行有限公司综合管理部负责人）、李某（时任乾县中银富登村镇银行有限公司综合管理部财务岗），两人对上述违法违规行为负有责任，均受到警告。 国家金融监督管理总局咸阳监管分局行政处罚信息公开表 来源 | 国家金融监管总局网站

2024年12月18日，国家互联网应急中心CNCERT发布公告(https://www.cert.org.cn/publish/main/8/2024/20241218184234131217571/20241218184234131217571_.html)，发现处置两起美对我大型科技企业机构网络攻击事件。本报告将公布对其中我国某先进材料设计研究院的网络攻击详情，为全球相关国家、单位有效发现和防范美网络攻击行为提供借鉴。 一、网络攻击流程 （一）利用漏洞进行攻击入侵 2024年8月19日，攻击…

近日，根据国家网信办移交的问题线索，在宁波市网信办的全流程指导下，鄞州区网信办依法对宁波某科技有限公司未履行数据安全保护义务的问题进行立案调查。 经查明，当事人承包了某化工企业的业务信息系统（包括网络视频监控系统），2024年11月17日至11月19日（在建中交付前），由于当事人存在未落实网络安全等级保护制度、未建立健全全流程数据安全管理制度、未采取有效的技术措施和其他必要措施保障数据安全、未在开展数据处理活动时加强数据安全缺陷、漏洞等风险监测等未履行数据安全保护义务的违法行为，导致其所属的用于…

一项研究表明：“网络主机若接受隧道数据包却不验证发送者身份，就可能被劫持以执行匿名攻击并获得对其网络的访问权限。”该研究是与鲁汶大学（KU Leuven）的教授兼研究员马蒂·范霍夫（Mathy Vanhoef）合作开展的。 研究发现，多达420万台主机易受攻击，其中包括VPN、互联网服务提供商（ISP）的家庭路由器、核心互联网路由器、移动网络网关以及内容分发网络（CDN）节点。中国、法国、日本、美国和巴西是受影响最为严重的国家。 成功利用这些漏洞可能使攻击者滥用易受攻击的系统充当单向代理，并发动…

黑客IntelBroker宣称已经入侵惠普企业公司（HPE），并公布了诸如源代码、证书和个人身份信息（PII）等敏感数据，这些数据如今可在线售卖。 声名狼藉的IntelBroker黑客及其同伙宣称对入侵惠普企业公司（HPE）一事负责。HPE是一家总部位于美国得克萨斯州休斯顿的全球性企业，为企业提供技术解决方案。 这名此前与多起备受瞩目的数据泄露事件有关联的黑客，目前正在出售据称被盗取的数据，并且要求以门罗币（XMR）加密货币支付，以此确保匿名性与不可追踪性。 这一消息是由黑客本人向Hackrea…

安全内参1月20日消息，一家大型生物技术公司决定就一起勒索软件攻击案件与集体诉讼方达成和解，同意赔偿750万美元（约合人民币5487万元）。此次攻击导致约250万人次的诊断测试信息和个人数据遭到泄露，引发了公众的强烈反响。 恩佐生化（Enzo Biochem）公司于1月15日晚向美国证券交易委员会提交报告，宣布已达成和解协议，结束相关的民事诉讼。 这起攻击发生在2023年4月，攻击者未经授权访问并获取了约247万人的临床测试信息。尽管公司持续运营，但在2023年4月11日，公司发现攻击者已访问了…