要闻速览

1、国家发改委印发《关于推动物流数据开放互联 有效降低全社会物流成本的实施方案》

2、NSA联合CISA发布新指南，直击隐蔽网络攻击手法

3、Cloudflare大规模服务中断波及全球互联网

4、微软遭遇史诗级DDoS攻击，峰值达15.7 Tbps

5、35亿WhatsApp用户的手机号泄露

6、美国普林斯顿大学发生数据泄露，国防部长、前第一夫人等校友信息曝光

一周政策要闻

国家发改委印发《关于推动物流数据开放互联 有效降低全社会物流成本的实施方案》

近期，国家发展改革委、国家数据局、中央网信办、交通运输部等十部门发布《关于推动物流数据开放互联有效降低全社会物流成本的实施方案》，从夯实物流数据开放互联基础、推动物流公共数据开放互联、促进企业物流数据市场化流通利用等多个维度精准发力，为破解行业“信息孤岛”难题、降低全社会物流成本勾勒清晰路径。

NSA联合CISA发布新指南，直击隐蔽网络攻击手法

美国国家安全局（NSA）近日联合网络安全与基础设施安全局（CISA）等机构发布《网络安全信息表（CSI）：防弹防御——减轻防弹托管服务提供商带来的风险》，为互联网服务提供商（ISP）和网络防御者提供建议指南，旨在应对日益猖獗的恶意网络活动。

该指南聚焦于识别和阻断攻击者常用战术，包括利用合法远程管理工具（如RMM软件）进行隐蔽渗透、滥用云服务实施横向移动，以及通过钓鱼邮件投放恶意载荷等手段。

NSA强调，攻击者常借助受信任的第三方平台规避检测，建议组织加强端点监控、实施最小权限原则，并及时更新凭证策略。指南还提供了具体缓解措施，如限制RMM工具部署范围、启用多因素认证及强化日志审计能力，以提升整体防御韧性。

消息来源：全国网安标委 2025年第8期《网络安全国际动态》

业内新闻速览

Cloudflare大规模服务中断波及全球互联网

2025年11月18日，全球互联网基础设施服务商Cloudflare因内部服务降级引发大规模故障，导致其控制面板、API及核心网络服务出现HTTP 500错误。UTC时间11:48首次确认问题，恢复过程持续数小时，其间其官方状态页面亦无法访问。故障引发连锁反应，X（原Twitter）、ChatGPT、Spotify、Shopify、Discord、Canva等众多依赖Cloudflare CDN、DNS和安全服务的平台集体瘫痪，Downdetector收到超1.1万起报告。此外，多地数据中心同期进行计划维护，进一步加剧了因故障导致的流量重路由问题。截至当日傍晚，多数服务逐步恢复，但部分地区仍有零星异常。Cloudflare承诺事后公布详细复盘。

消息来源：FREEBUF Cloudflare服务中断导致全球网络瘫痪：X平台、ChatGPT及多家主流网站无法访问

微软遭遇史诗级DDoS攻击，峰值达15.7 Tbps

IT之家消息，微软近日宣布其 Azure DDoS Protection 服务于2025年10月24日自动侦测并阻断了一起规模创纪录的 DDoS 攻击案例。

据介绍，这次攻击峰值达到 15.72 Tbps、每秒约 36.4 亿个数据包（pps），是迄今在云端观测到的最大规模攻击。攻击目标为澳大利亚一公共IP，由名为Aisuru的Turbo Mirai变种僵尸网络发起，利用超50万个家庭路由器和摄像头等IoT设备，通过UDP洪泛实施攻击。得益于Azure全球防护架构，客户服务未受影响。

微软提醒，随着物联网带宽提升及年底流量高峰临近，企业应提前部署并演练DDoS防护措施，而非事后应对。

消息来源：IT之家 https://baijiahao.baidu.com/s?id=1849086464534902039&wfr=spider&for=pc

35亿WhatsApp用户的手机号泄露

近期，维也纳大学安全研究人员发现WhatsApp存在一项严重漏洞，可被用于枚举全球约35亿用户的手机号码，暴露出这一全球最广泛使用即时通讯平台的重大隐私隐患。
该漏洞根植于WhatsApp的联系人发现机制——该功能本用于验证联系人是否已注册平台。然而，由于速率限制策略薄弱，攻击者在未遭遇有效阻断的情况下，每小时可探测逾1亿个手机号码。研究团队通过对WhatsApp API进行逆向工程，于2024年12月至2025年4月期间，系统性地对来自245个国家的630亿个候选号码发起查询。
在遵循负责任披露流程后，WhatsApp已部署多项缓解措施，包括引入基数速率限制、限制头像与状态信息的访问权限，并修复了Android客户端中加密密钥重用的安全缺陷。

美国普林斯顿大学发生数据泄露，国防部长、前第一夫人等校友信息曝光

安全内参11月20日消息，普林斯顿大学近日遭遇严重数据泄露事件，其发展事务处数据库于11月10日遭外部攻击者入侵，所有曾在该校就读（含未毕业者）、任教或与学校有联系的人员信息均可能外泄。受影响人群包括校友、校友配偶、捐赠者、学生家长及教职员工，涵盖多位全球知名人物，如亚马逊创始人杰夫·贝索斯、前第一夫人米歇尔·奥巴马、谷歌前CEO埃里克·施密特，以及现任美国国防部长皮特·赫格塞斯和三位最高法院大法官。校方表示，泄露内容主要为用于筹款和校友联络的个人传记信息，暂未发现社保号、银行卡或密码等敏感数据。据调查，攻击者通过钓鱼电话实施社交工程攻击，冒充合法身份骗取一名员工凭证后获得系统访问权限，手法与黑客组织Scattered Spider此前攻击美高梅、凯撒娱乐等企业的方式高度相似。校方在24小时内控制事态并通报执法部门。

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！