1月，安全研究人员Bob Diachenko发现一个大型数据集暴露在网上，该数据集数据量高达12TB，包含260亿条记录，腾讯、网易、领英、Adobe、优酷、推特等数十家全球知名互联网、软件公司的数据均在其中。 2月，安全研究人员Jeremiah Fowler发现全球网络服务提供商Zenlayer的云数据库可无需密码公开访问。数据库中包括了应用程序、仪表板、供应商、通知和安全性的日志记录，以及包含了授权人姓名和电子邮件等客户数据，数据量达3.8亿条记录。 3月，法国政府负责登记和协助失业者的部门…

1. Change Healthcare遭勒索软件攻击 美国医疗服务机构 Change Healthcare遭勒索软件攻击，导致业务中断，且超1亿民众的个人信息和医疗数据泄露。该公司每年处理美国约50%的医疗索赔，承担150亿笔医疗保健交易。该机构管理人员估计，本次网络攻击造成的成本可能达到23-24.5亿美元。 2. 勒索攻击赎金金额巨大 网络安全公司Zscaler的《2024勒索软件报告》披露，一家位列全球财富50强的跨国企业，向勒索软件组织 Dark Angels 支付了迄今为止已知最大的…

为推动凝聚共识，在社会各界的大力支持下，我们认真研究形成了数据领域常用名词解释（第一批）。后续还将结合实践和发展需要迭代完善，欢迎社会各界持续关注。 附件：数据领域常用名词解释（第一批） 数据领域名词解释起草专家组 2024年12月30日   附件 数据领域常用名词解释（第一批） 1.数据，是指任何以电子或其他方式对信息的记录。数据在不同视角下被称为原始数据、衍生数据、数据资源、数据产品和服务、数据资产、数据要素等。 2.原始数据，是指初次产生或源头收集的、未经加工处理的数据。 3.数…

国家发展改革委等部门关于促进数据产业高质量发展的指导意见 发改数据〔2024〕1836号 各省、自治区、直辖市、新疆生产建设兵团发展改革委、数据管理部门、教育管理部门、财政厅（局）、金融监管局、证监局： 数据产业是利用现代信息技术对数据资源进行产品或服务开发，并推动其流通应用所形成的新兴产业，包括数据采集汇聚、计算存储、流通交易、开发利用、安全治理和数据基础设施建设等。发展数据产业是深化数据要素市场化配置改革、构建以数据为关键要素的数字经济的重要举措，是推进国家大数据战略、加快建设数字中国的重要…

12月27日，中国人民银行连云港市分行披露一则行政处罚决定信息公示表。公示表显示，江苏灌南农村商业银行股份有限公司因违反数据安全管理规定等违法违规行为，被中国人民银行连云港市分行警告，并被处以罚款人民币97.5万元。 江苏灌南农村商业银行股份有限公司，被罚97.5万元。 罚单显示，江苏灌南农村商业银行股份有限公司存在以下主要违法违规行为： 违反账户管理规定； 违反数据安全管理规定； 违反人民币反假规定； 违反代理国库规定； 违反信用信息采集、提供、查询及相关管理规定； 未按规定履行客户身份识别义…

近日，合肥高新区2024年度“新势力企业”榜单揭晓，合肥安永信息科技有限公司成功获得“新势力企业”称号。 “新势力企业”是指在技术引领、赛道开拓、模式创新等方面具有核心竞争力和发展亮点，在细分领域具有独特优势的“特长生”企业。安永信息一直专注于机密计算及可信执行环境（TEE）应用开发及技术服务，是业内领先的TEE全路径开发商，充分发挥TEE的隔离安全优势，为数字经济背景下数据要素资产提供了高安全保护路径和方案。 公司自主研发“基于可信执行环境（TEE）的数据库加密系统”（链接：产品介绍丨安永数据…

大众汽车软件公司 Cariad 披露了从约 80 万辆电动汽车收集的数据。这些信息可能与驾驶员姓名有关，并揭示车辆的精确位置。 亚马逊云存储中的数 TB 级大众客户详细信息数月来一直处于未受保护的状态，任何具有少量技术知识的人都可以跟踪驾驶员的动向或收集个人信息。 暴露的数据库包括大众、西雅特、奥迪和斯柯达汽车的详细信息，其中一些汽车的地理位置数据精确到几厘米。 精确地理位置数据 该公司代表告诉 BleepingComputer，由于 Cariad 在两个 IT 应用程序中的配置不正确，因此汽车…

网络安全研究人员发现某捷网络开发的云管理平台存在多个安全漏洞，可能允许攻击者控制网络设备。 Claroty 研究人员 Noam Moshe 和 Tomer Goldschmidt 在最近的分析中表示： “这些漏洞既影响 Reyee 平台，也影响 Reyee OS 网络设备。如果这些漏洞被利用，恶意攻击者可以在任何支持云的设备上执行代码，从而控制数以万计的设备。” 这家对物联网 (IoT) 供应商进行了深入研究的运营技术 (OT) 安全公司表示，它不仅发现了 10 个漏洞，还设计了一种名为“芝麻开…

美国成瘾中心 （AAC） 是一家营利性成瘾治疗连锁店，遭受了一起网络安全事件，暴露了 422,424 人的个人记录。 根据该公司发送给受影响人员的通知信，泄露的数据可能包括姓名、地址、电话号码、出生日期、病历编号和其他标识符。 ACC 表示，社会安全号码和健康保险信息也可能被泄露，但患者的治疗信息或支付卡数据没有被泄露。 这家总部位于田纳西州布伦特伍德的公司在今年 9 月 26 日“或前后”发现了一起网络安全事件，并表示立即展开调查。它通知了执法部门并聘请了第三方网络安全专家寻求帮助。 调查确定…

总结 TRIAD 团队利用 CloudSEK 的 XVigil，确定了不当使用 Postman 工作区（一种流行的基于云的 API 开发和测试平台）所产生的重大风险。 在本博客中，我们将介绍一些有趣但关键的事件，这些事件可能导致客户 PII 的大规模数据泄露、通过收购滥用组织拥有的合法服务、发起恶意活动等。 我们长达一年的调查发现，超过 30,000 个可公开访问的 Postman 工作区泄露了敏感信息。在大多数情况下，这些集合包括访问令牌、刷新令牌、第三方 API 密钥，甚至来自各种规模和不同…