【壹周快报】国标《信息安全技术 政务计算机终端核心配置规范》征求意见稿发布；北京某公司遭攻击，或泄露30余万条用户数据

锐成信息壹周快报，汇总了本周的热点资讯、安全事件，保证大家不错过本周的每一个重点!本周重点关注：国家标准《信息安全技术 政务计算机终端核心配置规范》征求意见稿发布；北京某公司遭攻击，或泄露30余万条用户数据；美国知名基因测试公司被黑，或泄露690万份个人信息，内含30万份华人数据。

【热点资讯】

1、国标《信息安全技术 政务计算机终端核心配置规范》征求意见稿发布，并发布征求意见的通知

12月04日，国家标准《信息安全技术 政务计算机终端核心配置规范》征求意见稿发布，并发布征求意见的通知。

此标准给出了对政务计算机终端的BIOS、操作系统、办公软件、浏览器、电子邮件客户端、安全防护软件以及及时通信软件的通用配置项及其具体配置要求，以有效封堵系统安全漏洞，增强终端的安全可控性，保护计算机终端安全。

• 资料来源链接：
• https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20231204144131&norm_id=20221102145137&recode_id=53582

2、《江西省数据应用条例》公布，并自2024年3月1日起施行

《江西省数据应用条例》已由江西省第十四届人民代表大会常务委员会第五次会议于2023年11月30日通过，并于近日公布。

此条例是为了加强数据资源管理，规范数据处理活动，培育数据要素市场，促进数据应用，推动数字经济发展，根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律、行政法规，结合江西省实际而制定，自2024年3月1日起施行。

• 资料来源链接：https://www.jiangxi.gov.cn/art/2023/12/1/art_396_4699947.html?xxgkhide=1

3、Sierra发现安全漏洞，或致关键基础设施易被袭击

研究人员发现了 21 个安全漏洞，这些漏洞会严重影响 Sierra OT/IoT 路由器，威胁攻击者能够利用漏洞，通过远程代码执行、未授权访问、跨站脚本、身份验证绕过和拒绝服务攻击袭击关键基础设施。

4、中国台湾发布关键技术清单，网络主动防御技术受管控

近日，中国台湾地区国科发布核心关键技术清单，其中有22项技术上榜，涉及国防、农业、半导体、太空、资通安全等五大领域。

5、美国政府近十年发生1283起数据泄露事件，造成约304亿美元的损失

据相关数据统计显示，美国政府近十年发生1283起数据泄露事件，涉及超过2亿条数据记录，这些泄露事件给政府机构带来几乎达到304亿美元的损失。

【安全事件】

1、北京某公司遭攻击，或泄露30余万条用户数据

北京某互联网公司报案称，该公司的求职招聘类App的短信验证码接口遭受攻击达1300余万次，这次攻击成功匹配注册账号30余万个，这意味着或泄露30余万条用户数据，危及用户信息安全。

2、美国知名基因测试公司被黑，或泄露690万份个人信息

近日，美国基因测试公司23andMe宣布，黑客利用客户的旧密码，成功获取了大约690万份用户的档案信息，部分被窃档案信息包括家族谱系、出生年份和地理位置。黑客发布在地下论坛中的帖子公布了约100万犹太人和30万华人的样例用户数据，并对外报价1-10美元单个账号数据进行售卖。

3、AI 平台 Hugging Face 现 API 令牌漏洞，黑客可获取微软、谷歌等模型库权限

安全公司 Lasso Security 日前发现 AI 模型平台 Hugging Face 上存在 API 令牌漏洞，由于平台的令牌信息写死在 API 中，因此黑客可以直接从 Hugging Face 及 GitHub 的存储库（repository）获得平台上各模型分发者的 API 令牌（token），比如微软、谷歌、Meta 等公司的令牌，并能够访问模型库，污染训练数据或窃取、修改 AI 模型。

目前安全公司已经上报相关漏洞，微软、Meta、谷歌、VMware 等公司纷纷撤销了此前的 API 令牌及暴露的 token。

4、知名机构HTC Global 遭勒索攻击，泄露大量敏感信息

据Bleeping Computer 网站消息，IT 服务和商业咨询公司 HTC Global services 遭勒索攻击，泄露包括护照、联系人名单、电子邮件和一些机密文件等在内的大量敏感信息。

HTC Global Services 在其 X 上发布了一则简短公告，确认了自身遭到了网络攻击，公告中提到“我们的团队一直在积极调查和处理这一情况，以确保用户数据的安全性和完整性。目前，公司已经邀请了网络安全专家，正在努力解决安全问题，您的信任是公司的首要任务。”。

5、全球最大的巧克力制造商好时遭到网络钓鱼攻击

全球最大的巧克力制造商之一好时公司正在调查一起网络钓鱼攻击，恶意行为者在攻击中获得了“有限数量的好时电子邮件帐户”以及凭证、财务帐户等敏感个人信息。该公司向缅因州总检察长提交的文件显示，当未经授权的黑客获得这些账户的访问权限时，至少有 2214 人受到了影响。

根据声明，黑客已无法访问受影响的账户，好时公司强制更改了密码，并对公司电子邮件环境实施了额外的检测保护措施。

部分图文内容来源网络，仅供传播交流