【一周安全资讯】国家网信办等三部门联合公布《网络数据安全风险评估办法》；印度塔塔电子遭勒索，苹果、特斯拉超630G数据

要闻速览1、国家网信办等三部门联合公布《网络数据安全风险评估办法》2、国家网信办印发《实施网络安全标识的产品目录第一批》及相关实施规则3、43万台FortiGate防火墙遭“窃听”1.1亿账号密码被偷4、已修复三星 7.8 分漏洞披露影响 Galaxy S9 至 S25 系列手机5、印度塔塔电子遭勒索苹果、特斯拉超630G数据泄露6、巴西全国手机遭疑似网络攻击虚假紧急警报大范围传播一周政策要闻国家网信办等三部门联合公布《网络数据安全风险评估办法》为贯彻落实《数据安全法》等法律法规国家互联网信息办公室、工业和信息化部、公安部于6月18日联合发布《网络数据安全风险评估办法》。办法自2026年8月20日起施行旨在规范风险评估活动以安全保障数据产业发展。办法明确了差异化评估频次重要数据每年评估重大变动追加专项评估一般数据建议三年一次企业可自主或委托第三方开展但须专人负责并签订权责清晰的委托协议。评估工作可参照GB/T 45577-2025、GB/T 45389-2025两项国家标准执行行业另有规范的从其规定。办法对第三方机构提出硬性约束禁止转委托、评估结果须真实完整同一机构不得连续三次为同一企业做年度评估接触数据须严格保密发现重大风险须及时告知企业。在监管层面各部门每年1月底前报送检查计划由网信部门统筹协调避免重复检查与重复委托。省级以上部门对重要数据企业评估报告进行核验存在安全隐患可责令整改、暂停数据处理违规者依法处置同时开放社会投诉举报形成事前、事中、事后全链条监管闭环。信息来源国家互联网信息办公室https://www.cac.gov.cn/2026-06/18/c_1783525609778371.htm国家网信办印发《实施网络安全标识的产品目录第一批》及相关实施规则根据《网络安全标识管理办法》国家互联网信息办公室、工业和信息化部、公安部制定了《实施网络安全标识的产品目录第一批》及相关实施规则现印发公布请各单位遵照执行。同时全国网络安全标准化技术委员会组织制定的《网络安全标识 消费类网联摄像头安全要求》网络安全标准实践指南TC260-PG-20265A将作为该类产品实施网络安全标识的标准依据自2026年7月1日起正式施行。消息来源国家互联网信息办公室https://www.cac.gov.cn/2026-06/18/c_1783525604615337.htm业内新闻速览43万台FortiGate防火墙遭“窃听”1.1亿账号密码被偷一场代号为FortiBleed的大规模凭证窃取行动正席卷全球已导致超过43万台FortiGate防火墙沦陷超1.1亿条用户名、密码及密码哈希被截获。该行动至少自2026年2月起持续至今攻击者并非利用漏洞而是将处于网络边界的FortiGate设备变为隐蔽监听哨滥用其内置诊断命令在实时流量中截获认证信息全程不触发告警并借助定制化程序和AI代理实现高度工业化的自动化运作。受害范围覆盖美国、印度及东南亚多国中小企业成为重灾区约三分之二受害企业员工不足两百人近九成年营收低于一亿美元。攻击链条涵盖五个阶段利用已泄露凭证和定制字典识别公网设备自动化工具对FortiGate、Synology及MSSQL等服务进行登录尝试获取SSH权限后植入嗅探工具捕捉流量中的明文密码和NTLM哈希将哈希送入基于Hashtopolis管理的分布式GPU集群进行高速破解用于活动目录枚举和横向移动最后通过SMB/DFS共享窃取文件并重放Web Cookie劫持会话以维持持久化其背后甚至设有定制Telegram机器人用于回传指令运作规模已近乎企业化。针对这一威胁防御者应立即轮换所有VPN及管理员凭证强制启用多因素认证并将管理界面从公网暴露中撤下同时排查日志中的异常行为痕迹强化对网关层网络嗅探和大规模凭证窃取行为的检测能力。消息来源看雪学苑43万台防火墙被集体“窃听”1.1亿账号密码遭洗劫FortiGate用户紧急自查已修复三星 7.8 分漏洞披露影响 Galaxy S9 至 S25 系列手机三星安卓内核被曝存在一个持续约八年之久的高危漏洞CVE-2026-20971CVSS评分7.8该漏洞由网络安全公司LucidBit Labs于2026年6月22日披露影响范围涵盖从Galaxy S9系列到S25系列以及Galaxy A系列在内的多款设备无论搭载高通骁龙还是三星Exynos芯片均存在风险涉及安卓13至16系统。该漏洞潜伏于三星KNOX安全体系的PROCA进程认证子系统与FIVE完整性度量子系统相关代码中属于use-after-free类型根因在于task_integrity对象的生命周期管理存在缺陷。/proc/[pid]/integrity/目录下的接口直接引用了task-integrity指针却未能妥善处理对象失效后的引用关系。这一疏忽导致任意应用程序即便不持有任何权限也能利用该漏洞搜索内核内存空间进而获取设备的完全控制权安全影响极为严重。据悉三星已于2026年1月推送安全更新完成修复建议受影响设备用户及时更新系统以消除风险。消息来源IT之家https://baijiahao.baidu.com/s?id1868951891107125897wfrspiderforpc印度塔塔电子遭勒索苹果、特斯拉超630G数据泄露6月22日印度塔塔电子近日证实发生一起网络安全事件事件发生几周前公司已立即启动应对方案并强调该事件未对各业务运营造成任何影响。此前勒索组织World Leaks在其暗网泄密网站上发布了超过20万份据称与该企业相关的文件数据总量达630.4GB。泄露的204,341份文件中包含大量机密和专有数据包括苹果和特斯拉的原理图、技术与机械图纸、完整的护照扫描件等。安全研究人员审查样本后发现文件涉及苹果制造流程和特斯拉工程项目其中包含名为“com.apple.factorydata”的文件夹以及标注为“商业机密”的文件。尤其值得注意的是一份涉及特斯拉改进型Model 3轿车的图纸被明确标记为商业机密。此外泄露数据还涵盖PDF、Excel电子表格、能源账单、工厂许可证、员工电子邮件、加密证书、密钥文件以及跨越数年的事件日志等。研究人员还在文件中发现对富士康、和硕和高通等苹果供应链关键公司的提及但暂无证据表明这些企业已被入侵。据路透社报道苹果公司已表示正在调查此事件塔塔集团据称已收到赎金要求但未透露是否正在谈判或具体索要金额。消息来源CNMO科技https://baijiahao.baidu.com/s?id1868752171409074902wfrspiderforpc巴西全国手机遭疑似网络攻击虚假紧急警报大范围传播近日巴西全国范围的紧急警报系统遭遇网络攻击攻击者利用该系统向多地手机用户发送虚假极端警报。事件发生在上周六清晨巴西多州居民收到一条包含葡萄牙语单词misantropia变体misantropi4的异常短信并带有最高级别的极端警报标识而当时并未发生任何自然灾害或紧急事件引发广泛混乱。虚假信息最早出现在南部巴拉那州数分钟内便扩散至圣保罗、里约热内卢等主要城市。巴西采用Cellbroadcast工具发送公共警报由电信管理局管理。因虚假警报来自政府网络外部当局于凌晨1时30分将预警平台强制下线。调查发现攻击者利用系统严重安全缺陷入侵2016年政府员工电脑感染恶意软件致密码泄露但该密码十年来从未更改且与用户名相同系统亦未要求安全连接或短信验证安全问答长期固定为“22”。目前地方当局正与电信管理局联合调查此次事件为各国公共警报系统安全运维敲响了警钟。消息来源FREEBUFhttps://www.freebuf.com/news/487662.html来源:本安全周报所推送内容由网络收集整理而来仅用于分享并不意味着赞同其观点或证实其内容的真实性部分内容推送时未能与原作者取得联系若涉及版权问题烦请原作者联系我们我们会尽快删除处理谢谢据泄露