安联智库seczk.com--做最好网安新媒体! http://seczk.com 信息安全资讯,热点资讯,安全期刊,人物专访,安全事件,漏洞威胁,安全技术,攻防众测, Sun, 25 Sep 2022 04:45:24 +0800 zh-CN hourly 1 https://www.s-cms.cn/?v=4.7.5 加入我们 Sun, 25 Sep 2022 04:45:24 +0800

      欢迎有志从事信息安全的朋友,一起加入安联智库这个大家庭,有你们的到来安联智库将因你而出彩!

]]>
联系我们 Sun, 25 Sep 2022 04:45:24 +0800

安联智库&安联攻防实验室(简称:seczk)www.seczk.com
使命:让安全,更简单!
提出:攻击溯源、纵深防御的安全治理解决方案!
微信 、QQ:110468258
网站:www.seczk.com 
邮箱:110468258#qq.com 
地址:广州市天河区黄埔大道西505号A栋2519室 
机构:[广东-广西-海南-云南-贵州-四川-福建-江西-湖南-北京-深圳-重庆-上海.....] 


]]>
团队简介 Sun, 25 Sep 2022 04:45:24 +0800

    安联智库是为了(简称:seczk)是一个专注于信息安全、具有全面信息安全综合服务能力的专业服务团队。seczk立足自主研发,专注信息安全市场,为客户提供安全产品、安全服务、安全集成、安全培训等多项综合性信息安全服务。经过多年的发展已经成为一个理念先进、方案成熟、团队精干、客户认可的具有本土化特色的信息安全服务商。
    seczk立足于羊城广州,目前拥有一支20多人的专业队伍,团队拥有多名CISP、CISSP、CCIE、PMP等技术人员,核心团队成员都出自国内著名安全厂商与安全服务测评机构(如启明星辰、绿盟、天融信、蓝盾、竟远、南方信息安全研究院、中国信息安全测评中心等),积累了丰富的安全经验,其技术能力已获得过不同行业客户的认可。
    安联智库&安联攻防实验室(简称:seczk)使命:让安全,更简单!提出攻防纵深防御、攻击溯源的安全治理解决方案!




]]>
全球最大航空公司发生数据泄露事件 Sun, 25 Sep 2022 04:45:26 +0800 美国航空公司上周末(9月16日)发出客户通知信确认遭遇黑客攻击,声称攻击者获取了数量不明的客户和员工电子邮件账户和敏感个人信息。

美国航空公司的企业传播高级经理Andrea Koos告诉BleepingComputer,该公司员工的账户在一次网络钓鱼活动中遭到入侵,但拒绝透露有多少客户和员工受到影响,而是说这是“非常少数”。

根据通知,美国航空公司在7月5日发现了这一漏洞,立即保护了受影响的电子邮件账户,并聘请了一家网络安全取证公司来调查安全事件。

“在2022年7月,我们发现一名未经授权的行为者入侵了有限数量的美国航空公司团队成员的电子邮件账户,”该航空公司告诉受影响的客户:“在发现事件后,我们保护了受影响的电子邮件帐户,并聘请了第三方网络安全取证公司进行取证调查,以确定事件的性质和范围。”

在攻击中暴露并可能被攻击者访问的个人信息可能包括:员工和客户的姓名、出生日期、邮寄地址、电话号码、电子邮件地址、驾驶执照号码、护照号码和/或某些医疗信息。

美国航空公司表示,将为受影响的客户提供两年免费的Experian IdentityWorks会员资格,以帮助检测和解决身份盗窃问题。

美国航空公司曾在2021年3月遭遇数据泄露事件,当时全球航空信息技术巨头SITA证实,黑客入侵了其服务器并获得了包括美国航空公司在内的全球多家航空公司的乘客服务系统(PSS)的访问权限。

作为全球机队规模最大的航空公司(其主线拥有超过1300架飞机),美国航空公司拥有超过12万名员工,每天运营近6700个航班,飞往50多个国家/地区的约350个目的地。

]]>
河南一高校学信网信息泄露,校方:已报案 Sun, 25 Sep 2022 04:45:26 +0800 信阳师范学院

关于调查问卷引发网络舆情的情况说明

2022年9月19日,学校在日常网络舆情梳理中发现“学信网信息泄露”的话题。对此,学校高度重视,第一时间责成学生处、校团委、保卫处等部门对事件进行调查,要求快速查清事实,及时作出回应,给学生一个安心答复。经过多部门协同调查,与相关学生走访座谈,基本查清事实。现将有关情况说明如下。

2022年8月28日,校学生会一名学生干部参加社会实践活动期间,应郑州泽梦企业管理咨询有限公司业务人员要求,协助该公司擅自组织学生参与网上《信师宿舍满意度调查问卷》活动,通过学生干部QQ交流群发布调查问卷,组织2020级和2021级学生参加问卷调查。经查,该调查问卷最后一题是要求学生登录学信网并填写学信码,涉事公司事前向该生隐瞒了学信码的真实用途,该生对问卷调查的真实目的缺乏了解。经与填写问卷学生核实,确实存在部分学生学信码被盗用情况,造成这些学生在三个月内不能享受购买苹果平板电脑、耳机等产品的优惠政策。

针对该事件,学校有关部门已于9月19日上午向信阳市五星乡派出所报案,并立案调查。校团委第一时间召开团学会议,要求做好学生信息统计、事件解释和情绪安抚工作,同时,通知参与问卷调查的学生登录学信网关闭学信码。涉事学生干部已被撤职,责令写出深刻检讨,等待进一步处理。同时,与涉事企业进行严正交涉,要求该公司立即停止非法侵害行为,最大限度保护学生信息安全。目前,公安机关已掌握涉事公司收集我校学生个人信息情况,已责令该公司不得售卖学生信息,并最快消除不良后果,给我校学生一个满意交代。有关部门正与公安、网信部门保持密切联系,开展进一步调查,以确保学生信息安全。

最后,请同学们放心,也请同学们相信,学校将尽最大努力帮助学生挽回损失,消除此次事件可能造成的不良后果,后续事件进展情况将及时跟踪公布。

信阳师范学院学生处

2022年9月20日

]]>
勒索软件耽搁立法工作!欧洲又一国家议会遭攻击 工作停顿多天 Sun, 25 Sep 2022 04:45:26 +0800 9月21日消息,欧洲国家波黑(全称为波斯尼亚和黑塞哥维那)的检察官正调查一场影响范围极大的网络攻击,据称已经影响到该国议会的正常运行。

最近两周来,波黑议会网站一直处于关停状态。当地新闻媒体Nezavisne就此事联系了几位议员,对方称已被告知禁止访问自己的电子邮箱和官方文件,甚至最好干脆别使用电脑。

波黑检察官办公室一位发言人表示,他们几天前就已接到此案。

发言人Boris Grubešić表示,“当日值班的检察官向执法机构官员发出了必要指示,希望澄清案件具体情况,同时对IT网络与各级机构给予网络安全保护。”

“此案正在调查当中,我们目前无法透露其他任何消息。”

议会已失去工作能力,议员批评安全人员不关心安全

波黑议会人民院代表Zlatko Miletić告知当地媒体Nezavisne,目前立法机构已经失去了工作能力,而且此次攻击开始于9月8日-9日左右。

虽然检察官并未透露具体攻击类型,但有消息人士向Nezavisne证实,这就是一起勒索软件攻击。波黑《萨拉热窝时报》报道称,攻击发生后,该国议会的主服务器旋即关闭。

一位议会发言人告诉新闻媒体,“用户无法访问服务器,电子邮件和官方网站目前也都处于关闭状态。”

还有多位议员提到,他们收到了不要使用电脑的通知,理由是担心勒索软件会传播到他们的个人设备上。

Miletić对政府网络安全专家的工作持批评态度,强调在此次攻击之前,“根本没人关心安全问题”。

“他们本来有充足的时间采购必要的技术手段,为服务器施加额外保护。他们应该知道,网络安全领域就是需要投资,没有设备就没有安全可言。这些技术手段确实价格不菲,但我们必须要买起来、用起来。不只是议会,其他处理并存储各类数据的机构也应该从中吸取教训。”

另一位议员Dušanka Majkić也对政府计算机上的数据表示担忧,还提到她自己的设备上甚至保存着2004年时的文件。

政治动荡更容易引发网络攻击,今年已有多起案例

随着塞族共和国分裂行为的逐步升级,波黑目前正处于政治动荡之中。如果勒索软件攻击的传闻得到证实,则将成为今年以来勒索软件团伙借政治风波为掩护发动攻击的又一案例。

现已解散的Conti勒索软件团伙此前曾对哥斯达黎加发动过毁灭性的攻击,哥新任总统称这是企图“在过渡时期威胁该国稳定”。

三周之前,就在黑山政府因不信任投票而被实际免职的同时,也有勒索软件攻击趁虚而入。

近年来,全球多国议会已先后成为勒索软件团伙和黑客攻击的受害者。就在上周,位于首都的阿根廷议会遭遇一起勒索软件攻击,事件破坏了该机构的内部操作系统和WiFi网络。

]]>
女子被骗50万后哭求民警要再转20万 Sun, 25 Sep 2022 04:45:26 +0800 近日,湖北黄石,一银行工作人员报警称有位客户疑似被骗,坚持要转账。@平安黄石 民警赶到现场后,当事女子竟哭求民警让其再转20万,试着把之前转过去的50万提现出来,还声称银行不让转就回家用手机转。在民警苦口婆心的劝说下,该女子终于清醒,避免了更大的损失。

]]>
《GTA6》泄露事件黑客身份曝光:年仅16岁少年 Sun, 25 Sep 2022 04:45:26 +0800 9月20日消息,上周末R星备受期待的游戏大作《GTA6》的测试版游戏视频在网上泄露,引起业界轰动,成为有史以来最重大的游戏泄密事件。然而让人意外的是,这次泄密事件背后的黑手仅是一个16岁的青少年。

《GTA6》事件黑客身份曝光:16岁少年 此前曾攻击NVIDIA

知名黑客、黑客论坛BreachForums的所有者“pompompurin”曝光了《GTA6》泄露事件黑客的身份,他表示罪魁祸首是网络犯罪团队Lapsus$的负责人,年仅16岁的Tea Pot。其在Telegram聊天中承认入侵了R星并展示了证据,但聊天记录很快就遭到了删除。

据悉,黑客组织Lapsus$自去年年底以来已卷入多起黑客事件,此前包括微软、三星、英伟达和育碧在内的许多科技公司都遭到了其攻击,该黑客组织曾表示自己的主要目标是钱,既无政治性,也没有任何人赞助。

值得一提的是,美国打车App优步(UBER)也表示最近遭到了Lapsus$ 攻击,现在正在与联邦调查局和美国司法部保持联系。

IT之家了解到,昨天R星发文承认《GTA6》遭到了泄露,但表示不会对其正在进行的项目产生长期影响。

]]>
《羊了个羊》惊动警方,公安部治安管理局微博发文! Sun, 25 Sep 2022 04:45:26 +0800 近日,一款名叫《羊了个羊》的小游戏爆火网络。由于太火,服务器2天崩了3次,很多玩家惊呼“我只是睡前玩一玩,没想到给我整失眠了!”。

9月19日,公安部治安管理局官方微博“中国警方在线”发布反诈提醒:谨防冒充“羊了个羊”客服人员销售道具、复活次数等进行电信诈骗。在游戏过程中,要提高安全防范意识,别被一时激动冲昏头脑。一旦发现被骗,要及时保存聊天记录、发布诈骗信息的网页等证据,并立即向警方报案。

防骗秘籍

各位玩家,快乐游戏的同时,这份防骗秘籍,请一定要牢记!

01 给钱买秘籍

骗子在社交平台发布有通关秘籍的广告信息,诱导受害人在虚假游戏交易平台、微信群或QQ群内进行交易,让受害人支付9.9元等小额金额来换取秘籍或以“注册费、押金、解冻费”的名义支付各种费用。待收到钱后,将受害人联系方式拉黑或者失联。

02 秘籍在网盘自取

通常骗子通过社交平台与受害人添加好友后,声称索要秘籍的人较多,已经将word文档存在某网盘里,随即发来链接要求受害人自取,岂不知,骗子利用发送带有病毒的木马链接,诱骗游戏玩家进行点击,通过远程操控对其电脑、手机等进行控制。

03 中奖诱惑玩家付费

以去年爆火的某小程序游戏为例,就是凭借诱导性的广告,让玩家在玩游戏时,领取游戏界面弹出的带有“100手机话费券”。 大量网友在社交媒体上反馈称,领取了所谓的“100手机话费券”,但在按网站指示支付了9.9元或19.9元后却发现话费无法兑现,也不能退款。

警方提醒:快乐游戏的同时,谨防诈骗!未知链接不点击,陌生来电不轻信,个人信息不透露,转账汇款多核实。

“羊了个羊”背后上市公司股价19日大跌超7%

《羊了个羊》席卷社交平台的同时,其背后的一众公司和资本也成为市场关注的焦点。

9月14日,《羊了个羊》官方微博发布的一条“简游急招后端服务器开发”的招聘启事,让研发团队简游科技进入大众视野。

启信宝显示,简游科技成立于2021年1月,拥有“羊了个羊软件”的著作权。公司注册资本约117万元人民币,法定代表人为张佳旭。公司第一大股东为张佳旭,持股比例为85.5%;第二大股东为厦门雷霆网络科技股份有限公司(以下简称“雷霆网络”),持股比例为10%。

虽然成立短短一年多,但简游科技此前还开发过另一爆款微信小游戏《海盗来了》,并且其背后股东雷霆网络是知名游戏上市公司吉比特旗下公司。近日,吉比特(SH603444,股价285.13元,市值189.8亿元)也在投资者问答平台上表示:“公司通过控股子公司间接持有北京简游10%股权。”9月8日~9月16日,吉比特在6个交易日中股价累计上涨4.63%。吉比特于2017年上市,公司股价最高点曾达626.20元。

今日(9月19日)早间开盘后,吉比特股价极速下跌,一度跌超7%,截至发稿前,公司股价为264.15元,下跌7.32%。

Choice数据显示,今年9月1日至今,吉比特股价累计上涨0.4%;今年1月4日至今,吉比特股价累计下跌28.68%。如果将时间线再拉长,2021年1月4日至2022年9月16日,吉比特股价累计下跌27.87%。

]]>
Uber被黑,内部系统和机密文件均遭到破坏 Sun, 25 Sep 2022 04:45:26 +0800 据悉,Uber 再次遭到入侵,威胁行为者访问了其电子邮件和云系统、代码存储库、内部 Slack 帐户和 HackerOne 票据,攻击者渗透其内部网络并访问内部文件,包括漏洞报告。

据《纽约时报》报道,威胁者入侵了一名员工的 Slack 账户,并用它来通知内部人员该公司“遭受了数据泄露”,并提供了一份据称被黑客入侵的内部数据库列表。

“我宣布我是一名黑客,Uber遭到数据泄露。”

该公司被迫使其内部通信和工程系统离线,以减轻攻击并调查入侵。

据称,攻击者破坏了多个内部系统,并向《纽约时报》和一些网络安全研究人员提供了电子邮件、云存储和代码存储库的图像。“他们几乎可以完全访问 Uber,”Yuga Labs 的安全工程师 Sam Curry 说,他与声称对此次违规行为负责的人进行了通信。“从它的样子来看,这是一个彻底的妥协。”

攻击者还可以访问公司的 HackerOne 漏洞赏金计划,这意味着他们可以访问白帽黑客提交给公司的每个漏洞报告。这些信息非常重要,威胁者可以利用它发动进一步的攻击。目前无法排除报告包含有关公司尚未修复的一些缺陷的技术细节。

HackerOne 已立即禁用 Uber 漏洞赏金计划,阻止对报告问题列表的任何访问。公司发言人证实,Uber通知执法部门并开始对事件进行内部调查。

Uber首席信息安全官 Latha Maripuri 通过电子邮件告诉《纽约时报》:“我们目前无法估计何时恢复对工具的完全访问权限,因此感谢您对我们的支持。”

员工被指示不要使用内部消息服务 Slack,其中一些不愿透露姓名的员工告诉纽约时报,其他内部系统无法访问。

这名黑客自称18岁,并补充说优步的安全性很弱,在通过 Slack 发送的消息中,他还表示优步司机应该获得更高的工资。

据悉,这不是Uber第一次遭遇安全漏洞。2017 年,2016 年发生的另一起数据泄露事件成为头条新闻。

2017 年 11 月,Uber 首席执行官 Dara Khosrowshahi 宣布黑客侵入了公司数据库并访问了 5700 万用户的个人数据(姓名、电子邮件地址和手机号码),令人不安的发现是该公司掩盖了黑客行为一年多。攻击者还访问了其在美国大约 600,000 名司机的姓名和驾照号码。

黑客事件发生在 2016 年,根据彭博社发布的一份报告,黑客很容易  从公司开发团队使用的私人 GitHub 站点获取凭据。黑客试图勒索优步,并要求该公司支付 10 万美元,以换取避免公布被盗数据。

信息安全主管乔·沙利文(Joe Sullivan)没有按照加州数据安全违规通知法的要求向客户和执法部门通知数据泄露事件,而是下令支付赎金并掩盖破坏任何证据的故事。奖金被伪装 成漏洞赏金 ,并签署了保密协议。

如果Slack被判有罪,这将是第一次有安全专业人员因此类事件而被追究个人责任。

]]>
《安联智库-网安周报》2022-09-19 Sun, 25 Sep 2022 04:45:26 +0800

1、手机预售平台“易联购”被曝卷款跑路

近日,有多地消费者反映,他们通过易联购微信小程序预购了手机,付款后卖家却失联。而“易联购”手机订购平台疑似携款潜逃后留下嚣张跑路公告,称已卷款跑路,人在国外,钱也已经洗干净。
目前,重庆警方已经介入调查处理此次事件,当地市场监管部门也在协助警方进行调查。
律师表示,小程序平台作为开放平台管理者,也有义务在发现小程序发布违法违规信息时,及时采取技术上可行的必要措施,保障小程序用户的资金财产安全。
2、借悼念伊丽莎白二世女王之名,攻击者发起大规模网络钓鱼攻击

当地时间9月8日,英国传奇女王伊丽莎白二世在苏格兰巴尔莫勒尔城堡去世,享年96岁。

就在大家哀悼女王之际,Proofpoint安全研究人员却发现,毫无底线的攻击者假借悼念之名,行网络攻击之实,以“女王去世”、“哀悼女王”等为诱饵的网络钓鱼攻击呈现持续上升的趋势,其目的是从受害者那里窃取 Microsoft 帐户和密码。

邮件以 Microsoft团队的名义发出,大意是微软现正在推出一款名为“伊丽莎白将记忆板”的产品,以此缅怀这位传奇女王。在这里将汇聚来自全球的各种悼念信息,包括单词、邮件、相片等。如果用户也想参与悼念活动,点击链接登录微软账户即可。很明显,这是一个虚假恶意的钓鱼链接,重定向的域名并没有让用户提交悼念文本,而是忽悠受害者先输入其微软账号的登录面、以及多因素身份验证(MFA)等私密信息。一旦这些敏感的信息被攻击者获取,势必会对用户带来严重的影响,甚至是以用户之名进行二次网络钓鱼攻击。

3、大事件!乌方:网络攻击已瘫痪俄罗斯2400个网站

据乌克兰数字转型部消息,乌克兰IT军队在8月29日至9月11日的两周内,攻击了2400多个俄罗斯网站,其中包括俄罗斯联邦最大银行、汽车在线销售平台、俄罗斯主要媒体等。

当地时间9月12日,乌克兰数字转型部在Telegram宣布,其IT团队致使俄罗斯2400多个俄罗斯网站瘫痪,涉及金融业、实体企业、媒体等组织。俄罗斯联邦最大和最重要的银行:俄罗斯天然气工业银行、莫斯科信贷银行、俄罗斯国家银行的服务瘫痪,导致俄罗斯用户无法使用网上银行或通过智能手机进行金融交易。乌克兰数字转型部表示,“更严重的是,俄罗斯士兵领不到工资,亲属领不到赔偿。”

受影响的还有而连锁汽车经销商在线网站Drom、乳制品批发和零售商的电子文档管理系统。俄罗斯主要宣传媒体《俄罗斯日报》也陷入瘫痪。乌克兰数字转型部表示,“我们注意到,一些宣传人员已经在考虑停战,但现在已经太迟了。”据乌克兰媒体Ukrinform报道,9月11日俄罗斯对乌克兰展开大规模袭击,哈尔科夫和顿涅茨克地区的电力被完全切断。根据乌克兰能源部的数据,共有40个的变电站停电,4名电力工程师遇难。

4、FBI:黑客从医疗保健支付处理商窃取数百万美元

根据网站安全客消息,美国联邦调查局 (FBI) 已发出警报,称黑客针对医疗保健支付处理器将付款转移到攻击者控制的银行账户。据悉,仅今年一年,攻击者在访问客户账户和更改支付细节后,从医疗保健公司窃取了超过 460 万美元。

从FBI公布的信息来看,疗保健行业支付处网络犯罪分子正在结合多种策略来获取医理器员工的登录凭据并修改支付指令。FBI 表示,它收到了多份报告,其中黑客使用公开的个人详细信息和社会工程学来冒充受害者访问医疗保健门户、网站和支付信息。在今年 2 月和 4 月的三起此类事件中,黑客从受害者那里转移了超过 460 万美元到他们的账户。

网络钓鱼和欺骗支持中心是帮助黑客实现访问处理和分发医疗保健支付实体的目标的附加方法。FBI 今天的警报指出,这种特定的威胁行为者活动包括向医疗保健支付处理器的财务部门发送网络钓鱼电子邮件。他们还在修改 Exchange Server 的配置并为目标帐户设置自定义规则,可能会收到受害者邮件的副本。

]]>
FBI:黑客从医疗保健支付处理商窃取数百万美元 Sun, 25 Sep 2022 04:45:26 +0800 控制的银行账户。据悉,仅今年一年,攻击者在访问客户账户和更改支付细节后,从医疗保健公司窃取了超过 460 万美元。

从FBI公布的信息来看,疗保健行业支付处网络犯罪分子正在结合多种策略来获取医理器员工的登录凭据并修改支付指令。FBI 表示,它收到了多份报告,其中黑客使用公开的个人详细信息和社会工程学来冒充受害者访问医疗保健门户、网站和支付信息。在今年 2 月和 4 月的三起此类事件中,黑客从受害者那里转移了超过 460 万美元到他们的账户。

网络钓鱼和欺骗支持中心是帮助黑客实现访问处理和分发医疗保健支付实体的目标的附加方法。FBI 今天的警报指出,这种特定的威胁行为者活动包括向医疗保健支付处理器的财务部门发送网络钓鱼电子邮件。他们还在修改 Exchange Server 的配置并为目标帐户设置自定义规则,可能会收到受害者邮件的副本

]]>
借悼念伊丽莎白二世女王之名,攻击者发起大规模网络钓鱼攻击 Sun, 25 Sep 2022 04:45:26 +0800 当地时间9月8日,英国传奇女王伊丽莎白二世在苏格兰巴尔莫勒尔城堡去世,享年96岁。2015年,她成为历史上在位时间最长的英国君主,打破了她的曾曾祖母维多利亚女王创下的纪录。

各国政府纷纷对此表示哀悼,女王的葬礼后续事宜也在按照以往的规格和节奏有序进行。9月15日,英国伦敦深夜举行女王伊丽莎白二世葬礼彩排,并将于19日为女王举行隆重的国葬仪式。

假借悼念之名,行网络攻击之实

就在大家哀悼女王之际,Proofpoint安全研究人员却发现,毫无底线的攻击者假借悼念之名,行网络攻击之实,以“女王去世”、“哀悼女王”等为诱饵的网络钓鱼攻击呈现持续上升的趋势,其目的是从受害者那里窃取 Microsoft 帐户和密码。

攻击者实施网络钓鱼攻击的具体做法是,向用户发送一封带有恶意链接的电子邮件,内容如下图所示:

邮件以 Microsoft团队的名义发出,大意是微软现正在推出一款名为“伊丽莎白将记忆板”的产品,以此缅怀这位传奇女王。在这里将汇聚来自全球的各种悼念信息,包括单词、邮件、相片等。如果用户也想参与悼念活动,点击链接登录微软账户即可。

很明显,这是一个虚假恶意的钓鱼链接,重定向的域名并没有让用户提交悼念文本,而是忽悠受害者先输入其微软账号的登录面、以及多因素身份验证(MFA)等私密信息。一旦这些敏感的信息被攻击者获取,势必会对用户带来严重的影响,甚至是以用户之名进行二次网络钓鱼攻击。

EvilProxy一键反向代理

值得注意的是,在此次网络钓鱼攻击中,安全研究人员观察到不少攻击者正在使用EvilProxy一键反向代理和Cookie 注入,以此绕过2FA 身份验证。关于EvilProxy反向代理服务的具体内容,FreeBuf在 (EvilProxy文章) 进行了说明。

事实上,安全研究人员并非首次观察到此类攻击方式,在以往的APT和针对性间谍活动中也曾多次出现。而随着EvilProxy将这类功能逐渐产品化,那么未来针对在线服务和MFA授权机制的攻击将会迎来较高的增长。

EvilProxy首次出现在安全人员的视野是在2022年5月上旬,当时其背后的攻击组织发布了一段演示视频,详细介绍了该工具是如何提供高级网络钓鱼攻击服务,并声称可窃取身份验证令牌以绕过 Apple、Google、Facebook、Microsoft、Twitter、GitHub、GoDaddy 和甚至 PyPI。

其原理较为简单,攻击将受害者引导至网络钓鱼页面,使用反向代理获取用户期望的所有合法内容,包括登录页面——当流量通过代理时,它会进行嗅探。通过这种方式,攻击者可以获取有效的会话 cookie 并绕过用户名、密码、2FA令牌进行身份验证等操作,从而实现访问目标账户。

EvilProxy服务承诺窃取用户名、密码和会话cookie,费用为150美元(10天)、250美元(20 天)或400美元(30天)。而针对Google帐户攻击的使用费用更高,为 250/450/600 美元。Resecurity还在社交平台上演示了,EvilProxy是如何针对Google帐户发起网络钓鱼攻击。

]]>
伊朗勒索软件组织攻击美国企业,遭美政府溯源真实身份并制裁 Sun, 25 Sep 2022 04:45:26 +0800 安全内参9月15日消息,美国财政部海外资产控制办公室(OFAC)昨天宣布,对隶属于伊朗伊斯兰革命卫队(IRGC)的10名个人和两家实体实施制裁,理由是他们参与了勒索软件攻击。

美国财政部声称,过去两年以来,这些个人涉嫌参与多起勒索软件攻击,并入侵了美国和全球其他地区组织的网络。

这些恶意活动,还与多家网络厂商分别跟踪的国家资助黑客活动存在交集,具体包括APT35、Charming Kitten、Phosphorus、DEV-0270、Tunnel Vision和Nemesis Kitten。

美国财政部表示,“已经有多家网络安全公司发现,这些入侵活动确与伊朗政府有关。他们此前进行过多种恶意网络攻击,包括勒索软件和网络间谍活动。”

“该团伙针对全球各组织及官员发起广泛攻击,重点针对美国及中东地区的国防、外交和政府工作人员,同时也将矛头指向媒体、能源、商业服务和电信等私营行业。”

三名成员信息被悬赏3000万美元

作为伊朗伊斯兰革命卫队的附属组织,该团伙的成员主要是总部位于伊朗的Najee Technology Hooshmand Fater LLC(简称Najee Technology)和Afkar System Yazd公司(简称Afkar System)员工,其中包括:

Mansour Ahmadi:Najee Technology公司法人、董事总经理兼董事会主席

Ahmad Khatibi Aghda:Afkar System公司董事总经理兼董事会成员

其他雇员及同事:Ali Agha-Ahmadi、Mohammad Agha Ahmadi、Mo'in Mahdavi、Aliakbar Rashidi-Barjini、Amir Hossein Nikaeen Ravari、Mostafa Haji Hosseini、Mojtaba Haji Hosseini及Mohammad Shakeri-Ashtijeh

美国财政部之前曾制裁与Net Peygard Samavat公司相关的人员,理由是他们曾于2019年同伊斯兰革命卫队和伊朗情报与安全部(MOIS)开展合作。

一年之后,美国财政部又制裁了Rana Intelligence Computing公司及部分员工,称这家打着经营旗号的企业其实在代表伊情报与安全部协调网络攻击活动。

在此次制裁公告中,美国国务院提供3000万美元,征集关于Mansour Ahmadi、Ahmad Khatibi Aghda和Hossein Nikaeen Ravari三名受制裁伊朗人的信息。三人也因涉嫌参与针对美国关键基础设施组织的勒索软件攻击,面临美国司法部的指控。

美国安全公司提供溯源证据链

昨天,美国、加拿大、英国和澳大利亚的网络安全机构还发布联合公告,描述了该威胁团伙的恶意活动并披露了技术细节。

安全公司Secureworks也紧跟发布一份报告,证实了美国财政部的信息。

Secureworks公司表示,由于抓住了对方在2022年6月勒索软件事件中犯下的操作失误,该公司成功将Nemesis Kitten(也称Cobalt Mirage)团伙同伊朗的Najee Technology、Afkar System两家公司,以及名为Secnerd的另一家实体联系了起来。

Secureworks公司反威胁部门(CTU)在今年5月的报告中,也曾提到涉及Nemesis Kitten的类似恶意攻击(与Phosphorus APT团伙存在交集)。

上周,微软表示,Nemesis Kitten(也称DEV-0270)团伙一直悄悄“作为伊朗支持的Phosphorus网络间谍团伙(又名Charming Kitten和APT35)的子部门,为个人或公司获取非法收入。”

微软将该团伙与多家伊朗企业联系了起来,其中包括Najee Technology、Secnerd和Lifeweb。

微软解释道,“该团伙的攻击目标有很大的随机性:他们会首先扫描互联网以查找易受攻击的服务器和设备,因此服务器和设备易受攻击且暴露在网上的组织更可能受到攻击影响。”

]]>
近6年黑客企图入侵韩国政府网络近56万次 Sun, 25 Sep 2022 04:45:26 +0800 韩联社首尔9月13日电 韩国国会行政安全委员会所属共同民主党籍议员李海植13日公开的一份资料显示,近6年来黑客企图入侵韩国政府网络系统近56万次。

这份来自行政安全部的统计资料显示,近5年零7个月(2017年到2022年7月)期间,黑客共55.8674万次企图入侵政府网络系统。按年度看,2017年为6.2532万次,2018年为9.498万次,2019年为12.4754万次,2020年为10.881万次,2021年为10.1123万次,整体呈逐年递增趋势。今年1月至7月共6.6475万次。

追踪网络层协议(IP)地址的结果显示,来自中国的攻击试图最多,共有12.7908万次(22.9%),其次是来自美国的11.3086万次(20.2%),韩国的4.7725万次(8.5%),俄罗斯的2.6261万次(4.7%),德国的1.5539万次(2.8%),巴西的1.3591万次(2.4%)等。按攻击类型来看,泄露信息(40.9%)最多,其次是收集信息(16.5%)、篡改网页(15.7%)、获取系统权限(14.2%)等。

李海植表示,试图攻击政府网络的黑客逐年增加意味着国家安全和国民的个人信息受到威胁,有必要从政府层面制定全面的网络安全防范对策。

]]>
原来用户隐私是这样被泄露:超八成搜索网站将信息出售 Sun, 25 Sep 2022 04:45:26 +0800 互联网时代给用户带来了极大地便利,但也让个人隐私信息无处躲藏。打开电商购物平台,APP的精准推荐总是让人感到不安;打开搜索平台,跳出的智能搜索记录着浏览行为;打开娱乐软件,推荐算法让用户逐渐沉迷其中......

虽然“隐私”在数字化的世界已经无处安放,但我们却很少去认真思考,隐私究竟是怎样被泄露的?

近日,诺顿LifeLock实验室研究后发现,超过8成带有搜索栏的网站会将访问者的搜索字词泄露给谷歌等在线广告商。

很明显这是在赤裸裸地侵犯用户隐私,并公然将敏感信息泄露给庞大的第三方服务商,借助这些信息,谷歌等在线广告商可以提供有针对性的广告或跟踪用户的网络行为。这些数据甚至有可能在这些服务商之间共享,又或者是多次转手出售给更多的企业,由此带来的恶果是,用户的隐私信息将会一直存在互联网上,一直被曝光。

虽然一些网站可能会在其用户政策中声明这种做法,但访问者通常不会阅读这些内容,并认为他们在嵌入式搜索字段中输入的信息是与大数据代理隔离的。

用爬虫发现信息泄露

为了研究用户隐私信息泄露的普遍程度,诺顿LifeLock实验室开发了一个基于Chrome 浏览器的网络爬虫。该爬虫可以使用前100万个网站内部的搜索功能并执行搜索,最后搜索后捕获所有网络流量,以此查看用户的搜索词会流转到哪里。

为了区别于其他的普通搜索,实验室使用了一个特定的搜索词“jellybeans”,以确保可以在网络流量中轻松找到测试的搜索词。

众所周知,一个典型的 HTTP 网络请求由三部分组成:URL、Request Header 和 payload。HTTP 请求标头是浏览器自动发送的元数据(见下文),有效负载是脚本或表单请求的附加数据,可能包括更详细的跟踪信息,例如浏览器指纹或点击流数据。在实际研究中,安全研究人员在网络请求的Referer 请求标头、URL 和有效负载中寻找关键词“jellybeans”。

结果令人感到非常惊讶。在具有内部站点搜索功能的顶级网站中,安全研究人员发现,81.3%的网站都在以某种形式向第三方泄露搜索字词:75.8% 的网站通过Referer标头,71% 的网站通过URL,21.2%的网站通过有效载荷。这也就意味着网站通常会以多个向量泄露关键词。

研究人员强调,八成只是最低的数字,因为他们仅在三个特定位置查找“jellybeans”搜索字符串,还有不少有效载荷被混淆以避免被工具检查,因此有效载荷的实际数量将会更高。

鉴于如此严峻的结果,安全研究人员很好奇这些网站是否都告知用户,其搜索关键词将会被发给第三方服务商。事实上,自欧洲通用数据保护条例 (GDPR) 和加利福尼亚州消费者隐私法 (CCPA) 通过以来,许多网站都更新了各自的隐私政策,那么又有多少网站明确告知了这些内容?

为此安全研究人员再次使用爬虫爬取了隐私政策,并建立了一个人工智能逻辑来阅读隐私政策,结果发现只有13% 的隐私政策明确提到了用户搜索词的处理,如此之低的比例再次让安全研究人员感到震惊。这不仅侵犯了用户隐私,而且还侵犯了用户的知情同意权。

]]>
大事件!乌方:网络攻击已瘫痪俄罗斯2400个网站 Sun, 25 Sep 2022 04:45:26 +0800 据乌克兰数字转型部消息,乌克兰IT军队在8月29日至9月11日的两周内,攻击了2400多个俄罗斯网站,其中包括俄罗斯联邦最大银行、汽车在线销售平台、俄罗斯主要媒体等。

当地时间9月12日,乌克兰数字转型部在Telegram宣布,其IT团队致使俄罗斯2400多个俄罗斯网站瘫痪,涉及金融业、实体企业、媒体等组织。

俄罗斯联邦最大和最重要的银行:俄罗斯天然气工业银行、莫斯科信贷银行、俄罗斯国家银行的服务瘫痪,导致俄罗斯用户无法使用网上银行或通过智能手机进行金融交易。乌克兰数字转型部表示,“更严重的是,俄罗斯士兵领不到工资,亲属领不到赔偿。”

受影响的还有而连锁汽车经销商在线网站Drom、乳制品批发和零售商的电子文档管理系统。俄罗斯主要宣传媒体《俄罗斯日报》也陷入瘫痪。乌克兰数字转型部表示,“我们注意到,一些宣传人员已经在考虑停战,但现在已经太迟了。”

此外,乌克兰IT团队还在9月1日(苏联解体国家的知识日),通过克里米亚主要电视频道,向学生传达总统泽连斯基的问候。

据乌克兰媒体Ukrinform报道,9月11日俄罗斯对乌克兰展开大规模袭击,哈尔科夫和顿涅茨克地区的电力被完全切断。根据乌克兰能源部的数据,共有40个的变电站停电,4名电力工程师遇难。

]]>
思科确认 Yanluowang 勒索软件团伙泄露了公司数据 Sun, 25 Sep 2022 04:45:26 +0800 Bleeping Computer 网站披露,思科公司已经确认 Yanluowang 勒索软件团伙泄露的数据是黑客在5月份一次网络攻击中从该公司网络中窃取的。

值得一提的是,思科方面在一份公告中表示,此次数据泄漏事件不会对公司业务有任何影响。

公告中部分内容:

2022 年 9 月 11 日,黑客将相同文件的实际内容发布到了暗网同一位置上,这些文件的内容与公司已经识别和披露的内容相符。思科方面认为对公司业务没有影响,包括思科产品或服务、敏感的客户数据或敏感的员工信息、知识产权或供应链运营等。

据悉,早在 8 月份的一份报告中,思科就宣布在黑客入侵员工 VPN 帐户后,其网络已被 Yanluowang 勒索软件入侵。随后思科强调被盗的数据包括该员工 Box 文件夹中的非敏感文件,攻击在 Yanluowang 勒索软件开始加密系统之前就已被遏制。

黑客声称窃取了55GB的数据

有意思的是,黑客表示事情并不是思科所说的那样,Yanluowang 幕后主使人向 BleepingComputer 透露,该组织窃取了思科成千上万的文件,总计达到了 55 GB ,文件主要包括机密文件、技术原理图和源代码。

不过,该名黑客没有提供任何证据,只分享了一张截图(表明可以访问似乎是开发系统的界面),因此 BleepingComputer 也无法核实这一说法的准确性。当被要求对此事发表评论时,思科否认了入侵者能够访问任何源代码的可能性。

公司没有证据表明攻击者访问了思科产品的源代码,也没有任何超出我们已经公开披露的实质性访问——思科

上月末,网络安全公司eSentire的研究团队发表了一份报告,其中有证据表明 Yanluowang、“Evil Corp”(UNC2165)和 FiveHands 勒索软件(UNC2447)之间存在关联。但Yanluowang勒索软件团伙告诉 BleepingComputer,他们在攻破思科时是单独行动,与这些派别都没有关系。

]]>
250万学生贷款记录因违规泄露 Sun, 25 Sep 2022 04:45:26 +0800 据外媒报道,EdFinancial 和俄克拉荷马州学生贷款管理局 (OSLA)已承认,超过250万学生用户的个人数据和贷款记录遭泄露,目前正在陆续通知受害者。

根据其披露的违规信息,造成此次数据泄露的主要元凶是Nelnet Servicing公司——一家服务系统和网络门户提供商,为 OSLA 和 EdFinancial 提供相应的服务。

2022年7月,Nelnet公司曾向用户发布了一封公开信,披露了存在的违规行为以及可能泄露个人贷款记录。该公司在公开信中强调,在事件发生后,网络安全团队立即采取行动保护信息系统,并极力阻止一切可以行动,及时与第三方网络安全专家展开联合调查,以确定活动的性质和范围,尽可能解决这一网络安全事件。

直到8月17日,调查结果显示,个人用户信息已经被未经授权的第三方访问,数据泄露已成定局。此次事件中泄露了250万学生贷款记录,以及账户持有人的姓名、家庭住址、电子邮件地址、电话号码和社会保险号码,个人财务信息没有泄露。

Nelnet法律顾问向俄克拉荷马州提交了违规披露文件,但尚不清楚被攻击的原因和具体的漏洞信息。

尽管极为关键的个人财务信息没有泄露,但是在 Nelnet事件中泄露的个人信息,未来很有可能被攻击者在社会工程或网络钓鱼攻击活动中利用。恰好拜登政府上周出台了一项“减免学生贷款”的计划,中低收入贷款人取消 10000 美元的学生贷款债务,别有用心的犯罪分子可能会利用这个机会进行诈骗,已经贷款的用户需提高警惕,认真辨别消息的真伪,避免上当受骗。

]]>
20.5亿条数据泄露?TikTok否认遭黑客攻击 Sun, 25 Sep 2022 04:45:26 +0800 据BleepingComputer报道,TikTok近日否认遭黑客入侵及源代码和用户数据被盗,黑客论坛泄露的20.5亿条数据与该公司“完全无关”。

上周五,一个名为“AgainstTheWest”的黑客组织在一个黑客论坛发帖声称已经入侵了TikTok和微信,并公布了一个Tiktok和微信的数据库屏幕截图,声称该数据库是在一个包含TikTok和微信用户数据的阿里云实例上访问的。

该黑客组织表示,该服务器在一个790GB的庞大数据库中保存了20.5亿条记录,其中包含用户数据、平台统计信息、软件代码、cookie、身份验证令牌、服务器信息等。

虽然该黑客组织的名字是“AgainstTheWest”(以下简称ATW),但该组织声称只针对敌视西方利益的国家和公司。

网络安全研究员CyberKnow解释说:“不要让这个名字让你感到困惑,ATW的目标是他们认为对西方社会构成威胁的国家,目前他们的目标是中国和俄罗斯,并计划在未来瞄准朝鲜、白俄罗斯和伊朗。”

TikTok否认被黑客入侵

TikTok告诉BleepingComputer,该公司被黑客入侵的说法是错误的。此外,该公司表示,在黑客论坛上共享的源代码不是其平台的一部分。

“这是一个错误的说法——我们的安全团队调查了这一声明,并确定有问题的代码与TikTok的后端源代码完全无关,后者从未与微信数据合并。”-TikTok。

TikTok还指出,泄露的用户数据不可能是直接抓取其平台造成的,因为它们有足够的安全保护措施来防止自动脚本收集用户信息。

BleepingComputer也已联系微信,但截止发稿尚未收到回复。

虽然微信和TikTok都是中国公司,但它们并不属于同一家母公司,前者属于腾讯,后者属于字节跳动。因此,在单个数据库中同时看到两家企业的数据表明该数据库不属于其中任何一家公司。

最有可能的情况是,该未受保护的数据库是由第三方数据抓取工具或代理人创建的,从两种服务中抓取公共数据并将其保存到单个数据库中。但是考虑到严格的隐私保护法规,如此大规模的隐私数据云端暴露真实性存疑。

HaveIBeenPwned创始人Troy Hunt发推文(下图)确认了某些数据(源代码)是有效的。但是Hunt表示已泄露的都是公开可访问代码,很可能是非生产环境或测试代码,目前没有任何证据表明TikTok存在内部系统漏洞。

此外,“数据库猎手”Bob Diachenko发推文称已经验证了泄露的用户数据是真实的,但无法提供有关数据来源的任何具体结论:

]]>
洲际酒店集团遭网络攻击预订系统瘫痪 Sun, 25 Sep 2022 04:45:26 +0800 洲际酒店集团是一家英国跨国公司,目前在100多个国家/地区经营6,028家酒店,并有1800多家在开发中,旗下品牌包括豪华、高档和基本连锁酒店,如洲际、丽晶、六善、皇冠假日、假日酒店等。

在周二在向伦敦证券交易所提交的文件中,洲际酒店集团报告其公司部分技术系统受到未经授权的活动的影响:“自昨天以来,IHG的预订渠道和其他应用程序已被严重中断,而且这种情况仍在继续。”

根据报告,洲际酒店集团已聘请外部专家对事件进行调查,并正在通知相关监管机构。 

洲际酒店集团是一家英国跨国公司,目前在100多个国家/地区经营6,028家酒店,并有1800多家在开发中,旗下品牌包括豪华、高档和基本连锁酒店,如洲际、丽晶、六善、皇冠假日、假日酒店等。

在周二在向伦敦证券交易所提交的文件中,洲际酒店集团报告其公司部分技术系统受到未经授权的活动的影响:“自昨天以来,IHG的预订渠道和其他应用程序已被严重中断,而且这种情况仍在继续。”

根据报告,洲际酒店集团已聘请外部专家对事件进行调查,并正在通知相关监管机构。 

根据BleepingComputer的测试,洲际酒店集团的API也出现故障,并显示502和503HTTP错误。

洲际酒店集团客户端APP目前也无法登录,显示“出现问题,您输入的凭据无效。请重置您的密码或联系客户服务。”的错误信息

网络犯罪情报公司Hudson Rock表示,根据与ihg[.]com域名相关的数据分析,IHG至少有15名员工和4000多名用户遭到入侵。

这家连锁酒店巨头也是2017年(9月29日至12月29日)长达三个月的漏洞攻击事件的受害者目标,当时美国有1200多家洲际特许经营酒店受到影响。

]]>
洛杉矶联合学区遭勒索软件攻击 多项服务出现中断 Sun, 25 Sep 2022 04:45:26 +0800 洛杉矶联合学区 (LAUSD) 承认遭到勒索软件攻击,导致持续的技术中断。LAUSD 是仅次于纽约市教育部的美国第二大学区。LAUSD 为 1000 多所学校的 60 多万名从幼儿园到 12 年级的学生提供服务,并雇用了超过 26000 名教师。

本周一,该学区承认在上周末遭到网络攻击,随后确认攻击类型为勒索软件。尽管本次攻击导致 LAUSD 基础设施出现“明显的中断”,不过该学区表示正着手恢复受影响的服务。LAUSD 表示,预计技术问题不会影响交通、食品或课后活动,但指出“业务运营可能会延迟或修改”。

该学区警告说,持续的中断包括“访问电子邮件、计算机系统和应用程序”。该学区内 Northridge Academy High 学校的一篇帖子证实,教师和学生可能无法访问 Google Drive 和 Schoology,这是一个 K- 12 学习管理系统,直至另行通知。

LAUSD 表示,根据对关键业务系统的初步分析,“员工医疗保健和工资单没有受到影响,网络事件也没有影响学校的安全和应急机制”。然而,目前尚不清楚攻击期间是否有任何数据被盗,LAUSD 尚未回答媒体的问题。勒索软件攻击者通常会在要求支付赎金之前泄露受害者的文件,旨在进一步勒索受害者,威胁要在不支付赎金的情况下在线泄露被盗数据。目前尚不清楚袭击的幕后黑手是谁。

]]>
谷歌Chrome浏览器再现0 day漏洞 已发布更新补丁 Sun, 25 Sep 2022 04:45:26 +0800  9 月 7 日消息,谷歌于 9 月 2 日发布了其 Chrome 浏览器的更新,其中包含针对 Mac 和 Windows 版漏洞的修复。

Chrome 浏览器 105.0.5195.102 版本更新已推出,修复了一个高风险安全漏洞,该漏洞修补了一个危险的 0 day 漏洞,即被发现后立即被恶意利用的安全漏洞。这是该公司在 2022 年迄今为止修补的第六个 0 day 漏洞。

此前修复的 5 个 0 day 漏洞分别为 CVE-2022-0609、CVE-2022-1096、CVE-2022-1364、CVE-2022-2294 和 CVE-2022-2856。

IT之家了解到,匿名报告称,新漏洞 CVE-2022-3075 是 Mojo 中数据验证不足导致的。Mojo 是一组运行时库,有助于跨任意进程间和进程内边界传递消息。

谷歌表示:“在大多数用户更新修复程序之前,可能会限制对错误详细信息和链接的访问。如果错误存在于其他项目类似依赖但尚未修复的第三方库中,我们还将保留限制。”

]]>
《安联智库-网安周报》2022-09-05 Sun, 25 Sep 2022 04:45:26 +0800

1、黑山遭遇勒索软件攻击,黑客索要1000万美元

Bleeping Computer 网站披露,黑山政府关键基础设施遭到了勒索软件攻击,黑客索要 1000 万美元巨款。
黑山公共管理部长马拉斯-杜卡伊在接受当地电视台采访时表示,此次网络攻击背后是一个有组织的网络犯罪集团,之后杜卡伊又补充说,黑客在这次攻击中使用了一种“特殊病毒”,并提出了 1000 万美元的赎金要求。
2、意大利石油巨头 ENI 遭受网络攻击

Security Affairs 网站披露,意大利石油巨头ENI 遭受网络攻击,攻击者破坏了其计算机网络,但该公司称,攻击并未产生很恶劣的影响。

攻击事件发生不久后,ENI 一位发言人在接受路透社采访时透露,是在最近几天内部保护系统检测时,发现了此次网络攻击事件,随后就向意大利当局报告了这一事件,当局也已经展开调查。

目前,没有披露出关于此次攻击的具体技术细节,也没有确定攻击者是采用那种方式入侵了公司和攻击者动机。从知情人士透露出的消息来看,ENI 可能遭受了勒索软件攻击。勒索软会锁定计算机并阻止对文件的访问以代替付款,目前尚不清楚攻击事件的主谋。

3、美国国税局泄露了12万人的机密信息

9月4日消息,据《华尔街日报》报道,美国国税局于当地时间周五表示,官网无意中发布了涉及约 120000 人的通常机密信息,目前已发现错误并从网站上删除了数据。

据报道,泄露的数据包括姓名、联系信息和有关这些 IRA 收入的财务信息。根据美国政府周五发送给国会主要成员的一封信,财政部确定,其中不包括社会安全号码、完整的个人收入信息或其他可能影响纳税人信用的数据。

美国国税局和财政部称,从去年开始,以电子方式提交 990-T 表格时出现了人为编码错误。一些非公开数据被错误地包含在了公共数据中,并且所有这些数据都可以在该机构的网站上进行搜索和下载。

4、匿名黑客控制了俄罗斯最大的出租车公司,造成了大规模的交通堵塞

本周,黑客控制了莫斯科市中心,造成了长达两小时的交通堵塞。根据推特的报道,黑客操纵了Yandex出租车应用程序,让所有可用的出租车同时到同一个地方。

这条被称为莫斯科库图佐夫前景的街道堵塞了几个小时,出租车司机发现他们无法离开这一地区。匿名者声称这是他们“OpRussia”的一部分,但他们的角色尚未得到证实。

出租车公司的一位发言人表示,安保部门立即制止了人为囤积车辆的行为。由于假订单,司机们在路上花费了大约40分钟。赔偿的问题将在不久的将来得到解决。检测和防止此类攻击的算法已经得到了改进,以帮助防止未来发生此类攻击。虽然这次黑客攻击是通过Yandex应用程序发生的,但它突显了一旦自动驾驶汽车成为现实,黑客可能会带来的危险。

]]>
美国国税局泄露了12万人的机密信息 Sun, 25 Sep 2022 04:45:26 +0800 9月4日消息,据《华尔街日报》报道,美国国税局于当地时间周五表示,官网无意中发布了涉及约 120000 人的通常机密信息,目前已发现错误并从网站上删除了数据。

这些数据来自 990-T 表格,该表格通常用于拥有个人退休账户且在这些退休计划中赚取某些类型业务收入的人。

据报道,泄露的数据包括姓名、联系信息和有关这些 IRA 收入的财务信息。根据美国政府周五发送给国会主要成员的一封信,财政部确定,其中不包括社会安全号码、完整的个人收入信息或其他可能影响纳税人信用的数据。

美国国税局和财政部称,从去年开始,以电子方式提交 990-T 表格时出现了人为编码错误。一些非公开数据被错误地包含在了公共数据中,并且所有这些数据都可以在该机构的网站上进行搜索和下载。IT之家了解到,《华尔街日报》称其也下载到了部分数据。

美国国税局的一名研究人员最近几周发现了这个错误,引发了更广泛的调查。根据管理重大信息安全事件的联邦法律的要求,美国国税局于周五通知了国会。受影响的纳税人将在未来几周内收到通知。

]]>
匿名黑客控制了俄罗斯最大的出租车公司,造成了大规模的交通堵塞 Sun, 25 Sep 2022 04:45:26 +0800 本周,黑客控制了莫斯科市中心,造成了长达两小时的交通堵塞。根据推特的报道,黑客操纵了Yandex出租车应用程序,让所有可用的出租车同时到同一个地方。

这条被称为莫斯科库图佐夫前景的街道堵塞了几个小时,出租车司机发现他们无法离开这一地区。

匿名者声称这是他们“OpRussia”的一部分,但他们的角色尚未得到证实。

出租车公司的一位发言人表示,安保部门立即制止了人为囤积车辆的行为。由于假订单,司机们在路上花费了大约40分钟。赔偿的问题将在不久的将来得到解决。检测和防止此类攻击的算法已经得到了改进,以帮助防止未来发生此类攻击。

虽然这次黑客攻击是通过Yandex应用程序发生的,但它突显了一旦自动驾驶汽车成为现实,黑客可能会带来的危险。

Yandex出租车被广泛称为“俄罗斯谷歌”,在全球1000多个城市运营,也是世界上从事自动驾驶技术的最大公司之一。如果一支舰队人工智能无人驾驶的出租车可能会被黑客接管,谁也不知道会造成什么样的破坏,从网络罪犯到军队,每个人都有能力瘫痪整个城镇和国家。

]]>
意大利石油巨头 ENI 遭受网络攻击 Sun, 25 Sep 2022 04:45:26 +0800 Security Affairs 网站披露,意大利石油巨头ENI 遭受网络攻击,攻击者破坏了其计算机网络,但该公司称,攻击并未产生很恶劣的影响。

攻击事件发生不久后,ENI 一位发言人在接受路透社采访时透露,是在最近几天内部保护系统检测时,发现了此次网络攻击事件,随后就向意大利当局报告了这一事件,当局也已经展开调查。

彭博社首次披露了攻击事件

周三,彭博新闻社首先报道了 ENI 遭受攻击的消息,并猜测 ENI  似乎受到了勒索软件攻击。

目前,没有披露出关于此次攻击的具体技术细节,也没有确定攻击者是采用那种方式入侵了公司和攻击者动机。

从知情人士透露出的消息来看,ENI 可能遭受了勒索软件攻击。勒索软会锁定计算机并阻止对文件的访问以代替付款,目前尚不清楚攻击事件的主谋。

意大利其他部门同样也遭受了网络攻击

上周末,意大利能源机构 Gestore dei Servizi Energetici SpA 遭受了网络攻击,(GSE 是运营意大利电力市场的政府机构)。GSE 的网站目前仍然处于瘫痪状态。熟悉此事的人向彭博社透露,能源公司的基础设施遭到严重破坏,对该机构的运作产生了很大影响。

更糟糕的是,公共关键基础设施运营商一旦遭受网络攻击,可能导致向用户提供电力、水和其他服务的运营系统中断,最终影响民众的生活。

去年,位于佐治亚州阿尔法雷塔的 Colonial Pipeline Co遭受了网络攻击,导致其 IT 系统瘫痪,被迫关闭了美国最大的燃料管道。今年 2 月,位于德国汉堡的石油交易商 Mabanaft 遭受网络攻击,严重破坏了德国各地的燃料供应工作。

]]>
黑山遭遇勒索软件攻击,黑客索要1000万美元 Sun, 25 Sep 2022 04:45:26 +0800 Bleeping Computer 网站披露,黑山政府关键基础设施遭到了勒索软件攻击,黑客索要 1000 万美元巨款。

黑山公共管理部长马拉斯-杜卡伊在接受当地电视台采访时表示,此次网络攻击背后是一个有组织的网络犯罪集团,之后杜卡伊又补充说,黑客在这次攻击中使用了一种“特殊病毒”,并提出了 1000 万美元的赎金要求。

最后,杜卡伊强调,无法估计受黑客影响的服务何时能够重新恢复正常使用。

幕后主使者 Cuba 勒索软件

值得一提的是,此前杜卡伊和黑山国防部长向当地媒体透露,他们有足够的证据怀疑网络攻击是由俄罗斯服务机构指挥的,并动员巴尔干国家的北约盟友帮助他们进行事件响应、防御和补救。

如果他们所述属实,会使攻击事件显得具有强烈的地缘政治色彩。

事情很快出现了反转,在黑山政治人物发声不久后,Cuba 勒索软件团伙将黑山议会(Skupstina)列为其受害者,并声称盗取了财务文件、与银行的通信记录、资产负债表、税务文件、赔偿金,甚至源代码等资料。

这些数据分类在该网站的“免费 ”部分,任何访问者都可以无限制地使用。

Cuba勒索软件的演变

近段时间,Cuba 勒索软件表现出了明显演变。三周前,安全研究人员发现了该团伙使用一个新的工具集,以及之前未见过的策略、技术和程序。

6月,Cuba 勒索软件更新了其加密器,增加了一些选项,并建立了一个支持“受害者实时沟通”的渠道。

另一个值得注意是,2021年,大量美国实体组织在 Cuba团伙的目标范围中。

]]>
印度阿卡萨航空公司承认存在安全漏洞 导致34533条用户信息暴露 Sun, 25 Sep 2022 04:45:26 +0800 本月初开始商业运营的印度阿卡萨航空公司(Akasa Air)由于注册登陆服务中的技术故障,导致数千名用户的个人数据被披露。这些披露的数据是由阿舒托什·巴罗特(Ashutosh Barot)发现的,其中包括客户全名、性别、电子邮件地址、手机号码等等。

在阿卡萨航空公司网站于 8 月 7 日成立上线之后,巴罗特在几分钟之后就发现了 HTTP 请求漏洞。他最初试图直接与这家总部位于孟买的航空公司的安全团队沟通,但没有找到直接联系人。

这位研究专家表示:“我通过他们的官方Twitter账户联系了航空公司,要求他们提供一个电子邮件 ID 来报告这个问题。他们给了我 info@akasa 电子邮件 ID,我没有向其分享漏洞详细信息,因为它可能由支持人员或第三方供应商处理。所以,我再次给他们发了电子邮件,并要求 [航空公司] 提供他们安全团队中某人的 [the] 电子邮件地址。我没有收到来自 Akasa 的进一步通信”。

在没有得到航空公司关于他如何与安全团队联系的回应后,研究人员向 TechCrunch 通报了这个问题。在 TechCrunch 联系之后,该航空公司承认确实存在该问题,导致 34,533 条客户记录面临风险。该航空公司还表示,暴露的数据不包括与旅行相关的信息或支付记录。该航空公司告诉 TechCrunch,它进行了额外的审查,以确保其所有系统的安全性。

]]>
俄罗斯流媒体巨头遭恶意攻击,210万中国用户数据泄露 Sun, 25 Sep 2022 04:45:26 +0800 8月30日消息,俄罗斯流媒体巨头START 在上周日表示,其客户的个人信息在一次网络攻击中被泄露。

该公司没有透露具体有多少用户受到此次事件的影响,但根据俄罗斯Telegram频道“Information Leaks”的信息(该频道率先公布了此次事件,并附上一张据称为泄露信息的截图),泄露数据库总计72 GB大小,包含4400万客户的数据。

此次泄露的信息包括用户名、电子邮件地址、哈希密码、IP地址、用户注册国家、订阅起始及结束日期,以及最后一次登录记录。

START共在超过174个国家销售电影和电视节目,此次事件也让其成为俄乌冲突爆发后,遭受数据泄露和黑客攻击影响的众多俄罗斯企业之一。

据称,这起数据泄露事件已经影响到全球观众,包括俄罗斯本土的2460万用户、哈萨克斯坦的230万用户、中国的210万用户及乌克兰的170万用户。

恶意黑客宣称,这些数据来自一个暴露在互联网上的MongoDB数据库,其中包含去年9月22日之前在START网站上注册用户的详细信息。

START公司表示,已经修复了漏洞并设置了数据库访问权限,事件声明中写道,“泄露的数据对恶意黑客而言意义不大,其中最重要的内容也只有用户的电子邮件和电话号码。”

据START介绍,该数据库中不存在信用卡号等重要的财务信息。由于密码已经加密,该公司也未要求用户更改原有密码。

START公司数据科学主管Ilya Braslavskiy表示,只有少部分用户(不到2%)在网站注册时填写了真实姓名。他在Telegram上写道,“本人姓名并非必填字段,所以大多数用户没必要提交。”

目前尚不清楚此次攻击的幕后黑手和行为动机,也没有黑客团伙宣称对这起事件负责。

广电媒体成俄乌冲突期间攻击重点

今年7月初,来自乌克兰IT军的恶意黑客利用分布式拒绝服务(DDoS)攻击影响了约80家俄罗斯在线电影网站,泛滥的垃圾流量导致这些线上观影平台无法正常访问。

今年3月,匿名恶意黑客还曾入侵俄罗斯流媒体服务Wink和Ivi,并播放了俄乌战场上拍摄的真实画面。

俄乌战争期间,乌克兰方面的流媒体服务也同样饱受俄方网络攻击的摧残。今年6月,亲俄派黑客就攻击了乌克兰流媒体服务Oll.tv,并把足球赛转播替换成了俄文宣传影像。

Megogo、Sweet.tv等其他重要流媒体服务商也大多表示受到DDoS攻击,但并未受到重大影响。

]]>
《安联智库-网安周报》2022-08-28 Sun, 25 Sep 2022 04:45:26 +0800

1、AR滤镜违规采集人脸信息 Snap或需支付2.4亿元和解金

近日,由于被质疑滤镜效果违反生物识别法案,社交软件Snapchat的母公司Snap将以3500万美元(约2.4亿元人民币)和解一起隐私集体诉讼案件。这起集体诉讼在美国伊利诺伊州发起,原告指控Snapchat的滤镜不合理地收集和存储了居民的人脸信息,并且未提前告知这些行为,这违反了伊利诺伊州的《生物信息隐私法案》。
作为一款以照片分享为主要功能的软件,丰富的滤镜是Snapchat产品竞争力的重要组成部分。原告认为, Snapchat的滤镜可以通过摄像头,扫描、采集,并修改用户面部数据,以达到任意改变他们在镜头中的脸部形象的效果。然而,这些面部数据属于BIPA保护的“生物识别标识符(biometric identifier)”。同时,Snapchat并没有公开告知收集、使用和销毁个人生物识别信息的具体流程。
随着技术的逐渐普及,其中的风险也逐渐被用户所重视。
2、美外卖巨头发生数据泄露 涉及用户姓名、地址等信息

 8 月 27 日消息,据华尔街日报报道,当地时间周四,DoorDash 报告了一起数据泄露事件,涉及该公司的用户和配送员等信息。

DoorDash 表示,被读取的信息包括客户姓名、电子邮件地址、送货地址和电话号码、订单信息和部分支付卡信息。此外,DoorDash 工作人员的姓名、电话号码或电子邮件地址也被泄露。

不过,DoorDash 指出,受影响的人数只占该公司持有信息的“很小百分比”。在被问及此事时,DoorDash 的一名发言人不愿提供更具体的数字。

据 DoorDash 介绍,该公司调查了此次入侵事件,并认定“未经授权的一方使用窃取的供应商员工身份验证信息获得了我们部分内部工具的权限”。

3、北美国家政务机构遭勒索软件攻击,内部数据全部泄露

8月26日消息,位于北美洲的多米尼加共和国突遇横祸,农业部下属机构Instituto Agrario Dominicano(IAD)受到Quantum勒索软件攻击,导致该机构内多个服务及工作站被加密锁定。

IAD技术总监Walixson Amaury Nuñez向当地媒体表示,“对方开价超过60万美元。我们这边被锁定的包括四台物理服务器和八台虚拟服务器,几乎是我们的全部服务器设备了。”Núñez还透露,“由于数据库、应用程序和电子邮件等都受到了影响,信息已经全面泄露。

IAD告诉当地媒体,他们的系统上只装有防病毒软件之类最基础的安全软件,并且没有专门的网络安全部门。

4、黑客正使用AiTM攻击监控企业高管的微软 365帐户

据Bleeping Computer8月24日消息,一项新的商业电子邮件泄露 (BEC) 活动正将复杂的鱼叉式网络钓鱼与中间人攻击 (AiTM) 策略相结合,以入侵企业高管的 Microsoft 365 帐户,其中包括受多因素身份验证 (MFA) 保护的帐户。


Mitiga 的研究人员在一次事件响应案例中发现了这一活动,这是一种典型的商业电子邮件泄露攻击,目的是在入侵并监控首席执行官或首席财务官等高级员工的账户后适时进行通信,并在适当的时候回复电子邮件,将大笔资金交易转移到他们控制的银行账户。

在攻击开始时,攻击者会向目标发送谎称付款的公司银行账户由于财务审计而被冻结的钓鱼邮件,并附有新的付款指令,这些指令会切换到由攻击者控制的银行账户。

在Mitiga例举的一个攻击样例中,对公司高管的攻击始于一封看似来自 DocuSign 的网络钓鱼电子邮件,(DocuSign 是一种在企业环境中广泛使用的电子协议管理平台),虽然电子邮件没有通过 DMARC 检查,但 Mitiga 发现, DocuSign 针对垃圾邮件的常见安全错误配置有助于它进入目标的收件箱。单击“查看文档”按钮时,受害者会被带到一个欺骗域上的网络钓鱼页面,要求收件人登录到 Windows 域。

攻击者被认为使用网络钓鱼框架(例如 Evilginx2 代理)来进行所谓的中间人攻击 (AiTM) 。在 AiTM 攻击期间, Evilginx2 等工具充当代理,位于网络钓鱼页面和目标公司的合法登录表单之间。由于代理位于中间,当受害者输入他们的凭证并解决 MFA 问题时,代理会窃取 Windows 域生成的Cookie。这时,可以将偷来的Cookie加载到他们自己的浏览器中,自动登录到受害者的账户中,并绕过MFA。

由于有效Cookie可能会过期或被撤销,因此攻击者会添加新的 MFA 设备并将其链接到被破坏的 Microsoft 365 帐户,这一举动不会生成任何警报或需要与原有帐户所有者进行进一步交互。

在 Mitiga 看到的案例中,攻击者添加了一部手机作为新的身份验证设备,以确保他们可以不间断地访问受感染的帐户。据研究人员称,攻击者正利用这种隐秘的漏洞几乎完全地访问 Exchange 和 SharePoint。根据日志,他们没有对受害者的收件箱采取任何行动,大概只是阅读电子邮件。

然而,攻击者可能正在等待合适的时机注入他们自己的电子邮件,以将发票付款转移到攻击者控制的银行账户中

]]>
美外卖巨头发生数据泄露 涉及用户姓名、地址等信息 Sun, 25 Sep 2022 04:45:26 +0800  8 月 27 日消息,据华尔街日报报道,当地时间周四,DoorDash 报告了一起数据泄露事件,涉及该公司的用户和配送员等信息。

IT之家了解到,DoorDash 表示,被读取的信息包括客户姓名、电子邮件地址、送货地址和电话号码、订单信息和部分支付卡信息。此外,DoorDash 工作人员的姓名、电话号码或电子邮件地址也被泄露。

不过,DoorDash 指出,受影响的人数只占该公司持有信息的“很小百分比”。在被问及此事时,DoorDash 的一名发言人不愿提供更具体的数字。

据 DoorDash 介绍,该公司调查了此次入侵事件,并认定“未经授权的一方使用窃取的供应商员工身份验证信息获得了我们部分内部工具的权限”。

]]>
AR滤镜违规采集人脸信息 Snap或需支付2.4亿元和解金 Sun, 25 Sep 2022 04:45:26 +0800 近日,由于被质疑滤镜效果违反生物识别法案,社交软件Snapchat的母公司Snap将以3500万美元(约2.4亿元人民币)和解一起隐私集体诉讼案件。这起集体诉讼在美国伊利诺伊州发起,原告指控Snapchat的滤镜不合理地收集和存储了居民的人脸信息,并且未提前告知这些行为,这违反了伊利诺伊州的《生物信息隐私法案》。

此前,Meta也因Facebook和Instagram上的滤镜功能在该州被起诉,最终停用了在该州的相关功能。

Snap:滤镜不违法,但是同意和解

根据伊利诺伊州杜佩奇县第十八巡回法院8月22日发布的文件,社交软件Snapchat的母公司Snap将可能以3500万美元和解该隐私集体诉讼案件。和解已于 8 月 8 日在法院提起,并获得了法官的初步批准。和解协议显示,正式批准后,自 2015 年 11 月 17 日以来所有使用过Snapchat的伊利诺伊州居民都将可能从这笔和解金中获得赔偿。

在此前的诉讼中,原告认为Snapchat的滤镜功能违反了伊利诺伊州的《生物识别信息隐私法》(以下简称“BIPA”),具体行为包括未经允许收集和使用了生物识别信息。

作为一款以照片分享为主要功能的软件,丰富的滤镜是Snapchat产品竞争力的重要组成部分。原告认为, Snapchat的滤镜可以通过摄像头,扫描、采集,并修改用户面部数据,以达到任意改变他们在镜头中的脸部形象的效果。然而,这些面部数据属于BIPA保护的“生物识别标识符(biometric identifier)”。同时,Snapchat并没有公开告知收集、使用和销毁个人生物识别信息的具体流程。

但Snap则否认了这些指控。公司表示,产品的滤镜功能是通过物体识别技术(object recognition technology)实现的,这项技术只会识别出人的五官并加上滤镜效果,但这些特征并不会指向特定的个人。此外,Snap还表示,数据会存储在用户的设备上,甚至部分数据会在关闭应用时就被删除,不可能被发送到公司的服务器。

科技公司深陷生物识别信息隐私诉讼

据悉,Snapchat的滤镜大多是依托AR增强现实技术实现的,简单来说,该技术就是将虚拟世界的CG图像投射到现实之中。应用中的滤镜会把镜头中的人脸变成动物、水果,或者是在照片上添加其他元素,用户可以选择相应的滤镜,并且根据自己的喜好进行调整。除了Snapchat,在海外,Facebook、Instagram和Tiktok等软件都推出了AR滤镜功能;而国内,AR滤镜也逐渐在各个应用普及,比如购物软件提供的AR试妆功能、还有短视频软件的部分变脸特效滤镜等。

但是,随着技术的逐渐普及,其中的风险也逐渐被用户所重视。事实上,Snapchat并不是第一个因为在软件中使用AR滤镜功能被指控违法收集用户信息的大型互联网公司。

今年5月,Meta也被指控违反BIPA和德克萨斯州的有关人脸识别与隐私的相关法律,随后Meta在伊利诺伊州和德克萨斯州关闭了旗下社交软件Facebook、Instagram等多个产品的AR滤镜功能。而在去年,由于频频被质疑非法收集用户生物识别信息,Meta宣布暂时关闭Facebook上的人脸识别系统,并将删除超过 10 亿人的个人面部识别模板。

而此前,字节跳动旗下产品TikTok也以 9200万美金和解的一起隐私集体诉讼,也涉及滤镜对人脸隐私的非法收集。在和解协议稿中,TikTok被指控违反BIPA,利用技术采集用户的面部特征并推荐相关的贴纸和滤镜。8月22日,法院正式批准和解。

]]>
北美国家政务机构遭勒索软件攻击,内部数据全部泄露 Sun, 25 Sep 2022 04:45:26 +0800 8月26日消息,位于北美洲的多米尼加共和国突遇横祸,农业部下属机构Instituto Agrario Dominicano(IAD)受到Quantum勒索软件攻击,导致该机构内多个服务及工作站被加密锁定。

IAD是多米尼加农业部的下辖机构,负责为该国执行土地改革计划。

当地媒体报道称,此次勒索攻击发生在8月18日,已经影响到IAD的正常运营。

IAD技术总监Walixson Amaury Nuñez向当地媒体表示,“对方开价超过60万美元。我们这边被锁定的包括四台物理服务器和八台虚拟服务器,几乎是我们的全部服务器设备了。”

一直协助IAD从攻击中恢复的国家网络安全中心(CNCS)表示,攻击者的IP地址来自美国和俄罗斯。

Núñez还透露,“由于数据库、应用程序和电子邮件等都受到了影响,信息已经全面泄露。”

IAD告诉当地媒体,他们的系统上只装有防病毒软件之类最基础的安全软件,并且没有专门的网络安全部门。

攻击者为Quantum勒索软件

外媒BleepingComputer从@VenezuelaBTH 推特上获悉,IAD不太可能向恶意黑客支付赎金,因为他们根本负担不起这么大笔款项。

调查发现,本次攻击的幕后黑手正是Quantum勒索团伙,他们最初开出65万美元赎金。

恶意黑客声称已经窃取到超过1 TB数据,并威胁称如果IAD不支付赎金,他们就把数据发布出去。

Quantum正逐步成为针对企业受害者的主要勒索软件团伙。他们之前曾攻击过应收账款管理公司Professional Finance Company(PFC),进而间接影响到超650家医疗保健机构。

据悉,Quantum团伙已经成为Conti勒索软件团伙旗下的附属组织,所使用的Quantum勒索软件则是由MountLocker勒索软件改头换面而来。

MountLocker勒索软件于2020年9月首次在攻击中亮相,随后曾多次变更名称,包括AstroLocker、XingLocker,以及现在的Quantum。

最后这次更名发生在2021年8月,当时该团伙的勒索软件加密器开始为被加密文件添加.quantum扩展名。不过在此之后,该团伙已经很少发动攻击,频繁的更名也暂时告一段落。

随着Conti勒索软件团伙的沉寂,Quantum团伙又开始蠢蠢欲动。

根据Advanced Intel公司Yelisey Boguslavskiy的介绍,一部分Conti团伙成员已经加入Quantum,因此攻击势头又有所恢复。

]]>
黑客正使用AiTM攻击监控企业高管的微软 365帐户 Sun, 25 Sep 2022 04:45:26 +0800 据Bleeping Computer8月24日消息,一项新的商业电子邮件泄露 (BEC) 活动正将复杂的鱼叉式网络钓鱼与中间人攻击 (AiTM) 策略相结合,以入侵企业高管的 Microsoft 365 帐户,其中包括受多因素身份验证 (MFA) 保护的帐户。

Mitiga 的研究人员在一次事件响应案例中发现了这一活动,这是一种典型的商业电子邮件泄露攻击,目的是在入侵并监控首席执行官或首席财务官等高级员工的账户后适时进行通信,并在适当的时候回复电子邮件,将大笔资金交易转移到他们控制的银行账户。

在攻击开始时,攻击者会向目标发送谎称付款的公司银行账户由于财务审计而被冻结的钓鱼邮件,并附有新的付款指令,这些指令会切换到由攻击者控制的银行账户。

在Mitiga例举的一个攻击样例中,对公司高管的攻击始于一封看似来自 DocuSign 的网络钓鱼电子邮件,(DocuSign 是一种在企业环境中广泛使用的电子协议管理平台),虽然电子邮件没有通过 DMARC 检查,但 Mitiga 发现, DocuSign 针对垃圾邮件的常见安全错误配置有助于它进入目标的收件箱。单击“查看文档”按钮时,受害者会被带到一个欺骗域上的网络钓鱼页面,要求收件人登录到 Windows 域。

攻击者被认为使用网络钓鱼框架(例如 Evilginx2 代理)来进行所谓的中间人攻击 (AiTM) 。在 AiTM 攻击期间, Evilginx2 等工具充当代理,位于网络钓鱼页面和目标公司的合法登录表单之间。由于代理位于中间,当受害者输入他们的凭证并解决 MFA 问题时,代理会窃取 Windows 域生成的Cookie。这时,可以将偷来的Cookie加载到他们自己的浏览器中,自动登录到受害者的账户中,并绕过MFA。

由于有效Cookie可能会过期或被撤销,因此攻击者会添加新的 MFA 设备并将其链接到被破坏的 Microsoft 365 帐户,这一举动不会生成任何警报或需要与原有帐户所有者进行进一步交互。

在 Mitiga 看到的案例中,攻击者添加了一部手机作为新的身份验证设备,以确保他们可以不间断地访问受感染的帐户。据研究人员称,攻击者正利用这种隐秘的漏洞几乎完全地访问 Exchange 和 SharePoint。根据日志,他们没有对受害者的收件箱采取任何行动,大概只是阅读电子邮件。

然而,攻击者可能正在等待合适的时机注入他们自己的电子邮件,以将发票付款转移到攻击者控制的银行账户中。

]]>
曾攻击云通讯巨头Twilio的黑客,又连续攻击130多个组织 Sun, 25 Sep 2022 04:45:26 +0800 在8月初接连攻击云通讯巨头Twilio和云服务商Cloudflare后,攻击者逐渐浮出水面。网络安全公司Group-IB指出,该组织在数月内疯狂入侵了130多家机构,盗取了近1万名员工的凭证。

Group-IB将该攻击组织追踪为0ktapus,该组织主要攻击使用Okta单点登录服务的企业。

Group-IB在一名客户受到网络钓鱼攻击后开展调查,结果显示,自3月以来,其至少窃取了9931个用户证书,其中超过一半包含用于访问公司网络的多因素认证码。

Group-IB高级威胁情报分析师Roberto Martinez向媒体表示,“在许多情况下,有一些特定的图像、字体或脚本,可以用来识别用使用同一套钓鱼工具设计的钓鱼网站。"在这种情况下,我们发现了一个被钓鱼的使用Okta认证的网站。”

“这些攻击案例很有意思,尽管它的技术含量低,但它还是能够危害大量知名组织,”Group-IB表示,“一旦攻击者入侵了一个组织,他们就能够迅速转向并发起后续的供应链攻击,这表明攻击是经过事先精心策划的。”

据信,0ktapus至少定制了 169 个域用于网络钓鱼,这些网站通过使用以前未记录的网络钓鱼工具包进行联合攻击。受害组织主要位于美国(114 个)、印度(4 个)、加拿大(3 个)、法国(2 个)、瑞典(2 个)和澳大利亚(1个) 等,分布在通讯、商业服务、金融、教育、零售、物流等行业。

虽然目前还不清楚攻击者是如何获得电话号码和员工姓名并发送短信钓鱼消息,Group-IB指出,攻击者首先以移动运营商和电信公司为目标,”可能从最初的攻击中收集到这些号码。”

该组织的最终目标仍不清楚,可能是间谍活动和经济动机,攻击者可以访问机密数据、知识产权、公司收件箱以及虹吸资金。最重要的是,入侵 Signal 帐户意味着,攻击者还试图获取私人对话和其他敏感数据。

]]>
全球最受欢迎的密码管理软件LastPass称其遭到黑客入侵 Sun, 25 Sep 2022 04:45:26 +0800 全球用户数超过3300万的密码管理软件公司LastPass表示,最近一名黑客在侵入其系统后窃取了源代码和专有信息。该公司在周四的一篇博客文章中表示,公司认为没有任何密码被盗,用户不需要采取行动来保护他们的账户。

一项调查发现未经授权方侵入了该公司的开发者环境,也就是员工用来构建和维护LastPass产品的软件。该公司称,侵入者通过一个受损的开发者账户获得访问权。

该公司的软件为用户自动生成并保存用于Netflix、Gmail等账户的密码,并且用户登陆这些账户时无需手动输入密码。LastPass在其网站上列出的客户名单包括Patagonia、Yelp Inc.、State Farm等。

网络安全网站Bleeping Computer报道称,在两周前曾向LastPass询问过这一入侵事件。

]]>
多米尼加共和国政府机构遭受勒索软件攻击 Sun, 25 Sep 2022 04:45:26 +0800 Bleeping Computer 网站披露,多米尼加共和国的多米尼加农业研究所(Instituto Agrario Dominicano)遭到了 Quantum 勒索软件的疯狂攻击,该勒索软件加密了整个政府机构的多项服务和工作站,导致部分工作暂时停滞。

当地媒体报道称,勒索软件攻击发生在 8 月 18 日,严重影响了多米尼加农业研究所(IAD)的运作。(IAD 隶属于农业部管理,主要负责执行多米尼加共和国的土地改革计划,是该国重要的政府机构)。

攻击者索要 60 万美元赎金

IAD 技术总监 Walixson Amaury Nuñez 在接收当地媒体采访时透漏,此次勒索软件攻击导致 IAD几乎所有服务器出现问题( 四个物理服务器和八个虚拟服务器出现故障)。此外,,因为数据库、应用程序、电子邮件等都受到影响,数据信息也基本都遭受了破坏。

值得一提的是,IAD 告诉当地媒体其系统中只有例如杀毒软件之类的基本安全软件,缺乏专业的安全部门。此次事件,攻击者索要 60 多万美元赎金。

攻击事件发生后,多米尼加共和国立即开始响应,经过家网络安全中心(CNCS)分析后发现,攻击者的 IP 地址来自美国和俄罗斯。

攻击背后的勒索软件组织

Bleeping Computer 从 Venezuela BT 处获悉,后者表示 IAD 不太可能支付赎金,60 万美元超出了他们的负担范围。

从媒体披露的信息来看,Quantum 勒索软件声称已经窃取了超过 1TB 的数据,最初要求 IAD 支付 65 万美元的赎金,并威胁如果 IAD 不公开支付赎金,就会立即泄露这些数据。1661399267_6306f0e3784b597de9c9c.jpg!small?1661399267701

据了解,Quantum 勒索软件团伙目前已成为 Conti 勒索软件的一个分支,主要接管了之前 MountLocker 勒索软件操作,此外,Quantum 与对 PFC 的攻击有关,影响了 650 多个医疗机构,正在成为针对企业的勒索软件操作中的主要角色。

MountLocker 从 2020 年 9 月开始首次部署在攻击中,随后以不同的名称多次更名,主要使用了 AstroLocker、XingLocker 等,最后是 Quantum。

更名为 Quantum 发生在 2021 年 8 月,在此之后,该品牌的重塑从未变得特别活跃,行动大多处于休眠状态,直到 Conti 勒索软件操作开始关闭,其成员开始寻找其他操作进行渗透。

从 Advanced Intel 的 Yelisey Boguslavskiy 的说法来看,一些 Conti 网络犯罪集团加入了 Quantum 勒索软件的行列。

]]>
男子2200万拍下一柯尼塞格 拍卖平台:被黑客攻击提不了车 Sun, 25 Sep 2022 04:45:26 +0800 在我们还在纠结买车全款还是贷款的时候,就有人在网上直接2200多万元,拍下一辆柯尼塞格超跑了,这你敢相信?不过,有钱人也有有钱人的烦恼,买车稍有不慎同样“进坑”。日前,网友上传一段视频显示,一名男子在拍卖平台看上了一辆柯尼塞格Regera超跑,8月19日,和朋友一起斥资2200多万元将其拍下。

8月21日收到平台的付款信息,将剩余车款2200多万元全款支付,计划22日前往天津提车。但是此时却有意外发生,平台告知,因为受到黑客攻击,导致拍卖结果有误。

原本愉快的提车之旅,现在变成了维权之路,就在他们去往天津的路上,拍卖平台无任何说法,将车款全额退还;5个多小时后,将300万元保证金一同退还。

8月24日,他们一行人来到拍卖平台所在公司,却得不到任何答复,也不出具任何证明,只说明事情仍在调查当中。

对此,买家相当不解,如果是他们拍卖后,不及时支付尾款,那么他们300万的保证金平台肯定不会退还;但现在是他们支付了尾款,而平台方却不给提车,平台这种做法是否构成违约,需要退还双重保证金?需要专业人士来解答。

目前,双方还未达成一致,后续关注。

]]>
国际航空重要供应商遭勒索软件攻击,航空业已成为勒索主要目标 Sun, 25 Sep 2022 04:45:26 +0800 8月25日消息,作为服务全球多家大型航空公司的技术提供商,Accelya表示,近期刚刚遭遇勒索软件攻击,部分系统已经受到影响。

Accelya的客户包括达美航空、英国航空、捷蓝航空、联合航空、维珍大西洋航空、美国航空等多家知名航空企业。

勒索软件公开发布窃取数据

8月23日,该公司披露,其聘请解决此事的两家安全厂商发现,Accelya内部数据已经被发布至专门的勒索泄密网站。

上周四(8月18日),AlphV/BlackCat勒索软件团伙公布了据称窃取自Accelya的数据。该团伙称窃取的数据包含电子邮件、员工合同等内容。

Accelya公司一位发言人称,他们聘请的专家设法“隔离”了勒索软件,阻断其在系统内进一步传播。

这位发言人表示,“我们的取证调查人员证实,受到攻击影响的只是整体环境中的一部分。没有证据表明恶意软件可能经由我们的系统,横向移动到我们客户的环境当中。”

他们还补充称,Accelya公司正在审查上周AlphV泄露网站上发布的数据,并将向受到信息泄露影响的客户发布通报。

Accelya公司主要负责为各大航空零业企业提供客运、货运与行业分析平台,与9个国家共250多家航空企业保持着合作关系。

2022年,航空产业已经成为勒索软件团伙的一大主要攻击目标。今年5月,印度香料航空(SpiceJet)和加拿大战斗机培训服务商均曾遭遇勒索软件攻击。

AlphV/BlackCat勒索软件是谁?

AlphV/BlackCat是当前最活跃的勒索软件团伙之一,上个月刚刚对路易斯安那州亚历山大市政府发动攻击,今年春季还先后攻击了多所大学。

同样是在上个月,该团伙又先后攻击了卢森堡两家能源公司,以及日本电子游戏巨头万代南梦宫。

根据几位专家的介绍,AlphV/BlackCat其实是BlackMatter勒索软件团伙的“马甲”,而BlackMatter又是DarkSide勒索团伙改头换面后的产物。这个DarkSide来头不小,最大的动作就是震惊世界的科洛尼尔管道运输公司攻击案。

该团伙的一位代表在今年2月接受了美媒The Record的采访,声称大多数主要勒索软件团伙间都有着某种形式的关联。

说起AlphV跟BlackMatter及DarkSide之间的关系,这位代表表示,“可以这么说,我们借用了他们的优势,同时回避了他们的劣势。”

FBI在4月的警报中提到,截至今年3月,执法机构已经追踪到至少60起由AlphV/BlackCat团伙发动的勒索软件攻击。

]]>
法国首都一医院遭勒索软件攻击:急诊被迫停业 赎金1000万美元 Sun, 25 Sep 2022 04:45:26 +0800 8月24日消息,距巴黎市中心28公里,拥有1000张床位的Center Hospitalier Sud Francilien(简称CHSF)医院上周日(8月21日)遭遇网络攻击,迫使其将患者转诊至其他机构,并推迟了手术预约。

CHSF为当地60万居民提供诊疗服务,因此任何运营中断,都有可能给身处危急关头的病患造成健康甚至是生命威胁。

经谷歌翻译,CHSF发布的公告称,“此次计算机网络攻击,导致我院业务软件、存储系统(特别是医学影像)及与患者入院相关的信息系统暂时无法访问。”

该医院的管理部门尚未发布进一步事态更新,目前IT系统中断引发的运营紧缺也仍未结束。

CHSF的医生们已经在对需要紧急护理的病患进行评估,如果迫切需要医学影像诊疗,病患们将被转移至另一处医疗中心。

法媒《世界报》称,攻击CHSF的勒索软件团伙要求受害者支付1000万美元以换取解密密钥。

一位警方消息人士向《世界报》透露,“目前,巴黎检察官办公室旗下的网络犯罪部门,已经启动了对这一入侵计算机系统,并企图实施勒索的有组织黑客团伙的调查”,由“调查工作由打击数字犯罪中心(C3N)的宪兵负责。”

幕后黑手或为LockBit 3.0

法国网络安全记者Valéry Riess-Marchive在事件中发现了LockBit 3.0感染的迹象,并提到介入调查的国家宪兵也正在负责追踪Ragnar Locker和LockBit。

Riess-Marchive表示,根据Ragnar Locker以往只向大规模关键基础设施目标下手的特点,这次事件应该不是其所为。相比之下,LockBit 3.0的攻击目标则要广泛得多。

如果LockBit 3.0确实就是CHSF攻击事件的幕后黑手,那他们就违反了RaaS的“行规”,即不得由附属组织向医疗保健服务商的系统发动加密攻击。

目前,这场事端究竟是谁所为还不明确,LockBit 3.0的勒索网站上也还没挂出CHSF的信息,所以前面的一切分析仍然只是假设。


]]>
希腊最大天然气运营商遭勒索软件攻击,多项在线服务被迫中断 Sun, 25 Sep 2022 04:45:26 +0800 8月23日消息,欧洲国家希腊最大的天然气分销商DESFA在上周六(8月20日)证实,由于遭受网络攻击,该公司出现了一定程度的数据泄露与IT系统中断。

在向当地新闻媒体发布的公开声明中,DESFA称有黑客试图渗透其网络,但因为IT团队快速反应而被阻断。然而,对方仍在有限范围内实施了入侵,导致部分文件和数据被访问并可能“外泄”,

DESFA为此停用了多项在线服务,希望保护客户数据。而且随着专家们努力进行恢复,各项服务已经逐渐恢复运行。

DESFA向消费者保证称,此次事件不会影响到天然气供应,所有天然气输入/输出点均保持正常容量运行。

该公司也已通知警方的网络犯罪部门、国家数据保护办公室、国防部以及能源与环境部,希望在最短时间内以最低影响解决问题。

最后,DESFA宣布绝不会与网络犯罪分子对话,也就不存在进行赎金谈判。




Ragnar Locker宣布对事件负责



上周五(8月19日),Ragnar Locker勒索软件团伙在窃取数据后确认了此次攻击。这批恶意黑客亮相于两年多之前,并在2021年发起过多起大型网络攻击活动。

Ragnar Locker在今年活跃度仍然不低,但攻击数量上较去年有所下降。FBI最近一份报告提到,Ragnar Locker与截至2022年1月美国各关键基础设施实体遭受的共52起网络入侵有关。

该恶意黑客团伙还在其数据泄露与勒索门户上发布了所谓被盗数据清单,展示了一小部分似乎不涉及机密信息的被盗文件。

此外,Ragnar Locker提到他们在DESFA系统上发现了多个安全漏洞,并向对方告知了这一情况。这可能是该团伙勒索行动的一部分,但据称受害者并未做出回应。

如果受害组织不满足赎金要求,该恶意黑客团伙威胁将发布整个文件树内对应的所有文件。

此次攻击恰逢欧洲各天然气供应商的艰难时期。当前欧洲大陆主要国家已决定快速削减对俄罗斯天然气的依赖,因此不可避免要产生问题。

预计在即将到来的冬季,供应短缺、停气、配给中断和能源价格飙升等因素可能轮番上演,届时消费者恐怕又将迎来一波针对天然气供应商的勒索攻击大爆发。

]]>
黑客利用零日漏洞窃取 General Bytes ATM 机上的加密货币 Sun, 25 Sep 2022 04:45:26 +0800 The Hacker News 网站披露,比特币 ATM 机制造商 General Bytes 证实其遭到了网络攻击。攻击者利用服务器中的零日漏洞,从用户处掠夺加密货币。

攻击事件发生不久后,General Bytes 在一份公告中表示,自 2020-12-08 版本以来,该零日漏洞一直存在于 CAS 软件中。攻击者通过 CAS 管理界面,利用页面上的 URL 调用,远程创建管理员用户。

CAS

CAS,Crypto Application Server 的缩写,是 General Bytes 公司旗下一款自托管产品,能够使用户通过桌面或移动设备上的 Web 浏览器从中央位置管理比特币 ATM(BATM)机器。

目前,涉及 CAS 管理界面的零日漏洞,已经在以下两个版本的服务器补丁中得到了修复:

20220531.38

20220725.22

General Bytes 强调,未知攻击者通过扫描 DigitalOcean 云主机的 IP 地址空间,识别出在端口 7777 或 443 运行的 CAS 服务,随后滥用该漏洞在 CAS 上添加了一个名为 “gb ”的新默认管理员用户。

之后,黑客可以修改“购买”和“出售”加密设置以及“无效支付地址”,这时候客户向 ATM 机发送加密货币,双向 ATM 机则会向黑客钱包地址转发货币。

换句话说,攻击者主要目的是通过修改设置,将所有资金都转到其控制的数字钱包地址里。值得一提的是,目前尚不清楚有多少服务器受到此漏洞影响,以及有多少加密货币被盗。

最后,General Bytes 公司强调,自 2020 年以来,内部已经进行了多次“安全审计”,从未发现这一零日漏洞。

]]>
因用户未更新固件,超八万台摄像机可能被利用 Sun, 25 Sep 2022 04:45:26 +0800 据Bleeping Computer消息,因用户未及时更新固件,超过八万台海康威视摄像机容易受到关键命令注入漏洞的影响。攻击者可将特定的消息发送至易受攻击的Web服务器,即可轻松利用该漏洞,并发起命令注入攻击。

2021年6月,网络安全研究机构Watchful IP首次发现了该漏洞,编号为CVE-2021-36260,同月,海康威视通过固件更新解决了这一问题。

但是,这并不意味着这一漏洞已经失去了效果。根据 CYFIRMA 发布的白皮书,全球100 个国家/地区的2300个正在使用受影响摄像机的组织,并未及时对固件进行安全更新,仍然处于被攻击者的威胁之中。

公开信息显示,CVE-2021-36260一共包含两个已知的公开漏洞,一个在2021 年 10 月发布,另一个在2022 年 2 月发布,因此所有技能水平的攻击者都可以轻松地搜索和利用易受攻击的摄像头。

截止到目前,安全研究人员已经观察到,大量有效载荷试图利用此漏洞来探测设备状态或从受害者那里提取敏感数据。更糟糕的是,一个名为Moobot的恶意僵尸网络正在试图大规模利用该漏洞,这很有可能会引起更严重的网络攻击和信息泄露。因为Moobot是一基于Mirai开发的僵尸网络家族,自从其出现就一直很活跃,并且拥有零日漏洞利用的能力。

2022年年初,CISA也曾发布警告称,CVE-2021-36260 是当时发布的列表中被积极利用的漏洞之一,攻击者可以“控制”设备,要求组织立即修补漏洞。

极易遭受攻击和伤害

CYFIRMA表示,出售网络入口点最多的是讲俄语的黑客论坛,这些入口点其中一大部分依赖于那些可用于僵尸网络或横向移动的,存在漏洞的海康威视摄像机。

在俄罗斯论坛上出售的样品 (CYFIRMA)

安全研究人员对285000个面向互联网的海康威视Web服务器的样本进行分析之后,得出的结论是仍有超过8万个摄像机容易遭受网络攻击,并广泛分布于全球各个地方。其中数量分布最多的是中国和美国,此外还有越南、英国、乌克兰、泰国、南非、法国、荷兰和罗马尼亚等国家,未更新固件的摄像机均超过2000个。

易受攻击的海康威视摄像机 (CYFIRMA)的位置

虽然该漏洞的利用目前并未遵循特定模式,但是已经有不少攻击者参与其中。而用户想要避免被攻击者威胁,最好的办法就是立即更新固件,修复这一漏洞。倘若继续任由该漏洞存在,很有可能造成严重后果。

同时安全专家还进一步强调,用户应提升网络安全意识。除了上述命令注入漏洞外,研究员还发现很多时候用户图方便而将密码设置成“123456”等弱密码,或者是直接使用生产厂商的初始密码。

而这些日常的操作会让厂商的安全措施毁于一旦,哪怕是再好的安全产品,也无法彻底改变用户不安全的使用习惯。

]]>
车载导航提示“路上有枪战” 上海公安辟谣:可能是系统BUG或黑客攻击 Sun, 25 Sep 2022 04:45:26 +0800 你正在开车,突然车机屏幕里跳出一条提示:路上有枪战。你信还是不信?8月23日,上海辟谣平台官方发布消息称,上海有不少车主遭遇车内显示屏出现“路上有枪战”的交通警告提示。

记者向上海市公安局求证获悉,本市没有发生枪战警情。

对于车辆导航的错误提示,有业内人士认为可能是翻译问题,不排除黑客攻击可能。

“很可能是车载系统出现了故障或者遇到黑客攻击。在正常情况下,导航软件不会推送这类信息,因为绝大多数导航软件本身并不撰写信息,如果进行推送,也是推送权威渠道的信息。”某导航软件技术人员向上海辟谣平台介绍。

该技术人员说,目前依据只有部分网友提供的车载系统屏幕照片,不能判断车型和运行状态,所以无法确定到底是哪个环节出现了问题。

但从技术基础看,大部分车载系统使用的都是第三方导航软件,导航及推送信息的准确性与是否联网运行、是否及时升级有关。

部分系统若没有及时升级或使用的第三方供应商本身存在瑕疵,那么可能在导航准确性上出现问题。

同时,正规导航软件的推送信息都有权威信源,通常来自官方渠道,而并非导航软件自行编辑撰写。且大部分导航软件推送的信息会列出出处。

根据目前网传信息看,相关“枪战”信息没有出处且并非出现在所有车型上,所以大概率是系统故障(bug)或黑客攻击。

]]>
美国拟立法禁止采购有漏洞软件,“引爆”网络安全行业 Sun, 25 Sep 2022 04:45:26 +0800 8月22日消息,美国立法者希望立法改善政府的部分网络安全防御措施,但却引发了信息安全专家们的质疑和不满。

《2023财年国防授权法案》,对应着划拨给美国军队和政府各关键领域的数十亿美元财政预算。目前法案已经在众议院通过,接下来需要经参议院批准,最后由拜登总统签字执行。

今天要讨论的争议,集中在该法案草案看似合理的条款:管理国土安全部及其应用程序/在线服务供应链的软件级攻击风险。

这份拟议法案要求,对于新签和现有政府合同,软件供应商应保证“提交软件物料清单中列出的所有项目,均不存在影响最终产品或服务安全性的已知漏洞或缺陷,并给出证明。”

所谓“已知漏洞或缺陷”,是指美国国家标准与技术研究院(NIST)发布的国家漏洞数据库,以及网络安全与基础设施安全局(CISA)指定的用于“跟踪各开源或第三方开发软件内安全漏洞/缺陷”的数据库内列出的条目。

换句话说:国土安全部不得采购任何包含已知、已登记安全漏洞的软件。

这项要求的出发点是好的,旨在防止恶意黑客利用Log4j之类的漏洞破坏政府敏感系统。但法案中的具体措辞却令行业专家颇感沮丧。一方面,任何代码都存在bug,这一条款基本上切断了政府军工部门原本强大的采购流程。另一方面,漏洞数据库中相当一部分漏洞并不属于安全风险。

总而言之,如果严格执行该项法案,那么美国政府后续将无法部署任何软件/服务。

软件供应链安全厂商Chainguard的联合创始人兼CEO Dan Lorenc表示,“这项要求往好了说是受到误导,往坏了想肯定会引发大麻烦。”

不过,这项要求也有回旋空间。如果合同内包含“关于所列出各项安全漏洞或缺陷的缓解、修复或解决方法”,政府一方就可购买包含已知缺陷的软件。换句话说,只要可以缓解或修复措施,就不会影响各部门的正常采购。

争议过大引发行业热议

这个问题在推特上掀起了争论热潮。有人担心软件供应商为了正常向政府客户出售软件,故意对漏洞信息知情不报(不再注册CVE编号)。另一方面,各家企业在争夺合同的过程中,也可能会挖其他竞争者产品的漏洞作为“黑料”。

安全厂商Rapid7的高级政策主管Harley Lorenz Geiger律师在推文中提到,“立法者起草的条文相当于在说:要么放弃继续上报软件漏洞,要么被排除在软件投标范围之外,你们自己选。”

“这里我要提醒一句,并不是所有安全漏洞都有严重危害,或者能够/应该缓解。感谢立法者,祝好。”

漏洞协调与众测厂商Luta Security的CEO Katie Moussouris等行业专家,则呼吁安全专家们先别反应过激。她在Twitter上写道,新法案其实允许政府官员“采购那些虽包含CVE,但已有缓解方法的软件产品”,同时提醒政府方面“在部署之前必须缓解或接受这些风险”。

市场研究公司Dell'Oro Group负责网络安全的研究主管Mauricio Sanchez也在采访中提到,虽然他理解立法者们的善意动机,但在技术采购方面设置的种种要求,很可能会阻断政府的正常部署流程。

他提到,“很遗憾,这就是我们立法者的典型做法,只提要求、不讲方法。”

在Sanchez看来,这项法案的最终走向恐怕只有以下三种。

第一:立法者服软。技术游说部门等各方提出有力的反对意见,宣扬这项要求根本就无法实现(也确实无法实现),于是立法者选择删除这部分条文。

第二:做出澄清。立法者对条文“做出修正”,把这项过于理想的要求修改得更加实际。

最后:直接摆烂。立法者可能懒得费脑筋,强行出台这项新政,然后向选民们宣扬自己支持网络安全、改善美国风险水平的姿态。至于收拾这个烂摊子需要投入多少时间、精力和金钱,那就是各联邦机构和法院自己的问题了。

而且Sanchez本人的看法比较悲观。“如果让我押个宝,那我赌立法者会选择最后这条。”

]]>
技术支持骗子正在利用带有微软logo的USB驱动器来骗取用户 Sun, 25 Sep 2022 04:45:26 +0800 通过使用微软的名字来欺骗潜在的受害者在技术支持骗子的名单上总是名列前茅。FBI最近的一份报告指出,这些骗局仍相当活跃,即使在今天也是如此。在日前的一篇报道中,Sky News称其被发送了一个带有微软品牌的欺诈性USB驱动器。它们是由来自Atheniem的网络安全顾问Martin Pitman发现的。

据悉,该驱动器被包装在一个Office 2021 Professional Plus的盒子内,这表明骗子在制作这些东西时花了一些好时间并还花了一些钱。

当目标将U盘插入他们的电脑之后,一条假的警告信息就会弹出,告知用户他们的系统中存在病毒并提示受害者拨打技术支持电话,这显然是骗子使用的号码。然后,骗子要求受害者安装一个远程访问程序来接管系统。

微软发言人就这一案件向Sky News发表了以下声明:“微软致力于帮助保护我们的客户。我们有在采取适当的行动一从市场上清除任何可疑的无证或假冒产品并追究那些针对我们客户的责任。”

这家科技公司非常了解这种骗局并向用户们提供了一个支持页面。

]]>
周鸿祎谈企业遭遇勒索攻击:基本无解 只能交赎金 Sun, 25 Sep 2022 04:45:26 +0800 8月23日消息,前不久,网络安全机构Resecurity发布报告预测,到2031年,全球勒索软件勒索活动将达到2650亿美元,对全球企业造成的潜在总损失或达到10.5万亿美元。日前,360集团创始人、董事长 周鸿祎发文称,最近多起知名企业遭遇勒索攻击,在业界引起了热议。勒索攻击俨然已经成为“全球公敌”,严重影响企业业务发展。

周鸿祎表示,与传统攻击不同,勒索攻击已变成一种新商业模式。它不撬你的保险柜,而是给你做一个更大的保险柜,把你的保险柜也锁起来,而且被勒索后基本无解,你就只能交赎金。

据统计,在最严重的勒索软件攻击中,组织支付的平均赎金2021年比2020年增加近五倍,达到812360美元,中国勒索攻击起价也已达500万元。

前不久,国际知名服务器厂商思科公司证实被勒索攻击,泄露数据2.8GB,思科被窃取的数据包括大约3100个文件,许多文件是保密协议、数据转储和工程图纸。

根据其团队博文披露的细节,黑客是通过思科员工的个人谷歌浏览器个人帐户密码同步功能作为初始向量,从而获取了思科内部凭证。

]]>
勒索软件LockBit旗下站点因泄露Entrust数据遭到DDoS报复攻击 Sun, 25 Sep 2022 04:45:26 +0800 勒索软件 LockBit 运营的多家数据泄露站点由于遭到 DDoS 攻击而在上周末关闭,这些攻击的目的是要求该组织移除从 Entrust 盗取的数据。在 7 月下旬,数字安全机构 Entrust 确认在今年 6 月遭到网络攻击,攻击者从网络中窃取了部分数据。

当时消息人士告诉 BleepingComputer,这是一次勒索软件攻击,但我们无法独立确认背后的原因。上周末,LockBit 宣布对本次攻击负责,并于上周五开始公开泄漏的数据。

在描述中提供了 30 张样本截图,显示了法律文件、营销电子表格和会计数据。在他们开始泄露数据后不久,研究人员开始报告说,勒索软件团伙的 Tor 数据泄露站点由于 DDoS 攻击而无法使用。

昨天,安全研究小组 VX-Underground 从 LockBitSupp(LockBit 勒索软件运营的公众账号)处获悉,其 Tor 站点遭到了攻击,而且他们认为和 Entrust 有关联。

LockBitSupp 表示:“在数据公开和谈判开始之后这些 DDoS 攻击立即开始了,很显然这是 Entrust 的手笔,不然还有谁需要呢?此外,在攻击日志中就提到了要求移除这些数据”。

从这些 HTTPS 请求中可以看出,攻击者在浏览器用户代理字段中向 LockBit 添加了一条消息,告诉他们删除 Entrust 的数据。思科 Talos 研究员 Azim Shukuhi 在Twitter上表示,对 LockBit 服务器的 DDoS 攻击包括“每秒来自 1000 多台服务器的 400 个请求”。

作为对攻击的报复,LockBit 的数据泄露站点现在显示一条消息,警告说勒索软件团伙计划将 Entrust 的所有数据作为种子上传,这将使其几乎不可能被删除。

此外,威胁行为者与安全研究员 Soufiane Tahiri 分享了 Entrust 和勒索软件团伙之间所谓的谈判。该聊天记录表明,最初的赎金要求为 800 万美元,后来降至 680 万美元。

]]>
《安联智库-网安周报》2022-08-21 Sun, 25 Sep 2022 04:45:26 +0800

1、苹果发现2大严重安全漏洞,黑客可完全操控手机


周三,苹果公司宣布,他们在 iPhone、iPad 和 Mac 电脑中发现了两个严重的安全漏洞,甚至有些型号的iPod都受到了影响。当天,苹果公司就紧急发布了 iOS 15.6.1 和 iPadOS 15.6.1 的安全更新,并建议所有用户立即更新软件,以避免被黑客入侵。
从苹果公司发布的两份安全报告来看,这两个漏洞是在WebKit(为Safari和其他应用程序提供动力的引擎)和Kernel(操作系统的核心)中发现,黑客可以通过这两个漏洞,直接操控人们的设备。苹果发出声明后,网络安全咨询公司SocialProof Security的首席执行官雷切尔·托拜克(Rachel Tobac)也呼吁大家尽快更新软件,以免被人窃取重要隐私和信息造成损失。
2、英特尔新型CPU漏洞可致敏感数据泄露

研究人员在英特尔 CPU 中发现了一个名为 ÆPIC 的新漏洞,该漏洞使攻击者能够从处理器中获取加密密钥和其他机密信息。ÆPIC 泄漏(CVE-2022-21233)是第一个架构上的CPU 错误,它可能导致敏感数据泄露并影响大多数第 10 代、第 11 代和第 12 代 Intel CPU。

“某些英特尔(R) 处理器中共享资源的不当隔离可能允许特权用户通过本地访问潜在启用信息泄露。” 

英特尔已经发布了固件更新以解决该漏洞。尚未发布任何安全更新来修补攻击线,但该芯片制造商建议 “软件开发人员采用现有的最佳实践,包括恒定时间算法并在适当的情况下避免依赖秘密的控制流。

3、因收集Android 位置数据,Google被罚六千万美元

近日,澳大利亚公平竞争和消费者委员会(ACCC)发布消息称,谷歌2017年1月至2018年 12 月的时间里,存在收集和使用其位置数据并误导澳大利亚 Android 用户,被处以6000万美元(约合人民币2.88亿元)罚款。

澳大利亚竞争监管机构表示,这家科技巨头继续跟踪其部分用户的 Android 手机,尽管他们在设备设置中禁用了“位置历史记录”。但实际情况是,谷歌在默认情况下会打开另一个名为“Web & App Activity”的帐户设置使公司能够“收集、存储和使用个人可识别的位置数据”。

ACCC 表示,根据现有数据,估计有超过 130 万个属于澳大利亚人的谷歌账户受到影响。

4、百度网盘再发声明否认人工审核用户照片 并贴出受案回执和律师函

8月20日消息,,百度网盘再次发布声明称,百度网盘不存在照片人工审核,也并未委托任何机构招聘兼职人员。

声明指出,近日网络热传“青团社招聘审核”截图纯属恶意造谣。现有证据显示,谣言信息源发为“鲨鲨要努力变强”“音乐草莓熊”抖音博主,目前两名博主均已删除相关内容并修改ID。其已经固定证据并报警,坚决维护自身合法权益。

度网盘在声明中表示,百度网盘拥有规范且严密的隐私管理机制和安全防御体系,有效保护用户隐私和数据安全。请大家放心使用。

此前,网络作家边想8月18日发布微博称:“一直以为百度网盘是机器审核的,没想到是真人审核?审核人员还能随随便便把用户的照片截下来保存发到网上?即便打了码。”彼时,百度网盘官方回应称,不存在所谓的照片人工审核,网络上关于百度网盘照片真人审核的内容是谣言。

]]>
苹果严重安全漏洞冲上热搜第一:黑客能接管设备 Sun, 25 Sep 2022 04:45:26 +0800 8月20日消息,微博话题“苹果曝出严重安全漏洞”冲上热搜第一名。

就在本周,苹果公司报告了一个重大安全漏洞,该漏洞可以让黑客接管苹果设备,苹果方面呼吁用户立刻下载最新更新。

据介绍,受本次漏洞影响的设备涵盖了几乎所有的苹果产品。其中手机包括iPhone 6S及以后的型号;平板包括第五代及以后的iPad,所有iPad Pro以及iPad Air 2;电脑则是运行MacOS Monterey的Mac。此外,该漏洞还能影响到部分型号的iPod。

苹果表示,黑客可以通过该漏洞获得设备的“完全管理权限”。这意味着入侵者能够冒充设备拥有者,并以他们的名义运行任何软件。

值得注意的是,苹果未在报告中说明漏洞是在何时、何地以及由谁发现的,仅仅表示是一名匿名研究人员发现了这一漏洞。

专家指出,对于普通民众而言,本次漏洞不太可能造成大范围的问题。通常情况下,当iPhone等手机的漏洞被利用时,往往是有针对性的,攻击一般集中于一小部分人。

如果你系统保持最新,那就绝对没问题了,因为安全更新已经上线了。

]]>
百度网盘再发声明否认人工审核用户照片 并贴出受案回执和律师函 Sun, 25 Sep 2022 04:45:26 +0800 8月20日消息,今日上午,百度网盘再次发布声明称,百度网盘不存在照片人工审核,也并未委托任何机构招聘兼职人员。

声明指出,近日网络热传“青团社招聘审核”截图纯属恶意造谣。现有证据显示,谣言信息源发为“鲨鲨要努力变强”“音乐草莓熊”抖音博主,目前两名博主均已删除相关内容并修改ID。其已经固定证据并报警,坚决维护自身合法权益。

IT之家了解到,百度网盘在声明中表示,百度网盘拥有规范且严密的隐私管理机制和安全防御体系,有效保护用户隐私和数据安全。请大家放心使用。

此前,网络作家边想8月18日发布微博称:“一直以为百度网盘是机器审核的,没想到是真人审核?审核人员还能随随便便把用户的照片截下来保存发到网上?即便打了码。”彼时,百度网盘官方回应称,不存在所谓的照片人工审核,网络上关于百度网盘照片真人审核的内容是谣言。

]]>
谷歌曝光有史以来最大DDoS攻击 数据比之前高出76% Sun, 25 Sep 2022 04:45:26 +0800  8 月 20 日消息,今年6月,Cloudflare证实,出现了历史上最大的HTTPS 分布式拒绝服务 (DDoS) 攻击,不过它在出现任何实际损失之前就成功阻止了这次破纪录的攻击。该公司透露,它记录了每秒2600万次请求的DDoS攻击。

谷歌刚刚报告说,他们发现了一次大规模的DDOS共计,对方尝试关闭其 Cloud Armor 客户服务,峰值可达每秒 4600 万个请求,规模相当于此前记录的 176.92%。这使其成为有史以来报告的最大的一次七层分布式拒绝服务攻击。

谷歌解释说,在高峰期,这种攻击相当于在10秒内实现一整天的Wikipedia访问量,因此能够抵御如此强大的DDoS攻击是一项令人难以置信的壮举。

谷歌云服务徽标看起来像云的五彩轮廓图。

据介绍,Google Cloud Armor通过使用负载平衡技术定期保护应用程序(第 7 层)和网站免受此类互联网攻击,即使在面临这些挑战时也能保持 Web 服务运行。

IT之家了解到,谷歌Cloud Armor声称每秒可支持超过 100 万次查询请求,但这次它们却成功处理了4600万次每秒的负担。

谷歌报告称,Cloud Armor 成功检测到了此次 DDoS 攻击,并向客户推荐了一条规则来阻止攻击,实际效果不错。几分钟后,攻击者意识到攻击失败后,数据请求出现下降。

不过,谷歌指出DDoS攻击的数量呈指数级增长,而且是由大量恶意机器人提供的,因此这一记录可能不会保持太久。

]]>
TikTok被曝App内浏览器监控输入和点击的任何内容 发言人否认 Sun, 25 Sep 2022 04:45:26 +0800  8 月 21 日消息,据安全研究员 Felix Krause 称,TikTok 在 iOS 上的自定义 App 内浏览器将 JavaScript 代码注入外部网站,允许 TikTok 在用户与给定网站交互时监控“所有键盘输入和点击”,但据报道 TikTok 公司否认了该代码被用于恶意行为。

Krause 表示,当用户与外部网站交互时,TikTok App 内浏览器会“订阅”所有键盘输入,包括密码和信用卡信息等任何敏感细节,以及屏幕上的每次点击。

“从技术角度来看,这相当于在第三方网站上安装键盘记录器,”Krause 在谈到 TikTok 注入的 JavaScript 代码时写道。然而,研究人员补充说,“仅仅是应用将 JavaScript 注入外部网站,但并不意味着该应用正在做任何恶意的事情。”

在与福布斯分享的一份声明中,TikTok 发言人承认了有问题的 JavaScript 代码,但表示它仅用于调试、故障排除和性能监控,以确保“最佳用户体验”。

“与其他平台一样,我们使用 App 内浏览器来提供最佳用户体验,但所讨论的 Javascript 代码仅用于调试、故障排除和性能监控 —— 例如检查页面加载速度或是否崩溃。”

Krause 表示,希望保护自己免受 App 内浏览器 JavaScript 代码的任何潜在恶意使用的用户应尽可能切换使用平台默认浏览器访问查看给定链接,例如 iPhone 和 iPad 上的 Safari 浏览器。

据 Krause 称,Facebook 和 Instagram 是另外存在问题的两个应用程序,它们将 JavaScript 代码插入到加载在 App 内浏览器中的外部网站中,从而使应用程序能够跟踪用户活动。Facebook 和 Instagram 母公司 Meta 发言人在推文中表示,该公司“有意开发此代码是为了尊重人们在我们平台上的应用跟踪透明度 (ATT) 选择”。《Meta Instagram 被曝通过 App 内浏览器跟踪用户网络活动,已违反苹果 iOS 隐私政策》

Krause 说他创建了简单的工具,允许任何人在呈现网站时检查 App 内浏览器是否正在注入 JavaScript 代码。研究人员表示,用户只需打开他们想要分析的应用程序,在应用程序内的某处分享地址 InAppBrowser.com(例如直接向另一个人发送消息),点击应用程序内的链接即可在-app 浏览器,并阅读显示的报告的详细信息。

苹果没有立即回应置评请求。

TikTok发言人进一步声明表示,“该报告关于 TikTok 的结论是不正确且具有误导性的。研究人员明确表示,JavaScript 代码并不意味着我们的应用程序在做任何恶意行为,并承认他们无法知道我们的应用程序内浏览器收集了什么样的数据。我们不会通过此代码收集击键或文本输入,该代码仅用于调试、故障排除和性能监控。”

据 TikTok 发言人称,JavaScript 代码是 TikTok 正在利用的软件开发工具包 (SDK) 的一部分,而 Krause 提到的“keypress”和“keydown”功能是 TikTok 不用于按键记录的常见输入。

]]>
苹果发现2大严重安全漏洞,黑客可完全操控手机 Sun, 25 Sep 2022 04:45:26 +0800 周三,苹果公司宣布,他们在 iPhone、iPad 和 Mac 电脑中发现了两个严重的安全漏洞,甚至有些型号的iPod都受到了影响。

当天,苹果公司就紧急发布了 iOS 15.6.1 和 iPadOS 15.6.1 的安全更新,并建议所有用户立即更新软件,以避免被黑客入侵。

从苹果公司发布的两份安全报告来看,这两个漏洞是在WebKit(为Safari和其他应用程序提供动力的引擎)和Kernel(操作系统的核心)中发现,黑客可以通过这两个漏洞,直接操控人们的设备。

苹果发出声明后,网络安全咨询公司SocialProof Security的首席执行官雷切尔·托拜克(Rachel Tobac)也呼吁大家尽快更新软件,以免被人窃取重要隐私和信息造成损失。

雷切尔·托拜克是一名优秀的白帽黑客,曾经成功入侵亿万富翁杰弗瑞·卡森伯格(Jeffrey Katzenberg)的 Mac 电脑,在网络安全这块儿是非常知名的人物。

连她都这样呼吁了,大家还是尽快把系统软件更新了吧...

话说,这也不是苹果公司第一次出现安全漏洞了。

去年9月,安全研究员Denis Tokarev(又名 illusionofchaos)爆料,自己曾经向苹果公司报告过三个明显的安全漏洞,却被怠慢。

后来事情发酵后,苹果公司才道歉并修复了漏洞。

在科技发达的今天,不管用什么电子设备,其实都没有百分百的安全。大家现在就赶紧打开手机检查一下,系统软件有没有更新到最新版本吧...

]]>
CS:GO 交易网站被黑,价值 600 万美元皮肤被盗 Sun, 25 Sep 2022 04:45:26 +0800 据Bleeping Computer网站8月16日消息,著名射击游戏CS:GO最大的皮肤交易平台之一——CS.MONEY在一次黑客攻击后被窃取了2万件、总价值约 600万美元的游戏皮肤,并导致网站被迫下线。

CS:GO(反恐精英:全球攻势)是全球流行的多人第一人称射击游戏CS(反恐精英)系列的第四款作品,拥有许多非常受欢迎但却较为稀有的皮肤等虚拟物品,这促使了一些基于Steamworks API的皮肤交易网站的建立。而CS.MONEY 是此类交易中最大的网站之一,拥有 53 种武器共计 1696 种皮肤,在攻击发生前管理的总资产达1650万美元。

攻击发生后,CS.MONEY 在推特上宣布已经与其它交易平台达成一致,将禁止这2万件被盗皮肤的交易,防止黑客在其他 CS:GO 交易平台上进行出售。

攻击是如何发生的

根据 CS.MONEY 公共关系负责人 Timofey Sobolevky 发布的贴子透露,攻击者以某种方式获得了用于 Steam 授权的 Mobile Authenticator (MA) 文件访问权限。接下来,攻击者控制了100个机器人账户,并进行了大约一千次交易,将这些物品吸纳到他们自己的账户中。

起初,攻击者将皮肤添加到他们的个人账户中,但随后,他们开始进行随机交易,将皮肤“赠送”给一些与攻击无关的普通用户。分析认为,这么做的原因很可能是为了隐藏自身踪迹,通过让更多人参与而使要弄清这些被窃物品的归属问题变得苦难。此外,攻击者还生成许多涉及各种第三方交易平台的虚假消息,以混淆攻击者的盗窃行踪。

在平台检测到托管在售的皮肤数量急剧减少并收到多个用户关于可疑交易的报告后,CS.MONEY 采取行动阻止了攻击,但仍有价值600万美元的皮肤被抢走。

Sobolevky表示,一旦 CS.MONEY 恢复运行,将优先归还这些皮肤,并对所属用户进行补偿。

值得注意的是,Steam 的所有者 Valve 可以在必要时撤销这些虚拟物品的转让,但目前尚不清楚这家游戏巨头是否计划在遇到类似攻击场景时进行有效的干预。

]]>
英特尔新型CPU漏洞可致敏感数据泄露 Sun, 25 Sep 2022 04:45:26 +0800 研究人员在英特尔 CPU 中发现了一个名为 ÆPIC 的新漏洞,该漏洞使攻击者能够从处理器中获取加密密钥和其他机密信息。ÆPIC 泄漏(CVE-2022-21233)是第一个架构上的CPU 错误,它可能导致敏感数据泄露并影响大多数第 10 代、第 11 代和第 12 代 Intel CPU。

ÆPIC Leak 适用于基于 Ice Lake、Alder Lake 和 Ice Lake SP 的最新 Intel CPU,并且不依赖于启用的超线程。

英特尔发布的公告:“某些英特尔® 处理器中的潜在安全漏洞可能允许信息泄露。英特尔正在发布固件更新以解决此潜在漏洞。” 

“某些英特尔(R) 处理器中共享资源的不当隔离可能允许特权用户通过本地访问潜在启用信息泄露。” 

该漏洞的发现是罗马第一大学、格拉茨科技大学、亚马逊网络服务和 CISPA 亥姆霍兹信息安全中心的研究人员进行的研究的结果。

与Meltdown 和 Spectre不同,ÆPIC Leak 是一个架构漏洞,这意味着敏感数据会在不依赖侧信道攻击的情况下被泄露。

研究人员说:“ÆPIC Leak 就像在 CPU 本身中读取的未初始化内存。访问 APIC MMIO 需要特权攻击者(管理员或 root)。因此,大多数系统都不会受到 ÆPIC 泄漏的影响。然而,依靠 SGX 保护数据免受特权攻击者的系统将面临风险,因此必须进行修补。”

CVE-2022-21233问题存在于高级可编程中断控制器(APIC)中,负责接受、确定优先级并将中断分派给处理器。 

“基于 Sunny Cove 微架构的英特尔 CPU 上的 I/O 地址空间扫描显示,本地高级可编程中断控制器(APIC)的内存映射寄存器未正确初始化。因此,从架构上读取这些寄存器会返回来自微架构的陈旧数据。由于只有特权软件才能访问 I/O 地址空间,ÆPIC Leak 的目标是英特尔的 TEE、SGX。ÆPIC Leak 可能会从运行在同一物理内核上的 SGX enclave 泄露数据。虽然 ÆPIC Leak 会在虚拟化环境中构成巨大威胁,但管理程序通常不会将本地 APIC 寄存器暴露给虚拟机,从而消除了基于云的场景中的威胁。” 

专家们使用 100 个不同的随机密钥测试了 ÆPIC Leak 问题,并试图通过一次攻击来泄露 AES 密钥。结果是完整的密钥恢复平均需要 1.35 秒

(n = 100,σ = 15.70%),成功率为 94%

该漏洞使具有权限的攻击者能够在目标机器上执行特权本机代码以提取私钥,并且更糟糕的是破坏证明,这是 SGX 中用于确保代码和数据完整性的安全原语的基石。“我们展示了允许泄露内存和寄存器中的数据的攻击。我们展示了 ÆPIC Leak 如何完全打破 SGX 提供的保证,确定性地泄露 AES 密钥、RSA 私钥,并提取 SGX 密封密钥以进行远程认证。”

研究人员还提出了几种固件和软件缓解措施,以防止 ÆPIC Leak 泄露敏感数据或完全防止 ÆPIC Leak。

英特尔已经发布了固件更新以解决该漏洞。

随着研究人员展示了对影响 AMD Zen 1、Zen 2 和 Zen 3 微架构的调度程序队列的首次侧信道攻击 (CVE-2021-46778),攻击者可能会滥用该攻击来恢复 RSA 密钥。

该攻击代号为 SQUIP(Scheduler Queue Usage via Interference Probing 的缩写),需要测量调度程序队列的争用级别,以潜在地收集敏感信息。

尚未发布任何安全更新来修补攻击线,但该芯片制造商建议 “软件开发人员采用现有的最佳实践,包括恒定时间算法并在适当的情况下避免依赖秘密的控制流。”

]]>
因收集Android 位置数据,Google被罚六千万美元 Sun, 25 Sep 2022 04:45:26 +0800 近日,澳大利亚公平竞争和消费者委员会(ACCC)发布消息称,谷歌2017年1月至2018年 12 月的时间里,存在收集和使用其位置数据并误导澳大利亚 Android 用户,被处以6000万美元(约合人民币2.88亿元)罚款。

澳大利亚竞争监管机构表示,这家科技巨头继续跟踪其部分用户的 Android 手机,尽管他们在设备设置中禁用了“位置历史记录”。但实际情况是,谷歌在默认情况下会打开另一个名为“Web & App Activity”的帐户设置使公司能够“收集、存储和使用个人可识别的位置数据”。

ACCC 表示,根据现有数据,估计有超过 130 万个属于澳大利亚人的谷歌账户受到影响。

ACCC 主席 Gina Cass-Gottlieb表示,谷歌是世界上最大的公司之一,它能够保留通过“网络和应用活动”设置收集的位置数据,谷歌可以使用保留的数据将广告定位到某些消费者,即使这些消费者“位置记录”设置已关闭。

个人位置数据对一些消费者来说既敏感又重要,如果谷歌没有做出误导性的陈述,一些看到这些陈述的用户可能会对他们的位置数据的收集、存储和使用做出不同的选择。

澳大利亚联邦法院做出处罚决定

ACCC早在2019年10月就对谷歌提起诉讼。2021年4月,澳大利亚联邦法院裁定谷歌上述做法违反消费者法。主审案件的Thomas Thawley法官表示,被误导的用户不会想到,如果允许“网络和应用程序活动”的跟踪,就意味着允许谷歌使用自己的位置数据。

当时谷歌表示不同意法官的调查结果。“我们为位置数据提供强大的控制,并且一直在寻求做更多的事情——例如我们最近为位置历史引入了自动删除选项,让用户控制数据变得更加容易。”

此番联邦法院确认,2017年1月至2018年12月期间,谷歌通过安卓手机收集和使用其个人位置数据时,对用户做出误导性陈述,违反了消费者法。不仅如此,谷歌还被发现另外两项误导用户的违法行为。

在8月12日联邦法院的听证会上,双方同意处以6000万澳元的“公平合理”罚款,并且已向Thomas Thawley大法官提交一份联合意见书。此外,联邦法院下令谷歌调整其政策,以确保对合规的承诺,并为员工提供有关消费者法的培训。

ACCC 主席 Gina Cass-Gottlieb认为,“个人位置数据对某些消费者来说是敏感和重要的,如果不是谷歌做出误导性陈述,一些看到这些陈述的用户可能会对他们的位置数据的收集、存储和使用做出不同的选择。”

在ACCC主席Gina Cass-Gottlieb看来, 联邦法院这一重大处罚向数字平台和其他大大小小的企业发出一个强烈的信号,即企业不能就数据的收集和使用误导消费者。

谷歌在全球范围内遭遇多次处罚

这已经不是谷歌第一次因违反数据相关法律而遭受处罚,近年来,谷歌在全球范围内都曾因为数据收集、使用不当,违反当地数据法规而被罚款。

2022年 1 月,法国国家信息与自由委员会 (CNIL)对谷歌处以 1.7 亿美元的罚款,原因是谷歌将这个选项隐藏在多次点击之后,使网站访问者难以拒绝跟踪cookie,这侵犯了互联网用户的同意自由。 

此前,谷歌还因激进的数据收集被罚款 1130 万美元,因偏袒竞争对手的服务而被罚款2.2 亿欧元 ,因在线广告中的反竞争行为被罚款 17 亿美元 ,以及因滥用其市场主导地位调整搜索结果而被罚款 27.2 亿美元等。

]]>
苹果iOS设备上的VPN是一场骗局? Sun, 25 Sep 2022 04:45:26 +0800 VPN是互联网原始丛林中搭建起的“安全隧道”,但是苹果iOS系统曝出的VPN数据泄露漏洞意味着这个管道已经“跑冒滴漏”多年。

iOS曝出VPN数据泄露漏洞

近日,一位资深计算机安全研究人员Michael Horowitz爆料称,苹果公司的iOS设备(例如iPhone手机和iPad)并没有像用户预期的那样通过VPN完全路由所有网络流量,多年来苹果公司对该漏洞心知肚明。

Michael Horowitz在最新发布的博文中言辞激烈地控诉:“iOS上的VPN是一个骗局”。

Horowitz写道,(iOS设备上运行的)任何第三方VPN一开始似乎都可以正常工作,为设备提供新的IP地址、DNS服务器和新流量的隧道。但是在激活VPN之前建立的会话和连接并不会终止,并且Horowitz在高级路由器日志记录发现中,设备仍然可以在VPN隧道建立且处于活动状态时将数据(不通过VPN)发送到外部。

换句话说,用户通常认为VPN客户端会在建立安全连接之前终止现有连接,以便可以在隧道内重新建立它们。但Horowitz说,iOS上的VPN似乎无法做到这一点,这一发现得到了2020年5月的一份类似报告的支持。

“数据从VPN隧道以外流出iOS设备,”Horowitz写道:“这不是经典/传统的DNS泄漏,而是数据泄漏!我测试了多个VPN提供商的多种类型的VPN软件确认了这一点。我测试的最新版本的iOS是15.6。”

安全博主Michael Horowitz的日志显示,一台连接VPN的iPad同时连接了他的VPN提供商(37.19.214.1)和Apple Push(17.57.144.12)。与苹果服务器的连接在VPN之外,如果被ISP或其他方看到,可能会暴露用户的IP地址。

隐私公司Proton此前报告了一个iOS VPN绕过漏洞,该漏洞至少始于iOS 13.3.1。与Horowitz的帖子一样,Proton的博客指出,VPN通常会关闭所有现有连接并在VPN隧道内重新打开它们,但这在iOS上并没有发生。大多数现有连接最终会转入VPN隧道,但有些连接,如苹果公司的推送通知服务,可以(在VPN隧道外)持续传输数小时。

危险的隧道外链接

隧道外连接持续存在的主要安全隐患是,如果数据未加密将存在泄露风险,并且ISP和其他方可以看到用户的IP地址及其连接的内容。

Proton确认VPN绕过漏洞在iOS 13的三个后续更新中持续存在。Proton表示,苹果公司添加了一个功能以阻止现有连接,但似乎对Horowitz的测试结果没有影响。

Horowitz于2022年年中在iPad iOS 15.4.1上测试了ProtonVPN的应用程序,发现它仍然允许与苹果公司的推送服务建立持久的非隧道连接。根据Horowitz的说法,Proton添加的Kill Switch功能可在VPN隧道丢失时阻止所有网络流量,但事实上并不能防止泄漏。

Horowitz使用不同的VPN提供商和iOS应用程序(例如OVPN,运行WireGuard协议)在iOS 15.5上再次进行了测试。结果他的iPad仍继续向Apple服务和亚马逊AWS云服务发出请求。

对于个隐私高度敏感的人群来说,在苹果公司未能彻底解决该问题之前,如果你不想在启动VPN前手动关闭所有连接,Proton给出了一个同样有效的解决方法:先连接到VPN服务器,然后打开飞行模式,然后再将其关闭。此时之前所有连接都将在VPN隧道内重新建立,但Proton表示这个方法并不能保证100%的成功率,因为“iOS的飞行模式功能非常混乱”。

苹果iOS的VPN数据泄露漏洞表明:VPN,尤其是商业VPN产品,仍然是互联网安全和隐私的一个复杂因素。选择“最佳VPN”对于用户来说始终是一件挠头的事情。VPN可能因漏洞、未加密的服务器、贪婪的数据经纪人或被Facebook这样的科技巨头控制而成为安全隐患。

]]>
Realtek爆出关键漏洞,影响多款网络设备 Sun, 25 Sep 2022 04:45:26 +0800 Bleeping Computer 网站披露,Realtek 爆出严重漏洞,该漏洞影响到数百万台采用 Realtek RTL819x 系统芯片(SoC)的网络设备。

该漏洞被追踪为 CVE-2022-27255,远程攻击者可以利用其破坏来自各种原始设备制造商 (OEM) 的易受攻击设备。

无需身份验证

据悉,CVE-2022-27255 漏洞由阿根廷网络安全公司 Faraday Security 的研究人员在 Realtek 的开源 eCos 操作系统 SDK 中发现,并在 DEFCON 黑客大会上披露了详细的技术细节。

CVE-2022-27255是一个基于堆栈的缓冲区溢出漏洞,其严重程度为 9.8 分(满分10分),远程攻击者可以使用带有恶意 SDP 数据的特制 SIP 数据包任意执行代码,这个过程完全无需身份验证。此外,攻击者还可以通过 WAN 接口利用漏洞。

早在 3 月份,Realtek 已经解决这一漏洞问题,并指出了漏洞主要影响rtl819x-eCos-v0.x 系列和 rtl819x-eCos-v1.x 系列产品。

来自 Faraday Security 的四位研究人员为 CVE-2022-27255 开发了概念验证(PoC)利用代码,该代码可用于 Nexxt Nebula 300 Plus 路由器。研究人员还分享了一段视频,展示了即使远程管理功能被关闭,远程攻击者也可能破坏设备。

最后,研究人员指出攻击者利只需有漏洞设备的外部 IP 地址,就可以 利用CVE-2022-27255 漏洞,意味着不需要与用户交互。

注:发现漏洞的四名研究人员分别是来自布宜诺斯艾利斯大学的计算机科学学生Octavio Gianatiempo, Octavio Galland, Emilio Couto, Javier Aguinaga。

存在几道防线

SANS 研究部主任 Johannes Ullrich 表示,远程攻击者可以利用 CVE-2022-27255 漏洞进行以下操作:

导致设备崩溃

执行任意代码

建立持久性的后门

改变网络流量的路线

拦截网络流量

另外,尽管 Realtek 在3 月已经发布了一个补丁,但 Ullrich 强调该漏洞影响到数百万设备,修复补丁很难被推广到所有待修复的设备,如果 CVE-2022-27255 漏洞变成了蠕虫病毒,可以在短短几分钟内扩散到互联网上。

多家供应商将易受攻击的 Realtek SDK 用于基于 RTL819x SoC 的设备,其中许多供应商尚未发布固件更新。目前还不清楚有多少网络设备使用 RTL819x 芯片,但 RTL819xD 版本的 SoC 出现在 60 多个供应商的产品中,其中包括华硕、贝尔金、Buffalo、D-Link、Edimax、TRENDnet 和 Zyxel。

研究人员的观点:

使用 2022 年 3 月之前围绕 Realtek eCOS SDK 构建的固件的设备存在漏洞,易受攻击;

即使用户不暴露任何管理界面功能,也容易受到攻击;

攻击者可以使用单个 UDP 数据包到任意端口来利用该漏洞;

此漏洞可能对路由器影响最大,但一些基于 Realtek SDK 的物联网设备也可能受到影响。

安全专家建议用户应尽快检查其网络设备是否存在漏洞,一经发现,应立即安装供应商发布的固件更新。除此以外,企业可以尝试阻止未经请求的 UDP 请求。

]]>
英国一水厂疑遭勒索软件攻击,IT系统中断服务 敏感数据或泄露 Sun, 25 Sep 2022 04:45:26 +0800 英国南斯塔福德郡水务公司(South Staffordshire Water)是一家供水商,每天为160万消费者提供约3.3亿升饮用水。日前,该公司发表一份声明,确认IT系统已经因网络攻击而宕机。

英国面临缺水期,网络攻击正逢其时

根据公告内容来看,该公司的安全和供水系统仍在正常运行,因此IT系统宕机不会影响到其自身及旗下子公司Cambridge Water和South Staffs Water的客户安全用水。

该公司在官网发布的声明中解释道,“这要归功于我们长期以来强大的供水和质量控制系统,也离不开我们团队为应对此次事件做出的迅速响应和额外预防措施。”

南斯塔福德郡水务公司还向客户做出保证,称所有服务团队都在照常运营,并不存在因网络攻击而导致长期停水的风险。

据悉,此次攻击疑似为Clop勒索软件团伙所为。攻击恰逢英国消费者面临严重的缺水危机,目前英国国内已经有八个地区实施了供水配额和禁止私接软管等政策。

网络犯罪分子当然不会随意选择目标,抢在严重缺水期间攻击供水商,有望迫使受害者面对巨大的民众用水压力而乖乖支付赎金。

勒索团伙搞错受害者,错误发送勒索信息

与此同时,Clop勒索软件团伙日前在其暗网网站发布公告,宣称泰晤士水务公司(Thames Water)已经沦为其受害者。从公告来看,Clop表示已经成功接入泰晤士水务公司的监测控制与数据采集(SCADA)系统,甚至有能力操纵该系统对1500万客户造成损害。

泰晤士水务公司是英国最大的自来水供应商和废水处理商,业务涵盖大伦敦地区及泰晤士河周边地区。

Clop团伙称已经将网络安全缺陷透露给泰晤士水务公司,并表示此次攻击非常“贴心”,没有加密受害者的数据,只是从受感染的系统中窃取到5TB资料。

在赎金谈判破裂之后,Clop团伙决定发布首批被盗数据样本,其中包含护照、水处理SCADA系统截屏以及驾照等内容。

泰晤士水务公司则通过一份正式声明对此提出异议,称Clop团伙提到的网络入侵说法属于“网络骗局”,且目前供水业务一直在满负荷运转。

事件中的一大关键细节在于,从公开证据来看,Clop团伙提供的一份包含用户名和密码的电子表格,其中列出的其实是South Staff Water和South Staffordshire的邮件地址。

此外,外媒BleepingComputer还观察到,其中一份泄露文件明确标注是发给南斯塔福德郡水务公司的。

因此,Clop团伙很可能是搞错了受害者身份,或者是打算用虚假的证据去勒索另一家体量更大的企业。

在被“打假”后,Clop团伙修正了其暗网网站的勒索对象,将南斯塔福德郡水务公司列为受害者。

要想顺利拿到赎金,Clop团伙至少得先把受害者的身份搞清楚。考虑到此次事件已经掀起轩然大波,想要顺利换取赎金恐怕没那么容易。

]]>
竟然不设密码!调查发现全球超9000台VNC 服务器存暴露风险 Sun, 25 Sep 2022 04:45:26 +0800 据Bleeping Computer网站8月14日消息,研究人员通过调查发现了至少9000个暴露的VNC(虚拟网络计算)端点,这些端点能在没有认证的情况下进行访问,从而使攻击者能够轻松进入内部网络。

VNC(虚拟网络计算)是一个独立于平台的系统,旨在帮助用户连接到需要监控和调整的系统,通过网络连接的RFB(远程帧缓冲协议)提供对远程计算机的控制。

如果因为工作疏忽或者只图方便,让这些端点没有用密码进行保护,便会成为未经授权的入口,让攻击者趁虚而入。根据Cyble公司安全漏洞猎手的扫描结果,发现网络上有超过9000个没有密码防护且面向互联网的VNC实例,其中大多数被暴露的实例位于中国和瑞典,而美国、西班牙和巴西则紧随其后。令人担忧的是,Cybcle发现其中一些暴露的VNC实例位于本不应该暴露在互联网上的工业控制系统。

为了解攻击者针对VNC服务器的频率,Cyble使用其网络情报工具监测VNC的默认端口——5900端口的攻击,发现在一个月内有超过600万个请求,其中多数访问来自来自荷兰、俄罗斯和美国。

对VNC访问的需求

在黑客论坛上,通过暴露或破解的VNC访问关键网络的需求很高,在某些情况下,这种访问可以用于更深层次的网络渗透。

“攻击者可能会滥用VNC,以登录用户的身份进行恶意操作,如打开文档、下载文件和运行任意命令,"一位Cyble研究员在一次私下讨论中告诉Bleeping Computer,"攻击者可以利用VNC来远程控制和监控一个系统,以收集数据和信息,从而向网络内的其他系统进行渗透。"

Bleeping Computer发现,在一个暗网论坛的帖子中列出了一长串暴露的VNC实例,这些实例的密码非常弱或没有密码。弱密码的情况引起了人们对VNC安全的另一个关注,因为 Cyble 的调查仅集中在身份验证层完全禁用的实例上。

由于许多VNC产品不支持超过8个字符的密码,导致它们在安全性上的表现欠佳,建议VNC管理员不要把服务器直接暴露在互联网上,如果必须远程访问,至少将它们放在 VPN 后面以保护对服务器的访问。

]]>
阿根廷地方司法机构遭勒索软件攻击:IT系统全部关闭 被迫纸笔办公 Sun, 25 Sep 2022 04:45:26 +0800 8月16日消息,南美洲阿根廷科尔多瓦司法机构因勒索软件攻击而被迫关闭IT系统,据爆料此次攻击是新近出现的Play勒索软件所为。

这次攻击发生在上周六(8月13日),迫使当地司法机构关闭了其IT系统及在线门户。服务中断期间,只能依靠传统纸面形式提交官方文件。

据阿根廷新闻媒体Cadena 3发布的“网络攻击应急计划”显示,科尔多瓦司法机构证实曾遭受勒索软件攻击,并已经与微软、思科、趋势科技及当地专家共同开展事件调查。

经谷歌翻译理解,报道中提到“2022年8月13日星期六,科尔多瓦法院的技术基础设施遭受网络攻击,IT服务受勒索软件影响而无法正常运转。”

阿根廷新闻媒体Clarín 也提到,有消息人士称,此次攻击影响到司法机构的IT系统及数据库,这是该国“历史上针对公共机构的最严重攻击活动”。

攻击方系Play勒索软件

虽然司法机构尚未披露此次攻击的更多细节,但记者Luis Ernest Zegarra已经在推特上表示,他们受到的是以“.Play”为扩展名实施文件加密的勒索软件攻击。

该扩展名与2022年6月新出现的“Play”勒索软件有关,当时首批受害者曾在BleepingComputer论坛上描述过攻击情形。

与其他勒索软件攻击一样,Play恶意黑客同样先入侵网络、再加密设备。而在加密文件时,该勒索软件会添加.PLAY扩展名,如下图所示。

但与大多数留下冗长勒索说明、向受害者施压要挟的其他勒索软件不同,“Play”属于典型的“人狠话不多”。

“Play”的ReadMe.txt勒索说明不会遍布每个文件夹,而仅仅只放在磁盘驱动器的根目录(C:\\)下。内容也非常简洁,只有“PLAY”单词与联系邮件地址。

外媒BleepingComputer获悉,Play团伙会使用多个不同联络邮件地址,所以上图地址可能跟科尔多瓦司法机构攻击事件无关。

目前还不清楚Play团伙是如何入侵司法机构网络的。但在今年3月Lapsus$入侵Globant事件当中,曾有司法部门的员工遭遇邮件地址列表泄露。也许Play团伙是借此实施网络钓鱼攻击,进而窃取到登录凭证。

目前暂时没有发现该勒索软件团伙实施数据泄露,或数据在攻击期间被盗的迹象。

这已经不是阿根廷政府机构第一次遭受勒索软件攻击。早在2020年9月,Netwalker勒索软件团伙就袭击了阿根廷官方移民局 Dirección Nacional de Migraciones,并开价索取400万美元赎金。

]]>
《安联智库-网安周报》2022-08-14 Sun, 25 Sep 2022 04:45:26 +0800

1、网络巨头思科遭数据勒索:VPN访问权限被窃取,2.8GB数据泄露

8月11日消息,思科公司昨日证实,“阎罗王”(音译,原名Yanluowang)勒索软件团伙在今年5月下旬入侵了其企业网络,攻击者还试图公布被盗文件以要挟索取赎金。思科声称,攻击者窃取到的只是与受感染员工账户关联的Box文件夹中的非敏感数据。
黑客称已经窃取到思科数据
这批恶意黑客通过邮件向外媒BleepingComputer发送了一份目录,内容据称是攻击期间从思科处窃取到的文件。恶意黑客声称共窃取到2.75 GB数据,包含约3100个文件。其中不少文件为保密协议、数据转储和工程图纸。
黑客还向BleepingComputer展示了攻击期间获得的一份经过编辑的保密协议(NDA)文件,用以证明攻击获得成功,并“暗示”这些文件是入侵思科网络后窃取而来。
2、美的集团回应遭受病毒勒索:系谣言,各业务系统未受影响

11日晚间,就“美的受黑客攻击并勒索千万美元”的传闻,美的集团在微博上发文回应称,2022年8月11日,美的集团遭受新型网络病毒攻击,少数员工电脑受到感染,公司各业务系统未受影响,经营正常进行,也没有收到勒索信息。

此前,网络上流传的一则聊天记录显示,美的集团在休集体年假期间遭遇加密勒索,工厂多处电脑中病毒,导致无法打开文件或进入不了系统。该病毒为勒索病毒,需要7天内汇1000万美元到指定账户。

上述聊天记录还提到,针对发生的加密勒索,公司提示相关用户需要保持非必要不开机;已经开机的用户马上关机断电;不要连VPN;不要使用美信、邮箱发送文件,并且会安排安保进行强制关机。

3、美服装商HanesBrands 受到勒索软件攻击损失1亿美元

美国服装制造商HanesBrands 8月11日表示,由于勒索软件攻击暂时中断了公司的供应链和订单,它损失了1亿美元。

根据该公司的财报,此次攻击破坏了其“全球供应链网络,并限制了其在大约3周内履行客户订单的能力”。该公司估计,这次攻击导致1亿美元的净销售额和3500万美元的调整后营业利润。

4、破解Starlink卫星终端需要多少成本?25美元

近日在拉斯维加斯召开的 Black Hat Security Conference 峰会上,一名 Lennert Wouters 的比利时研究人员现场演示,成功破解了 SpaceX 的其中一个 Starlink 用户终端。Starlink 是伊隆·马斯克(Elon Musk)旗下私人航天公司 SpaceX 推出的卫星互联网业务,主要为全球偏远地区和网络信号无法覆盖的地区提供网络服务。目前该业务已经发展到 3000 多颗卫星。

Wouters 在展示过程中,所使用的破解装置总成本仅为 25 美元,成功侵入 Starlink 的卫星天线终端并获得系统访问权限。Wouters 写道:“我们的攻击可以让 Starlink 的用户终端无法使用,并允许我们任意执行代码”。

在拉斯维加斯会议上展示他的发现之前,Wouter 曾警告 SpaceX 其用户终端的漏洞。Starlink 已经更新了系统,但研究人员回答说,避免此类攻击的唯一可靠方法是创建一个新版本的主芯片。

]]>
利用macOS端Zoom安装器漏洞 黑客可以接管你的Mac Sun, 25 Sep 2022 04:45:26 +0800 一名安全专家近日发现利用 macOS 端 Zoom 应用程序,掌控整个系统权限的攻击方式。本周五在拉斯维加斯召开的 Def Con 黑客大会上,Mac 安全专家帕特里克·沃德尔(Patrick Wardle)在演讲中详细介绍了这个漏洞细节。

虽然 Zoom 已经修复了演示中的部分 BUG,但是沃德尔还演示了一个尚未修复、依然可以影响 macOS 系统的漏洞。该漏洞通过 Zoom 应用的安装器进行入侵,虽然在首次添加到 macOS 的时候需要用户输入系统密码,不过沃德尔表示可以通过超级用户权限在后台执行自动升级功能。

在 Zoom 发布修复更新之后,在安装新的安装包的时候都需要审查是否经过 Zoom 加密签署。不过这种审查方式依然存在缺陷,任意文件只需要修改为和 Zoom 签署认证相同的文件名称就可以通过测试,因此攻击者可以伪装任意恶意程序,并通过提权来掌控系统、

其结果是一种权限提升攻击方式,需要攻击者已经获得了对目标系统的初始访问权限,然后利用漏洞来获得更高级别的访问权限。 在这种情况下,攻击者从受限用户帐户开始,但升级为最强大的用户类型——称为“superuser”或“root”——允许他们添加、删除或修改机器上的任何文件。

]]>
破解Starlink卫星终端需要多少成本?25美元 Sun, 25 Sep 2022 04:45:26 +0800 近日在拉斯维加斯召开的 Black Hat Security Conference 峰会上,一名 Lennert Wouters 的比利时研究人员现场演示,成功破解了 SpaceX 的其中一个 Starlink 用户终端。Starlink 是伊隆·马斯克(Elon Musk)旗下私人航天公司 SpaceX 推出的卫星互联网业务,主要为全球偏远地区和网络信号无法覆盖的地区提供网络服务。目前该业务已经发展到 3000 多颗卫星。

Wouters 在展示过程中,所使用的破解装置总成本仅为 25 美元,成功侵入 Starlink 的卫星天线终端并获得系统访问权限。 Wouters 写道:“我们的攻击可以让 Starlink 的用户终端无法使用,并允许我们任意执行代码”。

在拉斯维加斯会议上展示他的发现之前,Wouter 曾警告 SpaceX 其用户终端的漏洞。 Starlink 已经更新了系统,但研究人员回答说,避免此类攻击的唯一可靠方法是创建一个新版本的主芯片。

]]>
美服装商HanesBrands 受到勒索软件攻击损失1亿美元 Sun, 25 Sep 2022 04:45:26 +0800 美国服装制造商HanesBrands 8月11日表示,由于勒索软件攻击暂时中断了公司的供应链和订单,它损失了1亿美元。

攻击发生在公司销售额下降14%至15. 1亿美元期间。

HanesBrands于5月底向美国证券交易委员会 (SEC)报告了此次攻击 ,但此前并未具体说明影响程度。

根据该公司的财报,此次攻击破坏了其“全球供应链网络,并限制了其在大约3周内履行客户订单的能力”。

该公司估计,这次攻击导致1亿美元的净销售额和3500万美元的调整后营业利润。

此外,8月11日,HanesBrands 股价下跌6.2%至10.84美元。目前尚不清楚HanesBrands是否支付了赎金。

]]>
电脑中毒被勒索1000万美元?美的澄清:少数电脑被感染 Sun, 25 Sep 2022 04:45:26 +0800 11日晚间,就“美的受黑客攻击并勒索千万美元”的传闻,美的集团在微博上发文回应称,2022年8月11日,美的集团遭受新型网络病毒攻击,少数员工电脑受到感染,公司各业务系统未受影响,经营正常进行,也没有收到勒索信息。

中新经纬注意到,此前,网络上流传的一则聊天记录显示,美的集团在休集体年假期间遭遇加密勒索,工厂多处电脑中病毒,导致无法打开文件或进入不了系统。该病毒为勒索病毒,需要7天内汇1000万美元到指定账户。

上述聊天记录还提到,针对发生的加密勒索,公司提示相关用户需要保持非必要不开机;已经开机的用户马上关机断电;不要连VPN;不要使用美信、邮箱发送文件,并且会安排安保进行强制关机。

]]>
网络巨头思科遭数据勒索:VPN访问权限被窃取,2.8GB数据泄露 Sun, 25 Sep 2022 04:45:26 +0800 8月11日消息,思科公司昨日证实,“阎罗王”(音译,原名Yanluowang)勒索软件团伙在今年5月下旬入侵了其企业网络,攻击者还试图公布被盗文件以要挟索取赎金。

思科声称,攻击者窃取到的只是与受感染员工账户关联的Box文件夹中的非敏感数据。

思科公司一位发言人向外媒BleepingComputer确认,“思科公司在2022年5月下旬经历了一起企业网络安全事件。我们立即采取行动,遏制并清理了恶意黑客。”

“思科未发现此事件对公司业务造成过任何影响,包括思科产品或服务、敏感客户数据或敏感员工信息、知识产权或供应链运营。”

“8月10日,恶意黑客将期间窃取到的文件清单发布至暗网。我们已经采取了额外措施来保护自身系统,并公布了技术细节,希望协助保护更广泛的安全社区。”

利用被盗员工凭证入侵思科网络

“阎罗王”恶意团队首先劫持了思科员工的个人谷歌账户(包含从浏览器同步的凭证),随后使用其中的被盗凭证获得了对思科网络的访问权限。

“阎罗王”团伙发出大量多因素身份验证(MFA)推送通知,用疲劳战术搞垮目标员工的心态,之后再伪装成受信任的支持组织发起一系列复杂的语音网络钓鱼攻击。

终于,恶意黑客成功诱导受害者接受了其中一条多因素验证通知,并结合目标用户上下文信息获得了对VPN的访问权限。

在思科企业网络上成功站稳脚跟后,“阎罗王”团伙开始横向移动至Citrix服务器和域控制器。

思科安全研究团队Talos表示,“对方进入了Citrix环境,入侵了一系列Citrix服务器,并最终获得了对域控制器的高权限访问。”

在获得域管理员身份后,他们使用域枚举工具(如ntdsutil、adfind以及secretsdump等)收集更多信息,将包括后门在内的多种有效载荷安装到受感染系统上。

最后,思科检测到了这一恶意活动,并将恶意黑客从环境中驱逐了出去。在随后几周内,“阎罗王”团伙仍多次尝试重夺访问权限。

Talos团队补充道,“在获得初始访问权限后,恶意黑客曾采取多种行动来维持访问权限,希望尽可能破坏取证线索,并提高自己在环境中的系统访问级别。”

“恶意黑客随后被成功清理出思科环境,但仍没有彻底放弃。他们在攻击后的几周内,曾反复尝试重新夺取访问权限,但这些尝试均未能奏效。”

黑客称已经窃取到思科数据

上周,这批恶意黑客通过邮件向外媒BleepingComputer发送了一份目录,内容据称是攻击期间从思科处窃取到的文件。

恶意黑客声称共窃取到2.75 GB数据,包含约3100个文件。其中不少文件为保密协议、数据转储和工程图纸。

黑客还向BleepingComputer展示了攻击期间获得的一份经过编辑的保密协议(NDA)文件,用以证明攻击获得成功,并“暗示”这些文件是入侵思科网络后窃取而来。

恶意黑客已经在自己的数据泄露网站上公布了思科入侵事件,并附上了BleepingComputer此前收到的同一份文件目录。

思科系统并未被部署勒索软件

思科公司强调,尽管“阎罗王”团伙向来以加密锁定受害者文件而闻名,但此次攻击过程并未出现涉及勒索软件载荷的证据。

昨天(8月10日),思科Talos团队发布对该事件的响应过程文章称,“虽然我们并未在此次攻击中观察到勒索软件部署,但恶意黑客使用的战术、技术与程序(TTP)同以往的「勒索攻击预前活动」保持一致。也就是说,对方仍然延续了实际部署勒索软件之前的整个预备套路。”

“我们有中等到较强的信心,认为此次攻击是某初始访问代理(IAB)所为。之前已经确认,此代理同UNC2447网络犯罪团伙、Lapsus$恶意团伙以及「阎罗王」勒索软件团伙均有联系。”

“阎罗王”团伙近期还表示成功入侵了美国零售巨头沃尔玛的系统,但遭到受害者的明确否认。沃尔玛向BleepingComputer表示,自己并未发现勒索软件攻击的证据。

]]>
云计算通信平台Twilio遭黑客以网络钓鱼短信取得员工账号 Sun, 25 Sep 2022 04:45:26 +0800 云计算通信平台Twilio周日(8/7)指出,黑客通过网络钓鱼短信骗取了内部员工的登录凭证,再借由盗来的凭证访问内部网络,并取得了客户的资料,除了对外说明之外,也借此呼吁其它企业要小心里防备范这类的社交工程攻击。

Twilio表示,该公司是在8月4日发现有特定的客户账号资讯遭到未经授权的访问,主要是成功骗过了员工,让员工提供了自己的登录凭证。

黑客的手法是先发送短信给许多Twilio的前任与现任员工,短信内还写上了员工姓名,指出员工的密码已经过期,或是班表变更了,要求员工连至短信内所附上的连接,并输入登录凭证。

这些连接所使用的网址都是黑客先行注册的网络钓渔网站,像是http“:”//twilio-okta.com/或http“:”//twilio-sso.com/,以欺骗Twilio员工点击并输入凭证。接着黑客再以盗走的Twilio员工凭证访问客户资料。

Twilio并未说明有多少员工的登录凭证遭到窃取,也未提供外泄的客户数量或资料内容,仅说已一一通知受到影响的客户,并撤销所有被盗走的员工凭证,与鉴识公司合作,通知执法机构。此外,Twilio也通知了黑客发送网络钓鱼短信所使用的电信运营商,以及网络钓渔网站的托管服务供应商,请求它们撤销黑客的账号。

值得注意的是,Twilio还说也有其它公司遭到类似网络钓鱼手法的攻击,有些企业同样也通知了电信运营商与托管服务供应商,但在它们撤销黑客的账号之后,黑客很快就利用其它服务另起炉灶,显然是个有组织且有条不紊的犯罪集团,惟目前尚无法识别黑客的身份。

Twilio警告,社交工程攻击非常的复杂且先进,甚至能挑战最先进的防御系统,该公司已针对相关攻击展开了额外的员工训练,也正在研究其它的技术性防御措施,同时呼吁其它企业也应小心里防备范。

]]>
网络攻击致使英国医疗急救热线“120”发生重大中断 Sun, 25 Sep 2022 04:45:26 +0800 由于受到网络攻击影响,英国国家医疗服务体系(NHS)的111急救热线(注:类似我国的120热线)发生重大持续性中断。

这次网络攻击袭击了NHS的本地托管服务提供商Advanced。根据状态页面信息显示,111急救热线约85%的服务都在使用Advanced公司提供的Adastra客户患者管理解决方案。本次攻击令Adastra解决方案以及Advanced提供的其他几项服务同时陷入重大中断。

威尔士救护车服务中心表示,“当地用于将111急救热线患者转诊给急诊全科医师的计算机系统,近期出现了重大故障。”

“该系统主要帮助当地卫生局为患者提供协调服务。持续中断已经造成严重冲击与深远影响,覆盖了英国的英格兰、威尔士、苏格兰及北爱尔兰四大地区。”

英国卫生部部长Steve Barclay表示,正定期听取关于NHS 111服务事件的简报,目前已在受影响地区制定应急计划,将影响降到最低。

NHS官方建议,民众暂时使用在线网站访问111急救呼叫服务,直到事件得到解决。

Advanced公司高管证实网络攻击

目前,Advanced网站状态页面会弹出仅供客户及员工登录的表单,外部无法公开访问。但该公司首席运营官Simon Short已经证实,这次事件源自上周四(8月4日)早上检测到的网络攻击。

Short向英媒BBC公布的一份声明中表示,“我们发现了一个安全问题,已经引发服务中断。”

“可以确定该事件与网络攻击有关。作为预防措施,我们立即隔离了所有医疗与护理IT环境。”

“我们的事件响应团队及早介入,将问题控制在了少数服务器中,受影响设备只占整体医疗保健基础设施的2%。”

虽然并未提供关于网络攻击性质的细节信息,但根据Short的描述,这很可能是一起勒索软件或者数据勒索攻击。

Advanced公司为各行各业的22000多家全球客户提供商业软件,场景涵盖医疗保健、教育以及非营利组织等。

这家服务提供商的客户包括英国医疗卫生服务体系(NHS)、英国工作和养老金部(DWP)以及伦敦城市机场等。

外媒BleepingComputer曾联系到Advanced公司一位发言人,希望了解更多事件细节,但对方并未立即回应置评请求。

]]>
员工被钓鱼,云通讯巨头Twilio客户数据遭泄露 Sun, 25 Sep 2022 04:45:26 +0800 据Bleeping Computer网站8月8日消息,云通讯巨头Twilio表示,有攻击者利用短信网络钓鱼攻击窃取了员工凭证,并潜入内部系统泄露了部分客户数据。

根据Twilio在上周末的公开披露,8月4日,Twilio首次注意到了这些旨在窃取员工凭证的复杂社会工程学攻击。这些攻击者冒充公司内部的IT部门人员,向公司员工发送短信,警告他们的系统密码已经过期,需要通过点击短信附带的URL进行修改。该URL带有“Twilio”、“Okta”和“SSO”等具有高仿真性的字段,受害员工一旦点击便会跳转到一个克隆的 Twilio 登录页面。

当被问及有多少员工的帐户在网络钓鱼攻击中“失陷”,以及有多少客户数据受到泄露影响时,Twilio 的 EMEA 通讯总监 Katherine James 拒绝透露相关信息。Twilio 对外表示,已经与美国的短信供应商取得联系,封闭了发送钓鱼短信的账户。

Twilio尚未确定攻击者的身份,但已联系执法部门对攻击者展开调查。为此,Twilio已经封禁了在攻击期间遭到破坏的员工账户,以阻止攻击者访问其系统,并已开始通知受此事件影响的客户。

Twillio在 17 个国家和地区拥有26 个办事处,共计 5000 多名员工,提供可编程语音、文本、聊天、视频和电子邮件 API,被超过 1000 万开发人员和 150000 家企业用于构建客户参与平台。

Twilio还在2015年2月收购了Authy,这是一家面向终端用户、开发者和企业的流行双因素认证(2FA)供应商,在全球拥有数百万用户。

]]>
荷兰受网络攻击影响被迫临时关停100多家牙科诊所 Sun, 25 Sep 2022 04:45:26 +0800 当地时间8月5日,荷兰Colosseum Dental Benelux公司向媒体表示,公司旗下的100多家牙科诊所因网络攻击被迫停工。Colosseum Dental Benelux在荷兰和比利时拥有130家诊所。

该公司在接受RTL Z采访时证实,受到了网络攻击,并报告了警方和荷兰数据保护局(AP)。

该公司认为这是一起“网络事件”,影响了大约120个旗下诊所。Colosseum Dental Benelux预计本周将慢慢重新开业。

根据可靠的消息来源,员工无法获取客户的病史。“不幸的是,这具有勒索软件攻击的所有特征,”网络安全公司ESET荷兰首席执行官戴夫·马斯兰(Dave Maasland)说。

马斯兰说:“一项操作的停止、无法访问系统或网站、向警方报告和向荷兰数据保护局报告,所有这些都指向这个方向。”他不排除这可能是另一种攻击,但认为这种可能性很小。“不幸的是,在当前的网络事件浪潮中,几乎都能看到勒索软件的影子。”

该公司目前正在恢复系统,并正在与外部各方调查该事件。由于正在进行调查,发言人不想透露更多信息。他不想透露事件的幕后主使以及患者数据是否被盗。

该公司表示别无选择,只能向犯罪分子付款:“照顾我们的患者是我们的首要任务,这促使Colosseum Dental Benelux与网络攻击者联系,就我们的数据返还和安全达成协议。只有这样,我们才能够在如此短的时间内将所有相关人员的风险降至最低,并相对快速地恢复业务。”

该公司告知荷兰数据保护局,已联系外界共同应对紧急情况。预计受影响的诊所将在本周内恢复正常运行。目前尚不清楚支付了多少赎金。

Colosseum Dental Benelux没有透露攻击者身份。有消息称攻击者在系统加密之前删除了备份。目前还不确定是否有数据泄露。

Colosseum Dental Benelux在荷兰和比利时有130多个门店,每年治疗约600000名患者。这次袭击只影响了大约120家荷兰门店。发言人透露,比利时或其他国家没有卷入这起事件。

]]>
丹麦全国7-11便利店遭网络攻击关闭 Sun, 25 Sep 2022 04:45:26 +0800 本周一,丹麦的7-11便利店遭遇重大网络攻击,全国商店的支付和结账系统陷入瘫痪,导致丹麦全国的7-11便利店关闭。

这次攻击发生在周一晚间,7-11便利店在Facebook官方账号上发帖称他们很可能“受到黑客攻击”。

声明称,该公司在调查安全事件,并已关闭该国所有门店:

“不幸的是,我们怀疑我们今天(2022年8月8日星期一)受到了黑客攻击。这意味着我们无法使用结账和接收付款功能。因此,我们将关闭商店,我们希望可以很快再次开店。” ——7-11DK。

在现已删除的一个Reddit帖子中,一名据称是丹麦7-11便利店的员工也证实了网络攻击,称他们在结账系统停止工作后被迫关闭商店。

“我在国王新广场的7-11工作,我们的结账系统已经瘫痪,全国所有的7-11都使用相同的系统,所以丹麦的所有7-11现在都已‘关闭’,”这名7-11员工说在Reddit上。

“所有店铺已经对客户关闭了大门,并张贴了通知。”

目前,还没有关于这次攻击的更多细节,也未确认是否涉及勒索软件,但后者是导致大规模业务中断的最常见网络攻击。

]]>
NHS遭网络攻击,系统出现重大故障 Sun, 25 Sep 2022 04:45:26 +0800 英国国家卫生服务(NHS)的111紧急服务受到网络攻击,继而引发了重大影响,服务系统出现持续性中断,该攻击袭击了英国管理服务提供商(MSP)Advanced的系统。

根据NHS111服务的介绍页面,85% 的 NHS 111 服务都使用了Advanced 的 Adastra 客户患者管理解决方案,该解决方案与 MSP 提供的其他几项服务一起遭遇重大中断 。

威尔士救护车服务中心近日称用于将病人从威尔士的国家医疗服务体系转诊到小时外全科医生的NHS计算机系统发生了重大故障,该系统是由地方卫生局用来协调病人转诊的。此次持续的故障是非常重大的,故障造成的影响也十分深远,英国全境都因此受到了不同程度的影响。NHS建议英国公众在此次事件得到解决之前,先使用在线平台访问NHS 111紧急服务。

Advanced首席运营官确认了网络攻击

目前为止,公众暂时无法查看Advanced状态页面,Advanced的首席运营官Simon Short证实,该故障事件是由周四上午发现的网络攻击造成的。

Simon Short在BBC上发表声明称,近日发现的安全问题造成了此次服务的故障,他们可以确认,该事件与网络攻击有关,作为预防措施,Advanced立即隔离了该组织所有的健康和护理环境。Advanced的事件响应小组的早期干预将这个问题控制在少数服务器上,这些问题服务器约占Advanced使用的健康和护理基础服务器的2%。

虽然没有提供有关网络攻击性质的细节,但根据Advanced的首席运营官的发言推测,此次事件可能是一个勒索软件或数据勒索攻击。Advanced为22,000多个全球客户提供商业软件服务,这些客户来自不同的行业垂直领域,从医疗保健和教育到非营利组织,MSP的客户名单包括NHS、英国工作和养老金部(DWP)以及伦敦城市机场。

]]>
记者调查:多家电商平台个人信息遭泄露 网上公开叫卖 Sun, 25 Sep 2022 04:45:26 +0800 李铁的个人信息泄露了。

李铁从事数据安全保护工作近10年,尤为看重自己的个人信息保护。近日,他告诉央广网记者,今年6月的一天,他接到一个陌生电话,对方直接说出他在某电商平台的订单信息,并称货品质量有问题,需要提供银行卡号,以便赔偿。

李铁说,出于职业敏感,他的第一反应是个人信息被泄露了。此前他确实在这家电商平台购买过上述物品,当他试图询问更多信息时,对方立即挂断了电话。

记者近期调查发现,除这家电商平台外,多家知名电商平台均有数据在网上公开叫卖,这些信息包括消费者的姓名、电话、地址、商品名称和快递单号等。有卖家自称每条个人信息0.35元,2000条起卖,如果购买量大,最低可打五折。记者从卖家处购买了数千条数据,随机对近200条个人数据进行了电话求证,证实被售卖的个人信息中名字、电话、住址等准确无误。

互联网数据信息泄露不仅带来不厌其烦的营销电话,还牵涉到商业平台之间的利益竞争,甚至导致电信诈骗等犯罪现象,诸如2016年震惊全国的“徐玉玉电信诈骗案”。该案入选最高人民法院“2017年推动法治进程十大案件”。

2022年6月1日,《中华人民共和国网络安全法》(简称《网络安全法》)正式实施五周年。《网络安全法》明确规定,网络运营者对其收集的个人信息所负有的法定义务包括:不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息;采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。

今年国务院印发的《“十四五”数字经济发展规划》提出,严厉打击数据黑市交易,营造安全有序的市场环境。国家发展改革委等部门联合印发的《关于推动平台经济规范健康持续发展的若干意见》中也提到,从严管控非必要采集数据行为,依法依规打击黑市数据交易、大数据杀熟等数据滥用行为。

严厉打击之下,还是有人铤而走险。几千元可买到上万条数据,一条黑色产业链正潜伏在社会的隐秘角落中。

个人信息遭公开叫卖,一条数据0.35元

隔三岔五,卖家许飞就会在QQ群发布一条“出料”信息。

“出料”是这个地下交易的“黑话”,它代表“数据”。消息发出不久,群内一些成员就来询问是什么类别的数据,他回复“私聊”后,这群人便消失在聊天群中。申请好友通过验证后,一旦有人买数据时犹豫不决,他就很快把人拉黑。

记者以买家身份加上了卖家许飞的QQ。“你要多少条?这些数据你先打电话核实。”许飞发来一个文档,称这是截取短信的信息,短信显示“某人、某时购买的物品已经发货”。

他自称还出售多家知名电商平台的个人信息,“一条数据0.35元,2000条信息起卖。”购买者不仅可以指定平台,还可指定日期,但最新数据也是两天前的数据,而非实时数据。

记者向许飞购买多家电商平台的个人数据,发来的每份数据文档中的信息条数从几十个到上千个不等,订单的商品有母婴用品、衣服、酒水、生活用品等多种类别。

其中,两份名为某电商平台“纸尿裤”和“母婴”的文件,共有数百条网购订单数据信息。信息包括所购买的商品品名、数量、价格、交易时间、订单号,以及收货人电话、姓名、地址,快递公司和快递单号等,其中地址详至门牌号。甚至,部分订单显示“未发货”“已发货”“孕妇不能走太远路”等备注信息。

为验证上述数据信息的真实性,记者随机拨打近200名用户电话求证,证实被售卖者的名字、电话、住址等信息无误。

“假的数据,我敢卖给你?”许飞再三催促记者尽快核实,“你放心,这些数据都可以对上号。”

许飞介绍,他和其他人合伙开了一家工作室,每天产量3万条左右,而他自己也偷偷生产数据,但量少,每月不到1万条。假如客户多,数据又不够,他只能从工作室拿,而自己只能拿一点提成,“挣得并不多”。

见记者犹豫不决,他不断劝说:“数据效果好的话,趁月底你多弄点数据,可以打五折,1万条数据只要2300元。你要是想倒手卖,再把价格加上去。”

许飞还发来一份名为“银行交易短信劫持样本”的文档。该文档包含国内各大银行名称、姓名、手机号码、属地、时间、储户实时到账的短信提示等信息。“这是银行内部流出的数据,我们渠道很多,你信了吧?”他说。

另一售卖者也表示,自己售卖的数据以母婴类为主,还有专门的宝妈平台和电视购物个人信息,这些信息都是从平台一手渠道“拿货”,保证精准,并称如果价格能够接受,“身份证都能给你洗出来”。

许飞从不用支付宝、微信转账的方式交易。

他称,支付宝口令红包更安全。记者在购买数据时,他再三嘱咐转账必须通过“支付宝口令”红包,输入口令后,将截图发给他即可。“我们都是通过这种方式支付。”“这样有点麻烦,但稳妥最重要。”在聊天中,他从不提钱、数据、红包等敏感词汇,“你要有安全意识”。

数据被反复流转、清洗,溯源不明

交易神秘是因为这些数据来源“见不得光”。

“数据保真就行,渠道不能说得‘太白’。不然我们还咋挣钱!”许飞透露,这些数据主要通过程序从平台上“爬取”,或者从“企业内鬼”处买到。记者随机向许飞发来的数据所涉平台商家进行验证,这些商家的工作人员均表示,不出售任何个人数据。

许飞称,有些数据来源于物流。但多家快递公司的快递员均表示,在网购快递收发中,他们可以看到备注的收货人名字、电话、地址或快递物品类别,但商品型号、颜色、价格等订单具体信息,他们无从得知。有些知名家电品牌的快递面单备注较为详细,但也并非所有信息都会显示。

“这种货源渠道五花八门,咋跟你说?”许飞表示他不是黑客,也不是中间商,不然数据售价不会这么低。

根据工作经验,李铁认为,许飞出售的可能是一手资料。他本人曾向某企业内鬼购买数据,对方和许飞一样警惕性极高。

李铁介绍,这类倒买倒卖的方式往往是把一手信息通过固定渠道向外销售,购买者成立公司或工作室,对数据进行清洗,然后通过各种渠道售卖给个人买家。“一手数据售价往往很低,在数据流通出去后,不少人反复倒卖加价,售价自然就高了。”

“这些人胆子很大,不停在各个社交渠道叫卖,而且还反复售卖。”仔细研究了对方售卖的数据,李铁分析称,部分数据已被清洗过,然后对方再重新拼凑起来。“这样做主要是安全,无法追溯源头。”

中国计算机行业协会数据安全专业委员会委员杨蔚表示,从近几年国内外网络攻击事件和数据泄露事件来看,不管是网购还是其他途径的信息泄露,来源主要是黑客攻击、内鬼泄露、供应链泄露三个方面。

杨蔚说,以电商平台举例,它是典型的供应链生态体系,既有“上游”,也有“下游”,整个流程协同分工。从消费者角度来看,各个环节都会存在数据被获取的可能性,因为各数据都在流转,大电商和小电商区别就在于组织和流程上涉及多少的问题。“这也是为什么某些电商平台一旦数据泄露,任何一个环节都说不是自己泄露的,这些平台没有相应的技术手段来保证各环节,说明管理存在问题。”他说。

据记者了解,最高人民检察院近期印发了《关于加强刑事检察与公益诉讼检察衔接协作严厉打击电信网络犯罪加强个人信息司法保护的通知》,要求严厉打击行业“内鬼”泄露公民个人信息违法犯罪。

数据遭泄露后,多用于营销推广和电信诈骗

许飞从不过问买方购买数据的用途,“我管那么多干嘛,问了别人也不说。”

但实际上,这些包含大量个人信息的数据已经成为电信网络诈骗犯罪的“基本物料”。犯罪分子通过非法手段获取公民注册手机卡、银行卡,以此作为诈骗犯罪的基础工具,或是利用这些信息对诈骗对象进行“画像”,实施精准诈骗。

在记者电话求证过程中,近半数消费者表示曾接到诈骗电话,甚至部分人多次接到境外诈骗电话,这些诈骗人员能够详细说出他们的姓名、住址、网购订单等信息。其中,有些是要求他们通过银行转账,有的是以返还商品优惠为由要求提供银行卡。

李铁表示,购买这些数据的人,主要是出于商业目的和诈骗。出于商业目的,例如推广营销、获取新用户、提高销售额、获取竞争对手客群等,而诈骗则尤为常见,甚至还有人借此来进行勒索。

杨蔚同样表示,一般个人信息数据泄露后常被用于营销推广和电信诈骗。而在电信诈骗中,在校学生、留守老年人会成为电信诈骗分子重点关注的对象。

2016年8月21日,刚接到大学录取通知书的山东临沂市高三毕业生徐玉玉接到诈骗电话。陈文辉等人以发放助学金的名义,骗走了徐玉玉全部学费9900元,徐玉玉在报警回家的路上猝死。

2017年6月27日,此案在山东省临沂市中级人民法院一审公开开庭审理。陈文辉、郑金锋、黄进春等7名被告人均表示认罪悔罪。

根据法院披露的信息,2015年11月至2016年8月,被告人陈文辉、郑金峰、黄进春等人通过网络购买学生信息和公民购房信息。随后冒充教育局、财政局、房产局工作人员,以发放贫困学生助学金、购房补贴为名,以高考学生为主要诈骗对象,拨打电话骗取他人钱款,金额共计人民币56万余元。

李铁表示,电信诈骗犯罪产业链的背后,盘踞着以公司化体系运营的网络犯罪集团。诈骗的大部分话术围绕高额回报、高收益展开,后续再以账户异常、流水不足、银行卡异常无法提现等理由实施诈骗,常见的骗局类型有刷单、假冒金融App、电商购物退款等。在他看来,电信网络诈骗背后折射的是各类信息的数据安全。网络黑产分子攫取个人数据信息,经过处理加工后批量标价卖给电信诈骗团伙,后者再利用这些信息获取受害者信任,以实施诈骗。

公安部公布的最新统计数据显示,2021年,公安机关侦办侵犯公民个人信息、黑客等重点案件1.8万余起,打掉为赌博、诈骗等犯罪提供资金结算、技术支撑、引流推广等服务的团伙6000余个,查处非法侵入计算机信息系统、非法获取系统数据人员3000余名,抓获行业内部人员680余名。

个人信息泄露后,立案难、维权难

杨蔚也曾遭遇个人信息泄露,而其后的维权之路让这位网络安全领域的专家都感到无比艰难。

就在今年“3·15”当天,杨蔚接到某房产中介的电话,对方精准地说出了他所居住的小区和楼层号。“骚扰电话的精准程度,真是令人发指。”杨蔚尝试举报,但过程并不理想。

杨蔚说,这类案件举证大部分容易因扩散渠道不具有单一性和唯一性,导致无法确认泄露主体而败诉。网民在日常生活中使用一些App时,如果不授权就用不了任何功能,但授权同意后就表示用户让渡了自己的个人信息,给予App运营主体获取权限。这也是为什么近年来手机App过度收集用户信息现象多次遭受质疑的原因。因为容易滋生数据黑产,引发违法犯罪。

此外,依靠暗网交易软件获取的数据来源更加私密,形成监管盲区,给执法部门带来很大困难。杨蔚认为,要从上游如支付环节或数据源头解决问题。

为加强对数据安全、个人信息的保护力度,近几年国内颁布多部法律法规及行业标准,包括网络安全法、数据安全法、个人信息保护法、电子商务法以及消费者权益保护法等。

北京市中治律师事务所律师郭聪认为,根据刑法第二百五十三条之一:侵犯公民个人信息罪,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

郭聪表示,据不完全统计,目前根据司法实践中的案例数据,2020年至2021年的侵犯公民个人信息犯罪结案案例约4613件,2022年1月至6月约为307件。绝大多数案件处于判处三年以下有期徒刑的量刑层级。

在国外,欧盟实施了严厉的数据保护条例GDPR。GDRP是《通用数据保护条例》的简称,是欧盟立法机关针对欧洲发生的诸多信息和隐私数据泄露案件而制定的法案。该条例明确规定,公司内部需要设立数据保护官DPO(类似于CEO和COO高管职位),负责个人隐私数据保护。对比国内外法律,欧盟对数据泄露的处罚力度更大,法条更明确。杨蔚认为,相比欧盟,我国关于数据安全的立法起步较晚,在数据安全治理实践上还存在一定差距。

中兴通讯数据保护合规部与数据法盟联合编制的《GDPR执法案例精选白皮书》数据显示,截至2019年9月24日,22家欧洲数据监管机构对共87件案件作出了总计3.7亿欧元的行政处罚决定。

杨蔚表示,数据作为生产要素,安全保护仍然是需要大家共同解决的问题,须监管部门、企业、安全机构、民间安全力量等各方的努力。他认为,有关部门要不断明确各方权责,将举证门槛降低,并且加大处罚力度;企业及负责人应做到知法守法,承担保障个人信息安全的义务,对员工进行安全教育和培训,企业内建设网络安全防御体系、加强数据备份和信息保密等工作;个人要提高安全防护意识,具备一定的敏感性,谨慎点击链接及网站、创建安全性较高的密码等。

北京大学法学院副院长薛军认为,要从根本上解决信息泄露问题,还要依靠先进的技术。在可能出现个人隐私和信息泄露的环节,要用技术将信息匿名化,这些匿名信息只有系统能识别,而行为人不能识别、获取。

他表示,相关部门还要进一步加强对这类违法行为的侦查,加大对不法分子的惩处力度。“这个最有震慑力,当他们知道违规、违法必然受到处罚时,可能就放弃了。”

]]>
乌克兰宣布关闭一处社交农场:超百万账号肆意传播抹黑信息 Sun, 25 Sep 2022 04:45:26 +0800 乌克兰安全局(SSU)旗下的网络警察部门关闭了一处拥有上百万机器人的设施农场,这些机器人被用于在社交网络上传播虚假信息。

这处农场的目标就是抹黑乌克兰官方发布的信息,破坏乌国社会与政治局势、伺机制造内部冲突。

这些机器人传播的信息与俄罗斯宣传口径相符,因此认为这些虚假信息设备的操作者应该是俄罗斯特种部队的成员。

事实上,乌安全局的调查还一路挖出了该犯罪团伙的头目——一位曾居住在基辅的俄罗斯“政治专家”。

乌安全局在公告中解释道,“根据调查,此人正在组织信息传播与颠覆活动,在其之上还有乌克兰国内一股政治力量的授意支持。”

“跟这位政治专家一直保持联络和协调的,是曾任州领导团队核心职务的某位现乌克兰国会议员。”

乌克兰警方的调查工作仍在进行当中,希望找到虚假信息传播的其他参与者。他们将因违反乌克兰刑法第361.2条受到指控。

大规模机器人农场

乌安全局封控的这处机器人农场位于基辅、哈尔科夫及文尼察,依靠100万机器人大肆传播虚假信息。为了建立这支线上“部队”,恶意黑客共使用5000张手机卡来批量注册新的社交媒体账户。

此外,操作者还使用200台代理服务器,来掩盖实际IP地址、逃避欺诈检测并绕过社交媒体平台的屏蔽机制。

根据乌安全局的介绍,此处机器人农场的操作者还开发部署了定制软件,用以远程管理一众匿名社交媒体账户、协调需要推送的宣传信息。

战争时期的虚假信息

假新闻的力量不容小觑,往往能在困难时期、互联网访问受限和普遍动荡的背景下引发巨变。

俄罗斯方面长期以来一直在实施虚假宣传活动,并在乌克兰投资建立针对当地民众的机器人农场。

2022年2月,Meta公司就曾删除几个在社交媒体平台上传播虚假信息的Facebook账户群。

2022年3月,乌安全局宣布发现并关闭了5处此类机器人农场,据称这里运营的负责传播假新闻的社交媒体账户多达10万个。

乌克兰总统泽连斯基也一直身陷虚假信息的泥潭。据安全内参了解,Facebook就曾出现过由Deepfakes技术合成的假消息;乌克兰广播电台之前还遭到入侵,强制播报泽连斯基总统已经生命垂危的假新闻。两起事件均被认为是俄罗斯方面所为。

自俄乌战争爆发以来,乌安全局已经发现并消除了1200多次针对乌国家及其他关键实体的网络攻击,报告和关闭了500个YouTube频道、涉及的订阅者高达1500万。

此外,乌安全局还报告了参与俄罗斯宣传攻势的1500个Telegram频道/机器人,以及另外1500个Facebook、Instagram及TikTok账户。

]]>
推特确认540万账户数据泄露 现已修补0-day漏洞 Sun, 25 Sep 2022 04:45:26 +0800 8月8日消息,7月22日Restore Privacy报告称,推特因安全漏洞被黑客入侵,共计540万个账户的联系方式泄露,泄露的540万个账户包括推特ID与其关联的电话号码和电子邮件信息,已在一个黑客论坛上出售,价格为3万美元(约20.28万元人民币)。

今日,推特已正式确认该攻击已发生,并且该0-day漏洞已被修补。

推特官方称,早在今年1月,就已经通过其漏洞赏金计划HackerOne获悉了该漏洞,该漏洞在2021年6月对其代码进行更新后逐渐出现。虽然该问题已在今年早些时候得到解决,但推特表示它没有考虑攻击者已经拥有数据的可能性。

了解到,根据此前的报告,共有5,485,636个推特账户的个人资料,其中包含手机号、位置、URL、个人资料图片和其他数据信息被盗取。

推特表示正在通知每个受影响的用户,但由于安全漏洞影响,官方无法完全确认暴露的账户有哪些。此外,虽然密码不是数据泄露的一部分,但推特建议用户为他们的账户打开双重身份验证。

]]>
《安联智库-网安周报》2022-08-07 Sun, 25 Sep 2022 04:45:26 +0800

1、跨国导弹开发商MBDA疑似被入侵,攻击者声称获取机密

MBDA是一家欧洲跨国导弹开发商和制造商,由来自法国、英国和意大利的Aérospatiale– Matra、  BAE Systems、 Finmeccanica三家公司合并而来。
代号为Adrastea的攻击组织自称是一组独立的网络安全专家和研究人员,声称他们已经成功入侵了MBDA。该攻击者在某热门黑客论坛发帖称:“你好!我们是Adrastea ——一群网络安全领域的独立专家和研究人员。我们在您的网络基础设施中发现了严重漏洞,并获得了对公司文件和机密数据的访问权限。目前下载的数据量约为60 GB。 下载的数据包含有关贵公司员工的机密和封闭信息,这些员工参与了MBDA封闭军事项目的开发。
作为黑客攻击的证据,Adrastea 分享了一个指向受密码保护的链接存档的链接,其中包含与项目和通信相关的内部文件。目前尚不清楚Adrastea是否持有了其他数据,同时Adrastea也没有透露有关攻击的细节。
2、超2.8亿条公民身份信息在公有云上暴露

8月4日消息,包括印度养老基金持有人全名、银行账号、代名人等信息在内的海量数据在网上曝光。

乌克兰安全研究员Bob Diachenko发现,有两个独立IP地址存储着超过2.88亿条记录,其中一个IP下约有2.8亿条记录,另一IP下约有840万条记录,两个IP均未经密码保护,数据被公开暴露在互联网上。两个IP地址归属印度,属于微软Azure托管服务。

Diachenko透露,“据我了解,数据库中的信息可被用来拼凑出这些印度公民的完整资料,致使他们成为网络钓鱼或欺诈攻击的目标。”

每条记录中都包含他们的个人身份信息,包括婚姻状况、性别和出生日期。以及与养老基金账户有关的细节信息,包括UAN、银行账号和就业情况。

3、区块链行业遭供应链攻击,上万加密钱包被“抄底”损失上亿美元

当地时间8月2日晚间,区块链行业遭遇了一次行业重创。据科技媒体TechCrunch报道,若干名攻击者“抄底”了上万个加密钱包,钱包内有价值上亿美元的代币。

据了解遭受攻击的加密钱包包括Phantom、Slope和TrustWallet等。涉及到的币种除了SOL、SPL和其他基于Solana(公链)的代币以外,还有USDC、USDT、BTC、ETH等主流币和稳定币。攻击的原因仍不清楚,但区块链Avalanche创始人Emin Gün Sirer表示,交易是正确签署的,这意味着该漏洞可能是一个 "供应链攻击",并设法窃取用户的私钥。

4、德国工商总会被网络攻击打爆了

据Bleeping Computer消息,网络攻击组织盯上了德国工商协会 (DIHK) ,对其发起了大规模的网络攻击。DIHK无力面对如此强力的网络攻击,直接躺平:被迫关闭了所有的IT系统,关闭所有的数字服务、电话和电子邮件服务器。

资料显示,德国工商总会(简称DIHK)是79个独立的德国工商会的行政联合机构。根据德国有关法律规定,所有德国境内企业(除手工业者、自由职业者及农业加工业外)均必须加入德国工商会。该会在德国国内承担着大量的公益任务。

在被攻击之后,DIHK在网站上发布了一份简短的通知,并表示关闭系统和数字服务是预防网络攻击造成更大损失的一种措施,也让IT团队有更多的时间摸清此次网络攻击的情况,并针对性的给出解决方案,提高系统的防护能力。 

有安全专家指出,此次网络攻击有可能是勒索组织所为,DIHK被迫关闭所有系统和数字服务,其目的是防止恶意软件快速传播,但这种猜测尚未得到官方的证实。截至目前也没有哪个勒索软件在其官网上宣布成功入侵 DIHK 的消息。

]]>
德国工商总会被网络攻击打爆了 Sun, 25 Sep 2022 04:45:26 +0800 据Bleeping Computer消息,网络攻击组织盯上了德国工商协会 (DIHK) ,对其发起了大规模的网络攻击。DIHK无力面对如此强力的网络攻击,直接躺平:被迫关闭了所有的IT系统,关闭所有的数字服务、电话和电子邮件服务器。

资料显示,德国工商总会(简称DIHK)是79个独立的德国工商会的行政联合机构。根据德国有关法律规定,所有德国境内企业(除手工业者、自由职业者及农业加工业外)均必须加入德国工商会。该会在德国国内承担着大量的公益任务。

德国工商总会是三百六十万德国企业的最高发言人,负责法律代理、咨询、外贸促进、培训、区域经济发展,并为其成员提供一般支持服务。

目前,尚未了解DIHK被攻击的原因,也没有黑客组织声称对此次攻击负责。

DIHK被黑客打爆了

在被攻击之后,DIHK在网站上发布了一份简短的通知,并表示关闭系统和数字服务是预防网络攻击造成更大损失的一种措施,也让IT团队有更多的时间摸清此次网络攻击的情况,并针对性的给出解决方案,提高系统的防护能力。 

在对此次攻击进行彻底检查后并确保用户可安全使用后,DIHK将逐步恢复正常服务,目前还只是恢复了一小部分。

DIHK总经理迈克尔伯格曼通过 LinkedIn 发布消息称,网络攻击发生在“周三”,并指出是一次大规模的攻击事件。DIHK暂时也无法确定修复时间许多多久,这也就意味着无法确定服务恢复的时间。

有安全专家指出,此次网络攻击有可能是勒索组织所为,DIHK被迫关闭所有系统和数字服务,其目的是防止恶意软件快速传播,但这种猜测尚未得到官方的证实。截至目前也没有哪个勒索软件在其官网上宣布成功入侵 DIHK 的消息。

]]>
区块链行业遭供应链攻击,上万加密钱包被“抄底”损失上亿美元 Sun, 25 Sep 2022 04:45:26 +0800 当地时间8月2日晚间,区块链行业遭遇了一次行业重创。据科技媒体TechCrunch报道,若干名攻击者“抄底”了上万个加密钱包,钱包内有价值上亿美元的代币。

据了解遭受攻击的加密钱包包括Phantom、Slope和TrustWallet等。涉及到的币种除了SOL、SPL和其他基于Solana(公链)的代币以外,还有USDC、USDT、BTC、ETH等主流币和稳定币。

区块链浏览器 Solscan称,锁定的四名攻击者共计攻击了大约1.52万个钱包,不过这些钱包之间可能存在重复攻击。Solana Status官方推特称,此次攻击中大约有8000个独立钱包受影响。

攻击的原因仍不清楚,但区块链Avalanche创始人Emin Gün Sirer表示,交易是正确签署的,这意味着该漏洞可能是一个 "供应链攻击",并设法窃取用户的私钥。

区块链审计公司OtterSec也证实,交易是由实际所有者签署,这意味着私钥已被泄露。

加密货币分析师@0xfoobar补充,"很可能是某些原因造成了大范围私钥泄露,影响范围包括近6个月内未活跃的钱包账户。"他还表示,撤销钱包的批准可能于事无补。

但Solana Labs和Phantom称其网络运行良好,并且不认为该问题与Solana网络或Phantom钱包有关。

Solana Ventures投资者Justin Barlow称,他的USDC钱包余额也被攻击。

8月3日凌晨,公链Solana生态NFT平台Magic Eden的推特帐号称,可能有一个普遍存在的SOL漏洞,正在影响整个生态系统的钱包,并提醒用户更新设置保护个人资产。

就在公链Solana遭到攻击的几个小时前,恶意分子滥用一个名为“chaotic”的安全漏洞,从跨链消息协议Nomad窃取了近2亿美元数字资产。这是由于Nomad智能合约的最新更新,用户可以很容易地进行交易欺诈。

]]>
Solana被盗500万美元,具体原因尚不明确 Sun, 25 Sep 2022 04:45:26 +0800 攻击者从区块链平台Solana窃取了超过500万美元,具体的失窃原因仍在进一步调查中调查中。

总部位于旧金山的去中心化区块链平台Solana,昨天上午在官方Twitter上确认了这一事件,Solana声称此次攻击有7767个钱包受到影响,其中包括了Slope和Phantom用户,并要求受影响的用户填写一份在线调查,以帮助其工程师查清事情的真相。

Solana声称他们的工程师们目前正在与多个安全研究人员和生态系统团队合作,以确定该漏洞的根本原因,现在虽然没有直接证据表明硬件钱包受到了影响。但还是强烈建议用户使用硬件钱包并且不要在硬件钱包上重复使用的种子短语,而应该创建使用独立的种子短语。被排出的钱包应被用户视为受到损害的状态,并要及时放弃。

Solana将自己宣传为 "世界上最快的区块链 "和 "加密货币中增长最快的生态系统",拥有成千上万的项目,涉及DeFi、NFTs、Web3和其他领域。

Pixel Privacy消费者隐私的Chris Hauk对外界解释道,Solana攻击只是最近一系列对加密货币的攻击中的最新一次。面对这些攻击,用户普遍希望撤销他们钱包上的任何第三方权限,直到Solana和其他被攻击的交易所完全修复产生这些攻击问题的漏洞。投资者也应该把他们的加密货币从热钱包转移到冷钱包。"

这一事件是一连串针对加密货币公司漏洞事件的衍生,其中包括有史以来最大的一次加密货币盗窃案,当时朝鲜黑客从以太坊侧链Ronin Network盗

]]>
超2.8亿条公民身份信息在公有云上暴露,印度政府未予置评 Sun, 25 Sep 2022 04:45:26 +0800 8月4日消息,包括印度养老基金持有人全名、银行账号、代名人等信息在内的海量数据在网上曝光。

乌克兰安全研究员Bob Diachenko发现,有两个独立IP地址存储着超过2.88亿条记录,其中一个IP下约有2.8亿条记录,另一IP下约有840万条记录。

Diachenko表示,两个IP均未经密码保护,数据被公开暴露在互联网上。两个IP地址归属印度,属于微软Azure托管服务。

这些记录属于“UAN”Elasticsearch集群。UAN是指印度国有雇员公积金组织(EPFO)分配给养老基金持有者们的通用账号。

Diachenko透露,“据我了解,数据库中的信息可被用来拼凑出这些印度公民的完整资料,致使他们成为网络钓鱼或欺诈攻击的目标。”

每条记录中都包含他们的个人身份信息,包括婚姻状况、性别和出生日期。以及与养老基金账户有关的细节信息,包括UAN、银行账号和就业情况。

除了泄露养老基金持有者们的个人身份信息(PII)之外,这些记录中还暴露了相应代名人的信息,例如代名人全名、与账户持有人的关系。

Diachenko在本周早些时候发现这些泄露敏感数据的IP地址。他昨天在Twitter上发布一张截图,展示了暴露个人信息的数据字段,并点名印度计算机应急响应小组(CERT-In)。这条推文发布后不到一天,两个问题IP均已无法访问。

Diachenko表示,目前还不清楚应该由谁对网上暴露的海量数据负责,也不清楚除他之外是否还有其他人发现了这些数据。

外媒TechCrunch已经向印度国有雇员公积金组织、计算机应急响应小组以及该国IT部门发出置评请求,但未得到回应。

据安全内参了解,印度中央公积金专员在2018年就曾通知国家IT部门,称黑客可以从公积金组织的Aadhaar门户网站窃取数据。该事件导致约2700万养老基金持有者身陷风险。事后,养老基金机构表示并未发生数据泄露,但没有给出任何相应证据。

]]>
半导体巨头赛米控遭勒索软件攻击 Sun, 25 Sep 2022 04:45:26 +0800 德国电力电子制造商赛米控(Semikron)近日披露遭到勒索软件攻击,部分公司网络被加密。

赛米控在德国、巴西、中国、法国、印度、意大利、斯洛伐克和美国的24个办事处和8个生产基地拥有3000多名员工,2020年的营业额约为4.61亿美元。

赛米控还是全球领先的电力工程部件制造商之一,每年安装的风力涡轮机中有35%使用其技术部件。

面临大规模数据泄露

根据赛米控集团本周一发布的声明,攻击者从其系统中窃取了数据,“这次攻击还导致了我们的IT系统和文件的部分加密。目前正在研究和调整整个网络的取证。”

根据德国联邦信息安全办公室发出的警报,勒索软件运营商正在勒索该公司,并威胁要泄露据称被盗的数据。

虽然赛米控没有透露攻击者的任何信息,但是根据流出的勒索软件声明,这是一次大规模数据勒索软件攻击,攻击者声称窃取了多达2TB的文件。

赛米控正在外部网络安全和取证专家的帮助下调查攻击者是否在攻击前从系统中窃取了所声称的数据。

赛米控补充说,它还在整个调查过程中通知并与相关当局合作,如果发现任何数据盗窃证据,将提醒客户和合作伙伴。

“与此同时,我们正在努力恢复工作能力,以最大限度地减少对我们员工、客户和合同合作伙伴的干扰,并确保我们的IT系统尽可能地安全。”赛米控补充道。

]]>
MBDA疑似被入侵,攻击者声称获取机密 Sun, 25 Sep 2022 04:45:26 +0800 一个名为Adrastea的攻击组织声称已经入侵了跨国导弹制造商 MBDA。

MBDA是一家欧洲跨国导弹开发商和制造商,由来自法国、英国和意大利的Aérospatiale– Matra、  BAE Systems、 Finmeccanica三家公司合并而来。

代号为Adrastea的攻击组织自称是一组独立的网络安全专家和研究人员,声称他们已经成功入侵了MBDA。Adrastea表示,他们在该公司基础设施中发现了严重漏洞,并窃取了 60 GB 的机密数据,被盗数据包括了公司员工参与的军事项目、商业活动、合同协议以及与其他公司的通信信息等内容。

该攻击者在某热门黑客论坛发帖称:“你好!我们是Adrastea ——一群网络安全领域的独立专家和研究人员。我们在您的网络基础设施中发现了严重漏洞,并获得了对公司文件和机密数据的访问权限。目前下载的数据量约为60 GB。 下载的数据包含有关贵公司员工的机密和封闭信息,这些员工参与了MBDA封闭军事项目的开发。

作为黑客攻击的证据,Adrastea 分享了一个指向受密码保护的链接存档的链接,其中包含与项目和通信相关的内部文件。目前尚不清楚Adrastea是否持有了其他数据,同时Adrastea也没有透露有关攻击的细节。

]]>
《安联智库-网安周报》2022-07-31 Sun, 25 Sep 2022 04:45:26 +0800 1、微软 SQL 服务器被黑,带宽遭到破坏

据Bleeping Computer网站7月28日消息,目前,一些攻击者通过使用捆绑广告的软件甚至是恶意软件入侵微软的SQL服务器,将设备转化为在线代理服务出租的服务器进行牟利。

为了窃取设备的带宽,攻击者安装了代理软件 ,将设备的可用互联网带宽分配为代理服务器,远程用户可以使用该服务器进行各种操作,如测试、情报收集、内容分发或市场研究。

作为共享带宽的回报,设备所有者可以从向客户收取的费用中抽成。例如,Peer2Profit服务显示,通过在数以千计的设备上安装该公司的软件,每月赚取多达6000美元的收入。

2、西班牙一核安全系统遭黑客攻击,部分地区服务中断数月

7月28日,西班牙警方宣布,已逮捕两名黑客。据悉,二人应对2021年3月至6月期间针对辐射警报网络(RAR)的攻击行为负责。

两名被捕者是外包商前员工,曾负责按合同为西班牙民防和紧急情况总部(DGPGE)提供辐射警报网络系统维护服务。两名被捕人员曾非法访问紧急情况总部网络,并试图删除控制中心内的辐射警报网络管理Web应用程序。与此同时,二人还对传感器发起单独攻击,断开了它们与控制中心间的连接,破坏了数据交换,导致分布在西班牙全国的800个传感器中的300个停止工作。

攻击引发严重核安全风险

西班牙在卡塞雷斯、塔拉戈纳、瓦伦西亚、瓜达拉哈拉、萨拉曼卡和科尔多瓦的六座发电厂中运营有七处核反应堆,支撑着全国约五分之一的电力需求。辐射警报网络系统的作用是:检测辐射水平的异常上升并发出警报,以帮助政府当局采取保护措施、检测问题并施以补救。

此次网络攻击导致其中300个传感器无法将计数传输回控制中心,使得西班牙面临严重风险,无法立即对辐射激增事件做出响应。

3、数字安全巨头 Entrust 遭遇勒索攻击

据Bleeping Computer消息,数字安全巨头Entrust已经承认,自己遭受了网络攻击,攻击者破坏了其内部网络,并窃取了一定规模的数据。

Entrust 是一家专注于在线信任和身份管理的安全公司,为企业用户和政府部分提供广泛的服务,包括加密通信、安全数字支付和身份证明等解决方案。此次攻击造成内部数据泄露,很有可能会影响到大量使用 Entrust 进行身份管理和身份验证的关键和敏感组织。

  黑客6月入侵Entrust的网络  

有安全专家称,Entrust早在6月18日就已经被黑客攻击和破坏,同时对方趁机窃取了公司的机密数据。

可以确定的是,攻击者确实从Entrust的内部系统中窃取了一部分数据,但是尚不清楚这部分数据是来自公司、客户还是供应商,亦或三者皆有之。目前,Entrust会同另外一家知名网络安全公司、执法部门共同调查此次攻击事件。

4、IBM数据泄露成本报告发布,数据泄露创历史新高

近期,IBM发布了最新的数据泄露成本报告,据报告称,目前全球数据泄露的平均成本为435万美元,过去两年数据泄露成本增加了近13%,创下历史新高。

与去年报告相比,今年的整体数据有2.6%的增长,同时,据IBM称,消费者也正因数据泄露事件而遭受不成比例的痛苦。60%的违规企业在遭受数据泄露事件后反而提高了其产品价格,约等于变相加剧了全球通胀的速度。

网络钓鱼成为代价最高的数据泄露原因,受害企业的平均成本为490万美元,而凭据泄露是最常见的原因(19%)。连续第12年,医疗行业都是数据泄露成本最高的行业,而且还在快速增长中。2022年医疗行业的平均违规成本增加了近100万美元,达到创纪录的1010万美元。在众多国家中,美国仍然是数据泄露事件里损失最昂贵的国家,平均违规成本达到了940万美元。

据调研,将近80%的关键基础设施企业都没有采用零信任策略,这使得他们的违规成本比其他人增加了近 120 万美元,平均数据泄露成本上升到540万美元,与采用零信任策略的组织相比增加了117万美元。未实施零信任方案的组织所发生的数据泄露事件中,28%与勒索软件或破坏性攻击有关。

如果企业受到勒索软件的影响,他们也会向敲诈者付款。确实发现平均违规成本仅减少了 610,000 美元。当包括赎金本身时,违规成本可能会高得多。没有支付赎金的赎金攻击的平均成本为 450 万美元。

据报告研究,在有记录的数据泄露事件里,近一半的 (45%) 事件发生在云上,那些尚未制定安全策略或处于制定安全策略的早期阶段的企业比拥有成熟云安全态势的人平均要多支付660,000美元。

数据泄露似乎是不可避免的:83% 的研究企业表示他们遭受了不止一次数据泄露事件。但是,随着技术的升级,企业对网络攻击的检测和响应也越来越快了。其中识别和遏制数据泄露的平均时间从 2021年的287天下降到2022年的277天,整体数据下降了3.5%。其中运行XDR工具的企业在检测和响应的时间整体上又要比其他企业快29天。

报告指出,最大的成本节省是安全人工智能和自动化技术的使用——运行这些技术的企业平均减少了300万美元的数据泄露成本。IBM Security X-Force 全球负责人查尔斯·亨德森 (Charles Henderson) 表示:“企业需要将安全防御置于进攻端并击败攻击者。现在是阻止对手实现其目标并开始将攻击影响降至最低的时候了。越来越多的企业试图完善自己的边界,而不是在检测和反应方面加强,所以数据泄露事件就会导致其成本增加。

]]>
微软 SQL 服务器被黑,带宽遭到破坏 Sun, 25 Sep 2022 04:45:26 +0800 据Bleeping Computer网站7月28日消息,目前,一些攻击者通过使用捆绑广告的软件甚至是恶意软件入侵微软的SQL服务器,将设备转化为在线代理服务出租的服务器进行牟利。

为了窃取设备的带宽,攻击者安装了代理软件 ,将设备的可用互联网带宽分配为代理服务器,远程用户可以使用该服务器进行各种操作,如测试、情报收集、内容分发或市场研究。

作为共享带宽的回报,设备所有者可以从向客户收取的费用中抽成。例如,Peer2Profit服务显示,通过在数以千计的设备上安装该公司的软件,每月赚取多达6000美元的收入。

根据韩国公司Ahnlab的研究人员28日发表的一份新报告,一种新的恶意软件活动正通过安装代理软件,利用受害者的网络带宽赚钱。攻击者通过为用户设置其电子邮件地址来获得带宽补偿,而用户可能只会察觉到网络速度有时会变慢。

在设备上偷装代理客户端

Ahnlab观察到通过捆绑广告的软件和其他恶意软件,为 Peer2Profit 和 IPRoyal 等服务安装代理软件。

恶意软件检查代理客户端是否在主机上运行,如果停用,它可以使用 "p2p_start() "函数来启动。

对于 IPRoyal 的 Pawns,恶意软件更喜欢安装客户端的 CLI 版本而不是 GUI 版本,因为其目的是让该进程在后台隐蔽地运行。

在最近的观察中,攻击者使用DLL形式的Pawns,以编码的字符串形式提供他们的电子邮件和密码,并用 "Initialize() "和 "startMainRoutine() "函数来启动。在设备上安装代理软件后,该软件会将其添加为可用代理,远程用户可以使用它在互联网上进行任何操作。这也意味着其他攻击者可以在受害者不知情的情况下使用这些代理进行非法活动。

感染MS-SQL服务器

根据Ahnlab的报告,使用这种方案创收的恶意软件也会针对脆弱的MS-SQL服务器来安装Peer2Profit客户端。

这一情况自2022年6月初以来便一直持续,研究人员从受感染系统中检索到的大多数日志都显示存在一个名为“sdk.mdf”的 UPX 打包数据库文件。

在微软SQL服务器更常见的威胁中,有进行加密货币劫持的加密货币币矿工,也有攻击者通过Cobalt Strike信标将服务器作为进入网络的支点。

使用代理软件客户端背后的原因可能是增加了长时间不被发现的机会,这就转化为更大的利润。不过,目前还不清楚行为人通过这种方法赚了多少钱。

]]>
IBM数据泄露成本报告发布,数据泄露创历史新高 Sun, 25 Sep 2022 04:45:26 +0800 近期,IBM发布了最新的数据泄露成本报告,据报告称,目前全球数据泄露的平均成本为435万美元,过去两年数据泄露成本增加了近13%,创下历史新高。数据泄露成本报告是IBM的年度重磅事项,至今已经是该报告发布的第17年。今年的数据泄露成本报告是根据2021年3月至2022年3月期间对17个国家/地区的550家企业的调研编制而成的。

与去年报告相比,今年的整体数据有2.6%的增长,同时,据IBM称,消费者也正因数据泄露事件而遭受不成比例的痛苦。60%的违规企业在遭受数据泄露事件后反而提高了其产品价格,约等于变相加剧了全球通胀的速度。

网络钓鱼成为代价最高的数据泄露原因,受害企业的平均成本为490万美元,而凭据泄露是最常见的原因(19%)。连续第12年,医疗行业都是数据泄露成本最高的行业,而且还在快速增长中。2022年医疗行业的平均违规成本增加了近100万美元,达到创纪录的1010万美元。在众多国家中,美国仍然是数据泄露事件里损失最昂贵的国家,平均违规成本达到了940万美元。

据调研,将近80%的关键基础设施企业都没有采用零信任策略,这使得他们的违规成本比其他人增加了近 120 万美元,平均数据泄露成本上升到540万美元,与采用零信任策略的组织相比增加了117万美元。未实施零信任方案的组织所发生的数据泄露事件中,28%与勒索软件或破坏性攻击有关。

如果企业受到勒索软件的影响,他们也会向敲诈者付款。确实发现平均违规成本仅减少了 610,000 美元。当包括赎金本身时,违规成本可能会高得多。没有支付赎金的赎金攻击的平均成本为 450 万美元。

据报告研究,在有记录的数据泄露事件里,近一半的 (45%) 事件发生在云上,那些尚未制定安全策略或处于制定安全策略的早期阶段的企业比拥有成熟云安全态势的人平均要多支付660,000美元。

数据泄露似乎是不可避免的:83% 的研究企业表示他们遭受了不止一次数据泄露事件。但是,随着技术的升级,企业对网络攻击的检测和响应也越来越快了。其中识别和遏制数据泄露的平均时间从 2021年的287天下降到2022年的277天,整体数据下降了3.5%。其中运行XDR工具的企业在检测和响应的时间整体上又要比其他企业快29天。

报告指出,最大的成本节省是安全人工智能和自动化技术的使用——运行这些技术的企业平均减少了300万美元的数据泄露成本。IBM Security X-Force 全球负责人查尔斯·亨德森 (Charles Henderson) 表示:“企业需要将安全防御置于进攻端并击败攻击者。现在是阻止对手实现其目标并开始将攻击影响降至最低的时候了。越来越多的企业试图完善自己的边界,而不是在检测和反应方面加强,所以数据泄露事件就会导致其成本增加。

]]>
西班牙一核安全系统遭黑客攻击,部分地区服务中断数月 Sun, 25 Sep 2022 04:45:26 +0800 7月28日消息,西班牙警方宣布,已逮捕两名黑客。据悉,二人应对2021年3月至6月期间针对辐射警报网络(RAR)的攻击行为负责。

两名被捕者是外包商前员工,曾负责按合同为西班牙民防和紧急情况总部(DGPGE)提供辐射警报网络系统维护服务。正因如此,二人对该系统的运作原理及如何实施针对性网络攻击有着深入了解。

两名被捕人员曾非法访问紧急情况总部网络,并试图删除控制中心内的辐射警报网络管理Web应用程序。

与此同时,二人还对传感器发起单独攻击,断开了它们与控制中心间的连接,破坏了数据交换,导致分布在西班牙全国的800个传感器中的300个停止工作。

当局发现这一违规行为,并在国家警察网络犯罪部门的协助下立即开展调查后,针对辐射警报网络的破坏活动于2021年6月停止。最终,在追踪黑客行迹一年之后,警方终于发现了这起网络攻击的责任人。

 “经过对被破坏传感器的所有通信内容,以及与被入侵计算机系统相关的数据进行长达一年的调查与详细技术刑侦分析,最终发现数据源头可能来自马德里市中心一家知名酒店的公共网络,网络攻击的幕后黑手也由此被确定。”

- 西班牙国家警察总局

警方在公告中指出,“根据马德里第39号调查法院发布的两项命令,警方在马德里和圣奥古斯丁德瓜达利克斯展开协同行动,对两所房屋和一家公司进行了搜查,发现了大量与案件相关的计算机和通信设备。”

攻击引发严重核安全风险

西班牙在卡塞雷斯、塔拉戈纳、瓦伦西亚、瓜达拉哈拉、萨拉曼卡和科尔多瓦的六座发电厂中运营有七处核反应堆,支撑着全国约五分之一的电力需求。

辐射警报网络系统的作用是:检测辐射水平的异常上升并发出警报,以帮助政府当局采取保护措施、检测问题并施以补救。

辐射警报网络系统共在西班牙全国各特定位置部署有800个伽马辐射传感器,每个传感器都通过电话线路接入紧急情况总部总部的控制中心。

此次网络攻击导致其中300个传感器无法将计数传输回控制中心,使得西班牙面临严重风险,无法立即对辐射激增事件做出响应。

警方并未在公告中提供进一步细节,因此尚不清楚嫌疑人发动攻击的具体原因。

]]>
允许用户购买“无疫苗精子/卵子”的反疫苗约会网站Unjected被爆数据泄露 Sun, 25 Sep 2022 04:45:26 +0800 一家允许用户购买“mRNA FREE”精子的反疫苗约会网站出现了用户数据泄露事件。该网站名为 Unjected,成立于 2021 年 5 月,声称是互联网上“最大的反疫苗平台”。去年 8 月,该应用违反了苹果关于 COVID-19 的相关策略而遭下架,从而受到了外界的关注。

尽管这款应用在界面上比较接近于 Twitter,但通常认为是“反疫苗者的 Tinder”。Unjected 随后一直受到某些人的关注,后续也增加了一些新的功能。

该网站提供了一项名为“mRNA FREE 血液匹配和生育目录”的功能,那些不愿意接受疫苗的用户可以向其他人贡献血液、精子或者卵子。尽管关于血液的一部分广告看起来是合理的,但是该应用还提供了未接受过疫苗的精子。该网站的生育区域允许用户提供自己的卵子、母乳和精子。

网名为 GeopJr 的程序员和安全专家发现,任意用户都可以访问该网站的管理员面板。在访问之后该面板可以添加、编辑和停用页面,例如网站的“About Us”页面和各种用户账户。

这是因为 GeopJr 发现 Unjected 的网络应用框架目前正处于 Debug 模式,允许用户了解患者的信息。国外科技媒体 Daily Dot 在该平台设置了一个测试账号,然后 GeopJr 成功更改了该账号的私有电子邮件以及头像。GeopJr 甚至还可以编辑 Daily Dot 发布的帖子并更改措辞。

网站的备份也可以进行下载或者删除。GeopJr 还能绕过每月 15 美元费用进行订阅,回复和删除帮助中心的帖子和相关报道。

]]>
数字安全巨头 Entrust 遭遇勒索攻击 Sun, 25 Sep 2022 04:45:26 +0800 据Bleeping Computer消息,数字安全巨头Entrust已经承认,自己遭受了网络攻击,攻击者破坏了其内部网络,并窃取了一定规模的数据。

Entrust 是一家专注于在线信任和身份管理的安全公司,为企业用户和政府部分提供广泛的服务,包括加密通信、安全数字支付和身份证明等解决方案。此次攻击造成内部数据泄露,很有可能会影响到大量使用 Entrust 进行身份管理和身份验证的关键和敏感组织。

而Entrust用户不仅有大量的企业,还有美国很多政府机构,其中包括能源部、国土安全部、财政部、卫生与公众服务部、退伍军人事务部、农业部等,这无疑是一个巨大的威胁。

  黑客6月入侵Entrust的网络  

有安全专家称,Entrust早在6月18日就已经被黑客攻击和破坏,同时对方趁机窃取了公司的机密数据。7月6日,安全研究人员Dominic Alvieri证实了这一攻击事件,他在推特上分享了Entrust公司发给客户的安全通知的屏幕截图。

Entrust 首席执行官在安全通知中写到,“不得不通知您,在6月18日我们发现了一起未经授权访问公司内部运营系统的行为。从这一刻起,公司正在努力地将此次攻击行为带来的影响降至最低。”

“我们仍在调查这一攻击事件,迄今为止我们没有发现任何迹象表明该问题已经影响了我们产品和服务的运营或安全。在我们继续调查这个问题的过程中,如果我们了解到我们认为会影响我们为您的组织提供的产品和服务的安全性的信息,我们将直接与您联系。”

可以确定的是,攻击者确实从Entrust的内部系统中窃取了一部分数据,但是尚不清楚这部分数据是来自公司、客户还是供应商,亦或三者皆有之。目前,Entrust会同另外一家知名网络安全公司、执法部门共同调查此次攻击事件。该公司称“迄今为止我们没有发现任何迹象表明该问题已影响我们产品和服务的运行或安全,这些产品和服务在与我们的内部系统分开的气隙环境中运行并且完全可以运行”。

  谁为这起攻击负责?

目前,尚未有勒索组织声称对此次攻击事件负责,在Entrust发给客户的安全通知,以及该公司对外的声明中,都没有分享此次攻击的详细信息,因此谁策划实施了这起攻击暂时还不清楚。

但 Bleeping Computer认为,某个著名的勒索组织可能是这起攻击的幕后黑手。虽然尚不清楚设备在攻击期间是否被加密,但勒索软件团伙通常会在启动加密器之前窃取数据以用于双重勒索计划。

根据 AdvIntel 首席执行官 Vitali Kremez的说法,勒索软件操作购买了受损的 Entrust 凭据并使用它们来破坏其内部网络。

Kremez 进一步表示:“勒索攻击者依靠网络访问卖家的受信任网络来获得对 Entrust 环境的初始访问权限,这导致随后通过已知的勒索软件团体进行加密和泄露暴露。”

目前,勒索组织已经提出了赎金要求,具体金额未知。如果Entrust不按要求支付赎金,勒索组织将会公布他们窃取的数据,而Entrust也可以借此了解攻击背后的勒索软件操作。

]]>
快递企业员工偷拍倒卖顾客信息!广州警方缴获快递信息百万条 Sun, 25 Sep 2022 04:45:26 +0800 7月26日,广州市公安局召开新闻发布会,通报广州警方全链条打击侵犯公民个人信息等突出网络违法犯罪有关情况,并公布典型案例。南都记者了解到,其中广州警方侦破一起非法获取倒卖快递面单信息,为境外诈骗分子提供帮助案。

上半年共侦破网络主侦案件160余起

据了解,今年以来,广州警方在2022年广州民生实事“个人信息超范围采集整治治理”专项工作和“净网2022”专项行动中,结合开展夏季治安打击整治“百日行动”,全链条打击侵犯公民个人信息等突出网络违法犯罪,全角度防范网络安全风险隐患,全网域整治网络违法有害信息,取得了显著成效。

广州警方重点严打黑客攻击破坏、侵犯公民个人信息等源头性犯罪和“网络水军”、网络黄赌、网络助考等黑灰产业链犯罪。今年上半年,共侦破网络主侦案件160余起,依法刑事拘留400余人。

同时,广州警方以网络攻防演习和网络安全执法检查为抓手,全面加强关键信息基础设施网络安全风险隐患排查整治。今年上半年,共对25万个网站开展专项排查,走访检查重点单位934家次,循环检测全市1000余个重要信息系统,发现并通报400余个安全隐患,督促相关单位排除隐患、堵塞漏洞。对未履行网络安全职责、未落实网络安全技术措施的单位,依法作出行政处罚261宗。

此外,广州警方还全面加强涉“黄赌毒”、涉枪爆、涉网络诈骗等违法有害信息的清理整治。今年上半年,共清理处置各类违法有害信息6万多条、违法栏目230个,指导网站过滤拦截违法有害信息120万条,对发布违法有害信息网民“拍肩膀”警示教育3600多次,依法处罚传播违法有害信息网民62人。

快递企业工作人员偷拍倒卖顾客信息

今年1月,广州警方在对冒充客服诈骗类警情进行分析研判时,发现境外诈骗分子非法获取被骗事主快递收件信息的线索。经侦查发现,个别快递企业工作人员在履职过程中,通过人工偷拍等方式,非法获取快递面单信息(包括收货人、手机号、收货地址、商品名称、商品数量等),并通过层层中介人员倒卖给境外诈骗分子,为其实施冒充客服类诈骗犯罪提供信息支撑。

在研究总结犯罪嫌疑人作案手法的基础上,广州警方经深入侦查,挖出广州市多个非法获取倒卖快递面单信息,为境外诈骗分子提供帮助的团伙。

4月1日、5月12日至5月24日,广州警方开展5次收网打击行动,共抓获70余名犯罪嫌疑人,缴获快递面单信息187万余条,初步统计涉案金额约350余万元,摧毁了一条向境外诈骗分子提供快递面单信息的犯罪链条。

警方提醒:各行业的从业人员务必恪守法律底线,依法依规保护好工作中掌握的公民信息,千万不要贪一时之利而赔上自己一生。快递企业在处理个人信息时,应当采取加密、去标识化等安全技术措施,落实个人敏感信息保护义务。

]]>
广东首例!广州一公司未履行数据安全保护义务被警方处罚 Sun, 25 Sep 2022 04:45:26 +0800 7月26日,广州市公安局新闻办公室召开新闻发布会,通报2022年广州民生实事“个人信息超范围采集整治治理”专项工作和“净网2022”专项行动中,全链条打击侵犯公民个人信息等突出网络违法犯罪的相关情况和典型案例。其中,广州警方公布了广东省公安机关首例适用《中华人民共和国数据安全法》的案件:广州一公司未履行数据安全保护义务被警方处罚5万元。

非法入侵驾培系统代刷学时,3名嫌疑人落网

从2021年10月下旬开始,广州市某公司陆续收到合作方驾校及当地运营部门投诉,有第三方人员冒充该公司工作人员,自称可以绕开该公司开发的“驾培平台”配套的车载终端打卡机制,让驾校学员在不到现场练车的情况下,在系统完成练车学时的累积,从而完成监管部门对驾考练车学时的严格要求。

广州警方经深入研判,挖出一作案团伙。该团伙通过技术手段非法破解“驾培平台”系统,将虚假的培训数据包发送至平台服务器,对学员的学时进行修改,以达到帮助学员快速完成培训和驾校快速盈利的目的。该团伙的非法行为,严重危害道路交通安全,情节十分恶劣。

今年5月12日,广州警方开展收网行动,抓获包括技术开发和代理在内的3名犯罪嫌疑人,现场缴获一批用于实施破坏信息系统行为的计算机设备。经初步统计,该案共涉及30余间驾校、90余台驾校教练车培训终端、5000余名驾校学员,该团伙牟利约35万元。目前,案件正在进一步侦办中。

未履行数据安全保护义务,一公司被警方处罚5万元

在刑事打击非法入侵驾培系统代刷学时案的同时,广州警方对此案进行“一案双查”。对上述公司的网络系统全面开展网络安全和数据安全检查。

广州警方检查发现,该公司开发的“驾培平台”存储了驾校培训学员的姓名、身份证号、手机号、个人照片等信息1070万余条,但该公司没有建立数据安全管理制度和操作规程,对于日常经营活动采集到的驾校学员个人信息未采取去标识化和加密措施,系统存在未授权访问漏洞等严重数据安全隐患。系统平台一旦被不法分子突破窃取,将导致大量驾校学员个人信息泄露,给广大人民群众个人利益造成重大影响。

根据《中华人民共和国数据安全法》的有关规定,广州警方对该公司未履行数据安全保护义务的违法行为,依法处以警告并处罚款人民币5万元的行政处罚,开创了广东省公安机关适用《中华人民共和国数据安全法》的先例,对数据安全治理作出了积极探索和实践。

警方提醒:网络安全事关国家安全,所有单位与个人都有保护数据安全的责任与义务,特别是持有、掌握大量公民个人信息的单位,更应该严格依法采取保护措施,有效保障公民个人信息安全。

]]>
打击侵犯公民个人信息违法犯罪!广州警方已依法刑拘400余人 Sun, 25 Sep 2022 04:45:26 +0800 7月26日,广州市公安局新闻办公室召开新闻发布会通报2022年广州民生实事“个人信息超范围采集整治治理”专项工作和“净网2022”专项行动中,全链条打击侵犯公民个人信息等突出网络违法犯罪的相关情况和典型案例。记者从现场获悉,今年上半年,广州警方共侦破网络主侦案件160余起,依法刑事拘留400余人。

据了解,今年以来,广州警方在2022年广州民生实事“个人信息超范围采集整治治理”专项工作和“净网2022”专项行动中,结合开展夏季治安打击整治“百日行动”,全链条打击侵犯公民个人信息等突出网络违法犯罪,全角度防范网络安全风险隐患,全网域整治网络违法有害信息,取得了显著成效。

广州警方按照“打生态、打全链、打苗头”的工作思路,重点严打黑客攻击破坏、侵犯公民个人信息等源头性犯罪和“网络水军”、网络黄赌、网络助考等黑灰产业链犯罪。今年上半年,共侦破网络主侦案件160余起,依法刑事拘留400余人。

同时,广州警方以网络攻防演习和网络安全执法检查为抓手,全面加强关键信息基础设施网络安全风险隐患排查整治。今年上半年,共对25万个网站开展专项排查,走访检查重点单位934家次,循环检测全市1000余个重要信息系统,发现并通报400余个安全隐患,督促相关单位排除隐患、堵塞漏洞。对未履行网络安全职责、未落实网络安全技术措施的单位,依法作出行政处罚261宗。

此外,广州警方还全面加强涉“黄赌毒”、涉枪爆、涉网络诈骗等违法有害信息的清理整治。今年上半年,共清理处置各类违法有害信息6万多条、违法栏目230个,指导网站过滤拦截违法有害信息120万条,对发布违法有害信息网民“拍肩膀”警示教育3600多次,依法处罚传播违法有害信息网民62人。

广州市公安局网警支队新闻发言人表示,今年下半年,广州警方将继续大规模大声势严打黑客攻击破坏、侵犯公民个人信息等网络突出犯罪,分行业分领域开展网络风险隐患排查整治,进一步加大对违法有害信息突出网站、IDC和超范围采集信息APP的执法力度,推动“个人信息超范围采集整治治理”专项工作和“净网2022”专项行动深入开展。

]]>
交通银行后,中国银行人脸识别也被攻破?储户损失20万元 Sun, 25 Sep 2022 04:45:26 +0800 中国银行和交通银行多名储户称账户遭遇了盗刷,他们认为,银行采用的人脸识别系统难辞其咎。技术专家认为,诈骗犯能破解人脸识别验证,说明银行的人脸识别系统确实存在技术漏洞。如今,使用人脸识别进行身份验证似乎已经变成了一件理所当然的事情。然而,当人脸识别被伪造、被攻击,我们的个人财产很可能随之受损——近日,中国银行和交通银行多名储户称账户遭遇了盗刷,他们认为,银行采用的人脸识别系统难辞其咎。

南都记者结合公开报道梳理发现,这些储户先是被诱骗交出了银行卡信息,有的还与诈骗分子进行了视频通话,然后诈骗分子利用上述信息通过了人脸识别验证,又拦截了手机验证码,从而把钱取走。

事情发酵至今,越来越多的争议聚焦在银行的人脸识别系统是否存在漏洞、银行应不应该担责上。银行认为,采用手机验证码和人脸识别结合的验证方式已经尽到安全保护义务,储户们则坚持银行的人脸识别系统并不足以保证资金安全。

有技术专家告诉南都记者,诈骗犯能破解人脸识别验证,说明银行的人脸识别系统确实存在技术漏洞。还有专家认为,由于相应风险是银行引进人脸识别所导致,原则上就应该由银行承担责任,只有这样,才能倒逼银行提高安全技术保障。

本人未登录、未操作,20万被转走

近日,中国银行储户马琳(化名)对南都记者爆料称,自己遭遇了电信诈骗——她的中国银行账户在她本人未登录、未操作、未进行人脸识别的情况下,被转走了20万元。

去年8月,马琳在北京办理签证期间,接到了一个自称是公安局的电话。对方称她涉嫌境外洗钱,口气强硬。马琳起先也有怀疑,但对方不但准确地说出了她在办理签证时提交给中介的信息,还通过视频电话的方式,向她“证实”了自己的警察身份,基本打消了她的怀疑。

随后,对方发来一个带链接的短信,让马琳确认自己的身份信息。她点开链接,网页显示了她的身份证正面照片,这进一步加深了她的信任——为了办理护照,马琳几天前刚去办理了新身份证。据她回忆,自己只在中国银行办理业务时使用过这张新身份证。

马琳照做后,就没有再收到对方或中国银行发来的任何短信。没过多久,她反应过来不对,于是登录手机银行查看,这才发现,她的中国银行账户在她本人未登录、未操作、未进行人脸识别的情况下,被转走了20多万元。

马琳遇到的骗局并不鲜见,她主动把重要的人脸信息交给诈骗分子也是事实。但令她想不通的是,登录她账户的设备IP地址是中国台湾,而她那一段时间一直在北京——银行不是应该对异地登录有严格防范吗?

对此,中国银行回应称,查到的验证视频是马琳本人的,也发了手机验证码到她的手机上,验证流程没有问题。“但事实上第一我没有收到手机验证码,第二我没有进行过任何的人脸识别检测,我本人我不可能自己去黑自己的账户对吧?”

“我最开始也不太理解(为什么会通过),我就拍了一段视频,其中包括了点头摇头,然后去其他银行的人脸识别功能试了试,一次都没通过,都提示说‘请确保是您本人’。”马琳告诉南都记者,在她和中国银行的交涉过程中,也有相关人员提到,如果使用视频是有可能攻破人脸识别的。

不满于中国银行的回复,马琳进而向北京银保监会投诉。经调查发现,诈骗发生当天,马琳账户里的20万被分成8笔转走,其中7笔发送了手机交易码短信,5笔触发了人脸识别,1笔触发了外呼(电话通过电脑自动往外拨打用户电话,将录制好的语音通过电脑播放给用户),但她从未收到任何相关告知。

马琳后来又去了北京来广营派出所报案。对于马琳的诉求,中国银行给出的说法是“钱财的转出在安全的机制内”,让她去起诉。这让她感到不可思议:“按照常理来说,人脸识别肯定是要本人”,她说,“身在异地的犯罪分子能通过活检,这本来就是一种不合理。”

在损失了这笔积蓄之后,马琳的签证已经很难继续办理,她离开了北京。“我希望中国银行的漏洞能堵一下,不要给更多的人带来更大的损失。这个事情对银行来说,可能确实没有什么损失。但是从储户的角度来说,这个就是一个人生的大灾难。”

除了中国银行,至少6名交通银行储户也有类似遭遇

南都记者了解到,中国银行不是唯一一家被曝人脸识别系统可被破解的银行。就在前不久,南都曾报道,交通银行的储户也有过相似的遭遇——他们中的部分人也和马琳一样,遇到的盗刷者IP地址显示为中国台湾,手机型号则为摩托罗拉XT1686。

交通银行储户小雪(化名)向南都记者提供的一份北京市丰台区人民法院民事裁判书显示,2021年6月19日上午,小雪接到自称是公安方面打来的电话,称其在哈尔滨涉嫌非法入境,还涉嫌反洗钱案,要求小雪下载“公安防护App”“瞩目App”,开启会议模式通过视频验证是否为本人,并进行手机屏幕共享,指示其将手机拦截电话、短信等功能开启。

随后,对方还以“国有大行安全措施比较好”为借口要求小雪办理一张新的交通银行卡,并把所有银行的存款全部转入内,以此“核实个人资产”。为此,小雪特意将近50万的储蓄资金从其他银行转入到该交通银行账户。而后,这笔资金便不知去向。

据警方调查,密码重置和大额转账的IP地址为中国台湾,验证方式为短信验证+人脸识别,且当天银行系统有7次通过人脸识别的记录,其中6次通过活检。也就是说,骗子拦截了小雪的短信验证码,通过短信和伪造人脸识别完成了密码重置、限额调整、大额转账的全过程。

法院一审判决认为,整个过程中是小雪自己按外人的指令下载了相关App、开启电话及短信拦截等,才导致发生身份识别信息、交易验证信息泄露的风险,因此认定该案是小雪不审慎所致,判交通银行不承担责任。

值得注意的是,根据凤凰网《新视界》7月5日的报道,2020年10月至2021年10月期间,有至少6位交通银行储户被犯罪分子诱骗、将钱存入交通银行后被盗刷,金额高达数百万元。

“6次人脸识别,交行一次都没识别出来犯罪分子使用的是假人脸。”“交通银行存在支付安全漏洞,没有办法识别出是不是真的人脸。”有被盗刷的交通银行储户认为,犯罪分子指定交通银行而不是其他银行,是因为他们发现并利用了交通银行的人脸识别漏洞。

自被盗刷以来,交通银行储户马跃(化名)曾多次上诉至法院,但法院驳回了他的申请。和小雪得到的判决相似,法院认定,交通银行相关支行已通过多个登录密码、验证码、人脸识别的合理方式识别使用人身份,未见存在明显的过错和过失。

针对上述事件,交通银行股份有限公司北京长辛店支行的工作人员向南都记者表示不接受采访。

银行的人脸识别验证系统是否存在漏洞?

人脸识别被破解、手机验证码被拦截,是储户们认为银行存在漏洞的关键环节。那么,中国银行和交通银行采用的人脸识别系统是否建立了足够的安全防范机制,又是否达到了监管要求呢?

根据中国银行5月29日最新更新的手机银行隐私政策,其使用了云从科技的人脸识别SDK(软件开发工具包),用于提供人脸识别服务。为交通银行提供技术支持的则是一家成立于2016年6月的生物识别企业:北京眼神科技有限公司(下称“眼神科技”)。

根据两家人脸识别服务提供商的官网介绍,他们的客户均涵盖六大行。此外,云从科技的客户还包括12家股份制银行以及城农商行,服务超过400家金融机构、10余万个银行网点;眼神科技服务的银行机构则近150家。

南都记者以储户身份分别致电云从科技和眼神科技。云从科技方面称,若犯罪分子使用视频通话的方式,确实有可能攻破人脸识别系统,但除此之外不愿透露更多信息。

眼神科技方面则表示,根据现有的司法判决,犯罪分子是获取了短信验证码等多个隐私信息,所以才出现了这种事,而人脸识别只是整个流程中的一个验证环节,所以并不能明确地说就是人脸识别的问题。“银行方面对安全性的要求是很高的,也是基于我们的产品(的正确率),银行这边才会选择我们的。”客服强调。

一位人工智能安全领域的技术专家也告诉南都记者,从整个流程来看,诈骗分子是劫持了受害人的电话和短信,才导致后续银行无法通过短信、电话对转账人身份及转账情况进行核实,这部分与人脸识别系统的安全风险无直接关联。

不过他也表示,储户即使被诱骗给出个人信息,但事实是储户本人并未前往外地,而诈骗犯肯定是用某种手段“通过了人脸识别的活体检测”,这就说明银行的线上人脸身份核验系统确实存在被假体攻击、注入攻击的技术漏洞——这并不是说“活体检测”这一技术本身不合格,很有可能是犯罪分子“绕过”了活体检测的环境。

去年1月,依托清华大学人工智能研究院成立的团队瑞莱智慧RealAI就曾通过对抗样本攻击,一举破解19款安卓手机的人脸识别解锁系统。即便是搭载了交互式活体检测功能的十余款金融和政务服务类App,也都被轻易破解。

瑞莱智慧RealAI高级产品经理张旭东曾以银行类App为例向南都记者表示,虽然现在的支付转账操作都需要多因素验证,但一旦用户的个人信息全部泄露,不法分子就可能同时完成刷脸、输入手机验证码等操作,使得多因素验证失效。

当时,研究人员提到,目前业界主流的人脸识别算法都具备了活体检测能力,之前常见的用一张照片、一段视频来完成刷脸的做法已经行不通。但对抗样本攻击针对的是算法模型底层的漏洞,完全不受活体检测限制。攻击者在脸上添加了局部扰动,导致算法产生了错误识别。

上述技术专家则用“受害人被诈骗分子诱导进行视频通话”的案件来举例表示,这种情况下,受害人很有可能被录制下指令动作的画面视频,或者诈骗分子直接基于储户的照片,通过合成软件伪造的动态视频。

“但伪造的视频不会直接拿手机平板放到摄像头前,按照正常流程通过人脸识别系统,而是使用某种黑客手段入侵了人脸识别的底层系统。比如通过劫持摄像头,让系统不启动摄像头,直接从底层注入提前准备好的动态视频,完全就能绕过活体检测。这种注入攻击是针对人脸识别系统的应用软件层面的安全漏洞。”他说。

这位技术专家表示,由于目前大多识别系统是用神经网络+大数据训练的方法实现,所以黑盒性和不可控性是一定存在的。他认为,技术方需要进一步提高对新型算法安全风险的研究水平。

储户、银行、人脸识别提供方,责任如何划分?

截至目前,上述遭遇盗刷的储户得到的法院判决均认定,银行没有明显过错,不承担责任。银行的技术提供方也认为,是储户先泄露隐私,才导致事件发生。但在储户看来,即便自己被诱骗交出了部分个人信息,也不应影响银行通过人脸识别验证出诈骗分子并非储户本人。

“既然人脸识别是银行所引进,而且往往是变相强制储户使用,一旦出现存款被骗,银行不承担任何责任显然也是有问题。完全让储户个人来当冤大头,既不公平,也无助于对犯罪的预防。”马琳说,“技术如果不够先进、不够完备,那就不应该投入使用,而不是已经造成各个方面的损失,然后现在又说银行的系统还在升级。系统不完备的损失谁来承担,不是银行来承担吗?虽然银行自己也是受害者,但是他改善系统的能力比储户大得多。”

在清律律师事务所首席合伙人熊定中看来,“银行不担责”的判决结果“不是很合理”。他认为,整个流程存在两个问题:人脸识别系统被攻破是银行的责任,而储户本身可能也存在手机被劫持的“防范不足”。从损失情况来看的话,应该是典型的双方过错,各自承担责任。

他解释道,整个流程中存在着两组关系,一组是储户和银行,另一组是技术提供方和银行。储户和银行之间,是银行提供了技术验证手段给储户,那么银行本身肯定要对于人脸识别的结果有足够的保证,如果特定的技术出了问题的话,责任当然是由银行承担。而技术提供方和银行之间,要取决于银行跟技术提供方的合同到底是如何约定的,“他们如何去解决这种因为技术使用导致的损失、如何约定责任的分担问题,这是他们之间的问题,跟储户没有关系。”

清华大学法学院教授劳东燕也有类似的看法。她认为,由于相应风险是银行引进人脸识别所导致,也就是银行参与了风险的创设。在法律上,谁创设风险,谁原则上就应当对风险现实化的结果承担责任。其次,银行在相关业务领域里获益最大,理应承担与获益相称的风险责任。再次,银行防范风险的能力更强,能力越强者责任越大。最后,从对犯罪的预防来看,只有让银行承担部分法律责任,才能倒逼其提高安全技术保障。

事实上,纵观银行使用的密码、U盾、手机验证码等用户安全措施,都有被攻破的案例,人脸识别也不例外。熊定中认为,使用人脸识别验证技术并没有放大原来就有的风险,只是“一个新的技术在使用过程中出现了问题”。

但广东人民时代律师事务所律师王胜生认为,一旦陷入技术崇拜的怪圈,并对技术进行强制推广,就会带来风险。“这是一种让技术的攻防在发展中共生共长,出现风险时又严重依赖技术防范的方案。唯独没有停下技术强制使用的想法,也没有停下人脸识别滥用的做法。”

劳东燕还提出,对于个人生物识别信息这类高度敏感的信息,有进行专项立法的必要性,并采取以公法保护为主的方式。在专项立法的规定中,需要明确数据处理者才应当是个人信息保护责任的主要承担者。

“在数据处理过程中,究竟是谁制造了相应的风险?”劳东燕说,“同时,谁是其中最大的获益方?肯定不可能是个人,而是作为数据处理者的科技企业与监管部门。”而从风险预防能力与风险预防效果来看,也应该将“鞭子“打到数据处理者身上。相应地,立法对人脸信息技术的规制重心,应当从知情同意机制转向数据处理者的合规义务体系。

王胜生则认为,要解决“人脸识别”这一技术带来的诸多问题,“立法”只是其中一个环节。“虽然现在人脸识别已经广泛普及,但是对及技术局限和风险的公共教育和学界讨论、对法律上的举证责任、举证能力、风险防范能力、司法公正的考量、对技术带来的社会权力的对比和分析,各个环节都是缺失的。”

在他看来,首先,技术公司需要持续披露和明确告知技术的真实情况,包括风险,使得大众对技术进行全面的认知;其次,大众和个体对强制和变相强制的技术适用应该拥有“说不的能力”,非法律的社会力量制衡途径需要存在;最后,方便适用的法律是否完备,司法公正性如何,才是最后一环的水波效应。

“或许微乎其微的举动不能影响人脸识别的大道其行,但也或许会带来温和的振动,促成一些良性的审慎的改观和发展。”他说。

]]>
《安联智库-网安周报》2022-07-24 Sun, 25 Sep 2022 04:45:26 +0800

1、美国电信巨头同意支付23.66亿和解数据泄露集体诉讼

7 月 23 日消息,据华尔街日报报道,当地时间周五,T-Mobile 在一份公告中披露,公司就一起与 2021 年盗取部分用户数据的网络攻击有关的集体诉讼达成和解协议。T-Mobile 同意支付 3.5 亿美元(约 23.66 亿元人民币)来处理集体诉讼原告的索赔,并支付其他相关费用。
了解到,T-Mobile 表示,将承诺再投入 1.5 亿美元(约 10.14 亿元人民币)用于数据安全和其他相关技术。
2、黑客以30000美元的价格提供540万个Twitter账户的详细信息

2022年初发现的一个Twitter安全漏洞被用来盗取540万用户的账户信息,黑客正在提供这套资料进行销售。现在出售的黑客数据来自2022年1月报告的一个漏洞。Twitter承认这是一个现实存在安全问题,并向发现者"zhirinovskiy"支付了5040美元的赏金。

黑客论坛上的卖家的用户名是'魔鬼',并声称该数据集包括'名人、公司等重要账号的数据。"我们联系了这个数据库的卖家,以收集更多信息,"Taylor说。"卖家为这个数据库至少要价3万美元,据卖家说,由于'Twitter的无能',这个数据库现在可以使用了。"

在Breach Forums的帖子中,有一个可用数据的样本。它似乎显示了可公开获得的Twitter个人资料信息,以及用于登录的电话号码和/或电子邮件地址,但它似乎并不包括密码。虽然它确实包含可用于Twitter"忘记密码"功能的电子邮件地址,但不良行为者必须单独获得该电子邮件账户的登录密码。

3、跨国巨头遭勒索软件攻击:所有工厂正常运转,所有业务离线进行

7月21日消息,德国建材巨头可耐福集团(Knauf Group)宣布已成网络攻击目标。其业务运营被攻击扰乱,迫使全球IT团队关闭了所有IT系统以隔离事件影响。

可耐福在网站主页上发布的简短公告写道,“我们目前正在努力减轻对我们的客户和合作伙伴的影响。所有工厂正常运转,所有业务离线进行。对于可能发生的交付过程中的任何不便或延迟,我们深表歉意。”

Black Basta宣布对事件负责

名为Black Basta的勒索软件团伙已经在其网站上发布公告,于7月16日将可耐福列为受害者。此举也相当于宣布对这次攻击负责。该勒索软件团伙还公布了一批数据,据称是攻击期间从可耐福处窃取到的全部文件中的20%。目前已经有超过350名访问者访问了这些文件。

4、知名GPS出现漏洞,可使黑客获得管理权限
漏洞研究人员发现了有关于GPS追踪器MiCODUS MV720的安全问题,该追踪器广泛应用在世界50强企业、欧洲政府、美国各州、南美军事机构和核电站运营商等,共计169个国家约150万车辆中。

此次发现MV720设备存在共有6个漏洞,侵入该设备的黑客可以利用它来追踪甚至定位使用该设备的车辆,也可以通过该设备收集有关路线的信息,并操纵数据。考虑到该设备的许多用户存在军政背景,黑客的攻击很有可能会影响国家安全。
例如,网络安全公司BitSight的研究人员在报告中指出,国有的乌克兰运输机构就使用了MiCODUS GPS追踪器,因此俄罗斯黑客可以针对它们来确定供应路线、部队动向或巡逻路线。

]]>
黑客以30000美元的价格提供540万个Twitter账户的详细信息 Sun, 25 Sep 2022 04:45:26 +0800 2022年初发现的一个Twitter安全漏洞被用来盗取540万用户的账户信息,黑客正在提供这套资料进行销售。与2021年8月受影响的4.78亿T-Mobile用户相比,540万用户的黑客攻击相比算是很小的。与同月晚些时候受影响的AT&T的7000万用户相比也不算大。

然而,现在出售的黑客数据来自2022年1月报告的一个漏洞。Twitter承认这是一个现实存在安全问题,并向发现者"zhirinovskiy"支付了5040美元的赏金。

正如HackerOne用户zhirinovskiy在1月的最初报告中所描述的那样,一个威胁者现在正在出售据称从这个漏洞中获得的数据,Restore Privacy的Sven Taylor说。"该帖子现在仍在叫卖,据称由540万用户组成的Twitter数据库正在出售。"

黑客论坛上的卖家的用户名是'魔鬼',并声称该数据集包括'名人、公司等重要账号的数据。"我们联系了这个数据库的卖家,以收集更多信息,"Taylor说。"卖家为这个数据库至少要价3万美元,据卖家说,由于'Twitter的无能',这个数据库现在可以使用了。"

卖家在网站Breach Forums上发布了关于这些数据的信息。该论坛的所有者已经核实了该泄漏的真实性。

在Breach Forums的帖子中,有一个可用数据的样本。它似乎显示了可公开获得的Twitter个人资料信息,以及用于登录的电话号码和/或电子邮件地址,但它似乎并不包括密码。虽然它确实包含可用于Twitter"忘记密码"功能的电子邮件地址,但不良行为者必须单独获得该电子邮件账户的登录密码。

因此,人们担心的不是用户账户会被坏人破坏,而是这些数据可能被卖给广告商利用。

Twitter还没有发表评论。

]]>
Uber承认掩盖2016年数据泄漏事件 向黑客支付10万美元比特币 Sun, 25 Sep 2022 04:45:26 +0800 作为和美国检察官达成和解以避免刑事指控的一部分,Uber 科技有限公司本周五表示愿意承担掩盖数据泄露事件的责任,该事件发生于 2016 年,有超过 5700 万乘客和司机的信息被泄露。检察官说,一位 Uber 前安全负责人向黑客支付价值 10 万美元的比特币以掩盖这一事件。

在签订的不起诉协议中,Uber 承认其工作人员未能向美国联邦贸易委员会报告 2016 年 11 月的黑客行为,尽管当时该机构正在调查这家网约车公司的数据安全性。

旧金山的美国检察官斯蒂芬妮·海因兹 (Stephanie Hinds) 表示,在任命了新的执行领导层之后,Uber 等了大约一年才报告违规行为,该领导层在道德和合规方面“从高层建立了强烈的基调”。

Hinds 表示,不对 Uber 提起刑事指控的决定反映了新管理层的迅速调查和披露,以及 Uber 与 FTC 于 2018 年达成的将全面隐私计划维持 20 年的协议。这家总部位于旧金山的公司还在配合起诉前安全主管约瑟夫·沙利文 (Joseph Sullivan),指控他涉嫌隐瞒黑客行为。

Uber 没有立即回应置评请求。

]]>
男子以应聘为由在12家公司装木马,窃取快递面单数据 Sun, 25 Sep 2022 04:45:26 +0800 “为什么骗子会知道我买了什么?”

“是谁泄露了我的快递信息?”

相信不少接到过

网购退款类诈骗电话的小伙伴们

有这样的疑问

如今,杭州萧山警方通过深入侦查

成功将幕后黑手揪了出来……

“窃单木马”

日前,杭州萧山警方

接到某电商公司报警救助

称有多名客户反映

接到快递理赔类诈骗电话、短信

怀疑公司发货面单信息被泄露

被盗走的快递面单信息多达65000余条

萧山警方对此高度重视

由网警大队联合刑侦大队以及相关派出所

成立专案组,第一时间开展调查

工作专班通过分析研判

发现一款疑似“打印机监视木马”的可疑软件

被人通过U盘拷贝至公司电脑

当公司打印面单等信息时

该软件会将信息同步上传至指定服务器

侦查员立即调取公司内部监控

发现几天前,有一陌生男子

进入公司并在公司电脑上进行操作

经研判明确该男子身份为王某某

其在金华义乌落脚

收网抓捕

调查显示,王某某短时间内

频繁出入杭州、金华等地的电商园区

存在连续作案的可能

迟一天抓捕

很可能就会有更多的单号被盗

导致大量受害人遭遇诈骗

专案组随即果断收网

在义乌一家小旅馆内将嫌疑人王某某抓获

当场查获作案手机9台

带有木马的U盘3个

经查,王某某平时游手好闲

在上网时被一诈骗团伙招募

并对其进行培训

王某某以应聘为幌子

混入电商公司仓库

趁人不备安装木马软件

窃取面单数据

从4月初开始

王某某先后在12家

电商公司仓库安装该木马软件

非法获利75000余元

目前,王某某已被萧山警方

依法采取刑事强制措施

相关案件正在进一步办理中

警方提醒:各电商企业注意!

案件虽已告破

但也暴露出一些企业存在管理漏洞

萧山警方第一时间协助相关企业

开展木马查杀

加强对电商企业网络数据安全排查

消除数据泄露隐患

并对潜在被诈骗对象

通过电话、短信等方式开展精准宣教

希望广大企业引以为戒

加强日常管理

防止此类案件再次发生

及时揪出嫌疑人

避免群众遭遇诈骗

助企纾困 弥补安全漏洞

为专案组点赞!

]]>
跨国巨头遭勒索软件攻击:所有工厂正常运转,所有业务离线进行 Sun, 25 Sep 2022 04:45:26 +0800 7月21日消息,德国建材巨头可耐福集团(Knauf Group)宣布已成网络攻击目标。其业务运营被攻击扰乱,迫使全球IT团队关闭了所有IT系统以隔离事件影响。

此次网络攻击发生在6月29日晚间。截至本文发布时,可耐福仍在开展取证调查、事件响应及补救工作。

可耐福在网站主页上发布的简短公告写道,“我们目前正在努力减轻对我们的客户和合作伙伴的影响。所有工厂正常运转,所有业务离线进行。对于可能发生的交付过程中的任何不便或延迟,我们深表歉意。”

根据外媒看到的邮件警告,作为攻击响应的一部分,可耐福的电子邮件系统已经关闭,目前业务通信主要依靠手机和Microsoft Teams。

可耐福是一家总部位于德国的跨国建筑材料生产商,在全球墙板市场上拥有约81%的份额。

可耐福在全球多个国家拥有150处生产基地,也是美国可耐福绝热材料公司及USG公司的所有者。

值得注意的是,可耐福绝热材料公司也在网站上发布了关于网络攻击的通知,可见其同样受到了影响。

Black Basta宣布对事件负责

虽然可耐福并未在公告中说明此次遭遇的具体攻击类型,但从事件持续时间、影响和IT系统的恢复难度来看,这恐怕是一起勒索软件攻击。

事实上,名为Black Basta的勒索软件团伙已经在其网站上发布公告,于7月16日将可耐福列为受害者。此举也相当于宣布对这次攻击负责。

该勒索软件团伙还公布了一批数据,据称是攻击期间从可耐福处窃取到的全部文件中的20%。目前已经有超过350名访问者访问了这些文件。

记者已经看到电子邮件通信、用户凭证、员工联络信息、生产文档及ID扫描件等样本。

既然没有公布所有失窃文件,看起来恶意团伙仍希望能通过谈判获取赎金。

Black Basta团伙的崛起之路

Black Basta勒索软件团伙在2022年4月首度开展RaaS攻击,并迅速凭借针对高调受害者的双重勒索行为闯下名号。

根据早期展现出的知识能力和谈判风格来看,不少安全专家认为Black Basta应该是Conti改头换面之后的新“马甲”。

到2022年6月,Black Basta开始与Qbot(QuakBot)合作传播其勒索软件,同时开始投放Cobalt Strike并协助在受害者网络内横向移动。

另外,这群恶意黑客还专门为自己的勒索软件制作了Linux版本,用于入侵运行在Linux服务器上的VMware ESXi虚拟机。

]]>
知名GPS出现漏洞,可使黑客获得管理权限 Sun, 25 Sep 2022 04:45:26 +0800 漏洞研究人员发现了有关于GPS追踪器MiCODUS MV720的安全问题,该追踪器广泛应用在世界50强企业、欧洲政府、美国各州、南美军事机构和核电站运营商等,共计169个国家约150万车辆中。

此次发现MV720设备存在共有6个漏洞,侵入该设备的黑客可以利用它来追踪甚至定位使用该设备的车辆,也可以通过该设备收集有关路线的信息,并操纵数据。考虑到该设备的许多用户存在军政背景,黑客的攻击很有可能会影响国家安全。

例如,网络安全公司BitSight的研究人员在报告中指出,国有的乌克兰运输机构就使用了MiCODUS GPS追踪器,因此俄罗斯黑客可以针对它们来确定供应路线、部队动向或巡逻路线。

 漏洞细节 

虽然不是所有BitSight发现的六个漏洞都获得了识别号,但各个漏洞的具体细节如下:

CVE-2022-2107:API服务器上的硬编码主密码,允许未经认证的远程攻击者获得对任何MV720追踪器的完全控制,执行切断燃料行动,追踪用户,并解除警报。(严重程度得分:9.8)

CVE-2022-2141: 破解的认证方案,允许任何人通过短信向GPS追踪器发送一些命令,并以管理员权限运行。(严重程度评分:9.8)

没有指定的CVE:所有MV720追踪器上的默认密码(123456)都很弱,没有强制规则要求用户在初始设备设置后进行更改。(严重程度高分:8.1)

CVE-2022-2199。反映在主网络服务器上的跨站脚本(XSS),允许攻击者访问用户账户,与应用程序互动,并查看该用户可访问的所有信息。(严重程度高分: 7.5)

CVE-2022-34150: 主网络服务器上不安全的直接对象引用,允许登录的用户访问服务器数据库中任何设备ID的数据。(严重程度高分: 7.1)

CVE-2022-33944: 主网络服务器上不安全的直接对象引用,允许未经认证的用户生成关于GPS跟踪器活动的Excel报告。(中等严重程度评分:6.5)

BitSight已经为获得识别号的五个缺陷开发了概念验证(PoCs)代码,并展示了它们如何在野外被利用。

 披露和修复 

BitSight在2021年9月9日发现了这些关键缺陷,并试图立即提醒MiCODUS,但遇到了困难,找不到合适的人接受安全报告。

2021年10月1日再次联系了GPS追踪器的中国供应商,但供应商拒绝提供安全或工程联系人。随后在11月试图联系该供应商,但没有得到回应。

最后,在2022年1月14日,BitSight与美国国土安全部分享了其发现的所有技术细节,并要求他们与该供应商接触。

目前,MiCODUS MV720 GPS追踪器仍然容易受到上述缺陷的影响,而且供应商还没有提供修复方案。因此,BitSight建议在修复方案出台前,使用MiCODUS MV720 GPS追踪器的用户应该立即禁用这些设备,并使用其他的GPS追踪器进行替代。继续使用MiCODUS MV720 GPS追踪器将是一个极端的安全风险,尤其是在这些漏洞被公开披露之后。

]]>
消息称推特被黑客入侵:540万账户的联系方式泄露 卖价20万元 Sun, 25 Sep 2022 04:45:26 +0800 7月22日消息,据9To5Mac报道,推特因安全漏洞被黑客入侵,共计 540 万个账户的联系方式泄露,推特官方已确认存在该安全漏洞。

报道称,泄露的540万个账户包括推特 ID 与其关联的电话号码和电子邮件信息,已在一个黑客论坛上出售,价格为3万美元(约20.28万元人民币)。

Restore Privacy报告称,这次泄露可能源于1月份发现的一个安全漏洞,该漏洞允许攻击者获取与推特账户关联的电话号码、电子邮件地址,即使用户在隐私设置中隐藏了这些字段,也可以被拿到。

黑客论坛的所有者验证了攻击的真实性,Restore Privacy 也对数据进行了检验,确认可以和推特的用户对应上。当 Restore Privacy 联系卖家后,被告知数据库的价格为 3 万美元。

报告称,攻击者很可能获得了现有的电话号码和电子邮件地址数据库,这些数据库是通过违反其他服务获得的,然后使用这些详细信息搜索到了相应的推特 ID。

目前尚没有办法检查自己是否在泄露的账户中,IT之家小伙伴最好注意一下收到的邮件和来电,不要轻易点击链接。

]]>
洛杉矶港每月遭受4000万次网络攻击:比疫情前翻了一倍 主要来自这两个地方 Sun, 25 Sep 2022 04:45:26 +0800 7月22日消息,作为西半球最繁忙的洛杉矶港,目前每月遭受约4000万次的网络攻击,这个数字相比新冠疫情之前增长了近一倍。海港每年运送数十亿美元的货物,这使其成为网络犯罪分子的重点目标。洛杉矶港的执行董事吉恩·塞罗卡表示,这些网络攻击主要来自欧洲和俄罗斯,目的是造成破坏以扰乱美国经济。

与联邦调查局合作

洛杉矶港现正与联邦调查局的网络犯罪小组合作,以防止网络攻击并改善网络安全。该港口开发的中心是世界上最早的网络弹性中心之一,这也是联邦调查局的一部分。

供应链阻塞

在新冠疫情期间,由于工厂关闭,工人被迫待在家里,全球供应链放缓。塞罗卡说,供应链的压力已经缓解,但要到2023年才能完全清理滞留的货物。

他还表示,过去两年已经证明,港口对美国的关键基础设施、供应链和经济发挥着至关重要的作用,因此,让信息系统尽可能安全至关重要。

]]>
美国电信巨头同意支付23.66亿和解数据泄露集体诉讼 Sun, 25 Sep 2022 04:45:26 +0800 7月23日消息,据华尔街日报报道,当地时间周五,T-Mobile 在一份公告中披露,公司就一起与 2021 年盗取部分用户数据的网络攻击有关的集体诉讼达成和解协议。

T-Mobile 同意支付 3.5 亿美元(约 23.66 亿元人民币)来处理集体诉讼原告的索赔,并支付其他相关费用。需要注意的是,这一和解方案仍待法院批准,T-Mobile 预计最快将于今年 12 月获得批准。

IT之家了解到,T-Mobile 表示,将承诺再投入 1.5 亿美元(约 10.14 亿元人民币)用于数据安全和其他相关技术。

据 T-Mobile 预计,第二财季将计入约 4 亿美元(约 27.04 亿元人民币)与此相关的税前支出。T-Mobile 称已将这笔支出和 1.5 亿美元(约 10.14 亿元人民币)的数据安全支出纳入之前的业绩预期。

]]>
全球工控系统面临“木马危机” Sun, 25 Sep 2022 04:45:26 +0800 继今年6月份Forescout在“冰瀑漏洞”工控安全报告中披露了10家OT供应商产品中的56个冰瀑漏洞后,工控安全态势急剧恶化,一种伪装成工控系统密码找回工具的木马软件正在“热销”。

根据Dragos本周发布的最新工控安全报告,伪装成工控系统可编程逻辑控制器(PLC)、人机界面(HMI)和项目文档密码破解器的恶意软件生态系统的雏形已经浮出水面,黑客在网上兜售大量工控系统设备的密码破解软件,宣称可以帮助忘记密码的工控系统工程人员找回系统设备密码,但这些软件实际上是木马软件,被安装后会加载僵尸病毒,将工控设备变成僵尸网络的一部分。

许多企业都会发生丢失工控设备密码的情况。例如,用于工厂、发电厂和其他工业环境中的流程自动化的可编程逻辑控制器(PLC)可能会在部署几年后就被“遗忘”了。当后来的工程师发现影响PLC的问题时,他们可能会发现最初负责的工程师在离开公司之前从未留下密码。于是急于解决问题的工程师们很可能上网搜索“密码破解程序”,结果导致工控系统开始表现异常。

根据安全公司Dragos的报告,如今整个恶意软件生态系统都试图利用工业设施内的此类问题和场景(找回密码)。例如下面这些宣称可破解PLC和人机界面密码的破解程序广告,表明此类恶意软件的销售似乎非常火爆

留神工控系统变成僵尸网络

Dagos最近进行了一次例行的漏洞评估,发现了一个宣称能破解DirectLogic 06(Automation Direct生产销售的PLC)密码的软件。经测试该软件确实能恢复目标PLC的密码,但不是通过破解密码的正常方法。相反,该软件利用了Automation Direct PLC中的一个零日漏洞,该漏洞暴露了密码。

“以前针对DirectLogic PLC的研究已经取得了成功的破解技术,”Dragos研究员Sam Hanson写道:“然而,Dragos发现这个漏洞并没有破解历史上流行的漏洞利用框架中所见的密码的加扰版本。相反,恶意软件释放器会将特定的字节序列发送到COM端口。”

该漏洞以及Hanson发现的另一个相关漏洞现已修复并被跟踪为CVE-2022-2033和CVE-2022-2004。后一个漏洞可以恢复密码并将其发送给远程黑客,其严重等级也提升至7.5(满分为10分)。

除了恢复密码,Hanson发现该恶意软件还会继续安装名为Sality的恶意软件,将被感染的系统变成僵尸网络的一部分,Sality还会每半秒监视受感染工作站的剪贴板,以获取与加密货币钱包地址相关的任何数据。

“入侵者会用自己的钱包地址替换剪贴板中的任何加密货币地址,”Hanson指出:“这种转账实时劫持是窃取加密货币的最有效的方法之一,并让我们更加确信攻击主要出于经济动机。”

除了Automation Direct之外,Hanson还发现黑客正在网上销售30多家其他品牌的工控系统软件的密码破解程序,包括:

Dragos仅测试了针对DirectLogic设备的恶意软件,但对其他一些样本的初步分析表明它们也包含恶意软件。

“总的来说,针对工控系统的恶意软件似乎已经形成了一个生态系统,”Hanson说:“已经有多个网站和社交媒体帐户都在宣称(和兜售)自己是工控设备密码'破解者'。”

这些不法帐户所暴露的工控系统恶意软件生态系统令人担忧,因为这对许多工业控制系统都构成了实质性的威胁。虽然Dragos分析的恶意软件背后的犯罪动机是为了钱财,但是工控恶意软件生态的扩散意味着更多黑客将能够破坏大坝、发电厂或类似设施,造成极为严重的后果。对于浮出水面的工控恶意软件生态系统,关键基础设施部门和企业尤其需要关注和警觉,制订有针对性的主动安全策略。

]]>
因遭遇大规模网络攻击,这个国家政务网络被迫关闭 Sun, 25 Sep 2022 04:45:26 +0800 7月18日消息,欧洲东南部国家阿尔巴尼亚(下文简称“阿国”)政府披露,该国在上周末遭遇大规模网络攻击。一次来自国外的大规模犯罪行动袭击了国家信息社会局(AKSHI)的服务器,该局负责处理大量政府服务。

阿尔巴尼亚国家信息社会局在一份声明中表示,“为了抵御这些前所未有的危险攻击,我们被迫关闭了政府系统,直至对方的攻击被解除。”

网络攻击发生之后,阿国政府服务在本周一全部关闭。

阿部长会议发布的新闻稿提到,“阿尔巴尼亚正遭受前所未有的大规模网络攻击。此次恶意网络攻击是同步进行的,来自境外。为了避免信息系统被破坏,国家信息社会局暂时关闭了在线服务及其他政府网站。”

大部分面向民众的服务项目被中断,只有部分重要服务(例如线上报税)仍在运行,原因是运行它们的服务器并未受到攻击覆盖。

阿国前总理及反对党领袖萨利·贝里沙(Sali Berisha)对政府的网络安全态势持批评态度。

他将崩溃事件归咎于政府的无能,而非俄罗斯,同时指出政府在社会局之内集中了太多政务服务。

贝里沙指责,“政府的几乎所有重要服务怎么会全部通过这一个网站来实现?在缺乏针对网络犯罪的专业警务制度的情况下,怎么可能选择这样的运营方式?”

微软Jones Group国际团队正在帮助社会局缓解攻击影响,并努力恢复系统运营。

去年12月,阿国总理埃迪·拉玛(Edi Rama)就曾经为国家政府数据库中个人记录的大量泄露而致歉。

当时泄露的记录包括约637000人的个人身份证号码、就业信息与工资数据。

2021年4月,在阿国议会选举之前,也曾发生一起导致国家数据库内身份证记录外泄的类似事件。

]]>
银行人脸识别系统被攻破:6次活检比对,近43万被盗走 Sun, 25 Sep 2022 04:45:26 +0800 李红(化名)万万没想到,诈骗人员从她的交通银行卡偷走近43万元,如入无人之境。

  要想从交通银行卡中转账,需要用户在手机银行App上进行人脸识别,并进行短信验证。李红陷入了诈骗分子的圈套,她的手机短信被拦截,手机号被设置了呼叫转移,令她的验证码落入他人手中,且无法接听银行的确认电话。

  更严重的是,“人脸识别”被攻破了。银行系统后台显示,在进行密码重置和大额转账时,“李红”进行了6次人脸识别比对,均显示“活检成功”。

  那几次人脸识别并不是身在北京的李红本人操作,登录者的IP地址显示在台湾。当李红本人登录手机银行时,卡里的钱已被悉数转走。她去派出所报案,警察很快认定她遭遇了电信诈骗,并立案侦查。

  既然不是本人操作,为何还能“活检成功”?李红怀疑交通银行人脸识别系统的安全性,并以“借记卡纠纷”为由将交通银行告上法庭,要求赔偿。

  2022年6月30日,北京市丰台区人民法院一审驳回了李红的全部诉求。她准备继续上诉。

  每个人只有一张脸,因其不易被仿冒,人脸识别被认为具有较高安全性,近年来被普遍适用于银行验证中,用来保障资金安全。但超出普通人认知的是,人脸具有唯一性的生物识别信息,是敏感个人信息,它裸露在无处不在的摄像头下,极易获得。在如今人脸识别系统并不成熟的情况下,用合成活动人脸骗过审核系统的案例屡见不鲜。

  长期关注个人信息保护的专家,都对人脸识别的滥用充满忧虑。清华大学法学院教授劳东燕指出,从制度框架的合理设定来考虑,制造更多风险、获取更多收益的一方,理应承担更多的风险与责任,“人脸识别是银行引进的,其是作为风险制造的参与方,通过这种方式银行也获益更多,应该承担和其所获收益成比例的风险责任”。

  她还指出,随着人工智能的发展,诈骗手段科技含量更高,银行应当与时俱进,使其安保技术超过犯罪手段的技术。如果银行因人脸识别技术存在的漏洞而相应承担责任,会有助于敦促银行堵住技术上的安全漏洞,对可能发生的诈骗犯罪起到预防作用。

  被骗42.9万元

  从接通电话那刻起,李红就陷入“协助破案”的迷局中。那是2021年6月19日上午10:30,电话那头自称“北京市公安局户政科陈杰警官”的人告诉李红,她的护照此前在哈尔滨涉嫌非法入境,让她向哈尔滨市公安局报案。对方轻易地报出了李红身份证号,这令她开始相信电话那头的“警官”。

  李红被转接给哈尔滨市公安局的“刘警官”。对方告诉她,她涉嫌“李燕反洗钱案”,并让她登录一个网站查看“公文”。李红用手机登录对方提供的网站后,发现在一张蓝底的“通缉公告”上,印着自己的身份证照片、身份证号等户籍信息。

  这令她陷入恐慌,因为在她平常的认知中,这些信息只有公安内部的人才能获得。接下来,她对“警官”的指挥百依百顺。按照指示,她从网站下载了“公安防护”软件和视频会议软件“瞩目”。

  “公安防护”是一款诈骗人员常用的“李鬼”手机软件,其设计模仿“国家反诈中心”,如果受害者在里面输入银行卡和密码,诈骗人员就可在后台获取这些信息。

  而“瞩目”虽然是普通的视频会议软件,但提供共享屏幕功能。在“刘警官”的要求下,李红通过“瞩目”,向对方共享了自己的手机屏幕,令其掌握了她安装的App种类信息,对方还通过这项功能远程操控她的手机,令她的手机号设置了呼叫转移,无法接收短信和电话。

  最容易被忽略的是“露脸”。对方告诉李红,为了验证她是本人操作,她要通过“瞩目”开启会议模式,于是李红的人脸信息轻易暴露在对方面前。这也成为对方实施诈骗的关键一环。

  李红始终没能挂断电话,“刘警官”故意令她与外界隔绝。下午13:46,按照要求,李红赶到交通银行北京长辛店支行,开设了一张借记卡。银行开卡记录显示,李红预留了自己的手机号,并允许借记卡通过“网上银行、手机银行、自助设备”三种方式转账,也允许这张卡进行境外取现和消费,但在其他功能中,她选择了“小额免密免签不开通”。

  这意味着,当她进行5万元以内的转账时,仍需要验证。此外,李红还设置了转账限额,每日只能累计转账5万元。

  在办理借记卡的过程中,交通银行向李红发放《北京市公安局防范电信诈骗安全提示单》。这份提示单中,载明了业务类型为“开通网银或手机银行”,并提示她可能存在有冒充公检法的人员,以打电话的方式告知她涉及案件,要求她向对方提供的账号转账,或是告知网银密码。李红在这份提示单上签字。

  李红刚刚办好的借记卡,这张卡就被诈骗人员所掌控了。银行后台显示,当天13:51,即李红开卡15分钟后,就有诈骗人员通过人脸识别验证,重置了李红的用户名和密码,登录了她的手机银行。但李红对此并不知情,她正按照“刘警官”的要求,为了“清查个人财产”,向卡转入所有积蓄,以及所有能够贷款获得的现金。

  交易记录显示,14:06至14:09,李红向这张卡转账5笔共计25万元,14:11和14:13,又分两笔转入5万元,此时李红卡内已有30万元。短短几分钟后,14:20诈骗人员就通过掌握的李红的手机银行,将这30万元转了出去。此后在14:30,李红又向卡内汇入12.9万元,这些钱在14:40被悉数转出。至此诈骗人员转走了李红42.9万元。

  诈骗人员掌握了李红的“人脸识别+动态密码”后,通过修改密码,登录了她的手机银行,此后便如入无人之境,即使李红设置了每日5万元转账限额,也在诈骗人员登录后被轻易修改,之后每笔大额转账也都通过“人脸识别+动态密码”验证通过。

  交通银行北京长辛店支行在法庭上回应称,“交易密码、动态密码以及辅助人脸识别的客户鉴别模式”符合监管要求,并且在李红转账过程中,银行对她进行了风险提示,包括通过运营商向她发送了短信密码、短信风险提示,以及在内部系统大数据分析发现异常后,拨打了李红的手机,对转账人身份及转账情况进行核实。

  但李红称,对于银行所称发送了22条短信密码及短信风险提示,她只收到了其中的11条,而银行的来电她并未接到。这背后的原因在于她的短信被诈骗人员拦截,电话也呼叫转移到了诈骗人员的手机上。

  银行提供的通话录音显示,在当天14:23,在诈骗人员正将李红银行卡中的30万元转出时,银行客服拨通李红预留的手机号,询问对方是否是李红本人、转账是否本人操作、收款人信息、与收款人的关系、转账的用途等,接电话的人均认可系本人操作,还称与收款人是朋友关系。

  下午16:00,李红察觉到“刘警官”的反常态度,她在16:39用自己的手机首次登录了手机银行,却发现钱已被盗刷,她意识到自己被骗,前往派出所报警,并联系银行挂失银行卡。

  银行出具的通话录音显示,当天17:08至17:25,银行三次拨通李红预留的手机号,接电话的人起先称自己是李红,认可办理过业务,否认办理银行卡挂失,但后来否认自己是李红,称客服“打错了”。

  蹊跷的“活检成功”

  民警追查到,2021年6月19日在13:51至14:42之间,李红手机银行登录者的IP地址在台湾,使用的设备是摩托罗拉XT1686,而当时李红在北京,她的手机型号是小米8。

  银行后台记录显示,李红的借记卡在6月19日那天共有7次操作涉及人脸识别,均显示识别成功通过,其中1次为借记卡申请,1次为登录密码重置,5次为大额转账,除了第一次不涉及活检,后6次操作“活检结果”均为成功。

  李红并未亲自操作,为何6次“活检结果”均为成功?李红的丈夫马跃(化名)在金融系统工作多年,他成为妻子起诉交通银行的代理人。他告诉《中国新闻周刊》,银行定下的“人脸识别+短信验证码”的验证模式,其本质目的在于确保由用户本人亲自操作转账,他妻子在完全不知情的情况下,被诈骗人员从账户中转走钱,银行应当承担保管不力的责任。

  “这就好比,本来约定需要我本人去银行才可以转账汇款,现在别人假冒我去银行,银行没有发现,那么造成的损失不应该由我完全承担。”他认为,银行与储户之间的关系是债权关系,银行受骗,不应让储户承担全部责任。

  李红以“借记卡纠纷”为案由起诉交通银行后,要求银行赔偿存款损失,但北京市丰台区人民法院一审驳回了她的诉求。

  法院认为,李红在42.9万元被盗过程中“过错明显”,交通银行作为指令付款方,已通过多个登录密码、验证码、人脸识别的合理方式识别使用人身份,未见存在明显的错误或过失。

  马跃认为,李红在北京刚办理了借记卡,紧接着IP地址在台湾的诈骗人员就能用不同的设备登录,并频繁操作大额转账,如此异常的操作,银行本应该识别出转账的非储户本人。

  李红的遭遇并非孤例。早在2020年10月,浙江的赵女士就遭遇了同样的骗局,她的经历曾经被杭州本地媒体报道。赵女士讲述,在与假冒警察的犯罪分子视频时,对方曾要求她做“张嘴”“眨眼”“摇头”等动作,疑似通过录像来骗过银行的人脸识别系统。

  联系上赵女士之后,马跃又联系到4名同样的受骗者,他们6人都遭遇了同样的诈骗套路,涉案金额超过200万元。

  这6名受害者都为女性,受骗时间最晚的在2021年10月。她们都生活在大都市,具备一定知识水平,多人具备研究生学历,还有人就是律师。

  交通银行的人脸识别服务商为北京眼神科技有限公司(下称“眼神科技公司”)。这家公司成立于2016年6月,其创始人、董事长兼CEO周军曾公开表示,其研究的“生物密码”,令“用户到哪里密码就跟随到哪里”“只有本人可用”。

  其官网介绍,眼神科技是业内较早将指纹识别、人脸识别、虹膜识别等生物识别技术引入金融行业的AI企业,在金融行业,其目前已服务于中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、邮储银行、招商银行、民生银行等近150家银行机构,客户覆盖率达80%,实现柜面内外应用、手机银行、自助银行、风控管理等金融业务场景的全面覆盖。

  2020年9月,眼神科技公司宣布中标交通银行人脸识别项目,向交通银行全行提供人脸识别产品,“在现金管理、支付结算及账户管理等业务场景中实现人脸活检及身份识别功能”。

  在2021年9月,李红和其他女性被诈骗报案后,交通银行曾公告停用过人脸识别。这不久,马跃就发现交通银行手机银行系统进行了改版升级。但在这年10月,仍有一名受害人的交通银行账户被假人脸攻破。

  目前,在交通银行手机银行用户协议中,人脸识别技术提供方仍是眼神科技公司,记者就此事联系了这家公司,但对方未给予答复。

  板子该打在谁身上?

  人脸识别系统被攻破,银行究竟有没有责任?浙江理工大学法政学院副教授郭兵告诉《中国新闻周刊》,在李红一案中,重点正是人脸识别系统被诈骗人员轻易攻破。

  郭兵长期关注人脸识别的安全性。他认为,李红的人脸信息有可能被诈骗人员仿造了,“诈骗人员掌握了她的人脸信息,通过技术手段可以生成动态的人脸信息”。他说,有一种人脸活化软件,可分析照片和视频中的人脸信息,生成一张可供人操控的“假人脸”,来骗过人脸识别软件。

  “我们的人脸识别技术不可能尽善尽美。”他提出,随着人工智能的发展,人脸识别软件和破解的活化软件都在发展,要谨防“道高一尺魔高一丈”。

  事实上,被广泛应用的人脸识别技术,其破解难度有时简单得出乎意料。郭兵说,2019年,浙江有几名小学生用照片破解了居民小区的快递柜,轻易取走他人的快递。而在2021年10月,清华大学的学生团队,仅用人脸照片就成功解锁了20款手机。

  “人脸的照片太容易获得了。”郭兵说,如果人脸识别系统用照片就能解锁,在遍布摄像头的当下,可能预示着巨大的隐患。

  “现在电信诈骗非常猖獗,盗用人脸信息的手段层出不穷,也给银行的人脸识别系统带来挑战。”郭兵说,近期学界也对活化软件展开了研究,“这都是釜底抽薪的手段”。

  他更担心的是,随着技术的发展,犯罪分子可能掌握了照片,就可“活化”出动态人脸,骗过人脸识别系统。

  银行的防护能力关系到储户的资金安全。郭兵认为,应当对银行的人脸识别系统提出更高的要求。

  在立法层面上,对人脸信息的保护正在逐步加强。在李红被诈骗几个月后,《个人信息保护法》正式生效,其中突出了作为敏感个人信息的生物识别信息的特别保护,规定“处理个人敏感信息应该进行更多的告知,包括相应的风险,以及应当取得个人的单独同意”。

  在清华大学法学院教授劳东燕看来,银行普遍存在变相强迫采集储户人脸信息的现象。她说,“至少就我个人的体会,去银行办理存款等业务,人脸识别都是在强制之下弄的,如果不同意采集人脸就办不了相应业务。”

  她告诉《中国新闻周刊》,尽管《个人信息保护法》强化了对人脸信息的保护,但这种强化其实只体现于征求同意的环节,其他地方和普通个人信息几乎没有差别,并没有在实质上抬高法律保护的门槛。

  所以,她坚持认为,全国人大及其常委会有必要考虑对生物识别信息进行单独立法,不应放在《个人信息保护法》的框架下来进行保护。

  她还提到,李红在银行办卡时被要求签署的《北京市公安局防范电信诈骗安全提示单》提示效果有限,“现在诈骗手段层出不穷,仅靠个人的警惕是很难防住的”。

  在她看来,这个提示单对防范各种诈骗无法起到实质性作用,当储户被诈骗后,反而有可能起到让银行转嫁责任的效果。

  “防范和打击犯罪,本应由国家、银行与相关单位承担主要责任,现在越来越多变相地转嫁到作为被害人的个人身上。”她指出,“过多地让弱者承担风险并不公平”。

  劳东燕认为,要防范此类诈骗犯罪,重要的是在制度框架层面重新来考虑合理分配风险的问题。她说,“风险跟责任有关,谁制造的风险原则上就应当由谁来承担。”

  她指出,人脸识别的推广和带来的风险,实际上是科技企业和银行制造的,在这其中,银行也比储户获得了更多科技带来的好处,“谁在其中获益最大,谁就应该承担与获益成比例的风险”。

  “另外,还应当考虑预防能力与预防效果方面的因素,将板子打在谁身上,预防效果是最好的呢?”在她看来,银行的预防能力比储户要强得多,如果由银行部分地或按比例地承担因人脸识别风险造成的损失,将有助于督促银行审慎采集与保护储户信息,加强人脸识别系统的安全技术保障。

  “银行对人脸信息的技术保障需要超过一般的犯罪手段,否则,银行就不应采集与使用储户的人脸信息。”她说。

]]>
美国一监控本国民众网曝光,“几乎可以追踪任何人” Sun, 25 Sep 2022 04:45:26 +0800 美国国内组织发布的一篇报告披露称,该国正对本国民众布下一张无形的网进行全方位监控。而此前不为大众所注意的幕后机构——美国移民和海关执法局(ICE)也遭到曝光。

美国乔治敦大学隐私与技术法律中心今年5月发布《美国的天罗地网:21世纪数据驱动下的驱逐》报告。经过两年调查,该中心发现ICE自2003年成立以来已成功建立了一个高效的监控网络,斥巨资拉网式收集大量美国居民的隐私数据,而且此举远远超出授权范围。

监控全美74%人口

“9·11”袭击事件后创建的ICE,被赋予打击恐怖主义和执行移民法的广泛权力。虽然ICE一直将自己定位为针对“犯罪外国人”的执法机构,但事实上,ICE跨越法律和道德界限,编织起庞大的监控系统。

除了利用各州和地方警察的资源,ICE还着手建立了来自执法部门之外的数据库,并大力投资追踪普通人群的项目。报告显示,2008年至2021年间,ICE花费约28亿美元进行新的监控、数据收集和数据共享计划,在监控项目上的年度支出在此期间增长近5倍,从每年约7100万美元飙升至约3.88亿美元。此外,ICE在地理定位提供商上花费了超13亿美元,在面部扫描等生物识别技术上也花费了约9600万美元,还有2.52亿美元用于访问国际公共安全和司法网络(Nlets)等关键政府数据库。

报告称,目前已知ICE掌握的权限可以访问高达74%美国人的驾照数据,跟踪城市中七成汽车的移动情况。就算搬入新家,74%的美国人一旦连接天然气、电力、电话或网络,ICE 就能第一时间自动获取其新地址。

“几乎可以追踪任何人”

乔治敦大学隐私与技术法律中心政策助理、研究报告的共同作者尼娜·王(音)表示:“ICE建立了一套全面的监控基础设施,能够随时追踪几乎任何人。该机构加强了几乎完全保密和不受惩罚的监控能力,避开了限制,可以在议员们的眼皮子底下行事。”

报告揭发ICE种种越线监控行为后,多个美国媒体也加入曝光行列。美国技术新闻网站《边缘》呼吁相关私营企业停止与ICE的合作,要求政府加强对此类合作的监管。美国《国会山报》还披露,疫情期间ICE开发了一款名为Smartlink的GPS手机软件用于追踪移民,并声称只是为了确保他们出席移民法庭的听证会,但该软件已经被用于大量没有犯罪记录和没有被拘留的移民身上,是否有其他隐蔽用途尚未可知。

三大渠道公然窃密

报告显示,ICE利用隐私法弱点,从三大渠道公然窃密,而美国联邦和州法律无力阻挡。

第一大渠道是直接要求美国各州车管局等州和地方官僚机构提供数据。有证据表明,ICE每年向各地车管所提出数百或数千个请求。1994年美国国会通过的一项保护驾驶员记录信息的联邦法律,未能考虑到联邦移民执法部门会主动侵犯司机们的隐私,致使ICE能顺利从车管所获取驾驶员数据。州一级的法律屏障则更为薄弱。

第二大渠道是通过政府数据库访问相关信息,同时购买人脸识别等服务协助分析相关数据。ICE部署的数据共享和数据收集程序,几乎获取到每个美国人的数据信息。与此同时,当ICE绕过城市和州颁布的庇护政策,从Nlets等政府数据库继续获取个人信息后,没有机构声称能对接下来的数据跟踪行为负责。

第三大渠道是从不受监管的数据代理人渠道收集公民公共设施使用记录及购买私营公司数据库。在针对公共设施使用记录数据的保护上,联邦隐私法和许多州的法律缺陷巨大。

报告显示,联邦现有的隐私法仅在银行等金融机构使用等有限情况下保护消费者信息,而绝大多数州未能采取有意义的隐私保护措施来限制向执法部门发布公用事业客户信息。例如,加利福尼亚州虽然立法禁止相关公司销售客户数据,但它并不能防止这些公司出于信用评估和其他目的向全国性的电信与公共事业信息交换中心(NCTUE)等公司免费共享客户信息。一旦信用检查结束,NCTUE就有权将其客户信息转售给如ICE等第三方。由此,ICE成功绕过法律限制,向私营公司数据库购买大量相关信息。

或许还有类似情况

某网络安全行业专业人士表示,“美国政府是名副其实的 ‘黑客帝国’‘窃密帝国’,它不但无差别地对全球实施网络攻击获取情报,而且对本国民众也同样实施全方位监控措施。”

该人士表示,美政府以“国家安全”的名义无视规则、突破底线的“双标”霸权行径非一日之功,在商业利益和“国家安全”这两大驱动力之下,ICE已经构建成型的庞大监控网络何时能被有效控制还未可知,类似ICE这样公然越权滥用公民个人隐私数据的“隐形”政府机构到底还有多少也是一个“细思极恐”的问题,“对内虎视眈眈,长期以非法手段监控美国公民,对外长臂管辖,辅以多方窃密和网络攻击,美政府编造的‘国家安全’种种说辞正一个接着一个被世人识破,成为美国谋求霸权最显著的政治注脚。”

]]>
《安联智库-网安周报》2022-07-17 Sun, 25 Sep 2022 04:45:26 +0800

1、联想超70款笔记本电脑被曝新型UEFI固件漏洞

据Bleeping Computer网站7月13日消息,由联想生产的超70款笔记本电脑正受三个 UEFI 固件缓冲区溢出漏洞的影响,这些漏洞能让攻击者劫持Windows系统并执行任意代码。
据悉,这三个漏洞由安全软件公司ESET的分析师发现,并已经将其报告给了联想。根据联想的披露,这三个中等严重级别的漏洞分别为CVE-2022-1890、CVE-2022-1891 和 CVE-2022-1892。其中第一个为联想部分笔记本产品使用的ReadyBootDxe驱动的问题,后两个是SystemLoadDefaultDxe驱动的缓冲区溢出漏洞,该驱动被用于Yoga、IdeaPad、Flex、ThinkBook、V14、V15、V130、Slim、S145、S540 和 S940 等70多款电脑型号。
总体而言,利用UEFI 固件漏洞的攻击非常危险,能让攻击者在操作系统刚启动时运行恶意软件,甚至在 Windows 内置安全保护被激活之前,从而绕过或禁用操作系统级别的安全保护、逃避检测,并且即使在磁盘格式化后仍然存在。对于一些经验丰富的攻击者,能够利用这些漏洞执行任意代码,对设备系统产生难以预估的影响。
为了解决这一风险,官方建议受影响设备的用户通过官网下载适用于其产品的最新驱动程序版本。
2、遭勒索软件攻击,美190万条医疗记录被泄露

近日,美国一家收债员专业金融公司 (PFC) 报告了一起数据泄露事件,该事件影响了美650 家不同医疗提供商和191万患者的数据。这是一家总部位于科罗拉多州的为医疗保健公司追讨未偿债务的公司,该公司表示,未经授权的入侵者访问了个人数据,包括姓名、地址、欠款以及有关账户付款的信息,甚至一些用户的社会安全号码、出生日期、健康保险和医疗信息也被曝光。

据一份声明中承认了入侵者通过进入系统文件访问了某些包含个人信息的文件,有1,918,841人受到了此次勒索攻击的影响。这也是截至目前今年的第二大受网络攻击影响的医疗事件。

3、甘肃回应“健康码系统访问异常”:升级维护,正在紧急修复

7月16日,甘肃省新冠肺炎疫情联防联控领导小组办公室发布通告:经过紧急修复,甘肃健康码系统现已恢复正常访问。此前公告称,为确保甘肃健康码系统持续稳定运行,系统正在进行升级维护,可能导致部分用户访问异常,技术部门正紧急修复。

4、轻信“无门槛开店” 8000多人被骗1.4亿元“辅导费”

江苏省南京市公安局近日披露一起涉案金额高达1.4亿元的新型网络诈骗案。涉案团伙以“无门槛开店”为诱饵广撒网,继而以辅导开店之名诈骗“辅导费”,甚至还与被害人签合同。警方抽样调查2000多名被害人,仅1人意识到这是诈骗并报警。

据南京市公安局披露的信息,这一团伙以公司化模式运营,下设4个分公司,公司内部又设有推广、销售、教学、运营等部门。涉案团伙先以“无门槛开店”在各网络平台进行推广,吸引被害人在其网站开店,然后再以辅导开店为由,诈骗“辅导费”。“一对一”辅导套餐分白银、黄金、钻石、皇冠等4个等级,价格从4580元至12880元不等。

南京警方介绍,此案作案手段隐蔽,各环节环环相扣,涉案团伙甚至还会与被害人签订制式合同。涉案交易流水达1.4亿元,涉及全国各地被害人共计8000多名。警方抽样调查其中2000多人,发现仅有1人意识到这是诈骗并报警。

]]>
轻信“无门槛开店” 8000多人被骗1.4亿元“辅导费” Sun, 25 Sep 2022 04:45:26 +0800 江苏省南京市公安局近日披露一起涉案金额高达1.4亿元的新型网络诈骗案。涉案团伙以“无门槛开店”为诱饵广撒网,继而以辅导开店之名诈骗“辅导费”,甚至还与被害人签合同。警方抽样调查2000多名被害人,仅1人意识到这是诈骗并报警。

据南京市公安局披露的信息,这一团伙以公司化模式运营,下设4个分公司,公司内部又设有推广、销售、教学、运营等部门。涉案团伙先以“无门槛开店”在各网络平台进行推广,吸引被害人在其网站开店,然后再以辅导开店为由,诈骗“辅导费”。“一对一”辅导套餐分白银、黄金、钻石、皇冠等4个等级,价格从4580元至12880元不等。

案件告破后,犯罪嫌疑人交代,公司所谓的金牌教师只有初、高中文化,他们向被害人展示的成功案例也是伪造的。被害人在网上开设的店铺最终多以退店、封店收场。

南京警方介绍,此案作案手段隐蔽,各环节环环相扣,涉案团伙甚至还会与被害人签订制式合同。涉案交易流水达1.4亿元,涉及全国各地被害人共计8000多名。警方抽样调查其中2000多人,发现仅有1人意识到这是诈骗并报警。

今年5月12日,南京警方出动800多名警力,将这个涉案团伙彻底摧毁,抓获犯罪嫌疑人450多人。目前,团伙主要犯罪嫌疑人已被批准逮捕,案件已移交检察机关办理。

]]>
甘肃回应“健康码系统访问异常”:升级维护,正在紧急修复 Sun, 25 Sep 2022 04:45:26 +0800 7月16日,甘肃省新冠肺炎疫情联防联控领导小组办公室发布通告:经过紧急修复,甘肃健康码系统现已恢复正常访问。此前公告称,为确保甘肃健康码系统持续稳定运行,系统正在进行升级维护,可能导致部分用户访问异常,技术部门正紧急修复。

]]>
赶紧自查,AMD和Intel CPU又曝新漏洞 Sun, 25 Sep 2022 04:45:26 +0800 近日,苏黎世联邦理工学院研究人员 Johannes Wikner 和 Kaveh Razavi发现了一个影响众多旧 AMD 和 Intel 微处理器的漏洞,该漏洞可能绕过当前的防御并导致基于 Spectre 的推测执行攻击。

漏洞编号为CVE-2022-29900 (AMD) 和 CVE-2022-29901 (Intel),安全人员将这些问题称为 Retbleed。在将该漏洞信息上报AMD和Intel后,这两大芯片巨头已经发布了相关的缓解措施,并督促用户进行安全更新。

Retbleed是利用分支目标注入来泄漏信息的推测执行攻击系列的新成员,我们称之为 Spectre-BTI(CVE-2017-5715 或 Spectre-V2)。该攻击利用推测执行优化技术的副作用,通过时序侧通道来欺骗程序访问其内存空间中的任意位置并泄漏私人信息。

推测执行试图通过预测接下来将执行哪条指令,来填充程序的指令流水线以获得性能提升,同时如果猜测结果错误,也会撤消执行结果。Spectre系列攻击正式利用了这一漏洞,这些错误执行的指令(错误预测的结果)必然会在缓存中留下执行痕迹,从而导致流氓程序可以欺骗处理器执行错误的代码路径,和推断与受害者有关的秘密数据。

换句话说,Spectre 是瞬态执行攻击的一个实例,它依靠硬件设计缺陷来“影响”哪些指令序列被推测执行,并从受害者的内存地址空间中泄露加密密钥或密码。虽然已经设计了像Retpoline(又名“return trampoline”)这样的保护措施来防止分支目标注入 (BTI),但 Retbleed 旨在绕过这种对策并实现推测性代码执行。

 AMD 和英特尔CPU 

安全人员称,Retpolines是通过替换间接跳转和返回调用来工作。Retbleed旨在劫持内核中的返回指令,以在内核上下文中获得任意推测性代码执行。通过在受害者返回指令处对寄存器和/或内存进行充分控制,攻击者可以泄漏任意内核数据。

简而言之,其核心逻辑是将返回指令视为用于推测执行的攻击向量,并强制将返回作为间接分支进行预测,从而有效地撤消 Retpoline 提供的保护。为了强化安全,AMD引入了所谓的Jmp2Ret,而英特尔则是使用增强的间接分支限制推测 ( eIBRS ) 来解决潜在的漏洞,即使 Retpoline 缓解措施。

英特尔在安全报告中强调,由于Windows 操作系统默认使用 IBRS,因此不受该漏洞的影响,自然也就不需要更新。目前英特尔与 Linux 社区合作,为该缺陷提供可用的软件更新。

]]>
遭受大规模DDOS 攻击,立陶宛能源公司业务被迫中断 Sun, 25 Sep 2022 04:45:26 +0800 近期,立陶宛能源公司Ignitis Group遭受了十年来最大的网络攻击,大量分布式拒绝服务 (DDoS) 攻击破坏了其数字服务和网站。随后,亲俄罗斯的黑客组织Killnet在其Telegram频道表示对此次攻击负责,这也是该组织在立陶宛发起的一系列攻击中的最新一次,原因是该国在与俄罗斯的战争中支持乌克兰。

7月9日,Ignitis Group在其Facebook上发布了一篇帖子,在帖子中,该企业表示,它已经能够管理和限制攻击对其系统的影响,并且没有记录任何违规行为。然而,该帖子还透露,针对其发动的DDoS攻击仍在进行中。 该国国防部副部长在立陶宛电台发表讲话时警告不要过度关注此类网络攻击。他认为,他们的主要目标是寻求媒体报道并推动该地区的紧张局势。在采访中,Margiris Abukevicius 表示,“我们需要了解,媒体报道是这些攻击的一个非常重要的部分。如果我们不谈论他们,对方就会失去动力。当我们谈论所谓的胜利,所谓的对立陶宛的惩罚时,它就会激励这些组织并且给他们带来攻击动力。”

自6月下旬立陶宛开始对运往波罗的海沿岸的俄罗斯飞地加里宁格勒的货物实施欧盟制裁以来,立陶宛的机构和企业遭受了广泛的网络攻击。Ignitis Group 是波罗的海国家最大的能源公司之一。 它在立陶宛、拉脱维亚、爱沙尼亚、波兰和芬兰开展业务,其核心业务包括发电和供热、电力和天然气贸易和分销。该集团的公司为大约160万商业和私人客户提供电力和天然气。

Ignitis Group 在新闻稿中表示,它正在与主管当局合作,并继续努力确保其网站和数字服务的可访问性。Ignitis Group业务负责人Edvinas Kerza说:“我们当前的首要任务是确保客户使用的集团网站和系统正常运行。工程完成后,我们将立即评估如何改进我们的流程并进一步加强系统,以便即使在如此大规模的攻击下,也能尽可能少地中断操作。”

]]>
联想超70款笔记本电脑被曝新型UEFI固件漏洞 Sun, 25 Sep 2022 04:45:26 +0800 据Bleeping Computer网站7月13日消息,由联想生产的超70款笔记本电脑正受三个 UEFI 固件缓冲区溢出漏洞的影响,这些漏洞能让攻击者劫持Windows系统并执行任意代码。

据悉,这三个漏洞由安全软件公司ESET的分析师发现,并已经将其报告给了联想。根据联想的披露,这三个中等严重级别的漏洞分别为CVE-2022-1890、CVE-2022-1891 和 CVE-2022-1892。其中第一个为联想部分笔记本产品使用的ReadyBootDxe驱动的问题,后两个是SystemLoadDefaultDxe驱动的缓冲区溢出漏洞,该驱动被用于Yoga、IdeaPad、Flex、ThinkBook、V14、V15、V130、Slim、S145、S540 和 S940 等70多款电脑型号。

ESET的分析师表示,这些漏洞是由于传递给 UEFI 运行时服务函数 GetVariable 的 DataSize 参数验证不充分引起,攻击者可以创建一个特制的 NVRAM 变量,导致第二个 GetVariable 调用中数据缓冲区的缓冲区溢出。

总体而言,利用UEFI 固件漏洞的攻击非常危险,能让攻击者在操作系统刚启动时运行恶意软件,甚至在 Windows 内置安全保护被激活之前,从而绕过或禁用操作系统级别的安全保护、逃避检测,并且即使在磁盘格式化后仍然存在。对于一些经验丰富的攻击者,能够利用这些漏洞执行任意代码,对设备系统产生难以预估的影响。

为了解决这一风险,官方建议受影响设备的用户通过官网下载适用于其产品的最新驱动程序版本。

]]>
遭勒索软件攻击,美190万条医疗记录被泄露 Sun, 25 Sep 2022 04:45:26 +0800 近日,美国一家收债员专业金融公司 (PFC) 报告了一起数据泄露事件,该事件影响了美650 家不同医疗提供商和191万患者的数据。这是一家总部位于科罗拉多州的为医疗保健公司追讨未偿债务的公司,该公司表示,未经授权的入侵者访问了个人数据,包括姓名、地址、欠款以及有关账户付款的信息,甚至一些用户的社会安全号码、出生日期、健康保险和医疗信息也被曝光。

该公司在2月26日就发现了勒索软件攻击,虽然它聘请了专家,并通知了执法部门,但直到5月初才通知医疗服务提供商。随后PFC在一份声明中承认了入侵者通过进入系统文件访问了某些包含个人信息的文件。虽然该声明没有披露受数据泄露影响的个人信息数量,但卫生与公众服务部 (DHHS) 网站上的一份清单显示,有1,918,841人受到了此次勒索攻击的影响。不过PFC表示正在联系可能受到此次勒索攻击影响的个人,并将为他们提供免费的信用监控。

目前该部门目前正在调查这起事件,这也是截至目前今年的第二大受网络攻击影响的医疗事件。而第一个是Shields Health Care Group在5月报告的200万条记录被泄露。据DHHS 称,那次攻击可能影响了近200万条记录。

安全公司Egnyte的网络安全宣传总监 Neil Jones 警告说:“尽管目前没有证据表明被泄露的信息已被恶意使用,但攻击者等待合适的时机将被泄露的数据发布到网络上的情况并不少见。” 根据HIPAA Journal本月早些时候从DHHS 办公室收集的数据,自2011年以来,医疗违规事件一直在稳步上升。2011年,超过500次的违规记录达到199家。去年,这一数字达到了714家。

]]>
PFC承认遭勒索软件攻击 191万患者信息被泄露 Sun, 25 Sep 2022 04:45:26 +0800 PFC(Professional Finance Company,Inc.)是一家总部位于美国科罗拉多州的债务催收公司,和“数千家”机构合作处理客户和病人的未付账单和未偿余额。在 7 月 1 日,官方发布新闻稿承认过去数月持续遭到勒索软件,最早可以追溯到今年 2 月。

PFC 虽然在美国的知名度并不高,但它服务于数百家美国医院和医疗机构,因此本次勒索攻击可能成为今年美国历史上最大规模的私人和健康信息泄露事件。

PFC 表示本次数据泄漏将影响 650 家医疗提供商,黑客获取了患者名称、家庭住址、尚未偿还的结算金额和其他金融信息。PFC 表示部分数据还涉及患者的出生日期、身份证号码、医疗保险、药物救治等信息。

在提交给美国卫生与公众服务部的文件中,PFC 确认本次勒索软件攻击至少影响了 191 万患者。至少两家采用 PFC 系统的医疗机构出现了数据泄露,位于美国 Delaware 的 Bayhealth Medical Center 有 17481 名患者数据泄漏,在 Texas 的 Bayhealth Medical Center 有 1159 名患者信息被泄漏。

包括 TechCrunch 在内的多家媒体尝试联系 PFC 的首席执行官 Michael Shoop,但是均未得到恢复。公司总顾问 Nick Prola 出面回答了诸多媒体的询问,但是回答都是公文化的,并拒绝回答媒体的指定问题。这些问题包括公司在今年 2 月就已发现,为何在过去 4 个月时间里并没有通知受到影响的医疗服务提供商,以及被窃取的数据是否经过加密。

]]>
RollingPWN漏洞曝光:黑客可远程解锁和启动多款本田车型 Sun, 25 Sep 2022 04:45:26 +0800 研究人员近日发现了一个高危漏洞,允许黑客远程解锁和启动多款本田(Honda)车型。目前本田旗下 10 款最受欢迎的车型均受到了影响。更糟糕的是,研究人员调查认为从 2012 到 2022 年发售的所有车型可能都存在这个漏洞。

这个漏洞被安全研究人员称之为“RollingPWN”,主要利用本田的无钥匙进入系统的一个组件。目前本田的进入系统依赖于滚动代码模型,每次所有者按下 fob 按钮时都会创建一个新的进入代码。

在新进入代码创建之后,理论上此前创建的代码应该弃用以防止重放攻击。不过研究人员 Kevin26000 和 Wesley Li 发现旧代码可以回滚并用于获取对车辆的不必要访问权限。

研究人员对 2012-2022 年发售的多款本田车型进行了测试,均发现了这个漏洞。目前经过测试,已经确认受到影响的车辆型号包括

Honda Civic 2012

Honda XR-V 2018

Honda CR-V 2020

Honda Accord 2020

Honda Odyssey 2020

Honda Inspire 2021

Honda Fit 2022

Honda Civic 2022

Honda VE-1 2022

Honda Breeze 2022

根据漏洞影响车型列表和成功测试情况,Kevin26000 和 Li 坚信该漏洞可能会影响所有本田汽车,而不仅仅是上面列出的前十个。

为漏洞提供修复可能与漏洞利用本身一样复杂。本田可以通过无线 (OTA) 固件更新修复该漏洞,但许多受影响的汽车不提供 OTA 支持。更大的潜在受影响车辆池使得召回情况不太可能发生。

目前,Kevin26000 和 Li 正怀疑该漏洞是否也存在于其他车企的车辆型号中。

]]>
万代南梦宫成勒索软件攻击对象 Sun, 25 Sep 2022 04:45:26 +0800 《艾尔登法环》发行商万代南梦宫成为勒索软件攻击对象。根据自称是互联网上最大的恶意软件源代码、样本和论文集的vx-underground,ALPHV勒索软件组织声称已经勒索了万代南梦宫。

vx-underground发推说:“ALPHV勒索软件组织(也称为BlackCat)称已经勒索了万代。万代是一家国际电子游戏发行商,旗下游戏系列有《皇牌空战》《黑暗之魂》《龙珠》《刀魂》以及更多。”

勒索软件是网络犯罪分子用来向受害者勒索金钱的一种恶意软件。犯罪者通常会通过加密受害者的文件并威胁说除非支付赎金,否则将公开释放这些文件,从而阻止受害者访问自己的数据。

《赛博朋克》《巫师》发行商CDPR去年也遭到了勒索软件攻击,据报道当时的勒索软件叫HelloKitty。CDPR被偷取的数据2021年6月泄露在网络上,包括《赛博朋克2077》《巫师3》的源代码,可能还有员工信息。

此外EA去年也遭到了勒索软件攻击,当时黑客偷取了《FIFA 21》和公司寒霜引擎的源代码。

]]>
WPS被曝删除用户文件 律师:不认为有正规企业会这么做 Sun, 25 Sep 2022 04:45:26 +0800 7月11日下午,有网友爆料称金山旗下办公软件WPS存在删除用户本地文档的情况,引发网络热议,不过金山及WPS官方都已经否认,指出这是讹传。

金山表示,“近期一位用户分享的在线文档链接,涉嫌违规,我们(WPS)依法禁止了他人访问该链接。此事被讹传为‘WPS删除用户本地文件’。关于删除用户本地文件的说法纯属误导,我们将保留通过法律途径维护合法利益的权利。”

WPS也通过官微表示,“删除用户本地文件”的说法属于讹传。近期一位用户分享的在线文档链接涉嫌违规,WPS依法禁止了他人访问该链接。

WPS作为一个发展了30多年的办公软件,始终把用户体验和保护用户隐私放在第一位。关于删除用户本地文件的说法纯属误导,我们将保留通过法律途径维护合法利益的权利。

不过爆料WPS删除用户文件的网友@“米兔只想赚钱”在界面新闻的采访中又表示自己从未说过本地文件被删,只是被封锁,无法打开。

WPS被曝删除用户文件 律师:不认为有正规企业会这么做

那WPS软件是否真的会删除用户文件呢?对于这件事,界面新闻报道称,上海申伦律师事务所夏海龙律师给出了他的看法。

夏律师表示,根据WPS的声明,他们只会审查用户上传到云平台的文档,而不会审查本地文件。假如WPS真的审查了用户的本地文档,很明显侵害了用户的隐私权,因为文档中一定有一些属于用户个人的、不想公开的信息内容,此外也有可能会侵犯用户的商业秘密。

夏律师表示,“我倾向于不会有正规软件企业去做这样的事,因为(不做的话则)WPS完全不需要对用户个人电脑中的内容承担任何法律义务和风险,这也属于明显突破网络服务业底线的事情。”

]]>
《安联智库-网安周报》2022-07-10 Sun, 25 Sep 2022 04:45:26 +0800

1、连锁酒店巨头万豪证实其发生又一起数据泄露事件

酒店集团万豪国际集团已经证实了另一起数据泄露事件,黑客们声称窃取了20GB的敏感数据--包括客人的信用卡信息。该事件首先由Databreaches.net报道,据说发生在6月,一个不知名的黑客组织宣称他们利用社会工程欺骗马里兰州一家万豪酒店的员工以让他们进入他们的电脑。
“万豪国际知道有一个威胁者利用社会工程骗取了一家万豪酒店的一名员工,以让他访问了该员工的电脑,”万豪发言人Melissa Froehlich Flood在一份声明中告诉TechCrunch,“(不过)该威胁者没有进入万豪的核心网络。”万豪表示,在威胁者联系公司进行敲诈之前,连锁酒店已经发现并正在调查这一事件,万豪表示它没有支付这笔钱。
声称对这次攻击负责的组织称,被盗的数据包括客人的信用卡信息及客人和员工的机密信息。提供给Databreaches.net的数据样本据称显示了从2022年1月开始的航空公司机组成员的预订记录和客人的姓名和其他细节以及用于预订的信用卡信息。
这并不是万豪第一次遭遇重大数据泄露事件。2014年,黑客入侵该连锁酒店并获取了全球近3.4亿条客人记录--这一事件直到2018年9月才被发现并导致英国信息专员办公室处以1440万英镑的罚款。2020年1月,万豪在一次单独的事件中再次被黑,该次事件影响了约520万名客人。
2、银行卡突然多出1.9万一看是贷款 央视提醒:新型诈骗需谨慎

天不会掉馅饼,而银行卡里可能真的会多出一笔钱!可相信这种好事,很容易就掉进了诈骗的陷阱里。据@央视网报道,近日,上海青浦区的李女士来到银行网点,要求给一个人账户转账19000元,原因是对方转错钱了,自己的卡上多了19000元,要还给对方。

出于职业本能,银行工作人员仔细查看了这笔钱的由来,发现是一笔贷款,并且贷款人的信息就是李女士本人!

不看不知道,一看吓一跳,于是银行工作人员决定立即报警。

警方了解到,原来李女士在网上购物后,接到“客服”电话,称多收了李女士的钱,要返还给她,于是获悉了李女士个人的身份信息,包括银行卡号和身份证号。诈骗人员进而利用李女士的个人信息,在相关软件上办理的贷款,等钱到账后,便联系到李女士,谎称打错了,要求其退还,进而将李女士本身的钱骗走。

好在银行工作人员发现了不对,并及时报警,李女士才没被诈骗,目前该案正在进行进一步调查中。最后提醒大家,保护好个人身份及银行卡信息,接到类似的退款电话时一定要多留个心眼,谨防这种诈骗行为。

3、因员工将密码设为“123456”,AMD 被盗 450Gb 数据?

现实告诉我们,很多情况下生活会比段子还离谱得多:因员工将密码设成“123456”,导致公司泄露了 450Gb 数据——这一听起来就很“离奇”的事情,居然真实发生在了芯片巨头 AMD 的身上。

据 RansomHouse 表示,早在 2022 年 1 月它就已成功入侵 AMD 的内部网络,窃取了“超过 450 Gb”的数据。为此,RansomHouse 还发布了一个数据样本作为证据,其中包括网络文件、系统信息和弱密码文档:

RansomHouse 在其网站上写道:“这是一个高科技、进步和高度安全的时代,这句话对人们来说意义重大。但是当像 AMD 这样的科技巨头使用简单密码,如用‘password’来保护其网络不被入侵时,这句话似乎仍只停留在表面的美丽。很遗憾的是,这就是 AMD 员工使用的真实密码,对 AMD 安全部门来说更是丢脸,由于我们窃取的文件,他们还得到了一大笔建设资金——这一切都归功于这些弱密码。”

AMD根据此事件进行了回应:“AMD 知道有不法分子声称拥有从 AMD 窃取的数据,目前正在进行调查。”但有关是否被要求交付赎金、哪些系统已成为目标、客户数据是否被访问、是否设置了密码安全措施等提问,AMD 一律拒绝回答。

4、日本突发大规模通信故障!影响近4000万人

据央视报道,7月2日凌晨起,日本第二大移动运营商KDDI因设备问题突发通信故障,影响全国近4000万用户。

故障发生后,KDDI用户的手机均显示没有信号,无法接打通话,手机上网也时好时坏。日本消防厅等有关部门呼吁,受影响用户可使用固定电话或公用电话求助,而KDDI门店一度涌入了大量求助用户。

同时,日本全国约1300个气象观测点有接近四成瘫痪,在台风逐渐逼近的情况下引发不小恐慌。此外,部分银行自动取款机、公交乘车卡、丰田等车企部分车联网服务,也都无法使用;铁路货运物流信息系统更新迟滞,快递普遍延误。

一直到7月3日中午12时左右,故障才得到解决,持续超过36个小时,而且通信量依然限流,全面恢复时间待定。

KDDI是日本第二大移动运营商,旗下手机用户约3100万人,再加上租用其线路的其他运营商,这次故障影响的用户数量最多3915万人。去年10月,日本最大移动运营商NTT也曾发生通信故障,大约100万人受到影响,持续长达29个小时。

]]>
5G容易遭受对抗性攻击:可拖慢手机网速甚至断网 Sun, 25 Sep 2022 04:45:26 +0800 7月8日消息,本周发表的一篇研究论文,对5G网络的安全保护能力提出了质疑。

位于欧洲中部的列支敦士登大学的学术研究人员称,只需利用一种极为简单的网络干扰策略,恶意黑客就能在毫不知晓内部情况的情况下破坏5G网络的流量,即便对方部署了先进防御措施。该研究团队称,攻击的关键在于使用对抗性机器学习(ML)技术,这类技术不依赖于任何先验知识或对目标网络的前期侦察。

在7月4日发表的研究论文中,该团队描述了新一代5G网络可能面临的一类全新对抗性机器学习攻击。这篇论文题为《荒野网络:5G网络基础设施面临对抗性实例》,由Giovanni Apruzzese、Rodion Vladimirov、Aliya Tastemirova和Pavel Laskov共同撰写。

随着5G网络技术的部署,越来越多设备借此进行流量传输,过去传统的网络数据包管理方法不再适用。研究人员指出,为了解决这个问题,不少电信运营商开始利用机器学习模型,对流量进行分类和优先级排序。

事实证明,这些机器学习模型正是5G网络体系中的软肋。只要混淆这些模型并重新调整其优先级排序,恶意黑客即可实现流量篡改。研究人员提到,通过利用垃圾流量淹没网络,这种名为“近视攻击”可以“拿下”5G移动设备。

研究人员写道,这种攻击方式的基本思路是对数据集做出轻微篡改。通过执行一系列简单操作,如附有额外数据的数据包请求等,机器学习模型将会获得预期之外的信息。随着时间推移,这些有毒请求将逐步改变机器学习软件的行为、阻止合法网络流量,并最终拖慢甚至中止数据流传输。

虽然这一攻击手段的真实效果,具体取决于5G网络类型以及实际部署的机器学习模型,但研究人员的实验室测试提供了令人心忧的结果。在6次实验测试中,他们在没有运营商、基础设施或机器学习知识的情况下成功了5次。

Apruzzese在采访中表示,“只需将垃圾数据附加至网络数据包中,即可轻松实现攻击。事实上,其中一次测试甚至证明,即使网络数据包的有效载荷与目标ML模型毫无关系,攻击也能获得成功。”

从长期来看,这种攻击手段造成的影响相对没那么恶劣。但由此引发的服务中断和网络传输减缓,还是会给那些希望使用5G网络的用户带来困扰。

研究团队解释道,这项研究的最大意义,在于提醒人们必须找到一套更加强大的模型,用于测试和解决未来5G网络内实际部署的机器学习模型中的种种漏洞。

研究团队写道,“5G范式催生出一类新的有害对抗性ML攻击。这类攻击的准入门槛较低,而且现有对抗性ML威胁模型无法对其做出定性。此外,这也提醒我们必须对这类漏洞做出主动评估。”

一段时间以来,对抗性机器学习与人工智能(AI)一直是信息安全社区的关注重点。虽然人们认为野外出现的真实攻击数量极少,但已经有多位专家警告称,算法模型可能极易受到有毒数据的影响,最终被恶意黑客玩弄于股掌之间。

]]>
API安全形势严峻:38万台K8s API服务器暴露在公网 Sun, 25 Sep 2022 04:45:26 +0800 Shadowserver Foundation的研究人员发现,超过38万台开放Kubernetes API服务器暴露在互联网上,占全球可观测在线Kubernetes API实例的84%。

研究是通过HTTP GET请求在IPv4基础设施上进行的。研究人员没有进行任何侵入性检查来精确衡量这些服务器所呈现的暴露程度,但研究结果表明,Kubernetes API服务器领域可能存在普遍性问题。

“虽然并不意味着这些实例完全开放或容易受到攻击,但这种访问级别很可能并非有意设置,这些实例是不必要暴露的攻击面。”Shadowserver在报告中称,“甚至还暴露了版本和构建信息。”

最密集的暴露API服务器集群位于美国,大约存在20.1万个开放API实例,占全部所发现开放服务器的53%。

围绕API安全问题的研究越来越多,这份报告提供了又一证据,表明很多组织都没有准备好防范、响应潜在API攻击,甚至都不了解此类攻击。

API安全事件所致数据泄露

根据Salt Security最近发布的《2022年API安全状态》报告,大约34%的组织完全没有API安全策略,另有27%的组织表示只制定了基本策略,仅包括最低限度的API 安全状态扫描和人工审查,毫无控制或管理措施。Noname Security委托451 Research开展的另一项研究发现,41%的组织在过去12个月内经历过API安全事件。其中,63%涉及数据泄露或遗失。

现代应用程序和云基础设施中,潜在API攻击面的范围十分巨大。根据451 Research的研究,大型企业平均有超过2.5万个API连接其基础设施,或在其基础设施中运行。而且这个数字注定还会继续增长。Gartner最近发布的2022年预测文档中,分析师表示,“由于API的爆炸性增长超过了API管理工具的管控能力”,三年后能够得到合理管控的企业API数量将不足50%。

Shadowserver发现的Kubernetes服务器暴露情况,反映出当今云安全领域中存在一个特别严重的问题。API往往是云基础设施管理中最弱的一环,因为它们往往位于控制平面核心位置,而控制平面负责处理云基础设施和应用程序的配置。

“所有云数据泄露都遵循相同的模式:控制平面损坏。控制平面是配置和运营云的API界面。API是云计算的主要驱动力,可将其视为‘软件中间人’,可供不同应用程序相互交互。”Snyk首席架构师兼Fugue(最近被Snyk收购)创始人Josh Stella解释道,“API控制平面是用于配置和操作云的API集合。但很遗憾,安全行业仍然落后于黑客,许多供应商解决方案并不能保护他们的客户免受针对云控制平面的攻击。”

在预测报告中,Gartner分析师认为,新兴的云和应用程序架构是现代应用程序开发持续交付模式的核心,而不断涌现的新建API是这一新兴架构不可或缺的一部分。

“这种情况类似早期的基础设施即服务(IaaS)部署,因为不受监管的API使用一路飙升。随着架构和运营技术的不断成熟,安全控制试图在新问题上应用旧范式。”Gartner表示,“这些控制措施可以作为临时解决方案,但安全控制和实践需要很长时间才能赶上新的架构范式。”

]]>
因员工将密码设为“123456”,AMD 被盗 450Gb 数据?;NPM 供应链攻击影响数百个网站和应用程序 Sun, 25 Sep 2022 04:45:26 +0800 现实告诉我们,很多情况下生活会比段子还离谱得多:因员工将密码设成“123456”,导致公司泄露了 450Gb 数据——这一听起来就很“离奇”的事情,居然真实发生在了芯片巨头 AMD 的身上。

上周,一个名为 RansomHouse 的勒索组织声称,已从 AMD 窃取了 450Gb 数据,而一切都要“归功于 AMD 员工设置的弱密码”。

一、不是“勒索软件组织”,而是“专业调解员”

RansomHouse 最早于 2021 年 12 月开始活跃,当时它泄露了加拿大萨斯喀彻温省酒类和博彩管理局(SLGA)的数据,由此“一炮而红”。

与其他网络犯罪组织相比,RansomHouse 有些“特别”。它并不认为自己是一个“勒索软件组织”,反而将自己定义为“专业调解员”,还表示从未生产过勒索软件或加密数据:

我们与任何违规行为无关,也不生产或使用任何勒索软件。我们的主要目标是尽量减少相关方可能遭受的损害。RansomHouse 成员更喜欢常识、良好的冲突管理和明智的谈判,以努力实现各方义务的履行,而不是无建设性的争论。这些都是促成友好协议、甚至是富有成效的友好合作所必需的必要和充分原则。

尽管这番自我介绍再怎么“清新脱俗”,RansomHouse 入侵公司窃取数据的行为仍一桩接着一桩:前脚刚声称从非洲最大零售商 Shoprite 获得了 600 GB 数据,后脚还有心情为公开下一个已入侵公司,在 Telegram 上发布谜语:

我们准备了一个新的惊喜!首先,有一个小谜题给你:第一个解开它的人将会得到相关链接。那么,请说出这个公司的名字:

1)几乎每个人都知道

2)名称由 3 个字母组成

3)第一个字母是 A

只要在这个频道写下你的猜测,之后你就可以在私人邮件中获得链接。随后在一周之后,RansomHouse 公布了答案:AMD,并补充道“你将十分惊讶于他们如何保护其安全性”。

二、“一切都归功于这些密码”

据 RansomHouse 表示,早在 2022 年 1 月它就已成功入侵 AMD 的内部网络,窃取了“超过 450 Gb”的数据。为此,RansomHouse 还发布了一个数据样本作为证据,其中包括网络文件、系统信息和弱密码文档:

RansomHouse 在其网站上写道:“这是一个高科技、进步和高度安全的时代,这句话对人们来说意义重大。但是当像 AMD 这样的科技巨头使用简单密码,如用‘password’来保护其网络不被入侵时,这句话似乎仍只停留在表面的美丽。很遗憾的是,这就是 AMD 员工使用的真实密码,对 AMD 安全部门来说更是丢脸,由于我们窃取的文件,他们还得到了一大笔建设资金——这一切都归功于这些弱密码。”

原以为 RansomHouse 的说法不过是“夸大其词”,但根据 TechCrunch 对其公开数据样本的分析结果表明,RansomHouse 并不是在开玩笑:部分 AMD 员工使用的密码的确过于简单,如 “password”、“123456”和“Welcome1”等等——对黑客来说,入侵 AMD 内部系统简直易如反掌。

但这也更令人迷惑:AMD 这么偌大一个芯片巨头,居然没有对其系统进行任何安全检查以确保员工使用强密码?或者说,进入 AMD 内部系统竟无需其他步骤,仅需一个密码即可?

“AMD 和任何高科技公司都应该要求对所有登录进行抗网络钓鱼的多因素认证。如果不能使用 MFA,也该要求强大独特的密码。”一位来自安全意识培训平台 KnowBe4 的专家 Roger Grimes 表示:“讽刺的是,AMD 员工还在使用像’password’这样的密码来访问关键网络,这真的无法理解。”

三、AMD:目前正在进行调查

在 RansomHouse 宣告“谜底”的当天,AMD 进行了回应:“AMD 知道有不法分子声称拥有从 AMD 窃取的数据,目前正在进行调查。”但有关是否被要求交付赎金、哪些系统已成为目标、客户数据是否被访问、是否设置了密码安全措施等提问,AMD 一律拒绝回答。

反观 RansomHouse 主页的“受害者”名单,加上 AMD 之后已有六名,最近的两名即为 Shoprite 和 AMD:

此外,从 RansomHouse 对这份名单的描述来看,其窃取数据的主要目的是为了钱:“这些公司要么认为他们的经济利益高于将数据委托给其他人的利益,要么就是选择隐瞒他们的数据已被泄露的事实。”

不过据 BleepingComputer 报道,RansomHouse 没有直接联系 AMD 索要赎金,而是打算将数据出售给其他实体或其竞争对手,因为这将“更有价值”。

最后,你对 AMD 因员工的弱密码导致数据泄露的事件有何看法?NPM 供应链攻击影响数百个网站和应用程序

]]>
银行卡突然多出1.9万一看是贷款 央视提醒:新型诈骗需谨慎 Sun, 25 Sep 2022 04:45:26 +0800 天上不会掉馅饼,而银行卡里可能真的会多出一笔钱!可相信这种好事,很容易就掉进了诈骗的陷阱里。据@央视网报道,近日,上海青浦区的李女士来到银行网点,要求给一个人账户转账19000元,原因是对方转错钱了,自己的卡上多了19000元,要还给对方。

出于职业本能,银行工作人员仔细查看了这笔钱的由来,发现是一笔贷款,并且贷款人的信息就是李女士本人!

不看不知道,一看吓一跳,于是银行工作人员决定立即报警。

警方了解到,原来李女士在网上购物后,接到“客服”电话,称多收了李女士的钱,要返还给她,于是获悉了李女士个人的身份信息,包括银行卡号和身份证号。

诈骗人员进而利用李女士的个人信息,在相关软件上办理的贷款,等钱到账后,便联系到李女士,谎称打错了,要求其退还,进而将李女士本身的钱骗走。

]]>
连锁酒店巨头万豪证实其发生又一起数据泄露事件 Sun, 25 Sep 2022 04:45:26 +0800 酒店集团万豪国际集团已经证实了另一起数据泄露事件,黑客们声称窃取了20GB的敏感数据--包括客人的信用卡信息。该事件首先由Databreaches.net报道,据说发生在6月,一个不知名的黑客组织宣称他们利用社会工程欺骗马里兰州一家万豪酒店的员工以让他们进入他们的电脑。

“万豪国际知道有一个威胁者利用社会工程骗取了一家万豪酒店的一名员工,以让他访问了该员工的电脑,”万豪发言人Melissa Froehlich Flood在一份声明中告诉TechCrunch,“(不过)该威胁者没有进入万豪的核心网络。”

万豪表示,在威胁者联系公司进行敲诈之前,连锁酒店已经发现并正在调查这一事件,万豪表示它没有支付这笔钱。

声称对这次攻击负责的组织称,被盗的数据包括客人的信用卡信息及客人和员工的机密信息。提供给Databreaches.net的数据样本据称显示了从2022年1月开始的航空公司机组成员的预订记录和客人的姓名和其他细节以及用于预订的信用卡信息。

然而,万豪酒店告诉TechCrunch,其调查确定,被访问的数据主要包含有关酒店运营的非敏感内部业务文件。

该公司表示,它正在准备通知300-400人有关这一事件并已通知相关执法机构。

这并不是万豪第一次遭遇重大数据泄露事件。2014年,黑客入侵该连锁酒店并获取了全球近3.4亿条客人记录--这一事件直到2018年9月才被发现并导致英国信息专员办公室处以1440万英镑的罚款。2020年1月,万豪在一次单独的事件中再次被黑,该次事件影响了约520万名客人。

TechCrunch询问万豪有哪些网络安全保护措施来防止此类事件的发生,但这家公司拒绝回答。

]]>
日本突发大规模通信故障!影响近4000万人 Sun, 25 Sep 2022 04:45:26 +0800 据央视报道,7月2日凌晨起,日本第二大移动运营商KDDI因设备问题突发通信故障,影响全国近4000万用户。

故障发生后,KDDI用户的手机均显示没有信号,无法接打通话,手机上网也时好时坏。

日本消防厅等有关部门呼吁,受影响用户可使用固定电话或公用电话求助,而KDDI门店一度涌入了大量求助用户。

同时,日本全国约1300个气象观测点有接近四成瘫痪,在台风逐渐逼近的情况下引发不小恐慌。

此外,部分银行自动取款机、公交乘车卡、丰田等车企部分车联网服务,也都无法使用;铁路货运物流信息系统更新迟滞,快递普遍延误。

一直到7月3日中午12时左右,故障才得到解决,持续超过36个小时,而且通信量依然限流,全面恢复时间待定。

日本总务大臣表示,本次通信故障已经构成了日本电信相关法规认定的重大事故。

KDDI是日本第二大移动运营商,旗下手机用户约3100万人,再加上租用其线路的其他运营商,这次故障影响的用户数量最多3915万人。

去年10月,日本最大移动运营商NTT也曾发生通信故障,大约100万人受到影响,持续长达29个小时。

]]>
《安联智库-网安周报》2022-07-03 Sun, 25 Sep 2022 04:45:26 +0800

1、漏洞预警!!GitLab 曝出远程代码执行漏洞

2022年7月1日,OSCS 监测到 GitLab 曝出远程代码执行漏洞。该漏洞等级较为严重,CVE 编号为 CVE-2022-2185。
GitLab 中授权用户可以导入恶意制作的项目导致远程代码执行,攻击者可利用该漏洞执行任意远程代码,OSCS 建议各位开发者关注漏洞风险。
GitLab 是美国 GitLab 公司的一款使用 Ruby on Rails 开发的、自托管的、Git(版本控制系统)项目仓库应用程序,开发者可通过 Web 界面访问公开或私人项目。
2、网络攻击迫使挪威主要政务网站瘫痪数小时

7月1日消息,挪威当局在周三(6月29日)表示,过去24小时以来,一次网络攻击暂时瘫痪了挪威国内各公共与私营网站。

挪威国家安全局指出,此次分布式拒绝服务(DDoS)攻击目标是一个安全的国家数据网络,导致在线服务停摆数小时。

国家安全局负责人Sofie Nystrøm称,某个亲俄网络犯罪团伙很可能就是此次攻击的幕后黑手。她补充说,这次攻击“也让我们感受到,挪威已经身陷欧洲当前复杂的政治局势当中。”

就在挪威遇袭的两天前,类似的攻击也曾摧毁立陶宛的公共与私营网站。一周前,立陶宛遵照欧盟指示,限制通过该国向俄罗斯领土飞地加里宁格勒运送钢铁与黑色金属,俄罗斯官员表示将进行回应。据报道,一个亲俄黑客团伙已经宣称对此次事件负责。

3、让"雪糕刺客"无路可走 这七种行为被禁止

这个夏季,“雪糕刺客”一词火了起来。雪糕刺客”是什么梗?随手拿起的一根小雪糕,却会在结账时给你的钱包刺上一剑!“平平无奇的外表,令人心梗的价格”“这种雪糕最解暑,还没拆开已经心凉”……

7月起雪糕刺客或将无处遁行

市场监管总局发布的《明码标价和禁止价格欺诈规定》7月1日起施行。《规定》明确了经营者不得实施的七种典型价格欺诈行为,包括谎称商品和服务价格为政府定价或者政府指导价;

以低价诱骗消费者或者其他经营者,以高价进行结算;通过虚假折价、减价或者价格比较等方式销售商品或者提供服务;

销售商品或者提供服务时,使用欺骗性、误导性的语言、文字、数字、图片或者视频等标示价格以及其他价格信息;无正当理由拒绝履行或者不完全履行价格承诺;

不标示或者显著弱化标示对消费者或者其他经营者不利的价格条件,诱骗消费者或者其他经营者与其进行交易;通过积分、礼券、兑换券、代金券等折抵价款时,拒不按约定折抵价款。

《明码标价和禁止价格欺诈规定》还明确了网络交易经营者不得实施的行为,包括在首页或者其他显著位置标示的商品或者服务价格低于在详情页面标示的价格;

公布的促销活动范围、规则与实际促销活动范围、规则不一致;其他虚假的或者使人误解的价格标示和价格促销行为等。

4、亚马逊曝严重漏洞,可直接访问相册

近期,Checkmarx的网络安全研究人员发现了一个影响安卓上的Amazon Photos 应用程序严重漏洞,如果该漏洞被行为威胁者利用的话,就可能导致被安装在手机上的恶意应用程序窃取用户的亚马逊访问令牌。

从技术角度来看,当各种Amazon应用程序接口(API)对用户进行身份验证时,就需要Amazon访问令牌,其中一些接口在攻击期间可能会暴露用户的个人身份信息(PII)。其他一些应用程序接口,像Amazon Drive API,可能允许威胁参与者获得对用户文件的完全访问权限。

根据Checkmarx的说法,该漏洞源于照片应用程序组件之一的错误配置,这将允许外部应用程序访问它。每当启动此应用时,它会触发一个带有客户访问令牌的HTTP请求,而接收该请求的服务器就能被其控制。

研究人员表示,在掌握这一点后,安装在受害者手机上的恶意应用程序可能会发送一个指令,并发送请求到攻击者控制的服务器上。当攻击者有足够的操作空间,勒索软件就很容易成为可能的攻击载体,恶意操作人员可以读取、加密和重写客户的文件,同时还能删除他们的历史记录。

目前,亚马逊已经确认并修复了其安卓照片应用程序中的一个漏洞,但该应用程序在 Google Play 商店的下载量已超过 5000 万次。


]]>
网络攻击迫使挪威主要政务网站瘫痪数小时 Sun, 25 Sep 2022 04:45:26 +0800 7月1日消息,挪威当局在周三(6月29日)表示,过去24小时以来,一次网络攻击暂时瘫痪了挪威国内各公共与私营网站。

挪威首相乔纳斯·加尔·斯托尔(Jonas Gahr Støre)表示,据他所知,此次攻击“并未造成任何重大损失”。

挪威国家安全局指出,此次分布式拒绝服务(DDoS)攻击目标是一个安全的国家数据网络,导致在线服务停摆数小时。

国家安全局负责人Sofie Nystrøm称,某个亲俄网络犯罪团伙很可能就是此次攻击的幕后黑手。她补充说,这次攻击“也让我们感受到,挪威已经身陷欧洲当前复杂的政治局势当中。”

据挪威媒体报道,该国外交部已于本周三传唤驻莫斯科大使,原因是俄罗斯抱怨供应品无法通过挪威转运至北极地区的巴伦支堡煤矿定居点。

巴伦支堡定居点位于挪威大陆以北800多公里的斯瓦尔巴群岛。由于俄乌战争爆发,欧盟开始对多种俄罗斯商品实施制裁。挪威虽然不是欧盟成员,但在大部分事务上仍遵循欧盟立场。根据1920年签署的条约,挪威对斯瓦尔巴群岛拥有主权,但其他签署国同样有权开发其自然资源。

就在挪威遇袭的两天前,类似的攻击也曾摧毁立陶宛的公共与私营网站。

一周前,立陶宛遵照欧盟指示,限制通过该国向俄罗斯领土飞地加里宁格勒运送钢铁与黑色金属,俄罗斯官员表示将进行回应。据报道,一个亲俄黑客团伙已经宣称对此次事件负责。

]]>
漏洞预警!!GitLab 曝出远程代码执行漏洞 Sun, 25 Sep 2022 04:45:26 +0800 0x01   漏洞简述

2022 年 7 月 1 日,OSCS 监测到 GitLab 曝出远程代码执行漏洞。该漏洞等级较为严重,CVE 编号为 CVE-2022-2185。

GitLab 中授权用户可以导入恶意制作的项目导致远程代码执行,攻击者可利用该漏洞执行任意远程代码,OSCS 建议各位开发者关注漏洞风险。

GitLab 是美国 GitLab 公司的一款使用 Ruby on Rails 开发的、自托管的、Git(版本控制系统)项目仓库应用程序,开发者可通过 Web 界面访问公开或私人项目。

0x02   风险等级

360CERT对该漏洞的评定结果如下

评定方式 等级

威胁等级 严重

影响面 广泛

攻击者价值

利用难度

360CERT评分 9.9

0x03   漏洞详情

CVE-2022-2185: GitLab远程代码执行漏洞

CVE: CVE-2022-2185

组件: GitLab

漏洞类型: 代码执行

影响: 服务器接管

简述: 该漏洞存在于GitLab社区版(CE)和企业版(EE)中,授权用户可以导入恶意制作的项目导致远程代码执行。

0x04   影响版本

组件 影响版本 安全版本

GitLab CE/EE <14.0版本 14.10.5

GitLab CE/EE <15.0版本 15.0.4

GitLab CE/EE <15.1版本 15.1.1

0x05   修复建议

根据影响版本中的信息,排查并升级到安全版本。

0x06   产品侧解决方案

若想了解更多产品信息或有相关业务需求,可移步至http://360.net。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人获取对应产品。

360安全卫士团队版

用户可以通过安装360安全卫士并进行全盘杀毒来维护计算机安全。360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

0x07   时间线

2022-06-30 Gitlab官方发布通告

2022-07-01 360CERT发布通告

]]>
离谱!!窃取 450G 的 AMD 内部数据,只用了 5 分钟? Sun, 25 Sep 2022 04:45:26 +0800 每次听说黑客入侵科技公司并窃取数百GB的内部数据,都会下意识地惊讶于黑客的技术也在与时俱进。

使用常用密码对网络发起攻击以获取访问权限,这对于黑客而言并称不上什么高科技。但是这次情况却有所不同。

一般来说,公司员工登录公司系统都有自己的账号密码上吧,问题就出现在这些登录密码上。

AMD 只使用了" 简单的密码来保护其网络。在这样一个科技发达的时代,即使像 AMD 这样的科技巨头也只是使用一些简单密码,而且这些密码确实是 AMD 员工正在使用的,对此我们感到很遗憾,但对 AMD 安全部门来说会更丢脸,毕竟他们还因为数据泄露得到了一笔建设资金。"

这个犯罪团伙声称,他们只是多试了几次员工密码,就轻松地登进了 AMD 系统,轻松窃取了450GB的数据,其中包括 " 网络文件、系统信息以及 AMD 密码 "。

根据Restore Privacy报告,犯罪集团表示,他们已将部分数据发布到“泄露网站”,并利用该网站刺激受害者为被盗信息支付赎金。

关键网络访问密码是‘ password ’,离谱?!

这个名叫 RansomHouse 的黑客组织表示,早在 1 月的时候,就已经入侵并窃取了 AMD 的数据,为了证明所言属实,该组织发布了一个数据样本作为证据。

被盗数据包括一些研究数据和财务信息,RansomHouse表示正在对这些数据进行分析,以确定其价值。除了据称从AMD的Windows域收集的一些包含信息的文件外,威胁行为者没有提供任何证据来证明这些被盗数据。这些数据包括一份泄露的CSV文件,其中包含7万多台设备,似乎属于AMD的内部网络,以及一份所谓的AMD公司用户凭据清单,其中包括弱密码,如“password”,“P@ssw0rd”,“AMD !”23日”和“Welcome1。”

Restore Privacy 也收到 RansomHouse 的提示,AMD 数据样本已经在该组织的网站上泄露:

为了使整个过程更“有趣”。6月20日,该组织在Telegram 中宣布,它入侵了一家大公司,并以竞赛的形式猜谜,看是否有人能猜对:

一直到6月28日,AMD才发表声明称,该公司已经知道一些罪犯声称从amd窃取了数据,该公司目前正在调查这一情况。

“具有讽刺意味的是,AMD员工仍然使用‘password’作为关键网络访问的密码,”Gurucul 补充道。“在拥有熟练安全工程师的公司里,这种情况是如何发生的?坦率地说,这是不可理解的。是时候更改所有密码并清理安全控制了。真的,是时候了。”

不是黑客,是" 专业调解员 "

RansomHouse 于 2021 年 12 月开始运营,它的首个目标是萨斯喀彻温省酒类和博彩管理局 ( SLGA ) 。

本月早些时候,RansomHouse因泄露非洲最大零售连锁店shoprite的数据而臭名昭著。

现在,AMD已正式成为新的受害者。Ransomhouse的黑暗网站列出了来自世界各地的六名受害者。Ransomhouse对这些受害者的描述如下:这些公司要么认为他们的经济利益大于将其数据委托给其合作伙伴/个人的利益,要么选择隐瞒他们被泄露的事实。

与其他网络犯罪组织相比,他们并不声称是一个“勒索软件”组织。他们一直称自己为" 专业调解员社区 "。

此外,该组织还表示,他们没有生产勒索软件或加密数据,这与其他臭名昭著的勒索软件组织有很大不同。勒索主页网站还写道:我们与任何违规行为无关,也不生产或使用任何勒索软件。我们的主要目标是尽量减少对相关方可能造成的损害。

但此前也曝出了一份有关勒索软件的说明,上面清楚地表明他们与勒索软件组织有关。

对于本次事件的更新进展,以及 RansomHouse 的后续计划,我们也将持续关注。

]]>
亚马逊曝严重漏洞,可直接访问相册 Sun, 25 Sep 2022 04:45:26 +0800 近期,Checkmarx的网络安全研究人员发现了一个影响安卓上的Amazon Photos 应用程序严重漏洞,如果该漏洞被行为威胁者利用的话,就可能导致被安装在手机上的恶意应用程序窃取用户的亚马逊访问令牌。

从技术角度来看,当各种Amazon应用程序接口(API)对用户进行身份验证时,就需要Amazon访问令牌,其中一些接口在攻击期间可能会暴露用户的个人身份信息(PII)。其他一些应用程序接口,像Amazon Drive API,可能允许威胁参与者获得对用户文件的完全访问权限。

根据Checkmarx的说法,该漏洞源于照片应用程序组件之一的错误配置,这将允许外部应用程序访问它。每当启动此应用时,它会触发一个带有客户访问令牌的HTTP请求,而接收该请求的服务器就能被其控制。

研究人员表示,在掌握这一点后,安装在受害者手机上的恶意应用程序可能会发送一个指令,并发送请求到攻击者控制的服务器上。当攻击者有足够的操作空间,勒索软件就很容易成为可能的攻击载体,恶意操作人员可以读取、加密和重写客户的文件,同时还能删除他们的历史记录。

目前,亚马逊已经确认并修复了其安卓照片应用程序中的一个漏洞,但该应用程序在 Google Play 商店的下载量已超过 5000 万次。

]]>
广西桂林查处多起不履行网络安全保护义务案 Sun, 25 Sep 2022 04:45:26 +0800 为强化对侵犯公民个人信息类违法行为的打击力度,铲除网络犯罪滋生土壤,全面提升人民群众网上安全感、获得感、幸福感,广西桂林公安局网络安全保卫支队开展打击“侵公”违法行为专项行动,严厉查处网络运营者不履行网络安全保护义务的违法行为。

今年3月,网安部门前往广西某实业集团有限公司进行网络安全检查时发现,该公司使用“某优品APP”向用户提供购物优惠信息。

该APP在未向用户明示的情况下获取了手机精准定位、存储空间、电话、相机、麦克风等8项权限,并收集相关用户信息。

民警通过调取APP客户端与服务器端交互数据发现,该APP在未向用户明示的情况已经采集了2万余人的身份证信息和手机号码、IMEI号等个人信息且上述数据未经过加密存储处理。

网安部门依据《中华人民共和国网络安全法》对其作出警告的行政处罚,并责令限期整改。

今年4月,网安部门前往桂林某网络有限责任公司进行网络安全检查时发现:

该公司为荔浦市某单位开发的某APP,在未取得用户同意的情况下获取了手机精准定位、存储空间、电话、相机、通信录等7项权限,并收集用户注册信息4万余条,且数据未经过加密存储处理。

针对该网络公司超范围收集公民个人信息的和不履行网络安全义务的违法行为,网安部门依据《中华人民共和国网络安全法》对其做出警告的行政处罚,并责令限期整改。

今年4月,网安部门前往桂林某网络科技有限公司进行网络安全检查时发现:

该公司开发使用的某接亲婚庆APP,收集用户注册信息13万余条,存储了用户车辆注册信息和驾驶人员信息5万余条,且数据未经过加密存储处理,该公司未落实网络安全责任,未明确网络安全负责人,未落实网络安全等级保护制度,未采用相关网络安全防护技术措施。

针对该网络公司超范围收集公民个人信息的和不履行网络安全义务的违法行为,网安部门依据《中华人民共和国网络安全法》对其做出警告的行政处罚,并责令限期整改。

休闲娱乐APP实例

今年4月,网安部门前往桂林某网络科技有限公司进行网络安全检查时发现:

该公司开发使用的某影音类APP,在未取得用户同意的情况下获取了手机位置信息、存储空间、录音、电话、相机、麦克风等8项权限,该APP后台存储了用户手机号码信息3万余条,且数据未经过加密存储处理,该公司未落实网络安全责任,未明确网络安全负责人,未落实网络安全等级保护制度,未采用相关网络安全防护技术措施。

针对该网络公司超范围收集公民个人信息的和不履行网络安全义务的违法行为,网安部门依据《中华人民共和国网络安全法》对其做出警告的行政处罚,并责令限期整改。

网警提醒

对公民个人信息的收集、使用、保存都必须符合《网络安全法》等相关法律法规要求。

违反相关规定,将被处以警告、没收违法所得,罚款等行政处罚,情节严重的,将被处以暂停相关业务、停业整顿、关闭网站、吊销许可证或营业执照等处罚。

公民个人信息受法律保护,任何侵犯公民个人信息的违法犯罪行为,必将受到法律的制裁。

相关单位要加强内部人员管理,防止公民信息从内部泄露,同时加强网络安全保护,防止黑客入侵造成信息泄露!

公安机关将继续大力加强网络生态治理,打击和震慑“侵公”违法行为,全力维护网络空间安全。

]]>
让\"雪糕刺客\"无路可走 这七种行为被禁止 Sun, 25 Sep 2022 04:45:26 +0800 这个夏季,“雪糕刺客”一词火了起来。雪糕刺客”是什么梗?随手拿起的一根小雪糕,却会在结账时给你的钱包刺上一剑!“平平无奇的外表,令人心梗的价格”“这种雪糕最解暑,还没拆开已经心凉”……

7月起雪糕刺客或将无处遁行

市场监管总局发布的《明码标价和禁止价格欺诈规定》7月1日起施行。《规定》明确了经营者不得实施的七种典型价格欺诈行为,包括谎称商品和服务价格为政府定价或者政府指导价;

以低价诱骗消费者或者其他经营者,以高价进行结算;通过虚假折价、减价或者价格比较等方式销售商品或者提供服务;

销售商品或者提供服务时,使用欺骗性、误导性的语言、文字、数字、图片或者视频等标示价格以及其他价格信息;无正当理由拒绝履行或者不完全履行价格承诺;

不标示或者显著弱化标示对消费者或者其他经营者不利的价格条件,诱骗消费者或者其他经营者与其进行交易;通过积分、礼券、兑换券、代金券等折抵价款时,拒不按约定折抵价款。

《明码标价和禁止价格欺诈规定》还明确了网络交易经营者不得实施的行为,包括在首页或者其他显著位置标示的商品或者服务价格低于在详情页面标示的价格;

公布的促销活动范围、规则与实际促销活动范围、规则不一致;其他虚假的或者使人误解的价格标示和价格促销行为等。

]]>
智能车摄像头开始被严管:隐私数据不能想看就看 想用就用 Sun, 25 Sep 2022 04:45:26 +0800 长安 UNI-V,上市 3 个多月,就被 136 名车主愤怒投诉。主要因为一则官方通知:6 月 30 日起,该车取消三大功能:远程监控、360 全景、远程智能泊车。要知道,这些功能当初可是被长安当成营销卖点,进行宣传的。

最开始又不说,突然变卦,这是玩的哪一出???

其实,除了长安,日产、比亚迪、小鹏的远程监控功能前不久也统统被禁了。

事出必有因,去年 10 月 1 日起正式施行的《汽车数据安全管理若干规定(试行)》,写满了答案。

智能车数据,不让随便用了?

《汽车数据安全管理若干规定(试行)》,是中国第一部针对汽车数据安全制定的法规,由国家网信办、发改委、工信部、公安部、交通运输部联合发布。

法规一共十九条,通过界定汽车数据和监管主体,对数据处理原则做出了规定,同时明确了数据处理者的义务,并制定跨境数据传输规则,初步建立了中国汽车数据安全的合规框架。

该法规最大亮点在于,明确了用户在数据收集上的主动权,各大车企、软硬件供应商、自动驾驶公司们,不能像以前一样无序收集和滥用汽车数据了。

一句话概括就是,无论车内车外,一切数据和隐私都要得到尊重和保护,而且还要进行分级保护。

车内的问题还比较好解决,提前告知并且征得个人同意就行。

关键在于车外,一方面是采集车外个人信息,另一方面是向车外提供信息。

而且现在的车,随随便便就是 6 个、7 个 800 万像素摄像头,车在路上跑,摇身一变,成了行走的高清监控头。

道路上的地理信息、人流量、车流量啊,什么都能被拍进去,而且通常是神不知鬼不觉的。

所以,该法规要求数据尽量在车内处理,除非确有必要不向车外提供。

如果实在要收集车外个人信息,并且向车外提供怎么办?

法规规定,应当进行匿名化处理,包括删除含有能够识别自然人的画面,或者对画面中的人脸信息等进行局部轮廓化处理等。

大意就是,要给画面中的人脸和车牌号等关键信息打上马赛克,总之看不清就对了。

除此之外,法规还对数据处理者提出了两大要求。

一个是默认不收集原则,除非驾驶人自主设定,每次驾驶时默认设定为不收集状态。意思是每次收集数据前都需要征得用户同意。

另一个是精度范围适用原则,即根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率。意思是要求车企们量体裁衣,不要为了智能而智能,够用就行。

最后值得一提的是,该法规对汽车数据明确划分了三个层次。

除了个人信息、敏感个人信息外,保护力度最大的就是重要数据,即一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据。

具体来看,该法规明确指明了六类重要数据:

军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;

车辆流量、物流等反映经济运行情况的数据;

汽车充电网的运行数据;

包含人脸信息、车牌信息等的车外视频、图像数据;

涉及个人信息主体超过 10 万人的个人信息;

国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。

法规要求,在处理重要数据时,汽车数据处理者应当按照规定开展风险评估,并在每年十二月十五日前向省、自治区、直辖市网信部门和有关部门报送风险评估报告。

如果重要数据要“出境”,应当通过国家网信部门会同国务院有关部门组织的安全评估。

新法规产生了啥影响?

无独有偶,今年 4 月出台的《关于进一步加强新能源汽车企业安全体系建设的指导意见》,也对汽车数据安全提出了类似的要求:

企业要切实履行数据安全保护义务,建立健全全流程数据安全管理制度,采取相应的技术措施和其他必要措施,保障数据安全。企业要按照法律、行政法规的有关规定进行数据收集、存储、使用、加工、传输、提供、公开等处理活动,以及数据出境安全管理。

新法规接踵而至,影响却可能刚刚开始。

一方面,车企、软硬件供应商们已经纷纷展现了隐私脱敏工作,俗称打码。

个人信息安全、图像脱敏等开始成为新功能、新专利。

比如上汽发布了网络安全管控标准 2.0 版本,新增了车云协同信息安全和个人信息保护安全模块。

地平线从去年 9 月底起,就陆陆续续申请了 4 个“图像脱敏”的相关专利,目的也是为了提升用户隐私数据的安全性。

商汤科技还对“汽车传输视频及图像脱敏技术要求与方法”进行标准立项,希望构建一套安全可靠高效的数据回传闭环系统。

另一方面,摄像头为核心的传感器,之前无序扩张的状态将被终结。

比如以上汽智己 L7 为代表,一度为新车设计和配备了三颗总计一亿五千万像素的 Carlog 智能车载摄像系统,并且就置于头顶视野最好的位置。

而在此之前,智能车的摄像头内卷,也基本就 800 万像素水平…

不过现如今新规出炉,智己 L7 也开始强调,摄像头“主要是针对风景拍摄,如果牵涉到人脸等敏感信息,传输到车外会做模糊化处理。”

但可以预见的是,在精度范围适用原则下,这个一亿五千万像素的摄像系统是否能一以贯之下去,也被打上了问号。

最后,也是会对所有潜在车主和消费者产生的影响。

一些机关和关键单位工作的车主,还能愉快开智能车吗?

]]>
被曝高危漏洞,威胁行为者可获取Amazon Photos文件访问权限 Sun, 25 Sep 2022 04:45:26 +0800 近期,Checkmarx的网络安全研究人员发现了一个影响安卓上的Amazon Photos 应用程序严重漏洞,如果该漏洞被行为威胁者利用的话,就可能导致被安装在手机上的恶意应用程序窃取用户的亚马逊访问令牌。

从技术角度来看,当各种Amazon应用程序接口(API)对用户进行身份验证时,就需要Amazon访问令牌,其中一些接口在攻击期间可能会暴露用户的个人身份信息(PII)。其他一些应用程序接口,像Amazon Drive API,可能允许威胁参与者获得对用户文件的完全访问权限。

根据Checkmarx的说法,该漏洞源于照片应用程序组件之一的错误配置,这将允许外部应用程序访问它。每当启动此应用时,它会触发一个带有客户访问令牌的HTTP请求,而接收该请求的服务器就能被其控制。

研究人员表示,在掌握这一点后,安装在受害者手机上的恶意应用程序可能会发送一个指令,并发送请求到攻击者控制的服务器上。当攻击者有足够的操作空间,勒索软件就很容易成为可能的攻击载体,恶意操作人员可以读取、加密和重写客户的文件,同时还能删除他们的历史记录。

此外,Checkmarx说,他们在研究中只分析了整个亚马逊生态系统里的一小部分API,这就意味着使用相同令牌的攻击者也有可能访问其他Amazon API。

在发现这组漏洞后,Checkmarx第一时间联系了Amazon Photos开发团队。“由于该漏洞的潜在影响很大,并且在实际攻击场景中成功的可能性很高,亚马逊认为这是一个严重程度很高的问题,并在报告后不久就发布了修复程序。”

]]>
直指word附件,勒索软件AstraLocker 2.0来袭! Sun, 25 Sep 2022 04:45:26 +0800 近期,一种鲜为人知的名为AstraLocker的勒索软件发布了它的第二个主要版本,据威胁分析师称,它能快速发动攻击,并直接从电子邮件附件中删除其有效负载。这种方法是很少见的,因为所有典型的电子邮件攻击都会尽量逃避检测,并尽量减少电子邮件安全产品发出危险信号的几率。

根据一直跟踪AstraLocker的ReversingLabs的说法,攻击者似乎并不关心侦察、有价值文件、以及潜入内网横向移动等。相反,他们追求以最大的力量发起对目标的攻击,来换取快速回报。

勒索软件AstraLocker 2.0使用的诱饵是一个Microsoft Word文档,该文档隐藏了一个带有勒索软件有效载荷的OLE对象,其中嵌入式可执行文件的文件名为“WordDocumentDOC.exe”。要执行有效负载,用户需要在打开文档时出现的警告对话框上单击“Run”。这种处理方法符合Astra的整体“击杀-抓取”策略,选择OLE对象而不是恶意软件发行版中更常见的VBA宏。

另一个选择是使用 SafeEngine Shielder v2.4.0.0 来打包可执行文件,这是一个非常陈旧过时的打包程序,几乎不可能进行逆向工程。在反分析检查以确保勒索软件没有在虚拟机中运行,并且没有在其他活动进程中加载调试器之后,恶意软件会使用Curve25519算法为加密系统做好准备。这些准备工作包括终止可能危及加密的进程,删除卷映像副本,以及停止一系列备份和反病毒服务。

根据 ReversingLabs 的代码分析,AstraLocker 是基于泄露的Babuk源代码,这是一种有缺陷但仍然很危险的勒索软件,好在它已于2021 年9月退出该领域。此外,勒索信中列出的Monero钱包地址之一与Chaos勒索软件的组织有关。这可能意味着相同的威胁行为者在操作这两种恶意软件,这种情况并不少见。但从最新的案例来看,AstraLocker 2.0似乎不是一个老练的威胁行为者的行为,因为他会尽可能地破坏更多目标。

]]>
微软云服务爆容器逃逸漏洞,攻击者可接管Linux集群 Sun, 25 Sep 2022 04:45:26 +0800 6月30日消息,微软修复了旗下应用程序托管平台Service Fabric(SF)的容器逃逸漏洞“FabricScape”。利用此漏洞,恶意黑客可以提升至root权限,夺取主机节点控制权,进而危及整个SF Linux集群。

微软公布的数据显示,Service Fabric是一套关键业务应用程序托管平台,目前托管的应用总数已超百万。

该平台还支持多种微软产品,包括但不限于Azure SQL Database、Azure Cosmos DB、Microsoft Intune、Azure Event Hubs、Azure IoT Hub、Dynamics 365、Skype for Business Cortana、Microsoft Power BI及其他多项核心Azure服务。

这个漏洞编号为CVE-2022-30137,由Palo Alto Networks公司的Unit 42团伙发现,并于今年1月30日报告给微软的。

该漏洞之所以出现,是因为Fabric的数据收集代理(DCA)服务组件(以root权限运行)包含竞争条件下的随意写入机制,导致恶意黑客可通过创建符号链接的方式,利用恶意内容覆盖节点文件系统中的文件,获取代码执行权限。

Unit 42的报告详细介绍了CVE-2022-30137执行代码漏洞的利用方法,以及接管SF Linux集群的更多细节。

微软公司表示,“微软建议客户持续审查一切有权访问其主机集群的容器化工作负载(包括Linux与Windows)。”

“默认情况下,SF集群是单租户环境,各应用程序之间不存在隔离。但您可以在其中创建隔离,关于如何托管不受信代码的更多指南,请参阅Azure Service Fabric安全最佳实践页面。”

漏洞修复花了五个月

根据Unit 42的报告,微软公司于6月14日发布了Microsoft Azure Service Fabric 9.0 Cumulative Update,最终解决了这个漏洞(微软则表示,相关修复程序已在5月26日发布)。

微软为该漏洞发布安全公告后,从6月14日开始,已将修复程序推送至Linux集群的自动更新通道。

在Linux集群上启用自动更新的客户,无需采取任何额外处理措施。

对于没有为Azure Service Fabric开启自动更新的用户,建议大家尽快将Linux集群升级至最新Service Fabric版本。

Palo Alto Networks公司表示,“虽然我们并未发现任何成功利用该漏洞的在野攻击,但仍然希望能敦促各组织立即采取行动,确认自身环境是否易受攻击,并迅速安装补丁。”

微软公司表示,对于尚未启用自动更新的客户,他们已经通过Azure Service Health门户发出关于此问题的安全通知。

]]>
Uber前安全主管面临欺诈指控 曾隐瞒数据泄露事件 Sun, 25 Sep 2022 04:45:26 +0800 2016年Uber曾遭遇黑客攻击,当时5700万乘客和司机的个人信息被黑客窃取,事发后Uber前安全主管约瑟夫·沙利文(Joseph Sullivan)试图隐瞒。美国联帮法官周二表示,沙利文必须面对电信诈骗指控。沙利文付钱给两名黑客让他们保持沉默,同时他还欺骗乘客、司机、FTC。

沙利文反驳称,检察官指控他隐瞒黑客事件,说他这样做的目的是想阻止司机逃离,让司机继续支付服务费,但检察这种指控并无切实证据。旧金山地区法官威廉·奥瑞克(William Orrick)显然不同意这种说法。

不只如此,沙利文还认为受到欺骗的是Uber当时的CEO和总法律顾问,不是司机,关于这点法官也不认同。奥瑞克说,虽然沙利文的虚假陈述并非直面司机,但这只是更大欺骗计划的一部分,欺骗对象正是司机。

检方声称沙利文向黑客支付比特币作为封口费,价值约10万美元。他还让黑客签署保密协议,说他们没有窃取数据。

了解到数据泄露事件后,Uber现任CEO达拉·科斯罗萨西(Dara Khosrowshahi)解雇了沙利文。

2018年9月Uber支付1.48亿美元与50个州及华盛顿DC和解索赔诉讼,原告认为Uber披露信息过慢。

]]>
重磅!网络攻击迫使伊朗重要钢铁公司停产 Sun, 25 Sep 2022 04:45:26 +0800 6月27日消息,伊朗一家主要钢铁公司周一表示,因遭遇网络攻击被迫停产。此次攻击还波及到另外两家工厂,成为近期针对伊朗战略工业部门的最大攻击活动之一。

伊朗政府尚未就此次胡齐斯坦国有钢铁公司及其他两家钢铁生产商遭受的破坏情况或攻击团伙做出回应。作为近几个月来破坏伊朗国内设施的最新案例,该地区的紧张局势将进一步加剧。

黑客曝光工厂故障监控画面 但公司CEO否认停产

一个匿名黑客团伙在社交媒体上宣称对此次攻击事件负责,表示攻击伊朗三大钢铁公司,是为了回应“伊朗的侵略行为。”

该团伙自称“Gonieshke Darande”,他们发布了据称拍摄自胡齐斯坦钢铁厂车间的闭路电视镜头。画面显示,钢坯生产线上的一台重型机械出现故障并引发了大火。

该团伙称,这些公司与伊朗准军事组织“伊斯兰革命卫队”有关,“这些公司受到国际制裁,却在限制下继续维持运营。”

伊朗中部城镇穆巴拉克(Mobarakeh)的一家钢铁厂表示,他们的系统同样遭受攻击。而国营媒体IRAN报道称,伊朗南部港口阿巴斯港的另一家工厂也是网络攻击的受害者。但两家工厂均未承认因为攻击而造成损失或停工。

胡齐斯坦钢铁公司则表示,由于“网络攻击”后引发的“技术问题”,工厂不得不停工,何时恢复将另行通知。该公司网站在周一也关闭了。

然而,该公司CEO Amin Ebrahimi却声称,胡齐斯坦钢厂已成功阻止网络攻击,生产、供应链和客户并未受到影响。对于黑客团伙公布的设施故障起火画面,他只字未提。

半官方媒体梅尔通讯社援引Ebrahimi的发言:“很幸运,我们把握时间、意识敏锐,这次攻击活动没有得逞。”他还补充称,预计公司网站将在周一之内上线,一切都将恢复“正常”。

当地新闻频道Jamaran报道称,攻击失败是因为当时工厂碰巧发生了停电,不在正常运营状态。

针对伊朗的网络攻势升级?

近年来,伊朗遭受的网络攻击越来越多。作为长期受到西方世界制裁的国家,伊朗的网络更新速度一直不够理想,因此难以招架犯罪分子及国家支持黑客发起的勒索软件与入侵攻击。

在去年的一起重大事件中,伊朗燃油分配系统遭遇网络攻击,导致全国各地加油站瘫痪,愤怒的司机们排起了长队。而当时站出来宣布对攻击负责的,同样是这个Gonjeshke Darande黑客团队。

伊朗火车站曾遭遇过伪造延误信息攻击。该国的监控摄像头被黑客入侵,国营网站遭到破坏,臭名昭著的埃文监狱虐待视频也被泄露在网上。

安全厂商SentinelOne的首席威胁研究员Juan Andrés Guerrero-Saade表示,目前还不清楚近期针对伊朗发动网络攻击的幕后黑手是谁。但他表示,如果这些团伙开始向钢铁厂等工业控制系统目标下手,那无疑代表着攻击火力的升级。

在他看来,“攻击的基调已经开始发生变化。”

以色列特拉维夫大学的网络安全专家Lior Tabansky表示,在网络安全这片阴暗的战场上,人们往往很难辨别所谓的负责声明到底可不可信。

他认为,如果此次事件确实属于网络攻击,那发起方可能是以色列或者美国。“如果我是伊朗的高级官员,当我的钢铁部门或者其他重要战略部门遇到了网络攻击,那最大的可能性就是犹太复国主义者或者美帝国主义者干的。”

伊朗此前曾指责,美国和以色列通过网络攻击损害其国内基础设施。

在“震网”(Stuxnet)计算机病毒(外界普遍认为由美国和以色列共同开发)在2000年后期破坏了伊朗核设施中的大量离心机设备后,伊朗最终决定将大部分政府基础设施同互联网断开连接。

胡齐斯坦钢铁公司 在伊朗具备重要地位

胡齐斯坦钢铁公司总部位于石油资源丰富的西南部胡齐斯坦省阿瓦士,并与另外两家大型国有企业一同垄断了伊朗的钢铁生产业务。

胡齐斯坦钢铁公司成立于1979年伊朗伊斯兰革命之前。在此后的几十年中,该公司一直使用由德国、意大利和日本企业供应的生产线。除了1980年代灾难性的两伊战争期间,伊拉克独裁领袖萨达姆派兵越界以外,这家钢铁厂一直在保持生产。

然而,针对伊朗核计划的严厉制裁,也迫使该公司考虑减少对外国零部件的依赖。

伊朗政府将钢铁企业视为关键部门。根据世界钢铁协会的数据,伊朗是中东地区领先的钢铁生产国,也是世界前十大钢铁生产国之一。其铁矿资源不仅为国内生产提供原材料,也被出口到意大利、中国和阿联酋等几十个国家。

然而,世界钢铁协会表示,伊朗上个月的粗钢产量仅为230万吨。出口下降的主要原因,是俄罗斯对乌开战后因受到制裁而无法正常对接西方市场,只能向东方买家大量抛售打折钢材,导致伊朗承接到的交易额显著缩水。

]]>
《安联智库-网安周报》2022-06-26 Sun, 25 Sep 2022 04:45:26 +0800 1、2021年针对美国教育机构的勒索软件攻击共造成35.6亿美元损失

2021年,67次单独的勒索软件攻击影响了954所美国教育机构(包含学校和学院),影响到950129名学生。估计这些攻击仅在停机时间方面就使教育机构损失了35.6亿美元。大多数学校还将面临天文数字般的恢复成本,因为他们试图恢复计算机,恢复数据并加固系统以防止未来的攻击。

虽然希望正在出现,但勒索软件攻击对学校和学院的破坏性影响在上个月变得非常明显。林肯学院在2021年12月受到攻击后,于2022年5月宣布永久关闭。攻击和它对其系统的影响导致入学率大幅下降,这意味着该学院无法维持自身的运营。更糟糕的是,该学院已经向黑客支付了赎金。

2、工控安全遭严峻挑战,56个严重漏洞席卷OT 设备

据The Hacker News消息,安全研究人员在10家OT供应商的产品中发现56个严重的安全漏洞。Forescout将这56期报告统称为“OT:ICEFALL”,这些漏洞也被安全研究人员称之为“不安全的设计实践”。

报告指出,利用这些漏洞,具有网络访问权限的攻击者可对目标设备发起远程执行代码攻击,更改 OT 设备的逻辑、文件或固件,绕过身份验证,破坏凭据,导致拒绝服务或产生各种运营影响。

考虑到受影响的产品广泛应用于石油和天然气、化学、核能、发电和配电、制造、水处理和配电、采矿和楼宇自动化等关键基础设施行业,这些漏洞一旦被攻击者大规模利用,很有可能会对社会造成灾难性后果。

在已经发现的 56 个漏洞中,38% 允许破坏凭据,21% 允许固件操作,14% 允许远程代码执行,8% 的漏洞允许篡改配置信息。攻击者还可以利用这些弱点使设备完全脱机并绕过现有的身份验证功能,来调用目标上的任何功能。

3、日本一市弄丢含46万市民信息的U盘 道歉时又暴露密码位数

6月25日消息,据日本关西电视台24日报道,兵库县尼崎市于6月23日举行新闻发布会,为丢失包含所有46万公民个人信息的U盘而道歉。

据报道,承包商 BIPROGY 的一名男子承认,他在一天晚上外出喝酒时丢失了一个包含全市 46 万市民个人信息的 U 盘,U 盘中的包括居民的姓名、地址和出生日期,以及他们缴纳的居民税的详细信息,还有领取儿童福利和其他福利金居民的银行账号。

这一事件并没有结束,在新闻发布会上,工作人员还意外泄露了 U 盘设置的密码位数,引来广泛批评。据日本经济新闻报道,发布会上当被问及密码时,工作人员回应称,“我设置了一个 13 位字母数字的密码,我觉得很难被破译。”

对此,推特上引发了批评尼崎市的热潮。有人指出,暴露密码位数会使暴力破解密码变得更容易。

4、浙江一女子被骗千元学带货3天只赚3元 3年120多人上当

随着电商、直播领域的飞速发展,直播带货已经逐渐进入各个行业,成为新的营销方式,门槛低、投入小,拿起手机就能直播带货吸引了无数主播加入其中。据@西部决策,近日,浙江金华义乌市警方捣毁了一个诈骗团伙,9名嫌疑人被抓。此前,林女士看到一公司招直播带货兼职,她咨询后付了1680元服务费,跟着指导操作了3天只赚了3元。

当对方诱导林女士继续掏钱时,她果断报警。经查,该公司以直播带货兼职为噱头,虚构商家、短视频平台等官方流量支撑的情况,近3年诈骗了120多人50多万。

据了解,前不久,国家广播电视总局、文化和旅游部联合印发《网络主播行为规范》。该规范针对网络主播从业行为中存在的突出问题,规定了网络主播在提供网络表演和视听节目服务过程中应当遵守的行为规范和要求。

该《规范》指出,网络主播不得出现行为夸张宣传误导消费者,通过虚假承诺诱骗消费者,使用绝对化用语,未经许可直播销售专营、专卖物品等违反广告相关法律法规等。

在此提醒,在刷短视频娱乐消遣的同时,提高自身防范意识,切勿轻信平台上一些带有营销推广性质的视频,避免侥幸心理。

]]>
浙江一女子被骗千元学带货3天只赚3元 3年120多人上当 Sun, 25 Sep 2022 04:45:26 +0800 随着电商、直播领域的飞速发展,直播带货已经逐渐进入各个行业,成为新的营销方式,门槛低、投入小,拿起手机就能直播带货吸引了无数主播加入其中。据@西部决策,近日,浙江金华义乌市警方捣毁了一个诈骗团伙,9名嫌疑人被抓。此前,林女士看到一公司招直播带货兼职,她咨询后付了1680元服务费,跟着指导操作了3天只赚了3元。

当对方诱导林女士继续掏钱时,她果断报警。经查,该公司以直播带货兼职为噱头,虚构商家、短视频平台等官方流量支撑的情况,近3年诈骗了120多人50多万。

据了解,前不久,国家广播电视总局、文化和旅游部联合印发《网络主播行为规范》。该规范针对网络主播从业行为中存在的突出问题,规定了网络主播在提供网络表演和视听节目服务过程中应当遵守的行为规范和要求。

该《规范》指出,网络主播不得出现行为夸张宣传误导消费者,通过虚假承诺诱骗消费者,使用绝对化用语,未经许可直播销售专营、专卖物品等违反广告相关法律法规等。

在此提醒,在刷短视频娱乐消遣的同时,提高自身防范意识,切勿轻信平台上一些带有营销推广性质的视频,避免侥幸心理。

]]>
日本一市弄丢含46万市民信息的U盘 道歉时又暴露密码位数 Sun, 25 Sep 2022 04:45:26 +0800 6月25日消息,据日本关西电视台24日报道,兵库县尼崎市于6月23日举行新闻发布会,为丢失包含所有46万公民个人信息的U盘而道歉。

据报道,承包商 BIPROGY 的一名男子承认,他在一天晚上外出喝酒时丢失了一个包含全市 46 万市民个人信息的 U 盘,这名男子受雇监督向当地家庭支付新冠疫情救济金,他从该市的办公室取出 U 盘后,在大阪附近的一个呼叫中心传输数据。

周二晚上,该男子在一家餐厅喝酒后,他在回家的路上发现装有 U 盘的袋子不见了。第二天早上,他向警方报告了丢失情况。

U 盘中的包括居民的姓名、地址和出生日期,以及他们缴纳的居民税的详细信息,还有领取儿童福利和其他福利金居民的银行账号。

尼崎市的一位官员告诉记者:“所有信息都经过加密保护,没有数据泄露的报告。深感遗憾的是,我们严重损害了公众对城市管理的信任,我们将努力通过提高对保护个人信息重要性的认识来重新获得居民的信任。”

IT之家了解到,这一事件并没有结束,在新闻发布会上,工作人员还意外泄露了 U 盘设置的密码位数,引来广泛批评。

据日本经济新闻报道,发布会上当被问及密码时,工作人员回应称,“我设置了一个 13 位字母数字的密码,我觉得很难被破译。”

对此,推特上引发了批评尼崎市的热潮。有人指出,暴露密码位数会使暴力破解密码变得更容易。

]]>
工控安全遭严峻挑战,56个严重漏洞席卷OT 设备 Sun, 25 Sep 2022 04:45:26 +0800 据The Hacker News消息,安全研究人员在10家OT供应商的产品中发现56个严重的安全漏洞。Forescout将这56期报告统称为“OT:ICEFALL”,这些漏洞也被安全研究人员称之为“不安全的设计实践”。

OT:ICEFALL(冰瀑)漏洞涵盖来自 Bently Nevada、Emerson、Honeywell、JTEKT、Motorola、Omron、Phoenix Contact、Siemens 和 Yokogawa 的多达 26 种设备型号。

报告指出,利用这些漏洞,具有网络访问权限的攻击者可对目标设备发起远程执行代码攻击,更改 OT 设备的逻辑、文件或固件,绕过身份验证,破坏凭据,导致拒绝服务或产生各种运营影响。

考虑到受影响的产品广泛应用于石油和天然气、化学、核能、发电和配电、制造、水处理和配电、采矿和楼宇自动化等关键基础设施行业,这些漏洞一旦被攻击者大规模利用,很有可能会对社会造成灾难性后果。

在已经发现的 56 个漏洞中,38% 允许破坏凭据,21% 允许固件操作,14% 允许远程代码执行,8% 的漏洞允许篡改配置信息。攻击者还可以利用这些弱点使设备完全脱机并绕过现有的身份验证功能,来调用目标上的任何功能。

值得注意的是,56个漏洞中有22个是“破坏身份验证方案”,包括绕过、使用有风险的加密协议,硬编码和明文凭证,这意味着这些方案在实施时“安全控制明显不足”。

在现实世界里,这些漏洞很有可能被武器化,并大规模在、天然气管道、风力涡轮机或离散制造装配线等领域应用,以扰乱燃料运输、超越安全设置、停止控制压缩机站的能力以及改变可编程逻辑的功能控制器(PLC)等。

这并非杞人忧天。事实上一个影响Omron NJ/NX控制器的远程代码执行漏洞 (CVE-2022-31206) ,已经被一个名为CHERNOVITE的攻击者利用,并针对性开发一种名为 PIPEDREAM(又名 INCONTROLLER)的恶意软件。

另外,IT 和 OT 网络之间日益增加的连接也让风险管理变的更加复杂,再加上这些漏洞没有CVE编号,使得很多安全问题变的不可见,也让这些不安全的漏洞长时间保留在系统和设备中。

为了减轻 OT:ICEFALL 的影响,安全专家建议发现和清点易受攻击的设备,及时更新应用供应商特定的补丁,强制分割 OT 资产,监控网络流量以发现异常活动,并采购设计安全的产品加强供应链。

安全研究人员还表示,就最近针对关键基础设施的恶意软件(如Industroyer2、Triton和INCONTROLLER )来看,攻击者已经意识到工控上存在大量的不安全设计,并准备利用这些漏洞对基础设施发起攻击。

尽管不断强化的安全标准在驱动OT安全方面发挥了重要的作用,但就OT:ICEFALL漏洞来看,具有不安全设计特性和安全防御能力低下的设备和产品,正在持续获得认证并投入到市场上使用。

]]>
2021年针对美国教育机构的勒索软件攻击共造成35.6亿美元损失 Sun, 25 Sep 2022 04:45:26 +0800 2021年,67次单独的勒索软件攻击影响了954所美国教育机构(包含学校和学院),影响到950129名学生。估计这些攻击仅在停机时间方面就使教育机构损失了35.6亿美元。大多数学校还将面临天文数字般的恢复成本,因为他们试图恢复计算机,恢复数据并加固系统以防止未来的攻击。

在过去的几年里,勒索软件攻击已经成为全世界学校和学院越来越关注的问题。它们使关键系统瘫痪,使学校连续数日关闭,并使教师无法访问教案和学生数据。然而,正如我们的最新数据显示,对美国教育机构的勒索软件攻击正在减少,停机时间也在缩短。

虽然希望正在出现,但勒索软件攻击对学校和学院的破坏性影响在上个月变得非常明显。林肯学院在2021年12月受到攻击后,于2022年5月宣布永久关闭。攻击和它对其系统的影响导致入学率大幅下降,这意味着该学院无法维持自身的运营。更糟糕的是,该学院已经向黑客支付了赎金。

那么,这些勒索软件攻击在美国教育部门的真实成本是多少,勒索软件的威胁在过去几年里有什么变化,以及2022年至今发生了什么?

为了找到答案,Comparitech研究团队收集了自2018年以来影响学校和学院的所有勒索软件攻击的信息。然而,许多实体不愿意披露勒索软件攻击,特别是在已经支付赎金的情况下。往往只有在学校因系统中断或学生数据丢失而不得不承认漏洞时,才会向公众发布有关攻击的信息。

团队筛选了几种不同的教育资源--专业的IT新闻、数据泄露报告和国家报告工具,以整理出尽可能多的关于美国教育机构遭受勒索软件攻击的数据。然后,应用关于停机成本的研究数据来估计勒索软件攻击对学校和学院的可能成本范围。由于发现这些类型的违规行为的局限性,我们认为这些数字只触及问题的表面。

]]>
严厉打击!“内鬼”泄露公民个人信息违法犯罪 Sun, 25 Sep 2022 04:45:26 +0800 近日,最高人民检察院印发《关于加强刑事检察与公益诉讼检察衔接协作严厉打击电信网络犯罪加强个人信息司法保护的通知》(下称《通知》)。要求各地检察机关积极推动促进个人信息保护法等法律法规的统一正确实施,参与网络空间治理,强化刑事检察和公益诉讼检察职能衔接协作,实现全链条打击、一体化网络治理。

《通知》要求,深入开展依法打击行业“内鬼”泄露公民个人信息违法犯罪工作,积极配合“清朗”系列专项行动,探索积累常态化监督办案的典型经验。聚焦重点行业、重点领域、重点群体开展监督办案,包括处理大规模个人信息特别是个人敏感信息,容易产生个人信息泄露风险的重点行业;金融、电信、互联网、就业招聘行业中容易产生电信网络诈骗违法犯罪风险的重点领域;容易受到电信网络诈骗违法犯罪侵害的老年人、在校学生、未成年人等重点群体。在严厉打击刑事犯罪的同时,充分发挥公益诉讼检察职能,依法追究违法主体的民事责任,督促行政机关履职尽责,增强惩治预防效能。

《通知》指出,要完善刑事检察、公益诉讼检察协作机制。包括建立线索移送机制、同步介入机制、人员协作机制和会商研判机制等。针对电信网络诈骗违法犯罪和个人信息公益损害呈现跨行政区划的特点,进一步加强大数据赋能,探索通过罪名、领域、行业等关键词自动抓取和智能算法技术,改革案件线索产出的供给侧,打破业务条线之间的数据壁垒。对易发、高发违法犯罪的系统性、普遍性、行业性问题,省级以上检察院可以联合挂牌督办或者部署开展专项整治行动,组建“刑事+公益诉讼+技术”检察办案团队,集中办理大案要案。

《通知》要求,要进一步提升调查取证能力水平,增强刑事附带民事公益诉讼质效。加强刑事检察和公益诉讼检察部门在提前介入、引导侦查工作中的协同协作。积极运用认罪认罚从宽、少捕慎诉慎押、涉案企业合规改革等,创新公益损害替代修复方式,督促引导违法主体及时有效履行公益损害赔偿责任。

《通知》强调,要进一步加强网络空间系统治理和溯源治理。结合监督办案加强类案治理的分析研判,注重发现执法司法、行业监管、信息公开、综合治理等工作中的问题和漏洞,精准向有关部门提出促进完善监管的检察建议,探索向有关网络平台提出依法履行社会责任的检察建议。

]]>
一年两次!美国旗星银行150万客户数据遭泄露 Sun, 25 Sep 2022 04:45:26 +0800 近日,旗星银行(Flagstar Bank)向其150多万名客户发送了一则通知,黑客在去年12月的网络攻击中窃取了个人数据。

旗星银行(Flagstar Bank)是美国最大的银行之一,其总部位于密歇根州,总资产超过300亿美元。

经过调查,该银行于 6 月 2 日发现,攻击者访问了敏感的客户详细信息,包括全名和社会安全号码。

“在得知该事件后,我们立即启动了我们的事件响应计划,聘请了在处理此类事件方面经验丰富的外部网络安全专业人员,并将此事报告给联邦执法部门,”通知解释道。

“我们没有证据表明任何信息被滥用。尽管如此,出于非常谨慎的考虑,我们希望让您了解这一事件。”

银行为受影响的个人提供免费的两年身份监控和保护服务。

根据提交给缅因州总检察长办公室(Office of the Maine Attorney General)的信息显示,这次数据泄露事件共对1,547,169名美国人造成了影响。

至于媒体的进一步追问,包括哪些类型的数据可能被暴露,以及为什么花了这么长时间才发现这起事件,旗星银行方面还没有给予正面回应。

这是一年内旗星银行发生的第二起重大安全事件。

2021 年 1 月,勒索软件团伙 Clop 通过利用零日漏洞入侵 Accellion FTA 服务器,导致银行客户端和员工数据的间接泄露。

该事件影响了与银行开展业务的众多实体,包括庞巴迪、新加坡电信、新西兰储备银行和华盛顿州审计署。

这一违规行为导致银行被 Clop 勒索,被盗数据样本,包括姓名、社会安全号码、地址、税务记录和电话号码,最终在 Clop 的网站上公布,金融机构终止了与 Accellion 平台的合作。

]]>
网络攻击导致普京重要讲话被迫推迟一小时 Sun, 25 Sep 2022 04:45:26 +0800 6月21日消息,克里姆林宫发言人德米特里·佩斯科夫(Dmitry Peskov)表示,由于网络攻击破坏了大会通行证处理系统,俄罗斯总统普京被迫推迟上周五(6月17日)计划于圣彼得堡国际经济论坛发表的演讲。

佩斯科夫称,普京原计划在下午三点发表讲话。但技术人员为了修复问题并保证观众可以正常进入大厅,演讲因此延后了一个小时。

通行证系统在上周四(6月16日)开始遭到DDoS攻击。佩斯科夫没有具体说明可能的攻击来源。他说,“系统在发放徽章和确认全体会议到场人员时出现了问题。我们能修复,但这需要时间。”

一位论坛人士表示,观众可以毫无阻碍地进入大厅,但该地区的移动网络连接似乎被切断了。

据路透社报道,在预定开始时间约100分钟后,普京开始发表讲话。

普京向来有在公开活动中迟到的习惯。在本届经济会议上,他发表了自2月24日对乌开战以来的首次重要演讲之一。

]]>
西北工业大学电子邮件系统遭境外黑客组织网络攻击,已立案侦查 Sun, 25 Sep 2022 04:45:26 +0800 6月22日,西北工业大学 发布公开声明,近期,该校电子邮件系统遭受网络攻击,对学校正常教学生活造成负面影响。该校第一时间报警,经公安机关初步判定,是境外黑客组织和不法分子发起的网络攻击行为。声明全文如下:

近期,我校电子邮件系统遭受网络攻击,对学校正常教学生活造成负面影响。我校第一时间报警,经公安机关初步判定,是境外黑客组织和不法分子发起的网络攻击行为。现公开声明如下:

此次网络攻击事件中,有来自境外的黑客组织和不法分子向我校师生发送包含木马程序的钓鱼邮件,企图窃取相关师生邮件数据和公民个人信息,给学校正常工作和生活秩序造成重大风险隐患。长期以来,我校高度重视网络安全工作,经常性开展网络安全宣传教育,定期开展网络安全检查和技术监测,明确主动防御策略,全面采取技术防护措施。全校师生网络安全意识和敏锐性逐年提高,来自境外的钓鱼邮件暂未造成重要数据泄露,暂未引发重大网络安全事件,校园网络安全和广大师生的个人信息安全得到有效维护。

为进一步查明事实,依法处理相关黑客组织和不法分子的网络攻击行为,采取有力措施筑牢校园网络安全屏障,维护广大师生合法权益,我校已就遭受境外网络攻击情况向公安机关报案,并保留进一步追诉的权利。

在此,我校提醒广大互联网用户:网络空间不是法外之地,发送钓鱼邮件、侵犯公民个人信息属于犯罪行为。请广大网民文明用网、规范用网,严格遵守《中华人民共和国网络安全法》,共同营造清朗网络空间。

]]>
习近平主持召开中央全面深化改革委员会第二十六次会议强调 加快构建数据基础制度 Sun, 25 Sep 2022 04:45:26 +0800 中共中央总书记、国家主席、中央军委主席、中央全面深化改革委员会主任习近平6月22日下午主持召开中央全面深化改革委员会第二十六次会议,审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》、《关于加强和改进行政区划工作的意见》、《关于开展科技人才评价改革试点的工作方案》、《强化大型支付平台企业监管促进支付和金融科技规范健康发展工作方案》。

习近平在主持会议时强调,数据基础制度建设事关国家发展和安全大局,要维护国家数据安全,保护个人信息和商业秘密,促进数据高效流通使用、赋能实体经济,统筹推进数据产权、流通交易、收益分配、安全治理,加快构建数据基础制度体系。要加强党中央对行政区划工作的集中统一领导,做好统筹规划,避免盲目无序。要遵循科技创新规律和人才成长规律,以激发科技人才创新活力为目标,按照创新活动类型,构建以创新价值、能力、贡献为导向的科技人才评价体系,引导人尽其才、才尽其用、用有所成。要推动大型支付和金融科技平台企业回归本源,健全监管规则,补齐制度短板,保障支付和金融基础设施安全,防范化解系统性金融风险隐患,支持平台企业在服务实体经济和畅通国内国际双循环等方面发挥更大作用。

中共中央政治局常委、中央全面深化改革委员会副主任李克强、王沪宁、韩正出席会议。

会议指出,数据作为新型生产要素,是数字化、网络化、智能化的基础,已快速融入生产、分配、流通、消费和社会服务管理等各个环节,深刻改变着生产方式、生活方式和社会治理方式。我国具有数据规模和数据应用优势,我们推动出台数据安全法、个人信息保护法等法律法规,积极探索推进数据要素市场化,加快构建以数据为关键要素的数字经济,取得了积极进展。要建立数据产权制度,推进公共数据、企业数据、个人数据分类分级确权授权使用,建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制,健全数据要素权益保护制度。要建立合规高效的数据要素流通和交易制度,完善数据全流程合规和监管规则体系,建设规范的数据交易市场。要完善数据要素市场化配置机制,更好发挥政府在数据要素收益分配中的引导调节作用,建立体现效率、促进公平的数据要素收益分配制度。要把安全贯穿数据治理全过程,守住安全底线,明确监管红线,加强重点领域执法司法,把必须管住的坚决管到位。要构建政府、企业、社会多方协同治理模式,强化分行业监管和跨行业协同监管,压实企业数据安全责任。

]]>
使用西门子工控系统的注意了,已经暴露了15个安全漏洞 Sun, 25 Sep 2022 04:45:26 +0800 网络安全研究人员披露了西门子 SINEC 网络管理系统 (NMS) 中 15 个安全漏洞的详细信息,其中一些可能被攻击者混合使用,以在受影响的系统上实现远程代码执行。

工业安全公司 Claroty在一份新报告中表示:“这些漏洞如果被利用,会给网络上的西门子设备带来许多风险,包括拒绝服务攻击、凭据泄漏和在某些情况下远程执行代码。”

值得庆幸的是,2021年10月12日,西门子在 V1.0 SP2 版本更新中解决了上述所有的安全漏洞(从 CVE-2021-33722 到 CVE-2021-33736)。西门子在一份报告中写到,最严重的漏洞可能允许经过身份验证的远程攻击者,在某些条件下以系统特权在系统上执行任意代码。

威胁最大的漏洞编号是CVE-2021-33723(CVSS 评分:8.8),它允许攻击者将权限升级至管理员账号,病号可以与路径遍历漏洞 CVE-2021-33722(CVSS 评分:7.2)想结合,最终实现远程任意代码执行。

此外,还有一个需要注意的是 SQL 注入漏洞,漏洞编号(CVE-2021-33729,CVSS 分数:8.8),通过该漏洞,经过身份验证的攻击者可以在本地数据库中执行任意命令。

Claroty 的 Noam Moshe认为,SINEC在网络拓扑中处于至关重要的中心位置,因为它需要访问凭据、加密密钥和其他授予它的管理员访问权限,以便管理网络中的设备。

从攻击者的角度来看,这种攻击是利用合法凭证和网络工具进行恶意活访问、活动和控制,而SINEC将攻击者置于以下主要位置:侦察、横向移动和特权升级。

]]>
《安联智库-网安周报》2022-06-19 Sun, 25 Sep 2022 04:45:26 +0800

1、前亚马逊工程师被定罪:曾盗窃曝光超1亿人数据 面临最高20年监禁

 6月19日消息,美国西雅图陪审团裁定,前亚马逊软件工程师 Paige Thompson 被指控在2019年从 Capital One 窃取数据,犯有电信欺诈罪和五项未经授权访问受保护计算机的罪名。
Capital One 黑客攻击是美国最大的安全漏洞之一,该事件导致1亿美国人和600万加拿大人的数据泄露,包括姓名、出生日期、社保号码、电子邮件地址和电话号码。Thompson 于当年7月被捕,当时一名 GitHub 用户看到她在网站上分享有关从存储 Capital One 信息的服务器窃取数据的信息。
根据美国司法部的公告,Thompson 使用她自己构建的工具来扫描亚马逊网络服务以查找配置错误的账户。据称,她随后使用这些账户渗透了 Capital One 的服务器并下载了超过1亿人的数据。
陪审团裁定 Thompson 这样做违反了《计算机欺诈和滥用法》,但 Thompson 的律师辩称,她使用的工具和方法与道德黑客所使用的工具和方法相同。
了解到,美国司法部最近修改了《计算机欺诈和滥用法》,以保护道德或白帽黑客。只要研究人员“善意”地调查或修复漏洞,并且没有将他们发现的安全漏洞用于勒索或其他恶意目的,就不能再根据法律受到指控。
然而,美国当局不同意 Thompson 只是试图揭露 Capital One 漏洞的说法。司法部表示,她将加密货币挖掘软件植入银行的服务器,并将收益直接发送到她的数字钱包。据称,她还在论坛上吹嘘自己的黑客行为。
美国检察官 Nick Brown 表示:“她远不是一个试图帮助公司保护计算机安全的道德黑客,而是利用错误窃取有价值的数据并从中牟利。”Thompson 可能因电信欺诈被判处最高20年的监禁,每项非法访问受保护计算机的指控最高可判处5年监禁。她的量刑听证会定于9月15日举行。
2、Hermit细节披露:由政府操控的复杂间谍软件


来自 Lookout 的安全研究团队近日披露了 Hermit 间谍软件的诸多细节。该间谍软件于今年 4 月首次发现,主要由政府部署,攻击目标主要集中在哈萨克斯坦、叙利亚和意大利。

Lookout 获得了 Hermit Android 恶意软件的样本,他们称该恶意软件是模块化的,允许间谍软件根据恶意软件的需要下载其他组件。间谍软件使用各种模块来收集通话记录、录制音频、重定向电话并收集照片、消息、电子邮件和设备的精确位置。

不过,Lookout 表示,该间谍软件具有 root 手机的能力,方法是从其命令和控制服务器中提取所需的文件,以打破设备的保护并允许在没有用户交互的情况下几乎不受限制地访问设备。

Lookout 研究员 Paul Shunk 在一封电子邮件中表示,该恶意软件可以在所有 Android 版本上运行。“Hermit 会在不同时间检查运行应用程序的设备的 Android 版本,以使其行为适应操作系统的版本”。

据信,恶意 Android 应用程序是通过伪造的短信分发的,看起来消息来自合法来源,冒充电信公司和其他流行品牌的应用程序,然后诱骗受害者下载恶意应用。

3、国内第四大运营商!山东广电192友好预约用户入网时间定了

6月6日,中国广电品牌升级暨广电5G和融合业务品牌发布会在北京歌华大厦举办,正式推出了“中国广电”、“广电5G”、“广电慧家”三大品牌标识及广告语,并宣布各地广电网络公司营业厅门头同步换标。

同时,活动现场还启动了全国范围广电5G友好用户192号码预约活动。

日前,帐号主体为“中国广电山东网络有限公司”的微信公众号“高清看有线”宣布,即日起至6月26日24:00,山东地区开始192友好用户预约选号。完成预约的用户可在6月28日至7月30日到当地营业厅激活入网,7月15日前入网激活的用户将有优惠活动。

根据广电5G 192友好用户预约界面显示,目前基本全国归属地的号码都开始预约选号了,并且还推出了多种类型的靓号可选,包括豹子号、对子号、顺序号和爱情号等。

据了解,2019年6月,工信部下发四张5G牌照,广电收获700MHz 5G频段;2020年10月12日,中国广电网络股份有限公司正式揭牌成立,成为国内第四大运营商,并拿到了5G商用牌照,拥有对外发放5G手机号码的资格。

4、因盗取裸体照片,iCloud黑客被判9年监禁

Bleeping Computer 网站披露,一名美国男子因犯计算机欺诈罪被判处9年监禁。据悉,该男子在2021年10月承认入侵了数千个Apple iCloud帐户,窃取了大量受害者裸体照片和视频。

追溯犯罪活动可以发现,早在 2014 年 9 月,这位名叫 Hao Kuo Chi 的犯罪分子就开始以“icloudripper4you”为昵称,宣称能够入侵 iCloud 帐户并窃取链接的 iCloud 存储中包含的任何内容。

 窃取大量“裸体照片” 

为了破坏目标账户,Chi 使用电子邮件冒充 Apple 客户支持代表,并诱骗目标受害者交出其 Apple ID 和密码。在成功入侵受害者 iCloud 账户后,他将从受害者的在线存储中寻找并窃取裸体照片和视频,然后在网上和同谋者分享。更令人愤怒的是,这名犯罪分子还在未经受害人同意的情况下,在一个现已解散的复仇色情网站 (Anon-IB) 上分享了一些照片和视频, 以“恐吓、骚扰受害者。

 数百个iCloud账户被泄露 

据美国司法部透露,Chi的电子邮件账户中储存了大约 4700 名受害者的 iCloud 凭证,这些账户显示,他曾 300 多次将从受害者那里窃取的内容发送给了同谋者。

另外,他还将 500 多名受害者的 3.5 TB 被盗内容存储在云端和物理存储中,其中大约 1 TB 的云存储专门用于被盗的裸照和视频。


]]>
Hermit细节披露:由政府操控的复杂间谍软件 Sun, 25 Sep 2022 04:45:26 +0800 来自 Lookout 的安全研究团队近日披露了 Hermit 间谍软件的诸多细节。该间谍软件于今年 4 月首次发现,主要由政府部署,攻击目标主要集中在哈萨克斯坦、叙利亚和意大利。

Hermit 间谍软件最早于今年 4 月在哈萨克斯坦发现,而在几个月前哈萨克斯坦政府暴力镇压了针对政府政策的抗议活动。Lookout 表示该国的间谍活动应该很大程度上针对的是哈萨克斯坦当地的实体。此外该间谍软件还被部署在叙利亚东北部的库尔德地区,而且意大利当局也通过反腐败调查的一部分进行部署。

Lookout 获得了 Hermit Android 恶意软件的样本,他们称该恶意软件是模块化的,允许间谍软件根据恶意软件的需要下载其他组件。间谍软件使用各种模块来收集通话记录、录制音频、重定向电话并收集照片、消息、电子邮件和设备的精确位置。

不过,Lookout 表示,该间谍软件具有 root 手机的能力,方法是从其命令和控制服务器中提取所需的文件,以打破设备的保护并允许在没有用户交互的情况下几乎不受限制地访问设备。

Lookout 研究员 Paul Shunk 在一封电子邮件中表示,该恶意软件可以在所有 Android 版本上运行。 “Hermit 会在不同时间检查运行应用程序的设备的 Android 版本,以使其行为适应操作系统的版本”。

据信,恶意 Android 应用程序是通过伪造的短信分发的,看起来消息来自合法来源,冒充电信公司和其他流行品牌的应用程序,然后诱骗受害者下载恶意应用。

Lookout 表示,有证据表明一个受 Hermit 感染的 iOS 应用程序与其他间谍软件一样,滥用 Apple 企业开发人员证书从应用程序商店外部加载其恶意应用程序——Facebook 和Google因绕过 Apple 的应用程序商店规则而受到惩罚。 . Lookout 表示无法获得 iOS 间谍软件的样本。

现在 Lookout 说它的证据表明 Hermit 是由意大利间谍软件供应商 RCS Lab 和 Tykelab 开发的,这是一家电信解决方案公司,Lookout 说这是一家幌子公司。发送到 Tykelab 网站上的电子邮件地址的电子邮件因未送达而被退回。 RCS Lab 的发言人没有回复置评请求。

]]>
因盗取裸体照片,iCloud黑客被判9年监禁 Sun, 25 Sep 2022 04:45:26 +0800 Bleeping Computer 网站披露,一名美国男子因犯计算机欺诈罪被判处9年监禁。据悉,该男子在2021年10月承认入侵了数千个Apple iCloud帐户,窃取了大量受害者裸体照片和视频。

追溯犯罪活动可以发现,早在 2014 年 9 月,这位名叫 Hao Kuo Chi 的犯罪分子就开始以“icloudripper4you”为昵称,宣称能够入侵 iCloud 帐户并窃取链接的 iCloud 存储中包含的任何内容。

 窃取大量“裸体照片” 

联邦调查局特工大卫-沃克(David Walker)表示:该名犯罪分子用电脑进行了一场“恐怖活动”,给数百名受害者带来了恐惧和痛苦,联邦调查局会一直致力于通过揭露这些网络犯罪分子,并将他们绳之以法来保护美国人民。

根据法庭文件显示,为了破坏目标账户,Chi 使用电子邮件冒充 Apple 客户支持代表,并诱骗目标受害者交出其 Apple ID 和密码。在成功入侵受害者 iCloud 账户后,他将从受害者的在线存储中寻找并窃取裸体照片和视频,然后在网上和同谋者分享。

更令人愤怒的是,这名犯罪分子还在未经受害人同意的情况下,在一个现已解散的复仇色情网站 (Anon-IB) 上分享了一些照片和视频, 以“恐吓、骚扰受害者。

 数百个iCloud账户被泄露 

在被抓获之前,Chi在未经授权的情况下,访问了美国各地数百个目标受害者 iCloud 帐户,其中主要包括亚利桑那州、加利福尼亚州、佛罗里达州、肯塔基州、路易斯安那州、缅因州、马萨诸塞州、俄亥俄州、宾夕法尼亚州、南卡罗来纳州和德克萨斯州等。

据美国司法部透露,Chi的电子邮件账户中储存了大约 4700 名受害者的 iCloud 凭证,这些账户显示,他曾 300 多次将从受害者那里窃取的内容发送给了同谋者。

另外,他还将 500 多名受害者的 3.5 TB 被盗内容存储在云端和物理存储中,其中大约 1 TB 的云存储专门用于被盗的裸照和视频。

美国检察官罗杰·汉德伯格 (Roger Handberg) 强调,Chi 的行为严重伤害了全国数百名女性,使她们陷入担心自身安全和名誉的困境中,这一判决侧面反映了美国检察官办公室要求网络犯罪分子为其罪行负责的决心。

]]>
WiFi探测正在跟踪、泄露隐私 Sun, 25 Sep 2022 04:45:26 +0800 德国汉堡大学的研究人员进行了一项现场实验,捕获了数十万路人的WiFi连接探测请求,以此探究哪些隐私信息是在用户无法察觉的情况下泄露出去的。

众所周知,WiFi探测是智能手机和调制解调器/路由器之间建立连接所需的双边通信的一部分。在日常生活中,智能手机会一直搜索可用的WiFi网络并自动连接那些可连接的信号。

目前,许多商场和商店都在使用WiFi探测来跟踪客户的位置和移动。由于此跟踪仅在探测中使用匿名 MAC 地址,因此被认为符合GDPR隐私保护政策。

研究人员决定分析这些探测器以查看它们可能包含的其他内容,结果显示,23.2%的AP广播了这些设备过去连接过的网络SSID。

 实验结果 

2021年11月,研究人员在德国市中心一个繁华的步行街开展了这个实验,在三个小时内所有共捕获了252242个探测请求,其中 46.4% 在 2.4GHz 频谱中,53.6% 在 5GHz 频谱中。

随后,研究人员从中获得了 58489 个 SSID,其中包含 16 位或更多位的数字字符串,这些字符串可能是来自 FritzBox 或 Telekom 的德国家用路由器的“初始密码”。

在捕获的 SSID 的其他子集中,研究人员还发现了与106个不同名称的商超WiFi网络、三个电子邮件地址和 92 个以前添加为可信赖网络的度假酒店的字符串。

在三个小时内,还有不少用户反复进行探测,其中一些敏感的字符串被广播了数十次、数百次,在某些情况下甚至达到数千次。

 隐私泄露和跟踪 

每台设备的MAC地址是固定且不变的,通过在后台的大数据数据库进行比对,从用户的MAC地址可以顺藤摸瓜显示用户的手机号、最近消费记录、年龄、兴趣爱好、常用app等,形成一个用户画像。商家通过用户画像,对不同用户推送不同的广告促销信息,从而达到所谓的精准营销目的。

除此之外,WiFi探测还可以实现持续跟踪。尽管 Android 和 iOS系统都已经让MAC 地址随机变化,这让隐私泄露和跟踪变的更加困难。虽然不能完全杜绝隐私泄露,但这已经是一个非常明显的进步。

实验结果表明,较新的操作系统版本在探测请求中具有更多的随机性和更少的信息,但是当与信号强度、序列号、网络能力等数据集参数结合使用时,仍然可以对单个设备进行指纹识别。

很明显,操作系统版本越新,隐私保护功能越强,但更新版本的可用性并不意味着立即采用。

在现场实验时,Android 8 及更早版本大约占 Android 智能手机的四分之一。在 iOS 中,由于 Apple 更严格的软件更新政策和长期支持,使得旧版本的隐私保护程度要好上不少。

以前的研究也反映了从逐步升级到更安全的操作系统的改进。例如,在 2014 年的一项研究中,46.7% 的记录探测请求包含 SSID,而在 2016 年进行的另外两项研究中,该百分比介于29.9% 和 36.4% 之间。

 如何保护隐私 

对于智能手机来说,第一步要做的,也是最简单的就是升级他们的操作系统,并在后续使用中及时更新更新、更安全的版本。其次,删除不再使用或不需要的SSID,在不使用WiFi时尽量关闭。

Android 和 iOS 也都提供了快速禁用自动加入网络的方法,这使得热点攻击无法成功。最后,用户可以完全静默探测请求,这可以通过高级网络设置来完成。然而,这种方法有几个实际的缺点,例如连接建立速度较慢、无法发现隐藏网络以及更高的电池消耗。

]]>
国内第四大运营商!山东广电192友好预约用户入网时间定了 Sun, 25 Sep 2022 04:45:26 +0800 6月6日,中国广电品牌升级暨广电5G和融合业务品牌发布会在北京歌华大厦举办,正式推出了“中国广电”、“广电5G”、“广电慧家”三大品牌标识及广告语,并宣布各地广电网络公司营业厅门头同步换标。

同时,活动现场还启动了全国范围广电5G友好用户192号码预约活动。

日前,帐号主体为“中国广电山东网络有限公司”的微信公众号“高清看有线”宣布,即日起至6月26日24:00,山东地区开始192友好用户预约选号。完成预约的用户可在6月28日至7月30日到当地营业厅激活入网,7月15日前入网激活的用户将有优惠活动。

根据广电5G 192友好用户预约界面显示,目前基本全国归属地的号码都开始预约选号了,并且还推出了多种类型的靓号可选,包括豹子号、对子号、顺序号和爱情号等。

据了解,2019年6月,工信部下发四张5G牌照,广电收获700MHz 5G频段;2020年10月12日,中国广电网络股份有限公司正式揭牌成立,成为国内第四大运营商,并拿到了5G商用牌照,拥有对外发放5G手机号码的资格。

]]>
前亚马逊工程师被定罪:曾盗窃曝光超1亿人数据 面临最高20年监禁 Sun, 25 Sep 2022 04:45:26 +0800  6月19日消息,美国西雅图陪审团裁定,前亚马逊软件工程师 Paige Thompson 被指控在2019年从 Capital One 窃取数据,犯有电信欺诈罪和五项未经授权访问受保护计算机的罪名。

Capital One 黑客攻击是美国最大的安全漏洞之一,该事件导致1亿美国人和600万加拿大人的数据泄露,包括姓名、出生日期、社保号码、电子邮件地址和电话号码。Thompson 于当年7月被捕,当时一名 GitHub 用户看到她在网站上分享有关从存储 Capital One 信息的服务器窃取数据的信息。

根据美国司法部的公告,Thompson 使用她自己构建的工具来扫描亚马逊网络服务以查找配置错误的账户。据称,她随后使用这些账户渗透了 Capital One 的服务器并下载了超过1亿人的数据。

陪审团裁定 Thompson 这样做违反了《计算机欺诈和滥用法》,但 Thompson 的律师辩称,她使用的工具和方法与道德黑客所使用的工具和方法相同。

IT之家了解到,美国司法部最近修改了《计算机欺诈和滥用法》,以保护道德或白帽黑客。只要研究人员“善意”地调查或修复漏洞,并且没有将他们发现的安全漏洞用于勒索或其他恶意目的,就不能再根据法律受到指控。

然而,美国当局不同意 Thompson 只是试图揭露 Capital One 漏洞的说法。司法部表示,她将加密货币挖掘软件植入银行的服务器,并将收益直接发送到她的数字钱包。据称,她还在论坛上吹嘘自己的黑客行为。

美国检察官 Nick Brown 表示:“她远不是一个试图帮助公司保护计算机安全的道德黑客,而是利用错误窃取有价值的数据并从中牟利。”Thompson 可能因电信欺诈被判处最高20年的监禁,每项非法访问受保护计算机的指控最高可判处5年监禁。她的量刑听证会定于9月15日举行。

]]>
假平台先免费 后面可“真贵”:网络新骗术盯上实体商家 Sun, 25 Sep 2022 04:45:26 +0800 搭建虚假电商平台,制造商家入驻假象,步步引诱受害者投资……一种主要针对传统实体行业商家的互联网新骗术迷惑性强,亟须引起警惕。

投资40余万一场空

“刘总您好,我是D公司的客服,我们是做互联网运营推广服务的,了解您有这方面的需求,我们可以帮您搭建电商平台,免费做线上线下推广……”

以前接到广告推销类的电话时,四川的刘某都会习惯性拒绝并挂断。2020年9月,一通关于“互联网运营推广”的电话打来时,刘某犹豫了,考虑到想拓展自己的业务,便抱着试一下的心态答应了。

D公司经理周某线下约见刘某,提出通过免费提供运营推广服务,为刘某打造一个电商平台,并吸引其他商家入驻。“商家入驻需要缴纳入驻费用,我们按照三七分,我们三、你们七。入驻的商家如果在平台产生交易,你也会从中获得一定的收益。”周某说。

有推广,又有收益,刘某觉得这个生意可行,便与D公司签署合同。几日后,网络平台搭建完成,刘某爽快地支付了3020元以购买域名,并获得两张域名证书。

网络平台刚搭建不久,上海某科技有限公司联系刘某,表示有多个商家想入驻该网络平台,但服务器只能容纳50家,其余商家入驻失败,还提出平台支付有风险等问题。在D公司指引下,刘某先后购买服务器、安全控件和办理商品备案资格证等才解决问题。

安徽某科技招商公司联系刘某,提出平台存在安全风险,继续以商家无法使用平台等理由,让其在D公司扩容服务器、防火墙等服务。

刘某对D公司深信不疑,为解决平台的各种问题,先后花掉40余万元。2020年12月,当刘某再次联系D公司时,发现D公司已被公安机关查封。他恍然大悟,自己被骗了。

受害者多为实体行业商家

2020年11月,湖北警方与四川警方联手,一举捣毁D公司的两处窝点。据介绍,经审计,D公司一年内涉案总金额达3600余万元,受害者超100人,遍布全国各地。

承办此案的湖北省公安县检察官介绍,此类以免费提供电商运营服务为名义,不断收割受害者钱财的诈骗案件并不多见,诈骗套路环环相扣,具有很强迷惑性,大部分受害者后知后觉。

“当时我去了D公司,见到经理周某,参观了整个公司的环境和运行状态,周某还在公司专门组织会议向我详细介绍了他们的专业优势。”刘某告诉半月谈记者,当时完全没想到这会是一个诈骗公司。

检察官告诉半月谈记者,该电商平台并不具备正常的联网、入驻、交易等功能,平台上的商家、交易数据、动态信息等都是D公司团伙为迷惑受害者,通过技术手段虚构操作的假象。

该案中,电商平台搭建不久,便有招商公司向受害者咨询,以入驻电商平台为名义,提出平台存在“服务器容量不够”“支付出现安全警示”等问题,诱骗受害者购买服务产品。

在此期间,受害者并非只投资不获利,但投资远大于收益。民警介绍,刘某通过平台提现共获得8万元的商家入驻款项,他认为通过继续投资,解决平台的问题可以获得更多收益,但没想到D公司、招商公司、商家竟是一伙人。

检察官介绍,受害者多为从事传统实体行业的商家,他们对互联网一知半解,但又有网络推广的迫切需求,因此成为诈骗团伙的目标“客户”。

民警和检察官说,近年来,利用互联网等技术手段实施的新型网络犯罪活动多发,需要加大打击力度。同时,面对类似本案中所谓“三七分高收益”的诱惑,要提高警惕、认真分辨。

]]>
思科电子邮件存在安全漏洞,攻击者可利用漏洞登录其Web管理界面 Sun, 25 Sep 2022 04:45:26 +0800 思科于本周通知其用户修补一个严重漏洞,该漏洞可能允许攻击者绕过身份验证并登录到思科电子邮件网关设备的Web管理界面。该安全漏洞(编号为CVE-2022-20798)是在思科电子邮件安全设备(ESA)以及思科安全电子邮件和Web管理器设备的外部身份验证功能中发现的。该编号为CVE-2022-20798的漏洞是由于受影响设备使用LDAP (Lightweight Directory Access Protocol)进行外部认证时,认证检查不正确导致的。

对此,思科在回应中并表示,攻击者可以通过在受影响设备的登录页面上输入特定输入来利用此漏洞,成功的利用可能允许攻击者未经授权访问受影响设备的管理界面。该漏洞是在解决 Cisco TAC(技术援助中心)支持案例期间发现的,思科的产品安全事件响应团队 (PSIRT) 表示,目前还没有利用此安全漏洞的消息,且此漏洞仅影响配置为使用外部身份验证和LDAP作为身份验证协议的设备。不过据思科称,默认情况下外部身份验证功能是禁用的,这意味着只有具有非默认配置的设备才会受到影响。如需检查设备上是否启用了外部身份验证,请登录基于Web的管理界面,转至系统管理 > 用户,然后在“启用外部身份验证”旁边查找绿色复选框。思科还表示,此漏洞不会影响其他安全网络设备产品,比如思科网络安全设备 (WSA)。无法立即安装CVE-2022-20798安全更新的管理员也可以禁用外部经过身份验证服务器上的匿名绑定来解决此问题。

今年2月份,思科还修复了另一个安全电子邮件网关漏洞 ,该漏洞可能允许远程攻击者使用恶意制作的电子邮件使未修补的设备崩溃。同时,思科也表示不会修复影响RV110W、RV130、RV130W和RV215W SMB等即将停产的路由器关键零日漏洞,该漏洞允许攻击者以根级权限执行任意命令。

]]>
国际刑警查获五千万美元,逾两千名“社会工程师”被捕 Sun, 25 Sep 2022 04:45:26 +0800 近日,有消息显示,一项代号为“2022第一缕光”(First Light 2022)的国际执法行动在全球范围内共查获了5000万美元赃款,数千名参与社会工程诈骗的人遭到逮捕。这项行动由国际刑警组织(Interpol)领导,并得到76个国家警方的协助,其主要目的是打击社会工程犯罪,包括电话诈骗、婚恋诈骗、商业电邮诈骗及相关的洗钱活动。

这里的“社会工程”是业内一个通用术语,指的是攻击者通过与他人的合法交流,来使其心理受到影响,从而执行某些行为或泄露敏感信息。通常情况下,攻击者会事先设想好一个令人信服的、逼真的理由作为诱饵,然后通过电话或电子邮件联系受害者并操纵他们。

一般而言,社会工程攻击者通常会以一个理由直接要求受害者付款。当然,有时他们也会将窃取的信息出售给其他骗子,从而获得访问网络/系统的权限,实施勒索。

关于“First Light 2022”行动

国际刑警组织发起的“First Light 2022”行动主要打击的对象是电话诈骗、婚恋诈骗和商业电邮诈骗,这些都与金融犯罪密切相关。

这一行动自2022年3月到5月,持续了两个月,取得了一系列的成果:

突击检查了全球范围内的1,770个犯罪网点;

对约3000名嫌疑人进行了身份确认;

逮捕了约2,000名经营者、诈骗犯与洗钱者;

冻结了约4000个银行账户;

截获了价值约5000万美元的非法资金。

国际刑警组织强调的一点是,冒充电子商务机构的庞氏骗局与电子商店骗局似乎正在不断增加。

“作为‘First Light 2022’行动的一部分,新加坡警方逮捕了八名与一起庞氏骗局有关的嫌疑人。诈骗者会通过社交媒体或消息系统对外宣传提供高薪的在线销售工作岗位,起初受害者确实会有一些微薄的收入,但随后他们会被要求招募更多成员以赚取佣金”,国际刑警组织的一份报告中这样写道。

此外,国际刑警组织的分析师还发现了2022年的另一个趋势,那就是犯罪者会冒充国际刑警组织的官员,然后随机向人们发送威胁信息,要求他们向这些假官员付款以停止对他们的调查行动。

这些社会工程骗局不仅会造成巨大的经济损失,有时甚至会造成危及生命的严重后果。国际刑警组织表示,当前社交媒体平台上的人口贩卖活动正在明显增加,人们往往被高薪工作诱惑,然后被迫参加劳动、被奴役或囚禁在赌场或渔船上。

]]>
邮件巨头Zimbra曝严重漏洞,黑客无需密码即可登录 Sun, 25 Sep 2022 04:45:26 +0800 据Bleeping Computer报道,邮件巨头Zimbra某些版本的高严重性漏洞的技术细节已经浮出水面,通过利用该漏洞,黑客可以在没有身份验证或用户交互的情况下窃取登录信息,这意味着黑客无需账号密码即可登录用户的邮箱。

该漏洞编号为CVE-2022-27924,目前已经被收录至CNNVD,编号为CNNVD-202204-3913,受影响的Zimbra主要是开源和商业版本8.x和9.x。自2022年5月10日起,Zimbra 版本ZCS 9.0.0 的补丁24.1,以及ZCS 8.8.15的补丁31.1 中都发布了一个修复程序。

资料显示,Zimbra提供一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。它最大的特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox,Safari和IE浏览器。其产品遍布全球,在各国/地区的政府、组织、金融和教育部门广泛使用。

 悄无声息窃取登录凭证 

SonarSource公司的研究人员报告了该漏洞,并对其进行描述,“未经身份验证的攻击者可以将任意 memcache 命令注入目标实例”。因此,攻击者可以通过将CRLF注入Memcached查找的用户名来进行利用。

Memcached是一个免费开源的、高性能的、具有分布式内存对象的缓存系统,通过减轻数据库负载加速动态Web应用。因此它可以存储电子邮件帐户的键/值对,通过减少对查找服务的 HTTP 请求数量来提高 Zimbra 的性能。但是,Memcache使用的是比较简单的基于文本的协议进行设置和检索。

研究人员进一步解释,攻击者可以通过对易受攻击的Zimbra实例的特制HTTP请求,来覆盖已知用户名的IMAP路由条目。而当真实用户登录时,Zimbra中的Nginx代理会将所有 IMAP 流量转发给攻击者,包括纯文本凭据。

邮件客户端(如Thunderbird、Microsoft Outlook、macOS等邮件应用程序和智能手机邮件应用程序)通常会将用户连接到其IMAP服务器的凭据存储在磁盘上,因此该漏洞在利用时不需要任何用户交互。但是,当邮件客户端重新启动或需要重新连接时,就需要重新对目标 Zimbra 实例进行身份验证。

事实上,在日常生活中,想要知道目标用户的电子邮件地址是一件非常容易的事情,而使用 IMAP 客户端也让攻击者可以更容易地利用该漏洞,但是这里面的详细信息并非强制性。另外一种攻击者则是利用技术允许绕过上述限制,在没有交互且不了解 Zimbra 实例的情况下窃取任何用户的凭据。

这是通过“Response Smuggling”来实现,利用了基于 Web 的 Zimbra 客户端的替代途径。通过不断向 Memcached 的共享响应流中注入比工作项更多的响应,攻击者可以强制随机 Memcached 查找使用注入的响应而不是正确的响应。这是因为 Zimbra 在使用 Memcached 响应时没有验证它的密钥。

那么,攻击者就可以轻松劫持电子邮件地址未知的随机用户的代理连接,仍然不需要任何交互或为受害者生成任何警报。

 请及时更新安全措施 

2022年3月1日,SonarSource公司研究人员就向Zimbra提交了这一漏洞信息,3月31日,Zimbra公司发布了第一个安全补丁,但是没有完全解决这一问题。5月10日,软件供应商发布了ZCS 9.0.0 补丁 24.1和ZCS 8.8.15 补丁 31.1解决了这些问题,方法是在发送到服务器之前创建所有 Memcache 密钥的 SHA-256 哈希,并敦促用户及时进行更新。

需要注意的是,SHA-256 不能包含空格,因此不能为 CRLF 注入创建新行,并且补丁版本不会发生命令注入攻击。

]]>
曾经的“王者”退役,微软IE浏览器将于6月15日停止服务 Sun, 25 Sep 2022 04:45:26 +0800 据悉,美国微软将于当地时间6月15日(北京时间16日)结束对网页浏览软件“Internet Explorer(IE)”的支持。

Microsoft Edge浏览器5月16日通过其官方微博宣布,IE浏览器正式退役后,其功能将由Edge浏览器接棒。对此,微软解释说,Microsoft Edge不仅提供了更高的安全性,比其前身更现代,而且还保证了“与老的、继承自其他程序的网站和应用程序的兼容性”。

“Microsoft Edge内置了IE模式,因此您可以直接从Microsoft Edge访问那些基于IE的老网站和应用程序。”微软表示。

作为曾经全球第一,最高市场份额达到95%的浏览器,IE曾开启并见证了一个时代,以至于在很多老用户的潜意识中,其以字母“e”为核心的Logo,已经成为了浏览器的代名词。但从2000年代后半期开始,IE的份额持续减少,分析网站StatCounter的统计显示,目前IE的份额已从2009年1月的65%下降到1%以下。

]]>
华为云带崩同花顺等一众应用一同上热搜,工行系统疑似崩溃 Sun, 25 Sep 2022 04:45:26 +0800 今日上午11点左右,有大量网友发微博吐糟华为云崩了。与此同时,许多用户反映,同花顺上午部分时段出现无法交易,行情等界面出现卡顿现象。

据财联社报道,同花顺回应表示,“华为云部分区域网络出问题,我们部分用户也因此受影响。” 目前,该故障已经解除,同花顺方面也表示APP交易已恢复正常。

针对华为云崩溃的消息,华为云官方微博回应此消息称,华为云监测发现华为云华南-广州区域公网访问异常,目前该故障已恢复,请尽快检查您的业务情况。

此外,工行系统也疑似崩溃

]]>
俄罗斯知名媒体电台遭黑客攻击:奏响乌克兰国歌 Sun, 25 Sep 2022 04:45:26 +0800 安全内参消息,上周三(6月8日),俄罗斯的生意人报电台(Kommersant FM)的播报出现中断,转而播放乌克兰国歌和其他反战歌曲。

之后,广播很快中止。官方发布声明,确认遭受黑客攻击:

“广播电台遭到了黑客攻击。网络实时播报将很快恢复。”

生意人报电台主编Alexey Vorobyov对俄媒塔斯社表示,黑客入侵发生在上周三,目前内部技术专家正在核查攻击来源。

被黑客篡改的是生意人报电台的午间播报节目,该电台是俄罗斯知名私营媒体生意人报的广播版。英媒BBC记者Francis Scarr在推文中提到,当时生意人报电台播放了乌克兰著名爱国民歌、曾经的国歌《哦,草地上的红荚蒾》。

黑客还播放了俄罗斯摇滚乐队Nogu Svelo!的歌曲《我们不需要战争》。歌词中引用了俄罗斯外交部长Sergei Lavrov的话,“硬汉永远信守诺言”。

此次遭到攻击的目标,生意人报电台归属乌兹别克裔俄罗斯富豪Alisher Usmanov所有。由于涉及与俄罗斯总统普京有关联,美国和欧盟在俄乌战争爆发后对Usmanov进行了制裁。Usmanov对制裁提出了质疑,表示将使用一切法律手段保护自己。

]]>
周鸿祎:想做直播带货抹不下面子 数据勒索成突出的安全威胁 Sun, 25 Sep 2022 04:45:26 +0800 360公司每年接到并处理的勒索攻击事件多达4000余起,受害企业面临着重要数据资产被盗和泄漏的严重后果,轻则造成业务停顿,重则被迫缴纳巨额赎金。在亚布力论坛上,360集团创始人周鸿祎提及了直播带货,”我最近是想做带货直播,但昨天试了一下发现不行,我这个人太理想派,实在抹不下面子。

我觉得做带货直播真的需要特殊才能,你们不要瞧不起带货主播在那喷两个小时吹自己的东西有多好,他这个话是一直都不停的,这点我真的做不到。如果带货,我准备卖思想和理念。”周鸿祎说,希望推广数字安全的重要性。

在数字化上升为国家战略的背景下,产业数字化将成为数字化的主旋律,并重塑传统产业,未来所有的行业都值得用数字化技术重塑一遍。这也给很多科技公司、传统企业提供了巨大的机遇。

数字化在带来新机遇、新场景的同时,也可能让安全环境更“脆弱”。当前网络攻击威胁已超越传统安全威胁。周鸿祎认为,“数字文明时代最大的威胁,早已不是过去的小毛贼、小黑客,而是更加专业有组织的网络威胁,包括APT组织、勒索攻击、DDoS攻击、网站攻击、供应链攻击、网络诈骗等。”但是,周鸿祎表示依然有很多人对安全的认识依然停留在计算机安全、网络安全时代,以为安全就是杀病毒木马,用防火墙隔离等传统手段。事实上,随着新兴的数字技术和复杂的数字化场景带来的挑战,简单安全升级为复杂安全,网络安全行业也应当被重新定义,将计算机安全、网络安全升维到数字安全,才能跟得上国家的产业数字化发展要求,才能保障人们进入数字文明时代。

周鸿祎表示,数字化有三大特征:一切皆可编程、万物均要互联、大数据驱动业务,本质是软件重新定义世界。“一切皆可编程”意味着一切皆可数字化,而凡是软件都会有漏洞,这也意味着“漏洞无处不在”,有漏洞就能被黑客利用遭致攻击。“万物均要互联”意味着边界模糊、虚实打通,过去仅在虚拟世界里的网络攻击,会转变成对物理世界的伤害,导致工厂停工、大面积停电、社会停摆。“大数据驱动业务”意为所有的业务都由数据驱动,数据安全直接影响业务安全,数据一旦遭到攻击就意味着业务停转。未来,软件定义世界,整个世界都将架构在软件之上,整个世界的脆弱性将前所未有。所以,安全已经成为数字文明时代的“基座”。

大量数字化新技术、新应用的产生,也催生出如车联网、关键基础设施、工业互联网、能源互联网、数字政府、智慧城市等一系列新场景,引申出大数据安全、云安全、供应链安全、物联网安全、新终端安全、区块链安全等一系列新的安全挑战,这也导致简单安全问题升级为复杂安全问题。以大数据安全为例,数据勒索已经成为一种突出的安全威胁,360公司每年接到并处理的勒索攻击事件多达4000余起,受害企业面临着重要数据资产被盗和泄漏的严重后果,轻则造成业务停顿,重则被迫缴纳巨额赎金。

目前网络上“万物”皆可被攻击。周鸿祎表示,“事实上包括特斯拉的智能网联汽车、车厂都存在大量的漏洞,只要有漏洞就会被黑客利用发起攻击。所以未来如果不能解决车联网的数字安全问题,即使你开新能源车、智能网联车,都不能保障这个车将行驶向何方。”周鸿祎认为,在数字安全新挑战面前,传统网络安全应该升级。不过,目前仍有很多政企单位的安全思维依旧停留在传统认知上,例如在指导思想上将网络安全视为附庸,投入不够,没有顶层设计;以卖货思维为主导,重视产品而忽视运营;技术上抱残守缺,产品各自为战,看不见安全风险。

]]>
HID Mercury曝严重漏洞,可解锁访问控制系统 Sun, 25 Sep 2022 04:45:26 +0800 据Security Affairs消息,LenelS2 HID Mercury Access Controller存在严重的安全漏洞,攻击者可利用这些漏洞远程解锁访问控制系统。

网络安全公司Trellix的安全研究人员共在LenelS2发现了8个零日漏洞,远程攻击者可以利用这些漏洞执行任意代码、执行命令注入、信息欺骗、写入任意文件和触发拒绝服务 ( DoS) 条件。

Trellix 安全研究人员Steve Povolny 和 Sam Quinn 在报告中指出,这些漏洞可以让攻击者远程解锁门禁系统,破坏警报装置,日志和通知系统的能力。

资料显示,LenelS2 是 HVAC 巨头 Carrier 旗下的高级物理安全解决方案(即访问控制、视频监控和移动认证)提供商,被广泛用于医疗保健、教育、交通和政府设施,一旦漏洞被攻击者利用,那么很有可能造成严重的影响。

简而言之,这些问题可能会被攻击者武器化,以获得完整的系统控制权,包括操纵门锁的能力。其中一个零日漏洞 (CVE-2022-31481) 中还包括一个未经身份验证的远程执行漏洞,该漏洞在 CVSS 评分系统中的严重程度为 10 分(满分 10 分)。

其他缺点可能导致命令注入(CVE-2022-31479、CVE-2022-31486)、拒绝服务(CVE-2022-31480、CVE-2022-31482)、用户修改(CVE-2022-31484)、和信息欺骗(CVE-2022-31485)以及实现任意文件写入(CVE-2022-31483)。

研究人员对固件和系统二进制文件进行了逆向工程,并进行了实时调试,八个漏洞中的六个未经身份验证,两个经过身份验证的漏洞可通过网络远程利用。

研究人员表示,通过将两个漏洞链接在一起,我们能够利用访问控制板并远程获得设备的根级别权限。有了这种访问级别,我们创建了一个程序,可以与合法软件一起运行并控制门。这使我们能够解锁任何门并颠覆任何系统监控。

随后,安全人员发布了这些漏洞的PoC测试视频,直观展示了可能出现的攻击。目前,Carrier 已发布了产品安全公告 ,警告客户相关漏洞并敦促他们安装固件更新。

受影响的 LenelS2 部件号包括:

LNL-X2210

S2-LP-1501

LNL-X2220

S2-LP-1502

LNL-X3300

S2-LP-2500

LNL-X4420

S2-LP-4502

LNL-4420

美国网络安全和基础设施安全局 (CISA) 也发布了这些漏洞的公告。

]]>
破解关机的iPhone:漏洞永不休眠 Sun, 25 Sep 2022 04:45:26 +0800 近日,研究人员发现iPhone在关机状态下仍在工作,即使手机断电,也可能会面临黑客攻击和被植入恶意软件的风险。

德国达姆施塔特(Darmstadt)大学安全移动网络实验室的研究人员发表了一篇名为《邪恶永不眠:当无线恶意软件在关闭iPhone后继续运行》(Evil Never Sleeps:When Wireless Malware Stays On After Turning Off iPhones)的论文,描述了一种破解关机状态iPhone的理论方法。该研究检查了无线模块的操作,找到了分析蓝牙固件的方法,从而引入了能够完全独立于设备操作系统iOS运行的恶意软件。

稍微想象一下,不难预见这样一个场景:攻击者将受感染的手机靠近受害者的设备并传输恶意软件,然后窃取支付卡信息甚至虚拟车钥匙。

之所以需要想象是因为该论文的作者只是理论上证明了这一点,距离实际的攻击还差一步。即便如此,研究人员还是做了很多工作来分析手机的未记录功能,对其蓝牙固件进行逆向工程,并对使用无线模块的各种场景进行建模。

首先要声明一个重点:如果设备已关闭,但与它的交互(例如黑客攻击)仍然是可能的,那么你猜怎么着——它并没有完全关闭!

我们是如何做到关闭某些东西却又没完全关闭的呢?让我们从头说起……

苹果的低功耗(LPM)模式

2021年,Apple宣布即使设备关闭,用于定位丢失设备的Find My服务也能正常运行。自iPhone 11以来,所有Apple智能手机都可以使用这项改进功能。

例如,如果用户在某处丢失了手机并且它的电池在一段时间后耗尽,它并不会完全关闭,而是切换到低功耗(Low-Power Mode,LPM)模式,其中只有非常有限的一组模块保持活跃。这些主要是蓝牙和超宽带(UWB)无线模块,以及近场通信(NFC)等。还有所谓的安全元件——一种安全芯片,用于存储您最宝贵的秘密,例如用于非接触式支付的信用卡详细信息或车钥匙(自2020年以来为有限数量的车辆提供的最新功能)。

LPM是iPhone的一种省电模式,该模式打开时,手机状态栏中的电池图标将变为黄色,待iPhone或iPad充电至80%或更高电量后,苹果的LPM会自动关闭。

LPM模式下的蓝牙用于数据传输,而UWB用于确定智能手机的位置。在LPM模式下,智能手机会发送有关自己的信息,路人的iPhone可以获取这些信息。如果丢失手机的所有者在线登录其Apple帐户并将手机标记为丢失,那么来自周围智能手机的信息将用于确定设备的下落。

不可否认,LPM模式为用户提供了便利,但也增加了安全风险,引发了信息安全专家的关注。为此,来自德国的研究团队决定在实践中测试可能的攻击场景。

关机之后的“Find My”功能

首先,研究人员对低功耗模式下的Find My服务进行了详细分析,发现了一些前所未知的特性。断电后,大部分工作由蓝牙模块处理,通过一组iOS命令重新加载和配置。然后它会定期通过无线发送数据包,允许其他设备检测到未真正关闭的iPhone。

事实证明,这种模式的持续时间是有限的:在iOS 15.3版本中,仅设置了96个广播会话,间隔为15分钟。也就是说,丢失且关机的iPhone只能在24小时内找到。如果手机因电池电量不足而关机,则窗口会更短——大约5个小时。这可以被视为该功能的一个“怪癖”,但也暴露了一个真正的错误:有时当手机关闭时,“信标”模式根本没有激活,虽然它应该是激活的。

这里最有趣的是蓝牙模块在断电前被重新编程;也就是说,它的功能发生了根本性的改变。但是,如果它可以重新编程以损害所有者的利益,结果又会怎样?

针对关机手机的攻击

事实上,该研究团队的主要发现是蓝牙模块的固件并非加密,也未受到“安全启动”(Secure Boot)技术的保护。安全启动涉及在启动时对程序代码进行多级验证,以确保只有设备制造商授权的固件才能运行。

缺乏加密允许分析固件和搜索漏洞,这些漏洞以后可用于攻击。但是缺乏安全启动将允许攻击者用他们自己的代码完全替换制造商的代码,然后蓝牙模块会执行这些代码。相较之下,对iPhone UWB模块固件的分析显示它受到Secure Boot的保护,但固件同样未加密。

当然,对于严重的实际攻击来说,这还不够。为此,攻击者需要分析固件,尝试用自己制作的东西替换它,并寻找入侵的方法。该论文的作者详细描述了攻击的理论模型,但并未展示iPhone可以通过蓝牙、NFC或UWB进行实际的黑客攻击。研究结果清楚表明,如果这些模块始终处于打开状态,那么漏洞同样将始终有效。

Apple对这项研究不以为然,并且拒绝提供任何信息。研究人员必须处理封闭的软件代码,且这些代码通常是加密的。智能手机是一个庞大而复杂的系统,很难研究清楚,尤其是在制造商不配合甚至百般阻挠的情况下。

虽然这项研究发现称不上令人惊叹,但它是大量艰苦工作的结果。而且这篇论文对关机手机电源的安全策略提出了质疑,这些质疑也被证实是有道理的。

半断电(half powered-off)设备

该论文得出结论,蓝牙固件没有得到充分保护。理论上,可以在iOS中对其进行修改,或者通过扩展/更改其功能来重新编程相同的低功耗模式。然而,主要问题是这些无线模块(以及NFC)直接与作为安全元件的受保护飞地(enclave)通信。这让我们得出了这篇论文中一些最令人兴奋的结论:

从理论上讲,即使设备处于关机状态,也有可能从iPhone上窃取虚拟车钥匙!显然,如果iPhone是车钥匙,丢失设备可能意味着丢失汽车。但是,在这种情况下,当钥匙被盗时,实际的手机仍然在您手中。想象下述场景:一个恶意行为者在商场接近你,用手机刷你的包,偷走你的虚拟钥匙。

理论上可以修改蓝牙模块发送的数据,例如,为了使用智能手机监视受害者——同样地,即使在手机关机的状态下。

从手机中窃取支付卡信息是另一种理论上的可能性。

但这当然还有待证明。德国团队的研究再次表明,添加新功能会带来一定的安全风险,必须慎重考虑。尤其是当现实与想象大相径庭时:你认为自己的手机完全关机了,而实际上并非如此。

请注意,这并不是一个全新的问题。英特尔管理引擎和AMD安全技术也可以处理系统保护和安全远程管理,只要笔记本电脑或台式电脑的主板连接到电源,它们就会处于活动状态。 与iPhone中的蓝牙/UWB/NFC/安全元件捆绑包一样,这些系统在计算机内部拥有广泛的权限,其中的漏洞可能非常危险。

从好的方面来说,该论文对普通用户没有直接影响,研究中获得的数据不足以进行实际攻击。 但作为一个万无一失的解决方案,研究人员建议Apple应该实施一个硬件开关,完全切断手机的电源。但鉴于Apple的“物理按钮恐惧症”,这一点应该很难实现。

]]>
商品改为一折导致600余万元损失:两员工离职报复公司被抓 Sun, 25 Sep 2022 04:45:26 +0800 近日,一电商公司发现,自己在亚马逊上运营的店铺账号被盗,不仅有产品部分下架,更是有部分商品被改为一折倾销。根据该公司负责人吴女士的描述,店铺在亚马逊上的商品被人操作下架,且部分90美元的商品,被陆续以9.9美元的低价进行销售,导致了公司超600万元人民币的损失。

报警后,当地警方很快锁定了两名犯罪嫌疑人。

这两人均为公司的离职员工,凭借自己手中的原始数据,篡改了公司网店的密码以及收取货款的银行卡,从而满足自己的报复心理,并谋取利益。

目前,两名嫌疑人已经抓获,并因涉嫌非法获取计算机信息系统数据罪,被采取刑事拘留措施。


]]>
《安联智库-网安周报》2022-06-12 Sun, 25 Sep 2022 04:45:26 +0800

1、中国信通院:“一键解绑”服务仍在试运行与测试阶段

你知道自己的手机号绑定了哪些App吗?如何统一进行解绑?前不久,工信部旗下的中国信息通信研究院推出的“一键查询”和“一键解绑”功能引起网友热议,可解除持有手机号与互联网账号之间的绑定或关联关系。
6月12日凌晨,中国信通院旗下“码号服务平台”微信公众号(原“一号通查”)发布“服务公告”,公告表示,感谢大家关注“一键解绑”服务,该服务正处于试运行测试期间,系统功能和性能仍需进一步迭代完善。我们将持续对系统进行优化,为广大用户提供更优质的服务。
据媒体报道,中国信通院工作人员此前回应称,此项工作由该院“技术与标准研究所”负责,但目前该功能尚处于内测阶段,没有运行也没有对外发布。
据了解,“一键解绑”服务已覆盖微博、淘宝、抖音、今日头条、美团、大众点评、小米生态等应用。
中国电信、中国移动、中国联通在网手机用户(不含2021年前携号转入用户)可申请使用该项服务,官方表示,未经持有号码人授权,不得使用该服务,同时不得利用该服务从事侵害他人合法权益的行为。
2、美国:以后发现漏洞,禁止告诉中国! 

近日,美国商务部工业和安全局发布了一项网络安全最终规定。中国被分到D类,在网络漏洞信息分享上受到更严格的管控。

简单来说,就是美国实体与中国政府相关的组织和个人合作时,如果发现安全漏洞和信息,不能直接公布,要先经过商务部审核。理由嘛,又是百试不爽的「国家安全」,以及「反恐需要」。

实际上,这次公布的新规定是2021年10月临时规定(征求意见稿)的最终确认。该规定将全球国家分为A、B、D、E四类,限制措施和严格程度逐步递增。

中国被分在D类,即「受限制国家和地区」,E类则为「全面禁运国家」。该规定对某些网络安全项目建立了新的控制方法,目的则是出于「国家安全和反恐考虑」。

3、瑞星监测到利用微软最新高危漏洞的恶意代码

近日,瑞星威胁情报平台监测到一个新型微软支持诊断工具远程代码执行漏洞(CVE-2022-30190,又名"Follina"),目前在开源代码平台上已经存在该漏洞的概念验证代码,同时捕获到相关漏洞的在野利用样本。

瑞星安全专家介绍,该样本为Microsoft Word文档,当用户手动执行后,会下载Qakbot木马程序,从而被盗取隐私信息。目前,瑞星ESM防病毒终端安全防护系统可拦截相关漏洞利用行为,广大用户可安装使用,避免该类威胁。

漏洞概况:

5月30日,微软发布了CVE-2022-30190这一漏洞,并介绍该漏洞存在于 Microsoft Support Diagnostic Tool(即微软支持诊断工具,以下简称 MSDT),攻击者可以利用该漏洞调用MSDT工具应用程序运行任意PowerShell代码,随后安装程序、查看、更改或删除数据,或者创建帐户。

攻击原理:

瑞星安全专家介绍,当用户打开恶意文档后,攻击者便可利用CVE-2022-30190漏洞与Microsoft Office的远程模板加载功能进行配合,由Office从远程网络服务器获取恶意HTML文件,HTML文件则会唤起MSDT工具应用程序并由其执行恶意PowerShell代码,该恶意代码将会在用户主机上从指定链接中下载Qakbot木马并执行,从而窃取用户隐私信息。

防范建议:具体操作步骤:

1. 以管理员身份运行命令提示符

2. 备份注册表项,执行命令:"reg export HKEY_CLASSES_ROOT\\ms-msdt 指定文件名称"

3. 执行命令:"reg delete HKEY_CLASSES_ROOT\\ms-msdt /f"

4、FBI捣毁出售大量被盗个人重要信息的网络黑市

美国执法官员已经关闭了一系列通过出售被盗数据获得1900万美元收入的网站。这些网站贩卖的黑市数据包括重要的个人信息,如被盗的社会安全号码和出生日期。因此,这一行动被捣毁绝对是一个大胜利。

美国司法部于6月7日宣布关闭“SSNDOB Marketplace”网站。除其他事项外,该公告还包括这个令人震惊的细节。这些网站正在出售约2400万个被盗的社会安全号码。就背景而言,这个数字超过了佛罗里达州的人口。

出售被盗社会安全号码的网站

根据美司法部的说法,SSNDOB网站的管理员在暗网犯罪论坛上创建了广告。这些广告宣传市场的服务,同时管理员提供客户支持并在买家将钱存入其账户时进行监控。

防止身份被盗

像这样的犯罪活动提醒人们,身份盗窃是一个永远存在的威胁,人们需要认真对待。下面,你会发现你可以采取的步骤来减少自己成为受害者的可能性(由USA.gov提供):

这第一个步骤应该不用多说。不要因为有人问你要个人信息(如你的出生日期、社会安全号码或银行账户号码)就分享这些信息;

一定要把旧的收据、信贷通知、账户报表和过期的信用卡撕掉;

最重要的是,创建身份窃贼无法猜测的复杂密码。此外,如果跟你有业务往来的公司的计算机系统出现漏洞请更改密码。

]]>
瑞星监测到利用微软最新高危漏洞的恶意代码 Sun, 25 Sep 2022 04:45:26 +0800 近日,瑞星威胁情报平台监测到一个新型微软支持诊断工具远程代码执行漏洞(CVE-2022-30190,又名"Follina"),目前在开源代码平台上已经存在该漏洞的概念验证代码,同时捕获到相关漏洞的在野利用样本。

瑞星安全专家介绍,该样本为Microsoft Word文档,当用户手动执行后,会下载Qakbot木马程序,从而被盗取隐私信息。目前,瑞星ESM防病毒终端安全防护系统可拦截相关漏洞利用行为,广大用户可安装使用,避免该类威胁。

漏洞概况:

5月30日,微软发布了CVE-2022-30190这一漏洞,并介绍该漏洞存在于 Microsoft Support Diagnostic Tool(即微软支持诊断工具,以下简称 MSDT),攻击者可以利用该漏洞调用MSDT工具应用程序运行任意PowerShell代码,随后安装程序、查看、更改或删除数据,或者创建帐户。

攻击原理:

瑞星安全专家介绍,当用户打开恶意文档后,攻击者便可利用CVE-2022-30190漏洞与Microsoft Office的远程模板加载功能进行配合,由Office从远程网络服务器获取恶意HTML文件,HTML文件则会唤起MSDT工具应用程序并由其执行恶意PowerShell代码,该恶意代码将会在用户主机上从指定链接中下载Qakbot木马并执行,从而窃取用户隐私信息。

瑞星安全专家介绍,CVE-2022-30190属于高危漏洞,在宏被禁用的情况下仍然可以正常触发,并且当恶意文档为RTF格式时,还可以通过Windows资源管理器中的预览窗格触发此漏洞的调用。

防范建议:

目前,瑞星ESM防病毒终端安全防护系统可拦截相关漏洞利用行为,同时广大用户也可参考微软官方给出的防护建议,直接禁用MSDT URL协议。

具体操作步骤:

1. 以管理员身份运行命令提示符

2. 备份注册表项,执行命令:"reg export HKEY_CLASSES_ROOT\\ms-msdt 指定文件名称"

3. 执行命令:"reg delete HKEY_CLASSES_ROOT\\ms-msdt /f"

如需将该协议恢复使用,可进行如下操作:

1. 以管理员身份运行命令提示符

2. 执行命令:"reg import 之前备份时指定的文件名称"

]]>
以后发现漏洞,禁止告诉中国! Sun, 25 Sep 2022 04:45:26 +0800 近日,美国商务部工业和安全局发布了一项网络安全最终规定。中国被分到D类,在网络漏洞信息分享上受到更严格的管控。

近日,美国商务部工业和安全局(BIS)正式发布了针对网络安全领域的最新的出口管制规定。

对,就是那个发布「实体清单」、「贸易黑名单」的BIS,说起来这几年,它也算是「中国网友的老朋友」了。

这次又是什么?主要是关于网络安全和漏洞信息的管控。

简单来说,就是美国实体与中国政府相关的组织和个人合作时,如果发现安全漏洞和信息,不能直接公布,要先经过商务部审核。

理由嘛,又是百试不爽的「国家安全」,以及「反恐需要」。

实际上,这次公布的新规定是2021年10月临时规定(征求意见稿)的最终确认。该规定将全球国家分为A、B、D、E四类,限制措施和严格程度逐步递增。

中国被分在D类,即「受限制国家和地区」,E类则为「全面禁运国家」。

该规定对某些网络安全项目建立了新的控制方法,目的则是出于「国家安全和反恐考虑」。

同时,BIS还增加了一项新的授权网络安全出口的例外情况。核心内容是授权这些网络安全项目出口到大多数目的地,但是上述提到的例外情况则不可以。

BIS认为,这些被控制的项目可能被用于监视、间谍活动,或者其它以破坏等为目的的行为。

此外,该规定还修正了商务控制清单中的出口控制分类编号。

BIS新规将全球国家分为A、B、D、E四类,其中D类是最受关注的、受限制的国家和地区。

根据新规的要求,各实体在与D类国家和地区的政府相关部门或个人进行合作时,必须要提前申请,获得许可后才能跨境发送潜在网络漏洞信息。

当然,条款也有例外,如果出于合法的网络安全目的,如公开披露漏洞或事件响应,无需提前申请。

可以看到,中国在国家安全、生化、导弹技术、美国武器禁运这四项都被画了×。

文件中指出,对代表政府行事的个人的许可要求是必要的,以防止代表D组国家政府行事的人因从事违反美国国家安全和外交政策利益的活动而获得「网络安全项目」。

如果没有这项要求,那么可能会导致D类国家的政府访问到这些项目。

BIS通过的这项要求,意味着出口商在某些情况下必须检查与他们合作的个人和公司的政府隶属关系。

然而,由于许可要求的范围和适用性有限,BIS认为该要求将保护美国的国家安全和外交政策利益,而不会过度影响合法的网络安全活动。

同时,BIS还修订了条款§ 740.22(c)(2)(i),这实际上扩大了例外的范围。

现在的条款允许向D组国家出口数字产品,或是向警察或司法机构出口任何网络安全项目到D组国家。

但是,BIS其实只打算允许出于刑事或民事调查或起诉的目的,将数字产品出口到D组国家的警察或司法机构。

可以说,这些更改反映了预期的意见。

微软反对,无效!

对于BIS的这个新规,美国国内科技巨头也不算是铁板一块,软件巨头微软公司就明确表示了异议。

早在去年,这条规定发布征求意见稿后,微软就以书面意见形式在评论部分提交了对这份文件的异议。

微软表示,如果参与网络安全活动的个人和实体因和政府有关联而受限,将大大压制全球网络安全市场目前部署的常规网络安全活动的能力。

很多时候,在无法确定对方是否和政府存在关联时,企业面对合规压力只能放弃合作。

微软的反对态度并不奇怪。

目前的漏洞分享机制,对微软的软件开发生态非常重要。很多时候,微软需要通过逆向工程和其他技术对漏洞进行分析后,才发布相关的补丁和升级,而一旦漏洞分享机制遭破坏,将直接降低微软发现和修复漏洞的速度。

微软提出,BIS应该进一步明确定义「政府最终用户」,或者至少澄清这个定义下可能涵盖哪些个人或实体。

BIS在该规定的最终决定稿发布时,提及了微软的反对意见,但没有点名,并表示「BIS不同意该意见」。

BIS在文件中提到:

「有公司表示,对代表'政府最终用户'人的限制,将阻碍与网络安全人员的跨境合作,因为在与这些人沟通之前,要检查其是否与政府有联系。该公司建议取消这一要求或对其进行修改。BIS不同意这一建议。」

这项上周发布的最终决定,与去年10月发布的征求意见稿相比,内容没有重大变化。

不过,该规定采纳了研究界的一些意见,对需要核查的安全漏洞范围做了进一步收窄,并增加了临时例外条款。

即:如果是出于合法的网络安全目的,如披露公共漏洞或安全事件响应,无需审核。

这项例外条款很大程度上是为开源社区的正常运行创造必要条件。

微软在感谢BIS对规则修改的同时,也表示,不确定这样的例外条款能否解决实际问题。

「什么允许直接披露,什么不允许直接披露,目前还处于混乱状态。哪些行为需要申请许可,现阶段还无法确定。我们担心,对那些无法整个归入特定使用类别的技术,许可申请会非常繁琐。」

BIS承认微软的担忧,但同时坚持声称,此规定对美国国家安全是利大于弊的。

与「瓦森纳协定」异曲同工

实际上,早在2021年10月,BIS就发布了「禁止攻击性网络工具出口」的规定,阻止美国实体单位向中、俄出售攻击性网络工具。

美国商务部长吉娜·雷蒙多表示,「对某些网络安全项目实施出口管制,是一种合适的方法,可以保护美国的国家安全免受恶意网络行为的侵害,并确保合法的网络安全活动。」

BIS进一步表示,目前的规则也在「瓦森纳协议」的框架之内,即《关于常规武器和两用物品及技术出口控制的瓦森纳协议》。

《瓦森纳协议》规定,成员国自行决定发放敏感产品和技术的两用物品出口许可证,并且在自愿基础上向协定其他成员国通报有关信息。

实际上,该协议实际在很大程度上受美国控制,而且影响着其他成员国的出口管制规定,成为西方对中国实施高技术垄断的重要工具。

协议管控「军事和两用技术」出口政策,共有42个协议国,包括美、英、法、德,日等主要发达国家。俄罗斯虽然也是协议国,但依旧是禁运目标之一。

]]>
FBI捣毁出售大量被盗个人重要信息的网络黑市 Sun, 25 Sep 2022 04:45:26 +0800 美国执法官员已经关闭了一系列通过出售被盗数据获得1900万美元收入的网站。这些网站贩卖的黑市数据包括重要的个人信息,如被盗的社会安全号码和出生日期。因此,这一行动被捣毁绝对是一个大胜利。

美国司法部于6月7日宣布关闭“SSNDOB Marketplace”网站。除其他事项外,该公告还包括这个令人震惊的细节。这些网站正在出售约2400万个被盗的社会安全号码。就背景而言,这个数字超过了佛罗里达州的人口。

出售被盗社会安全号码的网站

根据美司法部的说法,SSNDOB网站的管理员在暗网犯罪论坛上创建了广告。这些广告宣传市场的服务,同时管理员提供客户支持并在买家将钱存入其账户时进行监控。

此外,SSNDOB的管理员使用了各种技术来保持匿名并防止对其活动的任何窥探。根据美国执法部门的说法,这包括“使用与其真实身份不同的在线名称,在不同国家战略性地维护服务器,并要求买家使用数字支付方式如比特币”。

美司法部的公告继续说道:“拆除和扣押这一基础设施的国际行动是与塞浦路斯和拉脱维亚的执法当局密切合作的结果。2022年6月7日,针对SSNDOB市场的域名执行了扣押令......有效地停止了该网站的运作。”

防止身份被盗

像这样的犯罪活动提醒人们,身份盗窃是一个永远存在的威胁,人们需要认真对待。下面,你会发现你可以采取的步骤来减少自己成为受害者的可能性(由USA.gov提供):

这第一个步骤应该不用多说。不要因为有人问你要个人信息(如你的出生日期、社会安全号码或银行账户号码)就分享这些信息;

一定要把旧的收据、信贷通知、账户报表和过期的信用卡撕掉;

此外,应该每年审查一次自己的信用报告。特别是要检查以确保它们不包括你没有开过的账户。你可以从Annualcreditreport.com免费订购你的报告;

最重要的是,创建身份窃贼无法猜测的复杂密码。此外,如果跟你有业务往来的公司的计算机系统出现漏洞请更改密码。

美国检察官Roger Handberg在SSNDOB公告中说道:“我赞赏我们的国内和国际执法伙伴为制止这一全球计划所做的大量工作和合作。盗窃和滥用个人信息不仅是犯罪行为,而且会在未来几年对个人产生灾难性的影响。”

Handberg跟国税局刑事调查华盛顿特区外地办事处的主管特别探员Darrell Waldon和联邦调查局坦帕分部的主管特别探员David Walker一起宣布关闭这些网站。

]]>
中国信通院:“一键解绑”服务仍在试运行与测试阶段 Sun, 25 Sep 2022 04:45:26 +0800 你知道自己的手机号绑定了哪些App吗?如何统一进行解绑?前不久,工信部旗下的中国信息通信研究院推出的“一键查询”和“一键解绑”功能引起网友热议,可解除持有手机号与互联网账号之间的绑定或关联关系。

6月12日凌晨,中国信通院旗下“码号服务平台”微信公众号(原“一号通查”)发布“服务公告”,公告表示,感谢大家关注“一键解绑”服务,该服务正处于试运行测试期间,系统功能和性能仍需进一步迭代完善。我们将持续对系统进行优化,为广大用户提供更优质的服务。

据媒体报道,中国信通院工作人员此前回应称,此项工作由该院“技术与标准研究所”负责,但目前该功能尚处于内测阶段,没有运行也没有对外发布。

据了解,“一键解绑”服务已覆盖微博、淘宝、抖音、今日头条、美团、大众点评、小米生态等应用。

中国电信、中国移动、中国联通在网手机用户(不含2021年前携号转入用户)可申请使用该项服务,官方表示,未经持有号码人授权,不得使用该服务,同时不得利用该服务从事侵害他人合法权益的行为。

]]>
微博CEO遭遇顺丰快递骗局?“千元到付费”换来“山寨机” 【反诈骗】 Sun, 25 Sep 2022 04:45:26 +0800 “微博CEO王高飞质疑顺丰千元到付”冲上热搜,引发大众关注。

6月9日,微博CEO王高飞(ID:来去之间)收到1000多元顺丰到付包裹,他在微博中@顺丰集团并提出疑问:“请教下,现在这种发个包裹,到付1000多是啥意思?是骗钱的吗?谁会这么傻不看货付钱……俺都拒收一次了,又发一次……”

快递底单截图显示,该快递寄自“华强北街道华强北桑达工业区404栋一楼5566房”,寄托物名称显示为“高端旗舰款i13”,产品类型为“电商标快”,计费重量“1kg”。

费用方面,该商品的到付费用合计为10元,但代收货款达到999元,收件方所需要支付的总金额高达1009元。

评论区中,有网友评论称,就是快递公司和诈骗分子合作,收件人大都是老板,就是赌秘书代收。还有很多运费到付的无用件,写的老板的名字,前台、门卫、秘书代收直接挂账了,反正快递公司有业绩,有运费,有手续费。

另有网友表示:“前两年听快递业务员说过,包裹里面是一个山寨机,他们知道这是骗钱的,但他们不管这个,因为发件方每天发几千票,是他们的一个大客户。”

有网友提示称,付款方式是寄付月结,即“顺丰的在册客户”。上面寄件方地址电话可能有假,但根据顺丰的月结账单号是可以锁定寄件方的吧!应该可以问一下。对此,王高飞回应称寄件方电话打不通。

实际上,早在今年4月初,央视就曝光了“高额到付费用签收却是廉价商品”的新型快递诈骗陷阱。

相关报道显示,不法分子通过非法渠道购买或违法获取大量公民个人信息,将一些假冒伪劣、价值低廉的物品,利用快递公司“货到付款”的运送方式随机寄出收取费用。有的受害人忘记自己是否购买过货到付款的商品,有的受害人以为是亲友寄给自己的快递,没有过多的思考就付款收货。直到打开快递,发现是废纸团、数据线、劣质香水等几元至十几元的廉价商品,才察觉上当受骗。

此前,广州警方从一宗69元的快递到付诈骗小案入手,深挖出涉案价值超2千万元的3个全国性“盲发快递”实施诈骗的团伙。这3个团伙自2021年6月以来,向全国各地“盲发快递”,仅6个月时间就诈骗群众达30多万人,涉案金额高达2000多万元。

有网友直言,快递公司或整个行业应该搞个黑名单制:被不同收件人投诉此到付件非本人需求、疑似诈骗达十例以上,寄件方再也无法使用快递服务。

顺丰2021年年报显示,顺丰控股全年实现营收2071.87亿元人民币,同比增长34.55%;归母净利润42.69亿元人民币,同比下滑41.73%;扣非归母净利润18.34亿元,同比下滑70.09%。

去年(2021年)第一季度,面对全行业的低价竞争,顺丰经历了“巨亏风波”。因出现上市后的首次亏损,顺丰创始人王卫公开道歉,他表示:自己对这样的业绩责无旁贷,第一季度我们没有经营好,我在管理上是有疏忽的。王卫立下承诺:公司在第二季度不会再亏损了。随后,顺丰在2021年第二、三、四季度分别实现了17.49亿、10.38亿、24.71亿元净利润。

而到了今年的一季报,顺丰营收达到629.84亿元,较2020年的426.2亿元增长47.78%,净利润为10.22亿元,上年同期则是亏损9.89亿元,扭亏为盈。

但利润增长的背后是否有企业未清理的角落,仍值得关注。目前,“来去之间”发微博已经过去24小时,顺丰集团暂未有官方回复。

]]>
摩拜单车拉丁美洲用户个人信息在网上曝光 Sun, 25 Sep 2022 04:45:26 +0800 近日,网上出现了一个由共享单车服务用户上传的超12万份护照、驾照和身份文件的巨大宝库。据悉,安全研究员Bob Diachenko于2月11日在一个未受保护的亚马逊托管的存储桶中发现了这些数据并将细节传给了TechCrunch以努力确保数据安全。

这个存储桶的名字表明它属于摩拜单车,这是一家曾在中国成立的共享单车运营商。任何知道这个容易猜到的储存桶的名字的人都可以从他们的网络浏览器中浏览护照和身份文件库,这些文件可以追溯到2017年且其规模每天都在增长。

据悉,桶内储存了用户在使用摩拜单车前必须上传的身份文件。该桶还包含9.4万张客户自拍和4.9万个客户签名,它们则都是被用来验证用户身份的。几乎所有的身份文件都是拉丁美洲的用户,包括阿根廷和巴西。但这些数据都没有经过加密。

摩拜单车于2015年在北京成立,已数次易手。它曾被誉为中国的共享单车先锋,这家蓬勃发展的创业公司在2018年被中国按需服务巨头美团以27亿美元的价格收购之前已经吸收了数十亿美元的投资资金。摩拜单车在中国的业务后来被重新命名为美团单车。

摩拜单车虽然有国际化的野心,但却陷入了困境。在被美团收购后的几个月里,它流失了数亿美元,美团后来决定剥离摩拜单车的国际业务以削减成本。虽然按照这家公司的计划,东南亚的摩拜单车被关闭,但通过当地合作伙伴保持其在东北亚、拉丁美洲和欧洲的运行。

然而当被联系谈论这个安全漏洞时,似乎没有人愿意对暴露的数据承担所有权--或责任。

当TechCrunch联系到美团的时候,美团发言人Xiang Xi表示,该公司“与此事无关”,因为它在2019年8月出售了摩拜单车的拉丁美洲业务,但以保密协议为由拒绝透露谁收购了该公司,这让人更难知道到底该就暴露的客户数据联系谁。

然而暴露的资料桶中的许多文件都是在2019年8月之前,当时美团据说仍持有摩拜单车的所有权。

TechCrunch联系了一些已知跟摩拜单车有关的公共和私人电子邮件地址。许多邮件没有得到回复,而其他邮件则以错误信息反弹,称这家媒体发送的邮件无法送达。TechCrunch向WhatsApp上的摩拜单车客户支持号码发送了多条含有被曝光的资料桶网址的信息但也都没有得到回应。

等到5月底,该资料桶已经被保护起来。目前还不清楚到底是谁保护了它。另外也不知道这个桶被暴露了多长时间--甚至不知道这个桶的内容是如何开始公开的。因为亚马逊的存储桶默认是私有的,控制存储桶的人必须改变其权限以允许公众访问。

在撰写本报告时,摩拜单车没有在其网站或任何社交媒体上发表关于这一安全事件的声明--实际上自2019年以来,摩拜单车一直没有发布相关信息。

]]>
网购“可达鸭”却收到“游泳鸭” 警方:莫因急于成交受骗 Sun, 25 Sep 2022 04:45:26 +0800 以100元/个网购肯德基配套玩具网红“可达鸭”,收到货发现竟是一袋“游泳鸭”,浙江义乌市的李先生哭笑不得,向派出所求助。买“可达鸭”,收到“游泳鸭”。6月9日,澎湃新闻从义乌警方了解到,李先生是通过微信朋友圈对接上卖家的,自己下单3个,又通过网店转售出75个,收到货前已付7000元货款。

订购次日,李先生收到了快递,满心欢喜拆开快递箱时傻了眼。卖家发货的根本不是“可达鸭”,而是劣质的游泳鸭玩具。当天,他的客户也陆续收到快递,同样是“游泳鸭”,而不是网购的“可达鸭”。李先生随即向义乌市公安局稠江派出所报警。

这不是第一次有人因网购“可达鸭”受骗。

澎湃新闻从义乌警方获悉,5月下旬,义乌另一名李先生嗅到商机,想通过出售“可达鸭”赚钱。在网络平台上发布信息后,有卖家主动联系他称可供货。李先生先下单了几个样品,卖家发来快递单号表示已寄出。信以为真的李先生开始大量接单,并支付4000余元货款。几日后,李先生见样品快递一直没到,才发现对方已取消发货,还拉黑了他。

警方提醒,在这类案件中,诈骗分子长期潜伏在各大网络平台,抓住受害人急于成交的心理,以出售或购买产品为借口,引导受害人脱离平台交易,实现诈骗目的,“网络交易要选择有信誉且有认证的正规商家,不要轻信陌生人”。

]]>
谷歌因侵犯隐私向居民赔偿1 亿美元 Sun, 25 Sep 2022 04:45:26 +0800 据Cybernews网站消息,美国伊利诺伊州居民对谷歌发起了一项集体诉讼,指控这家科技巨头未经其同意的情况下收集和存储个人生物特征,此举违反了伊利诺伊州的生物识别信息隐私法 (BIPA)。最终谷歌以同意支付1亿美元赔偿与诉讼达成和解。

根据原告们的说法,谷歌相册在未经充分的事先通知和同意的情况下,将照片中出现的相似人脸进行分组归类,谷歌认为,该功能主要是为了帮助用户组织归纳同一个人的照片,方便就某个人照片进行查阅。谷歌声称该功能仅用户个人可见,且可以轻松地关闭。

代表集体诉讼的网站声称,任何伊利诺伊州居民,只要在 2015 年 5 月 1 日至 2022 年 4 月 25 日期间内有任何面部影像出现在Google 照片中,都有资格申请获得赔付,申请赔付的截至日期为9月24日,最终的听证会将于9月28日举行。根据预估的申请赔付人数,每人将可获得200-400美元赔偿。

]]>
黑客利用商业电话系统漏洞发起DDoS攻击 Sun, 25 Sep 2022 04:45:26 +0800 从上月中旬开始,安全研究人员、网络运营商和安全供应商发现来自 UDP 端口 10074 的 DDoS 攻击激增,目标是宽带接入 ISP、金融机构、物流公司和其他垂直市场的组织。

经进一步调查,被滥用发动这些攻击的设备是 Mitel 生产的 MiCollab 和 MiVoice Business Express 协作系统,其中包含 TP-240 VoIP 处理接口卡和支持软件;它们的主要功能是为 PBX 系统提供基于互联网的站点到站点语音连接。

这些系统中大约有 2600 个配置不正确,因此未经身份验证的系统测试设施无意中暴露在公共 Internet 中,从而使攻击者可以利用这些 PBX VoIP 网关作为 DDoS 反射器 / 放大器。

Mitel 意识到这些系统被滥用以促进高 pps(每秒数据包数)DDoS 攻击,并一直在积极与客户合作,通过修补软件来修复可滥用设备,这些软件会禁止公众访问系统测试设施。

接下来,研究人员将解释驱动程序是如何被滥用的,并分享推荐的缓解措施。这项研究是由 Akamai SIRT、Cloudflare、Lumen Black Lotus Labs、NETSCOUT ASERT、TELUS、Team Cymru 和 Shadowserver Foundation 的一组研究人员合作创建的。

许多不应该暴露在公共互联网上的可滥用服务却被攻击者利用,供应商可以通过在发货前在设备上采用 " 默认安全 " 的设置来防止这种情况。

如果所有网络运营商都实施了入口和出口源地址验证(SAV,也称为反欺骗),则无法发起反射 / 放大 DDoS 攻击。发起此类攻击需要能够欺骗预期攻击目标的 IP 地址。服务提供商必须继续在自己的网络中实施 SAV,并要求其下游客户这样做。

在攻击者使用自定义 DDoS 攻击基础设施的初始阶段之后,TP-240 反射 / 放大似乎已被武器化并添加到所谓的 " booter/stresser" DDoS-for-hire 服务,将其置于一般攻击者的范围内。

]]>
紫光展锐T700芯片出现 9.4 级高危安全漏洞 Sun, 25 Sep 2022 04:45:26 +0800 网络安全研究公司 Check Point Research 最近公布了其对紫光展锐芯片组基带处理器中发现的新漏洞。

据调查博客称,该漏洞会影响作为芯片组一部分并负责网络连接的网络调制解调器。从理论上讲,它可能允许攻击者发送损坏的网络数据包,并禁用或中断设备的网络连接。

Check Point Research 对安装了 2022 年 1 月安全补丁的摩托罗拉 Moto G20 手机 (XT2128-2) 内的紫光展锐 T700 芯片上的 LTE 协议栈实现进行逆向工程,发现了该漏洞。

在研究人员向紫光展锐通报漏洞后该公司迅速确认并给出漏洞评分。紫光展锐对该漏洞的评级为严重漏洞,评分为9.4分,当前紫光展锐已修复漏洞并将其提交给谷歌。

由于搭载这款芯片的设备不多,因此目前主要影响的就是摩托罗拉 G20 系列机型、E30系列和E40系列机型。

谷歌已经确认关于该漏洞的补丁将成为 Android 安全公告的一部分,也就是说有望在下一个 Android 安全补丁中得到修复。

]]>
安全大事件!360万+MySQL服务器暴露在互联网上 Sun, 25 Sep 2022 04:45:26 +0800 据Bleeping Computer报道,至少有360万台MySQL服务器已经暴露在互联网上,这意味着这些服务器已经全部公开且响应查询。毫无疑问它们将成为黑客和勒索攻击者最有吸引力的目标。

在这些暴露、可访问的MySQL服务器中,近230万台是通过IPv4连接,剩下的130万多台设备则是通过 IPv6 连接。虽然Web服务和应用程序连接到远程数据库是较为常见的操作,但是这些设备应该要进行锁定,保证只有经过授权的设备才能连接并查询。

此外,公开的服务器暴露应始终伴随着严格的用户策略、更改默认访问端口 (3306)、启用二进制日志记录、密切监视所有查询并执行加密。

360万个暴露的MySQL服务器

网络安全研究组织 Shadowserver Foundation在上周的扫描中发现了360万台暴露的 MySQL 服务器,它们全部都使用默认的端口——TCP 3306。

对于这一发现,Shadow Server在报告进行了解释:“虽然我们不检查可能的访问级别或特定数据库的暴露程度,但这种暴露是一个潜在的攻击面,应该引起企业的警惕并关闭。”

这些暴露的MySQL 服务器广泛分布于全球,其中分布最多的是在美国,数量超过120万台,其余则大多分布在中国、德国、新加坡、荷兰、波兰等多个国家。如下图所示,热力图标注了通过IPv4连接的MySQL 服务器的分布情况。

具体来说,IPv4上的总暴露数量是3957457,IPv6上的总暴露数量是1421010,IPv4上的服务器响应总数为2279908,IPv6上的服务器响应总数为1343993,所有MySQL服务中有 67% 可从 Internet 访问。

同时,Shadow Server 在报告中还表示,了解如何安全地部署 MySQL 服务器并消除可能潜伏在系统中的安全漏洞,可以阅读5.7 版指南或8.0版指南。

事实上,数据库保护不当是数据被盗最主要的原因之一,因此数据库管理员应始终锁定数据库,严格禁止未经授权的非法的远程访问。

例如上文已经暴露的MySQL数据库服务器就处于巨大的安全威胁之中,可能导致灾难性的数据泄露、破坏性攻击、勒索攻击、远程访问木马(RAT) 感染,甚至 Cobalt Strike 攻击,这些都将给企业业务和运营带来十分严重的影响。

因此,企业数据库管理员应进一步做好安全建设,并尽可能加密数据库,避免赤裸裸地暴露在互联网上,使其无法通过简单的网络扫描进行访问。企业数据库服务器如同原料车间,防止其暴露是最基本,也是最重要的指标。

]]>
数百个Elasticsearch数据库遭到勒索攻击 Sun, 25 Sep 2022 04:45:26 +0800 据报道,因为Elasticsearch数据库安全防护薄弱的缘故,导致其被黑客盯上,并被黑客用勒索信替换了其数据库的450个索引,如需恢复则需要支付赎金620美元,而总赎金打起来则达到了279,000美元。威胁行为者还设置了7天付款期限,并威胁在此之后赎金将增加一倍。如果再过一周没有得到报酬,他们说受害者会丢失索引。而支付了这笔钱的用户将得到一个下载链接,链接到他们的数据库转储,据称这将有助于快速恢复数据结构的原始形式。

该活动是由 Secureworks 的威胁分析师发现的,他们确定了450多个单独的赎金支付请求。根据Secureworks的说法,威胁行为者使用一种自动脚本来解析未受保护的数据库,擦除数据,并添加赎金,所以在这次行动中似乎没有任何人工干预。

而这种勒索活动并不是什么新鲜事,其实之前已经发生过多起类似的网络攻击,而且针对其他数据库管理系统的攻击手段也如出一辙。通过支付黑客费用来恢复数据库内容是不太可能的情况,因为攻击者其实无法存储这么多数据库的数据。

相反,威胁者只是简单地删除不受保护的数据库中的内容,并给受害者留下一张勒索信。到目前为止,在勒索信中看到的一个比特币钱包地址已经收到了一笔付款。但是,对于数据所有者来说,如果他们不进行定期备份,那么遇到这种情况并丢失所有内容就很可能会导致重大的经济损失。虽然一些数据库支持在线服务,不过总有业务中断的风险,其成本可能远远高于骗子要求的小额金额。此外,机构不应该排除入侵者窃取数据并以各种方式变卖数据的可能性。

不幸的是,还是有很多数据库在无任何保护的前提下暴露在公众视野前,只要这种情况继续存在,那它们肯定就会被黑客盯上。Group-IB最近的一份报告显示,2021年网络上暴露的 Elasticsearch 实例超过10万个,约占2021年暴露数据库总数的30%。根据同一份报告,数据库管理员平均需要170天才能意识到他们犯了配置错误,但这种失误已经给黑客留下了足够的攻击时间。

Secureworks强调,任何数据库都不应该是面向公众的。此外,如果需要远程访问,管理员应为授权用户设置多因素身份验证,并将访问权限仅限于相关个人。如果将这些服务外包给云提供商的机构,也应确保供应商的安全政策与他们的标准兼容,并确保所有数据得到充分保护。

]]>
继Conti后 哥斯达黎加社保基金再遭Hive勒索软件攻击 Sun, 25 Sep 2022 04:45:26 +0800 哥斯达黎加的公共卫生服务机构--哥斯达黎加社会保障基金(CCSS)近期遭受 Hive 勒索软件攻击,导致相关系统被迫下线。CCSS 在其官方Twitter帐号上表示,本次攻击始于本周二清晨,目前正在进行调查。

CCSS 表示,包括统一数字医疗系统和集中收税系统在内的几个工资和养老金数据库没有受到攻击的影响。在接受当地媒体采访中,该机构补充说,在 1500 台政府服务器中,至少有 30 台感染了 Hive 勒索软件,对恢复时间的估计仍是未知数。

CCSS 的几名员工说,在他们所有的打印机开始吐出难以理解的文件后,他们被告知要关闭他们的电脑。另一名员工说,由于这次攻击,目前无法报告 COVID-19 的结果。

这次攻击发生在哥斯达黎加总统罗德里戈·查韦斯宣布该国进入紧急状态以应对 Conti 勒索软件集团的网络攻击的几周之后。哥斯达黎加财政部是第一个被这个与俄罗斯有关的黑客组织攻击的政府机构,在5月16日的一份声明中,查韦斯说受影响的机构数量后来增加到 27 个。

在当时发布在其暗网泄密博客上的一条信息中,康蒂敦促哥斯达黎加公民向他们的政府施压以支付赎金,该组织将赎金从最初的 1000 万美元增加到 2000 万美元。在一份单独的声明中,该组织警告说。"我们决心通过网络攻击的方式推翻政府,我们已经向你们展示了所有的力量和实力"。

网络安全专家认为,这次最新的 Hive 勒索软件攻击背后的网络犯罪分子可能与 Conti 团伙合作,帮助该团伙重塑品牌,逃避针对向在俄罗斯活动的网络犯罪分子支付勒索款项的国际制裁。

]]>
ChromeLoader恶意软件:添加恶意扩展点击在线广告谋利 Sun, 25 Sep 2022 04:45:26 +0800 近日网络安全专家发现了一个新型恶意网络病毒,通过在浏览器中添加恶意扩展程序让受害者点击在线广告,从而为不法分子带来收入。据网络安全商店 Red Canary 的安全专家分析,该病毒称之为 ChromeLoader,设备一旦感染就很难发现和删除。

在 Windows 平台上,该恶意病毒会使用 PowerShell 向受害者的 Chrome 浏览器添加恶意扩展;在 macOS 平台上,它使用 Bash 向 Safari 发起相同的攻击。Red Canary 的检测工程师 Aedan Russell 在博文中详细介绍了该恶意程序。

ChromeLoader 注入的恶意扩展程序一旦添加到受害者的浏览器中,就会通过在线广告重定向用户,从而为不法分子带来收入。 Russell 告诉 The Register,Windows ChromeLoader 使用 PowerShell 插入更多恶意 Chrome 扩展程序的情况并不常见。

Russell 表示:

ChromeLoader 的开发人员已经找到了一种通过使用 Chrome 的合法开发人员命令行参数来收集广告收入的有效方法。

通过 PowerShell 加载 Web 浏览器扩展程序(并且默默地这样做)显示出高于标准的隐蔽性,因为其他恶意浏览器扩展程序通常是通过诱骗用户公开安装它们来引入的,通常伪装成合法的浏览器扩展程序。

ChromeLoader 通过以 ISO 文件的形式分发,该文件看起来像种子文件或破解的视频游戏,从而获得了对系统的初始访问权限。据 Red Canary 称,它通过按安装付费的网站和 Twitter 等社交媒体网络传播。

]]>
WhatsApp 新骗局曝光,可劫持用户账户 Sun, 25 Sep 2022 04:45:26 +0800 近日,CloudSEK 创始人 Rahul Sasi警告称,一个新的WhatsApp OTP 骗局正在被广泛利用,攻击者可以通过电话劫持用户的账户。

整个攻击过程极为简单,攻击者打电话给用户,诱导他们拨打以405或67开头的电话号码。一旦接通后,只需要几分钟用户就对账户失去了控制权,攻击者将会接管他们的账户。听起来这似乎有点不明所以,而Sasi也在Twitter 上解释了整个攻击场景,如下图所示:

攻击具体如何实现?

根据 Sasi 的说法,攻击者诱导用户拨打的电话号码是Jio 和 Airtel 在移动用户忙时进行呼叫转移的服务请求。因此当用户拨打了号码之后,实际上会转移到攻击者控制的号码,并迅速启动 WhatsApp 注册过程以获取受害者号码,要求通过电话发送OPT。

由于电话正忙,电话被定向到攻击者的电话,从而使他能够控制受害者的 WhatsApp 帐户。这就是攻击者在注销时获得对受害者 WhatsApp 帐户的控制权的方式。

尽管该骗局目前针对的是印度的 WhatsApp 用户,但 Sasi 解释说,如果黑客可以物理访问手机并使用此技巧拨打电话,攻击者可以破解任何人的 WhatsApp 帐户。

由于每个国家和服务提供商使用的服务请求编号都有些相似,因此这个技巧可能会产生全球影响。保护自己的唯一方法是避免接听来自未知号码的电话,并且不要相信他们拨打陌生号码。

WhatsApp多次遭攻击

同样是在2022年,安全研究人员发现,恶意攻击者在钓鱼活动中伪造了来自 WhatsApp 的语音信息通知,并且利用了合法的域名来传播恶意软件窃取信息。

云电子邮件安全公司 Armorblox 的研究人员发现了攻击者针对 Office 365 和 Google Workspace 账户进行攻击的恶意活动,在该活动中使用了与道路安全中心相关的域名来发送电子邮件,经调查该组织位于俄罗斯莫斯科地区。根据周二发表的一篇博客文章,该网站本身是合法的,它与莫斯科的国家道路安全有关,属于俄罗斯联邦内政部。

研究人员说,到目前为止,攻击者发送的邮件数量已经达到了 27660 个,该攻击活动通知受害者有一个来自 WhatsApp 聊天应用程序的 " 新的私人语音邮件 ",并附加了一个链接,并声称允许他们播放该语音。研究人员说,攻击的目标组织包括医疗保健、教育和零售行业。

攻击者的诈骗策略包括在那些发送的电子邮件中获得用户信任来进行社会工程学攻击;通过伪造 WhatsApp 合法品牌,利用合法的域名来发送电子邮件。

]]>
博主曝光iOS 15.5“时间与地点”出现严重bug 偷跑数十GB流量 Sun, 25 Sep 2022 04:45:26 +0800 在618之前,iPhone手机居然出现了重大系统bug,甚至还会“坑钱”。根据iPhone维修专业人士@麦子俊i 消息,近日有很多用户反馈称iOS 15.5的后台会偷跑流量,根据筛查发现,这背后的罪魁祸首就是【时间与地点】功能。

从多位网友的反馈来看,这次的bug问题非常普遍,很多用户被“偷吃”掉十几个GB的流量,一不小心就会造成流量超额,导致扣费。

如果有升级到iOS 15.5的用户,可以打通过【蜂窝网络】-【系统服务】-【时间与地点】路径,检查自己是否遇到了偷跑流量的问题。

该博主透露,目前他们正在测试3种方法的可行性,第一个是关闭定位,第二个关闭设置的联网权限,第三个是放弃资料刷15.6版本。

不过目前还在测试中,需要用以上方法详细测试后才能确定,如果大家遇到类似情况,比较严重的也可以尝试一下,但强刷方式不建议大多数用户采取。

]]>
南非总统的个人信贷数据泄露:该国已沦为“黑客乐园” Sun, 25 Sep 2022 04:45:26 +0800 据南非媒体《星期日泰晤士报》报道,黑客团伙SpiderLog$窃取了南非现任总统Cyril Ramaphosa自2000年代在国内四大银行之一的贷款详细记录。

多位政要信贷数据泄露

SpiderLog$称,这批数据来自另一个名为N4ugtysecTU的黑客团伙,而后者曾于今年早些时候入侵信用报告机构TransUnion,窃取了5400万消费者征信数据,几乎覆盖该国所有公民。

泄露数据集中包含Ramaphosa本人的家庭住址、身份证号码及手机号码。

TransUnion则澄清称,此次泄露的民政事务数据并非直接出自他们的服务器,而是黑客在之前的攻击中窃取获得。

Ramaphose并非唯一在TransUnion数据泄露事件中受影响的知名人士。

当时,N4ughtySecTU曾威胁要泄露总统Cyril Ramaphosa和南非在野党左翼经济自由斗士领导人Julius Malema的个人数据。

南非已沦为黑客“乐园”,国防/国安/情报等系统均存漏洞

SpiderLog$通过Ramaphosa的数据唤起了大众的警觉,让人们关注南非安全系统,特别是政府部门(包括国防和国家安全部门)所使用安全系统中的显著漏洞。

SpiderLog$团伙在采访中表示,“南非已经成为黑客们的乐园,任何人都能轻松绘制出南非的数字基础设施分布。”

据报道,SpiderLog$还向媒体提供了截图,证明自己已经能够访问敏感的军事和情报数据。

多家网络安全厂商发出警告,称黑客团伙发现的漏洞可能致使敏感军事和情报信息遭到拦截。

在其中一张截图中,SpiderLog$展示了其成功侵入的国防与国家安全部门网络邮件界面。

网络安全厂商WolfPack Information Risk与Umboko Sec也证实了SpiderLog$团伙的说法。

WolfPack Information Risk公司顾问Johan Brider表示,他们认为截图中体现的最大隐患,在于可以运行程序来获取国防部邮件访问凭证。

SpiderLog$团伙还能够识别出政府服务器、各域及互联网服务商的私有IP地址。

网络安全服务商Scarybyte公司战略主管也提到,目前企业的主流实践是使用代理服务器来隐藏IP地址,确保非必要时绝不暴露内部IP地址。

Umboko Sec公司主管Bongo Sijora则发布研究结论,认为南非政府在保护国家关键设施及部门免受网络威胁方面,至少存在180亿兰特(约合77.2亿人民币)的预算短缺。

近一年遭受多次重大网络攻击

过去一年,南非多个政府部门在严重网络攻击下沦为受害者。

2021年7月,南非国有物流公司Transnet的港口系统因勒索软件攻击而被迫关闭,导致南非各入境点发生严重的运输延误。

2021年9月,南非司法部同样遭受勒索软件攻击,导致其文件与系统无法正常访问。

司法部攻击事件也对各级法院和大法官办公室造成影响,连锁反应进一步波及到维护开支和遗产处置等其他关键事务。

最终,司法部耗时四个星期才设法通过物理记录恢复了数据,让部分在线服务重新开放。

]]>
万里数据库受MySQL制裁或断供?官方回应来了 Sun, 25 Sep 2022 04:45:26 +0800 万里数据库受MySQL制裁或断供,开源的也能断供?华为的基于pg,阿里的基于mysql,tidb底层存储基于rocksdb,国内一般要么是基于pg要么是基于mysql。

没想到mysql也叛变了?mysql的开源协议对个人用户是免费的,但企业拿mysql源码做修改或者干脆不做修改,而拿来进行商业销售或者转售,就需要花钱向mysql买商业授权。

人家可以卖给你,当然也可以不卖给你,这就叫断供。这就是华为拿postgresql做二次开发来发行guassdb做商业销售,而不用mysql的原因。因为postgresql的开源更友好,拿来商业销售或者转售,都不用买授权。而腾讯的tdsql基于mysql,是需要花钱买商业授权的。

创意信息5月27日在互动平台表示,万里数据库不会受MySQL制裁或断供影响,原因如下:

1.万里数据库核心部分为自主研发,存储节点基于GreatSQL开源技术;

2.GreatSQL开源项目虽属MySQL分支,但核心技术不受MySQL主干技术影响,属独立技术演进分支;

3.GreatSQL社区核心由万里数据库主导,不受国外厂商、组织影响。代码、技术均可控。

]]>
数百万美元乌克兰拖拉机被远程“变砖”,农业关基安全已迫在眉睫 Sun, 25 Sep 2022 04:45:26 +0800 安全内参5月30日消息,在俄乌战争大背景下,5月初美媒CNN曝出新闻:有身份不明的乌克兰人士远程破坏了价值500万美元的拖拉机。

当时,占领乌南部城市梅利托波尔的俄军士兵,从全球机械巨头约翰迪尔的经销商Agrotek-Invest处,偷走了这批价值500万美元的拖拉机设备。这批农用机械总计27台,很快被运往700英里以外的车臣,但俄军发现设备上装有“自毁开关”,导致白忙一场。

经销商Agrotek-Invest使用拖拉机上的嵌入式GPS技术跟踪设备。这些设备于5月1日在格罗兹尼附近的一处农场发生故障,不过消息人士称,俄方已经找来一位顾问,尝试破解设备上的数字保护机制。

有观察人士担心,恶意黑客可能会利用约翰迪尔或其他农机制造商的这项技术,把设备更新与监控等远程功能转化为攻击载体。一旦获得规模化应用,这类网络攻击很可能会破坏农业关键基础设施中的重要组成部分。

现代拖拉机早已成为智能机器

时至今日,机械巨头约翰迪尔等厂商所制造的农业设备,早已不是1980年代那种处理模拟操作量的类比式拖拉机和联合收割机,而是演变为持续生成大量农业数据的数字连接智能设备。

例如,现代拖拉机会配备轮上扭矩传感器,可用于测量土壤密度;底盘的湿度传感器,可用于测量土壤湿度;顶部的位置传感器,能以厘米精度在地块网格上绘制密度与湿度分布图。

乌克兰经销商在拖拉机上安装“自毁开关”的灵感来自汽车行业,也就是大家熟悉的识别码(VIN码)锁定。只有授权技术人员输入特殊代码,并在设备的内部网络上操作,才能解除车辆的VIN码锁定。约翰迪尔的VIN码锁定曾经受到诟病,因为公司拒绝农民在维修过程中访问农机设备上运行的计算机软件。但该农机巨头则辩解称,农民无权访问设备上的专有代码。

由拖拉机引发的维修权利运动

面对企业方的粗暴拒绝,美国掀起了“维修权”运动,要求政府修改《数字千年版权法》(DMCA)。运动的基本主张,是要求约翰迪尔及其他设备制造商向农民们“开放与经销商相同的农业设备诊断与维修信息”。但约翰迪尔公司对此表示极力反对。

由于双方僵持不下,美国农民开始从乌克兰购买破解版的约翰迪尔软件,包括诊断程序、有效载荷文件及电子数据链路驱动程序。事实证明,乌克兰鼓捣拖拉机的历史可以一直追溯到1930年代。作为当时的“游戏规则改变者”,拖拉机的普及将乌克兰农民推向了农业集体化的新时代。

2015年,美国版权局批准了《数字千年版权法》豁免条款,允许用户修改“包含在机动地面载具(包括私家车、经营用机动车辆或机械化农用车辆)当中,用于控制其功能的计算机程序……前提是确有必要对车辆功能进行诊断、维修或合法修改。”然而,维修权运动的倡导者们认为这一豁免范围过于狭窄。

可破解的拖拉机很容易被入侵

维修权倡导者Kevin Kenney认为,设备制造商对于车辆软件的远程控制会致使农产品及食品供应易受破坏。

2016年,FBI和美国农业部曾发布公开警告,称“随着农民越来越依赖于数字化数据,粮食和农业部门遭受网络攻击的风险也随之提升。”

然而,当时的警告主要针对勒索软件和黑客团伙大量窃取农场数据,“窥探美国农业资源与市场趋势”。虽然意图有所不同,但警告中的恶意手段与近期一位安全研究人员的测试结果一致。该研究员发现,可以利用开源日志记录工具中的漏洞,同时远程访问25辆特斯拉汽车的数据。

今年5月,美国拖拉机制造商AGCO因勒索软件攻击而被迫停产。但与窃取拖拉机数据乃至逼停制造商工厂相比,接入全国拖拉机设备并将其集体关闭,无疑代表着更高数量级的影响和危害。

恶意黑客真能破解并关停拖拉机吗?

随着乌克兰拖拉机被远程瘫痪,新的问题摆在我们面前:恶意黑客能不能以相同的方法入侵大量拖拉机,以瘫痪生产能力的方式破坏目标国家的农产品和粮食供应?

作家兼活动家Cory Doctorow认为完全有可能,至少会产生一定程度的影响。他在评论中写道,约翰迪尔的信息安全水平“令人沮丧”,“考虑到约翰迪尔部署的自毁开关再加上该公司脆弱的安全水平,只要是拥有中等水平的黑客,就有可能夺取到这些将车臣盗窃拖拉机全体「变砖」的工具。”

俄亥俄州立大学食品、农业与生物工程学教授兼农业专家John Fulton认为,黑客给农业生产体系造成重大损害的唯一方式,就是入侵大型农机设备制造商。但他在采访中表示,即使选择了这条攻击路线,恶意黑客也必须逐个农场开展入侵,这样低下的效率很难真正对一个国家的农业生产造成实质性影响。

在他看来,“如果恶意黑客想要攻击农场,那他们应该会先从农机制造商下手。”但总的来说,Fulton还是认为农机设备的可追踪和可禁用功能是件好事。“如果有人偷了你的车,你当然希望能把车找回来。这时候就得依靠GPS加联网功能,只要能够防范这类损失,我就觉得这项技术有其积极的一面。”

30年前,Fulton曾经造访过乌克兰,帮助对方在苏联解体后重建基础设施并扩大农业生产规模。他说,那时候乌克兰农民使用的都是些“破旧的设备”。

在他看来,经销商在拖拉机上部署“自毁开关”、乌克兰农民珍视自己的生产工具,这都是理所当然的行为。“因为从事农业生产的工作者们很清楚,正是这些农机帮助他们走出了八十年代的困苦生活。”

]]>
《安联智库-网安周报》2022-05-29 Sun, 25 Sep 2022 04:45:26 +0800

1、淘宝宣布禁止销售IP代理服务:6月3日正式生效

前不久,微博、知乎、抖音等平台陆续上线了显示用户IP属地功能,在个人主页、评论上都会标注当前属地,定位到省/直辖市。
据报道,这也让付费IP代理的生意红火了起来,然而这本就一个黑灰产业。在一些电商平台上,已经出现了付费IP代理的业务,有的目的性非常明显,直接指明可以更改微博、抖音的IP归属地。
日前,淘宝平台发布《淘宝平台违禁信息管理规则》,明确禁止销售IP修改/代理/伪造的软件及服务。淘宝宣布禁止销售IP代理服务:6月3日正式生效
有二手电商平台客服表示,虚拟商品属于一些有风险的商品,特别是关于这种IP属地代理,更改一些它本身用途的网络虚拟商品,平台是不建议售卖的,且平台每天都会处理大量违规的商品和账号。
2、35岁程序员炒Luna 千万资产3天归零:奉劝大家别妄想一夜暴富

今年35岁的程序员郭瑞度过了自己人生中最灰暗的一周。他向公司请了一周假,每天无法入睡,只有在妻子的逼迫下才能吃上一点食物。

他时刻盯着手机里的消息,妄图在纷繁的消息中看到一丝他所购入的Luna代币可能涨起来的消息,但是数据却一次次跌破他的预期——50美元、20美元、1美元、0.00000112美元……

当然,巨大的危机之中也孕育着希望,也有人在这次暴跌中,通过加杠杆做空、在各个交易所和链上搬砖、又或是成功抄底而挣得巨款。

Luna暴跌的那几天,郭瑞几近崩溃的同时也怀抱幻想。他会去过度解读很多消息,总觉得会有一个外部力量,或潜在的方案来解决这次危机。看着账户里的资产一点点缩水,为了挽回自己的损失,他拿出了本来已经出逃的十几万元去做了波段,但Luna的下跌速度太快了,好不容易逃出来的十几万元也全部亏了进去。

3、媒体评争议数学教材插图:育人读物不该成毁人“毒物”

一“丑”众人怒!5月26日,人教版数学教材插图被指“人物插图丑陋、歪曲审美,出现文身、隐私部位”,引发热议,一连上了7个热搜。对此,人民教育出版社回应称,已着手重新绘制有关册次数学教材封面和部分插图,改进画法画风,提高艺术水平。

随着事件的发酵,网友们陆续发现,不止人教版的小学教材,另外一些出版社也存在问题。比如江苏《东方娃娃》期刊有限公司的儿童绘本《流汗啦!》中,两男孩捧着一女孩手臂舔汗的配图让人深感不适;再比如某一版幼儿读物讲解儿童游戏时,堂而皇之地画了小男孩掀小女生的裙子,很难不让人产生儿童读物大打色情擦边球的联想和质疑。

从人教版数学教材,到奇奇怪怪的儿童绘本,大众为何如此愤怒和担忧?

关乎审美,却又不单单是审美的问题!

教材课本、绘本读物,不仅仅是开启文化知识视野的窗口,更在潜移默化间承载着审美培养、价值观塑造的作用和功能。一幅幅插画,很可能构建起一个孩子对于世界的认知和想象,并以此为基础,形成人生观、世界观和价值观,教会孩子们怎样去绘就自己的人生,树立怎样的价值取向。尤其是对于低年级的孩子来说,图片是非常重要的认知渠道,有着不可忽视的启蒙作用。反观上述插图,小女孩文身、小男孩隐私部位明显、小学生吐舌头怪诞比“耶”……这是要给孩子们一种怎样的引导?

至于这样的“问题教材”“问题绘本”是如何通过层层审核出版发行的,有关部门不能避而不谈。这次教材插图引发公众不满,也在提醒教材的编写者和出版方,呈现给孩子们一个符合主流审美的、积极向上的世界,是义务更是责任。从法律角度来讲,我国出版管理条例明确规定:以未成年人为对象的出版物不得含有诱发未成年人模仿违反社会公德的行为和违法犯罪的行为的内容,不得含有恐怖、残酷等妨害未成年人身心健康的内容。孩子们的文化读物,应该经得起网络放大镜的审视,不能让读物成了“毒物”!

4、新暗网市场Industrial Spy或已加入勒索软件攻击大军

近日,有观察发现,新暗网市场Industrial Spy正在对受害者设备进行加密并尝试推出自己的勒索计划。此前,Industrial Spy并没有对受攻击的公司进行敲诈,而是将自己宣传为一个市场,公司可以在其中购买竞争对手的数据来获取商业机密、制造图纸、会计报告和客户数据库。

Industrial Spy市场提供不同级别的数据产品,其中“高级”被盗数据包价值数百万美元,而较低级别的数据甚至可以作为单个文件以低至2美元的价格出售。例如,Industrial Spy目前正在以140万美元的价格出售一家印度公司的高级别数据,以比特币支付。

为了推广他们的服务,攻击者会与广告软件加载程序和假破解网站合作来传播恶意软件,这些恶意软件会在设备上创建README.txt文件,而这些文件中正包含了推广信息。

Industrial Spy加入勒索软件大军

上周,安全研究小组MalwareHunterTeam发现了一个新的Industrial Spy恶意软件样本,然而这次看起来更像是勒索信,而不是推广的文本文件。这封勒索信称Industrial Spy的攻击者不仅窃取了受害者的数据而且还对其进行了加密。

“非常不幸,我们不得不通知您,您的公司正面临着威胁,所有的文件都被加密,而没有我们的私钥您将无法将其恢复。如果您试图在没有我们帮助的情况下自行恢复,很可能会导致这些数据完全丢失”,勒索信中这样写道,“此外,我们研究了您整个公司的网络,并已将所有敏感数据下载到我们的服务器上。如果在未来3天内没有收到您的任何回复,我们将在Industrial Spy网站上公布您的数据。”

]]>
媒体评争议数学教材插图:育人读物不该成毁人“毒物” Sun, 25 Sep 2022 04:45:26 +0800 一“丑”众人怒!5月26日,人教版数学教材插图被指“人物插图丑陋、歪曲审美,出现文身、隐私部位”,引发热议,一连上了7个热搜。对此,人民教育出版社回应称,已着手重新绘制有关册次数学教材封面和部分插图,改进画法画风,提高艺术水平。

随着事件的发酵,网友们陆续发现,不止人教版的小学教材,另外一些出版社也存在问题。比如江苏《东方娃娃》期刊有限公司的儿童绘本《流汗啦!》中,两男孩捧着一女孩手臂舔汗的配图让人深感不适;再比如某一版幼儿读物讲解儿童游戏时,堂而皇之地画了小男孩掀小女生的裙子,很难不让人产生儿童读物大打色情擦边球的联想和质疑。

从人教版数学教材,到奇奇怪怪的儿童绘本,大众为何如此愤怒和担忧?

关乎审美,却又不单单是审美的问题!

教材课本、绘本读物,不仅仅是开启文化知识视野的窗口,更在潜移默化间承载着审美培养、价值观塑造的作用和功能。一幅幅插画,很可能构建起一个孩子对于世界的认知和想象,并以此为基础,形成人生观、世界观和价值观,教会孩子们怎样去绘就自己的人生,树立怎样的价值取向。尤其是对于低年级的孩子来说,图片是非常重要的认知渠道,有着不可忽视的启蒙作用。反观上述插图,小女孩文身、小男孩隐私部位明显、小学生吐舌头怪诞比“耶”……这是要给孩子们一种怎样的引导?

艺术无局限,但纵使审美各异,未成年人美育引导也应该慎之又慎,选择符合未成年人心理健康发展的画风,展现真善美,传递正能量。从这个角度来讲,网友的担心不无道理,未成年人美育引导再审慎也不为过。

至于这样的“问题教材”“问题绘本”是如何通过层层审核出版发行的,有关部门不能避而不谈。这次教材插图引发公众不满,也在提醒教材的编写者和出版方,呈现给孩子们一个符合主流审美的、积极向上的世界,是义务更是责任。从法律角度来讲,我国出版管理条例明确规定:以未成年人为对象的出版物不得含有诱发未成年人模仿违反社会公德的行为和违法犯罪的行为的内容,不得含有恐怖、残酷等妨害未成年人身心健康的内容。孩子们的文化读物,应该经得起网络放大镜的审视,不能让读物成了“毒物”!

近年来,从“邪典动画”到儿童服饰暴力图案,再到引人担忧的教材插图,曾经容易被公众忽视的可能对未成年人造成错误引导的因素被频频关注,这也恰恰说明人们对公共产品的价值导向有了更高的要求。公共产品应该听取公众意见、接受公众监督,全方位呵护未成年人成长需要全社会共同努力。

正如一位网友所说:“为什么问题插画会让大家如此震怒?因为我们曾在童年的课本上,见过真正的纯真和美好。《海滨小城》中浩瀚的大海、月色下目光如炬的少年闰土,这些画面带给当时的我无限遐想。”

这就是书本的力量。十年树木,百年树人,教育是国之大计,一字一句、一图一画都大意不得,更不能等到公众发现问题、出现舆情才做整改!

]]>
淘宝宣布禁止销售IP代理服务:6月3日正式生效 Sun, 25 Sep 2022 04:45:26 +0800 前不久,微博、知乎、抖音等平台陆续上线了显示用户IP属地功能,在个人主页、评论上都会标注当前属地,定位到省/直辖市。

据报道,这也让付费IP代理的生意红火了起来,然而这本就一个黑灰产业。

在一些电商平台上,已经出现了付费IP代理的业务,有的目的性非常明显,直接指明可以更改微博、抖音的IP归属地。

日前,淘宝平台发布《淘宝平台违禁信息管理规则》,明确禁止销售IP修改/代理/伪造的软件及服务。

淘宝宣布禁止销售IP代理服务:6月3日正式生效

此次规则变更于2022年5月27日公示,将于2022年6月3日正式生效。

据此前报道,有电商平台卖家称,最近找IP代理的人确实增多,自己出售的服务,可更改手机或电脑的IP地址,并且支持所有的平台,所有品牌的手机。

在一些平台上,有商家标榜批发走量国内静态IP,独享IP,5元一条。

不过,目前一些平台上“IP代理”等关键词搜索结果已经被屏蔽。

有二手电商平台客服表示,虚拟商品属于一些有风险的商品,特别是关于这种IP属地代理,更改一些它本身用途的网络虚拟商品,平台是不建议售卖的,且平台每天都会处理大量违规的商品和账号。

]]>
女子在元宇宙游戏遭性侵 涉事平台Meta回应 Sun, 25 Sep 2022 04:45:26 +0800 据中国日报报道,近日,一名女子在元宇宙中被一名陌生人“性侵”,引起广泛关注。元宇宙是用户以虚拟形象进行互动的虚拟空间。美国科技巨头Meta去年12月发布了一款以元宇宙为概念的在线游戏《地平线世界》,用户可通过虚拟形象,与其他玩家一同参与游戏。

受害者是一名21岁女性,她在《地平线世界》中创建了一个女性虚拟形象,想通过体验”元宇宙“完成相关研究。而在不到一小时的时间内,她便遭到一位男性虚拟人物的“性侵”,当时旁边还有另一位旁观者在起哄。由于虚拟人物的接触能使玩家手中的控制器产生振动,受害者感到非常不适。

受害者将这次经历通过其所在的研究机构向外公布,Meta的发言人对此回应称,受害人很遗憾地没有开启《地平线世界》的多项安全功能,其中“个人边界”功能会在玩家周围形成半径大约一米的“防护罩”,使得其他虚拟人物无法触碰,以此杜绝骚扰。研究网络骚扰的华盛顿大学研究院凯瑟琳表示,发生在虚拟世界和现实世界的性侵并无太大区别,会令人们产生相同的心理和神经系统反应。

]]>
35岁程序员炒Luna 千万资产3天归零:奉劝大家别妄想一夜暴富 Sun, 25 Sep 2022 04:45:26 +0800 今年35岁的程序员郭瑞度过了自己人生中最灰暗的一周。他向公司请了一周假,每天无法入睡,只有在妻子的逼迫下才能吃上一点食物。

他时刻盯着手机里的消息,妄图在纷繁的消息中看到一丝他所购入的Luna代币可能涨起来的消息,但是数据却一次次跌破他的预期——50美元、20美元、1美元、0.00000112美元……

这个在加密货币市场市值排名最高一度达到第四的明星数字货币,曾经在2021年以上百倍的涨幅成就了无数人的财富梦想,又在短短的几天之内,让无数账户上的数字蒸发。

当然,巨大的危机之中也孕育着希望,也有人在这次暴跌中,通过加杠杆做空、在各个交易所和链上搬砖、又或是成功抄底而挣得巨款。

据凤凰WEEKLY报道称,Luna暴跌的那几天,郭瑞几近崩溃的同时也怀抱幻想。他会去过度解读很多消息,总觉得会有一个外部力量,或潜在的方案来解决这次危机。

看着账户里的资产一点点缩水,为了挽回自己的损失,他拿出了本来已经出逃的十几万元去做了波段,但Luna的下跌速度太快了,好不容易逃出来的十几万元也全部亏了进去。

赏金猎人也在情绪的主导之下做了波段,甚至加杠杆做了合约。第一天做波段挣了2.5万美金,第二天做合约又爆掉了1.6万美金。当看清楚了死亡螺旋的本质后,他选择了做空,加了五倍的杠杆。但是此时的Luna波动性很高,一个20%的波动,就让他爆仓了。

他回忆,进入币圈这几年,每次心态的炸裂和亏钱,都是因为加杠杆做了合约,而每次又会在情绪上头的时候想去做合约,从而陷入死循环。5月10日,他又花了1万元去抄底Luna,5月11日割肉卖掉,亏损80%。

也正是因为暴跌,Luna出圈了,从底部上涨到最高点近千倍,无数抄底成功的人又挣得了一大笔,微博上有许多币圈外投资者开始询问Luna如何购买。币圈小白李诗札在朋友影响下,花80美元以0.00037美元一个的价格在高点总共购买了20多万个Luna。买下之后,她也开始幻想,“要是这币涨回120美金一个,这得是多少钱啊?”

当最新的提案通过社区公投之后,曾经的Luna将更名为Lunc,交给社区管理。看到这个消息时,李诗札突然意识到,旧Luna再无上涨的可能了,“怎么可能再涨呢?就算是庄家想要控盘割韭菜,也不会选这种上方套了这么多人的币种了,盘拉起来一点就会有人抛,价格拉都拉不上来啊。”此时,李诗札所购买的Luna的价格已经拦腰斩断

]]>
新暗网市场Industrial Spy或已加入勒索软件攻击大军 Sun, 25 Sep 2022 04:45:26 +0800 近日,有观察发现,新暗网市场Industrial Spy正在对受害者设备进行加密并尝试推出自己的勒索计划。此前,Industrial Spy并没有对受攻击的公司进行敲诈,而是将自己宣传为一个市场,公司可以在其中购买竞争对手的数据来获取商业机密、制造图纸、会计报告和客户数据库。

Industrial Spy市场提供不同级别的数据产品,其中“高级”被盗数据包价值数百万美元,而较低级别的数据甚至可以作为单个文件以低至2美元的价格出售。例如,Industrial Spy目前正在以140万美元的价格出售一家印度公司的高级别数据,以比特币支付。

为了推广他们的服务,攻击者会与广告软件加载程序和假破解网站合作来传播恶意软件,这些恶意软件会在设备上创建README.txt文件,而这些文件中正包含了推广信息。

Industrial Spy加入勒索软件大军

上周,安全研究小组MalwareHunterTeam发现了一个新的Industrial Spy恶意软件样本,然而这次看起来更像是勒索信,而不是推广的文本文件。这封勒索信称Industrial Spy的攻击者不仅窃取了受害者的数据而且还对其进行了加密。

“非常不幸,我们不得不通知您,您的公司正面临着威胁,所有的文件都被加密,而没有我们的私钥您将无法将其恢复。如果您试图在没有我们帮助的情况下自行恢复,很可能会导致这些数据完全丢失”,勒索信中这样写道,“此外,我们研究了您整个公司的网络,并已将所有敏感数据下载到我们的服务器上。如果在未来3天内没有收到您的任何回复,我们将在Industrial Spy网站上公布您的数据。”

经研究人员测试显示,Industrial Spy确实对文件进行加密,但不同于大多数其他勒索软件家族,它不会在加密文件的名称上附加新的扩展名,如下所示。

勒索软件专家Michael Gillespie对此进行了解读,他一眼就认定它使用的是DES加密,RSA1024公钥加密。

该勒索软件还使用了0xFEEDBEEF的文件标记,这是在别的勒索软件家族中从未见过的。当然,我们不应该把这个文件标记与在编程中使用的那个著名的神奇调试值0xDEADBEEF混淆。

在加密文件的同时,Industrial Spy勒索软件在设备上每个文件夹中都会创建名为“README.html”的勒索记录,这些勒索记录包含一个TOX id,受害者可以使用它来联系勒索软件团伙并协商赎金。

或与 勒索团伙Cuba有关联?

当研究勒索信中的TOX ID和电子邮件地址时,MalwareHunterTeam小组发现了一个Industrial Spy与勒索团伙Cuba的奇怪联系。

上传到VirusTotal的勒索软件样本会创建一个带有相同TOX ID和电子邮件地址的勒索记录。 但是,它没有链接到Industrial Spy Tor的站点,而是链接到勒索团伙Cuba的数据泄露网站并使用相同的文件名。众所周知,!! READ ME !!.txt,是勒索团伙Cuba的赎金票据。另外还有一点值得一提,加密文件还附加了.Cuba扩展名,就像平时勒索团伙Cuba在加密文件时所做的那样。

虽然这并不能百分百肯定地将这两个组织联系在一起,但研究人员推测很可能Industrial Spy的攻击者在测试他们的勒索软件是使用了勒索团伙Cuba的信息。

这还有待安全研究人员和分析人士继续保持密切关注与进一步的探索。

]]>
谷歌关闭了两家俄罗斯ISP的缓存服务器 Sun, 25 Sep 2022 04:45:26 +0800 两家俄罗斯互联网服务提供商(ISP)收到Google的通知,称其网络上的全球缓存服务器已被禁用。缓存服务器是一个isp绑定节点,用于更快地向互联网用户提供谷歌内容,并在中断期间也可保持访问。缓存对于流行的YouTube内容是最重要的,isp可以将这些内容存储在服务器上,并更快地加载,给他们的订阅者更好的连接体验。

俄罗斯新闻媒体试图确认哪些实体受到了这一举措的影响,并证实Radiosvyaz(Focus Life)和MIPT Telecom会受到此次决定的影响。不过俄罗斯最大的移动网络提供商MTS和MegaFon提供商报告称目前没有任何变化,而 VimpelCom、T2 RTK 控股和 ER-Telecom 拒绝就此事发表评论。

确认受影响的两家ISP已5月 19日关闭其缓存服务器,随后几天他们也收到了Google的通知。MIPT Telecom已与RBC.ru分享了他们从 Google 收到的通知,该通知确认了报告的有效性和所提供的理由。在通知中,谷歌表示关闭缓存服务器的原因是法律实践的变化,并指出公司和关键人物被列入制裁名单。

虽然此项制裁会对这两家俄罗斯ISP产生较大的影响,但好在这两家公司在俄罗斯国内的市场份额相对较小,所以也就不会对俄罗斯网民产生多大的影响。但是,如果谷歌将禁令扩大到所有俄罗斯互联网提供商,那么公司及其客户的情况都会发生巨大变化。谷歌的全局缓存可以减少70%到90%的外部流量,这取决于ISP运营商的最终用户的内容消费模式。失去服务会增加他们的运营成本,这可能会渗入订阅用户的每月账单里。

除此之外,关闭缓存服务器不仅会威胁 YouTube 视频加载速度。它还将影响存储在同一系统上的服务器,例如 Google CAPTCHA。如果isp被禁用了这项服务,区分人类和机器人的系统可能无法在俄罗斯的网站上运行。

值得注意的是,俄罗斯的谷歌子公司在该国第一台缓存服务器关闭之前就启动了破产程序。

由于法院对Roskomnadzor因不遵守封锁要求而提出的索赔,且该公司被处以1亿美元巨额,所以该公司表示无法继续在俄罗斯开展业务。此外,莫斯科仲裁法院批准没收其价值约32,500,000美元的当地资产,以回应NTV、TNT、ANO TV-Novosti (RT)、TV Channel 360、VGTRK、Zvezda等被谷歌删除频道的YouTube频道所有者提交的几项提议。然而,谷歌的当地子公司并没有参与在俄罗斯提供缓存服务,因为这是谷歌全球业务的一部分,所以这两个问题没有联系,至少在技术层面上是这样。

]]>
微信、支付宝会被下架?美法案拟封杀支持数字人民币应用 Sun, 25 Sep 2022 04:45:26 +0800 北京时间5月27日消息,一份立法提案副本显示,美国共和党参议员希望禁止包括苹果和谷歌在内的美国应用商店,提供允许使用中国数字人民币支付的应用。

这份法案将由参议员汤姆·科顿(Tom Cotton)、马可·卢比奥(Marco Rubio)和迈克·布劳恩(Mike Braun)在周四公布,要求拥有或控制应用商店的公司“不得在美国境内的应用商店中提供或支持任何支持或允许数字人民币交易的应用”。

在此之前,腾讯微信已在今年年初宣布支持数字人民币,蚂蚁集团的支付宝也已接受数字人民币。目前,微信和支付宝都在苹果和谷歌应用商店上架。

尽管美国国会两党在某些方面达成了罕见共识,但该法案在中期选举前获得通过的前景仍不确定。苹果、谷歌、腾讯以及蚂蚁集团尚未置评。

]]>
新型勒索软件Cheers正攻击VMware ESXi 服务器 Sun, 25 Sep 2022 04:45:26 +0800 据Bleeping Computer网站5月25日消息,一种名为“Cheers”的新型勒索软件出现在网络犯罪领域,目标是针对易受攻击的 VMware ESXi 服务器。

VMware ESXi 是全球大型组织普遍使用的虚拟化平台,因此对其进行加密通常会严重破坏企业的运营。近期已有多个针对 VMware ESXi 平台的勒索软件组,包括 LockBit 和 Hive。而Cheers 勒索软件由趋势科技最新发现,并将新变种称为“Cheerscrypt”。

当Cheers攻击VMware ESXi 服务器时,会启动加密器,它会自动枚举正在运行的虚拟机并使用以下 esxcli 命令将其关闭:

esxcli vm process kill –type=force –world-id=$(esxcli vm process list|grep ‘World ID’|awk ‘{print $3}’)

在加密文件时,Cheers会专门寻找具有 .log、.vmdk、.vmem、.vswp 和 .vmsn 扩展名的文件。这些文件扩展名与 ESXi 快照、日志文件、交换文件、页面文件和虚拟磁盘相关联。每个加密文件都会在其文件名后附加“ .Cheers ”扩展名,但文件重命名发生在加密之前,所以如果重命名文件的访问权限被拒绝,加密会失败,但文件仍然会被重命名。

加密方案使用一对公钥和私钥来派生一个秘密(SOSEMANUK 流密码)密钥并将其嵌入每个加密文件中。用于生成密钥的私钥被擦除以防止恢复。

在扫描文件夹以查找要加密的文件时,勒索软件将在每个文件夹中创建名为“ How To Restore Your Files.txt ”的勒索记录。这些赎金记录包括有关受害者被加密文件情况的信息、Tor 数据泄露站点和赎金缴纳站点的链接。每个受害者都有一个唯一的 Tor 站点,但数据泄露站点 Onion URL 是静态的。

根据 Bleeping Computer 的研究,Cheers似乎于 2022 年 3 月开始运作,虽然迄今为止只发现了 Linux 勒索软件版本,但不排除也存在针对Windows系统的变体。

Bleeping Computer 发现了 Cheers的数据泄露和受害者勒索 Onion 网站,该网站目前仅列出了四名受害者。但该门户的存在表明 Cheers 在攻击期间执行数据泄露,并将被盗数据用于双重勒索攻击。

通过观察,这些受害者都是比较大型的企业组织,似乎目前的新型勒索软件组织更青睐于这些“大目标”以满足勒索需求。

根据调查赎金记录,攻击者给受害者三天的时间来登录提供的 Tor 站点以协商赎金支付,从而换取有效的解密密钥。如果受害者不支付赎金,攻击者表示他们会将被盗数据出售给其他同行,给受害者带来更大威胁和损失。

]]>
因欺骗性定向广告,推特遭1.5亿美元巨额罚款 Sun, 25 Sep 2022 04:45:26 +0800 Bleeping Computer 网站披露,美国联邦贸易委员会(FTC)将对推特处以 1.5 亿美元巨额罚款,原因是该公司将收集到的电话号码和电子邮件地址,用于定向广告投放。

根据法庭披露出的信息来看,自 2013 以来,Twitter 以保护用户账户为理由,开始要求超过了 1.4 亿用户提供个人信息,但并没有告知用户这些信息也将允许广告商向其投放定向广告。

推特此举违反了联邦贸易委员会法案和 2011 年委员会行政命令,这些法案明确禁止了该公司歪曲隐私和安全做法,并从欺骗性的收集数据中获利。

据悉,早在 2009 年 1 月至 5 月期间,在黑客获得推特的管理控制权后,该公司未能保护用户的个人信息,行政命令随之颁布。

 推特遭受巨额罚款 

FTC 主席 Lina M. Khan 表示,Twitter 以进行安全保护为由,从用户处获得数据,但最后也利用这些数据向用户投放广告,这种做法虽然提高了 Twitter 的收入来源,但也影响了超过 1.4 亿 Twitter 用户,1.5 亿美元的罚款侧面反映了 Twitter 这一做法的严重性。

美国检察官 Stephanie M. Hinds 强调,为防止威胁用户隐私,今后将实施大量新的合规措施,联邦贸易委员会拟议命令的其他条款包括以下几条:

1. 禁止 Twitter 从欺骗性收集的数据中获利;

2. 允许用户使用其他多因素身份验证方法,比如不需要用户提供电话号码的移动身份验证应用程序或安全密钥;

3. 通知用户 ,twitter 滥用了为帐户安全而收集的电话号码和电子邮件地址,以并提供有关  Twitter  隐私和安全控制的信息;

4. 实施和维护全面的隐私和信息安全计划,要求公司检查和解决新产品的潜在隐私和安全风险;

5. 限制员工访问用户的个人数据;

6. 如果公司遇到数据泄露,需立刻通知 FTC。

目前,推特已同意与联邦贸易委员会达成和解,支付1.5亿美元的民事罚款,并对使用用户信息进行广告盈利事件道歉。

除此之外,在联邦法院批准和解后,推特也将实施新的合规措施以改善其数据隐私做法。

 类似案件 

2018 年也发生了非常相似的事情,当时Facebook为其所有用户构建了复杂的广告配置文件,从用户的2FA电话号码到从其朋友个人资料中收集的信息,应有尽有。

后来,Facebook使用用户的2FA电话号码作为附加载体,投放有针对性的广告。

]]>
印度第二大航司遭勒索软件攻击,大量乘客滞留在机场 Sun, 25 Sep 2022 04:45:26 +0800 5月26日消息,印度香料航空公司(SpiceJet)表示,由于系统在周二(5月24日)受“勒索软件攻击”影响,已有多次航班延误,大量乘客滞留机场。

目前香料航空官网只有主页能够正常访问,大部分底层系统和网页均无法加载。

但航班状态表仍然正常显示,可以看到其中有大量航班发生了延误,时间从两小时到五小时不等。

官方声称已解决问题,但仍有大量乘客被困机场

5月25日,数个航班仍然延误,乘客们也因服务不到位而牢骚满腹。

大量乘客在推特发布照片和视频,抱怨登机后已经枯等几个小时,但香料航空方面未做任何回应。

香料航空后来在一份声明中指出,问题已经得到解决。

该公司在推文中写道,“我们的IT团队控制并解决了当前问题,现在航班运行已恢复正常。”

但就在推文发布之后,不少乘客在社交媒体上表示自己仍被困在各地机场,已经在饥渴难耐下等待了好几个小时,而期间地勤人员几乎未做任何沟通。

其中一名乘客Mudit Shejwar在推特上提到,他飞往达兰萨拉镇的航班已经延误了三个多小时。

“我们已经登机80分钟了,还是没有起飞。机组人员传达的唯一消息就是有服务器宕机,另外跟燃油相关的文书手续存在问题。真是这样吗?”

有其他乘客在推文中@香料航空,向他们询问航班状态信息。也有人抱怨“登机口那边的地勤人员不知道哪去了”。

还有人提到运营并未恢复,而且工作人员自己也不了解情况。

一位乘客在推文中写道,“我们这边有老人、有孩子,大家被困在没吃没喝的地方。舱门那边没人,也得不到任何新消息。”另有乘客抱怨打不通航空公司的客服热线。

东部西孟加拉邦机场的一名乘客还发出他妻子脚部骨折的照片,同样提到他们的航班延误达数小时。

香料航空经营出现问题,遇到严重的财务困境

根据公开数据,香料航空是印度第二大航空公司,运营着总计102架飞机组成的机队,航班覆盖60多个目的地。香料航空员工超过14000名,在印度国内拥有约15%的市场份额。

因此,这次对香料航空运营体系的网络攻击,直接影响到飞往印度及海外各国的众多乘客。几个小时的延误,将转化为巨大的经济损失。

2020年1月,香料航空就曾经确认过一起数据泄露事件。该公司某个未受妥善保护的服务器遭到未授权个人访问,数据库备份文件意外流出。

这个备份文件包含过去一个月中,曾使用香料航空服务的120万乘客的未加密信息,包括乘客全名、航班信息、电话号码、邮件地址和出生日期。

自2020年以来,管理印度各地机场的印度机场管理局就明确将香料航空划入“现结现付”模式,即取消该公司的信用资格,理由是香料航空根本无力结清机场使用费。

2021年,香料航空因新冠抗疫政策而遭遇严重的财务困境。疫情直接导致机队停飞,年收入大跌28%,进而威胁到了公司业务的可持续运营。

不难想象,糟糕的财务状况自然也挤压了网络安全与事件响应的投资预算。本次攻击中的恶意黑客也许正是看准时机,才决定向香料航空果断发难。

]]>
周鸿祎谈邮件诈骗:你拦不住邮件 就会有恶意攻击 Sun, 25 Sep 2022 04:45:26 +0800 5月25日消息,360集团创始人周鸿祎发微博称,之所以大量攻击防火墙难以防范,是因为拦不住邮件,尤其是假借单位名义等看似很正常的邮件,点开就可能遭受恶意的网络攻击。

周鸿祎称,比如邮件标示“今年加薪名单”“今年要提拔人的名单”等,再做成Excel表格或PDF、Word文档,就会让人忍不住点开。

近日,#搜狐全体员工遭遇工资补助诈骗# 登上微博热搜,网传微信群聊记录显示,搜狐全体员工收到一封发送域名属于公司、名为《5月份员工工资补助通知》的邮件,大量员工按照附件要求扫码,并填写了银行账号等信息,最终不但没有等到所谓的补助,工资卡内的余额也被划走。

搜狐CEO张朝阳回应称,事情并不像大家想象那么严重,发现后技术部门做了紧急处理,被盗金额总额少于5万元且不涉及对公共服务的个人邮箱。

随后搜狐官方回应,表示公司某员工使用邮件时被意外钓鱼,从而导致密码泄露,被冒充财务部盗发邮件,目前正在等待警方的调查进展和处理结果。

]]>
小心你的钱包!微软警告更加隐蔽的支付凭证窃取攻击 Sun, 25 Sep 2022 04:45:26 +0800 根据Microsoft 365 Defender 研究团队5月23日发表的研究文章,安全人员最近观察到使用多种混淆技术来避免检测的网页掠夺(Web skimming)攻击。这些攻击大多被用来针对电商等平台以窃取用户支付凭证。

网页掠夺攻击

网页掠夺通常针对 Magento、PrestaShop 和 WordPress 等底层平台,这些平台因其易用性和第三方插件的可移植性而成为在线电商网站的热门选择。但这些平台和插件带有漏洞正被攻击者利用。

攻击者通过在 PHP 中编码来混淆略读脚本(skimming script),然后将其嵌入到图像文件中,通过这种方式,代码在加载网站的索引页面时执行。安全人员还观察到注入恶意 JavaScript 的受感染 Web 应用程序伪装成 Google Analytics 和 Meta Pixel脚本。一些浏览脚本还包括反调试机制。

在某个场景下,当用户在网站结帐页面继续输入他们的信用卡或借记卡详细信息以支付所下订单时,攻击代码将被激活。在该页面的表格上键入的任何内容都会被窃取并发送给攻击者,然后攻击者使用这些详细信息进行在线购买或将数据出售给他人。

隐蔽的攻击手法

微软的分析师报告称,目前三种十分隐蔽的攻击手法的使用正有所增加,分别是:在图像中注入脚本、字符串连接混淆和脚本欺骗。

图像注入脚本:内含base64 编码 JavaScript 的恶意 PHP 脚本,以图像文件的形式伪装成网站图标上传到目标服务器,能在识别出结账页面的情况下运行。

字符串连接混淆:获取托管在攻击者控制的域上的浏览脚本,以加载虚假的结帐表单,该域是 base64 编码并由多个字符串连接而成。

脚本欺骗:将浏览器伪装成 Google Analytics 或 Meta Pixel ,将 base64 编码的字符串注入到欺骗性的 Google 跟踪代码管理器代码中,诱使管理员跳过检查,认为这是网站标准代码的一部分。

防范网页掠夺

微软提醒,鉴于攻击者在攻击活动中采用越来越多的规避策略,企业组织应确保其电商平台、CMS 和已安装的插件是最新版本,并且只下载和使用来自受信任来源的第三方插件和服务。此外,还必须定期彻底检查其网络资产是否存在任何受损或可疑内容。

对于用户而言,应当开启防病毒程序,在结账过程中,注意付款细节,对弹出的可疑窗口提高警惕。

]]>
这种短信,千万别“退订回T” Sun, 25 Sep 2022 04:45:26 +0800 “【××银行】我们已经为你准备了40万贷款的额度,请注意查收。退订回T。”当你觉得这种短信很烦,于是回“T”退订时,岂料,更多“银行轰炸短信”抵达你的手机!你知道为什么吗?上述“银行贷款短信”,只是一种“轰炸”模式的短信骚扰。

而一位经营小家电商铺的李女士,却因为点击了手机上的一个短信链接,遭受了真金白银的损失:在不法分子的各种“指导”下,竟在无察觉中向银行贷款了近40万给对方。

李女士所遭遇的这种模式,即使富有反诈骗经验或者社会经验丰富的人,也可能难以提防。因为李女士一开始还真的收到因所谓“快递丢失”而退款的500元“备用金”。

那么,有人如果想反过来靠此骗取骗子的“备用金”,那骗子是不是损失惨重?那你就想多了,骗子的操作手段之高明,让人防不胜防:备用金是一款网络借贷产品,里面的钱不是骗子转的,而是以受害人的身份信息来向网络平台借的!

为什么各类银行、小贷公司、互联网企业名义的信息不时被“投递”至我们的手机?是谁泄露了我们的信息?而又是谁在向我们发送信息?

如此多的“银行”求着我贷款,没想到竟是灾难的开始……

频繁收到“银行”贷款短信

在小城生活的王女士,其手机短信页面,有不少网络虚拟号发来的信息,有10条都是打着某某银行的旗号,前端缀着【XX银行】标签,偶尔夹杂着理财、炒股的信息。

点开其中一条所谓“某商银行”发来的信息,上面写道:

“2022开门红,我行可授予您48万元,可用于日常支出,建筑装饰,生意应急,查利率回复1,申请回2,回T退订。”

其他的短信内容大同小异。信息前端的银行名称换来换去,授信额度几万、十几万、几十万的都有,用途多为消费、装修、生意周转。

王女士最开始其实不甚在意,直到有一天,她尝试按照短信所言,回复T退订。

但回复了退订消息后,她的手机并没有因此“清静”下来,没隔多久又收到了多条带有链接的短信。

这次是打着所谓“农某银行”的标签,其中一条短信写道“农银,您的回息收到了,请放心使用”,短信末尾附带着一个跳转链接。

这条“农银”短信中的链接,王女士出于好奇点了进去,却发现其中2个链接分别指向下载“农某信贷”和“农某快贷”的APP。

这两个APP图标带着银行的logo,点进去后王女士发现,虽然APP名称不同,logo也有差异,但进入APP后的界面却是一样的——均指向“农某银行”借款。但是这显然不是正规的银行APP。

而后,王女士拨打了客服电话,得到的回复是这不是银行发送的短信,并提醒这两款APP不是官方的,不要点击短信中的链接。

每经记者通过某商银行APP以上述所谓银行的短信内容询问了客服人员,咨询此贷款是否可以申请。在查验了发短信号码和收短信号码后,也得到了客服人员的否认,并建议我们提高警惕,不要随意回复陌生短信或点击陌生链接。

客服说:“如果您要贷款,建议您通过我行官方渠道申请。如果是装修贷款,后续办理了房贷后,可以直接咨询房贷客户经理有没有开发对应的装修贷。”

除上述银行之外,还有以工某银行、华某银行等多家银行名义发送的贷款短信。虽然王女士选择了退订,但是依旧在收到“银行”发来的贷款短信。

点击短信后,她损失四十万元

移动互联网的发展,使得各类商业短信、电话“轰炸”成为常事,这让夹杂在各种垃圾短信、骚扰电话里的诈骗信息,有了可乘之机。

如果说天天被“银行”贷款短信骚扰已经让人烦躁到几乎抓狂,那因此损失几十万的人,可能真觉得天都要塌了。

上有父母需要赡养,下有孩子需要抚育的李女士便是其中之一。李女士是因为收到快递丢失的短信和电话,被不法分子指导“退款”,点击短信链接,继而一步步使用各种贷款产品并最终被骗走近四十万元。

面对记者,李女士的情绪非常激动。从她混乱的言语中我们拼凑出了大致的经过。

居住在三线城市的李女士经营一个小家电商铺,有两个孩子,分别上高中和初中,子女教育、家庭负担很重。

李女士在电话里对记者表示,看到要给她退款的短信她没相信,但是后来“平台客服”又打电话给她,所说个人信息完全正确。

她只是想拿到属于自己的退款,按照“平台客服”的说法,李女士点开了“平台客服”给的“备用金”链接,拿到了500块钱“备用金”,李女士纳闷,她买的商品仅仅40块钱,怎么退了那么多钱。

“哎呀,你点错了,我得帮你把账号注销,不然每个月会产生几千块钱的费用。”“平台客服”对李女士说,她要按照指示操作注销账号。

这可急坏了李女士,一心只想把会产生高额费用的账号“注销”,于是,听信了该“平台客服”的说法,下载了一款聊天APP。

“打开聊天软件后,我的手机屏幕是共享给他们的,他可以实时看到我屏幕的信息,迅速掌握我的验证码。”李女士对记者表示,“他们让我输入验证码,还说注销账户要做银行流水,流水不够不能注销。”

李女士听从“平台客服”的话,去做了所谓的“银行流水”……

“你打开你的银行APP,点这个XX贷,时间只有三分钟,要快,按照我说的操作才能完成,不然你注销不了账户。”“平台客服”对李女士下了一步步的指令。

在李女士的诉说中,当时她身边没有其他人,而她也只想注销每月会产生几千块钱费用的账户。为了避免被银行放贷人员察觉是诈骗,“平台客服”还以“竞争关系”为由让李女士对银行做贷前审核的人员说这笔钱用来消费。

“平台客服”一边指导她操作贷款,一边给她报银行卡号,让她把贷来的钱转过去。

就这样,“平台客服”一次又一次以李女士“操作错误”“信息输错”为由,重复让李女士贷款、转账、做流水。

“最后我实在是没地方可以贷款了,但是还差2万流水,我就去借。”李女士打了亲戚的电话,亲戚来到她的家中,终于识破了这场骗局并报了警。

值得一提的是,北海市公安局曾发文提醒:

备用金是一款网络借贷产品,里面的钱不是骗子转给你的,而是网贷平台借给你的,声称退款转到备用金的均为电信网络诈骗。[1]

申请ETC竟被骗走1.3万 山寨“国家医保局”也轻易刷走1万

诈骗短信名目繁多,往往让人防不胜防。目前,除了“银行贷款”短信,竟还有“高速ETC”“医保电子账号被封停”等诈骗短信。

每经记者了解到,这些年国家针对电信诈骗打击可谓是竭尽全力,各地公安也是采取多种方法打击,其中深圳公安更是走在前头。为此,记者特地邀请深圳市公安局反诈中心为我们揭开短信诈骗的重重迷雾……

据悉,深圳市公安局反诈中心联合通管局、三大运营商建立技术反制机制,将涉诈骗短信以及短信包含的诈骗链接推送到相关部门进行拦截封堵;同时针对前期高发的ETC短信诈骗案件,深圳市公安局反诈中心联合ETC深圳分公司对深圳ETC用户开展预警和精准宣传工作。

深圳市公安局反诈中心在接受每经记者采访时,为进一步提升广大市民的警惕性和辨别能力,也分享了两个案例。

● 案例一

今年3月22日,小陈(化名)在手机微信的城市服务里面申请了ETC。随后几天,小陈的手机便收到了一条陌生短信,上面显示ETC要求补录信息,当时小陈并没有理会。直到小陈激活etc,把etc卡插到车上后,卡槽上提示与其车牌信息不匹配。

于是小陈就想起了之前收到的那条短信,心想是不是当时没有补录登记完全信息导致的呢?

小陈打开了之前收到的那条陌生短信,点击短信上面的那个链接,进去之后是一个显示“中国ETC”的页面,上面提示输入车牌号码,绑定银行卡信息,小陈按照上面的步骤去填完整了自己的信息,输入了车牌号码,银行卡号码以及支付密码。

正在等验证结果之时,小陈的手机收到了3条扣款信息,3笔扣款一共在银行卡上扣除了1.3万元。

小陈看扣款明细上面显示对方名称是"WEMART",交易类型是POS消费,交易渠道是POS机,才意识到这是骗人的,于是到派出所报警。

深圳市公安局反诈中心提醒广大群众:谨防ETC短信诈骗,凡是称ETC过期、失效、注销的短信都可能是诈骗,凡是在短信中推送ETC业务网络链接的均是诈骗。切记网络链接不要点击!个人信息不要输入!如有疑问,一定要通过ETC官方电话96533确认。

● 案例二

市民小玲(化名)收到了一条来自“卫健委”的短信:“您的电子账户被封停,请及时打开www.*****.com恢复完成”。

小玲没有多想,立即点击链接,进入了一个“国家医疗保障局”的网站。小玲按照相关提示输入了自己的银行卡信息,连续接到两个验证码,她想都没想就按照提示,将验证码分别输入进去。

几分钟后,小玲收到了银行发来的扣款短信,卡里的1万元现金不翼而飞,惊慌失措的小玲,立即来到派出所报警,确认自己遭遇了“医保骗局”,目前案件正在进一步办理中。

没有人打电话,没有人打视频,就点击一个链接,输入几个信息,钱就被转走了,这就是“短信诈骗”的套路。因为链接中的网站含有木马病毒,如果按照提示输入相关信息,就可能导致银行卡、医保账户被盗刷。

深圳市公安局反诈中心提醒广大群众:收到不明短信千万不要点击链接,更不能填写银行卡等个人信息以免上当受骗!

100万条短信只要4.5万元

隐私,是每个人都想要保护的无形之物。然而在互联网时代,个人信息泄漏事件频繁发生。被泄露者面临财务损失的风险,而掌握信息者则赚得盆满钵满,从事短信群发行业的赵某便是获利的一员。

在赵某的短信群发网站上,可以清楚地看到各类群发业务。金融短信、营销短信、偏门短信……只要有需求,没有赵某发不了的短信。

“您是想咨询短信群发业务吗亲?给您介绍一下。”网站在赵某的设置下,不用客户自己找,只要打开网页,就会自动跳出对话框进行短信业务的推介。

记者以想群发短信业务的客户身份,向赵某表明来意后,赵某给了记者一个联系方式,让记者加好友联系。

“价格是阶梯式的,你那边需要发多少?”赵某对如何给新客户介绍业务已经很熟练了,在得知记者想要发的是100万条金融贷款短信后,痛快地进行了报价。

值得注意的是,在记者报出发送贷款类短信需求以后,对方给出了报价。

“1万条是5分5单价,量大优惠,发100万条给你算4分5单价。”

照此计算,发送100万条金融贷款短信,总价为45000元。此外,还可以发送彩信,价格更贵一些。

“内容没有限制,可以带链接。”从赵某口中记者得知,发送短信的速度很快,一次可以发送10万条,并且发送之后可以看到短信状态,发送成功计费,失败不计费。

“我可以把短信状态整理好了发给你,或者你登录后台自己查看也可以。”不过,记者在此后询问发送效果时,即这些短信内容或链接的点击率,赵某则告诉记者:“点击只有客户那边才知道,具体不会跟我们说,但是效果不错,有客户长期发的。”

没号码库?没问题,平台提供!

群发短信不是什么新鲜事,但是建立手机号码数据库是关键。

而平台接下来的一番说法,却让记者错愕。因为得到的说法是没有数据库的话可以交钱由平台来提供数据。

赵某对记者介绍道,可以使用客户自己带的数据(即有目标手机号码)进行发送,如果客户没有数据,那么他也可以代发,并且“保真”。

在记者的了解下,自己带数据和由平台代发的价格并不一样,用赵某的数据代发是1万条700元的总价,代发100万条的价格则是7万元。

为了解赵某所在的这类短信代发平台数据(即手机号)的来源,记者以“你们的手机号怎么保真呢?哪里来的那么多?”进行质疑,赵某则回答得比较含糊,称:“我们技术那边有数据库,可以给你们整理筛选一批数据发短信,或者你们有的话也可以用你们的。”

记者注意到,该网站称此群发短信平台隶属于河北某网络科技有限公司,某企业信息查询平台显示该公司经营范围包括网络技术开发、技术推广、技术服务;计算机软硬件及外围辅助设备的研发、销售等。

此外,该企业于2019年8月因“通过登记的住所或者经营场所无法联系”被“河北省石家庄市裕华区市场监督管理局”列入经营异常名录。不过,在2020年6月申请移出。

在国家企业信用信息公示系统披露的年报中,记者找到了这家公司的联系电话,随后以客户的身份进行了咨询。在听到记者询问没有号码库是否可以帮忙发送银行贷款短信业务,却得到了对方肯定的答复。

值得一提的是,该短信代发平台官网列出了许多知名金融机构和企业客户。

记者以客户身份咨询该短信群发平台是否有上述部分客户,得到肯定的答复。

同时,记者采访了上述多家所谓合作企业时,问题涉及是否与该短信平台合作、如何保护客户个人信息。

记者微信联系了某通快递相关负责人,其对记者表示:该平台并不是他们的合作平台,单位相关部门也会介入处理。

截至发稿,记者注意到,该短信群发平台的合作伙伴一栏,某通快递已被撤下。

平某银行方面邮件回复记者:目前银行业务发展迅速,客户群体大,品牌信誉好,个别组织及个人经常利用或伪冒我行名义进行非法营销。如收到类似有疑问的营销,建议可同步通过银行验伪平台核实确认,有清晰的提示是否为平某银行所发出,也温馨提醒,如收到非银行官方的电话/短信营销,请不要轻信,妥善保管个人信息。

号码来自客源软件整合、过滤了空号的靓号

上面的网站只是个例吗?

与赵某同样从事短信群发业务的小刘所运营的网站更简洁,这个网站是小刘简单给客户介绍业务的地方,更详细的信息他会尝试让客户添加他的微信。在小刘的微信朋友圈,可以看到不少平台帮助发送的银行贷款短信截图。

相比赵某一百万条四万五的价格,小刘称短信都是走量的,量大优惠;价格也是阶梯式的,客户没有号码库代发的价格是一百万条五万块,但是短信回复率可以达到千3至千6(一千条短信有3至6个人回复),有些小城市号码的回复率可能会更高一些。

为了让客户能够快速获得活跃客户,小刘会给客户开通后台权限,在后台可以筛选出回复的客户号码,并且看到他们回复的时间和内容,全国都可以发。

如果发送成功则计费,关机、停机、空号、黑名单这些会失败自动返还。

不带链接的贷款短信,提供公司的营业执照就可以发送。如果短信内容带跳转链接,小刘会先审核链接,再要求客户提供完整的合同链以及金融许可证。

在小刘的介绍中,他的号码库有两种来源,一种是通过一些第三方的客源软件整合;另外一种是过滤过空号以后的靓号,都可以根据城市来筛选。

一位股份制银行从业人员也对记者表示:

银行和其他企业一样,都只是运营商的用户之一,无权限查询其他用户的信息。每个端口号/电话号码都有归属的部门或自然人,也可能存在伪机站或某些软件直接生成的短信发送/电话外呼,这些伪冒行为会让客户误以为是银行所为,并对银行造成声誉的伤害。一般情况下,银行也会同步收集客户反馈的信息转给相关部门关注。此外,客户也可以利用12321举报平台进行反馈核实。

对于上述交易行为,是否有法律风险?一位金融行业资深律师对记者表示:

首先,短信平台服务商必须在获取《增值电信业务经营许可证》的前提下开展业务,擅自经营群发短信的增值电信业务的企业,或将构成非法经营罪。

其次,短信平台禁止危害公共利益、涉嫌色情、涉及暴力等内容。

最后,对于通过伪基站等群发短信的行为,利用群发短信实施诈骗等行为,都是违法且被国家所明令禁止的。

记者也发现,《通信短信息服务管理规定》第十八条明确,短信息服务提供者、短信息内容提供者未经用户同意或者请求,不得向其发送商业性短信息。用户同意后又明确表示拒绝接收商业性短信息的,应当停止向其发送。

短信息服务提供者、短信息内容提供者请求用户同意接收商业性短信息的,应当说明拟发送商业性短信息的类型、频次和期限等信息。用户未回复的,视为不同意接收。用户明确拒绝或者未回复的,不得再次向其发送内容相同或者相似的短信息。

另外,根据工业和信息化部《通信短信息和语音呼叫服务管理规定(征求意见稿)》第十六条明确:任何组织或个人未经用户同意或者请求,或者用户明确表示拒绝的,不得向其发送商业性短信息或拨打商业性电话。用户未明确同意的,视为拒绝。用户同意后又明确表示拒绝接收的,应当停止。

怎么辨别李逵李鬼?

这类短信究竟是真还是假?是李逵还是李鬼?如何才能验证?

记者以客户身份通过多家银行官方客服电话、手机APP等方式询问了客服。

绝大多数银行客服都让记者提供了发送短信的号码和接收短信的号码,在提交了相应号码后,也得到了类似的回复——短信并非银行官方渠道所发,同时客服都会反复提醒记者小心上当。

这也意味着,如果收到这类短信和电话,可通过致电银行官网客服电话,或者官方手机银行APP进行查验。

银行方面在邮件中对记者表示:如收到类似有疑问的营销,建议可同步通过银行验伪平台核实确认,有清晰的提示是否为银行所发出。

值得一提的是,上述房屋装修、消费类贷款,除了以银行的名义发出,还会以各类小额贷款等名义发出。

深圳市公安局龙岗分局官方抖音号提醒,这类骚扰短信中的回复TD,主要目的是获取那些注意到这些信息的“活跃客户”,可能只是用来测试手机号是否真实有效,一旦收到短信的人进行回复,就会被标记为“真实有效”,接下来可能会收到更多的骚扰短信甚至诈骗短信。

“建议使用正规的拦截软件进行拦截,或者将退订、TD等字眼设置为黑名单拦截,就可以专门拦截此类短信。”深圳警方如此提醒,“无论收到什么信息,都不要轻易回复,更不要随意点进里面的链接。”

诈骗短信还能从境外远程操作GOIP群发

这些诈骗短信,除了境内一些网站在从事群发业务,有的竟是从境外遥控境内设备进行群发的。

身处境外的人员到底是如将短信投递到我们手机上的,有没有办法拦截?每经记者就此邀请了深圳市公安局反诈中心进行解惑。

深圳市公安局反诈中心接受每经记者采访时提到,生活中,不少人或多或少都收到过诈骗短信。虽然有部分群众能识别此类信息,但时不时还是有人上当受骗。

群众之所以能收到诈骗短信,起初是因为在其周边可能存在一种可以群发诈骗短信的设备。此类设备并不复杂,一台发射器、一个电源、一个移动终端就能对发射器周边500米以内,使用GSM网的手机强制短信推送。

相比以往传统发射器,犯罪分子在固定的区域租赁房屋,架设天线设备,远程遥控,向特定区域用户发送诈骗短信,如今,随着科技发展和警方打击力度的不断加大,此类设备也逐渐向更具隐蔽性的伪基站或GOIP等系列设备转移,这是网络通信的一种硬性设备,能将传统电话信号转化为网络信号,可以通过服务器远程控制GOIP设备,将电话或短信发出。

GOIP设备具有无人值守,双向通话,规避一般改号软件不能回拨的弊端,隐匿犯罪分子位置的功能。骗子利用GOIP设备作为诈骗中转站,通过远程操作GOIP,从境外任意切换手机号码拨打诈骗电话或群发短信,冒充公检法、税务、电信、银行等部门工作人员实施诈骗。

目前,除了以“银行系统升级”为名的短信诈骗,还有冒充公检法机关、“高速ETC、房管局、银行、通信运营商、保险公司”等名义和各种形式进行短信诈骗,此类诈骗逐步从广泛撒网向精准化进行投放,诈骗分子通过非法渠道获取网民的网络行为和消费数据情况,可以对被骗人有针对性地设计诈骗场景,误导被骗人上当,诈骗几率也大幅提升。短信中附有木马病毒链接,用户点击后木马被植入手机,趁机获取手机中的银行卡等相关信息后,实施盗刷获利。

那么,我们该如何防范钓鱼诈骗呢?

深圳市公安局反诈中心提醒大家,以下重点需时刻牢记:

1收到短信要核实。消费者在收到署名为银行等机构发送的信息时,要注意辨别真假,若不确定短信是否真实,可以到营业网点或向其官方客服咨询;

2陌生链接不点击。诈骗短信提供的网页链接可能是假冒手机银行或网上银行网页的钓鱼链接,也可能是病毒木马。建议广大消费者尽量不要点击第三方提供的网站链接操作,以免被不法分子诱骗;

3严守个人信息。消费者的身份证号、银行卡号、账户密码、短信验证码、付款码等均为个人重要且敏感信息,当有第三方要求提供或输入上述信息时,需提高警惕。不轻易提供重要敏感信息给他人。

每日经济新闻记者注意到,这些年公安机关针对电信诈骗打击可谓是竭尽全力。

针对防范短信诈骗方面,深圳市公安局反诈中心联合通管局、三大运营商开启预警反制,对涉诈短信链接推送到相关部门进行拦截封堵;尤其是针对前期高发的ETC短信诈骗案件,深圳市公安局反诈中心联合ETC深圳分公司开启预警劝阻技术反制,将深圳ETC车主纳入白名单保护,一旦发现有疑似车主被骗情况,将马上进行劝阻或止付机制;为了在车主脑海中深埋防范电信网络诈骗意识,积极与多部门协调沟通,对ETC使用车主开展了多维度,长链条、全覆盖式的精准宣传,并会同市通信管理局组织推动电信、移动、联通三大运营商在全市范围开展一次无差别式反诈短信应急提醒,重点对深圳ETC车主开展宣传,确保每一位ETC车主乃至每一位市民对此类作案应知尽知,能防可防。

机构可以使用客户信息 但要遵守相关法律规定

那么,拥有客户信息的机构,是否有权利使用客户信息?有律师对记者表示,机构可以使用,但是要遵守相应的法律规定。

该律师称,我国《民法典》规定,处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:

(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;

(二)公开处理信息的规则;

(三)明示处理信息的目的、方式和范围;

(四)不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

我国《个人信息保护法》第二章规定了“个人信息处理规则”,对处理个人信息作出了更加详细的规定。

例如,第十三条规定符合下列情形之一的,个人信息处理者方可处理个人信息:

(一)取得个人的同意;

(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;

(三)为履行法定职责或者法定义务所必需等。

对于个人敏感信息,《个人信息保护法》第三十条规定,个人信息处理者处理敏感信息的,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。

此外,《网络安全法》第四十一条《消费者权益保护法》第二十九条均要求运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。企业必须对其收集的数据严格保密,不得泄露、篡改、损毁,不得出售或非法向他人提供所收集的数据。

上述律师指出,综上所述,已经收集到个人信息的机构,在遵守法律法规的基础上可以使用个人信息。

多层面保护个人信息迫在眉睫

个人信息滥用现象频发,如何才能保护好个人信息,上述律师在监管、企业、个人层面均给出了一些建议。

首先,在监管层面,加强对网络交易平台的打击力度。建议政府监管部门加强对这类从事非法倒卖公民个人信息活动的网站、通讯群组的监控、查处和取缔力度,切断上下家之间买卖公民个人信息的主要渠道,加强对信息源头行业的监管、查处力度;

也要建立公民投诉、举报机制,设立公民个人信息权益保护部门,并建立查处反馈机制,鼓励公民及时提供信息、反映线索;

同时可对移动终端厂商、电信运营商信息资源整合,如在来电显示中对广告、诈骗电话进行标记,通过大数据分析深入有效查处信息泄露源头。

其次,在企业方面,个人信息的保护也需要相关企业加强自律,自主合规。根据《个人信息保护法》《网络安全法》以及《数据安全法》的规定,在企业内部健全个人信息保护机制。

例如,明确个人信息保护制度政策在公司的适用范围,个人信息处理原则应兼顾其他数据保护法基本原则,明确组织架构与部门职能,明确数据事件响应机制等。

最后是个人层面。在信息爆炸的当下,我们的个人信息都几乎处于透明状态,对于个人来说,保护个人信息需要在日常生活中予以注意。

第一,网络购物时要谨慎填写个人信息。在办理店铺会员、填写收货信息时,如果非必要实名制,可以选择昵称代替;

第二,公共电脑上的应用软件要及时退出,文件要及时删除,扔掉快递包装前,将粘贴的快递单进行销毁。

第三,在授权相关权限时,一定要仔细查看通知的内容,对于使用该软件没有必要的权限要进行关闭;

第四,在公开平台上发布内容前,一定要检查个人信息是否泄露出来等等。

记者手记 | 别“回T”退订,是挡住诈骗短信的第一步

顶着不同银行名义发出的所谓“贷款”短信,相信大多数人都收到过。与之类似的还有以“高速ETC”“社保”等名义发出的。这类短信让人不胜其扰,而回复“T”退订后往往还收到了更多骚扰短信。

而这类短信背后,等待着受害人的可能是诈骗,可能是冒牌的贷款申请,还可能是银行卡盗刷……不少受害人也因此遭受了经济损失。

所幸的是,警方仍持之以恒地在与此类短信作斗争,拦截封堵、止付机制、反诈宣称……警方在竭尽全力守护我们“钱袋子”的同时,作为个人,我们更要提高警惕,严守个人信息,将诈骗挡在门外。

]]>
搜狐全体员工遭遇“工资补助”诈骗损失惨重,邮箱服务安全性遭到质疑 Sun, 25 Sep 2022 04:45:26 +0800 随着智能手机的普及和人们安全意识的提高,不轻信陌生邮件短信、不点击未知来源链接已经基本成为人们的共识。但如果该邮件来源为自己企业邮箱人事、财务,邮件主题为“最新工资补贴”呢?

近日,一条来自网络的微信群聊记录显示,搜狐全体员工在5月18日早晨收到一封来自“搜狐财务部”名为《5月份员工工资补助通知》的邮件,大量员工按照附件要求扫码,并填写了银行账号等信息,最终不但没有等到所谓的补助,工资卡内的余额也被划走。

简而言之,搜狐公司员工遭遇了网络上最常见的诈骗方式。但因为邮件来源显示为搜狐公司内部域名,公司平时报销也存在需要员工银行账号的惯例,加上员工之间本身就有薪资保密的义务,搜狐几乎所有员工都没有对邮件内容产生怀疑,这才导致被骗人数和涉案金额巨大。

聊天记录显示,事后搜狐迅速采取了行动,包括立刻删除了相关邮件,并由ES部门出面汇总遭遇诈骗员工的信息到派出所报案。

事实上,类似的“工资补助”诈骗从去年开始就在全国发生过多起,搜狐新闻也进行过相关报道。

2021年9月份,江苏南京市民徐女士受到了一封主题为“工资补贴通知”的企业邮箱邮件,点开后显示只需扫描邮件内二维码并按照流程填写信息即可获得补贴,邮件中还用红色字体强调“逾期视为弃权领取”。

徐女士在扫码进入所谓“2021年工资补贴申领界面”之后,按照提示输入了银行卡号、身份证号、手机号以及银行卡可用额度、验证码之后,却收到银行卡多次转款的信息,这才醒悟过来,自己中了骗子的圈套。

今年年初,辽宁大连市民李先生收到一封公司人力资源部门发来的邮件,同样是主题为类似的“本年度社保补贴开始发放”,并且距离领取时限已不足1小时,李先生来不及细想,同样立刻填入了信息,之后银行卡被消费5000元。

徐女士和李先生的遭遇并非孤例,去年5月份以来全国多地反诈中心陆续接到类似报案,年底招数还有所升级,幌子由“领取补贴”更换为“奖金绩效发放”。

相比较过去的短信诈骗,“工资补贴”诈骗方式屡次得手,主要原因是很多企业均采用电子邮件作为正式通信方式,本就承担着内部文件和指示下达的任务,有企业域名、公司部门发送的邮件更容易获得员工的信任。

当然,类似诈骗实施难度也更高,需要犯罪者掌握相关企业邮箱系统的管理缺陷或安全漏洞,安插“病毒”获取数据。事实上,邮箱安全事关重大本应是企业共识。数据显示,90%的黑客攻击都是通过邮箱作为突破口的,电子邮箱直接关系着企业安全。

回到搜狐邮件诈骗事件,可疑邮件发信地址为sohutv-legal@sohu-inc.com,确实为搜狐内部域名,能够通过其给全体搜狐员工发去邮件,似乎也说明搜狐企业邮箱遭到了黑客的攻击,或内部管理漏洞被犯罪者利用,大量员工出于对搜狐邮箱安全性的信任,最终导致了被大面积诈骗的悲剧。

不得不提的是,搜狐作为中国四大门户网站之一,公司旗下的电子邮箱服务也让其成为国内最大的邮箱服务提供商之一。

群聊记录中搜狐员工将事件总结为“一个网络公司,被人偷了家”;还有一名员工直言:“应该不会有官方消息,这么丢人的事儿。”

“sohu邮箱分别有sohu免费邮箱,sohuVIP邮箱以及sohu企业邮箱等,长期以来以稳定快速人性化著称的sohu邮箱成为国内网民必用邮箱之一”,搜狐邮箱的百度百科词条这样描述。

]]>
支付巨头PayPal曝大漏洞,黑客可直接窃取用户资金 Sun, 25 Sep 2022 04:45:26 +0800 据The Hacker News消息,昵称为h4x0r_dz的安全研究人员在支付巨头PayPal的汇款服务中发现了一个未修补的大漏洞,可允许攻击者窃取用户账户中的资金。其攻击原理是利用点击劫持技术诱导用户进行点击,在不知不觉中完成交易,最终达到窃取资金的目的。

所谓点击劫持技术,指的是不知情的用户被诱骗点击看似无害的网页元素(如按钮),目的是下载恶意软件、重定向到恶意网站或泄露敏感信息。

而在PayPal的漏洞中,这个技术被用来完成交易。黑客利用了不可见的覆盖页面或显示在可见页面顶部的HTML元素。在点击合法页面时,用户实际上是在点击由攻击者控制的覆盖合法内容的恶意元素。

2021年10月,h4x0r_dz向PayPal报告了这一漏洞,证明攻击者可以通过利用 Clickjacking 窃取用户的资金。

h4x0r_dz是在专为计费协议设计的“www.paypal[.]com/agreements/approve”端点上发现了该漏洞。他表示,“按照逻辑,这个端点应只接受 billingAgreementToken,但在深入测试后发现并非如此,我们可以通过另一种令牌类型完成,这让攻击者有机会从受害者的 PayPal 账户中窃取资金。”

这意味着攻击者可以将上述端点嵌入到iframe中,如下图所示,此时已经登录Web浏览器的受害者点击页面的任何地方,就会自动向攻击者所控制的PayPal 帐户付款。

更令人担忧的是,这次攻击可能会对和PayPal集成进行结账的在线门户网站造成灾难性后果,从而使攻击者能够从用户的PayPal账户中扣除任意金额。

h4x0r_dz在社交平台上发布的帖子写到,“有一些在线服务可以让你使用 PayPal 将余额添加到你的帐户中,我可以使用相同的漏洞并强迫用户向我的帐户充值,或者我可以利用此漏洞让受害者为我创建/支付 Netflix帐户。”

目前,有安全专家表示,该漏洞尚未完成修复工作,用户应保持足够的警惕。

]]>
通用汽车遭撞库攻击被暴露车主个人信息 Sun, 25 Sep 2022 04:45:26 +0800 近期,通用汽车表示他们在今年4月11日至29日期间检测到了恶意登录活动,经调查后发现黑客在某些情况下将客户奖励积分兑换为礼品卡,针对此次事件,通用汽车也及时给受影响的客服发邮件并告知客户。为了弥补客户所受损失,通用汽车表示,他们将为所有受此事件影响的客户恢复奖励积分。但根据调查,这些违规行为并不是通用汽车被黑客入侵的结果,而是由针对其平台上的客户的一波撞库攻击引起的。

撞库是指黑客通过收集网上已泄露的用户和密码信息,生成对应的字典表,并尝试批量登陆其他网站后,得到一系列可以登录的用户。经后续的调查,通用汽车表示目前没有证据表明登录信息是从通用汽车本身获得的,“未经授权的用户获得了之前在其他非通用汽车网站上被泄露的客户登录凭证的访问权限,然后在客户的通用汽车账户上重复使用这些凭证。”对此通用汽车要求受影响的用户  在再次登录他们的帐户之前重置他们的密码。

个人信息暴露

当黑客成功入侵用户的通用汽车帐户后,他们可以访问存储在该网站上的某些信息。此信息包括以下个人详细信息:

名字和姓氏,

个人电子邮件地址,

个人地址,

与帐户绑定的注册家庭成员的用户名和电话号码,

最后已知和保存的最喜欢的位置信息,

当前订阅的 OnStar 套餐(如果适用),

家庭成员的头像和照片(如果已上传),

个人资料图片,

搜索和目的地信息。

黑客入侵通用汽车账户时可获得的其他信息包括汽车里程历史、服务历史、紧急联系人、Wi-Fi 热点设置(包括密码)等。但帐户里不包含出生日期、社会安全号码、驾驶执照号码、信用卡信息或银行帐户信息,因此这些信息没有被泄露。

除了重置密码外,通用汽车还建议受影响的用户向银行索取信用报告,如有必要还可进行账户安全冻结。不幸的是,通用汽车的在线站点不支持双重身份验证,所以其网站无法阻止撞库攻击。不过还有一种做法是客户可以给所有的支付动作添加PIN码验证环节。至于受影响的客户数量,通用汽车只向加州总检察长办公室提交了一份通知样本,因此我们只知道该州受影响的客户数量,也就是略低于5,000家。

]]>
俄最大银行遭到最严重DDoS攻击,普京称正经历“信息空间战争” Sun, 25 Sep 2022 04:45:26 +0800 安全内参消息,5月19日,俄罗斯最大银行Sberbank(联邦储蓄银行)官网披露,在5月6日成功击退了有史以来规模最大的DDoS攻击,峰值流量高达450 GB/秒。

次日,普京召开俄罗斯联邦安全会议,称正经历“信息空间战争”。他提出了三项关键任务,以确保俄关键信息基础设施安全。

Sberbank遭最严重DDoS攻击

此次攻击Sberbank主要网站的恶意流量是由一个僵尸网络所生成,该网络包含来自美国、英国、日本和中国台湾的27000台被感染设备。

Sberbank副总裁兼网络安全主管Sergei Lebed称,网络犯罪分子利用各种策略实施网络攻击,包括将代码注入广告脚本、恶意Chrome扩展程序,以及被DDoS工具武器化的Docker容器等。

Lebed表示,他们在过去几个月内检测到超过10万名网络犯罪分子对其展开攻击。仅在3月,他们就记录到46次针对Sberbank不同服务同步发动的攻击活动,其中相当一部分攻击利用到在线流媒体与观影网站的流量。

这类行动策略和亲俄黑客组织攻击乌克兰主要网站的手法相类似。一旦有人访问这些受感染网站,用户的网络浏览器就会被注入恶意脚本的特制代码,进而发出大量指向被攻击URL的请求。具体到此次攻击,指向的自然是Sberbank域名下的各URL。

Lebed表示,“当前,Sberbank仍在遭受全天候网络攻击。我们的安全运营中心也在24/7随时分析网络威胁,并迅速做出反应。”

Lebed警告称,“一旦攻势蔓延到其他行业企业时,由于他们大多从未经历过这类网络冲击,所以很可能会遭受损失。”

普京称正经历“信息空间战争”,提出三项关键保障任务

俄罗斯总统普京表示,俄乌冲突期间,俄罗斯遭遇了西方世界发动的一系列网络攻击,但均已被成功化解。

5月20日(上周五),普京对俄罗斯安全委员会成员发表讲话时指出,“这一领域的挑战正变得愈发紧迫、严重且广泛。”

他指责,“俄罗斯正经历一场彻底侵略,一场爆发于信息领域的战争。”

普京补充道,“针对我们的这场网络攻击,就如同针对俄罗斯的种种制裁一样,都失败了。”

他要求各级官员“完善和加强直接关系到俄国国防能力及经济社会领域稳定发展的重大工业设施的信息安全保障机制。”

对于会议讨论的确保俄关键信息基础设施安全的国家政策基本原则草案,普京提出三个关键任务。

一是不断完善、调整与国防能力、经济和社会稳定发展直接相关的关键设施领域的信息安全保障机制。

二是提高国家机构信息系统和通信网络的安全性。“2021年进行的检查表明,在那里运营的大部分资源容易受到外部大规模攻击和破坏性影响,尤其是采用最新一代外国技术部分。”要加强对国内数字空间的防御,减少公民信息和个人数据泄露的风险。他提议就建立国家信息保护制度的问题进行讨论。

三是从根本上降低采用外国程序、计算机技术和电信设备所带来的风险。他指出,应尽可能保护俄近年来推动的公共管理系统和经济领域数字化进程免受外部任何潜在负面影响,“而完成这项任务的方法很明显就是转向国产设备、技术、程序和产品”。

]]>
国际刑警组织:国家网络武器将很快在暗网上出现 Sun, 25 Sep 2022 04:45:26 +0800 国际刑警组织高级官员警告称,军方在网络战中使用的数字工具,最终有可能落入恶意黑客手中。

国际刑警组织秘书长Jurgen Stock表示,他担心由国家开发的网络武器会在“几年”后出现在暗网上。所谓暗网,是指互联网上的一个隐藏部分,无法通过谷歌等搜索引擎直接访问。

周一(5月23日),在瑞士达沃斯举行的世界经济论坛上,Stock提出,“这已经成为现实世界中的一大主要问题——战场上使用的武器逐渐落入有组织的犯罪团伙手中。”

他还补充道,“数字武器也不例外。也许当前由军方开发使用的数字武器,明天就会被恶意黑客所利用。”

网络武器分为多种形式,其中可用于锁定目标计算机系统迫使受害者支付赎金的勒索软件,已经成为关键。长期以来,网络战一直是全球政府关注的焦点,并在此次俄乌战争中再次吸引整个世界的目光。

俄罗斯多次被归因指责,在俄乌战争前期先向乌克兰发动多次网络攻击。不过俄罗斯政府一直否认此类指控。与此同时,乌克兰得到了世界各地志愿黑客的支援,协助其应对俄罗斯的攻击。

Stock呼吁商界领袖加强与政府及执法部门的合作,确保更行之有效地监管网络犯罪。

他表示,“一方面,我们需要把握当前态势;而另一方面,我们需要私营部门数据的支持。”

“我们需要企业的网络泄露报告。没有这些报告,我们将无法看到威胁形势。”

Stock说,目前“大量”的网络攻击未被上报。“这不仅仅是执法部门要求我们打通的组织与信息孤岛,更是我们需要弥合的现实差距。”

根据世界经济论坛《全球网络安全展望》报告,2021年全球网络攻击数量增加了一倍以上。报告称,勒索软件仍是当下最流行的攻击类型,各受访组织每年平均被攻击270次。

参与讨论的企业高管和政府官员表示,网络安全事件正在令关键能源基础设施和供应链面临风险。

工控安全公司Dragos联合创始人兼CEO Robert Lee也敦促企业关注现实威胁场景,例如2015年由俄罗斯支持的对乌电网攻击,而非一味假设风险场景。乌克兰已经在今年4月成功抵挡住一次类似的能源基础设施破坏企图。

Lee总结道,“我们的问题用不着‘下一代’AI、区块链或者其他技术来解决。我们的问题在于,很多已经投资并开发完成的成果仍未得到实际应用。”

]]>
日经新闻亚洲子公司遭勒索软件攻击 Sun, 25 Sep 2022 04:45:26 +0800 DoNews 5月21日消息(刘文轩)日本媒体日经本周表示,日经集团(Nikkei Group)位于新加坡的亚洲分公司于近日遭到勒索软件攻击。

日经集团亚洲分公司表示,该公司一台服务器上周五(5/13)遭到未授权存取,引发IT部门调查,发现是勒索软件。日经亚洲表示他们已立即关闭该台服务器防止感染扩大,并向集团及公司人事资料保护主管提出报告。

日经表示,遭到存取的服务器可能包含客户资料,该公司正在评估事件影响范畴。初步调查证实没有资料外泄。这家日本媒体巨头除了表示将配合和有关单位合作启动调查,也承诺将致力解决此次事件。

]]>
男子轻信 ETC 失效,被骗损失近万元,警方提醒“切勿点击不明短信链接” Sun, 25 Sep 2022 04:45:26 +0800 5月21日消息,据央视财经报道,随着“电子不停车收费”也就是 ETC 的普及,不法分子也瞄准了这个领域。四川广安警方表示,警惕 ETC 诈骗,切勿点击不明短信链接。

男子轻信 ETC 失效,被骗损失近万元,警方提醒“切勿点击不明短信链接”

前不久,四川广安居民段先生收到了一条短信,称其 ETC 已停用,需重新签办。段先生就点开了短信里面的链接,并绑定了银行卡,输入余额和验证码。几天后,段先生发现自己 ETC 里的钱并没有增加,一翻看之前收到的短信验证码,显示的却是“您正在进行河南电费缴费,金额 9900 元。”这时,他才意识到自己上当受骗。

据了解,ETC 账户不存在“过期失效”一说。ETC 车载设备的有效期为 10 年,续期时无须操作银行账户;ETC 设备失效激活、系统升级等,也无须操作银行账户。 

]]>
数字人民币尝试破解商家卷款跑路:预付费难题有望根治 Sun, 25 Sep 2022 04:45:26 +0800 预付费作为一种消费形式,已经在市场上得到了广泛应用,遍及多种行业,不过长期以来,围绕着预付费存在着消费者退款难、举证难、追偿难等多种问题,尤其是某些不良商家,拿到预付款后就卷铺盖跑路。那么,该如何解决这一难题呢?数字人民币正在尝试破解之。

据@央视财经报道,何先生的孩子一直在上机器人相关课程,在深圳恢复下线下课后,他在犹豫要不要给孩子续课,其担忧之一就是报名费的安全问题。

不过这次在缴费的时候,工作人员推荐他使用数字人民币预付式消费平台来支付学费。

据了解,消费者使用数字人民币支付学费之后,资金将会冻结在数字人民币账户内,每一次上课再进行扣款,当出现问题需要退款时,平台可以实现未消费金额的快速退款。

建设银行工作人员在接受采访时表示,相比之前的传统监管模式,数字人民币可以实现单笔资金的自动监管,而传统的账户模式是对整个账户进行监管。

此外,数字人民币的监管可以实现全流程的线上平台化处理,传统的需要大家跑银行办理业务。

据公开信息,全国首个数字人民币预付式消费平台,目前已率先在深圳福田区开展使用,未来,该平台将在教育培训、美容美发、体育健身等行业总计超200家企业推广使用。

]]>
百度网盘官方提醒:低价代充会员小心隐私泄露 Sun, 25 Sep 2022 04:45:26 +0800 相信很多网友都在第三方平台通过代充店铺以低于官方的价格充值网盘会员,运气好的话能正常使用,但也有部分用户花了钱却没有享受到会员权益。日前,百度网盘发布公告称,近期收到关于会员权益失效的部分用户反馈。经核实发现,不法分子在未获得官方授权的情况下,在相关平台开设店铺,以低价为诱饵违规开展百度网盘会员代充业务进行牟利。

官方指出,未获官方授权的代充业务已经形成黑色产业链条,严重侵害消费者的合法权益。

百度网盘称,不法分子向购买代充服务的消费者索要百度网盘账号、密码或验证码(或提供新账号密码),登录消费者账号后,通过多种非法手段在iOS端购买会员商品。

交易完成后,虽然会员权益即时生效且消费者能在账号内查询到相关的购买记录,但非法交易手段被苹果公司证实后,就会取消交易导致消费者的会员权益失效。

百度网盘提醒,所有官方或正规授权渠道,都不会向消费者索要网盘密码或登录验证码。凡是索要以上信息或提供新账号的充值形式全部都是黑产代充,存在被诈骗或者用户账户信息泄露的风险。

据悉,百度网盘将联合相关电商平台,多方配合封禁黑产代充店铺,并通过法律途径,持续对损害消费者合法权益的不法分子展开维权等。

]]>
“全球最大隐私泄露行为”曝光!谷歌、微软在列 Sun, 25 Sep 2022 04:45:26 +0800 近日,爱尔兰民间组织ICCL揭露了谷歌、微软等科技公司是如何获得用户数据,并以此推给广告商的商业行为。ICCL在一份报告中强调,这是有记录以来最大的数据泄漏事件。

  本次指控主要源自实时竞价系统Real-Time Bidding (以下简称“RTB”)跟踪收集用户数据,并发送到大量公司手中。其中,谷歌在RTB系统中参与程度最深。

  21世纪经济报道记者5月19日从爱尔兰ICCL官网获悉,在RTB系统中,欧洲和美国互联网用户的私人数据被发送到全球各地,且目前没有任何手段能够控制这些数据的处理方式。

  有记录以来最大的数据泄漏

  实时竞价系统Real-Time Bidding (以下简称“RTB”)通过在网站和应用程序进行幕后运作,跟踪互联网用户正在查看的内容,并记录用户接下来将会查看哪些网站。

  科技公司在拿到这些隐私数据以后,能够建立相应的用户画像,以此来了解用户需要什么,正在了解什么,并推给相应的广告商以实现精准的广告投放。令人担忧的是,这种广告跟踪模式可能会暴露个人数据并用于识别个人信息,造成隐私泄漏。2021年,RTB产业在美国和欧洲创造了1170多亿美元的收入。

  ICCL发布的报告显示,在欧洲,RTB每天公开376次人们的数据;平均而言,美国一个人的在线活动和位置每天被RTB行业曝光747 次。RTB跟踪和分享美国和欧盟居民在网上留下的数据,包括用户在查看什么以及用户上网时的真实位置,合计共跟踪分享178万亿次。

  报告中还显示,RTB系统中最大的参与者谷歌,为数千家公司(包括1058家欧洲公司和4698家美国公司)提供RTB数据。而另一重要参与者微软则在2021年12月 AT&T 收购广告技术公司 Xandr 后,大幅增加在RTB上的投资。

  谷歌发言人对此作出声明:“谷歌使用RTB时设置了行业领先的保护措施,并严格限制了与广告商共享数据的方式。我们不会分享个人身份信息,也不会展示基于敏感信息(例如健康、种族或宗教)的广告。我们要求发布商在展示任何个性化广告之前,证明他们已经获得人们的同意。”

  向欧洲法院提出诉讼

  多年来,人们一直在关注RTB的隐私和安全问题,并采取相应措施来防止人们的网络隐私信息被随意滥用。在这一方面,欧洲已经率先采取行动:出台被称为“史上最严”的数据保护法《通用数据保护条例》(GDPR)。

  报告显示,现在,越来越多的广告商依靠RTB向网站和应用软件投放广告,其中美国和欧盟的广告商每年将投放约一千亿美元在RTB系统上。

  目前,ICCL正着力关注与解决RTB数据泄露问题,并已经多次向欧洲法院提出诉讼。

  2021年6月15日,ICCL向谷歌、脸书、亚马逊等公司乃至整个广告行业提出挑战,对当时的广告商提出诉讼,因为在线广告获得并追踪用户数据的行为,严重侵犯了用户的隐私数据。ICCL强调,这是一个“里程碑式的诉讼”,并承诺将会在法庭上解决这个问题。

  2022年2月,以比利时数据保护局为首的28个欧盟数据保护机构发现,在线广告行业的贸易机构“IAB Europe”存在多项违反GDPR的行为。ICCL对此提出相应的诉讼,最终确认了IAB Europe的违法行为。

  此外,今年3月,ICCL起诉爱尔兰数据保护委员会DPC 未能对大规模谷歌数据泄露采取行动,投诉中强调DPC在3年半前收到了关于Google 实时出价数据泄露的投诉,但DPC 未能对此投诉采取行动。

]]>
美国政府:赶紧给 VMware 设备打补丁,否则拔掉设备! Sun, 25 Sep 2022 04:45:26 +0800 披露了严重的身份验证绕过漏洞,旧漏洞受到大肆攻击。

美国政府网络安全和基础设施安全局(CISA)在一天内向VMware用户接连发出了两则警告,它认为这家虚拟化技术巨头的产品可能被不法分子用来控制系统。

该部门认为这个威胁足够严重,于是命令美国政府机构停止使用VMware产品,如果无法打上补丁的话。

这两则警告中一则强调了一个严重的身份验证绕过漏洞(编号为CVE-2022-22972),CVSS等级评分为9.8分(最严重是10 分),VMware 周三已予以披露。

这个漏洞影响五款产品:Workspace ONE Access、VMware Identity Manager、VMware vRealize Automation、vRealize Suite Lifecycle Manager和VMware Cloud Foundation。

恶意分子通过网络访问用户界面(UI)无需验证身份,就能获得管理员访问权限。

Cloud Foundation中的漏洞非常可怕,因为该产品正是VMware用于构建和管理运行虚拟机和容器的混合多云系统的工具。这意味着未经授权的用户能够获得管理员级别的权限,并操控本地的那些资源,还可能操控基于VMware的公共云上的那些资源(这其中4000多个公共云由VMware的合作伙伴运行),以及与 AWS、微软、谷歌、Oracle、IBM 云和阿里云合作运行的环境上的资源。

该漏洞对其他产品的影响也很大,因为Identity Manager和Workspace ONE Access control可以通过VMware的应用程序发布工具授予访问应用程序和 SaaS服务的权限,而vRealize拥有广泛的自动化功能,触及混合云运营的许多方面。

第二个漏洞 CVE-2022-22973也在周三披露,让攻击者可以在VMware Workspace ONE Access和VMware Identity Manager中成为root用户。该漏洞评分为7.8 分。

这两个安全漏洞造成的威胁非常大,以至于CISA颁布了一道紧急指令,要求美国民事政府机构在 5 月 23 日之前将任何在互联网上暴露的VMware高危产品从生产环境撤下,应该将它们视为受到严重威胁。美国政府机构还必须列出所有使用的受影响产品,并在同一期限内打上补丁。如果无法打上补丁,CISA希望从政府网络上移除这些产品,无论它们是不是面向互联网。

VMware被美国政府机构广泛使用。如果其产品关闭,生产力和服务可能会受到严重的扰乱。

CISA 对VMware用户发出的另一则警告针对这家IT巨头在2022 年4月初披露的漏洞。这家网络安全部门表示,它觉得攻击者可能是高级持续性威胁(APT)分子,分别利用CVE-2022-22954和 CVE-2022-22960 ,或者同时利用这两个漏洞,以获得“系统的全面控制权”。4 月份披露的漏洞影响的正是今天披露的漏洞影响的同一批产品。

该部门发布的安全公告声明,CISA 事件响应团队已经派驻一家“威胁分子利用了CVE-2022-22954的大型组织”前去救火。“另外多家大型组织发现了可信赖第三方被利用和被攻击的迹象。”

VMware关于今天披露的常见问题解答(FAQ)问道:“为什么这些软件组件还有第二份VMware安全公告( VMSA)?”

VMware的回答如下:安全研究人员发现漏洞后,漏洞常常引起其他安全研究人员的注意,他们为研究带来了不同的视角和经验。VMware认识到额外的补丁会给IT员工带来不便,但我们兼顾这种担忧和透明度方面的承诺,让我们的客户了解情况,并提前防范潜在的攻击。

然而,正如CISA的忠告那样,VMware客户并没有提前防范这些攻击。相反,他们只是在不停地打补丁。

]]>
日经新闻亚洲子公司遭勒索软件攻击 Sun, 25 Sep 2022 04:45:26 +0800 据出版巨头日经新闻(Nikkei)透露,该集团在新加坡的总部于近期遭到勒索软件攻击。

“5月13日我们首次发现了对服务器的未经授权访问,随后已启动内部调查。”在公司发布的一份新闻稿中这样写道,“日经亚洲集团第一时间关闭了受影响的服务器,并采取了其他措施将影响降到最低。”

日经新闻补充表示,目前正在调查攻击者是否访问了可能存储在受影响服务器上的客户数据,“受影响的服务器可能包含客户数据,日经目前正在确定攻击的性质和范围”。截至目前,在调查勒索软件攻击时都没有发现数据泄露的证据。

本次攻击由日经新闻及其亚洲子公司向日本和新加坡负责个人数据保护的当局报告,攻击发生后日经新闻的公共关系办公室立马发表了一则道歉声明:“我们真诚地为我们造成的麻烦道歉,我们将与有关部门合作,采取适当行动,努力加强信息保护。”

其实,早在两年前,日经新闻就曾成为商业电子邮件攻击(BEC)的受害者。攻击者伪装成日经新闻的高管,欺骗了美国分公司在纽约的一名员工,将2900万美元汇入他们制定的一个银行账户。

日经新闻作为全球最大的媒体公司之一,拥有约400万印刷和数字订户,以及40多家涉及出版、广播、活动、数据库服务和指数业务的附属公司这家媒体集团于2015年收购了英国《金融时报》,目前在世界各地拥有数十家外国编辑部和1500多名记者。

]]>
最强间谍软件:某国元首被渗透 难以防范的国家安全威胁 Sun, 25 Sep 2022 04:45:26 +0800 近期,以色列间谍软件Pegasus(飞马)再次成为欧美关注的焦点。5月初,西班牙首相桑切斯确认遭飞马软件入侵,成为现任全球政府首脑的首个确认案例。此前,英国首相鲍里斯·约翰逊办公室相连设备也发现 飞马间谍软件的活动痕迹。

接连曝光的事件引发对监控软件使用的广泛争议。在全球开展的飞马项目调查显示,目前已在世界各地发现超过 450 起疑似飞马入侵事件,受害者分布普及世界各地,包括不少国家的领导人。

目前飞马软件已被美国商务部列入黑名单,正在接受欧洲议会委员会的调查。频发曝光的飞马入侵事件突显出间谍软件构成的国家安全威胁。

最强间谍软件:目前尚无有效应对办法

英国 《卫报》认为,飞马软件“可能是有史以来最强大的间谍软件”,可以将手机变成“24 小时的监控设备”——收集用户的位置、数据、密码、照片、网络搜索信息和其他数据。

作为实际使用中检测到的最先进恶意软件,飞马间谍软件利用WhatsApp、iMessage、FaceTime 等流行应用的零日漏洞,感染智能手机的操作系统——苹果iOS、iPadOS 和 安卓(Android)。

2016 年,研究人员曾发现早期版本的飞马软件,它主要通过鱼叉式钓鱼感染手机——通过短信或电子邮件,欺骗目标用户点击恶意链接。

从那时起,飞马软件的攻击能力变得更加先进:可以通过所谓的“零点击”攻击来实现感染。这种攻击方式不需要手机用户的任何交互即可成功。这些通常会利用“零日”漏洞,即手机制造商尚不知道且无法修复的系统缺陷或错误。

在鱼叉式网络钓鱼和零点击攻击均未成功的情况下,攻击者也可以利用攻击目标附近的无线收发器实现感染;拿到攻击目标电话的情况下,也可以手动安装。

一旦目标手机被感染飞马软件,手机就会变成微型窃听器,攻击者就几乎可以从手机窃取如何信息:从地理位置、信息、密码、照片、互联网数据,甚至控制相机和录音的开启。

一些安全研究人员认为,目前还没有什么办法可以有效阻止飞马软件的入侵。强大的功能令飞马软件获得了“世界上最强大的网络武器”的美誉。

飞马软件用途极其广泛,可以从 WhatsApp、Facebook、Twitter、Skype 和 Gmail 等应用中嗅探通信、窃取消息和通话记录;它包含键盘记录和截屏功能,甚至可以控制手机的摄像头和麦克风。

飞马软件开发机构——总部位于特拉维夫北部的以色列公司 NSO Group ,由以色列前情报人员所创建。近十年来,这家以色列公司一直以订阅的方式向世界各地的国家情报机构出售这款军用级监控软件,并承诺可以做到其他任何人都做不到的事情(甚至国家情报机构)——持续可靠地破解任何 iPhone 或 安卓智能手机的加密通信。

国家元首被渗透:间谍软件危机加剧

尽管NSO Group公司在官网上宣称,主要开发“帮助政府机构预防和调查恐怖主义及犯罪行为的技术” ,以拯救全球无数人的生命,但公司在近期曝出众多入侵事件后也承认,作为软件提供商,自己无法掌控客户的具体攻击目标。

安全研究人员发现,飞马间谍软件已被用来攻击世界各地的政治家和律师,甚至对国家安全构成严重的威胁。

在全球开展的飞马项目调查显示,目前已在世界各地发现超过 450 起疑似飞马入侵事件,受害者分布普及世界各地——从印度和乌干达,到墨西哥和约旦河西岸,其中包括法国、巴基斯坦和摩洛哥领导人、美国官员,甚至一些国家的前领导人也在受害者名单中。

目前,西班牙首相佩德罗·桑切斯 (Pedro Sanchez) 是被证实感染间谍软件的最高级官员。也是第一个被证实成为间谍软件受害者的欧洲国家领导人。桑切斯入侵事件加深了欧盟间谍软件的危机。

5月初,西班牙政府确认,该国首相佩德罗•桑切斯(Pedro Sanchez)和国防部长玛格丽塔•罗伯斯(Margarita Robles)的手机被 飞马间谍软件窃听。随后又确认,内政部长费尔南多·格兰德-马拉斯卡( Fernando Grande-Marlaska )也遭到攻击。西班牙国家情报中心 (CNI) 主任帕兹·埃斯特班 (Paz Esteban)因此被解雇。

西班牙政府披露,桑切斯的电话在 2021 年 5 月两次遭到入侵;罗伯斯的电话则在 2021 年 6 月遭攻击。黑客从桑切斯的手机中窃取了 2.6 GB 信息,从罗伯斯的手机中提取了 9 MB 的信息。目前,有关入侵行为的详细报告已被移交给西班牙国家法院做进一步调查。

此外,英国政府官员的设备也已成为间谍软件的目标。2022年4月,多伦多大学公民实验室(Citizen Lab )警告,英国政府官员的智能手机已成为间谍软件的目标,从而变成远程监听设备。该机构的研究人员在英国官方网络中发现了多起疑似 飞马间谍软件感染的事件。其中包括英国首相办公室和英国外交和联邦事务部。据信,间谍软件攻击始于对英国外交和联邦事务部相关系统的针对性感染。公民实验室(Citizen Lab )是全球领先的间谍软件研究机构。

美国外交官此前也曝出被入侵的事件。《华盛顿邮报》和其他 16 家新闻机构的调查发现,美国外交官和其他大使馆雇员面临飞马间谍软件的入侵风险,尤其是使用海外电话号码时。

2021年12月,苹果公司向11 名美国大使馆员工发出警告:其 苹果手机被 NSO Group 的飞马间谍软件入侵。这一事件是飞马软件攻击美国官员的首个确认案件。据熟悉苹果公司的人士称,这些攻击主要集中在美国驻乌干达首都坎帕拉的大使馆。

实际上,2020 年,在飞马等间谍软件可能侵入亚马逊创始人杰夫·贝索斯的手机后,联合国呼吁对飞马软件展开相关调查。2021年7 月,由媒体机构与非政府组织合作的飞马调查项目,披露了一份超过5万个的全球智能手机号码清单,大多数集中在 NSO 的国家客户,这意味着清单都可能是潜在的监视目标。这些电话号码集中在十个国家:阿塞拜疆、巴林、匈牙利、印度、哈萨克斯坦、墨西哥、摩洛哥、卢旺达、沙特阿拉伯和阿拉伯联合酋长国(UAE),所有这些国家都曾是 NSO集团 的客户

当然,飞马间谍软件(Pegasus)高度定制、使用成本高昂高度,这意味着普通企业不会成为攻击的目标。

国家安全的严重威胁

频频曝光的飞马软件对世界各国领袖和官员的攻击事件,突显了间谍软件构成的国家安全威胁。在很大程度上不受监管的间谍软件市场使这种强大的恶意软件可用于攻击各国。

与传统武器系统的出口一样,以色列国防部必须对飞马软件的所有对外销售进行批准,从而在其扩散过程中发挥监督作用。但对于出售之后的流向和用途根本无从监督和控制,因此西班牙、法国、巴基斯坦和摩洛哥的领导人,以及一些前国家领导人都可能在受害者名单上。

2021年 11 月,美国商务部以公司向外国政府出售监视间谍软件为由,将 NSO 集团和另一家以色列监控软件公司 Candiru 列入黑名单,禁止其获取美国技术, 

但这没有阻止新客户接近NSO 集团,这其中也包括美国。2022年2月,联邦调查局证实,从以色列 NSO 集团购买了 飞马间谍软件,尽管其否认曾在行动中使用过,声称其以“与新兴技术和贸易技术保持同步”。但购买和测试的细节却从未公开过。

此外,美国科技公司还以黑客攻击向 NSO 集团提起诉讼。2021年 5月苹果公司起诉NSO 集团,称其为“不道德的 21 世纪雇佣军”,试图阻止该公司对全球10 亿部苹果手机的漏洞利用。Meta公司(Facebook) 向美国联邦法院起诉 NSO 集团,指控其涉嫌入侵约 1,400 名 WhatsApp 用户。 此后,微软和其他科技巨头也加入了进来。

尽管这些科技巨头以监控和安全为由提起诉讼,但其中一些自身就曾投资过研发监控技术的以色列企业。此外,美国国家安全局还寻求与这些科技公司达成协议,以实现通过后门获得对其产品的特殊访问权。

因此,分析人士认为,目前美国和以色列在 NSO 集团飞马软件问题的争议,并非对私营监控公司的监管问题,而是对快速发展的网络武器行业的控制权争夺战。这表明两国政府对于控制越来越强大网络武器的重视,正如重视控制战斗机和离心机等军备物资一样。

据报道, NSO 集团有可能将其资产出售一家美国公司,目前正在进行谈判。

各国感染飞马间谍软件的事件

西班牙

西班牙政府确认,首相佩德罗•桑切斯、国防部长玛格丽塔•罗伯斯、内政部长费尔南多·格兰德-马拉斯卡遭飞马软件监控。

英国

英国首相办公室、英国外交和联邦事务部遭飞马软件攻击。

芬兰

芬兰外交部证实,数名不详的芬兰驻外外交官遭飞马软件入侵。

以色列

多名前政府官员,其中包括财政部前总干事Shai Babad、通讯部前总干事Avi Berger ,以及交通部和财政部的前任总干事Keren Terner-Eyal 等

美国

11 名未透露姓名的美国外交官员,在乌干达 遭飞马软件攻击。

法国

时任法国环境部部长弗朗索瓦·德·鲁吉 (François de Rugy) 疑似遭飞马软件监控。

]]>
德州近200万个人信息被曝光了三年 Sun, 25 Sep 2022 04:45:26 +0800 近日,由于德州保险部门(TDI)的一个编程问题,德克萨斯近200万人的个人信息被暴露了近三年。

据TDI透露,在此前发布的一份州审计报告中,从2019年3月到2022年1月,180万提出赔偿要求的工人的详细信息在网上公开。其中包括社会安全号码、地址、出生日期、电话号码和有关工人受伤的信息。

在2022年3月24日的公告中,TDI表示,它于2022年1月4日首次发现管理工人薪酬信息的TDI Web 应用程序存在安全问题。此问题使公众能够访问受保护的在线部分应用。

TDI是负责监督德克萨斯州保险业并执行州法规的州机构,在发现了这一问题后,它立即下线了该应用程序,解决了信息泄露的问题,并开始与一家取证公司一起调查该起泄露事件的性质和范围。

接下来,TDI向2019年3月到2022年1月期间提交新的人工赔偿要求的用户发出信函,告知他们可能存在信息泄露的风险。根据最新的统计数据显示,此次数据泄露共影响了德克萨斯州180万人。

5月17日,TDI在新闻稿中写到,自2022年1月开始,TDI开始调查调查以确定问题的严重性质和范围,并与一家知名网络安全公司合作,试图找到除TDI工作人员以外的人查看这些用户的个人信息。结果显示,暂时没有任何证据表明已经泄露了的员工个人信息被滥用。

TDI进一步表示,它将免费为可能受到影响的用户提供 12 个月的信用监控和身份保护服务。对此,Egnyte网络安全宣传总监Neil Jones表示,最近发生的TDI数据泄露事件令人担忧,因为工人的薪酬数据包括PII(个人身份信息)和PHI(受保护的健康信息),它们是网络攻击者的最喜欢的数据资源。尽管目前没有证据表明泄露的信息已经被恶意使用,但攻击者往往会选择一个更合适的时间,将窃取的数据在暗网上出售,这样的例子并不少见。

同时,该数据泄露事件也给我们敲响了警钟。随着数字化的到来,政府机构数字化的趋势已经十分明朗,然而在这个过程中很多机构的网络安全防护体系并未建设完善,以至于屡屡出现相类似的安全事件,给公民信息安全带来了严重的影响。

从TDI数据泄露事件中可以发现,很多低级的网络安全错误并不少见。一个配置失误就让近两百万人的数据被曝光了整整三年,其中包含了大量的有价值的个人隐私信息。在这三年的时间里,该机构从未发现这一隐患,以至于发生了如此灾难性事件。

换句话说,在互联网化的道路上很多机构一味求快,早已存在的诸多安全风险,此时我们更应该回过头反思安全性,而不是继续埋头跑步。毕竟只有基础牢固,才能跑的更加长远。

]]>
黑客创建“机器人”电话,企图浪费俄罗斯官员时间 Sun, 25 Sep 2022 04:45:26 +0800 Hackread 网站披露,一个名为“Obfuscated Dreams of Scheherazade”的黑客组织创建了一个机器人网站 WasteRussianTime.today,该网站允许访问者随机选择两名俄罗斯官员拨打恶作剧电话,浪费他们的时间。

劫持电话和恶作剧电话构成致命组合!

黑客组织利用公开泄露的数据,建立了一个包含 5000 多名俄罗斯政府官员电话号码的网站数据库。

据悉,WasteRussianTime.today 主要将劫持电话和恶作剧电话结合起来,创造出一种新奇的网络武器,通过电话交谈来烦扰俄罗斯官员。

这件事情说起来可能比较魔幻,会引起许多怀疑,但客观事实是,这个恶作剧已取得了成功。截止目前,已经大约五千多个电话从该网站打出,更夸张的是,据 Gizmodo 分析显示,高峰时, 45 分钟内,约有两千个电话打出。

网站如何工作?

当访问者通过 WasteRussianTime.today 打出假电话连接两名俄罗斯官员时,网站会随机地将俄罗斯情报部门、军方或任何其他高级官员的网络电话连接起来。

这时候,这些官员对谁打的电话和为什么打电话毫无头绪,将被迫浪费他们的时间,而网站访问者则可以静静地听着他们的对话。

按照 Obfuscated Dreams of Scheherazade 黑客组织成员的说法,他们这样做,目的只是想给俄罗斯官员制造混乱和烦扰,当这些人挂在电话上,就不能投掷炸弹,不能协调士兵,不能制定作战了计划。

这项“电话”服务有什么用?

该网站数据库中包含了数以千计俄罗斯政府雇员的固定电话和手机号码,其中俄罗斯议会杜马成员、战争和经济部以及联邦安全局(FSB)官员、媒体和情报人员、中高级行政人员以及“高调”的政治家都囊括在内。

打电话的举动可能不像投掷武器那样,能够带来巨大的打击,但垃圾电话将电话线路堵塞,无疑会成为俄罗斯政府官员的一大困扰。

黑客组织强调,访问者可以随意使用这项服务来反对俄罗斯,并认为这仅仅是一种“民事干预”。

]]>
日经新闻亚洲子公司遭勒索软件攻击 Sun, 25 Sep 2022 04:45:26 +0800 出版巨头日经新闻(Nikkei)透露,该集团在新加坡的总部于5月13日遭到勒索软件攻击。

“5月13日我们首次发现了对服务器的未经授权访问,随后已启动内部调查。”在公司发布的一份新闻稿中这样写道,“日经亚洲集团第一时间关闭了受影响的服务器,并采取了其他措施将影响降到最低。”

日经新闻补充表示,目前正在调查攻击者是否访问了可能存储在受影响服务器上的客户数据,“受影响的服务器可能包含客户数据,日经目前正在确定攻击的性质和范围”。截至目前,在调查勒索软件攻击时都没有发现数据泄露的证据。

本次攻击由日经新闻及其亚洲子公司向日本和新加坡负责个人数据保护的当局报告,攻击发生后日经新闻的公共关系办公室立马发表了一则道歉声明:“我们真诚地为我们造成的麻烦道歉,我们将与有关部门合作,采取适当行动,努力加强信息保护。”

其实,早在两年前,日经新闻就曾成为商业电子邮件攻击(BEC)的受害者。攻击者伪装成日经新闻的高管,欺骗了美国分公司在纽约的一名员工,将2900万美元汇入他们制定的一个银行账户。

日经新闻作为全球最大的媒体公司之一,拥有约400万印刷和数字订户,以及40多家涉及出版、广播、活动、数据库服务和指数业务的附属公司这家媒体集团于2015年收购了英国《金融时报》,目前在世界各地拥有数十家外国编辑部和1500多名记者。

]]>
Win11安全性被黑客轻松破解 微软慷慨奖励近27万 Sun, 25 Sep 2022 04:45:26 +0800 去年发布Win11系统时,微软除了强调它有着更现代的UI设计之外,还表示Win11加强了安全性,面对网络威胁更有底气,不过在日前的Pwn2Own 2022黑客大赛上,Win11还是轻松被黑客们破解了,赚走微软4万美元奖金。

Pwn2Own 2022是全球黑客行业的顶级竞赛,微软、苹果、Mozilla以及特斯拉等公司的产品一直是黑客们拼技术的重点,谁能从中找到0Day漏洞并攻破各大互联网科技公司的产品,不仅可以扬名立万,还会拿到厂商们的高额奖金。

微软旗下有多个产品也被黑客们攻破,微软的会议软件Microsoft Teams首个被拿下,而Win11中被发现了存在一个越界漏洞,允许黑客借此提升权限攻破系统,黑客因此获得了微软4万美元的奖励。

当然,具体的漏洞现在是不会说的,微软后面应该会修复,到时候才有可能公开。

]]>
国产摄像头在美或将全部下架?美国被迫害妄想症何时根治 Sun, 25 Sep 2022 04:45:26 +0800 据美国科技类网站TechCrunch报道,从2021年末开始,美国零售商开始陆续下架中国产安防产品。或许,中国产监控技术产品不久之后便会在北美市场销声匿迹。

中国安防产品在北美遭遇“寒冬”其实也在预料之中。早在2018年,在制裁中兴的议案后附加增补提案中,美国众议院便以国家安全为由,禁止美国联邦政府采购某些中国制造的视频监控设备。其中,就包括海能达通信、海康威视和浙江大华。

在此之后,安防产业便成为了美国政府的重点“照顾对象”。

2019年10月,美国商务部以“有违美国国家安全或外交政策利益”为由再次施压,将我国安防龙头企业海康威视及大华列入了“实体清单”。

被列入该名单意味着企业与美国供应链的隔绝,会遭到从学术、销售、技术、产品、供应链的全面封锁,基本不可能从美国获得《出口管理条例》所列的物项和技术。

而就在前不久,英国《金融时报》援引知情人士消息称,美国正准备对中国安防企业海康威视实施新的制裁,拜登政府已在为这项“与人权有关”的制裁“打基础”。

尽管该消息目前还未被证实,但受该消息影响,海康威视5月5日开盘遭遇跌停,全天成交45.1亿元,市值蒸发400亿降至3607亿元。而截至5月19日上午,海康威视的市值已降至3086亿元,近四分之一的市值蒸发。

我国安防产业被美国三番五次的制裁,损失北美市场只是一个方面,而另一个威胁到海康威视等企业的,则是因无法购买美国产关键元器件导致生产中断,无法突破美国所构建的技术壁垒。

在此情况下,我国的安防产业又该如何突围,去面对美国的绞杀呢?

制裁源于恐惧

目前,安防设备包含了三大类:视频监控、门禁以及防盗报警设备。在此当中,视频监控占据市场最大份额。但偏偏是“监控”概念,让视频监控配套产品的应用在西方文化与舆论中一直处于敏感地带。

进入近代文明以来,西方国家对于“监控”这一概念及其附加产品便有抵触情绪,乃至带有“恐惧”色彩。

法国思想家、结构主义大师米歇尔·福柯在其著作《规训与惩罚》中认为,规训权力的实施“必须有一种借助监视而实行强制的部署(dispositif)。”

福柯认为,监视是资产阶级规训权力布局中的一个重要技术环节,即规训人类行为使之符合社会准则。完美的规训-监视机构,应该令它的规训对象毫无秘密可言。这种起源于资本主义大生产式规训的监视机制,将人镶嵌在一个固定的位置,任何细小的活动都会受到监视。

因此,规训借助这种监视带来的“无所不在、无所不知的权力”,确定了每个人的位置、肉体、病情、死亡和幸福,从而“构建了权力毛细渗透功能(fonctionnement capillaire)的完整等级网络,管理控制甚至深入到日常生存的细枝末节。”

换句话说,这种监视体质,将人的隐私毫无保留地暴露给上层阶级,成为权力机构规范社会群体的强力手段。

因此,在西方文化思想当中,监视系统背后所蕴含的意义,更像是权利阶层统治社会的辅助工具。

正如哈佛大学教授肖珊娜·佐伯芙所说,知识与权力的不对等,不仅是对个人隐私的侵犯,更是对整个社会根基的侵蚀。而且,用户的无知并非出于愚笨,而是资本主义利用监控的模式,刻意隐瞒和操纵造成的。

所以说,在西方的文化中,哪怕是为了维护社会治安的视频监控也一直处于敏感地带。这就为中国安防产品在西方市场的推广在意识形态上增加了难度。

而除了思想上的恐惧,美国对中国安防产业的打压,还出自对自身安全及市场等方面的恐惧。

以海康威视为例,目前,该公司旗下产品全球市占率高达30%,但是全球销售主要依靠出口,且并不依赖产业链本地化。因此,打击海康威视就是变相扶植美国安防产业发展,符合制造业“回流美国”的需求。

此外,安防的主要载体便是摄像头。但摄像头的敏感之处在于,当摄像头遍布美国街头时,将获得海量的数据,这些数据一旦被汇总形成大数据,将有足够多的信息可以挖掘。

不仅如此,从2015年开始,海康威视便开始进行智能化转型,2016年推出全系列深度智能产品,开始探索赋能各行各业的数字化转型。在此背景下,海康威视试图由从视频监控向智慧安防、视觉物联网发展。

这也就意味着,监控系统变得更加智能,它将对视觉感知范围内的人、车、物等目标赋以“身份”标签并识别目标的实际“身份”,并利用网络化特点对大范围中的目标进行关联,有效地分析标签物体的实时状态。

因此,尽管监控数据依旧保留在本地处理,但使用中国生产的硬件产品监测社会日常,对于美国来说无疑会幻化出多种令人不安的“恐怖”画面。

技术壁垒依旧存在,破墙锥在哪?

随着我国安防企业在快速发展中逐步完善技术和产品线,目前,一大批安防企业正走上快速发展之路。

据统计,我国安防市场规模从2017年的6016亿元增长至2019年的7562亿元,年均复合增长率达12.01%,预计2022年将达到10134亿元的市场规模。值得注意的是,近年来伴随国内经济下行的压力,安防成为少数较为景气的行业之一。

然而,尽管该产业的市场规模不断扩大,但并不意味着国产安防企业已经掌控了核心技术、占据了全球产业链的上游位置。

从产业链的角度来看,智能安防涉及上游算法、芯片设计、以及存储器、图像传感器等零部件生产;中游软硬件及系统集成、或提供智能安防运营服务环节;下游城市管理、学校、医院、轨道交通、金融等场景。

其中,上游芯片制造商作为产业链的第一环,影响着整个安防系统的稳定性、能耗、成本等,在安防行业未来发展方向上起着关键作用。因此,关注安防行业发展,离不开对芯片厂商的关注。

在此当中,IPC SoC 芯片受益于网络摄像机的大范围普及,被认为是未来发展的主流。

IPC SoC是网络安防摄像机的核心元器件,内部集成CPU、ISP、音视频编码模块、网络接口模块、安全加密模块、视频智能处理模块等。该芯片决定着安防监控设备成像、视频压缩编码等一系列性能。

目前,这一核心产品仍难以完成100%国产。

海康威视为例,如今,该公司旗下产品的前端摄像头及AI前端产品的零部件构成,已基本可以实现国产化替代。

但是,其后端的服务器却依旧需要从美国进口。关键部件包括Intel的CPU,英伟达的GPU,希捷、西部数据的机械硬盘,德州仪器、安霸的电源管理芯片等,这些都是美方定点打击可能影响到的产品。这种服务器类的产品,目前国产化还无法替代。

除此之外,安防芯片的生产也一直是国产安防企业的“痛点”。眼下中国安防芯片呈现了“百花齐发”的繁荣局面。除了华为的海思芯片之外,前端IPC芯片厂商君正、富瀚微、国科微等众多企业也纷纷入局,并占据了可观的市场份额。

而当前的局面也让业界出现了一种“华为海思芯片被制裁,中国安防产业依旧强势发展”的声音。

值得注意的是,国内安防芯片厂家虽多,但大多数厂家的代工厂都是台积电、联电等厂商。代工厂受美国政策影响很大,美国仅仅限制代工厂就可以使国内芯片厂家无法为安防企业提供国产芯片。

因此,国产安防芯片的繁荣,依旧难以脱离海外企业的影响。归根结底,中国目前还没有中高端完全自主的芯片生产体系,在不少半导体设备、原材料上依然依赖于国外供应,这就导致美国可以随意拿捏中国的龙头企业,限制中国半导体产业发展。

制裁是把双刃剑,国产安防芯片已有突破

《左传·襄公十一年》有言:居安思危,思则有备,有备无患。尽管近日美国对于我国安防产业将进一步制裁的传言还未落实,但是,在面对无法预知的未来时,我们依旧要做好充分的准备。

从美国的角度看,尽管“制裁一时爽”,但构建技术壁垒、制造贸易摩擦本身就是一把双刃剑。在贸易摩擦的另一端,与中国安防企业有着商贸往来的众多美国企业也深受影响。

以英特尔公司为例,该芯片厂家凭借技术优势,早已与海康威视、宇视科技等企业建立了深度合作关系。

在美国对中国安防企业连续制裁的2019年,英特尔发布的2019年第一季度财报显示,在该季度英特尔营收161亿美元,基本与去年同期持平;净利润为40亿美元,相比去年下降11%。

在财报发布的当天,英特尔盘后股价一度下挫超过7%。对此,时任英特尔CEO罗伯特·斯旺称,“我们在中国经历了一次急剧下滑,这是一个非常重要的市场。我们看到企业产品和云产品的购买形势都在急剧下滑。”

近十年来,美国向中国出口的芯片产品平均每年超过3000亿美元,是其最大的海外市场。在多边主义和经济全球化成为世界发展主流的今天,中美之间科技贸易往来早已深度融合。如果美国政府持续在科技领域对中国企业实施制裁,其国内反对声音也注定会越来越高。

据福布斯新闻报道,在2020年,半导体设备制造商应用材料(AMAT)、KLA Corporation和Lam Research就通过向中国实体销售半导体制造设备而获得了可观的收入。并且上述企业的高管也相信,严格的出口管制对收入不会有什么影响,并坚持认为中国的需求“必须有人来满足”。

可见,限制措施的升级并没有阻止一些美国科技企业在与中国企业交易中获取利润。由美国政府构筑的壁垒在逐利资本面前是否能够起到作用,目前还未可知。

而处于被制裁端的中国安防企业,为了防止美国对安防及其他领域科技企业的进一步制裁,中国必须在芯片等技术领域加大研发力度,突破技术壁垒。

值得庆幸的是,与手机芯片动辄5-7nm的制程工艺不同,安防摄像机的芯片制程工艺目前绝大多数集中于22-48nm,并不需要用到当下最先进的制程工艺。

且中低端的安防芯片市场空间比高端市场更大,更具性价比的小算力芯片需求量也更大。市场上也涌现了许多国产芯片厂商,从中低端市场起步,一起分享安防芯片巨大的市场份额。

因此,安防芯片的技术门槛与其他芯片产品相比,难度更低,而这也为国产安防企业在技术上的突破带来了更多机会。

以深度学习芯片方案GPU为例,由于该产品存在成本、效率、功耗等技术瓶颈,现已有针对安防产业开发的FPGA/ASIC智能芯片,如深鉴科技的DPU芯片(FPGA)、北京君正的NPU协处理器(ASIC)以及寒武纪的AI服务器芯片(ASIC)等。

而在芯片制程工艺方面,尽管台积电、三星先后对外界宣布,将会在2023年投产3nm制程芯片。但是国内芯片龙头企业中芯国际也投入近千亿元,用来扩产28nm制程芯片为主的芯片代工产能。

可以看出,国内芯片厂商虽然与国际顶尖芯片制造企业存有较大差距,但是鉴于安防芯片的制程工艺相对较低,满足未来该产业的芯片需求也并非难事。而中芯国际的这一举措,也能看出我国在芯片领域的发展并非好高骛远,而是选择一步一个脚印,稳健地向世界一流水平靠拢。

结语

自从2019年被纳入出口管制实体清单时,海康威视就公开表示:海康威视已全面开展美国元器件的替代工作,如果有需要将自己设计芯片,进一步加大研发投入。

同时,时任董秘黄方红也表示:在安防领域,尤其在专用器件上,海康威视对美国进口依存度很低,而在通用器件上依存度较高,包括GPU、CPU、DSP等。但依然会保持开放的心态,会发展全球供应链体系。

美国对于中国安防企业频繁地实施制裁,是不遵守国际相关贸易规则的霸道之举,但制裁的实施却也暴露出,中国安防产品的核心技术水平还不够高,依然需要不断提升。

随着中国在芯片产业及诸多技术领域的不断突破,安防产业对于国外的依赖度注定将逐渐降低,并且伴随着中国科技产品“质优价美”的产品属性,占据国际市场的优势地位并非天方夜谭。

相对于绞尽脑汁思考如何制裁中国安防企业,未来,以美国为首的西方国家或许更应该思考如何根治自己的“被迫害妄想症”了。

]]>
勒索软件攻击已造成国家危机!该国总统说:有内鬼配合 Sun, 25 Sep 2022 04:45:26 +0800 5月16日(周一),哥斯达黎加新任总统Rodrigo Chaves在新闻发布会上表示,国内有合谋者协助Conti勒索软件团伙敲诈政府,这坐实了Conti团伙日前在网站上发布的声明内容。

据阿根廷老牌媒体《国家报》报道称,哥国总统没有公布合谋的内鬼是谁,也未提及他们究竟如何与Conti团伙串通。

总统称,“毫不夸张地说,我们已经身处战争。作战的对象是国际恐怖组织。目前已经有明确迹象可知,国内有人正与Conti合谋。”但他并未透露更多细节。

 “这些犯罪团伙财力雄厚,完全有可能以收买的方式渗透进任何目标组织。”

BRETT CALLOW, EMSISOFT公司威胁分析师

上周末,安全厂商Emsisoft威胁分析师Brett Callow发现,Conti网站上发布内容,试图诱导哥国人民以“组织集会”的方式施压,迫使政府支付赎金,还声称“我们决心通过网络攻击推翻政府。”

由于哥国政府“拒不配合”支付赎金,Conti团伙开出的赎金价码已经上涨一倍,目前为2000万美元,同时威胁将在一周内删除解密密钥。

5月8号,哥国总统Chaves刚宣誓就任,就宣布国家进入紧急状态。再往前两天(5月6日),美国国务院悬赏1000万美元,全球征集Conti团队“关键领导者”的个人信息。

Chaves在新闻发布会上表示,哥国政府已经从各部门抽调人手,组建了一支“特警小组”,负责应对4月17日爆发的这起勒索软件攻击。本次攻击至少影响到哥国27家政府机构,其中9家“受到了严重影响”,全面评估排查仍在进行当中。

Chaves指出,勒索软件攻击阻碍了政府的征税工作,并导致不少公职人员工资被多发或少发了。

他指责前任政府没能对网络安全进行充分投资,并向哥国人民强调“此次勒索名为安全事件,实际上是一场国家危机。”

尽管Chaves并没有提供国内有合谋者协助Conti团伙的证据,但威胁分析师Callow表示,内部威胁是个由来已久且影响深远的问题。例如,一家托管服务商(为其他企业提供IT服务,并可访问客户网络的公司)的工程师就曾于2020年1月受到指控,罪名是在暗网论坛上出售客户网络的登录信息。

Callow解释道,“这些团伙财力雄厚,完全有可能以收买的方式渗透进任何目标组织。所以如果有内部人士在向他们提供协助,我一点也不会感到惊讶。”

]]>
海运网络安全:脆弱的海运供应链对全球经济的威胁 Sun, 25 Sep 2022 04:45:26 +0800 在某个阶段,大约90%到95%的所有运输货物都是通过海上运输的。这使得全球海运业成为世界上最大和最重要的单一供应链。针对海上供应链的成功网络攻击将有可能损害个别公司、国家财政甚至全球经济。

攻击向量

海事部门包括港口和使用港口的船只。船舶范围从小型货运船到运输石油的超级油轮,运输超过20,000个20英尺集装箱的超级货运船,以及运送高价值人员的超级游艇。虽然港口当局已经受到勒索软件团伙的威胁和攻击,但对船只攻击威胁的关注较少。

商船海事部门与已经运营了几年到几十年的船只一起运作。旧船增加了新技术,通过数字化和自动化提高效率。更新这项技术可能非常昂贵,并且取决于各种标准:机会、成本/风险评估、公司的经济实力和监管要求。结果是商船海事部门的许多船舶容易受到网络攻击。

超级游艇往往是新的,并且装满了最新的小玩意。它们往往更安全,尽管成功的入侵为攻击者提供了对船只的更大控制权。例如,成功的攻击可以远程控制油门和方向舵。

IOActive研究和战略高级副总裁John Sheehy指出了攻击者进入船只的三个主要途径。“有WIFI;一些船只有高频(HF)无线电;和商业卫星通信(SATCOM),例如 Inmarsat,”他告诉SecurityWeek。除这些外,还应该添加带有U盘的内部人员,以及早期对船舶自身供应链的入侵危害。 

卫星通信通常将Inmarsat和GPS结合起来,他认为这是主要的威胁载体——并补充说:“我们知道俄罗斯APT组织有能力远程利用船舶海上环境中使用的相同类型的SATCOM终端。” 

F-Secure的首席技术和威胁研究员Tom Van De Wiele补充说:“针对通信链路的攻击可以针对使用卫星通信的船只通信链路本身,也可以针对用于与海上船只通信的岸上港口基础设施。这与集装箱和船舶监控系统的航运IT基础设施的后端系统相关联。”

海事供应链损害的实践和理论影响

没有已知的严重船只受损的例子,但在真正的海上事故和理论分析中可以看到潜在的影响。真正的不幸将包括1967年的托里峡谷和2021年的“Ever Given”号搁浅事件。

超级油轮SS Torrey Canyon在英国西南海岸的岩石上搁浅,泄漏了大约100 多万升原油。随之而来的环境灾难导致皇家海军和皇家空军的飞机轰炸残骸以点燃泄漏物。

2021年3月,一艘400米长、可运载2万多个集装箱的集装箱船“Ever Given”在苏伊士运河搁浅,并将其封锁。这种封锁的连锁反应是巨大的。普利茅斯大学(英国)科技执行院长凯文·琼斯教授评论道。“关闭一条海上补给路线可能会导致严重的严重堵塞,每天以数十亿美元的速度影响世界经济,”他告诉SecurityWeek。

卡喉苏伊士运河的“长赐”号货轮是遭到网络攻击了吗?

“关于苏伊士关闭的成本有各种估计,但其中一些高达每天10或110亿美元,而且这些估计是在明确清理关闭的时间和成本之前完成的。由于阻塞导致的积压,几个月后,仍有船只排队进入洛杉矶港,因为整个调度模式已被打破。”

琼斯是大学海事网络威胁研究小组的负责人。他在普利茅斯经营一个网络风险实验室,并在开发MaCRA(海洋网络风险评估)技术方面发挥了重要作用。他的团队对仅关闭四个英国主要港口的潜在影响进行了理论分析,可能会导致像Ever Given那样的堵塞。这是一个实验,但同样有效。

“如果你看看英国境内的石油储备、新鲜食品储备和其他重要的东西,我们有一些储备,但每天都需要接收新的货物。英国有大约11个重要港口,但大多数集装箱货物只通过四个港口。如果这些港口以我们已经证明我们可以为其他港口做的方式有效地堵塞,这将意味着进入英国的货物供应将急剧下降——为了讨论,非常接近于零。”

移除阻塞需要数周而不是数天。“假设攻击者可以选择条件,以他们想要的方式协调攻击——这很困难,但并非不可能,”他继续说道,“你基本上切断了对英国的商品供应:我们不是得到新鲜的食物,我们没有得到油。很快我们就会到达发电站不再具备运行能力的地步。可以释放战略储备,但这样做会带来后果和后勤困难。所以,你开始失去电力,你开始失去冷冻能力——家庭和散装储存的冷冻商店在一周内就会腐烂。你会级联所有这些影响——包括运输燃料的损失——不久之后你就会遇到系统的灾难性故障。

伊利诺伊大学厄巴纳-香槟分校在美国也进行了类似的演练。“他们考虑只关闭佛罗里达州的一个港口,”琼斯说,“他们在思想实验中达到了东海岸的人们很快就会互相开枪的地步。一般原则是,我们高度依赖通过航运进行的实时补给。暂时把它删掉,你就会遇到一个真正的问题。”

攻击者的动机、手段和威胁场景

攻击海事部门的动机与任何其他行业部门的动机根本没有什么不同。它们包括道德/政治(黑客行动主义者)、金融(网络犯罪团伙)和地缘政治(民族国家)。黑客行动主义的可能性似乎最小,但没有技术理由可以阻止一个坚定且资源丰富的黑客行动主义团体对船只的攻击。

民族国家的威胁可能是最令人担忧的,目前包括但不限于俄罗斯/乌克兰战争。“多年来,众所周知,在俄罗斯西北地区,GPS 卫星导航不可靠,”Jones 评论道。“这是不可靠的,因为俄罗斯一直在广播欺骗性的GPS信号。据报道,船长说,‘我突然发现自己身处内陆三英里的运动场中央,但当我向窗外望去时,海洋仍然在那里。’ " 

2022年2月,美国国家情报总监办公室发布了年度威胁评估报告,称“俄罗斯正在投资电子战和定向能源武器以对抗西方在轨资产。这些系统的工作原理是破坏或禁用对手的 C4ISR [指挥、控制、通信、计算机、情报、监视和侦察] 能力,并破坏 GPS、战术和卫星通信以及雷达。”

2022年3月17日,CISA 发布了有关“对美国和国际卫星通信 (SATCOM) 网络的潜在威胁”的警报警告。成功入侵SATCOM网络可能会给SATCOM 网络提供商的客户环境带来风险。”

“有证据表明,民族国家,尤其是俄罗斯,一直在尝试破坏GPS,”琼斯继续说道。“如果你回到前几代战争中,大西洋护航队是维持国家运转的重要生命线,那么攻击方法就是潜艇。今天,在沙洲搁浅并被推迟到下一次大潮可以让您漂流,或者撞到防波堤并以这种方式丢失货物可能是错误的方向。你可以把它想象成最近几次地缘政治运动中出现的那种网络软化攻击的网络/物理扩展。”

BluBracket产品和开发者关系负责人Casey Bisson评论说:“与所有行业一样,海事行业越来越依赖于工业物联网和连接设备。常见的物联网风险,如弱默认凭证、未记录的后门以及允许未经授权的远程访问和控制的漏洞,在船舶上尤其令人担忧。海上和港口的船只都容易受到破坏,并有可能在更大规模的国家冲突中被用作武器。”

IOActive的Sheehy也有类似的担忧。“乌克兰战争导致部分黑海和亚速海无法通行,这必然限制了对俄罗斯和乌克兰黑海港口的进出口。特别值得关注的是乌克兰敖德萨,它是黑海最大的商业港口。俄罗斯人可以选择使用可否认的网络行动作为升级阶梯的一步,以便对那些对其实施制裁的国家施加成本。此外,明智的行动可能会产生全球影响,正如我们在苏伊士运河被永远给予的封锁中看到的那样,这是飞行员失误的结果。”

可能使船长感到困惑的欺骗性 GPS 信号的扩展是对船舶自动识别系统 (AIS) 的干扰。这可能是网络犯罪团伙在盗版场景中采取的一种方法。这些系统广播识别和位置信息,以便其他船舶和岸上当局准确知道哪艘船在哪里。受损的AIS可能会传输错误信息(使船出现在其他地方)或不传输信息(使其实际上成为隐形的幽灵船)。 

琼斯描述了一个对超级游艇进行理论攻击的例子(尽管基本原理可以用于任何船只)。

“能够访问游艇上的系统,”他解释说,“并且知道计划是什么(即绘制的路线),甚至可以监控通讯以了解船上的人员;然后在海图系统上使用黑客,你可以误导游艇,让它认为它在国际水域保持很好,但你把它带到索马里海岸的快艇范围内。同时,更改 AIS 应答器系统,以使船只报告自己在某个地方,比如向北,当它向南行驶时它应该在哪里。快速炮艇可以出来劫持船员。游艇可能已经广播了紧急警报,并且可能已经派出了拦截船——但它会前往AIS报告位置的地方。因此,实际位置和报告位置之间存在不匹配,

海事部门已经成为勒索软件团伙的目标。“我们当然已经看到勒索软件影响海运,”Netenrich的首席威胁猎手John Bambenek告诉SecurityWeek。“整个生态系统都由IT系统提供支持。当它们受到损害时,船舶可能不得不在港口等待它被整理出来,或者货物无法出境运送给他们的客户。净影响看起来很像我们去年看到的供应链中断。”

JupiterOne的现场安全总监 Jasmine Henry同意港口本身是海洋生态圈的脆弱部分。“原因很简单,”她说。“大多数人对ICS系统的可见性有限,甚至无法了解存在哪些设备,更不用说应用适当的更新或配置了。商船和港口极易受到针对非托管 OT 系统的日益复杂的勒索软件攻击,以及DDoS攻击、命令注入、侧载恶意软件和被利用的错误配置。”

到目前为止,我们几乎没有看到针对船只的犯罪袭击的证据。“我们已经看到航运公司遭到勒索软件攻击的例子,”Jones 补充道。“它们还不是带有网络/物理威胁的灾难性攻击,我们会让你的船搁浅,玩弄压载物并倾覆它,或者倾倒它的石油……”但这肯定是已经发生的事情的逻辑延伸正在发生的事情,以及将来可以做什么。

网络现实

“我的工作有一个奇怪的地方,”琼斯教授说,“我可以看到控制一艘船能做的所有真正可怕的事情。但我尽量不要太夸张,因为网络安全中有太多被过度炒作的恐怖故事。虽然我不希望小型货运公司因为无力支付数十万英镑来更新他们的船只而倒闭,但肯定存在利用船只进行犯罪勒索和国家地缘政治活动的可能性。对于某些船只,很难缓解攻击——有时,船员将有不到一分钟的时间做出反应——因此,具有足够技能和决心的攻击者很有可能成功。”

海事部门缺少的是进行真正和定期风险评估的能力。每艘船的风险不同,并且取决于航线、货物和外部威胁条件。为了尝试解决这个问题,琼斯和普利茅斯大学开发了MaCRA海上网络风险评估软件。它可以根据每艘船舶的船上技术状况、它们的位置和它们所走的路线以及它们所载的货物,为它们提供持续的风险评估。

然而,今天的底线是,全球经济中最大的单一供应链很容易受到网络攻击。

]]>
赞比亚央行遭勒索软件攻击,部分系统中断服务 Sun, 25 Sep 2022 04:45:26 +0800 安全内参5月19日消息,据彭博社报道,赞比亚银行表示,不会向Hive勒索软件团伙支付赎金。此前Hive团伙对该银行发动攻击,但系统受到的损害相当有限。

赞比亚银行是非洲中南部内陆国家赞比亚的中央银行。赞比亚在2018年加入“一