【一周安全资讯】国家网信办等三部门联合公布《网络数据安全风险评估办法》；印度塔塔电子遭勒索，苹果、特斯拉超630G数据

要闻速览

1、国家网信办等三部门联合公布《网络数据安全风险评估办法》

2、国家网信办印发《实施网络安全标识的产品目录（第一批）》及相关实施规则

3、43万台FortiGate防火墙遭“窃听”，1.1亿账号密码被偷

4、已修复：三星 7.8 分漏洞披露，影响 Galaxy S9 至 S25 系列手机

5、印度塔塔电子遭勒索，苹果、特斯拉超630G数据泄露

6、巴西全国手机遭疑似网络攻击，虚假紧急警报大范围传播

一周政策要闻

国家网信办等三部门联合公布《网络数据安全风险评估办法》

为贯彻落实《数据安全法》等法律法规，国家互联网信息办公室、工业和信息化部、公安部于6月18日联合发布《网络数据安全风险评估办法》。办法自2026年8月20日起施行，旨在规范风险评估活动，以安全保障数据产业发展。

办法明确了差异化评估频次：重要数据每年评估，重大变动追加专项评估，一般数据建议三年一次，企业可自主或委托第三方开展，但须专人负责并签订权责清晰的委托协议。评估工作可参照GB/T 45577-2025、GB/T 45389-2025两项国家标准执行，行业另有规范的从其规定。

办法对第三方机构提出硬性约束：禁止转委托、评估结果须真实完整，同一机构不得连续三次为同一企业做年度评估，接触数据须严格保密，发现重大风险须及时告知企业。

在监管层面，各部门每年1月底前报送检查计划由网信部门统筹协调，避免重复检查与重复委托。省级以上部门对重要数据企业评估报告进行核验，存在安全隐患可责令整改、暂停数据处理，违规者依法处置，同时开放社会投诉举报，形成事前、事中、事后全链条监管闭环。

信息来源：国家互联网信息办公室

https://www.cac.gov.cn/2026-06/18/c_1783525609778371.htm

国家网信办印发《实施网络安全标识的产品目录（第一批）》及相关实施规则

根据《网络安全标识管理办法》，国家互联网信息办公室、工业和信息化部、公安部制定了《实施网络安全标识的产品目录（第一批）》及相关实施规则，现印发公布，请各单位遵照执行。

同时，全国网络安全标准化技术委员会组织制定的《网络安全标识 消费类网联摄像头安全要求》（网络安全标准实践指南TC260-PG-20265A），将作为该类产品实施网络安全标识的标准依据，自2026年7月1日起正式施行。

消息来源：国家互联网信息办公室

https://www.cac.gov.cn/2026-06/18/c_1783525604615337.htm

业内新闻速览

43万台FortiGate防火墙遭“窃听”，1.1亿账号密码被偷

一场代号为FortiBleed的大规模凭证窃取行动正席卷全球，已导致超过43万台FortiGate防火墙沦陷，超1.1亿条用户名、密码及密码哈希被截获。该行动至少自2026年2月起持续至今，攻击者并非利用漏洞，而是将处于网络边界的FortiGate设备变为隐蔽监听哨，滥用其内置诊断命令在实时流量中截获认证信息，全程不触发告警，并借助定制化程序和AI代理实现高度工业化的自动化运作。

受害范围覆盖美国、印度及东南亚多国，中小企业成为重灾区，约三分之二受害企业员工不足两百人，近九成年营收低于一亿美元。攻击链条涵盖五个阶段：利用已泄露凭证和定制字典识别公网设备；自动化工具对FortiGate、Synology及MSSQL等服务进行登录尝试；获取SSH权限后植入嗅探工具捕捉流量中的明文密码和NTLM哈希；将哈希送入基于Hashtopolis管理的分布式GPU集群进行高速破解，用于活动目录枚举和横向移动；最后通过SMB/DFS共享窃取文件并重放Web Cookie劫持会话以维持持久化，其背后甚至设有定制Telegram机器人用于回传指令，运作规模已近乎企业化。

针对这一威胁，防御者应立即轮换所有VPN及管理员凭证，强制启用多因素认证，并将管理界面从公网暴露中撤下，同时排查日志中的异常行为痕迹，强化对网关层网络嗅探和大规模凭证窃取行为的检测能力。

消息来源：看雪学苑

43万台防火墙被集体“窃听”，1.1亿账号密码遭洗劫！FortiGate用户紧急自查

已修复：三星 7.8 分漏洞披露，影响 Galaxy S9 至 S25 系列手机

三星安卓内核被曝存在一个持续约八年之久的高危漏洞（CVE-2026-20971，CVSS评分7.8），该漏洞由网络安全公司LucidBit Labs于2026年6月22日披露，影响范围涵盖从Galaxy S9系列到S25系列以及Galaxy A系列在内的多款设备，无论搭载高通骁龙还是三星Exynos芯片均存在风险，涉及安卓13至16系统。

该漏洞潜伏于三星KNOX安全体系的PROCA进程认证子系统与FIVE完整性度量子系统相关代码中，属于use-after-free类型，根因在于task_integrity对象的生命周期管理存在缺陷。/proc/[pid]/integrity/目录下的接口直接引用了task->integrity指针，却未能妥善处理对象失效后的引用关系。这一疏忽导致任意应用程序即便不持有任何权限，也能利用该漏洞搜索内核内存空间，进而获取设备的完全控制权，安全影响极为严重。

据悉，三星已于2026年1月推送安全更新完成修复，建议受影响设备用户及时更新系统以消除风险。

消息来源：IT之家

https://baijiahao.baidu.com/s?id=1868951891107125897&wfr=spider&for=pc

印度塔塔电子遭勒索，苹果、特斯拉超630G数据泄露

6月22日，印度塔塔电子近日证实发生一起网络安全事件，事件发生几周前，公司已立即启动应对方案，并强调该事件未对各业务运营造成任何影响。

此前勒索组织World Leaks在其暗网泄密网站上发布了超过20万份据称与该企业相关的文件，数据总量达630.4GB。泄露的204,341份文件中包含大量机密和专有数据，包括苹果和特斯拉的原理图、技术与机械图纸、完整的护照扫描件等。

安全研究人员审查样本后发现，文件涉及苹果制造流程和特斯拉工程项目，其中包含名为“com.apple.factorydata”的文件夹以及标注为“商业机密”的文件。尤其值得注意的是，一份涉及特斯拉改进型Model 3轿车的图纸被明确标记为商业机密。此外，泄露数据还涵盖PDF、Excel电子表格、能源账单、工厂许可证、员工电子邮件、加密证书、密钥文件以及跨越数年的事件日志等。研究人员还在文件中发现对富士康、和硕和高通等苹果供应链关键公司的提及，但暂无证据表明这些企业已被入侵。据路透社报道，苹果公司已表示正在调查此事件，塔塔集团据称已收到赎金要求，但未透露是否正在谈判或具体索要金额。

消息来源：CNMO科技

https://baijiahao.baidu.com/s?id=1868752171409074902&wfr=spider&for=pc

巴西全国手机遭疑似网络攻击，虚假紧急警报大范围传播

近日，巴西全国范围的紧急警报系统遭遇网络攻击，攻击者利用该系统向多地手机用户发送虚假极端警报。事件发生在上周六清晨，巴西多州居民收到一条包含葡萄牙语单词"misantropia"变体"misantropi4"的异常短信，并带有最高级别的"极端警报"标识，而当时并未发生任何自然灾害或紧急事件，引发广泛混乱。虚假信息最早出现在南部巴拉那州，数分钟内便扩散至圣保罗、里约热内卢等主要城市。

巴西采用Cellbroadcast工具发送公共警报，由电信管理局管理。因虚假警报来自政府网络外部，当局于凌晨1时30分将预警平台强制下线。调查发现，攻击者利用系统严重安全缺陷入侵：2016年政府员工电脑感染恶意软件致密码泄露，但该密码十年来从未更改且与用户名相同；系统亦未要求安全连接或短信验证，安全问答长期固定为“2+2=”。目前地方当局正与电信管理局联合调查，此次事件为各国公共警报系统安全运维敲响了警钟。

消息来源：FREEBUF

https://www.freebuf.com/news/487662.html

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！据泄露