安全周报（08.09-08.15）

1、最新！个人信息保护法草案三审稿6大修改

英国政府近半数IT支出耗费在支持老旧IT系统上，每年仅此项支出就高达23亿英镑。

英国内阁办公室新发布的报告显示，2019年中央政府的技术支出为47亿英镑，用于支持老旧IT系统的支出就占了近一半，老旧系统的维护成本问题引发关注。

报告指出：“政府安全部最近的一项分析表明，目前政府IT支出中近50%（2019年中央政府47亿英镑总支出中的23亿英镑）用于维护过时老旧系统，且未来五年还面临此项支出高达130-220亿英镑的风险。” 

正如报告所强调的，纳税人背负的技术债务包括由过时老旧系统提供的重要运营服务，这些系统通常构建在过时的技术平台上，或者所用编程语言不再受到广泛支持。

除了成本，该报告还承认，因为政府觉得“有价值但乏味”比冒险引入新IT系统更有吸引力，导致不仅增加了网络安全风险，还无法引入新型政府服务。 研究指出：“一些部门服务甚至无法满足最低要求的网络安全标准，不能从这些老旧系统提取有用数据。” 

高科技进入农业，提高生产力的同时也带来了网络风险。

拖拉机制造商约翰迪尔（John Deere）公司的系统中被曝含有安全漏洞，攻击者可以借此破坏农作物、损害财产安全、影响收成甚至破坏农田。

8月8日，一名澳大利亚研究人员在一个名为Pega的业务流程管理工具中发现了一个漏洞。Pega的该漏洞与未改变的默认管理凭证有关，允许远程访问Pega的聊天访问组门户。这个漏洞允许攻击者访问众多资源，包括Pega的安全审计日志，甚至是Okta的签名证书。研究人员还能够导出约翰迪尔公司的单点登录SAML服务器的私钥。

拖拉机中都含有哪些数据？

数据一直对农业至关重要，在全球数字化转型潮流中，农业现在正以前所未有的规模为了智能农业或精准农业收集数据。约翰迪尔的拖拉机与我们印象中的传统拖拉机有些许不同，就像现代汽车一样，它运行复杂的嵌入式专用软件，可以连接到互联网，并且具有 GPS以及自主功能，甚至可以由约翰迪尔客户服务代表远程控制，以帮助客户解决问题。

约翰迪尔的拖拉机不断将数据传输到云端，包括：农民何时坐在驾驶室中的信息、土壤中的水分含量以及收成大小的指标等。显然，这种无缝的、持续的数据收集和分析对农民来说十分便捷，但是在一个单一的平台上保存世界上所有现代农场的数据，一旦其被攻破，所带来的大范围数据泄露危害性可想而知。

Poly Network 是历史上最大的加密货币盗窃案之一，但现在已成为最离奇的盗窃案：因为攻击者将几乎所有价值 6.1 亿美元的资产重新返还给了 Poly Network。

本周早些时候，去中心化金融平台 Poly Network 遭到黑客攻击，估计价值 6.1 亿美元的加密货币被盗刷。该公司恳求攻击者，敦促他们退还资金并避免被起诉。

援引华尔街日报报道，在本周三攻击者先是返还了价值 2.6 亿美元的资产。随后 CNBC 在后续报道中表示，攻击者再次返还了价值 3.42 亿美元的资产。

周五，大部分收益被返还给 Poly Network，尽管目前有 2.68 亿美元的资产存在于一个需要公司和攻击者的密钥才能访问的账户中。据 CNBC 报道，在加密货币交易中嵌入的一条或多条被指控的黑客表示，他们将“在所有人准备就绪时提供最终密钥”。

据称黑客通过抢劫中使用的区块链帐户进行通信，声称最终目标是暴露 Poly Network 系统中的漏洞。他们声称，计划一直是退还这笔钱。攻击者表示：“我们对钱不是很感兴趣。我知道当人们被攻击时会很痛，但他们不应该从那些黑客中学到一些东西吗？”周五，Poly Network 表示，它向一个被称为“白帽先生”的实体提供了 50 万美元的“漏洞赏金”，以协助提高公司的安全性。

Poly Network 表示：“我们现在要感谢他对帮助我们提高 Poly Network 安全性的承诺，并希望他在接受漏洞赏金后能够为区块链行业的持续发展做出贡献”。