作者： 网路游侠

一、API接口安全需求分析 (一) 现状 在医院PC网络和移动互联网络上大量使用API接口，就会将医院内部业务系统和数据暴露在互联网上，建设互联网医院的过程中所提供的对外API接口，成为网络攻击者从外部攻击医院内部网络的通道，对内部系统和数据造成了很大的安全风险。 目前，医院一般通过Web网站、微信公众号、微信小程序、支付宝等方式开展互联网+医疗服务，通常在医院外网区部署Web应用服务器提供基本的...

在数字化时代的今天，API（应用程序接口）的广泛应用和深入推广，为我们的生活带来了便利，也对企业的数据安全提出了全新的挑战。针对这一情况，OWASP API Security向我们提供了一份宝贵的API安全风险清单，帮助我们理解和应对API安全隐患，实现更安全的数据流通。 OWASP API Security是一项专注于API安全的研究项目，旨在唤醒公众对API潜在风险的认识，提醒开发人员和安全人...

随着针对API的攻击日益严重，OWASP组织也推出了OWASP API Security TOP 10项目，对目前API最受关注的十大风险点进行了总结，本文将结合实例对这十大风险进行解析。 近年来，越来越多的攻击者开始将目标对准API，由接口引起的攻击事件或数据泄漏事件频频发生，严重损害了企业和用户的利益， 受到各方的高度关注。 例如： Facebook 5 亿用户数据泄漏，涉及信息包括用户昵称、...

4月16日下午，国防部新闻发言人张晓刚大校就近期涉军问题发布消息。 有记者提到，美国家情报总监办公室近日发布《2025年情报界年度威胁评估》报告称，中国是美最大军事和网络威胁，“中国军方可能计划使用大语言模型”开展信息欺骗行动。 张晓刚表示，美国指责别人的事，要么它曾做过，要么它正在做。美国是中国网络攻击的主要来源地，也是人所共知的网络空间公害。从“维基解密”到“斯诺登事件”，从“星风”计划到“电...

4月15日，世界互联网大会网络安全应急能力高级研修班以“智能向善、协同响应”为主题开展集中学习研讨。研修班邀请海内外多家头部机构和网络安全公司高级专家共同组成师资团队，带领来自亚洲多个国家和地区的政企高级别代表，围绕网络安全意识、人工智能安全治理框架、构建数智时代网络安全新范式、安全与智能、人工智能赋能攻防博弈、运用生成式人工智能实现网络安全、人工智能战略赋能网络安全实践等展开深入学习与交流。 基...

2025年以来，监管部门对支付机构的严监管态势不减。据记者统计，截至4月15日，年内支付机构已累计收到26张罚单（以罚单公布日期为准）。从机构违规行为来看，违反反洗钱业务管理规定、违反特约商户管理规定、违反清算管理规定等成为监管关注的重点。 其中，涉及两张千万元级别罚单，北京雅酷时空信息交换技术有限公司因存在交易信息设置及上送不规范、支付接口管理不规范、未落实外包管理相关规定、未按规定将手续费收入...

齐鲁晚报·齐鲁壹点 尚青龙 4月15日下午，“护航发展@数安青岛”《网络数据安全管理条例》宣传贯彻专项行动启动会在青岛数据集团举行。本次活动旨在深入宣传贯彻落实《网络数据安全管理条例》，着力提升网络数据安全管理水平，为全市数字经济持续稳定健康发展保驾护航。活动现场，五家行业协会联合发起倡议，呼吁全领域共建可信数字生态。 青岛市委网信办副主任王晓峰在致辞中称，数据已经成为推动经济社会发展的有力引擎，...

IT之家 4 月 16 日消息，据路透社今日报道，多条在网上流传的帖子显示，在美国以备受争议而闻名的互联网论坛 4chan 遭黑客入侵。有传言称，黑客已将部分版主的身份信息泄露在网上。 《连线》杂志报道称，这起事件最早引发关注，是因为一个早已废弃的版块突然重新上线，页面顶部还赫然写着“U GOT HACKED”。 以色列网络犯罪监测机构 Hudson Rock 联合创始人 Alon Gal 表示，...

美国一些大银行正在限制与货币监理署(OCC)共享信息，因担心在该监管机构的电子邮件遭到重大黑客攻击后，它们的计算机网络可能面临潜在的安全风险。 知情人士称，摩根大通和纽约梅隆银行已暂停与OCC以电子方式共享信息。OCC的电子邮件系统之前遭到严重入侵，逾100个账户在一年多的时间里受到黑客监控。（彭博）

美国租车公司赫兹(Hertz)在其供应链遭黑客攻击后，警告客户驾驶执照号码和其他个人资讯有资料外泄的情况。 公司指出，已于4月2日完成对该事件的分析，并确定受影响的资讯可能包括姓名、信用卡数据、驾驶执照资讯以及与工人赔偿索赔相关的详细资讯。 该公司于2月证实，攻击者在供应商企业软件公司Cleo Communications发生安全事件期间获取赫兹数据。 本文源自：金融界AI电报

IT之家 4 月 14 日消息，上周末，美国加利福尼亚州至少三个城市的多处人行横道按钮遭黑客入侵，这些按钮被植入了特斯拉首席执行官埃隆・马斯克和 Meta 首席执行官马克・扎克伯格的“语音”。 据 Palo Alto Online 消息，帕罗奥图市的一位城市发言人表示，经过检查，该市有 12 个市中心的交叉路口的十字路口受到影响，目前这些人行横道按钮的语音功能已被关闭，等待维修。该发言人还表示，这...

日前，国家互联网信息办公室发布数据出境安全管理政策问答。 国家互联网信息办公室表示，《网络安全法》《数据安全法》《个人信息保护法》在法律层面对数据出境活动作出明确规定。相关规定不是针对所有数据，只限于重要数据和个人信息。对于确需出境的重要数据，法律作了制度上的安排，经数据出境安全评估认为不会危害国家安全和社会公共利益的，可以出境。对于个人信息出境，法律规定了数据出境安全评估、个人信息保护认证、个人...

精准“把脉”问需 高效“开方”助企 山东推出系列扎实举措护企安商 “张警官每两个月都会来一趟，帮我们排查安全漏洞，避免遭受网络黑客的攻击。”4月9日下午，山东省淄博市公安局周村分局网安大队民警张浩苗来到辖区宝达集团华东备品中心，为企业进行网络安全“体检”。中心运维部主任金同贵对记者说：“根据民警提供的网络安全管理建议，我们有效排除了数据失泄密、信息被篡改的危险，大家的防范意识有了很大提高。” 中小...

2025 年 4 月 10 日，在苏州金鸡湖国际会议中心举办的 2025中国移动云智算大会 " 智算基础设施及安全 " 分论坛上，中国移动重磅发布《低空经济网络与信息安全白皮书》（以下简称 " 白皮书 "）。会议现场，来自工信部、中国移动、中兴、华为等单位的领导专家共同见证了白皮书发布。 随着低空经济被再次写入政府工作报告，产业 " 安全健康发展 " 的需求迫在眉睫。中国移动坚持统筹发展与安全，白...

在近期的网络安全威胁事件中，黑客利用虚假的 Semrush 广告，试图窃取 Google 账户凭证。 Semrush 是一款颇受众多企业欢迎的 SEO 和广告平台，40% 的财富 500 强公司都在使用。攻击者正是看中了 Semrush 在业界积累的信任度，精心策划了这场恶意攻击，目标直指极具价值的 Google 账户信息。 网络钓鱼流程 此次网络钓鱼活动从投放 "Google Ads" 广告拉开...