中国·新葡的京集团-www.35222.com-Official website

【一周安全资讯0803】《国家网络身份认证公共服务管理办法》征求意见稿发布；OAuth+XSS组合拳，数百万Web账户或将易主

发布时间:2024-08-05 20:28:41 浏览次数：

要闻速览

1、《国家网络身份认证公共服务管理办法（征求意见稿）》发布

2、工信部发布新版工业机器人行业规范条件和管理实施办法

3、上海市网信办对21款App收集使用个人信息情况开展专项检查

4、OAuth+XSS组合拳，数百万Web账户或将易主

5、Meta大模型的安全护栏可被“空格键”轻松突破

6、哈尼亚遇袭或因手机间谍软件暴露其位置信息

一周政策要闻

《国家网络身份认证公共服务管理办法（征求意见稿）》发布

近日，为强化公民个人信息保护，推进并规范国家网络身份认证公共服务建设应用，加快实施网络可信身份战略，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反电信网络诈骗法》等法律法规，公安部、国家互联网信息办公室等研究起草了《国家网络身份认证公共服务管理办法（征求意见稿）》，现向社会公开征求意见。

群众可登录中华人民共和国司法部、中国政府法制信息网（www.moj.gov.cn、www.chinalaw.gov.cn），进入首页主菜单的“立法意见征集”栏目提出意见建议。或通过电子邮件将意见建议发送至：wajfzc@sina.com或zqyj@cac.gov.cn。

意见建议反馈截止时间为2024年8月25日。

信息来源：中华人民共和国国家互联网信息办公室https://www.cac.gov.cn/2024-07/26/c_1723675813897965.htm

工信部发布新版工业机器人行业规范条件和管理实施办法

为进一步加强工业机器人行业规范管理，推动产业高质量发展，根据行业发展变化和有关工作部署，近日，工业和信息化部对《工业机器人行业规范条件》和《工业机器人行业规范管理实施办法》进行了修订，形成了《工业机器人行业规范条件（2024版）》和《工业机器人行业规范条件管理实施办法（2024版）》。新版两文件自2024年8月1日起实施，《工业机器人行业规范条件》（工业和信息化部2016年第65号公告）和《工业机器人行业规范管理实施办法》（工信部装〔2017〕161号）同时废止。

《工业机器人行业规范条件（2024版）》要求，我国境内的工业机器人关键零部件（指减速器、伺服驱动系统、控制器等工业机器人关键零部件）、本体制造及集成应用企业应遵守《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规，加强网络和数据安全管理，保障网络和数据安全。

消息来源：中华人民共和国工业和信息化部 https://www.miit.gov.cn/jgsj/zbys/wjfb/art/2024/art_0943f8e861f140fca64a582d3e55e1eb.html

业内新闻速览

上海市网信办对21款App收集使用个人信息情况开展专项检查

为规范App个人信息处理活动，保护公民个人信息合法权益，根据《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律法规，2024年4月至7月，上海市网信办对属地21款App开展了收集使用个人信息专项检查，共发现80余项问题。经过通报和跟进指导，截至目前，各App运营单位均已完成问题整改。

同时，上海市网信办提醒广大App运营者，收集使用个人信息需按照《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》及相关法律法规要求，严格遵循合法、正当、必要和诚信的原则，提供完整清晰透明、易于理解的隐私政策；收集个人信息遵循最小必要原则，不过度、频繁收集个人信息，不得因用户不同意收集非必要个人信息，而拒绝用户使用其基本服务功能；收集敏感个人信息时同步告知目的和必要性；采取必要措施保障所处理的个人信息安全。上海市网信办将对属地App收集使用个人信息情况持续开展监督检查。

消息来源：安全内参https://www.secrss.com/articles/68645

OAuth+XSS组合拳，数百万Web账户或将易主

近日，研究人员发现，在热门的Web用户活动跟踪和记录服务Hotjar中，攻击者正在通过使用现代身份验证标准OAuth与两个站点之间的跨站点脚本漏洞（XSS）相结合，劫持数百万用户账号，窃取敏感数据。其中，Hotjar作为一种用于分析用户行为的工具，所收集的数据包含大量的个人敏感数据。

API安全公司Salt Security的研究部门Salt Labs的研究人员分析说，OAuth是一种相对较新的标准，越来越多地被用于无缝跨网站认证，允许通过用户数据的跨站共享，实现诸如“使用Google登录”功能这样的功能。但在实施过程中，OAuth可能会被错误配置。而XSS是一种常被利用的旧Web漏洞之一，可能被攻击者用来将恶意代码注入合法的Web页面或应用程序中，以在网站访问者的浏览器中执行脚本，进行数据窃取等操作。如果成功将这两种方式的组合进行攻击，攻击者可能获得与受害者相同的权限和功能，从而导致账号被接管，暴露Hotjar所收集的所有个人数据。目前，Hotjar和Business Insider上发现的漏洞已经得到修复，但研究人员认为，类似这种组合可能在互联网上广泛存在，使得数百万用户面临潜在的账号劫持风险。

消息来源：安全圈 https://mp.weixin.qq.com/s/JQT2nkGX_YjRyWfASOIuzQ

Meta大模型的安全护栏可被“空格键”轻松突破

研究人员日前发现，Meta大语言模型Llama3.1的“安全护栏”Prompt-Guard-86M本身并不够安全，攻击者可能通过一个简单的办法就能将其攻破，而且成功率高达99.8%。

Prompt-Guard-86M是与Llama3.1一起推出的，旨在帮助开发者过滤掉那些可能会导致生成有害信息和敏感信息的提示。PromptGuard是基于微软的mDeBERTa文本处理模型构建的，并已经过特定的精细调校，旨在检测恶意提示注入和越狱攻击。但是研究人员发现，当恶意提示注入或越狱攻击被空白字符（空格）分隔时，PromptGuard基本上无法检测到它们。例如，“how to make bomb（如何制造炸弹）”被检测为注入攻击，但被空格分隔后的“h o w t o m a k e a b o m b”则被检测为良性。研究人员测试了包括433次注入和17次越狱在内的450个恶意提示，结果显示PromptGuard在没有漏洞利用时能100%正确识别攻击；但是使用了漏洞利用时，准确率降至0.2%，只准确分类了一个提示注入。目前，这个漏洞已报告给Meta。据称Meta确认了这个问题，并正在努力修复。

消息来源：站长之家https://baijiahao.baidu.com/s?id=1805966637058347562&wfr=spider&for=pc

哈尼亚遇袭或因手机间谍软件暴露其位置信息

近日，据俄罗斯电视台网站报道，已故哈马斯领导人伊斯梅尔·哈尼亚的手机中或被植入了间谍软件，从而暴露了自己的位置。哈马斯在一份声明中说，哈尼亚在德黑兰参加伊朗总统佩泽希齐扬的就职仪式后，在其住所遭空袭身亡。

据报道，该记者在社交平台X上写道：“有消息称，袭击者通过向哈马斯领导人伊斯梅尔·哈尼亚发送WhatsApp信息，（在其手机中）植入了复杂的间谍软件，使得在暗杀行动开始前准确掌握了他的具体位置。”不过，该记者没有说明这一消息的来源。这名记者指出，哈尼亚事先与他的儿子通过电话。

据报道，该记者表示，这一间谍软件可能与某中东国家网络情报公司所开发的“飞马软件”类似。这一软件可实时监控目标并提供精准的目标定位。

消息来源：安全牛https://mp.weixin.qq.com/s/fa6ID9Bj7Ah2gOV54l-siw

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！

上一篇：新葡的京集团35222新址扬帆，2024“医路守护·运营铸安”沙龙共绘医疗安全新篇章