《安联智库-网安周报》2022-10-17

1、“三哥”，核酸信息泄露该管管了！

西门子Simatic可编程逻辑控制器（PLC）中的漏洞可以被用来检索硬编码的全局私有加密密钥，并获取对设备的控制权。

“黑客可能会利用这些机密信息，以无法修复的方式破坏整个SIMATIC S7-1200/1500产品线。”该关键漏洞被追踪为CVE-2022-38465，在CVSS评分为9.3。

受影响的产品和版本列表如下：

SIMATIC 驱动控制器系列（2.9.2之前的所有版本）

SIMATIC ET 200SP 开放式控制器 CPU 1515SP PC2，包括 SIPLUS 变体（21.9 之前的所有版本）

SIMATIC ET 200SP 开放式控制器 CPU 1515SP PC, 包括 SIPLUS 变体（所有版本）

SIMATIC S7-1200 CPU 系列, 包括 SIPLUS 变体（4.5.0 之前的所有版本）

SIMATIC S7-1500 CPU 系列, 包括相关的 ET200 CPUs 和 SIPLUS 变体（V2.9.2 之前的所有版本）

SIMATIC S7-1500 软件控制器（21.9 之前的所有版本）

SIMATIC S7-PLCSIM 高级版（4.0 之前的所有版本）

Claroty表示，它能够通过利用西门子PLC中之前披露的漏洞（CVE-2020-15782）来获得对控制器的读写权限，从而恢复私钥。这样做不仅可以让攻击者绕过访问控制并覆盖本机代码，还可以完全控制每个受影响的西门子产品线的PLC。

近期，上海网信办发现，某科技公司在处理政务类数据时违规操作，且未采取相应的技术措施和其他必要措施保障数据安全，导致数据存在泄露风险。上海网信办依据《中华人民共和国数据安全法》对该公司责令改正，给予警告，并处以人民币五万元罚款的行政处罚。

上海网信办相关负责人表示，数据安全关乎人民群众切身利益，关乎国家安全和社会稳定，上海网信办将针对数据安全保护义务履行不力，造成重要数据泄露风险的违法违规行为加强监督检查和执法，进一步营造安全稳定的网络环境。

《中华人民共和国数据安全法》第二十七条：开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

《中华人民共和国数据安全法》第四十五条规定：开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的，由有关主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

相较于盗号假扮熟人，诈骗个电话费、生活费什么的低级诈骗方式，“杀猪盘”的诈骗危害要更大，不仅诈骗金钱，还会欺骗感情，最终受害者落个人财两空。只不过，现如今的杀猪盘，诈骗分子的脑洞也是越来越大，就连“宇航员回地球”这样的离谱背景，也能编排出来。

近日，据报道，日本滋贺县一名六旬妇女6月在网上认识了一名自称“俄罗斯宇航员”的男子，两人在聊天中逐渐产生了恋爱的感觉。

“俄罗斯宇航员”进行糖衣炮弹轰炸时，顺势要求被害人提供“返回地球的火箭和着陆费用”，并承诺“回到地球就结婚”。

被害人在8月至9月期间陆续汇款5次，总金额大约440万日元（约合人民币21.5万元），随后才意识到被骗。

警方认为这是一场“国际杀猪盘”，目前正展开详细调查，并敦促市民谨慎交友。