1 国外热点

数十万患者个人信息被泄露！洛杉矶计划生育协会遭勒索攻击

援引《华盛顿邮报》报道，发生于今年 10 月的勒索软件攻击中，黑客获取了包含数十万名洛杉矶计划生育协会患者个人信息的文件。在致受影响患者的致歉信中，计划生育协会表示该文件包含患者的姓名、地址、保险信息、出生日期和临床信息，如诊断、手术和/或处方信息。

计划生育协会表示，该机构网络是在 10 月 9-17 日之间感染勒索软件的。17 日，该组织注意到了这一入侵，将其系统下线，并联系了执法部门和网络安全调查人员。据 CNN报道，到 11 月初，该组织已经确定了黑客访问的内容，但对攻击的实施者仍然一无所知。

原文链接：

https://mp.weixin.qq.com/s/hORNWNT2FzE3UIX174taTg

白嫖党小心了，热门 Windows 激活软件 KMSPico 被植入恶意程序

据 The Hacker News 网站报道，一种名为 CryptBot 的恶意程序正伪装成时下热门的Windows 系统第三方激活工具——KMSPico。

CryptBot 是一种信息窃取程序，能够获取浏览器 cookie、加密货币钱包、信用卡凭证，并从受感染的系统中捕获屏幕截图。研究人员分析发现，该恶意程序由 CypherIT 打包程序进行包装，可混淆安装程序以防止其被安全软件检测到。然后，此安装程序会启动一个同样经过严重混淆的脚本，该脚本能够检测沙箱和 AV 仿真，因此在研究人员的设备上运行时不会执行。

原文链接：

https://www.freebuf.com/news/307645.html

美 DNA 检测公司敏感数据泄露影响 210 万用户

位于美国俄亥俄州费尔菲尔德进行 DNA 检测服务的 DNA 诊断中心(DDC)披露了一起数据泄露事件，黑客设法访问了用户的高度敏感的个人数据，包括支付卡数据。其中超过210 万(2102436)名客户/用户的敏感个人和财务数据被黑客窃取。

根据该公司的公告文章，数据泄露是在 2021 年 8 月 6 日检测到的，据信导致确认的数据泄露发生在 2021 年 5 月 24 日至 2021 年 7 月 28 日之间，该公司于 2021 年 10 月29 日结束了内部调查，其详细信息在 2020 年 11 月 30 日才公布。

原文链接：

https://mp.weixin.qq.com/s/fNCFTxqKvwBjCnbrgHqSfA

判了！破解 Switch 的黑客被罚 1000 万美元 做污点证人还面临 10 年监禁

12 月 8 日消息，加里 - 鲍泽（Gary Bowser）是一个名为 Team-Xecuter 的黑客组织的成员，因其参与销售 Switch 和 3DS 的破解芯片而被判罚向任天堂支付 1000 万美元。

这笔罚款是任天堂和鲍泽之间的民事案件的结果，在另一个联邦诉讼案中，鲍泽还被判赔 450 万美元。在之前的案件中，鲍泽和另一名 Team-Xecuter 成员 Max Louarn 被指控犯有 11 项重罪，包括电信欺诈和阴谋洗钱。如果被判有罪，这两人将面临长期监禁，仅这两项指控就可判处长达 20 年的监禁。

原文链接：

https://mp.weixin.qq.com/s/aRzx4vIbo2Q3nVnUSq9aZw

2国内热点

关注 | 央行发布《金融数据安全 数据安全评估规范》（征求意见稿）

据全国金融标准化技术委员会网站消息，《金融数据安全 数据安全评估规范》（征求意见稿）已发布并公开征求意见。据了解，该标准适用于金融业机构开展金融数据安全评估使用，并为第三方安全评估机构等单位开展金融数据安全检查与评估工作提供参考。

当前金融业机构数据泄露、滥用、篡改等安全威胁的影响已逐步从机构内转移扩大至行业间，甚至影响国家安全、社会秩序、公众利益与金融市场稳定。如何在满足金融业务基本需求的基础上，指导各相关机构规范金融数据安全管理，强化金融行业数据资源保护能力，切实保障金融数据安全流动，已成为当前亟待解决的问题。与此同时，在大数据时代的背景下，数据安全问题层出不穷，而当前金融业机构数据安全管理能力尚处于参差不齐的状态，金融业机构数据安全意识明显落后于快速发展的应用需求及应用技术，金融行业整体数据安全管理仍有待进一步统筹协调。

原文链接：

https://mp.weixin.qq.com/s/nug1M39Iyf4ObjZc9gMmLQ

工信部：北京冬奥会测试赛期间处置网络安全事件300 余个 未发生重大网络安全突发事件

央广网北京 12 月 7 日消息 工业和信息化部网站 12 月 7 日发布消息称，信息通信行业圆满完成北京冬奥会系列测试赛网络安全保障任务，在网络安全漏洞、移动恶意程序、恶意 IP 地址、僵尸网络等网络安全威胁监测与处置过程中，累计屏蔽恶意程序发送端 IP 地址9000 余个、组织修复漏洞隐患 200 余个，处置网络安全事件 300 余个。

2021 年 10 月 21 日至 12 月 5 日，北京冬奥会国际滑联短道速滑世界杯等系列测试赛在北京、张家口地区成功举办。工业和信息化部组织信息通信行业根据第 24 届冬奥会工作领导小组网络安全保障机制统一部署，高效协同、快速反应，圆满完成此次网络安全保障任务。

原文链接：

https://baijiahao.baidu.com/sid=1718472069384500898&wfr=spider&for=pc

工信部下架豆瓣、唱吧等 106 款侵害用户权益 App

12 月 9 日，工信部在官方网站发布通报，已论证《个人信息保护法》、《网络安全法》等要求，组织对包括豆瓣、爱回收、唱吧时间表的 106 款 App 进行下架处理。

工信部在通报中表示，本次下架 106 款 App，是其持续推进的 App 探索用户权益专项整治活动的主题。

今年以来，工信部持续推进 App 侵害用户权益专项整治行动，加大常态化检查力度，先后三次组织对用户反映强烈的重点问题开展“回头看”。11 月 3 日，工信部针对 App 超范围、高频次索取权限，非服务场景所必需收集用户个人信息，欺骗误导用户下载等违规行为进行了检查，并对未按要求完成整改的 App 进行了公开通报。截至目前，尚有 5款 App 未按工信部要求完成整改。各通信管理局按照工信部统筹部署，积极开展 App 技术检测，截至目前尚有 101 款 App 仍未完成整改。

原文链接：

https://mp.weixin.qq.com/s/ic2kq7UsGcfFEgwMJE2GTw

3漏洞数据统计

本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞658个，其中高危漏洞176个、中危漏洞430个、低危漏洞52个。漏洞平均分值为5.73。本周收录的漏洞中，涉及0day漏洞387个（占59%），其中互联网上出现“WordPressSurvey And Poll SQL注入漏洞、Sourcecodester AlumniManagement System跨站脚本漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的原创漏洞总数35692个，与上周（10359个）环比增加245%。

来源：CNVD

安全漏洞分布情况

从厂商分布来看，WordPress基金会新增漏洞最多，有25个。各厂商漏洞数量分布如下表所示：

本周国内厂商漏洞30个，华为公司漏洞数量最多，有10个。国内厂商漏洞整体修复率为90.00%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看, 跨站脚本类的安全漏洞占比最大，达到19.49%。漏洞类型统计如下表所示。

来源：CNNVD