关于网络安全:网络安全审查办法发布本田讴歌汽车受漏洞影响谷歌收购SOAR安全公司｜网络安全周报

2022年1月1日至1月7日共收录寰球网络安全热点10项，次要集中在网络攻击、破绽修复方面,波及Google、iOS、本田汽车等。

01 《“十四五”国家信息化布局》公布，全面论述信息化平安需要

12月27日，地方网络安全和信息化委员会印发《“十四五”国家信息化布局》(以下简称《布局》)，对我国“十四五”期间信息化倒退作出部署安顿。

《布局》强调平安是信息化建设的重要保障，将网络安全作为主攻方向之一，以“防备化解危险，确保更为平安倒退”为主题，提出要全面增强网络安全保障体系和能力建设，增强网络安全信息兼顾机制建设，造成多方共建的网络安全防线，并对网络安全提出更具体的要求。

02 沃尔玛违反网络安全法被处罚

近日，沃尔玛（中国）投资有限公司（以下简称：沃尔玛）近日再次新增行政处罚信息。该公司因违反相干法规被公安部门正告。此前，因产品质量违法行为等，沃尔玛被无关部门屡次处罚。

公安机关于2021年11月25日在工作中发现沃尔玛的网络系统，存在可利用的网络安全破绽共十九项。其行为违反了《中华人民共和国网络安全法》，未及时处理系统漏洞的违法行为。处罚后果为决定给予正告的行政处罚，并责令改过。

03 网信办联结十三部门公布《网络安全审查方法》

1月4日，国家网信办联结十三部门联结订正公布《网络安全审查方法》（以下简称《方法》），自2022年2月15日起实施。国家互联网信息办公室无关负责人示意，网络安全审查是网络安全畛域的重要法律制度，对于保障要害信息基础设施供应链平安，保护国家平安施展了重要作用。

《方法》将网络平台运营者发展数据处理流动影响或者可能影响国家平安等情景纳入网络安全审查，并明确把握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。依据审查理论须要，减少证监会作为网络安全审查工作机制成员单位，同时欠缺了国家平安危险评估因素等内容。

04 谷歌以5亿美元收买网络安全公司Siemplify

1月4日，据报道，谷歌将以约5亿美元的价格收买以色列网络安全初创公司Siemplify，这是谷歌首次收买以色列平安公司。

谷歌将把Siemplify作为其在以色列的网络安全业务的根底，是谷歌发展云业务的一部分，Siemplify的联结创始人将持续留在公司，交易实现后，Siemplify将被并入谷歌云平台，原有员工也将加盟谷歌。

05 本田、歌颂汽车被Y2K22千年虫破绽击中

2022年1月1日，本田、歌颂汽车导航系统的日期被主动批改到2002年1月1日，工夫被重置到12点、2点和4点，具体与汽车所在的地位、时区、型号无关，且没有方法批改。依据用户报告状况，此次bug影响所有的本田、歌颂汽车，包含Honda Pilot、Odyssey、CRV、Ridgeline、Odyssey和Acura MDX、RDX、CSX、TL型号。依据Honda客户服务给出的回应，该bug将会在2022年8月主动修复。

06 Google Chrome更新修复37个安全漏洞

1月4日，谷歌公布Chrome97，共有37个平安修复程序，其中24个是针对内部钻研人员报告的破绽。此次Chrome版本中修复的低严重性谬误包含Service Workers中的策略绕过以及Web Share和明码中的不当实现。

在内部报告的24个安全漏洞中，1个被评为重大级，10个为高严重性，10个为中等，3个为低级。最常见的破绽类型是开释后应用（七个谬误）和不正确的施行（八个问题）。最重大的是CVE-2022-0096，这是存储中的一个开释后应用问题，可被用在浏览器中。

07 美国金融巨头因数据透露领取6000万美元

近日，美国金融巨头摩根士丹利(Morgan Stanley)批准领取6000万美元的和解金，以解决一起数据泄露诉讼。

据理解，此次数据泄露事件次要是因为，该公司此前淘汰的一批旧设施（包含一些旧的服务器以及一些其余数据技术），在用户数据没有被清理洁净的状况下被发售，导致数据集可能曾经以未加密的形式裸露进去，从而被购买方查看。

和解文件显示，摩根士丹利否定有不当行为，并对其数据安全做法进行了“实质性”降级。

08 恶意软件能够窥探iOS用户摄像头和麦克风

1月5日，据BLEEPINGCOMPUTER报道，钻研人员开发了一种新技术，能够伪造iPhone关机或重启，避免恶意软件被删除，容许黑客机密监听麦克风，并通过实时网络连接接管敏感数据，以此让恶意软件实现短暂运行。

因为这种被钻研人员称为“NoReboot”的攻打没有利用iOS上的任何缺点，而是依赖于人为坑骗，因而Apple无奈对其进行修补。

09 多家知名企业近110万个客户账户遭黑客窃取

1月5日，纽约州总检察长办公室(NY OAG)正告17家出名公司，他们约有110万客户的用户帐户在撞库攻打中受到入侵。攻击者的最终目标是拜访尽可能多的帐户，以窃取相干的集体和财务信息，这些信息能够在黑客论坛或暗网上发售。在监督多个在线社区后，发现了这些受感化的在线帐户。

威逼行为者还能够在各种身份盗用欺骗中应用这些信息，或进行未经受权的购买。Digital Shadows去年报道称，目前有超过150亿份凭证在网上共享或发售，其中大部分属于消费者的个人信息。

10 钻研报告预测：黑客将对房地产网站发动供应链攻打

1月4日，据Palo Alto Networks的Unit 42钻研人员称，攻击者利用云视频托管服务对苏富比房地产公司经营的100多个房地产网站进行了供应链攻打，其中波及注入歹意Skimmer代码以窃取敏感的个人信息。

Skimmer攻打，也称为表单劫持，不法分子将歹意JavaScript代码插入指标网站，它最常呈现在购物和电子商务门户网站上的结账或领取页面，以获取用户输出的信用卡明码等有价值的信息。

为了避免恶意代码注入在线站点，倡议企业定期对 Web 内容进行完整性检查。