1.《中华人民共和国数据安全法 (草案) 》全文发布

2018年10月全国人大开始组成专班针对《数据安全法》进行研讨，历时一年多公布《数据安全法（草案）》（下称“草案”），体现了国家对数据安全领域的高度关注。《草案》共分为七章，分别为总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任及附则。

（来源：中国人大网）

2.工信部通报2020年第二批侵害用户权益行为APP

7月2日工信部通报了2020年第二批尚未完成整改的15款APP，所涉问题包括：过度索取权限、不给权限不让用、私自收集个人信息、强制用户使用定向推送功能、私自共享给第三方等严重侵害用户权益的行为。此次名单中涉及教育类APP有：智慧树、ClassIn、TutorABC、乐学高考、洋葱学院、乐教乐学等。

（来源：工信微报）

3.某学校因不履行网络安全保护义务被罚款1万，负责人被罚款5000

近日，河南省公安机关公布了一批“净网2020”专项行动网络安全行政执法典型案例，其中一起为：郑州新郑市某中等专业学校不履行网络安全保护义务案。

郑州新郑市公安局网安部门在工作中发现，郑州某中等专业学校信息系统遭到黑客攻击。经查，该校不履行网络安全保护义务，未制定内部安全管理制度和操作规程，未按照规定留存相关网络日志六个月。新郑警方依据《中华人民共和国网络安全法》第59条规定，对该校给予10000元罚款的行政处罚，对该校网络安全负责人给予5000元罚款的行政处罚。

（来源：河南网警）

4.GeekPwn 2020开启首个“少年黑客马拉松大赛” 致力白帽“人才接力”

首个少年黑客马拉松大赛来了！继去年发起“青少年特工挑战赛”后，GeekPwn 2020持续打造专属少年的黑客舞台，携手上海青年报联合发起首届“少年黑客马拉松大赛”，让少年黑客无畏追梦，探索数字世界的奥秘。本次少年黑客马拉松大赛分为线上初审与现场比赛两个环节，选手可以通过 GeekPwn 大赛官网（https://wj.qq.com/s2/5737453/91e0）参与报名，报名截止日期为9月30日。

（来源：中国信息安全）

5.出租微信、QQ号能赚钱？别试！封号申诉量已超万例

自2019年加大对诈骗、黄赌毒等“网络黑产”问题的打击力度以来，我国对QQ/微信帐号的安全管控持续加强，打击力度持续加大，导致从事贩卖、辅助注册、解封等业务的“恶意号商”遭受重创。号源空间被大大压缩，难以存活，“恶意号商”就打起了“租借”帐号的主意。

他们的目标人群通常都是社会上的“有闲人”，如学生、家庭主妇、自由职业者等，通过在网络上发布“兼职”广告，以每日几十元至几百元不等的高佣金价格吸引受害人主动将自己的帐号拱手相让。随后，便利用租来的帐号实施欺诈、散播黄赌毒等不良信息，致使受害人身份信息被泄露和利用，个人或亲朋好友资金受损，帐号封停，甚至因此承担法律责任。微信账号即便找回了密码，但账号冻结不予解封，账户零钱也没法拿回来了。

（来源：中国信息安全）

6.以“国家安全”为名，印度政府宣布封杀59款中国APP

在与中国因边境对峙而不断升级的紧张局势中，印度政府信息技术部于今日（6月29日）正式宣布以有损“印度主权和完整、印度国防、国家安全和公共秩序”为由禁止59款APP，包括在印度大热的TikTok、Shareit、UC Browser和Likee等应用。尽管在媒体通告中并未提及“China”或“Chinese”，但这59款APP全部为中国背景的APP。

（来源：国家安全）

7.美国裁定华为和中兴构成国家安全威胁

7月1日晚间，据《人民日报》和多家外媒报道，美国联邦通信委员会（FCC）正式裁定华为技术公司（Huawei Technologies Company）和中兴通讯（ZTE Corporation）对美国通信网络或通信供应链完整性构成国家安全威胁，禁止美国电信运营商使用83亿美元的政府资金向这两家中企进行采购。FCC的公共安全和国土安全局还表示，两家中国公司的母公司、关联公司和子公司也被视为安全威胁。FCC已经公布了裁定华为和中兴构成美国国家安全威胁的行政指令。

（来源：聚铭网络）

8.黑客正试图从F5 BIG-IP设备窃取管理员密码

BIG-IP设备多用于政府网络，互联网服务提供商的网络，云计算数据中心内部，并且已在企业网络中广泛部署。现黑客已开始对F5 BIG-IP网络设备发起攻击，黑客正试图从被入侵的设备中窃取管理员密码。F5表示，该漏洞的跟踪记录为CVE-2020-5902，可以使攻击者完全控制可在Internet上访问的未修补系统。该漏洞被认为非常危险，以致获得10级严重性评分，这是CVSSv3严重性等级的最高分数。此分数表示该漏洞易于利用，自动化，可以在Internet上使用，并且不需要有效的凭据或高级编码技能即可利用。

（来源：安全圈）

9.微软紧急修复2个0 day漏洞，影响数百万Windows 10和Server用户

7月2日微软发布了两个紧急安全更新，微软在 CVE-2020-1425 和 CVE-2020-1457 中详细介绍了这两个远程代码执行漏洞，可以让攻击者执行任意代码并控制被入侵的计算机。微软表示，这些缺陷存在于 Windows Codecs 库处理内存中对象的方式中，通过精心制作的图像能够在目标设备上获取权限。微软在安全公告中写道：“微软Windows Codecs Library处理内存中对象的方式存在远程代码执行漏洞。成功利用该漏洞的攻击者可以获取信息，进一步危害用户的系统。” 据悉，受影响的 Windows 版本包括Windows 10 version 1709Windows 10 version 1803Windows 10 version 1809Windows 10 version 1903Windows 10 version 1909Windows 10 version 2004Windows Server 2019Windows Server version 1803Windows Server version 1903Windows Server version 1909Windows Server version 2004

（来源：安全圈）

10.Oracle全球数十亿条用户记录被泄露，姓名住址全曝光

近日，Oracle 的广告技术部门，因服务器处于不安全且未设置密码的状态，导致数据库中全球数十亿人的记录被泄露。据悉，Oracle 于 2014 年以超过 4 亿美元的价格收购了初创企业 BlueKai ，并将其产品添加到 Oracle 的数据云（ODC）和营销云（OMC）中。BlueKai 通过 cookie 和其他跟踪技术监视网络上的用户，并为第三方提供数据收集服务，同时维护着一个大型数据库。据 Whotracks 网站估计，BlueKai 跟踪了所有 Web 流量的 1％以上。但在相当长的一段时期内，保存这些数据的服务器压根没有设置密码，导致网络跟踪数据被全面泄露在公开互联网上。其中的数十亿条记录，随时可供任何人翻阅查看。曝光出来的这些记录，显示出极高的透明度，包含姓名、家庭住址、电子邮件和其他比如付款交易等个人信息，因此通过用户的“数字画像”可以长期追踪他的在线活动。

（来源：聚铭网络）

11.Facebook再曝漏洞：与开发者超时分享用户数据

7月2日早间消息，在“剑桥分析丑闻”遭到曝光后，Facebook曾经承诺在与外部开发者分享用户数据时施加时间限制，但实际期限却超出他们当初的承诺。该公司之前表示，如果用户超过90天未与开发者互动，就将阻止该应用获取用户数据。届时，开发者需要重新获得许可才能再次获得电子邮箱、生日和所在城市等数据的访问权。但Facebook在周三的博文中表示，这项规定在某些情况下未能顺利实施。如果用户也通过该应用与Facebook好友联系，开发者就可以同时获取这两个用户的数据。但该公司发言人称，这项漏洞却会导致开发者在获得一个活跃用户的数据时，也可以看到该用户好友的数据，即使后者已经超过90天没有打开这款应用。Facebook透露，这一问题涉及约5000个开发者。但他们并未披露可能受此影响的用户数。

（来源：聚铭网络）

文章资料来源于：教育网络信息安全