Lianwei 安全周报|2024.07.01

新的一周又开始了，以下是本周「Lianwei周报」，我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件，保证大家不错过本周的每一个重点！

政策/标准/指南最新动态

01 出于安全考虑，拜登下令禁用卡巴斯基杀毒软件

美国商务部工业与安全局（BIS）宣布了一项政令，禁止俄罗斯反病毒软件和网络安全公司卡巴斯基直接或间接向美国人提供反病毒软件和网络安全产品服务。

详情：

https://www.bleepingcomputer.com/news/security/biden-bans-kaspersky-antivirus-software-in-us-over-security-concerns/

02 日本数据浪费日益尖锐，报告称部分服务器未使用数据占比高达 70-80%

企业数据基础架构提供商 NetApp 报告称，部分公司存储的数据中，有高达 70%-80% 的数据处于未使用状态。

详情：

https://www.ithome.com/0/776/907.htm

03 加州隐私监管机构将与法国数据管理局合作

CPPA的一份新闻稿称，加州和法国的法律，以及欧盟的《通用数据保护条例》，都强调了国际合作对数据隐私保护工作的重要性。

详情：

https://therecord.media/california-cppa-france-cnil-partnership-data-privacy

04 美国国土安全部组建AI军团

"AI军团"的组建从2月6日开始筹备，AI军团将通过人工智能和机器学习（ML）技术、模型和应用方面的专家来加强国土安全部的员工队伍，他们将支持政策倡议，以确保安全、可靠地使用人工智能，同时保护隐私、公民权利和公民自由。

详情：

https://www.secrss.com/articles/67463

热点资讯

01 45% 的密码在一分钟内被破解

2024 年 6 月，领先的网络安全公司卡巴斯基进行了一项突破性研究，在从暗网获取的 1.93 亿个密码中，有 45% 在一分钟内被破解。这一令人震惊的结果凸显了加强密码安全的迫切性。

详情：

https://www.techedt.com/scammers-can-guess-45-of-passwords-within-one-minute-a-kaspersky-study-reveals#google_vignette

02 北京市首例"AI 换脸"软件侵权案宣判：国风博主短视频被"换脸"后制作成付费

据北京互联网法院消息，6 月 20 日，北京互联网法院一审开庭宣判了两起北京市首例"AI 换脸"软件侵权案件，认定使用他人视频"换脸"后制作模板再提供"换脸"服务的网络服务提供者侵害了他人的个人信息权益。

详情：

https://www.ithome.com/0/776/616.htm

03 OpenAI 将采取额外措施，停止其不支持的国家和地区的 API 使用

OpenAI6月25日向不受支持地区的API调用用户发送了通知信，称将从 7 月 9 日起采取额外措施，停止来自不在 OpenAI 支持的国家、地区名单上的 API 使用。

详情：

https://www.ithome.com/0/777/481.htm

04 谷歌推出由 AI 驱动的漏研究Project Naptime

谷歌开发了一个名为Project Naptime的新框架，该框架使大型语言模型（LLM）能够进行漏洞研究，旨在改进自动发现方法。

详情：

https://thehackernews.com/2024/06/google-introduces-project-naptime-for.html

安全事件

01 Atlassian 修复了 Confluence 数据中心和服务器中的六个漏洞

日前，澳大利亚软件公司 Atlassian 解决了其 Confluence、Crucible 和 Jira 解决方案中的多个严重安全漏洞。

详情：

https://securityaffairs.com/164743/security/atlassian-confluence-crucible-jira-flaws.html

02 多个WordPress插件遭到入侵：黑客创建流氓管理员帐户

Wordfence安全研究员Chloe Chamberland在6月24日发布的警告中表示，多个 WordPress 插件已被后门注入恶意代码，从而可以创建流氓管理员帐户以执行任意操作。

详情：

https://thehackernews.com/2024/06/multiple-wordpress-plugins-compromised.html

03 美国债务公司数据泄露

此次数据泄露涉及大量消费者数据，包括全名、社会安全号码、出生日期、驾驶证号或身份识别卡。该公司已通知受影响的个人和有关当局。

详情：

http://intl.ce.cn/guoji/jingji/202406/25/t20240625_39048354.shtml

04 据称有 10 万名"Hey You"用户的数据在暗网上出售

在查看了威胁行为者分享的数据样本后，cyberdaily.au媒体得出结论，许多电子邮件都出现在之前的漏洞中。虽然这表明数据集可能只是旧数据的汇编，但该媒体发现了几个独特的电子邮件地址。泄露的电子邮件既有个人电子邮件地址，也有公司电子邮件地址。

详情：

https://cybernews.com/news/data-of-100k-hey-you-users-allegedly-for-sale/