网安大事回顾 | 因被黑致使个人信息泄露，企业赔偿员工超5000万元

日本“主动网络防御”相关法案获众议院通过

4月8日，日本国会众议院表决通过了“主动网络防御”相关法案，预计法案在交付参议院审议通过后，将于本届国会会期内正式立法，并于2027年度开始施行。“主动网络防御”是日本在网络空间安保战略的关键举措，法案扩大了日本政府对网络实施常态化监视的权限，并授权警察和自卫队可对网络入侵者采取先制性攻击手段。分析人士指出，法案将强化对日本重要计算机系统、基础设施网络等的保护，但同时也引发了外界对公民隐私权及地区安全局势的广泛关注。

教育部等九部门印发《关于加快推进教育数字化的意见》

为贯彻落实《教育强国建设规划纲要（2024—2035年）》，以教育数字化为重要突破口，开辟教育发展新赛道和塑造发展新优势，全面支撑教育强国建设，提出如下意见。

网安标委印发《全国网络安全标准化技术委员会2025年度工作要点》

《全国网络安全标准化技术委员会2025年度工作要点》已经2025年4月14日全国网络安全标准化技术委员会全体委员会议审议通过，现印发你们，请结合工作实际，认真贯彻落实。

一潜伏在我国核心要害部位间谍落网

近日，国家安全部微信公众号发布了一则视频，披露了一起重大间谍案件。案中，犯罪嫌疑人郝某长期潜伏在我国核心要害领域，其身份是一名经过精心策反的外国间谍。官方通报指出，郝某在留学期间便被境外间谍情报机关策动，随后按外方要求打入我中央某部门，为境外情报机关获取关键情报立下了隐患。

公安局通缉3名美国特工！

15日上午，哈尔滨市公安局发布的一则悬赏公告在全球网络安全领域掀起巨浪——公告直指三名美国国家安全局（NSA）特工，揭露他们在2025年哈尔滨亚冬会期间，对中国赛事系统及关键基础设施发起的恶意网络攻击。这是中国首次在网络安全事件中精准溯源至美国情报机构的个人，并公开全球通缉涉案人员，其背后的技术突破和政治意义令人瞩目。

用AI调表？特斯拉因“保修欺诈”遭车主集体起诉

股价暴跌的特斯拉，近日再度陷入“欺骗用户”的舆论风暴。过去几年中，特斯拉因夸大自动驾驶功能和车辆安全性，多次遭遇监管警告与媒体揭露。今年初，路透社的一项调查更指出特斯拉在全球市场存在广泛的“续航造假”行为。而现在，新的指控瞄准了另一个消费者高度敏感的领域：行驶里程数与保修权益。

Hawk宣布完成5600万美元C轮融资

投资方由One Peak领投，Macquarie Capital、Rabobank、BlackFin Capital Partners、Sands Capital、DN Capital、Picus Capital和Coalition跟投；Hawk提供基于人工智能的反洗钱（AML）与欺诈检测技术。全球的银行、支付机构和金融科技公司正借助Hawk将传统规则与可解释AI有效结合，提升反洗钱合规与欺诈防控的效果。Hawk每年在全球60个国家监控与筛查数十亿笔交易。

Virtue AI宣布完成3000万美元A轮融资

投资方为Lightspeed Venture Partners、Walden Catalyst Ventures、Prosperity7、Factory、Osage University Partners；Virtue AI专注于安全可靠的人工智能，为企业提供红队AI应用、安全模型训练和高级护栏解决方案部署工具。Virtue AI的综合平台提供集成解决方案，包括VirtueRed：一个基于算法而非人工的红队平台，涵盖超过320个基于法规和用例的风险类别，例如幻觉、隐私泄露、越狱和即时注射，提供全面的风险评估，同时显著降低测试成本。VirtueGuard：比其他方案更快的护栏模型，同时在90多种语言的文本、图像、音频、视频和代码中提供更好的性能。VirtueAgent：安全代理，可自动解释公司内部安全要求、政策和监管要求，从而消除繁琐的手动流程。

Medusa勒索软件声称攻击了NASCAR赛事，索要400万美元赎金

据报道，Medusa勒索软件组织对全国运动汽车竞赛协会(NASCAR)发起了大规模网络攻击，要求支付400万美元赎金以防止敏感数据的泄露。

计划生育实验室合作伙伴数据泄露，泄露160 万条信息

美国实验室检测服务提供商实验室服务合作社（LSC）证实，黑客于2024年10月侵入其计算机系统，窃取了约160万人的个人信息。

4chan遭黑客攻击下线，管理员信息及源代码疑遭泄露

当地时间4月14日，运营超二十年的老牌匿名论坛4chan遭遇了一次严重的网络安全事件。该网站在当天早些时候突然无法访问，随后长时间处于下线状态，截至发稿时，访问仍不稳定。有黑客组织声称对此负责，并表示已获取该网站管理员的敏感信息及网站源代码。

4月21日消息，北美机场零售企业Paradies Shops即将达成一项690万美元（约合人民币5028万元）的和解协议，以解决一场员工发起的集体诉讼，原因是这些员工的个人信息在2020年的一次勒索软件攻击中被窃取。

上周，该和解协议已获得佐治亚州一位联邦法官的初步批准，Paradies公司与原告双方均已同意相关条款。

根据一名前员工提交的诉状，网络犯罪分子窃取了包含个人信息的记录，涉及Paradies Shops公司约7.6万名现任及前任员工的姓名和社会安全号码。截至2021年，这家总部位于亚特兰大的公司在美国和加拿大的机场运营着超过1000家商店、酒吧和餐厅。

2020年10月，攻击者在5天内侵入了该公司的行政系统。据报道，REvil勒索软件团伙宣称对该事件负责。Paradies Shops在数据泄露事件发生8个月后才通知受害者，并向州检察长通报了此事。

诉讼指出，该公司在保护所收集员工信息方面存在疏忽与疏漏，且延迟通知受害者进一步加剧了他们所受的损害。公司还被指“刻意隐瞒此次数据泄露事件中存在的具体漏洞及其根本原因”。

Paradies否认了上述指控，但表示同意和解，理由是公司“认为继续诉讼将耗时费力，成本高昂”。

这类因数据泄露引发的集体诉讼现已成为国际常态。本月中旬，眼科护理机构Retina Group of Washington也因2023年发生的一起数据泄露事件，与受害者达成了360万美元的集体诉讼和解协议。2024年秋天，Lehigh Valley Health Network同意支付6500万美元赔偿，原因是黑客获取了包含患者裸体照片在内的敏感信息。