数字安全观察每周简报【安全事件篇】2022.11.17-2022.11.23

阅读量248879

发布时间 : 2022-12-02 10:40:10

Apache Log4j2组件漏洞持续发酵,被伊朗黑客利用入侵美国联邦机构。20221116日,美国联邦调查局(FBI)和网络安全和基础设施安全局(CISA)发布联合公告称,一个由伊朗支持的未命名威胁组织利用Log4Shell漏洞攻击了未修补的VMware Horizon服务器,进而入侵了美国联邦民事行政部门组织,并部署XMRig加密恶意软件。

(来源:bleepingcomputer

【天枢点评】:去年底披露的开源组件Apache Log4j2高危漏洞Log4Shell,因其影响范围广、破坏性强、利用门槛低,被称为“核弹级漏洞”,是软件供应链安全领域重大安全事件。业界认为要排查和消除该漏洞的影响,需要约10年的时间。从用户侧来看,严格落实安全制度,加强网络资产盘查与管理,定期组织实施安全隐患排查,提升漏洞管理和应急响应能力,都是必不可少的操作。从监管侧来看,应对复杂的供应链安全问题,要政府与企业形成合力,协同推进构建完善的安全体系。

谷歌因非法收集用户位置信息将支付创纪录的3.91亿美元罚款。20221115日,谷歌因跟踪位置数据非法收集个人信息,并误导消费者,同意支付3.915亿美元的罚款并达成和解。美国司法部称,该和解协议是有史以来规模最大的消费者隐私和解协议。除了和解协议外,谷歌将从2023年开始大幅改进其位置跟踪披露和用户控制。

(来源:securityaffairs

【天枢点评】:此次和解协议是美国史上规模最大、涉及多个州的互联网用户隐私和解协议,同时创下了谷歌在用户隐私诉讼方面支付和解金的最高纪录。不仅如此,通过数字安全观察的持续跟踪,谷歌、FacebookInstagram等大厂都曾因违反数据隐私的相关规定被重罚。从Facebook泄露数据被用于干扰美国大选,我国滴滴平台接受国家安全审查等来看,数据安全治理能力提升迫在眉睫,要充分利用法律、技术、管理等综合手段保护数据安全、保护个人信息。

 

 * 如需了解《数字安全观察》完整版信息,请联系anquanke@360.cn,关注360天枢智库

本文由360天枢智库原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/283886

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
360天枢智库
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66