安联智库seczk.com--做最好网安新媒体! http://www.seczk.com 信息安全资讯,热点资讯,安全期刊,人物专访,安全事件,漏洞威胁,安全技术,攻防众测, Sun, 03 Jul 2022 08:24:22 +0800 zh-CN hourly 1 https://www.s-cms.cn/?v=4.7.5 加入我们 Sun, 03 Jul 2022 08:24:22 +0800

      欢迎有志从事信息安全的朋友,一起加入安联智库这个大家庭,有你们的到来安联智库将因你而出彩!

]]>
联系我们 Sun, 03 Jul 2022 08:24:22 +0800

安联智库&安联攻防实验室(简称:seczk)www.seczk.com
使命:让安全,更简单!
提出:攻击溯源、纵深防御的安全治理解决方案!
微信 、QQ:110468258
网站:www.seczk.com 
邮箱:110468258#qq.com 
地址:广州市天河区黄埔大道西505号A栋2519室 
机构:[广东-广西-海南-云南-贵州-四川-福建-江西-湖南-北京-深圳-重庆-上海.....] 


]]>
团队简介 Sun, 03 Jul 2022 08:24:22 +0800

    安联智库是为了(简称:seczk)是一个专注于信息安全、具有全面信息安全综合服务能力的专业服务团队。seczk立足自主研发,专注信息安全市场,为客户提供安全产品、安全服务、安全集成、安全培训等多项综合性信息安全服务。经过多年的发展已经成为一个理念先进、方案成熟、团队精干、客户认可的具有本土化特色的信息安全服务商。
    seczk立足于羊城广州,目前拥有一支20多人的专业队伍,团队拥有多名CISP、CISSP、CCIE、PMP等技术人员,核心团队成员都出自国内著名安全厂商与安全服务测评机构(如启明星辰、绿盟、天融信、蓝盾、竟远、南方信息安全研究院、中国信息安全测评中心等),积累了丰富的安全经验,其技术能力已获得过不同行业客户的认可。
    安联智库&安联攻防实验室(简称:seczk)使命:让安全,更简单!提出攻防纵深防御、攻击溯源的安全治理解决方案!




]]>
被曝高危漏洞,威胁行为者可获取Amazon Photos文件访问权限 Sun, 03 Jul 2022 08:24:23 +0800 近期,Checkmarx的网络安全研究人员发现了一个影响安卓上的Amazon Photos 应用程序严重漏洞,如果该漏洞被行为威胁者利用的话,就可能导致被安装在手机上的恶意应用程序窃取用户的亚马逊访问令牌。

从技术角度来看,当各种Amazon应用程序接口(API)对用户进行身份验证时,就需要Amazon访问令牌,其中一些接口在攻击期间可能会暴露用户的个人身份信息(PII)。其他一些应用程序接口,像Amazon Drive API,可能允许威胁参与者获得对用户文件的完全访问权限。

根据Checkmarx的说法,该漏洞源于照片应用程序组件之一的错误配置,这将允许外部应用程序访问它。每当启动此应用时,它会触发一个带有客户访问令牌的HTTP请求,而接收该请求的服务器就能被其控制。

研究人员表示,在掌握这一点后,安装在受害者手机上的恶意应用程序可能会发送一个指令,并发送请求到攻击者控制的服务器上。当攻击者有足够的操作空间,勒索软件就很容易成为可能的攻击载体,恶意操作人员可以读取、加密和重写客户的文件,同时还能删除他们的历史记录。

此外,Checkmarx说,他们在研究中只分析了整个亚马逊生态系统里的一小部分API,这就意味着使用相同令牌的攻击者也有可能访问其他Amazon API。

在发现这组漏洞后,Checkmarx第一时间联系了Amazon Photos开发团队。“由于该漏洞的潜在影响很大,并且在实际攻击场景中成功的可能性很高,亚马逊认为这是一个严重程度很高的问题,并在报告后不久就发布了修复程序。”

]]>
直指word附件,勒索软件AstraLocker 2.0来袭! Sun, 03 Jul 2022 08:24:23 +0800 近期,一种鲜为人知的名为AstraLocker的勒索软件发布了它的第二个主要版本,据威胁分析师称,它能快速发动攻击,并直接从电子邮件附件中删除其有效负载。这种方法是很少见的,因为所有典型的电子邮件攻击都会尽量逃避检测,并尽量减少电子邮件安全产品发出危险信号的几率。

根据一直跟踪AstraLocker的ReversingLabs的说法,攻击者似乎并不关心侦察、有价值文件、以及潜入内网横向移动等。相反,他们追求以最大的力量发起对目标的攻击,来换取快速回报。

勒索软件AstraLocker 2.0使用的诱饵是一个Microsoft Word文档,该文档隐藏了一个带有勒索软件有效载荷的OLE对象,其中嵌入式可执行文件的文件名为“WordDocumentDOC.exe”。要执行有效负载,用户需要在打开文档时出现的警告对话框上单击“Run”。这种处理方法符合Astra的整体“击杀-抓取”策略,选择OLE对象而不是恶意软件发行版中更常见的VBA宏。

另一个选择是使用 SafeEngine Shielder v2.4.0.0 来打包可执行文件,这是一个非常陈旧过时的打包程序,几乎不可能进行逆向工程。在反分析检查以确保勒索软件没有在虚拟机中运行,并且没有在其他活动进程中加载调试器之后,恶意软件会使用Curve25519算法为加密系统做好准备。这些准备工作包括终止可能危及加密的进程,删除卷映像副本,以及停止一系列备份和反病毒服务。

根据 ReversingLabs 的代码分析,AstraLocker 是基于泄露的Babuk源代码,这是一种有缺陷但仍然很危险的勒索软件,好在它已于2021 年9月退出该领域。此外,勒索信中列出的Monero钱包地址之一与Chaos勒索软件的组织有关。这可能意味着相同的威胁行为者在操作这两种恶意软件,这种情况并不少见。但从最新的案例来看,AstraLocker 2.0似乎不是一个老练的威胁行为者的行为,因为他会尽可能地破坏更多目标。

]]>
微软云服务爆容器逃逸漏洞,攻击者可接管Linux集群 Sun, 03 Jul 2022 08:24:23 +0800 6月30日消息,微软修复了旗下应用程序托管平台Service Fabric(SF)的容器逃逸漏洞“FabricScape”。利用此漏洞,恶意黑客可以提升至root权限,夺取主机节点控制权,进而危及整个SF Linux集群。

微软公布的数据显示,Service Fabric是一套关键业务应用程序托管平台,目前托管的应用总数已超百万。

该平台还支持多种微软产品,包括但不限于Azure SQL Database、Azure Cosmos DB、Microsoft Intune、Azure Event Hubs、Azure IoT Hub、Dynamics 365、Skype for Business Cortana、Microsoft Power BI及其他多项核心Azure服务。

这个漏洞编号为CVE-2022-30137,由Palo Alto Networks公司的Unit 42团伙发现,并于今年1月30日报告给微软的。

该漏洞之所以出现,是因为Fabric的数据收集代理(DCA)服务组件(以root权限运行)包含竞争条件下的随意写入机制,导致恶意黑客可通过创建符号链接的方式,利用恶意内容覆盖节点文件系统中的文件,获取代码执行权限。

Unit 42的报告详细介绍了CVE-2022-30137执行代码漏洞的利用方法,以及接管SF Linux集群的更多细节。

微软公司表示,“微软建议客户持续审查一切有权访问其主机集群的容器化工作负载(包括Linux与Windows)。”

“默认情况下,SF集群是单租户环境,各应用程序之间不存在隔离。但您可以在其中创建隔离,关于如何托管不受信代码的更多指南,请参阅Azure Service Fabric安全最佳实践页面。”

漏洞修复花了五个月

根据Unit 42的报告,微软公司于6月14日发布了Microsoft Azure Service Fabric 9.0 Cumulative Update,最终解决了这个漏洞(微软则表示,相关修复程序已在5月26日发布)。

微软为该漏洞发布安全公告后,从6月14日开始,已将修复程序推送至Linux集群的自动更新通道。

在Linux集群上启用自动更新的客户,无需采取任何额外处理措施。

对于没有为Azure Service Fabric开启自动更新的用户,建议大家尽快将Linux集群升级至最新Service Fabric版本。

Palo Alto Networks公司表示,“虽然我们并未发现任何成功利用该漏洞的在野攻击,但仍然希望能敦促各组织立即采取行动,确认自身环境是否易受攻击,并迅速安装补丁。”

微软公司表示,对于尚未启用自动更新的客户,他们已经通过Azure Service Health门户发出关于此问题的安全通知。

]]>
Uber前安全主管面临欺诈指控 曾隐瞒数据泄露事件 Sun, 03 Jul 2022 08:24:23 +0800 2016年Uber曾遭遇黑客攻击,当时5700万乘客和司机的个人信息被黑客窃取,事发后Uber前安全主管约瑟夫·沙利文(Joseph Sullivan)试图隐瞒。美国联帮法官周二表示,沙利文必须面对电信诈骗指控。沙利文付钱给两名黑客让他们保持沉默,同时他还欺骗乘客、司机、FTC。

沙利文反驳称,检察官指控他隐瞒黑客事件,说他这样做的目的是想阻止司机逃离,让司机继续支付服务费,但检察这种指控并无切实证据。旧金山地区法官威廉·奥瑞克(William Orrick)显然不同意这种说法。

不只如此,沙利文还认为受到欺骗的是Uber当时的CEO和总法律顾问,不是司机,关于这点法官也不认同。奥瑞克说,虽然沙利文的虚假陈述并非直面司机,但这只是更大欺骗计划的一部分,欺骗对象正是司机。

检方声称沙利文向黑客支付比特币作为封口费,价值约10万美元。他还让黑客签署保密协议,说他们没有窃取数据。

了解到数据泄露事件后,Uber现任CEO达拉·科斯罗萨西(Dara Khosrowshahi)解雇了沙利文。

2018年9月Uber支付1.48亿美元与50个州及华盛顿DC和解索赔诉讼,原告认为Uber披露信息过慢。

]]>
重磅!网络攻击迫使伊朗重要钢铁公司停产 Sun, 03 Jul 2022 08:24:23 +0800 6月27日消息,伊朗一家主要钢铁公司周一表示,因遭遇网络攻击被迫停产。此次攻击还波及到另外两家工厂,成为近期针对伊朗战略工业部门的最大攻击活动之一。

伊朗政府尚未就此次胡齐斯坦国有钢铁公司及其他两家钢铁生产商遭受的破坏情况或攻击团伙做出回应。作为近几个月来破坏伊朗国内设施的最新案例,该地区的紧张局势将进一步加剧。

黑客曝光工厂故障监控画面 但公司CEO否认停产

一个匿名黑客团伙在社交媒体上宣称对此次攻击事件负责,表示攻击伊朗三大钢铁公司,是为了回应“伊朗的侵略行为。”

该团伙自称“Gonieshke Darande”,他们发布了据称拍摄自胡齐斯坦钢铁厂车间的闭路电视镜头。画面显示,钢坯生产线上的一台重型机械出现故障并引发了大火。

该团伙称,这些公司与伊朗准军事组织“伊斯兰革命卫队”有关,“这些公司受到国际制裁,却在限制下继续维持运营。”

伊朗中部城镇穆巴拉克(Mobarakeh)的一家钢铁厂表示,他们的系统同样遭受攻击。而国营媒体IRAN报道称,伊朗南部港口阿巴斯港的另一家工厂也是网络攻击的受害者。但两家工厂均未承认因为攻击而造成损失或停工。

胡齐斯坦钢铁公司则表示,由于“网络攻击”后引发的“技术问题”,工厂不得不停工,何时恢复将另行通知。该公司网站在周一也关闭了。

然而,该公司CEO Amin Ebrahimi却声称,胡齐斯坦钢厂已成功阻止网络攻击,生产、供应链和客户并未受到影响。对于黑客团伙公布的设施故障起火画面,他只字未提。

半官方媒体梅尔通讯社援引Ebrahimi的发言:“很幸运,我们把握时间、意识敏锐,这次攻击活动没有得逞。”他还补充称,预计公司网站将在周一之内上线,一切都将恢复“正常”。

当地新闻频道Jamaran报道称,攻击失败是因为当时工厂碰巧发生了停电,不在正常运营状态。

针对伊朗的网络攻势升级?

近年来,伊朗遭受的网络攻击越来越多。作为长期受到西方世界制裁的国家,伊朗的网络更新速度一直不够理想,因此难以招架犯罪分子及国家支持黑客发起的勒索软件与入侵攻击。

在去年的一起重大事件中,伊朗燃油分配系统遭遇网络攻击,导致全国各地加油站瘫痪,愤怒的司机们排起了长队。而当时站出来宣布对攻击负责的,同样是这个Gonjeshke Darande黑客团队。

伊朗火车站曾遭遇过伪造延误信息攻击。该国的监控摄像头被黑客入侵,国营网站遭到破坏,臭名昭著的埃文监狱虐待视频也被泄露在网上。

安全厂商SentinelOne的首席威胁研究员Juan Andrés Guerrero-Saade表示,目前还不清楚近期针对伊朗发动网络攻击的幕后黑手是谁。但他表示,如果这些团伙开始向钢铁厂等工业控制系统目标下手,那无疑代表着攻击火力的升级。

在他看来,“攻击的基调已经开始发生变化。”

以色列特拉维夫大学的网络安全专家Lior Tabansky表示,在网络安全这片阴暗的战场上,人们往往很难辨别所谓的负责声明到底可不可信。

他认为,如果此次事件确实属于网络攻击,那发起方可能是以色列或者美国。“如果我是伊朗的高级官员,当我的钢铁部门或者其他重要战略部门遇到了网络攻击,那最大的可能性就是犹太复国主义者或者美帝国主义者干的。”

伊朗此前曾指责,美国和以色列通过网络攻击损害其国内基础设施。

在“震网”(Stuxnet)计算机病毒(外界普遍认为由美国和以色列共同开发)在2000年后期破坏了伊朗核设施中的大量离心机设备后,伊朗最终决定将大部分政府基础设施同互联网断开连接。

胡齐斯坦钢铁公司 在伊朗具备重要地位

胡齐斯坦钢铁公司总部位于石油资源丰富的西南部胡齐斯坦省阿瓦士,并与另外两家大型国有企业一同垄断了伊朗的钢铁生产业务。

胡齐斯坦钢铁公司成立于1979年伊朗伊斯兰革命之前。在此后的几十年中,该公司一直使用由德国、意大利和日本企业供应的生产线。除了1980年代灾难性的两伊战争期间,伊拉克独裁领袖萨达姆派兵越界以外,这家钢铁厂一直在保持生产。

然而,针对伊朗核计划的严厉制裁,也迫使该公司考虑减少对外国零部件的依赖。

伊朗政府将钢铁企业视为关键部门。根据世界钢铁协会的数据,伊朗是中东地区领先的钢铁生产国,也是世界前十大钢铁生产国之一。其铁矿资源不仅为国内生产提供原材料,也被出口到意大利、中国和阿联酋等几十个国家。

然而,世界钢铁协会表示,伊朗上个月的粗钢产量仅为230万吨。出口下降的主要原因,是俄罗斯对乌开战后因受到制裁而无法正常对接西方市场,只能向东方买家大量抛售打折钢材,导致伊朗承接到的交易额显著缩水。

]]>
《安联智库-网安周报》2022-06-26 Sun, 03 Jul 2022 08:24:23 +0800 1、2021年针对美国教育机构的勒索软件攻击共造成35.6亿美元损失

2021年,67次单独的勒索软件攻击影响了954所美国教育机构(包含学校和学院),影响到950129名学生。估计这些攻击仅在停机时间方面就使教育机构损失了35.6亿美元。大多数学校还将面临天文数字般的恢复成本,因为他们试图恢复计算机,恢复数据并加固系统以防止未来的攻击。

虽然希望正在出现,但勒索软件攻击对学校和学院的破坏性影响在上个月变得非常明显。林肯学院在2021年12月受到攻击后,于2022年5月宣布永久关闭。攻击和它对其系统的影响导致入学率大幅下降,这意味着该学院无法维持自身的运营。更糟糕的是,该学院已经向黑客支付了赎金。

2、工控安全遭严峻挑战,56个严重漏洞席卷OT 设备

据The Hacker News消息,安全研究人员在10家OT供应商的产品中发现56个严重的安全漏洞。Forescout将这56期报告统称为“OT:ICEFALL”,这些漏洞也被安全研究人员称之为“不安全的设计实践”。

报告指出,利用这些漏洞,具有网络访问权限的攻击者可对目标设备发起远程执行代码攻击,更改 OT 设备的逻辑、文件或固件,绕过身份验证,破坏凭据,导致拒绝服务或产生各种运营影响。

考虑到受影响的产品广泛应用于石油和天然气、化学、核能、发电和配电、制造、水处理和配电、采矿和楼宇自动化等关键基础设施行业,这些漏洞一旦被攻击者大规模利用,很有可能会对社会造成灾难性后果。

在已经发现的 56 个漏洞中,38% 允许破坏凭据,21% 允许固件操作,14% 允许远程代码执行,8% 的漏洞允许篡改配置信息。攻击者还可以利用这些弱点使设备完全脱机并绕过现有的身份验证功能,来调用目标上的任何功能。

3、日本一市弄丢含46万市民信息的U盘 道歉时又暴露密码位数

6月25日消息,据日本关西电视台24日报道,兵库县尼崎市于6月23日举行新闻发布会,为丢失包含所有46万公民个人信息的U盘而道歉。

据报道,承包商 BIPROGY 的一名男子承认,他在一天晚上外出喝酒时丢失了一个包含全市 46 万市民个人信息的 U 盘,U 盘中的包括居民的姓名、地址和出生日期,以及他们缴纳的居民税的详细信息,还有领取儿童福利和其他福利金居民的银行账号。

这一事件并没有结束,在新闻发布会上,工作人员还意外泄露了 U 盘设置的密码位数,引来广泛批评。据日本经济新闻报道,发布会上当被问及密码时,工作人员回应称,“我设置了一个 13 位字母数字的密码,我觉得很难被破译。”

对此,推特上引发了批评尼崎市的热潮。有人指出,暴露密码位数会使暴力破解密码变得更容易。

4、浙江一女子被骗千元学带货3天只赚3元 3年120多人上当

随着电商、直播领域的飞速发展,直播带货已经逐渐进入各个行业,成为新的营销方式,门槛低、投入小,拿起手机就能直播带货吸引了无数主播加入其中。据@西部决策,近日,浙江金华义乌市警方捣毁了一个诈骗团伙,9名嫌疑人被抓。此前,林女士看到一公司招直播带货兼职,她咨询后付了1680元服务费,跟着指导操作了3天只赚了3元。

当对方诱导林女士继续掏钱时,她果断报警。经查,该公司以直播带货兼职为噱头,虚构商家、短视频平台等官方流量支撑的情况,近3年诈骗了120多人50多万。

据了解,前不久,国家广播电视总局、文化和旅游部联合印发《网络主播行为规范》。该规范针对网络主播从业行为中存在的突出问题,规定了网络主播在提供网络表演和视听节目服务过程中应当遵守的行为规范和要求。

该《规范》指出,网络主播不得出现行为夸张宣传误导消费者,通过虚假承诺诱骗消费者,使用绝对化用语,未经许可直播销售专营、专卖物品等违反广告相关法律法规等。

在此提醒,在刷短视频娱乐消遣的同时,提高自身防范意识,切勿轻信平台上一些带有营销推广性质的视频,避免侥幸心理。

]]>
浙江一女子被骗千元学带货3天只赚3元 3年120多人上当 Sun, 03 Jul 2022 08:24:23 +0800 随着电商、直播领域的飞速发展,直播带货已经逐渐进入各个行业,成为新的营销方式,门槛低、投入小,拿起手机就能直播带货吸引了无数主播加入其中。据@西部决策,近日,浙江金华义乌市警方捣毁了一个诈骗团伙,9名嫌疑人被抓。此前,林女士看到一公司招直播带货兼职,她咨询后付了1680元服务费,跟着指导操作了3天只赚了3元。

当对方诱导林女士继续掏钱时,她果断报警。经查,该公司以直播带货兼职为噱头,虚构商家、短视频平台等官方流量支撑的情况,近3年诈骗了120多人50多万。

据了解,前不久,国家广播电视总局、文化和旅游部联合印发《网络主播行为规范》。该规范针对网络主播从业行为中存在的突出问题,规定了网络主播在提供网络表演和视听节目服务过程中应当遵守的行为规范和要求。

该《规范》指出,网络主播不得出现行为夸张宣传误导消费者,通过虚假承诺诱骗消费者,使用绝对化用语,未经许可直播销售专营、专卖物品等违反广告相关法律法规等。

在此提醒,在刷短视频娱乐消遣的同时,提高自身防范意识,切勿轻信平台上一些带有营销推广性质的视频,避免侥幸心理。

]]>
日本一市弄丢含46万市民信息的U盘 道歉时又暴露密码位数 Sun, 03 Jul 2022 08:24:23 +0800 6月25日消息,据日本关西电视台24日报道,兵库县尼崎市于6月23日举行新闻发布会,为丢失包含所有46万公民个人信息的U盘而道歉。

据报道,承包商 BIPROGY 的一名男子承认,他在一天晚上外出喝酒时丢失了一个包含全市 46 万市民个人信息的 U 盘,这名男子受雇监督向当地家庭支付新冠疫情救济金,他从该市的办公室取出 U 盘后,在大阪附近的一个呼叫中心传输数据。

周二晚上,该男子在一家餐厅喝酒后,他在回家的路上发现装有 U 盘的袋子不见了。第二天早上,他向警方报告了丢失情况。

U 盘中的包括居民的姓名、地址和出生日期,以及他们缴纳的居民税的详细信息,还有领取儿童福利和其他福利金居民的银行账号。

尼崎市的一位官员告诉记者:“所有信息都经过加密保护,没有数据泄露的报告。深感遗憾的是,我们严重损害了公众对城市管理的信任,我们将努力通过提高对保护个人信息重要性的认识来重新获得居民的信任。”

IT之家了解到,这一事件并没有结束,在新闻发布会上,工作人员还意外泄露了 U 盘设置的密码位数,引来广泛批评。

据日本经济新闻报道,发布会上当被问及密码时,工作人员回应称,“我设置了一个 13 位字母数字的密码,我觉得很难被破译。”

对此,推特上引发了批评尼崎市的热潮。有人指出,暴露密码位数会使暴力破解密码变得更容易。

]]>
工控安全遭严峻挑战,56个严重漏洞席卷OT 设备 Sun, 03 Jul 2022 08:24:23 +0800 据The Hacker News消息,安全研究人员在10家OT供应商的产品中发现56个严重的安全漏洞。Forescout将这56期报告统称为“OT:ICEFALL”,这些漏洞也被安全研究人员称之为“不安全的设计实践”。

OT:ICEFALL(冰瀑)漏洞涵盖来自 Bently Nevada、Emerson、Honeywell、JTEKT、Motorola、Omron、Phoenix Contact、Siemens 和 Yokogawa 的多达 26 种设备型号。

报告指出,利用这些漏洞,具有网络访问权限的攻击者可对目标设备发起远程执行代码攻击,更改 OT 设备的逻辑、文件或固件,绕过身份验证,破坏凭据,导致拒绝服务或产生各种运营影响。

考虑到受影响的产品广泛应用于石油和天然气、化学、核能、发电和配电、制造、水处理和配电、采矿和楼宇自动化等关键基础设施行业,这些漏洞一旦被攻击者大规模利用,很有可能会对社会造成灾难性后果。

在已经发现的 56 个漏洞中,38% 允许破坏凭据,21% 允许固件操作,14% 允许远程代码执行,8% 的漏洞允许篡改配置信息。攻击者还可以利用这些弱点使设备完全脱机并绕过现有的身份验证功能,来调用目标上的任何功能。

值得注意的是,56个漏洞中有22个是“破坏身份验证方案”,包括绕过、使用有风险的加密协议,硬编码和明文凭证,这意味着这些方案在实施时“安全控制明显不足”。

在现实世界里,这些漏洞很有可能被武器化,并大规模在、天然气管道、风力涡轮机或离散制造装配线等领域应用,以扰乱燃料运输、超越安全设置、停止控制压缩机站的能力以及改变可编程逻辑的功能控制器(PLC)等。

这并非杞人忧天。事实上一个影响Omron NJ/NX控制器的远程代码执行漏洞 (CVE-2022-31206) ,已经被一个名为CHERNOVITE的攻击者利用,并针对性开发一种名为 PIPEDREAM(又名 INCONTROLLER)的恶意软件。

另外,IT 和 OT 网络之间日益增加的连接也让风险管理变的更加复杂,再加上这些漏洞没有CVE编号,使得很多安全问题变的不可见,也让这些不安全的漏洞长时间保留在系统和设备中。

为了减轻 OT:ICEFALL 的影响,安全专家建议发现和清点易受攻击的设备,及时更新应用供应商特定的补丁,强制分割 OT 资产,监控网络流量以发现异常活动,并采购设计安全的产品加强供应链。

安全研究人员还表示,就最近针对关键基础设施的恶意软件(如Industroyer2、Triton和INCONTROLLER )来看,攻击者已经意识到工控上存在大量的不安全设计,并准备利用这些漏洞对基础设施发起攻击。

尽管不断强化的安全标准在驱动OT安全方面发挥了重要的作用,但就OT:ICEFALL漏洞来看,具有不安全设计特性和安全防御能力低下的设备和产品,正在持续获得认证并投入到市场上使用。

]]>
2021年针对美国教育机构的勒索软件攻击共造成35.6亿美元损失 Sun, 03 Jul 2022 08:24:23 +0800 2021年,67次单独的勒索软件攻击影响了954所美国教育机构(包含学校和学院),影响到950129名学生。估计这些攻击仅在停机时间方面就使教育机构损失了35.6亿美元。大多数学校还将面临天文数字般的恢复成本,因为他们试图恢复计算机,恢复数据并加固系统以防止未来的攻击。

在过去的几年里,勒索软件攻击已经成为全世界学校和学院越来越关注的问题。它们使关键系统瘫痪,使学校连续数日关闭,并使教师无法访问教案和学生数据。然而,正如我们的最新数据显示,对美国教育机构的勒索软件攻击正在减少,停机时间也在缩短。

虽然希望正在出现,但勒索软件攻击对学校和学院的破坏性影响在上个月变得非常明显。林肯学院在2021年12月受到攻击后,于2022年5月宣布永久关闭。攻击和它对其系统的影响导致入学率大幅下降,这意味着该学院无法维持自身的运营。更糟糕的是,该学院已经向黑客支付了赎金。

那么,这些勒索软件攻击在美国教育部门的真实成本是多少,勒索软件的威胁在过去几年里有什么变化,以及2022年至今发生了什么?

为了找到答案,Comparitech研究团队收集了自2018年以来影响学校和学院的所有勒索软件攻击的信息。然而,许多实体不愿意披露勒索软件攻击,特别是在已经支付赎金的情况下。往往只有在学校因系统中断或学生数据丢失而不得不承认漏洞时,才会向公众发布有关攻击的信息。

团队筛选了几种不同的教育资源--专业的IT新闻、数据泄露报告和国家报告工具,以整理出尽可能多的关于美国教育机构遭受勒索软件攻击的数据。然后,应用关于停机成本的研究数据来估计勒索软件攻击对学校和学院的可能成本范围。由于发现这些类型的违规行为的局限性,我们认为这些数字只触及问题的表面。

]]>
严厉打击!“内鬼”泄露公民个人信息违法犯罪 Sun, 03 Jul 2022 08:24:23 +0800 近日,最高人民检察院印发《关于加强刑事检察与公益诉讼检察衔接协作严厉打击电信网络犯罪加强个人信息司法保护的通知》(下称《通知》)。要求各地检察机关积极推动促进个人信息保护法等法律法规的统一正确实施,参与网络空间治理,强化刑事检察和公益诉讼检察职能衔接协作,实现全链条打击、一体化网络治理。

《通知》要求,深入开展依法打击行业“内鬼”泄露公民个人信息违法犯罪工作,积极配合“清朗”系列专项行动,探索积累常态化监督办案的典型经验。聚焦重点行业、重点领域、重点群体开展监督办案,包括处理大规模个人信息特别是个人敏感信息,容易产生个人信息泄露风险的重点行业;金融、电信、互联网、就业招聘行业中容易产生电信网络诈骗违法犯罪风险的重点领域;容易受到电信网络诈骗违法犯罪侵害的老年人、在校学生、未成年人等重点群体。在严厉打击刑事犯罪的同时,充分发挥公益诉讼检察职能,依法追究违法主体的民事责任,督促行政机关履职尽责,增强惩治预防效能。

《通知》指出,要完善刑事检察、公益诉讼检察协作机制。包括建立线索移送机制、同步介入机制、人员协作机制和会商研判机制等。针对电信网络诈骗违法犯罪和个人信息公益损害呈现跨行政区划的特点,进一步加强大数据赋能,探索通过罪名、领域、行业等关键词自动抓取和智能算法技术,改革案件线索产出的供给侧,打破业务条线之间的数据壁垒。对易发、高发违法犯罪的系统性、普遍性、行业性问题,省级以上检察院可以联合挂牌督办或者部署开展专项整治行动,组建“刑事+公益诉讼+技术”检察办案团队,集中办理大案要案。

《通知》要求,要进一步提升调查取证能力水平,增强刑事附带民事公益诉讼质效。加强刑事检察和公益诉讼检察部门在提前介入、引导侦查工作中的协同协作。积极运用认罪认罚从宽、少捕慎诉慎押、涉案企业合规改革等,创新公益损害替代修复方式,督促引导违法主体及时有效履行公益损害赔偿责任。

《通知》强调,要进一步加强网络空间系统治理和溯源治理。结合监督办案加强类案治理的分析研判,注重发现执法司法、行业监管、信息公开、综合治理等工作中的问题和漏洞,精准向有关部门提出促进完善监管的检察建议,探索向有关网络平台提出依法履行社会责任的检察建议。

]]>
一年两次!美国旗星银行150万客户数据遭泄露 Sun, 03 Jul 2022 08:24:23 +0800 近日,旗星银行(Flagstar Bank)向其150多万名客户发送了一则通知,黑客在去年12月的网络攻击中窃取了个人数据。

旗星银行(Flagstar Bank)是美国最大的银行之一,其总部位于密歇根州,总资产超过300亿美元。

经过调查,该银行于 6 月 2 日发现,攻击者访问了敏感的客户详细信息,包括全名和社会安全号码。

“在得知该事件后,我们立即启动了我们的事件响应计划,聘请了在处理此类事件方面经验丰富的外部网络安全专业人员,并将此事报告给联邦执法部门,”通知解释道。

“我们没有证据表明任何信息被滥用。尽管如此,出于非常谨慎的考虑,我们希望让您了解这一事件。”

银行为受影响的个人提供免费的两年身份监控和保护服务。

根据提交给缅因州总检察长办公室(Office of the Maine Attorney General)的信息显示,这次数据泄露事件共对1,547,169名美国人造成了影响。

至于媒体的进一步追问,包括哪些类型的数据可能被暴露,以及为什么花了这么长时间才发现这起事件,旗星银行方面还没有给予正面回应。

这是一年内旗星银行发生的第二起重大安全事件。

2021 年 1 月,勒索软件团伙 Clop 通过利用零日漏洞入侵 Accellion FTA 服务器,导致银行客户端和员工数据的间接泄露。

该事件影响了与银行开展业务的众多实体,包括庞巴迪、新加坡电信、新西兰储备银行和华盛顿州审计署。

这一违规行为导致银行被 Clop 勒索,被盗数据样本,包括姓名、社会安全号码、地址、税务记录和电话号码,最终在 Clop 的网站上公布,金融机构终止了与 Accellion 平台的合作。

]]>
网络攻击导致普京重要讲话被迫推迟一小时 Sun, 03 Jul 2022 08:24:23 +0800 6月21日消息,克里姆林宫发言人德米特里·佩斯科夫(Dmitry Peskov)表示,由于网络攻击破坏了大会通行证处理系统,俄罗斯总统普京被迫推迟上周五(6月17日)计划于圣彼得堡国际经济论坛发表的演讲。

佩斯科夫称,普京原计划在下午三点发表讲话。但技术人员为了修复问题并保证观众可以正常进入大厅,演讲因此延后了一个小时。

通行证系统在上周四(6月16日)开始遭到DDoS攻击。佩斯科夫没有具体说明可能的攻击来源。他说,“系统在发放徽章和确认全体会议到场人员时出现了问题。我们能修复,但这需要时间。”

一位论坛人士表示,观众可以毫无阻碍地进入大厅,但该地区的移动网络连接似乎被切断了。

据路透社报道,在预定开始时间约100分钟后,普京开始发表讲话。

普京向来有在公开活动中迟到的习惯。在本届经济会议上,他发表了自2月24日对乌开战以来的首次重要演讲之一。

]]>
西北工业大学电子邮件系统遭境外黑客组织网络攻击,已立案侦查 Sun, 03 Jul 2022 08:24:23 +0800 6月22日,西北工业大学 发布公开声明,近期,该校电子邮件系统遭受网络攻击,对学校正常教学生活造成负面影响。该校第一时间报警,经公安机关初步判定,是境外黑客组织和不法分子发起的网络攻击行为。声明全文如下:

近期,我校电子邮件系统遭受网络攻击,对学校正常教学生活造成负面影响。我校第一时间报警,经公安机关初步判定,是境外黑客组织和不法分子发起的网络攻击行为。现公开声明如下:

此次网络攻击事件中,有来自境外的黑客组织和不法分子向我校师生发送包含木马程序的钓鱼邮件,企图窃取相关师生邮件数据和公民个人信息,给学校正常工作和生活秩序造成重大风险隐患。长期以来,我校高度重视网络安全工作,经常性开展网络安全宣传教育,定期开展网络安全检查和技术监测,明确主动防御策略,全面采取技术防护措施。全校师生网络安全意识和敏锐性逐年提高,来自境外的钓鱼邮件暂未造成重要数据泄露,暂未引发重大网络安全事件,校园网络安全和广大师生的个人信息安全得到有效维护。

为进一步查明事实,依法处理相关黑客组织和不法分子的网络攻击行为,采取有力措施筑牢校园网络安全屏障,维护广大师生合法权益,我校已就遭受境外网络攻击情况向公安机关报案,并保留进一步追诉的权利。

在此,我校提醒广大互联网用户:网络空间不是法外之地,发送钓鱼邮件、侵犯公民个人信息属于犯罪行为。请广大网民文明用网、规范用网,严格遵守《中华人民共和国网络安全法》,共同营造清朗网络空间。

]]>
习近平主持召开中央全面深化改革委员会第二十六次会议强调 加快构建数据基础制度 Sun, 03 Jul 2022 08:24:23 +0800 中共中央总书记、国家主席、中央军委主席、中央全面深化改革委员会主任习近平6月22日下午主持召开中央全面深化改革委员会第二十六次会议,审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》、《关于加强和改进行政区划工作的意见》、《关于开展科技人才评价改革试点的工作方案》、《强化大型支付平台企业监管促进支付和金融科技规范健康发展工作方案》。

习近平在主持会议时强调,数据基础制度建设事关国家发展和安全大局,要维护国家数据安全,保护个人信息和商业秘密,促进数据高效流通使用、赋能实体经济,统筹推进数据产权、流通交易、收益分配、安全治理,加快构建数据基础制度体系。要加强党中央对行政区划工作的集中统一领导,做好统筹规划,避免盲目无序。要遵循科技创新规律和人才成长规律,以激发科技人才创新活力为目标,按照创新活动类型,构建以创新价值、能力、贡献为导向的科技人才评价体系,引导人尽其才、才尽其用、用有所成。要推动大型支付和金融科技平台企业回归本源,健全监管规则,补齐制度短板,保障支付和金融基础设施安全,防范化解系统性金融风险隐患,支持平台企业在服务实体经济和畅通国内国际双循环等方面发挥更大作用。

中共中央政治局常委、中央全面深化改革委员会副主任李克强、王沪宁、韩正出席会议。

会议指出,数据作为新型生产要素,是数字化、网络化、智能化的基础,已快速融入生产、分配、流通、消费和社会服务管理等各个环节,深刻改变着生产方式、生活方式和社会治理方式。我国具有数据规模和数据应用优势,我们推动出台数据安全法、个人信息保护法等法律法规,积极探索推进数据要素市场化,加快构建以数据为关键要素的数字经济,取得了积极进展。要建立数据产权制度,推进公共数据、企业数据、个人数据分类分级确权授权使用,建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制,健全数据要素权益保护制度。要建立合规高效的数据要素流通和交易制度,完善数据全流程合规和监管规则体系,建设规范的数据交易市场。要完善数据要素市场化配置机制,更好发挥政府在数据要素收益分配中的引导调节作用,建立体现效率、促进公平的数据要素收益分配制度。要把安全贯穿数据治理全过程,守住安全底线,明确监管红线,加强重点领域执法司法,把必须管住的坚决管到位。要构建政府、企业、社会多方协同治理模式,强化分行业监管和跨行业协同监管,压实企业数据安全责任。

]]>
使用西门子工控系统的注意了,已经暴露了15个安全漏洞 Sun, 03 Jul 2022 08:24:23 +0800 网络安全研究人员披露了西门子 SINEC 网络管理系统 (NMS) 中 15 个安全漏洞的详细信息,其中一些可能被攻击者混合使用,以在受影响的系统上实现远程代码执行。

工业安全公司 Claroty在一份新报告中表示:“这些漏洞如果被利用,会给网络上的西门子设备带来许多风险,包括拒绝服务攻击、凭据泄漏和在某些情况下远程执行代码。”

值得庆幸的是,2021年10月12日,西门子在 V1.0 SP2 版本更新中解决了上述所有的安全漏洞(从 CVE-2021-33722 到 CVE-2021-33736)。西门子在一份报告中写到,最严重的漏洞可能允许经过身份验证的远程攻击者,在某些条件下以系统特权在系统上执行任意代码。

威胁最大的漏洞编号是CVE-2021-33723(CVSS 评分:8.8),它允许攻击者将权限升级至管理员账号,病号可以与路径遍历漏洞 CVE-2021-33722(CVSS 评分:7.2)想结合,最终实现远程任意代码执行。

此外,还有一个需要注意的是 SQL 注入漏洞,漏洞编号(CVE-2021-33729,CVSS 分数:8.8),通过该漏洞,经过身份验证的攻击者可以在本地数据库中执行任意命令。

Claroty 的 Noam Moshe认为,SINEC在网络拓扑中处于至关重要的中心位置,因为它需要访问凭据、加密密钥和其他授予它的管理员访问权限,以便管理网络中的设备。

从攻击者的角度来看,这种攻击是利用合法凭证和网络工具进行恶意活访问、活动和控制,而SINEC将攻击者置于以下主要位置:侦察、横向移动和特权升级。

]]>
《安联智库-网安周报》2022-06-19 Sun, 03 Jul 2022 08:24:23 +0800

1、前亚马逊工程师被定罪:曾盗窃曝光超1亿人数据 面临最高20年监禁

 6月19日消息,美国西雅图陪审团裁定,前亚马逊软件工程师 Paige Thompson 被指控在2019年从 Capital One 窃取数据,犯有电信欺诈罪和五项未经授权访问受保护计算机的罪名。
Capital One 黑客攻击是美国最大的安全漏洞之一,该事件导致1亿美国人和600万加拿大人的数据泄露,包括姓名、出生日期、社保号码、电子邮件地址和电话号码。Thompson 于当年7月被捕,当时一名 GitHub 用户看到她在网站上分享有关从存储 Capital One 信息的服务器窃取数据的信息。
根据美国司法部的公告,Thompson 使用她自己构建的工具来扫描亚马逊网络服务以查找配置错误的账户。据称,她随后使用这些账户渗透了 Capital One 的服务器并下载了超过1亿人的数据。
陪审团裁定 Thompson 这样做违反了《计算机欺诈和滥用法》,但 Thompson 的律师辩称,她使用的工具和方法与道德黑客所使用的工具和方法相同。
了解到,美国司法部最近修改了《计算机欺诈和滥用法》,以保护道德或白帽黑客。只要研究人员“善意”地调查或修复漏洞,并且没有将他们发现的安全漏洞用于勒索或其他恶意目的,就不能再根据法律受到指控。
然而,美国当局不同意 Thompson 只是试图揭露 Capital One 漏洞的说法。司法部表示,她将加密货币挖掘软件植入银行的服务器,并将收益直接发送到她的数字钱包。据称,她还在论坛上吹嘘自己的黑客行为。
美国检察官 Nick Brown 表示:“她远不是一个试图帮助公司保护计算机安全的道德黑客,而是利用错误窃取有价值的数据并从中牟利。”Thompson 可能因电信欺诈被判处最高20年的监禁,每项非法访问受保护计算机的指控最高可判处5年监禁。她的量刑听证会定于9月15日举行。
2、Hermit细节披露:由政府操控的复杂间谍软件


来自 Lookout 的安全研究团队近日披露了 Hermit 间谍软件的诸多细节。该间谍软件于今年 4 月首次发现,主要由政府部署,攻击目标主要集中在哈萨克斯坦、叙利亚和意大利。

Lookout 获得了 Hermit Android 恶意软件的样本,他们称该恶意软件是模块化的,允许间谍软件根据恶意软件的需要下载其他组件。间谍软件使用各种模块来收集通话记录、录制音频、重定向电话并收集照片、消息、电子邮件和设备的精确位置。

不过,Lookout 表示,该间谍软件具有 root 手机的能力,方法是从其命令和控制服务器中提取所需的文件,以打破设备的保护并允许在没有用户交互的情况下几乎不受限制地访问设备。

Lookout 研究员 Paul Shunk 在一封电子邮件中表示,该恶意软件可以在所有 Android 版本上运行。“Hermit 会在不同时间检查运行应用程序的设备的 Android 版本,以使其行为适应操作系统的版本”。

据信,恶意 Android 应用程序是通过伪造的短信分发的,看起来消息来自合法来源,冒充电信公司和其他流行品牌的应用程序,然后诱骗受害者下载恶意应用。

3、国内第四大运营商!山东广电192友好预约用户入网时间定了

6月6日,中国广电品牌升级暨广电5G和融合业务品牌发布会在北京歌华大厦举办,正式推出了“中国广电”、“广电5G”、“广电慧家”三大品牌标识及广告语,并宣布各地广电网络公司营业厅门头同步换标。

同时,活动现场还启动了全国范围广电5G友好用户192号码预约活动。

日前,帐号主体为“中国广电山东网络有限公司”的微信公众号“高清看有线”宣布,即日起至6月26日24:00,山东地区开始192友好用户预约选号。完成预约的用户可在6月28日至7月30日到当地营业厅激活入网,7月15日前入网激活的用户将有优惠活动。

根据广电5G 192友好用户预约界面显示,目前基本全国归属地的号码都开始预约选号了,并且还推出了多种类型的靓号可选,包括豹子号、对子号、顺序号和爱情号等。

据了解,2019年6月,工信部下发四张5G牌照,广电收获700MHz 5G频段;2020年10月12日,中国广电网络股份有限公司正式揭牌成立,成为国内第四大运营商,并拿到了5G商用牌照,拥有对外发放5G手机号码的资格。

4、因盗取裸体照片,iCloud黑客被判9年监禁

Bleeping Computer 网站披露,一名美国男子因犯计算机欺诈罪被判处9年监禁。据悉,该男子在2021年10月承认入侵了数千个Apple iCloud帐户,窃取了大量受害者裸体照片和视频。

追溯犯罪活动可以发现,早在 2014 年 9 月,这位名叫 Hao Kuo Chi 的犯罪分子就开始以“icloudripper4you”为昵称,宣称能够入侵 iCloud 帐户并窃取链接的 iCloud 存储中包含的任何内容。

 窃取大量“裸体照片” 

为了破坏目标账户,Chi 使用电子邮件冒充 Apple 客户支持代表,并诱骗目标受害者交出其 Apple ID 和密码。在成功入侵受害者 iCloud 账户后,他将从受害者的在线存储中寻找并窃取裸体照片和视频,然后在网上和同谋者分享。更令人愤怒的是,这名犯罪分子还在未经受害人同意的情况下,在一个现已解散的复仇色情网站 (Anon-IB) 上分享了一些照片和视频, 以“恐吓、骚扰受害者。

 数百个iCloud账户被泄露 

据美国司法部透露,Chi的电子邮件账户中储存了大约 4700 名受害者的 iCloud 凭证,这些账户显示,他曾 300 多次将从受害者那里窃取的内容发送给了同谋者。

另外,他还将 500 多名受害者的 3.5 TB 被盗内容存储在云端和物理存储中,其中大约 1 TB 的云存储专门用于被盗的裸照和视频。


]]>
Hermit细节披露:由政府操控的复杂间谍软件 Sun, 03 Jul 2022 08:24:23 +0800 来自 Lookout 的安全研究团队近日披露了 Hermit 间谍软件的诸多细节。该间谍软件于今年 4 月首次发现,主要由政府部署,攻击目标主要集中在哈萨克斯坦、叙利亚和意大利。

Hermit 间谍软件最早于今年 4 月在哈萨克斯坦发现,而在几个月前哈萨克斯坦政府暴力镇压了针对政府政策的抗议活动。Lookout 表示该国的间谍活动应该很大程度上针对的是哈萨克斯坦当地的实体。此外该间谍软件还被部署在叙利亚东北部的库尔德地区,而且意大利当局也通过反腐败调查的一部分进行部署。

Lookout 获得了 Hermit Android 恶意软件的样本,他们称该恶意软件是模块化的,允许间谍软件根据恶意软件的需要下载其他组件。间谍软件使用各种模块来收集通话记录、录制音频、重定向电话并收集照片、消息、电子邮件和设备的精确位置。

不过,Lookout 表示,该间谍软件具有 root 手机的能力,方法是从其命令和控制服务器中提取所需的文件,以打破设备的保护并允许在没有用户交互的情况下几乎不受限制地访问设备。

Lookout 研究员 Paul Shunk 在一封电子邮件中表示,该恶意软件可以在所有 Android 版本上运行。 “Hermit 会在不同时间检查运行应用程序的设备的 Android 版本,以使其行为适应操作系统的版本”。

据信,恶意 Android 应用程序是通过伪造的短信分发的,看起来消息来自合法来源,冒充电信公司和其他流行品牌的应用程序,然后诱骗受害者下载恶意应用。

Lookout 表示,有证据表明一个受 Hermit 感染的 iOS 应用程序与其他间谍软件一样,滥用 Apple 企业开发人员证书从应用程序商店外部加载其恶意应用程序——Facebook 和Google因绕过 Apple 的应用程序商店规则而受到惩罚。 . Lookout 表示无法获得 iOS 间谍软件的样本。

现在 Lookout 说它的证据表明 Hermit 是由意大利间谍软件供应商 RCS Lab 和 Tykelab 开发的,这是一家电信解决方案公司,Lookout 说这是一家幌子公司。发送到 Tykelab 网站上的电子邮件地址的电子邮件因未送达而被退回。 RCS Lab 的发言人没有回复置评请求。

]]>
因盗取裸体照片,iCloud黑客被判9年监禁 Sun, 03 Jul 2022 08:24:23 +0800 Bleeping Computer 网站披露,一名美国男子因犯计算机欺诈罪被判处9年监禁。据悉,该男子在2021年10月承认入侵了数千个Apple iCloud帐户,窃取了大量受害者裸体照片和视频。

追溯犯罪活动可以发现,早在 2014 年 9 月,这位名叫 Hao Kuo Chi 的犯罪分子就开始以“icloudripper4you”为昵称,宣称能够入侵 iCloud 帐户并窃取链接的 iCloud 存储中包含的任何内容。

 窃取大量“裸体照片” 

联邦调查局特工大卫-沃克(David Walker)表示:该名犯罪分子用电脑进行了一场“恐怖活动”,给数百名受害者带来了恐惧和痛苦,联邦调查局会一直致力于通过揭露这些网络犯罪分子,并将他们绳之以法来保护美国人民。

根据法庭文件显示,为了破坏目标账户,Chi 使用电子邮件冒充 Apple 客户支持代表,并诱骗目标受害者交出其 Apple ID 和密码。在成功入侵受害者 iCloud 账户后,他将从受害者的在线存储中寻找并窃取裸体照片和视频,然后在网上和同谋者分享。

更令人愤怒的是,这名犯罪分子还在未经受害人同意的情况下,在一个现已解散的复仇色情网站 (Anon-IB) 上分享了一些照片和视频, 以“恐吓、骚扰受害者。

 数百个iCloud账户被泄露 

在被抓获之前,Chi在未经授权的情况下,访问了美国各地数百个目标受害者 iCloud 帐户,其中主要包括亚利桑那州、加利福尼亚州、佛罗里达州、肯塔基州、路易斯安那州、缅因州、马萨诸塞州、俄亥俄州、宾夕法尼亚州、南卡罗来纳州和德克萨斯州等。

据美国司法部透露,Chi的电子邮件账户中储存了大约 4700 名受害者的 iCloud 凭证,这些账户显示,他曾 300 多次将从受害者那里窃取的内容发送给了同谋者。

另外,他还将 500 多名受害者的 3.5 TB 被盗内容存储在云端和物理存储中,其中大约 1 TB 的云存储专门用于被盗的裸照和视频。

美国检察官罗杰·汉德伯格 (Roger Handberg) 强调,Chi 的行为严重伤害了全国数百名女性,使她们陷入担心自身安全和名誉的困境中,这一判决侧面反映了美国检察官办公室要求网络犯罪分子为其罪行负责的决心。

]]>
WiFi探测正在跟踪、泄露隐私 Sun, 03 Jul 2022 08:24:23 +0800 德国汉堡大学的研究人员进行了一项现场实验,捕获了数十万路人的WiFi连接探测请求,以此探究哪些隐私信息是在用户无法察觉的情况下泄露出去的。

众所周知,WiFi探测是智能手机和调制解调器/路由器之间建立连接所需的双边通信的一部分。在日常生活中,智能手机会一直搜索可用的WiFi网络并自动连接那些可连接的信号。

目前,许多商场和商店都在使用WiFi探测来跟踪客户的位置和移动。由于此跟踪仅在探测中使用匿名 MAC 地址,因此被认为符合GDPR隐私保护政策。

研究人员决定分析这些探测器以查看它们可能包含的其他内容,结果显示,23.2%的AP广播了这些设备过去连接过的网络SSID。

 实验结果 

2021年11月,研究人员在德国市中心一个繁华的步行街开展了这个实验,在三个小时内所有共捕获了252242个探测请求,其中 46.4% 在 2.4GHz 频谱中,53.6% 在 5GHz 频谱中。

随后,研究人员从中获得了 58489 个 SSID,其中包含 16 位或更多位的数字字符串,这些字符串可能是来自 FritzBox 或 Telekom 的德国家用路由器的“初始密码”。

在捕获的 SSID 的其他子集中,研究人员还发现了与106个不同名称的商超WiFi网络、三个电子邮件地址和 92 个以前添加为可信赖网络的度假酒店的字符串。

在三个小时内,还有不少用户反复进行探测,其中一些敏感的字符串被广播了数十次、数百次,在某些情况下甚至达到数千次。

 隐私泄露和跟踪 

每台设备的MAC地址是固定且不变的,通过在后台的大数据数据库进行比对,从用户的MAC地址可以顺藤摸瓜显示用户的手机号、最近消费记录、年龄、兴趣爱好、常用app等,形成一个用户画像。商家通过用户画像,对不同用户推送不同的广告促销信息,从而达到所谓的精准营销目的。

除此之外,WiFi探测还可以实现持续跟踪。尽管 Android 和 iOS系统都已经让MAC 地址随机变化,这让隐私泄露和跟踪变的更加困难。虽然不能完全杜绝隐私泄露,但这已经是一个非常明显的进步。

实验结果表明,较新的操作系统版本在探测请求中具有更多的随机性和更少的信息,但是当与信号强度、序列号、网络能力等数据集参数结合使用时,仍然可以对单个设备进行指纹识别。

很明显,操作系统版本越新,隐私保护功能越强,但更新版本的可用性并不意味着立即采用。

在现场实验时,Android 8 及更早版本大约占 Android 智能手机的四分之一。在 iOS 中,由于 Apple 更严格的软件更新政策和长期支持,使得旧版本的隐私保护程度要好上不少。

以前的研究也反映了从逐步升级到更安全的操作系统的改进。例如,在 2014 年的一项研究中,46.7% 的记录探测请求包含 SSID,而在 2016 年进行的另外两项研究中,该百分比介于29.9% 和 36.4% 之间。

 如何保护隐私 

对于智能手机来说,第一步要做的,也是最简单的就是升级他们的操作系统,并在后续使用中及时更新更新、更安全的版本。其次,删除不再使用或不需要的SSID,在不使用WiFi时尽量关闭。

Android 和 iOS 也都提供了快速禁用自动加入网络的方法,这使得热点攻击无法成功。最后,用户可以完全静默探测请求,这可以通过高级网络设置来完成。然而,这种方法有几个实际的缺点,例如连接建立速度较慢、无法发现隐藏网络以及更高的电池消耗。

]]>
国内第四大运营商!山东广电192友好预约用户入网时间定了 Sun, 03 Jul 2022 08:24:23 +0800 6月6日,中国广电品牌升级暨广电5G和融合业务品牌发布会在北京歌华大厦举办,正式推出了“中国广电”、“广电5G”、“广电慧家”三大品牌标识及广告语,并宣布各地广电网络公司营业厅门头同步换标。

同时,活动现场还启动了全国范围广电5G友好用户192号码预约活动。

日前,帐号主体为“中国广电山东网络有限公司”的微信公众号“高清看有线”宣布,即日起至6月26日24:00,山东地区开始192友好用户预约选号。完成预约的用户可在6月28日至7月30日到当地营业厅激活入网,7月15日前入网激活的用户将有优惠活动。

根据广电5G 192友好用户预约界面显示,目前基本全国归属地的号码都开始预约选号了,并且还推出了多种类型的靓号可选,包括豹子号、对子号、顺序号和爱情号等。

据了解,2019年6月,工信部下发四张5G牌照,广电收获700MHz 5G频段;2020年10月12日,中国广电网络股份有限公司正式揭牌成立,成为国内第四大运营商,并拿到了5G商用牌照,拥有对外发放5G手机号码的资格。

]]>
前亚马逊工程师被定罪:曾盗窃曝光超1亿人数据 面临最高20年监禁 Sun, 03 Jul 2022 08:24:23 +0800  6月19日消息,美国西雅图陪审团裁定,前亚马逊软件工程师 Paige Thompson 被指控在2019年从 Capital One 窃取数据,犯有电信欺诈罪和五项未经授权访问受保护计算机的罪名。

Capital One 黑客攻击是美国最大的安全漏洞之一,该事件导致1亿美国人和600万加拿大人的数据泄露,包括姓名、出生日期、社保号码、电子邮件地址和电话号码。Thompson 于当年7月被捕,当时一名 GitHub 用户看到她在网站上分享有关从存储 Capital One 信息的服务器窃取数据的信息。

根据美国司法部的公告,Thompson 使用她自己构建的工具来扫描亚马逊网络服务以查找配置错误的账户。据称,她随后使用这些账户渗透了 Capital One 的服务器并下载了超过1亿人的数据。

陪审团裁定 Thompson 这样做违反了《计算机欺诈和滥用法》,但 Thompson 的律师辩称,她使用的工具和方法与道德黑客所使用的工具和方法相同。

IT之家了解到,美国司法部最近修改了《计算机欺诈和滥用法》,以保护道德或白帽黑客。只要研究人员“善意”地调查或修复漏洞,并且没有将他们发现的安全漏洞用于勒索或其他恶意目的,就不能再根据法律受到指控。

然而,美国当局不同意 Thompson 只是试图揭露 Capital One 漏洞的说法。司法部表示,她将加密货币挖掘软件植入银行的服务器,并将收益直接发送到她的数字钱包。据称,她还在论坛上吹嘘自己的黑客行为。

美国检察官 Nick Brown 表示:“她远不是一个试图帮助公司保护计算机安全的道德黑客,而是利用错误窃取有价值的数据并从中牟利。”Thompson 可能因电信欺诈被判处最高20年的监禁,每项非法访问受保护计算机的指控最高可判处5年监禁。她的量刑听证会定于9月15日举行。

]]>
假平台先免费 后面可“真贵”:网络新骗术盯上实体商家 Sun, 03 Jul 2022 08:24:23 +0800 搭建虚假电商平台,制造商家入驻假象,步步引诱受害者投资……一种主要针对传统实体行业商家的互联网新骗术迷惑性强,亟须引起警惕。

投资40余万一场空

“刘总您好,我是D公司的客服,我们是做互联网运营推广服务的,了解您有这方面的需求,我们可以帮您搭建电商平台,免费做线上线下推广……”

以前接到广告推销类的电话时,四川的刘某都会习惯性拒绝并挂断。2020年9月,一通关于“互联网运营推广”的电话打来时,刘某犹豫了,考虑到想拓展自己的业务,便抱着试一下的心态答应了。

D公司经理周某线下约见刘某,提出通过免费提供运营推广服务,为刘某打造一个电商平台,并吸引其他商家入驻。“商家入驻需要缴纳入驻费用,我们按照三七分,我们三、你们七。入驻的商家如果在平台产生交易,你也会从中获得一定的收益。”周某说。

有推广,又有收益,刘某觉得这个生意可行,便与D公司签署合同。几日后,网络平台搭建完成,刘某爽快地支付了3020元以购买域名,并获得两张域名证书。

网络平台刚搭建不久,上海某科技有限公司联系刘某,表示有多个商家想入驻该网络平台,但服务器只能容纳50家,其余商家入驻失败,还提出平台支付有风险等问题。在D公司指引下,刘某先后购买服务器、安全控件和办理商品备案资格证等才解决问题。

安徽某科技招商公司联系刘某,提出平台存在安全风险,继续以商家无法使用平台等理由,让其在D公司扩容服务器、防火墙等服务。

刘某对D公司深信不疑,为解决平台的各种问题,先后花掉40余万元。2020年12月,当刘某再次联系D公司时,发现D公司已被公安机关查封。他恍然大悟,自己被骗了。

受害者多为实体行业商家

2020年11月,湖北警方与四川警方联手,一举捣毁D公司的两处窝点。据介绍,经审计,D公司一年内涉案总金额达3600余万元,受害者超100人,遍布全国各地。

承办此案的湖北省公安县检察官介绍,此类以免费提供电商运营服务为名义,不断收割受害者钱财的诈骗案件并不多见,诈骗套路环环相扣,具有很强迷惑性,大部分受害者后知后觉。

“当时我去了D公司,见到经理周某,参观了整个公司的环境和运行状态,周某还在公司专门组织会议向我详细介绍了他们的专业优势。”刘某告诉半月谈记者,当时完全没想到这会是一个诈骗公司。

检察官告诉半月谈记者,该电商平台并不具备正常的联网、入驻、交易等功能,平台上的商家、交易数据、动态信息等都是D公司团伙为迷惑受害者,通过技术手段虚构操作的假象。

该案中,电商平台搭建不久,便有招商公司向受害者咨询,以入驻电商平台为名义,提出平台存在“服务器容量不够”“支付出现安全警示”等问题,诱骗受害者购买服务产品。

在此期间,受害者并非只投资不获利,但投资远大于收益。民警介绍,刘某通过平台提现共获得8万元的商家入驻款项,他认为通过继续投资,解决平台的问题可以获得更多收益,但没想到D公司、招商公司、商家竟是一伙人。

检察官介绍,受害者多为从事传统实体行业的商家,他们对互联网一知半解,但又有网络推广的迫切需求,因此成为诈骗团伙的目标“客户”。

民警和检察官说,近年来,利用互联网等技术手段实施的新型网络犯罪活动多发,需要加大打击力度。同时,面对类似本案中所谓“三七分高收益”的诱惑,要提高警惕、认真分辨。

]]>
思科电子邮件存在安全漏洞,攻击者可利用漏洞登录其Web管理界面 Sun, 03 Jul 2022 08:24:23 +0800 思科于本周通知其用户修补一个严重漏洞,该漏洞可能允许攻击者绕过身份验证并登录到思科电子邮件网关设备的Web管理界面。该安全漏洞(编号为CVE-2022-20798)是在思科电子邮件安全设备(ESA)以及思科安全电子邮件和Web管理器设备的外部身份验证功能中发现的。该编号为CVE-2022-20798的漏洞是由于受影响设备使用LDAP (Lightweight Directory Access Protocol)进行外部认证时,认证检查不正确导致的。

对此,思科在回应中并表示,攻击者可以通过在受影响设备的登录页面上输入特定输入来利用此漏洞,成功的利用可能允许攻击者未经授权访问受影响设备的管理界面。该漏洞是在解决 Cisco TAC(技术援助中心)支持案例期间发现的,思科的产品安全事件响应团队 (PSIRT) 表示,目前还没有利用此安全漏洞的消息,且此漏洞仅影响配置为使用外部身份验证和LDAP作为身份验证协议的设备。不过据思科称,默认情况下外部身份验证功能是禁用的,这意味着只有具有非默认配置的设备才会受到影响。如需检查设备上是否启用了外部身份验证,请登录基于Web的管理界面,转至系统管理 > 用户,然后在“启用外部身份验证”旁边查找绿色复选框。思科还表示,此漏洞不会影响其他安全网络设备产品,比如思科网络安全设备 (WSA)。无法立即安装CVE-2022-20798安全更新的管理员也可以禁用外部经过身份验证服务器上的匿名绑定来解决此问题。

今年2月份,思科还修复了另一个安全电子邮件网关漏洞 ,该漏洞可能允许远程攻击者使用恶意制作的电子邮件使未修补的设备崩溃。同时,思科也表示不会修复影响RV110W、RV130、RV130W和RV215W SMB等即将停产的路由器关键零日漏洞,该漏洞允许攻击者以根级权限执行任意命令。

]]>
国际刑警查获五千万美元,逾两千名“社会工程师”被捕 Sun, 03 Jul 2022 08:24:23 +0800 近日,有消息显示,一项代号为“2022第一缕光”(First Light 2022)的国际执法行动在全球范围内共查获了5000万美元赃款,数千名参与社会工程诈骗的人遭到逮捕。这项行动由国际刑警组织(Interpol)领导,并得到76个国家警方的协助,其主要目的是打击社会工程犯罪,包括电话诈骗、婚恋诈骗、商业电邮诈骗及相关的洗钱活动。

这里的“社会工程”是业内一个通用术语,指的是攻击者通过与他人的合法交流,来使其心理受到影响,从而执行某些行为或泄露敏感信息。通常情况下,攻击者会事先设想好一个令人信服的、逼真的理由作为诱饵,然后通过电话或电子邮件联系受害者并操纵他们。

一般而言,社会工程攻击者通常会以一个理由直接要求受害者付款。当然,有时他们也会将窃取的信息出售给其他骗子,从而获得访问网络/系统的权限,实施勒索。

关于“First Light 2022”行动

国际刑警组织发起的“First Light 2022”行动主要打击的对象是电话诈骗、婚恋诈骗和商业电邮诈骗,这些都与金融犯罪密切相关。

这一行动自2022年3月到5月,持续了两个月,取得了一系列的成果:

突击检查了全球范围内的1,770个犯罪网点;

对约3000名嫌疑人进行了身份确认;

逮捕了约2,000名经营者、诈骗犯与洗钱者;

冻结了约4000个银行账户;

截获了价值约5000万美元的非法资金。

国际刑警组织强调的一点是,冒充电子商务机构的庞氏骗局与电子商店骗局似乎正在不断增加。

“作为‘First Light 2022’行动的一部分,新加坡警方逮捕了八名与一起庞氏骗局有关的嫌疑人。诈骗者会通过社交媒体或消息系统对外宣传提供高薪的在线销售工作岗位,起初受害者确实会有一些微薄的收入,但随后他们会被要求招募更多成员以赚取佣金”,国际刑警组织的一份报告中这样写道。

此外,国际刑警组织的分析师还发现了2022年的另一个趋势,那就是犯罪者会冒充国际刑警组织的官员,然后随机向人们发送威胁信息,要求他们向这些假官员付款以停止对他们的调查行动。

这些社会工程骗局不仅会造成巨大的经济损失,有时甚至会造成危及生命的严重后果。国际刑警组织表示,当前社交媒体平台上的人口贩卖活动正在明显增加,人们往往被高薪工作诱惑,然后被迫参加劳动、被奴役或囚禁在赌场或渔船上。

]]>
邮件巨头Zimbra曝严重漏洞,黑客无需密码即可登录 Sun, 03 Jul 2022 08:24:23 +0800 据Bleeping Computer报道,邮件巨头Zimbra某些版本的高严重性漏洞的技术细节已经浮出水面,通过利用该漏洞,黑客可以在没有身份验证或用户交互的情况下窃取登录信息,这意味着黑客无需账号密码即可登录用户的邮箱。

该漏洞编号为CVE-2022-27924,目前已经被收录至CNNVD,编号为CNNVD-202204-3913,受影响的Zimbra主要是开源和商业版本8.x和9.x。自2022年5月10日起,Zimbra 版本ZCS 9.0.0 的补丁24.1,以及ZCS 8.8.15的补丁31.1 中都发布了一个修复程序。

资料显示,Zimbra提供一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。它最大的特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox,Safari和IE浏览器。其产品遍布全球,在各国/地区的政府、组织、金融和教育部门广泛使用。

 悄无声息窃取登录凭证 

SonarSource公司的研究人员报告了该漏洞,并对其进行描述,“未经身份验证的攻击者可以将任意 memcache 命令注入目标实例”。因此,攻击者可以通过将CRLF注入Memcached查找的用户名来进行利用。

Memcached是一个免费开源的、高性能的、具有分布式内存对象的缓存系统,通过减轻数据库负载加速动态Web应用。因此它可以存储电子邮件帐户的键/值对,通过减少对查找服务的 HTTP 请求数量来提高 Zimbra 的性能。但是,Memcache使用的是比较简单的基于文本的协议进行设置和检索。

研究人员进一步解释,攻击者可以通过对易受攻击的Zimbra实例的特制HTTP请求,来覆盖已知用户名的IMAP路由条目。而当真实用户登录时,Zimbra中的Nginx代理会将所有 IMAP 流量转发给攻击者,包括纯文本凭据。

邮件客户端(如Thunderbird、Microsoft Outlook、macOS等邮件应用程序和智能手机邮件应用程序)通常会将用户连接到其IMAP服务器的凭据存储在磁盘上,因此该漏洞在利用时不需要任何用户交互。但是,当邮件客户端重新启动或需要重新连接时,就需要重新对目标 Zimbra 实例进行身份验证。

事实上,在日常生活中,想要知道目标用户的电子邮件地址是一件非常容易的事情,而使用 IMAP 客户端也让攻击者可以更容易地利用该漏洞,但是这里面的详细信息并非强制性。另外一种攻击者则是利用技术允许绕过上述限制,在没有交互且不了解 Zimbra 实例的情况下窃取任何用户的凭据。

这是通过“Response Smuggling”来实现,利用了基于 Web 的 Zimbra 客户端的替代途径。通过不断向 Memcached 的共享响应流中注入比工作项更多的响应,攻击者可以强制随机 Memcached 查找使用注入的响应而不是正确的响应。这是因为 Zimbra 在使用 Memcached 响应时没有验证它的密钥。

那么,攻击者就可以轻松劫持电子邮件地址未知的随机用户的代理连接,仍然不需要任何交互或为受害者生成任何警报。

 请及时更新安全措施 

2022年3月1日,SonarSource公司研究人员就向Zimbra提交了这一漏洞信息,3月31日,Zimbra公司发布了第一个安全补丁,但是没有完全解决这一问题。5月10日,软件供应商发布了ZCS 9.0.0 补丁 24.1和ZCS 8.8.15 补丁 31.1解决了这些问题,方法是在发送到服务器之前创建所有 Memcache 密钥的 SHA-256 哈希,并敦促用户及时进行更新。

需要注意的是,SHA-256 不能包含空格,因此不能为 CRLF 注入创建新行,并且补丁版本不会发生命令注入攻击。

]]>
曾经的“王者”退役,微软IE浏览器将于6月15日停止服务 Sun, 03 Jul 2022 08:24:23 +0800 据悉,美国微软将于当地时间6月15日(北京时间16日)结束对网页浏览软件“Internet Explorer(IE)”的支持。

Microsoft Edge浏览器5月16日通过其官方微博宣布,IE浏览器正式退役后,其功能将由Edge浏览器接棒。对此,微软解释说,Microsoft Edge不仅提供了更高的安全性,比其前身更现代,而且还保证了“与老的、继承自其他程序的网站和应用程序的兼容性”。

“Microsoft Edge内置了IE模式,因此您可以直接从Microsoft Edge访问那些基于IE的老网站和应用程序。”微软表示。

作为曾经全球第一,最高市场份额达到95%的浏览器,IE曾开启并见证了一个时代,以至于在很多老用户的潜意识中,其以字母“e”为核心的Logo,已经成为了浏览器的代名词。但从2000年代后半期开始,IE的份额持续减少,分析网站StatCounter的统计显示,目前IE的份额已从2009年1月的65%下降到1%以下。

]]>
华为云带崩同花顺等一众应用一同上热搜,工行系统疑似崩溃 Sun, 03 Jul 2022 08:24:23 +0800 今日上午11点左右,有大量网友发微博吐糟华为云崩了。与此同时,许多用户反映,同花顺上午部分时段出现无法交易,行情等界面出现卡顿现象。

据财联社报道,同花顺回应表示,“华为云部分区域网络出问题,我们部分用户也因此受影响。” 目前,该故障已经解除,同花顺方面也表示APP交易已恢复正常。

针对华为云崩溃的消息,华为云官方微博回应此消息称,华为云监测发现华为云华南-广州区域公网访问异常,目前该故障已恢复,请尽快检查您的业务情况。

此外,工行系统也疑似崩溃

]]>
俄罗斯知名媒体电台遭黑客攻击:奏响乌克兰国歌 Sun, 03 Jul 2022 08:24:23 +0800 安全内参消息,上周三(6月8日),俄罗斯的生意人报电台(Kommersant FM)的播报出现中断,转而播放乌克兰国歌和其他反战歌曲。

之后,广播很快中止。官方发布声明,确认遭受黑客攻击:

“广播电台遭到了黑客攻击。网络实时播报将很快恢复。”

生意人报电台主编Alexey Vorobyov对俄媒塔斯社表示,黑客入侵发生在上周三,目前内部技术专家正在核查攻击来源。

被黑客篡改的是生意人报电台的午间播报节目,该电台是俄罗斯知名私营媒体生意人报的广播版。英媒BBC记者Francis Scarr在推文中提到,当时生意人报电台播放了乌克兰著名爱国民歌、曾经的国歌《哦,草地上的红荚蒾》。

黑客还播放了俄罗斯摇滚乐队Nogu Svelo!的歌曲《我们不需要战争》。歌词中引用了俄罗斯外交部长Sergei Lavrov的话,“硬汉永远信守诺言”。

此次遭到攻击的目标,生意人报电台归属乌兹别克裔俄罗斯富豪Alisher Usmanov所有。由于涉及与俄罗斯总统普京有关联,美国和欧盟在俄乌战争爆发后对Usmanov进行了制裁。Usmanov对制裁提出了质疑,表示将使用一切法律手段保护自己。

]]>
周鸿祎:想做直播带货抹不下面子 数据勒索成突出的安全威胁 Sun, 03 Jul 2022 08:24:23 +0800 360公司每年接到并处理的勒索攻击事件多达4000余起,受害企业面临着重要数据资产被盗和泄漏的严重后果,轻则造成业务停顿,重则被迫缴纳巨额赎金。在亚布力论坛上,360集团创始人周鸿祎提及了直播带货,”我最近是想做带货直播,但昨天试了一下发现不行,我这个人太理想派,实在抹不下面子。

我觉得做带货直播真的需要特殊才能,你们不要瞧不起带货主播在那喷两个小时吹自己的东西有多好,他这个话是一直都不停的,这点我真的做不到。如果带货,我准备卖思想和理念。”周鸿祎说,希望推广数字安全的重要性。

在数字化上升为国家战略的背景下,产业数字化将成为数字化的主旋律,并重塑传统产业,未来所有的行业都值得用数字化技术重塑一遍。这也给很多科技公司、传统企业提供了巨大的机遇。

数字化在带来新机遇、新场景的同时,也可能让安全环境更“脆弱”。当前网络攻击威胁已超越传统安全威胁。周鸿祎认为,“数字文明时代最大的威胁,早已不是过去的小毛贼、小黑客,而是更加专业有组织的网络威胁,包括APT组织、勒索攻击、DDoS攻击、网站攻击、供应链攻击、网络诈骗等。”但是,周鸿祎表示依然有很多人对安全的认识依然停留在计算机安全、网络安全时代,以为安全就是杀病毒木马,用防火墙隔离等传统手段。事实上,随着新兴的数字技术和复杂的数字化场景带来的挑战,简单安全升级为复杂安全,网络安全行业也应当被重新定义,将计算机安全、网络安全升维到数字安全,才能跟得上国家的产业数字化发展要求,才能保障人们进入数字文明时代。

周鸿祎表示,数字化有三大特征:一切皆可编程、万物均要互联、大数据驱动业务,本质是软件重新定义世界。“一切皆可编程”意味着一切皆可数字化,而凡是软件都会有漏洞,这也意味着“漏洞无处不在”,有漏洞就能被黑客利用遭致攻击。“万物均要互联”意味着边界模糊、虚实打通,过去仅在虚拟世界里的网络攻击,会转变成对物理世界的伤害,导致工厂停工、大面积停电、社会停摆。“大数据驱动业务”意为所有的业务都由数据驱动,数据安全直接影响业务安全,数据一旦遭到攻击就意味着业务停转。未来,软件定义世界,整个世界都将架构在软件之上,整个世界的脆弱性将前所未有。所以,安全已经成为数字文明时代的“基座”。

大量数字化新技术、新应用的产生,也催生出如车联网、关键基础设施、工业互联网、能源互联网、数字政府、智慧城市等一系列新场景,引申出大数据安全、云安全、供应链安全、物联网安全、新终端安全、区块链安全等一系列新的安全挑战,这也导致简单安全问题升级为复杂安全问题。以大数据安全为例,数据勒索已经成为一种突出的安全威胁,360公司每年接到并处理的勒索攻击事件多达4000余起,受害企业面临着重要数据资产被盗和泄漏的严重后果,轻则造成业务停顿,重则被迫缴纳巨额赎金。

目前网络上“万物”皆可被攻击。周鸿祎表示,“事实上包括特斯拉的智能网联汽车、车厂都存在大量的漏洞,只要有漏洞就会被黑客利用发起攻击。所以未来如果不能解决车联网的数字安全问题,即使你开新能源车、智能网联车,都不能保障这个车将行驶向何方。”周鸿祎认为,在数字安全新挑战面前,传统网络安全应该升级。不过,目前仍有很多政企单位的安全思维依旧停留在传统认知上,例如在指导思想上将网络安全视为附庸,投入不够,没有顶层设计;以卖货思维为主导,重视产品而忽视运营;技术上抱残守缺,产品各自为战,看不见安全风险。

]]>
HID Mercury曝严重漏洞,可解锁访问控制系统 Sun, 03 Jul 2022 08:24:23 +0800 据Security Affairs消息,LenelS2 HID Mercury Access Controller存在严重的安全漏洞,攻击者可利用这些漏洞远程解锁访问控制系统。

网络安全公司Trellix的安全研究人员共在LenelS2发现了8个零日漏洞,远程攻击者可以利用这些漏洞执行任意代码、执行命令注入、信息欺骗、写入任意文件和触发拒绝服务 ( DoS) 条件。

Trellix 安全研究人员Steve Povolny 和 Sam Quinn 在报告中指出,这些漏洞可以让攻击者远程解锁门禁系统,破坏警报装置,日志和通知系统的能力。

资料显示,LenelS2 是 HVAC 巨头 Carrier 旗下的高级物理安全解决方案(即访问控制、视频监控和移动认证)提供商,被广泛用于医疗保健、教育、交通和政府设施,一旦漏洞被攻击者利用,那么很有可能造成严重的影响。

简而言之,这些问题可能会被攻击者武器化,以获得完整的系统控制权,包括操纵门锁的能力。其中一个零日漏洞 (CVE-2022-31481) 中还包括一个未经身份验证的远程执行漏洞,该漏洞在 CVSS 评分系统中的严重程度为 10 分(满分 10 分)。

其他缺点可能导致命令注入(CVE-2022-31479、CVE-2022-31486)、拒绝服务(CVE-2022-31480、CVE-2022-31482)、用户修改(CVE-2022-31484)、和信息欺骗(CVE-2022-31485)以及实现任意文件写入(CVE-2022-31483)。

研究人员对固件和系统二进制文件进行了逆向工程,并进行了实时调试,八个漏洞中的六个未经身份验证,两个经过身份验证的漏洞可通过网络远程利用。

研究人员表示,通过将两个漏洞链接在一起,我们能够利用访问控制板并远程获得设备的根级别权限。有了这种访问级别,我们创建了一个程序,可以与合法软件一起运行并控制门。这使我们能够解锁任何门并颠覆任何系统监控。

随后,安全人员发布了这些漏洞的PoC测试视频,直观展示了可能出现的攻击。目前,Carrier 已发布了产品安全公告 ,警告客户相关漏洞并敦促他们安装固件更新。

受影响的 LenelS2 部件号包括:

LNL-X2210

S2-LP-1501

LNL-X2220

S2-LP-1502

LNL-X3300

S2-LP-2500

LNL-X4420

S2-LP-4502

LNL-4420

美国网络安全和基础设施安全局 (CISA) 也发布了这些漏洞的公告。

]]>
破解关机的iPhone:漏洞永不休眠 Sun, 03 Jul 2022 08:24:23 +0800 近日,研究人员发现iPhone在关机状态下仍在工作,即使手机断电,也可能会面临黑客攻击和被植入恶意软件的风险。

德国达姆施塔特(Darmstadt)大学安全移动网络实验室的研究人员发表了一篇名为《邪恶永不眠:当无线恶意软件在关闭iPhone后继续运行》(Evil Never Sleeps:When Wireless Malware Stays On After Turning Off iPhones)的论文,描述了一种破解关机状态iPhone的理论方法。该研究检查了无线模块的操作,找到了分析蓝牙固件的方法,从而引入了能够完全独立于设备操作系统iOS运行的恶意软件。

稍微想象一下,不难预见这样一个场景:攻击者将受感染的手机靠近受害者的设备并传输恶意软件,然后窃取支付卡信息甚至虚拟车钥匙。

之所以需要想象是因为该论文的作者只是理论上证明了这一点,距离实际的攻击还差一步。即便如此,研究人员还是做了很多工作来分析手机的未记录功能,对其蓝牙固件进行逆向工程,并对使用无线模块的各种场景进行建模。

首先要声明一个重点:如果设备已关闭,但与它的交互(例如黑客攻击)仍然是可能的,那么你猜怎么着——它并没有完全关闭!

我们是如何做到关闭某些东西却又没完全关闭的呢?让我们从头说起……

苹果的低功耗(LPM)模式

2021年,Apple宣布即使设备关闭,用于定位丢失设备的Find My服务也能正常运行。自iPhone 11以来,所有Apple智能手机都可以使用这项改进功能。

例如,如果用户在某处丢失了手机并且它的电池在一段时间后耗尽,它并不会完全关闭,而是切换到低功耗(Low-Power Mode,LPM)模式,其中只有非常有限的一组模块保持活跃。这些主要是蓝牙和超宽带(UWB)无线模块,以及近场通信(NFC)等。还有所谓的安全元件——一种安全芯片,用于存储您最宝贵的秘密,例如用于非接触式支付的信用卡详细信息或车钥匙(自2020年以来为有限数量的车辆提供的最新功能)。

LPM是iPhone的一种省电模式,该模式打开时,手机状态栏中的电池图标将变为黄色,待iPhone或iPad充电至80%或更高电量后,苹果的LPM会自动关闭。

LPM模式下的蓝牙用于数据传输,而UWB用于确定智能手机的位置。在LPM模式下,智能手机会发送有关自己的信息,路人的iPhone可以获取这些信息。如果丢失手机的所有者在线登录其Apple帐户并将手机标记为丢失,那么来自周围智能手机的信息将用于确定设备的下落。

不可否认,LPM模式为用户提供了便利,但也增加了安全风险,引发了信息安全专家的关注。为此,来自德国的研究团队决定在实践中测试可能的攻击场景。

关机之后的“Find My”功能

首先,研究人员对低功耗模式下的Find My服务进行了详细分析,发现了一些前所未知的特性。断电后,大部分工作由蓝牙模块处理,通过一组iOS命令重新加载和配置。然后它会定期通过无线发送数据包,允许其他设备检测到未真正关闭的iPhone。

事实证明,这种模式的持续时间是有限的:在iOS 15.3版本中,仅设置了96个广播会话,间隔为15分钟。也就是说,丢失且关机的iPhone只能在24小时内找到。如果手机因电池电量不足而关机,则窗口会更短——大约5个小时。这可以被视为该功能的一个“怪癖”,但也暴露了一个真正的错误:有时当手机关闭时,“信标”模式根本没有激活,虽然它应该是激活的。

这里最有趣的是蓝牙模块在断电前被重新编程;也就是说,它的功能发生了根本性的改变。但是,如果它可以重新编程以损害所有者的利益,结果又会怎样?

针对关机手机的攻击

事实上,该研究团队的主要发现是蓝牙模块的固件并非加密,也未受到“安全启动”(Secure Boot)技术的保护。安全启动涉及在启动时对程序代码进行多级验证,以确保只有设备制造商授权的固件才能运行。

缺乏加密允许分析固件和搜索漏洞,这些漏洞以后可用于攻击。但是缺乏安全启动将允许攻击者用他们自己的代码完全替换制造商的代码,然后蓝牙模块会执行这些代码。相较之下,对iPhone UWB模块固件的分析显示它受到Secure Boot的保护,但固件同样未加密。

当然,对于严重的实际攻击来说,这还不够。为此,攻击者需要分析固件,尝试用自己制作的东西替换它,并寻找入侵的方法。该论文的作者详细描述了攻击的理论模型,但并未展示iPhone可以通过蓝牙、NFC或UWB进行实际的黑客攻击。研究结果清楚表明,如果这些模块始终处于打开状态,那么漏洞同样将始终有效。

Apple对这项研究不以为然,并且拒绝提供任何信息。研究人员必须处理封闭的软件代码,且这些代码通常是加密的。智能手机是一个庞大而复杂的系统,很难研究清楚,尤其是在制造商不配合甚至百般阻挠的情况下。

虽然这项研究发现称不上令人惊叹,但它是大量艰苦工作的结果。而且这篇论文对关机手机电源的安全策略提出了质疑,这些质疑也被证实是有道理的。

半断电(half powered-off)设备

该论文得出结论,蓝牙固件没有得到充分保护。理论上,可以在iOS中对其进行修改,或者通过扩展/更改其功能来重新编程相同的低功耗模式。然而,主要问题是这些无线模块(以及NFC)直接与作为安全元件的受保护飞地(enclave)通信。这让我们得出了这篇论文中一些最令人兴奋的结论:

从理论上讲,即使设备处于关机状态,也有可能从iPhone上窃取虚拟车钥匙!显然,如果iPhone是车钥匙,丢失设备可能意味着丢失汽车。但是,在这种情况下,当钥匙被盗时,实际的手机仍然在您手中。想象下述场景:一个恶意行为者在商场接近你,用手机刷你的包,偷走你的虚拟钥匙。

理论上可以修改蓝牙模块发送的数据,例如,为了使用智能手机监视受害者——同样地,即使在手机关机的状态下。

从手机中窃取支付卡信息是另一种理论上的可能性。

但这当然还有待证明。德国团队的研究再次表明,添加新功能会带来一定的安全风险,必须慎重考虑。尤其是当现实与想象大相径庭时:你认为自己的手机完全关机了,而实际上并非如此。

请注意,这并不是一个全新的问题。英特尔管理引擎和AMD安全技术也可以处理系统保护和安全远程管理,只要笔记本电脑或台式电脑的主板连接到电源,它们就会处于活动状态。 与iPhone中的蓝牙/UWB/NFC/安全元件捆绑包一样,这些系统在计算机内部拥有广泛的权限,其中的漏洞可能非常危险。

从好的方面来说,该论文对普通用户没有直接影响,研究中获得的数据不足以进行实际攻击。 但作为一个万无一失的解决方案,研究人员建议Apple应该实施一个硬件开关,完全切断手机的电源。但鉴于Apple的“物理按钮恐惧症”,这一点应该很难实现。

]]>
商品改为一折导致600余万元损失:两员工离职报复公司被抓 Sun, 03 Jul 2022 08:24:23 +0800 近日,一电商公司发现,自己在亚马逊上运营的店铺账号被盗,不仅有产品部分下架,更是有部分商品被改为一折倾销。根据该公司负责人吴女士的描述,店铺在亚马逊上的商品被人操作下架,且部分90美元的商品,被陆续以9.9美元的低价进行销售,导致了公司超600万元人民币的损失。

报警后,当地警方很快锁定了两名犯罪嫌疑人。

这两人均为公司的离职员工,凭借自己手中的原始数据,篡改了公司网店的密码以及收取货款的银行卡,从而满足自己的报复心理,并谋取利益。

目前,两名嫌疑人已经抓获,并因涉嫌非法获取计算机信息系统数据罪,被采取刑事拘留措施。


]]>
《安联智库-网安周报》2022-06-12 Sun, 03 Jul 2022 08:24:23 +0800

1、中国信通院:“一键解绑”服务仍在试运行与测试阶段

你知道自己的手机号绑定了哪些App吗?如何统一进行解绑?前不久,工信部旗下的中国信息通信研究院推出的“一键查询”和“一键解绑”功能引起网友热议,可解除持有手机号与互联网账号之间的绑定或关联关系。
6月12日凌晨,中国信通院旗下“码号服务平台”微信公众号(原“一号通查”)发布“服务公告”,公告表示,感谢大家关注“一键解绑”服务,该服务正处于试运行测试期间,系统功能和性能仍需进一步迭代完善。我们将持续对系统进行优化,为广大用户提供更优质的服务。
据媒体报道,中国信通院工作人员此前回应称,此项工作由该院“技术与标准研究所”负责,但目前该功能尚处于内测阶段,没有运行也没有对外发布。
据了解,“一键解绑”服务已覆盖微博、淘宝、抖音、今日头条、美团、大众点评、小米生态等应用。
中国电信、中国移动、中国联通在网手机用户(不含2021年前携号转入用户)可申请使用该项服务,官方表示,未经持有号码人授权,不得使用该服务,同时不得利用该服务从事侵害他人合法权益的行为。
2、美国:以后发现漏洞,禁止告诉中国! 

近日,美国商务部工业和安全局发布了一项网络安全最终规定。中国被分到D类,在网络漏洞信息分享上受到更严格的管控。

简单来说,就是美国实体与中国政府相关的组织和个人合作时,如果发现安全漏洞和信息,不能直接公布,要先经过商务部审核。理由嘛,又是百试不爽的「国家安全」,以及「反恐需要」。

实际上,这次公布的新规定是2021年10月临时规定(征求意见稿)的最终确认。该规定将全球国家分为A、B、D、E四类,限制措施和严格程度逐步递增。

中国被分在D类,即「受限制国家和地区」,E类则为「全面禁运国家」。该规定对某些网络安全项目建立了新的控制方法,目的则是出于「国家安全和反恐考虑」。

3、瑞星监测到利用微软最新高危漏洞的恶意代码

近日,瑞星威胁情报平台监测到一个新型微软支持诊断工具远程代码执行漏洞(CVE-2022-30190,又名"Follina"),目前在开源代码平台上已经存在该漏洞的概念验证代码,同时捕获到相关漏洞的在野利用样本。

瑞星安全专家介绍,该样本为Microsoft Word文档,当用户手动执行后,会下载Qakbot木马程序,从而被盗取隐私信息。目前,瑞星ESM防病毒终端安全防护系统可拦截相关漏洞利用行为,广大用户可安装使用,避免该类威胁。

漏洞概况:

5月30日,微软发布了CVE-2022-30190这一漏洞,并介绍该漏洞存在于 Microsoft Support Diagnostic Tool(即微软支持诊断工具,以下简称 MSDT),攻击者可以利用该漏洞调用MSDT工具应用程序运行任意PowerShell代码,随后安装程序、查看、更改或删除数据,或者创建帐户。

攻击原理:

瑞星安全专家介绍,当用户打开恶意文档后,攻击者便可利用CVE-2022-30190漏洞与Microsoft Office的远程模板加载功能进行配合,由Office从远程网络服务器获取恶意HTML文件,HTML文件则会唤起MSDT工具应用程序并由其执行恶意PowerShell代码,该恶意代码将会在用户主机上从指定链接中下载Qakbot木马并执行,从而窃取用户隐私信息。

防范建议:具体操作步骤:

1. 以管理员身份运行命令提示符

2. 备份注册表项,执行命令:"reg export HKEY_CLASSES_ROOT\\ms-msdt 指定文件名称"

3. 执行命令:"reg delete HKEY_CLASSES_ROOT\\ms-msdt /f"

4、FBI捣毁出售大量被盗个人重要信息的网络黑市

美国执法官员已经关闭了一系列通过出售被盗数据获得1900万美元收入的网站。这些网站贩卖的黑市数据包括重要的个人信息,如被盗的社会安全号码和出生日期。因此,这一行动被捣毁绝对是一个大胜利。

美国司法部于6月7日宣布关闭“SSNDOB Marketplace”网站。除其他事项外,该公告还包括这个令人震惊的细节。这些网站正在出售约2400万个被盗的社会安全号码。就背景而言,这个数字超过了佛罗里达州的人口。

出售被盗社会安全号码的网站

根据美司法部的说法,SSNDOB网站的管理员在暗网犯罪论坛上创建了广告。这些广告宣传市场的服务,同时管理员提供客户支持并在买家将钱存入其账户时进行监控。

防止身份被盗

像这样的犯罪活动提醒人们,身份盗窃是一个永远存在的威胁,人们需要认真对待。下面,你会发现你可以采取的步骤来减少自己成为受害者的可能性(由USA.gov提供):

这第一个步骤应该不用多说。不要因为有人问你要个人信息(如你的出生日期、社会安全号码或银行账户号码)就分享这些信息;

一定要把旧的收据、信贷通知、账户报表和过期的信用卡撕掉;

最重要的是,创建身份窃贼无法猜测的复杂密码。此外,如果跟你有业务往来的公司的计算机系统出现漏洞请更改密码。

]]>
瑞星监测到利用微软最新高危漏洞的恶意代码 Sun, 03 Jul 2022 08:24:23 +0800 近日,瑞星威胁情报平台监测到一个新型微软支持诊断工具远程代码执行漏洞(CVE-2022-30190,又名"Follina"),目前在开源代码平台上已经存在该漏洞的概念验证代码,同时捕获到相关漏洞的在野利用样本。

瑞星安全专家介绍,该样本为Microsoft Word文档,当用户手动执行后,会下载Qakbot木马程序,从而被盗取隐私信息。目前,瑞星ESM防病毒终端安全防护系统可拦截相关漏洞利用行为,广大用户可安装使用,避免该类威胁。

漏洞概况:

5月30日,微软发布了CVE-2022-30190这一漏洞,并介绍该漏洞存在于 Microsoft Support Diagnostic Tool(即微软支持诊断工具,以下简称 MSDT),攻击者可以利用该漏洞调用MSDT工具应用程序运行任意PowerShell代码,随后安装程序、查看、更改或删除数据,或者创建帐户。

攻击原理:

瑞星安全专家介绍,当用户打开恶意文档后,攻击者便可利用CVE-2022-30190漏洞与Microsoft Office的远程模板加载功能进行配合,由Office从远程网络服务器获取恶意HTML文件,HTML文件则会唤起MSDT工具应用程序并由其执行恶意PowerShell代码,该恶意代码将会在用户主机上从指定链接中下载Qakbot木马并执行,从而窃取用户隐私信息。

瑞星安全专家介绍,CVE-2022-30190属于高危漏洞,在宏被禁用的情况下仍然可以正常触发,并且当恶意文档为RTF格式时,还可以通过Windows资源管理器中的预览窗格触发此漏洞的调用。

防范建议:

目前,瑞星ESM防病毒终端安全防护系统可拦截相关漏洞利用行为,同时广大用户也可参考微软官方给出的防护建议,直接禁用MSDT URL协议。

具体操作步骤:

1. 以管理员身份运行命令提示符

2. 备份注册表项,执行命令:"reg export HKEY_CLASSES_ROOT\\ms-msdt 指定文件名称"

3. 执行命令:"reg delete HKEY_CLASSES_ROOT\\ms-msdt /f"

如需将该协议恢复使用,可进行如下操作:

1. 以管理员身份运行命令提示符

2. 执行命令:"reg import 之前备份时指定的文件名称"

]]>
以后发现漏洞,禁止告诉中国! Sun, 03 Jul 2022 08:24:23 +0800 近日,美国商务部工业和安全局发布了一项网络安全最终规定。中国被分到D类,在网络漏洞信息分享上受到更严格的管控。

近日,美国商务部工业和安全局(BIS)正式发布了针对网络安全领域的最新的出口管制规定。

对,就是那个发布「实体清单」、「贸易黑名单」的BIS,说起来这几年,它也算是「中国网友的老朋友」了。

这次又是什么?主要是关于网络安全和漏洞信息的管控。

简单来说,就是美国实体与中国政府相关的组织和个人合作时,如果发现安全漏洞和信息,不能直接公布,要先经过商务部审核。

理由嘛,又是百试不爽的「国家安全」,以及「反恐需要」。

实际上,这次公布的新规定是2021年10月临时规定(征求意见稿)的最终确认。该规定将全球国家分为A、B、D、E四类,限制措施和严格程度逐步递增。

中国被分在D类,即「受限制国家和地区」,E类则为「全面禁运国家」。

该规定对某些网络安全项目建立了新的控制方法,目的则是出于「国家安全和反恐考虑」。

同时,BIS还增加了一项新的授权网络安全出口的例外情况。核心内容是授权这些网络安全项目出口到大多数目的地,但是上述提到的例外情况则不可以。

BIS认为,这些被控制的项目可能被用于监视、间谍活动,或者其它以破坏等为目的的行为。

此外,该规定还修正了商务控制清单中的出口控制分类编号。

BIS新规将全球国家分为A、B、D、E四类,其中D类是最受关注的、受限制的国家和地区。

根据新规的要求,各实体在与D类国家和地区的政府相关部门或个人进行合作时,必须要提前申请,获得许可后才能跨境发送潜在网络漏洞信息。

当然,条款也有例外,如果出于合法的网络安全目的,如公开披露漏洞或事件响应,无需提前申请。

可以看到,中国在国家安全、生化、导弹技术、美国武器禁运这四项都被画了×。

文件中指出,对代表政府行事的个人的许可要求是必要的,以防止代表D组国家政府行事的人因从事违反美国国家安全和外交政策利益的活动而获得「网络安全项目」。

如果没有这项要求,那么可能会导致D类国家的政府访问到这些项目。

BIS通过的这项要求,意味着出口商在某些情况下必须检查与他们合作的个人和公司的政府隶属关系。

然而,由于许可要求的范围和适用性有限,BIS认为该要求将保护美国的国家安全和外交政策利益,而不会过度影响合法的网络安全活动。

同时,BIS还修订了条款§ 740.22(c)(2)(i),这实际上扩大了例外的范围。

现在的条款允许向D组国家出口数字产品,或是向警察或司法机构出口任何网络安全项目到D组国家。

但是,BIS其实只打算允许出于刑事或民事调查或起诉的目的,将数字产品出口到D组国家的警察或司法机构。

可以说,这些更改反映了预期的意见。

微软反对,无效!

对于BIS的这个新规,美国国内科技巨头也不算是铁板一块,软件巨头微软公司就明确表示了异议。

早在去年,这条规定发布征求意见稿后,微软就以书面意见形式在评论部分提交了对这份文件的异议。

微软表示,如果参与网络安全活动的个人和实体因和政府有关联而受限,将大大压制全球网络安全市场目前部署的常规网络安全活动的能力。

很多时候,在无法确定对方是否和政府存在关联时,企业面对合规压力只能放弃合作。

微软的反对态度并不奇怪。

目前的漏洞分享机制,对微软的软件开发生态非常重要。很多时候,微软需要通过逆向工程和其他技术对漏洞进行分析后,才发布相关的补丁和升级,而一旦漏洞分享机制遭破坏,将直接降低微软发现和修复漏洞的速度。

微软提出,BIS应该进一步明确定义「政府最终用户」,或者至少澄清这个定义下可能涵盖哪些个人或实体。

BIS在该规定的最终决定稿发布时,提及了微软的反对意见,但没有点名,并表示「BIS不同意该意见」。

BIS在文件中提到:

「有公司表示,对代表'政府最终用户'人的限制,将阻碍与网络安全人员的跨境合作,因为在与这些人沟通之前,要检查其是否与政府有联系。该公司建议取消这一要求或对其进行修改。BIS不同意这一建议。」

这项上周发布的最终决定,与去年10月发布的征求意见稿相比,内容没有重大变化。

不过,该规定采纳了研究界的一些意见,对需要核查的安全漏洞范围做了进一步收窄,并增加了临时例外条款。

即:如果是出于合法的网络安全目的,如披露公共漏洞或安全事件响应,无需审核。

这项例外条款很大程度上是为开源社区的正常运行创造必要条件。

微软在感谢BIS对规则修改的同时,也表示,不确定这样的例外条款能否解决实际问题。

「什么允许直接披露,什么不允许直接披露,目前还处于混乱状态。哪些行为需要申请许可,现阶段还无法确定。我们担心,对那些无法整个归入特定使用类别的技术,许可申请会非常繁琐。」

BIS承认微软的担忧,但同时坚持声称,此规定对美国国家安全是利大于弊的。

与「瓦森纳协定」异曲同工

实际上,早在2021年10月,BIS就发布了「禁止攻击性网络工具出口」的规定,阻止美国实体单位向中、俄出售攻击性网络工具。

美国商务部长吉娜·雷蒙多表示,「对某些网络安全项目实施出口管制,是一种合适的方法,可以保护美国的国家安全免受恶意网络行为的侵害,并确保合法的网络安全活动。」

BIS进一步表示,目前的规则也在「瓦森纳协议」的框架之内,即《关于常规武器和两用物品及技术出口控制的瓦森纳协议》。

《瓦森纳协议》规定,成员国自行决定发放敏感产品和技术的两用物品出口许可证,并且在自愿基础上向协定其他成员国通报有关信息。

实际上,该协议实际在很大程度上受美国控制,而且影响着其他成员国的出口管制规定,成为西方对中国实施高技术垄断的重要工具。

协议管控「军事和两用技术」出口政策,共有42个协议国,包括美、英、法、德,日等主要发达国家。俄罗斯虽然也是协议国,但依旧是禁运目标之一。

]]>
FBI捣毁出售大量被盗个人重要信息的网络黑市 Sun, 03 Jul 2022 08:24:23 +0800 美国执法官员已经关闭了一系列通过出售被盗数据获得1900万美元收入的网站。这些网站贩卖的黑市数据包括重要的个人信息,如被盗的社会安全号码和出生日期。因此,这一行动被捣毁绝对是一个大胜利。

美国司法部于6月7日宣布关闭“SSNDOB Marketplace”网站。除其他事项外,该公告还包括这个令人震惊的细节。这些网站正在出售约2400万个被盗的社会安全号码。就背景而言,这个数字超过了佛罗里达州的人口。

出售被盗社会安全号码的网站

根据美司法部的说法,SSNDOB网站的管理员在暗网犯罪论坛上创建了广告。这些广告宣传市场的服务,同时管理员提供客户支持并在买家将钱存入其账户时进行监控。

此外,SSNDOB的管理员使用了各种技术来保持匿名并防止对其活动的任何窥探。根据美国执法部门的说法,这包括“使用与其真实身份不同的在线名称,在不同国家战略性地维护服务器,并要求买家使用数字支付方式如比特币”。

美司法部的公告继续说道:“拆除和扣押这一基础设施的国际行动是与塞浦路斯和拉脱维亚的执法当局密切合作的结果。2022年6月7日,针对SSNDOB市场的域名执行了扣押令......有效地停止了该网站的运作。”

防止身份被盗

像这样的犯罪活动提醒人们,身份盗窃是一个永远存在的威胁,人们需要认真对待。下面,你会发现你可以采取的步骤来减少自己成为受害者的可能性(由USA.gov提供):

这第一个步骤应该不用多说。不要因为有人问你要个人信息(如你的出生日期、社会安全号码或银行账户号码)就分享这些信息;

一定要把旧的收据、信贷通知、账户报表和过期的信用卡撕掉;

此外,应该每年审查一次自己的信用报告。特别是要检查以确保它们不包括你没有开过的账户。你可以从Annualcreditreport.com免费订购你的报告;

最重要的是,创建身份窃贼无法猜测的复杂密码。此外,如果跟你有业务往来的公司的计算机系统出现漏洞请更改密码。

美国检察官Roger Handberg在SSNDOB公告中说道:“我赞赏我们的国内和国际执法伙伴为制止这一全球计划所做的大量工作和合作。盗窃和滥用个人信息不仅是犯罪行为,而且会在未来几年对个人产生灾难性的影响。”

Handberg跟国税局刑事调查华盛顿特区外地办事处的主管特别探员Darrell Waldon和联邦调查局坦帕分部的主管特别探员David Walker一起宣布关闭这些网站。

]]>
中国信通院:“一键解绑”服务仍在试运行与测试阶段 Sun, 03 Jul 2022 08:24:23 +0800 你知道自己的手机号绑定了哪些App吗?如何统一进行解绑?前不久,工信部旗下的中国信息通信研究院推出的“一键查询”和“一键解绑”功能引起网友热议,可解除持有手机号与互联网账号之间的绑定或关联关系。

6月12日凌晨,中国信通院旗下“码号服务平台”微信公众号(原“一号通查”)发布“服务公告”,公告表示,感谢大家关注“一键解绑”服务,该服务正处于试运行测试期间,系统功能和性能仍需进一步迭代完善。我们将持续对系统进行优化,为广大用户提供更优质的服务。

据媒体报道,中国信通院工作人员此前回应称,此项工作由该院“技术与标准研究所”负责,但目前该功能尚处于内测阶段,没有运行也没有对外发布。

据了解,“一键解绑”服务已覆盖微博、淘宝、抖音、今日头条、美团、大众点评、小米生态等应用。

中国电信、中国移动、中国联通在网手机用户(不含2021年前携号转入用户)可申请使用该项服务,官方表示,未经持有号码人授权,不得使用该服务,同时不得利用该服务从事侵害他人合法权益的行为。

]]>
微博CEO遭遇顺丰快递骗局?“千元到付费”换来“山寨机” 【反诈骗】 Sun, 03 Jul 2022 08:24:23 +0800 “微博CEO王高飞质疑顺丰千元到付”冲上热搜,引发大众关注。

6月9日,微博CEO王高飞(ID:来去之间)收到1000多元顺丰到付包裹,他在微博中@顺丰集团并提出疑问:“请教下,现在这种发个包裹,到付1000多是啥意思?是骗钱的吗?谁会这么傻不看货付钱……俺都拒收一次了,又发一次……”

快递底单截图显示,该快递寄自“华强北街道华强北桑达工业区404栋一楼5566房”,寄托物名称显示为“高端旗舰款i13”,产品类型为“电商标快”,计费重量“1kg”。

费用方面,该商品的到付费用合计为10元,但代收货款达到999元,收件方所需要支付的总金额高达1009元。

评论区中,有网友评论称,就是快递公司和诈骗分子合作,收件人大都是老板,就是赌秘书代收。还有很多运费到付的无用件,写的老板的名字,前台、门卫、秘书代收直接挂账了,反正快递公司有业绩,有运费,有手续费。

另有网友表示:“前两年听快递业务员说过,包裹里面是一个山寨机,他们知道这是骗钱的,但他们不管这个,因为发件方每天发几千票,是他们的一个大客户。”

有网友提示称,付款方式是寄付月结,即“顺丰的在册客户”。上面寄件方地址电话可能有假,但根据顺丰的月结账单号是可以锁定寄件方的吧!应该可以问一下。对此,王高飞回应称寄件方电话打不通。

实际上,早在今年4月初,央视就曝光了“高额到付费用签收却是廉价商品”的新型快递诈骗陷阱。

相关报道显示,不法分子通过非法渠道购买或违法获取大量公民个人信息,将一些假冒伪劣、价值低廉的物品,利用快递公司“货到付款”的运送方式随机寄出收取费用。有的受害人忘记自己是否购买过货到付款的商品,有的受害人以为是亲友寄给自己的快递,没有过多的思考就付款收货。直到打开快递,发现是废纸团、数据线、劣质香水等几元至十几元的廉价商品,才察觉上当受骗。

此前,广州警方从一宗69元的快递到付诈骗小案入手,深挖出涉案价值超2千万元的3个全国性“盲发快递”实施诈骗的团伙。这3个团伙自2021年6月以来,向全国各地“盲发快递”,仅6个月时间就诈骗群众达30多万人,涉案金额高达2000多万元。

有网友直言,快递公司或整个行业应该搞个黑名单制:被不同收件人投诉此到付件非本人需求、疑似诈骗达十例以上,寄件方再也无法使用快递服务。

顺丰2021年年报显示,顺丰控股全年实现营收2071.87亿元人民币,同比增长34.55%;归母净利润42.69亿元人民币,同比下滑41.73%;扣非归母净利润18.34亿元,同比下滑70.09%。

去年(2021年)第一季度,面对全行业的低价竞争,顺丰经历了“巨亏风波”。因出现上市后的首次亏损,顺丰创始人王卫公开道歉,他表示:自己对这样的业绩责无旁贷,第一季度我们没有经营好,我在管理上是有疏忽的。王卫立下承诺:公司在第二季度不会再亏损了。随后,顺丰在2021年第二、三、四季度分别实现了17.49亿、10.38亿、24.71亿元净利润。

而到了今年的一季报,顺丰营收达到629.84亿元,较2020年的426.2亿元增长47.78%,净利润为10.22亿元,上年同期则是亏损9.89亿元,扭亏为盈。

但利润增长的背后是否有企业未清理的角落,仍值得关注。目前,“来去之间”发微博已经过去24小时,顺丰集团暂未有官方回复。

]]>
摩拜单车拉丁美洲用户个人信息在网上曝光 Sun, 03 Jul 2022 08:24:23 +0800 近日,网上出现了一个由共享单车服务用户上传的超12万份护照、驾照和身份文件的巨大宝库。据悉,安全研究员Bob Diachenko于2月11日在一个未受保护的亚马逊托管的存储桶中发现了这些数据并将细节传给了TechCrunch以努力确保数据安全。

这个存储桶的名字表明它属于摩拜单车,这是一家曾在中国成立的共享单车运营商。任何知道这个容易猜到的储存桶的名字的人都可以从他们的网络浏览器中浏览护照和身份文件库,这些文件可以追溯到2017年且其规模每天都在增长。

据悉,桶内储存了用户在使用摩拜单车前必须上传的身份文件。该桶还包含9.4万张客户自拍和4.9万个客户签名,它们则都是被用来验证用户身份的。几乎所有的身份文件都是拉丁美洲的用户,包括阿根廷和巴西。但这些数据都没有经过加密。

摩拜单车于2015年在北京成立,已数次易手。它曾被誉为中国的共享单车先锋,这家蓬勃发展的创业公司在2018年被中国按需服务巨头美团以27亿美元的价格收购之前已经吸收了数十亿美元的投资资金。摩拜单车在中国的业务后来被重新命名为美团单车。

摩拜单车虽然有国际化的野心,但却陷入了困境。在被美团收购后的几个月里,它流失了数亿美元,美团后来决定剥离摩拜单车的国际业务以削减成本。虽然按照这家公司的计划,东南亚的摩拜单车被关闭,但通过当地合作伙伴保持其在东北亚、拉丁美洲和欧洲的运行。

然而当被联系谈论这个安全漏洞时,似乎没有人愿意对暴露的数据承担所有权--或责任。

当TechCrunch联系到美团的时候,美团发言人Xiang Xi表示,该公司“与此事无关”,因为它在2019年8月出售了摩拜单车的拉丁美洲业务,但以保密协议为由拒绝透露谁收购了该公司,这让人更难知道到底该就暴露的客户数据联系谁。

然而暴露的资料桶中的许多文件都是在2019年8月之前,当时美团据说仍持有摩拜单车的所有权。

TechCrunch联系了一些已知跟摩拜单车有关的公共和私人电子邮件地址。许多邮件没有得到回复,而其他邮件则以错误信息反弹,称这家媒体发送的邮件无法送达。TechCrunch向WhatsApp上的摩拜单车客户支持号码发送了多条含有被曝光的资料桶网址的信息但也都没有得到回应。

等到5月底,该资料桶已经被保护起来。目前还不清楚到底是谁保护了它。另外也不知道这个桶被暴露了多长时间--甚至不知道这个桶的内容是如何开始公开的。因为亚马逊的存储桶默认是私有的,控制存储桶的人必须改变其权限以允许公众访问。

在撰写本报告时,摩拜单车没有在其网站或任何社交媒体上发表关于这一安全事件的声明--实际上自2019年以来,摩拜单车一直没有发布相关信息。

]]>
网购“可达鸭”却收到“游泳鸭” 警方:莫因急于成交受骗 Sun, 03 Jul 2022 08:24:23 +0800 以100元/个网购肯德基配套玩具网红“可达鸭”,收到货发现竟是一袋“游泳鸭”,浙江义乌市的李先生哭笑不得,向派出所求助。买“可达鸭”,收到“游泳鸭”。6月9日,澎湃新闻从义乌警方了解到,李先生是通过微信朋友圈对接上卖家的,自己下单3个,又通过网店转售出75个,收到货前已付7000元货款。

订购次日,李先生收到了快递,满心欢喜拆开快递箱时傻了眼。卖家发货的根本不是“可达鸭”,而是劣质的游泳鸭玩具。当天,他的客户也陆续收到快递,同样是“游泳鸭”,而不是网购的“可达鸭”。李先生随即向义乌市公安局稠江派出所报警。

这不是第一次有人因网购“可达鸭”受骗。

澎湃新闻从义乌警方获悉,5月下旬,义乌另一名李先生嗅到商机,想通过出售“可达鸭”赚钱。在网络平台上发布信息后,有卖家主动联系他称可供货。李先生先下单了几个样品,卖家发来快递单号表示已寄出。信以为真的李先生开始大量接单,并支付4000余元货款。几日后,李先生见样品快递一直没到,才发现对方已取消发货,还拉黑了他。

警方提醒,在这类案件中,诈骗分子长期潜伏在各大网络平台,抓住受害人急于成交的心理,以出售或购买产品为借口,引导受害人脱离平台交易,实现诈骗目的,“网络交易要选择有信誉且有认证的正规商家,不要轻信陌生人”。

]]>
谷歌因侵犯隐私向居民赔偿1 亿美元 Sun, 03 Jul 2022 08:24:23 +0800 据Cybernews网站消息,美国伊利诺伊州居民对谷歌发起了一项集体诉讼,指控这家科技巨头未经其同意的情况下收集和存储个人生物特征,此举违反了伊利诺伊州的生物识别信息隐私法 (BIPA)。最终谷歌以同意支付1亿美元赔偿与诉讼达成和解。

根据原告们的说法,谷歌相册在未经充分的事先通知和同意的情况下,将照片中出现的相似人脸进行分组归类,谷歌认为,该功能主要是为了帮助用户组织归纳同一个人的照片,方便就某个人照片进行查阅。谷歌声称该功能仅用户个人可见,且可以轻松地关闭。

代表集体诉讼的网站声称,任何伊利诺伊州居民,只要在 2015 年 5 月 1 日至 2022 年 4 月 25 日期间内有任何面部影像出现在Google 照片中,都有资格申请获得赔付,申请赔付的截至日期为9月24日,最终的听证会将于9月28日举行。根据预估的申请赔付人数,每人将可获得200-400美元赔偿。

]]>
黑客利用商业电话系统漏洞发起DDoS攻击 Sun, 03 Jul 2022 08:24:23 +0800 从上月中旬开始,安全研究人员、网络运营商和安全供应商发现来自 UDP 端口 10074 的 DDoS 攻击激增,目标是宽带接入 ISP、金融机构、物流公司和其他垂直市场的组织。

经进一步调查,被滥用发动这些攻击的设备是 Mitel 生产的 MiCollab 和 MiVoice Business Express 协作系统,其中包含 TP-240 VoIP 处理接口卡和支持软件;它们的主要功能是为 PBX 系统提供基于互联网的站点到站点语音连接。

这些系统中大约有 2600 个配置不正确,因此未经身份验证的系统测试设施无意中暴露在公共 Internet 中,从而使攻击者可以利用这些 PBX VoIP 网关作为 DDoS 反射器 / 放大器。

Mitel 意识到这些系统被滥用以促进高 pps(每秒数据包数)DDoS 攻击,并一直在积极与客户合作,通过修补软件来修复可滥用设备,这些软件会禁止公众访问系统测试设施。

接下来,研究人员将解释驱动程序是如何被滥用的,并分享推荐的缓解措施。这项研究是由 Akamai SIRT、Cloudflare、Lumen Black Lotus Labs、NETSCOUT ASERT、TELUS、Team Cymru 和 Shadowserver Foundation 的一组研究人员合作创建的。

许多不应该暴露在公共互联网上的可滥用服务却被攻击者利用,供应商可以通过在发货前在设备上采用 " 默认安全 " 的设置来防止这种情况。

如果所有网络运营商都实施了入口和出口源地址验证(SAV,也称为反欺骗),则无法发起反射 / 放大 DDoS 攻击。发起此类攻击需要能够欺骗预期攻击目标的 IP 地址。服务提供商必须继续在自己的网络中实施 SAV,并要求其下游客户这样做。

在攻击者使用自定义 DDoS 攻击基础设施的初始阶段之后,TP-240 反射 / 放大似乎已被武器化并添加到所谓的 " booter/stresser" DDoS-for-hire 服务,将其置于一般攻击者的范围内。

]]>
紫光展锐T700芯片出现 9.4 级高危安全漏洞 Sun, 03 Jul 2022 08:24:23 +0800 网络安全研究公司 Check Point Research 最近公布了其对紫光展锐芯片组基带处理器中发现的新漏洞。

据调查博客称,该漏洞会影响作为芯片组一部分并负责网络连接的网络调制解调器。从理论上讲,它可能允许攻击者发送损坏的网络数据包,并禁用或中断设备的网络连接。

Check Point Research 对安装了 2022 年 1 月安全补丁的摩托罗拉 Moto G20 手机 (XT2128-2) 内的紫光展锐 T700 芯片上的 LTE 协议栈实现进行逆向工程,发现了该漏洞。

在研究人员向紫光展锐通报漏洞后该公司迅速确认并给出漏洞评分。紫光展锐对该漏洞的评级为严重漏洞,评分为9.4分,当前紫光展锐已修复漏洞并将其提交给谷歌。

由于搭载这款芯片的设备不多,因此目前主要影响的就是摩托罗拉 G20 系列机型、E30系列和E40系列机型。

谷歌已经确认关于该漏洞的补丁将成为 Android 安全公告的一部分,也就是说有望在下一个 Android 安全补丁中得到修复。

]]>
安全大事件!360万+MySQL服务器暴露在互联网上 Sun, 03 Jul 2022 08:24:23 +0800 据Bleeping Computer报道,至少有360万台MySQL服务器已经暴露在互联网上,这意味着这些服务器已经全部公开且响应查询。毫无疑问它们将成为黑客和勒索攻击者最有吸引力的目标。

在这些暴露、可访问的MySQL服务器中,近230万台是通过IPv4连接,剩下的130万多台设备则是通过 IPv6 连接。虽然Web服务和应用程序连接到远程数据库是较为常见的操作,但是这些设备应该要进行锁定,保证只有经过授权的设备才能连接并查询。

此外,公开的服务器暴露应始终伴随着严格的用户策略、更改默认访问端口 (3306)、启用二进制日志记录、密切监视所有查询并执行加密。

360万个暴露的MySQL服务器

网络安全研究组织 Shadowserver Foundation在上周的扫描中发现了360万台暴露的 MySQL 服务器,它们全部都使用默认的端口——TCP 3306。

对于这一发现,Shadow Server在报告进行了解释:“虽然我们不检查可能的访问级别或特定数据库的暴露程度,但这种暴露是一个潜在的攻击面,应该引起企业的警惕并关闭。”

这些暴露的MySQL 服务器广泛分布于全球,其中分布最多的是在美国,数量超过120万台,其余则大多分布在中国、德国、新加坡、荷兰、波兰等多个国家。如下图所示,热力图标注了通过IPv4连接的MySQL 服务器的分布情况。

具体来说,IPv4上的总暴露数量是3957457,IPv6上的总暴露数量是1421010,IPv4上的服务器响应总数为2279908,IPv6上的服务器响应总数为1343993,所有MySQL服务中有 67% 可从 Internet 访问。

同时,Shadow Server 在报告中还表示,了解如何安全地部署 MySQL 服务器并消除可能潜伏在系统中的安全漏洞,可以阅读5.7 版指南或8.0版指南。

事实上,数据库保护不当是数据被盗最主要的原因之一,因此数据库管理员应始终锁定数据库,严格禁止未经授权的非法的远程访问。

例如上文已经暴露的MySQL数据库服务器就处于巨大的安全威胁之中,可能导致灾难性的数据泄露、破坏性攻击、勒索攻击、远程访问木马(RAT) 感染,甚至 Cobalt Strike 攻击,这些都将给企业业务和运营带来十分严重的影响。

因此,企业数据库管理员应进一步做好安全建设,并尽可能加密数据库,避免赤裸裸地暴露在互联网上,使其无法通过简单的网络扫描进行访问。企业数据库服务器如同原料车间,防止其暴露是最基本,也是最重要的指标。

]]>
数百个Elasticsearch数据库遭到勒索攻击 Sun, 03 Jul 2022 08:24:23 +0800 据报道,因为Elasticsearch数据库安全防护薄弱的缘故,导致其被黑客盯上,并被黑客用勒索信替换了其数据库的450个索引,如需恢复则需要支付赎金620美元,而总赎金打起来则达到了279,000美元。威胁行为者还设置了7天付款期限,并威胁在此之后赎金将增加一倍。如果再过一周没有得到报酬,他们说受害者会丢失索引。而支付了这笔钱的用户将得到一个下载链接,链接到他们的数据库转储,据称这将有助于快速恢复数据结构的原始形式。

该活动是由 Secureworks 的威胁分析师发现的,他们确定了450多个单独的赎金支付请求。根据Secureworks的说法,威胁行为者使用一种自动脚本来解析未受保护的数据库,擦除数据,并添加赎金,所以在这次行动中似乎没有任何人工干预。

而这种勒索活动并不是什么新鲜事,其实之前已经发生过多起类似的网络攻击,而且针对其他数据库管理系统的攻击手段也如出一辙。通过支付黑客费用来恢复数据库内容是不太可能的情况,因为攻击者其实无法存储这么多数据库的数据。

相反,威胁者只是简单地删除不受保护的数据库中的内容,并给受害者留下一张勒索信。到目前为止,在勒索信中看到的一个比特币钱包地址已经收到了一笔付款。但是,对于数据所有者来说,如果他们不进行定期备份,那么遇到这种情况并丢失所有内容就很可能会导致重大的经济损失。虽然一些数据库支持在线服务,不过总有业务中断的风险,其成本可能远远高于骗子要求的小额金额。此外,机构不应该排除入侵者窃取数据并以各种方式变卖数据的可能性。

不幸的是,还是有很多数据库在无任何保护的前提下暴露在公众视野前,只要这种情况继续存在,那它们肯定就会被黑客盯上。Group-IB最近的一份报告显示,2021年网络上暴露的 Elasticsearch 实例超过10万个,约占2021年暴露数据库总数的30%。根据同一份报告,数据库管理员平均需要170天才能意识到他们犯了配置错误,但这种失误已经给黑客留下了足够的攻击时间。

Secureworks强调,任何数据库都不应该是面向公众的。此外,如果需要远程访问,管理员应为授权用户设置多因素身份验证,并将访问权限仅限于相关个人。如果将这些服务外包给云提供商的机构,也应确保供应商的安全政策与他们的标准兼容,并确保所有数据得到充分保护。

]]>
继Conti后 哥斯达黎加社保基金再遭Hive勒索软件攻击 Sun, 03 Jul 2022 08:24:23 +0800 哥斯达黎加的公共卫生服务机构--哥斯达黎加社会保障基金(CCSS)近期遭受 Hive 勒索软件攻击,导致相关系统被迫下线。CCSS 在其官方Twitter帐号上表示,本次攻击始于本周二清晨,目前正在进行调查。

CCSS 表示,包括统一数字医疗系统和集中收税系统在内的几个工资和养老金数据库没有受到攻击的影响。在接受当地媒体采访中,该机构补充说,在 1500 台政府服务器中,至少有 30 台感染了 Hive 勒索软件,对恢复时间的估计仍是未知数。

CCSS 的几名员工说,在他们所有的打印机开始吐出难以理解的文件后,他们被告知要关闭他们的电脑。另一名员工说,由于这次攻击,目前无法报告 COVID-19 的结果。

这次攻击发生在哥斯达黎加总统罗德里戈·查韦斯宣布该国进入紧急状态以应对 Conti 勒索软件集团的网络攻击的几周之后。哥斯达黎加财政部是第一个被这个与俄罗斯有关的黑客组织攻击的政府机构,在5月16日的一份声明中,查韦斯说受影响的机构数量后来增加到 27 个。

在当时发布在其暗网泄密博客上的一条信息中,康蒂敦促哥斯达黎加公民向他们的政府施压以支付赎金,该组织将赎金从最初的 1000 万美元增加到 2000 万美元。在一份单独的声明中,该组织警告说。"我们决心通过网络攻击的方式推翻政府,我们已经向你们展示了所有的力量和实力"。

网络安全专家认为,这次最新的 Hive 勒索软件攻击背后的网络犯罪分子可能与 Conti 团伙合作,帮助该团伙重塑品牌,逃避针对向在俄罗斯活动的网络犯罪分子支付勒索款项的国际制裁。

]]>
ChromeLoader恶意软件:添加恶意扩展点击在线广告谋利 Sun, 03 Jul 2022 08:24:23 +0800 近日网络安全专家发现了一个新型恶意网络病毒,通过在浏览器中添加恶意扩展程序让受害者点击在线广告,从而为不法分子带来收入。据网络安全商店 Red Canary 的安全专家分析,该病毒称之为 ChromeLoader,设备一旦感染就很难发现和删除。

在 Windows 平台上,该恶意病毒会使用 PowerShell 向受害者的 Chrome 浏览器添加恶意扩展;在 macOS 平台上,它使用 Bash 向 Safari 发起相同的攻击。Red Canary 的检测工程师 Aedan Russell 在博文中详细介绍了该恶意程序。

ChromeLoader 注入的恶意扩展程序一旦添加到受害者的浏览器中,就会通过在线广告重定向用户,从而为不法分子带来收入。 Russell 告诉 The Register,Windows ChromeLoader 使用 PowerShell 插入更多恶意 Chrome 扩展程序的情况并不常见。

Russell 表示:

ChromeLoader 的开发人员已经找到了一种通过使用 Chrome 的合法开发人员命令行参数来收集广告收入的有效方法。

通过 PowerShell 加载 Web 浏览器扩展程序(并且默默地这样做)显示出高于标准的隐蔽性,因为其他恶意浏览器扩展程序通常是通过诱骗用户公开安装它们来引入的,通常伪装成合法的浏览器扩展程序。

ChromeLoader 通过以 ISO 文件的形式分发,该文件看起来像种子文件或破解的视频游戏,从而获得了对系统的初始访问权限。据 Red Canary 称,它通过按安装付费的网站和 Twitter 等社交媒体网络传播。

]]>
WhatsApp 新骗局曝光,可劫持用户账户 Sun, 03 Jul 2022 08:24:23 +0800 近日,CloudSEK 创始人 Rahul Sasi警告称,一个新的WhatsApp OTP 骗局正在被广泛利用,攻击者可以通过电话劫持用户的账户。

整个攻击过程极为简单,攻击者打电话给用户,诱导他们拨打以405或67开头的电话号码。一旦接通后,只需要几分钟用户就对账户失去了控制权,攻击者将会接管他们的账户。听起来这似乎有点不明所以,而Sasi也在Twitter 上解释了整个攻击场景,如下图所示:

攻击具体如何实现?

根据 Sasi 的说法,攻击者诱导用户拨打的电话号码是Jio 和 Airtel 在移动用户忙时进行呼叫转移的服务请求。因此当用户拨打了号码之后,实际上会转移到攻击者控制的号码,并迅速启动 WhatsApp 注册过程以获取受害者号码,要求通过电话发送OPT。

由于电话正忙,电话被定向到攻击者的电话,从而使他能够控制受害者的 WhatsApp 帐户。这就是攻击者在注销时获得对受害者 WhatsApp 帐户的控制权的方式。

尽管该骗局目前针对的是印度的 WhatsApp 用户,但 Sasi 解释说,如果黑客可以物理访问手机并使用此技巧拨打电话,攻击者可以破解任何人的 WhatsApp 帐户。

由于每个国家和服务提供商使用的服务请求编号都有些相似,因此这个技巧可能会产生全球影响。保护自己的唯一方法是避免接听来自未知号码的电话,并且不要相信他们拨打陌生号码。

WhatsApp多次遭攻击

同样是在2022年,安全研究人员发现,恶意攻击者在钓鱼活动中伪造了来自 WhatsApp 的语音信息通知,并且利用了合法的域名来传播恶意软件窃取信息。

云电子邮件安全公司 Armorblox 的研究人员发现了攻击者针对 Office 365 和 Google Workspace 账户进行攻击的恶意活动,在该活动中使用了与道路安全中心相关的域名来发送电子邮件,经调查该组织位于俄罗斯莫斯科地区。根据周二发表的一篇博客文章,该网站本身是合法的,它与莫斯科的国家道路安全有关,属于俄罗斯联邦内政部。

研究人员说,到目前为止,攻击者发送的邮件数量已经达到了 27660 个,该攻击活动通知受害者有一个来自 WhatsApp 聊天应用程序的 " 新的私人语音邮件 ",并附加了一个链接,并声称允许他们播放该语音。研究人员说,攻击的目标组织包括医疗保健、教育和零售行业。

攻击者的诈骗策略包括在那些发送的电子邮件中获得用户信任来进行社会工程学攻击;通过伪造 WhatsApp 合法品牌,利用合法的域名来发送电子邮件。

]]>
博主曝光iOS 15.5“时间与地点”出现严重bug 偷跑数十GB流量 Sun, 03 Jul 2022 08:24:23 +0800 在618之前,iPhone手机居然出现了重大系统bug,甚至还会“坑钱”。根据iPhone维修专业人士@麦子俊i 消息,近日有很多用户反馈称iOS 15.5的后台会偷跑流量,根据筛查发现,这背后的罪魁祸首就是【时间与地点】功能。

从多位网友的反馈来看,这次的bug问题非常普遍,很多用户被“偷吃”掉十几个GB的流量,一不小心就会造成流量超额,导致扣费。

如果有升级到iOS 15.5的用户,可以打通过【蜂窝网络】-【系统服务】-【时间与地点】路径,检查自己是否遇到了偷跑流量的问题。

该博主透露,目前他们正在测试3种方法的可行性,第一个是关闭定位,第二个关闭设置的联网权限,第三个是放弃资料刷15.6版本。

不过目前还在测试中,需要用以上方法详细测试后才能确定,如果大家遇到类似情况,比较严重的也可以尝试一下,但强刷方式不建议大多数用户采取。

]]>
南非总统的个人信贷数据泄露:该国已沦为“黑客乐园” Sun, 03 Jul 2022 08:24:23 +0800 据南非媒体《星期日泰晤士报》报道,黑客团伙SpiderLog$窃取了南非现任总统Cyril Ramaphosa自2000年代在国内四大银行之一的贷款详细记录。

多位政要信贷数据泄露

SpiderLog$称,这批数据来自另一个名为N4ugtysecTU的黑客团伙,而后者曾于今年早些时候入侵信用报告机构TransUnion,窃取了5400万消费者征信数据,几乎覆盖该国所有公民。

泄露数据集中包含Ramaphosa本人的家庭住址、身份证号码及手机号码。

TransUnion则澄清称,此次泄露的民政事务数据并非直接出自他们的服务器,而是黑客在之前的攻击中窃取获得。

Ramaphose并非唯一在TransUnion数据泄露事件中受影响的知名人士。

当时,N4ughtySecTU曾威胁要泄露总统Cyril Ramaphosa和南非在野党左翼经济自由斗士领导人Julius Malema的个人数据。

南非已沦为黑客“乐园”,国防/国安/情报等系统均存漏洞

SpiderLog$通过Ramaphosa的数据唤起了大众的警觉,让人们关注南非安全系统,特别是政府部门(包括国防和国家安全部门)所使用安全系统中的显著漏洞。

SpiderLog$团伙在采访中表示,“南非已经成为黑客们的乐园,任何人都能轻松绘制出南非的数字基础设施分布。”

据报道,SpiderLog$还向媒体提供了截图,证明自己已经能够访问敏感的军事和情报数据。

多家网络安全厂商发出警告,称黑客团伙发现的漏洞可能致使敏感军事和情报信息遭到拦截。

在其中一张截图中,SpiderLog$展示了其成功侵入的国防与国家安全部门网络邮件界面。

网络安全厂商WolfPack Information Risk与Umboko Sec也证实了SpiderLog$团伙的说法。

WolfPack Information Risk公司顾问Johan Brider表示,他们认为截图中体现的最大隐患,在于可以运行程序来获取国防部邮件访问凭证。

SpiderLog$团伙还能够识别出政府服务器、各域及互联网服务商的私有IP地址。

网络安全服务商Scarybyte公司战略主管也提到,目前企业的主流实践是使用代理服务器来隐藏IP地址,确保非必要时绝不暴露内部IP地址。

Umboko Sec公司主管Bongo Sijora则发布研究结论,认为南非政府在保护国家关键设施及部门免受网络威胁方面,至少存在180亿兰特(约合77.2亿人民币)的预算短缺。

近一年遭受多次重大网络攻击

过去一年,南非多个政府部门在严重网络攻击下沦为受害者。

2021年7月,南非国有物流公司Transnet的港口系统因勒索软件攻击而被迫关闭,导致南非各入境点发生严重的运输延误。

2021年9月,南非司法部同样遭受勒索软件攻击,导致其文件与系统无法正常访问。

司法部攻击事件也对各级法院和大法官办公室造成影响,连锁反应进一步波及到维护开支和遗产处置等其他关键事务。

最终,司法部耗时四个星期才设法通过物理记录恢复了数据,让部分在线服务重新开放。

]]>
万里数据库受MySQL制裁或断供?官方回应来了 Sun, 03 Jul 2022 08:24:23 +0800 万里数据库受MySQL制裁或断供,开源的也能断供?华为的基于pg,阿里的基于mysql,tidb底层存储基于rocksdb,国内一般要么是基于pg要么是基于mysql。

没想到mysql也叛变了?mysql的开源协议对个人用户是免费的,但企业拿mysql源码做修改或者干脆不做修改,而拿来进行商业销售或者转售,就需要花钱向mysql买商业授权。

人家可以卖给你,当然也可以不卖给你,这就叫断供。这就是华为拿postgresql做二次开发来发行guassdb做商业销售,而不用mysql的原因。因为postgresql的开源更友好,拿来商业销售或者转售,都不用买授权。而腾讯的tdsql基于mysql,是需要花钱买商业授权的。

创意信息5月27日在互动平台表示,万里数据库不会受MySQL制裁或断供影响,原因如下:

1.万里数据库核心部分为自主研发,存储节点基于GreatSQL开源技术;

2.GreatSQL开源项目虽属MySQL分支,但核心技术不受MySQL主干技术影响,属独立技术演进分支;

3.GreatSQL社区核心由万里数据库主导,不受国外厂商、组织影响。代码、技术均可控。

]]>
数百万美元乌克兰拖拉机被远程“变砖”,农业关基安全已迫在眉睫 Sun, 03 Jul 2022 08:24:23 +0800 安全内参5月30日消息,在俄乌战争大背景下,5月初美媒CNN曝出新闻:有身份不明的乌克兰人士远程破坏了价值500万美元的拖拉机。

当时,占领乌南部城市梅利托波尔的俄军士兵,从全球机械巨头约翰迪尔的经销商Agrotek-Invest处,偷走了这批价值500万美元的拖拉机设备。这批农用机械总计27台,很快被运往700英里以外的车臣,但俄军发现设备上装有“自毁开关”,导致白忙一场。

经销商Agrotek-Invest使用拖拉机上的嵌入式GPS技术跟踪设备。这些设备于5月1日在格罗兹尼附近的一处农场发生故障,不过消息人士称,俄方已经找来一位顾问,尝试破解设备上的数字保护机制。

有观察人士担心,恶意黑客可能会利用约翰迪尔或其他农机制造商的这项技术,把设备更新与监控等远程功能转化为攻击载体。一旦获得规模化应用,这类网络攻击很可能会破坏农业关键基础设施中的重要组成部分。

现代拖拉机早已成为智能机器

时至今日,机械巨头约翰迪尔等厂商所制造的农业设备,早已不是1980年代那种处理模拟操作量的类比式拖拉机和联合收割机,而是演变为持续生成大量农业数据的数字连接智能设备。

例如,现代拖拉机会配备轮上扭矩传感器,可用于测量土壤密度;底盘的湿度传感器,可用于测量土壤湿度;顶部的位置传感器,能以厘米精度在地块网格上绘制密度与湿度分布图。

乌克兰经销商在拖拉机上安装“自毁开关”的灵感来自汽车行业,也就是大家熟悉的识别码(VIN码)锁定。只有授权技术人员输入特殊代码,并在设备的内部网络上操作,才能解除车辆的VIN码锁定。约翰迪尔的VIN码锁定曾经受到诟病,因为公司拒绝农民在维修过程中访问农机设备上运行的计算机软件。但该农机巨头则辩解称,农民无权访问设备上的专有代码。

由拖拉机引发的维修权利运动

面对企业方的粗暴拒绝,美国掀起了“维修权”运动,要求政府修改《数字千年版权法》(DMCA)。运动的基本主张,是要求约翰迪尔及其他设备制造商向农民们“开放与经销商相同的农业设备诊断与维修信息”。但约翰迪尔公司对此表示极力反对。

由于双方僵持不下,美国农民开始从乌克兰购买破解版的约翰迪尔软件,包括诊断程序、有效载荷文件及电子数据链路驱动程序。事实证明,乌克兰鼓捣拖拉机的历史可以一直追溯到1930年代。作为当时的“游戏规则改变者”,拖拉机的普及将乌克兰农民推向了农业集体化的新时代。

2015年,美国版权局批准了《数字千年版权法》豁免条款,允许用户修改“包含在机动地面载具(包括私家车、经营用机动车辆或机械化农用车辆)当中,用于控制其功能的计算机程序……前提是确有必要对车辆功能进行诊断、维修或合法修改。”然而,维修权运动的倡导者们认为这一豁免范围过于狭窄。

可破解的拖拉机很容易被入侵

维修权倡导者Kevin Kenney认为,设备制造商对于车辆软件的远程控制会致使农产品及食品供应易受破坏。

2016年,FBI和美国农业部曾发布公开警告,称“随着农民越来越依赖于数字化数据,粮食和农业部门遭受网络攻击的风险也随之提升。”

然而,当时的警告主要针对勒索软件和黑客团伙大量窃取农场数据,“窥探美国农业资源与市场趋势”。虽然意图有所不同,但警告中的恶意手段与近期一位安全研究人员的测试结果一致。该研究员发现,可以利用开源日志记录工具中的漏洞,同时远程访问25辆特斯拉汽车的数据。

今年5月,美国拖拉机制造商AGCO因勒索软件攻击而被迫停产。但与窃取拖拉机数据乃至逼停制造商工厂相比,接入全国拖拉机设备并将其集体关闭,无疑代表着更高数量级的影响和危害。

恶意黑客真能破解并关停拖拉机吗?

随着乌克兰拖拉机被远程瘫痪,新的问题摆在我们面前:恶意黑客能不能以相同的方法入侵大量拖拉机,以瘫痪生产能力的方式破坏目标国家的农产品和粮食供应?

作家兼活动家Cory Doctorow认为完全有可能,至少会产生一定程度的影响。他在评论中写道,约翰迪尔的信息安全水平“令人沮丧”,“考虑到约翰迪尔部署的自毁开关再加上该公司脆弱的安全水平,只要是拥有中等水平的黑客,就有可能夺取到这些将车臣盗窃拖拉机全体「变砖」的工具。”

俄亥俄州立大学食品、农业与生物工程学教授兼农业专家John Fulton认为,黑客给农业生产体系造成重大损害的唯一方式,就是入侵大型农机设备制造商。但他在采访中表示,即使选择了这条攻击路线,恶意黑客也必须逐个农场开展入侵,这样低下的效率很难真正对一个国家的农业生产造成实质性影响。

在他看来,“如果恶意黑客想要攻击农场,那他们应该会先从农机制造商下手。”但总的来说,Fulton还是认为农机设备的可追踪和可禁用功能是件好事。“如果有人偷了你的车,你当然希望能把车找回来。这时候就得依靠GPS加联网功能,只要能够防范这类损失,我就觉得这项技术有其积极的一面。”

30年前,Fulton曾经造访过乌克兰,帮助对方在苏联解体后重建基础设施并扩大农业生产规模。他说,那时候乌克兰农民使用的都是些“破旧的设备”。

在他看来,经销商在拖拉机上部署“自毁开关”、乌克兰农民珍视自己的生产工具,这都是理所当然的行为。“因为从事农业生产的工作者们很清楚,正是这些农机帮助他们走出了八十年代的困苦生活。”

]]>
《安联智库-网安周报》2022-05-29 Sun, 03 Jul 2022 08:24:23 +0800

1、淘宝宣布禁止销售IP代理服务:6月3日正式生效

前不久,微博、知乎、抖音等平台陆续上线了显示用户IP属地功能,在个人主页、评论上都会标注当前属地,定位到省/直辖市。
据报道,这也让付费IP代理的生意红火了起来,然而这本就一个黑灰产业。在一些电商平台上,已经出现了付费IP代理的业务,有的目的性非常明显,直接指明可以更改微博、抖音的IP归属地。
日前,淘宝平台发布《淘宝平台违禁信息管理规则》,明确禁止销售IP修改/代理/伪造的软件及服务。淘宝宣布禁止销售IP代理服务:6月3日正式生效
有二手电商平台客服表示,虚拟商品属于一些有风险的商品,特别是关于这种IP属地代理,更改一些它本身用途的网络虚拟商品,平台是不建议售卖的,且平台每天都会处理大量违规的商品和账号。
2、35岁程序员炒Luna 千万资产3天归零:奉劝大家别妄想一夜暴富

今年35岁的程序员郭瑞度过了自己人生中最灰暗的一周。他向公司请了一周假,每天无法入睡,只有在妻子的逼迫下才能吃上一点食物。

他时刻盯着手机里的消息,妄图在纷繁的消息中看到一丝他所购入的Luna代币可能涨起来的消息,但是数据却一次次跌破他的预期——50美元、20美元、1美元、0.00000112美元……

当然,巨大的危机之中也孕育着希望,也有人在这次暴跌中,通过加杠杆做空、在各个交易所和链上搬砖、又或是成功抄底而挣得巨款。

Luna暴跌的那几天,郭瑞几近崩溃的同时也怀抱幻想。他会去过度解读很多消息,总觉得会有一个外部力量,或潜在的方案来解决这次危机。看着账户里的资产一点点缩水,为了挽回自己的损失,他拿出了本来已经出逃的十几万元去做了波段,但Luna的下跌速度太快了,好不容易逃出来的十几万元也全部亏了进去。

3、媒体评争议数学教材插图:育人读物不该成毁人“毒物”

一“丑”众人怒!5月26日,人教版数学教材插图被指“人物插图丑陋、歪曲审美,出现文身、隐私部位”,引发热议,一连上了7个热搜。对此,人民教育出版社回应称,已着手重新绘制有关册次数学教材封面和部分插图,改进画法画风,提高艺术水平。

随着事件的发酵,网友们陆续发现,不止人教版的小学教材,另外一些出版社也存在问题。比如江苏《东方娃娃》期刊有限公司的儿童绘本《流汗啦!》中,两男孩捧着一女孩手臂舔汗的配图让人深感不适;再比如某一版幼儿读物讲解儿童游戏时,堂而皇之地画了小男孩掀小女生的裙子,很难不让人产生儿童读物大打色情擦边球的联想和质疑。

从人教版数学教材,到奇奇怪怪的儿童绘本,大众为何如此愤怒和担忧?

关乎审美,却又不单单是审美的问题!

教材课本、绘本读物,不仅仅是开启文化知识视野的窗口,更在潜移默化间承载着审美培养、价值观塑造的作用和功能。一幅幅插画,很可能构建起一个孩子对于世界的认知和想象,并以此为基础,形成人生观、世界观和价值观,教会孩子们怎样去绘就自己的人生,树立怎样的价值取向。尤其是对于低年级的孩子来说,图片是非常重要的认知渠道,有着不可忽视的启蒙作用。反观上述插图,小女孩文身、小男孩隐私部位明显、小学生吐舌头怪诞比“耶”……这是要给孩子们一种怎样的引导?

至于这样的“问题教材”“问题绘本”是如何通过层层审核出版发行的,有关部门不能避而不谈。这次教材插图引发公众不满,也在提醒教材的编写者和出版方,呈现给孩子们一个符合主流审美的、积极向上的世界,是义务更是责任。从法律角度来讲,我国出版管理条例明确规定:以未成年人为对象的出版物不得含有诱发未成年人模仿违反社会公德的行为和违法犯罪的行为的内容,不得含有恐怖、残酷等妨害未成年人身心健康的内容。孩子们的文化读物,应该经得起网络放大镜的审视,不能让读物成了“毒物”!

4、新暗网市场Industrial Spy或已加入勒索软件攻击大军

近日,有观察发现,新暗网市场Industrial Spy正在对受害者设备进行加密并尝试推出自己的勒索计划。此前,Industrial Spy并没有对受攻击的公司进行敲诈,而是将自己宣传为一个市场,公司可以在其中购买竞争对手的数据来获取商业机密、制造图纸、会计报告和客户数据库。

Industrial Spy市场提供不同级别的数据产品,其中“高级”被盗数据包价值数百万美元,而较低级别的数据甚至可以作为单个文件以低至2美元的价格出售。例如,Industrial Spy目前正在以140万美元的价格出售一家印度公司的高级别数据,以比特币支付。

为了推广他们的服务,攻击者会与广告软件加载程序和假破解网站合作来传播恶意软件,这些恶意软件会在设备上创建README.txt文件,而这些文件中正包含了推广信息。

Industrial Spy加入勒索软件大军

上周,安全研究小组MalwareHunterTeam发现了一个新的Industrial Spy恶意软件样本,然而这次看起来更像是勒索信,而不是推广的文本文件。这封勒索信称Industrial Spy的攻击者不仅窃取了受害者的数据而且还对其进行了加密。

“非常不幸,我们不得不通知您,您的公司正面临着威胁,所有的文件都被加密,而没有我们的私钥您将无法将其恢复。如果您试图在没有我们帮助的情况下自行恢复,很可能会导致这些数据完全丢失”,勒索信中这样写道,“此外,我们研究了您整个公司的网络,并已将所有敏感数据下载到我们的服务器上。如果在未来3天内没有收到您的任何回复,我们将在Industrial Spy网站上公布您的数据。”

]]>
媒体评争议数学教材插图:育人读物不该成毁人“毒物” Sun, 03 Jul 2022 08:24:23 +0800 一“丑”众人怒!5月26日,人教版数学教材插图被指“人物插图丑陋、歪曲审美,出现文身、隐私部位”,引发热议,一连上了7个热搜。对此,人民教育出版社回应称,已着手重新绘制有关册次数学教材封面和部分插图,改进画法画风,提高艺术水平。

随着事件的发酵,网友们陆续发现,不止人教版的小学教材,另外一些出版社也存在问题。比如江苏《东方娃娃》期刊有限公司的儿童绘本《流汗啦!》中,两男孩捧着一女孩手臂舔汗的配图让人深感不适;再比如某一版幼儿读物讲解儿童游戏时,堂而皇之地画了小男孩掀小女生的裙子,很难不让人产生儿童读物大打色情擦边球的联想和质疑。

从人教版数学教材,到奇奇怪怪的儿童绘本,大众为何如此愤怒和担忧?

关乎审美,却又不单单是审美的问题!

教材课本、绘本读物,不仅仅是开启文化知识视野的窗口,更在潜移默化间承载着审美培养、价值观塑造的作用和功能。一幅幅插画,很可能构建起一个孩子对于世界的认知和想象,并以此为基础,形成人生观、世界观和价值观,教会孩子们怎样去绘就自己的人生,树立怎样的价值取向。尤其是对于低年级的孩子来说,图片是非常重要的认知渠道,有着不可忽视的启蒙作用。反观上述插图,小女孩文身、小男孩隐私部位明显、小学生吐舌头怪诞比“耶”……这是要给孩子们一种怎样的引导?

艺术无局限,但纵使审美各异,未成年人美育引导也应该慎之又慎,选择符合未成年人心理健康发展的画风,展现真善美,传递正能量。从这个角度来讲,网友的担心不无道理,未成年人美育引导再审慎也不为过。

至于这样的“问题教材”“问题绘本”是如何通过层层审核出版发行的,有关部门不能避而不谈。这次教材插图引发公众不满,也在提醒教材的编写者和出版方,呈现给孩子们一个符合主流审美的、积极向上的世界,是义务更是责任。从法律角度来讲,我国出版管理条例明确规定:以未成年人为对象的出版物不得含有诱发未成年人模仿违反社会公德的行为和违法犯罪的行为的内容,不得含有恐怖、残酷等妨害未成年人身心健康的内容。孩子们的文化读物,应该经得起网络放大镜的审视,不能让读物成了“毒物”!

近年来,从“邪典动画”到儿童服饰暴力图案,再到引人担忧的教材插图,曾经容易被公众忽视的可能对未成年人造成错误引导的因素被频频关注,这也恰恰说明人们对公共产品的价值导向有了更高的要求。公共产品应该听取公众意见、接受公众监督,全方位呵护未成年人成长需要全社会共同努力。

正如一位网友所说:“为什么问题插画会让大家如此震怒?因为我们曾在童年的课本上,见过真正的纯真和美好。《海滨小城》中浩瀚的大海、月色下目光如炬的少年闰土,这些画面带给当时的我无限遐想。”

这就是书本的力量。十年树木,百年树人,教育是国之大计,一字一句、一图一画都大意不得,更不能等到公众发现问题、出现舆情才做整改!

]]>
淘宝宣布禁止销售IP代理服务:6月3日正式生效 Sun, 03 Jul 2022 08:24:23 +0800 前不久,微博、知乎、抖音等平台陆续上线了显示用户IP属地功能,在个人主页、评论上都会标注当前属地,定位到省/直辖市。

据报道,这也让付费IP代理的生意红火了起来,然而这本就一个黑灰产业。

在一些电商平台上,已经出现了付费IP代理的业务,有的目的性非常明显,直接指明可以更改微博、抖音的IP归属地。

日前,淘宝平台发布《淘宝平台违禁信息管理规则》,明确禁止销售IP修改/代理/伪造的软件及服务。

淘宝宣布禁止销售IP代理服务:6月3日正式生效

此次规则变更于2022年5月27日公示,将于2022年6月3日正式生效。

据此前报道,有电商平台卖家称,最近找IP代理的人确实增多,自己出售的服务,可更改手机或电脑的IP地址,并且支持所有的平台,所有品牌的手机。

在一些平台上,有商家标榜批发走量国内静态IP,独享IP,5元一条。

不过,目前一些平台上“IP代理”等关键词搜索结果已经被屏蔽。

有二手电商平台客服表示,虚拟商品属于一些有风险的商品,特别是关于这种IP属地代理,更改一些它本身用途的网络虚拟商品,平台是不建议售卖的,且平台每天都会处理大量违规的商品和账号。

]]>
女子在元宇宙游戏遭性侵 涉事平台Meta回应 Sun, 03 Jul 2022 08:24:23 +0800 据中国日报报道,近日,一名女子在元宇宙中被一名陌生人“性侵”,引起广泛关注。元宇宙是用户以虚拟形象进行互动的虚拟空间。美国科技巨头Meta去年12月发布了一款以元宇宙为概念的在线游戏《地平线世界》,用户可通过虚拟形象,与其他玩家一同参与游戏。

受害者是一名21岁女性,她在《地平线世界》中创建了一个女性虚拟形象,想通过体验”元宇宙“完成相关研究。而在不到一小时的时间内,她便遭到一位男性虚拟人物的“性侵”,当时旁边还有另一位旁观者在起哄。由于虚拟人物的接触能使玩家手中的控制器产生振动,受害者感到非常不适。

受害者将这次经历通过其所在的研究机构向外公布,Meta的发言人对此回应称,受害人很遗憾地没有开启《地平线世界》的多项安全功能,其中“个人边界”功能会在玩家周围形成半径大约一米的“防护罩”,使得其他虚拟人物无法触碰,以此杜绝骚扰。研究网络骚扰的华盛顿大学研究院凯瑟琳表示,发生在虚拟世界和现实世界的性侵并无太大区别,会令人们产生相同的心理和神经系统反应。

]]>
35岁程序员炒Luna 千万资产3天归零:奉劝大家别妄想一夜暴富 Sun, 03 Jul 2022 08:24:23 +0800 今年35岁的程序员郭瑞度过了自己人生中最灰暗的一周。他向公司请了一周假,每天无法入睡,只有在妻子的逼迫下才能吃上一点食物。

他时刻盯着手机里的消息,妄图在纷繁的消息中看到一丝他所购入的Luna代币可能涨起来的消息,但是数据却一次次跌破他的预期——50美元、20美元、1美元、0.00000112美元……

这个在加密货币市场市值排名最高一度达到第四的明星数字货币,曾经在2021年以上百倍的涨幅成就了无数人的财富梦想,又在短短的几天之内,让无数账户上的数字蒸发。

当然,巨大的危机之中也孕育着希望,也有人在这次暴跌中,通过加杠杆做空、在各个交易所和链上搬砖、又或是成功抄底而挣得巨款。

据凤凰WEEKLY报道称,Luna暴跌的那几天,郭瑞几近崩溃的同时也怀抱幻想。他会去过度解读很多消息,总觉得会有一个外部力量,或潜在的方案来解决这次危机。

看着账户里的资产一点点缩水,为了挽回自己的损失,他拿出了本来已经出逃的十几万元去做了波段,但Luna的下跌速度太快了,好不容易逃出来的十几万元也全部亏了进去。

赏金猎人也在情绪的主导之下做了波段,甚至加杠杆做了合约。第一天做波段挣了2.5万美金,第二天做合约又爆掉了1.6万美金。当看清楚了死亡螺旋的本质后,他选择了做空,加了五倍的杠杆。但是此时的Luna波动性很高,一个20%的波动,就让他爆仓了。

他回忆,进入币圈这几年,每次心态的炸裂和亏钱,都是因为加杠杆做了合约,而每次又会在情绪上头的时候想去做合约,从而陷入死循环。5月10日,他又花了1万元去抄底Luna,5月11日割肉卖掉,亏损80%。

也正是因为暴跌,Luna出圈了,从底部上涨到最高点近千倍,无数抄底成功的人又挣得了一大笔,微博上有许多币圈外投资者开始询问Luna如何购买。币圈小白李诗札在朋友影响下,花80美元以0.00037美元一个的价格在高点总共购买了20多万个Luna。买下之后,她也开始幻想,“要是这币涨回120美金一个,这得是多少钱啊?”

当最新的提案通过社区公投之后,曾经的Luna将更名为Lunc,交给社区管理。看到这个消息时,李诗札突然意识到,旧Luna再无上涨的可能了,“怎么可能再涨呢?就算是庄家想要控盘割韭菜,也不会选这种上方套了这么多人的币种了,盘拉起来一点就会有人抛,价格拉都拉不上来啊。”此时,李诗札所购买的Luna的价格已经拦腰斩断

]]>
新暗网市场Industrial Spy或已加入勒索软件攻击大军 Sun, 03 Jul 2022 08:24:23 +0800 近日,有观察发现,新暗网市场Industrial Spy正在对受害者设备进行加密并尝试推出自己的勒索计划。此前,Industrial Spy并没有对受攻击的公司进行敲诈,而是将自己宣传为一个市场,公司可以在其中购买竞争对手的数据来获取商业机密、制造图纸、会计报告和客户数据库。

Industrial Spy市场提供不同级别的数据产品,其中“高级”被盗数据包价值数百万美元,而较低级别的数据甚至可以作为单个文件以低至2美元的价格出售。例如,Industrial Spy目前正在以140万美元的价格出售一家印度公司的高级别数据,以比特币支付。

为了推广他们的服务,攻击者会与广告软件加载程序和假破解网站合作来传播恶意软件,这些恶意软件会在设备上创建README.txt文件,而这些文件中正包含了推广信息。

Industrial Spy加入勒索软件大军

上周,安全研究小组MalwareHunterTeam发现了一个新的Industrial Spy恶意软件样本,然而这次看起来更像是勒索信,而不是推广的文本文件。这封勒索信称Industrial Spy的攻击者不仅窃取了受害者的数据而且还对其进行了加密。

“非常不幸,我们不得不通知您,您的公司正面临着威胁,所有的文件都被加密,而没有我们的私钥您将无法将其恢复。如果您试图在没有我们帮助的情况下自行恢复,很可能会导致这些数据完全丢失”,勒索信中这样写道,“此外,我们研究了您整个公司的网络,并已将所有敏感数据下载到我们的服务器上。如果在未来3天内没有收到您的任何回复,我们将在Industrial Spy网站上公布您的数据。”

经研究人员测试显示,Industrial Spy确实对文件进行加密,但不同于大多数其他勒索软件家族,它不会在加密文件的名称上附加新的扩展名,如下所示。

勒索软件专家Michael Gillespie对此进行了解读,他一眼就认定它使用的是DES加密,RSA1024公钥加密。

该勒索软件还使用了0xFEEDBEEF的文件标记,这是在别的勒索软件家族中从未见过的。当然,我们不应该把这个文件标记与在编程中使用的那个著名的神奇调试值0xDEADBEEF混淆。

在加密文件的同时,Industrial Spy勒索软件在设备上每个文件夹中都会创建名为“README.html”的勒索记录,这些勒索记录包含一个TOX id,受害者可以使用它来联系勒索软件团伙并协商赎金。

或与 勒索团伙Cuba有关联?

当研究勒索信中的TOX ID和电子邮件地址时,MalwareHunterTeam小组发现了一个Industrial Spy与勒索团伙Cuba的奇怪联系。

上传到VirusTotal的勒索软件样本会创建一个带有相同TOX ID和电子邮件地址的勒索记录。 但是,它没有链接到Industrial Spy Tor的站点,而是链接到勒索团伙Cuba的数据泄露网站并使用相同的文件名。众所周知,!! READ ME !!.txt,是勒索团伙Cuba的赎金票据。另外还有一点值得一提,加密文件还附加了.Cuba扩展名,就像平时勒索团伙Cuba在加密文件时所做的那样。

虽然这并不能百分百肯定地将这两个组织联系在一起,但研究人员推测很可能Industrial Spy的攻击者在测试他们的勒索软件是使用了勒索团伙Cuba的信息。

这还有待安全研究人员和分析人士继续保持密切关注与进一步的探索。

]]>
谷歌关闭了两家俄罗斯ISP的缓存服务器 Sun, 03 Jul 2022 08:24:23 +0800 两家俄罗斯互联网服务提供商(ISP)收到Google的通知,称其网络上的全球缓存服务器已被禁用。缓存服务器是一个isp绑定节点,用于更快地向互联网用户提供谷歌内容,并在中断期间也可保持访问。缓存对于流行的YouTube内容是最重要的,isp可以将这些内容存储在服务器上,并更快地加载,给他们的订阅者更好的连接体验。

俄罗斯新闻媒体试图确认哪些实体受到了这一举措的影响,并证实Radiosvyaz(Focus Life)和MIPT Telecom会受到此次决定的影响。不过俄罗斯最大的移动网络提供商MTS和MegaFon提供商报告称目前没有任何变化,而 VimpelCom、T2 RTK 控股和 ER-Telecom 拒绝就此事发表评论。

确认受影响的两家ISP已5月 19日关闭其缓存服务器,随后几天他们也收到了Google的通知。MIPT Telecom已与RBC.ru分享了他们从 Google 收到的通知,该通知确认了报告的有效性和所提供的理由。在通知中,谷歌表示关闭缓存服务器的原因是法律实践的变化,并指出公司和关键人物被列入制裁名单。

虽然此项制裁会对这两家俄罗斯ISP产生较大的影响,但好在这两家公司在俄罗斯国内的市场份额相对较小,所以也就不会对俄罗斯网民产生多大的影响。但是,如果谷歌将禁令扩大到所有俄罗斯互联网提供商,那么公司及其客户的情况都会发生巨大变化。谷歌的全局缓存可以减少70%到90%的外部流量,这取决于ISP运营商的最终用户的内容消费模式。失去服务会增加他们的运营成本,这可能会渗入订阅用户的每月账单里。

除此之外,关闭缓存服务器不仅会威胁 YouTube 视频加载速度。它还将影响存储在同一系统上的服务器,例如 Google CAPTCHA。如果isp被禁用了这项服务,区分人类和机器人的系统可能无法在俄罗斯的网站上运行。

值得注意的是,俄罗斯的谷歌子公司在该国第一台缓存服务器关闭之前就启动了破产程序。

由于法院对Roskomnadzor因不遵守封锁要求而提出的索赔,且该公司被处以1亿美元巨额,所以该公司表示无法继续在俄罗斯开展业务。此外,莫斯科仲裁法院批准没收其价值约32,500,000美元的当地资产,以回应NTV、TNT、ANO TV-Novosti (RT)、TV Channel 360、VGTRK、Zvezda等被谷歌删除频道的YouTube频道所有者提交的几项提议。然而,谷歌的当地子公司并没有参与在俄罗斯提供缓存服务,因为这是谷歌全球业务的一部分,所以这两个问题没有联系,至少在技术层面上是这样。

]]>
微信、支付宝会被下架?美法案拟封杀支持数字人民币应用 Sun, 03 Jul 2022 08:24:23 +0800 北京时间5月27日消息,一份立法提案副本显示,美国共和党参议员希望禁止包括苹果和谷歌在内的美国应用商店,提供允许使用中国数字人民币支付的应用。

这份法案将由参议员汤姆·科顿(Tom Cotton)、马可·卢比奥(Marco Rubio)和迈克·布劳恩(Mike Braun)在周四公布,要求拥有或控制应用商店的公司“不得在美国境内的应用商店中提供或支持任何支持或允许数字人民币交易的应用”。

在此之前,腾讯微信已在今年年初宣布支持数字人民币,蚂蚁集团的支付宝也已接受数字人民币。目前,微信和支付宝都在苹果和谷歌应用商店上架。

尽管美国国会两党在某些方面达成了罕见共识,但该法案在中期选举前获得通过的前景仍不确定。苹果、谷歌、腾讯以及蚂蚁集团尚未置评。

]]>
新型勒索软件Cheers正攻击VMware ESXi 服务器 Sun, 03 Jul 2022 08:24:23 +0800 据Bleeping Computer网站5月25日消息,一种名为“Cheers”的新型勒索软件出现在网络犯罪领域,目标是针对易受攻击的 VMware ESXi 服务器。

VMware ESXi 是全球大型组织普遍使用的虚拟化平台,因此对其进行加密通常会严重破坏企业的运营。近期已有多个针对 VMware ESXi 平台的勒索软件组,包括 LockBit 和 Hive。而Cheers 勒索软件由趋势科技最新发现,并将新变种称为“Cheerscrypt”。

当Cheers攻击VMware ESXi 服务器时,会启动加密器,它会自动枚举正在运行的虚拟机并使用以下 esxcli 命令将其关闭:

esxcli vm process kill –type=force –world-id=$(esxcli vm process list|grep ‘World ID’|awk ‘{print $3}’)

在加密文件时,Cheers会专门寻找具有 .log、.vmdk、.vmem、.vswp 和 .vmsn 扩展名的文件。这些文件扩展名与 ESXi 快照、日志文件、交换文件、页面文件和虚拟磁盘相关联。每个加密文件都会在其文件名后附加“ .Cheers ”扩展名,但文件重命名发生在加密之前,所以如果重命名文件的访问权限被拒绝,加密会失败,但文件仍然会被重命名。

加密方案使用一对公钥和私钥来派生一个秘密(SOSEMANUK 流密码)密钥并将其嵌入每个加密文件中。用于生成密钥的私钥被擦除以防止恢复。

在扫描文件夹以查找要加密的文件时,勒索软件将在每个文件夹中创建名为“ How To Restore Your Files.txt ”的勒索记录。这些赎金记录包括有关受害者被加密文件情况的信息、Tor 数据泄露站点和赎金缴纳站点的链接。每个受害者都有一个唯一的 Tor 站点,但数据泄露站点 Onion URL 是静态的。

根据 Bleeping Computer 的研究,Cheers似乎于 2022 年 3 月开始运作,虽然迄今为止只发现了 Linux 勒索软件版本,但不排除也存在针对Windows系统的变体。

Bleeping Computer 发现了 Cheers的数据泄露和受害者勒索 Onion 网站,该网站目前仅列出了四名受害者。但该门户的存在表明 Cheers 在攻击期间执行数据泄露,并将被盗数据用于双重勒索攻击。

通过观察,这些受害者都是比较大型的企业组织,似乎目前的新型勒索软件组织更青睐于这些“大目标”以满足勒索需求。

根据调查赎金记录,攻击者给受害者三天的时间来登录提供的 Tor 站点以协商赎金支付,从而换取有效的解密密钥。如果受害者不支付赎金,攻击者表示他们会将被盗数据出售给其他同行,给受害者带来更大威胁和损失。

]]>
因欺骗性定向广告,推特遭1.5亿美元巨额罚款 Sun, 03 Jul 2022 08:24:23 +0800 Bleeping Computer 网站披露,美国联邦贸易委员会(FTC)将对推特处以 1.5 亿美元巨额罚款,原因是该公司将收集到的电话号码和电子邮件地址,用于定向广告投放。

根据法庭披露出的信息来看,自 2013 以来,Twitter 以保护用户账户为理由,开始要求超过了 1.4 亿用户提供个人信息,但并没有告知用户这些信息也将允许广告商向其投放定向广告。

推特此举违反了联邦贸易委员会法案和 2011 年委员会行政命令,这些法案明确禁止了该公司歪曲隐私和安全做法,并从欺骗性的收集数据中获利。

据悉,早在 2009 年 1 月至 5 月期间,在黑客获得推特的管理控制权后,该公司未能保护用户的个人信息,行政命令随之颁布。

 推特遭受巨额罚款 

FTC 主席 Lina M. Khan 表示,Twitter 以进行安全保护为由,从用户处获得数据,但最后也利用这些数据向用户投放广告,这种做法虽然提高了 Twitter 的收入来源,但也影响了超过 1.4 亿 Twitter 用户,1.5 亿美元的罚款侧面反映了 Twitter 这一做法的严重性。

美国检察官 Stephanie M. Hinds 强调,为防止威胁用户隐私,今后将实施大量新的合规措施,联邦贸易委员会拟议命令的其他条款包括以下几条:

1. 禁止 Twitter 从欺骗性收集的数据中获利;

2. 允许用户使用其他多因素身份验证方法,比如不需要用户提供电话号码的移动身份验证应用程序或安全密钥;

3. 通知用户 ,twitter 滥用了为帐户安全而收集的电话号码和电子邮件地址,以并提供有关  Twitter  隐私和安全控制的信息;

4. 实施和维护全面的隐私和信息安全计划,要求公司检查和解决新产品的潜在隐私和安全风险;

5. 限制员工访问用户的个人数据;

6. 如果公司遇到数据泄露,需立刻通知 FTC。

目前,推特已同意与联邦贸易委员会达成和解,支付1.5亿美元的民事罚款,并对使用用户信息进行广告盈利事件道歉。

除此之外,在联邦法院批准和解后,推特也将实施新的合规措施以改善其数据隐私做法。

 类似案件 

2018 年也发生了非常相似的事情,当时Facebook为其所有用户构建了复杂的广告配置文件,从用户的2FA电话号码到从其朋友个人资料中收集的信息,应有尽有。

后来,Facebook使用用户的2FA电话号码作为附加载体,投放有针对性的广告。

]]>
印度第二大航司遭勒索软件攻击,大量乘客滞留在机场 Sun, 03 Jul 2022 08:24:23 +0800 5月26日消息,印度香料航空公司(SpiceJet)表示,由于系统在周二(5月24日)受“勒索软件攻击”影响,已有多次航班延误,大量乘客滞留机场。

目前香料航空官网只有主页能够正常访问,大部分底层系统和网页均无法加载。

但航班状态表仍然正常显示,可以看到其中有大量航班发生了延误,时间从两小时到五小时不等。

官方声称已解决问题,但仍有大量乘客被困机场

5月25日,数个航班仍然延误,乘客们也因服务不到位而牢骚满腹。

大量乘客在推特发布照片和视频,抱怨登机后已经枯等几个小时,但香料航空方面未做任何回应。

香料航空后来在一份声明中指出,问题已经得到解决。

该公司在推文中写道,“我们的IT团队控制并解决了当前问题,现在航班运行已恢复正常。”

但就在推文发布之后,不少乘客在社交媒体上表示自己仍被困在各地机场,已经在饥渴难耐下等待了好几个小时,而期间地勤人员几乎未做任何沟通。

其中一名乘客Mudit Shejwar在推特上提到,他飞往达兰萨拉镇的航班已经延误了三个多小时。

“我们已经登机80分钟了,还是没有起飞。机组人员传达的唯一消息就是有服务器宕机,另外跟燃油相关的文书手续存在问题。真是这样吗?”

有其他乘客在推文中@香料航空,向他们询问航班状态信息。也有人抱怨“登机口那边的地勤人员不知道哪去了”。

还有人提到运营并未恢复,而且工作人员自己也不了解情况。

一位乘客在推文中写道,“我们这边有老人、有孩子,大家被困在没吃没喝的地方。舱门那边没人,也得不到任何新消息。”另有乘客抱怨打不通航空公司的客服热线。

东部西孟加拉邦机场的一名乘客还发出他妻子脚部骨折的照片,同样提到他们的航班延误达数小时。

香料航空经营出现问题,遇到严重的财务困境

根据公开数据,香料航空是印度第二大航空公司,运营着总计102架飞机组成的机队,航班覆盖60多个目的地。香料航空员工超过14000名,在印度国内拥有约15%的市场份额。

因此,这次对香料航空运营体系的网络攻击,直接影响到飞往印度及海外各国的众多乘客。几个小时的延误,将转化为巨大的经济损失。

2020年1月,香料航空就曾经确认过一起数据泄露事件。该公司某个未受妥善保护的服务器遭到未授权个人访问,数据库备份文件意外流出。

这个备份文件包含过去一个月中,曾使用香料航空服务的120万乘客的未加密信息,包括乘客全名、航班信息、电话号码、邮件地址和出生日期。

自2020年以来,管理印度各地机场的印度机场管理局就明确将香料航空划入“现结现付”模式,即取消该公司的信用资格,理由是香料航空根本无力结清机场使用费。

2021年,香料航空因新冠抗疫政策而遭遇严重的财务困境。疫情直接导致机队停飞,年收入大跌28%,进而威胁到了公司业务的可持续运营。

不难想象,糟糕的财务状况自然也挤压了网络安全与事件响应的投资预算。本次攻击中的恶意黑客也许正是看准时机,才决定向香料航空果断发难。

]]>
周鸿祎谈邮件诈骗:你拦不住邮件 就会有恶意攻击 Sun, 03 Jul 2022 08:24:23 +0800 5月25日消息,360集团创始人周鸿祎发微博称,之所以大量攻击防火墙难以防范,是因为拦不住邮件,尤其是假借单位名义等看似很正常的邮件,点开就可能遭受恶意的网络攻击。

周鸿祎称,比如邮件标示“今年加薪名单”“今年要提拔人的名单”等,再做成Excel表格或PDF、Word文档,就会让人忍不住点开。

近日,#搜狐全体员工遭遇工资补助诈骗# 登上微博热搜,网传微信群聊记录显示,搜狐全体员工收到一封发送域名属于公司、名为《5月份员工工资补助通知》的邮件,大量员工按照附件要求扫码,并填写了银行账号等信息,最终不但没有等到所谓的补助,工资卡内的余额也被划走。

搜狐CEO张朝阳回应称,事情并不像大家想象那么严重,发现后技术部门做了紧急处理,被盗金额总额少于5万元且不涉及对公共服务的个人邮箱。

随后搜狐官方回应,表示公司某员工使用邮件时被意外钓鱼,从而导致密码泄露,被冒充财务部盗发邮件,目前正在等待警方的调查进展和处理结果。

]]>
小心你的钱包!微软警告更加隐蔽的支付凭证窃取攻击 Sun, 03 Jul 2022 08:24:23 +0800 根据Microsoft 365 Defender 研究团队5月23日发表的研究文章,安全人员最近观察到使用多种混淆技术来避免检测的网页掠夺(Web skimming)攻击。这些攻击大多被用来针对电商等平台以窃取用户支付凭证。

网页掠夺攻击

网页掠夺通常针对 Magento、PrestaShop 和 WordPress 等底层平台,这些平台因其易用性和第三方插件的可移植性而成为在线电商网站的热门选择。但这些平台和插件带有漏洞正被攻击者利用。

攻击者通过在 PHP 中编码来混淆略读脚本(skimming script),然后将其嵌入到图像文件中,通过这种方式,代码在加载网站的索引页面时执行。安全人员还观察到注入恶意 JavaScript 的受感染 Web 应用程序伪装成 Google Analytics 和 Meta Pixel脚本。一些浏览脚本还包括反调试机制。

在某个场景下,当用户在网站结帐页面继续输入他们的信用卡或借记卡详细信息以支付所下订单时,攻击代码将被激活。在该页面的表格上键入的任何内容都会被窃取并发送给攻击者,然后攻击者使用这些详细信息进行在线购买或将数据出售给他人。

隐蔽的攻击手法

微软的分析师报告称,目前三种十分隐蔽的攻击手法的使用正有所增加,分别是:在图像中注入脚本、字符串连接混淆和脚本欺骗。

图像注入脚本:内含base64 编码 JavaScript 的恶意 PHP 脚本,以图像文件的形式伪装成网站图标上传到目标服务器,能在识别出结账页面的情况下运行。

字符串连接混淆:获取托管在攻击者控制的域上的浏览脚本,以加载虚假的结帐表单,该域是 base64 编码并由多个字符串连接而成。

脚本欺骗:将浏览器伪装成 Google Analytics 或 Meta Pixel ,将 base64 编码的字符串注入到欺骗性的 Google 跟踪代码管理器代码中,诱使管理员跳过检查,认为这是网站标准代码的一部分。

防范网页掠夺

微软提醒,鉴于攻击者在攻击活动中采用越来越多的规避策略,企业组织应确保其电商平台、CMS 和已安装的插件是最新版本,并且只下载和使用来自受信任来源的第三方插件和服务。此外,还必须定期彻底检查其网络资产是否存在任何受损或可疑内容。

对于用户而言,应当开启防病毒程序,在结账过程中,注意付款细节,对弹出的可疑窗口提高警惕。

]]>
这种短信,千万别“退订回T” Sun, 03 Jul 2022 08:24:23 +0800 “【××银行】我们已经为你准备了40万贷款的额度,请注意查收。退订回T。”当你觉得这种短信很烦,于是回“T”退订时,岂料,更多“银行轰炸短信”抵达你的手机!你知道为什么吗?上述“银行贷款短信”,只是一种“轰炸”模式的短信骚扰。

而一位经营小家电商铺的李女士,却因为点击了手机上的一个短信链接,遭受了真金白银的损失:在不法分子的各种“指导”下,竟在无察觉中向银行贷款了近40万给对方。

李女士所遭遇的这种模式,即使富有反诈骗经验或者社会经验丰富的人,也可能难以提防。因为李女士一开始还真的收到因所谓“快递丢失”而退款的500元“备用金”。

那么,有人如果想反过来靠此骗取骗子的“备用金”,那骗子是不是损失惨重?那你就想多了,骗子的操作手段之高明,让人防不胜防:备用金是一款网络借贷产品,里面的钱不是骗子转的,而是以受害人的身份信息来向网络平台借的!

为什么各类银行、小贷公司、互联网企业名义的信息不时被“投递”至我们的手机?是谁泄露了我们的信息?而又是谁在向我们发送信息?

如此多的“银行”求着我贷款,没想到竟是灾难的开始……

频繁收到“银行”贷款短信

在小城生活的王女士,其手机短信页面,有不少网络虚拟号发来的信息,有10条都是打着某某银行的旗号,前端缀着【XX银行】标签,偶尔夹杂着理财、炒股的信息。

点开其中一条所谓“某商银行”发来的信息,上面写道:

“2022开门红,我行可授予您48万元,可用于日常支出,建筑装饰,生意应急,查利率回复1,申请回2,回T退订。”

其他的短信内容大同小异。信息前端的银行名称换来换去,授信额度几万、十几万、几十万的都有,用途多为消费、装修、生意周转。

王女士最开始其实不甚在意,直到有一天,她尝试按照短信所言,回复T退订。

但回复了退订消息后,她的手机并没有因此“清静”下来,没隔多久又收到了多条带有链接的短信。

这次是打着所谓“农某银行”的标签,其中一条短信写道“农银,您的回息收到了,请放心使用”,短信末尾附带着一个跳转链接。

这条“农银”短信中的链接,王女士出于好奇点了进去,却发现其中2个链接分别指向下载“农某信贷”和“农某快贷”的APP。

这两个APP图标带着银行的logo,点进去后王女士发现,虽然APP名称不同,logo也有差异,但进入APP后的界面却是一样的——均指向“农某银行”借款。但是这显然不是正规的银行APP。

而后,王女士拨打了客服电话,得到的回复是这不是银行发送的短信,并提醒这两款APP不是官方的,不要点击短信中的链接。

每经记者通过某商银行APP以上述所谓银行的短信内容询问了客服人员,咨询此贷款是否可以申请。在查验了发短信号码和收短信号码后,也得到了客服人员的否认,并建议我们提高警惕,不要随意回复陌生短信或点击陌生链接。

客服说:“如果您要贷款,建议您通过我行官方渠道申请。如果是装修贷款,后续办理了房贷后,可以直接咨询房贷客户经理有没有开发对应的装修贷。”

除上述银行之外,还有以工某银行、华某银行等多家银行名义发送的贷款短信。虽然王女士选择了退订,但是依旧在收到“银行”发来的贷款短信。

点击短信后,她损失四十万元

移动互联网的发展,使得各类商业短信、电话“轰炸”成为常事,这让夹杂在各种垃圾短信、骚扰电话里的诈骗信息,有了可乘之机。

如果说天天被“银行”贷款短信骚扰已经让人烦躁到几乎抓狂,那因此损失几十万的人,可能真觉得天都要塌了。

上有父母需要赡养,下有孩子需要抚育的李女士便是其中之一。李女士是因为收到快递丢失的短信和电话,被不法分子指导“退款”,点击短信链接,继而一步步使用各种贷款产品并最终被骗走近四十万元。

面对记者,李女士的情绪非常激动。从她混乱的言语中我们拼凑出了大致的经过。

居住在三线城市的李女士经营一个小家电商铺,有两个孩子,分别上高中和初中,子女教育、家庭负担很重。

李女士在电话里对记者表示,看到要给她退款的短信她没相信,但是后来“平台客服”又打电话给她,所说个人信息完全正确。

她只是想拿到属于自己的退款,按照“平台客服”的说法,李女士点开了“平台客服”给的“备用金”链接,拿到了500块钱“备用金”,李女士纳闷,她买的商品仅仅40块钱,怎么退了那么多钱。

“哎呀,你点错了,我得帮你把账号注销,不然每个月会产生几千块钱的费用。”“平台客服”对李女士说,她要按照指示操作注销账号。

这可急坏了李女士,一心只想把会产生高额费用的账号“注销”,于是,听信了该“平台客服”的说法,下载了一款聊天APP。

“打开聊天软件后,我的手机屏幕是共享给他们的,他可以实时看到我屏幕的信息,迅速掌握我的验证码。”李女士对记者表示,“他们让我输入验证码,还说注销账户要做银行流水,流水不够不能注销。”

李女士听从“平台客服”的话,去做了所谓的“银行流水”……

“你打开你的银行APP,点这个XX贷,时间只有三分钟,要快,按照我说的操作才能完成,不然你注销不了账户。”“平台客服”对李女士下了一步步的指令。

在李女士的诉说中,当时她身边没有其他人,而她也只想注销每月会产生几千块钱费用的账户。为了避免被银行放贷人员察觉是诈骗,“平台客服”还以“竞争关系”为由让李女士对银行做贷前审核的人员说这笔钱用来消费。

“平台客服”一边指导她操作贷款,一边给她报银行卡号,让她把贷来的钱转过去。

就这样,“平台客服”一次又一次以李女士“操作错误”“信息输错”为由,重复让李女士贷款、转账、做流水。

“最后我实在是没地方可以贷款了,但是还差2万流水,我就去借。”李女士打了亲戚的电话,亲戚来到她的家中,终于识破了这场骗局并报了警。

值得一提的是,北海市公安局曾发文提醒:

备用金是一款网络借贷产品,里面的钱不是骗子转给你的,而是网贷平台借给你的,声称退款转到备用金的均为电信网络诈骗。[1]

申请ETC竟被骗走1.3万 山寨“国家医保局”也轻易刷走1万

诈骗短信名目繁多,往往让人防不胜防。目前,除了“银行贷款”短信,竟还有“高速ETC”“医保电子账号被封停”等诈骗短信。

每经记者了解到,这些年国家针对电信诈骗打击可谓是竭尽全力,各地公安也是采取多种方法打击,其中深圳公安更是走在前头。为此,记者特地邀请深圳市公安局反诈中心为我们揭开短信诈骗的重重迷雾……

据悉,深圳市公安局反诈中心联合通管局、三大运营商建立技术反制机制,将涉诈骗短信以及短信包含的诈骗链接推送到相关部门进行拦截封堵;同时针对前期高发的ETC短信诈骗案件,深圳市公安局反诈中心联合ETC深圳分公司对深圳ETC用户开展预警和精准宣传工作。

深圳市公安局反诈中心在接受每经记者采访时,为进一步提升广大市民的警惕性和辨别能力,也分享了两个案例。

● 案例一

今年3月22日,小陈(化名)在手机微信的城市服务里面申请了ETC。随后几天,小陈的手机便收到了一条陌生短信,上面显示ETC要求补录信息,当时小陈并没有理会。直到小陈激活etc,把etc卡插到车上后,卡槽上提示与其车牌信息不匹配。

于是小陈就想起了之前收到的那条短信,心想是不是当时没有补录登记完全信息导致的呢?

小陈打开了之前收到的那条陌生短信,点击短信上面的那个链接,进去之后是一个显示“中国ETC”的页面,上面提示输入车牌号码,绑定银行卡信息,小陈按照上面的步骤去填完整了自己的信息,输入了车牌号码,银行卡号码以及支付密码。

正在等验证结果之时,小陈的手机收到了3条扣款信息,3笔扣款一共在银行卡上扣除了1.3万元。

小陈看扣款明细上面显示对方名称是"WEMART",交易类型是POS消费,交易渠道是POS机,才意识到这是骗人的,于是到派出所报警。

深圳市公安局反诈中心提醒广大群众:谨防ETC短信诈骗,凡是称ETC过期、失效、注销的短信都可能是诈骗,凡是在短信中推送ETC业务网络链接的均是诈骗。切记网络链接不要点击!个人信息不要输入!如有疑问,一定要通过ETC官方电话96533确认。

● 案例二

市民小玲(化名)收到了一条来自“卫健委”的短信:“您的电子账户被封停,请及时打开www.*****.com恢复完成”。

小玲没有多想,立即点击链接,进入了一个“国家医疗保障局”的网站。小玲按照相关提示输入了自己的银行卡信息,连续接到两个验证码,她想都没想就按照提示,将验证码分别输入进去。

几分钟后,小玲收到了银行发来的扣款短信,卡里的1万元现金不翼而飞,惊慌失措的小玲,立即来到派出所报警,确认自己遭遇了“医保骗局”,目前案件正在进一步办理中。

没有人打电话,没有人打视频,就点击一个链接,输入几个信息,钱就被转走了,这就是“短信诈骗”的套路。因为链接中的网站含有木马病毒,如果按照提示输入相关信息,就可能导致银行卡、医保账户被盗刷。

深圳市公安局反诈中心提醒广大群众:收到不明短信千万不要点击链接,更不能填写银行卡等个人信息以免上当受骗!

100万条短信只要4.5万元

隐私,是每个人都想要保护的无形之物。然而在互联网时代,个人信息泄漏事件频繁发生。被泄露者面临财务损失的风险,而掌握信息者则赚得盆满钵满,从事短信群发行业的赵某便是获利的一员。

在赵某的短信群发网站上,可以清楚地看到各类群发业务。金融短信、营销短信、偏门短信……只要有需求,没有赵某发不了的短信。

“您是想咨询短信群发业务吗亲?给您介绍一下。”网站在赵某的设置下,不用客户自己找,只要打开网页,就会自动跳出对话框进行短信业务的推介。

记者以想群发短信业务的客户身份,向赵某表明来意后,赵某给了记者一个联系方式,让记者加好友联系。

“价格是阶梯式的,你那边需要发多少?”赵某对如何给新客户介绍业务已经很熟练了,在得知记者想要发的是100万条金融贷款短信后,痛快地进行了报价。

值得注意的是,在记者报出发送贷款类短信需求以后,对方给出了报价。

“1万条是5分5单价,量大优惠,发100万条给你算4分5单价。”

照此计算,发送100万条金融贷款短信,总价为45000元。此外,还可以发送彩信,价格更贵一些。

“内容没有限制,可以带链接。”从赵某口中记者得知,发送短信的速度很快,一次可以发送10万条,并且发送之后可以看到短信状态,发送成功计费,失败不计费。

“我可以把短信状态整理好了发给你,或者你登录后台自己查看也可以。”不过,记者在此后询问发送效果时,即这些短信内容或链接的点击率,赵某则告诉记者:“点击只有客户那边才知道,具体不会跟我们说,但是效果不错,有客户长期发的。”

没号码库?没问题,平台提供!

群发短信不是什么新鲜事,但是建立手机号码数据库是关键。

而平台接下来的一番说法,却让记者错愕。因为得到的说法是没有数据库的话可以交钱由平台来提供数据。

赵某对记者介绍道,可以使用客户自己带的数据(即有目标手机号码)进行发送,如果客户没有数据,那么他也可以代发,并且“保真”。

在记者的了解下,自己带数据和由平台代发的价格并不一样,用赵某的数据代发是1万条700元的总价,代发100万条的价格则是7万元。

为了解赵某所在的这类短信代发平台数据(即手机号)的来源,记者以“你们的手机号怎么保真呢?哪里来的那么多?”进行质疑,赵某则回答得比较含糊,称:“我们技术那边有数据库,可以给你们整理筛选一批数据发短信,或者你们有的话也可以用你们的。”

记者注意到,该网站称此群发短信平台隶属于河北某网络科技有限公司,某企业信息查询平台显示该公司经营范围包括网络技术开发、技术推广、技术服务;计算机软硬件及外围辅助设备的研发、销售等。

此外,该企业于2019年8月因“通过登记的住所或者经营场所无法联系”被“河北省石家庄市裕华区市场监督管理局”列入经营异常名录。不过,在2020年6月申请移出。

在国家企业信用信息公示系统披露的年报中,记者找到了这家公司的联系电话,随后以客户的身份进行了咨询。在听到记者询问没有号码库是否可以帮忙发送银行贷款短信业务,却得到了对方肯定的答复。

值得一提的是,该短信代发平台官网列出了许多知名金融机构和企业客户。

记者以客户身份咨询该短信群发平台是否有上述部分客户,得到肯定的答复。

同时,记者采访了上述多家所谓合作企业时,问题涉及是否与该短信平台合作、如何保护客户个人信息。

记者微信联系了某通快递相关负责人,其对记者表示:该平台并不是他们的合作平台,单位相关部门也会介入处理。

截至发稿,记者注意到,该短信群发平台的合作伙伴一栏,某通快递已被撤下。

平某银行方面邮件回复记者:目前银行业务发展迅速,客户群体大,品牌信誉好,个别组织及个人经常利用或伪冒我行名义进行非法营销。如收到类似有疑问的营销,建议可同步通过银行验伪平台核实确认,有清晰的提示是否为平某银行所发出,也温馨提醒,如收到非银行官方的电话/短信营销,请不要轻信,妥善保管个人信息。

号码来自客源软件整合、过滤了空号的靓号

上面的网站只是个例吗?

与赵某同样从事短信群发业务的小刘所运营的网站更简洁,这个网站是小刘简单给客户介绍业务的地方,更详细的信息他会尝试让客户添加他的微信。在小刘的微信朋友圈,可以看到不少平台帮助发送的银行贷款短信截图。

相比赵某一百万条四万五的价格,小刘称短信都是走量的,量大优惠;价格也是阶梯式的,客户没有号码库代发的价格是一百万条五万块,但是短信回复率可以达到千3至千6(一千条短信有3至6个人回复),有些小城市号码的回复率可能会更高一些。

为了让客户能够快速获得活跃客户,小刘会给客户开通后台权限,在后台可以筛选出回复的客户号码,并且看到他们回复的时间和内容,全国都可以发。

如果发送成功则计费,关机、停机、空号、黑名单这些会失败自动返还。

不带链接的贷款短信,提供公司的营业执照就可以发送。如果短信内容带跳转链接,小刘会先审核链接,再要求客户提供完整的合同链以及金融许可证。

在小刘的介绍中,他的号码库有两种来源,一种是通过一些第三方的客源软件整合;另外一种是过滤过空号以后的靓号,都可以根据城市来筛选。

一位股份制银行从业人员也对记者表示:

银行和其他企业一样,都只是运营商的用户之一,无权限查询其他用户的信息。每个端口号/电话号码都有归属的部门或自然人,也可能存在伪机站或某些软件直接生成的短信发送/电话外呼,这些伪冒行为会让客户误以为是银行所为,并对银行造成声誉的伤害。一般情况下,银行也会同步收集客户反馈的信息转给相关部门关注。此外,客户也可以利用12321举报平台进行反馈核实。

对于上述交易行为,是否有法律风险?一位金融行业资深律师对记者表示:

首先,短信平台服务商必须在获取《增值电信业务经营许可证》的前提下开展业务,擅自经营群发短信的增值电信业务的企业,或将构成非法经营罪。

其次,短信平台禁止危害公共利益、涉嫌色情、涉及暴力等内容。

最后,对于通过伪基站等群发短信的行为,利用群发短信实施诈骗等行为,都是违法且被国家所明令禁止的。

记者也发现,《通信短信息服务管理规定》第十八条明确,短信息服务提供者、短信息内容提供者未经用户同意或者请求,不得向其发送商业性短信息。用户同意后又明确表示拒绝接收商业性短信息的,应当停止向其发送。

短信息服务提供者、短信息内容提供者请求用户同意接收商业性短信息的,应当说明拟发送商业性短信息的类型、频次和期限等信息。用户未回复的,视为不同意接收。用户明确拒绝或者未回复的,不得再次向其发送内容相同或者相似的短信息。

另外,根据工业和信息化部《通信短信息和语音呼叫服务管理规定(征求意见稿)》第十六条明确:任何组织或个人未经用户同意或者请求,或者用户明确表示拒绝的,不得向其发送商业性短信息或拨打商业性电话。用户未明确同意的,视为拒绝。用户同意后又明确表示拒绝接收的,应当停止。

怎么辨别李逵李鬼?

这类短信究竟是真还是假?是李逵还是李鬼?如何才能验证?

记者以客户身份通过多家银行官方客服电话、手机APP等方式询问了客服。

绝大多数银行客服都让记者提供了发送短信的号码和接收短信的号码,在提交了相应号码后,也得到了类似的回复——短信并非银行官方渠道所发,同时客服都会反复提醒记者小心上当。

这也意味着,如果收到这类短信和电话,可通过致电银行官网客服电话,或者官方手机银行APP进行查验。

银行方面在邮件中对记者表示:如收到类似有疑问的营销,建议可同步通过银行验伪平台核实确认,有清晰的提示是否为银行所发出。

值得一提的是,上述房屋装修、消费类贷款,除了以银行的名义发出,还会以各类小额贷款等名义发出。

深圳市公安局龙岗分局官方抖音号提醒,这类骚扰短信中的回复TD,主要目的是获取那些注意到这些信息的“活跃客户”,可能只是用来测试手机号是否真实有效,一旦收到短信的人进行回复,就会被标记为“真实有效”,接下来可能会收到更多的骚扰短信甚至诈骗短信。

“建议使用正规的拦截软件进行拦截,或者将退订、TD等字眼设置为黑名单拦截,就可以专门拦截此类短信。”深圳警方如此提醒,“无论收到什么信息,都不要轻易回复,更不要随意点进里面的链接。”

诈骗短信还能从境外远程操作GOIP群发

这些诈骗短信,除了境内一些网站在从事群发业务,有的竟是从境外遥控境内设备进行群发的。

身处境外的人员到底是如将短信投递到我们手机上的,有没有办法拦截?每经记者就此邀请了深圳市公安局反诈中心进行解惑。

深圳市公安局反诈中心接受每经记者采访时提到,生活中,不少人或多或少都收到过诈骗短信。虽然有部分群众能识别此类信息,但时不时还是有人上当受骗。

群众之所以能收到诈骗短信,起初是因为在其周边可能存在一种可以群发诈骗短信的设备。此类设备并不复杂,一台发射器、一个电源、一个移动终端就能对发射器周边500米以内,使用GSM网的手机强制短信推送。

相比以往传统发射器,犯罪分子在固定的区域租赁房屋,架设天线设备,远程遥控,向特定区域用户发送诈骗短信,如今,随着科技发展和警方打击力度的不断加大,此类设备也逐渐向更具隐蔽性的伪基站或GOIP等系列设备转移,这是网络通信的一种硬性设备,能将传统电话信号转化为网络信号,可以通过服务器远程控制GOIP设备,将电话或短信发出。

GOIP设备具有无人值守,双向通话,规避一般改号软件不能回拨的弊端,隐匿犯罪分子位置的功能。骗子利用GOIP设备作为诈骗中转站,通过远程操作GOIP,从境外任意切换手机号码拨打诈骗电话或群发短信,冒充公检法、税务、电信、银行等部门工作人员实施诈骗。

目前,除了以“银行系统升级”为名的短信诈骗,还有冒充公检法机关、“高速ETC、房管局、银行、通信运营商、保险公司”等名义和各种形式进行短信诈骗,此类诈骗逐步从广泛撒网向精准化进行投放,诈骗分子通过非法渠道获取网民的网络行为和消费数据情况,可以对被骗人有针对性地设计诈骗场景,误导被骗人上当,诈骗几率也大幅提升。短信中附有木马病毒链接,用户点击后木马被植入手机,趁机获取手机中的银行卡等相关信息后,实施盗刷获利。

那么,我们该如何防范钓鱼诈骗呢?

深圳市公安局反诈中心提醒大家,以下重点需时刻牢记:

1收到短信要核实。消费者在收到署名为银行等机构发送的信息时,要注意辨别真假,若不确定短信是否真实,可以到营业网点或向其官方客服咨询;

2陌生链接不点击。诈骗短信提供的网页链接可能是假冒手机银行或网上银行网页的钓鱼链接,也可能是病毒木马。建议广大消费者尽量不要点击第三方提供的网站链接操作,以免被不法分子诱骗;

3严守个人信息。消费者的身份证号、银行卡号、账户密码、短信验证码、付款码等均为个人重要且敏感信息,当有第三方要求提供或输入上述信息时,需提高警惕。不轻易提供重要敏感信息给他人。

每日经济新闻记者注意到,这些年公安机关针对电信诈骗打击可谓是竭尽全力。

针对防范短信诈骗方面,深圳市公安局反诈中心联合通管局、三大运营商开启预警反制,对涉诈短信链接推送到相关部门进行拦截封堵;尤其是针对前期高发的ETC短信诈骗案件,深圳市公安局反诈中心联合ETC深圳分公司开启预警劝阻技术反制,将深圳ETC车主纳入白名单保护,一旦发现有疑似车主被骗情况,将马上进行劝阻或止付机制;为了在车主脑海中深埋防范电信网络诈骗意识,积极与多部门协调沟通,对ETC使用车主开展了多维度,长链条、全覆盖式的精准宣传,并会同市通信管理局组织推动电信、移动、联通三大运营商在全市范围开展一次无差别式反诈短信应急提醒,重点对深圳ETC车主开展宣传,确保每一位ETC车主乃至每一位市民对此类作案应知尽知,能防可防。

机构可以使用客户信息 但要遵守相关法律规定

那么,拥有客户信息的机构,是否有权利使用客户信息?有律师对记者表示,机构可以使用,但是要遵守相应的法律规定。

该律师称,我国《民法典》规定,处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:

(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;

(二)公开处理信息的规则;

(三)明示处理信息的目的、方式和范围;

(四)不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

我国《个人信息保护法》第二章规定了“个人信息处理规则”,对处理个人信息作出了更加详细的规定。

例如,第十三条规定符合下列情形之一的,个人信息处理者方可处理个人信息:

(一)取得个人的同意;

(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;

(三)为履行法定职责或者法定义务所必需等。

对于个人敏感信息,《个人信息保护法》第三十条规定,个人信息处理者处理敏感信息的,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。

此外,《网络安全法》第四十一条《消费者权益保护法》第二十九条均要求运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。企业必须对其收集的数据严格保密,不得泄露、篡改、损毁,不得出售或非法向他人提供所收集的数据。

上述律师指出,综上所述,已经收集到个人信息的机构,在遵守法律法规的基础上可以使用个人信息。

多层面保护个人信息迫在眉睫

个人信息滥用现象频发,如何才能保护好个人信息,上述律师在监管、企业、个人层面均给出了一些建议。

首先,在监管层面,加强对网络交易平台的打击力度。建议政府监管部门加强对这类从事非法倒卖公民个人信息活动的网站、通讯群组的监控、查处和取缔力度,切断上下家之间买卖公民个人信息的主要渠道,加强对信息源头行业的监管、查处力度;

也要建立公民投诉、举报机制,设立公民个人信息权益保护部门,并建立查处反馈机制,鼓励公民及时提供信息、反映线索;

同时可对移动终端厂商、电信运营商信息资源整合,如在来电显示中对广告、诈骗电话进行标记,通过大数据分析深入有效查处信息泄露源头。

其次,在企业方面,个人信息的保护也需要相关企业加强自律,自主合规。根据《个人信息保护法》《网络安全法》以及《数据安全法》的规定,在企业内部健全个人信息保护机制。

例如,明确个人信息保护制度政策在公司的适用范围,个人信息处理原则应兼顾其他数据保护法基本原则,明确组织架构与部门职能,明确数据事件响应机制等。

最后是个人层面。在信息爆炸的当下,我们的个人信息都几乎处于透明状态,对于个人来说,保护个人信息需要在日常生活中予以注意。

第一,网络购物时要谨慎填写个人信息。在办理店铺会员、填写收货信息时,如果非必要实名制,可以选择昵称代替;

第二,公共电脑上的应用软件要及时退出,文件要及时删除,扔掉快递包装前,将粘贴的快递单进行销毁。

第三,在授权相关权限时,一定要仔细查看通知的内容,对于使用该软件没有必要的权限要进行关闭;

第四,在公开平台上发布内容前,一定要检查个人信息是否泄露出来等等。

记者手记 | 别“回T”退订,是挡住诈骗短信的第一步

顶着不同银行名义发出的所谓“贷款”短信,相信大多数人都收到过。与之类似的还有以“高速ETC”“社保”等名义发出的。这类短信让人不胜其扰,而回复“T”退订后往往还收到了更多骚扰短信。

而这类短信背后,等待着受害人的可能是诈骗,可能是冒牌的贷款申请,还可能是银行卡盗刷……不少受害人也因此遭受了经济损失。

所幸的是,警方仍持之以恒地在与此类短信作斗争,拦截封堵、止付机制、反诈宣称……警方在竭尽全力守护我们“钱袋子”的同时,作为个人,我们更要提高警惕,严守个人信息,将诈骗挡在门外。

]]>
搜狐全体员工遭遇“工资补助”诈骗损失惨重,邮箱服务安全性遭到质疑 Sun, 03 Jul 2022 08:24:23 +0800 随着智能手机的普及和人们安全意识的提高,不轻信陌生邮件短信、不点击未知来源链接已经基本成为人们的共识。但如果该邮件来源为自己企业邮箱人事、财务,邮件主题为“最新工资补贴”呢?

近日,一条来自网络的微信群聊记录显示,搜狐全体员工在5月18日早晨收到一封来自“搜狐财务部”名为《5月份员工工资补助通知》的邮件,大量员工按照附件要求扫码,并填写了银行账号等信息,最终不但没有等到所谓的补助,工资卡内的余额也被划走。

简而言之,搜狐公司员工遭遇了网络上最常见的诈骗方式。但因为邮件来源显示为搜狐公司内部域名,公司平时报销也存在需要员工银行账号的惯例,加上员工之间本身就有薪资保密的义务,搜狐几乎所有员工都没有对邮件内容产生怀疑,这才导致被骗人数和涉案金额巨大。

聊天记录显示,事后搜狐迅速采取了行动,包括立刻删除了相关邮件,并由ES部门出面汇总遭遇诈骗员工的信息到派出所报案。

事实上,类似的“工资补助”诈骗从去年开始就在全国发生过多起,搜狐新闻也进行过相关报道。

2021年9月份,江苏南京市民徐女士受到了一封主题为“工资补贴通知”的企业邮箱邮件,点开后显示只需扫描邮件内二维码并按照流程填写信息即可获得补贴,邮件中还用红色字体强调“逾期视为弃权领取”。

徐女士在扫码进入所谓“2021年工资补贴申领界面”之后,按照提示输入了银行卡号、身份证号、手机号以及银行卡可用额度、验证码之后,却收到银行卡多次转款的信息,这才醒悟过来,自己中了骗子的圈套。

今年年初,辽宁大连市民李先生收到一封公司人力资源部门发来的邮件,同样是主题为类似的“本年度社保补贴开始发放”,并且距离领取时限已不足1小时,李先生来不及细想,同样立刻填入了信息,之后银行卡被消费5000元。

徐女士和李先生的遭遇并非孤例,去年5月份以来全国多地反诈中心陆续接到类似报案,年底招数还有所升级,幌子由“领取补贴”更换为“奖金绩效发放”。

相比较过去的短信诈骗,“工资补贴”诈骗方式屡次得手,主要原因是很多企业均采用电子邮件作为正式通信方式,本就承担着内部文件和指示下达的任务,有企业域名、公司部门发送的邮件更容易获得员工的信任。

当然,类似诈骗实施难度也更高,需要犯罪者掌握相关企业邮箱系统的管理缺陷或安全漏洞,安插“病毒”获取数据。事实上,邮箱安全事关重大本应是企业共识。数据显示,90%的黑客攻击都是通过邮箱作为突破口的,电子邮箱直接关系着企业安全。

回到搜狐邮件诈骗事件,可疑邮件发信地址为sohutv-legal@sohu-inc.com,确实为搜狐内部域名,能够通过其给全体搜狐员工发去邮件,似乎也说明搜狐企业邮箱遭到了黑客的攻击,或内部管理漏洞被犯罪者利用,大量员工出于对搜狐邮箱安全性的信任,最终导致了被大面积诈骗的悲剧。

不得不提的是,搜狐作为中国四大门户网站之一,公司旗下的电子邮箱服务也让其成为国内最大的邮箱服务提供商之一。

群聊记录中搜狐员工将事件总结为“一个网络公司,被人偷了家”;还有一名员工直言:“应该不会有官方消息,这么丢人的事儿。”

“sohu邮箱分别有sohu免费邮箱,sohuVIP邮箱以及sohu企业邮箱等,长期以来以稳定快速人性化著称的sohu邮箱成为国内网民必用邮箱之一”,搜狐邮箱的百度百科词条这样描述。

]]>
支付巨头PayPal曝大漏洞,黑客可直接窃取用户资金 Sun, 03 Jul 2022 08:24:23 +0800 据The Hacker News消息,昵称为h4x0r_dz的安全研究人员在支付巨头PayPal的汇款服务中发现了一个未修补的大漏洞,可允许攻击者窃取用户账户中的资金。其攻击原理是利用点击劫持技术诱导用户进行点击,在不知不觉中完成交易,最终达到窃取资金的目的。

所谓点击劫持技术,指的是不知情的用户被诱骗点击看似无害的网页元素(如按钮),目的是下载恶意软件、重定向到恶意网站或泄露敏感信息。

而在PayPal的漏洞中,这个技术被用来完成交易。黑客利用了不可见的覆盖页面或显示在可见页面顶部的HTML元素。在点击合法页面时,用户实际上是在点击由攻击者控制的覆盖合法内容的恶意元素。

2021年10月,h4x0r_dz向PayPal报告了这一漏洞,证明攻击者可以通过利用 Clickjacking 窃取用户的资金。

h4x0r_dz是在专为计费协议设计的“www.paypal[.]com/agreements/approve”端点上发现了该漏洞。他表示,“按照逻辑,这个端点应只接受 billingAgreementToken,但在深入测试后发现并非如此,我们可以通过另一种令牌类型完成,这让攻击者有机会从受害者的 PayPal 账户中窃取资金。”

这意味着攻击者可以将上述端点嵌入到iframe中,如下图所示,此时已经登录Web浏览器的受害者点击页面的任何地方,就会自动向攻击者所控制的PayPal 帐户付款。

更令人担忧的是,这次攻击可能会对和PayPal集成进行结账的在线门户网站造成灾难性后果,从而使攻击者能够从用户的PayPal账户中扣除任意金额。

h4x0r_dz在社交平台上发布的帖子写到,“有一些在线服务可以让你使用 PayPal 将余额添加到你的帐户中,我可以使用相同的漏洞并强迫用户向我的帐户充值,或者我可以利用此漏洞让受害者为我创建/支付 Netflix帐户。”

目前,有安全专家表示,该漏洞尚未完成修复工作,用户应保持足够的警惕。

]]>
通用汽车遭撞库攻击被暴露车主个人信息 Sun, 03 Jul 2022 08:24:23 +0800 近期,通用汽车表示他们在今年4月11日至29日期间检测到了恶意登录活动,经调查后发现黑客在某些情况下将客户奖励积分兑换为礼品卡,针对此次事件,通用汽车也及时给受影响的客服发邮件并告知客户。为了弥补客户所受损失,通用汽车表示,他们将为所有受此事件影响的客户恢复奖励积分。但根据调查,这些违规行为并不是通用汽车被黑客入侵的结果,而是由针对其平台上的客户的一波撞库攻击引起的。

撞库是指黑客通过收集网上已泄露的用户和密码信息,生成对应的字典表,并尝试批量登陆其他网站后,得到一系列可以登录的用户。经后续的调查,通用汽车表示目前没有证据表明登录信息是从通用汽车本身获得的,“未经授权的用户获得了之前在其他非通用汽车网站上被泄露的客户登录凭证的访问权限,然后在客户的通用汽车账户上重复使用这些凭证。”对此通用汽车要求受影响的用户  在再次登录他们的帐户之前重置他们的密码。

个人信息暴露

当黑客成功入侵用户的通用汽车帐户后,他们可以访问存储在该网站上的某些信息。此信息包括以下个人详细信息:

名字和姓氏,

个人电子邮件地址,

个人地址,

与帐户绑定的注册家庭成员的用户名和电话号码,

最后已知和保存的最喜欢的位置信息,

当前订阅的 OnStar 套餐(如果适用),

家庭成员的头像和照片(如果已上传),

个人资料图片,

搜索和目的地信息。

黑客入侵通用汽车账户时可获得的其他信息包括汽车里程历史、服务历史、紧急联系人、Wi-Fi 热点设置(包括密码)等。但帐户里不包含出生日期、社会安全号码、驾驶执照号码、信用卡信息或银行帐户信息,因此这些信息没有被泄露。

除了重置密码外,通用汽车还建议受影响的用户向银行索取信用报告,如有必要还可进行账户安全冻结。不幸的是,通用汽车的在线站点不支持双重身份验证,所以其网站无法阻止撞库攻击。不过还有一种做法是客户可以给所有的支付动作添加PIN码验证环节。至于受影响的客户数量,通用汽车只向加州总检察长办公室提交了一份通知样本,因此我们只知道该州受影响的客户数量,也就是略低于5,000家。

]]>
俄最大银行遭到最严重DDoS攻击,普京称正经历“信息空间战争” Sun, 03 Jul 2022 08:24:23 +0800 安全内参消息,5月19日,俄罗斯最大银行Sberbank(联邦储蓄银行)官网披露,在5月6日成功击退了有史以来规模最大的DDoS攻击,峰值流量高达450 GB/秒。

次日,普京召开俄罗斯联邦安全会议,称正经历“信息空间战争”。他提出了三项关键任务,以确保俄关键信息基础设施安全。

Sberbank遭最严重DDoS攻击

此次攻击Sberbank主要网站的恶意流量是由一个僵尸网络所生成,该网络包含来自美国、英国、日本和中国台湾的27000台被感染设备。

Sberbank副总裁兼网络安全主管Sergei Lebed称,网络犯罪分子利用各种策略实施网络攻击,包括将代码注入广告脚本、恶意Chrome扩展程序,以及被DDoS工具武器化的Docker容器等。

Lebed表示,他们在过去几个月内检测到超过10万名网络犯罪分子对其展开攻击。仅在3月,他们就记录到46次针对Sberbank不同服务同步发动的攻击活动,其中相当一部分攻击利用到在线流媒体与观影网站的流量。

这类行动策略和亲俄黑客组织攻击乌克兰主要网站的手法相类似。一旦有人访问这些受感染网站,用户的网络浏览器就会被注入恶意脚本的特制代码,进而发出大量指向被攻击URL的请求。具体到此次攻击,指向的自然是Sberbank域名下的各URL。

Lebed表示,“当前,Sberbank仍在遭受全天候网络攻击。我们的安全运营中心也在24/7随时分析网络威胁,并迅速做出反应。”

Lebed警告称,“一旦攻势蔓延到其他行业企业时,由于他们大多从未经历过这类网络冲击,所以很可能会遭受损失。”

普京称正经历“信息空间战争”,提出三项关键保障任务

俄罗斯总统普京表示,俄乌冲突期间,俄罗斯遭遇了西方世界发动的一系列网络攻击,但均已被成功化解。

5月20日(上周五),普京对俄罗斯安全委员会成员发表讲话时指出,“这一领域的挑战正变得愈发紧迫、严重且广泛。”

他指责,“俄罗斯正经历一场彻底侵略,一场爆发于信息领域的战争。”

普京补充道,“针对我们的这场网络攻击,就如同针对俄罗斯的种种制裁一样,都失败了。”

他要求各级官员“完善和加强直接关系到俄国国防能力及经济社会领域稳定发展的重大工业设施的信息安全保障机制。”

对于会议讨论的确保俄关键信息基础设施安全的国家政策基本原则草案,普京提出三个关键任务。

一是不断完善、调整与国防能力、经济和社会稳定发展直接相关的关键设施领域的信息安全保障机制。

二是提高国家机构信息系统和通信网络的安全性。“2021年进行的检查表明,在那里运营的大部分资源容易受到外部大规模攻击和破坏性影响,尤其是采用最新一代外国技术部分。”要加强对国内数字空间的防御,减少公民信息和个人数据泄露的风险。他提议就建立国家信息保护制度的问题进行讨论。

三是从根本上降低采用外国程序、计算机技术和电信设备所带来的风险。他指出,应尽可能保护俄近年来推动的公共管理系统和经济领域数字化进程免受外部任何潜在负面影响,“而完成这项任务的方法很明显就是转向国产设备、技术、程序和产品”。

]]>
国际刑警组织:国家网络武器将很快在暗网上出现 Sun, 03 Jul 2022 08:24:23 +0800 国际刑警组织高级官员警告称,军方在网络战中使用的数字工具,最终有可能落入恶意黑客手中。

国际刑警组织秘书长Jurgen Stock表示,他担心由国家开发的网络武器会在“几年”后出现在暗网上。所谓暗网,是指互联网上的一个隐藏部分,无法通过谷歌等搜索引擎直接访问。

周一(5月23日),在瑞士达沃斯举行的世界经济论坛上,Stock提出,“这已经成为现实世界中的一大主要问题——战场上使用的武器逐渐落入有组织的犯罪团伙手中。”

他还补充道,“数字武器也不例外。也许当前由军方开发使用的数字武器,明天就会被恶意黑客所利用。”

网络武器分为多种形式,其中可用于锁定目标计算机系统迫使受害者支付赎金的勒索软件,已经成为关键。长期以来,网络战一直是全球政府关注的焦点,并在此次俄乌战争中再次吸引整个世界的目光。

俄罗斯多次被归因指责,在俄乌战争前期先向乌克兰发动多次网络攻击。不过俄罗斯政府一直否认此类指控。与此同时,乌克兰得到了世界各地志愿黑客的支援,协助其应对俄罗斯的攻击。

Stock呼吁商界领袖加强与政府及执法部门的合作,确保更行之有效地监管网络犯罪。

他表示,“一方面,我们需要把握当前态势;而另一方面,我们需要私营部门数据的支持。”

“我们需要企业的网络泄露报告。没有这些报告,我们将无法看到威胁形势。”

Stock说,目前“大量”的网络攻击未被上报。“这不仅仅是执法部门要求我们打通的组织与信息孤岛,更是我们需要弥合的现实差距。”

根据世界经济论坛《全球网络安全展望》报告,2021年全球网络攻击数量增加了一倍以上。报告称,勒索软件仍是当下最流行的攻击类型,各受访组织每年平均被攻击270次。

参与讨论的企业高管和政府官员表示,网络安全事件正在令关键能源基础设施和供应链面临风险。

工控安全公司Dragos联合创始人兼CEO Robert Lee也敦促企业关注现实威胁场景,例如2015年由俄罗斯支持的对乌电网攻击,而非一味假设风险场景。乌克兰已经在今年4月成功抵挡住一次类似的能源基础设施破坏企图。

Lee总结道,“我们的问题用不着‘下一代’AI、区块链或者其他技术来解决。我们的问题在于,很多已经投资并开发完成的成果仍未得到实际应用。”

]]>
日经新闻亚洲子公司遭勒索软件攻击 Sun, 03 Jul 2022 08:24:23 +0800 DoNews 5月21日消息(刘文轩)日本媒体日经本周表示,日经集团(Nikkei Group)位于新加坡的亚洲分公司于近日遭到勒索软件攻击。

日经集团亚洲分公司表示,该公司一台服务器上周五(5/13)遭到未授权存取,引发IT部门调查,发现是勒索软件。日经亚洲表示他们已立即关闭该台服务器防止感染扩大,并向集团及公司人事资料保护主管提出报告。

日经表示,遭到存取的服务器可能包含客户资料,该公司正在评估事件影响范畴。初步调查证实没有资料外泄。这家日本媒体巨头除了表示将配合和有关单位合作启动调查,也承诺将致力解决此次事件。

]]>
男子轻信 ETC 失效,被骗损失近万元,警方提醒“切勿点击不明短信链接” Sun, 03 Jul 2022 08:24:23 +0800 5月21日消息,据央视财经报道,随着“电子不停车收费”也就是 ETC 的普及,不法分子也瞄准了这个领域。四川广安警方表示,警惕 ETC 诈骗,切勿点击不明短信链接。

男子轻信 ETC 失效,被骗损失近万元,警方提醒“切勿点击不明短信链接”

前不久,四川广安居民段先生收到了一条短信,称其 ETC 已停用,需重新签办。段先生就点开了短信里面的链接,并绑定了银行卡,输入余额和验证码。几天后,段先生发现自己 ETC 里的钱并没有增加,一翻看之前收到的短信验证码,显示的却是“您正在进行河南电费缴费,金额 9900 元。”这时,他才意识到自己上当受骗。

据了解,ETC 账户不存在“过期失效”一说。ETC 车载设备的有效期为 10 年,续期时无须操作银行账户;ETC 设备失效激活、系统升级等,也无须操作银行账户。 

]]>
数字人民币尝试破解商家卷款跑路:预付费难题有望根治 Sun, 03 Jul 2022 08:24:23 +0800 预付费作为一种消费形式,已经在市场上得到了广泛应用,遍及多种行业,不过长期以来,围绕着预付费存在着消费者退款难、举证难、追偿难等多种问题,尤其是某些不良商家,拿到预付款后就卷铺盖跑路。那么,该如何解决这一难题呢?数字人民币正在尝试破解之。

据@央视财经报道,何先生的孩子一直在上机器人相关课程,在深圳恢复下线下课后,他在犹豫要不要给孩子续课,其担忧之一就是报名费的安全问题。

不过这次在缴费的时候,工作人员推荐他使用数字人民币预付式消费平台来支付学费。

据了解,消费者使用数字人民币支付学费之后,资金将会冻结在数字人民币账户内,每一次上课再进行扣款,当出现问题需要退款时,平台可以实现未消费金额的快速退款。

建设银行工作人员在接受采访时表示,相比之前的传统监管模式,数字人民币可以实现单笔资金的自动监管,而传统的账户模式是对整个账户进行监管。

此外,数字人民币的监管可以实现全流程的线上平台化处理,传统的需要大家跑银行办理业务。

据公开信息,全国首个数字人民币预付式消费平台,目前已率先在深圳福田区开展使用,未来,该平台将在教育培训、美容美发、体育健身等行业总计超200家企业推广使用。

]]>
百度网盘官方提醒:低价代充会员小心隐私泄露 Sun, 03 Jul 2022 08:24:23 +0800 相信很多网友都在第三方平台通过代充店铺以低于官方的价格充值网盘会员,运气好的话能正常使用,但也有部分用户花了钱却没有享受到会员权益。日前,百度网盘发布公告称,近期收到关于会员权益失效的部分用户反馈。经核实发现,不法分子在未获得官方授权的情况下,在相关平台开设店铺,以低价为诱饵违规开展百度网盘会员代充业务进行牟利。

官方指出,未获官方授权的代充业务已经形成黑色产业链条,严重侵害消费者的合法权益。

百度网盘称,不法分子向购买代充服务的消费者索要百度网盘账号、密码或验证码(或提供新账号密码),登录消费者账号后,通过多种非法手段在iOS端购买会员商品。

交易完成后,虽然会员权益即时生效且消费者能在账号内查询到相关的购买记录,但非法交易手段被苹果公司证实后,就会取消交易导致消费者的会员权益失效。

百度网盘提醒,所有官方或正规授权渠道,都不会向消费者索要网盘密码或登录验证码。凡是索要以上信息或提供新账号的充值形式全部都是黑产代充,存在被诈骗或者用户账户信息泄露的风险。

据悉,百度网盘将联合相关电商平台,多方配合封禁黑产代充店铺,并通过法律途径,持续对损害消费者合法权益的不法分子展开维权等。

]]>
“全球最大隐私泄露行为”曝光!谷歌、微软在列 Sun, 03 Jul 2022 08:24:23 +0800 近日,爱尔兰民间组织ICCL揭露了谷歌、微软等科技公司是如何获得用户数据,并以此推给广告商的商业行为。ICCL在一份报告中强调,这是有记录以来最大的数据泄漏事件。

  本次指控主要源自实时竞价系统Real-Time Bidding (以下简称“RTB”)跟踪收集用户数据,并发送到大量公司手中。其中,谷歌在RTB系统中参与程度最深。

  21世纪经济报道记者5月19日从爱尔兰ICCL官网获悉,在RTB系统中,欧洲和美国互联网用户的私人数据被发送到全球各地,且目前没有任何手段能够控制这些数据的处理方式。

  有记录以来最大的数据泄漏

  实时竞价系统Real-Time Bidding (以下简称“RTB”)通过在网站和应用程序进行幕后运作,跟踪互联网用户正在查看的内容,并记录用户接下来将会查看哪些网站。

  科技公司在拿到这些隐私数据以后,能够建立相应的用户画像,以此来了解用户需要什么,正在了解什么,并推给相应的广告商以实现精准的广告投放。令人担忧的是,这种广告跟踪模式可能会暴露个人数据并用于识别个人信息,造成隐私泄漏。2021年,RTB产业在美国和欧洲创造了1170多亿美元的收入。

  ICCL发布的报告显示,在欧洲,RTB每天公开376次人们的数据;平均而言,美国一个人的在线活动和位置每天被RTB行业曝光747 次。RTB跟踪和分享美国和欧盟居民在网上留下的数据,包括用户在查看什么以及用户上网时的真实位置,合计共跟踪分享178万亿次。

  报告中还显示,RTB系统中最大的参与者谷歌,为数千家公司(包括1058家欧洲公司和4698家美国公司)提供RTB数据。而另一重要参与者微软则在2021年12月 AT&T 收购广告技术公司 Xandr 后,大幅增加在RTB上的投资。

  谷歌发言人对此作出声明:“谷歌使用RTB时设置了行业领先的保护措施,并严格限制了与广告商共享数据的方式。我们不会分享个人身份信息,也不会展示基于敏感信息(例如健康、种族或宗教)的广告。我们要求发布商在展示任何个性化广告之前,证明他们已经获得人们的同意。”

  向欧洲法院提出诉讼

  多年来,人们一直在关注RTB的隐私和安全问题,并采取相应措施来防止人们的网络隐私信息被随意滥用。在这一方面,欧洲已经率先采取行动:出台被称为“史上最严”的数据保护法《通用数据保护条例》(GDPR)。

  报告显示,现在,越来越多的广告商依靠RTB向网站和应用软件投放广告,其中美国和欧盟的广告商每年将投放约一千亿美元在RTB系统上。

  目前,ICCL正着力关注与解决RTB数据泄露问题,并已经多次向欧洲法院提出诉讼。

  2021年6月15日,ICCL向谷歌、脸书、亚马逊等公司乃至整个广告行业提出挑战,对当时的广告商提出诉讼,因为在线广告获得并追踪用户数据的行为,严重侵犯了用户的隐私数据。ICCL强调,这是一个“里程碑式的诉讼”,并承诺将会在法庭上解决这个问题。

  2022年2月,以比利时数据保护局为首的28个欧盟数据保护机构发现,在线广告行业的贸易机构“IAB Europe”存在多项违反GDPR的行为。ICCL对此提出相应的诉讼,最终确认了IAB Europe的违法行为。

  此外,今年3月,ICCL起诉爱尔兰数据保护委员会DPC 未能对大规模谷歌数据泄露采取行动,投诉中强调DPC在3年半前收到了关于Google 实时出价数据泄露的投诉,但DPC 未能对此投诉采取行动。

]]>
美国政府:赶紧给 VMware 设备打补丁,否则拔掉设备! Sun, 03 Jul 2022 08:24:23 +0800 披露了严重的身份验证绕过漏洞,旧漏洞受到大肆攻击。

美国政府网络安全和基础设施安全局(CISA)在一天内向VMware用户接连发出了两则警告,它认为这家虚拟化技术巨头的产品可能被不法分子用来控制系统。

该部门认为这个威胁足够严重,于是命令美国政府机构停止使用VMware产品,如果无法打上补丁的话。

这两则警告中一则强调了一个严重的身份验证绕过漏洞(编号为CVE-2022-22972),CVSS等级评分为9.8分(最严重是10 分),VMware 周三已予以披露。

这个漏洞影响五款产品:Workspace ONE Access、VMware Identity Manager、VMware vRealize Automation、vRealize Suite Lifecycle Manager和VMware Cloud Foundation。

恶意分子通过网络访问用户界面(UI)无需验证身份,就能获得管理员访问权限。

Cloud Foundation中的漏洞非常可怕,因为该产品正是VMware用于构建和管理运行虚拟机和容器的混合多云系统的工具。这意味着未经授权的用户能够获得管理员级别的权限,并操控本地的那些资源,还可能操控基于VMware的公共云上的那些资源(这其中4000多个公共云由VMware的合作伙伴运行),以及与 AWS、微软、谷歌、Oracle、IBM 云和阿里云合作运行的环境上的资源。

该漏洞对其他产品的影响也很大,因为Identity Manager和Workspace ONE Access control可以通过VMware的应用程序发布工具授予访问应用程序和 SaaS服务的权限,而vRealize拥有广泛的自动化功能,触及混合云运营的许多方面。

第二个漏洞 CVE-2022-22973也在周三披露,让攻击者可以在VMware Workspace ONE Access和VMware Identity Manager中成为root用户。该漏洞评分为7.8 分。

这两个安全漏洞造成的威胁非常大,以至于CISA颁布了一道紧急指令,要求美国民事政府机构在 5 月 23 日之前将任何在互联网上暴露的VMware高危产品从生产环境撤下,应该将它们视为受到严重威胁。美国政府机构还必须列出所有使用的受影响产品,并在同一期限内打上补丁。如果无法打上补丁,CISA希望从政府网络上移除这些产品,无论它们是不是面向互联网。

VMware被美国政府机构广泛使用。如果其产品关闭,生产力和服务可能会受到严重的扰乱。

CISA 对VMware用户发出的另一则警告针对这家IT巨头在2022 年4月初披露的漏洞。这家网络安全部门表示,它觉得攻击者可能是高级持续性威胁(APT)分子,分别利用CVE-2022-22954和 CVE-2022-22960 ,或者同时利用这两个漏洞,以获得“系统的全面控制权”。4 月份披露的漏洞影响的正是今天披露的漏洞影响的同一批产品。

该部门发布的安全公告声明,CISA 事件响应团队已经派驻一家“威胁分子利用了CVE-2022-22954的大型组织”前去救火。“另外多家大型组织发现了可信赖第三方被利用和被攻击的迹象。”

VMware关于今天披露的常见问题解答(FAQ)问道:“为什么这些软件组件还有第二份VMware安全公告( VMSA)?”

VMware的回答如下:安全研究人员发现漏洞后,漏洞常常引起其他安全研究人员的注意,他们为研究带来了不同的视角和经验。VMware认识到额外的补丁会给IT员工带来不便,但我们兼顾这种担忧和透明度方面的承诺,让我们的客户了解情况,并提前防范潜在的攻击。

然而,正如CISA的忠告那样,VMware客户并没有提前防范这些攻击。相反,他们只是在不停地打补丁。

]]>
日经新闻亚洲子公司遭勒索软件攻击 Sun, 03 Jul 2022 08:24:23 +0800 据出版巨头日经新闻(Nikkei)透露,该集团在新加坡的总部于近期遭到勒索软件攻击。

“5月13日我们首次发现了对服务器的未经授权访问,随后已启动内部调查。”在公司发布的一份新闻稿中这样写道,“日经亚洲集团第一时间关闭了受影响的服务器,并采取了其他措施将影响降到最低。”

日经新闻补充表示,目前正在调查攻击者是否访问了可能存储在受影响服务器上的客户数据,“受影响的服务器可能包含客户数据,日经目前正在确定攻击的性质和范围”。截至目前,在调查勒索软件攻击时都没有发现数据泄露的证据。

本次攻击由日经新闻及其亚洲子公司向日本和新加坡负责个人数据保护的当局报告,攻击发生后日经新闻的公共关系办公室立马发表了一则道歉声明:“我们真诚地为我们造成的麻烦道歉,我们将与有关部门合作,采取适当行动,努力加强信息保护。”

其实,早在两年前,日经新闻就曾成为商业电子邮件攻击(BEC)的受害者。攻击者伪装成日经新闻的高管,欺骗了美国分公司在纽约的一名员工,将2900万美元汇入他们制定的一个银行账户。

日经新闻作为全球最大的媒体公司之一,拥有约400万印刷和数字订户,以及40多家涉及出版、广播、活动、数据库服务和指数业务的附属公司这家媒体集团于2015年收购了英国《金融时报》,目前在世界各地拥有数十家外国编辑部和1500多名记者。

]]>
最强间谍软件:某国元首被渗透 难以防范的国家安全威胁 Sun, 03 Jul 2022 08:24:23 +0800 近期,以色列间谍软件Pegasus(飞马)再次成为欧美关注的焦点。5月初,西班牙首相桑切斯确认遭飞马软件入侵,成为现任全球政府首脑的首个确认案例。此前,英国首相鲍里斯·约翰逊办公室相连设备也发现 飞马间谍软件的活动痕迹。

接连曝光的事件引发对监控软件使用的广泛争议。在全球开展的飞马项目调查显示,目前已在世界各地发现超过 450 起疑似飞马入侵事件,受害者分布普及世界各地,包括不少国家的领导人。

目前飞马软件已被美国商务部列入黑名单,正在接受欧洲议会委员会的调查。频发曝光的飞马入侵事件突显出间谍软件构成的国家安全威胁。

最强间谍软件:目前尚无有效应对办法

英国 《卫报》认为,飞马软件“可能是有史以来最强大的间谍软件”,可以将手机变成“24 小时的监控设备”——收集用户的位置、数据、密码、照片、网络搜索信息和其他数据。

作为实际使用中检测到的最先进恶意软件,飞马间谍软件利用WhatsApp、iMessage、FaceTime 等流行应用的零日漏洞,感染智能手机的操作系统——苹果iOS、iPadOS 和 安卓(Android)。

2016 年,研究人员曾发现早期版本的飞马软件,它主要通过鱼叉式钓鱼感染手机——通过短信或电子邮件,欺骗目标用户点击恶意链接。

从那时起,飞马软件的攻击能力变得更加先进:可以通过所谓的“零点击”攻击来实现感染。这种攻击方式不需要手机用户的任何交互即可成功。这些通常会利用“零日”漏洞,即手机制造商尚不知道且无法修复的系统缺陷或错误。

在鱼叉式网络钓鱼和零点击攻击均未成功的情况下,攻击者也可以利用攻击目标附近的无线收发器实现感染;拿到攻击目标电话的情况下,也可以手动安装。

一旦目标手机被感染飞马软件,手机就会变成微型窃听器,攻击者就几乎可以从手机窃取如何信息:从地理位置、信息、密码、照片、互联网数据,甚至控制相机和录音的开启。

一些安全研究人员认为,目前还没有什么办法可以有效阻止飞马软件的入侵。强大的功能令飞马软件获得了“世界上最强大的网络武器”的美誉。

飞马软件用途极其广泛,可以从 WhatsApp、Facebook、Twitter、Skype 和 Gmail 等应用中嗅探通信、窃取消息和通话记录;它包含键盘记录和截屏功能,甚至可以控制手机的摄像头和麦克风。

飞马软件开发机构——总部位于特拉维夫北部的以色列公司 NSO Group ,由以色列前情报人员所创建。近十年来,这家以色列公司一直以订阅的方式向世界各地的国家情报机构出售这款军用级监控软件,并承诺可以做到其他任何人都做不到的事情(甚至国家情报机构)——持续可靠地破解任何 iPhone 或 安卓智能手机的加密通信。

国家元首被渗透:间谍软件危机加剧

尽管NSO Group公司在官网上宣称,主要开发“帮助政府机构预防和调查恐怖主义及犯罪行为的技术” ,以拯救全球无数人的生命,但公司在近期曝出众多入侵事件后也承认,作为软件提供商,自己无法掌控客户的具体攻击目标。

安全研究人员发现,飞马间谍软件已被用来攻击世界各地的政治家和律师,甚至对国家安全构成严重的威胁。

在全球开展的飞马项目调查显示,目前已在世界各地发现超过 450 起疑似飞马入侵事件,受害者分布普及世界各地——从印度和乌干达,到墨西哥和约旦河西岸,其中包括法国、巴基斯坦和摩洛哥领导人、美国官员,甚至一些国家的前领导人也在受害者名单中。

目前,西班牙首相佩德罗·桑切斯 (Pedro Sanchez) 是被证实感染间谍软件的最高级官员。也是第一个被证实成为间谍软件受害者的欧洲国家领导人。桑切斯入侵事件加深了欧盟间谍软件的危机。

5月初,西班牙政府确认,该国首相佩德罗•桑切斯(Pedro Sanchez)和国防部长玛格丽塔•罗伯斯(Margarita Robles)的手机被 飞马间谍软件窃听。随后又确认,内政部长费尔南多·格兰德-马拉斯卡( Fernando Grande-Marlaska )也遭到攻击。西班牙国家情报中心 (CNI) 主任帕兹·埃斯特班 (Paz Esteban)因此被解雇。

西班牙政府披露,桑切斯的电话在 2021 年 5 月两次遭到入侵;罗伯斯的电话则在 2021 年 6 月遭攻击。黑客从桑切斯的手机中窃取了 2.6 GB 信息,从罗伯斯的手机中提取了 9 MB 的信息。目前,有关入侵行为的详细报告已被移交给西班牙国家法院做进一步调查。

此外,英国政府官员的设备也已成为间谍软件的目标。2022年4月,多伦多大学公民实验室(Citizen Lab )警告,英国政府官员的智能手机已成为间谍软件的目标,从而变成远程监听设备。该机构的研究人员在英国官方网络中发现了多起疑似 飞马间谍软件感染的事件。其中包括英国首相办公室和英国外交和联邦事务部。据信,间谍软件攻击始于对英国外交和联邦事务部相关系统的针对性感染。公民实验室(Citizen Lab )是全球领先的间谍软件研究机构。

美国外交官此前也曝出被入侵的事件。《华盛顿邮报》和其他 16 家新闻机构的调查发现,美国外交官和其他大使馆雇员面临飞马间谍软件的入侵风险,尤其是使用海外电话号码时。

2021年12月,苹果公司向11 名美国大使馆员工发出警告:其 苹果手机被 NSO Group 的飞马间谍软件入侵。这一事件是飞马软件攻击美国官员的首个确认案件。据熟悉苹果公司的人士称,这些攻击主要集中在美国驻乌干达首都坎帕拉的大使馆。

实际上,2020 年,在飞马等间谍软件可能侵入亚马逊创始人杰夫·贝索斯的手机后,联合国呼吁对飞马软件展开相关调查。2021年7 月,由媒体机构与非政府组织合作的飞马调查项目,披露了一份超过5万个的全球智能手机号码清单,大多数集中在 NSO 的国家客户,这意味着清单都可能是潜在的监视目标。这些电话号码集中在十个国家:阿塞拜疆、巴林、匈牙利、印度、哈萨克斯坦、墨西哥、摩洛哥、卢旺达、沙特阿拉伯和阿拉伯联合酋长国(UAE),所有这些国家都曾是 NSO集团 的客户

当然,飞马间谍软件(Pegasus)高度定制、使用成本高昂高度,这意味着普通企业不会成为攻击的目标。

国家安全的严重威胁

频频曝光的飞马软件对世界各国领袖和官员的攻击事件,突显了间谍软件构成的国家安全威胁。在很大程度上不受监管的间谍软件市场使这种强大的恶意软件可用于攻击各国。

与传统武器系统的出口一样,以色列国防部必须对飞马软件的所有对外销售进行批准,从而在其扩散过程中发挥监督作用。但对于出售之后的流向和用途根本无从监督和控制,因此西班牙、法国、巴基斯坦和摩洛哥的领导人,以及一些前国家领导人都可能在受害者名单上。

2021年 11 月,美国商务部以公司向外国政府出售监视间谍软件为由,将 NSO 集团和另一家以色列监控软件公司 Candiru 列入黑名单,禁止其获取美国技术, 

但这没有阻止新客户接近NSO 集团,这其中也包括美国。2022年2月,联邦调查局证实,从以色列 NSO 集团购买了 飞马间谍软件,尽管其否认曾在行动中使用过,声称其以“与新兴技术和贸易技术保持同步”。但购买和测试的细节却从未公开过。

此外,美国科技公司还以黑客攻击向 NSO 集团提起诉讼。2021年 5月苹果公司起诉NSO 集团,称其为“不道德的 21 世纪雇佣军”,试图阻止该公司对全球10 亿部苹果手机的漏洞利用。Meta公司(Facebook) 向美国联邦法院起诉 NSO 集团,指控其涉嫌入侵约 1,400 名 WhatsApp 用户。 此后,微软和其他科技巨头也加入了进来。

尽管这些科技巨头以监控和安全为由提起诉讼,但其中一些自身就曾投资过研发监控技术的以色列企业。此外,美国国家安全局还寻求与这些科技公司达成协议,以实现通过后门获得对其产品的特殊访问权。

因此,分析人士认为,目前美国和以色列在 NSO 集团飞马软件问题的争议,并非对私营监控公司的监管问题,而是对快速发展的网络武器行业的控制权争夺战。这表明两国政府对于控制越来越强大网络武器的重视,正如重视控制战斗机和离心机等军备物资一样。

据报道, NSO 集团有可能将其资产出售一家美国公司,目前正在进行谈判。

各国感染飞马间谍软件的事件

西班牙

西班牙政府确认,首相佩德罗•桑切斯、国防部长玛格丽塔•罗伯斯、内政部长费尔南多·格兰德-马拉斯卡遭飞马软件监控。

英国

英国首相办公室、英国外交和联邦事务部遭飞马软件攻击。

芬兰

芬兰外交部证实,数名不详的芬兰驻外外交官遭飞马软件入侵。

以色列

多名前政府官员,其中包括财政部前总干事Shai Babad、通讯部前总干事Avi Berger ,以及交通部和财政部的前任总干事Keren Terner-Eyal 等

美国

11 名未透露姓名的美国外交官员,在乌干达 遭飞马软件攻击。

法国

时任法国环境部部长弗朗索瓦·德·鲁吉 (François de Rugy) 疑似遭飞马软件监控。

]]>
德州近200万个人信息被曝光了三年 Sun, 03 Jul 2022 08:24:23 +0800 近日,由于德州保险部门(TDI)的一个编程问题,德克萨斯近200万人的个人信息被暴露了近三年。

据TDI透露,在此前发布的一份州审计报告中,从2019年3月到2022年1月,180万提出赔偿要求的工人的详细信息在网上公开。其中包括社会安全号码、地址、出生日期、电话号码和有关工人受伤的信息。

在2022年3月24日的公告中,TDI表示,它于2022年1月4日首次发现管理工人薪酬信息的TDI Web 应用程序存在安全问题。此问题使公众能够访问受保护的在线部分应用。

TDI是负责监督德克萨斯州保险业并执行州法规的州机构,在发现了这一问题后,它立即下线了该应用程序,解决了信息泄露的问题,并开始与一家取证公司一起调查该起泄露事件的性质和范围。

接下来,TDI向2019年3月到2022年1月期间提交新的人工赔偿要求的用户发出信函,告知他们可能存在信息泄露的风险。根据最新的统计数据显示,此次数据泄露共影响了德克萨斯州180万人。

5月17日,TDI在新闻稿中写到,自2022年1月开始,TDI开始调查调查以确定问题的严重性质和范围,并与一家知名网络安全公司合作,试图找到除TDI工作人员以外的人查看这些用户的个人信息。结果显示,暂时没有任何证据表明已经泄露了的员工个人信息被滥用。

TDI进一步表示,它将免费为可能受到影响的用户提供 12 个月的信用监控和身份保护服务。对此,Egnyte网络安全宣传总监Neil Jones表示,最近发生的TDI数据泄露事件令人担忧,因为工人的薪酬数据包括PII(个人身份信息)和PHI(受保护的健康信息),它们是网络攻击者的最喜欢的数据资源。尽管目前没有证据表明泄露的信息已经被恶意使用,但攻击者往往会选择一个更合适的时间,将窃取的数据在暗网上出售,这样的例子并不少见。

同时,该数据泄露事件也给我们敲响了警钟。随着数字化的到来,政府机构数字化的趋势已经十分明朗,然而在这个过程中很多机构的网络安全防护体系并未建设完善,以至于屡屡出现相类似的安全事件,给公民信息安全带来了严重的影响。

从TDI数据泄露事件中可以发现,很多低级的网络安全错误并不少见。一个配置失误就让近两百万人的数据被曝光了整整三年,其中包含了大量的有价值的个人隐私信息。在这三年的时间里,该机构从未发现这一隐患,以至于发生了如此灾难性事件。

换句话说,在互联网化的道路上很多机构一味求快,早已存在的诸多安全风险,此时我们更应该回过头反思安全性,而不是继续埋头跑步。毕竟只有基础牢固,才能跑的更加长远。

]]>
黑客创建“机器人”电话,企图浪费俄罗斯官员时间 Sun, 03 Jul 2022 08:24:23 +0800 Hackread 网站披露,一个名为“Obfuscated Dreams of Scheherazade”的黑客组织创建了一个机器人网站 WasteRussianTime.today,该网站允许访问者随机选择两名俄罗斯官员拨打恶作剧电话,浪费他们的时间。

劫持电话和恶作剧电话构成致命组合!

黑客组织利用公开泄露的数据,建立了一个包含 5000 多名俄罗斯政府官员电话号码的网站数据库。

据悉,WasteRussianTime.today 主要将劫持电话和恶作剧电话结合起来,创造出一种新奇的网络武器,通过电话交谈来烦扰俄罗斯官员。

这件事情说起来可能比较魔幻,会引起许多怀疑,但客观事实是,这个恶作剧已取得了成功。截止目前,已经大约五千多个电话从该网站打出,更夸张的是,据 Gizmodo 分析显示,高峰时, 45 分钟内,约有两千个电话打出。

网站如何工作?

当访问者通过 WasteRussianTime.today 打出假电话连接两名俄罗斯官员时,网站会随机地将俄罗斯情报部门、军方或任何其他高级官员的网络电话连接起来。

这时候,这些官员对谁打的电话和为什么打电话毫无头绪,将被迫浪费他们的时间,而网站访问者则可以静静地听着他们的对话。

按照 Obfuscated Dreams of Scheherazade 黑客组织成员的说法,他们这样做,目的只是想给俄罗斯官员制造混乱和烦扰,当这些人挂在电话上,就不能投掷炸弹,不能协调士兵,不能制定作战了计划。

这项“电话”服务有什么用?

该网站数据库中包含了数以千计俄罗斯政府雇员的固定电话和手机号码,其中俄罗斯议会杜马成员、战争和经济部以及联邦安全局(FSB)官员、媒体和情报人员、中高级行政人员以及“高调”的政治家都囊括在内。

打电话的举动可能不像投掷武器那样,能够带来巨大的打击,但垃圾电话将电话线路堵塞,无疑会成为俄罗斯政府官员的一大困扰。

黑客组织强调,访问者可以随意使用这项服务来反对俄罗斯,并认为这仅仅是一种“民事干预”。

]]>
日经新闻亚洲子公司遭勒索软件攻击 Sun, 03 Jul 2022 08:24:23 +0800 出版巨头日经新闻(Nikkei)透露,该集团在新加坡的总部于5月13日遭到勒索软件攻击。

“5月13日我们首次发现了对服务器的未经授权访问,随后已启动内部调查。”在公司发布的一份新闻稿中这样写道,“日经亚洲集团第一时间关闭了受影响的服务器,并采取了其他措施将影响降到最低。”

日经新闻补充表示,目前正在调查攻击者是否访问了可能存储在受影响服务器上的客户数据,“受影响的服务器可能包含客户数据,日经目前正在确定攻击的性质和范围”。截至目前,在调查勒索软件攻击时都没有发现数据泄露的证据。

本次攻击由日经新闻及其亚洲子公司向日本和新加坡负责个人数据保护的当局报告,攻击发生后日经新闻的公共关系办公室立马发表了一则道歉声明:“我们真诚地为我们造成的麻烦道歉,我们将与有关部门合作,采取适当行动,努力加强信息保护。”

其实,早在两年前,日经新闻就曾成为商业电子邮件攻击(BEC)的受害者。攻击者伪装成日经新闻的高管,欺骗了美国分公司在纽约的一名员工,将2900万美元汇入他们制定的一个银行账户。

日经新闻作为全球最大的媒体公司之一,拥有约400万印刷和数字订户,以及40多家涉及出版、广播、活动、数据库服务和指数业务的附属公司这家媒体集团于2015年收购了英国《金融时报》,目前在世界各地拥有数十家外国编辑部和1500多名记者。

]]>
Win11安全性被黑客轻松破解 微软慷慨奖励近27万 Sun, 03 Jul 2022 08:24:23 +0800 去年发布Win11系统时,微软除了强调它有着更现代的UI设计之外,还表示Win11加强了安全性,面对网络威胁更有底气,不过在日前的Pwn2Own 2022黑客大赛上,Win11还是轻松被黑客们破解了,赚走微软4万美元奖金。

Pwn2Own 2022是全球黑客行业的顶级竞赛,微软、苹果、Mozilla以及特斯拉等公司的产品一直是黑客们拼技术的重点,谁能从中找到0Day漏洞并攻破各大互联网科技公司的产品,不仅可以扬名立万,还会拿到厂商们的高额奖金。

微软旗下有多个产品也被黑客们攻破,微软的会议软件Microsoft Teams首个被拿下,而Win11中被发现了存在一个越界漏洞,允许黑客借此提升权限攻破系统,黑客因此获得了微软4万美元的奖励。

当然,具体的漏洞现在是不会说的,微软后面应该会修复,到时候才有可能公开。

]]>
国产摄像头在美或将全部下架?美国被迫害妄想症何时根治 Sun, 03 Jul 2022 08:24:23 +0800 据美国科技类网站TechCrunch报道,从2021年末开始,美国零售商开始陆续下架中国产安防产品。或许,中国产监控技术产品不久之后便会在北美市场销声匿迹。

中国安防产品在北美遭遇“寒冬”其实也在预料之中。早在2018年,在制裁中兴的议案后附加增补提案中,美国众议院便以国家安全为由,禁止美国联邦政府采购某些中国制造的视频监控设备。其中,就包括海能达通信、海康威视和浙江大华。

在此之后,安防产业便成为了美国政府的重点“照顾对象”。

2019年10月,美国商务部以“有违美国国家安全或外交政策利益”为由再次施压,将我国安防龙头企业海康威视及大华列入了“实体清单”。

被列入该名单意味着企业与美国供应链的隔绝,会遭到从学术、销售、技术、产品、供应链的全面封锁,基本不可能从美国获得《出口管理条例》所列的物项和技术。

而就在前不久,英国《金融时报》援引知情人士消息称,美国正准备对中国安防企业海康威视实施新的制裁,拜登政府已在为这项“与人权有关”的制裁“打基础”。

尽管该消息目前还未被证实,但受该消息影响,海康威视5月5日开盘遭遇跌停,全天成交45.1亿元,市值蒸发400亿降至3607亿元。而截至5月19日上午,海康威视的市值已降至3086亿元,近四分之一的市值蒸发。

我国安防产业被美国三番五次的制裁,损失北美市场只是一个方面,而另一个威胁到海康威视等企业的,则是因无法购买美国产关键元器件导致生产中断,无法突破美国所构建的技术壁垒。

在此情况下,我国的安防产业又该如何突围,去面对美国的绞杀呢?

制裁源于恐惧

目前,安防设备包含了三大类:视频监控、门禁以及防盗报警设备。在此当中,视频监控占据市场最大份额。但偏偏是“监控”概念,让视频监控配套产品的应用在西方文化与舆论中一直处于敏感地带。

进入近代文明以来,西方国家对于“监控”这一概念及其附加产品便有抵触情绪,乃至带有“恐惧”色彩。

法国思想家、结构主义大师米歇尔·福柯在其著作《规训与惩罚》中认为,规训权力的实施“必须有一种借助监视而实行强制的部署(dispositif)。”

福柯认为,监视是资产阶级规训权力布局中的一个重要技术环节,即规训人类行为使之符合社会准则。完美的规训-监视机构,应该令它的规训对象毫无秘密可言。这种起源于资本主义大生产式规训的监视机制,将人镶嵌在一个固定的位置,任何细小的活动都会受到监视。

因此,规训借助这种监视带来的“无所不在、无所不知的权力”,确定了每个人的位置、肉体、病情、死亡和幸福,从而“构建了权力毛细渗透功能(fonctionnement capillaire)的完整等级网络,管理控制甚至深入到日常生存的细枝末节。”

换句话说,这种监视体质,将人的隐私毫无保留地暴露给上层阶级,成为权力机构规范社会群体的强力手段。

因此,在西方文化思想当中,监视系统背后所蕴含的意义,更像是权利阶层统治社会的辅助工具。

正如哈佛大学教授肖珊娜·佐伯芙所说,知识与权力的不对等,不仅是对个人隐私的侵犯,更是对整个社会根基的侵蚀。而且,用户的无知并非出于愚笨,而是资本主义利用监控的模式,刻意隐瞒和操纵造成的。

所以说,在西方的文化中,哪怕是为了维护社会治安的视频监控也一直处于敏感地带。这就为中国安防产品在西方市场的推广在意识形态上增加了难度。

而除了思想上的恐惧,美国对中国安防产业的打压,还出自对自身安全及市场等方面的恐惧。

以海康威视为例,目前,该公司旗下产品全球市占率高达30%,但是全球销售主要依靠出口,且并不依赖产业链本地化。因此,打击海康威视就是变相扶植美国安防产业发展,符合制造业“回流美国”的需求。

此外,安防的主要载体便是摄像头。但摄像头的敏感之处在于,当摄像头遍布美国街头时,将获得海量的数据,这些数据一旦被汇总形成大数据,将有足够多的信息可以挖掘。

不仅如此,从2015年开始,海康威视便开始进行智能化转型,2016年推出全系列深度智能产品,开始探索赋能各行各业的数字化转型。在此背景下,海康威视试图由从视频监控向智慧安防、视觉物联网发展。

这也就意味着,监控系统变得更加智能,它将对视觉感知范围内的人、车、物等目标赋以“身份”标签并识别目标的实际“身份”,并利用网络化特点对大范围中的目标进行关联,有效地分析标签物体的实时状态。

因此,尽管监控数据依旧保留在本地处理,但使用中国生产的硬件产品监测社会日常,对于美国来说无疑会幻化出多种令人不安的“恐怖”画面。

技术壁垒依旧存在,破墙锥在哪?

随着我国安防企业在快速发展中逐步完善技术和产品线,目前,一大批安防企业正走上快速发展之路。

据统计,我国安防市场规模从2017年的6016亿元增长至2019年的7562亿元,年均复合增长率达12.01%,预计2022年将达到10134亿元的市场规模。值得注意的是,近年来伴随国内经济下行的压力,安防成为少数较为景气的行业之一。

然而,尽管该产业的市场规模不断扩大,但并不意味着国产安防企业已经掌控了核心技术、占据了全球产业链的上游位置。

从产业链的角度来看,智能安防涉及上游算法、芯片设计、以及存储器、图像传感器等零部件生产;中游软硬件及系统集成、或提供智能安防运营服务环节;下游城市管理、学校、医院、轨道交通、金融等场景。

其中,上游芯片制造商作为产业链的第一环,影响着整个安防系统的稳定性、能耗、成本等,在安防行业未来发展方向上起着关键作用。因此,关注安防行业发展,离不开对芯片厂商的关注。

在此当中,IPC SoC 芯片受益于网络摄像机的大范围普及,被认为是未来发展的主流。

IPC SoC是网络安防摄像机的核心元器件,内部集成CPU、ISP、音视频编码模块、网络接口模块、安全加密模块、视频智能处理模块等。该芯片决定着安防监控设备成像、视频压缩编码等一系列性能。

目前,这一核心产品仍难以完成100%国产。

海康威视为例,如今,该公司旗下产品的前端摄像头及AI前端产品的零部件构成,已基本可以实现国产化替代。

但是,其后端的服务器却依旧需要从美国进口。关键部件包括Intel的CPU,英伟达的GPU,希捷、西部数据的机械硬盘,德州仪器、安霸的电源管理芯片等,这些都是美方定点打击可能影响到的产品。这种服务器类的产品,目前国产化还无法替代。

除此之外,安防芯片的生产也一直是国产安防企业的“痛点”。眼下中国安防芯片呈现了“百花齐发”的繁荣局面。除了华为的海思芯片之外,前端IPC芯片厂商君正、富瀚微、国科微等众多企业也纷纷入局,并占据了可观的市场份额。

而当前的局面也让业界出现了一种“华为海思芯片被制裁,中国安防产业依旧强势发展”的声音。

值得注意的是,国内安防芯片厂家虽多,但大多数厂家的代工厂都是台积电、联电等厂商。代工厂受美国政策影响很大,美国仅仅限制代工厂就可以使国内芯片厂家无法为安防企业提供国产芯片。

因此,国产安防芯片的繁荣,依旧难以脱离海外企业的影响。归根结底,中国目前还没有中高端完全自主的芯片生产体系,在不少半导体设备、原材料上依然依赖于国外供应,这就导致美国可以随意拿捏中国的龙头企业,限制中国半导体产业发展。

制裁是把双刃剑,国产安防芯片已有突破

《左传·襄公十一年》有言:居安思危,思则有备,有备无患。尽管近日美国对于我国安防产业将进一步制裁的传言还未落实,但是,在面对无法预知的未来时,我们依旧要做好充分的准备。

从美国的角度看,尽管“制裁一时爽”,但构建技术壁垒、制造贸易摩擦本身就是一把双刃剑。在贸易摩擦的另一端,与中国安防企业有着商贸往来的众多美国企业也深受影响。

以英特尔公司为例,该芯片厂家凭借技术优势,早已与海康威视、宇视科技等企业建立了深度合作关系。

在美国对中国安防企业连续制裁的2019年,英特尔发布的2019年第一季度财报显示,在该季度英特尔营收161亿美元,基本与去年同期持平;净利润为40亿美元,相比去年下降11%。

在财报发布的当天,英特尔盘后股价一度下挫超过7%。对此,时任英特尔CEO罗伯特·斯旺称,“我们在中国经历了一次急剧下滑,这是一个非常重要的市场。我们看到企业产品和云产品的购买形势都在急剧下滑。”

近十年来,美国向中国出口的芯片产品平均每年超过3000亿美元,是其最大的海外市场。在多边主义和经济全球化成为世界发展主流的今天,中美之间科技贸易往来早已深度融合。如果美国政府持续在科技领域对中国企业实施制裁,其国内反对声音也注定会越来越高。

据福布斯新闻报道,在2020年,半导体设备制造商应用材料(AMAT)、KLA Corporation和Lam Research就通过向中国实体销售半导体制造设备而获得了可观的收入。并且上述企业的高管也相信,严格的出口管制对收入不会有什么影响,并坚持认为中国的需求“必须有人来满足”。

可见,限制措施的升级并没有阻止一些美国科技企业在与中国企业交易中获取利润。由美国政府构筑的壁垒在逐利资本面前是否能够起到作用,目前还未可知。

而处于被制裁端的中国安防企业,为了防止美国对安防及其他领域科技企业的进一步制裁,中国必须在芯片等技术领域加大研发力度,突破技术壁垒。

值得庆幸的是,与手机芯片动辄5-7nm的制程工艺不同,安防摄像机的芯片制程工艺目前绝大多数集中于22-48nm,并不需要用到当下最先进的制程工艺。

且中低端的安防芯片市场空间比高端市场更大,更具性价比的小算力芯片需求量也更大。市场上也涌现了许多国产芯片厂商,从中低端市场起步,一起分享安防芯片巨大的市场份额。

因此,安防芯片的技术门槛与其他芯片产品相比,难度更低,而这也为国产安防企业在技术上的突破带来了更多机会。

以深度学习芯片方案GPU为例,由于该产品存在成本、效率、功耗等技术瓶颈,现已有针对安防产业开发的FPGA/ASIC智能芯片,如深鉴科技的DPU芯片(FPGA)、北京君正的NPU协处理器(ASIC)以及寒武纪的AI服务器芯片(ASIC)等。

而在芯片制程工艺方面,尽管台积电、三星先后对外界宣布,将会在2023年投产3nm制程芯片。但是国内芯片龙头企业中芯国际也投入近千亿元,用来扩产28nm制程芯片为主的芯片代工产能。

可以看出,国内芯片厂商虽然与国际顶尖芯片制造企业存有较大差距,但是鉴于安防芯片的制程工艺相对较低,满足未来该产业的芯片需求也并非难事。而中芯国际的这一举措,也能看出我国在芯片领域的发展并非好高骛远,而是选择一步一个脚印,稳健地向世界一流水平靠拢。

结语

自从2019年被纳入出口管制实体清单时,海康威视就公开表示:海康威视已全面开展美国元器件的替代工作,如果有需要将自己设计芯片,进一步加大研发投入。

同时,时任董秘黄方红也表示:在安防领域,尤其在专用器件上,海康威视对美国进口依存度很低,而在通用器件上依存度较高,包括GPU、CPU、DSP等。但依然会保持开放的心态,会发展全球供应链体系。

美国对于中国安防企业频繁地实施制裁,是不遵守国际相关贸易规则的霸道之举,但制裁的实施却也暴露出,中国安防产品的核心技术水平还不够高,依然需要不断提升。

随着中国在芯片产业及诸多技术领域的不断突破,安防产业对于国外的依赖度注定将逐渐降低,并且伴随着中国科技产品“质优价美”的产品属性,占据国际市场的优势地位并非天方夜谭。

相对于绞尽脑汁思考如何制裁中国安防企业,未来,以美国为首的西方国家或许更应该思考如何根治自己的“被迫害妄想症”了。

]]>
勒索软件攻击已造成国家危机!该国总统说:有内鬼配合 Sun, 03 Jul 2022 08:24:23 +0800 5月16日(周一),哥斯达黎加新任总统Rodrigo Chaves在新闻发布会上表示,国内有合谋者协助Conti勒索软件团伙敲诈政府,这坐实了Conti团伙日前在网站上发布的声明内容。

据阿根廷老牌媒体《国家报》报道称,哥国总统没有公布合谋的内鬼是谁,也未提及他们究竟如何与Conti团伙串通。

总统称,“毫不夸张地说,我们已经身处战争。作战的对象是国际恐怖组织。目前已经有明确迹象可知,国内有人正与Conti合谋。”但他并未透露更多细节。

 “这些犯罪团伙财力雄厚,完全有可能以收买的方式渗透进任何目标组织。”

BRETT CALLOW, EMSISOFT公司威胁分析师

上周末,安全厂商Emsisoft威胁分析师Brett Callow发现,Conti网站上发布内容,试图诱导哥国人民以“组织集会”的方式施压,迫使政府支付赎金,还声称“我们决心通过网络攻击推翻政府。”

由于哥国政府“拒不配合”支付赎金,Conti团伙开出的赎金价码已经上涨一倍,目前为2000万美元,同时威胁将在一周内删除解密密钥。

5月8号,哥国总统Chaves刚宣誓就任,就宣布国家进入紧急状态。再往前两天(5月6日),美国国务院悬赏1000万美元,全球征集Conti团队“关键领导者”的个人信息。

Chaves在新闻发布会上表示,哥国政府已经从各部门抽调人手,组建了一支“特警小组”,负责应对4月17日爆发的这起勒索软件攻击。本次攻击至少影响到哥国27家政府机构,其中9家“受到了严重影响”,全面评估排查仍在进行当中。

Chaves指出,勒索软件攻击阻碍了政府的征税工作,并导致不少公职人员工资被多发或少发了。

他指责前任政府没能对网络安全进行充分投资,并向哥国人民强调“此次勒索名为安全事件,实际上是一场国家危机。”

尽管Chaves并没有提供国内有合谋者协助Conti团伙的证据,但威胁分析师Callow表示,内部威胁是个由来已久且影响深远的问题。例如,一家托管服务商(为其他企业提供IT服务,并可访问客户网络的公司)的工程师就曾于2020年1月受到指控,罪名是在暗网论坛上出售客户网络的登录信息。

Callow解释道,“这些团伙财力雄厚,完全有可能以收买的方式渗透进任何目标组织。所以如果有内部人士在向他们提供协助,我一点也不会感到惊讶。”

]]>
海运网络安全:脆弱的海运供应链对全球经济的威胁 Sun, 03 Jul 2022 08:24:23 +0800 在某个阶段,大约90%到95%的所有运输货物都是通过海上运输的。这使得全球海运业成为世界上最大和最重要的单一供应链。针对海上供应链的成功网络攻击将有可能损害个别公司、国家财政甚至全球经济。

攻击向量

海事部门包括港口和使用港口的船只。船舶范围从小型货运船到运输石油的超级油轮,运输超过20,000个20英尺集装箱的超级货运船,以及运送高价值人员的超级游艇。虽然港口当局已经受到勒索软件团伙的威胁和攻击,但对船只攻击威胁的关注较少。

商船海事部门与已经运营了几年到几十年的船只一起运作。旧船增加了新技术,通过数字化和自动化提高效率。更新这项技术可能非常昂贵,并且取决于各种标准:机会、成本/风险评估、公司的经济实力和监管要求。结果是商船海事部门的许多船舶容易受到网络攻击。

超级游艇往往是新的,并且装满了最新的小玩意。它们往往更安全,尽管成功的入侵为攻击者提供了对船只的更大控制权。例如,成功的攻击可以远程控制油门和方向舵。

IOActive研究和战略高级副总裁John Sheehy指出了攻击者进入船只的三个主要途径。“有WIFI;一些船只有高频(HF)无线电;和商业卫星通信(SATCOM),例如 Inmarsat,”他告诉SecurityWeek。除这些外,还应该添加带有U盘的内部人员,以及早期对船舶自身供应链的入侵危害。 

卫星通信通常将Inmarsat和GPS结合起来,他认为这是主要的威胁载体——并补充说:“我们知道俄罗斯APT组织有能力远程利用船舶海上环境中使用的相同类型的SATCOM终端。” 

F-Secure的首席技术和威胁研究员Tom Van De Wiele补充说:“针对通信链路的攻击可以针对使用卫星通信的船只通信链路本身,也可以针对用于与海上船只通信的岸上港口基础设施。这与集装箱和船舶监控系统的航运IT基础设施的后端系统相关联。”

海事供应链损害的实践和理论影响

没有已知的严重船只受损的例子,但在真正的海上事故和理论分析中可以看到潜在的影响。真正的不幸将包括1967年的托里峡谷和2021年的“Ever Given”号搁浅事件。

超级油轮SS Torrey Canyon在英国西南海岸的岩石上搁浅,泄漏了大约100 多万升原油。随之而来的环境灾难导致皇家海军和皇家空军的飞机轰炸残骸以点燃泄漏物。

2021年3月,一艘400米长、可运载2万多个集装箱的集装箱船“Ever Given”在苏伊士运河搁浅,并将其封锁。这种封锁的连锁反应是巨大的。普利茅斯大学(英国)科技执行院长凯文·琼斯教授评论道。“关闭一条海上补给路线可能会导致严重的严重堵塞,每天以数十亿美元的速度影响世界经济,”他告诉SecurityWeek。

卡喉苏伊士运河的“长赐”号货轮是遭到网络攻击了吗?

“关于苏伊士关闭的成本有各种估计,但其中一些高达每天10或110亿美元,而且这些估计是在明确清理关闭的时间和成本之前完成的。由于阻塞导致的积压,几个月后,仍有船只排队进入洛杉矶港,因为整个调度模式已被打破。”

琼斯是大学海事网络威胁研究小组的负责人。他在普利茅斯经营一个网络风险实验室,并在开发MaCRA(海洋网络风险评估)技术方面发挥了重要作用。他的团队对仅关闭四个英国主要港口的潜在影响进行了理论分析,可能会导致像Ever Given那样的堵塞。这是一个实验,但同样有效。

“如果你看看英国境内的石油储备、新鲜食品储备和其他重要的东西,我们有一些储备,但每天都需要接收新的货物。英国有大约11个重要港口,但大多数集装箱货物只通过四个港口。如果这些港口以我们已经证明我们可以为其他港口做的方式有效地堵塞,这将意味着进入英国的货物供应将急剧下降——为了讨论,非常接近于零。”

移除阻塞需要数周而不是数天。“假设攻击者可以选择条件,以他们想要的方式协调攻击——这很困难,但并非不可能,”他继续说道,“你基本上切断了对英国的商品供应:我们不是得到新鲜的食物,我们没有得到油。很快我们就会到达发电站不再具备运行能力的地步。可以释放战略储备,但这样做会带来后果和后勤困难。所以,你开始失去电力,你开始失去冷冻能力——家庭和散装储存的冷冻商店在一周内就会腐烂。你会级联所有这些影响——包括运输燃料的损失——不久之后你就会遇到系统的灾难性故障。

伊利诺伊大学厄巴纳-香槟分校在美国也进行了类似的演练。“他们考虑只关闭佛罗里达州的一个港口,”琼斯说,“他们在思想实验中达到了东海岸的人们很快就会互相开枪的地步。一般原则是,我们高度依赖通过航运进行的实时补给。暂时把它删掉,你就会遇到一个真正的问题。”

攻击者的动机、手段和威胁场景

攻击海事部门的动机与任何其他行业部门的动机根本没有什么不同。它们包括道德/政治(黑客行动主义者)、金融(网络犯罪团伙)和地缘政治(民族国家)。黑客行动主义的可能性似乎最小,但没有技术理由可以阻止一个坚定且资源丰富的黑客行动主义团体对船只的攻击。

民族国家的威胁可能是最令人担忧的,目前包括但不限于俄罗斯/乌克兰战争。“多年来,众所周知,在俄罗斯西北地区,GPS 卫星导航不可靠,”Jones 评论道。“这是不可靠的,因为俄罗斯一直在广播欺骗性的GPS信号。据报道,船长说,‘我突然发现自己身处内陆三英里的运动场中央,但当我向窗外望去时,海洋仍然在那里。’ " 

2022年2月,美国国家情报总监办公室发布了年度威胁评估报告,称“俄罗斯正在投资电子战和定向能源武器以对抗西方在轨资产。这些系统的工作原理是破坏或禁用对手的 C4ISR [指挥、控制、通信、计算机、情报、监视和侦察] 能力,并破坏 GPS、战术和卫星通信以及雷达。”

2022年3月17日,CISA 发布了有关“对美国和国际卫星通信 (SATCOM) 网络的潜在威胁”的警报警告。成功入侵SATCOM网络可能会给SATCOM 网络提供商的客户环境带来风险。”

“有证据表明,民族国家,尤其是俄罗斯,一直在尝试破坏GPS,”琼斯继续说道。“如果你回到前几代战争中,大西洋护航队是维持国家运转的重要生命线,那么攻击方法就是潜艇。今天,在沙洲搁浅并被推迟到下一次大潮可以让您漂流,或者撞到防波堤并以这种方式丢失货物可能是错误的方向。你可以把它想象成最近几次地缘政治运动中出现的那种网络软化攻击的网络/物理扩展。”

BluBracket产品和开发者关系负责人Casey Bisson评论说:“与所有行业一样,海事行业越来越依赖于工业物联网和连接设备。常见的物联网风险,如弱默认凭证、未记录的后门以及允许未经授权的远程访问和控制的漏洞,在船舶上尤其令人担忧。海上和港口的船只都容易受到破坏,并有可能在更大规模的国家冲突中被用作武器。”

IOActive的Sheehy也有类似的担忧。“乌克兰战争导致部分黑海和亚速海无法通行,这必然限制了对俄罗斯和乌克兰黑海港口的进出口。特别值得关注的是乌克兰敖德萨,它是黑海最大的商业港口。俄罗斯人可以选择使用可否认的网络行动作为升级阶梯的一步,以便对那些对其实施制裁的国家施加成本。此外,明智的行动可能会产生全球影响,正如我们在苏伊士运河被永远给予的封锁中看到的那样,这是飞行员失误的结果。”

可能使船长感到困惑的欺骗性 GPS 信号的扩展是对船舶自动识别系统 (AIS) 的干扰。这可能是网络犯罪团伙在盗版场景中采取的一种方法。这些系统广播识别和位置信息,以便其他船舶和岸上当局准确知道哪艘船在哪里。受损的AIS可能会传输错误信息(使船出现在其他地方)或不传输信息(使其实际上成为隐形的幽灵船)。 

琼斯描述了一个对超级游艇进行理论攻击的例子(尽管基本原理可以用于任何船只)。

“能够访问游艇上的系统,”他解释说,“并且知道计划是什么(即绘制的路线),甚至可以监控通讯以了解船上的人员;然后在海图系统上使用黑客,你可以误导游艇,让它认为它在国际水域保持很好,但你把它带到索马里海岸的快艇范围内。同时,更改 AIS 应答器系统,以使船只报告自己在某个地方,比如向北,当它向南行驶时它应该在哪里。快速炮艇可以出来劫持船员。游艇可能已经广播了紧急警报,并且可能已经派出了拦截船——但它会前往AIS报告位置的地方。因此,实际位置和报告位置之间存在不匹配,

海事部门已经成为勒索软件团伙的目标。“我们当然已经看到勒索软件影响海运,”Netenrich的首席威胁猎手John Bambenek告诉SecurityWeek。“整个生态系统都由IT系统提供支持。当它们受到损害时,船舶可能不得不在港口等待它被整理出来,或者货物无法出境运送给他们的客户。净影响看起来很像我们去年看到的供应链中断。”

JupiterOne的现场安全总监 Jasmine Henry同意港口本身是海洋生态圈的脆弱部分。“原因很简单,”她说。“大多数人对ICS系统的可见性有限,甚至无法了解存在哪些设备,更不用说应用适当的更新或配置了。商船和港口极易受到针对非托管 OT 系统的日益复杂的勒索软件攻击,以及DDoS攻击、命令注入、侧载恶意软件和被利用的错误配置。”

到目前为止,我们几乎没有看到针对船只的犯罪袭击的证据。“我们已经看到航运公司遭到勒索软件攻击的例子,”Jones 补充道。“它们还不是带有网络/物理威胁的灾难性攻击,我们会让你的船搁浅,玩弄压载物并倾覆它,或者倾倒它的石油……”但这肯定是已经发生的事情的逻辑延伸正在发生的事情,以及将来可以做什么。

网络现实

“我的工作有一个奇怪的地方,”琼斯教授说,“我可以看到控制一艘船能做的所有真正可怕的事情。但我尽量不要太夸张,因为网络安全中有太多被过度炒作的恐怖故事。虽然我不希望小型货运公司因为无力支付数十万英镑来更新他们的船只而倒闭,但肯定存在利用船只进行犯罪勒索和国家地缘政治活动的可能性。对于某些船只,很难缓解攻击——有时,船员将有不到一分钟的时间做出反应——因此,具有足够技能和决心的攻击者很有可能成功。”

海事部门缺少的是进行真正和定期风险评估的能力。每艘船的风险不同,并且取决于航线、货物和外部威胁条件。为了尝试解决这个问题,琼斯和普利茅斯大学开发了MaCRA海上网络风险评估软件。它可以根据每艘船舶的船上技术状况、它们的位置和它们所走的路线以及它们所载的货物,为它们提供持续的风险评估。

然而,今天的底线是,全球经济中最大的单一供应链很容易受到网络攻击。

]]>
赞比亚央行遭勒索软件攻击,部分系统中断服务 Sun, 03 Jul 2022 08:24:23 +0800 安全内参5月19日消息,据彭博社报道,赞比亚银行表示,不会向Hive勒索软件团伙支付赎金。此前Hive团伙对该银行发动攻击,但系统受到的损害相当有限。

赞比亚银行是非洲中南部内陆国家赞比亚的中央银行。赞比亚在2018年加入“一带一路”倡议,赞比亚中国经济贸易合作区是中国在非洲设立的第一个境外经贸合作区。

赞比亚银行信息与通信技术总监Greg Nsofu在采访中表示,“我们的全部核心系统仍在运行,真正被泄露的敏感数据也并不多。”

目前来看,实际泄露的可能只有一些测试数据。

Nsofu指出,“我们已经妥善保护好核心系统,甚至没有必要就赎金问题跟对方交涉。所以我方态度很明确,让他们哪凉快哪待着去。”

外媒BleepingComputer也发现,在Hive对应的赎金支付谈判页面,有人对Hive团伙进行了辱骂,不少安全人士认为这可能是赞比亚银行的回应。

部分应用曾中断服务

5月13日,赞比亚银行发布公告称,在5月9日(上周一)遭受可疑的网络攻击,部分信息技术应用中断服务,包括外汇管理局监控系统和网站。

赞比亚银行督促金融行业保持警惕,因为这类攻击可能不是孤立的。

5月14日,赞比亚银行的网站也曾临时关停。

日本网络安全厂商Trend Micro透露,Hive勒索软件最初亮相于2021年6月,仅短短一年时间,已经“成为目前最活跃、最具攻击性的勒索软件家族之一”。

据FBI调查显示,该软件常被用于窃取数据并加密受害者文件,而后留下勒索信息。Hive团伙曾将美国医疗保健运营机构作为攻击目标,也对印度尼西亚国有石油和天然气公司发起过攻击。

]]>
10秒破解一辆特斯拉?网安人员再曝低级漏洞,软硬件成本仅1000块 Sun, 03 Jul 2022 08:24:23 +0800 特斯拉又被曝出安全隐患??

这次出问题的是“无钥匙进入系统”。

一位网安人员发现,通过中继攻击,只需10秒就能解锁一辆Model 3或Model Y。

而这种方法操作起来并不难,只需要在车主手机(密钥卡)及车辆附近架上设备,就能伪装成车主打开车门、开走车辆。

用到的技术软件和硬件加起来的成本,也就1000块左右,在网上都能买到。

目前,网安人员已经和特斯拉上报了这一漏洞。

还未发现有人利用此方法偷窃特斯拉的案例。

1000块钱就能入侵一辆特斯拉

这次破解主要针对无钥匙进入系统使用的蓝牙低功耗(BLE)。

这是蓝牙技术中的一种,特点是超低功耗、成本低、短距离使用。常用在物联网智能设备上,比如智能门锁、智能家电、防丢器、健康手环等。

和经典蓝牙相比,它更适合传输小体量的数据,比如把监测到的心率血压值传到手机上。

特斯拉无钥匙进入系统也是使用BLE,让手机或密钥卡与车辆通信。

利用这一原理,网安人员使用中继攻击就能完成破解。

该方法需要将一台解码感应设备靠近车主的手机或密钥卡,采集相应的数字密码传输给汽车旁的接收设备,这时车辆会误以为接收设备就是密钥,经过简单操作后车门就能被打开了。

网安人员介绍,这种攻击方法需要利用蓝牙开发套件代码,该套件在网上花50美元(人民币约338元)就能买到。

使用到的硬件设备花大约100美元(人民币约677元)也能从网上买到。

发现这一漏洞的网安人员目前已经向特斯拉披露了该问题,但工作人员表示,这不构成一个重大风险。

而且这种方法不只限于攻击特斯拉汽车。

2019年,英国一项调查发现,有超过200种车型易受到这种攻击。

就连家门上使用的智能锁,也能用此方法打开。

由此,不少厂家也都想出了应对策略。

比如福特刚刚申请了车辆密钥卡中继攻击预防系统的专利。

这是一种新的身份认证系统,可以判断出原始钥匙是否在车辆附近,从而阻断中继攻击。

现代汽车使用的办法是让无钥匙进入系统在设备静止时处于睡眠模式,从而阻止无线电信号的传输。

市面上也有卖可以切断信号的钥匙盒,不过这种方法就不适用于手机解锁了。

汽车厂商之外,还有一些厂家会使用双重身份认证系统,比如智能门锁公司Kwikset Corp. Kevo。

他们表示,使用iPhone开锁时可以用这一办法防止入侵,而且iPhone操作有30秒的时间限制,也能阻止黑客破解。

至于安卓用户,后续会有系统升级解决该问题。

One More Thing

特斯拉被曝出安全漏洞早已不是新鲜事了。

今年年初,一位19岁的德国男孩就利用程序漏洞,连续破解了25辆特斯拉汽车。可以远程控制门窗、灯光、音乐,甚至可以开走。

不过这一漏洞并不在特斯拉系统上,而是在第三方软件里。

此前,还有研究人员Model S的软件存在缺陷,可能导致黑客可以在汽车行进时关闭引擎系统。

2020年,Model X被曝出自动驾驶仪多次被黑客入侵。

还有比利时鲁汶大学的研究人员,演示过如何在90秒内“偷走”一辆Model X。

他们用树莓派DIY了一把车钥匙,利用特斯拉密钥存在的漏洞,在车主附近(15米内)就能“复制”原钥匙。不仅能打开车门,甚至还能启动车载系统。

显然,网联汽车的安全问题还有待进一步加强……

]]>
英国数据也要脱欧 Sun, 03 Jul 2022 08:24:23 +0800 提高英国对科技和创新的吸引力是保守党争取脱欧的论题之一,这一目标同样体现在英国的国家数据战略中。该战略旨在重新将国家立法的重点放在数据上,将数据作为经济增长的机会和驱动力。

英国脱欧之后,该战略成为英国的全球数据计划。该计划阐述了想让英国成为“科技超级大国”的雄心壮志,提出与主要国际合作伙伴建立全球数据伙伴关系的目标,并就新的数据制度进行磋商。

英国的数据改革计划引起欧盟方面的担忧,欧盟担心这可能导致欧盟的个人数据被转移到隐私标准不完善的第三国。

2022年5月10日,英国查尔斯王子代表伊丽莎白女王发表“女王议会演讲”,其中包括有望在新的一年获得通过的38部法案,《数据改革法案》(Data Reform Bill)便是其中之一。

这项旨在指导英国偏离欧盟隐私立法的法案,将用于改革英国现有的《通用数据保护条例》(GDPR)和《数据保护法》(Data Protection Act)。

目前,英国的数据保护法借鉴了欧盟的《通用数据保护条例》(GDPR)。然而,它对过去监管的整体复杂性表示失望。在英国脱欧之后,立法者正在抓住机会创建他们所谓的更加注重结果和灵活的数据保护制度。

一、背景:摆脱GDPR的严格和繁冗

数据是当前世界上最重要的资源之一,它在推动全球经济发展的同时,推动了科学和创新及种种技术变革。英国政府脱离欧盟后,将有权建立一个全新的数据制度,用以造福英国公民和英国企业,同时保持高标准的数据保护。

女王演讲的新闻简报提供了数据保护改革背后的目的和目标的关键信息,但目前还没有关于实际立法的细节。

英国政府已将英国脱欧视为摆脱严格和繁重的GDPR制度的机会。英国此前就曾表达对欧盟数据监管的不满,同时也表现出建立更好框架的意图。

特别是,首相鲍里斯·约翰逊的立法目标是提供一个“促进增长和值得信赖”的框架,该框架不会像现行法律那样鼓励不必要的文书工作,也不会给企业增加过多的“负担”。

英国政府希望采取一些立法干预措施,发展英国GDPR制度,使其更适合21世纪和数字/数据经济,最终目标则在于建立一个更加有利于增长和创新的数据制度,同时保持英国世界领先的数据保护标准。

二、英国数据改革看重“结果”,为企业减负

女王议会演讲的总结部分以提纲挈领的方式阐述了制定《数据改革法案》的目的:

减轻企业数据合规负担:通过减轻英国组织在数据方面面临的负担来提高英国组织的竞争力和效率,包括“创建一个专注于隐私结果而不是单选题的数据保护框架”,研究规则和研究中使用的数据也将被“简化”,从而帮助科学家创新,并且提高英国民众的生活水平。

提高信息专员办公室(Information Commissioner’s Office)现代化水平:赋予 ICO 对违规者采取更强有力的行动的权力和能力,使其对议会和公众更加负责。

赋予公民权力:通过“智能数据计划”(Smart Data Schemes),适当扩大对医疗和社保数据的使用,并有效地提供公共医疗保健、安全和政府服务,赋予公民和小型企业更多控制其数据的权力,并且帮助那些需要医疗救助的人群。

监管环境:政府的目标是为个人数据创造一个“更清晰”的监管环境,他们称这将“推动科学进步”并产生“负责任的创新”。此外,该法案旨在确保监管机构对违反数据权利的组织“采取适当行动”。

此外,演讲的总结部分还指出,鉴于部分措施仅扩展和应用至英格兰和威尔士地区,因此《数据改革法案》的应用主要是在英国领土范围内。

演讲列举了一些推动数据保护改革的关键事实,例如,数字、文化、媒体和体育部开展有关分析,根据分析报告,通过减轻企业的各种负担,这些改革一年内为企业节省的费用超过10亿英镑。

三、英国数据改革可能与GDPR冲突导致负面后果

早在2020年12月,英国政府提出国家数据战略,阐述其通过减轻技术创新者和数字企业家的行政负担来释放数据价值和促进负责任增长的目标。该战略引发了有关英国的新数据政策可能违背欧盟《通用数据保护条例》的担忧。

GDPR对欧盟内部的公司设置了非常高的数据保护门槛。

2021年7月,欧盟委员会针对英国数据保护,通过基于GDPR和《执法指令》(LED)的充分性决定,正式给予英国访问欧盟数据的充分性地位。这证明与欧盟隐私标准相比,英国的法律框架提供了足够的保障。

目前,数据的自由流动是基于欧盟和英国去年签署的协议。这也意味着,至少未来4年内,个人数据可以自由地在欧盟和英国之间流动。

然而,对现状的任何改变都将导致对该协议的审查。如果没有此类保护,数据将无法在欧盟和其他相关国家之间自由流动。欧盟的理由是,这可以确保欧盟公民数据的安全。

英国毫不掩饰建立其他跨境数据流合作伙伴关系的野心,并且指出,澳大利亚、哥伦比亚、迪拜国际金融中心、韩国、新加坡和美国将是它们的首要考虑。英国还计划在长期内与巴西、印度、印度尼西亚和肯尼亚达成伙伴关系。

这些优先名单引起欧盟的关注,因为澳大利亚、新加坡和美国等国家的隐私保护标准距离GDPR还很远。因此,欧盟担心,英国可能造成将欧盟数据主体的个人数据转移到没有足够保护措施的司法管辖区的情形。

有鉴于此,欧盟委员会决定,允许委员会在英国政策发生重大变化时推翻这一决定。

例如,“日落条款”,该条款将使数据充分性决定在2024年自动失效,届时是否续期将取决于英国是否可以维持相当的隐私标准。

英国在与欧盟续签充分性协议之前做的调整越大,危险信号和风险就越大。

有关研究指出,失去数据充分性认定,可能导致英国公司的相关成本总额达到16亿英镑,这主要来自与标准合同条款替代转移机制相关的行政和法律费用。

欧盟的充分性决定并不是需要在第三国制定相同的规则,而是要求基本相似的数据保护结果。失去在欧盟的充分性地位可能降低英国对科技企业家的吸引力。根据下议院的一项研究,43%的大型欧盟科技公司是在英国创办的,英国75%的跨境数据来自欧盟国家。

也有英国数据合规专业机构认为,根据政府在数据改革法案中承诺的方法,当前的合规模式可能不需要彻底改革,但可能意味着英国组织可以适应采用更灵活的数据保护合规方法。

]]>
无需用户同意!苹果将允许订阅制会员涨价后自动续订 Sun, 03 Jul 2022 08:24:23 +0800 目前,当苹果开发者想要提高自动续订的价格时,需要经过用户的确认同意才能够继续订阅,否则将取消订阅。

苹果认为这会导致用户错过提示消息,继而意外失去自己的订阅制会员权限。

因此,苹果计划向开发者推出一项新功能,允许开发者在未经用户确认同意的情况下,提高订阅制会员的续订价格。

不过,为了防止有开发者滥用该功能,苹果也对该功能做出了一定的限制。

在新规上线后,开发者每年只能进行一次涨价操作,且普通订阅的最大涨幅为5美元,年度订阅的最大涨幅为50美元。

在符合上述条件的前提下,涨价还需要通过电子邮件、推送通知和程序内消息让用户知悉价格变化,且用户需要能够轻松取消订阅。

而如果自动续订的涨价超过了上述限制,那么用户依旧需要手动确认,否则将和目前一样自动取消订阅。

]]>
俄黑客组织对美英德10国政府宣战,意大利国家警察官网已沦陷 Sun, 03 Jul 2022 08:24:23 +0800 当地时间5月16日,俄罗斯黑客组织“Killnet”在社交媒体Telegram上发布视频,正式宣布向美英德等十国政府发起网络战。“Killnet”称,普通民众在这次网络战中不会有危险,而这些“支持纳粹和恐俄症”国家的政府会被清算。

此外,“Killnet”还否认了意大利警方对该组织攻击欧洲歌唱大赛投票系统的指控,并且宣称已经攻陷意大利国家警察官网长达30个小时。观察者网查询发现,意大利国家警察部门的官网目前无法访问,其下属的网络安全部门邮政通讯警察局的官方网站也无法进入。

]]>
意大利多个重要政府网站遭新型DDoS攻击瘫痪,该国CERT发布警告 Sun, 03 Jul 2022 08:24:23 +0800 意大利计算机安全事件响应小组(CSIRT,类似于国家CERT)警告称,近期已出现多起针对意大利重要政府网站的DDoS攻击。

DDoS(分布式拒绝服务)是一种常见的网络攻击,旨在耗尽服务器上的可用资源,致使其无法响应正常用户请求,所托管的网站也无法正常访问。

意大利多个重要政府网站瘫痪

意大利安莎通讯社报道称,当地时间5月11日,意大利参议院、上议院、国防部等多个重要政府网站遭到网络攻击,网站无法访问至少1个小时,受影响的还有国际空间站、国家卫生研究所、意大利汽车俱乐部等机构的网站。

亲俄黑客团伙Killnet声称对本次攻击负责。此前,他们还曾先后对罗马尼亚门户网站、美国布拉德利国际机场发动过类似攻击。

作为对意大利DDoS攻击新闻报道的回应,Killnet团伙在Telegram频道上发布消息称,未来可能将出现进一步攻击。

一名Killnet代表成员在Telegram上宣称,“我们的‘军团’正在你国开展军事网络演习,旨在训练提升攻击技能。这与你国的行为类似——意大利人和西班牙人也在乌克兰境内学习作战。我们的‘军团’正在消灭你们的服务器!”

“请注意,当前阶段还只是训练。别再大呼小叫,发布什么参议院遭到攻击的消息了。我可以保证,我们的网络部队很快就会在意大利领土之内完成训练,并继续发动进攻。这一切会来得很猛,来得很快。”

当前防御措施难以抵御 慢速HTTP手法

CSIRT在公告中解释称,恶意黑客针对该国政府、各部委、议会乃至军队网站的攻击活动,使用到了所谓的“慢速HTTP”技术。

该技术每次向Web服务器发送一条HTTP请求,但会为请求设置极慢的传输速率或故意发送不完整请求,导致服务器等待下一条请求。

服务器首先检测传入的通信,再分配专用于等待剩余数据的资源。当这类请求过多时,服务器就会不堪重负,无法再接收任何其他连接,最终导致站点无法访问。

CSIRT表示,“这种攻击手法在使用POST请求时更加有效,因为这些请求会同时向Web服务器发送大量数据。”

CSIRT称“慢速HTTP”是一种比较少见的DDoS攻击类型,并警告如果系统管理员不做出针对性处置,那么现有防御措施恐怕将无能为力。

“对于自5月11日起发现的这几次针对国内及国际目标的DDoS攻击,我们发现其不同于常规的1类容量耗尽攻击。由于实际占用的带宽较为有限,因此无法利用市面上常用的保护系统加以抵御。”

——CSIRT

CSIRT已经在公告中分享了缓解此类攻击的可能方法。

]]>
首例短视频网络爬虫案宣判,案犯缓刑期内不得从事互联网经营 Sun, 03 Jul 2022 08:24:23 +0800 刷过带货短视频,同类产品商家就精准找上了门,你的用户信息可能被非法获取了。日前,全国首例短视频平台领域的网络“爬虫”案在无锡梁溪区法院宣判,被告人丁某因犯侵入计算机信息系统程序罪被判处有期徒刑一年六个月,缓刑二年,并处罚金3万元。

澎湃新闻(www.thepaper.cn)从法院获悉,2021年9月,丁某在网上结识丁某某(另案处理),后者表示有一款“爬虫”软件可以获取某短视频平台数据,通过输入关键词能筛选出视频、评论、账户等信息,批量抓取意向用户进行业务推广。丁某试用后购买代理权,组织人员通过网络向多人销售,违法所得计24360元。

法院认为,被告人丁某伙同他人提供用于侵入计算机信息系统的程序,情节严重,已构成侵入计算机信息系统程序罪,当庭作出判决,并禁止其在缓刑考验期内从事互联网相关经营活动。

侵入计算机信息系统程序罪是《刑法修正案(七)》新增的罪名,主要针对向他人提供专门用于侵入或非法控制计算机信息系统的工具或程序,或明知他人实施侵入、非法控制计算机系统的违法犯罪行为而提供程序、工具,情节严重的处以刑罚。据法官介绍,该案的“爬虫”软件是利用技术手段突破短视频平台的防护措施,非法获取后台服务器内指定的数据文件,如用户名、账号等,还可抓取视频评论区、直播间观众的账号、性别、留言、作品、点赞等。

]]>
SonicWall:请立即修复SMA 1000 漏洞 Sun, 03 Jul 2022 08:24:23 +0800 近日,网络安全供应商SonicWall发布了关于安全移动访问 (SMA) 1000设备的三个安全漏洞的紧急报告,其中包括一个高威胁性的身份验证绕过漏洞。SonicWall指出,攻击者可以利用这些漏洞绕过授权,并可能破坏易受攻击的设备。

从报告中可以得知,上述漏洞将会影响 12.4.0和12.4.1版本的运行固件,这意味着SMA 6200、6210、7200、7210、8000v等设备都将因此而遭受攻击。

漏洞具体信息如下所示:

CVE-2022-22282(CVSS 分数:8.2)- 未经身份验证的访问控制绕过;

CVE-2022-1702(CVSS 分数:6.1)- URL 重定向到不受信任的站点(开放重定向);

CVE-2022-1701(CVSS 分数:5.7)- 使用共享和硬编码的加密密钥。

Mimecast Offensive Security Team 的 Tom Wyatt 因发现和报告漏洞而受到SonicWall的公开致谢。通过上述漏洞,攻击者可未经授权访问内部资源,甚至将潜在受害者重定向到恶意网站。SonicWall进一步指出,这些缺陷不会影响运行早于12.4.0版本的SMA 1000系列、SMA 100 系列、中央管理服务器 (CMS) 和远程访问客户端。

所幸SonicWall已经及时发布了上述漏洞的修复程序。尽管目前没有证据表明这些漏洞正在被广泛利用,但是企业用户还是应及时更新管饭发布的安全补丁,修复这些漏洞。原因是SonicWall此前也出现过安全漏洞,并且成为勒索软件的攻击目标。

值得一提的是,SonicWall 产品安全和事件响应团队 (PSIRT) 表示暂时没有缓解措施,SonicWall在发布的报告中写到,“针对这些漏洞没有任何的临时缓解措施,因此希望受影响的客户尽快实施适用的补丁。”

]]>
勒索软件不只是赎金 还有更多的隐性成本 Sun, 03 Jul 2022 08:24:23 +0800 担心支付勒索软件赎金会影响公司财务?那你担心得太早了,算出勒索软件攻击的真正成本才是真伤心。因为从勒索软件攻击恢复所需的总成本可能比赎金要高得多得多。

Check Point最近发布的研究报告揭示,勒索软件攻击的平均总成本比所支付的平均赎金高出七倍多。

尽管媒体报道常常着重描述企业支付给勒索者的金额,但需要纳入考虑的财务成本还有很多其他方面,包括与事件响应和系统恢复相关的成本、法务费用,以及监测成本。

只要考虑到这些,你就会明白,赎金本身真的不算什么,有的是比这高得多的成本需要你顾及。

Check Point研究人员审查了Conti勒索软件团伙泄露的大量信息,发现此类犯罪团伙在对受害者敲骨吸髓上越来越专业了:

 “勒索软件团伙与拥有清晰管理结构和人力资源政策的合法组织惊人地相似。这些勒索软件团伙的复杂性甚至还延伸到受害者选取和赎金数额确定,以及为获取最大经济利益而采用的谈判技术上。”

勒索软件经营者已经成为老练的谈判高手——他们认识到“仅仅因为最初要价太高就给赎金大打折扣的话,只要其他受害者知道了,未来就难敲竹杠了。”

例如,臭名昭著的Conti网络犯罪团伙会咨询ZoomInfo和DNB等公共消息源,确定受害企业的年收入,从而相应调整其赎金要求。此外,勒索软件团伙还可以确定受害公司是否购买了能为赎金兜底的网络安全保险。

当然,受害企业倾向于支付赎金的另一驱动力是网络罪犯手中数据的质量和敏感性,还有这些数据全网公开可能造成的危害程度。

研究人员揭示,受害企业年营收越高,被索赎金占其营收的比例就越低,因为即使百分比不高,其所代表的绝对金额已十分巨大。勒索软件犯罪团伙索要的赎金通常占受害企业年营收的0.7%到5%之间。

同时,攻击者可能会向“快速付款的客户”提供折扣,因为他们可能同时与数十家不同受害企业谈判,希望能够尽快完成交易。

勒索软件团伙与受害者打交道的效率越来越高,其网络犯罪商业化的程度历史罕见。

“这些网络犯罪团伙在确定赎金数额和掌控谈判过程方面堪称条理分明步步为营。没有什么是胡乱决定的,所有一切都是根据上述种种因素来确定和规划的。”Check Point威胁情报部门经理Sergey Shykevich说道。

与其亡羊补牢,不如防患未然。预防勒索软件攻击总好过事后挽救公司声誉,也好过乞求客户和商业合作伙伴的谅解。

现在就采取措施避免沦为勒索软件攻击的下一个受害者吧!

]]>
《安联智库-网安周报》2022-05-15 Sun, 03 Jul 2022 08:24:23 +0800

1、境外诈骗频发!中国移动浙江出击:将默认拒接国际及港澳台电话

相信很多网友都受到过“国际电话”和“境外短信”的频繁骚扰,一般情况下,只能将骚扰信息和电话一个个拉黑或通过第三方App来拦截。不过运营商传来了好消息,5月11日,据媒体报道,中国移动浙江给当地用户发送了一则消息,消息内容为:
尊敬的客户,近年来境外诈骗电话案件频发,为保护你的财产安全,根据上级主管部门要求,浙江移动全面落实国际及港澳台电话接听功能按需开通工作,若你需要接听国际及港澳台电话,请在5月20日前发送1219至10086进行确认登记,不登记或登记错误的用户将分批次统一关闭国际及港澳台语音接听功能。
无独有偶,4月底,河南移动、河南联通、河南电信发布了关于“国际及港澳台短信接收业务”依申请开通的联合公告。
根据国家反诈中心发布的数据显示,2021年,在所有的电信网络诈骗的受害者中,18岁以下占比2%,18岁-35岁占比65.5%,36岁-59岁占比31.1%,60岁以上占比1.4%。
2、中央纪委国家监委网站评知网被立案调查:头部平台更当知法守法

“近日,市场监管总局根据前期核查,依法对知网涉嫌实施垄断行为立案调查。”5月13日16时许,国家市场监管总局网站公布的这则短讯引发广泛关注。随后,知网方面回应称,将以此次调查为契机,深刻自省,全面自查,彻底整改,依法合规经营,创新发展模式,承担起中国知识基础设施的社会责任。

调查正在开展,知网是否存在垄断行为,是否涉嫌行业垄断,是否滥用市场支配地位等,有待实事求是、依法规范调查得出结论。但这一事件本身,已传递多重鲜明信号。

依规依法彻底调查,回应社会关切,彰显法治权威。从“高校学生集体吐槽收费过高的查重费用”,到“擅自收录百余篇论文被退休教授起诉,最终被判赔70多万元”,再到“中科院因不堪近千万续订费停用知网”,知网近年来深陷舆论风波。知网一面从作者处低价收取论文,一面又向个人和研究机构收取不合理费用,连续多年大幅提高数据库价格,傲慢对待知识产权争议等,备受诟病。一些网友甚至调侃“苦知网久矣”。此次,市场监管总局对知网依法立案调查,十分及时必要,彻底查清其涉嫌实施垄断行为问题,积极回应社会关切,维护学术文献数据库服务市场的公平竞争,保护以作者和读者为主体的消费者利益和社会公共利益。

越是头部平台,越要依法规范经营,积极履行自身社会责任。知网在中文学术文献信息服务和知识服务市场不断开拓,成为我国最具市场影响力的学术文献数字化服务平台。但是店大莫欺客,利用自身地位施行“霸道”操作,在法律边缘试探,甚至逾越底线,最终只会失去信任、失去市场。知网被查,再次给所有平台都敲响了一记警钟,建构更合理的运营模式,积极承担社会责任,才能走得更远更稳健。此次知网及时回应“全面自查、彻底整改”,态度值得肯定。改到位、改彻底,方不负自身平台地位,不负广大读者和作者的信赖。

规范与发展并重,依法加强对平台经济常态化监管。近年来,党中央高度重视平台经济的规范治理,反垄断执法机构依法查处了一系列重大典型案件,着力解决了平台经济领域存在的一些突出竞争问题,以监管规范促进持续健康发展。4月29日,中央政治局会议强调“要促进平台经济健康发展,完成平台经济专项整改,实施常态化监管”。对于知网等平台企业来说,在提供便利服务、促进科技进步、繁荣市场经济、参与国际竞争等方面发挥着重要作用,但同时也要注意到,若其搞垄断和不正当竞争行为,则会损害公平正义、妨碍创新创造。一手抓引导发展,激励平台企业合法合规经营,通过技术创新、管理创新提升核心竞争力;一手抓规范监管,实施常态化的反垄断监管,持续净化平台经济领域的竞争环境,才能推动平台经济健康成长、可持续发展。

3、俄罗斯电视台胜利日被黑 显示反战信息

胜利日庆祝活动是为了纪念二战中苏联击败德国纳粹。然而,今年观看胜利日报道的俄罗斯人结结实实吃了一惊。有人入侵了俄罗斯各电视频道的胜利日报道节目单,以之发布反战和亲乌克兰的信息。  

胜利日一大早,观众静候俄罗斯总统普京的讲话,但当地电视频道的节目表突然变换内容,显示以下信息:  “你们的手上染着成千上万乌克兰人和数百名惨死儿童的鲜血。电视和当局都在撒谎。拒绝战争。

关于这一事件,BBC Monitoring高级数字记者Francis Scarr也发表推文称,俄罗斯电视台在线节目表页面遭到了黑客入侵。每个节目的名称都被改成了同样的信息。

4、恶意NPM软件包瞄准德国公司进行供应链攻击

5月11日,网络安全研究人员在NPM注册表中发现了一些恶意软件包,专门针对一些位于德国的知名媒体、物流和工业公司进行供应链攻击。JFrog研究人员在一份报告中表示,“与NPM库中发现的大多数恶意软件相比,这一有效负载危险性更高。它是一个高度复杂的、模糊的恶意软件,攻击者可以通过后门完全控制被感染的机器。

DevOps公司表示,根据现有证据,这要么是一个复杂的威胁行为,要么是一个“非常激进”的渗透测试。

目前,大部分恶意软件包已经从注册表中移除,研究人员追踪到四个“维护者”bertelsmannnpm、boschnodemodules、stihlnodemodules和dbschenkernpm,这些用户名表明其试图冒充像贝塔斯曼、博世、Stihl和DB Schenker这样的合法公司。

一些软件包的名称非常具体,它意味着对手设法识别了公司内部存储库中的库以进行依赖混淆攻击。

]]>
勒索软件的克星:对象存储 Sun, 03 Jul 2022 08:24:23 +0800 勒索软件未来十年仍然会是企业面临的最大安全威胁之一。根据Cybersecurity Ventures的报告,到2031年,全球勒索软件造成的损失预计将超过2650亿美元,每两秒就会发生一起勒索软件攻击事件。

有漏洞的地方就会有勒索软件,而且漏洞不一定在企业的内部,去年的一系列重大供应链攻击已经证明了这一点。因此企业将勒索软件的防御注意力都集中在了漏洞管理上,却往往忽视了其他环节。

过去,企业的数据存储解决方案通常被视为IT基础设施架构而不是网络安全战略的一部分,因此很多人忽视了对象存储在勒索软件攻击中保护关键资产的重要价值。

包括服务器、网络和存储在内的信息技术(IT)基础架构堆栈的每一层都对企业的安全态势非常重要,存储也不例外。企业已经部署了多种类型的存储,包括网络附加存储(NAS)、存储区域网络 (SAN)和对象存储,每一种都针对不同类型的数据、工作负载和用例进行了优化。

由于非结构化数据内容的快速增长,对象存储已成为现代企业IT环境的共同基石。对象存储广泛部署在安全敏感领域,例如金融服务、医疗(医院和生物科学)、政府机构等。

虽然对象存储(以及其他存储技术)本身也是整体安全基础架构堆栈的通用组成部分,但业务系统的对象存储层(正确配置后)还可以用来提高勒索软件防御能力,并帮助企业更快地从勒索软件攻击中恢复,具体如下:

身份验证和访问控制

对象存储解决方案需要身份验证,它应该在用户进入时验证用户并确保他们被授权。理想情况下,用户必须首先创建一个帐户,使用该帐户访问数据时,用户还需要出示他们的访问密钥,否则将被锁定。

身份验证是安全的关键要素,可确保只有授权用户才能访问数据存储环境中的信息,并将不良行为者拒之门外。一些对象存储解决方案提供多租户模型,在亚马逊的AWS云中称为身份和访问管理(IAM)。这提供了分离租户帐户和用户的概念,以确保数据保持隔离且未经授权的用户无法访问。

网络安全主管们可以在对象存储解决方案中使用最小权限访问原则——强制执行用户执行工作所需的最低用户权限级别或最低权限级别。管理员必须明确允许哪些操作,并通过精细控制来允许/拒绝对数据的特定操作的访问。

安全数据加密的价值

安全性的另一个重要基础是加密,它有两个部分。首先是流动的数据和请求,这意味着如果一个请求进入系统,它应该被加密。这样可以杜绝窥探技术,防止攻击者通过抓包来获取请求信息。这通常是通过安全套接字层(SSL)完成的,同时也意味着需要部署安全证书。安全通过加密,用户可以安全地连接到系统和端点,这既适用于数据,也适用于命令。

加密的第二部分是静态加密,通常是安全专业人员存储数据时的加密操作。某些存储解决方案中提供对象级加密功能,用户可以决定对哪些数据进行加密。

对象存储如何防止勒索软件

数据不变性是对象存储的天然属性——这意味着数据不能像文件系统那样就地更新。相反,对象存储只提供创建、读取和删除数据的基本操作。例如,在Amazon S3存储桶(容器)层启用版本控制,对现有对象的任何写入都将在存储新版本之前保留以前的版本,这意味着对象的先前版本状态具备恢复能力。

网络安全专业人员还可以借助另一种技术来确保数据不变性:例如,通过Amazon S3的对象锁定API进行对象锁定。该操作对数据实施了不可撤销的保留期,在此期间无法更新、修改或删除对象。这使得勒索软件难以通过加密数据的方式来勒索赎金。这种方法适用于任何静态存储的数据,无论是主副本还是辅助(备份)副本,可以有效防御勒索软件的数据加密攻击。

此外,网络安全人员还可以通过对象存储的版本控制、对象锁定和自然数据不变性等功能和特性,以在关键任务用例中实现勒索软件保护和恢复能力。

总结

如今所有行业,不同规模企业都面临日益猖獗的勒索软件攻击的威胁。存储系统貌似与企业的网络安全态势和策略关系不大,但它恰恰可能是最佳的防御环节。对象存储的一些特性和组件,例如加密、身份验证和数据不变性,使其对于保护敏感数据免受勒索软件攻击至关重要,有助于为企业数据中心打造牢不可破的云存储,有效防止勒索软件攻击

]]>
恶意NPM软件包瞄准德国公司进行供应链攻击 Sun, 03 Jul 2022 08:24:23 +0800 5月11日,网络安全研究人员在NPM注册表中发现了一些恶意软件包,专门针对一些位于德国的知名媒体、物流和工业公司进行供应链攻击。

JFrog研究人员在一份报告中表示,“与NPM库中发现的大多数恶意软件相比,这一有效负载危险性更高。它是一个高度复杂的、模糊的恶意软件,攻击者可以通过后门完全控制被感染的机器。”

DevOps公司表示,根据现有证据,这要么是一个复杂的威胁行为,要么是一个“非常激进”的渗透测试。

目前,大部分恶意软件包已经从注册表中移除,研究人员追踪到四个“维护者”bertelsmannnpm、boschnodemodules、stihlnodemodules和dbschenkernpm,这些用户名表明其试图冒充像贝塔斯曼、博世、Stihl和DB Schenker这样的合法公司。

一些软件包的名称非常具体,它意味着对手设法识别了公司内部存储库中的库以进行依赖混淆攻击。

 供应链攻击 

上述发现来自Snyk的报告,该报告详细描述了其中一个违规的软件包“gxm-reference-web-aut -server”,并指出恶意软件的目标是一家在其私有注册表中有相同软件包的公司。

Snyk安全研究团队表示:“攻击者很可能在该公司的私人注册表中,掌握了这样一个包的存在信息。”

Reversing实验室证实了黑客攻击行为,称上传至NPM的恶意模块版本号比私有模块的版本号更高,从而迫使模块进入目标环境,这是依赖混淆攻击的明显特征。

该实验室解释“运输和物流公司的目标私有软件包有0.5.69和4.0.48版本,与恶意软件包的公开版本名称相同,但其使用的是版本0.5.70和4.0.49。”

JFrog称这种植入是“内部开发”,并指出该恶意软件包含两个组件,一个是传输器,它在解密和执行JavaScript后门之前,向远程遥测服务器发送有关被感染机器的信息。

后门虽然缺乏持久性机制,但设计用于接收和执行硬编码的命令和控制服务器发送的命令,评估任意JavaScript代码,并将文件上传回服务器。

研究人员称,这次攻击的目标非常明确,并且其掌握了非常机密的内部信息,甚至在NPM注册表中创建的用户名公开指向目标公司。

在此之前,以色列网络安全公司Check Point披露了一项长达数月的信息窃取活动,该活动使用AZORult、BitRAT、Raccoon等商用恶意软件攻击德国汽车行业。

]]>
大规模黑客活动破坏了数千个WordPress网站 Sun, 03 Jul 2022 08:24:23 +0800 Sucuri的网络安全研究人员发现了一场大规模的活动,该活动通过在WordPress网站注入恶意JavaScript代码将访问者重定向到诈骗内容,从而导致数千个WordPress网站遭破坏。感染会自动将站点的访问者重定向到包含恶意内容,即网络钓鱼页面、恶意软件下载、诈骗页面或商业网站的第三方网站,以产生非法流量。这些网站都有一个共同的问题——恶意JavaScript被注入到他们网站的文件和数据库中,包括合法的核心WordPress文件,例如:

./wp-includes/js/jquery/jquery.min.js

./wp-includes/js/jquery/jquery-migrate.min.js “

根据Sucuri的分析,一旦网站遭到入侵,攻击者就试图自动感染名称中包含jQuery的任何js文件。他们注入了以“/* trackmyposs*/eval(String.fromCharCode…”开头的代码…… ”

在某些攻击中,用户被重定向到包含CAPTCHA 检查的登录页面。点击假验证码后,即使网站未打开,他们也会被迫接收垃圾广告,这些广告看起来像是从操作系统生成的,而不是从浏览器生成的。

据Sucuri称,至少有322个网站因这波新的攻击而受到影响,它们将访问者重定向到恶意网站drakefollow[.]com。“他表示:“我们的团队发现从2022年5月9日开始,这一针对WordPress网站的大规模活动收到了大量用户投诉,在撰写本文时该活动已经影响了数百个网站。目前已经发现攻击者正在针对WordPress插件和主题中的多个漏洞来破坏网站并注入他们的恶意脚本。我们预计,一旦现有域名被列入黑名单,黑客将继续为正在进行的活动注册新域名。”

对此,Sucuri也表示网站管理员可以使用他们免费的远程网站扫描仪检查网站是否已被入侵。

]]>
女子扫码充电被投保每月自动扣168:多人都中招 Sun, 03 Jul 2022 08:24:23 +0800 有使用公共充电桩给车子充电需求的朋友注意了,一不小心可能就中了招。

据@荔枝新闻报道,近日有不少南京市民反应称,在使用公共充电桩时,被误导购买了保险。

市民胡女士表示,5月5日,父亲在小区楼下公共电动车棚给电动车充电时,被付款页面上的“元宝”保险广告给误解,购买了两份保险。

从其出示的付款界面来看,保险字样的提示非常小,但购买保险的绿色确认键却很大也很醒目,很容易让人误以为这个绿色的就是充电收费确认键。

无独有偶,4月份,张女士在给电车充电时也遭遇了类似的问题,一开始被扣掉了2.4元,她以为支付的是充电的钱,但没想到1个月后又被扣了168元,查询发现自己购买了一份“元宝”医疗保险。

经过记者沟通协商,负责出售该保险的公司同意退还张女士未生效的163元保费。

目前,小区物业公司则表示,将约谈充电桩公司要求尽快整改。

]]>
中央纪委国家监委网站评知网被立案调查:头部平台更当知法守法 Sun, 03 Jul 2022 08:24:23 +0800 “近日,市场监管总局根据前期核查,依法对知网涉嫌实施垄断行为立案调查。”5月13日16时许,国家市场监管总局网站公布的这则短讯引发广泛关注。随后,知网方面回应称,将以此次调查为契机,深刻自省,全面自查,彻底整改,依法合规经营,创新发展模式,承担起中国知识基础设施的社会责任。

调查正在开展,知网是否存在垄断行为,是否涉嫌行业垄断,是否滥用市场支配地位等,有待实事求是、依法规范调查得出结论。但这一事件本身,已传递多重鲜明信号。

依规依法彻底调查,回应社会关切,彰显法治权威。从“高校学生集体吐槽收费过高的查重费用”,到“擅自收录百余篇论文被退休教授起诉,最终被判赔70多万元”,再到“中科院因不堪近千万续订费停用知网”,知网近年来深陷舆论风波。知网一面从作者处低价收取论文,一面又向个人和研究机构收取不合理费用,连续多年大幅提高数据库价格,傲慢对待知识产权争议等,备受诟病。一些网友甚至调侃“苦知网久矣”。此次,市场监管总局对知网依法立案调查,十分及时必要,彻底查清其涉嫌实施垄断行为问题,积极回应社会关切,维护学术文献数据库服务市场的公平竞争,保护以作者和读者为主体的消费者利益和社会公共利益。

越是头部平台,越要依法规范经营,积极履行自身社会责任。知网在中文学术文献信息服务和知识服务市场不断开拓,成为我国最具市场影响力的学术文献数字化服务平台。但是店大莫欺客,利用自身地位施行“霸道”操作,在法律边缘试探,甚至逾越底线,最终只会失去信任、失去市场。知网被查,再次给所有平台都敲响了一记警钟,建构更合理的运营模式,积极承担社会责任,才能走得更远更稳健。此次知网及时回应“全面自查、彻底整改”,态度值得肯定。改到位、改彻底,方不负自身平台地位,不负广大读者和作者的信赖。

规范与发展并重,依法加强对平台经济常态化监管。近年来,党中央高度重视平台经济的规范治理,反垄断执法机构依法查处了一系列重大典型案件,着力解决了平台经济领域存在的一些突出竞争问题,以监管规范促进持续健康发展。4月29日,中央政治局会议强调“要促进平台经济健康发展,完成平台经济专项整改,实施常态化监管”。对于知网等平台企业来说,在提供便利服务、促进科技进步、繁荣市场经济、参与国际竞争等方面发挥着重要作用,但同时也要注意到,若其搞垄断和不正当竞争行为,则会损害公平正义、妨碍创新创造。一手抓引导发展,激励平台企业合法合规经营,通过技术创新、管理创新提升核心竞争力;一手抓规范监管,实施常态化的反垄断监管,持续净化平台经济领域的竞争环境,才能推动平台经济健康成长、可持续发展。

]]>
不讲武德!黑客开始利用BIG-IP漏洞“删库” Sun, 03 Jul 2022 08:24:23 +0800 上周,F5披露了一个编号CVE-2022-1388的高危漏洞,该漏洞允许远程攻击者以“root”身份在BIG-IP网络设备上执行命令而无需身份验证。由于该漏洞的严重性,F5敦促系统管理员尽快应用更新。

几天后,研究人员开始在Twitter和GitHub上公开发布漏洞利用程序,全球性攻击已经开始。

虽然大多数漏洞利用会丢弃webshell以对网络进行初始访问、窃取SSH密钥和枚举系统信息,但SANS Internet Storm Center发现了两次以更邪恶的方式针对BIG-IP设备的攻击。

SANS的研究者在蜜罐看到了来自IP地址177.54.127.111的两次攻击,这些攻击在目标BIG-IP设备上执行了“rm-rf/*”命令。

此命令在执行时将尝试擦除BIG-IP设备Linux文件系统上的所有文件。

由于该漏洞在为BIG-IP设备供电的Linux操作系统中为攻击者提供了root权限,因此rm-rf/*命令将能够删除几乎所有文件,包括设备正常运行所需的配置文件。

安全研究员Kevin Beaumont证实,已经有设备正在被擦除。

“可以确认。现实世界的设备今晚正在被删除,Shodan上的很多设备都停止了响应。”博蒙特在推特上写道。

值得庆幸的是,这些破坏性攻击似乎并不普遍,大多数威胁参与者希望从破坏设备中受益,而不是造成损害。

虽然SANS看到的“删库”破坏性攻击可能很少见,但此类攻击的严重性已经敲响警钟,系统管理员需要以最快的速度将设备更新到最新的补丁版本。

]]>
境外诈骗频发!中国移动浙江出击:将默认拒接国际及港澳台电话 Sun, 03 Jul 2022 08:24:23 +0800 相信很多网友都受到过“国际电话”和“境外短信”的频繁骚扰,一般情况下,只能将骚扰信息和电话一个个拉黑或通过第三方App来拦截。

不过运营商传来了好消息,5月11日,据媒体报道,中国移动浙江给当地用户发送了一则消息,消息内容为:

尊敬的客户,近年来境外诈骗电话案件频发,为保护你的财产安全,根据上级主管部门要求,浙江移动全面落实国际及港澳台电话接听功能按需开通工作,若你需要接听国际及港澳台电话,请在5月20日前发送1219至10086进行确认登记,不登记或登记错误的用户将分批次统一关闭国际及港澳台语音接听功能。

而按照指导,发送1219登记信息后,会收到新的短信提醒:您已确认确认保留国际及港澳台电话接听功能,将会接听所有来自国际及港澳台语音电话,可能会接听到诈骗或垃圾电话,请仔细斟酌,注意风险防范。若需要关闭国际及港澳台语音接听功能,可发送“1901”至10086办理。

无独有偶,4月底,河南移动、河南联通、河南电信发布了关于“国际及港澳台短信接收业务”依申请开通的联合公告。

公告内容与此次浙江发布的相差不多,不同的是,河南这边针对的短信业务,自2022年5月7日零时起,将国际及港澳台短信接收业务办理调整为依用户申请开通,届时,国际及港澳台短信接收功能默认为关闭状态。

根据国家反诈中心发布的数据显示,2021年,在所有的电信网络诈骗的受害者中,18岁以下占比2%,18岁-35岁占比65.5%,36岁-59岁占比31.1%,60岁以上占比1.4%。

]]>
微软修复了所有Windows版本中的新NTLM零日漏洞 Sun, 03 Jul 2022 08:24:23 +0800 微软于近期解决了一个积极利用的Windows LSA零日漏洞,未经身份验证的攻击者可以远程利用该漏洞来强制域控制器通过Windows NT LAN Manager (NTLM)安全协议对其进行身份验证。LSA(Local Security Authority的缩写)是一个受保护的Windows子系统,它强制执行本地安全策略并验证用户的本地和远程登录。该漏洞编号为CVE-2022-26925,是由Bertelsmann Printing Group的Raphael John报告的,据调查,该漏洞在野已被利用,似乎是PetitPotam NTLM中继攻击的新载体。

安全研究员GILLES Lionel于2021年7月发现该变体,且微软一直在阻止PetitPotam变体,不过官网的一些举措仍然没有阻止其变体的出现。LockFile勒索软件组织就滥用PetitPotam NTLM中继攻击方法来劫持Windows域并部署恶意负载。对此,微软建议Windows管理员检查针对Active Directory证书服务(AD CS)上的NTLM中继攻击的PetitPotam缓解措施,以获取有关保护其系统免受CVE-2022-26925攻击的信息。

通过强制认证提升权限

通过使用这种新的攻击向量,威胁行为者可以拦截可用于提升权限的合法身份验证请求,这可能会导致整个域受到破坏。不过攻击者只能在高度复杂的中间人攻击(MITM)中滥用此安全漏洞,他们能够拦截受害者和域控制器之间的流量以读取或修改网络通信。

微软在其发布的公告中解释:未经身份验证的攻击者可以调用LSARPC接口并强制域控制器使用NTLM 对攻击者进行身份验证。此安全更新检测到LSARPC中的匿名连接尝试并禁止它。且此漏洞影响所有服务器,但在应用安全更新方面应优先考虑域控制器。在运行Windows 7 Service Pack 1和Windows Server 2008 R2 Service Pack 1 的系统上安装这些更新可能会带来不利影响,因为它们会破坏某些供应商的备份软件。

CVE-2022-26925影响所有Windows版本,包括客户端和服务器平台,从Windows7和 Windows Server 2008到Windows 11和Windows 2022。不过在今年五月份的微软Patch Tuesday,微软已经和其他两个漏洞一起修补了该零日漏洞,一个是Windows Hyper-V 拒绝服务漏洞 (CVE-2022-22713)、还有一个是Magnitude Simba Amazon Redshift ODBC 驱动程序漏洞 (CVE-2022-29972)。

]]>
公司回应居家员工每5分钟抓拍一次 今日股价大跌 Sun, 03 Jul 2022 08:24:23 +0800 这两年,大家应该都已经经历过居家办公的状态,公司层面也推出过各种检测员工的手段,但实时监控这种还是第一次见。据此前报道,近日有网友爆料称,尚德机构要求北京朝阳全区的员工实行居家办公,并要求员工连夜安装电脑监控软件,必须每5分钟自动截屏,每天截屏不够89次的算旷工。

根据网友透露,这种操作需要员工安装监控软件,但该软件仅支持Windows系统,与苹果电脑并不兼容,使用苹果电脑的员工需要安装虚拟机方便公司监控。

爆料人还称,如果几次抓拍不到,就要扣除全部绩效,领导和HR也会跟着扣钱。

最难以理喻的是,因为这种每5分钟抓拍一次人脸的要求太夸张,导致很多员工在工作期间不敢去上厕所,担心无法被抓拍到。

此事被曝光之后,在各大社交平台上引发热议,尚德机构也站在了舆论的风口浪尖之上。

对此,红星新闻报道称联系了尚德机构相关工作人员了解情况,针对网友爆料是否属实,该名工作人员并未直接回复。

他表示,目前公司内部正在沟通,还需沟通后再做回复。

值得注意的是,作为一家培训类机构,2015年-2020年,尚德机构累计亏损30亿元,并且此前还进入了美国SEC最新的“预摘牌”名单,股价便一路下滑。

而在此事被曝光之后,尚德机构的下跌幅度进一步增加,截至发稿前报价3.02美元,总市值4015.06万美元。

]]>
侵犯隐私诱导下载 快递盒上有多少骗人的二维码广告 Sun, 03 Jul 2022 08:24:23 +0800 “19元充值100元话费。”前不久,天津市民王先生在收到的快递盒上发现这则二维码广告。他觉得很划算,扫码并按广告指引支付了19元,结果根本没有充值到话费,而是显示其开通了某App会员。王先生把自己的遭遇告诉了身边的朋友,发现不少人都遇到过快递盒上的二维码陷阱——有的充值后没有得到相应的优惠,有的下载了一堆App也没有获得奖品。

近日,《法治日报》记者来到天津市河东区多个快递站点,随机选择了30个快递包裹看到,其中有四成左右的快递包裹上印有二维码广告,内容包括:“天大的秘密!扫一扫可以领100元”“先别拆!扫码领大额现金红包”“别扔!扫码1元抽手机”等。

扫描这些二维码真的能够领取到福利吗?

记者扫了扫一快递上“马上扫,随机奖励一桶油”的二维码后,手机屏幕弹出一页面,上面写着抽取烟、酒、平板电脑等各种福利大奖,抽中后只需支付快递费即可送到家。

“不要扫,骗人的!”一旁的快递站点工作人员看到记者扫二维码时提醒道,他说有居民扫码支付快递费、填写地址后根本没有收到任何奖品。“这些二维码广告发件时就有,也不知道谁贴的。”

附近有居民告诉记者,曾在快递上看到贴有“领取手机靓号”的二维码广告,其扫码进入选号界面,按照订单流程填写了身份信息并支付相应费用,结果一直没有收到相关快递,试图沟通时发现对方留的联系方式是假的。

还有一种“玩游戏提现”的二维码广告,记者扫码进入游戏界面,玩了10关后提示获得了5元钱,但想提现要通过30关,到达30关后又提示需要累计10元才能提现……并且在此过程中用户得不断观看各种广告。

在第三方投诉平台,多位网友称,有些快递上的二维码广告带有“流氓软件”,扫码后发现内容与宣传广告不符,点击“退出”按钮,结果仍自动下载了一堆无用的App。

据公开数据,2021年我国快递业务量达1085亿件,支撑网络零售额接近11万亿元。而近期安徽省消保委对1111份快递单样本进行测试、统计和分析发现,674个样本中含有二维码广告,占比达60.67%。其中,出现最多的广告是某平台的“天天领现金打款秒到账”活动,占比39.32%。

那么,这些快递上的二维码广告到底是谁贴上去的呢?

一名负责投放快递单广告的业内人员告诉记者,他们和电商平台、快递公司都有合作,商家可以直接通过系统把额外添加了广告的快递单打出来,可根据不同节点、活动区域投放,一天最多可以保证发5万份。还有线下快递单广告投放业务,即通过不干胶外贴在快递包裹上,甚至可以单页放置在快递内部。至于投放的都是哪些广告,“只要不违法都可以,也没有什么审核”。

而多位消费者投诉称,被骗后与快递公司交涉,对方称广告不是自己发布的,自己不需要为此负责,也无法为其解决问题。对此,广东瀛尊律师事务所律师翟东卫认为,快递公司有责任和义务对快递单上的广告内容进行审核,确保其不侵犯消费者合法权益。

“快递包裹上之所以有广告,大概率是因为快递公司与广告经营人之间有合同关系。根据消费者权益保护法,消费者因经营者利用虚假广告或者其他虚假宣传方式提供商品或者服务,其合法权益受到损害的,可以向经营者要求赔偿、广告经营者、发布者发布虚假广告的,消费者可以请求行政主管部门予以惩处、广告经营者、发布者不能提供经营者的真实名称、地址和有效联系方式的,应当承担赔偿责任等规定,广告主应当赔偿受到损害的消费者,快递公司应当承担连带赔偿责任。”翟卫东说。

如何才能避免快递单广告陷阱?

翟卫东说,《印刷品广告管理办法》规定,发布印刷品广告,需要具有代理与发布印刷品广告的经营范围,如果快递公司的经营范围里没有该项规定,工商管理部门可以对其进行处罚。如果快递公司明知广告内容违法而仍然发布该广告,工商管理部门可以没收其广告费用并对其进行罚款,如果情节严重构成刑事犯罪的,可以追究刑事责任。

“对于消费者来说,如果因为该广告的虚假宣传而导致损失,可以对广告主提起民事诉讼要求赔偿损失,当然,也可以要求广告发布人快递公司承担连带赔偿责任。”翟卫东说。

安徽省消保委等多地相关部门和快递公司也提醒,快递单广告中的“免费抽”“待领取”“一元抽”等福利,并不能确保真实性和安全性,消费者看到这类广告后要谨慎,不要轻易扫码。

]]>
Conti勒索哥斯达黎加政府!新总统上任即签署国家进入紧急状态法令 Sun, 03 Jul 2022 08:24:23 +0800 由于4月下旬勒索软件攻击的影响仍在继续,哥斯达黎加新总统在周末(5月8日)宣布全国进入紧急状态。

据当地新闻媒体Amelia Rueda报道,总统罗德里戈·查韦斯·罗伯斯(Rodrigo Chaves Robles)在赢得该国4月4日的选举后于周日(5月8日)开始了为期四年的总统任期,并于就职当日签署了紧急状态法令,这是他的首次正式行动之一。该行政法令部分写道,哥斯达黎加“遭受网络犯罪分子和网络恐怖分子的折磨”,该法令允许“我们的社会将这些攻击视为犯罪行为”。

使用俄罗斯Conti勒索软件平台自称“unc1756”的人在Conti暗网数据门户的帖子中声称对4月17日的攻击负责。该帖子表明,到目前为止,97%的被盗数据已被公布,总计超过672GB的信息。

该帖子还指责哥斯达黎加政府没有支付最初的1000万美元勒索软件要求,即将卸任的总统卡洛斯·阿尔瓦拉多表示这是企图“在过渡时期威胁该国的稳定”。

黑客消息中写道:“看哥斯达黎加总统政府的决定是不可能不讽刺的……所有这一切都可以通过付钱来避免,你本来可以让你的国家真正安全,但你会转向Bid0n(原文如此)和他的追随者,这个老傻瓜很快就会死去。” 发帖人接着说,这次攻击的目的是“赚钱”,“未来我一定会用更大的团队进行更严重的攻击,哥斯达黎加仅仅是一个演示版。”

哥斯达黎加袭击事件发生后不久,从秘鲁情报机构获取的近9.5GB数据被发布到Conti 泄密站点。该转储中的一个文件名引用了“unc1756”,但不清楚这两次攻击是否是同一个人。

信息安全界的“UNC”一词有时指的是未分类的威胁活动组织。

5月6日,即哥斯达黎加紧急法令颁布的前两天,美国国务院宣布悬赏1000万美元,以奖励能够识别和/或定位在Conti组织内担任“关键领导职位”的任何人的信息。额外500 万美元的奖励可用于导致任何参与Conti勒索软件事件的人被捕和/或定罪的信息。

美国国务院发言人周一(当地时间5月9日)告诉 CyberScoop,“美国仍然致力于保护世界各地所有潜在的勒索软件受害者免受网络犯罪分子的利用”,并且如果与哥斯达黎加一起提供奖励。

“与哥斯达黎加政府联合宣布这一奖励表明美国承诺支持其盟友对抗 Conti勒索软件变种组织的领导人和附属机构。”——国务院发言人

据FBI称,自2020年7月在美国首次报告Conti勒索软件事件以来,与Conti相关的勒索软件攻击已导致1,000 多名受害者,截至2022年1月,受害者的赔款估计为 1.5 亿美元。

该发言人说:“与哥斯达黎加政府联合宣布这一奖励表明美国承诺支持其盟友对抗 Conti勒索软件变种组织的领导人和附属机构” ,并指出美国政府正在寻找“其他合作伙伴”愿意为受勒索软件事件影响的受害企业和组织伸张正义的国家。”

Conti的运作方式与其他勒索软件组织一样,核心开发人员小组维护和更新源代码并运营在线数据门户,而“附属机构”则执行攻击并与开发人员分摊收益。

该组织似乎在俄罗斯内部有着深厚的联系,但由来自多个国家的人组成。2月25日,也就是俄罗斯入侵乌克兰后的第二天,该组织网站上发布了一条消息,承诺支持俄罗斯政府。不久之后,一名拥有内部人员访问权限的乌克兰研究人员发布了该组织的大量内部数据,揭示了一个高度组织化的结构。该小组经受住了这一事件,并像以前一样继续前进。

同样在上周,美国交通运输部的管道和危险材料安全管理局提议对Colonial Pipeline 处以986,000美元的罚款,以回应该机构所说的在2020年1月至11月期间检查期间的几项联邦管道安全法规。一些违规行为可能导致该机构在一份声明中表示,该公司在2021年5 月 DarkSide勒索软件攻击之后对其管道的处理。DarkSide和Conti一样,都与俄罗斯有关。

Colonial Pipeline的一位发言人周一告诉CyberScoop,该机构的通知是“多步骤监管程序的第一步,我们期待与PHMSA合作解决这些问题。” 该发言人表示,公司与政府的协调是“及时、高效和有效的”,并表示公司希望宣布的时机“不会掩盖行业和政府为应对这些威胁和保护我们的关键基础设施。”

]]>
黑客组织针对电信巨头进行攻击 Sun, 03 Jul 2022 08:24:23 +0800 T-Mobile证实,勒索集团Lapsus$几周前就获得了系统的访问权限。

这家电信巨头对记者的报道做出了回应,他从Lapsus$ 团伙核心成员的私人Telegram频道中获取了内部聊天记录。该公司补充说,它目前已经通过阻止黑客对其网络的群组访问来缓解这一漏洞,并禁用了在此次攻击中被盗的凭证。

Lapsus$是一个网络黑客组织,它在2021年2月对巴西卫生部发动勒索软件攻击时崭露头角,他们泄露了COVID 19的数百万人的疫苗接种数据。最近,在3月,伦敦市警方逮捕了7名与该团伙有关的人。

记者发现的私人聊天记录显示,Lapsus$ 黑客组织在俄罗斯地下市场等非法平台上找到了T-Mobile的内部VPN登录凭证。使用这些凭证,Lapsus$成员可以使用如 Atlas等 T-Mobile内部管理客户账户的工具。这将有助于他们进行Sim-Swapping攻击。在这种攻击中,黑客通过将受害者的号码转移到攻击者所拥有的设备上进行劫持,这使得黑客能够获得到敏感的信息,比如电话号码或其他任何多因素认证发送的信息。

在获得ATLAS的访问权后,Lapsus$黑客还试图破坏与联邦调查局和国防部相关的T-Mobile账户,但没有成功,因为这些账户还有一个额外的验证方法与之相关联。

T-Mobile公司的一位发言人说,几周前,我们的监控工具检测到了一个恶意攻击者使用偷来的凭证来访问存放操作工具软件的内部系统。

T-Mobile表示,尽管会有人试图访问内部系统 "Atlas",但此次并没有敏感信息被泄露。T-Mobile发言人补充说,被访问的系统不包含客户或政府信息以及其他类似的敏感信息,我们没有证据表明入侵者获得了任何有价值的东西。我们的系统和流程目前正在正常运行,入侵者所使用的凭证现在已被淘汰。

最近Lapsus$攻击增多,他们主要针对微软、三星、Okta和Nvidia等大型技术公司进行攻击。

Lapsus$进行的攻击并不复杂,通常是使用从地下市场(如俄罗斯市场)窃取的凭证来发起的,然后使用社会工程学攻击来绕过多因素认证。

一位研究LAPSUS$的安全专家说,他们迫使我们改变了对内部人员访问权限的设定。有国家背景的黑客组织要的是长期的、战略性的访问权限,但是勒索软件集团要的是进行横向移动。有专家在2022年3月24日的一条推文中说,目前我们还没有优化防御系统。

各个组织应该做好安全准备,防止像Lapsus$这样团体进行网络攻击,Lapsus$针对组织进行攻击的非常规技术也可能会被其他团体所效仿。企业内部的威胁被Lapsus$再次带入到人们的视线中,并迫使组织思考它所面对的真正挑战。

安全研究员说,像Lapsus$这样的网络威胁是不会消失的。网络攻击不仅有很多钱可以赚,而且还可以获得很大的网络影响力。

 多年来对T-Mobile的几次攻击

自2018年以来,T-Mobile就遭受了六次不同规模的数据泄露。2018年,一个被泄漏的API导致230万客户的数据被泄露。一年后的2019年,126万名预付费者也受到了漏洞的影响。

2021年8月,T-Mobile又遭遇了数据泄露,超过4000万的账户数据被盗。该账户是在该公司申请过信贷的前客户或潜在客户。

该客户的记录在同一年被出售,被泄露的数据还包括了众多个人身份信息,如社会安全号码、电话号码和安全密码等。

]]>
美国管道勒索软件攻击一周年:安全团队的5个教训 Sun, 03 Jul 2022 08:24:23 +0800 Colonial Pipeline勒索软件攻击过去一年,该事件是近年来影响最大的网络攻击案例之一,名为DarkSide的威胁行为者使用一个被泄露的VPN口令来访问美国最大的管道运营商的内部系统。在攻击期间,当黑客开始加密该组织的数据时,Colonial Pipeline做出回应,将其系统离线以阻止威胁的传播,暂时停止了管道运营并最终支付了440万美元的赎金。事件发生后不久,美国政府发布了一项旨在改善国家网络安全的行政命令,强调联邦政府需要“做出大胆的改变和重大投资,以捍卫支撑美国生活方式的重要机构”。除了行政命令外,还引入了几项联邦和立法措施,优先考虑提高网络安全和运营弹性的门槛。

Colonial Pipeline事件之后美国的政府机构和企业目睹了其他成为全国头条新闻的严重事件,包括Kaseya勒索软件攻击和发现的Log4j漏洞,该漏洞存在于全球安装的软件应用程序的基础中。

国会正在着手处理运输安全管理局 (TSA) 是否是监管管道网络安全的适当机构的问题。国会可能决定资助TSA并确保其拥有必要的专业知识和人力资本来有效调节管道网络安全。该事件对美国关基安安全保护的影响史无前例!

虽然科洛尼尔管道攻击可能已经过去,但勒索软件仍然是现代企业的生存威胁,随着勒索软件攻击的增加,企业需要做好准备。这起事件有太多教训可以总结,比如,勒索横行的今天,无论您是小型企业还是企业,都没有关系。你是一个攻击目标;攻击者会发现(并利用)最薄弱的环节;攻击者很敏捷,防守者也必须如此;等等。好消息是,组织可以实施越来越多的安全控制措施来保护自己免受这些普遍威胁的侵害。作为安全团队,其实也有好多需要扎实推进的工作。

1、部署零信任架构 

登录凭据是网络犯罪分子的主要目标之一。因此,对于安全团队来说,实现对零信任身份验证的支持变得越来越重要,以使未经授权的用户更难使用受损凭据登录。“Colonial Pipeline勒索软件攻击是另一个备受瞩目的例子,即利用受损凭证来利用以前被认为是安全的基础设施。因此,安全协议必须不断发展,以跟上分布式计算环境中的动态威胁,”身份访问管理提供商Plain ID的首席技术官兼联合创始人Gal Helemski说。Helemski建议组织可以通过实施零信任架构来防止自己成为类似攻击的受害者,该架构将访问控制扩展到整个数字旅程的整个生命周期中的传统网络访问安全性。 

2、实施强大的事件检测和响应能力 

决定勒索软件泄露总体影响的最大因素之一是组织响应所需的时间。响应时间越慢,网络犯罪分子就越有机会定位和加密关键数据资产。“殖民地是公共和私营部门基础设施安全的一个重要转折点,但组织需要保持警惕,以领先于网络攻击者,”勒索检测和恢复平台Egnyte的网络安全宣传总监Neil Jones说。在实践中,这意味着制定全面的事件响应计划,部署具有勒索软件检测和恢复功能的解决方案,并为员工提供有关如何实施有效数据保护策略(如强口令和多因素身份验证)的网络安全意识培训。 

3、不要依赖备份和恢复解决方案来保护数据 

许多组织寻求依靠数据备份和恢复解决方案来抵御勒索软件威胁。虽然这听起来像是纸面上的有效防御,但如果受害者组织不支付赎金,勒索软件攻击者已经开始威胁要泄露他们加密的数据。加密提供商Titaniam的首席执行官兼创始人Arti Raman建议组织切换到使用中的数据保护, 而不是依赖静态加密,攻击者可以使用受损凭证来回避。“通过使用中的加密数据保护,如果对手突破外围安全基础设施和访问措施,结构化和非结构化数据可能 [并且] 将 [变得] 无法被坏人破解和使用——即使不是,数字勒索也会变得更加困难或不可能,”拉曼说。 

4、创建攻击面清单 

由于有如此多的高级威胁行为者以勒索软件威胁的现代组织为目标,技术决策者和安全团队需要对哪些系统暴露给外部威胁行为者以及他们持有哪些数据有一个完整的清单。“随着美国政府采取措施加强国家网络安全,组织必须采取积极主动的方法来保护自己的资产,这就是优势所在:响应能力,”托管安全服务组织Cyber Security Works的首席执行官兼联合创始人亚伦·桑丁说。“通过独立或外包给漏洞管理公司进行完整的系统清单,组织可以扩展其对已知和未知漏洞利用的网络安全可见性,”Sandeen说。虽然 Colonial Pipeline攻击背后的组织已经不复存在,但Sandeen警告说,企业将继续看到越来越多的漏洞利用、漏洞和APT威胁参与者愿意利用它们,“这将需要安全领导者提供预测性和创造性的帮助来分类和消除勒索软件威胁。” 

5、部署身份管理解决方案以识别异常用户活动 

网络安全教育平台Drip7的创始人Heather Stratford说,“殖民管道灾难告诉我们,人是网络安全攻击的主要切入点。” 据Cyber Talk称, 95%的网络违规是由人为错误造成的。“在网络安全意识方面,‘人’是需要‘固定’或关注的,而这种变化通常不会在一夜之间发生。改变行为建立在小的增量改进之上,随着时间的推移,这些改进会收紧控制限制以改善行为并最大限度地降低风险,”斯特拉特福德观察到。“改变当前网络安全流行病的唯一方法是增加对组织人员的关注,而不仅仅是现有系统,”斯特拉特福德警告说。在远程工作和员工使用个人设备访问企业资源的时代,数据被盗的风险比以往任何时候都大。“我们在新闻中听到的大多数违规行为都是由于企业依赖自动访问控制而在用户被劫持时意识到为时已晚。“考虑到 LAPUS$和Conti等不同犯罪集团的先进策略和随机性,一旦账户遭到入侵,基于身份的欺诈行为就极难被发现,”信任平台Forter的首席信息安全官Gunnar Peterson说。出于这个原因,组织需要具有识别异常用户活动的能力,以便他们能够检测帐户接管,彼得森说,这可以通过使用具有异常检测功能的人工智能驱动的身份管理解决方案来获得。

关键基础设施上的勒索软件案件继续成为头条新闻的事实表明,在整体关键基础设施网络安全方面,组织通常准备不足。人们倾向于专注(并花费)大量资金用于企业和企业环境的网络安全,但多年来,运营技术和面向生产的环境并没有得到他们的关注和投资。

变革不会在一夜之间发生。重要的是要注意,当调整安全态势时,对手也会适应。强化很重要,但可见性和弹性是所有关基企业需要的,这需要时间来开发和部署。俄乌战事中的网络暗战再次表明,变革的关键驱动因素是法律法规指令、攻击的持续威胁、地缘政治局势以及监管机构日益增加的关注。人们对ICS的关注也越来越普遍,因为可靠的情报表明,网络攻击更有可能演变为物理攻击。

]]>
勒索软件攻击影响政府运行,这个国家宣布进入全国紧急状态 Sun, 03 Jul 2022 08:24:23 +0800 由于Conti勒索软件团队发起的毁灭性攻击,北美国家哥斯达黎加共和国政府(以下简称“哥国”)新任总统Rodrigo Chaves宣布国家进入紧急状态。

上周日(5月8日)宣誓就职后,Chaves举行了任期内第一次政府会议,会上宣布哥国将进入紧急状态,原因是财政部等多个部门因勒索软件攻击受到严重影响。

哥国第 42542 号行政令规定:

“哥斯达黎加遭受网络犯罪分子、网络恐怖分子的攻击,被迫宣布国家紧急状态。我们正在签署这项法令,宣布整个公共部门进入国家紧急状态。国家授权我们的社会将这些攻击作为犯罪行为来应对。”

多部委系统被破坏,运行半瘫痪 敏感数据外泄

自4月18日遭受勒索软件攻击以来,哥国海关、税收平台及其他多个政府部门系统被破坏,国内某个城镇的能源供应商陷入瘫痪。财政部的数字服务始终无法正常运营,导致法律要求的文书、签名和印章处理流程被迫停滞。

受到攻击影响的部门包括:

财政部

科学、创新、技术与电信部

劳动与社会保障部

社会发展与家庭津贴基金

国家气象研究所

哥斯达黎加社会保障基金

阿拉胡埃拉市各大学主校

据一家出口商工会估算,受税收及海关平台中断的直接影响,已损失了2亿美元。

4月底,哥国财政部长Elian Villegas接受采访时表示,Conti团伙成功入侵了海关管理平台,该平台有大量“敏感”纳税人信息记录。

财政部警告称,该国居民近期应警惕要求重置密码的网络钓鱼邮件。

多位商界领袖表示,他们担心自己的财务和个人信息被窃取、泄露给媒体或发送给政府官员。Conti团伙还威胁要泄露涉及政府官员及普通公民的大量敏感信息。

勒索团伙公布窃取数据,威胁将发动更猛烈攻击

同样在上周日(5月8日),Conti团伙公布了672 GB窃取数据中的大部分内容,还倒打一耙指责哥国拒绝支付赎金的行为。该团伙透露哥国已经决定寻求美国帮助,以应对此次勒索软件攻击。

图片

CONTI泄密网站上发布的相关消息

哥国上一任总统Carlos Alvarado Quesada曾表示,此次网络攻击意在“威胁该国总统换届期间的稳定”,并拒绝支付据报道高达1000万美元的赎金。

Conti成员嚣张嘲讽道,“哥国总统及其治下政府的选择简直可笑,其实支付赎金就能避免影响,真正保证国家安全。但你却转而求助于拜登和他的追随者,那个老傻瓜明显即将不久于人世。”

 “这次攻击的目标就是求财。未来还将组织更大的团队,开展更猛烈的攻击,哥斯达黎加只是小试牛刀。”

Conti威胁分子“UNC1756”宣称对此次攻击负责,并表示只有两名参与者,未得到其他国家的支持。

两天前,美国国务院公布了1500万美元悬赏计划,希望换取关于Conti团伙及关联成员的信息。

]]>
黑客正积极利用BIG-IP设备漏洞 配置错误引发危险等级9.8安全隐患 Sun, 03 Jul 2022 08:24:23 +0800 上周,F5 披露并修补了一个严重等级达到 9.8 / 10 分的 BIG-IP 漏洞。由于 iControl REST 身份验证配置错误,黑客可借此以 root 权限运行系统命令。据悉,iControl REST 是一组用于配置和管理 BIG-IP 设备的基于 Web 的编程接口,而 BIG-IP 则是该组织用于负载均衡、防火墙、以及检查和加密进出网络数据的一系列设备。

ArsTechnica 指出:BIG-IP 涵盖了超过 16000 个可在线发现的设备实例,且官方宣称有被财富 50 强中的 48 家所采用。

然而让 Randori 安全研究主管 Aaron Portnoy 感到震惊的是:

由于身份验证的设施方法存在缺陷,该问题竟使得能够访问管理界面的攻击者伪装系统管理员身份,之后便可与应用程序提供的所有端点进行交互、甚至执行任意代码。

鉴于 BIG-IP 靠近网络边缘、且作为管理 Web 服务器流量的设备功能,它们通常处于查看受 HTTPS 保护的流量 / 解密内容的有利位置。

过去一整天,Twitter 上流传的大量图片,揭示了黑客是如何积极在野外利用 CVE-2022-1388 漏洞,来访问名为 bash 的 F5 应用程序端点的。

其功能是提供一个接口,用于将用户提供的输入,作为具有 root 权限的 bash 命令来运行。更让人感到震惊的是,虽然不少概念验证(PoC)用到了密码,但也有一些案例甚至可在不提供密码的情况下运作。

对于如此重要的设备命令竟然被这样松散地处置,许多业内人士都感到大为不解,此外有报告提到攻击者可利用 webshell 后门来维持对 BIG-IP 设备的控制(即便修补后也是如此)。

在其中一个案例中,有 IP 地址为 216.162.206.213 和 209.127.252.207 的攻击者将有效载荷置入了 /tmp/f5.sh 的文件路径、从而在 /usr/local/www/xui/common/css/ 中部署基于 PHP 的 webshell 后门。

当然,这并不是安全研究人员被如此离谱严重的漏洞给惊到。比如不少人都提到,这种情况与两年前的 CVE-2020-5902 实在太过相似。

不过随着大家对于 CVE-2022-1388(RCE)漏洞的易得性、强大功能、以及广泛性有了更深入的了解,相关风险也正笼罩到更多人的头上。

如果你所在的组织机构正在使用 F5 的 BIG-IP 设备,还请着重检查并修补该漏洞、以减轻任何可能遇到的潜在风险。

有需要的话,可参考 Randori 热心提供的漏洞详情分析 / 单行 bash 脚本,并抽空详阅 F5 给出的其它建议与指导(KB23605346)。

]]>
俄罗斯电视台胜利日被黑 显示反战信息 Sun, 03 Jul 2022 08:24:23 +0800 胜利日庆祝活动是为了纪念二战中苏联击败德国纳粹。然而,今年观看胜利日报道的俄罗斯人结结实实吃了一惊。有人入侵了俄罗斯各电视频道的胜利日报道节目单,以之发布反战和亲乌克兰的信息。  

反战信息出现在普京向全国发表讲话之前

胜利日一大早,观众静候俄罗斯总统普京的讲话,但当地电视频道的节目表突然变换内容,显示以下信息:

  “你们的手上染着成千上万乌克兰人和数百名惨死儿童的鲜血。电视和当局都在撒谎。拒绝战争。”

关于这一事件,BBC Monitoring高级数字记者Francis Scarr也发表推文称,俄罗斯电视台在线节目表页面遭到了黑客入侵。每个节目的名称都被改成了同样的信息。

哪些频道受影响?

反战呼吁出现的时间就在俄罗斯人等待观看红场胜利日阅兵并聆听普京演讲之前。黑客攻击影响了在线观看MTS移动运营商、Rostelecom、NTV Plus和Wink播送频道的观众,而该事件影响了全体俄罗斯公民。

据BBC报道,包括NTV-Plus、Rossiya和Channel One在内的所有主要俄罗斯频道均受到影响。《华盛顿邮报》则声称,同样的反战信息也出现在了Yandex和Ru Tube等其他平台上。此外,该黑客事件还影响了儿童电视频道和俄罗斯国防部媒体红星电视台(Zvezda)。

胜利日上午俄罗斯电视台在线节目表页面被黑

每个节目的名称都被改为“你们的手上染着成千上万乌克兰人和数百名惨死儿童的鲜血。电视和当局都在撒谎。拒绝战争。”

黑客攻击是如何发生的?

路透社报道,目前尚不清楚反战信息是怎么出现在直播页面上的。但这并不是俄罗斯电视频道第一次被黑。正如信息安全媒体Hackread.com所报道的,2022年3月,激进黑客组织“匿名者”(Anonymous)就入侵了俄罗斯国家电视台,播放俄乌冲突中的血腥战争视频。

MTS西伯利亚代表表示:“俄罗斯电视广播频道遭到了网络攻击,订阅用户可能在广播网格中看到极端主义言论。我们的IT专家目前正在全力消除黑客攻击的影响,以便订阅用户能够尽快接收服务,观看电视节目和电影。”

乌克兰的回应

在普京发表讲话之前,乌克兰总统泽连斯基发布了一段视频来纪念胜利日,并发表了以下声明:

“那时我们赢了。如今我们也会赢!赫雷夏蒂克街(Khreshchatyk)将见证胜利游行——乌克兰的胜利。荣光归于乌克兰!”

]]>
构建城市混合威胁防御能力,应对重大自然灾害期间的网络犯罪 Sun, 03 Jul 2022 08:24:23 +0800 当下的新冠疫情环境可以用充足的证据向我们证明,网络犯罪分子有意愿且有能力利用重大事件引发的混乱局势破坏我们的生活秩序。疫情期间,医疗卫生体系一度成为最吸引网络犯罪分子的目标就足以证明他们的残忍无情。

由于气候变化等原因,重大自然灾害的发生概率变得越来越高,网络犯罪分子因此也将获得越来越多混水摸鱼的机会。为应对这样的局面,美国印地安纳州组织了一场为期三天的模拟演练。

模拟重大自然灾害期间的网络攻击 防御演练越来越常见

此次演练想定的背景,是高等级地震袭击印地安纳州某市并造成大范围破坏与混乱。期间,城市供水系统出现瘫痪情况。追查发现,引发瘫痪的并非地震,而是网络犯罪分子的勒索软件攻击。按演练组织方设想,这是网络犯罪分子正在利用本已相当严峻的局面。

组织方协调了来自医疗部门、国民警卫队、联邦政府、州政府以及地方政府的大约500名专业人员对此加以模拟应对,目的在于将人力发挥到极致,对网络攻击做出有效响应,确保关键基础设施不会遭受自然灾害之外的其他破坏。

此种类型的演练活动将变得越来越常见,因为美国联邦政府目前正在创建“多州信息共享与分析中心”以帮助州和地方政府有效地做好应对一系列数字威胁的准备。与此同时,美联邦政府还在全国范围内多次组织虚拟网络防御演练,其中大部分演练都将“自然灾害期间针对特定目标的网络攻击”的因素纳入其中。

通过演练提高重大自然灾害条件下的 网络攻击防御能力是必要的

众所周知,自然灾害等重大事件会导致局面的极度混乱,各种社会体系和资源的防护能力将因此遭到削弱。网络犯罪分子因此获得了实施针对性攻击的机会。

重大事件发生时,各类官员需要考虑的事情非常多,但网络攻击防御远非他们考虑的重点。所以,组织重大灾害条件下的网络攻击防御演练具有十分重要的价值。通过演练,相关人员和机构既可以认识到灾害期间遭受网络攻击的极高可能性,又能在此基础上制定针对性政策和方案,或对原有政策和方案进行升级,明确网络攻击发生时人员的职责,最终达到有效应对侵害力不断提高的网络攻击的目的。

2018年休斯顿市组织的一场类似演练效果较为突出。这场为期三天的演练由休斯顿市政府和美国陆军网络研究所共同组织,模拟了城市在遭遇飓风的同时受到网络攻击的场景(这是非常可能发生的场景——2017年时,休斯顿遭遇的飓风“哈维”就达到了四级,破坏力极强)。

休斯顿市市长西尔维斯特・特纳(Sylvester Turner)表示,“上述威胁和危险不仅会对我们的社区造成破坏,还可能影响到国家的关键基础设施。通过演练可以研究,如何预防、保护、缓解、响应这些威胁和危险并从中恢复过来。我们的城市是开展此类研究最理想的地方。休斯顿市政府与公立和私营部门均保持着长期的伙伴关系,对危险有足够的认识能力和应对措施,能够把确保公共安全作为最主要的目标,最大限度地减少本市经济活动遭受的破坏。”

有效沟通与合作是关键

模拟重大事件情况下的网络攻击防御演练可以把平时可能毫无联系的利益相关方组织在一起,锻炼其相互协调、共同应对的能力,意义和价值不可估量。比如休斯顿演练期间,来自医疗、应急、供水以及港口等部门的官员就聚集在一起,模拟演练了让城市运行重回正轨的能力。

不断举行的模拟演练产生了一个积极影响,是该城市的自然灾害响应训练项目均嵌入了网络安全防御的内容。演练让大家明白,必须加强部门间的有效沟通与合作。

尽管到目前为止尚未出现网络犯罪分子趁自然灾害发生之机实施网络攻击的事实,但网络安全专家认为这样的事情迟早会出现。究其原因,一方面是自然灾害发生的频率越来越高,另一方面则是网络犯罪分子利用一切可以利用的机会实施网络攻击的意愿非常强烈。

以往的事例证明,网络攻击对基础设施关键节点的破坏力是非常强的,政府官员的救灾尝试因此可能受到极大干扰。事实上,政府官员也非常了解网络攻击的危害性,认为供水、电讯、电力等关键基础设施会在网络攻击之下一个接一个地倒下,呈现出可怕的多米诺骨牌效应。

对自然灾害频发的地区来说,上述模拟演练更是非常有必要。所有演练都明确指向一个关键点——参与者的沟通与合作。

]]>
47名新冠确诊病例学生信息遭泄露,检察机关斩断买卖“利益链”! Sun, 03 Jul 2022 08:24:23 +0800 不久前,网上突然流传出一份名为“某某路某班人员信息表(家长一起转运)”的文档,文档中泄露了某学校一个班级包括新冠肺炎确诊病例在内的47名学生的姓名、身份证号、家庭住址、联系电话以及集中隔离的起止时间等详细信息。

疫情防控常态化下,一些涉疫人员因个人信息被泄露而遭受网络暴力。面对这样的情况,成年人尚且不敌,更遑论未成年人了。未成年人的个人信息一旦遭到泄露,后果不堪设想。

2021年11月1日起施行的个人信息保护法对未成年人个人信息予以特殊关注,将不满十四周岁未成年人的个人信息列入敏感个人信息范围,并要求个人信息处理者对此制定专门的个人信息处理规则,以法律手段为未成年人在数字时代的健康发展保驾护航。

个人信息保护法专门设立了公益诉讼条款,明确将个人信息保护纳入检察公益诉讼法定领域。检察机关如何依法履职,更好地会同社会各部门不断织密未成年人个人信息保护网,进而将保护未成年人法律法规落实落细?对此,全社会有着更高的期待。

涉疫未成年人名单为何被泄露

“经调查,47名学生的个人信息遭泄露,皆因有关工作人员在流调过程中未能遵守相关保密规定,而负责处理个人信息保护相关事务的部门也没能把好信息保护关。”今年3月8日,江苏省连云港市某区检察机关将涉疫未成年人个人信息遭泄露的线索移送当地公安机关、网信部门,督促其查明信息流出源头后,收到了这样的答复。

被泄露的未成年人信息很快被屏蔽、删除,但办案检察官仍忧心忡忡——新冠肺炎疫情防控期间,如何让未成年人免遭信息泄露带来的次生伤害?对此,3月9日,检察机关向所在区卫健委送达了行政公益诉讼诉前检察建议,建议其建立涉疫个人信息保管、传输、销毁制度,制定疫后个人信息处置预案,确保防疫期间多渠道、多主体收集的个人信息删除、销毁到位,保护重大公共卫生事件中的公民个人信息权益;严格区分个人信息处置权限,确保信息泄露事件发生后能迅速追根溯源,细化追责程序。很快,该区卫健委书面回复,表示将进一步完善涉疫个人信息管理制度,严格规范涉疫个人信息处置。为防止同类案件再次发生,某区检察院还推动该区疫情防控办制发了《关于在疫情期间做好个人信息安全管理工作的通知》。

3月15日,某区检察院向所在区教育局送达了检察关注函,督促学校对被泄露信息的学生开展定向跟踪保护。法治副校长也去了隔离点,为孩子们讲授法治课,一同收看战疫普法系列微视频,缓解孩子们的心理压力,助其隔离结束后顺利回归校园。

事实上,上述案件并不是江苏办理的第一起泄露未成年人个人信息案。2020年2月9日,一则《关于对陈某某发烧隔离事件的调查》的信息在张家港市各类微信群中被大量转发、评论。

参与疫情防控工作的张家港市检察院通过网络信息平台发现此线索后,迅速介入调查,查明泄露的信息截取自陈某某学校上报给该市教育局的调查报告,属于教育系统内部文件。张家港市检察院立即向该市教育局通报了有关情况,并于2020年2月14日发出《关于做好未成年人隐私保护工作的提示函》,建议教育行政部门查清事实,对相关责任人员进行批评教育,并全面开展排查,防止类似事件发生。接到提示函后,教育局积极与公安机关联系,删除有关信息,最大限度降低对未成年人的不良影响,并对有关责任人员进行了批评教育。同时,教育局健全完善了疫情排查发布有关工作制度,强化了对未成年人个人信息权益的保护。

念好信息脱敏处理“紧箍咒”

最高检近期编发的未成年人个人信息保护检察监督典型案事例中提到,2019年至2021年,浙江省杭州市某区教育局在某区政府门户网站政府信息公开栏目公布的信息中包含了未成年人姓名、身份证号、户籍所在地、房产地址等多项完整的个人信息,涉及未成年人4637人。

2021年11月,该区检察院在履职中发现上述线索后,立即开展监督工作,依法向区教育局送达行政公益诉讼诉前检察建议,要求及时撤回泄露未成年人个人信息内容的政府公开信息;制定专门的未成年人个人信息处理规则;严格审查政府信息公开内容,依法规范推进政府信息公开工作。教育部门随即作出相应整改。

“在政府信息公开等行政、司法履职过程中,未成年人个人信息保护工作不容忽视。”最高检第九检察厅检察官隆赟告诉记者,执法、司法机关要成为保护未成年人个人信息权益的“领航者”,通过严格执法、公正司法,向社会传递出打击、治理泄露未成年人个人信息行为的明确信号,以此推动社会、企业、个人更加重视未成年人个人信息保护。

未成年用户的信息安全如何保障,一直以来都是各方关注的焦点。2020年10月,江西省萍乡市检察院接到群众举报,称萍乡市部分学校安装的“智慧平安校园”系统存在泄露学生、家长个人信息的可能。

检察机关了解到,作为一款全市中小学通用的系统,“智慧平安校园”采用人脸识别技术防止非本校学生及教职工进入校园,但此系统的使用目的、方式和范围,信息存储的地点、期限和到期后的处理方式,家长和学生都无从知晓。经查证,系统确实存在个人信息泄露等安全隐患。

2021年4月23日,萍乡市检察院组织该市教育局、公安局、网信办以及负责系统生产运营的科技公司、学校代表、人民监督员开展了行政公益诉讼诉前磋商。该市教育局明确学校为信息收集的责任主体,设专人管理、专人负责,签订责任书;印发《萍乡市“智慧平安校园”系统个人信息保护管理制度》;督促科技公司制定了个人信息保护政策协议,并保障学生和家长的知情权;协同多家单位一起对“智慧平安校园”系统开展安全评估和攻防演练。

斩断买卖未成年人个人信息“利益链”

当前,未成年人个人信息遭泄露、被不当收集和使用,导致未成年人受到侵害等情形仍易发多发,其背后不乏利益驱动。

《2020年全国未成年人互联网使用情况研究报告》显示,2020年我国未成年网民达到1.83亿人,互联网普及率为94.9%。超过三分之一的小学生在学龄前就开始使用互联网,而且呈逐年上升趋势。

孩子的个人信息已成为市场上的“香饽饽”。不少家长持续接到各类教育机构的推销电话,电话中的推销人员对孩子的姓名、班级、学校信息了如指掌。而一些不法分子在获取儿童个人信息后,还会实施蹲点诱拐、电信诈骗等违法犯罪活动。更让人担忧的是,随着未成年人首次触网时间呈低龄化趋势,个人信息和隐私在网络上泄露的风险在不断增加。

“教育培训行业、网络业是未成年人个人信息泄露的重灾区。”隆赟表示,近期未检部门办理的涉教育培训行业未成年人个人信息保护类案件中,均涉及从业人员收集、买卖未成年人个人信息用于招生、宣传等。对于此类犯罪行为,检察机关始终依法严厉打击。

在河北省辛集市检察院办理的一起侵犯未成年人个人信息权益案件中,苏某利用工作之便,收集了辛集市区各小学、初中、高中学生信息27404条,卖给了索要信息的段某,非法牟利6028元。段某转手将其中的5746条信息卖给了想买生源信息的某培训学校负责人张某,非法牟利13180元。随后,苏某和段某还分别给了牵线搭桥者王某好处费600元和500元。2021年7月2日,该案被移送至辛集市检察院审查起诉。

2021年8月31日,辛集市检察院就该案组织召开听证会,与会人员一致认为,段某等人的犯罪行为侵害了众多未成年人的合法权益。同年12月23日,因张某购买的5746条信息中含重复信息,实际有效信息为4808条,未达到刑事案件的追诉标准,该院对张某作出刑事不起诉决定。同日,该院对段某、苏某、王某提起刑事诉讼,并对段某、苏某、王某、张某提起刑事附带民事公益诉讼。

今年3月18日,辛集市法院作出一审判决,采纳了检察机关认定的犯罪事实及量刑建议,支持了刑事附带民事公益诉讼全部诉讼请求。法院以侵犯公民个人信息罪分别判处段某拘役四个月,缓刑六个月,并处罚金;苏某拘役五个月,缓刑十个月,并处罚金。王某因具有自首情节,被单处罚金。同时,法院判处附带民事公益诉讼被告人段某、苏某、王某分别以其获利数额承担民事赔偿责任,张某删除全部所掌握的受侵害的未成年人信息,四人在国家级媒体上公开赔礼道歉。

“对于治理个人信息泄露难题,不仅要办好个案,更要注重建章立制、溯源治理。”辛集市检察院检察官孟娜介绍说,通过办理此案,检察机关进一步延伸监督触角,向辛集市教育局发出社会治理检察建议,督促其有针对性地加强对学校和校外培训机构学生信息保护工作的监管力度,将学生个人信息保护纳入日常监管范围,开展长效监管,从源头掐灭学生信息泄露风险。

最高检第九检察厅负责人告诉记者,当前各级检察机关积极参与社会治理,依法不断加大对教育培训、医疗卫生、网络企业等涉及未成年人个人信息收集处理领域的检察监督力度,以多种方式促进未成年人个人信息保护协同共治。下一步,检察机关将持续督促相关单位完善制度,强化管理,严格未成年人个人信息授权范围和操作权限,细化责任,同时着力推动凝聚社会共识,努力形成全社会共同保护未成年人个人信息的良好氛围。

]]>
《安联智库-网安周报》2022-05-09 Sun, 03 Jul 2022 08:24:23 +0800

1、宜家加拿大分公司通报数据泄露事件 影响约95000名客户

当地时间5月6日,宜家(IKEA)加拿大公司表示已经将该公司大约9.5万名客户的个人信息数据泄露事件通报给加拿大的隐私监管机构。宜家(IKEA)加拿大公司在致受影响客户的一封信中表示,可能已被泄露的数据包括客户姓名、电子邮件地址、电话号码和邮政编码。
宜家加拿大公司已通知加拿大隐私专员,因为有95000名加拿大顾客的个人信息出现在数据泄露事件中。这家来自瑞典的家具零售商说,它被告知一些顾客的个人信息泄露风险出现在"2022年3月1日至3月3日期间,宜家加拿大公司的一名同事进行的普通搜索"的结果中。
"该同事利用宜家加拿大公司的客户数据库获取了这些个人信息。我们可以确认,没有财务或银行信息被获取,"宜家加拿大公司在一份电子邮件声明中说,并补充说,"我们已经采取行动补救这种情况,包括采取措施防止数据被使用、储存或与任何第三方共享。"
2、DNS曝高危漏洞,影响数百万物联网设备

近日,Nozomi Networks发出警告,uClibc库的域名系统 (DNS) 组件中存在一个高危漏洞,编号为CVE-2022-05-02,该漏洞将影响所有版本uClibc-ng库的域名系统(DNS),因此,数百万台使用uClibc库的物联网设备都也将受到影响。

资料显示,uClibc库专门为OpenWRT设计的一个分支,OpenWRT 是用于各种关键基础设施部门的路由器的通用操作系统。

通过该漏洞,攻击者可以进行DNS中毒或DNS欺骗攻击,并将受害者重定向到恶意网站而不是合法网站。Nozomi Networks在报告中写到,该漏洞是由库生成的DNS请求中包含的事务ID的可预测性引起,可能允许攻击者对目标设备执行DNS中毒攻击。

3、机场、医院因Aruba和Avaya交换机有严重漏洞受威胁

Armis 在多个模型上实现 TLS 通信时发现了五个漏洞 切换 Aruba 和 Avaya。这些漏洞源于TLStorm漏洞(今年早些时候由Armis发现)中发现的一个类似的设计缺陷,并将 TLStorm 的覆盖范围扩展到可能数百万个额外的企业质量网络基础设施设备。

安全调查人员在Aruba(HP拥有)和Avaya(ExtremeNetworks拥有)的网络设备中发现了五个漏洞,这些漏洞可能允许恶意操作员在设备上远程执行代码。

成功攻击造成的损害范围从数据泄露和完整的设备接管到横向移动和压倒一切的网络分区防御。

分析师发现其他供应商的设备具有相同的安全隐患,并提供了受影响产品的清单:

Avaya ERS3500

Avaya ERS3600

Avaya ERS4900

Avaya ERS5900

Aruba 5400R 系列

Aruba 3810 系列

Aruba 2920 系列

Aruba 2930F 系列

Aruba 2930M 系列

Aruba 2530 系列

Aruba 2540 系列


4、高合行车记录仪被曝画面共享 客服:提车时是默认关闭的

5月6日早间消息,“高合行车记录仪疑似泄露隐私”登上微博热搜,引发网友热议,汽车博主 @李老鼠说车 称高合汽车行车记录仪可通过车主互联接收其他高合车辆信号,读取行车记录仪内容,存在信息安全隐患。

据沸点视频报道,6日晚,高合汽车客服就此事表示,“车车互联”一功能在提车时是默认关闭的,开启时会有明显提示,告知用户行车记录仪画面将被共享。并且,相关设定符合国家有关规定,不存在违反信息监管的情况。对于为何设置这一功能,该客服表示,主要是为特定场景客户提供支持。

从@李老鼠说车 曝光的视频可以看到,该博主在汽车的行车记录仪界面点击一个按钮,就出现了一个新的列表,该列表会展示其他车主的头像、昵称、距离等,点击任意一个,即可直接加载其行车记录仪画面。


]]>
高合行车记录仪被曝画面共享 客服:提车时是默认关闭的 Sun, 03 Jul 2022 08:24:23 +0800 5月6日早间消息,“高合行车记录仪疑似泄露隐私”登上微博热搜,引发网友热议,汽车博主 @李老鼠说车 称高合汽车行车记录仪可通过车主互联接收其他高合车辆信号,读取行车记录仪内容,存在信息安全隐患。

据沸点视频报道,6日晚,高合汽车客服就此事表示,“车车互联”一功能在提车时是默认关闭的,开启时会有明显提示,告知用户行车记录仪画面将被共享。并且,相关设定符合国家有关规定,不存在违反信息监管的情况。对于为何设置这一功能,该客服表示,主要是为特定场景客户提供支持。

从@李老鼠说车 曝光的视频可以看到,该博主在汽车的行车记录仪界面点击一个按钮,就出现了一个新的列表,该列表会展示其他车主的头像、昵称、距离等,点击任意一个,即可直接加载其行车记录仪画面。


]]>
数百万用户受影响,杀毒软件Avast中潜藏近10年的漏洞被披露 Sun, 03 Jul 2022 08:24:23 +0800 5月5日,SentinelLabs 发布报告,显示他们曾在知名防病毒产品Avast 和 AVG (2016 年被 Avast 收购)中发现了两个存在时间长达近10年之久的严重漏洞。

这两个漏洞被跟踪为 CVE-2022-26522 和 CVE-2022-26523,存在于名为 aswArPot.sys 的反 rootkit 内核驱动程序中,该驱动程序于 2012 年 6 月的 Avast 12.1 版本中引入,其问题的根源来自内核驱动程序中的套接字连接处理程序,可允许攻击者提升权限并禁用防病毒软件,甚至还会造成系统蓝屏、死机。

由于这些漏洞的性质,它们可以从沙箱中触发,并且可能在除本地权限提升之外的上下文中被利用。例如,这些漏洞可能被用作第二阶段浏览器攻击的一部分,或执行沙盒逃逸。

SentinelOne 于 2021 年 12 月 20 日报告了这些漏洞,Avast 在 2022 年 2 月 8 日发布的防病毒版本 22.1 中已对其进行了修复,目前为止还没有迹象表明这些漏洞已被广泛利用。但不可否认,由于这两个漏洞已“潜伏”了近10年之久,受影响的用户数量可能已达数百万。

]]>
宜家加拿大分公司通报数据泄露事件 影响约95000名客户 Sun, 03 Jul 2022 08:24:23 +0800 当地时间5月6日,宜家(IKEA)加拿大公司表示已经将该公司大约9.5万名客户的个人信息数据泄露事件通报给加拿大的隐私监管机构。宜家(IKEA)加拿大公司在致受影响客户的一封信中表示,可能已被泄露的数据包括客户姓名、电子邮件地址、电话号码和邮政编码。

宜家加拿大公司已通知加拿大隐私专员,因为有95000名加拿大顾客的个人信息出现在数据泄露事件中。这家来自瑞典的家具零售商说,它被告知一些顾客的个人信息泄露风险出现在"2022年3月1日至3月3日期间,宜家加拿大公司的一名同事进行的普通搜索"的结果中。

"该同事利用宜家加拿大公司的客户数据库获取了这些个人信息。我们可以确认,没有财务或银行信息被获取,"宜家加拿大公司在一份电子邮件声明中说,并补充说,"我们已经采取行动补救这种情况,包括采取措施防止数据被使用、储存或与任何第三方共享。"

该公司表示,它已经向加拿大隐私专员办公室通报了这一漏洞,并已采取措施通知受影响的客户。

宜家加拿大公司还表示,它已经审查了内部程序,试图防止今后发生类似事件。顾客不必采取行动,但对个人信息保持警惕并注意可疑活动始终是有必要的。

该公司说:"重要的是要知道,宜家永远不会主动向你索要信用卡信息,我们建议向当地政府报告任何可疑的活动。顾客如有疑问或属于该漏洞的一部分,可致电1-800-661-9807或privacy@ikeaservice.ca,联系宜家加拿大

]]>
网络攻击致使汽车租赁巨头全球系统中断,业务陷入混乱 Sun, 03 Jul 2022 08:24:23 +0800 国际大型汽车租赁公司Sixt在全球110多个国家/地区拥有2000多个业务点。由于突然来袭的网络攻击,致使其业务发生临时中断。

Sixt公司表示,他们4月29日(周五)在IT系统上检测到可疑活动,并很快确认自己遭受到网络攻击。

这家总部位于德国的公司宣称,事件“在早期得到控制”,而且已经在外部专家的协助下开展调查。“根据公司的标准防范措施,我们立即限制了对IT系统的访问,同时启动了预先规划好的恢复流程。”

但IT系统被限制访问,导致了Sixt公司的客户、代理和业务点发生业务中断。只有对业务连续性至关重要的系统仍保持运行,比如主网站和应用程序等。公司称,此次攻击对公司运营与服务的影响已经被降至最低。

有德国媒体报道,由于系统故障,从周五早上开始,大多数汽车预定都是通过笔和纸进行的。

有客户打电话给该公司服务热线,听到录音消息称,“由于技术问题,我们暂时无法联络,只能延迟处理邮件查询消息。”

疑似勒索软件攻击

该公司并未公布任何其他信息,但据猜测此次事件可能属于勒索软件攻击。

外媒SecurityWeek已经查看了多个主要勒索软件团伙的网站,但尚未发现有组织宣称,对此次Sixt攻击事件负责。按以往经验来看,这些网站上列出的大多是未在期限内支付赎金的受害者,所以Sixt的名字也许要到本月晚些时候才会出现在这些网站当中。

此外,受害企业可能认为已经在早期阶段阻止了勒索攻击,但恶意黑客在部署文件加密恶意软件时,往往已经窃取到了大量数据。

网络安全行业和政府一直在努力保护组织免受勒索软件攻击。但勒索攻击是一项高利润的业务,某些网络犯罪团伙仍在疯狂肆虐,借此赚取数百万美元巨额收益。

尽管行业和政府努力破坏勒索软件犯罪活动,但新的勒索软件攻击仍然层出不穷,老牌团伙似乎也依旧蓬勃发展。

]]>
DNS曝高危漏洞,影响数百万物联网设备 Sun, 03 Jul 2022 08:24:23 +0800 近日,Nozomi Networks发出警告,uClibc库的域名系统 (DNS) 组件中存在一个高危漏洞,编号为CVE-2022-05-02,该漏洞将影响所有版本uClibc-ng库的域名系统(DNS),因此,数百万台使用uClibc库的物联网设备都也将受到影响。

资料显示,uClibc库专门为OpenWRT设计的一个分支,OpenWRT 是用于各种关键基础设施部门的路由器的通用操作系统。

通过该漏洞,攻击者可以进行DNS中毒或DNS欺骗攻击,并将受害者重定向到恶意网站而不是合法网站。Nozomi Networks在报告中写到,该漏洞是由库生成的DNS请求中包含的事务ID的可预测性引起,可能允许攻击者对目标设备执行DNS中毒攻击。

目前,uClibc库被广泛应用于各大厂商,包括Linksys、Netgear和Axis,或嵌入式Gentoo等Linux发行版。安全专家尚未透露该漏洞的细节,因为供应商暂时没有解决该问题。

Nozomi的研究人员通过查看物联网设备在其测试环境中执行的DNS请求跟踪发现了这个问题。他们从Wireshark 的输出中确定执行DNS请求的模式,事务ID首先是递增的,然后重置为0x2值,然后再次递增。请求的事务ID是可预测的,这种情况可能允许攻击者在某些情况下发起DNS中毒攻击。

研究人员分析了可执行文件,发现创建DNS请求的问题出现在C标准库uClibc 的0.9.33.2版本。

Nozomi报告中写到,研究人员通过源代码审查发现,uClibc库通过调用位于源文件“/libc/inet/resolv.c”中的内部“__dns_lookup”函数来实现DNS请求。鉴于交易ID的可预测性,攻击者想要利用该漏洞,就需要制作包含正确源端口的DNS响应,并赢得来自DNS服务器的合法DNS响应的竞争。由于该函数不应用任何显式源端口随机化,如果操作系统配置为使用固定或可预测的源端口,则很可能以可靠的方式轻松利用该问题。

如果操作系统使用源端口的随机化,则利用该问题的唯一方法是通过发送多个DNS响应,暴力破解16位源端口值,同时赢得与合法响应的竞争。

最后,Nozomi报告总结道,截止该报告发布时,该漏洞仍未修复。开发者似乎无法修复该漏洞,自2022年1月以来,CERT/CC 向200多家受邀参与VINCE案例的供应商披露了该漏洞,并在公开发布前30天通知他们。

]]>
别信!北京出现花钱解除健康宝弹窗诈骗 200元打水漂 Sun, 03 Jul 2022 08:24:23 +0800 近日,北京疫情严峻,部分人突然收到健康宝弹窗,需要进行“三天两检”等操作。

与此同时,网络上出现“有偿解除健康宝弹窗”的“服务”,称只要花200元就可以指导高效解除弹窗的方法,未解除还能退费。

实际上,所谓的指导就是一场骗局。其实,只要按规定去做核酸,三天两检弹窗就会解开,根本不需要指导。

据北京晚报报道,家住外地、因健康宝弹窗无法来京的林女士交了200元“指导费”,需要提供姓名、电话、核酸证明、行程码等信息。

由于林女士当时没有48小时内核酸证明,便和对方约定做完核酸再进行指导,然而,很快林女士的健康宝弹窗就因已经满足14天内无涉疫县(市、区、旗)旅居史等进返京规定而自行解开了。

负责疫情防控工作的社区工作人员表示,出现健康宝弹窗后不要慌张,只要根据防疫相关规定完成规定流程,及时报告、及时做核酸检测,就可以解除弹窗。

“现在弹窗4出现的情况比较多,也就是未在规定时间内完成核酸检测,这种情况下,只要立即完成核酸检测,健康宝弹窗会在查询到本人核酸检测阴性报告后自动解除,如果没有自动解除,可以联系核酸检测机构及时上传检测结果。”

]]>
机场、医院因Aruba和Avaya交换机有严重漏洞受威胁 Sun, 03 Jul 2022 08:24:23 +0800 Armis 在多个模型上实现 TLS 通信时发现了五个漏洞 切换 Aruba 和 Avaya。这些漏洞源于TLStorm漏洞(今年早些时候由Armis发现)中发现的一个类似的设计缺陷,并将 TLStorm 的覆盖范围扩展到可能数百万个额外的企业质量网络基础设施设备。

安全调查人员在Aruba(HP拥有)和Avaya(ExtremeNetworks拥有)的网络设备中发现了五个漏洞,这些漏洞可能允许恶意操作员在设备上远程执行代码。

成功攻击造成的损害范围从数据泄露和完整的设备接管到横向移动和压倒一切的网络分区防御。

网络安全公司Armis的安全研究人员专门研究连接设备,将漏洞集命名为“TLStorm2.0”,因为该发现属于同一 问题类别 滥用 NanoSSL TLS 库,他们报告了流行的 APC UPS 模型。

分析师发现其他供应商的设备具有相同的安全隐患,并提供了受影响产品的清单:

Avaya ERS3500

Avaya ERS3600

Avaya ERS4900

Avaya ERS5900

Aruba 5400R 系列

Aruba 3810 系列

Aruba 2920 系列

Aruba 2930F 系列

Aruba 2930M 系列

Aruba 2530 系列

Aruba 2540 系列

交换机中的外部库

网络交换机是企业网络中的常见元素,有助于实施分段,这是一种对更大环境至关重要的安全实践。

它们的作用是充当网桥,将设备连接到网络并使用数据包交换和 MAC 地址 服用 και 数据推广 在目标设备上。

使用外部库通常是一种方便且具有成本效益的解决方案,但有时会伴随应用程序错误和 安全问题.

这种做法激励他们黑客查看这些微小的构建块以发现潜力可利用的缺陷.

以 TLStorm 2.0 为例,问题的原因是供应商使用的“胶合逻辑”代码不符合 NanoSSL 指令,导致可能出现 RCE(远程代码执行)。

在 Aruba 中,NanoSSL 用于 Radius 身份验证服务器和强制门户系统。它的应用方式可能导致攻击者数据的堆溢出,这些数据被监控为CVE-2022-23677 和 CVE-2022-23676。

在 Avaya 中,库实现引入了三个缺点:TLS 碎片整理堆溢出(CVE-2022-29860)、HTTP标头分析堆溢出(CVE-2022-29861) 和HTTP POST请求管理溢出。

问题源于缺乏错误检查,缺少验证步骤和不适当的边界检查。

这些问题不在于图书馆本身,而在于它的方式 实施的 供应商。

攻击场景

Armis提出了两种基本的利用场景,允许强制门户逃脱或网络分段闯入,这为 网络攻击 重大影响。

在强制门户场景中攻击者可以访问有限网络资源的网络,该资源需要绕过身份验证,付款或其他形式 访问令牌. 这些强制门户网站常见于连锁酒店、机场和商务中心。

通过利用TLSstorm2.0攻击者可以在交换机上远程执行代码,绕过强制门户限制甚至完全禁用它。

在第二种情况下,攻击者可以利用漏洞来破坏网络分段并获得 访问 在计算机网络的任何部分,从“客户”空间自由旋转到“公司”部分。

]]>
西班牙政府证实首相及防长手机被通过“飞马”间谍软件窃听 Sun, 03 Jul 2022 08:24:23 +0800 法新社消息,西班牙政府2日表示,该国首相桑切斯和国防部长罗伯斯的手机在一次“非法的、外部的 ”干预中被通过“飞马”间谍软件窃听。报道还称,西班牙首相府、议会关系与民主记忆大臣费利克斯·博拉尼奥斯·加西亚也证实说,“这不是推测,是非常严重的事实,希望司法部门进行调查。”

去年7月,这款可用来监视各界人士行踪的以色列间谍软件也被多家媒体曝光,在国际社会引起轩然大波。据英国广播公司(BBC)报道,以色列软件监控公司NSO向一些国家售卖了一款名为“飞马”的手机间谍软件,用以监控记者、律师、人权活动人士甚至各国的相关政要。

报道称,“飞马”软件可以轻而易举地入侵苹果和Android系统,并轻松截取手机里的各类讯息、图片、视频、电邮内容、通话记录,甚至可以秘密开启麦克风进行实时录音。报道还说,NSO公司的“飞马”软件“可能是目前最强大的间谍软件”。虽然遭多方调查,但这家公司对此予以否认。

]]>
报道称SafeGraph正在出售访问堕胎诊所的人的位置数据 Sun, 03 Jul 2022 08:24:23 +0800 根据Motherboard购买的几组数据,一家定位数据公司正在出售与访问提供堕胎服务的诊所有关的信息,包括计划生育设施,显示访问这些地点的人群来自哪里,他们在那里停留了多长时间,以及他们随后去了哪里。

在泄露的最高法院意见草案中, Alito法官表示,法院准备废除罗伊诉韦德案的裁决,该案是数十年来为寻求堕胎者提供联邦保护的先例,在此背景下,数据销售显然更为重要。如果该草案真的成为一项正式决定,它将立即在至少13个州完全或部分禁止堕胎权。

数据收集如何与堕胎权相交,或缺乏堕胎权,可能会在该草案之后聚集更多关注。该国还可能出现针对寻求或提供堕胎者的私刑活动或监视和骚扰形式的增加。由于任何人都可以在公开市场上获得这些汇总的位置数据,客户也可能包括反堕胎的人。反堕胎团体已经相当善于利用新技术来实现其目标。2016年,一位与反堕胎和基督教团体合作的广告CEO向坐在计划生育诊所的女性发送了有针对性的广告,试图改变她们堕胎的决定。位置数据的出售引起了人们的疑问,为什么公司要专门出售基于堕胎诊所的数据,以及他们是否应该在购买这些信息时引入更多的保障措施,如果要出售的话。

密切跟踪数据销售市场的网络安全研究员Zach Edwards在审查数据后,在一次在线聊天中告诉Motherboard:“拥有堕胎诊所,然后让人购买人口普查追踪人们从哪里来访问该堕胎诊所,这太危险了。这就是你如何对跨越州界进行堕胎的人进行泄密--你如何对提供这种服务的诊所进行泄密。”

例如,在得克萨斯州几乎全面禁止堕胎之后,得克萨斯州寻求堕胎的人越来越多地不得不前往其他州,那里的堕胎服务更容易获得他们需要的护理。随着罗伊案的失败,那些居住在保守州并有能力的人可能会开始旅行去做堕胎。位置数据可能会影响到是否以及如何识别这种旅行,这使得监管机构和立法者更迫切需要考虑如何收集、使用和出售位置数据。

据悉,出售这些数据的公司是SafeGraph。SafeGraph最终从安装在人们手机上的普通应用程序中获取位置数据。通常情况下,应用程序开发人员在他们的应用程序中安装代码,称为软件开发工具包(SDK),将用户的位置数据发送给公司,以换取开发人员的付款。有时,应用程序用户并不知道他们的手机正在收集和发送位置数据给第三方,更不用说Motherboard报道的一些更危险的使用情况,包括将数据传输给美国军事承包商。计划生育协会不是进行数据收集的组织,也没有从中获得经济利益。

SafeGraph将“Planned Parenthood”(计划生育)归为可以追踪的“品牌”,Motherboard购买的数据包括美国600多个计划生育机构的地点。这些数据包括4月中旬这些地点的一周的位置数据。SafeGraph称该位置数据产品为 “模式”。总的来说,这些数据的成本刚刚超过160美元。并非所有的计划生育机构都提供堕胎服务。但Motherboard核实,购买的数据集中包括的一些设施确实提供。

Motherboard还在SafeGraph网站上搜索了“计划生育”,得到的相关结果是“计划生育中心”,然后人们可以购买相关的数据。

根据SafeGraph的网站,SafeGraph的模式数据旨在回答诸如 “人们多长时间去一次,停留多长时间,他们来自哪里,他们还去哪里等”的问题。SafeGraph计算出它认为一个地点的访客居住在哪里,直到人口普查区一级。该公司的文件显示,SafeGraph通过分析电话通常在哪里过夜来实现这一目标。

SafeGraph的数据是汇总的,这意味着它没有明确指出某个设备移动到哪里。相反,它专注于设备群的移动。但是,研究人员一再警告说,在所谓的匿名数据集中,可能会有个人被揭穿。

Motherboard购买的SafeGraph数据集的某些部分,每条记录处理的设备数量非常少,理论上使这些人的匿名化更容易。有些人只有四或五台设备访问该地点,SafeGraph通过该人是否使用Android 或iOS设备来过滤数据。

关于显示人们根据其人口普查区前往某个诊所的数据,可能跨越州界,Edwards说:“SafeGraph将成为反选择激进分子试图针对‘州外诊所’提供医疗服务的首选武器。”密苏里州正在考虑制定一项法律,规定在其他州“帮助或教唆”堕胎为非法。

追踪堕胎诊所的访客长期以来一直是显示位置数据所带来的威胁的主要内容。在2018年的一项调查中,《纽约时报》拿着位置数据,跟踪了里面的多人。报道称,其中一个被跟踪的人访问了一个计划生育设施。

最近,一家以基督教为重点的媒体《 The Pillar》发表了一篇文章,利用位置数据追踪一位特定牧师的行踪,然后在未经他同意的情况下公开揭露他可能是同性恋。

计划生育协会没有对评论请求作出回应。SafeGraph也没有回应评论请求,其中包括该公司是否会继续出售与堕胎诊所有关的位置数据这一具体问题。

]]>
5女子刷抖音做试衣员被骗58万 Sun, 03 Jul 2022 08:24:23 +0800 近日,多位网友反映,自己刷抖音应聘兼职试衣员被骗钱,且经历相似。

她们称,她看到抖音上试衣员的广告,留下自己的联系方式,对方加了她微信,之后就开始刷单做任务,最终一步步被骗钱。

她们之中有全职宝妈、单亲妈妈、待业女青年等,大部分人家庭条件一般,发觉被骗后有人一度想跳楼轻生,她们表示,她们非常信任抖音,希望抖音能严格审核,承担监管职责。


]]>
官方通告,北京健康宝遭境外网络攻击 Sun, 03 Jul 2022 08:24:23 +0800 4月28日,北京市第318场新冠病毒肺炎疫情防控工作新闻发布会召开。

会上,北京市委宣传部对外新闻处副处长隗斌表示,4月28日,北京健康宝使用高峰期遭受网络攻击。经初步分析,网络攻击源头来自境外,北京健康宝保障团队进行及时有效应对,受攻击期间,北京健康宝相关服务未受影响。

这已经不是北京健康宝第一次遭遇境外网络攻击,在北京冬奥会、残奥会期间都出现了类似的攻击事件。

和现实世界我国和平的局面不同的是,网络空间一直都处于不平静的状态,来自境外的网络攻击从未停止。

例如2020年以来,国家安全机关工作发现,我国有关电信运营商、航空公司等单位内网和信息系统先后多次出现越权登录、数据外传等异常网络行为。后经技术调查发现,相关攻击活动是由境外某情报机关策划,在攻击中使用了多种先进的网络武器。

中国国家互联网应急中心日前检测发现,自2022年2月下旬以来,境外组织通过控制我国的计算机的方式,间接对俄罗斯、乌克兰、白俄罗斯等进行网络攻击。在外交部发言人的例行记者会上,赵立坚在回答与这件事相关的评论时,也针对此前某些美国政治家对俄进行网络攻击的呼吁及发现的情况进行呼吁,敦促美国政府采取更负责的态度,停止类似的恶意网络活动。

随着我国正在加速进行数字化转型,网络安全风险也随之增加,此时我们更应强化我国网络安全整体实力,提高网络安全意识,共同筑牢维护国家安全的坚固防线。

]]>
可口可乐161GB数据被盗 包括金融数据、密码和商业账户等 Sun, 03 Jul 2022 08:24:23 +0800 俄罗斯关联的黑客组织 Stormous 声称已成功入侵可口可乐公司,并公开售卖大量数据。Stormous 表示窃取了 161GB 的财务数据、密码和账户,然后以 644 万美元或 1600 万个比特币的价格出售这些数据。

Stormous 在宣布成功入侵之前,曾在 Telegram 上发起投票,询问它应该针对哪家公司,而可口可乐公司获得了最多的选票。据 CISO Advisor 报道,被盗文件中包括金融数据、密码和商业账户。

Stormous 是黑客世界中的一个相对新成员,但在今年年初获得了关注。他们说他们从Epic Games 窃取了 200GB 的数据,后来当它宣布支持俄罗斯入侵乌克兰时成为头条。目前仍不清楚该组织的总部在哪里,The Record 报道说它的大部分信息都是用阿拉伯语。

]]>
社交巨头少赚160亿美元!苹果隐私新政让用户赢了 Sun, 03 Jul 2022 08:24:23 +0800 苹果隐私新政实施一年了,有何影响?

时间回到2021年4月28日,苹果iOS14.5系统实施新的隐私政策。

正如CEO库克所表示地那样,苹果改变隐私政策,用户可以自行选择个人数据是否被跟踪。

库克说:「在苹果,我们一直相信,你应该控制个人数据——你用它做什么,你与谁分享,应该由你决定。」

「现在,iOS14.5系统应用的追踪透明化,给你是否分享数据的选择权。」库克这样表示。

然而,1年之后,作为全球科技企业市值第1的苹果公司,实施这个隐私新政对其它科技公司有何影响?

隐私新政的影响

去年10月,在苹果隐私新政推出后不到半年,Lotame公司对其影响进行了评估。

当时,Lotame统计了Snap、Facebook、Twitter、YouTube这四家社交媒体。

鉴于每个平台仍在以相当大的年率增长,苹果隐私新政看似没有什么影响,但是,影响很可能反映在未来的增长放缓,而不是营收的直接减少。

针对苹果隐私新政对这四家公司的2022年收入造成影响,Lotame作出了预估。

其中,这一变化将给Meta收入带来128亿美元的损失,降幅为9.7%。

当时,Meta警告称,苹果的隐私改革将给它带来大约100亿美元的降幅,显然,自身预估的影响比Lotame的预估影响乐观些。

Lotame估计,2022年,专注于移动业务的Snap营收将因此减少9.6%,约为5.46亿美元;YouTube将减少22亿美元,占其收入的6.5%,造成推特收入影响3.23亿美元,占其收入的5.4%。

其实,这几家公司自身对苹果隐私新政的预估却认为,影响比较有限。

Twitter此前表示,ATT的影响是「温和的」。

因为,与许多同行相比,Twitter更注重品牌广告——旨在向大量受众推销品牌,而不是引发直接反应。

YouTube也表示,苹果用户选择退出跟踪将对收入产生「适度影响」。

现在看来,关于苹果隐私新政的影响,有三种态度:

Lotame估计,这四家社交媒体损失达160亿美元;四家公司自身估计稍显乐观,认为影响有限;苹果公司认为,新政不是针对这些公司,而是为了限制遵守对用户的隐私承诺。

社交媒体广告与用户数据

隐私新政实施前,苹果对于用户的追踪,可以精准地了解用户喜好,结合注册信息、浏览数据等各方面数据,进行用户画像。

这样,广告投放就可以精准进行,从而提升有效性。

然而,基于用户对于隐私保护的要求,苹果在去年的今天,实施了新的隐私保护政策。

2021年4月27日,苹果发布iOS 14.5ATT(App Tracking Transparency)隐私新政,承诺苹果将不再任意追踪用户数据,用户数据是否公开自行决定。

当时,苹果CEO库克拒绝评论这项功能对其它公司的影响,但他表示,发布隐私新政是为了让用户自行选择。

库克说:「我们一直致力于为用户提供力量,我们并不是在做决定,我们只是在提示他们是否想要在应用中被跟踪。」

库克表示,如果应用程序开发人员得到用户的信任,更大比例的用户可能会允许跟踪。

然而,由于大量用户阻止了这种跟踪,广告商和技术平台便失去了价值信号和判断依据。

这一变化迫使广告商重新评估自己的营销方式,甚至将广告费用进行转移,比如线下广告,不再依赖苹果的追踪标识符。

广告测量公司AppsFlyer负责人Shani Rosenfelder说:「我们确实看到了苹果市场份额的巨大增长,成为了「头号玩家」,超过过去具有主宰地位的Facebook。」

AppsFlyer报告显示,86%的苹果iOS设备运行了最新版本,用户可以看到ATT弹窗提示,其中,38%的人选择加入,62%的人选择退出。

Rosenfelder说:「我们看到媒体的成本正在增加,因为同意跟踪对于媒体很有价值。」

作为回应,Facebook在开发的应用程序中构建了自己的系统,以减少了第三方跟踪的需要。

同样,其它的科技公司也在大力利用电子商务,将其作为一种在自己平台进行销售的方式,而无需依赖第三方进行衡量。

]]>
地缘政治引爆欧洲风电安全!已有三家风能公司遭遇网络袭击 Sun, 03 Jul 2022 08:24:23 +0800 自俄乌冲突全面爆发以来,已有三家欧洲风能公司遭遇网络攻击,这引发了人们的警觉。欧美制裁俄罗斯能源入口使得风电行业受益,站队俄罗斯的黑客组织试图在这一行业制造混乱。

遭受攻击的企业没有公开将黑客行为,归因于特定犯罪团伙或国家,俄罗斯也一直否认发动过相关网络攻击。

但布鲁塞尔行业组织WindEurope的发言人Christoph Zipf认为,从攻击时间上看,很难相信这些恶意行为与俄乌冲突毫无关联。

安全专家称,这类针对工业设备的严重网络攻击并不常见,需要提前搜集大量知识以做好筹备。

已有三家欧洲风能公司被黑

近期陆续遭遇网络攻击的3家风能公司均位于德国。

4月中旬,专门从事风力涡轮机维护的Deutsche Windtechnik AG公司遭遇黑客攻击。该公司表示,攻击发生之后,德国约2000台风力涡轮机的远程控制系统瘫痪了一天左右。

涡轮机制造商Nordex SE表示,他们在3月31日发现一起安全事件,导致IT系统被迫关闭。曾宣布支持俄罗斯的Conti勒索软件团伙本月放话称,对此次攻击负责。(详情见:为应对网络攻击,德国风电设备巨头Nordex关闭IT网络)

另一家涡轮机制造商Enercon GmbH提到,今年2月,他们在一起针对某家卫星通信企业的攻击中沦为“附带受害者”,而且此次攻击“俄罗斯对乌发起军事行动的时间完全相同”。这次攻击破坏了Enercon公司共5800台风力涡轮机的远程控制系统,好在设备仍能在自动模式下保持运行。(详情见:美国“卫星网中断”事件复盘:管理后台遭入侵,数万Modem被下发破坏指令)

Deutsche Windtechnik遭到勒索软件攻击

Deutsche Windtechnik共拥有约2000名员工,公司主管Matthias Brandt表示,如今可再生能源行业很可能成为黑客们的主要攻击目标,“我们需要制定更高的IT安全标准,因为俄乌危机已经用事实证明,可再生能源未来正在取代石油和天然气。”

Brandt指出,公司遭到网络攻击的是内部IT系统,而非涡轮机工业控制系统。

4月12日早6点左右,他突然接到技术部门的来电,意识到系统已经无法正常运行。一两个小时后,IT人员驱车前往德国北部一处数据中心,确认Deutsche Windtechnik昨晚已经遭遇勒索软件攻击。

Brandt回忆道,机器上显示的代码如同象形文字,称服务器已遭恶意软件加密。当天晚些时候,员工们还发现了一份黑客留下的电子笔记,指示Deutsche Windtechnik与他们联系以恢复数据。不过到第二天,Deutsche Windtechnik已经成功了解决大部分问题,所以压根没跟黑客团伙联系。

Brandt提到,约90%的Deutsche Windtechnik员工邮件账户已经恢复。但出于谨慎考虑,公司IT部门仍决定关闭部分企业软件,并用几周时间慢慢上线各项功能。

他表示,“客户和消费者们可能感受不到,但这背后其实有着巨大的工作量。”目前还不清楚此次事件会给Deutsche Windtechnik公司造成多大损失。

风电行业将成为 网络攻击主要目标

埃森哲公司的Guinn指出,随着欧洲国家逐渐摆脱对俄罗斯传统化石燃料的依赖,接下来的替代能源将主要来自德国和北海区域的风电场。而亲俄派黑客肯定会把这些替代能源企业当成攻击目标,“这将是一场漫长的对抗——骚扰、蚕食,就如同棋盘上的厮杀。”

挪威风险管理公司DNV GL网络安全常务董事Trond Solbert表示,只要成功感染风力涡轮机的工业控制设备,黑客就能操纵制动器以阻止正常发电。这可能会扰乱客户服务体验,影响运营收入。Solbert还说,对当地互联网连接服务的攻击,往往也能干扰到风电农场的远程监控系统。

]]>
新型互联网骗局在美国出现,谷歌苹果都上当 Sun, 03 Jul 2022 08:24:23 +0800 一种新型互联网骗局近日引发美国监管机构高度重视:居心叵测的网络骗子假借执法机关名义,堂而皇之地向大型互联网公司索取用户资料,再利用这些隐私信息,以极其低劣的手段对网络用户实施骚扰、勒索甚至性敲诈,并动用危险手段坑害拒不配合者。据悉,受害者多为社会弱势人群,其中已经有人付出生命代价。

据彭博社27日报道,多名执法部门官员及互联网业内人士透露,“扮警行骗”的套路近几个月来在美国频发,“中招”的包括苹果、谷歌和推特等知名互联网公司。作案过程中,黑客会通过网络手段攻破执法机关的电子邮件系统,并借助其平台伪造“紧急情况用户数据征调申请”等官方函件,再将伪造文件出示给社交媒体公司,要求后者透露特定的用户信息,包括用户姓名、电子邮件、IP地址、家庭住址等,甚至还涉及更为详细的个人隐私。

取得用户私密信息后,不法分子便会对目标账号进行肆意骚扰和破坏,并对受害者提出各种非分要求——如勒索钱财或实施性剥削。此前,不少女性和未成年受害者受到了不法分子的胁迫,被要求提供不雅照片或视频。如拒绝要求,受害者可能遭到一系列报复:比如个人信息被发布到“人肉搜索”网站,受害者从此面临无休止的骚扰;若是发出不雅内容,不法分子反而会变本加厉,并威胁受害者“不服从就把照片发给你的亲友或领导”。在一些极端案例中,有受害人被迫在身体上刻下犯罪分子的姓名并拍成照片,以满足后者的变态心理。

另一种典型的报复手段是“报假警”,即捏造杀人放火、炸弹威胁一类严峻的警情,调动执法人员前往受害者住所进行突击调查。这种手段的社会危害性更为严重,有受害者甚至不幸丧生。《纽约时报》举例称,2020年4月,60岁的田纳西州男子赫林因拒绝出售自己名为“田纳西”的推特账号而遭到黑客报复,后者报警谎称赫林住所有人被谋杀。而当警方持枪登门调查时,受惊的赫林心脏病突发,不幸离世。

2020年8月,“黑人的命也是命”运动领导人梅琳娜·阿卜杜拉遭到报复,不法分子报假警称她在洛杉矶的住宅内挟持人质,好在此次警方执法行动比较克制,未造成严重后果。2017年12月,美国加州黑客泰勒·巴瑞斯在网络游戏中与人发生争执,威胁后者要上门“理论”。他依据对方提供的假地址报了假警,警察随后到指定地点,开枪射杀了无辜民众。巴瑞斯最终被判处20年监禁。

对于这种最新网络犯罪套路,美国执法部门和各科技公司已经展开调查。彭博社称,相比之前的网络诈骗,这种假扮国家执法机关的新套路令受害者防不胜防,在某种程度上也凸显了美国制度层面的一些漏洞。据了解,美国执法部门出示的紧急征调类文件通常用于绑架、自杀、谋杀等危情,往往没有法院签字授权,因此更容易伪造。不过此前调查显示,确实有犯罪分子曾伪造法官签名,据说,在黑市上,这种假签名最低只卖10美元。

严格来说,因紧急征调申请不具备实际法律效力,各科技公司其实可以不予理会。但多数企业出于对官方的信任及合作诚意,往往会积极配合。公开资料显示,苹果公司对该类征调函件的配合度高达93%,脸书所属的社交网络公司Meta配合度也达到77%。对于普通用户而言,个人隐私一旦被平台泄露,只能任人宰割,不存在任何防范手段——除非从一开始就不使用任何社交媒体。

另据媒体透露,这类案件的司法实践也极具挑战,因为很多不法分子远在海外,还有一些黑客是未成年人,即便落网也很难定罪。英国广播公司(BBC)报道称,英国警方今年打掉一个名为“Lapsus$”的网络犯罪团伙,7名嫌疑人中多数为未成年人,其中一名16岁少年疑似为幕后主导。据悉,该组织曾对微软、三星和英伟达等知名企业实施过非法入侵。此外,害死美国公民赫林的嫌疑人当中也包括一名英国少年,因年龄原因无法引渡到美国。

脸书前首席安全官斯塔莫表示,美国警方和科技公司应该加强安全管理,比如在沟通过程中设立“回拨确认”机制,并加入多重身份验证环节,以避免不法分子在通信层面钻空子。网络安全调查专家艾莉森·尼克松则认为,未成年人的网络不端行为如今已经转变为严重危害社会的有组织犯罪,这种趋势应该得到执法部门和网络安全行业的高度重视,并将其列为优先处理事项。她表示:“我们需要把这些少年黑客当作成年人处置。”

]]>
北京健康宝遭受境外网络攻击 Sun, 03 Jul 2022 08:24:23 +0800 北京疫情防控工作发布会通报:今天,北京健康宝在使用高峰期间遭受到网络攻击,经初步分析,网络攻击源头来自境外,北京健康宝保障团队进行了及时有效应对,受攻击期间北京健康宝相关服务未受影响。在北京冬奥会、冬残奥会期间,北京健康宝也曾遭受过类似网络攻击,均得到了有效处置。

]]>
Black Basta勒索软件攻击美国牙科协会 Sun, 03 Jul 2022 08:24:23 +0800 Bleeping Computer 网站披露,美国牙科协会(ADA)遭到了网络攻击。目前,该协会正在积极调查攻击事件,同时关闭了部分网络系统。

美国牙科协会 (ADA) 主要为 17.5 万名会员提供牙健康培训、研讨会和课程。对于许多美国人来说,如果日常中使用的牙膏和牙刷等口腔卫生产品上有 ADA 印章,这表明该产品是安全的,有助于口腔健康。

ADA 遭遇网络攻击

此次网络攻击迫使 ADA 下线部分受影响的系统,中断了各种在线服务、电话、电子邮件和网络聊天。另外,ADA 网站也打出了一个横幅,解释了其网站遇到了技术困难,正在努力修复系统。

据悉,此次网络攻击,导致包括 ADA 商店、ADA 目录、MyADA、会议注册、会费页面、ADA CE 在线、ADA 资格认证服务和 ADA 实践过渡等在内的 ADA 服务受到严重影响。

网络攻击不仅影响到 ADA 的网站,也对使用 ADA 在线服务注册账户或支付会费的组织产生了巨大影响,例如纽约、弗吉尼亚和佛罗里达州的牙科协会。

攻击事件发生不久后,ADA 开始向其各州的牙科协会、诊所和组织等成员发送电子邮件,提供关于网络攻击最新情况以及其他信息。邮件中主要描述了 ADA 在遭受网络攻击后,导致包括 Aptify 和 ADA 电 子邮件、电话和网络聊天等在内的服务中断。此外,ADA 在邮件中强调,发现攻击事件后,已经第一时间关闭了受影响的系统,并联合第三方网络安全专家和执法部门,调查此次攻击。

最后,ADA 表示,初步调查结果显示,会员信息或其他数据没有泄露。目前,Bleeping Computer 已经联系了 ADA,询问有关攻击事件的详细情况,但没有得到回复。

Black Basta 勒索软件团伙泄露了 ADA 数据

随着攻击事件持续发酵,一个名为 Black Basta 的新勒索软件团伙声称对此事负责。据网络安全研究员 MalwareHunterTeam 反映,攻击者已经开始泄露据攻击 ADA 期间窃取的数据。目前,包括 W2 表格、NDA、会计电子表格等在内的大约 2.8GB 数据已经被泄露,攻击者表示这占据了被盗数据的 30%。

小型牙科诊所一般没有专门的安全或网络管理员,缺乏专门的 IT 人员通常会导致其网络非常不安全,因此牙医信息的泄露可能特别具有破坏性。ADA 会员的信息有可能被泄露给其他攻击者,强烈建议 ADA 会员警惕鱼叉式钓鱼邮件。

]]>
黑客利用关键的VMware RCE漏洞安装后门 Sun, 03 Jul 2022 08:24:23 +0800 调查发现,高级黑客正在积极利用影响VMware Workspace ONE Access(以前称为 VMware Identity Manager)的关键远程代码执行(RCE)漏洞CVE-2022-22954。庆幸的是,该问题已在20天前的安全更新中得到解决,不过另外两个编号为RCE - CVE-2022-22957和CVE-2022-22958的漏洞也会影响VMware Identity Manager (vIDM)、VMware vRealize Automation (vRA)、VMware Cloud Foundation 和vRealize Suite生命周期管理控制台。

在漏洞被公开后不久,PoC漏洞代码便出现在公共空间,使黑客得以利用这些代码攻击部分易受攻击的VMware产品,随后VMware也确认了CVE-2022-22954 在野被利用。现在,Morphisec的研究人员报告说,他们看到了高级持续威胁(APT)参与者也在利用这些漏洞,特别是编号为APT35、又名“火箭小猫”的伊朗黑客组织。

攻击细节

攻击者通过利用CVE-2022-22954获得对环境的初始访问权限,这是RCE三人组中唯一一个不需要对目标服务器进行管理访问并且还具有公开可用的PoC漏洞利用。攻击首先在易受攻击的服务 (Identity Manager) 上执行PowerShell命令,该服务会启动一个stager。然后,stager从命令和控制 (C2) 服务器以高度混淆的形式获取PowerTrash加载程序,并将 Core Impact代理加载到系统内存中。

Core Impact是一种合法的渗透测试工具,在这种情况下被滥用于恶意目的,类似于Cobalt Strike在恶意活动中的部署方式。不过,这也不是什么新鲜事,趋势科技过去曾报告过APT35 滥用Core Impact,该活动可追溯到2015年。

在采访中,Morphisec首席技术官Michael Gorelik表示,攻击者尝试在网络上横向移动,尽管后门被阻止。通过特权访问,这些类型的攻击可能会够绕过一些特有的防御措施,包括防病毒(AV)和端点检测和响应(EDR)。

Morphisec能够检索到stager服务器的C2地址、Core Impact 客户端版本和用于 C2 通信的 256 位加密密钥,最终查询到这些操作可能跟名为Ivan Neculiti的特定人员和名为 Stark Industries的公司有关联。

在欺诈暴露数据库中,BleepingComputer发现了几家公司,这些公司将Neculiti 列为合伙人或受益人。该数据库包括一家托管公司,据称该公司支持用于垃圾邮件和网络钓鱼活动的非法网站。目前尚不清楚Neculiti或关联公司是否以任何方式(有意或无意)参与了网络犯罪活动。

不过,近期BleepingComputer收到了来自PQ Hosting SRL的最新声明,该公司总部位于摩尔多瓦,是Stark Industries的母公司,他们否认了故意参与非法活动,“我们有超过15,000名活跃客户,其中当然有我们正在打击的入侵者。没有一家托管公司能够幸免于这样的事实,即明天同样的攻击者会来找他们。创建Stark Industries公司只是为了向我们的经销商提供白标,他们可以更轻松地转售我们的服务,而不是因为我们隐藏任何东西。”

]]>
实锤!可口可乐证实受到网络攻击并开展调查 Sun, 03 Jul 2022 08:24:23 +0800 全球最大软饮制造商可口可乐公司在近日发布的一份声明中证实,公司相关网络受到了攻击,目前已对攻击行为开展调查。

勒索团伙Stormous宣称对此次攻击负责,称其成功侵入公司服务器并窃取了161GB数据。

攻击者将他们窃取的数据缓存公布在泄密网站上待售,要求支付赎金1.65比特币(约折合64,000美元)。

在列出的数据中,包括压缩文件、带有管理员(admin)、电子邮件和密码的文本文件、公司账本和支付zip文件以及其他类型的敏感信息。

关于Stormous团伙

虽然他们声称自己是一个勒索软件团伙,但目前没有迹象表明他们在受害者的网络中部署过文件加密恶意软件。Stormous更像是一个数据敲诈组织,在俄罗斯入侵乌克兰之后,它曾表示,将针对俄罗斯的黑客攻击采取行动。

这是 Stormous 团伙第一次公开发布盗取的数据集。上周,该团伙组织其追随者们进行了一次投票,以决定下一次攻击的目标。最终,可口可乐以72%的选票在这次投票中“胜出”。

该团伙表示,他们仅仅用了几天时间就将公司攻破。本次攻击的方式包括:拒绝服务攻击、黑客攻击、软件源代码和客户端数据泄露。

值得一提的是,在Stormous组织的投票中,可口可乐和其他受害企业都选择站在反西方的立场。

此前,该团伙声称攻击了Epic Games。他们宣称窃取了Epic商店和游戏3300万用户的数据和信息,总共200GB。然而,这些数据的真实性还没有得到证实,所以storm的这些说法还有待进一步核实。

而可口可乐公司方面也尚未证实他们的数据被盗。在接受媒体采访时,公司负责人表示,目前正在与执法部门合作,对所谓的Stormous团伙攻击开展调查。截止目前,本次攻击尚未显示出任何重大负面影响。

]]>
今年一季度暴露的数据库数量创新高,Redis排第一 Sun, 03 Jul 2022 08:24:23 +0800 据BleepingComputer网站消息,由威胁情报和研究公司 Group-IB共享的一份报告中显示,公开暴露在互联网上的数据库数量近期有所增加 ,从2021年的 308000 个一路上升,到2022 年第一季度,暴露的数据库峰值数量达到了 91200 个,创造了历史记录。

在大多数情况下,数据库被公开至网络是由于配置错误的原因造成,黑客常常使用可从开放网络访问的搜索引擎索引系统来寻找这些数据库,以窃取内容或进行金融勒索。

Group-IB 发现,大多数暴露的数据库都位于美国和中国服务器,德国、法国和印度也占有较大比例。而这其中,使用 Redis的最多,在今年一季度的暴露数量是排名第二的MongoDB的近两倍, MySQL则占比较少。

专攻数据库安全的安全研究员Bob Diachenko告诉 Bleeping Computer ,目前一些数据库供应商引入的dbms(数据库管理系统)越复杂,反而越容易出现配置错误,从而在无意中暴露数据。他认为,数据库的目的不仅是存储数据,而且还允许以即时和便捷的方式共享这些数据,并由其他团队成员对其进行分析,如今,越来越多的人参与到数据库管理过程中,为了试图简化和加快访问速度,甚至对登录措施进行了忽省略。目前,许多数据库管理系统已采取措施,在管理员将其配置为无需密码即可公开访问时进行提醒,但问题仍然存在。

研究显示,管理员平均需要 170 天的时间来发现错误配置并修复暴露问题,这足以让黑客找到暴露的数据并进行窃取。

Group-IB指出,如果管理员在设置和维护数据库时遵循如下的特定关键措施,则可以在很大程度上确保数据库安全:

如无必要,确保数据库不公开;

使数据库管理系统保持最新版本,以减少可利用的缺陷;

使用强用户身份验证;

为所有存储的信息部署强大的数据加密协议;

使用采用数据包过滤器、数据包检查和代理的数据库和 Web 应用程序防火墙;

使用实时数据库监控;

避免使用将数据库暴露给恶意扫描的默认网络端口;

尽可能遵循服务器分段做法;

以加密形式对数据进行离线备份。

]]>
影响甚微 数据泄露后Conti活动有增无减 Sun, 03 Jul 2022 08:24:23 +0800 近日,戴尔旗下安全公司Secureworks的研究人员表示,尽管受到近期内部数据泄露的影响, Conti勒索软件团伙的活动依旧非常活跃。他们追踪到一个俄罗斯网络经济罪犯团伙GOLD ULRICK正在利用Conti勒索软件进行犯罪活动。

研究显示,由于Conti团伙对其通信、源代码和操作细节的泄露做出的反应非常,目前该团伙的活跃度已经几乎恢复到了2021年的峰值水平。

“从Conti的泄密网上可以看到,2022 年2月以来受害者人数有所增加。2月27日,泄露Conti信息的黑客团体在其Twitter @ContiLeaks上泄露了GOLD ULRICK团伙的通信数据。可是,尽管公开了这些信息,3月份发布的Conti 受害者人数月度统计却激增至自2021年1月以来的第二高。” Secureworks 公司的反威胁小组(Conter Threat Unit)在其发布的帖子写道。1651124694_626a29d6be06d0864afc1.png!small

网名为“Jordan Conti”的GOLD ULRICK 团伙成员表示,数据泄露对组织运营的影响微乎其微。根据他在地下论坛RAMP上发布的一篇帖子,Conti仅在其泄密网站上列出拒绝支付赎金的受害者名单,而受害者的总量是这一数字的两倍多。这意味着,受害者向Conti团伙的平均支付率为50%,而平均支付金额在70万美元左右。

另外他还在帖子中写道,“GOLD ULRICK正继续致力于发展其勒索软件、入侵方法和处理数据方法。”仅在4 月的前四天,Conti泄密网站上就增加了 11 名新的受害者,如果以这样的速度继续发展,研究人员担心,GOLD ULRICK团伙或将继续对全球组织构成严重的网络犯罪威胁。

]]>
犯罪分子通过伪造的警方电子邮件从谷歌苹果处获得用户信息 Sun, 03 Jul 2022 08:24:23 +0800 苹果、谷歌和Snapchat等公司遵从了犯罪分子伪造的警方电子邮件数据请求,这些犯罪分子利用获得的数据骚扰和勒索未成年人。

通过偷来的警察证书(如电子邮件)提出的紧急数据请求,导致科技公司与犯罪分子分享敏感的用户数据。由于紧急数据请求通常是出于善意,科技公司有时可以在没有正式传票的情况下做出回应,不过,据了解这些传票也是伪造的。

根据彭博社的一份报告,被盗的数据被用来根据相关人员使用各种策略进行敲诈。报告中引用的消息来源称,这些伪造的请求似乎主要用于金融欺诈,包括用于对妇女和未成年人进行性敲诈。

提供的数据因公司而异,但一般包括姓名、IP地址、电子邮件地址和物理地址。有些公司提供的数据比其他公司多,但一般的经验法则是只提供请求范围内需要的数据。例如,如果犯罪分子得到一个人的姓名、地址和用户名,他们可以直接与他们联系并威胁要伤害他们,让警察以虚假指控出现在他们家(俗称拍打),甚至暗示他们已经有了明确的图像进行勒索。这可能导致各种形式的敲诈、操纵和对受害者的控制。

紧急数据请求每天都被用于真正威胁生命的紧急情况,而这一机制被滥用于对儿童进行性剥削,这是一个悲剧。警察部门要把重点放在通过多因素认证和更好地分析用户行为来防止账户泄露,科技公司应该实施确认回拨政策,以及推动执法部门使用他们的专用门户网站,在那里他们可以更好地检测账户是否出现问题。

Google、Discord和Facebook对该报道作出回应,称它们各自都有对传入请求的验证程序。Twitter和苹果拒绝就此事发表评论,不过苹果确实提供了一份详细文件,说明他们如何处理政府的数据请求。

]]>
2021年勒索软件攻击次数激增至新高 受害者更广泛且损失更大 Sun, 03 Jul 2022 08:24:23 +0800 勒索软件攻击越来越频繁,越来越容易得逞,受害者支付的代价也越来越昂贵。在Sophos为其年度勒索软件状况报告进行的调查中,66%的组织承认他们去年受到勒索软件攻击,高于2020年的37%。其中65%的攻击成功加密了受害者的数据,高于前一年的54%。

总部设在英国的这家网络安全公司表示,企业为其最重要的勒索软件攻击支付的平均赎金增长了近五倍,略高于80万美元,而支付100万美元或以上赎金的企业数量增加了两倍,达到11%。在其年度报告中,Sophos调查了来自31个国家的5600个组织。共有965名受访者分享了他们的勒索软件攻击细节。

这些数字并不令人惊讶,因为在过去一年中,勒索软件攻击令美国主要的石油管道再到最大的肉类加工厂都深受其害。虽然Colonial Pipeline和JBS US Holdings都支付了数百万的赎金,但这些攻击使他们的业务暂停了很久,足以引发恐慌性购买,使物资供应的价格上升。

这些攻击和其他攻击促使白宫在10月召开了一次国际反勒索软件协调会议,汇集了来自30多个国家的代表,包括英国、加拿大和日本等美国盟友。该小组承诺分享信息,共同追踪和起诉勒索软件攻击背后的网络犯罪分子。

值得注意的是,俄罗斯没有参加(与乌克兰开战以后则更是不可能),美国和其他国家指责俄罗斯窝藏并可能鼓励这些攻击背后的团体。现在,随着世界上大部分国家积极反对俄罗斯入侵乌克兰,专家们担心俄罗斯会发动政府支持下的勒索软件攻击,作为针对乌克兰及其支持者的网络战争的一部分。

无论攻击者的动机如何,勒索软件仍然是网络犯罪分子的一个有利可图的工具。Sophos的首席研究科学家Chester Wisniewski说,勒索软件的成本不仅继续上升,而且越来越多的受害者被迫选择支付赎金,即使他们有其他选择。

在报告他们的数据被攻击锁定的受访者中,46%的人说他们支付了赎金以取回他们的数据,26%的人说他们支付了赎金,尽管他们可以通过备份自己恢复数据。

Wisniewski说,这可能有几个原因,包括不完整的备份,或希望让公司的数据不被公布在网上。此外,在发生勒索软件攻击事件后,往往有很大的压力要尽快恢复运行,而从备份中恢复往往是困难和耗时的。但是,尽管向网络犯罪分子支付解密密钥可能是一个诱人的想法,它也是一个危险的想法。

Wisniewski在一份声明中说:"企业不知道攻击者可能做了什么,例如添加后门、复制密码等等。如果组织不彻底清理恢复的数据,他们最终会在他们的网络中留下潜在的弱点,并有可能暴露在重复的攻击之下。"

]]>
Nvidia遭网络攻击,透过对黑客掌握的电脑进行加密来反制 Sun, 03 Jul 2022 08:24:23 +0800 资安公司Emsisoft发现犯案的黑客组织在推特宣称,Nvidia以电脑加密的手段反击他们的入侵行为,黑客表示未被成功骇入。

Nvidia上周五(2/25)证实公司遭到网络攻击,也正在调查。不像一般受害企业,Nvidia似乎也以勒索软件反攻黑客。

英国媒体Telegraph上周五报导Nvidia遭网络攻击,导致开发部门的电子邮件和工具系统断线无法使用。

Nvidia周五对媒体指出,目前正在调查攻击事件,但强调公司的业务及商业营运未受影响。Nvidia表示目前致力于评价事件的本质和影响范畴,不愿提供更多资讯。

资安厂商Dark Tracer及安全研究人员Soufiane Tahiri发现一个名为Lapsus$的黑客组织宣称骇入Nvidia,并泄露该公司员工的登入密码及NTLM哈希,并扬言即将公布窃得的1TB数据。

但同时Nivida似乎也出手回击,在黑客系统内植入勒索软件。资安公司Emsisoft引述Lapsus$组织的贴文,指Nvidia利用黑客经由员工VPN存取内部网络时,反将对方一军,Nvidia透过行动装置管理系统(MDM)在黑客使用的电脑上执行注册、列管的程序,而使得Nvidia能够存取黑客使用的电脑(虚拟机器),并执行数据加密的手段。

但Lapsus$黑客指,Nvidia这招成功加密了他们数据,不过他们有备份,躲过一劫。Lapsus$也强调未被任何竞争对手或组织骇入。

我们推测,或许Nvidia此举恰巧是因为该公司MDM或UEM系统落实端点电脑的全硬盘加密(FDE)政策,而使黑客在其环境部署的非法虚拟机器反遭对方加密而失去对其掌控的能力。

Emsisoft威胁分析师Brett Callow指出,回骇虽不常见,但也不是没有过前例,毕竟付赎金不能保证黑客不公布数据。

]]>
上帝视野!美企监视全球数十亿台手机,实时观测俄军/CIA特工动向 Sun, 03 Jul 2022 08:24:23 +0800 俄乌冲突全面爆发的几个月前,两家鲜为人知的美国公司正在商谈监视技术合作事宜。他们希望进行的合作,是通过手机对数十亿人的动向进行追踪,与从Twitter公司直接购买的巨量用户数据融合。

这一合作将打造出超强的监视能力。美国政府可以利用它,轻松监控俄罗斯军队、追踪中国核潜艇动向。为了证明这一点,其中一家公司进行了验证,利用手机数据监视美国国家安全局和中央情报局的特工。

A6和Zignal

能够利用数据对手机用户进行追踪的是两名前军事情报官员2018年建立的Anomaly Six(下称“A6”公司)公司。媒体报道称,从这家公司的官方网站上基本看不出其从事的业务,但事实上它却有很大可能对不少人的情况了如指掌。之所以能做到这一点,是因为这家公司掌握着先进的用户数据分析技术。

无数智能手机APP通常在用户不知情的情况下,不间断地对用户的位置信息进行收集,然后再传送给广告商或数据经纪公司。这种收集和传送行为通常并不违法,因为APP运营公司会在使用条款中用不起眼的法律术语予以说明,而使用者往往不会对其进行仔细阅读就勾选了同意。

“使用者甚至没有读完长达60页的终端用户协议就选择了没有保留的同意,他的个人信息也因此被发送出去,”A6公司销售代表布兰登・克拉克说。

用户信息一旦被出售给广告商或数据经纪公司,美国目前就没有法律可以禁止他们再向A6这样的公司进行转售了。获得这些数据后,A6就可以利用其专有分析软件进行分析利用,对千千万万普通人或指定人群的日常生活、工作、旅行等活动进行追踪了。

公司发言人表示,同类公司通常利用移动电话的蓝牙和Wi-Fi连接收集使用者的位置数据,但往往不够精确。A6则借助GPS定位收集位置数据,精确度可达到几英尺。据称,该公司在位置数据之外还建立了一个电子邮箱地址数据库,储存了超过20亿个电子邮箱地址以及用户在签约使用APP时暴露的其他个人信息。综合这些信息,A6公司就能判断出处于GPS定位点上的人员的身份。

A6公司理想中的技术合作伙伴是Zignal Labs公司(下称“Zignal”公司)。这家公司与政府有千丝万缕的联系——其顾问委员会中包括前美国陆军特种作战司令部司令查尔斯・克利夫兰,以及曾在白宫、国家安全机构和五角大楼担任过顾问、积极推动实时信息管理以及战略通信建设的约翰・兰登(John Rendo)。同时,公司还与美国陆军签订有一份价值400万美元的数据服务合同。

之所以被A6公司看中,是因为Zignal公司可以不受限制地从Twitter公司获得大量用户数据。尽管Twitter公司的反监视政策特别强调不允许利用用户数据进行信息或情报采集等活动,但在实际操作中这一政策基本等同于无。Zignal公司不但未严格遵守,还振振有词地辩解称“Zignal一贯遵守数据合作伙伴制定的隐私规定和守则”。

两家公司达成合作后会怎样?

A6公司宣称,公司能够对大约30亿人(相当于全球人口的五分之一)的动向进行实时监视。公司的GPS搜索系统每天会监视大约2.3亿件移动通信设备,并从每件设备处获得30至60个定位点,每年能在全球范围内获得25亿组定位点,以及多达280TB的位置数据。

布兰登・克拉克说,A6公司已与数千家手机APP运营公司达成合作关系,因此可利用APP使用条款中的漏洞收集精确的GPS测量数据。这些数据不仅对希望向手机用户推销商品的商家有用,而且还受到追踪移民的联邦政府机构、无人机操作以及定位部门、负责经济制裁以及税务稽查的政府机构的欢迎。有报道援引公开信息指出,美国特种作战司令部曾于2020年9月向A6公司支付59万美元,以求获取该公司“商业遥测数据服务”一年的使用权。

为方便客户对数据进行快捷浏览和选择,A6公司可提供Google地图风格的卫星俯瞰图。客户只需要找到感兴趣的地点然后画个方框把它圈起来,A6公司就能在方框内填充经过该区域的智能电话用户(以小圆点替代)。点击圆点后就会出现智能设备(及其使用者)在某社区、城市或全世界范围内的活动情况。该公司的软件还有一个被称为“规律分析”的强大功能。用户只要点击一个按钮,软件就能自动生成监视对象常去地点的分析,进而推断出其生活和工作地点。

与Zignal公司达成技术合作后,源源不断涌来的巨量数据还会帮助A6公司大幅提升上述监视能力。公司客户不但能够对全球社交媒体活动进行监视,而且还能确定某个帖子的发贴人身份、发贴地点、发贴人跟谁在一起、原先在哪里以及下一步会去哪里,等等。这些功能可以让公司对其雇员的活动进行追踪,也可以帮助政府在全球范围内对其对手进行密切监视,从而拉来更多的“优质政府客户”。

已经证明:CIA特工也避不开A6的追踪

为证明本公司的追踪能力,布兰登・克拉克主持了多场验证展示会,其中一次是追踪俄罗斯军队在俄乌边境的集结情况。

克拉克在演示中“表演”了如何使用A6公司的软件追踪俄罗斯士兵使用的手机从边境地区撤回到尤尔加(Yurga)附近的驻地,并称如何有必要还能继续对其进行追踪,直到手机使用者回到自己家中。《华尔街日报》报道称,这种追踪方式已被用来对俄罗斯军队的调动情况进行跟踪。报道同时表示,即使是美国军队也无法对这种跟踪“免疫”。

《华尔街日报》的报道很快得到了验证。克拉克利用Maxar Techonologies公司拍摄的一张“艾森豪威尔”号航空母舰的照片演示了如何对美军行动进行追踪。

根据照片附带的拍摄经纬度以及拍摄时间,克拉克确定航母当时的位置在希腊的克里特岛南部。用方框将该区域围起来后,该区域只显示出一个手机信号。“虽然当时找到的信号不多,但我注意到这艘航母后来返回了诺福克基地,”克拉克说。他随后又显示了航母停泊在诺福克的照片,以及照片上密密麻麻的小圆点。“现在我们捕捉到了更多代表美国水兵的手机信号,然后就可以利用它们追踪航母的部署情况。我们不再需要卫星了。”

为了给观摩者留下更深刻的印象,克拉克还演示了这个世界没有几个人能做到的事情:追踪美国顶级特工人员。

他先调取了一份显示美国国家安全局总部和中央情报局总部的Google地图,并围绕两个总部的所在区域拉出两个虚拟方框。A6软件立刻在方框内显示出183个代表手机及其使用者的小圆点,点击后出现多达数百行代表其活动轨迹的信息。“如果我是外国情报人员,这183个圆点就是我收集情报的开始,”克拉克说。“我可以找到这些人的生活地点、找出他们的旅行地点以及他们离开这个国家的时间。”

接下为,克拉克还对“圆点”在美国境内外的活动进行了追踪,并看到其中一些“圆点”前往一处训练中心以及约旦的一处机场(据说美军在那里部署有一队无人机)。

“如果数据经纪商能够通过这种方式对数百名(美国)情报官员在全球范围内的活动进行追踪,那将对(美国)国家安全构成严重威胁,”参议员荣・韦登(Sen. Ron Wyden)显然对个人数据公司的行为非常不满。“外国情报人员根本用不到多少间谍技巧就能得到这些情报。”

多次受到侵犯公民隐私权的指责

有人注意到,政府或私人可以在A6和Zignal公司的技术帮助下,避开美国政府对数据使用的司法管辖,获得全球监视能力有了这个便利条件。美国情报部门也许会越来越多地绕开法庭禁令,向A6这样的公司直接购买服务。

《纽约时报》去年曾报道称,美国国防情报局“购买了多个商业数据库,数据库中包含有智能手机APP收集的各种位置信息”。随后,美国国防部、国土安全部、国家税务局等重要政府机构几乎群起仿效,购买包含重要信息的商业数据库一时成为被普遍采用的监视手段。

但美国公民自由联盟认为这“并不是一种值得推广的选择”,因为被美国政府机构视为“公开来源情报”的上述商业数据库,实际上是在违反公民权益的情况下收集、建立起来的。正如今年2月荷兰情报和安全服务审查委员会在报告中指出的,“自动化开源情报收集工具使用的个人数据数量、性质和范围,会对基本人权(尤其是隐私权)构成严重侵犯。”

美国多名移动通信用户隐私研究者以及移动通信安全专家也指出,A6和Zigna等政府承包商向国防部等客户“泄露美国公民的社交发贴、用户名以及位置等信息”是否合法很值得商榷。专门从事APP数据公司隐私条款执行情况研究的安全专家Wolfie Christl认为,就算A6公司对本公司业务能力有夸大,但从保护个人隐私的角度来看,这样的一家公司能够对普通用户进行监视也不得不让人深感忧虑。

A6公司合创始人布兰登・哈夫(Brendan Huff)对此并不在意。他在回应本公司监视业务时表示,“A6是一家退役老兵开办的小公司,以维护美国利益和自然安全为己任,理解并遵守法律。” 不过美国公民自由组织指出,美国最高法院已明确规定手机位置信息受法律保护,所以A6公司的“数据供应链”早晚会有断裂的一天。

]]>
央视曝光百倍暴利“虚拟币”骗局 交易平台一夜关闭有人被骗百万元 Sun, 03 Jul 2022 08:24:23 +0800 日常生活中,经常有陌生电话号称免费拉人进股票群;网络平台上,也经常有各种股票讲课的广告。很多人抱着不花钱只是进群看看、听听课的心态,没想到却一步步陷入被骗的漩涡,损失惨重。记者在调查过程中发现,这些股票群里所谓的“老师”首先推荐股票,取得信任后,就会推荐自行发行的虚拟数字货币,来骗取投资者钱财。

“虚拟币”号称100倍溢价 网站关闭卷款跑路

记者以投资者的身份潜伏进股票群后发现,全国各地有不少受害者因为免费而入群。

声音来源——某股票群讲课音频:贝特曼是我国首家、唯一一家数字货币平台即将上线。该平台要发行它的平台币相当于它的股票,相当于IPO。我预计它的平台币有10到20倍的溢价,甚至有100倍的溢价。

在所谓10倍到100倍暴利诱惑下,很多人买入大量“虚拟币”。突然,贝特曼虚拟货币交易平台一夜之间关闭,毫无征兆,股票群被解散,再也联系不到任何一个所谓的“老师”或“客服”,受害者投入的所有资金都无法提取。有受害者表示,被骗金额最高达百万元 。

北京市投资者:4月9日凌晨1点钟,半夜醒了以后拿手机看一眼这个盘面怎么样,发现平台点不开了,所有数字都不见了,自己账号也空了,那些群都没了,所有链接都打不开了。我一共被骗了40多万元,多的被骗100多万元。

广东省深圳市投资者:我老公生病了,我们贷款出来,基本上这100多万元都是贷的。现在最主要的问题是有小孩子读书,信用卡还不上会影响征信,小孩子读书读不了,我的信用都会出问题,已经走头无路了。

一位股龄近20年的女士,投资非常谨慎,觉得自己肯定不会被骗,刚开始看着群里其他人纷纷跟着老师操作数字货币也不为所动。但是,随着群里人不停晒一些超高利润的盈利截图,以及“老师”的不断洗脑,于是也抱着试试的心态投进了第一笔钱。

河南省平顶山市投资者:还是禁不住诱惑,先转进去了4000元,打新又中奖了,晚上12点又买进,等于44000元全投入进去了。投入进去之后,他说这是锁仓期,又开始发行了平台币,平台币又是10倍的利润。

北京市康达律师事务所律师 夏禹:我国《刑法》的第二百六十六条的规定,涉嫌诈骗罪,根据具体的犯罪情节,最高有可能判处10年以上有期徒刑,甚至无期徒刑。

用股票讲课当幌子 人情关怀蒙骗老年人

为何这种常见的诈骗套路能屡试不爽?记者发现,除了打感情牌取得受害者的信任,最重要的是,这些诈骗团伙多次冒充一些大型的正规金融平台为自己背书,编造一些虚假的一夜暴富故事,引诱受害者上钩。

记者在股票群中看到,这个网络讲课平台名为“朗盛翻倍大讲堂”。投资者通过其发布的股票授课广告而加入,很多人一开始抱着试试看的心态进入平台听课。除了讲课,每天半夜所谓的“老师”还会发长文为“学员”答疑解惑,配上美女头像的“助理老师”,随时解答“学员”的股票疑问。在逐渐取得信任后,“老师”游说“学员”购买虚拟数字货币 。

广东省深圳市投资者:开始给你推荐几只股赚钱了,后面推荐的几只股,他就不管了,一直叫你拿着,然后说现在大行情不好,就让你把股票全部卖了,来买新币。

北京市投资者:虚拟币利润太高了,高到一会儿几元、几十元就涨上去了,我们这一拨最终炒的是要达到10倍。他循循善诱地讲课,人情味特浓,特别关心人。

不少受害者告诉记者,他们也曾有过怀疑,但诈骗团伙屡屡用一些大型券商的身份作为背书来迷惑投资者,记者在股票群里看到,一旦有投资者表达出疑惑,马上就会被禁言或踢出群,最后留下的都是一些没有接触过虚拟货币,缺乏金融知识的受害者 。

受害人向记者透露,直到现在他们都没见过这个所谓的证券公司李总,甚至都不知道他的全名。

并且,事后他们才反应过来,“贝特曼虚拟货币交易平台”实际上并不存在,所谓的“虚拟货币”打新和涨跌幅也并不真实,完全是诈骗平台自导自演的数字假象。

五类网络诈骗屡禁不止 警方提示风险

目前,多名受害者已经报案。记者在调查中发现,目前还有很多类似的诈骗团伙仍在行骗。那么,普通投资者应该如何避免被骗?

多名受害者告诉记者,他们最近发现又有新的股票讲课平台和新的数字货币交易平台出现。当他们用自己的手机号及身份证信息注册登录时,发现只要以前在贝特曼交易平台上注册过的人 ,在新的所谓的“奥斯曼交易平台”注册后,账号都显示处于冻结状态无法进入 。

北京市投资者:我发现了一个奥斯曼平台,也是数字货币。内容跟贝特曼一样,就是名字不一样。币种有些区别,其他的操作方式,包括资金管理、新币申购、流水查询等内容都一模一样。

记者又在多个网络平台发现,还有非常多受害者在不同时间也被同样的手段骗过,除了平台名字及讲课老师名字不同,其他行骗手段几乎完全一样。在得知被骗后,多位受害者已经报警。

北京市公安局大兴分局红星派出所 工作人员:这个案子已经立案并展开调查,后期刑警负责查。

警方表示类似的诈骗案件非常多,投资者一定要提高警惕,向陌生账户转账过后,一旦感觉异常,应该立即报警。

目前公安机关发现的诈骗类型已经超过50种,其中5种主要类型案件高发多发,分别是是网络刷单返利、虚假投资理财、虚假网络贷款、冒充客服、冒充公检法。

北京市康达律师事务所律师 夏禹:在此提醒广大投资者应选择正规、合法的投资渠道。谨记“天上不会掉馅饼”,应警惕那些超高收益的投资。

]]>
“赚钱”App拉人头 构成人员链金钱链难逃传销之嫌 Sun, 03 Jul 2022 08:24:23 +0800 看新闻赚现金、刷视频拿红包,甚至走路、睡觉都有人给你“发福利”……人们不禁感叹,在互联网时代,赚钱竟已变得如此容易?近年来,各类“赚钱”App层出不穷,吸引无数民众下载。北京德恒律师事务所合伙人、网络与数据研究中心主任张韬接受《法治日报》记者采访时表示,这类App大多采用“拉人头”的营销手段,平台要严格明晰营销与传销的界限,避免越界。

年轻的宝妈韩迪在空闲时喜欢刷刷短视频,一次某短视频平台弹出的一则“看视频就能轻松赚大钱”的广告吸引了她的注意。通过链接,她下载了该款软件。

“刷一条视频会给相应的音符,10000音符可兑换1元人民币,完成每日签到也会额外获得现金奖励。”因为该软件没有提现限制,因此韩迪在下载后便顺利提现了签到得来的1元钱,此后系统推送消息“提醒”她可以通过“拉人头”的方式赚更多钱。

“首次邀请当日必得35元”的宣传让心动的韩迪将下载链接发给了朋友,在朋友用她发送的链接下载软件后,软件显示钱已到账,系统提醒仍可继续邀请好友下载,不断扩充资金,但在成功邀请3位好友后,韩迪在此后又陆续邀请了5位新人注册,但软件均显示邀请失败,没有再发放相应奖励。

使用软件后,韩迪也发现如果不靠“拉人头”,单靠刷视频的收益很低,而平台提现有固定档位,除最低的一档是0.3元外,其余档位最低也要15元,金额不够就无法提现,只能去挖新用户,赚取“人头费”。

与韩迪相比,在北京从事个体生意的李博不但没从一款同样号称“刷视频赚钱”的App中赚到钱,反而还“搭了钱”。他使用的这款App通过刷视频获取代币来兑换现金,但代币兑现,平台要扣不少手续费,解决方案有两个,一是通过拉新人加入,拉的人越多,获取代币越多,提现手续费也会相应降低;二是通过充值购买一定数量代币,以解锁一些高等级任务,获取更多代币。但在充值后,李博发现作任务依旧收益甚微,坚持一个月的收益还不及充值费用。

当前在手机应用市场中,打着“赚钱”噱头的App不在少数,且覆盖领域很广。记者下载几款软件后发现,此类软件在使用过程中基本都会插入其他同类型软件广告,并以红包图标或“点击赚钱”等字样吸引用户下载。

构成“人员链”“金钱链”恐涉嫌传销

每款“赚钱”软件几乎都在宣称无套路,但记者实测后发现,除了在提现环节困难重重外,这类软件一个最核心的套路就是“拉人头”,用户要想获得高收益,必须拉更多人“入伙”。

事实上,“拉人头”的方式并非“赚钱”类App独有,当前很多软件都有所谓的“拉新”优惠手段来提高下载量和流量。

“根据2005年施行的《禁止传销条例》中关于传销的定义,‘拉人头’行为属于传销的其中一种表现形式。”张韬提醒,在App“拉人头”行为愈加频繁的当下,应警惕其滑向传销违法行为。

此前,也有包括“趣步”等App因涉嫌传销被相关部门调查,如何区分哪些是正常的营销手段,哪些涉嫌传销?

张韬指出,根据《禁止传销条例》规定,传销是指组织者或者经营者发展人员,通过对被发展人员以其直接或者间接发展的人员数量或者销售业绩为依据计算和给付报酬,或者要求被发展人员以交纳一定费用为条件取得加入资格等方式牟取非法利益,扰乱经济秩序,影响社会稳定的行为。

基于这一定义,张韬认为,如果在App营销过程中,组织者或者经营者要求成员发展下级成员,并根据其直接或间接发展的下级成员人数给予经济奖励,则可能构成传销。比如,某些App鼓励用户发展下线,在给予红包返现奖励的同时又把用户分成一星达人、二星达人、三星达人等级别,等级与发展下线人数成正比,每级有高低不等的分成奖励,便可能涉嫌构成传销。

此外,如果在App营销过程中收取所谓入门费,比如要求被发展人员以交纳一定费用或者以认购商品等方式变相交纳费用为条件来取得加入资格的,也有可能涉嫌构成传销。

网经社电子商务研究中心特约研究员赵占领进一步指出,App“拉人头”行为是否构成传销要看是否构成了“人员链”和“金钱链”。具体而言,“人员链”就是通过发展下线,使得老用户、新用户之间构成上下层级,组成上下线的人际网络;“金钱链”则是以参加者本人直接和间接发展的下线人数为依据计算和给付报酬,或者每一级都可以从下一级加入的会员费或其他费用中抽取一定的提成或佣金。

在中国政法大学传播法研究中心副主任朱巍看来,对于App“拉人头”的营销模式不能“一刀切”地草率认定为传销,而是应结合用户发展模式和规则、给予经济奖励的依据、计算和给付报酬的规则等因素来综合判断。

朱巍曾研究过一些以“拉人头”作为营销手段的软件,发现这类软件大多没有对人员层级进行划分,只是用红包、返现等手段鼓励用户不断推荐新用户注册使用,虽然往往会在提现环节设置一定的套路,甚至存在欺骗误导用户的行为,但单就此类“拉人头”的行为来说,并不属于传销范畴。

需强化应用程序平台审查义务

某App以秒杀商品、推销商品、提供服务等虚假商品交易为名,通过返还收益金、奖励购物金、补贴金等形式,发展区域经理、区域总监,诱使会员不断“拉人头”发展下线以获取收益、赚取差价,不断扩大资金交易链;某App通过要求会员向其上线购买“欢乐豆”,再用“欢乐豆”在App内抢购平台推出的虚假商品订单,加价后向下级会员转卖以获取差价,通过虚假订单在会员间逐级流转获利……近年来,相关部门公布了多起利用App进行网络传销的案例。

在赵占领看来,相比传统的线下传销,披着“互联网+”外衣的线上传销模式层出不穷,隐蔽性更强,涉及人数更多,金额更高,危害性也更大,在一些利益驱使之下,民众缺乏甄别能力,容易“中招”。这就需要网信、市场监管、公安等相关部门加大对此类行为的监管力度,形成监管合力,并及时发布预警信息,提高民众意识。同时应考虑发布相关规范,对App“拉人头”的营销手段进行规制,防止越界。

张韬对此表示认同,他补充指出,现有法律对传销行为的种类进行了规定,但未对具体判断的标准作出进一步的细化规定,不明确的违法标准也会助长经营者的投机主义行为,建议应针对新形态的网络传销类型,规定传销行为的具体判断标准。

“此前一些曾因‘拉人头’发展下线而涉嫌网络传销被查处下架的App,有不少又通过‘改头换面’的方式,以另外一款App重新上架出现。”张韬认为,这与现行的《移动互联网应用程序信息服务管理规定》(以下简称《管理规定》)中对应用程序平台的审查义务要求不高有关。

“应在法律法规中着重强化应用程序平台的义务。”张韬指出,2022年1月发布的《管理规定》修订征求意见稿大大强化了应用程序平台的审查义务,要求应用程序分发平台应当建立健全管理和技术措施,及时发现防范应用程序违法违规行为。可考虑将利用应用程序进行传销作为应用程序平台应当及时发现防范的违法行为之一来进行强调。同时,应引导应用程序平台对采取类似“拉人头”营销模式的应用程序进行特别监督,在平台对其风险进行警示和标识,一旦发现其营销“失控”演变为传销时,应当及时采取暂停服务、下架等处置措施,保存记录并向有关部门报告。

]]>
南美洲金融中心里约财政系统遭勒索攻击,420GB数据被盗 Sun, 03 Jul 2022 08:24:23 +0800 4月22日,巴西里约热内卢州的财政大臣披露,目前该部门正在处理一起针对其系统的勒索软件攻击。

LockBit勒索软件团伙宣称为此次事件负责。他们入侵了接入政府办公室的系统,并窃取到约420 GB数据。该团伙还威胁,将在今天(25日)公布这批被盗数据。

里约热内卢州财政大臣发言人在声明中表示,在发现网络犯罪分子入侵系统并发出威胁后,他们已经联系了巴西数字犯罪执法机构。

发言人指出,“在上周四(21日)发出的威胁中,恶意黑客要求支付赎金,否则将披露据称窃取自Sefaz-RJ系统中的数据。这批失窃数据约占州财政部门全部数据存储量的0.05%。”

里约热内卢市是巴西第二大城市,GDP仅次于圣保罗,同时也是巴西国家石油公司、巴西国家电力公司、巴西联邦储蓄银行、国家经济和发展银行、巴西淡水河谷等多家国有企业的总部所在地。

作为南美洲的金融中心之一,里约热内卢GDP在全球所有城市中排名第30位。2021年,该市出口商品总值达325亿美元。

信息与通信技术副秘书处也在接受媒体采访时指出,他们已经提出与警方合作开展调查。

发言人还提到,“自2020年以来,副秘书处一直将加强信息安全作为优先工作。也正是归功于此,本次攻击并没有造成特别严重的后续影响。”

“这就是此前防范行动的有效性实证。”

据威胁情报厂商Recorded Future维护的勒索软件追踪计划来看,LockBit在今年年内已经仅次于Conti团伙,成为活跃度第二高的勒索软件组织。数据还显示,今年他们已经至少攻击了650个目标组织。

2021年8月,澳大利亚网络安全中心(ACSC)曾发布公告,警告称LockBit勒索软件攻击数量正在激增。

该团伙自2019年9月起一直保持运营,但一直处于边缘位置,直到后来开发出LockBit 2.0勒索软件即服务的全新平台版本。

随着Darkside、Avanddon、REvil等黑客团伙的消亡或退出,LockBit已经成为当下最为常见的勒索软件即服务平台之一。

]]>
17款App涉嫌超范围采集个人隐私信息被点名 Sun, 03 Jul 2022 08:24:23 +0800 国家计算机病毒应急处理中心近期通过互联网监测发现17款移动App存在隐私不合规行为,违反网络安全法、个人信息保护法等相关规定,涉嫌超范围采集个人隐私信息。

1、未向用户明示申请的全部隐私权限,涉嫌隐私不合规。涉及16款App如下:

《优顾炒股》(版本6.6.73,360手机助手)、《牛股王股票》(版本6.2.7,360手机助手)、《广发易淘金》(版本10.1.0.0,百度手机助手)、《西部证券》(版本4.0.3,华为应用市场)、《e海通财》(版本8.75,乐商店)、《国联证券尊宝》(版本6.01.031,乐商店)、《大智慧》(版本9.47,豌豆荚)、《中国银河证券》(版本6.0.5,豌豆荚)、《阿牛智投》(版本6.2.7,豌豆荚)、《万和手机证券软件》(版本9.00.26,豌豆荚)、《汇通启富》(版本6.6.4.0,豌豆荚)、《新时代证券》(版本6.0.1.0,小米应用商店)、《中邮证券》(版本7.1.2.0,小米应用商店)、《中山证券》(版本6.3.3,小米应用商店)、《东亚前海悦涨》(版本4.2.0,小米应用商店)、《国元智富》(版本8.89,小米应用商店)。

2、App在征得用户同意前就开始收集个人信息,涉嫌隐私不合规。涉及1款App如下:

《财通证券》(版本9.9.3,豌豆荚)。

3、未提供有效的更正、删除个人信息及注销用户账号功能,或注销用户账号设置不合理条件,涉嫌隐私不合规。涉及9款App如下:

《广发易淘金》(版本10.1.0.0,百度手机助手)、《西部证券》(版本4.0.3,华为应用市场)、《e海通财》(版本8.75,乐商店)、《国联证券尊宝》(版本6.01.031,乐商店)、《万和手机证券软件》(版本9.00.26,豌豆荚)、《汇通启富》(版本6.6.4.0,豌豆荚)、《新时代证券》(版本6.0.1.0,小米应用商店)、《中邮证券》(版本7.1.2.0,小米应用商店)、《东亚前海悦涨》(版本4.2.0,小米应用商店)。

4、未建立、公布个人信息安全投诉、举报渠道,或超过承诺处理回复时限,涉嫌隐私不合规。涉及1款App如下:

《中邮证券》(版本7.1.2.0,小米应用商店)。

针对上述情况,国家计算机病毒应急处理中心提醒广大手机用户首先谨慎下载使用以上违法、违规移动App,同时要注意认真阅读其用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据,避免个人隐私信息被泄露。

]]>
试用会员后接连扣费 夸克自动续费玩套路? Sun, 03 Jul 2022 08:24:23 +0800 “0.01元会员免费试用”你是否见过类似的广告呢?是否又被这样的说法套路过呢?近日,市民吴先生告诉信网,自己使用的“夸克App”就存在0.01元试用后自动续费的问题,在自己未知情的情况下连续两次扣款,而想退费就需要经过一系列的复杂操作。对此,夸克工作人员韩先生告诉信网,对于次月会进行收取会员费的情况,都是有相关的协议和提示,平台方都会进行标注,相关的条文条款也会进行注明。

据了解,“夸克”是一家成立于2014年的移动社交及生活服务的公司,其中包含智能搜索及网盘等,吴先生就是在使用网盘时,陷入了自动续费的“套路”。

“我当时看着这款网盘在做广告,上面写着0.01元免费试用,我又刚好要使用网盘处理文件,就直接开通了。”2022年2月11日,吴先生以0.01元的价格开通了3天免费试用,本以为三天之后会员将自动失效,就一直搁置且未进行任何操作。但是让他没想到的是,在之后的两个月内,发生了连续扣费。

吴先生表示,夸克于3月16日、4月15日分别扣费20元,吴先生说,自己根本不知道这款App的会员会进行自动续费,并且在扣款详情中也未标清扣款的对象,只有备注中写着“免费试用,包月切换。”因此,这才反应过来是夸克进行的会员扣费。

在扣费之后,吴先生也曾多次想进行取消,“这太复杂了,根本找不到相关入口,开通会员只用一分钟,取消会员却要用半小时。”吴先生表示,最后还是通过网络上的教程取消了包月。

为体验相关操作流程,信网下载了夸克App,在办理会员的过程中,操作十分简单,点击即开通。但是想要进行取消,至少需要4-5级页面,由于吴先生使用的是苹果手机,则需要通过手机中的App store跳转至个人中心,在点击“订阅”按钮,并在这级页面中寻找要取消的包月服务,再次选中后才可进行取消,这样才算退订完成。开通时的轻快便捷与如此冗长的取消流程形成了鲜明对比。

夸克的工作人员韩先生告诉信网,有关吴先生的情况,会进行联系与核实,询问其事情经过,核实后会给出相应的解决方案。“对于次月收取会员费的情况,都是有相关协议和提示,平台方都会进行标注,相关的条文条款也会进行注明。”

对此,青岛市消费者委员会的工作人员表示,根据相关规定,自动续费到期前必须提前告知消费者,且不能将默认不回复当成同意,消费者可搜集好相关证据进行投诉。

根据2021年5月1日施行的《网络交易监督管理办法》,其中明确规定了,对于自动续费应当在消费者接受服务前和自动展期、自动续费等日期前五日,以显著方式提请消费者注意,由消费者自主选择,并且在服务期间内,应当为消费者提供显著、简便的随时取消或者变更的选项。由此看来,时至今日若依旧存在“套路”自动续费,则涉嫌违法。

根据企查查的相关信息显示,夸克是由优视科技(中国)有限公司研发的产品,该公司于2014年04月01日在广州市工商行政管理局天河分局登记成立。法定代表人为朱顺炎,由优视科技(亚洲)有限公司100%持股。

据了解,智能搜索和网盘都是夸克主打亮点。夸克也是由UC内部孵化而来的产品,UC则于2014年整合并入阿里巴巴集团。

]]>
针对网络暴力,中央网信办出手! Sun, 03 Jul 2022 08:24:23 +0800 为有效防范和解决网络暴力问题,切实保障广大网民合法权益,近日,中央网信办就加强网络暴力治理进行专门部署,要求网站平台认真抓好集中整治,建立健全长效机制,确保治理工作取得扎实成效。

中央网信办有关负责人表示,这次“清朗·网络暴力专项治理行动”主要聚焦网络暴力易发多发、社会影响力大的18家网站平台,包括新浪微博、抖音、百度贴吧、知乎等,通过建立完善监测识别、实时保护、干预处置、溯源追责、宣传曝光等措施,进行全链条治理。一是建立健全识别预警机制,进一步细化网络暴力信息分类标准,强化行为识别和舆情发现,及时预警网络暴力苗头性、倾向性问题。二是建立健全网络暴力当事人实时保护机制,调整私信功能规则,及时过滤“网暴”内容,强化“一键防护”等应急保护措施,建立快速取证和举报通道,加大弹窗提醒警示力度,加强重点群体救助保护。三是严防网络暴力信息传播扩散,以社交、直播、短视频、搜索引擎、新闻资讯和榜单、话题、群组、推荐、弹窗等环节为重点,及时清理处置涉及网络暴力的评论、弹幕等内容。四是加大对违法违规账号、机构和网站平台处置处罚力度,针对首发、多发、煽动和跟风发布等不同情形,分类处置网络暴力相关账号,连带处置违规账号背后MCN机构,严肃问责处罚失职失责网站平台,会同有关部门依法追究相关人员法律责任。五是强化警示曝光和正向引导,及时公布典型案例处置情况,推动权威机构和专业人士友善评论、理性发声。

中央网信办有关负责人强调,重点网站平台要按照统一部署,结合平台特点进一步细化明确目标要求、工作措施和完成时限,抓好任务落实。中央网信办将组织督导检查,对于落实不力、问题突出的网站平台,采取严厉处置处罚措施。互联网不是法外之地,各网站平台要加强宣传,引导广大网民严格遵守法律法规,尊重社会公德和伦理道德,共同抵制网络暴力行为,坚决防止网民遭受网络暴力侵害。

]]>
北美国家财政系统遭勒索攻击:税务海关停摆,已危及国家稳定 Sun, 03 Jul 2022 08:24:23 +0800 近一周来,一次勒索软件攻击致使北美洲国家(位于美洲中部)哥斯达黎加共和国政府(以下简称“哥国”)的计算机系统陷入瘫痪。哥国政府拒绝支付赎金,面对恶意黑客开始公布被盗数据的情况,正努力为潜在后果做好准备。

位于俄罗斯的勒索软件团伙Conti已经宣布对此次攻击负责,但哥斯达黎加政府尚未发表相关细节的公告。

财政部受影响最严重,系统瘫痪、纳税人信息被盗

哥国财政部在周一(4月18日)首先报告了网络攻击事件。从税费征收到海关出口,财政部下辖的许多系统都受到攻击影响。随后,恶意黑客又针对社保部的人力资源系统和劳工部等其他目标发起攻击。

这次攻击导致财政部覆盖国内大部分公职人员的支付系统关停数小时,该系统同时也负责处理政府的养老金支付服务。由于支付服务无法正常进行,财政部不得不批准延期纳税政策。

Conti团伙没有公布具体赎金数额。社交媒体上有传闻称,黑客团伙开出了1000万美元的价码,但Conti团伙网站上并没有相应佐证。

哥国总统Carlos Alvardao表示,“哥斯达黎加绝不会向网络犯罪分子支付任何赎金。”

哥国财政部长Elian Villegas周三(4月20日)表示,黑客在入侵财政部海关平台后访问了 “敏感”的纳税人历史信息,但没有具体说明被泄露的数据量。

哥国企业担心,提交给政府的机密信息被黑客团伙获取,进而被公开或滥用。普通公民则担心,自己的个人财务信息可能被用于入侵其银行账户。

税务海关等平台停摆4天多,出口业务损失惨重

据路透社4月22日报道,包括税务和海关在内的一些平台连续第四天暂停运营,导致进出口出现瓶颈。哥斯达黎加出口商会在周三报告称,损失了2亿美元。

该商会执行董事Christian Rucavado表示,针对海关机构的网络攻击,已经影响到该国的进出口物流。滞留在冷库中的货品正慢慢腐烂,这是一场与时间的赛跑,而且暂时无法确定具体经济损失。贸易业务仍在继续,但运行速度远不及平常。

Rucavado解释道,“现在很多流程只能手动完成,不少边境部门出现了工作延误。我们已经要求政府采取相关补救措施,比如延长上班时间,保证进出口工作及时完成。”

他还提到,哥斯达黎加正常情况下的日均出口商品价值达3800万美元。

攻击者有俄罗斯背景,实施了双重勒索

威胁情报厂商Recorded Future的分析师Allan Liska表示,Conti团伙正在实施双重勒索:加密政府文件以破坏各部门的正常运作;如果收不到赎金,就将被盗文件公布在暗网的团队勒索网站。

Liska说,如果这些系统拥有良好备份,可以解决第一点;但如果被盗数据敏感度较高,将很可能引发大麻烦。

Liska透露,Conti团伙经常将其勒索软件基础设施,出租给愿意付钱的任何“附属团伙”,所以此次攻击的真正幕后黑手可能来自世界任何地方。

一年前,Conti勒索软件攻击曾迫使爱尔兰卫生部门关闭IT系统,大量预约、治疗与手术也被迫取消。

今年2月底,Conti团伙在俄乌冲突中声称支持俄罗斯。此举激怒了同情乌克兰的地下黑客,一位自称长期监控Conti团伙动向的安全研究员,因此公布了大量Conti内部聊天记录、代码等敏感数据。

总统称攻击者试图破坏国家稳定,安全专家认为只是金钱勒索

作为美洲中部地区政局最稳定、野生动物丰富、拥有美丽热带海滩的国家,哥斯达黎加为什么会被黑客团伙盯上?对此Liska认为,可能只是因为该国系统中的漏洞太多。“黑客团伙会搜寻特定漏洞。最可能的推测是哥政府系统中存在大量漏洞,有勒索软件黑客发现了这些漏洞并决定出手攻击。”

Emsisoft公司勒索软件分析师Brett Callow表示,他看到了哥斯达黎加财政部泄露的一份文件,“其中的数据看起来的确真实可信。”

周五(4月22日),Conti团伙在暗网博客上宣称,已经公布了50%的被盗数据,其中包含来自哥财政部及其他机构数据库的总计850 GB数据。该团伙说,“这些都是网络钓鱼的好素材,希望哥斯达黎加的黑客同行们能利用起来好好赚一笔。”

哥国总统Alvarado曾认为此次攻击与经济利益无关,但以上信息明显跟这一判断存在冲突。

Alvarado说,“在我看来,这次攻击并不是要图财,而是在威胁哥国政府换届期间的局势稳定。”他指的是自己即将卸任,新一任总统将于5月8日宣誓就职的过渡阶段。“他们绝不会得逞。”

Alvarado还暗示,这次攻击很可能源自哥斯达黎加曾公开反对俄罗斯入侵乌克兰。他强调,“数字世界中的种种,跟全球地缘政治局势有着千丝万缕的联系。”

]]>
《安联智库-网安周报》2022-04-24 Sun, 03 Jul 2022 08:24:23 +0800

1、上海回应“面粉官网是非法网站”:疏于运维被“黑”

4月23日消息,网上有消息称浦东新区居民收到了政府发放的“华统”牌面粉,其包装上的官网网址竟是一家赌博色情网站。
对此,上海辟谣平台向面粉生产企业山东华统面业有限公司核实获悉,浦东新区居民收到的面粉确为其工厂生产,面粉包装上的网址是其公司官网网址,但由于近期疏于运维,网页被不法分子篡改成非法赌博色情网站。
相关公司工作人员告诉上海辟谣平台,公司在22日接到有关反映后,即第一时间报警,目前警方已立案侦查。但由于官方网站是委托第三方公司建立的,服务器并不在公司内,公司目前仍无法改回官网内容,正等候警方处理。
业内人士对此表示,网站遭遇“劫持”多半与网站的网络安全管理不善引起。尤其对一些中小型企业,如网站“管理后台”密码设置过于简单,网络安全防护不到位,就容易遭到黑客攻击,导致后台管理权限及域名被劫持的情况。网信部门会对不法网站进行封堵,在此提醒相关网站负责人发挥主体责任,加强网站的日常运维和防护措施。
2、ALAC音频格式存漏洞,全球超半数 Android 用户隐私受威胁

4月21日,Check Point在其官方博客披露,研究人员在去年发现了 ALAC 格式的漏洞,这些漏洞可能导致攻击者远程访问目标设备中的媒体和音频对话。

ALAC是苹果公司2004年开发的一种无损音频格式,并于2011年正式开源。Check Point 发现,全球最大的两家移动芯片组制造商——高通和联发科都将易受攻击的 ALAC 代码移植到其音频解码器中,全球一半以上的智能手机都在使用这些解码器。

研究人员发现,该漏洞会让攻击者利用格式错误的音频文件,在目标设备上执行远程代码执行攻击 (RCE),并可进一步控制用户的多媒体数据,包括利用设备的摄像头拍摄音视频。此外,该漏洞允许特定安卓应用提权,并获得对媒体数据和用户对话的访问权。

Check Point已向联发科和高通共享了调查结果,协助处理漏洞问题。联发科将 ALAC 漏洞跟踪为 CVE-2021-0674 和 CVE-2021-0675,而高通将其跟踪为 CVE-2021-30351。这些漏洞已在2021年12月得到了修复。

3、Lapsus$黑客入侵T-Mobile的系统并窃取其源代码

Lapsus$黑客组织在3月发生的一系列网络入侵事件中窃取了T-Mobile的源代码,T-Mobile在一份声明中确认了这次攻击,并说"被访问的系统不包含客户或政府信息或其他类似的敏感信息"。在一份私人信息副本中,Lapsus$黑客组织讨论了在其七名青少年成员被捕前一周针对T-Mobile的攻击。

在网上购买了员工的凭证后,这些成员可以使用公司的内部工具--如T-Mobile的客户管理系统Atlas来进行SIM卡交换攻击。这种类型的攻击涉及劫持目标的移动电话,将其号码转移到攻击者拥有的设备上。从那里,攻击者可以获得该人的手机号码所收到的短信或电话,包括为多因素认证而发送的任何信息。

Lapsus$黑客还试图破解联邦调查局和美国国防部的T-Mobile账户。他们最终无法做到这一点,因为需要额外的验证措施。

多年来,T-Mobile已经成为数次网络攻击的受害者。虽然这次特定的黑客攻击没有影响客户的数据,但过去的事件却影响过客户的数据。2021年8月,一个漏洞暴露了属于4700多万客户的个人信息,而就在几个月后发生的另一次攻击暴露了"少量"的客户账户信息。

4、哥斯达黎加政府部分网络系统因遭黑客攻击 仍处于关闭状态

截至当地时间4月22日,因遭到国际黑客攻击,哥斯达黎加部分政府公共服务网络仍处于关闭状态。哥斯达黎加总统阿尔瓦拉多此前一天对此表示谴责。他表示,哥斯达黎加不会向国际黑客组织妥协,目前有关部门正在加紧网络管理技术升级,加固网络安全,同时评估泄漏数据的规模和损失,与国际组织和公司合作,加紧恢复受损系统。

当地时间18日,哥斯达黎加财政部的网络系统就遭到黑客攻击,政府随即采取预防性措施,关闭了部分系统。该国养老金、公共系统薪酬支付以及税收、进出口系统均受到不同程度影响。

据当地媒体报道,目前已有包括社会保障、劳工部等在内的至少6个政府部门的网络系统遭到了黑客攻击。

]]>
上海回应“面粉官网是非法网站”:疏于运维被“黑” Sun, 03 Jul 2022 08:24:23 +0800 4月23日消息,网上有消息称浦东新区居民收到了政府发放的“华统”牌面粉,其包装上的官网网址竟是一家赌博色情网站。

对此,上海辟谣平台向面粉生产企业山东华统面业有限公司核实获悉,浦东新区居民收到的面粉确为其工厂生产,面粉包装上的网址是其公司官网网址,但由于近期疏于运维,网页被不法分子篡改成非法赌博色情网站。

相关公司工作人员告诉上海辟谣平台,公司在22日接到有关反映后,即第一时间报警,目前警方已立案侦查。但由于官方网站是委托第三方公司建立的,服务器并不在公司内,公司目前仍无法改回官网内容,正等候警方处理。

IT之家了解到,山东华统面业有限公司始建于1994年,营业范围包含食用农产品初加工、批发、零售等。目前经营状态正常。

业内人士对此表示,网站遭遇“劫持”多半与网站的网络安全管理不善引起。尤其对一些中小型企业,如网站“管理后台”密码设置过于简单,网络安全防护不到位,就容易遭到黑客攻击,导致后台管理权限及域名被劫持的情况。网信部门会对不法网站进行封堵,在此提醒相关网站负责人发挥主体责任,加强网站的日常运维和防护措施。

]]>
数据交易危害国家安全!多家中介公司公开叫卖美军人员信息 Sun, 03 Jul 2022 08:24:23 +0800 美国几家市值数十亿美元的数据经纪公司被发现,正在出售所掌握的军队人员个人信息。网络安全专家和国会议员认为,这些公司的举动未受到应有的监管,并对国家安全构成了严重威胁。

数据经纪公司正在 公开叫卖军人信息

长期追踪数据经纪公司商业活动的网络安全专家、大西洋理事会网络治国倡议研究员、杜克大学政策研究室网络政策研究员贾斯汀・谢尔曼说,Axciom、LexisNexis和NielsenIQ三家大型数据经纪公司均有出售现役或退役军人个人数据的行为。

他指出,数据经纪公司收集和出售的个人数据范围广、种类多,不仅包括个人心理健康情况、信用卡交易明细、互联网搜索记录,还包括GPS实时定位信息以及政治倾向等。收集完成后,这些信息将被打包成卷,其详细程度堪称“危险级别”,可以很容易被用来对某人进行“人肉搜索”,并确认其是否现役军人。

谢尔曼说,美国目前没有任何审查程序可以对数据经纪公司出售的数据进行筛查,或监督已售数据是如何被使用的。“所以,美国的敌对国家可以很容易地开设一家表面上与政府毫无关联的空壳公司或幌子公司,然后通过这家公司购买所有需要的信息。要知道,从数据经纪公司手里购买目标人物的敏感信息所花费的成本是非常低的,”他说。

俄罗斯互联网研究局等外国机构可以利用唾手可得的美国军人及其家庭的数据,轻而易举地支持政府的信息作战、网络胁迫和敲诈或情报收集等活动。

缺乏法律约束威胁国家安全

美国共和党参议员比尔・卡思迪已注意到数据经纪公司的行为,并在去年12月举行的参议院金融委员会听证会上强调了对数据经纪公司带来的国家安全隐忧的担心。“目前无法阻止数据经纪公司向敌对国家出售军队人员个人信息的行为,”他说。“这类行为不但危险,而且对我们的国家安全构成巨大威胁。”

贾斯汀・谢尔曼对参议员的担心表示认可。他说,美国国内目前没有任何报告或执行机制监督此类行为的发生。美国的两项现行法律,《家庭教育权和隐私法案》(FERPA)和《医疗保险可携性和责任法案》(HIPAA)“只限制了特定实体对个人健康和教育信息的收集,许多心理健康APP、教育市场公司以及中介公司并不属于被限制对象,上述两项法案无法保证这些信息不被数据经纪公司获得,”他说。

“从这个角度上说,目前美国的数据经纪公司几乎不受监管,可以随意编撰美国公民的个人材料并在公开市场上肆意叫卖。对国家安全来说这是一个巨大的威胁……外国人可以旁若无人地走上来,把美国公民的敏感数据买走。”

为保护军人或其他美国公民的个人信息不再被贩卖,贾斯汀・谢尔曼在去年的一份报告中呼吁对数据经纪公司进行全面、广泛的审查,以“防止数据经纪公司把美国公民的信息出售给外国实体”。

卡思迪、尤恩・奥索福和罗恩・威登等几位参议员则在推动相关法律的出台,建议禁止向不友好的外国公司和政府出售个人数据,并将数据经纪公司向敌对国家出售军人数据与信息的行为标定为非法。

相关方对数据流失反应冷淡

经纪公司造成数据流失的危害已逐渐显露出来。据称2020年7月联邦法官埃瑟・萨拉斯(Esther Salas)之子在其住所外被杀害,背后就有数据经纪公司的影子。凶手就是从一家数据经纪公司手里买到了法官的住址。萨拉斯在接受《纽约时报》采访时愤怒地谴责,法官们的住址、住宅照片以及车辆牌照等信息可以很容易地从网上或数据经纪公司手里获得。

“就我儿子的案件而言,枪手很轻松地获得了诸如我的上班路线、我的密友名单、我常去的教堂等信息,构建出我的生活档案,悄悄潜入我的社区,”萨拉斯说。“所有这一切都完全合法。枪手合法地获得了我的个人信息,然后夺走了我们唯一的孩子的生命。”

军人信息流失或泄露会造成国家安全层面上的危害。比如2018年1月,媒体和研究人员发现,使用Strava应用软件的健身爱好者竟然因为发布个人锻炼热力地图而暴露了秘密军事基地以及CIA秘密监狱的存在。美国公民自由联盟高级技术员丹尼尔・凯恩・吉尔摩尔因此建议,包括军人在内的个人在使用Strava、Waze或Google Maps等地图软件时,应该时刻提防自己的位置信息遭到数据经纪公司的分享。

尽管如此,相关方对数据流失一事反应仍十分冷淡。

美国国防部发言人只是通过邮件发布声明,称本部门“已获悉此事,正实施一系列方案帮助现役和退役人员保护各自的私人信息”。

被批评出售军人信息的三家公司中,Axciom和NielsenIQ并未对此事做出回应,LexisNexis公司则在声明中辩解称,本公司“只在联邦法律允许的情况下,配合银行和其他金融机构的要求严格使用军人的个人信息。除此之外,我们在商业活动中并未使用与军队人员有关的数据“。

吉尔摩尔表示,一切都是利益使然。“这些数据经纪公司的任务只是让本公司的利益最大化,”吉尔摩尔说。“他们掌握着海量数据。这时如果有人过来对他们说,‘我们用一大笔钱换你们的数据,’他们又有什么理由拒绝呢?”

]]>
在线会议APP开启静音后,仍在收集麦克风数据 Sun, 03 Jul 2022 08:24:23 +0800 研究人员发现在线会议APP静音按钮后仍在收集麦克风数据。

受新冠疫情影响,全球对在线视频会议应用的需求暴涨。近日,研究人员对主流在线视频会议应用进行分析,发现按下静音键后可能并没有静音,应用可能仍然在使用用户麦克风。

当前在线视频会议应用主要基于iOS、安卓、Windows和Mac操作系统。研究人员对选定APP进行了运行时二进制文件分析以确定每个APP收集了哪一类数据,以及数据是否构成隐私威胁。测试的APP包括Zoom、Slack、微软 Teams/Skype、Google Meet、Cisco Webex、BlueJeans、WhereBy、GoToMeeting、Jitsi Meet和Discord。

研究人员追踪了APP以及底层操作系统驱动在网络上传输的原始数据,以确定用户按下静音按钮后的变化。

Windows 10系统在线视频会议系统数据流

研究人员分析发现无论静音的状态如何,所有的APP都会定时收集音频数据,除了使用浏览器软件静音特征的web客户端。

比如,Zoom在静音状态下也会追踪用户是否在讲话。Cisco Webex在用户按下静音按钮后仍然会从用户的麦克风接收音频数据,并传输给厂商的服务器,这与没有按下静音按钮的数据流是一致的。这与webex的隐私政策描述是不相符的。

研究人员APP收集的数据可以用于进一步分析用户行为。研究人员发现在82%的情况下可以利用一个简单的机器学习算法对用户按下静音按钮后从麦克风收集的用户数据来成功推测用户行为,包括按键盘、做饭、吃、听音乐、打扫卫生等。

收集的用户音频数据分类

即使厂商的服务器是安全的,传输线路也是加密的,其雇员也不会滥用这些数据,但仍然可能有攻击者利用中间人攻击来对用户发起攻击。

4月15日,Cisco 回应称,Webex会收集麦克风的遥测数据来告知用户其是静音状态。

2022年1月,Cisco已经不再传输麦克风的遥测数据了。隐私建议

首先,阅读隐私策略以确定数据是如何管理的,以及使用此类在线视频会议软件的潜在风险是什么。

第二,如果麦克风是通过USB或其他设备连接到计算机的,那么可以在静音时拔掉麦克风。

第三,使用操作系统的音频控制设置来对麦克风的输入信道静音,这样的话,所有的APP都不会收到音频输入。

]]>
哥斯达黎加政府部分网络系统因遭黑客攻击 仍处于关闭状态 Sun, 03 Jul 2022 08:24:23 +0800 截至当地时间4月22日,因遭到国际黑客攻击,哥斯达黎加部分政府公共服务网络仍处于关闭状态。哥斯达黎加总统阿尔瓦拉多此前一天对此表示谴责。他表示,哥斯达黎加不会向国际黑客组织妥协,目前有关部门正在加紧网络管理技术升级,加固网络安全,同时评估泄漏数据的规模和损失,与国际组织和公司合作,加紧恢复受损系统。

当地时间18日,哥斯达黎加财政部的网络系统就遭到黑客攻击,政府随即采取预防性措施,关闭了部分系统。该国养老金、公共系统薪酬支付以及税收、进出口系统均受到不同程度影响。

据当地媒体报道,目前已有包括社会保障、劳工部等在内的至少6个政府部门的网络系统遭到了黑客攻击。


]]>
FBI警告勒索软件攻击食品和农业公司威胁粮食生产 Sun, 03 Jul 2022 08:24:23 +0800 美国联邦调查局警告食品和农业公司,要做好准备,防止勒索软件操作者在播种和收获季节攻击农业实体。联邦调查局的警告指出,以前在这些季节对6个粮食合作社的勒索软件攻击是在2021年秋收期间进行的,2022年初的两次攻击可能通过破坏种子和化肥的供应而影响种植季节。

"网络犯罪分子可能将农业合作社视为有利可图的目标,由于它们在农业生产中扮演着时间敏感的角色,他们愿意付费,"BlackFog首席执行官兼联合创始人Darren Williams博士说。"去年,我们看到最大的肉类加工公司之一JBS食品公司、价值数十亿美元的乳制品公司Schreiber、位于明尼苏达州的农场供应和谷物营销合作社Crystal Valley以及位于爱荷华州的农场服务提供商NEW Cooperative等受到攻击后,食品供应中断了。"

Williams补充说:"不幸的是,勒索软件攻击正在以无与伦比的速度增加,许多组织仍然依赖过时的技术来防御它们,因此,针对我们的食品供应的破坏性攻击的机会比以往任何时候都高。"

俄罗斯与乌克兰之间近期爆发的战争也凸显了粮食安全问题,这可能会看到许多国家认真对待这一威胁,英国也已经发布了类似的指导意见。

Comparitech公司的安全专家Brian Higgins说:"农民和食品生产已经被网络犯罪分子盯上一段时间了。英国国家网络安全中心(NCSC)在2020年12月发布了指南,美国当局也在跟进,这并不奇怪。犯罪分子总是会在最脆弱的地方攻击他们的目标,以最大限度地施加压力来满足他们的要求。这就是为什么种植和收获季节是农业界特别感兴趣的原因。再加上COVID-19大流行带来的持续的供应链困难,你就会明白为什么这个行业需要提高它的游戏规则并认真对待这些威胁。农民的利润率传统上是非常微薄的,所以一次成功的攻击可能对个别企业或集体造成难以置信的伤害。如果网络犯罪分子来敲门,基本的网络保护必须到位。"

Armis公司的首席信息官Curtis Simpson警告说,"许多食品和农业供应链也是由小型企业促成的。其中一些业务已经受到大流行病的影响,任何此类攻击都可能使他们永远失去业务。再一次,当这种情况发生时,从食品服务提供者到餐馆到医院和消费者的下游业务都会遭遇产品采购问题。"

]]>
Lapsus$黑客入侵T-Mobile的系统并窃取其源代码 Sun, 03 Jul 2022 08:24:23 +0800 Lapsus$黑客组织在3月发生的一系列网络入侵事件中窃取了T-Mobile的源代码,T-Mobile在一份声明中确认了这次攻击,并说"被访问的系统不包含客户或政府信息或其他类似的敏感信息"。在一份私人信息副本中,Lapsus$黑客组织讨论了在其七名青少年成员被捕前一周针对T-Mobile的攻击。

在网上购买了员工的凭证后,这些成员可以使用公司的内部工具--如T-Mobile的客户管理系统Atlas来进行SIM卡交换攻击。这种类型的攻击涉及劫持目标的移动电话,将其号码转移到攻击者拥有的设备上。从那里,攻击者可以获得该人的手机号码所收到的短信或电话,包括为多因素认证而发送的任何信息。

Lapsus$黑客还试图破解联邦调查局和美国国防部的T-Mobile账户。他们最终无法做到这一点,因为需要额外的验证措施。

"几周前,我们的监控工具检测到一个有害行为者使用偷来的凭证进入内部系统,并在这些系统里操作工具软件,我们的系统和程序按照设计工作,入侵被迅速关闭和封闭,所使用的受损凭证也被淘汰了。"T-Mobile事后这样回复。

多年来,T-Mobile已经成为数次网络攻击的受害者。虽然这次特定的黑客攻击没有影响客户的数据,但过去的事件却影响过客户的数据。2021年8月,一个漏洞暴露了属于4700多万客户的个人信息,而就在几个月后发生的另一次攻击暴露了"少量"的客户账户信息。

Lapsus$作为一个主要针对微软、三星和NVIDIA等大型科技公司源代码的黑客组织,已经声名鹊起。据报道,该组织由一名十几岁的主谋领导,还针对育碧公司、苹果健康合作伙伴Globant和认证公司Okta。

]]>
网络安全诉讼风险:首席信息安全官最关心的4个问题 Sun, 03 Jul 2022 08:24:23 +0800 出处:企业网D1Net

网络安全和数据保护将成为法律纠纷的主要驱动因素。那么,首席信息安全官最应该关注哪些网络安全诉讼风险?以及他们能做些什么?本文介绍了首席信息安全官在这一领域中需要关心的四个问题。

网络安全诉讼的威胁足以让企业领导者彻夜难眠,而数据保护、隐私和网络安全法规的日益普及正在给首席信息安全官带来巨大的压力。

根据英国诺顿罗氏律师事务所对250多名法律顾问和内部诉讼从业者进行的年度诉讼趋势调查,网络安全和数据保护将成为未来几年新的法律纠纷的主要驱动因素。三分之二的受访者表示,他们在2021年更容易受到此类纠纷的影响,而2020年这一比例不到一半,而同时更复杂的网络攻击、对远程环境中的员工/承包商的监督更少,以及对客户数据量的担忧都被列为影响因素。

显然,对于首席信息安全官及其企业而言,面临的诉讼风险是非常现实的,但他们最关心的问题是什么,能做些什么呢?

01数据泄露引发诉讼

专门从事技术和合规法律事务的律师兼Cordery公司合伙人Jonathan Armstrong表示,在过去18个月到两年中,企业因数据泄露而面临诉讼的可能性显著增加,尤其是当企业被认为没有很好地处理数据泄露事件时。他补充说:“现在出现数据泄露事件的话,引发诉讼是必然的。”

eSentire公司战略和企业发展副总裁Alex Jinivizian表示,虽然法律行动的倾向由于所在的地理位置而有所不同,但网络攻击的持续规模已导致各国政府、行业和监管机构对安全性做出更明确的判断,为采取更多法律行动打开了大门。他说:“美国人事管理办公室、Equifax、Marriott、Target公司的一些引人注目的数据泄露事件导致了针对这些公司的重大诉讼,涉及网络安全标准较差导致的员工或客户的机密数据丢失。”

Armstrong警告说,这对企业来说可能是相当大的影响。他说,“目前在不同案件中寻求的损害赔偿很高。例如TikTok公司在荷兰面临15亿欧元的诉讼,其他国家也有类似的高额索赔,包括英国和德国。多年来,与数据相关的诉讼也一直是美国企业面临的风险。”

首席信息安全官受到诉讼

网络安全诉讼的风险不仅限于企业,也涉及个人。Signature Litigation公司合伙人Simon Fawell表示,如果没有采取足够的措施来防止数据泄露行为,或者违规的后果处理不当,首席信息安全官本身将面临因失职而受到法律诉讼。

Jinivizian对这一观点表示认同,他说:“首席信息安全官的角色对大中型企业来说从未像现在这样重要,而且在安全事件和数据泄露事件中可能扮演着更重要的角色,在2020年毁灭性的供应链攻击之后,针对SolarWinds公司的首席信息安全官和其他高管的集体诉讼就是明证。”

Armstrong补充说,Uber公司的首席安全官涉嫌试图掩盖与2016年攻击有关的勒索软件的赎金,此次攻击泄露了数百万名用户和司机的数据,这也证明了这一点。

Fawell表示,如果首席信息安全官担任企业董事,那么他们可能会因为数据和隐私泄露而面临股东违规行为。他说,“在英国,股东对企业董事的诉讼一直在增加,在数据泄露导致股东利益受损的情况下,越来越多地考虑对企业董事提出索赔。这反映了其他司法管辖区的趋势,例如在美国,首席信息安全官已经成为因违反职责而备受关注的索赔对象。”

02商业秘密丢失和声誉受损

数据泄露或隐私诉讼的潜在后果包括巨额罚款、民事和刑事处罚、声誉损害以及对股价的不利影响。所有这些都可以单独或组合影响企业和首席信息安全官。Signature Litigation公司的合伙人Alasdair Marshall补充说,如果丢失了重要信息,损失可能会非常大。他说,“例如,如果中间人或代理人发生违规事件并丢失重要信息,可能对另一家公司的声誉造成严重损害的商业机密或信息,这可能会导致重大诉讼。近年来,‘巴拿马文件’和瑞士信贷事件凸显了越来越多的个人寻求获取敏感信息并将其发布到市场上。”

Marshall说,“此外,为诉讼辩护可能既昂贵又耗时。虽然英国的制度允许胜诉方从败诉方那里收回诉讼费用,但很少会全额收回用于法律费用和辅助费用的金额。诉讼还需要首席信息安全官和董事会层面的高度关注,这将更有成效地专注于发展和保护未来的业务。”

ForgeRock公司首席信息安全官Russ Kirby表示,诉讼也可能对网络保险事项产生直接影响,影响保险、续约和新业务等事项。而不会受到诉讼影响的公司和首席信息安全官通常将客户放在首位,他们致力保持透明,尽一切努力帮助客户将影响降至最低,并分享他们计划采取的步骤以确保不会再次发生这种情况。

03法规和要求

专家一致认为,地理因素对于首席信息安全官及其企业面临的诉讼风险尤为重要。例如,英国最高法院在Lloyd诉谷歌案中做出裁决,终止了现有程序框架下的“选择退出”集体诉讼,并强调了根据英国法律提起大规模数据索赔的困难,之后,大规模违规群体诉讼的威胁在英国有所减少。他补充说:“虽然这项裁决没有完全阻止在数据隐私案件中提起集体诉讼的可能性,而且英国法院仍有许多不同的诉讼可能会取得成功,但这对索赔者来说是一个相当大的挫折。”

话虽如此,受数据泄露影响的个人获得赔偿的压力越来越大,在相对不久的将来看到针对数据隐私案件引入某种形式的选择退出集体诉讼制度也就不足为奇了。Fawell说,“英国已经针对竞争主张引入了退出机制,数据隐私将是类似方法的下一个合乎逻辑的领域。”他指出,尽管目前英国大规模集体诉讼的威胁已经减弱,但个人诉讼的威胁仍然非常明显,尤其是在高价值的数据可能受到损害的情况下。他说,“GDPR法规和英国相关的立法提高了人们对数据隐私问题的认识,并更加关注商业交易中的合同条款。”

咨询机构Guidehouse公司的诉讼支持服务负责人、前首席信息安全官Jack O'Meara说,“就美国而言,这些事情可能会变得更加复杂。例如,在美国国防工业基地承包商工作的首席信息安全官需要遵守美国国防采购条例(DFARS)252.204-7012保护涵盖的国防信息和网络事件报告,而在纽约金融机构工作的首席信息安全官需要遵守纽约州金融服务部23NYCRR500对金融服务公司的网络安全要求。”

与此同时,一名法官最近批准了由Kemper保险公司的原告提起的1760万美元的集体和解,该原告指控其违反了加州的《消费者隐私法》,而美国证券交易委员会(SEC)已经针对上市公司提出了新的强制性网络安全披露规则,以及为私募股权和投资公司提供书面网络政策和程序、增强的报告和记录管理。

O'Meara补充说,最终,美国首席信息安全官需要了解其企业合同中包含的特定网络安全要求,还需要了解适用于其行业和地理区域的法规和要求。

04降低诉讼风险

Kirby表示,为了减轻和降低诉讼风险,首席信息安全官必须首先检查他们的安全计划在严格审查下是否“可防御”,是否能够改变和适应新的威胁。他说,“例如,如果它无法解决有关其协议是否符合当地法律和行业标准的问题,那么需要迅速采取行动解决这些问题。”

Fawell列举了以下五个问题,这些问题有助于从诉讼的角度衡量违规响应计划的有效性:

(1)谁是需要联系的主要服务提供商?

(2)内部沟通渠道是什么?谁要求指导律师和其他主要顾问?是首席信息安全官还是需要其他高管批准?

(3)如果系统宕机,处理漏洞的关键人员如何安全沟通?

(4)哪种类型的违规行为最有可能对企业造成影响?谁是最有可能受到影响的交易对手?

(5)与交易对手的合同中的数据隐私条款有什么要求?这些合同中是否有通知要求?

Fawell补充说,“计划的范围至少可以从确保上述问题和其他问题的答案得到考虑,并且处理违规行为的关键人员要知道答案,到完全模拟违规行为到压力测试过程。”

O'Meara表示,首席信息安全官应该能够在需要时提供文件化的政策和程序,包括合规性文件、安全配置设置的屏幕截图、防火墙日志、访问审计日志、用户计算机系统和应用程序访问请求表,以及员工安全培训记录。

Armstrong建议首席信息安全官与习惯于在事件发生之前处理此类风险和诉讼的律师进行接触。他说,“当确实发生了攻击事件时,重要的是不要试图把它当作一个孤立的事件来处理。”

同样,O'Meara建议美国的企业与内部法律顾问合作,以了解诉讼风险以及相关的影响和后果。

Fawell指出,首席信息安全官熟悉企业网络保险政策的条款也很重要,主要是涵盖/不涵盖哪些内容以及发生违规时的通知要求。他说,“保险公司通常应该是最早的联系渠道之一。不仅确保承保范围很重要,保险公司通常也是有关如何处理某些方面违约的信息和建议的良好来源。”

此外,网络安全领导者必须知道在违规后立即记录哪些信息。他说,“重要的是要对所做出的决定及其原因保持清晰的审计跟踪。然而,在处理立即具有挑战性的情况时,以书面形式记录判断错误的评论(通常来自高级人员)并不少见,这在以后的法律诉讼中可能没有帮助。尤其重要的是,每个人都要了解哪些可能在相关司法管辖区受到法律特权的保护,以及哪些不会。”

Armstrong已经看到了这种情况。他说,“特权至关重要。在通常情况下,诉讼当事人很早就要求查看内部备忘录、通讯和报告。如果没有正确设置特权,可能不得不披露所有材料。”

Fawell建议,在可能的情况下,明智的做法是在关键人员之间召开会议,以建立清晰的沟通渠道,并确保审计追踪准确而清晰地详细说明响应过程。

]]>
小心,LinkedIn的求职简历被“坏蛋”盯上了 Sun, 03 Jul 2022 08:24:23 +0800 通常,在如 LinkedIn等平台上寻找工作的求职人员往往会成为被黑客攻击的对象,但现在,有人反其道而行之,将目标对准了企业的招聘人员。

4月21日,网络安全公司eSentire在其官方博客中表示,名为“more_eggs”(更多蛋) 的恶意软件正潜藏至求职简历中,如果企业招聘官打开简历中的附件,恶意软件将自动安装,将恶意代码传递给合法的 Windows 进程,以对企业公司银行账户、电子邮件账户和 IT 管理员账户进行窃取。同时该恶意软件还能通过TeamViewer 传播到其他计算机。

到目前,eSentire已监测到 4起由more_eggs引发的安全事件,其中3起发生在3月底,受到攻击的企业组织包括一家总部位于美国的航空航天国防公司、一家大型英国注册会计师事务所、一家总部位于加拿大的国际商业律师事务所以及加拿大全国人事代理机构。

由于上述4起攻击都被成功阻止,安全研究人员无法确定恶意软件的最终目标是什么,但其实在一年前,more_eggs就已活跃在LinkedIn平台,只是那时的目标与现在恰恰相反,黑客并没有冒充成求职者发送带毒简历,而是盯上了企图寻找工作的专业求职人员,通过向他们发送带有恶意附件的求职邀约窃取其个人数据信息。

对于像more_eggs这样的勒索软件,如果能在航空航天、律师事务所、注册会计师事务所和企业人事代理机构的系统环境中站稳脚跟可能非常有利可图,可用来实施部署勒索软件、窃取知识产权、窃取公司银行账户凭证或进行商业电子邮件欺诈等行为。

]]>
ALAC音频格式存漏洞,全球超半数 Android 用户隐私受威胁 Sun, 03 Jul 2022 08:24:23 +0800 4月21日,Check Point在其官方博客披露,研究人员在去年发现了 ALAC 格式的漏洞,这些漏洞可能导致攻击者远程访问目标设备中的媒体和音频对话。

ALAC是苹果公司2004年开发的一种无损音频格式,并于2011年正式开源。Check Point 发现,全球最大的两家移动芯片组制造商——高通和联发科都将易受攻击的 ALAC 代码移植到其音频解码器中,全球一半以上的智能手机都在使用这些解码器。

研究人员发现,该漏洞会让攻击者利用格式错误的音频文件,在目标设备上执行远程代码执行攻击 (RCE),并可进一步控制用户的多媒体数据,包括利用设备的摄像头拍摄音视频。此外,该漏洞允许特定安卓应用提权,并获得对媒体数据和用户对话的访问权。

Check Point已向联发科和高通共享了调查结果,协助处理漏洞问题。联发科将 ALAC 漏洞跟踪为 CVE-2021-0674 和 CVE-2021-0675,而高通将其跟踪为 CVE-2021-30351。这些漏洞已在2021年12月得到了修复。

CheckPoint 的研究人员没有透露该漏洞的更多细节以避免在野外被利用,但他们计划在 2022 年 5 月即将举行的 CanSecWest 公布更加详细的信息。

]]>
俄乌冲突引发顾虑 五眼网络安全部门建议盟友增强关键基础设施防护 Sun, 03 Jul 2022 08:24:23 +0800 以美国为首的“五眼”网络安全部门,刚刚向其盟友(包括英国、加拿大、澳大利亚和新西兰)发出了关键网络基础设施的维护警告。美国家安全局(NSA)给出的理由是 —— 受俄罗斯支持的黑客组织,或对乌克兰境内外的组织构成更大的风险 —— 因而建议各组织对相关网络威胁保持高度警惕,并遵循联合咨询中提当过的缓解措施,以增强 IT 和 OT 网络。

周三的联合公告,建立在 FBI、CISA 和 NSA 于今年 1 月发布过的类似公告的基础之上,揭示了针对美国关键基础设施部门的俄罗斯黑客攻击威胁有所加剧。

CISA 主任 Jen Easterly 补充道:近期情报表明俄政府正探索针对美国关键基础设施的潜在网络攻击选项。

而与跨机构国际合作伙伴共同发布的此公告,旨在强调受俄政府支持和结盟的网络攻击组织的威胁和能力。

在官方给出的建议中,包括了对组织里的关键基础设施加强防御,以保护其信息技术(IT)和运营技术(OT)网络不受各种网络威胁的影响 —— 包括勒索软件、破坏性恶意软件、DDoS 攻击、以及网络间谍活动等。

CISA 建议优先修补那些已在野外被积极利用的漏洞、落实多因素身份验证,并为远程桌面协议(RDP)套上一道安全门。

同时对于终端用户来说,也应开展有针对性的培训,以提升其对于网络安全的忧患意识。

]]>
未打补丁的Exchange服务器遭Hive勒索攻击 逾期就公开数据 Sun, 03 Jul 2022 08:24:23 +0800 虽然在 2021 年微软就已针对 Hive 勒索软件发布 Exchange 服务器的安全补丁,并敦促企业及时进行部署,但是依然有一些组织并没有及时跟进。消息称这些尚未跟进的组织近日再次遭受了 Hive 勒索软件的攻击,被黑客获得了系统权限。

在攻击获得系统权限之后,该勒索软件就会通过 PowerShell 脚本启动 Cobalt Strike,并创建了一个名为“user”的新系统管理员账户。

然后,攻击者使用 Mimikatz(一款功能强大的轻量级调试神器)来窃取域管理员的 NTLM 哈希值,并获得对该账户的控制。在成功入侵后,Hive 进行了一些发现,它部署了网络扫描仪来存储 IP 地址,扫描文件名中含有"密码"的文件,并尝试RDP进入备份服务器以访问敏感资产。

最后通过“Windows.exe”文件执行一个自定义的恶意软件有效载荷,用于窃取并加密文件,删除影子副本,清除事件日志,并禁用安全机制。随后,会显示一个勒索软件的说明,要求该组织与Hive的"销售部门"取得联系,该部门设在一个可通过 Tor 网络访问的.onion 地址。

被攻击的组织还被提供了以下指示:

不要修改、重命名或删除*.key.文件。你的数据将无法解密。

不要修改或重命名加密的文件。你会失去它们。

不要向警察、联邦调查局等机构报告。他们并不关心你的业务。他们只是不允许你付款。结果是你将失去一切。

不要雇用恢复公司。没有密钥,他们无法解密。他们也不关心你的业务。他们认为自己是好的谈判者,但事实并非如此。他们通常会失败。所以要为自己说话。

不要拒绝(sic)购买。渗出的文件将被公开披露。

如果不向Hive付款,他们的信息将被公布在 HiveLeaks Tor 网站上。同一网站上还会显示一个倒计时,以迫使受害者付款。

该安全团队指出,在一个例子中,它看到攻击者在最初入侵的72小时内设法加密环境。因此,它建议企业立即给Exchange服务器打补丁,定期轮换复杂的密码,阻止 SMBv1,尽可能限制访问,并在网络安全领域培训员工。

]]>
国家邮政系统遭网络攻击,这个国家养老金发放部分中断 Sun, 03 Jul 2022 08:24:23 +0800 近日,位于东欧地区的保加利亚邮政的计算机系统遭遇网络攻击,导致养老金与复活节津贴无法正常发放。

4月18日上午,保加利亚邮政曾保证付款操作不受影响,然而在普罗夫迪夫、鲁塞等城市,许多领取者仍然发现自己领不到养老金与假期津贴。

本次黑客攻击被发现于4月16日(周六),保加利亚邮政立刻采取行动,将系统转移至该国云基础设施,并正在评估网络攻击对系统造成的具体影响。

普罗夫迪夫中央邮局的工作人员拒绝了大量养老金领取申请,并解释称电脑系统已经无法工作。不过,受影响的仅有柜台业务,选择银行转账的用户仍可正常接收款项。保加利亚国家社会保障研究所也透露,各邮政分局的汇款未出现延误。

没法及时拿到养老金,无疑给许多老年人的生活带来了意外打击。一些老年人来来回回跑了多家邮局,但等待他们的只有一次次失望。

本次付款中断已经波及到保加利亚国内多家邮局。

普罗夫迪夫的一些小型邮政分局开始灵活应对,他们成立临时小组,单独开辟一个窗口,根据清单向老人们支付养老金和假期津贴。不过受系统故障影响,缴费用户仍然无法正常付账。

在鲁塞,不少老年人已经开始担心拿不到养老金,没法应付即将到来的复活节假期。

保加利亚邮政拒绝就此事接受采访。

保加利亚电子政务部称,已经意识到问题的存在,并正在努力开展调查。

保加利亚副总理Kalina Konstantinova在社交媒体上解释道,民众不必担心,复活节津贴一定能够发放到位。工作人员正尽一切努力加快解决相关技术故障。但Konstantinova也承认,过去十年以来,保加利亚邮政的网络安全问题一直遭到系统性忽视。

]]>
警惕!失控的无人机可能成为新的网络攻击杀手 Sun, 03 Jul 2022 08:24:23 +0800 CSO在线4月20日刊文的称,越来越多的商业用途和很少的内置防御,使无人机成为恶意行为者的有吸引力的目标。

关键基础设施运营商、执法部门和各级政府都忙于将无人机纳入其日常运营。无人机正被用于支持传统基础设施以及农业、公用事业、制造业、石油和天然气、采矿和重工业的一系列应用。无人机制造商和行业最终用户刚刚开始认识到,其互联企业的所有要素都具备毕马威 (KPMG) 战略和创新负责人Jono Anderson所称的“强大的能力,包括单架无人机、互联无人机机队、云/企业能力,以及它们之间的所有通信。”

无人机是“飞行的计算机”和新的攻击向量

尽管存在潜在漏洞,但许多无人机系统并未使用更高级别的安全架构。根据Jono Anderson的说法,“在无人机的互联系统中,无人机内部和周围不断增长的通信‘迷雾’会产生多个攻击向量,可能会暴露单个无人机或整个机队的关键系统,甚至可能暴露整个云和企业。”

尽管无人机为运营商提供了已经证实的众多好处,但它们也带来了严重的网络安全风险。无人机本质上是一台飞行的计算机,就像普通计算机一样,它们充满了潜在的网络威胁。安永技术咨询高级经理Joshua Theimer说:“组织所做的大部分工作都集中在确保无人机的运行符合外部州级和联邦法规。” 由于目前采购的许多无人机都是制造商专有的,因此Theimer认为,制定“基础的组织安全策略”以在使用无人机的生态系统周围提供适当的安全性至关重要。 

网络安全历来不是无人机制造商和无人机用户的主要优先事项。Theimer的评估是,无人机的漏洞仍然“对于那些熟悉该领域的人来说是众所周知的”。例如,参与无人机逆向工程的人员普遍意识到各种无人机和制造商的漏洞。

当担心恶意软件传播到企业环境中时,Theimer注意到“组织在无人机和与支持这些无人机和企业网络的其他部分相关的设备之间实施了气隙隔离”,以确保设备永远不会连接到企业网络。

美国网络安全和基础设施安全局(CISA)的基础设施安全项目专家塞缪尔·罗斯特罗 (Samuel Rostrow) 说:“无人机会给组织带来网络安全威胁,并带来数据泄露的风险。”CISA于2019年向关键基础设施行业发布了相关警报,警告外国制造的无人机可能对组织的敏感信息构成威胁。2021年7月,国防部关于DJI系统的声明再次确认了警报中的信息和指导。

攻击者如何攻陷并操控无人机?

Orange嵌入式系统安全专家David Armand担心,除了军用无人机外,无人机安全投资“与产品成本相比仍然很低。无人机是非常吸引人的目标,因为攻击成本远低于娱乐或专业无人机的价值。威胁分为两类:对无人机的攻击和使用无人机进行的攻击。”

从无人机本身提取信息是一个脆弱点。在无人机操作员和无人机本身之间的通信过程中,系统很容易受到攻击。Theimer指出“允许观察、中断或接管命令到控制链接的漏洞”。

Armand的研究表明,破坏无人机的软件或硬件,甚至是控制器(例如手机)都可以通过供应链攻击来实现。他举了两个例子:

操作3D打印机的螺旋桨设计文件可以让无人机在打印的螺旋桨分解之前在高空飞行。

通过收集手机上收集的信息(用户和无人机的蜂窝网络ID和GPS位置),攻击者可以执行“强制更新”并在没有用户控制的情况下执行代码。

Theimer担心“今天许多制造商继承和使用社区开发的软件包,这些软件包并不总是为安全而设计或审查的。” 随着无人机变得更加强大和复杂,漏洞扩散的机会只会增加。

与围绕使用新兴技术的大多数安全考虑一样,与使用无人机相关的威胁模型和风险分析与组织风险态势一致通常是最佳方法。Theimer对该行业的目标是“确保与使用无人机和网络准备相关的风险与组织的安全态势保持一致。”

无人机供应商需要关注安全性

专注于无人机的网络解决方案的商业市场仍处于初期阶段,因为报告的攻击数量仍然相对较少。因此,优先考虑无人机安全的需求很低。“很少有组织在网络安全方面进行重大投资。虽然一些主要的无人机制造商已经进行了重大和有意的投资,这可能是由于美国政府公开审查的结果,但许多无人机仍然不安全。

“公司需要专注于提高产品安全性,特别是与无人机上的平台软件相关,以及与无人机之间的通信,以减少无人机被接管或失去指挥权的可能性,毕马威的”网络安全负责人Rik Parker表示。“例如,潜在的漏洞可能会延伸到供应链中,那里通常有不同的监管点,并且可以依赖开源代码。这可能导致依赖第三方开发流程来开发关键硬件的安全代码,如果被利用,可能会导致敏感数据和情报丢失或潜在的生命损失。” 鉴于无人机部署的敏感性,他建议供应商为访问监控和行为分析增加一层覆盖范围,以识别潜在的风险或威胁。

Orange对Parrot Corp的产品进行了安全评估。Armand透露,他们“通过 Orange安全专家社区与他们进行了有趣的技术交流”。Parrot解决专业无人机不同级别的网络安全问题:

通过使用多个卫星星座防止GPS欺骗

通过使用里程计技术,通过漂移测量计算位置来防止干扰

使用蜂窝连接而不是Wi-Fi,为无人机管理提供更安全的无线协议

使用安全存储在安全元件中的设备唯一证书进行无人机身份验证。

Armand列举了Regulus、InfiniDome和Septentrio等公司,这些公司拥有可用于检测、缓解和报告GNSS欺骗攻击的商业产品。他指出,包括泰雷兹和英特尔在内的大公司也积极参与无人机安全的探讨。

无人驾驶车辆系统国际协会执行副总裁迈克尔·罗宾斯(Michael Robbins)认为,商业和国防都专注于“确保数据存储和传输、数据保留和处置、保护无人机操作的数据链路以及监控违规或恶意软件”。他指出,商业和国防之间的区别在于“他们防御的网络攻击类型、他们保护的数据和信息,以及有关安全、运营和报告的法律要求。” 

无人机安全的法规和控制框架尚属空白

越来越多的专家认为,需要更好的法规来应对无人机网络安全挑战。例如,Parker认为无人机产品“应该受到网络安全的严格控制,以保护无人机产品提供的预期服务的软件平台以及通信和控制机制。” 他认为需要新的案例控制框架。

在法规和框架方面目前取得了一些进展。美国白宫于2021年发布了第 13981号行政命令 ,该命令指示联邦实体评估和限制联邦政府对“受保护”无人机(如EO中的定义)的使用。CISA 一直在推荐网络安全最佳实践 以降低风险,并推动行业专注于符合Blue UAS标准的无人机,这些无人机已获得国防部认证,符合联邦网络安全标准。

为本文咨询的大多数专家都看到对无人机网络安全的兴趣有所上升。谈到更广泛的网络安全世界,毕马威的安德森认为,“它不能再仅仅被视为一项企业挑战。这是一个更广泛、更复杂的工程、生产和运营挑战。它需要新的方法来解决潜在的漏洞,包括软件和电子设备的渗透,修改与无人机之间的通信,以及它在云或企业中的计算平台。”

]]>
“分身”软件不正当竞争,微信获赔315万元 Sun, 03 Jul 2022 08:24:23 +0800 一键转发、一键集赞、自动抢红包……第三方插件“丰富”了微信功能,为何却要赔偿300多万元;逐条看微博太麻烦,有软件能“帮忙”抓取、展示微博数据,甚至还能整理成分析报告,可这种软件其实侵了权;“大会员”太贵,有平台可以租赁账号,经济实惠,但这种“中介”平台其实是网络“灰产”……近日,海淀法院发布《知识产权审判白皮书》,提出:新类型网络不正当竞争案件呈现六大特点。

案例一:“分身”软件不正当竞争 微信获赔315万元

不少人都接触过一款被称为“手机神器”的软件——“X分身软件”——用户只要一部手机就可以实现对第三方软件的双开,比如微信,QQ,微博,陌陌等主流应用。用户通过该软件打开微信客户端,就可获得微信伪装、一键转发、一键集赞、消息防撤回、自动抢红包、语音转发等微信软件本不具有的功能。

然而,对于这款第三方插件,微信公司认为,其构成不正当竞争,妨碍,破坏微信软件的正常运营,提出索赔4500万元。

法院审理认为,被告公司通过涉案软件在用户手机中制造虚拟主机环境,在该环境下对微信软件正常运行进行干扰和破坏,以实现涉案6项功能。涉案功能是通过技术手段予以实现,使微信后台正常运行逻辑受到干扰,必然增加微信公司运营微信的负担。而且,涉案软件妨碍微信作为一款真实社交应用软件的功能发挥,改变了微信真实的运行状态,降低了用户对微信的信任度。法院还认为,被告软件还损害了相关微信用户的自主选择权、知情权、隐私权等消费者权利,长此以往,用户对微信服务的评价与信赖也必然降低。

最终,法院认定被告构成不正当竞争,判决被告公司消除影响,并赔偿经济损失300万元及合理开支15万元。宣判后,双方均未上诉,本案判决已生效。

法官指出,网络环境下,互联网产品尤其是社交产品中常常会进行一定的功能设置,保护真实用户的信息、交易等安全,而部分软件以“便利用户”为名,突破该种功能设置,不仅可能影响到他人网络产品或服务的正常经营,也有可能损害到广大消费者的合法权益,甚至给用户的人身、财产安全带来隐患。本案通过对涉案行为不正当性的分析和判断,对用户所使用的网络产品、服务的正当性、安全性等提供了有力的法律保障,同时也力求引导网络服务提供者正当经营、合法创新、诚信竞争。

案例二:数据大户新浪频频被“薅羊毛” 伸手者都遭重罚

网络竞争最重要的资源是什么?数据!因此,保护数据,成为了各个网络服务商的首要任务,其中, 新浪作为“数据大户”,打了这样两场官司,被告方败诉,且都被法院重罚。

鹰击系统,可以抓取、存储、展示新浪微博后台数据,而且,用户还能在脱离微博平台的情况下实时查看、浏览大量新浪微博内容;此外,该系统还能够基于对新浪微博数据的整理分析,形成数据分析报告向用户提供。对此,新浪认为,鹰击系统运营者构成不正当竞争,要求对方停止侵权并赔偿经济损失572万元及合理开支28万元。

“超级星饭团”App,可以向其用户推送和展示来源于新浪微博明星微博的十五类动态数据,且持续并扩大抓取、展示范围,使用户无需登录新浪微博即可全面查看明星微博动态,对新浪微博相关服务构成实质性替代。新浪认为,被告行为构成不正当竞争,请求法院判决被告方赔偿经济损失1000万元及合理开支255 000元。

对于这两起案件,法院均判决新浪获胜。

第一起案件,法院判令被告停止被诉行为、消除影响,并赔偿新浪经济损失500万元及合理开支28万元;第二起案件,法院综合考虑被告的不正当竞争行为持续时间、范围及恶意,以及涉案App的用户数量、付费服务及营销收入,裁量计算经济赔偿数额为1000万元。

对于相关案件,法院指出,网络平台通过自身经营活动吸引用户所积累的平台数据,对平台经营者具有重要意义,是其重要的经营资源。被告通过利用技术手段破坏或绕开服务商访问权限,抓取、存储微博平台中包括已设置访问权限的非公开数据的平台数据,并基于这些数据进行加工整理形成数据分析报告,影响了微博平台数据安全,破坏了原告数据展示规则和其所提供服务的正常运营,破坏了原告与用户间协议的履行,损害了原告的合法权益。

同时,法院也指出,基于网络环境中数据的可集成、可交互的特点,平台经营者应当在一定程度上容忍他人合法收集或利用平台中已公开的数据。

案例三:“租号”看视频 优酷维权胜诉

如今,不少视频网站都以用户购买“会员”作为盈利方式之一,其他一些商家从中看到了“商机”——“买”会员价格相对较高,如果“租”号给用户,不就能赚取差价了吗?“刀锋平台”“租号玩”平台的经营者就这样干了,其通过在租号平台中设置针对优酷的影视租赁专区、提供多项促进交易成功的收费服务项目等方式,大量、集中地为用户提供出租和租用优酷会员帐号的租赁服务,并从中收取费用、牟取利益。

优酷认为,被告的行为严重破坏了优酷平台会员管理制度、商业利益及商业模式,给原告的经济利益造成巨大损失,构成不正当竞争,要求被告赔偿800万元。

法院审理认为,租号平台为优酷会员账号的出租者和租用者提供的该种平台服务,一方面使得租用方假借别人之名,使用优酷平台的会员服务;另一方面,也促使出租方为了扩大租号收益而出现一人利用不同身份注册、囤积多个会员账号的情形。该行为破坏了优酷基于经营自主权对会员账号所做的限制,直接损害了优酷基于其商业模式所产生的经营收益。从长远来看,该提供租号平台的行为也将逐步造成市场激励机制失灵,阻碍网络视频行业的正常、有序发展,并最终造成消费者福祉的减损。

最终,法院判令被告赔偿优酷经济损失120万元及合理开支3万元。

法官指出,本案对于提供视频网站会员账号租赁这种中介服务的行为进行了否定性评价,对于网络“灰产”中的该类寄生于他人商业模式下获利的典型行为进行了有力打击,保障了视频行业的长远发展。

法院分析:新类型网络不正当竞争案件呈现六大特点

近年来,海淀法院受理的网络不正当竞争案件呈现数量增长迅猛、类型化案件集中、新类型案件频发的特点。2019年至2021年期间,受理的涉网络不正当竞争案件分别为278件、427件、645件,案件数量呈现逐年快速增长态势。在案件类型上,除了涉及混淆、虚假宣传、商业诋毁等传统不正当竞争行为之外,涉及新类型网络不正当竞争行为的案件明显增多,近三年共受理481件。

经过梳理,法院总结新类型网络不正当竞争案件呈现出六个方面的新特点和新趋势:平台数据竞争纠纷明显增多;刷量类案件呈现批量化;有关租赁游戏账号和视频网站会员账号的纠纷成为新热点;涉视频网站“屏蔽广告”类案件出现新样态;利益平衡的考量成为判断行为性质的关键;行为保全措施成为及时制止网络不正当竞争的有力手段。

对此,法院建议,应引导企业树立公平竞争意识,自觉维护市场竞争秩序;搭建行业协会纽带桥梁作用,助力矛盾纠纷源头化解;丰富行政机关服务举措内容,充分发挥市场监管作用,建立健全互联网领域信用体系建设,全面提升互联网企业诚信经营秩序;同时,强化司法机关法治保障职能,完善知产司法保护机制,提升法律适用能力和水平,审慎处理新类型网络不正当竞争案件。

]]>
产业规模破万亿元 工业互联网发展提速 Sun, 03 Jul 2022 08:24:23 +0800 工信部研究机构数据显示,目前我国工业互联网产业规模已迈过万亿元大关。展望下一步发展,更多政策利好密集释放。《工业互联网专项工作组2022年工作计划》近日发布,从夯实基础设施、深化融合应用、强化技术创新、培育产业生态、提升安全保障、完善要素保障等方面提出15类任务。与此同时,工信部将通过实施新一轮工业互联网创新发展工程,促进工业互联网平台进园区,引导各类资本加大对工业互联网领域投资。

政策利好密集释放

今年一季度,工业互联网标识解析体系国际根节点、国家工业互联网大数据中心等75个项目建成投入运行;全国“5G+工业互联网”在建项目总数达2400个;目前工业互联网已在45个国民经济大类中得到应用……工信部新闻发言人、信息通信管理局局长赵志国介绍的一组数据,显示了我国工业互联网持续向好的发展势头。

赵志国表示,总的来看,我国工业互联网仍处于发展的关键期,产业发展还面临一系列真难题、新课题,亟须发挥政产学研用各方力量去突破。

记者获悉,下一步工信部将会同有关部门展开系列部署,加快工业互联网提档升级。

一是启动新项目,打好强链补链“攻坚战”。实施新一轮工业互联网创新发展工程,强化关键技术产品短板攻关,提升平台技术供给质量,促进设备、系统的互联互通互操作。同时加强创新载体建设,积极打造工业互联网数字化转型促进中心,完善公共服务体系。

二是增强新基建,下好数字经济“先手棋”。适度超前推进网络、平台、安全三大体系建设,提升工业互联网大数据中心、标识解析体系、安全态势感知系统等重点设施效能,扩大区域、行业、领域覆盖面,提升服务企业数量,促进工业互联网数据流通、有效利用和安全保障,夯实数字经济发展基础。

三是拓展新应用,打好融合创新“团体赛”。推动工业互联网与细分行业融合,加快新模式新业态推广,打造5G全连接工厂标杆,挖掘产线级、车间级典型应用场景,促进工业互联网平台进园区,开展工业互联网企业网络安全分类分级管理,促进千行百业、千园万企加快数字化转型。

四是研究新政策,用好支撑发展“组合拳”。针对产业发展存在的现实挑战,研究更加“解渴”的实招硬招。拓宽融资渠道,深化产融合作,引导产业投资基金等各类资本加大对工业互联网领域投资。强化校企联动、产教融合,加强工业互联网实训教育,构建多层次人才体系。

推动中小企业数字化转型

加快中小企业数字化转型,是工业互联网发展的重要发力点。《工业互联网专项工作组2022年工作计划》提出多项细化举措,例如,在装备、机械、汽车、能源、电子、冶金、石化、矿业等国民经济重点行业,遴选10家骨干企业打造符合行业中小企业需求的数字化平台、系统解决方案、产品和服务;面向典型共性场景,培育一批适用于工业园区、产业集群中小企业的低成本、易部署、轻量化解决方案。

事实上,不少中小企业已经尝到工业互联网带来的提质增效降本的“甜头”。在安徽,华茂纺织通过工业互联网改造升级,工厂每万锭用工由50人降至15人以下,生产效率提高50%;在湖南,立信彩印通过中国联通云镝生产报工系统梳理车间生产流程、追溯生产数据,提升车间生产流程的作业效率,降低流程管理与人员管理成本。

不过业内人士也指出,对不少中小企业而言,借力工业互联网进行数字化转型的路径需要进一步明晰。中国工业互联网研究院院长鲁春丛对《经济参考报》记者表示,当前工业互联网等新业态新模式对中小企业的应用场景服务仍处于探索阶段,案例缺乏典型示范应用效果。工业互联网平台在相关服务功能应用、赋能中小企业能力提升等方面均处于初级阶段。

针对下一步发展,工信部新闻发言人、运行监测协调局局长罗俊杰表示,将加强政策引导和经验推广,总结一批数字化转型成熟模式和路径,发布中小企业数字化转型评价标准及评价模型、中小企业数字化转型指南,制定重点细分行业和领域中小企业数字化转型路线图,为更多中小企业提供看得见、摸得着的典型案例和手段工具。鼓励各地创新财政支持方式,引导帮助中小企业数字化转型,降低转型成本。

进一步拓宽资金来源

值得关注的是,在拓宽资金来源方面,《工业互联网专项工作组2022年工作计划》提出,支持符合条件的工业互联网企业首次公开发行证券并上市,在全国股转系统基础层和创新层挂牌,以及通过增发、配股、可转债等方式再融资。支持符合条件的企业发行公司信用类债券和资产支持证券融资。

国家工业信息安全发展研究中心的报告显示,2021年我国工业互联网行业完成非上市投融资346起,披露总金额突破680亿元,同比大幅增长85.9%。同时,重点企业上市进程加速推进,2021年共有19家工业互联网相关企业成功上市,募集资金总额突破145亿元。

在业内看来,《工业互联网专项工作组2022年工作计划》的相关部署将进一步激发企业发展活力。“这将大幅拓宽工业互联网企业的融资来源,也可以通过上市融资提升工业互联网企业的估值,从而鼓励资本投资工业互联网企业。” 浙江大学国际联合商学院数字经济与金融创新研究中心联席主任、研究员盘和林表示。

围绕进一步优化工业互联网行业产融合作环境,国家工业信息安全发展研究中心信息政策所高级工程师王慧娴建议,强化行业主管部门与相关部门的工作联动机制,畅通资金需求方和投资方沟通渠道;支持工业互联网企业通过发债、抵押、担保、借贷、金融租赁等多种方式进行融资;定期围绕新进展、新问题和新趋势开展研究、分析与预测,探索产融互动新路径,推动产业良性发展。

]]>
谷歌地图18日起开放俄所有战略要地高清卫星图像? Sun, 03 Jul 2022 08:24:23 +0800 俄乌冲突爆发近两月,战火未熄。4月18日起,中文网络流传消息称,世界互联网巨头谷歌开始深度介入俄乌冲突。谷歌地图已从18日起以最大分辨率提供俄罗斯所有军事和战略设施卫星图像,包括洲际弹道导弹发射井、指挥所、秘密试验场等在内的俄战略要地现均可以每像素0.5米左右的分辨率查看。

“澎湃明查”微信公众号后台亦有读者提问,认为谷歌不可能掌握俄罗斯军事设施位置,请求核查。

消息来自何处?

相关消息在推特、Reddit等国外社交平台同样广泛流传,不少发布者称该消息源自一个叫@ArmedForcesUkr的推特账号。该账号未获推特官方认证,但曾多次被乌克兰国防部及其下属信息机构的官推@armyinformcomua提及。此外,多家被认证的媒体推特账号如@nexta_tv @arstechnica援引了@ArmedForcesUkr 的消息。

经核查,北京时间4月18日晚7时37分,@ArmedForcesUkr确实发布了一组疑似俄罗斯军事战略要地的图片,称“谷歌地图开放了对俄罗斯军事和战略设施的访问, 现在每个人都可以看到各种俄罗斯发射器、洲际弹道导弹发射井、指挥所和秘密填埋场了”。然而,@ArmedForcesUkr发布推文的时间要明显晚于相关消息出现在中文网络的时间,红星新闻在4月18日19时22分就转载了相关消息。因此,@ArmedForcesUkr的推文不可能是网传消息的最初来源。

“谷歌开放俄所有战略要地高清图像”的说法究竟从何而来?推特用户@obretix有着同样的疑惑,因为作为公开情报搜索(OSINT)爱好者,他了解到“谷歌地图从未隐藏过俄罗斯的‘秘密军事和战略设施’”。一个叫@avatter的推特用户回复@obretix,称他从一篇来自censor.net的文章中看到,这一消息最初可能来自Armyinform,即前文提到的乌克兰国防部下属信息机构。

查询可知,Censor.net的文章发布于4月18日14时35分,其中确实提到了消息源Armyinform,并给出了相关消息的具体链接。Armyinform在4月18日上午11时02分发布了题为《谷歌地图开放俄罗斯所有战略地点》的文章,但同样不是网传消息的最初来源。Armyinform声称其消息依据一家叫“防务快讯”(Defense Express)的乌克兰信息资讯公司,该公司自称在国防工业政策和军事技术合作方面有20余年的经验,其使命是促进乌克兰的防务、安全和发展。

4月17日晚6时22分,“防务快讯”的官网上刊出了一篇叫《找到普京的地堡:谷歌发现俄罗斯所有战略要点的高质量卫星图像》的文章,随文发布的还有12张涉及俄罗斯军事战略要地的高清卫星图片。“防务快讯”声称,这些要地在过去的谷歌地图上的显示质量偶尔较差,不允许拆解细节,但现在的图片分辨率达到了每像素约0.5米。这是“澎湃明查”目前追溯到的与网传消息相关的最早的消息源。

谷歌开放高清俄军事要地卫星图像?

那么,谷歌地图是否真如“防务快讯”所说,是在最近才公开了俄罗斯战略要点的高质量卫星图像呢?“防务新闻”在文章中发布了一张展示俄罗斯航空母舰的图片,称得益于谷歌地图的“公开”,现在人们有可能评估唯一的现役航空母舰“库兹涅佐夫海军上将”号的工作“进展”。然而公开资料显示,早在2020年7月,推特用户@RALee85就曾在平台上传过一张来自谷歌地图的图片,展示的正是“库兹涅佐夫”号的高清卫星图像。显然,谷歌并不是在最近才“公布”了这些军事战略设施。

@ArmedForcesUkr和“防务新闻”发布的图片中,还有一张展示了疑似俄罗斯舰船停靠点的卫星图。美国科技新闻网站The Verge在谷歌地图上找到了该地的具体坐标,在52°55'00.3''N,158°29'16.1''E,属俄罗斯保密行政区维柳钦斯克境内。

在谷歌地图上能够找到维柳钦斯克地区核潜艇基地的高清卫星图片。

2022年1月20日,中国军网、《解放军报》天下军事栏目曾发表文章《维柳钦斯克:俄在远东最大核潜艇基地》,提到维柳钦斯克“位于俄罗斯勘察加半岛,直面太平洋”,“与摩尔曼斯克的加吉耶沃核潜艇基地分别位于俄东西两个方向,形成优势互补、风险分散、配置均衡的战略布局”,“该基地部署有俄潜艇部队的精锐力量,如奥斯卡级、阿库拉级、德尔塔级等核潜艇”。

相关文章还配上了展示“维柳钦斯克核潜艇基地一角”的图片,经地形比对可以确定,此图所示地理区域与上文中提到的The Verge提供的地理坐标所显示的为同一区域。尽管《解放军报》没有提供其图源的具体信息,但窥此文可知,对世人来说,“防务新闻”公布的图片、以及维柳钦斯克拥有核潜艇基地一事本身早已不是什么秘密。

此次新闻事件发酵后,The Verge就网传“谷歌公开高像素卫星图以暴露俄罗斯军事战略要地”一事致信谷歌公司,得到了后者的邮件回应。谷歌发言人帕克(Genevieve Park)明确表示:谷歌没有对其在俄罗斯的卫星图片“作任何模糊度上的修改”。谷歌地图官推@googlemaps还在北京时间4月19日上午5时36分于@nexta_tv发布的相关消息下留言,重申了这一回应。不少卫星地图爱好者亦为谷歌背书,称自己关注俄罗斯军事基地多年,从未见过谷歌对这些地点作模糊处理。

谷歌地图回应@nexta_tv,称“未对俄罗斯的卫星图片作任何模糊度上的修改。

至于相关消息称“谷歌地图从18日起以最大分辨率提供俄罗斯所有军事和战略设施卫星图像”,是否意味着谷歌之前提供的地图可能仅展现了“部分”俄罗斯境内的军事战略要地,而此次公开了更多?由于缺乏能够证明俄罗斯“全部”军事战略要地所在的公开、权威资料,“澎湃明查”无法独立对此说法的准确性进行判断。

“澎湃明查”发现,2018年6月,美国科学家协会fas.org曾在官网公布过一组来自谷歌地球的图片,系俄罗斯位于加里宁格勒地区的核武器库在2002年和2010年的周边环境对比图。在2002年的图片中,人们甚至可以清晰判断出该武器库“大门”所在的位置。而根据英国《每日邮报》报道,谷歌地图的这种图片处理方式也并非仅针对俄罗斯。包括位于英国朴茨茅斯港的英皇家海军旗舰“伊丽莎白女王号”航空母舰等英敏感军事设施,在谷歌地图上同样清晰可见。

商业卫星如何处理敏感地理信息?

商业卫星使用者对于高清图像的追求与敏感军事地理信息的保密需要存在天然矛盾。在实操上,各商业卫星的运营商往往需要遵守其所在国法律对卫星地图安全使用方面的规定。

美国1997年的《国防授权法》即《凯尔-宾格曼修正案》规定,联邦政府许可的商业卫星成像系统提供的以色列图像"不得比从商业来源获得的以色列卫星图像更详细或精确",即分辨率不得超过每像素2米。美国国家海洋和大气管理局(NOAA)在2018年审查并维持了这一限制,这解释了为何谷歌地图和谷歌地球在加沙地区的卫星图像长期呈现模糊的状态。

商业卫星地图的服务商有时也会收到他国政府对其地域内卫星图像作模糊化处理的要求。例如据法国媒体bfmtv报道,2018年7月,法国司法部曾向谷歌公司抗议,称谷歌提供的高清街景地图直接帮助了法国监狱内的罪犯逃狱。谷歌因此对法国境内的大部分监狱进行了模糊化处理。

对敏感地区的模糊化处理本意在于保密,但有时,局部卫星图像清晰度的降低反而会产生“此地无银三百两”的效果。2018年12月,应以色列和土耳其相关规定,俄罗斯卫星地图供应商Yandex对此两国境内的部分敏感军事设施进行了模糊化处理。美国科学家协会却通过周边地理信息元素确认了这些被模糊地区的地理位置,发现了以、土境内的秘密军事基地。对于有能力提供高清图像的商业卫星而言,“模糊”更像是一种“不得已而为之”的服务。在必要的追求信息精确度的场景如军事冲突中,高清卫星图像服务商们也有可能会转变姿态,为客户提供追踪战况演变和战事侦察的服务。

此次俄乌冲突中,以“MAXAR”为代表的私人卫星被广泛使用,在基辅、哈尔科夫、卢甘斯克、顿涅茨克、梅利托波尔、敖德萨等战事热点地区不断成像,满足了人们对获取“实时战况”的需要。MAXAR还将镜头对准了俄罗斯部队,拍摄了多张显示俄军装备、军事设施乃至俄罗斯军人的高清图像。

综上所述,网传“谷歌地图从18日起以最大分辨率提供俄罗斯所有军事和战略设施卫星图像”一事并无实证,谷歌公司已否认了相关说法,且公开信息显示,早在俄乌冲突爆发之前,谷歌提供卫星地图中便包含了与俄罗斯军事战略设施有关的图像信息。

随着技术的发展,商业卫星的成像清晰度有了大幅提升。有的公司会响应相关法律规定或他国政府要求,对其卫星图中的部分敏感地理信息作模糊化处理。但在追求信息精确度的场景如战争中,这些卫星也有可能会摇身一变,成为互联网时代人们“围观战争”的一种手段,乃至战争的利器。

]]>
7-Zip被爆零日安全漏洞:可提权执行代码 但用户可简单操作使其失效 Sun, 03 Jul 2022 08:24:23 +0800 文件压缩软件 7-Zip 被爆零日安全漏洞,允许攻击者提权并执行任意代码。目前开发团队并未发布补丁,但普通用户可以通过简单操作来让这个漏洞失效。上周,研究人员 Kağan Çapar 发现并公布了 7-Zip 的一个零日漏洞,该漏洞可以授予权限升级和命令执行。

它被命名为 CVE-2022-29072,影响到运行 21.07 版本的 Windows 用户--截至目前的最新版本。

对系统有有限访问权的攻击者可以通过打开 7-Zip 的“帮助”窗口,在“帮助->内容”下,将一个扩展名为 .7z 的文件拖入该窗口来激活该漏洞。任何具有该扩展名的文件都可以使用。它不一定是一个真正的7z档案。

通过在7zFM.exe进程下运行一个子进程,该漏洞可以提升攻击者的权限,让他们在目标系统上运行命令。恰帕尔将此归咎于7z.dll文件的错误配置和堆溢出。

Windows的HTML帮助文件也可能负有一定的责任,因为其他程序可以通过它允许执行命令。Çapar 提到了一个类似的漏洞,该漏洞通过 Windows HTML 帮助文件和 WinRAR 起作用。

删除 7-Zip 根文件夹中的“7-zip.chm”文件可以缓解这个问题,直到开发人员打上补丁。

]]>
公民实验室:英政府内部网络曾遭“飞马”间谍软件攻击 Sun, 03 Jul 2022 08:24:23 +0800 加拿大多伦多大学下属“公民实验室”(Citizen Lab)的研究人员当地时间周一发文称,该实验室的核心任务是对民间社会的数字威胁进行研究。在调查雇佣军间谍软件的过程中,他们偶尔会观察到一些案例,怀疑政府正在使用间谍软件对其他政府进行国际间谍活动。这些案件绝大多数都不属于他们的范围和任务。然而,在某些特定的案件中,在适当的情况下,在保持独立性的同时,公民实验室决定通过官方渠道通知这些政府,特别是如果他们认为他们的行动可以减少伤害时。

公民实验室确认,在2020年和2021年,他们观察到并通知了英国政府在英国官方网络中出现的多起疑似“飞马”(PegASUS)间谍软件攻击事件。其中包括:

英国首相府(唐宁街10号)

英国外交和联邦事务部(FCO)(现为英国外交、联邦及发展事务部, FCDO)

公民实验室称,与FCO有关的疑似攻击事件与阿联酋、印度、塞浦路斯和约旦的Pegasus运营商有关。英国首相办公室的疑似攻击事件被认为与阿联酋的一个Pegasus运营商有关。

由于英国外交和联邦事务部及其继任办公室--外交、联邦及发展事务部(FCDO)在许多国家都有人员,公民实验室观察到的疑似FCO攻击事件可能与位于国外并使用外国SIM卡的FCO设备有关,类似于2021年美国国务院雇员在乌干达使用的外国电话号码被黑客秘密窃听。

英国目前正在进行几项立法和司法工作,涉及围绕网络政策的监管问题,以及对间谍软件受害者的补救措施。 公民实验室认为,允许这些努力在不受间谍软件不当影响的情况下展开是至关重要的。鉴于一名参与对NSO集团诉讼的英国律师的设备在2019年被Pegasus软件攻击,研究人员认为有必要确保英国政府意识到持续的间谍软件威胁,并采取适当的行动来减轻这种威胁。

]]>
安全专家发现新型恶意Windows 11网站:镜像内含恶意文件 Sun, 03 Jul 2022 08:24:23 +0800 自 Windows 11 系统 2021 年 6 月发布以来,不断有各种活动欺骗用户下载恶意的 Windows 11 安装程序。虽然这种情况在过去一段时间里有所遏制,但现在又卷土重来,而且破坏力明显升级。

网络安全公司 CloudSEK 近日发现了一个新型恶意软件活动,看起来非常像是微软的官方网站。由于使用了 Inno Setup Windows 安装程序,它分发的文件包含研究人员所说的“Inno Stealer”恶意软件。

恶意网站的URL是“windows11-upgrade11[.com]”,看来 Inno Stealer 活动的威胁者从几个月前的另一个类似的恶意软件活动中吸取了经验,该活动使用同样的伎俩来欺骗潜在的受害者。

CloudSEK说,在下载受感染的ISO后,多个进程在后台运行,以中和受感染用户的系统。它创建了Windows命令脚本,以禁用注册表安全,添加 Defender 例外,卸载安全产品,并删除阴影卷。

最后,一个.SCR文件被创建,这是一个实际传递恶意有效载荷的文件,在这种情况下,新颖的 Inno Stealer 恶意软件在被感染系统的以下目录中。恶意软件有效载荷文件的名称是"Windows11InstallationAssistant.scr"。

]]>
美国中情局主战网络攻击武器曝光 世界各地重要信息基础设施已成美国“情报站” Sun, 03 Jul 2022 08:24:23 +0800 近日,美国通过网络对全球进行监控窃密的又一主战装备曝光,这一主战装备即为美国中央情报局(CIA)专用的“蜂巢”恶意代码攻击控制武器平台(以下简称“蜂巢平台”)。国家计算机病毒应急处理中心的研究人员在接受采访时对《环球时报》记者表示,全球互联网和世界各地的重要信息基础设施已经成为美国情治部门的“情报站”,从技术细节分析,现有国际互联网的骨干网设备和世界各地的重要信息基础设施中,只要包含美国互联网公司提供的硬件、操作系统和应用软件,就极有可能成为美国情治机构的攻击窃密目标,全球互联网上的全部活动、存储的全部数据或都“如实”展现在美国情治机构面前。

近一段时间以来,中国网络安全机构连续揭开美国国家安全局(NSA)“电幕行动”“APT-C-40”“NOPEN”“量子”网络攻击武器的真面目。相较而言,此次曝光的“蜂巢”平台有哪些新的特点?对全球网络用户有哪些新提示?国家计算机病毒应急处理中心研究人员接受《环球时报》独家专访做出进一步解释。

根据介绍,“蜂巢”平台由CIA下属部门和美国著名军工企业诺斯罗普·格鲁曼(NOC)旗下公司联合研发,系CIA专用的网络攻击武器装备,该装备具有五大特点。

首先,“蜂巢”平台智能化程度高。该武器是典型的美国军工产品,模块化、标准化程度高,扩展性好,表明美国已实现网络武器的“产学研一体化”。这些武器可根据目标网络的硬件、软件配置和存在后门、漏洞情况自主确定攻击方式并发起网络攻击,可依托人工智能技术自动提高权限、自动窃密、自动隐藏痕迹、自动回传数据,实现对攻击目标的全自动控制。其强大的系统功能、先进的设计理念和超前的作战思想充分体现了CIA在网络攻击领域的能力。其网络武器涵盖远程扫描、漏洞利用、隐蔽植入、嗅探窃密、文件提取、内网渗透、系统破坏等网络攻击活动的全链条,具备统一指挥操控能力,已基本实现人工智能化。这同时也可以证明,CIA对他国发动网络黑客攻击的武器系统已经实现体系化、规模化、无痕化和人工智能化

其次,“蜂巢”平台隐蔽性强。该平台采用C/S架构,主要由主控端、远程控制平台、生成器、受控端程序等4部分组成。CIA攻击人员利用生成器生成定制化的受控端恶意代码程序,服务器端恶意代码程序被植入目标系统并正常运行后,会处于静默潜伏状态,实时监听受控信息系统网络通讯流量中具有触发器特征的数据包,等待被 “唤醒”。CIA攻击人员可以使用客户端向服务器端发送“暗语”,以“唤醒”潜伏的恶意代码程序并执行相关指令,之后CIA攻击人员利用名为“割喉”的控制台程序对客户端进行操控(如图1所示)。为躲避入侵检测,发送“暗语”唤醒受控端恶意代码程序后,会根据目标环境情况临时建立加密通信信道,以迷惑网络监测人员、规避技术监测手段。

此外,为进一步提高网络间谍行动的隐蔽性,CIA在全球范围内精心部署了蜂巢平台相关网络基础设施。从已经监测到的数据分析,CIA在主控端和被控端之间设置了多层动态跳板服务器和VPN通道,这些服务器广泛分布于加拿大、法国、德国、马来西亚和土耳其等国,有效隐藏自身行踪,受害者即使发现遭受“蜂巢”平台的网络攻击,也极难进行技术分析和追踪溯源。

第三,“蜂巢”平台攻击涉及面广。CIA为了满足针对多平台目标的攻击需求,针对不同CPU架构和操作系统分别开发了功能相近的“蜂巢”平台适配版本。根据目前掌握的情况,“蜂巢”平台可支持现有主流的CPU架构,覆盖Windows、Unix、Linux、Solaris等通用操作系统,以及网络设备专用操作系统等。

第四,“蜂巢”平台设定有重点攻击对象。 从攻击目标类型上看,CIA特别关注MikroTik系列网络设备。MikroTik公司的路由器等网络设备在全球范围内具有较高流行度,特别是其自研的RouterOS操作系统,被很多第三方路由器厂商所采用,因此CIA对这种操作系统的攻击能力带来的潜在风险难以估量。CIA特别开发了一个名为“Chimay-Red”的MikroTik路由器漏洞利用工具,并编制了详细的使用说明。该漏洞利用工具利用存在于MikroTik RouterOS 6.38.4及以下版本操作系统中的栈冲突远程代码执行漏洞,实现对目标系统的远程控制。

第五,“蜂巢”平台突防能力强,应引起全球互联网用户警惕。“蜂巢”平台属于“轻量化”网络武器,其战术目的是在目标网络中建立隐蔽立足点,秘密定向投放恶意代码程序,利用该平台对多种恶意代码程序进行集中控制,为后续持续投送“重型”网络攻击武器创造条件。“蜂巢”平台作为CIA攻击武器中的“先锋官”和“突击队”,承担了突破目标防线的重要职能,其广泛的适应性和强大的突防能力向全球互联网用户发出了重大警告。

这位研究人员指出,与此前NSA被曝光的美国网络攻击武器一样,CIA对全球范围的高价值目标实施无差别的攻击控制和间谍窃密。CIA的黑客攻击和网络间谍活动目标涉及世界各国政府、政党、非政府组织、国际组织和重要军事目标,各国政要、公众人物、社会名人和技术专家,教育、科研、通讯、医疗机构,大量窃取受害国的秘密信息,大量获取受害国重要信息基础设施的控制权,大量掌握世界各国的公民个人隐私,服务于美国维持霸权地位。而且,全球互联网和世界各地的重要信息基础设施已经成为美国情治部门的“情报站”。“从技术细节分析,现有国际互联网的骨干网设备和世界各地的重要信息基础设施中(服务器、交换设备、传输设备和上网终端),只要包含美国互联网公司提供的硬件、操作系统和应用软件,就极有可能包含零日(0day)或各类后门程序(Backdoor),就极有可能成为美国情治机构的攻击窃密目标,全球互联网上的全部活动、存储的全部数据或都‘如实’展现在美国情治机构面前,成为其对全球目标实施攻击破坏的 ‘把柄’和 ‘素材’。”

针对“蜂巢”平台高度智能化、高度隐蔽性的特点,互联网使用者该如何发现和应对“蜂巢”平台的威胁。国家计算机病毒应急处理中心提醒广大互联网用户,美国情治部门的网络攻击是迫在眉睫的现实威胁,针对带有美国“基因”的计算机软硬设备的攻击窃密如影随形。现阶段避免遭受美国政府黑客攻击的权宜之计是采用自主可控的国产化设备。此外,该中心的研究人员也建议互联网使用者及时更新网络设备、上网终端的操作系统,并及时打好补丁,同时关闭不必要的网络服务和端口,按照《中华人民共和国网络安全法》、《网络安全等级保护条例》等法律法规的要求做好网络安全防护工作。

]]>
联想UEFI固件驱动曝重大漏洞,数百万台电脑存在被入侵风险 Sun, 03 Jul 2022 08:24:23 +0800 最新的网络安全研究中,已发现的3个影响深远的统一可扩展固件接口 (UEFI) 安全漏洞影响了多款联想消费者笔记本电脑,这些漏洞可以使攻击者能够在受影响的设备上部署和执行固件植入。

根据中国网络安全行业门户”极牛网”GeekNB.com的梳理,这3个UEFI的重大安全漏洞号分别是 CVE-2021-3970、CVE-2021-3971 和 CVE-2021-3972,这些漏洞的产生主要是由于原本只能用于在电脑制造期间使用的固件驱动程序,被包含在了量产的BIOS镜像中。

成功利用这些漏洞可能允许攻击者禁用 SPI 闪存保护或安全启动,从而有效地使攻击者能够安装能够在系统重启后继续存在的持久性恶意软件。

另一方面,CVE-2021-3970 漏洞与公司系统管理模式 ( SMM ) 中的内存损坏有关,导致以最高权限执行恶意代码。

这3个漏洞已于 2021 年 10 月 11 日向 PC 制造商报告,随后于 2022 年 4 月 12 日发布补丁。联想描述的3个缺陷的摘要如下:

CVE-2021-3970:LenovoVariable SMI 处理程序中的一个潜在漏洞,由于在某些联想笔记本型号中验证不足,可能允许具有本地访问权限和提升权限的攻击者执行任意代码。

CVE-2021-3971: 在某些消费者联想笔记本设备的旧制造过程中使用的驱动程序存在潜在漏洞,错误地包含在 BIOS 映像中,这可能允许具有提升权限的攻击者通过修改 NVRAM 变量来修改固件保护区域。

CVE-2021-3972: 一些消费者联想笔记本设备在制造过程中使用的驱动程序存在潜在漏洞,该驱动程序错误地未停用,可能允许具有提升权限的攻击者通过修改 NVRAM 变量来修改安全启动设置。

网络安全研究人员表示,UEFI 威胁可能非常隐蔽和危险,它们在启动过程的早期执行,然后将控制权转移到操作系统,这意味着它们可以绕过堆栈中几乎所有可能阻止其操作系统有效负载执行的安全措施和缓解措施。

]]>
我国电信设施曾遭网络窃密,部分数据传至境外 Sun, 03 Jul 2022 08:24:23 +0800 4月15日是第七个全民国家安全教育日。随着我国前所未有地走近世界舞台中央,国家安全的内涵和外延越来越丰富,时空领域更加宽广,网络安全、数据安全等非传统安全领域的风险日益显现,一些以互联网新生事物为掩护从事危害传统安全的行为也屡见不鲜。面对传统安全和非传统安全交织叠加的新形势,国家安全机关坚持统筹兼顾、综合施策,依法防范、制止、惩治各类危害国家安全行为,有效防范化解了国家安全各领域风险挑战。近日,国家安全机关公布多起典型案件,呼吁全社会提高国家安全意识,共同筑牢维护国家安全的坚固防线。

关键信息基础设施领域遭网络攻击窃密

2020年以来,国家安全机关工作发现,我国有关电信运营商、航空公司等单位内网和信息系统先后多次出现越权登录、数据外传等异常网络行为,疑似遭受网络攻击。国家安全机关依法开展技术检查,确认部分骨干网络节点设备、核心业务系统服务器等被植入特种木马程序,已有部分数据被发送至境外。通过进一步深入调查证实,相关攻击活动是由某境外间谍情报机关精心策划、秘密实施的。该机构调集强力网络攻击力量,使用全球多地网络资源和先进网络武器,妄图实现对我国关键信息基础设施战略控制的目的。

针对上述案情,国家安全机关指导相关单位,立即采取有效措施,清除特种木马程序,堵塞技术漏洞,调整安全策略,加固网络防护,及时制止了危害蔓延。同时,对该境外间谍情报机关后续对我国实施的网络攻击行为,进行全天候跟踪监测和定向打击,及时发布预警信息,有效阻断通信链路,清除危害源头,成功粉碎其对我国“停服断网”图谋。

12339举报电话受理多条自首线索

近年来,国家安全机关持续加大国家安全法律法规和12339举报受理电话宣传力度。随着宣传教育的不断深入,公民自觉主动举报危害国家安全线索显著增多,其中有一些是悬崖勒马、主动自首的情况。在我国某重要军事基地周边,2021年1月至6月间,先后有4人主动向国家安全机关自首。其中2人是被他人“引荐”给境外间谍情报机关,另外2人是在使用某知名网络交友软件时被境外间谍情报机关实施了网络勾连。

吴某某,被朋友“引荐”给境外间谍情报机关后,按对方要求搜集了当地公告、交通管制信息等情况,并获取了对方给予的报酬。后来,因对方提出需要他想办法搜集“红头文件”,他才意识到对方可能是间谍,于2021年1月拨打12339自首。

沈某某,是一名退役军人,退役后以开私家车载客为兼职。一名受雇于境外间谍情报机关,在我国境内开展工作的人员搭乘其私家车进行观测时,将沈某某“引荐”了给境外间谍。对方认为沈某某具备观测军事目标的条件,于是对他实施了勾连,并部署搜集情报的任务。后来,沈某某发觉对方要求拍照的地点都是敏感的军事基地周边,意识到对方可能是境外间谍,于2021年5月主动向国家安全机关自首。

陈某某,在使用某网络交友软件时被境外间谍勾连。他执行了对方布置的观测任务并收受了报酬,后在家人劝说下,于2021年1月拨打12339自首。孙某某,同样在使用该交友软件时,被境外间谍网络勾连。对方要求他查看当地部队发布的道路管制公告、录制军事目标视频。孙某某认为对方的行为与新闻报道中的间谍行为很吻合,于2021年6月向国家安全机关自首。

鉴于4人主动向国家安全机关自首,且未造成实质性危害,当地国家安全机关依法免于处罚,没收其违法所得,并进行了教育训诫。

故意泄露国家安全机关工作秘密

2021年3月,因工作需要,国家安全机关多次前往北京市西城区某餐厅开展工作,依法要求该餐厅副经理黄某某配合调查,同时告知其保守秘密的义务。不久后,国家安全机关工作发现,该餐厅配合调查的情况疑似被其他人员知悉掌握,给后续工作开展带来了严重不利影响。国家安全机关随即对这一情况进行了深入调查。通过进一步调查取证,证实了黄某某涉嫌泄露有关反间谍工作的国家秘密。

经鉴定,黄某某泄露内容系秘密级国家秘密。在确凿的证据面前,黄某某如实交代,其在明确被告知应保守国家秘密的前提下,先后两次故意对外泄露国家安全机关依法开展工作的情况。此外,在国家安全机关此前依法要求黄某某配合调查时,他还对办案人员故意隐瞒了其所知悉的情况。针对以上违法事实,根据《中华人民共和国反间谍法》第三十一条之规定,2021年6月17日,国家安全机关对黄某某处以行政拘留十五日的处罚。

《中华人民共和国国家安全法》第七十七条规定,公民和组织应当履行下列维护国家安全的义务:一是遵守宪法、法律法规关于国家安全的有关规定;二是及时报告危害国家安全活动的线索;三是如实提供所知悉的涉及危害国家安全活动的证据;四是为国家安全工作提供便利条件或者其他协助;五是向国家安全机关、公安机关和有关军事机关提供必要的支持和协助;六是保守所知悉的国家秘密;七是法律、行政法规规定的其他义务。

国家安全机关提醒,维护国家安全没有“局外人”,每个人都应该参与其中,贡献一份力量。国家越安全,人民就越有安全感;人民越有安全意识,国家安全也就越有依靠。

]]>
《安联智库-网安周报》2022-04-17 Sun, 03 Jul 2022 08:24:23 +0800

1、在ESET和微软帮助下 乌克兰成功阻止针对能源设施的网络攻击

在 ESET 和微软研究人员的帮助下,乌克兰官员表示成功阻止了一起针对能源设施的网络攻击。在本次阻止攻击过程中,它们发现了 Industroyer 的新变种,它是一个臭名昭著的恶意软件,在 2016 年被 Sandworm APT 组织用来切断乌克兰的电力。
乌克兰政府计算机应急小组(CERT-UA)表示,该攻击使用 Industroyer 变体尝试对“几个基础设施”发起攻击,包括高压变电站、设施的计算机、网络设备和运行 Linux 操作系统的服务器设备。
2、谷歌浏览器紧急更新,又修复一零日漏洞

Bleeping Computer 网站消息,谷歌发布了适用于 Windows、Mac 和 Linux 的更新版本 Chrome 100.0.4896.127,以解决一个在野被利用高严重性零日漏洞(CVE-2022-1364)。攻击者可以通过类型混淆漏洞读取或写入超出缓冲区范围的内存,导致浏览器系统崩溃。除此之外,攻击者也可以利用该漏洞执行任意代码。

谷歌方面表示,Chrome 浏览器的更新版本将在未来几周内推出。目前,用户可以进入 Chrome 菜单>帮助>关于谷歌浏览器,立即收到更新。另外,浏览器也会自动检查更新,在用户关闭和重新启动谷歌浏览器时安装更新版本。

谷歌方面强调,该漏洞正在被积极利用,强烈建议用户手动检查更新并重新启动浏览器应用新版本。

3、又一家NFT平台曝出重大漏洞

以色列网络安全厂商Check Point发布报告称,全球最大的不可替代代币(NFT)市场之一Rarible曝出安全漏洞,可能允许恶意黑客在交易过程中窃取用户的NFT与加密货币。

研究人员表示,网络犯罪分子发现一种创建恶意NFT的方法。只要点击恶意NFT链接,攻击者就能完全控制受害者的加密货币钱包并窃取钱包中的资金。

Rarible平台未回复置评请求。据Check Point透露,该平台已经在4月5日的披露说明中承认存在此问题,“相信Rarible将在接下来的版本中部署修复程序。”

加密货币盗窃攻击过程还原

典型的Rarible漏洞利用流程如下:

首先,黑客会向受害者发送一条恶意NFT链接;

之后,该恶意NFT会“执行JavaScript代码,并尝试向受害者发送setApprovalForAll请求”。

如此一来,受害者将在无意间回复请求,泄露自己NFT或加密货币的完全访问权限。

周杰伦就在4月初不幸成为这一攻击手法的受害者。当时他点击了一个恶意NFT,无意中让黑客窃取了他的Bored Ape NFT 3738访问权限。

Check Point解释称,“在周杰伦提交请求将NFT访问权限泄露给恶意黑客后,对方立即将NFT转移到了自己的钱包中,随后在市场上以50万美元价格卖出。”

4、俄乌冲突以来,超过 350 万俄罗斯互联网用户的账户被盗

4 月 16 日消息,据 Surfshark 的一项研究表明,自 3 月俄罗斯入侵乌克兰开始以来,俄罗斯账户遭到入侵的数量比 2 月增加了 136%。与此同时,乌克兰出现的泄露数量比战前季度减少了 67%。

这些数字很可能是由黑客组织 Anonymous 在冲突开始时宣布将针对俄罗斯的事实驱动的。

“泄露的电子邮件、密码、电话号码,甚至更敏感的数据池通常在暗网上出售,以供以后用于网络钓鱼攻击、勒索软件甚至身份盗窃。从我们的最新数据中可以看出,一些国家在过去的几个月里,比其他人更容易受到这种情况的影响。”


]]>
俄乌冲突以来,超过 350 万俄罗斯互联网用户的账户被盗 Sun, 03 Jul 2022 08:24:23 +0800 4月16日消息,据 Surfshark 的一项研究表明,自 3 月俄罗斯入侵乌克兰开始以来,俄罗斯账户遭到入侵的数量比 2 月增加了 136%。与此同时,乌克兰出现的泄露数量比战前季度减少了 67%。

这些数字很可能是由黑客组织 Anonymous 在冲突开始时宣布将针对俄罗斯的事实驱动的。

美国排名第二,其次是波兰、法国和印度。数据泄露最多的五个国家占 2022 年第一季度所有泄密事件的一半。仅俄罗斯人就占全球所有受害者的近五分之一。

Surfshark 首席信息安全官 Aleksandr Valentij 表示:“尽管过去几个月数据泄露事件有所减少,但它仍然是最常见的网络犯罪类型之一。”

“泄露的电子邮件、密码、电话号码,甚至更敏感的数据池通常在暗网上出售,以供以后用于网络钓鱼攻击、勒索软件甚至身份盗窃。从我们的最新数据中可以看出,一些国家在过去的几个月里,比其他人更容易受到这种情况的影响。”

美国连续第二季度显示出数据泄露的积极下降趋势,2022 年受影响的用户比上一季度减少了近 50%,大约有 250 万用户被泄露。

由于今年泄露数量激增 514%,波兰跃升至第三位。该国媒体在年初报道了一波电话网络钓鱼攻击事件,黑客试图引诱诈骗信用卡详细信息。

]]>
又一家NFT平台曝出重大漏洞,Web 3.0安全隐患凸显 Sun, 03 Jul 2022 08:24:23 +0800 以色列网络安全厂商Check Point发布报告称,全球最大的不可替代代币(NFT)市场之一Rarible曝出安全漏洞,可能允许恶意黑客在交易过程中窃取用户的NFT与加密货币。

研究人员表示,网络犯罪分子发现一种创建恶意NFT的方法。只要点击恶意NFT链接,攻击者就能完全控制受害者的加密货币钱包并窃取钱包中的资金。

Rarible平台未回复置评请求。据Check Point透露,该平台已经在4月5日的披露说明中承认存在此问题,“相信Rarible将在接下来的版本中部署修复程序。”

Web 3.0基础设施安全薄弱

Check Point产品漏洞研究负责人Oded Vanunu表示,他们已经看到不少网络犯罪分子正在盗窃加密货币以获取利润,这类行为在NFT市场上尤为常见。

Vanunu称,去年10月,另一家国际主要NFT市场OpenSea曾曝出安全漏洞,他们正是受此启发开始对Rarible进行调查。在中国台湾的超级巨星周杰伦抱怨自己的一个NFT被盗,卖出50万美元高价后,他们受到鞭策愈加积极调查。

“在安全性方面,Web 2.0与Web 3.0基础设施之间仍然存在巨大差距。”Vanunu表示。

“任何一个小漏洞都可能被网络犯罪分子利用,从而悄悄劫持用户的加密钱包。从安全角度来看,我们仍处在一个缺乏统一Web 3.0协议市场的状态。”

加密货币盗窃攻击过程还原

典型的Rarible漏洞利用流程如下:

首先,黑客会向受害者发送一条恶意NFT链接;

之后,该恶意NFT会“执行JavaScript代码,并尝试向受害者发送setApprovalForAll请求”。

如此一来,受害者将在无意间回复请求,泄露自己NFT或加密货币的完全访问权限。

周杰伦就在4月初不幸成为这一攻击手法的受害者。当时他点击了一个恶意NFT,无意中让黑客窃取了他的Bored Ape NFT 3738访问权限。

Check Point解释称,“在周杰伦提交请求将NFT访问权限泄露给恶意黑客后,对方立即将NFT转移到了自己的钱包中,随后在市场上以50万美元价格卖出。”

“NFT用户应该对各类钱包的请求保持警惕,其中大部分仅指向钱包地址,但也有一些可能涉及对用户NFT及加密货币的完全访问权限。”

加密货币盗窃猖獗,用户需保持警惕

Rarible平台的月活跃用户超过200万。2021年,该平台报告的交易总量突破2亿美元。

Vanunu指出,这类加密货币/NFT黑攻击很可能引发极端影响。

“在基于区块链技术的交易市场上,我们已经观察到价值数百万美元的资产惨遭盗窃。在未来一段时期内,这类加密货币盗窃事件很可能还将持续增加。”

“结合当下现实,用户应当需要使用两个钱包:一个用于存储大部分加密货币,另一个仅用于操作单笔特定交易。这样即使涉及特定交易的钱包被盗,用户的主体资产不会受到致命影响。”

]]>
谷歌浏览器紧急更新,又修复一零日漏洞 Sun, 03 Jul 2022 08:24:23 +0800 Bleeping Computer 网站消息,谷歌发布了适用于 Windows、Mac 和 Linux 的更新版本 Chrome 100.0.4896.127,以解决一个在野被利用高严重性零日漏洞(CVE-2022-1364)。

谷歌方面表示,Chrome 浏览器的更新版本将在未来几周内推出。目前,用户可以进入 Chrome 菜单>帮助>关于谷歌浏览器,立即收到更新。另外,浏览器也会自动检查更新,在用户关闭和重新启动谷歌浏览器时安装更新版本。

谷歌方面强调,该漏洞正在被积极利用,强烈建议用户手动检查更新并重新启动浏览器应用新版本。

披露的几个漏洞细节 

据悉,谷歌新修复的零日漏洞追踪为 CVE-2022-1364,是 Chrome V8 JavaScript 引擎中一个高严重性类型混淆漏洞,由谷歌威胁分析小组成员 Clément Lecigne 发现。

根据以往经验来看,攻击者可以通过类型混淆漏洞读取或写入超出缓冲区范围的内存,导致浏览器系统崩溃。除此之外,攻击者也可以利用该漏洞执行任意代码。漏洞披露不久后,谷歌方面表示,安全研究人员已经检测到利用该零日漏洞的网络攻击行为,但是没有提供关于网络攻击活动的具体细节。

另外,谷歌强调,对漏洞细节和链接的访问可能会一直受到限制,直到大多数用户应用更新版本。值得一提的是,CVE-2022-1364 是本次更新中唯一披露的漏洞,侧面说明为了解决这个问题,谷歌紧急推出了Chrome 100.0.4896.127版本。

]]>
国家网信办曝光一批电信网络诈骗典型案例 Sun, 03 Jul 2022 08:24:23 +0800 为贯彻落实习近平总书记关于打击治理电信网络诈骗犯罪工作的重要指示精神,切实保障人民群众财产安全,国家网信办会同公安部等有关部门,深入整治电信网络新型违法犯罪,建设国家涉诈黑样本库,建立互联网预警劝阻平台,精准提示潜在受害人,维护人民群众切身利益。今年以来,国家网信办反诈中心排查打击涉诈网址87.8万个、APP7.3万个、跨境电话7.5万个,并纳入国家涉诈黑样本库。目前,国家涉诈黑样本库已涵盖并处置涉诈网址318.7万个、APP46.9万个、跨境电话39.7万个,互联网预警劝阻平台预警超6亿人次。为提高人民群众防骗意识和识骗能力,现将部分典型案例通报如下:

一、2022年2月,江西省某市受害人洪某某下载了一款名为“京东.J.R”的仿冒APP,受到“额度高”“利息低”等表述诱导,注册账户并申请贷款。平台谎称其账号异常,需转账到所谓的“银保监会账户”进行验证,洪某某先后多次转账,合计被骗5万元。

二、2021年8月,江苏省某市方某某下载了“阿聊”APP和“汇龙支付”APP,参加所谓的“高额”任务返现活动。平台以连单任务、信誉不足为由让方某某先充钱再重启任务,方某某累计被骗11万元。

三、2021年11月,四川省某市张某某接到谎称某电商的客服电话075xxx384,称张某某购买的尿不湿因质量问题可申请退款。张某某未通过官方渠道核实对方信息,按照对方指示进行转账操作,合计被骗7.5万元。

四、2021年6月,诈骗分子冒充浙江省某市派出所民警,联系郭某称其已涉嫌诈骗被立案,并要求郭某登录仿冒的某公安局官网查看立案信息,将资金转移到“安全账户”。郭某按照诈骗分子要求转账,合计被骗50余万元。

五、2022年2月,河北省某市受害人胡某看到炒股广告,下载“平安证券”仿冒APP进行相关投资操作,开始投入小金额盈利并提现成功,遂加大投资金额,最后提现失败,合计被骗50万元。

六、2022年1月,湖北省某市张某某接到陌生电话,对方自称是某平台客服,能准确说出张某某个人信息,并表示要帮张某某消除“校园贷”记录,否则会影响个人征信。张某某按照对方要求向多个网贷平台借款,并分别转到对方提供的账户,合计损失6万元。

国家网信办有关负责同志表示,近年来,利用APP进行诈骗已成为电信网络诈骗案件的主要犯罪手段之一,约占整体案发量的六成。其中,网络兼职刷单、快速贷款等诈骗APP较多,特别是有一些仿冒各大银行和金融平台的APP具有较大迷惑性和欺骗性,广大人民群众需提高防范意识。

国家网信办有关负责同志强调,各类网站平台特别是具有社交属性的相关平台要严格落实企业责任,加强涉诈信息处置,坚决把好第一道关。手机厂商、安全厂商、浏览器厂商等要积极接入互联网预警劝阻平台,应接尽接、不留死角,织密预警劝阻网络,履行企业社会责任,为打击治理电信网络诈骗犯罪贡献力量。

]]>
全民国家安全教育日 | 央视《焦点访谈》:失算的数据买卖 Sun, 03 Jul 2022 08:24:23 +0800 4月15日是全民国家安全教育日。数字经济已经成为国际竞争的制高点,数据领域面临的国家安全风险日益突出,尤其是国家基础信息、国家核心数据日益成为境外情报窃密的重要目标。不久前,国家安全机关破获了一起为境外刺探、非法提供高铁数据的重要案件。这起案件是《数据安全法》实施以来,首例涉案数据被鉴定为情报的案件,也是我国首例涉及高铁运行安全的危害国家安全类案件。

王某,上海某信息科技公司销售总监,因涉嫌为境外刺探、非法提供情报罪,于2021年12月31日被上海市国家安全局执行逮捕。与王某一同被逮捕的,还有公司销售迟某、法定代表人王某。

这是不久前,国家安全机关工作人员在王某所在公司搜查时缴获的设备。

2020年年底,经朋友介绍,上海某信息科技公司一名员工被拉进一个微信群,群里一家西方境外公司表示自己有项目要委托中国公司开展。

上海市国家安全局干警说:“境外公司自称其客户从事铁路运输的技术支撑服务,为进入中国市场需要对中国的铁路网络进行调研,但是受新冠疫情的影响,境外公司人员来华比较困难,所以委托境内公司采集中国铁路信号数据,包括物联网、蜂窝和GSM-R,也就是轨道使用的频谱等数据。”

为了挣钱,上海某信息科技公司很快应下了这个项目,但“境外公司”“铁路信号”“数据测试”这一系列的敏感词也让他们心存疑虑。为了确认项目的合法性,销售总监王某向公司法务咨询了该项目的法律风险,很快,他们得到了回复。

国家安全部干警说:“法务在了解了这个项目的情况以后,曾经告诉他们,这个数据的流出是不可控的,而且也不知道境外公司拿到这个数据的最终目的是什么,因此非常有可能会危害到我们的国家安全,所以建议这家公司一定要谨慎考虑开展这次合作。”

在与境外公司的邮件中,这家公司表达了自己的担心,并希望对方提供相应的合法性文件。对方回复道:你担心这个项目会有什么样的法律风险?我们在其他国家进行此类测试时,没有人让我们提供过任何相关的文件。对方催促项目要尽快开展,并把需要的设备清单提供给境内这家信息技术公司。

上海市国家安全局干警说:“器材设备普通易购,并非专用间谍器材。一个是天线,一个是SDR设备,就是连接天线跟电脑之间的设备,一个就是电脑,还有就是移动硬盘。”

这样的设备清单,大大减小了境内公司的疑虑。这单生意操作十分简单,但利润却十分丰厚,几天后,在公司的例会上,销售总监王某提起了这个项目,但他强调的主要是回报率。

犯罪嫌疑人、某信息科技公司法定代表人王某说:“据他所说这个项目有机会发展成为长期业务,收入和利润都还不错。在他说完这个之后,我们的技术总监也提出了,这个项目会涉及要去高铁车站采集信号,这样做是否合规。”

虽然有人对项目的合法性提出疑义,但利润可观,法务给出的意见并不是大家想要的结果,公司负责人王某要求销售王某、迟某和负责网络安全的米姓副总,再去咨询另一家从事信息安全服务的兄弟公司。这一次,他们得到了想要的答案。

犯罪嫌疑人、某信息科技公司法定代表人王某说:“负责信息安全的子公司的一个副总,说看起来这个在技术上面貌似没有什么问题。”

犯罪嫌疑人、某信息科技公司销售迟某说:“因为这个项目如果能进行下去,自己可以从中拿到一些绩效。当利益摆在面前的时候,从自身角度我可能更倾向于相信这个项目是可行的。”

这是销售王某和迟某想要的结果,但他们很清楚,这样的咨询并不专业,况且当初法务在回复的邮件里提醒过,即使境外获取的数据在国家安全和技术层面没有法律风险,也有可能侵犯到国内某通讯集成公司的知识产权或商业秘密。迟某和王某虽想赚钱,却不愿承担这个项目可能带来的法律风险。

对接过程中,双方约定了两个阶段的合作:第一阶段由上海这家公司按照对方要求购买、安装设备,在固定地点采集3G、4G、5G、WIFI和GSM-R信号数据;第二阶段则进行移动测试,由上海公司的工作人员背着设备到对方规定的北京、上海等16个城市及相应高铁线路上,进行移动测试和数据采集。然而,在双方的合同中,合作涉及的这些具体又敏感的内容完全没有被提及。

国家安全部干警说:“他们仅仅是在附件里简单提到了这次服务内容有调试服务和工程服务,具体要采集什么信号,信号是什么内容,以什么形式传到境外,里面一概没有提,这是他们为了规避风险故意而为的。”

合作之初,境外公司要求境内这家公司把测试数据存入硬盘,等测试结束后邮寄到境外。上海的公司因担心邮寄硬盘被海关查扣而提出过其他的选项。

国家安全部干警说:“他们曾经商量过能不能通过云存储的方式进行数据传递,但是境外公司拒绝了这个建议,他们表示自己需要的数据量可能会比较大,通过云存储的方式进行传递,不一定能够全部完整获得到相关数据。”

对于最终如何提交数据,对方没再说什么,只是一再催着境内的公司尽快开始。在对方的催促下,境内这家信息技术公司按照对方的要求购买了设备,并进行安装调试。就在调试的过程中,对方突然提出让境内公司为他们开通远程登录端口的要求。

犯罪嫌疑人、某信息科技公司销售迟某说:“境外这家公司的说法很简单,开个远程端口就是测试一下,看看信号是不是正常。”

犯罪嫌疑人、某信息科技公司销售总监王某说:“在我拿到开启端口需求的时候,以我几年的IT从业经验来看,他是可以远程控制这台电脑做相应的测试,也可以实时拿到对应的测试数据,所以他可能以这种形式已经将数据转移到海外。”

对于境外公司的真实目的,这家信息技术公司心知肚明,但又选择与对方心照不宣。把远程端口的登录名和密码交给对方后,国内的公司只需要保证网络24小时连接再做些简单的工作就可以直接从对方拿钱了。

国家安全部干警说:“他们只需要在电脑死机或者是天线角度不对的情况下,重启下电脑或者是按照对方的要求调整天线的角度就可以了。这家公司日常的项目利润也就15%到20%之间,但是做这个项目,投入的成本非常低,利润却高达80%到90%,可谓是一本万利。”

在利益的驱使下,国内这家信息技术公司默许对方源源不断获取我国铁路信号数据。直到5个月后,合同快到期准备续签时。

犯罪嫌疑人、某信息科技公司销售迟某说:“境外这家公司要求我们提供一些参数给它,但是这个参数我们向公司的相关部门咨询的时候,相关部门给出的建议是这个东西我们提供不了,我们不能做,所以公司决定这个项目不做了。”

虽然公司决定停止与境外公司合作,但销售王某和迟某不愿放弃如此高利润的项目。为了继续从中获取利益,王某决定寻找下家接手的公司,自己和迟某则作为介绍人从中分成。

在王某的撮合下,第二家公司很快就与境外公司建立了合作关系,王某和迟某直接拿到了9万元的分成。但这样的好日子没过多久,国家安全机关就找上门来。

国家安全部干警说:“通过勘验相关电子设备,仅仅一个月采集的信号数据就已经达到500GB,而这个项目已经实施了将近半年,可以想象所采集和传递到境外的数据是非常庞大的。”

经鉴定,两家公司为境外公司搜集、提供的数据涉及铁路GSM-R敏感信号,GSM-R是高铁移动通信专网,直接用于高铁列车运行控制和行车调度指挥,是高铁的“千里眼、顺风耳”,承载着高铁运行管理和指挥调度等各种指令。境内公司的行为是《数据安全法》《无线电管理条例》等法律法规严令禁止的非法行为。相关数据被国家保密行政管理部门鉴定为情报,相关人员的行为涉嫌《刑法》第111条规定的为境外刺探、非法提供情报罪。

中国国家铁路集团有限公司工电部通信信号处主管姜永富说:“虽然非法采集行为本身,不会影响高铁无线通信正常进行,也不影响列车安全。但是不法分子如果非法利用这些数据故意干扰或恶意攻击,严重时将会造成高铁通信无线中断,影响高铁运行秩序,对铁路的运营构成重大威胁;同时大量获取分析相关数据,也存在高铁内部信息被非法泄露,甚至被非法利用的可能。”

经国家安全机关调查,这家境外公司从事国际通信服务,但它长期合作的客户包括某西方大国间谍情报机关、国防军事单位以及多个政府部门。在数据时代,境外一些机构、组织和个人,针对我国重要领域敏感数据的情报窃密活动十分突出,给国家安全和经济社会发展造成了重大风险隐患。

国家基础信息、国家核心数据事关国家安全、国计民生和重大公共利益,是数据安全保护工作的重中之重。希望全社会进一步增加国家安全意识,坚持总体国家安全观,共同建立健全数据安全治理体系,提高数据安全保障能力,筑牢维护国家安全的钢铁长城。

]]>
因数据或隐私安全问题,这家巨头近一年已累计被罚超10亿美元 Sun, 03 Jul 2022 08:24:23 +0800 对互联网企业而言,数据信息既是心头肉,又是心头痛,在利益与维系用户隐私安全面前走钢索,翻车在所难免。最近一年以来,知名社交平台Facebook母公司Meta可谓罚单不断,其中因为数据处理和隐私安全等问题所遭受到的来自各国的罚款就已超过10亿美元。本文梳理了自2021年以来Meta吃到的典型罚单案例。

因不当使用数据被意大利监管机构罚款700万欧元

2021年2月16日,Facebook因对用户数据的不当使用,被意大利监管机构罚款700万欧元(约760万美元)。当局认为,Facebook未能遵守2018年11月对其的警告,即必须告知用户的数据会被用于商业用途,同时要让用户拥有自主选择权。但Facebook未能公布纠正声明,并在未经用户明确同意的情况下,对于访问第三方网站或应用的授权,用户只能取消选择预设,而不能对其进行主动、自由和有意识的选择,此举亦违反了意大利《消费者法》。

滥用人脸识别,被迫支付6.5亿美元巨额赔偿

2021年2月26日,美国法院批准了一起针对Facebook的集体诉讼和解协议,这一诉讼持续了长达6年。2015年,3名用户状告Facebook 在收集和存储生物特征数据时,没有明确告知、没有征得用户的书面同意,也没有说明数据的保存期限,期间Facebook多次试图终止诉讼,但均被驳回,且有越来越多的用户也因此要求索赔。最终,根据和解协议,Facebook需要向160万申请索赔的用户共赔偿6.5亿美元,其中3名原告代表每人获赔5000美元,其余用户获得至少345美元的赔偿。

除了这笔巨额赔偿,Facebook也不得已在2019年就把人脸识别功能设置为默认关闭,并且根据此次和解协议,还必须删除所保存的现有人脸模板。

因侵犯隐私被欧盟罚款2.25亿欧元

2021年9月2日,爱尔兰数据保护委员会公布裁决,因Facebook旗下即时通信工具WhatsApp违反了欧盟《一般数据保护条例》(GDPR),被处以2.25亿欧元(约2.67亿美元)罚款。据悉,自2018年开始,相关单位就已对Facebook展开了调查,因Facebook的欧盟总部设在爱尔兰,调查由爱尔兰数据保护委员会领导。

委员会认定,WhatsApp没有按照GDPR的要求,正确告知用户它与母公司Facebook共享个人数据的方式,对用户隐私构成威胁。根据GDPR,如果保护用户数据不力,轻者可被罚1000万欧元或前一年全球营业收入的2%,重者可被罚两千万欧元或前一年全球营业收入的4%。

因滥用用户隐私被法国罚款6000万欧元

2022年1月6日,法国监管机构CNIL对Meta开出6000万欧元(约约6500万美元)罚单。CNIL认为Meta在征询Cookie使用时,未向用户提供清晰明确的“一键拒绝”网络数据跟踪机制,存在试图引导用户暴露个人隐私的嫌疑,触犯了有关隐私保护条例。在罚款的同时,CNIL也勒令Meta在三个月内整改,让用户可以“一键拒绝”cookie追踪。

根据调查发现,诸如Facebook网站、谷歌或Youtube网站在提供拒绝跟踪Cookie时需要执行复杂的操作,而对接受追踪却可以“一键搞定”。

赔偿9000万美元了结十年数据隐私诉讼

2022年2月,美国加州地方法院何塞分庭宣布了结了一起Meta与4名Facebook用户长达十年数据隐私诉讼,这4名用户指控Facebook在他们退出社交媒体网站后,仍会追踪他们的网络活动,对用户隐私权构成侵犯。根据庭外和解协议,Meta最终同意支付9000万美元的赔偿金,并同意删除在用户不知情的情况下搜集到的所有数据。

因数据泄露问题处理不当,再度被欧盟罚款1700万欧元

2022年3月,爱尔兰数据保护委员会再度对Meta开刀,认为Meta在多次大规模个人数据泄露事件中,未能证明其采取了适当的安全应对措施,保障欧盟用户的数据安全,因而违背欧盟《通用数据保护条例》(GDPR),被处以1700万欧元(约1840万美元)罚款。

自2018年5月GDPR开始实施以来,Meta仅在当年就向GDPR报告了不少于12起数据泄事件,爱尔兰数据保护委员会在对这起事件进行为期两年多的调查后最终做出了如上裁决。Meta表示会认真对待GDPR的规定,并对此次处罚进行反思。

不难看出,Meta的屡屡受罚反映了近年来国际社会对数据和隐私安全的重视程度在日益加深,多国均已出台和完善了相应的数据及隐私监管法规。虽然Meta口口声声以用户为中心,注重安全与隐私,在近期推出了全新的“隐私中心”,帮助用户了解解数据收集和隐私选项,并表示将在明年正式推出旗下应用间的端到端加密计划,但显然Meta在实际运营中采取了“两面“做法。

虽然目前多数罚款对像Meta这样的互联网巨头而言如同毛毛细雨,但在数字经济越发成熟、人们自我保护意识觉醒的当下,如果不能从行动上采取实质性措施保护数据及用户隐私,除了会面临更巨额的罚款,用户的流失和在各国面临的监管制裁恐将给企业发展带来真正的切肤之痛。

]]>
福克斯新闻在线曝光 1300 万条敏感记录 Sun, 03 Jul 2022 08:24:23 +0800 Hack Read 网站披露,由于数据库配置错误,FOX News(福克斯新闻)在没有任何安全认证的情况下暴露一个大小 58GB 的数据库,其中包含约 1300 万条网络内容管理记录。

以 Jeremiah Fowler 为首的 IT 安全研究人员披露了福克斯新闻数据泄漏事件的相关细节,据悉,数据库存在一个配置错误,导致大小 58 GB 的数据库处于没有密码保护的状态,任何互联网用户都能够随意访问这些暴露数据。目前,暴露的数据库已经得到保护。

曝光 1300 万条记录

研究人员对曝光的数据库分析后指出,暴露数据中包含大约 1300 万条网络内容管理记录,互联网用户可以随时访问。

Security Discovery 联合创始人兼安全研究员 Fowler 表示,被曝光的文件中包含约 700 个内部的网络电子邮件、用户名,演员和制作人员的姓名以及他们的内部 Fox ID 参考号。

经进对泄露的内部记录进一步研究,发现几乎包含福克斯新闻内容、存储信息、福克斯内部电子邮件、用户名、员工身份证号码、附属电台信息、主机名、主机帐号、IP地址、接口、设备数据等信息。

数据泄露带来安全隐患

针对福克斯新闻数据泄露事件,Fowler 强调,如果这些数据落入网络犯罪分子手中,可能会带来一系列网络钓鱼攻击,攻击者能够很容易识别出脆弱区域,以便开展网络入侵活动。

另外,攻击者也会就数据库提出赎金要求,Fowler  还指出,目前尚不清楚这些信息记录暴露了多长时间,也不清楚是否有人已经访问了数据库。

值得一提的是,福克斯新闻接到关于不安全的数据库通知后,迅速召集网络安全人员,采取专业行动,此举 获得了 Fowler 的赞赏。

]]>
在ESET和微软帮助下 乌克兰成功阻止针对能源设施的网络攻击 Sun, 03 Jul 2022 08:24:23 +0800 在 ESET 和微软研究人员的帮助下,乌克兰官员表示成功阻止了一起针对能源设施的网络攻击。在本次阻止攻击过程中,它们发现了 Industroyer 的新变种,它是一个臭名昭著的恶意软件,在 2016 年被 Sandworm APT 组织用来切断乌克兰的电力。

乌克兰政府计算机应急小组(CERT-UA)表示,该攻击使用 Industroyer 变体尝试对“几个基础设施”发起攻击,包括高压变电站、设施的计算机、网络设备和运行 Linux 操作系统的服务器设备。

CERT-UA 解释说:“受害组织遭受了两波攻击。最初的妥协发生在 2022 年 2 月之前。变电站的断电和公司基础设施的退役被安排在2022年4月8日星期五晚上进行。同时,到目前为止,恶意计划的实施已经被阻止了”。

EET在关于这一情况的解释中说,它还看到攻击者使用了其他几个破坏性的恶意软件家族,包括CaddyWiper、ORCSHRED、SOLOSHRED和AWFULSHRED。

ESET说,它不确定攻击者是如何入侵最初的受害者的,也不确定他们如何设法从IT网络转移到工业控制系统(ICS)网络。但CERT-UA说,攻击者能够"通过创建SSH隧道链"在不同网段之间横向移动。

]]>
捐1元被收3元“支持费”?互联网筹款平台手续费收取陷入两难 Sun, 03 Jul 2022 08:24:23 +0800 近期,多家互联网大病筹款平台被曝开始向捐款者收取“支持费”,甚至捐1元收取3元。同时,去年于美股上市的水滴筹也于4月7日开始试行向筹款者收取服务费,其在试行公告中称,过去五年多,水滴筹维持运营所需的成本,一直由水滴公司补贴,未向筹款人收取费用。

《科创板日报》记者查询水滴公司招股书发现,从2018年开始,水滴公司的经营活动现金流净额一直处于净流出状态,且出现扩大的趋势;相比涨幅不算明显的营业收入而言,水滴公司的净亏损也正在逐步扩大,这也在很大程度上增加了水滴公司运营筹款平台的财务压力。

从财报角度来看,公司资金面上的不再充裕,或许是促使水滴筹等互联网筹款平台向筹款和捐款双方收取服务费用的初衷。不过,从收取费用的额度来看,对于筹款平台运营上的压力,这仍旧是杯水车薪。

当捐款与提现“不再免费”

向捐款方或者筹款方按捐款费用比例收取服务费用,是目前主流互联网筹款平台的两种主要方式。

如以轻松筹为代表的平台,当捐助者此前在平台页面进行捐款时,在最后一步会出现勾选项,询问用户是否阅读并同意《用户资助说明》,如果没有取消勾选该项目,在实际捐款时将会扣除3元“支持费”。《科创板日报》记者查询黑猫投诉平台发现,捐助者投诉的内容大多与此相关——在没有取消勾选的情况下被多扣除了3元捐助费用。

而在商家回复中,轻松筹表示,平台未收取任何服务费用,也无误导支付之意。如果捐款者需要退费,可在轻松筹公众号-个人中心-我的捐款-资助平台处申请退费。《科创板日报》记者登陆轻松筹客户端发现,截至目前,《用户资助说明》的勾选项已经被下线,在记者随机捐出1元之后,类似的额外服务费扣款也没有再度出现。

而水滴筹,则是在今年1月份就在徐州等城市试点向筹款方收取服务费。在徐州等试点地区,服务费的金额为实际筹款金额的3%,每案例服务费收取上限为5000.00元,与此前公布试行方案中的比例相同。

此外,第三方支付平台将另行扣除提现金额的0.6%作为支付通道费用。如果想要查看具体的试行方案,在提现公示与平台声明下方的实行公告处即可自行查阅。

水滴相关人士告诉《科创板日报记者》,在筹款人发起筹款之前,筹款顾问会和筹款人说清楚服务费的规则,筹款人在提交个人信息时还有一道确认,提现时还有一道提示。换言之,手续费用的收取是在征得筹款人同意之后才会进行扣除。如果筹款人不认可服务费的规则,可以选择其他筹款平台,或者水滴平台帮其另行联系公益组织。

由此来看,无论是筹款平台向捐款方或者筹款方收费,其出发点均来源于覆盖平台水涨船高的运营费用,但此前运营多年的“0服务费”模式,已经培养起了用户免费使用的习惯,而突然变为收费模式,短期内对于用户口碑可能会造成不利影响。

《科创板日报》记者查阅水滴公司财报发现,即便按照目前3%左右的扣除比例,水滴公司收取的服务费规模,也很难覆盖其高额的运营费用,至于能否缓解目前的经营状况,仍是未知数。

“烧钱营销”买流量快速做大模式后遗症多

公开信息显示,水滴筹母公司水滴公司创立于2016年,创始人为美团10号员工沈鹏。从家庭背景来看,沈鹏家庭此前从事保险行业已经多年。而美团的工作经历,让其对互联网与保险领域同时拥有较深的认知与见解。

自创始至今,公司经历了六轮投资,每一轮腾讯全部参与。最近的一次融资是在2020年11月,水滴接受了来自腾讯独家1.5亿美元的战略投资。6轮融资之后,水滴收到的投资金额接近44亿人民币。

当然,由于互联网筹款业务本身的公益体质,加之“0服务费”的宣传策略,水滴并不能从该项业务中获取营业收入,因此,借助筹款平台获取的流量,转化为互联网医疗保险的代理与经销,就成为了水滴筹与轻松筹等筹款平台获取收入的重要方式。

而在近年受疫情影响,在线医疗服务的增速超过了同期的其他医疗方式,根据艾瑞咨询预测,在线医疗服务市场预计到2024年将达到4,374亿元,在客观上为水滴筹的保险业务提供了增长空间。

此外,水滴相关人士告诉《科创板日报》记者,其负责代理的第三方保险类型,多为一次性的消费型保险,该种保险的保额较大,而需要支付的保费相对较少。正因如此,这类保险较为适合从互联网等渠道进行销售,水滴的营收在招股书的三年期间内也迎来了爆发性增长——2019年,水滴公司的营业收入增长534.5%到15.1亿元,2020年营业收入增长100.4%到30.3亿元。两年增长了近12倍。增速和数额都远超同属互联网保险经纪行业的慧择控股。

但在收入显著增长的背后,水滴依靠的还是以往互联网平台依靠第三方流量“烧钱营销”的套路。而这种方式在企业的扩张期是有效的。招股书显示,在营收流量来源方面,在初期水滴仍然以内部流量(众筹及互助)为主,但到2020年,这个比例已经降至16%左右,取而代之的是自然流量与第三方流量。

但这种打法的缺点显而易见,即为极高的市场费用投放。因此仅就净利润而言,水滴公司的亏损在近年来处于不断扩大的态势——在2018年,水滴营收2.38亿,净亏损1.88亿;2020年水滴营收30.28亿,净亏损6.64亿,而最新披露的2021年财报中,水滴的增速相比以往数倍的增幅大打折扣,增速仅为5%左右,为32.06亿,而净亏损却接近16亿,相比2020年猛增接近10亿。

就在2021年水滴上市之后不久,银保监会下发了《关于开展互联网保险乱象专项整治工作的通知》针对互联网保险产品管理、销售管理、理赔管理、信息安全等乱象频发领域,重点整治销售误导、强制搭售、诱导销售、费用虚高、违规经营和用户信息泄露等问题。

换言之,此前互联网保险业务通过烧钱等“野路子”进行扩张的打法已经不再奏效,这对业务模式刚刚成形的水滴来说,无疑是又一次打击。

专家:可参照慈善基金会收费标准

《科创板日报》记者查阅水滴公司财报发现,其2020年经营性现金流量净额为-7.77亿元,这意味着在水滴营收状况最好的一年,公司经营状况仍处于“失血”状态。而在2021年,水滴收入增长陷入停滞,而亏损进一步扩大,这也意味着此前靠互联网保险反哺0服务费的筹款业务的愿景,变得不再可行。这或许是水滴开始向筹款用户收取服务费的内在原因。

之所以水滴没有向捐款方收款,则有一些可能性在于,水滴需要向这部分捐款人群销售互联网保险,为了保证其筹款业务流量的稳定,选择向筹款方收取费用。

值得注意的是,水滴公司在试行方案中表示,每个筹款案例最高收取服务费不会超过5000元人民币,如果按3%的比例,意味着如果筹款超过16.67万元,即可达到服务费收取上限,对于治疗费用动辄数十万人民币的大病患者,这是个并不难达到的数字。

而公司声称五年来,已经为超过240万个大病患者筹集医疗资金,那么每年水滴筹服务平均48万个大病患者。如果这240万个大病患者均支付了5000元服务费,水滴将从他们身上收取一共24亿的服务费,但从2020年开始,水滴公司的营业支出已经超过35亿人民币,2020年则达到了50亿人民币,而上述24亿服务费,只是较为理想的情况。

“免费的服务方式不足以支撑业务可持续发展,对平台进一步发挥社会力量救助作用形成掣肘。” 全国人大代表、安徽省农业科学院副院长赵皖平接受媒体采访时表示,作为具有效率优势的互联网平台,可以参照现行基金会管理费标准,设立合理的行业服务费标准,从而促使行业良性持久发展。北京师范大学民生保障研究中心主任、教授谢琼同样认为,收取服务费用一定程度上比“商业反哺”的模式要有益,但要谨慎规定收费费率,确保可持续发展。

]]>
CISA:5款D-Link淘汰型号存在安全风险 推荐用户尽快升级 Sun, 03 Jul 2022 08:24:23 +0800 路由器是网络中必不可少的网络设备,但也往往被我们所忽略。只要路由器能够满足我们的上网需求,即便是停止支持我们也会继续使用。但我们也忽略了这些路由器存在的安全隐患,网络安全和基础设施机构(CISA)正在提醒 D-Link 的客户:近期又有 5 个 D-Link 型号被添加到该机构的脆弱设备名单中。

当路由器达到其使用寿命时(如受此漏洞影响的设备),漏洞变得更加严重。制造商有责任用新的补丁来解决这些问题,但他们一般不会为报废设备推送更新(只有少数罕见的例外)。

CISA 报告称 D-Link DIR-810L、DIR-820L/LW、DIR-826L、DIR-830L 和 DIR-836L 这 5 款型号的路由器存在“远程代码执行”漏洞。据 Malwarebytes 实验室称,攻击者可以利用“诊断钩子”(diagnostic hooks),在没有适当认证的情况下进行动态 DNS 调用,使他们能够控制受影响的路由器。

值得注意的是,Github 用户 doudoudedi表示针对这一漏洞的概念证明黑客已经存在于野外。因此,D-Link 建议尽快更换你可能拥有的任何受影响的路由器。产生更多的电子垃圾总是令人遗憾的,但在这种情况下,它是两害相权取其轻。

]]>
上海黑快递为赚钱核酸造假系谣言 Sun, 03 Jul 2022 08:24:23 +0800 近日,一段“‘黑快递’为了赚钱,核酸造假”的聊天记录在圈群传播。根据该聊天记录,微信用户名“CC”的网友称,目前有很多“黑快递”集中居住在一起,已经感染新冠病毒,却为了做生意在核酸检测上造假,并表示这是部分小区出现阳性感染的原因。上海辟谣平台从公安部门了解到,经初步调查,上海目前并不存在网传“黑快递”情况。网传关于“黑快递”的说法均来自“CC”。经调查,“CC”是吕某(男,46岁)的微信名,其于4月10日晚在小区群传播了这条消息,并称“我朋友说,外面快递员核酸都是代做的”,目前上海公安已经介入调查。

]]>
华为员工利用公司系统Bug越权访问机密数据被判刑 Sun, 03 Jul 2022 08:24:23 +0800 4月12日消息,根据中国裁判文书网披露了一份华为员工利用公司系统 Bug 越权访问机密数据的案件。

华为员工易某因工作需要,拥有登录华为企业资源计划 (ERP)系统的权限,查看工作范围内相关数据信息。

2010年12月,易某从华为公司线缆物控部调任后,未按华为公司的要求将 ERP 账户线缆类编码物料价格的查询权限清理,至2017年底,易某违反规定多次通过越权查询、借用同事账号登录的方式在 ERP 系统内获取线缆物料的价格信息。

2017年以后,易某发现 ERP 系统中的 POL 采购小程序存在漏洞,能通过特定操作绕过权限控制查看系统数据,便以此方式获取线缆物料的价格信息。易某将非法获取的价格数据以发短信、打电话、发电子邮件的方式告知深圳市金信诺高新技术股份有限公司(华为技术有限公司的供应商),从而帮助金信诺公司在华为公司的招标项目中提高中标率。

在2016年12月27日至2018年2月28日期间,多次通过公司邮箱将华为多个供应商共 1183 个(剔除重复部分共 918 个)线缆类编码物料的采购价格发送给金信诺公司。其在2012年至2017年6月30日期间,收受金信诺公司购物卡共计 7000 元、篮球鞋 5 双(价值共计人民币 16437.6 元)。

案发后,华为公司出具谅解书,表示对易某侵害华为公司的行为予以谅解。

IT之家了解到,法院一审裁定,易某犯非法获取计算机信息系统数据罪,判处有期徒刑一年,并处罚金人民币二万元;并向易某追缴违法所得共计人民币 23437.6 元,依法予以没收,上缴国库。

易某提起上诉,请求撤销原审判决,并依法改判为免于刑事处罚。法院二审裁定,易某非法获取计算机信息系统数据,违法所得超过人民币 5000 元,属于情节严重,已经构成非法获取计算机信息系统数据罪。其本人及辩护人的相关意见不成立,法院不予采纳。原审判决认定事实清楚,证据确实充分,定罪准确,量刑适当,审判程序合法。驳回上诉,维持原判。

]]>
一男子将自动贩卖机收款码换成自己的:非法获利74元 拘留12天 Sun, 03 Jul 2022 08:24:23 +0800 4月10日消息,据永康公安消息,近日永康市公安局东城派出所抓获了一名在口罩自助贩卖机上粘贴自己收款码实施诈骗的违法人员。

据通报,29岁的罗某于3月24日上午10时30分许,将自己的收款二维码贴在永康某医院的口罩自动贩卖机上,又事先在手机相册里保存了贩卖机上原本的收款码。口罩原价6元一个,罗某设置价格为14元一个。

这样一来,只要有人扫码,他就能在支付宝收到转账,再根据金额判断需要购买的口罩数量,用自己手机扫事先拍好的贩卖机二维码照片完成购买,并赚取差价。

截止到24日下午6时,贩卖机上的二维码被民警发现并撕除,罗某通过此方法共非法获利74元。目前,罗某因诈骗被公安机关依法处以行政拘留十二日的处罚,案件还在进一步办理中。

IT之家了解到,永康公安表示,商户应将收款码摆放在显眼位置,如果有监控,可将二维码设在监控范围内,并经常检查,避免收款码被替换、修改。

]]>
当心骗子冒充防疫人员加好友 Sun, 03 Jul 2022 08:24:23 +0800 “社区疫苗接种排查”、“社区防疫人员 速加好友”……你是否曾收到过这样以疫情防控为名的好友添加申请?那你一定要小心了。近日,德州市公安局陵城分局 打掉一冒充社区防疫人员为电信诈骗犯罪实施引流的犯罪团伙,抓获犯罪嫌疑人9名。

]]>
《安联智库-网安周报》2022-04-10 Sun, 03 Jul 2022 08:24:23 +0800

1、SpaceX星链突发全球断网 美英加澳均受影响

4月9日消息,太空探索技术公司 (SpaceX) 的 Starlink 卫星互联网突发全球中断。
Reddit 上有众多 Starlink 用户报告称,该服务突然停止工作。根据这些用户自己的说法,包括美国、英国、加拿大、澳大利亚、新西兰、比利时和葡萄牙等全球各地都出现了 Starlink 星链互联网中断的问题,但好在中断似乎很短暂,只用了不到半小时就恢复了正常。
Starlink 使用低地球轨道 (LEO) 互联网卫星为其用户提供互联网宽带服务,目前该服务已扩展到美国以外的多个国家。
2、三星手机曝重大漏洞 运行Android 9至12的所有机型危险了

4月6日消息,安全公司Kryptowire警告说,三星的各种设备都容易受到重大安全漏洞的影响,该漏洞允许黑客接管设备。

Kryptowire制作移动应用安全测试(MAST),这是一种扫描漏洞以及安全和隐私问题的工具。据该公司称,它发现了一个漏洞(CVE-2022-22292),该漏洞可能允许黑客采取一系列行动,包括拨打电话、安装/卸载应用程序、通过安装未经验证的证书来削弱HTTPS 安全性、在背景,甚至恢复出厂设置。

由于预装的手机应用程序具有“不安全组件”,该漏洞似乎影响了几乎所有运行Android 9至12的三星智能手机。因为电话应用程序以系统权限运行,这为不良行为者打开了攻击媒介。恶意应用程序可以利用电话漏洞来“模仿系统级活动”并访问本应受到保护的功能。

3、俄罗斯石油巨头Gazprom Neft网站因遭黑客攻击而关闭

近期,俄罗斯国家天然气公司Gazprom的石油部门Gazprom Neft网站因遭黑客攻击而被迫关闭,这似乎是俄罗斯入侵乌克兰后对政府相关网站的最新黑客攻击。

除此之外,据称多个乌克兰新闻网站在上个月同样遭到俄罗斯威胁攻击者的黑客攻击,并向访问者展示了“Z”符号。乌克兰国家特别通信和信息保护局在一篇网络帖子中证实了这一事件,并将责任归咎于俄罗斯国家支持的行为者。

4、广州行程码“带星”解释来了:是否影响出行,何时能消失?

4月9日,广州发布《广州市个别区域疫情风险等级调整的通告》。

根据广东省新冠肺炎防控指挥办疫情防控组《关于印发广东省新冠肺炎本地疫情应急处置方案(第三版)的通知》,经广州市新冠肺炎防控指挥办同意,自2022年4月9日起,广州市白云区三元里大道1008号鸿盈汇大厦调整为中风险地区。

4月9日中午,不少广州市民发现自己的通信大数据行程卡被标上了“*”。“通信大数据行程卡”,也是广大市民所熟知的“行程码”,是由工信部指导,中国信通院、中国电信、中国移动、中国联通共同推出的公益性的行程查询服务,可以免费为用户提供本人过往14天内到访过的国家(地区)和国内城市证明。

目前,只要是电信、移动、联通三家运营商中任何一家的用户,都可以使用该服务。但是新开卡的用户满14天后才能使用行程查询服务。

“通信大数据行程卡”显示信息包括:用户加密手机号、行程信息更新时间、色卡、用户过往14天内所有到访过的国家(地区)和停留超过4小时的国内城市,中高风险地区的城市会标注星号“*”。

那么,现在出现在广州人行程卡上的星号“*”是什么意思?根据“通信大数据行程卡”使用指南,到访地右上角的“*”标记表示当前该城市存在中风险或高风险地区,并不表示用户实际到访过这些中高风险地区。

需要注意的是,星号“*”和用户个人健康状况无关,仅作为中高风险地区的提示标志,方便管理人员查验。

当用户过往14天内行程不包含中高风险地区城市后,星号会自行消失。

星号标记会根据防疫部门对到访地的认定而变化,通常根据各地方卫健委最新发布的信息于24小时内更新中高风险地区的标星,数据更新有一定的时间差。如出现争议,建议您与相关防疫部门沟通,根据个人旅行车票、住宿单据、社区证明等来确定自己的行程。

]]>
广州行程码“带星”解释来了:是否影响出行,何时能消失? Sun, 03 Jul 2022 08:24:23 +0800 4月9日,广州发布《广州市个别区域疫情风险等级调整的通告》。

根据广东省新冠肺炎防控指挥办疫情防控组《关于印发广东省新冠肺炎本地疫情应急处置方案(第三版)的通知》,经广州市新冠肺炎防控指挥办同意,自2022年4月9日起,广州市白云区三元里大道1008号鸿盈汇大厦调整为中风险地区。

4月9日中午,不少广州市民发现自己的通信大数据行程卡被标上了“*”。“通信大数据行程卡”,也是广大市民所熟知的“行程码”,是由工信部指导,中国信通院、中国电信、中国移动、中国联通共同推出的公益性的行程查询服务,可以免费为用户提供本人过往14天内到访过的国家(地区)和国内城市证明。

目前,只要是电信、移动、联通三家运营商中任何一家的用户,都可以使用该服务。但是新开卡的用户满14天后才能使用行程查询服务。

“通信大数据行程卡”显示信息包括:用户加密手机号、行程信息更新时间、色卡、用户过往14天内所有到访过的国家(地区)和停留超过4小时的国内城市,中高风险地区的城市会标注星号“*”。

那么,现在出现在广州人行程卡上的星号“*”是什么意思?根据“通信大数据行程卡”使用指南,到访地右上角的“*”标记表示当前该城市存在中风险或高风险地区,并不表示用户实际到访过这些中高风险地区。

需要注意的是,星号“*”和用户个人健康状况无关,仅作为中高风险地区的提示标志,方便管理人员查验。

当用户过往14天内行程不包含中高风险地区城市后,星号会自行消失。

星号标记会根据防疫部门对到访地的认定而变化,通常根据各地方卫健委最新发布的信息于24小时内更新中高风险地区的标星,数据更新有一定的时间差。如出现争议,建议您与相关防疫部门沟通,根据个人旅行车票、住宿单据、社区证明等来确定自己的行程。

]]>
三星手机曝重大漏洞 运行Android 9至12的所有机型危险了 Sun, 03 Jul 2022 08:24:23 +0800   4月6日消息,安全公司Kryptowire警告说,三星的各种设备都容易受到重大安全漏洞的影响,该漏洞允许黑客接管设备。

  Kryptowire制作移动应用安全测试(MAST),这是一种扫描漏洞以及安全和隐私问题的工具。

  据该公司称,它发现了一个漏洞(CVE-2022-22292),该漏洞可能允许黑客采取一系列行动,包括拨打电话、安装/卸载应用程序、通过安装未经验证的证书来削弱HTTPS 安全性、在背景,甚至恢复出厂设置。

  由于预装的手机应用程序具有“不安全组件”,该漏洞似乎影响了几乎所有运行Android 9至12的三星智能手机。因为电话应用程序以系统权限运行,这为不良行为者打开了攻击媒介。恶意应用程序可以利用电话漏洞来“模仿系统级活动”并访问本应受到保护的功能。

  Kryptowire于2021年11月首次发现该漏洞并通知了三星。该公司于2022年2月发布了修复程序,鼓励所有三星用户立即更新以确保他们的手机安全。

]]>
俄罗斯石油巨头Gazprom Neft网站因遭黑客攻击而关闭 Sun, 03 Jul 2022 08:24:23 +0800 近期,俄罗斯国家天然气公司Gazprom的石油部门Gazprom Neft网站因遭黑客攻击而被迫关闭,这似乎是俄罗斯入侵乌克兰后对政府相关网站的最新黑客攻击。据说该网站上有一份来自俄罗斯天然气工业股份公司首席执行官阿列克谢米勒的声明,该声明似乎已经是网站被黑客入侵后的版本了,这份声明中对俄罗斯向乌克兰派遣数千名士兵的决定发表了批评言论,随后,该网站就被迫停止运营。

上个月,在面临外国制裁的情况下,米勒敦促俄罗斯天然气工业股份公司的50万名员工支持克里姆林宫,以保持俄罗斯作为一个重要大国的地位。不过,对于网站被黑事件,俄罗斯天然气工业股份公司表示:“4月6日上午在网站上发布的信息不属实,不能被视为公司代表或股东的正式声明”。Gazprom Neft是俄罗斯第三大石油生产商。它是俄罗斯天然气工业股份公司的子公司,持有其96%的股份。OAO Gazprom拥有Gazprom Neft 95%的股份,其余股份在证券交易所上市。

除此之外,据称多个乌克兰新闻网站在上个月同样遭到俄罗斯威胁攻击者的黑客攻击,并向访问者展示了“Z”符号。乌克兰国家特别通信和信息保护局在一篇网络帖子中证实了这一事件,并将责任归咎于俄罗斯国家支持的行为者。

]]>
SpaceX星链突发全球断网 美英加澳均受影响 Sun, 03 Jul 2022 08:24:23 +0800 4月9日消息,太空探索技术公司 (SpaceX) 的 Starlink 卫星互联网今天早些时候突发全球中断。

今天早些时候,Reddit 上有众多 Starlink 用户报告称,该服务突然停止工作。根据这些用户自己的说法,包括美国、英国、加拿大、澳大利亚、新西兰、比利时和葡萄牙等全球各地都出现了 Starlink 星链互联网中断的问题,但好在中断似乎很短暂,只用了不到半小时就恢复了正常。

此次事故发生于美国东部时间凌晨,不过那时候大部分美国东海岸用户可能正在睡觉,所以影响不大。

Starlink 使用低地球轨道 (LEO) 互联网卫星为其用户提供互联网宽带服务,目前该服务已扩展到美国以外的多个国家。

根据 spacexstats 统计数据,SpaceX 在太空中运行的 Starlink 卫星还有 2107 颗,脱轨 196 颗,可覆盖全球大多数地区。

]]>
VMware 多个产品中爆出严重漏洞 Sun, 03 Jul 2022 08:24:23 +0800 Bleeping Computer 网站消息,VMware 发布警告,称其多个产品中存在关键漏洞,攻击者能够利用这些漏洞发起远程代码执行攻击,用户应该立即修补,以防止遭受网络攻击。

VMware 在公告中警示,客户应根据 VMSA-2021-0011 中的指示,立即修补或缓解这些漏洞,不然会造成很严重的后果。

另外,声明中强调,每个客户所拥有的环境不尽相同,对风险的容忍度也不同,有不同的安全控制和深度防御来减轻风险,因此是否修补漏洞需要客户自己决定,但是鉴于漏洞的严重性,强烈建议用户应立即采取行动,修补漏洞。

五个关键漏洞的补丁

目前,修补的关键安全漏洞清单包括一个服务器端模板注入远程代码执行漏洞(CVE-2022-22954),两个 OAuth2 ACS认证绕过漏洞(CVE-2022-22955,CVE-2022-22956),以及两个 JDBC 注入远程代码执行漏洞(CVE-2022-22957,CVE-2022-22958)。

值得一提的是,VMware 还修补了一些其他高度和中度严重漏洞。据悉,这些漏洞可被攻击者用于跨站请求伪造(CSRF)攻击(CVE-2022-22959),提升权限(CVE-2022-22960),以及未经授权获取信息(CVE-2022-22961)。

受安全漏洞影响的 VMware 产品完整列表如下。

VMware Workspace ONE Access (访问)

VMware身份管理器(vIDM)

VMware vRealize Automation (vRA)

VMware云计算基础

vRealize Suite (生命周期管理器)

公告最后,VMware 表示,公告发布之前,没有发现这些漏洞在野外被利用的证据。

其他解决办法

VMware 的客户群体中,有一些不能立即给其设备打补丁的人,针对这一情况,VMware 提供了一种临时解决方案,要求管理员在受影响的虚拟设备上运行一个基于Python的脚本。

VMware 表示,临时解决方案虽然简单方便,但不能彻底消除漏洞,而且可能带来额外的复杂性,但是打补丁则不会。当然,选择打补丁或使用临时方案是由客户决定,但是想要完全消除这些漏洞,唯一方法是应用补丁,因此 VMware 强烈建议用户尽快打补丁。

值得一提的是,前几天,VMware 还发布了安全更新,以解决 VMware Tanzu Application Service for VMs、VMware Tanzu Operations Manager 和 VMware Tanzu Kubernetes Grid Integrated Edition(TKGI)/中的 Spring4Shell RCE 关键漏洞。

]]>
Cash App数据泄露恐将影响820万美国用户 Sun, 03 Jul 2022 08:24:23 +0800 近日,美国支付巨头Block披露了一项与投资应用Cash App有关的数据泄露事件,并将此事件告知了其820万美国用户。

Cash App是一款允许用户自由转账、花钱、存钱和购买加密货币的应用程序。此次数据泄露事件中,一名Block的前员工被卷入其中。有证据显示,他下载了一些关于Cash App Investing应用程序的报告。

2022年4月4日,Block公司方面宣布,经过调查公司发现一名前员工于2021年12月10日下载了其子公司Cash App Investing LLC(Cash App Investing)的某些报告,而这其中包含了一些美国用户的信息。

“虽然员工按照公司规定可以定期访问这些报告,而且是作为工作职责的一部分,但在本案例中,这些报告在员工雇佣期结束后仍未经允许就被访问”,美国证券交易委员会(SEC)公布的表格8-K中如此写道。

这次安全事件发生在2021年12月10日,那名前员工下载的报告中包括用户的全名和他们的经纪账户号(用户在Cash App Investing上的股票活动相关的唯一标识号)。另外,也包含了部分客服的一些其他信息,如经纪投资组合价值,经纪公司的投资组合或一个交易日的股票交易活动。

Block特别声明了,这些报告不包含用户名或密码、社会安全号码、出生日期、支付卡信息、地址和银行账户详细信息等个人身份信息。

目前尙不清楚有多少用户受到了影响,而Block方面已经通知执法部门并向其大约820万用户告知此事。另外,公司方面宣布将继续审查和加强行政和技术保障,以保护其用户的信息。

目前还很难预测这次安全事件将造成的损失,Block发布的公告的结论是这样写的,“虽然公司尚未完成对该事件的调查,但根据其初步评估和目前已知的信息,公司目前认为该事件不会对其业务、运营或财务业绩产生实质性影响。”

]]>
蔚来员工用公司服务器挖矿,已供认不讳 Sun, 03 Jul 2022 08:24:23 +0800 蔚来员工,用公司服务器挖矿。

据称,涉事人张某是蔚来汽车员工,此前担任某集群服务器管理员。

而他在在职期间,利用职务上的便利,用公司服务器挖虚拟货币。

事件一出,立即登上了微博热搜:

对此,不少网友纷纷发出感慨:

可真刑啊,越来越有判头了呢。

用公司服务器挖矿

虽然对于这件事情,蔚来汽车官方并没有出面做回应。

但是从流露出来的内部消息图片中,可以获取到些许事件详情。

事情还要追溯到2021年9月1日,蔚来汽车合规和风险管理部收到投诉称:

研发部门员工张某疑似利用其服务器管理的便利,不当利用公司服务器资源进行虚拟货币数字挖掘操作。

而后,蔚来内部经授权,对此事展开了调查。

调查结果显示,张某从2021年2月开始,便开始了这样的违规操作。

其所挖的虚拟货币,从爆料中的图片中可以看到,是以太币。

并且消息还称,张某在调查期间对于自己的违规行为供认不讳。

而张某的这一行为,触犯了我国刑法第285条第二款非法控制计算机信息系统罪。

据了解,犯此项罪的:

处三年以下有期徒刑或者拘役,并处或者单处罚金;

情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

此前还有百度员工

蔚来员工的事情一经曝出,很多网友纷纷联想到了之前的那位百度工程师。

早在2020年,一位百度员工在短短7个月内便走完了从“挖矿”、“变现”到“被判3年”的三部曲。

其挖矿所用的,便是百度搜索服务器。

在判决书中,也对这位百度员工“薅羊毛”的细节做了公布:

从2018年1月底到5月底,安某薅了155台服务器的羊毛,用来挖比特币、门罗币,卖掉一部分之后获利10万元。

事发之后,不仅这笔钱被没收,还额外被罚了11000元,另外还有3年的有期徒刑。

而从国内外来看,近年来公然用公司服务器挖矿的事件时有发生。

虽然截至发稿,蔚来汽车方面并未做出更详细的回应。

但还需从此事中了解一点:

道路千万条,守法第一条。

为了牟利而赌上未来和自由,不值得!

]]>
国内上市公司遭遇电信诈骗:邮箱遭入侵,被骗2275万元 Sun, 03 Jul 2022 08:24:23 +0800 近日,大亚圣象(000910)发布2021年度业绩报告,公司实现营收87.5亿元,同比上升20.46%;归属上市公司股东净利润5.95亿元,同比下降4.86%。

值得注意的是,公司同时披露,其全资子公司遭遇电信诈骗,涉案金额约356.9万美元(折合人民币2275.49万元),追回可能性较低。

大亚圣象旗下公司被骗2275万

大亚圣象公告表示,2021年报告期内,公司全资子公司圣象集团有限公司下属子公司美国HomeLegendLLC公司,成为一起电信欺诈的受害者,肇事者入侵该公司租用的微软公司365邮箱系统,伪造假电子邮件冒充该公司管理层成员,伪造供应商文件及邮件路径,实施诈骗,涉案金额约356.9万美元(折合人民币2275.49万元)。

该公司已于美国地方联邦执法当局备案并向中国公安机关报案。大亚圣象表示,截至报告日,被盗资金追回可能性较低。

年报显示,目前该笔损失已被列入营业外支出的“其他”项。

大亚圣象主要从事地板和人造板的生产销售业务,公司曾在投资者互动平台表示,公司木地板的市场占有率稳居行业首位,2021年度公司地板销量为6289万平方米,被称为“地板大王”。2021年公司营收87.5亿元,同比上升20.46%;归属上市公司股东净利润5.95亿元,同比下降4.86%;归属上市公司股东的扣非净利润为5.57亿元,同比下降7.04%。

上市公司遭遇电信骗局偶发

上市公司遭遇电信骗局,不是孤例。据记者不完全梳理:

2020年11月5日,斯莱克(300382)公告称,全资子公司香港斯莱克近期遭遇犯罪团伙电信诈骗,导致银行账户内的205万余美元(约合1300万人民币)通过网络被骗取。案发后公司已向公安机关报案,并于2020年 11月4日收到公安机关出具的《受案回执》,目前公安机关正在积极侦办。

2022年3月31日,斯莱克在年报中透露,目前该案件进展如下:

上述款项共计2,053,036.50美元已汇入诈骗人在乌克兰基辅开设的账户;

公司已经由乌克兰代理律师向基辅商事法院起诉,要求收回2,053,036.50美元,目前该案正在审理之中;

乌克兰代理律师于2020年12月向法院申请扣押上述账户中的相关款项,法院亦发布了扣押裁决书。经调查,该账户内有资金58,246,894.80格里夫纳以及36.50美元,根据基辅佩切斯克地区法院于2020年12月10日作出的第757/54607/20-K号案件的裁决已被扣押。该账户内已扣押资金与香港斯莱克被骗资金相当。

征询律师意见后,公司认为通过法律途径追回上述款项有较大的可能性,但可能需要较长时间。

2020年6月23日晚间,京投发展(600683)公告称,公司接到持股50%、由合作方负责操盘的子公司北京京投银泰置业,其财务人员遭遇犯罪团伙电信诈骗,导致银泰置业银行账户内2670万元于2020年6月22日通过网络被骗取。若按照2019年实现的净利润计算,该公司此次被骗取的2670万元约为其2019年净利润的6倍之多。

2021年4月12日,京投发展发布的2020年度内部控制评价报告表示,已追回500万。

上市公司是如何被诈骗的?

从上述案例不难看出,诈骗金额高达数百万、数千万,如此级别的巨款,按规则应该要公司内部层层审批,通过各种财务稽核,怎么会说转走就转走了呢?因此,有业内人士直言,上市公司遭遇电信诈骗,也从一定程度上反映了该上市公司财务流程的不健全,以及公司的内部管理不规范、不专业。

那么,上市公司在遭遇电信诈骗时,百万、千万级别的款项是如何轻易被划走的呢?2021年7月17日,世龙实业(002748)在回复交易所问询时,详细披露了其被骗过程。

2020年5月8日上午,公司综管部职员杨东锋(以下简称“杨”)收到名为“张海清”(公司总经理名字)的电邮指示,要求其建立一内部工作群,将财务负责人拉入群内,杨在不辨真伪的情况下,按其指示建群,并将邓拉入新建的QQ工作群,群中仅有三人。

“张海清”在群中开始对邓说:“今天有笔保证金98万要打过来,你查一下工行基本户收到没有”,邓回答“工行尚未有到账记录”,“张”又说“你联系一下徐炳洪15608818278,问他合同保证金打了没有,如果没有打就暂时不打,让他等我修改好合同后再打保证金”,邓联系过徐炳洪后回复“已联系了,徐说十分钟前已将款划入您个人账户”,“张”说“我在开会没留意,款我已收到,他已打入我私人账户了,你现在再联系一下徐总,我需要修改合同,先把保证金退给他,等合同修改后再重新打,你安排从公司账上将98万退回去,我会议结束后再补汇到公司账上”,“张”接着就给了邓“徐炳洪”的账号,邓当时完全没有任何甄别判断意识,在未经公司领导审批,未执行财务付款流程的情况下,同出纳员詹宾一同经网上银行划出公司银行资金98万元。

十几分钟后,群中“张”又说“徐总可能没有和他们的会计沟通清楚,他的会计以为合同签定成功了,又把尾款200万打给我了,你再安排一下从公司把款退回去,明天我将298万转回公司,合同还没签,先给对方留个好印象”,于是邓又没有请示领导,无视公司财务制度规定,私下自作主张,从公司账上再汇出200万元,共计支付款项298万元至“徐炳洪”账户。

当日邓一直都未曾怀疑已遭遇诈骗事项,也没有向公司财务总监和总经理汇报此事,直到晚上约9点半时,杨东锋对QQ群中的聊天记录开始质疑并致电提示邓京云,邓才警觉起过来,约10点钟打电话向张总核实有没有此事。张总接电后,意识到邓可能被诈骗,随即问财务总监胡总知道此事否?胡也不知情。张随后向公司副总经理宋总、曾总通报了情况,并安排保安部部长带领人员向江西省乐平市公安局邢侦大队报了案,同时胡总也通知农行冻结了“徐炳洪”账户,但款项早已被提现。

世龙实业表示,本次公司被“电信诈骗”的事项发生,主要是财务部长置公司内控管理制度不顾,思想麻痹,安全防范意识薄弱,对公司主要领导权威过于服从,同时出纳人员出于对部门领导平时的信任和威严,不顾公司内控管理制度的要求,对自己直接领导的指示,盲目执行,导致公司遭受到巨大损失。同时财务总监在日常监管中,对分管部门人员的内控制度、风险防范教育不足,被诈骗份子有机可乘。

防骗“秘籍”

近年来,电信网络诈骗高发。大量涉诈资金被转往境外,即使抓住了人,也很难追回损失,如斯莱克的被骗资金去了乌克兰,世龙实业的被骗资金去了缅甸。据最高人民检察院通报,2019年至2021年,检察机关分别起诉电信网络诈骗犯罪3.9万人、5万人、4万人。从发案数量上看,电信网络诈骗犯罪总体仍在高位运行。

据公开数据显示,目前电信诈骗犯罪警情已占全部刑事警情的46%,大部分城市超过50%,成为我国第一大犯罪类型。相比于偶发的上市公司被诈骗,发生在我们身边的诈骗,已经是无孔不入,防不胜防。

那么应该如何避免被骗呢?骗子的目的是骗钱,最终要通过转账的形式,达到骗取钱财的目的,所以无论骗子如何花言巧语、危言恐吓大家一定要记住“不听、不信、不转账、不汇款”有疑问直接拨打110进行咨询或报警。此外,可以安装公安部研发的“国家反诈中心”APP,预警电信诈骗。

以下是中国互联网协会总结的9大防骗“秘籍”:

1.短信内链接都别点

虽然手机短信中也有银行等机构发来的安全链接,但不少用户难以通过对方短信号码、短信内容、链接形式等辨别真伪,所以建议用户尽量不要点击短信中自带的任何链接。特别是Android手机用户,更要防止中木马病毒。

2.“验证码”谁都别给

银行、支付宝等发来的“短信验证码”是极其隐秘的隐私信息,且通常几分钟之后即自动过期,所以不要向任何人和机构透露该信息。

3.手机不显号码,别接

目前,除极少数特殊部门还拥有“无显示号码”电话之外,任何政府、企业、银行、运营商等机构均没有“无显示号码”的电话,所以今后再见到“无显示号码”来电,直接挂断就好。

4.闭口不谈卡号和密码

对话中都绝不提及银行卡号、密码、身份证号码、医保卡号码等信息,以免被诈骗分子利用。

5.钱财只能进不能出

任何要求自己打款、汇钱的行为都得长心眼,警方建议如需打款可至线下银行柜台办理,如心中有疑惑,可向银行柜台工作人员咨询。

6.陌生证据莫轻信

由于个人隐私泄露泛滥,诈骗分子常常会掌握用户的一些个人信息,并以此作为证据,骗取用户信任,此时切记要多长个心眼——绝不轻易相信陌生人,就算朋友家人,如果仅仅是在网上,也不可轻信。

7.钓鱼网站要提防

切不可轻易信任那些看上去与官方网站长得一模一样的钓鱼网站,中病毒不说,还可能被直接骗走钱财,所以在登录银行等重要网站时,养成核实网站域名、网址的习惯。

8.新鲜事要注意

诈骗分子常常利用最新的时事热点设计骗局内容,如房产退税、热播电视节目等都常常被骗子利用。如果不明电话中提及一些你从未接触过的新鲜事,也切莫轻易当真。

9.拿不准就打110

如果真有拿不准的事,拨打110无疑是最可靠的咨询手段,虽然麻烦了警察,但必要时候仍可以采取这种手段。

]]>
大数据时代下如何保障信息安全? Sun, 03 Jul 2022 08:24:23 +0800 对于“大数据”(Big data),研究机构Gartner给出了这样的定义。“大数据”是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力来适应海量、高增长率和多样化的信息资产。‍‍

01 大数据时代已来

随着网络时代日益信息化,移动互联网、社交网络、电子商务大大拓展了互联网的疆土与应用领域,我们正处在一个数据爆炸性增长的 “大数据”时代,大数据对社会经济、政治、文化,生活等方面产生深远的影响,大数据时代对我们的数据驾驭能力提出了新的挑战。

大数据给我们带来哪些便利?商业精准营销、终端信息互联和创造就业。

大数据时代,商业环境已悄然发生变化。普通地铁、公交、公园广场等随时都能看到一些智能终端设备、产品宣传、频繁互动的社交网络、法律法规、安全知识的普及,使平常只是浏览网页的网民意识由模糊变得清晰,企业也有机会针对大量消费者数据进行分析,实现在大数据时代下的精准营销;

基于移动互联网、物联网、社交网络、数字家庭、智慧城市等信息技术的不同来源数据进行转换、分析和优化,将各种结果相互反馈到不同应用中,以改善用户的体验,创造最大的商业价值、经济价值以及社会价值,达到在大数据时代,人们消息之间的互联互通。

大数据时代的另一个明显便利是:企业、政府需要一大批精通业务又能做大数据分析的人才,调查显示,在美国,对拥有大量数据分析技能(包括机器学习和高级统计分析)的人才的需求可能超过预期供应的50%~60%,在大数据时代下,造就了一批新的就业岗位。

02 大数据时代面临的安全问题及应对方案

数据的安全存储问题

目前,数据的存储主要以云架构为技术基础,采用虚拟分布式存储的方式,在云端进行数 据信息的操作处理,主要可通过如下几种方式来实现数据的存储安全。

差异化存储:首先可以对数据先进行分类,再对已分类的一般数据、常用数据、重要数据实施差异保存,并存储在不同位置,权限也根据用户具体的角色或基于新一代的访问控制模型ABAC进行分类管理,采用私有存储与云存储相结合的模式存储。

分散存储:利用已有的云存储技术,将数据块分散在多个位置上。采用分散保存的方式,不仅能保证其实用性,而且在一定程度上也提高了其安全性。

“数”“密”分离存储:还可以采用加密的数据和“密匙”相分离的方式,达到数据与“密匙”互相制约的效果,同时管理数据和使用数据也实现同样的分离,并加强“密匙”的存储、修改、产生等周期。

数据的访问(使用)安全

大数据时代,如果数据信息被黑客攻击利用,存在关键数据被破坏,甚至数据丢失的风险。所以想要保护数据信息的安全,必须要加强对数据信息的访问控制。

基于端侧的访问控制:设置访问数据时,需对终端MAC绑定。设置不同等级的控制,并给予授权访问。

基于数据的访问控制:在原有的端侧访问控制的基础之上,再对数据敏感层的分类分级,并规定不同属性下的安全访问权限,设置身份认证和权限控制,真正做到安全可控。对数据本身的拥有者可以设置所有或部分的访问权限。

基于ABAC的访问控制:在基于端侧环境、用户身份基础上,搭配最新访问控制策略ABAC,将访问主体属性、客体属性和环境条件结合起来,通过动态计算一个或一组属性,判断一个用户是否具有数据访问权限。

防御数据被攻击

想要数据安全,必须加强安全防护。

优化传统网络安全技术:传统网络安全技术以加密技术、访问控制技术、防火墙技术、入 侵检测技术、认证技术为主。大数据时代信息技术更新迭代速度加快, 企业内网络信息安全管理人员需要加强对传统技术的创新,确保内部机房环境、视频监控系统、防火墙、入侵防御系统、数据库审计系统、应用交付系统的安全。

使用大数据安全技术:保障网络信息数据各个生命周期的安全,降低企业遭受病毒攻击的风险。将数据源身份认证技术、密文附加消息认证码技术、时间戳等应用到信息数据的采集过程中,将隐私保护技术、数据加密技术、密钥管理技术、异地备份技术应用到数据存储过程中,降低数据被攻击窃取风险。

数据的安全管理策略

大数据时代,数据安全三分靠技术,七分靠管理。这不仅强调了大数据技术的重要性,又表明了安全管理更加重要,安全管理主要可通过以下手动实现。

行为规范:数据的交互、提取等操作要在统一标准下运作,正规有序使用和管理数据信息;

提前做好安全风险评估:根据不同来源的各类数据,分别设置不同的安全风险等级,并且制定相应的安全预案;

加强数据安全意识:为了让每一个工作人员充分了解自己在安全防护中的职责和担当,充分认识工作中信息安全的重要性,结合实际情况,周期性开展安全演练,提高员工安全意识。

大数据时代,日常生活与工作得到了极大的便利,同时信息安全也面临着各式风险与挑战。确保重要数据不被泄露,保护每个人信息安全需要大家共同努力。通过对大数据环境中存在的安全挑战进行分析,并且从数据安全治理的角度,提出数据安全防护以及相关应对措施,该方案能够适用于不同行业数据安全防护需求,确保数据信息的安全。

]]>
如何让经营场所摄像头闭紧侵权之眼 Sun, 03 Jul 2022 08:24:23 +0800 一些商家在经营场所安装摄像头存在不规范行为。有的摄像头被安装在浴室、试衣间等私密空间,有的摄像头因技术问题极易被破解,还有的能够精准识别人脸以分析客户群……律师提出,应当进一步细化摄像头的安装规范,对于谁来安装、摆放位置、质量要求等问题做出明确规定,划出禁区和底线。

日前,浙江杭州两名女子在足浴店做完精油开背后发现,房间里的摄像头竟然正对着按摩床。对此,店家称是派出所的要求,派出所回应称,在公共场所安装摄像头属于治安防范措施,但从未强制商家在隐私区域安装,且安装监控后需尽到提醒义务。

在经营场所安装摄像头,无疑有利于维护治安、定纷止争。但近年来,一些商家不规范的安装行为,屡屡引发隐私侵权和信息泄露风险。而谁可以安摄像头?装在哪?谁有权存储和查看?这些问题还需以立法形式进行细化。

餐厅能在包间安装摄像头吗

经营场所为何要安装摄像头?记者从北京多家商超和餐厅了解到,商家大多是出于安全考虑。一家中型超市在货架过道安装了十几个摄像头,“店里丢了东西或者顾客落了东西都有据可查,也能为警方破案提供便利”。

在北京一家餐厅,不仅前台、大厅等区域装有摄像头,几个包间也在监控覆盖范围之内。餐厅经理告诉记者,之前有包间顾客在餐食中投入异物“碰瓷”,为避免损失只能装监控。

对此,记者随机采访了几位正在就餐的顾客。很多人表示理解,认为只要不影响消费体验,监控怎么装是商家的自由。也有顾客提出质疑,“选择包间就是看中了私密性,如果在不知情的情况下,一言一行都被记录,谁还能好好吃饭”。

争议一直存在。去年2月,某连锁火锅店被曝出在包间装有云台式摄像头,客服回应称,包间属于餐厅,也是公共场所的一部分。8月,深圳某服装门店被指在女士试衣间上方装摄像头,店家辩称视频不会泄露,“只有经理有权查看,且受总部监管”。

“法律并未禁止商家在经营场所安装摄像头,但也不得随意安装。”北京拙朴律师事务所创始合伙人谢燕平表示,对于摄像头的安装和监管,我国现阶段暂无专门法规,相关规定散见于行业条例和部门规章中。但根据个人信息保护法,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,并设置显著的提示标识。

中国社会科学院大学互联网法治研究中心执行主任刘晓春认为,经营场所安装监控,商家必须明确告知,让顾客对于自己的人像、行为被采集有心理预期。此外,顾客对不同消费场景的隐私预期不同,相较于收银台、商品展示区等公共区域,更衣室、饭店包厢属于私密空间,安装摄像头涉嫌侵害隐私权。

大量存储信息如何不失守

摄像头记录的信息如何保存?根据商家介绍,摄像头或是收银系统自带,或是从网上购买,录像存储时间与应用内存挂钩,一般在10天至一个月,可提前下载至U盘或者手机中。

不过,记者调查发现,不少监控视频正在境内外社交平台上传播,涉及按摩店、民宿、浴池等经营场所。据多家媒体报道,其背后是一条成型的灰色产业链:不法分子破解他人摄像头权限,将ID出售供人实时观看,并发展下线代理层层转售,有些“精品”ID被炒至上千元。

网络安全从业者刘阿杜(化名)告诉记者,早期产品对个人信息保护的考虑不充分,设置的出厂密码较为简单易破解,甚至在网上搜索品牌就能查到。这些摄像头仍在市场上流通,很多买家没有重置密码的意识,导致个人信息陷入“裸奔”的境地。

近日,广东佛山某售楼处被查出装有4个人脸抓拍摄像头,共抓拍、储存人脸图像达34万条次。执法人员表示,店家未能提供采集客户人脸信息的书面告知同意书,拍摄行为涉嫌违法。而记者在电商平台搜索发现,不少店铺提供所谓“智慧门店管理系统”的定制服务。

“这种做法完全背离了安装摄像头的初衷,属于违法行为。”谢燕平说。

谢燕平分析称,人脸信息属于敏感个人信息中的生物识别信息,具有唯一性和不可更改性。根据民法典和个人信息保护法,处理敏感个人信息必须基于合法、正当、必要原则,需在充分告知的前提下取得当事人书面同意,并采取必要措施保障信息安全。

相关法规亟待细化统一

在摄像头愈发普及的当下,如何使其睁大监督之眼,闭紧侵权之眼?

“立法的脚步要再快些。”谢燕平认为,个人信息保护法等法律的相关条款较为原则性,在执行中暴露出一些模糊地带。立法机关应当进一步细化摄像头的安装规范,对于谁来安装、摆放位置、质量要求等问题做出明确规定,划清禁区和底线,并以规范性文件、技术法规等形式固定下来。

去年3月,深圳探索针对摄像头立法。《深圳经济特区公共安全视频图像信息系统管理条例(草案)》提出,禁止在旅馆客房、公共浴室、更衣室、哺乳室等可能泄露公民隐私的场所和区域安装摄像头;涉及公共安全人像及车牌等敏感信息采集的视频图像信息系统,应由公安机关统一规划。

刘晓春建议进行全流程监管。摄像头生产企业要按照数据安全法等法规提升产品质量和安全能力;电商平台应严格自查,让“客流统计摄像头”等侵权产品没有容身之处;各类社交平台须尽到信息审核义务,全面清理涉及摄像头破解和交易的违法有害信息。此外,相关部门亟须探索技术手段,追溯摄像头从生产、销售到应用的全过程。

“购买摄像头的商家是链条上最重要的一环。”谢燕平认为,可推行经营场所摄像头安装“备案审查制”,由公安和市场监管部门进行监督;商家自身要从正规渠道购买设备,及时销毁监控视频,定期更换摄像头密码。

“对隐私、个人信息的关注与保护看似会增加经营成本,但尊重消费者权益的商家最终会得到消费者认可,这也是高标准服务和履行社会责任的应有之义。”谢燕平说。

]]>
大学女老师网购一条裤子 然后3小时被骗24万 Sun, 03 Jul 2022 08:24:23 +0800 被骗与学历、职业无关,你以为只有小孩子、学生和老人才会被骗,其实就连大学老师也很可能轻易中枪。

今天,法制日报就公布了一起“离奇”的案例,沈阳一高校教师在某网络平台上买了一条裤子,然后接到了一通境外来电,随后陷入了连环全套,仅3个小时就被骗走24万元。

据报道,4月1日上午,她接到了一个0087开头的境外来电。电话那端的骗子A自称是某网络平台客服,并报出了准确的裤子订单号骗取她的信任。对方表示:“由于平台工作人员操作失误,将您设置成代理商,每月您要缴纳代理费790元。”

这位教师听后很生气,并表示必须要马上取消!随后,客服回复道:“取消代理需要银行部门介入办理。”

于是,骗子B出现了。骗子B假冒“银行工作人员”打来电话表示,办理取消代理业务,需要把自己所有银行账户内的钱,集中到一个账户中,再将钱从自己的A账户,转到B账户,再转到C账户,最后转到骗子提供的一个银行账户。

这位老师被这种无厘头操作弄得晕头转向,便将自己的11.3万元存款转给了骗子B。

骗子B看到她好骗,便变本加厉要求她在某网贷平台上最大额度贷款,随后该老师按骗子B指示,又转汇了98000元和30000元。

在该老师继续贷款时,她的家人发现了异常,并马上制止其再转账。但此时,这位老师已经被骗了24万元。

]]>
零售商The Works在遭遇网络攻击后被迫关闭商店 Sun, 03 Jul 2022 08:24:23 +0800 据报道,英国领先的商业街零售商The Works在遭受网络攻击后被迫关闭了部分门店,并暂停了其部分业务,对于该事件,The Works作出了回应,在调查期间,作为预防措施,它已禁用包括电子邮件在内的计算机系统的访问权限。而《卫报》也报道了该事件,它指出The Works贸易和业务运营都受到了干扰,同时也因为收银问题被迫关闭了部分门店。

不过The Works表示因为网络攻击原因将暂时停止向集团门店补货,并延长了履行在线订单的正常交付窗口,但门店交付会逐步恢复,并且正在逐步恢复正常的在线服务水平。其中卡交易不会受到影响,因为它们是由第三方处理的,但目前尚不清楚员工和/或客户的个人信息是否已被泄露。他们在发表的声明中表示:“虽然支付数据没有受到损害,但尚无法确定任何其他数据可能受到影响的全部程度,因此,作为预防措施,我们已通知信息专员办公室。”

对于该事件,BBC报道称勒索软件才是这次攻击的幕后黑手,尽管目前The Works并没有收到赎金要求。由于网络攻击,本次共有五家商店关闭,在线交付也受到影响。不过业务将很快重启,所以The Works预计该事件不会影响其今年的财务状况。

ESET全球网络安全顾问杰克摩尔认为,如果该公司后续收到赎金要求,则他们需要衡量支付赎金或者独自处理该事件的潜在成本——尤其是后者可能意味着更长的恢复期。“不过该事件的最终结果对于其他公司来说是个案例,至少它能让其他公司加强对安全的重视,为未来不可避免的网络攻击做好准备。”

]]>
IT服务巨头遭勒索软件攻击、导致损失4200万美元 Sun, 03 Jul 2022 08:24:23 +0800 近期,西班牙一家领先的业务流程外包(BPO)服务提供商表示,因遭遇勒索软件攻击导致其损失超过数千万美元。作为全球前五的客户关系管理(CRM)和BPO提供商,Telefonica Atento在拉丁美洲拥有强大的基础。然而去年10月,它声称其巴西子公司IT系统遭遇了“网络攻击”。不过公司已经第一时间做出了响应,“快速识别”出威胁、且隔离受影响的系统并暂停与客户的连接。

虽然公司表示在之后的24小时内,服务开始恢复在线,不到一周后,数据中心的运营已经恢复。然而近期发布的2021财年财务报告显示,勒索攻击对公司的影响比最初想象的要大得多。根据报告可以得出,由于“巴西业务中断”,第四季度收入损失了 3480万美元,另外还有730万美元用于与攻击相关的“保护、检测和补救措施”。

Atento的首席财务官兼首席执行官在一份联合声明中说,“与当今时代的许多公司一样,包括一些世界技术领导者,我们受到了网络攻击,这当然也影响了我们第四季度的业绩。该事件的复杂性和对我们的影响,都远大于我们的预期。据当地报道,该公司没有向勒索者付款,而发起勒索攻击的黑客组织据说是近期高调的LockBit组织。

对此,Atento声称已经设立了最佳的应对方案,除了提高其保护、检测和补救能力——包括与CrowdStrike和Mandiant签署的新协议,现在正与“防御团体和机构”更密切地合作,以提高应对威胁的准备。

不过,基于近期勒索事件频发,Atento也会被添加到勒索软件攻击后遭受极高损失的公司名单中,名单中包括法国IT服务公司Sopra Steria(6000 万美元)、铝业巨头Norsk Hydro(4100 万美元)和IT服务公司Cognizant(7000 万美元)。

]]>
为应对网络攻击,德国风电设备巨头Nordex关闭IT网络 Sun, 03 Jul 2022 08:24:23 +0800 3月31日,德国风力涡轮机制造商Nordex遭受网络攻击,导致其多地业务部门的IT系统被迫关停。

Nordex是一家风力涡轮机设计、销售与制造企业,2021年全年销售额接近60亿美元。Nordex公司在德国、中国、墨西哥、美国、巴西、西班牙及印度均设有工厂。

上周四,该公司称“在早期阶段”检测到入侵活动,并迅速采取了应对措施。

在官方声明中,Nordex公司表示“立即成立了由内部及外部专家组成的事件响应小组,负责遏制问题,阻止进一步传播,并评估潜在风险的具体程度。”

“多个IT系统关停,可能给客户、员工及其他利益相关方造成影响。Nordex也将在掌握更多信息时,发布进一步情况更新。”

4月4日(周一),有媒体询问当前业务运营状况,Nordex公司并未做出回应。

据德国媒体Erneuerbare Energien报道,Nordex网站曾在事件早期显示“由于维护工作,本网站暂时无法访问,请稍后再试。”不过现在网站已经恢复正常运行。

网络安全已成为风电行业重大风险

就在本次事件之前,美国卫星通信公司ViaSat曾在2月下旬被黑后中断服务,致使德国5800台Enercon风力涡轮机发生故障。

据Renewables Now报道,直到现在,Enercon也未能全部恢复。在受到攻击影响的全部设备中,目前约有85%已经恢复正常。

2021年11月,风力涡轮机制造商Vestas遭遇勒索软件攻击,恶意攻击者还威胁要将窃取到的数据公之于众。与Nordex一样,为了阻止问题持续蔓延,Vestas也被迫关闭了跨多个业务部门及地点的IT系统。

]]>
《安联智库-网安周报》2022-04-03 Sun, 03 Jul 2022 08:24:23 +0800

1、勒索软件攻击给软件巨头Atento造成4210万美元损失

近日,客户关系管理(CRM)服务提供商Atento公布了2021年的财报,披露该公司去年10月遭受的网络攻击造成的损失高达4210万美元。具体地说,勒索软件攻击造成的业务中断影响了该公司在巴西的业务,导致收入损失3480万美元,其他损失还包括缓解事件影响的730万美元额外成本。
Atento是全球领先的CRM和业务流程外包服务供应商之一,在13个国家/地区开展业务,拥有15.4万名员工,并拥有400多家从事电信、银行、零售和公共管理业务的跨国公司客户。
在勒索软件LockBit的网站上,可以检索到Atento的数据泄露页面,显示加密数据已被公布:
2、纽约82万名学生的个人数据被曝光

近期,纽约一个广泛使用的在线评分和考勤系统遭到黑客攻击,这可能是美国历史上学生个人数据最大的一次曝光。犯罪分子于1月闯入Illuminate Education IT系统,并获得了约820,000名现任和前任纽约市公立学校学生个人数据的数据库的访问权限。

Illuminate Education是一家位于加利福尼亚州的纳税人资助的软件公司。该公司创建了流行的IO Classroom、Skedula和PupilPath平台,纽约市教育部使用它来跟踪成绩和出勤率。

本次的黑客攻击涉及可追溯到2016-17学年的信息,教育部于上周五宣布了该事件,事件中泄露的数据包括学生的姓名、出生日期、种族、家庭语言和学生证号码,同时还包含班级和教师的时间表以及关于学生获得免费午餐或特殊教育服务的数据。

3、Wyze摄像头曝出大漏洞,近三年时间才修复

近日,某畅销的摄像头品牌Wyze Cam被曝存在三个严重的安全漏洞,黑客利用这些漏洞可以执行任意代码,完全控制摄像头,并且访问设备中的视频资源。更糟糕的是,这些漏洞是在三年前被发现的,最后一个漏洞直到近段时间才完成修复。

这三个安全漏洞的具体信息如下:

漏洞一:CVE-2019-9564,可绕过身份安全验证;

漏洞二:CVE-2019-12266,基于堆栈的缓冲区溢出,可远程控制摄像头

漏洞三:无编号,可远程接管设备,并访问SD卡中的视频资源;

如果黑客将以上三个漏洞综合利用,那么就可以轻松绕过设备的身份验证,入侵目标摄像头,最终实现实时监控摄像头。这意味着,使用者的一举一动都会清晰的出现在黑客的视野中,再无任何的隐私。

4、苹果发布紧急补丁以修复被积极利用的零日漏洞

近日,苹果发布了一个紧急安全补丁,以解决两项被积极利用以入侵iPhone、iPad和Mac的零日漏洞。

这两项漏洞均由匿名研究人员发现并报告,苹果公司表示在iOS 15.4.1、iPadOS 15.4.1和macOS Monterey 12.3.1的发布中已解决了该两项漏洞,并建议用户尽快安装安全更新。

第一项漏洞是存在于英特尔显卡驱动程序中的超权限读取问题,追踪代码为CVE-2022-22674,该漏洞允许恶意应用程序读取内核内存。

第二项漏洞是一个越界写入问题,影响AppleAVD媒体解码器,追踪代码为CVE-2022-22675。该漏洞同样允许恶意应用程序读取内核内存,从而使应用程序能够使用内核特权执行任意代码。

其实,自2022年1月以来,苹果公司已经解决了三个被积极利用的零日漏洞。1月,公司解决的两项零日漏洞追踪代码分别为CVE-2022-22587和CVE-2022-22594,攻击者可以利用其在受攻击的设备上运行任意代码。2月,解决的是WebKit中一个影响iOS、iPadOS、macOS和Safari的零日漏洞,追踪代码为CVE-2022-22620,可以通过处理恶意制作的网页内容触发,从而导致任意代码执行。

]]>
优酷回应1分钱会员无法6个月内退订 细则内容由运营商制定 Sun, 03 Jul 2022 08:24:23 +0800 4月3日,有不少消费者反映优酷视频最近开启了一个“首月 1 分钱”的会员活动,但购买之后才发现次月会恢复原价且无法退订,网友们认为优酷存在诱导消费、自动消费,开通后发现无法在合约期 (6 个月) 内退订等问题,引发热议。

据南方都市报,优酷视频客服对此表示,相关活动是与运营商联合推出的,具体的收费 细则等内容由运营商制定,优酷平台主要负责会员账号的使用问题。

优酷客服指出,若用户想提前退订,具体可咨询号码归属地所在的运营商 ,各地运营商规定不一。

有律师称,优酷及运营商未对关键信息进行显著提示,在客观上造成了消费者的误解,影响其购买决策,已构成违规,可能面临市场监督管理局处罚。

]]>
俄罗斯外卖应用的泄露数据中包含GRU特勤人员的用餐习惯 Sun, 03 Jul 2022 08:24:23 +0800 据The Verge报道,根据Bellingcat的调查结果,俄罗斯外卖平台Yandex Food的一次大规模数据泄漏暴露了属于那些与俄罗斯秘密警察有关的递送地址、电话号码、姓名和配送指示。

Yandex Food是俄罗斯大型互联网公司Yandex的子公司,于3月1日首次报告了数据泄漏事件,将其归咎于其一名员工的“不诚实行为”,并指出该泄漏不包括用户的登录信息。俄罗斯通信监管机构Roskomnadzor此后威胁要对该公司的泄漏行为处以最高10万卢布(约合人民币7652元)的罚款,路透社称该事件暴露了约58000名用户的信息。Roskomnadzor还阻止了对包含这些数据的在线地图的访问--试图掩盖普通公民以及与俄罗斯军队和安全部门有联系的人的信息。

Bellingcat的研究人员获得了进入信息库的机会,在其中筛选出任何感兴趣的人的线索,例如与俄罗斯反对派领导人阿列克谢·纳瓦尔尼中毒事件有关的个人。通过搜索数据库中作为先前调查的一部分而收集的电话号码,Bellingcat发现了与俄罗斯联邦安全局(FSB)联系以策划纳瓦尔尼中毒事件的人的名字。Bellingcat说,这个人还用他的工作电子邮件地址在Yandex Food公司注册,使研究人员能够进一步确定他的身份。

研究人员还检查了泄露的信息中属于与俄罗斯军事情报局(GRU)或该国外国军事情报机构有关的个人的电话号码。他们发现了其中一个特工的名字, Yevgeny,并能够将他与俄罗斯外交部联系起来,找到他的车辆登记信息。

Bellingcat通过搜索数据库中的具体地址也发现了一些有价值的信息。当研究人员寻找莫斯科的GRU总部时,他们发现只有四个结果--这是一个潜在的迹象,表明工作人员不使用外卖应用程序,或选择从步行距离内的餐馆订购。然而,当Bellingcat搜索FSB在莫斯科郊区的特别行动中心时,它产生了20个结果。有几个结果包含有趣的配送指示,警告司机,送货地点实际上是一个军事基地。一位用户告诉他们的司机:“到蓝色亭子附近的三个吊杆障碍物上打电话。在110路公交车的站台后上到终点,”而另一个人说 “封闭的领土。上去到检查站。在你到达前十分钟拨打(号码)”!

俄罗斯政治家和纳瓦尔尼的支持者柳博夫·索博尔在一条翻译的推文中说,泄露的信息甚至导致了关于俄罗斯总统普京的所谓"秘密"女儿和前情妇的额外信息。索博尔说:“由于泄露的Yandex数据库,普京的前情妇斯维特兰娜·克里沃诺吉赫的另一个公寓被发现。那是他们的女儿Luiza Rozova订餐的地方。该公寓面积为400平方米,价值约1.7亿卢布!”

The Verge指出,如果研究人员能够根据一个送餐应用程序的数据发现这么多信息,那么想想Uber Eats、DoorDash、Grubhub和其他公司拥有的用户信息量,就有点让人不安。2019年,DoorDash的数据泄露事件暴露了490万人的姓名、电子邮件地址、电话号码、外卖订单详情、送货地址等--这个数字比Yandex Food泄露事件中受影响的人要多得多。

]]>
苹果发布紧急补丁以修复被积极利用的零日漏洞 Sun, 03 Jul 2022 08:24:23 +0800 近日,苹果发布了一个紧急安全补丁,以解决两项被积极利用以入侵iPhone、iPad和Mac的零日漏洞。

这两项漏洞均由匿名研究人员发现并报告,苹果公司表示在iOS 15.4.1、iPadOS 15.4.1和macOS Monterey 12.3.1的发布中已解决了该两项漏洞,并建议用户尽快安装安全更新。除此之外,苹果方面没有透露任何关于在这些漏洞被如何利用的具体细节。

第一项漏洞是存在于英特尔显卡驱动程序中的超权限读取问题,追踪代码为CVE-2022-22674,该漏洞允许恶意应用程序读取内核内存。

这一漏洞的积极利用引起了苹果公司的注意,公司最近发布的一份报告中称,超权限读取问题可能会导致内核内存的泄露。在报告也同时提到了公司的对应建议:“可以通过改进的输入验证来解决该漏洞。”

第二项漏洞是一个越界写入问题,影响AppleAVD媒体解码器,追踪代码为CVE-2022-22675。该漏洞同样允许恶意应用程序读取内核内存,从而使应用程序能够使用内核特权执行任意代码。

对此,报告给出建议:“通过改进的边界检查可以解决越界写入问题。”

其实,自2022年1月以来,苹果公司已经解决了三个被积极利用的零日漏洞。1月,公司解决的两项零日漏洞追踪代码分别为CVE-2022-22587和CVE-2022-22594,攻击者可以利用其在受攻击的设备上运行任意代码。2月,解决的是WebKit中一个影响iOS、iPadOS、macOS和Safari的零日漏洞,追踪代码为CVE-2022-22620,可以通过处理恶意制作的网页内容触发,从而导致任意代码执行。

]]>
Wyze摄像头曝出大漏洞,近三年时间才修复 Sun, 03 Jul 2022 08:24:23 +0800 近日,某畅销的摄像头品牌Wyze Cam被曝存在三个严重的安全漏洞,黑客利用这些漏洞可以执行任意代码,完全控制摄像头,并且访问设备中的视频资源。更糟糕的是,这些漏洞是在三年前被发现的,最后一个漏洞直到近段时间才完成修复。

这三个安全漏洞的具体信息如下:

漏洞一:CVE-2019-9564,可绕过身份安全验证;

漏洞二:CVE-2019-12266,基于堆栈的缓冲区溢出,可远程控制摄像头

漏洞三:无编号,可远程接管设备,并访问SD卡中的视频资源;

如果黑客将以上三个漏洞综合利用,那么就可以轻松绕过设备的身份验证,入侵目标摄像头,最终实现实时监控摄像头。这意味着,使用者的一举一动都会清晰的出现在黑客的视野中,再无任何的隐私。

罗马尼亚网络安全公司 Bitdefender发布的报告显示,安全研究人员最早发现了这些漏洞,并在2019年5月就向供应商报告了漏洞详情,Wyze分别在2019 年9月和2020年11月发布了修复CVE-2019-9564和 CVE-2019-12266的补丁。

2022年1月底,Wyze终于发布了固件更新,解决了攻击者不经身份验证,即可访问SD卡内容的问题。安全专家表示,目前这些漏洞会影响三个版本的Wyze Cam摄像头,其中第一个版本已经停产,因此不会收到解决上述漏洞问题的安全更新。

这意味着,正在使用且未来继续使用第一个版本的Wyze Cam摄像头将会一直处于风险之中,安全性无法得到保证。这对正在很多用户都将会是一个灾难,尤其是家庭用户,他们所有的隐私都有可能被黑客窃取。

因此,Bitdefenders表示,家庭用户应密切关注物联网设备,并尽可能将它们与本地或访客网络隔离开来。这可以通过专门为物联网设备设置专用 SSID 来完成,或者如果路由器不支持创建额外的 SSID,则将它们移动到访客网络。

]]>
勒索软件攻击给软件巨头Atento造成4210万美元损失 Sun, 03 Jul 2022 08:24:23 +0800 勒索软件攻击造成的业务中断影响了该公司在巴西的业务,导致收入损失3480万美元,其他损失还包括缓解事件影响的730万美元额外成本。

近日,客户关系管理(CRM)服务提供商Atento公布了2021年的财报,披露该公司去年10月遭受的网络攻击造成的损失高达4210万美元。

具体地说,勒索软件攻击造成的业务中断影响了该公司在巴西的业务,导致收入损失3480万美元,其他损失还包括缓解事件影响的730万美元额外成本。

Atento是全球领先的CRM和业务流程外包服务供应商之一,在13个国家/地区开展业务,拥有15.4万名员工,并拥有400多家从事电信、银行、零售和公共管理业务的跨国公司客户。

Atento于2021年10月22日宣布遭受网络攻击,称它必须暂停其位于巴西的系统运行以遏制威胁。Atento逐步恢复数据中心运营及部分受影响的网络,Atento的客户在24小时后才恢复了有限的服务。

在勒索软件LockBit的网站上,可以检索到Atento的数据泄露页面,显示加密数据已被公布:

Atento很可能拒绝支付赎金,与勒索软件团伙的谈判陷入了死胡同,导致被盗数据被泄露。

“与当前时代的许多公司,包括一些世界技术领导者一样,我们也受到网络攻击的打击,这影响了我们第四季度的业绩。”Atento首席执行官在给投资者的信息中写道:

“事件的复杂性以及后期影响(损失)被证明远远大于我们最初的预期。”

]]>
纽约82万名学生的个人数据被曝光 Sun, 03 Jul 2022 08:24:23 +0800 近期,纽约一个广泛使用的在线评分和考勤系统遭到黑客攻击,这可能是美国历史上学生个人数据最大的一次曝光。犯罪分子于1月闯入Illuminate Education IT系统,并获得了约820,000名现任和前任纽约市公立学校学生个人数据的数据库的访问权限。

Illuminate Education是一家位于加利福尼亚州的纳税人资助的软件公司。该公司创建了流行的IO Classroom、Skedula和PupilPath平台,纽约市教育部使用它来跟踪成绩和出勤率。本次的黑客攻击涉及可追溯到2016-17学年的信息,教育部于上周五宣布了该事件,事件中泄露的数据包括学生的姓名、出生日期、种族、家庭语言和学生证号码,同时还包含班级和教师的时间表以及关于学生获得免费午餐或特殊教育服务的数据。

自2016年以来,K12 Security Information Exchange一直在跟踪针对学校和教育平台的网络攻击。该组织的全国主管Doug Levin说:“不敢想象一个学区发生了如此大规模的学生数据泄露事件。”在检测到黑客攻击后,Illuminate的评分和出勤平台被关闭了数周,对城市学校造成了干扰,直到事件发生的两个月后,Illuminate才公布了数据泄露的消息。

教育官员现在指责Illuminate歪曲其对学生数据的保护措施,以及未能加密其 IO Classroom、Skedula 和 Pupilpath 平台。纽约市教育局局长大卫班克斯说:“我们认为Illuminate会保护好我们的信息,可实际上他们并没有。

尽管对此Illuminate做出了回应,但纽约市市长埃里克·亚当斯 指责 Illuminate “更关心保护自己而不是保护我们的学生”。他和班克斯已要求纽约州教育部和其他机构调查此事件以及 Illuminate 对州法律的遵守情况。

]]>
美国“卫星网中断”事件复盘:管理后台遭入侵,数万Modem被下发破坏指令 Sun, 03 Jul 2022 08:24:23 +0800 3月30日,美国卫星通信服务商Viasat发布一份事件报告,详细披露了2月24日俄罗斯对乌克兰开战当天,该公司KA-SAT民用卫星网络服务遭遇网络攻击的细节。

KA-SAT卫星网络曾经被“乌克兰军方所频繁使用”。在被攻击期间,中欧及东欧地区的KA-SAT卫星服务均发生中断。

这次通信服务中断也影响到了德国,导致负责控制约5800台风力涡轮机的调制解调器无法正常联网。此外,来自法国、意大利、匈牙利、希腊和波兰的客户也受到不同程序影响。

Viasat公司在事件报告中证实,这次攻击直接影响到数千名乌克兰客户及数万名欧洲其他宽带客户。

报告还提到,由该公司直接管理的政府与移动客户、使用KA-SAT卫星及其他Viasat全球网络服务的用户未受到影响。

Viasat公司披露,“最终,数以万计此前稳定在线且处于活动状态的调制解调器在网络上掉线,并且此后没有尝试重新接入网络。”

利用错误配置的VPN设备入侵

Viasat公司表示,攻击者首先入侵管理网络,发出管理指令覆盖掉了设备闪存,由此关闭客户家中的调制解调器并导致其无法重新接入网络。但这只是掉线,并没有让这些设备“变砖”。

Viasat公司补充称,“通过后续调查与取证分析,我们确定攻击者是以错误配置的VPN设备为跳板,获得了对KA-SAT网络内受信任管理网段的远程访问权限。”

 “攻击者通过受信管理网段进行横向移动,进入到负责网络管理及运营的特定网段,再向大量客户调制解调器同时发出合法且有针对性的管理指令。”

这次攻击造成的直接结果,就是数以万计的在线调制解调器从KA-SAT网络中断开,而且无法重新接入。

此次事件不仅影响到乌克兰国内大部分原本正常的调制解调器,也令欧洲其他地区的大量调制解调器意外离线。

Viasat公司已经对受到影响的调制解调器开展详细分析,确认不存在任何故障或电子元件异常,设备物理或电子元件并未受损,未发现损害或篡改Viasat调制解调器软件或固件镜像的迹象,也没有证据表明供应链受到过干扰。客户可以通过恢复出厂设置将调制解调器还原。截至目前,对于正常网络运营中使用的标准调制解调器软件或固件,Viasat公司没有在分发或更新流程中发现任何利用或破坏迹象。

——Viasat

为恢复网络服务,更换近3万个调制解调器

自2月下旬遭受网络攻击以来,Viasat已经发出近3万台调制解调器,以帮助客户重新联网,未来还将继续提供更多设备加快受影响客户的服务恢复。

Viasat公司表示,“我们认为此次攻击的目的就是要造成服务宕机。”

“目前没有证据表明有最终用户的数据遭到访问或泄露,客户的个人设备(PC、移动设备等)未遭非法访问,也没有证据表明KA-SAT卫星自身或公司使用的地面卫星接收设施受到直接针对、受损或入侵。”

美国政府目前也在调查Viasat黑客事件,并将事件初步定性为疑似俄罗斯国家支持的网络攻击。美国国安局发起了一项跨机构联合措施,希望与乌克兰情报部门一起“评估事件的影响范围与严重性”。

美国网络安全与基础设施安全局与联邦调查局还发布了一份联合咨询报告,就国内乃至全球卫星通信(SATCOM)网络面临的“潜在威胁”向相关美国组织发出警告。

]]>
点了一下链接,10万元没了 Sun, 03 Jul 2022 08:24:23 +0800 谁能想到,一条短信,竟然让山西小伙张某三天内被骗10万。究其根本,在于张某被诱导下载一款冒充某知名官方平台的App。

实际上,利用手机应用的诈骗案例早已不是新鲜事。2019年至今,央视315晚会连续四年关注应用安全问题,手机里的“窃贼”、“漏洞”和“安全陷阱”令人触目惊心。类似安全问题层出不穷,根源在于很多人通过违法违规的App内广告、网页等第三方链接进行手机App安装。

对此,近年来,工信部等部门一直在严厉打击不法链接和违规App。与此同时,专家指出,用户尽量在官方手机应用商店等正规渠道下载,安全方面会更有保障;而对于各类广告推广或投放链接以及充斥在各个群内的下载链接则需要高度警惕,尤其要警惕非法链接。

点了陌生链接,三天被骗10万

在手机上被骗10万需要几步?三步足以:加上陌生网友,通过网友给的链接下载App,听网友的话开始打钱。

短短三天内,山西小伙张某就这样被骗走了10万块。

去年临近年关,张某收到一条陌生短信,短信上面显示:张XX(小伙名字)您好,您在我们店铺的快件已收,加微信号拿某品牌电饭煲一个。于是,张某加上微信,微信的头像是个青春貌美的少女,名为福利员-晓莹。

随后晓莹就邀请张某进群,张某在群内抢到红包后,逐渐信任了该平台。这时,晓莹一步步引导,告诉张某想要赚取更多福利,就要通过给到的二维码下载一款App,刷单赚福利。

如何能够赚到钱呢?该App里发布了所谓“抢多少元做多少元的任务”的抢单任务,成功抢单可以拿到30%的利润回扣。

为了进一步引张某上钩,诈骗团伙继续给张某发“福利”,张某前期支付了总计7500元钱款做任务,同时赚了一笔大钱。

两天后,“大单”如约而至。

张某抢到了10000元的订单,并向对方打款,但随后的任务过程中却不再那么顺利。张某收到了App里的提示,做错任务,需要重新操作,否则就无法回款。这种局面下,张某只好咬咬牙,继续支付了三笔费用,分别是20000元、50000元和20000元。

对方坚称再交3000元才能取款。此时,张某才醒悟过来,自己被骗了。

后来,张某投诉到该App所冒名的知名公司,公司查证发现,张某是通过一个安全级别极低的渠道下载了该App。该App冒充某知名公司,借用该平台的影响力来欺骗用户,张某知道后悔不当初。

该平台工作人员告诉中国新闻周刊,手机应用分发存在灰色地带,一个二维码或一个链接,可能就关联到涉赌、涉诈类App。用户如果警惕性不高,或者犯罪分子手段稍微高明,就有可能禁不住诱惑,下载安装,被危及生命财产安全。

“要命”链接为何层出不穷?

根据《中国互联网络发展状况统计报告》最新数据显示,截至2021年12月,中国网民规模达10.32亿,而网民使用手机上网的比例达到99.7%。这意味着绝大多数网民都在使用手机等移动端产品上网。

随着移动互联网的发展,App的数量增长到百万级别。数据显示,截至2021年底,国内App总量达到252万款,应用分发总量达21072亿次。

目前,手机用户下载软件大概分为三类途径,分别是手机自带的应用商店,如华为应用市场、小米应用商店、OPPO软件商店等;第二类是百度手机助手等第三方应用商店;第三类则是通过其他非应用商店App的广告、网页或某些链接进行下载的渠道。

上述案例中,犯罪分子的犯罪成本极低。

从技术上来看,只要诱导用户,通过链接或者浏览器等渠道下载APK(安卓应用程序包),或在审核不严的App内投放广告,经过下载器安装,即可下载某些具有重大安全风险的App,诈骗团伙屡试不爽。

中国电子技术标准化研究院网安中心测评实验室副主任何延哲告诉中国新闻周刊,一个下载包就可以安装一个手机应用,非应用商店App广告和网页等分发渠道广泛而分散,规律不好把握,因此监管难度大。

从市场层面来说,用户下载了具有明确使用需求的常用App后,一般不会再频繁打开应用商店,随意下载一些App。为了触达到用户,一些App会带有“优惠”或“红包”等字眼,诱导用户从投放链接中下载。基于这种消费习惯和心理,这些分发渠道难免伸出“罪恶的手”,骗取用户隐私,甚至骗取用户钱财。

资深通信工程师袁博透露,投放问题不可避免,这是基于商业逻辑而存在的。用户点开一个链接其实就相当于点了一次广告,目前靠这些广告分发的App,占比不小,这些链接往往都是靠套路来获取用户,可能导致严重的安全问题。

那么,怎样才能治理不良“链接”,杜绝违法犯罪事件的发生?

谁来做好用户手机安全的“守门人”?

近些年来,工信部、网信办等相关部门一直在通过制定标准、技术检验和专项整治等措施,不断加强手机应用商店的生态治理。

2月,工信部通报13款第三方SDK违规行为及问题。3月17日,国家网信办部署开展的2022年“清朗”系列专项行动中,又强调了“规范网络传播秩序”。来自于这些分散的分发渠道,侵害用户权益的App,正逐渐被监测和处理。

何延哲指出,官方手机应用商店及第三方应用商店就好比“商场”,刷刷短视频、逛逛网页就出现的这些App下载链接类似“路边摊”,在“商场”里兜售的产品质量肯定比“路边摊”要好一些,审核和管理都稍微严格一些。至于充斥在群内的下载链接,很有可能涉及“黄赌毒”,连“路边摊”都称不上。

想要整个手机应用分发市场乃至整个移动互联网高质量发展,需要有人来做好“守门人”。

袁博表示,对不懂技术的用户来说,手机自带的应用商店如华为应用商店、小米应用商店等为消费者构筑了第一道防线,相较于第三方下载链接来说,肯定更能保护用户,也更加值得信赖。毕竟作为出货量比较大的手机品牌,是需要保证自身品牌力的。

去年11月,“个人信息保护法”施行,这对手机应用商店提出了更高的要求,把手机应用商店定位成隐私保护的守门人。不少业内人士也认为,监管部门对应用分发市场的治理举措,会要求这些应用商店把红线守住,将应用商店的审核门槛提高,阻断违法违规的应用分发。

对于难以监督的第三方分发渠道来说,何延哲表示,对这些渠道的监管越来越常态化,通过抽查等方式来进行监督。不过,在某主流安全公司得到的抽样监测数据显示:跟踪315通报的移动应用下载情况,每天仍有30+个非厂商应用商店分发渠道(App内广告、网页、链接等)分发被通报的应用近3000次。

而从第三方渠道分发应用抽查中,近2万款不满足隐私合规要求。具体到App类别,这些渠道每天分发明确存在风险的应用近40万次。其中,无版号游戏更是高达100多万次。可见,这些分发渠道的安全合规问题依然严重。

截至2021年12月,中国网民的人均每周上网时长达到28.5个小时,较去年同期提升了2.3个小时。该数据充分说明,上网成为用户生活中越来越重要的事情。而相对纯净的网络生活更为用户所需要。

袁博指出,现在很多用户很难分清楚,这些不同渠道下载的App有何区别。不过目前很多人已转变观念,随着用户安全隐私意识的加强,加上手机品牌的背书,选择手机自带的应用商店来下载App,这样也会提高安全意识,这样可以更好地保护个人信息和各类隐私,防范诈骗,远离网络犯罪侵害。

何延哲则建议用户在看到一些广告弹窗及链接时,对于特别夸张的优惠或者具有诱惑力的广告,最好不要轻信下载。“就比如贴小广告的总归还是不能轻信的”,他补充道。

]]>
重拳推进“打猫”“断卡” 全力整治电信网络诈骗 Sun, 03 Jul 2022 08:24:23 +0800 3月31日消息,据经济参考报报道,如何进一步加强信息通信行业防范治理电信网络诈骗?工信部网络安全管理局相关负责人在接受采访时表示,当前新型诈骗手法层出不穷,各类即时通信工具、社交网站等成为诈骗的主渠道。工信部高度重视全行业系统推进电信网络诈骗防范治理工作,将深入推进“断卡2.0”、“打猫”、互联网反诈等专项行动,持续完善信息通信行业反诈大平台能力,进一步构建长效治理机制。

报道称,工信部网络安全管理局相关负责人表示,电信网络诈骗可分为精准信息获取、诈骗脚本设计、通讯联络诱导、资金支付转移等四个关键环节,打击治理电信网络诈骗始终处于一个动态博弈的过程。

述负责人称,诈骗分子通过跨境或远程操控插卡集群设备(俗称“猫池”、GoIP 设备),利用深度伪造技术、机器学习等人工智能技术实施诈骗活动,并不断对反诈策略模型进行试探分析,以调整诈骗行为方式,躲避技术封堵。同时,在国内持续高压打击和有效治理下,诈骗分子为了躲避监管,大量利用境外电信网络资源实施诈骗,增加了技术防范难度。

针对“猫池”、GoIP 设备拨打诈骗电话溯源打击困难的问题,工信部组织开展“打猫行动”,会同公安机关加强对“猫池”设备的快速发现、准确定位和联合打击。截至目前,联合端掉“猫池”窝点2424个,缴获设备7201台。

针对当前行业治理中最为紧迫的电话卡、物联网卡、网络账号管理问题,工信部突出源头管控,启动“断卡行动2.0”专项工作,组织电信企业规范实施“二次实人认证”制度,对全国物联网卡开展拉网式检查,累计处置涉诈高风险电话卡9700万张、关联互联网账号5700万余个。目前已清理一大批存量高危号卡,有力斩断“囤卡、养卡、倒卡”等黑灰产业链条。

上述负责人表示,下一步将坚决打赢重点领域整顿攻坚战。聚焦行业治理突出问题,深入推进“断卡2.0”、“打猫”、跨境业务治理等专项行动,从严规范端口类短信、呼叫转移、专线、云服务等涉诈重点业务。特别是针对互联网领域诈骗多发高发态势,组织开展专项治理行动,加强互联网涉诈资源处置,强化互联网账号风险排查,严格规范网络搜索业务,建立完善主动预警能力,全面整治网络违规信息和黑灰产,夯实行业反诈工作基础。

据悉,工信部将进一步推动完善信息通信行业反诈制度体系,会同有关部门加快推动出台反电信网络诈骗法,进一步构建长效治理机制。健全信息通信行业反诈考核评价和督导检查工作机制,不断提升行业治理效能。

]]>
部分本田车型存在漏洞,黑客可远程启动车辆 Sun, 03 Jul 2022 08:24:23 +0800 The Hacker News 网站披露,研究人员发现一个影响部分 Honda(本田) 和 Acura(讴歌)车型的重放攻击漏洞(CVE-2022-27254),黑客能够利用该漏洞解锁汽车、甚至启动汽车引擎。1648697912_6245223869a37add29bc2.png!small

据悉,发现漏洞问题的是达特茅斯大学两个学生 Ayyappan Rajesh 和 Blake Berry。Blake Berry 在 GitHub帖子中表示,黑客可以通过该漏洞获得锁定、解锁、控制车窗、打开后备箱和启动目标车辆发动机的访问权限,防止攻击的唯一方法是永远不要使用遥控钥匙,或者在被攻击后,从汽车经销商处重新设置新的钥匙。

受影响车型的遥控钥匙向汽车传输相同的、未加密的无线电频率信号(433.215MHz)时,攻击者能够拦截并重新发送,以无线方式启动发动机,并锁定和解锁车门。

漏洞主要影响 2016 年至 2020 年生产的本田思域 LX、EX、EX-L、旅行版、Si 和 Type R 等车型。

本田汽车出现过类似漏洞

值得一提的是,这不是第一次在本田汽车中发现此类漏洞, 2017 年本田 HR-V 车型中出现了一个相关漏洞(CVE-2019-20626,CVSS评分:6.5)。

Rajesh 强调,汽车制造商必须实施滚动代码,也就是所谓的跳转代码,这是一种常用的安全技术,为远程无钥匙进入(RKE)或被动无钥匙进入(PKE)系统的每次身份认证提供一个新的代码,来确保汽车安全。

]]>
Lapsus$再出手:泄漏Globant软件公司70GB数据 Sun, 03 Jul 2022 08:24:23 +0800 就在英国警方逮捕了 7 名嫌疑犯之后,近期非常猖獗的黑客组织 Lapsus$ 又有了新动作。在攻击微软、三星、NVIDIA 和 Okta 等公司之后,该组织再次宣布成功攻陷 Globant,后者是一家位于卢森堡的软件开发咨询公司。

在周三宣布自己“度假归来”之后,该组织在其 Telegram 频道上发布了一个 70G 的种子文件,其中包括据称从该公司窃取的数据,黑客声称其中包括其企业客户的源代码。

Globant 向 TechCrunch 证实,它已经“检测到我们公司代码库的一个有限部分受到了未经授权的访问”,并正在进行调查。

黑客们还公布了一份用于访问其源代码共享平台的公司凭证清单,包括 GitHub、Jira、Crucible 和 Confluence。恶意软件研究小组 VX-Underground 在Twitter上发布了黑客 Telegram 帖子的编辑截图,其中显示该小组发布了他们声称是Globant的密码,如果得到证实,攻击者很容易猜到这些密码。

在发布种子文件之前,Lapsus$ 还分享了一个文件目录的截图,其中包含据信是 Globant 客户的几个公司的名字,包括Facebook、花旗银行和C-Span。

Globant公司还在其网站上列出了一些高知名度的客户,包括英国大都会警察局、软件公司Autodesk和游戏巨头Electronic Arts。至少Lapsus$的一名成员参与了去年电子艺界的数据泄露事件,但目前还不清楚这两起事件是否有关联。

]]>
投放800个恶意NPM包!黑客发动大规模供应链攻击 Sun, 03 Jul 2022 08:24:23 +0800