一周安全资讯第99期：2026年中国网络安全市场规模将超318亿美元；黑客利用推特漏洞关联540多万个账户信息

发布日期：2022/08/15

国内

1、2026年中国网络安全市场规模将超318亿美元

IDC于近日发布2022年版《全球网络安全支出指南》。该指南从技术、垂直行业、终端用户企业规模等多个维度回顾了2021年中国网络安全市场。IDC数据显示，2026年中国网络安全IT支出规模将达到318.6亿美元，全球占比约为11.1%，五年CAGR约为21.2%。中国网络安全市场增速持续领跑全球，五年CAGR近全球两倍，市场前景广阔。

2、银保监会发文开展侵害个人信息权益的专项整治

据中国证券报8月9日报道，银保监会办公厅近日下发通知，要求各机构开展侵害个人信息权益的专项整治。通知披露了银行保险机构侵害个人信息权益乱象的主要表现形式，并要求各机构严格对照进行自查自纠，坚持立查立改。对短期无法整改完成的问题，要建立整改台账，明确整改措施，逐项逐步推进。此次专项整治工作共分三个阶段，分别是自查整改，监管抽查和总结汇报，要求2022年12月2日前各机构报送专项整治工作报告。

国际

1、黑客利用推特漏洞关联540多万个账户信息

推特公司表示，不法分子利用推特漏洞将电话号码和电子邮件同推特平台用户账户进行关联，目前公司已修复该漏洞。

研究人员称，之前的版本中，黑客可以通过向推特平台提交电子邮件地址或电话号码的方式查询推特账号信息，从而将电子邮件、电话号码和推特账号关联在一起。该漏洞源于2021年6月的代码版本，并于2022年1月才被发现，不明攻击者在这段时间内利用该漏洞抓取了大量用户信息并在Breach Forums论坛上出售。推特方面并不掌握受影响用户的总数，但根据黑客在论坛上的帖子，黑客至少关联了超过548万个用户账户信息，且以每份3万美元的价格出售数据文件。

2、CISA就Linux系统下的UnRAR软件漏洞发出警告

8月9日，美国网络安全和基础设施安全局（CISA）将UnRAR程序安全漏洞添加到已知被利用漏洞目录中。

该漏洞代号CVE-2022-30333，威胁等级评分7.5，涉及Linux系统UnRAR软件的路径遍历漏洞。攻击者可以利用该解压缩漏洞，将任意文件安装在包含UnRAR软件的目标系统上。该漏洞将影响任何使用UnRAR提取存档文件的应用程序，尤其会对Zimbra办公系统造成较大影响，使攻击者能够完全访问电子邮件服务器。研究人员称，由于Zimbra服务会自动提取和解压附件，攻击者可以通过发送包含恶意RAR文件的电子邮件来攻击Zimbra主机。Zimbra公司已在6月14日发布的补丁程序中将UnRAR替换为7z压缩程序。

3、PyPI存储库中发现10个窃取凭证的Python库

以色列网络安全公司CheckPoint在8月8日报告中表示，在PyPI存储库中发现10个窃取用户凭证的Python程序库，它们能够收集密码和API令牌等关键数据。

名为“Ascii2text”的程序包会下载一个恶意脚本，能够收集存储在Google Chrome、Microsoft Edge、Brave、Opera等网络浏览器中的密码；名为“Pyg-utils”、“Pymocks”和“PyProto2”的程序包能够窃取用户亚马逊账户凭证；名为“Test-async”和“Zlibsrc”的程序包在安装过程中下载并执行恶意代码；名为“Free-net-vpn”、“Free-net-vpn2”和“WINRPCexploit”的程序包窃取用户凭证和环境变量信息；名为“Browserdiv”的程序包能够收集浏览器存储在设备本地文件夹中的凭证和其他信息。研究人员警告称，威胁行为者在PyPI和NPM等代码存储库上发布恶意软件，目的是开展供应链式网络攻击。建议各平台加强存储库开源代码审核管理。

4、前推特员工因从事间谍活动而被判有罪

一名前推特公司员工因窃取某些推特用户私人信息并将其交给沙特阿拉伯政府而被宣布有罪，将面临最高20年的监禁。

现年44岁的前推特公司员工艾哈迈德•阿布阿莫于2013年加入推特公司，随后被沙特阿拉伯招募为间谍人员。阿布阿莫持续利用推特员工内部访问权限，未经授权访问批评沙特政府的推特账户，将收集的用户电子邮件地址、电话号码、IP地址、出生日期等个人信息移交给沙特官员。作为回报，阿布阿莫收到沙特政府资助的30万美元现金和价值4万美元的手表。阿布阿莫于2019年11月被美国联邦调查局逮捕。