一周安全头条（20200831-0906）

近日，工信部就《通信短信息和语音呼叫服务管理规定（征求意见稿）》公开征求意见，任何组织或个人未经用户同意或者请求，或者用户明确表示拒绝的，不得向其发送商业性短信息或拨打商业性电话。征求意见稿提出，用户未明确同意的，视为拒绝。用户同意后又明确表示拒绝接收的，应当停止。短信息服务提供者发送端口类商业性短信的，应当确保有关用户已同意或请求接收，并保留用户同意凭证至少五个月。

印度ANI新闻网消息，印度电子和信息技术部（MEIT）9月2日发布公告，宣称禁用118款“涉嫌参与危害印度主权与（领土）完整、印度国防、国家安全和公共秩序活动”的中国APP印度《金融快报》提到，此前6月29日，印度政府宣布禁用59款中国APP，一个月后再次宣布禁用47款中国APP。至此，印度政府已禁用224款中国APP。

2020年国家网络安全宣传周将于9月14日至20日在全国范围内统一开展，主题为“网络安全为人民，网络安全靠人民”，由中央宣传部、中央网信办、教育部、工业和信息化部、公安部、中国人民银行、国家广播电视总局、全国总工会、共青团中央、全国妇联等部门联合举办。

近日，专注物联网安全的创新企业天防安全获得千万级天使轮投资，本次融资由梅花创投领投，新势能基金跟投，创道咨询担任财务顾问。天防安全表示，所融资金将主要用于产品研发、团队建设、产品实验局的搭建和灯塔项目的开拓，旨在为客户提供优质的物联网安全监测产品和服务。

最近，AtlasVPN报告阐明了2020年第一季度全球VPN的使用情况。调查显示，在85个国家/地区中，VPN下载合计超过1.34亿次，其中，阿联酋的渗透率最高，为38.72％（每2.85人中有1人），其次是卡塔尔，为27.95％（每3.58人中有1人），阿曼为23.82％（每4.20人中有1人）。

Bitglass的最新调查显示，61％的受访者表示在过去12个月中至少有一次内部攻击（22％表示至少有6次单独的攻击）。而一次成功实施的内部攻击（例如内鬼投放勒索软件、数据泄露或者删库跑路），给企业造成的平均损失高达200万美元。

研究人员周二表示，黑客正在积极利用一个漏洞，该漏洞使他们能够在运行File Manager的网站上执行命令和恶意脚本，File Manager是一个WordPress插件，活跃安装量超过700,000。在修补了安全漏洞几小时后，发出了攻击的消息。攻击者正在利用此漏洞上传包含隐藏在映像中的Web Shell的文件。从那里，他们有一个方便的界面，使他们可以在plugins/wp-file-manager/lib/files/（文件管理器插件所在的目录）中运行命令。

思科在上周末警告说，其运营商级路由器上运行的Cisco IOS XR软件中存在两个严重的内存耗尽拒绝服务（DoS）漏洞，攻击者正在试图利用中。两个零日漏洞——CVE-2020-3566和CVE-2020-3569 ，影响Cisco IOS XR软件的距离矢量多播路由协议（DVMRP）功能，允许远程未经身份验证的攻击者耗尽目标设备的内存。

最近，来自苏黎世联邦理工学院计算机科学系的3名研究人员，发现了EMV协议中的漏洞，该漏洞使攻击者可以实施中间人攻击（MITM），进行欺诈性交易。目前，可以通过直接全局更新终端系统而不是EMV协议本身来修复这2个漏洞。

在美国11月大选前夕，黑客正在加紧攻击特朗普的竞选网站和商业网站，并使其下线。为特朗普竞选工作的一家安全公司Cloudflare表示，这可能是在为更大规模的数字攻击做准备。Cloudflare的安全团队没有对黑客的身份发表评论，因此目前无法确定到底是谁发起了这些攻击。

据印媒报道，当地时间3日，印度总理莫迪个人网站的官方推特账号被一个自称“约翰·威克”( John Wick)的黑客组织入侵，并发布了大量推文，呼吁人们使用加密货币给救济基金“捐款”。另据路透社报道，同日，推特发言人发布声明证实莫迪这一账户被盗，并表示已采取相应措施保护被盗账户。

近日，特斯拉联合创始人兼首席执行官埃隆·马斯克（Elon Musk）在Twitter上证实，特斯拉内华达州工厂Gigafactory于8月初曾遭遇网络攻击，随后被联邦调查局击败。根据Testrati上周四报告，一个名为Kriuchkov的俄罗斯人接触特斯拉内华达工厂的一名员工，并以100万美元贿赂该员工用恶意软件感染并破坏特斯拉的内部网络。该员工向特斯拉官员报告了这一事件，特斯拉官员随即向联邦调查局报案。

挪威国会（Stortinget）当地时间本周二表示，黑客攻击并已经破坏了挪威国会（Storting）代表和员工的部分电子邮件账户。挪威国会的董事玛丽安·安德里亚森说，此事件目前正在调查中，调查人员尚未发现攻击者从受损的Storting电子邮件账户中窃取了哪种数据，暂时也无法提供有关攻击背后的原因或被黑账户数量的任何信息。