全球动态

1.《网络安全标准实践指南——移动互联网未成年人模式技术要求》公开征求意见

本指南规定了移动互联网未成年人模式的技术要求，包括移动智能终端、应用程序、移动应用程序分发平台未成年人模式技术要求以及模式联动技术要求。 【阅读原文】

2. Netflix被荷兰监管机构罚款475万欧元：未适当告知客户个人数据使用情况

12月18日，荷兰数据保护局（DPA）在一份声明中表示，对Netflix处以475万欧元的罚款，原因是该公司在2018年至2020年间未适当告知客户其个人数据的使用情况。 【阅读原文】

3. 苹果指责 Meta 在欧盟 DMA 框架下提出过多互操作性请求，危及用户隐私安全

苹果公司12月19日表示，Meta 公司已在欧盟《数字市场法案》（DMA）框架下提出了 15 项互操作性请求，数量超过任何其他公司。苹果在一份提供给路透社的声明中指出，Meta 提出的这些请求可能会损害用户安全和隐私。 【阅读原文】

4. 美国密歇根州参议院通过个人数据隐私法案

《法案》旨在通过制定数据收集、处理、销售、共享和保留标准以及建立消费者权利（例如同意、撤销和删除）来规范个人数据隐私。 【阅读原文】

5.《网络安全标准实践指南——生成式人工智能服务安全应急响应指南》公开征求意见

本文件给出了生成式人工智能服务安全事件的分类、分级建议和生成式人工智能服务安全应急响应过程的管理措施和技术方法等内容。 【阅读原文】

6. 瑞安航空公司因涉嫌违反 GDPR 而面临巨额罚款

欧洲数字权利中心 （noyb） 已对瑞安航空提出投诉，称其强迫其客户设置账户并提交“侵入性生物识别技术”来预订航班。 【外刊-阅读原文】

安全事件

1. CNCERT发现处置两起美对我大型科技企业机构网络攻击事件

12月18日晚，国家互联网应急中心CNCERT微信公众号发布消息，称国家互联网应急中心发现处置两起美对我大型科技企业机构进行网络攻击窃取商业秘密事件。 【阅读原文】

2. Fortinet 警告严重的 FortiWLM 漏洞：需要更新以防止漏洞利用

Fortinet 针对影响 Wireless LAN Manager （FortiWLM） 的现已修补的关键安全漏洞发布了公告，该漏洞可能导致敏感信息泄露。 【外刊-阅读原文】

3. Apache Tomcat新漏洞允许攻击者执行远程代码

安全研究人员在流行的开源 Web 服务器 Apache Tomcat和servlet 容器中发现了两个严重漏洞，可能允许攻击者执行远程代码并导致拒绝服务。 【外刊-阅读原文】

4. IntelBroker Group勒索软件组织在线泄露了思科2.9GB数据

臭名昭著的黑客 IntelBroker 泄露了 2.9GB 的数据，据称这些数据是从思科的 DevHub 环境中窃取的，预估总量达4.5TB。【外刊-阅读原文】

5. 俄罗斯黑客在 MiTM 攻击中使用 RDP 代理窃取数据

被跟踪为 APT29（又名“午夜暴风雪”）的俄罗斯黑客组织正在使用由 193 个远程桌面协议代理服务器组成的网络来执行中间人 （MiTM） 攻击，以窃取数据和凭据并安装恶意负载。 【外刊-阅读原文】

6. 严重漏洞使 25000 台 SonicWall 设备暴露给黑客

Bishop Fox 的一份报告发现了超过 25000 台暴露在互联网上的 SonicWall SSLVPN 设备，这些设备可能使攻击者能够利用已知漏洞，可能导致未经授权的访问和数据泄露。 【外刊-阅读原文】

优质文章

1. java代码审计 | struts2框架路由详解

一般在拿到一套源码的时候，一开始学习代码审计的可能有点无从下手，在不用工具的情况下，不知道去怎么找路由，去看哪个目录的代码，本文详细讲解遇到java的struts2框架的时候，在不借助工具的情况下如何进行审计，毕竟了解原理才是正解，而不是只会用工具。 【阅读原文】

2. kkFileView历史漏洞总结

kkFileView 是一个基于 Java 开发的开源文件在线预览项目，旨在为开发者提供一个方便的、无需开发复杂前端代码就能实现文件在线预览的解决方案。其支持预览多种类型的文件，例如 Office 文档、PDF、文本文件以及图片等。 【阅读原文】

3. 英国ICO发布影响隐私权40年的40件物品

过去40年，隐私权和信息获取权经历了正面和负面影响的关键时刻，ICO整理了40件物品展示这些事件，并探讨了保护隐私权的角色。 【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。