5月5日，星期五，您好！中科汇能与您分享信息安全快讯：

据CybelAngel称，企业防火墙外的关键漏洞是网络安全威胁的最大来源。在所有行业中，这些由未受保护或被破坏的资产、数据和凭证组成的漏洞，已成为对企业检测和保护的一个巨大挑战。

CybelAngel公司首席执行官Erwan Keraudy说：企业网络安全领导者和决策者在确保自身安全边界方面做得很好，但关键基础设施和其他现代化方面却不足。这本身就是一个严重的问题。

近日，加拿大网络出版商黄页集团称其受到了网络攻击。Black Basta勒索组织周末在网上公布了一些敏感文件和数据，并声称对这次攻击负责。

YP高级副总裁兼首席财务官Franco Sciannamblo表示：根据目前调查结果，我们有理由相信，有未经授权的第三方从包含YP员工数据和与我们商业客户有关的有限数据的服务器中窃取了某些个人信息。我们已经通知了那些可能受此事件影响的人，并就此事报告了所有隐私监管机构。基本上我们所有的服务现在都已经恢复正常了。

据消息，根据身份认证专业机构 Regula 公布的最新报告，Deepfake 类型的欺诈案件正快速上升，29% 的企业遭受过这种类型的欺诈，91% 的受访企业认为该威胁已日益严重。

除了 Deepfakes 之外，调查显示全球 46% 的组织在过去一年中经历过合成身份欺诈。92% 的银行业公司将合成欺诈视为真正的威胁，近一半 (49%) 的公司最近遇到过这种骗局。

据消息，德国IT巨头Bitmarck遭受网络攻击，被迫关闭了所有客户和内部系统，部分情况下甚至关闭了整个数据中心。

作为德国最大的医疗保险服务提供商之一，Bitmarck于近日在临时网站发布最新通知，称这次网络攻击未能窃取任何客户、患者或受保人的数据，至少“目前的情况”如此。

通知指出，患者数据“在攻击中以及之后从未受到威胁”，并指出根据德国医疗数据法规，这些敏感信息受到国家医疗数字化机构Gematik的“特殊保护”。Bitmarck向客户保证，“在抵御攻击和恢复系统时，我们始终优先保障客户、受保人和患者的数据安全。”

政府业务方式将迎来过去30多年来电子化、网络化、协同化三次重大变革后的第四次智能化变革，政府业务形态也从政府办公自动化OA、电子政务、数字政府等三个阶段向智能政府新型形态转变。

北京交通大学信息管理理论与技术国际研究中心（ICIR）认为，GPT等生成式人工智能技术是人类社会第四次科技革命，将对全球经济和社会形态带来深刻变革，而政府业务方式将迎来过去30多年来电子化、网络化、协同化三次重大变革后的第四次智能化变革，政府业务形态也从政府办公自动化OA、电子政务、数字政府等三个阶段向智能政府新型形态转变。

The Hacker News 网站披露谷歌又“玩出了”新花样，推出一项名为 Passkey 的新功能，用户可以无需密码，使用更安全、更简单、更快速的方式登录其谷歌账号。

据悉， PassKey 是 FIDO 联盟支持的一种更安全的登录应用程序和网站的方式，通过简单使用用户设备上已存的指纹、面部识别等生物特征以及本地 PIN，替代谷歌账号密码。谷歌指出，当用户登录谷歌账号时，只需要解锁设备就可以直接进入账号，无需再输入密码或进行二次验证，不仅大大节省时间，也极大提高了安全性。

此外，与密码不同， PassKey 还可以抵御网络钓鱼、黑客破解等潜在的网络攻击，使其比短信验证更安全。

习总书记指出：“网络安全的本质在对抗，对抗的本质在攻防两端能力较量”。网络战不是我们想不想打的问题，而是必须有效应对的问题。为有效应对敌对势力的网络战威胁，保卫国家安全。为此我国第一个关键信息基础设施安全保护标准2023年5月1日起正式施行。

公安机关将大力加强关键信息基础设施安全监管，严厉打击相关网络违法犯罪活动，与有关部门密切配合，着力构建关键信息基础设施综合防御体系，大力提升综合防御能力和水平，坚决维护国家网络空间安全。 

市民刘先生想要恢复自己与某人的聊天记录作为报警证据，便在某网络二手交易平台APP上找到一个声称收费1000元就能恢复微信聊天记录的“黑客”周某。周某声称自己有特殊渠道可以恢复聊天数据，最后，刘先生共转给周某4000元。几天后，周某联系刘先生，称已经把恢复的聊天数据导入其购买的二手手机，并将该手机快递刘先生，但刘先生收到的竟然只是一个电线插座。刘先生要求周某退款未果后，前往徐汇公安分局报案。

近日，经徐汇区检察院提起公诉，徐汇区法院依法以诈骗罪判处被告人周某有期徒刑七个月，并处罚金4000元。

服务定位协议（SLP）被曝高严重性安全漏洞，该漏洞可被用作武器化，对目标发起积性拒绝服务（DoS）攻击。

Bitsight和Curesec的研究人员Pedro Umbelino和Marco Lux在一份与《黑客新闻》分享的报告中说：攻击者利用这个漏洞可以发动大规模的拒绝服务（DoS）放大攻击，系数高达2200倍，有可能成为有史以来最大的放大攻击之一。

据称，该漏洞为CVE-2023-29552（CVSS评分：8.6），影响全球2000多家企业和54000多个通过互联网访问的SLP实体。

近日，石景山区法院审结了某公司诉另一公司及其两股东、周某、陈某共五被告网络不正当竞争纠纷案。法院经审理认定，被告公司、周某、陈某三被告参与实施了雇佣黑客攻击竞争对手软件系统的网络不正当竞争行为，判令被告公司赔偿原告公司经济损失及合理支出共计199万余元，被告周某、陈某分别对其中12万元、5万元承担连带赔偿责任，并判令被告公司在其微信公众号和官方网站及某市级报刊上连续七天刊登声明以消除影响。

石景山法院经审理后认为，适用网络不正当竞争条款即反不正当竞争法第十二条应当具备以下条件：一是双方当事人之间具有竞争关系;二是被诉行为通过网络实施，且具有不正当性;三是原告主张的合法权益因被诉行为受到损害。