文章总结： 近期网络安全动态包括：中国将于2027年实施电子产品数据清除标准；CNVD通报多款高危0day漏洞；韩国推行人脸识别注册防诈骗；黑客转向收买企业内鬼；Clop利用Oracle漏洞窃取大学数据；法国邮政遭DDoS攻击。此外还涉及Spotify抓取争议及运营商对营销短信免责的司法判例。 综合评分： 70 文章分类： 安全大事件,漏洞预警,数据安全,政策法规,安全运营

旧手机旧电脑不敢处理？放心，国家新规来了！营销短信扰民，为何运营商不担责？司法判例厘清责任边界| 牛览

安全牛

2025年12月23日 12:18 北京

点击蓝字 关注我们

新闻速览

• 旧手机旧电脑不敢处理？放心，国家新规来了！
• 营销短信扰民，为何运营商不担责？司法判例厘清责任边界
• 韩国强制人脸识别注册手机号,能否破解电信诈骗困局?
• 8600万首音乐被规模化抓取，Spotify如何界定“非黑客攻击”的安全边界
• ChatGPT推出类Spotify Wrapped年度回顾功能
• 2025年12月中旬CNVD漏洞态势研判与处置报告
• Clop再出手：利用Oracle零日漏洞，菲尼克斯大学350万人数据被盗
• DDoS冲击法国邮政与银行系统：假日高峰期的网络安全警钟
• 764网络重要成员认罪：联邦重磅起诉揭露极端儿童剥削集团内幕
• 3万到百万回报诱惑员工，银行与科技企业成内鬼招募重点

特别关注

旧手机旧电脑不敢处理？放心，国家新规来了！

国家标准《数据安全技术电子产品信息清除技术要求》将于2027年1月1日起实施，明确要求对手机、电脑等含非易失性存储介质的电子产品采用“信息清除”技术，以杜绝隐私泄露风险。标准规定两类核心技术：一是数据覆写，对磁介质至少三次覆写（含一次随机数）；二是块擦除，针对闪存等半导体介质执行底层不可逆擦除。新规覆盖产品全生命周期，强制厂商提供内置或外部清除工具，回收商须在用户授权下彻底清除数据并验证效果，未清除设备禁止二次销售或出境。涉密设备不适用本标准，须依保密法规处理。

原文链接：

https://mp.weixin.qq.com/s/I6U9C2FX3RpFe3uMDcBSbA

2025年12月中旬CNVD漏洞态势研判与处置报告

2025年12月15日-21日，CNVD发布本周漏洞态势研判报告，整体威胁级别为中。本周共收集漏洞267个，其中高危121个、中危138个、低危8个，平均分值6.73；0day漏洞129个（占48%），含Tenda AC21缓冲区溢出等零日攻击漏洞。涉及党政机关和企事业单位漏洞64577个，环比增60%。处置方面，向银行等重要行业通报17起，协调CNCERT分中心处置地方重要部门事件2083起，教育行业156起，上报部委相关漏洞23起，并向派诺科技、金山办公等多家单位通报漏洞。重要漏洞告警包括Adobe产品跨站脚本漏洞、Apache系列产品多个漏洞（含代码执行、信息泄露等）、Google Android权限提升与信息泄露漏洞、Microsoft Excel/Word代码执行漏洞（均高危），以及D-Link DIR-823G命令注入漏洞（厂商未发补丁）。攻击验证方面，需防范Tenda AC21缓冲区溢出漏洞，攻击者可执行任意代码或致拒绝服务。CNVD提醒相关用户及时关注厂商补丁，加强防范。

原文链接：

https://mp.weixin.qq.com/s/UKisaVixDap1ZTOOI0WuOQ

热点观察

韩国强制人脸识别注册手机号,能否破解电信诈骗困局?

韩国科学和信息通信技术部12月20日宣布,将从3月23日起强制要求用户在办理新手机号时进行人脸识别认证，以打击电信诈骗。该政策适用于三大运营商及虚拟运营商。

新政策通过实时比对身份证照片与用户面部信息，防止犯罪分子使用伪造或盗窃的身份证件进行非法注册。此举是韩国应对语音钓鱼(voice phishing)诈骗的升级措施。数据显示,截至11月韩国已报告21,588起此类案件。今年8月，韩国政府曾出台惩罚计划,对未能有效防范诈骗的运营商加大处罚力度。

此次政策出台背景严峻：今年4月SK Telecom遭黑客攻击，近2700万用户的SIM卡数据被窃。隐私监管机构调查发现，该公司”连基本访问控制都未实施”，导致认证数据和用户信息大规模泄露。新政将于本周开始试运行。

原文链接：

https://therecord.media/south-korea-facial-recognition-phones

764网络重要成员认罪：联邦重磅起诉揭露极端儿童剥削集团内幕

美国司法部近日宣布，迄今被称为Nihilistic Violent Extremist（NVE）网络764关联组织“8884”在线管理员及领导者Alexis Aldair Chavez（19岁）在联邦法院对RICO（有组织犯罪）阴谋、分发及持有儿童性虐待材料（CSAM）三项重罪认罪。他每项罪名最高可判20年监禁，其中分发罪至少需要判处5年监禁。

法庭文件显示，Chavez参与并协助该极端网络在Discord等平台上诱骗、操纵及胁迫未成年人，强迫受害者拍摄涉及自虐、性行为、伤害动物等极端内容的视频和图像以维持其“地位”和影响力。部分行为包括逼迫受害者自残、伤害宠物、尝试自杀等。764及其子群体通过网络黑客及社交操控手段扩大影响，严重危害青少年身心健康。

该案件是美国Project Safe Childhood全国计划的一部分，旨在剥离在线儿童剥削网络并追查组织者。司法部与FBI等执法机构合作展开调查，凸显数字时代极端网络组织利用技术与社交平台进行跨境犯罪的严峻挑战。

原文链接：

Leader of 764 offshoot pleads guilty, faces up to 60 years in jail

3万到百万回报诱惑员工，银行与科技企业成内鬼招募重点

Check Point Research（CPR）最新研究显示，网络犯罪分子正明显转变攻击策略，从传统的密码破解和漏洞利用，转向直接收买企业内部员工以获取网络访问权限和敏感数据。研究指出，银行、电信和科技企业成为重点目标，攻击者通过暗网和Telegram等渠道公开招募“insider”。

CPR发现，员工提供一次性系统访问或特定文件的报酬通常在3000至15000美元之间，而高价值数据回报更高，例如一笔来自加密货币交易所、包含3700万条记录的数据在暗网标价25000美元。部分招募信息还通过情绪操控，将背叛企业包装为“摆脱工作循环、实现财务自由”的捷径。

被点名的目标涵盖Coinbase、Binance、Kraken、Gemini等加密平台，以及Accenture、Genpact、Spotify和Netflix。攻击场景还扩展至SIM-swapping、云服务访问和金融交易记录获取。CPR指出，当内部人员主动关闭防御机制时，传统安全措施几乎失效。专家建议，企业需加强最小权限管理，并持续监测暗网中与自身品牌相关的活动，以应对不断升级的内部威胁。

原文链接：

Insider Threat: Hackers Paying Company Insiders to Bypass Security

安全事件

8600万首音乐被规模化抓取，Spotify如何界定“非黑客攻击”的安全边界

Spotify于周一回应称，已处置一批涉嫌非法抓取的用户账号，此前开源组织Anna’s Archive在周末公开发布了从Spotify抓取的约8600万首音乐文件及大规模元数据。Spotify表示，该事件并非“黑客攻击”，而是第三方通过批量注册的普通用户账号，在数月内进行stream-ripping，系统性违反平台条款，未接触其核心业务系统。

Spotify已上线新的技术防护措施，应对反版权与异常抓取行为，并持续监测可疑活动，同时强调其长期与行业伙伴合作，保护创作者权益。

Anna’s Archive则称，其通过规模化抓取获得包含2.56亿首曲目的音乐元数据库，并发布近300TB的数据集，覆盖2007年至2025年7月Spotify上约99.6%的播放量。该组织将此举定义为“文化保存”，并披露平台头部效应明显：前三热门歌曲的总播放量高于数千万首尾部歌曲之和。

Anna’s Archive此前因多次版权纠纷在多国被封禁，其前身与Z-Library关停事件密切相关，目前仍面临持续的法律与合规压力。

原文链接：

https://therecord.media/spotify-disables-scraping-annas

Clop再出手：利用Oracle零日漏洞，菲尼克斯大学350万人数据被盗

美国University of Phoenix披露一起大规模数据泄露事件，约350万名学生、校友及供应商信息受到影响。校方在向美国证券交易委员会（SEC）提交的文件中确认，攻击者为Clop勒索软件团伙，其利用Oracle E-Business Suite（EBS）财务系统中的零日漏洞实施入侵。

调查显示，Clop并未加密系统，而是通过漏洞直接访问并窃取敏感数据，这是其近年来典型的“纯数据窃取”攻击模式。被泄露信息包括姓名、社会安全号码、银行账户信息及税务数据，具有极高的身份盗用和金融欺诈风险。

安全专家指出，此次事件再次凸显高校与大型企业在ERP等核心业务系统上的暴露风险，尤其是在漏洞披露到补丁落地之间的“攻击窗口期”，已成为勒索团伙重点利用的高价值目标。

原文链接：

https://www.bleepingcomputer.com/news/security/university-of-phoenix-data-breach-impacts-nearly-35-million-individuals/

DDoS冲击法国邮政与银行系统：假日高峰期的网络安全警钟

法国国家邮政服务La Poste近日确认，其在线系统在圣诞节前数日遭遇分布式拒绝服务（DDoS）攻击，导致官方网站及移动应用服务中断，影响包裹跟踪与部分投递业务。La Poste方面称，目前尚无证据显示客户数据遭泄露或破坏，但攻击使关键数字系统不可访问，从而延缓了邮政处理流程并引发用户抱怨。

此次中断不仅影响邮政服务，还波及其附属银行La Banque Postale的在线银行功能。虽然柜台刷卡与ATM取款正常运行，在线服务则需依赖短信验证等备用流程完成操作。La Poste组织技术团队全力恢复服务，同时强调信件业务仍在进行。

该事件发生在欧洲节日物流需求高峰，与近期法国政府机构也遭遇网络攻击的背景一致，凸显DDoS作为低成本、流量泛滥型攻击手法在繁忙时段的破坏潜力。

专家认为，类似攻击常通过大量伪造请求占用服务器资源，从而令正常用户无法访问服务。对网络安全从业者而言，此次事件再次提醒节假日前加强流量监测与抗DDoS防护能力的重要性。

原文链接：

https://therecord.media/la-poste-france-ddos-disruption-days-before-christmas

产业动态

营销短信扰民，为何运营商不担责？司法判例厘清责任边界

近期多起司法判例明确：电信运营商仅提供短信与电话“通道服务”，对营销类垃圾信息和骚扰电话不承担识别拦截责任。法院指出，依据《宪法》第四十条，运营商不得查看通信内容；而《电信条例》第六十二条亦规定，信息内容及后果由用户（即营销方）负责。最高人民法院及多地高院裁定，消费者举报运营商未拦截营销信息，不属于行政复议或诉讼受案范围，因其权益未受直接损害。营销扰民行为的法律责任应由发送方承担，市场监管部门为执法主体。运营商依法仅需拦截涉诈、“九不准”等违法信息，无权干预合法但未经同意的商业营销。

原文链接：

https://mp.weixin.qq.com/s/nPOKr-OPi_KPjfug8f7x-g

新品发布

ChatGPT推出类Spotify Wrapped年度回顾功能

OpenAI旗下聊天机器人ChatGPT推出年度回顾功能“Your Year with ChatGPT”，灵感源自Spotify Wrapped。该功能已向美国、加拿大、英国、澳大利亚、新西兰等部分英语市场的符合条件用户开放，支持免费、Plus及Pro计划用户，需开启“参考保存记忆”和“参考聊天历史”选项并满足最低对话活动阈值，团队、企业或教育账户无法使用。功能主打轻量化、隐私优先且用户可控，通过趣味图形和个性化“奖项”总结使用情况，还会生成与用户兴趣相关的诗歌和图片。用户可在ChatGPT网页端及iOS、Android移动端触发该功能，不会被强制推送。

原文链接：

ChatGPT launches a year-end review like Spotify Wrapped

联系我们

合作电话：18311333376

合作微信：aqniu001

联系邮箱：[email protected]

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全牛 《旧手机旧电脑不敢处理？放心，国家新规来了！营销短信扰民，为何运营商不担责？司法判例厘清责任边界| 牛览》