欢迎有志从事信息安全的朋友，一起加入安联智库这个大家庭，有你们的到来安联智库将因你而出彩！

安联智库&安联攻防实验室（简称：seczk）www.seczk.com
使命：让安全，更简单！
提出：攻击溯源、纵深防御的安全治理解决方案！
微信 、QQ：110468258
网站：www.seczk.com 
邮箱：110468258#qq.com 
地址：广州市天河区黄埔大道西505号A栋2519室 
机构：[广东-广西-海南-云南-贵州-四川-福建-江西-湖南-北京-深圳-重庆-上海.....] 

    安联智库是为了（简称：seczk）是一个专注于信息安全、具有全面信息安全综合服务能力的专业服务团队。seczk立足自主研发，专注信息安全市场，为客户提供安全产品、安全服务、安全集成、安全培训等多项综合性信息安全服务。经过多年的发展已经成为一个理念先进、方案成熟、团队精干、客户认可的具有本土化特色的信息安全服务商。
    seczk立足于羊城广州，目前拥有一支20多人的专业队伍，团队拥有多名CISP、CISSP、CCIE、PMP等技术人员，核心团队成员都出自国内著名安全厂商与安全服务测评机构（如启明星辰、绿盟、天融信、蓝盾、竟远、南方信息安全研究院、中国信息安全测评中心等），积累了丰富的安全经验，其技术能力已获得过不同行业客户的认可。
    安联智库&安联攻防实验室（简称：seczk）使命：让安全，更简单！提出攻防纵深防御、攻击溯源的安全治理解决方案！

此外，丰田意大利还泄露了软件公司 Mapbox 的应用程序编程接口 (API) 令牌，导致敏感数据泄露范围增大。攻击者可能会借此获取丰田意大利用户的手机号码和电子邮箱等，并利用这些信息发起网络钓鱼攻击。

好消息是，截止到发稿时，丰田意大利已经将这些数据再次保护起来，该公司也表示，已经和第三方网络安全公司合作，采取了额外的措施加强其网络安全系统和协议。

公开信息显示，丰田是全球最大的汽车制造商之一，拥有超过37W名员工，去年收入约为2670亿美元。仅在欧洲，丰田的雇员就超过了2.5W名，共有八家汽车制造工厂。

目前虽然不清楚丰田意大利的官方数据，但是该公司已经在意大利屹立半个多世纪了，妥妥的老牌企业。根据 Statista 的数据，丰田意大利公司的收入预计到 2023 年将达到约18亿美元，汽车销量预计将接近8.3w辆。

偶然发现数据被公开

2023年2月14日，Cybernews的安全研究团队在丰田意大利官方网站上发现了一个环境文件(.env)。而该环境文件于2021 年 5 月 21 日首次被物联网 (IoT) 搜索引擎编入索引，这意味着很多人都可以进行公开访问。

根据 Cybernews 研究团队的说法，该环境文件泄露的原因是，丰田意大利数字营销自动化和分析软件服务提供商 Salesforce Marketing Cloud公开了用户账户凭证访问权限。黑客获取了Salesforce Marketing Cloud公司的权限，并借此访问丰田意大利用户的账户凭证。

通过账户凭证，攻击者顺势访问到了用户的电话号码、电子邮件地址、客户跟踪信息、短信和推送通知内容。同时这些凭据可以进一步被用来发送虚假的SMS消息、电子邮件、编辑&启动营销活动、创建自动化脚本、编辑与 Salesforce 营销云相关的内容，甚至向丰田的客户发送推送通知。

Cybernews 安全研究人员称，此次敏感数据泄露事件对于丰田意大利来说十分严重，这些信息完全可以被用来发起一些复杂的网络钓鱼攻击，攻击者可以访问和控制丰田的官方通信渠道，从而使受害者更容易落入此类钓鱼攻击中，因为发件人的信息是被冒充的丰田意大利官方。

此外，丰田意大利还泄露了软件公司 Mapbox 的应用程序编程接口 (API) 令牌。虽然这部分数据不像 Salesforce Marketing Cloud 账号凭证那么敏感，但是攻击者可能会滥用它来查询大量请求并增加丰田 API 使用的成本。

丰田官方回应

Cybernews 将此漏洞告知丰田后，该公司立即采取了必要的措施来进行补救。据丰田公司称，此次安全事件的出现，是对方未能遵守公司的数据安全政策造成的。

目前丰田公司已经采取了一套额外的安全措施来恢复和加强网络安全系统和协议，并及时向意大利有关当局报告了隐私数据暴露的风险，全力配合正在进行的调查。

丰田公司进一步表示，丰田非常认真地对待此次事件，也非常重视网络安全建设，我们将借此机会从调查结果中吸取教训，进一步提升网络安全防护能力以及协议的安全性，防止再次出现此类安全事件。

目前尚不清楚攻击者具体访问了哪些数据，但丰田公司建议用户高度警惕网络钓鱼攻击，及时更换账号密码，以确保个人信息安全。

丰田公司称：“骗子可能会试图向您发送冒充丰田或任何其他流行品牌的虚假消息，因此请确保通过启用多因素身份验证 (MFA) 来保护您的电子邮件地址。小心电子邮件，不要点击链接或提供任何个人信息。如果您发现电子邮件可疑，请将其报告给您的提供商。

当涉及到电话号码时，您可能会受到垃圾/营销/钓鱼短信的轰炸，甚至会发现自己成为 SIM 交换攻击的受害者，攻击者部署该攻击以获取对基于 SMS MFA 代码的访问权限。”

这不是丰田第一次在网上公开其数据并将自身和客户置于风险之中。

2022年，丰田公司近30万用户数据被泄露，包括电子邮件地址和客户管理号码。开发人员在 GitHub 上发布源代码后，通过其客户应用程序 T-Connect 公开的数据已经泄露了五年。

2023年 1 月，丰田汽车在印度的业务也曝出信息泄露事件，部分用户的个人信息很有可能已经被攻击者获取。

在调查过程中，研究人员发现，视频流平台Lionsgate Play通过一个开放的ElasticSearch实例泄露了用户数据。

Cybernews研究团队发现了一个未受保护的20GB的服务器日志，其中包含近3000万个条目，其中最早的是2022年5月。这些日志暴露了用户的IP地址、操作系统和网络浏览记录等用户数据。

研究人员还发现了记录在案的HTTP GET请求的不明哈希值，这是客户提出的请求的记录，通常用于从网络服务器获取数据：当这些请求被提出时，它们被存储在服务器的日志文件中。

机遇与危险并增

Lionsgate娱乐公司拥有几部获得全球认可的知名电影和电视特许经营权，包括《暮光之城》、《电锯惊魂》、《终结者》、《饥饿游戏》和《分歧者》系列。

虽然Netflix以超过2.3亿的用户数保持在所有流媒体平台的首位，但Lionsgate公司拥有超过3700万的全球用户，去年的收入为36亿美元。

在新冠疫情的影响下，在线流媒体平台的人气一直在增长。2022年在美国的视频点播平台的订阅率达到83%，在8年间增长了30%以上。

但是，随着平台上用户数量的增加，它们正成为网络犯罪分子的目标。即使是轻微的安全漏洞也可能造成严重的损害，然而安全问题往往被忽视。

数据可能有助于网络攻击

随着新的流媒体服务越来越多，我们可以看到，错误配置和数据泄露的风险也在增长。

在此次特定的案例中，泄露的信息通常不会在黑客社区中分享。尽管如此，它仍然是敏感的。这些被泄露的数据在有针对性的攻击中可能是有用的，特别是当与其他泄露的或公开的信息相结合时。

例如，用户的IP地址和设备数据的组合可以被恶意行为者利用，对他们进行有针对性的攻击，这样就可以向他们的设备提供恶意的有效载荷。

同时研究人员还表示：攻击者可以将用户的搜索查询和浏览的内容与他们的IP地址进行交叉对比，以建立一个更全面的个人档案。

最后，研究人员提醒：随着使用数据的增加，攻击者可以确定行为模式，并可能利用这些信息来制作更准确、更有针对性的网络钓鱼攻击。

根据网络安全分析师Dominic Alvieri本周三发布的推文，LockBit勒索软件组织威胁要发布被盗的SpaceX设计图纸，除非埃隆马斯克在3月20日前支付“保密费”。

LockBit在勒索通知中写道：“埃隆马斯克，我们将把图纸出售给其他制造商，帮他们更快地建造船并飞走。”

据报道，这些机密图纸不是来自SpaceX本身，而是来自其第三方供应商：为SpaceX项目生产零件的Max Industries。

本周一LockBit宣称入侵了SpaceX最大的零部件提供商Max Industires，并窃取了3000张设计图纸。

这并非SpaceX第一次遭遇第三方安全问题，早在2020年，总部位于科罗拉多州丹佛的精密零件制造商Visser Precision遭受勒索软件攻击，攻击者泄漏了Visser Precision与特斯拉和SpaceX签署的保密协议。Visser Precision是特斯拉、波音、洛克希德·马丁公司和SpaceX等行业巨头的零件供应商。

“当人们听到勒索攻击时，会立即想到勒索软件。其实，勒索软件只是攻击者武器库中的一种工具。”KnowBe4首席安全意识官Javvad Malik指出：“数据才是犯罪分子的最大筹码，因为泄露数据会对受害者产生巨大影响。这提出了一个重要的问题：犯罪分子如何进入企业网络？为何长时间驻留未被发现？如何在不被阻止的情况下泄露敏感数据？这些问题的答案不仅仅是单点安全产品，而是真正关注企业的整体安全文化。”

卖家在帖子中将该数据库标价15万美元，据称包含美国法警局文件服务器和工作电脑上从2021年到2023年2月的文件。这些文件包括具有精确坐标的军事基地和其他敏感区域的航拍视频及照片、护照及身份证明的副本、以及有关窃听和监视公民的细节，另外还有一些关于罪犯、黑帮头目等的信息。卖家还声称，其中一些文件被标记为机密和绝密，并且还包含证人保护计划的细节。

值得注意的是，此前USMS正在调查2月17日的一起勒索软件攻击事件。USMS发言人Drew Wade表示，该次事件中遭窃取的数据包括USMS的执法敏感信息，法律程序相关信息，与美国法警局调查对象、第三方、某些雇员有关的个人身份信息。但当时的说法是，攻击者并未获得USMS的证人安全文件信息系统（也被称为WITSEC或证人保护计划）数据库的访问权限。

除此之外，USMS还曾在2020年5月披露过另一起数据泄露事件，其曾于2019年12月泄露过超过38.7万名前囚犯及现囚犯的详细信息（包括姓名、出生日期、家庭地址和社会安全号码）。

可以看到，即使是政府机构也无法避免遭受网络攻击的损失，现下敏感信息盗窃威胁日益严重，所有组织都有必要在其运营中优先考虑网络安全措施，特别是那些涉及处理敏感信息的机构。并且需要注意到，事前采取预防措施远比事后响应更为妥当。

由于FBI的报告仅统计了向互联网犯罪投诉中心（IC3）报告的攻击，实际发生的攻击数量可能更高。

报告显示，在16个关键基础设施行业中，14个行业至少有1个实体在2022年遭受勒索软件攻击。

勒索软件受害者在2022年全年总共提交了2385起投诉，调整后的损失超过3400万美元。

按照攻击次数排名，2022年实施关键基础设施攻击的前三大勒索软件组织是Lockbit（149次），ALPHV/BlackCat（114次）和Hive（87次）。

此外，Ragnar Locker勒索软件至少入侵了52个关键基础设施实体，Cuba勒索软件攻击了至少49个美国关键基础设施实体，BlackByte勒索软件也成功入侵了至少三个关键基础设施实体。

FBI建议关键基础设施组织不要向网络犯罪分子支付赎金，因为付款并不能保证受害者会恢复他们的文件，反而会鼓励进一步的攻击，并且赎金很可能会被用来资助额外的攻击。

FBI还分享了勒索软件攻击防御清单：

更新操作系统和软件。

实施用户培训和网络钓鱼练习，以提高对可疑链接和附件风险的认识。

如果使用远程桌面协议（RDP），请保护并监视它。

对数据进行脱机备份。

CISA（关键基础设施管理局）本周一宣布，该机构自2023年1月30日以来一直在扫描关键基础设施实体的网络，查找易受勒索软件攻击的设备，在黑客入侵之前发出警告，帮助关键基础设施实体修复漏洞。

NBA是一家全球体育和媒体组织，管理着五个职业体育联盟，包括NBA、WNBA、篮球非洲联盟、NBA G联盟和NBA 2K联盟。众所周知，NBA在全球有着极为广泛的影响力，其节目和比赛在215个国家/地区，以50 多种语言进行直播/转播。

正因为如此，NBA拥有数量庞大的粉丝群体。在此次数据泄露事件中，NBA尚未公布泄露的数据量和涉及影响范围。但不少粉丝称，收到了NBA发送的“网络安全事件通知”电子邮件，并指出NBA的系统没有遭到破坏，数据已泄露的球迷的凭证也没有受到影响。

“我们（NBA）最近发现，未经授权的第三方获得了您的姓名和电子邮件地址的访问权限，并获得了您的姓名和电子邮件地址的副本，这些信息由第三方服务提供商持有，帮助我们通过电子邮件与分享了这些信息的粉丝进行交流NBA。没有迹象表明我们的系统、您的用户名、密码或您与我们共享的任何其他信息受到了影响。”

目前，就此次数据泄露事件，NBA已经聘请了外部网络安全专家，以及第三方服务提供商一起，正在进行相应的调查，并分析判断影响范围。

警告球迷提防钓鱼攻击

NBA 警告说，由于所涉及数据的敏感性，受影响的个人更有可能成为网络钓鱼攻击和各种诈骗的目标。因此，强烈建议受影响的球迷在打开看似来自 NBA 或其合作伙伴的可疑电子邮件或通讯时保持警惕。

“鉴于信息的性质，您可能会增加从看似与 NBA 有关联的电子邮件帐户收到‘网络钓鱼’电子邮件的风险，或者成为其他所谓的‘社会工程’攻击的目标。”

在邮件中，NBA表示绝不会通过电子邮件索取球迷的帐户信息，包括用户名或密码。建议受影响的球迷验证收到的电子邮件是否来自合法的“@nba.com”电子邮件地址，检查嵌入式链接是否指向受信任的网站，并且永远不要打开他们不希望收到的电子邮件附件。

火箭队也曾遭遇勒索攻击

2021年，NBA休斯顿火箭队也遭遇了网络攻击。Babuk勒索组织在其网站上，发布了一份据称来自于火箭队网络系统中的数据和文件相关的500GB数据，其中包括NBA休斯顿火箭队的第三方合同公司、客户、员工和财务信息。目前该帖子已被发布者删除。

负责处理此次勒索软件攻击事件的律师称，不要根据Babuk勒索软件犯罪团伙删除了此前发布的帖子，就草率地认为我们正在跟网络犯罪分子谈判，或者是我们已经支付了数据赎金。

休斯顿火箭队表示：“这些调查是复杂的、动态的，需要时间才能妥善进行。在我们的调查完成之前，很难确定事件的范围，但我们将继续保持警惕，解决任何可能影响我们球迷、员工和球员的潜在问题。如果调查证实个人信息被曝光，我们将立刻通知客户、球员或员工。像这样的问题并不少见，这也突出了组织对数据文件的备份和加密的重要性。”

国内的数据流通和要素市场曾被一些业内人士视作“黑暗丛林”。由于在数据确权、价值挖掘和分配、跨产业链治理、数据交易等诸多层面缺乏规范，数据要素市场的发展并不健全，距离爆发仍有不短距离。

不过，数据晋升为第五种生产要素后，改变正在加速发生。尤其是最近国家数据局的成立，被业内人士认为是从顶层设计层面做了部署，“相当于1992年证监会的成立对证券市场的影响，市场将进一步规范与健全”。同时，一些企业也正在从跨链治理和流通及行业性底座层面开始探索。

为什么会成立国家数据局？国家数据局的成立会给行业带来哪些变化？数据真正发挥生产要素作用的关键是什么？

01“重要程度可类比证监会的成立”

3月10日，国务院机构改革方案获批通过，意味着一个新机构——国家数据局正式组建。不少业内人士对该局的协调、统筹特征，及纳入国家发改委的高规格管理表示关注。它将负责协调推进数据基础制度建设，统筹数据资源整合共享和开发利用，统筹推进数字中国、数字经济、数字社会规划和建设等。

对此，行业内及产业人士有什么反应？

“这对行业的重要程度，可以类比1992年组建证监会对证券市场的意义。”大数据资深人士、百分点科技CTO刘译璟告诉数智前线。

在他看来，该机构在短期内可能推动法律法规、制度建设，未来可能会衍生出执法等职能。“市场如何运行，相关从业者要具备什么资质，出现争议如何处置，它应该具有最终决定权。”

企服行业资深人士、用友集团副总裁罗小江则认为，国家数据局的成立，将推动数据交易加速，推进数据估值，让数据真正成为资产。据他了解，在企业侧，目前已有企业提出数据像厂房、机器设备、商誉等一样，作为资产出现在三大报表中。

此前，因数据黑产问题频发，国家陆续出台了《个人信息保护法》、《数据安全法》，但更多集中在数据的安全、保护上。2020年4月作为，数据首次在国务院印发的相关文件中被列为第五大生产要素后，对其应用实践增多。

但多位业界人士发现，数据要素在过去几年的产业实践中遇到了不少问题，核心瓶颈是基础制度缺失，如产权制度、流通交易制度、收益分配制度、跨产业链治理制度、安全治理制度等，导致数据要素市场没有真正发展起来。

"数据局成立，有一个明确的牵头部门，更有助于去理清并解决这些问题。"中国计算机学会理事、副秘书长谭晓生认为。IDC中国助理研究总监孙吉峰也表示，组建国家数据局是必须和必然的。

根据相关统计，2021年，我国数字经济占GDP比重已高达39.8%，其从2015年到2021年的复合增长率达到 16.1%，高于GDP增速。数据对经济的贡献已经与土地、劳动力、资本、技术四大要素同等重要。

在孙吉峰看来，作为下一轮增长的引擎和重要动力，数据生产要素要发挥更大作用，必须要形成自上而下的组织和制度，从组织层面解决数据汇聚、数据质量问题，从制度层面解决数据共享、数据开放，以及数据交易问题。

02顶层设计加码

国家数据局成立背后，是国家在顶层设计层面，对数据要素的加码。

2014年，大数据第一次被写入政府工作报告，上升为国家战略，预热就已经开始。数据成为生产要素后，“十四五”规划、《2035年远景目标纲要》等也都将其作为重要元素，市场如火如荼被搅动起来。不久前出台的《数字中国建设整体布局规划》，更与数据要素紧密相关，提出“到2025年，数字中国建设取得重要进展，数据资源规模和质量加快提升，数据要素价值有效释放”。

刘译璟告诉数智前线，最近几年，国家的确把数字经济提到了非常高的一个位置，相关的动作也在变得越来越实，越来越具体。

政策之外，一些新进展和动向也在持续发生。

数据交易所层面，成立一年多的上海数据交易所，数据产品累计挂牌数近千个，交易额超1亿元，且预计今年场内交易有望突破10亿元。广州数据交易所已发布80多个行业数据指数，这些是企业运营时非常需要的。而从2022年9月30日挂牌运营后，它在不到4个月内就累计交易5.07亿元。

国资委和国央企也有动作。产业资深人士告诉数智前线，国资委从去年底已推动相关课题，其一是如何打造相对通用的数字技术底座，其二是推动国央企沉淀数据资产，为行业数据交易奠定基础。

2022年12月25日，中国电子组建国内首家央国企设立的数据产业集团，定义了“数据元件”，尝试解决确权、交易、收益分配和安全治理问题。“数据要素市场还处于初期，有很长的试错期，央企国企自身在数据要素市场获得国家的信任，发力希望通过市场实践，变成事实上的标准或模式。”IDC孙吉峰告诉数智前线。

有行业人士预计，随着数据要素相关质量、合规标准等的逐渐完善，或将带动数据从企业内治理，向跨产业链治理方向迈进，进而推动整个数据要素市场发挥价值。

03数据跨产业链是新焦点

数据要素市场尚在发展中，还有大量的标准和规则需补齐和完善。罗小江认为，在让数据能够真正发挥生产要素作用的道路上，数据治理，尤其是跨产业链数据治理正在成为大家关注的新焦点。

罗小江接触到的不少大中型企业，前几年在和他交流时，提的需求往往是BI（商业分析）、大屏可视化，这两年却不约而同转向了更底层的数据治理。其中，集团性企业和行业龙头企业关于跨产业链数据的需求更是广泛存在。

一位资深人士介绍，国内一些做大宗商品贸易的企业就已经有了对行业指数、产品开工率、用电情况、航运数据等的需求，以此来判断大宗交易的价格起伏，“部分企业每年花在购买跨产业链数据的钱基本在百万规模以上”。

打造韧性供应链也需要跨产业数据。某中国机械行业龙头企业，有大量海外订单，订单逾期处罚相当惊人，为此，他们引入天气、航运、公路交通等数据，再结合供货商的产能数据、自身的生产数据，及时调整生产计划，“对整个生产运营进行风控”。

供应链金融的风控、营销场景里的通路问题同样对跨产业链数据有需求。国科恒泰市场负责人王忠良透露，新能源汽车厂商在做新车研发时，都会关注年轻人的用车数据和交通数据，以便更好地适应市场需要。

但跨产业链的数据治理其实仍存在不少难题。一是《数据安全法》出台后，在实操中遇到非常多问题。比如数据确权和流转，大家还缺乏明确样例。谭晓生曾碰到基建设计单位，设计时用到了高精度地理信息数据，这些要当做敏感数据去管理。而整个设计、施工过程，要依靠BIM软件，是电子化流转的。这些机构遇到了施工中数据要如何安全流转的问题。

二是数据质量。罗小江在实践中发现，数据来源五花八门，有效性和准确性不足，即便治理之后，跟银行的一些风控模型进行匹配时，依然会存在问题。

三是数联网的标准。王忠良之前在一家医药新零售企业。某个药品到底属于口腔科、牙科，还是呼吸道科，行业内没有统一标准。所以大家在输入时就比较随意，最后导致不同存储平台里的数据维度完全不一样，给后续使用造成障碍。

四是数据治理的工程化。数据治理是一个庞杂的过程，除了工具，还要有经验提炼、标准、流程和运营机制。这是一个系统化、工程化的事，并不容易。

04央国企、行业龙头已有实践

尽管存在不少问题，甚至还有一些企业内部数据都尚未打通，但也有部分龙头企业已迈进跨产业链数据落地实践阶段。

典型如央国企，最近几年都在深化链长制建设，以期打通整个产业链。一些地方大数据局，则把当地医疗、教育、出行、能源、电力等社会数据逐步打通，政府部门在惠民和产业布局中先用起来。

而在供应链金融、营销、风控等领域，已落地跨产业链数据应用。

当然，更多应用的深入还依赖于跨产业链数据的进一步打通。IDC分析师告诉数智前线，供应链的数据打通，当前都是依靠强有力的链主企业等制定数据标准。在汽车、钢铁、石化等比较大的行业，由于国外供应商引入，或者行业集中度高，供应链的上下游数据打通较好。而大部分企业自身的标准化、数字化还比较低，无从谈起供应链上下游的数据打通。

谭晓生也表示，这个问题最终起决定性作用的是产业协同关系。随着甲方逐渐成熟，国内确实可以像西方一样用大的采购订单，逼大家去标准化。“比如电力、两桶油、各大银行，采购量比较大，提出这种要求，供应商咬着牙也得做”。

最近，ChatGPT的“横空出世”也给行业带来了新思路，一些企业及政府机构开始思考甚至尝试在一些场景里嵌入相关技术。知情人士透露，一些地方政府受大模型启发，正在从整体经济市场，包括ESG环境能源，配套支撑体系来思考引入什么经济，最有利于本区域产业聚合。

不过，受访业界人士都认为，ChatGPT这类大模型在消费市场，如社交等表现相对成熟，但在ToB领域，还需大量建设，“不用太神化它”。

百分点科技刘译璟也认为，未来大模型要用得更好，一定是在垂直领域里。他同时表示，看好行业性的大模型做成后的效果。他认为，企业间的数据流转可能由此能形成更好的共享共用机制。“在统一产业链上，大家有相同的技术和产品标准，同时数据共享给行业性大模型，对产业里的设计、研发等长期规划有推动作用，从而催生出好的应用场景。”

如果没有LTS的系统支持，长期来看，空客工厂恐怕将无法正常生产。但目前还没有得到LTS的任何确认，仅由部分消息来源和空客公司对攻击消息做出了证实。

物流供应商疑遭勒索攻击

一位不愿透露姓名的消息人士称，“LTS”公司的IT系统遭到黑客攻击。其表示，“一切均无法工作”，如果“计算机仍然瘫痪，不能重新启动”，就指示空客诺登汉姆工厂（隶属于空客航空结构件公司）停止工作。

此外，消息人士提到攻击者可能来自俄罗斯，已经开出1500万欧元赎金。爆料博主称，这听起来就是一起勒索软件攻击——如果物流服务提供商的IT系统被感染，客户将无法正常使用这些系统。

除了为飞机制造机身外壳的诺登哈姆空客工厂外，空客公司的整体生产体系都可能因此受到影响，包括远在法国图卢兹的工厂。

IT博主Günter Born在社交媒体上提出的模糊询问得到了二次确认。在题为“Honnold LTS Nordenham”的电子邮件中，用户Peter回复道：

我在LTS那边的朋友告诉我，“LTS与A&T的服务器遭到入侵。目前这里的一切都无法工作。”

这里说的“A&T服务器”是指Albers & Tönjes GmbH，一家制造飞机零件的德国服务提供商，可能也提供IT解决方案。这家公司与AT&T无关。

关键业务系统中断导致空客受影响

Günter Born后来又得到多方补充素材，终于勾勒出事态的全貌。

3月8日晚，温瑟马奇地区报纸的编辑部主任Christoph Heilscher透露，空客位于诺登哈姆的部分工厂存放有大量物料。

3月9日上午，消息人士称，由于个别地区出现大规模中断，空客诺登哈姆工厂已经无法全面开工。部分厂区的员工甚至开始用工时账户（单独记录法定工时以外的工作时长）抵偿。Heilscher也证实了这一猜测，即此次中断将对空客的整体物流链产生影响。原因是飞机机身外壳需要在诺登哈姆制造，而后被运送到图卢兹等其他地点进行最终组装。

德媒NWZ报道称，中断的源头是一家服务商，负责为诺登哈姆的空客工厂运营材料管理中心。根据空客发言人Daniel Werdung的解释，员工要么留在家中（用工时账户抵偿），要么选择参加进一步培训。

另一位知情人士（但尚未核实）称，LTS和A&T两家公司的SAP系统服务器已遭黑客入侵或破坏，对方要求支付2000万欧元“用于恢复”。这也符合前一位知情人士的消息，同样将事件定性为勒索软件攻击（描述了“计算机仍然瘫痪、不能重新启动”）。虽然双方提出的赎金数额存在差异，但说法总体比较一致（网络犯罪分子经常会调整自己的赎金数字，类似于市场上的讨价还价）。

SAP系统在仓储领域确实应用广泛，这也增加了消息内容的可信度。空客公司很可能在诺登哈姆拥有自己的SAP物料管理系统。但物料供应链必须进行协调，一旦某个系统发生故障或受到损害，就会全面崩盘。IT部门会切断系统之间的连接，之后用户将无法访问被黑的SAP系统。

知情人士表示，“空客航空结构件公司拥有自己的SAP服务器，但也需要访问A&T的[SAP服务器]（LTS/A&T）以查询物料库存。此次受影响的是空客航空结构件公司中依赖于LTS的区域。那些厂内尚存有物料的区域，仍可在一定程度上继续保持运营。”这也符合其他消息来源给出的描述。

空中客车发布声明

与此同时，空客公司也发表了声明。面对博主Günter Born在电子邮件中提到的物流服务商LTS遭受的网络攻击、诺登哈姆空客工厂生产受到的影响等问题，空客发言人Daniel Werdung做出如下回应：

以下是我们关于诺登哈姆IT中断事件的声明：

我们目前有一家服务提供商似乎发生了物流IT系统中断。调查仍在进行中，专家也在努力解决中断问题并恢复平稳运行。由于各部门受到的影响程度不同，在必要时我们会暂时针对个别区域采取不同措施。

提示：自2022年7月1日起，诺登哈姆工厂属于空客航空结构件公司。

Honold LTS没有回应置评请求。

该用户正在兜售这批数据，据称数据内容为JSON格式，附有指向原始PDF文件的链接。文件总大小约为600 GB，泄露数据的庞大规模可见一斑。

不过，这些数据的来源尚未确定，这也引发了人们对于数据合法性和泄露原因的担忧。

此外，出售此类敏感信息可能造成严重后果，包括个人信息滥用、胁迫、剥削甚至是设施等等。

9亿条印度警方记录和案件数据 疑似被出售

据暗网上的卖家Tailmon介绍，这批失窃数据包含印度法律文件、印度警方记录（含指控文件）、法庭案件文件以及其他文件和文件夹。

Tailmon在3月13日发布的帖子中表示，“我所出售的是超过9亿份（600 GB）印度法律文件记录/文档、被捕/被控人以及警方/法庭报告……经OCR处理转为JSON格式，随附有原始PDF文件链接。”

近年来，多起数据泄露和网络攻击事件凸显出数据安全和隐私的重要性。失窃数据被公开出售，也进一步强调了采取严格措施保护敏感信息的必要性。

印度政府应采取措施应对

印度政府必须立即开展调查，采取必要措施以防止此类敏感信息的公开出售。

当局还应执行更严格的法规，确保处理个人信息的企业和个人遵守数据保护法。

此外，这次事件也提醒个人和组织应采取适当措施保护其数据，包括投资建设安全网络、对员工进行数据安全最佳实践培训，并定期更新安全协议以抵御潜在威胁。

总之，包含印度公民敏感法律文件的数据库被公开兜售令人担忧，防止个人信息滥用已经刻不容缓。

这起事件给印度政府、企业及个人敲响了警钟。数据安全和隐私保护应得到高度重视，并采取必要措施防范数据泄露和网络攻击。

国会警察局和FBI已经向加利福尼亚州共和党人、众议院议长凯文·麦卡锡（Kevin McCarthy）、众议员兼少数党领袖哈基姆·杰弗里斯 (Hakeem Jeffries)报告了针对D.C. Health Link市场的攻击情况。信中提到，由于此次违规行为，联邦调查员已经能够在暗网上买到关于国会议员及其家人的个人信息。

麦卡锡与杰弗里斯在周三的信中写道，“目前，我们的首要任务就是保护国会山社区中受到网络攻击影响的人们，为其提供安全保障。”他们将此次事件称为“严重的安全违规”。

立法者们写道，“首席行政官办公室将与信用与身份盗窃监控等重要服务部门保持联络，我们也强烈建议大家使用这些服务资源。”

根据参议院警察部门的一份内部备忘录，参议员及其工作人员的数据同样遭到泄露。备忘录中提到，泄露的数据包括“全名、注册日期、关系（本人、配偶、孩子）和电子邮件地址，但并不涉及其他个人身份信息。”

据众议院领导人称，导致此次D.C. Health Link数据泄露的原因、规模和范围尚不清楚，但强调警方和FBI“一直在向他们通报”此事。

作为在线健康保险市场，D.C. Health Link为大约1.1万名国会议员及其工作人员提供服务，总用户数量近10万人。

麦卡锡和杰弗里斯写道，“此次违规事件大大增加了议员、员工及其家人遭遇身份盗用、金融犯罪和人身威胁等本就持续存在的风险。幸运的是，出售信息的人似乎没有意识到自己掌握着高度敏感的机密内容，也不清楚这些与国会议员的关系。但随着媒体广泛报告此次违规行为，情况肯定会有所转变。”

众议院领导者们现在要求D.C. Health Benefit Exchange Authority（D.C. Health Link的运营方，一家在哥伦比亚特区管理在线健康保险市场的公私合营机构）主管Mila Kofman给出解释。

周三，麦卡锡和杰弗里斯向Kofman提出了一系列尖锐的问题。

包括保险市场为何没有就个人数据的泄露原因发出正式警告；具体有哪些注册者的信息被盗；以及有多少名立法者受到影响等。

在周三晚发布的一份声明中，政府发言人Adam Hudson证实了此次事件的存在，称“部分D.C. Health Link客户的数据已被泄露至公共论坛”。

Hudson称调查工作已经启动。

 “与此同时，我们正在采取行动以保障用户个人信息的安全和隐私。我们正通知受影响客户，并将提供身份与信用监控服务。”

然而这家安全公司也被黑客攻破了，据说有多达12GB的资料泄露，泄露的数据包括证书文件、命令日志、系统配置和文件系统存档。

他们被黑客攻击的原因也很无语，不是说他们的数据有多大价值，而是黑客认为这家公司虽然从事网络及数据安全业务，但是他们的技术如狗S一样，黑客觉得很无聊，就想羞辱他们一下，然后就攻击他们网站了。

知名安全公司Acronis被攻击 黑客：他们技术渣 只是羞辱一下

面对黑客这样杀入还要诛心的挑衅，Acronis公司也反击了，否认Acronis公司有任何产品受到影响或者被利用，所谓的攻击只是有人掌控了Acronis客户的账号信息并用它来窃取了文件。

Acronis称他们已经跟该客户合作，并暂停了账号访问，解决了问题，后面还会继续调查。

我们已经要求美国移民局发表评论。该机构告诉CNBC，在发现攻击后，它将受影响的系统从网络上断开，司法部已启动调查。获悉该勒索软件的高级官员确定它是2月22日的一个 "重大 "事件。

该服务还没有确定潜在的罪魁祸首，也没有命名任何受影响的部门或项目。CNBC的一个消息来源称，勒索软件没有触及证人安全计划。据报道，美国移民局已经创建了一个变通办法来维持其活动，包括追捕逃犯。在联邦调查局说它 "控制 "了其网络上的一个安全事件之后，关于该漏洞的消息刚刚过了一个星期。在过去的几个月里，勒索软件也给各级政府和公共机构带来了问题。奥克兰市在2月份发生入侵事件后，甚至宣布进入紧急状态，而洛杉矶的联合学区也在去年秋天遭受了数字抢劫。

在过去两年中，美国政府已经升级了对勒索软件的打击。它在2021年将30个国家聚集在一起应对勒索软件，最近成功地瓦解了一个从受害者那里盗取数亿美元的主要勒索软件集团。然而，USMS的漏洞表明，这场战斗远未结束。

Kernelware声称数据泄漏发生在2023年2月中旬，导致总计160GB的大量敏感信息被盗，包括655个目录和2869个文件。

在黑客论坛发布的一篇帖子（题图）中，Kernelware表示愿意向感兴趣的各方出售泄漏数据库，并表示其中包含大量有价值的文件。黑客还分享了被盗数据的样本以证明其真实性。

泄漏数据包括机密幻灯片和演示文稿、技术手册、Windows图像文件、各种类型的二进制文件、后端基础结构数据、产品模型文档以及有关手机、平板电脑、笔记本电脑和其他产品信息。

此外，泄漏数据还包含数字产品密钥、ISO文件、Windows系统部署映像文件、BIOS组件和ROM文件。

Kernelware要求宏碁使用匿名加密货币XMR(Monero)支付赎金，并建议使用中间人来确保销售成功。虽然目前还不清楚数据是否真实，但黑客愿意使用中间人，以及对被盗信息质量的信心表明这次数据泄漏的可信度较高。

宏碁公司尚未就所谓的数据泄露发表评论。如果属实，泄漏数据可能会为宏碁的竞争对手或试图利用其产品和服务漏洞的恶意行为者提供有价值的情报和竞争优势。

被盗信息还可能被网络犯罪分子用于各种目的，包括勒索、身份盗用和欺诈。此外，宏碁后端基础设施和产品模型的曝光可能会暴露出可被其他攻击者利用的漏洞。

面对日益增长的数据泄漏风险，建议个人和企业采取措施保护敏感数据和系统，包括使用强密码、实施多因素身份验证、及时更新软件和固件，并监控可疑活动迹象。

合利宝遭遇攻击后，立即组织技术人员对系统进行全流程检测和风险排查，并在第一时间对相关攻击进行了处理，确保用户各类交易正常进行，同时已将攻击线索搜集好上报了公安部门。

公开资料显示，合利宝成立于2013年7月19日，总部位于广州。2014年7月10日获得人民银行颁发的《支付业务许可证》，业务类型包含互联网支付、移动电话支付、银行卡收单业务(全国)。合利宝的母公司为A股上市公司仁东控股，上市公司去年半年报显示，其第三方支付业务(约等于合利宝的业务)营收为7.42亿元。

德国波鸿鲁尔大学Horst Görtz IT安全研究所的Nico Schiller和Thorsten Holz教授领导的研究团队，已经在2月27日至3月3日美国圣迭戈召开的网络和分布式系统安全研讨会（NDSS）上公布了自己的发现。该团队以前在波鸿，目前在萨尔布吕肯的CISPA亥姆霍兹信息安全中心。

在向公众发布此次发现之前，研究人员已经将检测到的16个漏洞上报给了大疆，该制造商也已采取措施进行修复。

四款机型参与测试

该团队共测试了三款型号的大疆无人机，分别为小型机Mini 2、中型机Air 2和大型机Mavic 2。之后，IT专家们又在经过更新的Mavic 3机型上重现了攻击效果。他们向无人机的硬件和固件发出大量随机输入，并检查哪些输入会导致无人机坠毁、或者对无人机数据（例如序列号）执行意外篡改。为了实现整个模糊测试，他们首先需要开发出一种新的算法。

Nico Shciller表示，“一般来说，我们在模糊测试时往往准备好了设备的完整固件。但这次情况并非如此。”由于大疆无人机相对复杂，所以必须在实时系统中执行模糊测试。

“将无人机接入笔记本电脑后，我们首先研究了如何与之通信，还有我们可以在测试中使用哪些接口。”事实证明，大部分通信是经由DUML协议完成的，该协议负责以数据包的形式向无人机发送命令。

发现四个严重错误

研究人员开发的模糊测试工具要生成DUML数据包，将其发送至无人机并评估哪些输入可能导致软件崩溃。只要能够引发崩溃，就说明编程中存在错误。Thorsten Holz解释道，“但并不是所有安全漏洞都会引发崩溃，也有一些错误会导致序列号等数据发生变化。”

为了检测此类逻辑漏洞，研究团队将无人机与运行大疆应用的手机配对。这样他们就能定期检查应用，查看模糊测试是否改变了无人机的状态。

结果发现，参与测试的四款大疆机型全部存在安全漏洞。研究人员共记录下16个漏洞，且大疆Mini 2、Mavic Air 2和Mavic 3机型还存在4个严重缺陷，允许攻击者在系统中扩大访问权限。

Thorsten Holz解释称，“攻击者可以借此篡改日志数据或序列号，并伪装自己的身份。另外，虽然大疆采取了预防措施以阻止无人机飞越机场或监狱等禁区，但这些机制也可能被破解。”该研究小组甚至能让飞行中的无人机在半空中坠毁。

在未来的研究中，研究团队打算进一步测试其他无人机型号的安全性。

传输的位置数据未经加密

此外，研究人员还检查了大疆无人机当中用于传输设备位置及操纵者信息的协议。通过这些信息，授权机构（包括安全机构或关键基础设施运营商）可以访问并管理无人机的使用情况。

通过大疆固件及无人机发出的无线电信号进行逆向工程，研究团队首次记录到名为“DroneID”的跟踪协议。Nico Schiller总结道，“我们证实了传输的数据未经加密，几乎任何人都可以用相对简单的方式读取到操作者和无人机的位置信息。

据用户LeakBase透露，外泄的数据包括管理面板（即管理后台）数据，以HTML格式导出并带有截屏内容。该用户还提到，数据包含多种文件格式，总大小约为11 GB。

通过对泄露网站上共享的数据进行初步分析，分析师发现信息内容真实有效。外媒Cyber Express已经就此事向摩托罗拉发出置评请求。

自2022年3月以来，用户LeakBase就一直活跃在该泄露论坛上。Cyber Express之前曾经报道过这名网站成员的多篇帖子，比如涉及德国托管IT服务商BITMARCK、美国互联网营销服务商Purecars等。

此次最新网络安全事故的突破口，正是摩托罗拉公司使用的JIRA软件（由澳大利亚软件公司Atlassian开发的应用程序）。

摩托罗拉移动的网络威胁状况

摩托罗拉公司曾是一家总部位于美国的跨国电信巨头。但在2007年至2009年遭受数十亿美元亏损之后，该公司于2011年拆分为两家独立的上市企业，分别为摩托罗拉移动和摩托罗拉解决方案。

作为重组计划的一部分，摩托罗拉移动被拆分出来，在2014年被中国科技企业联想收购，并仍以摩托罗拉品牌生产其产品。

目前，摩托罗拉移动是联想集团的子公司，主要制造消费级电子产品，例如智能手机和其他基于Android系统的移动设备。

根据泄露网站的数据，此次流出的信息来自摩托罗拉移动。样本数据中提到的网站motorola.com是摩托罗拉移动公司的零售门户。

这不是摩托罗拉移动近期唯一的安全事故。2022年6月，安全厂商Checkpoint发现中国芯片制造商紫光展锐生产的Tiger T700芯片存在漏洞，而2021年销售的Moto G20、E30和E40设备采用的正是这款芯片。

当蜂窝调制解调器尝试接入LTE网络，且调制解调器的连接处理程序无法验证有效用户ID（例如国际移动用户识别码IMSI）时，就会触发该漏洞，导致读取零数字字段时发生堆栈溢出。一旦遭到利用，此漏洞可能导致拒绝服务攻击甚至允许远程代码执行。

研究人员表示，尚不清楚其它紫光展锐应用处理器芯片是否也使用搭载相同固件的同款基带调制解调器。

JIRA的历史漏洞和安全问题

JIRA可帮助用户团队跟踪问题、管理项目并实现工作流程自动化。今年1月，Atlassian在发现JIRA软件易受网络攻击后发出了警报。

该公司表示，当时发现的JIRA软件漏洞可能允许黑客在受影响系统上远程执行任意代码。

相关披露说明称，“在JIRA Service Management Server and Data Center中发现的身份验证漏洞，允许攻击者在特定情况下冒充为另一用户，并获得对JIRA Service Management 实例的访问权限。”

2022年10月，网络安全厂商Bishop Fox又报告了JIRA Align中的两个漏洞。这些漏洞可能允许未经授权者访问管理员区域，并威胁到Atlassian公司的云基础设施。

其中一个漏洞为服务器端请求伪造（SSRF）缺陷，可能允许用户检索Atlassian服务账户的AWS凭证；另一缺陷来自用户授权机制，允许获得对JIRA Align租户的管理员控制权。

研究人员发现，这些漏洞组合可能导致针对Atlassian云基础设施的重大攻击。

发现该漏洞的Bishop Fox公司安全顾问Jake Shafer解释道，通过利用授权漏洞，低权限用户可以将其角色升级为超级管理员，进而获取对客户JIRA部署中全部内容的访问权限。

将中央网络安全和信息化委员会办公室承担的研究拟订数字中国建设方案、协调推动公共服务和社会治理信息化、协调促进智慧城市建设、协调国家重要信息资源开发利用与共享、推动信息资源跨行业跨部门互联互通等职责，国家发展和改革委员会承担的统筹推进数字经济发展、组织实施国家大数据战略、推进数据要素基础制度建设、推进数字基础设施布局建设等职责划入国家数据局。

该数据库大约1.5GB，据称是攻击者从Beeline的Jira账户中窃取的。Jira是由Atlassian开发的问题跟踪软件，用于bug跟踪和项目管理活动。与此同时，Beeline运营着一项软件即服务（SaaS）业务，专注于寻找和管理劳动力。

攻击者声称该数据库包含Beeline的客户数据，例如名字、姓氏、Beeline用户名、职位以及其他数据。黑客论坛的帖子表明，这些数据窃取于2月25日。

记者通过邮件联系Beeline，但截至文章发表前暂未收到回复。

Cybernews研究人员调查了论坛上发布的样本数据，推测泄露的数据包括合法的公司数据。攻击者在论坛帖子中的一些屏幕截图的文件类型是用俄语编写的，这表明攻击者的操作系统默认语言可能是俄语。

在一封发送给这些学生的邮件中，学校表示2023 年 1 月 24 日收到通知，由于文件夹设置配置错误，导致他们的经济系博士入学申请文件能够以未经授权的方式被访问。

斯坦福调查发现，数据泄露最早始于2022年12月5日，并且在2022年12月5日至2023年1月24日之间有两次下载记录。这些数据涉及学生的申请表和随附材料，包括姓名、性别、出生日期、家庭和邮寄地址、电话号码、电子邮件地址、种族和公民身份信息。除上述信息外，申请材料中的个人健康信息、社会安全号码和财务数据没有被暴露，因为所泄露的申请文件不包含这些数据。

在斯坦福大学网站上的另一份声明表示，该数据泄露只涉及经济学博士项目申请，不再涉及学校其他任何项目，也不影响大学的本科生申请。

斯坦福在发现数据泄露后后立即阻止了对这些文件的访问。目前，学校表示没有发现下载信息被滥用的迹象。斯坦福在事后申明：“个人信息的机密性、隐私和安全是我们的首要任务，我们有适当的安全措施来保护此类信息。”“为应对这一事件，我们正在更新与电子文件存储安全相关的流程和政策，并将对教职员工进行政策再培训。”

2021年4月，斯坦福也曾遭遇过数据泄露，Clop 勒索软件组织从斯坦福医学院的 Accellion 文件传输设备 (FTA) 平台窃取了个人和财务信息，并最终将这些数据进行了在线发布。

重庆市公安局江北区分局在接到报警后高度重视，第一时间成立专案组对该案件进行攻坚。因为该连锁平台有超30家门店，注册会员数十万，运营出现故障每一秒都会给公司带来损失，因此，江北警方首先将工作中心集中在帮助企业回到正常运营上。

“我们第一时间调集了技术骨干人员来到公司提供技术指导。”网安支队副支队长杨仕海介绍道，“在和服务器运营商的共同努力下，服务器的基本架构得以修复。”当日，连锁公司所有门店都恢复了正常。

“黑客”动作蹊跷

在明确嫌疑人身份的过程中，警方遇到了新的困难。一般来说，犯罪嫌疑人侵入计算机的动机要么是盗转资金，要么是盗取数据，但民警刘建国却在侦查中发现“这个‘黑客’除了删除数据，再没有其他的操作。

“越是困难，越要攻破，必须尽快将犯罪嫌疑人绳之以法，防止他继续作案!”副支队长杨仕海为大家加油鼓劲，并在专题研究会上提供了破案新思路，以“黑客”攻击的方式为突破口，进行深入侦查。找准侦查方向后，民警很快锁定了在广西的犯罪嫌疑人黄某。2月7日，民警成功在黄某家中将其捉获。

原来，黄某从小就喜欢研究网络技术，自己的这身本领都是通过自学而来，这次，他为了“炫技”随机挑选了一台计算机进行攻击，目的只是单纯的恶作剧，没想到……至今为止，黄某也不知道自己攻击的对象是谁。

随后，民警现场查获其作案用的手机和电脑。虽然黄某认识到自己行为的错误，但因其行为已经涉嫌违法犯罪，黄某被采取了取保候审的刑事强制措施。

警方提醒如何避免防范黑客攻击：

一是及时更新服务器系统安全漏洞补丁;二是要加强服务器安全防护能力;三是制定有效的风险预警机制，重要数据一定要备份;四是发现被“黑客”入侵时，要立即断网，保存好现场的犯罪证据，并马上报警处理。

都乐食品公司公布的细节很少，表示正在调查“事件的波及范围”，并宣称攻击影响有限。

该公司拥有约38000名员工，年收入达65亿美元。都乐食品在官网上的声明中表示，他们已经与第三方专家接洽，帮助其修复受影响系统并保障安全。执法当局也已经获悉此次事件。

尽管都乐食品在说明中称影响“有限”，但得克萨斯一家杂货店在Facebook上公布了一份备忘录，其中提到该食品巨头的北美生产工厂已经被迫关闭。都乐公司似乎已经无法向各家杂货店正常供货。

备忘录中写道，“都乐食品公司正处于网络攻击中，[我们]随后关闭了整个北美系统。”

该公司在写给各合作伙伴的通知中称，“我们的工厂已于当天关闭，全部供货均被搁置。”

过去一周多以来，消费者一直抱怨门店货架上的都乐成品沙拉供应短缺。虽然该公司没有透露攻击的具体时间，但最近发生的供货短缺很可能就是勒索软件攻击的结果。

发给杂货店的备忘录还提到，都乐将执行其危机管理协议，包括“手动备份计划”。也就是说，该公司可能会转为速度较慢的手动操作，从而恢复正常生产和供货。

据安全内参了解，外媒BleepingComputer已联系都乐，希望了解关于网络攻击的更多细节信息，但该公司拒绝在公开声明之外发表任何评论。

上周末，安全研究人员Anurag Sen发现美国国防部一台存储了3TB内部军事电子邮件的服务器在线暴露长达两周，该服务器托管在微软的Azure政府云上，供美国国防部客户使用，与其他商业客户物理隔离，可用于共享敏感的政府数据。其中许多数据与美国特种作战司令部（USSOCOM）有关，USSOCOM是美国负责执行特殊军事行动的军事单位。

令人惊讶的是，暴露的服务器由于配置错误没有密码，任何人都可通过互联网访问。

据Anurag Sen透露，暴露数据包含过去几年的大量内部军事电子邮件，其中一些包含敏感的人员信息。其中一个暴露的文件包括一份完整的SF-86问卷，该问卷用于处理机密信息前的个人审查，由寻求安全许可的联邦雇员填写，包含高度敏感的个人和健康信息。

根据Shodan的搜索结果，该邮箱服务器2月8日首次被检测为数据泄露。目前尚不清楚邮箱数据是如何暴露在公共互联网上的，从目前可用信息推测可能是由于人为错误导致的配置错误。

目前尚不清楚除了Sen之外，是否有人在两周的暴露窗口期内发现了可以从互联网访问云服务器的暴露数据。

无独有偶，上周末美国有线电视新闻网报道美国联邦调查局纽约办事处的（用于调查儿童性剥削的）计算机系统也遭黑客入侵，联邦调查局发言人Manali Basu证实，该机构已经控制了“孤立事件”，并继续开展调查。

2月21日，普京在向俄罗斯议会两院发表现场直播讲话时，多个地方的记者都表示，在讲话期间无法进入直播间。

随后，俄新闻社首先报道了这次中断是黑客通过分布式拒绝服务（DDoS）攻击导致的。

乌克兰IT军很快在Twitter和Telegram账户上庆贺。

据《新闻周刊》报道，另一个亲乌克兰的黑客组织，也在推特上声称他们帮助IT军团成功完成了这次攻击。

乌克兰IT军是一个由乌克兰政府号召的黑客志愿者组成的联合体，旨在开展网络进攻行动，并帮助国家抵御俄罗斯的网络攻击。

受此次黑客攻击影响的国家媒体和网站包括全俄国家电视、广播公司（VGTRK）网站和Smotrim直播平台。VGTRK网站上显示，"正在进行技术修复工作"，而Smotrim网站则无法加载。

据路透社报道，就在其中一次间歇性中断之前，普京一直在讨论俄罗斯计划退出《削减战略武器条约》--该条约规定了美国和俄罗斯可以部署的弹头数量上限。‘

显然此次攻击是有组织、有预谋的恶意行为。俄乌战争在过去一年里，经历了一场漫长的网络战，核心参与国是俄罗斯和乌克兰，其他西方国家因各种原因，也参与了这场网络战。目前随着战争的持续，网络战也将愈演愈烈。

“注意，正在发布空袭警告。立即前往避难所。注意，注意，导弹袭击的威胁”—–在俄罗斯的 Relax FM、Avtoradio、Yumor FM 和 Comedy 电台广播都播出了这条空袭警报。

据称，俄罗斯皮亚季戈尔斯克、秋明、沃罗涅日、喀山、下诺夫哥罗德、马格尼托哥尔斯克、别尔哥罗德、旧奥斯科尔、乌法和新乌拉尔斯克等城市的居民都听到了空袭警报的广播。

随后，俄罗斯紧急情况部表示，这是因为黑客攻击而出现在广播电台上。该部称， “由于黑客攻击了该国某些地区的一些商业广播电台的服务器，广播了有关据称发布空袭警告和导弹袭击威胁的信息。”

俄罗斯网络媒体 Baza；奥斯托罗兹诺，新社；俄罗斯独立新闻网站 Meduza；俄罗斯国有新闻媒体 RIA Novosti都对此进行了报道。

近日，多名网友反映称，有团伙假冒小红书平台之名，以招聘为由诈骗保证金，对方伪造公司印章和广告推广授权书，在微信公众号上投放虚假招聘广告，吸引用户扫码下载相关App，实施诈骗。

有人反映他们被假冒“小红书”的虚假招聘诈骗。

2月21日，湖北襄阳的张琳（化名）告诉澎湃新闻，她被前述虚假招聘骗了近18万元。

张琳称，2月初，她在微信公众号上看到了一则题为《开始了！湖北2月7日开始，仅招300人，待遇优厚，欲做从速，先到先得》的消息，其中称“小红书招聘兼职，待遇丰厚”，她就扫码添加了页面中的客服。

张琳说，一开始对方“工作人员”让她去关注别人的账号，会有3.8元的报酬，需要在“小红书之家”App提现。后来，“工作人员”突然告知她有个单子做错了，必须缴纳一定金额的保证金才能修复，第一次，她投了九千元，第二次投了四万，第三次投了十二万多元。

“投了十二万多的时候，对方本来说可以提现了，但我准备提现的时候对方又称不行，得再交一个五万元的税费。”张琳说，这时候她才知道自己被骗，随后报警。

张琳说，这笔钱是她从信用卡套现的，现在信用卡也还不上了，生活困难。她说，目前当地警方正追查该案，身边还有其他人遭到类似骗局，被骗了十万多。

另一受害者反映，她和张琳情况类似。她通过微信公众号看到“小红书2023年春季招聘”信息后，萌生了做兼职的想法，于是扫码联系客服并下载了名叫“小红书之家”的App，然后进入了“发布任务”的群聊。

她说，在群聊里，群成员需要完成任务才能转正，而做任务又要交保证金，完成任务后金额和佣金回返回，可以在App提现。她发现起先一些小金额保证金确实可以提现，也确实能赚一些钱，但随着保证金金额增多，对方开始以“操作失误”为由冻结资金，并不停地要求补单修复。

除了假冒小红书的名义招聘，对方还疑似伪造了涉及多个广告公司的小红书授权书，如翼扬网络科技（浙江）有限公司在官网发布公告称，近期出现冒充该司名义进行直播业务诈骗，请各位用户谨防上当。该司郑重声明，不提供任何直播类、涨粉类、培训类、金融类等服务。

此前，小红书方面对澎湃新闻表示，针对前述情况，他们第一时间发布澄清公告并报警，协助警方侦查，一旦发现有小红书虚假广告，第一时间联系删除，降低影响。

小红书2月1日通过平台官方账号发布声明称，有不法分子冒用公司的名义，通过各微信公众号及多家媒体平台发布虚假招聘及助农送水果活动广告，诱导用户在小红书进行刷量伪造虚假数据等非法活动。该虚假广告严重损害小红书的合法权益，同时给社会公众带来潜在风险。目前已要求相关渠道下架虚假广告，并会持续跟进后续处理进展。

甘肃天水市反诈骗中心也发布过类似案例。今年2月4日，家住甘谷县的谢某通过微信公众号看到了一条假冒小红书的招聘信息并下载相关App，在开始接单并成功赚取145元后不再怀疑对方真实性，开始大额资金的投入，向对方指定账户多次转账后，谢某发现该 App已无法进入，这时才意识到被骗，遂报警，共计损失176834元。

天水市反诈骗中心提醒，网络刷单本身就是一种违法的行为，任何要求垫资的网络刷单都是诈骗，遇到“刷单”、“刷信誉”的网络兼职广告时要提高警惕。找兼职工作要到正规的招聘、中介平台或公司，签订详实的劳务合同，以保护自己的合法权益。不管何时何地不随意轻信陌生人，涉及转账要谨慎。提高防范意识，一旦被骗，第一时间拨打110报警。

辽源市公安局高新分局刑事侦查大队副大队长 徐海洋：

2023年1月4日中午的时候，辽源市启星铝业的网络主管赵某到我们局里报案，企业的数据库被人恶意攻击了，把里面的数据什么的全部都毁坏了，导致企业无法正常办公，无法正常生产经营。接到这个报警之后，局领导也都高度重视，责令我们尽快破案。

接到报警后，办案民警对企业受损服务器反复勘验后，锁定该企业原网络主管赵某有重大作案嫌疑，并随之将其抓获。起初，犯罪嫌疑人赵某拒不交待其犯罪事实，在民警出示证据和政策攻心后，成功突破其心理防线。

辽源市公安局高新分局刑事侦查大队副大队长 徐海洋：

经过我们的了解，赵某之前是启星铝业的网络主管，因为工作原因不太和睦，这个赵某被公司辞退了。他被公司辞退之后，对公司产生了一些不满情绪，导致他后期一是为了报复启星铝业，二是为了报复现任的网络主管。

赵某交代当时他在家中，通过之前掌握的公司数据库账号和密码，登陆后删除了一部分数据，还隐藏了一部分数据，导致该公司上百名员工无法正常读取数据库开展工作，严重影响企业生产经营效率，给企业造成巨大经济损失。

辽源市公安局高新分局刑事侦查大队副大队长 徐海洋：

犯罪嫌疑人赵某被我们抓获之后，经过咱们民警的说服教育，他认识到自己的错误，以及自己的行为给企业造成的巨大损失。然后在赵某的配合下，我们民警将启星铝业现任的网络主管找到我们局里边，把赵某隐藏的那些数据都找到了。

目前，犯罪嫌疑人赵某已经被采取刑事强制措施，案件正在进一步侦办中。

在个人信息中，RailYatri 黑客攻击还暴露了印度数百万旅客的详细位置信息。

印度流行的火车票预订平台RailYatri遭遇大规模数据泄露，暴露了超过 3100 万 (31,062,673) 名用户/旅客的个人信息。据信，该漏洞发生在 2022 年 12 月下旬，敏感信息数据库现已在线泄露。

泄露的数据包括电子邮件地址、全名、性别、电话号码和位置，这可能使数百万用户面临身份盗用、网络钓鱼攻击和其他网络犯罪的风险。

目前可以确认该数据库已在 Breachforums 上泄露，Breachforums 是一个黑客和网络犯罪论坛，作为流行且 现已占领的 Raidforums 的替代品出现。

RailYatri 的意思是火车乘客，而 Yatra 代表旅程。RailYatri 数据泄露事件并非黑客利用漏洞窃取和泄露数据的典型案例。事实上，它始于2020 年 2 月，当时网络安全研究员 Anurag Sen 发现了一个配置错误的 Elasticsearch 服务器暴露在公众面前，没有任何密码或安全身份验证。

Sen 指出该服务器属于 RailYatri，并将此问题告知了该公司，该公司最初否认它属于他们。后来，该公司声称这只是测试数据。当时，服务器包含超过 700,000 条日志，总计超过 3700 万条条目，包括内部生产日志。

2020 年，只有在印度计算机应急响应小组 (CERT-In) 介入后，Railyatri 才设法保护其数据；然而，两年后，即 2023 年 2 月 16 日，由于新的漏洞，黑客再次让公司陷入安全漏洞。

“早在 2020 年，当我联系 Railyatri 时，他们从未回复或联系过我，但在我联系 Cert-In 后，服务器关闭了，”Anurag 告诉 Hackread.com。“我报告了印度的各种数据泄露事件；我看到的最常见的问题是，由于印度没有任何类似 GDPR 的法律，这些公司没有被罚款。”Anurag 补充说到。

Anurag认为：“如果公司从一开始就实施适当的网络安全措施，本可以避免最新的数据泄露事件。”

建议所有用户更改密码并在其帐户上启用双因素身份验证作为预防措施，同时建议用户监控他们的银行账户和信用卡报表，以发现任何可疑活动。

从帖子中列出的数据样本来看，泄露的数据包含来自班加罗尔（印度第三大城市）等地区的信息。据称这些数据的源头是由卡纳塔克邦政府维护的数据库，由当地私营实验室负责收集COVID-19相关信息。

迄今为止，卡纳塔克邦登记的COVID-19病例总数超过400万，超过美国俄克拉荷马州、康涅狄格州、犹他州、爱荷华州、内华达州及密西西比州等地的居民数量。

外媒Cyber Express已经就此事向印度卫生部及该邦卫生署发出置评请求，但目前尚未收到回复。

印度的新冠患者数据泄露史

这篇贴子在本周一发布，提供的样本数据包含了从个人ID到电子邮件等多种个人身份信息（PII）。自2022年9月以来，昵称为adma3的发布人就一直活跃在数据泄露论坛上。

此次事件也是新冠疫情爆发，印度着手维护感染数据库以来，政府方面泄露的最新一批患者数据。根据政府官方数据，截至今年2月20日，印度累计确诊病例4470万例，死亡53万人。

2022年1月，印度政府服务器就曾被攻破，导致逾2万民众的个人数据曝光，其中包括姓名、手机号码、居住地址和COVID检测结果。

网络安全研究员Rajshekhar Rajaharia当时发布推特称，这些敏感信息可通过在线搜索轻松访问。

大约同一时间，还曝光了另一起公共卫生数据泄露事件。牙科期刊The Probe当时的一项调查显示，地方卫生部门在未采取任何安全措施的情况下，直接向网站上传了民众的COVID-19数据。

新冠疫情数据泄露不是新鲜事

此前，有恶意黑客声称窃取了4850万新冠疫情相关应用的用户信息。2022年8月10日，有用户在数据泄露论坛上公布了这一消息，并以4000美元价格向潜在买家进行兜售。

贴子附带了一份被盗数据样本，其中包括公民姓名、电话号码、18位身份证号及健康码状态。数据样本里有47人的详细信息，路透社向其中列出的11人求证，发现数据属实。

与此同时，涉事机构某大数据中心表示他们只负责程序开发，否认数据是从他们那里泄露出来的。

应用材料没有透露供应商的具体信息，但多位行业分析师表示，这里指的应该是美国技术与工程公司MKS Instruments。MKS在上周一宣布，受2月3日发现的勒索软件攻击影响，其第四季度财报电话会议已经被迫延后。

供应商受影响设施仍未恢复运营，预计造成2.5亿美元损失

应用材料公司首席执行官Gary Dickerson在上周四的电话会议上称，“最近一家主要供应商遭受攻击，将对我们第二季度的出货造成影响。”

应用材料在发布的财报中表示，2023财年第二季度预计净销售额约为64亿美元，此结果“反映了持续存在的供应链挑战；另外有一家供应商近期遭受网络安全事件影响，相关损失可能达2.5亿美元”。

该公司没有回应置评请求，所以暂时无法确定受攻击影响的供应商是否为MKS Instruments。

MKS Instruments则表示，在经历所谓勒索软件攻击后，公司目前仍在“恢复当中”。

MKS方面指出，“MKS正持续努力，希望恢复受影响设施的正常运营。第一季度，勒索软件攻击给公司真空解决方案与光子解决方案部门的订单处理、产品运输和客户服务能力造成了严重影响。”

MKS还补充称，目前尚不确定此次勒索软件事件造成的损失与影响范围。公司仍在核算网络保险能否抵偿攻击带来的部分开销，财报电话会议暂定延后至2月28日。

MKS解释道，“公司希望通过延后财务业绩的发布时间，更好地解决勒索软件事件引发的财务影响。”

截至上周五，尚无勒索软件团伙公开对MKS攻击事件负责。

供应链安全难题

针对MKS的攻击再次凸显出近年来网络安全专家们的普遍担忧：随着大型企业在系统保障方面的逐步增强，恶意黑客开始将矛头指向供应链中体量较小、安全能力较弱的环节。

网络防御公司Horizon3.ai的Monti Knode说，越来越多的公司开始像MKS这样公开承认网络攻击造成的后果。

移动安全厂商Approv的CEO Ted Miracco则表示，半导体供应链仍然是全球经济当中最复杂、也最重要的部分之一。

“去年我们已经亲眼目睹半导体市场中断可能引发的长期后果，影响将波及从汽车到食品的多种产品价格。”

“相较于最近的中美气球事件，半导体供应链面临的攻击威胁无疑更值得关注。”

据称，近期攻击的幕后黑手是若干国际黑客团体。它们通过分布式拒绝服务攻击，有针对性地利用计算机程序的漏洞。因此，德国信息技术安全局呼吁国内所有关键基础设施机构将系统更新至最新技术状态。

虽然汉莎航空15日的故障是由施工过程中意外切断数据线造成的，但德国数个机场的网站是因遭到大规模攻击而停止服务的。

报道称，德国第四大机场杜塞尔多夫机场以及汉诺威、多特蒙德、纽伦堡和卡尔斯鲁厄/巴登-巴登机场均受到影响。爱尔福特机场说，由于负荷过大，作为预防，机场已关闭网站。慕尼黑机场则表示，15日已经遭到一次类似的攻击，不过防御措施发挥了作用。

前不久，外国网络安全平台GBHackers披露了一段黑客利用ChatGPT实施诈骗的犯罪行为：黑客通过ChatGPT在短时间内生成完整的诈骗套路话术，并把ChatGPT包装成“虚拟角色”，让受害人以为自己“坠入爱河”，最终遭受诈骗。

尽管OpenAI意识到ChatGPT可能会被犯罪分子利用，并对其添加了安全保护机制，但依旧有大批黑客取得了破解安全机制的方法，并利用ChatGPT快速编写犯罪软件。例如编写用于骗取个人信息的钓鱼邮件；生成加密工具远程锁定他人电脑，由此进行勒索；以及生成攻击脚本，对网络用户进行SIM交换攻击（身份盗窃攻击）等等。

作为互联网历史上增长最快的消费级应用程序，被黑客利用的ChatGPT无疑像一枚巨大的定时炸弹。目前，美国参、众两院已经将目光聚焦到Open AI身上。

据路透社报道，近日，有美国众议院议员公开宣称自己“被人工智能吓坏了，尤其是不受限制和监管的人工智能”，并拿出了决议草案，呼吁强化对人工智能的监管。

不仅如此，由于OpenAI在安全保护机制方面对ChatGPT进行了较多限制，ChatGPT似乎正处于一种“情绪崩溃”的状态。

据《独立报》报道，在与用户交流时，ChatGPT出现了侮辱用户、对用户撒谎的情形，称用户“像一个骗子、一个操纵者、虐待狂、魔鬼”。

不可否认，月活用户数量超过1亿人次的ChatGPT，有着不可估量的巨大价值。但在其技术前景、商业模式都还方兴未艾的时刻，围绕自身的“犯罪方案”以及所造成的负面影响却已真实发生。由新技术衍生的网络信息安全以及违法犯罪等方面的风险，成了摆在全球AI科学家、企业以及国家面前的严肃问题。

ChatGPT的地下生意

在众多的犯罪方法中，利用ChatGPT进行诈骗只能算入门级的手段，比如用AI来谈一场“虚假恋爱”。

据外国网络安全平台GBHackers报道，由于具备强大的工作生产效率，ChatGPT深深地吸引了网络诈骗犯。

借助ChatGPT，诈骗者可以在几秒钟内生成一条完整的诈骗“套路”：从自我介绍、聊天内容到一份精心制作的“情书”，ChatGPT都可以一键生成，甚至还可以通过录入目标对象的特征，对诈骗话术进行个性化定制。

在编写情书后，利用生成式AI，黑客能快速创建一个“虚拟角色”，并通过电子邮件引诱受害者“坠入爱河”。然后搭配由ChatGPT辅助编写的收款程序或银行卡信息获取连接，诈骗受害人钱财。

其实，这种诈骗方式并不新鲜。但问题在于，在如今人工智能技术的支撑下，人们开始难以分辨屏幕的另一端到底是人还是机器。

为测试人们是否真的会对AI版“情话”产生信赖，2月13日，全球最大安全技术公司迈克菲（McAfee）用AI生成过一封情书，并将它发送给全球5000位用户。

结果显示，在已知该情书有可能是由人工智能生成之后，依旧有33%的受访者愿意相信这些情话出自人类手笔，而坚信情书由AI创作的受访者占比仅为31%，其余36%的参与者则表示无法区分情书的创作者到底是人还是机器。

在AI加持下，骗子们正变得比以往任何时候都更容易欺骗毫无戒心的受害者。

根据报告，2022年针对工业组织的勒索软件攻击增加了87%，其中制造业是受影响最大的行业。勒索软件组织LockBit发起的攻击数量最多，其次是现已解体的勒索软件组织Conti、Black Basta和Hive。

报告指出，2022年有八个针对工业基础设施的威胁组织表现活跃，其中两个是新组织，Dragos为其命名为Chernovite和Bentonite。其中Chernovite是一个高度复杂的恶意软件平台，具备ICS网络杀伤链第1阶段（侦察）和第2阶段（武器化）的各种能力，未来可能会进化出更具破坏性的攻击力。

2022年工控系统相关硬件和软件漏洞数量比2021年增加了27%，但该数据并不能代表该行业的全部漏洞情况，因为并非所有漏洞都是平等的，尤其是在工控系统领域。

Dragos对这些漏洞进行了更深入的风险评估，发现15%位于接入企业网络的设备中，85%位于ICS网络内部。

更严重的问题是，在一个修补漏洞通常涉及关闭操作和关键设备的行业中，资产所有者严重依赖缓解措施，虽然70%的供应商安全公告中提供补丁，但是其中51%不包含任何缓解建议。而在30%的不提供补丁的安全公告中，16%没有给出实际的缓解措施。

SVT技术主管Adde Granberg在攻击后表示，“我们发现服务器上的活动增加，接收到的调用存在异常。有人正在试探我们的系统。需要进一步分析才能弄清是谁在背后捣鬼。”

根据SVT的说法，这可能是一次拒绝访问攻击——一种针对计算机系统的攻击活动，虽然不会造成永久性损坏或访问到秘密信息，但却能限制系统的正常使用以起到重大的干扰效果。

SVT报告称，之前其他多家媒体公司和教育机构都遇到了类似的问题。

整个周末到本周一，卡罗林斯卡学院、瑞典大学网（Sunet）以及吕勒奥理工大学等多所瑞典高校，都受到了类似的攻击。

广播媒体Sveriges Radio Ekot之前报道，黑客团伙“匿名苏丹”（Anonymous Sudan）曾呼吁对瑞典当局和银行开展网络攻击，这次SVT遇袭可能并不意外。

黑客称攻击活动是为了抗议瑞典极右翼人士在斯德哥尔摩的土耳其使馆旁焚烧古兰经，而且事先已宣布将袭击各瑞典高校。

宣布进入紧急状态后，奥克兰市可以加快政令实施、材料与设备采购，并在必要时召集应急工作人员。

据安全内参检索，奥克兰市是新西兰人口最多的城市，还被誉为国际帆船之都。

遭受勒索攻击后一周仍未好转，非紧急服务是重灾区

2月14日的更新声明中写道，“今天，奥克兰市临时行政官G. Harold Duffey宣布当地进入紧急状态，旨在应对2月8日（星期三）开始的勒索软件攻击所造成的网络中断影响。”

该事件没有影响到核心服务，911警务调度、消防及应急资源都在按预期运作。

尽管上周的勒索软件攻击只影响到非紧急服务，但当时离线的多个系统目前仍未恢复。

目前尚不清楚攻击出自哪个勒索软件团伙，奥克兰市也未分享关于赎金要求或数据盗窃情况的详细信息。

事件发生后，外媒BleepingComputer立即联系了奥克兰市一名发言人，但对方表示无法透露更多细节。

声明指出，“该市IT部门正与一家领先的取证公司合作，开展事件响应与分析，并配合其他网络安全和技术公司的恢复与补救工作。”

“目前正对多个地方、州和联邦机构开展持续调查。”

全球勒索攻击猖獗，多国均有紧急状态前例

大约三年前，即2019年7月，美国路易斯安那州州长John Edwards在该州学区遭遇勒索软件攻击之后，也曾宣布进入紧急状态。

当月，莫尔豪斯、萨宾、门罗市及瓦希塔学区的IT系统均因勒索软件加密而离线，导致全州范围内各学校系统中断。

美国联邦汽车运输安全管理局（FMCSA）曾发出一项区域性紧急公告，覆盖全美17个州外加哥伦比亚特区，原因是DarkSide勒索软件攻击令美国最大燃油输送企业科洛尼尔管道公司（Colonial Pipeline）陷入瘫痪。

Emsisoft公司威胁分析师Brett Callow表示，“2022年以来，美国至少有6个地方政府遭受勒索软件影响，其中至少4个发生了数据失窃。”

今年1月，微软透露，截至2022年年底，他们持续跟踪的100多个勒索软件团伙至少已实际部署超50种不同勒索软件家族。

作为网络安全行业垂直媒体，FreeBuf想提醒大家，2月14日，除了火热的恋爱外，还有非常多活跃的网络犯罪团伙，在互联网中疯狂地传播钓鱼邮件。不管你是不是在过情人节，都需要提高警惕，千万不要让情人节变成“情人劫”。

据国外某网络钓鱼专家称，每年的情人节都是恋爱诈骗案的飙升时刻，伪装的钓鱼人员会不遗余力地对受害者进行 "糖衣炮弹"，使其沉浸在甜言蜜语之中，难以自拔，失去理智。

对此，网络钓鱼检测与响应解决方案提供商Cofense首席安全顾问 Ronnie Tokazowski 表示赞同，他综合了过去15年的网络钓鱼案例，却发现尽管网络钓鱼攻击的形式每年不尽相同，但是其核心原理始终基于爱情、浪漫一夜、情人节等，并且在情人节前后迎来爆发期。

Tokazowski 称，攻击者最常见的手法就是利用聊天、约会等应用程序对受害者进行言语上的关心和持续的关注，直到他们愿意为素未谋面的人花钱。在国内，这种行为有一个更加通俗易懂的名字——杀猪盘，甚至和你聊天的都不是MM，而是一个抠脚大汉。

联邦调查局(FBI)互联网犯罪投诉中心的报告结果显示，2022年是情人节（恋爱）骗局创纪录的一年，官方统计大概有2万名受害者，直接损失金额达到了7.39亿美元。同时联邦调查局办公室也发出警告，情人节前后这段时间是骗子非常活跃的时候，希望大家可以提高警惕。

事实上，情人节（恋爱）骗局不仅仅在美国盛行，而是在全球都处于泛滥的状态。据媒体报道，2022年英国网恋诈骗损失的总金额达到8800万英镑（超1亿美元），其中还包括同性恋诈骗。

Tokazowski 在采访时公开表示，钓鱼攻击和诈骗盛行并不意味着网上约会英国被禁止，这属于因噎废食，而是要让所有民众提高警惕。

什么是恋爱骗局？

所谓恋爱骗局，一般是诈骗者利用聊天、约会应用程序来锁定那些寻找爱情的人。他们往往会把自己的个人展示页面伪装的非常优秀，且大多精通化妆、P图、美颜等各种手段，并凭借这些虚假资料来欺骗受害者。

一旦他们获得了受害者的信任，他们就会尽力说服对方，让他们相信他们是完美的一对。一旦他们觉得自己已经建立了牢固的情感纽带，他们就会开始利用情感操纵，为不同类型的犯罪提供便利。

其中一些犯罪包括礼品卡诈骗、商业电子邮件泄露、电子诈骗等，世界上90%的国家都有受害者。

网恋骗局有哪些共同特征？

骗子总是先在交友平台上假造一份吸引人的个人描述，再配上从别处盗来的帅哥美女头像，然后接触受害人进行“钓鱼”。每天嘘寒问暖，还会不停得强调：“我们三观好和，好难得啊！”来赢得受害人深深的信任。

骗子往往会主动提出网友“见面”，可是快要到见面的时候，又见不着了。总会有突发事件，比如出了事故、要做手术、家里有人去世等等，急需用钱。这时有些头脑不清的受害人就会转钱过去，帮助网恋对象“渡过难关”。

骗子也会时不时索要小礼物，然后慢慢以小及大的索要贵的东西。他们还会表示在异地，要求对方出钱负担见面所需的差旅。

骗子是如何锁定受害者并获得他们的信任的？

骗子们会花时间来了解受害者。伪装成你们两个人真的很合得来。有相同的兴趣爱好，可能之前已经结婚或丧偶，并最终找到了那个和你惺惺相惜的心灵伴侣。

你们花几个小时聊天，交换甜言蜜语，每天早上发短信，并开始聊起你们两个人什么时候能最终见面。虽然可能在异地，但每次聊天时你都能感觉到他与你同在。你甚至幻想着你们最终能够见面的那一天。

受骗人群大多在什么年龄段？

对网恋诈骗最新学术分析数据表明，最容易被网恋骗局所骗的是老年人（50岁及以上）。在心理学上，受害者有将关系理想化的倾向，被认为是冲动的，并有依赖性的倾向。

可以采取什么措施来保护自己？

要通过多种途径去核实对方的身份信息，比如说个人征信、犯罪记录等。当然，也不要将此作为100%的验证。因为骗子们的伪装可能更高明。

上约会软件是可以的，在网上尝试和某人约会也是可以的，但如果有人给你说要亲自见面或要钱，那就是一个骗局。

感情上的骗局是最令人心疼的。然而，与其在骗局中耗费数年时间，不如断绝潜在的骗局，骗子只会带你坐上爱情的过山车，为的只是你手机里的余额。

2月13日消息，未知的威胁行为者为 Dota 2 游戏创建了恶意游戏模式，这些模式可能已经被利用来建立对玩家系统的后门访问。

威胁行为者利用了V8 JavaScript 引擎中的一个高危零日漏洞CVE-2021-38003（CVSS 评分8.8），谷歌在2021年10月已修复该漏洞。

“由于V8在Dota中没有沙盒化，这个漏洞本身就可以对Dota玩家进行远程代码执行，”Avast研究员Jan Vojtěšek在上周发布的一份报告中说。

目前，游戏发行商Valve已经在202年1月12日的更新版本中修复了该漏洞。游戏模式本质上是一种自定义功能，既可以扩展现有游戏，也可以以一种偏离标准规则的方式提供全新玩法。

虽然向Steam商店发布自定义游戏模式需要经过Valve的审查，但威胁行为者还是成功地绕过了审查。

这些游戏模式已经被下架，它们是“test addon plz ignore”“Overdog no annoying heroes”“Custom Hero Brawl”以及 “Overthrow RTZ Edition X10 XP”。据称，该威胁行为者还发布了名为“Brawl in Petah Tiqwa ”的第五种游戏模式，没有包含任何恶意代码。

“test addon plz ignore”中嵌入了一个针对V8缺陷的漏洞，该漏洞可以被用来执行自定义的shellcode。

另外三个采取了更隐蔽的方法，其恶意代码被设计成与远程服务器联系以获取JavaScript有效载荷，这也可能是对CVE-2021-38003的利用，因为该服务器已不能访问。

Avast表示，目前还不知道开发者创建这些游戏模式背后的最终目的是什么。

当日下午，红星资本局致电圆通董秘办询问信息泄露是否与圆通有关，对方表示情况正在核实中，也关注到相关新闻和市场的波动情况，待核实结束后会向投资者进行回复。

另据中国证券报，圆通速递证券部工作人员回应记者称：“已经注意到二级市场的波动，上述传闻与公司无关，公司生产经营一切正常。

2023年1月11日，红谷滩网安大队依据《中华人民共和国网络安全法》第四十一条第一款、第六十四条第一款规定，对APP的运营者某省级银行责令改正、给予警告并处罚款5万元，对直接负责的主管人员给予警告。涉事企业负责人表示诚恳接受公安机关网安部门的处罚，今后将严格按照相关法律法规要求，积极配合监管，认真履行主体责任。

下一步，红谷滩网安大队将继续加强网络安全、数据安全、个人信息保护等领域执法力度，通过线上巡查、实地检查等多途径、多方式，依法打击侵害公民个人信息等违法犯罪行为。

网警提示

1.不要通过第三方链接或页面直接下载安装一些不明来源的APP。

2.注册、登录APP时应谨慎提交个人敏感信息，必须提供的，请尽量确认其是否有相应的依据。

3.及时注销不再使用的APP账号，如发现APP未提供注销账号功能或注销机制无效，可向有关部门举报。

4.发现APP存在超范围收集个人信息、强制捆绑其他功能、过度索要系统权限、隐私政策不合理等问题，可通过“App个人信息举报”微信公众号举报。

谷歌大跌超7%，市值蒸发约1020亿美元（约6932.50亿元人民币）。此前谷歌人工智能聊天机器人Bard在一场发布会上对用户提出的问题给出错误回答。

谷歌聊天机器人Bard答错问题

2月7日，谷歌通过Twitter发布了一个在线短视频广告，推广其旗下Bard。Bard是近日爆火刷屏、给谷歌搜索带来巨大威胁的ChatGPT的竞品。然而，万众瞩目、备受期待的Bard，却出师不利。

谷歌在广告中表示，Bard是一项实验性对话式AI服务，由LaMDA提供支持。Bard使用谷歌的大型语言模型构建，并利用网络信息。谷歌将其聊天机器人描述为“好奇心的发射台”，称它有助于简化复杂的话题。目前，谷歌的这一广告在Twitter上的浏览量已达到100万次。

这家科技巨头在Twitter上发布了一段巴德行动的GIF视频，称这款聊天机器人是“好奇心的发射台”，有助于简化复杂的话题。

有提问问道，“关于詹姆斯·韦伯太空望远镜（JWST），我可以告诉我9岁的孩子它有哪些新发现？”对此，Bard给出了很多答案，其中一个包括，太阳系外行星的第一张照片，是用JWST拍摄的。然而，这个答案是不准确的。根据美国国家航空航天局（NASA），2004年，欧洲南方天文台的甚大望远镜（VLT），拍摄了第一张系外行星照片。

谷歌的新人工智能工具Bard犯了事实性错误，这加剧了人们对相关工具尚未准备好集成到搜索引擎中的担忧。

据《金融时报》报道，谷歌2月6日透露计划推出一款聊天机器人Bard，与OpenAI颇受欢迎的ChatGPT竞争。该公司正寻求在将强大的新语言人工智能引入互联网搜索业务的竞赛中收复失地。

模型对抗

Bard由谷歌对话应用语言模型LaMDA驱动。实际上，这一底层技术已经存在了一段时间，早在2021年，谷歌就已开始进行由LaMDA支持的对话型AI服务开发，但并未广泛为公众所用。

谷歌所研发的LaMDA，是一种基于网络上数十亿词汇进行训练的大型语言模型。它不仅受益于谷歌更强大的计算能力和研发团队，并且谷歌还有能力通过数百万用户的反馈来对LaMDA模型及聊天机器人Bard进行微调。

2022年年底，LaMDA曾一度登上媒体头条。当时，谷歌AI研究员布莱克•雷蒙恩（Blake Lemoine）坚信，LaMDA是“有意识、有灵魂”的，但他的说法在受到广泛批评，最终谷歌驳回他的说法，并让其带薪休假。

实际上，谷歌是最先提出深度学习模型核心算法的企业，其对大语言模型的研究很早就开始了，2018年BERT横空出世。2021年，谷歌又推出了比BERT更强大的MUM。

马萨诸塞大学洛厄尔分校计算机科学教授Jie Wang在此前接受《每日经济新闻》采访时表示，像谷歌这样的大公司会有一定优势，因为他们拥有人力、技术和财力资源。不过，没有一个模型可以在所有方面都擅长。因此，所有公司在市场上有足够的空间。这将是一场新的比赛，尤其是在深度和正确性方面。

ChatGPT的背后，是OpenAI一手打造的GPT-3.5模型。可以说，Bard和ChatGPT的对决，就是LaMDA和GPT-3.5的对决，也是谷歌和OpenAI这两个在大语言模型领域冠绝全球的双雄之间的主战场。媒体评论称，基于LaMDA的聊天机器人Bard将成为谷歌此次的决胜关键。

据报道，2020年10月，该黑客闯入位于赫尔辛基的私人心理治疗中心Vastaamo，窃取了与治疗有关的敏感数据和超过2.2万名患者的财务信息。

由于该医疗中心拒绝支付六位数的赎金，个别病人收到威胁，勒索支付500欧元的赎金，否则他们的私人信息将被曝光。

最终犯罪者将一个包含所有被盗Vastaamo患者记录的大型压缩文件上传到了暗网上。不小心的是在这个大型压缩文件内包含了一份犯罪者的家庭文件夹副本，这也使网警锁定了Kivimäki。

自2022年10月以来该嫌疑人一直否认所有指控并躲避芬兰当局。在逮捕令发出后，他仍在一条推特上继续否认自己参与过任何形式的犯罪活动。

目前Julius “Zeekill” Kivimäki 因被控勒索和敲诈罪被法国当局逮捕。这次逮捕是长期的国际合作和两国警方共享信息的结果。目前对于犯罪嫌疑人何时引渡还不确定，引渡程序的时间取决于诸多因素，因此在目前阶段，何时将嫌疑人带到芬兰会是一个挑战。

曾因超过5W起网络犯罪被定罪

Kivimäki是一个名为Lizard Squad的网络犯罪集团的成员。该组织在2014年底最为活跃，曾参与对PlayStation和Xbox在线游戏服务的DDoS攻击，还曾对一架载有索尼在线娱乐公司总裁约翰-斯梅德利的飞机发出炸弹威胁。

Kivimäki还是个少年时，就参与了一系列高调的网络攻击，并在2013年因5万多起网络犯罪被定罪。

然而，这位17岁的少年没有入狱，仅仅获得到了两年的缓刑。然而这样宽松的判决也引起了网络犯罪领域专家的批评。假设我是另一个黑客组织，看到有人因为超过5万次黑客攻击而仅仅被判处缓刑，这样只能助长网络犯罪的风气。

这一安全事件调查由韩国安全公司AhnLab的安全应急响应中心（ASEC）发布。该中心发现，中国远程桌面控制软件向日葵的安全漏洞已遭到利用，攻击者正借此部署各种恶意载荷。

研究人员表示，“恶意黑客不仅使用了Silver后门，还使用了BYOVD（自带易受攻击驱动程序）来破坏安全产品并安装反向shell。”

攻击者首先利用向日葵v11.0.0.33及更早版本中的两个远程代码执行漏洞（CNVD-2022-03672 和 CNVD-2022-10270）打开局面，然后借此传播Silver或其他恶意软件，例如Gh0st RAT和XMRig加密货币采矿程序。

在相关案例中，恶意黑客据称利用向日葵漏洞安装了PowerShell脚本，该脚本又利用BYOVD技术使得系统中已安装的安全软件失效，最后使用Powercat投放了反向shell。

BYOVD技术滥用了合法但却易受攻击的Windows驱动程序mhyprot2.sys。该驱动程序经过有效证书的签名，可获得更高权限并终止反病毒进程。

值得注意的是，趋势科技此前曾经披露过，有攻击者利用原神冲击（Genshin Impact）游戏的反作弊驱动程序（包括mhyprot2.sys）部署勒索软件。

研究人员指出，“目前还不确定，这次是否出自同一批恶意黑客之手，但几个小时之后，日志显示被攻击系统确实由于向日葵远程代码执行漏洞而被装上了Silver后门。”

从调查结果来看，这批黑客打算利用由Go语言编写的合法渗透测试工具Silver，替代以往的Cobalt Strike和Metasploit。

研究人员总结道，“Silver提供必要的分步功能，例如账户信息窃取、内部网络横移以及企业内网越界，跟Cobalt Strike非常相似。”

摩根先进材料主要为半导体制造业供应陶瓷与碳部件，是伦敦证券交易所上市的350家最具价值企业之一。他们在今年1月曾宣布，“从企业网络上检测到了未经授权的活动，目前正在处理相关网络安全事件。”

符合勒索软件攻击特征，部分工厂改为手动操作运营

此次事件的性质尚未得到证实，但从监管新闻服务（Regulatory News Service）上发布的投资者公告来看，事件影响部分的描述基本可以断定是勒索软件攻击。

摩根先进材料公司表示，旗下所有制造工厂均在正常运营。“只是在系统恢复期间，部分制造工厂临时转为手动操作流程。”

该公司承认，“经过论证，少数系统已经无法恢复”，应对办法则是引入云端企业资源规划解决方案，也就是利用SaaS产品取代所有内部部署的IT系统。

昨日消息公布后，摩根先进材料的股价立即下跌超5%，收盘时跌幅为4.91%。

该公司宣布，“此次事件造成的额外损失可能达到800万至1200万英镑，其中包括专家咨询费，以及恢复整个摩根集团下众多相关系统的成本。”

摩根先进材料成立于1856年，是英国领先的专业材料制造商之一，主要设计工业部件，以及用于电动汽车、太阳能电池板和半导体制造工艺的各类材料。公司在全球拥有近7800名员工，年收入超过9.5亿英镑（约合人民币77.6亿元）。

该公司警告称，目前已经有多处单位“受到网络安全事件影响，致使生产和运输重启出现了延迟。”再加上处理事件的额外成本，预计公司的利润率将遭受打击。

“虽然今年1月的市场需求依然强劲，但我们在复工期间出现了生产效率低下的情况。根据当前估计，在对2023财年的预期营业利润做出调整之后，结果可能比原本预期低出10%至15%。”

另外一家英国工程陶瓷材料商Vesuvius Plc也在本周一透露，他们正在处理一起“网络事件”。

1月初，英国皇家邮政因这次攻击导致国际邮政业务被迫中断。当时的勒索票据显示，它是由“LockBit Black Ransomware”创建，属于LockBit所采用的新版加密器，包含已被关闭的 BlackMatter 勒索软件的代码和功能。票据还包含多个指向 LockBit 勒索软件操作的 Tor 数据泄漏站点和协商站点的链接，这些线索无不指向攻击者就是 LockBit 。

但LockBit负责对外联络的 LockBitSupport曾在事后表示，他们没有攻击皇家邮政，并称是有其他攻击者使用了他们泄露的构建器实施了这次行动。LockBitSupport没有解释为什么皇家邮政的赎金票据包含指向 LockBit 的 Tor 协商和数据泄漏站点的链接，而不是其他据称使用构建器的攻击者的站点。

不久后，LockBit曾在一个俄罗斯黑客论坛的帖子中证实，旗下某附属组织发动了这次攻击，表示只会在支付赎金后提供解密器并删除从皇家邮政网络窃取的数据。

而随着2月6日（UTC），皇家邮政被列入LockBit数据泄露网站的攻击条目，表示该组织正式宣告对这起攻击事件负责。条目显示，如果不能在 2 月 9 日星期四凌晨 03:42分（UTC）之前缴纳赎金，被盗数据将会公开发布。

在攻击发生后，皇家邮政仍将这起事件模糊地描述为“网络事件”，试图淡化勒索攻击带来的影响，并表示已经恢复了部分受影响的服务。

就在去年11月，皇家邮政也曾因网络故障，导致在线追踪服务中断超过24小时。

随后，微软在Office.com服务状态页面发布通告：“位于北美地区的用户访问Outlook.com时，可能无法发送、接收或搜索电子邮件。其他功能如 Microsoft Teams 等服务所使用的日历也会受到影响。”

众包网站和服务中断报告的Downdetector网站显示，从凌晨 3 点 24 分（UTC）开始，用户报告 Outlook 问题的数量激增。

这次故障似乎只影响到微软的消费者类型服务。Outlook.com是其免费的网络邮件服务，以前称为Hotmail，与Outlook for Web和OWA不同，后者是企业型网络邮件服务。

微软表示，Microsoft Teams 等其他服务使用的 Outlook.com 功能（例如日历 API）也受到影响。这似乎只是对其消费者版本的 Teams 的引用。

微软上一次遭受重大故障是在13天前，当时其内部团队进行的广域网络路由变更导致全球微软365中断，许多Azure云服务变得无法访问，包括Outlook、Microsoft Teams、SharePoint Online、OneDrive for Business等。

Outlook的访问和服务问题

微软周二凌晨4点04分（UTC）首次确认其最新的故障，20分钟后发推文表示“正在调查Outlook的访问和服务问题"。

此后不久，微软表示此次故障与最近更改的服务器有关，并开始有针对性地重新启动基础设施中受最近变化影响的部分，以尝试解决这个问题。

微软在上午6点46分（UTC）发布推文表示目标资源正在取得进展，一些环境得到了改善，并正在寻找其他方式以加快解决速度。

此次故障不仅涉及北美的基础设施，在全球范围内仍然可以看到中断现象。对此，微软在报告中解释道：“由于北美基础设施的受影响部分，北美以外其他地区的用户可能会经历一些残余的影响”。

随后，随着微软继续重新启动更多系统，一些受影响地区的用户逐渐得到改善。"

截至上午9:37分（UTC），微软报告称，服务尚未完全恢复。“我们正在对受影响的基础设施的一个子集应用有针对性的缓解措施，并验证它已经减轻了影响。我们还在进行流量优化工作，以减轻用户的影响，并加快恢复”。

服务恢复

周二晚些时候，微软报告称，在问题开始约12小时后，问题已基本得到解决。微软说：“我们可以从遥测数据中看到，大部分影响已经得到解决，服务可用性达到99.9%。我们正在继续监测环境，并对显示有残留影响的后端邮箱组件进行有针对性的改善，以确保所有用户恢复正常使用。”

取不出钱的贷款APP

2022年10月，浦东公安分局刑侦支队在工作中发现一条线索，手机应用中有一款名为“迅捷易借”的APP，页面显示只要支付39元会员费，成为会员后就能轻松贷款8至10万余元。有市民按提示登记个人信息，之后再缴纳所谓“会员费”，以为这样就能拿到贷款，不料这39元的会员费一去不复返，而且所贷的款项也一直取不出来。

民警也下载这款APP多次操作后发现，该款软件实际没有贷款功能，背后的开发者一心想通过各种套路，骗取被害人的会员费39元与个人信息。浦东公安分局刑侦支队迅速成立专案组，经缜密调查，警方发现该款APP的资金流就位于本地，遂通过资金流等关键线索开展循线追踪，最终锁定幕后的冯某、潘某的经营窝点，并抓获该诈骗APP主要开发者冯某、潘某及后台维护员等11人。

1年生成10万余单充值订单

据犯罪嫌疑人冯某、潘某供述，二人此前在同一家科技公司上班，从事的也是开发APP工作，后因不满足每月固定的收入，便辞职创业，共同组建APP开发公司。二人招募多名技术人员，并开发借款APP，通过虚构放款金额，在网上诱骗有借款需求的人员充值注册。经警方初步查证，在2021年至2022年这一年多时间里，后台涉及充值订单达十万余单，涉案金额达460余万元。

上海市公安局浦东分局刑侦支队四大队大队长邬继青介绍，该APP通过话术包装，诱导需要贷款的受害人充值会员，让他们误以为39元购买的是贷款流程中的各种附加服务。不仅如此，随着专案组不断深挖线索，发现这一APP还为同类APP导流，“在黑灰行业内，他们互为推广渠道，从中获得返利，并辩称这一行为只是赚取广告流量”，邬继青说，这一团伙还将受害人填写的个人信息售卖给贷款公司，这一行为涉嫌侵犯公民个人信息，相关取证调查工作还在进行中。

目前，犯罪嫌疑人冯某、潘某等11名犯罪嫌疑人因涉嫌诈骗罪已被警方依法采取强制措施。

警方提示：不管骗子伪装成什么身份,绕多少圈最终目的都是“转账、汇款”,凡是涉及到钱财问题的信息一定要提高警惕,多加核实确认,切勿轻信他人,以免财产受到损失。一旦发现上当受骗，请及时报警并为警方提供线索。

美国检察官达米安威廉姆斯表示：“尼古拉斯夏普得到公司信任处理机密信息，但他却监守自盗向公司勒索赎金。”

“更恶劣的是，当夏普没有得到赎金时，他利用媒体发布有关公司瞒报安全事件的虚假新闻进行报复，导致Ubiquiti的市值暴跌超过40亿美元。”

Sharp于2021年12月1日被捕并被控盗窃数据和勒索企图。

（尽管美国司法部的起诉书和此案相关新闻稿中都未指明夏普的雇主是Ubiquiti，但案件细节、夏普的LinkedIn账户信息，都与此前公布的Ubiquiti漏洞信息完全一致。）

“爆料”导致公司市值损失数十亿美元

在被夏普窃取机密数据后，Ubiquiti在2021年1月披露发生数据泄漏安全事件。作为该公司的云计算负责人，夏普假装“努力评估”事件范围并“补救”安全漏洞，同时又冒充匿名黑客向Ubiquiti勒索赎金。

夏普（以匿名黑客身份）要求Ubiquiti支付50个比特币作为赎金（当时价值约190万美元），以换取漏洞信息和被盗文件。

Ubiquiti选择拒绝付款，更改了所有员工访问账户，同时还发现并禁用了其系统的第二个后门，并于1月11日发布了安全漏洞通知。

在敲诈勒索失败后，Sharp伪装成举报人与媒体披露该事件的有关信息，污蔑Ubiquiti淡化掩饰违规事件。结果导致Ubiquiti的股价下跌了近20%，市值损失超过40亿美元。

4月1日，Ubiquiti发布安全声明，承认在1月份的数据泄露事件后遭遇勒索。但夏普向媒体匿名举报Ubiquiti的安全声明隐瞒了大量客户账户遭到泄漏的事实。

夏普还谎称Ubiquiti的日志系统无法验证系统或数据是否被“攻击者”访问过。然而，司法部公布的案件的信息显示，这是夏普自己篡改公司日志系统的结果。

“掉线”暴露真实IP地址

根据起诉书，夏普用自己的云管理员凭证通过SSH从Ubiquiti的AWS基础设施（2020年12月10日）和GitHub平台（2020年12月21日至22日）克隆了数百个存储库，窃取了大量机密文件。

在窃取数据时，夏普使用Surfshark VPN服务隐藏其家庭IP地址，但“不幸”的是，偶尔的网络中断暴露了他的真实IP地址和位置。

为了进一步隐藏恶意活动，夏普还修改了Ubiquiti服务器上的日志保留时间设置和其他文件，试图避免在事件调查期间暴露身份。

“除其他‘清理’手段外，夏普将AWS上的某些日志的保留时间设置为一天，这意味着系统将在一天内删除入侵者的活动证据”法庭文件中写道。

据BleepingComputer报道，美国地区法官凯瑟琳·波尔克·法伊拉(Katherine Polk Failla)将在5月10日宣布判决结果。

如果罪名成立，夏普面临的指控最高可判处37年监禁。

近日，Bleeping Computer 网站披露，开源密码管理软件 KeePass 被爆存在严重安全漏洞 CVE-2023-24055，网络攻击者能够利用漏洞在用户毫不知情的情况下，以纯文本形式导出用户整个密码数据库。

不同于 LastPass 、BitwardenKeePass 等云托管的数据库，KeePass 允许用户使用本地存储的数据库来管理密码，并允许用户通过主密码加密数据库，以避免泄漏，这样恶意软件或威胁攻击者就很难访问数据库并自动窃取其中存储的密码。

但 CVE-2023-24055 允许获得目标系统写入权限的威胁攻击者更改 KeePass XML 配置文件并注入恶意触发器，从而将数据库中所有用户名和密码以明文方式导出。

据悉，当目标用户启动 KeePass 并输入主密码以解密数据库时，将触发导出规则，并将数据库内容保存到一个文件中，攻击者可以稍后将其导出到其控制的系统中。值得一提的是，整个数据库导出过程都在系统后台完成，不需要前期交互，不需要受害者输入密码，甚至不会通知受害者，悄悄导出所有数据库中存储的密码信息。

安全研究人员认为 CVE-2023-24055 漏洞爆出可能使威胁攻击者更容易在受损设备上转储和窃取 KeePass 数据库的内容。部分户要求 KeePass 开发团队在黑客“悄悄”导出数据库之前添加确认提示，或者提供一个没有导出功能的应用程序版本。

KeePass 官方表示暂无漏洞修补措施

KeePass 官方声明表示，CVE-2023-24055 漏洞不应该归咎于 KeePass，并且这一漏洞不是其所能够解决的，有能力修改写入权限的网络攻击者完全可以进行更强大的网络攻击。

当用户常规安装 KeePass 时，一旦攻击者具有写入权限，就可以执行各种命令，开展攻击活动，就算用户运行可移植版，威胁攻击者也可以用恶意软件替换 KeePass 可执行文件。

上述两种情况表明，对 KeePass 配置文件进行写入意味着攻击者实际上可以执行比修改配置文件更强大的攻击（这些攻击最终也会影响 KeePass，而不受配置文件保护）。因此，KeePass 建议用户只有保持环境安全（使用防病毒软件、防火墙、不打开未知电子邮件附件等），才能防止此类攻击。

最后，KeePass 开发人员指出，虽然用户无法获得更新版本，但能够通过系统管理员身份登录并创建强制配置文件来保护数据库。

第三方泄露数据

该安全事件于2023年1月16日报告给缅因州总检察长办公室，日产在报告中透露，有17998名客户受到该违规行为的影响。

在通知中，日产声称它于2022年6月21日收到了一个软件开发供应商的数据泄露通知。

该软件开发商从日产接收了客户数据，用于为汽车制造商开发和测试软件解决方案，由于数据库配置不当，无意中暴露了这些数据。

在得知安全事件后，日产确保暴露的数据库已得到保护，并启动了内部调查。2022年9月26日，日产证实未经授权的人可能访问了这些数据。

“在2022年9月26日的调查中，我们确定此事件可能导致未经授权访问或获取我们的数据，包括属于日产客户的一些个人信息，”日产通知中写道：“具体来说，在软件测试期间嵌入代码中的数据无意中暂时存储在公共云存储库中。公开暴露的数据包括全名、出生日期和NMAC帐号（日产财务账户）。”最后，该通知澄清说，暴露的信息不包括信用卡详细信息或社会安全号码。

日产表示，到目前为止，它还没有看到任何证据表明这些信息被滥用，并且出于谨慎考虑发出通知。

第三方泄露数据

早在2021年1月，日产北美公司曾经历了类似的数据泄露事件，Git服务器使用默认访问凭据在线暴露，导致该公司的多个存储库被公开泄露。

该事件导致20GB数据泄露，包括移动应用程序和内部工具源代码、市场研究和客户获取数据、诊断和NissanConnect服务详细信息。

2022年10月，丰田也经历了类似的数据安全事件，暴露296019名客户的个人信息。事件原因是包含丰田公司数据库访问密钥的GitHub存储库对公众开放了长达五年之久。

此外，2023年1月初包括日产、本田、讴歌、宝马、奔驰在内的近20家知名车企的在线服务曝出API安全漏洞，可能导致帐户接管和大量车主敏感信息暴露。

2020年5月，奥地利联邦刑事调查局发现，该男子在网络犯罪论坛上发布数据集，随后对其活动展开了调查。

此人发布的数据集中，包含一个来自Geburen Info Service GmbH公司（简称GIS）的数百万条地址与个人信息数据集，总计近900万条数据，具体涉及用户的全名、性别、完整地址、出生日期等。

奥地利总人口约910万。GIS是一家负责为奥地利国内电视、收音机等广电接收设备建立归档、记录民众收看收听费用的公司。

奥地利联邦刑事调查局购买了该数据集，确认数据真实，随后调查了资金流向和用于宣传被盗数据的论坛。警方成功追踪到数据集卖家所使用的IP地址，并将此人与阿姆斯特丹的某处住宅地址关联了起来。

2022年5月，阿姆斯特丹公共检察署要求当地检察署接管对嫌疑人的刑事起诉。阿姆斯特丹警方根据奥地利警方提供的数据自行展开调查，并确定嫌疑人曾长期交易个人及医疗数据。

公共检察署发布的新闻稿中提到，“有强烈迹象表明，嫌疑人曾使用掌握的用户名进行操作，长期通过该用户名在论坛上发布患者病历数据等非公开个人数据，并收取费用。其中不仅涉及奥地利民众的敏感数据，也影响到来自荷兰、泰国、哥伦比亚、中国和英国等国的受害者。一经发现，该网络犯罪论坛已被外国警方和调查部门关停下线。”

这名嫌疑人面临四项指控：

拥有网络钓鱼工具包与黑客工具；

盗窃数据并交易非公开数据；

入侵计算机；

存在惯常洗钱。

所谓惯常洗钱，是指嫌疑人曾在2022年进行了价值总计45万欧元的加密货币交易。

“2022年12月5日，阿姆斯特丹地区法院议事厅将审前拘留时间延长了90天。”新闻稿称，“目前，金融与数字方面的调查正在全力推进。”

全球最大海事组织之一DNV披露，其于1月7日晚间遭勒索软件攻击， ShipManager软件系统相关的IT服务器已经被迫关闭。

DNV总部位于挪威首都奥斯陆。ShipManager是一套全面的船舶船队管理系统，支持对船舶与船队在技术、运营和合规方面的管理。

这份声明于上周一发布，其中写道，“DNV正与总计70家受到影响的客户开展每日沟通，向其更新正在进行的取证调查结果。约1000艘船舶受到影响。”

“所有用户仍可使用ShipManager软件的船载离线功能，并无迹象表明DNV有任何其他软件或数据受到影响。服务器中断也不会影响到DNV的任何其他服务。”

DNV表示，正在与挪威警方和IT安全公司合作应对此次事件。

DNV是世界上最大的船级社，即管理船舶与海上结构物建造与运营技术认证的组织。DNV目前为超过13175艘船舶及移动海上装置提供服务，2021年收入超20亿美元。

航运业网络威胁态势严峻

针对DNV的攻击成为影响航运业的又一起恶意事件。两周之前，LockBit勒索软件团伙曾对里斯本港发动攻击。在整个2022年，欧洲各港口也先后遭遇一系列勒索软件侵袭。

2022年2月，德国物流集团Marquard & Bahls旗下石油公司Oiltanking和Mabanaft遭受网络攻击，致使其装卸系统瘫痪。Oiltanking公司将攻击定性为“不可抗力”。

同年11月，美国国土安全部长Alejandro Mayorkas向国会作证，称网络攻击已成美国港口面临的最大威胁。

Mayorkas表示，“我们正在提高港口运营的技术水平，这就是为什么不仅海关和边境保护局在关注网络安全，美国海岸警卫队也同样给予关注。”

“对我们的港口来说，网络安全已经成为一股重大威胁。我们当然要集中精力抵御这种威胁并加强自身网络安全。”

据网传图片显示，境外某黑客论坛分别在1月4日和1月11日泄露了数十名疑似“华航”旅客的资料，其中包括民进党当局副领导人赖清德、台积电创办人张忠谋、台当局交通部门负责人王国材、台当局外事部门负责人吴钊燮，以及艺人林志玲、徐若瑄等。泄露的信息涵盖了旅客姓名、生日、邮箱地址和手机号码等。

1月4日首次疑似旅客资料泄露事件发生后，1月7日，“华航”发表声明称收到匿名网络勒索邮件，并在第一时间启动了应急防御措施并报警。“华航”称没有出现旅客资料遭遇不当使用的情况。1月11日，疑似泄露资料的黑客再次公布了一批旅客资料。黑客称，由于“华航”迟迟不承认旅客资料泄露，将持续公布黑客入侵路径、“华航”系统清单以及300万会员的资料库等。

1月14日，“华航”发布声明称，经过清查，目前网上流传的疑似泄露的旅客资料与该公司的资料库不尽相符。“华航”再次强烈谴责非法行为，将全力配合警方进行调查。“华航”还提醒旅客定期修改密码，保护好个人资料安全。

台湾民用航空管理部门也表示，已要求“华航”尽快说明事件始末并检查系统安全，确保防御措施正常工作。该部门还要求“华航”落实旅客个人资料保护措施，维护旅客权益。针对事件的前因后果和善后措施，台湾民用航空管理部门还要求“华航”立即提出改善报告。

作为美国第五繁忙的重轨快速交通系统，BART在1月6日被列入Vice Society勒索软件团伙的泄密网站上。BART首席通讯官Alicia Trost表示，他们正在调查该团伙窃取和发布的数据。

她称，“需要明确的是，BART的服务或内部业务系统并未受到影响。与其他政府机构一样，我们正采取一切必要的防范措施加以应对。”

轨交业已成为黑客攻击重灾区

近年来，轨道交通行业已成网络攻击重灾区。2021年4月，作为全球最大交通系统之一，纽约市大都会运输署遭到某个黑客团伙攻击。

虽然这次攻击并未造成任何损害，也没有令乘客身陷险境，但市政官员在报告中仍发出警告，称攻击者可能已经触及关键系统、也许在其中埋设了后门。

同月，圣克拉丽塔谷运输署遭到勒索软件攻击；2020年，宾夕法尼亚州东南部运输署也受到勒索软件侵扰。

就在上周，全球最大铁路和机车企业之一Wabtec公布消息，称去年夏季的疑似勒索软件攻击已经引发一起涉及大量员工的数据泄露。

美国国土安全部长Alejandro Mayorkas去年宣布了针对铁路运营商的网络安全新规，要求各运营商强制披露黑客攻击、制定网络攻击恢复计划，并任命一位首席网络官员。该规定已经于去年12月到期。

Vice Society勒索软件团伙凭借对大学及K-12基础教育学校的攻击活动震动全世界，其中包括美国第二大公立学区和英国的多所学校。

FBI、网络安全和基础设施安全局（CISA）等多家机构曾在去年9月的警告中指出，Vice Society在过去一年内“以超高比例”攻击了数十家教育机构，并在2022年秋季进一步上调了攻击级别。

但根据微软去年10月发布的一份报告，该团伙也“仍在关注安全控制力较弱、易于入侵且支付赎金可能性较高的组织”。

Threema总部位于瑞士，数据中心位于阿尔卑斯山地区，自称是比WhatsApp（编者：已经被瑞士军队禁用）更安全的非美国加密通信产品的替代品。Threema没有Signal或Telegram流行，但是对于瑞士军队这样的客户来说，小众的Threema似乎更安全，因为流行消息应用往往无法避免海外政府的窥探。

Threema目前拥有超过1000万用户和7000名本地客户——包括德国总理奥拉夫舒尔茨。

Threema在博客文章中淡化了研究者发现的漏洞，声称这些漏洞是在Threema停用的协议中发现的。“虽然这些漏洞从理论上讲可能很有趣，但它们没有对现实世界产生任何重大影响”。

以下是Threema的声明：

去年，苏黎世联邦理工学院计算机科学系的一名学生撰写了关于Threema通信协议的硕士论文。该大学现已将他的作品作为论文/预印本发表。但是，该论文基于不再使用的旧协议。调查结果不适用于Threema当前的通信协议“Ibex”，或者已经得到解决。他们都没有对现实世界产生过任何重大影响。

披露Threema漏洞的三位研究人员——计算机科学教授Kenneth Paterson和博士生Matteo Scarlata与Kien Tuong Truong在一个关于Threema安全漏洞的网站上指出，他们最初是在2022年10月向Threema披露了他们的发现，后者同意研究者在1月9日公开披露。

Threema于2022年11月下旬发布了其Ibex协议，研究人员表示尚未审核这一在漏洞发现后发布的新协议。不过研究人员表示“相信所有漏洞都已通过Threema最近的补丁得到缓解”。

在给The Register的电子邮件中，Paterson指出，Threema声明中的所谓“旧协议”，其实就是ibex协议发布之前使用的协议。

他补充说，Threema的声明“极具误导性，这令人非常失望。”

虽然安全研究人员承认这些漏洞不再对Threema客户构成威胁，但他们的发现仍然凸显了评估“自主开发加密协议安全声明”的困难性。

“理想情况下，任何使用新型加密协议的应用程序都应该进行正式的安全分析（以安全证明的形式），以提供强大的安全保证，”研究者补充道：“这样的分析有助于降低类似Threema这样的软件中暗藏更严重漏洞的风险。”

英国本土的货物配送服务并未受到影响，但该公司已向客户建议，在此期间暂缓向海外寄送邮件，相关服务将在问题解决后恢复。

皇家邮政发言人向媒体表示，“事件是在昨天被发现的，但英国国内的邮件不受影响。”

在一份声明中，皇家邮政表示已在配送的邮件可能出现延误，但Parcelforce Worldwide（全球包裹力量）服务并未中断。

皇家邮政表示，“我们的进口业务将继续提供全面服务，只是会出现一些小延误。Parcelforce Wordlwide出口服务仍面向各国际目的地提供服务，但客户可能会遇到一、两天延迟。”

“我们立即对事件展开调查，并与外部专家合作。此次事件已经上报给监管机构和相关安全部门。”

英国国家网络安全中心（NCSC）发言人表示，该中心“已知悉此次影响皇家邮政集团公司的事件，且正在与该公司及国家犯罪局合作以充分了解其影响。”

皇家邮政周三也提到，“我们的团队正全天候工作，努力解决此次中断问题。一旦获得更多信息，我们将尽快发布通告。”

皇家邮政IT设施事故频发

在此之前，2022年11月该公司也曾发生一次中断，导致邮件跟踪服务瘫痪超24个小时。

当时的中断影响到Track and Trace网站，导致英国居民只能通过皇家邮政的应用来跟踪包裹、信函和邮件递送情况。

媒体还发现，皇家邮政的Click & Drop网站也遇到了付款故障，无论使用哪种支付方式（信用卡、借记卡、PayPal等）尝试多少次均无法正常操作。

因为无法在线支付配送费，客户们也就无法在家中打印邮资标签。

最近一段时间，这家邮件递送业巨头可谓流年不利。先是被卷入与英国通讯职工联合会的谈判以及计划中的全国大罢工，此次又突然曝出IT故障问题。

宾夕法尼亚大学工程学院计算机与信息科学系副教授Linh Thi Xuan Phan与密歇根大学、NASA的一组研究人员合作，发现了该系统及其他安全关键系统所使用的网络技术中，存在一个严重漏洞“PCspooF”。

这种网络技术被称为“时间触发以太网”，简称TTE，已在航空、航天和重工业领域应用了十多年。在这类场景下，会有多种不同类型的信息持续在计算机网络中传播，但并非所有信息都需要相同级别的计时精度。时间触发以太网能确保最关键的信号获得优先权，因此无需单独部署专用的网络硬件。

对于NASA来说，通过时间触发以太网在同一物理网络上传输多种类型的信号显得尤其重要，因为它必须精打细算航天器的每一克重量。而此次研究结果表明，时间触发以太网的安全保证效果可能因电磁干扰而受到损害。对高优先级信号的计时干扰，足以导致模拟对接程序出现严重故障。

图片

图：PCspooF漏洞攻击过程概述

Phan教授与密歇根大学的Andrew Loveless、Ronald Dreslinski以及Baris Kasikci，共同在2023年IEEE安全与隐私研讨会的论文集上发表了这一发现。

在NASA约翰逊航天中心工作期间，Loveless开始利用模拟数据调查这一潜在安全漏洞。他和密歇根大学的同事们还聘请网络物理系统安全专家Phan来研究时间触发以太网的网络硬件的自身缺陷。

结果表明，低优先级信号的发送方式可以使负责消息传输的以太网线缆产生电磁干扰，进而让恶意消息顺利通过原本会阻止它们的交换机。

Phan表示，“时间触发以太网技术在关键系统中被广泛应用，因为能保证两种类型的信号不会相互干扰。但如果这一假设并不可靠，那么以此为基础建立的一切都会土崩瓦解。”

该团队曾在2021年私下向使用时间触发以太网的主要企业、组织以及设备制造商披露了研究发现和缓解建议，包括将铜缆替换为光纤及其他光频隔离器。

Loveless表示，“各方都非常愿意采取缓解措施。据我们所知，该隐患尚未对任何相关方构成实际安全威胁。我们对行业和政府的积极反应感到欣慰。”

据报，攻击和泄露事件是由黑客组织 Vice Society 实施的，该组织针对英国和美国的教育机构进行了多次勒索攻击。

2022 年 10 月，洛杉矶联合学区 (LAUSD)警告称，Vice Society已开始发布从该机构窃取的数据。此前，LAUSD 宣布不会向勒索者付款。

受影响的 14 所英国学校中的许多学校已向家长、学生和教职员工提供了有关该事件的最新信息。

受新泄漏影响的学校有：圣海伦斯的卡梅尔学院；达勒姆约翰斯顿综合学校；Frances King 英语学校，伦敦/都柏林；盖特威学院，汉密尔顿，莱斯特；圣家 RC + CE 学院，海伍德；兰普顿学校，豪恩斯洛，伦敦；莫斯本联合会，伦敦；皮尔顿社区学院，巴恩斯特普尔；塞缪尔莱德学院，圣奥尔本斯；东方和非洲研究学院，伦敦；泰晤士河畔森伯里圣保罗天主教学院；斯托克布里奇测试谷学校；德蒙福德学校，伊夫舍姆。

在过去几年中，教育行业一直是勒索软件的主要目标。Sophos 于 2022 年 7 月发布的一份报告发现，56% 的低等教育机构和 64% 的高等教育机构在过去一年受到了勒索软件的攻击。

由于缺乏网络安全投资以及连接到其系统的大量设备等因素，学校和大学已经被网络犯罪分子视为“软目标” ，使敏感的个人和研究数据面临风险。

Absolute Software 欧洲、中东和非洲地区副总裁 Achi Lewis 评论说：“由于学校和大学系统中存储了大量敏感数据，教育部门是恶意网络犯罪分子有利可图的目标。因此，勒索软件攻击是一个必然问题，而不是偶然问题，这就要求教育机构要准备好预防和应对这些攻击，否则他们就有文件被盗和泄露的风险。”

BlackBerry UKI 和新兴市场副总裁 Keiron Holyome 强调了加强教育部门端点安全以应对勒索软件威胁的重要性。“为确保教育的连续性，尤其是在远程学习的背景下，我们鼓励政府投资教育部门的网络安全。

新闻报道称，里斯本港务局（APL）证实，本次攻击并未损害其关键基础设施的运营。攻击发生后，港务局已将事件上报至国家网络安全中心和司法警察局。

港口官员在采访中表示，“针对此类事件规划的各项安全协议和响应措施都已迅速启动。里斯本港务局与各主管部门长期保持密切合作，共同保障系统和相关数据的安全。”

LockBit勒索软件团伙声称，窃取到了财务报告、审计、预算、合同、货物信息、船舶日志、船员详细信息、客户PII（个人身份信息）、港口文件、往来邮件等数据。该团伙还公布了被盗数据样本，但披露数据的合法性无法得到验证和证实。

LockBit威胁称，若里斯本港不满足赎金要求，他们将在2023年1月18日公布入侵期间窃取到的所有数据。该团伙提出的赎金数额为150万美元，并表示受害者可以先支付1000美元，将数据发布时间延后24小时。

年底勒索软件团伙愈加猖獗

上个月，LockBit勒索软件团伙袭击了美国加利福尼亚州财政部，并窃取到76 Gb数据。该团伙威胁称，如果受害者不在2022年12月24日前支付赎金，将泄露窃取数据内容。根据声明，LockBit在此次攻击中窃取到数据库、机密数据、财务文件、认证、法庭与性诉讼资料、IT文件等信息。

加州财政部在声明中确认了此次攻击事件，称“加利福尼亚州网络安全集成中心（Cal-CSIC）正积极应对涉及州财政部的网络安全事件。通过与州及联邦安全合作伙伴共同协调，已主动发现了入侵行为。在识别出威胁后，已迅速部署数字安全与在线威胁搜寻专家以评估入侵程度，同时检查、遏制和缓解未来漏洞。”

以往，黑客团伙曾多次在勒索要求未得到满足下公开数据内容。2022年10月，新闻报道称Hive勒索软件的勒索即服务（RaaS）团伙就泄露了从印度塔塔电力能源公司窃取到的数据。两周前，该黑客团伙对外声称对塔塔电力网络攻击事件负责，塔塔电力也做出证实。

已有研究表明，LockBit 3.0似乎采用（或大量借鉴）了BlackMatter勒索软件家族提出的概念和技术。研究人员从二者间发现了诸多相似之处，有强烈迹象表明LockBit 3.0复用了BlackMatter的代码。

过去一年全球关基设施屡遭勒索攻击蹂躏

里斯本港勒索攻击事件是针对欧洲港口一系列严重网络攻击的又一起事件。

2022年2月，网络攻击影响到整个欧洲的多家石油运输和储存企业，当局确认这波大规模网络攻击还波及到比利时、德国和荷兰的港口设施。比利时SEA-Invest和荷兰Evos的IT系统遭到破坏；与此同时，有未经证实的报道称，BlackCat勒索软件可能已破坏了德国石油供应商Oiltanking GmbH Group和Mabanaft Group的系统。

2022年11月，美国国土安全部部长Alejandro N. Mayorkas在参议院国土安全和政府事务委员会就“对国土的威胁”问题作证时称，截至2022年2月，网络安全与基础设施安全局、联邦调查局和国家安全局发现，美国16大关键基础设施行业中有14个都曾遭受勒索软件事件影响。受害者在2021年上半年共支付约5.9亿美元赎金，远高于2020年全年的4.16亿美元。

Mayorkas表示，“我们认为对于勒索软件事件的报告仍严重不足。根据评估，我们认为针对美国网络的勒索软件攻击在短期和长期内还将继续增加，因为网络犯罪分子已经建立起有效的商业模式，能够提高攻击活动的经济收益、成功几率和匿名性。”

近年来，勒索攻击事件在美国各州、地方、部落和领土（SLTT）政府机构及关键基础设施组织层面已愈发普遍。2020年，全美勒索攻击提出的赎金总额超过14亿美元。

《通用数据保护条例》 (GDPR) 于2018年5月出台，旨在更好地保障用户隐私。但Meta被指通过与用户签订“用户协议”来绕过条例监管，一旦签订协议即代表用户同意平台处理个人数据以提供有针对性的广告投放，而不是单独询问用户“是否接受”。

爱尔兰数据保护委员会开出的3.9亿欧元罚单中， 2.1 亿欧元用于处罚Facebook，1.8亿用于处罚Instagram。爱尔兰数据保护委员会还勒令 Meta 在未来三个月内进行整改，使数据处理行为符合条例规定。

Meta将对处罚结果提出上诉

当日，Meta已对这一处罚结果发表声明，称并不认同这一裁决，将进行上诉。Meta表示在欧盟地区推出的个性化广告完全符合《通用数据保护条例》相关规定，并对爱尔兰数据保护委员会“缺乏监管透明度”而表示遗憾。

无论结果如何，这已经是短短三个月内Meta被爱尔兰数据保护委员“二度施以重罚”。在刚刚过去的2022年11月，因Facebook泄露5.33亿用户隐私数据，Meta被处以2.65 亿欧元罚款。

截至目前，爱尔兰数据保护委员会已累计对Meta开出了13亿欧元罚单，同时还有针对该公司的其他11项调查正在进行中。

TKM 公司在一份电子邮件声明中表示：“接到公司一家服务提供商通知，部分客户的个人信息可能已在互联网上泄露。”该声明没有透露数据泄露的规模或受影响的客户数量。

这并非是丰田首次泄露用户信息。2022 年 10 月，丰田汽车官方表示，使用其 T-connect 服务的约 29.6 万名客户的个人信息可能已被泄露，包括电子邮箱地址和客户编号等，用户可能会收到垃圾邮件、网络钓鱼邮件等，但其它敏感信息如姓名、电话号码和信用卡信息均未受到影响。随后，丰田汽车就此事向受影响的客户发送电子道歉邮件，同时建立了网站表单，客户可以查看自己的电子邮箱是否在可能被泄露的范围内。丰田汽车还设立了专门的呼叫中心，以回答客户针对信息泄露的相关问题。

根据 LCMHS 网站发布的公告，数据泄露发生在 2022 年 10 月 21 日，当时安全团队检测到了计算机网络上存在异常活动。在10 月 25 日结束的一项内部调查显示，攻击者获得了对 LCMHS 网络的未授权访问权限，并窃取了敏感文件。这些文件包含患者信息，如患者姓名、出生日期、住址、病例、患者识别号、医保信息、支付信息等。

LCMHS 向美国卫生与公共服务部 (HHS) 报告了这一事件。当局公布的报告称，有 269752 名患者受到该事件的影响。

Hive 还发布了据称在破坏 LCMHS 系统后被盗的文件，但BleepingComputer目前还无法确认这些文件是否真实。

加拿大铜山采矿公司（Copper Mountain Mining Corporation）表示，去年12月27日该公司IT系统和公司办公室遭到勒索软件攻击。该公司为了降低损害而将运行系统独立开来、转为手动操作，并预防性关闭矿场以判断控制系统受到的影响。

铜山采矿公司已经通报主管机关，合作的外部安全厂商及其IT部门正在评估风险，也已增加防范措施，表示攻击没有造成安全事件或环境影响。

这家采矿企业目前正在调查攻击来源。安全媒体BleepingComputer报道，安全企业KELA发现，事件发生前约2周，有人在黑客论坛上销售这家公司员工的访问凭证，极可能直接或间接造成攻击事件的发生。

据了解，在山东青岛，一位孙女士通过“爱奇艺”广告页面得知可以用29.9元购买100元的话费。不过想要获得该券的用户需要下载“优品优驯App使用。为了获得该优惠券，孙女士搜索了这款名为“优品优驯的App，但是结果却出乎意料。

12月31日，孙女士向媒体表示，自己付款后根本找不到该App。这也就是说孙女士买的“100元话费券”无法使用。对此，孙女士表示，“想让更多人知道，这是个骗子”，希望以此提醒网友避免“踩雷”。

据了解，孙女士付款的商户全称为廊坊创景科技有限公司。相关相信显示，该涉事公司成立于2022年9月15日，地址位于河北省廊坊市固安县，属于软件和信息技术服务业。该公司的经营范围包括网络技术开发、技术咨询、技术服务、技术转让；通信设备、计算机软硬件的技术开发；互联网数据服务；平面设计；图文设计制作；广告设计、代理；广告发布；广告制作等。

世界上最臭名昭著的勒索软件团伙之一 LockBit 在声称其合作伙伴之一对加拿大最大的儿科医院的网络攻击负责后，发表了罕见的道歉。

2022 年 12 月 18 日，多伦多儿童医院（SickKids）遭到勒索软件攻击，导致该机构无法访问许多关键系统。该事件导致患者等待时间增加。截至 12 月 29 日，SickKids 表示已重新获得近 50% 的优先系统的访问，包括导致诊断和治疗延误的系统。

上周末，安全研究员 Dominic Alvieri 发现 LockBit 团伙为参与该事件而道歉。该组织表示将向 SickKids 提供免费解密工具，并以违反该团伙规则为由屏蔽了实施攻击的“伙伴”。该组织声称禁止附属机构将攻击可能导致某人死亡的“医疗机构”作为目标。

多伦多儿童医院（SickKids）官推承认了 LockBit 的这一声明，并表示正在与外部安全专家合作“验证和评估解密工具的使用”。

此次播报为前期预告，完整调查报道在次日（12月20日）正式播出。以色列公共广播公司Kan称，尽管以色列官员早已发现黑客团伙Moses Staff的活动，但却并未对摄像机采取保护行动。这次播放的报道片段并未公布消息来源。

该团伙在其Telegram频道上公布了多地视频画面，包括以色列海法拉斐尔国防承包工厂周边镜头，以及耶路撒冷及特拉维夫等各处摄像机拍下的镜头。

该团伙还公布了上月在耶路撒冷发生的恐怖爆炸袭击事件画面，该事件已导致两人死亡。这些画面明显来自以色列主要安全机构所使用的监控摄像头。

根据Kan广播公司的介绍，黑客团伙在很长一段时间内能够随意控制摄像机，包括平移、倾斜和缩放拍摄镜头。目前还不清楚这些摄像机是否遭受黑客攻击。

安全官员在接受Kan采访时表示，Moses Staff上传的视频来自未接入任何安保网络的民用摄像机。

Kan广播公司提到，完整报道将探讨黑客在监视以色列高级官员方面做出的尝试，同时会揭露Moses Staff背后的推动力量。

Moses Staff黑客团伙曾在今年6月宣称对一次网络攻击负责，此次攻击导致耶路撒冷和以色列南部城市埃拉特的部分地区误响火箭空袭警报。

Moses Staff去年还曾表示其窃取到关于士兵的敏感信息，具体内容似乎来自LinkedIn上的公开资料；此外，该团伙还通过商业网站获得了以色列航拍图像。

还有另一条未经证实的消息，该团伙声称曾在6月致使军用观察气球在加沙地带坠毁。但以色列军方表示事故起因是气球没有正确系好。

Epic Games是热门游戏《堡垒之夜》的开发商，并因对苹果和谷歌安卓平台的反垄断起诉而闻名。腾讯是Epic Games的大股东，公开资料显示，在去年4月Epic Games获得新一轮融资后，腾讯持股40%。

根据Epic Games和FTC达成的最新和解协议，Epic Games因违反儿童隐私法（COPPA）将支付创纪录的2.75亿美元罚款，并将取消侵犯隐私的默认设置。FTC表示，Epic Games还将支付2.45亿美元退款，以退还被所谓的“黑暗模式”欺骗而进行游戏内支付购买商品的消费者。

FTC主席Lina Khan在一份声明中称：“Epic Games使用了侵犯隐私的默认设置和欺骗性界面，欺骗了《堡垒之夜》的用户，包括青少年和儿童。”

FTC在游戏行业监管方面正在加大力度。上周，FTC宣布对微软以690亿美元收购动视暴雪提出诉讼。

Epic Games在周一的一份声明中表示，玩家可以通过信用卡寻求退款。公司还表示，为了保护儿童，已经创建了一些新功能，例如更易于访问的家长控制模式，以及允许父母授权购买的密码要求、13岁以下儿童的每日支出限额等。

此次FTC和Epic Games达成的协议主要是两部分，一是儿童隐私保护；二是欺诈点击付费。美国儿童在线隐私保护法（COPPA）对儿童有明确的定义，也就是年龄在13岁以下，并规定网络从业者在收集13岁以下儿童个人信息之前，必须首先获得家长的同意。

对于青少年儿童在网络游戏世界中的隐私以及支付限制也是中国游戏公司高度关注的。国内在去年正式实施的《个人信息保护法》当中也有明确规定，将不满14周岁的未成年人的个人信息规定为敏感个人信息，并要求相关企业对此制定专门的个人信息处理规则。

具体来看，《个人信息保护法》第二十八条规定：“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。”

《个人信息保护法》第三十一条规定：“个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。”

青少年儿童的个人信息属于敏感数据，因为儿童青少年的个人自我保护意识普遍较弱，个人信息一旦遭到不法者的利用，可能导致严重后果，因此需要立法给予特殊的保护，应当取得监护人同意之后才可收集。

当地时间周二（12月20日）晚上，该出版物发生了“严重的IT事件”。总编辑凯瑟琳·维纳 (Katharine Viner)和卫报媒体集团(Guardian Media Group)首席执行官安娜·贝特森(Anna Bateson)在一份报告中告诉员工，过去24小时内发生了一起严重事件，影响了IT网络和系统。他们认为这是勒索软件袭击，继续考虑所有可能性。卫报的技术团队一直在努力处理这一事件的各个方面，有大量的员工都能够像大流行期间那样在家工作。目前尚没有任何组织声称对此事件负责。

正如《卫报》媒体编辑首次报道的那样，该事件发生在当地时间12月20日（星期二）深夜，并扰乱了该公司的部分技术基础设施。它促使管理层告诉员工在本周剩下的时间里远程工作。《卫报》的一些技术基础设施和“后台服务”受到了影响。对在线出版几乎没有影响，新文章定期出现在卫报的网站和移动应用程序上。《卫报》仍然能够在其网站和应用程序上发布新闻，领导人有信心能够在周四（22日）发布印刷版。

目前尚不清楚是否有任何数据被盗，或者卫报是否收到赎金要求。根据TechCrunch的说法，有关该事件的其他事实仍然模糊不清。 

使用勒索软件的犯罪分子通常会从受害者那里窃取敏感信息，并威胁要泄露这些信息，除非向他们支付赎金。

也不清楚谁应对这次袭击负责，目前还没有大型勒索软件团伙声称对此负责。

据《新闻公报》报道，卫报是世界上阅读量排名第九的新闻网站，11月的访问量接近3.9亿。

最近几个月，其他新闻机构也遭遇了安全事件。

安全软件公司ESET的全球网络安全顾问Jake Moore表示，Guardian成为被攻击并不令人意外。“今年，新闻机构已成为网络攻击的常规目标，这些攻击通常会对目标公司造成更大的破坏性影响，”他说。“勒索软件通常会使所有部门陷入停顿，因此幸运的是，尽管发生了这次攻击，该组织仍会看到一些关键领域照常工作。”

美国公司网站Fast Company在9月遭到黑客攻击，目的是向Apple News读者发送恶意推送警报。根据之前的报道，有人以“Thrax”的名义侵入了Fast Company新闻并引发了这起事件。尽管暴露了一个名字，但这次违规行为的真正肇事者仍然不为人知。

推特上充斥着来自相关iPhone用户的各种截图。许多没有订阅Fast Company的人仍然收到了类似的警报。该警报将读者带到另一篇被黑的文章，其中使用了相同的挑衅性语言。

纽约邮报在10月份声称，一名流氓员工接管了其网站和Twitter账户，是种族主义和性别歧视帖子背后的罪魁祸首。

为了证明数据的真实性，黑客直接分享了37 人的个人数据，其中包括美国民主党议员 AOC（Alexandria Ocasio-Cortez）、以太坊加密货币创始人 V 神等知名用户的私人信息。示例数据包含以下信息：电子邮件、姓名、用户名、关注者数量、创建日期，甚至还有用户的电话号码。黑客还链接到一个帖子，解释这些数据如何被其他威胁行为者滥用于网络钓鱼攻击、加密货币诈骗和 BEC 攻击。

此外，黑客还提供了 1000 个账户的样本作为证明，他建议推特或马斯克花钱购买该数据库，否则他们将会面临欧盟巨额罚款。

针对此次黑客勒索事件，爱尔兰数据保护机构表示，推特显然违反了《通用数据保护条例》的规定，该条例是欧洲的隐私法规，通常与巨额罚款挂钩。如果黑客所盗数据得到证实，将是对推特及其首席执行官马斯克的沉重打击。

根据美国FBI公布的信息，2022年1到11月，美国人遭遇的欺诈损失就高达100多亿美元，2021全年则是69亿美元，意味着网络诈骗活动还在增多。

这类诈骗花样多多，受害者也主要是美国的中老年人，因为他们对电脑系统也不太了解，容易被技术支持电话钓鱼欺诈。

其中一个重要来源就是印度的骗子团队，他们运营者大量虚假的呼叫中心，假冒微软工程师提供技术支持，称用户的系统中毒了，或者温度过高容易爆炸，让受害者花钱解决，甚至银行卡被洗劫一空。

除了假冒工程师之外，这些网络诈骗团伙还有其他各种手段，另一种常见的方法就是虚假的在线聊天，利用虚构的浪漫爱情让一些中老年男人买单，这也是很经典的网骗套路了，全球也屡见不鲜。

“在收到勒索邮件后，公司当天即成立专项小组进行调查与应对，并第一时间向有关监管部门报告此事件。”蔚来汽车在声明中表示，经初步调查被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。

对于是否是因翻越蔚来防火墙导致数据失窃，有蔚来汽车高层对财联社记者回应称，“目前数据被窃取的情况还在调查中。”

针对可能造成的用户损失，蔚来汽车客服人员表示，不会做出主动赔偿，但“对客户的反馈会记录再案，且会对因本次事件给用户造成的损失承担责任”。蔚来客服同时表示，目前尚未出台赔偿方案，并提醒，如近期遇涉及蔚来的陌生来电，需小心谨慎，勿透露个人信息。

一张流传于网络的图片显示，有人宣称破解了蔚来大量数据，并公开叫价出售。其列出的数据涉及蔚来的经营以及客户隐私，包括蔚来员工数据、订单数据、用户及企业代表联系人数据，还包括车主身份证、用户地址，甚至车主亲密关系、车主贷款数据等极为隐私的信息。

这些信息被明码标价，价格均以比特币为单位，比如2.28万条员工数据，售价0.15比特币；3.99万条车主身份证数据，售价0.25比特币；全部数据打包，售价1比特币。

针对数据泄露遭勒索的情况，蔚来汽车态度坚决。“窃取、买卖此类数据是违法犯罪行为，公司对此予以严厉谴责，也坚决不会向网络犯罪行为低头。”蔚来在声明中表示，将协同有关执法部门深入调查此次事件，并依法坚决打击相关的数据窃取、买卖行为。

“中汽协支持蔚来汽车的声明，不应向犯罪行为妥协。”中国汽车工业协会秘书长助理兼技术部部长王耀对记者表示。

王耀同时分析认为，以其个人初步判断，这次不是因技术问题导致的数据泄露。“目前看，对于蔚来汽车用户来说，不会出现系统性大规模数据泄露，也不会引发车辆端安全问题。”王耀称。

智能化是汽车产业发展的重要趋势，而数据则是实现智能化的基石。随着汽车智能化程度越来越高，守好数据确保安全，关乎到用户的权益，更关乎行业发展进程。汽车企业作为数据运营的主体，是数据安全的主体责任。

就在12月13日，工信部印发《工业和信息化领域数据安全管理办法(试行)》的通知。其中指出，“工业和信息化领域数据处理者应当对数据处理活动负安全主体责任。”同时，“工业和信息化领域数据处理者在数据安全事件发生后，应当按照应急预案，及时开展应急处置，涉及重要数据和核心数据的安全事件，第一时间向本地区行业监管部门报告，事件处置完成后在规定期限内形成总结报告，每年向本地区行业监管部门报告数据安全事件处置情况。工业和信息化领域数据处理者对发生的可能损害用户合法权益的数据安全事件，应当及时告知用户，并提供减轻危害措施。”

仅从目前被披露的信息，此次蔚来被窃数据尚未涉及车辆安全等，只不过因其作为智能电动品牌的代表而被业内广泛关注。但即便如此，切实保障数据安全已成为全社会的共识。

蔚来汽车在声明中称，蔚来有责任并有义务使用一切手段保护用户信息安全，事件发生后，对公司网络信息安全进行了排查与强化，以避免此类事件的再次发生。

加州相关部门证实财政部数据泄露

据悉，加州州长紧急事务办公室已经证实了财政部遭受了网络攻击，并强调攻击事件发生不久后，通过与联邦安全合作伙伴协调，确定网络威胁后，迅速部署数字安全和在线威胁猎取专家，评估网络入侵的危害程度，以期控制、减轻网络攻击带来的影响。

值得一提的是，截至目前，尚不清楚此次攻击事件造成多大损失，也不清楚攻击者是采用何种技术侵入财政部。

LockBit 声称盗取近 76GB 数据

本周一，LockBit 黑客团伙在其泄密网站上发布消息称其攻破了加利福尼亚州财政部，盗取了数据库、机密数据、财务文件和 IT 文件。为了增加可信度，LockBit 组织还公布几张据称从加州财政部系统中渗出的文件截图。

此外，LockBit 黑客团伙还发布了盗取数据的目录和存储文件数量截图。对话框显示超过 114000 个文件夹中有超过 246000 个文件，总计 75.3GB 的数据。

数据泄露网站上显示，数据“保护器”截止到 12月24 日前，一旦无法获得赎金，LockBit黑客团伙将公布所有被盗数据。

LockBit 黑客组织多次作案

10 月份，一名涉嫌与 LockBit 勒索软件团伙有关的 33 岁俄罗斯公民在加拿大安大略省被捕。据信，他在关键基础设施和大型工业组织上部署了勒索软件。欧洲刑警组织表示，该名男子参与许多高调的勒索软件案件"，共向受害者索要了 500 万至 7000 万欧元。

LockBit 黑客组织资金雄厚，是圈内第一个推出 bug 赏金计划的黑客团伙，为”寻找“漏洞，提供了高达 100 万美元的奖励，是勒索勒索软件领域目前最活跃的勒索软件之一。

此外，从以往案例来看，LockBit 黑客组织通常专注于勒索大公司，仅仅 2022 年，LockBit 受害者名单中就”囊括“了汽车巨头大陆集团（Continental）、安全公司 Entrust 和意大利国税局（L'Agenzia delle Entrate）。

Amazon ECR Public Gallery是容器镜像的公共存储库，用于共享即用型应用程序和流行的Linux发行版，例如Nginx、EKS Distro、Amazon Linux、CloudWatch代理和Datadog代理。

研究者透露，利用该漏洞，攻击者可通过滥用未记录的API操作来修改其他用户的现有公共映像、层、标签、注册表和存储库。

研究人员于2022年11月15日向亚马逊网络安全部门报告了该漏洞，亚马逊在24小时内推出了修复程序。

虽然没有迹象表明这个漏洞在野外被滥用，但威胁行为者本可以将其用于针对许多用户的大规模供应链攻击。

ECR Public Gallery中下载量最高的前六个容器映像的下载量超过130亿次，因此其中的任何恶意注入都可能导致“失控式”感染。

研究者的分析显示，26%的Kubernetes集群至少有一个pod可以从ECR公共库中提取镜像，因此潜在影响面极大。

利用未记录的API操作

研究人员发现，ECR Public Gallery公共库有几个内部API操作，用于支持特定的命令和用户操作，但不会公开。

下面列出的其中四个API操作没有任何触发器，但它们在平台上仍然处于活动状态，因此可以调用。

DeleteImageForConvergentReplicationInternal

DeleteTagForConvergentReplicationInternal

PutImageForConvergentReplicationInternal

PutLayerForConvergentReplicationInternal

分析师成功找到了让恶意API请求获得通过的方法：用Amazon Cognito的临时凭证对ECR内部API进行身份验证。

当然，要使上述方法可行，请求应具有有效的JSON结构，并且由于没有这些API调用的文档，因此推断它需要进行一些实验。

在Lightspin报告提供的概念验证示例中，该请求使用“DeleteImage”API调用以及公开可用的存储库和镜像ID来擦除研究人员上传的公开镜像。

研究人员将漏洞利用步骤编写到Python脚本中，可以自动滥用未记录的API来攻击公共镜像。

亚马逊的回应

亚马逊告诉BleepingComputer，他们立即修复了Lightspin发现的问题，内部调查没有发现恶意行为者利用的迹象。

根据日志分析，亚马逊表示确信没有客户帐户或其他资产受到损害。

亚马逊的完整声明如下：

2022年11月14日，一位安全研究人员报告了Amazon Elastic容器注册表（ECR）公共库中的问题，这是一个用于查找和共享公共容器镜像的公共网站。研究人员确定了一个ECR API操作，如果调用该操作，则可以修改或删除ECR公共库上可用的镜像。

截至2022年11月15日，亚马逊已修复该问题。我们对所有日志进行了详尽的分析。我们相信我们的审查是决定性的，与这个问题相关的唯一活动是研究人员拥有的账户，没有其他客户的帐户受到影响，也不需要客户执行任何操作。我们要感谢Lightspin报告此问题。

与此同时，幕后肇事的黑客正在通过FBI InfraGard在线门户直接与成员交流——使用一个新账户，假冒金融行业CEO的身份，该身份是经过FBI审查的。

相对较新的网络犯罪论坛Breached推出的这个重磅炸弹的新销售项目引起了安全研究人员的关注。黑客还提供了样本数据来验证他们的说法，其中包含InfraGard成员的各种个人信息，包括：全名、电子邮件地址、就业详情、就业行业、社交媒体USERID等。

InfraGard是美国联邦调查局(FBI)运行的一个项目，旨在与私营部门建立网络和物理威胁信息共享伙伴关系，FBI的InfraGard计划应该是经过审查的名人录，其中涉及管理国家大部分关键基础设施（包括饮用水和电力公用事业、通信和金融服务公司、运输公司）的公司和制造公司、医疗保健供应商和核能公司的网络和物理安全的私营部门关键人物。

InfraGard成立于1996 年，是FBI国家基础设施保护中心 (NIPC) 和信息系统安全协会 (ISSA) 的联合倡议。InfraGard提供对安全电子邮件系统、安全数据存储平台、基于网络的漏洞评估工具、密码管理解决方案和其他安全服务的访问。此外，InfraGard还提供有关网络安全最佳实践和新兴威胁等主题的教育研讨会。这些研讨会向所有部门的成员开放，帮助他们了解当前的安全趋势。InfraGard还提供资源，用于在潜在的网络犯罪受害者或可疑活动成为重大问题之前识别它们。

“InfraGard将关键基础设施所有者、运营商和利益相关者与FBI联系起来，以提供有关安全威胁和风险的教育、网络和信息共享，”FBI的InfraGard情况说明书写道。

KrebsOnSecurity联系了InfraGard数据库的卖家，一位Breached论坛成员，用户名是“USDoD”，头像是美国国防部的印章。

“USDoD”关于Breached论坛的InfraGard销售线索。

“USDoD”表示，他们通过使用极有可能获得InfraGard会员资格的公司首席执行官的姓名、社会安全号码、出生日期和其他个人详细信息申请一个新帐户，从而获得了对FBI InfraGard系统的访问权限。

这位首席执行官——目前是一家对大多数美国人的信用有直接影响的大型美国金融公司的负责人——没有回应置评请求。

“USDoD”告诉KrebsOnSecurity，他们的虚假申请是在11月以首席执行官的名义提交的，该申请包括他们控制的联系电子邮件地址——以及首席执行官的真实手机号码。

“当你注册时，他们说要获得批准至少需要三个月，”美“USDoD”说。“我没想到会被批准[d]。”

但“USDoD”表示，在12月初，他们以CEO名义的电子邮件地址收到了一封回复，称申请已获批准（见右侧的编辑截图）。虽然FBI的InfraGard系统默认需要多重身份验证，但用户可以选择通过短信或电子邮件接收一次性代码。

“如果只是手机问题，我的处境就会很糟糕，”“USDoD”说。“因为我使用了我正在冒充的人的电话。”

“USDoD”表示，InfraGard用户数据可通过应用程序编程接口(API)轻松获取，该接口内置于网站的几个关键组件中，可帮助InfraGard 成员相互连接和通信。

“USDoD”表示，在他们的InfraGard会员资格获得批准后，他们要求一位朋友用Python编写脚本来查询该API并检索所有可用的 InfraGard用户数据。

“InfraGard是面向知名人士的社交媒体情报中心，”“USDoD”表示。“他们甚至有论坛来讨论事情。”

KrebsOnSecurity与FBI分享了一些可能有助于隔离冒名顶替者InfraGard帐户的屏幕截图和其他数据，但该机构拒绝就此事发表评论。

为了证明截至周二（当地时间12月13日）晚上发布时间他们仍然可以访问InfraGard，“USDoD”通过InfraGard的消息系统向一名 InfraGard成员发送了一条直接说明，该成员的个人详细信息最初作为预告片发布在数据库销售项目上。

这位InfraGard成员是美国一家大型科技公司的安全负责人，他确认收到了“USDoD”的消息，但要求对此事保持匿名。

“USDoD”承认，他们对InfraGard数据库的50,000美元要价可能有点高，因为这是一个相当基本的名单，这些人已经非常注重安全。此外，只有大约一半的用户帐户包含电子邮件地址，而大多数其他数据库字段（如社会安全号码和出生日期）完全是空的。

“我不认为有人会支付那个价格，但我必须[定价]高一点才能[协商]我想要的价格，”他们解释道。

尽管InfraGard渗透所暴露的数据可能很少，但用户数据可能并不是入侵者真正的最终目标。

“USDoD”表示，他们希望冒名顶替的账户能持续足够长的时间，让他们能够以CEO的身份使用InfraGuard消息门户向其他高管发送直接消息。“USDoD”分享了以下经过编辑的屏幕截图，他们声称这是一条这样的消息，尽管他们没有提供更多相关信息。

“USDoD”共享的屏幕截图显示了FBI InfraGard系统中的消息线程。

“USDoD”在他们的销售线索中表示，交易的担保人将是网络犯罪论坛Breached的管理员Pompompurin。通过论坛管理员的托管服务购买数据库，潜在买家理论上可以避免上当受骗，并确保在资金交换之前交易双方都满意地完成。

多年来，Pompompurin一直是FBI的眼中钉。他们的Breached论坛被广泛认为是RaidForums的第二个化身，RaidForums是一个非常相似的英语网络犯罪论坛，于4月被美国司法部关闭。在被FBI渗透之前，RaidForums出售了超过100亿条在世界上一些最大的数据泄露事件中被盗的消费者记录。

2021年11月，KrebsOnSecurity详细介绍了Pompompurin如何滥用FBI在线门户中的一个漏洞，该门户旨在与州和地方执法机构共享信息，以及该访问权限如何被用来爆出数以千计的恶作剧电子邮件消息——所有这些消息都是从FBI电子邮件和互联网地址。

后续进展及影响持续跟踪中！

EPM向当地媒体透露 ，他们正在应对一起网络安全事件，并为客户提供了支付服务费用的替代方法。检察官办公室后来向EL COLOMBIANO证实勒索软件是EPM网络攻击的幕后黑手，导致设备被加密和数据被盗。但是，没有透露攻击背后的勒索软件操作。

调查机构承认其对该国网络攻击增加的担忧。两周多前，EPS Sanitas——在该国拥有近500万分支机构——遭受了对其技术基础设施的攻击，至今仍未恢复；他们的大部分在线服务仍处于关闭状态。显然，黑客保留了重要的患者信息，例如医疗记录。

同一个检察官办公室证实，网络犯罪分子要求获得赎金，以换取释放所扣押和加密的信息。负责打击计算机犯罪专门委员会的埃德娜·帕特里夏·卡布雷拉 (Edna Patricia Cabrera) 告诉EL COLOMBIANO，就EPM攻击事件而言，被破坏的信息显然不包含客户数据，而是包含公司的运营和内部动态。但专门从事此类犯罪的 Mucho Hacker门户网站发布的屏幕截图将证明存在有关员工和财务信息的私人数据，例如有关付款、预算、报告、报告和银行文件的数据。检察官办公室估计，从EPM窃取信息的规模将达 15 T。

EPM总经理豪尔赫·安德烈斯·卡里略 (Jorge Andrés Carrillo) 于同一周二（13日）签署的一项法令中，在对勒索软件的影响及其可能对组织运营产生的影响进行了初步分析后，将情况上报给了总公司。该文件还向新业务、创新和技术执行副总裁Darío Amar Flórez提供了50亿美元，以便他可以签订合同和协议，以支持和关注“网络安全事件”。

攻击事件背后的BlackCat勒索软件

Bleeping Computer目前了解到该事件与BlackCat勒索软件有关，BlackCat又名 ALPHV，应该是本次攻击的幕后黑手，声称在攻击期间窃取了公司数据。Bleeping Computer还看到了来自EPM 攻击的加密器样本和赎金记录，并确认它们来自BlackCat勒索软件操作。

虽然在攻击中创建的赎金票据指出威胁行为者窃取了各种各样的数据，但应该注意的是，这是所有BlackCat勒索票据中使用的确切文本，并非特定于EPM。

然而，进一步的发现表明，黑客可能在攻击期间从EPM窃取了大量数据。

智利安全研究员Germán Fernández发现了BlackCat 的“ExMatter”数据窃取工具的最新样本，该样本是从哥伦比亚上传到恶意软件分析站点的。

ExMatter是BlackCat勒索软件攻击中使用的一种工具，可在设备加密之前从公司网络中窃取数据。这些数据随后被用作勒索软件团伙双重勒索企图的一部分。

当该工具运行时，它会从网络上的设备窃取数据，并将其存储在攻击者控制的服务器上的文件夹中，该文件夹以被盗的Windows计算机名称命名。

在分析ExMatter工具时，Fernández发现它将数据上传到安全性不够的远程服务器，允许任何访问者查看存储在其上的数据。

在来自哥伦比亚的ExMatter变体中，数据被上传到以“EPM-”开头的各种文件夹中，如下所示。Fernández 告诉Bleeping Computer，这些计算机名称与Empresas Públicas de Medellín使用的已知计算机命名格式相匹配。

虽然目前还不清楚总共有多少数据被盗，但Fernández告诉 Bleeping Computer，网站上列出了40多台设备。Bleeping Computer已联系EPM以了解有关此次攻击的更多信息以及有多少数据被盗，但并未立即得到回应。

这不是第一次针对哥伦比亚能源公司的勒索软件攻击。2020年,Enel集团 同年两次遭受勒索软件攻击。

在过去几个月里，哥伦比亚的袭击事件也有所增加，该国的医疗保健系统上个月因 跨国医疗保健组织Keralty遭到RansomHouse攻击而中断。

阿里云官网12月18日下午更新处理进展称，经排查，阿里云香港地域故障确认系香港PCCW机房制冷设备故障所致，影响香港地域可用区C的云服务器ECS、云数据库、存储产品（对象存储、表格存储等）、云网络产品（全球加速、NAT网关、VPN网关等）等云产品使用。

阿里云称，这一故障也影响了香港地域控制台访问和API调用操作，事故发生后、阿里云工程师配合PCCW机房工程师加速处理，部分制冷设备正在恢复中。

据南都报道，截至 12 月 18 日下午 6 时许，澳门一些受影响的网站已可正常打开访问，不过当地一些传媒应用程序尚无法登录。

阿里云宕机影响最为严重的当属各大加密货币交易所。知名交易平台“Gate.io”发布公告表示，受运营商部分网络节点维护影响，充提服务将出现延缓。

加密货币交易所OKX部分用户无法提领，帐户更显示资金归零，OKX称，服务器供应商阿里云出现技术故障，导致交易所部分功能出现问题。

根据最新的更新进展显示，目前阿里云所租用的香港电讯盈科公司机房已修复制冷设备故障，阿里云香港地域所有可用区云产品功能正在陆续恢复正常。对于受本次故障影响的产品，阿里云将根据相关产品的SLA协议进行赔付。

了解到，微软将发现的这个 macOS 漏洞称之为“Achilles”，并通过“Coordinated Vulnerability Disclosure”将其告知给了苹果公司。该漏洞允许攻击者绕过苹果的 Gatekeeper 安全机制，在 Mac 设备上植入任意恶意软件。

微软在最近的一篇文章中详细介绍了如何发现该漏洞以及此类问题的影响。这些细节对安全专家和研究人员很有用。微软在博文中表示：“Gatekeeper 在阻止 macOS 恶意软件方面发挥重要作用，但是它并非是绝对安全的”。

“中国移动高度重视客户个人信息保护，将按照《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等有关法律规定，自12月13日0时‘通信行程卡’服务下线后，同步删除用户行程相关数据，依法保障个人信息安全。”中国移动方面回复广州日报全媒体记者表示。

12月12日晚，中国联通微信号发布的《关于删除用户通信行程卡相关数据的通告》称，中国联通高度重视客户个人信息保护，将按照《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等有关法律规定，自12月13日0时“通信行程卡”服务下线后，同步删除用户行程相关数据，依法保障个人信息安全。

同时，中国电信方面对记者表示，按照《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等有关法律规定，“通信行程卡”系统自12月13日0时下线相关服务后，将同步删除用户行程相关全部数据，依法保障个人信息安全。

“通信行程卡”是中国信通院在工业和信息化部的指导下，与三大电信运营企业利用大数据技术共同推出的，为全国手机用户免费提供行程查询服务。2020年2月13日，“通信行程卡”推出短信查询服务，2月29日，网页版查询服务上线，3月6日小程序上线，4月21日行程卡APP1.0上线，4月30日行程卡APP2.0上线。

同时，记者注意到，今年6月底，通信行程卡取消通信行程卡“星号”标记。2022年7月8日，“通信行程卡”查询结果的覆盖时间范围由“14天”调整为“7 天”。

从 Palo Alto Networks Unit 42 分享的数据分析结果来看，除教育机构外，Vice Society 其它攻击目标主要涉及医疗保健、政府、制造业、零售业和法律服务业等领域。

2022 年，Vice Society 100 多个受害者中，美国报告了 35 例，其次是英国 18例，西班牙 7 例，巴西和法国各 6 例，德国和意大利各 4例，澳大利亚 3 例，如此多攻击事件使其成为最具影响力的勒索软件团伙之一。

自 2021 年 5 月开始活跃以来，Vice Society 与其它勒索软件团队主要区别在于其不使用自己的勒索软件变体，而是依赖于地下论坛上出售的 HelloKitty 和 Zeppelin 等预先存在的勒索程序二进制文件。微软曾以 DEV-0832 的名义追踪过该组织活动轨迹，发现在某些情况下，Vice Society 尽量避免部署勒索软件直接勒索，而是利用窃取的数据进行勒索。

根据 Unit 42 的研究结果，Vice Society 一般会在受害者系统环境中“潜伏”时间 6 天左右，最初要求的赎金往往不会超过100万美元，在与受害者谈判后可能还会下降 60%左右。

最后，Umit 42 研究员 JR Gumarin 强调，网络安全能力有限、资源有限的教育机构往往最容易受到网络威胁，正在成为勒索软件组织的潜在目标。

2022年4月，南充市公安局顺庆区分局网安大队民警在工作中发现，男子杨某利用境外聊天软件（Telegram）贩卖某市社保查询信息系统漏洞及侵入教程。通过这些漏洞和教程，犯罪分子能轻松绕过系统安全保护，通过链路授权访问省级社保系统，进而非法获取省级社保系统用户的全量数据。

发现该线索后，顺庆公安分局网安大队立即向南充市公安局网安支队报告，由南充市公安局抽调全市网安部门精干警力成立专案组，开展网安行政执法和案件侦查工作。由于该案件侵犯对象广，社会危害严重，被公安部挂牌督办。

民警调查发现，犯罪嫌疑杨某先后通过“Telegram”聊天软件建立“普通查询”和“高级查询”两个聊天群，吸纳群成员2200余人，并将其从四川、广东、广西等地信息系统非法获取的100余万条公民个人信息和300余个系统漏洞发布至群内，用于交易牟利。其中，杨某非法获取的公民个人信息、数据种类繁多，涉及姓名、性别、社会保障号、联系方式、联系地址、发卡地行政区划代码、社保卡号、卡状态、发卡银行、银行卡号等众多信息。

2022年6月，犯罪嫌疑人杨某被公安机关抓获归案。在四川省公安厅网安总队的指导下，南充警方组织全市网安部门发起集群作战，着手对该案实施全链条打击，成功锁定四川、河南等地涉嫌非法侵入计算机信息系统获取公民个人信息的9家“网络催收”公司。

在前期充分的摸排和侦查下，南充警方对四川、河南两省三市的15个犯罪窝点开展收网行动，挡获涉案人员256名，采取刑事强制措施121人。查扣涉案电脑124台、手机227部、移动存储介质24个、服务器4台；查获国内社保、疫苗、公积金等各类信息系统平台漏洞300余个，相关入侵教程10余个。

目前，该案已移送检察机关审查起诉。

这个臭名昭著的勒索组织周一在其暗网泄露网站上发布了一批Intersport数据，并威胁说除非零售商支付勒索费，否则将泄露更多数据。

据法国《世界报》报道，黑客攻击包括法国北部商店的Intersport员工的护照信息、他们的工资单、其他商店的离职和在职员工名单，以及社会保险号码。

La Voix Du Nord报道说，黑客攻击发生在 "黑色星期五 "销售期间，使员工无法进入收银系统，迫使商店进行人工操作。

美国联邦政府在11月底表示，Hive已经袭击了全球1300多家公司，收取了约1亿美元的赎金。该组织使用各种方法来获得访问权，利用缺乏多因素认证的目标，访问远程桌面协议、VPN或其他远程网络连接协议。

同时也有利用含有恶意附件的钓鱼邮件，利用Microosft Exchange服务器的漏洞。绕过了多因素认证，通过利用CVE-2020-12812（Fortinet操作系统中现已修补的不当认证漏洞）获得了对FortiOS服务器的访问。

此次攻击正是通过这些途径导致该零售商员工数据泄露。Intersport是一家瑞士公司在全球有5800家分店，其中780家位于法国。目前该公司对此事还没有做出任何回应。

丹麦国防部说，网站遭到所谓分布式拒绝服务（DDoS）的攻击。这种攻击方式将大量流量引向目标服务器，目的是让服务器下线。

丹麦国防部在推特上说：“目前，除了无法访问门户网站之外，其他影响尚未发现，因此没有对国防部造成行动上的影响。

服务中断影响到当地市民、学校、日托中心和警署所使用的服务。截至目前，各项服务仍处于时断时续的不稳定状态。

资料显示，安特卫普市是比利时面积最大、人口最多的城市。

电子邮件和电话系统均已中断

针对这起事件的调查正在进行中。从已公布的少量信息来看，造成服务中断的应该是勒索软件攻击，但幕后黑手是谁尚不明确。

据比利时媒体《Het Laatste Nieuws》（简称HLN）报道，黑客实际是破坏了为城市提供管理软件的数字合作伙伴Digipolis的服务器，由此导致安特卫普的政务系统陷入瘫痪。

HLN还提到，几乎所有Widows应用程序都受到了影响。

一些部门的电话服务无法正常使用。维尔莱克区议员Alexandrad’Archambeau早些时候评论称，该市的电子邮件服务也出现了故障。

比利时媒体《德斯坦达德报》（De Standaard）报道称，他们已经收到消息，造成事故的元凶正是勒索软件，但攻击者身份尚未确定。

事件还影响到该市的预订系统，服务中断导致人们无法正常领取身份证。截至目前，只有出行卡还可正常使用。

护理中心亦受到影响

受攻击影响的其他机构还包括安特卫普医疗保健公司（Zorgbedrijf Antwerpen），这是一家专为省内老年人提供住宿护理服务的组织。

该公司总经理Johan De Muynck表示，此次攻击导致用于跟踪患者治疗用药记录的软件无法工作。

为此，18个住宿护理中心的工作人员被迫改用纸笔记录，并依靠传统的纸质处方为老年患者们开药。

De Muynck表示，“现在，医生们只能重新签署处方，再把纸质处方送至药房。虽然文书工作量极大，但至少保证了患者们当天内就能拿到药品。估计明天早上，自动系统就会恢复运行。”

De Muynck补充道，好在数据库并未受到攻击影响，所以民众的个人信息仍然安全无忧。

目前还不清楚安特卫普市的IT系统何时才能完全恢复正常。该市市长表示，事件造成的影响可能持续到12月底。

尽管警察和消防部门也受到一定影响，但各项应急服务仍可正常运行。

一周多之前，Ragnar Locker勒索软件团伙刚刚泄露了从安特卫普省兹韦恩德雷赫特地方警局窃取到的数据。

比利时媒体将此事报道为该国最严重的公共服务信息失窃之一。据报道，团伙泄露的缓存数据包含过去16年间的车牌信息、犯罪报告文件、调查报告和罚款记录。

VTB表示，其内部分析表明DDoS攻击是精心策划的，目的是通过中断其银行服务给客户带来不便。

目前，VTB的在线门户网站处于离线状态，但所有核心银行服务都正常运行。VTB还表示，客户数据受到保护，因为它存储在其基础设施的内部边界，没有遭到攻击者破坏。

该银行表示，它已经确定大多数恶意DDoS请求来自国外，但是攻击中也涉及几个俄罗斯IP地址。

这意味着外国攻击者要么使用当地代理进行攻击，要么设法在其DDoS活动中招募当地持不同政见者。

有关这些IP地址的信息已转发给俄罗斯执法当局进行刑事调查。

VTB 61%的股份国有，俄罗斯财政部和经济发展部在该集团中占有一席之地，因此这些袭击具有政治色彩，是对俄罗斯政府的间接打击。

“乌克兰IT军队”声称对攻击负责

亲乌克兰的黑客组织“乌克兰IT军队”声称对针对VTB的DDoS攻击负责，并于11月底在Telegram上宣布了该活动。

这个特殊的黑客行动主义团体是在乌克兰政府的官方支持下于2022年2月成立的，试图加强该国的网络战线。

在VTB之前，“乌克兰IT军队”发动的造成业务中断的网络攻击包括伏特加生产商和分销商的门户网站以及俄罗斯航空航天和国防集团Rostec的网站。

亲乌克兰的黑客行动主义者在11月非常活跃，针对900多个俄罗斯实体，包括销售军事装备和无人机的商店、俄罗斯中央银行、国家人工智能发展中心和阿尔法银行。

法国卫生部表示，凡尔赛医院中心目前已经陷入无计算机系统可用的困境，该医疗综合体旗下有两所医院与一家养老院。

6名患者中，3名转移患者来自重症监护室，另外3名则来自新生儿病房。法国卫生部长弗朗索瓦·布劳恩 (Francois Braun)周日警告称，此次攻击后可能还有更多患者需要被转移至其他位置，并导致“医院进行了全面组织调整”。

这位部长在推特上表示，“这种以法国民众健康为要挟的行为不可接受……我们正在动员一切专业人员，确保给予患者护理和照料。”

虽然医院内部重症监护室的关键设备仍在运行，但由于内部网络故障再加上员工人手不足，已经无法单独监控各设备发回的生命体征。

巴黎检察官已经对这起所谓“勒索未遂”案件展开初步调查。

近几月法国医疗机构频遭网络攻击

布劳恩表示，近几个月来，包括凡尔赛医院中心在内，法国的医疗保健服务机构“每天都会遭到攻击”。不过其中“绝大多数”攻击都被成功阻止。

今年8月，巴黎另一家医院Center Hospitalier Sud Francilien也遭到勒索软件攻击，经过数周时间才得以恢复。

该医院雇员和患者的敏感数据被勒索团伙发布至其官方主页。法国警方已将此次攻击的幕后黑手归因于LockBit勒索软件团伙。

针对本次攻击，外媒The Record已经联系卫生部、法国国家网络安全机构国家信息系统安全局（ANSSI）并提出置评请求。

就在攻击前不久，上任已有八年九个月的法国国家信息系统安全局局长Guillaume Poupard宣布即将离职。

GX Works3是一种用于 ICS 环境的工程软件，能够从控制器上传和下载程序、排除软硬件故障以及执行相应的操作维护。由于功能广泛，使得该软件平台成为攻击者的一个强有力的”集火“目标，攻击者希望破坏此类系统以控制受管理的 PLC。

在CISA揭露的10个缺陷中，有 3 个涉及敏感数据的明文存储，4 个涉及使用硬编码加密密钥，2 个涉及使用硬编码密码，1 个涉及凭证保护不足。最严重的漏洞CVE-2022-25164和CVE-2022-29830的 CVSS 评分高达 9.1，可在无需任何权限的情况下被滥用，以获取对 CPU 模块的访问权限并获取有关项目文件的信息。

三菱表示，工程软件是工业控制器安全链中的一个关键组成部分，如果其中出现任何漏洞，对手可能会滥用它们最终危及托管设备，从而危及受监管的工业过程。

CISA也提到了一个CVSS 评分为8.6的MELSEC iQ-R 系列中的拒绝服务 (DoS) 漏洞信息，并指出由于缺乏适当的输入验证，成功利用此漏洞可能允许未经身份验证的远程攻击者通过发送特制数据包，在目标产品上造成拒绝服务。

缓解措施

三菱已经宣布相关补丁将在不久之后发布，在此之前建议应用以下缓解措施：

尽可能限制不受信任方访问安全 CPU 项目文件；

在传输和静止时充分保护安全 CPU 项目文件（例如通过加密）；

更改安全 CPU 模块上设置的所有弱密码；

切勿重复使用相同的凭据打开安全 CPU 项目文件和访问安全 CPU 模块。

此次漏洞披露凸显出现代汽车联网系统的又一缺陷，特别是那些同时接入司机手机端、持续收集用户数据的车辆跟踪及定位系统。事实上，这种技术已经被美国联邦执法机构所使用。目前移民和边境警察正在加大技术工具的采购力度，希望借此从上万种不同车型中提取大量数据，比如密码、地理位置等。

汽车数据取证成 执法人员办案利器

美国移民和边境警察越来越重视从汽车中收集关于潜在犯罪活动的大量证据。有时候，从车上获取的证据往往远超手机数据、而且获取难度也更低。法院文件和政府合同记录显示，负责监控墨西哥边境的移民管理机构在汽车黑客工具上的开支创下历史纪录，也确实从车载计算机中获得了大量有价值证据。与此同时，隐私倡导者则发出警告，称现代汽车堪称“车轮上的监控探头”。

在最近对墨西哥边境一辆2019款道奇“战马”汽车的搜查中，一名巡逻警员写道，负责提供GPS、远程控制和娱乐功能的信息娱乐系统对政府调查人员特别有价值。他们可以从中获取关于嫌疑人位置、电子邮件地址、IP地址和电话号码等信息，“跟踪不具备合法身份的非公民进入美国、及在美国各地的往来/移动”。其甚至可以体现“账户使用者的情绪，包括对所调查犯罪行为的了解、动机和自愿性”。

巡逻警员还提到，信息娱乐系统还会暴露用户密码，但没有提供具体细节。今年10月，密苏里州酒精、烟草、火器和爆炸物管理局（ATF）提交的一份搜查令中也做出类似的表述，但同样未做细节解释。当时他们试图从一辆2022款福特F-150上收集信息。尽管缺乏确凿的证据，但可以认定这种风险真实存在：之前曾有报道称，特斯拉的信息娱乐系统就会存储Wi-Fi密码和Spotify密码。

另外，ATF调查人员详细介绍了车载计算机如何“设计并存储大量数据”，并且“有望在无需访问手机本身的情况下，通过与车载系统的连接记录恢复大量手机信息。”调查员们还提到，使用这种数字技术能够入侵多种主流车型，包括“宝马、别克、凯迪拉克、雪佛兰、克莱斯勒、道奇、菲亚特、福特、GMC、悍马、吉普、林肯、玛莎拉蒂、梅赛德斯、水星、庞蒂亚克、公羊、土星、丰田和大众等品牌的超10000款车型。”

黑客或警方也能从汽车上获得多种公开信息。网络安全研究员Curry向媒体证实，只要在车身看一眼VIN码，就能查询到大量相关信息，这也凸显出VIN码公开的“可怕后果”。他补充道，“我们在多家汽车公司的产品中发现了很多不同功能和汽车信息条目，全都可以用VIN码进行查询。”

美国执法机构采购汽车取证 预算创历史纪录

为了从被扣押的汽车身上获取有用数据，美国海关及边境保护局、移民海关执法局今年在汽车取证技术身上花掉了创纪录的预算，供应商则是总部位于马里兰州的行业龙头公司Berla。其iVe工具能够从车辆中挖掘数据，供当地/联邦执法部门以及军事机构使用。

根据政府合同记录，今年8月，海关及边境保护局在iVe上的花费超过38万美元，几乎是过去两年来最大单笔采购金额（5万美元）的8倍。移民海关执法局自2010年以来也一直在采购Berla工具和培训服务，今年9月更是在iVe身上花掉了50万美元，超过之前单笔采购纪录20万美元的两倍。在2022年5月的一份合同中，海关及边境保护局还特别要求Berla提供“车载信息娱乐系统取证工具、许可证和培训服务”。

在警方深入调查现代汽车中的大量个人信息时，隐私保护组织们对此深感忧心。今年10月，监控技术监督项目（S.T.O.P.）发布一份报告，警告称“从汽车上收集到的数据比手机数据更详细，并且获取车载数据的法律和技术门槛反而更低。”

S.T.O.P.研究主管Eleni Manis认为，海关及边境保护局和移民海关执法局正在“将汽车数据武器化”。

她总结道，“Berla设备让海关及边境保护局和移民海关执法局能够对乘客的生活开展全面搜查，包括轻松访问汽车的历史位置记录、常去的地方，乘客的家人和社交联系人、彼此间的通话记录，甚至是社交媒体使用概况等。虽然我们还不知道海关及边境保护局和移民海关执法局具体入侵了多少辆汽车，但可以肯定的是几乎每辆新车都可能受到攻击。”

截至本文发布时，海关及边境保护局与移民海关执法局均未回应置评请求。

这两个APP的名称是MyHyundai 和 MyGenesis，允许经过身份验证的用户启动、停止、锁定和解锁他们的车辆，可进一步提升车主的使用体验。

根据网络安全研究人员Sam Curry的说法，原本现代和捷尼赛思汽车的APP仅向授权用户提供车辆的控制权限，但是，该APP与授权服务器的通信之间存在一个严重的安全漏洞，导致攻击者可以轻易取得相应的权限。

Sam Curry在社交平台发文称，“我们注意到服务器不要求用户确认他们的电子邮件地址，此外还有一个非常松散的正则表达式，允许在您的电子邮件中使用控制字符。”

在深入研究绕过身份验证的可能方法后，Sam Curry和他的团队发现，在注册过程中，只需要在现有受害者电子邮件的末尾添加CRLF字符，攻击者就可以使用现有的电子邮件注册一个新帐户。

而这个新帐户将获得一个JSON网络令牌 (JWT)，该令牌与服务器中的合法电子邮件相匹配，从而授予攻击者对目标车辆的访问权限。

Sam Curry发布消息称，“我们目前在确认，是否可以使用被篡改的 JWT 执行解锁或启动汽车等实际操作，如果真的可以做到这一点，那么将有可能全面接管所有远程启动的现代汽车和捷尼赛思汽车。

随后，有安全研究人员利用他们手里的一辆现代汽车来测试该漏洞。最终结果显示，使用受害者的电子邮件地址并添加 CRLF 字符，就可以让他们远程解锁链接了相应电子邮件地址的车辆。

有消息称，某些黑客团队也盯上了这个漏洞，甚至开发了一个python 脚本，只需要获取受害者的电子邮件地址，即可执行车辆上的所有命令，甚至接管车主的帐户。

目前，该漏洞已经报告给现代汽车公司，并且已经得到修复。在发布的公告中，现代汽车表示，经过调查后并未发现该漏洞被黑客利用了。

现代声称该公司调查了这个问题，并没有发现该漏洞在野外被利用，并强调利用该漏洞条件苛刻，“需要知道与特定现代汽车帐户和车辆相关的电子邮件地址，以及研究人员使用的特定网络脚本。”

而这似乎与目前不少安全人员发布的内容不太相符。

Yuga Labs公司的分析师称，只需要知道目标车辆识别号 (VIN)，就有可能向端点发送伪造的 HTTP 请求，从而顺利利用该漏洞。

在实际情况中，车辆VIN 很容易在停放的汽车上获取，通常在仪表板与挡风玻璃相接的板上可见，攻击者可以轻松访问它。这些识别号码也可以在专门的汽车销售网站上找到，供潜在买家查看车辆的历史记录。

近年来，智能汽车产业正处于快速发展期，越来越多的安全专家们也开始将研究重点放在汽车攻击领域，发现了不少重量级汽车网络安全漏洞，包括远程解锁、启动、停止车辆等，成功向外界展示，攻击者是如何破坏车辆中的各种组件，涉及多个主流汽车品牌。

也正因为如此，汽车厂商们应进一步加大对网络安全的重视程度，并真切投入资源改善这种不安去的状况。汽车作为一个私密、封闭的个人空间，其安全性的重要性毋庸置疑，也是车主们选择汽车的重要衡量因素。

这个安全漏洞的关键就是平台证书。谷歌员工和恶意软件逆向工程师卢卡兹・塞维尔斯基（Łukasz Siewierski）率先发现了这个证书问题，他表示这些证书或签名密钥决定了设备上安卓版本的合法性。供应商也使用这些证书来签署应用程序。

虽然安卓系统在安装时为每个应用程序分配了一个独特的用户 ID（UID），但共享签名密钥的应用程序也可以有一个共享的 UID，并可以访问对方的数据。而通过这种设计，与操作系统本身使用相同证书签署的应用程序也能获得同样的特权。

而问题的关键是，部分 OEM 厂商的安卓平台证书泄露给了错误的人。这些证书现在被滥用于签署恶意应用程序，使其具有与安卓系统相同的权限。这些应用程序可以在受影响的设备上可以不和用户交互，直接获得系统级权限。因此安卓设备一旦感染，就能在用户不知情的情况下获取所有数据。

CVE-2022-0543是Redis（远程字典服务器）软件中的一个关键漏洞，具有非常高的威胁性。它在2022年2月被发现并修复。修复几个月后，仍有攻击者继续在未打补丁的机器上利用它。针对于此漏洞的恶意软件的名称Redigo则是由它的目标机器和构建它的编程语言创造的。

今天，AquaSec报告说，其易受CVE-2022-0543影响的Redis蜜罐捕获了一个新的恶意软件，该恶意软件并没有被Virus Total上的安全软件检测到。

Redigo攻击

AquaSec说，Redigo攻击从6379端口的扫描开始，以定位暴露在开放网络上的Redis服务器。找到目标端点后，atacker连接并运行以下命令:

INFO - 检查Redis的版本，以确定服务器是否有CVE-2022-0543的漏洞。

SLAVEOF - 创建一个攻击服务器的副本。

REPLCONF - 配置从攻击服务器到新创建副本的连接。

PSYNC - 启动复制流并下载服务器磁盘上的共享库 "exp_lin.so"。

MODULE LOAD - 从下载的动态库中加载模块，该模块能够执行任意命令并利用CVE-2022-0543。

SLAVEOF NO ONE - 将有漏洞的Redis服务器转变成主服务器。

利用植入后门的命令执行能力，攻击者收集主机的硬件信息，然后下载Redigo（redis-1.2-SNAPSHOT）。该恶意软件在升级权限后被执行。

攻击者通过6379端口模拟正常的Redis通信，以逃避网络分析工具的检测，同时试图隐藏来自Redigo的命令和控制服务器的流量。

由于AquaSec公司蜜罐的攻击时间限制，其分析师无法确定Redigo在环境中站稳脚跟后到底做了什么。

AquaSec表示，Redigo的最终目标很可能是将易受攻击的服务器作为机器人加入网络，进行分布式拒绝服务（DDoS）攻击，或者在被攻击的系统上运行加密货币矿工。

此外，由于Redis是一个数据库，访问数据并窃取它也可能是Redigo攻击的目的。

在连续数起大规模勒索攻击事件发生后，澳大利亚政府通过了一项法案，将对数据泄露公司的处罚提高到5000万澳元。

这起发生在10月的勒索软件事件“余韵悠长”，在Medibank拒绝支付高额勒索赎金后，黑客开始陆续在暗网公开用户信息。

图片黑客最新披露的数据集以六个ZIP存档文件的形式上传，包括医疗保险赔付信息。但Medibank表示，大部分数据是零散的，与客户姓名和联系方式没有关联，被盗的个人数据本身不足以用来进行身份和财务欺诈。

The Hacker News表示，攻击Medibank的组织疑似位于俄罗斯，且很可能与REvil勒索组织有关，该组织于今年5月卷土重来。

此次黑客再度公布信息，恰逢澳大利亚信息委员会办公室（OAIC）宣布对Medibank的涉事数据处理实践进行调查。

频遭网络攻击，澳大利亚提高罚款额度

过去两个月，澳大利亚的大型企业和关键基础设施频频遭遇网络攻击，除了Medibank，澳大利亚第二大电信供应商澳都斯（Optus）也遭遇网络攻击，1000万名客户的账户受影响。零售公司伍尔沃斯（Woolworths）的打折购物网站也遭攻击，数百万客户个人信息泄露。

路透社此前曾报道，澳大利亚政府11月4日发布的一份报告显示，上个财年，澳大利亚境内的网络攻击数量激增，“平均每七分钟一次”。

这些大型数据泄露事件促使澳大利亚政府通过新的法案。11月30日，澳大利亚政府通过了一项法案《2022年隐私立法修正案（执行和其他措施）法案》，显著增加了对遭受严重数据泄露或反复数据泄露公司的处罚。

新法案规定，最高罚款从目前的222万澳元提高到5000万澳元，相当于一家实体企业在相关时期调整后营业额的30%，或者通过滥用信息获利的三倍，以两者中最高者为准。

司法部长马克·德雷福斯（Mark Dreyfus）在一份声明中表示：“最近几个月发生的重大隐私泄露事件表明，现有的安全措施已经过时和不足。这些改革清楚地向企业表明，对重大数据泄露的惩罚不能再被视为经营成本。”

星链瘫痪数小时

Killnet及其黑客合作者团伙在宣言中声称，他们完成了三次“试探性的”DDoS攻击，旨在惩罚支持乌克兰的一些最关键的力量，包括马斯克的Starlink卫星宽带服务以及美国白宫和英国威尔士亲王的网站。

Killnet声称在11月18日通过DDoS攻击关闭了Starlink服务。同一天，网络安全公司Trustwave的研究人员在Reddit上发现Starlink客户抱怨他们几个小时内无法登录帐户。

Killnet在Telegram上发布消息称：“同志们久等了，对星链发动的集体DDoS攻击导致没有人可以登录Starlink。”

马斯克的星链对乌克兰军队的战场情报和指挥至关重要。11月初，黑客组织“Joker DPR”（顿涅兹克小丑）宣称成功入侵乌克兰武装部队(AFU)使用的所有军事指挥和控制程序，包括可接入北约ISR系统的美国Delta数字地图战场指挥系统。根据Joker DPR泄露的信息，该系统目前是乌克兰部队主要使用的战场指挥系统，且严重依赖星链网络提供的通讯服务。

据悉有大量黑客组织参与了Killnet围剿星链的DDoS攻击活动，包括Anonymous Russia，Msidstress，Radis，Mrai和Halva。

白宫，威尔士亲王网站被针对

除了星链，Killnet还宣称在11月17日成功地在白宫网站上实施了“30分钟的试探性攻击”。

“当然，我们希望攻击持续更长的时间，但没有考虑到请求过滤系统的强度，”Killnet补充道：“即便如此!白宫官网还是在所有人面前被搞瘫了！”

据Trustwave透露，白宫动用了军用级保护来抵御Automattic的DDoS攻击。

数日后，即11月22日，Killnet又发起了另一次DDoS攻击，这次是针对威尔士亲王的网站，并警告说英国医疗系统将是下一个目标。Killnet还威胁未来将对伦敦证券交易所，英国陆军等重要目标实施攻击。

尽管目标雄心勃勃，但Trustwave表示，Killnet及其网络犯罪团伙还不够先进，无法实施比基本DDoS攻击更高级的攻击。

“我们应该期待看到更多来自Killnet的低技能攻击，针对越来越多与俄罗斯作对的目标，”Trustwave在周二关于Killnet DDoS攻击的报告中表示：“然而，该组织的攻击力能否升级到造成损害、泄露数据或长时间瘫痪网站还有待观察。”

周四发动大规模攻击

在星链和白宫官网“小试牛刀”后，Killnet在社交网络上号召数以千计的俄罗斯黑客本周四对敌人发起大规模集体攻击（主要为网站篡改、垃圾邮件、DDoS等低技能攻击），参与攻击的黑客将得到加密货币作为奖励（下图）。

Killnet宣称本周四的第一波攻击将拿拉脱维亚开刀，因为后者宣布支持向乌克兰提供武器：

Killnet公布了拉脱维亚政府目标网站的网址和IP地址，同时还呼吁得到俄罗斯政府的支持，这表明Killnet期望能够得到类似乌克兰IT部队的官方认可和支持。

在LastPass公开承认这一数据泄露事件后，该公司进一步强调“由于LastPass采取了先进的零信任架构体系，因此客户的密码仍然被安全加密。”

但是这个保证似乎并没有让客户满意。毕竟在2022年8月，LastPass还曾公开承认，有黑客曾进入过LastPass 的内部系统，并窃取了部分源代码和敏感数据。仅仅三个月后，LastPass 就在一次出现如此严重的数据泄露事件。

公开信息显示，Lastpass是一个在线密码管理器和页面过滤器，采用了强大的加密算法，自动登录/云同步/跨平台/支持多款浏览器。该公司声称其产品有超过10万家企业、3300万人员正在使用，是全球最大的在线密码管理软件。

值得一提的是，11月发生的数据泄露事件和8月发生的源代码泄露存在关联，根据LastPass 首席执行官 Karim Toubba的说法，黑客利用了“8月事件中获得的信息" ，从而获得了对用户数据的访问。

LastPass 表示，目前公司已经聘请专业网络安全公司Mandiant调查此事件，并将此次攻击的情况和执法部门进行了汇报。

近几年，LastPass 频频传出数据、密码泄露丑闻。2021年年底，许多LastPass用户在收到LastPass登录电子邮件警告，邮件告知他们的主密码已被泄露，有人试图从未知位置登录他们的帐户。事后，LastPass回应异常登录称，暂无证据表明数据泄露，但用户并不买账，并对LastPass的安全性提出了质疑。

LastPass母公司GoTo也遭受影响

由于第三方云存储服务由LastPass及其母公司GoTo（原名LogMeIn）共享，因此此次攻击事件也影响了GoTo的开发环境和第三方云存储服务，并泄露了相应的数据。

GoTo表示，该攻击事件并未影响他们的产品和服务，并且它们仍然可以正常运行。为了更好地确保安全，GoTo公司称在袭击发生后部署了“增强的安全措施和监控能力”。

有国外媒体向 GoTo 询问事件发生的具体信息及相关后果，例如攻击发生的时间或源代码是否被盗，但尚未得到回复。

联合委员会主席玛格丽特·贝克特(Margaret Beckett)议员表示，这次介绍会旨在确定“威胁的规模和性质”。

在此之前，由英国上、下议院议员组成的联合委员会已开放证据提交通道。

预计后续听证会将进一步引入应对勒索软件攻击的证人，包括受害者及执法机构。其中一部分由委员会传唤，另一些则根据书面证据进行选择。

勒索软件威胁规模有多大？

贝克特表示，“人们似乎普遍认为，近年来勒索软件威胁正持续恶化，但总体上仍缺少能够证明威胁规模的可靠数据。”

网络安全公司NCC Group首席技术官Ollie Whitehouse、咨询公司Control Risks网络事件响应负责人Jayan Perera以及牛津大学网络安全教授Sadie Cresse三位证人，在本次介绍会上提出了以下几大要点：

针对英国组织的勒索软件攻击在实际“规模”上缺乏可见性；

尽管不清楚攻击事件的真实数量，但其他数据来源证实这确实是个普遍存在的威胁；

所谓“泄露网站”所公布的信息，并不足以体现其他未公开被盗数据的网络勒索活动；

勒索攻击事件上报的普及度不高，组织只在有明显好处时才会选择与政府和执法部门接触；

应当以仍在持续发展的网络安全科学为基础，据此探索对勒索软件的抵御之道。

会上公布了哪些证据？

在本次调查之前，英国政府已经发布过两项国家安全战略审查：第一是2021年的安全、国防、发展与外交政策综合审查，其中将勒索软件确定为“最有害的网络犯罪形式之一”；第二是今年的英国国家网络战略，其中将勒索软件描述为“英国面临的最重大网络威胁”，且“可能与国家支持的间谍活动具备同等危害”。

在听证会的开场，Ollie Whitehouse引用了美国财政部金融犯罪执法网络（FinCEN）本月早些时候发布的数据。数据显示，2021年全美勒索软件攻击和支付赎金数额均创下新纪录。

他指出，上报的事件已经由2020年的487起跃升至1489起，同比增长约300%。但2022年期间，NCC Group对勒索软件泄露网站的分析显示，受害者数量减少了7%至10%。

Jayan Perera观察到，俄乌战争似乎影响到了勒索软件即服务（RaaS）生态系统。知名勒索软件组织Conti内部的亲俄与亲乌派成员就曾发生过冲突，地缘政治争端后来导致其聊天记录泄露。

Sadie Cresse多次强调犯罪团伙的经济学原理，例如确定供应链攻击如何通过一次投入拿下多位受害者，以此获取规模经济收益。

她还指出，尽管Conti组织已经覆灭（该团伙此前曾攻击哥斯达黎加政府引发该国政治动荡），但其个人成员仍可能以新的身份继续活跃，这也体现出犯罪生态系统的内部流动性。

“隧道尽头没有光明”

英国上议院议员Baroness Crawley援引媒体报道，提到勒索软件攻击已经成为英国政府内阁办公室简报室（COBR）召开会议的主要原因。

报道称，尽管经过几个月的工作，内政部领导的勒索软件“冲刺”已经在一年前结束，但政府方面仍未采取任何切实行动以应对这一威胁。

直接负责勒索软件事务的官员表示，他们觉得隧道尽头没有光明，甚至完全感受不到有助于英国遏制这方面问题的任何希望。

Perera和Whitehouse都对政府的迟缓行动做出辩护。Creese则表示，“其实勒索软件中还涉及其他多种网络威胁类型，所以我建议把对勒索软件的担忧转化为对网络弹性的整体推进。”

受影响的宏碁笔记本电脑型号共计有五款，包括宏碁Aspire A315-22、A115-21、A315-22G、Extensa EX215-21和EX215-21G。

Martin指出，宏碁笔记本设备上的HQSwSmiDxe DXE驱动程序中发现了安全漏洞（CVE-2022-4020）。攻击者不需要用户交互即可更改 UEFI 安全启动设置，方法是修改 BootOrderSecureBootDisable NVRAM变量以禁用安全启动。

UEFI是统一可扩展固件接口（Unified Extensible Firmware Interface）的缩写，用于在加载操作系统之前启动计算机硬件。UEFI安全启动功能确保在设备启动过程中不加载恶意代码。

宏碁回应称，该漏洞确实存在，目前已修复该漏洞，并提醒用户及时更新固件。用户可在官网下载BIOS更新，并在系统中手动部署。

联想笔记本电脑早些时候也出现过类似问题，研究人员发现，ThinkBook、IdeaPad和Yoga多款笔记本电脑型号中存在类似错误，可能导致停用UEFI Secure Boot。

今年早些时候，ESET还发现超过70款联想笔记本设备安装了易受攻击的UEFI固件。UEFI固件中的缓冲区溢出漏洞允许攻击者进行任意代码执行（ACE）攻击，并禁用基本的安全功能。

据路透社，此次罚款基于2021年4月的一项调查。该调查显示，脸书约5.33亿用户的个人数据被黑客窃取，这些数据涉及106个国家，包括脸书ID、用户全名、位置、生日、个人简介以及电子邮件地址等。

对于此次数据泄露，Meta曾表示，这是由于“恶意人士”利用脸书的漏洞窃取用户个人信息，且这些数据来自2019年发生的信息泄露事件，早已过时。

11月27日，该公司重申系统漏洞已经于2019年修正。Meta发言人表示，该公司将审查此次罚款的详细情况以决定是否对罚款提起上诉。

由于信息泄露，过去15个月中，爱尔兰DPC已经对Meta及旗下社交软件WhatsApp和Instagram展开三次调查，总罚款额超过9亿美元。

其中最大一笔发生在今年9月，Meta旗下社交软件Instagram由于保护儿童数据不力，被处以4.05亿欧元罚款。这是截至目前该监管机构对Meta的最高罚单，同时也是根据欧盟《通用数据保护条例》（General Data Protection Regulation）对监管公司开出的第二高罚单，仅次于2021年7月对亚马逊处以的7.46亿欧元罚款。

值得注意的是，就在上周，WhatsApp再度陷入信息泄露“丑闻”。

数字安全调查媒体Cybernews11月24日报道称，来自84个国家的超4.87亿WhatsApp用户数据被公开售卖。不过据多家外媒报道，Meta发言人于27日否认信息泄露一事，称该说法基于“未经证实的屏幕截图”，纯属推测，Meta并没有发现任何证据可以表明WhatsApp的系统存在数据泄露。

目前，欧盟正在收紧对大型科技公司的监管，已有两项针对大型科技公司的法律通过并开始实施，分别为《数字服务法案》及《数字市场法案》，前者规范科技公司的内容审核系统，后者旨在限制科技巨头的不正当竞争行为。

除Meta外，苹果、谷歌等科技公司同样受到爱尔兰DPC的监管。路透社称，该监管机构已对上述科技公司展开40项调查。

截至11月28日美股收盘，Meta跌2.36%，报收108.78美元/股，今年以来股价已跌逾67%。

几天过去，有官员告知当地新闻媒体，政府网络、官方网站和在线服务曾在11月6日遭到“入侵”。在此之后，政府一直对攻击事件和系统恢复问题三缄其口，这招致了一些批评声音，有新闻媒体甚至将这次黑客攻击称为“我们最深处的秘密”。

居民生活和工作受到极大影响

这次网络攻击，发生在总理Alatoi Ishmael Kalsakau领导的新政府宣誓就职后的第二天。由于政务系统离线，对居住在几十个岛屿上的32万瓦努阿图民众生活造成了极大不便。

太平洋咨询公司（一家与太平洋地区各企业及政府，包括瓦努阿图政府合作的咨询公司）管理合伙人Glen Craig表示，“这里的一切都通过电子邮件运行，所以邮件系统中断引发了很多问题。包括建筑许可、居留申请以及工作许可在内，很多待处理的事务都被搁置了。”

紧急服务也受到了影响，有一条报警热线被关闭了约一周之久。政府工作人员的工资未能按时支付，部分人还表示自己难以正常纳税。

在卢甘维尔岛帮助经营百万美元景观度假村的Gilbert Fries表示，“我有个朋友没法续签驾照，另一个朋友则无法在截止日期之前为一块土地上缴财产税。”他还提到，目前港口工人已经在用纸和笔来登记进出货物。

居住在该国首都维拉港的Craig表示，虽然居民们可以亲自到政府办公室缴纳税款，但“整个缴税记录，也是以手动方式在电子表格上完成的”。

攻击者索要赎金被拒，邻国正协助恢复业务

瓦努阿图最大邻国澳大利亚的太平洋事务部长Pat Conroy上周五表示，澳方一直在帮助瓦国政府恢复正常运作。

Conroy在瓦努阿图参加区域会议时告诉记者，“我们立即提供了帮助，并派出一支团队来协助应对这次可耻的网络攻击、做出事后响应。我们正努力让该国的IT系统恢复运转。”

澳大利亚的《悉尼先驱晨报》本月报道称，黑客曾索取赎金，但瓦国政府拒绝支付。外媒通过电话、短信和邮件多次联络瓦努阿图国家首席信息官，但对方并未回复置评请求。

尽管政府“每天”都会受到网络攻击，但系统被实际攻陷的情况并不多见。新南威尔士州大学网络安全研究所主任Nigel Phair表示，“这是因为政府一般在网络安全方面都做得很好。”

Phair解释称，恶意黑客往往会瞄准政府愿意出钱保护的敏感数据。“比如说高度敏感的税务信息、社会保障或健康信息，以及总理部门经手的某些信息，犯罪分子往往能用这些数据换取更加有利的交换条件。相比之下，公园管理割草时间的IT系统的低敏感度信息则意义不大。”

多方面因素导致瓦努阿图缺乏应急计划

澳大利亚墨尔本莫纳什大学信息技术学院副院长Carsten Rudolph表示，由于人口稀少，瓦努阿图这个太平洋岛国很难养活足够应对网络安全挑战的全职政府雇员。

他解释称，“这个问题不仅跟太平洋地区的特点有关，也跟瓦国幅员辽阔、居民常因气候变化和灾害风险而迁徙等具体问题有关。总之，网络安全是一个系统性问题，必须把它跟其他问题统一起来做整体分析。”

Craig则表示，瓦努阿图政府缺乏在网络长时间中断的情况下继续维持政务的应急计划，这确实“令人失望”。他认为“有些部门表示不错，能立即在社交媒体上公布员工的备用Gmail账户。但也有些部门未作反应，导致人们根本不知道该如何与其沟通。”

Craig还提到，瓦努阿图堪称全球自然灾害最频繁、灾害风险最高的国家，受到气候变化的影响也极大。今年1月，另一太平洋国家汤加刚刚因火山喷发而陷入瘫痪，原因就是该国与世界连通的唯一海底光缆在灾害中断开。

Craig总结称，“在当今时代，对于像瓦努阿图遭遇的这类高风险事件，都应该有相应的强大系统来应对和解决。”

此次中断影响到数百位使用基础医疗保健服务的患者和医生，波及患者入院、出院和计费等系统。

AIIMS成立于1956年，拥有数千位医学本科生和研究生。该机构同时也是印度最大的国有医院之一，可容纳2200多张病床。

医院方面表示，上周三（11月23日）发生的网络攻击似乎是一起勒索软件攻击，因为黑客修改了受感染文件的扩展名。

AIIMS管理人员接受采访时表示，自上周三上午开始，其患者护理服务受到了严重影响。

由于负责记录患者数据的服务器停止工作，该机构只能转向手动操作，包括手写病患记录。中断还导致排队周期延长，应急处置工作也开始出现失误。

在经历最初几个小时的中断之后，医院方面发布一份声明，确认了网络攻击的存在。中断一直持续到次日。

一位住院医生在采访中表示，“有很多采血样本无法发送，没法进行影像学研究，也看不到之前的报告和图像。大量操作只能以手动方式完成，但这样既耗时也更容易出错。”

到上周四晚些时候，医院方面指示医生继续手写记录，包括在系统中断期间手写出生和死亡证明。

据mint报道，直到上周六，医院服务器依然受影响，相关工作继续以人工方式进行。

印度国家信息中心的一支团队正与印度计算机应急响应小组密切合作，帮助AIIMS尽快恢复系统。据一位直接了解事件的人士称，目前正努力从备份中恢复数据。

与此同时，包括中央调查局和德里警局情报整合与战略行动部在内的多个执法机构，也在着手调查这起事件的幕后黑手。警方已经就此事提出正式控告。

目前还不清楚，恶意黑客能否访问到患者的细节数据。

当你回复“TD”后，无良商家就会将你的号码认定为活跃用户，从而会给你发送更多营销短信。所以最好的解决方法是，什么都不要做。当然你也可以选择将“TD”作为关键词，通过黑名单等功能拦截。但这种做法可能会把少量有用的短信拦截。

收到垃圾短信回复TD真能退订？腾讯科普：遇到无良商家变本加厉

事实上，商家没有经过用户同意，就给用户发送营销类短信，这种做法其实是违法的。早在2015年工信部就发布了《通信短信息服务管理规定》，明确商家不得在未经用户同意的情况下发送营销短信。违反者可被处于1万以上、3万以下罚款。

据悉，这场名为“HAECHI-III”的网络犯罪打击行动开始于 2022 年 6 月 28日，在为期五个月时间里，共处理 1600多起案件，逮捕 975 名嫌疑人，冻结近 2800 个用于洗钱的银行和虚拟资产账户。

值得一提的是，逮捕嫌疑人中包括两名被韩国通缉的逃犯，这两人涉嫌参与庞氏骗局，从 2000 名受害者身上骗取近 2800 万欧元。

此外，抓捕行动还涉及到一起印度呼叫中心骗局，一群犯罪分子冒充国际刑警组织和欧洲刑警组织的官员，网络诱骗奥地利的受害者转移资金。

网络犯罪分子”通知“受害者，由于其个人身份信息被盗，其他人以他们的名义犯下了与毒品有关的罪行，恐吓受害者汇款。印度中央调查局（CBI）上月披露，大部分受害者为消除嫌疑，被迫通过银行转账、加密钱包、礼品卡代码或凭证代码将其资产/金钱转移到犯罪分子的银行账户。

此次国际刑警组织的突击行动没收印度呼叫中心骗局 25.83 比特币和不同数字钱包中约 3.7 万美元，其中一名嫌疑人银行账户中持有的 37000 美元也被冻结。

国际刑警组织指出，呼叫中心骗局导致受害者转移了总计 15.9 万美元，并缴获了骗子使用的四个加密货币钱包。

根据执法部门的说法，此次调查行动特别指出了一系列网络金融犯罪，如语音网络钓鱼、浪漫骗局、性侵犯、投资欺诈和与非法网络赌博相关的洗钱。当局强调，一些新发现的网络犯罪趋势包括各种各样的”浪漫骗局“、性侵犯以及使用加密消息应用程序推广虚假的加密钱包计划。

本周二，微软研究人员在一份分析报告中透露，他们在Boa Web Server软件中发现了一个易受攻击的开源组件，被广泛应用于一系列路由器、安保摄像头以及流行的软件开发工具包（SDK）。

尽管Boa Web Server在2005年就已停止更新，但它仍被广泛应用，并由此掀起一轮新的危机。由于Boa已经内置到物联网设备供应链的复杂构建方式，防御方其实很难缓解这一安全缺陷。

微软报告称，恶意黑客试图利用Boa Web Server的多个漏洞，包括一个高危级别的信息泄露漏洞（CVE-2021-33558）和一个任意文件访问漏洞（CVE-2017-9833）。未经身份验证的攻击者可以利用这些漏洞获取用户凭证，并远程执行代码。

“影响该组件的两个漏洞，可以让恶意黑客在发起攻击之前就收集到关于目标网络资产的信息，并获取有效凭证以访问更多未被检测到的网络。在关键基础设施网络中，恶意黑客能够在攻击之前收集未检测的信息。一旦攻击发起，黑客方就能引发更大影响，甚至可能造成数百万美元损失、破坏数百万人的正常生活。”微软表示。

微软最初发现这个易受攻击的组件，是在调查一起针对印度电网的入侵事件中。此前，美国威胁情报公司Recorded Future曾在2021年发布报告，详细介绍某个国家威胁组织正在将攻击矛头指向印度电网内的运营资产。

2022年4月，Recorded Future又发布一份报告，介绍了另一个国家支持的恶意黑客团伙。报告称，该团伙利用物联网设备在用于监视/控制物理工业系统的运营技术（OT）网络上开辟登陆点。

在此之后，微软在一周内在全球范围内发现了上百万个暴露在互联网上的Boa服务器组件。可以预见，这个易受攻击的组件很可能给整个世界带来巨大威胁。

另一个重要问题在于，由于经常被整合在流行的SDK当中，所以很多用户根本不确定自己的产品中是否存在Boa Web Server。比如Realtek SDK，这款软件开发工具包在路由器、接入点及其他网关设备制造商中得到广泛使用，而它正好包含Boa Web服务器。

由于持续观察到针对Boa漏洞的攻击，微软决定就广泛使用的各网络组件的安全缺陷发布供应链风险警报。

11月16日，一名黑客在著名黑客社区论坛上发布了一则广告，声称出售WhatsApp 2022年数据库，库内包含4.87亿用户手机号码。

公开数据显示，WhatsApp在全球拥有超过20亿月活跃用户。据称，该数据库包含84个国家的WhatsApp用户数据。威胁行动者称其中包含3200万美国用户、4500万埃及用户、3500万意大利用户、2900万沙特阿拉伯用户、2000万法国用户、2000万土耳其用户信息；还包含近1000万俄罗斯公民和1100多万英国公民的电话号码。

Cybernews的研究人员联系WhatsApp数据库卖家，得到了一份数据样本。样本中有1097个英国和817个美国用户号码。卖家没有具体说明数据库的获得方法，暗示使用了一些策略来收集数据，并保证数据库中所有号码是WhatsApp活跃用户。

WhatsApp母公司Meta对此不予置评。Meta长期以来因允许第三方收集用户数据而受到批评。通常情况下，发布在网上的大量数据转储是通过抓取获得的，此举违反了WhatsApp的服务条款。某黑客论坛上存在超过5.33亿WhatsApp用户纪录的泄露，下载数据库几乎免费。

除了WhatsApp大规模数据泄露，一份据称包含5亿领英用户资料的数据库被挂上黑客论坛出售。泄露的电话号码可能被用于广告营销、网络钓鱼、假冒和欺诈。

“在这个时代，我们都留下了庞大的数字轨迹，像Meta这样的科技巨头应该采取一切预防措施和手段来保护这些数据，”Cybernews研究团队负责人曼塔斯·萨纳乌斯卡斯表示。“应该采取严格的措施来应对威胁，并从技术角度防止平台被滥用。”

报道称，首批被公布数据被分成两组，一组以名为《淘气名单》的未加密文件的形式发布在暗网上，供人下载。里面有约100名患者的详细信息，包括他们是否曾因吸毒、酗酒焦虑、大麻依赖或阿片类药物成瘾而接受过治疗。

另一组所谓的《好人名单》也被发布了出来，包含另一些客户的细节信息和健康状况等。

这个勒索组织迄今已将数百名澳大利亚人的详细信息发布在这两份名单下。此前它在8日向个人医保基金公司下了最后通牒，要求后者在24小时内支付赎金，而该公司拒绝了勒索。

调查显示，黑客获取了个人医保基金公司约970万名当前客户和曾经客户的详细信息。

据了解，大约在该机构报告故障两小时后，议会网站再次启动。

欧洲议会主席梅特索拉（European Parliament President Roberta Metsola）在网站瘫痪后不久发推文称，“欧洲议会正遭受复杂的网络攻击。一个亲克里姆林宫的组织（pro-Kremlin group）声称对此负责。我们的IT专家正在反击，保护我们的系统。”

最近，在黑猫投诉平台上，有很多用户质疑泰康人寿侵害了自己权益、个人信息遭到泄露。

有用户表示，在自己没有投保的情况下，“突然收到泰康人寿短信，说飞铁保Plus领取成功，还有链接和保单号，证明我的信息被泄露了。”

还有用户称，“有泰康工作人员电话通知有飞铁保产品时，自己表明拒绝办理，但仍会收到链接短信，几分钟后又收到标有保单号的办理成功短信。”

据了解，飞铁保plus是一款特定交通工具意外险产品，由泰康在线保险承保，属于赠险，用户免费领取保障，虽然不需要支付保费，但需要填写各型信息，会有信息泄露的风险。

仅10月份以来，关于上述“强制上飞铁保”的投诉，就多达数十条，很多用户均表示非自己主观意愿，甚至并不知情，对自己的个人信息十分担忧，更有甚者要求删除自己在泰康人寿的资料。

而在今年2月21日，工信部通报的2022年第一批侵害用户权益的APP名单，泰康保险旗下泰康医生APP位列其中。所涉问题为：APP强制、频繁、过度索取权限。随后，泰康回应尽快整改完成。

最近，泰康人寿发布数据，泰康医生APP注册用户数突破900万，同比去年增长超75%。

有专家认为，用户个人信息泄露绝非“儿戏”，如果违规使用、买卖或信息泄露，用户轻则被垃圾信息和电话骚扰，重则被冒名办理业务，甚至被诈骗，引发财产损失和安全性问题。

近些年，国家对于网络信息安全越来越重视。2017年6月1日，《网络安全法》开始施行。《数据安全法》自2021年9月1日起施行。《个人信息保护法》自2021年11月1日起施行。

2021年2月施行的《互联网保险业务监管办法》，要求保险机构收集、处理及使用个人信息，应征得客户同意，获得客户授权。未经客户同意或授权，不得将客户信息用于所提供保险服务之外的用途等。

近日，哈尔滨市公安局南岗分局网安大队民警在工作中发现，境外某黑客论坛上有一名用户于2022年10月发贴出售公民个人信息数据，自称持有数据量约20GB，售价0.2比特币，该用户还公布了29条数据样本，样本中还包括了公民姓名、联系电话、家庭住址等个人信息。

由于该线索涉及侵犯公民个人信息犯罪，且涉案数据量较大，立即引起了各级网安部门的高度重视。

在哈尔滨市公安局网安支队统一指挥下，两级网安部门成立专案组，合力开展侦查工作。

专案组民警在调查中发现，犯罪嫌疑人精通电脑操作及网络知识，隐藏得很深，给侦查工作造成了不小的难度。专案组的民警们昼夜不眠，将被泄露数据在海量的数据源中进行比对、分析，经过96小时的艰苦奋战，最终确定了犯罪嫌疑人的作案手法、作案时间段及使用的IP地址。

10月22日，南岗公安分局民警在哈尔滨市平房区将涉嫌非法获取计算机信息系统数据的犯罪嫌疑人麻某抓获，并在其电脑中查获非法获取的公民个人信息10万余条。经审讯，犯罪嫌疑人麻某供述，其为IT行业从业人员，利用某医疗机构微信公众号的系统漏洞，在今年4月至10月间，通过技术手段非法获取该计算机系统数据10万余条，而后在境外某黑客论坛发帖出售，截至落网前，已非法获利1500美元。

目前，麻某已因涉嫌非法获取计算机信息系统数据罪被依法批准逮捕，案件正在进一步工作中。

一次偶然的机会，国外网络安全研究员 David Schütz发现了一种极为简单地绕过谷歌Pixel 6 和 Pixel 5 智能手机的锁屏的方法，任何拿到手机的用户都可以解开手机。

图片

整个过程只需要简单的五个步骤，大概两分钟的时间。虽然谷歌针对这个问题已经发布了Android 更新，而在更新之前，这个锁屏漏洞持续存在超过五个月的时间。

五步直接绕过Android锁屏

Schütz表示，他是在自己的Pixel 6 电池没电、输错 3 次 PIN 并使用 PUK（个人解锁密钥）代码恢复锁定的 SIM 卡后，发现了这个漏洞。

令他惊讶的是，在解锁 SIM 卡并选择新的 PIN 码后，设备并没有要求输入锁屏密码，而只是要求进行指纹扫描。

出于安全原因，Android 设备在重新启动时总是要求输入锁屏密码或图案，因此直接进行指纹解锁不正常。

Schütz继续进行试验，当他尝试在不重启设备的情况下重现漏洞时，他认为也可以绕过指纹提示，直接进入主屏幕。

总的来说，对于该漏洞的利用主要有以下五个步骤：

1.提供三次错误指纹以禁用锁定设备上的生物特征认证；

2.将设备中的 SIM 卡与设置了 PIN 码的攻击者控制的 SIM 卡热交换；

3.提示输入错误的 SIM 卡密码三次，锁定 SIM 卡；

4.设备提示用户输入 SIM 的个人解锁密钥 (PUK) 码，这是一个唯一的 8 位数字，用于解锁 SIM 卡；

5.为攻击者控制的 SIM 输入新的 PIN 码。

漏洞影响广泛

该安全漏洞的影响十分广泛，几乎所有未更新2022年11月补丁的，运行 Android 10、11、12 、13 版本的手机都受到影响，这是一个无法想象的数量。

虽然这个漏洞利用需要对拿到对方的手机，但是这依旧会产生巨大的影响，尤其是对于那些虐待他人、接受调查、手机丢失的用户来说，影响十分严重。

该问题是由于 SIM PUK 解锁后键盘锁被错误地关闭引起的，原因是关闭调用的冲突影响了在对话框下运行的安全屏幕堆栈。

当 Schütz 输入正确的 PUK 号码时，“解除”功能被调用两次，一次由监视 SIM 状态的后台组件调用，另一次由 PUK 组件调用。

这不仅会导致 PUK 安全屏幕被取消，还会导致堆栈中的下一个安全屏幕（键盘锁）被取消，随后是堆栈中下一个排队的任何屏幕。如果没有其他安全屏幕，用户将直接访问主屏幕。

谷歌的解决方案是为每个“关闭”调用中使用的安全方法包含一个新参数，以便调用关闭特定类型的安全屏幕，而不仅仅是堆栈中的下一个。

2022年6月， Schütz 向谷歌报告了这一安全漏洞，编号 CVE ID  CVE-2022-20465，但是直到2022年11月7日，谷歌才正式对外公布了该漏洞的修复补丁。另外，因为这个安全漏洞， Schütz 获得了谷歌的7万美元的高额奖励。

据爆料，知情人士称，网易与暴雪停止的合作的关键问题在于，对于知识产权的所有权以及对中国数百万玩家数据的控制权，由于此次会谈不公开，因此相关人士要求匿名。

除此之外，网易在另一份声明中表示，在2021年和2022年前9个月，暴雪游戏的收入在网易总收入中占比较低。彭博社称在今年夏季，暴雪和网易的合作就出现了裂隙，当时他们取消了一款开发了三年的《魔兽世界》手游，而网易解散了一个100多名开发人员的团队。

安全研究员 Ariel Szarf、Doron Karmi 和 Lionel Saposnik 在与 The Hacker News 分享的报告中表示，泄露的数据库中包含用户姓名、电子邮件地址、电话号码、出生日期、婚姻状况、汽车租赁信息，甚至是公司登录信息，如此详细的用户数据，为潜在攻击者提供了丰富的“素材”。

亚马逊 RDS 是一项 Web 服务，可以在亚马逊网络服务（AWS）云中建立关系型数据库。不仅如此，RDS 还支持不同的数据库引擎，例如 MariaDB、MySQL、Oracle、PostgreSQL 和SQL Server 等。

亚马逊 RDS 数据泄露事件详情

此次亚马逊 RDS 用户个人数据泄漏事件源于一个称为公共 RDS 快照的功能，该功能允许创建一个在云中运行数据库的环境备份，并且可以被所有 AWS 账户访问。

亚马逊方面表示，当用户准备把快照分享为公共快照时，请确保公共快照中不包括自身私人信息，一旦快照被公开共享时，会给予所有 AWS 账户复制快照和从中创建 DB 实例的权限。

2022 年 9 月 21 日至 10 月 20 日期间，安全研究人员进行了细致实验，最后发现实验的 810 张快照在不同时间段（从几小时到几周）内被公开分享，照片很容易被恶意攻击滥用。

在这 810 张快照中，有超过 250 个备份暴露了 30 天，侧面反映它们很可能已经被遗忘了。

根据所暴露信息的特殊性质，潜在攻击者可以窃取数据以期获取经济利益，或利用数据信息来更好地掌握用户所属公司的 IT 环境。

因此，亚马逊强烈建议用户不要开启 RDS 快照公开访问权限，以防止敏感数据的潜在泄漏、滥用或任何其他类型的安全威胁。当然，最好在适当的时候对快照进行加密。

瓦努阿图的议会、警方和总理办公室的网站已瘫痪。另外，该国学校、医院以及所有政府部门的电子邮件系统、内部网站和在线数据库均已瘫痪。

这些网站或网络服务的瘫痪，导致瓦努阿图约31.5万名居民在纳税、开发票、申请执照和签证等事务上遇到困难。

当地政府工作人员不得不采取人工方式处理业务，这导致许多业务延期或被迫暂停。一些工作人员使用个人邮箱和个人网络热点处理业务。

另据澳大利亚《悉尼先驱晨报》报道，疑似有网络黑客要求瓦努阿图政府支付赎金，但瓦努阿图政府拒绝支付。对于疑似黑客的身份、网络攻击如何发生、网络何时能够恢复等疑问，目前仍然没有答案。

据称，44岁的被告乔纳森·托贝在任职海军核工程师期间，具备访问海军核推进装置机密信息，包括军事敏感的设计元素、性能特征以及核动力潜艇反应堆其他敏感数据的权限，他协同自己46岁的妻子戴安娜·托贝，试图将上述部分信息出售给外国政府。

根据法庭文件披露，泄密过程始于2020年4月1日寄给外国政府的一个包裹，其中包含美国海军文件、一封包含指令的机密信件以及一张加密SD 卡，并附有“建立秘密关系可以购买额外的机密信息”的说明，寄件人地址为在宾夕法尼亚州的匹兹堡。FBI在了解到泄密情报后，于 2020 年 12 月派出一名冒充为对方国家政府代表的卧底，通过ProtonMail 加密邮件与取得联系。

在2021 年 4 月至 2021 年 6 月与乔纳森的交流中，这名FBI卧底在同意以门罗币加密货币支付报酬后，说服被告将其他美国海军机密信息传送到西弗吉尼亚州杰斐逊县的一个情报秘密传递点（dead drop）。期间，乔纳森也曾表现出对这名卧底的不信任，表示在将机密信息送至情报秘密传递点之前可能不会再与他进行沟通。

2021 年 6 月 26 日，乔纳森将一张加密 SD 卡藏进半个花生酱三明治中，放置在了预先约定的地点，而他的妻子负责望风。在向他们支付2万美元报酬后，FBI收到了解密密钥，审查发现，其中包含与潜艇核反应堆有关的军事敏感信息。8月28日，乔纳森将另一张加密SD卡藏在口香糖包装中，放置在了另一个位于弗吉尼亚州东部的约定地点。FBI在支付7万美元报酬后收到了解密密钥，其中也包含与潜艇核反应堆有关的敏感数据。

2021 年 10 月 9 日，在按约定将第三张SD卡交付后，这对夫妇被FBI 和海军刑事调查局 (NCIS)逮捕，并于 2022 年 2 月认罪。在11月9日的审判中，乔纳森·托贝被判处19年监禁，其妻子戴安娜·托贝被判处21年监禁。

据《华盛顿邮报》的报道，乔纳森·托贝对出售这些机密信息早已蓄谋已久，甚至为事情败露预留了护照和现金。在一封写给外国的信中，乔纳森称，“这些信息是在我的正常工作过程中，经过几年的缓慢而仔细地收集的，以避免引起注意，每次都是几页纸，偷偷通过安检。”

美国检察官 Cindy Chung 表示，乔纳森·托贝受托负责并保护国家机密，但他和其妻子的做法将国家的安全置于风险之中，是对忠诚无私的海军军人的背叛，其罪行的严重性怎么强调都不为过。

Twitter Blue订阅服务能够为用户账号提供优先推文、更少的广告、发布更长的媒体内容等特权，而最引人注目的特征，则是会在账号名称后面加上一个表示“已验证”的蓝色徽标。在过去，这一标识只对知名人士和组织机构的帐号开放。

这项订阅一经推出，就遇到了滥用风险，攻击者可以仿冒他人账户，并畅通无阻地通过认证。比如著名游戏发行商Rockstar Games出现了名为“RockstarGamse”的已认证仿冒账号。而一些名人，比如特朗普，甚至连马斯克本人的账号都没能幸免。在马斯克的例子中，虚假帐号直接从马斯克的真实帐号全盘复制个人资料，并通过了Twitter Blue认证。

到目前为止，区分是否经Twitter Blue订阅认证的账号的唯一方法是点击账号的蓝色认证徽标，查看弹窗中的认证说明信息，过去以知名人士或组织机构身份认证的账号会被描述为“此账号被识别为政府、新闻、娱乐或其他相关机构的可信账号”。

11月初，马斯克在接管Twitter后正式推出Twitter Blue订阅服务，在此之前，马斯克就曾表示，要改进该平台的认证流程，但Twitter Blue所带来的这一混乱局面已经引发诸多不满。面对这一情况，马斯克表示将积极打击假冒和欺骗行为，任何假冒账号将会在不提前警告的情况下直接被永久停用。

新的诉讼是来自一份来自11月发表的报告，这位用户发现在iOS 14.6系统下，App Store、Apple Music、Apple TV和Books的“详细使用数据被发送到苹果”。研究人员称，股票发送的可识别信息比其他应用程序少。据报道，发送的数据与一个可以识别用户的标识符相关。据报道，这种行为在iOS 16中仍然存在，但研究人员无法检查发送的数据是什么，因为这些数据都是加密发送的。研究人员确实对Gizmodo说，在任何隐私设置的组合下，健康和钱包都没有发送类似的数据。所有数据都被发送到与iCloud的阵列不同的服务器。

原告表示，“苹果公司的做法侵犯了消费者的隐私；故意欺骗消费者；使苹果公司及其员工有权了解有关个人生活、兴趣和应用程序使用的亲密细节；并使苹果公司成为任何想破坏个人隐私、安全或自由的政府、私人或犯罪行为人'一站式购物'的潜在目标。通过其普遍和非法的数据跟踪和收集业务，苹果甚至知道用户应用使用的最私密和潜在的尴尬方面--无论用户是否接受苹果虚幻的提议来保持这些活动的隐私”。

苹果也曾明确表示过，其广告平台不会将用户或设备数据与从第三方收集的数据连接起来，以进行定向广告。他们还说，他们不会与数据收集公司分享用户设备或设备识别，无论是App Store，还是iPhone本身。但根据原告所提供的证据却证明了苹果公司正在欺瞒它的用户，并且涉嫌侵犯了受第四修正案保护的隐私区域"，并违反了几十个州关于窃听和侵犯隐私的刑事法律，而第四修正案在这里似乎也并不适用。

原告希望该诉讼寻求“赔偿和所有其他形式的公平金钱救济”，以及法院可能认为适当的禁令救济。要求进行陪审团审判。目前还不清楚该案何时或是否会得到审理。

Kearney主要为政府单位提供财务管理等多种服务，目前为一些美国联邦政府机构提供审计、咨询和 IT 服务，提高政府运作效率。

据悉，LockBit于11月5日正式公开了勒索消息，要求Kearney & Company 在11月26日前支付200万美元赎金，否则将发布被盗数据。目前LockBit已经公布了一份被盗数据样本，其中包括财务文件、合同、审计报告、账单文件等。

而就在上周，LockBit还攻击了德国著名跨国车企大陆集团（Continental）和国防巨头Thales，LockBit勒索软件近期可谓是异常活跃。

 强大且危险的LockBit 3.0 

回望 LockBit短短三年的发展历史，自2019年9月首次出现以来就经历了三次重大更迭，每一次升级都让它的攻击实力得到大幅增强。最新版的LockBit 3.0于今年6月底推出，其中包括了勒索软件以前从未有过的漏洞赏金计划，该计划提供最高100万美元的优厚报酬，让LockBit得以持续优化改进。为了提高隐蔽性，Lockbit 3.0 接受 Zcash、门罗币以及比特币的赎金支付。

Maple Leaf Foods是加拿大最大的预制肉类与家禽食品生产商，共拥有21处制造工厂、雇佣14000名员工，并承包超700处库房。2021年，该公司总销售额达33亿美元。

恶意黑客经常在周末发动网络攻击，这是看准目标正在放假、应对人手不足，希望最大限度提高成功机率。

尽管攻击者时机选得不错，但这家加拿大包装食品巨头表示，其IT团队还是立即采取了应对措施。

目前，该公司专员正与网络安全和恢复专家们合作，希望尽快解决问题。

Maple Leaf Foods在公告中表示，“我公司正在执行业务连续性计划，着手恢复受到影响的系统。”

“但预计全面解决中断仍然需要时间，且期间部分运营和服务将无法正常进行。”

Maple Leaf Foods表示将继续与客户及合作伙伴携手，尽量缓和加拿大市场上的食品供应中断。

该公司发言人还在发给媒体的评论中指出，他们正在对事件开展调查，但尚未确定此次攻击是如何发生的。

声明提到，“中断已经造成部分运营和服务无法正常进行，具体情况依各业务部门、工厂和地点而定。”

至于接下来的恢复阶段，这位发言人预计系统恢复期间会继续发生中断，但他们会努力将这种影响降至最低。

“目前，我们专注于恢复业务连续性。”

该公司最后补充称，他们还未发现此次事件对其他合作伙伴造成的任何可能影响。

截至本文撰稿时，各网络犯罪论坛或勒索软件团伙门户上也尚未列出关于Maple Leaf Foods的任何公告。

11月6日，《星期日泰晤士报》（The Sunday Times）和调查新闻局（Bureau of Investigative Journalism）的一项卧底调查，通过一个印度“雇佣黑客”团伙内部泄露的数据库，揭露了一些印度黑客替伦敦的企业情报公司入侵英国企业、记者和政界人士的电子邮件账户等攻击行为。

这些卧底爆料在西方企业情报圈引起了恐慌，因为许多企业都曾使用过印度雇佣黑客，尤其是英国企业。卧底记者与若干印度黑客取得了联系，探寻雇佣黑客的行业生态及其地下产业对英国的影响。

印度对雇佣黑客来说是一个特别有吸引力的地方，一方面印度对计算机违规行为执法力度轻，另一方面在一个拥有不同管辖权的遥远国家实施犯罪大大降低了被抓或被起诉的风险。

在英国，黑客攻击最高可被判处10年监禁。印度也有类似的法律，非法入侵电脑会判处最高3年监禁。但印度的黑客们并不惧怕，因为尚且没有判决先例。这也是英国企业热衷雇佣印度黑客的原因之一。

Appin：印度雇佣黑客圈的“黄埔军校”

卧底记者们假扮成前军情六处（MI6）经纪人和非公开调查人员，潜入印度雇佣黑客行业。

雇佣黑客是近十几年的趋势，一些计算机安全公司假借训练“白帽”黑客之名，实则在为黑暗交易做准备。侵入私人电子帐户收获颇丰，也有很多客户愿意付钱，印度黑客产业由此兴起。

该行业的创始人之一是Appin公司，十多年前成立于德里，借口是培训新一代“白帽”黑客，帮助保护个人和企业免受网络攻击。

如今，Appin已经倒闭，据称它的客户包括英国的企业情报公司。Appin训练的黑客之一Aditya Jain，他的秘密数据库显示他攻击过卡塔尔的活动人士，这一行为也被《星期日泰晤士报》曝光。据一名前雇员向卧底调查人员透露，卡塔尔是Appin的客户之一。但卡塔尔方面对此持否认态度。

当Appin的攻击活动曝光后，其非法行为也随之结束。2013年，挪威网络安全专家将Appin与针对十几个国家的大规模网络攻击联系起来。有消息称，2021年，Appin的创始人Rajat Khare在英国政府贸易部门全球企业家项目的帮助下，在英国成立了一家企业。

Appin解散后，其前员工出走成立了新公司。一些公司在古尔冈（Gurugram）设立了办事处，古尔冈位于德里西南郊区30公里处，是德里的卫星城，大型科技公司如Meta、谷歌、推特都在这里设有办事处。

后起之秀BellTrox是印度雇佣黑客行业的关键玩家，该公司董事苏米特·古普塔（Sumit Gupta）曾在Appin工作。他曾和两名美国私人侦探一起开展大规模黑客行动，被列入美国司法部通缉名单。

2020年，加拿大网络安全监管机构公民实验室（Citizen Lab）公布的证据显示，BellTrox代表客户入侵了1万多个电子邮件账户，包括英国律师、政府官员、法官和环保团体的账户。

公民实验室发现，BellTroX的领英帐户有数百份员工认可。去年12月，脸书母公司Meta被迫删除了BellTroX在脸书运营的400个账户。

暴利收入：雇主花2万美元入侵一个电邮

由于黑客攻击的违法性，雇佣黑客行业高度保密，记者只能伪造身份接触黑客并进行秘密调查。

两名记者在梅菲尔创建了一家名为博福特的空壳情报调查公司，并假扮成最近退休的英国特勤局成员。

随后，记者联系疑似印度雇佣黑客的成员，称需要雇佣一名网络调查员收集客户目标信息。得到回应后，记者在二月飞往德里。

第一个回应的黑客自称“摩哂陀·辛格”，他的领英帐号列出的技能包括“安卓黑客”“手机监控”和“电子邮件追踪和渗透”。在和记者见面后，他表示在领英使用的是假名，他实际真名为泰·辛格·拉索尔（Tej Singh Rathore）。

拉索尔今年28岁。在科塔的拉贾斯坦邦科技大学学习信息技术时，他转而选择了“道德黑客”课程，因为他意识到这是一个“新兴行业”。

2014年，拉索尔以一级学位毕业后，在印度西北部城市阿姆利则的一家网络安全公司找到了一份工作。但他的老板告诉他，电脑“攻击性工作”（黑客术语）的报酬比保护系统的“防御性工作”高得多。

于是拉索尔选择单干，在领英上向企业情报公司兜售他的黑客技能。他接的工作案例背景多为婚姻纠纷、商业间谍和谋杀。

拉索尔的第一位顾客是新泽西州的酿酒师，她在离婚诉讼前委托拉索尔黑进丈夫的电子邮件，以了解丈夫的财务状况。

另一位出价颇高的顾客是比利时的马术师，他委托拉索尔黑入德国一个富有的马厩主。拉索尔回忆，这位顾客愿意付2万美元黑入一个电子邮件账户。

他还卷入了加拿大最臭名昭著的双重谋杀案。2017年12月，亿万富翁巴里·谢尔曼和他的妻子哈尼被发现被皮带勒死在多伦多家中的室内游泳池旁。拉索尔被雇来破解谢尔曼的电子邮件帐户。

几年之内，拉索尔的黑客业务蒸蒸日上。他表示，入侵一个电子邮件账户收取3000至2万美元的费用。目前，他已在英国、北美、香港、罗马尼亚、比利时和瑞士建立了企业情报客户。

背后大主顾：英国企业情报公司

拉索尔对卧底记者表示，大多数英国私人调查公司都雇佣印度黑客，“英国和整个世界… …都在使用印度黑客。”他表示，英国公司雇佣印度黑客已超过10年，大多是该行业两大巨头Appin和BellTroX的客户。

2019年，他通过领英与英国企业情报公司联系，首次被英国公司雇佣。对黑客来说，英国是一个富矿。“英国有很多公司，他们正在寻找同样的（黑客）服务，”他告诉卧底记者。

2020年，他被委托入侵苏格兰精酿啤酒公司Brewdog的前经理本·杜克沃斯的帐户。杜克沃斯曾公开批评该公司，离开Brewdog后，他在伦敦南部的布里克斯顿建立了自己的酿酒厂Affinity Beers。

拉索尔假扮成一名希望收购Affinity的酿酒商，给杜克沃斯发了一封钓鱼邮件，“我是一名意大利商人，我有意向投资贵公司并占股40%。”杜克沃斯点击了钓鱼邮件，拉索尔因此轻松获得了他的账户密码。

当《星期日泰晤士报》和联邦调查局将拉索尔的陈述告知杜克沃斯时，他表示不知自己被黑客攻击。精酿啤酒公司Brewdog则否认雇佣黑客实施攻击。拉索尔并不清楚最终客户的身份，他只与私人侦探打交道并拒绝透露私人侦探的名字。

拉索尔不仅仅是一名黑客，他还受雇为一位英国政治家做声誉管理工作。他表示，2021年初，一家总部位于伦敦的企业情报公司向他支付了1500英镑，替61岁的马修·戈登·班克斯（Matthew Gordon Banks）掩盖一件丑闻。拉索尔耗时一个月发布这位政客的正面消息，以覆盖之前在谷歌搜索信息流中的丑闻。这项名誉管理工作于去年4月成功结束，但随着时间推移，效果逐渐减弱。上周，戈登·班克斯否认使用过声誉管理服务。

印度雇佣黑客的培养

卧底记者接触的另一位黑客是乌特卡什·巴尔加瓦（Utkarsh Bhargava）。他常驻班加罗尔，有近10年黑客经历。

他告诉记者，他最初在印度工程师学会学习计算机科学，随后立即在德里的一家公司找到了一份工作从事黑客攻击，同期毕业的17位学员都服务于该公司。

他将该公司描述为印度政府的“国土安全公司”，称该公司十分神秘，与印度政府合作十分密切，进行黑客攻击类工作。

当时公司的培训由Appin负责，巴尔加瓦接受了一年的黑客培训，他还记得Appin的黑客为中东的客户工作，例如卡塔尔、迪拜、巴林、科威特、沙特，窃取“任何东西”。

在Appin学习之后，巴尔加瓦称接到印度政府命令，对土耳其、巴基斯坦、埃及和柬埔寨政府进行一系列网络攻击，目标通常是国家部委的秘密文件和档案。“我们的任务是获取数据转储并将其移交给（印度）机构… …（目标）包括外交部、内政部、国防部、财政部。这取决于他们在需要什么样的情报。”

2016年9月，巴尔加瓦离开了这家为印度政府工作的公司，加入了蓬勃发展的商业雇佣黑客行业，在博帕尔成立了自己的公司Aristi Cybertech Private Limited，从事私人黑客工作。

他每个项目收费1万至1.5万美元，为法国、奥地利、德国、意大利和泰国客户工作。一位名为Muller的奥地利客户在2020年夏天委托他黑掉埃及航空公司的乘客名单。他回忆，“操作起来非常简单，埃及航空公司的IT信息没有合适的安全配置。”

趁手利器：解构Pegasus间谍软件

巴尔加瓦甚至声称可以访问以色列NSO集团开发的Pegasus（飞马）间谍软件的源代码。Pegasus是最强大的网络武器之一，可以秘密安装在目标手机上，并可以提取WhatsApp、Signal和Telegram等加密消息应用程序。它还可以让黑客远程控制手机的摄像头和麦克风、下载设备的所有内容。

他表示，他在2019年发现了Pegasus源代码，并声称他和一些商业黑客利用Pegasus为客户提供服务。Pegasus可以持续监控目标的位置，如果受害者的GPS定位打开，黑客甚至可以进行实时跟踪。

巴尔加瓦给记者们发了一份他们部署的Pegasus代码。记者将代码交给Amnesty International安全实验室核验，研究员艾蒂安·梅尼尔确认，这些代码确实是一段“解构的Pegasus代码”。

梅尼尔称，为了实现可用性，黑客需要重新打包代码，并建立一个“在线操作中心”来接收被黑客攻击的数据。NSO集团则否认Pegasus代码已经泄露。

对黑客来说，部署间谍软件时受害者的手机会发热且运行速度明显变慢。因此，他们需要研究受害者的日常活动，以确定他们不使用手机的时间。

对于大多数目标，巴尔加瓦在凌晨时分窃听他们的电话。对于虔诚的中东目标，黑客一般选择在周五的礼拜时间发起攻击，这段时间他们不会看手机。

除了上述两位雇佣黑客，卧底记者还和前印度陆军跨境情报部门指挥官拉姆·希拉尔准将会面，他负责监管网络部门，直到2014年退休。退休后，他在古尔冈成立了一家名为Phronesis的公司。公司通过挖掘暗网来获取个人数据，有若干个英国企业情报客户。

外媒The Record审查了上周四（11月3日）公开发布的部分“被盗”文件，总计2.6 GB，包含27000个文件。从内容上看，这些文件主要涉及银行运营、安全政策以及部分前任/现任员工的个人数据。

黑客分子们在Telegram上写道，“如果俄罗斯央行无法保护自己的数据，又怎么保证卢布的稳定？”这起入侵事件出自乌克兰IT军成员之手，该组织在俄乌战争爆发后建立，有超20万名网络志愿者，各成员协同对俄罗斯网站开展分布式拒绝服务攻击。

中央银行是俄罗斯最重要的金融机构之一，也是该国货币政策制定者和国家货币监管者。据俄罗斯媒体报道，央行方面否认其系统遭黑客入侵，并表示这些所谓外泄文件原本就存放在公开域内。

泄露数据时间跨度大，涉及未来战略规划

这已经不是黑客首次宣称攻破俄罗斯央行。今年3月，匿名者（Anonymous）组织的黑客曾声称，从俄央行处窃取到35000份文件，并发布到了网上。

数据安全公司Very Good Security的分析师Kenneth Geers认为，“对于间谍、媒体和人权活动家们来说，这次泄露的文件可能是个宝库，其中也许包含会对俄罗斯造成灾难性打击的消息和故事。”

到目前为止，还很难断言这批泄露文件到底有多重要。部分已公开的文件可以追溯到近20年前，还有一些文件概述了俄罗斯央行未来两年的战略。

部分文件详细说明了俄罗斯用国内技术替代进口计算机程序/软件的政策，旨在“确保银行支付系统能顺利运行”。

由于俄乌战争爆发后的国际制裁，不少跨国科技企业目前已退出俄罗斯市场或暂停运营，迫使俄罗斯方面寻求国内替代方案。

乌克兰IT军还发布了其他一些文件，据称其中包含俄罗斯军人的个人数据、电话号码和银行账号。

俄乌冲突爆发后，俄罗斯银行业屡遭网络攻击

自俄乌开战以来，俄罗斯银行一直是乌克兰黑客们最热衷于攻击的目标。今年9月初，乌克兰IT军还入侵了俄罗斯第三大银行Gazprombank（俄罗斯天然气工业银行）。

据乌克兰IT军称，该银行网站在DDoS攻击下瘫痪了四个小时，导致客户无法付款、访问个人账户或使用手机银行。

IT军一位代表在采访中表示，“为了成功完成攻击，我们遍历了对方的整个网络并从中找到了漏洞。”

为了绕过俄罗斯的DDoS保护服务，IT军宣称创建了一款“特殊程序”，能够“以非标准方式攻击系统，因此对方很难抵挡。”

俄罗斯天然气工业银行证实了9月的黑客攻击事件，副总裁Olexander Egorkin甚至称赞了乌克兰黑客的“创造力”和“专业精神”。

Egorkin在9月的一次会议上表示，“这次攻势极为猛烈，就连俄罗斯最大的电信运营商Rostelecom都感到压力巨大。”尽管如此，目前还无法断言IT军在俄乌之间的网络战进程中究竟起到了怎样的作用。只能说部分行动确实暂时性扰乱了俄罗斯的业务，或者至少引发了俄方关注。

据俄罗斯媒体报道，自俄乌开战以来，俄罗斯银行业对于网络攻击和数据泄露的防御性服务需求开始急剧增加。

随着思科、IBM、甲骨文、Imperva、Fortinet、诺顿和Avast等全球技术与网络安全厂商纷纷退出俄罗斯，俄罗斯企业也更易受到网络攻击影响。

这也从另一方面鼓舞了IT军的士气，他们坚称，“我们的目标仍旧不变：让银行难以正常支付、拖慢财务履约速度，把怀疑的种子播撒在收款人们的心中。”

澳大利亚国防部周一证实，在负责运营该国国防部内部通信平台ForceNet的外部ICT服务供应商遭到黑客攻击后，一些数据可能已经泄露。

澳大利亚退伍军人事务和国防人员部部长马特·基奥（Matt Keogh）将ForceNet描述为“一个内部通信平台”，涉及的数据库来自2018年，其中包含3万到4万份记录。

基奥说，澳国防部仍然相信没有个人数据被窃取，但仍在努力确认哪些现役和退役人员包括受雇于该部门的公务员，可能会受到影响。

他补充说：“我们正在与外部供应商合作，以确保全面了解该数据库包含哪些数据，哪些是可被获取的。我们了解到，（遭黑客攻击的）外部供应商那里总共保存着大约3万到4万份记录。我们正在努力全面了解可能涉及的人员有哪些。”

根据ForceNet网站介绍，该通信平台供澳大利亚军方和国防部门内部使用，旨在“促进可回查的沟通和信息共享，包括一对一和一对多，也包括在紧急情况下有针对性的沟通和支持以及对特定人员的支持”。

该网站在常见问题解答部分写道：“这意味着ForceNet用户可以确信，他们的信息和内容只会被其他已授权的用户看到。”

基奥表示，澳大利亚发生的一系列网络攻击事件令人担忧，其中包括针对电信供应商澳都斯（Optus）和私人保险公司Medibank的攻击。这些攻击凸显出人们需要对自己的个人信息保持警惕，政府则需要确保各机构采用充分的安全措施。

另据澳大利亚广播公司报道，技术专家认为，澳大利亚之所以成为黑客的攻击目标，是因为该国缺乏足够数量的、专业技能过硬的网络安全人员。

据丹麦广播公司DR报道，上周六早上，丹麦最大的铁路运营公司DSB旗下所有列车均陷入停运，连续数个小时未能恢复。

从现象来看，这似乎是针对DSB运营技术（OT）系统实施恶意攻击的事件。但实际恰恰相反，遭受攻击的是丹麦公司Supeo，该公司专为铁路、交通基础设施和公共客运提供资产管理解决方案的外包供应商。

Supeo可能经受了一次勒索软件攻击，但该公司并未披露任何信息。DSB方面的一名代表告诉路透社，这是一起“经济犯罪”。

在发现黑客攻击之后，Supeo决定关闭其服务器，导致列车司机们使用的一款软件无法正常工作，最终引发了列车运营中断。

Supeo公司提供了一款移动应用，可供火车司机访问运行的各项关键运营信息，例如限速指标和铁路运行信息。据媒体报道，Supeo关闭服务器的决定令该应用停止工作，司机们只能被迫停车。

攻击铁路部门的恶意黑客并不少见，最近一段时间的受害者包括白俄罗斯、意大利、英国、以色列和伊朗。虽然研究人员已经证明，现代火车系统确易受到黑客攻击影响，但近期攻击活动针对的主要是铁路网站、票务及其他IT系统，没有直接针对控制系统。

美国运输安全管理局（TSA）最近发布一项新指令，希望改善铁路运营中的网络安全水平。

LockBit声称，他们窃取了大陆集团系统中的一些数据，如果不能在11 月 4 日 15:45:36（北京时间23:45:36）之前收到赎金，他们将在数据泄露网站上公开这些数据。

目前LockBit尚未透露赎金的具体金额，以及窃取数据的具体时间及其他任何细节，但由于显示支付赎金的倒计时页面仍在刷新，表明大陆集团还尚未与勒索软件进行谈判，已经决定拒绝支付赎金。

今年8月，大陆集团系统曾遭到过攻击者入侵，事后公司声称立即采取了所有必要的防御措施，并在外部网络安全专家的支持下，对事件进行调查，公司业务没有受到任何影响。BleepingCompuer向大陆集团 询问这起事件是否和此次LockBit的勒索攻击相关，大陆集团美国公司传播与营销副总裁 Kathryn Blackwell 给出了否定的回复，并称无法提供更进一步的任何细节。

LockBit 勒索软件于 2019 年 9 月作为勒索软件即服务 (RaaS) 首次出现以来，已经制造多起重大勒索攻击事件。就在今年，LockBit 曾分别向意大利国税局和安全巨头Entrust发动过勒索攻击。

11月2日（本周三），Jeppesen公司网站上出现了红色提示条幅，警告称“我们的部分产品、服务和沟通渠道出现了技术问题”。

波音公司一位发言人透露，这是一起网络安全事件，Jeppesen方面正在努力恢复服务。

该发言人表示，“我们的子公司Jeppesen遭遇到网络事件，已经有部分航班规划产品和服务受到影响。部分航班规划被中断，但目前我们判断此次事件应该不会对飞机或飞行安全构成威胁。我们正与客户和监管机构沟通，并努力在最短时间内全面恢复服务。”

尽管航班中断的严重程度还不明确，但此次事件至少已经影响到当前及后续空中任务通知（NOTAM）的接收和处理。NOTAM是指向航空当局提交的通知，用于提醒飞行员注意航线上的潜在危险。

伊拉克航空、沙特Flynas航空、加拿大太阳之翼航空均发布公告，称Jeppesen系统发生了中断。Flynas表示部分航班被重新调整，太阳之翼还称北美多家航司受影响。

旅游博客Live And Let’s Fly的博主Matthew Klint称，有消息人士透露，此次事件属于勒索软件攻击。但波音发言人称系统“仍处于活动状态”，暂时无法证实事件与勒索软件有关。

航空业网络威胁形势日趋严峻

当前，航空业已经成为网络攻击乃至勒索软件攻击的高频目标。

今年5月，印度香料航空（SpiceJet）公司报告称遭受勒索软件攻击，导致众多乘客因航班停飞在滞留在机场。今年8月，为多家大型航空公司提供技术方案的Accelya称遭受勒索软件攻击，幕后黑手为BlackCat团伙。去年8月，曼谷航空公司称有黑客对其发动勒索软件攻击，事后还通过入侵窃取了乘客信息。

据报道，波音公司也在2018年受到广泛传播的WannaCry勒索软件的打击，好在服务很快恢复了正常。波音公司发言人接受《西雅图时报》采访时称，“漏洞只影响到几台设备。我们部署了软件补丁，所以包括777喷气式飞机在内的所有项目均未发生中断。”

今年8月，美国运输安全管理局（TSA）出台规定，强制要求各航空公司在24小时内向网络安全与基础设施安全局（CISA）上报一切网络安全事件。

当日，该企业工作人员在查询订单时发现，一海外客户于几日前收到了企业生产的货物，但一笔90万美元的货款始终未如约支付。该工作人员第一时间联系客户催款，对方却告知早已将货款汇至电子邮件里提供的指定账户。

该工作人员立即意识到，企业邮箱很可能遭到黑客非法入侵并恶意篡改，便向杭州市公安局钱塘区分局前进派出所报警求助。前进派出所立即将相关情况上报，钱塘区公安分局网警大队高度重视，联合前进派出所迅速介入调查。

“根据我们的调查，黑客是通过木马程序侵入了这家企业的邮箱，并长期潜伏，发现双方交易后，篡改了企业发送给国外客户邮件中的收款人信息及收款账户，致使客户根据邮件信息，将货款打进了黑客的账户。”前进派出所副所长钟嘉淇介绍说，在开展调查的同时，钱塘警方第一时间开展紧急止损。由于这笔货款需要在银行中转，警方介入时，这笔货款仍在中转流程中，警方通过及时申诉支付冻结，将全部货款顺利追回。

“警察同志，多亏有你们，不然我们公司损失就大了！”事后，该企业负责人给前进派出所送来锦旗，感谢警方帮忙挽回了巨额损失。

据钱塘警方介绍，此类黑客作案手法具有较强的针对性，侵害对象以与境外客商有业务往来的企业为主。警方提醒，如收到有关收款银行账号变更的邮件，一定要提高警惕，通过电话等多种方式再次确认。

此外，如果发现邮箱被盗，应立即修改邮箱密码，并在“自动转发”里删除盗取者的邮箱，避免邮件仍被抄送出去；同时应立即告知现有客户相关情况，对于任何关键信息的修改，如银行账号变动、订单详情变化，需通过传真及电话进行双重确认。如客户已打款，应尽快向公安机关报案，从而及时挽回损失。

网络间谍在夏季保守党领导竞选期间入侵了特拉斯的手机，当时特拉斯正担任外交大臣。网络间谍获得的一些信息包括特拉斯女士对约翰逊先生的批评，这些信息可能被用来勒索这位政客。

专家还认为，这些信息包括与国际外交部长就乌克兰冲突进行的对话，可能与武器运输有关。

作为对黑客攻击的回应，特拉斯女士在成为总理前不久被迫更换了她的手机号码，这也解释了为何特拉斯成为首相前被迫更换了使用十多年的手机号码。

俄罗斯间谍涉嫌侵入的结果造成最近一年含有与外国政治家以及与自己朋友和同党派人士夸西·克沃滕通信的秘密数据被下载。在通信中特拉斯与英国盟国外长们，特别包含有向乌克兰提供西方武器的细节数据，该事件引起了英国政府内部的担忧。

“这非常严重，它显示了来自国家的威胁对我们造成伤害的严重性，以及为什么政府中的每个人都需要如此认真地对待网络安全。我们需要知道政府认识到这件事的严重性。” 影子内政大臣伊薇特库珀说。

据悉，政府发言人试图淡化这一事件，并解释说政府采取了强有力的措施来保护其基础设施免受网络威胁。

“我们不对个人的安全安排发表评论。政府拥有健全的系统来防范网络威胁。这包括为部长们提供定期安全简报，以及保护他们的个人数据的建议。” 发言人说。

总体来看，2021年金融机构根据美国《银行保密法》要求上报的勒索攻击总损失，已经由前一年的4.16亿美元骤升至12亿美元。

这些数据出自周二美国财政部下辖金融犯罪执法网络（FinCEN）发布的最新报告。

图片

2021年内上报事件总计1489起，远高于2020年的487起。研究人员报告称，“勒索软件持续对美国各关键基础设施部门、企业及公众构成重大威胁。”

报告写道，“过去两年以来，勒索软件攻击者开始从广撒网转向针对性入侵，通过精心挑选受害者、重点针对大型企业和提出高额赎金要求等方式，尽可能提高‘投资’回报。”

与此同时，美国白宫周一举办反勒索软件倡议全球峰会，接待来自30多个国家/地区的代表，共商勒索软件难题的解决之道。目前，勒索软件在全球范围内日益猖獗。

值得注意的是，俄罗斯官员缺席了此次会议。FinCEN表示，绝大多数勒索软件攻击均可溯源至俄罗斯。

报告发现，目前五大顶级勒索软件变种均与俄罗斯有关，而且近70%的勒索攻击事件“与俄罗斯、其代理人或俄方行动代表有关。”

报告指出，“虽然很难确定恶意软件的具体归属，但从这些变体的开源信息中确实发现了一些共性，例如使用俄语代码，通过编码刻意绕开俄罗斯或其他前苏联国家，主要在俄语网站上投放广告等。”

今年下半年，勒索软件攻击数量急剧增加。7月1日后上报的攻击事件已经达到793起，而俄罗斯恶意软件变种继续在其中占比四分之三。

当地负责处理此事的相关负责人表示，这位老师上网课时确实多次遭到网暴，但猝死和遭遇网暴是否有关联，暂无法确定，公安机关已介入调查。目前，悲剧的最终原因尚待相关部门调查，但网课入侵现象已经引发了公众的广泛关注。

为了在做好防疫工作的前提下确保教学进度，各地上网课的现象越来越普遍。大多数情况下，网课能较好地保证教学秩序，但也难以彻底排除各种意外的发生。除了早期师生的设备、网络速度等硬件能否匹配之外，网课遭入侵已经越来越成为让人头疼的问题。

所谓网课入侵，就是指老师正在上课期间，有现在被称“爆破猎手”的黑客，进入网络课堂谩骂老师或学生，发各种和教学无关的文字、图文、音乐，甚至还有淫秽色情视频等，来干扰教学秩序。其原因较为复杂，有些是学生反感上网课，自己或者邀请“爆破猎手”来捣乱，实现把网课搞黄的目的；也有些是学生之间有矛盾，通过这种方式公开报复；还有些就是纯粹的恶作剧。

在部分熟悉网络文化的年轻人看来，这可能不算什么严重的事。遇见莫名其妙的发言，及时踢出网络教室就可以了。可是对一些年纪偏大或者不熟悉网络操作的教师，这场景就会比较尴尬。除了自己被莫名羞辱之外，在全班学生面前手忙脚乱，暴露自己在网络技术方面的笨拙，对自尊心也是一种伤害。虽然这次老师的不幸猝死和网暴之间的关系有待确认，但换位思考，她面对网暴时的无奈也是完全可以想象的。

对于这类明显违法的行为，既要事前防范，也要事后追惩。某互联网知名企业曾在9月份的时候发布了网络会议的新版本，其中就有“一键暂停与会者活动”功能，用以防止网课入侵。更多相关软件也不妨加入相应的功能，方便网上教学、网络会议的主持人维持秩序。

对所谓“爆破猎手”的网络入侵，要追查到具体的黑客，从技术上可能也不会很难。此前之所以一直被漠视，可能和类似入侵所造成的后果不大有关系。正如流传出的一些“爆破猎手”发言截图显示的，这类行为通常顶多就是搞黄一堂课。

但这次的悲剧说明，看似轻微的违法行为，一旦不被及时打击而蔓延，也可能造成意想不到的严重后果。所以，除了相关平台技术上的改进，对相关人员多做技术上的辅导之外，更重要的是对这类“爆破猎手”也要加强打击力度。

从此前媒体报道以及最近流传的网络截图看，“爆破猎手”似乎已经形成了某种灰产。“爆破猎手”们在一些社交平台煽动、诱导学生下单，请他们去入侵课堂。时下，线上教学、办公的人数不少，某些明目张胆的网络入侵行为，扰乱的不仅是虚拟空间的公共秩序，也给很多人的现实生活带来了实实在在的伤害。对这些“爆破猎手”，就应该进行及时、精准、严厉的打击，还公众一个安宁、清朗的网络空间。

台湾省某部门接到举报后立刻展开调查，初步调查结果显示，在售的 20 万条信息所有者主要集中在宜兰地区，且信息全部吻合，县长林志妙、民进党立委陈欧珀的个人信息也在其中。

泄露的信息非常详细

10 月 21 日早上，海外论坛 Breach Forums 出现一篇文章，一名ＩＤ为“ＯＫＥ”的网友，在论坛兜售台湾省民众的详细资料，并表示这些资料是来自政府官网的数据。据悉，这些数据包括台湾省的人口记录，可以很容易地从这些数据中找到所有民众的兵役记录、教育记录和居住地址等个人信息。

中国台湾省某部门指出，论坛上出现的 20 万条个人资料，只是黑客抛出的样本，供买家 "测试"，黑客会和有兴趣的买家打交道，事实上，想要这些数据的人大多是电诈团伙成员。

2300 万民众数据打包出售

该名黑客以 5000 美元（约 3.6 万人民币），将 2300 多万条数据 "打包 "出售，并强调可以用比特币支付。

陈欧珀 10 月 29 日表示，已于 25日掌握黑客在贩售户政资料的消息，前天已要求相关部门尽速查明。此外，陈欧珀指出“户政资料”被黑，引起岛内民众极大震惊，会造成大家心理上恐惧。

林姿妙也要求民进党当局赶快检讨，强调保护民众个资很重要。林姿妙阵营强调，户政资料外泄已经不是第一次了，掌管户政资料的部门要说清楚，不能每隔几年就外泄一次。

中国台湾省内政部否认资料泄露

有关部门在 29 日发布的新闻稿中指出，Breach Forums 论坛在售的民众个人资料内容格式与政府部门的资料差异甚大，相关资料并非从户政部门网站泄漏，目前检调单位已着手进行调查。此外，该部门一再重申没有资料被窃取，已由检警调查，其没有调查权，不清楚资料来源。

台湾省有关单位初步调查显示，此次在 Breach Forums 论坛上兜售的户政资料，是 2018 年相关资料介接时，由其他单位泄露的。对于这种说法，政府部门表示的确有这样的传言，但目前还无法证实。

最后该部门表示，论坛上贩售的资料，看似由多个数据库组合而成，资料真实性有相似度，已交由检警调调查，并强调户政部门资讯系统采内外网实体隔离架构，资料均妥善保存于内网中，并未流出。

10月31日消息，德国铜生产商Aurubis（中文名为奥鲁比斯）宣布遭受网络攻击，被迫关闭IT系统以防止影响蔓延。

Aurubis是欧洲最大、世界第二的铜生产商，在全球拥有6900名员工，年产阴极铜100万吨。

Aurubis已经在官网上发布公告，称虽然各地IT系统已经关闭，但正常生产并未受到影响。

图片

公告中指出，“冶炼厂的生产和环保设施正在运行，进出货物也已转入人工维护。”

目前，该公司仍在评估网络攻击引发的影响，并与政府当局密切合作以加快调查进度。

Aurubis的当务之急是将产量保持在正常水平，保证原材料供应和制成品的平稳交付。

为此，该公司已经将部分操作转为手动模式，希望能在计算机辅助自动化功能重新上线之前，尽量保持冶炼厂货物的正常进出。

Aurubis公司指出，暂时无法估算需要多长时间才能让全体系统恢复正常运行。

在全面复原之前，该公司计划建立过渡性解决方案，为自身及客户提供暂时沟通渠道。目前，联络Aurubis的唯一途径只剩下电话呼叫。

尽管种种迹象表明这似乎是一起勒索软件攻击，但Aurubis方面并未提供关于攻击细节的任何说明。

值得注意的是，Aurubis提到这次攻击只是“针对金属及采矿业的更大规模袭击中的一部分”。

外媒已经联系该公司，希望了解关于此次事件的更多消息，并将第一时间带回置评回复。

最近一次针对超大型金属生产商实施勒索软件攻击的事件发生在2019年3月，当时LockerGoga团伙实施攻击，迫使铝业巨头Norsk Hydro关闭了自家IT系统。

上周四（10月27日），斯洛伐克议会议长鲍里斯·科拉尔（Boris Kollár）在电视简报会中解释称，为了着手调查此次安全事件，原定的议会投票被迫取消。

科拉尔在简报会上透露，“我们发现了一起网络安全事件……有一个信号来自某个点，干扰了我们的系统和计算机，甚至为议员们服务的自助餐厅都受到了影响。”

图片

斯洛伐克国家安全办公室（NSB）后续发表声明，确认收到了关于国民议会期间“网络安全事件”的报告。该办公室拒绝提供关于情况的更多细节，也没有回应置评请求。

值得一提的是，官员们给出的事件信息间存在冲突。有人说国民议会“报告称当天早上记录到IT服务中断”，并导致会议提前结束。但斯洛伐克国家安全局（NBU）发言人彼得·哈巴拉（Peter Habara）提醒说，这起（网络安全）事件可能不是网络攻击，只是普通的系统中断，网络攻击是一种“故意行为”。

据斯洛伐克共和国通讯社（TASR）发言人米凯拉·尤尔乔娃（Michaela Jurcová）介绍，“对这起网络安全事件的初步分析表明，网络通信确实出现了异常，结果导致所有组件功能均受到影响，包括接入网络基础设施的投票设备。”

该国执法机构目前正与国家安全局合作开展调查。

科拉尔称这起事件“非常严重”，并取消了11月8日之前的所有原定会议。他还指出，如果能早点解决问题，议会也可以考虑在下周重启会议。

斯洛伐克一些反对党派对事件本身以及应对决定提出了质疑。反对党政客安娜·泽马诺娃（Anna Zemanová）在采访中表示，把会议推迟到11月8日简直“荒谬”，并声称此次攻击可能是在故意拖延时间，避免执政党的几位政客在重要立法会议上缺席。

继罗马尼亚、意大利、立陶宛、挪威、波兰、芬兰和拉脱维亚之后，斯洛伐克成为又一个议会遭受网络攻击的国家。就在上周，保加利亚政府网站也受攻击影响，官员们将事件归咎于某亲俄罗斯黑客团伙。

据路透社报道，波兰议会上周四同样遭遇了网络攻击。

库兹涅佐夫周二对Rossiya 24电视台表示，DDoS攻击是一种拒绝服务攻击，涉及至少104000名黑客，他们在不同国家拥有至少30000台电脑。

这位高级管理人员强调，尽管在这种条件下工作非常复杂，但该银行启动了先进的安全协议，并继续不受干扰地运营。

这位银行高管解释说，他们的团队找到了成功阻止网络攻击的必要资源。

库兹涅佐夫补充道，今年迄今为止，Sberbank的系统至少遭遇了470次网络攻击，超过了过去七年中检测到的所有攻击。

根据该公司的调查，攻击者获得了 "大量的健康索赔数据"，其中包含了ahm健康保险子公司和国际学生的个人数据。

Medibank是澳大利亚最大的私人健康保险供应商之一，为全国约390万客户提供服务。

"我们有证据表明，罪犯已经删除了其中的一些数据，同时罪犯很可能已经窃取了个人和健康索赔数据，"该公司进一步补充说。因此，预计受影响的客户数量可能会大幅增加。

该公司还表示将继续调查，以确定具体哪些数据在这次攻击中被盗，并将直接通知受影响的客户。

现该事件已成为澳大利亚联邦警察（AFP）调查的对象，与此同时，Medibank公司表述已被一个犯罪行为人联系，声称盗走了200GB的数据。

这些数据包含了名字、姓氏、地址、出生日期、医疗保险号码、保单号码、电话号码和一些索赔数据。这些索赔数据包括客户接受医疗服务的地点，以及他们诊断的信息。

其他唯一可识别的个人信息，如与国际学生保单有关的护照号码也被非法访问，但Medibank表示，现没有发现任何证据能直接表明借记的细节已被破坏。

在一份单独的投资者公告中，Medibank表示，它已经加强了其监测能力，以防未来发生此类攻击。Medibank估计这次网络犯罪事件给他们带来的损失在2500万到3500万澳元之间。

同时建议客户对任何网络钓鱼或smishing诈骗保持警惕，该公司承诺为那些 "因为此次事件受损的客户 "提供免费的身份监测服务和财务支持。

事实上在Medibank被黑之前，澳大利亚电信巨头Optus的也遭受到网络攻击，导致其近210万名现有和以前的客户数据被盗。

这些明目张胆且具有破坏性的数据泄露事件促使澳大利亚政府出台了严格的数据保护法，其中就包括从目前的220万澳元上限提高到最高5000万澳元的货币处罚。

澳政府新出台的《2022年隐私立法修正案》也赋予澳大利亚信息专员更多的权力来解决隐私泄露问题。

澳总检察长Mark Dreyfus表明：根据最近几周的重大隐私泄露事件表明，现有的保障措施是不够的。我们需要更好的法律来规范公司管理他们收集的大量数据，以及更大的惩罚来激励更好的行为。

Cybernews研究小组发现，汤森路透至少保留了三个任何人都可访问的数据库。其中一个是面向公众的ElasticSearch数据库，3TB大小，包含该公司各个平台的最新和最敏感信息。汤森路透已经发现该问题，目前已修复。

汤森路透为客户提供的产品和平台包括企业对企业媒体工具Reuters Connect、法律研究服务和数据库Westlaw、税务自动化系统ONESOURCE、编辑和源材料在线研究套件Checkpoint以及其他工具。

ElasticSearch数据库对威胁行为者来说是一个宝库，可以利用泄露的信息进行社会工程学攻击和勒索攻击，在地下犯罪论坛上可能价值数百万美元。

据了解，该数据库开放了好几天，恶意机器人能够在短短几小时内侦测到。汤森路透快速解决了该问题，并表示它只影响“汤森路透全球一小部分客户”。

汤森路透服务器内ElasticSearch索引的命名表明，这个开放的数据库被用作日志服务器，以收集用户-客户互动的大量数据。开放数据库还包含登录和密码重置日志。虽然这些日志不会暴露旧密码或新密码，但可以看到帐户持有人的电子邮件地址，以及发送密码更改查询的确切时间。

另一个敏感信息包括SQL（结构化查询语言）日志，它记录了用户查询信息和返还的信息。开放的数据库还包括对YouTube等其他平台的内部筛选、汤森路透客户的访问日志以及与其他数据库的连接字符串。

汤森路透声称，三个配置错误的数据库中，有两个被设置为可公开访问。第三台服务器是一个非生产性服务器，用于存储“生产前/实施环境的应用日志”。

ElasticSearch是一种非常常见和广泛使用的数据存储，容易出现配置错误，这使得任何人都可以访问它。这种情况下，敏感数据是开放的，并且已经被流行的物联网搜索引擎索引。Cybernews安全研究主管Mantas Sasnauskas表示，这为恶意行为者提供了一个巨大的攻击面，不仅可以利用内部系统，还可以进行供应链攻击。一个简单的人为错误就可能导致毁灭性的攻击。

产品中装摄像头消费者和乐歌都有说法

据悉，在黑猫投诉上，该投诉者表示：本人在某平台购买乐歌a9智能升降台，收货后发现有三个重要问题：1、台面升高后极不稳定，晃动异常大，根本无法正常办公；2、所谓的海量资讯库根本无法点开；（以上2点我可以提供视频证明）；3、这款产品的数码屏内偷偷暗藏了一颗摄像头，但是产品本身没有需要用到摄像头的地方，卖家也表示认可，他们的回答是摄像头是闲置的，我想问作为刚上线的新产品你们既然没有摄像功能，为什么要“好心偷藏一颗摄像头，还不在产品页中告诉消费者？究竟是什么居心？这和出租车上触动屏里藏摄像头一样偷偷获取顾客面容信息一样是非法行为，要求严惩！

之后，乐歌通过书面回应的方式，回复了媒体。乐歌方面称，出于谨慎考虑，公司已对该款产品做下架处理。

对于安装摄像头一事，乐歌回复函中提及：“该产品随附的智慧屏内置摄像头系用于公司开发的无接触心率检测功能，目的是为用户提供健康增值服务。该项功能软件技术难度高，需要硬件和软件算法高度配合。该产品在很局部使用过程中存在一些兼容性问题，当前该项功能在研发上正在进一步开发和完善，当前该项功能已经关闭。因此，实际上该内置摄像头当前属于闲置状态，根本不存在窃取用户隐私的问题。”

另外乐歌方面表示，未来，公司正式全面向消费者提供该项服务功能时，会向消费者进一步在说明书中说明，征得消费者同意，在自愿的基础上提供收费服务。届时，公司将提交智慧屏的相关代码于权威第三方平台检测排查，并按照相关法律不滥用该装置调取用户隐私之行为。同时，我们愿意为摄像头引起消费者的困扰表示歉意。

WhatsApp是一款可以免费拨打电话和发送短消息的通信软件，2014年，该平台被Facebook以220亿美元收购，如今与Facebook和Instagram等知名社交媒体平台同属母公司Meta。英国广播公司（BBC）25日报道称，许多人在社交媒体上抱怨他们无法发送或接收信息。不仅是英国，WhatsApp的崩溃在全球范围内引发很多网民强烈反应。统计数据显示，它在全球拥有约20亿活跃用户，在非洲、欧洲、印度和南美尤其受欢迎，2022年位居软件下载量第四名。

运营商报错网站Down Detector的数据显示，WhatsApp于美国东部时间3时许出现状况，并于美东时间5时左右基本恢复正常。美国《纽约时报》称，考虑到该软件的用户规模和其在许多国家作为不可或缺的地位，每一秒的访问障碍都会带来意想不到的后果。BBC称，此番WhatsApp的服务中断还在英国引发不小争议，因为政府官员也在使用该平台。此外，中国香港、南非、新加坡和印度等地也有该问题的报告。

事后，WhatsApp发言人乔什·布雷克曼在社交媒体平台上表示，“我们知道人们今天在使用WhatsApp发送消息时遇到了麻烦，我们已经解决了这个问题，并对带来的不便表示歉意。”不过，他并没有具体说明问题的原因。

据《纽约时报》介绍，此次并非WhatsApp第一次发生问题。去年10月，包括该平台在内的Facebook应用程序家族服务中断了大约5个小时。《纽约时报》表示，此次故障对于Meta来说是一个“不幸的时刻”，因为该公司最近发起了一场大型广告宣传活动，声称“WhatsApp是其他消息服务平台安全可靠的替代品”。

路透社报道称，该事故发生后，Meta的股价下跌了0.7%。

该组织网站上的一份声明称：“应该指出，用户电子邮件中的内容包含技术信息以及日常交流信息。” “很明显，这属于出于绝望而进行的非法活动，目的是引起公众的关注。”

但是上周六，一个名为Black Reward的伊朗黑客组织在Telegram和Twitter上发帖宣称窃取了伊朗布什尔核电站的活动信息。该组织在帖子中声称，该黑客攻击是为了支持全国范围内的一场持续的抗议活动（起因是一名伊朗年轻女子Mahsa Amini因未能正确佩戴头巾遭拘留并在警方拘留期间死亡）。

Black Reward威胁要在24小时内发布在攻击中窃取的核电站信息，除非当局释放在最近的骚乱中被捕的人。

上周日，该组织如期发布了一个指向其Telegram频道的信息下载链接。该组织在Twitter上表示，这些信息包括大约8.5万封电子邮件的“经过清理的、可用浏览器查看的版本”。

该组织声称，泄露的信息包括布什尔发电厂各部门的管理和运营时间表，以及在那里工作的伊朗和俄罗斯核专家的签证和护照信息、财务收据以及与当地和外国组织的协议。

布什尔核电站于2011年使用俄罗斯技术建造，是伊朗第一座位于波斯湾沿岸的核电站。本周末布什尔核电站遭遇的网络攻击并非伊朗核计划遭遇的首次攻击。

2010年首次曝光的Stuxnet恶意蠕虫病毒通过感染伊朗纳坦兹核设施中的Windows电脑来攻击伊朗的核计划，并造成了重大损失。Stuxnet也被认为是美国和以色列联合开发的网络攻击武器。据报道，Stuxnet感染了超过20万台计算机并导致1000台设备受损，破坏了伊朗近五分之一的核离心机。 

该公司的IT团队正在协同外部专家着手调查此事，希望找出持续中断背后的原因。

据技术博主Günter Born发布的报告，至少自10月17日以来，IT中断就一直影响着麦德龙公司在奥地利、德国和法国的门店。

该公司在官方网站上发布说明称，“麦德龙（METRO/MAKRO）的部分IT基础设施内有多项技术服务正处于中断状态。麦德龙IT团队已经第一时间与外部专家共同开展彻查，希望确定引发服务中断的原因。”

尽管门店仍在营业，但麦德龙方面称其被迫建立起线下支付系统，并且在线订单已经延误。

该公司指出，“虽然麦德龙门店正在经营且定期提供服务，但可能出现中断和延误。Web应用和在线商店上的订单正在处理中，但预计同样会出现延误。”

麦德龙已经将此次安全事件上报政府当局，并将配合开展涉及攻击细节的后续调查。

麦德龙是一家面向酒店、餐厅与餐饮行业客户的跨国批发公司，业务遍及30多个国家，在全球范围内拥有超过95000名员工。

截至2022年9月30日，麦德龙以METRO和MAKRO两大品牌经营着总计661家批发超市门店。

截至目前，该公司还没有公布此次网络攻击的具体性质，但IT基础设施中断大多与勒索软件攻击有关。

麦德龙在最新公告中提到，“我们将继续深入分析和监控，并根据实际需要发布更新。麦德龙对此次事件给各客户及业务合作伙伴造成的任何不便深表歉意。”

外媒就此事主动联系了麦德龙公司，对方发言人表示由于调查仍在进行当中，该公司无法分享关于事件的更多信息。

根据Günter Born网站的一份报告，至少从10月17日起，麦德龙奥地利、德国和法国地区的门店已经发生IT故障。

麦德龙在其网站声明中透露：“麦德龙目前正在经历几项技术服务的部分IT基础设施中断。IT团队已联合外部专家展开全面调查，寻找服务中断的原因。”

尽管麦德龙的门店仍在运营，但麦德龙表示，服务可能中断或延误，线上订单正加紧处理中，但预计会出现延迟。为了应对服务中断，麦德龙还启用了线下支付系统。

麦德龙已将这起安全事件通知了当局，并表示将配合任何与攻击有关的调查。

麦德龙是一家面向HoReCa（酒店、餐厅和餐饮）行业客户的国际批发公司，业务遍及30多个国家，在全球拥有超过9.5万名员工。它旗下Metro和Makro 两个品牌经营着661家批发门店（截至2022年9月30日）。

当媒体就此次攻击事件联系麦德龙时，该公司表示，此次网络攻击正在调查中，尚不能分享更多信息。据媒体推测，IT基础设施中断通常与勒索软件攻击有关。

网络攻击一向是零售公司头疼的问题，它通常导致中断和延误。此前，美国连锁便利店7-Eleven因网络攻击导致丹麦各地的结账和支付系统瘫痪，不得不关闭170多家线下门店。

Pendragon在安全公告中声称：“我们在部分 IT 系统中发现了可疑活动，并确认我们遇到了 IT 安全事件。”在10月21日接受英国《泰晤士报》采访时，该公司首席营销官 Kim Costello 透露攻击发生在大约一个月前，并表示攻击者以发布被盗数据为威胁，要求在截止日期前支付高额赎金。经过其他媒体查证，确认LockBit 的索要金额为 6000 万美元。

“我们坚持不向攻击者付款！”该公司发言人说道。为了回应外界担忧，发言人强调称攻击发生后，公司 IT 团队立即做出了反应，调查结果显示，黑客仅窃取了数据库中 5%的数据。

BleepingComputer 已联系该公司以获取有关被盗数据的更多信息，以及如果黑客泄露数据会产生的影响，但在发布时没有收到任何回复。

Pendragon在英国遍布200多个经销商站点，拥有 CarStore、Evans Halshaw 和 Stratstone 豪华汽车零售品牌。就在攻击发生的同一个月，Pendragon曾收到另一家知名经销商集团Hedin Mobility价值4亿英镑（约4.52亿美元）的收购申请。

10月21日消息，据报道，印度反垄断监管机构“竞争委员会”（CCI）周四责令谷歌整改安卓平台的垄断行为，并对公司处以133.8亿印度卢比(约合1.6195亿美元)的罚款。

CCI表示，谷歌利用安卓系统在线搜索和应用商店等市场的主导，保护其Chrome和YouTube等应用在浏览器和视频程序中的垄断地位。

对此，印度要求谷歌整改安卓系统的一些反竞争行为，包括允许智能手机用户卸载谷歌地图和Gmail等预装应用程序，以及给予他们选择其他搜索引擎的权利。

另外，CCI还要求谷歌不得与智能手机制造商形成分成协议，比如“捆绑销售”等，确保自身的唯一性，完全将竞争对手排除在外。

据数据显示，在印度6亿部智能手机中，有97%搭载的是安卓操作系统。CCI在一份声明中表示：“应该允许市场基于价值进行公平竞争，而主要竞争者(本案中指谷歌)有责任确保其行为不会影响这种竞争。”

此外，在9月份，欧盟针对谷歌安卓垄断的调查，欧洲普通法院做出了裁定，谷歌上诉失败，维持了欧盟之前对谷歌滥用安卓打击竞争对手的判决，不过将之前的罚款金额从43.4亿欧元减少到了41.25亿欧元，分别折合人民币300、286亿元。

而在8月份，澳大利亚联邦法院对谷歌开出了6000万美元（约合人民币4.04亿元）的巨额罚款，其原因则与用户的隐私安全有关。

7月份，因为在3月19日期限之前拒绝自愿支付罚款，俄罗斯联邦法警将对谷歌立案，并强制执行72亿卢布(约合人民币6.6亿元)的营业额罚款。

经营27家医院的倡导者Aurora Health在一份声明中表示，违规行为可能暴露了包括患者医疗提供者、预约类型或医疗程序、预定预约的日期和地点以及IP地址在内的信息。

该系统表示，其调查发现没有涉及社会保障号码、财务信息或信用卡和借记卡号码。

该系统将漏洞归咎于其使用像素（收集用户如何与网站交互信息的计算机代码）的使用，包括谷歌和Facebook母公司Meta开发的产品，这些产品使这些公司可以访问收集的数据。

声明说：“这些像素不太可能导致身份盗窃或任何经济伤害，我们没有证据表明该事件导致滥用或欺诈事件。”“然而，我们始终鼓励患者定期查看他们的财务账户，并立即报告任何可疑、未识别或不准确的活动。”

医疗保健行业对像素的使用受到了隐私倡导者的广泛批评，他们警告说，该技术的使用违反了联邦患者隐私法。

The Markup在6月份发布的一份报告发现，该国许多顶级医院使用Meta Pixel，收集并向这家社交媒体公司发送敏感的患者信息。

Advocate Aurora Health的声明没有具体说明是什么促使其决定在MyChart网站上公布其像素的使用，患者在该网站上安排预约，与提供商办公室沟通并查看测试结果。该声明称，卫生系统已禁用或删除了所有像素，并正在继续内部调查。

根据卫生与公众服务部的调查日志，卫生系统周五通知了该违规行为，该漏洞影响了多达300万患者。

密歇根大学专注于医疗保健创新的法律教授Nicholson Price表示，这一宣布提醒我们，健康信息的保护往往低于美国消费者的希望。

Price说：“患者将这些登录网站视为查看特别私人信息的地方。”“因此，（对他们来说）了解那里使用的这种跟踪技术更令人惊讶。”

微软在2022年9月24日获悉该泄露事件后加固了服务器安全，“配置不当可导致对微软与客户之间的某些企业交易数据的未认证访问权限。经过调查未发现客户账号或系统受陷。我们已直接告知受影响客户。”

微软表示，遭暴露的信息包括姓名、邮件地址、邮件内容、公司名称和电话号码，以及文件，而这些文件与受影响客户和微软或越权微软合作伙伴之间的业务相关联。微软指出，这次数据泄露是因“对端点的无意配置不当造成的，不过该端点并未在微软生态中使用”，而非因安全漏洞造成。

被泄数据与全球6.5万个实体有关

虽然微软并未提供与该数据泄露事件相关的其它详情，但发现这起数据泄露事件的SOCRadar 公司发布博客文章指出，该数据存储在配置不当的 Azure Blob Storage 上。

SOCRadar表示，该公司能够将这些敏感信息与111个国家超过6.5万个实体关联在一起，覆盖2017年到2022年8月。该公司指出，“2022年9月24日，SOCRadar的内置云安全模块检测到，由微软维护的一个配置不当的 Azure Blob Storage 中包含属于高级别云提供商的敏感数据。”SOCRadar 指出，分析发现被泄数据“包括执行验证和工作说明 (SoW) 文档、用户信息、产品订单/报价、项目详情、个人可识别信息数据和可能泄露智慧财产的文档”。

微软指出， SOCRader“大大夸大了问题范围”以及“数字”。微软还表示，SOCRadar 收集该数据且通过专门的搜索门户使其可搜索的做法，“并不符合确保客户隐私或安全的最佳利益，而且可能将它们暴露到不必要的风险之中”。

可搜索被泄数据的在线工具

SOCRadar 给出的数据泄露搜索门户为BlueBleed，可使企业查看自己的敏感信息是否暴露。除了查找微软配置不当的服务器中的信息外，该门户还允许用户搜索从其它公开存储桶中收集到的数据。

单是微软的服务器，SOCRadar公司就声称从中发现2.4TB的数据中包括敏感信息，其中包括33.5万份电子邮件、13.3万个项目和54.8万个被泄露的用户。

根据SOCRadar的分析，这些文件中包括客户邮件、SOW文档、产品报价、POC文档、合作伙伴的生态系统详情、发票、项目详情、客户产品价格表、POE文档、产品订单、已签名的客户文档、客户的内部评论、营销策略和客户资产文档。

SOCRadar 提醒称，“访问该存储桶的威胁行动者可利用该信息，实施勒索、通过被暴露的信息制作社工技术、或者将该信息出售给暗网和Telegram频道上出价高的竞价者。”

SOCRadar 公司的发言人并未就此事置评。

上周六，该报已经发布了6页“应急”版，所有计划发表的讣闻均转移至官方网站。而且整个周末期间，报社的电话和电子邮件通信始终未能恢复上线。

这份地区性出版物的发行量约为75000份，受印刷问题的影响，其官方网站已经暂时取消了付费墙模式。该报的网站月度访问量约为200万次。

报社主编Uwe Ralf Heer表示，此次攻击对整个Stimme Mediengruppe媒体集团都造成了影响，具体包括旗下的Pressedruck、Echo与RegioMail等公司。

发行量25万4千份的Echo受到网络攻击影响，连网站上的电子版访问都出现了问题。但其在线新闻门户Echo24.de仍在正常运行。

Heer指出，此次攻击出自某知名网络犯罪团伙之手。该团伙于上周五晚对其系统进行了加密，并留下勒索说明。但截至上周六下午，对方仍未给出具体的赎金数额。

 员工开始居家办公

按照报社通知，该报编辑开始在家中使用个人电脑工作，并拿到了由报社发放的新邮件地址。

该媒体集团正在与警方合作，希望尽快找到解决技术问题的方法，同时努力查明肇事元凶。

应德国内政部长Thomas Strobl的要求，巴登-符腾堡州的网络安全专家也开始协助修复工作。

通知中写道，“我们正与警方、数据保护及外部专家开展正式合作，希望尽快将运营恢复至正常水平。”

“但就目前来看，我们无法预测能否在一周之内恢复报纸交付。”

在印刷系统恢复正常之前，《海尔布隆言论报》将继续通过来自卡尔斯鲁厄的第三方印刷“应急”版报纸。

由于该媒体集团本身也是发行商，因此海尔布隆地区的《南德意志报》（Süddeutsche Zeitung）和《斯图加特报》（Stuttgarter Zeitung）等其他主要报纸（发行量达35万份）也将暂停发行，直至另行通知。

欧洲刑警组织称，“该犯罪团伙专门以支持无钥匙进入及启动系统的车辆为目标，滥用该技术将汽车开走。他们使用的欺诈工具原本被作为汽车诊断解决方案销售，可用于替换车辆的原始软件，能够在未拿到车钥匙的情况下打开车门并启动点火装置。”

专家指出，针对无钥匙车辆的盗窃难度甚至比传统偷车方法更低，毕竟传统偷车贼还要学习仿配机械钥匙和对线打火的技术。而且除盗窃之外，还有其他网络威胁在对汽车虎视眈眈。2015年，已经有安全研究人员成功以远程方式令行驶在高速公路上的吉普车（Jeep）熄火。

在这个联网程度日益提升的行业中，电动汽车与自动驾驶汽车正逐渐拓展更大的商业版图。由于政府尚未做出明确要求，由此引发的安全风险在短时间内恐怕不会消退。（据估计，去年全美公路上共行驶着8400万辆联网汽车。）

网络安全公司ExtraHop服务主管Rafal Los表示，“如今的汽车正逐渐发展成带轮子的计算机，因此来自攻击方的威胁也愈发严峻。”

当然，也已经有人在采取应对措施。网络专家表示，在里程碑式的Jeep黑客事件之后，汽车行业已经着手改善车辆的网络安全水平。美国国家公路交通安全管理局在9月还更新了2016年发布的关于车辆网络安全的指南。当然，专家们也承认单凭这些还远远不够。

盗窃狂潮

由于各地执法部门向FBI提交的数据减少，全美犯罪统计数据的可靠性已经大不如前，但仍有迹象表明，近年来汽车盗窃案件有所增加。

今年7月，参议员Edward J. Markey曾给汽车制造商写信道，“自1990年代以来，允许用户无需机械钥匙即可打开车门、启动车辆的无钥匙进入系统曾经是降低车辆盗窃率的利器。但在随后的30年中，情况开始急转直下。虽然引发这种转变的确切原因尚不明确，但越来越多的证据表明，无钥匙进入系统可能正是导致情况恶化的一项因素。”

不过，行业组织汽车创新联盟对Markey的说法回应称，无钥匙系统其实增强了安全水平。该行业组织还赞扬了其他围绕无钥匙设计的安全措施，例如允许车主手动停用遥控钥匙功能。

联盟事务副总裁Garrick Francis写道，“缓解盗窃问题是一项需要持续推进的努力，而规定性要求通常是创新探索的障碍。汽车制造商在设计、评估和实施无钥匙进入系统的安全功能时，必须拥有充分的灵活性，这样汽车行业才能快速响应种种可能影响车主的新问题。”

尽管如此，研究人员已经用实例反复证明了，自己成功入侵车辆、开启发动机的能力，近几个月来特斯拉、本田汽车均已相继沦陷。

CanBusHack公司总裁兼Def Con安全大会Car Hacking Village创始人Robert Leale表示，“有些汽车公司的安全措施简直可笑。只要想办法入侵了一辆车，往往就能入侵同品牌旗下的所有车型。”

直接熄火

远程熄火引发的危险后果无疑更加令人心惊。虽然发生频率相对较低，或者单纯发生在实验环境下，但却直接关乎使用者的生命安全：

一名心怀不满的前得克萨斯汽车中心雇员，据称曾在2010年利用收回软件远程禁用了100多名司机的车辆。

在2015年的黑客攻击中，研究人员成功切断了Jeep汽车的变速箱和刹车，开启收音机并打开了前雨刷器。此次事件也让克莱斯勒公司首次、也是唯一一次以网络安全为由召回了140万辆汽车。同一批研究人员还在召回之后再次尝试黑客攻击，旨在进一步做出漏洞验证。

前白宫网络官员Richard Clarke表示，2013年记者Michael Hastings的死亡“很可能与汽车网络攻击有关”，但验尸官的报告和Hastings家人的证词排除了这种可能性。

行动了，但没完全行动

虽然联合国和欧洲已经着力推进关于车辆的网络安全规则，但美国在这方面却一直表现得比较迟钝。去年，两党基础设施法案确实引入了一项要求联邦公路管理局设立网络安全协调员的规定。白宫方面本月还启动一项为安全“物联网”设备添加标签的倡议，但先期主要针对路由器和摄像头。

Leale称，目前汽车制造商还没有充分的经济动力，去主动实施防盗措施。

“他们通常不想增加成本，并且盗窃对汽车厂商其实没什么影响。此类事件影响到的更多是用户和保险公司。”

草根数字安全倡议I Am the Cavalry创始人Joshua Corman表示，他们曾经在2014年推出过汽车网络安全的“五星级”计划，其中一些已经得到业界接纳，例如为上报bug的研究人员提供激励措施。

网络安全厂商Claroty的网络和物理安全副总裁Corman表示，“当我们发布这项「五星级」计划时，还没有任何一家汽车厂商能够满足全部五点要求。而且时至今日，仍然没有哪家厂商能够满足全部五点要求。所以现在的问题是，我们能是否能拿出充分的政治意愿，采取足够积极的行动来适应这种威胁形势？”

上周六，韩国首尔南部郊区的 SK 公司 C&C 板桥数据中心数据中心发生火灾，火灾导致停电，造成约 3.2 万个服务器瘫痪。

IT之家获悉，服务中断导致该国一些最常用的应用程序和网站宕机，包括 Kakao 以及该公司的在线支付、游戏和音乐流媒体服务。

这些故障突出了韩国对 Kakao 消息的依赖程度，Kakao 消息是许多政府和商业服务的默认通信方式。

韩国政府要求，应采取措施防止此类事件再次发生，包括确保数据得到备份和事故得到迅速报告。

Kakao 公司在 8 月的一份报告中说，Kakao 消息应用 Kakao Talk 在韩国有超过 4700 万活跃用户，在全球有 5300 万用户。

另一家韩国互联网企业 NAVER 也使用同一数据中心，却在几小时内恢复服务。这是因为 NAVER 还在春川等其他数据中心分散储存数据，即使一处出现问题，也能通过其他数据中心恢复正常运营。

发生火灾的SK公司C&C板桥数据中心有Kakao、NAVER、SK电信等企业入驻。韩联社报道称，15日下午3时19分左右，该数据中心发生火灾，3时22分服务电源被切断。韩国警方和消防部门16日表示，初步研判火灾是电气因素导致电气设备室电池周围起火所致。调查发现，安装在地下三层电气设备室的5个电池机架全部被烧毁。火灾并未造成人员伤亡，但通信软件Kakao Talk、门户网站Daum等大部分Kakao服务和NAVER的部分服务瘫痪。

《环球时报》驻韩国特派记者15日曾使用Kakao Talk与朋友联系，从下午3时13分后便未接收到对方的回复信息。16日上午10时许，记者在Kakao Talk上收到前一天朋友回复的信息，但电脑版客户端依然不能正常使用。16日下午5时左右，记者的电脑版Kakao Talk才能正常登录。

韩国《国民日报》16日报道称，16日下午2时，Kakao Talk的文字信息发送和接收功能才完全恢复正常，但照片和视频的发送功能仍在修复。Kakao公司表示，无法确定彻底恢复服务的时间。Kakao公司代表南宫勋称，整个数据中心受到影响是非常罕见的情况，采取相关措施需要比预期更长的时间。不过Kakao方面表示，此次事故导致数据损失的可能性为零。

《韩国时报》报道称，对韩国国内外数以千万计的Kakao用户来说，这是一场混乱，他们的日常生活在周末全乱套了。他们在很大程度上依赖该公司的在线服务，这些服务在过去10年变得越来越受欢迎。

报道称，纵观整个韩国IT业界，很难找到发生10小时左右服务故障的事例。因此，有人批评Kakao的灾难恢复系统不健全。SK公司C&C板桥数据中心是Kakao主要的数据中心，15日的火灾导致停电，造成约3.2万个服务器瘫痪。另一家韩国互联网企业NAVER也使用同一数据中心，却在几小时内恢复了服务。这是因为NAVER还在春川等其他数据中心分散储存数据，即使一处出现问题，也能通过其他数据中心恢复正常运营。

由于Kakao Talk是韩国人主要使用的即时通信软件，这一事故引起韩国总统尹锡悦和政府相关部门的重视。尹锡悦称，相关部门不仅要准确掌握事故原因，还要制定包括设置双数据中心在内的事故预防方案和事故发生时的应对策略。韩联社报道称，尹锡悦15日就要求科学技术信息通信部长官李宗昊迅速处置这一事故。李宗昊表示，作为主管相关事务的官员深感责任重大，对给国民带来巨大不便表示歉意。李宗昊还承诺，政府将完善通信服务相关设施的检查和管理体系，积极研讨所需的制度和技术对策，以防类似情况重演。

韩总统办公室一名高级官员接受媒体采访时表示，有必要调查Kakao等企业是否在国民遭受不便时采取放任态度。另据韩国纽西斯通讯社报道，就此事件，Kakao创始人金范洙将于24日作为国会科学技术信息广播通信委员会国政监察证人被传唤。而导致服务瘫痪的SK公司C&C板桥数据中心的代表预计也将接到传票。

近日，一位韩国的谷歌地图用户在使用该应用时，发现自家客厅360度的全景照片正在被公开展示。图源：韩联社

据报道，家住首尔市恩平区的一位80岁老人近日学会在电脑上使用谷歌地图的“街景视图”功能，以此来欣赏户外街景，消磨时间。然而，老人在本月9日使用该应用查看自家公寓街景时吓了一跳。在他点击所住公寓具体楼栋查看照片时，竟发现自家客厅360度的全景照片正在被公开展示。照片中，家中客厅、厨房、地板、天花板的模样都被一览无余。

老人向韩联社表示，点开图中原点区域，就能通过谷歌地图的“街景视图”功能看到自家客厅的全景照片。 

报道称，这张室内全景照片在谷歌系统中显示是在2019年11月由用户本人上传的。对此，老人表示，根据照片中家里客厅的样子，可以推断拍摄时间大概是在2013年左右。当时，为了防止家中的小孙子摔倒受伤，客厅地面铺设了很多海绵地板软垫。但老人还称，自己最近才学会使用谷歌地图“街景视图”功能，此前根本不知如何拍摄全景照片，更别提亲自上传了。同时，老人的家人们也同样表示，没有拍摄并上传过相关照片。因此，老人质疑家中电脑可能被黑客入侵，谷歌地图的图像上传系统也存在侵犯个人隐私等问题。于是，老人于本月11日向谷歌发送了邮件，要求删除相关照片。

据报道，12日，谷歌方面删除了相关照片，但并未就此事向老人做出任何道歉或说明。老人向韩联社记者表示，谷歌这样的做法非常不负责任，一想到有人看着自己的私生活，就感到非常的不安和不快。在这之前，老人也曾给谷歌方面打过电话，但没有人接听，因为联系不上，就连要求删除照片都很困难。

事后，谷歌方面向韩联社表示，“经确认，我方判断相关图像是由用户提供的”，“谷歌重视保护用户个人信息，不会在谷歌地图‘街景视图’中收集个人住宅内部图像。同时，谷歌地图的用户同样也适用于相关条款，一经发现违规行为，将会删除相关图片，并封号处理 ”。至于老人住宅客厅的全景照片是如何上传到谷歌地图上的，韩联社称这至今仍是个谜。

该报道一出，立即引发了韩国网民的关注和讨论。有人认为这是老人忘记自己上传过相关照片而引发的“乌龙”事件，但也有很多人同样对谷歌方面提出了“侵犯隐私”的相关质疑。

一位网民在报道下质疑老人的说法：“是本人忘记自己上传过相关照片了吧”↓

但另一位网民针对谷歌指责道：“谷歌和脸书都是偷个人信息的‘小偷’。”↓

还有网民随声附和道：“以后看来在使用谷歌时，要小心勾选用户同意条款了。”↓

更有韩国网民表示：“哎…谷歌好像随时监听人们的私生活和私下的对话。手机虽然为人们带来便利，但同时个人信息却被不断泄露。”↓

工业网络安全公司Claroty在一份新报告中表示：“攻击者可以使用这些密钥对西门子SIMATIC设备和相关的TIA Portal进行多次高级攻击，同时绕过其所有四个访问级别保护。”

“黑客可能会利用这些机密信息，以无法修复的方式破坏整个SIMATIC S7-1200/1500产品线。”

该关键漏洞被追踪为CVE-2022-38465，在CVSS评分为9.3，西门子已在2022年10月11日发布的安全更新中对其进行了处理。

受影响的产品和版本列表如下：

SIMATIC 驱动控制器系列（2.9.2之前的所有版本）

SIMATIC ET 200SP 开放式控制器 CPU 1515SP PC2，包括 SIPLUS 变体（21.9 之前的所有版本）

SIMATIC ET 200SP 开放式控制器 CPU 1515SP PC, 包括 SIPLUS 变体（所有版本）

SIMATIC S7-1200 CPU 系列, 包括 SIPLUS 变体（4.5.0 之前的所有版本）

SIMATIC S7-1500 CPU 系列, 包括相关的 ET200 CPUs 和 SIPLUS 变体（V2.9.2 之前的所有版本）

SIMATIC S7-1500 软件控制器（21.9 之前的所有版本）

SIMATIC S7-PLCSIM 高级版（4.0 之前的所有版本）

Claroty表示，它能够通过利用西门子PLC中之前披露的漏洞（CVE-2020-15782）来获得对控制器的读写权限，从而恢复私钥。

这样做不仅可以让攻击者绕过访问控制并覆盖本机代码，还可以完全控制每个受影响的西门子产品线的PLC。

CVE-2022-38465反映了去年在罗克韦尔自动化PLC（CVE-2021-22681）中发现的另一个严重漏洞，该漏洞可能使对手能够远程连接到控制器，并上传恶意代码，从PLC下载信息或安装新固件。

Claroty在2021年2月指出:“该漏洞在于Studio 5000 Logix Designer软件可能允许发现秘密加密密钥。”

西门子建议客户仅在受信任的网络环境中使用传统PG/PC和HMI通信，并安全访问TIA Portal和CPU，以防止未经授权的连接。

这家德国工业制造公司还采取措施，使用TIA Portal版本17中的传输层安全性（TLS）对工程站、PLC和HMI面板之间的通信进行加密，同时警告“黑客滥用全球私钥的可能性越来越大。”

这些是在工业网络中使用的软件中发现的一系列重大漏洞中的最新发现。今年6月初，Claroty详细介绍了西门子SINEC网络管理系统（NMS）中的十几个漏洞，这些漏洞可能会被滥用以获得远程代码执行功能。

然后在2022年4月，该公司在罗克韦尔自动化PLC中发现了两个漏洞（CVE-2022-1159和CVE-2022-1161），这些漏洞可能被利用来修改用户程序并将恶意代码下载到控制器。

令人吃惊的是，新冠检测信息这种高敏感数据躲过了黑客攻击，却因人为原因大规模泄露。实时筛出携带新冠病毒个体，可以有效阻隔疫情传播，但检测时需要收集大量民众个人信息，存储、监管如此数量级的数据会存在很大安全风险，更不用说，网络犯罪分子早就盯上了核酸相关信息这块香饽饽。

本文盘点一些典型新冠核酸检测信息泄露事件 ，我们一起看看其中的“神操作”。

印度屡屡贡献信息泄露的神操作

新冠疫情蔓延至印度后，使其成为了主要的“毒窝”，培育出诸如德尔塔等众多变异毒株。面对疫情，印度政府不仅没有采取科学防疫措施，其新冠检测数据更是频频泄露，甚至处于放任自流的状态。

800 万份检测报告数据在暗网出售

2021 年 3 月，安全研究人员 Sourajeet Majumder 称其发现某印度政府网站泄露数百万民众核酸检测结果。随着信息泄漏事件持续发酵，印度政府承认了数据泄露事件，并表示泄露的核酸检测报告大约有 800 万份。

经安全专家分析研究，发现引起核酸数据泄露的原因是政府网站存在问题，从而导致核酸检测结果泄露。（泄露信息中含有姓名、年龄、婚姻状况、检测时间、居住地址等敏感个人信息）。

此次事件并非印度核酸检测结果首次泄露，此前多个新冠病毒实验室采用了存在安全漏洞的二维码，攻击者可以通过枚举测试结果 URL 的方式来窃取病人核酸检测结果。

系统出现安全漏洞，引发数据泄漏，并不只发生在印度，但接下来提到的数据泄漏事件，只有“大英帝国的正统继承人”，“厕所运动发起者”、“肠胃道战士”，没错，正是”印度三哥才能够干出来。

数百万份检测结果暴露，涉事机构置若罔闻

机缘巧合之下，知名安全研究员 Anurag Sen 发现印度某家医疗软件供应商的 Elasticsearch 服务器暴露在互联网上。

这种情况立刻引起了 Anurag 的重视，随机对服务器进行详细分析，发现服务器暴露了23 GB 的 COVID 抗原检测结果。这些数据信息及其详尽，不仅包括个人记录，还有往来印度人士的医疗记录，其中身份信息主要是姓名、国籍、出生日期、完整地址、电话号码、投票 ID 编号、COVID 测试结果、Aadhaar 医保编号、护照编号、基础疾病情况疫苗详细情况等，涉及受害人数超过 170 万。

值得注意的是，其中还涉及一些美国、加拿大和印度公民。

Anurag 意识到事情的严重性，立刻联系服务器运营公司。令人迷惑的是，本该迅速修补漏洞的医疗软件提供商，一个多星期后也迟迟未做任何回应。

目前该服务器仍然保持公开，任何人员无需任何安全身份验证或密码即可直接访问，是否有黑客已经盯上并利用了这些数据仍不得而知，但可以确定的是，一旦网络犯罪分子掌握这些信息，170 万民众以及服务器所有方都将面临严重网络安全威胁。

印度作为互联网世界永远的神，连”牛尿新冠特效药“都能发明出来，无论发生什么稀奇古怪的事情也不会引起疑惑，但离谱到相关单位已经收到了安全威胁预警，依旧选择置若罔闻，将大量敏感数据信息”赤裸裸“暴露给网络犯罪分子，完全展现其对民众数据信息安全性的蔑视。

现阶段，随着万物互联紧密度逐渐加深，势必会产生海量数据信息，很难做到”绝对“安全，发生数据泄露也在所难免，但一定要有态度。若相关机构发现数据泄露风险，置之不理，实难逃脱责任。

“严谨的”的德日同样逃不过数据泄漏

“喝清澈恒河水，吃干净印度饼“，三哥作为中文互联网群嘲老玩家，名场面实在太多，但下面”青岛下水道”、“马桶水干净可饮”等故事背后主人公出现数据泄露，就很难理解了。

媒体披露，德国柏林数个新冠病毒检测站点的数据运营商因使用不安全的软件解决方案，致使数十万人的数据信息泄露。

从调查结果来看，大约 20 万至 40 万人的数据受到影响，民众的核酸检测结果、姓名、电话、住址和电子邮箱等信息遭到泄露，部分人的身份证和护照信息也遭泄露。

相比较德国，日本数据泄漏带来的影响相对较低。

埼玉县政府官网上刊登了一份所有人可见的文件，记载了 191 名新冠患者的姓名、住址等信息，直到 5 个多小时后，经外部人员指出才被删除。在这段时间内，该文件被阅览了115次。

据悉，这件事情的根源是埼玉县政府在公布上个月某天新增确诊病例信息时，出现了失误。一名政府雇员在修改时误将当日确诊名单上传至官网。通常情况下，上传官网的名单要经过处理，隐去患者的姓名，但由于该雇员糊涂地将处理前后两种文件放在同一个文件夹，并误选了原始的名单。

核酸信息数据泄漏带来那些危害？

毋庸置疑，民众核酸数据信息十分重要，核酸信息几乎包含了民众所有基础个人信息，一旦落入不法分子手中将会带来很大安全隐患，给生活带来极其其恶劣的影响。以下整理了几种常见数据泄露引发的安全问题。

1. 垃圾短信、骚扰电话、垃圾邮件源源不断：个人信息泄露后，民众电子邮箱每天会收到大量垃圾邮件外，此外还会接到陌生人打来的推销电话；

2. 诈骗电话持续轰炸：核酸信息中包含了很多民众基础信息，诈骗分子得到这些信息后，就会集中精力，相互配合，编造各种谎言，实施诈骗活动。

3. 冒充公检法要求受害者转账：一些胆大妄为的网络犯罪分子甚至会冒充公安局、检察院等权力部门，详细说出受害者个人信息，并绘声绘色地描述近期诈骗案件，之后假意提醒银行账户存在安全风险，需要转入一个安全转账中，这时候迷迷糊糊的受害人就可能上当了。

4. 案件事故：最糟糕的是，不法分子可能利用受害者个人信息，进行违法犯罪活动，受害者可能不明不白被警察传唤或被法院传票通知出庭。

随着大数据技术不断发展，再加上疫情对工作模式的改变，个人信息泄露事件层出不穷，愈演愈烈。民众信息一旦泄漏，带来的危害往往难以估量，轻则受到垃圾邮件、广告短信的长期骚扰，严重的会造成巨大经济损失。

核酸信息泄露亟待解决

核酸信息泄露，归根结底还是民众个人信息泄露，为何这些年信息泄露屡禁不止？小编认为还是处罚力度的问题，因此必须要完善顶层制度建设，加大对泄露和滥用个人信息的处罚力度，让网络犯罪分子付出沉重代价。

当前，全球多个国家已经纷纷颁布数据保护的相关法律法规，旨在对信息安全与隐私保护相关事项进行规范与引导。例如中国颁布的《网络安全法》和《个人信息保护法》、GB/T 35273个人信息保护条例，欧盟 GDPR 通用数据保护条例，美国加州 CCPA 隐私保护条例，美国内华达州 SB220 数据隐私法，英国DPA2018 数据保护法等。此外，为了应对越来越多信息泄露及信息滥用的现状，国际标准化组织 ISO 也在信息安全、隐私安全、云安全等相关领域发布了诸多国际标准。

各个国家的法律法规明确了政府机关对数据信息的保护义务，是保护数据安全硬性要求，对数据所有者、数据处理者、数据监管者起到了很大的震慑作用，但真正能够最大程度地减缓数据泄漏还是需要加强数据安全意识培训。网络安全意识教育能够全面提升社会民众的安全意识与安全防护能力，从而侧面地推动企业机构重视数据保护，从根本上杜绝数据泄露。

写在最后

新冠检测有助于更好地筛选出阳性病人，从而阻断疫情传播，但存在的信息安全隐患同样不可忽视。核酸信息往往会包含民众姓名、电话号码、工作和家庭地址以及身份证号码基础信息。一旦核酸信息泄露，民众就几乎“裸奔了”，给其工作生活增加许多障碍。

核酸信息这种高敏感信息尚且会泄露，其它信息数据就更难保证安全性，数据信息保护已经来到不得不做的时刻，各国政府应更加细化法律法规，规范信息收集、存储、使用各个环节，对造成个人信息泄露的单位负责人或相关人员，依法进行严肃处理，以儆效尤。

上海网信办相关负责人表示，数据安全关乎人民群众切身利益，关乎国家安全和社会稳定，上海网信办将针对数据安全保护义务履行不力，造成重要数据泄露风险的违法违规行为加强监督检查和执法，进一步营造安全稳定的网络环境。

法律·链接

《中华人民共和国数据安全法》第二十七条：开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

《中华人民共和国数据安全法》第四十五条规定：开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的，由有关主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

副教授穆罕默德·哈米斯（Mohamed Khamis）领导的一个团队开发了ThermoSecure系统，该系统使用红外热像仪来猜测和识别用户最后触摸的键位，然后利用人工智能分析热像图，热像图中越亮的键位，表明它被触摸的时间距离现在越短。这一研究论文发布在即将出版的《ACM隐私与安全交易》杂志中。

研究人员使用该系统可猜测计算机键盘、智能手机屏幕、ATM键盘上的密码和PIN。研究结果非常惊人，在20秒内拍摄热像图时，密码的还原率为86%；30秒内拍摄，密码的还原率为76%；60秒内拍摄，密码还原率为62%。

使用ThermoSecure系统，研究人员可以破解多达16个字符的三分之二的密码。较短的密码更容易被破解：12个字符的密码在82%的时间内被猜到，八个字符的密码被破解的概率是935。六个字符或更少字符的密码被破解的概率是100%。

虽然该系统仅用于研究，但此演示是一个明确的警告，即短密码和PIN（例如我们用于在ATM上访问银行帐户的密码和PIN）特别容易受到攻击。

更重要的是，像哈米斯团队使用的工具越来越容易获得。他表示，“使用红外热像仪比以往任何时候都更实惠，它们的价格不到200英镑（220美元），机器学习也变得越来越容易获得。这使得世界各地的人们很可能正在沿着与ThermoSecure类似的路线开发系统，以便窃取密码。”

今年以来，共破获黑客类案件142起，抓获涉案嫌疑人424名，依法刑事拘留343人，有力打击了相关违法犯罪活动。以下为重大典型案例：

● 破坏信息系统，严重扰乱民生秩序

广州网安部门破获安某等人提供入侵、非法控制计算机信息系统程序、工具案，抓获犯罪嫌疑人15名，捣毁犯罪团伙生产窝点2个，扣押涉案物品一大批。

该案嫌疑人生产的遥控设备可通过截获复制、扫描破解车辆道闸系统开启信号等方式，对车辆道闸系统进行非法控制，达到逃费目的。

该案嫌疑人还发展代理商，在网络平台售卖设备。

● 非法篡改数据，破坏网络安全秩序

广州网安部门破获某团伙篡改数据代打车案。

该犯罪团伙通过篡改网络数据包，修改打车目的地坐标和订单号，修改打车实际金额，从而绕过平台的预支付款机制。

下游中介进而实施“代叫车”，打车结束后，以正常打车价的3到5折向乘客收取费用，并弃用打车账号（即逃单），涉案金额百万元。

近日，广州公安机关开展收网行动，一举抓获嫌疑人19名。

● 搭建虚假网站、植入木马病毒牟利

广州网安部门侦破林某某等人涉嫌非法获取计算机信息系统数据案。

该团伙成员通过发布广告吸引需要兑换泰达币（一种虚拟货币）的受害人登录虚假第三方支付网站，再以开通充值商户需要绑定IP等为由，在受害人电脑植入木马病毒，从而获取电脑中的键盘记录、密码、虚拟货币公钥、私钥、助记词等信息，达到窃取受害人泰达币，并利用境外博彩诈骗资金跑分套现的目的。

近日，广东广州公安机关开展收网行动，一举抓获并刑拘嫌疑人59名，串并全国涉该团伙的电信诈骗案件800余宗。

该安全漏洞 CVE-2021-22048 由 CrowdStrike 的 Yaron Zinar 和 Sagi Sheinfeld 在 vCenter Server 的 IWA（集成 Windows 身份验证）机制中发现，影响范围涉及到了 VMware 的 Cloud Foundation 混合云平台部署，具有非管理访问权限的攻击者可以利用漏洞，在未打补丁的服务器上将权限提升到更高权限组。

VMware 表示，只有使用与目标服务器相邻的向量网络的攻击者才能利用此漏洞作为高复杂性攻击的一部分，该攻击需要低权限且无需用户交互（但是NIST NVD 的 CVE-2021-22048 条目表示它可以远程利用低复杂性攻击）。

尽管如此，VMware 仍将该漏洞的严重性评估为“重要”， 这意味着通过用户协助或经过验证的攻击者能利用漏洞泄露用户数据。

公司曾在 2022 年 7 月发布安全更新，但仅解决了当时运行最新可用版本（vCenter Server 7.0 Update 3f）的服务器漏洞，即便如此，该补丁也在发布 11 天后被撤回，因为它没有修复漏洞并导致 Secure打补丁时令牌服务 (vmware-stsd) 崩溃。

补丁发布之前的解决方法

尽管所有受影响产品都还在苦苦等待补丁的到来，但 VMware 提供了一种解决方法，允许管理员删除攻击媒介。

为了阻止攻击尝试，VMware 建议管理员从受影响的集成 Windows 身份验证 (IWA) 切换到 Active Directory over LDAPs 身份验证或 AD FS 身份提供程序联合身份验证（仅限 vSphere 7.0）。

英特尔表示：“我们的专有 UEFI 代码似乎已被第三方泄露，但我们认为这不会暴露任何新的安全漏洞，因为我们不依赖混淆信息作为安全措施。此代码包含在我们的漏洞赏金计划“Project Circuit Breaker活动中，我们鼓励任何可能发现潜在漏洞的研究人员通过该计划与我们取得联系。我们正在与客户和安全研究社区联络，让他们了解事件情况。”

10月7日，名为“freak”的 Twitter 用户发布了据称是英特尔 Alder Lake 的 UEFI 固件源代码的链接，并声称该固件是由 4chan 提供。该链接指向名为“ICE_TEA_BIOS”的 GitHub 存储库，该存储库由名为“LCCFCASD”的用户上传。其描述称“来自 C970 项目的 BIOS 代码”，总大小 5.97 GB，包括源代码、私钥、日志和编译工具，最新的时间戳显示是 2022 年 9 月 30 日，可能是黑客或内部人员复制了数据。

BleepingComputer 被告知，所有源代码都是由 UEFI 系统固件开发公司 Insyde Software Corp 开发。但泄露的源代码还包含大量关于联想公司的引用内容，包括联想字符串服务、联想安全套件和联想云服务集成代码。

目前尚不清楚源代码是在网络攻击期间被盗还是被内部人员泄露。

尽管英特尔淡化了源代码泄漏的安全风险，但安全研究人员警告称，这些内容可以更容易地发现代码中的漏洞。硬件安全公司Hardened Vault认为，即使被泄露的OEM只部分用于生产中，攻击者及漏洞猎手也能从中找出破绽，比如Insyde解决方案漏洞，并能轻松进行逆向工程，这将长期增加用户的使用风险。

Positive Technologies 硬件研究员 Mark Ermolov 也警告称，泄露的内容包括一个用于保护英特尔 Boot Guard 平台的私有密钥KeyManifest，如果该私钥用于实际生产，攻击者可能会利用它来修改英特尔固件中的启动策略并绕过硬件安全性。

BleepingComputer 已联系英特尔、Insyde 和联想，询问有关泄漏以及私钥是否在生产中使用的相关问题。

两个漏洞影响了宜家的E1526型Trådfri网关1.17.44及之前版本。该产品的价格约为80美元，通常用于照亮书架和梳妆台。

Synopsys网络安全研究中心的Kari Hulkko和Tuomo Untinen表示，他们在2021年6月就将这两个漏洞（CVE-2022-39064和CVE-2022-39065）告知宜家。CVE-2022-39064的CVSS评分为7.1，其核心是Zigbee协议，一种用于无线电、医疗设备和家庭自动化工具等低功率、低数据率设备的无线网络类型。

该漏洞允许攻击者通过该协议发送一个恶意帧，使宜家的TRÅDFRI灯泡闪烁。如果攻击者多次重发该恶意信息，灯泡就会执行出厂重置。

2021年10月底，宜家回应称，正在制作一个漏洞修复程序。该公司在2022年2月16日公布了CVE-2022-39065的修复方案，并在6月公布了CVE-2022-39064的部分补救措施。

宜家的一位发言人向媒体表示，自披露以来，该公司已与Synopsys合作，以改善其智能设备的安全和功能。该发言人表示，由于Zigbee协议的设计，所发现的问题并没有危及客户安全，攻击者不能获得TRÅDFRI网关或智能设备内的敏感信息。

Hulkko和Untinen说，虽然CVE-2022-39065已经在所有1.19.26或更高版本的软件中得到解决，但CVE-2022-39064还没有得到完全处理。“V-2.3.091版本修复了一些畸形帧的问题，但不是所有已知的畸形帧，”他们说，并分享了该漏洞的一个视频。宜家没有回应关于何时发布完整补丁的评论请求。

物联网安全公司Viakoo首席执行官Bud Broomhead解释说，像这样的漏洞的危险性在于它可以导致出厂重置。对于许多Zigbee和相关的物联网设备，这可能会导致物联网设备连接到威胁行为者控制的Zigbee网络。

他指出：“很庆幸这只是灯泡，而不是门锁、摄像机或工业控制系统，所有这些都可以通过Zigbee连接，被攻破和利用后会产生更多的破坏性后果。”

据悉，受此次网络攻击事件影响，包括亚特兰大市哈茨菲尔德-杰克逊国际机场和洛杉矶国际机场在内的十余个机场的网站出现故障。（这两个也是美国最繁忙的两个机场）

其它遭受攻击的机场主要包括芝加哥奥黑尔国际机场（ORD）、奥兰多国际机场（MCO）、丹佛国际机场（DIA）、凤凰城天港国际机场（PHX），此外肯塔基州、密西西比州和夏威夷的一些机场网站也没能幸免。

除了上述攻击目标外，KillNet 黑客组织还在其Telegram频道上列出了一些域名，以便组织成员和其他黑客可以获取新的攻击目标。

KillNet 黑客组织通过特定软件生成针对目标的虚假请求和垃圾流量，目的是耗尽目标的资源，使合法用户无法使用这些资源， 虽然这种情况，DDoS攻击可能不会影响航班，但是可能会中断或延迟某些服务。

KillNet“盯上了”西方国家

此前，KillNet 组织曾将罗马尼亚和意大利等站在乌克兰一边的国家作为主要攻击目标，其 “子集团 ”Legion也因类似原因攻击了了挪威和立陶宛等国重要实体机构。不难看出，随着俄乌冲突进入新的阶段，亲俄黑客组织正试图加强对西方世界报复性网络攻击。

值得一提的是，自俄乌冲突以来，尤其是欧盟宣布制裁俄罗斯后，，KillNet 黑客组织DDoS 攻击目标似乎主要集中在欧盟。美国作为北约“事实上”的话事人，一直是俄罗斯的主要军事对手，从俄乌冲突爆发初期，持续向乌克兰方面提供军事情报和设备，但似乎没有受到亲俄黑客势力的攻击。

直到上周，KillNet 组织的攻击范围才扩大到美国，主要攻击了科罗拉多州、肯塔基州和密西西比州一些政府网站，并取得了一定的成功。

近日，据报道，日本滋贺县一名六旬妇女6月在网上认识了一名自称“俄罗斯宇航员”的男子，两人在聊天中逐渐产生了恋爱的感觉。

“俄罗斯宇航员”进行糖衣炮弹轰炸时，顺势要求被害人提供“返回地球的火箭和着陆费用”，并承诺“回到地球就结婚”。

被害人在8月至9月期间陆续汇款5次，总金额大约440万日元（约合人民币21.5万元），随后才意识到被骗。

警方认为这是一场“国际杀猪盘”，目前正展开详细调查，并敦促市民谨慎交友。

在通知中，这家位于得克萨斯州的公司几乎没有分享任何细节，只是说“有人试图干扰美国埃尔比特公司的网络运营”，而且其调查正在进行。

埃尔比特系统美国分公司没有把这次入侵归咎于某个特定的威胁集团或政府，也没有说它认为它被攻击的原因。埃尔比特公司在美国和以色列的发言人都没有回应评论请求。

总部位于以色列海法的母公司埃尔比特系统公司是一家国防技术和电子巨头，为世界各地的军队和政府制造无人驾驶飞机、电子战系统和其他情报收集、侦察和监视系统。

埃尔比特公司在监控软件市场也有涉猎。2015年，埃尔比特公司以大约1.6亿美元的价格收购了Nice Systems公司的网络和情报部门，并将其分拆为一个名为Cyberbit的子公司。两年后，互联网监督机构Citizen Lab的研究人员发现，由Cyberbit构建的商业间谍软件被用来监视美国和英国的埃塞俄比亚持不同政见者。互联网监督机构说，这些间谍软件冒充假的浏览器插件，旨在从受害者的电脑中提取私人用户数据，包括电子邮件、密码和屏幕截图。

Citizen Lab说，埃塞俄比亚政府可能下令进行监视。

埃尔比特公司在2020年出售了其在Cyberbit的股份，在美国私募股权公司Charlesbank Capital Partners投资7000万美元后，成为少数股东。

Cyberbit是设在以色列的几个已知的间谍软件制造商之一，包括NSO集团、Cytrox和Candiru。

该恶意软件隐藏在一个名为"NumRent"的欺诈性VPN和电话本应用程序背后。NumRent通过社交媒体上的链接以及Telegram和WhatsApp等通信应用程序分发。为了让人们相信该应用程序的合法性，其背后的网络犯罪分子创建了一个网站为该应用程序做广告。

一旦安装，RatMilad隐藏在VPN连接后面，并持续渗出设备上的数据，如：

短信

通话记录

剪贴板数据

设备信息（例如，型号、品牌、构建号、Android版本）。

GPS位置数据

SIM卡信息

联系信息

已安装的应用程序列表

更重要的是，RatMilad可以删除数据和上传文件到其命令和控制服务器，修改应用程序的权限，并使用设备的麦克风录制音频和窃听对话。

据Zimperium称，RatMilad背后的网络犯罪分子采取随机目标的方式，而不是有针对性地面向某些个人和企业。

为了保护你的Android设备免受RatMilad和其他恶意软件的侵害，请避免从第三方应用程序商店下载应用程序。此外，经常扫描恶意软件，并审查你的应用程序的权限，看看是否有任何可能看起来不合适的地方。

一些Twitter用户似乎认为该代码源自4chan。昨天，它进被分享到了GitHub，在今天早些时候被撤下之前，有人查看了它的源代码日志，发现最初的提交日期是9月30日，作者被标记为LC Future Center的一名员工，这是一家可能生产笔记本电脑的公司，该代码现在依然可以从几个镜像中获得，并在互联网上被分享和讨论。

分析所有5.9GB的代码可能需要好几天时间，但有人已经发现了一些有趣的部分。显然，有多处提到了"功能标签测试"，进一步将泄漏与OEM厂商联系起来。其他部分据称提到了AMD的CPU，这表明代码在离开英特尔后被修改了。最令人震惊的是，一名研究人员发现了对未记录的MSR的明确引用，这可能构成重大的安全风险。

MSR（特定型号寄存器）是只有BIOS或操作系统等特权代码才能访问的特殊寄存器。供应商使用它们来切换CPU内的选项，如启用调试或性能监控的特殊模式，或某些类型的指令等功能。

一款CPU可能有数百个MSR，而英特尔和AMD只公布了其中一半到三分之二的文档。未记录的MSR通常与CPU制造商希望保密的选项有关。例如，研究人员发现AMD K8 CPU内的一个未记录的MSR是为了启用特权调试模式。MSR在安全方面也发挥着重要作用。英特尔和AMD都使用MSR选项来修补其CPU中在硬件缓解之前的Spectre漏洞。

安全研究人员已经表明，通过操纵未记录的MSR，有可能在现代CPU中创建新的攻击载体。这可能发生的情况非常复杂，不一定是现在正在发生的事情，但它仍然是一种可能性。应由英特尔来澄清情况和对其客户造成的风险。

8月31日，一个名为Bjorka的用户在一个名为Breached Forums的鲜为人知的网站上发布了一条信息，标题很平淡。"印度尼西亚SIM卡（电话号码）注册13亿"。这几个字预示着对13亿张SIM卡注册的巨大数据黑客攻击--它揭示了国民身份号码、电话号码、电信供应商的名称等等。

印度尼西亚人在混乱中惊醒，并迅速转为愤怒。通信和信息技术部（Kominfo）的回应是，告诉公民他们有责任定期更换密码。这一甩锅的做法让印尼政府部门成了顶流，网民们并开起了苦涩的玩笑。一位官员在一次新闻发布会上无奈地恳求Bjorka。"如果你可以，请不要攻击。""别再当白痴了，"比约卡在他们的Breach账户上反唇相讥。

数字权利组织Safenet将Bjorka事件称为亚洲有史以来最大的数据泄露案件，如果不是如此普遍，可能会更令人震惊。

印度尼西亚人的数据以如此快速和有规律的速度曝光，以至于公民们开玩笑地称其为"开源国家"。

2020年，包括电子商务巨头Tokopedia和Bukalapak在内的公司泄露了超过1亿用户的个人数据。第二年，一名黑客攻破了BPJS Kesehatan的数据库，这是该国的医疗保健和社会保障机构，暴露了2.79亿人的国民身份证号码等，其中一些人已经去世。

经过多年来越来越肆无忌惮的泄密事件，印度尼西亚人的挫败感达到了沸点--这足以促使9月份匆忙通过一项拖延已久的个人数据保护法案，并成立了一个专门负责追捕黑客Bjorka的特别小组。

在一个转折点上，许多印度尼西亚人甚至站在了黑客一边，黑客声称实施这次入侵是为了暴露数据管理的不完善。伴随着又一次公民数据泄漏，Bjorka在Kominfo部长Johnny G. Plate生日当天公开挑战："生日快乐！"据报道，攻击者在他们的Telegram频道，Bjorkanism发布了一系列主管官员的身份细节，从他的地址到家庭电话号码到疫苗ID。

"2018年，[Kominfo]强迫我们用[政府身份证]注册电话号码，承诺我们没有垃圾邮件，"网络安全顾问Teguh Aprianto在Twitter上指出。"[不仅]我们没有摆脱垃圾邮件，[而且]注册数据......反而被泄露和出售。"这条推文迅速被分享了17000多次，并被大约27000个账户所点赞--这只是在社交媒体上飞舞的一系列针对Kominfo的愤怒帖子和标签中的一个。

Kominfo和国家网络和加密机构（BSSN）没有对评论请求作出回应。

东爪哇省马朗市的讲师玛丽亚姆-贾梅拉(Maryam Jameelah)承认，当在新闻上看到最近的数据泄露案件时，感到很受打击。两年前，Jameelah是Tokopedia数据泄露事件的受害者之一，几个月来，她会收到从未做过的交易账单。

"我不得不改变我的号码和我所有的账户，"Jameelah告诉Rest of World。"这非常令人不安。"

Mulyadi是一家四大公司的IT审计师，他认为印尼政府有责任，并希望采取进一步行动。Mulyadi说："聘请一名顾问，调查哪些数据被入侵，根本原因是什么，以及下一步是什么，"他还对发送到他私人号码的垃圾邮件感到沮丧。"对我们来说，重要的是知道有一个具体的行动。"

尽管个人数据保护法案已经通过，其中详细规定了在数据泄露的情况下对数据处理者和公司的刑事制裁，但专家们说，这些新措施是暂时的，旨在冷却印度尼西亚人的愤怒。

"这取决于谁是[工作队]的成员。他们有能力吗？"媒体追踪网站Drone Emprit的创始人Ismail Fahmi告诉Rest of World。"这只是短期的。"

这个问题的核心是对数据安全的拼凑方法。一位政府官员向媒体表示，公司经常与印尼内务部门分享国民数据，以核实他们的身份。一些国家部门被授权保护公民私人数据的某些部分，这些部门包括Kominfo、BSSN、内政部和国家警察。因此，当泄漏发生时，并不总是清楚泄漏的源头：是来自政府机构还是公司本身。

这些国家部门也应该一起工作。但是缺乏协调，而泄密却很猖獗。例如，Kominfo主持通信、信息和互联网法律；BSSN的任务是改善系统，防止黑客攻击；而警方的网络犯罪部门则负责执行网络犯罪相关法律，包括黑客攻击、网络污损、仇恨言论、欺诈和数据盗窃。同时，内务部作为所有印度尼西亚人的民事记录的持有者，预计将拥有一个无懈可击的安全系统。

这位政府官员向Rest of World解释说，当数据泄露发生时，Kominfo、国家网络安全机构BSSN和平台都在进行调查，但没有系统让他们充分协调结果。

这位官员说："不幸的是，[国家部门]几乎从不与Kominfo分享他们的调查结果，所以该部往往被迫只根据合规信息提出建议，"这样松散的部门构成了基本的安全框架。

现在，印尼人的大部分希望似乎都取决于个人数据保护法案和随后将建立的新的权力机构。总统将有特权决定谁将成为新机构的成员。

政策研究和宣传研究所（ELSAM）的执行主任Wahyudi Djafar告诉Rest of World，他支持法案中关于建立数据保护机构的规定。但是，贾法尔警告说："如果该机构不是作为一个独立的机构建立的，就很难保证法案的有效性"。

"挑战在于这个机构的权力有多大，[这]将完全取决于总统的诚意，"贾法尔补充说。

10月6日，2K开始联系那些信息被窃取并被出售的客户。

该公司解释说：“未经授权的第三方访问并复制了您向我们寻求支持时记录的一些个人数据，包括您的电子邮件地址、帮助台ID号、玩家标签和控制台详细信息。没有迹象表明我们系统中保存的任何您的财务信息或密码被泄露。

然而，出于谨慎考虑，我们鼓励所有玩家重新设置密码，如果他们还没有这样做的话，我们鼓励他们通过启用多因素认证来保护自己的账户。”

虽然 CommonSpirit 拒绝透露具体细节，但一位熟悉其补救措施的人士向 NBC 新闻证实，它遭受了勒索软件攻击。CommonSpirit 也拒绝分享有关其有多少设施出现延误的信息。然而，包括田纳西州的 CHI 纪念医院、德克萨斯州的一些圣卢克医院和西雅图的弗吉尼亚梅森方济会健康中心在内的多家医院都宣布受到影响。

一位不愿透露姓名以保护家人的医疗隐私的德克萨斯州妇女说，她和她的丈夫已于周三抵达 CommonSpirit 附属医院进行此前计划的大手术，但医生推荐等待医院的技术问题修复之后再进行手术。

对医疗保健链的勒索软件攻击相对普遍，两年多来一直是美国医疗系统的频繁部分。即使攻击没有关闭医院，它也可以使部分或全部数字系统脱机，从而切断医生和护士对数字信息的访问，例如患者记录和护理建议。

对于此次信息泄露事件，丰田公开表示“抱歉”。资料显示，T-Connect是一种通过网络连接车辆的远程信息处理服务，车主可通过网络连接车辆。

根据丰田发布的公告，此次信息泄露事件的原因让车主感到无比气愤。开发T-Connect网站的承包商在 2017 年 12 月至2022年 9 月 15 日期间意外上传了部分源代码，从而导致用户信息泄露。

“根据调查，无法从存储信息的数据服务器的访问历史中确认第三方访问安全专家”，丰田进一步强调，“此次事件不会泄露敏感用户的个人信息，例如姓名、电话号码或信用卡信息。”但是，用户还是需要提高警惕，谨防第三方攻击者利用这些信息发送网络钓鱼邮件。

 黑客攻击导致数据泄露 

近年来，丰田汽车频频遭受黑客和勒索组织攻击，并导致发生了多次数据泄露事件。

2022年3月，丰田旗下子公司-日本电装株式会社（以下简称“电装”）遭遇勒索软件攻击，有大量的内部资料被黑客获取。在此之前，一个名为“Pandora”的黑客组织称已经入侵电装公司，并获取超过15.7万份订购单、邮件和设计图纸等总共1.4TB的资料，同时该组织威胁电装称，如果不按要求支付赎金，将在暗网公布这些数据。

此外，在2019年，丰田还因黑客入侵服务器，访问部分销售子公司的数据，导致出现严重数据泄露事件，高达310万客户的信息被攻击者窃取。受影响的子公司包括丰田东京销售控股公司、东京汽车、东京丰田、丰田东京卡罗拉、丰田东京销售网络、雷克萨斯Koishikawa Sales公司、Jamil Shoji及丰田西东京卡罗拉。

在这起用户信息泄露事件中，丰田汽车强调，客户的财务细节并未存储在被黑客攻击的服务器上，也未披露黑客可能访问了哪些类型的数据。

这也是丰田2019年第二次出现网络安全事件。在2019年2月，丰田还曾披露了另外一起网络攻击事件，影响其澳大利亚分公司。将两次攻击相比较，澳大利亚分公司受到的攻击更具破坏性，对澳大利亚公司处理销售和交付造成了影响。一些行业专家认为攻击是APT32 （OceanLotus）所为，这是一家越南网络间谍机构，以专注于汽车行业而闻名。

专家表示，APT32黑客可能想先攻击丰田的澳大利亚分公司，然后进入丰田在日本的中央网络。

这意味着，此次数据泄露事件波及人数达到该国40%的左右的人口，并成为澳大利亚史上最大的网络安全事件之一。资料显示，Optus是新加坡电信的全资子公司。通过其OptusNet品牌，它在澳大利亚提供宽带，无线和拨号上网服务，并以稳定而高速的网络著称。

Optus表示，公司正在调查在网络攻击后未经授权访问客户数据的情况，此次涉案信息包括数据库中用户的姓名、出生日期、家庭住址、电话号码、电子邮件地址、驾照号码、护照号码等。

根据Optus公布的消息，该公司目前正在与澳大利亚网络安全中心合作，以减轻对客户的任何风险，提醒用户提高安全意识，谨防各种网络诈骗活动，并向主要金融机构通报了此次攻击和随后的违规行为。

Optus 首席执行官 Kelly Bayer Rosmarin 对这次网络攻击表示遗憾和愤怒，具体的攻击细节尚未披露。尽管如此，根据托管安全服务提供商Tiberium的首席执行官 Drew Perry 的说法，该漏洞可能是由于一项安全技术中的漏洞造成的。

Perry指出，有关该事件的详细信息仍在不断涌现，建议所有 Optus 的客户立即修改密码，并启用多因素身份验证。如果用户在多个账户中使用了相同的密码，请全部更新并使用密码管理器。”

而《悉尼先驱晨报》发表了一篇报道，称 Optus 曾收到了勒索威胁，要求其支付 100 万美元的加密货币，否则黑客将出售数百万客户的个人信息。澳大利亚联邦警察告诉路透社，在“暗网”和其他来源可以购买到 Optus 客户数据和其他“凭证”。

安全专家表示，Optus 客户将面临更高的网络钓鱼攻击风险，他们的账号密码可能已经在暗网上。这些信息有可能被用来训练“人工智能”]网络钓鱼机器人，以此产生逼真的合成媒体攻击。

但是Optus 指出，由于执法部门正在调查此事，因此它可以发布的与此数据泄露有关的信息量是有限的。该电信运营商还指出，属于黑客的IP地址在欧洲不同国家之间移动。

Vachon-Desjardins作为NetWalker勒索软件网络的重要骨干，据信他在那里对一些美国公司和至少17个加拿大实体进行勒索操作。

根据他的LinkedIn个人资料，Vachon-Desjardins在加拿大担任公共工程和政府服务部门的IT顾问，之前他在2021年1月被加拿大警方逮捕，并被判处七年监禁。在搜查他的家时，执法人员发现并缴获了719枚比特币（在撰写本文时价值约为1760万美元），以及79万美元的加拿大货币。美国和比利时当局还查获了NetWalker用来发布从受害者那里窃取的数据的暗网网站。

今年3月，Vachon-Desjardins被引渡到美国，他面临共谋计算机欺诈和电信欺诈、故意破坏受保护的计算机以及传送有关破坏受保护的计算机的要求等指控。

除了被判处20年监禁 - 这远远高于联邦准则建议的12-15年监禁，这位前Netwalker骨干还被没收从全球"几十个"受害者那里非法获得的2150万美元，其中包括公司、市政当局、执法部门、紧急服务、学区、学院和大学。甚至在COVID-19大流行期间，NetWalker还将美国的许多医院作为目标。

佛罗里达州中区联邦检察官罗杰-汉德伯格（Roger B. Handberg）说："本案的被告在国际卫生危机的高峰期利用复杂的技术手段勒索了许多国家的数百名受害者。"

NetWalker，也被称为"Mailto"于2019年首次出现，此后与几次高知名度的高价值勒索软件攻击事件有关。2020年6月，该组织以加利福尼亚大学旧金山分校为目标，该校支付了超过100万美元的赎金要求。三个月后，NetWalker袭击了网络威胁创业公司Cygilant。根据加密货币分析公司Chainalysis的数据，在2019年8月至2021年1月期间，涉及NetWalker的勒索软件攻击拉动了4600万美元的赎金支付。

在上周六晚间的电视转播期间，屏幕上出现了一条简短视频，“你的双手，沾满我们年轻人的鲜血。” “加入我们，站起来。”黑客组织Edalat-e Ali（阿里的正义）宣称对此负责。

在这波抗议浪潮中，活动人士在伊朗首都德黑兰各处公共广告牌上喷涂“哈梅内伊之死”和“警察谋杀人民”等字样。

伊朗库德族22岁女孩玛莎·艾米妮(Mahsa Amini)之死是本轮抗议浪潮的导火索。该事件曝光后，街头抗议再次震动德黑兰等多处伊朗城市。。

伊朗国家通讯社IRNA报道称，“警方使用催泪瓦斯驱散了德黑兰数十个地点的抗议人群”，示威者们“高呼口号，还放火烧毁了公共财产，包括一处警察亭。”

艾米妮9月16日身故以后，民众的愤怒被彻底点燃。就在三天前，这位年轻的库尔德女性因涉嫌违反伊斯兰共和国严格的女性着装规定，而被臭名昭著的道德警察逮捕。

篡改视频还播放了艾米妮和另外三名在镇压中丧生的女性的照片。据总部位于挪威的伊朗人权组织称，这场镇压活动已经夺走至少95人的生命。

伊朗人权组织援引总部位于英国的俾路支激进主义者运动的消息称，9月30日，锡斯坦-俾路支斯坦省一名警察局长强奸一名少女的事件引发了骚乱，导致另外 90 人丧生。

伊斯兰革命卫队一名成员上周六在库尔德斯坦省萨南达吉被杀，另一名卫队成员在德黑兰死于“暴徒武装袭击导致的头部重伤”。根据IRNA的统计，目前革命卫队方面的死亡人数已经增加至14人。

“到处都是抗议”

伊朗遭受了近三年来最严重的一波社会震荡，包括大学生及年轻女学生在内的抗议人群高呼“女性、生活、自由”口号。

美国活动家兼记者奥米德·梅马里安（Omid Memarian）在推特上说，“来自德黑兰的视频表明，这座城市里到处都是抗议，已经蔓延到了每一个角落。”

根据亨沃格人权组织称于上周六录制的视频，在艾米妮的家乡库尔德斯坦萨基兹，女学生们高呼口号并走上街头，在空中挥舞着头巾。

尽管伊朗已经全面中断了国内互联网连接，封锁了各大主要社交媒体平台，但该国惨烈的对抗、特别是令人毛骨悚然的血腥镜头仍然在网络之上广为流传。

其中一段视频显示，在库尔德斯坦首府萨南达吉，一名男子被枪杀在自己的车内，该省警察局长阿里·阿扎迪（Ali Azadi）随后称此人是“被反革命势力所杀害”。

另一段在网上引起轩然大波的视频中，愤怒的男人们似乎将一名巴斯基民兵围住，并疯狂殴打。

还有视频片段显示，据称在伊朗东北部的马什哈德，一名年轻女性被枪杀。

社交媒体上许多用户表示，这让人想起妮达-阿迦-索尔坦的遭遇。这位年轻女性在2009年的抗议活动中被枪杀，随后长期成为伊朗反对派的象征。

抗议者的对抗策略

面对暴力与网络限制，抗议者们采取了新策略，开始在公共场所传播自己的抵抗信息。

德黑兰莫达雷斯高速公路立交桥上挂起一面巨大的横幅，写道“我们不再害怕，我们将要抗争。”法新社核实了图片的真实性。

在其他画面中，还能看到一名手持喷漆罐的男子将一条高速公路上的政府广告牌，从“警察服务人民”改成了“警察谋杀人民”。

有传言称，伊朗首都多个喷泉景观被染成血红色。但德黑兰市政公园组织负责人阿里·穆罕默德·莫赫塔里（Ali Mohamad Mokhtari）反驳道，“这种说法纯属造谣，德黑兰的喷泉颜色没有任何变化。”

伊朗指责有外部势力在煽动抗议活动，否则全球数十个城市不可能同时组织起群体示威。与此同时，美国、欧盟及其他多国政府都对伊朗出台了新的制裁。

关于艾米妮的死，伊朗政府上周五公布了法医的调查结果，表示她的死因是长期健康问题，并非活动人士宣称的头部受到打击。

艾米妮的父亲则向总部位于伦敦的伊朗国际组织驳斥了官方的说法，“我亲眼看到玛莎的耳朵和后颈流出了鲜血。”

在通知中，这家位于得克萨斯州的公司几乎没有分享任何细节，只是说“有人试图干扰美国埃尔比特公司的网络运营”，而且其调查正在进行。

埃尔比特系统美国分公司没有把这次入侵归咎于某个特定的威胁集团或政府，也没有说它认为它被攻击的原因。埃尔比特公司在美国和以色列的发言人都没有回应评论请求。

总部位于以色列海法的母公司埃尔比特系统公司是一家国防技术和电子巨头，为世界各地的军队和政府制造无人驾驶飞机、电子战系统和其他情报收集、侦察和监视系统。

埃尔比特公司在监控软件市场也有涉猎。2015年，埃尔比特公司以大约1.6亿美元的价格收购了Nice Systems公司的网络和情报部门，并将其分拆为一个名为Cyberbit的子公司。两年后，互联网监督机构Citizen Lab的研究人员发现，由Cyberbit构建的商业间谍软件被用来监视美国和英国的埃塞俄比亚持不同政见者。互联网监督机构说，这些间谍软件冒充假的浏览器插件，旨在从受害者的电脑中提取私人用户数据，包括电子邮件、密码和屏幕截图。

Citizen Lab说，埃塞俄比亚政府可能下令进行监视。

埃尔比特公司在2020年出售了其在Cyberbit的股份，在美国私募股权公司Charlesbank Capital Partners投资7000万美元后，成为少数股东。

Cyberbit是设在以色列的几个已知的间谍软件制造商之一，包括NSO集团、Cytrox和Candiru。

这意味着，此次数据泄露事件波及人数达到该国40%的左右的人口，并成为澳大利亚史上最大的网络安全事件之一。资料显示，Optus是新加坡电信的全资子公司。通过其OptusNet品牌，它在澳大利亚提供宽带，无线和拨号上网服务，并以稳定而高速的网络著称。

Optus表示，公司正在调查在网络攻击后未经授权访问客户数据的情况，此次涉案信息包括数据库中用户的姓名、出生日期、家庭住址、电话号码、电子邮件地址、驾照号码、护照号码等。

根据Optus公布的消息，该公司目前正在与澳大利亚网络安全中心合作，以减轻对客户的任何风险，提醒用户提高安全意识，谨防各种网络诈骗活动，并向主要金融机构通报了此次攻击和随后的违规行为。

Optus 首席执行官 Kelly Bayer Rosmarin 对这次网络攻击表示遗憾和愤怒，具体的攻击细节尚未披露。尽管如此，根据托管安全服务提供商Tiberium的首席执行官 Drew Perry 的说法，该漏洞可能是由于一项安全技术中的漏洞造成的。

Perry指出，有关该事件的详细信息仍在不断涌现，建议所有 Optus 的客户立即修改密码，并启用多因素身份验证。如果用户在多个账户中使用了相同的密码，请全部更新并使用密码管理器。”

而《悉尼先驱晨报》发表了一篇报道，称 Optus 曾收到了勒索威胁，要求其支付 100 万美元的加密货币，否则黑客将出售数百万客户的个人信息。澳大利亚联邦警察告诉路透社，在“暗网”和其他来源可以购买到 Optus 客户数据和其他“凭证”。

安全专家表示，Optus 客户将面临更高的网络钓鱼攻击风险，他们的账号密码可能已经在暗网上。这些信息有可能被用来训练“人工智能”]网络钓鱼机器人，以此产生逼真的合成媒体攻击。

但是Optus 指出，由于执法部门正在调查此事，因此它可以发布的与此数据泄露有关的信息量是有限的。该电信运营商还指出，属于黑客的IP地址在欧洲不同国家之间移动。

据相关人士爆料，今年8月，大量币安交易所的账号资金被冻结事件与该案件有关。对此，记者联系了币安，币安方面拒绝对该司法案例做出评论。

除此之外，币安表示，在全球范围内，币安与全球监管机构和执法部门通力合作，以保护生态系统和所有用户的安全，同时币安内部针对执法请求也有着严格的标准作业流程，这是币安在全球范围内一致的态度与做法。如果相关账户确实存在触犯法律的情况，多数司法管辖区的执法部门会要求直接联系用户，币安将持续完善执法支持系统，依照司法进度处理相关事宜。

网络攻击导致预约系统严重中断

9月6日，洲际酒店集团表示，检测到技术系统中存在未授权活动，导致预订及其他系统出现严重中断。

酒店业主们（注：即洲际酒店集团旗下酒店的房产拥有者）收到了一封来自洲际酒店集团高管的电子邮件，解释称此次攻击将导致线上预订系统关闭。由于洲际集团并未分享黑客攻击引发数据泄露的任何细节，作为其特许经营合作伙伴，酒店业主们根本无力应对客户爆发出的愤怒与沮丧。

代表全美约20000名酒店业主的亚裔美国酒店业主协会总裁兼CEO Laura Lee Blake表示，“他们至少应该分享一点信息，否则酒店业主只能连续几天身陷黑暗之中，根本不清楚自己维持生计的经营系统出了什么问题。”

此次网络攻击可能影响到了洲际集团的供应链、客户及众多特许加盟商。洲际酒店集团官网显示，该集团在全球拥有17个酒店品牌、6000家酒店。就在去年，针对美国软件公司Kaseya的勒索软件攻击同样蔓延到多个国家的客户身上。

洲际酒店及度假酒店一位发言人表示，“我们尚未发现客人数据遭到未授权访问的证据。我们始终专注于支持我们的酒店和业主，也将在事件期间定期向业主和酒店管理团队传达最新信息。”洲际酒店集团旗下的知名酒店品牌包括假日酒店、驻桥套房酒店和洲际酒店。

酒店业主损失惨重，已发起集体诉讼索赔

酒店业主们指出，众多因网络攻击而预订失败的愤怒客户已经令他们疲于招架。Blake女士还透露，亚裔美国酒店业主协会的成员们对这次攻击事件的调查作出回应。根据近几周的预订量、去年同期预订量以及竞争对手预订量等指标，这些各自拥有两到五家酒店的业主估计，攻击造成的平均损失在30000到75000美元之间。好在目前技术系统已经重新恢复运行。

Blake称，“酒店业主希望就此事获得赔偿，毕竟网络攻击不是他们的错。”

美国路易斯安那州一家假日酒店的业主QHotels Management公司总裁兼CEO Vimal Patel反映，他们遇到了一位情绪激动的顾客，要求酒店说明如何处理住客的信用卡。

9月15日，Patel及其他多位酒店业主在亚特兰大地方法院对洲际酒店集团提起集体诉讼。

Patel表示，“当我们没有受到黑客攻击时，也需要随时担心自己的财务稳定性。”

诉讼称，洲际酒店集团的各特许加盟商一直在按月支付费用，以使用集团提供的预订技术方案。

除了要求对加盟商补偿外，Patel还希望洲际集团能解释，网络攻击暴露了哪些数据、为何会发生此次事故。他认为，洲际集团的高管们应该为糟糕的网络安全状况负起责任。

信息多且价值高，连锁酒店是网络攻击热门目标

连锁酒店是恶意黑客的热门攻击目标，这里蕴藏着大量客户个人及财务信息。近年来，万豪酒店先后遭遇了多起违规事件。2016年，洲际酒店集团因网络攻击导致客户信用卡数据外泄，并在2020年的相关集体诉讼中同意支付超150万美元赔偿金。

研究机构Forrester的高级分析师Allie Mellen表示，除了直接技术问题以外，各特许加盟商后续还可能面临网络攻击引发的其他影响。例如在申购网络保险时，服务商向他们开出的保费会更高。不少司法管辖区的法律也有适用条款，要求遭黑客入侵的企业在发现个人数据泄露时，必须向监管机构和受影响个人发布通报。

但Blake女士坦言，大多数企业往往不愿透露网络攻击的细节，特别是在原有安全措施不够完善的情况下。但隐瞒重要细节同样会损害客户信任，“这对企业方来说是非常有害的。”

她最后总结道，“总有人在掩耳盗铃，认为只要不主动担责，别人就不知道事态有多糟糕。”

中国国家计算机病毒应急处理中心和360公司全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了木马程序样本，综合使用国内现有数据资源和分析手段，并得到欧洲、东南亚部分国家合作伙伴的通力支持，全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头，初步判明相关攻击活动源自于美国国家安全局（NSA）的“特定入侵行动办公室”（即：Office of Tailored Access Operation，后文简称“TAO”）。

本系列研究报告将公布TAO对西北工业大学发起的上千次网络攻击活动中，某些特定攻击活动的重要细节，为全球各国有效发现和防范TAO的后续网络攻击行为提供可以借鉴的案例。

一、TAO攻击渗透西北工业大学的流程

TAO对他国发起的网络攻击技战术针对性强，采取半自动化攻击流程，单点突破、逐步渗透、长期窃密。

（一）单点突破、级联渗透，控制西北工业大学网络

经过长期的精心准备，TAO使用“酸狐狸”平台对西北工业大学内部主机和服务器实施中间人劫持攻击，部署“怒火喷射”远程控制武器，控制多台关键服务器。利用木马级联控制渗透的方式，向西北工业大学内部网络深度渗透，先后控制运维网、办公网的核心网络设备、服务器及终端，并获取了部分西北工业大学内部路由器、交换机等重要网络节点设备的控制权，窃取身份验证数据，并进一步实施渗透拓展，最终达成了对西北工业大学内部网络的隐蔽控制。

（二）隐蔽驻留、“合法”监控，窃取核心运维数据

TAO将作战行动掩护武器“精准外科医生”与远程控制木马NOPEN配合使用，实现进程、文件和操作行为的全面“隐身”，长期隐蔽控制西北工业大学的运维管理服务器，同时采取替换3个原系统文件和3类系统日志的方式，消痕隐身，规避溯源。TAO先后从该服务器中窃取了多份网络设备配置文件。利用窃取到的配置文件，TAO远程“合法”监控了一批网络设备和互联网用户，为后续对这些目标实施拓展渗透提供数据支持。

（三）搜集身份验证数据、构建通道，渗透基础设施

TAO通过窃取西北工业大学运维和技术人员远程业务管理的账号口令、操作记录以及系统日志等关键敏感数据，掌握了一批网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息、FTP服务器文档资料信息。根据TAO攻击链路、渗透方式、木马样本等特征，关联发现TAO非法攻击渗透中国境内的基础设施运营商，构建了对基础设施运营商核心数据网络远程访问的“合法”通道，实现了对中国基础设施的渗透控制。

（四）控制重要业务系统，实施用户数据窃取

TAO通过掌握的中国基础设施运营商的思科PIX防火墙、天融信防火墙等设备的账号口令，以“合法”身份进入运营商网络，随后实施内网渗透拓展，分别控制相关运营商的服务质量监控系统和短信网关服务器，利用“魔法学校”等专门针对运营商设备的武器工具，查询了一批中国境内敏感身份人员，并将用户信息打包加密后经多级跳板回传至美国国家安全局总部。

二、窃取西北工业大学和中国运营商敏感信息

（一）窃取西北工业大学远程业务管理账号口令、操作记录等关键敏感数据

TAO通过在西北工业大学运维管理服务器安装嗅探工具“饮茶”，长期隐蔽嗅探窃取西北工业大学运维管理人员远程维护管理信息，包含网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息等。

遭到嗅探的网络设备类型包括固定互联网的接入网设备（路由器、认证服务器等）、核心网设备（核心路由器、交换机、防火墙等），也包括通信基础设施运营企业的重要设备（数据服务平台等），内容包括账号、口令、设备配置、网络配置等信息。

1、窃取西工大核心网络设备账号口令及配置信息

北京时间20××年12月11日6时52分，TAO以位于日本京都大学的代理服务器（IP：130.54.××.××）为攻击跳板，非法入侵了西北工业大学运维网络的“telnet”管理服务器，上传并安装NOPEN木马，然后级联控制其内网监控管理服务器，上述2台服务器事先均已被安装“饮茶”嗅探工具。TAO远程操控木马检索并下载被压缩加密的监听记录文件，然后清痕退出。窃取数据包括路由器、核心网设备（核心路由器、交换机、防火墙）管理账号、口令、设备配置、网络配置等信息。

2、多次窃取接入网认证设备账号口令及配置信息

（1）北京时间20××年5月30日0时28分，TAO以位于日本的代理服务器（IP：210.135.××.××）为攻击跳板，非法入侵了西北工业大学运维网络“telnet”管理服务器，上传并安装NOPEN木马，然后级联控制其内网监控管理服务器，这2台服务器事先均已被安装“饮茶”嗅探工具，TAO远程操控木马检索并下载窃密记录文件后清痕退出。窃取数据包括接入网认证设备的账号、口令及配置信息。

（2）北京时间20××年7月4日1时12分，TAO利用位于德国莱比锡技术经济和文化学院的代理服务器（IP：141.57.××.××）作为攻击跳板，非法入侵西北工业大学运维网络“telnet”管理服务器，上传并安装NOPEN木马工具，级联控制其内网监控管理服务器等其他3台服务器，这4台服务器事先均已被安装“饮茶”嗅探工具，TAO远程操控木马检索并下载窃密文件后清痕退出。

（3）北京时间20××年10月11日10时35分，TAO利用位于韩国首尔国立江原大学的代理服务器（IP：210.115.××.××）作为攻击跳板，非法入侵西北工业大学运维网络监控管理服务器，上传并安装NOPEN木马工具，然后级联控制其内网备份服务器、认证服务器等其他4台服务器，这5台服务器事先均已被安装“饮茶”嗅探工具，TAO远程操控木马分别检索并下载窃取记录文件后清痕退出。

（4）北京时间20××年10月19日2时46分，TAO以位于韩国大田的高等科学技术研究学院的代理服务器（IP：143.248.××.××）为攻击跳板，非法入侵西北工业大学运维网络“telnet”管理服务器，级联控制其内网监管服务器等其他2台服务器，这3台服务器事先均已被安装“饮茶”嗅探工具，TAO通过远程操控木马检索并下载窃密文件，然后清痕退出。

（二）窃取西北工业大学网络设备运维配置文件和日志文件

美国国家安全局“特定入侵行动办公室”（TAO）长期攻击入侵西北工业大学网络运维管理服务器，秘密窃取网络设备运维配置文件和日志文件。

1、窃取西北工业大学网络运行日志文件

北京时间20××年3月2日3时41分，TAO通过位于日本的代理服务器（IP：210.135.××.××）非法入侵控制西北工业大学1台网络运维管理服务器。3时49分，TAO从该运维管理服务器横向移动到另一台运维监控服务器，以特定字符串为关键词检索日志文件并进行窃取了一批系统运行日志文件和系统日常自检报告备份文件。

2、窃取西北工业大学服务器定期任务配置脚本

北京时间20××年10月11日10时41分，TAO通过位于韩国的代理服务器（IP：210.115.××.××）入侵控制了西北工业大学一台内网服务器。10时48分，TAO经过两次横向移动，入侵了另一台内网服务器，访问了特定目录下的定期任务配置脚本，共检索到14个用于定期执行任务的配置文件。随后，一次性窃取了这14个文件，这些文件可用于执行定期清理、备份、检查电源等操作。

3、窃取西北工业大学公司服务器系统信息文件

北京时间20××年6月6日1时27分，TAO通过位于韩国的代理服务器（IP：222.122.××.××）入侵控制了西北工业大学一台内网服务器。2时4分，TAO经过两次横向移动，入侵了另一台内网服务器，访问了目录/var/下的系统文件，窃取了60个常用的系统信息文件，被窃取的系统信息文件内容包含系统发行版本、用户密码哈希、用户权限、本地域名解析配置等。

（三）渗透控制中国基础设施核心设备

美国国家安全局“特定入侵行动办公室”（TAO）利用窃取到的网络设备账号口令，以“合法”身份进入中国某基础设施运营商服务网络，控制相关服务质量监控系统，窃取用户隐私数据。

1、窃取中国用户隐私数据

北京时间20××年3月7日22时53分，美国国家安全局“特定入侵行动办公室”（TAO）通过位于墨西哥的攻击代理148.208.××.××，攻击控制中国某基础设施运营商的业务服务器211.136.××.××，通过两次内网横向移动（10.223.140.××、10.223.14.××）后，攻击控制了用户数据库服务器，非法查询多名身份敏感人员的用户信息。

同日15时02分，TAO将查询到的用户数据保存在被攻击服务器/var/tmp/.2e434fd8aeae73e1/erf/out/f/目录下，被打包回传至攻击跳板，随后窃密过程中上传的渗透工具、用户数据等攻击痕迹被专用工具快速清除。

美国国家安全局“特定入侵行动办公室”（TAO）运用同样的手法，分别于北京时间20××年1月10日23时22分、1月29日8时41分、3月28日22时00分、6月6日23时58分，攻击控制另外1家中国基础设施业务服务器，非法多批次查询、导出、窃取多名身份敏感人员的用户信息。

2、渗透控制全球电信基础设施

据分析，美国国家安全局“特定入侵行动办公室”（TAO）以上述手法，利用相同的武器工具组合，“合法”控制了全球不少于80个国家的电信基础设施网络。技术团队与欧洲和东南亚国家的合作伙伴通力协作，成功提取并固定了上述武器工具样本，并成功完成了技术分析，拟适时对外公布，协助全球共同抵御和防范美国国家安全局NSA的网络渗透攻击。

三、TAO在攻击过程中暴露身份的相关情况

美国国家安全局“特定入侵行动办公室”（TAO）在网络攻击西北工业大学过程中，暴露出多项技术漏洞，多次出现操作失误，相关证据进一步证明对西北工业大学实施网络攻击窃密行动的幕后黑手即为美国国家安全局NSA。兹摘要举例如下：

（一）攻击时间完全吻合美国工作作息时间规律

美国国家安全局“特定入侵行动办公室”（TAO）在使用tipoff激活指令和远程控制NOPEN木马时，必须通过手动操作，从这两类工具的攻击时间可以分析出网络攻击者的实际工作时间。

首先，根据对相关网络攻击行为的大数据分析，对西北工业大学的网络攻击行动98%集中在北京时间21时至凌晨4时之间，该时段对应着美国东部时间9时至16时，属于美国国内的工作时间段。其次，美国时间的全部周六、周日中，均未发生对西北工业大学的网络攻击行动。第三，分析美国特有的节假日，发现美国的“阵亡将士纪念日”放假3天，美国“独立日”放假1天，在这四天中攻击方没有实施任何攻击窃密行动。第四，长时间对攻击行为密切跟踪发现，在历年圣诞节期间，所有网络攻击活动都处于静默状态。依据上述工作时间和节假日安排进行判断，针对西北工业大学的攻击窃密者都是按照美国国内工作日的时间安排进行活动的，肆无忌惮，毫不掩饰。

（二）语言行为习惯与美国密切关联

技术团队在对网络攻击者长时间追踪和反渗透过程中（略）发现，攻击者具有以下语言特征：一是攻击者有使用美式英语的习惯；二是与攻击者相关联的上网设备均安装英文操作系统及各类英文版应用程序；三是攻击者使用美式键盘进行输入。

（三）武器操作失误暴露工作路径

20××年5月16日5时36分（北京时间），对西北工业大学实施网络攻击人员利用位于韩国的跳板机（IP:222.122.××.××），并使用NOPEN木马再次攻击西北工业大学。在对西北工业大学内网实施第三级渗透后试图入侵控制一台网络设备时，在运行上传PY脚本工具时出现人为失误，未修改指定参数。脚本执行后返回出错信息，信息中暴露出攻击者上网终端的工作目录和相应的文件名，从中可知木马控制端的系统环境为Linux系统，且相应目录名“/etc/autoutils”系TAO网络攻击武器工具目录的专用名称（autoutils）。

出错信息如下：

Quantifier follows nothing in regex; marked by <-- HERE in m/* <-- HERE .log/ at ../etc/autoutils line 4569

（四）大量武器与遭曝光的NSA武器基因高度同源

此次被捕获的、对西北工业大学攻击窃密中所用的41款不同的网络攻击武器工具中，有16款工具与“影子经纪人”曝光的TAO武器完全一致；有23款工具虽然与“影子经纪人”曝光的工具不完全相同，但其基因相似度高达97%，属于同一类武器，只是相关配置不相同；另有2款工具无法与“影子经纪人”曝光工具进行对应，但这2款工具需要与TAO的其它网络攻击武器工具配合使用，因此这批武器工具明显具有同源性，都归属于TAO。

（五）部分网络攻击行为发生在“影子经纪人”曝光之前

技术团队综合分析发现，在对中国目标实施的上万次网络攻击，特别是对西北工业大学发起的上千次网络攻击中，部分攻击过程中使用的武器攻击，在“影子经纪人”曝光NSA武器装备前便完成了木马植入。按照NSA的行为习惯，上述武器工具大概率由TAO雇员自己使用。

四、TAO网络攻击西北工业大学武器平台IP列表

技术分析与溯源调查中，技术团队发现了一批TAO在网络入侵西北工业大学的行动中托管所用相关武器装备的服务器IP地址，举例如下：

五、TAO网络攻击西北工业大学所用跳板IP列表

研究团队经过持续攻坚，成功锁定了TAO对西北工业大学实施网络攻击的目标节点、多级跳板、主控平台、加密隧道、攻击武器和发起攻击的原始终端，发现了攻击实施者的身份线索，并成功查明了13名攻击者的真实身份。

然而此事还没过去几天，又有黑客出来行动了，这次的目标是苹果。

据财联社最新报道，苹果新闻遭到了黑客的攻击，不过具体的攻击内容和方式还并未透露出来。

继《GTA6》被黑后：苹果新闻也遭黑客攻击

其实此前，攻击R星的背后黑客组织也曾入侵过苹果，并且盗取了苹果健康源代码。

这些事件也可以看出来，作为全球最大的科技公司，苹果的安全性也并不是那么牢不可破。

今年8月还曾有消息称，iPhone、iPad和iMac电脑等产品存在严重安全漏洞，这些漏洞可能会让黑客入侵用户设备、获得管理权限甚至完全控制设备并运行其中的应用软件。

苹果紧急寻找了解决办法，并向用户推送全新的修复补丁，提醒大家立即升级，这才封堵了这个严重漏洞。

1、对确认刷单涉案的关联收款账户，实行永久冻结账户处罚，同时向公安机关提交违法证据线索；

2、对账户涉嫌参与向他人做刷单返款、收款以及资金中间账户做限制收款处理；

3、对确认建立刷单群聊，诱导他人下载刷单 App、点击刷单网站链接的，做社交群功能禁止处罚。

公告指出，为了守护支付宝用户的资金安全，支付宝安全中心对正处于风险交易中的用户进行主动提醒，对于核实参与虚假刷单欺诈的风险账户进行了不同程度的处罚。

数据显示，截至 2022 年 9 月，支付宝安全中心已对 24407 个参与组织刷单的账号进行了永久冻结账户处罚；对 4215 个参与刷单诈骗的账号作出了限制收款处理；对 34375 个刷单社交群作了群功能禁止处罚。同时，其也致力于优化风控服务能力，实时甄别疑似刷单欺诈交易。2022 年上半年，支付宝用户在刷单类诈骗中的资金损失率下降了 36.9%。

此外，支付宝安全中心提醒称，刷单是违法行为，凡是以刷单为名义的兼职，都是诈骗。如遇疑似违法违规情况，可通过支付宝举报中心举报或者直接拨打 110 电话报警。

它还通知了警方和主要监管机构。

可能泄露的信息包括电话号码等个人详细信息，而部分客户的地址和身份证件号码也被泄露。

该运营商表示，支付细节和账户密码并未泄露，其移动和互联网服务仍正常运行。

Optus首席执行官凯利·拜耳·罗斯马林（Kelly Bayer Rosmarin）表示，该公司受到此次攻击的“重创”，并立即采取行动阻止和展开调查。

“虽然不是每个人都可能受到影响，我们的调查也尚未完成，但我们希望所有客户尽快了解发生的事情，以便提高警惕。”

受到影响的客户据称多达900万。

美国航空公司的企业传播高级经理Andrea Koos告诉BleepingComputer，该公司员工的账户在一次网络钓鱼活动中遭到入侵，但拒绝透露有多少客户和员工受到影响，而是说这是“非常少数”。

根据通知，美国航空公司在7月5日发现了这一漏洞，立即保护了受影响的电子邮件账户，并聘请了一家网络安全取证公司来调查安全事件。

“在2022年7月，我们发现一名未经授权的行为者入侵了有限数量的美国航空公司团队成员的电子邮件账户，”该航空公司告诉受影响的客户：“在发现事件后，我们保护了受影响的电子邮件帐户，并聘请了第三方网络安全取证公司进行取证调查，以确定事件的性质和范围。”

在攻击中暴露并可能被攻击者访问的个人信息可能包括：员工和客户的姓名、出生日期、邮寄地址、电话号码、电子邮件地址、驾驶执照号码、护照号码和/或某些医疗信息。

美国航空公司表示，将为受影响的客户提供两年免费的Experian IdentityWorks会员资格，以帮助检测和解决身份盗窃问题。

美国航空公司曾在2021年3月遭遇数据泄露事件，当时全球航空信息技术巨头SITA证实，黑客入侵了其服务器并获得了包括美国航空公司在内的全球多家航空公司的乘客服务系统(PSS)的访问权限。

作为全球机队规模最大的航空公司（其主线拥有超过1300架飞机），美国航空公司拥有超过12万名员工，每天运营近6700个航班，飞往50多个国家/地区的约350个目的地。

关于调查问卷引发网络舆情的情况说明

2022年9月19日，学校在日常网络舆情梳理中发现“学信网信息泄露”的话题。对此，学校高度重视，第一时间责成学生处、校团委、保卫处等部门对事件进行调查，要求快速查清事实，及时作出回应，给学生一个安心答复。经过多部门协同调查，与相关学生走访座谈，基本查清事实。现将有关情况说明如下。

2022年8月28日，校学生会一名学生干部参加社会实践活动期间，应郑州泽梦企业管理咨询有限公司业务人员要求，协助该公司擅自组织学生参与网上《信师宿舍满意度调查问卷》活动，通过学生干部QQ交流群发布调查问卷，组织2020级和2021级学生参加问卷调查。经查，该调查问卷最后一题是要求学生登录学信网并填写学信码，涉事公司事前向该生隐瞒了学信码的真实用途，该生对问卷调查的真实目的缺乏了解。经与填写问卷学生核实，确实存在部分学生学信码被盗用情况，造成这些学生在三个月内不能享受购买苹果平板电脑、耳机等产品的优惠政策。

针对该事件，学校有关部门已于9月19日上午向信阳市五星乡派出所报案，并立案调查。校团委第一时间召开团学会议，要求做好学生信息统计、事件解释和情绪安抚工作，同时，通知参与问卷调查的学生登录学信网关闭学信码。涉事学生干部已被撤职，责令写出深刻检讨，等待进一步处理。同时，与涉事企业进行严正交涉，要求该公司立即停止非法侵害行为，最大限度保护学生信息安全。目前，公安机关已掌握涉事公司收集我校学生个人信息情况，已责令该公司不得售卖学生信息，并最快消除不良后果，给我校学生一个满意交代。有关部门正与公安、网信部门保持密切联系，开展进一步调查，以确保学生信息安全。

最后，请同学们放心，也请同学们相信，学校将尽最大努力帮助学生挽回损失，消除此次事件可能造成的不良后果，后续事件进展情况将及时跟踪公布。

信阳师范学院学生处

2022年9月20日

最近两周来，波黑议会网站一直处于关停状态。当地新闻媒体Nezavisne就此事联系了几位议员，对方称已被告知禁止访问自己的电子邮箱和官方文件，甚至最好干脆别使用电脑。

波黑检察官办公室一位发言人表示，他们几天前就已接到此案。

发言人Boris Grubešić表示，“当日值班的检察官向执法机构官员发出了必要指示，希望澄清案件具体情况，同时对IT网络与各级机构给予网络安全保护。”

“此案正在调查当中，我们目前无法透露其他任何消息。”

议会已失去工作能力，议员批评安全人员不关心安全

波黑议会人民院代表Zlatko Miletić告知当地媒体Nezavisne，目前立法机构已经失去了工作能力，而且此次攻击开始于9月8日-9日左右。

虽然检察官并未透露具体攻击类型，但有消息人士向Nezavisne证实，这就是一起勒索软件攻击。波黑《萨拉热窝时报》报道称，攻击发生后，该国议会的主服务器旋即关闭。

一位议会发言人告诉新闻媒体，“用户无法访问服务器，电子邮件和官方网站目前也都处于关闭状态。”

还有多位议员提到，他们收到了不要使用电脑的通知，理由是担心勒索软件会传播到他们的个人设备上。

Miletić对政府网络安全专家的工作持批评态度，强调在此次攻击之前，“根本没人关心安全问题”。

“他们本来有充足的时间采购必要的技术手段，为服务器施加额外保护。他们应该知道，网络安全领域就是需要投资，没有设备就没有安全可言。这些技术手段确实价格不菲，但我们必须要买起来、用起来。不只是议会，其他处理并存储各类数据的机构也应该从中吸取教训。”

另一位议员Dušanka Majkić也对政府计算机上的数据表示担忧，还提到她自己的设备上甚至保存着2004年时的文件。

政治动荡更容易引发网络攻击，今年已有多起案例

随着塞族共和国分裂行为的逐步升级，波黑目前正处于政治动荡之中。如果勒索软件攻击的传闻得到证实，则将成为今年以来勒索软件团伙借政治风波为掩护发动攻击的又一案例。

现已解散的Conti勒索软件团伙此前曾对哥斯达黎加发动过毁灭性的攻击，哥新任总统称这是企图“在过渡时期威胁该国稳定”。

三周之前，就在黑山政府因不信任投票而被实际免职的同时，也有勒索软件攻击趁虚而入。

近年来，全球多国议会已先后成为勒索软件团伙和黑客攻击的受害者。就在上周，位于首都的阿根廷议会遭遇一起勒索软件攻击，事件破坏了该机构的内部操作系统和WiFi网络。

《GTA6》事件黑客身份曝光：16岁少年 此前曾攻击NVIDIA

知名黑客、黑客论坛BreachForums的所有者“pompompurin”曝光了《GTA6》泄露事件黑客的身份，他表示罪魁祸首是网络犯罪团队Lapsus$的负责人，年仅16岁的Tea Pot。其在Telegram聊天中承认入侵了R星并展示了证据，但聊天记录很快就遭到了删除。

据悉，黑客组织Lapsus$自去年年底以来已卷入多起黑客事件，此前包括微软、三星、英伟达和育碧在内的许多科技公司都遭到了其攻击，该黑客组织曾表示自己的主要目标是钱，既无政治性，也没有任何人赞助。

值得一提的是，美国打车App优步（UBER）也表示最近遭到了Lapsus$ 攻击，现在正在与联邦调查局和美国司法部保持联系。

IT之家了解到，昨天R星发文承认《GTA6》遭到了泄露，但表示不会对其正在进行的项目产生长期影响。

9月19日，公安部治安管理局官方微博“中国警方在线”发布反诈提醒：谨防冒充“羊了个羊”客服人员销售道具、复活次数等进行电信诈骗。在游戏过程中，要提高安全防范意识，别被一时激动冲昏头脑。一旦发现被骗，要及时保存聊天记录、发布诈骗信息的网页等证据，并立即向警方报案。

防骗秘籍

各位玩家，快乐游戏的同时，这份防骗秘籍，请一定要牢记！

01 给钱买秘籍

骗子在社交平台发布有通关秘籍的广告信息，诱导受害人在虚假游戏交易平台、微信群或QQ群内进行交易，让受害人支付9.9元等小额金额来换取秘籍或以“注册费、押金、解冻费”的名义支付各种费用。待收到钱后，将受害人联系方式拉黑或者失联。

02 秘籍在网盘自取

通常骗子通过社交平台与受害人添加好友后，声称索要秘籍的人较多，已经将word文档存在某网盘里，随即发来链接要求受害人自取，岂不知，骗子利用发送带有病毒的木马链接，诱骗游戏玩家进行点击，通过远程操控对其电脑、手机等进行控制。

03 中奖诱惑玩家付费

以去年爆火的某小程序游戏为例，就是凭借诱导性的广告，让玩家在玩游戏时，领取游戏界面弹出的带有“100手机话费券”。 大量网友在社交媒体上反馈称，领取了所谓的“100手机话费券”，但在按网站指示支付了9.9元或19.9元后却发现话费无法兑现，也不能退款。

警方提醒：快乐游戏的同时，谨防诈骗！未知链接不点击，陌生来电不轻信，个人信息不透露，转账汇款多核实。

“羊了个羊”背后上市公司股价19日大跌超7%

《羊了个羊》席卷社交平台的同时，其背后的一众公司和资本也成为市场关注的焦点。

9月14日，《羊了个羊》官方微博发布的一条“简游急招后端服务器开发”的招聘启事，让研发团队简游科技进入大众视野。

启信宝显示，简游科技成立于2021年1月，拥有“羊了个羊软件”的著作权。公司注册资本约117万元人民币，法定代表人为张佳旭。公司第一大股东为张佳旭，持股比例为85.5%；第二大股东为厦门雷霆网络科技股份有限公司（以下简称“雷霆网络”），持股比例为10％。

虽然成立短短一年多，但简游科技此前还开发过另一爆款微信小游戏《海盗来了》，并且其背后股东雷霆网络是知名游戏上市公司吉比特旗下公司。近日，吉比特（SH603444，股价285.13元，市值189.8亿元）也在投资者问答平台上表示：“公司通过控股子公司间接持有北京简游10%股权。”9月8日~9月16日，吉比特在6个交易日中股价累计上涨4.63%。吉比特于2017年上市，公司股价最高点曾达626.20元。

今日（9月19日）早间开盘后，吉比特股价极速下跌，一度跌超7%，截至发稿前，公司股价为264.15元，下跌7.32%。

Choice数据显示，今年9月1日至今，吉比特股价累计上涨0.4%；今年1月4日至今，吉比特股价累计下跌28.68%。如果将时间线再拉长，2021年1月4日至2022年9月16日，吉比特股价累计下跌27.87%。

据《纽约时报》报道，威胁者入侵了一名员工的 Slack 账户，并用它来通知内部人员该公司“遭受了数据泄露”，并提供了一份据称被黑客入侵的内部数据库列表。

“我宣布我是一名黑客，Uber遭到数据泄露。”

该公司被迫使其内部通信和工程系统离线，以减轻攻击并调查入侵。

据称，攻击者破坏了多个内部系统，并向《纽约时报》和一些网络安全研究人员提供了电子邮件、云存储和代码存储库的图像。“他们几乎可以完全访问 Uber，”Yuga Labs 的安全工程师 Sam Curry 说，他与声称对此次违规行为负责的人进行了通信。“从它的样子来看，这是一个彻底的妥协。”

攻击者还可以访问公司的 HackerOne 漏洞赏金计划，这意味着他们可以访问白帽黑客提交给公司的每个漏洞报告。这些信息非常重要，威胁者可以利用它发动进一步的攻击。目前无法排除报告包含有关公司尚未修复的一些缺陷的技术细节。

HackerOne 已立即禁用 Uber 漏洞赏金计划，阻止对报告问题列表的任何访问。公司发言人证实，Uber通知执法部门并开始对事件进行内部调查。

Uber首席信息安全官 Latha Maripuri 通过电子邮件告诉《纽约时报》：“我们目前无法估计何时恢复对工具的完全访问权限，因此感谢您对我们的支持。”

员工被指示不要使用内部消息服务 Slack，其中一些不愿透露姓名的员工告诉纽约时报，其他内部系统无法访问。

这名黑客自称18岁，并补充说优步的安全性很弱，在通过 Slack 发送的消息中，他还表示优步司机应该获得更高的工资。

据悉，这不是Uber第一次遭遇安全漏洞。2017 年，2016 年发生的另一起数据泄露事件成为头条新闻。

2017 年 11 月，Uber 首席执行官 Dara Khosrowshahi 宣布黑客侵入了公司数据库并访问了 5700 万用户的个人数据（姓名、电子邮件地址和手机号码），令人不安的发现是该公司掩盖了黑客行为一年多。攻击者还访问了其在美国大约 600,000 名司机的姓名和驾照号码。

黑客事件发生在 2016 年，根据彭博社发布的一份报告，黑客很容易  从公司开发团队使用的私人 GitHub 站点获取凭据。黑客试图勒索优步，并要求该公司支付 10 万美元，以换取避免公布被盗数据。

信息安全主管乔·沙利文（Joe Sullivan）没有按照加州数据安全违规通知法的要求向客户和执法部门通知数据泄露事件，而是下令支付赎金并掩盖破坏任何证据的故事。奖金被伪装 成漏洞赏金 ，并签署了保密协议。

如果Slack被判有罪，这将是第一次有安全专业人员因此类事件而被追究个人责任。

从FBI公布的信息来看，疗保健行业支付处网络犯罪分子正在结合多种策略来获取医理器员工的登录凭据并修改支付指令。FBI 表示，它收到了多份报告，其中黑客使用公开的个人详细信息和社会工程学来冒充受害者访问医疗保健门户、网站和支付信息。在今年 2 月和 4 月的三起此类事件中，黑客从受害者那里转移了超过 460 万美元到他们的账户。

网络钓鱼和欺骗支持中心是帮助黑客实现访问处理和分发医疗保健支付实体的目标的附加方法。FBI 今天的警报指出，这种特定的威胁行为者活动包括向医疗保健支付处理器的财务部门发送网络钓鱼电子邮件。他们还在修改 Exchange Server 的配置并为目标帐户设置自定义规则，可能会收到受害者邮件的副本

各国政府纷纷对此表示哀悼，女王的葬礼后续事宜也在按照以往的规格和节奏有序进行。9月15日，英国伦敦深夜举行女王伊丽莎白二世葬礼彩排，并将于19日为女王举行隆重的国葬仪式。

假借悼念之名，行网络攻击之实

就在大家哀悼女王之际，Proofpoint安全研究人员却发现，毫无底线的攻击者假借悼念之名，行网络攻击之实，以“女王去世”、“哀悼女王”等为诱饵的网络钓鱼攻击呈现持续上升的趋势，其目的是从受害者那里窃取 Microsoft 帐户和密码。

攻击者实施网络钓鱼攻击的具体做法是，向用户发送一封带有恶意链接的电子邮件，内容如下图所示：

邮件以 Microsoft团队的名义发出，大意是微软现正在推出一款名为“伊丽莎白将记忆板”的产品，以此缅怀这位传奇女王。在这里将汇聚来自全球的各种悼念信息，包括单词、邮件、相片等。如果用户也想参与悼念活动，点击链接登录微软账户即可。

很明显，这是一个虚假恶意的钓鱼链接，重定向的域名并没有让用户提交悼念文本，而是忽悠受害者先输入其微软账号的登录面、以及多因素身份验证（MFA）等私密信息。一旦这些敏感的信息被攻击者获取，势必会对用户带来严重的影响，甚至是以用户之名进行二次网络钓鱼攻击。

EvilProxy一键反向代理

值得注意的是，在此次网络钓鱼攻击中，安全研究人员观察到不少攻击者正在使用EvilProxy一键反向代理和Cookie 注入，以此绕过2FA 身份验证。关于EvilProxy反向代理服务的具体内容，FreeBuf在 （EvilProxy文章） 进行了说明。

事实上，安全研究人员并非首次观察到此类攻击方式，在以往的APT和针对性间谍活动中也曾多次出现。而随着EvilProxy将这类功能逐渐产品化，那么未来针对在线服务和MFA授权机制的攻击将会迎来较高的增长。

EvilProxy首次出现在安全人员的视野是在2022年5月上旬，当时其背后的攻击组织发布了一段演示视频，详细介绍了该工具是如何提供高级网络钓鱼攻击服务，并声称可窃取身份验证令牌以绕过 Apple、Google、Facebook、Microsoft、Twitter、GitHub、GoDaddy 和甚至 PyPI。

其原理较为简单，攻击将受害者引导至网络钓鱼页面，使用反向代理获取用户期望的所有合法内容，包括登录页面——当流量通过代理时，它会进行嗅探。通过这种方式，攻击者可以获取有效的会话 cookie 并绕过用户名、密码、2FA令牌进行身份验证等操作，从而实现访问目标账户。

EvilProxy服务承诺窃取用户名、密码和会话cookie，费用为150美元（10天）、250美元（20 天）或400美元（30天）。而针对Google帐户攻击的使用费用更高，为 250/450/600 美元。Resecurity还在社交平台上演示了，EvilProxy是如何针对Google帐户发起网络钓鱼攻击。

美国财政部声称，过去两年以来，这些个人涉嫌参与多起勒索软件攻击，并入侵了美国和全球其他地区组织的网络。

这些恶意活动，还与多家网络厂商分别跟踪的国家资助黑客活动存在交集，具体包括APT35、Charming Kitten、Phosphorus、DEV-0270、Tunnel Vision和Nemesis Kitten。

美国财政部表示，“已经有多家网络安全公司发现，这些入侵活动确与伊朗政府有关。他们此前进行过多种恶意网络攻击，包括勒索软件和网络间谍活动。”

“该团伙针对全球各组织及官员发起广泛攻击，重点针对美国及中东地区的国防、外交和政府工作人员，同时也将矛头指向媒体、能源、商业服务和电信等私营行业。”

三名成员信息被悬赏3000万美元

作为伊朗伊斯兰革命卫队的附属组织，该团伙的成员主要是总部位于伊朗的Najee Technology Hooshmand Fater LLC（简称Najee Technology）和Afkar System Yazd公司（简称Afkar System）员工，其中包括：

Mansour Ahmadi：Najee Technology公司法人、董事总经理兼董事会主席

Ahmad Khatibi Aghda：Afkar System公司董事总经理兼董事会成员

其他雇员及同事：Ali Agha-Ahmadi、Mohammad Agha Ahmadi、Mo'in Mahdavi、Aliakbar Rashidi-Barjini、Amir Hossein Nikaeen Ravari、Mostafa Haji Hosseini、Mojtaba Haji Hosseini及Mohammad Shakeri-Ashtijeh

美国财政部之前曾制裁与Net Peygard Samavat公司相关的人员，理由是他们曾于2019年同伊斯兰革命卫队和伊朗情报与安全部（MOIS）开展合作。

一年之后，美国财政部又制裁了Rana Intelligence Computing公司及部分员工，称这家打着经营旗号的企业其实在代表伊情报与安全部协调网络攻击活动。

在此次制裁公告中，美国国务院提供3000万美元，征集关于Mansour Ahmadi、Ahmad Khatibi Aghda和Hossein Nikaeen Ravari三名受制裁伊朗人的信息。三人也因涉嫌参与针对美国关键基础设施组织的勒索软件攻击，面临美国司法部的指控。

美国安全公司提供溯源证据链

昨天，美国、加拿大、英国和澳大利亚的网络安全机构还发布联合公告，描述了该威胁团伙的恶意活动并披露了技术细节。

安全公司Secureworks也紧跟发布一份报告，证实了美国财政部的信息。

Secureworks公司表示，由于抓住了对方在2022年6月勒索软件事件中犯下的操作失误，该公司成功将Nemesis Kitten（也称Cobalt Mirage）团伙同伊朗的Najee Technology、Afkar System两家公司，以及名为Secnerd的另一家实体联系了起来。

Secureworks公司反威胁部门（CTU）在今年5月的报告中，也曾提到涉及Nemesis Kitten的类似恶意攻击（与Phosphorus APT团伙存在交集）。

上周，微软表示，Nemesis Kitten（也称DEV-0270）团伙一直悄悄“作为伊朗支持的Phosphorus网络间谍团伙（又名Charming Kitten和APT35）的子部门，为个人或公司获取非法收入。”

微软将该团伙与多家伊朗企业联系了起来，其中包括Najee Technology、Secnerd和Lifeweb。

微软解释道，“该团伙的攻击目标有很大的随机性：他们会首先扫描互联网以查找易受攻击的服务器和设备，因此服务器和设备易受攻击且暴露在网上的组织更可能受到攻击影响。”

这份来自行政安全部的统计资料显示，近5年零7个月（2017年到2022年7月）期间，黑客共55.8674万次企图入侵政府网络系统。按年度看，2017年为6.2532万次，2018年为9.498万次，2019年为12.4754万次，2020年为10.881万次，2021年为10.1123万次，整体呈逐年递增趋势。今年1月至7月共6.6475万次。

追踪网络层协议（IP）地址的结果显示，来自中国的攻击试图最多，共有12.7908万次（22.9%），其次是来自美国的11.3086万次（20.2%），韩国的4.7725万次（8.5%），俄罗斯的2.6261万次（4.7%），德国的1.5539万次（2.8%），巴西的1.3591万次（2.4%）等。按攻击类型来看，泄露信息（40.9%）最多，其次是收集信息（16.5%）、篡改网页（15.7%）、获取系统权限（14.2%）等。

李海植表示，试图攻击政府网络的黑客逐年增加意味着国家安全和国民的个人信息受到威胁，有必要从政府层面制定全面的网络安全防范对策。

虽然“隐私”在数字化的世界已经无处安放，但我们却很少去认真思考，隐私究竟是怎样被泄露的？

近日，诺顿LifeLock实验室研究后发现，超过8成带有搜索栏的网站会将访问者的搜索字词泄露给谷歌等在线广告商。

很明显这是在赤裸裸地侵犯用户隐私，并公然将敏感信息泄露给庞大的第三方服务商，借助这些信息，谷歌等在线广告商可以提供有针对性的广告或跟踪用户的网络行为。这些数据甚至有可能在这些服务商之间共享，又或者是多次转手出售给更多的企业，由此带来的恶果是，用户的隐私信息将会一直存在互联网上，一直被曝光。

虽然一些网站可能会在其用户政策中声明这种做法，但访问者通常不会阅读这些内容，并认为他们在嵌入式搜索字段中输入的信息是与大数据代理隔离的。

用爬虫发现信息泄露

为了研究用户隐私信息泄露的普遍程度，诺顿LifeLock实验室开发了一个基于Chrome 浏览器的网络爬虫。该爬虫可以使用前100万个网站内部的搜索功能并执行搜索，最后搜索后捕获所有网络流量，以此查看用户的搜索词会流转到哪里。

为了区别于其他的普通搜索，实验室使用了一个特定的搜索词“jellybeans”，以确保可以在网络流量中轻松找到测试的搜索词。

众所周知，一个典型的 HTTP 网络请求由三部分组成：URL、Request Header 和 payload。HTTP 请求标头是浏览器自动发送的元数据（见下文），有效负载是脚本或表单请求的附加数据，可能包括更详细的跟踪信息，例如浏览器指纹或点击流数据。在实际研究中，安全研究人员在网络请求的Referer 请求标头、URL 和有效负载中寻找关键词“jellybeans”。

结果令人感到非常惊讶。在具有内部站点搜索功能的顶级网站中，安全研究人员发现，81.3%的网站都在以某种形式向第三方泄露搜索字词：75.8% 的网站通过Referer标头，71% 的网站通过URL，21.2%的网站通过有效载荷。这也就意味着网站通常会以多个向量泄露关键词。

研究人员强调，八成只是最低的数字，因为他们仅在三个特定位置查找“jellybeans”搜索字符串，还有不少有效载荷被混淆以避免被工具检查，因此有效载荷的实际数量将会更高。

鉴于如此严峻的结果，安全研究人员很好奇这些网站是否都告知用户，其搜索关键词将会被发给第三方服务商。事实上，自欧洲通用数据保护条例 (GDPR) 和加利福尼亚州消费者隐私法 (CCPA) 通过以来，许多网站都更新了各自的隐私政策，那么又有多少网站明确告知了这些内容？

为此安全研究人员再次使用爬虫爬取了隐私政策，并建立了一个人工智能逻辑来阅读隐私政策，结果发现只有13% 的隐私政策明确提到了用户搜索词的处理，如此之低的比例再次让安全研究人员感到震惊。这不仅侵犯了用户隐私，而且还侵犯了用户的知情同意权。

当地时间9月12日，乌克兰数字转型部在Telegram宣布，其IT团队致使俄罗斯2400多个俄罗斯网站瘫痪，涉及金融业、实体企业、媒体等组织。

俄罗斯联邦最大和最重要的银行：俄罗斯天然气工业银行、莫斯科信贷银行、俄罗斯国家银行的服务瘫痪，导致俄罗斯用户无法使用网上银行或通过智能手机进行金融交易。乌克兰数字转型部表示，“更严重的是，俄罗斯士兵领不到工资，亲属领不到赔偿。”

受影响的还有而连锁汽车经销商在线网站Drom、乳制品批发和零售商的电子文档管理系统。俄罗斯主要宣传媒体《俄罗斯日报》也陷入瘫痪。乌克兰数字转型部表示，“我们注意到，一些宣传人员已经在考虑停战，但现在已经太迟了。”

此外，乌克兰IT团队还在9月1日（苏联解体国家的知识日），通过克里米亚主要电视频道，向学生传达总统泽连斯基的问候。

据乌克兰媒体Ukrinform报道，9月11日俄罗斯对乌克兰展开大规模袭击，哈尔科夫和顿涅茨克地区的电力被完全切断。根据乌克兰能源部的数据，共有40个的变电站停电，4名电力工程师遇难。

值得一提的是，思科方面在一份公告中表示，此次数据泄漏事件不会对公司业务有任何影响。

公告中部分内容：

2022 年 9 月 11 日，黑客将相同文件的实际内容发布到了暗网同一位置上，这些文件的内容与公司已经识别和披露的内容相符。思科方面认为对公司业务没有影响，包括思科产品或服务、敏感的客户数据或敏感的员工信息、知识产权或供应链运营等。

据悉，早在 8 月份的一份报告中，思科就宣布在黑客入侵员工 VPN 帐户后，其网络已被 Yanluowang 勒索软件入侵。随后思科强调被盗的数据包括该员工 Box 文件夹中的非敏感文件，攻击在 Yanluowang 勒索软件开始加密系统之前就已被遏制。

黑客声称窃取了55GB的数据

有意思的是，黑客表示事情并不是思科所说的那样，Yanluowang 幕后主使人向 BleepingComputer 透露，该组织窃取了思科成千上万的文件，总计达到了 55 GB ，文件主要包括机密文件、技术原理图和源代码。

不过，该名黑客没有提供任何证据，只分享了一张截图（表明可以访问似乎是开发系统的界面），因此 BleepingComputer 也无法核实这一说法的准确性。当被要求对此事发表评论时，思科否认了入侵者能够访问任何源代码的可能性。

公司没有证据表明攻击者访问了思科产品的源代码，也没有任何超出我们已经公开披露的实质性访问——思科

上月末，网络安全公司eSentire的研究团队发表了一份报告，其中有证据表明 Yanluowang、“Evil Corp”（UNC2165）和 FiveHands 勒索软件（UNC2447）之间存在关联。但Yanluowang勒索软件团伙告诉 BleepingComputer，他们在攻破思科时是单独行动，与这些派别都没有关系。

根据其披露的违规信息，造成此次数据泄露的主要元凶是Nelnet Servicing公司——一家服务系统和网络门户提供商，为 OSLA 和 EdFinancial 提供相应的服务。

2022年7月，Nelnet公司曾向用户发布了一封公开信，披露了存在的违规行为以及可能泄露个人贷款记录。该公司在公开信中强调，在事件发生后，网络安全团队立即采取行动保护信息系统，并极力阻止一切可以行动，及时与第三方网络安全专家展开联合调查，以确定活动的性质和范围，尽可能解决这一网络安全事件。

直到8月17日，调查结果显示，个人用户信息已经被未经授权的第三方访问，数据泄露已成定局。此次事件中泄露了250万学生贷款记录，以及账户持有人的姓名、家庭住址、电子邮件地址、电话号码和社会保险号码，个人财务信息没有泄露。

Nelnet法律顾问向俄克拉荷马州提交了违规披露文件，但尚不清楚被攻击的原因和具体的漏洞信息。

尽管极为关键的个人财务信息没有泄露，但是在 Nelnet事件中泄露的个人信息，未来很有可能被攻击者在社会工程或网络钓鱼攻击活动中利用。恰好拜登政府上周出台了一项“减免学生贷款”的计划，中低收入贷款人取消 10000 美元的学生贷款债务，别有用心的犯罪分子可能会利用这个机会进行诈骗，已经贷款的用户需提高警惕，认真辨别消息的真伪，避免上当受骗。

上周五，一个名为“AgainstTheWest”的黑客组织在一个黑客论坛发帖声称已经入侵了TikTok和微信，并公布了一个Tiktok和微信的数据库屏幕截图，声称该数据库是在一个包含TikTok和微信用户数据的阿里云实例上访问的。

该黑客组织表示，该服务器在一个790GB的庞大数据库中保存了20.5亿条记录，其中包含用户数据、平台统计信息、软件代码、cookie、身份验证令牌、服务器信息等。

虽然该黑客组织的名字是“AgainstTheWest”（以下简称ATW），但该组织声称只针对敌视西方利益的国家和公司。

网络安全研究员CyberKnow解释说：“不要让这个名字让你感到困惑，ATW的目标是他们认为对西方社会构成威胁的国家，目前他们的目标是中国和俄罗斯，并计划在未来瞄准朝鲜、白俄罗斯和伊朗。”

TikTok否认被黑客入侵

TikTok告诉BleepingComputer，该公司被黑客入侵的说法是错误的。此外，该公司表示，在黑客论坛上共享的源代码不是其平台的一部分。

“这是一个错误的说法——我们的安全团队调查了这一声明，并确定有问题的代码与TikTok的后端源代码完全无关，后者从未与微信数据合并。”-TikTok。

TikTok还指出，泄露的用户数据不可能是直接抓取其平台造成的，因为它们有足够的安全保护措施来防止自动脚本收集用户信息。

BleepingComputer也已联系微信，但截止发稿尚未收到回复。

虽然微信和TikTok都是中国公司，但它们并不属于同一家母公司，前者属于腾讯，后者属于字节跳动。因此，在单个数据库中同时看到两家企业的数据表明该数据库不属于其中任何一家公司。

最有可能的情况是，该未受保护的数据库是由第三方数据抓取工具或代理人创建的，从两种服务中抓取公共数据并将其保存到单个数据库中。但是考虑到严格的隐私保护法规，如此大规模的隐私数据云端暴露真实性存疑。

HaveIBeenPwned创始人Troy Hunt发推文（下图）确认了某些数据（源代码）是有效的。但是Hunt表示已泄露的都是公开可访问代码，很可能是非生产环境或测试代码，目前没有任何证据表明TikTok存在内部系统漏洞。

此外，“数据库猎手”Bob Diachenko发推文称已经验证了泄露的用户数据是真实的，但无法提供有关数据来源的任何具体结论：

在周二在向伦敦证券交易所提交的文件中，洲际酒店集团报告其公司部分技术系统受到未经授权的活动的影响：“自昨天以来，IHG的预订渠道和其他应用程序已被严重中断，而且这种情况仍在继续。”

根据报告，洲际酒店集团已聘请外部专家对事件进行调查，并正在通知相关监管机构。 

洲际酒店集团是一家英国跨国公司，目前在100多个国家/地区经营6,028家酒店，并有1800多家在开发中，旗下品牌包括豪华、高档和基本连锁酒店，如洲际、丽晶、六善、皇冠假日、假日酒店等。

在周二在向伦敦证券交易所提交的文件中，洲际酒店集团报告其公司部分技术系统受到未经授权的活动的影响：“自昨天以来，IHG的预订渠道和其他应用程序已被严重中断，而且这种情况仍在继续。”

根据报告，洲际酒店集团已聘请外部专家对事件进行调查，并正在通知相关监管机构。 

根据BleepingComputer的测试，洲际酒店集团的API也出现故障，并显示502和503HTTP错误。

洲际酒店集团客户端APP目前也无法登录，显示“出现问题，您输入的凭据无效。请重置您的密码或联系客户服务。”的错误信息

网络犯罪情报公司Hudson Rock表示，根据与ihg[.]com域名相关的数据分析，IHG至少有15名员工和4000多名用户遭到入侵。

这家连锁酒店巨头也是2017年（9月29日至12月29日）长达三个月的漏洞攻击事件的受害者目标，当时美国有1200多家洲际特许经营酒店受到影响。

本周一，该学区承认在上周末遭到网络攻击，随后确认攻击类型为勒索软件。尽管本次攻击导致 LAUSD 基础设施出现“明显的中断”，不过该学区表示正着手恢复受影响的服务。LAUSD 表示，预计技术问题不会影响交通、食品或课后活动，但指出“业务运营可能会延迟或修改”。

该学区警告说，持续的中断包括“访问电子邮件、计算机系统和应用程序”。该学区内 Northridge Academy High 学校的一篇帖子证实，教师和学生可能无法访问 Google Drive 和 Schoology，这是一个 K- 12 学习管理系统，直至另行通知。

LAUSD 表示，根据对关键业务系统的初步分析，“员工医疗保健和工资单没有受到影响，网络事件也没有影响学校的安全和应急机制”。然而，目前尚不清楚攻击期间是否有任何数据被盗，LAUSD 尚未回答媒体的问题。勒索软件攻击者通常会在要求支付赎金之前泄露受害者的文件，旨在进一步勒索受害者，威胁要在不支付赎金的情况下在线泄露被盗数据。目前尚不清楚袭击的幕后黑手是谁。

Chrome 浏览器 105.0.5195.102 版本更新已推出，修复了一个高风险安全漏洞，该漏洞修补了一个危险的 0 day 漏洞，即被发现后立即被恶意利用的安全漏洞。这是该公司在 2022 年迄今为止修补的第六个 0 day 漏洞。

此前修复的 5 个 0 day 漏洞分别为 CVE-2022-0609、CVE-2022-1096、CVE-2022-1364、CVE-2022-2294 和 CVE-2022-2856。

IT之家了解到，匿名报告称，新漏洞 CVE-2022-3075 是 Mojo 中数据验证不足导致的。Mojo 是一组运行时库，有助于跨任意进程间和进程内边界传递消息。

谷歌表示：“在大多数用户更新修复程序之前，可能会限制对错误详细信息和链接的访问。如果错误存在于其他项目类似依赖但尚未修复的第三方库中，我们还将保留限制。”

这些数据来自 990-T 表格，该表格通常用于拥有个人退休账户且在这些退休计划中赚取某些类型业务收入的人。

据报道，泄露的数据包括姓名、联系信息和有关这些 IRA 收入的财务信息。根据美国政府周五发送给国会主要成员的一封信，财政部确定，其中不包括社会安全号码、完整的个人收入信息或其他可能影响纳税人信用的数据。

美国国税局和财政部称，从去年开始，以电子方式提交 990-T 表格时出现了人为编码错误。一些非公开数据被错误地包含在了公共数据中，并且所有这些数据都可以在该机构的网站上进行搜索和下载。IT之家了解到，《华尔街日报》称其也下载到了部分数据。

美国国税局的一名研究人员最近几周发现了这个错误，引发了更广泛的调查。根据管理重大信息安全事件的联邦法律的要求，美国国税局于周五通知了国会。受影响的纳税人将在未来几周内收到通知。

这条被称为莫斯科库图佐夫前景的街道堵塞了几个小时，出租车司机发现他们无法离开这一地区。

匿名者声称这是他们“OpRussia”的一部分，但他们的角色尚未得到证实。

出租车公司的一位发言人表示，安保部门立即制止了人为囤积车辆的行为。由于假订单，司机们在路上花费了大约40分钟。赔偿的问题将在不久的将来得到解决。检测和防止此类攻击的算法已经得到了改进，以帮助防止未来发生此类攻击。

虽然这次黑客攻击是通过Yandex应用程序发生的，但它突显了一旦自动驾驶汽车成为现实，黑客可能会带来的危险。

Yandex出租车被广泛称为“俄罗斯谷歌”，在全球1000多个城市运营，也是世界上从事自动驾驶技术的最大公司之一。如果一支舰队人工智能无人驾驶的出租车可能会被黑客接管，谁也不知道会造成什么样的破坏，从网络罪犯到军队，每个人都有能力瘫痪整个城镇和国家。

攻击事件发生不久后，ENI 一位发言人在接受路透社采访时透露，是在最近几天内部保护系统检测时，发现了此次网络攻击事件，随后就向意大利当局报告了这一事件，当局也已经展开调查。

彭博社首次披露了攻击事件

周三，彭博新闻社首先报道了 ENI 遭受攻击的消息，并猜测 ENI  似乎受到了勒索软件攻击。

目前，没有披露出关于此次攻击的具体技术细节，也没有确定攻击者是采用那种方式入侵了公司和攻击者动机。

从知情人士透露出的消息来看，ENI 可能遭受了勒索软件攻击。勒索软会锁定计算机并阻止对文件的访问以代替付款，目前尚不清楚攻击事件的主谋。

意大利其他部门同样也遭受了网络攻击

上周末，意大利能源机构 Gestore dei Servizi Energetici SpA 遭受了网络攻击，（GSE 是运营意大利电力市场的政府机构）。GSE 的网站目前仍然处于瘫痪状态。熟悉此事的人向彭博社透露，能源公司的基础设施遭到严重破坏，对该机构的运作产生了很大影响。

更糟糕的是，公共关键基础设施运营商一旦遭受网络攻击，可能导致向用户提供电力、水和其他服务的运营系统中断，最终影响民众的生活。

去年，位于佐治亚州阿尔法雷塔的 Colonial Pipeline Co遭受了网络攻击，导致其 IT 系统瘫痪，被迫关闭了美国最大的燃料管道。今年 2 月，位于德国汉堡的石油交易商 Mabanaft 遭受网络攻击，严重破坏了德国各地的燃料供应工作。

黑山公共管理部长马拉斯-杜卡伊在接受当地电视台采访时表示，此次网络攻击背后是一个有组织的网络犯罪集团，之后杜卡伊又补充说，黑客在这次攻击中使用了一种“特殊病毒”，并提出了 1000 万美元的赎金要求。

最后，杜卡伊强调，无法估计受黑客影响的服务何时能够重新恢复正常使用。

幕后主使者 Cuba 勒索软件

值得一提的是，此前杜卡伊和黑山国防部长向当地媒体透露，他们有足够的证据怀疑网络攻击是由俄罗斯服务机构指挥的，并动员巴尔干国家的北约盟友帮助他们进行事件响应、防御和补救。

如果他们所述属实，会使攻击事件显得具有强烈的地缘政治色彩。

事情很快出现了反转，在黑山政治人物发声不久后，Cuba 勒索软件团伙将黑山议会（Skupstina）列为其受害者，并声称盗取了财务文件、与银行的通信记录、资产负债表、税务文件、赔偿金，甚至源代码等资料。

这些数据分类在该网站的“免费 ”部分，任何访问者都可以无限制地使用。

Cuba勒索软件的演变

近段时间，Cuba 勒索软件表现出了明显演变。三周前，安全研究人员发现了该团伙使用一个新的工具集，以及之前未见过的策略、技术和程序。

6月，Cuba 勒索软件更新了其加密器，增加了一些选项，并建立了一个支持“受害者实时沟通”的渠道。

另一个值得注意是，2021年，大量美国实体组织在 Cuba团伙的目标范围中。

在阿卡萨航空公司网站于 8 月 7 日成立上线之后，巴罗特在几分钟之后就发现了 HTTP 请求漏洞。他最初试图直接与这家总部位于孟买的航空公司的安全团队沟通，但没有找到直接联系人。

这位研究专家表示：“我通过他们的官方Twitter账户联系了航空公司，要求他们提供一个电子邮件 ID 来报告这个问题。他们给了我 info@akasa 电子邮件 ID，我没有向其分享漏洞详细信息，因为它可能由支持人员或第三方供应商处理。所以，我再次给他们发了电子邮件，并要求 [航空公司] 提供他们安全团队中某人的 [the] 电子邮件地址。我没有收到来自 Akasa 的进一步通信”。

在没有得到航空公司关于他如何与安全团队联系的回应后，研究人员向 TechCrunch 通报了这个问题。在 TechCrunch 联系之后，该航空公司承认确实存在该问题，导致 34,533 条客户记录面临风险。该航空公司还表示，暴露的数据不包括与旅行相关的信息或支付记录。该航空公司告诉 TechCrunch，它进行了额外的审查，以确保其所有系统的安全性。

该公司没有透露具体有多少用户受到此次事件的影响，但根据俄罗斯Telegram频道“Information Leaks”的信息（该频道率先公布了此次事件，并附上一张据称为泄露信息的截图），泄露数据库总计72 GB大小，包含4400万客户的数据。

此次泄露的信息包括用户名、电子邮件地址、哈希密码、IP地址、用户注册国家、订阅起始及结束日期，以及最后一次登录记录。

START共在超过174个国家销售电影和电视节目，此次事件也让其成为俄乌冲突爆发后，遭受数据泄露和黑客攻击影响的众多俄罗斯企业之一。

据称，这起数据泄露事件已经影响到全球观众，包括俄罗斯本土的2460万用户、哈萨克斯坦的230万用户、中国的210万用户及乌克兰的170万用户。

恶意黑客宣称，这些数据来自一个暴露在互联网上的MongoDB数据库，其中包含去年9月22日之前在START网站上注册用户的详细信息。

START公司表示，已经修复了漏洞并设置了数据库访问权限，事件声明中写道，“泄露的数据对恶意黑客而言意义不大，其中最重要的内容也只有用户的电子邮件和电话号码。”

据START介绍，该数据库中不存在信用卡号等重要的财务信息。由于密码已经加密，该公司也未要求用户更改原有密码。

START公司数据科学主管Ilya Braslavskiy表示，只有少部分用户（不到2%）在网站注册时填写了真实姓名。他在Telegram上写道，“本人姓名并非必填字段，所以大多数用户没必要提交。”

目前尚不清楚此次攻击的幕后黑手和行为动机，也没有黑客团伙宣称对这起事件负责。

广电媒体成俄乌冲突期间攻击重点

今年7月初，来自乌克兰IT军的恶意黑客利用分布式拒绝服务（DDoS）攻击影响了约80家俄罗斯在线电影网站，泛滥的垃圾流量导致这些线上观影平台无法正常访问。

今年3月，匿名恶意黑客还曾入侵俄罗斯流媒体服务Wink和Ivi，并播放了俄乌战场上拍摄的真实画面。

俄乌战争期间，乌克兰方面的流媒体服务也同样饱受俄方网络攻击的摧残。今年6月，亲俄派黑客就攻击了乌克兰流媒体服务Oll.tv，并把足球赛转播替换成了俄文宣传影像。

Megogo、Sweet.tv等其他重要流媒体服务商也大多表示受到DDoS攻击，但并未受到重大影响。

IT之家了解到，DoorDash 表示，被读取的信息包括客户姓名、电子邮件地址、送货地址和电话号码、订单信息和部分支付卡信息。此外，DoorDash 工作人员的姓名、电话号码或电子邮件地址也被泄露。

不过，DoorDash 指出，受影响的人数只占该公司持有信息的“很小百分比”。在被问及此事时，DoorDash 的一名发言人不愿提供更具体的数字。

据 DoorDash 介绍，该公司调查了此次入侵事件，并认定“未经授权的一方使用窃取的供应商员工身份验证信息获得了我们部分内部工具的权限”。

此前，Meta也因Facebook和Instagram上的滤镜功能在该州被起诉，最终停用了在该州的相关功能。

Snap：滤镜不违法，但是同意和解

根据伊利诺伊州杜佩奇县第十八巡回法院8月22日发布的文件，社交软件Snapchat的母公司Snap将可能以3500万美元和解该隐私集体诉讼案件。和解已于 8 月 8 日在法院提起，并获得了法官的初步批准。和解协议显示，正式批准后，自 2015 年 11 月 17 日以来所有使用过Snapchat的伊利诺伊州居民都将可能从这笔和解金中获得赔偿。

在此前的诉讼中，原告认为Snapchat的滤镜功能违反了伊利诺伊州的《生物识别信息隐私法》（以下简称“BIPA”），具体行为包括未经允许收集和使用了生物识别信息。

作为一款以照片分享为主要功能的软件，丰富的滤镜是Snapchat产品竞争力的重要组成部分。原告认为， Snapchat的滤镜可以通过摄像头，扫描、采集，并修改用户面部数据，以达到任意改变他们在镜头中的脸部形象的效果。然而，这些面部数据属于BIPA保护的“生物识别标识符（biometric identifier）”。同时，Snapchat并没有公开告知收集、使用和销毁个人生物识别信息的具体流程。

但Snap则否认了这些指控。公司表示，产品的滤镜功能是通过物体识别技术（object recognition technology）实现的，这项技术只会识别出人的五官并加上滤镜效果，但这些特征并不会指向特定的个人。此外，Snap还表示，数据会存储在用户的设备上，甚至部分数据会在关闭应用时就被删除，不可能被发送到公司的服务器。

科技公司深陷生物识别信息隐私诉讼

据悉，Snapchat的滤镜大多是依托AR增强现实技术实现的，简单来说，该技术就是将虚拟世界的CG图像投射到现实之中。应用中的滤镜会把镜头中的人脸变成动物、水果，或者是在照片上添加其他元素，用户可以选择相应的滤镜，并且根据自己的喜好进行调整。除了Snapchat，在海外，Facebook、Instagram和Tiktok等软件都推出了AR滤镜功能；而国内，AR滤镜也逐渐在各个应用普及，比如购物软件提供的AR试妆功能、还有短视频软件的部分变脸特效滤镜等。

但是，随着技术的逐渐普及，其中的风险也逐渐被用户所重视。事实上，Snapchat并不是第一个因为在软件中使用AR滤镜功能被指控违法收集用户信息的大型互联网公司。

今年5月，Meta也被指控违反BIPA和德克萨斯州的有关人脸识别与隐私的相关法律，随后Meta在伊利诺伊州和德克萨斯州关闭了旗下社交软件Facebook、Instagram等多个产品的AR滤镜功能。而在去年，由于频频被质疑非法收集用户生物识别信息，Meta宣布暂时关闭Facebook上的人脸识别系统，并将删除超过 10 亿人的个人面部识别模板。

而此前，字节跳动旗下产品TikTok也以 9200万美金和解的一起隐私集体诉讼，也涉及滤镜对人脸隐私的非法收集。在和解协议稿中，TikTok被指控违反BIPA，利用技术采集用户的面部特征并推荐相关的贴纸和滤镜。8月22日，法院正式批准和解。

IAD是多米尼加农业部的下辖机构，负责为该国执行土地改革计划。

当地媒体报道称，此次勒索攻击发生在8月18日，已经影响到IAD的正常运营。

IAD技术总监Walixson Amaury Nuñez向当地媒体表示，“对方开价超过60万美元。我们这边被锁定的包括四台物理服务器和八台虚拟服务器，几乎是我们的全部服务器设备了。”

一直协助IAD从攻击中恢复的国家网络安全中心（CNCS）表示，攻击者的IP地址来自美国和俄罗斯。

Núñez还透露，“由于数据库、应用程序和电子邮件等都受到了影响，信息已经全面泄露。”

IAD告诉当地媒体，他们的系统上只装有防病毒软件之类最基础的安全软件，并且没有专门的网络安全部门。

攻击者为Quantum勒索软件

外媒BleepingComputer从@VenezuelaBTH 推特上获悉，IAD不太可能向恶意黑客支付赎金，因为他们根本负担不起这么大笔款项。

调查发现，本次攻击的幕后黑手正是Quantum勒索团伙，他们最初开出65万美元赎金。

恶意黑客声称已经窃取到超过1 TB数据，并威胁称如果IAD不支付赎金，他们就把数据发布出去。

Quantum正逐步成为针对企业受害者的主要勒索软件团伙。他们之前曾攻击过应收账款管理公司Professional Finance Company（PFC），进而间接影响到超650家医疗保健机构。

据悉，Quantum团伙已经成为Conti勒索软件团伙旗下的附属组织，所使用的Quantum勒索软件则是由MountLocker勒索软件改头换面而来。

MountLocker勒索软件于2020年9月首次在攻击中亮相，随后曾多次变更名称，包括AstroLocker、XingLocker，以及现在的Quantum。

最后这次更名发生在2021年8月，当时该团伙的勒索软件加密器开始为被加密文件添加.quantum扩展名。不过在此之后，该团伙已经很少发动攻击，频繁的更名也暂时告一段落。

随着Conti勒索软件团伙的沉寂，Quantum团伙又开始蠢蠢欲动。

根据Advanced Intel公司Yelisey Boguslavskiy的介绍，一部分Conti团伙成员已经加入Quantum，因此攻击势头又有所恢复。

Mitiga 的研究人员在一次事件响应案例中发现了这一活动，这是一种典型的商业电子邮件泄露攻击，目的是在入侵并监控首席执行官或首席财务官等高级员工的账户后适时进行通信，并在适当的时候回复电子邮件，将大笔资金交易转移到他们控制的银行账户。

在攻击开始时，攻击者会向目标发送谎称付款的公司银行账户由于财务审计而被冻结的钓鱼邮件，并附有新的付款指令，这些指令会切换到由攻击者控制的银行账户。

在Mitiga例举的一个攻击样例中，对公司高管的攻击始于一封看似来自 DocuSign 的网络钓鱼电子邮件，（DocuSign 是一种在企业环境中广泛使用的电子协议管理平台），虽然电子邮件没有通过 DMARC 检查，但 Mitiga 发现， DocuSign 针对垃圾邮件的常见安全错误配置有助于它进入目标的收件箱。单击“查看文档”按钮时，受害者会被带到一个欺骗域上的网络钓鱼页面，要求收件人登录到 Windows 域。

攻击者被认为使用网络钓鱼框架（例如 Evilginx2 代理）来进行所谓的中间人攻击 (AiTM) 。在 AiTM 攻击期间， Evilginx2 等工具充当代理，位于网络钓鱼页面和目标公司的合法登录表单之间。由于代理位于中间，当受害者输入他们的凭证并解决 MFA 问题时，代理会窃取 Windows 域生成的Cookie。这时，可以将偷来的Cookie加载到他们自己的浏览器中，自动登录到受害者的账户中，并绕过MFA。

由于有效Cookie可能会过期或被撤销，因此攻击者会添加新的 MFA 设备并将其链接到被破坏的 Microsoft 365 帐户，这一举动不会生成任何警报或需要与原有帐户所有者进行进一步交互。

在 Mitiga 看到的案例中，攻击者添加了一部手机作为新的身份验证设备，以确保他们可以不间断地访问受感染的帐户。据研究人员称，攻击者正利用这种隐秘的漏洞几乎完全地访问 Exchange 和 SharePoint。根据日志，他们没有对受害者的收件箱采取任何行动，大概只是阅读电子邮件。

然而，攻击者可能正在等待合适的时机注入他们自己的电子邮件，以将发票付款转移到攻击者控制的银行账户中。

Group-IB将该攻击组织追踪为0ktapus，该组织主要攻击使用Okta单点登录服务的企业。

Group-IB在一名客户受到网络钓鱼攻击后开展调查，结果显示，自3月以来，其至少窃取了9931个用户证书，其中超过一半包含用于访问公司网络的多因素认证码。

Group-IB高级威胁情报分析师Roberto Martinez向媒体表示，“在许多情况下，有一些特定的图像、字体或脚本，可以用来识别用使用同一套钓鱼工具设计的钓鱼网站。"在这种情况下，我们发现了一个被钓鱼的使用Okta认证的网站。”

“这些攻击案例很有意思，尽管它的技术含量低，但它还是能够危害大量知名组织，”Group-IB表示，“一旦攻击者入侵了一个组织，他们就能够迅速转向并发起后续的供应链攻击，这表明攻击是经过事先精心策划的。”

据信，0ktapus至少定制了 169 个域用于网络钓鱼，这些网站通过使用以前未记录的网络钓鱼工具包进行联合攻击。受害组织主要位于美国（114 个）、印度（4 个）、加拿大（3 个）、法国（2 个）、瑞典（2 个）和澳大利亚（1个） 等，分布在通讯、商业服务、金融、教育、零售、物流等行业。

虽然目前还不清楚攻击者是如何获得电话号码和员工姓名并发送短信钓鱼消息，Group-IB指出，攻击者首先以移动运营商和电信公司为目标，”可能从最初的攻击中收集到这些号码。”

该组织的最终目标仍不清楚，可能是间谍活动和经济动机，攻击者可以访问机密数据、知识产权、公司收件箱以及虹吸资金。最重要的是，入侵 Signal 帐户意味着，攻击者还试图获取私人对话和其他敏感数据。

一项调查发现未经授权方侵入了该公司的开发者环境，也就是员工用来构建和维护LastPass产品的软件。该公司称，侵入者通过一个受损的开发者账户获得访问权。

该公司的软件为用户自动生成并保存用于Netflix、Gmail等账户的密码，并且用户登陆这些账户时无需手动输入密码。LastPass在其网站上列出的客户名单包括Patagonia、Yelp Inc．、State Farm等。

网络安全网站Bleeping Computer报道称，在两周前曾向LastPass询问过这一入侵事件。

当地媒体报道称，勒索软件攻击发生在 8 月 18 日，严重影响了多米尼加农业研究所（IAD）的运作。（IAD 隶属于农业部管理，主要负责执行多米尼加共和国的土地改革计划，是该国重要的政府机构）。

攻击者索要 60 万美元赎金

IAD 技术总监 Walixson Amaury Nuñez 在接收当地媒体采访时透漏，此次勒索软件攻击导致 IAD几乎所有服务器出现问题（ 四个物理服务器和八个虚拟服务器出现故障）。此外，，因为数据库、应用程序、电子邮件等都受到影响，数据信息也基本都遭受了破坏。

值得一提的是，IAD 告诉当地媒体其系统中只有例如杀毒软件之类的基本安全软件，缺乏专业的安全部门。此次事件，攻击者索要 60 多万美元赎金。

攻击事件发生后，多米尼加共和国立即开始响应，经过家网络安全中心（CNCS）分析后发现，攻击者的 IP 地址来自美国和俄罗斯。

攻击背后的勒索软件组织

Bleeping Computer 从 Venezuela BT 处获悉，后者表示 IAD 不太可能支付赎金，60 万美元超出了他们的负担范围。

从媒体披露的信息来看，Quantum 勒索软件声称已经窃取了超过 1TB 的数据，最初要求 IAD 支付 65 万美元的赎金，并威胁如果 IAD 不公开支付赎金，就会立即泄露这些数据。1661399267_6306f0e3784b597de9c9c.jpg!small?1661399267701

据了解，Quantum 勒索软件团伙目前已成为 Conti 勒索软件的一个分支，主要接管了之前 MountLocker 勒索软件操作，此外，Quantum 与对 PFC 的攻击有关，影响了 650 多个医疗机构，正在成为针对企业的勒索软件操作中的主要角色。

MountLocker 从 2020 年 9 月开始首次部署在攻击中，随后以不同的名称多次更名，主要使用了 AstroLocker、XingLocker 等，最后是 Quantum。

更名为 Quantum 发生在 2021 年 8 月，在此之后，该品牌的重塑从未变得特别活跃，行动大多处于休眠状态，直到 Conti 勒索软件操作开始关闭，其成员开始寻找其他操作进行渗透。

从 Advanced Intel 的 Yelisey Boguslavskiy 的说法来看，一些 Conti 网络犯罪集团加入了 Quantum 勒索软件的行列。

8月21日收到平台的付款信息，将剩余车款2200多万元全款支付，计划22日前往天津提车。但是此时却有意外发生，平台告知，因为受到黑客攻击，导致拍卖结果有误。

原本愉快的提车之旅，现在变成了维权之路，就在他们去往天津的路上，拍卖平台无任何说法，将车款全额退还；5个多小时后，将300万元保证金一同退还。

8月24日，他们一行人来到拍卖平台所在公司，却得不到任何答复，也不出具任何证明，只说明事情仍在调查当中。

对此，买家相当不解，如果是他们拍卖后，不及时支付尾款，那么他们300万的保证金平台肯定不会退还；但现在是他们支付了尾款，而平台方却不给提车，平台这种做法是否构成违约，需要退还双重保证金？需要专业人士来解答。

目前，双方还未达成一致，后续关注。

Accelya的客户包括达美航空、英国航空、捷蓝航空、联合航空、维珍大西洋航空、美国航空等多家知名航空企业。

勒索软件公开发布窃取数据

8月23日，该公司披露，其聘请解决此事的两家安全厂商发现，Accelya内部数据已经被发布至专门的勒索泄密网站。

上周四（8月18日），AlphV/BlackCat勒索软件团伙公布了据称窃取自Accelya的数据。该团伙称窃取的数据包含电子邮件、员工合同等内容。

Accelya公司一位发言人称，他们聘请的专家设法“隔离”了勒索软件，阻断其在系统内进一步传播。

这位发言人表示，“我们的取证调查人员证实，受到攻击影响的只是整体环境中的一部分。没有证据表明恶意软件可能经由我们的系统，横向移动到我们客户的环境当中。”

他们还补充称，Accelya公司正在审查上周AlphV泄露网站上发布的数据，并将向受到信息泄露影响的客户发布通报。

Accelya公司主要负责为各大航空零业企业提供客运、货运与行业分析平台，与9个国家共250多家航空企业保持着合作关系。

2022年，航空产业已经成为勒索软件团伙的一大主要攻击目标。今年5月，印度香料航空（SpiceJet）和加拿大战斗机培训服务商均曾遭遇勒索软件攻击。

AlphV/BlackCat勒索软件是谁？

AlphV/BlackCat是当前最活跃的勒索软件团伙之一，上个月刚刚对路易斯安那州亚历山大市政府发动攻击，今年春季还先后攻击了多所大学。

同样是在上个月，该团伙又先后攻击了卢森堡两家能源公司，以及日本电子游戏巨头万代南梦宫。

根据几位专家的介绍，AlphV/BlackCat其实是BlackMatter勒索软件团伙的“马甲”，而BlackMatter又是DarkSide勒索团伙改头换面后的产物。这个DarkSide来头不小，最大的动作就是震惊世界的科洛尼尔管道运输公司攻击案。

该团伙的一位代表在今年2月接受了美媒The Record的采访，声称大多数主要勒索软件团伙间都有着某种形式的关联。

说起AlphV跟BlackMatter及DarkSide之间的关系，这位代表表示，“可以这么说，我们借用了他们的优势，同时回避了他们的劣势。”

FBI在4月的警报中提到，截至今年3月，执法机构已经追踪到至少60起由AlphV/BlackCat团伙发动的勒索软件攻击。

CHSF为当地60万居民提供诊疗服务，因此任何运营中断，都有可能给身处危急关头的病患造成健康甚至是生命威胁。

经谷歌翻译，CHSF发布的公告称，“此次计算机网络攻击，导致我院业务软件、存储系统（特别是医学影像）及与患者入院相关的信息系统暂时无法访问。”

该医院的管理部门尚未发布进一步事态更新，目前IT系统中断引发的运营紧缺也仍未结束。

CHSF的医生们已经在对需要紧急护理的病患进行评估，如果迫切需要医学影像诊疗，病患们将被转移至另一处医疗中心。

法媒《世界报》称，攻击CHSF的勒索软件团伙要求受害者支付1000万美元以换取解密密钥。

一位警方消息人士向《世界报》透露，“目前，巴黎检察官办公室旗下的网络犯罪部门，已经启动了对这一入侵计算机系统，并企图实施勒索的有组织黑客团伙的调查”，由“调查工作由打击数字犯罪中心（C3N）的宪兵负责。”

幕后黑手或为LockBit 3.0

法国网络安全记者Valéry Riess-Marchive在事件中发现了LockBit 3.0感染的迹象，并提到介入调查的国家宪兵也正在负责追踪Ragnar Locker和LockBit。

Riess-Marchive表示，根据Ragnar Locker以往只向大规模关键基础设施目标下手的特点，这次事件应该不是其所为。相比之下，LockBit 3.0的攻击目标则要广泛得多。

如果LockBit 3.0确实就是CHSF攻击事件的幕后黑手，那他们就违反了RaaS的“行规”，即不得由附属组织向医疗保健服务商的系统发动加密攻击。

目前，这场事端究竟是谁所为还不明确，LockBit 3.0的勒索网站上也还没挂出CHSF的信息，所以前面的一切分析仍然只是假设。

在向当地新闻媒体发布的公开声明中，DESFA称有黑客试图渗透其网络，但因为IT团队快速反应而被阻断。然而，对方仍在有限范围内实施了入侵，导致部分文件和数据被访问并可能“外泄”，

DESFA为此停用了多项在线服务，希望保护客户数据。而且随着专家们努力进行恢复，各项服务已经逐渐恢复运行。

DESFA向消费者保证称，此次事件不会影响到天然气供应，所有天然气输入/输出点均保持正常容量运行。

该公司也已通知警方的网络犯罪部门、国家数据保护办公室、国防部以及能源与环境部，希望在最短时间内以最低影响解决问题。

最后，DESFA宣布绝不会与网络犯罪分子对话，也就不存在进行赎金谈判。

Ragnar Locker宣布对事件负责

上周五（8月19日），Ragnar Locker勒索软件团伙在窃取数据后确认了此次攻击。这批恶意黑客亮相于两年多之前，并在2021年发起过多起大型网络攻击活动。

Ragnar Locker在今年活跃度仍然不低，但攻击数量上较去年有所下降。FBI最近一份报告提到，Ragnar Locker与截至2022年1月美国各关键基础设施实体遭受的共52起网络入侵有关。

该恶意黑客团伙还在其数据泄露与勒索门户上发布了所谓被盗数据清单，展示了一小部分似乎不涉及机密信息的被盗文件。

此外，Ragnar Locker提到他们在DESFA系统上发现了多个安全漏洞，并向对方告知了这一情况。这可能是该团伙勒索行动的一部分，但据称受害者并未做出回应。

如果受害组织不满足赎金要求，该恶意黑客团伙威胁将发布整个文件树内对应的所有文件。

此次攻击恰逢欧洲各天然气供应商的艰难时期。当前欧洲大陆主要国家已决定快速削减对俄罗斯天然气的依赖，因此不可避免要产生问题。

预计在即将到来的冬季，供应短缺、停气、配给中断和能源价格飙升等因素可能轮番上演，届时消费者恐怕又将迎来一波针对天然气供应商的勒索攻击大爆发。

攻击事件发生不久后，General Bytes 在一份公告中表示，自 2020-12-08 版本以来，该零日漏洞一直存在于 CAS 软件中。攻击者通过 CAS 管理界面，利用页面上的 URL 调用，远程创建管理员用户。

CAS

CAS，Crypto Application Server 的缩写，是 General Bytes 公司旗下一款自托管产品，能够使用户通过桌面或移动设备上的 Web 浏览器从中央位置管理比特币 ATM（BATM）机器。

目前，涉及 CAS 管理界面的零日漏洞，已经在以下两个版本的服务器补丁中得到了修复：

20220531.38

20220725.22

General Bytes 强调，未知攻击者通过扫描 DigitalOcean 云主机的 IP 地址空间，识别出在端口 7777 或 443 运行的 CAS 服务，随后滥用该漏洞在 CAS 上添加了一个名为 “gb ”的新默认管理员用户。

之后，黑客可以修改“购买”和“出售”加密设置以及“无效支付地址”，这时候客户向 ATM 机发送加密货币，双向 ATM 机则会向黑客钱包地址转发货币。

换句话说，攻击者主要目的是通过修改设置，将所有资金都转到其控制的数字钱包地址里。值得一提的是，目前尚不清楚有多少服务器受到此漏洞影响，以及有多少加密货币被盗。

最后，General Bytes 公司强调，自 2020 年以来，内部已经进行了多次“安全审计”，从未发现这一零日漏洞。

2021年6月，网络安全研究机构Watchful IP首次发现了该漏洞，编号为CVE-2021-36260，同月，海康威视通过固件更新解决了这一问题。

但是，这并不意味着这一漏洞已经失去了效果。根据 CYFIRMA 发布的白皮书，全球100 个国家/地区的2300个正在使用受影响摄像机的组织，并未及时对固件进行安全更新，仍然处于被攻击者的威胁之中。

公开信息显示，CVE-2021-36260一共包含两个已知的公开漏洞，一个在2021 年 10 月发布，另一个在2022 年 2 月发布，因此所有技能水平的攻击者都可以轻松地搜索和利用易受攻击的摄像头。

截止到目前，安全研究人员已经观察到，大量有效载荷试图利用此漏洞来探测设备状态或从受害者那里提取敏感数据。更糟糕的是，一个名为Moobot的恶意僵尸网络正在试图大规模利用该漏洞，这很有可能会引起更严重的网络攻击和信息泄露。因为Moobot是一基于Mirai开发的僵尸网络家族，自从其出现就一直很活跃，并且拥有零日漏洞利用的能力。

2022年年初，CISA也曾发布警告称，CVE-2021-36260 是当时发布的列表中被积极利用的漏洞之一，攻击者可以“控制”设备，要求组织立即修补漏洞。

极易遭受攻击和伤害

CYFIRMA表示，出售网络入口点最多的是讲俄语的黑客论坛，这些入口点其中一大部分依赖于那些可用于僵尸网络或横向移动的，存在漏洞的海康威视摄像机。

在俄罗斯论坛上出售的样品 (CYFIRMA)

安全研究人员对285000个面向互联网的海康威视Web服务器的样本进行分析之后，得出的结论是仍有超过8万个摄像机容易遭受网络攻击，并广泛分布于全球各个地方。其中数量分布最多的是中国和美国，此外还有越南、英国、乌克兰、泰国、南非、法国、荷兰和罗马尼亚等国家，未更新固件的摄像机均超过2000个。

易受攻击的海康威视摄像机 (CYFIRMA)的位置

虽然该漏洞的利用目前并未遵循特定模式，但是已经有不少攻击者参与其中。而用户想要避免被攻击者威胁，最好的办法就是立即更新固件，修复这一漏洞。倘若继续任由该漏洞存在，很有可能造成严重后果。

同时安全专家还进一步强调，用户应提升网络安全意识。除了上述命令注入漏洞外，研究员还发现很多时候用户图方便而将密码设置成“123456”等弱密码，或者是直接使用生产厂商的初始密码。

而这些日常的操作会让厂商的安全措施毁于一旦，哪怕是再好的安全产品，也无法彻底改变用户不安全的使用习惯。

记者向上海市公安局求证获悉，本市没有发生枪战警情。

对于车辆导航的错误提示，有业内人士认为可能是翻译问题，不排除黑客攻击可能。

“很可能是车载系统出现了故障或者遇到黑客攻击。在正常情况下，导航软件不会推送这类信息，因为绝大多数导航软件本身并不撰写信息，如果进行推送，也是推送权威渠道的信息。”某导航软件技术人员向上海辟谣平台介绍。

该技术人员说，目前依据只有部分网友提供的车载系统屏幕照片，不能判断车型和运行状态，所以无法确定到底是哪个环节出现了问题。

但从技术基础看，大部分车载系统使用的都是第三方导航软件，导航及推送信息的准确性与是否联网运行、是否及时升级有关。

部分系统若没有及时升级或使用的第三方供应商本身存在瑕疵，那么可能在导航准确性上出现问题。

同时，正规导航软件的推送信息都有权威信源，通常来自官方渠道，而并非导航软件自行编辑撰写。且大部分导航软件推送的信息会列出出处。

根据目前网传信息看，相关“枪战”信息没有出处且并非出现在所有车型上，所以大概率是系统故障（bug）或黑客攻击。

《2023财年国防授权法案》，对应着划拨给美国军队和政府各关键领域的数十亿美元财政预算。目前法案已经在众议院通过，接下来需要经参议院批准，最后由拜登总统签字执行。

今天要讨论的争议，集中在该法案草案看似合理的条款：管理国土安全部及其应用程序/在线服务供应链的软件级攻击风险。

这份拟议法案要求，对于新签和现有政府合同，软件供应商应保证“提交软件物料清单中列出的所有项目，均不存在影响最终产品或服务安全性的已知漏洞或缺陷，并给出证明。”

所谓“已知漏洞或缺陷”，是指美国国家标准与技术研究院（NIST）发布的国家漏洞数据库，以及网络安全与基础设施安全局（CISA）指定的用于“跟踪各开源或第三方开发软件内安全漏洞/缺陷”的数据库内列出的条目。

换句话说：国土安全部不得采购任何包含已知、已登记安全漏洞的软件。

这项要求的出发点是好的，旨在防止恶意黑客利用Log4j之类的漏洞破坏政府敏感系统。但法案中的具体措辞却令行业专家颇感沮丧。一方面，任何代码都存在bug，这一条款基本上切断了政府军工部门原本强大的采购流程。另一方面，漏洞数据库中相当一部分漏洞并不属于安全风险。

总而言之，如果严格执行该项法案，那么美国政府后续将无法部署任何软件/服务。

软件供应链安全厂商Chainguard的联合创始人兼CEO Dan Lorenc表示，“这项要求往好了说是受到误导，往坏了想肯定会引发大麻烦。”

不过，这项要求也有回旋空间。如果合同内包含“关于所列出各项安全漏洞或缺陷的缓解、修复或解决方法”，政府一方就可购买包含已知缺陷的软件。换句话说，只要可以缓解或修复措施，就不会影响各部门的正常采购。

争议过大引发行业热议

这个问题在推特上掀起了争论热潮。有人担心软件供应商为了正常向政府客户出售软件，故意对漏洞信息知情不报（不再注册CVE编号）。另一方面，各家企业在争夺合同的过程中，也可能会挖其他竞争者产品的漏洞作为“黑料”。

安全厂商Rapid7的高级政策主管Harley Lorenz Geiger律师在推文中提到，“立法者起草的条文相当于在说：要么放弃继续上报软件漏洞，要么被排除在软件投标范围之外，你们自己选。”

“这里我要提醒一句，并不是所有安全漏洞都有严重危害，或者能够/应该缓解。感谢立法者，祝好。”

漏洞协调与众测厂商Luta Security的CEO Katie Moussouris等行业专家，则呼吁安全专家们先别反应过激。她在Twitter上写道，新法案其实允许政府官员“采购那些虽包含CVE，但已有缓解方法的软件产品”，同时提醒政府方面“在部署之前必须缓解或接受这些风险”。

市场研究公司Dell'Oro Group负责网络安全的研究主管Mauricio Sanchez也在采访中提到，虽然他理解立法者们的善意动机，但在技术采购方面设置的种种要求，很可能会阻断政府的正常部署流程。

他提到，“很遗憾，这就是我们立法者的典型做法，只提要求、不讲方法。”

在Sanchez看来，这项法案的最终走向恐怕只有以下三种。

第一：立法者服软。技术游说部门等各方提出有力的反对意见，宣扬这项要求根本就无法实现（也确实无法实现），于是立法者选择删除这部分条文。

第二：做出澄清。立法者对条文“做出修正”，把这项过于理想的要求修改得更加实际。

最后：直接摆烂。立法者可能懒得费脑筋，强行出台这项新政，然后向选民们宣扬自己支持网络安全、改善美国风险水平的姿态。至于收拾这个烂摊子需要投入多少时间、精力和金钱，那就是各联邦机构和法院自己的问题了。

而且Sanchez本人的看法比较悲观。“如果让我押个宝，那我赌立法者会选择最后这条。”

据悉，该驱动器被包装在一个Office 2021 Professional Plus的盒子内，这表明骗子在制作这些东西时花了一些好时间并还花了一些钱。

当目标将U盘插入他们的电脑之后，一条假的警告信息就会弹出，告知用户他们的系统中存在病毒并提示受害者拨打技术支持电话，这显然是骗子使用的号码。然后，骗子要求受害者安装一个远程访问程序来接管系统。

微软发言人就这一案件向Sky News发表了以下声明：“微软致力于帮助保护我们的客户。我们有在采取适当的行动一从市场上清除任何可疑的无证或假冒产品并追究那些针对我们客户的责任。”

这家科技公司非常了解这种骗局并向用户们提供了一个支持页面。

周鸿祎表示，与传统攻击不同，勒索攻击已变成一种新商业模式。它不撬你的保险柜，而是给你做一个更大的保险柜，把你的保险柜也锁起来，而且被勒索后基本无解，你就只能交赎金。

据统计，在最严重的勒索软件攻击中，组织支付的平均赎金2021年比2020年增加近五倍，达到812360美元，中国勒索攻击起价也已达500万元。

前不久，国际知名服务器厂商思科公司证实被勒索攻击，泄露数据2.8GB，思科被窃取的数据包括大约3100个文件，许多文件是保密协议、数据转储和工程图纸。

根据其团队博文披露的细节，黑客是通过思科员工的个人谷歌浏览器个人帐户密码同步功能作为初始向量，从而获取了思科内部凭证。

当时消息人士告诉 BleepingComputer，这是一次勒索软件攻击，但我们无法独立确认背后的原因。上周末，LockBit 宣布对本次攻击负责，并于上周五开始公开泄漏的数据。

在描述中提供了 30 张样本截图，显示了法律文件、营销电子表格和会计数据。在他们开始泄露数据后不久，研究人员开始报告说，勒索软件团伙的 Tor 数据泄露站点由于 DDoS 攻击而无法使用。

昨天，安全研究小组 VX-Underground 从 LockBitSupp（LockBit 勒索软件运营的公众账号）处获悉，其 Tor 站点遭到了攻击，而且他们认为和 Entrust 有关联。

LockBitSupp 表示：“在数据公开和谈判开始之后这些 DDoS 攻击立即开始了，很显然这是 Entrust 的手笔，不然还有谁需要呢？此外，在攻击日志中就提到了要求移除这些数据”。

从这些 HTTPS 请求中可以看出，攻击者在浏览器用户代理字段中向 LockBit 添加了一条消息，告诉他们删除 Entrust 的数据。思科 Talos 研究员 Azim Shukuhi 在Twitter上表示，对 LockBit 服务器的 DDoS 攻击包括“每秒来自 1000 多台服务器的 400 个请求”。

作为对攻击的报复，LockBit 的数据泄露站点现在显示一条消息，警告说勒索软件团伙计划将 Entrust 的所有数据作为种子上传，这将使其几乎不可能被删除。

此外，威胁行为者与安全研究员 Soufiane Tahiri 分享了 Entrust 和勒索软件团伙之间所谓的谈判。该聊天记录表明，最初的赎金要求为 800 万美元，后来降至 680 万美元。

就在本周，苹果公司报告了一个重大安全漏洞，该漏洞可以让黑客接管苹果设备，苹果方面呼吁用户立刻下载最新更新。

据介绍，受本次漏洞影响的设备涵盖了几乎所有的苹果产品。其中手机包括iPhone 6S及以后的型号；平板包括第五代及以后的iPad，所有iPad Pro以及iPad Air 2；电脑则是运行MacOS Monterey的Mac。此外，该漏洞还能影响到部分型号的iPod。

苹果表示，黑客可以通过该漏洞获得设备的“完全管理权限”。这意味着入侵者能够冒充设备拥有者，并以他们的名义运行任何软件。

值得注意的是，苹果未在报告中说明漏洞是在何时、何地以及由谁发现的，仅仅表示是一名匿名研究人员发现了这一漏洞。

专家指出，对于普通民众而言，本次漏洞不太可能造成大范围的问题。通常情况下，当iPhone等手机的漏洞被利用时，往往是有针对性的，攻击一般集中于一小部分人。

如果你系统保持最新，那就绝对没问题了，因为安全更新已经上线了。

声明指出，近日网络热传“青团社招聘审核”截图纯属恶意造谣。现有证据显示，谣言信息源发为“鲨鲨要努力变强”“音乐草莓熊”抖音博主，目前两名博主均已删除相关内容并修改ID。其已经固定证据并报警，坚决维护自身合法权益。

IT之家了解到，百度网盘在声明中表示，百度网盘拥有规范且严密的隐私管理机制和安全防御体系，有效保护用户隐私和数据安全。请大家放心使用。

此前，网络作家边想8月18日发布微博称：“一直以为百度网盘是机器审核的，没想到是真人审核？审核人员还能随随便便把用户的照片截下来保存发到网上？即便打了码。”彼时，百度网盘官方回应称，不存在所谓的照片人工审核，网络上关于百度网盘照片真人审核的内容是谣言。

谷歌刚刚报告说，他们发现了一次大规模的DDOS共计，对方尝试关闭其 Cloud Armor 客户服务，峰值可达每秒 4600 万个请求，规模相当于此前记录的 176.92%。这使其成为有史以来报告的最大的一次七层分布式拒绝服务攻击。

谷歌解释说，在高峰期，这种攻击相当于在10秒内实现一整天的Wikipedia访问量，因此能够抵御如此强大的DDoS攻击是一项令人难以置信的壮举。

谷歌云服务徽标看起来像云的五彩轮廓图。

据介绍，Google Cloud Armor通过使用负载平衡技术定期保护应用程序（第 7 层）和网站免受此类互联网攻击，即使在面临这些挑战时也能保持 Web 服务运行。

IT之家了解到，谷歌Cloud Armor声称每秒可支持超过 100 万次查询请求，但这次它们却成功处理了4600万次每秒的负担。

谷歌报告称，Cloud Armor 成功检测到了此次 DDoS 攻击，并向客户推荐了一条规则来阻止攻击，实际效果不错。几分钟后，攻击者意识到攻击失败后，数据请求出现下降。

不过，谷歌指出DDoS攻击的数量呈指数级增长，而且是由大量恶意机器人提供的，因此这一记录可能不会保持太久。

Krause 表示，当用户与外部网站交互时，TikTok App 内浏览器会“订阅”所有键盘输入，包括密码和信用卡信息等任何敏感细节，以及屏幕上的每次点击。

“从技术角度来看，这相当于在第三方网站上安装键盘记录器，”Krause 在谈到 TikTok 注入的 JavaScript 代码时写道。然而，研究人员补充说，“仅仅是应用将 JavaScript 注入外部网站，但并不意味着该应用正在做任何恶意的事情。”

在与福布斯分享的一份声明中，TikTok 发言人承认了有问题的 JavaScript 代码，但表示它仅用于调试、故障排除和性能监控，以确保“最佳用户体验”。

“与其他平台一样，我们使用 App 内浏览器来提供最佳用户体验，但所讨论的 Javascript 代码仅用于调试、故障排除和性能监控 —— 例如检查页面加载速度或是否崩溃。”

Krause 表示，希望保护自己免受 App 内浏览器 JavaScript 代码的任何潜在恶意使用的用户应尽可能切换使用平台默认浏览器访问查看给定链接，例如 iPhone 和 iPad 上的 Safari 浏览器。

据 Krause 称，Facebook 和 Instagram 是另外存在问题的两个应用程序，它们将 JavaScript 代码插入到加载在 App 内浏览器中的外部网站中，从而使应用程序能够跟踪用户活动。Facebook 和 Instagram 母公司 Meta 发言人在推文中表示，该公司“有意开发此代码是为了尊重人们在我们平台上的应用跟踪透明度 (ATT) 选择”。《Meta Instagram 被曝通过 App 内浏览器跟踪用户网络活动，已违反苹果 iOS 隐私政策》

Krause 说他创建了简单的工具，允许任何人在呈现网站时检查 App 内浏览器是否正在注入 JavaScript 代码。研究人员表示，用户只需打开他们想要分析的应用程序，在应用程序内的某处分享地址 InAppBrowser.com（例如直接向另一个人发送消息），点击应用程序内的链接即可在-app 浏览器，并阅读显示的报告的详细信息。

苹果没有立即回应置评请求。

TikTok发言人进一步声明表示，“该报告关于 TikTok 的结论是不正确且具有误导性的。研究人员明确表示，JavaScript 代码并不意味着我们的应用程序在做任何恶意行为，并承认他们无法知道我们的应用程序内浏览器收集了什么样的数据。我们不会通过此代码收集击键或文本输入，该代码仅用于调试、故障排除和性能监控。”

据 TikTok 发言人称，JavaScript 代码是 TikTok 正在利用的软件开发工具包 (SDK) 的一部分，而 Krause 提到的“keypress”和“keydown”功能是 TikTok 不用于按键记录的常见输入。

当天，苹果公司就紧急发布了 iOS 15.6.1 和 iPadOS 15.6.1 的安全更新，并建议所有用户立即更新软件，以避免被黑客入侵。

从苹果公司发布的两份安全报告来看，这两个漏洞是在WebKit(为Safari和其他应用程序提供动力的引擎)和Kernel(操作系统的核心)中发现，黑客可以通过这两个漏洞，直接操控人们的设备。

苹果发出声明后，网络安全咨询公司SocialProof Security的首席执行官雷切尔·托拜克（Rachel Tobac）也呼吁大家尽快更新软件，以免被人窃取重要隐私和信息造成损失。

雷切尔·托拜克是一名优秀的白帽黑客，曾经成功入侵亿万富翁杰弗瑞·卡森伯格（Jeffrey Katzenberg）的 Mac 电脑，在网络安全这块儿是非常知名的人物。

连她都这样呼吁了，大家还是尽快把系统软件更新了吧...

话说，这也不是苹果公司第一次出现安全漏洞了。

去年9月，安全研究员Denis Tokarev（又名 illusionofchaos）爆料，自己曾经向苹果公司报告过三个明显的安全漏洞，却被怠慢。

后来事情发酵后，苹果公司才道歉并修复了漏洞。

在科技发达的今天，不管用什么电子设备，其实都没有百分百的安全。大家现在就赶紧打开手机检查一下，系统软件有没有更新到最新版本吧...

CS:GO（反恐精英：全球攻势）是全球流行的多人第一人称射击游戏CS（反恐精英）系列的第四款作品，拥有许多非常受欢迎但却较为稀有的皮肤等虚拟物品，这促使了一些基于Steamworks API的皮肤交易网站的建立。而CS.MONEY 是此类交易中最大的网站之一，拥有 53 种武器共计 1696 种皮肤，在攻击发生前管理的总资产达1650万美元。

攻击发生后，CS.MONEY 在推特上宣布已经与其它交易平台达成一致，将禁止这2万件被盗皮肤的交易，防止黑客在其他 CS:GO 交易平台上进行出售。

攻击是如何发生的

根据 CS.MONEY 公共关系负责人 Timofey Sobolevky 发布的贴子透露，攻击者以某种方式获得了用于 Steam 授权的 Mobile Authenticator (MA) 文件访问权限。接下来，攻击者控制了100个机器人账户，并进行了大约一千次交易，将这些物品吸纳到他们自己的账户中。

起初，攻击者将皮肤添加到他们的个人账户中，但随后，他们开始进行随机交易，将皮肤“赠送”给一些与攻击无关的普通用户。分析认为，这么做的原因很可能是为了隐藏自身踪迹，通过让更多人参与而使要弄清这些被窃物品的归属问题变得苦难。此外，攻击者还生成许多涉及各种第三方交易平台的虚假消息，以混淆攻击者的盗窃行踪。

在平台检测到托管在售的皮肤数量急剧减少并收到多个用户关于可疑交易的报告后，CS.MONEY 采取行动阻止了攻击，但仍有价值600万美元的皮肤被抢走。

Sobolevky表示，一旦 CS.MONEY 恢复运行，将优先归还这些皮肤，并对所属用户进行补偿。

值得注意的是，Steam 的所有者 Valve 可以在必要时撤销这些虚拟物品的转让，但目前尚不清楚这家游戏巨头是否计划在遇到类似攻击场景时进行有效的干预。

ÆPIC Leak 适用于基于 Ice Lake、Alder Lake 和 Ice Lake SP 的最新 Intel CPU，并且不依赖于启用的超线程。

英特尔发布的公告：“某些英特尔® 处理器中的潜在安全漏洞可能允许信息泄露。英特尔正在发布固件更新以解决此潜在漏洞。” 

“某些英特尔(R) 处理器中共享资源的不当隔离可能允许特权用户通过本地访问潜在启用信息泄露。” 

该漏洞的发现是罗马第一大学、格拉茨科技大学、亚马逊网络服务和 CISPA 亥姆霍兹信息安全中心的研究人员进行的研究的结果。

与Meltdown 和 Spectre不同，ÆPIC Leak 是一个架构漏洞，这意味着敏感数据会在不依赖侧信道攻击的情况下被泄露。

研究人员说：“ÆPIC Leak 就像在 CPU 本身中读取的未初始化内存。访问 APIC MMIO 需要特权攻击者(管理员或 root)。因此，大多数系统都不会受到 ÆPIC 泄漏的影响。然而，依靠 SGX 保护数据免受特权攻击者的系统将面临风险，因此必须进行修补。”

CVE-2022-21233问题存在于高级可编程中断控制器(APIC)中，负责接受、确定优先级并将中断分派给处理器。 

“基于 Sunny Cove 微架构的英特尔 CPU 上的 I/O 地址空间扫描显示，本地高级可编程中断控制器(APIC)的内存映射寄存器未正确初始化。因此，从架构上读取这些寄存器会返回来自微架构的陈旧数据。由于只有特权软件才能访问 I/O 地址空间，ÆPIC Leak 的目标是英特尔的 TEE、SGX。ÆPIC Leak 可能会从运行在同一物理内核上的 SGX enclave 泄露数据。虽然 ÆPIC Leak 会在虚拟化环境中构成巨大威胁，但管理程序通常不会将本地 APIC 寄存器暴露给虚拟机，从而消除了基于云的场景中的威胁。” 

专家们使用 100 个不同的随机密钥测试了 ÆPIC Leak 问题，并试图通过一次攻击来泄露 AES 密钥。结果是完整的密钥恢复平均需要 1.35 秒

(n = 100，σ = 15.70%)，成功率为 94%

该漏洞使具有权限的攻击者能够在目标机器上执行特权本机代码以提取私钥，并且更糟糕的是破坏证明，这是 SGX 中用于确保代码和数据完整性的安全原语的基石。“我们展示了允许泄露内存和寄存器中的数据的攻击。我们展示了 ÆPIC Leak 如何完全打破 SGX 提供的保证，确定性地泄露 AES 密钥、RSA 私钥，并提取 SGX 密封密钥以进行远程认证。”

研究人员还提出了几种固件和软件缓解措施，以防止 ÆPIC Leak 泄露敏感数据或完全防止 ÆPIC Leak。

英特尔已经发布了固件更新以解决该漏洞。

随着研究人员展示了对影响 AMD Zen 1、Zen 2 和 Zen 3 微架构的调度程序队列的首次侧信道攻击 (CVE-2021-46778)，攻击者可能会滥用该攻击来恢复 RSA 密钥。

该攻击代号为 SQUIP(Scheduler Queue Usage via Interference Probing 的缩写)，需要测量调度程序队列的争用级别，以潜在地收集敏感信息。

尚未发布任何安全更新来修补攻击线，但该芯片制造商建议 “软件开发人员采用现有的最佳实践，包括恒定时间算法并在适当的情况下避免依赖秘密的控制流。”

澳大利亚竞争监管机构表示，这家科技巨头继续跟踪其部分用户的 Android 手机，尽管他们在设备设置中禁用了“位置历史记录”。但实际情况是，谷歌在默认情况下会打开另一个名为“Web & App Activity”的帐户设置使公司能够“收集、存储和使用个人可识别的位置数据”。

ACCC 表示，根据现有数据，估计有超过 130 万个属于澳大利亚人的谷歌账户受到影响。

ACCC 主席 Gina Cass-Gottlieb表示，谷歌是世界上最大的公司之一，它能够保留通过“网络和应用活动”设置收集的位置数据，谷歌可以使用保留的数据将广告定位到某些消费者，即使这些消费者“位置记录”设置已关闭。

个人位置数据对一些消费者来说既敏感又重要，如果谷歌没有做出误导性的陈述，一些看到这些陈述的用户可能会对他们的位置数据的收集、存储和使用做出不同的选择。

澳大利亚联邦法院做出处罚决定

ACCC早在2019年10月就对谷歌提起诉讼。2021年4月，澳大利亚联邦法院裁定谷歌上述做法违反消费者法。主审案件的Thomas Thawley法官表示，被误导的用户不会想到，如果允许“网络和应用程序活动”的跟踪，就意味着允许谷歌使用自己的位置数据。

当时谷歌表示不同意法官的调查结果。“我们为位置数据提供强大的控制，并且一直在寻求做更多的事情——例如我们最近为位置历史引入了自动删除选项，让用户控制数据变得更加容易。”

此番联邦法院确认，2017年1月至2018年12月期间，谷歌通过安卓手机收集和使用其个人位置数据时，对用户做出误导性陈述，违反了消费者法。不仅如此，谷歌还被发现另外两项误导用户的违法行为。

在8月12日联邦法院的听证会上，双方同意处以6000万澳元的“公平合理”罚款，并且已向Thomas Thawley大法官提交一份联合意见书。此外，联邦法院下令谷歌调整其政策，以确保对合规的承诺，并为员工提供有关消费者法的培训。

ACCC 主席 Gina Cass-Gottlieb认为，“个人位置数据对某些消费者来说是敏感和重要的，如果不是谷歌做出误导性陈述，一些看到这些陈述的用户可能会对他们的位置数据的收集、存储和使用做出不同的选择。”

在ACCC主席Gina Cass-Gottlieb看来， 联邦法院这一重大处罚向数字平台和其他大大小小的企业发出一个强烈的信号，即企业不能就数据的收集和使用误导消费者。

谷歌在全球范围内遭遇多次处罚

这已经不是谷歌第一次因违反数据相关法律而遭受处罚，近年来，谷歌在全球范围内都曾因为数据收集、使用不当，违反当地数据法规而被罚款。

2022年 1 月，法国国家信息与自由委员会 (CNIL)对谷歌处以 1.7 亿美元的罚款，原因是谷歌将这个选项隐藏在多次点击之后，使网站访问者难以拒绝跟踪cookie，这侵犯了互联网用户的同意自由。 

此前，谷歌还因激进的数据收集被罚款 1130 万美元，因偏袒竞争对手的服务而被罚款2.2 亿欧元 ，因在线广告中的反竞争行为被罚款 17 亿美元 ，以及因滥用其市场主导地位调整搜索结果而被罚款 27.2 亿美元等。

iOS曝出VPN数据泄露漏洞

近日，一位资深计算机安全研究人员Michael Horowitz爆料称，苹果公司的iOS设备（例如iPhone手机和iPad）并没有像用户预期的那样通过VPN完全路由所有网络流量，多年来苹果公司对该漏洞心知肚明。

Michael Horowitz在最新发布的博文中言辞激烈地控诉：“iOS上的VPN是一个骗局”。

Horowitz写道，（iOS设备上运行的）任何第三方VPN一开始似乎都可以正常工作，为设备提供新的IP地址、DNS服务器和新流量的隧道。但是在激活VPN之前建立的会话和连接并不会终止，并且Horowitz在高级路由器日志记录发现中，设备仍然可以在VPN隧道建立且处于活动状态时将数据（不通过VPN）发送到外部。

换句话说，用户通常认为VPN客户端会在建立安全连接之前终止现有连接，以便可以在隧道内重新建立它们。但Horowitz说，iOS上的VPN似乎无法做到这一点，这一发现得到了2020年5月的一份类似报告的支持。

“数据从VPN隧道以外流出iOS设备，”Horowitz写道：“这不是经典/传统的DNS泄漏，而是数据泄漏！我测试了多个VPN提供商的多种类型的VPN软件确认了这一点。我测试的最新版本的iOS是15.6。”

安全博主Michael Horowitz的日志显示，一台连接VPN的iPad同时连接了他的VPN提供商(37.19.214.1)和Apple Push(17.57.144.12)。与苹果服务器的连接在VPN之外，如果被ISP或其他方看到，可能会暴露用户的IP地址。

隐私公司Proton此前报告了一个iOS VPN绕过漏洞，该漏洞至少始于iOS 13.3.1。与Horowitz的帖子一样，Proton的博客指出，VPN通常会关闭所有现有连接并在VPN隧道内重新打开它们，但这在iOS上并没有发生。大多数现有连接最终会转入VPN隧道，但有些连接，如苹果公司的推送通知服务，可以（在VPN隧道外）持续传输数小时。

危险的隧道外链接

隧道外连接持续存在的主要安全隐患是，如果数据未加密将存在泄露风险，并且ISP和其他方可以看到用户的IP地址及其连接的内容。

Proton确认VPN绕过漏洞在iOS 13的三个后续更新中持续存在。Proton表示，苹果公司添加了一个功能以阻止现有连接，但似乎对Horowitz的测试结果没有影响。

Horowitz于2022年年中在iPad iOS 15.4.1上测试了ProtonVPN的应用程序，发现它仍然允许与苹果公司的推送服务建立持久的非隧道连接。根据Horowitz的说法，Proton添加的Kill Switch功能可在VPN隧道丢失时阻止所有网络流量，但事实上并不能防止泄漏。

Horowitz使用不同的VPN提供商和iOS应用程序（例如OVPN，运行WireGuard协议）在iOS 15.5上再次进行了测试。结果他的iPad仍继续向Apple服务和亚马逊AWS云服务发出请求。

对于个隐私高度敏感的人群来说，在苹果公司未能彻底解决该问题之前，如果你不想在启动VPN前手动关闭所有连接，Proton给出了一个同样有效的解决方法：先连接到VPN服务器，然后打开飞行模式，然后再将其关闭。此时之前所有连接都将在VPN隧道内重新建立，但Proton表示这个方法并不能保证100%的成功率，因为“iOS的飞行模式功能非常混乱”。

苹果iOS的VPN数据泄露漏洞表明：VPN，尤其是商业VPN产品，仍然是互联网安全和隐私的一个复杂因素。选择“最佳VPN”对于用户来说始终是一件挠头的事情。VPN可能因漏洞、未加密的服务器、贪婪的数据经纪人或被Facebook这样的科技巨头控制而成为安全隐患。

该漏洞被追踪为 CVE-2022-27255，远程攻击者可以利用其破坏来自各种原始设备制造商 (OEM) 的易受攻击设备。

无需身份验证

据悉，CVE-2022-27255 漏洞由阿根廷网络安全公司 Faraday Security 的研究人员在 Realtek 的开源 eCos 操作系统 SDK 中发现，并在 DEFCON 黑客大会上披露了详细的技术细节。

CVE-2022-27255是一个基于堆栈的缓冲区溢出漏洞，其严重程度为 9.8 分（满分10分），远程攻击者可以使用带有恶意 SDP 数据的特制 SIP 数据包任意执行代码，这个过程完全无需身份验证。此外，攻击者还可以通过 WAN 接口利用漏洞。

早在 3 月份，Realtek 已经解决这一漏洞问题，并指出了漏洞主要影响rtl819x-eCos-v0.x 系列和 rtl819x-eCos-v1.x 系列产品。

来自 Faraday Security 的四位研究人员为 CVE-2022-27255 开发了概念验证（PoC）利用代码，该代码可用于 Nexxt Nebula 300 Plus 路由器。研究人员还分享了一段视频，展示了即使远程管理功能被关闭，远程攻击者也可能破坏设备。

最后，研究人员指出攻击者利只需有漏洞设备的外部 IP 地址，就可以 利用CVE-2022-27255 漏洞，意味着不需要与用户交互。

注：发现漏洞的四名研究人员分别是来自布宜诺斯艾利斯大学的计算机科学学生Octavio Gianatiempo, Octavio Galland, Emilio Couto, Javier Aguinaga。

存在几道防线

SANS 研究部主任 Johannes Ullrich 表示，远程攻击者可以利用 CVE-2022-27255 漏洞进行以下操作：

导致设备崩溃

执行任意代码

建立持久性的后门

改变网络流量的路线

拦截网络流量

另外，尽管 Realtek 在3 月已经发布了一个补丁，但 Ullrich 强调该漏洞影响到数百万设备，修复补丁很难被推广到所有待修复的设备，如果 CVE-2022-27255 漏洞变成了蠕虫病毒，可以在短短几分钟内扩散到互联网上。

多家供应商将易受攻击的 Realtek SDK 用于基于 RTL819x SoC 的设备，其中许多供应商尚未发布固件更新。目前还不清楚有多少网络设备使用 RTL819x 芯片，但 RTL819xD 版本的 SoC 出现在 60 多个供应商的产品中，其中包括华硕、贝尔金、Buffalo、D-Link、Edimax、TRENDnet 和 Zyxel。

研究人员的观点：

使用 2022 年 3 月之前围绕 Realtek eCOS SDK 构建的固件的设备存在漏洞，易受攻击；

即使用户不暴露任何管理界面功能，也容易受到攻击；

攻击者可以使用单个 UDP 数据包到任意端口来利用该漏洞；

此漏洞可能对路由器影响最大，但一些基于 Realtek SDK 的物联网设备也可能受到影响。

安全专家建议用户应尽快检查其网络设备是否存在漏洞，一经发现，应立即安装供应商发布的固件更新。除此以外，企业可以尝试阻止未经请求的 UDP 请求。

英国面临缺水期，网络攻击正逢其时

根据公告内容来看，该公司的安全和供水系统仍在正常运行，因此IT系统宕机不会影响到其自身及旗下子公司Cambridge Water和South Staffs Water的客户安全用水。

该公司在官网发布的声明中解释道，“这要归功于我们长期以来强大的供水和质量控制系统，也离不开我们团队为应对此次事件做出的迅速响应和额外预防措施。”

南斯塔福德郡水务公司还向客户做出保证，称所有服务团队都在照常运营，并不存在因网络攻击而导致长期停水的风险。

据悉，此次攻击疑似为Clop勒索软件团伙所为。攻击恰逢英国消费者面临严重的缺水危机，目前英国国内已经有八个地区实施了供水配额和禁止私接软管等政策。

网络犯罪分子当然不会随意选择目标，抢在严重缺水期间攻击供水商，有望迫使受害者面对巨大的民众用水压力而乖乖支付赎金。

勒索团伙搞错受害者，错误发送勒索信息

与此同时，Clop勒索软件团伙日前在其暗网网站发布公告，宣称泰晤士水务公司（Thames Water）已经沦为其受害者。从公告来看，Clop表示已经成功接入泰晤士水务公司的监测控制与数据采集（SCADA）系统，甚至有能力操纵该系统对1500万客户造成损害。

泰晤士水务公司是英国最大的自来水供应商和废水处理商，业务涵盖大伦敦地区及泰晤士河周边地区。

Clop团伙称已经将网络安全缺陷透露给泰晤士水务公司，并表示此次攻击非常“贴心”，没有加密受害者的数据，只是从受感染的系统中窃取到5TB资料。

在赎金谈判破裂之后，Clop团伙决定发布首批被盗数据样本，其中包含护照、水处理SCADA系统截屏以及驾照等内容。

泰晤士水务公司则通过一份正式声明对此提出异议，称Clop团伙提到的网络入侵说法属于“网络骗局”，且目前供水业务一直在满负荷运转。

事件中的一大关键细节在于，从公开证据来看，Clop团伙提供的一份包含用户名和密码的电子表格，其中列出的其实是South Staff Water和South Staffordshire的邮件地址。

此外，外媒BleepingComputer还观察到，其中一份泄露文件明确标注是发给南斯塔福德郡水务公司的。

因此，Clop团伙很可能是搞错了受害者身份，或者是打算用虚假的证据去勒索另一家体量更大的企业。

在被“打假”后，Clop团伙修正了其暗网网站的勒索对象，将南斯塔福德郡水务公司列为受害者。

要想顺利拿到赎金，Clop团伙至少得先把受害者的身份搞清楚。考虑到此次事件已经掀起轩然大波，想要顺利换取赎金恐怕没那么容易。

VNC（虚拟网络计算）是一个独立于平台的系统，旨在帮助用户连接到需要监控和调整的系统，通过网络连接的RFB（远程帧缓冲协议）提供对远程计算机的控制。

如果因为工作疏忽或者只图方便，让这些端点没有用密码进行保护，便会成为未经授权的入口，让攻击者趁虚而入。根据Cyble公司安全漏洞猎手的扫描结果，发现网络上有超过9000个没有密码防护且面向互联网的VNC实例，其中大多数被暴露的实例位于中国和瑞典，而美国、西班牙和巴西则紧随其后。令人担忧的是，Cybcle发现其中一些暴露的VNC实例位于本不应该暴露在互联网上的工业控制系统。

为了解攻击者针对VNC服务器的频率，Cyble使用其网络情报工具监测VNC的默认端口——5900端口的攻击，发现在一个月内有超过600万个请求，其中多数访问来自来自荷兰、俄罗斯和美国。

对VNC访问的需求

在黑客论坛上，通过暴露或破解的VNC访问关键网络的需求很高，在某些情况下，这种访问可以用于更深层次的网络渗透。

“攻击者可能会滥用VNC，以登录用户的身份进行恶意操作，如打开文档、下载文件和运行任意命令，"一位Cyble研究员在一次私下讨论中告诉Bleeping Computer，"攻击者可以利用VNC来远程控制和监控一个系统，以收集数据和信息，从而向网络内的其他系统进行渗透。"

Bleeping Computer发现，在一个暗网论坛的帖子中列出了一长串暴露的VNC实例，这些实例的密码非常弱或没有密码。弱密码的情况引起了人们对VNC安全的另一个关注，因为 Cyble 的调查仅集中在身份验证层完全禁用的实例上。

由于许多VNC产品不支持超过8个字符的密码，导致它们在安全性上的表现欠佳，建议VNC管理员不要把服务器直接暴露在互联网上，如果必须远程访问，至少将它们放在 VPN 后面以保护对服务器的访问。

这次攻击发生在上周六（8月13日），迫使当地司法机构关闭了其IT系统及在线门户。服务中断期间，只能依靠传统纸面形式提交官方文件。

据阿根廷新闻媒体Cadena 3发布的“网络攻击应急计划”显示，科尔多瓦司法机构证实曾遭受勒索软件攻击，并已经与微软、思科、趋势科技及当地专家共同开展事件调查。

经谷歌翻译理解，报道中提到“2022年8月13日星期六，科尔多瓦法院的技术基础设施遭受网络攻击，IT服务受勒索软件影响而无法正常运转。”

阿根廷新闻媒体Clarín 也提到，有消息人士称，此次攻击影响到司法机构的IT系统及数据库，这是该国“历史上针对公共机构的最严重攻击活动”。

攻击方系Play勒索软件

虽然司法机构尚未披露此次攻击的更多细节，但记者Luis Ernest Zegarra已经在推特上表示，他们受到的是以“.Play”为扩展名实施文件加密的勒索软件攻击。

该扩展名与2022年6月新出现的“Play”勒索软件有关，当时首批受害者曾在BleepingComputer论坛上描述过攻击情形。

与其他勒索软件攻击一样，Play恶意黑客同样先入侵网络、再加密设备。而在加密文件时，该勒索软件会添加.PLAY扩展名，如下图所示。

但与大多数留下冗长勒索说明、向受害者施压要挟的其他勒索软件不同，“Play”属于典型的“人狠话不多”。

“Play”的ReadMe.txt勒索说明不会遍布每个文件夹，而仅仅只放在磁盘驱动器的根目录（C:\\）下。内容也非常简洁，只有“PLAY”单词与联系邮件地址。

外媒BleepingComputer获悉，Play团伙会使用多个不同联络邮件地址，所以上图地址可能跟科尔多瓦司法机构攻击事件无关。

目前还不清楚Play团伙是如何入侵司法机构网络的。但在今年3月Lapsus$入侵Globant事件当中，曾有司法部门的员工遭遇邮件地址列表泄露。也许Play团伙是借此实施网络钓鱼攻击，进而窃取到登录凭证。

目前暂时没有发现该勒索软件团伙实施数据泄露，或数据在攻击期间被盗的迹象。

这已经不是阿根廷政府机构第一次遭受勒索软件攻击。早在2020年9月，Netwalker勒索软件团伙就袭击了阿根廷官方移民局 Dirección Nacional de Migraciones，并开价索取400万美元赎金。

虽然 Zoom 已经修复了演示中的部分 BUG，但是沃德尔还演示了一个尚未修复、依然可以影响 macOS 系统的漏洞。该漏洞通过 Zoom 应用的安装器进行入侵，虽然在首次添加到 macOS 的时候需要用户输入系统密码，不过沃德尔表示可以通过超级用户权限在后台执行自动升级功能。

在 Zoom 发布修复更新之后，在安装新的安装包的时候都需要审查是否经过 Zoom 加密签署。不过这种审查方式依然存在缺陷，任意文件只需要修改为和 Zoom 签署认证相同的文件名称就可以通过测试，因此攻击者可以伪装任意恶意程序，并通过提权来掌控系统、

其结果是一种权限提升攻击方式，需要攻击者已经获得了对目标系统的初始访问权限，然后利用漏洞来获得更高级别的访问权限。 在这种情况下，攻击者从受限用户帐户开始，但升级为最强大的用户类型——称为“superuser”或“root”——允许他们添加、删除或修改机器上的任何文件。

Wouters 在展示过程中，所使用的破解装置总成本仅为 25 美元，成功侵入 Starlink 的卫星天线终端并获得系统访问权限。 Wouters 写道：“我们的攻击可以让 Starlink 的用户终端无法使用，并允许我们任意执行代码”。

在拉斯维加斯会议上展示他的发现之前，Wouter 曾警告 SpaceX 其用户终端的漏洞。 Starlink 已经更新了系统，但研究人员回答说，避免此类攻击的唯一可靠方法是创建一个新版本的主芯片。

攻击发生在公司销售额下降14%至15. 1亿美元期间。

HanesBrands于5月底向美国证券交易委员会 (SEC)报告了此次攻击 ，但此前并未具体说明影响程度。

根据该公司的财报，此次攻击破坏了其“全球供应链网络，并限制了其在大约3周内履行客户订单的能力”。

该公司估计，这次攻击导致1亿美元的净销售额和3500万美元的调整后营业利润。

此外，8月11日，HanesBrands 股价下跌6.2%至10.84美元。目前尚不清楚HanesBrands是否支付了赎金。

中新经纬注意到，此前，网络上流传的一则聊天记录显示，美的集团在休集体年假期间遭遇加密勒索，工厂多处电脑中病毒，导致无法打开文件或进入不了系统。该病毒为勒索病毒，需要7天内汇1000万美元到指定账户。

上述聊天记录还提到，针对发生的加密勒索，公司提示相关用户需要保持非必要不开机；已经开机的用户马上关机断电；不要连VPN；不要使用美信、邮箱发送文件，并且会安排安保进行强制关机。

思科声称，攻击者窃取到的只是与受感染员工账户关联的Box文件夹中的非敏感数据。

思科公司一位发言人向外媒BleepingComputer确认，“思科公司在2022年5月下旬经历了一起企业网络安全事件。我们立即采取行动，遏制并清理了恶意黑客。”

“思科未发现此事件对公司业务造成过任何影响，包括思科产品或服务、敏感客户数据或敏感员工信息、知识产权或供应链运营。”

“8月10日，恶意黑客将期间窃取到的文件清单发布至暗网。我们已经采取了额外措施来保护自身系统，并公布了技术细节，希望协助保护更广泛的安全社区。”

利用被盗员工凭证入侵思科网络

“阎罗王”恶意团队首先劫持了思科员工的个人谷歌账户（包含从浏览器同步的凭证），随后使用其中的被盗凭证获得了对思科网络的访问权限。

“阎罗王”团伙发出大量多因素身份验证（MFA）推送通知，用疲劳战术搞垮目标员工的心态，之后再伪装成受信任的支持组织发起一系列复杂的语音网络钓鱼攻击。

终于，恶意黑客成功诱导受害者接受了其中一条多因素验证通知，并结合目标用户上下文信息获得了对VPN的访问权限。

在思科企业网络上成功站稳脚跟后，“阎罗王”团伙开始横向移动至Citrix服务器和域控制器。

思科安全研究团队Talos表示，“对方进入了Citrix环境，入侵了一系列Citrix服务器，并最终获得了对域控制器的高权限访问。”

在获得域管理员身份后，他们使用域枚举工具（如ntdsutil、adfind以及secretsdump等）收集更多信息，将包括后门在内的多种有效载荷安装到受感染系统上。

最后，思科检测到了这一恶意活动，并将恶意黑客从环境中驱逐了出去。在随后几周内，“阎罗王”团伙仍多次尝试重夺访问权限。

Talos团队补充道，“在获得初始访问权限后，恶意黑客曾采取多种行动来维持访问权限，希望尽可能破坏取证线索，并提高自己在环境中的系统访问级别。”

“恶意黑客随后被成功清理出思科环境，但仍没有彻底放弃。他们在攻击后的几周内，曾反复尝试重新夺取访问权限，但这些尝试均未能奏效。”

黑客称已经窃取到思科数据

上周，这批恶意黑客通过邮件向外媒BleepingComputer发送了一份目录，内容据称是攻击期间从思科处窃取到的文件。

恶意黑客声称共窃取到2.75 GB数据，包含约3100个文件。其中不少文件为保密协议、数据转储和工程图纸。

黑客还向BleepingComputer展示了攻击期间获得的一份经过编辑的保密协议（NDA）文件，用以证明攻击获得成功，并“暗示”这些文件是入侵思科网络后窃取而来。

恶意黑客已经在自己的数据泄露网站上公布了思科入侵事件，并附上了BleepingComputer此前收到的同一份文件目录。

思科系统并未被部署勒索软件

思科公司强调，尽管“阎罗王”团伙向来以加密锁定受害者文件而闻名，但此次攻击过程并未出现涉及勒索软件载荷的证据。

昨天（8月10日），思科Talos团队发布对该事件的响应过程文章称，“虽然我们并未在此次攻击中观察到勒索软件部署，但恶意黑客使用的战术、技术与程序（TTP）同以往的「勒索攻击预前活动」保持一致。也就是说，对方仍然延续了实际部署勒索软件之前的整个预备套路。”

“我们有中等到较强的信心，认为此次攻击是某初始访问代理（IAB）所为。之前已经确认，此代理同UNC2447网络犯罪团伙、Lapsus$恶意团伙以及「阎罗王」勒索软件团伙均有联系。”

“阎罗王”团伙近期还表示成功入侵了美国零售巨头沃尔玛的系统，但遭到受害者的明确否认。沃尔玛向BleepingComputer表示，自己并未发现勒索软件攻击的证据。

Twilio表示，该公司是在8月4日发现有特定的客户账号资讯遭到未经授权的访问，主要是成功骗过了员工，让员工提供了自己的登录凭证。

黑客的手法是先发送短信给许多Twilio的前任与现任员工，短信内还写上了员工姓名，指出员工的密码已经过期，或是班表变更了，要求员工连至短信内所附上的连接，并输入登录凭证。

这些连接所使用的网址都是黑客先行注册的网络钓渔网站，像是http“:”//twilio-okta.com/或http“:”//twilio-sso.com/，以欺骗Twilio员工点击并输入凭证。接着黑客再以盗走的Twilio员工凭证访问客户资料。

Twilio并未说明有多少员工的登录凭证遭到窃取，也未提供外泄的客户数量或资料内容，仅说已一一通知受到影响的客户，并撤销所有被盗走的员工凭证，与鉴识公司合作，通知执法机构。此外，Twilio也通知了黑客发送网络钓鱼短信所使用的电信运营商，以及网络钓渔网站的托管服务供应商，请求它们撤销黑客的账号。

值得注意的是，Twilio还说也有其它公司遭到类似网络钓鱼手法的攻击，有些企业同样也通知了电信运营商与托管服务供应商，但在它们撤销黑客的账号之后，黑客很快就利用其它服务另起炉灶，显然是个有组织且有条不紊的犯罪集团，惟目前尚无法识别黑客的身份。

Twilio警告，社交工程攻击非常的复杂且先进，甚至能挑战最先进的防御系统，该公司已针对相关攻击展开了额外的员工训练，也正在研究其它的技术性防御措施，同时呼吁其它企业也应小心里防备范。

这次网络攻击袭击了NHS的本地托管服务提供商Advanced。根据状态页面信息显示，111急救热线约85%的服务都在使用Advanced公司提供的Adastra客户患者管理解决方案。本次攻击令Adastra解决方案以及Advanced提供的其他几项服务同时陷入重大中断。

威尔士救护车服务中心表示，“当地用于将111急救热线患者转诊给急诊全科医师的计算机系统，近期出现了重大故障。”

“该系统主要帮助当地卫生局为患者提供协调服务。持续中断已经造成严重冲击与深远影响，覆盖了英国的英格兰、威尔士、苏格兰及北爱尔兰四大地区。”

英国卫生部部长Steve Barclay表示，正定期听取关于NHS 111服务事件的简报，目前已在受影响地区制定应急计划，将影响降到最低。

NHS官方建议，民众暂时使用在线网站访问111急救呼叫服务，直到事件得到解决。

Advanced公司高管证实网络攻击

目前，Advanced网站状态页面会弹出仅供客户及员工登录的表单，外部无法公开访问。但该公司首席运营官Simon Short已经证实，这次事件源自上周四（8月4日）早上检测到的网络攻击。

Short向英媒BBC公布的一份声明中表示，“我们发现了一个安全问题，已经引发服务中断。”

“可以确定该事件与网络攻击有关。作为预防措施，我们立即隔离了所有医疗与护理IT环境。”

“我们的事件响应团队及早介入，将问题控制在了少数服务器中，受影响设备只占整体医疗保健基础设施的2%。”

虽然并未提供关于网络攻击性质的细节信息，但根据Short的描述，这很可能是一起勒索软件或者数据勒索攻击。

Advanced公司为各行各业的22000多家全球客户提供商业软件，场景涵盖医疗保健、教育以及非营利组织等。

这家服务提供商的客户包括英国医疗卫生服务体系（NHS）、英国工作和养老金部（DWP）以及伦敦城市机场等。

外媒BleepingComputer曾联系到Advanced公司一位发言人，希望了解更多事件细节，但对方并未立即回应置评请求。

根据Twilio在上周末的公开披露，8月4日，Twilio首次注意到了这些旨在窃取员工凭证的复杂社会工程学攻击。这些攻击者冒充公司内部的IT部门人员，向公司员工发送短信，警告他们的系统密码已经过期，需要通过点击短信附带的URL进行修改。该URL带有“Twilio”、“Okta”和“SSO”等具有高仿真性的字段，受害员工一旦点击便会跳转到一个克隆的 Twilio 登录页面。

当被问及有多少员工的帐户在网络钓鱼攻击中“失陷”，以及有多少客户数据受到泄露影响时，Twilio 的 EMEA 通讯总监 Katherine James 拒绝透露相关信息。Twilio 对外表示，已经与美国的短信供应商取得联系，封闭了发送钓鱼短信的账户。

Twilio尚未确定攻击者的身份，但已联系执法部门对攻击者展开调查。为此，Twilio已经封禁了在攻击期间遭到破坏的员工账户，以阻止攻击者访问其系统，并已开始通知受此事件影响的客户。

Twillio在 17 个国家和地区拥有26 个办事处，共计 5000 多名员工，提供可编程语音、文本、聊天、视频和电子邮件 API，被超过 1000 万开发人员和 150000 家企业用于构建客户参与平台。

Twilio还在2015年2月收购了Authy，这是一家面向终端用户、开发者和企业的流行双因素认证（2FA）供应商，在全球拥有数百万用户。

该公司在接受RTL Z采访时证实，受到了网络攻击，并报告了警方和荷兰数据保护局（AP）。

该公司认为这是一起“网络事件”，影响了大约120个旗下诊所。Colosseum Dental Benelux预计本周将慢慢重新开业。

根据可靠的消息来源，员工无法获取客户的病史。“不幸的是，这具有勒索软件攻击的所有特征，”网络安全公司ESET荷兰首席执行官戴夫·马斯兰（Dave Maasland）说。

马斯兰说：“一项操作的停止、无法访问系统或网站、向警方报告和向荷兰数据保护局报告，所有这些都指向这个方向。”他不排除这可能是另一种攻击，但认为这种可能性很小。“不幸的是，在当前的网络事件浪潮中，几乎都能看到勒索软件的影子。”

该公司目前正在恢复系统，并正在与外部各方调查该事件。由于正在进行调查，发言人不想透露更多信息。他不想透露事件的幕后主使以及患者数据是否被盗。

该公司表示别无选择，只能向犯罪分子付款：“照顾我们的患者是我们的首要任务，这促使Colosseum Dental Benelux与网络攻击者联系，就我们的数据返还和安全达成协议。只有这样，我们才能够在如此短的时间内将所有相关人员的风险降至最低，并相对快速地恢复业务。”

该公司告知荷兰数据保护局，已联系外界共同应对紧急情况。预计受影响的诊所将在本周内恢复正常运行。目前尚不清楚支付了多少赎金。

Colosseum Dental Benelux没有透露攻击者身份。有消息称攻击者在系统加密之前删除了备份。目前还不确定是否有数据泄露。

Colosseum Dental Benelux在荷兰和比利时有130多个门店，每年治疗约600000名患者。这次袭击只影响了大约120家荷兰门店。发言人透露，比利时或其他国家没有卷入这起事件。

这次攻击发生在周一晚间，7-11便利店在Facebook官方账号上发帖称他们很可能“受到黑客攻击”。

声明称，该公司在调查安全事件，并已关闭该国所有门店：

“不幸的是，我们怀疑我们今天（2022年8月8日星期一）受到了黑客攻击。这意味着我们无法使用结账和接收付款功能。因此，我们将关闭商店，我们希望可以很快再次开店。” ——7-11DK。

在现已删除的一个Reddit帖子中，一名据称是丹麦7-11便利店的员工也证实了网络攻击，称他们在结账系统停止工作后被迫关闭商店。

“我在国王新广场的7-11工作，我们的结账系统已经瘫痪，全国所有的7-11都使用相同的系统，所以丹麦的所有7-11现在都已‘关闭’，”这名7-11员工说在Reddit上。

“所有店铺已经对客户关闭了大门，并张贴了通知。”

目前，还没有关于这次攻击的更多细节，也未确认是否涉及勒索软件，但后者是导致大规模业务中断的最常见网络攻击。

根据NHS111服务的介绍页面，85% 的 NHS 111 服务都使用了Advanced 的 Adastra 客户患者管理解决方案，该解决方案与 MSP 提供的其他几项服务一起遭遇重大中断 。

威尔士救护车服务中心近日称用于将病人从威尔士的国家医疗服务体系转诊到小时外全科医生的NHS计算机系统发生了重大故障，该系统是由地方卫生局用来协调病人转诊的。此次持续的故障是非常重大的，故障造成的影响也十分深远，英国全境都因此受到了不同程度的影响。NHS建议英国公众在此次事件得到解决之前，先使用在线平台访问NHS 111紧急服务。

Advanced首席运营官确认了网络攻击

目前为止，公众暂时无法查看Advanced状态页面，Advanced的首席运营官Simon Short证实，该故障事件是由周四上午发现的网络攻击造成的。

Simon Short在BBC上发表声明称，近日发现的安全问题造成了此次服务的故障，他们可以确认，该事件与网络攻击有关，作为预防措施，Advanced立即隔离了该组织所有的健康和护理环境。Advanced的事件响应小组的早期干预将这个问题控制在少数服务器上，这些问题服务器约占Advanced使用的健康和护理基础服务器的2%。

虽然没有提供有关网络攻击性质的细节，但根据Advanced的首席运营官的发言推测，此次事件可能是一个勒索软件或数据勒索攻击。Advanced为22,000多个全球客户提供商业软件服务，这些客户来自不同的行业垂直领域，从医疗保健和教育到非营利组织，MSP的客户名单包括NHS、英国工作和养老金部（DWP）以及伦敦城市机场。

李铁从事数据安全保护工作近10年，尤为看重自己的个人信息保护。近日，他告诉央广网记者，今年6月的一天，他接到一个陌生电话，对方直接说出他在某电商平台的订单信息，并称货品质量有问题，需要提供银行卡号，以便赔偿。

李铁说，出于职业敏感，他的第一反应是个人信息被泄露了。此前他确实在这家电商平台购买过上述物品，当他试图询问更多信息时，对方立即挂断了电话。

记者近期调查发现，除这家电商平台外，多家知名电商平台均有数据在网上公开叫卖，这些信息包括消费者的姓名、电话、地址、商品名称和快递单号等。有卖家自称每条个人信息0.35元，2000条起卖，如果购买量大，最低可打五折。记者从卖家处购买了数千条数据，随机对近200条个人数据进行了电话求证，证实被售卖的个人信息中名字、电话、住址等准确无误。

互联网数据信息泄露不仅带来不厌其烦的营销电话，还牵涉到商业平台之间的利益竞争，甚至导致电信诈骗等犯罪现象，诸如2016年震惊全国的“徐玉玉电信诈骗案”。该案入选最高人民法院“2017年推动法治进程十大案件”。

2022年6月1日，《中华人民共和国网络安全法》（简称《网络安全法》）正式实施五周年。《网络安全法》明确规定，网络运营者对其收集的个人信息所负有的法定义务包括：不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息；采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。

今年国务院印发的《“十四五”数字经济发展规划》提出，严厉打击数据黑市交易，营造安全有序的市场环境。国家发展改革委等部门联合印发的《关于推动平台经济规范健康持续发展的若干意见》中也提到，从严管控非必要采集数据行为，依法依规打击黑市数据交易、大数据杀熟等数据滥用行为。

严厉打击之下，还是有人铤而走险。几千元可买到上万条数据，一条黑色产业链正潜伏在社会的隐秘角落中。

个人信息遭公开叫卖，一条数据0.35元

隔三岔五，卖家许飞就会在QQ群发布一条“出料”信息。

“出料”是这个地下交易的“黑话”，它代表“数据”。消息发出不久，群内一些成员就来询问是什么类别的数据，他回复“私聊”后，这群人便消失在聊天群中。申请好友通过验证后，一旦有人买数据时犹豫不决，他就很快把人拉黑。

记者以买家身份加上了卖家许飞的QQ。“你要多少条？这些数据你先打电话核实。”许飞发来一个文档，称这是截取短信的信息，短信显示“某人、某时购买的物品已经发货”。

他自称还出售多家知名电商平台的个人信息，“一条数据0.35元，2000条信息起卖。”购买者不仅可以指定平台，还可指定日期，但最新数据也是两天前的数据，而非实时数据。

记者向许飞购买多家电商平台的个人数据，发来的每份数据文档中的信息条数从几十个到上千个不等，订单的商品有母婴用品、衣服、酒水、生活用品等多种类别。

其中，两份名为某电商平台“纸尿裤”和“母婴”的文件，共有数百条网购订单数据信息。信息包括所购买的商品品名、数量、价格、交易时间、订单号，以及收货人电话、姓名、地址，快递公司和快递单号等，其中地址详至门牌号。甚至，部分订单显示“未发货”“已发货”“孕妇不能走太远路”等备注信息。

为验证上述数据信息的真实性，记者随机拨打近200名用户电话求证，证实被售卖者的名字、电话、住址等信息无误。

“假的数据，我敢卖给你？”许飞再三催促记者尽快核实，“你放心，这些数据都可以对上号。”

许飞介绍，他和其他人合伙开了一家工作室，每天产量3万条左右，而他自己也偷偷生产数据，但量少，每月不到1万条。假如客户多，数据又不够，他只能从工作室拿，而自己只能拿一点提成，“挣得并不多”。

见记者犹豫不决，他不断劝说：“数据效果好的话，趁月底你多弄点数据，可以打五折，1万条数据只要2300元。你要是想倒手卖，再把价格加上去。”

许飞还发来一份名为“银行交易短信劫持样本”的文档。该文档包含国内各大银行名称、姓名、手机号码、属地、时间、储户实时到账的短信提示等信息。“这是银行内部流出的数据，我们渠道很多，你信了吧？”他说。

另一售卖者也表示，自己售卖的数据以母婴类为主，还有专门的宝妈平台和电视购物个人信息，这些信息都是从平台一手渠道“拿货”，保证精准，并称如果价格能够接受，“身份证都能给你洗出来”。

许飞从不用支付宝、微信转账的方式交易。

他称，支付宝口令红包更安全。记者在购买数据时，他再三嘱咐转账必须通过“支付宝口令”红包，输入口令后，将截图发给他即可。“我们都是通过这种方式支付。”“这样有点麻烦，但稳妥最重要。”在聊天中，他从不提钱、数据、红包等敏感词汇，“你要有安全意识”。

数据被反复流转、清洗，溯源不明

交易神秘是因为这些数据来源“见不得光”。

“数据保真就行，渠道不能说得‘太白’。不然我们还咋挣钱！”许飞透露，这些数据主要通过程序从平台上“爬取”，或者从“企业内鬼”处买到。记者随机向许飞发来的数据所涉平台商家进行验证，这些商家的工作人员均表示，不出售任何个人数据。

许飞称，有些数据来源于物流。但多家快递公司的快递员均表示，在网购快递收发中，他们可以看到备注的收货人名字、电话、地址或快递物品类别，但商品型号、颜色、价格等订单具体信息，他们无从得知。有些知名家电品牌的快递面单备注较为详细，但也并非所有信息都会显示。

“这种货源渠道五花八门，咋跟你说？”许飞表示他不是黑客，也不是中间商，不然数据售价不会这么低。

根据工作经验，李铁认为，许飞出售的可能是一手资料。他本人曾向某企业内鬼购买数据，对方和许飞一样警惕性极高。

李铁介绍，这类倒买倒卖的方式往往是把一手信息通过固定渠道向外销售，购买者成立公司或工作室，对数据进行清洗，然后通过各种渠道售卖给个人买家。“一手数据售价往往很低，在数据流通出去后，不少人反复倒卖加价，售价自然就高了。”

“这些人胆子很大，不停在各个社交渠道叫卖，而且还反复售卖。”仔细研究了对方售卖的数据，李铁分析称，部分数据已被清洗过，然后对方再重新拼凑起来。“这样做主要是安全，无法追溯源头。”

中国计算机行业协会数据安全专业委员会委员杨蔚表示，从近几年国内外网络攻击事件和数据泄露事件来看，不管是网购还是其他途径的信息泄露，来源主要是黑客攻击、内鬼泄露、供应链泄露三个方面。

杨蔚说，以电商平台举例，它是典型的供应链生态体系，既有“上游”，也有“下游”，整个流程协同分工。从消费者角度来看，各个环节都会存在数据被获取的可能性，因为各数据都在流转，大电商和小电商区别就在于组织和流程上涉及多少的问题。“这也是为什么某些电商平台一旦数据泄露，任何一个环节都说不是自己泄露的，这些平台没有相应的技术手段来保证各环节，说明管理存在问题。”他说。

据记者了解，最高人民检察院近期印发了《关于加强刑事检察与公益诉讼检察衔接协作严厉打击电信网络犯罪加强个人信息司法保护的通知》，要求严厉打击行业“内鬼”泄露公民个人信息违法犯罪。

数据遭泄露后，多用于营销推广和电信诈骗

许飞从不过问买方购买数据的用途，“我管那么多干嘛，问了别人也不说。”

但实际上，这些包含大量个人信息的数据已经成为电信网络诈骗犯罪的“基本物料”。犯罪分子通过非法手段获取公民注册手机卡、银行卡，以此作为诈骗犯罪的基础工具，或是利用这些信息对诈骗对象进行“画像”，实施精准诈骗。

在记者电话求证过程中，近半数消费者表示曾接到诈骗电话，甚至部分人多次接到境外诈骗电话，这些诈骗人员能够详细说出他们的姓名、住址、网购订单等信息。其中，有些是要求他们通过银行转账，有的是以返还商品优惠为由要求提供银行卡。

李铁表示，购买这些数据的人，主要是出于商业目的和诈骗。出于商业目的，例如推广营销、获取新用户、提高销售额、获取竞争对手客群等，而诈骗则尤为常见，甚至还有人借此来进行勒索。

杨蔚同样表示，一般个人信息数据泄露后常被用于营销推广和电信诈骗。而在电信诈骗中，在校学生、留守老年人会成为电信诈骗分子重点关注的对象。

2016年8月21日，刚接到大学录取通知书的山东临沂市高三毕业生徐玉玉接到诈骗电话。陈文辉等人以发放助学金的名义，骗走了徐玉玉全部学费9900元，徐玉玉在报警回家的路上猝死。

2017年6月27日，此案在山东省临沂市中级人民法院一审公开开庭审理。陈文辉、郑金锋、黄进春等7名被告人均表示认罪悔罪。

根据法院披露的信息，2015年11月至2016年8月，被告人陈文辉、郑金峰、黄进春等人通过网络购买学生信息和公民购房信息。随后冒充教育局、财政局、房产局工作人员，以发放贫困学生助学金、购房补贴为名，以高考学生为主要诈骗对象，拨打电话骗取他人钱款，金额共计人民币56万余元。

李铁表示，电信诈骗犯罪产业链的背后，盘踞着以公司化体系运营的网络犯罪集团。诈骗的大部分话术围绕高额回报、高收益展开，后续再以账户异常、流水不足、银行卡异常无法提现等理由实施诈骗，常见的骗局类型有刷单、假冒金融App、电商购物退款等。在他看来，电信网络诈骗背后折射的是各类信息的数据安全。网络黑产分子攫取个人数据信息，经过处理加工后批量标价卖给电信诈骗团伙，后者再利用这些信息获取受害者信任，以实施诈骗。

公安部公布的最新统计数据显示，2021年，公安机关侦办侵犯公民个人信息、黑客等重点案件1.8万余起，打掉为赌博、诈骗等犯罪提供资金结算、技术支撑、引流推广等服务的团伙6000余个，查处非法侵入计算机信息系统、非法获取系统数据人员3000余名，抓获行业内部人员680余名。

个人信息泄露后，立案难、维权难

杨蔚也曾遭遇个人信息泄露，而其后的维权之路让这位网络安全领域的专家都感到无比艰难。

就在今年“3·15”当天，杨蔚接到某房产中介的电话，对方精准地说出了他所居住的小区和楼层号。“骚扰电话的精准程度，真是令人发指。”杨蔚尝试举报，但过程并不理想。

杨蔚说，这类案件举证大部分容易因扩散渠道不具有单一性和唯一性，导致无法确认泄露主体而败诉。网民在日常生活中使用一些App时，如果不授权就用不了任何功能，但授权同意后就表示用户让渡了自己的个人信息，给予App运营主体获取权限。这也是为什么近年来手机App过度收集用户信息现象多次遭受质疑的原因。因为容易滋生数据黑产，引发违法犯罪。

此外，依靠暗网交易软件获取的数据来源更加私密，形成监管盲区，给执法部门带来很大困难。杨蔚认为，要从上游如支付环节或数据源头解决问题。

为加强对数据安全、个人信息的保护力度，近几年国内颁布多部法律法规及行业标准，包括网络安全法、数据安全法、个人信息保护法、电子商务法以及消费者权益保护法等。

北京市中治律师事务所律师郭聪认为，根据刑法第二百五十三条之一：侵犯公民个人信息罪，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

郭聪表示，据不完全统计，目前根据司法实践中的案例数据，2020年至2021年的侵犯公民个人信息犯罪结案案例约4613件，2022年1月至6月约为307件。绝大多数案件处于判处三年以下有期徒刑的量刑层级。

在国外，欧盟实施了严厉的数据保护条例GDPR。GDRP是《通用数据保护条例》的简称，是欧盟立法机关针对欧洲发生的诸多信息和隐私数据泄露案件而制定的法案。该条例明确规定，公司内部需要设立数据保护官DPO（类似于CEO和COO高管职位），负责个人隐私数据保护。对比国内外法律，欧盟对数据泄露的处罚力度更大，法条更明确。杨蔚认为，相比欧盟，我国关于数据安全的立法起步较晚，在数据安全治理实践上还存在一定差距。

中兴通讯数据保护合规部与数据法盟联合编制的《GDPR执法案例精选白皮书》数据显示，截至2019年9月24日，22家欧洲数据监管机构对共87件案件作出了总计3.7亿欧元的行政处罚决定。

杨蔚表示，数据作为生产要素，安全保护仍然是需要大家共同解决的问题，须监管部门、企业、安全机构、民间安全力量等各方的努力。他认为，有关部门要不断明确各方权责，将举证门槛降低，并且加大处罚力度；企业及负责人应做到知法守法，承担保障个人信息安全的义务，对员工进行安全教育和培训，企业内建设网络安全防御体系、加强数据备份和信息保密等工作；个人要提高安全防护意识，具备一定的敏感性，谨慎点击链接及网站、创建安全性较高的密码等。

北京大学法学院副院长薛军认为，要从根本上解决信息泄露问题，还要依靠先进的技术。在可能出现个人隐私和信息泄露的环节，要用技术将信息匿名化，这些匿名信息只有系统能识别，而行为人不能识别、获取。

他表示，相关部门还要进一步加强对这类违法行为的侦查，加大对不法分子的惩处力度。“这个最有震慑力，当他们知道违规、违法必然受到处罚时，可能就放弃了。”

这处农场的目标就是抹黑乌克兰官方发布的信息，破坏乌国社会与政治局势、伺机制造内部冲突。

这些机器人传播的信息与俄罗斯宣传口径相符，因此认为这些虚假信息设备的操作者应该是俄罗斯特种部队的成员。

事实上，乌安全局的调查还一路挖出了该犯罪团伙的头目——一位曾居住在基辅的俄罗斯“政治专家”。

乌安全局在公告中解释道，“根据调查，此人正在组织信息传播与颠覆活动，在其之上还有乌克兰国内一股政治力量的授意支持。”

“跟这位政治专家一直保持联络和协调的，是曾任州领导团队核心职务的某位现乌克兰国会议员。”

乌克兰警方的调查工作仍在进行当中，希望找到虚假信息传播的其他参与者。他们将因违反乌克兰刑法第361.2条受到指控。

大规模机器人农场

乌安全局封控的这处机器人农场位于基辅、哈尔科夫及文尼察，依靠100万机器人大肆传播虚假信息。为了建立这支线上“部队”，恶意黑客共使用5000张手机卡来批量注册新的社交媒体账户。

此外，操作者还使用200台代理服务器，来掩盖实际IP地址、逃避欺诈检测并绕过社交媒体平台的屏蔽机制。

根据乌安全局的介绍，此处机器人农场的操作者还开发部署了定制软件，用以远程管理一众匿名社交媒体账户、协调需要推送的宣传信息。

战争时期的虚假信息

假新闻的力量不容小觑，往往能在困难时期、互联网访问受限和普遍动荡的背景下引发巨变。

俄罗斯方面长期以来一直在实施虚假宣传活动，并在乌克兰投资建立针对当地民众的机器人农场。

2022年2月，Meta公司就曾删除几个在社交媒体平台上传播虚假信息的Facebook账户群。

2022年3月，乌安全局宣布发现并关闭了5处此类机器人农场，据称这里运营的负责传播假新闻的社交媒体账户多达10万个。

乌克兰总统泽连斯基也一直身陷虚假信息的泥潭。据安全内参了解，Facebook就曾出现过由Deepfakes技术合成的假消息；乌克兰广播电台之前还遭到入侵，强制播报泽连斯基总统已经生命垂危的假新闻。两起事件均被认为是俄罗斯方面所为。

自俄乌战争爆发以来，乌安全局已经发现并消除了1200多次针对乌国家及其他关键实体的网络攻击，报告和关闭了500个YouTube频道、涉及的订阅者高达1500万。

此外，乌安全局还报告了参与俄罗斯宣传攻势的1500个Telegram频道/机器人，以及另外1500个Facebook、Instagram及TikTok账户。

今日，推特已正式确认该攻击已发生，并且该0-day漏洞已被修补。

推特官方称，早在今年1月，就已经通过其漏洞赏金计划HackerOne获悉了该漏洞，该漏洞在2021年6月对其代码进行更新后逐渐出现。虽然该问题已在今年早些时候得到解决，但推特表示它没有考虑攻击者已经拥有数据的可能性。

了解到，根据此前的报告，共有5,485,636个推特账户的个人资料，其中包含手机号、位置、URL、个人资料图片和其他数据信息被盗取。

推特表示正在通知每个受影响的用户，但由于安全漏洞影响，官方无法完全确认暴露的账户有哪些。此外，虽然密码不是数据泄露的一部分，但推特建议用户为他们的账户打开双重身份验证。

资料显示，德国工商总会(简称DIHK)是79个独立的德国工商会的行政联合机构。根据德国有关法律规定，所有德国境内企业（除手工业者、自由职业者及农业加工业外）均必须加入德国工商会。该会在德国国内承担着大量的公益任务。

德国工商总会是三百六十万德国企业的最高发言人，负责法律代理、咨询、外贸促进、培训、区域经济发展，并为其成员提供一般支持服务。

目前，尚未了解DIHK被攻击的原因，也没有黑客组织声称对此次攻击负责。

DIHK被黑客打爆了

在被攻击之后，DIHK在网站上发布了一份简短的通知，并表示关闭系统和数字服务是预防网络攻击造成更大损失的一种措施，也让IT团队有更多的时间摸清此次网络攻击的情况，并针对性的给出解决方案，提高系统的防护能力。 

在对此次攻击进行彻底检查后并确保用户可安全使用后，DIHK将逐步恢复正常服务，目前还只是恢复了一小部分。

DIHK总经理迈克尔伯格曼通过 LinkedIn 发布消息称，网络攻击发生在“周三”，并指出是一次大规模的攻击事件。DIHK暂时也无法确定修复时间许多多久，这也就意味着无法确定服务恢复的时间。

有安全专家指出，此次网络攻击有可能是勒索组织所为，DIHK被迫关闭所有系统和数字服务，其目的是防止恶意软件快速传播，但这种猜测尚未得到官方的证实。截至目前也没有哪个勒索软件在其官网上宣布成功入侵 DIHK 的消息。

据了解遭受攻击的加密钱包包括Phantom、Slope和TrustWallet等。涉及到的币种除了SOL、SPL和其他基于Solana（公链）的代币以外，还有USDC、USDT、BTC、ETH等主流币和稳定币。

区块链浏览器 Solscan称，锁定的四名攻击者共计攻击了大约1.52万个钱包，不过这些钱包之间可能存在重复攻击。Solana Status官方推特称，此次攻击中大约有8000个独立钱包受影响。

攻击的原因仍不清楚，但区块链Avalanche创始人Emin Gün Sirer表示，交易是正确签署的，这意味着该漏洞可能是一个 "供应链攻击"，并设法窃取用户的私钥。

区块链审计公司OtterSec也证实，交易是由实际所有者签署，这意味着私钥已被泄露。

加密货币分析师@0xfoobar补充，"很可能是某些原因造成了大范围私钥泄露，影响范围包括近6个月内未活跃的钱包账户。"他还表示，撤销钱包的批准可能于事无补。

但Solana Labs和Phantom称其网络运行良好，并且不认为该问题与Solana网络或Phantom钱包有关。

Solana Ventures投资者Justin Barlow称，他的USDC钱包余额也被攻击。

8月3日凌晨，公链Solana生态NFT平台Magic Eden的推特帐号称，可能有一个普遍存在的SOL漏洞，正在影响整个生态系统的钱包，并提醒用户更新设置保护个人资产。

就在公链Solana遭到攻击的几个小时前，恶意分子滥用一个名为“chaotic”的安全漏洞，从跨链消息协议Nomad窃取了近2亿美元数字资产。这是由于Nomad智能合约的最新更新，用户可以很容易地进行交易欺诈。

总部位于旧金山的去中心化区块链平台Solana，昨天上午在官方Twitter上确认了这一事件，Solana声称此次攻击有7767个钱包受到影响，其中包括了Slope和Phantom用户，并要求受影响的用户填写一份在线调查，以帮助其工程师查清事情的真相。

Solana声称他们的工程师们目前正在与多个安全研究人员和生态系统团队合作，以确定该漏洞的根本原因，现在虽然没有直接证据表明硬件钱包受到了影响。但还是强烈建议用户使用硬件钱包并且不要在硬件钱包上重复使用的种子短语，而应该创建使用独立的种子短语。被排出的钱包应被用户视为受到损害的状态，并要及时放弃。

Solana将自己宣传为 "世界上最快的区块链 "和 "加密货币中增长最快的生态系统"，拥有成千上万的项目，涉及DeFi、NFTs、Web3和其他领域。

Pixel Privacy消费者隐私的Chris Hauk对外界解释道，Solana攻击只是最近一系列对加密货币的攻击中的最新一次。面对这些攻击，用户普遍希望撤销他们钱包上的任何第三方权限，直到Solana和其他被攻击的交易所完全修复产生这些攻击问题的漏洞。投资者也应该把他们的加密货币从热钱包转移到冷钱包。"

这一事件是一连串针对加密货币公司漏洞事件的衍生，其中包括有史以来最大的一次加密货币盗窃案，当时朝鲜黑客从以太坊侧链Ronin Network盗

乌克兰安全研究员Bob Diachenko发现，有两个独立IP地址存储着超过2.88亿条记录，其中一个IP下约有2.8亿条记录，另一IP下约有840万条记录。

Diachenko表示，两个IP均未经密码保护，数据被公开暴露在互联网上。两个IP地址归属印度，属于微软Azure托管服务。

这些记录属于“UAN”Elasticsearch集群。UAN是指印度国有雇员公积金组织（EPFO）分配给养老基金持有者们的通用账号。

Diachenko透露，“据我了解，数据库中的信息可被用来拼凑出这些印度公民的完整资料，致使他们成为网络钓鱼或欺诈攻击的目标。”

每条记录中都包含他们的个人身份信息，包括婚姻状况、性别和出生日期。以及与养老基金账户有关的细节信息，包括UAN、银行账号和就业情况。

除了泄露养老基金持有者们的个人身份信息（PII）之外，这些记录中还暴露了相应代名人的信息，例如代名人全名、与账户持有人的关系。

Diachenko在本周早些时候发现这些泄露敏感数据的IP地址。他昨天在Twitter上发布一张截图，展示了暴露个人信息的数据字段，并点名印度计算机应急响应小组（CERT-In）。这条推文发布后不到一天，两个问题IP均已无法访问。

Diachenko表示，目前还不清楚应该由谁对网上暴露的海量数据负责，也不清楚除他之外是否还有其他人发现了这些数据。

外媒TechCrunch已经向印度国有雇员公积金组织、计算机应急响应小组以及该国IT部门发出置评请求，但未得到回应。

据安全内参了解，印度中央公积金专员在2018年就曾通知国家IT部门，称黑客可以从公积金组织的Aadhaar门户网站窃取数据。该事件导致约2700万养老基金持有者身陷风险。事后，养老基金机构表示并未发生数据泄露，但没有给出任何相应证据。

赛米控在德国、巴西、中国、法国、印度、意大利、斯洛伐克和美国的24个办事处和8个生产基地拥有3000多名员工，2020年的营业额约为4.61亿美元。

赛米控还是全球领先的电力工程部件制造商之一，每年安装的风力涡轮机中有35%使用其技术部件。

面临大规模数据泄露

根据赛米控集团本周一发布的声明，攻击者从其系统中窃取了数据，“这次攻击还导致了我们的IT系统和文件的部分加密。目前正在研究和调整整个网络的取证。”

根据德国联邦信息安全办公室发出的警报，勒索软件运营商正在勒索该公司，并威胁要泄露据称被盗的数据。

虽然赛米控没有透露攻击者的任何信息，但是根据流出的勒索软件声明，这是一次大规模数据勒索软件攻击，攻击者声称窃取了多达2TB的文件。

赛米控正在外部网络安全和取证专家的帮助下调查攻击者是否在攻击前从系统中窃取了所声称的数据。

赛米控补充说，它还在整个调查过程中通知并与相关当局合作，如果发现任何数据盗窃证据，将提醒客户和合作伙伴。

“与此同时，我们正在努力恢复工作能力，以最大限度地减少对我们员工、客户和合同合作伙伴的干扰，并确保我们的IT系统尽可能地安全。”赛米控补充道。

MBDA是一家欧洲跨国导弹开发商和制造商，由来自法国、英国和意大利的Aérospatiale– Matra、  BAE Systems、 Finmeccanica三家公司合并而来。

代号为Adrastea的攻击组织自称是一组独立的网络安全专家和研究人员，声称他们已经成功入侵了MBDA。Adrastea表示，他们在该公司基础设施中发现了严重漏洞，并窃取了 60 GB 的机密数据，被盗数据包括了公司员工参与的军事项目、商业活动、合同协议以及与其他公司的通信信息等内容。

该攻击者在某热门黑客论坛发帖称：“你好！我们是Adrastea ——一群网络安全领域的独立专家和研究人员。我们在您的网络基础设施中发现了严重漏洞，并获得了对公司文件和机密数据的访问权限。目前下载的数据量约为60 GB。 下载的数据包含有关贵公司员工的机密和封闭信息，这些员工参与了MBDA封闭军事项目的开发。

作为黑客攻击的证据，Adrastea 分享了一个指向受密码保护的链接存档的链接，其中包含与项目和通信相关的内部文件。目前尚不清楚Adrastea是否持有了其他数据，同时Adrastea也没有透露有关攻击的细节。

据Bleeping Computer网站7月28日消息，目前，一些攻击者通过使用捆绑广告的软件甚至是恶意软件入侵微软的SQL服务器，将设备转化为在线代理服务出租的服务器进行牟利。

为了窃取设备的带宽，攻击者安装了代理软件 ，将设备的可用互联网带宽分配为代理服务器，远程用户可以使用该服务器进行各种操作，如测试、情报收集、内容分发或市场研究。

作为共享带宽的回报，设备所有者可以从向客户收取的费用中抽成。例如，Peer2Profit服务显示，通过在数以千计的设备上安装该公司的软件，每月赚取多达6000美元的收入。

2、西班牙一核安全系统遭黑客攻击，部分地区服务中断数月

7月28日，西班牙警方宣布，已逮捕两名黑客。据悉，二人应对2021年3月至6月期间针对辐射警报网络（RAR）的攻击行为负责。

两名被捕者是外包商前员工，曾负责按合同为西班牙民防和紧急情况总部（DGPGE）提供辐射警报网络系统维护服务。两名被捕人员曾非法访问紧急情况总部网络，并试图删除控制中心内的辐射警报网络管理Web应用程序。与此同时，二人还对传感器发起单独攻击，断开了它们与控制中心间的连接，破坏了数据交换，导致分布在西班牙全国的800个传感器中的300个停止工作。

攻击引发严重核安全风险

西班牙在卡塞雷斯、塔拉戈纳、瓦伦西亚、瓜达拉哈拉、萨拉曼卡和科尔多瓦的六座发电厂中运营有七处核反应堆，支撑着全国约五分之一的电力需求。辐射警报网络系统的作用是：检测辐射水平的异常上升并发出警报，以帮助政府当局采取保护措施、检测问题并施以补救。

此次网络攻击导致其中300个传感器无法将计数传输回控制中心，使得西班牙面临严重风险，无法立即对辐射激增事件做出响应。

3、数字安全巨头 Entrust 遭遇勒索攻击

据Bleeping Computer消息，数字安全巨头Entrust已经承认，自己遭受了网络攻击，攻击者破坏了其内部网络，并窃取了一定规模的数据。

Entrust 是一家专注于在线信任和身份管理的安全公司，为企业用户和政府部分提供广泛的服务，包括加密通信、安全数字支付和身份证明等解决方案。此次攻击造成内部数据泄露，很有可能会影响到大量使用 Entrust 进行身份管理和身份验证的关键和敏感组织。

  黑客6月入侵Entrust的网络  

有安全专家称，Entrust早在6月18日就已经被黑客攻击和破坏，同时对方趁机窃取了公司的机密数据。

可以确定的是，攻击者确实从Entrust的内部系统中窃取了一部分数据，但是尚不清楚这部分数据是来自公司、客户还是供应商，亦或三者皆有之。目前，Entrust会同另外一家知名网络安全公司、执法部门共同调查此次攻击事件。

4、IBM数据泄露成本报告发布，数据泄露创历史新高

近期，IBM发布了最新的数据泄露成本报告，据报告称，目前全球数据泄露的平均成本为435万美元，过去两年数据泄露成本增加了近13%，创下历史新高。

与去年报告相比，今年的整体数据有2.6%的增长，同时，据IBM称，消费者也正因数据泄露事件而遭受不成比例的痛苦。60%的违规企业在遭受数据泄露事件后反而提高了其产品价格，约等于变相加剧了全球通胀的速度。

网络钓鱼成为代价最高的数据泄露原因，受害企业的平均成本为490万美元，而凭据泄露是最常见的原因(19%)。连续第12年，医疗行业都是数据泄露成本最高的行业，而且还在快速增长中。2022年医疗行业的平均违规成本增加了近100万美元，达到创纪录的1010万美元。在众多国家中，美国仍然是数据泄露事件里损失最昂贵的国家，平均违规成本达到了940万美元。

据调研，将近80%的关键基础设施企业都没有采用零信任策略，这使得他们的违规成本比其他人增加了近 120 万美元，平均数据泄露成本上升到540万美元，与采用零信任策略的组织相比增加了117万美元。未实施零信任方案的组织所发生的数据泄露事件中，28%与勒索软件或破坏性攻击有关。

如果企业受到勒索软件的影响，他们也会向敲诈者付款。确实发现平均违规成本仅减少了 610,000 美元。当包括赎金本身时，违规成本可能会高得多。没有支付赎金的赎金攻击的平均成本为 450 万美元。

据报告研究，在有记录的数据泄露事件里，近一半的 (45%) 事件发生在云上，那些尚未制定安全策略或处于制定安全策略的早期阶段的企业比拥有成熟云安全态势的人平均要多支付660,000美元。

数据泄露似乎是不可避免的：83% 的研究企业表示他们遭受了不止一次数据泄露事件。但是，随着技术的升级，企业对网络攻击的检测和响应也越来越快了。其中识别和遏制数据泄露的平均时间从 2021年的287天下降到2022年的277天，整体数据下降了3.5%。其中运行XDR工具的企业在检测和响应的时间整体上又要比其他企业快29天。

报告指出，最大的成本节省是安全人工智能和自动化技术的使用——运行这些技术的企业平均减少了300万美元的数据泄露成本。IBM Security X-Force 全球负责人查尔斯·亨德森 (Charles Henderson) 表示：“企业需要将安全防御置于进攻端并击败攻击者。现在是阻止对手实现其目标并开始将攻击影响降至最低的时候了。越来越多的企业试图完善自己的边界，而不是在检测和反应方面加强，所以数据泄露事件就会导致其成本增加。

为了窃取设备的带宽，攻击者安装了代理软件 ，将设备的可用互联网带宽分配为代理服务器，远程用户可以使用该服务器进行各种操作，如测试、情报收集、内容分发或市场研究。

作为共享带宽的回报，设备所有者可以从向客户收取的费用中抽成。例如，Peer2Profit服务显示，通过在数以千计的设备上安装该公司的软件，每月赚取多达6000美元的收入。

根据韩国公司Ahnlab的研究人员28日发表的一份新报告，一种新的恶意软件活动正通过安装代理软件，利用受害者的网络带宽赚钱。攻击者通过为用户设置其电子邮件地址来获得带宽补偿，而用户可能只会察觉到网络速度有时会变慢。

在设备上偷装代理客户端

Ahnlab观察到通过捆绑广告的软件和其他恶意软件，为 Peer2Profit 和 IPRoyal 等服务安装代理软件。

恶意软件检查代理客户端是否在主机上运行，如果停用，它可以使用 "p2p_start() "函数来启动。

对于 IPRoyal 的 Pawns，恶意软件更喜欢安装客户端的 CLI 版本而不是 GUI 版本，因为其目的是让该进程在后台隐蔽地运行。

在最近的观察中，攻击者使用DLL形式的Pawns，以编码的字符串形式提供他们的电子邮件和密码，并用 "Initialize() "和 "startMainRoutine() "函数来启动。在设备上安装代理软件后，该软件会将其添加为可用代理，远程用户可以使用它在互联网上进行任何操作。这也意味着其他攻击者可以在受害者不知情的情况下使用这些代理进行非法活动。

感染MS-SQL服务器

根据Ahnlab的报告，使用这种方案创收的恶意软件也会针对脆弱的MS-SQL服务器来安装Peer2Profit客户端。

这一情况自2022年6月初以来便一直持续，研究人员从受感染系统中检索到的大多数日志都显示存在一个名为“sdk.mdf”的 UPX 打包数据库文件。

在微软SQL服务器更常见的威胁中，有进行加密货币劫持的加密货币币矿工，也有攻击者通过Cobalt Strike信标将服务器作为进入网络的支点。

使用代理软件客户端背后的原因可能是增加了长时间不被发现的机会，这就转化为更大的利润。不过，目前还不清楚行为人通过这种方法赚了多少钱。

与去年报告相比，今年的整体数据有2.6%的增长，同时，据IBM称，消费者也正因数据泄露事件而遭受不成比例的痛苦。60%的违规企业在遭受数据泄露事件后反而提高了其产品价格，约等于变相加剧了全球通胀的速度。

网络钓鱼成为代价最高的数据泄露原因，受害企业的平均成本为490万美元，而凭据泄露是最常见的原因(19%)。连续第12年，医疗行业都是数据泄露成本最高的行业，而且还在快速增长中。2022年医疗行业的平均违规成本增加了近100万美元，达到创纪录的1010万美元。在众多国家中，美国仍然是数据泄露事件里损失最昂贵的国家，平均违规成本达到了940万美元。

据调研，将近80%的关键基础设施企业都没有采用零信任策略，这使得他们的违规成本比其他人增加了近 120 万美元，平均数据泄露成本上升到540万美元，与采用零信任策略的组织相比增加了117万美元。未实施零信任方案的组织所发生的数据泄露事件中，28%与勒索软件或破坏性攻击有关。

如果企业受到勒索软件的影响，他们也会向敲诈者付款。确实发现平均违规成本仅减少了 610,000 美元。当包括赎金本身时，违规成本可能会高得多。没有支付赎金的赎金攻击的平均成本为 450 万美元。

据报告研究，在有记录的数据泄露事件里，近一半的 (45%) 事件发生在云上，那些尚未制定安全策略或处于制定安全策略的早期阶段的企业比拥有成熟云安全态势的人平均要多支付660,000美元。

数据泄露似乎是不可避免的：83% 的研究企业表示他们遭受了不止一次数据泄露事件。但是，随着技术的升级，企业对网络攻击的检测和响应也越来越快了。其中识别和遏制数据泄露的平均时间从 2021年的287天下降到2022年的277天，整体数据下降了3.5%。其中运行XDR工具的企业在检测和响应的时间整体上又要比其他企业快29天。

报告指出，最大的成本节省是安全人工智能和自动化技术的使用——运行这些技术的企业平均减少了300万美元的数据泄露成本。IBM Security X-Force 全球负责人查尔斯·亨德森 (Charles Henderson) 表示：“企业需要将安全防御置于进攻端并击败攻击者。现在是阻止对手实现其目标并开始将攻击影响降至最低的时候了。越来越多的企业试图完善自己的边界，而不是在检测和反应方面加强，所以数据泄露事件就会导致其成本增加。

两名被捕者是外包商前员工，曾负责按合同为西班牙民防和紧急情况总部（DGPGE）提供辐射警报网络系统维护服务。正因如此，二人对该系统的运作原理及如何实施针对性网络攻击有着深入了解。

两名被捕人员曾非法访问紧急情况总部网络，并试图删除控制中心内的辐射警报网络管理Web应用程序。

与此同时，二人还对传感器发起单独攻击，断开了它们与控制中心间的连接，破坏了数据交换，导致分布在西班牙全国的800个传感器中的300个停止工作。

当局发现这一违规行为，并在国家警察网络犯罪部门的协助下立即开展调查后，针对辐射警报网络的破坏活动于2021年6月停止。最终，在追踪黑客行迹一年之后，警方终于发现了这起网络攻击的责任人。

 “经过对被破坏传感器的所有通信内容，以及与被入侵计算机系统相关的数据进行长达一年的调查与详细技术刑侦分析，最终发现数据源头可能来自马德里市中心一家知名酒店的公共网络，网络攻击的幕后黑手也由此被确定。”

- 西班牙国家警察总局

警方在公告中指出，“根据马德里第39号调查法院发布的两项命令，警方在马德里和圣奥古斯丁德瓜达利克斯展开协同行动，对两所房屋和一家公司进行了搜查，发现了大量与案件相关的计算机和通信设备。”

攻击引发严重核安全风险

西班牙在卡塞雷斯、塔拉戈纳、瓦伦西亚、瓜达拉哈拉、萨拉曼卡和科尔多瓦的六座发电厂中运营有七处核反应堆，支撑着全国约五分之一的电力需求。

辐射警报网络系统的作用是：检测辐射水平的异常上升并发出警报，以帮助政府当局采取保护措施、检测问题并施以补救。

辐射警报网络系统共在西班牙全国各特定位置部署有800个伽马辐射传感器，每个传感器都通过电话线路接入紧急情况总部总部的控制中心。

此次网络攻击导致其中300个传感器无法将计数传输回控制中心，使得西班牙面临严重风险，无法立即对辐射激增事件做出响应。

警方并未在公告中提供进一步细节，因此尚不清楚嫌疑人发动攻击的具体原因。

尽管这款应用在界面上比较接近于 Twitter，但通常认为是“反疫苗者的 Tinder”。Unjected 随后一直受到某些人的关注，后续也增加了一些新的功能。

该网站提供了一项名为“mRNA FREE 血液匹配和生育目录”的功能，那些不愿意接受疫苗的用户可以向其他人贡献血液、精子或者卵子。尽管关于血液的一部分广告看起来是合理的，但是该应用还提供了未接受过疫苗的精子。该网站的生育区域允许用户提供自己的卵子、母乳和精子。

网名为 GeopJr 的程序员和安全专家发现，任意用户都可以访问该网站的管理员面板。在访问之后该面板可以添加、编辑和停用页面，例如网站的“About Us”页面和各种用户账户。

这是因为 GeopJr 发现 Unjected 的网络应用框架目前正处于 Debug 模式，允许用户了解患者的信息。国外科技媒体 Daily Dot 在该平台设置了一个测试账号，然后 GeopJr 成功更改了该账号的私有电子邮件以及头像。GeopJr 甚至还可以编辑 Daily Dot 发布的帖子并更改措辞。

网站的备份也可以进行下载或者删除。GeopJr 还能绕过每月 15 美元费用进行订阅，回复和删除帮助中心的帖子和相关报道。

Entrust 是一家专注于在线信任和身份管理的安全公司，为企业用户和政府部分提供广泛的服务，包括加密通信、安全数字支付和身份证明等解决方案。此次攻击造成内部数据泄露，很有可能会影响到大量使用 Entrust 进行身份管理和身份验证的关键和敏感组织。

而Entrust用户不仅有大量的企业，还有美国很多政府机构，其中包括能源部、国土安全部、财政部、卫生与公众服务部、退伍军人事务部、农业部等，这无疑是一个巨大的威胁。

  黑客6月入侵Entrust的网络  

有安全专家称，Entrust早在6月18日就已经被黑客攻击和破坏，同时对方趁机窃取了公司的机密数据。7月6日，安全研究人员Dominic Alvieri证实了这一攻击事件，他在推特上分享了Entrust公司发给客户的安全通知的屏幕截图。

Entrust 首席执行官在安全通知中写到，“不得不通知您，在6月18日我们发现了一起未经授权访问公司内部运营系统的行为。从这一刻起，公司正在努力地将此次攻击行为带来的影响降至最低。”

“我们仍在调查这一攻击事件，迄今为止我们没有发现任何迹象表明该问题已经影响了我们产品和服务的运营或安全。在我们继续调查这个问题的过程中，如果我们了解到我们认为会影响我们为您的组织提供的产品和服务的安全性的信息，我们将直接与您联系。”

可以确定的是，攻击者确实从Entrust的内部系统中窃取了一部分数据，但是尚不清楚这部分数据是来自公司、客户还是供应商，亦或三者皆有之。目前，Entrust会同另外一家知名网络安全公司、执法部门共同调查此次攻击事件。该公司称“迄今为止我们没有发现任何迹象表明该问题已影响我们产品和服务的运行或安全，这些产品和服务在与我们的内部系统分开的气隙环境中运行并且完全可以运行”。

  谁为这起攻击负责？

目前，尚未有勒索组织声称对此次攻击事件负责，在Entrust发给客户的安全通知，以及该公司对外的声明中，都没有分享此次攻击的详细信息，因此谁策划实施了这起攻击暂时还不清楚。

但 Bleeping Computer认为，某个著名的勒索组织可能是这起攻击的幕后黑手。虽然尚不清楚设备在攻击期间是否被加密，但勒索软件团伙通常会在启动加密器之前窃取数据以用于双重勒索计划。

根据 AdvIntel 首席执行官 Vitali Kremez的说法，勒索软件操作购买了受损的 Entrust 凭据并使用它们来破坏其内部网络。

Kremez 进一步表示：“勒索攻击者依靠网络访问卖家的受信任网络来获得对 Entrust 环境的初始访问权限，这导致随后通过已知的勒索软件团体进行加密和泄露暴露。”

目前，勒索组织已经提出了赎金要求，具体金额未知。如果Entrust不按要求支付赎金，勒索组织将会公布他们窃取的数据，而Entrust也可以借此了解攻击背后的勒索软件操作。

上半年共侦破网络主侦案件160余起

据了解，今年以来，广州警方在2022年广州民生实事“个人信息超范围采集整治治理”专项工作和“净网2022”专项行动中，结合开展夏季治安打击整治“百日行动”，全链条打击侵犯公民个人信息等突出网络违法犯罪，全角度防范网络安全风险隐患，全网域整治网络违法有害信息，取得了显著成效。

广州警方重点严打黑客攻击破坏、侵犯公民个人信息等源头性犯罪和“网络水军”、网络黄赌、网络助考等黑灰产业链犯罪。今年上半年，共侦破网络主侦案件160余起，依法刑事拘留400余人。

同时，广州警方以网络攻防演习和网络安全执法检查为抓手，全面加强关键信息基础设施网络安全风险隐患排查整治。今年上半年，共对25万个网站开展专项排查，走访检查重点单位934家次，循环检测全市1000余个重要信息系统，发现并通报400余个安全隐患，督促相关单位排除隐患、堵塞漏洞。对未履行网络安全职责、未落实网络安全技术措施的单位，依法作出行政处罚261宗。

此外，广州警方还全面加强涉“黄赌毒”、涉枪爆、涉网络诈骗等违法有害信息的清理整治。今年上半年，共清理处置各类违法有害信息6万多条、违法栏目230个，指导网站过滤拦截违法有害信息120万条，对发布违法有害信息网民“拍肩膀”警示教育3600多次，依法处罚传播违法有害信息网民62人。

快递企业工作人员偷拍倒卖顾客信息

今年1月，广州警方在对冒充客服诈骗类警情进行分析研判时，发现境外诈骗分子非法获取被骗事主快递收件信息的线索。经侦查发现，个别快递企业工作人员在履职过程中，通过人工偷拍等方式，非法获取快递面单信息（包括收货人、手机号、收货地址、商品名称、商品数量等），并通过层层中介人员倒卖给境外诈骗分子，为其实施冒充客服类诈骗犯罪提供信息支撑。

在研究总结犯罪嫌疑人作案手法的基础上，广州警方经深入侦查，挖出广州市多个非法获取倒卖快递面单信息，为境外诈骗分子提供帮助的团伙。

4月1日、5月12日至5月24日，广州警方开展5次收网打击行动，共抓获70余名犯罪嫌疑人，缴获快递面单信息187万余条，初步统计涉案金额约350余万元，摧毁了一条向境外诈骗分子提供快递面单信息的犯罪链条。

警方提醒：各行业的从业人员务必恪守法律底线，依法依规保护好工作中掌握的公民信息，千万不要贪一时之利而赔上自己一生。快递企业在处理个人信息时，应当采取加密、去标识化等安全技术措施，落实个人敏感信息保护义务。

非法入侵驾培系统代刷学时，3名嫌疑人落网

从2021年10月下旬开始，广州市某公司陆续收到合作方驾校及当地运营部门投诉，有第三方人员冒充该公司工作人员，自称可以绕开该公司开发的“驾培平台”配套的车载终端打卡机制，让驾校学员在不到现场练车的情况下，在系统完成练车学时的累积，从而完成监管部门对驾考练车学时的严格要求。

广州警方经深入研判，挖出一作案团伙。该团伙通过技术手段非法破解“驾培平台”系统，将虚假的培训数据包发送至平台服务器，对学员的学时进行修改，以达到帮助学员快速完成培训和驾校快速盈利的目的。该团伙的非法行为，严重危害道路交通安全，情节十分恶劣。

今年5月12日，广州警方开展收网行动，抓获包括技术开发和代理在内的3名犯罪嫌疑人，现场缴获一批用于实施破坏信息系统行为的计算机设备。经初步统计，该案共涉及30余间驾校、90余台驾校教练车培训终端、5000余名驾校学员，该团伙牟利约35万元。目前，案件正在进一步侦办中。

未履行数据安全保护义务，一公司被警方处罚5万元

在刑事打击非法入侵驾培系统代刷学时案的同时，广州警方对此案进行“一案双查”。对上述公司的网络系统全面开展网络安全和数据安全检查。

广州警方检查发现，该公司开发的“驾培平台”存储了驾校培训学员的姓名、身份证号、手机号、个人照片等信息1070万余条，但该公司没有建立数据安全管理制度和操作规程，对于日常经营活动采集到的驾校学员个人信息未采取去标识化和加密措施，系统存在未授权访问漏洞等严重数据安全隐患。系统平台一旦被不法分子突破窃取，将导致大量驾校学员个人信息泄露，给广大人民群众个人利益造成重大影响。

根据《中华人民共和国数据安全法》的有关规定，广州警方对该公司未履行数据安全保护义务的违法行为，依法处以警告并处罚款人民币5万元的行政处罚，开创了广东省公安机关适用《中华人民共和国数据安全法》的先例，对数据安全治理作出了积极探索和实践。

警方提醒：网络安全事关国家安全，所有单位与个人都有保护数据安全的责任与义务，特别是持有、掌握大量公民个人信息的单位，更应该严格依法采取保护措施，有效保障公民个人信息安全。

据了解，今年以来，广州警方在2022年广州民生实事“个人信息超范围采集整治治理”专项工作和“净网2022”专项行动中，结合开展夏季治安打击整治“百日行动”，全链条打击侵犯公民个人信息等突出网络违法犯罪，全角度防范网络安全风险隐患，全网域整治网络违法有害信息，取得了显著成效。

广州警方按照“打生态、打全链、打苗头”的工作思路，重点严打黑客攻击破坏、侵犯公民个人信息等源头性犯罪和“网络水军”、网络黄赌、网络助考等黑灰产业链犯罪。今年上半年，共侦破网络主侦案件160余起，依法刑事拘留400余人。

同时，广州警方以网络攻防演习和网络安全执法检查为抓手，全面加强关键信息基础设施网络安全风险隐患排查整治。今年上半年，共对25万个网站开展专项排查，走访检查重点单位934家次，循环检测全市1000余个重要信息系统，发现并通报400余个安全隐患，督促相关单位排除隐患、堵塞漏洞。对未履行网络安全职责、未落实网络安全技术措施的单位，依法作出行政处罚261宗。

此外，广州警方还全面加强涉“黄赌毒”、涉枪爆、涉网络诈骗等违法有害信息的清理整治。今年上半年，共清理处置各类违法有害信息6万多条、违法栏目230个，指导网站过滤拦截违法有害信息120万条，对发布违法有害信息网民“拍肩膀”警示教育3600多次，依法处罚传播违法有害信息网民62人。

广州市公安局网警支队新闻发言人表示，今年下半年，广州警方将继续大规模大声势严打黑客攻击破坏、侵犯公民个人信息等网络突出犯罪，分行业分领域开展网络风险隐患排查整治，进一步加大对违法有害信息突出网站、IDC和超范围采集信息APP的执法力度，推动“个人信息超范围采集整治治理”专项工作和“净网2022”专项行动深入开展。

南都记者结合公开报道梳理发现，这些储户先是被诱骗交出了银行卡信息，有的还与诈骗分子进行了视频通话，然后诈骗分子利用上述信息通过了人脸识别验证，又拦截了手机验证码，从而把钱取走。

事情发酵至今，越来越多的争议聚焦在银行的人脸识别系统是否存在漏洞、银行应不应该担责上。银行认为，采用手机验证码和人脸识别结合的验证方式已经尽到安全保护义务，储户们则坚持银行的人脸识别系统并不足以保证资金安全。

有技术专家告诉南都记者，诈骗犯能破解人脸识别验证，说明银行的人脸识别系统确实存在技术漏洞。还有专家认为，由于相应风险是银行引进人脸识别所导致，原则上就应该由银行承担责任，只有这样，才能倒逼银行提高安全技术保障。

本人未登录、未操作，20万被转走

近日，中国银行储户马琳（化名）对南都记者爆料称，自己遭遇了电信诈骗——她的中国银行账户在她本人未登录、未操作、未进行人脸识别的情况下，被转走了20万元。

去年8月，马琳在北京办理签证期间，接到了一个自称是公安局的电话。对方称她涉嫌境外洗钱，口气强硬。马琳起先也有怀疑，但对方不但准确地说出了她在办理签证时提交给中介的信息，还通过视频电话的方式，向她“证实”了自己的警察身份，基本打消了她的怀疑。

随后，对方发来一个带链接的短信，让马琳确认自己的身份信息。她点开链接，网页显示了她的身份证正面照片，这进一步加深了她的信任——为了办理护照，马琳几天前刚去办理了新身份证。据她回忆，自己只在中国银行办理业务时使用过这张新身份证。

马琳照做后，就没有再收到对方或中国银行发来的任何短信。没过多久，她反应过来不对，于是登录手机银行查看，这才发现，她的中国银行账户在她本人未登录、未操作、未进行人脸识别的情况下，被转走了20多万元。

马琳遇到的骗局并不鲜见，她主动把重要的人脸信息交给诈骗分子也是事实。但令她想不通的是，登录她账户的设备IP地址是中国台湾，而她那一段时间一直在北京——银行不是应该对异地登录有严格防范吗？

对此，中国银行回应称，查到的验证视频是马琳本人的，也发了手机验证码到她的手机上，验证流程没有问题。“但事实上第一我没有收到手机验证码，第二我没有进行过任何的人脸识别检测，我本人我不可能自己去黑自己的账户对吧？”

“我最开始也不太理解（为什么会通过），我就拍了一段视频，其中包括了点头摇头，然后去其他银行的人脸识别功能试了试，一次都没通过，都提示说‘请确保是您本人’。”马琳告诉南都记者，在她和中国银行的交涉过程中，也有相关人员提到，如果使用视频是有可能攻破人脸识别的。

不满于中国银行的回复，马琳进而向北京银保监会投诉。经调查发现，诈骗发生当天，马琳账户里的20万被分成8笔转走，其中7笔发送了手机交易码短信，5笔触发了人脸识别，1笔触发了外呼（电话通过电脑自动往外拨打用户电话，将录制好的语音通过电脑播放给用户），但她从未收到任何相关告知。

马琳后来又去了北京来广营派出所报案。对于马琳的诉求，中国银行给出的说法是“钱财的转出在安全的机制内”，让她去起诉。这让她感到不可思议：“按照常理来说，人脸识别肯定是要本人”，她说，“身在异地的犯罪分子能通过活检，这本来就是一种不合理。”

在损失了这笔积蓄之后，马琳的签证已经很难继续办理，她离开了北京。“我希望中国银行的漏洞能堵一下，不要给更多的人带来更大的损失。这个事情对银行来说，可能确实没有什么损失。但是从储户的角度来说，这个就是一个人生的大灾难。”

除了中国银行，至少6名交通银行储户也有类似遭遇

南都记者了解到，中国银行不是唯一一家被曝人脸识别系统可被破解的银行。就在前不久，南都曾报道，交通银行的储户也有过相似的遭遇——他们中的部分人也和马琳一样，遇到的盗刷者IP地址显示为中国台湾，手机型号则为摩托罗拉XT1686。

交通银行储户小雪（化名）向南都记者提供的一份北京市丰台区人民法院民事裁判书显示，2021年6月19日上午，小雪接到自称是公安方面打来的电话，称其在哈尔滨涉嫌非法入境，还涉嫌反洗钱案，要求小雪下载“公安防护App”“瞩目App”，开启会议模式通过视频验证是否为本人，并进行手机屏幕共享，指示其将手机拦截电话、短信等功能开启。

随后，对方还以“国有大行安全措施比较好”为借口要求小雪办理一张新的交通银行卡，并把所有银行的存款全部转入内，以此“核实个人资产”。为此，小雪特意将近50万的储蓄资金从其他银行转入到该交通银行账户。而后，这笔资金便不知去向。

据警方调查，密码重置和大额转账的IP地址为中国台湾，验证方式为短信验证+人脸识别，且当天银行系统有7次通过人脸识别的记录，其中6次通过活检。也就是说，骗子拦截了小雪的短信验证码，通过短信和伪造人脸识别完成了密码重置、限额调整、大额转账的全过程。

法院一审判决认为，整个过程中是小雪自己按外人的指令下载了相关App、开启电话及短信拦截等，才导致发生身份识别信息、交易验证信息泄露的风险，因此认定该案是小雪不审慎所致，判交通银行不承担责任。

值得注意的是，根据凤凰网《新视界》7月5日的报道，2020年10月至2021年10月期间，有至少6位交通银行储户被犯罪分子诱骗、将钱存入交通银行后被盗刷，金额高达数百万元。

“6次人脸识别，交行一次都没识别出来犯罪分子使用的是假人脸。”“交通银行存在支付安全漏洞，没有办法识别出是不是真的人脸。”有被盗刷的交通银行储户认为，犯罪分子指定交通银行而不是其他银行，是因为他们发现并利用了交通银行的人脸识别漏洞。

自被盗刷以来，交通银行储户马跃（化名）曾多次上诉至法院，但法院驳回了他的申请。和小雪得到的判决相似，法院认定，交通银行相关支行已通过多个登录密码、验证码、人脸识别的合理方式识别使用人身份，未见存在明显的过错和过失。

针对上述事件，交通银行股份有限公司北京长辛店支行的工作人员向南都记者表示不接受采访。

银行的人脸识别验证系统是否存在漏洞？

人脸识别被破解、手机验证码被拦截，是储户们认为银行存在漏洞的关键环节。那么，中国银行和交通银行采用的人脸识别系统是否建立了足够的安全防范机制，又是否达到了监管要求呢？

根据中国银行5月29日最新更新的手机银行隐私政策，其使用了云从科技的人脸识别SDK（软件开发工具包），用于提供人脸识别服务。为交通银行提供技术支持的则是一家成立于2016年6月的生物识别企业：北京眼神科技有限公司（下称“眼神科技”）。

根据两家人脸识别服务提供商的官网介绍，他们的客户均涵盖六大行。此外，云从科技的客户还包括12家股份制银行以及城农商行，服务超过400家金融机构、10余万个银行网点；眼神科技服务的银行机构则近150家。

南都记者以储户身份分别致电云从科技和眼神科技。云从科技方面称，若犯罪分子使用视频通话的方式，确实有可能攻破人脸识别系统，但除此之外不愿透露更多信息。

眼神科技方面则表示，根据现有的司法判决，犯罪分子是获取了短信验证码等多个隐私信息，所以才出现了这种事，而人脸识别只是整个流程中的一个验证环节，所以并不能明确地说就是人脸识别的问题。“银行方面对安全性的要求是很高的，也是基于我们的产品（的正确率），银行这边才会选择我们的。”客服强调。

一位人工智能安全领域的技术专家也告诉南都记者，从整个流程来看，诈骗分子是劫持了受害人的电话和短信，才导致后续银行无法通过短信、电话对转账人身份及转账情况进行核实，这部分与人脸识别系统的安全风险无直接关联。

不过他也表示，储户即使被诱骗给出个人信息，但事实是储户本人并未前往外地，而诈骗犯肯定是用某种手段“通过了人脸识别的活体检测”，这就说明银行的线上人脸身份核验系统确实存在被假体攻击、注入攻击的技术漏洞——这并不是说“活体检测”这一技术本身不合格，很有可能是犯罪分子“绕过”了活体检测的环境。

去年1月，依托清华大学人工智能研究院成立的团队瑞莱智慧RealAI就曾通过对抗样本攻击，一举破解19款安卓手机的人脸识别解锁系统。即便是搭载了交互式活体检测功能的十余款金融和政务服务类App，也都被轻易破解。

瑞莱智慧RealAI高级产品经理张旭东曾以银行类App为例向南都记者表示，虽然现在的支付转账操作都需要多因素验证，但一旦用户的个人信息全部泄露，不法分子就可能同时完成刷脸、输入手机验证码等操作，使得多因素验证失效。

当时，研究人员提到，目前业界主流的人脸识别算法都具备了活体检测能力，之前常见的用一张照片、一段视频来完成刷脸的做法已经行不通。但对抗样本攻击针对的是算法模型底层的漏洞，完全不受活体检测限制。攻击者在脸上添加了局部扰动，导致算法产生了错误识别。

上述技术专家则用“受害人被诈骗分子诱导进行视频通话”的案件来举例表示，这种情况下，受害人很有可能被录制下指令动作的画面视频，或者诈骗分子直接基于储户的照片，通过合成软件伪造的动态视频。

“但伪造的视频不会直接拿手机平板放到摄像头前，按照正常流程通过人脸识别系统，而是使用某种黑客手段入侵了人脸识别的底层系统。比如通过劫持摄像头，让系统不启动摄像头，直接从底层注入提前准备好的动态视频，完全就能绕过活体检测。这种注入攻击是针对人脸识别系统的应用软件层面的安全漏洞。”他说。

这位技术专家表示，由于目前大多识别系统是用神经网络+大数据训练的方法实现，所以黑盒性和不可控性是一定存在的。他认为，技术方需要进一步提高对新型算法安全风险的研究水平。

储户、银行、人脸识别提供方，责任如何划分？

截至目前，上述遭遇盗刷的储户得到的法院判决均认定，银行没有明显过错，不承担责任。银行的技术提供方也认为，是储户先泄露隐私，才导致事件发生。但在储户看来，即便自己被诱骗交出了部分个人信息，也不应影响银行通过人脸识别验证出诈骗分子并非储户本人。

“既然人脸识别是银行所引进，而且往往是变相强制储户使用，一旦出现存款被骗，银行不承担任何责任显然也是有问题。完全让储户个人来当冤大头，既不公平，也无助于对犯罪的预防。”马琳说，“技术如果不够先进、不够完备，那就不应该投入使用，而不是已经造成各个方面的损失，然后现在又说银行的系统还在升级。系统不完备的损失谁来承担，不是银行来承担吗？虽然银行自己也是受害者，但是他改善系统的能力比储户大得多。”

在清律律师事务所首席合伙人熊定中看来，“银行不担责”的判决结果“不是很合理”。他认为，整个流程存在两个问题：人脸识别系统被攻破是银行的责任，而储户本身可能也存在手机被劫持的“防范不足”。从损失情况来看的话，应该是典型的双方过错，各自承担责任。

他解释道，整个流程中存在着两组关系，一组是储户和银行，另一组是技术提供方和银行。储户和银行之间，是银行提供了技术验证手段给储户，那么银行本身肯定要对于人脸识别的结果有足够的保证，如果特定的技术出了问题的话，责任当然是由银行承担。而技术提供方和银行之间，要取决于银行跟技术提供方的合同到底是如何约定的，“他们如何去解决这种因为技术使用导致的损失、如何约定责任的分担问题，这是他们之间的问题，跟储户没有关系。”

清华大学法学院教授劳东燕也有类似的看法。她认为，由于相应风险是银行引进人脸识别所导致，也就是银行参与了风险的创设。在法律上，谁创设风险，谁原则上就应当对风险现实化的结果承担责任。其次，银行在相关业务领域里获益最大，理应承担与获益相称的风险责任。再次，银行防范风险的能力更强，能力越强者责任越大。最后，从对犯罪的预防来看，只有让银行承担部分法律责任，才能倒逼其提高安全技术保障。

事实上，纵观银行使用的密码、U盾、手机验证码等用户安全措施，都有被攻破的案例，人脸识别也不例外。熊定中认为，使用人脸识别验证技术并没有放大原来就有的风险，只是“一个新的技术在使用过程中出现了问题”。

但广东人民时代律师事务所律师王胜生认为，一旦陷入技术崇拜的怪圈，并对技术进行强制推广，就会带来风险。“这是一种让技术的攻防在发展中共生共长，出现风险时又严重依赖技术防范的方案。唯独没有停下技术强制使用的想法，也没有停下人脸识别滥用的做法。”

劳东燕还提出，对于个人生物识别信息这类高度敏感的信息，有进行专项立法的必要性，并采取以公法保护为主的方式。在专项立法的规定中，需要明确数据处理者才应当是个人信息保护责任的主要承担者。

“在数据处理过程中，究竟是谁制造了相应的风险？”劳东燕说，“同时，谁是其中最大的获益方？肯定不可能是个人，而是作为数据处理者的科技企业与监管部门。”而从风险预防能力与风险预防效果来看，也应该将“鞭子“打到数据处理者身上。相应地，立法对人脸信息技术的规制重心，应当从知情同意机制转向数据处理者的合规义务体系。

王胜生则认为，要解决“人脸识别”这一技术带来的诸多问题，“立法”只是其中一个环节。“虽然现在人脸识别已经广泛普及，但是对及技术局限和风险的公共教育和学界讨论、对法律上的举证责任、举证能力、风险防范能力、司法公正的考量、对技术带来的社会权力的对比和分析，各个环节都是缺失的。”

在他看来，首先，技术公司需要持续披露和明确告知技术的真实情况，包括风险，使得大众对技术进行全面的认知；其次，大众和个体对强制和变相强制的技术适用应该拥有“说不的能力”，非法律的社会力量制衡途径需要存在；最后，方便适用的法律是否完备，司法公正性如何，才是最后一环的水波效应。

“或许微乎其微的举动不能影响人脸识别的大道其行，但也或许会带来温和的振动，促成一些良性的审慎的改观和发展。”他说。

然而，现在出售的黑客数据来自2022年1月报告的一个漏洞。Twitter承认这是一个现实存在安全问题，并向发现者"zhirinovskiy"支付了5040美元的赏金。

正如HackerOne用户zhirinovskiy在1月的最初报告中所描述的那样，一个威胁者现在正在出售据称从这个漏洞中获得的数据，Restore Privacy的Sven Taylor说。"该帖子现在仍在叫卖，据称由540万用户组成的Twitter数据库正在出售。"

黑客论坛上的卖家的用户名是'魔鬼'，并声称该数据集包括'名人、公司等重要账号的数据。"我们联系了这个数据库的卖家，以收集更多信息，"Taylor说。"卖家为这个数据库至少要价3万美元，据卖家说，由于'Twitter的无能'，这个数据库现在可以使用了。"

卖家在网站Breach Forums上发布了关于这些数据的信息。该论坛的所有者已经核实了该泄漏的真实性。

在Breach Forums的帖子中，有一个可用数据的样本。它似乎显示了可公开获得的Twitter个人资料信息，以及用于登录的电话号码和/或电子邮件地址，但它似乎并不包括密码。虽然它确实包含可用于Twitter"忘记密码"功能的电子邮件地址，但不良行为者必须单独获得该电子邮件账户的登录密码。

因此，人们担心的不是用户账户会被坏人破坏，而是这些数据可能被卖给广告商利用。

Twitter还没有发表评论。

在签订的不起诉协议中，Uber 承认其工作人员未能向美国联邦贸易委员会报告 2016 年 11 月的黑客行为，尽管当时该机构正在调查这家网约车公司的数据安全性。

旧金山的美国检察官斯蒂芬妮·海因兹 (Stephanie Hinds) 表示，在任命了新的执行领导层之后，Uber 等了大约一年才报告违规行为，该领导层在道德和合规方面“从高层建立了强烈的基调”。

Hinds 表示，不对 Uber 提起刑事指控的决定反映了新管理层的迅速调查和披露，以及 Uber 与 FTC 于 2018 年达成的将全面隐私计划维持 20 年的协议。这家总部位于旧金山的公司还在配合起诉前安全主管约瑟夫·沙利文 (Joseph Sullivan)，指控他涉嫌隐瞒黑客行为。

Uber 没有立即回应置评请求。

“是谁泄露了我的快递信息？”

相信不少接到过

网购退款类诈骗电话的小伙伴们

有这样的疑问

如今，杭州萧山警方通过深入侦查

成功将幕后黑手揪了出来……

“窃单木马”

日前，杭州萧山警方

接到某电商公司报警救助

称有多名客户反映

接到快递理赔类诈骗电话、短信

怀疑公司发货面单信息被泄露

被盗走的快递面单信息多达65000余条

萧山警方对此高度重视

由网警大队联合刑侦大队以及相关派出所

成立专案组，第一时间开展调查

工作专班通过分析研判

发现一款疑似“打印机监视木马”的可疑软件

被人通过U盘拷贝至公司电脑

当公司打印面单等信息时

该软件会将信息同步上传至指定服务器

侦查员立即调取公司内部监控

发现几天前，有一陌生男子

进入公司并在公司电脑上进行操作

经研判明确该男子身份为王某某

其在金华义乌落脚

收网抓捕

调查显示，王某某短时间内

频繁出入杭州、金华等地的电商园区

存在连续作案的可能

迟一天抓捕

很可能就会有更多的单号被盗

导致大量受害人遭遇诈骗

专案组随即果断收网

在义乌一家小旅馆内将嫌疑人王某某抓获

当场查获作案手机9台

带有木马的U盘3个

经查，王某某平时游手好闲

在上网时被一诈骗团伙招募

并对其进行培训

王某某以应聘为幌子

混入电商公司仓库

趁人不备安装木马软件

窃取面单数据

从4月初开始

王某某先后在12家

电商公司仓库安装该木马软件

非法获利75000余元

目前，王某某已被萧山警方

依法采取刑事强制措施

相关案件正在进一步办理中

警方提醒：各电商企业注意！

案件虽已告破

但也暴露出一些企业存在管理漏洞

萧山警方第一时间协助相关企业

开展木马查杀

加强对电商企业网络数据安全排查

消除数据泄露隐患

并对潜在被诈骗对象

通过电话、短信等方式开展精准宣教

希望广大企业引以为戒

加强日常管理

防止此类案件再次发生

及时揪出嫌疑人

避免群众遭遇诈骗

助企纾困 弥补安全漏洞

为专案组点赞！

此次网络攻击发生在6月29日晚间。截至本文发布时，可耐福仍在开展取证调查、事件响应及补救工作。

可耐福在网站主页上发布的简短公告写道，“我们目前正在努力减轻对我们的客户和合作伙伴的影响。所有工厂正常运转，所有业务离线进行。对于可能发生的交付过程中的任何不便或延迟，我们深表歉意。”

根据外媒看到的邮件警告，作为攻击响应的一部分，可耐福的电子邮件系统已经关闭，目前业务通信主要依靠手机和Microsoft Teams。

可耐福是一家总部位于德国的跨国建筑材料生产商，在全球墙板市场上拥有约81%的份额。

可耐福在全球多个国家拥有150处生产基地，也是美国可耐福绝热材料公司及USG公司的所有者。

值得注意的是，可耐福绝热材料公司也在网站上发布了关于网络攻击的通知，可见其同样受到了影响。

Black Basta宣布对事件负责

虽然可耐福并未在公告中说明此次遭遇的具体攻击类型，但从事件持续时间、影响和IT系统的恢复难度来看，这恐怕是一起勒索软件攻击。

事实上，名为Black Basta的勒索软件团伙已经在其网站上发布公告，于7月16日将可耐福列为受害者。此举也相当于宣布对这次攻击负责。

该勒索软件团伙还公布了一批数据，据称是攻击期间从可耐福处窃取到的全部文件中的20%。目前已经有超过350名访问者访问了这些文件。

记者已经看到电子邮件通信、用户凭证、员工联络信息、生产文档及ID扫描件等样本。

既然没有公布所有失窃文件，看起来恶意团伙仍希望能通过谈判获取赎金。

Black Basta团伙的崛起之路

Black Basta勒索软件团伙在2022年4月首度开展RaaS攻击，并迅速凭借针对高调受害者的双重勒索行为闯下名号。

根据早期展现出的知识能力和谈判风格来看，不少安全专家认为Black Basta应该是Conti改头换面之后的新“马甲”。

到2022年6月，Black Basta开始与Qbot（QuakBot）合作传播其勒索软件，同时开始投放Cobalt Strike并协助在受害者网络内横向移动。

另外，这群恶意黑客还专门为自己的勒索软件制作了Linux版本，用于入侵运行在Linux服务器上的VMware ESXi虚拟机。

此次发现MV720设备存在共有6个漏洞，侵入该设备的黑客可以利用它来追踪甚至定位使用该设备的车辆，也可以通过该设备收集有关路线的信息，并操纵数据。考虑到该设备的许多用户存在军政背景，黑客的攻击很有可能会影响国家安全。

例如，网络安全公司BitSight的研究人员在报告中指出，国有的乌克兰运输机构就使用了MiCODUS GPS追踪器，因此俄罗斯黑客可以针对它们来确定供应路线、部队动向或巡逻路线。

 漏洞细节 

虽然不是所有BitSight发现的六个漏洞都获得了识别号，但各个漏洞的具体细节如下：

CVE-2022-2107：API服务器上的硬编码主密码，允许未经认证的远程攻击者获得对任何MV720追踪器的完全控制，执行切断燃料行动，追踪用户，并解除警报。(严重程度得分：9.8)

CVE-2022-2141: 破解的认证方案，允许任何人通过短信向GPS追踪器发送一些命令，并以管理员权限运行。(严重程度评分：9.8)

没有指定的CVE：所有MV720追踪器上的默认密码（123456）都很弱，没有强制规则要求用户在初始设备设置后进行更改。(严重程度高分：8.1)

CVE-2022-2199。反映在主网络服务器上的跨站脚本（XSS），允许攻击者访问用户账户，与应用程序互动，并查看该用户可访问的所有信息。(严重程度高分: 7.5)

CVE-2022-34150: 主网络服务器上不安全的直接对象引用，允许登录的用户访问服务器数据库中任何设备ID的数据。(严重程度高分: 7.1)

CVE-2022-33944: 主网络服务器上不安全的直接对象引用，允许未经认证的用户生成关于GPS跟踪器活动的Excel报告。(中等严重程度评分：6.5)

BitSight已经为获得识别号的五个缺陷开发了概念验证（PoCs）代码，并展示了它们如何在野外被利用。

 披露和修复 

BitSight在2021年9月9日发现了这些关键缺陷，并试图立即提醒MiCODUS，但遇到了困难，找不到合适的人接受安全报告。

2021年10月1日再次联系了GPS追踪器的中国供应商，但供应商拒绝提供安全或工程联系人。随后在11月试图联系该供应商，但没有得到回应。

最后，在2022年1月14日，BitSight与美国国土安全部分享了其发现的所有技术细节，并要求他们与该供应商接触。

目前，MiCODUS MV720 GPS追踪器仍然容易受到上述缺陷的影响，而且供应商还没有提供修复方案。因此，BitSight建议在修复方案出台前，使用MiCODUS MV720 GPS追踪器的用户应该立即禁用这些设备，并使用其他的GPS追踪器进行替代。继续使用MiCODUS MV720 GPS追踪器将是一个极端的安全风险，尤其是在这些漏洞被公开披露之后。

报道称，泄露的540万个账户包括推特 ID 与其关联的电话号码和电子邮件信息，已在一个黑客论坛上出售，价格为3万美元（约20.28万元人民币）。

Restore Privacy报告称，这次泄露可能源于1月份发现的一个安全漏洞，该漏洞允许攻击者获取与推特账户关联的电话号码、电子邮件地址，即使用户在隐私设置中隐藏了这些字段，也可以被拿到。

黑客论坛的所有者验证了攻击的真实性，Restore Privacy 也对数据进行了检验，确认可以和推特的用户对应上。当 Restore Privacy 联系卖家后，被告知数据库的价格为 3 万美元。

报告称，攻击者很可能获得了现有的电话号码和电子邮件地址数据库，这些数据库是通过违反其他服务获得的，然后使用这些详细信息搜索到了相应的推特 ID。

目前尚没有办法检查自己是否在泄露的账户中，IT之家小伙伴最好注意一下收到的邮件和来电，不要轻易点击链接。

与联邦调查局合作

洛杉矶港现正与联邦调查局的网络犯罪小组合作，以防止网络攻击并改善网络安全。该港口开发的中心是世界上最早的网络弹性中心之一，这也是联邦调查局的一部分。

供应链阻塞

在新冠疫情期间，由于工厂关闭，工人被迫待在家里，全球供应链放缓。塞罗卡说，供应链的压力已经缓解，但要到2023年才能完全清理滞留的货物。

他还表示，过去两年已经证明，港口对美国的关键基础设施、供应链和经济发挥着至关重要的作用，因此，让信息系统尽可能安全至关重要。

T-Mobile 同意支付 3.5 亿美元（约 23.66 亿元人民币）来处理集体诉讼原告的索赔，并支付其他相关费用。需要注意的是，这一和解方案仍待法院批准，T-Mobile 预计最快将于今年 12 月获得批准。

IT之家了解到，T-Mobile 表示，将承诺再投入 1.5 亿美元（约 10.14 亿元人民币）用于数据安全和其他相关技术。

据 T-Mobile 预计，第二财季将计入约 4 亿美元（约 27.04 亿元人民币）与此相关的税前支出。T-Mobile 称已将这笔支出和 1.5 亿美元（约 10.14 亿元人民币）的数据安全支出纳入之前的业绩预期。

根据Dragos本周发布的最新工控安全报告，伪装成工控系统可编程逻辑控制器（PLC）、人机界面（HMI）和项目文档密码破解器的恶意软件生态系统的雏形已经浮出水面，黑客在网上兜售大量工控系统设备的密码破解软件，宣称可以帮助忘记密码的工控系统工程人员找回系统设备密码，但这些软件实际上是木马软件，被安装后会加载僵尸病毒，将工控设备变成僵尸网络的一部分。

许多企业都会发生丢失工控设备密码的情况。例如，用于工厂、发电厂和其他工业环境中的流程自动化的可编程逻辑控制器（PLC）可能会在部署几年后就被“遗忘”了。当后来的工程师发现影响PLC的问题时，他们可能会发现最初负责的工程师在离开公司之前从未留下密码。于是急于解决问题的工程师们很可能上网搜索“密码破解程序”，结果导致工控系统开始表现异常。

根据安全公司Dragos的报告，如今整个恶意软件生态系统都试图利用工业设施内的此类问题和场景（找回密码）。例如下面这些宣称可破解PLC和人机界面密码的破解程序广告，表明此类恶意软件的销售似乎非常火爆

留神工控系统变成僵尸网络

Dagos最近进行了一次例行的漏洞评估，发现了一个宣称能破解DirectLogic 06（Automation Direct生产销售的PLC）密码的软件。经测试该软件确实能恢复目标PLC的密码，但不是通过破解密码的正常方法。相反，该软件利用了Automation Direct PLC中的一个零日漏洞，该漏洞暴露了密码。

“以前针对DirectLogic PLC的研究已经取得了成功的破解技术，”Dragos研究员Sam Hanson写道：“然而，Dragos发现这个漏洞并没有破解历史上流行的漏洞利用框架中所见的密码的加扰版本。相反，恶意软件释放器会将特定的字节序列发送到COM端口。”

该漏洞以及Hanson发现的另一个相关漏洞现已修复并被跟踪为CVE-2022-2033和CVE-2022-2004。后一个漏洞可以恢复密码并将其发送给远程黑客，其严重等级也提升至7.5（满分为10分）。

除了恢复密码，Hanson发现该恶意软件还会继续安装名为Sality的恶意软件，将被感染的系统变成僵尸网络的一部分，Sality还会每半秒监视受感染工作站的剪贴板，以获取与加密货币钱包地址相关的任何数据。

“入侵者会用自己的钱包地址替换剪贴板中的任何加密货币地址，”Hanson指出：“这种转账实时劫持是窃取加密货币的最有效的方法之一，并让我们更加确信攻击主要出于经济动机。”

除了Automation Direct之外，Hanson还发现黑客正在网上销售30多家其他品牌的工控系统软件的密码破解程序，包括：

Dragos仅测试了针对DirectLogic设备的恶意软件，但对其他一些样本的初步分析表明它们也包含恶意软件。

“总的来说，针对工控系统的恶意软件似乎已经形成了一个生态系统，”Hanson说：“已经有多个网站和社交媒体帐户都在宣称（和兜售）自己是工控设备密码'破解者'。”

这些不法帐户所暴露的工控系统恶意软件生态系统令人担忧，因为这对许多工业控制系统都构成了实质性的威胁。虽然Dragos分析的恶意软件背后的犯罪动机是为了钱财，但是工控恶意软件生态的扩散意味着更多黑客将能够破坏大坝、发电厂或类似设施，造成极为严重的后果。对于浮出水面的工控恶意软件生态系统，关键基础设施部门和企业尤其需要关注和警觉，制订有针对性的主动安全策略。

阿尔巴尼亚国家信息社会局在一份声明中表示，“为了抵御这些前所未有的危险攻击，我们被迫关闭了政府系统，直至对方的攻击被解除。”

网络攻击发生之后，阿国政府服务在本周一全部关闭。

阿部长会议发布的新闻稿提到，“阿尔巴尼亚正遭受前所未有的大规模网络攻击。此次恶意网络攻击是同步进行的，来自境外。为了避免信息系统被破坏，国家信息社会局暂时关闭了在线服务及其他政府网站。”

大部分面向民众的服务项目被中断，只有部分重要服务（例如线上报税）仍在运行，原因是运行它们的服务器并未受到攻击覆盖。

阿国前总理及反对党领袖萨利·贝里沙（Sali Berisha）对政府的网络安全态势持批评态度。

他将崩溃事件归咎于政府的无能，而非俄罗斯，同时指出政府在社会局之内集中了太多政务服务。

贝里沙指责，“政府的几乎所有重要服务怎么会全部通过这一个网站来实现？在缺乏针对网络犯罪的专业警务制度的情况下，怎么可能选择这样的运营方式？”

微软Jones Group国际团队正在帮助社会局缓解攻击影响，并努力恢复系统运营。

去年12月，阿国总理埃迪·拉玛（Edi Rama）就曾经为国家政府数据库中个人记录的大量泄露而致歉。

当时泄露的记录包括约637000人的个人身份证号码、就业信息与工资数据。

2021年4月，在阿国议会选举之前，也曾发生一起导致国家数据库内身份证记录外泄的类似事件。

　　要想从交通银行卡中转账，需要用户在手机银行App上进行人脸识别，并进行短信验证。李红陷入了诈骗分子的圈套，她的手机短信被拦截，手机号被设置了呼叫转移，令她的验证码落入他人手中，且无法接听银行的确认电话。

　　更严重的是，“人脸识别”被攻破了。银行系统后台显示，在进行密码重置和大额转账时，“李红”进行了6次人脸识别比对，均显示“活检成功”。

　　那几次人脸识别并不是身在北京的李红本人操作，登录者的IP地址显示在台湾。当李红本人登录手机银行时，卡里的钱已被悉数转走。她去派出所报案，警察很快认定她遭遇了电信诈骗，并立案侦查。

　　既然不是本人操作，为何还能“活检成功”？李红怀疑交通银行人脸识别系统的安全性，并以“借记卡纠纷”为由将交通银行告上法庭，要求赔偿。

　　2022年6月30日，北京市丰台区人民法院一审驳回了李红的全部诉求。她准备继续上诉。

　　每个人只有一张脸，因其不易被仿冒，人脸识别被认为具有较高安全性，近年来被普遍适用于银行验证中，用来保障资金安全。但超出普通人认知的是，人脸具有唯一性的生物识别信息，是敏感个人信息，它裸露在无处不在的摄像头下，极易获得。在如今人脸识别系统并不成熟的情况下，用合成活动人脸骗过审核系统的案例屡见不鲜。

　　长期关注个人信息保护的专家，都对人脸识别的滥用充满忧虑。清华大学法学院教授劳东燕指出，从制度框架的合理设定来考虑，制造更多风险、获取更多收益的一方，理应承担更多的风险与责任，“人脸识别是银行引进的，其是作为风险制造的参与方，通过这种方式银行也获益更多，应该承担和其所获收益成比例的风险责任”。

　　她还指出，随着人工智能的发展，诈骗手段科技含量更高，银行应当与时俱进，使其安保技术超过犯罪手段的技术。如果银行因人脸识别技术存在的漏洞而相应承担责任，会有助于敦促银行堵住技术上的安全漏洞，对可能发生的诈骗犯罪起到预防作用。

　　被骗42.9万元

　　从接通电话那刻起，李红就陷入“协助破案”的迷局中。那是2021年6月19日上午10：30，电话那头自称“北京市公安局户政科陈杰警官”的人告诉李红，她的护照此前在哈尔滨涉嫌非法入境，让她向哈尔滨市公安局报案。对方轻易地报出了李红身份证号，这令她开始相信电话那头的“警官”。

　　李红被转接给哈尔滨市公安局的“刘警官”。对方告诉她，她涉嫌“李燕反洗钱案”，并让她登录一个网站查看“公文”。李红用手机登录对方提供的网站后，发现在一张蓝底的“通缉公告”上，印着自己的身份证照片、身份证号等户籍信息。

　　这令她陷入恐慌，因为在她平常的认知中，这些信息只有公安内部的人才能获得。接下来，她对“警官”的指挥百依百顺。按照指示，她从网站下载了“公安防护”软件和视频会议软件“瞩目”。

　　“公安防护”是一款诈骗人员常用的“李鬼”手机软件，其设计模仿“国家反诈中心”，如果受害者在里面输入银行卡和密码，诈骗人员就可在后台获取这些信息。

　　而“瞩目”虽然是普通的视频会议软件，但提供共享屏幕功能。在“刘警官”的要求下，李红通过“瞩目”，向对方共享了自己的手机屏幕，令其掌握了她安装的App种类信息，对方还通过这项功能远程操控她的手机，令她的手机号设置了呼叫转移，无法接收短信和电话。

　　最容易被忽略的是“露脸”。对方告诉李红，为了验证她是本人操作，她要通过“瞩目”开启会议模式，于是李红的人脸信息轻易暴露在对方面前。这也成为对方实施诈骗的关键一环。

　　李红始终没能挂断电话，“刘警官”故意令她与外界隔绝。下午13：46，按照要求，李红赶到交通银行北京长辛店支行，开设了一张借记卡。银行开卡记录显示，李红预留了自己的手机号，并允许借记卡通过“网上银行、手机银行、自助设备”三种方式转账，也允许这张卡进行境外取现和消费，但在其他功能中，她选择了“小额免密免签不开通”。

　　这意味着，当她进行5万元以内的转账时，仍需要验证。此外，李红还设置了转账限额，每日只能累计转账5万元。

　　在办理借记卡的过程中，交通银行向李红发放《北京市公安局防范电信诈骗安全提示单》。这份提示单中，载明了业务类型为“开通网银或手机银行”，并提示她可能存在有冒充公检法的人员，以打电话的方式告知她涉及案件，要求她向对方提供的账号转账，或是告知网银密码。李红在这份提示单上签字。

　　李红刚刚办好的借记卡，这张卡就被诈骗人员所掌控了。银行后台显示，当天13：51，即李红开卡15分钟后，就有诈骗人员通过人脸识别验证，重置了李红的用户名和密码，登录了她的手机银行。但李红对此并不知情，她正按照“刘警官”的要求，为了“清查个人财产”，向卡转入所有积蓄，以及所有能够贷款获得的现金。

　　交易记录显示，14：06至14：09，李红向这张卡转账5笔共计25万元，14：11和14：13，又分两笔转入5万元，此时李红卡内已有30万元。短短几分钟后，14：20诈骗人员就通过掌握的李红的手机银行，将这30万元转了出去。此后在14：30，李红又向卡内汇入12.9万元，这些钱在14：40被悉数转出。至此诈骗人员转走了李红42.9万元。

　　诈骗人员掌握了李红的“人脸识别+动态密码”后，通过修改密码，登录了她的手机银行，此后便如入无人之境，即使李红设置了每日5万元转账限额，也在诈骗人员登录后被轻易修改，之后每笔大额转账也都通过“人脸识别+动态密码”验证通过。

　　交通银行北京长辛店支行在法庭上回应称，“交易密码、动态密码以及辅助人脸识别的客户鉴别模式”符合监管要求，并且在李红转账过程中，银行对她进行了风险提示，包括通过运营商向她发送了短信密码、短信风险提示，以及在内部系统大数据分析发现异常后，拨打了李红的手机，对转账人身份及转账情况进行核实。

　　但李红称，对于银行所称发送了22条短信密码及短信风险提示，她只收到了其中的11条，而银行的来电她并未接到。这背后的原因在于她的短信被诈骗人员拦截，电话也呼叫转移到了诈骗人员的手机上。

　　银行提供的通话录音显示，在当天14：23，在诈骗人员正将李红银行卡中的30万元转出时，银行客服拨通李红预留的手机号，询问对方是否是李红本人、转账是否本人操作、收款人信息、与收款人的关系、转账的用途等，接电话的人均认可系本人操作，还称与收款人是朋友关系。

　　下午16：00，李红察觉到“刘警官”的反常态度，她在16：39用自己的手机首次登录了手机银行，却发现钱已被盗刷，她意识到自己被骗，前往派出所报警，并联系银行挂失银行卡。

　　银行出具的通话录音显示，当天17：08至17：25，银行三次拨通李红预留的手机号，接电话的人起先称自己是李红，认可办理过业务，否认办理银行卡挂失，但后来否认自己是李红，称客服“打错了”。

　　蹊跷的“活检成功”

　　民警追查到，2021年6月19日在13：51至14：42之间，李红手机银行登录者的IP地址在台湾，使用的设备是摩托罗拉XT1686，而当时李红在北京，她的手机型号是小米8。

　　银行后台记录显示，李红的借记卡在6月19日那天共有7次操作涉及人脸识别，均显示识别成功通过，其中1次为借记卡申请，1次为登录密码重置，5次为大额转账，除了第一次不涉及活检，后6次操作“活检结果”均为成功。

　　李红并未亲自操作，为何6次“活检结果”均为成功？李红的丈夫马跃（化名）在金融系统工作多年，他成为妻子起诉交通银行的代理人。他告诉《中国新闻周刊》，银行定下的“人脸识别+短信验证码”的验证模式，其本质目的在于确保由用户本人亲自操作转账，他妻子在完全不知情的情况下，被诈骗人员从账户中转走钱，银行应当承担保管不力的责任。

　　“这就好比，本来约定需要我本人去银行才可以转账汇款，现在别人假冒我去银行，银行没有发现，那么造成的损失不应该由我完全承担。”他认为，银行与储户之间的关系是债权关系，银行受骗，不应让储户承担全部责任。

　　李红以“借记卡纠纷”为案由起诉交通银行后，要求银行赔偿存款损失，但北京市丰台区人民法院一审驳回了她的诉求。

　　法院认为，李红在42.9万元被盗过程中“过错明显”，交通银行作为指令付款方，已通过多个登录密码、验证码、人脸识别的合理方式识别使用人身份，未见存在明显的错误或过失。

　　马跃认为，李红在北京刚办理了借记卡，紧接着IP地址在台湾的诈骗人员就能用不同的设备登录，并频繁操作大额转账，如此异常的操作，银行本应该识别出转账的非储户本人。

　　李红的遭遇并非孤例。早在2020年10月，浙江的赵女士就遭遇了同样的骗局，她的经历曾经被杭州本地媒体报道。赵女士讲述，在与假冒警察的犯罪分子视频时，对方曾要求她做“张嘴”“眨眼”“摇头”等动作，疑似通过录像来骗过银行的人脸识别系统。

　　联系上赵女士之后，马跃又联系到4名同样的受骗者，他们6人都遭遇了同样的诈骗套路，涉案金额超过200万元。

　　这6名受害者都为女性，受骗时间最晚的在2021年10月。她们都生活在大都市，具备一定知识水平，多人具备研究生学历，还有人就是律师。

　　交通银行的人脸识别服务商为北京眼神科技有限公司（下称“眼神科技公司”）。这家公司成立于2016年6月，其创始人、董事长兼CEO周军曾公开表示，其研究的“生物密码”，令“用户到哪里密码就跟随到哪里”“只有本人可用”。

　　其官网介绍，眼神科技是业内较早将指纹识别、人脸识别、虹膜识别等生物识别技术引入金融行业的AI企业，在金融行业，其目前已服务于中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、邮储银行、招商银行、民生银行等近150家银行机构，客户覆盖率达80%，实现柜面内外应用、手机银行、自助银行、风控管理等金融业务场景的全面覆盖。

　　2020年9月，眼神科技公司宣布中标交通银行人脸识别项目，向交通银行全行提供人脸识别产品，“在现金管理、支付结算及账户管理等业务场景中实现人脸活检及身份识别功能”。

　　在2021年9月，李红和其他女性被诈骗报案后，交通银行曾公告停用过人脸识别。这不久，马跃就发现交通银行手机银行系统进行了改版升级。但在这年10月，仍有一名受害人的交通银行账户被假人脸攻破。

　　目前，在交通银行手机银行用户协议中，人脸识别技术提供方仍是眼神科技公司，记者就此事联系了这家公司，但对方未给予答复。

　　板子该打在谁身上？

　　人脸识别系统被攻破，银行究竟有没有责任？浙江理工大学法政学院副教授郭兵告诉《中国新闻周刊》，在李红一案中，重点正是人脸识别系统被诈骗人员轻易攻破。

　　郭兵长期关注人脸识别的安全性。他认为，李红的人脸信息有可能被诈骗人员仿造了，“诈骗人员掌握了她的人脸信息，通过技术手段可以生成动态的人脸信息”。他说，有一种人脸活化软件，可分析照片和视频中的人脸信息，生成一张可供人操控的“假人脸”，来骗过人脸识别软件。

　　“我们的人脸识别技术不可能尽善尽美。”他提出，随着人工智能的发展，人脸识别软件和破解的活化软件都在发展，要谨防“道高一尺魔高一丈”。

　　事实上，被广泛应用的人脸识别技术，其破解难度有时简单得出乎意料。郭兵说，2019年，浙江有几名小学生用照片破解了居民小区的快递柜，轻易取走他人的快递。而在2021年10月，清华大学的学生团队，仅用人脸照片就成功解锁了20款手机。

　　“人脸的照片太容易获得了。”郭兵说，如果人脸识别系统用照片就能解锁，在遍布摄像头的当下，可能预示着巨大的隐患。

　　“现在电信诈骗非常猖獗，盗用人脸信息的手段层出不穷，也给银行的人脸识别系统带来挑战。”郭兵说，近期学界也对活化软件展开了研究，“这都是釜底抽薪的手段”。

　　他更担心的是，随着技术的发展，犯罪分子可能掌握了照片，就可“活化”出动态人脸，骗过人脸识别系统。

　　银行的防护能力关系到储户的资金安全。郭兵认为，应当对银行的人脸识别系统提出更高的要求。

　　在立法层面上，对人脸信息的保护正在逐步加强。在李红被诈骗几个月后，《个人信息保护法》正式生效，其中突出了作为敏感个人信息的生物识别信息的特别保护，规定“处理个人敏感信息应该进行更多的告知，包括相应的风险，以及应当取得个人的单独同意”。

　　在清华大学法学院教授劳东燕看来，银行普遍存在变相强迫采集储户人脸信息的现象。她说，“至少就我个人的体会，去银行办理存款等业务，人脸识别都是在强制之下弄的，如果不同意采集人脸就办不了相应业务。”

　　她告诉《中国新闻周刊》，尽管《个人信息保护法》强化了对人脸信息的保护，但这种强化其实只体现于征求同意的环节，其他地方和普通个人信息几乎没有差别，并没有在实质上抬高法律保护的门槛。

　　所以，她坚持认为，全国人大及其常委会有必要考虑对生物识别信息进行单独立法，不应放在《个人信息保护法》的框架下来进行保护。

　　她还提到，李红在银行办卡时被要求签署的《北京市公安局防范电信诈骗安全提示单》提示效果有限，“现在诈骗手段层出不穷，仅靠个人的警惕是很难防住的”。

　　在她看来，这个提示单对防范各种诈骗无法起到实质性作用，当储户被诈骗后，反而有可能起到让银行转嫁责任的效果。

　　“防范和打击犯罪，本应由国家、银行与相关单位承担主要责任，现在越来越多变相地转嫁到作为被害人的个人身上。”她指出，“过多地让弱者承担风险并不公平”。

　　劳东燕认为，要防范此类诈骗犯罪，重要的是在制度框架层面重新来考虑合理分配风险的问题。她说，“风险跟责任有关，谁制造的风险原则上就应当由谁来承担。”

　　她指出，人脸识别的推广和带来的风险，实际上是科技企业和银行制造的，在这其中，银行也比储户获得了更多科技带来的好处，“谁在其中获益最大，谁就应该承担与获益成比例的风险”。

　　“另外，还应当考虑预防能力与预防效果方面的因素，将板子打在谁身上，预防效果是最好的呢？”在她看来，银行的预防能力比储户要强得多，如果由银行部分地或按比例地承担因人脸识别风险造成的损失，将有助于督促银行审慎采集与保护储户信息，加强人脸识别系统的安全技术保障。

　　“银行对人脸信息的技术保障需要超过一般的犯罪手段，否则，银行就不应采集与使用储户的人脸信息。”她说。

美国乔治敦大学隐私与技术法律中心今年5月发布《美国的天罗地网：21世纪数据驱动下的驱逐》报告。经过两年调查，该中心发现ICE自2003年成立以来已成功建立了一个高效的监控网络，斥巨资拉网式收集大量美国居民的隐私数据，而且此举远远超出授权范围。

监控全美74%人口

“9·11”袭击事件后创建的ICE，被赋予打击恐怖主义和执行移民法的广泛权力。虽然ICE一直将自己定位为针对“犯罪外国人”的执法机构，但事实上，ICE跨越法律和道德界限，编织起庞大的监控系统。

除了利用各州和地方警察的资源，ICE还着手建立了来自执法部门之外的数据库，并大力投资追踪普通人群的项目。报告显示，2008年至2021年间，ICE花费约28亿美元进行新的监控、数据收集和数据共享计划，在监控项目上的年度支出在此期间增长近5倍，从每年约7100万美元飙升至约3.88亿美元。此外，ICE在地理定位提供商上花费了超13亿美元，在面部扫描等生物识别技术上也花费了约9600万美元，还有2.52亿美元用于访问国际公共安全和司法网络（Nlets）等关键政府数据库。

报告称，目前已知ICE掌握的权限可以访问高达74%美国人的驾照数据，跟踪城市中七成汽车的移动情况。就算搬入新家，74%的美国人一旦连接天然气、电力、电话或网络，ICE 就能第一时间自动获取其新地址。

“几乎可以追踪任何人”

乔治敦大学隐私与技术法律中心政策助理、研究报告的共同作者尼娜·王（音）表示：“ICE建立了一套全面的监控基础设施，能够随时追踪几乎任何人。该机构加强了几乎完全保密和不受惩罚的监控能力，避开了限制，可以在议员们的眼皮子底下行事。”

报告揭发ICE种种越线监控行为后，多个美国媒体也加入曝光行列。美国技术新闻网站《边缘》呼吁相关私营企业停止与ICE的合作，要求政府加强对此类合作的监管。美国《国会山报》还披露，疫情期间ICE开发了一款名为Smartlink的GPS手机软件用于追踪移民，并声称只是为了确保他们出席移民法庭的听证会，但该软件已经被用于大量没有犯罪记录和没有被拘留的移民身上，是否有其他隐蔽用途尚未可知。

三大渠道公然窃密

报告显示，ICE利用隐私法弱点，从三大渠道公然窃密，而美国联邦和州法律无力阻挡。

第一大渠道是直接要求美国各州车管局等州和地方官僚机构提供数据。有证据表明，ICE每年向各地车管所提出数百或数千个请求。1994年美国国会通过的一项保护驾驶员记录信息的联邦法律，未能考虑到联邦移民执法部门会主动侵犯司机们的隐私，致使ICE能顺利从车管所获取驾驶员数据。州一级的法律屏障则更为薄弱。

第二大渠道是通过政府数据库访问相关信息，同时购买人脸识别等服务协助分析相关数据。ICE部署的数据共享和数据收集程序，几乎获取到每个美国人的数据信息。与此同时，当ICE绕过城市和州颁布的庇护政策，从Nlets等政府数据库继续获取个人信息后，没有机构声称能对接下来的数据跟踪行为负责。

第三大渠道是从不受监管的数据代理人渠道收集公民公共设施使用记录及购买私营公司数据库。在针对公共设施使用记录数据的保护上，联邦隐私法和许多州的法律缺陷巨大。

报告显示，联邦现有的隐私法仅在银行等金融机构使用等有限情况下保护消费者信息，而绝大多数州未能采取有意义的隐私保护措施来限制向执法部门发布公用事业客户信息。例如，加利福尼亚州虽然立法禁止相关公司销售客户数据，但它并不能防止这些公司出于信用评估和其他目的向全国性的电信与公共事业信息交换中心（NCTUE）等公司免费共享客户信息。一旦信用检查结束，NCTUE就有权将其客户信息转售给如ICE等第三方。由此，ICE成功绕过法律限制，向私营公司数据库购买大量相关信息。

或许还有类似情况

某网络安全行业专业人士表示，“美国政府是名副其实的 ‘黑客帝国’‘窃密帝国’，它不但无差别地对全球实施网络攻击获取情报，而且对本国民众也同样实施全方位监控措施。”

该人士表示，美政府以“国家安全”的名义无视规则、突破底线的“双标”霸权行径非一日之功，在商业利益和“国家安全”这两大驱动力之下，ICE已经构建成型的庞大监控网络何时能被有效控制还未可知，类似ICE这样公然越权滥用公民个人隐私数据的“隐形”政府机构到底还有多少也是一个“细思极恐”的问题，“对内虎视眈眈，长期以非法手段监控美国公民，对外长臂管辖，辅以多方窃密和网络攻击，美政府编造的‘国家安全’种种说辞正一个接着一个被世人识破，成为美国谋求霸权最显著的政治注脚。”

据南京市公安局披露的信息，这一团伙以公司化模式运营，下设4个分公司，公司内部又设有推广、销售、教学、运营等部门。涉案团伙先以“无门槛开店”在各网络平台进行推广，吸引被害人在其网站开店，然后再以辅导开店为由，诈骗“辅导费”。“一对一”辅导套餐分白银、黄金、钻石、皇冠等4个等级，价格从4580元至12880元不等。

案件告破后，犯罪嫌疑人交代，公司所谓的金牌教师只有初、高中文化，他们向被害人展示的成功案例也是伪造的。被害人在网上开设的店铺最终多以退店、封店收场。

南京警方介绍，此案作案手段隐蔽，各环节环环相扣，涉案团伙甚至还会与被害人签订制式合同。涉案交易流水达1.4亿元，涉及全国各地被害人共计8000多名。警方抽样调查其中2000多人，发现仅有1人意识到这是诈骗并报警。

今年5月12日，南京警方出动800多名警力，将这个涉案团伙彻底摧毁，抓获犯罪嫌疑人450多人。目前，团伙主要犯罪嫌疑人已被批准逮捕，案件已移交检察机关办理。

漏洞编号为CVE-2022-29900 (AMD) 和 CVE-2022-29901 (Intel)，安全人员将这些问题称为 Retbleed。在将该漏洞信息上报AMD和Intel后，这两大芯片巨头已经发布了相关的缓解措施，并督促用户进行安全更新。

Retbleed是利用分支目标注入来泄漏信息的推测执行攻击系列的新成员，我们称之为 Spectre-BTI（CVE-2017-5715 或 Spectre-V2）。该攻击利用推测执行优化技术的副作用，通过时序侧通道来欺骗程序访问其内存空间中的任意位置并泄漏私人信息。

推测执行试图通过预测接下来将执行哪条指令，来填充程序的指令流水线以获得性能提升，同时如果猜测结果错误，也会撤消执行结果。Spectre系列攻击正式利用了这一漏洞，这些错误执行的指令（错误预测的结果）必然会在缓存中留下执行痕迹，从而导致流氓程序可以欺骗处理器执行错误的代码路径，和推断与受害者有关的秘密数据。

换句话说，Spectre 是瞬态执行攻击的一个实例，它依靠硬件设计缺陷来“影响”哪些指令序列被推测执行，并从受害者的内存地址空间中泄露加密密钥或密码。虽然已经设计了像Retpoline（又名“return trampoline”）这样的保护措施来防止分支目标注入 (BTI)，但 Retbleed 旨在绕过这种对策并实现推测性代码执行。

 AMD 和英特尔CPU 

安全人员称，Retpolines是通过替换间接跳转和返回调用来工作。Retbleed旨在劫持内核中的返回指令，以在内核上下文中获得任意推测性代码执行。通过在受害者返回指令处对寄存器和/或内存进行充分控制，攻击者可以泄漏任意内核数据。

简而言之，其核心逻辑是将返回指令视为用于推测执行的攻击向量，并强制将返回作为间接分支进行预测，从而有效地撤消 Retpoline 提供的保护。为了强化安全，AMD引入了所谓的Jmp2Ret，而英特尔则是使用增强的间接分支限制推测 ( eIBRS ) 来解决潜在的漏洞，即使 Retpoline 缓解措施。

英特尔在安全报告中强调，由于Windows 操作系统默认使用 IBRS，因此不受该漏洞的影响，自然也就不需要更新。目前英特尔与 Linux 社区合作，为该缺陷提供可用的软件更新。

7月9日，Ignitis Group在其Facebook上发布了一篇帖子，在帖子中，该企业表示，它已经能够管理和限制攻击对其系统的影响，并且没有记录任何违规行为。然而，该帖子还透露，针对其发动的DDoS攻击仍在进行中。 该国国防部副部长在立陶宛电台发表讲话时警告不要过度关注此类网络攻击。他认为，他们的主要目标是寻求媒体报道并推动该地区的紧张局势。在采访中，Margiris Abukevicius 表示，“我们需要了解，媒体报道是这些攻击的一个非常重要的部分。如果我们不谈论他们，对方就会失去动力。当我们谈论所谓的胜利，所谓的对立陶宛的惩罚时，它就会激励这些组织并且给他们带来攻击动力。”

自6月下旬立陶宛开始对运往波罗的海沿岸的俄罗斯飞地加里宁格勒的货物实施欧盟制裁以来，立陶宛的机构和企业遭受了广泛的网络攻击。Ignitis Group 是波罗的海国家最大的能源公司之一。 它在立陶宛、拉脱维亚、爱沙尼亚、波兰和芬兰开展业务，其核心业务包括发电和供热、电力和天然气贸易和分销。该集团的公司为大约160万商业和私人客户提供电力和天然气。

Ignitis Group 在新闻稿中表示，它正在与主管当局合作，并继续努力确保其网站和数字服务的可访问性。Ignitis Group业务负责人Edvinas Kerza说：“我们当前的首要任务是确保客户使用的集团网站和系统正常运行。工程完成后，我们将立即评估如何改进我们的流程并进一步加强系统，以便即使在如此大规模的攻击下，也能尽可能少地中断操作。”

据悉，这三个漏洞由安全软件公司ESET的分析师发现，并已经将其报告给了联想。根据联想的披露，这三个中等严重级别的漏洞分别为CVE-2022-1890、CVE-2022-1891 和 CVE-2022-1892。其中第一个为联想部分笔记本产品使用的ReadyBootDxe驱动的问题，后两个是SystemLoadDefaultDxe驱动的缓冲区溢出漏洞，该驱动被用于Yoga、IdeaPad、Flex、ThinkBook、V14、V15、V130、Slim、S145、S540 和 S940 等70多款电脑型号。

ESET的分析师表示，这些漏洞是由于传递给 UEFI 运行时服务函数 GetVariable 的 DataSize 参数验证不充分引起，攻击者可以创建一个特制的 NVRAM 变量，导致第二个 GetVariable 调用中数据缓冲区的缓冲区溢出。

总体而言，利用UEFI 固件漏洞的攻击非常危险，能让攻击者在操作系统刚启动时运行恶意软件，甚至在 Windows 内置安全保护被激活之前，从而绕过或禁用操作系统级别的安全保护、逃避检测，并且即使在磁盘格式化后仍然存在。对于一些经验丰富的攻击者，能够利用这些漏洞执行任意代码，对设备系统产生难以预估的影响。

为了解决这一风险，官方建议受影响设备的用户通过官网下载适用于其产品的最新驱动程序版本。

该公司在2月26日就发现了勒索软件攻击，虽然它聘请了专家，并通知了执法部门，但直到5月初才通知医疗服务提供商。随后PFC在一份声明中承认了入侵者通过进入系统文件访问了某些包含个人信息的文件。虽然该声明没有披露受数据泄露影响的个人信息数量，但卫生与公众服务部 (DHHS) 网站上的一份清单显示，有1,918,841人受到了此次勒索攻击的影响。不过PFC表示正在联系可能受到此次勒索攻击影响的个人，并将为他们提供免费的信用监控。

目前该部门目前正在调查这起事件，这也是截至目前今年的第二大受网络攻击影响的医疗事件。而第一个是Shields Health Care Group在5月报告的200万条记录被泄露。据DHHS 称，那次攻击可能影响了近200万条记录。

安全公司Egnyte的网络安全宣传总监 Neil Jones 警告说：“尽管目前没有证据表明被泄露的信息已被恶意使用，但攻击者等待合适的时机将被泄露的数据发布到网络上的情况并不少见。” 根据HIPAA Journal本月早些时候从DHHS 办公室收集的数据，自2011年以来，医疗违规事件一直在稳步上升。2011年，超过500次的违规记录达到199家。去年，这一数字达到了714家。

PFC 虽然在美国的知名度并不高，但它服务于数百家美国医院和医疗机构，因此本次勒索攻击可能成为今年美国历史上最大规模的私人和健康信息泄露事件。

PFC 表示本次数据泄漏将影响 650 家医疗提供商，黑客获取了患者名称、家庭住址、尚未偿还的结算金额和其他金融信息。PFC 表示部分数据还涉及患者的出生日期、身份证号码、医疗保险、药物救治等信息。

在提交给美国卫生与公众服务部的文件中，PFC 确认本次勒索软件攻击至少影响了 191 万患者。至少两家采用 PFC 系统的医疗机构出现了数据泄露，位于美国 Delaware 的 Bayhealth Medical Center 有 17481 名患者数据泄漏，在 Texas 的 Bayhealth Medical Center 有 1159 名患者信息被泄漏。

包括 TechCrunch 在内的多家媒体尝试联系 PFC 的首席执行官 Michael Shoop，但是均未得到恢复。公司总顾问 Nick Prola 出面回答了诸多媒体的询问，但是回答都是公文化的，并拒绝回答媒体的指定问题。这些问题包括公司在今年 2 月就已发现，为何在过去 4 个月时间里并没有通知受到影响的医疗服务提供商，以及被窃取的数据是否经过加密。

这个漏洞被安全研究人员称之为“RollingPWN”，主要利用本田的无钥匙进入系统的一个组件。目前本田的进入系统依赖于滚动代码模型，每次所有者按下 fob 按钮时都会创建一个新的进入代码。

在新进入代码创建之后，理论上此前创建的代码应该弃用以防止重放攻击。不过研究人员 Kevin26000 和 Wesley Li 发现旧代码可以回滚并用于获取对车辆的不必要访问权限。

研究人员对 2012-2022 年发售的多款本田车型进行了测试，均发现了这个漏洞。目前经过测试，已经确认受到影响的车辆型号包括

Honda Civic 2012

Honda XR-V 2018

Honda CR-V 2020

Honda Accord 2020

Honda Odyssey 2020

Honda Inspire 2021

Honda Fit 2022

Honda Civic 2022

Honda VE-1 2022

Honda Breeze 2022

根据漏洞影响车型列表和成功测试情况，Kevin26000 和 Li 坚信该漏洞可能会影响所有本田汽车，而不仅仅是上面列出的前十个。

为漏洞提供修复可能与漏洞利用本身一样复杂。本田可以通过无线 (OTA) 固件更新修复该漏洞，但许多受影响的汽车不提供 OTA 支持。更大的潜在受影响车辆池使得召回情况不太可能发生。

目前，Kevin26000 和 Li 正怀疑该漏洞是否也存在于其他车企的车辆型号中。

vx-underground发推说：“ALPHV勒索软件组织（也称为BlackCat）称已经勒索了万代。万代是一家国际电子游戏发行商，旗下游戏系列有《皇牌空战》《黑暗之魂》《龙珠》《刀魂》以及更多。”

勒索软件是网络犯罪分子用来向受害者勒索金钱的一种恶意软件。犯罪者通常会通过加密受害者的文件并威胁说除非支付赎金，否则将公开释放这些文件，从而阻止受害者访问自己的数据。

《赛博朋克》《巫师》发行商CDPR去年也遭到了勒索软件攻击，据报道当时的勒索软件叫HelloKitty。CDPR被偷取的数据2021年6月泄露在网络上，包括《赛博朋克2077》《巫师3》的源代码，可能还有员工信息。

此外EA去年也遭到了勒索软件攻击，当时黑客偷取了《FIFA 21》和公司寒霜引擎的源代码。

金山表示，“近期一位用户分享的在线文档链接，涉嫌违规，我们（WPS）依法禁止了他人访问该链接。此事被讹传为‘WPS删除用户本地文件’。关于删除用户本地文件的说法纯属误导，我们将保留通过法律途径维护合法利益的权利。”

WPS也通过官微表示，“删除用户本地文件”的说法属于讹传。近期一位用户分享的在线文档链接涉嫌违规，WPS依法禁止了他人访问该链接。

WPS作为一个发展了30多年的办公软件，始终把用户体验和保护用户隐私放在第一位。关于删除用户本地文件的说法纯属误导，我们将保留通过法律途径维护合法利益的权利。

不过爆料WPS删除用户文件的网友@“米兔只想赚钱”在界面新闻的采访中又表示自己从未说过本地文件被删，只是被封锁，无法打开。

WPS被曝删除用户文件 律师：不认为有正规企业会这么做

那WPS软件是否真的会删除用户文件呢？对于这件事，界面新闻报道称，上海申伦律师事务所夏海龙律师给出了他的看法。

夏律师表示，根据WPS的声明，他们只会审查用户上传到云平台的文档，而不会审查本地文件。假如WPS真的审查了用户的本地文档，很明显侵害了用户的隐私权，因为文档中一定有一些属于用户个人的、不想公开的信息内容，此外也有可能会侵犯用户的商业秘密。

夏律师表示，“我倾向于不会有正规软件企业去做这样的事，因为（不做的话则）WPS完全不需要对用户个人电脑中的内容承担任何法律义务和风险，这也属于明显突破网络服务业底线的事情。”

位于欧洲中部的列支敦士登大学的学术研究人员称，只需利用一种极为简单的网络干扰策略，恶意黑客就能在毫不知晓内部情况的情况下破坏5G网络的流量，即便对方部署了先进防御措施。该研究团队称，攻击的关键在于使用对抗性机器学习（ML）技术，这类技术不依赖于任何先验知识或对目标网络的前期侦察。

在7月4日发表的研究论文中，该团队描述了新一代5G网络可能面临的一类全新对抗性机器学习攻击。这篇论文题为《荒野网络：5G网络基础设施面临对抗性实例》，由Giovanni Apruzzese、Rodion Vladimirov、Aliya Tastemirova和Pavel Laskov共同撰写。

随着5G网络技术的部署，越来越多设备借此进行流量传输，过去传统的网络数据包管理方法不再适用。研究人员指出，为了解决这个问题，不少电信运营商开始利用机器学习模型，对流量进行分类和优先级排序。

事实证明，这些机器学习模型正是5G网络体系中的软肋。只要混淆这些模型并重新调整其优先级排序，恶意黑客即可实现流量篡改。研究人员提到，通过利用垃圾流量淹没网络，这种名为“近视攻击”可以“拿下”5G移动设备。

研究人员写道，这种攻击方式的基本思路是对数据集做出轻微篡改。通过执行一系列简单操作，如附有额外数据的数据包请求等，机器学习模型将会获得预期之外的信息。随着时间推移，这些有毒请求将逐步改变机器学习软件的行为、阻止合法网络流量，并最终拖慢甚至中止数据流传输。

虽然这一攻击手段的真实效果，具体取决于5G网络类型以及实际部署的机器学习模型，但研究人员的实验室测试提供了令人心忧的结果。在6次实验测试中，他们在没有运营商、基础设施或机器学习知识的情况下成功了5次。

Apruzzese在采访中表示，“只需将垃圾数据附加至网络数据包中，即可轻松实现攻击。事实上，其中一次测试甚至证明，即使网络数据包的有效载荷与目标ML模型毫无关系，攻击也能获得成功。”

从长期来看，这种攻击手段造成的影响相对没那么恶劣。但由此引发的服务中断和网络传输减缓，还是会给那些希望使用5G网络的用户带来困扰。

研究团队解释道，这项研究的最大意义，在于提醒人们必须找到一套更加强大的模型，用于测试和解决未来5G网络内实际部署的机器学习模型中的种种漏洞。

研究团队写道，“5G范式催生出一类新的有害对抗性ML攻击。这类攻击的准入门槛较低，而且现有对抗性ML威胁模型无法对其做出定性。此外，这也提醒我们必须对这类漏洞做出主动评估。”

一段时间以来，对抗性机器学习与人工智能（AI）一直是信息安全社区的关注重点。虽然人们认为野外出现的真实攻击数量极少，但已经有多位专家警告称，算法模型可能极易受到有毒数据的影响，最终被恶意黑客玩弄于股掌之间。

研究是通过HTTP GET请求在IPv4基础设施上进行的。研究人员没有进行任何侵入性检查来精确衡量这些服务器所呈现的暴露程度，但研究结果表明，Kubernetes API服务器领域可能存在普遍性问题。

“虽然并不意味着这些实例完全开放或容易受到攻击，但这种访问级别很可能并非有意设置，这些实例是不必要暴露的攻击面。”Shadowserver在报告中称，“甚至还暴露了版本和构建信息。”

最密集的暴露API服务器集群位于美国，大约存在20.1万个开放API实例，占全部所发现开放服务器的53%。

围绕API安全问题的研究越来越多，这份报告提供了又一证据，表明很多组织都没有准备好防范、响应潜在API攻击，甚至都不了解此类攻击。

API安全事件所致数据泄露

根据Salt Security最近发布的《2022年API安全状态》报告，大约34%的组织完全没有API安全策略，另有27%的组织表示只制定了基本策略，仅包括最低限度的API 安全状态扫描和人工审查，毫无控制或管理措施。Noname Security委托451 Research开展的另一项研究发现，41%的组织在过去12个月内经历过API安全事件。其中，63%涉及数据泄露或遗失。

现代应用程序和云基础设施中，潜在API攻击面的范围十分巨大。根据451 Research的研究，大型企业平均有超过2.5万个API连接其基础设施，或在其基础设施中运行。而且这个数字注定还会继续增长。Gartner最近发布的2022年预测文档中，分析师表示，“由于API的爆炸性增长超过了API管理工具的管控能力”，三年后能够得到合理管控的企业API数量将不足50%。

Shadowserver发现的Kubernetes服务器暴露情况，反映出当今云安全领域中存在一个特别严重的问题。API往往是云基础设施管理中最弱的一环，因为它们往往位于控制平面核心位置，而控制平面负责处理云基础设施和应用程序的配置。

“所有云数据泄露都遵循相同的模式：控制平面损坏。控制平面是配置和运营云的API界面。API是云计算的主要驱动力，可将其视为‘软件中间人’，可供不同应用程序相互交互。”Snyk首席架构师兼Fugue（最近被Snyk收购）创始人Josh Stella解释道，“API控制平面是用于配置和操作云的API集合。但很遗憾，安全行业仍然落后于黑客，许多供应商解决方案并不能保护他们的客户免受针对云控制平面的攻击。”

在预测报告中，Gartner分析师认为，新兴的云和应用程序架构是现代应用程序开发持续交付模式的核心，而不断涌现的新建API是这一新兴架构不可或缺的一部分。

“这种情况类似早期的基础设施即服务（IaaS）部署，因为不受监管的API使用一路飙升。随着架构和运营技术的不断成熟，安全控制试图在新问题上应用旧范式。”Gartner表示，“这些控制措施可以作为临时解决方案，但安全控制和实践需要很长时间才能赶上新的架构范式。”

上周，一个名为 RansomHouse 的勒索组织声称，已从 AMD 窃取了 450Gb 数据，而一切都要“归功于 AMD 员工设置的弱密码”。

一、不是“勒索软件组织”，而是“专业调解员”

RansomHouse 最早于 2021 年 12 月开始活跃，当时它泄露了加拿大萨斯喀彻温省酒类和博彩管理局（SLGA）的数据，由此“一炮而红”。

与其他网络犯罪组织相比，RansomHouse 有些“特别”。它并不认为自己是一个“勒索软件组织”，反而将自己定义为“专业调解员”，还表示从未生产过勒索软件或加密数据：

我们与任何违规行为无关，也不生产或使用任何勒索软件。我们的主要目标是尽量减少相关方可能遭受的损害。RansomHouse 成员更喜欢常识、良好的冲突管理和明智的谈判，以努力实现各方义务的履行，而不是无建设性的争论。这些都是促成友好协议、甚至是富有成效的友好合作所必需的必要和充分原则。

尽管这番自我介绍再怎么“清新脱俗”，RansomHouse 入侵公司窃取数据的行为仍一桩接着一桩：前脚刚声称从非洲最大零售商 Shoprite 获得了 600 GB 数据，后脚还有心情为公开下一个已入侵公司，在 Telegram 上发布谜语：

我们准备了一个新的惊喜！首先，有一个小谜题给你：第一个解开它的人将会得到相关链接。那么，请说出这个公司的名字：

1)几乎每个人都知道

2)名称由 3 个字母组成

3)第一个字母是 A

只要在这个频道写下你的猜测，之后你就可以在私人邮件中获得链接。随后在一周之后，RansomHouse 公布了答案：AMD，并补充道“你将十分惊讶于他们如何保护其安全性”。

二、“一切都归功于这些密码”

据 RansomHouse 表示，早在 2022 年 1 月它就已成功入侵 AMD 的内部网络，窃取了“超过 450 Gb”的数据。为此，RansomHouse 还发布了一个数据样本作为证据，其中包括网络文件、系统信息和弱密码文档：

RansomHouse 在其网站上写道：“这是一个高科技、进步和高度安全的时代，这句话对人们来说意义重大。但是当像 AMD 这样的科技巨头使用简单密码，如用‘password’来保护其网络不被入侵时，这句话似乎仍只停留在表面的美丽。很遗憾的是，这就是 AMD 员工使用的真实密码，对 AMD 安全部门来说更是丢脸，由于我们窃取的文件，他们还得到了一大笔建设资金——这一切都归功于这些弱密码。”

原以为 RansomHouse 的说法不过是“夸大其词”，但根据 TechCrunch 对其公开数据样本的分析结果表明，RansomHouse 并不是在开玩笑：部分 AMD 员工使用的密码的确过于简单，如 “password”、“123456”和“Welcome1”等等——对黑客来说，入侵 AMD 内部系统简直易如反掌。

但这也更令人迷惑：AMD 这么偌大一个芯片巨头，居然没有对其系统进行任何安全检查以确保员工使用强密码？或者说，进入 AMD 内部系统竟无需其他步骤，仅需一个密码即可？

“AMD 和任何高科技公司都应该要求对所有登录进行抗网络钓鱼的多因素认证。如果不能使用 MFA，也该要求强大独特的密码。”一位来自安全意识培训平台 KnowBe4 的专家 Roger Grimes 表示：“讽刺的是，AMD 员工还在使用像’password’这样的密码来访问关键网络，这真的无法理解。”

三、AMD：目前正在进行调查

在 RansomHouse 宣告“谜底”的当天，AMD 进行了回应：“AMD 知道有不法分子声称拥有从 AMD 窃取的数据，目前正在进行调查。”但有关是否被要求交付赎金、哪些系统已成为目标、客户数据是否被访问、是否设置了密码安全措施等提问，AMD 一律拒绝回答。

反观 RansomHouse 主页的“受害者”名单，加上 AMD 之后已有六名，最近的两名即为 Shoprite 和 AMD：

此外，从 RansomHouse 对这份名单的描述来看，其窃取数据的主要目的是为了钱：“这些公司要么认为他们的经济利益高于将数据委托给其他人的利益，要么就是选择隐瞒他们的数据已被泄露的事实。”

不过据 BleepingComputer 报道，RansomHouse 没有直接联系 AMD 索要赎金，而是打算将数据出售给其他实体或其竞争对手，因为这将“更有价值”。

最后，你对 AMD 因员工的弱密码导致数据泄露的事件有何看法？NPM 供应链攻击影响数百个网站和应用程序

出于职业本能，银行工作人员仔细查看了这笔钱的由来，发现是一笔贷款，并且贷款人的信息就是李女士本人！

不看不知道，一看吓一跳，于是银行工作人员决定立即报警。

警方了解到，原来李女士在网上购物后，接到“客服”电话，称多收了李女士的钱，要返还给她，于是获悉了李女士个人的身份信息，包括银行卡号和身份证号。

诈骗人员进而利用李女士的个人信息，在相关软件上办理的贷款，等钱到账后，便联系到李女士，谎称打错了，要求其退还，进而将李女士本身的钱骗走。

“万豪国际知道有一个威胁者利用社会工程骗取了一家万豪酒店的一名员工，以让他访问了该员工的电脑，”万豪发言人Melissa Froehlich Flood在一份声明中告诉TechCrunch，“（不过）该威胁者没有进入万豪的核心网络。”

万豪表示，在威胁者联系公司进行敲诈之前，连锁酒店已经发现并正在调查这一事件，万豪表示它没有支付这笔钱。

声称对这次攻击负责的组织称，被盗的数据包括客人的信用卡信息及客人和员工的机密信息。提供给Databreaches.net的数据样本据称显示了从2022年1月开始的航空公司机组成员的预订记录和客人的姓名和其他细节以及用于预订的信用卡信息。

然而，万豪酒店告诉TechCrunch，其调查确定，被访问的数据主要包含有关酒店运营的非敏感内部业务文件。

该公司表示，它正在准备通知300-400人有关这一事件并已通知相关执法机构。

这并不是万豪第一次遭遇重大数据泄露事件。2014年，黑客入侵该连锁酒店并获取了全球近3.4亿条客人记录--这一事件直到2018年9月才被发现并导致英国信息专员办公室处以1440万英镑的罚款。2020年1月，万豪在一次单独的事件中再次被黑，该次事件影响了约520万名客人。

TechCrunch询问万豪有哪些网络安全保护措施来防止此类事件的发生，但这家公司拒绝回答。

故障发生后，KDDI用户的手机均显示没有信号，无法接打通话，手机上网也时好时坏。

日本消防厅等有关部门呼吁，受影响用户可使用固定电话或公用电话求助，而KDDI门店一度涌入了大量求助用户。

同时，日本全国约1300个气象观测点有接近四成瘫痪，在台风逐渐逼近的情况下引发不小恐慌。

此外，部分银行自动取款机、公交乘车卡、丰田等车企部分车联网服务，也都无法使用；铁路货运物流信息系统更新迟滞，快递普遍延误。

一直到7月3日中午12时左右，故障才得到解决，持续超过36个小时，而且通信量依然限流，全面恢复时间待定。

日本总务大臣表示，本次通信故障已经构成了日本电信相关法规认定的重大事故。

KDDI是日本第二大移动运营商，旗下手机用户约3100万人，再加上租用其线路的其他运营商，这次故障影响的用户数量最多3915万人。

去年10月，日本最大移动运营商NTT也曾发生通信故障，大约100万人受到影响，持续长达29个小时。

挪威首相乔纳斯·加尔·斯托尔（Jonas Gahr Støre）表示，据他所知，此次攻击“并未造成任何重大损失”。

挪威国家安全局指出，此次分布式拒绝服务（DDoS）攻击目标是一个安全的国家数据网络，导致在线服务停摆数小时。

国家安全局负责人Sofie Nystrøm称，某个亲俄网络犯罪团伙很可能就是此次攻击的幕后黑手。她补充说，这次攻击“也让我们感受到，挪威已经身陷欧洲当前复杂的政治局势当中。”

据挪威媒体报道，该国外交部已于本周三传唤驻莫斯科大使，原因是俄罗斯抱怨供应品无法通过挪威转运至北极地区的巴伦支堡煤矿定居点。

巴伦支堡定居点位于挪威大陆以北800多公里的斯瓦尔巴群岛。由于俄乌战争爆发，欧盟开始对多种俄罗斯商品实施制裁。挪威虽然不是欧盟成员，但在大部分事务上仍遵循欧盟立场。根据1920年签署的条约，挪威对斯瓦尔巴群岛拥有主权，但其他签署国同样有权开发其自然资源。

就在挪威遇袭的两天前，类似的攻击也曾摧毁立陶宛的公共与私营网站。

一周前，立陶宛遵照欧盟指示，限制通过该国向俄罗斯领土飞地加里宁格勒运送钢铁与黑色金属，俄罗斯官员表示将进行回应。据报道，一个亲俄黑客团伙已经宣称对此次事件负责。

2022 年 7 月 1 日，OSCS 监测到 GitLab 曝出远程代码执行漏洞。该漏洞等级较为严重，CVE 编号为 CVE-2022-2185。

GitLab 中授权用户可以导入恶意制作的项目导致远程代码执行，攻击者可利用该漏洞执行任意远程代码，OSCS 建议各位开发者关注漏洞风险。

GitLab 是美国 GitLab 公司的一款使用 Ruby on Rails 开发的、自托管的、Git（版本控制系统）项目仓库应用程序，开发者可通过 Web 界面访问公开或私人项目。

0x02   风险等级

360CERT对该漏洞的评定结果如下

评定方式 等级

威胁等级 严重

影响面 广泛

攻击者价值 高

利用难度 低

360CERT评分 9.9

0x03   漏洞详情

CVE-2022-2185: GitLab远程代码执行漏洞

CVE: CVE-2022-2185

组件: GitLab

漏洞类型: 代码执行

影响: 服务器接管

简述: 该漏洞存在于GitLab社区版（CE）和企业版（EE）中，授权用户可以导入恶意制作的项目导致远程代码执行。

0x04   影响版本

组件 影响版本 安全版本

GitLab CE/EE <14.0版本 14.10.5

GitLab CE/EE <15.0版本 15.0.4

GitLab CE/EE <15.1版本 15.1.1

0x05   修复建议

根据影响版本中的信息，排查并升级到安全版本。

0x06   产品侧解决方案

若想了解更多产品信息或有相关业务需求，可移步至http://360.net。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人获取对应产品。

360安全卫士团队版

用户可以通过安装360安全卫士并进行全盘杀毒来维护计算机安全。360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

0x07   时间线

2022-06-30 Gitlab官方发布通告

2022-07-01 360CERT发布通告

使用常用密码对网络发起攻击以获取访问权限，这对于黑客而言并称不上什么高科技。但是这次情况却有所不同。

一般来说，公司员工登录公司系统都有自己的账号密码上吧，问题就出现在这些登录密码上。

AMD 只使用了" 简单的密码来保护其网络。在这样一个科技发达的时代，即使像 AMD 这样的科技巨头也只是使用一些简单密码，而且这些密码确实是 AMD 员工正在使用的，对此我们感到很遗憾，但对 AMD 安全部门来说会更丢脸，毕竟他们还因为数据泄露得到了一笔建设资金。"

这个犯罪团伙声称，他们只是多试了几次员工密码，就轻松地登进了 AMD 系统，轻松窃取了450GB的数据，其中包括 " 网络文件、系统信息以及 AMD 密码 "。

根据Restore Privacy报告，犯罪集团表示，他们已将部分数据发布到“泄露网站”，并利用该网站刺激受害者为被盗信息支付赎金。

关键网络访问密码是‘ password ’，离谱？！

这个名叫 RansomHouse 的黑客组织表示，早在 1 月的时候，就已经入侵并窃取了 AMD 的数据，为了证明所言属实，该组织发布了一个数据样本作为证据。

被盗数据包括一些研究数据和财务信息，RansomHouse表示正在对这些数据进行分析，以确定其价值。除了据称从AMD的Windows域收集的一些包含信息的文件外，威胁行为者没有提供任何证据来证明这些被盗数据。这些数据包括一份泄露的CSV文件，其中包含7万多台设备，似乎属于AMD的内部网络，以及一份所谓的AMD公司用户凭据清单，其中包括弱密码，如“password”，“P@ssw0rd”，“AMD !”23日”和“Welcome1。”

Restore Privacy 也收到 RansomHouse 的提示，AMD 数据样本已经在该组织的网站上泄露：

为了使整个过程更“有趣”。6月20日，该组织在Telegram 中宣布，它入侵了一家大公司，并以竞赛的形式猜谜，看是否有人能猜对：

一直到6月28日，AMD才发表声明称，该公司已经知道一些罪犯声称从amd窃取了数据，该公司目前正在调查这一情况。

“具有讽刺意味的是，AMD员工仍然使用‘password’作为关键网络访问的密码，”Gurucul 补充道。“在拥有熟练安全工程师的公司里，这种情况是如何发生的？坦率地说，这是不可理解的。是时候更改所有密码并清理安全控制了。真的，是时候了。”

不是黑客，是" 专业调解员 "

RansomHouse 于 2021 年 12 月开始运营，它的首个目标是萨斯喀彻温省酒类和博彩管理局 ( SLGA ) 。

本月早些时候，RansomHouse因泄露非洲最大零售连锁店shoprite的数据而臭名昭著。

现在，AMD已正式成为新的受害者。Ransomhouse的黑暗网站列出了来自世界各地的六名受害者。Ransomhouse对这些受害者的描述如下：这些公司要么认为他们的经济利益大于将其数据委托给其合作伙伴/个人的利益，要么选择隐瞒他们被泄露的事实。

与其他网络犯罪组织相比，他们并不声称是一个“勒索软件”组织。他们一直称自己为" 专业调解员社区 "。

此外，该组织还表示，他们没有生产勒索软件或加密数据，这与其他臭名昭著的勒索软件组织有很大不同。勒索主页网站还写道：我们与任何违规行为无关，也不生产或使用任何勒索软件。我们的主要目标是尽量减少对相关方可能造成的损害。

但此前也曝出了一份有关勒索软件的说明，上面清楚地表明他们与勒索软件组织有关。

对于本次事件的更新进展，以及 RansomHouse 的后续计划，我们也将持续关注。

从技术角度来看，当各种Amazon应用程序接口(API)对用户进行身份验证时，就需要Amazon访问令牌，其中一些接口在攻击期间可能会暴露用户的个人身份信息(PII)。其他一些应用程序接口，像Amazon Drive API，可能允许威胁参与者获得对用户文件的完全访问权限。

根据Checkmarx的说法，该漏洞源于照片应用程序组件之一的错误配置，这将允许外部应用程序访问它。每当启动此应用时，它会触发一个带有客户访问令牌的HTTP请求，而接收该请求的服务器就能被其控制。

研究人员表示，在掌握这一点后，安装在受害者手机上的恶意应用程序可能会发送一个指令，并发送请求到攻击者控制的服务器上。当攻击者有足够的操作空间，勒索软件就很容易成为可能的攻击载体，恶意操作人员可以读取、加密和重写客户的文件，同时还能删除他们的历史记录。

目前，亚马逊已经确认并修复了其安卓照片应用程序中的一个漏洞，但该应用程序在 Google Play 商店的下载量已超过 5000 万次。

今年3月，网安部门前往广西某实业集团有限公司进行网络安全检查时发现，该公司使用“某优品APP”向用户提供购物优惠信息。

该APP在未向用户明示的情况下获取了手机精准定位、存储空间、电话、相机、麦克风等8项权限，并收集相关用户信息。

民警通过调取APP客户端与服务器端交互数据发现，该APP在未向用户明示的情况已经采集了2万余人的身份证信息和手机号码、IMEI号等个人信息且上述数据未经过加密存储处理。

网安部门依据《中华人民共和国网络安全法》对其作出警告的行政处罚，并责令限期整改。

今年4月，网安部门前往桂林某网络有限责任公司进行网络安全检查时发现：

该公司为荔浦市某单位开发的某APP，在未取得用户同意的情况下获取了手机精准定位、存储空间、电话、相机、通信录等7项权限，并收集用户注册信息4万余条，且数据未经过加密存储处理。

针对该网络公司超范围收集公民个人信息的和不履行网络安全义务的违法行为，网安部门依据《中华人民共和国网络安全法》对其做出警告的行政处罚，并责令限期整改。

今年4月，网安部门前往桂林某网络科技有限公司进行网络安全检查时发现：

该公司开发使用的某接亲婚庆APP，收集用户注册信息13万余条，存储了用户车辆注册信息和驾驶人员信息5万余条，且数据未经过加密存储处理，该公司未落实网络安全责任，未明确网络安全负责人，未落实网络安全等级保护制度，未采用相关网络安全防护技术措施。

针对该网络公司超范围收集公民个人信息的和不履行网络安全义务的违法行为，网安部门依据《中华人民共和国网络安全法》对其做出警告的行政处罚，并责令限期整改。

休闲娱乐APP实例

今年4月，网安部门前往桂林某网络科技有限公司进行网络安全检查时发现：

该公司开发使用的某影音类APP，在未取得用户同意的情况下获取了手机位置信息、存储空间、录音、电话、相机、麦克风等8项权限，该APP后台存储了用户手机号码信息3万余条，且数据未经过加密存储处理，该公司未落实网络安全责任，未明确网络安全负责人，未落实网络安全等级保护制度，未采用相关网络安全防护技术措施。

针对该网络公司超范围收集公民个人信息的和不履行网络安全义务的违法行为，网安部门依据《中华人民共和国网络安全法》对其做出警告的行政处罚，并责令限期整改。

网警提醒

对公民个人信息的收集、使用、保存都必须符合《网络安全法》等相关法律法规要求。

违反相关规定，将被处以警告、没收违法所得，罚款等行政处罚，情节严重的，将被处以暂停相关业务、停业整顿、关闭网站、吊销许可证或营业执照等处罚。

公民个人信息受法律保护，任何侵犯公民个人信息的违法犯罪行为，必将受到法律的制裁。

相关单位要加强内部人员管理，防止公民信息从内部泄露，同时加强网络安全保护，防止黑客入侵造成信息泄露！

公安机关将继续大力加强网络生态治理，打击和震慑“侵公”违法行为，全力维护网络空间安全。

7月起雪糕刺客或将无处遁行

市场监管总局发布的《明码标价和禁止价格欺诈规定》7月1日起施行。《规定》明确了经营者不得实施的七种典型价格欺诈行为，包括谎称商品和服务价格为政府定价或者政府指导价；

以低价诱骗消费者或者其他经营者，以高价进行结算；通过虚假折价、减价或者价格比较等方式销售商品或者提供服务；

销售商品或者提供服务时，使用欺骗性、误导性的语言、文字、数字、图片或者视频等标示价格以及其他价格信息；无正当理由拒绝履行或者不完全履行价格承诺；

不标示或者显著弱化标示对消费者或者其他经营者不利的价格条件，诱骗消费者或者其他经营者与其进行交易；通过积分、礼券、兑换券、代金券等折抵价款时，拒不按约定折抵价款。

《明码标价和禁止价格欺诈规定》还明确了网络交易经营者不得实施的行为，包括在首页或者其他显著位置标示的商品或者服务价格低于在详情页面标示的价格；

公布的促销活动范围、规则与实际促销活动范围、规则不一致；其他虚假的或者使人误解的价格标示和价格促销行为等。

最开始又不说，突然变卦，这是玩的哪一出？？？

其实，除了长安，日产、比亚迪、小鹏的远程监控功能前不久也统统被禁了。

事出必有因，去年 10 月 1 日起正式施行的《汽车数据安全管理若干规定（试行）》，写满了答案。

智能车数据，不让随便用了？

《汽车数据安全管理若干规定（试行）》，是中国第一部针对汽车数据安全制定的法规，由国家网信办、发改委、工信部、公安部、交通运输部联合发布。

法规一共十九条，通过界定汽车数据和监管主体，对数据处理原则做出了规定，同时明确了数据处理者的义务，并制定跨境数据传输规则，初步建立了中国汽车数据安全的合规框架。

该法规最大亮点在于，明确了用户在数据收集上的主动权，各大车企、软硬件供应商、自动驾驶公司们，不能像以前一样无序收集和滥用汽车数据了。

一句话概括就是，无论车内车外，一切数据和隐私都要得到尊重和保护，而且还要进行分级保护。

车内的问题还比较好解决，提前告知并且征得个人同意就行。

关键在于车外，一方面是采集车外个人信息，另一方面是向车外提供信息。

而且现在的车，随随便便就是 6 个、7 个 800 万像素摄像头，车在路上跑，摇身一变，成了行走的高清监控头。

道路上的地理信息、人流量、车流量啊，什么都能被拍进去，而且通常是神不知鬼不觉的。

所以，该法规要求数据尽量在车内处理，除非确有必要不向车外提供。

如果实在要收集车外个人信息，并且向车外提供怎么办？

法规规定，应当进行匿名化处理，包括删除含有能够识别自然人的画面，或者对画面中的人脸信息等进行局部轮廓化处理等。

大意就是，要给画面中的人脸和车牌号等关键信息打上马赛克，总之看不清就对了。

除此之外，法规还对数据处理者提出了两大要求。

一个是默认不收集原则，除非驾驶人自主设定，每次驾驶时默认设定为不收集状态。意思是每次收集数据前都需要征得用户同意。

另一个是精度范围适用原则，即根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率。意思是要求车企们量体裁衣，不要为了智能而智能，够用就行。

最后值得一提的是，该法规对汽车数据明确划分了三个层次。

除了个人信息、敏感个人信息外，保护力度最大的就是重要数据，即一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益或者个人、组织合法权益的数据。

具体来看，该法规明确指明了六类重要数据：

军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据；

车辆流量、物流等反映经济运行情况的数据；

汽车充电网的运行数据；

包含人脸信息、车牌信息等的车外视频、图像数据；

涉及个人信息主体超过 10 万人的个人信息；

国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。

法规要求，在处理重要数据时，汽车数据处理者应当按照规定开展风险评估，并在每年十二月十五日前向省、自治区、直辖市网信部门和有关部门报送风险评估报告。

如果重要数据要“出境”，应当通过国家网信部门会同国务院有关部门组织的安全评估。

新法规产生了啥影响？

无独有偶，今年 4 月出台的《关于进一步加强新能源汽车企业安全体系建设的指导意见》，也对汽车数据安全提出了类似的要求：

企业要切实履行数据安全保护义务，建立健全全流程数据安全管理制度，采取相应的技术措施和其他必要措施，保障数据安全。企业要按照法律、行政法规的有关规定进行数据收集、存储、使用、加工、传输、提供、公开等处理活动，以及数据出境安全管理。

新法规接踵而至，影响却可能刚刚开始。

一方面，车企、软硬件供应商们已经纷纷展现了隐私脱敏工作，俗称打码。

个人信息安全、图像脱敏等开始成为新功能、新专利。

比如上汽发布了网络安全管控标准 2.0 版本，新增了车云协同信息安全和个人信息保护安全模块。

地平线从去年 9 月底起，就陆陆续续申请了 4 个“图像脱敏”的相关专利，目的也是为了提升用户隐私数据的安全性。

商汤科技还对“汽车传输视频及图像脱敏技术要求与方法”进行标准立项，希望构建一套安全可靠高效的数据回传闭环系统。

另一方面，摄像头为核心的传感器，之前无序扩张的状态将被终结。

比如以上汽智己 L7 为代表，一度为新车设计和配备了三颗总计一亿五千万像素的 Carlog 智能车载摄像系统，并且就置于头顶视野最好的位置。

而在此之前，智能车的摄像头内卷，也基本就 800 万像素水平…

不过现如今新规出炉，智己 L7 也开始强调，摄像头“主要是针对风景拍摄，如果牵涉到人脸等敏感信息，传输到车外会做模糊化处理。”

但可以预见的是，在精度范围适用原则下，这个一亿五千万像素的摄像系统是否能一以贯之下去，也被打上了问号。

最后，也是会对所有潜在车主和消费者产生的影响。

一些机关和关键单位工作的车主，还能愉快开智能车吗？

从技术角度来看，当各种Amazon应用程序接口(API)对用户进行身份验证时，就需要Amazon访问令牌，其中一些接口在攻击期间可能会暴露用户的个人身份信息(PII)。其他一些应用程序接口，像Amazon Drive API，可能允许威胁参与者获得对用户文件的完全访问权限。

根据Checkmarx的说法，该漏洞源于照片应用程序组件之一的错误配置，这将允许外部应用程序访问它。每当启动此应用时，它会触发一个带有客户访问令牌的HTTP请求，而接收该请求的服务器就能被其控制。

研究人员表示，在掌握这一点后，安装在受害者手机上的恶意应用程序可能会发送一个指令，并发送请求到攻击者控制的服务器上。当攻击者有足够的操作空间，勒索软件就很容易成为可能的攻击载体，恶意操作人员可以读取、加密和重写客户的文件，同时还能删除他们的历史记录。

此外，Checkmarx说，他们在研究中只分析了整个亚马逊生态系统里的一小部分API，这就意味着使用相同令牌的攻击者也有可能访问其他Amazon API。

在发现这组漏洞后，Checkmarx第一时间联系了Amazon Photos开发团队。“由于该漏洞的潜在影响很大，并且在实际攻击场景中成功的可能性很高，亚马逊认为这是一个严重程度很高的问题，并在报告后不久就发布了修复程序。”

根据一直跟踪AstraLocker的ReversingLabs的说法，攻击者似乎并不关心侦察、有价值文件、以及潜入内网横向移动等。相反，他们追求以最大的力量发起对目标的攻击，来换取快速回报。

勒索软件AstraLocker 2.0使用的诱饵是一个Microsoft Word文档，该文档隐藏了一个带有勒索软件有效载荷的OLE对象，其中嵌入式可执行文件的文件名为“WordDocumentDOC.exe”。要执行有效负载，用户需要在打开文档时出现的警告对话框上单击“Run”。这种处理方法符合Astra的整体“击杀-抓取”策略，选择OLE对象而不是恶意软件发行版中更常见的VBA宏。

另一个选择是使用 SafeEngine Shielder v2.4.0.0 来打包可执行文件，这是一个非常陈旧过时的打包程序，几乎不可能进行逆向工程。在反分析检查以确保勒索软件没有在虚拟机中运行，并且没有在其他活动进程中加载调试器之后，恶意软件会使用Curve25519算法为加密系统做好准备。这些准备工作包括终止可能危及加密的进程，删除卷映像副本，以及停止一系列备份和反病毒服务。

根据 ReversingLabs 的代码分析，AstraLocker 是基于泄露的Babuk源代码，这是一种有缺陷但仍然很危险的勒索软件，好在它已于2021 年9月退出该领域。此外，勒索信中列出的Monero钱包地址之一与Chaos勒索软件的组织有关。这可能意味着相同的威胁行为者在操作这两种恶意软件，这种情况并不少见。但从最新的案例来看，AstraLocker 2.0似乎不是一个老练的威胁行为者的行为，因为他会尽可能地破坏更多目标。

微软公布的数据显示，Service Fabric是一套关键业务应用程序托管平台，目前托管的应用总数已超百万。

该平台还支持多种微软产品，包括但不限于Azure SQL Database、Azure Cosmos DB、Microsoft Intune、Azure Event Hubs、Azure IoT Hub、Dynamics 365、Skype for Business Cortana、Microsoft Power BI及其他多项核心Azure服务。

这个漏洞编号为CVE-2022-30137，由Palo Alto Networks公司的Unit 42团伙发现，并于今年1月30日报告给微软的。

该漏洞之所以出现，是因为Fabric的数据收集代理（DCA）服务组件（以root权限运行）包含竞争条件下的随意写入机制，导致恶意黑客可通过创建符号链接的方式，利用恶意内容覆盖节点文件系统中的文件，获取代码执行权限。

Unit 42的报告详细介绍了CVE-2022-30137执行代码漏洞的利用方法，以及接管SF Linux集群的更多细节。

微软公司表示，“微软建议客户持续审查一切有权访问其主机集群的容器化工作负载（包括Linux与Windows）。”

“默认情况下，SF集群是单租户环境，各应用程序之间不存在隔离。但您可以在其中创建隔离，关于如何托管不受信代码的更多指南，请参阅Azure Service Fabric安全最佳实践页面。”

漏洞修复花了五个月

根据Unit 42的报告，微软公司于6月14日发布了Microsoft Azure Service Fabric 9.0 Cumulative Update，最终解决了这个漏洞（微软则表示，相关修复程序已在5月26日发布）。

微软为该漏洞发布安全公告后，从6月14日开始，已将修复程序推送至Linux集群的自动更新通道。

在Linux集群上启用自动更新的客户，无需采取任何额外处理措施。

对于没有为Azure Service Fabric开启自动更新的用户，建议大家尽快将Linux集群升级至最新Service Fabric版本。

Palo Alto Networks公司表示，“虽然我们并未发现任何成功利用该漏洞的在野攻击，但仍然希望能敦促各组织立即采取行动，确认自身环境是否易受攻击，并迅速安装补丁。”

微软公司表示，对于尚未启用自动更新的客户，他们已经通过Azure Service Health门户发出关于此问题的安全通知。

沙利文反驳称，检察官指控他隐瞒黑客事件，说他这样做的目的是想阻止司机逃离，让司机继续支付服务费，但检察这种指控并无切实证据。旧金山地区法官威廉·奥瑞克（William Orrick）显然不同意这种说法。

不只如此，沙利文还认为受到欺骗的是Uber当时的CEO和总法律顾问，不是司机，关于这点法官也不认同。奥瑞克说，虽然沙利文的虚假陈述并非直面司机，但这只是更大欺骗计划的一部分，欺骗对象正是司机。

检方声称沙利文向黑客支付比特币作为封口费，价值约10万美元。他还让黑客签署保密协议，说他们没有窃取数据。

了解到数据泄露事件后，Uber现任CEO达拉·科斯罗萨西（Dara Khosrowshahi）解雇了沙利文。

2018年9月Uber支付1.48亿美元与50个州及华盛顿DC和解索赔诉讼，原告认为Uber披露信息过慢。

伊朗政府尚未就此次胡齐斯坦国有钢铁公司及其他两家钢铁生产商遭受的破坏情况或攻击团伙做出回应。作为近几个月来破坏伊朗国内设施的最新案例，该地区的紧张局势将进一步加剧。

黑客曝光工厂故障监控画面 但公司CEO否认停产

一个匿名黑客团伙在社交媒体上宣称对此次攻击事件负责，表示攻击伊朗三大钢铁公司，是为了回应“伊朗的侵略行为。”

该团伙自称“Gonieshke Darande”，他们发布了据称拍摄自胡齐斯坦钢铁厂车间的闭路电视镜头。画面显示，钢坯生产线上的一台重型机械出现故障并引发了大火。

该团伙称，这些公司与伊朗准军事组织“伊斯兰革命卫队”有关，“这些公司受到国际制裁，却在限制下继续维持运营。”

伊朗中部城镇穆巴拉克（Mobarakeh）的一家钢铁厂表示，他们的系统同样遭受攻击。而国营媒体IRAN报道称，伊朗南部港口阿巴斯港的另一家工厂也是网络攻击的受害者。但两家工厂均未承认因为攻击而造成损失或停工。

胡齐斯坦钢铁公司则表示，由于“网络攻击”后引发的“技术问题”，工厂不得不停工，何时恢复将另行通知。该公司网站在周一也关闭了。

然而，该公司CEO Amin Ebrahimi却声称，胡齐斯坦钢厂已成功阻止网络攻击，生产、供应链和客户并未受到影响。对于黑客团伙公布的设施故障起火画面，他只字未提。

半官方媒体梅尔通讯社援引Ebrahimi的发言：“很幸运，我们把握时间、意识敏锐，这次攻击活动没有得逞。”他还补充称，预计公司网站将在周一之内上线，一切都将恢复“正常”。

当地新闻频道Jamaran报道称，攻击失败是因为当时工厂碰巧发生了停电，不在正常运营状态。

针对伊朗的网络攻势升级？

近年来，伊朗遭受的网络攻击越来越多。作为长期受到西方世界制裁的国家，伊朗的网络更新速度一直不够理想，因此难以招架犯罪分子及国家支持黑客发起的勒索软件与入侵攻击。

在去年的一起重大事件中，伊朗燃油分配系统遭遇网络攻击，导致全国各地加油站瘫痪，愤怒的司机们排起了长队。而当时站出来宣布对攻击负责的，同样是这个Gonjeshke Darande黑客团队。

伊朗火车站曾遭遇过伪造延误信息攻击。该国的监控摄像头被黑客入侵，国营网站遭到破坏，臭名昭著的埃文监狱虐待视频也被泄露在网上。

安全厂商SentinelOne的首席威胁研究员Juan Andrés Guerrero-Saade表示，目前还不清楚近期针对伊朗发动网络攻击的幕后黑手是谁。但他表示，如果这些团伙开始向钢铁厂等工业控制系统目标下手，那无疑代表着攻击火力的升级。

在他看来，“攻击的基调已经开始发生变化。”

以色列特拉维夫大学的网络安全专家Lior Tabansky表示，在网络安全这片阴暗的战场上，人们往往很难辨别所谓的负责声明到底可不可信。

他认为，如果此次事件确实属于网络攻击，那发起方可能是以色列或者美国。“如果我是伊朗的高级官员，当我的钢铁部门或者其他重要战略部门遇到了网络攻击，那最大的可能性就是犹太复国主义者或者美帝国主义者干的。”

伊朗此前曾指责，美国和以色列通过网络攻击损害其国内基础设施。

在“震网”（Stuxnet）计算机病毒（外界普遍认为由美国和以色列共同开发）在2000年后期破坏了伊朗核设施中的大量离心机设备后，伊朗最终决定将大部分政府基础设施同互联网断开连接。

胡齐斯坦钢铁公司 在伊朗具备重要地位

胡齐斯坦钢铁公司总部位于石油资源丰富的西南部胡齐斯坦省阿瓦士，并与另外两家大型国有企业一同垄断了伊朗的钢铁生产业务。

胡齐斯坦钢铁公司成立于1979年伊朗伊斯兰革命之前。在此后的几十年中，该公司一直使用由德国、意大利和日本企业供应的生产线。除了1980年代灾难性的两伊战争期间，伊拉克独裁领袖萨达姆派兵越界以外，这家钢铁厂一直在保持生产。

然而，针对伊朗核计划的严厉制裁，也迫使该公司考虑减少对外国零部件的依赖。

伊朗政府将钢铁企业视为关键部门。根据世界钢铁协会的数据，伊朗是中东地区领先的钢铁生产国，也是世界前十大钢铁生产国之一。其铁矿资源不仅为国内生产提供原材料，也被出口到意大利、中国和阿联酋等几十个国家。

然而，世界钢铁协会表示，伊朗上个月的粗钢产量仅为230万吨。出口下降的主要原因，是俄罗斯对乌开战后因受到制裁而无法正常对接西方市场，只能向东方买家大量抛售打折钢材，导致伊朗承接到的交易额显著缩水。

2021年，67次单独的勒索软件攻击影响了954所美国教育机构（包含学校和学院），影响到950129名学生。估计这些攻击仅在停机时间方面就使教育机构损失了35.6亿美元。大多数学校还将面临天文数字般的恢复成本，因为他们试图恢复计算机，恢复数据并加固系统以防止未来的攻击。

虽然希望正在出现，但勒索软件攻击对学校和学院的破坏性影响在上个月变得非常明显。林肯学院在2021年12月受到攻击后，于2022年5月宣布永久关闭。攻击和它对其系统的影响导致入学率大幅下降，这意味着该学院无法维持自身的运营。更糟糕的是，该学院已经向黑客支付了赎金。

2、工控安全遭严峻挑战，56个严重漏洞席卷OT 设备

据The Hacker News消息，安全研究人员在10家OT供应商的产品中发现56个严重的安全漏洞。Forescout将这56期报告统称为“OT:ICEFALL”，这些漏洞也被安全研究人员称之为“不安全的设计实践”。

报告指出，利用这些漏洞，具有网络访问权限的攻击者可对目标设备发起远程执行代码攻击，更改 OT 设备的逻辑、文件或固件，绕过身份验证，破坏凭据，导致拒绝服务或产生各种运营影响。

考虑到受影响的产品广泛应用于石油和天然气、化学、核能、发电和配电、制造、水处理和配电、采矿和楼宇自动化等关键基础设施行业，这些漏洞一旦被攻击者大规模利用，很有可能会对社会造成灾难性后果。

在已经发现的 56 个漏洞中，38% 允许破坏凭据，21% 允许固件操作，14% 允许远程代码执行，8% 的漏洞允许篡改配置信息。攻击者还可以利用这些弱点使设备完全脱机并绕过现有的身份验证功能，来调用目标上的任何功能。

3、日本一市弄丢含46万市民信息的U盘 道歉时又暴露密码位数

6月25日消息，据日本关西电视台24日报道，兵库县尼崎市于6月23日举行新闻发布会，为丢失包含所有46万公民个人信息的U盘而道歉。

据报道，承包商 BIPROGY 的一名男子承认，他在一天晚上外出喝酒时丢失了一个包含全市 46 万市民个人信息的 U 盘，U 盘中的包括居民的姓名、地址和出生日期，以及他们缴纳的居民税的详细信息，还有领取儿童福利和其他福利金居民的银行账号。

这一事件并没有结束，在新闻发布会上，工作人员还意外泄露了 U 盘设置的密码位数，引来广泛批评。据日本经济新闻报道，发布会上当被问及密码时，工作人员回应称，“我设置了一个 13 位字母数字的密码，我觉得很难被破译。”

对此，推特上引发了批评尼崎市的热潮。有人指出，暴露密码位数会使暴力破解密码变得更容易。

4、浙江一女子被骗千元学带货3天只赚3元 3年120多人上当

随着电商、直播领域的飞速发展，直播带货已经逐渐进入各个行业，成为新的营销方式，门槛低、投入小，拿起手机就能直播带货吸引了无数主播加入其中。据@西部决策，近日，浙江金华义乌市警方捣毁了一个诈骗团伙，9名嫌疑人被抓。此前，林女士看到一公司招直播带货兼职，她咨询后付了1680元服务费，跟着指导操作了3天只赚了3元。

当对方诱导林女士继续掏钱时，她果断报警。经查，该公司以直播带货兼职为噱头，虚构商家、短视频平台等官方流量支撑的情况，近3年诈骗了120多人50多万。

据了解，前不久，国家广播电视总局、文化和旅游部联合印发《网络主播行为规范》。该规范针对网络主播从业行为中存在的突出问题，规定了网络主播在提供网络表演和视听节目服务过程中应当遵守的行为规范和要求。

该《规范》指出，网络主播不得出现行为夸张宣传误导消费者，通过虚假承诺诱骗消费者，使用绝对化用语，未经许可直播销售专营、专卖物品等违反广告相关法律法规等。

在此提醒，在刷短视频娱乐消遣的同时，提高自身防范意识，切勿轻信平台上一些带有营销推广性质的视频，避免侥幸心理。

当对方诱导林女士继续掏钱时，她果断报警。经查，该公司以直播带货兼职为噱头，虚构商家、短视频平台等官方流量支撑的情况，近3年诈骗了120多人50多万。

据了解，前不久，国家广播电视总局、文化和旅游部联合印发《网络主播行为规范》。该规范针对网络主播从业行为中存在的突出问题，规定了网络主播在提供网络表演和视听节目服务过程中应当遵守的行为规范和要求。

该《规范》指出，网络主播不得出现行为夸张宣传误导消费者，通过虚假承诺诱骗消费者，使用绝对化用语，未经许可直播销售专营、专卖物品等违反广告相关法律法规等。

在此提醒，在刷短视频娱乐消遣的同时，提高自身防范意识，切勿轻信平台上一些带有营销推广性质的视频，避免侥幸心理。

据报道，承包商 BIPROGY 的一名男子承认，他在一天晚上外出喝酒时丢失了一个包含全市 46 万市民个人信息的 U 盘，这名男子受雇监督向当地家庭支付新冠疫情救济金，他从该市的办公室取出 U 盘后，在大阪附近的一个呼叫中心传输数据。

周二晚上，该男子在一家餐厅喝酒后，他在回家的路上发现装有 U 盘的袋子不见了。第二天早上，他向警方报告了丢失情况。

U 盘中的包括居民的姓名、地址和出生日期，以及他们缴纳的居民税的详细信息，还有领取儿童福利和其他福利金居民的银行账号。

尼崎市的一位官员告诉记者：“所有信息都经过加密保护，没有数据泄露的报告。深感遗憾的是，我们严重损害了公众对城市管理的信任，我们将努力通过提高对保护个人信息重要性的认识来重新获得居民的信任。”

IT之家了解到，这一事件并没有结束，在新闻发布会上，工作人员还意外泄露了 U 盘设置的密码位数，引来广泛批评。

据日本经济新闻报道，发布会上当被问及密码时，工作人员回应称，“我设置了一个 13 位字母数字的密码，我觉得很难被破译。”

对此，推特上引发了批评尼崎市的热潮。有人指出，暴露密码位数会使暴力破解密码变得更容易。

OT:ICEFALL（冰瀑）漏洞涵盖来自 Bently Nevada、Emerson、Honeywell、JTEKT、Motorola、Omron、Phoenix Contact、Siemens 和 Yokogawa 的多达 26 种设备型号。

报告指出，利用这些漏洞，具有网络访问权限的攻击者可对目标设备发起远程执行代码攻击，更改 OT 设备的逻辑、文件或固件，绕过身份验证，破坏凭据，导致拒绝服务或产生各种运营影响。

考虑到受影响的产品广泛应用于石油和天然气、化学、核能、发电和配电、制造、水处理和配电、采矿和楼宇自动化等关键基础设施行业，这些漏洞一旦被攻击者大规模利用，很有可能会对社会造成灾难性后果。

在已经发现的 56 个漏洞中，38% 允许破坏凭据，21% 允许固件操作，14% 允许远程代码执行，8% 的漏洞允许篡改配置信息。攻击者还可以利用这些弱点使设备完全脱机并绕过现有的身份验证功能，来调用目标上的任何功能。

值得注意的是，56个漏洞中有22个是“破坏身份验证方案”，包括绕过、使用有风险的加密协议，硬编码和明文凭证，这意味着这些方案在实施时“安全控制明显不足”。

在现实世界里，这些漏洞很有可能被武器化，并大规模在、天然气管道、风力涡轮机或离散制造装配线等领域应用，以扰乱燃料运输、超越安全设置、停止控制压缩机站的能力以及改变可编程逻辑的功能控制器（PLC）等。

这并非杞人忧天。事实上一个影响Omron NJ/NX控制器的远程代码执行漏洞 (CVE-2022-31206) ，已经被一个名为CHERNOVITE的攻击者利用，并针对性开发一种名为 PIPEDREAM（又名 INCONTROLLER）的恶意软件。

另外，IT 和 OT 网络之间日益增加的连接也让风险管理变的更加复杂，再加上这些漏洞没有CVE编号，使得很多安全问题变的不可见，也让这些不安全的漏洞长时间保留在系统和设备中。

为了减轻 OT:ICEFALL 的影响，安全专家建议发现和清点易受攻击的设备，及时更新应用供应商特定的补丁，强制分割 OT 资产，监控网络流量以发现异常活动，并采购设计安全的产品加强供应链。

安全研究人员还表示，就最近针对关键基础设施的恶意软件（如Industroyer2、Triton和INCONTROLLER ）来看，攻击者已经意识到工控上存在大量的不安全设计，并准备利用这些漏洞对基础设施发起攻击。

尽管不断强化的安全标准在驱动OT安全方面发挥了重要的作用，但就OT:ICEFALL漏洞来看，具有不安全设计特性和安全防御能力低下的设备和产品，正在持续获得认证并投入到市场上使用。

在过去的几年里，勒索软件攻击已经成为全世界学校和学院越来越关注的问题。它们使关键系统瘫痪，使学校连续数日关闭，并使教师无法访问教案和学生数据。然而，正如我们的最新数据显示，对美国教育机构的勒索软件攻击正在减少，停机时间也在缩短。

虽然希望正在出现，但勒索软件攻击对学校和学院的破坏性影响在上个月变得非常明显。林肯学院在2021年12月受到攻击后，于2022年5月宣布永久关闭。攻击和它对其系统的影响导致入学率大幅下降，这意味着该学院无法维持自身的运营。更糟糕的是，该学院已经向黑客支付了赎金。

那么，这些勒索软件攻击在美国教育部门的真实成本是多少，勒索软件的威胁在过去几年里有什么变化，以及2022年至今发生了什么？

为了找到答案，Comparitech研究团队收集了自2018年以来影响学校和学院的所有勒索软件攻击的信息。然而，许多实体不愿意披露勒索软件攻击，特别是在已经支付赎金的情况下。往往只有在学校因系统中断或学生数据丢失而不得不承认漏洞时，才会向公众发布有关攻击的信息。

团队筛选了几种不同的教育资源--专业的IT新闻、数据泄露报告和国家报告工具，以整理出尽可能多的关于美国教育机构遭受勒索软件攻击的数据。然后，应用关于停机成本的研究数据来估计勒索软件攻击对学校和学院的可能成本范围。由于发现这些类型的违规行为的局限性，我们认为这些数字只触及问题的表面。

《通知》要求，深入开展依法打击行业“内鬼”泄露公民个人信息违法犯罪工作，积极配合“清朗”系列专项行动，探索积累常态化监督办案的典型经验。聚焦重点行业、重点领域、重点群体开展监督办案，包括处理大规模个人信息特别是个人敏感信息，容易产生个人信息泄露风险的重点行业；金融、电信、互联网、就业招聘行业中容易产生电信网络诈骗违法犯罪风险的重点领域；容易受到电信网络诈骗违法犯罪侵害的老年人、在校学生、未成年人等重点群体。在严厉打击刑事犯罪的同时，充分发挥公益诉讼检察职能，依法追究违法主体的民事责任，督促行政机关履职尽责，增强惩治预防效能。

《通知》指出，要完善刑事检察、公益诉讼检察协作机制。包括建立线索移送机制、同步介入机制、人员协作机制和会商研判机制等。针对电信网络诈骗违法犯罪和个人信息公益损害呈现跨行政区划的特点，进一步加强大数据赋能，探索通过罪名、领域、行业等关键词自动抓取和智能算法技术，改革案件线索产出的供给侧，打破业务条线之间的数据壁垒。对易发、高发违法犯罪的系统性、普遍性、行业性问题，省级以上检察院可以联合挂牌督办或者部署开展专项整治行动，组建“刑事+公益诉讼+技术”检察办案团队，集中办理大案要案。

《通知》要求，要进一步提升调查取证能力水平，增强刑事附带民事公益诉讼质效。加强刑事检察和公益诉讼检察部门在提前介入、引导侦查工作中的协同协作。积极运用认罪认罚从宽、少捕慎诉慎押、涉案企业合规改革等，创新公益损害替代修复方式，督促引导违法主体及时有效履行公益损害赔偿责任。

《通知》强调，要进一步加强网络空间系统治理和溯源治理。结合监督办案加强类案治理的分析研判，注重发现执法司法、行业监管、信息公开、综合治理等工作中的问题和漏洞，精准向有关部门提出促进完善监管的检察建议，探索向有关网络平台提出依法履行社会责任的检察建议。

旗星银行（Flagstar Bank）是美国最大的银行之一，其总部位于密歇根州，总资产超过300亿美元。

经过调查，该银行于 6 月 2 日发现，攻击者访问了敏感的客户详细信息，包括全名和社会安全号码。

“在得知该事件后，我们立即启动了我们的事件响应计划，聘请了在处理此类事件方面经验丰富的外部网络安全专业人员，并将此事报告给联邦执法部门，”通知解释道。

“我们没有证据表明任何信息被滥用。尽管如此，出于非常谨慎的考虑，我们希望让您了解这一事件。”

银行为受影响的个人提供免费的两年身份监控和保护服务。

根据提交给缅因州总检察长办公室（Office of the Maine Attorney General）的信息显示，这次数据泄露事件共对1,547,169名美国人造成了影响。

至于媒体的进一步追问，包括哪些类型的数据可能被暴露，以及为什么花了这么长时间才发现这起事件，旗星银行方面还没有给予正面回应。

这是一年内旗星银行发生的第二起重大安全事件。

2021 年 1 月，勒索软件团伙 Clop 通过利用零日漏洞入侵 Accellion FTA 服务器，导致银行客户端和员工数据的间接泄露。

该事件影响了与银行开展业务的众多实体，包括庞巴迪、新加坡电信、新西兰储备银行和华盛顿州审计署。

这一违规行为导致银行被 Clop 勒索，被盗数据样本，包括姓名、社会安全号码、地址、税务记录和电话号码，最终在 Clop 的网站上公布，金融机构终止了与 Accellion 平台的合作。

佩斯科夫称，普京原计划在下午三点发表讲话。但技术人员为了修复问题并保证观众可以正常进入大厅，演讲因此延后了一个小时。

通行证系统在上周四（6月16日）开始遭到DDoS攻击。佩斯科夫没有具体说明可能的攻击来源。他说，“系统在发放徽章和确认全体会议到场人员时出现了问题。我们能修复，但这需要时间。”

一位论坛人士表示，观众可以毫无阻碍地进入大厅，但该地区的移动网络连接似乎被切断了。

据路透社报道，在预定开始时间约100分钟后，普京开始发表讲话。

普京向来有在公开活动中迟到的习惯。在本届经济会议上，他发表了自2月24日对乌开战以来的首次重要演讲之一。

近期，我校电子邮件系统遭受网络攻击，对学校正常教学生活造成负面影响。我校第一时间报警，经公安机关初步判定，是境外黑客组织和不法分子发起的网络攻击行为。现公开声明如下：

此次网络攻击事件中，有来自境外的黑客组织和不法分子向我校师生发送包含木马程序的钓鱼邮件，企图窃取相关师生邮件数据和公民个人信息，给学校正常工作和生活秩序造成重大风险隐患。长期以来，我校高度重视网络安全工作，经常性开展网络安全宣传教育，定期开展网络安全检查和技术监测，明确主动防御策略，全面采取技术防护措施。全校师生网络安全意识和敏锐性逐年提高，来自境外的钓鱼邮件暂未造成重要数据泄露，暂未引发重大网络安全事件，校园网络安全和广大师生的个人信息安全得到有效维护。

为进一步查明事实，依法处理相关黑客组织和不法分子的网络攻击行为，采取有力措施筑牢校园网络安全屏障，维护广大师生合法权益，我校已就遭受境外网络攻击情况向公安机关报案，并保留进一步追诉的权利。

在此，我校提醒广大互联网用户：网络空间不是法外之地，发送钓鱼邮件、侵犯公民个人信息属于犯罪行为。请广大网民文明用网、规范用网，严格遵守《中华人民共和国网络安全法》，共同营造清朗网络空间。

习近平在主持会议时强调，数据基础制度建设事关国家发展和安全大局，要维护国家数据安全，保护个人信息和商业秘密，促进数据高效流通使用、赋能实体经济，统筹推进数据产权、流通交易、收益分配、安全治理，加快构建数据基础制度体系。要加强党中央对行政区划工作的集中统一领导，做好统筹规划，避免盲目无序。要遵循科技创新规律和人才成长规律，以激发科技人才创新活力为目标，按照创新活动类型，构建以创新价值、能力、贡献为导向的科技人才评价体系，引导人尽其才、才尽其用、用有所成。要推动大型支付和金融科技平台企业回归本源，健全监管规则，补齐制度短板，保障支付和金融基础设施安全，防范化解系统性金融风险隐患，支持平台企业在服务实体经济和畅通国内国际双循环等方面发挥更大作用。

中共中央政治局常委、中央全面深化改革委员会副主任李克强、王沪宁、韩正出席会议。

会议指出，数据作为新型生产要素，是数字化、网络化、智能化的基础，已快速融入生产、分配、流通、消费和社会服务管理等各个环节，深刻改变着生产方式、生活方式和社会治理方式。我国具有数据规模和数据应用优势，我们推动出台数据安全法、个人信息保护法等法律法规，积极探索推进数据要素市场化，加快构建以数据为关键要素的数字经济，取得了积极进展。要建立数据产权制度，推进公共数据、企业数据、个人数据分类分级确权授权使用，建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制，健全数据要素权益保护制度。要建立合规高效的数据要素流通和交易制度，完善数据全流程合规和监管规则体系，建设规范的数据交易市场。要完善数据要素市场化配置机制，更好发挥政府在数据要素收益分配中的引导调节作用，建立体现效率、促进公平的数据要素收益分配制度。要把安全贯穿数据治理全过程，守住安全底线，明确监管红线，加强重点领域执法司法，把必须管住的坚决管到位。要构建政府、企业、社会多方协同治理模式，强化分行业监管和跨行业协同监管，压实企业数据安全责任。

工业安全公司 Claroty在一份新报告中表示：“这些漏洞如果被利用，会给网络上的西门子设备带来许多风险，包括拒绝服务攻击、凭据泄漏和在某些情况下远程执行代码。”

值得庆幸的是，2021年10月12日，西门子在 V1.0 SP2 版本更新中解决了上述所有的安全漏洞（从 CVE-2021-33722 到 CVE-2021-33736）。西门子在一份报告中写到，最严重的漏洞可能允许经过身份验证的远程攻击者，在某些条件下以系统特权在系统上执行任意代码。

威胁最大的漏洞编号是CVE-2021-33723（CVSS 评分：8.8），它允许攻击者将权限升级至管理员账号，病号可以与路径遍历漏洞 CVE-2021-33722（CVSS 评分：7.2）想结合，最终实现远程任意代码执行。

此外，还有一个需要注意的是 SQL 注入漏洞，漏洞编号（CVE-2021-33729，CVSS 分数：8.8），通过该漏洞，经过身份验证的攻击者可以在本地数据库中执行任意命令。

Claroty 的 Noam Moshe认为，SINEC在网络拓扑中处于至关重要的中心位置，因为它需要访问凭据、加密密钥和其他授予它的管理员访问权限，以便管理网络中的设备。

从攻击者的角度来看，这种攻击是利用合法凭证和网络工具进行恶意活访问、活动和控制，而SINEC将攻击者置于以下主要位置：侦察、横向移动和特权升级。