>>> 深圳即刻换电平台突发故障,IoT 设备未授权访问是主因
2026年1月4日,深圳主流换电服务平台 “即刻换电” 突发系统性故障,其 APP 及小程序的换电扫码、电池状态查询、支付结算等核心功能全面中断,故障持续超 3 小时。此次故障集中影响福田、南山等外卖骑手密集区域,不仅造成大量骑手配送延误,还导致众多通勤用户出行受阻。经平台技术团队紧急排查,故障根源锁定为换电柜远程管理接口的未授权访问漏洞 —— 该接口既未设置有效身份认证机制,也未部署通信加密防护,被第三方通过自动化工具恶意扫描定位后,遭受大量非法调用请求,最终引发服务器负载过高并崩溃,同时还存在用户充电记录、设备位置等敏感数据被窃取的潜在风险。
>>> 国内多地基层政务系统现安全漏洞,成黑灰产攻击目标
2026年1月2日,国内某安全机构在针对基层政务系统的专项检测中发现,超 30% 的县级以下政务平台存在 “重功能轻防护” 的问题:其中近半数平台未部署防火墙、入侵检测等防护设备,2025 年国家信息安全漏洞共享平台(CNVD)披露的 2 个高危远程代码执行漏洞,在部分民政、社保类系统中仍处于未修复状态,目前已有黑灰产团伙通过自动化工具批量扫描这类系统的漏洞,检测数据显示,仅 1 月 1 日 - 2 日两天,相关系统就收到超 2000 次异常访问请求,部分平台的公开办事数据(如办事指南附件、公开公示信息)已出现被非法爬取的痕迹。
>>> 新版《网络安全法》2026 年 1 月 1 日正式施行,强化责任监管适配数字新场景
2026年1月1 日,新修订的《网络安全法》将正式施行,相比 2017 版,新法重点强化了法律责任体系,大幅提高罚款上限(最高至一千万元)、降低处罚门槛并扩大责任主体范围,新增对产业链上游设备和产品的约束条款;首次增设 “人工智能专条”,确立 AI 治理框架,明确支持技术研发的同时加强安全与伦理监管;强化与《个人信息保护法》《数据安全法》的协同衔接,明确数据跨境流动规则,并新增 “关闭应用程序” 等处罚手段,适配移动互联网新业态监管需求。
>>> Android 木马 Cellik 以 MaaS 模式售卖,可嵌入合法应用绕过安全检测
2025年12月25日,蚁景网安实验室披露新型 Android 远程控制木马 Cellik 已在地下论坛以 “恶意软件即服务” 模式售卖,攻击者可通过其内置的 APK 构建器,直接选择 Google Play 商店中的热门合法应用,将恶意代码嵌入其中生成变种,轻松绕过 Google Play Protect 安全检测。一旦用户安装该恶意应用,攻击者便能以低廉的订阅费获取远程控制权限,实现屏幕监控、键盘记录、摄像头与麦克风劫持、银行凭证窃取等多种恶意行为,其隐蔽性与危害性极强,对移动应用的代码注入防护、权限管控等安全机制提出严峻挑战,成为 APP 安全审计中需重点关注的典型风险场景。
>>> 快手遭黑灰产攻击:注册审核漏洞+饱和式攻击成主要诱因
2025年12月22日22时左右,快手平台遭遇黑灰产大规模攻击,注册审核漏洞与饱和式攻击是此次事件的主要诱因:黑灰产先通过接码平台批量注册账号、AI绕过人脸识别实名验证、劫持已实名“肉鸡”账号等方式,突破平台注册审核防线,获取约1.7万个可开播账号;随后采用协议级爆破、1.7万账号同步开播的饱和式手段,直接挤垮平台AI审核算力,击穿审核接口与封禁执行系统,同时利用安全围栏的“超时豁免机制”,让涉黄等违规内容短时间内扩散,部分直播间观看量超10万。平台耗时约2小时启动直播 “拉闸” 应急措施,期间正常电商直播被迫中断;12月23日午间直播功能逐步恢复,平台已冻结涉事账号、报警并上报监管,网络流传的“违规直播含病毒链接致微信盗号”也被微信官方辟谣。安全专家指出,此次事件是黑灰产“自动化+工业化”攻击与平台防御体系短板的集中碰撞,暴露了注册风控、极端攻击防御、审核资源储备等环节的不足。
>>> 国安部提醒手机 APP 非必要不授予位置权限
2025年12月16日,相关报道显示国安部此前发文提醒用户非必要不授予App位置权限。记者实测40款不同门类主流App发现,近半数首次启用时会索要位置权限,且多数App存在 “不同意权限就无法使用” 的捆绑问题。专家指出,除持续导航、运动轨迹记录等特殊场景外,多数App索要 “始终允许” 位置权限属于过度收集,同时建议用户遵循 “最小授权” 原则,优先选择 “仅使用期间允许” 权限。
>>> 24 款 APP 及 SDK 侵害用户权益被工信部通报
2025年12月11日,工业和信息化部公示2025年第8批违规APP及SDK名单,涉及未弹窗提示隐私政策、隐私政策不完整、违规共享个人信息等问题,同步公开前期69款移动应用的违规细节,覆盖多平台小程序及学而思启蒙、虎牙直播等知名应用,监管要求涉事主体限期整改,未达标的将面临依法处置,进一步强化APP全生命周期的安全合规监管。
>>> React 生态集中爆发高危漏洞 源代码泄露风险凸显
2025年12月11日,React官方披露3个高危漏洞,含2个拒绝服务漏洞与1个源代码泄露漏洞,波及React 19.0.0-19.2.2 版本及Next.js等依赖框架,CVSS 10.0 分的 “核弹级” 远程代码执行漏洞持续被黑客利用部署木马,需通过代码审计排查项目核心函数配置,并升级至安全版本以规避源码泄露、服务器瘫痪等风险。
>>> 国家网信办发布《网络数据安全风险评估办法(征求意见稿)》
2025年12月6日,国家互联网信息办公室正式发布《网络数据安全风险评估办法(征求意见稿)》(以下简称《办法》),面向社会公开征求意见,意见反馈截止时间为2026年1月5日。作为《中华人民共和国数据安全法》《网络数据安全管理条例》等法律法规的关键配套文件,《办法》首次系统性界定了网络数据安全风险评估的全流程规范,标志着我国网络数据安全风险评估制度建设迈出关键一步,将推动形成“法律—行政法规—部门规章—国家标准”四位一体的网络数据安全风险评估实施路径,对全面提升网络数据安全治理能力、促进数字经济健康发展具有重大意义。
>>> 黑客利用漏洞扫描入侵 80 余个系统,非法植入涉黄链接牟利
2025年12月4日,公安部网安局通报:犯罪嫌疑人吕某借助黑客工具扫描全国多地网络系统漏洞,上传木马程序夺取后台控制权,非法植入涉黄链接引流牟利,自今年2月以来共入侵80余个网络系统。其攻击路径复用了渗透测试常用的漏洞扫描、木马植入手段,暴露部分平台安全检测环节的缺失;目前吕某因涉嫌非法控制计算机信息系统罪被属地警方采取刑事强制措施,网警已向涉事单位发出安全预警并督促修复漏洞。
>>> 违法违规收集使用个人信息,这 40 款移动应用被通报
2025年11月18日,据国家网络与信息安全信息通报中心对外通报,依据《网络安全法》《个人信息保护法》等法律法规,经公安部计算机信息系统安全产品质量监督检验中心检测,40款移动应用存在违法违规收集使用个人信息的问题。这些问题涵盖多类违规情形,比如《壹达外卖》《眼护士》等16款App未明确列出个人信息收集的目的与范围;《掌上药店》未告知用户权限申请目的且未提供投诉渠道;《金牌护士》未向用户提供更正、删除个人信息的具体途径等。
>>> 重大漏洞预警:Windows 内核零日漏洞(CVE-2025-62215)
2025年11月12日,在11月微软补丁星期二中,微软确认Windows内核零日漏洞(CVE-2025-62215)是已被在野积极利用的特权提升漏洞,CVSS 评分 7.0。漏洞存在于 Windows 内核中,攻击者成功利用后可获取系统最高的SYSTEM权限,进而完全控制设备并可利用设备进行横向渗透,威胁 Windows 10/11、Windows Server 2022 等多个系统版本的安全,目前微软已发布安全补丁,官方建议72小时内完成补丁部署。
>>> 国家安全部披露国企员工涉境外非法网站案件并发出警示
2025年11月10日,国家安全部披露一起案件,一名国有企业员工多次通过非法途径访问海外反华网站,浏览并传播政治谣言,最终被依法逮捕。同时其还警示,非法VPN等工具可能被海外情报机构控制,通过植入木马窃取用户数据,甚至导致机密信息泄露,强调网络空间并非法外之地,合法境外网络访问需通过国家批准渠道。
>>> CNCERT发布国家授时中心遭 NSA 网络攻击技术分析报告
2025年11月2日,国家互联网应急中心(CNCERT)发布专项技术分析报告。报告指出美国国家安全局自 2022 年 3 月起对国家授时中心实施重大网络攻击,此次通报披露了该攻击事件的整体概貌与技术细节,为后续相关网络安全防护和攻击溯源提供了重要参考。
>>> 《国家网络安全事件报告管理办法》正式施行
2025年11月1日,《国家网络安全事件报告管理办法》正式实施,该办法由国家互联网信息办公室发布,共十四条,主要对网络安全事件报告适用范围、监管职责、报告主体、报告流程、报告时限、报告内容等提出规范要求。办法明确,涉及关键信息基础设施的网络运营者,发现较大以上网络安全事件时,应第一时间向保护工作部门、公安机关报告,最迟不得超过 1 小时。属于重大、特别重大网络安全事件的,保护工作部门在收到报告后,应当第一时间向国家网信部门、国务院公安部门报告,最迟不得超过半小时。此外,网信部门已开通12387网络安全事件报告热线、官网、微信公众号等六类网络安全事件报告渠道,网络运营者、社会组织和个人可通过上述渠道向网信部门报告网络安全事件。
>>> 《中华人民共和国网络安全法》修改通过
2025年10月28日,十四届全国人大常委会第十八次会议审议通过关于修改《中华人民共和国网络安全法》的决定,自2026年1 月1日起施行。修改后的网络安全法增加了网络安全工作坚持中国共产党的领导等内容,还积极回应人工智能治理和发展需要,同时重点完善了危害网络运行安全、网络产品和服务安全、网络信息安全行为的法律责任。
>>> 工信部通报 20 款智能终端个人信息违规行为
2025年10月22日消息,根据2025年个人信息保护系列专项行动安排,工信部对智能终端违法违规收集使用个人信息等问题开展治理。经组织第三方检测机构抽查,发现家庭网络摄像机、儿童电话手表、智能音箱等20款智能终端存在侵害用户权益行为,包括未提供个人信息处理规则、违规传输个人信息至云端等。工信部要求相关智能终端按规定整改。
>>> 中国破获美国安局网络攻击案
2025年10月19日,中国国家安全机关曝光美国国家安全局(NSA)对中国国家授时中心进行了为期三年的网络攻击。美国安局先利用境外手机短信漏洞偷登录凭证,再伪装成维护人员刺探内部网络,最后动用42款特种网络武器试图瘫痪系统。中国安全团队通过动态行为画像技术,从5000万条异常流量里精准锁定了攻击源头,成功破获此案。
>>> 多款主流软件与硬件曝出高危漏洞
2025年10月,7-Zip爆出存在两个高危漏洞(CVE-2025-11001/11002),允许恶意ZIP文件突破解压目录限制,执行任意代码;AMD 处理器Zen3/4/5系列的SEV-SNP加密虚拟化技术存在 “RMPocalypse” 漏洞(CVE-2025-0033),攻击者可100%突破虚拟机隔离,窃取加密数据;Oracle EBS存在远程代码执行漏洞(CVE-2025-61884),可绕过身份验证窃取财务、供应链数据。
>>> 甘肃平凉侦破特大侵犯公民个人信息
2025年10月,甘肃平凉公安机关网安部门在 “净网 2025” 专项行动中,成功侦破一起特大侵犯公民个人信息案,抓获 25 名犯罪嫌疑人,捣毁 4 处作案窝点,查扣 613 套公司营业执照、530 枚公章及大量电子设备。
>>> 香港举行 “香港网络安全攻防演练 —— 以攻筑防 2025 ”
2025年10月,“香港网络安全攻防演练 —— 以攻筑防 2025” 在香港数码港举行。共有 25 个政府部门及 9 个公共机构作为 “蓝队” 参与防守,“红队” 增加至 15 队,包括多支网络安全机构、专上学院及广东省互联网信息办公室推荐的 3 支队伍。此外,15 家内地网络安全企业为 “蓝队” 提供技术支援
>>> 公安部网安局发布假期网络信息安全提示
2025年10月,公安部网安局发布假期网络信息安全提示,提醒广大网民注意公共 Wi-Fi、信息泄露、弱密码等风险隐患。例如,黑客可能通过技术手段窃取公共 Wi-Fi 用户未加密的网络数据,或架设虚假 Wi-Fi 热点获取用户数据。公安部网安局建议网民尽量避免使用公共 Wi-Fi 处理敏感事务,关闭手机的 “自动连接 Wi-Fi” 功能等。
>>> 国家网信办发布执法典型案例
2025年9月,近段时间以来,全国网信系统持续加大网络安全、数据安全、个人信息保护相关执法工作力度。国家网信办发布了一批典型案例,包括广东某科技股份有限公司网页篡改案、山东某医学检验有限公司数据泄露案、北京某科技有限公司运营的 App 超范围收集个人信息案等 10 起案件,涉及网页篡改、数据泄露、违法违规处理个人信息等多种违法违规行为
>>> 湖北联通 APT 安全防御项目获奖
2025年9月,中国通信企业协会公布 “ICT中(2025)” 案例征集结果,由湖北联通、中讯院与华为联合打造的 “路由器 APT 安全防御试点” 项目成功入选,并荣获一等案例。该项目构建了 “高对抗、易监测、速响应、快恢复” 的防护体系,能有效防范各类攻击绕行并捕获攻击样本,还可实现对文件、进程、流量及内存等恶意代码的全面检测。
>>> 第九届国家信息安全与自主可控战略高层论坛在京举行
2025年9月,第九届(2025)国家信息安全与自主可控战略高层论坛在京举办。论坛上,芯片安全、系统漏洞等信息安全议题再度成为焦点。与会专家指出,核心软硬件安全漏洞所带来的致命威胁不容忽视,呼吁加快构建自主可信的技术体系。
>>> 公安部网安局发布多项网络安全防范指南
2025年8月,公安部网安局发布在智能家居时代守护家庭网络安全的多种方法,随后发布《AI 伪造、智能设备风险防范指南》,包括警惕 “以假乱真”:AI 伪造风险识别与防范,以及管好 “家中小设备”:智能设备风险防范两大内容。
>>> 国家网信办约谈英伟达公司
2025年7月,国家网信办约谈英伟达公司,要求其就H20算力芯片可能存在的 “漏洞后门安全风险” 问题进行说明并提交证明材料。此前,美国议员曾呼吁在出口芯片中加入 “追踪定位” 和 “远程关闭” 功能,而英伟达被曝已具备相关技术,这引发了中方对潜在安全风险的担忧。
>>> 工信部发布网络安全专项行动方案
2025年7月,工信部发布《2025年护航新型工业化网络安全专项行动方案》。方案提出建立完善工业领域网络安全防护重点企业清单,面向不少于800家工业企业开展网络安全贯标达标试点等工作目标,并明确了突出重点管理、聚焦关键环节、创新赋能模式等3个方面的8项重点任务。
>>> 四川德阳破获勒索病毒案
2025年7月,四川德阳网安支队破获一起利用企业数据库漏洞,非法获取服务器控制权限,上传自制勒索病毒,对重要文件进行加密,使用虚拟币向30余家企业勒索 “赎金” 的案件,抓获犯罪嫌疑人1人。犯罪嫌疑人王某利用多家企业的系统平台漏洞,非法登录相关系统平台的数据库,上传自制勒索病毒,迫使30余家企业向其缴纳 “赎金”。
>>> 64 款 APP 因违规收集个人信息被下架
2025年6月,国家网络安全通报中心通报,星巴克、喜茶GO等64款APP因违规收集个人信息被下架。
免责申明:本页面内容均为转载,原文版权归原作者所有,如有侵权请联系删除。本站不对本页面内容的真实性、准确性、合法性承担任何法律责任。
