【一周安全资讯】国家网信办等三部门联合公布《网络数据安全风险评估办法》；印度塔塔电子遭勒索苹果、特斯拉超630G数据泄露哈希娱乐- 哈希游戏平台- 游戏官方网站

　　哈希官网,哈希娱乐,哈希平台,哈希游戏平台,哈希游戏玩法,哈希竞猜,哈希游戏官方网站

　　2、国家网信办印发《实施网络安全标识的产品目录（第一批）》及相关实施规则

　　为贯彻落实《数据安全法》等法律法规，国家互联网信息办公室、工业和信息化部、公安部于6月18日联合发布《网络数据安全风险评估办法》。办法自2026年8月20日起施行，旨在规范风险评估活动，以安全保障数据产业发展。

　　办法明确了差异化评估频次：重要数据每年评估，重大变动追加专项评估，一般数据建议三年一次，企业可自主或委托第三方开展，但须专人负责并签订权责清晰的委托协议。评估工作可参照GB/T 45577-2025、GB/T 45389-2025两项国家标准执行，行业另有规范的从其规定。

　　办法对第三方机构提出硬性约束：禁止转委托、评估结果须真实完整，同一机构不得连续三次为同一企业做年度评估，接触数据须严格保密，发现重大风险须及时告知企业。

　　在监管层面，各部门每年1月底前报送检查计划由网信部门统筹协调，避免重复检查与重复委托。省级以上部门对重要数据企业评估报告进行核验，存在安全隐患可责令整改、暂停数据处理，违规者依法处置，同时开放社会投诉举报，形成事前、事中、事后全链条监管闭环。

　　根据《网络安全标识管理办法》，国家互联网信息办公室、工业和信息化部、公安部制定了《实施网络安全标识的产品目录（第一批）》及相关实施规则，现印发公布，请各单位遵照执行。

　　同时，全国网络安全标准化技术委员会组织制定的《网络安全标识 消费类网联摄像头安全要求》（网络安全标准实践指南TC260-PG-20265A），将作为该类产品实施网络安全标识的标准依据，自2026年7月1日起正式施行。

　　一场代号为FortiBleed的大规模凭证窃取行动正席卷全球，已导致超过43万台FortiGate防火墙沦陷，超1.1亿条用户名、密码及密码哈希被截获。该行动至少自2026年2月起持续至今，攻击者并非利用漏洞，而是将处于网络边界的FortiGate设备变为隐蔽监听哨，滥用其内置诊断命令在实时流量中截获认证信息，全程不触发告警，并借助定制化程序和AI代理实现高度工业化的自动化运作。

　　受害范围覆盖美国、印度及东南亚多国，中小企业成为重灾区，约三分之二受害企业员工不足两百人，近九成年营收低于一亿美元。攻击链条涵盖五个阶段：利用已泄露凭证和定制字典识别公网设备；自动化工具对FortiGate、Synology及MSSQL等服务进行登录尝试；获取SSH权限后植入嗅探工具捕捉流量中的明文密码和NTLM哈希；将哈希送入基于Hashtopolis管理的分布式GPU集群进行高速破解，用于活动目录枚举和横向移动；最后通过SMB/DFS共享窃取文件并重放Web Cookie劫持会话以维持持久化，其背后甚至设有定制Telegram机器人用于回传指令，运作规模已近乎企业化。

　　针对这一威胁，防御者应立即轮换所有VPN及管理员凭证，强制启用多因素认证，并将管理界面从公网暴露中撤下，同时排查日志中的异常行为痕迹，强化对网关层网络嗅探和大规模凭证窃取行为的检测能力。

　　43万台防火墙被集体“窃听”，1.1亿账号密码遭洗劫！FortiGate用户紧急自查

　　三星安卓内核被曝存在一个持续约八年之久的高危漏洞（CVE-2026-20971，CVSS评分7.8），该漏洞由网络安全公司LucidBit Labs于2026年6月22日披露，影响范围涵盖从Galaxy S9系列到S25系列以及Galaxy A系列在内的多款设备，无论搭载高通骁龙还是三星Exynos芯片均存在风险，涉及安卓13至16系统。

　　该漏洞潜伏于三星KNOX安全体系的PROCA进程认证子系统与FIVE完整性度量子系统相关代码中，属于use-after-free类型，根因在于task_integrity对象的生命周期管理存在缺陷。/proc/[pid]/integrity/目录下的接口直接引用了task-integrity指针，却未能妥善处理对象失效后的引用关系。这一疏忽导致任意应用程序即便不持有任何权限，也能利用该漏洞搜索内核内存空间，进而获取设备的完全控制权，安全影响极为严重。

　　据悉，三星已于2026年1月推送安全更新完成修复，建议受影响设备用户及时更新系统以消除风险。

　　6月22日，印度塔塔电子近日证实发生一起网络安全事件，事件发生几周前，公司已立即启动应对方案，并强调该事件未对各业务运营造成任何影响。

　　此前勒索组织World Leaks在其暗网泄密网站上发布了超过20万份据称与该企业相关的文件，数据总量达630.4GB。泄露的204,341份文件中包含大量机密和专有数据，包括苹果和特斯拉的原理图、技术与机械图纸、完整的护照扫描件等。

　　安全研究人员审查样本后发现，文件涉及苹果制造流程和特斯拉工程项目，其中包含名为“com.apple.factorydata”的文件夹以及标注为“商业机密”的文件。尤其值得注意的是，一份涉及特斯拉改进型Model 3轿车的图纸被明确标记为商业机密。此外，泄露数据还涵盖PDF、Excel电子表格、能源账单、工厂许可证、员工电子邮件、加密证书、密钥文件以及跨越数年的事件日志等。研究人员还在文件中发现对富士康、和硕和高通等苹果供应链关键公司的提及，但暂无证据表明这些企业已被入侵。据路透社报道，苹果公司已表示正在调查此事件，塔塔集团据称已收到赎金要求，但未透露是否正在谈判或具体索要金额。

　　近日，巴西全国范围的紧急警报系统遭遇网络攻击，攻击者利用该系统向多地手机用户发送虚假极端警报。事件发生在上周六清晨，巴西多州居民收到一条包含葡萄牙语单词misantropia变体misantropi4的异常短信，并带有最高级别的极端警报标识，而当时并未发生任何自然灾害或紧急事件，引发广泛混乱。虚假信息最早出现在南部巴拉那州，数分钟内便扩散至圣保罗、里约热内卢等主要城市。

　　巴西采用Cellbroadcast工具发送公共警报，由电信管理局管理。因虚假警报来自政府网络外部，当局于凌晨1时30分将预警平台强制下线。调查发现，攻击者利用系统严重安全缺陷入侵：2016年政府员工电脑感染恶意软件致密码泄露，但该密码十年来从未更改且与用户名相同；系统亦未要求安全连接或短信验证，安全问答长期固定为“2+2=”。目前地方当局正与电信管理局联合调查，此次事件为各国公共警报系统安全运维敲响了警钟。