•工业和信息化部等八部门公开征求对《汽车数据出境安全指引（2025版）》的意见

•工信部NVDB：防范人工智能绘图工具ComfyUI多个安全漏洞的风险

•北京两公司因数据安全保护不力受罚

•NIST发布零信任架构实施指南，提供19种实施方案

•87%企业已采用AI，但安全专业知识严重滞后

•78%政府机构存在长期未修复的安全漏洞，修复周期远超行业平均

•保险公司遭遇勒索软件攻击，巴萨球场重建保险计划遭泄露

•纽约地标550 Madison遭黑客入侵，700GB敏感数据或被窃取

•起亚汽车无钥匙进入系统存在严重漏洞，数千辆车面临被盗风险

为贯彻落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规，推动建立高效便利安全的汽车数据跨境流动机制，为产业发展营造良好环境，在国家数据安全工作协调机制统筹指导下，工业和信息化部、国家网信办、国家发展改革委、国家数据局、公安部、自然资源部、交通运输部、市场监管总局起草了《汽车数据出境安全指引（2025版）（征求意见稿）》，拟以规范性文件印发。

现面向社会公开征求意见，请于2025年7月13日前反馈。可发传真（010-66069561）、邮件（邮箱：zhanghong@miit.gov.cn）或信函【地址：北京市西城区西长安街13号工业和信息化部网络安全管理局（邮编：100084），请在信封上注明：“《汽车数据出境安全指引（2025版）（征求意见稿）》意见反馈”】进行反馈。

原文链接：

https://www.cac.gov.cn/2025-06/13/c_1751439043533847.htm?sessionid=1754472744

工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）6月16日发布《关于防范KeeLoader恶意软件的风险提示》，指出KeeLoader恶意软件持续活跃，攻击者利用KeePass密码管理器的开源特性，分发木马化版本KeeLoader，安装Cobalt Strike信标并窃取凭证，可能导致数据泄露、系统瘫痪、勒索攻击等多重风险。

KeeLoader是攻击者利用开源密码管理器KeePass构建的恶意软件，其通过篡改KeePass源代码植入后门模块，形成集密码窃取、远程控制、勒索攻击于一体的复合型威胁。攻击者利用Bing广告推广仿冒的KeePass下载页面，诱导用户访问拼写错误域名（如keeppaswrd[.]com、keegass[.]com）并下载恶意安装包，该安装包保留原版功能且使用合法数字证书签名，极大降低用户警惕性。运行后，KeeLoader会安装Cobalt Strike信标实现远程控制，同时以明文形式导出用户密码数据库，从而获取网络、VPN和云服务的访问权限，以进一步实施权限提升和横向攻击。

CSTIS建议相关单位和用户从官方渠道下载软件，警惕任何链接到广告中的网站，谨慎验证域名真伪，及时更新防病毒软件，实施全盘病毒查杀，并可通过及时修复安全漏洞、定期备份数据等措施，防范网络攻击风险。

原文链接：

https://mp.weixin.qq.com/s/WwXtdIAqBsWMBPSkgPjlIA

近期，部分企业因未依法履行数据安全保护义务，其相关系统、服务器或数据库存在未授权访问漏洞和弱口令漏洞问题，造成数据被窃取，北京市网信办依法对涉案企业进行了查处。

其中，北京某科技公司在开展业务过程中，未对后台业务系统的接口配置访问控制和身份认证等安全措施，导致该系统存在未授权访问漏洞，使储存于其中的姓名、身份证号、手机号等个人信息数据暴露于互联网，并被境外IP访问窃取。

北京某有限公司在开展业务过程中，为方便系统测试，将ES数据库的9200端口对外开放且未限制访问，导致ES数据库存在未授权访问漏洞，使储存于其中的姓名、手机号等个人信息数据暴露于互联网，并被境外IP访问窃取。

针对以上违法情况，北京市网信办依据《中华人民共和国数据安全法》第四十五条，分别对上述两个公司作出警告，并处五万元罚款的行政处罚。下一步，北京市网信办将针对数据安全保护义务履行不力，造成重要数据遭窃取的违法违规行为加强监督执法，营造安全稳定的网络环境。

原文链接：

https://mp.weixin.qq.com/s/Fzt00_CXsooCHWtWGutL7g

美国国家标准与技术研究院(NIST)近日发布了《零信任架构实施》(NIST SP 1800-35)指南，详细介绍了19种使用商业可用技术的零信任架构(ZTA)实施方案，为组织提供了实用的蓝图，以保护现代分布式网络安全。

该指南是NIST国家网络安全卓越中心(NCCoE)与24家行业合作伙伴历时四年合作的成果，解决了从传统基于边界的安全模型向零信任转型的复杂性。与依赖单一防火墙保护定义网络边界内资产的传统模型不同，ZTA持续评估和验证访问请求，无论用户位置或先前的身份验证如何，这对于保护包含远程工作者、基于云的应用程序和分布式数据中心的混合环境至关重要。

该指南基于NIST 2020年发布的《零信任架构》(NIST SP 800-207)概念文档，进一步提供了详细的实施示例、测试结果和最佳实践。这些示例模拟了复杂的企业环境，包括多云平台、分支机构和公共WiFi接入点。19种架构示例利用现成的商业技术，并与NIST网络安全框架和NIST SP 800-53等标准保持一致，为组织提供了可行的见解，以使ZTA部署与行业标准保持一致。

原文链接：

https://cybersecuritynews.com/nist-zero-trust-architecture-guide/

Wiz和Gatepoint Research对100位云计算和安全专业人士进行的调查显示，随着AI应用加速普及，企业在可见性和治理方面存在明显差距。调查涵盖了从架构师、工程师到董事和高管的多个角色，揭示了组织在AI安全领域的现状和挑战。

调查发现，87%的受访者正在使用某种形式的AI服务，但31%表示缺乏AI安全专业知识是他们面临的首要挑战。在AI安全工具方面，仅13%的受访者采用了AI特定的态势管理(AI-SPM)，大多数组织仍依赖传统安全控制：53%实施了安全开发实践，41%使用租户隔离，35%定期审计以发现"影子AI"。

在云架构方面，45%的受访者使用混合云，33%在多云环境中运营，但只有三分之一使用CNAPP或CSPM等云原生平台。大多数团队仍依赖无法扩展到现代基础设施或AI工作负载的端点安全方法。

关于AI安全优先事项，受访者强调数据隐私(69%)、威胁可见性(62%)和集成便捷性(51%)。然而，25%的受访者承认他们不知道当前环境中运行着哪些AI服务，表明许多团队虽有明确目标，但缺乏必要的可见性和工作流程来实现这些目标。

原文链接：

https://www.wiz.io/reports/ai-security-readiness?utm_source=bleepingcomputer&utm_medium=display&utm_campaign=FY26Q2_INB_FORM_AI-Security-Readiness-Report&sfcid=701Py00000NsXt2IAF&utm_term=FY26Q2-bleepingcomputer-index-ad&utm_content=AIReadinessReport

根据Veracode最新研究，78%的公共部门组织存在显著的安全债务问题，即漏洞超过一年未得到修复。更令人担忧的是，55%的政府机构背负"严重"安全债务，存在具有高风险潜力的长期存在的漏洞。

研究显示，公共部门平均需要315天才能修复一半的软件漏洞，远高于252天的行业平均水平。这63天的延迟为潜在的应用层攻击和数据泄露创造了大量机会。数据进一步揭示，即使在两年后，政府应用程序中三分之一的安全漏洞仍未解决，15%的漏洞甚至持续存在超过五年。

特别值得关注的是，虽然第三方和开源代码仅占总体安全债务的不到10%，但它们却占据了政府系统中70%的严重安全债务。更糟糕的是，这些漏洞的修复时间比内部开发的第一方软件漏洞长约50%。

尽管如此，但领先的政府机构正在成功减少安全债务，解决漏洞的速度几乎是其他机构的四倍，表明有意义的改进是可以实现的。报告确定了五个关键指标来衡量组织的应用安全成熟度和债务管理能力：漏洞普遍性、修复能力、解决速度、安全债务普遍性和开源债务。

原文链接：

https://www.helpnetsecurity.com/2025/06/13/public-sector-software-vulnerabilities/

法国保险集团SMABTP的西班牙子公司Asefa近日出现在Qilin勒索软件组织使用的暗网论坛上。据报道，攻击者声称从该保险公司窃取了210GB数据，其中包括FC Barcelona巴塞罗那足球俱乐部诺坎普球场重建的保险计划。

Asefa已在其网站上发布通知，确认公司正在应对一起网络攻击，并表示其"核心业务"未受影响，员工已恢复访问企业邮箱，但网站将暂时关闭直至确保所有工具和功能完全安全。调查发现，被盗数据包括公司内部文件、护照、收据和法律协议。研究人员指出，暴露的敏感文件，如护照和内部协议，带来严重的身份盗窃或欺诈风险，可能导致企业间谍活动。特别是泄露的巴塞罗那保险计划，可能暴露这一高知名度客户的财务或运营漏洞。

Qilin勒索软件组织自2022年开始运营，今年显著扩大了影响力。据该组织在过去12个月中已攻击至少344家公司，仅2025年4月就针对68个实体发动攻击。

原文链接：

https://cybernews.com/security/asefa-spanish-insurer-qilin-ransomware/

Qilin勒索软件组织近日宣称从纽约地标建筑550 Madison Avenue（前AT&T大厦）的运营公司OAC 550 Owner窃取了大量数据。攻击者在其暗网泄露网站上声称获取了高达700GB的数据，并威胁如果不满足其要求将公开更多信息。

建于1984年的550 Madison最初是AT&T总部所在地，后来出售给索尼。目前，该地标建筑由投资公司Olyan拥有，内部入驻了美国-瑞士保险公司Chub Group、法国奢侈品时装零售商Hermès、私募股权公司Clayton, Dubilier & Rice等多家企业。研究人员调查发现，据称从建筑运营商处窃取的五个数据样本包括护照照片、事件报告、抵押转让文件和服务承包商协议等敏感信息。

原文链接：

https://cybernews.com/security/new-york-550-madison-hacker-attack/

独立硬件安全研究员Danilo Erazo近日发现，厄瓜多尔销售的起亚(KIA)汽车使用的售后无钥匙进入系统存在重大安全缺陷，影响2022年至2025年间的Soluto、Río和Picanto等多款热门车型。

研究显示，起亚厄瓜多尔采用了过时的"学习码"技术，而非自20世纪90年代中期以来广泛应用的行业标准"滚动码"系统。2022年和2023年初的车型使用HS2240芯片，而2024年和2025年的车型则采用EV1527芯片，两者都实现了学习码而非安全的滚动码。由于学习码系统允许攻击者对约一百万个可能的固定码进行暴力攻击，且每辆车可同时存储多达四个学习码，这大大增加了攻击成功的概率。更令人担忧的是，犯罪分子可以捕获合法钥匙发出的射频信号并重放它们来解锁车辆，因为这些代码是静态的，每次使用都不会改变。

尽管该漏洞已于2024年5月报告给起亚厄瓜多尔，但至今未采取任何补救措施。该案例现由非营利组织汽车安全研究组(ASRG)提供支持管理。研究人员强调，这一问题可能不仅限于厄瓜多尔，其他拉丁美洲国家也可能实施类似的易受攻击的钥匙系统。

原文链接：

https://cybersecuritynews.com/kia-ecuador-keyless-entry-systems/