数安热搜 | 新型NFC驱动PhantomCard恶意软件攻击银行用户；国家网安中心通报38款违法违规APP

本期看点

热点资讯:

▸ 韩国个人信息保护委员会（PIPC）对SK电讯（SK Telecom）开出的1348亿韩元（约合9690万美元）罚款

▸ 美国Farmers Insurance因Salesforce攻击致百万客户数据泄露

▸ 法国欧尚零售集团遭遇大规模数据泄露，影响数十万客户

▸ 威胁者声称出售1580万份纯文本PayPal凭证

▸ 墨西哥CFE 600GB数据泄露暴露关键电力基础设施网络风险

▸ 佛罗里达数据公司IMDataCenter遭遇重大泄露

▸ 新型NFC驱动PhantomCard安卓恶意软件瞄准银行用户

▸ 通知丨关于举办第二届“强基杯”数据安全大赛实战、评估技能赛全国总决赛的通知

监管动态：

▸ 2项网络安全国家标准获批发布

▸ 工信部通报23款侵害用户权益APP（SDK）

▸ 国家网络安全通报中心通报38款违法违规使用个人信息APP

▸ 国家计算机病毒应急处理中心检测发现70款违法违规收集使用个人信息的移动应用

▸ 国家数据局综合司发布关于征集数据流通安全治理典型案例的通知

▸ 关于征求数据基础设施3项技术文件、可信数据空间3项技术文件意见的通知

▸《个人信息保护国家标准体系（2025版）》征求意见稿发布

▸ 最高人民法院首次发布数据权益司法保护专题指导性案例

安全研究：

▸ 谷歌发布Android 8月安全更新，修复多个高危级漏洞

▸ 中国移动：大模型训练数据安全研究报告

▸ 期刊文章 | 关伟东等：数据安全技术现状及发展趋势研究

▸ 张宁 | 生成式人工智能数据安全风险及其防控体系研究

01 热点资讯

▸ 韩国个人信息保护委员会（PIPC）对SK电讯（SK Telecom）开出1348亿韩元（约合9690万美元）罚款

韩联社首尔8月28日电，27日，韩国个人信息保护委员会召开全体会议，决定对因黑客攻击致2300多万用户信息泄露的SK电讯（SKT）处以1348亿韩元（约合人民币7亿元）罚款，这是该委员会成立以来的最高罚款。除了罚款，还勒令其做好个人信息保护工作。28日，委员长高鹤洙召开记者会介绍制裁决定。据介绍，黑客自2021年8月起多次入侵SKT内网植入恶意程序，今年4月外泄大量用户信息。委员会认为，SKT防范不力、管理疏忽，且发现入侵后未及时检查，错失防止信息泄露机会。

（原文链接：https://cn.yna.co.kr/view/ACK20250828002200881）

▸ 美国Farmers Insurance因Salesforce攻击致百万客户数据泄露

美国保险巨头Farmers Insurance披露一起影响110万客户的数据泄露事件。该公司称，2025年5月29日，其第三方供应商数据库遭泄露，30日供应商发出警报。供应商部署的监控工具助其快速检测并采取遏制措施，Farmers也立即展开调查并通知执法部门。调查发现，客户姓名、地址等部分信息被盗。Farmers于8月22日通知受影响者，未透露供应商名称，但BleepingComputer 知悉数据是在大规模Salesforce攻击中被盗。今年以来，威胁行为者对Salesforce客户进行攻击，多个知名公司也受影响。

（原文链接：https://www.bleepingcomputer.com/news/security/farmers-insurance-data-breach-impacts-11m-people-after-salesforce-attack/）

▸ 法国欧尚零售集团遭遇大规模数据泄露，影响数十万客户

法国零售商欧尚通知数十万客户，其忠诚度账户敏感数据在一次网络攻击中泄露，包括全名、地址、电话等，但银行数据、密码和PIN码未受影响。欧尚已向法国数据保护局报告此事，并提醒客户警惕潜在网络钓鱼攻击，强调不会索要登录信息或密码。BleepingComputer联系欧尚要求提供更多信息，但未获回复。此前，法航、荷航等法国大型实体也披露了类似事件，目前尚无证据表明这些袭击有关联或是协同攻击。

（原文链接：https://www.bleepingcomputer.com/news/security/auchan-retailer-data-breach-impacts-hundreds-of-thousands-of-customers/）

▸ 威胁者声称出售1580万份纯文本PayPal凭证

威胁行为者Chucky_BF在网络论坛声称出售1580万条PayPal登录信息，含邮箱、密码及URL，数据或来自信息窃取恶意软件日志，真实性待考。该数据集1.1GB，涵盖多国用户，含多种端点和URI，便于犯罪分子自动登录或滥用服务。卖家定价750美元，称多数密码强大但也有重复使用情况。PayPal未证实此事，称或与2022年影响3.5万用户的事件有关。Hackread.com已联系PayPal求证，并于8月18日收到回复，但未获进一步解释。

（原文链接：https://hackread.com/threat-actor-selling-plain-text-paypal-credentials/）

▸ 墨西哥CFE 600GB数据泄露暴露关键电力基础设施网络风险

墨西哥国有电力公司CFE数据泄露持续三年多，超600GB内部网络和安全日志曾向公众开放。研究人员警告，攻击者或借此操纵工业控制系统，损坏设备、中断全墨电力供应。CFE称电力网络与信息技术网络隔离，泄露数据不涉电力运营敏感信息，运营未受影响。但专家指出，泄露数据含易受攻击设备信息，攻击者可绘制安全态势图，发动攻击。此前Cybernews多次联系CFE未获回复，目前暴露的实例虽无法访问，但敏感日志或重新公开。

受监控服务器的列表以及可疑网络活动警报

（原文链接：https://cybernews.com/security/cfe-data-leak-mexico-critical-infrastructure/）

▸ 佛罗里达数据公司IMDataCenter遭遇重大泄露

德国电信旗下MagentaTV通过广告投放平台泄露用户数据，研究人员称在采取措施前，用户IP、MAC地址等数据已泄露数月。Cybernews团队今年6月中旬发现，由Serverside.ai托管的未受保护Elasticsearch实例泄露数据，该实例至少自2月初起就已公开，6月被移除。虽大部分信息非敏感，但含HTTP标头，泄露超3.24亿条日志、729GB数据，含IP、MAC地址等。理论上，攻击者可追踪用户、发起定向攻击，还可能通过交叉引用识别用户，且OEM设备易受攻击，加剧了危险性。

（原文链接：https://cybernews.com/security/deutsche-telekom-magentatv-data-leak/）

▸ 新型NFC驱动的PhantomCard Android恶意软件正在攻击银行用户

名为PhantomCard的新型Android恶意软件现身巴西网络犯罪圈，是移动银行威胁的重大演变。它伪装成合法“卡保护”应用，通过虚假Google Play页面分发。该恶意软件利用NFC技术，在受害者银行卡与欺诈者设备间建“桥梁”，将受感染手机变远程盗刷器，悄悄捕获NFC数据并传给犯罪分子，还能收集PIN码，让欺诈者像持卡人一样交易。它是中国“NFU Pay”的定制版，针对巴西银行客户且有全球扩张可能。其技术先进，中继机制复杂，结合社会工程学与NFC操纵，让传统银行安全系统难识别。

（原文链接：https://cybersecuritynews.com/new-nfc-driven-phantomcard-android-malware/）

▸ 通知丨关于举办第二届“强基杯”数据安全大赛实战、评估技能赛全国总决赛的通知

第二届“强基杯”数据安全大赛开办后，近1700位选手、566支队伍来自多行业领域展开较量，经初赛、复赛，125支队伍晋级全国总决赛。总决赛数据安全实战技能赛（职业组50支、学生组25支晋级）、数据安全评估技能赛（50支晋级）将于9月9日在北京国际设计周永久会址以线下方式同步开展，9月10日下午颁奖。决赛按赛道设一、二、三等奖。晋级队伍需关注通知，按要求参赛。

（原文链接：通知丨关于举办第二届“强基杯”数据安全大赛实战、评估技能赛全国总决赛的通知）

02 监管动态：

▸ 2项网络安全国家标准获批发布

近日，国家市场监督管理总局、国家标准化管理委员会发布的2025年第21号《中华人民共和国国家标准公告》，由全国网络安全标准化技术委员会归口的2项国家标准正式发布。标准具体内容如下：

1.GB/T 46068-2025《数据安全技术 个人信息跨境处理活动安全认证要求》

该标准规定了跨境处理个人信息时相关方遵守的基本原则、基本要求和个人信息主体权益保障要求；适用于跨境处理个人信息的相关方规范自身个人信息跨境处理活动,也适用于主管部门、第三方机构等组织对个人信息处理者跨境处理个人信息的活动进行监督、管理、认证和评估。

2.GB/T 46071-2025《数据安全技术 数据安全和个人信息保护社会责任指南》

该标准提供组织在数据安全与个人信息保护方面的社会责任指南，涵盖治理、合规、创新、公平运营、用户权益、公益参与及信息披露，适用于组织自查与第三方评价。

以上标准将于2026年3月1日起正式实施。

（原文链接：2项网络安全国家标准获批发布）

▸ 工信部通报23款侵害用户权益APP（SDK）

根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，我部对APP、SDK违法违规收集使用个人信息等问题开展治理。近期，经组织第三方检测机构进行抽查，共发现23款APP及SDK存在侵害用户权益行为（详见附件），现予以通报。

（原文链接：https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2025/art_eae96df5f3c043aca3d280ee3d4036d1.html?sessionid=-381501229）

▸ 国家网络安全通报中心通报38款违法违规使用个人信息APP

依据《网络安全法》《个人信息保护法》等法律法规，按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求，经公安部计算机信息系统安全产品质量监督检验中心检测，38款移动应用存在违法违规收集使用个人信息情况。

（原文链接：公安部计算机信息系统安全产品质量监督检验中心检测发现38款违法违规收集使用个人信息的移动应用）

▸ 国家计算机病毒应急处理中心检测发现70款违法违规收集使用个人信息的移动应用

依据相关法律法规及公告要求，国家计算机病毒应急处理中心检测发现70款移动应用违法违规收集使用个人信息，具体问题包括：首次运行未提示隐私政策、未列明收集信息目的方式、未告知接收方信息并获单独同意、未获同意即收集信息、未提供有效信息更正删除及账号注销功能、投诉举报未及时处理、未提供撤回同意途径、信息推送未提供非个性化选项、处理敏感信息未获单独同意、处理未成年人信息无专门规则、收集频度超出需要、未采取安全技术措施、广告无关闭标志、无隐私政策等，共14类问题。上期通报的68款中25款复测仍有问题，已被下架。

（原文链接：国家计算机病毒应急处理中心检测发现70款违法违规收集使用个人信息的移动应用）

▸ 国家数据局综合司发布关于征集数据流通安全治理典型案例的通知

为健全数据流通安全治理机制，依据《方案》要求，现开展数据流通安全治理典型案例征集工作。申报要求如下：申报单位须为境内注册、有独立法人资格且经营良好的企业，可联合申报；申报方向从《方案》7个任务中选1个，鼓励结合新场景总结经验；案例要聚焦痛点难点，探索治理路径，具备先进性等且已实施完成。工作安排上，请推荐单位组织编写申报材料，审核提交，每个地方推荐不超10个案例，9月14日前报送，我们将组织评审并推广经验。

（原文链接：国家数据局综合司关于征集数据流通安全治理典型案例的通知）

▸ 关于征求数据基础设施3项技术文件、可信数据空间3项技术文件意见的通知

为贯彻落实《国家数据基础设施建设指引》《可信数据空间发展行动计划（2024—2028年）》等政策文件要求，促进地方、行业、领域、企业开展数据基础设施和可信数据空间的规划、建设、运营、管理，在国家数据局指导下，全国数据标准化技术委员会秘书处牵头研制了数据基础设施3项技术文件、可信数据空间3项技术文件，经研究讨论、修改完善，形成技术文件征求意见稿。

（原文链接：关于征求数据基础设施3项技术文件、可信数据空间3项技术文件意见的通知）

▸《个人信息保护国家标准体系（2025版）》征求意见稿发布

为支撑落实《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》等政策法规要求，建立健全数据安全和个人信息保护标准体系，充分发挥标准对重点工作、产业发展、风险防范的基础性、规范性和引领性作用，秘书处组织编制了《数据安全国家标准体系（2025版）》（征求意见稿）和《个人信息保护国家标准体系（2025版）》（征求意见稿）。

（原文链接：关于对《数据安全国家标准体系（2025版）》《个人信息保护国家标准体系（2025版）》征求意见稿公开征求意见的通知）

▸ 最高人民法院首次发布数据权益司法保护专题指导性案例

2025年8月28日，最高法发布第47批共6件数据权益司法保护专题指导性案例，回应数据权属等社会关注问题，统一裁判尺度。数字经济时代，党中央高度重视其发展，作出多项部署。近年来涉数据类案件增长且审理难度大，各级法院准确适用法律，发挥司法裁判作用，明确标准、积累经验。本批案例涵盖多领域，如爬取数据、关联账号服务等纠纷。数据是重要资源，最高法和各级法院将以发布案例为起点，加强审判执行，推动数据流通，助力数字经济发展。

（原文链接：最高人民法院首次发布数据权益司法保护专题指导性案例）

03 安全研究：

▸ 谷歌发布Android 8月安全更新，修复多个高危级漏洞

谷歌发布 Android 2025 年 8 月安全更新，针对六个漏洞推出安全补丁，含两个在针对性攻击中被利用的高通漏洞，分别为图形框架授权错误和释放后使用漏洞，均会导致内存损坏。高通 5 月已向 OEM 厂商提供补丁，6 月谷歌整合补丁，此前高通和 CISA 曾发出警告。此次更新还修复系统组件严重漏洞，可致远程代码执行。谷歌发布两组安全补丁，后者含更多修复程序，但或不适用于所有设备。Google Pixel 设备会立即更新，其他供应商需更长时间适配。此前谷歌还修补过其他零日漏洞。

（原文链接：https://www.bleepingcomputer.com/news/security/android-gets-patches-for-qualcomm-flaws-exploited-in-attacks/）

▸ 中国移动：大模型训练数据安全研究报告

数据是大模型训练基础，其安全重要性随技术发展不断提升，面临投毒攻击等挑战。报告聚焦数据特点、风险等，提出全生命周期安全管理框架等，号召产业链关注数据安全、加强合作。近年来大模型技术爆发式增长，在多领域广泛应用，成为数字经济重要引擎。大模型训练数据安全关乎模型性能、法规合规和用户信任，数据质量与安全决定模型准确性，且企业开展业务须遵循全球日益完善的数据保护法规，合规是业务可持续发展的必然选择。

（原文链接：中国移动：大模型训练数据安全研究报告）

▸ 期刊文章 | 关伟东等：数据安全技术现状及发展趋势研究

关伟东等在《数据安全技术现状及发展趋势研究》中指出，在“数字产业化”和“产业数字化”推动下，国内数据安全技术成熟度提高，已基本形成技术体系，但存在效率、性能不足等问题。现状上，数据资产管理类技术成熟，数据资产防护类技术迭代，数据处理行为防控类技术扩展，数据开发利用类技术起步但前景广。发展难点包括通用性不足、部分技术效果欠佳、关键核心技术薄弱、与新兴技术融合面临挑战。未来需提高通用性、提升效率和可靠性、推动关键技术自主可控、强化与新兴技术融合 。

中国数据安全技术发展路线图

（原文链接：期刊文章 | 关伟东等：数据安全技术现状及发展趋势研究）

▸ 张宁 | 生成式人工智能数据安全风险及其防控体系研究

关伟东在《生成式人工智能数据安全风险及其防控体系研究》中指出，生成式AI正重塑各行业，但数据安全风险突出，包括训练数据、模型和生成内容风险。全球主要国家已采取防控举措，但仍面临技术迭代等挑战。欧盟通过分级管理和全链条责任分担等平衡风险防控与技术创新；美国依托NIST等机构，注重透明性和问责机制；中国强调全生命周期风险防控与多主体协同治理，但现行规定较宏观，执行有困难。为此，文章提出分层防控建议，包括加强数据安全基础制度建设、包容性监管模型开发、强化生成内容责任追究与协同共治等。

（原文链接：张宁 | 生成式人工智能数据安全风险及其防控体系研究）