Apache Log4j2组件漏洞持续发酵，被伊朗黑客利用入侵美国联邦机构。2022年11月16日，美国联邦调查局(FBI)和网络安全和基础设施安全局（CISA）发布联合公告称，一个由伊朗支持的未命名威胁组织利用Log4Shell漏洞攻击了未修补的VMware Horizon服务器，进而入侵了美国联邦民事行政部门组织，并部署XMRig加密恶意软件。

（来源：bleepingcomputer）

【天枢点评】：去年底披露的开源组件Apache Log4j2高危漏洞Log4Shell，因其影响范围广、破坏性强、利用门槛低，被称为“核弹级漏洞”，是软件供应链安全领域重大安全事件。业界认为要排查和消除该漏洞的影响，需要约10年的时间。从用户侧来看，严格落实安全制度，加强网络资产盘查与管理，定期组织实施安全隐患排查，提升漏洞管理和应急响应能力，都是必不可少的操作。从监管侧来看，应对复杂的供应链安全问题，要政府与企业形成合力，协同推进构建完善的安全体系。

谷歌因非法收集用户位置信息将支付创纪录的3.91亿美元罚款。2022年11月15日，谷歌因跟踪位置数据非法收集个人信息，并误导消费者，同意支付3.915亿美元的罚款并达成和解。美国司法部称，该和解协议是有史以来规模最大的消费者隐私和解协议。除了和解协议外，谷歌将从2023年开始大幅改进其位置跟踪披露和用户控制。

（来源：securityaffairs ）

【天枢点评】：此次和解协议是美国史上规模最大、涉及多个州的互联网用户隐私和解协议，同时创下了谷歌在用户隐私诉讼方面支付和解金的最高纪录。不仅如此，通过数字安全观察的持续跟踪，谷歌、Facebook、Instagram等大厂都曾因违反数据隐私的相关规定被重罚。从Facebook泄露数据被用于干扰美国大选，我国滴滴平台接受国家安全审查等来看，数据安全治理能力提升迫在眉睫，要充分利用法律、技术、管理等综合手段保护数据安全、保护个人信息。

 * 如需了解《数字安全观察》完整版信息，请联系[email protected]，关注360天枢智库