安联智库seczk.com--做最好网安新媒体! http://www.seczk.com 信息安全资讯,热点资讯,安全期刊,人物专访,安全事件,漏洞威胁,安全技术,攻防众测, Wed, 30 Nov 2022 16:23:53 +0800 zh-CN hourly 1 https://www.s-cms.cn/?v=4.7.5 加入我们 Wed, 30 Nov 2022 16:23:53 +0800

      欢迎有志从事信息安全的朋友,一起加入安联智库这个大家庭,有你们的到来安联智库将因你而出彩!

]]>
联系我们 Wed, 30 Nov 2022 16:23:53 +0800

安联智库&安联攻防实验室(简称:seczk)www.seczk.com
使命:让安全,更简单!
提出:攻击溯源、纵深防御的安全治理解决方案!
微信 、QQ:110468258
网站:www.seczk.com 
邮箱:110468258#qq.com 
地址:广州市天河区黄埔大道西505号A栋2519室 
机构:[广东-广西-海南-云南-贵州-四川-福建-江西-湖南-北京-深圳-重庆-上海.....] 


]]>
团队简介 Wed, 30 Nov 2022 16:23:53 +0800

    安联智库是为了(简称:seczk)是一个专注于信息安全、具有全面信息安全综合服务能力的专业服务团队。seczk立足自主研发,专注信息安全市场,为客户提供安全产品、安全服务、安全集成、安全培训等多项综合性信息安全服务。经过多年的发展已经成为一个理念先进、方案成熟、团队精干、客户认可的具有本土化特色的信息安全服务商。
    seczk立足于羊城广州,目前拥有一支20多人的专业队伍,团队拥有多名CISP、CISSP、CCIE、PMP等技术人员,核心团队成员都出自国内著名安全厂商与安全服务测评机构(如启明星辰、绿盟、天融信、蓝盾、竟远、南方信息安全研究院、中国信息安全测评中心等),积累了丰富的安全经验,其技术能力已获得过不同行业客户的认可。
    安联智库&安联攻防实验室(简称:seczk)使命:让安全,更简单!提出攻防纵深防御、攻击溯源的安全治理解决方案!




]]>
又泄露5亿用户数据!知名社交平台脸书被罚约20亿元 Wed, 30 Nov 2022 16:23:54 +0800 2022年11月27日,当地时间路透社报道称,爱尔兰数据保护委员会(Data Protection Commission,下称“DPC”)对社交软件脸书(Facebook)处以2.65亿欧元(合约20亿人民币)的罚款,理由是该软件中超5亿用户数据被泄露。截至目前,脸书母公司Meta(Nasdaq:META)已因隐私泄露被该监管机构罚款近10亿欧元。

据路透社,此次罚款基于2021年4月的一项调查。该调查显示,脸书约5.33亿用户的个人数据被黑客窃取,这些数据涉及106个国家,包括脸书ID、用户全名、位置、生日、个人简介以及电子邮件地址等。

对于此次数据泄露,Meta曾表示,这是由于“恶意人士”利用脸书的漏洞窃取用户个人信息,且这些数据来自2019年发生的信息泄露事件,早已过时。

11月27日,该公司重申系统漏洞已经于2019年修正。Meta发言人表示,该公司将审查此次罚款的详细情况以决定是否对罚款提起上诉。

由于信息泄露,过去15个月中,爱尔兰DPC已经对Meta及旗下社交软件WhatsApp和Instagram展开三次调查,总罚款额超过9亿美元。

其中最大一笔发生在今年9月,Meta旗下社交软件Instagram由于保护儿童数据不力,被处以4.05亿欧元罚款。这是截至目前该监管机构对Meta的最高罚单,同时也是根据欧盟《通用数据保护条例》(General Data Protection Regulation)对监管公司开出的第二高罚单,仅次于2021年7月对亚马逊处以的7.46亿欧元罚款。

值得注意的是,就在上周,WhatsApp再度陷入信息泄露“丑闻”。

数字安全调查媒体Cybernews11月24日报道称,来自84个国家的超4.87亿WhatsApp用户数据被公开售卖。不过据多家外媒报道,Meta发言人于27日否认信息泄露一事,称该说法基于“未经证实的屏幕截图”,纯属推测,Meta并没有发现任何证据可以表明WhatsApp的系统存在数据泄露。

目前,欧盟正在收紧对大型科技公司的监管,已有两项针对大型科技公司的法律通过并开始实施,分别为《数字服务法案》及《数字市场法案》,前者规范科技公司的内容审核系统,后者旨在限制科技巨头的不正当竞争行为。

除Meta外,苹果、谷歌等科技公司同样受到爱尔兰DPC的监管。路透社称,该监管机构已对上述科技公司展开40项调查。

截至11月28日美股收盘,Meta跌2.36%,报收108.78美元/股,今年以来股价已跌逾67%。

]]>
网灾降临!因遭遇网络攻击,这个国家政务网络瘫痪超三周 Wed, 30 Nov 2022 16:23:54 +0800 11月29日消息,受网络攻击影响,太平洋岛国瓦努阿图政府已经离线约三个星期。民众难以获得服务,部分公务员也被迫重新拿起笔纸来办理事务。

几天过去,有官员告知当地新闻媒体,政府网络、官方网站和在线服务曾在11月6日遭到“入侵”。在此之后,政府一直对攻击事件和系统恢复问题三缄其口,这招致了一些批评声音,有新闻媒体甚至将这次黑客攻击称为“我们最深处的秘密”。

居民生活和工作受到极大影响

这次网络攻击,发生在总理Alatoi Ishmael Kalsakau领导的新政府宣誓就职后的第二天。由于政务系统离线,对居住在几十个岛屿上的32万瓦努阿图民众生活造成了极大不便。

太平洋咨询公司(一家与太平洋地区各企业及政府,包括瓦努阿图政府合作的咨询公司)管理合伙人Glen Craig表示,“这里的一切都通过电子邮件运行,所以邮件系统中断引发了很多问题。包括建筑许可、居留申请以及工作许可在内,很多待处理的事务都被搁置了。”

紧急服务也受到了影响,有一条报警热线被关闭了约一周之久。政府工作人员的工资未能按时支付,部分人还表示自己难以正常纳税。

在卢甘维尔岛帮助经营百万美元景观度假村的Gilbert Fries表示,“我有个朋友没法续签驾照,另一个朋友则无法在截止日期之前为一块土地上缴财产税。”他还提到,目前港口工人已经在用纸和笔来登记进出货物。

居住在该国首都维拉港的Craig表示,虽然居民们可以亲自到政府办公室缴纳税款,但“整个缴税记录,也是以手动方式在电子表格上完成的”。

攻击者索要赎金被拒,邻国正协助恢复业务

瓦努阿图最大邻国澳大利亚的太平洋事务部长Pat Conroy上周五表示,澳方一直在帮助瓦国政府恢复正常运作。

Conroy在瓦努阿图参加区域会议时告诉记者,“我们立即提供了帮助,并派出一支团队来协助应对这次可耻的网络攻击、做出事后响应。我们正努力让该国的IT系统恢复运转。”

澳大利亚的《悉尼先驱晨报》本月报道称,黑客曾索取赎金,但瓦国政府拒绝支付。外媒通过电话、短信和邮件多次联络瓦努阿图国家首席信息官,但对方并未回复置评请求。

尽管政府“每天”都会受到网络攻击,但系统被实际攻陷的情况并不多见。新南威尔士州大学网络安全研究所主任Nigel Phair表示,“这是因为政府一般在网络安全方面都做得很好。”

Phair解释称,恶意黑客往往会瞄准政府愿意出钱保护的敏感数据。“比如说高度敏感的税务信息、社会保障或健康信息,以及总理部门经手的某些信息,犯罪分子往往能用这些数据换取更加有利的交换条件。相比之下,公园管理割草时间的IT系统的低敏感度信息则意义不大。”

多方面因素导致瓦努阿图缺乏应急计划

澳大利亚墨尔本莫纳什大学信息技术学院副院长Carsten Rudolph表示,由于人口稀少,瓦努阿图这个太平洋岛国很难养活足够应对网络安全挑战的全职政府雇员。

他解释称,“这个问题不仅跟太平洋地区的特点有关,也跟瓦国幅员辽阔、居民常因气候变化和灾害风险而迁徙等具体问题有关。总之,网络安全是一个系统性问题,必须把它跟其他问题统一起来做整体分析。”

Craig则表示,瓦努阿图政府缺乏在网络长时间中断的情况下继续维持政务的应急计划,这确实“令人失望”。他认为“有些部门表示不错,能立即在社交媒体上公布员工的备用Gmail账户。但也有些部门未作反应,导致人们根本不知道该如何与其沟通。”

Craig还提到,瓦努阿图堪称全球自然灾害最频繁、灾害风险最高的国家,受到气候变化的影响也极大。今年1月,另一太平洋国家汤加刚刚因火山喷发而陷入瘫痪,原因就是该国与世界连通的唯一海底光缆在灾害中断开。

Craig总结称,“在当今时代,对于像瓦努阿图遭遇的这类高风险事件,都应该有相应的强大系统来应对和解决。”

]]>
印度最大医院遭网络攻击:业务中断超4天 只能手动处理工作 Wed, 30 Nov 2022 16:23:54 +0800 11月28日消息,印度主要公共医疗机构之一,全印度医学科学研究所(AIIMS)遭遇网络攻击,出现业务中断。

此次中断影响到数百位使用基础医疗保健服务的患者和医生,波及患者入院、出院和计费等系统。

AIIMS成立于1956年,拥有数千位医学本科生和研究生。该机构同时也是印度最大的国有医院之一,可容纳2200多张病床。

医院方面表示,上周三(11月23日)发生的网络攻击似乎是一起勒索软件攻击,因为黑客修改了受感染文件的扩展名。

AIIMS管理人员接受采访时表示,自上周三上午开始,其患者护理服务受到了严重影响。

由于负责记录患者数据的服务器停止工作,该机构只能转向手动操作,包括手写病患记录。中断还导致排队周期延长,应急处置工作也开始出现失误。

在经历最初几个小时的中断之后,医院方面发布一份声明,确认了网络攻击的存在。中断一直持续到次日。

一位住院医生在采访中表示,“有很多采血样本无法发送,没法进行影像学研究,也看不到之前的报告和图像。大量操作只能以手动方式完成,但这样既耗时也更容易出错。”

到上周四晚些时候,医院方面指示医生继续手写记录,包括在系统中断期间手写出生和死亡证明。

据mint报道,直到上周六,医院服务器依然受影响,相关工作继续以人工方式进行。

印度国家信息中心的一支团队正与印度计算机应急响应小组密切合作,帮助AIIMS尽快恢复系统。据一位直接了解事件的人士称,目前正努力从备份中恢复数据。

与此同时,包括中央调查局和德里警局情报整合与战略行动部在内的多个执法机构,也在着手调查这起事件的幕后黑手。警方已经就此事提出正式控告。

目前还不清楚,恶意黑客能否访问到患者的细节数据。


]]>
《安联智库-网安周报》2022-11-27 Wed, 30 Nov 2022 16:23:54 +0800

1、WhatsApp数据大泄露,近5亿条用户号码在暗网出售

据Cybernews报道,有黑客正在地下论坛出售近5亿WhatsApp用户的最新手机号码,而通过检验数据库样本,这些数据极有可能是真实数据。11月16日,一名黑客在著名黑客社区论坛上发布了一则广告,声称出售WhatsApp 2022年数据库,库内包含4.87亿用户手机号码。
公开数据显示,WhatsApp在全球拥有超过20亿月活跃用户。据称,该数据库包含84个国家的WhatsApp用户数据。威胁行动者称其中包含3200万美国用户、4500万埃及用户、3500万意大利用户、2900万沙特阿拉伯用户、2000万法国用户、2000万土耳其用户信息;还包含近1000万俄罗斯公民和1100多万英国公民的电话号码。
Cybernews的研究人员联系WhatsApp数据库卖家,得到了一份数据样本。样本中有1097个英国和817个美国用户号码。卖家没有具体说明数据库的获得方法,暗示使用了一些策略来收集数据,并保证数据库中所有号码是WhatsApp活跃用户。WhatsApp母公司Meta对此不予置评。Meta长期以来因允许第三方收集用户数据而受到批评。通常情况下,发布在网上的大量数据转储是通过抓取获得的,此举违反了WhatsApp的服务条款。某黑客论坛上存在超过5.33亿WhatsApp用户纪录的泄露,下载数据库几乎免费。
除了WhatsApp大规模数据泄露,一份据称包含5亿领英用户资料的数据库被挂上黑客论坛出售。泄露的电话号码可能被用于广告营销、网络钓鱼、假冒和欺诈。“在这个时代,我们都留下了庞大的数字轨迹,像Meta这样的科技巨头应该采取一切预防措施和手段来保护这些数据,”Cybernews研究团队负责人曼塔斯·萨纳乌斯卡斯表示。“应该采取严格的措施来应对威胁,并从技术角度防止平台被滥用。”
2、真实案例!恶意黑客利用物联网设备成功入侵电网


11月25日消息,微软近期发布一份报告,揭示了使用已停止维护软件的物联网设备面临的风险。从最新案例来看,已经有黑客利用软件中的漏洞攻击能源组织。

本周二,微软研究人员在一份分析报告中透露,他们在Boa Web Server软件中发现了一个易受攻击的开源组件,被广泛应用于一系列路由器、安保摄像头以及流行的软件开发工具包(SDK)。

尽管Boa Web Server在2005年就已停止更新,但它仍被广泛应用,并由此掀起一轮新的危机。由于Boa已经内置到物联网设备供应链的复杂构建方式,防御方其实很难缓解这一安全缺陷。微软报告称,恶意黑客试图利用Boa Web Server的多个漏洞,包括一个高危级别的信息泄露漏洞(CVE-2021-33558)和一个任意文件访问漏洞(CVE-2017-9833)。未经身份验证的攻击者可以利用这些漏洞获取用户凭证,并远程执行代码。

“影响该组件的两个漏洞,可以让恶意黑客在发起攻击之前就收集到关于目标网络资产的信息,并获取有效凭证以访问更多未被检测到的网络。在关键基础设施网络中,恶意黑客能够在攻击之前收集未检测的信息。一旦攻击发起,黑客方就能引发更大影响,甚至可能造成数百万美元损失、破坏数百万人的正常生活。”微软表示。

2022年4月,Recorded Future又发布一份报告,介绍了另一个国家支持的恶意黑客团伙。报告称,该团伙利用物联网设备在用于监视/控制物理工业系统的运营技术(OT)网络上开辟登陆点。在此之后,微软在一周内在全球范围内发现了上百万个暴露在互联网上的Boa服务器组件。可以预见,这个易受攻击的组件很可能给整个世界带来巨大威胁。

3、遇到垃圾短信千万别回复TD 越回越多

我们每天都会收到垃圾短信,很多朋友为了不受其影响,基本都会回复“TD”退订,毕竟短信上就是这样写的。但实际情况却不是这样。腾讯公众号“你问鹅答”就提到,如果遇到无良商家,回复“TD”也没用,甚至后面会收到更多短信。

当你回复“TD”后,无良商家就会将你的号码认定为活跃用户,从而会给你发送更多营销短信。所以最好的解决方法是,什么都不要做。当然你也可以选择将“TD”作为关键词,通过黑名单等功能拦截。但这种做法可能会把少量有用的短信拦截。

事实上,商家没有经过用户同意,就给用户发送营销类短信,这种做法其实是违法的。早在2015年工信部就发布了《通信短信息服务管理规定》,明确商家不得在未经用户同意的情况下发送营销短信。违反者可被处于1万以上、3万以下罚款。

4、国际刑警组织破获 1.3 亿美元的网络犯罪大案

The Hacker News 网站披露, 国际刑警组织宣布,在一项全球打击网络犯罪的活动中,逮捕近 1000 名嫌疑人并扣押价值 1.3 亿美元的虚拟资产。据悉,这场名为“HAECHI-III”的网络犯罪打击行动开始于 2022 年 6 月 28日,在为期五个月时间里,共处理 1600多起案件,逮捕 975 名嫌疑人,冻结近 2800 个用于洗钱的银行和虚拟资产账户。

值得一提的是,逮捕嫌疑人中包括两名被韩国通缉的逃犯,这两人涉嫌参与庞氏骗局,从 2000 名受害者身上骗取近 2800 万欧元。此外,抓捕行动还涉及到一起印度呼叫中心骗局,一群犯罪分子冒充国际刑警组织和欧洲刑警组织的官员,网络诱骗奥地利的受害者转移资金。

网络犯罪分子”通知“受害者,由于其个人身份信息被盗,其他人以他们的名义犯下了与毒品有关的罪行,恐吓受害者汇款。印度中央调查局(CBI)上月披露,大部分受害者为消除嫌疑,被迫通过银行转账、加密钱包、礼品卡代码或凭证代码将其资产/金钱转移到犯罪分子的银行账户。

根据执法部门的说法,此次调查行动特别指出了一系列网络金融犯罪,如语音网络钓鱼、浪漫骗局、性侵犯、投资欺诈和与非法网络赌博相关的洗钱。当局强调,一些新发现的网络犯罪趋势包括各种各样的”浪漫骗局“、性侵犯以及使用加密消息应用程序推广虚假的加密钱包计划。


]]>
遇到垃圾短信千万别回复TD 越回越多 Wed, 30 Nov 2022 16:23:54 +0800 我们每天都会收到垃圾短信,很多朋友为了不受其影响,基本都会回复“TD”退订,毕竟短信上就是这样写的。但实际情况却不是这样。腾讯公众号“你问鹅答”就提到,如果遇到无良商家,回复“TD”也没用,甚至后面会收到更多短信。

当你回复“TD”后,无良商家就会将你的号码认定为活跃用户,从而会给你发送更多营销短信。所以最好的解决方法是,什么都不要做。当然你也可以选择将“TD”作为关键词,通过黑名单等功能拦截。但这种做法可能会把少量有用的短信拦截。

收到垃圾短信回复TD真能退订?腾讯科普:遇到无良商家变本加厉

事实上,商家没有经过用户同意,就给用户发送营销类短信,这种做法其实是违法的。早在2015年工信部就发布了《通信短信息服务管理规定》,明确商家不得在未经用户同意的情况下发送营销短信。违反者可被处于1万以上、3万以下罚款。

]]>
国际刑警组织破获 1.3 亿美元的网络犯罪大案 Wed, 30 Nov 2022 16:23:54 +0800 The Hacker News 网站披露, 国际刑警组织宣布,在一项全球打击网络犯罪的活动中,逮捕近 1000 名嫌疑人并扣押价值 1.3 亿美元的虚拟资产。

据悉,这场名为“HAECHI-III”的网络犯罪打击行动开始于 2022 年 6 月 28日,在为期五个月时间里,共处理 1600多起案件,逮捕 975 名嫌疑人,冻结近 2800 个用于洗钱的银行和虚拟资产账户。

值得一提的是,逮捕嫌疑人中包括两名被韩国通缉的逃犯,这两人涉嫌参与庞氏骗局,从 2000 名受害者身上骗取近 2800 万欧元。

此外,抓捕行动还涉及到一起印度呼叫中心骗局,一群犯罪分子冒充国际刑警组织和欧洲刑警组织的官员,网络诱骗奥地利的受害者转移资金。

网络犯罪分子”通知“受害者,由于其个人身份信息被盗,其他人以他们的名义犯下了与毒品有关的罪行,恐吓受害者汇款。印度中央调查局(CBI)上月披露,大部分受害者为消除嫌疑,被迫通过银行转账、加密钱包、礼品卡代码或凭证代码将其资产/金钱转移到犯罪分子的银行账户。

此次国际刑警组织的突击行动没收印度呼叫中心骗局 25.83 比特币和不同数字钱包中约 3.7 万美元,其中一名嫌疑人银行账户中持有的 37000 美元也被冻结。

国际刑警组织指出,呼叫中心骗局导致受害者转移了总计 15.9 万美元,并缴获了骗子使用的四个加密货币钱包。

根据执法部门的说法,此次调查行动特别指出了一系列网络金融犯罪,如语音网络钓鱼、浪漫骗局、性侵犯、投资欺诈和与非法网络赌博相关的洗钱。当局强调,一些新发现的网络犯罪趋势包括各种各样的”浪漫骗局“、性侵犯以及使用加密消息应用程序推广虚假的加密钱包计划。

]]>
真实案例!恶意黑客利用物联网设备成功入侵电网 Wed, 30 Nov 2022 16:23:54 +0800 11月25日消息,微软近期发布一份报告,揭示了使用已停止维护软件的物联网设备面临的风险。从最新案例来看,已经有黑客利用软件中的漏洞攻击能源组织。

本周二,微软研究人员在一份分析报告中透露,他们在Boa Web Server软件中发现了一个易受攻击的开源组件,被广泛应用于一系列路由器、安保摄像头以及流行的软件开发工具包(SDK)。

尽管Boa Web Server在2005年就已停止更新,但它仍被广泛应用,并由此掀起一轮新的危机。由于Boa已经内置到物联网设备供应链的复杂构建方式,防御方其实很难缓解这一安全缺陷。

微软报告称,恶意黑客试图利用Boa Web Server的多个漏洞,包括一个高危级别的信息泄露漏洞(CVE-2021-33558)和一个任意文件访问漏洞(CVE-2017-9833)。未经身份验证的攻击者可以利用这些漏洞获取用户凭证,并远程执行代码。

“影响该组件的两个漏洞,可以让恶意黑客在发起攻击之前就收集到关于目标网络资产的信息,并获取有效凭证以访问更多未被检测到的网络。在关键基础设施网络中,恶意黑客能够在攻击之前收集未检测的信息。一旦攻击发起,黑客方就能引发更大影响,甚至可能造成数百万美元损失、破坏数百万人的正常生活。”微软表示。

微软最初发现这个易受攻击的组件,是在调查一起针对印度电网的入侵事件中。此前,美国威胁情报公司Recorded Future曾在2021年发布报告,详细介绍某个国家威胁组织正在将攻击矛头指向印度电网内的运营资产。

2022年4月,Recorded Future又发布一份报告,介绍了另一个国家支持的恶意黑客团伙。报告称,该团伙利用物联网设备在用于监视/控制物理工业系统的运营技术(OT)网络上开辟登陆点。

在此之后,微软在一周内在全球范围内发现了上百万个暴露在互联网上的Boa服务器组件。可以预见,这个易受攻击的组件很可能给整个世界带来巨大威胁。

另一个重要问题在于,由于经常被整合在流行的SDK当中,所以很多用户根本不确定自己的产品中是否存在Boa Web Server。比如Realtek SDK,这款软件开发工具包在路由器、接入点及其他网关设备制造商中得到广泛使用,而它正好包含Boa Web服务器。

由于持续观察到针对Boa漏洞的攻击,微软决定就广泛使用的各网络组件的安全缺陷发布供应链风险警报。

]]>
WhatsApp数据大泄露,近5亿条用户号码在暗网出售 Wed, 30 Nov 2022 16:23:54 +0800 据Cybernews报道,有黑客正在地下论坛出售近5亿WhatsApp用户的最新手机号码,而通过检验数据库样本,这些数据极有可能是真实数据。

11月16日,一名黑客在著名黑客社区论坛上发布了一则广告,声称出售WhatsApp 2022年数据库,库内包含4.87亿用户手机号码。

公开数据显示,WhatsApp在全球拥有超过20亿月活跃用户。据称,该数据库包含84个国家的WhatsApp用户数据。威胁行动者称其中包含3200万美国用户、4500万埃及用户、3500万意大利用户、2900万沙特阿拉伯用户、2000万法国用户、2000万土耳其用户信息;还包含近1000万俄罗斯公民和1100多万英国公民的电话号码。

Cybernews的研究人员联系WhatsApp数据库卖家,得到了一份数据样本。样本中有1097个英国和817个美国用户号码。卖家没有具体说明数据库的获得方法,暗示使用了一些策略来收集数据,并保证数据库中所有号码是WhatsApp活跃用户。

WhatsApp母公司Meta对此不予置评。Meta长期以来因允许第三方收集用户数据而受到批评。通常情况下,发布在网上的大量数据转储是通过抓取获得的,此举违反了WhatsApp的服务条款。某黑客论坛上存在超过5.33亿WhatsApp用户纪录的泄露,下载数据库几乎免费。

除了WhatsApp大规模数据泄露,一份据称包含5亿领英用户资料的数据库被挂上黑客论坛出售。泄露的电话号码可能被用于广告营销、网络钓鱼、假冒和欺诈。

“在这个时代,我们都留下了庞大的数字轨迹,像Meta这样的科技巨头应该采取一切预防措施和手段来保护这些数据,”Cybernews研究团队负责人曼塔斯·萨纳乌斯卡斯表示。“应该采取严格的措施来应对威胁,并从技术角度防止平台被滥用。”

]]>
澳媒:澳医保公司近千万客户信息遭黑客窃取 Wed, 30 Nov 2022 16:23:54 +0800 据《澳大利亚人报》网站11月9日报道,一个黑客勒索组织9日在网上披露了澳大利亚个人医保基金公司的第一批客户敏感信息,其中包括吸毒成瘾者和艾滋病毒检测呈阳性者。澳大利亚总理安东尼·阿尔巴尼斯也是该公司的客户之一。

报道称,首批被公布数据被分成两组,一组以名为《淘气名单》的未加密文件的形式发布在暗网上,供人下载。里面有约100名患者的详细信息,包括他们是否曾因吸毒、酗酒焦虑、大麻依赖或阿片类药物成瘾而接受过治疗。

另一组所谓的《好人名单》也被发布了出来,包含另一些客户的细节信息和健康状况等。

这个勒索组织迄今已将数百名澳大利亚人的详细信息发布在这两份名单下。此前它在8日向个人医保基金公司下了最后通牒,要求后者在24小时内支付赎金,而该公司拒绝了勒索。

调查显示,黑客获取了个人医保基金公司约970万名当前客户和曾经客户的详细信息。

]]>
黑客攻击欧盟议会网站长达数小时 导致网络瘫痪 Wed, 30 Nov 2022 16:23:54 +0800 11月24日消息,外媒称,欧洲议会研究所所长表示,欧洲议会网站(European Parliament's website)在当地时间周三遭到“亲克里姆林宫”黑客的拒绝服务攻击,导致网站瘫痪数小时。

据了解,大约在该机构报告故障两小时后,议会网站再次启动。

欧洲议会主席梅特索拉(European Parliament President Roberta Metsola)在网站瘫痪后不久发推文称,“欧洲议会正遭受复杂的网络攻击。一个亲克里姆林宫的组织(pro-Kremlin group)声称对此负责。我们的IT专家正在反击,保护我们的系统。”

]]>
泰康人寿被疑强制上保泄露个人信息,旗下APP曾遭工信部通报 Wed, 30 Nov 2022 16:23:54 +0800 “本人没有做过相关操作,强制给别人上保,要求在你司信息库中永久删除我的个人信息。”

最近,在黑猫投诉平台上,有很多用户质疑泰康人寿侵害了自己权益、个人信息遭到泄露。

有用户表示,在自己没有投保的情况下,“突然收到泰康人寿短信,说飞铁保Plus领取成功,还有链接和保单号,证明我的信息被泄露了。”

还有用户称,“有泰康工作人员电话通知有飞铁保产品时,自己表明拒绝办理,但仍会收到链接短信,几分钟后又收到标有保单号的办理成功短信。”

据了解,飞铁保plus是一款特定交通工具意外险产品,由泰康在线保险承保,属于赠险,用户免费领取保障,虽然不需要支付保费,但需要填写各型信息,会有信息泄露的风险。

仅10月份以来,关于上述“强制上飞铁保”的投诉,就多达数十条,很多用户均表示非自己主观意愿,甚至并不知情,对自己的个人信息十分担忧,更有甚者要求删除自己在泰康人寿的资料。

而在今年2月21日,工信部通报的2022年第一批侵害用户权益的APP名单,泰康保险旗下泰康医生APP位列其中。所涉问题为:APP强制、频繁、过度索取权限。随后,泰康回应尽快整改完成。

最近,泰康人寿发布数据,泰康医生APP注册用户数突破900万,同比去年增长超75%。

有专家认为,用户个人信息泄露绝非“儿戏”,如果违规使用、买卖或信息泄露,用户轻则被垃圾信息和电话骚扰,重则被冒名办理业务,甚至被诈骗,引发财产损失和安全性问题。

近些年,国家对于网络信息安全越来越重视。2017年6月1日,《网络安全法》开始施行。《数据安全法》自2021年9月1日起施行。《个人信息保护法》自2021年11月1日起施行。

2021年2月施行的《互联网保险业务监管办法》,要求保险机构收集、处理及使用个人信息,应征得客户同意,获得客户授权。未经客户同意或授权,不得将客户信息用于所提供保险服务之外的用途等。

]]>
某医疗机构公众号系统漏洞遭利用,攻击者窃取10余万条公民数据境外售卖被抓 Wed, 30 Nov 2022 16:23:54 +0800 “网络通”麻某本可以靠自身技能找工作赚干净钱,却抵不住金钱的诱惑走上邪路,一手好牌被自己打的稀烂,硬生生将自己送进“班房”,冰城警方果断出手斩断了麻某非法窃取公民信息的“黑手”。

近日,哈尔滨市公安局南岗分局网安大队民警在工作中发现,境外某黑客论坛上有一名用户于2022年10月发贴出售公民个人信息数据,自称持有数据量约20GB,售价0.2比特币,该用户还公布了29条数据样本,样本中还包括了公民姓名、联系电话、家庭住址等个人信息。

由于该线索涉及侵犯公民个人信息犯罪,且涉案数据量较大,立即引起了各级网安部门的高度重视。

在哈尔滨市公安局网安支队统一指挥下,两级网安部门成立专案组,合力开展侦查工作。

专案组民警在调查中发现,犯罪嫌疑人精通电脑操作及网络知识,隐藏得很深,给侦查工作造成了不小的难度。专案组的民警们昼夜不眠,将被泄露数据在海量的数据源中进行比对、分析,经过96小时的艰苦奋战,最终确定了犯罪嫌疑人的作案手法、作案时间段及使用的IP地址。

10月22日,南岗公安分局民警在哈尔滨市平房区将涉嫌非法获取计算机信息系统数据的犯罪嫌疑人麻某抓获,并在其电脑中查获非法获取的公民个人信息10万余条。经审讯,犯罪嫌疑人麻某供述,其为IT行业从业人员,利用某医疗机构微信公众号的系统漏洞,在今年4月至10月间,通过技术手段非法获取该计算机系统数据10万余条,而后在境外某黑客论坛发帖出售,截至落网前,已非法获利1500美元。

目前,麻某已因涉嫌非法获取计算机信息系统数据罪被依法批准逮捕,案件正在进一步工作中。

]]>
《安联智库-网安周报》2022-11-20 Wed, 30 Nov 2022 16:23:54 +0800

1、暴雪与网易分手原因 关键在于想要中国百万玩家数据

对于暴雪和网易分手这件事,丁磊表示,“我们非常希望能继续代理暴雪游戏,为此付出非常多努力,但谈判难度远超预期。对关键核心条款,包括长远运营、玩家权益等都是暴雪提出的,这些条款也是我们不能接受的。
据爆料,知情人士称,网易与暴雪停止的合作的关键问题在于,对于知识产权的所有权以及对中国数百万玩家数据的控制权,由于此次会谈不公开,因此相关人士要求匿名。
2、数百个亚马逊 RDS 泄露了用户信息

安全公司 Mitiga 最新发现显示,亚马逊关系型数据库服务(Amazon RDS)上数百个数据库正在暴露用户个人身份信息(PII)。

安全研究员 Ariel Szarf、Doron Karmi 和 Lionel Saposnik 在与 The Hacker News 分享的报告中表示,泄露的数据库中包含用户姓名、电子邮件地址、电话号码、出生日期、婚姻状况、汽车租赁信息,甚至是公司登录信息,如此详细的用户数据,为潜在攻击者提供了丰富的“素材”。

亚马逊 RDS 是一项 Web 服务,可以在亚马逊网络服务(AWS)云中建立关系型数据库。不仅如此,RDS 还支持不同的数据库引擎,例如 MariaDB、MySQL、Oracle、PostgreSQL 和SQL Server 等。

3、疑遭网络攻击,太平洋岛国瓦努阿图政府网站已瘫痪11天

据英国广播公司(BBC)当地时间11月18日报道,瓦努阿图的多个政府网站已瘫痪11天,其服务器疑似遭到网络攻击。

瓦努阿图的议会、警方和总理办公室的网站已瘫痪。另外,该国学校、医院以及所有政府部门的电子邮件系统、内部网站和在线数据库均已瘫痪。这些网站或网络服务的瘫痪,导致瓦努阿图约31.5万名居民在纳税、开发票、申请执照和签证等事务上遇到困难。

当地政府工作人员不得不采取人工方式处理业务,这导致许多业务延期或被迫暂停。一些工作人员使用个人邮箱和个人网络热点处理业务。另据澳大利亚《悉尼先驱晨报》报道,疑似有网络黑客要求瓦努阿图政府支付赎金,但瓦努阿图政府拒绝支付。对于疑似黑客的身份、网络攻击如何发生、网络何时能够恢复等疑问,目前仍然没有答案。

4、安卓系统可能遭遇重大风险,两分钟可轻松破解锁屏

安卓系统可能遭遇了重大安全风险,只要能拿到对方的手机,就有可能轻松破解手机的锁屏密码。一次偶然的机会,国外网络安全研究员 David Schütz发现了一种极为简单地绕过谷歌Pixel 6 和 Pixel 5 智能手机的锁屏的方法,任何拿到手机的用户都可以解开手机。

整个过程只需要简单的五个步骤,大概两分钟的时间。虽然谷歌针对这个问题已经发布了Android 更新,而在更新之前,这个锁屏漏洞持续存在超过五个月的时间。

总的来说,对于该漏洞的利用主要有以下五个步骤:

1.提供三次错误指纹以禁用锁定设备上的生物特征认证;

2.将设备中的 SIM 卡与设置了 PIN 码的攻击者控制的 SIM 卡热交换;

3.提示输入错误的 SIM 卡密码三次,锁定 SIM 卡;

4.设备提示用户输入 SIM 的个人解锁密钥 (PUK) 码,这是一个唯一的 8 位数字,用于解锁 SIM 卡;

5.为攻击者控制的 SIM 输入新的 PIN 码。

漏洞影响广泛

该安全漏洞的影响十分广泛,几乎所有未更新2022年11月补丁的,运行 Android 10、11、12 、13 版本的手机都受到影响,这是一个无法想象的数量。

虽然这个漏洞利用需要对拿到对方的手机,但是这依旧会产生巨大的影响,尤其是对于那些虐待他人、接受调查、手机丢失的用户来说,影响十分严重。

]]>
安卓系统可能遭遇重大风险,两分钟可轻松破解锁屏 Wed, 30 Nov 2022 16:23:54 +0800 安卓系统可能遭遇了重大安全风险,只要能拿到对方的手机,就有可能轻松破解手机的锁屏密码。

一次偶然的机会,国外网络安全研究员 David Schütz发现了一种极为简单地绕过谷歌Pixel 6 和 Pixel 5 智能手机的锁屏的方法,任何拿到手机的用户都可以解开手机。

图片

整个过程只需要简单的五个步骤,大概两分钟的时间。虽然谷歌针对这个问题已经发布了Android 更新,而在更新之前,这个锁屏漏洞持续存在超过五个月的时间。

五步直接绕过Android锁屏

Schütz表示,他是在自己的Pixel 6 电池没电、输错 3 次 PIN 并使用 PUK(个人解锁密钥)代码恢复锁定的 SIM 卡后,发现了这个漏洞。

令他惊讶的是,在解锁 SIM 卡并选择新的 PIN 码后,设备并没有要求输入锁屏密码,而只是要求进行指纹扫描。

出于安全原因,Android 设备在重新启动时总是要求输入锁屏密码或图案,因此直接进行指纹解锁不正常。

Schütz继续进行试验,当他尝试在不重启设备的情况下重现漏洞时,他认为也可以绕过指纹提示,直接进入主屏幕。

总的来说,对于该漏洞的利用主要有以下五个步骤:

1.提供三次错误指纹以禁用锁定设备上的生物特征认证;

2.将设备中的 SIM 卡与设置了 PIN 码的攻击者控制的 SIM 卡热交换;

3.提示输入错误的 SIM 卡密码三次,锁定 SIM 卡;

4.设备提示用户输入 SIM 的个人解锁密钥 (PUK) 码,这是一个唯一的 8 位数字,用于解锁 SIM 卡;

5.为攻击者控制的 SIM 输入新的 PIN 码。

漏洞影响广泛

该安全漏洞的影响十分广泛,几乎所有未更新2022年11月补丁的,运行 Android 10、11、12 、13 版本的手机都受到影响,这是一个无法想象的数量。

虽然这个漏洞利用需要对拿到对方的手机,但是这依旧会产生巨大的影响,尤其是对于那些虐待他人、接受调查、手机丢失的用户来说,影响十分严重。

该问题是由于 SIM PUK 解锁后键盘锁被错误地关闭引起的,原因是关闭调用的冲突影响了在对话框下运行的安全屏幕堆栈。

当 Schütz 输入正确的 PUK 号码时,“解除”功能被调用两次,一次由监视 SIM 状态的后台组件调用,另一次由 PUK 组件调用。

这不仅会导致 PUK 安全屏幕被取消,还会导致堆栈中的下一个安全屏幕(键盘锁)被取消,随后是堆栈中下一个排队的任何屏幕。如果没有其他安全屏幕,用户将直接访问主屏幕。

谷歌的解决方案是为每个“关闭”调用中使用的安全方法包含一个新参数,以便调用关闭特定类型的安全屏幕,而不仅仅是堆栈中的下一个。

2022年6月, Schütz 向谷歌报告了这一安全漏洞,编号 CVE ID  CVE-2022-20465,但是直到2022年11月7日,谷歌才正式对外公布了该漏洞的修复补丁。另外,因为这个安全漏洞, Schütz 获得了谷歌的7万美元的高额奖励。

]]>
暴雪与网易分手原因 关键在于想要中国百万玩家数据 Wed, 30 Nov 2022 16:23:54 +0800 对于暴雪和网易分手这件事,丁磊表示,“我们非常希望能继续代理暴雪游戏,为此付出非常多努力,但谈判难度远超预期。对关键核心条款,包括长远运营、玩家权益等都是暴雪提出的,这些条款也是我们不能接受的。

据爆料,知情人士称,网易与暴雪停止的合作的关键问题在于,对于知识产权的所有权以及对中国数百万玩家数据的控制权,由于此次会谈不公开,因此相关人士要求匿名。

除此之外,网易在另一份声明中表示,在2021年和2022年前9个月,暴雪游戏的收入在网易总收入中占比较低。彭博社称在今年夏季,暴雪和网易的合作就出现了裂隙,当时他们取消了一款开发了三年的《魔兽世界》手游,而网易解散了一个100多名开发人员的团队。

]]>
快看看有你没!数百个亚马逊 RDS 泄露了用户信息 Wed, 30 Nov 2022 16:23:54 +0800 安全公司 Mitiga 最新发现显示,亚马逊关系型数据库服务(Amazon RDS)上数百个数据库正在暴露用户个人身份信息(PII)。

安全研究员 Ariel Szarf、Doron Karmi 和 Lionel Saposnik 在与 The Hacker News 分享的报告中表示,泄露的数据库中包含用户姓名、电子邮件地址、电话号码、出生日期、婚姻状况、汽车租赁信息,甚至是公司登录信息,如此详细的用户数据,为潜在攻击者提供了丰富的“素材”。

亚马逊 RDS 是一项 Web 服务,可以在亚马逊网络服务(AWS)云中建立关系型数据库。不仅如此,RDS 还支持不同的数据库引擎,例如 MariaDB、MySQL、Oracle、PostgreSQL 和SQL Server 等。

亚马逊 RDS 数据泄露事件详情

此次亚马逊 RDS 用户个人数据泄漏事件源于一个称为公共 RDS 快照的功能,该功能允许创建一个在云中运行数据库的环境备份,并且可以被所有 AWS 账户访问。

亚马逊方面表示,当用户准备把快照分享为公共快照时,请确保公共快照中不包括自身私人信息,一旦快照被公开共享时,会给予所有 AWS 账户复制快照和从中创建 DB 实例的权限。

2022 年 9 月 21 日至 10 月 20 日期间,安全研究人员进行了细致实验,最后发现实验的 810 张快照在不同时间段(从几小时到几周)内被公开分享,照片很容易被恶意攻击滥用。

在这 810 张快照中,有超过 250 个备份暴露了 30 天,侧面反映它们很可能已经被遗忘了。

根据所暴露信息的特殊性质,潜在攻击者可以窃取数据以期获取经济利益,或利用数据信息来更好地掌握用户所属公司的 IT 环境。

因此,亚马逊强烈建议用户不要开启 RDS 快照公开访问权限,以防止敏感数据的潜在泄漏、滥用或任何其他类型的安全威胁。当然,最好在适当的时候对快照进行加密。

]]>
疑遭网络攻击,太平洋岛国瓦努阿图政府网站已瘫痪11天 Wed, 30 Nov 2022 16:23:54 +0800 据英国广播公司(BBC)当地时间11月18日报道,瓦努阿图的多个政府网站已瘫痪11天,其服务器疑似遭到网络攻击。

瓦努阿图的议会、警方和总理办公室的网站已瘫痪。另外,该国学校、医院以及所有政府部门的电子邮件系统、内部网站和在线数据库均已瘫痪。

这些网站或网络服务的瘫痪,导致瓦努阿图约31.5万名居民在纳税、开发票、申请执照和签证等事务上遇到困难。

当地政府工作人员不得不采取人工方式处理业务,这导致许多业务延期或被迫暂停。一些工作人员使用个人邮箱和个人网络热点处理业务。

另据澳大利亚《悉尼先驱晨报》报道,疑似有网络黑客要求瓦努阿图政府支付赎金,但瓦努阿图政府拒绝支付。对于疑似黑客的身份、网络攻击如何发生、网络何时能够恢复等疑问,目前仍然没有答案。

]]>
《安联智库-网安周报》2022-11-13 Wed, 30 Nov 2022 16:23:54 +0800

1、虚假马斯克账号都能认证?Twitter Blue订阅引发冒牌危机

据Bleeping Computer 11月10日消息,Twitter在近期推出的“ Twitter Blue”蓝色认证功能已开始被网络不法分子以冒充的形式滥用,让这项每月需花费7.99美元的订阅服务的认证机制及安全性受到质疑。
这项订阅一经推出,就遇到了滥用风险,攻击者可以仿冒他人账户,并畅通无阻地通过认证。比如著名游戏发行商Rockstar Games出现了名为“RockstarGamse”的已认证仿冒账号。而一些名人,比如特朗普,甚至连马斯克本人的账号都没能幸免。在马斯克的例子中,虚假帐号直接从马斯克的真实帐号全盘复制个人资料,并通过了Twitter Blue认证。
11月初,马斯克在接管Twitter后正式推出Twitter Blue订阅服务,在此之前,马斯克就曾表示,要改进该平台的认证流程,但Twitter Blue所带来的这一混乱局面已经引发诸多不满。面对这一情况,马斯克表示将积极打击假冒和欺骗行为,任何假冒账号将会在不提前警告的情况下直接被永久停用。
2、波音子公司遭网络攻击,致使全球多家航司航班规划中断

近日,上海奉贤区人民检察院披露一起案件。50岁的罗某是一位基金经理,还是一位博士。

2021年10月,他通过交友网站结识34岁女子殷某。殷某自称“张某某”,并精心编造了一个留学归来、事业有成的高端人设。两人很快发展成男女朋友关系,罗某也多次向殷某转账。期间罗某多次向殷某提出见面被拒,一日殷某终于答应见面,最终却没有露面。罗某担心殷某身体不适,选择报警。警方调查后才发现,殷某并非其编造的“张某某”,而是外地的一位工厂女工,家中有丈夫和一对儿女。殷某因工作的工厂拖欠工资,便骗取罗某钱款用于生活开销。2021年11月,奉贤区人民检察院依法对殷某批准逮捕。该案在进一步审查起诉中。

3、隐私问题罗生门?苹果因涉嫌侵犯用户隐私被提起诉讼

苹果一直标榜自己的系统安全稳定,并珍视用户信息,但根据最新的诉讼消息来看,苹果栽在了其一直引以为傲的安全隐私,对于隐私权的尊重,或许它们过于言过其实了。新的诉讼是来自一份来自11月发表的报告,这位用户发现在iOS 14.6系统下,App Store、Apple Music、Apple TV和Books的“详细使用数据被发送到苹果”。研究人员称,股票发送的可识别信息比其他应用程序少。据报道,发送的数据与一个可以识别用户的标识符相关。据报道,这种行为在iOS 16中仍然存在,但研究人员无法检查发送的数据是什么,因为这些数据都是加密发送的。研究人员确实对Gizmodo说,在任何隐私设置的组合下,健康和钱包都没有发送类似的数据。所有数据都被发送到与iCloud的阵列不同的服务器。

原告表示,“苹果公司的做法侵犯了消费者的隐私;故意欺骗消费者;使苹果公司及其员工有权了解有关个人生活、兴趣和应用程序使用的亲密细节;并使苹果公司成为任何想破坏个人隐私、安全或自由的政府、私人或犯罪行为人'一站式购物'的潜在目标。通过其普遍和非法的数据跟踪和收集业务,苹果甚至知道用户应用使用的最私密和潜在的尴尬方面--无论用户是否接受苹果虚幻的提议来保持这些活动的隐私”。

苹果也曾明确表示过,其广告平台不会将用户或设备数据与从第三方收集的数据连接起来,以进行定向广告。他们还说,他们不会与数据收集公司分享用户设备或设备识别,无论是App Store,还是iPhone本身。但根据原告所提供的证据却证明了苹果公司正在欺瞒它的用户,并且涉嫌侵犯了受第四修正案保护的隐私区域",并违反了几十个州关于窃听和侵犯隐私的刑事法律,而第四修正案在这里似乎也并不适用。

4、加拿大最大肉类生产商被黑:部分运营中断 食品供应受影响

11月11日消息,加拿大肉类生产巨头Maple Leaf Foods(也称枫叶食品)在上周日(11月6号)证实,经历了一起网络安全事件,导致系统与运营中断。

Maple Leaf Foods是加拿大最大的预制肉类与家禽食品生产商,共拥有21处制造工厂、雇佣14000名员工,并承包超700处库房。2021年,该公司总销售额达33亿美元。

恶意黑客经常在周末发动网络攻击,这是看准目标正在放假、应对人手不足,希望最大限度提高成功机率。尽管攻击者时机选得不错,但这家加拿大包装食品巨头表示,其IT团队还是立即采取了应对措施。

目前,该公司专员正与网络安全和恢复专家们合作,希望尽快解决问题。“但预计全面解决中断仍然需要时间,且期间部分运营和服务将无法正常进行。”

]]>
基金经理网恋被工厂女工骗近30万 对方已婚已育 Wed, 30 Nov 2022 16:23:54 +0800 近日,上海奉贤区人民检察院披露一起案件。50岁的罗某是一位基金经理,还是一位博士。2021年10月,他通过交友网站结识34岁女子殷某。殷某自称“张某某”,并精心编造了一个留学归来、事业有成的高端人设。两人很快发展成男女朋友关系,罗某也多次向殷某转账。期间罗某多次向殷某提出见面被拒,一日殷某终于答应见面,最终却没有露面。罗某担心殷某身体不适,选择报警。警方调查后才发现,殷某并非其编造的“张某某”,而是外地的一位工厂女工,家中有丈夫和一对儿女。殷某因工作的工厂拖欠工资,便骗取罗某钱款用于生活开销。2021年11月,奉贤区人民检察院依法对殷某批准逮捕。该案在进一步审查起诉中。

]]>
将机密藏在三明治中,美国夫妇因出售核潜艇机密被判入狱 Wed, 30 Nov 2022 16:23:54 +0800 据美国司法部网站消息,一夫妇因试图窃取核潜艇设计机密并出售,于11月9日正式被判刑入狱。

据称,44岁的被告乔纳森·托贝在任职海军核工程师期间,具备访问海军核推进装置机密信息,包括军事敏感的设计元素、性能特征以及核动力潜艇反应堆其他敏感数据的权限,他协同自己46岁的妻子戴安娜·托贝,试图将上述部分信息出售给外国政府。

根据法庭文件披露,泄密过程始于2020年4月1日寄给外国政府的一个包裹,其中包含美国海军文件、一封包含指令的机密信件以及一张加密SD 卡,并附有“建立秘密关系可以购买额外的机密信息”的说明,寄件人地址为在宾夕法尼亚州的匹兹堡。FBI在了解到泄密情报后,于 2020 年 12 月派出一名冒充为对方国家政府代表的卧底,通过ProtonMail 加密邮件与取得联系。

在2021 年 4 月至 2021 年 6 月与乔纳森的交流中,这名FBI卧底在同意以门罗币加密货币支付报酬后,说服被告将其他美国海军机密信息传送到西弗吉尼亚州杰斐逊县的一个情报秘密传递点(dead drop)。期间,乔纳森也曾表现出对这名卧底的不信任,表示在将机密信息送至情报秘密传递点之前可能不会再与他进行沟通。

2021 年 6 月 26 日,乔纳森将一张加密 SD 卡藏进半个花生酱三明治中,放置在了预先约定的地点,而他的妻子负责望风。在向他们支付2万美元报酬后,FBI收到了解密密钥,审查发现,其中包含与潜艇核反应堆有关的军事敏感信息。8月28日,乔纳森将另一张加密SD卡藏在口香糖包装中,放置在了另一个位于弗吉尼亚州东部的约定地点。FBI在支付7万美元报酬后收到了解密密钥,其中也包含与潜艇核反应堆有关的敏感数据。

2021 年 10 月 9 日,在按约定将第三张SD卡交付后,这对夫妇被FBI 和海军刑事调查局 (NCIS)逮捕,并于 2022 年 2 月认罪。在11月9日的审判中,乔纳森·托贝被判处19年监禁,其妻子戴安娜·托贝被判处21年监禁。

据《华盛顿邮报》的报道,乔纳森·托贝对出售这些机密信息早已蓄谋已久,甚至为事情败露预留了护照和现金。在一封写给外国的信中,乔纳森称,“这些信息是在我的正常工作过程中,经过几年的缓慢而仔细地收集的,以避免引起注意,每次都是几页纸,偷偷通过安检。”

美国检察官 Cindy Chung 表示,乔纳森·托贝受托负责并保护国家机密,但他和其妻子的做法将国家的安全置于风险之中,是对忠诚无私的海军军人的背叛,其罪行的严重性怎么强调都不为过。

]]>
虚假马斯克账号都能认证?Twitter Blue订阅引发冒牌危机 Wed, 30 Nov 2022 16:23:54 +0800 据Bleeping Computer 11月10日消息,Twitter在近期推出的“ Twitter Blue”蓝色认证功能已开始被网络不法分子以冒充的形式滥用,让这项每月需花费7.99美元的订阅服务的认证机制及安全性受到质疑。

Twitter Blue订阅服务能够为用户账号提供优先推文、更少的广告、发布更长的媒体内容等特权,而最引人注目的特征,则是会在账号名称后面加上一个表示“已验证”的蓝色徽标。在过去,这一标识只对知名人士和组织机构的帐号开放。

这项订阅一经推出,就遇到了滥用风险,攻击者可以仿冒他人账户,并畅通无阻地通过认证。比如著名游戏发行商Rockstar Games出现了名为“RockstarGamse”的已认证仿冒账号。而一些名人,比如特朗普,甚至连马斯克本人的账号都没能幸免。在马斯克的例子中,虚假帐号直接从马斯克的真实帐号全盘复制个人资料,并通过了Twitter Blue认证。

到目前为止,区分是否经Twitter Blue订阅认证的账号的唯一方法是点击账号的蓝色认证徽标,查看弹窗中的认证说明信息,过去以知名人士或组织机构身份认证的账号会被描述为“此账号被识别为政府、新闻、娱乐或其他相关机构的可信账号”。

11月初,马斯克在接管Twitter后正式推出Twitter Blue订阅服务,在此之前,马斯克就曾表示,要改进该平台的认证流程,但Twitter Blue所带来的这一混乱局面已经引发诸多不满。面对这一情况,马斯克表示将积极打击假冒和欺骗行为,任何假冒账号将会在不提前警告的情况下直接被永久停用。

]]>
隐私问题罗生门?苹果因涉嫌侵犯用户隐私被提起诉讼 Wed, 30 Nov 2022 16:23:54 +0800 尽管苹果公司的市值不断上升,但苹果的麻烦也一直不断,尤其是在诉讼方面苹果一直是科技公司的重灾地,此前就有关于劳资、著作权等方面的诉讼,不过这一次苹果竟然栽在了其一直引以为傲的安全隐私上。苹果一直标榜自己的系统安全稳定,并珍视用户信息,但根据最新的诉讼消息来看,对于隐私权的尊重,或许它们过于言过其实了。

新的诉讼是来自一份来自11月发表的报告,这位用户发现在iOS 14.6系统下,App Store、Apple Music、Apple TV和Books的“详细使用数据被发送到苹果”。研究人员称,股票发送的可识别信息比其他应用程序少。据报道,发送的数据与一个可以识别用户的标识符相关。据报道,这种行为在iOS 16中仍然存在,但研究人员无法检查发送的数据是什么,因为这些数据都是加密发送的。研究人员确实对Gizmodo说,在任何隐私设置的组合下,健康和钱包都没有发送类似的数据。所有数据都被发送到与iCloud的阵列不同的服务器。

原告表示,“苹果公司的做法侵犯了消费者的隐私;故意欺骗消费者;使苹果公司及其员工有权了解有关个人生活、兴趣和应用程序使用的亲密细节;并使苹果公司成为任何想破坏个人隐私、安全或自由的政府、私人或犯罪行为人'一站式购物'的潜在目标。通过其普遍和非法的数据跟踪和收集业务,苹果甚至知道用户应用使用的最私密和潜在的尴尬方面--无论用户是否接受苹果虚幻的提议来保持这些活动的隐私”。

苹果也曾明确表示过,其广告平台不会将用户或设备数据与从第三方收集的数据连接起来,以进行定向广告。他们还说,他们不会与数据收集公司分享用户设备或设备识别,无论是App Store,还是iPhone本身。但根据原告所提供的证据却证明了苹果公司正在欺瞒它的用户,并且涉嫌侵犯了受第四修正案保护的隐私区域",并违反了几十个州关于窃听和侵犯隐私的刑事法律,而第四修正案在这里似乎也并不适用。

原告希望该诉讼寻求“赔偿和所有其他形式的公平金钱救济”,以及法院可能认为适当的禁令救济。要求进行陪审团审判。目前还不清楚该案何时或是否会得到审理。

]]>
知名会计事务所被拿下,近期LockBit勒索软件动作频频 Wed, 30 Nov 2022 16:23:54 +0800 据SecurityAffairs 11月6日消息,勒索软件组织 LockBit从知名会计事务所Kearney Company 窃取了数据并索要赎金。

Kearney主要为政府单位提供财务管理等多种服务,目前为一些美国联邦政府机构提供审计、咨询和 IT 服务,提高政府运作效率。

据悉,LockBit于11月5日正式公开了勒索消息,要求Kearney & Company 在11月26日前支付200万美元赎金,否则将发布被盗数据。目前LockBit已经公布了一份被盗数据样本,其中包括财务文件、合同、审计报告、账单文件等。

而就在上周,LockBit还攻击了德国著名跨国车企大陆集团(Continental)和国防巨头Thales,LockBit勒索软件近期可谓是异常活跃。

 强大且危险的LockBit 3.0 

回望 LockBit短短三年的发展历史,自2019年9月首次出现以来就经历了三次重大更迭,每一次升级都让它的攻击实力得到大幅增强。最新版的LockBit 3.0于今年6月底推出,其中包括了勒索软件以前从未有过的漏洞赏金计划,该计划提供最高100万美元的优厚报酬,让LockBit得以持续优化改进。为了提高隐蔽性,Lockbit 3.0 接受 Zcash、门罗币以及比特币的赎金支付。

]]>
加拿大最大肉类生产商被黑:部分运营中断 食品供应受影响 Wed, 30 Nov 2022 16:23:54 +0800 11月11日消息,加拿大肉类生产巨头Maple Leaf Foods(也称枫叶食品)在上周日(11月6号)证实,经历了一起网络安全事件,导致系统与运营中断。

Maple Leaf Foods是加拿大最大的预制肉类与家禽食品生产商,共拥有21处制造工厂、雇佣14000名员工,并承包超700处库房。2021年,该公司总销售额达33亿美元。

恶意黑客经常在周末发动网络攻击,这是看准目标正在放假、应对人手不足,希望最大限度提高成功机率。

尽管攻击者时机选得不错,但这家加拿大包装食品巨头表示,其IT团队还是立即采取了应对措施。

目前,该公司专员正与网络安全和恢复专家们合作,希望尽快解决问题。

Maple Leaf Foods在公告中表示,“我公司正在执行业务连续性计划,着手恢复受到影响的系统。”

“但预计全面解决中断仍然需要时间,且期间部分运营和服务将无法正常进行。”

Maple Leaf Foods表示将继续与客户及合作伙伴携手,尽量缓和加拿大市场上的食品供应中断。

该公司发言人还在发给媒体的评论中指出,他们正在对事件开展调查,但尚未确定此次攻击是如何发生的。

声明提到,“中断已经造成部分运营和服务无法正常进行,具体情况依各业务部门、工厂和地点而定。”

至于接下来的恢复阶段,这位发言人预计系统恢复期间会继续发生中断,但他们会努力将这种影响降至最低。

“目前,我们专注于恢复业务连续性。”

该公司最后补充称,他们还未发现此次事件对其他合作伙伴造成的任何可能影响。

截至本文撰稿时,各网络犯罪论坛或勒索软件团伙门户上也尚未列出关于Maple Leaf Foods的任何公告。

]]>
卧底揭秘:英国竟是印度黑客雇佣行业的大金主 Wed, 30 Nov 2022 16:23:54 +0800 非法黑客,也被称为“雇佣黑客”,活跃在世界各地。印度雇佣黑客在国际上十分活跃,收取高额费用入侵重要国家和人物的电子邮件和手机。

11月6日,《星期日泰晤士报》(The Sunday Times)和调查新闻局(Bureau of Investigative Journalism)的一项卧底调查,通过一个印度“雇佣黑客”团伙内部泄露的数据库,揭露了一些印度黑客替伦敦的企业情报公司入侵英国企业、记者和政界人士的电子邮件账户等攻击行为。

这些卧底爆料在西方企业情报圈引起了恐慌,因为许多企业都曾使用过印度雇佣黑客,尤其是英国企业。卧底记者与若干印度黑客取得了联系,探寻雇佣黑客的行业生态及其地下产业对英国的影响。

印度对雇佣黑客来说是一个特别有吸引力的地方,一方面印度对计算机违规行为执法力度轻,另一方面在一个拥有不同管辖权的遥远国家实施犯罪大大降低了被抓或被起诉的风险。

在英国,黑客攻击最高可被判处10年监禁。印度也有类似的法律,非法入侵电脑会判处最高3年监禁。但印度的黑客们并不惧怕,因为尚且没有判决先例。这也是英国企业热衷雇佣印度黑客的原因之一。

Appin:印度雇佣黑客圈的“黄埔军校”

卧底记者们假扮成前军情六处(MI6)经纪人和非公开调查人员,潜入印度雇佣黑客行业。

雇佣黑客是近十几年的趋势,一些计算机安全公司假借训练“白帽”黑客之名,实则在为黑暗交易做准备。侵入私人电子帐户收获颇丰,也有很多客户愿意付钱,印度黑客产业由此兴起。

该行业的创始人之一是Appin公司,十多年前成立于德里,借口是培训新一代“白帽”黑客,帮助保护个人和企业免受网络攻击。

如今,Appin已经倒闭,据称它的客户包括英国的企业情报公司。Appin训练的黑客之一Aditya Jain,他的秘密数据库显示他攻击过卡塔尔的活动人士,这一行为也被《星期日泰晤士报》曝光。据一名前雇员向卧底调查人员透露,卡塔尔是Appin的客户之一。但卡塔尔方面对此持否认态度。

当Appin的攻击活动曝光后,其非法行为也随之结束。2013年,挪威网络安全专家将Appin与针对十几个国家的大规模网络攻击联系起来。有消息称,2021年,Appin的创始人Rajat Khare在英国政府贸易部门全球企业家项目的帮助下,在英国成立了一家企业。

Appin解散后,其前员工出走成立了新公司。一些公司在古尔冈(Gurugram)设立了办事处,古尔冈位于德里西南郊区30公里处,是德里的卫星城,大型科技公司如Meta、谷歌、推特都在这里设有办事处。

后起之秀BellTrox是印度雇佣黑客行业的关键玩家,该公司董事苏米特·古普塔(Sumit Gupta)曾在Appin工作。他曾和两名美国私人侦探一起开展大规模黑客行动,被列入美国司法部通缉名单。

2020年,加拿大网络安全监管机构公民实验室(Citizen Lab)公布的证据显示,BellTrox代表客户入侵了1万多个电子邮件账户,包括英国律师、政府官员、法官和环保团体的账户。

公民实验室发现,BellTroX的领英帐户有数百份员工认可。去年12月,脸书母公司Meta被迫删除了BellTroX在脸书运营的400个账户。

暴利收入:雇主花2万美元入侵一个电邮

由于黑客攻击的违法性,雇佣黑客行业高度保密,记者只能伪造身份接触黑客并进行秘密调查。

两名记者在梅菲尔创建了一家名为博福特的空壳情报调查公司,并假扮成最近退休的英国特勤局成员。

随后,记者联系疑似印度雇佣黑客的成员,称需要雇佣一名网络调查员收集客户目标信息。得到回应后,记者在二月飞往德里。

第一个回应的黑客自称“摩哂陀·辛格”,他的领英帐号列出的技能包括“安卓黑客”“手机监控”和“电子邮件追踪和渗透”。在和记者见面后,他表示在领英使用的是假名,他实际真名为泰·辛格·拉索尔(Tej Singh Rathore)。

拉索尔今年28岁。在科塔的拉贾斯坦邦科技大学学习信息技术时,他转而选择了“道德黑客”课程,因为他意识到这是一个“新兴行业”。

2014年,拉索尔以一级学位毕业后,在印度西北部城市阿姆利则的一家网络安全公司找到了一份工作。但他的老板告诉他,电脑“攻击性工作”(黑客术语)的报酬比保护系统的“防御性工作”高得多。

于是拉索尔选择单干,在领英上向企业情报公司兜售他的黑客技能。他接的工作案例背景多为婚姻纠纷、商业间谍和谋杀。

拉索尔的第一位顾客是新泽西州的酿酒师,她在离婚诉讼前委托拉索尔黑进丈夫的电子邮件,以了解丈夫的财务状况。

另一位出价颇高的顾客是比利时的马术师,他委托拉索尔黑入德国一个富有的马厩主。拉索尔回忆,这位顾客愿意付2万美元黑入一个电子邮件账户。

他还卷入了加拿大最臭名昭著的双重谋杀案。2017年12月,亿万富翁巴里·谢尔曼和他的妻子哈尼被发现被皮带勒死在多伦多家中的室内游泳池旁。拉索尔被雇来破解谢尔曼的电子邮件帐户。

几年之内,拉索尔的黑客业务蒸蒸日上。他表示,入侵一个电子邮件账户收取3000至2万美元的费用。目前,他已在英国、北美、香港、罗马尼亚、比利时和瑞士建立了企业情报客户。

背后大主顾:英国企业情报公司

拉索尔对卧底记者表示,大多数英国私人调查公司都雇佣印度黑客,“英国和整个世界… …都在使用印度黑客。”他表示,英国公司雇佣印度黑客已超过10年,大多是该行业两大巨头Appin和BellTroX的客户。

2019年,他通过领英与英国企业情报公司联系,首次被英国公司雇佣。对黑客来说,英国是一个富矿。“英国有很多公司,他们正在寻找同样的(黑客)服务,”他告诉卧底记者。

2020年,他被委托入侵苏格兰精酿啤酒公司Brewdog的前经理本·杜克沃斯的帐户。杜克沃斯曾公开批评该公司,离开Brewdog后,他在伦敦南部的布里克斯顿建立了自己的酿酒厂Affinity Beers。

拉索尔假扮成一名希望收购Affinity的酿酒商,给杜克沃斯发了一封钓鱼邮件,“我是一名意大利商人,我有意向投资贵公司并占股40%。”杜克沃斯点击了钓鱼邮件,拉索尔因此轻松获得了他的账户密码。

当《星期日泰晤士报》和联邦调查局将拉索尔的陈述告知杜克沃斯时,他表示不知自己被黑客攻击。精酿啤酒公司Brewdog则否认雇佣黑客实施攻击。拉索尔并不清楚最终客户的身份,他只与私人侦探打交道并拒绝透露私人侦探的名字。

拉索尔不仅仅是一名黑客,他还受雇为一位英国政治家做声誉管理工作。他表示,2021年初,一家总部位于伦敦的企业情报公司向他支付了1500英镑,替61岁的马修·戈登·班克斯(Matthew Gordon Banks)掩盖一件丑闻。拉索尔耗时一个月发布这位政客的正面消息,以覆盖之前在谷歌搜索信息流中的丑闻。这项名誉管理工作于去年4月成功结束,但随着时间推移,效果逐渐减弱。上周,戈登·班克斯否认使用过声誉管理服务。

印度雇佣黑客的培养

卧底记者接触的另一位黑客是乌特卡什·巴尔加瓦(Utkarsh Bhargava)。他常驻班加罗尔,有近10年黑客经历。

他告诉记者,他最初在印度工程师学会学习计算机科学,随后立即在德里的一家公司找到了一份工作从事黑客攻击,同期毕业的17位学员都服务于该公司。

他将该公司描述为印度政府的“国土安全公司”,称该公司十分神秘,与印度政府合作十分密切,进行黑客攻击类工作。

当时公司的培训由Appin负责,巴尔加瓦接受了一年的黑客培训,他还记得Appin的黑客为中东的客户工作,例如卡塔尔、迪拜、巴林、科威特、沙特,窃取“任何东西”。

在Appin学习之后,巴尔加瓦称接到印度政府命令,对土耳其、巴基斯坦、埃及和柬埔寨政府进行一系列网络攻击,目标通常是国家部委的秘密文件和档案。“我们的任务是获取数据转储并将其移交给(印度)机构… …(目标)包括外交部、内政部、国防部、财政部。这取决于他们在需要什么样的情报。”

2016年9月,巴尔加瓦离开了这家为印度政府工作的公司,加入了蓬勃发展的商业雇佣黑客行业,在博帕尔成立了自己的公司Aristi Cybertech Private Limited,从事私人黑客工作。

他每个项目收费1万至1.5万美元,为法国、奥地利、德国、意大利和泰国客户工作。一位名为Muller的奥地利客户在2020年夏天委托他黑掉埃及航空公司的乘客名单。他回忆,“操作起来非常简单,埃及航空公司的IT信息没有合适的安全配置。”

趁手利器:解构Pegasus间谍软件

巴尔加瓦甚至声称可以访问以色列NSO集团开发的Pegasus(飞马)间谍软件的源代码。Pegasus是最强大的网络武器之一,可以秘密安装在目标手机上,并可以提取WhatsApp、Signal和Telegram等加密消息应用程序。它还可以让黑客远程控制手机的摄像头和麦克风、下载设备的所有内容。

他表示,他在2019年发现了Pegasus源代码,并声称他和一些商业黑客利用Pegasus为客户提供服务。Pegasus可以持续监控目标的位置,如果受害者的GPS定位打开,黑客甚至可以进行实时跟踪。

巴尔加瓦给记者们发了一份他们部署的Pegasus代码。记者将代码交给Amnesty International安全实验室核验,研究员艾蒂安·梅尼尔确认,这些代码确实是一段“解构的Pegasus代码”。

梅尼尔称,为了实现可用性,黑客需要重新打包代码,并建立一个“在线操作中心”来接收被黑客攻击的数据。NSO集团则否认Pegasus代码已经泄露。

对黑客来说,部署间谍软件时受害者的手机会发热且运行速度明显变慢。因此,他们需要研究受害者的日常活动,以确定他们不使用手机的时间。

对于大多数目标,巴尔加瓦在凌晨时分窃听他们的电话。对于虔诚的中东目标,黑客一般选择在周五的礼拜时间发起攻击,这段时间他们不会看手机。

除了上述两位雇佣黑客,卧底记者还和前印度陆军跨境情报部门指挥官拉姆·希拉尔准将会面,他负责监管网络部门,直到2014年退休。退休后,他在古尔冈成立了一家名为Phronesis的公司。公司通过挖掘暗网来获取个人数据,有若干个英国企业情报客户。

]]>
乌克兰“网军”入侵俄罗斯央行,公布大量敏感数据 Wed, 30 Nov 2022 16:23:54 +0800 11月9日消息,乌克兰黑客分子称已成功入侵俄罗斯中央银行,并窃取到数千份内部文件。

外媒The Record审查了上周四(11月3日)公开发布的部分“被盗”文件,总计2.6 GB,包含27000个文件。从内容上看,这些文件主要涉及银行运营、安全政策以及部分前任/现任员工的个人数据。

黑客分子们在Telegram上写道,“如果俄罗斯央行无法保护自己的数据,又怎么保证卢布的稳定?”这起入侵事件出自乌克兰IT军成员之手,该组织在俄乌战争爆发后建立,有超20万名网络志愿者,各成员协同对俄罗斯网站开展分布式拒绝服务攻击。

中央银行是俄罗斯最重要的金融机构之一,也是该国货币政策制定者和国家货币监管者。据俄罗斯媒体报道,央行方面否认其系统遭黑客入侵,并表示这些所谓外泄文件原本就存放在公开域内。

泄露数据时间跨度大,涉及未来战略规划

这已经不是黑客首次宣称攻破俄罗斯央行。今年3月,匿名者(Anonymous)组织的黑客曾声称,从俄央行处窃取到35000份文件,并发布到了网上。

数据安全公司Very Good Security的分析师Kenneth Geers认为,“对于间谍、媒体和人权活动家们来说,这次泄露的文件可能是个宝库,其中也许包含会对俄罗斯造成灾难性打击的消息和故事。”

到目前为止,还很难断言这批泄露文件到底有多重要。部分已公开的文件可以追溯到近20年前,还有一些文件概述了俄罗斯央行未来两年的战略。

部分文件详细说明了俄罗斯用国内技术替代进口计算机程序/软件的政策,旨在“确保银行支付系统能顺利运行”。

由于俄乌战争爆发后的国际制裁,不少跨国科技企业目前已退出俄罗斯市场或暂停运营,迫使俄罗斯方面寻求国内替代方案。

乌克兰IT军还发布了其他一些文件,据称其中包含俄罗斯军人的个人数据、电话号码和银行账号。

俄乌冲突爆发后,俄罗斯银行业屡遭网络攻击

自俄乌开战以来,俄罗斯银行一直是乌克兰黑客们最热衷于攻击的目标。今年9月初,乌克兰IT军还入侵了俄罗斯第三大银行Gazprombank(俄罗斯天然气工业银行)。

据乌克兰IT军称,该银行网站在DDoS攻击下瘫痪了四个小时,导致客户无法付款、访问个人账户或使用手机银行。

IT军一位代表在采访中表示,“为了成功完成攻击,我们遍历了对方的整个网络并从中找到了漏洞。”

为了绕过俄罗斯的DDoS保护服务,IT军宣称创建了一款“特殊程序”,能够“以非标准方式攻击系统,因此对方很难抵挡。”

俄罗斯天然气工业银行证实了9月的黑客攻击事件,副总裁Olexander Egorkin甚至称赞了乌克兰黑客的“创造力”和“专业精神”。

Egorkin在9月的一次会议上表示,“这次攻势极为猛烈,就连俄罗斯最大的电信运营商Rostelecom都感到压力巨大。”尽管如此,目前还无法断言IT军在俄乌之间的网络战进程中究竟起到了怎样的作用。只能说部分行动确实暂时性扰乱了俄罗斯的业务,或者至少引发了俄方关注。

据俄罗斯媒体报道,自俄乌开战以来,俄罗斯银行业对于网络攻击和数据泄露的防御性服务需求开始急剧增加。

随着思科、IBM、甲骨文、Imperva、Fortinet、诺顿和Avast等全球技术与网络安全厂商纷纷退出俄罗斯,俄罗斯企业也更易受到网络攻击影响。

这也从另一方面鼓舞了IT军的士气,他们坚称,“我们的目标仍旧不变:让银行难以正常支付、拖慢财务履约速度,把怀疑的种子播撒在收款人们的心中。”

]]>
澳国防部遭黑客袭击,军人信息被泄露! Wed, 30 Nov 2022 16:23:54 +0800 据英国《卫报》10月31日报道,一场影响到澳大利亚国防部网站的黑客攻击,可能导致澳大利亚现役和退役军人之间多达4万份私人通信数据面临泄露风险。

澳大利亚国防部周一证实,在负责运营该国国防部内部通信平台ForceNet的外部ICT服务供应商遭到黑客攻击后,一些数据可能已经泄露。

澳大利亚退伍军人事务和国防人员部部长马特·基奥(Matt Keogh)将ForceNet描述为“一个内部通信平台”,涉及的数据库来自2018年,其中包含3万到4万份记录。

基奥说,澳国防部仍然相信没有个人数据被窃取,但仍在努力确认哪些现役和退役人员包括受雇于该部门的公务员,可能会受到影响。

他补充说:“我们正在与外部供应商合作,以确保全面了解该数据库包含哪些数据,哪些是可被获取的。我们了解到,(遭黑客攻击的)外部供应商那里总共保存着大约3万到4万份记录。我们正在努力全面了解可能涉及的人员有哪些。”

根据ForceNet网站介绍,该通信平台供澳大利亚军方和国防部门内部使用,旨在“促进可回查的沟通和信息共享,包括一对一和一对多,也包括在紧急情况下有针对性的沟通和支持以及对特定人员的支持”。

该网站在常见问题解答部分写道:“这意味着ForceNet用户可以确信,他们的信息和内容只会被其他已授权的用户看到。”

基奥表示,澳大利亚发生的一系列网络攻击事件令人担忧,其中包括针对电信供应商澳都斯(Optus)和私人保险公司Medibank的攻击。这些攻击凸显出人们需要对自己的个人信息保持警惕,政府则需要确保各机构采用充分的安全措施。

另据澳大利亚广播公司报道,技术专家认为,澳大利亚之所以成为黑客的攻击目标,是因为该国缺乏足够数量的、专业技能过硬的网络安全人员。

]]>
网络攻击迫使丹麦最大铁路公司火车全部停运 Wed, 30 Nov 2022 16:23:54 +0800 11月7日消息,由于受到网络攻击影响,欧盟国家丹麦在上周六(11月5日)出现多列火车停运。该事件再次证明,针对第三方IT服务提供商的攻击会对物理世界造成重大破坏。

据丹麦广播公司DR报道,上周六早上,丹麦最大的铁路运营公司DSB旗下所有列车均陷入停运,连续数个小时未能恢复。

从现象来看,这似乎是针对DSB运营技术(OT)系统实施恶意攻击的事件。但实际恰恰相反,遭受攻击的是丹麦公司Supeo,该公司专为铁路、交通基础设施和公共客运提供资产管理解决方案的外包供应商。

Supeo可能经受了一次勒索软件攻击,但该公司并未披露任何信息。DSB方面的一名代表告诉路透社,这是一起“经济犯罪”。

在发现黑客攻击之后,Supeo决定关闭其服务器,导致列车司机们使用的一款软件无法正常工作,最终引发了列车运营中断。

Supeo公司提供了一款移动应用,可供火车司机访问运行的各项关键运营信息,例如限速指标和铁路运行信息。据媒体报道,Supeo关闭服务器的决定令该应用停止工作,司机们只能被迫停车。

攻击铁路部门的恶意黑客并不少见,最近一段时间的受害者包括白俄罗斯、意大利、英国、以色列和伊朗。虽然研究人员已经证明,现代火车系统确易受到黑客攻击影响,但近期攻击活动针对的主要是铁路网站、票务及其他IT系统,没有直接针对控制系统。

美国运输安全管理局(TSA)最近发布一项新指令,希望改善铁路运营中的网络安全水平。

]]>
德国跨国汽车巨头大陆集团遭LockBit勒索软件组织攻击 Wed, 30 Nov 2022 16:23:54 +0800 据BleepingCompuer11月3日消息,知名勒索软件组织LockBit宣布他们对德国跨国汽车集团大陆集团( Continental) 发动了网络攻击。

LockBit声称,他们窃取了大陆集团系统中的一些数据,如果不能在11 月 4 日 15:45:36(北京时间23:45:36)之前收到赎金,他们将在数据泄露网站上公开这些数据。

目前LockBit尚未透露赎金的具体金额,以及窃取数据的具体时间及其他任何细节,但由于显示支付赎金的倒计时页面仍在刷新,表明大陆集团还尚未与勒索软件进行谈判,已经决定拒绝支付赎金。

今年8月,大陆集团系统曾遭到过攻击者入侵,事后公司声称立即采取了所有必要的防御措施,并在外部网络安全专家的支持下,对事件进行调查,公司业务没有受到任何影响。BleepingCompuer向大陆集团 询问这起事件是否和此次LockBit的勒索攻击相关,大陆集团美国公司传播与营销副总裁 Kathryn Blackwell 给出了否定的回复,并称无法提供更进一步的任何细节。

LockBit 勒索软件于 2019 年 9 月作为勒索软件即服务 (RaaS) 首次出现以来,已经制造多起重大勒索攻击事件。就在今年,LockBit 曾分别向意大利国税局和安全巨头Entrust发动过勒索攻击。

]]>
波音子公司遭网络攻击,致使全球多家航司航班规划中断 Wed, 30 Nov 2022 16:23:54 +0800 11月4日消息,美国航空航天巨头波音的全资子公司Jeppesen是一家位于科罗拉多州的导航与航班规划工具供应商。该公司昨天证实,由于发生网络安全事件,导致部分航班被迫中断。

11月2日(本周三),Jeppesen公司网站上出现了红色提示条幅,警告称“我们的部分产品、服务和沟通渠道出现了技术问题”。

波音公司一位发言人透露,这是一起网络安全事件,Jeppesen方面正在努力恢复服务。

该发言人表示,“我们的子公司Jeppesen遭遇到网络事件,已经有部分航班规划产品和服务受到影响。部分航班规划被中断,但目前我们判断此次事件应该不会对飞机或飞行安全构成威胁。我们正与客户和监管机构沟通,并努力在最短时间内全面恢复服务。”

尽管航班中断的严重程度还不明确,但此次事件至少已经影响到当前及后续空中任务通知(NOTAM)的接收和处理。NOTAM是指向航空当局提交的通知,用于提醒飞行员注意航线上的潜在危险。

伊拉克航空、沙特Flynas航空、加拿大太阳之翼航空均发布公告,称Jeppesen系统发生了中断。Flynas表示部分航班被重新调整,太阳之翼还称北美多家航司受影响。

旅游博客Live And Let’s Fly的博主Matthew Klint称,有消息人士透露,此次事件属于勒索软件攻击。但波音发言人称系统“仍处于活动状态”,暂时无法证实事件与勒索软件有关。

航空业网络威胁形势日趋严峻

当前,航空业已经成为网络攻击乃至勒索软件攻击的高频目标。

今年5月,印度香料航空(SpiceJet)公司报告称遭受勒索软件攻击,导致众多乘客因航班停飞在滞留在机场。今年8月,为多家大型航空公司提供技术方案的Accelya称遭受勒索软件攻击,幕后黑手为BlackCat团伙。去年8月,曼谷航空公司称有黑客对其发动勒索软件攻击,事后还通过入侵窃取了乘客信息。

据报道,波音公司也在2018年受到广泛传播的WannaCry勒索软件的打击,好在服务很快恢复了正常。波音公司发言人接受《西雅图时报》采访时称,“漏洞只影响到几台设备。我们部署了软件补丁,所以包括777喷气式飞机在内的所有项目均未发生中断。”

今年8月,美国运输安全管理局(TSA)出台规定,强制要求各航空公司在24小时内向网络安全与基础设施安全局(CISA)上报一切网络安全事件。

]]>
黑客长期潜伏国内一外贸企业邮箱,骗走200余万美元货款 Wed, 30 Nov 2022 16:23:54 +0800 本报讯近日,杭州钱塘一家外贸企业的电子邮箱遭不法分子入侵,导致企业险些被骗200余万美元货款。

当日,该企业工作人员在查询订单时发现,一海外客户于几日前收到了企业生产的货物,但一笔90万美元的货款始终未如约支付。该工作人员第一时间联系客户催款,对方却告知早已将货款汇至电子邮件里提供的指定账户。

该工作人员立即意识到,企业邮箱很可能遭到黑客非法入侵并恶意篡改,便向杭州市公安局钱塘区分局前进派出所报警求助。前进派出所立即将相关情况上报,钱塘区公安分局网警大队高度重视,联合前进派出所迅速介入调查。

“根据我们的调查,黑客是通过木马程序侵入了这家企业的邮箱,并长期潜伏,发现双方交易后,篡改了企业发送给国外客户邮件中的收款人信息及收款账户,致使客户根据邮件信息,将货款打进了黑客的账户。”前进派出所副所长钟嘉淇介绍说,在开展调查的同时,钱塘警方第一时间开展紧急止损。由于这笔货款需要在银行中转,警方介入时,这笔货款仍在中转流程中,警方通过及时申诉支付冻结,将全部货款顺利追回。

“警察同志,多亏有你们,不然我们公司损失就大了!”事后,该企业负责人给前进派出所送来锦旗,感谢警方帮忙挽回了巨额损失。

据钱塘警方介绍,此类黑客作案手法具有较强的针对性,侵害对象以与境外客商有业务往来的企业为主。警方提醒,如收到有关收款银行账号变更的邮件,一定要提高警惕,通过电话等多种方式再次确认。

此外,如果发现邮箱被盗,应立即修改邮箱密码,并在“自动转发”里删除盗取者的邮箱,避免邮件仍被抄送出去;同时应立即告知现有客户相关情况,对于任何关键信息的修改,如银行账号变动、订单详情变化,需通过传真及电话进行双重确认。如客户已打款,应尽快向公安机关报案,从而及时挽回损失。

]]>
英媒:前英国首相特拉斯私人手机被俄黑客入侵 Wed, 30 Nov 2022 16:23:54 +0800 据英国《每日邮报》称,这些网络黑客已经获得了与主要国际合作伙伴的绝密交流以及与他的朋友英国保守党政治家 Kwasi Kwarteng 的私人对话。此外,一位消息人士称,手机受到严重破坏,目前放在封闭的保险箱中并处于一个国家机关的保护下。

网络间谍在夏季保守党领导竞选期间入侵了特拉斯的手机,当时特拉斯正担任外交大臣。网络间谍获得的一些信息包括特拉斯女士对约翰逊先生的批评,这些信息可能被用来勒索这位政客。

专家还认为,这些信息包括与国际外交部长就乌克兰冲突进行的对话,可能与武器运输有关。

作为对黑客攻击的回应,特拉斯女士在成为总理前不久被迫更换了她的手机号码,这也解释了为何特拉斯成为首相前被迫更换了使用十多年的手机号码。

俄罗斯间谍涉嫌侵入的结果造成最近一年含有与外国政治家以及与自己朋友和同党派人士夸西·克沃滕通信的秘密数据被下载。在通信中特拉斯与英国盟国外长们,特别包含有向乌克兰提供西方武器的细节数据,该事件引起了英国政府内部的担忧。

“这非常严重,它显示了来自国家的威胁对我们造成伤害的严重性,以及为什么政府中的每个人都需要如此认真地对待网络安全。我们需要知道政府认识到这件事的严重性。” 影子内政大臣伊薇特库珀说。

据悉,政府发言人试图淡化这一事件,并解释说政府采取了强有力的措施来保护其基础设施免受网络威胁。

“我们不对个人的安全安排发表评论。政府拥有健全的系统来防范网络威胁。这包括为部长们提供定期安全简报,以及保护他们的个人数据的建议。” 发言人说。

]]>
美国财政部:2021年金融机构因勒索攻击损失超12亿美元 Wed, 30 Nov 2022 16:23:54 +0800 11月2日消息,美国金融监管机构发布报告称,2021年勒索软件攻击与赎金支付数量再创历史新高,多数勒索软件变种的幕后操纵者据信与俄罗斯有关。

总体来看,2021年金融机构根据美国《银行保密法》要求上报的勒索攻击总损失,已经由前一年的4.16亿美元骤升至12亿美元。

这些数据出自周二美国财政部下辖金融犯罪执法网络(FinCEN)发布的最新报告。

图片

2021年内上报事件总计1489起,远高于2020年的487起。研究人员报告称,“勒索软件持续对美国各关键基础设施部门、企业及公众构成重大威胁。”

报告写道,“过去两年以来,勒索软件攻击者开始从广撒网转向针对性入侵,通过精心挑选受害者、重点针对大型企业和提出高额赎金要求等方式,尽可能提高‘投资’回报。”

与此同时,美国白宫周一举办反勒索软件倡议全球峰会,接待来自30多个国家/地区的代表,共商勒索软件难题的解决之道。目前,勒索软件在全球范围内日益猖獗。

值得注意的是,俄罗斯官员缺席了此次会议。FinCEN表示,绝大多数勒索软件攻击均可溯源至俄罗斯。

报告发现,目前五大顶级勒索软件变种均与俄罗斯有关,而且近70%的勒索攻击事件“与俄罗斯、其代理人或俄方行动代表有关。”

报告指出,“虽然很难确定恶意软件的具体归属,但从这些变体的开源信息中确实发现了一些共性,例如使用俄语代码,通过编码刻意绕开俄罗斯或其他前苏联国家,主要在俄语网站上投放广告等。”

今年下半年,勒索软件攻击数量急剧增加。7月1日后上报的攻击事件已经达到793起,而俄罗斯恶意软件变种继续在其中占比四分之三。

]]>
严惩入侵网课的“爆破猎手” 守护清朗网络空间 Wed, 30 Nov 2022 16:23:54 +0800 11月2日凌晨,一名网友在微博发文称,她的母亲是一名历史教师,10月28日上完网课后独自倒在了家里,两天后才被发现并确认因心梗去世。据该网友提供的信息,网课期间有人在会议室中通过语音辱骂、共享屏幕干扰课件投屏等多种方式再三刺激这位老师,最终导致了悲剧。

当地负责处理此事的相关负责人表示,这位老师上网课时确实多次遭到网暴,但猝死和遭遇网暴是否有关联,暂无法确定,公安机关已介入调查。目前,悲剧的最终原因尚待相关部门调查,但网课入侵现象已经引发了公众的广泛关注。

为了在做好防疫工作的前提下确保教学进度,各地上网课的现象越来越普遍。大多数情况下,网课能较好地保证教学秩序,但也难以彻底排除各种意外的发生。除了早期师生的设备、网络速度等硬件能否匹配之外,网课遭入侵已经越来越成为让人头疼的问题。

所谓网课入侵,就是指老师正在上课期间,有现在被称“爆破猎手”的黑客,进入网络课堂谩骂老师或学生,发各种和教学无关的文字、图文、音乐,甚至还有淫秽色情视频等,来干扰教学秩序。其原因较为复杂,有些是学生反感上网课,自己或者邀请“爆破猎手”来捣乱,实现把网课搞黄的目的;也有些是学生之间有矛盾,通过这种方式公开报复;还有些就是纯粹的恶作剧。

在部分熟悉网络文化的年轻人看来,这可能不算什么严重的事。遇见莫名其妙的发言,及时踢出网络教室就可以了。可是对一些年纪偏大或者不熟悉网络操作的教师,这场景就会比较尴尬。除了自己被莫名羞辱之外,在全班学生面前手忙脚乱,暴露自己在网络技术方面的笨拙,对自尊心也是一种伤害。虽然这次老师的不幸猝死和网暴之间的关系有待确认,但换位思考,她面对网暴时的无奈也是完全可以想象的。

对于这类明显违法的行为,既要事前防范,也要事后追惩。某互联网知名企业曾在9月份的时候发布了网络会议的新版本,其中就有“一键暂停与会者活动”功能,用以防止网课入侵。更多相关软件也不妨加入相应的功能,方便网上教学、网络会议的主持人维持秩序。

对所谓“爆破猎手”的网络入侵,要追查到具体的黑客,从技术上可能也不会很难。此前之所以一直被漠视,可能和类似入侵所造成的后果不大有关系。正如流传出的一些“爆破猎手”发言截图显示的,这类行为通常顶多就是搞黄一堂课。

但这次的悲剧说明,看似轻微的违法行为,一旦不被及时打击而蔓延,也可能造成意想不到的严重后果。所以,除了相关平台技术上的改进,对相关人员多做技术上的辅导之外,更重要的是对这类“爆破猎手”也要加强打击力度。

从此前媒体报道以及最近流传的网络截图看,“爆破猎手”似乎已经形成了某种灰产。“爆破猎手”们在一些社交平台煽动、诱导学生下单,请他们去入侵课堂。时下,线上教学、办公的人数不少,某些明目张胆的网络入侵行为,扰乱的不仅是虚拟空间的公共秩序,也给很多人的现实生活带来了实实在在的伤害。对这些“爆破猎手”,就应该进行及时、精准、严厉的打击,还公众一个安宁、清朗的网络空间。

]]>
台湾 2300 万人民信息泄露,黑客开价5000美元 Wed, 30 Nov 2022 16:23:54 +0800 近期,联合新闻网披露,有黑客在国外论坛 “BreachForums”上出售 20 万条中国台湾省民众的个人资料,并声称拥有台湾省 2300 万民众的详细信息。

台湾省某部门接到举报后立刻展开调查,初步调查结果显示,在售的 20 万条信息所有者主要集中在宜兰地区,且信息全部吻合,县长林志妙、民进党立委陈欧珀的个人信息也在其中。

泄露的信息非常详细

10 月 21 日早上,海外论坛 Breach Forums 出现一篇文章,一名ID为“OKE”的网友,在论坛兜售台湾省民众的详细资料,并表示这些资料是来自政府官网的数据。据悉,这些数据包括台湾省的人口记录,可以很容易地从这些数据中找到所有民众的兵役记录、教育记录和居住地址等个人信息。

中国台湾省某部门指出,论坛上出现的 20 万条个人资料,只是黑客抛出的样本,供买家 "测试",黑客会和有兴趣的买家打交道,事实上,想要这些数据的人大多是电诈团伙成员。

2300 万民众数据打包出售

该名黑客以 5000 美元(约 3.6 万人民币),将 2300 多万条数据 "打包 "出售,并强调可以用比特币支付。

陈欧珀 10 月 29 日表示,已于 25日掌握黑客在贩售户政资料的消息,前天已要求相关部门尽速查明。此外,陈欧珀指出“户政资料”被黑,引起岛内民众极大震惊,会造成大家心理上恐惧。

林姿妙也要求民进党当局赶快检讨,强调保护民众个资很重要。林姿妙阵营强调,户政资料外泄已经不是第一次了,掌管户政资料的部门要说清楚,不能每隔几年就外泄一次。

中国台湾省内政部否认资料泄露

有关部门在 29 日发布的新闻稿中指出,Breach Forums 论坛在售的民众个人资料内容格式与政府部门的资料差异甚大,相关资料并非从户政部门网站泄漏,目前检调单位已着手进行调查。此外,该部门一再重申没有资料被窃取,已由检警调查,其没有调查权,不清楚资料来源。

台湾省有关单位初步调查显示,此次在 Breach Forums 论坛上兜售的户政资料,是 2018 年相关资料介接时,由其他单位泄露的。对于这种说法,政府部门表示的确有这样的传言,但目前还无法证实。

最后该部门表示,论坛上贩售的资料,看似由多个数据库组合而成,资料真实性有相似度,已交由检警调调查,并强调户政部门资讯系统采内外网实体隔离架构,资料均妥善保存于内网中,并未流出。

]]>
欧盟最大铜矿公司遭网络攻击,IT系统被迫中断服务 Wed, 30 Nov 2022 16:23:54 +0800

10月31日消息,德国铜生产商Aurubis(中文名为奥鲁比斯)宣布遭受网络攻击,被迫关闭IT系统以防止影响蔓延。

Aurubis是欧洲最大、世界第二的铜生产商,在全球拥有6900名员工,年产阴极铜100万吨。

Aurubis已经在官网上发布公告,称虽然各地IT系统已经关闭,但正常生产并未受到影响。

图片

公告中指出,“冶炼厂的生产和环保设施正在运行,进出货物也已转入人工维护。”

目前,该公司仍在评估网络攻击引发的影响,并与政府当局密切合作以加快调查进度。

Aurubis的当务之急是将产量保持在正常水平,保证原材料供应和制成品的平稳交付。

为此,该公司已经将部分操作转为手动模式,希望能在计算机辅助自动化功能重新上线之前,尽量保持冶炼厂货物的正常进出。

Aurubis公司指出,暂时无法估算需要多长时间才能让全体系统恢复正常运行。

在全面复原之前,该公司计划建立过渡性解决方案,为自身及客户提供暂时沟通渠道。目前,联络Aurubis的唯一途径只剩下电话呼叫。

尽管种种迹象表明这似乎是一起勒索软件攻击,但Aurubis方面并未提供关于攻击细节的任何说明。

值得注意的是,Aurubis提到这次攻击只是“针对金属及采矿业的更大规模袭击中的一部分”。

外媒已经联系该公司,希望了解关于此次事件的更多消息,并将第一时间带回置评回复。

最近一次针对超大型金属生产商实施勒索软件攻击的事件发生在2019年3月,当时LockerGoga团伙实施攻击,迫使铝业巨头Norsk Hydro关闭了自家IT系统。

]]>
网络安全事件迫使斯洛伐克议会暂停会议,今年欧洲近十国议会遭黑 Wed, 30 Nov 2022 16:23:54 +0800 11月1日消息,欧洲内陆国家斯洛伐克议会IT系统遭遇网络安全事件,导致上周举行的会议被迫暂停。

上周四(10月27日),斯洛伐克议会议长鲍里斯·科拉尔(Boris Kollár)在电视简报会中解释称,为了着手调查此次安全事件,原定的议会投票被迫取消。

科拉尔在简报会上透露,“我们发现了一起网络安全事件……有一个信号来自某个点,干扰了我们的系统和计算机,甚至为议员们服务的自助餐厅都受到了影响。”

图片

斯洛伐克国家安全办公室(NSB)后续发表声明,确认收到了关于国民议会期间“网络安全事件”的报告。该办公室拒绝提供关于情况的更多细节,也没有回应置评请求。

值得一提的是,官员们给出的事件信息间存在冲突。有人说国民议会“报告称当天早上记录到IT服务中断”,并导致会议提前结束。但斯洛伐克国家安全局(NBU)发言人彼得·哈巴拉(Peter Habara)提醒说,这起(网络安全)事件可能不是网络攻击,只是普通的系统中断,网络攻击是一种“故意行为”。

据斯洛伐克共和国通讯社(TASR)发言人米凯拉·尤尔乔娃(Michaela Jurcová)介绍,“对这起网络安全事件的初步分析表明,网络通信确实出现了异常,结果导致所有组件功能均受到影响,包括接入网络基础设施的投票设备。”

该国执法机构目前正与国家安全局合作开展调查。

科拉尔称这起事件“非常严重”,并取消了11月8日之前的所有原定会议。他还指出,如果能早点解决问题,议会也可以考虑在下周重启会议。

斯洛伐克一些反对党派对事件本身以及应对决定提出了质疑。反对党政客安娜·泽马诺娃(Anna Zemanová)在采访中表示,把会议推迟到11月8日简直“荒谬”,并声称此次攻击可能是在故意拖延时间,避免执政党的几位政客在重要立法会议上缺席。

继罗马尼亚、意大利、立陶宛、挪威、波兰、芬兰和拉脱维亚之后,斯洛伐克成为又一个议会遭受网络攻击的国家。就在上周,保加利亚政府网站也受攻击影响,官员们将事件归咎于某亲俄罗斯黑客团伙。

据路透社报道,波兰议会上周四同样遭遇了网络攻击。

]]>
《安联智库-网安周报》2022-10-31 Wed, 30 Nov 2022 16:23:54 +0800

1、汤森路透3个数据库处于公开访问状态,至少包含3TB敏感数据

据Cybernews 10月27日报道,跨国传媒集团汤森路透公司至少有三个数据库处于开放状态,访客无需验证即可访问,里面包含敏感客户和企业数据以及明文格式储存的第三方服务器密码。攻击者可以利用这些细节进行供应链攻击。
Cybernews研究小组发现,汤森路透至少保留了三个任何人都可访问的数据库。其中一个是面向公众的ElasticSearch数据库,3TB大小,包含该公司各个平台的最新和最敏感信息。汤森路透已经发现该问题,目前已修复。
汤森路透为客户提供的产品和平台包括企业对企业媒体工具Reuters Connect、法律研究服务和数据库Westlaw、税务自动化系统ONESOURCE、编辑和源材料在线研究套件Checkpoint以及其他工具。
ElasticSearch数据库对威胁行为者来说是一个宝库,可以利用泄露的信息进行社会工程学攻击和勒索攻击,在地下犯罪论坛上可能价值数百万美元。
2、澳大利亚保险巨头遭拖库,390万用户信息全部泄露

澳大利亚医疗保险公司Medibank周三披露,在最近一次勒索软件攻击之后,其所有客户的个人信息都遭泄露。

根据该公司的调查,攻击者获得了 "大量的健康索赔数据",其中包含了ahm健康保险子公司和国际学生的个人数据。"我们有证据表明,罪犯已经删除了其中的一些数据,同时罪犯很可能已经窃取了个人和健康索赔数据,"该公司进一步补充说。因此,预计受影响的客户数量可能会大幅增加。

现该事件已成为澳大利亚联邦警察(AFP)调查的对象,与此同时,Medibank公司表述已被一个犯罪行为人联系,声称盗走了200GB的数据。

这些数据包含了名字、姓氏、地址、出生日期、医疗保险号码、保单号码、电话号码和一些索赔数据。这些索赔数据包括客户接受医疗服务的地点,以及他们诊断的信息。

3、“聊天”软件WhatsApp故障 全球多地用户受影响

25日,全球多个国家和地区的用户发现,自己无法正常使用即时通信应用WhatsApp,其中包括美国、英国、印度和新加坡等多地。

英国广播公司(BBC)25日报道称,许多人在社交媒体上抱怨他们无法发送或接收信息。不仅是英国,WhatsApp的崩溃在全球范围内引发很多网民强烈反应。统计数据显示,它在全球拥有约20亿活跃用户,在非洲、欧洲、印度和南美尤其受欢迎,2022年位居软件下载量第四名。

运营商报错网站Down Detector的数据显示,WhatsApp于美国东部时间3时许出现状况,并于美东时间5时左右基本恢复正常。美国《纽约时报》称,考虑到该软件的用户规模和其在许多国家作为不可或缺的地位,每一秒的访问障碍都会带来意想不到的后果。BBC称,此番WhatsApp的服务中断还在英国引发不小争议,因为政府官员也在使用该平台。此外,中国香港、南非、新加坡和印度等地也有该问题的报告。

路透社报道称,该事故发生后,Meta的股价下跌了0.7%。

4、俄罗斯联邦储蓄银行遭遇史上最大规模DDoS攻击

10月27日消息,俄罗斯最重要的银行之一俄罗斯储蓄银行(Sberbank)副总裁斯坦尼斯拉夫·库兹涅佐夫(Stanislav Kuznetsov)表示,该银行击退了其历史上规模最大的网络攻击之一,这次攻击持续了24小时零7分钟。

库兹涅佐夫周二对Rossiya 24电视台表示,DDoS攻击是一种拒绝服务攻击,涉及至少104000名黑客,他们在不同国家拥有至少30000台电脑。这位高级管理人员强调,尽管在这种条件下工作非常复杂,但该银行启动了先进的安全协议,并继续不受干扰地运营。

这位银行高管解释说,他们的团队找到了成功阻止网络攻击的必要资源。库兹涅佐夫补充道,今年迄今为止,Sberbank的系统至少遭遇了470次网络攻击,超过了过去七年中检测到的所有攻击。

]]>
俄罗斯联邦储蓄银行遭遇史上最大规模DDoS攻击 Wed, 30 Nov 2022 16:23:54 +0800 10月27日消息,俄罗斯最重要的银行之一俄罗斯储蓄银行(Sberbank)副总裁斯坦尼斯拉夫·库兹涅佐夫(Stanislav Kuznetsov)表示,该银行击退了其历史上规模最大的网络攻击之一,这次攻击持续了24小时零7分钟。

库兹涅佐夫周二对Rossiya 24电视台表示,DDoS攻击是一种拒绝服务攻击,涉及至少104000名黑客,他们在不同国家拥有至少30000台电脑。

这位高级管理人员强调,尽管在这种条件下工作非常复杂,但该银行启动了先进的安全协议,并继续不受干扰地运营。

这位银行高管解释说,他们的团队找到了成功阻止网络攻击的必要资源。

库兹涅佐夫补充道,今年迄今为止,Sberbank的系统至少遭遇了470次网络攻击,超过了过去七年中检测到的所有攻击。


]]>
澳大利亚保险巨头遭拖库,390万用户信息全部泄露 Wed, 30 Nov 2022 16:23:54 +0800 澳大利亚医疗保险公司Medibank周三披露,在最近一次勒索软件攻击之后,其所有客户的个人信息都遭泄露。

根据该公司的调查,攻击者获得了 "大量的健康索赔数据",其中包含了ahm健康保险子公司和国际学生的个人数据。

Medibank是澳大利亚最大的私人健康保险供应商之一,为全国约390万客户提供服务。

"我们有证据表明,罪犯已经删除了其中的一些数据,同时罪犯很可能已经窃取了个人和健康索赔数据,"该公司进一步补充说。因此,预计受影响的客户数量可能会大幅增加。

该公司还表示将继续调查,以确定具体哪些数据在这次攻击中被盗,并将直接通知受影响的客户。

现该事件已成为澳大利亚联邦警察(AFP)调查的对象,与此同时,Medibank公司表述已被一个犯罪行为人联系,声称盗走了200GB的数据。

这些数据包含了名字、姓氏、地址、出生日期、医疗保险号码、保单号码、电话号码和一些索赔数据。这些索赔数据包括客户接受医疗服务的地点,以及他们诊断的信息。

其他唯一可识别的个人信息,如与国际学生保单有关的护照号码也被非法访问,但Medibank表示,现没有发现任何证据能直接表明借记的细节已被破坏。

在一份单独的投资者公告中,Medibank表示,它已经加强了其监测能力,以防未来发生此类攻击。Medibank估计这次网络犯罪事件给他们带来的损失在2500万到3500万澳元之间。

同时建议客户对任何网络钓鱼或smishing诈骗保持警惕,该公司承诺为那些 "因为此次事件受损的客户 "提供免费的身份监测服务和财务支持。

事实上在Medibank被黑之前,澳大利亚电信巨头Optus的也遭受到网络攻击,导致其近210万名现有和以前的客户数据被盗。

这些明目张胆且具有破坏性的数据泄露事件促使澳大利亚政府出台了严格的数据保护法,其中就包括从目前的220万澳元上限提高到最高5000万澳元的货币处罚。

澳政府新出台的《2022年隐私立法修正案》也赋予澳大利亚信息专员更多的权力来解决隐私泄露问题。

澳总检察长Mark Dreyfus表明:根据最近几周的重大隐私泄露事件表明,现有的保障措施是不够的。我们需要更好的法律来规范公司管理他们收集的大量数据,以及更大的惩罚来激励更好的行为。

]]>
汤森路透3个数据库处于公开访问状态,至少包含3TB敏感数据 Wed, 30 Nov 2022 16:23:54 +0800 据Cybernews 10月27日报道,跨国传媒集团汤森路透公司至少有三个数据库处于开放状态,访客无需验证即可访问,里面包含敏感客户和企业数据以及明文格式储存的第三方服务器密码。攻击者可以利用这些细节进行供应链攻击。

Cybernews研究小组发现,汤森路透至少保留了三个任何人都可访问的数据库。其中一个是面向公众的ElasticSearch数据库,3TB大小,包含该公司各个平台的最新和最敏感信息。汤森路透已经发现该问题,目前已修复。

汤森路透为客户提供的产品和平台包括企业对企业媒体工具Reuters Connect、法律研究服务和数据库Westlaw、税务自动化系统ONESOURCE、编辑和源材料在线研究套件Checkpoint以及其他工具。

ElasticSearch数据库对威胁行为者来说是一个宝库,可以利用泄露的信息进行社会工程学攻击和勒索攻击,在地下犯罪论坛上可能价值数百万美元。

据了解,该数据库开放了好几天,恶意机器人能够在短短几小时内侦测到。汤森路透快速解决了该问题,并表示它只影响“汤森路透全球一小部分客户”。

汤森路透服务器内ElasticSearch索引的命名表明,这个开放的数据库被用作日志服务器,以收集用户-客户互动的大量数据。开放数据库还包含登录和密码重置日志。虽然这些日志不会暴露旧密码或新密码,但可以看到帐户持有人的电子邮件地址,以及发送密码更改查询的确切时间。

另一个敏感信息包括SQL(结构化查询语言)日志,它记录了用户查询信息和返还的信息。开放的数据库还包括对YouTube等其他平台的内部筛选、汤森路透客户的访问日志以及与其他数据库的连接字符串。

汤森路透声称,三个配置错误的数据库中,有两个被设置为可公开访问。第三台服务器是一个非生产性服务器,用于存储“生产前/实施环境的应用日志”。

ElasticSearch是一种非常常见和广泛使用的数据存储,容易出现配置错误,这使得任何人都可以访问它。这种情况下,敏感数据是开放的,并且已经被流行的物联网搜索引擎索引。Cybernews安全研究主管Mantas Sasnauskas表示,这为恶意行为者提供了一个巨大的攻击面,不仅可以利用内部系统,还可以进行供应链攻击。一个简单的人为错误就可能导致毁灭性的攻击。

]]>
惊!乐歌升降台被曝暗藏摄像头,厂家:产品已经下架 Wed, 30 Nov 2022 16:23:54 +0800 近日,一篇题为《乐歌产品存重大隐患、设计缺陷遭用户投诉非法安装摄像头偷窥用户隐私》的文章在网上发酵。据悉,因用户在黑猫投诉反映乐歌A9智能升降台的数码屏内暗藏摄像头等问题。对此,乐歌方面对媒体回应,该产品已经下架,而内置摄像头用于无接触心率检测功能,该项功能在研发上正在进一步开发和完善,不存在窃取用户隐私的问题。

产品中装摄像头消费者和乐歌都有说法

据悉,在黑猫投诉上,该投诉者表示:本人在某平台购买乐歌a9智能升降台,收货后发现有三个重要问题:1、台面升高后极不稳定,晃动异常大,根本无法正常办公;2、所谓的海量资讯库根本无法点开;(以上2点我可以提供视频证明);3、这款产品的数码屏内偷偷暗藏了一颗摄像头,但是产品本身没有需要用到摄像头的地方,卖家也表示认可,他们的回答是摄像头是闲置的,我想问作为刚上线的新产品你们既然没有摄像功能,为什么要“好心偷藏一颗摄像头,还不在产品页中告诉消费者?究竟是什么居心?这和出租车上触动屏里藏摄像头一样偷偷获取顾客面容信息一样是非法行为,要求严惩!

之后,乐歌通过书面回应的方式,回复了媒体。乐歌方面称,出于谨慎考虑,公司已对该款产品做下架处理。

对于安装摄像头一事,乐歌回复函中提及:“该产品随附的智慧屏内置摄像头系用于公司开发的无接触心率检测功能,目的是为用户提供健康增值服务。该项功能软件技术难度高,需要硬件和软件算法高度配合。该产品在很局部使用过程中存在一些兼容性问题,当前该项功能在研发上正在进一步开发和完善,当前该项功能已经关闭。因此,实际上该内置摄像头当前属于闲置状态,根本不存在窃取用户隐私的问题。”

另外乐歌方面表示,未来,公司正式全面向消费者提供该项服务功能时,会向消费者进一步在说明书中说明,征得消费者同意,在自愿的基础上提供收费服务。届时,公司将提交智慧屏的相关代码于权威第三方平台检测排查,并按照相关法律不滥用该装置调取用户隐私之行为。同时,我们愿意为摄像头引起消费者的困扰表示歉意。

]]>
“聊天”软件WhatsApp故障 全球多地用户受影响 Wed, 30 Nov 2022 16:23:54 +0800 25日,全球多个国家和地区的用户发现,自己无法正常使用即时通信应用WhatsApp,其中包括美国、英国、印度和新加坡等多地。

WhatsApp是一款可以免费拨打电话和发送短消息的通信软件,2014年,该平台被Facebook以220亿美元收购,如今与Facebook和Instagram等知名社交媒体平台同属母公司Meta。英国广播公司(BBC)25日报道称,许多人在社交媒体上抱怨他们无法发送或接收信息。不仅是英国,WhatsApp的崩溃在全球范围内引发很多网民强烈反应。统计数据显示,它在全球拥有约20亿活跃用户,在非洲、欧洲、印度和南美尤其受欢迎,2022年位居软件下载量第四名。

运营商报错网站Down Detector的数据显示,WhatsApp于美国东部时间3时许出现状况,并于美东时间5时左右基本恢复正常。美国《纽约时报》称,考虑到该软件的用户规模和其在许多国家作为不可或缺的地位,每一秒的访问障碍都会带来意想不到的后果。BBC称,此番WhatsApp的服务中断还在英国引发不小争议,因为政府官员也在使用该平台。此外,中国香港、南非、新加坡和印度等地也有该问题的报告。

事后,WhatsApp发言人乔什·布雷克曼在社交媒体平台上表示,“我们知道人们今天在使用WhatsApp发送消息时遇到了麻烦,我们已经解决了这个问题,并对带来的不便表示歉意。”不过,他并没有具体说明问题的原因。

据《纽约时报》介绍,此次并非WhatsApp第一次发生问题。去年10月,包括该平台在内的Facebook应用程序家族服务中断了大约5个小时。《纽约时报》表示,此次故障对于Meta来说是一个“不幸的时刻”,因为该公司最近发起了一场大型广告宣传活动,声称“WhatsApp是其他消息服务平台安全可靠的替代品”。

路透社报道称,该事故发生后,Meta的股价下跌了0.7%。

]]>
伊朗核电站疑遭伊朗黑客组织攻击,大量数据泄露 Wed, 30 Nov 2022 16:23:54 +0800 伊朗原子能组织表示,为布什尔核电站服务的IT部门已经检查并发布了有关网络攻击行为的报告,并否认有任何敏感信息被泄露。该能源机构表示,此次黑客攻击旨在引起公众和媒体的关注。

该组织网站上的一份声明称:“应该指出,用户电子邮件中的内容包含技术信息以及日常交流信息。” “很明显,这属于出于绝望而进行的非法活动,目的是引起公众的关注。”

但是上周六,一个名为Black Reward的伊朗黑客组织在Telegram和Twitter上发帖宣称窃取了伊朗布什尔核电站的活动信息。该组织在帖子中声称,该黑客攻击是为了支持全国范围内的一场持续的抗议活动(起因是一名伊朗年轻女子Mahsa Amini因未能正确佩戴头巾遭拘留并在警方拘留期间死亡)。

Black Reward威胁要在24小时内发布在攻击中窃取的核电站信息,除非当局释放在最近的骚乱中被捕的人。

上周日,该组织如期发布了一个指向其Telegram频道的信息下载链接。该组织在Twitter上表示,这些信息包括大约8.5万封电子邮件的“经过清理的、可用浏览器查看的版本”。

该组织声称,泄露的信息包括布什尔发电厂各部门的管理和运营时间表,以及在那里工作的伊朗和俄罗斯核专家的签证和护照信息、财务收据以及与当地和外国组织的协议。

布什尔核电站于2011年使用俄罗斯技术建造,是伊朗第一座位于波斯湾沿岸的核电站。本周末布什尔核电站遭遇的网络攻击并非伊朗核计划遭遇的首次攻击。

2010年首次曝光的Stuxnet恶意蠕虫病毒通过感染伊朗纳坦兹核设施中的Windows电脑来攻击伊朗的核计划,并造成了重大损失。Stuxnet也被认为是美国和以色列联合开发的网络攻击武器。据报道,Stuxnet感染了超过20万台计算机并导致1000台设备受损,破坏了伊朗近五分之一的核离心机。 

]]>
欧洲超市巨头麦德龙遭网络攻击,IT和支付服务中断已超过一周 Wed, 30 Nov 2022 16:23:54 +0800 10月24日消息,在最近遭遇网络攻击之后,国际批发和超市巨头麦德龙(METRO)已陷入基础设施中断与商店支付系统瘫痪。

该公司的IT团队正在协同外部专家着手调查此事,希望找出持续中断背后的原因。

据技术博主Günter Born发布的报告,至少自10月17日以来,IT中断就一直影响着麦德龙公司在奥地利、德国和法国的门店。

该公司在官方网站上发布说明称,“麦德龙(METRO/MAKRO)的部分IT基础设施内有多项技术服务正处于中断状态。麦德龙IT团队已经第一时间与外部专家共同开展彻查,希望确定引发服务中断的原因。”

尽管门店仍在营业,但麦德龙方面称其被迫建立起线下支付系统,并且在线订单已经延误。

该公司指出,“虽然麦德龙门店正在经营且定期提供服务,但可能出现中断和延误。Web应用和在线商店上的订单正在处理中,但预计同样会出现延误。”

麦德龙已经将此次安全事件上报政府当局,并将配合开展涉及攻击细节的后续调查。

麦德龙是一家面向酒店、餐厅与餐饮行业客户的跨国批发公司,业务遍及30多个国家,在全球范围内拥有超过95000名员工。

截至2022年9月30日,麦德龙以METRO和MAKRO两大品牌经营着总计661家批发超市门店。

截至目前,该公司还没有公布此次网络攻击的具体性质,但IT基础设施中断大多与勒索软件攻击有关。

麦德龙在最新公告中提到,“我们将继续深入分析和监控,并根据实际需要发布更新。麦德龙对此次事件给各客户及业务合作伙伴造成的任何不便深表歉意。”

外媒就此事主动联系了麦德龙公司,对方发言人表示由于调查仍在进行当中,该公司无法分享关于事件的更多信息。


]]>
超市巨头麦德龙遭网络攻击,支付系统中断 Wed, 30 Nov 2022 16:23:54 +0800 德国零售批发超市集团麦德龙(Metro)被证实遭遇网络攻击,其部分基础设施中断,线下门店支付系统和线上订单出现延迟。

根据Günter Born网站的一份报告,至少从10月17日起,麦德龙奥地利、德国和法国地区的门店已经发生IT故障。

麦德龙在其网站声明中透露:“麦德龙目前正在经历几项技术服务的部分IT基础设施中断。IT团队已联合外部专家展开全面调查,寻找服务中断的原因。”

尽管麦德龙的门店仍在运营,但麦德龙表示,服务可能中断或延误,线上订单正加紧处理中,但预计会出现延迟。为了应对服务中断,麦德龙还启用了线下支付系统。

麦德龙已将这起安全事件通知了当局,并表示将配合任何与攻击有关的调查。

麦德龙是一家面向HoReCa(酒店、餐厅和餐饮)行业客户的国际批发公司,业务遍及30多个国家,在全球拥有超过9.5万名员工。它旗下Metro和Makro 两个品牌经营着661家批发门店(截至2022年9月30日)。

当媒体就此次攻击事件联系麦德龙时,该公司表示,此次网络攻击正在调查中,尚不能分享更多信息。据媒体推测,IT基础设施中断通常与勒索软件攻击有关。

网络攻击一向是零售公司头疼的问题,它通常导致中断和延误。此前,美国连锁便利店7-Eleven因网络攻击导致丹麦各地的结账和支付系统瘫痪,不得不关闭170多家线下门店。

]]>
被索要6000万,这家汽车经销商坚持拒绝支付! Wed, 30 Nov 2022 16:23:54 +0800 据BleepingComputer 10月24日消息,英国著名汽车经销商集团Pendragon近期遭遇 LockBit 勒索软件组织的网络攻击,部分数据被窃取,并收到了高达6000万美元的赎金支付通知。

Pendragon在安全公告中声称:“我们在部分 IT 系统中发现了可疑活动,并确认我们遇到了 IT 安全事件。”在10月21日接受英国《泰晤士报》采访时,该公司首席营销官 Kim Costello 透露攻击发生在大约一个月前,并表示攻击者以发布被盗数据为威胁,要求在截止日期前支付高额赎金。经过其他媒体查证,确认LockBit 的索要金额为 6000 万美元。

“我们坚持不向攻击者付款!”该公司发言人说道。为了回应外界担忧,发言人强调称攻击发生后,公司 IT 团队立即做出了反应,调查结果显示,黑客仅窃取了数据库中 5%的数据。

BleepingComputer 已联系该公司以获取有关被盗数据的更多信息,以及如果黑客泄露数据会产生的影响,但在发布时没有收到任何回复。

Pendragon在英国遍布200多个经销商站点,拥有 CarStore、Evans Halshaw 和 Stratstone 豪华汽车零售品牌。就在攻击发生的同一个月,Pendragon曾收到另一家知名经销商集团Hedin Mobility价值4亿英镑(约4.52亿美元)的收购申请。

]]>
《安联智库-网安周报》2022-10-23 Wed, 30 Nov 2022 16:23:54 +0800

1、微软数据泄露暴露全球111个国家超6.5万实体的客户个人信息

微软表示,由于一台服务器配置不当,导致某些客户的敏感信息遭暴露。
遭暴露的信息包括姓名、邮件地址、邮件内容、公司名称和电话号码,以及文件,而这些文件与受影响客户和微软或越权微软合作伙伴之间的业务相关联。这次数据泄露是因“对端点的无意配置不当造成的,不过该端点并未在微软生态中使用”,而非因安全漏洞造成。
被泄数据与全球6.5万个实体有关
虽然微软并未提供与该数据泄露事件相关的其它详情,但发现这起数据泄露事件的SOCRadar 公司发布博客文章指出,该数据存储在配置不当的 Azure Blob Storage 上。SOCRadar表示,该公司能够将这些敏感信息与111个国家超过6.5万个实体关联在一起,覆盖2017年到2022年8月。该公司指出,“2022年9月24日,SOCRadar的内置云安全模块检测到,由微软维护的一个配置不当的 Azure Blob Storage 中包含属于高级别云提供商的敏感数据。”SOCRadar 指出,分析发现被泄数据“包括执行验证和工作说明 (SoW) 文档、用户信息、产品订单/报价、项目详情、个人可识别信息数据和可能泄露智慧财产的文档”。
2、美国300万名医院患者的个人信息被泄露给外部公司

美国芝加哥——伊利诺伊州和威斯康星州多达300万患者的个人健康信息可能已通过大型医院系统电子健康记录网站上使用的跟踪技术暴露给外部公司。

经营27家医院的倡导者Aurora Health在一份声明中表示,违规行为可能暴露了包括患者医疗提供者、预约类型或医疗程序、预定预约的日期和地点以及IP地址在内的信息。该系统将漏洞归咎于其使用像素(收集用户如何与网站交互信息的计算机代码)的使用,包括谷歌和Facebook母公司Meta开发的产品,这些产品使这些公司可以访问收集的数据。

根据卫生与公众服务部的调查日志,卫生系统周五通知了该违规行为,该漏洞影响了多达300万患者。

3、成多国“提款机” 谷歌被印度开出11.7亿元天价罚单

作为全球互联网巨头,今年以来,谷歌被多个国家和地区,频频开出天价罚单,成为多个国家的“提款机”,此次又轮到印度向谷歌“开刀”。

10月21日消息,据报道,印度反垄断监管机构“竞争委员会”(CCI)周四责令谷歌整改安卓平台的垄断行为,并对公司处以133.8亿印度卢比(约合1.6195亿美元)的罚款。CCI表示,谷歌利用安卓系统在线搜索和应用商店等市场的主导,保护其Chrome和YouTube等应用在浏览器和视频程序中的垄断地位。

对此,印度要求谷歌整改安卓系统的一些反竞争行为,包括允许智能手机用户卸载谷歌地图和Gmail等预装应用程序,以及给予他们选择其他搜索引擎的权利。

此外,在9月份,欧盟针对谷歌安卓垄断的调查,欧洲普通法院做出了裁定,谷歌上诉失败,维持了欧盟之前对谷歌滥用安卓打击竞争对手的判决,不过将之前的罚款金额从43.4亿欧元减少到了41.25亿欧元,分别折合人民币300、286亿元。

而在8月份,澳大利亚联邦法院对谷歌开出了6000万美元(约合人民币4.04亿元)的巨额罚款,其原因则与用户的隐私安全有关。

7月份,因为在3月19日期限之前拒绝自愿支付罚款,俄罗斯联邦法警将对谷歌立案,并强制执行72亿卢布(约合人民币6.6亿元)的营业额罚款。

4、勒索攻击中断印刷系统,德国地方大报被迫暂停纸质版发行

10月18日消息,德国报纸《海尔布隆言论报》(Heilbronn Stimme)在上周五(10月14日)遭遇勒索软件攻击,印刷系统陷入瘫痪,该报被迫以电子版形式发布最新一期内容。

上周六,该报已经发布了6页“应急”版,所有计划发表的讣闻均转移至官方网站。而且整个周末期间,报社的电话和电子邮件通信始终未能恢复上线。

这份地区性出版物的发行量约为75000份,受印刷问题的影响,其官方网站已经暂时取消了付费墙模式。该报的网站月度访问量约为200万次。

]]>
成多国“提款机” 谷歌被印度开出11.7亿元天价罚单 Wed, 30 Nov 2022 16:23:54 +0800 作为全球互联网巨头,今年以来,谷歌被多个国家和地区,频频开出天价罚单,成为多个国家的“提款机”,此次又轮到印度向谷歌“开刀”。

10月21日消息,据报道,印度反垄断监管机构“竞争委员会”(CCI)周四责令谷歌整改安卓平台的垄断行为,并对公司处以133.8亿印度卢比(约合1.6195亿美元)的罚款。

CCI表示,谷歌利用安卓系统在线搜索和应用商店等市场的主导,保护其Chrome和YouTube等应用在浏览器和视频程序中的垄断地位。

对此,印度要求谷歌整改安卓系统的一些反竞争行为,包括允许智能手机用户卸载谷歌地图和Gmail等预装应用程序,以及给予他们选择其他搜索引擎的权利。

另外,CCI还要求谷歌不得与智能手机制造商形成分成协议,比如“捆绑销售”等,确保自身的唯一性,完全将竞争对手排除在外。

据数据显示,在印度6亿部智能手机中,有97%搭载的是安卓操作系统。CCI在一份声明中表示:“应该允许市场基于价值进行公平竞争,而主要竞争者(本案中指谷歌)有责任确保其行为不会影响这种竞争。”

此外,在9月份,欧盟针对谷歌安卓垄断的调查,欧洲普通法院做出了裁定,谷歌上诉失败,维持了欧盟之前对谷歌滥用安卓打击竞争对手的判决,不过将之前的罚款金额从43.4亿欧元减少到了41.25亿欧元,分别折合人民币300、286亿元。

而在8月份,澳大利亚联邦法院对谷歌开出了6000万美元(约合人民币4.04亿元)的巨额罚款,其原因则与用户的隐私安全有关。

7月份,因为在3月19日期限之前拒绝自愿支付罚款,俄罗斯联邦法警将对谷歌立案,并强制执行72亿卢布(约合人民币6.6亿元)的营业额罚款。

]]>
美国300万名医院患者的个人信息被泄露给外部公司 Wed, 30 Nov 2022 16:23:54 +0800 美国芝加哥——伊利诺伊州和威斯康星州多达300万患者的个人健康信息可能已通过大型医院系统电子健康记录网站上使用的跟踪技术暴露给外部公司。

经营27家医院的倡导者Aurora Health在一份声明中表示,违规行为可能暴露了包括患者医疗提供者、预约类型或医疗程序、预定预约的日期和地点以及IP地址在内的信息。

该系统表示,其调查发现没有涉及社会保障号码、财务信息或信用卡和借记卡号码。

该系统将漏洞归咎于其使用像素(收集用户如何与网站交互信息的计算机代码)的使用,包括谷歌和Facebook母公司Meta开发的产品,这些产品使这些公司可以访问收集的数据。

声明说:“这些像素不太可能导致身份盗窃或任何经济伤害,我们没有证据表明该事件导致滥用或欺诈事件。”“然而,我们始终鼓励患者定期查看他们的财务账户,并立即报告任何可疑、未识别或不准确的活动。”

医疗保健行业对像素的使用受到了隐私倡导者的广泛批评,他们警告说,该技术的使用违反了联邦患者隐私法。

The Markup在6月份发布的一份报告发现,该国许多顶级医院使用Meta Pixel,收集并向这家社交媒体公司发送敏感的患者信息。

Advocate Aurora Health的声明没有具体说明是什么促使其决定在MyChart网站上公布其像素的使用,患者在该网站上安排预约,与提供商办公室沟通并查看测试结果。该声明称,卫生系统已禁用或删除了所有像素,并正在继续内部调查。

根据卫生与公众服务部的调查日志,卫生系统周五通知了该违规行为,该漏洞影响了多达300万患者。

密歇根大学专注于医疗保健创新的法律教授Nicholson Price表示,这一宣布提醒我们,健康信息的保护往往低于美国消费者的希望。

Price说:“患者将这些登录网站视为查看特别私人信息的地方。”“因此,(对他们来说)了解那里使用的这种跟踪技术更令人惊讶。”

]]>
微软数据泄露暴露全球111个国家超6.5万实体的客户个人信息 Wed, 30 Nov 2022 16:23:54 +0800 微软表示,由于一台服务器配置不当,导致某些客户的敏感信息遭暴露。

微软在2022年9月24日获悉该泄露事件后加固了服务器安全,“配置不当可导致对微软与客户之间的某些企业交易数据的未认证访问权限。经过调查未发现客户账号或系统受陷。我们已直接告知受影响客户。”

微软表示,遭暴露的信息包括姓名、邮件地址、邮件内容、公司名称和电话号码,以及文件,而这些文件与受影响客户和微软或越权微软合作伙伴之间的业务相关联。微软指出,这次数据泄露是因“对端点的无意配置不当造成的,不过该端点并未在微软生态中使用”,而非因安全漏洞造成。

被泄数据与全球6.5万个实体有关

虽然微软并未提供与该数据泄露事件相关的其它详情,但发现这起数据泄露事件的SOCRadar 公司发布博客文章指出,该数据存储在配置不当的 Azure Blob Storage 上。

SOCRadar表示,该公司能够将这些敏感信息与111个国家超过6.5万个实体关联在一起,覆盖2017年到2022年8月。该公司指出,“2022年9月24日,SOCRadar的内置云安全模块检测到,由微软维护的一个配置不当的 Azure Blob Storage 中包含属于高级别云提供商的敏感数据。”SOCRadar 指出,分析发现被泄数据“包括执行验证和工作说明 (SoW) 文档、用户信息、产品订单/报价、项目详情、个人可识别信息数据和可能泄露智慧财产的文档”。

微软指出, SOCRader“大大夸大了问题范围”以及“数字”。微软还表示,SOCRadar 收集该数据且通过专门的搜索门户使其可搜索的做法,“并不符合确保客户隐私或安全的最佳利益,而且可能将它们暴露到不必要的风险之中”。

可搜索被泄数据的在线工具

SOCRadar 给出的数据泄露搜索门户为BlueBleed,可使企业查看自己的敏感信息是否暴露。除了查找微软配置不当的服务器中的信息外,该门户还允许用户搜索从其它公开存储桶中收集到的数据。

单是微软的服务器,SOCRadar公司就声称从中发现2.4TB的数据中包括敏感信息,其中包括33.5万份电子邮件、13.3万个项目和54.8万个被泄露的用户。

根据SOCRadar的分析,这些文件中包括客户邮件、SOW文档、产品报价、POC文档、合作伙伴的生态系统详情、发票、项目详情、客户产品价格表、POE文档、产品订单、已签名的客户文档、客户的内部评论、营销策略和客户资产文档。

SOCRadar 提醒称,“访问该存储桶的威胁行动者可利用该信息,实施勒索、通过被暴露的信息制作社工技术、或者将该信息出售给暗网和Telegram频道上出价高的竞价者。”

SOCRadar 公司的发言人并未就此事置评。

]]>
勒索攻击中断印刷系统,德国地方大报被迫暂停纸质版发行 Wed, 30 Nov 2022 16:23:54 +0800 10月18日消息,德国报纸《海尔布隆言论报》(Heilbronn Stimme)在上周五(10月14日)遭遇勒索软件攻击,印刷系统陷入瘫痪,该报被迫以电子版形式发布最新一期内容。

上周六,该报已经发布了6页“应急”版,所有计划发表的讣闻均转移至官方网站。而且整个周末期间,报社的电话和电子邮件通信始终未能恢复上线。

这份地区性出版物的发行量约为75000份,受印刷问题的影响,其官方网站已经暂时取消了付费墙模式。该报的网站月度访问量约为200万次。

报社主编Uwe Ralf Heer表示,此次攻击对整个Stimme Mediengruppe媒体集团都造成了影响,具体包括旗下的Pressedruck、Echo与RegioMail等公司。

发行量25万4千份的Echo受到网络攻击影响,连网站上的电子版访问都出现了问题。但其在线新闻门户Echo24.de仍在正常运行。

Heer指出,此次攻击出自某知名网络犯罪团伙之手。该团伙于上周五晚对其系统进行了加密,并留下勒索说明。但截至上周六下午,对方仍未给出具体的赎金数额。

 员工开始居家办公

按照报社通知,该报编辑开始在家中使用个人电脑工作,并拿到了由报社发放的新邮件地址。

该媒体集团正在与警方合作,希望尽快找到解决技术问题的方法,同时努力查明肇事元凶。

应德国内政部长Thomas Strobl的要求,巴登-符腾堡州的网络安全专家也开始协助修复工作。

通知中写道,“我们正与警方、数据保护及外部专家开展正式合作,希望尽快将运营恢复至正常水平。”

“但就目前来看,我们无法预测能否在一周之内恢复报纸交付。”

在印刷系统恢复正常之前,《海尔布隆言论报》将继续通过来自卡尔斯鲁厄的第三方印刷“应急”版报纸。

由于该媒体集团本身也是发行商,因此海尔布隆地区的《南德意志报》(Süddeutsche Zeitung)和《斯图加特报》(Stuttgarter Zeitung)等其他主要报纸(发行量达35万份)也将暂停发行,直至另行通知。

]]>
智能汽车网络威胁已降临:无钥匙偷车猖獗 欧洲破获近千万元大案 Wed, 30 Nov 2022 16:23:54 +0800 10月19日消息,欧洲执法机构本周一宣布,欧洲刑警组织刚刚捣毁了一个专门入侵汽车无钥匙解锁系统的黑客团伙,逮捕31名嫌疑人并没收超过100万美元(约人民币775万元)的犯罪资产。

欧洲刑警组织称,“该犯罪团伙专门以支持无钥匙进入及启动系统的车辆为目标,滥用该技术将汽车开走。他们使用的欺诈工具原本被作为汽车诊断解决方案销售,可用于替换车辆的原始软件,能够在未拿到车钥匙的情况下打开车门并启动点火装置。”

专家指出,针对无钥匙车辆的盗窃难度甚至比传统偷车方法更低,毕竟传统偷车贼还要学习仿配机械钥匙和对线打火的技术。而且除盗窃之外,还有其他网络威胁在对汽车虎视眈眈。2015年,已经有安全研究人员成功以远程方式令行驶在高速公路上的吉普车(Jeep)熄火。

在这个联网程度日益提升的行业中,电动汽车与自动驾驶汽车正逐渐拓展更大的商业版图。由于政府尚未做出明确要求,由此引发的安全风险在短时间内恐怕不会消退。(据估计,去年全美公路上共行驶着8400万辆联网汽车。)

网络安全公司ExtraHop服务主管Rafal Los表示,“如今的汽车正逐渐发展成带轮子的计算机,因此来自攻击方的威胁也愈发严峻。”

当然,也已经有人在采取应对措施。网络专家表示,在里程碑式的Jeep黑客事件之后,汽车行业已经着手改善车辆的网络安全水平。美国国家公路交通安全管理局在9月还更新了2016年发布的关于车辆网络安全的指南。当然,专家们也承认单凭这些还远远不够。

盗窃狂潮

由于各地执法部门向FBI提交的数据减少,全美犯罪统计数据的可靠性已经大不如前,但仍有迹象表明,近年来汽车盗窃案件有所增加。

今年7月,参议员Edward J. Markey曾给汽车制造商写信道,“自1990年代以来,允许用户无需机械钥匙即可打开车门、启动车辆的无钥匙进入系统曾经是降低车辆盗窃率的利器。但在随后的30年中,情况开始急转直下。虽然引发这种转变的确切原因尚不明确,但越来越多的证据表明,无钥匙进入系统可能正是导致情况恶化的一项因素。”

不过,行业组织汽车创新联盟对Markey的说法回应称,无钥匙系统其实增强了安全水平。该行业组织还赞扬了其他围绕无钥匙设计的安全措施,例如允许车主手动停用遥控钥匙功能。

联盟事务副总裁Garrick Francis写道,“缓解盗窃问题是一项需要持续推进的努力,而规定性要求通常是创新探索的障碍。汽车制造商在设计、评估和实施无钥匙进入系统的安全功能时,必须拥有充分的灵活性,这样汽车行业才能快速响应种种可能影响车主的新问题。”

尽管如此,研究人员已经用实例反复证明了,自己成功入侵车辆、开启发动机的能力,近几个月来特斯拉、本田汽车均已相继沦陷。

CanBusHack公司总裁兼Def Con安全大会Car Hacking Village创始人Robert Leale表示,“有些汽车公司的安全措施简直可笑。只要想办法入侵了一辆车,往往就能入侵同品牌旗下的所有车型。”

直接熄火

远程熄火引发的危险后果无疑更加令人心惊。虽然发生频率相对较低,或者单纯发生在实验环境下,但却直接关乎使用者的生命安全:

一名心怀不满的前得克萨斯汽车中心雇员,据称曾在2010年利用收回软件远程禁用了100多名司机的车辆。

在2015年的黑客攻击中,研究人员成功切断了Jeep汽车的变速箱和刹车,开启收音机并打开了前雨刷器。此次事件也让克莱斯勒公司首次、也是唯一一次以网络安全为由召回了140万辆汽车。同一批研究人员还在召回之后再次尝试黑客攻击,旨在进一步做出漏洞验证。

前白宫网络官员Richard Clarke表示,2013年记者Michael Hastings的死亡“很可能与汽车网络攻击有关”,但验尸官的报告和Hastings家人的证词排除了这种可能性。

行动了,但没完全行动

虽然联合国和欧洲已经着力推进关于车辆的网络安全规则,但美国在这方面却一直表现得比较迟钝。去年,两党基础设施法案确实引入了一项要求联邦公路管理局设立网络安全协调员的规定。白宫方面本月还启动一项为安全“物联网”设备添加标签的倡议,但先期主要针对路由器和摄像头。

Leale称,目前汽车制造商还没有充分的经济动力,去主动实施防盗措施。

“他们通常不想增加成本,并且盗窃对汽车厂商其实没什么影响。此类事件影响到的更多是用户和保险公司。”

草根数字安全倡议I Am the Cavalry创始人Joshua Corman表示,他们曾经在2014年推出过汽车网络安全的“五星级”计划,其中一些已经得到业界接纳,例如为上报bug的研究人员提供激励措施。

网络安全厂商Claroty的网络和物理安全副总裁Corman表示,“当我们发布这项「五星级」计划时,还没有任何一家汽车厂商能够满足全部五点要求。而且时至今日,仍然没有哪家厂商能够满足全部五点要求。所以现在的问题是,我们能是否能拿出充分的政治意愿,采取足够积极的行动来适应这种威胁形势?”

]]>
韩国数据中心发生火灾导致大面积断网 Kakao回应 Wed, 30 Nov 2022 16:23:54 +0800 10 月 17 日消息,据路透社报道,韩国占主导地位的聊天应用运营商 Kakao Corp 周一表示,预计大范围的服务中断对 Kakao 及其主要部门的财务影响有限。

上周六,韩国首尔南部郊区的 SK 公司 C&C 板桥数据中心数据中心发生火灾,火灾导致停电,造成约 3.2 万个服务器瘫痪。

IT之家获悉,服务中断导致该国一些最常用的应用程序和网站宕机,包括 Kakao 以及该公司的在线支付、游戏和音乐流媒体服务。

这些故障突出了韩国对 Kakao 消息的依赖程度,Kakao 消息是许多政府和商业服务的默认通信方式。

韩国政府要求,应采取措施防止此类事件再次发生,包括确保数据得到备份和事故得到迅速报告。

Kakao 公司在 8 月的一份报告中说,Kakao 消息应用 Kakao Talk 在韩国有超过 4700 万活跃用户,在全球有 5300 万用户。

另一家韩国互联网企业 NAVER 也使用同一数据中心,却在几小时内恢复服务。这是因为 NAVER 还在春川等其他数据中心分散储存数据,即使一处出现问题,也能通过其他数据中心恢复正常运营。

]]>
韩国多个网络平台瘫痪:尹锡悦道歉 要求相关部门查明事故原因 Wed, 30 Nov 2022 16:23:54 +0800 韩国SK公司C&C板桥数据中心15日发生火灾,导致包括韩国“国民聊天工具”Kakao Talk在内的多个网络平台服务中断。16日,韩国总统尹锡悦为此向公众表示歉意,并要求相关部门查明事故原因,制定事故预防对策避免此类事故再次发生。

发生火灾的SK公司C&C板桥数据中心有Kakao、NAVER、SK电信等企业入驻。韩联社报道称,15日下午3时19分左右,该数据中心发生火灾,3时22分服务电源被切断。韩国警方和消防部门16日表示,初步研判火灾是电气因素导致电气设备室电池周围起火所致。调查发现,安装在地下三层电气设备室的5个电池机架全部被烧毁。火灾并未造成人员伤亡,但通信软件Kakao Talk、门户网站Daum等大部分Kakao服务和NAVER的部分服务瘫痪。

《环球时报》驻韩国特派记者15日曾使用Kakao Talk与朋友联系,从下午3时13分后便未接收到对方的回复信息。16日上午10时许,记者在Kakao Talk上收到前一天朋友回复的信息,但电脑版客户端依然不能正常使用。16日下午5时左右,记者的电脑版Kakao Talk才能正常登录。

韩国《国民日报》16日报道称,16日下午2时,Kakao Talk的文字信息发送和接收功能才完全恢复正常,但照片和视频的发送功能仍在修复。Kakao公司表示,无法确定彻底恢复服务的时间。Kakao公司代表南宫勋称,整个数据中心受到影响是非常罕见的情况,采取相关措施需要比预期更长的时间。不过Kakao方面表示,此次事故导致数据损失的可能性为零。

《韩国时报》报道称,对韩国国内外数以千万计的Kakao用户来说,这是一场混乱,他们的日常生活在周末全乱套了。他们在很大程度上依赖该公司的在线服务,这些服务在过去10年变得越来越受欢迎。

报道称,纵观整个韩国IT业界,很难找到发生10小时左右服务故障的事例。因此,有人批评Kakao的灾难恢复系统不健全。SK公司C&C板桥数据中心是Kakao主要的数据中心,15日的火灾导致停电,造成约3.2万个服务器瘫痪。另一家韩国互联网企业NAVER也使用同一数据中心,却在几小时内恢复了服务。这是因为NAVER还在春川等其他数据中心分散储存数据,即使一处出现问题,也能通过其他数据中心恢复正常运营。

由于Kakao Talk是韩国人主要使用的即时通信软件,这一事故引起韩国总统尹锡悦和政府相关部门的重视。尹锡悦称,相关部门不仅要准确掌握事故原因,还要制定包括设置双数据中心在内的事故预防方案和事故发生时的应对策略。韩联社报道称,尹锡悦15日就要求科学技术信息通信部长官李宗昊迅速处置这一事故。李宗昊表示,作为主管相关事务的官员深感责任重大,对给国民带来巨大不便表示歉意。李宗昊还承诺,政府将完善通信服务相关设施的检查和管理体系,积极研讨所需的制度和技术对策,以防类似情况重演。

韩总统办公室一名高级官员接受媒体采访时表示,有必要调查Kakao等企业是否在国民遭受不便时采取放任态度。另据韩国纽西斯通讯社报道,就此事件,Kakao创始人金范洙将于24日作为国会科学技术信息广播通信委员会国政监察证人被传唤。而导致服务瘫痪的SK公司C&C板桥数据中心的代表预计也将接到传票。

]]>
《安联智库-网安周报》2022-10-17 Wed, 30 Nov 2022 16:23:54 +0800

1、“三哥”,核酸信息泄露该管管了!

印度屡屡贡献信息泄露的神操作,新冠疫情蔓延至印度后,使其成为了主要的“毒窝”,培育出诸如德尔塔等众多变异毒株。面对疫情,印度政府不仅没有采取科学防疫措施,其新冠检测数据更是频频泄露,甚至处于放任自流的状态。
800 万份检测报告数据在暗网出售
2021 年 3 月,安全研究人员 Sourajeet Majumder 称其发现某印度政府网站泄露数百万民众核酸检测结果。随着信息泄漏事件持续发酵,印度政府承认了数据泄露事件,并表示泄露的核酸检测报告大约有 800 万份。
经安全专家分析研究,发现引起核酸数据泄露的原因是政府网站存在问题,从而导致核酸检测结果泄露。(泄露信息中含有姓名、年龄、婚姻状况、检测时间、居住地址等敏感个人信息)。
数百万份检测结果暴露,涉事机构置若罔闻
知名安全研究员 Anurag Sen 发现印度某家医疗软件供应商的 Elasticsearch 服务器暴露在互联网上。这种情况立刻引起了 Anurag 的重视,随机对服务器进行详细分析,发现服务器暴露了23 GB 的 COVID 抗原检测结果。这些数据信息及其详尽,不仅包括个人记录,还有往来印度人士的医疗记录,其中身份信息主要是姓名、国籍、出生日期、完整地址、电话号码、投票 ID 编号、COVID 测试结果、Aadhaar 医保编号、护照编号、基础疾病情况疫苗详细情况等,涉及受害人数超过 170 万。
目前该服务器仍然保持公开,任何人员无需任何安全身份验证或密码即可直接访问,是否有黑客已经盯上并利用了这些数据仍不得而知,但可以确定的是,一旦网络犯罪分子掌握这些信息,170 万民众以及服务器所有方都将面临严重网络安全威胁。
2、西门子 PLC 中的关键漏洞可能让攻击者窃取加密密钥

西门子Simatic可编程逻辑控制器(PLC)中的漏洞可以被用来检索硬编码的全局私有加密密钥,并获取对设备的控制权。

“黑客可能会利用这些机密信息,以无法修复的方式破坏整个SIMATIC S7-1200/1500产品线。”该关键漏洞被追踪为CVE-2022-38465,在CVSS评分为9.3。

受影响的产品和版本列表如下:

SIMATIC 驱动控制器系列(2.9.2之前的所有版本)

SIMATIC ET 200SP 开放式控制器 CPU 1515SP PC2,包括 SIPLUS 变体(21.9 之前的所有版本)

SIMATIC ET 200SP 开放式控制器 CPU 1515SP PC, 包括 SIPLUS 变体(所有版本)

SIMATIC S7-1200 CPU 系列, 包括 SIPLUS 变体(4.5.0 之前的所有版本)

SIMATIC S7-1500 CPU 系列, 包括相关的 ET200 CPUs 和 SIPLUS 变体(V2.9.2 之前的所有版本)

SIMATIC S7-1500 软件控制器(21.9 之前的所有版本)

SIMATIC S7-PLCSIM 高级版(4.0 之前的所有版本)

Claroty表示,它能够通过利用西门子PLC中之前披露的漏洞(CVE-2020-15782)来获得对控制器的读写权限,从而恢复私钥。这样做不仅可以让攻击者绕过访问控制并覆盖本机代码,还可以完全控制每个受影响的西门子产品线的PLC。

3、违规处理政务类数据,某科技公司违反《数据安全法》被行政处罚

近期,上海网信办发现,某科技公司在处理政务类数据时违规操作,且未采取相应的技术措施和其他必要措施保障数据安全,导致数据存在泄露风险。上海网信办依据《中华人民共和国数据安全法》对该公司责令改正,给予警告,并处以人民币五万元罚款的行政处罚。

上海网信办相关负责人表示,数据安全关乎人民群众切身利益,关乎国家安全和社会稳定,上海网信办将针对数据安全保护义务履行不力,造成重要数据泄露风险的违法违规行为加强监督检查和执法,进一步营造安全稳定的网络环境。

法律·链接

《中华人民共和国数据安全法》第二十七条:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。

重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。

《中华人民共和国数据安全法》第四十五条规定:开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

4、宇宙级杀猪盘:“俄宇航员”称要回地球 骗日本老人21万

相较于盗号假扮熟人,诈骗个电话费、生活费什么的低级诈骗方式,“杀猪盘”的诈骗危害要更大,不仅诈骗金钱,还会欺骗感情,最终受害者落个人财两空。只不过,现如今的杀猪盘,诈骗分子的脑洞也是越来越大,就连“宇航员回地球”这样的离谱背景,也能编排出来。

近日,据报道,日本滋贺县一名六旬妇女6月在网上认识了一名自称“俄罗斯宇航员”的男子,两人在聊天中逐渐产生了恋爱的感觉。

“俄罗斯宇航员”进行糖衣炮弹轰炸时,顺势要求被害人提供“返回地球的火箭和着陆费用”,并承诺“回到地球就结婚”。

被害人在8月至9月期间陆续汇款5次,总金额大约440万日元(约合人民币21.5万元),随后才意识到被骗。

警方认为这是一场“国际杀猪盘”,目前正展开详细调查,并敦促市民谨慎交友。

]]>
韩国老人质疑谷歌地图侵犯私生活:“我家客厅在地图上被360度展示” Wed, 30 Nov 2022 16:23:54 +0800 据韩联社15报道,一名80岁的韩国老人近日在谷歌地图的“街景视图”上偶然发现,自家客厅正在被360度全方位展示。当事人表示,自己并未在网上上传过相关照片,因此质疑自家电脑可能被黑客入侵,谷歌地图图像上传系统也存在侵犯个人隐私等问题。而谷歌方面此后虽删除了相关照片,但并未向当事人做出任何道歉和说明。韩联社称,相关照片是如何上传至谷歌地图的,至今仍是个谜。报道一出,立即引发了韩国网民的关注和讨论。

近日,一位韩国的谷歌地图用户在使用该应用时,发现自家客厅360度的全景照片正在被公开展示。图源:韩联社

据报道,家住首尔市恩平区的一位80岁老人近日学会在电脑上使用谷歌地图的“街景视图”功能,以此来欣赏户外街景,消磨时间。然而,老人在本月9日使用该应用查看自家公寓街景时吓了一跳。在他点击所住公寓具体楼栋查看照片时,竟发现自家客厅360度的全景照片正在被公开展示。照片中,家中客厅、厨房、地板、天花板的模样都被一览无余。

老人向韩联社表示,点开图中原点区域,就能通过谷歌地图的“街景视图”功能看到自家客厅的全景照片。 

报道称,这张室内全景照片在谷歌系统中显示是在2019年11月由用户本人上传的。对此,老人表示,根据照片中家里客厅的样子,可以推断拍摄时间大概是在2013年左右。当时,为了防止家中的小孙子摔倒受伤,客厅地面铺设了很多海绵地板软垫。但老人还称,自己最近才学会使用谷歌地图“街景视图”功能,此前根本不知如何拍摄全景照片,更别提亲自上传了。同时,老人的家人们也同样表示,没有拍摄并上传过相关照片。因此,老人质疑家中电脑可能被黑客入侵,谷歌地图的图像上传系统也存在侵犯个人隐私等问题。于是,老人于本月11日向谷歌发送了邮件,要求删除相关照片。

据报道,12日,谷歌方面删除了相关照片,但并未就此事向老人做出任何道歉或说明。老人向韩联社记者表示,谷歌这样的做法非常不负责任,一想到有人看着自己的私生活,就感到非常的不安和不快。在这之前,老人也曾给谷歌方面打过电话,但没有人接听,因为联系不上,就连要求删除照片都很困难。

事后,谷歌方面向韩联社表示,“经确认,我方判断相关图像是由用户提供的”,“谷歌重视保护用户个人信息,不会在谷歌地图‘街景视图’中收集个人住宅内部图像。同时,谷歌地图的用户同样也适用于相关条款,一经发现违规行为,将会删除相关图片,并封号处理 ”。至于老人住宅客厅的全景照片是如何上传到谷歌地图上的,韩联社称这至今仍是个谜。

该报道一出,立即引发了韩国网民的关注和讨论。有人认为这是老人忘记自己上传过相关照片而引发的“乌龙”事件,但也有很多人同样对谷歌方面提出了“侵犯隐私”的相关质疑。

一位网民在报道下质疑老人的说法:“是本人忘记自己上传过相关照片了吧”↓

但另一位网民针对谷歌指责道:“谷歌和脸书都是偷个人信息的‘小偷’。”↓

还有网民随声附和道:“以后看来在使用谷歌时,要小心勾选用户同意条款了。”↓

更有韩国网民表示:“哎…谷歌好像随时监听人们的私生活和私下的对话。手机虽然为人们带来便利,但同时个人信息却被不断泄露。”↓

]]>
西门子 PLC 中的关键漏洞可能让攻击者窃取加密密钥 Wed, 30 Nov 2022 16:23:54 +0800 西门子Simatic可编程逻辑控制器(PLC)中的漏洞可以被用来检索硬编码的全局私有加密密钥,并获取对设备的控制权。

工业网络安全公司Claroty在一份新报告中表示:“攻击者可以使用这些密钥对西门子SIMATIC设备和相关的TIA Portal进行多次高级攻击,同时绕过其所有四个访问级别保护。”

“黑客可能会利用这些机密信息,以无法修复的方式破坏整个SIMATIC S7-1200/1500产品线。”

该关键漏洞被追踪为CVE-2022-38465,在CVSS评分为9.3,西门子已在2022年10月11日发布的安全更新中对其进行了处理。

受影响的产品和版本列表如下:

SIMATIC 驱动控制器系列(2.9.2之前的所有版本)

SIMATIC ET 200SP 开放式控制器 CPU 1515SP PC2,包括 SIPLUS 变体(21.9 之前的所有版本)

SIMATIC ET 200SP 开放式控制器 CPU 1515SP PC, 包括 SIPLUS 变体(所有版本)

SIMATIC S7-1200 CPU 系列, 包括 SIPLUS 变体(4.5.0 之前的所有版本)

SIMATIC S7-1500 CPU 系列, 包括相关的 ET200 CPUs 和 SIPLUS 变体(V2.9.2 之前的所有版本)

SIMATIC S7-1500 软件控制器(21.9 之前的所有版本)

SIMATIC S7-PLCSIM 高级版(4.0 之前的所有版本)

Claroty表示,它能够通过利用西门子PLC中之前披露的漏洞(CVE-2020-15782)来获得对控制器的读写权限,从而恢复私钥。

这样做不仅可以让攻击者绕过访问控制并覆盖本机代码,还可以完全控制每个受影响的西门子产品线的PLC。

CVE-2022-38465反映了去年在罗克韦尔自动化PLC(CVE-2021-22681)中发现的另一个严重漏洞,该漏洞可能使对手能够远程连接到控制器,并上传恶意代码,从PLC下载信息或安装新固件。

Claroty在2021年2月指出:“该漏洞在于Studio 5000 Logix Designer软件可能允许发现秘密加密密钥。”

西门子建议客户仅在受信任的网络环境中使用传统PG/PC和HMI通信,并安全访问TIA Portal和CPU,以防止未经授权的连接。

这家德国工业制造公司还采取措施,使用TIA Portal版本17中的传输层安全性(TLS)对工程站、PLC和HMI面板之间的通信进行加密,同时警告“黑客滥用全球私钥的可能性越来越大。”

这些是在工业网络中使用的软件中发现的一系列重大漏洞中的最新发现。今年6月初,Claroty详细介绍了西门子SINEC网络管理系统(NMS)中的十几个漏洞,这些漏洞可能会被滥用以获得远程代码执行功能。

然后在2022年4月,该公司在罗克韦尔自动化PLC中发现了两个漏洞(CVE-2022-1159和CVE-2022-1161),这些漏洞可能被利用来修改用户程序并将恶意代码下载到控制器。

]]>
“三哥”,核酸信息泄露该管管了! Wed, 30 Nov 2022 16:23:54 +0800 新冠病毒肆虐近三年时间,仍没有想要“放过”人类的迹象,疫情不仅影响全球经济发展,社会正常运转,甚至成为网络攻击、勒索软件快速增长的温床,”滋养“了一系列网络安全问题。

令人吃惊的是,新冠检测信息这种高敏感数据躲过了黑客攻击,却因人为原因大规模泄露。实时筛出携带新冠病毒个体,可以有效阻隔疫情传播,但检测时需要收集大量民众个人信息,存储、监管如此数量级的数据会存在很大安全风险,更不用说,网络犯罪分子早就盯上了核酸相关信息这块香饽饽。

本文盘点一些典型新冠核酸检测信息泄露事件 ,我们一起看看其中的“神操作”。

印度屡屡贡献信息泄露的神操作

新冠疫情蔓延至印度后,使其成为了主要的“毒窝”,培育出诸如德尔塔等众多变异毒株。面对疫情,印度政府不仅没有采取科学防疫措施,其新冠检测数据更是频频泄露,甚至处于放任自流的状态。

800 万份检测报告数据在暗网出售

2021 年 3 月,安全研究人员 Sourajeet Majumder 称其发现某印度政府网站泄露数百万民众核酸检测结果。随着信息泄漏事件持续发酵,印度政府承认了数据泄露事件,并表示泄露的核酸检测报告大约有 800 万份。

经安全专家分析研究,发现引起核酸数据泄露的原因是政府网站存在问题,从而导致核酸检测结果泄露。(泄露信息中含有姓名、年龄、婚姻状况、检测时间、居住地址等敏感个人信息)。

此次事件并非印度核酸检测结果首次泄露,此前多个新冠病毒实验室采用了存在安全漏洞的二维码,攻击者可以通过枚举测试结果 URL 的方式来窃取病人核酸检测结果。

系统出现安全漏洞,引发数据泄漏,并不只发生在印度,但接下来提到的数据泄漏事件,只有“大英帝国的正统继承人”,“厕所运动发起者”、“肠胃道战士”,没错,正是”印度三哥才能够干出来。

数百万份检测结果暴露,涉事机构置若罔闻

机缘巧合之下,知名安全研究员 Anurag Sen 发现印度某家医疗软件供应商的 Elasticsearch 服务器暴露在互联网上。

这种情况立刻引起了 Anurag 的重视,随机对服务器进行详细分析,发现服务器暴露了23 GB 的 COVID 抗原检测结果。这些数据信息及其详尽,不仅包括个人记录,还有往来印度人士的医疗记录,其中身份信息主要是姓名、国籍、出生日期、完整地址、电话号码、投票 ID 编号、COVID 测试结果、Aadhaar 医保编号、护照编号、基础疾病情况疫苗详细情况等,涉及受害人数超过 170 万。

值得注意的是,其中还涉及一些美国、加拿大和印度公民。

Anurag 意识到事情的严重性,立刻联系服务器运营公司。令人迷惑的是,本该迅速修补漏洞的医疗软件提供商,一个多星期后也迟迟未做任何回应。

目前该服务器仍然保持公开,任何人员无需任何安全身份验证或密码即可直接访问,是否有黑客已经盯上并利用了这些数据仍不得而知,但可以确定的是,一旦网络犯罪分子掌握这些信息,170 万民众以及服务器所有方都将面临严重网络安全威胁。

印度作为互联网世界永远的神,连”牛尿新冠特效药“都能发明出来,无论发生什么稀奇古怪的事情也不会引起疑惑,但离谱到相关单位已经收到了安全威胁预警,依旧选择置若罔闻,将大量敏感数据信息”赤裸裸“暴露给网络犯罪分子,完全展现其对民众数据信息安全性的蔑视。

现阶段,随着万物互联紧密度逐渐加深,势必会产生海量数据信息,很难做到”绝对“安全,发生数据泄露也在所难免,但一定要有态度。若相关机构发现数据泄露风险,置之不理,实难逃脱责任。

“严谨的”的德日同样逃不过数据泄漏

“喝清澈恒河水,吃干净印度饼“,三哥作为中文互联网群嘲老玩家,名场面实在太多,但下面”青岛下水道”、“马桶水干净可饮”等故事背后主人公出现数据泄露,就很难理解了。

媒体披露,德国柏林数个新冠病毒检测站点的数据运营商因使用不安全的软件解决方案,致使数十万人的数据信息泄露。

从调查结果来看,大约 20 万至 40 万人的数据受到影响,民众的核酸检测结果、姓名、电话、住址和电子邮箱等信息遭到泄露,部分人的身份证和护照信息也遭泄露。

相比较德国,日本数据泄漏带来的影响相对较低。

埼玉县政府官网上刊登了一份所有人可见的文件,记载了 191 名新冠患者的姓名、住址等信息,直到 5 个多小时后,经外部人员指出才被删除。在这段时间内,该文件被阅览了115次。

据悉,这件事情的根源是埼玉县政府在公布上个月某天新增确诊病例信息时,出现了失误。一名政府雇员在修改时误将当日确诊名单上传至官网。通常情况下,上传官网的名单要经过处理,隐去患者的姓名,但由于该雇员糊涂地将处理前后两种文件放在同一个文件夹,并误选了原始的名单。

核酸信息数据泄漏带来那些危害?

毋庸置疑,民众核酸数据信息十分重要,核酸信息几乎包含了民众所有基础个人信息,一旦落入不法分子手中将会带来很大安全隐患,给生活带来极其其恶劣的影响。以下整理了几种常见数据泄露引发的安全问题。

1. 垃圾短信、骚扰电话、垃圾邮件源源不断:个人信息泄露后,民众电子邮箱每天会收到大量垃圾邮件外,此外还会接到陌生人打来的推销电话;

2. 诈骗电话持续轰炸:核酸信息中包含了很多民众基础信息,诈骗分子得到这些信息后,就会集中精力,相互配合,编造各种谎言,实施诈骗活动。

3. 冒充公检法要求受害者转账:一些胆大妄为的网络犯罪分子甚至会冒充公安局、检察院等权力部门,详细说出受害者个人信息,并绘声绘色地描述近期诈骗案件,之后假意提醒银行账户存在安全风险,需要转入一个安全转账中,这时候迷迷糊糊的受害人就可能上当了。

4. 案件事故:最糟糕的是,不法分子可能利用受害者个人信息,进行违法犯罪活动,受害者可能不明不白被警察传唤或被法院传票通知出庭。

随着大数据技术不断发展,再加上疫情对工作模式的改变,个人信息泄露事件层出不穷,愈演愈烈。民众信息一旦泄漏,带来的危害往往难以估量,轻则受到垃圾邮件、广告短信的长期骚扰,严重的会造成巨大经济损失。

核酸信息泄露亟待解决

核酸信息泄露,归根结底还是民众个人信息泄露,为何这些年信息泄露屡禁不止?小编认为还是处罚力度的问题,因此必须要完善顶层制度建设,加大对泄露和滥用个人信息的处罚力度,让网络犯罪分子付出沉重代价。

当前,全球多个国家已经纷纷颁布数据保护的相关法律法规,旨在对信息安全与隐私保护相关事项进行规范与引导。例如中国颁布的《网络安全法》和《个人信息保护法》、GB/T 35273个人信息保护条例,欧盟 GDPR 通用数据保护条例,美国加州 CCPA 隐私保护条例,美国内华达州 SB220 数据隐私法,英国DPA2018 数据保护法等。此外,为了应对越来越多信息泄露及信息滥用的现状,国际标准化组织 ISO 也在信息安全、隐私安全、云安全等相关领域发布了诸多国际标准。

各个国家的法律法规明确了政府机关对数据信息的保护义务,是保护数据安全硬性要求,对数据所有者、数据处理者、数据监管者起到了很大的震慑作用,但真正能够最大程度地减缓数据泄漏还是需要加强数据安全意识培训。网络安全意识教育能够全面提升社会民众的安全意识与安全防护能力,从而侧面地推动企业机构重视数据保护,从根本上杜绝数据泄露。

写在最后

新冠检测有助于更好地筛选出阳性病人,从而阻断疫情传播,但存在的信息安全隐患同样不可忽视。核酸信息往往会包含民众姓名、电话号码、工作和家庭地址以及身份证号码基础信息。一旦核酸信息泄露,民众就几乎“裸奔了”,给其工作生活增加许多障碍。

核酸信息这种高敏感信息尚且会泄露,其它信息数据就更难保证安全性,数据信息保护已经来到不得不做的时刻,各国政府应更加细化法律法规,规范信息收集、存储、使用各个环节,对造成个人信息泄露的单位负责人或相关人员,依法进行严肃处理,以儆效尤。

]]>
违规处理政务类数据,某科技公司违反《数据安全法》被行政处罚 Wed, 30 Nov 2022 16:23:54 +0800 近期,上海网信办发现,某科技公司在处理政务类数据时违规操作,且未采取相应的技术措施和其他必要措施保障数据安全,导致数据存在泄露风险。上海网信办依据《中华人民共和国数据安全法》对该公司责令改正,给予警告,并处以人民币五万元罚款的行政处罚。

上海网信办相关负责人表示,数据安全关乎人民群众切身利益,关乎国家安全和社会稳定,上海网信办将针对数据安全保护义务履行不力,造成重要数据泄露风险的违法违规行为加强监督检查和执法,进一步营造安全稳定的网络环境。

法律·链接

《中华人民共和国数据安全法》第二十七条:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。

重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。

《中华人民共和国数据安全法》第四十五条规定:开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

]]>
键盘残余热量可能泄露密码,20秒内拍下键盘热像图,密码泄露86% Wed, 30 Nov 2022 16:23:54 +0800 如果攻击者可以从用户在键盘上留下的热量猜出密码怎么办?英国格拉斯哥大学计算科学学院的计算机安全研究人员成功地部署了这种实验。

副教授穆罕默德·哈米斯(Mohamed Khamis)领导的一个团队开发了ThermoSecure系统,该系统使用红外热像仪来猜测和识别用户最后触摸的键位,然后利用人工智能分析热像图,热像图中越亮的键位,表明它被触摸的时间距离现在越短。这一研究论文发布在即将出版的《ACM隐私与安全交易》杂志中。

研究人员使用该系统可猜测计算机键盘、智能手机屏幕、ATM键盘上的密码和PIN。研究结果非常惊人,在20秒内拍摄热像图时,密码的还原率为86%;30秒内拍摄,密码的还原率为76%;60秒内拍摄,密码还原率为62%。

使用ThermoSecure系统,研究人员可以破解多达16个字符的三分之二的密码。较短的密码更容易被破解:12个字符的密码在82%的时间内被猜到,八个字符的密码被破解的概率是935。六个字符或更少字符的密码被破解的概率是100%。

虽然该系统仅用于研究,但此演示是一个明确的警告,即短密码和PIN(例如我们用于在ATM上访问银行帐户的密码和PIN)特别容易受到攻击。

更重要的是,像哈米斯团队使用的工具越来越容易获得。他表示,“使用红外热像仪比以往任何时候都更实惠,它们的价格不到200英镑(220美元),机器学习也变得越来越容易获得。这使得世界各地的人们很可能正在沿着与ThermoSecure类似的路线开发系统,以便窃取密码。”

]]>
广州网警侦办多起黑客违法犯罪案件 Wed, 30 Nov 2022 16:23:54 +0800 根据“净网2022”专项行动工作部署,广东网安部门严厉打击黑客类违法犯罪行为。

今年以来,共破获黑客类案件142起,抓获涉案嫌疑人424名,依法刑事拘留343人,有力打击了相关违法犯罪活动。以下为重大典型案例:

● 破坏信息系统,严重扰乱民生秩序

广州网安部门破获安某等人提供入侵、非法控制计算机信息系统程序、工具案,抓获犯罪嫌疑人15名,捣毁犯罪团伙生产窝点2个,扣押涉案物品一大批。

该案嫌疑人生产的遥控设备可通过截获复制、扫描破解车辆道闸系统开启信号等方式,对车辆道闸系统进行非法控制,达到逃费目的。

该案嫌疑人还发展代理商,在网络平台售卖设备。

● 非法篡改数据,破坏网络安全秩序

广州网安部门破获某团伙篡改数据代打车案。

该犯罪团伙通过篡改网络数据包,修改打车目的地坐标和订单号,修改打车实际金额,从而绕过平台的预支付款机制。

下游中介进而实施“代叫车”,打车结束后,以正常打车价的3到5折向乘客收取费用,并弃用打车账号(即逃单),涉案金额百万元。

近日,广州公安机关开展收网行动,一举抓获嫌疑人19名。

● 搭建虚假网站、植入木马病毒牟利

广州网安部门侦破林某某等人涉嫌非法获取计算机信息系统数据案。

该团伙成员通过发布广告吸引需要兑换泰达币(一种虚拟货币)的受害人登录虚假第三方支付网站,再以开通充值商户需要绑定IP等为由,在受害人电脑植入木马病毒,从而获取电脑中的键盘记录、密码、虚拟货币公钥、私钥、助记词等信息,达到窃取受害人泰达币,并利用境外博彩诈骗资金跑分套现的目的。

近日,广东广州公安机关开展收网行动,一举抓获并刑拘嫌疑人59名,串并全国涉该团伙的电信诈骗案件800余宗。

]]>
快一年了,VMware这一高危漏洞仍未解决 Wed, 30 Nov 2022 16:23:54 +0800 据Bleeping Computer消息,VMware于10月11日通知客户,vCenter Server 8.0(最新版本)仍在等待补丁来解决 2021 年 11 月披露的高严重性特权提升漏洞。

该安全漏洞 CVE-2021-22048 由 CrowdStrike 的 Yaron Zinar 和 Sagi Sheinfeld 在 vCenter Server 的 IWA(集成 Windows 身份验证)机制中发现,影响范围涉及到了 VMware 的 Cloud Foundation 混合云平台部署,具有非管理访问权限的攻击者可以利用漏洞,在未打补丁的服务器上将权限提升到更高权限组。

VMware 表示,只有使用与目标服务器相邻的向量网络的攻击者才能利用此漏洞作为高复杂性攻击的一部分,该攻击需要低权限且无需用户交互(但是NIST NVD 的 CVE-2021-22048 条目表示它可以远程利用低复杂性攻击)。

尽管如此,VMware 仍将该漏洞的严重性评估为“重要”, 这意味着通过用户协助或经过验证的攻击者能利用漏洞泄露用户数据。

公司曾在 2022 年 7 月发布安全更新,但仅解决了当时运行最新可用版本(vCenter Server 7.0 Update 3f)的服务器漏洞,即便如此,该补丁也在发布 11 天后被撤回,因为它没有修复漏洞并导致 Secure打补丁时令牌服务 (vmware-stsd) 崩溃。

补丁发布之前的解决方法

尽管所有受影响产品都还在苦苦等待补丁的到来,但 VMware 提供了一种解决方法,允许管理员删除攻击媒介。

为了阻止攻击尝试,VMware 建议管理员从受影响的集成 Windows 身份验证 (IWA) 切换到 Active Directory over LDAPs 身份验证或 AD FS 身份提供程序联合身份验证(仅限 vSphere 7.0)。

]]>
英特尔确认Alder Lake BIOS源代码已泄露 Wed, 30 Nov 2022 16:23:54 +0800 据Bleeping Computer 10月9日消息,英特尔已向知名硬件网站Tom's Hardware确认了其第十二代酷睿处理器Alder Lake 的UEFI BIOS 源代码已经泄露。

英特尔表示:“我们的专有 UEFI 代码似乎已被第三方泄露,但我们认为这不会暴露任何新的安全漏洞,因为我们不依赖混淆信息作为安全措施。此代码包含在我们的漏洞赏金计划“Project Circuit Breaker活动中,我们鼓励任何可能发现潜在漏洞的研究人员通过该计划与我们取得联系。我们正在与客户和安全研究社区联络,让他们了解事件情况。”

10月7日,名为“freak”的 Twitter 用户发布了据称是英特尔 Alder Lake 的 UEFI 固件源代码的链接,并声称该固件是由 4chan 提供。该链接指向名为“ICE_TEA_BIOS”的 GitHub 存储库,该存储库由名为“LCCFCASD”的用户上传。其描述称“来自 C970 项目的 BIOS 代码”,总大小 5.97 GB,包括源代码、私钥、日志和编译工具,最新的时间戳显示是 2022 年 9 月 30 日,可能是黑客或内部人员复制了数据。

BleepingComputer 被告知,所有源代码都是由 UEFI 系统固件开发公司 Insyde Software Corp 开发。但泄露的源代码还包含大量关于联想公司的引用内容,包括联想字符串服务、联想安全套件和联想云服务集成代码。

目前尚不清楚源代码是在网络攻击期间被盗还是被内部人员泄露。

尽管英特尔淡化了源代码泄漏的安全风险,但安全研究人员警告称,这些内容可以更容易地发现代码中的漏洞。硬件安全公司Hardened Vault认为,即使被泄露的OEM只部分用于生产中,攻击者及漏洞猎手也能从中找出破绽,比如Insyde解决方案漏洞,并能轻松进行逆向工程,这将长期增加用户的使用风险。

Positive Technologies 硬件研究员 Mark Ermolov 也警告称,泄露的内容包括一个用于保护英特尔 Boot Guard 平台的私有密钥KeyManifest,如果该私钥用于实际生产,攻击者可能会利用它来修改英特尔固件中的启动策略并绕过硬件安全性。

BleepingComputer 已联系英特尔、Insyde 和联想,询问有关泄漏以及私钥是否在生产中使用的相关问题。

]]>
宜家智能照明系统发现漏洞,可能导致灯泡闪烁恢复出厂设置 Wed, 30 Nov 2022 16:23:54 +0800 据The Record报道,研究人员在宜家的智能照明系统中发现了两个漏洞,允许攻击者控制该系统并使灯泡快速闪烁,还可能导致恢复出厂设置。

两个漏洞影响了宜家的E1526型Trådfri网关1.17.44及之前版本。该产品的价格约为80美元,通常用于照亮书架和梳妆台。

Synopsys网络安全研究中心的Kari Hulkko和Tuomo Untinen表示,他们在2021年6月就将这两个漏洞(CVE-2022-39064和CVE-2022-39065)告知宜家。CVE-2022-39064的CVSS评分为7.1,其核心是Zigbee协议,一种用于无线电、医疗设备和家庭自动化工具等低功率、低数据率设备的无线网络类型。

该漏洞允许攻击者通过该协议发送一个恶意帧,使宜家的TRÅDFRI灯泡闪烁。如果攻击者多次重发该恶意信息,灯泡就会执行出厂重置。

2021年10月底,宜家回应称,正在制作一个漏洞修复程序。该公司在2022年2月16日公布了CVE-2022-39065的修复方案,并在6月公布了CVE-2022-39064的部分补救措施。

宜家的一位发言人向媒体表示,自披露以来,该公司已与Synopsys合作,以改善其智能设备的安全和功能。该发言人表示,由于Zigbee协议的设计,所发现的问题并没有危及客户安全,攻击者不能获得TRÅDFRI网关或智能设备内的敏感信息。

Hulkko和Untinen说,虽然CVE-2022-39065已经在所有1.19.26或更高版本的软件中得到解决,但CVE-2022-39064还没有得到完全处理。“V-2.3.091版本修复了一些畸形帧的问题,但不是所有已知的畸形帧,”他们说,并分享了该漏洞的一个视频。宜家没有回应关于何时发布完整补丁的评论请求。

物联网安全公司Viakoo首席执行官Bud Broomhead解释说,像这样的漏洞的危险性在于它可以导致出厂重置。对于许多Zigbee和相关的物联网设备,这可能会导致物联网设备连接到威胁行为者控制的Zigbee网络。

他指出:“很庆幸这只是灯泡,而不是门锁、摄像机或工业控制系统,所有这些都可以通过Zigbee连接,被攻破和利用后会产生更多的破坏性后果。”

]]>
美国多家机场遭黑客攻击,疑似亲俄黑客所为 Wed, 30 Nov 2022 16:23:54 +0800 Bleeping Computer 网站披露,亲俄黑客组织 “KillNet ”声称对美国几个主要机场的网站进行了分布式拒绝服务(DDoS)攻击,海量垃圾请求淹没了承载机场网站的服务器,导致部分旅客无法获得其预定航班的更新信息,也不能预订机场服务。

据悉,受此次网络攻击事件影响,包括亚特兰大市哈茨菲尔德-杰克逊国际机场和洛杉矶国际机场在内的十余个机场的网站出现故障。(这两个也是美国最繁忙的两个机场)

其它遭受攻击的机场主要包括芝加哥奥黑尔国际机场(ORD)、奥兰多国际机场(MCO)、丹佛国际机场(DIA)、凤凰城天港国际机场(PHX),此外肯塔基州、密西西比州和夏威夷的一些机场网站也没能幸免。

除了上述攻击目标外,KillNet 黑客组织还在其Telegram频道上列出了一些域名,以便组织成员和其他黑客可以获取新的攻击目标。

KillNet 黑客组织通过特定软件生成针对目标的虚假请求和垃圾流量,目的是耗尽目标的资源,使合法用户无法使用这些资源, 虽然这种情况,DDoS攻击可能不会影响航班,但是可能会中断或延迟某些服务。

KillNet“盯上了”西方国家

此前,KillNet 组织曾将罗马尼亚和意大利等站在乌克兰一边的国家作为主要攻击目标,其 “子集团 ”Legion也因类似原因攻击了了挪威和立陶宛等国重要实体机构。不难看出,随着俄乌冲突进入新的阶段,亲俄黑客组织正试图加强对西方世界报复性网络攻击。

值得一提的是,自俄乌冲突以来,尤其是欧盟宣布制裁俄罗斯后,,KillNet 黑客组织DDoS 攻击目标似乎主要集中在欧盟。美国作为北约“事实上”的话事人,一直是俄罗斯的主要军事对手,从俄乌冲突爆发初期,持续向乌克兰方面提供军事情报和设备,但似乎没有受到亲俄黑客势力的攻击。

直到上周,KillNet 组织的攻击范围才扩大到美国,主要攻击了科罗拉多州、肯塔基州和密西西比州一些政府网站,并取得了一定的成功。

]]>
宇宙级杀猪盘:“俄宇航员”称要回地球 骗日本老人21万 Wed, 30 Nov 2022 16:23:54 +0800 相较于盗号假扮熟人,诈骗个电话费、生活费什么的低级诈骗方式,“杀猪盘”的诈骗危害要更大,不仅诈骗金钱,还会欺骗感情,最终受害者落个人财两空。只不过,现如今的杀猪盘,诈骗分子的脑洞也是越来越大,就连“宇航员回地球”这样的离谱背景,也能编排出来。

近日,据报道,日本滋贺县一名六旬妇女6月在网上认识了一名自称“俄罗斯宇航员”的男子,两人在聊天中逐渐产生了恋爱的感觉。

“俄罗斯宇航员”进行糖衣炮弹轰炸时,顺势要求被害人提供“返回地球的火箭和着陆费用”,并承诺“回到地球就结婚”。

被害人在8月至9月期间陆续汇款5次,总金额大约440万日元(约合人民币21.5万元),随后才意识到被骗。

警方认为这是一场“国际杀猪盘”,目前正展开详细调查,并敦促市民谨慎交友。

]]>
以色列国防巨头埃尔比特系统的美国分公司遭黑客攻击 Wed, 30 Nov 2022 16:23:54 +0800 以色列国防承包商埃尔比特系统公司的美国分公司表示,其网络在6月初遭到黑客攻击,员工的个人信息被盗。埃尔比特系统美国分公司在提交给缅因州总检察长办公室的一份通知中说,有369名员工受到数据泄露的影响,其中包括员工姓名、地址、出生日期、直接存款信息、种族和社会安全号码。

在通知中,这家位于得克萨斯州的公司几乎没有分享任何细节,只是说“有人试图干扰美国埃尔比特公司的网络运营”,而且其调查正在进行。

埃尔比特系统美国分公司没有把这次入侵归咎于某个特定的威胁集团或政府,也没有说它认为它被攻击的原因。埃尔比特公司在美国和以色列的发言人都没有回应评论请求。

总部位于以色列海法的母公司埃尔比特系统公司是一家国防技术和电子巨头,为世界各地的军队和政府制造无人驾驶飞机、电子战系统和其他情报收集、侦察和监视系统。

埃尔比特公司在监控软件市场也有涉猎。2015年,埃尔比特公司以大约1.6亿美元的价格收购了Nice Systems公司的网络和情报部门,并将其分拆为一个名为Cyberbit的子公司。两年后,互联网监督机构Citizen Lab的研究人员发现,由Cyberbit构建的商业间谍软件被用来监视美国和英国的埃塞俄比亚持不同政见者。互联网监督机构说,这些间谍软件冒充假的浏览器插件,旨在从受害者的电脑中提取私人用户数据,包括电子邮件、密码和屏幕截图。

Citizen Lab说,埃塞俄比亚政府可能下令进行监视。

埃尔比特公司在2020年出售了其在Cyberbit的股份,在美国私募股权公司Charlesbank Capital Partners投资7000万美元后,成为少数股东。

Cyberbit是设在以色列的几个已知的间谍软件制造商之一,包括NSO集团、Cytrox和Candiru。

]]>
新型Android恶意软件\"RatMilad\"乔装正常应用以监视受害者 Wed, 30 Nov 2022 16:23:54 +0800 移动安全公司Zimperium发现了一种名为"RatMilad"的新Android恶意软件,目标是中东地区的移动设备。据该公司称,该恶意软件被用于网络间谍活动、敲诈勒索或窃听受害者的谈话。

该恶意软件隐藏在一个名为"NumRent"的欺诈性VPN和电话本应用程序背后。NumRent通过社交媒体上的链接以及Telegram和WhatsApp等通信应用程序分发。为了让人们相信该应用程序的合法性,其背后的网络犯罪分子创建了一个网站为该应用程序做广告。

一旦安装,RatMilad隐藏在VPN连接后面,并持续渗出设备上的数据,如:

短信

通话记录

剪贴板数据

设备信息(例如,型号、品牌、构建号、Android版本)。

GPS位置数据

SIM卡信息

联系信息

已安装的应用程序列表

更重要的是,RatMilad可以删除数据和上传文件到其命令和控制服务器,修改应用程序的权限,并使用设备的麦克风录制音频和窃听对话。

据Zimperium称,RatMilad背后的网络犯罪分子采取随机目标的方式,而不是有针对性地面向某些个人和企业。

为了保护你的Android设备免受RatMilad和其他恶意软件的侵害,请避免从第三方应用程序商店下载应用程序。此外,经常扫描恶意软件,并审查你的应用程序的权限,看看是否有任何可能看起来不合适的地方。

]]>
泄露的英特尔酷睿Alder Lake BIOS的5.9GB源代码被发布到GitHub上 Wed, 30 Nov 2022 16:23:54 +0800 之前我们报道过英特尔酷睿Alder Lake BIOS的源代码已在被完整地泄露了,未压缩版本的容量有5.9GB,它似乎可能是在主板供应商工作的人泄露的,也可能是一个PC品牌的制造伙伴意外泄露的。

一些Twitter用户似乎认为该代码源自4chan。昨天,它进被分享到了GitHub,在今天早些时候被撤下之前,有人查看了它的源代码日志,发现最初的提交日期是9月30日,作者被标记为LC Future Center的一名员工,这是一家可能生产笔记本电脑的公司,该代码现在依然可以从几个镜像中获得,并在互联网上被分享和讨论。

分析所有5.9GB的代码可能需要好几天时间,但有人已经发现了一些有趣的部分。显然,有多处提到了"功能标签测试",进一步将泄漏与OEM厂商联系起来。其他部分据称提到了AMD的CPU,这表明代码在离开英特尔后被修改了。最令人震惊的是,一名研究人员发现了对未记录的MSR的明确引用,这可能构成重大的安全风险。

MSR(特定型号寄存器)是只有BIOS或操作系统等特权代码才能访问的特殊寄存器。供应商使用它们来切换CPU内的选项,如启用调试或性能监控的特殊模式,或某些类型的指令等功能。

一款CPU可能有数百个MSR,而英特尔和AMD只公布了其中一半到三分之二的文档。未记录的MSR通常与CPU制造商希望保密的选项有关。例如,研究人员发现AMD K8 CPU内的一个未记录的MSR是为了启用特权调试模式。MSR在安全方面也发挥着重要作用。英特尔和AMD都使用MSR选项来修补其CPU中在硬件缓解之前的Spectre漏洞。

安全研究人员已经表明,通过操纵未记录的MSR,有可能在现代CPU中创建新的攻击载体。这可能发生的情况非常复杂,不一定是现在正在发生的事情,但它仍然是一种可能性。应由英特尔来澄清情况和对其客户造成的风险。

]]>
厌倦了数据泄露让印尼人破罐破摔 开始反向支持暴露13亿张SIM卡信息的黑客 Wed, 30 Nov 2022 16:23:54 +0800 8月31日,一个名为Bjorka的用户在一个名为Breached Forums的鲜为人知的网站上发布了一条信息,标题很平淡。"印度尼西亚SIM卡(电话号码)注册13亿"。这几个字预示着对13亿张SIM卡注册的巨大数据黑客攻击--它揭示了国民身份号码、电话号码、电信供应商的名称等等。

8月31日,一个名为Bjorka的用户在一个名为Breached Forums的鲜为人知的网站上发布了一条信息,标题很平淡。"印度尼西亚SIM卡(电话号码)注册13亿"。这几个字预示着对13亿张SIM卡注册的巨大数据黑客攻击--它揭示了国民身份号码、电话号码、电信供应商的名称等等。

印度尼西亚人在混乱中惊醒,并迅速转为愤怒。通信和信息技术部(Kominfo)的回应是,告诉公民他们有责任定期更换密码。这一甩锅的做法让印尼政府部门成了顶流,网民们并开起了苦涩的玩笑。一位官员在一次新闻发布会上无奈地恳求Bjorka。"如果你可以,请不要攻击。""别再当白痴了,"比约卡在他们的Breach账户上反唇相讥。

数字权利组织Safenet将Bjorka事件称为亚洲有史以来最大的数据泄露案件,如果不是如此普遍,可能会更令人震惊。

印度尼西亚人的数据以如此快速和有规律的速度曝光,以至于公民们开玩笑地称其为"开源国家"。

2020年,包括电子商务巨头Tokopedia和Bukalapak在内的公司泄露了超过1亿用户的个人数据。第二年,一名黑客攻破了BPJS Kesehatan的数据库,这是该国的医疗保健和社会保障机构,暴露了2.79亿人的国民身份证号码等,其中一些人已经去世。

经过多年来越来越肆无忌惮的泄密事件,印度尼西亚人的挫败感达到了沸点--这足以促使9月份匆忙通过一项拖延已久的个人数据保护法案,并成立了一个专门负责追捕黑客Bjorka的特别小组。

在一个转折点上,许多印度尼西亚人甚至站在了黑客一边,黑客声称实施这次入侵是为了暴露数据管理的不完善。伴随着又一次公民数据泄漏,Bjorka在Kominfo部长Johnny G. Plate生日当天公开挑战:"生日快乐!"据报道,攻击者在他们的Telegram频道,Bjorkanism发布了一系列主管官员的身份细节,从他的地址到家庭电话号码到疫苗ID。

"2018年,[Kominfo]强迫我们用[政府身份证]注册电话号码,承诺我们没有垃圾邮件,"网络安全顾问Teguh Aprianto在Twitter上指出。"[不仅]我们没有摆脱垃圾邮件,[而且]注册数据......反而被泄露和出售。"这条推文迅速被分享了17000多次,并被大约27000个账户所点赞--这只是在社交媒体上飞舞的一系列针对Kominfo的愤怒帖子和标签中的一个。

Kominfo和国家网络和加密机构(BSSN)没有对评论请求作出回应。

东爪哇省马朗市的讲师玛丽亚姆-贾梅拉(Maryam Jameelah)承认,当在新闻上看到最近的数据泄露案件时,感到很受打击。两年前,Jameelah是Tokopedia数据泄露事件的受害者之一,几个月来,她会收到从未做过的交易账单。

"我不得不改变我的号码和我所有的账户,"Jameelah告诉Rest of World。"这非常令人不安。"

Mulyadi是一家四大公司的IT审计师,他认为印尼政府有责任,并希望采取进一步行动。Mulyadi说:"聘请一名顾问,调查哪些数据被入侵,根本原因是什么,以及下一步是什么,"他还对发送到他私人号码的垃圾邮件感到沮丧。"对我们来说,重要的是知道有一个具体的行动。"

尽管个人数据保护法案已经通过,其中详细规定了在数据泄露的情况下对数据处理者和公司的刑事制裁,但专家们说,这些新措施是暂时的,旨在冷却印度尼西亚人的愤怒。

"这取决于谁是[工作队]的成员。他们有能力吗?"媒体追踪网站Drone Emprit的创始人Ismail Fahmi告诉Rest of World。"这只是短期的。"

这个问题的核心是对数据安全的拼凑方法。一位政府官员向媒体表示,公司经常与印尼内务部门分享国民数据,以核实他们的身份。一些国家部门被授权保护公民私人数据的某些部分,这些部门包括Kominfo、BSSN、内政部和国家警察。因此,当泄漏发生时,并不总是清楚泄漏的源头:是来自政府机构还是公司本身。

这些国家部门也应该一起工作。但是缺乏协调,而泄密却很猖獗。例如,Kominfo主持通信、信息和互联网法律;BSSN的任务是改善系统,防止黑客攻击;而警方的网络犯罪部门则负责执行网络犯罪相关法律,包括黑客攻击、网络污损、仇恨言论、欺诈和数据盗窃。同时,内务部作为所有印度尼西亚人的民事记录的持有者,预计将拥有一个无懈可击的安全系统。

这位政府官员向Rest of World解释说,当数据泄露发生时,Kominfo、国家网络安全机构BSSN和平台都在进行调查,但没有系统让他们充分协调结果。

这位官员说:"不幸的是,[国家部门]几乎从不与Kominfo分享他们的调查结果,所以该部往往被迫只根据合规信息提出建议,"这样松散的部门构成了基本的安全框架。

现在,印尼人的大部分希望似乎都取决于个人数据保护法案和随后将建立的新的权力机构。总统将有特权决定谁将成为新机构的成员。

政策研究和宣传研究所(ELSAM)的执行主任Wahyudi Djafar告诉Rest of World,他支持法案中关于建立数据保护机构的规定。但是,贾法尔警告说:"如果该机构不是作为一个独立的机构建立的,就很难保证法案的有效性"。

"挑战在于这个机构的权力有多大,[这]将完全取决于总统的诚意,"贾法尔补充说。

]]>
2K确认一些用户数据被窃和用于出售 Wed, 30 Nov 2022 16:23:54 +0800 2K确认最近的黑客攻击导致一些玩家的个人信息被窃,被发布出来出售。今年9月,2K称其客户服务可能被盗用,警告那些可能受影响的玩家更改他们的密码。2K当时解释说,一个第三方非法访问了该公司使用的帮助台平台的其中一个供应商凭证,然后访问了客户的机密信息,并向一些玩家发送了恶意链接。

10月6日,2K开始联系那些信息被窃取并被出售的客户。

该公司解释说:“未经授权的第三方访问并复制了您向我们寻求支持时记录的一些个人数据,包括您的电子邮件地址、帮助台ID号、玩家标签和控制台详细信息。没有迹象表明我们系统中保存的任何您的财务信息或密码被泄露。

然而,出于谨慎考虑,我们鼓励所有玩家重新设置密码,如果他们还没有这样做的话,我们鼓励他们通过启用多因素认证来保护自己的账户。”

]]>
美国第四大医疗系统CommonSpirit Health疑似遭勒索软件攻击 Wed, 30 Nov 2022 16:23:54 +0800 美国大型连锁医院之一疑似遭到勒索软件攻击,导致手术延迟、患者护理中断以及在全国范围内重新安排医生预约。拥有逾 140 间医院、被《贝克尔医院评论》(Becker's Hospital Review)杂志评为全美第四大医疗系统的 CommonSpirit Health 本周二宣布遭遇“IT 安全问题”,迫使某些系统宕机。

虽然 CommonSpirit 拒绝透露具体细节,但一位熟悉其补救措施的人士向 NBC 新闻证实,它遭受了勒索软件攻击。CommonSpirit 也拒绝分享有关其有多少设施出现延误的信息。然而,包括田纳西州的 CHI 纪念医院、德克萨斯州的一些圣卢克医院和西雅图的弗吉尼亚梅森方济会健康中心在内的多家医院都宣布受到影响。

一位不愿透露姓名以保护家人的医疗隐私的德克萨斯州妇女说,她和她的丈夫已于周三抵达 CommonSpirit 附属医院进行此前计划的大手术,但医生推荐等待医院的技术问题修复之后再进行手术。

对医疗保健链的勒索软件攻击相对普遍,两年多来一直是美国医疗系统的频繁部分。即使攻击没有关闭医院,它也可以使部分或全部数字系统脱机,从而切断医生和护士对数字信息的访问,例如患者记录和护理建议。

]]>
泄露约30万用户信息,丰田公开道歉 Wed, 30 Nov 2022 16:23:54 +0800 据路透社报道,丰田汽车公司旗下T-Connect服务出现安全事故,近三十万用户的个人信息可能已经被攻击者窃取。泄露的信息类型包括用户的电子邮件地址、客户号码等,影响范围包括2017年7月以来使用电子邮件地址注册服务的用户。

对于此次信息泄露事件,丰田公开表示“抱歉”。资料显示,T-Connect是一种通过网络连接车辆的远程信息处理服务,车主可通过网络连接车辆。

根据丰田发布的公告,此次信息泄露事件的原因让车主感到无比气愤。开发T-Connect网站的承包商在 2017 年 12 月至2022年 9 月 15 日期间意外上传了部分源代码,从而导致用户信息泄露。

“根据调查,无法从存储信息的数据服务器的访问历史中确认第三方访问安全专家”,丰田进一步强调,“此次事件不会泄露敏感用户的个人信息,例如姓名、电话号码或信用卡信息。”但是,用户还是需要提高警惕,谨防第三方攻击者利用这些信息发送网络钓鱼邮件。

 黑客攻击导致数据泄露 

近年来,丰田汽车频频遭受黑客和勒索组织攻击,并导致发生了多次数据泄露事件。

2022年3月,丰田旗下子公司-日本电装株式会社(以下简称“电装”)遭遇勒索软件攻击,有大量的内部资料被黑客获取。在此之前,一个名为“Pandora”的黑客组织称已经入侵电装公司,并获取超过15.7万份订购单、邮件和设计图纸等总共1.4TB的资料,同时该组织威胁电装称,如果不按要求支付赎金,将在暗网公布这些数据。

此外,在2019年,丰田还因黑客入侵服务器,访问部分销售子公司的数据,导致出现严重数据泄露事件,高达310万客户的信息被攻击者窃取。受影响的子公司包括丰田东京销售控股公司、东京汽车、东京丰田、丰田东京卡罗拉、丰田东京销售网络、雷克萨斯Koishikawa Sales公司、Jamil Shoji及丰田西东京卡罗拉。

在这起用户信息泄露事件中,丰田汽车强调,客户的财务细节并未存储在被黑客攻击的服务器上,也未披露黑客可能访问了哪些类型的数据。

这也是丰田2019年第二次出现网络安全事件。在2019年2月,丰田还曾披露了另外一起网络攻击事件,影响其澳大利亚分公司。将两次攻击相比较,澳大利亚分公司受到的攻击更具破坏性,对澳大利亚公司处理销售和交付造成了影响。一些行业专家认为攻击是APT32 (OceanLotus)所为,这是一家越南网络间谍机构,以专注于汽车行业而闻名。

专家表示,APT32黑客可能想先攻击丰田的澳大利亚分公司,然后进入丰田在日本的中央网络。

]]>
史上之最!澳大利亚40%居民信息被泄露 Wed, 30 Nov 2022 16:23:54 +0800 据infosecurity消息,澳大利亚第二大电信运营商Optus被曝发生严重的数据泄露事件,近1000万用户的个人信息被泄露。而根据澳大利亚2021年人口普查数据,其人口总数约为2500万人。

这意味着,此次数据泄露事件波及人数达到该国40%的左右的人口,并成为澳大利亚史上最大的网络安全事件之一。资料显示,Optus是新加坡电信的全资子公司。通过其OptusNet品牌,它在澳大利亚提供宽带,无线和拨号上网服务,并以稳定而高速的网络著称。

Optus表示,公司正在调查在网络攻击后未经授权访问客户数据的情况,此次涉案信息包括数据库中用户的姓名、出生日期、家庭住址、电话号码、电子邮件地址、驾照号码、护照号码等。

根据Optus公布的消息,该公司目前正在与澳大利亚网络安全中心合作,以减轻对客户的任何风险,提醒用户提高安全意识,谨防各种网络诈骗活动,并向主要金融机构通报了此次攻击和随后的违规行为。

Optus 首席执行官 Kelly Bayer Rosmarin 对这次网络攻击表示遗憾和愤怒,具体的攻击细节尚未披露。尽管如此,根据托管安全服务提供商Tiberium的首席执行官 Drew Perry 的说法,该漏洞可能是由于一项安全技术中的漏洞造成的。

Perry指出,有关该事件的详细信息仍在不断涌现,建议所有 Optus 的客户立即修改密码,并启用多因素身份验证。如果用户在多个账户中使用了相同的密码,请全部更新并使用密码管理器。”

而《悉尼先驱晨报》发表了一篇报道,称 Optus 曾收到了勒索威胁,要求其支付 100 万美元的加密货币,否则黑客将出售数百万客户的个人信息。澳大利亚联邦警察告诉路透社,在“暗网”和其他来源可以购买到 Optus 客户数据和其他“凭证”。

安全专家表示,Optus 客户将面临更高的网络钓鱼攻击风险,他们的账号密码可能已经在暗网上。这些信息有可能被用来训练“人工智能”]网络钓鱼机器人,以此产生逼真的合成媒体攻击。

但是Optus 指出,由于执法部门正在调查此事,因此它可以发布的与此数据泄露有关的信息量是有限的。该电信运营商还指出,属于黑客的IP地址在欧洲不同国家之间移动。

]]>
加拿大政府雇员知法犯法参与NetWalker勒索软件活动被判处20年监禁 Wed, 30 Nov 2022 16:23:54 +0800 一名前加拿大政府雇员因在勒索软件计划中的作用而被判处20年监禁,该计划使他获得了超过2100万美元的收入。Sebastien Vachon-Desjardins,34岁,来自魁北克省,在承认与他参与臭名昭著的Netwalker勒索软件即服务(RaaS)行动有关的指控后,于周二在佛罗里达法院被判刑。

Vachon-Desjardins作为NetWalker勒索软件网络的重要骨干,据信他在那里对一些美国公司和至少17个加拿大实体进行勒索操作。

根据他的LinkedIn个人资料,Vachon-Desjardins在加拿大担任公共工程和政府服务部门的IT顾问,之前他在2021年1月被加拿大警方逮捕,并被判处七年监禁。在搜查他的家时,执法人员发现并缴获了719枚比特币(在撰写本文时价值约为1760万美元),以及79万美元的加拿大货币。美国和比利时当局还查获了NetWalker用来发布从受害者那里窃取的数据的暗网网站。

今年3月,Vachon-Desjardins被引渡到美国,他面临共谋计算机欺诈和电信欺诈、故意破坏受保护的计算机以及传送有关破坏受保护的计算机的要求等指控。

除了被判处20年监禁 - 这远远高于联邦准则建议的12-15年监禁,这位前Netwalker骨干还被没收从全球"几十个"受害者那里非法获得的2150万美元,其中包括公司、市政当局、执法部门、紧急服务、学区、学院和大学。甚至在COVID-19大流行期间,NetWalker还将美国的许多医院作为目标。

佛罗里达州中区联邦检察官罗杰-汉德伯格(Roger B. Handberg)说:"本案的被告在国际卫生危机的高峰期利用复杂的技术手段勒索了许多国家的数百名受害者。"

NetWalker,也被称为"Mailto"于2019年首次出现,此后与几次高知名度的高价值勒索软件攻击事件有关。2020年6月,该组织以加利福尼亚大学旧金山分校为目标,该校支付了超过100万美元的赎金要求。三个月后,NetWalker袭击了网络威胁创业公司Cygilant。根据加密货币分析公司Chainalysis的数据,在2019年8月至2021年1月期间,涉及NetWalker的勒索软件攻击拉动了4600万美元的赎金支付。

]]>
伊朗社会抗议引发信息战:国家电视台又遭篡改 播放“杀死最高领袖” Wed, 30 Nov 2022 16:23:54 +0800 安全内参10月10日消息,支持伊朗女性抗议浪潮的黑客劫持了该国国家电视台的新闻播报,在画面中放出最高领袖阿亚图拉·阿里·哈梅内伊 (Ayatollah Ali Khamenei)头部被十字准星瞄准并在火焰中燃烧的形象。该视频在互联网上广泛传播。

在上周六晚间的电视转播期间,屏幕上出现了一条简短视频,“你的双手,沾满我们年轻人的鲜血。” “加入我们,站起来。”黑客组织Edalat-e Ali(阿里的正义)宣称对此负责。

在这波抗议浪潮中,活动人士在伊朗首都德黑兰各处公共广告牌上喷涂“哈梅内伊之死”和“警察谋杀人民”等字样。

伊朗库德族22岁女孩玛莎·艾米妮(Mahsa Amini)之死是本轮抗议浪潮的导火索。该事件曝光后,街头抗议再次震动德黑兰等多处伊朗城市。。

伊朗国家通讯社IRNA报道称,“警方使用催泪瓦斯驱散了德黑兰数十个地点的抗议人群”,示威者们“高呼口号,还放火烧毁了公共财产,包括一处警察亭。”

艾米妮9月16日身故以后,民众的愤怒被彻底点燃。就在三天前,这位年轻的库尔德女性因涉嫌违反伊斯兰共和国严格的女性着装规定,而被臭名昭著的道德警察逮捕。

篡改视频还播放了艾米妮和另外三名在镇压中丧生的女性的照片。据总部位于挪威的伊朗人权组织称,这场镇压活动已经夺走至少95人的生命。

伊朗人权组织援引总部位于英国的俾路支激进主义者运动的消息称,9月30日,锡斯坦-俾路支斯坦省一名警察局长强奸一名少女的事件引发了骚乱,导致另外 90 人丧生。

伊斯兰革命卫队一名成员上周六在库尔德斯坦省萨南达吉被杀,另一名卫队成员在德黑兰死于“暴徒武装袭击导致的头部重伤”。根据IRNA的统计,目前革命卫队方面的死亡人数已经增加至14人。

“到处都是抗议”

伊朗遭受了近三年来最严重的一波社会震荡,包括大学生及年轻女学生在内的抗议人群高呼“女性、生活、自由”口号。

美国活动家兼记者奥米德·梅马里安(Omid Memarian)在推特上说,“来自德黑兰的视频表明,这座城市里到处都是抗议,已经蔓延到了每一个角落。”

根据亨沃格人权组织称于上周六录制的视频,在艾米妮的家乡库尔德斯坦萨基兹,女学生们高呼口号并走上街头,在空中挥舞着头巾。

尽管伊朗已经全面中断了国内互联网连接,封锁了各大主要社交媒体平台,但该国惨烈的对抗、特别是令人毛骨悚然的血腥镜头仍然在网络之上广为流传。

其中一段视频显示,在库尔德斯坦首府萨南达吉,一名男子被枪杀在自己的车内,该省警察局长阿里·阿扎迪(Ali Azadi)随后称此人是“被反革命势力所杀害”。

另一段在网上引起轩然大波的视频中,愤怒的男人们似乎将一名巴斯基民兵围住,并疯狂殴打。

还有视频片段显示,据称在伊朗东北部的马什哈德,一名年轻女性被枪杀。

社交媒体上许多用户表示,这让人想起妮达-阿迦-索尔坦的遭遇。这位年轻女性在2009年的抗议活动中被枪杀,随后长期成为伊朗反对派的象征。

抗议者的对抗策略

面对暴力与网络限制,抗议者们采取了新策略,开始在公共场所传播自己的抵抗信息。

德黑兰莫达雷斯高速公路立交桥上挂起一面巨大的横幅,写道“我们不再害怕,我们将要抗争。”法新社核实了图片的真实性。

在其他画面中,还能看到一名手持喷漆罐的男子将一条高速公路上的政府广告牌,从“警察服务人民”改成了“警察谋杀人民”。

有传言称,伊朗首都多个喷泉景观被染成血红色。但德黑兰市政公园组织负责人阿里·穆罕默德·莫赫塔里(Ali Mohamad Mokhtari)反驳道,“这种说法纯属造谣,德黑兰的喷泉颜色没有任何变化。”

伊朗指责有外部势力在煽动抗议活动,否则全球数十个城市不可能同时组织起群体示威。与此同时,美国、欧盟及其他多国政府都对伊朗出台了新的制裁。

关于艾米妮的死,伊朗政府上周五公布了法医的调查结果,表示她的死因是长期健康问题,并非活动人士宣称的头部受到打击。

艾米妮的父亲则向总部位于伦敦的伊朗国际组织驳斥了官方的说法,“我亲眼看到玛莎的耳朵和后颈流出了鲜血。”

]]>
以色列国防巨头埃尔比特系统的美国分公司遭黑客攻击 Wed, 30 Nov 2022 16:23:54 +0800 以色列国防承包商埃尔比特系统公司的美国分公司表示,其网络在6月初遭到黑客攻击,员工的个人信息被盗。埃尔比特系统美国分公司在提交给缅因州总检察长办公室的一份通知中说,有369名员工受到数据泄露的影响,其中包括员工姓名、地址、出生日期、直接存款信息、种族和社会安全号码。

在通知中,这家位于得克萨斯州的公司几乎没有分享任何细节,只是说“有人试图干扰美国埃尔比特公司的网络运营”,而且其调查正在进行。

埃尔比特系统美国分公司没有把这次入侵归咎于某个特定的威胁集团或政府,也没有说它认为它被攻击的原因。埃尔比特公司在美国和以色列的发言人都没有回应评论请求。

总部位于以色列海法的母公司埃尔比特系统公司是一家国防技术和电子巨头,为世界各地的军队和政府制造无人驾驶飞机、电子战系统和其他情报收集、侦察和监视系统。

埃尔比特公司在监控软件市场也有涉猎。2015年,埃尔比特公司以大约1.6亿美元的价格收购了Nice Systems公司的网络和情报部门,并将其分拆为一个名为Cyberbit的子公司。两年后,互联网监督机构Citizen Lab的研究人员发现,由Cyberbit构建的商业间谍软件被用来监视美国和英国的埃塞俄比亚持不同政见者。互联网监督机构说,这些间谍软件冒充假的浏览器插件,旨在从受害者的电脑中提取私人用户数据,包括电子邮件、密码和屏幕截图。

Citizen Lab说,埃塞俄比亚政府可能下令进行监视。

埃尔比特公司在2020年出售了其在Cyberbit的股份,在美国私募股权公司Charlesbank Capital Partners投资7000万美元后,成为少数股东。

Cyberbit是设在以色列的几个已知的间谍软件制造商之一,包括NSO集团、Cytrox和Candiru。

]]>
澳大利亚史上最大数据泄露事件,40%的居民信息被泄露 Wed, 30 Nov 2022 16:23:54 +0800 据infosecurity消息,澳大利亚第二大电信运营商Optus被曝发生严重的数据泄露事件,近1000万用户的个人信息被泄露。而根据澳大利亚2021年人口普查数据,其人口总数约为2500万人。

这意味着,此次数据泄露事件波及人数达到该国40%的左右的人口,并成为澳大利亚史上最大的网络安全事件之一。资料显示,Optus是新加坡电信的全资子公司。通过其OptusNet品牌,它在澳大利亚提供宽带,无线和拨号上网服务,并以稳定而高速的网络著称。

Optus表示,公司正在调查在网络攻击后未经授权访问客户数据的情况,此次涉案信息包括数据库中用户的姓名、出生日期、家庭住址、电话号码、电子邮件地址、驾照号码、护照号码等。

根据Optus公布的消息,该公司目前正在与澳大利亚网络安全中心合作,以减轻对客户的任何风险,提醒用户提高安全意识,谨防各种网络诈骗活动,并向主要金融机构通报了此次攻击和随后的违规行为。

Optus 首席执行官 Kelly Bayer Rosmarin 对这次网络攻击表示遗憾和愤怒,具体的攻击细节尚未披露。尽管如此,根据托管安全服务提供商Tiberium的首席执行官 Drew Perry 的说法,该漏洞可能是由于一项安全技术中的漏洞造成的。

Perry指出,有关该事件的详细信息仍在不断涌现,建议所有 Optus 的客户立即修改密码,并启用多因素身份验证。如果用户在多个账户中使用了相同的密码,请全部更新并使用密码管理器。”

而《悉尼先驱晨报》发表了一篇报道,称 Optus 曾收到了勒索威胁,要求其支付 100 万美元的加密货币,否则黑客将出售数百万客户的个人信息。澳大利亚联邦警察告诉路透社,在“暗网”和其他来源可以购买到 Optus 客户数据和其他“凭证”。

安全专家表示,Optus 客户将面临更高的网络钓鱼攻击风险,他们的账号密码可能已经在暗网上。这些信息有可能被用来训练“人工智能”]网络钓鱼机器人,以此产生逼真的合成媒体攻击。

但是Optus 指出,由于执法部门正在调查此事,因此它可以发布的与此数据泄露有关的信息量是有限的。该电信运营商还指出,属于黑客的IP地址在欧洲不同国家之间移动。

]]>
湖南衡阳破获400亿虚拟货币交易洗钱案,或涉大量币安账户被冻结 Wed, 30 Nov 2022 16:23:54 +0800 9月26日,湖南衡阳县公安发布文章,表示破获“9.15”特大洗钱犯罪集团案等9起典型案例,其中“9.15”特大洗钱犯罪团伙涉嫌利用虚拟币交易洗钱金额高达400亿元,目前已串并涉电诈案件300余起。

据相关人士爆料,今年8月,大量币安交易所的账号资金被冻结事件与该案件有关。对此,记者联系了币安,币安方面拒绝对该司法案例做出评论。

除此之外,币安表示,在全球范围内,币安与全球监管机构和执法部门通力合作,以保护生态系统和所有用户的安全,同时币安内部针对执法请求也有着严格的标准作业流程,这是币安在全球范围内一致的态度与做法。如果相关账户确实存在触犯法律的情况,多数司法管辖区的执法部门会要求直接联系用户,币安将持续完善执法支持系统,依照司法进度处理相关事宜。

]]>
网络攻击扰乱酒店供应链!洲际酒店集团加盟商损失惨重 Wed, 30 Nov 2022 16:23:54 +0800 安全内参9月27日消息,近期针对洲际酒店集团的网络攻击影响到了各特许加盟商的业务,导致愤怒的客户、收入损失乃至集体诉讼隐患正持续发酵。

网络攻击导致预约系统严重中断

9月6日,洲际酒店集团表示,检测到技术系统中存在未授权活动,导致预订及其他系统出现严重中断。

酒店业主们(注:即洲际酒店集团旗下酒店的房产拥有者)收到了一封来自洲际酒店集团高管的电子邮件,解释称此次攻击将导致线上预订系统关闭。由于洲际集团并未分享黑客攻击引发数据泄露的任何细节,作为其特许经营合作伙伴,酒店业主们根本无力应对客户爆发出的愤怒与沮丧。

代表全美约20000名酒店业主的亚裔美国酒店业主协会总裁兼CEO Laura Lee Blake表示,“他们至少应该分享一点信息,否则酒店业主只能连续几天身陷黑暗之中,根本不清楚自己维持生计的经营系统出了什么问题。”

此次网络攻击可能影响到了洲际集团的供应链、客户及众多特许加盟商。洲际酒店集团官网显示,该集团在全球拥有17个酒店品牌、6000家酒店。就在去年,针对美国软件公司Kaseya的勒索软件攻击同样蔓延到多个国家的客户身上。

洲际酒店及度假酒店一位发言人表示,“我们尚未发现客人数据遭到未授权访问的证据。我们始终专注于支持我们的酒店和业主,也将在事件期间定期向业主和酒店管理团队传达最新信息。”洲际酒店集团旗下的知名酒店品牌包括假日酒店、驻桥套房酒店和洲际酒店。

酒店业主损失惨重,已发起集体诉讼索赔

酒店业主们指出,众多因网络攻击而预订失败的愤怒客户已经令他们疲于招架。Blake女士还透露,亚裔美国酒店业主协会的成员们对这次攻击事件的调查作出回应。根据近几周的预订量、去年同期预订量以及竞争对手预订量等指标,这些各自拥有两到五家酒店的业主估计,攻击造成的平均损失在30000到75000美元之间。好在目前技术系统已经重新恢复运行。

Blake称,“酒店业主希望就此事获得赔偿,毕竟网络攻击不是他们的错。”

美国路易斯安那州一家假日酒店的业主QHotels Management公司总裁兼CEO Vimal Patel反映,他们遇到了一位情绪激动的顾客,要求酒店说明如何处理住客的信用卡。

9月15日,Patel及其他多位酒店业主在亚特兰大地方法院对洲际酒店集团提起集体诉讼。

Patel表示,“当我们没有受到黑客攻击时,也需要随时担心自己的财务稳定性。”

诉讼称,洲际酒店集团的各特许加盟商一直在按月支付费用,以使用集团提供的预订技术方案。

除了要求对加盟商补偿外,Patel还希望洲际集团能解释,网络攻击暴露了哪些数据、为何会发生此次事故。他认为,洲际集团的高管们应该为糟糕的网络安全状况负起责任。

信息多且价值高,连锁酒店是网络攻击热门目标

连锁酒店是恶意黑客的热门攻击目标,这里蕴藏着大量客户个人及财务信息。近年来,万豪酒店先后遭遇了多起违规事件。2016年,洲际酒店集团因网络攻击导致客户信用卡数据外泄,并在2020年的相关集体诉讼中同意支付超150万美元赔偿金。

研究机构Forrester的高级分析师Allie Mellen表示,除了直接技术问题以外,各特许加盟商后续还可能面临网络攻击引发的其他影响。例如在申购网络保险时,服务商向他们开出的保费会更高。不少司法管辖区的法律也有适用条款,要求遭黑客入侵的企业在发现个人数据泄露时,必须向监管机构和受影响个人发布通报。

但Blake女士坦言,大多数企业往往不愿透露网络攻击的细节,特别是在原有安全措施不够完善的情况下。但隐瞒重要细节同样会损害客户信任,“这对企业方来说是非常有害的。”

她最后总结道,“总有人在掩耳盗铃,认为只要不主动担责,别人就不知道事态有多糟糕。”

]]>
美国安局网络攻击西工大最新调查:窃取远程业务管理关键敏感数据 Wed, 30 Nov 2022 16:23:54 +0800 据人民日报消息,2022年6月22日,西北工业大学发布《公开声明》称,该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》,证实在西北工业大学的信息网络中发现了多款源于境外的木马和恶意程序样本,西安警方已对此正式立案调查。

中国国家计算机病毒应急处理中心和360公司全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了木马程序样本,综合使用国内现有数据资源和分析手段,并得到欧洲、东南亚部分国家合作伙伴的通力支持,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,初步判明相关攻击活动源自于美国国家安全局(NSA)的“特定入侵行动办公室”(即:Office of Tailored Access Operation,后文简称“TAO”)。

本系列研究报告将公布TAO对西北工业大学发起的上千次网络攻击活动中,某些特定攻击活动的重要细节,为全球各国有效发现和防范TAO的后续网络攻击行为提供可以借鉴的案例。

一、TAO攻击渗透西北工业大学的流程

TAO对他国发起的网络攻击技战术针对性强,采取半自动化攻击流程,单点突破、逐步渗透、长期窃密。

(一)单点突破、级联渗透,控制西北工业大学网络

经过长期的精心准备,TAO使用“酸狐狸”平台对西北工业大学内部主机和服务器实施中间人劫持攻击,部署“怒火喷射”远程控制武器,控制多台关键服务器。利用木马级联控制渗透的方式,向西北工业大学内部网络深度渗透,先后控制运维网、办公网的核心网络设备、服务器及终端,并获取了部分西北工业大学内部路由器、交换机等重要网络节点设备的控制权,窃取身份验证数据,并进一步实施渗透拓展,最终达成了对西北工业大学内部网络的隐蔽控制。

(二)隐蔽驻留、“合法”监控,窃取核心运维数据

TAO将作战行动掩护武器“精准外科医生”与远程控制木马NOPEN配合使用,实现进程、文件和操作行为的全面“隐身”,长期隐蔽控制西北工业大学的运维管理服务器,同时采取替换3个原系统文件和3类系统日志的方式,消痕隐身,规避溯源。TAO先后从该服务器中窃取了多份网络设备配置文件。利用窃取到的配置文件,TAO远程“合法”监控了一批网络设备和互联网用户,为后续对这些目标实施拓展渗透提供数据支持。

(三)搜集身份验证数据、构建通道,渗透基础设施

TAO通过窃取西北工业大学运维和技术人员远程业务管理的账号口令、操作记录以及系统日志等关键敏感数据,掌握了一批网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息、FTP服务器文档资料信息。根据TAO攻击链路、渗透方式、木马样本等特征,关联发现TAO非法攻击渗透中国境内的基础设施运营商,构建了对基础设施运营商核心数据网络远程访问的“合法”通道,实现了对中国基础设施的渗透控制。

(四)控制重要业务系统,实施用户数据窃取

TAO通过掌握的中国基础设施运营商的思科PIX防火墙、天融信防火墙等设备的账号口令,以“合法”身份进入运营商网络,随后实施内网渗透拓展,分别控制相关运营商的服务质量监控系统和短信网关服务器,利用“魔法学校”等专门针对运营商设备的武器工具,查询了一批中国境内敏感身份人员,并将用户信息打包加密后经多级跳板回传至美国国家安全局总部。

二、窃取西北工业大学和中国运营商敏感信息

(一)窃取西北工业大学远程业务管理账号口令、操作记录等关键敏感数据

TAO通过在西北工业大学运维管理服务器安装嗅探工具“饮茶”,长期隐蔽嗅探窃取西北工业大学运维管理人员远程维护管理信息,包含网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息等。

遭到嗅探的网络设备类型包括固定互联网的接入网设备(路由器、认证服务器等)、核心网设备(核心路由器、交换机、防火墙等),也包括通信基础设施运营企业的重要设备(数据服务平台等),内容包括账号、口令、设备配置、网络配置等信息。

1、窃取西工大核心网络设备账号口令及配置信息

北京时间20××年12月11日6时52分,TAO以位于日本京都大学的代理服务器(IP:130.54.××.××)为攻击跳板,非法入侵了西北工业大学运维网络的“telnet”管理服务器,上传并安装NOPEN木马,然后级联控制其内网监控管理服务器,上述2台服务器事先均已被安装“饮茶”嗅探工具。TAO远程操控木马检索并下载被压缩加密的监听记录文件,然后清痕退出。窃取数据包括路由器、核心网设备(核心路由器、交换机、防火墙)管理账号、口令、设备配置、网络配置等信息。

2、多次窃取接入网认证设备账号口令及配置信息

(1)北京时间20××年5月30日0时28分,TAO以位于日本的代理服务器(IP:210.135.××.××)为攻击跳板,非法入侵了西北工业大学运维网络“telnet”管理服务器,上传并安装NOPEN木马,然后级联控制其内网监控管理服务器,这2台服务器事先均已被安装“饮茶”嗅探工具,TAO远程操控木马检索并下载窃密记录文件后清痕退出。窃取数据包括接入网认证设备的账号、口令及配置信息。

(2)北京时间20××年7月4日1时12分,TAO利用位于德国莱比锡技术经济和文化学院的代理服务器(IP:141.57.××.××)作为攻击跳板,非法入侵西北工业大学运维网络“telnet”管理服务器,上传并安装NOPEN木马工具,级联控制其内网监控管理服务器等其他3台服务器,这4台服务器事先均已被安装“饮茶”嗅探工具,TAO远程操控木马检索并下载窃密文件后清痕退出。

(3)北京时间20××年10月11日10时35分,TAO利用位于韩国首尔国立江原大学的代理服务器(IP:210.115.××.××)作为攻击跳板,非法入侵西北工业大学运维网络监控管理服务器,上传并安装NOPEN木马工具,然后级联控制其内网备份服务器、认证服务器等其他4台服务器,这5台服务器事先均已被安装“饮茶”嗅探工具,TAO远程操控木马分别检索并下载窃取记录文件后清痕退出。

(4)北京时间20××年10月19日2时46分,TAO以位于韩国大田的高等科学技术研究学院的代理服务器(IP:143.248.××.××)为攻击跳板,非法入侵西北工业大学运维网络“telnet”管理服务器,级联控制其内网监管服务器等其他2台服务器,这3台服务器事先均已被安装“饮茶”嗅探工具,TAO通过远程操控木马检索并下载窃密文件,然后清痕退出。

(二)窃取西北工业大学网络设备运维配置文件和日志文件

美国国家安全局“特定入侵行动办公室”(TAO)长期攻击入侵西北工业大学网络运维管理服务器,秘密窃取网络设备运维配置文件和日志文件。

1、窃取西北工业大学网络运行日志文件

北京时间20××年3月2日3时41分,TAO通过位于日本的代理服务器(IP:210.135.××.××)非法入侵控制西北工业大学1台网络运维管理服务器。3时49分,TAO从该运维管理服务器横向移动到另一台运维监控服务器,以特定字符串为关键词检索日志文件并进行窃取了一批系统运行日志文件和系统日常自检报告备份文件。

2、窃取西北工业大学服务器定期任务配置脚本

北京时间20××年10月11日10时41分,TAO通过位于韩国的代理服务器(IP:210.115.××.××)入侵控制了西北工业大学一台内网服务器。10时48分,TAO经过两次横向移动,入侵了另一台内网服务器,访问了特定目录下的定期任务配置脚本,共检索到14个用于定期执行任务的配置文件。随后,一次性窃取了这14个文件,这些文件可用于执行定期清理、备份、检查电源等操作。

3、窃取西北工业大学公司服务器系统信息文件

北京时间20××年6月6日1时27分,TAO通过位于韩国的代理服务器(IP:222.122.××.××)入侵控制了西北工业大学一台内网服务器。2时4分,TAO经过两次横向移动,入侵了另一台内网服务器,访问了目录/var/下的系统文件,窃取了60个常用的系统信息文件,被窃取的系统信息文件内容包含系统发行版本、用户密码哈希、用户权限、本地域名解析配置等。

(三)渗透控制中国基础设施核心设备

美国国家安全局“特定入侵行动办公室”(TAO)利用窃取到的网络设备账号口令,以“合法”身份进入中国某基础设施运营商服务网络,控制相关服务质量监控系统,窃取用户隐私数据。

1、窃取中国用户隐私数据

北京时间20××年3月7日22时53分,美国国家安全局“特定入侵行动办公室”(TAO)通过位于墨西哥的攻击代理148.208.××.××,攻击控制中国某基础设施运营商的业务服务器211.136.××.××,通过两次内网横向移动(10.223.140.××、10.223.14.××)后,攻击控制了用户数据库服务器,非法查询多名身份敏感人员的用户信息。

同日15时02分,TAO将查询到的用户数据保存在被攻击服务器/var/tmp/.2e434fd8aeae73e1/erf/out/f/目录下,被打包回传至攻击跳板,随后窃密过程中上传的渗透工具、用户数据等攻击痕迹被专用工具快速清除。

美国国家安全局“特定入侵行动办公室”(TAO)运用同样的手法,分别于北京时间20××年1月10日23时22分、1月29日8时41分、3月28日22时00分、6月6日23时58分,攻击控制另外1家中国基础设施业务服务器,非法多批次查询、导出、窃取多名身份敏感人员的用户信息。

2、渗透控制全球电信基础设施

据分析,美国国家安全局“特定入侵行动办公室”(TAO)以上述手法,利用相同的武器工具组合,“合法”控制了全球不少于80个国家的电信基础设施网络。技术团队与欧洲和东南亚国家的合作伙伴通力协作,成功提取并固定了上述武器工具样本,并成功完成了技术分析,拟适时对外公布,协助全球共同抵御和防范美国国家安全局NSA的网络渗透攻击。

三、TAO在攻击过程中暴露身份的相关情况

美国国家安全局“特定入侵行动办公室”(TAO)在网络攻击西北工业大学过程中,暴露出多项技术漏洞,多次出现操作失误,相关证据进一步证明对西北工业大学实施网络攻击窃密行动的幕后黑手即为美国国家安全局NSA。兹摘要举例如下:

(一)攻击时间完全吻合美国工作作息时间规律

美国国家安全局“特定入侵行动办公室”(TAO)在使用tipoff激活指令和远程控制NOPEN木马时,必须通过手动操作,从这两类工具的攻击时间可以分析出网络攻击者的实际工作时间。

首先,根据对相关网络攻击行为的大数据分析,对西北工业大学的网络攻击行动98%集中在北京时间21时至凌晨4时之间,该时段对应着美国东部时间9时至16时,属于美国国内的工作时间段。其次,美国时间的全部周六、周日中,均未发生对西北工业大学的网络攻击行动。第三,分析美国特有的节假日,发现美国的“阵亡将士纪念日”放假3天,美国“独立日”放假1天,在这四天中攻击方没有实施任何攻击窃密行动。第四,长时间对攻击行为密切跟踪发现,在历年圣诞节期间,所有网络攻击活动都处于静默状态。依据上述工作时间和节假日安排进行判断,针对西北工业大学的攻击窃密者都是按照美国国内工作日的时间安排进行活动的,肆无忌惮,毫不掩饰。

(二)语言行为习惯与美国密切关联

技术团队在对网络攻击者长时间追踪和反渗透过程中(略)发现,攻击者具有以下语言特征:一是攻击者有使用美式英语的习惯;二是与攻击者相关联的上网设备均安装英文操作系统及各类英文版应用程序;三是攻击者使用美式键盘进行输入。

(三)武器操作失误暴露工作路径

20××年5月16日5时36分(北京时间),对西北工业大学实施网络攻击人员利用位于韩国的跳板机(IP:222.122.××.××),并使用NOPEN木马再次攻击西北工业大学。在对西北工业大学内网实施第三级渗透后试图入侵控制一台网络设备时,在运行上传PY脚本工具时出现人为失误,未修改指定参数。脚本执行后返回出错信息,信息中暴露出攻击者上网终端的工作目录和相应的文件名,从中可知木马控制端的系统环境为Linux系统,且相应目录名“/etc/autoutils”系TAO网络攻击武器工具目录的专用名称(autoutils)。

出错信息如下:

Quantifier follows nothing in regex; marked by <-- HERE in m/* <-- HERE .log/ at ../etc/autoutils line 4569

(四)大量武器与遭曝光的NSA武器基因高度同源

此次被捕获的、对西北工业大学攻击窃密中所用的41款不同的网络攻击武器工具中,有16款工具与“影子经纪人”曝光的TAO武器完全一致;有23款工具虽然与“影子经纪人”曝光的工具不完全相同,但其基因相似度高达97%,属于同一类武器,只是相关配置不相同;另有2款工具无法与“影子经纪人”曝光工具进行对应,但这2款工具需要与TAO的其它网络攻击武器工具配合使用,因此这批武器工具明显具有同源性,都归属于TAO。

(五)部分网络攻击行为发生在“影子经纪人”曝光之前

技术团队综合分析发现,在对中国目标实施的上万次网络攻击,特别是对西北工业大学发起的上千次网络攻击中,部分攻击过程中使用的武器攻击,在“影子经纪人”曝光NSA武器装备前便完成了木马植入。按照NSA的行为习惯,上述武器工具大概率由TAO雇员自己使用。

四、TAO网络攻击西北工业大学武器平台IP列表

技术分析与溯源调查中,技术团队发现了一批TAO在网络入侵西北工业大学的行动中托管所用相关武器装备的服务器IP地址,举例如下:

五、TAO网络攻击西北工业大学所用跳板IP列表

研究团队经过持续攻坚,成功锁定了TAO对西北工业大学实施网络攻击的目标节点、多级跳板、主控平台、加密隧道、攻击武器和发起攻击的原始终端,发现了攻击实施者的身份线索,并成功查明了13名攻击者的真实身份。

]]>
继《GTA6》被黑后:苹果新闻也遭黑客攻击 Wed, 30 Nov 2022 16:23:54 +0800 前几天,在游戏圈闹得沸沸扬扬的“史上最大游戏泄露”已经告一段落,放出《GTA6》资料的少年黑客已经被捕。

然而此事还没过去几天,又有黑客出来行动了,这次的目标是苹果。

据财联社最新报道,苹果新闻遭到了黑客的攻击,不过具体的攻击内容和方式还并未透露出来。

继《GTA6》被黑后:苹果新闻也遭黑客攻击

其实此前,攻击R星的背后黑客组织也曾入侵过苹果,并且盗取了苹果健康源代码。

这些事件也可以看出来,作为全球最大的科技公司,苹果的安全性也并不是那么牢不可破。

今年8月还曾有消息称,iPhone、iPad和iMac电脑等产品存在严重安全漏洞,这些漏洞可能会让黑客入侵用户设备、获得管理权限甚至完全控制设备并运行其中的应用软件。

苹果紧急寻找了解决办法,并向用户推送全新的修复补丁,提醒大家立即升级,这才封堵了这个严重漏洞。

]]>
《安联智库-网安周报》2022-09-25 Wed, 30 Nov 2022 16:23:54 +0800

1、澳大利亚Optus遭受重大网络攻击,多达900万用户受影响


Optus透露,它受到了一次网络攻击,导致当前和以前客户的信息被非法获取,包括姓名、出生日期、机密身份证件和电子邮箱地址。在一份声明中,这家新加坡电信的澳大利亚子公司解释说,它已立即制止了侵犯行为,并与澳大利亚网络安全中心合作以减轻客户面临的任何风险。
它还通知了警方和主要监管机构,可能泄露的信息包括电话号码等个人详细信息,而部分客户的地址和身份证件号码也被泄露,受到影响的客户据称多达900万。
该运营商表示,支付细节和账户密码并未泄露,其移动和互联网服务仍正常运行。
2、支付宝安全中心:对确认刷单涉案的关联收款账户 实行永久冻结账户处罚

据支付宝安全中心微信公众号消息,支付宝安全中心发布《针对虚假刷单类欺诈行为深度治理的公告》称,近期收到了不少用户对于虚假刷单骗局的线索举报。支付宝安全中心表示,在对用户提交的举报线索进行核实后,依据相关法律法规及支付宝平台相关协议和规范,对有以下虚假刷单行为的账户等进行专项分类治理:
1、对确认刷单涉案的关联收款账户,实行永久冻结账户处罚,同时向公安机关提交违法证据线索;
2、对账户涉嫌参与向他人做刷单返款、收款以及资金中间账户做限制收款处理;
3、对确认建立刷单群聊,诱导他人下载刷单 App、点击刷单网站链接的,做社交群功能禁止处罚。
公告指出,为了守护支付宝用户的资金安全,支付宝安全中心对正处于风险交易中的用户进行主动提醒,对于核实参与虚假刷单欺诈的风险账户进行了不同程度的处罚。
数据显示,截至 2022 年 9 月,支付宝安全中心已对 24407 个参与组织刷单的账号进行了永久冻结账户处罚;对 4215 个参与刷单诈骗的账号作出了限制收款处理;对 34375 个刷单社交群作了群功能禁止处罚。同时,其也致力于优化风控服务能力,实时甄别疑似刷单欺诈交易。2022 年上半年,支付宝用户在刷单类诈骗中的资金损失率下降了 36.9%。
此外,支付宝安全中心提醒称,刷单是违法行为,凡是以刷单为名义的兼职,都是诈骗。如遇疑似违法违规情况,可通过支付宝举报中心举报或者直接拨打 110 电话报警。
3、信阳师范学院曝“学信网信息泄露”,学院:已报警,涉事学生干部被撤职

据国内多家媒体报道,9月19日,河南省信阳师范学院被曝“学信网信息泄露”,导致不少学生三个月内不能享受购买苹果电脑、耳机等产品的优惠政策。根据信阳师范学院发布的通告,学校有关部门已于9月19日上午向信阳市五星乡派出所报案,并立案调查。

以下是信阳师范学院通报内容:

关于调查问卷引发网络舆情的情况说明

2022年9月19日,学校在日常网络舆情梳理中发现“学信网信息泄露”的话题。对此,学校高度重视,第一时间责成学生处、校团委、保卫处等部门对事件进行调查,要求快速查清事实,及时作出回应,给学生一个安心答复。经过多部门协同调查,与相关学生走访座谈,基本查清事实。现将有关情况说明如下。

2022年8月28日,校学生会一名学生干部参加社会实践活动期间,应郑州泽梦企业管理咨询有限公司业务人员要求,协助该公司擅自组织学生参与网上《信师宿舍满意度调查问卷》活动,通过学生干部QQ交流群发布调查问卷,组织2020级和2021级学生参加问卷调查。

经查,该调查问卷最后一题是要求学生登录学信网并填写学信码,涉事公司事前向该生隐瞒了学信码的真实用途,该生对问卷调查的真实目的缺乏了解。经与填写问卷学生核实,确实存在部分学生学信码被盗用情况,造成这些学生在三个月内不能享受购买苹果平板电脑、耳机等产品的优惠政策。

针对该事件,学校有关部门已于9月19日上午向信阳市五星乡派出所报案,并立案调查。校团委第一时间召开团学会议,要求做好学生信息统计、事件解释和情绪安抚工作,同时,通知参与问卷调查的学生登录学信网关闭学信码。涉事学生干部已被撤职,责令写出深刻检讨,等待进一步处理。

同时,与涉事企业进行严正交涉,要求该公司立即停止非法侵害行为,最大限度保护学生信息安全。目前,公安机关已掌握涉事公司收集我校学生个人信息情况,已责令该公司不得售卖学生信息,并最快消除不良后果,给我校学生一个满意交代。有关部门正与公安、网信部门保持密切联系,开展进一步调查,以确保学生信息安全。

最后,请同学们放心,也请同学们相信,学校将尽最大努力帮助学生挽回损失,消除此次事件可能造成的不良后果,后续事件进展情况将及时跟踪公布。

4、《GTA6》泄露事件黑客身份曝光:年仅16岁少年

9月20日消息,上周末R星备受期待的游戏大作《GTA6》的测试版游戏视频在网上泄露,引起业界轰动,成为有史以来最重大的游戏泄密事件。然而让人意外的是,这次泄密事件背后的黑手仅是一个16岁的青少年。

知名黑客、黑客论坛BreachForums的所有者“pompompurin”曝光了《GTA6》泄露事件黑客的身份,他表示罪魁祸首是网络犯罪团队Lapsus$的负责人,年仅16岁的Tea Pot。其在Telegram聊天中承认入侵了R星并展示了证据,但聊天记录很快就遭到了删除。

据悉,黑客组织Lapsus$自去年年底以来已卷入多起黑客事件,此前包括微软、三星、英伟达和育碧在内的许多科技公司都遭到了其攻击,该黑客组织曾表示自己的主要目标是钱,既无政治性,也没有任何人赞助。

值得一提的是,美国打车App优步(UBER)也表示最近遭到了Lapsus$ 攻击,现在正在与联邦调查局和美国司法部保持联系。R星发文承认《GTA6》遭到了泄露,但表示不会对其正在进行的项目产生长期影响。

]]>
支付宝安全中心:对确认刷单涉案的关联收款账户 实行永久冻结账户处罚 Wed, 30 Nov 2022 16:23:54 +0800 据支付宝安全中心微信公众号消息,支付宝安全中心发布《针对虚假刷单类欺诈行为深度治理的公告》称,近期收到了不少用户对于虚假刷单骗局的线索举报。支付宝安全中心表示,在对用户提交的举报线索进行核实后,依据相关法律法规及支付宝平台相关协议和规范,对有以下虚假刷单行为的账户等进行专项分类治理:

1、对确认刷单涉案的关联收款账户,实行永久冻结账户处罚,同时向公安机关提交违法证据线索;

2、对账户涉嫌参与向他人做刷单返款、收款以及资金中间账户做限制收款处理;

3、对确认建立刷单群聊,诱导他人下载刷单 App、点击刷单网站链接的,做社交群功能禁止处罚。

公告指出,为了守护支付宝用户的资金安全,支付宝安全中心对正处于风险交易中的用户进行主动提醒,对于核实参与虚假刷单欺诈的风险账户进行了不同程度的处罚。

数据显示,截至 2022 年 9 月,支付宝安全中心已对 24407 个参与组织刷单的账号进行了永久冻结账户处罚;对 4215 个参与刷单诈骗的账号作出了限制收款处理;对 34375 个刷单社交群作了群功能禁止处罚。同时,其也致力于优化风控服务能力,实时甄别疑似刷单欺诈交易。2022 年上半年,支付宝用户在刷单类诈骗中的资金损失率下降了 36.9%。

此外,支付宝安全中心提醒称,刷单是违法行为,凡是以刷单为名义的兼职,都是诈骗。如遇疑似违法违规情况,可通过支付宝举报中心举报或者直接拨打 110 电话报警。

]]>
澳大利亚Optus遭受重大网络攻击,多达900万用户受影响 Wed, 30 Nov 2022 16:23:54 +0800 Optus透露,它受到了一次网络攻击,导致当前和以前客户的信息被非法获取,包括姓名、出生日期、机密身份证件和电子邮箱地址。在一份声明中,这家新加坡电信的澳大利亚子公司解释说,它已立即制止了侵犯行为,并与澳大利亚网络安全中心合作以减轻客户面临的任何风险。

它还通知了警方和主要监管机构。

可能泄露的信息包括电话号码等个人详细信息,而部分客户的地址和身份证件号码也被泄露。

该运营商表示,支付细节和账户密码并未泄露,其移动和互联网服务仍正常运行。

Optus首席执行官凯利·拜耳·罗斯马林(Kelly Bayer Rosmarin)表示,该公司受到此次攻击的“重创”,并立即采取行动阻止和展开调查。

“虽然不是每个人都可能受到影响,我们的调查也尚未完成,但我们希望所有客户尽快了解发生的事情,以便提高警惕。”

受到影响的客户据称多达900万。

]]>
全球最大航空公司发生数据泄露事件 Wed, 30 Nov 2022 16:23:54 +0800 美国航空公司上周末(9月16日)发出客户通知信确认遭遇黑客攻击,声称攻击者获取了数量不明的客户和员工电子邮件账户和敏感个人信息。

美国航空公司的企业传播高级经理Andrea Koos告诉BleepingComputer,该公司员工的账户在一次网络钓鱼活动中遭到入侵,但拒绝透露有多少客户和员工受到影响,而是说这是“非常少数”。

根据通知,美国航空公司在7月5日发现了这一漏洞,立即保护了受影响的电子邮件账户,并聘请了一家网络安全取证公司来调查安全事件。

“在2022年7月,我们发现一名未经授权的行为者入侵了有限数量的美国航空公司团队成员的电子邮件账户,”该航空公司告诉受影响的客户:“在发现事件后,我们保护了受影响的电子邮件帐户,并聘请了第三方网络安全取证公司进行取证调查,以确定事件的性质和范围。”

在攻击中暴露并可能被攻击者访问的个人信息可能包括:员工和客户的姓名、出生日期、邮寄地址、电话号码、电子邮件地址、驾驶执照号码、护照号码和/或某些医疗信息。

美国航空公司表示,将为受影响的客户提供两年免费的Experian IdentityWorks会员资格,以帮助检测和解决身份盗窃问题。

美国航空公司曾在2021年3月遭遇数据泄露事件,当时全球航空信息技术巨头SITA证实,黑客入侵了其服务器并获得了包括美国航空公司在内的全球多家航空公司的乘客服务系统(PSS)的访问权限。

作为全球机队规模最大的航空公司(其主线拥有超过1300架飞机),美国航空公司拥有超过12万名员工,每天运营近6700个航班,飞往50多个国家/地区的约350个目的地。

]]>
河南一高校学信网信息泄露,校方:已报案 Wed, 30 Nov 2022 16:23:54 +0800 信阳师范学院

关于调查问卷引发网络舆情的情况说明

2022年9月19日,学校在日常网络舆情梳理中发现“学信网信息泄露”的话题。对此,学校高度重视,第一时间责成学生处、校团委、保卫处等部门对事件进行调查,要求快速查清事实,及时作出回应,给学生一个安心答复。经过多部门协同调查,与相关学生走访座谈,基本查清事实。现将有关情况说明如下。

2022年8月28日,校学生会一名学生干部参加社会实践活动期间,应郑州泽梦企业管理咨询有限公司业务人员要求,协助该公司擅自组织学生参与网上《信师宿舍满意度调查问卷》活动,通过学生干部QQ交流群发布调查问卷,组织2020级和2021级学生参加问卷调查。经查,该调查问卷最后一题是要求学生登录学信网并填写学信码,涉事公司事前向该生隐瞒了学信码的真实用途,该生对问卷调查的真实目的缺乏了解。经与填写问卷学生核实,确实存在部分学生学信码被盗用情况,造成这些学生在三个月内不能享受购买苹果平板电脑、耳机等产品的优惠政策。

针对该事件,学校有关部门已于9月19日上午向信阳市五星乡派出所报案,并立案调查。校团委第一时间召开团学会议,要求做好学生信息统计、事件解释和情绪安抚工作,同时,通知参与问卷调查的学生登录学信网关闭学信码。涉事学生干部已被撤职,责令写出深刻检讨,等待进一步处理。同时,与涉事企业进行严正交涉,要求该公司立即停止非法侵害行为,最大限度保护学生信息安全。目前,公安机关已掌握涉事公司收集我校学生个人信息情况,已责令该公司不得售卖学生信息,并最快消除不良后果,给我校学生一个满意交代。有关部门正与公安、网信部门保持密切联系,开展进一步调查,以确保学生信息安全。

最后,请同学们放心,也请同学们相信,学校将尽最大努力帮助学生挽回损失,消除此次事件可能造成的不良后果,后续事件进展情况将及时跟踪公布。

信阳师范学院学生处

2022年9月20日

]]>
勒索软件耽搁立法工作!欧洲又一国家议会遭攻击 工作停顿多天 Wed, 30 Nov 2022 16:23:54 +0800 9月21日消息,欧洲国家波黑(全称为波斯尼亚和黑塞哥维那)的检察官正调查一场影响范围极大的网络攻击,据称已经影响到该国议会的正常运行。

最近两周来,波黑议会网站一直处于关停状态。当地新闻媒体Nezavisne就此事联系了几位议员,对方称已被告知禁止访问自己的电子邮箱和官方文件,甚至最好干脆别使用电脑。

波黑检察官办公室一位发言人表示,他们几天前就已接到此案。

发言人Boris Grubešić表示,“当日值班的检察官向执法机构官员发出了必要指示,希望澄清案件具体情况,同时对IT网络与各级机构给予网络安全保护。”

“此案正在调查当中,我们目前无法透露其他任何消息。”

议会已失去工作能力,议员批评安全人员不关心安全

波黑议会人民院代表Zlatko Miletić告知当地媒体Nezavisne,目前立法机构已经失去了工作能力,而且此次攻击开始于9月8日-9日左右。

虽然检察官并未透露具体攻击类型,但有消息人士向Nezavisne证实,这就是一起勒索软件攻击。波黑《萨拉热窝时报》报道称,攻击发生后,该国议会的主服务器旋即关闭。

一位议会发言人告诉新闻媒体,“用户无法访问服务器,电子邮件和官方网站目前也都处于关闭状态。”

还有多位议员提到,他们收到了不要使用电脑的通知,理由是担心勒索软件会传播到他们的个人设备上。

Miletić对政府网络安全专家的工作持批评态度,强调在此次攻击之前,“根本没人关心安全问题”。

“他们本来有充足的时间采购必要的技术手段,为服务器施加额外保护。他们应该知道,网络安全领域就是需要投资,没有设备就没有安全可言。这些技术手段确实价格不菲,但我们必须要买起来、用起来。不只是议会,其他处理并存储各类数据的机构也应该从中吸取教训。”

另一位议员Dušanka Majkić也对政府计算机上的数据表示担忧,还提到她自己的设备上甚至保存着2004年时的文件。

政治动荡更容易引发网络攻击,今年已有多起案例

随着塞族共和国分裂行为的逐步升级,波黑目前正处于政治动荡之中。如果勒索软件攻击的传闻得到证实,则将成为今年以来勒索软件团伙借政治风波为掩护发动攻击的又一案例。

现已解散的Conti勒索软件团伙此前曾对哥斯达黎加发动过毁灭性的攻击,哥新任总统称这是企图“在过渡时期威胁该国稳定”。

三周之前,就在黑山政府因不信任投票而被实际免职的同时,也有勒索软件攻击趁虚而入。

近年来,全球多国议会已先后成为勒索软件团伙和黑客攻击的受害者。就在上周,位于首都的阿根廷议会遭遇一起勒索软件攻击,事件破坏了该机构的内部操作系统和WiFi网络。

]]>
女子被骗50万后哭求民警要再转20万 Wed, 30 Nov 2022 16:23:54 +0800 近日,湖北黄石,一银行工作人员报警称有位客户疑似被骗,坚持要转账。@平安黄石 民警赶到现场后,当事女子竟哭求民警让其再转20万,试着把之前转过去的50万提现出来,还声称银行不让转就回家用手机转。在民警苦口婆心的劝说下,该女子终于清醒,避免了更大的损失。

]]>
《GTA6》泄露事件黑客身份曝光:年仅16岁少年 Wed, 30 Nov 2022 16:23:54 +0800 9月20日消息,上周末R星备受期待的游戏大作《GTA6》的测试版游戏视频在网上泄露,引起业界轰动,成为有史以来最重大的游戏泄密事件。然而让人意外的是,这次泄密事件背后的黑手仅是一个16岁的青少年。

《GTA6》事件黑客身份曝光:16岁少年 此前曾攻击NVIDIA

知名黑客、黑客论坛BreachForums的所有者“pompompurin”曝光了《GTA6》泄露事件黑客的身份,他表示罪魁祸首是网络犯罪团队Lapsus$的负责人,年仅16岁的Tea Pot。其在Telegram聊天中承认入侵了R星并展示了证据,但聊天记录很快就遭到了删除。

据悉,黑客组织Lapsus$自去年年底以来已卷入多起黑客事件,此前包括微软、三星、英伟达和育碧在内的许多科技公司都遭到了其攻击,该黑客组织曾表示自己的主要目标是钱,既无政治性,也没有任何人赞助。

值得一提的是,美国打车App优步(UBER)也表示最近遭到了Lapsus$ 攻击,现在正在与联邦调查局和美国司法部保持联系。

IT之家了解到,昨天R星发文承认《GTA6》遭到了泄露,但表示不会对其正在进行的项目产生长期影响。

]]>
《羊了个羊》惊动警方,公安部治安管理局微博发文! Wed, 30 Nov 2022 16:23:54 +0800 近日,一款名叫《羊了个羊》的小游戏爆火网络。由于太火,服务器2天崩了3次,很多玩家惊呼“我只是睡前玩一玩,没想到给我整失眠了!”。

9月19日,公安部治安管理局官方微博“中国警方在线”发布反诈提醒:谨防冒充“羊了个羊”客服人员销售道具、复活次数等进行电信诈骗。在游戏过程中,要提高安全防范意识,别被一时激动冲昏头脑。一旦发现被骗,要及时保存聊天记录、发布诈骗信息的网页等证据,并立即向警方报案。

防骗秘籍

各位玩家,快乐游戏的同时,这份防骗秘籍,请一定要牢记!

01 给钱买秘籍

骗子在社交平台发布有通关秘籍的广告信息,诱导受害人在虚假游戏交易平台、微信群或QQ群内进行交易,让受害人支付9.9元等小额金额来换取秘籍或以“注册费、押金、解冻费”的名义支付各种费用。待收到钱后,将受害人联系方式拉黑或者失联。

02 秘籍在网盘自取

通常骗子通过社交平台与受害人添加好友后,声称索要秘籍的人较多,已经将word文档存在某网盘里,随即发来链接要求受害人自取,岂不知,骗子利用发送带有病毒的木马链接,诱骗游戏玩家进行点击,通过远程操控对其电脑、手机等进行控制。

03 中奖诱惑玩家付费

以去年爆火的某小程序游戏为例,就是凭借诱导性的广告,让玩家在玩游戏时,领取游戏界面弹出的带有“100手机话费券”。 大量网友在社交媒体上反馈称,领取了所谓的“100手机话费券”,但在按网站指示支付了9.9元或19.9元后却发现话费无法兑现,也不能退款。

警方提醒:快乐游戏的同时,谨防诈骗!未知链接不点击,陌生来电不轻信,个人信息不透露,转账汇款多核实。

“羊了个羊”背后上市公司股价19日大跌超7%

《羊了个羊》席卷社交平台的同时,其背后的一众公司和资本也成为市场关注的焦点。

9月14日,《羊了个羊》官方微博发布的一条“简游急招后端服务器开发”的招聘启事,让研发团队简游科技进入大众视野。

启信宝显示,简游科技成立于2021年1月,拥有“羊了个羊软件”的著作权。公司注册资本约117万元人民币,法定代表人为张佳旭。公司第一大股东为张佳旭,持股比例为85.5%;第二大股东为厦门雷霆网络科技股份有限公司(以下简称“雷霆网络”),持股比例为10%。

虽然成立短短一年多,但简游科技此前还开发过另一爆款微信小游戏《海盗来了》,并且其背后股东雷霆网络是知名游戏上市公司吉比特旗下公司。近日,吉比特(SH603444,股价285.13元,市值189.8亿元)也在投资者问答平台上表示:“公司通过控股子公司间接持有北京简游10%股权。”9月8日~9月16日,吉比特在6个交易日中股价累计上涨4.63%。吉比特于2017年上市,公司股价最高点曾达626.20元。

今日(9月19日)早间开盘后,吉比特股价极速下跌,一度跌超7%,截至发稿前,公司股价为264.15元,下跌7.32%。

Choice数据显示,今年9月1日至今,吉比特股价累计上涨0.4%;今年1月4日至今,吉比特股价累计下跌28.68%。如果将时间线再拉长,2021年1月4日至2022年9月16日,吉比特股价累计下跌27.87%。

]]>
Uber被黑,内部系统和机密文件均遭到破坏 Wed, 30 Nov 2022 16:23:54 +0800 据悉,Uber 再次遭到入侵,威胁行为者访问了其电子邮件和云系统、代码存储库、内部 Slack 帐户和 HackerOne 票据,攻击者渗透其内部网络并访问内部文件,包括漏洞报告。

据《纽约时报》报道,威胁者入侵了一名员工的 Slack 账户,并用它来通知内部人员该公司“遭受了数据泄露”,并提供了一份据称被黑客入侵的内部数据库列表。

“我宣布我是一名黑客,Uber遭到数据泄露。”

该公司被迫使其内部通信和工程系统离线,以减轻攻击并调查入侵。

据称,攻击者破坏了多个内部系统,并向《纽约时报》和一些网络安全研究人员提供了电子邮件、云存储和代码存储库的图像。“他们几乎可以完全访问 Uber,”Yuga Labs 的安全工程师 Sam Curry 说,他与声称对此次违规行为负责的人进行了通信。“从它的样子来看,这是一个彻底的妥协。”

攻击者还可以访问公司的 HackerOne 漏洞赏金计划,这意味着他们可以访问白帽黑客提交给公司的每个漏洞报告。这些信息非常重要,威胁者可以利用它发动进一步的攻击。目前无法排除报告包含有关公司尚未修复的一些缺陷的技术细节。

HackerOne 已立即禁用 Uber 漏洞赏金计划,阻止对报告问题列表的任何访问。公司发言人证实,Uber通知执法部门并开始对事件进行内部调查。

Uber首席信息安全官 Latha Maripuri 通过电子邮件告诉《纽约时报》:“我们目前无法估计何时恢复对工具的完全访问权限,因此感谢您对我们的支持。”

员工被指示不要使用内部消息服务 Slack,其中一些不愿透露姓名的员工告诉纽约时报,其他内部系统无法访问。

这名黑客自称18岁,并补充说优步的安全性很弱,在通过 Slack 发送的消息中,他还表示优步司机应该获得更高的工资。

据悉,这不是Uber第一次遭遇安全漏洞。2017 年,2016 年发生的另一起数据泄露事件成为头条新闻。

2017 年 11 月,Uber 首席执行官 Dara Khosrowshahi 宣布黑客侵入了公司数据库并访问了 5700 万用户的个人数据(姓名、电子邮件地址和手机号码),令人不安的发现是该公司掩盖了黑客行为一年多。攻击者还访问了其在美国大约 600,000 名司机的姓名和驾照号码。

黑客事件发生在 2016 年,根据彭博社发布的一份报告,黑客很容易  从公司开发团队使用的私人 GitHub 站点获取凭据。黑客试图勒索优步,并要求该公司支付 10 万美元,以换取避免公布被盗数据。

信息安全主管乔·沙利文(Joe Sullivan)没有按照加州数据安全违规通知法的要求向客户和执法部门通知数据泄露事件,而是下令支付赎金并掩盖破坏任何证据的故事。奖金被伪装 成漏洞赏金 ,并签署了保密协议。

如果Slack被判有罪,这将是第一次有安全专业人员因此类事件而被追究个人责任。

]]>
《安联智库-网安周报》2022-09-19 Wed, 30 Nov 2022 16:23:54 +0800

1、手机预售平台“易联购”被曝卷款跑路

近日,有多地消费者反映,他们通过易联购微信小程序预购了手机,付款后卖家却失联。而“易联购”手机订购平台疑似携款潜逃后留下嚣张跑路公告,称已卷款跑路,人在国外,钱也已经洗干净。
目前,重庆警方已经介入调查处理此次事件,当地市场监管部门也在协助警方进行调查。
律师表示,小程序平台作为开放平台管理者,也有义务在发现小程序发布违法违规信息时,及时采取技术上可行的必要措施,保障小程序用户的资金财产安全。
2、借悼念伊丽莎白二世女王之名,攻击者发起大规模网络钓鱼攻击

当地时间9月8日,英国传奇女王伊丽莎白二世在苏格兰巴尔莫勒尔城堡去世,享年96岁。

就在大家哀悼女王之际,Proofpoint安全研究人员却发现,毫无底线的攻击者假借悼念之名,行网络攻击之实,以“女王去世”、“哀悼女王”等为诱饵的网络钓鱼攻击呈现持续上升的趋势,其目的是从受害者那里窃取 Microsoft 帐户和密码。

邮件以 Microsoft团队的名义发出,大意是微软现正在推出一款名为“伊丽莎白将记忆板”的产品,以此缅怀这位传奇女王。在这里将汇聚来自全球的各种悼念信息,包括单词、邮件、相片等。如果用户也想参与悼念活动,点击链接登录微软账户即可。很明显,这是一个虚假恶意的钓鱼链接,重定向的域名并没有让用户提交悼念文本,而是忽悠受害者先输入其微软账号的登录面、以及多因素身份验证(MFA)等私密信息。一旦这些敏感的信息被攻击者获取,势必会对用户带来严重的影响,甚至是以用户之名进行二次网络钓鱼攻击。

3、大事件!乌方:网络攻击已瘫痪俄罗斯2400个网站

据乌克兰数字转型部消息,乌克兰IT军队在8月29日至9月11日的两周内,攻击了2400多个俄罗斯网站,其中包括俄罗斯联邦最大银行、汽车在线销售平台、俄罗斯主要媒体等。

当地时间9月12日,乌克兰数字转型部在Telegram宣布,其IT团队致使俄罗斯2400多个俄罗斯网站瘫痪,涉及金融业、实体企业、媒体等组织。俄罗斯联邦最大和最重要的银行:俄罗斯天然气工业银行、莫斯科信贷银行、俄罗斯国家银行的服务瘫痪,导致俄罗斯用户无法使用网上银行或通过智能手机进行金融交易。乌克兰数字转型部表示,“更严重的是,俄罗斯士兵领不到工资,亲属领不到赔偿。”

受影响的还有而连锁汽车经销商在线网站Drom、乳制品批发和零售商的电子文档管理系统。俄罗斯主要宣传媒体《俄罗斯日报》也陷入瘫痪。乌克兰数字转型部表示,“我们注意到,一些宣传人员已经在考虑停战,但现在已经太迟了。”据乌克兰媒体Ukrinform报道,9月11日俄罗斯对乌克兰展开大规模袭击,哈尔科夫和顿涅茨克地区的电力被完全切断。根据乌克兰能源部的数据,共有40个的变电站停电,4名电力工程师遇难。

4、FBI:黑客从医疗保健支付处理商窃取数百万美元

根据网站安全客消息,美国联邦调查局 (FBI) 已发出警报,称黑客针对医疗保健支付处理器将付款转移到攻击者控制的银行账户。据悉,仅今年一年,攻击者在访问客户账户和更改支付细节后,从医疗保健公司窃取了超过 460 万美元。

从FBI公布的信息来看,疗保健行业支付处网络犯罪分子正在结合多种策略来获取医理器员工的登录凭据并修改支付指令。FBI 表示,它收到了多份报告,其中黑客使用公开的个人详细信息和社会工程学来冒充受害者访问医疗保健门户、网站和支付信息。在今年 2 月和 4 月的三起此类事件中,黑客从受害者那里转移了超过 460 万美元到他们的账户。

网络钓鱼和欺骗支持中心是帮助黑客实现访问处理和分发医疗保健支付实体的目标的附加方法。FBI 今天的警报指出,这种特定的威胁行为者活动包括向医疗保健支付处理器的财务部门发送网络钓鱼电子邮件。他们还在修改 Exchange Server 的配置并为目标帐户设置自定义规则,可能会收到受害者邮件的副本。

]]>
FBI:黑客从医疗保健支付处理商窃取数百万美元 Wed, 30 Nov 2022 16:23:54 +0800 控制的银行账户。据悉,仅今年一年,攻击者在访问客户账户和更改支付细节后,从医疗保健公司窃取了超过 460 万美元。

从FBI公布的信息来看,疗保健行业支付处网络犯罪分子正在结合多种策略来获取医理器员工的登录凭据并修改支付指令。FBI 表示,它收到了多份报告,其中黑客使用公开的个人详细信息和社会工程学来冒充受害者访问医疗保健门户、网站和支付信息。在今年 2 月和 4 月的三起此类事件中,黑客从受害者那里转移了超过 460 万美元到他们的账户。

网络钓鱼和欺骗支持中心是帮助黑客实现访问处理和分发医疗保健支付实体的目标的附加方法。FBI 今天的警报指出,这种特定的威胁行为者活动包括向医疗保健支付处理器的财务部门发送网络钓鱼电子邮件。他们还在修改 Exchange Server 的配置并为目标帐户设置自定义规则,可能会收到受害者邮件的副本

]]>
借悼念伊丽莎白二世女王之名,攻击者发起大规模网络钓鱼攻击 Wed, 30 Nov 2022 16:23:54 +0800 当地时间9月8日,英国传奇女王伊丽莎白二世在苏格兰巴尔莫勒尔城堡去世,享年96岁。2015年,她成为历史上在位时间最长的英国君主,打破了她的曾曾祖母维多利亚女王创下的纪录。

各国政府纷纷对此表示哀悼,女王的葬礼后续事宜也在按照以往的规格和节奏有序进行。9月15日,英国伦敦深夜举行女王伊丽莎白二世葬礼彩排,并将于19日为女王举行隆重的国葬仪式。

假借悼念之名,行网络攻击之实

就在大家哀悼女王之际,Proofpoint安全研究人员却发现,毫无底线的攻击者假借悼念之名,行网络攻击之实,以“女王去世”、“哀悼女王”等为诱饵的网络钓鱼攻击呈现持续上升的趋势,其目的是从受害者那里窃取 Microsoft 帐户和密码。

攻击者实施网络钓鱼攻击的具体做法是,向用户发送一封带有恶意链接的电子邮件,内容如下图所示:

邮件以 Microsoft团队的名义发出,大意是微软现正在推出一款名为“伊丽莎白将记忆板”的产品,以此缅怀这位传奇女王。在这里将汇聚来自全球的各种悼念信息,包括单词、邮件、相片等。如果用户也想参与悼念活动,点击链接登录微软账户即可。

很明显,这是一个虚假恶意的钓鱼链接,重定向的域名并没有让用户提交悼念文本,而是忽悠受害者先输入其微软账号的登录面、以及多因素身份验证(MFA)等私密信息。一旦这些敏感的信息被攻击者获取,势必会对用户带来严重的影响,甚至是以用户之名进行二次网络钓鱼攻击。

EvilProxy一键反向代理

值得注意的是,在此次网络钓鱼攻击中,安全研究人员观察到不少攻击者正在使用EvilProxy一键反向代理和Cookie 注入,以此绕过2FA 身份验证。关于EvilProxy反向代理服务的具体内容,FreeBuf在 (EvilProxy文章) 进行了说明。

事实上,安全研究人员并非首次观察到此类攻击方式,在以往的APT和针对性间谍活动中也曾多次出现。而随着EvilProxy将这类功能逐渐产品化,那么未来针对在线服务和MFA授权机制的攻击将会迎来较高的增长。

EvilProxy首次出现在安全人员的视野是在2022年5月上旬,当时其背后的攻击组织发布了一段演示视频,详细介绍了该工具是如何提供高级网络钓鱼攻击服务,并声称可窃取身份验证令牌以绕过 Apple、Google、Facebook、Microsoft、Twitter、GitHub、GoDaddy 和甚至 PyPI。

其原理较为简单,攻击将受害者引导至网络钓鱼页面,使用反向代理获取用户期望的所有合法内容,包括登录页面——当流量通过代理时,它会进行嗅探。通过这种方式,攻击者可以获取有效的会话 cookie 并绕过用户名、密码、2FA令牌进行身份验证等操作,从而实现访问目标账户。

EvilProxy服务承诺窃取用户名、密码和会话cookie,费用为150美元(10天)、250美元(20 天)或400美元(30天)。而针对Google帐户攻击的使用费用更高,为 250/450/600 美元。Resecurity还在社交平台上演示了,EvilProxy是如何针对Google帐户发起网络钓鱼攻击。

]]>
伊朗勒索软件组织攻击美国企业,遭美政府溯源真实身份并制裁 Wed, 30 Nov 2022 16:23:54 +0800 安全内参9月15日消息,美国财政部海外资产控制办公室(OFAC)昨天宣布,对隶属于伊朗伊斯兰革命卫队(IRGC)的10名个人和两家实体实施制裁,理由是他们参与了勒索软件攻击。

美国财政部声称,过去两年以来,这些个人涉嫌参与多起勒索软件攻击,并入侵了美国和全球其他地区组织的网络。

这些恶意活动,还与多家网络厂商分别跟踪的国家资助黑客活动存在交集,具体包括APT35、Charming Kitten、Phosphorus、DEV-0270、Tunnel Vision和Nemesis Kitten。

美国财政部表示,“已经有多家网络安全公司发现,这些入侵活动确与伊朗政府有关。他们此前进行过多种恶意网络攻击,包括勒索软件和网络间谍活动。”

“该团伙针对全球各组织及官员发起广泛攻击,重点针对美国及中东地区的国防、外交和政府工作人员,同时也将矛头指向媒体、能源、商业服务和电信等私营行业。”

三名成员信息被悬赏3000万美元

作为伊朗伊斯兰革命卫队的附属组织,该团伙的成员主要是总部位于伊朗的Najee Technology Hooshmand Fater LLC(简称Najee Technology)和Afkar System Yazd公司(简称Afkar System)员工,其中包括:

Mansour Ahmadi:Najee Technology公司法人、董事总经理兼董事会主席

Ahmad Khatibi Aghda:Afkar System公司董事总经理兼董事会成员

其他雇员及同事:Ali Agha-Ahmadi、Mohammad Agha Ahmadi、Mo'in Mahdavi、Aliakbar Rashidi-Barjini、Amir Hossein Nikaeen Ravari、Mostafa Haji Hosseini、Mojtaba Haji Hosseini及Mohammad Shakeri-Ashtijeh

美国财政部之前曾制裁与Net Peygard Samavat公司相关的人员,理由是他们曾于2019年同伊斯兰革命卫队和伊朗情报与安全部(MOIS)开展合作。

一年之后,美国财政部又制裁了Rana Intelligence Computing公司及部分员工,称这家打着经营旗号的企业其实在代表伊情报与安全部协调网络攻击活动。

在此次制裁公告中,美国国务院提供3000万美元,征集关于Mansour Ahmadi、Ahmad Khatibi Aghda和Hossein Nikaeen Ravari三名受制裁伊朗人的信息。三人也因涉嫌参与针对美国关键基础设施组织的勒索软件攻击,面临美国司法部的指控。

美国安全公司提供溯源证据链

昨天,美国、加拿大、英国和澳大利亚的网络安全机构还发布联合公告,描述了该威胁团伙的恶意活动并披露了技术细节。

安全公司Secureworks也紧跟发布一份报告,证实了美国财政部的信息。

Secureworks公司表示,由于抓住了对方在2022年6月勒索软件事件中犯下的操作失误,该公司成功将Nemesis Kitten(也称Cobalt Mirage)团伙同伊朗的Najee Technology、Afkar System两家公司,以及名为Secnerd的另一家实体联系了起来。

Secureworks公司反威胁部门(CTU)在今年5月的报告中,也曾提到涉及Nemesis Kitten的类似恶意攻击(与Phosphorus APT团伙存在交集)。

上周,微软表示,Nemesis Kitten(也称DEV-0270)团伙一直悄悄“作为伊朗支持的Phosphorus网络间谍团伙(又名Charming Kitten和APT35)的子部门,为个人或公司获取非法收入。”

微软将该团伙与多家伊朗企业联系了起来,其中包括Najee Technology、Secnerd和Lifeweb。

微软解释道,“该团伙的攻击目标有很大的随机性:他们会首先扫描互联网以查找易受攻击的服务器和设备,因此服务器和设备易受攻击且暴露在网上的组织更可能受到攻击影响。”

]]>
近6年黑客企图入侵韩国政府网络近56万次 Wed, 30 Nov 2022 16:23:54 +0800 韩联社首尔9月13日电 韩国国会行政安全委员会所属共同民主党籍议员李海植13日公开的一份资料显示,近6年来黑客企图入侵韩国政府网络系统近56万次。

这份来自行政安全部的统计资料显示,近5年零7个月(2017年到2022年7月)期间,黑客共55.8674万次企图入侵政府网络系统。按年度看,2017年为6.2532万次,2018年为9.498万次,2019年为12.4754万次,2020年为10.881万次,2021年为10.1123万次,整体呈逐年递增趋势。今年1月至7月共6.6475万次。

追踪网络层协议(IP)地址的结果显示,来自中国的攻击试图最多,共有12.7908万次(22.9%),其次是来自美国的11.3086万次(20.2%),韩国的4.7725万次(8.5%),俄罗斯的2.6261万次(4.7%),德国的1.5539万次(2.8%),巴西的1.3591万次(2.4%)等。按攻击类型来看,泄露信息(40.9%)最多,其次是收集信息(16.5%)、篡改网页(15.7%)、获取系统权限(14.2%)等。

李海植表示,试图攻击政府网络的黑客逐年增加意味着国家安全和国民的个人信息受到威胁,有必要从政府层面制定全面的网络安全防范对策。

]]>
原来用户隐私是这样被泄露:超八成搜索网站将信息出售 Wed, 30 Nov 2022 16:23:54 +0800 互联网时代给用户带来了极大地便利,但也让个人隐私信息无处躲藏。打开电商购物平台,APP的精准推荐总是让人感到不安;打开搜索平台,跳出的智能搜索记录着浏览行为;打开娱乐软件,推荐算法让用户逐渐沉迷其中......

虽然“隐私”在数字化的世界已经无处安放,但我们却很少去认真思考,隐私究竟是怎样被泄露的?

近日,诺顿LifeLock实验室研究后发现,超过8成带有搜索栏的网站会将访问者的搜索字词泄露给谷歌等在线广告商。

很明显这是在赤裸裸地侵犯用户隐私,并公然将敏感信息泄露给庞大的第三方服务商,借助这些信息,谷歌等在线广告商可以提供有针对性的广告或跟踪用户的网络行为。这些数据甚至有可能在这些服务商之间共享,又或者是多次转手出售给更多的企业,由此带来的恶果是,用户的隐私信息将会一直存在互联网上,一直被曝光。

虽然一些网站可能会在其用户政策中声明这种做法,但访问者通常不会阅读这些内容,并认为他们在嵌入式搜索字段中输入的信息是与大数据代理隔离的。

用爬虫发现信息泄露

为了研究用户隐私信息泄露的普遍程度,诺顿LifeLock实验室开发了一个基于Chrome 浏览器的网络爬虫。该爬虫可以使用前100万个网站内部的搜索功能并执行搜索,最后搜索后捕获所有网络流量,以此查看用户的搜索词会流转到哪里。

为了区别于其他的普通搜索,实验室使用了一个特定的搜索词“jellybeans”,以确保可以在网络流量中轻松找到测试的搜索词。

众所周知,一个典型的 HTTP 网络请求由三部分组成:URL、Request Header 和 payload。HTTP 请求标头是浏览器自动发送的元数据(见下文),有效负载是脚本或表单请求的附加数据,可能包括更详细的跟踪信息,例如浏览器指纹或点击流数据。在实际研究中,安全研究人员在网络请求的Referer 请求标头、URL 和有效负载中寻找关键词“jellybeans”。

结果令人感到非常惊讶。在具有内部站点搜索功能的顶级网站中,安全研究人员发现,81.3%的网站都在以某种形式向第三方泄露搜索字词:75.8% 的网站通过Referer标头,71% 的网站通过URL,21.2%的网站通过有效载荷。这也就意味着网站通常会以多个向量泄露关键词。

研究人员强调,八成只是最低的数字,因为他们仅在三个特定位置查找“jellybeans”搜索字符串,还有不少有效载荷被混淆以避免被工具检查,因此有效载荷的实际数量将会更高。

鉴于如此严峻的结果,安全研究人员很好奇这些网站是否都告知用户,其搜索关键词将会被发给第三方服务商。事实上,自欧洲通用数据保护条例 (GDPR) 和加利福尼亚州消费者隐私法 (CCPA) 通过以来,许多网站都更新了各自的隐私政策,那么又有多少网站明确告知了这些内容?

为此安全研究人员再次使用爬虫爬取了隐私政策,并建立了一个人工智能逻辑来阅读隐私政策,结果发现只有13% 的隐私政策明确提到了用户搜索词的处理,如此之低的比例再次让安全研究人员感到震惊。这不仅侵犯了用户隐私,而且还侵犯了用户的知情同意权。

]]>
大事件!乌方:网络攻击已瘫痪俄罗斯2400个网站 Wed, 30 Nov 2022 16:23:54 +0800 据乌克兰数字转型部消息,乌克兰IT军队在8月29日至9月11日的两周内,攻击了2400多个俄罗斯网站,其中包括俄罗斯联邦最大银行、汽车在线销售平台、俄罗斯主要媒体等。

当地时间9月12日,乌克兰数字转型部在Telegram宣布,其IT团队致使俄罗斯2400多个俄罗斯网站瘫痪,涉及金融业、实体企业、媒体等组织。

俄罗斯联邦最大和最重要的银行:俄罗斯天然气工业银行、莫斯科信贷银行、俄罗斯国家银行的服务瘫痪,导致俄罗斯用户无法使用网上银行或通过智能手机进行金融交易。乌克兰数字转型部表示,“更严重的是,俄罗斯士兵领不到工资,亲属领不到赔偿。”

受影响的还有而连锁汽车经销商在线网站Drom、乳制品批发和零售商的电子文档管理系统。俄罗斯主要宣传媒体《俄罗斯日报》也陷入瘫痪。乌克兰数字转型部表示,“我们注意到,一些宣传人员已经在考虑停战,但现在已经太迟了。”

此外,乌克兰IT团队还在9月1日(苏联解体国家的知识日),通过克里米亚主要电视频道,向学生传达总统泽连斯基的问候。

据乌克兰媒体Ukrinform报道,9月11日俄罗斯对乌克兰展开大规模袭击,哈尔科夫和顿涅茨克地区的电力被完全切断。根据乌克兰能源部的数据,共有40个的变电站停电,4名电力工程师遇难。

]]>
思科确认 Yanluowang 勒索软件团伙泄露了公司数据 Wed, 30 Nov 2022 16:23:54 +0800 Bleeping Computer 网站披露,思科公司已经确认 Yanluowang 勒索软件团伙泄露的数据是黑客在5月份一次网络攻击中从该公司网络中窃取的。

值得一提的是,思科方面在一份公告中表示,此次数据泄漏事件不会对公司业务有任何影响。

公告中部分内容:

2022 年 9 月 11 日,黑客将相同文件的实际内容发布到了暗网同一位置上,这些文件的内容与公司已经识别和披露的内容相符。思科方面认为对公司业务没有影响,包括思科产品或服务、敏感的客户数据或敏感的员工信息、知识产权或供应链运营等。

据悉,早在 8 月份的一份报告中,思科就宣布在黑客入侵员工 VPN 帐户后,其网络已被 Yanluowang 勒索软件入侵。随后思科强调被盗的数据包括该员工 Box 文件夹中的非敏感文件,攻击在 Yanluowang 勒索软件开始加密系统之前就已被遏制。

黑客声称窃取了55GB的数据

有意思的是,黑客表示事情并不是思科所说的那样,Yanluowang 幕后主使人向 BleepingComputer 透露,该组织窃取了思科成千上万的文件,总计达到了 55 GB ,文件主要包括机密文件、技术原理图和源代码。

不过,该名黑客没有提供任何证据,只分享了一张截图(表明可以访问似乎是开发系统的界面),因此 BleepingComputer 也无法核实这一说法的准确性。当被要求对此事发表评论时,思科否认了入侵者能够访问任何源代码的可能性。

公司没有证据表明攻击者访问了思科产品的源代码,也没有任何超出我们已经公开披露的实质性访问——思科

上月末,网络安全公司eSentire的研究团队发表了一份报告,其中有证据表明 Yanluowang、“Evil Corp”(UNC2165)和 FiveHands 勒索软件(UNC2447)之间存在关联。但Yanluowang勒索软件团伙告诉 BleepingComputer,他们在攻破思科时是单独行动,与这些派别都没有关系。

]]>
250万学生贷款记录因违规泄露 Wed, 30 Nov 2022 16:23:54 +0800 据外媒报道,EdFinancial 和俄克拉荷马州学生贷款管理局 (OSLA)已承认,超过250万学生用户的个人数据和贷款记录遭泄露,目前正在陆续通知受害者。

根据其披露的违规信息,造成此次数据泄露的主要元凶是Nelnet Servicing公司——一家服务系统和网络门户提供商,为 OSLA 和 EdFinancial 提供相应的服务。

2022年7月,Nelnet公司曾向用户发布了一封公开信,披露了存在的违规行为以及可能泄露个人贷款记录。该公司在公开信中强调,在事件发生后,网络安全团队立即采取行动保护信息系统,并极力阻止一切可以行动,及时与第三方网络安全专家展开联合调查,以确定活动的性质和范围,尽可能解决这一网络安全事件。

直到8月17日,调查结果显示,个人用户信息已经被未经授权的第三方访问,数据泄露已成定局。此次事件中泄露了250万学生贷款记录,以及账户持有人的姓名、家庭住址、电子邮件地址、电话号码和社会保险号码,个人财务信息没有泄露。

Nelnet法律顾问向俄克拉荷马州提交了违规披露文件,但尚不清楚被攻击的原因和具体的漏洞信息。

尽管极为关键的个人财务信息没有泄露,但是在 Nelnet事件中泄露的个人信息,未来很有可能被攻击者在社会工程或网络钓鱼攻击活动中利用。恰好拜登政府上周出台了一项“减免学生贷款”的计划,中低收入贷款人取消 10000 美元的学生贷款债务,别有用心的犯罪分子可能会利用这个机会进行诈骗,已经贷款的用户需提高警惕,认真辨别消息的真伪,避免上当受骗。

]]>
20.5亿条数据泄露?TikTok否认遭黑客攻击 Wed, 30 Nov 2022 16:23:54 +0800 据BleepingComputer报道,TikTok近日否认遭黑客入侵及源代码和用户数据被盗,黑客论坛泄露的20.5亿条数据与该公司“完全无关”。

上周五,一个名为“AgainstTheWest”的黑客组织在一个黑客论坛发帖声称已经入侵了TikTok和微信,并公布了一个Tiktok和微信的数据库屏幕截图,声称该数据库是在一个包含TikTok和微信用户数据的阿里云实例上访问的。

该黑客组织表示,该服务器在一个790GB的庞大数据库中保存了20.5亿条记录,其中包含用户数据、平台统计信息、软件代码、cookie、身份验证令牌、服务器信息等。

虽然该黑客组织的名字是“AgainstTheWest”(以下简称ATW),但该组织声称只针对敌视西方利益的国家和公司。

网络安全研究员CyberKnow解释说:“不要让这个名字让你感到困惑,ATW的目标是他们认为对西方社会构成威胁的国家,目前他们的目标是中国和俄罗斯,并计划在未来瞄准朝鲜、白俄罗斯和伊朗。”

TikTok否认被黑客入侵

TikTok告诉BleepingComputer,该公司被黑客入侵的说法是错误的。此外,该公司表示,在黑客论坛上共享的源代码不是其平台的一部分。

“这是一个错误的说法——我们的安全团队调查了这一声明,并确定有问题的代码与TikTok的后端源代码完全无关,后者从未与微信数据合并。”-TikTok。

TikTok还指出,泄露的用户数据不可能是直接抓取其平台造成的,因为它们有足够的安全保护措施来防止自动脚本收集用户信息。

BleepingComputer也已联系微信,但截止发稿尚未收到回复。

虽然微信和TikTok都是中国公司,但它们并不属于同一家母公司,前者属于腾讯,后者属于字节跳动。因此,在单个数据库中同时看到两家企业的数据表明该数据库不属于其中任何一家公司。

最有可能的情况是,该未受保护的数据库是由第三方数据抓取工具或代理人创建的,从两种服务中抓取公共数据并将其保存到单个数据库中。但是考虑到严格的隐私保护法规,如此大规模的隐私数据云端暴露真实性存疑。

HaveIBeenPwned创始人Troy Hunt发推文(下图)确认了某些数据(源代码)是有效的。但是Hunt表示已泄露的都是公开可访问代码,很可能是非生产环境或测试代码,目前没有任何证据表明TikTok存在内部系统漏洞。

此外,“数据库猎手”Bob Diachenko发推文称已经验证了泄露的用户数据是真实的,但无法提供有关数据来源的任何具体结论:

]]>
洲际酒店集团遭网络攻击预订系统瘫痪 Wed, 30 Nov 2022 16:23:54 +0800 洲际酒店集团是一家英国跨国公司,目前在100多个国家/地区经营6,028家酒店,并有1800多家在开发中,旗下品牌包括豪华、高档和基本连锁酒店,如洲际、丽晶、六善、皇冠假日、假日酒店等。

在周二在向伦敦证券交易所提交的文件中,洲际酒店集团报告其公司部分技术系统受到未经授权的活动的影响:“自昨天以来,IHG的预订渠道和其他应用程序已被严重中断,而且这种情况仍在继续。”

根据报告,洲际酒店集团已聘请外部专家对事件进行调查,并正在通知相关监管机构。 

洲际酒店集团是一家英国跨国公司,目前在100多个国家/地区经营6,028家酒店,并有1800多家在开发中,旗下品牌包括豪华、高档和基本连锁酒店,如洲际、丽晶、六善、皇冠假日、假日酒店等。

在周二在向伦敦证券交易所提交的文件中,洲际酒店集团报告其公司部分技术系统受到未经授权的活动的影响:“自昨天以来,IHG的预订渠道和其他应用程序已被严重中断,而且这种情况仍在继续。”

根据报告,洲际酒店集团已聘请外部专家对事件进行调查,并正在通知相关监管机构。 

根据BleepingComputer的测试,洲际酒店集团的API也出现故障,并显示502和503HTTP错误。

洲际酒店集团客户端APP目前也无法登录,显示“出现问题,您输入的凭据无效。请重置您的密码或联系客户服务。”的错误信息

网络犯罪情报公司Hudson Rock表示,根据与ihg[.]com域名相关的数据分析,IHG至少有15名员工和4000多名用户遭到入侵。

这家连锁酒店巨头也是2017年(9月29日至12月29日)长达三个月的漏洞攻击事件的受害者目标,当时美国有1200多家洲际特许经营酒店受到影响。

]]>
洛杉矶联合学区遭勒索软件攻击 多项服务出现中断 Wed, 30 Nov 2022 16:23:54 +0800 洛杉矶联合学区 (LAUSD) 承认遭到勒索软件攻击,导致持续的技术中断。LAUSD 是仅次于纽约市教育部的美国第二大学区。LAUSD 为 1000 多所学校的 60 多万名从幼儿园到 12 年级的学生提供服务,并雇用了超过 26000 名教师。

本周一,该学区承认在上周末遭到网络攻击,随后确认攻击类型为勒索软件。尽管本次攻击导致 LAUSD 基础设施出现“明显的中断”,不过该学区表示正着手恢复受影响的服务。LAUSD 表示,预计技术问题不会影响交通、食品或课后活动,但指出“业务运营可能会延迟或修改”。

该学区警告说,持续的中断包括“访问电子邮件、计算机系统和应用程序”。该学区内 Northridge Academy High 学校的一篇帖子证实,教师和学生可能无法访问 Google Drive 和 Schoology,这是一个 K- 12 学习管理系统,直至另行通知。

LAUSD 表示,根据对关键业务系统的初步分析,“员工医疗保健和工资单没有受到影响,网络事件也没有影响学校的安全和应急机制”。然而,目前尚不清楚攻击期间是否有任何数据被盗,LAUSD 尚未回答媒体的问题。勒索软件攻击者通常会在要求支付赎金之前泄露受害者的文件,旨在进一步勒索受害者,威胁要在不支付赎金的情况下在线泄露被盗数据。目前尚不清楚袭击的幕后黑手是谁。

]]>
谷歌Chrome浏览器再现0 day漏洞 已发布更新补丁 Wed, 30 Nov 2022 16:23:54 +0800  9 月 7 日消息,谷歌于 9 月 2 日发布了其 Chrome 浏览器的更新,其中包含针对 Mac 和 Windows 版漏洞的修复。

Chrome 浏览器 105.0.5195.102 版本更新已推出,修复了一个高风险安全漏洞,该漏洞修补了一个危险的 0 day 漏洞,即被发现后立即被恶意利用的安全漏洞。这是该公司在 2022 年迄今为止修补的第六个 0 day 漏洞。

此前修复的 5 个 0 day 漏洞分别为 CVE-2022-0609、CVE-2022-1096、CVE-2022-1364、CVE-2022-2294 和 CVE-2022-2856。

IT之家了解到,匿名报告称,新漏洞 CVE-2022-3075 是 Mojo 中数据验证不足导致的。Mojo 是一组运行时库,有助于跨任意进程间和进程内边界传递消息。

谷歌表示:“在大多数用户更新修复程序之前,可能会限制对错误详细信息和链接的访问。如果错误存在于其他项目类似依赖但尚未修复的第三方库中,我们还将保留限制。”

]]>
《安联智库-网安周报》2022-09-05 Wed, 30 Nov 2022 16:23:54 +0800

1、黑山遭遇勒索软件攻击,黑客索要1000万美元

Bleeping Computer 网站披露,黑山政府关键基础设施遭到了勒索软件攻击,黑客索要 1000 万美元巨款。
黑山公共管理部长马拉斯-杜卡伊在接受当地电视台采访时表示,此次网络攻击背后是一个有组织的网络犯罪集团,之后杜卡伊又补充说,黑客在这次攻击中使用了一种“特殊病毒”,并提出了 1000 万美元的赎金要求。
2、意大利石油巨头 ENI 遭受网络攻击

Security Affairs 网站披露,意大利石油巨头ENI 遭受网络攻击,攻击者破坏了其计算机网络,但该公司称,攻击并未产生很恶劣的影响。

攻击事件发生不久后,ENI 一位发言人在接受路透社采访时透露,是在最近几天内部保护系统检测时,发现了此次网络攻击事件,随后就向意大利当局报告了这一事件,当局也已经展开调查。

目前,没有披露出关于此次攻击的具体技术细节,也没有确定攻击者是采用那种方式入侵了公司和攻击者动机。从知情人士透露出的消息来看,ENI 可能遭受了勒索软件攻击。勒索软会锁定计算机并阻止对文件的访问以代替付款,目前尚不清楚攻击事件的主谋。

3、美国国税局泄露了12万人的机密信息

9月4日消息,据《华尔街日报》报道,美国国税局于当地时间周五表示,官网无意中发布了涉及约 120000 人的通常机密信息,目前已发现错误并从网站上删除了数据。

据报道,泄露的数据包括姓名、联系信息和有关这些 IRA 收入的财务信息。根据美国政府周五发送给国会主要成员的一封信,财政部确定,其中不包括社会安全号码、完整的个人收入信息或其他可能影响纳税人信用的数据。

美国国税局和财政部称,从去年开始,以电子方式提交 990-T 表格时出现了人为编码错误。一些非公开数据被错误地包含在了公共数据中,并且所有这些数据都可以在该机构的网站上进行搜索和下载。

4、匿名黑客控制了俄罗斯最大的出租车公司,造成了大规模的交通堵塞

本周,黑客控制了莫斯科市中心,造成了长达两小时的交通堵塞。根据推特的报道,黑客操纵了Yandex出租车应用程序,让所有可用的出租车同时到同一个地方。

这条被称为莫斯科库图佐夫前景的街道堵塞了几个小时,出租车司机发现他们无法离开这一地区。匿名者声称这是他们“OpRussia”的一部分,但他们的角色尚未得到证实。

出租车公司的一位发言人表示,安保部门立即制止了人为囤积车辆的行为。由于假订单,司机们在路上花费了大约40分钟。赔偿的问题将在不久的将来得到解决。检测和防止此类攻击的算法已经得到了改进,以帮助防止未来发生此类攻击。虽然这次黑客攻击是通过Yandex应用程序发生的,但它突显了一旦自动驾驶汽车成为现实,黑客可能会带来的危险。

]]>
美国国税局泄露了12万人的机密信息 Wed, 30 Nov 2022 16:23:54 +0800 9月4日消息,据《华尔街日报》报道,美国国税局于当地时间周五表示,官网无意中发布了涉及约 120000 人的通常机密信息,目前已发现错误并从网站上删除了数据。

这些数据来自 990-T 表格,该表格通常用于拥有个人退休账户且在这些退休计划中赚取某些类型业务收入的人。

据报道,泄露的数据包括姓名、联系信息和有关这些 IRA 收入的财务信息。根据美国政府周五发送给国会主要成员的一封信,财政部确定,其中不包括社会安全号码、完整的个人收入信息或其他可能影响纳税人信用的数据。

美国国税局和财政部称,从去年开始,以电子方式提交 990-T 表格时出现了人为编码错误。一些非公开数据被错误地包含在了公共数据中,并且所有这些数据都可以在该机构的网站上进行搜索和下载。IT之家了解到,《华尔街日报》称其也下载到了部分数据。

美国国税局的一名研究人员最近几周发现了这个错误,引发了更广泛的调查。根据管理重大信息安全事件的联邦法律的要求,美国国税局于周五通知了国会。受影响的纳税人将在未来几周内收到通知。

]]>
匿名黑客控制了俄罗斯最大的出租车公司,造成了大规模的交通堵塞 Wed, 30 Nov 2022 16:23:54 +0800 本周,黑客控制了莫斯科市中心,造成了长达两小时的交通堵塞。根据推特的报道,黑客操纵了Yandex出租车应用程序,让所有可用的出租车同时到同一个地方。

这条被称为莫斯科库图佐夫前景的街道堵塞了几个小时,出租车司机发现他们无法离开这一地区。

匿名者声称这是他们“OpRussia”的一部分,但他们的角色尚未得到证实。

出租车公司的一位发言人表示,安保部门立即制止了人为囤积车辆的行为。由于假订单,司机们在路上花费了大约40分钟。赔偿的问题将在不久的将来得到解决。检测和防止此类攻击的算法已经得到了改进,以帮助防止未来发生此类攻击。

虽然这次黑客攻击是通过Yandex应用程序发生的,但它突显了一旦自动驾驶汽车成为现实,黑客可能会带来的危险。

Yandex出租车被广泛称为“俄罗斯谷歌”,在全球1000多个城市运营,也是世界上从事自动驾驶技术的最大公司之一。如果一支舰队人工智能无人驾驶的出租车可能会被黑客接管,谁也不知道会造成什么样的破坏,从网络罪犯到军队,每个人都有能力瘫痪整个城镇和国家。

]]>
意大利石油巨头 ENI 遭受网络攻击 Wed, 30 Nov 2022 16:23:54 +0800 Security Affairs 网站披露,意大利石油巨头ENI 遭受网络攻击,攻击者破坏了其计算机网络,但该公司称,攻击并未产生很恶劣的影响。

攻击事件发生不久后,ENI 一位发言人在接受路透社采访时透露,是在最近几天内部保护系统检测时,发现了此次网络攻击事件,随后就向意大利当局报告了这一事件,当局也已经展开调查。

彭博社首次披露了攻击事件

周三,彭博新闻社首先报道了 ENI 遭受攻击的消息,并猜测 ENI  似乎受到了勒索软件攻击。

目前,没有披露出关于此次攻击的具体技术细节,也没有确定攻击者是采用那种方式入侵了公司和攻击者动机。

从知情人士透露出的消息来看,ENI 可能遭受了勒索软件攻击。勒索软会锁定计算机并阻止对文件的访问以代替付款,目前尚不清楚攻击事件的主谋。

意大利其他部门同样也遭受了网络攻击

上周末,意大利能源机构 Gestore dei Servizi Energetici SpA 遭受了网络攻击,(GSE 是运营意大利电力市场的政府机构)。GSE 的网站目前仍然处于瘫痪状态。熟悉此事的人向彭博社透露,能源公司的基础设施遭到严重破坏,对该机构的运作产生了很大影响。

更糟糕的是,公共关键基础设施运营商一旦遭受网络攻击,可能导致向用户提供电力、水和其他服务的运营系统中断,最终影响民众的生活。

去年,位于佐治亚州阿尔法雷塔的 Colonial Pipeline Co遭受了网络攻击,导致其 IT 系统瘫痪,被迫关闭了美国最大的燃料管道。今年 2 月,位于德国汉堡的石油交易商 Mabanaft 遭受网络攻击,严重破坏了德国各地的燃料供应工作。

]]>
黑山遭遇勒索软件攻击,黑客索要1000万美元 Wed, 30 Nov 2022 16:23:54 +0800 Bleeping Computer 网站披露,黑山政府关键基础设施遭到了勒索软件攻击,黑客索要 1000 万美元巨款。

黑山公共管理部长马拉斯-杜卡伊在接受当地电视台采访时表示,此次网络攻击背后是一个有组织的网络犯罪集团,之后杜卡伊又补充说,黑客在这次攻击中使用了一种“特殊病毒”,并提出了 1000 万美元的赎金要求。

最后,杜卡伊强调,无法估计受黑客影响的服务何时能够重新恢复正常使用。

幕后主使者 Cuba 勒索软件

值得一提的是,此前杜卡伊和黑山国防部长向当地媒体透露,他们有足够的证据怀疑网络攻击是由俄罗斯服务机构指挥的,并动员巴尔干国家的北约盟友帮助他们进行事件响应、防御和补救。

如果他们所述属实,会使攻击事件显得具有强烈的地缘政治色彩。

事情很快出现了反转,在黑山政治人物发声不久后,Cuba 勒索软件团伙将黑山议会(Skupstina)列为其受害者,并声称盗取了财务文件、与银行的通信记录、资产负债表、税务文件、赔偿金,甚至源代码等资料。

这些数据分类在该网站的“免费 ”部分,任何访问者都可以无限制地使用。

Cuba勒索软件的演变

近段时间,Cuba 勒索软件表现出了明显演变。三周前,安全研究人员发现了该团伙使用一个新的工具集,以及之前未见过的策略、技术和程序。

6月,Cuba 勒索软件更新了其加密器,增加了一些选项,并建立了一个支持“受害者实时沟通”的渠道。

另一个值得注意是,2021年,大量美国实体组织在 Cuba团伙的目标范围中。

]]>
印度阿卡萨航空公司承认存在安全漏洞 导致34533条用户信息暴露 Wed, 30 Nov 2022 16:23:54 +0800 本月初开始商业运营的印度阿卡萨航空公司(Akasa Air)由于注册登陆服务中的技术故障,导致数千名用户的个人数据被披露。这些披露的数据是由阿舒托什·巴罗特(Ashutosh Barot)发现的,其中包括客户全名、性别、电子邮件地址、手机号码等等。

在阿卡萨航空公司网站于 8 月 7 日成立上线之后,巴罗特在几分钟之后就发现了 HTTP 请求漏洞。他最初试图直接与这家总部位于孟买的航空公司的安全团队沟通,但没有找到直接联系人。

这位研究专家表示:“我通过他们的官方Twitter账户联系了航空公司,要求他们提供一个电子邮件 ID 来报告这个问题。他们给了我 info@akasa 电子邮件 ID,我没有向其分享漏洞详细信息,因为它可能由支持人员或第三方供应商处理。所以,我再次给他们发了电子邮件,并要求 [航空公司] 提供他们安全团队中某人的 [the] 电子邮件地址。我没有收到来自 Akasa 的进一步通信”。

在没有得到航空公司关于他如何与安全团队联系的回应后,研究人员向 TechCrunch 通报了这个问题。在 TechCrunch 联系之后,该航空公司承认确实存在该问题,导致 34,533 条客户记录面临风险。该航空公司还表示,暴露的数据不包括与旅行相关的信息或支付记录。该航空公司告诉 TechCrunch,它进行了额外的审查,以确保其所有系统的安全性。

]]>
俄罗斯流媒体巨头遭恶意攻击,210万中国用户数据泄露 Wed, 30 Nov 2022 16:23:54 +0800 8月30日消息,俄罗斯流媒体巨头START 在上周日表示,其客户的个人信息在一次网络攻击中被泄露。

该公司没有透露具体有多少用户受到此次事件的影响,但根据俄罗斯Telegram频道“Information Leaks”的信息(该频道率先公布了此次事件,并附上一张据称为泄露信息的截图),泄露数据库总计72 GB大小,包含4400万客户的数据。

此次泄露的信息包括用户名、电子邮件地址、哈希密码、IP地址、用户注册国家、订阅起始及结束日期,以及最后一次登录记录。

START共在超过174个国家销售电影和电视节目,此次事件也让其成为俄乌冲突爆发后,遭受数据泄露和黑客攻击影响的众多俄罗斯企业之一。

据称,这起数据泄露事件已经影响到全球观众,包括俄罗斯本土的2460万用户、哈萨克斯坦的230万用户、中国的210万用户及乌克兰的170万用户。

恶意黑客宣称,这些数据来自一个暴露在互联网上的MongoDB数据库,其中包含去年9月22日之前在START网站上注册用户的详细信息。

START公司表示,已经修复了漏洞并设置了数据库访问权限,事件声明中写道,“泄露的数据对恶意黑客而言意义不大,其中最重要的内容也只有用户的电子邮件和电话号码。”

据START介绍,该数据库中不存在信用卡号等重要的财务信息。由于密码已经加密,该公司也未要求用户更改原有密码。

START公司数据科学主管Ilya Braslavskiy表示,只有少部分用户(不到2%)在网站注册时填写了真实姓名。他在Telegram上写道,“本人姓名并非必填字段,所以大多数用户没必要提交。”

目前尚不清楚此次攻击的幕后黑手和行为动机,也没有黑客团伙宣称对这起事件负责。

广电媒体成俄乌冲突期间攻击重点

今年7月初,来自乌克兰IT军的恶意黑客利用分布式拒绝服务(DDoS)攻击影响了约80家俄罗斯在线电影网站,泛滥的垃圾流量导致这些线上观影平台无法正常访问。

今年3月,匿名恶意黑客还曾入侵俄罗斯流媒体服务Wink和Ivi,并播放了俄乌战场上拍摄的真实画面。

俄乌战争期间,乌克兰方面的流媒体服务也同样饱受俄方网络攻击的摧残。今年6月,亲俄派黑客就攻击了乌克兰流媒体服务Oll.tv,并把足球赛转播替换成了俄文宣传影像。

Megogo、Sweet.tv等其他重要流媒体服务商也大多表示受到DDoS攻击,但并未受到重大影响。

]]>
《安联智库-网安周报》2022-08-28 Wed, 30 Nov 2022 16:23:54 +0800

1、AR滤镜违规采集人脸信息 Snap或需支付2.4亿元和解金

近日,由于被质疑滤镜效果违反生物识别法案,社交软件Snapchat的母公司Snap将以3500万美元(约2.4亿元人民币)和解一起隐私集体诉讼案件。这起集体诉讼在美国伊利诺伊州发起,原告指控Snapchat的滤镜不合理地收集和存储了居民的人脸信息,并且未提前告知这些行为,这违反了伊利诺伊州的《生物信息隐私法案》。
作为一款以照片分享为主要功能的软件,丰富的滤镜是Snapchat产品竞争力的重要组成部分。原告认为, Snapchat的滤镜可以通过摄像头,扫描、采集,并修改用户面部数据,以达到任意改变他们在镜头中的脸部形象的效果。然而,这些面部数据属于BIPA保护的“生物识别标识符(biometric identifier)”。同时,Snapchat并没有公开告知收集、使用和销毁个人生物识别信息的具体流程。
随着技术的逐渐普及,其中的风险也逐渐被用户所重视。
2、美外卖巨头发生数据泄露 涉及用户姓名、地址等信息

 8 月 27 日消息,据华尔街日报报道,当地时间周四,DoorDash 报告了一起数据泄露事件,涉及该公司的用户和配送员等信息。

DoorDash 表示,被读取的信息包括客户姓名、电子邮件地址、送货地址和电话号码、订单信息和部分支付卡信息。此外,DoorDash 工作人员的姓名、电话号码或电子邮件地址也被泄露。

不过,DoorDash 指出,受影响的人数只占该公司持有信息的“很小百分比”。在被问及此事时,DoorDash 的一名发言人不愿提供更具体的数字。

据 DoorDash 介绍,该公司调查了此次入侵事件,并认定“未经授权的一方使用窃取的供应商员工身份验证信息获得了我们部分内部工具的权限”。

3、北美国家政务机构遭勒索软件攻击,内部数据全部泄露

8月26日消息,位于北美洲的多米尼加共和国突遇横祸,农业部下属机构Instituto Agrario Dominicano(IAD)受到Quantum勒索软件攻击,导致该机构内多个服务及工作站被加密锁定。

IAD技术总监Walixson Amaury Nuñez向当地媒体表示,“对方开价超过60万美元。我们这边被锁定的包括四台物理服务器和八台虚拟服务器,几乎是我们的全部服务器设备了。”Núñez还透露,“由于数据库、应用程序和电子邮件等都受到了影响,信息已经全面泄露。

IAD告诉当地媒体,他们的系统上只装有防病毒软件之类最基础的安全软件,并且没有专门的网络安全部门。

4、黑客正使用AiTM攻击监控企业高管的微软 365帐户

据Bleeping Computer8月24日消息,一项新的商业电子邮件泄露 (BEC) 活动正将复杂的鱼叉式网络钓鱼与中间人攻击 (AiTM) 策略相结合,以入侵企业高管的 Microsoft 365 帐户,其中包括受多因素身份验证 (MFA) 保护的帐户。


Mitiga 的研究人员在一次事件响应案例中发现了这一活动,这是一种典型的商业电子邮件泄露攻击,目的是在入侵并监控首席执行官或首席财务官等高级员工的账户后适时进行通信,并在适当的时候回复电子邮件,将大笔资金交易转移到他们控制的银行账户。

在攻击开始时,攻击者会向目标发送谎称付款的公司银行账户由于财务审计而被冻结的钓鱼邮件,并附有新的付款指令,这些指令会切换到由攻击者控制的银行账户。

在Mitiga例举的一个攻击样例中,对公司高管的攻击始于一封看似来自 DocuSign 的网络钓鱼电子邮件,(DocuSign 是一种在企业环境中广泛使用的电子协议管理平台),虽然电子邮件没有通过 DMARC 检查,但 Mitiga 发现, DocuSign 针对垃圾邮件的常见安全错误配置有助于它进入目标的收件箱。单击“查看文档”按钮时,受害者会被带到一个欺骗域上的网络钓鱼页面,要求收件人登录到 Windows 域。

攻击者被认为使用网络钓鱼框架(例如 Evilginx2 代理)来进行所谓的中间人攻击 (AiTM) 。在 AiTM 攻击期间, Evilginx2 等工具充当代理,位于网络钓鱼页面和目标公司的合法登录表单之间。由于代理位于中间,当受害者输入他们的凭证并解决 MFA 问题时,代理会窃取 Windows 域生成的Cookie。这时,可以将偷来的Cookie加载到他们自己的浏览器中,自动登录到受害者的账户中,并绕过MFA。

由于有效Cookie可能会过期或被撤销,因此攻击者会添加新的 MFA 设备并将其链接到被破坏的 Microsoft 365 帐户,这一举动不会生成任何警报或需要与原有帐户所有者进行进一步交互。

在 Mitiga 看到的案例中,攻击者添加了一部手机作为新的身份验证设备,以确保他们可以不间断地访问受感染的帐户。据研究人员称,攻击者正利用这种隐秘的漏洞几乎完全地访问 Exchange 和 SharePoint。根据日志,他们没有对受害者的收件箱采取任何行动,大概只是阅读电子邮件。

然而,攻击者可能正在等待合适的时机注入他们自己的电子邮件,以将发票付款转移到攻击者控制的银行账户中

]]>
美外卖巨头发生数据泄露 涉及用户姓名、地址等信息 Wed, 30 Nov 2022 16:23:54 +0800  8 月 27 日消息,据华尔街日报报道,当地时间周四,DoorDash 报告了一起数据泄露事件,涉及该公司的用户和配送员等信息。

IT之家了解到,DoorDash 表示,被读取的信息包括客户姓名、电子邮件地址、送货地址和电话号码、订单信息和部分支付卡信息。此外,DoorDash 工作人员的姓名、电话号码或电子邮件地址也被泄露。

不过,DoorDash 指出,受影响的人数只占该公司持有信息的“很小百分比”。在被问及此事时,DoorDash 的一名发言人不愿提供更具体的数字。

据 DoorDash 介绍,该公司调查了此次入侵事件,并认定“未经授权的一方使用窃取的供应商员工身份验证信息获得了我们部分内部工具的权限”。

]]>
AR滤镜违规采集人脸信息 Snap或需支付2.4亿元和解金 Wed, 30 Nov 2022 16:23:54 +0800 近日,由于被质疑滤镜效果违反生物识别法案,社交软件Snapchat的母公司Snap将以3500万美元(约2.4亿元人民币)和解一起隐私集体诉讼案件。这起集体诉讼在美国伊利诺伊州发起,原告指控Snapchat的滤镜不合理地收集和存储了居民的人脸信息,并且未提前告知这些行为,这违反了伊利诺伊州的《生物信息隐私法案》。

此前,Meta也因Facebook和Instagram上的滤镜功能在该州被起诉,最终停用了在该州的相关功能。

Snap:滤镜不违法,但是同意和解

根据伊利诺伊州杜佩奇县第十八巡回法院8月22日发布的文件,社交软件Snapchat的母公司Snap将可能以3500万美元和解该隐私集体诉讼案件。和解已于 8 月 8 日在法院提起,并获得了法官的初步批准。和解协议显示,正式批准后,自 2015 年 11 月 17 日以来所有使用过Snapchat的伊利诺伊州居民都将可能从这笔和解金中获得赔偿。

在此前的诉讼中,原告认为Snapchat的滤镜功能违反了伊利诺伊州的《生物识别信息隐私法》(以下简称“BIPA”),具体行为包括未经允许收集和使用了生物识别信息。

作为一款以照片分享为主要功能的软件,丰富的滤镜是Snapchat产品竞争力的重要组成部分。原告认为, Snapchat的滤镜可以通过摄像头,扫描、采集,并修改用户面部数据,以达到任意改变他们在镜头中的脸部形象的效果。然而,这些面部数据属于BIPA保护的“生物识别标识符(biometric identifier)”。同时,Snapchat并没有公开告知收集、使用和销毁个人生物识别信息的具体流程。

但Snap则否认了这些指控。公司表示,产品的滤镜功能是通过物体识别技术(object recognition technology)实现的,这项技术只会识别出人的五官并加上滤镜效果,但这些特征并不会指向特定的个人。此外,Snap还表示,数据会存储在用户的设备上,甚至部分数据会在关闭应用时就被删除,不可能被发送到公司的服务器。

科技公司深陷生物识别信息隐私诉讼

据悉,Snapchat的滤镜大多是依托AR增强现实技术实现的,简单来说,该技术就是将虚拟世界的CG图像投射到现实之中。应用中的滤镜会把镜头中的人脸变成动物、水果,或者是在照片上添加其他元素,用户可以选择相应的滤镜,并且根据自己的喜好进行调整。除了Snapchat,在海外,Facebook、Instagram和Tiktok等软件都推出了AR滤镜功能;而国内,AR滤镜也逐渐在各个应用普及,比如购物软件提供的AR试妆功能、还有短视频软件的部分变脸特效滤镜等。

但是,随着技术的逐渐普及,其中的风险也逐渐被用户所重视。事实上,Snapchat并不是第一个因为在软件中使用AR滤镜功能被指控违法收集用户信息的大型互联网公司。

今年5月,Meta也被指控违反BIPA和德克萨斯州的有关人脸识别与隐私的相关法律,随后Meta在伊利诺伊州和德克萨斯州关闭了旗下社交软件Facebook、Instagram等多个产品的AR滤镜功能。而在去年,由于频频被质疑非法收集用户生物识别信息,Meta宣布暂时关闭Facebook上的人脸识别系统,并将删除超过 10 亿人的个人面部识别模板。

而此前,字节跳动旗下产品TikTok也以 9200万美金和解的一起隐私集体诉讼,也涉及滤镜对人脸隐私的非法收集。在和解协议稿中,TikTok被指控违反BIPA,利用技术采集用户的面部特征并推荐相关的贴纸和滤镜。8月22日,法院正式批准和解。

]]>
北美国家政务机构遭勒索软件攻击,内部数据全部泄露 Wed, 30 Nov 2022 16:23:54 +0800 8月26日消息,位于北美洲的多米尼加共和国突遇横祸,农业部下属机构Instituto Agrario Dominicano(IAD)受到Quantum勒索软件攻击,导致该机构内多个服务及工作站被加密锁定。

IAD是多米尼加农业部的下辖机构,负责为该国执行土地改革计划。

当地媒体报道称,此次勒索攻击发生在8月18日,已经影响到IAD的正常运营。

IAD技术总监Walixson Amaury Nuñez向当地媒体表示,“对方开价超过60万美元。我们这边被锁定的包括四台物理服务器和八台虚拟服务器,几乎是我们的全部服务器设备了。”

一直协助IAD从攻击中恢复的国家网络安全中心(CNCS)表示,攻击者的IP地址来自美国和俄罗斯。

Núñez还透露,“由于数据库、应用程序和电子邮件等都受到了影响,信息已经全面泄露。”

IAD告诉当地媒体,他们的系统上只装有防病毒软件之类最基础的安全软件,并且没有专门的网络安全部门。

攻击者为Quantum勒索软件

外媒BleepingComputer从@VenezuelaBTH 推特上获悉,IAD不太可能向恶意黑客支付赎金,因为他们根本负担不起这么大笔款项。

调查发现,本次攻击的幕后黑手正是Quantum勒索团伙,他们最初开出65万美元赎金。

恶意黑客声称已经窃取到超过1 TB数据,并威胁称如果IAD不支付赎金,他们就把数据发布出去。

Quantum正逐步成为针对企业受害者的主要勒索软件团伙。他们之前曾攻击过应收账款管理公司Professional Finance Company(PFC),进而间接影响到超650家医疗保健机构。

据悉,Quantum团伙已经成为Conti勒索软件团伙旗下的附属组织,所使用的Quantum勒索软件则是由MountLocker勒索软件改头换面而来。

MountLocker勒索软件于2020年9月首次在攻击中亮相,随后曾多次变更名称,包括AstroLocker、XingLocker,以及现在的Quantum。

最后这次更名发生在2021年8月,当时该团伙的勒索软件加密器开始为被加密文件添加.quantum扩展名。不过在此之后,该团伙已经很少发动攻击,频繁的更名也暂时告一段落。

随着Conti勒索软件团伙的沉寂,Quantum团伙又开始蠢蠢欲动。

根据Advanced Intel公司Yelisey Boguslavskiy的介绍,一部分Conti团伙成员已经加入Quantum,因此攻击势头又有所恢复。

]]>
黑客正使用AiTM攻击监控企业高管的微软 365帐户 Wed, 30 Nov 2022 16:23:54 +0800 据Bleeping Computer8月24日消息,一项新的商业电子邮件泄露 (BEC) 活动正将复杂的鱼叉式网络钓鱼与中间人攻击 (AiTM) 策略相结合,以入侵企业高管的 Microsoft 365 帐户,其中包括受多因素身份验证 (MFA) 保护的帐户。

Mitiga 的研究人员在一次事件响应案例中发现了这一活动,这是一种典型的商业电子邮件泄露攻击,目的是在入侵并监控首席执行官或首席财务官等高级员工的账户后适时进行通信,并在适当的时候回复电子邮件,将大笔资金交易转移到他们控制的银行账户。

在攻击开始时,攻击者会向目标发送谎称付款的公司银行账户由于财务审计而被冻结的钓鱼邮件,并附有新的付款指令,这些指令会切换到由攻击者控制的银行账户。

在Mitiga例举的一个攻击样例中,对公司高管的攻击始于一封看似来自 DocuSign 的网络钓鱼电子邮件,(DocuSign 是一种在企业环境中广泛使用的电子协议管理平台),虽然电子邮件没有通过 DMARC 检查,但 Mitiga 发现, DocuSign 针对垃圾邮件的常见安全错误配置有助于它进入目标的收件箱。单击“查看文档”按钮时,受害者会被带到一个欺骗域上的网络钓鱼页面,要求收件人登录到 Windows 域。

攻击者被认为使用网络钓鱼框架(例如 Evilginx2 代理)来进行所谓的中间人攻击 (AiTM) 。在 AiTM 攻击期间, Evilginx2 等工具充当代理,位于网络钓鱼页面和目标公司的合法登录表单之间。由于代理位于中间,当受害者输入他们的凭证并解决 MFA 问题时,代理会窃取 Windows 域生成的Cookie。这时,可以将偷来的Cookie加载到他们自己的浏览器中,自动登录到受害者的账户中,并绕过MFA。

由于有效Cookie可能会过期或被撤销,因此攻击者会添加新的 MFA 设备并将其链接到被破坏的 Microsoft 365 帐户,这一举动不会生成任何警报或需要与原有帐户所有者进行进一步交互。

在 Mitiga 看到的案例中,攻击者添加了一部手机作为新的身份验证设备,以确保他们可以不间断地访问受感染的帐户。据研究人员称,攻击者正利用这种隐秘的漏洞几乎完全地访问 Exchange 和 SharePoint。根据日志,他们没有对受害者的收件箱采取任何行动,大概只是阅读电子邮件。

然而,攻击者可能正在等待合适的时机注入他们自己的电子邮件,以将发票付款转移到攻击者控制的银行账户中。

]]>
曾攻击云通讯巨头Twilio的黑客,又连续攻击130多个组织 Wed, 30 Nov 2022 16:23:54 +0800 在8月初接连攻击云通讯巨头Twilio和云服务商Cloudflare后,攻击者逐渐浮出水面。网络安全公司Group-IB指出,该组织在数月内疯狂入侵了130多家机构,盗取了近1万名员工的凭证。

Group-IB将该攻击组织追踪为0ktapus,该组织主要攻击使用Okta单点登录服务的企业。

Group-IB在一名客户受到网络钓鱼攻击后开展调查,结果显示,自3月以来,其至少窃取了9931个用户证书,其中超过一半包含用于访问公司网络的多因素认证码。

Group-IB高级威胁情报分析师Roberto Martinez向媒体表示,“在许多情况下,有一些特定的图像、字体或脚本,可以用来识别用使用同一套钓鱼工具设计的钓鱼网站。"在这种情况下,我们发现了一个被钓鱼的使用Okta认证的网站。”

“这些攻击案例很有意思,尽管它的技术含量低,但它还是能够危害大量知名组织,”Group-IB表示,“一旦攻击者入侵了一个组织,他们就能够迅速转向并发起后续的供应链攻击,这表明攻击是经过事先精心策划的。”

据信,0ktapus至少定制了 169 个域用于网络钓鱼,这些网站通过使用以前未记录的网络钓鱼工具包进行联合攻击。受害组织主要位于美国(114 个)、印度(4 个)、加拿大(3 个)、法国(2 个)、瑞典(2 个)和澳大利亚(1个) 等,分布在通讯、商业服务、金融、教育、零售、物流等行业。

虽然目前还不清楚攻击者是如何获得电话号码和员工姓名并发送短信钓鱼消息,Group-IB指出,攻击者首先以移动运营商和电信公司为目标,”可能从最初的攻击中收集到这些号码。”

该组织的最终目标仍不清楚,可能是间谍活动和经济动机,攻击者可以访问机密数据、知识产权、公司收件箱以及虹吸资金。最重要的是,入侵 Signal 帐户意味着,攻击者还试图获取私人对话和其他敏感数据。

]]>
全球最受欢迎的密码管理软件LastPass称其遭到黑客入侵 Wed, 30 Nov 2022 16:23:54 +0800 全球用户数超过3300万的密码管理软件公司LastPass表示,最近一名黑客在侵入其系统后窃取了源代码和专有信息。该公司在周四的一篇博客文章中表示,公司认为没有任何密码被盗,用户不需要采取行动来保护他们的账户。

一项调查发现未经授权方侵入了该公司的开发者环境,也就是员工用来构建和维护LastPass产品的软件。该公司称,侵入者通过一个受损的开发者账户获得访问权。

该公司的软件为用户自动生成并保存用于Netflix、Gmail等账户的密码,并且用户登陆这些账户时无需手动输入密码。LastPass在其网站上列出的客户名单包括Patagonia、Yelp Inc.、State Farm等。

网络安全网站Bleeping Computer报道称,在两周前曾向LastPass询问过这一入侵事件。

]]>
多米尼加共和国政府机构遭受勒索软件攻击 Wed, 30 Nov 2022 16:23:54 +0800 Bleeping Computer 网站披露,多米尼加共和国的多米尼加农业研究所(Instituto Agrario Dominicano)遭到了 Quantum 勒索软件的疯狂攻击,该勒索软件加密了整个政府机构的多项服务和工作站,导致部分工作暂时停滞。

当地媒体报道称,勒索软件攻击发生在 8 月 18 日,严重影响了多米尼加农业研究所(IAD)的运作。(IAD 隶属于农业部管理,主要负责执行多米尼加共和国的土地改革计划,是该国重要的政府机构)。

攻击者索要 60 万美元赎金

IAD 技术总监 Walixson Amaury Nuñez 在接收当地媒体采访时透漏,此次勒索软件攻击导致 IAD几乎所有服务器出现问题( 四个物理服务器和八个虚拟服务器出现故障)。此外,,因为数据库、应用程序、电子邮件等都受到影响,数据信息也基本都遭受了破坏。

值得一提的是,IAD 告诉当地媒体其系统中只有例如杀毒软件之类的基本安全软件,缺乏专业的安全部门。此次事件,攻击者索要 60 多万美元赎金。

攻击事件发生后,多米尼加共和国立即开始响应,经过家网络安全中心(CNCS)分析后发现,攻击者的 IP 地址来自美国和俄罗斯。

攻击背后的勒索软件组织

Bleeping Computer 从 Venezuela BT 处获悉,后者表示 IAD 不太可能支付赎金,60 万美元超出了他们的负担范围。

从媒体披露的信息来看,Quantum 勒索软件声称已经窃取了超过 1TB 的数据,最初要求 IAD 支付 65 万美元的赎金,并威胁如果 IAD 不公开支付赎金,就会立即泄露这些数据。1661399267_6306f0e3784b597de9c9c.jpg!small?1661399267701

据了解,Quantum 勒索软件团伙目前已成为 Conti 勒索软件的一个分支,主要接管了之前 MountLocker 勒索软件操作,此外,Quantum 与对 PFC 的攻击有关,影响了 650 多个医疗机构,正在成为针对企业的勒索软件操作中的主要角色。

MountLocker 从 2020 年 9 月开始首次部署在攻击中,随后以不同的名称多次更名,主要使用了 AstroLocker、XingLocker 等,最后是 Quantum。

更名为 Quantum 发生在 2021 年 8 月,在此之后,该品牌的重塑从未变得特别活跃,行动大多处于休眠状态,直到 Conti 勒索软件操作开始关闭,其成员开始寻找其他操作进行渗透。

从 Advanced Intel 的 Yelisey Boguslavskiy 的说法来看,一些 Conti 网络犯罪集团加入了 Quantum 勒索软件的行列。

]]>
男子2200万拍下一柯尼塞格 拍卖平台:被黑客攻击提不了车 Wed, 30 Nov 2022 16:23:54 +0800 在我们还在纠结买车全款还是贷款的时候,就有人在网上直接2200多万元,拍下一辆柯尼塞格超跑了,这你敢相信?不过,有钱人也有有钱人的烦恼,买车稍有不慎同样“进坑”。日前,网友上传一段视频显示,一名男子在拍卖平台看上了一辆柯尼塞格Regera超跑,8月19日,和朋友一起斥资2200多万元将其拍下。

8月21日收到平台的付款信息,将剩余车款2200多万元全款支付,计划22日前往天津提车。但是此时却有意外发生,平台告知,因为受到黑客攻击,导致拍卖结果有误。

原本愉快的提车之旅,现在变成了维权之路,就在他们去往天津的路上,拍卖平台无任何说法,将车款全额退还;5个多小时后,将300万元保证金一同退还。

8月24日,他们一行人来到拍卖平台所在公司,却得不到任何答复,也不出具任何证明,只说明事情仍在调查当中。

对此,买家相当不解,如果是他们拍卖后,不及时支付尾款,那么他们300万的保证金平台肯定不会退还;但现在是他们支付了尾款,而平台方却不给提车,平台这种做法是否构成违约,需要退还双重保证金?需要专业人士来解答。

目前,双方还未达成一致,后续关注。

]]>
国际航空重要供应商遭勒索软件攻击,航空业已成为勒索主要目标 Wed, 30 Nov 2022 16:23:54 +0800 8月25日消息,作为服务全球多家大型航空公司的技术提供商,Accelya表示,近期刚刚遭遇勒索软件攻击,部分系统已经受到影响。

Accelya的客户包括达美航空、英国航空、捷蓝航空、联合航空、维珍大西洋航空、美国航空等多家知名航空企业。

勒索软件公开发布窃取数据

8月23日,该公司披露,其聘请解决此事的两家安全厂商发现,Accelya内部数据已经被发布至专门的勒索泄密网站。

上周四(8月18日),AlphV/BlackCat勒索软件团伙公布了据称窃取自Accelya的数据。该团伙称窃取的数据包含电子邮件、员工合同等内容。

Accelya公司一位发言人称,他们聘请的专家设法“隔离”了勒索软件,阻断其在系统内进一步传播。

这位发言人表示,“我们的取证调查人员证实,受到攻击影响的只是整体环境中的一部分。没有证据表明恶意软件可能经由我们的系统,横向移动到我们客户的环境当中。”

他们还补充称,Accelya公司正在审查上周AlphV泄露网站上发布的数据,并将向受到信息泄露影响的客户发布通报。

Accelya公司主要负责为各大航空零业企业提供客运、货运与行业分析平台,与9个国家共250多家航空企业保持着合作关系。

2022年,航空产业已经成为勒索软件团伙的一大主要攻击目标。今年5月,印度香料航空(SpiceJet)和加拿大战斗机培训服务商均曾遭遇勒索软件攻击。

AlphV/BlackCat勒索软件是谁?

AlphV/BlackCat是当前最活跃的勒索软件团伙之一,上个月刚刚对路易斯安那州亚历山大市政府发动攻击,今年春季还先后攻击了多所大学。

同样是在上个月,该团伙又先后攻击了卢森堡两家能源公司,以及日本电子游戏巨头万代南梦宫。

根据几位专家的介绍,AlphV/BlackCat其实是BlackMatter勒索软件团伙的“马甲”,而BlackMatter又是DarkSide勒索团伙改头换面后的产物。这个DarkSide来头不小,最大的动作就是震惊世界的科洛尼尔管道运输公司攻击案。

该团伙的一位代表在今年2月接受了美媒The Record的采访,声称大多数主要勒索软件团伙间都有着某种形式的关联。

说起AlphV跟BlackMatter及DarkSide之间的关系,这位代表表示,“可以这么说,我们借用了他们的优势,同时回避了他们的劣势。”

FBI在4月的警报中提到,截至今年3月,执法机构已经追踪到至少60起由AlphV/BlackCat团伙发动的勒索软件攻击。

]]>
法国首都一医院遭勒索软件攻击:急诊被迫停业 赎金1000万美元 Wed, 30 Nov 2022 16:23:54 +0800 8月24日消息,距巴黎市中心28公里,拥有1000张床位的Center Hospitalier Sud Francilien(简称CHSF)医院上周日(8月21日)遭遇网络攻击,迫使其将患者转诊至其他机构,并推迟了手术预约。

CHSF为当地60万居民提供诊疗服务,因此任何运营中断,都有可能给身处危急关头的病患造成健康甚至是生命威胁。

经谷歌翻译,CHSF发布的公告称,“此次计算机网络攻击,导致我院业务软件、存储系统(特别是医学影像)及与患者入院相关的信息系统暂时无法访问。”

该医院的管理部门尚未发布进一步事态更新,目前IT系统中断引发的运营紧缺也仍未结束。

CHSF的医生们已经在对需要紧急护理的病患进行评估,如果迫切需要医学影像诊疗,病患们将被转移至另一处医疗中心。

法媒《世界报》称,攻击CHSF的勒索软件团伙要求受害者支付1000万美元以换取解密密钥。

一位警方消息人士向《世界报》透露,“目前,巴黎检察官办公室旗下的网络犯罪部门,已经启动了对这一入侵计算机系统,并企图实施勒索的有组织黑客团伙的调查”,由“调查工作由打击数字犯罪中心(C3N)的宪兵负责。”

幕后黑手或为LockBit 3.0

法国网络安全记者Valéry Riess-Marchive在事件中发现了LockBit 3.0感染的迹象,并提到介入调查的国家宪兵也正在负责追踪Ragnar Locker和LockBit。

Riess-Marchive表示,根据Ragnar Locker以往只向大规模关键基础设施目标下手的特点,这次事件应该不是其所为。相比之下,LockBit 3.0的攻击目标则要广泛得多。

如果LockBit 3.0确实就是CHSF攻击事件的幕后黑手,那他们就违反了RaaS的“行规”,即不得由附属组织向医疗保健服务商的系统发动加密攻击。

目前,这场事端究竟是谁所为还不明确,LockBit 3.0的勒索网站上也还没挂出CHSF的信息,所以前面的一切分析仍然只是假设。


]]>
希腊最大天然气运营商遭勒索软件攻击,多项在线服务被迫中断 Wed, 30 Nov 2022 16:23:54 +0800 8月23日消息,欧洲国家希腊最大的天然气分销商DESFA在上周六(8月20日)证实,由于遭受网络攻击,该公司出现了一定程度的数据泄露与IT系统中断。

在向当地新闻媒体发布的公开声明中,DESFA称有黑客试图渗透其网络,但因为IT团队快速反应而被阻断。然而,对方仍在有限范围内实施了入侵,导致部分文件和数据被访问并可能“外泄”,

DESFA为此停用了多项在线服务,希望保护客户数据。而且随着专家们努力进行恢复,各项服务已经逐渐恢复运行。

DESFA向消费者保证称,此次事件不会影响到天然气供应,所有天然气输入/输出点均保持正常容量运行。

该公司也已通知警方的网络犯罪部门、国家数据保护办公室、国防部以及能源与环境部,希望在最短时间内以最低影响解决问题。

最后,DESFA宣布绝不会与网络犯罪分子对话,也就不存在进行赎金谈判。




Ragnar Locker宣布对事件负责



上周五(8月19日),Ragnar Locker勒索软件团伙在窃取数据后确认了此次攻击。这批恶意黑客亮相于两年多之前,并在2021年发起过多起大型网络攻击活动。

Ragnar Locker在今年活跃度仍然不低,但攻击数量上较去年有所下降。FBI最近一份报告提到,Ragnar Locker与截至2022年1月美国各关键基础设施实体遭受的共52起网络入侵有关。

该恶意黑客团伙还在其数据泄露与勒索门户上发布了所谓被盗数据清单,展示了一小部分似乎不涉及机密信息的被盗文件。

此外,Ragnar Locker提到他们在DESFA系统上发现了多个安全漏洞,并向对方告知了这一情况。这可能是该团伙勒索行动的一部分,但据称受害者并未做出回应。

如果受害组织不满足赎金要求,该恶意黑客团伙威胁将发布整个文件树内对应的所有文件。

此次攻击恰逢欧洲各天然气供应商的艰难时期。当前欧洲大陆主要国家已决定快速削减对俄罗斯天然气的依赖,因此不可避免要产生问题。

预计在即将到来的冬季,供应短缺、停气、配给中断和能源价格飙升等因素可能轮番上演,届时消费者恐怕又将迎来一波针对天然气供应商的勒索攻击大爆发。

]]>
黑客利用零日漏洞窃取 General Bytes ATM 机上的加密货币 Wed, 30 Nov 2022 16:23:54 +0800 The Hacker News 网站披露,比特币 ATM 机制造商 General Bytes 证实其遭到了网络攻击。攻击者利用服务器中的零日漏洞,从用户处掠夺加密货币。

攻击事件发生不久后,General Bytes 在一份公告中表示,自 2020-12-08 版本以来,该零日漏洞一直存在于 CAS 软件中。攻击者通过 CAS 管理界面,利用页面上的 URL 调用,远程创建管理员用户。

CAS

CAS,Crypto Application Server 的缩写,是 General Bytes 公司旗下一款自托管产品,能够使用户通过桌面或移动设备上的 Web 浏览器从中央位置管理比特币 ATM(BATM)机器。

目前,涉及 CAS 管理界面的零日漏洞,已经在以下两个版本的服务器补丁中得到了修复:

20220531.38

20220725.22

General Bytes 强调,未知攻击者通过扫描 DigitalOcean 云主机的 IP 地址空间,识别出在端口 7777 或 443 运行的 CAS 服务,随后滥用该漏洞在 CAS 上添加了一个名为 “gb ”的新默认管理员用户。

之后,黑客可以修改“购买”和“出售”加密设置以及“无效支付地址”,这时候客户向 ATM 机发送加密货币,双向 ATM 机则会向黑客钱包地址转发货币。

换句话说,攻击者主要目的是通过修改设置,将所有资金都转到其控制的数字钱包地址里。值得一提的是,目前尚不清楚有多少服务器受到此漏洞影响,以及有多少加密货币被盗。

最后,General Bytes 公司强调,自 2020 年以来,内部已经进行了多次“安全审计”,从未发现这一零日漏洞。

]]>
因用户未更新固件,超八万台摄像机可能被利用 Wed, 30 Nov 2022 16:23:54 +0800 据Bleeping Computer消息,因用户未及时更新固件,超过八万台海康威视摄像机容易受到关键命令注入漏洞的影响。攻击者可将特定的消息发送至易受攻击的Web服务器,即可轻松利用该漏洞,并发起命令注入攻击。

2021年6月,网络安全研究机构Watchful IP首次发现了该漏洞,编号为CVE-2021-36260,同月,海康威视通过固件更新解决了这一问题。

但是,这并不意味着这一漏洞已经失去了效果。根据 CYFIRMA 发布的白皮书,全球100 个国家/地区的2300个正在使用受影响摄像机的组织,并未及时对固件进行安全更新,仍然处于被攻击者的威胁之中。

公开信息显示,CVE-2021-36260一共包含两个已知的公开漏洞,一个在2021 年 10 月发布,另一个在2022 年 2 月发布,因此所有技能水平的攻击者都可以轻松地搜索和利用易受攻击的摄像头。

截止到目前,安全研究人员已经观察到,大量有效载荷试图利用此漏洞来探测设备状态或从受害者那里提取敏感数据。更糟糕的是,一个名为Moobot的恶意僵尸网络正在试图大规模利用该漏洞,这很有可能会引起更严重的网络攻击和信息泄露。因为Moobot是一基于Mirai开发的僵尸网络家族,自从其出现就一直很活跃,并且拥有零日漏洞利用的能力。

2022年年初,CISA也曾发布警告称,CVE-2021-36260 是当时发布的列表中被积极利用的漏洞之一,攻击者可以“控制”设备,要求组织立即修补漏洞。

极易遭受攻击和伤害

CYFIRMA表示,出售网络入口点最多的是讲俄语的黑客论坛,这些入口点其中一大部分依赖于那些可用于僵尸网络或横向移动的,存在漏洞的海康威视摄像机。

在俄罗斯论坛上出售的样品 (CYFIRMA)

安全研究人员对285000个面向互联网的海康威视Web服务器的样本进行分析之后,得出的结论是仍有超过8万个摄像机容易遭受网络攻击,并广泛分布于全球各个地方。其中数量分布最多的是中国和美国,此外还有越南、英国、乌克兰、泰国、南非、法国、荷兰和罗马尼亚等国家,未更新固件的摄像机均超过2000个。

易受攻击的海康威视摄像机 (CYFIRMA)的位置

虽然该漏洞的利用目前并未遵循特定模式,但是已经有不少攻击者参与其中。而用户想要避免被攻击者威胁,最好的办法就是立即更新固件,修复这一漏洞。倘若继续任由该漏洞存在,很有可能造成严重后果。

同时安全专家还进一步强调,用户应提升网络安全意识。除了上述命令注入漏洞外,研究员还发现很多时候用户图方便而将密码设置成“123456”等弱密码,或者是直接使用生产厂商的初始密码。

而这些日常的操作会让厂商的安全措施毁于一旦,哪怕是再好的安全产品,也无法彻底改变用户不安全的使用习惯。

]]>
车载导航提示“路上有枪战” 上海公安辟谣:可能是系统BUG或黑客攻击 Wed, 30 Nov 2022 16:23:54 +0800 你正在开车,突然车机屏幕里跳出一条提示:路上有枪战。你信还是不信?8月23日,上海辟谣平台官方发布消息称,上海有不少车主遭遇车内显示屏出现“路上有枪战”的交通警告提示。

记者向上海市公安局求证获悉,本市没有发生枪战警情。

对于车辆导航的错误提示,有业内人士认为可能是翻译问题,不排除黑客攻击可能。

“很可能是车载系统出现了故障或者遇到黑客攻击。在正常情况下,导航软件不会推送这类信息,因为绝大多数导航软件本身并不撰写信息,如果进行推送,也是推送权威渠道的信息。”某导航软件技术人员向上海辟谣平台介绍。

该技术人员说,目前依据只有部分网友提供的车载系统屏幕照片,不能判断车型和运行状态,所以无法确定到底是哪个环节出现了问题。

但从技术基础看,大部分车载系统使用的都是第三方导航软件,导航及推送信息的准确性与是否联网运行、是否及时升级有关。

部分系统若没有及时升级或使用的第三方供应商本身存在瑕疵,那么可能在导航准确性上出现问题。

同时,正规导航软件的推送信息都有权威信源,通常来自官方渠道,而并非导航软件自行编辑撰写。且大部分导航软件推送的信息会列出出处。

根据目前网传信息看,相关“枪战”信息没有出处且并非出现在所有车型上,所以大概率是系统故障(bug)或黑客攻击。

]]>
美国拟立法禁止采购有漏洞软件,“引爆”网络安全行业 Wed, 30 Nov 2022 16:23:54 +0800 8月22日消息,美国立法者希望立法改善政府的部分网络安全防御措施,但却引发了信息安全专家们的质疑和不满。

《2023财年国防授权法案》,对应着划拨给美国军队和政府各关键领域的数十亿美元财政预算。目前法案已经在众议院通过,接下来需要经参议院批准,最后由拜登总统签字执行。

今天要讨论的争议,集中在该法案草案看似合理的条款:管理国土安全部及其应用程序/在线服务供应链的软件级攻击风险。

这份拟议法案要求,对于新签和现有政府合同,软件供应商应保证“提交软件物料清单中列出的所有项目,均不存在影响最终产品或服务安全性的已知漏洞或缺陷,并给出证明。”

所谓“已知漏洞或缺陷”,是指美国国家标准与技术研究院(NIST)发布的国家漏洞数据库,以及网络安全与基础设施安全局(CISA)指定的用于“跟踪各开源或第三方开发软件内安全漏洞/缺陷”的数据库内列出的条目。

换句话说:国土安全部不得采购任何包含已知、已登记安全漏洞的软件。

这项要求的出发点是好的,旨在防止恶意黑客利用Log4j之类的漏洞破坏政府敏感系统。但法案中的具体措辞却令行业专家颇感沮丧。一方面,任何代码都存在bug,这一条款基本上切断了政府军工部门原本强大的采购流程。另一方面,漏洞数据库中相当一部分漏洞并不属于安全风险。

总而言之,如果严格执行该项法案,那么美国政府后续将无法部署任何软件/服务。

软件供应链安全厂商Chainguard的联合创始人兼CEO Dan Lorenc表示,“这项要求往好了说是受到误导,往坏了想肯定会引发大麻烦。”

不过,这项要求也有回旋空间。如果合同内包含“关于所列出各项安全漏洞或缺陷的缓解、修复或解决方法”,政府一方就可购买包含已知缺陷的软件。换句话说,只要可以缓解或修复措施,就不会影响各部门的正常采购。

争议过大引发行业热议

这个问题在推特上掀起了争论热潮。有人担心软件供应商为了正常向政府客户出售软件,故意对漏洞信息知情不报(不再注册CVE编号)。另一方面,各家企业在争夺合同的过程中,也可能会挖其他竞争者产品的漏洞作为“黑料”。

安全厂商Rapid7的高级政策主管Harley Lorenz Geiger律师在推文中提到,“立法者起草的条文相当于在说:要么放弃继续上报软件漏洞,要么被排除在软件投标范围之外,你们自己选。”

“这里我要提醒一句,并不是所有安全漏洞都有严重危害,或者能够/应该缓解。感谢立法者,祝好。”

漏洞协调与众测厂商Luta Security的CEO Katie Moussouris等行业专家,则呼吁安全专家们先别反应过激。她在Twitter上写道,新法案其实允许政府官员“采购那些虽包含CVE,但已有缓解方法的软件产品”,同时提醒政府方面“在部署之前必须缓解或接受这些风险”。

市场研究公司Dell'Oro Group负责网络安全的研究主管Mauricio Sanchez也在采访中提到,虽然他理解立法者们的善意动机,但在技术采购方面设置的种种要求,很可能会阻断政府的正常部署流程。

他提到,“很遗憾,这就是我们立法者的典型做法,只提要求、不讲方法。”

在Sanchez看来,这项法案的最终走向恐怕只有以下三种。

第一:立法者服软。技术游说部门等各方提出有力的反对意见,宣扬这项要求根本就无法实现(也确实无法实现),于是立法者选择删除这部分条文。

第二:做出澄清。立法者对条文“做出修正”,把这项过于理想的要求修改得更加实际。

最后:直接摆烂。立法者可能懒得费脑筋,强行出台这项新政,然后向选民们宣扬自己支持网络安全、改善美国风险水平的姿态。至于收拾这个烂摊子需要投入多少时间、精力和金钱,那就是各联邦机构和法院自己的问题了。

而且Sanchez本人的看法比较悲观。“如果让我押个宝,那我赌立法者会选择最后这条。”

]]>
技术支持骗子正在利用带有微软logo的USB驱动器来骗取用户 Wed, 30 Nov 2022 16:23:54 +0800 通过使用微软的名字来欺骗潜在的受害者在技术支持骗子的名单上总是名列前茅。FBI最近的一份报告指出,这些骗局仍相当活跃,即使在今天也是如此。在日前的一篇报道中,Sky News称其被发送了一个带有微软品牌的欺诈性USB驱动器。它们是由来自Atheniem的网络安全顾问Martin Pitman发现的。

据悉,该驱动器被包装在一个Office 2021 Professional Plus的盒子内,这表明骗子在制作这些东西时花了一些好时间并还花了一些钱。

当目标将U盘插入他们的电脑之后,一条假的警告信息就会弹出,告知用户他们的系统中存在病毒并提示受害者拨打技术支持电话,这显然是骗子使用的号码。然后,骗子要求受害者安装一个远程访问程序来接管系统。

微软发言人就这一案件向Sky News发表了以下声明:“微软致力于帮助保护我们的客户。我们有在采取适当的行动一从市场上清除任何可疑的无证或假冒产品并追究那些针对我们客户的责任。”

这家科技公司非常了解这种骗局并向用户们提供了一个支持页面。

]]>
周鸿祎谈企业遭遇勒索攻击:基本无解 只能交赎金 Wed, 30 Nov 2022 16:23:54 +0800 8月23日消息,前不久,网络安全机构Resecurity发布报告预测,到2031年,全球勒索软件勒索活动将达到2650亿美元,对全球企业造成的潜在总损失或达到10.5万亿美元。日前,360集团创始人、董事长 周鸿祎发文称,最近多起知名企业遭遇勒索攻击,在业界引起了热议。勒索攻击俨然已经成为“全球公敌”,严重影响企业业务发展。

周鸿祎表示,与传统攻击不同,勒索攻击已变成一种新商业模式。它不撬你的保险柜,而是给你做一个更大的保险柜,把你的保险柜也锁起来,而且被勒索后基本无解,你就只能交赎金。

据统计,在最严重的勒索软件攻击中,组织支付的平均赎金2021年比2020年增加近五倍,达到812360美元,中国勒索攻击起价也已达500万元。

前不久,国际知名服务器厂商思科公司证实被勒索攻击,泄露数据2.8GB,思科被窃取的数据包括大约3100个文件,许多文件是保密协议、数据转储和工程图纸。

根据其团队博文披露的细节,黑客是通过思科员工的个人谷歌浏览器个人帐户密码同步功能作为初始向量,从而获取了思科内部凭证。

]]>
勒索软件LockBit旗下站点因泄露Entrust数据遭到DDoS报复攻击 Wed, 30 Nov 2022 16:23:54 +0800 勒索软件 LockBit 运营的多家数据泄露站点由于遭到 DDoS 攻击而在上周末关闭,这些攻击的目的是要求该组织移除从 Entrust 盗取的数据。在 7 月下旬,数字安全机构 Entrust 确认在今年 6 月遭到网络攻击,攻击者从网络中窃取了部分数据。

当时消息人士告诉 BleepingComputer,这是一次勒索软件攻击,但我们无法独立确认背后的原因。上周末,LockBit 宣布对本次攻击负责,并于上周五开始公开泄漏的数据。

在描述中提供了 30 张样本截图,显示了法律文件、营销电子表格和会计数据。在他们开始泄露数据后不久,研究人员开始报告说,勒索软件团伙的 Tor 数据泄露站点由于 DDoS 攻击而无法使用。

昨天,安全研究小组 VX-Underground 从 LockBitSupp(LockBit 勒索软件运营的公众账号)处获悉,其 Tor 站点遭到了攻击,而且他们认为和 Entrust 有关联。

LockBitSupp 表示:“在数据公开和谈判开始之后这些 DDoS 攻击立即开始了,很显然这是 Entrust 的手笔,不然还有谁需要呢?此外,在攻击日志中就提到了要求移除这些数据”。

从这些 HTTPS 请求中可以看出,攻击者在浏览器用户代理字段中向 LockBit 添加了一条消息,告诉他们删除 Entrust 的数据。思科 Talos 研究员 Azim Shukuhi 在Twitter上表示,对 LockBit 服务器的 DDoS 攻击包括“每秒来自 1000 多台服务器的 400 个请求”。

作为对攻击的报复,LockBit 的数据泄露站点现在显示一条消息,警告说勒索软件团伙计划将 Entrust 的所有数据作为种子上传,这将使其几乎不可能被删除。

此外,威胁行为者与安全研究员 Soufiane Tahiri 分享了 Entrust 和勒索软件团伙之间所谓的谈判。该聊天记录表明,最初的赎金要求为 800 万美元,后来降至 680 万美元。

]]>
《安联智库-网安周报》2022-08-21 Wed, 30 Nov 2022 16:23:54 +0800

1、苹果发现2大严重安全漏洞,黑客可完全操控手机


周三,苹果公司宣布,他们在 iPhone、iPad 和 Mac 电脑中发现了两个严重的安全漏洞,甚至有些型号的iPod都受到了影响。当天,苹果公司就紧急发布了 iOS 15.6.1 和 iPadOS 15.6.1 的安全更新,并建议所有用户立即更新软件,以避免被黑客入侵。
从苹果公司发布的两份安全报告来看,这两个漏洞是在WebKit(为Safari和其他应用程序提供动力的引擎)和Kernel(操作系统的核心)中发现,黑客可以通过这两个漏洞,直接操控人们的设备。苹果发出声明后,网络安全咨询公司SocialProof Security的首席执行官雷切尔·托拜克(Rachel Tobac)也呼吁大家尽快更新软件,以免被人窃取重要隐私和信息造成损失。
2、英特尔新型CPU漏洞可致敏感数据泄露

研究人员在英特尔 CPU 中发现了一个名为 ÆPIC 的新漏洞,该漏洞使攻击者能够从处理器中获取加密密钥和其他机密信息。ÆPIC 泄漏(CVE-2022-21233)是第一个架构上的CPU 错误,它可能导致敏感数据泄露并影响大多数第 10 代、第 11 代和第 12 代 Intel CPU。

“某些英特尔(R) 处理器中共享资源的不当隔离可能允许特权用户通过本地访问潜在启用信息泄露。” 

英特尔已经发布了固件更新以解决该漏洞。尚未发布任何安全更新来修补攻击线,但该芯片制造商建议 “软件开发人员采用现有的最佳实践,包括恒定时间算法并在适当的情况下避免依赖秘密的控制流。

3、因收集Android 位置数据,Google被罚六千万美元

近日,澳大利亚公平竞争和消费者委员会(ACCC)发布消息称,谷歌2017年1月至2018年 12 月的时间里,存在收集和使用其位置数据并误导澳大利亚 Android 用户,被处以6000万美元(约合人民币2.88亿元)罚款。

澳大利亚竞争监管机构表示,这家科技巨头继续跟踪其部分用户的 Android 手机,尽管他们在设备设置中禁用了“位置历史记录”。但实际情况是,谷歌在默认情况下会打开另一个名为“Web & App Activity”的帐户设置使公司能够“收集、存储和使用个人可识别的位置数据”。

ACCC 表示,根据现有数据,估计有超过 130 万个属于澳大利亚人的谷歌账户受到影响。

4、百度网盘再发声明否认人工审核用户照片 并贴出受案回执和律师函

8月20日消息,,百度网盘再次发布声明称,百度网盘不存在照片人工审核,也并未委托任何机构招聘兼职人员。

声明指出,近日网络热传“青团社招聘审核”截图纯属恶意造谣。现有证据显示,谣言信息源发为“鲨鲨要努力变强”“音乐草莓熊”抖音博主,目前两名博主均已删除相关内容并修改ID。其已经固定证据并报警,坚决维护自身合法权益。

度网盘在声明中表示,百度网盘拥有规范且严密的隐私管理机制和安全防御体系,有效保护用户隐私和数据安全。请大家放心使用。

此前,网络作家边想8月18日发布微博称:“一直以为百度网盘是机器审核的,没想到是真人审核?审核人员还能随随便便把用户的照片截下来保存发到网上?即便打了码。”彼时,百度网盘官方回应称,不存在所谓的照片人工审核,网络上关于百度网盘照片真人审核的内容是谣言。

]]>
苹果严重安全漏洞冲上热搜第一:黑客能接管设备 Wed, 30 Nov 2022 16:23:54 +0800 8月20日消息,微博话题“苹果曝出严重安全漏洞”冲上热搜第一名。

就在本周,苹果公司报告了一个重大安全漏洞,该漏洞可以让黑客接管苹果设备,苹果方面呼吁用户立刻下载最新更新。

据介绍,受本次漏洞影响的设备涵盖了几乎所有的苹果产品。其中手机包括iPhone 6S及以后的型号;平板包括第五代及以后的iPad,所有iPad Pro以及iPad Air 2;电脑则是运行MacOS Monterey的Mac。此外,该漏洞还能影响到部分型号的iPod。

苹果表示,黑客可以通过该漏洞获得设备的“完全管理权限”。这意味着入侵者能够冒充设备拥有者,并以他们的名义运行任何软件。

值得注意的是,苹果未在报告中说明漏洞是在何时、何地以及由谁发现的,仅仅表示是一名匿名研究人员发现了这一漏洞。

专家指出,对于普通民众而言,本次漏洞不太可能造成大范围的问题。通常情况下,当iPhone等手机的漏洞被利用时,往往是有针对性的,攻击一般集中于一小部分人。

如果你系统保持最新,那就绝对没问题了,因为安全更新已经上线了。

]]>
百度网盘再发声明否认人工审核用户照片 并贴出受案回执和律师函 Wed, 30 Nov 2022 16:23:54 +0800 8月20日消息,今日上午,百度网盘再次发布声明称,百度网盘不存在照片人工审核,也并未委托任何机构招聘兼职人员。

声明指出,近日网络热传“青团社招聘审核”截图纯属恶意造谣。现有证据显示,谣言信息源发为“鲨鲨要努力变强”“音乐草莓熊”抖音博主,目前两名博主均已删除相关内容并修改ID。其已经固定证据并报警,坚决维护自身合法权益。

IT之家了解到,百度网盘在声明中表示,百度网盘拥有规范且严密的隐私管理机制和安全防御体系,有效保护用户隐私和数据安全。请大家放心使用。

此前,网络作家边想8月18日发布微博称:“一直以为百度网盘是机器审核的,没想到是真人审核?审核人员还能随随便便把用户的照片截下来保存发到网上?即便打了码。”彼时,百度网盘官方回应称,不存在所谓的照片人工审核,网络上关于百度网盘照片真人审核的内容是谣言。

]]>
谷歌曝光有史以来最大DDoS攻击 数据比之前高出76% Wed, 30 Nov 2022 16:23:54 +0800  8 月 20 日消息,今年6月,Cloudflare证实,出现了历史上最大的HTTPS 分布式拒绝服务 (DDoS) 攻击,不过它在出现任何实际损失之前就成功阻止了这次破纪录的攻击。该公司透露,它记录了每秒2600万次请求的DDoS攻击。

谷歌刚刚报告说,他们发现了一次大规模的DDOS共计,对方尝试关闭其 Cloud Armor 客户服务,峰值可达每秒 4600 万个请求,规模相当于此前记录的 176.92%。这使其成为有史以来报告的最大的一次七层分布式拒绝服务攻击。

谷歌解释说,在高峰期,这种攻击相当于在10秒内实现一整天的Wikipedia访问量,因此能够抵御如此强大的DDoS攻击是一项令人难以置信的壮举。

谷歌云服务徽标看起来像云的五彩轮廓图。

据介绍,Google Cloud Armor通过使用负载平衡技术定期保护应用程序(第 7 层)和网站免受此类互联网攻击,即使在面临这些挑战时也能保持 Web 服务运行。

IT之家了解到,谷歌Cloud Armor声称每秒可支持超过 100 万次查询请求,但这次它们却成功处理了4600万次每秒的负担。

谷歌报告称,Cloud Armor 成功检测到了此次 DDoS 攻击,并向客户推荐了一条规则来阻止攻击,实际效果不错。几分钟后,攻击者意识到攻击失败后,数据请求出现下降。

不过,谷歌指出DDoS攻击的数量呈指数级增长,而且是由大量恶意机器人提供的,因此这一记录可能不会保持太久。

]]>
TikTok被曝App内浏览器监控输入和点击的任何内容 发言人否认 Wed, 30 Nov 2022 16:23:54 +0800  8 月 21 日消息,据安全研究员 Felix Krause 称,TikTok 在 iOS 上的自定义 App 内浏览器将 JavaScript 代码注入外部网站,允许 TikTok 在用户与给定网站交互时监控“所有键盘输入和点击”,但据报道 TikTok 公司否认了该代码被用于恶意行为。

Krause 表示,当用户与外部网站交互时,TikTok App 内浏览器会“订阅”所有键盘输入,包括密码和信用卡信息等任何敏感细节,以及屏幕上的每次点击。

“从技术角度来看,这相当于在第三方网站上安装键盘记录器,”Krause 在谈到 TikTok 注入的 JavaScript 代码时写道。然而,研究人员补充说,“仅仅是应用将 JavaScript 注入外部网站,但并不意味着该应用正在做任何恶意的事情。”

在与福布斯分享的一份声明中,TikTok 发言人承认了有问题的 JavaScript 代码,但表示它仅用于调试、故障排除和性能监控,以确保“最佳用户体验”。

“与其他平台一样,我们使用 App 内浏览器来提供最佳用户体验,但所讨论的 Javascript 代码仅用于调试、故障排除和性能监控 —— 例如检查页面加载速度或是否崩溃。”

Krause 表示,希望保护自己免受 App 内浏览器 JavaScript 代码的任何潜在恶意使用的用户应尽可能切换使用平台默认浏览器访问查看给定链接,例如 iPhone 和 iPad 上的 Safari 浏览器。

据 Krause 称,Facebook 和 Instagram 是另外存在问题的两个应用程序,它们将 JavaScript 代码插入到加载在 App 内浏览器中的外部网站中,从而使应用程序能够跟踪用户活动。Facebook 和 Instagram 母公司 Meta 发言人在推文中表示,该公司“有意开发此代码是为了尊重人们在我们平台上的应用跟踪透明度 (ATT) 选择”。《Meta Instagram 被曝通过 App 内浏览器跟踪用户网络活动,已违反苹果 iOS 隐私政策》

Krause 说他创建了简单的工具,允许任何人在呈现网站时检查 App 内浏览器是否正在注入 JavaScript 代码。研究人员表示,用户只需打开他们想要分析的应用程序,在应用程序内的某处分享地址 InAppBrowser.com(例如直接向另一个人发送消息),点击应用程序内的链接即可在-app 浏览器,并阅读显示的报告的详细信息。

苹果没有立即回应置评请求。

TikTok发言人进一步声明表示,“该报告关于 TikTok 的结论是不正确且具有误导性的。研究人员明确表示,JavaScript 代码并不意味着我们的应用程序在做任何恶意行为,并承认他们无法知道我们的应用程序内浏览器收集了什么样的数据。我们不会通过此代码收集击键或文本输入,该代码仅用于调试、故障排除和性能监控。”

据 TikTok 发言人称,JavaScript 代码是 TikTok 正在利用的软件开发工具包 (SDK) 的一部分,而 Krause 提到的“keypress”和“keydown”功能是 TikTok 不用于按键记录的常见输入。

]]>
苹果发现2大严重安全漏洞,黑客可完全操控手机 Wed, 30 Nov 2022 16:23:54 +0800 周三,苹果公司宣布,他们在 iPhone、iPad 和 Mac 电脑中发现了两个严重的安全漏洞,甚至有些型号的iPod都受到了影响。

当天,苹果公司就紧急发布了 iOS 15.6.1 和 iPadOS 15.6.1 的安全更新,并建议所有用户立即更新软件,以避免被黑客入侵。

从苹果公司发布的两份安全报告来看,这两个漏洞是在WebKit(为Safari和其他应用程序提供动力的引擎)和Kernel(操作系统的核心)中发现,黑客可以通过这两个漏洞,直接操控人们的设备。

苹果发出声明后,网络安全咨询公司SocialProof Security的首席执行官雷切尔·托拜克(Rachel Tobac)也呼吁大家尽快更新软件,以免被人窃取重要隐私和信息造成损失。

雷切尔·托拜克是一名优秀的白帽黑客,曾经成功入侵亿万富翁杰弗瑞·卡森伯格(Jeffrey Katzenberg)的 Mac 电脑,在网络安全这块儿是非常知名的人物。

连她都这样呼吁了,大家还是尽快把系统软件更新了吧...

话说,这也不是苹果公司第一次出现安全漏洞了。

去年9月,安全研究员Denis Tokarev(又名 illusionofchaos)爆料,自己曾经向苹果公司报告过三个明显的安全漏洞,却被怠慢。

后来事情发酵后,苹果公司才道歉并修复了漏洞。

在科技发达的今天,不管用什么电子设备,其实都没有百分百的安全。大家现在就赶紧打开手机检查一下,系统软件有没有更新到最新版本吧...

]]>
CS:GO 交易网站被黑,价值 600 万美元皮肤被盗 Wed, 30 Nov 2022 16:23:54 +0800 据Bleeping Computer网站8月16日消息,著名射击游戏CS:GO最大的皮肤交易平台之一——CS.MONEY在一次黑客攻击后被窃取了2万件、总价值约 600万美元的游戏皮肤,并导致网站被迫下线。

CS:GO(反恐精英:全球攻势)是全球流行的多人第一人称射击游戏CS(反恐精英)系列的第四款作品,拥有许多非常受欢迎但却较为稀有的皮肤等虚拟物品,这促使了一些基于Steamworks API的皮肤交易网站的建立。而CS.MONEY 是此类交易中最大的网站之一,拥有 53 种武器共计 1696 种皮肤,在攻击发生前管理的总资产达1650万美元。

攻击发生后,CS.MONEY 在推特上宣布已经与其它交易平台达成一致,将禁止这2万件被盗皮肤的交易,防止黑客在其他 CS:GO 交易平台上进行出售。

攻击是如何发生的

根据 CS.MONEY 公共关系负责人 Timofey Sobolevky 发布的贴子透露,攻击者以某种方式获得了用于 Steam 授权的 Mobile Authenticator (MA) 文件访问权限。接下来,攻击者控制了100个机器人账户,并进行了大约一千次交易,将这些物品吸纳到他们自己的账户中。

起初,攻击者将皮肤添加到他们的个人账户中,但随后,他们开始进行随机交易,将皮肤“赠送”给一些与攻击无关的普通用户。分析认为,这么做的原因很可能是为了隐藏自身踪迹,通过让更多人参与而使要弄清这些被窃物品的归属问题变得苦难。此外,攻击者还生成许多涉及各种第三方交易平台的虚假消息,以混淆攻击者的盗窃行踪。

在平台检测到托管在售的皮肤数量急剧减少并收到多个用户关于可疑交易的报告后,CS.MONEY 采取行动阻止了攻击,但仍有价值600万美元的皮肤被抢走。

Sobolevky表示,一旦 CS.MONEY 恢复运行,将优先归还这些皮肤,并对所属用户进行补偿。

值得注意的是,Steam 的所有者 Valve 可以在必要时撤销这些虚拟物品的转让,但目前尚不清楚这家游戏巨头是否计划在遇到类似攻击场景时进行有效的干预。

]]>
英特尔新型CPU漏洞可致敏感数据泄露 Wed, 30 Nov 2022 16:23:54 +0800 研究人员在英特尔 CPU 中发现了一个名为 ÆPIC 的新漏洞,该漏洞使攻击者能够从处理器中获取加密密钥和其他机密信息。ÆPIC 泄漏(CVE-2022-21233)是第一个架构上的CPU 错误,它可能导致敏感数据泄露并影响大多数第 10 代、第 11 代和第 12 代 Intel CPU。

ÆPIC Leak 适用于基于 Ice Lake、Alder Lake 和 Ice Lake SP 的最新 Intel CPU,并且不依赖于启用的超线程。

英特尔发布的公告:“某些英特尔® 处理器中的潜在安全漏洞可能允许信息泄露。英特尔正在发布固件更新以解决此潜在漏洞。” 

“某些英特尔(R) 处理器中共享资源的不当隔离可能允许特权用户通过本地访问潜在启用信息泄露。” 

该漏洞的发现是罗马第一大学、格拉茨科技大学、亚马逊网络服务和 CISPA 亥姆霍兹信息安全中心的研究人员进行的研究的结果。

与Meltdown 和 Spectre不同,ÆPIC Leak 是一个架构漏洞,这意味着敏感数据会在不依赖侧信道攻击的情况下被泄露。

研究人员说:“ÆPIC Leak 就像在 CPU 本身中读取的未初始化内存。访问 APIC MMIO 需要特权攻击者(管理员或 root)。因此,大多数系统都不会受到 ÆPIC 泄漏的影响。然而,依靠 SGX 保护数据免受特权攻击者的系统将面临风险,因此必须进行修补。”

CVE-2022-21233问题存在于高级可编程中断控制器(APIC)中,负责接受、确定优先级并将中断分派给处理器。 

“基于 Sunny Cove 微架构的英特尔 CPU 上的 I/O 地址空间扫描显示,本地高级可编程中断控制器(APIC)的内存映射寄存器未正确初始化。因此,从架构上读取这些寄存器会返回来自微架构的陈旧数据。由于只有特权软件才能访问 I/O 地址空间,ÆPIC Leak 的目标是英特尔的 TEE、SGX。ÆPIC Leak 可能会从运行在同一物理内核上的 SGX enclave 泄露数据。虽然 ÆPIC Leak 会在虚拟化环境中构成巨大威胁,但管理程序通常不会将本地 APIC 寄存器暴露给虚拟机,从而消除了基于云的场景中的威胁。” 

专家们使用 100 个不同的随机密钥测试了 ÆPIC Leak 问题,并试图通过一次攻击来泄露 AES 密钥。结果是完整的密钥恢复平均需要 1.35 秒

(n = 100,σ = 15.70%),成功率为 94%

该漏洞使具有权限的攻击者能够在目标机器上执行特权本机代码以提取私钥,并且更糟糕的是破坏证明,这是 SGX 中用于确保代码和数据完整性的安全原语的基石。“我们展示了允许泄露内存和寄存器中的数据的攻击。我们展示了 ÆPIC Leak 如何完全打破 SGX 提供的保证,确定性地泄露 AES 密钥、RSA 私钥,并提取 SGX 密封密钥以进行远程认证。”

研究人员还提出了几种固件和软件缓解措施,以防止 ÆPIC Leak 泄露敏感数据或完全防止 ÆPIC Leak。

英特尔已经发布了固件更新以解决该漏洞。

随着研究人员展示了对影响 AMD Zen 1、Zen 2 和 Zen 3 微架构的调度程序队列的首次侧信道攻击 (CVE-2021-46778),攻击者可能会滥用该攻击来恢复 RSA 密钥。

该攻击代号为 SQUIP(Scheduler Queue Usage via Interference Probing 的缩写),需要测量调度程序队列的争用级别,以潜在地收集敏感信息。

尚未发布任何安全更新来修补攻击线,但该芯片制造商建议 “软件开发人员采用现有的最佳实践,包括恒定时间算法并在适当的情况下避免依赖秘密的控制流。”

]]>
因收集Android 位置数据,Google被罚六千万美元 Wed, 30 Nov 2022 16:23:54 +0800 近日,澳大利亚公平竞争和消费者委员会(ACCC)发布消息称,谷歌2017年1月至2018年 12 月的时间里,存在收集和使用其位置数据并误导澳大利亚 Android 用户,被处以6000万美元(约合人民币2.88亿元)罚款。

澳大利亚竞争监管机构表示,这家科技巨头继续跟踪其部分用户的 Android 手机,尽管他们在设备设置中禁用了“位置历史记录”。但实际情况是,谷歌在默认情况下会打开另一个名为“Web & App Activity”的帐户设置使公司能够“收集、存储和使用个人可识别的位置数据”。

ACCC 表示,根据现有数据,估计有超过 130 万个属于澳大利亚人的谷歌账户受到影响。

ACCC 主席 Gina Cass-Gottlieb表示,谷歌是世界上最大的公司之一,它能够保留通过“网络和应用活动”设置收集的位置数据,谷歌可以使用保留的数据将广告定位到某些消费者,即使这些消费者“位置记录”设置已关闭。

个人位置数据对一些消费者来说既敏感又重要,如果谷歌没有做出误导性的陈述,一些看到这些陈述的用户可能会对他们的位置数据的收集、存储和使用做出不同的选择。

澳大利亚联邦法院做出处罚决定

ACCC早在2019年10月就对谷歌提起诉讼。2021年4月,澳大利亚联邦法院裁定谷歌上述做法违反消费者法。主审案件的Thomas Thawley法官表示,被误导的用户不会想到,如果允许“网络和应用程序活动”的跟踪,就意味着允许谷歌使用自己的位置数据。

当时谷歌表示不同意法官的调查结果。“我们为位置数据提供强大的控制,并且一直在寻求做更多的事情——例如我们最近为位置历史引入了自动删除选项,让用户控制数据变得更加容易。”

此番联邦法院确认,2017年1月至2018年12月期间,谷歌通过安卓手机收集和使用其个人位置数据时,对用户做出误导性陈述,违反了消费者法。不仅如此,谷歌还被发现另外两项误导用户的违法行为。

在8月12日联邦法院的听证会上,双方同意处以6000万澳元的“公平合理”罚款,并且已向Thomas Thawley大法官提交一份联合意见书。此外,联邦法院下令谷歌调整其政策,以确保对合规的承诺,并为员工提供有关消费者法的培训。

ACCC 主席 Gina Cass-Gottlieb认为,“个人位置数据对某些消费者来说是敏感和重要的,如果不是谷歌做出误导性陈述,一些看到这些陈述的用户可能会对他们的位置数据的收集、存储和使用做出不同的选择。”

在ACCC主席Gina Cass-Gottlieb看来, 联邦法院这一重大处罚向数字平台和其他大大小小的企业发出一个强烈的信号,即企业不能就数据的收集和使用误导消费者。

谷歌在全球范围内遭遇多次处罚

这已经不是谷歌第一次因违反数据相关法律而遭受处罚,近年来,谷歌在全球范围内都曾因为数据收集、使用不当,违反当地数据法规而被罚款。

2022年 1 月,法国国家信息与自由委员会 (CNIL)对谷歌处以 1.7 亿美元的罚款,原因是谷歌将这个选项隐藏在多次点击之后,使网站访问者难以拒绝跟踪cookie,这侵犯了互联网用户的同意自由。 

此前,谷歌还因激进的数据收集被罚款 1130 万美元,因偏袒竞争对手的服务而被罚款2.2 亿欧元 ,因在线广告中的反竞争行为被罚款 17 亿美元 ,以及因滥用其市场主导地位调整搜索结果而被罚款 27.2 亿美元等。

]]>
苹果iOS设备上的VPN是一场骗局? Wed, 30 Nov 2022 16:23:54 +0800 VPN是互联网原始丛林中搭建起的“安全隧道”,但是苹果iOS系统曝出的VPN数据泄露漏洞意味着这个管道已经“跑冒滴漏”多年。

iOS曝出VPN数据泄露漏洞

近日,一位资深计算机安全研究人员Michael Horowitz爆料称,苹果公司的iOS设备(例如iPhone手机和iPad)并没有像用户预期的那样通过VPN完全路由所有网络流量,多年来苹果公司对该漏洞心知肚明。

Michael Horowitz在最新发布的博文中言辞激烈地控诉:“iOS上的VPN是一个骗局”。

Horowitz写道,(iOS设备上运行的)任何第三方VPN一开始似乎都可以正常工作,为设备提供新的IP地址、DNS服务器和新流量的隧道。但是在激活VPN之前建立的会话和连接并不会终止,并且Horowitz在高级路由器日志记录发现中,设备仍然可以在VPN隧道建立且处于活动状态时将数据(不通过VPN)发送到外部。

换句话说,用户通常认为VPN客户端会在建立安全连接之前终止现有连接,以便可以在隧道内重新建立它们。但Horowitz说,iOS上的VPN似乎无法做到这一点,这一发现得到了2020年5月的一份类似报告的支持。

“数据从VPN隧道以外流出iOS设备,”Horowitz写道:“这不是经典/传统的DNS泄漏,而是数据泄漏!我测试了多个VPN提供商的多种类型的VPN软件确认了这一点。我测试的最新版本的iOS是15.6。”

安全博主Michael Horowitz的日志显示,一台连接VPN的iPad同时连接了他的VPN提供商(37.19.214.1)和Apple Push(17.57.144.12)。与苹果服务器的连接在VPN之外,如果被ISP或其他方看到,可能会暴露用户的IP地址。

隐私公司Proton此前报告了一个iOS VPN绕过漏洞,该漏洞至少始于iOS 13.3.1。与Horowitz的帖子一样,Proton的博客指出,VPN通常会关闭所有现有连接并在VPN隧道内重新打开它们,但这在iOS上并没有发生。大多数现有连接最终会转入VPN隧道,但有些连接,如苹果公司的推送通知服务,可以(在VPN隧道外)持续传输数小时。

危险的隧道外链接

隧道外连接持续存在的主要安全隐患是,如果数据未加密将存在泄露风险,并且ISP和其他方可以看到用户的IP地址及其连接的内容。

Proton确认VPN绕过漏洞在iOS 13的三个后续更新中持续存在。Proton表示,苹果公司添加了一个功能以阻止现有连接,但似乎对Horowitz的测试结果没有影响。

Horowitz于2022年年中在iPad iOS 15.4.1上测试了ProtonVPN的应用程序,发现它仍然允许与苹果公司的推送服务建立持久的非隧道连接。根据Horowitz的说法,Proton添加的Kill Switch功能可在VPN隧道丢失时阻止所有网络流量,但事实上并不能防止泄漏。

Horowitz使用不同的VPN提供商和iOS应用程序(例如OVPN,运行WireGuard协议)在iOS 15.5上再次进行了测试。结果他的iPad仍继续向Apple服务和亚马逊AWS云服务发出请求。

对于个隐私高度敏感的人群来说,在苹果公司未能彻底解决该问题之前,如果你不想在启动VPN前手动关闭所有连接,Proton给出了一个同样有效的解决方法:先连接到VPN服务器,然后打开飞行模式,然后再将其关闭。此时之前所有连接都将在VPN隧道内重新建立,但Proton表示这个方法并不能保证100%的成功率,因为“iOS的飞行模式功能非常混乱”。

苹果iOS的VPN数据泄露漏洞表明:VPN,尤其是商业VPN产品,仍然是互联网安全和隐私的一个复杂因素。选择“最佳VPN”对于用户来说始终是一件挠头的事情。VPN可能因漏洞、未加密的服务器、贪婪的数据经纪人或被Facebook这样的科技巨头控制而成为安全隐患。

]]>
Realtek爆出关键漏洞,影响多款网络设备 Wed, 30 Nov 2022 16:23:54 +0800 Bleeping Computer 网站披露,Realtek 爆出严重漏洞,该漏洞影响到数百万台采用 Realtek RTL819x 系统芯片(SoC)的网络设备。

该漏洞被追踪为 CVE-2022-27255,远程攻击者可以利用其破坏来自各种原始设备制造商 (OEM) 的易受攻击设备。

无需身份验证

据悉,CVE-2022-27255 漏洞由阿根廷网络安全公司 Faraday Security 的研究人员在 Realtek 的开源 eCos 操作系统 SDK 中发现,并在 DEFCON 黑客大会上披露了详细的技术细节。

CVE-2022-27255是一个基于堆栈的缓冲区溢出漏洞,其严重程度为 9.8 分(满分10分),远程攻击者可以使用带有恶意 SDP 数据的特制 SIP 数据包任意执行代码,这个过程完全无需身份验证。此外,攻击者还可以通过 WAN 接口利用漏洞。

早在 3 月份,Realtek 已经解决这一漏洞问题,并指出了漏洞主要影响rtl819x-eCos-v0.x 系列和 rtl819x-eCos-v1.x 系列产品。

来自 Faraday Security 的四位研究人员为 CVE-2022-27255 开发了概念验证(PoC)利用代码,该代码可用于 Nexxt Nebula 300 Plus 路由器。研究人员还分享了一段视频,展示了即使远程管理功能被关闭,远程攻击者也可能破坏设备。

最后,研究人员指出攻击者利只需有漏洞设备的外部 IP 地址,就可以 利用CVE-2022-27255 漏洞,意味着不需要与用户交互。

注:发现漏洞的四名研究人员分别是来自布宜诺斯艾利斯大学的计算机科学学生Octavio Gianatiempo, Octavio Galland, Emilio Couto, Javier Aguinaga。

存在几道防线

SANS 研究部主任 Johannes Ullrich 表示,远程攻击者可以利用 CVE-2022-27255 漏洞进行以下操作:

导致设备崩溃

执行任意代码

建立持久性的后门

改变网络流量的路线

拦截网络流量

另外,尽管 Realtek 在3 月已经发布了一个补丁,但 Ullrich 强调该漏洞影响到数百万设备,修复补丁很难被推广到所有待修复的设备,如果 CVE-2022-27255 漏洞变成了蠕虫病毒,可以在短短几分钟内扩散到互联网上。

多家供应商将易受攻击的 Realtek SDK 用于基于 RTL819x SoC 的设备,其中许多供应商尚未发布固件更新。目前还不清楚有多少网络设备使用 RTL819x 芯片,但 RTL819xD 版本的 SoC 出现在 60 多个供应商的产品中,其中包括华硕、贝尔金、Buffalo、D-Link、Edimax、TRENDnet 和 Zyxel。

研究人员的观点:

使用 2022 年 3 月之前围绕 Realtek eCOS SDK 构建的固件的设备存在漏洞,易受攻击;

即使用户不暴露任何管理界面功能,也容易受到攻击;

攻击者可以使用单个 UDP 数据包到任意端口来利用该漏洞;

此漏洞可能对路由器影响最大,但一些基于 Realtek SDK 的物联网设备也可能受到影响。

安全专家建议用户应尽快检查其网络设备是否存在漏洞,一经发现,应立即安装供应商发布的固件更新。除此以外,企业可以尝试阻止未经请求的 UDP 请求。

]]>
英国一水厂疑遭勒索软件攻击,IT系统中断服务 敏感数据或泄露 Wed, 30 Nov 2022 16:23:54 +0800 英国南斯塔福德郡水务公司(South Staffordshire Water)是一家供水商,每天为160万消费者提供约3.3亿升饮用水。日前,该公司发表一份声明,确认IT系统已经因网络攻击而宕机。

英国面临缺水期,网络攻击正逢其时

根据公告内容来看,该公司的安全和供水系统仍在正常运行,因此IT系统宕机不会影响到其自身及旗下子公司Cambridge Water和South Staffs Water的客户安全用水。

该公司在官网发布的声明中解释道,“这要归功于我们长期以来强大的供水和质量控制系统,也离不开我们团队为应对此次事件做出的迅速响应和额外预防措施。”

南斯塔福德郡水务公司还向客户做出保证,称所有服务团队都在照常运营,并不存在因网络攻击而导致长期停水的风险。

据悉,此次攻击疑似为Clop勒索软件团伙所为。攻击恰逢英国消费者面临严重的缺水危机,目前英国国内已经有八个地区实施了供水配额和禁止私接软管等政策。

网络犯罪分子当然不会随意选择目标,抢在严重缺水期间攻击供水商,有望迫使受害者面对巨大的民众用水压力而乖乖支付赎金。

勒索团伙搞错受害者,错误发送勒索信息

与此同时,Clop勒索软件团伙日前在其暗网网站发布公告,宣称泰晤士水务公司(Thames Water)已经沦为其受害者。从公告来看,Clop表示已经成功接入泰晤士水务公司的监测控制与数据采集(SCADA)系统,甚至有能力操纵该系统对1500万客户造成损害。

泰晤士水务公司是英国最大的自来水供应商和废水处理商,业务涵盖大伦敦地区及泰晤士河周边地区。

Clop团伙称已经将网络安全缺陷透露给泰晤士水务公司,并表示此次攻击非常“贴心”,没有加密受害者的数据,只是从受感染的系统中窃取到5TB资料。

在赎金谈判破裂之后,Clop团伙决定发布首批被盗数据样本,其中包含护照、水处理SCADA系统截屏以及驾照等内容。

泰晤士水务公司则通过一份正式声明对此提出异议,称Clop团伙提到的网络入侵说法属于“网络骗局”,且目前供水业务一直在满负荷运转。

事件中的一大关键细节在于,从公开证据来看,Clop团伙提供的一份包含用户名和密码的电子表格,其中列出的其实是South Staff Water和South Staffordshire的邮件地址。

此外,外媒BleepingComputer还观察到,其中一份泄露文件明确标注是发给南斯塔福德郡水务公司的。

因此,Clop团伙很可能是搞错了受害者身份,或者是打算用虚假的证据去勒索另一家体量更大的企业。

在被“打假”后,Clop团伙修正了其暗网网站的勒索对象,将南斯塔福德郡水务公司列为受害者。

要想顺利拿到赎金,Clop团伙至少得先把受害者的身份搞清楚。考虑到此次事件已经掀起轩然大波,想要顺利换取赎金恐怕没那么容易。

]]>
竟然不设密码!调查发现全球超9000台VNC 服务器存暴露风险 Wed, 30 Nov 2022 16:23:54 +0800 据Bleeping Computer网站8月14日消息,研究人员通过调查发现了至少9000个暴露的VNC(虚拟网络计算)端点,这些端点能在没有认证的情况下进行访问,从而使攻击者能够轻松进入内部网络。

VNC(虚拟网络计算)是一个独立于平台的系统,旨在帮助用户连接到需要监控和调整的系统,通过网络连接的RFB(远程帧缓冲协议)提供对远程计算机的控制。

如果因为工作疏忽或者只图方便,让这些端点没有用密码进行保护,便会成为未经授权的入口,让攻击者趁虚而入。根据Cyble公司安全漏洞猎手的扫描结果,发现网络上有超过9000个没有密码防护且面向互联网的VNC实例,其中大多数被暴露的实例位于中国和瑞典,而美国、西班牙和巴西则紧随其后。令人担忧的是,Cybcle发现其中一些暴露的VNC实例位于本不应该暴露在互联网上的工业控制系统。

为了解攻击者针对VNC服务器的频率,Cyble使用其网络情报工具监测VNC的默认端口——5900端口的攻击,发现在一个月内有超过600万个请求,其中多数访问来自来自荷兰、俄罗斯和美国。

对VNC访问的需求

在黑客论坛上,通过暴露或破解的VNC访问关键网络的需求很高,在某些情况下,这种访问可以用于更深层次的网络渗透。

“攻击者可能会滥用VNC,以登录用户的身份进行恶意操作,如打开文档、下载文件和运行任意命令,"一位Cyble研究员在一次私下讨论中告诉Bleeping Computer,"攻击者可以利用VNC来远程控制和监控一个系统,以收集数据和信息,从而向网络内的其他系统进行渗透。"

Bleeping Computer发现,在一个暗网论坛的帖子中列出了一长串暴露的VNC实例,这些实例的密码非常弱或没有密码。弱密码的情况引起了人们对VNC安全的另一个关注,因为 Cyble 的调查仅集中在身份验证层完全禁用的实例上。

由于许多VNC产品不支持超过8个字符的密码,导致它们在安全性上的表现欠佳,建议VNC管理员不要把服务器直接暴露在互联网上,如果必须远程访问,至少将它们放在 VPN 后面以保护对服务器的访问。

]]>
阿根廷地方司法机构遭勒索软件攻击:IT系统全部关闭 被迫纸笔办公 Wed, 30 Nov 2022 16:23:54 +0800 8月16日消息,南美洲阿根廷科尔多瓦司法机构因勒索软件攻击而被迫关闭IT系统,据爆料此次攻击是新近出现的Play勒索软件所为。

这次攻击发生在上周六(8月13日),迫使当地司法机构关闭了其IT系统及在线门户。服务中断期间,只能依靠传统纸面形式提交官方文件。

据阿根廷新闻媒体Cadena 3发布的“网络攻击应急计划”显示,科尔多瓦司法机构证实曾遭受勒索软件攻击,并已经与微软、思科、趋势科技及当地专家共同开展事件调查。

经谷歌翻译理解,报道中提到“2022年8月13日星期六,科尔多瓦法院的技术基础设施遭受网络攻击,IT服务受勒索软件影响而无法正常运转。”

阿根廷新闻媒体Clarín 也提到,有消息人士称,此次攻击影响到司法机构的IT系统及数据库,这是该国“历史上针对公共机构的最严重攻击活动”。

攻击方系Play勒索软件

虽然司法机构尚未披露此次攻击的更多细节,但记者Luis Ernest Zegarra已经在推特上表示,他们受到的是以“.Play”为扩展名实施文件加密的勒索软件攻击。

该扩展名与2022年6月新出现的“Play”勒索软件有关,当时首批受害者曾在BleepingComputer论坛上描述过攻击情形。

与其他勒索软件攻击一样,Play恶意黑客同样先入侵网络、再加密设备。而在加密文件时,该勒索软件会添加.PLAY扩展名,如下图所示。

但与大多数留下冗长勒索说明、向受害者施压要挟的其他勒索软件不同,“Play”属于典型的“人狠话不多”。

“Play”的ReadMe.txt勒索说明不会遍布每个文件夹,而仅仅只放在磁盘驱动器的根目录(C:\\)下。内容也非常简洁,只有“PLAY”单词与联系邮件地址。

外媒BleepingComputer获悉,Play团伙会使用多个不同联络邮件地址,所以上图地址可能跟科尔多瓦司法机构攻击事件无关。

目前还不清楚Play团伙是如何入侵司法机构网络的。但在今年3月Lapsus$入侵Globant事件当中,曾有司法部门的员工遭遇邮件地址列表泄露。也许Play团伙是借此实施网络钓鱼攻击,进而窃取到登录凭证。

目前暂时没有发现该勒索软件团伙实施数据泄露,或数据在攻击期间被盗的迹象。

这已经不是阿根廷政府机构第一次遭受勒索软件攻击。早在2020年9月,Netwalker勒索软件团伙就袭击了阿根廷官方移民局 Dirección Nacional de Migraciones,并开价索取400万美元赎金。

]]>
《安联智库-网安周报》2022-08-14 Wed, 30 Nov 2022 16:23:54 +0800

1、网络巨头思科遭数据勒索:VPN访问权限被窃取,2.8GB数据泄露

8月11日消息,思科公司昨日证实,“阎罗王”(音译,原名Yanluowang)勒索软件团伙在今年5月下旬入侵了其企业网络,攻击者还试图公布被盗文件以要挟索取赎金。思科声称,攻击者窃取到的只是与受感染员工账户关联的Box文件夹中的非敏感数据。
黑客称已经窃取到思科数据
这批恶意黑客通过邮件向外媒BleepingComputer发送了一份目录,内容据称是攻击期间从思科处窃取到的文件。恶意黑客声称共窃取到2.75 GB数据,包含约3100个文件。其中不少文件为保密协议、数据转储和工程图纸。
黑客还向BleepingComputer展示了攻击期间获得的一份经过编辑的保密协议(NDA)文件,用以证明攻击获得成功,并“暗示”这些文件是入侵思科网络后窃取而来。
2、美的集团回应遭受病毒勒索:系谣言,各业务系统未受影响

11日晚间,就“美的受黑客攻击并勒索千万美元”的传闻,美的集团在微博上发文回应称,2022年8月11日,美的集团遭受新型网络病毒攻击,少数员工电脑受到感染,公司各业务系统未受影响,经营正常进行,也没有收到勒索信息。

此前,网络上流传的一则聊天记录显示,美的集团在休集体年假期间遭遇加密勒索,工厂多处电脑中病毒,导致无法打开文件或进入不了系统。该病毒为勒索病毒,需要7天内汇1000万美元到指定账户。

上述聊天记录还提到,针对发生的加密勒索,公司提示相关用户需要保持非必要不开机;已经开机的用户马上关机断电;不要连VPN;不要使用美信、邮箱发送文件,并且会安排安保进行强制关机。

3、美服装商HanesBrands 受到勒索软件攻击损失1亿美元

美国服装制造商HanesBrands 8月11日表示,由于勒索软件攻击暂时中断了公司的供应链和订单,它损失了1亿美元。

根据该公司的财报,此次攻击破坏了其“全球供应链网络,并限制了其在大约3周内履行客户订单的能力”。该公司估计,这次攻击导致1亿美元的净销售额和3500万美元的调整后营业利润。

4、破解Starlink卫星终端需要多少成本?25美元

近日在拉斯维加斯召开的 Black Hat Security Conference 峰会上,一名 Lennert Wouters 的比利时研究人员现场演示,成功破解了 SpaceX 的其中一个 Starlink 用户终端。Starlink 是伊隆·马斯克(Elon Musk)旗下私人航天公司 SpaceX 推出的卫星互联网业务,主要为全球偏远地区和网络信号无法覆盖的地区提供网络服务。目前该业务已经发展到 3000 多颗卫星。

Wouters 在展示过程中,所使用的破解装置总成本仅为 25 美元,成功侵入 Starlink 的卫星天线终端并获得系统访问权限。Wouters 写道:“我们的攻击可以让 Starlink 的用户终端无法使用,并允许我们任意执行代码”。

在拉斯维加斯会议上展示他的发现之前,Wouter 曾警告 SpaceX 其用户终端的漏洞。Starlink 已经更新了系统,但研究人员回答说,避免此类攻击的唯一可靠方法是创建一个新版本的主芯片。

]]>
利用macOS端Zoom安装器漏洞 黑客可以接管你的Mac Wed, 30 Nov 2022 16:23:54 +0800 一名安全专家近日发现利用 macOS 端 Zoom 应用程序,掌控整个系统权限的攻击方式。本周五在拉斯维加斯召开的 Def Con 黑客大会上,Mac 安全专家帕特里克·沃德尔(Patrick Wardle)在演讲中详细介绍了这个漏洞细节。

虽然 Zoom 已经修复了演示中的部分 BUG,但是沃德尔还演示了一个尚未修复、依然可以影响 macOS 系统的漏洞。该漏洞通过 Zoom 应用的安装器进行入侵,虽然在首次添加到 macOS 的时候需要用户输入系统密码,不过沃德尔表示可以通过超级用户权限在后台执行自动升级功能。

在 Zoom 发布修复更新之后,在安装新的安装包的时候都需要审查是否经过 Zoom 加密签署。不过这种审查方式依然存在缺陷,任意文件只需要修改为和 Zoom 签署认证相同的文件名称就可以通过测试,因此攻击者可以伪装任意恶意程序,并通过提权来掌控系统、

其结果是一种权限提升攻击方式,需要攻击者已经获得了对目标系统的初始访问权限,然后利用漏洞来获得更高级别的访问权限。 在这种情况下,攻击者从受限用户帐户开始,但升级为最强大的用户类型——称为“superuser”或“root”——允许他们添加、删除或修改机器上的任何文件。

]]>
破解Starlink卫星终端需要多少成本?25美元 Wed, 30 Nov 2022 16:23:54 +0800 近日在拉斯维加斯召开的 Black Hat Security Conference 峰会上,一名 Lennert Wouters 的比利时研究人员现场演示,成功破解了 SpaceX 的其中一个 Starlink 用户终端。Starlink 是伊隆·马斯克(Elon Musk)旗下私人航天公司 SpaceX 推出的卫星互联网业务,主要为全球偏远地区和网络信号无法覆盖的地区提供网络服务。目前该业务已经发展到 3000 多颗卫星。

Wouters 在展示过程中,所使用的破解装置总成本仅为 25 美元,成功侵入 Starlink 的卫星天线终端并获得系统访问权限。 Wouters 写道:“我们的攻击可以让 Starlink 的用户终端无法使用,并允许我们任意执行代码”。

在拉斯维加斯会议上展示他的发现之前,Wouter 曾警告 SpaceX 其用户终端的漏洞。 Starlink 已经更新了系统,但研究人员回答说,避免此类攻击的唯一可靠方法是创建一个新版本的主芯片。

]]>
美服装商HanesBrands 受到勒索软件攻击损失1亿美元 Wed, 30 Nov 2022 16:23:54 +0800 美国服装制造商HanesBrands 8月11日表示,由于勒索软件攻击暂时中断了公司的供应链和订单,它损失了1亿美元。

攻击发生在公司销售额下降14%至15. 1亿美元期间。

HanesBrands于5月底向美国证券交易委员会 (SEC)报告了此次攻击 ,但此前并未具体说明影响程度。

根据该公司的财报,此次攻击破坏了其“全球供应链网络,并限制了其在大约3周内履行客户订单的能力”。

该公司估计,这次攻击导致1亿美元的净销售额和3500万美元的调整后营业利润。

此外,8月11日,HanesBrands 股价下跌6.2%至10.84美元。目前尚不清楚HanesBrands是否支付了赎金。

]]>
电脑中毒被勒索1000万美元?美的澄清:少数电脑被感染 Wed, 30 Nov 2022 16:23:54 +0800 11日晚间,就“美的受黑客攻击并勒索千万美元”的传闻,美的集团在微博上发文回应称,2022年8月11日,美的集团遭受新型网络病毒攻击,少数员工电脑受到感染,公司各业务系统未受影响,经营正常进行,也没有收到勒索信息。

中新经纬注意到,此前,网络上流传的一则聊天记录显示,美的集团在休集体年假期间遭遇加密勒索,工厂多处电脑中病毒,导致无法打开文件或进入不了系统。该病毒为勒索病毒,需要7天内汇1000万美元到指定账户。

上述聊天记录还提到,针对发生的加密勒索,公司提示相关用户需要保持非必要不开机;已经开机的用户马上关机断电;不要连VPN;不要使用美信、邮箱发送文件,并且会安排安保进行强制关机。

]]>
网络巨头思科遭数据勒索:VPN访问权限被窃取,2.8GB数据泄露 Wed, 30 Nov 2022 16:23:54 +0800 8月11日消息,思科公司昨日证实,“阎罗王”(音译,原名Yanluowang)勒索软件团伙在今年5月下旬入侵了其企业网络,攻击者还试图公布被盗文件以要挟索取赎金。

思科声称,攻击者窃取到的只是与受感染员工账户关联的Box文件夹中的非敏感数据。

思科公司一位发言人向外媒BleepingComputer确认,“思科公司在2022年5月下旬经历了一起企业网络安全事件。我们立即采取行动,遏制并清理了恶意黑客。”

“思科未发现此事件对公司业务造成过任何影响,包括思科产品或服务、敏感客户数据或敏感员工信息、知识产权或供应链运营。”

“8月10日,恶意黑客将期间窃取到的文件清单发布至暗网。我们已经采取了额外措施来保护自身系统,并公布了技术细节,希望协助保护更广泛的安全社区。”

利用被盗员工凭证入侵思科网络

“阎罗王”恶意团队首先劫持了思科员工的个人谷歌账户(包含从浏览器同步的凭证),随后使用其中的被盗凭证获得了对思科网络的访问权限。

“阎罗王”团伙发出大量多因素身份验证(MFA)推送通知,用疲劳战术搞垮目标员工的心态,之后再伪装成受信任的支持组织发起一系列复杂的语音网络钓鱼攻击。

终于,恶意黑客成功诱导受害者接受了其中一条多因素验证通知,并结合目标用户上下文信息获得了对VPN的访问权限。

在思科企业网络上成功站稳脚跟后,“阎罗王”团伙开始横向移动至Citrix服务器和域控制器。

思科安全研究团队Talos表示,“对方进入了Citrix环境,入侵了一系列Citrix服务器,并最终获得了对域控制器的高权限访问。”

在获得域管理员身份后,他们使用域枚举工具(如ntdsutil、adfind以及secretsdump等)收集更多信息,将包括后门在内的多种有效载荷安装到受感染系统上。

最后,思科检测到了这一恶意活动,并将恶意黑客从环境中驱逐了出去。在随后几周内,“阎罗王”团伙仍多次尝试重夺访问权限。

Talos团队补充道,“在获得初始访问权限后,恶意黑客曾采取多种行动来维持访问权限,希望尽可能破坏取证线索,并提高自己在环境中的系统访问级别。”

“恶意黑客随后被成功清理出思科环境,但仍没有彻底放弃。他们在攻击后的几周内,曾反复尝试重新夺取访问权限,但这些尝试均未能奏效。”

黑客称已经窃取到思科数据

上周,这批恶意黑客通过邮件向外媒BleepingComputer发送了一份目录,内容据称是攻击期间从思科处窃取到的文件。

恶意黑客声称共窃取到2.75 GB数据,包含约3100个文件。其中不少文件为保密协议、数据转储和工程图纸。

黑客还向BleepingComputer展示了攻击期间获得的一份经过编辑的保密协议(NDA)文件,用以证明攻击获得成功,并“暗示”这些文件是入侵思科网络后窃取而来。

恶意黑客已经在自己的数据泄露网站上公布了思科入侵事件,并附上了BleepingComputer此前收到的同一份文件目录。

思科系统并未被部署勒索软件

思科公司强调,尽管“阎罗王”团伙向来以加密锁定受害者文件而闻名,但此次攻击过程并未出现涉及勒索软件载荷的证据。

昨天(8月10日),思科Talos团队发布对该事件的响应过程文章称,“虽然我们并未在此次攻击中观察到勒索软件部署,但恶意黑客使用的战术、技术与程序(TTP)同以往的「勒索攻击预前活动」保持一致。也就是说,对方仍然延续了实际部署勒索软件之前的整个预备套路。”

“我们有中等到较强的信心,认为此次攻击是某初始访问代理(IAB)所为。之前已经确认,此代理同UNC2447网络犯罪团伙、Lapsus$恶意团伙以及「阎罗王」勒索软件团伙均有联系。”

“阎罗王”团伙近期还表示成功入侵了美国零售巨头沃尔玛的系统,但遭到受害者的明确否认。沃尔玛向BleepingComputer表示,自己并未发现勒索软件攻击的证据。

]]>
云计算通信平台Twilio遭黑客以网络钓鱼短信取得员工账号 Wed, 30 Nov 2022 16:23:54 +0800 云计算通信平台Twilio周日(8/7)指出,黑客通过网络钓鱼短信骗取了内部员工的登录凭证,再借由盗来的凭证访问内部网络,并取得了客户的资料,除了对外说明之外,也借此呼吁其它企业要小心里防备范这类的社交工程攻击。

Twilio表示,该公司是在8月4日发现有特定的客户账号资讯遭到未经授权的访问,主要是成功骗过了员工,让员工提供了自己的登录凭证。

黑客的手法是先发送短信给许多Twilio的前任与现任员工,短信内还写上了员工姓名,指出员工的密码已经过期,或是班表变更了,要求员工连至短信内所附上的连接,并输入登录凭证。

这些连接所使用的网址都是黑客先行注册的网络钓渔网站,像是http“:”//twilio-okta.com/或http“:”//twilio-sso.com/,以欺骗Twilio员工点击并输入凭证。接着黑客再以盗走的Twilio员工凭证访问客户资料。

Twilio并未说明有多少员工的登录凭证遭到窃取,也未提供外泄的客户数量或资料内容,仅说已一一通知受到影响的客户,并撤销所有被盗走的员工凭证,与鉴识公司合作,通知执法机构。此外,Twilio也通知了黑客发送网络钓鱼短信所使用的电信运营商,以及网络钓渔网站的托管服务供应商,请求它们撤销黑客的账号。

值得注意的是,Twilio还说也有其它公司遭到类似网络钓鱼手法的攻击,有些企业同样也通知了电信运营商与托管服务供应商,但在它们撤销黑客的账号之后,黑客很快就利用其它服务另起炉灶,显然是个有组织且有条不紊的犯罪集团,惟目前尚无法识别黑客的身份。

Twilio警告,社交工程攻击非常的复杂且先进,甚至能挑战最先进的防御系统,该公司已针对相关攻击展开了额外的员工训练,也正在研究其它的技术性防御措施,同时呼吁其它企业也应小心里防备范。

]]>
网络攻击致使英国医疗急救热线“120”发生重大中断 Wed, 30 Nov 2022 16:23:54 +0800 由于受到网络攻击影响,英国国家医疗服务体系(NHS)的111急救热线(注:类似我国的120热线)发生重大持续性中断。

这次网络攻击袭击了NHS的本地托管服务提供商Advanced。根据状态页面信息显示,111急救热线约85%的服务都在使用Advanced公司提供的Adastra客户患者管理解决方案。本次攻击令Adastra解决方案以及Advanced提供的其他几项服务同时陷入重大中断。

威尔士救护车服务中心表示,“当地用于将111急救热线患者转诊给急诊全科医师的计算机系统,近期出现了重大故障。”

“该系统主要帮助当地卫生局为患者提供协调服务。持续中断已经造成严重冲击与深远影响,覆盖了英国的英格兰、威尔士、苏格兰及北爱尔兰四大地区。”

英国卫生部部长Steve Barclay表示,正定期听取关于NHS 111服务事件的简报,目前已在受影响地区制定应急计划,将影响降到最低。

NHS官方建议,民众暂时使用在线网站访问111急救呼叫服务,直到事件得到解决。

Advanced公司高管证实网络攻击

目前,Advanced网站状态页面会弹出仅供客户及员工登录的表单,外部无法公开访问。但该公司首席运营官Simon Short已经证实,这次事件源自上周四(8月4日)早上检测到的网络攻击。

Short向英媒BBC公布的一份声明中表示,“我们发现了一个安全问题,已经引发服务中断。”

“可以确定该事件与网络攻击有关。作为预防措施,我们立即隔离了所有医疗与护理IT环境。”

“我们的事件响应团队及早介入,将问题控制在了少数服务器中,受影响设备只占整体医疗保健基础设施的2%。”

虽然并未提供关于网络攻击性质的细节信息,但根据Short的描述,这很可能是一起勒索软件或者数据勒索攻击。

Advanced公司为各行各业的22000多家全球客户提供商业软件,场景涵盖医疗保健、教育以及非营利组织等。

这家服务提供商的客户包括英国医疗卫生服务体系(NHS)、英国工作和养老金部(DWP)以及伦敦城市机场等。

外媒BleepingComputer曾联系到Advanced公司一位发言人,希望了解更多事件细节,但对方并未立即回应置评请求。

]]>
员工被钓鱼,云通讯巨头Twilio客户数据遭泄露 Wed, 30 Nov 2022 16:23:54 +0800 据Bleeping Computer网站8月8日消息,云通讯巨头Twilio表示,有攻击者利用短信网络钓鱼攻击窃取了员工凭证,并潜入内部系统泄露了部分客户数据。

根据Twilio在上周末的公开披露,8月4日,Twilio首次注意到了这些旨在窃取员工凭证的复杂社会工程学攻击。这些攻击者冒充公司内部的IT部门人员,向公司员工发送短信,警告他们的系统密码已经过期,需要通过点击短信附带的URL进行修改。该URL带有“Twilio”、“Okta”和“SSO”等具有高仿真性的字段,受害员工一旦点击便会跳转到一个克隆的 Twilio 登录页面。

当被问及有多少员工的帐户在网络钓鱼攻击中“失陷”,以及有多少客户数据受到泄露影响时,Twilio 的 EMEA 通讯总监 Katherine James 拒绝透露相关信息。Twilio 对外表示,已经与美国的短信供应商取得联系,封闭了发送钓鱼短信的账户。

Twilio尚未确定攻击者的身份,但已联系执法部门对攻击者展开调查。为此,Twilio已经封禁了在攻击期间遭到破坏的员工账户,以阻止攻击者访问其系统,并已开始通知受此事件影响的客户。

Twillio在 17 个国家和地区拥有26 个办事处,共计 5000 多名员工,提供可编程语音、文本、聊天、视频和电子邮件 API,被超过 1000 万开发人员和 150000 家企业用于构建客户参与平台。

Twilio还在2015年2月收购了Authy,这是一家面向终端用户、开发者和企业的流行双因素认证(2FA)供应商,在全球拥有数百万用户。

]]>
荷兰受网络攻击影响被迫临时关停100多家牙科诊所 Wed, 30 Nov 2022 16:23:54 +0800 当地时间8月5日,荷兰Colosseum Dental Benelux公司向媒体表示,公司旗下的100多家牙科诊所因网络攻击被迫停工。Colosseum Dental Benelux在荷兰和比利时拥有130家诊所。

该公司在接受RTL Z采访时证实,受到了网络攻击,并报告了警方和荷兰数据保护局(AP)。

该公司认为这是一起“网络事件”,影响了大约120个旗下诊所。Colosseum Dental Benelux预计本周将慢慢重新开业。

根据可靠的消息来源,员工无法获取客户的病史。“不幸的是,这具有勒索软件攻击的所有特征,”网络安全公司ESET荷兰首席执行官戴夫·马斯兰(Dave Maasland)说。

马斯兰说:“一项操作的停止、无法访问系统或网站、向警方报告和向荷兰数据保护局报告,所有这些都指向这个方向。”他不排除这可能是另一种攻击,但认为这种可能性很小。“不幸的是,在当前的网络事件浪潮中,几乎都能看到勒索软件的影子。”

该公司目前正在恢复系统,并正在与外部各方调查该事件。由于正在进行调查,发言人不想透露更多信息。他不想透露事件的幕后主使以及患者数据是否被盗。

该公司表示别无选择,只能向犯罪分子付款:“照顾我们的患者是我们的首要任务,这促使Colosseum Dental Benelux与网络攻击者联系,就我们的数据返还和安全达成协议。只有这样,我们才能够在如此短的时间内将所有相关人员的风险降至最低,并相对快速地恢复业务。”

该公司告知荷兰数据保护局,已联系外界共同应对紧急情况。预计受影响的诊所将在本周内恢复正常运行。目前尚不清楚支付了多少赎金。

Colosseum Dental Benelux没有透露攻击者身份。有消息称攻击者在系统加密之前删除了备份。目前还不确定是否有数据泄露。

Colosseum Dental Benelux在荷兰和比利时有130多个门店,每年治疗约600000名患者。这次袭击只影响了大约120家荷兰门店。发言人透露,比利时或其他国家没有卷入这起事件。

]]>
丹麦全国7-11便利店遭网络攻击关闭 Wed, 30 Nov 2022 16:23:54 +0800 本周一,丹麦的7-11便利店遭遇重大网络攻击,全国商店的支付和结账系统陷入瘫痪,导致丹麦全国的7-11便利店关闭。

这次攻击发生在周一晚间,7-11便利店在Facebook官方账号上发帖称他们很可能“受到黑客攻击”。

声明称,该公司在调查安全事件,并已关闭该国所有门店:

“不幸的是,我们怀疑我们今天(2022年8月8日星期一)受到了黑客攻击。这意味着我们无法使用结账和接收付款功能。因此,我们将关闭商店,我们希望可以很快再次开店。” ——7-11DK。

在现已删除的一个Reddit帖子中,一名据称是丹麦7-11便利店的员工也证实了网络攻击,称他们在结账系统停止工作后被迫关闭商店。

“我在国王新广场的7-11工作,我们的结账系统已经瘫痪,全国所有的7-11都使用相同的系统,所以丹麦的所有7-11现在都已‘关闭’,”这名7-11员工说在Reddit上。

“所有店铺已经对客户关闭了大门,并张贴了通知。”

目前,还没有关于这次攻击的更多细节,也未确认是否涉及勒索软件,但后者是导致大规模业务中断的最常见网络攻击。

]]>
NHS遭网络攻击,系统出现重大故障 Wed, 30 Nov 2022 16:23:54 +0800 英国国家卫生服务(NHS)的111紧急服务受到网络攻击,继而引发了重大影响,服务系统出现持续性中断,该攻击袭击了英国管理服务提供商(MSP)Advanced的系统。

根据NHS111服务的介绍页面,85% 的 NHS 111 服务都使用了Advanced 的 Adastra 客户患者管理解决方案,该解决方案与 MSP 提供的其他几项服务一起遭遇重大中断 。

威尔士救护车服务中心近日称用于将病人从威尔士的国家医疗服务体系转诊到小时外全科医生的NHS计算机系统发生了重大故障,该系统是由地方卫生局用来协调病人转诊的。此次持续的故障是非常重大的,故障造成的影响也十分深远,英国全境都因此受到了不同程度的影响。NHS建议英国公众在此次事件得到解决之前,先使用在线平台访问NHS 111紧急服务。

Advanced首席运营官确认了网络攻击

目前为止,公众暂时无法查看Advanced状态页面,Advanced的首席运营官Simon Short证实,该故障事件是由周四上午发现的网络攻击造成的。

Simon Short在BBC上发表声明称,近日发现的安全问题造成了此次服务的故障,他们可以确认,该事件与网络攻击有关,作为预防措施,Advanced立即隔离了该组织所有的健康和护理环境。Advanced的事件响应小组的早期干预将这个问题控制在少数服务器上,这些问题服务器约占Advanced使用的健康和护理基础服务器的2%。

虽然没有提供有关网络攻击性质的细节,但根据Advanced的首席运营官的发言推测,此次事件可能是一个勒索软件或数据勒索攻击。Advanced为22,000多个全球客户提供商业软件服务,这些客户来自不同的行业垂直领域,从医疗保健和教育到非营利组织,MSP的客户名单包括NHS、英国工作和养老金部(DWP)以及伦敦城市机场。

]]>
记者调查:多家电商平台个人信息遭泄露 网上公开叫卖 Wed, 30 Nov 2022 16:23:54 +0800 李铁的个人信息泄露了。

李铁从事数据安全保护工作近10年,尤为看重自己的个人信息保护。近日,他告诉央广网记者,今年6月的一天,他接到一个陌生电话,对方直接说出他在某电商平台的订单信息,并称货品质量有问题,需要提供银行卡号,以便赔偿。

李铁说,出于职业敏感,他的第一反应是个人信息被泄露了。此前他确实在这家电商平台购买过上述物品,当他试图询问更多信息时,对方立即挂断了电话。

记者近期调查发现,除这家电商平台外,多家知名电商平台均有数据在网上公开叫卖,这些信息包括消费者的姓名、电话、地址、商品名称和快递单号等。有卖家自称每条个人信息0.35元,2000条起卖,如果购买量大,最低可打五折。记者从卖家处购买了数千条数据,随机对近200条个人数据进行了电话求证,证实被售卖的个人信息中名字、电话、住址等准确无误。

互联网数据信息泄露不仅带来不厌其烦的营销电话,还牵涉到商业平台之间的利益竞争,甚至导致电信诈骗等犯罪现象,诸如2016年震惊全国的“徐玉玉电信诈骗案”。该案入选最高人民法院“2017年推动法治进程十大案件”。

2022年6月1日,《中华人民共和国网络安全法》(简称《网络安全法》)正式实施五周年。《网络安全法》明确规定,网络运营者对其收集的个人信息所负有的法定义务包括:不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息;采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。

今年国务院印发的《“十四五”数字经济发展规划》提出,严厉打击数据黑市交易,营造安全有序的市场环境。国家发展改革委等部门联合印发的《关于推动平台经济规范健康持续发展的若干意见》中也提到,从严管控非必要采集数据行为,依法依规打击黑市数据交易、大数据杀熟等数据滥用行为。

严厉打击之下,还是有人铤而走险。几千元可买到上万条数据,一条黑色产业链正潜伏在社会的隐秘角落中。

个人信息遭公开叫卖,一条数据0.35元

隔三岔五,卖家许飞就会在QQ群发布一条“出料”信息。

“出料”是这个地下交易的“黑话”,它代表“数据”。消息发出不久,群内一些成员就来询问是什么类别的数据,他回复“私聊”后,这群人便消失在聊天群中。申请好友通过验证后,一旦有人买数据时犹豫不决,他就很快把人拉黑。

记者以买家身份加上了卖家许飞的QQ。“你要多少条?这些数据你先打电话核实。”许飞发来一个文档,称这是截取短信的信息,短信显示“某人、某时购买的物品已经发货”。

他自称还出售多家知名电商平台的个人信息,“一条数据0.35元,2000条信息起卖。”购买者不仅可以指定平台,还可指定日期,但最新数据也是两天前的数据,而非实时数据。

记者向许飞购买多家电商平台的个人数据,发来的每份数据文档中的信息条数从几十个到上千个不等,订单的商品有母婴用品、衣服、酒水、生活用品等多种类别。

其中,两份名为某电商平台“纸尿裤”和“母婴”的文件,共有数百条网购订单数据信息。信息包括所购买的商品品名、数量、价格、交易时间、订单号,以及收货人电话、姓名、地址,快递公司和快递单号等,其中地址详至门牌号。甚至,部分订单显示“未发货”“已发货”“孕妇不能走太远路”等备注信息。

为验证上述数据信息的真实性,记者随机拨打近200名用户电话求证,证实被售卖者的名字、电话、住址等信息无误。

“假的数据,我敢卖给你?”许飞再三催促记者尽快核实,“你放心,这些数据都可以对上号。”

许飞介绍,他和其他人合伙开了一家工作室,每天产量3万条左右,而他自己也偷偷生产数据,但量少,每月不到1万条。假如客户多,数据又不够,他只能从工作室拿,而自己只能拿一点提成,“挣得并不多”。

见记者犹豫不决,他不断劝说:“数据效果好的话,趁月底你多弄点数据,可以打五折,1万条数据只要2300元。你要是想倒手卖,再把价格加上去。”

许飞还发来一份名为“银行交易短信劫持样本”的文档。该文档包含国内各大银行名称、姓名、手机号码、属地、时间、储户实时到账的短信提示等信息。“这是银行内部流出的数据,我们渠道很多,你信了吧?”他说。

另一售卖者也表示,自己售卖的数据以母婴类为主,还有专门的宝妈平台和电视购物个人信息,这些信息都是从平台一手渠道“拿货”,保证精准,并称如果价格能够接受,“身份证都能给你洗出来”。

许飞从不用支付宝、微信转账的方式交易。

他称,支付宝口令红包更安全。记者在购买数据时,他再三嘱咐转账必须通过“支付宝口令”红包,输入口令后,将截图发给他即可。“我们都是通过这种方式支付。”“这样有点麻烦,但稳妥最重要。”在聊天中,他从不提钱、数据、红包等敏感词汇,“你要有安全意识”。

数据被反复流转、清洗,溯源不明

交易神秘是因为这些数据来源“见不得光”。

“数据保真就行,渠道不能说得‘太白’。不然我们还咋挣钱!”许飞透露,这些数据主要通过程序从平台上“爬取”,或者从“企业内鬼”处买到。记者随机向许飞发来的数据所涉平台商家进行验证,这些商家的工作人员均表示,不出售任何个人数据。

许飞称,有些数据来源于物流。但多家快递公司的快递员均表示,在网购快递收发中,他们可以看到备注的收货人名字、电话、地址或快递物品类别,但商品型号、颜色、价格等订单具体信息,他们无从得知。有些知名家电品牌的快递面单备注较为详细,但也并非所有信息都会显示。

“这种货源渠道五花八门,咋跟你说?”许飞表示他不是黑客,也不是中间商,不然数据售价不会这么低。

根据工作经验,李铁认为,许飞出售的可能是一手资料。他本人曾向某企业内鬼购买数据,对方和许飞一样警惕性极高。

李铁介绍,这类倒买倒卖的方式往往是把一手信息通过固定渠道向外销售,购买者成立公司或工作室,对数据进行清洗,然后通过各种渠道售卖给个人买家。“一手数据售价往往很低,在数据流通出去后,不少人反复倒卖加价,售价自然就高了。”

“这些人胆子很大,不停在各个社交渠道叫卖,而且还反复售卖。”仔细研究了对方售卖的数据,李铁分析称,部分数据已被清洗过,然后对方再重新拼凑起来。“这样做主要是安全,无法追溯源头。”

中国计算机行业协会数据安全专业委员会委员杨蔚表示,从近几年国内外网络攻击事件和数据泄露事件来看,不管是网购还是其他途径的信息泄露,来源主要是黑客攻击、内鬼泄露、供应链泄露三个方面。

杨蔚说,以电商平台举例,它是典型的供应链生态体系,既有“上游”,也有“下游”,整个流程协同分工。从消费者角度来看,各个环节都会存在数据被获取的可能性,因为各数据都在流转,大电商和小电商区别就在于组织和流程上涉及多少的问题。“这也是为什么某些电商平台一旦数据泄露,任何一个环节都说不是自己泄露的,这些平台没有相应的技术手段来保证各环节,说明管理存在问题。”他说。

据记者了解,最高人民检察院近期印发了《关于加强刑事检察与公益诉讼检察衔接协作严厉打击电信网络犯罪加强个人信息司法保护的通知》,要求严厉打击行业“内鬼”泄露公民个人信息违法犯罪。

数据遭泄露后,多用于营销推广和电信诈骗

许飞从不过问买方购买数据的用途,“我管那么多干嘛,问了别人也不说。”

但实际上,这些包含大量个人信息的数据已经成为电信网络诈骗犯罪的“基本物料”。犯罪分子通过非法手段获取公民注册手机卡、银行卡,以此作为诈骗犯罪的基础工具,或是利用这些信息对诈骗对象进行“画像”,实施精准诈骗。

在记者电话求证过程中,近半数消费者表示曾接到诈骗电话,甚至部分人多次接到境外诈骗电话,这些诈骗人员能够详细说出他们的姓名、住址、网购订单等信息。其中,有些是要求他们通过银行转账,有的是以返还商品优惠为由要求提供银行卡。

李铁表示,购买这些数据的人,主要是出于商业目的和诈骗。出于商业目的,例如推广营销、获取新用户、提高销售额、获取竞争对手客群等,而诈骗则尤为常见,甚至还有人借此来进行勒索。

杨蔚同样表示,一般个人信息数据泄露后常被用于营销推广和电信诈骗。而在电信诈骗中,在校学生、留守老年人会成为电信诈骗分子重点关注的对象。

2016年8月21日,刚接到大学录取通知书的山东临沂市高三毕业生徐玉玉接到诈骗电话。陈文辉等人以发放助学金的名义,骗走了徐玉玉全部学费9900元,徐玉玉在报警回家的路上猝死。

2017年6月27日,此案在山东省临沂市中级人民法院一审公开开庭审理。陈文辉、郑金锋、黄进春等7名被告人均表示认罪悔罪。

根据法院披露的信息,2015年11月至2016年8月,被告人陈文辉、郑金峰、黄进春等人通过网络购买学生信息和公民购房信息。随后冒充教育局、财政局、房产局工作人员,以发放贫困学生助学金、购房补贴为名,以高考学生为主要诈骗对象,拨打电话骗取他人钱款,金额共计人民币56万余元。

李铁表示,电信诈骗犯罪产业链的背后,盘踞着以公司化体系运营的网络犯罪集团。诈骗的大部分话术围绕高额回报、高收益展开,后续再以账户异常、流水不足、银行卡异常无法提现等理由实施诈骗,常见的骗局类型有刷单、假冒金融App、电商购物退款等。在他看来,电信网络诈骗背后折射的是各类信息的数据安全。网络黑产分子攫取个人数据信息,经过处理加工后批量标价卖给电信诈骗团伙,后者再利用这些信息获取受害者信任,以实施诈骗。

公安部公布的最新统计数据显示,2021年,公安机关侦办侵犯公民个人信息、黑客等重点案件1.8万余起,打掉为赌博、诈骗等犯罪提供资金结算、技术支撑、引流推广等服务的团伙6000余个,查处非法侵入计算机信息系统、非法获取系统数据人员3000余名,抓获行业内部人员680余名。

个人信息泄露后,立案难、维权难

杨蔚也曾遭遇个人信息泄露,而其后的维权之路让这位网络安全领域的专家都感到无比艰难。

就在今年“3·15”当天,杨蔚接到某房产中介的电话,对方精准地说出了他所居住的小区和楼层号。“骚扰电话的精准程度,真是令人发指。”杨蔚尝试举报,但过程并不理想。

杨蔚说,这类案件举证大部分容易因扩散渠道不具有单一性和唯一性,导致无法确认泄露主体而败诉。网民在日常生活中使用一些App时,如果不授权就用不了任何功能,但授权同意后就表示用户让渡了自己的个人信息,给予App运营主体获取权限。这也是为什么近年来手机App过度收集用户信息现象多次遭受质疑的原因。因为容易滋生数据黑产,引发违法犯罪。

此外,依靠暗网交易软件获取的数据来源更加私密,形成监管盲区,给执法部门带来很大困难。杨蔚认为,要从上游如支付环节或数据源头解决问题。

为加强对数据安全、个人信息的保护力度,近几年国内颁布多部法律法规及行业标准,包括网络安全法、数据安全法、个人信息保护法、电子商务法以及消费者权益保护法等。

北京市中治律师事务所律师郭聪认为,根据刑法第二百五十三条之一:侵犯公民个人信息罪,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

郭聪表示,据不完全统计,目前根据司法实践中的案例数据,2020年至2021年的侵犯公民个人信息犯罪结案案例约4613件,2022年1月至6月约为307件。绝大多数案件处于判处三年以下有期徒刑的量刑层级。

在国外,欧盟实施了严厉的数据保护条例GDPR。GDRP是《通用数据保护条例》的简称,是欧盟立法机关针对欧洲发生的诸多信息和隐私数据泄露案件而制定的法案。该条例明确规定,公司内部需要设立数据保护官DPO(类似于CEO和COO高管职位),负责个人隐私数据保护。对比国内外法律,欧盟对数据泄露的处罚力度更大,法条更明确。杨蔚认为,相比欧盟,我国关于数据安全的立法起步较晚,在数据安全治理实践上还存在一定差距。

中兴通讯数据保护合规部与数据法盟联合编制的《GDPR执法案例精选白皮书》数据显示,截至2019年9月24日,22家欧洲数据监管机构对共87件案件作出了总计3.7亿欧元的行政处罚决定。

杨蔚表示,数据作为生产要素,安全保护仍然是需要大家共同解决的问题,须监管部门、企业、安全机构、民间安全力量等各方的努力。他认为,有关部门要不断明确各方权责,将举证门槛降低,并且加大处罚力度;企业及负责人应做到知法守法,承担保障个人信息安全的义务,对员工进行安全教育和培训,企业内建设网络安全防御体系、加强数据备份和信息保密等工作;个人要提高安全防护意识,具备一定的敏感性,谨慎点击链接及网站、创建安全性较高的密码等。

北京大学法学院副院长薛军认为,要从根本上解决信息泄露问题,还要依靠先进的技术。在可能出现个人隐私和信息泄露的环节,要用技术将信息匿名化,这些匿名信息只有系统能识别,而行为人不能识别、获取。

他表示,相关部门还要进一步加强对这类违法行为的侦查,加大对不法分子的惩处力度。“这个最有震慑力,当他们知道违规、违法必然受到处罚时,可能就放弃了。”

]]>
乌克兰宣布关闭一处社交农场:超百万账号肆意传播抹黑信息 Wed, 30 Nov 2022 16:23:54 +0800 乌克兰安全局(SSU)旗下的网络警察部门关闭了一处拥有上百万机器人的设施农场,这些机器人被用于在社交网络上传播虚假信息。

这处农场的目标就是抹黑乌克兰官方发布的信息,破坏乌国社会与政治局势、伺机制造内部冲突。

这些机器人传播的信息与俄罗斯宣传口径相符,因此认为这些虚假信息设备的操作者应该是俄罗斯特种部队的成员。

事实上,乌安全局的调查还一路挖出了该犯罪团伙的头目——一位曾居住在基辅的俄罗斯“政治专家”。

乌安全局在公告中解释道,“根据调查,此人正在组织信息传播与颠覆活动,在其之上还有乌克兰国内一股政治力量的授意支持。”

“跟这位政治专家一直保持联络和协调的,是曾任州领导团队核心职务的某位现乌克兰国会议员。”

乌克兰警方的调查工作仍在进行当中,希望找到虚假信息传播的其他参与者。他们将因违反乌克兰刑法第361.2条受到指控。

大规模机器人农场

乌安全局封控的这处机器人农场位于基辅、哈尔科夫及文尼察,依靠100万机器人大肆传播虚假信息。为了建立这支线上“部队”,恶意黑客共使用5000张手机卡来批量注册新的社交媒体账户。

此外,操作者还使用200台代理服务器,来掩盖实际IP地址、逃避欺诈检测并绕过社交媒体平台的屏蔽机制。

根据乌安全局的介绍,此处机器人农场的操作者还开发部署了定制软件,用以远程管理一众匿名社交媒体账户、协调需要推送的宣传信息。

战争时期的虚假信息

假新闻的力量不容小觑,往往能在困难时期、互联网访问受限和普遍动荡的背景下引发巨变。

俄罗斯方面长期以来一直在实施虚假宣传活动,并在乌克兰投资建立针对当地民众的机器人农场。

2022年2月,Meta公司就曾删除几个在社交媒体平台上传播虚假信息的Facebook账户群。

2022年3月,乌安全局宣布发现并关闭了5处此类机器人农场,据称这里运营的负责传播假新闻的社交媒体账户多达10万个。

乌克兰总统泽连斯基也一直身陷虚假信息的泥潭。据安全内参了解,Facebook就曾出现过由Deepfakes技术合成的假消息;乌克兰广播电台之前还遭到入侵,强制播报泽连斯基总统已经生命垂危的假新闻。两起事件均被认为是俄罗斯方面所为。

自俄乌战争爆发以来,乌安全局已经发现并消除了1200多次针对乌国家及其他关键实体的网络攻击,报告和关闭了500个YouTube频道、涉及的订阅者高达1500万。

此外,乌安全局还报告了参与俄罗斯宣传攻势的1500个Telegram频道/机器人,以及另外1500个Facebook、Instagram及TikTok账户。

]]>
推特确认540万账户数据泄露 现已修补0-day漏洞 Wed, 30 Nov 2022 16:23:54 +0800 8月8日消息,7月22日Restore Privacy报告称,推特因安全漏洞被黑客入侵,共计540万个账户的联系方式泄露,泄露的540万个账户包括推特ID与其关联的电话号码和电子邮件信息,已在一个黑客论坛上出售,价格为3万美元(约20.28万元人民币)。

今日,推特已正式确认该攻击已发生,并且该0-day漏洞已被修补。

推特官方称,早在今年1月,就已经通过其漏洞赏金计划HackerOne获悉了该漏洞,该漏洞在2021年6月对其代码进行更新后逐渐出现。虽然该问题已在今年早些时候得到解决,但推特表示它没有考虑攻击者已经拥有数据的可能性。

了解到,根据此前的报告,共有5,485,636个推特账户的个人资料,其中包含手机号、位置、URL、个人资料图片和其他数据信息被盗取。

推特表示正在通知每个受影响的用户,但由于安全漏洞影响,官方无法完全确认暴露的账户有哪些。此外,虽然密码不是数据泄露的一部分,但推特建议用户为他们的账户打开双重身份验证。

]]>
《安联智库-网安周报》2022-08-07 Wed, 30 Nov 2022 16:23:54 +0800

1、跨国导弹开发商MBDA疑似被入侵,攻击者声称获取机密

MBDA是一家欧洲跨国导弹开发商和制造商,由来自法国、英国和意大利的Aérospatiale– Matra、  BAE Systems、 Finmeccanica三家公司合并而来。
代号为Adrastea的攻击组织自称是一组独立的网络安全专家和研究人员,声称他们已经成功入侵了MBDA。该攻击者在某热门黑客论坛发帖称:“你好!我们是Adrastea ——一群网络安全领域的独立专家和研究人员。我们在您的网络基础设施中发现了严重漏洞,并获得了对公司文件和机密数据的访问权限。目前下载的数据量约为60 GB。 下载的数据包含有关贵公司员工的机密和封闭信息,这些员工参与了MBDA封闭军事项目的开发。
作为黑客攻击的证据,Adrastea 分享了一个指向受密码保护的链接存档的链接,其中包含与项目和通信相关的内部文件。目前尚不清楚Adrastea是否持有了其他数据,同时Adrastea也没有透露有关攻击的细节。
2、超2.8亿条公民身份信息在公有云上暴露

8月4日消息,包括印度养老基金持有人全名、银行账号、代名人等信息在内的海量数据在网上曝光。

乌克兰安全研究员Bob Diachenko发现,有两个独立IP地址存储着超过2.88亿条记录,其中一个IP下约有2.8亿条记录,另一IP下约有840万条记录,两个IP均未经密码保护,数据被公开暴露在互联网上。两个IP地址归属印度,属于微软Azure托管服务。

Diachenko透露,“据我了解,数据库中的信息可被用来拼凑出这些印度公民的完整资料,致使他们成为网络钓鱼或欺诈攻击的目标。”

每条记录中都包含他们的个人身份信息,包括婚姻状况、性别和出生日期。以及与养老基金账户有关的细节信息,包括UAN、银行账号和就业情况。

3、区块链行业遭供应链攻击,上万加密钱包被“抄底”损失上亿美元

当地时间8月2日晚间,区块链行业遭遇了一次行业重创。据科技媒体TechCrunch报道,若干名攻击者“抄底”了上万个加密钱包,钱包内有价值上亿美元的代币。

据了解遭受攻击的加密钱包包括Phantom、Slope和TrustWallet等。涉及到的币种除了SOL、SPL和其他基于Solana(公链)的代币以外,还有USDC、USDT、BTC、ETH等主流币和稳定币。攻击的原因仍不清楚,但区块链Avalanche创始人Emin Gün Sirer表示,交易是正确签署的,这意味着该漏洞可能是一个 "供应链攻击",并设法窃取用户的私钥。

4、德国工商总会被网络攻击打爆了

据Bleeping Computer消息,网络攻击组织盯上了德国工商协会 (DIHK) ,对其发起了大规模的网络攻击。DIHK无力面对如此强力的网络攻击,直接躺平:被迫关闭了所有的IT系统,关闭所有的数字服务、电话和电子邮件服务器。

资料显示,德国工商总会(简称DIHK)是79个独立的德国工商会的行政联合机构。根据德国有关法律规定,所有德国境内企业(除手工业者、自由职业者及农业加工业外)均必须加入德国工商会。该会在德国国内承担着大量的公益任务。

在被攻击之后,DIHK在网站上发布了一份简短的通知,并表示关闭系统和数字服务是预防网络攻击造成更大损失的一种措施,也让IT团队有更多的时间摸清此次网络攻击的情况,并针对性的给出解决方案,提高系统的防护能力。 

有安全专家指出,此次网络攻击有可能是勒索组织所为,DIHK被迫关闭所有系统和数字服务,其目的是防止恶意软件快速传播,但这种猜测尚未得到官方的证实。截至目前也没有哪个勒索软件在其官网上宣布成功入侵 DIHK 的消息。

]]>
德国工商总会被网络攻击打爆了 Wed, 30 Nov 2022 16:23:54 +0800 据Bleeping Computer消息,网络攻击组织盯上了德国工商协会 (DIHK) ,对其发起了大规模的网络攻击。DIHK无力面对如此强力的网络攻击,直接躺平:被迫关闭了所有的IT系统,关闭所有的数字服务、电话和电子邮件服务器。

资料显示,德国工商总会(简称DIHK)是79个独立的德国工商会的行政联合机构。根据德国有关法律规定,所有德国境内企业(除手工业者、自由职业者及农业加工业外)均必须加入德国工商会。该会在德国国内承担着大量的公益任务。

德国工商总会是三百六十万德国企业的最高发言人,负责法律代理、咨询、外贸促进、培训、区域经济发展,并为其成员提供一般支持服务。

目前,尚未了解DIHK被攻击的原因,也没有黑客组织声称对此次攻击负责。

DIHK被黑客打爆了

在被攻击之后,DIHK在网站上发布了一份简短的通知,并表示关闭系统和数字服务是预防网络攻击造成更大损失的一种措施,也让IT团队有更多的时间摸清此次网络攻击的情况,并针对性的给出解决方案,提高系统的防护能力。 

在对此次攻击进行彻底检查后并确保用户可安全使用后,DIHK将逐步恢复正常服务,目前还只是恢复了一小部分。

DIHK总经理迈克尔伯格曼通过 LinkedIn 发布消息称,网络攻击发生在“周三”,并指出是一次大规模的攻击事件。DIHK暂时也无法确定修复时间许多多久,这也就意味着无法确定服务恢复的时间。

有安全专家指出,此次网络攻击有可能是勒索组织所为,DIHK被迫关闭所有系统和数字服务,其目的是防止恶意软件快速传播,但这种猜测尚未得到官方的证实。截至目前也没有哪个勒索软件在其官网上宣布成功入侵 DIHK 的消息。

]]>
区块链行业遭供应链攻击,上万加密钱包被“抄底”损失上亿美元 Wed, 30 Nov 2022 16:23:54 +0800 当地时间8月2日晚间,区块链行业遭遇了一次行业重创。据科技媒体TechCrunch报道,若干名攻击者“抄底”了上万个加密钱包,钱包内有价值上亿美元的代币。

据了解遭受攻击的加密钱包包括Phantom、Slope和TrustWallet等。涉及到的币种除了SOL、SPL和其他基于Solana(公链)的代币以外,还有USDC、USDT、BTC、ETH等主流币和稳定币。

区块链浏览器 Solscan称,锁定的四名攻击者共计攻击了大约1.52万个钱包,不过这些钱包之间可能存在重复攻击。Solana Status官方推特称,此次攻击中大约有8000个独立钱包受影响。

攻击的原因仍不清楚,但区块链Avalanche创始人Emin Gün Sirer表示,交易是正确签署的,这意味着该漏洞可能是一个 "供应链攻击",并设法窃取用户的私钥。

区块链审计公司OtterSec也证实,交易是由实际所有者签署,这意味着私钥已被泄露。

加密货币分析师@0xfoobar补充,"很可能是某些原因造成了大范围私钥泄露,影响范围包括近6个月内未活跃的钱包账户。"他还表示,撤销钱包的批准可能于事无补。

但Solana Labs和Phantom称其网络运行良好,并且不认为该问题与Solana网络或Phantom钱包有关。

Solana Ventures投资者Justin Barlow称,他的USDC钱包余额也被攻击。

8月3日凌晨,公链Solana生态NFT平台Magic Eden的推特帐号称,可能有一个普遍存在的SOL漏洞,正在影响整个生态系统的钱包,并提醒用户更新设置保护个人资产。

就在公链Solana遭到攻击的几个小时前,恶意分子滥用一个名为“chaotic”的安全漏洞,从跨链消息协议Nomad窃取了近2亿美元数字资产。这是由于Nomad智能合约的最新更新,用户可以很容易地进行交易欺诈。

]]>
Solana被盗500万美元,具体原因尚不明确 Wed, 30 Nov 2022 16:23:54 +0800 攻击者从区块链平台Solana窃取了超过500万美元,具体的失窃原因仍在进一步调查中调查中。

总部位于旧金山的去中心化区块链平台Solana,昨天上午在官方Twitter上确认了这一事件,Solana声称此次攻击有7767个钱包受到影响,其中包括了Slope和Phantom用户,并要求受影响的用户填写一份在线调查,以帮助其工程师查清事情的真相。

Solana声称他们的工程师们目前正在与多个安全研究人员和生态系统团队合作,以确定该漏洞的根本原因,现在虽然没有直接证据表明硬件钱包受到了影响。但还是强烈建议用户使用硬件钱包并且不要在硬件钱包上重复使用的种子短语,而应该创建使用独立的种子短语。被排出的钱包应被用户视为受到损害的状态,并要及时放弃。

Solana将自己宣传为 "世界上最快的区块链 "和 "加密货币中增长最快的生态系统",拥有成千上万的项目,涉及DeFi、NFTs、Web3和其他领域。

Pixel Privacy消费者隐私的Chris Hauk对外界解释道,Solana攻击只是最近一系列对加密货币的攻击中的最新一次。面对这些攻击,用户普遍希望撤销他们钱包上的任何第三方权限,直到Solana和其他被攻击的交易所完全修复产生这些攻击问题的漏洞。投资者也应该把他们的加密货币从热钱包转移到冷钱包。"

这一事件是一连串针对加密货币公司漏洞事件的衍生,其中包括有史以来最大的一次加密货币盗窃案,当时朝鲜黑客从以太坊侧链Ronin Network盗

]]>
超2.8亿条公民身份信息在公有云上暴露,印度政府未予置评 Wed, 30 Nov 2022 16:23:54 +0800 8月4日消息,包括印度养老基金持有人全名、银行账号、代名人等信息在内的海量数据在网上曝光。

乌克兰安全研究员Bob Diachenko发现,有两个独立IP地址存储着超过2.88亿条记录,其中一个IP下约有2.8亿条记录,另一IP下约有840万条记录。

Diachenko表示,两个IP均未经密码保护,数据被公开暴露在互联网上。两个IP地址归属印度,属于微软Azure托管服务。

这些记录属于“UAN”Elasticsearch集群。UAN是指印度国有雇员公积金组织(EPFO)分配给养老基金持有者们的通用账号。

Diachenko透露,“据我了解,数据库中的信息可被用来拼凑出这些印度公民的完整资料,致使他们成为网络钓鱼或欺诈攻击的目标。”

每条记录中都包含他们的个人身份信息,包括婚姻状况、性别和出生日期。以及与养老基金账户有关的细节信息,包括UAN、银行账号和就业情况。

除了泄露养老基金持有者们的个人身份信息(PII)之外,这些记录中还暴露了相应代名人的信息,例如代名人全名、与账户持有人的关系。

Diachenko在本周早些时候发现这些泄露敏感数据的IP地址。他昨天在Twitter上发布一张截图,展示了暴露个人信息的数据字段,并点名印度计算机应急响应小组(CERT-In)。这条推文发布后不到一天,两个问题IP均已无法访问。

Diachenko表示,目前还不清楚应该由谁对网上暴露的海量数据负责,也不清楚除他之外是否还有其他人发现了这些数据。

外媒TechCrunch已经向印度国有雇员公积金组织、计算机应急响应小组以及该国IT部门发出置评请求,但未得到回应。

据安全内参了解,印度中央公积金专员在2018年就曾通知国家IT部门,称黑客可以从公积金组织的Aadhaar门户网站窃取数据。该事件导致约2700万养老基金持有者身陷风险。事后,养老基金机构表示并未发生数据泄露,但没有给出任何相应证据。

]]>
半导体巨头赛米控遭勒索软件攻击 Wed, 30 Nov 2022 16:23:54 +0800 德国电力电子制造商赛米控(Semikron)近日披露遭到勒索软件攻击,部分公司网络被加密。

赛米控在德国、巴西、中国、法国、印度、意大利、斯洛伐克和美国的24个办事处和8个生产基地拥有3000多名员工,2020年的营业额约为4.61亿美元。

赛米控还是全球领先的电力工程部件制造商之一,每年安装的风力涡轮机中有35%使用其技术部件。

面临大规模数据泄露

根据赛米控集团本周一发布的声明,攻击者从其系统中窃取了数据,“这次攻击还导致了我们的IT系统和文件的部分加密。目前正在研究和调整整个网络的取证。”

根据德国联邦信息安全办公室发出的警报,勒索软件运营商正在勒索该公司,并威胁要泄露据称被盗的数据。

虽然赛米控没有透露攻击者的任何信息,但是根据流出的勒索软件声明,这是一次大规模数据勒索软件攻击,攻击者声称窃取了多达2TB的文件。

赛米控正在外部网络安全和取证专家的帮助下调查攻击者是否在攻击前从系统中窃取了所声称的数据。

赛米控补充说,它还在整个调查过程中通知并与相关当局合作,如果发现任何数据盗窃证据,将提醒客户和合作伙伴。

“与此同时,我们正在努力恢复工作能力,以最大限度地减少对我们员工、客户和合同合作伙伴的干扰,并确保我们的IT系统尽可能地安全。”赛米控补充道。

]]>
MBDA疑似被入侵,攻击者声称获取机密 Wed, 30 Nov 2022 16:23:54 +0800 一个名为Adrastea的攻击组织声称已经入侵了跨国导弹制造商 MBDA。

MBDA是一家欧洲跨国导弹开发商和制造商,由来自法国、英国和意大利的Aérospatiale– Matra、  BAE Systems、 Finmeccanica三家公司合并而来。

代号为Adrastea的攻击组织自称是一组独立的网络安全专家和研究人员,声称他们已经成功入侵了MBDA。Adrastea表示,他们在该公司基础设施中发现了严重漏洞,并窃取了 60 GB 的机密数据,被盗数据包括了公司员工参与的军事项目、商业活动、合同协议以及与其他公司的通信信息等内容。

该攻击者在某热门黑客论坛发帖称:“你好!我们是Adrastea ——一群网络安全领域的独立专家和研究人员。我们在您的网络基础设施中发现了严重漏洞,并获得了对公司文件和机密数据的访问权限。目前下载的数据量约为60 GB。 下载的数据包含有关贵公司员工的机密和封闭信息,这些员工参与了MBDA封闭军事项目的开发。

作为黑客攻击的证据,Adrastea 分享了一个指向受密码保护的链接存档的链接,其中包含与项目和通信相关的内部文件。目前尚不清楚Adrastea是否持有了其他数据,同时Adrastea也没有透露有关攻击的细节。

]]>
《安联智库-网安周报》2022-07-31 Wed, 30 Nov 2022 16:23:54 +0800 1、微软 SQL 服务器被黑,带宽遭到破坏

据Bleeping Computer网站7月28日消息,目前,一些攻击者通过使用捆绑广告的软件甚至是恶意软件入侵微软的SQL服务器,将设备转化为在线代理服务出租的服务器进行牟利。

为了窃取设备的带宽,攻击者安装了代理软件 ,将设备的可用互联网带宽分配为代理服务器,远程用户可以使用该服务器进行各种操作,如测试、情报收集、内容分发或市场研究。

作为共享带宽的回报,设备所有者可以从向客户收取的费用中抽成。例如,Peer2Profit服务显示,通过在数以千计的设备上安装该公司的软件,每月赚取多达6000美元的收入。

2、西班牙一核安全系统遭黑客攻击,部分地区服务中断数月

7月28日,西班牙警方宣布,已逮捕两名黑客。据悉,二人应对2021年3月至6月期间针对辐射警报网络(RAR)的攻击行为负责。

两名被捕者是外包商前员工,曾负责按合同为西班牙民防和紧急情况总部(DGPGE)提供辐射警报网络系统维护服务。两名被捕人员曾非法访问紧急情况总部网络,并试图删除控制中心内的辐射警报网络管理Web应用程序。与此同时,二人还对传感器发起单独攻击,断开了它们与控制中心间的连接,破坏了数据交换,导致分布在西班牙全国的800个传感器中的300个停止工作。

攻击引发严重核安全风险

西班牙在卡塞雷斯、塔拉戈纳、瓦伦西亚、瓜达拉哈拉、萨拉曼卡和科尔多瓦的六座发电厂中运营有七处核反应堆,支撑着全国约五分之一的电力需求。辐射警报网络系统的作用是:检测辐射水平的异常上升并发出警报,以帮助政府当局采取保护措施、检测问题并施以补救。

此次网络攻击导致其中300个传感器无法将计数传输回控制中心,使得西班牙面临严重风险,无法立即对辐射激增事件做出响应。

3、数字安全巨头 Entrust 遭遇勒索攻击

据Bleeping Computer消息,数字安全巨头Entrust已经承认,自己遭受了网络攻击,攻击者破坏了其内部网络,并窃取了一定规模的数据。

Entrust 是一家专注于在线信任和身份管理的安全公司,为企业用户和政府部分提供广泛的服务,包括加密通信、安全数字支付和身份证明等解决方案。此次攻击造成内部数据泄露,很有可能会影响到大量使用 Entrust 进行身份管理和身份验证的关键和敏感组织。

  黑客6月入侵Entrust的网络  

有安全专家称,Entrust早在6月18日就已经被黑客攻击和破坏,同时对方趁机窃取了公司的机密数据。

可以确定的是,攻击者确实从Entrust的内部系统中窃取了一部分数据,但是尚不清楚这部分数据是来自公司、客户还是供应商,亦或三者皆有之。目前,Entrust会同另外一家知名网络安全公司、执法部门共同调查此次攻击事件。

4、IBM数据泄露成本报告发布,数据泄露创历史新高

近期,IBM发布了最新的数据泄露成本报告,据报告称,目前全球数据泄露的平均成本为435万美元,过去两年数据泄露成本增加了近13%,创下历史新高。

与去年报告相比,今年的整体数据有2.6%的增长,同时,据IBM称,消费者也正因数据泄露事件而遭受不成比例的痛苦。60%的违规企业在遭受数据泄露事件后反而提高了其产品价格,约等于变相加剧了全球通胀的速度。

网络钓鱼成为代价最高的数据泄露原因,受害企业的平均成本为490万美元,而凭据泄露是最常见的原因(19%)。连续第12年,医疗行业都是数据泄露成本最高的行业,而且还在快速增长中。2022年医疗行业的平均违规成本增加了近100万美元,达到创纪录的1010万美元。在众多国家中,美国仍然是数据泄露事件里损失最昂贵的国家,平均违规成本达到了940万美元。

据调研,将近80%的关键基础设施企业都没有采用零信任策略,这使得他们的违规成本比其他人增加了近 120 万美元,平均数据泄露成本上升到540万美元,与采用零信任策略的组织相比增加了117万美元。未实施零信任方案的组织所发生的数据泄露事件中,28%与勒索软件或破坏性攻击有关。

如果企业受到勒索软件的影响,他们也会向敲诈者付款。确实发现平均违规成本仅减少了 610,000 美元。当包括赎金本身时,违规成本可能会高得多。没有支付赎金的赎金攻击的平均成本为 450 万美元。

据报告研究,在有记录的数据泄露事件里,近一半的 (45%) 事件发生在云上,那些尚未制定安全策略或处于制定安全策略的早期阶段的企业比拥有成熟云安全态势的人平均要多支付660,000美元。

数据泄露似乎是不可避免的:83% 的研究企业表示他们遭受了不止一次数据泄露事件。但是,随着技术的升级,企业对网络攻击的检测和响应也越来越快了。其中识别和遏制数据泄露的平均时间从 2021年的287天下降到2022年的277天,整体数据下降了3.5%。其中运行XDR工具的企业在检测和响应的时间整体上又要比其他企业快29天。

报告指出,最大的成本节省是安全人工智能和自动化技术的使用——运行这些技术的企业平均减少了300万美元的数据泄露成本。IBM Security X-Force 全球负责人查尔斯·亨德森 (Charles Henderson) 表示:“企业需要将安全防御置于进攻端并击败攻击者。现在是阻止对手实现其目标并开始将攻击影响降至最低的时候了。越来越多的企业试图完善自己的边界,而不是在检测和反应方面加强,所以数据泄露事件就会导致其成本增加。

]]>
微软 SQL 服务器被黑,带宽遭到破坏 Wed, 30 Nov 2022 16:23:54 +0800 据Bleeping Computer网站7月28日消息,目前,一些攻击者通过使用捆绑广告的软件甚至是恶意软件入侵微软的SQL服务器,将设备转化为在线代理服务出租的服务器进行牟利。

为了窃取设备的带宽,攻击者安装了代理软件 ,将设备的可用互联网带宽分配为代理服务器,远程用户可以使用该服务器进行各种操作,如测试、情报收集、内容分发或市场研究。

作为共享带宽的回报,设备所有者可以从向客户收取的费用中抽成。例如,Peer2Profit服务显示,通过在数以千计的设备上安装该公司的软件,每月赚取多达6000美元的收入。

根据韩国公司Ahnlab的研究人员28日发表的一份新报告,一种新的恶意软件活动正通过安装代理软件,利用受害者的网络带宽赚钱。攻击者通过为用户设置其电子邮件地址来获得带宽补偿,而用户可能只会察觉到网络速度有时会变慢。

在设备上偷装代理客户端

Ahnlab观察到通过捆绑广告的软件和其他恶意软件,为 Peer2Profit 和 IPRoyal 等服务安装代理软件。

恶意软件检查代理客户端是否在主机上运行,如果停用,它可以使用 "p2p_start() "函数来启动。

对于 IPRoyal 的 Pawns,恶意软件更喜欢安装客户端的 CLI 版本而不是 GUI 版本,因为其目的是让该进程在后台隐蔽地运行。

在最近的观察中,攻击者使用DLL形式的Pawns,以编码的字符串形式提供他们的电子邮件和密码,并用 "Initialize() "和 "startMainRoutine() "函数来启动。在设备上安装代理软件后,该软件会将其添加为可用代理,远程用户可以使用它在互联网上进行任何操作。这也意味着其他攻击者可以在受害者不知情的情况下使用这些代理进行非法活动。

感染MS-SQL服务器

根据Ahnlab的报告,使用这种方案创收的恶意软件也会针对脆弱的MS-SQL服务器来安装Peer2Profit客户端。

这一情况自2022年6月初以来便一直持续,研究人员从受感染系统中检索到的大多数日志都显示存在一个名为“sdk.mdf”的 UPX 打包数据库文件。

在微软SQL服务器更常见的威胁中,有进行加密货币劫持的加密货币币矿工,也有攻击者通过Cobalt Strike信标将服务器作为进入网络的支点。

使用代理软件客户端背后的原因可能是增加了长时间不被发现的机会,这就转化为更大的利润。不过,目前还不清楚行为人通过这种方法赚了多少钱。

]]>
IBM数据泄露成本报告发布,数据泄露创历史新高 Wed, 30 Nov 2022 16:23:54 +0800 近期,IBM发布了最新的数据泄露成本报告,据报告称,目前全球数据泄露的平均成本为435万美元,过去两年数据泄露成本增加了近13%,创下历史新高。数据泄露成本报告是IBM的年度重磅事项,至今已经是该报告发布的第17年。今年的数据泄露成本报告是根据2021年3月至2022年3月期间对17个国家/地区的550家企业的调研编制而成的。

与去年报告相比,今年的整体数据有2.6%的增长,同时,据IBM称,消费者也正因数据泄露事件而遭受不成比例的痛苦。60%的违规企业在遭受数据泄露事件后反而提高了其产品价格,约等于变相加剧了全球通胀的速度。

网络钓鱼成为代价最高的数据泄露原因,受害企业的平均成本为490万美元,而凭据泄露是最常见的原因(19%)。连续第12年,医疗行业都是数据泄露成本最高的行业,而且还在快速增长中。2022年医疗行业的平均违规成本增加了近100万美元,达到创纪录的1010万美元。在众多国家中,美国仍然是数据泄露事件里损失最昂贵的国家,平均违规成本达到了940万美元。

据调研,将近80%的关键基础设施企业都没有采用零信任策略,这使得他们的违规成本比其他人增加了近 120 万美元,平均数据泄露成本上升到540万美元,与采用零信任策略的组织相比增加了117万美元。未实施零信任方案的组织所发生的数据泄露事件中,28%与勒索软件或破坏性攻击有关。

如果企业受到勒索软件的影响,他们也会向敲诈者付款。确实发现平均违规成本仅减少了 610,000 美元。当包括赎金本身时,违规成本可能会高得多。没有支付赎金的赎金攻击的平均成本为 450 万美元。

据报告研究,在有记录的数据泄露事件里,近一半的 (45%) 事件发生在云上,那些尚未制定安全策略或处于制定安全策略的早期阶段的企业比拥有成熟云安全态势的人平均要多支付660,000美元。

数据泄露似乎是不可避免的:83% 的研究企业表示他们遭受了不止一次数据泄露事件。但是,随着技术的升级,企业对网络攻击的检测和响应也越来越快了。其中识别和遏制数据泄露的平均时间从 2021年的287天下降到2022年的277天,整体数据下降了3.5%。其中运行XDR工具的企业在检测和响应的时间整体上又要比其他企业快29天。

报告指出,最大的成本节省是安全人工智能和自动化技术的使用——运行这些技术的企业平均减少了300万美元的数据泄露成本。IBM Security X-Force 全球负责人查尔斯·亨德森 (Charles Henderson) 表示:“企业需要将安全防御置于进攻端并击败攻击者。现在是阻止对手实现其目标并开始将攻击影响降至最低的时候了。越来越多的企业试图完善自己的边界,而不是在检测和反应方面加强,所以数据泄露事件就会导致其成本增加。

]]>
西班牙一核安全系统遭黑客攻击,部分地区服务中断数月 Wed, 30 Nov 2022 16:23:54 +0800 7月28日消息,西班牙警方宣布,已逮捕两名黑客。据悉,二人应对2021年3月至6月期间针对辐射警报网络(RAR)的攻击行为负责。

两名被捕者是外包商前员工,曾负责按合同为西班牙民防和紧急情况总部(DGPGE)提供辐射警报网络系统维护服务。正因如此,二人对该系统的运作原理及如何实施针对性网络攻击有着深入了解。

两名被捕人员曾非法访问紧急情况总部网络,并试图删除控制中心内的辐射警报网络管理Web应用程序。

与此同时,二人还对传感器发起单独攻击,断开了它们与控制中心间的连接,破坏了数据交换,导致分布在西班牙全国的800个传感器中的300个停止工作。

当局发现这一违规行为,并在国家警察网络犯罪部门的协助下立即开展调查后,针对辐射警报网络的破坏活动于2021年6月停止。最终,在追踪黑客行迹一年之后,警方终于发现了这起网络攻击的责任人。

 “经过对被破坏传感器的所有通信内容,以及与被入侵计算机系统相关的数据进行长达一年的调查与详细技术刑侦分析,最终发现数据源头可能来自马德里市中心一家知名酒店的公共网络,网络攻击的幕后黑手也由此被确定。”

- 西班牙国家警察总局

警方在公告中指出,“根据马德里第39号调查法院发布的两项命令,警方在马德里和圣奥古斯丁德瓜达利克斯展开协同行动,对两所房屋和一家公司进行了搜查,发现了大量与案件相关的计算机和通信设备。”

攻击引发严重核安全风险

西班牙在卡塞雷斯、塔拉戈纳、瓦伦西亚、瓜达拉哈拉、萨拉曼卡和科尔多瓦的六座发电厂中运营有七处核反应堆,支撑着全国约五分之一的电力需求。

辐射警报网络系统的作用是:检测辐射水平的异常上升并发出警报,以帮助政府当局采取保护措施、检测问题并施以补救。

辐射警报网络系统共在西班牙全国各特定位置部署有800个伽马辐射传感器,每个传感器都通过电话线路接入紧急情况总部总部的控制中心。

此次网络攻击导致其中300个传感器无法将计数传输回控制中心,使得西班牙面临严重风险,无法立即对辐射激增事件做出响应。

警方并未在公告中提供进一步细节,因此尚不清楚嫌疑人发动攻击的具体原因。

]]>
允许用户购买“无疫苗精子/卵子”的反疫苗约会网站Unjected被爆数据泄露 Wed, 30 Nov 2022 16:23:54 +0800 一家允许用户购买“mRNA FREE”精子的反疫苗约会网站出现了用户数据泄露事件。该网站名为 Unjected,成立于 2021 年 5 月,声称是互联网上“最大的反疫苗平台”。去年 8 月,该应用违反了苹果关于 COVID-19 的相关策略而遭下架,从而受到了外界的关注。

尽管这款应用在界面上比较接近于 Twitter,但通常认为是“反疫苗者的 Tinder”。Unjected 随后一直受到某些人的关注,后续也增加了一些新的功能。

该网站提供了一项名为“mRNA FREE 血液匹配和生育目录”的功能,那些不愿意接受疫苗的用户可以向其他人贡献血液、精子或者卵子。尽管关于血液的一部分广告看起来是合理的,但是该应用还提供了未接受过疫苗的精子。该网站的生育区域允许用户提供自己的卵子、母乳和精子。

网名为 GeopJr 的程序员和安全专家发现,任意用户都可以访问该网站的管理员面板。在访问之后该面板可以添加、编辑和停用页面,例如网站的“About Us”页面和各种用户账户。

这是因为 GeopJr 发现 Unjected 的网络应用框架目前正处于 Debug 模式,允许用户了解患者的信息。国外科技媒体 Daily Dot 在该平台设置了一个测试账号,然后 GeopJr 成功更改了该账号的私有电子邮件以及头像。GeopJr 甚至还可以编辑 Daily Dot 发布的帖子并更改措辞。

网站的备份也可以进行下载或者删除。GeopJr 还能绕过每月 15 美元费用进行订阅,回复和删除帮助中心的帖子和相关报道。

]]>
数字安全巨头 Entrust 遭遇勒索攻击 Wed, 30 Nov 2022 16:23:54 +0800 据Bleeping Computer消息,数字安全巨头Entrust已经承认,自己遭受了网络攻击,攻击者破坏了其内部网络,并窃取了一定规模的数据。

Entrust 是一家专注于在线信任和身份管理的安全公司,为企业用户和政府部分提供广泛的服务,包括加密通信、安全数字支付和身份证明等解决方案。此次攻击造成内部数据泄露,很有可能会影响到大量使用 Entrust 进行身份管理和身份验证的关键和敏感组织。

而Entrust用户不仅有大量的企业,还有美国很多政府机构,其中包括能源部、国土安全部、财政部、卫生与公众服务部、退伍军人事务部、农业部等,这无疑是一个巨大的威胁。

  黑客6月入侵Entrust的网络  

有安全专家称,Entrust早在6月18日就已经被黑客攻击和破坏,同时对方趁机窃取了公司的机密数据。7月6日,安全研究人员Dominic Alvieri证实了这一攻击事件,他在推特上分享了Entrust公司发给客户的安全通知的屏幕截图。

Entrust 首席执行官在安全通知中写到,“不得不通知您,在6月18日我们发现了一起未经授权访问公司内部运营系统的行为。从这一刻起,公司正在努力地将此次攻击行为带来的影响降至最低。”

“我们仍在调查这一攻击事件,迄今为止我们没有发现任何迹象表明该问题已经影响了我们产品和服务的运营或安全。在我们继续调查这个问题的过程中,如果我们了解到我们认为会影响我们为您的组织提供的产品和服务的安全性的信息,我们将直接与您联系。”

可以确定的是,攻击者确实从Entrust的内部系统中窃取了一部分数据,但是尚不清楚这部分数据是来自公司、客户还是供应商,亦或三者皆有之。目前,Entrust会同另外一家知名网络安全公司、执法部门共同调查此次攻击事件。该公司称“迄今为止我们没有发现任何迹象表明该问题已影响我们产品和服务的运行或安全,这些产品和服务在与我们的内部系统分开的气隙环境中运行并且完全可以运行”。

  谁为这起攻击负责?

目前,尚未有勒索组织声称对此次攻击事件负责,在Entrust发给客户的安全通知,以及该公司对外的声明中,都没有分享此次攻击的详细信息,因此谁策划实施了这起攻击暂时还不清楚。

但 Bleeping Computer认为,某个著名的勒索组织可能是这起攻击的幕后黑手。虽然尚不清楚设备在攻击期间是否被加密,但勒索软件团伙通常会在启动加密器之前窃取数据以用于双重勒索计划。

根据 AdvIntel 首席执行官 Vitali Kremez的说法,勒索软件操作购买了受损的 Entrust 凭据并使用它们来破坏其内部网络。

Kremez 进一步表示:“勒索攻击者依靠网络访问卖家的受信任网络来获得对 Entrust 环境的初始访问权限,这导致随后通过已知的勒索软件团体进行加密和泄露暴露。”

目前,勒索组织已经提出了赎金要求,具体金额未知。如果Entrust不按要求支付赎金,勒索组织将会公布他们窃取的数据,而Entrust也可以借此了解攻击背后的勒索软件操作。

]]>
快递企业员工偷拍倒卖顾客信息!广州警方缴获快递信息百万条 Wed, 30 Nov 2022 16:23:54 +0800 7月26日,广州市公安局召开新闻发布会,通报广州警方全链条打击侵犯公民个人信息等突出网络违法犯罪有关情况,并公布典型案例。南都记者了解到,其中广州警方侦破一起非法获取倒卖快递面单信息,为境外诈骗分子提供帮助案。

上半年共侦破网络主侦案件160余起

据了解,今年以来,广州警方在2022年广州民生实事“个人信息超范围采集整治治理”专项工作和“净网2022”专项行动中,结合开展夏季治安打击整治“百日行动”,全链条打击侵犯公民个人信息等突出网络违法犯罪,全角度防范网络安全风险隐患,全网域整治网络违法有害信息,取得了显著成效。

广州警方重点严打黑客攻击破坏、侵犯公民个人信息等源头性犯罪和“网络水军”、网络黄赌、网络助考等黑灰产业链犯罪。今年上半年,共侦破网络主侦案件160余起,依法刑事拘留400余人。

同时,广州警方以网络攻防演习和网络安全执法检查为抓手,全面加强关键信息基础设施网络安全风险隐患排查整治。今年上半年,共对25万个网站开展专项排查,走访检查重点单位934家次,循环检测全市1000余个重要信息系统,发现并通报400余个安全隐患,督促相关单位排除隐患、堵塞漏洞。对未履行网络安全职责、未落实网络安全技术措施的单位,依法作出行政处罚261宗。

此外,广州警方还全面加强涉“黄赌毒”、涉枪爆、涉网络诈骗等违法有害信息的清理整治。今年上半年,共清理处置各类违法有害信息6万多条、违法栏目230个,指导网站过滤拦截违法有害信息120万条,对发布违法有害信息网民“拍肩膀”警示教育3600多次,依法处罚传播违法有害信息网民62人。

快递企业工作人员偷拍倒卖顾客信息

今年1月,广州警方在对冒充客服诈骗类警情进行分析研判时,发现境外诈骗分子非法获取被骗事主快递收件信息的线索。经侦查发现,个别快递企业工作人员在履职过程中,通过人工偷拍等方式,非法获取快递面单信息(包括收货人、手机号、收货地址、商品名称、商品数量等),并通过层层中介人员倒卖给境外诈骗分子,为其实施冒充客服类诈骗犯罪提供信息支撑。

在研究总结犯罪嫌疑人作案手法的基础上,广州警方经深入侦查,挖出广州市多个非法获取倒卖快递面单信息,为境外诈骗分子提供帮助的团伙。

4月1日、5月12日至5月24日,广州警方开展5次收网打击行动,共抓获70余名犯罪嫌疑人,缴获快递面单信息187万余条,初步统计涉案金额约350余万元,摧毁了一条向境外诈骗分子提供快递面单信息的犯罪链条。

警方提醒:各行业的从业人员务必恪守法律底线,依法依规保护好工作中掌握的公民信息,千万不要贪一时之利而赔上自己一生。快递企业在处理个人信息时,应当采取加密、去标识化等安全技术措施,落实个人敏感信息保护义务。

]]>
广东首例!广州一公司未履行数据安全保护义务被警方处罚 Wed, 30 Nov 2022 16:23:54 +0800 7月26日,广州市公安局新闻办公室召开新闻发布会,通报2022年广州民生实事“个人信息超范围采集整治治理”专项工作和“净网2022”专项行动中,全链条打击侵犯公民个人信息等突出网络违法犯罪的相关情况和典型案例。其中,广州警方公布了广东省公安机关首例适用《中华人民共和国数据安全法》的案件:广州一公司未履行数据安全保护义务被警方处罚5万元。

非法入侵驾培系统代刷学时,3名嫌疑人落网

从2021年10月下旬开始,广州市某公司陆续收到合作方驾校及当地运营部门投诉,有第三方人员冒充该公司工作人员,自称可以绕开该公司开发的“驾培平台”配套的车载终端打卡机制,让驾校学员在不到现场练车的情况下,在系统完成练车学时的累积,从而完成监管部门对驾考练车学时的严格要求。

广州警方经深入研判,挖出一作案团伙。该团伙通过技术手段非法破解“驾培平台”系统,将虚假的培训数据包发送至平台服务器,对学员的学时进行修改,以达到帮助学员快速完成培训和驾校快速盈利的目的。该团伙的非法行为,严重危害道路交通安全,情节十分恶劣。

今年5月12日,广州警方开展收网行动,抓获包括技术开发和代理在内的3名犯罪嫌疑人,现场缴获一批用于实施破坏信息系统行为的计算机设备。经初步统计,该案共涉及30余间驾校、90余台驾校教练车培训终端、5000余名驾校学员,该团伙牟利约35万元。目前,案件正在进一步侦办中。

未履行数据安全保护义务,一公司被警方处罚5万元

在刑事打击非法入侵驾培系统代刷学时案的同时,广州警方对此案进行“一案双查”。对上述公司的网络系统全面开展网络安全和数据安全检查。

广州警方检查发现,该公司开发的“驾培平台”存储了驾校培训学员的姓名、身份证号、手机号、个人照片等信息1070万余条,但该公司没有建立数据安全管理制度和操作规程,对于日常经营活动采集到的驾校学员个人信息未采取去标识化和加密措施,系统存在未授权访问漏洞等严重数据安全隐患。系统平台一旦被不法分子突破窃取,将导致大量驾校学员个人信息泄露,给广大人民群众个人利益造成重大影响。

根据《中华人民共和国数据安全法》的有关规定,广州警方对该公司未履行数据安全保护义务的违法行为,依法处以警告并处罚款人民币5万元的行政处罚,开创了广东省公安机关适用《中华人民共和国数据安全法》的先例,对数据安全治理作出了积极探索和实践。

警方提醒:网络安全事关国家安全,所有单位与个人都有保护数据安全的责任与义务,特别是持有、掌握大量公民个人信息的单位,更应该严格依法采取保护措施,有效保障公民个人信息安全。

]]>
打击侵犯公民个人信息违法犯罪!广州警方已依法刑拘400余人 Wed, 30 Nov 2022 16:23:54 +0800 7月26日,广州市公安局新闻办公室召开新闻发布会通报2022年广州民生实事“个人信息超范围采集整治治理”专项工作和“净网2022”专项行动中,全链条打击侵犯公民个人信息等突出网络违法犯罪的相关情况和典型案例。记者从现场获悉,今年上半年,广州警方共侦破网络主侦案件160余起,依法刑事拘留400余人。

据了解,今年以来,广州警方在2022年广州民生实事“个人信息超范围采集整治治理”专项工作和“净网2022”专项行动中,结合开展夏季治安打击整治“百日行动”,全链条打击侵犯公民个人信息等突出网络违法犯罪,全角度防范网络安全风险隐患,全网域整治网络违法有害信息,取得了显著成效。

广州警方按照“打生态、打全链、打苗头”的工作思路,重点严打黑客攻击破坏、侵犯公民个人信息等源头性犯罪和“网络水军”、网络黄赌、网络助考等黑灰产业链犯罪。今年上半年,共侦破网络主侦案件160余起,依法刑事拘留400余人。

同时,广州警方以网络攻防演习和网络安全执法检查为抓手,全面加强关键信息基础设施网络安全风险隐患排查整治。今年上半年,共对25万个网站开展专项排查,走访检查重点单位934家次,循环检测全市1000余个重要信息系统,发现并通报400余个安全隐患,督促相关单位排除隐患、堵塞漏洞。对未履行网络安全职责、未落实网络安全技术措施的单位,依法作出行政处罚261宗。

此外,广州警方还全面加强涉“黄赌毒”、涉枪爆、涉网络诈骗等违法有害信息的清理整治。今年上半年,共清理处置各类违法有害信息6万多条、违法栏目230个,指导网站过滤拦截违法有害信息120万条,对发布违法有害信息网民“拍肩膀”警示教育3600多次,依法处罚传播违法有害信息网民62人。

广州市公安局网警支队新闻发言人表示,今年下半年,广州警方将继续大规模大声势严打黑客攻击破坏、侵犯公民个人信息等网络突出犯罪,分行业分领域开展网络风险隐患排查整治,进一步加大对违法有害信息突出网站、IDC和超范围采集信息APP的执法力度,推动“个人信息超范围采集整治治理”专项工作和“净网2022”专项行动深入开展。

]]>
交通银行后,中国银行人脸识别也被攻破?储户损失20万元 Wed, 30 Nov 2022 16:23:54 +0800 中国银行和交通银行多名储户称账户遭遇了盗刷,他们认为,银行采用的人脸识别系统难辞其咎。技术专家认为,诈骗犯能破解人脸识别验证,说明银行的人脸识别系统确实存在技术漏洞。如今,使用人脸识别进行身份验证似乎已经变成了一件理所当然的事情。然而,当人脸识别被伪造、被攻击,我们的个人财产很可能随之受损——近日,中国银行和交通银行多名储户称账户遭遇了盗刷,他们认为,银行采用的人脸识别系统难辞其咎。

南都记者结合公开报道梳理发现,这些储户先是被诱骗交出了银行卡信息,有的还与诈骗分子进行了视频通话,然后诈骗分子利用上述信息通过了人脸识别验证,又拦截了手机验证码,从而把钱取走。

事情发酵至今,越来越多的争议聚焦在银行的人脸识别系统是否存在漏洞、银行应不应该担责上。银行认为,采用手机验证码和人脸识别结合的验证方式已经尽到安全保护义务,储户们则坚持银行的人脸识别系统并不足以保证资金安全。

有技术专家告诉南都记者,诈骗犯能破解人脸识别验证,说明银行的人脸识别系统确实存在技术漏洞。还有专家认为,由于相应风险是银行引进人脸识别所导致,原则上就应该由银行承担责任,只有这样,才能倒逼银行提高安全技术保障。

本人未登录、未操作,20万被转走

近日,中国银行储户马琳(化名)对南都记者爆料称,自己遭遇了电信诈骗——她的中国银行账户在她本人未登录、未操作、未进行人脸识别的情况下,被转走了20万元。

去年8月,马琳在北京办理签证期间,接到了一个自称是公安局的电话。对方称她涉嫌境外洗钱,口气强硬。马琳起先也有怀疑,但对方不但准确地说出了她在办理签证时提交给中介的信息,还通过视频电话的方式,向她“证实”了自己的警察身份,基本打消了她的怀疑。

随后,对方发来一个带链接的短信,让马琳确认自己的身份信息。她点开链接,网页显示了她的身份证正面照片,这进一步加深了她的信任——为了办理护照,马琳几天前刚去办理了新身份证。据她回忆,自己只在中国银行办理业务时使用过这张新身份证。

马琳照做后,就没有再收到对方或中国银行发来的任何短信。没过多久,她反应过来不对,于是登录手机银行查看,这才发现,她的中国银行账户在她本人未登录、未操作、未进行人脸识别的情况下,被转走了20多万元。

马琳遇到的骗局并不鲜见,她主动把重要的人脸信息交给诈骗分子也是事实。但令她想不通的是,登录她账户的设备IP地址是中国台湾,而她那一段时间一直在北京——银行不是应该对异地登录有严格防范吗?

对此,中国银行回应称,查到的验证视频是马琳本人的,也发了手机验证码到她的手机上,验证流程没有问题。“但事实上第一我没有收到手机验证码,第二我没有进行过任何的人脸识别检测,我本人我不可能自己去黑自己的账户对吧?”

“我最开始也不太理解(为什么会通过),我就拍了一段视频,其中包括了点头摇头,然后去其他银行的人脸识别功能试了试,一次都没通过,都提示说‘请确保是您本人’。”马琳告诉南都记者,在她和中国银行的交涉过程中,也有相关人员提到,如果使用视频是有可能攻破人脸识别的。

不满于中国银行的回复,马琳进而向北京银保监会投诉。经调查发现,诈骗发生当天,马琳账户里的20万被分成8笔转走,其中7笔发送了手机交易码短信,5笔触发了人脸识别,1笔触发了外呼(电话通过电脑自动往外拨打用户电话,将录制好的语音通过电脑播放给用户),但她从未收到任何相关告知。

马琳后来又去了北京来广营派出所报案。对于马琳的诉求,中国银行给出的说法是“钱财的转出在安全的机制内”,让她去起诉。这让她感到不可思议:“按照常理来说,人脸识别肯定是要本人”,她说,“身在异地的犯罪分子能通过活检,这本来就是一种不合理。”

在损失了这笔积蓄之后,马琳的签证已经很难继续办理,她离开了北京。“我希望中国银行的漏洞能堵一下,不要给更多的人带来更大的损失。这个事情对银行来说,可能确实没有什么损失。但是从储户的角度来说,这个就是一个人生的大灾难。”

除了中国银行,至少6名交通银行储户也有类似遭遇

南都记者了解到,中国银行不是唯一一家被曝人脸识别系统可被破解的银行。就在前不久,南都曾报道,交通银行的储户也有过相似的遭遇——他们中的部分人也和马琳一样,遇到的盗刷者IP地址显示为中国台湾,手机型号则为摩托罗拉XT1686。

交通银行储户小雪(化名)向南都记者提供的一份北京市丰台区人民法院民事裁判书显示,2021年6月19日上午,小雪接到自称是公安方面打来的电话,称其在哈尔滨涉嫌非法入境,还涉嫌反洗钱案,要求小雪下载“公安防护App”“瞩目App”,开启会议模式通过视频验证是否为本人,并进行手机屏幕共享,指示其将手机拦截电话、短信等功能开启。

随后,对方还以“国有大行安全措施比较好”为借口要求小雪办理一张新的交通银行卡,并把所有银行的存款全部转入内,以此“核实个人资产”。为此,小雪特意将近50万的储蓄资金从其他银行转入到该交通银行账户。而后,这笔资金便不知去向。

据警方调查,密码重置和大额转账的IP地址为中国台湾,验证方式为短信验证+人脸识别,且当天银行系统有7次通过人脸识别的记录,其中6次通过活检。也就是说,骗子拦截了小雪的短信验证码,通过短信和伪造人脸识别完成了密码重置、限额调整、大额转账的全过程。

法院一审判决认为,整个过程中是小雪自己按外人的指令下载了相关App、开启电话及短信拦截等,才导致发生身份识别信息、交易验证信息泄露的风险,因此认定该案是小雪不审慎所致,判交通银行不承担责任。

值得注意的是,根据凤凰网《新视界》7月5日的报道,2020年10月至2021年10月期间,有至少6位交通银行储户被犯罪分子诱骗、将钱存入交通银行后被盗刷,金额高达数百万元。

“6次人脸识别,交行一次都没识别出来犯罪分子使用的是假人脸。”“交通银行存在支付安全漏洞,没有办法识别出是不是真的人脸。”有被盗刷的交通银行储户认为,犯罪分子指定交通银行而不是其他银行,是因为他们发现并利用了交通银行的人脸识别漏洞。

自被盗刷以来,交通银行储户马跃(化名)曾多次上诉至法院,但法院驳回了他的申请。和小雪得到的判决相似,法院认定,交通银行相关支行已通过多个登录密码、验证码、人脸识别的合理方式识别使用人身份,未见存在明显的过错和过失。

针对上述事件,交通银行股份有限公司北京长辛店支行的工作人员向南都记者表示不接受采访。

银行的人脸识别验证系统是否存在漏洞?

人脸识别被破解、手机验证码被拦截,是储户们认为银行存在漏洞的关键环节。那么,中国银行和交通银行采用的人脸识别系统是否建立了足够的安全防范机制,又是否达到了监管要求呢?

根据中国银行5月29日最新更新的手机银行隐私政策,其使用了云从科技的人脸识别SDK(软件开发工具包),用于提供人脸识别服务。为交通银行提供技术支持的则是一家成立于2016年6月的生物识别企业:北京眼神科技有限公司(下称“眼神科技”)。

根据两家人脸识别服务提供商的官网介绍,他们的客户均涵盖六大行。此外,云从科技的客户还包括12家股份制银行以及城农商行,服务超过400家金融机构、10余万个银行网点;眼神科技服务的银行机构则近150家。

南都记者以储户身份分别致电云从科技和眼神科技。云从科技方面称,若犯罪分子使用视频通话的方式,确实有可能攻破人脸识别系统,但除此之外不愿透露更多信息。

眼神科技方面则表示,根据现有的司法判决,犯罪分子是获取了短信验证码等多个隐私信息,所以才出现了这种事,而人脸识别只是整个流程中的一个验证环节,所以并不能明确地说就是人脸识别的问题。“银行方面对安全性的要求是很高的,也是基于我们的产品(的正确率),银行这边才会选择我们的。”客服强调。

一位人工智能安全领域的技术专家也告诉南都记者,从整个流程来看,诈骗分子是劫持了受害人的电话和短信,才导致后续银行无法通过短信、电话对转账人身份及转账情况进行核实,这部分与人脸识别系统的安全风险无直接关联。

不过他也表示,储户即使被诱骗给出个人信息,但事实是储户本人并未前往外地,而诈骗犯肯定是用某种手段“通过了人脸识别的活体检测”,这就说明银行的线上人脸身份核验系统确实存在被假体攻击、注入攻击的技术漏洞——这并不是说“活体检测”这一技术本身不合格,很有可能是犯罪分子“绕过”了活体检测的环境。

去年1月,依托清华大学人工智能研究院成立的团队瑞莱智慧RealAI就曾通过对抗样本攻击,一举破解19款安卓手机的人脸识别解锁系统。即便是搭载了交互式活体检测功能的十余款金融和政务服务类App,也都被轻易破解。

瑞莱智慧RealAI高级产品经理张旭东曾以银行类App为例向南都记者表示,虽然现在的支付转账操作都需要多因素验证,但一旦用户的个人信息全部泄露,不法分子就可能同时完成刷脸、输入手机验证码等操作,使得多因素验证失效。

当时,研究人员提到,目前业界主流的人脸识别算法都具备了活体检测能力,之前常见的用一张照片、一段视频来完成刷脸的做法已经行不通。但对抗样本攻击针对的是算法模型底层的漏洞,完全不受活体检测限制。攻击者在脸上添加了局部扰动,导致算法产生了错误识别。

上述技术专家则用“受害人被诈骗分子诱导进行视频通话”的案件来举例表示,这种情况下,受害人很有可能被录制下指令动作的画面视频,或者诈骗分子直接基于储户的照片,通过合成软件伪造的动态视频。

“但伪造的视频不会直接拿手机平板放到摄像头前,按照正常流程通过人脸识别系统,而是使用某种黑客手段入侵了人脸识别的底层系统。比如通过劫持摄像头,让系统不启动摄像头,直接从底层注入提前准备好的动态视频,完全就能绕过活体检测。这种注入攻击是针对人脸识别系统的应用软件层面的安全漏洞。”他说。

这位技术专家表示,由于目前大多识别系统是用神经网络+大数据训练的方法实现,所以黑盒性和不可控性是一定存在的。他认为,技术方需要进一步提高对新型算法安全风险的研究水平。

储户、银行、人脸识别提供方,责任如何划分?

截至目前,上述遭遇盗刷的储户得到的法院判决均认定,银行没有明显过错,不承担责任。银行的技术提供方也认为,是储户先泄露隐私,才导致事件发生。但在储户看来,即便自己被诱骗交出了部分个人信息,也不应影响银行通过人脸识别验证出诈骗分子并非储户本人。

“既然人脸识别是银行所引进,而且往往是变相强制储户使用,一旦出现存款被骗,银行不承担任何责任显然也是有问题。完全让储户个人来当冤大头,既不公平,也无助于对犯罪的预防。”马琳说,“技术如果不够先进、不够完备,那就不应该投入使用,而不是已经造成各个方面的损失,然后现在又说银行的系统还在升级。系统不完备的损失谁来承担,不是银行来承担吗?虽然银行自己也是受害者,但是他改善系统的能力比储户大得多。”

在清律律师事务所首席合伙人熊定中看来,“银行不担责”的判决结果“不是很合理”。他认为,整个流程存在两个问题:人脸识别系统被攻破是银行的责任,而储户本身可能也存在手机被劫持的“防范不足”。从损失情况来看的话,应该是典型的双方过错,各自承担责任。

他解释道,整个流程中存在着两组关系,一组是储户和银行,另一组是技术提供方和银行。储户和银行之间,是银行提供了技术验证手段给储户,那么银行本身肯定要对于人脸识别的结果有足够的保证,如果特定的技术出了问题的话,责任当然是由银行承担。而技术提供方和银行之间,要取决于银行跟技术提供方的合同到底是如何约定的,“他们如何去解决这种因为技术使用导致的损失、如何约定责任的分担问题,这是他们之间的问题,跟储户没有关系。”

清华大学法学院教授劳东燕也有类似的看法。她认为,由于相应风险是银行引进人脸识别所导致,也就是银行参与了风险的创设。在法律上,谁创设风险,谁原则上就应当对风险现实化的结果承担责任。其次,银行在相关业务领域里获益最大,理应承担与获益相称的风险责任。再次,银行防范风险的能力更强,能力越强者责任越大。最后,从对犯罪的预防来看,只有让银行承担部分法律责任,才能倒逼其提高安全技术保障。

事实上,纵观银行使用的密码、U盾、手机验证码等用户安全措施,都有被攻破的案例,人脸识别也不例外。熊定中认为,使用人脸识别验证技术并没有放大原来就有的风险,只是“一个新的技术在使用过程中出现了问题”。

但广东人民时代律师事务所律师王胜生认为,一旦陷入技术崇拜的怪圈,并对技术进行强制推广,就会带来风险。“这是一种让技术的攻防在发展中共生共长,出现风险时又严重依赖技术防范的方案。唯独没有停下技术强制使用的想法,也没有停下人脸识别滥用的做法。”

劳东燕还提出,对于个人生物识别信息这类高度敏感的信息,有进行专项立法的必要性,并采取以公法保护为主的方式。在专项立法的规定中,需要明确数据处理者才应当是个人信息保护责任的主要承担者。

“在数据处理过程中,究竟是谁制造了相应的风险?”劳东燕说,“同时,谁是其中最大的获益方?肯定不可能是个人,而是作为数据处理者的科技企业与监管部门。”而从风险预防能力与风险预防效果来看,也应该将“鞭子“打到数据处理者身上。相应地,立法对人脸信息技术的规制重心,应当从知情同意机制转向数据处理者的合规义务体系。

王胜生则认为,要解决“人脸识别”这一技术带来的诸多问题,“立法”只是其中一个环节。“虽然现在人脸识别已经广泛普及,但是对及技术局限和风险的公共教育和学界讨论、对法律上的举证责任、举证能力、风险防范能力、司法公正的考量、对技术带来的社会权力的对比和分析,各个环节都是缺失的。”

在他看来,首先,技术公司需要持续披露和明确告知技术的真实情况,包括风险,使得大众对技术进行全面的认知;其次,大众和个体对强制和变相强制的技术适用应该拥有“说不的能力”,非法律的社会力量制衡途径需要存在;最后,方便适用的法律是否完备,司法公正性如何,才是最后一环的水波效应。

“或许微乎其微的举动不能影响人脸识别的大道其行,但也或许会带来温和的振动,促成一些良性的审慎的改观和发展。”他说。

]]>
《安联智库-网安周报》2022-07-24 Wed, 30 Nov 2022 16:23:54 +0800

1、美国电信巨头同意支付23.66亿和解数据泄露集体诉讼

7 月 23 日消息,据华尔街日报报道,当地时间周五,T-Mobile 在一份公告中披露,公司就一起与 2021 年盗取部分用户数据的网络攻击有关的集体诉讼达成和解协议。T-Mobile 同意支付 3.5 亿美元(约 23.66 亿元人民币)来处理集体诉讼原告的索赔,并支付其他相关费用。
了解到,T-Mobile 表示,将承诺再投入 1.5 亿美元(约 10.14 亿元人民币)用于数据安全和其他相关技术。
2、黑客以30000美元的价格提供540万个Twitter账户的详细信息

2022年初发现的一个Twitter安全漏洞被用来盗取540万用户的账户信息,黑客正在提供这套资料进行销售。现在出售的黑客数据来自2022年1月报告的一个漏洞。Twitter承认这是一个现实存在安全问题,并向发现者"zhirinovskiy"支付了5040美元的赏金。

黑客论坛上的卖家的用户名是'魔鬼',并声称该数据集包括'名人、公司等重要账号的数据。"我们联系了这个数据库的卖家,以收集更多信息,"Taylor说。"卖家为这个数据库至少要价3万美元,据卖家说,由于'Twitter的无能',这个数据库现在可以使用了。"

在Breach Forums的帖子中,有一个可用数据的样本。它似乎显示了可公开获得的Twitter个人资料信息,以及用于登录的电话号码和/或电子邮件地址,但它似乎并不包括密码。虽然它确实包含可用于Twitter"忘记密码"功能的电子邮件地址,但不良行为者必须单独获得该电子邮件账户的登录密码。

3、跨国巨头遭勒索软件攻击:所有工厂正常运转,所有业务离线进行

7月21日消息,德国建材巨头可耐福集团(Knauf Group)宣布已成网络攻击目标。其业务运营被攻击扰乱,迫使全球IT团队关闭了所有IT系统以隔离事件影响。

可耐福在网站主页上发布的简短公告写道,“我们目前正在努力减轻对我们的客户和合作伙伴的影响。所有工厂正常运转,所有业务离线进行。对于可能发生的交付过程中的任何不便或延迟,我们深表歉意。”

Black Basta宣布对事件负责

名为Black Basta的勒索软件团伙已经在其网站上发布公告,于7月16日将可耐福列为受害者。此举也相当于宣布对这次攻击负责。该勒索软件团伙还公布了一批数据,据称是攻击期间从可耐福处窃取到的全部文件中的20%。目前已经有超过350名访问者访问了这些文件。

4、知名GPS出现漏洞,可使黑客获得管理权限
漏洞研究人员发现了有关于GPS追踪器MiCODUS MV720的安全问题,该追踪器广泛应用在世界50强企业、欧洲政府、美国各州、南美军事机构和核电站运营商等,共计169个国家约150万车辆中。

此次发现MV720设备存在共有6个漏洞,侵入该设备的黑客可以利用它来追踪甚至定位使用该设备的车辆,也可以通过该设备收集有关路线的信息,并操纵数据。考虑到该设备的许多用户存在军政背景,黑客的攻击很有可能会影响国家安全。
例如,网络安全公司BitSight的研究人员在报告中指出,国有的乌克兰运输机构就使用了MiCODUS GPS追踪器,因此俄罗斯黑客可以针对它们来确定供应路线、部队动向或巡逻路线。

]]>
黑客以30000美元的价格提供540万个Twitter账户的详细信息 Wed, 30 Nov 2022 16:23:54 +0800 2022年初发现的一个Twitter安全漏洞被用来盗取540万用户的账户信息,黑客正在提供这套资料进行销售。与2021年8月受影响的4.78亿T-Mobile用户相比,540万用户的黑客攻击相比算是很小的。与同月晚些时候受影响的AT&T的7000万用户相比也不算大。

然而,现在出售的黑客数据来自2022年1月报告的一个漏洞。Twitter承认这是一个现实存在安全问题,并向发现者"zhirinovskiy"支付了5040美元的赏金。

正如HackerOne用户zhirinovskiy在1月的最初报告中所描述的那样,一个威胁者现在正在出售据称从这个漏洞中获得的数据,Restore Privacy的Sven Taylor说。"该帖子现在仍在叫卖,据称由540万用户组成的Twitter数据库正在出售。"

黑客论坛上的卖家的用户名是'魔鬼',并声称该数据集包括'名人、公司等重要账号的数据。"我们联系了这个数据库的卖家,以收集更多信息,"Taylor说。"卖家为这个数据库至少要价3万美元,据卖家说,由于'Twitter的无能',这个数据库现在可以使用了。"

卖家在网站Breach Forums上发布了关于这些数据的信息。该论坛的所有者已经核实了该泄漏的真实性。

在Breach Forums的帖子中,有一个可用数据的样本。它似乎显示了可公开获得的Twitter个人资料信息,以及用于登录的电话号码和/或电子邮件地址,但它似乎并不包括密码。虽然它确实包含可用于Twitter"忘记密码"功能的电子邮件地址,但不良行为者必须单独获得该电子邮件账户的登录密码。

因此,人们担心的不是用户账户会被坏人破坏,而是这些数据可能被卖给广告商利用。

Twitter还没有发表评论。

]]>
Uber承认掩盖2016年数据泄漏事件 向黑客支付10万美元比特币 Wed, 30 Nov 2022 16:23:54 +0800 作为和美国检察官达成和解以避免刑事指控的一部分,Uber 科技有限公司本周五表示愿意承担掩盖数据泄露事件的责任,该事件发生于 2016 年,有超过 5700 万乘客和司机的信息被泄露。检察官说,一位 Uber 前安全负责人向黑客支付价值 10 万美元的比特币以掩盖这一事件。

在签订的不起诉协议中,Uber 承认其工作人员未能向美国联邦贸易委员会报告 2016 年 11 月的黑客行为,尽管当时该机构正在调查这家网约车公司的数据安全性。

旧金山的美国检察官斯蒂芬妮·海因兹 (Stephanie Hinds) 表示,在任命了新的执行领导层之后,Uber 等了大约一年才报告违规行为,该领导层在道德和合规方面“从高层建立了强烈的基调”。

Hinds 表示,不对 Uber 提起刑事指控的决定反映了新管理层的迅速调查和披露,以及 Uber 与 FTC 于 2018 年达成的将全面隐私计划维持 20 年的协议。这家总部位于旧金山的公司还在配合起诉前安全主管约瑟夫·沙利文 (Joseph Sullivan),指控他涉嫌隐瞒黑客行为。

Uber 没有立即回应置评请求。

]]>
男子以应聘为由在12家公司装木马,窃取快递面单数据 Wed, 30 Nov 2022 16:23:54 +0800 “为什么骗子会知道我买了什么?”

“是谁泄露了我的快递信息?”

相信不少接到过

网购退款类诈骗电话的小伙伴们

有这样的疑问

如今,杭州萧山警方通过深入侦查

成功将幕后黑手揪了出来……

“窃单木马”

日前,杭州萧山警方

接到某电商公司报警救助

称有多名客户反映

接到快递理赔类诈骗电话、短信

怀疑公司发货面单信息被泄露

被盗走的快递面单信息多达65000余条

萧山警方对此高度重视

由网警大队联合刑侦大队以及相关派出所

成立专案组,第一时间开展调查

工作专班通过分析研判

发现一款疑似“打印机监视木马”的可疑软件

被人通过U盘拷贝至公司电脑

当公司打印面单等信息时

该软件会将信息同步上传至指定服务器

侦查员立即调取公司内部监控

发现几天前,有一陌生男子

进入公司并在公司电脑上进行操作

经研判明确该男子身份为王某某

其在金华义乌落脚

收网抓捕

调查显示,王某某短时间内

频繁出入杭州、金华等地的电商园区

存在连续作案的可能

迟一天抓捕

很可能就会有更多的单号被盗

导致大量受害人遭遇诈骗

专案组随即果断收网

在义乌一家小旅馆内将嫌疑人王某某抓获

当场查获作案手机9台

带有木马的U盘3个

经查,王某某平时游手好闲

在上网时被一诈骗团伙招募

并对其进行培训

王某某以应聘为幌子

混入电商公司仓库

趁人不备安装木马软件

窃取面单数据

从4月初开始

王某某先后在12家

电商公司仓库安装该木马软件

非法获利75000余元

目前,王某某已被萧山警方

依法采取刑事强制措施

相关案件正在进一步办理中

警方提醒:各电商企业注意!

案件虽已告破

但也暴露出一些企业存在管理漏洞

萧山警方第一时间协助相关企业

开展木马查杀

加强对电商企业网络数据安全排查

消除数据泄露隐患

并对潜在被诈骗对象

通过电话、短信等方式开展精准宣教

希望广大企业引以为戒

加强日常管理

防止此类案件再次发生

及时揪出嫌疑人

避免群众遭遇诈骗

助企纾困 弥补安全漏洞

为专案组点赞!

]]>
跨国巨头遭勒索软件攻击:所有工厂正常运转,所有业务离线进行 Wed, 30 Nov 2022 16:23:54 +0800 7月21日消息,德国建材巨头可耐福集团(Knauf Group)宣布已成网络攻击目标。其业务运营被攻击扰乱,迫使全球IT团队关闭了所有IT系统以隔离事件影响。

此次网络攻击发生在6月29日晚间。截至本文发布时,可耐福仍在开展取证调查、事件响应及补救工作。

可耐福在网站主页上发布的简短公告写道,“我们目前正在努力减轻对我们的客户和合作伙伴的影响。所有工厂正常运转,所有业务离线进行。对于可能发生的交付过程中的任何不便或延迟,我们深表歉意。”

根据外媒看到的邮件警告,作为攻击响应的一部分,可耐福的电子邮件系统已经关闭,目前业务通信主要依靠手机和Microsoft Teams。

可耐福是一家总部位于德国的跨国建筑材料生产商,在全球墙板市场上拥有约81%的份额。

可耐福在全球多个国家拥有150处生产基地,也是美国可耐福绝热材料公司及USG公司的所有者。

值得注意的是,可耐福绝热材料公司也在网站上发布了关于网络攻击的通知,可见其同样受到了影响。

Black Basta宣布对事件负责

虽然可耐福并未在公告中说明此次遭遇的具体攻击类型,但从事件持续时间、影响和IT系统的恢复难度来看,这恐怕是一起勒索软件攻击。

事实上,名为Black Basta的勒索软件团伙已经在其网站上发布公告,于7月16日将可耐福列为受害者。此举也相当于宣布对这次攻击负责。

该勒索软件团伙还公布了一批数据,据称是攻击期间从可耐福处窃取到的全部文件中的20%。目前已经有超过350名访问者访问了这些文件。

记者已经看到电子邮件通信、用户凭证、员工联络信息、生产文档及ID扫描件等样本。

既然没有公布所有失窃文件,看起来恶意团伙仍希望能通过谈判获取赎金。

Black Basta团伙的崛起之路

Black Basta勒索软件团伙在2022年4月首度开展RaaS攻击,并迅速凭借针对高调受害者的双重勒索行为闯下名号。

根据早期展现出的知识能力和谈判风格来看,不少安全专家认为Black Basta应该是Conti改头换面之后的新“马甲”。

到2022年6月,Black Basta开始与Qbot(QuakBot)合作传播其勒索软件,同时开始投放Cobalt Strike并协助在受害者网络内横向移动。

另外,这群恶意黑客还专门为自己的勒索软件制作了Linux版本,用于入侵运行在Linux服务器上的VMware ESXi虚拟机。

]]>
知名GPS出现漏洞,可使黑客获得管理权限 Wed, 30 Nov 2022 16:23:54 +0800 漏洞研究人员发现了有关于GPS追踪器MiCODUS MV720的安全问题,该追踪器广泛应用在世界50强企业、欧洲政府、美国各州、南美军事机构和核电站运营商等,共计169个国家约150万车辆中。

此次发现MV720设备存在共有6个漏洞,侵入该设备的黑客可以利用它来追踪甚至定位使用该设备的车辆,也可以通过该设备收集有关路线的信息,并操纵数据。考虑到该设备的许多用户存在军政背景,黑客的攻击很有可能会影响国家安全。

例如,网络安全公司BitSight的研究人员在报告中指出,国有的乌克兰运输机构就使用了MiCODUS GPS追踪器,因此俄罗斯黑客可以针对它们来确定供应路线、部队动向或巡逻路线。

 漏洞细节 

虽然不是所有BitSight发现的六个漏洞都获得了识别号,但各个漏洞的具体细节如下:

CVE-2022-2107:API服务器上的硬编码主密码,允许未经认证的远程攻击者获得对任何MV720追踪器的完全控制,执行切断燃料行动,追踪用户,并解除警报。(严重程度得分:9.8)

CVE-2022-2141: 破解的认证方案,允许任何人通过短信向GPS追踪器发送一些命令,并以管理员权限运行。(严重程度评分:9.8)

没有指定的CVE:所有MV720追踪器上的默认密码(123456)都很弱,没有强制规则要求用户在初始设备设置后进行更改。(严重程度高分:8.1)

CVE-2022-2199。反映在主网络服务器上的跨站脚本(XSS),允许攻击者访问用户账户,与应用程序互动,并查看该用户可访问的所有信息。(严重程度高分: 7.5)

CVE-2022-34150: 主网络服务器上不安全的直接对象引用,允许登录的用户访问服务器数据库中任何设备ID的数据。(严重程度高分: 7.1)

CVE-2022-33944: 主网络服务器上不安全的直接对象引用,允许未经认证的用户生成关于GPS跟踪器活动的Excel报告。(中等严重程度评分:6.5)

BitSight已经为获得识别号的五个缺陷开发了概念验证(PoCs)代码,并展示了它们如何在野外被利用。

 披露和修复 

BitSight在2021年9月9日发现了这些关键缺陷,并试图立即提醒MiCODUS,但遇到了困难,找不到合适的人接受安全报告。

2021年10月1日再次联系了GPS追踪器的中国供应商,但供应商拒绝提供安全或工程联系人。随后在11月试图联系该供应商,但没有得到回应。

最后,在2022年1月14日,BitSight与美国国土安全部分享了其发现的所有技术细节,并要求他们与该供应商接触。

目前,MiCODUS MV720 GPS追踪器仍然容易受到上述缺陷的影响,而且供应商还没有提供修复方案。因此,BitSight建议在修复方案出台前,使用MiCODUS MV720 GPS追踪器的用户应该立即禁用这些设备,并使用其他的GPS追踪器进行替代。继续使用MiCODUS MV720 GPS追踪器将是一个极端的安全风险,尤其是在这些漏洞被公开披露之后。

]]>
消息称推特被黑客入侵:540万账户的联系方式泄露 卖价20万元 Wed, 30 Nov 2022 16:23:54 +0800 7月22日消息,据9To5Mac报道,推特因安全漏洞被黑客入侵,共计 540 万个账户的联系方式泄露,推特官方已确认存在该安全漏洞。

报道称,泄露的540万个账户包括推特 ID 与其关联的电话号码和电子邮件信息,已在一个黑客论坛上出售,价格为3万美元(约20.28万元人民币)。

Restore Privacy报告称,这次泄露可能源于1月份发现的一个安全漏洞,该漏洞允许攻击者获取与推特账户关联的电话号码、电子邮件地址,即使用户在隐私设置中隐藏了这些字段,也可以被拿到。

黑客论坛的所有者验证了攻击的真实性,Restore Privacy 也对数据进行了检验,确认可以和推特的用户对应上。当 Restore Privacy 联系卖家后,被告知数据库的价格为 3 万美元。

报告称,攻击者很可能获得了现有的电话号码和电子邮件地址数据库,这些数据库是通过违反其他服务获得的,然后使用这些详细信息搜索到了相应的推特 ID。

目前尚没有办法检查自己是否在泄露的账户中,IT之家小伙伴最好注意一下收到的邮件和来电,不要轻易点击链接。

]]>
洛杉矶港每月遭受4000万次网络攻击:比疫情前翻了一倍 主要来自这两个地方 Wed, 30 Nov 2022 16:23:54 +0800 7月22日消息,作为西半球最繁忙的洛杉矶港,目前每月遭受约4000万次的网络攻击,这个数字相比新冠疫情之前增长了近一倍。海港每年运送数十亿美元的货物,这使其成为网络犯罪分子的重点目标。洛杉矶港的执行董事吉恩·塞罗卡表示,这些网络攻击主要来自欧洲和俄罗斯,目的是造成破坏以扰乱美国经济。

与联邦调查局合作

洛杉矶港现正与联邦调查局的网络犯罪小组合作,以防止网络攻击并改善网络安全。该港口开发的中心是世界上最早的网络弹性中心之一,这也是联邦调查局的一部分。

供应链阻塞

在新冠疫情期间,由于工厂关闭,工人被迫待在家里,全球供应链放缓。塞罗卡说,供应链的压力已经缓解,但要到2023年才能完全清理滞留的货物。

他还表示,过去两年已经证明,港口对美国的关键基础设施、供应链和经济发挥着至关重要的作用,因此,让信息系统尽可能安全至关重要。

]]>
美国电信巨头同意支付23.66亿和解数据泄露集体诉讼 Wed, 30 Nov 2022 16:23:54 +0800 7月23日消息,据华尔街日报报道,当地时间周五,T-Mobile 在一份公告中披露,公司就一起与 2021 年盗取部分用户数据的网络攻击有关的集体诉讼达成和解协议。

T-Mobile 同意支付 3.5 亿美元(约 23.66 亿元人民币)来处理集体诉讼原告的索赔,并支付其他相关费用。需要注意的是,这一和解方案仍待法院批准,T-Mobile 预计最快将于今年 12 月获得批准。

IT之家了解到,T-Mobile 表示,将承诺再投入 1.5 亿美元(约 10.14 亿元人民币)用于数据安全和其他相关技术。

据 T-Mobile 预计,第二财季将计入约 4 亿美元(约 27.04 亿元人民币)与此相关的税前支出。T-Mobile 称已将这笔支出和 1.5 亿美元(约 10.14 亿元人民币)的数据安全支出纳入之前的业绩预期。

]]>
全球工控系统面临“木马危机” Wed, 30 Nov 2022 16:23:54 +0800 继今年6月份Forescout在“冰瀑漏洞”工控安全报告中披露了10家OT供应商产品中的56个冰瀑漏洞后,工控安全态势急剧恶化,一种伪装成工控系统密码找回工具的木马软件正在“热销”。

根据Dragos本周发布的最新工控安全报告,伪装成工控系统可编程逻辑控制器(PLC)、人机界面(HMI)和项目文档密码破解器的恶意软件生态系统的雏形已经浮出水面,黑客在网上兜售大量工控系统设备的密码破解软件,宣称可以帮助忘记密码的工控系统工程人员找回系统设备密码,但这些软件实际上是木马软件,被安装后会加载僵尸病毒,将工控设备变成僵尸网络的一部分。

许多企业都会发生丢失工控设备密码的情况。例如,用于工厂、发电厂和其他工业环境中的流程自动化的可编程逻辑控制器(PLC)可能会在部署几年后就被“遗忘”了。当后来的工程师发现影响PLC的问题时,他们可能会发现最初负责的工程师在离开公司之前从未留下密码。于是急于解决问题的工程师们很可能上网搜索“密码破解程序”,结果导致工控系统开始表现异常。

根据安全公司Dragos的报告,如今整个恶意软件生态系统都试图利用工业设施内的此类问题和场景(找回密码)。例如下面这些宣称可破解PLC和人机界面密码的破解程序广告,表明此类恶意软件的销售似乎非常火爆

留神工控系统变成僵尸网络

Dagos最近进行了一次例行的漏洞评估,发现了一个宣称能破解DirectLogic 06(Automation Direct生产销售的PLC)密码的软件。经测试该软件确实能恢复目标PLC的密码,但不是通过破解密码的正常方法。相反,该软件利用了Automation Direct PLC中的一个零日漏洞,该漏洞暴露了密码。

“以前针对DirectLogic PLC的研究已经取得了成功的破解技术,”Dragos研究员Sam Hanson写道:“然而,Dragos发现这个漏洞并没有破解历史上流行的漏洞利用框架中所见的密码的加扰版本。相反,恶意软件释放器会将特定的字节序列发送到COM端口。”

该漏洞以及Hanson发现的另一个相关漏洞现已修复并被跟踪为CVE-2022-2033和CVE-2022-2004。后一个漏洞可以恢复密码并将其发送给远程黑客,其严重等级也提升至7.5(满分为10分)。

除了恢复密码,Hanson发现该恶意软件还会继续安装名为Sality的恶意软件,将被感染的系统变成僵尸网络的一部分,Sality还会每半秒监视受感染工作站的剪贴板,以获取与加密货币钱包地址相关的任何数据。

“入侵者会用自己的钱包地址替换剪贴板中的任何加密货币地址,”Hanson指出:“这种转账实时劫持是窃取加密货币的最有效的方法之一,并让我们更加确信攻击主要出于经济动机。”

除了Automation Direct之外,Hanson还发现黑客正在网上销售30多家其他品牌的工控系统软件的密码破解程序,包括:

Dragos仅测试了针对DirectLogic设备的恶意软件,但对其他一些样本的初步分析表明它们也包含恶意软件。

“总的来说,针对工控系统的恶意软件似乎已经形成了一个生态系统,”Hanson说:“已经有多个网站和社交媒体帐户都在宣称(和兜售)自己是工控设备密码'破解者'。”

这些不法帐户所暴露的工控系统恶意软件生态系统令人担忧,因为这对许多工业控制系统都构成了实质性的威胁。虽然Dragos分析的恶意软件背后的犯罪动机是为了钱财,但是工控恶意软件生态的扩散意味着更多黑客将能够破坏大坝、发电厂或类似设施,造成极为严重的后果。对于浮出水面的工控恶意软件生态系统,关键基础设施部门和企业尤其需要关注和警觉,制订有针对性的主动安全策略。

]]>
因遭遇大规模网络攻击,这个国家政务网络被迫关闭 Wed, 30 Nov 2022 16:23:54 +0800 7月18日消息,欧洲东南部国家阿尔巴尼亚(下文简称“阿国”)政府披露,该国在上周末遭遇大规模网络攻击。一次来自国外的大规模犯罪行动袭击了国家信息社会局(AKSHI)的服务器,该局负责处理大量政府服务。

阿尔巴尼亚国家信息社会局在一份声明中表示,“为了抵御这些前所未有的危险攻击,我们被迫关闭了政府系统,直至对方的攻击被解除。”

网络攻击发生之后,阿国政府服务在本周一全部关闭。

阿部长会议发布的新闻稿提到,“阿尔巴尼亚正遭受前所未有的大规模网络攻击。此次恶意网络攻击是同步进行的,来自境外。为了避免信息系统被破坏,国家信息社会局暂时关闭了在线服务及其他政府网站。”

大部分面向民众的服务项目被中断,只有部分重要服务(例如线上报税)仍在运行,原因是运行它们的服务器并未受到攻击覆盖。

阿国前总理及反对党领袖萨利·贝里沙(Sali Berisha)对政府的网络安全态势持批评态度。

他将崩溃事件归咎于政府的无能,而非俄罗斯,同时指出政府在社会局之内集中了太多政务服务。

贝里沙指责,“政府的几乎所有重要服务怎么会全部通过这一个网站来实现?在缺乏针对网络犯罪的专业警务制度的情况下,怎么可能选择这样的运营方式?”

微软Jones Group国际团队正在帮助社会局缓解攻击影响,并努力恢复系统运营。

去年12月,阿国总理埃迪·拉玛(Edi Rama)就曾经为国家政府数据库中个人记录的大量泄露而致歉。

当时泄露的记录包括约637000人的个人身份证号码、就业信息与工资数据。

2021年4月,在阿国议会选举之前,也曾发生一起导致国家数据库内身份证记录外泄的类似事件。

]]>
银行人脸识别系统被攻破:6次活检比对,近43万被盗走 Wed, 30 Nov 2022 16:23:54 +0800 李红(化名)万万没想到,诈骗人员从她的交通银行卡偷走近43万元,如入无人之境。

  要想从交通银行卡中转账,需要用户在手机银行App上进行人脸识别,并进行短信验证。李红陷入了诈骗分子的圈套,她的手机短信被拦截,手机号被设置了呼叫转移,令她的验证码落入他人手中,且无法接听银行的确认电话。

  更严重的是,“人脸识别”被攻破了。银行系统后台显示,在进行密码重置和大额转账时,“李红”进行了6次人脸识别比对,均显示“活检成功”。

  那几次人脸识别并不是身在北京的李红本人操作,登录者的IP地址显示在台湾。当李红本人登录手机银行时,卡里的钱已被悉数转走。她去派出所报案,警察很快认定她遭遇了电信诈骗,并立案侦查。

  既然不是本人操作,为何还能“活检成功”?李红怀疑交通银行人脸识别系统的安全性,并以“借记卡纠纷”为由将交通银行告上法庭,要求赔偿。

  2022年6月30日,北京市丰台区人民法院一审驳回了李红的全部诉求。她准备继续上诉。

  每个人只有一张脸,因其不易被仿冒,人脸识别被认为具有较高安全性,近年来被普遍适用于银行验证中,用来保障资金安全。但超出普通人认知的是,人脸具有唯一性的生物识别信息,是敏感个人信息,它裸露在无处不在的摄像头下,极易获得。在如今人脸识别系统并不成熟的情况下,用合成活动人脸骗过审核系统的案例屡见不鲜。

  长期关注个人信息保护的专家,都对人脸识别的滥用充满忧虑。清华大学法学院教授劳东燕指出,从制度框架的合理设定来考虑,制造更多风险、获取更多收益的一方,理应承担更多的风险与责任,“人脸识别是银行引进的,其是作为风险制造的参与方,通过这种方式银行也获益更多,应该承担和其所获收益成比例的风险责任”。

  她还指出,随着人工智能的发展,诈骗手段科技含量更高,银行应当与时俱进,使其安保技术超过犯罪手段的技术。如果银行因人脸识别技术存在的漏洞而相应承担责任,会有助于敦促银行堵住技术上的安全漏洞,对可能发生的诈骗犯罪起到预防作用。

  被骗42.9万元

  从接通电话那刻起,李红就陷入“协助破案”的迷局中。那是2021年6月19日上午10:30,电话那头自称“北京市公安局户政科陈杰警官”的人告诉李红,她的护照此前在哈尔滨涉嫌非法入境,让她向哈尔滨市公安局报案。对方轻易地报出了李红身份证号,这令她开始相信电话那头的“警官”。

  李红被转接给哈尔滨市公安局的“刘警官”。对方告诉她,她涉嫌“李燕反洗钱案”,并让她登录一个网站查看“公文”。李红用手机登录对方提供的网站后,发现在一张蓝底的“通缉公告”上,印着自己的身份证照片、身份证号等户籍信息。

  这令她陷入恐慌,因为在她平常的认知中,这些信息只有公安内部的人才能获得。接下来,她对“警官”的指挥百依百顺。按照指示,她从网站下载了“公安防护”软件和视频会议软件“瞩目”。

  “公安防护”是一款诈骗人员常用的“李鬼”手机软件,其设计模仿“国家反诈中心”,如果受害者在里面输入银行卡和密码,诈骗人员就可在后台获取这些信息。

  而“瞩目”虽然是普通的视频会议软件,但提供共享屏幕功能。在“刘警官”的要求下,李红通过“瞩目”,向对方共享了自己的手机屏幕,令其掌握了她安装的App种类信息,对方还通过这项功能远程操控她的手机,令她的手机号设置了呼叫转移,无法接收短信和电话。

  最容易被忽略的是“露脸”。对方告诉李红,为了验证她是本人操作,她要通过“瞩目”开启会议模式,于是李红的人脸信息轻易暴露在对方面前。这也成为对方实施诈骗的关键一环。

  李红始终没能挂断电话,“刘警官”故意令她与外界隔绝。下午13:46,按照要求,李红赶到交通银行北京长辛店支行,开设了一张借记卡。银行开卡记录显示,李红预留了自己的手机号,并允许借记卡通过“网上银行、手机银行、自助设备”三种方式转账,也允许这张卡进行境外取现和消费,但在其他功能中,她选择了“小额免密免签不开通”。

  这意味着,当她进行5万元以内的转账时,仍需要验证。此外,李红还设置了转账限额,每日只能累计转账5万元。

  在办理借记卡的过程中,交通银行向李红发放《北京市公安局防范电信诈骗安全提示单》。这份提示单中,载明了业务类型为“开通网银或手机银行”,并提示她可能存在有冒充公检法的人员,以打电话的方式告知她涉及案件,要求她向对方提供的账号转账,或是告知网银密码。李红在这份提示单上签字。

  李红刚刚办好的借记卡,这张卡就被诈骗人员所掌控了。银行后台显示,当天13:51,即李红开卡15分钟后,就有诈骗人员通过人脸识别验证,重置了李红的用户名和密码,登录了她的手机银行。但李红对此并不知情,她正按照“刘警官”的要求,为了“清查个人财产”,向卡转入所有积蓄,以及所有能够贷款获得的现金。

  交易记录显示,14:06至14:09,李红向这张卡转账5笔共计25万元,14:11和14:13,又分两笔转入5万元,此时李红卡内已有30万元。短短几分钟后,14:20诈骗人员就通过掌握的李红的手机银行,将这30万元转了出去。此后在14:30,李红又向卡内汇入12.9万元,这些钱在14:40被悉数转出。至此诈骗人员转走了李红42.9万元。

  诈骗人员掌握了李红的“人脸识别+动态密码”后,通过修改密码,登录了她的手机银行,此后便如入无人之境,即使李红设置了每日5万元转账限额,也在诈骗人员登录后被轻易修改,之后每笔大额转账也都通过“人脸识别+动态密码”验证通过。

  交通银行北京长辛店支行在法庭上回应称,“交易密码、动态密码以及辅助人脸识别的客户鉴别模式”符合监管要求,并且在李红转账过程中,银行对她进行了风险提示,包括通过运营商向她发送了短信密码、短信风险提示,以及在内部系统大数据分析发现异常后,拨打了李红的手机,对转账人身份及转账情况进行核实。

  但李红称,对于银行所称发送了22条短信密码及短信风险提示,她只收到了其中的11条,而银行的来电她并未接到。这背后的原因在于她的短信被诈骗人员拦截,电话也呼叫转移到了诈骗人员的手机上。

  银行提供的通话录音显示,在当天14:23,在诈骗人员正将李红银行卡中的30万元转出时,银行客服拨通李红预留的手机号,询问对方是否是李红本人、转账是否本人操作、收款人信息、与收款人的关系、转账的用途等,接电话的人均认可系本人操作,还称与收款人是朋友关系。

  下午16:00,李红察觉到“刘警官”的反常态度,她在16:39用自己的手机首次登录了手机银行,却发现钱已被盗刷,她意识到自己被骗,前往派出所报警,并联系银行挂失银行卡。

  银行出具的通话录音显示,当天17:08至17:25,银行三次拨通李红预留的手机号,接电话的人起先称自己是李红,认可办理过业务,否认办理银行卡挂失,但后来否认自己是李红,称客服“打错了”。

  蹊跷的“活检成功”

  民警追查到,2021年6月19日在13:51至14:42之间,李红手机银行登录者的IP地址在台湾,使用的设备是摩托罗拉XT1686,而当时李红在北京,她的手机型号是小米8。

  银行后台记录显示,李红的借记卡在6月19日那天共有7次操作涉及人脸识别,均显示识别成功通过,其中1次为借记卡申请,1次为登录密码重置,5次为大额转账,除了第一次不涉及活检,后6次操作“活检结果”均为成功。

  李红并未亲自操作,为何6次“活检结果”均为成功?李红的丈夫马跃(化名)在金融系统工作多年,他成为妻子起诉交通银行的代理人。他告诉《中国新闻周刊》,银行定下的“人脸识别+短信验证码”的验证模式,其本质目的在于确保由用户本人亲自操作转账,他妻子在完全不知情的情况下,被诈骗人员从账户中转走钱,银行应当承担保管不力的责任。

  “这就好比,本来约定需要我本人去银行才可以转账汇款,现在别人假冒我去银行,银行没有发现,那么造成的损失不应该由我完全承担。”他认为,银行与储户之间的关系是债权关系,银行受骗,不应让储户承担全部责任。

  李红以“借记卡纠纷”为案由起诉交通银行后,要求银行赔偿存款损失,但北京市丰台区人民法院一审驳回了她的诉求。

  法院认为,李红在42.9万元被盗过程中“过错明显”,交通银行作为指令付款方,已通过多个登录密码、验证码、人脸识别的合理方式识别使用人身份,未见存在明显的错误或过失。

  马跃认为,李红在北京刚办理了借记卡,紧接着IP地址在台湾的诈骗人员就能用不同的设备登录,并频繁操作大额转账,如此异常的操作,银行本应该识别出转账的非储户本人。

  李红的遭遇并非孤例。早在2020年10月,浙江的赵女士就遭遇了同样的骗局,她的经历曾经被杭州本地媒体报道。赵女士讲述,在与假冒警察的犯罪分子视频时,对方曾要求她做“张嘴”“眨眼”“摇头”等动作,疑似通过录像来骗过银行的人脸识别系统。

  联系上赵女士之后,马跃又联系到4名同样的受骗者,他们6人都遭遇了同样的诈骗套路,涉案金额超过200万元。

  这6名受害者都为女性,受骗时间最晚的在2021年10月。她们都生活在大都市,具备一定知识水平,多人具备研究生学历,还有人就是律师。

  交通银行的人脸识别服务商为北京眼神科技有限公司(下称“眼神科技公司”)。这家公司成立于2016年6月,其创始人、董事长兼CEO周军曾公开表示,其研究的“生物密码”,令“用户到哪里密码就跟随到哪里”“只有本人可用”。

  其官网介绍,眼神科技是业内较早将指纹识别、人脸识别、虹膜识别等生物识别技术引入金融行业的AI企业,在金融行业,其目前已服务于中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、邮储银行、招商银行、民生银行等近150家银行机构,客户覆盖率达80%,实现柜面内外应用、手机银行、自助银行、风控管理等金融业务场景的全面覆盖。

  2020年9月,眼神科技公司宣布中标交通银行人脸识别项目,向交通银行全行提供人脸识别产品,“在现金管理、支付结算及账户管理等业务场景中实现人脸活检及身份识别功能”。

  在2021年9月,李红和其他女性被诈骗报案后,交通银行曾公告停用过人脸识别。这不久,马跃就发现交通银行手机银行系统进行了改版升级。但在这年10月,仍有一名受害人的交通银行账户被假人脸攻破。

  目前,在交通银行手机银行用户协议中,人脸识别技术提供方仍是眼神科技公司,记者就此事联系了这家公司,但对方未给予答复。

  板子该打在谁身上?

  人脸识别系统被攻破,银行究竟有没有责任?浙江理工大学法政学院副教授郭兵告诉《中国新闻周刊》,在李红一案中,重点正是人脸识别系统被诈骗人员轻易攻破。

  郭兵长期关注人脸识别的安全性。他认为,李红的人脸信息有可能被诈骗人员仿造了,“诈骗人员掌握了她的人脸信息,通过技术手段可以生成动态的人脸信息”。他说,有一种人脸活化软件,可分析照片和视频中的人脸信息,生成一张可供人操控的“假人脸”,来骗过人脸识别软件。

  “我们的人脸识别技术不可能尽善尽美。”他提出,随着人工智能的发展,人脸识别软件和破解的活化软件都在发展,要谨防“道高一尺魔高一丈”。

  事实上,被广泛应用的人脸识别技术,其破解难度有时简单得出乎意料。郭兵说,2019年,浙江有几名小学生用照片破解了居民小区的快递柜,轻易取走他人的快递。而在2021年10月,清华大学的学生团队,仅用人脸照片就成功解锁了20款手机。

  “人脸的照片太容易获得了。”郭兵说,如果人脸识别系统用照片就能解锁,在遍布摄像头的当下,可能预示着巨大的隐患。

  “现在电信诈骗非常猖獗,盗用人脸信息的手段层出不穷,也给银行的人脸识别系统带来挑战。”郭兵说,近期学界也对活化软件展开了研究,“这都是釜底抽薪的手段”。

  他更担心的是,随着技术的发展,犯罪分子可能掌握了照片,就可“活化”出动态人脸,骗过人脸识别系统。

  银行的防护能力关系到储户的资金安全。郭兵认为,应当对银行的人脸识别系统提出更高的要求。

  在立法层面上,对人脸信息的保护正在逐步加强。在李红被诈骗几个月后,《个人信息保护法》正式生效,其中突出了作为敏感个人信息的生物识别信息的特别保护,规定“处理个人敏感信息应该进行更多的告知,包括相应的风险,以及应当取得个人的单独同意”。

  在清华大学法学院教授劳东燕看来,银行普遍存在变相强迫采集储户人脸信息的现象。她说,“至少就我个人的体会,去银行办理存款等业务,人脸识别都是在强制之下弄的,如果不同意采集人脸就办不了相应业务。”

  她告诉《中国新闻周刊》,尽管《个人信息保护法》强化了对人脸信息的保护,但这种强化其实只体现于征求同意的环节,其他地方和普通个人信息几乎没有差别,并没有在实质上抬高法律保护的门槛。

  所以,她坚持认为,全国人大及其常委会有必要考虑对生物识别信息进行单独立法,不应放在《个人信息保护法》的框架下来进行保护。

  她还提到,李红在银行办卡时被要求签署的《北京市公安局防范电信诈骗安全提示单》提示效果有限,“现在诈骗手段层出不穷,仅靠个人的警惕是很难防住的”。

  在她看来,这个提示单对防范各种诈骗无法起到实质性作用,当储户被诈骗后,反而有可能起到让银行转嫁责任的效果。

  “防范和打击犯罪,本应由国家、银行与相关单位承担主要责任,现在越来越多变相地转嫁到作为被害人的个人身上。”她指出,“过多地让弱者承担风险并不公平”。

  劳东燕认为,要防范此类诈骗犯罪,重要的是在制度框架层面重新来考虑合理分配风险的问题。她说,“风险跟责任有关,谁制造的风险原则上就应当由谁来承担。”

  她指出,人脸识别的推广和带来的风险,实际上是科技企业和银行制造的,在这其中,银行也比储户获得了更多科技带来的好处,“谁在其中获益最大,谁就应该承担与获益成比例的风险”。

  “另外,还应当考虑预防能力与预防效果方面的因素,将板子打在谁身上,预防效果是最好的呢?”在她看来,银行的预防能力比储户要强得多,如果由银行部分地或按比例地承担因人脸识别风险造成的损失,将有助于督促银行审慎采集与保护储户信息,加强人脸识别系统的安全技术保障。

  “银行对人脸信息的技术保障需要超过一般的犯罪手段,否则,银行就不应采集与使用储户的人脸信息。”她说。

]]>
美国一监控本国民众网曝光,“几乎可以追踪任何人” Wed, 30 Nov 2022 16:23:54 +0800 美国国内组织发布的一篇报告披露称,该国正对本国民众布下一张无形的网进行全方位监控。而此前不为大众所注意的幕后机构——美国移民和海关执法局(ICE)也遭到曝光。

美国乔治敦大学隐私与技术法律中心今年5月发布《美国的天罗地网:21世纪数据驱动下的驱逐》报告。经过两年调查,该中心发现ICE自2003年成立以来已成功建立了一个高效的监控网络,斥巨资拉网式收集大量美国居民的隐私数据,而且此举远远超出授权范围。

监控全美74%人口

“9·11”袭击事件后创建的ICE,被赋予打击恐怖主义和执行移民法的广泛权力。虽然ICE一直将自己定位为针对“犯罪外国人”的执法机构,但事实上,ICE跨越法律和道德界限,编织起庞大的监控系统。

除了利用各州和地方警察的资源,ICE还着手建立了来自执法部门之外的数据库,并大力投资追踪普通人群的项目。报告显示,2008年至2021年间,ICE花费约28亿美元进行新的监控、数据收集和数据共享计划,在监控项目上的年度支出在此期间增长近5倍,从每年约7100万美元飙升至约3.88亿美元。此外,ICE在地理定位提供商上花费了超13亿美元,在面部扫描等生物识别技术上也花费了约9600万美元,还有2.52亿美元用于访问国际公共安全和司法网络(Nlets)等关键政府数据库。

报告称,目前已知ICE掌握的权限可以访问高达74%美国人的驾照数据,跟踪城市中七成汽车的移动情况。就算搬入新家,74%的美国人一旦连接天然气、电力、电话或网络,ICE 就能第一时间自动获取其新地址。

“几乎可以追踪任何人”

乔治敦大学隐私与技术法律中心政策助理、研究报告的共同作者尼娜·王(音)表示:“ICE建立了一套全面的监控基础设施,能够随时追踪几乎任何人。该机构加强了几乎完全保密和不受惩罚的监控能力,避开了限制,可以在议员们的眼皮子底下行事。”

报告揭发ICE种种越线监控行为后,多个美国媒体也加入曝光行列。美国技术新闻网站《边缘》呼吁相关私营企业停止与ICE的合作,要求政府加强对此类合作的监管。美国《国会山报》还披露,疫情期间ICE开发了一款名为Smartlink的GPS手机软件用于追踪移民,并声称只是为了确保他们出席移民法庭的听证会,但该软件已经被用于大量没有犯罪记录和没有被拘留的移民身上,是否有其他隐蔽用途尚未可知。

三大渠道公然窃密

报告显示,ICE利用隐私法弱点,从三大渠道公然窃密,而美国联邦和州法律无力阻挡。

第一大渠道是直接要求美国各州车管局等州和地方官僚机构提供数据。有证据表明,ICE每年向各地车管所提出数百或数千个请求。1994年美国国会通过的一项保护驾驶员记录信息的联邦法律,未能考虑到联邦移民执法部门会主动侵犯司机们的隐私,致使ICE能顺利从车管所获取驾驶员数据。州一级的法律屏障则更为薄弱。

第二大渠道是通过政府数据库访问相关信息,同时购买人脸识别等服务协助分析相关数据。ICE部署的数据共享和数据收集程序,几乎获取到每个美国人的数据信息。与此同时,当ICE绕过城市和州颁布的庇护政策,从Nlets等政府数据库继续获取个人信息后,没有机构声称能对接下来的数据跟踪行为负责。

第三大渠道是从不受监管的数据代理人渠道收集公民公共设施使用记录及购买私营公司数据库。在针对公共设施使用记录数据的保护上,联邦隐私法和许多州的法律缺陷巨大。

报告显示,联邦现有的隐私法仅在银行等金融机构使用等有限情况下保护消费者信息,而绝大多数州未能采取有意义的隐私保护措施来限制向执法部门发布公用事业客户信息。例如,加利福尼亚州虽然立法禁止相关公司销售客户数据,但它并不能防止这些公司出于信用评估和其他目的向全国性的电信与公共事业信息交换中心(NCTUE)等公司免费共享客户信息。一旦信用检查结束,NCTUE就有权将其客户信息转售给如ICE等第三方。由此,ICE成功绕过法律限制,向私营公司数据库购买大量相关信息。

或许还有类似情况

某网络安全行业专业人士表示,“美国政府是名副其实的 ‘黑客帝国’‘窃密帝国’,它不但无差别地对全球实施网络攻击获取情报,而且对本国民众也同样实施全方位监控措施。”

该人士表示,美政府以“国家安全”的名义无视规则、突破底线的“双标”霸权行径非一日之功,在商业利益和“国家安全”这两大驱动力之下,ICE已经构建成型的庞大监控网络何时能被有效控制还未可知,类似ICE这样公然越权滥用公民个人隐私数据的“隐形”政府机构到底还有多少也是一个“细思极恐”的问题,“对内虎视眈眈,长期以非法手段监控美国公民,对外长臂管辖,辅以多方窃密和网络攻击,美政府编造的‘国家安全’种种说辞正一个接着一个被世人识破,成为美国谋求霸权最显著的政治注脚。”

]]>
《安联智库-网安周报》2022-07-17 Wed, 30 Nov 2022 16:23:54 +0800

1、联想超70款笔记本电脑被曝新型UEFI固件漏洞

据Bleeping Computer网站7月13日消息,由联想生产的超70款笔记本电脑正受三个 UEFI 固件缓冲区溢出漏洞的影响,这些漏洞能让攻击者劫持Windows系统并执行任意代码。
据悉,这三个漏洞由安全软件公司ESET的分析师发现,并已经将其报告给了联想。根据联想的披露,这三个中等严重级别的漏洞分别为CVE-2022-1890、CVE-2022-1891 和 CVE-2022-1892。其中第一个为联想部分笔记本产品使用的ReadyBootDxe驱动的问题,后两个是SystemLoadDefaultDxe驱动的缓冲区溢出漏洞,该驱动被用于Yoga、IdeaPad、Flex、ThinkBook、V14、V15、V130、Slim、S145、S540 和 S940 等70多款电脑型号。
总体而言,利用UEFI 固件漏洞的攻击非常危险,能让攻击者在操作系统刚启动时运行恶意软件,甚至在 Windows 内置安全保护被激活之前,从而绕过或禁用操作系统级别的安全保护、逃避检测,并且即使在磁盘格式化后仍然存在。对于一些经验丰富的攻击者,能够利用这些漏洞执行任意代码,对设备系统产生难以预估的影响。
为了解决这一风险,官方建议受影响设备的用户通过官网下载适用于其产品的最新驱动程序版本。
2、遭勒索软件攻击,美190万条医疗记录被泄露

近日,美国一家收债员专业金融公司 (PFC) 报告了一起数据泄露事件,该事件影响了美650 家不同医疗提供商和191万患者的数据。这是一家总部位于科罗拉多州的为医疗保健公司追讨未偿债务的公司,该公司表示,未经授权的入侵者访问了个人数据,包括姓名、地址、欠款以及有关账户付款的信息,甚至一些用户的社会安全号码、出生日期、健康保险和医疗信息也被曝光。

据一份声明中承认了入侵者通过进入系统文件访问了某些包含个人信息的文件,有1,918,841人受到了此次勒索攻击的影响。这也是截至目前今年的第二大受网络攻击影响的医疗事件。

3、甘肃回应“健康码系统访问异常”:升级维护,正在紧急修复

7月16日,甘肃省新冠肺炎疫情联防联控领导小组办公室发布通告:经过紧急修复,甘肃健康码系统现已恢复正常访问。此前公告称,为确保甘肃健康码系统持续稳定运行,系统正在进行升级维护,可能导致部分用户访问异常,技术部门正紧急修复。

4、轻信“无门槛开店” 8000多人被骗1.4亿元“辅导费”

江苏省南京市公安局近日披露一起涉案金额高达1.4亿元的新型网络诈骗案。涉案团伙以“无门槛开店”为诱饵广撒网,继而以辅导开店之名诈骗“辅导费”,甚至还与被害人签合同。警方抽样调查2000多名被害人,仅1人意识到这是诈骗并报警。

据南京市公安局披露的信息,这一团伙以公司化模式运营,下设4个分公司,公司内部又设有推广、销售、教学、运营等部门。涉案团伙先以“无门槛开店”在各网络平台进行推广,吸引被害人在其网站开店,然后再以辅导开店为由,诈骗“辅导费”。“一对一”辅导套餐分白银、黄金、钻石、皇冠等4个等级,价格从4580元至12880元不等。

南京警方介绍,此案作案手段隐蔽,各环节环环相扣,涉案团伙甚至还会与被害人签订制式合同。涉案交易流水达1.4亿元,涉及全国各地被害人共计8000多名。警方抽样调查其中2000多人,发现仅有1人意识到这是诈骗并报警。

]]>
轻信“无门槛开店” 8000多人被骗1.4亿元“辅导费” Wed, 30 Nov 2022 16:23:54 +0800 江苏省南京市公安局近日披露一起涉案金额高达1.4亿元的新型网络诈骗案。涉案团伙以“无门槛开店”为诱饵广撒网,继而以辅导开店之名诈骗“辅导费”,甚至还与被害人签合同。警方抽样调查2000多名被害人,仅1人意识到这是诈骗并报警。

据南京市公安局披露的信息,这一团伙以公司化模式运营,下设4个分公司,公司内部又设有推广、销售、教学、运营等部门。涉案团伙先以“无门槛开店”在各网络平台进行推广,吸引被害人在其网站开店,然后再以辅导开店为由,诈骗“辅导费”。“一对一”辅导套餐分白银、黄金、钻石、皇冠等4个等级,价格从4580元至12880元不等。

案件告破后,犯罪嫌疑人交代,公司所谓的金牌教师只有初、高中文化,他们向被害人展示的成功案例也是伪造的。被害人在网上开设的店铺最终多以退店、封店收场。

南京警方介绍,此案作案手段隐蔽,各环节环环相扣,涉案团伙甚至还会与被害人签订制式合同。涉案交易流水达1.4亿元,涉及全国各地被害人共计8000多名。警方抽样调查其中2000多人,发现仅有1人意识到这是诈骗并报警。

今年5月12日,南京警方出动800多名警力,将这个涉案团伙彻底摧毁,抓获犯罪嫌疑人450多人。目前,团伙主要犯罪嫌疑人已被批准逮捕,案件已移交检察机关办理。

]]>
甘肃回应“健康码系统访问异常”:升级维护,正在紧急修复 Wed, 30 Nov 2022 16:23:54 +0800 7月16日,甘肃省新冠肺炎疫情联防联控领导小组办公室发布通告:经过紧急修复,甘肃健康码系统现已恢复正常访问。此前公告称,为确保甘肃健康码系统持续稳定运行,系统正在进行升级维护,可能导致部分用户访问异常,技术部门正紧急修复。

]]>
赶紧自查,AMD和Intel CPU又曝新漏洞 Wed, 30 Nov 2022 16:23:54 +0800 近日,苏黎世联邦理工学院研究人员 Johannes Wikner 和 Kaveh Razavi发现了一个影响众多旧 AMD 和 Intel 微处理器的漏洞,该漏洞可能绕过当前的防御并导致基于 Spectre 的推测执行攻击。

漏洞编号为CVE-2022-29900 (AMD) 和 CVE-2022-29901 (Intel),安全人员将这些问题称为 Retbleed。在将该漏洞信息上报AMD和Intel后,这两大芯片巨头已经发布了相关的缓解措施,并督促用户进行安全更新。

Retbleed是利用分支目标注入来泄漏信息的推测执行攻击系列的新成员,我们称之为 Spectre-BTI(CVE-2017-5715 或 Spectre-V2)。该攻击利用推测执行优化技术的副作用,通过时序侧通道来欺骗程序访问其内存空间中的任意位置并泄漏私人信息。

推测执行试图通过预测接下来将执行哪条指令,来填充程序的指令流水线以获得性能提升,同时如果猜测结果错误,也会撤消执行结果。Spectre系列攻击正式利用了这一漏洞,这些错误执行的指令(错误预测的结果)必然会在缓存中留下执行痕迹,从而导致流氓程序可以欺骗处理器执行错误的代码路径,和推断与受害者有关的秘密数据。

换句话说,Spectre 是瞬态执行攻击的一个实例,它依靠硬件设计缺陷来“影响”哪些指令序列被推测执行,并从受害者的内存地址空间中泄露加密密钥或密码。虽然已经设计了像Retpoline(又名“return trampoline”)这样的保护措施来防止分支目标注入 (BTI),但 Retbleed 旨在绕过这种对策并实现推测性代码执行。

 AMD 和英特尔CPU 

安全人员称,Retpolines是通过替换间接跳转和返回调用来工作。Retbleed旨在劫持内核中的返回指令,以在内核上下文中获得任意推测性代码执行。通过在受害者返回指令处对寄存器和/或内存进行充分控制,攻击者可以泄漏任意内核数据。

简而言之,其核心逻辑是将返回指令视为用于推测执行的攻击向量,并强制将返回作为间接分支进行预测,从而有效地撤消 Retpoline 提供的保护。为了强化安全,AMD引入了所谓的Jmp2Ret,而英特尔则是使用增强的间接分支限制推测 ( eIBRS ) 来解决潜在的漏洞,即使 Retpoline 缓解措施。

英特尔在安全报告中强调,由于Windows 操作系统默认使用 IBRS,因此不受该漏洞的影响,自然也就不需要更新。目前英特尔与 Linux 社区合作,为该缺陷提供可用的软件更新。

]]>
遭受大规模DDOS 攻击,立陶宛能源公司业务被迫中断 Wed, 30 Nov 2022 16:23:54 +0800 近期,立陶宛能源公司Ignitis Group遭受了十年来最大的网络攻击,大量分布式拒绝服务 (DDoS) 攻击破坏了其数字服务和网站。随后,亲俄罗斯的黑客组织Killnet在其Telegram频道表示对此次攻击负责,这也是该组织在立陶宛发起的一系列攻击中的最新一次,原因是该国在与俄罗斯的战争中支持乌克兰。

7月9日,Ignitis Group在其Facebook上发布了一篇帖子,在帖子中,该企业表示,它已经能够管理和限制攻击对其系统的影响,并且没有记录任何违规行为。然而,该帖子还透露,针对其发动的DDoS攻击仍在进行中。 该国国防部副部长在立陶宛电台发表讲话时警告不要过度关注此类网络攻击。他认为,他们的主要目标是寻求媒体报道并推动该地区的紧张局势。在采访中,Margiris Abukevicius 表示,“我们需要了解,媒体报道是这些攻击的一个非常重要的部分。如果我们不谈论他们,对方就会失去动力。当我们谈论所谓的胜利,所谓的对立陶宛的惩罚时,它就会激励这些组织并且给他们带来攻击动力。”

自6月下旬立陶宛开始对运往波罗的海沿岸的俄罗斯飞地加里宁格勒的货物实施欧盟制裁以来,立陶宛的机构和企业遭受了广泛的网络攻击。Ignitis Group 是波罗的海国家最大的能源公司之一。 它在立陶宛、拉脱维亚、爱沙尼亚、波兰和芬兰开展业务,其核心业务包括发电和供热、电力和天然气贸易和分销。该集团的公司为大约160万商业和私人客户提供电力和天然气。

Ignitis Group 在新闻稿中表示,它正在与主管当局合作,并继续努力确保其网站和数字服务的可访问性。Ignitis Group业务负责人Edvinas Kerza说:“我们当前的首要任务是确保客户使用的集团网站和系统正常运行。工程完成后,我们将立即评估如何改进我们的流程并进一步加强系统,以便即使在如此大规模的攻击下,也能尽可能少地中断操作。”

]]>
联想超70款笔记本电脑被曝新型UEFI固件漏洞 Wed, 30 Nov 2022 16:23:54 +0800 据Bleeping Computer网站7月13日消息,由联想生产的超70款笔记本电脑正受三个 UEFI 固件缓冲区溢出漏洞的影响,这些漏洞能让攻击者劫持Windows系统并执行任意代码。

据悉,这三个漏洞由安全软件公司ESET的分析师发现,并已经将其报告给了联想。根据联想的披露,这三个中等严重级别的漏洞分别为CVE-2022-1890、CVE-2022-1891 和 CVE-2022-1892。其中第一个为联想部分笔记本产品使用的ReadyBootDxe驱动的问题,后两个是SystemLoadDefaultDxe驱动的缓冲区溢出漏洞,该驱动被用于Yoga、IdeaPad、Flex、ThinkBook、V14、V15、V130、Slim、S145、S540 和 S940 等70多款电脑型号。

ESET的分析师表示,这些漏洞是由于传递给 UEFI 运行时服务函数 GetVariable 的 DataSize 参数验证不充分引起,攻击者可以创建一个特制的 NVRAM 变量,导致第二个 GetVariable 调用中数据缓冲区的缓冲区溢出。

总体而言,利用UEFI 固件漏洞的攻击非常危险,能让攻击者在操作系统刚启动时运行恶意软件,甚至在 Windows 内置安全保护被激活之前,从而绕过或禁用操作系统级别的安全保护、逃避检测,并且即使在磁盘格式化后仍然存在。对于一些经验丰富的攻击者,能够利用这些漏洞执行任意代码,对设备系统产生难以预估的影响。

为了解决这一风险,官方建议受影响设备的用户通过官网下载适用于其产品的最新驱动程序版本。

]]>
遭勒索软件攻击,美190万条医疗记录被泄露 Wed, 30 Nov 2022 16:23:54 +0800 近日,美国一家收债员专业金融公司 (PFC) 报告了一起数据泄露事件,该事件影响了美650 家不同医疗提供商和191万患者的数据。这是一家总部位于科罗拉多州的为医疗保健公司追讨未偿债务的公司,该公司表示,未经授权的入侵者访问了个人数据,包括姓名、地址、欠款以及有关账户付款的信息,甚至一些用户的社会安全号码、出生日期、健康保险和医疗信息也被曝光。

该公司在2月26日就发现了勒索软件攻击,虽然它聘请了专家,并通知了执法部门,但直到5月初才通知医疗服务提供商。随后PFC在一份声明中承认了入侵者通过进入系统文件访问了某些包含个人信息的文件。虽然该声明没有披露受数据泄露影响的个人信息数量,但卫生与公众服务部 (DHHS) 网站上的一份清单显示,有1,918,841人受到了此次勒索攻击的影响。不过PFC表示正在联系可能受到此次勒索攻击影响的个人,并将为他们提供免费的信用监控。

目前该部门目前正在调查这起事件,这也是截至目前今年的第二大受网络攻击影响的医疗事件。而第一个是Shields Health Care Group在5月报告的200万条记录被泄露。据DHHS 称,那次攻击可能影响了近200万条记录。

安全公司Egnyte的网络安全宣传总监 Neil Jones 警告说:“尽管目前没有证据表明被泄露的信息已被恶意使用,但攻击者等待合适的时机将被泄露的数据发布到网络上的情况并不少见。” 根据HIPAA Journal本月早些时候从DHHS 办公室收集的数据,自2011年以来,医疗违规事件一直在稳步上升。2011年,超过500次的违规记录达到199家。去年,这一数字达到了714家。

]]>
PFC承认遭勒索软件攻击 191万患者信息被泄露 Wed, 30 Nov 2022 16:23:54 +0800 PFC(Professional Finance Company,Inc.)是一家总部位于美国科罗拉多州的债务催收公司,和“数千家”机构合作处理客户和病人的未付账单和未偿余额。在 7 月 1 日,官方发布新闻稿承认过去数月持续遭到勒索软件,最早可以追溯到今年 2 月。

PFC 虽然在美国的知名度并不高,但它服务于数百家美国医院和医疗机构,因此本次勒索攻击可能成为今年美国历史上最大规模的私人和健康信息泄露事件。

PFC 表示本次数据泄漏将影响 650 家医疗提供商,黑客获取了患者名称、家庭住址、尚未偿还的结算金额和其他金融信息。PFC 表示部分数据还涉及患者的出生日期、身份证号码、医疗保险、药物救治等信息。

在提交给美国卫生与公众服务部的文件中,PFC 确认本次勒索软件攻击至少影响了 191 万患者。至少两家采用 PFC 系统的医疗机构出现了数据泄露,位于美国 Delaware 的 Bayhealth Medical Center 有 17481 名患者数据泄漏,在 Texas 的 Bayhealth Medical Center 有 1159 名患者信息被泄漏。

包括 TechCrunch 在内的多家媒体尝试联系 PFC 的首席执行官 Michael Shoop,但是均未得到恢复。公司总顾问 Nick Prola 出面回答了诸多媒体的询问,但是回答都是公文化的,并拒绝回答媒体的指定问题。这些问题包括公司在今年 2 月就已发现,为何在过去 4 个月时间里并没有通知受到影响的医疗服务提供商,以及被窃取的数据是否经过加密。

]]>
RollingPWN漏洞曝光:黑客可远程解锁和启动多款本田车型 Wed, 30 Nov 2022 16:23:54 +0800 研究人员近日发现了一个高危漏洞,允许黑客远程解锁和启动多款本田(Honda)车型。目前本田旗下 10 款最受欢迎的车型均受到了影响。更糟糕的是,研究人员调查认为从 2012 到 2022 年发售的所有车型可能都存在这个漏洞。

这个漏洞被安全研究人员称之为“RollingPWN”,主要利用本田的无钥匙进入系统的一个组件。目前本田的进入系统依赖于滚动代码模型,每次所有者按下 fob 按钮时都会创建一个新的进入代码。

在新进入代码创建之后,理论上此前创建的代码应该弃用以防止重放攻击。不过研究人员 Kevin26000 和 Wesley Li 发现旧代码可以回滚并用于获取对车辆的不必要访问权限。

研究人员对 2012-2022 年发售的多款本田车型进行了测试,均发现了这个漏洞。目前经过测试,已经确认受到影响的车辆型号包括

Honda Civic 2012

Honda XR-V 2018

Honda CR-V 2020

Honda Accord 2020

Honda Odyssey 2020

Honda Inspire 2021

Honda Fit 2022

Honda Civic 2022

Honda VE-1 2022

Honda Breeze 2022

根据漏洞影响车型列表和成功测试情况,Kevin26000 和 Li 坚信该漏洞可能会影响所有本田汽车,而不仅仅是上面列出的前十个。

为漏洞提供修复可能与漏洞利用本身一样复杂。本田可以通过无线 (OTA) 固件更新修复该漏洞,但许多受影响的汽车不提供 OTA 支持。更大的潜在受影响车辆池使得召回情况不太可能发生。

目前,Kevin26000 和 Li 正怀疑该漏洞是否也存在于其他车企的车辆型号中。

]]>
万代南梦宫成勒索软件攻击对象 Wed, 30 Nov 2022 16:23:54 +0800 《艾尔登法环》发行商万代南梦宫成为勒索软件攻击对象。根据自称是互联网上最大的恶意软件源代码、样本和论文集的vx-underground,ALPHV勒索软件组织声称已经勒索了万代南梦宫。

vx-underground发推说:“ALPHV勒索软件组织(也称为BlackCat)称已经勒索了万代。万代是一家国际电子游戏发行商,旗下游戏系列有《皇牌空战》《黑暗之魂》《龙珠》《刀魂》以及更多。”

勒索软件是网络犯罪分子用来向受害者勒索金钱的一种恶意软件。犯罪者通常会通过加密受害者的文件并威胁说除非支付赎金,否则将公开释放这些文件,从而阻止受害者访问自己的数据。

《赛博朋克》《巫师》发行商CDPR去年也遭到了勒索软件攻击,据报道当时的勒索软件叫HelloKitty。CDPR被偷取的数据2021年6月泄露在网络上,包括《赛博朋克2077》《巫师3》的源代码,可能还有员工信息。

此外EA去年也遭到了勒索软件攻击,当时黑客偷取了《FIFA 21》和公司寒霜引擎的源代码。

]]>
WPS被曝删除用户文件 律师:不认为有正规企业会这么做 Wed, 30 Nov 2022 16:23:54 +0800 7月11日下午,有网友爆料称金山旗下办公软件WPS存在删除用户本地文档的情况,引发网络热议,不过金山及WPS官方都已经否认,指出这是讹传。

金山表示,“近期一位用户分享的在线文档链接,涉嫌违规,我们(WPS)依法禁止了他人访问该链接。此事被讹传为‘WPS删除用户本地文件’。关于删除用户本地文件的说法纯属误导,我们将保留通过法律途径维护合法利益的权利。”

WPS也通过官微表示,“删除用户本地文件”的说法属于讹传。近期一位用户分享的在线文档链接涉嫌违规,WPS依法禁止了他人访问该链接。

WPS作为一个发展了30多年的办公软件,始终把用户体验和保护用户隐私放在第一位。关于删除用户本地文件的说法纯属误导,我们将保留通过法律途径维护合法利益的权利。

不过爆料WPS删除用户文件的网友@“米兔只想赚钱”在界面新闻的采访中又表示自己从未说过本地文件被删,只是被封锁,无法打开。

WPS被曝删除用户文件 律师:不认为有正规企业会这么做

那WPS软件是否真的会删除用户文件呢?对于这件事,界面新闻报道称,上海申伦律师事务所夏海龙律师给出了他的看法。

夏律师表示,根据WPS的声明,他们只会审查用户上传到云平台的文档,而不会审查本地文件。假如WPS真的审查了用户的本地文档,很明显侵害了用户的隐私权,因为文档中一定有一些属于用户个人的、不想公开的信息内容,此外也有可能会侵犯用户的商业秘密。

夏律师表示,“我倾向于不会有正规软件企业去做这样的事,因为(不做的话则)WPS完全不需要对用户个人电脑中的内容承担任何法律义务和风险,这也属于明显突破网络服务业底线的事情。”

]]>
《安联智库-网安周报》2022-07-10 Wed, 30 Nov 2022 16:23:54 +0800

1、连锁酒店巨头万豪证实其发生又一起数据泄露事件

酒店集团万豪国际集团已经证实了另一起数据泄露事件,黑客们声称窃取了20GB的敏感数据--包括客人的信用卡信息。该事件首先由Databreaches.net报道,据说发生在6月,一个不知名的黑客组织宣称他们利用社会工程欺骗马里兰州一家万豪酒店的员工以让他们进入他们的电脑。
“万豪国际知道有一个威胁者利用社会工程骗取了一家万豪酒店的一名员工,以让他访问了该员工的电脑,”万豪发言人Melissa Froehlich Flood在一份声明中告诉TechCrunch,“(不过)该威胁者没有进入万豪的核心网络。”万豪表示,在威胁者联系公司进行敲诈之前,连锁酒店已经发现并正在调查这一事件,万豪表示它没有支付这笔钱。
声称对这次攻击负责的组织称,被盗的数据包括客人的信用卡信息及客人和员工的机密信息。提供给Databreaches.net的数据样本据称显示了从2022年1月开始的航空公司机组成员的预订记录和客人的姓名和其他细节以及用于预订的信用卡信息。
这并不是万豪第一次遭遇重大数据泄露事件。2014年,黑客入侵该连锁酒店并获取了全球近3.4亿条客人记录--这一事件直到2018年9月才被发现并导致英国信息专员办公室处以1440万英镑的罚款。2020年1月,万豪在一次单独的事件中再次被黑,该次事件影响了约520万名客人。
2、银行卡突然多出1.9万一看是贷款 央视提醒:新型诈骗需谨慎

天不会掉馅饼,而银行卡里可能真的会多出一笔钱!可相信这种好事,很容易就掉进了诈骗的陷阱里。据@央视网报道,近日,上海青浦区的李女士来到银行网点,要求给一个人账户转账19000元,原因是对方转错钱了,自己的卡上多了19000元,要还给对方。

出于职业本能,银行工作人员仔细查看了这笔钱的由来,发现是一笔贷款,并且贷款人的信息就是李女士本人!

不看不知道,一看吓一跳,于是银行工作人员决定立即报警。

警方了解到,原来李女士在网上购物后,接到“客服”电话,称多收了李女士的钱,要返还给她,于是获悉了李女士个人的身份信息,包括银行卡号和身份证号。诈骗人员进而利用李女士的个人信息,在相关软件上办理的贷款,等钱到账后,便联系到李女士,谎称打错了,要求其退还,进而将李女士本身的钱骗走。

好在银行工作人员发现了不对,并及时报警,李女士才没被诈骗,目前该案正在进行进一步调查中。最后提醒大家,保护好个人身份及银行卡信息,接到类似的退款电话时一定要多留个心眼,谨防这种诈骗行为。

3、因员工将密码设为“123456”,AMD 被盗 450Gb 数据?

现实告诉我们,很多情况下生活会比段子还离谱得多:因员工将密码设成“123456”,导致公司泄露了 450Gb 数据——这一听起来就很“离奇”的事情,居然真实发生在了芯片巨头 AMD 的身上。

据 RansomHouse 表示,早在 2022 年 1 月它就已成功入侵 AMD 的内部网络,窃取了“超过 450 Gb”的数据。为此,RansomHouse 还发布了一个数据样本作为证据,其中包括网络文件、系统信息和弱密码文档:

RansomHouse 在其网站上写道:“这是一个高科技、进步和高度安全的时代,这句话对人们来说意义重大。但是当像 AMD 这样的科技巨头使用简单密码,如用‘password’来保护其网络不被入侵时,这句话似乎仍只停留在表面的美丽。很遗憾的是,这就是 AMD 员工使用的真实密码,对 AMD 安全部门来说更是丢脸,由于我们窃取的文件,他们还得到了一大笔建设资金——这一切都归功于这些弱密码。”

AMD根据此事件进行了回应:“AMD 知道有不法分子声称拥有从 AMD 窃取的数据,目前正在进行调查。”但有关是否被要求交付赎金、哪些系统已成为目标、客户数据是否被访问、是否设置了密码安全措施等提问,AMD 一律拒绝回答。

4、日本突发大规模通信故障!影响近4000万人

据央视报道,7月2日凌晨起,日本第二大移动运营商KDDI因设备问题突发通信故障,影响全国近4000万用户。

故障发生后,KDDI用户的手机均显示没有信号,无法接打通话,手机上网也时好时坏。日本消防厅等有关部门呼吁,受影响用户可使用固定电话或公用电话求助,而KDDI门店一度涌入了大量求助用户。

同时,日本全国约1300个气象观测点有接近四成瘫痪,在台风逐渐逼近的情况下引发不小恐慌。此外,部分银行自动取款机、公交乘车卡、丰田等车企部分车联网服务,也都无法使用;铁路货运物流信息系统更新迟滞,快递普遍延误。

一直到7月3日中午12时左右,故障才得到解决,持续超过36个小时,而且通信量依然限流,全面恢复时间待定。

KDDI是日本第二大移动运营商,旗下手机用户约3100万人,再加上租用其线路的其他运营商,这次故障影响的用户数量最多3915万人。去年10月,日本最大移动运营商NTT也曾发生通信故障,大约100万人受到影响,持续长达29个小时。

]]>
5G容易遭受对抗性攻击:可拖慢手机网速甚至断网 Wed, 30 Nov 2022 16:23:54 +0800 7月8日消息,本周发表的一篇研究论文,对5G网络的安全保护能力提出了质疑。

位于欧洲中部的列支敦士登大学的学术研究人员称,只需利用一种极为简单的网络干扰策略,恶意黑客就能在毫不知晓内部情况的情况下破坏5G网络的流量,即便对方部署了先进防御措施。该研究团队称,攻击的关键在于使用对抗性机器学习(ML)技术,这类技术不依赖于任何先验知识或对目标网络的前期侦察。

在7月4日发表的研究论文中,该团队描述了新一代5G网络可能面临的一类全新对抗性机器学习攻击。这篇论文题为《荒野网络:5G网络基础设施面临对抗性实例》,由Giovanni Apruzzese、Rodion Vladimirov、Aliya Tastemirova和Pavel Laskov共同撰写。

随着5G网络技术的部署,越来越多设备借此进行流量传输,过去传统的网络数据包管理方法不再适用。研究人员指出,为了解决这个问题,不少电信运营商开始利用机器学习模型,对流量进行分类和优先级排序。

事实证明,这些机器学习模型正是5G网络体系中的软肋。只要混淆这些模型并重新调整其优先级排序,恶意黑客即可实现流量篡改。研究人员提到,通过利用垃圾流量淹没网络,这种名为“近视攻击”可以“拿下”5G移动设备。

研究人员写道,这种攻击方式的基本思路是对数据集做出轻微篡改。通过执行一系列简单操作,如附有额外数据的数据包请求等,机器学习模型将会获得预期之外的信息。随着时间推移,这些有毒请求将逐步改变机器学习软件的行为、阻止合法网络流量,并最终拖慢甚至中止数据流传输。

虽然这一攻击手段的真实效果,具体取决于5G网络类型以及实际部署的机器学习模型,但研究人员的实验室测试提供了令人心忧的结果。在6次实验测试中,他们在没有运营商、基础设施或机器学习知识的情况下成功了5次。

Apruzzese在采访中表示,“只需将垃圾数据附加至网络数据包中,即可轻松实现攻击。事实上,其中一次测试甚至证明,即使网络数据包的有效载荷与目标ML模型毫无关系,攻击也能获得成功。”

从长期来看,这种攻击手段造成的影响相对没那么恶劣。但由此引发的服务中断和网络传输减缓,还是会给那些希望使用5G网络的用户带来困扰。

研究团队解释道,这项研究的最大意义,在于提醒人们必须找到一套更加强大的模型,用于测试和解决未来5G网络内实际部署的机器学习模型中的种种漏洞。

研究团队写道,“5G范式催生出一类新的有害对抗性ML攻击。这类攻击的准入门槛较低,而且现有对抗性ML威胁模型无法对其做出定性。此外,这也提醒我们必须对这类漏洞做出主动评估。”

一段时间以来,对抗性机器学习与人工智能(AI)一直是信息安全社区的关注重点。虽然人们认为野外出现的真实攻击数量极少,但已经有多位专家警告称,算法模型可能极易受到有毒数据的影响,最终被恶意黑客玩弄于股掌之间。

]]>
API安全形势严峻:38万台K8s API服务器暴露在公网 Wed, 30 Nov 2022 16:23:54 +0800 Shadowserver Foundation的研究人员发现,超过38万台开放Kubernetes API服务器暴露在互联网上,占全球可观测在线Kubernetes API实例的84%。

研究是通过HTTP GET请求在IPv4基础设施上进行的。研究人员没有进行任何侵入性检查来精确衡量这些服务器所呈现的暴露程度,但研究结果表明,Kubernetes API服务器领域可能存在普遍性问题。

“虽然并不意味着这些实例完全开放或容易受到攻击,但这种访问级别很可能并非有意设置,这些实例是不必要暴露的攻击面。”Shadowserver在报告中称,“甚至还暴露了版本和构建信息。”

最密集的暴露API服务器集群位于美国,大约存在20.1万个开放API实例,占全部所发现开放服务器的53%。

围绕API安全问题的研究越来越多,这份报告提供了又一证据,表明很多组织都没有准备好防范、响应潜在API攻击,甚至都不了解此类攻击。

API安全事件所致数据泄露

根据Salt Security最近发布的《2022年API安全状态》报告,大约34%的组织完全没有API安全策略,另有27%的组织表示只制定了基本策略,仅包括最低限度的API 安全状态扫描和人工审查,毫无控制或管理措施。Noname Security委托451 Research开展的另一项研究发现,41%的组织在过去12个月内经历过API安全事件。其中,63%涉及数据泄露或遗失。

现代应用程序和云基础设施中,潜在API攻击面的范围十分巨大。根据451 Research的研究,大型企业平均有超过2.5万个API连接其基础设施,或在其基础设施中运行。而且这个数字注定还会继续增长。Gartner最近发布的2022年预测文档中,分析师表示,“由于API的爆炸性增长超过了API管理工具的管控能力”,三年后能够得到合理管控的企业API数量将不足50%。

Shadowserver发现的Kubernetes服务器暴露情况,反映出当今云安全领域中存在一个特别严重的问题。API往往是云基础设施管理中最弱的一环,因为它们往往位于控制平面核心位置,而控制平面负责处理云基础设施和应用程序的配置。

“所有云数据泄露都遵循相同的模式:控制平面损坏。控制平面是配置和运营云的API界面。API是云计算的主要驱动力,可将其视为‘软件中间人’,可供不同应用程序相互交互。”Snyk首席架构师兼Fugue(最近被Snyk收购)创始人Josh Stella解释道,“API控制平面是用于配置和操作云的API集合。但很遗憾,安全行业仍然落后于黑客,许多供应商解决方案并不能保护他们的客户免受针对云控制平面的攻击。”

在预测报告中,Gartner分析师认为,新兴的云和应用程序架构是现代应用程序开发持续交付模式的核心,而不断涌现的新建API是这一新兴架构不可或缺的一部分。

“这种情况类似早期的基础设施即服务(IaaS)部署,因为不受监管的API使用一路飙升。随着架构和运营技术的不断成熟,安全控制试图在新问题上应用旧范式。”Gartner表示,“这些控制措施可以作为临时解决方案,但安全控制和实践需要很长时间才能赶上新的架构范式。”

]]>
因员工将密码设为“123456”,AMD 被盗 450Gb 数据?;NPM 供应链攻击影响数百个网站和应用程序 Wed, 30 Nov 2022 16:23:54 +0800 现实告诉我们,很多情况下生活会比段子还离谱得多:因员工将密码设成“123456”,导致公司泄露了 450Gb 数据——这一听起来就很“离奇”的事情,居然真实发生在了芯片巨头 AMD 的身上。

上周,一个名为 RansomHouse 的勒索组织声称,已从 AMD 窃取了 450Gb 数据,而一切都要“归功于 AMD 员工设置的弱密码”。

一、不是“勒索软件组织”,而是“专业调解员”

RansomHouse 最早于 2021 年 12 月开始活跃,当时它泄露了加拿大萨斯喀彻温省酒类和博彩管理局(SLGA)的数据,由此“一炮而红”。

与其他网络犯罪组织相比,RansomHouse 有些“特别”。它并不认为自己是一个“勒索软件组织”,反而将自己定义为“专业调解员”,还表示从未生产过勒索软件或加密数据:

我们与任何违规行为无关,也不生产或使用任何勒索软件。我们的主要目标是尽量减少相关方可能遭受的损害。RansomHouse 成员更喜欢常识、良好的冲突管理和明智的谈判,以努力实现各方义务的履行,而不是无建设性的争论。这些都是促成友好协议、甚至是富有成效的友好合作所必需的必要和充分原则。

尽管这番自我介绍再怎么“清新脱俗”,RansomHouse 入侵公司窃取数据的行为仍一桩接着一桩:前脚刚声称从非洲最大零售商 Shoprite 获得了 600 GB 数据,后脚还有心情为公开下一个已入侵公司,在 Telegram 上发布谜语:

我们准备了一个新的惊喜!首先,有一个小谜题给你:第一个解开它的人将会得到相关链接。那么,请说出这个公司的名字:

1)几乎每个人都知道

2)名称由 3 个字母组成

3)第一个字母是 A

只要在这个频道写下你的猜测,之后你就可以在私人邮件中获得链接。随后在一周之后,RansomHouse 公布了答案:AMD,并补充道“你将十分惊讶于他们如何保护其安全性”。

二、“一切都归功于这些密码”

据 RansomHouse 表示,早在 2022 年 1 月它就已成功入侵 AMD 的内部网络,窃取了“超过 450 Gb”的数据。为此,RansomHouse 还发布了一个数据样本作为证据,其中包括网络文件、系统信息和弱密码文档:

RansomHouse 在其网站上写道:“这是一个高科技、进步和高度安全的时代,这句话对人们来说意义重大。但是当像 AMD 这样的科技巨头使用简单密码,如用‘password’来保护其网络不被入侵时,这句话似乎仍只停留在表面的美丽。很遗憾的是,这就是 AMD 员工使用的真实密码,对 AMD 安全部门来说更是丢脸,由于我们窃取的文件,他们还得到了一大笔建设资金——这一切都归功于这些弱密码。”

原以为 RansomHouse 的说法不过是“夸大其词”,但根据 TechCrunch 对其公开数据样本的分析结果表明,RansomHouse 并不是在开玩笑:部分 AMD 员工使用的密码的确过于简单,如 “password”、“123456”和“Welcome1”等等——对黑客来说,入侵 AMD 内部系统简直易如反掌。

但这也更令人迷惑:AMD 这么偌大一个芯片巨头,居然没有对其系统进行任何安全检查以确保员工使用强密码?或者说,进入 AMD 内部系统竟无需其他步骤,仅需一个密码即可?

“AMD 和任何高科技公司都应该要求对所有登录进行抗网络钓鱼的多因素认证。如果不能使用 MFA,也该要求强大独特的密码。”一位来自安全意识培训平台 KnowBe4 的专家 Roger Grimes 表示:“讽刺的是,AMD 员工还在使用像’password’这样的密码来访问关键网络,这真的无法理解。”

三、AMD:目前正在进行调查

在 RansomHouse 宣告“谜底”的当天,AMD 进行了回应:“AMD 知道有不法分子声称拥有从 AMD 窃取的数据,目前正在进行调查。”但有关是否被要求交付赎金、哪些系统已成为目标、客户数据是否被访问、是否设置了密码安全措施等提问,AMD 一律拒绝回答。

反观 RansomHouse 主页的“受害者”名单,加上 AMD 之后已有六名,最近的两名即为 Shoprite 和 AMD:

此外,从 RansomHouse 对这份名单的描述来看,其窃取数据的主要目的是为了钱:“这些公司要么认为他们的经济利益高于将数据委托给其他人的利益,要么就是选择隐瞒他们的数据已被泄露的事实。”

不过据 BleepingComputer 报道,RansomHouse 没有直接联系 AMD 索要赎金,而是打算将数据出售给其他实体或其竞争对手,因为这将“更有价值”。

最后,你对 AMD 因员工的弱密码导致数据泄露的事件有何看法?NPM 供应链攻击影响数百个网站和应用程序

]]>
银行卡突然多出1.9万一看是贷款 央视提醒:新型诈骗需谨慎 Wed, 30 Nov 2022 16:23:54 +0800 天上不会掉馅饼,而银行卡里可能真的会多出一笔钱!可相信这种好事,很容易就掉进了诈骗的陷阱里。据@央视网报道,近日,上海青浦区的李女士来到银行网点,要求给一个人账户转账19000元,原因是对方转错钱了,自己的卡上多了19000元,要还给对方。

出于职业本能,银行工作人员仔细查看了这笔钱的由来,发现是一笔贷款,并且贷款人的信息就是李女士本人!

不看不知道,一看吓一跳,于是银行工作人员决定立即报警。

警方了解到,原来李女士在网上购物后,接到“客服”电话,称多收了李女士的钱,要返还给她,于是获悉了李女士个人的身份信息,包括银行卡号和身份证号。

诈骗人员进而利用李女士的个人信息,在相关软件上办理的贷款,等钱到账后,便联系到李女士,谎称打错了,要求其退还,进而将李女士本身的钱骗走。

]]>
连锁酒店巨头万豪证实其发生又一起数据泄露事件 Wed, 30 Nov 2022 16:23:54 +0800 酒店集团万豪国际集团已经证实了另一起数据泄露事件,黑客们声称窃取了20GB的敏感数据--包括客人的信用卡信息。该事件首先由Databreaches.net报道,据说发生在6月,一个不知名的黑客组织宣称他们利用社会工程欺骗马里兰州一家万豪酒店的员工以让他们进入他们的电脑。

“万豪国际知道有一个威胁者利用社会工程骗取了一家万豪酒店的一名员工,以让他访问了该员工的电脑,”万豪发言人Melissa Froehlich Flood在一份声明中告诉TechCrunch,“(不过)该威胁者没有进入万豪的核心网络。”

万豪表示,在威胁者联系公司进行敲诈之前,连锁酒店已经发现并正在调查这一事件,万豪表示它没有支付这笔钱。

声称对这次攻击负责的组织称,被盗的数据包括客人的信用卡信息及客人和员工的机密信息。提供给Databreaches.net的数据样本据称显示了从2022年1月开始的航空公司机组成员的预订记录和客人的姓名和其他细节以及用于预订的信用卡信息。

然而,万豪酒店告诉TechCrunch,其调查确定,被访问的数据主要包含有关酒店运营的非敏感内部业务文件。

该公司表示,它正在准备通知300-400人有关这一事件并已通知相关执法机构。

这并不是万豪第一次遭遇重大数据泄露事件。2014年,黑客入侵该连锁酒店并获取了全球近3.4亿条客人记录--这一事件直到2018年9月才被发现并导致英国信息专员办公室处以1440万英镑的罚款。2020年1月,万豪在一次单独的事件中再次被黑,该次事件影响了约520万名客人。

TechCrunch询问万豪有哪些网络安全保护措施来防止此类事件的发生,但这家公司拒绝回答。

]]>
日本突发大规模通信故障!影响近4000万人 Wed, 30 Nov 2022 16:23:54 +0800 据央视报道,7月2日凌晨起,日本第二大移动运营商KDDI因设备问题突发通信故障,影响全国近4000万用户。

故障发生后,KDDI用户的手机均显示没有信号,无法接打通话,手机上网也时好时坏。

日本消防厅等有关部门呼吁,受影响用户可使用固定电话或公用电话求助,而KDDI门店一度涌入了大量求助用户。

同时,日本全国约1300个气象观测点有接近四成瘫痪,在台风逐渐逼近的情况下引发不小恐慌。

此外,部分银行自动取款机、公交乘车卡、丰田等车企部分车联网服务,也都无法使用;铁路货运物流信息系统更新迟滞,快递普遍延误。

一直到7月3日中午12时左右,故障才得到解决,持续超过36个小时,而且通信量依然限流,全面恢复时间待定。

日本总务大臣表示,本次通信故障已经构成了日本电信相关法规认定的重大事故。

KDDI是日本第二大移动运营商,旗下手机用户约3100万人,再加上租用其线路的其他运营商,这次故障影响的用户数量最多3915万人。

去年10月,日本最大移动运营商NTT也曾发生通信故障,大约100万人受到影响,持续长达29个小时。

]]>
《安联智库-网安周报》2022-07-03 Wed, 30 Nov 2022 16:23:54 +0800

1、漏洞预警!!GitLab 曝出远程代码执行漏洞

2022年7月1日,OSCS 监测到 GitLab 曝出远程代码执行漏洞。该漏洞等级较为严重,CVE 编号为 CVE-2022-2185。
GitLab 中授权用户可以导入恶意制作的项目导致远程代码执行,攻击者可利用该漏洞执行任意远程代码,OSCS 建议各位开发者关注漏洞风险。
GitLab 是美国 GitLab 公司的一款使用 Ruby on Rails 开发的、自托管的、Git(版本控制系统)项目仓库应用程序,开发者可通过 Web 界面访问公开或私人项目。
2、网络攻击迫使挪威主要政务网站瘫痪数小时

7月1日消息,挪威当局在周三(6月29日)表示,过去24小时以来,一次网络攻击暂时瘫痪了挪威国内各公共与私营网站。

挪威国家安全局指出,此次分布式拒绝服务(DDoS)攻击目标是一个安全的国家数据网络,导致在线服务停摆数小时。

国家安全局负责人Sofie Nystrøm称,某个亲俄网络犯罪团伙很可能就是此次攻击的幕后黑手。她补充说,这次攻击“也让我们感受到,挪威已经身陷欧洲当前复杂的政治局势当中。”

就在挪威遇袭的两天前,类似的攻击也曾摧毁立陶宛的公共与私营网站。一周前,立陶宛遵照欧盟指示,限制通过该国向俄罗斯领土飞地加里宁格勒运送钢铁与黑色金属,俄罗斯官员表示将进行回应。据报道,一个亲俄黑客团伙已经宣称对此次事件负责。

3、让"雪糕刺客"无路可走 这七种行为被禁止

这个夏季,“雪糕刺客”一词火了起来。雪糕刺客”是什么梗?随手拿起的一根小雪糕,却会在结账时给你的钱包刺上一剑!“平平无奇的外表,令人心梗的价格”“这种雪糕最解暑,还没拆开已经心凉”……

7月起雪糕刺客或将无处遁行

市场监管总局发布的《明码标价和禁止价格欺诈规定》7月1日起施行。《规定》明确了经营者不得实施的七种典型价格欺诈行为,包括谎称商品和服务价格为政府定价或者政府指导价;

以低价诱骗消费者或者其他经营者,以高价进行结算;通过虚假折价、减价或者价格比较等方式销售商品或者提供服务;

销售商品或者提供服务时,使用欺骗性、误导性的语言、文字、数字、图片或者视频等标示价格以及其他价格信息;无正当理由拒绝履行或者不完全履行价格承诺;

不标示或者显著弱化标示对消费者或者其他经营者不利的价格条件,诱骗消费者或者其他经营者与其进行交易;通过积分、礼券、兑换券、代金券等折抵价款时,拒不按约定折抵价款。

《明码标价和禁止价格欺诈规定》还明确了网络交易经营者不得实施的行为,包括在首页或者其他显著位置标示的商品或者服务价格低于在详情页面标示的价格;

公布的促销活动范围、规则与实际促销活动范围、规则不一致;其他虚假的或者使人误解的价格标示和价格促销行为等。

4、亚马逊曝严重漏洞,可直接访问相册