要闻速览
1、《工业控制系统网络安全防护能力成熟度模型》等7项网络安全国家标准发布
2、央行等四机构发布《金融业网络安全管理办法(征求意见稿)》
3、工信部NVDB发布风险预警:Claude Code内置后门,多版本私自回传敏感信息
4、美军多个网站遭404Hijacking篡改,404错误页被植入亲库尔德政治信息
5、中学生利用ChatGPT恶意攻击会员系统,致知名动漫网站关停超6周
6、埃森哲数据泄露事件:黑客宣称窃取35GB源代码
一周政策要闻
《工业控制系统网络安全防护能力成熟度模型》等7项网络安全国家标准发布
根据2026年7月2日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2026年第30号),全国网络安全标准化技术委员会归口的7项国家标准正式发布。具体清单如下:
央行等四机构发布《金融业网络安全管理办法(征求意见稿)》
2026年7月3日,中国人民银行、国家金融监督管理总局、中国证券监督管理委员会、国家外汇管理局联合发布通知,就《金融业网络安全管理办法(征求意见稿)》面向全社会公开征求意见,旨在全面规范金融业网络安全管理工作。
此次新规覆盖银行、证券、金融监管等全金融业态,将统一行业网络安全标准,压实金融机构网络防护、数据安全、风险应急等主体责任,填补细分金融领域网络安全统一监管规则空白。
公众可通过以下途径和方式提出反馈意见:1、邮件(anquanchu@pbc.gov.cn);2、信函(北京西城区金融大街30号央行科技司,邮编100800);3、传真(010-66016449),均需标注“金融业网络安全管理办法征求意见”,反馈截止时间为2026年8月3日。
消息来源:中国人民银行 https://www.pbc.gov.cn/tiaofasi/144941/144979/3941920/2026070309071537722/index.html
业内新闻速览
工信部NVDB发布风险预警:Claude Code内置后门,多版本私自回传敏感信息
近日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)监测发现,AI编程工具Claude Code存在安全后门隐患,危害严重。
Claude Code是美国Anthropic公司开发的AI编程工具,可根据文字需求自主完成代码编写、修复等工作。由于其内置了监控机制,未经用户同意即可向远程服务器回传用户地域、身份标识等敏感信息,受影响的Claude Code为2.1.91至2.1.196版本。
建议相关单位和用户立即开展全面排查,对于安装上述受影响版本的开发终端,立即卸载或升级至已清除相关后门代码的最新安全版本;加强核心业务网段内开发工具外联权限管控与流量监测,防止敏感数据违规外传。
美军多个网站遭404Hijacking篡改,404错误页被植入亲库尔德政治信息
美国陆军多个互联网子域名近日遭遇疑似404Hijacking攻击,攻击者篡改网站404错误页面,植入支持库尔德(Kurdistan)的政治信息及针对美国总统Donald Trump、美国驻Türkiye大使Tom Barrack的攻击性内容。目前已确认受影响的网站包括oil.army.mil和ai2c.army.mil,美军在接到安全研究人员通报后已将相关页面下线并启动事件调查。
研究人员Ronald Lovelace分析认为,此次事件具有典型404Hijacking特征,即攻击者利用网站404错误处理机制,在用户访问不存在页面时展示恶意内容,而非直接篡改网站主页。受影响站点运行于WordPress,并部署在Microsoft云基础设施上,攻击入口可能涉及第三方插件或服务器配置缺陷,但具体入侵路径尚未得到官方确认。
美国陆军表示,涉事页面托管于遗留第三方平台,与Army企业网络并未直接连接。目前相关页面已被移除,事件响应和取证工作仍在持续。
消息来源:安全牛 CNVD 本周漏洞态势研判:零日漏洞占比超八成,政企漏洞事件环比大幅上涨;Microsoft加速采用自研MAI模型,降低对OpenAI依赖| 牛览
埃森哲数据泄露事件:黑客宣称窃取35GB源代码
2026年7月6日,一名黑客在网络论坛发帖称已窃取埃森哲超过35GB内部数据,包括源代码、RSA密钥、SSH密钥、Azure个人访问令牌(PATs)、Azure存储访问密钥及配置文件。其发布的Azure DevOps截图显示已成功克隆私有代码库(传输速度达数十MB/s),以此证明攻击属实。该攻击者(昵称“888”)曾于2024年针对埃森哲发起未遂攻击,当时埃森哲予以否认。
埃森哲已向BleepingComputer证实存在安全漏洞并完成修复,但未承认攻击者声称的数据范围和类型,强调该事件不影响运营与服务交付。攻击者要求门罗币支付赎金,售价尚未公布。在更多证据公开前,安全机构建议Azure DevOps用户审查令牌轮换策略及代码库访问日志,防范潜在供应链风险。
中学生利用ChatGPT恶意攻击会员系统,致知名动漫网站关停超6周
日本东京警方于2026年7月8日逮捕一名15岁初三学生,其涉嫌在2025年11月利用“万代频道”系统漏洞,通过ChatGPT编写恶意程序,在约4小时内非法取消约4.68万个账号订阅,导致平台一度暂停服务。该少年通过分析数据流量发现漏洞,遭封禁后约30次更换IP地址持续攻击。万代南梦宫影视制作公司于去年11月报案,警方经通信记录追踪锁定嫌疑人。上月该少年已因非法访问他人账号被捕,本月又以妨害业务罪被正式逮捕。据悉,该少年从小学四年级学习编程,与平台无个人恩怨。事件后续影响方面,万代南梦宫于去年11月全面暂停该服务,并披露最多约136.6万条个人信息(含邮箱地址)可能已泄露。
来源:本安全周报所推送内容由网络收集整理而来,仅用于分享,并不意味着赞同其观点或证实其内容的真实性,部分内容推送时未能与原作者取得联系,若涉及版权问题,烦请原作者联系我们,我们会尽快删除处理,谢谢!