安联智库seczk.com--做最好网安新媒体! http://seczk.com 信息安全资讯,热点资讯,安全期刊,人物专访,安全事件,漏洞威胁,安全技术,攻防众测, Wed, 18 May 2022 02:42:44 +0800 zh-CN hourly 1 https://www.s-cms.cn/?v=4.7.5 加入我们 Wed, 18 May 2022 02:42:44 +0800

      欢迎有志从事信息安全的朋友,一起加入安联智库这个大家庭,有你们的到来安联智库将因你而出彩!

]]>
联系我们 Wed, 18 May 2022 02:42:44 +0800

安联智库&安联攻防实验室(简称:seczk)www.seczk.com
使命:让安全,更简单!
提出:攻击溯源、纵深防御的安全治理解决方案!
微信 、QQ:110468258
网站:www.seczk.com 
邮箱:110468258#qq.com 
地址:广州市天河区黄埔大道西505号A栋2519室 
机构:[广东-广西-海南-云南-贵州-四川-福建-江西-湖南-北京-深圳-重庆-上海.....] 


]]>
团队简介 Wed, 18 May 2022 02:42:44 +0800

    安联智库是为了(简称:seczk)是一个专注于信息安全、具有全面信息安全综合服务能力的专业服务团队。seczk立足自主研发,专注信息安全市场,为客户提供安全产品、安全服务、安全集成、安全培训等多项综合性信息安全服务。经过多年的发展已经成为一个理念先进、方案成熟、团队精干、客户认可的具有本土化特色的信息安全服务商。
    seczk立足于羊城广州,目前拥有一支20多人的专业队伍,团队拥有多名CISP、CISSP、CCIE、PMP等技术人员,核心团队成员都出自国内著名安全厂商与安全服务测评机构(如启明星辰、绿盟、天融信、蓝盾、竟远、南方信息安全研究院、中国信息安全测评中心等),积累了丰富的安全经验,其技术能力已获得过不同行业客户的认可。
    安联智库&安联攻防实验室(简称:seczk)使命:让安全,更简单!提出攻防纵深防御、攻击溯源的安全治理解决方案!




]]>
无需用户同意!苹果将允许订阅制会员涨价后自动续订 Wed, 18 May 2022 02:42:45 +0800 目前,当苹果开发者想要提高自动续订的价格时,需要经过用户的确认同意才能够继续订阅,否则将取消订阅。

苹果认为这会导致用户错过提示消息,继而意外失去自己的订阅制会员权限。

因此,苹果计划向开发者推出一项新功能,允许开发者在未经用户确认同意的情况下,提高订阅制会员的续订价格。

不过,为了防止有开发者滥用该功能,苹果也对该功能做出了一定的限制。

在新规上线后,开发者每年只能进行一次涨价操作,且普通订阅的最大涨幅为5美元,年度订阅的最大涨幅为50美元。

在符合上述条件的前提下,涨价还需要通过电子邮件、推送通知和程序内消息让用户知悉价格变化,且用户需要能够轻松取消订阅。

而如果自动续订的涨价超过了上述限制,那么用户依旧需要手动确认,否则将和目前一样自动取消订阅。

]]>
俄黑客组织对美英德10国政府宣战,意大利国家警察官网已沦陷 Wed, 18 May 2022 02:42:45 +0800 当地时间5月16日,俄罗斯黑客组织“Killnet”在社交媒体Telegram上发布视频,正式宣布向美英德等十国政府发起网络战。“Killnet”称,普通民众在这次网络战中不会有危险,而这些“支持纳粹和恐俄症”国家的政府会被清算。

此外,“Killnet”还否认了意大利警方对该组织攻击欧洲歌唱大赛投票系统的指控,并且宣称已经攻陷意大利国家警察官网长达30个小时。观察者网查询发现,意大利国家警察部门的官网目前无法访问,其下属的网络安全部门邮政通讯警察局的官方网站也无法进入。

]]>
意大利多个重要政府网站遭新型DDoS攻击瘫痪,该国CERT发布警告 Wed, 18 May 2022 02:42:45 +0800 意大利计算机安全事件响应小组(CSIRT,类似于国家CERT)警告称,近期已出现多起针对意大利重要政府网站的DDoS攻击。

DDoS(分布式拒绝服务)是一种常见的网络攻击,旨在耗尽服务器上的可用资源,致使其无法响应正常用户请求,所托管的网站也无法正常访问。

意大利多个重要政府网站瘫痪

意大利安莎通讯社报道称,当地时间5月11日,意大利参议院、上议院、国防部等多个重要政府网站遭到网络攻击,网站无法访问至少1个小时,受影响的还有国际空间站、国家卫生研究所、意大利汽车俱乐部等机构的网站。

亲俄黑客团伙Killnet声称对本次攻击负责。此前,他们还曾先后对罗马尼亚门户网站、美国布拉德利国际机场发动过类似攻击。

作为对意大利DDoS攻击新闻报道的回应,Killnet团伙在Telegram频道上发布消息称,未来可能将出现进一步攻击。

一名Killnet代表成员在Telegram上宣称,“我们的‘军团’正在你国开展军事网络演习,旨在训练提升攻击技能。这与你国的行为类似——意大利人和西班牙人也在乌克兰境内学习作战。我们的‘军团’正在消灭你们的服务器!”

“请注意,当前阶段还只是训练。别再大呼小叫,发布什么参议院遭到攻击的消息了。我可以保证,我们的网络部队很快就会在意大利领土之内完成训练,并继续发动进攻。这一切会来得很猛,来得很快。”

当前防御措施难以抵御 慢速HTTP手法

CSIRT在公告中解释称,恶意黑客针对该国政府、各部委、议会乃至军队网站的攻击活动,使用到了所谓的“慢速HTTP”技术。

该技术每次向Web服务器发送一条HTTP请求,但会为请求设置极慢的传输速率或故意发送不完整请求,导致服务器等待下一条请求。

服务器首先检测传入的通信,再分配专用于等待剩余数据的资源。当这类请求过多时,服务器就会不堪重负,无法再接收任何其他连接,最终导致站点无法访问。

CSIRT表示,“这种攻击手法在使用POST请求时更加有效,因为这些请求会同时向Web服务器发送大量数据。”

CSIRT称“慢速HTTP”是一种比较少见的DDoS攻击类型,并警告如果系统管理员不做出针对性处置,那么现有防御措施恐怕将无能为力。

“对于自5月11日起发现的这几次针对国内及国际目标的DDoS攻击,我们发现其不同于常规的1类容量耗尽攻击。由于实际占用的带宽较为有限,因此无法利用市面上常用的保护系统加以抵御。”

——CSIRT

CSIRT已经在公告中分享了缓解此类攻击的可能方法。

]]>
首例短视频网络爬虫案宣判,案犯缓刑期内不得从事互联网经营 Wed, 18 May 2022 02:42:45 +0800 刷过带货短视频,同类产品商家就精准找上了门,你的用户信息可能被非法获取了。日前,全国首例短视频平台领域的网络“爬虫”案在无锡梁溪区法院宣判,被告人丁某因犯侵入计算机信息系统程序罪被判处有期徒刑一年六个月,缓刑二年,并处罚金3万元。

澎湃新闻(www.thepaper.cn)从法院获悉,2021年9月,丁某在网上结识丁某某(另案处理),后者表示有一款“爬虫”软件可以获取某短视频平台数据,通过输入关键词能筛选出视频、评论、账户等信息,批量抓取意向用户进行业务推广。丁某试用后购买代理权,组织人员通过网络向多人销售,违法所得计24360元。

法院认为,被告人丁某伙同他人提供用于侵入计算机信息系统的程序,情节严重,已构成侵入计算机信息系统程序罪,当庭作出判决,并禁止其在缓刑考验期内从事互联网相关经营活动。

侵入计算机信息系统程序罪是《刑法修正案(七)》新增的罪名,主要针对向他人提供专门用于侵入或非法控制计算机信息系统的工具或程序,或明知他人实施侵入、非法控制计算机系统的违法犯罪行为而提供程序、工具,情节严重的处以刑罚。据法官介绍,该案的“爬虫”软件是利用技术手段突破短视频平台的防护措施,非法获取后台服务器内指定的数据文件,如用户名、账号等,还可抓取视频评论区、直播间观众的账号、性别、留言、作品、点赞等。

]]>
SonicWall:请立即修复SMA 1000 漏洞 Wed, 18 May 2022 02:42:45 +0800 近日,网络安全供应商SonicWall发布了关于安全移动访问 (SMA) 1000设备的三个安全漏洞的紧急报告,其中包括一个高威胁性的身份验证绕过漏洞。SonicWall指出,攻击者可以利用这些漏洞绕过授权,并可能破坏易受攻击的设备。

从报告中可以得知,上述漏洞将会影响 12.4.0和12.4.1版本的运行固件,这意味着SMA 6200、6210、7200、7210、8000v等设备都将因此而遭受攻击。

漏洞具体信息如下所示:

CVE-2022-22282(CVSS 分数:8.2)- 未经身份验证的访问控制绕过;

CVE-2022-1702(CVSS 分数:6.1)- URL 重定向到不受信任的站点(开放重定向);

CVE-2022-1701(CVSS 分数:5.7)- 使用共享和硬编码的加密密钥。

Mimecast Offensive Security Team 的 Tom Wyatt 因发现和报告漏洞而受到SonicWall的公开致谢。通过上述漏洞,攻击者可未经授权访问内部资源,甚至将潜在受害者重定向到恶意网站。SonicWall进一步指出,这些缺陷不会影响运行早于12.4.0版本的SMA 1000系列、SMA 100 系列、中央管理服务器 (CMS) 和远程访问客户端。

所幸SonicWall已经及时发布了上述漏洞的修复程序。尽管目前没有证据表明这些漏洞正在被广泛利用,但是企业用户还是应及时更新管饭发布的安全补丁,修复这些漏洞。原因是SonicWall此前也出现过安全漏洞,并且成为勒索软件的攻击目标。

值得一提的是,SonicWall 产品安全和事件响应团队 (PSIRT) 表示暂时没有缓解措施,SonicWall在发布的报告中写到,“针对这些漏洞没有任何的临时缓解措施,因此希望受影响的客户尽快实施适用的补丁。”

]]>
勒索软件不只是赎金 还有更多的隐性成本 Wed, 18 May 2022 02:42:45 +0800 担心支付勒索软件赎金会影响公司财务?那你担心得太早了,算出勒索软件攻击的真正成本才是真伤心。因为从勒索软件攻击恢复所需的总成本可能比赎金要高得多得多。

Check Point最近发布的研究报告揭示,勒索软件攻击的平均总成本比所支付的平均赎金高出七倍多。

尽管媒体报道常常着重描述企业支付给勒索者的金额,但需要纳入考虑的财务成本还有很多其他方面,包括与事件响应和系统恢复相关的成本、法务费用,以及监测成本。

只要考虑到这些,你就会明白,赎金本身真的不算什么,有的是比这高得多的成本需要你顾及。

Check Point研究人员审查了Conti勒索软件团伙泄露的大量信息,发现此类犯罪团伙在对受害者敲骨吸髓上越来越专业了:

 “勒索软件团伙与拥有清晰管理结构和人力资源政策的合法组织惊人地相似。这些勒索软件团伙的复杂性甚至还延伸到受害者选取和赎金数额确定,以及为获取最大经济利益而采用的谈判技术上。”

勒索软件经营者已经成为老练的谈判高手——他们认识到“仅仅因为最初要价太高就给赎金大打折扣的话,只要其他受害者知道了,未来就难敲竹杠了。”

例如,臭名昭著的Conti网络犯罪团伙会咨询ZoomInfo和DNB等公共消息源,确定受害企业的年收入,从而相应调整其赎金要求。此外,勒索软件团伙还可以确定受害公司是否购买了能为赎金兜底的网络安全保险。

当然,受害企业倾向于支付赎金的另一驱动力是网络罪犯手中数据的质量和敏感性,还有这些数据全网公开可能造成的危害程度。

研究人员揭示,受害企业年营收越高,被索赎金占其营收的比例就越低,因为即使百分比不高,其所代表的绝对金额已十分巨大。勒索软件犯罪团伙索要的赎金通常占受害企业年营收的0.7%到5%之间。

同时,攻击者可能会向“快速付款的客户”提供折扣,因为他们可能同时与数十家不同受害企业谈判,希望能够尽快完成交易。

勒索软件团伙与受害者打交道的效率越来越高,其网络犯罪商业化的程度历史罕见。

“这些网络犯罪团伙在确定赎金数额和掌控谈判过程方面堪称条理分明步步为营。没有什么是胡乱决定的,所有一切都是根据上述种种因素来确定和规划的。”Check Point威胁情报部门经理Sergey Shykevich说道。

与其亡羊补牢,不如防患未然。预防勒索软件攻击总好过事后挽救公司声誉,也好过乞求客户和商业合作伙伴的谅解。

现在就采取措施避免沦为勒索软件攻击的下一个受害者吧!

]]>
《安联智库-网安周报》2022-05-15 Wed, 18 May 2022 02:42:45 +0800

1、境外诈骗频发!中国移动浙江出击:将默认拒接国际及港澳台电话

相信很多网友都受到过“国际电话”和“境外短信”的频繁骚扰,一般情况下,只能将骚扰信息和电话一个个拉黑或通过第三方App来拦截。不过运营商传来了好消息,5月11日,据媒体报道,中国移动浙江给当地用户发送了一则消息,消息内容为:
尊敬的客户,近年来境外诈骗电话案件频发,为保护你的财产安全,根据上级主管部门要求,浙江移动全面落实国际及港澳台电话接听功能按需开通工作,若你需要接听国际及港澳台电话,请在5月20日前发送1219至10086进行确认登记,不登记或登记错误的用户将分批次统一关闭国际及港澳台语音接听功能。
无独有偶,4月底,河南移动、河南联通、河南电信发布了关于“国际及港澳台短信接收业务”依申请开通的联合公告。
根据国家反诈中心发布的数据显示,2021年,在所有的电信网络诈骗的受害者中,18岁以下占比2%,18岁-35岁占比65.5%,36岁-59岁占比31.1%,60岁以上占比1.4%。
2、中央纪委国家监委网站评知网被立案调查:头部平台更当知法守法

“近日,市场监管总局根据前期核查,依法对知网涉嫌实施垄断行为立案调查。”5月13日16时许,国家市场监管总局网站公布的这则短讯引发广泛关注。随后,知网方面回应称,将以此次调查为契机,深刻自省,全面自查,彻底整改,依法合规经营,创新发展模式,承担起中国知识基础设施的社会责任。

调查正在开展,知网是否存在垄断行为,是否涉嫌行业垄断,是否滥用市场支配地位等,有待实事求是、依法规范调查得出结论。但这一事件本身,已传递多重鲜明信号。

依规依法彻底调查,回应社会关切,彰显法治权威。从“高校学生集体吐槽收费过高的查重费用”,到“擅自收录百余篇论文被退休教授起诉,最终被判赔70多万元”,再到“中科院因不堪近千万续订费停用知网”,知网近年来深陷舆论风波。知网一面从作者处低价收取论文,一面又向个人和研究机构收取不合理费用,连续多年大幅提高数据库价格,傲慢对待知识产权争议等,备受诟病。一些网友甚至调侃“苦知网久矣”。此次,市场监管总局对知网依法立案调查,十分及时必要,彻底查清其涉嫌实施垄断行为问题,积极回应社会关切,维护学术文献数据库服务市场的公平竞争,保护以作者和读者为主体的消费者利益和社会公共利益。

越是头部平台,越要依法规范经营,积极履行自身社会责任。知网在中文学术文献信息服务和知识服务市场不断开拓,成为我国最具市场影响力的学术文献数字化服务平台。但是店大莫欺客,利用自身地位施行“霸道”操作,在法律边缘试探,甚至逾越底线,最终只会失去信任、失去市场。知网被查,再次给所有平台都敲响了一记警钟,建构更合理的运营模式,积极承担社会责任,才能走得更远更稳健。此次知网及时回应“全面自查、彻底整改”,态度值得肯定。改到位、改彻底,方不负自身平台地位,不负广大读者和作者的信赖。

规范与发展并重,依法加强对平台经济常态化监管。近年来,党中央高度重视平台经济的规范治理,反垄断执法机构依法查处了一系列重大典型案件,着力解决了平台经济领域存在的一些突出竞争问题,以监管规范促进持续健康发展。4月29日,中央政治局会议强调“要促进平台经济健康发展,完成平台经济专项整改,实施常态化监管”。对于知网等平台企业来说,在提供便利服务、促进科技进步、繁荣市场经济、参与国际竞争等方面发挥着重要作用,但同时也要注意到,若其搞垄断和不正当竞争行为,则会损害公平正义、妨碍创新创造。一手抓引导发展,激励平台企业合法合规经营,通过技术创新、管理创新提升核心竞争力;一手抓规范监管,实施常态化的反垄断监管,持续净化平台经济领域的竞争环境,才能推动平台经济健康成长、可持续发展。

3、俄罗斯电视台胜利日被黑 显示反战信息

胜利日庆祝活动是为了纪念二战中苏联击败德国纳粹。然而,今年观看胜利日报道的俄罗斯人结结实实吃了一惊。有人入侵了俄罗斯各电视频道的胜利日报道节目单,以之发布反战和亲乌克兰的信息。  

胜利日一大早,观众静候俄罗斯总统普京的讲话,但当地电视频道的节目表突然变换内容,显示以下信息:  “你们的手上染着成千上万乌克兰人和数百名惨死儿童的鲜血。电视和当局都在撒谎。拒绝战争。

关于这一事件,BBC Monitoring高级数字记者Francis Scarr也发表推文称,俄罗斯电视台在线节目表页面遭到了黑客入侵。每个节目的名称都被改成了同样的信息。

4、恶意NPM软件包瞄准德国公司进行供应链攻击

5月11日,网络安全研究人员在NPM注册表中发现了一些恶意软件包,专门针对一些位于德国的知名媒体、物流和工业公司进行供应链攻击。JFrog研究人员在一份报告中表示,“与NPM库中发现的大多数恶意软件相比,这一有效负载危险性更高。它是一个高度复杂的、模糊的恶意软件,攻击者可以通过后门完全控制被感染的机器。

DevOps公司表示,根据现有证据,这要么是一个复杂的威胁行为,要么是一个“非常激进”的渗透测试。

目前,大部分恶意软件包已经从注册表中移除,研究人员追踪到四个“维护者”bertelsmannnpm、boschnodemodules、stihlnodemodules和dbschenkernpm,这些用户名表明其试图冒充像贝塔斯曼、博世、Stihl和DB Schenker这样的合法公司。

一些软件包的名称非常具体,它意味着对手设法识别了公司内部存储库中的库以进行依赖混淆攻击。

]]>
勒索软件的克星:对象存储 Wed, 18 May 2022 02:42:45 +0800 勒索软件未来十年仍然会是企业面临的最大安全威胁之一。根据Cybersecurity Ventures的报告,到2031年,全球勒索软件造成的损失预计将超过2650亿美元,每两秒就会发生一起勒索软件攻击事件。

有漏洞的地方就会有勒索软件,而且漏洞不一定在企业的内部,去年的一系列重大供应链攻击已经证明了这一点。因此企业将勒索软件的防御注意力都集中在了漏洞管理上,却往往忽视了其他环节。

过去,企业的数据存储解决方案通常被视为IT基础设施架构而不是网络安全战略的一部分,因此很多人忽视了对象存储在勒索软件攻击中保护关键资产的重要价值。

包括服务器、网络和存储在内的信息技术(IT)基础架构堆栈的每一层都对企业的安全态势非常重要,存储也不例外。企业已经部署了多种类型的存储,包括网络附加存储(NAS)、存储区域网络 (SAN)和对象存储,每一种都针对不同类型的数据、工作负载和用例进行了优化。

由于非结构化数据内容的快速增长,对象存储已成为现代企业IT环境的共同基石。对象存储广泛部署在安全敏感领域,例如金融服务、医疗(医院和生物科学)、政府机构等。

虽然对象存储(以及其他存储技术)本身也是整体安全基础架构堆栈的通用组成部分,但业务系统的对象存储层(正确配置后)还可以用来提高勒索软件防御能力,并帮助企业更快地从勒索软件攻击中恢复,具体如下:

身份验证和访问控制

对象存储解决方案需要身份验证,它应该在用户进入时验证用户并确保他们被授权。理想情况下,用户必须首先创建一个帐户,使用该帐户访问数据时,用户还需要出示他们的访问密钥,否则将被锁定。

身份验证是安全的关键要素,可确保只有授权用户才能访问数据存储环境中的信息,并将不良行为者拒之门外。一些对象存储解决方案提供多租户模型,在亚马逊的AWS云中称为身份和访问管理(IAM)。这提供了分离租户帐户和用户的概念,以确保数据保持隔离且未经授权的用户无法访问。

网络安全主管们可以在对象存储解决方案中使用最小权限访问原则——强制执行用户执行工作所需的最低用户权限级别或最低权限级别。管理员必须明确允许哪些操作,并通过精细控制来允许/拒绝对数据的特定操作的访问。

安全数据加密的价值

安全性的另一个重要基础是加密,它有两个部分。首先是流动的数据和请求,这意味着如果一个请求进入系统,它应该被加密。这样可以杜绝窥探技术,防止攻击者通过抓包来获取请求信息。这通常是通过安全套接字层(SSL)完成的,同时也意味着需要部署安全证书。安全通过加密,用户可以安全地连接到系统和端点,这既适用于数据,也适用于命令。

加密的第二部分是静态加密,通常是安全专业人员存储数据时的加密操作。某些存储解决方案中提供对象级加密功能,用户可以决定对哪些数据进行加密。

对象存储如何防止勒索软件

数据不变性是对象存储的天然属性——这意味着数据不能像文件系统那样就地更新。相反,对象存储只提供创建、读取和删除数据的基本操作。例如,在Amazon S3存储桶(容器)层启用版本控制,对现有对象的任何写入都将在存储新版本之前保留以前的版本,这意味着对象的先前版本状态具备恢复能力。

网络安全专业人员还可以借助另一种技术来确保数据不变性:例如,通过Amazon S3的对象锁定API进行对象锁定。该操作对数据实施了不可撤销的保留期,在此期间无法更新、修改或删除对象。这使得勒索软件难以通过加密数据的方式来勒索赎金。这种方法适用于任何静态存储的数据,无论是主副本还是辅助(备份)副本,可以有效防御勒索软件的数据加密攻击。

此外,网络安全人员还可以通过对象存储的版本控制、对象锁定和自然数据不变性等功能和特性,以在关键任务用例中实现勒索软件保护和恢复能力。

总结

如今所有行业,不同规模企业都面临日益猖獗的勒索软件攻击的威胁。存储系统貌似与企业的网络安全态势和策略关系不大,但它恰恰可能是最佳的防御环节。对象存储的一些特性和组件,例如加密、身份验证和数据不变性,使其对于保护敏感数据免受勒索软件攻击至关重要,有助于为企业数据中心打造牢不可破的云存储,有效防止勒索软件攻击

]]>
恶意NPM软件包瞄准德国公司进行供应链攻击 Wed, 18 May 2022 02:42:45 +0800 5月11日,网络安全研究人员在NPM注册表中发现了一些恶意软件包,专门针对一些位于德国的知名媒体、物流和工业公司进行供应链攻击。

JFrog研究人员在一份报告中表示,“与NPM库中发现的大多数恶意软件相比,这一有效负载危险性更高。它是一个高度复杂的、模糊的恶意软件,攻击者可以通过后门完全控制被感染的机器。”

DevOps公司表示,根据现有证据,这要么是一个复杂的威胁行为,要么是一个“非常激进”的渗透测试。

目前,大部分恶意软件包已经从注册表中移除,研究人员追踪到四个“维护者”bertelsmannnpm、boschnodemodules、stihlnodemodules和dbschenkernpm,这些用户名表明其试图冒充像贝塔斯曼、博世、Stihl和DB Schenker这样的合法公司。

一些软件包的名称非常具体,它意味着对手设法识别了公司内部存储库中的库以进行依赖混淆攻击。

 供应链攻击 

上述发现来自Snyk的报告,该报告详细描述了其中一个违规的软件包“gxm-reference-web-aut -server”,并指出恶意软件的目标是一家在其私有注册表中有相同软件包的公司。

Snyk安全研究团队表示:“攻击者很可能在该公司的私人注册表中,掌握了这样一个包的存在信息。”

Reversing实验室证实了黑客攻击行为,称上传至NPM的恶意模块版本号比私有模块的版本号更高,从而迫使模块进入目标环境,这是依赖混淆攻击的明显特征。

该实验室解释“运输和物流公司的目标私有软件包有0.5.69和4.0.48版本,与恶意软件包的公开版本名称相同,但其使用的是版本0.5.70和4.0.49。”

JFrog称这种植入是“内部开发”,并指出该恶意软件包含两个组件,一个是传输器,它在解密和执行JavaScript后门之前,向远程遥测服务器发送有关被感染机器的信息。

后门虽然缺乏持久性机制,但设计用于接收和执行硬编码的命令和控制服务器发送的命令,评估任意JavaScript代码,并将文件上传回服务器。

研究人员称,这次攻击的目标非常明确,并且其掌握了非常机密的内部信息,甚至在NPM注册表中创建的用户名公开指向目标公司。

在此之前,以色列网络安全公司Check Point披露了一项长达数月的信息窃取活动,该活动使用AZORult、BitRAT、Raccoon等商用恶意软件攻击德国汽车行业。

]]>
大规模黑客活动破坏了数千个WordPress网站 Wed, 18 May 2022 02:42:45 +0800 Sucuri的网络安全研究人员发现了一场大规模的活动,该活动通过在WordPress网站注入恶意JavaScript代码将访问者重定向到诈骗内容,从而导致数千个WordPress网站遭破坏。感染会自动将站点的访问者重定向到包含恶意内容,即网络钓鱼页面、恶意软件下载、诈骗页面或商业网站的第三方网站,以产生非法流量。这些网站都有一个共同的问题——恶意JavaScript被注入到他们网站的文件和数据库中,包括合法的核心WordPress文件,例如:

./wp-includes/js/jquery/jquery.min.js

./wp-includes/js/jquery/jquery-migrate.min.js “

根据Sucuri的分析,一旦网站遭到入侵,攻击者就试图自动感染名称中包含jQuery的任何js文件。他们注入了以“/* trackmyposs*/eval(String.fromCharCode…”开头的代码…… ”

在某些攻击中,用户被重定向到包含CAPTCHA 检查的登录页面。点击假验证码后,即使网站未打开,他们也会被迫接收垃圾广告,这些广告看起来像是从操作系统生成的,而不是从浏览器生成的。

据Sucuri称,至少有322个网站因这波新的攻击而受到影响,它们将访问者重定向到恶意网站drakefollow[.]com。“他表示:“我们的团队发现从2022年5月9日开始,这一针对WordPress网站的大规模活动收到了大量用户投诉,在撰写本文时该活动已经影响了数百个网站。目前已经发现攻击者正在针对WordPress插件和主题中的多个漏洞来破坏网站并注入他们的恶意脚本。我们预计,一旦现有域名被列入黑名单,黑客将继续为正在进行的活动注册新域名。”

对此,Sucuri也表示网站管理员可以使用他们免费的远程网站扫描仪检查网站是否已被入侵。

]]>
女子扫码充电被投保每月自动扣168:多人都中招 Wed, 18 May 2022 02:42:45 +0800 有使用公共充电桩给车子充电需求的朋友注意了,一不小心可能就中了招。

据@荔枝新闻报道,近日有不少南京市民反应称,在使用公共充电桩时,被误导购买了保险。

市民胡女士表示,5月5日,父亲在小区楼下公共电动车棚给电动车充电时,被付款页面上的“元宝”保险广告给误解,购买了两份保险。

从其出示的付款界面来看,保险字样的提示非常小,但购买保险的绿色确认键却很大也很醒目,很容易让人误以为这个绿色的就是充电收费确认键。

无独有偶,4月份,张女士在给电车充电时也遭遇了类似的问题,一开始被扣掉了2.4元,她以为支付的是充电的钱,但没想到1个月后又被扣了168元,查询发现自己购买了一份“元宝”医疗保险。

经过记者沟通协商,负责出售该保险的公司同意退还张女士未生效的163元保费。

目前,小区物业公司则表示,将约谈充电桩公司要求尽快整改。

]]>
中央纪委国家监委网站评知网被立案调查:头部平台更当知法守法 Wed, 18 May 2022 02:42:45 +0800 “近日,市场监管总局根据前期核查,依法对知网涉嫌实施垄断行为立案调查。”5月13日16时许,国家市场监管总局网站公布的这则短讯引发广泛关注。随后,知网方面回应称,将以此次调查为契机,深刻自省,全面自查,彻底整改,依法合规经营,创新发展模式,承担起中国知识基础设施的社会责任。

调查正在开展,知网是否存在垄断行为,是否涉嫌行业垄断,是否滥用市场支配地位等,有待实事求是、依法规范调查得出结论。但这一事件本身,已传递多重鲜明信号。

依规依法彻底调查,回应社会关切,彰显法治权威。从“高校学生集体吐槽收费过高的查重费用”,到“擅自收录百余篇论文被退休教授起诉,最终被判赔70多万元”,再到“中科院因不堪近千万续订费停用知网”,知网近年来深陷舆论风波。知网一面从作者处低价收取论文,一面又向个人和研究机构收取不合理费用,连续多年大幅提高数据库价格,傲慢对待知识产权争议等,备受诟病。一些网友甚至调侃“苦知网久矣”。此次,市场监管总局对知网依法立案调查,十分及时必要,彻底查清其涉嫌实施垄断行为问题,积极回应社会关切,维护学术文献数据库服务市场的公平竞争,保护以作者和读者为主体的消费者利益和社会公共利益。

越是头部平台,越要依法规范经营,积极履行自身社会责任。知网在中文学术文献信息服务和知识服务市场不断开拓,成为我国最具市场影响力的学术文献数字化服务平台。但是店大莫欺客,利用自身地位施行“霸道”操作,在法律边缘试探,甚至逾越底线,最终只会失去信任、失去市场。知网被查,再次给所有平台都敲响了一记警钟,建构更合理的运营模式,积极承担社会责任,才能走得更远更稳健。此次知网及时回应“全面自查、彻底整改”,态度值得肯定。改到位、改彻底,方不负自身平台地位,不负广大读者和作者的信赖。

规范与发展并重,依法加强对平台经济常态化监管。近年来,党中央高度重视平台经济的规范治理,反垄断执法机构依法查处了一系列重大典型案件,着力解决了平台经济领域存在的一些突出竞争问题,以监管规范促进持续健康发展。4月29日,中央政治局会议强调“要促进平台经济健康发展,完成平台经济专项整改,实施常态化监管”。对于知网等平台企业来说,在提供便利服务、促进科技进步、繁荣市场经济、参与国际竞争等方面发挥着重要作用,但同时也要注意到,若其搞垄断和不正当竞争行为,则会损害公平正义、妨碍创新创造。一手抓引导发展,激励平台企业合法合规经营,通过技术创新、管理创新提升核心竞争力;一手抓规范监管,实施常态化的反垄断监管,持续净化平台经济领域的竞争环境,才能推动平台经济健康成长、可持续发展。

]]>
不讲武德!黑客开始利用BIG-IP漏洞“删库” Wed, 18 May 2022 02:42:45 +0800 上周,F5披露了一个编号CVE-2022-1388的高危漏洞,该漏洞允许远程攻击者以“root”身份在BIG-IP网络设备上执行命令而无需身份验证。由于该漏洞的严重性,F5敦促系统管理员尽快应用更新。

几天后,研究人员开始在Twitter和GitHub上公开发布漏洞利用程序,全球性攻击已经开始。

虽然大多数漏洞利用会丢弃webshell以对网络进行初始访问、窃取SSH密钥和枚举系统信息,但SANS Internet Storm Center发现了两次以更邪恶的方式针对BIG-IP设备的攻击。

SANS的研究者在蜜罐看到了来自IP地址177.54.127.111的两次攻击,这些攻击在目标BIG-IP设备上执行了“rm-rf/*”命令。

此命令在执行时将尝试擦除BIG-IP设备Linux文件系统上的所有文件。

由于该漏洞在为BIG-IP设备供电的Linux操作系统中为攻击者提供了root权限,因此rm-rf/*命令将能够删除几乎所有文件,包括设备正常运行所需的配置文件。

安全研究员Kevin Beaumont证实,已经有设备正在被擦除。

“可以确认。现实世界的设备今晚正在被删除,Shodan上的很多设备都停止了响应。”博蒙特在推特上写道。

值得庆幸的是,这些破坏性攻击似乎并不普遍,大多数威胁参与者希望从破坏设备中受益,而不是造成损害。

虽然SANS看到的“删库”破坏性攻击可能很少见,但此类攻击的严重性已经敲响警钟,系统管理员需要以最快的速度将设备更新到最新的补丁版本。

]]>
境外诈骗频发!中国移动浙江出击:将默认拒接国际及港澳台电话 Wed, 18 May 2022 02:42:45 +0800 相信很多网友都受到过“国际电话”和“境外短信”的频繁骚扰,一般情况下,只能将骚扰信息和电话一个个拉黑或通过第三方App来拦截。

不过运营商传来了好消息,5月11日,据媒体报道,中国移动浙江给当地用户发送了一则消息,消息内容为:

尊敬的客户,近年来境外诈骗电话案件频发,为保护你的财产安全,根据上级主管部门要求,浙江移动全面落实国际及港澳台电话接听功能按需开通工作,若你需要接听国际及港澳台电话,请在5月20日前发送1219至10086进行确认登记,不登记或登记错误的用户将分批次统一关闭国际及港澳台语音接听功能。

而按照指导,发送1219登记信息后,会收到新的短信提醒:您已确认确认保留国际及港澳台电话接听功能,将会接听所有来自国际及港澳台语音电话,可能会接听到诈骗或垃圾电话,请仔细斟酌,注意风险防范。若需要关闭国际及港澳台语音接听功能,可发送“1901”至10086办理。

无独有偶,4月底,河南移动、河南联通、河南电信发布了关于“国际及港澳台短信接收业务”依申请开通的联合公告。

公告内容与此次浙江发布的相差不多,不同的是,河南这边针对的短信业务,自2022年5月7日零时起,将国际及港澳台短信接收业务办理调整为依用户申请开通,届时,国际及港澳台短信接收功能默认为关闭状态。

根据国家反诈中心发布的数据显示,2021年,在所有的电信网络诈骗的受害者中,18岁以下占比2%,18岁-35岁占比65.5%,36岁-59岁占比31.1%,60岁以上占比1.4%。

]]>
微软修复了所有Windows版本中的新NTLM零日漏洞 Wed, 18 May 2022 02:42:45 +0800 微软于近期解决了一个积极利用的Windows LSA零日漏洞,未经身份验证的攻击者可以远程利用该漏洞来强制域控制器通过Windows NT LAN Manager (NTLM)安全协议对其进行身份验证。LSA(Local Security Authority的缩写)是一个受保护的Windows子系统,它强制执行本地安全策略并验证用户的本地和远程登录。该漏洞编号为CVE-2022-26925,是由Bertelsmann Printing Group的Raphael John报告的,据调查,该漏洞在野已被利用,似乎是PetitPotam NTLM中继攻击的新载体。

安全研究员GILLES Lionel于2021年7月发现该变体,且微软一直在阻止PetitPotam变体,不过官网的一些举措仍然没有阻止其变体的出现。LockFile勒索软件组织就滥用PetitPotam NTLM中继攻击方法来劫持Windows域并部署恶意负载。对此,微软建议Windows管理员检查针对Active Directory证书服务(AD CS)上的NTLM中继攻击的PetitPotam缓解措施,以获取有关保护其系统免受CVE-2022-26925攻击的信息。

通过强制认证提升权限

通过使用这种新的攻击向量,威胁行为者可以拦截可用于提升权限的合法身份验证请求,这可能会导致整个域受到破坏。不过攻击者只能在高度复杂的中间人攻击(MITM)中滥用此安全漏洞,他们能够拦截受害者和域控制器之间的流量以读取或修改网络通信。

微软在其发布的公告中解释:未经身份验证的攻击者可以调用LSARPC接口并强制域控制器使用NTLM 对攻击者进行身份验证。此安全更新检测到LSARPC中的匿名连接尝试并禁止它。且此漏洞影响所有服务器,但在应用安全更新方面应优先考虑域控制器。在运行Windows 7 Service Pack 1和Windows Server 2008 R2 Service Pack 1 的系统上安装这些更新可能会带来不利影响,因为它们会破坏某些供应商的备份软件。

CVE-2022-26925影响所有Windows版本,包括客户端和服务器平台,从Windows7和 Windows Server 2008到Windows 11和Windows 2022。不过在今年五月份的微软Patch Tuesday,微软已经和其他两个漏洞一起修补了该零日漏洞,一个是Windows Hyper-V 拒绝服务漏洞 (CVE-2022-22713)、还有一个是Magnitude Simba Amazon Redshift ODBC 驱动程序漏洞 (CVE-2022-29972)。

]]>
公司回应居家员工每5分钟抓拍一次 今日股价大跌 Wed, 18 May 2022 02:42:45 +0800 这两年,大家应该都已经经历过居家办公的状态,公司层面也推出过各种检测员工的手段,但实时监控这种还是第一次见。据此前报道,近日有网友爆料称,尚德机构要求北京朝阳全区的员工实行居家办公,并要求员工连夜安装电脑监控软件,必须每5分钟自动截屏,每天截屏不够89次的算旷工。

根据网友透露,这种操作需要员工安装监控软件,但该软件仅支持Windows系统,与苹果电脑并不兼容,使用苹果电脑的员工需要安装虚拟机方便公司监控。

爆料人还称,如果几次抓拍不到,就要扣除全部绩效,领导和HR也会跟着扣钱。

最难以理喻的是,因为这种每5分钟抓拍一次人脸的要求太夸张,导致很多员工在工作期间不敢去上厕所,担心无法被抓拍到。

此事被曝光之后,在各大社交平台上引发热议,尚德机构也站在了舆论的风口浪尖之上。

对此,红星新闻报道称联系了尚德机构相关工作人员了解情况,针对网友爆料是否属实,该名工作人员并未直接回复。

他表示,目前公司内部正在沟通,还需沟通后再做回复。

值得注意的是,作为一家培训类机构,2015年-2020年,尚德机构累计亏损30亿元,并且此前还进入了美国SEC最新的“预摘牌”名单,股价便一路下滑。

而在此事被曝光之后,尚德机构的下跌幅度进一步增加,截至发稿前报价3.02美元,总市值4015.06万美元。

]]>
侵犯隐私诱导下载 快递盒上有多少骗人的二维码广告 Wed, 18 May 2022 02:42:45 +0800 “19元充值100元话费。”前不久,天津市民王先生在收到的快递盒上发现这则二维码广告。他觉得很划算,扫码并按广告指引支付了19元,结果根本没有充值到话费,而是显示其开通了某App会员。王先生把自己的遭遇告诉了身边的朋友,发现不少人都遇到过快递盒上的二维码陷阱——有的充值后没有得到相应的优惠,有的下载了一堆App也没有获得奖品。

近日,《法治日报》记者来到天津市河东区多个快递站点,随机选择了30个快递包裹看到,其中有四成左右的快递包裹上印有二维码广告,内容包括:“天大的秘密!扫一扫可以领100元”“先别拆!扫码领大额现金红包”“别扔!扫码1元抽手机”等。

扫描这些二维码真的能够领取到福利吗?

记者扫了扫一快递上“马上扫,随机奖励一桶油”的二维码后,手机屏幕弹出一页面,上面写着抽取烟、酒、平板电脑等各种福利大奖,抽中后只需支付快递费即可送到家。

“不要扫,骗人的!”一旁的快递站点工作人员看到记者扫二维码时提醒道,他说有居民扫码支付快递费、填写地址后根本没有收到任何奖品。“这些二维码广告发件时就有,也不知道谁贴的。”

附近有居民告诉记者,曾在快递上看到贴有“领取手机靓号”的二维码广告,其扫码进入选号界面,按照订单流程填写了身份信息并支付相应费用,结果一直没有收到相关快递,试图沟通时发现对方留的联系方式是假的。

还有一种“玩游戏提现”的二维码广告,记者扫码进入游戏界面,玩了10关后提示获得了5元钱,但想提现要通过30关,到达30关后又提示需要累计10元才能提现……并且在此过程中用户得不断观看各种广告。

在第三方投诉平台,多位网友称,有些快递上的二维码广告带有“流氓软件”,扫码后发现内容与宣传广告不符,点击“退出”按钮,结果仍自动下载了一堆无用的App。

据公开数据,2021年我国快递业务量达1085亿件,支撑网络零售额接近11万亿元。而近期安徽省消保委对1111份快递单样本进行测试、统计和分析发现,674个样本中含有二维码广告,占比达60.67%。其中,出现最多的广告是某平台的“天天领现金打款秒到账”活动,占比39.32%。

那么,这些快递上的二维码广告到底是谁贴上去的呢?

一名负责投放快递单广告的业内人员告诉记者,他们和电商平台、快递公司都有合作,商家可以直接通过系统把额外添加了广告的快递单打出来,可根据不同节点、活动区域投放,一天最多可以保证发5万份。还有线下快递单广告投放业务,即通过不干胶外贴在快递包裹上,甚至可以单页放置在快递内部。至于投放的都是哪些广告,“只要不违法都可以,也没有什么审核”。

而多位消费者投诉称,被骗后与快递公司交涉,对方称广告不是自己发布的,自己不需要为此负责,也无法为其解决问题。对此,广东瀛尊律师事务所律师翟东卫认为,快递公司有责任和义务对快递单上的广告内容进行审核,确保其不侵犯消费者合法权益。

“快递包裹上之所以有广告,大概率是因为快递公司与广告经营人之间有合同关系。根据消费者权益保护法,消费者因经营者利用虚假广告或者其他虚假宣传方式提供商品或者服务,其合法权益受到损害的,可以向经营者要求赔偿、广告经营者、发布者发布虚假广告的,消费者可以请求行政主管部门予以惩处、广告经营者、发布者不能提供经营者的真实名称、地址和有效联系方式的,应当承担赔偿责任等规定,广告主应当赔偿受到损害的消费者,快递公司应当承担连带赔偿责任。”翟卫东说。

如何才能避免快递单广告陷阱?

翟卫东说,《印刷品广告管理办法》规定,发布印刷品广告,需要具有代理与发布印刷品广告的经营范围,如果快递公司的经营范围里没有该项规定,工商管理部门可以对其进行处罚。如果快递公司明知广告内容违法而仍然发布该广告,工商管理部门可以没收其广告费用并对其进行罚款,如果情节严重构成刑事犯罪的,可以追究刑事责任。

“对于消费者来说,如果因为该广告的虚假宣传而导致损失,可以对广告主提起民事诉讼要求赔偿损失,当然,也可以要求广告发布人快递公司承担连带赔偿责任。”翟卫东说。

安徽省消保委等多地相关部门和快递公司也提醒,快递单广告中的“免费抽”“待领取”“一元抽”等福利,并不能确保真实性和安全性,消费者看到这类广告后要谨慎,不要轻易扫码。

]]>
Conti勒索哥斯达黎加政府!新总统上任即签署国家进入紧急状态法令 Wed, 18 May 2022 02:42:45 +0800 由于4月下旬勒索软件攻击的影响仍在继续,哥斯达黎加新总统在周末(5月8日)宣布全国进入紧急状态。

据当地新闻媒体Amelia Rueda报道,总统罗德里戈·查韦斯·罗伯斯(Rodrigo Chaves Robles)在赢得该国4月4日的选举后于周日(5月8日)开始了为期四年的总统任期,并于就职当日签署了紧急状态法令,这是他的首次正式行动之一。该行政法令部分写道,哥斯达黎加“遭受网络犯罪分子和网络恐怖分子的折磨”,该法令允许“我们的社会将这些攻击视为犯罪行为”。

使用俄罗斯Conti勒索软件平台自称“unc1756”的人在Conti暗网数据门户的帖子中声称对4月17日的攻击负责。该帖子表明,到目前为止,97%的被盗数据已被公布,总计超过672GB的信息。

该帖子还指责哥斯达黎加政府没有支付最初的1000万美元勒索软件要求,即将卸任的总统卡洛斯·阿尔瓦拉多表示这是企图“在过渡时期威胁该国的稳定”。

黑客消息中写道:“看哥斯达黎加总统政府的决定是不可能不讽刺的……所有这一切都可以通过付钱来避免,你本来可以让你的国家真正安全,但你会转向Bid0n(原文如此)和他的追随者,这个老傻瓜很快就会死去。” 发帖人接着说,这次攻击的目的是“赚钱”,“未来我一定会用更大的团队进行更严重的攻击,哥斯达黎加仅仅是一个演示版。”

哥斯达黎加袭击事件发生后不久,从秘鲁情报机构获取的近9.5GB数据被发布到Conti 泄密站点。该转储中的一个文件名引用了“unc1756”,但不清楚这两次攻击是否是同一个人。

信息安全界的“UNC”一词有时指的是未分类的威胁活动组织。

5月6日,即哥斯达黎加紧急法令颁布的前两天,美国国务院宣布悬赏1000万美元,以奖励能够识别和/或定位在Conti组织内担任“关键领导职位”的任何人的信息。额外500 万美元的奖励可用于导致任何参与Conti勒索软件事件的人被捕和/或定罪的信息。

美国国务院发言人周一(当地时间5月9日)告诉 CyberScoop,“美国仍然致力于保护世界各地所有潜在的勒索软件受害者免受网络犯罪分子的利用”,并且如果与哥斯达黎加一起提供奖励。

“与哥斯达黎加政府联合宣布这一奖励表明美国承诺支持其盟友对抗 Conti勒索软件变种组织的领导人和附属机构。”——国务院发言人

据FBI称,自2020年7月在美国首次报告Conti勒索软件事件以来,与Conti相关的勒索软件攻击已导致1,000 多名受害者,截至2022年1月,受害者的赔款估计为 1.5 亿美元。

该发言人说:“与哥斯达黎加政府联合宣布这一奖励表明美国承诺支持其盟友对抗 Conti勒索软件变种组织的领导人和附属机构” ,并指出美国政府正在寻找“其他合作伙伴”愿意为受勒索软件事件影响的受害企业和组织伸张正义的国家。”

Conti的运作方式与其他勒索软件组织一样,核心开发人员小组维护和更新源代码并运营在线数据门户,而“附属机构”则执行攻击并与开发人员分摊收益。

该组织似乎在俄罗斯内部有着深厚的联系,但由来自多个国家的人组成。2月25日,也就是俄罗斯入侵乌克兰后的第二天,该组织网站上发布了一条消息,承诺支持俄罗斯政府。不久之后,一名拥有内部人员访问权限的乌克兰研究人员发布了该组织的大量内部数据,揭示了一个高度组织化的结构。该小组经受住了这一事件,并像以前一样继续前进。

同样在上周,美国交通运输部的管道和危险材料安全管理局提议对Colonial Pipeline 处以986,000美元的罚款,以回应该机构所说的在2020年1月至11月期间检查期间的几项联邦管道安全法规。一些违规行为可能导致该机构在一份声明中表示,该公司在2021年5 月 DarkSide勒索软件攻击之后对其管道的处理。DarkSide和Conti一样,都与俄罗斯有关。

Colonial Pipeline的一位发言人周一告诉CyberScoop,该机构的通知是“多步骤监管程序的第一步,我们期待与PHMSA合作解决这些问题。” 该发言人表示,公司与政府的协调是“及时、高效和有效的”,并表示公司希望宣布的时机“不会掩盖行业和政府为应对这些威胁和保护我们的关键基础设施。”

]]>
黑客组织针对电信巨头进行攻击 Wed, 18 May 2022 02:42:45 +0800 T-Mobile证实,勒索集团Lapsus$几周前就获得了系统的访问权限。

这家电信巨头对记者的报道做出了回应,他从Lapsus$ 团伙核心成员的私人Telegram频道中获取了内部聊天记录。该公司补充说,它目前已经通过阻止黑客对其网络的群组访问来缓解这一漏洞,并禁用了在此次攻击中被盗的凭证。

Lapsus$是一个网络黑客组织,它在2021年2月对巴西卫生部发动勒索软件攻击时崭露头角,他们泄露了COVID 19的数百万人的疫苗接种数据。最近,在3月,伦敦市警方逮捕了7名与该团伙有关的人。

记者发现的私人聊天记录显示,Lapsus$ 黑客组织在俄罗斯地下市场等非法平台上找到了T-Mobile的内部VPN登录凭证。使用这些凭证,Lapsus$成员可以使用如 Atlas等 T-Mobile内部管理客户账户的工具。这将有助于他们进行Sim-Swapping攻击。在这种攻击中,黑客通过将受害者的号码转移到攻击者所拥有的设备上进行劫持,这使得黑客能够获得到敏感的信息,比如电话号码或其他任何多因素认证发送的信息。

在获得ATLAS的访问权后,Lapsus$黑客还试图破坏与联邦调查局和国防部相关的T-Mobile账户,但没有成功,因为这些账户还有一个额外的验证方法与之相关联。

T-Mobile公司的一位发言人说,几周前,我们的监控工具检测到了一个恶意攻击者使用偷来的凭证来访问存放操作工具软件的内部系统。

T-Mobile表示,尽管会有人试图访问内部系统 "Atlas",但此次并没有敏感信息被泄露。T-Mobile发言人补充说,被访问的系统不包含客户或政府信息以及其他类似的敏感信息,我们没有证据表明入侵者获得了任何有价值的东西。我们的系统和流程目前正在正常运行,入侵者所使用的凭证现在已被淘汰。

最近Lapsus$攻击增多,他们主要针对微软、三星、Okta和Nvidia等大型技术公司进行攻击。

Lapsus$进行的攻击并不复杂,通常是使用从地下市场(如俄罗斯市场)窃取的凭证来发起的,然后使用社会工程学攻击来绕过多因素认证。

一位研究LAPSUS$的安全专家说,他们迫使我们改变了对内部人员访问权限的设定。有国家背景的黑客组织要的是长期的、战略性的访问权限,但是勒索软件集团要的是进行横向移动。有专家在2022年3月24日的一条推文中说,目前我们还没有优化防御系统。

各个组织应该做好安全准备,防止像Lapsus$这样团体进行网络攻击,Lapsus$针对组织进行攻击的非常规技术也可能会被其他团体所效仿。企业内部的威胁被Lapsus$再次带入到人们的视线中,并迫使组织思考它所面对的真正挑战。

安全研究员说,像Lapsus$这样的网络威胁是不会消失的。网络攻击不仅有很多钱可以赚,而且还可以获得很大的网络影响力。

 多年来对T-Mobile的几次攻击

自2018年以来,T-Mobile就遭受了六次不同规模的数据泄露。2018年,一个被泄漏的API导致230万客户的数据被泄露。一年后的2019年,126万名预付费者也受到了漏洞的影响。

2021年8月,T-Mobile又遭遇了数据泄露,超过4000万的账户数据被盗。该账户是在该公司申请过信贷的前客户或潜在客户。

该客户的记录在同一年被出售,被泄露的数据还包括了众多个人身份信息,如社会安全号码、电话号码和安全密码等。

]]>
美国管道勒索软件攻击一周年:安全团队的5个教训 Wed, 18 May 2022 02:42:45 +0800 Colonial Pipeline勒索软件攻击过去一年,该事件是近年来影响最大的网络攻击案例之一,名为DarkSide的威胁行为者使用一个被泄露的VPN口令来访问美国最大的管道运营商的内部系统。在攻击期间,当黑客开始加密该组织的数据时,Colonial Pipeline做出回应,将其系统离线以阻止威胁的传播,暂时停止了管道运营并最终支付了440万美元的赎金。事件发生后不久,美国政府发布了一项旨在改善国家网络安全的行政命令,强调联邦政府需要“做出大胆的改变和重大投资,以捍卫支撑美国生活方式的重要机构”。除了行政命令外,还引入了几项联邦和立法措施,优先考虑提高网络安全和运营弹性的门槛。

Colonial Pipeline事件之后美国的政府机构和企业目睹了其他成为全国头条新闻的严重事件,包括Kaseya勒索软件攻击和发现的Log4j漏洞,该漏洞存在于全球安装的软件应用程序的基础中。

国会正在着手处理运输安全管理局 (TSA) 是否是监管管道网络安全的适当机构的问题。国会可能决定资助TSA并确保其拥有必要的专业知识和人力资本来有效调节管道网络安全。该事件对美国关基安安全保护的影响史无前例!

虽然科洛尼尔管道攻击可能已经过去,但勒索软件仍然是现代企业的生存威胁,随着勒索软件攻击的增加,企业需要做好准备。这起事件有太多教训可以总结,比如,勒索横行的今天,无论您是小型企业还是企业,都没有关系。你是一个攻击目标;攻击者会发现(并利用)最薄弱的环节;攻击者很敏捷,防守者也必须如此;等等。好消息是,组织可以实施越来越多的安全控制措施来保护自己免受这些普遍威胁的侵害。作为安全团队,其实也有好多需要扎实推进的工作。

1、部署零信任架构 

登录凭据是网络犯罪分子的主要目标之一。因此,对于安全团队来说,实现对零信任身份验证的支持变得越来越重要,以使未经授权的用户更难使用受损凭据登录。“Colonial Pipeline勒索软件攻击是另一个备受瞩目的例子,即利用受损凭证来利用以前被认为是安全的基础设施。因此,安全协议必须不断发展,以跟上分布式计算环境中的动态威胁,”身份访问管理提供商Plain ID的首席技术官兼联合创始人Gal Helemski说。Helemski建议组织可以通过实施零信任架构来防止自己成为类似攻击的受害者,该架构将访问控制扩展到整个数字旅程的整个生命周期中的传统网络访问安全性。 

2、实施强大的事件检测和响应能力 

决定勒索软件泄露总体影响的最大因素之一是组织响应所需的时间。响应时间越慢,网络犯罪分子就越有机会定位和加密关键数据资产。“殖民地是公共和私营部门基础设施安全的一个重要转折点,但组织需要保持警惕,以领先于网络攻击者,”勒索检测和恢复平台Egnyte的网络安全宣传总监Neil Jones说。在实践中,这意味着制定全面的事件响应计划,部署具有勒索软件检测和恢复功能的解决方案,并为员工提供有关如何实施有效数据保护策略(如强口令和多因素身份验证)的网络安全意识培训。 

3、不要依赖备份和恢复解决方案来保护数据 

许多组织寻求依靠数据备份和恢复解决方案来抵御勒索软件威胁。虽然这听起来像是纸面上的有效防御,但如果受害者组织不支付赎金,勒索软件攻击者已经开始威胁要泄露他们加密的数据。加密提供商Titaniam的首席执行官兼创始人Arti Raman建议组织切换到使用中的数据保护, 而不是依赖静态加密,攻击者可以使用受损凭证来回避。“通过使用中的加密数据保护,如果对手突破外围安全基础设施和访问措施,结构化和非结构化数据可能 [并且] 将 [变得] 无法被坏人破解和使用——即使不是,数字勒索也会变得更加困难或不可能,”拉曼说。 

4、创建攻击面清单 

由于有如此多的高级威胁行为者以勒索软件威胁的现代组织为目标,技术决策者和安全团队需要对哪些系统暴露给外部威胁行为者以及他们持有哪些数据有一个完整的清单。“随着美国政府采取措施加强国家网络安全,组织必须采取积极主动的方法来保护自己的资产,这就是优势所在:响应能力,”托管安全服务组织Cyber Security Works的首席执行官兼联合创始人亚伦·桑丁说。“通过独立或外包给漏洞管理公司进行完整的系统清单,组织可以扩展其对已知和未知漏洞利用的网络安全可见性,”Sandeen说。虽然 Colonial Pipeline攻击背后的组织已经不复存在,但Sandeen警告说,企业将继续看到越来越多的漏洞利用、漏洞和APT威胁参与者愿意利用它们,“这将需要安全领导者提供预测性和创造性的帮助来分类和消除勒索软件威胁。” 

5、部署身份管理解决方案以识别异常用户活动 

网络安全教育平台Drip7的创始人Heather Stratford说,“殖民管道灾难告诉我们,人是网络安全攻击的主要切入点。” 据Cyber Talk称, 95%的网络违规是由人为错误造成的。“在网络安全意识方面,‘人’是需要‘固定’或关注的,而这种变化通常不会在一夜之间发生。改变行为建立在小的增量改进之上,随着时间的推移,这些改进会收紧控制限制以改善行为并最大限度地降低风险,”斯特拉特福德观察到。“改变当前网络安全流行病的唯一方法是增加对组织人员的关注,而不仅仅是现有系统,”斯特拉特福德警告说。在远程工作和员工使用个人设备访问企业资源的时代,数据被盗的风险比以往任何时候都大。“我们在新闻中听到的大多数违规行为都是由于企业依赖自动访问控制而在用户被劫持时意识到为时已晚。“考虑到 LAPUS$和Conti等不同犯罪集团的先进策略和随机性,一旦账户遭到入侵,基于身份的欺诈行为就极难被发现,”信任平台Forter的首席信息安全官Gunnar Peterson说。出于这个原因,组织需要具有识别异常用户活动的能力,以便他们能够检测帐户接管,彼得森说,这可以通过使用具有异常检测功能的人工智能驱动的身份管理解决方案来获得。

关键基础设施上的勒索软件案件继续成为头条新闻的事实表明,在整体关键基础设施网络安全方面,组织通常准备不足。人们倾向于专注(并花费)大量资金用于企业和企业环境的网络安全,但多年来,运营技术和面向生产的环境并没有得到他们的关注和投资。

变革不会在一夜之间发生。重要的是要注意,当调整安全态势时,对手也会适应。强化很重要,但可见性和弹性是所有关基企业需要的,这需要时间来开发和部署。俄乌战事中的网络暗战再次表明,变革的关键驱动因素是法律法规指令、攻击的持续威胁、地缘政治局势以及监管机构日益增加的关注。人们对ICS的关注也越来越普遍,因为可靠的情报表明,网络攻击更有可能演变为物理攻击。

]]>
勒索软件攻击影响政府运行,这个国家宣布进入全国紧急状态 Wed, 18 May 2022 02:42:45 +0800 由于Conti勒索软件团队发起的毁灭性攻击,北美国家哥斯达黎加共和国政府(以下简称“哥国”)新任总统Rodrigo Chaves宣布国家进入紧急状态。

上周日(5月8日)宣誓就职后,Chaves举行了任期内第一次政府会议,会上宣布哥国将进入紧急状态,原因是财政部等多个部门因勒索软件攻击受到严重影响。

哥国第 42542 号行政令规定:

“哥斯达黎加遭受网络犯罪分子、网络恐怖分子的攻击,被迫宣布国家紧急状态。我们正在签署这项法令,宣布整个公共部门进入国家紧急状态。国家授权我们的社会将这些攻击作为犯罪行为来应对。”

多部委系统被破坏,运行半瘫痪 敏感数据外泄

自4月18日遭受勒索软件攻击以来,哥国海关、税收平台及其他多个政府部门系统被破坏,国内某个城镇的能源供应商陷入瘫痪。财政部的数字服务始终无法正常运营,导致法律要求的文书、签名和印章处理流程被迫停滞。

受到攻击影响的部门包括:

财政部

科学、创新、技术与电信部

劳动与社会保障部

社会发展与家庭津贴基金

国家气象研究所

哥斯达黎加社会保障基金

阿拉胡埃拉市各大学主校

据一家出口商工会估算,受税收及海关平台中断的直接影响,已损失了2亿美元。

4月底,哥国财政部长Elian Villegas接受采访时表示,Conti团伙成功入侵了海关管理平台,该平台有大量“敏感”纳税人信息记录。

财政部警告称,该国居民近期应警惕要求重置密码的网络钓鱼邮件。

多位商界领袖表示,他们担心自己的财务和个人信息被窃取、泄露给媒体或发送给政府官员。Conti团伙还威胁要泄露涉及政府官员及普通公民的大量敏感信息。

勒索团伙公布窃取数据,威胁将发动更猛烈攻击

同样在上周日(5月8日),Conti团伙公布了672 GB窃取数据中的大部分内容,还倒打一耙指责哥国拒绝支付赎金的行为。该团伙透露哥国已经决定寻求美国帮助,以应对此次勒索软件攻击。

图片

CONTI泄密网站上发布的相关消息

哥国上一任总统Carlos Alvarado Quesada曾表示,此次网络攻击意在“威胁该国总统换届期间的稳定”,并拒绝支付据报道高达1000万美元的赎金。

Conti成员嚣张嘲讽道,“哥国总统及其治下政府的选择简直可笑,其实支付赎金就能避免影响,真正保证国家安全。但你却转而求助于拜登和他的追随者,那个老傻瓜明显即将不久于人世。”

 “这次攻击的目标就是求财。未来还将组织更大的团队,开展更猛烈的攻击,哥斯达黎加只是小试牛刀。”

Conti威胁分子“UNC1756”宣称对此次攻击负责,并表示只有两名参与者,未得到其他国家的支持。

两天前,美国国务院公布了1500万美元悬赏计划,希望换取关于Conti团伙及关联成员的信息。

]]>
黑客正积极利用BIG-IP设备漏洞 配置错误引发危险等级9.8安全隐患 Wed, 18 May 2022 02:42:45 +0800 上周,F5 披露并修补了一个严重等级达到 9.8 / 10 分的 BIG-IP 漏洞。由于 iControl REST 身份验证配置错误,黑客可借此以 root 权限运行系统命令。据悉,iControl REST 是一组用于配置和管理 BIG-IP 设备的基于 Web 的编程接口,而 BIG-IP 则是该组织用于负载均衡、防火墙、以及检查和加密进出网络数据的一系列设备。

ArsTechnica 指出:BIG-IP 涵盖了超过 16000 个可在线发现的设备实例,且官方宣称有被财富 50 强中的 48 家所采用。

然而让 Randori 安全研究主管 Aaron Portnoy 感到震惊的是:

由于身份验证的设施方法存在缺陷,该问题竟使得能够访问管理界面的攻击者伪装系统管理员身份,之后便可与应用程序提供的所有端点进行交互、甚至执行任意代码。

鉴于 BIG-IP 靠近网络边缘、且作为管理 Web 服务器流量的设备功能,它们通常处于查看受 HTTPS 保护的流量 / 解密内容的有利位置。

过去一整天,Twitter 上流传的大量图片,揭示了黑客是如何积极在野外利用 CVE-2022-1388 漏洞,来访问名为 bash 的 F5 应用程序端点的。

其功能是提供一个接口,用于将用户提供的输入,作为具有 root 权限的 bash 命令来运行。更让人感到震惊的是,虽然不少概念验证(PoC)用到了密码,但也有一些案例甚至可在不提供密码的情况下运作。

对于如此重要的设备命令竟然被这样松散地处置,许多业内人士都感到大为不解,此外有报告提到攻击者可利用 webshell 后门来维持对 BIG-IP 设备的控制(即便修补后也是如此)。

在其中一个案例中,有 IP 地址为 216.162.206.213 和 209.127.252.207 的攻击者将有效载荷置入了 /tmp/f5.sh 的文件路径、从而在 /usr/local/www/xui/common/css/ 中部署基于 PHP 的 webshell 后门。

当然,这并不是安全研究人员被如此离谱严重的漏洞给惊到。比如不少人都提到,这种情况与两年前的 CVE-2020-5902 实在太过相似。

不过随着大家对于 CVE-2022-1388(RCE)漏洞的易得性、强大功能、以及广泛性有了更深入的了解,相关风险也正笼罩到更多人的头上。

如果你所在的组织机构正在使用 F5 的 BIG-IP 设备,还请着重检查并修补该漏洞、以减轻任何可能遇到的潜在风险。

有需要的话,可参考 Randori 热心提供的漏洞详情分析 / 单行 bash 脚本,并抽空详阅 F5 给出的其它建议与指导(KB23605346)。

]]>
俄罗斯电视台胜利日被黑 显示反战信息 Wed, 18 May 2022 02:42:45 +0800 胜利日庆祝活动是为了纪念二战中苏联击败德国纳粹。然而,今年观看胜利日报道的俄罗斯人结结实实吃了一惊。有人入侵了俄罗斯各电视频道的胜利日报道节目单,以之发布反战和亲乌克兰的信息。  

反战信息出现在普京向全国发表讲话之前

胜利日一大早,观众静候俄罗斯总统普京的讲话,但当地电视频道的节目表突然变换内容,显示以下信息:

  “你们的手上染着成千上万乌克兰人和数百名惨死儿童的鲜血。电视和当局都在撒谎。拒绝战争。”

关于这一事件,BBC Monitoring高级数字记者Francis Scarr也发表推文称,俄罗斯电视台在线节目表页面遭到了黑客入侵。每个节目的名称都被改成了同样的信息。

哪些频道受影响?

反战呼吁出现的时间就在俄罗斯人等待观看红场胜利日阅兵并聆听普京演讲之前。黑客攻击影响了在线观看MTS移动运营商、Rostelecom、NTV Plus和Wink播送频道的观众,而该事件影响了全体俄罗斯公民。

据BBC报道,包括NTV-Plus、Rossiya和Channel One在内的所有主要俄罗斯频道均受到影响。《华盛顿邮报》则声称,同样的反战信息也出现在了Yandex和Ru Tube等其他平台上。此外,该黑客事件还影响了儿童电视频道和俄罗斯国防部媒体红星电视台(Zvezda)。

胜利日上午俄罗斯电视台在线节目表页面被黑

每个节目的名称都被改为“你们的手上染着成千上万乌克兰人和数百名惨死儿童的鲜血。电视和当局都在撒谎。拒绝战争。”

黑客攻击是如何发生的?

路透社报道,目前尚不清楚反战信息是怎么出现在直播页面上的。但这并不是俄罗斯电视频道第一次被黑。正如信息安全媒体Hackread.com所报道的,2022年3月,激进黑客组织“匿名者”(Anonymous)就入侵了俄罗斯国家电视台,播放俄乌冲突中的血腥战争视频。

MTS西伯利亚代表表示:“俄罗斯电视广播频道遭到了网络攻击,订阅用户可能在广播网格中看到极端主义言论。我们的IT专家目前正在全力消除黑客攻击的影响,以便订阅用户能够尽快接收服务,观看电视节目和电影。”

乌克兰的回应

在普京发表讲话之前,乌克兰总统泽连斯基发布了一段视频来纪念胜利日,并发表了以下声明:

“那时我们赢了。如今我们也会赢!赫雷夏蒂克街(Khreshchatyk)将见证胜利游行——乌克兰的胜利。荣光归于乌克兰!”

]]>
构建城市混合威胁防御能力,应对重大自然灾害期间的网络犯罪 Wed, 18 May 2022 02:42:45 +0800 当下的新冠疫情环境可以用充足的证据向我们证明,网络犯罪分子有意愿且有能力利用重大事件引发的混乱局势破坏我们的生活秩序。疫情期间,医疗卫生体系一度成为最吸引网络犯罪分子的目标就足以证明他们的残忍无情。

由于气候变化等原因,重大自然灾害的发生概率变得越来越高,网络犯罪分子因此也将获得越来越多混水摸鱼的机会。为应对这样的局面,美国印地安纳州组织了一场为期三天的模拟演练。

模拟重大自然灾害期间的网络攻击 防御演练越来越常见

此次演练想定的背景,是高等级地震袭击印地安纳州某市并造成大范围破坏与混乱。期间,城市供水系统出现瘫痪情况。追查发现,引发瘫痪的并非地震,而是网络犯罪分子的勒索软件攻击。按演练组织方设想,这是网络犯罪分子正在利用本已相当严峻的局面。

组织方协调了来自医疗部门、国民警卫队、联邦政府、州政府以及地方政府的大约500名专业人员对此加以模拟应对,目的在于将人力发挥到极致,对网络攻击做出有效响应,确保关键基础设施不会遭受自然灾害之外的其他破坏。

此种类型的演练活动将变得越来越常见,因为美国联邦政府目前正在创建“多州信息共享与分析中心”以帮助州和地方政府有效地做好应对一系列数字威胁的准备。与此同时,美联邦政府还在全国范围内多次组织虚拟网络防御演练,其中大部分演练都将“自然灾害期间针对特定目标的网络攻击”的因素纳入其中。

通过演练提高重大自然灾害条件下的 网络攻击防御能力是必要的

众所周知,自然灾害等重大事件会导致局面的极度混乱,各种社会体系和资源的防护能力将因此遭到削弱。网络犯罪分子因此获得了实施针对性攻击的机会。

重大事件发生时,各类官员需要考虑的事情非常多,但网络攻击防御远非他们考虑的重点。所以,组织重大灾害条件下的网络攻击防御演练具有十分重要的价值。通过演练,相关人员和机构既可以认识到灾害期间遭受网络攻击的极高可能性,又能在此基础上制定针对性政策和方案,或对原有政策和方案进行升级,明确网络攻击发生时人员的职责,最终达到有效应对侵害力不断提高的网络攻击的目的。

2018年休斯顿市组织的一场类似演练效果较为突出。这场为期三天的演练由休斯顿市政府和美国陆军网络研究所共同组织,模拟了城市在遭遇飓风的同时受到网络攻击的场景(这是非常可能发生的场景——2017年时,休斯顿遭遇的飓风“哈维”就达到了四级,破坏力极强)。

休斯顿市市长西尔维斯特・特纳(Sylvester Turner)表示,“上述威胁和危险不仅会对我们的社区造成破坏,还可能影响到国家的关键基础设施。通过演练可以研究,如何预防、保护、缓解、响应这些威胁和危险并从中恢复过来。我们的城市是开展此类研究最理想的地方。休斯顿市政府与公立和私营部门均保持着长期的伙伴关系,对危险有足够的认识能力和应对措施,能够把确保公共安全作为最主要的目标,最大限度地减少本市经济活动遭受的破坏。”

有效沟通与合作是关键

模拟重大事件情况下的网络攻击防御演练可以把平时可能毫无联系的利益相关方组织在一起,锻炼其相互协调、共同应对的能力,意义和价值不可估量。比如休斯顿演练期间,来自医疗、应急、供水以及港口等部门的官员就聚集在一起,模拟演练了让城市运行重回正轨的能力。

不断举行的模拟演练产生了一个积极影响,是该城市的自然灾害响应训练项目均嵌入了网络安全防御的内容。演练让大家明白,必须加强部门间的有效沟通与合作。

尽管到目前为止尚未出现网络犯罪分子趁自然灾害发生之机实施网络攻击的事实,但网络安全专家认为这样的事情迟早会出现。究其原因,一方面是自然灾害发生的频率越来越高,另一方面则是网络犯罪分子利用一切可以利用的机会实施网络攻击的意愿非常强烈。

以往的事例证明,网络攻击对基础设施关键节点的破坏力是非常强的,政府官员的救灾尝试因此可能受到极大干扰。事实上,政府官员也非常了解网络攻击的危害性,认为供水、电讯、电力等关键基础设施会在网络攻击之下一个接一个地倒下,呈现出可怕的多米诺骨牌效应。

对自然灾害频发的地区来说,上述模拟演练更是非常有必要。所有演练都明确指向一个关键点——参与者的沟通与合作。

]]>
47名新冠确诊病例学生信息遭泄露,检察机关斩断买卖“利益链”! Wed, 18 May 2022 02:42:45 +0800 不久前,网上突然流传出一份名为“某某路某班人员信息表(家长一起转运)”的文档,文档中泄露了某学校一个班级包括新冠肺炎确诊病例在内的47名学生的姓名、身份证号、家庭住址、联系电话以及集中隔离的起止时间等详细信息。

疫情防控常态化下,一些涉疫人员因个人信息被泄露而遭受网络暴力。面对这样的情况,成年人尚且不敌,更遑论未成年人了。未成年人的个人信息一旦遭到泄露,后果不堪设想。

2021年11月1日起施行的个人信息保护法对未成年人个人信息予以特殊关注,将不满十四周岁未成年人的个人信息列入敏感个人信息范围,并要求个人信息处理者对此制定专门的个人信息处理规则,以法律手段为未成年人在数字时代的健康发展保驾护航。

个人信息保护法专门设立了公益诉讼条款,明确将个人信息保护纳入检察公益诉讼法定领域。检察机关如何依法履职,更好地会同社会各部门不断织密未成年人个人信息保护网,进而将保护未成年人法律法规落实落细?对此,全社会有着更高的期待。

涉疫未成年人名单为何被泄露

“经调查,47名学生的个人信息遭泄露,皆因有关工作人员在流调过程中未能遵守相关保密规定,而负责处理个人信息保护相关事务的部门也没能把好信息保护关。”今年3月8日,江苏省连云港市某区检察机关将涉疫未成年人个人信息遭泄露的线索移送当地公安机关、网信部门,督促其查明信息流出源头后,收到了这样的答复。

被泄露的未成年人信息很快被屏蔽、删除,但办案检察官仍忧心忡忡——新冠肺炎疫情防控期间,如何让未成年人免遭信息泄露带来的次生伤害?对此,3月9日,检察机关向所在区卫健委送达了行政公益诉讼诉前检察建议,建议其建立涉疫个人信息保管、传输、销毁制度,制定疫后个人信息处置预案,确保防疫期间多渠道、多主体收集的个人信息删除、销毁到位,保护重大公共卫生事件中的公民个人信息权益;严格区分个人信息处置权限,确保信息泄露事件发生后能迅速追根溯源,细化追责程序。很快,该区卫健委书面回复,表示将进一步完善涉疫个人信息管理制度,严格规范涉疫个人信息处置。为防止同类案件再次发生,某区检察院还推动该区疫情防控办制发了《关于在疫情期间做好个人信息安全管理工作的通知》。

3月15日,某区检察院向所在区教育局送达了检察关注函,督促学校对被泄露信息的学生开展定向跟踪保护。法治副校长也去了隔离点,为孩子们讲授法治课,一同收看战疫普法系列微视频,缓解孩子们的心理压力,助其隔离结束后顺利回归校园。

事实上,上述案件并不是江苏办理的第一起泄露未成年人个人信息案。2020年2月9日,一则《关于对陈某某发烧隔离事件的调查》的信息在张家港市各类微信群中被大量转发、评论。

参与疫情防控工作的张家港市检察院通过网络信息平台发现此线索后,迅速介入调查,查明泄露的信息截取自陈某某学校上报给该市教育局的调查报告,属于教育系统内部文件。张家港市检察院立即向该市教育局通报了有关情况,并于2020年2月14日发出《关于做好未成年人隐私保护工作的提示函》,建议教育行政部门查清事实,对相关责任人员进行批评教育,并全面开展排查,防止类似事件发生。接到提示函后,教育局积极与公安机关联系,删除有关信息,最大限度降低对未成年人的不良影响,并对有关责任人员进行了批评教育。同时,教育局健全完善了疫情排查发布有关工作制度,强化了对未成年人个人信息权益的保护。

念好信息脱敏处理“紧箍咒”

最高检近期编发的未成年人个人信息保护检察监督典型案事例中提到,2019年至2021年,浙江省杭州市某区教育局在某区政府门户网站政府信息公开栏目公布的信息中包含了未成年人姓名、身份证号、户籍所在地、房产地址等多项完整的个人信息,涉及未成年人4637人。

2021年11月,该区检察院在履职中发现上述线索后,立即开展监督工作,依法向区教育局送达行政公益诉讼诉前检察建议,要求及时撤回泄露未成年人个人信息内容的政府公开信息;制定专门的未成年人个人信息处理规则;严格审查政府信息公开内容,依法规范推进政府信息公开工作。教育部门随即作出相应整改。

“在政府信息公开等行政、司法履职过程中,未成年人个人信息保护工作不容忽视。”最高检第九检察厅检察官隆赟告诉记者,执法、司法机关要成为保护未成年人个人信息权益的“领航者”,通过严格执法、公正司法,向社会传递出打击、治理泄露未成年人个人信息行为的明确信号,以此推动社会、企业、个人更加重视未成年人个人信息保护。

未成年用户的信息安全如何保障,一直以来都是各方关注的焦点。2020年10月,江西省萍乡市检察院接到群众举报,称萍乡市部分学校安装的“智慧平安校园”系统存在泄露学生、家长个人信息的可能。

检察机关了解到,作为一款全市中小学通用的系统,“智慧平安校园”采用人脸识别技术防止非本校学生及教职工进入校园,但此系统的使用目的、方式和范围,信息存储的地点、期限和到期后的处理方式,家长和学生都无从知晓。经查证,系统确实存在个人信息泄露等安全隐患。

2021年4月23日,萍乡市检察院组织该市教育局、公安局、网信办以及负责系统生产运营的科技公司、学校代表、人民监督员开展了行政公益诉讼诉前磋商。该市教育局明确学校为信息收集的责任主体,设专人管理、专人负责,签订责任书;印发《萍乡市“智慧平安校园”系统个人信息保护管理制度》;督促科技公司制定了个人信息保护政策协议,并保障学生和家长的知情权;协同多家单位一起对“智慧平安校园”系统开展安全评估和攻防演练。

斩断买卖未成年人个人信息“利益链”

当前,未成年人个人信息遭泄露、被不当收集和使用,导致未成年人受到侵害等情形仍易发多发,其背后不乏利益驱动。

《2020年全国未成年人互联网使用情况研究报告》显示,2020年我国未成年网民达到1.83亿人,互联网普及率为94.9%。超过三分之一的小学生在学龄前就开始使用互联网,而且呈逐年上升趋势。

孩子的个人信息已成为市场上的“香饽饽”。不少家长持续接到各类教育机构的推销电话,电话中的推销人员对孩子的姓名、班级、学校信息了如指掌。而一些不法分子在获取儿童个人信息后,还会实施蹲点诱拐、电信诈骗等违法犯罪活动。更让人担忧的是,随着未成年人首次触网时间呈低龄化趋势,个人信息和隐私在网络上泄露的风险在不断增加。

“教育培训行业、网络业是未成年人个人信息泄露的重灾区。”隆赟表示,近期未检部门办理的涉教育培训行业未成年人个人信息保护类案件中,均涉及从业人员收集、买卖未成年人个人信息用于招生、宣传等。对于此类犯罪行为,检察机关始终依法严厉打击。

在河北省辛集市检察院办理的一起侵犯未成年人个人信息权益案件中,苏某利用工作之便,收集了辛集市区各小学、初中、高中学生信息27404条,卖给了索要信息的段某,非法牟利6028元。段某转手将其中的5746条信息卖给了想买生源信息的某培训学校负责人张某,非法牟利13180元。随后,苏某和段某还分别给了牵线搭桥者王某好处费600元和500元。2021年7月2日,该案被移送至辛集市检察院审查起诉。

2021年8月31日,辛集市检察院就该案组织召开听证会,与会人员一致认为,段某等人的犯罪行为侵害了众多未成年人的合法权益。同年12月23日,因张某购买的5746条信息中含重复信息,实际有效信息为4808条,未达到刑事案件的追诉标准,该院对张某作出刑事不起诉决定。同日,该院对段某、苏某、王某提起刑事诉讼,并对段某、苏某、王某、张某提起刑事附带民事公益诉讼。

今年3月18日,辛集市法院作出一审判决,采纳了检察机关认定的犯罪事实及量刑建议,支持了刑事附带民事公益诉讼全部诉讼请求。法院以侵犯公民个人信息罪分别判处段某拘役四个月,缓刑六个月,并处罚金;苏某拘役五个月,缓刑十个月,并处罚金。王某因具有自首情节,被单处罚金。同时,法院判处附带民事公益诉讼被告人段某、苏某、王某分别以其获利数额承担民事赔偿责任,张某删除全部所掌握的受侵害的未成年人信息,四人在国家级媒体上公开赔礼道歉。

“对于治理个人信息泄露难题,不仅要办好个案,更要注重建章立制、溯源治理。”辛集市检察院检察官孟娜介绍说,通过办理此案,检察机关进一步延伸监督触角,向辛集市教育局发出社会治理检察建议,督促其有针对性地加强对学校和校外培训机构学生信息保护工作的监管力度,将学生个人信息保护纳入日常监管范围,开展长效监管,从源头掐灭学生信息泄露风险。

最高检第九检察厅负责人告诉记者,当前各级检察机关积极参与社会治理,依法不断加大对教育培训、医疗卫生、网络企业等涉及未成年人个人信息收集处理领域的检察监督力度,以多种方式促进未成年人个人信息保护协同共治。下一步,检察机关将持续督促相关单位完善制度,强化管理,严格未成年人个人信息授权范围和操作权限,细化责任,同时着力推动凝聚社会共识,努力形成全社会共同保护未成年人个人信息的良好氛围。

]]>
《安联智库-网安周报》2022-05-09 Wed, 18 May 2022 02:42:45 +0800

1、宜家加拿大分公司通报数据泄露事件 影响约95000名客户

当地时间5月6日,宜家(IKEA)加拿大公司表示已经将该公司大约9.5万名客户的个人信息数据泄露事件通报给加拿大的隐私监管机构。宜家(IKEA)加拿大公司在致受影响客户的一封信中表示,可能已被泄露的数据包括客户姓名、电子邮件地址、电话号码和邮政编码。
宜家加拿大公司已通知加拿大隐私专员,因为有95000名加拿大顾客的个人信息出现在数据泄露事件中。这家来自瑞典的家具零售商说,它被告知一些顾客的个人信息泄露风险出现在"2022年3月1日至3月3日期间,宜家加拿大公司的一名同事进行的普通搜索"的结果中。
"该同事利用宜家加拿大公司的客户数据库获取了这些个人信息。我们可以确认,没有财务或银行信息被获取,"宜家加拿大公司在一份电子邮件声明中说,并补充说,"我们已经采取行动补救这种情况,包括采取措施防止数据被使用、储存或与任何第三方共享。"
2、DNS曝高危漏洞,影响数百万物联网设备

近日,Nozomi Networks发出警告,uClibc库的域名系统 (DNS) 组件中存在一个高危漏洞,编号为CVE-2022-05-02,该漏洞将影响所有版本uClibc-ng库的域名系统(DNS),因此,数百万台使用uClibc库的物联网设备都也将受到影响。

资料显示,uClibc库专门为OpenWRT设计的一个分支,OpenWRT 是用于各种关键基础设施部门的路由器的通用操作系统。

通过该漏洞,攻击者可以进行DNS中毒或DNS欺骗攻击,并将受害者重定向到恶意网站而不是合法网站。Nozomi Networks在报告中写到,该漏洞是由库生成的DNS请求中包含的事务ID的可预测性引起,可能允许攻击者对目标设备执行DNS中毒攻击。

3、机场、医院因Aruba和Avaya交换机有严重漏洞受威胁

Armis 在多个模型上实现 TLS 通信时发现了五个漏洞 切换 Aruba 和 Avaya。这些漏洞源于TLStorm漏洞(今年早些时候由Armis发现)中发现的一个类似的设计缺陷,并将 TLStorm 的覆盖范围扩展到可能数百万个额外的企业质量网络基础设施设备。

安全调查人员在Aruba(HP拥有)和Avaya(ExtremeNetworks拥有)的网络设备中发现了五个漏洞,这些漏洞可能允许恶意操作员在设备上远程执行代码。

成功攻击造成的损害范围从数据泄露和完整的设备接管到横向移动和压倒一切的网络分区防御。

分析师发现其他供应商的设备具有相同的安全隐患,并提供了受影响产品的清单:

Avaya ERS3500

Avaya ERS3600

Avaya ERS4900

Avaya ERS5900

Aruba 5400R 系列

Aruba 3810 系列

Aruba 2920 系列

Aruba 2930F 系列

Aruba 2930M 系列

Aruba 2530 系列

Aruba 2540 系列


4、高合行车记录仪被曝画面共享 客服:提车时是默认关闭的

5月6日早间消息,“高合行车记录仪疑似泄露隐私”登上微博热搜,引发网友热议,汽车博主 @李老鼠说车 称高合汽车行车记录仪可通过车主互联接收其他高合车辆信号,读取行车记录仪内容,存在信息安全隐患。

据沸点视频报道,6日晚,高合汽车客服就此事表示,“车车互联”一功能在提车时是默认关闭的,开启时会有明显提示,告知用户行车记录仪画面将被共享。并且,相关设定符合国家有关规定,不存在违反信息监管的情况。对于为何设置这一功能,该客服表示,主要是为特定场景客户提供支持。

从@李老鼠说车 曝光的视频可以看到,该博主在汽车的行车记录仪界面点击一个按钮,就出现了一个新的列表,该列表会展示其他车主的头像、昵称、距离等,点击任意一个,即可直接加载其行车记录仪画面。


]]>
高合行车记录仪被曝画面共享 客服:提车时是默认关闭的 Wed, 18 May 2022 02:42:45 +0800 5月6日早间消息,“高合行车记录仪疑似泄露隐私”登上微博热搜,引发网友热议,汽车博主 @李老鼠说车 称高合汽车行车记录仪可通过车主互联接收其他高合车辆信号,读取行车记录仪内容,存在信息安全隐患。

据沸点视频报道,6日晚,高合汽车客服就此事表示,“车车互联”一功能在提车时是默认关闭的,开启时会有明显提示,告知用户行车记录仪画面将被共享。并且,相关设定符合国家有关规定,不存在违反信息监管的情况。对于为何设置这一功能,该客服表示,主要是为特定场景客户提供支持。

从@李老鼠说车 曝光的视频可以看到,该博主在汽车的行车记录仪界面点击一个按钮,就出现了一个新的列表,该列表会展示其他车主的头像、昵称、距离等,点击任意一个,即可直接加载其行车记录仪画面。


]]>
数百万用户受影响,杀毒软件Avast中潜藏近10年的漏洞被披露 Wed, 18 May 2022 02:42:45 +0800 5月5日,SentinelLabs 发布报告,显示他们曾在知名防病毒产品Avast 和 AVG (2016 年被 Avast 收购)中发现了两个存在时间长达近10年之久的严重漏洞。

这两个漏洞被跟踪为 CVE-2022-26522 和 CVE-2022-26523,存在于名为 aswArPot.sys 的反 rootkit 内核驱动程序中,该驱动程序于 2012 年 6 月的 Avast 12.1 版本中引入,其问题的根源来自内核驱动程序中的套接字连接处理程序,可允许攻击者提升权限并禁用防病毒软件,甚至还会造成系统蓝屏、死机。

由于这些漏洞的性质,它们可以从沙箱中触发,并且可能在除本地权限提升之外的上下文中被利用。例如,这些漏洞可能被用作第二阶段浏览器攻击的一部分,或执行沙盒逃逸。

SentinelOne 于 2021 年 12 月 20 日报告了这些漏洞,Avast 在 2022 年 2 月 8 日发布的防病毒版本 22.1 中已对其进行了修复,目前为止还没有迹象表明这些漏洞已被广泛利用。但不可否认,由于这两个漏洞已“潜伏”了近10年之久,受影响的用户数量可能已达数百万。

]]>
宜家加拿大分公司通报数据泄露事件 影响约95000名客户 Wed, 18 May 2022 02:42:45 +0800 当地时间5月6日,宜家(IKEA)加拿大公司表示已经将该公司大约9.5万名客户的个人信息数据泄露事件通报给加拿大的隐私监管机构。宜家(IKEA)加拿大公司在致受影响客户的一封信中表示,可能已被泄露的数据包括客户姓名、电子邮件地址、电话号码和邮政编码。

宜家加拿大公司已通知加拿大隐私专员,因为有95000名加拿大顾客的个人信息出现在数据泄露事件中。这家来自瑞典的家具零售商说,它被告知一些顾客的个人信息泄露风险出现在"2022年3月1日至3月3日期间,宜家加拿大公司的一名同事进行的普通搜索"的结果中。

"该同事利用宜家加拿大公司的客户数据库获取了这些个人信息。我们可以确认,没有财务或银行信息被获取,"宜家加拿大公司在一份电子邮件声明中说,并补充说,"我们已经采取行动补救这种情况,包括采取措施防止数据被使用、储存或与任何第三方共享。"

该公司表示,它已经向加拿大隐私专员办公室通报了这一漏洞,并已采取措施通知受影响的客户。

宜家加拿大公司还表示,它已经审查了内部程序,试图防止今后发生类似事件。顾客不必采取行动,但对个人信息保持警惕并注意可疑活动始终是有必要的。

该公司说:"重要的是要知道,宜家永远不会主动向你索要信用卡信息,我们建议向当地政府报告任何可疑的活动。顾客如有疑问或属于该漏洞的一部分,可致电1-800-661-9807或privacy@ikeaservice.ca,联系宜家加拿大

]]>
网络攻击致使汽车租赁巨头全球系统中断,业务陷入混乱 Wed, 18 May 2022 02:42:45 +0800 国际大型汽车租赁公司Sixt在全球110多个国家/地区拥有2000多个业务点。由于突然来袭的网络攻击,致使其业务发生临时中断。

Sixt公司表示,他们4月29日(周五)在IT系统上检测到可疑活动,并很快确认自己遭受到网络攻击。

这家总部位于德国的公司宣称,事件“在早期得到控制”,而且已经在外部专家的协助下开展调查。“根据公司的标准防范措施,我们立即限制了对IT系统的访问,同时启动了预先规划好的恢复流程。”

但IT系统被限制访问,导致了Sixt公司的客户、代理和业务点发生业务中断。只有对业务连续性至关重要的系统仍保持运行,比如主网站和应用程序等。公司称,此次攻击对公司运营与服务的影响已经被降至最低。

有德国媒体报道,由于系统故障,从周五早上开始,大多数汽车预定都是通过笔和纸进行的。

有客户打电话给该公司服务热线,听到录音消息称,“由于技术问题,我们暂时无法联络,只能延迟处理邮件查询消息。”

疑似勒索软件攻击

该公司并未公布任何其他信息,但据猜测此次事件可能属于勒索软件攻击。

外媒SecurityWeek已经查看了多个主要勒索软件团伙的网站,但尚未发现有组织宣称,对此次Sixt攻击事件负责。按以往经验来看,这些网站上列出的大多是未在期限内支付赎金的受害者,所以Sixt的名字也许要到本月晚些时候才会出现在这些网站当中。

此外,受害企业可能认为已经在早期阶段阻止了勒索攻击,但恶意黑客在部署文件加密恶意软件时,往往已经窃取到了大量数据。

网络安全行业和政府一直在努力保护组织免受勒索软件攻击。但勒索攻击是一项高利润的业务,某些网络犯罪团伙仍在疯狂肆虐,借此赚取数百万美元巨额收益。

尽管行业和政府努力破坏勒索软件犯罪活动,但新的勒索软件攻击仍然层出不穷,老牌团伙似乎也依旧蓬勃发展。

]]>
DNS曝高危漏洞,影响数百万物联网设备 Wed, 18 May 2022 02:42:45 +0800 近日,Nozomi Networks发出警告,uClibc库的域名系统 (DNS) 组件中存在一个高危漏洞,编号为CVE-2022-05-02,该漏洞将影响所有版本uClibc-ng库的域名系统(DNS),因此,数百万台使用uClibc库的物联网设备都也将受到影响。

资料显示,uClibc库专门为OpenWRT设计的一个分支,OpenWRT 是用于各种关键基础设施部门的路由器的通用操作系统。

通过该漏洞,攻击者可以进行DNS中毒或DNS欺骗攻击,并将受害者重定向到恶意网站而不是合法网站。Nozomi Networks在报告中写到,该漏洞是由库生成的DNS请求中包含的事务ID的可预测性引起,可能允许攻击者对目标设备执行DNS中毒攻击。

目前,uClibc库被广泛应用于各大厂商,包括Linksys、Netgear和Axis,或嵌入式Gentoo等Linux发行版。安全专家尚未透露该漏洞的细节,因为供应商暂时没有解决该问题。

Nozomi的研究人员通过查看物联网设备在其测试环境中执行的DNS请求跟踪发现了这个问题。他们从Wireshark 的输出中确定执行DNS请求的模式,事务ID首先是递增的,然后重置为0x2值,然后再次递增。请求的事务ID是可预测的,这种情况可能允许攻击者在某些情况下发起DNS中毒攻击。

研究人员分析了可执行文件,发现创建DNS请求的问题出现在C标准库uClibc 的0.9.33.2版本。

Nozomi报告中写到,研究人员通过源代码审查发现,uClibc库通过调用位于源文件“/libc/inet/resolv.c”中的内部“__dns_lookup”函数来实现DNS请求。鉴于交易ID的可预测性,攻击者想要利用该漏洞,就需要制作包含正确源端口的DNS响应,并赢得来自DNS服务器的合法DNS响应的竞争。由于该函数不应用任何显式源端口随机化,如果操作系统配置为使用固定或可预测的源端口,则很可能以可靠的方式轻松利用该问题。

如果操作系统使用源端口的随机化,则利用该问题的唯一方法是通过发送多个DNS响应,暴力破解16位源端口值,同时赢得与合法响应的竞争。

最后,Nozomi报告总结道,截止该报告发布时,该漏洞仍未修复。开发者似乎无法修复该漏洞,自2022年1月以来,CERT/CC 向200多家受邀参与VINCE案例的供应商披露了该漏洞,并在公开发布前30天通知他们。

]]>
别信!北京出现花钱解除健康宝弹窗诈骗 200元打水漂 Wed, 18 May 2022 02:42:45 +0800 近日,北京疫情严峻,部分人突然收到健康宝弹窗,需要进行“三天两检”等操作。

与此同时,网络上出现“有偿解除健康宝弹窗”的“服务”,称只要花200元就可以指导高效解除弹窗的方法,未解除还能退费。

实际上,所谓的指导就是一场骗局。其实,只要按规定去做核酸,三天两检弹窗就会解开,根本不需要指导。

据北京晚报报道,家住外地、因健康宝弹窗无法来京的林女士交了200元“指导费”,需要提供姓名、电话、核酸证明、行程码等信息。

由于林女士当时没有48小时内核酸证明,便和对方约定做完核酸再进行指导,然而,很快林女士的健康宝弹窗就因已经满足14天内无涉疫县(市、区、旗)旅居史等进返京规定而自行解开了。

负责疫情防控工作的社区工作人员表示,出现健康宝弹窗后不要慌张,只要根据防疫相关规定完成规定流程,及时报告、及时做核酸检测,就可以解除弹窗。

“现在弹窗4出现的情况比较多,也就是未在规定时间内完成核酸检测,这种情况下,只要立即完成核酸检测,健康宝弹窗会在查询到本人核酸检测阴性报告后自动解除,如果没有自动解除,可以联系核酸检测机构及时上传检测结果。”

]]>
机场、医院因Aruba和Avaya交换机有严重漏洞受威胁 Wed, 18 May 2022 02:42:45 +0800 Armis 在多个模型上实现 TLS 通信时发现了五个漏洞 切换 Aruba 和 Avaya。这些漏洞源于TLStorm漏洞(今年早些时候由Armis发现)中发现的一个类似的设计缺陷,并将 TLStorm 的覆盖范围扩展到可能数百万个额外的企业质量网络基础设施设备。

安全调查人员在Aruba(HP拥有)和Avaya(ExtremeNetworks拥有)的网络设备中发现了五个漏洞,这些漏洞可能允许恶意操作员在设备上远程执行代码。

成功攻击造成的损害范围从数据泄露和完整的设备接管到横向移动和压倒一切的网络分区防御。

网络安全公司Armis的安全研究人员专门研究连接设备,将漏洞集命名为“TLStorm2.0”,因为该发现属于同一 问题类别 滥用 NanoSSL TLS 库,他们报告了流行的 APC UPS 模型。

分析师发现其他供应商的设备具有相同的安全隐患,并提供了受影响产品的清单:

Avaya ERS3500

Avaya ERS3600

Avaya ERS4900

Avaya ERS5900

Aruba 5400R 系列

Aruba 3810 系列

Aruba 2920 系列

Aruba 2930F 系列

Aruba 2930M 系列

Aruba 2530 系列

Aruba 2540 系列

交换机中的外部库

网络交换机是企业网络中的常见元素,有助于实施分段,这是一种对更大环境至关重要的安全实践。

它们的作用是充当网桥,将设备连接到网络并使用数据包交换和 MAC 地址 服用 και 数据推广 在目标设备上。

使用外部库通常是一种方便且具有成本效益的解决方案,但有时会伴随应用程序错误和 安全问题.

这种做法激励他们黑客查看这些微小的构建块以发现潜力可利用的缺陷.

以 TLStorm 2.0 为例,问题的原因是供应商使用的“胶合逻辑”代码不符合 NanoSSL 指令,导致可能出现 RCE(远程代码执行)。

在 Aruba 中,NanoSSL 用于 Radius 身份验证服务器和强制门户系统。它的应用方式可能导致攻击者数据的堆溢出,这些数据被监控为CVE-2022-23677 和 CVE-2022-23676。

在 Avaya 中,库实现引入了三个缺点:TLS 碎片整理堆溢出(CVE-2022-29860)、HTTP标头分析堆溢出(CVE-2022-29861) 和HTTP POST请求管理溢出。

问题源于缺乏错误检查,缺少验证步骤和不适当的边界检查。

这些问题不在于图书馆本身,而在于它的方式 实施的 供应商。

攻击场景

Armis提出了两种基本的利用场景,允许强制门户逃脱或网络分段闯入,这为 网络攻击 重大影响。

在强制门户场景中攻击者可以访问有限网络资源的网络,该资源需要绕过身份验证,付款或其他形式 访问令牌. 这些强制门户网站常见于连锁酒店、机场和商务中心。

通过利用TLSstorm2.0攻击者可以在交换机上远程执行代码,绕过强制门户限制甚至完全禁用它。

在第二种情况下,攻击者可以利用漏洞来破坏网络分段并获得 访问 在计算机网络的任何部分,从“客户”空间自由旋转到“公司”部分。

]]>
西班牙政府证实首相及防长手机被通过“飞马”间谍软件窃听 Wed, 18 May 2022 02:42:45 +0800 法新社消息,西班牙政府2日表示,该国首相桑切斯和国防部长罗伯斯的手机在一次“非法的、外部的 ”干预中被通过“飞马”间谍软件窃听。报道还称,西班牙首相府、议会关系与民主记忆大臣费利克斯·博拉尼奥斯·加西亚也证实说,“这不是推测,是非常严重的事实,希望司法部门进行调查。”

去年7月,这款可用来监视各界人士行踪的以色列间谍软件也被多家媒体曝光,在国际社会引起轩然大波。据英国广播公司(BBC)报道,以色列软件监控公司NSO向一些国家售卖了一款名为“飞马”的手机间谍软件,用以监控记者、律师、人权活动人士甚至各国的相关政要。

报道称,“飞马”软件可以轻而易举地入侵苹果和Android系统,并轻松截取手机里的各类讯息、图片、视频、电邮内容、通话记录,甚至可以秘密开启麦克风进行实时录音。报道还说,NSO公司的“飞马”软件“可能是目前最强大的间谍软件”。虽然遭多方调查,但这家公司对此予以否认。

]]>
报道称SafeGraph正在出售访问堕胎诊所的人的位置数据 Wed, 18 May 2022 02:42:45 +0800 根据Motherboard购买的几组数据,一家定位数据公司正在出售与访问提供堕胎服务的诊所有关的信息,包括计划生育设施,显示访问这些地点的人群来自哪里,他们在那里停留了多长时间,以及他们随后去了哪里。

在泄露的最高法院意见草案中, Alito法官表示,法院准备废除罗伊诉韦德案的裁决,该案是数十年来为寻求堕胎者提供联邦保护的先例,在此背景下,数据销售显然更为重要。如果该草案真的成为一项正式决定,它将立即在至少13个州完全或部分禁止堕胎权。

数据收集如何与堕胎权相交,或缺乏堕胎权,可能会在该草案之后聚集更多关注。该国还可能出现针对寻求或提供堕胎者的私刑活动或监视和骚扰形式的增加。由于任何人都可以在公开市场上获得这些汇总的位置数据,客户也可能包括反堕胎的人。反堕胎团体已经相当善于利用新技术来实现其目标。2016年,一位与反堕胎和基督教团体合作的广告CEO向坐在计划生育诊所的女性发送了有针对性的广告,试图改变她们堕胎的决定。位置数据的出售引起了人们的疑问,为什么公司要专门出售基于堕胎诊所的数据,以及他们是否应该在购买这些信息时引入更多的保障措施,如果要出售的话。

密切跟踪数据销售市场的网络安全研究员Zach Edwards在审查数据后,在一次在线聊天中告诉Motherboard:“拥有堕胎诊所,然后让人购买人口普查追踪人们从哪里来访问该堕胎诊所,这太危险了。这就是你如何对跨越州界进行堕胎的人进行泄密--你如何对提供这种服务的诊所进行泄密。”

例如,在得克萨斯州几乎全面禁止堕胎之后,得克萨斯州寻求堕胎的人越来越多地不得不前往其他州,那里的堕胎服务更容易获得他们需要的护理。随着罗伊案的失败,那些居住在保守州并有能力的人可能会开始旅行去做堕胎。位置数据可能会影响到是否以及如何识别这种旅行,这使得监管机构和立法者更迫切需要考虑如何收集、使用和出售位置数据。

据悉,出售这些数据的公司是SafeGraph。SafeGraph最终从安装在人们手机上的普通应用程序中获取位置数据。通常情况下,应用程序开发人员在他们的应用程序中安装代码,称为软件开发工具包(SDK),将用户的位置数据发送给公司,以换取开发人员的付款。有时,应用程序用户并不知道他们的手机正在收集和发送位置数据给第三方,更不用说Motherboard报道的一些更危险的使用情况,包括将数据传输给美国军事承包商。计划生育协会不是进行数据收集的组织,也没有从中获得经济利益。

SafeGraph将“Planned Parenthood”(计划生育)归为可以追踪的“品牌”,Motherboard购买的数据包括美国600多个计划生育机构的地点。这些数据包括4月中旬这些地点的一周的位置数据。SafeGraph称该位置数据产品为 “模式”。总的来说,这些数据的成本刚刚超过160美元。并非所有的计划生育机构都提供堕胎服务。但Motherboard核实,购买的数据集中包括的一些设施确实提供。

Motherboard还在SafeGraph网站上搜索了“计划生育”,得到的相关结果是“计划生育中心”,然后人们可以购买相关的数据。

根据SafeGraph的网站,SafeGraph的模式数据旨在回答诸如 “人们多长时间去一次,停留多长时间,他们来自哪里,他们还去哪里等”的问题。SafeGraph计算出它认为一个地点的访客居住在哪里,直到人口普查区一级。该公司的文件显示,SafeGraph通过分析电话通常在哪里过夜来实现这一目标。

SafeGraph的数据是汇总的,这意味着它没有明确指出某个设备移动到哪里。相反,它专注于设备群的移动。但是,研究人员一再警告说,在所谓的匿名数据集中,可能会有个人被揭穿。

Motherboard购买的SafeGraph数据集的某些部分,每条记录处理的设备数量非常少,理论上使这些人的匿名化更容易。有些人只有四或五台设备访问该地点,SafeGraph通过该人是否使用Android 或iOS设备来过滤数据。

关于显示人们根据其人口普查区前往某个诊所的数据,可能跨越州界,Edwards说:“SafeGraph将成为反选择激进分子试图针对‘州外诊所’提供医疗服务的首选武器。”密苏里州正在考虑制定一项法律,规定在其他州“帮助或教唆”堕胎为非法。

追踪堕胎诊所的访客长期以来一直是显示位置数据所带来的威胁的主要内容。在2018年的一项调查中,《纽约时报》拿着位置数据,跟踪了里面的多人。报道称,其中一个被跟踪的人访问了一个计划生育设施。

最近,一家以基督教为重点的媒体《 The Pillar》发表了一篇文章,利用位置数据追踪一位特定牧师的行踪,然后在未经他同意的情况下公开揭露他可能是同性恋。

计划生育协会没有对评论请求作出回应。SafeGraph也没有回应评论请求,其中包括该公司是否会继续出售与堕胎诊所有关的位置数据这一具体问题。

]]>
5女子刷抖音做试衣员被骗58万 Wed, 18 May 2022 02:42:45 +0800 近日,多位网友反映,自己刷抖音应聘兼职试衣员被骗钱,且经历相似。

她们称,她看到抖音上试衣员的广告,留下自己的联系方式,对方加了她微信,之后就开始刷单做任务,最终一步步被骗钱。

她们之中有全职宝妈、单亲妈妈、待业女青年等,大部分人家庭条件一般,发觉被骗后有人一度想跳楼轻生,她们表示,她们非常信任抖音,希望抖音能严格审核,承担监管职责。


]]>
官方通告,北京健康宝遭境外网络攻击 Wed, 18 May 2022 02:42:45 +0800 4月28日,北京市第318场新冠病毒肺炎疫情防控工作新闻发布会召开。

会上,北京市委宣传部对外新闻处副处长隗斌表示,4月28日,北京健康宝使用高峰期遭受网络攻击。经初步分析,网络攻击源头来自境外,北京健康宝保障团队进行及时有效应对,受攻击期间,北京健康宝相关服务未受影响。

这已经不是北京健康宝第一次遭遇境外网络攻击,在北京冬奥会、残奥会期间都出现了类似的攻击事件。

和现实世界我国和平的局面不同的是,网络空间一直都处于不平静的状态,来自境外的网络攻击从未停止。

例如2020年以来,国家安全机关工作发现,我国有关电信运营商、航空公司等单位内网和信息系统先后多次出现越权登录、数据外传等异常网络行为。后经技术调查发现,相关攻击活动是由境外某情报机关策划,在攻击中使用了多种先进的网络武器。

中国国家互联网应急中心日前检测发现,自2022年2月下旬以来,境外组织通过控制我国的计算机的方式,间接对俄罗斯、乌克兰、白俄罗斯等进行网络攻击。在外交部发言人的例行记者会上,赵立坚在回答与这件事相关的评论时,也针对此前某些美国政治家对俄进行网络攻击的呼吁及发现的情况进行呼吁,敦促美国政府采取更负责的态度,停止类似的恶意网络活动。

随着我国正在加速进行数字化转型,网络安全风险也随之增加,此时我们更应强化我国网络安全整体实力,提高网络安全意识,共同筑牢维护国家安全的坚固防线。

]]>
可口可乐161GB数据被盗 包括金融数据、密码和商业账户等 Wed, 18 May 2022 02:42:45 +0800 俄罗斯关联的黑客组织 Stormous 声称已成功入侵可口可乐公司,并公开售卖大量数据。Stormous 表示窃取了 161GB 的财务数据、密码和账户,然后以 644 万美元或 1600 万个比特币的价格出售这些数据。

Stormous 在宣布成功入侵之前,曾在 Telegram 上发起投票,询问它应该针对哪家公司,而可口可乐公司获得了最多的选票。据 CISO Advisor 报道,被盗文件中包括金融数据、密码和商业账户。

Stormous 是黑客世界中的一个相对新成员,但在今年年初获得了关注。他们说他们从Epic Games 窃取了 200GB 的数据,后来当它宣布支持俄罗斯入侵乌克兰时成为头条。目前仍不清楚该组织的总部在哪里,The Record 报道说它的大部分信息都是用阿拉伯语。

]]>
社交巨头少赚160亿美元!苹果隐私新政让用户赢了 Wed, 18 May 2022 02:42:45 +0800 苹果隐私新政实施一年了,有何影响?

时间回到2021年4月28日,苹果iOS14.5系统实施新的隐私政策。

正如CEO库克所表示地那样,苹果改变隐私政策,用户可以自行选择个人数据是否被跟踪。

库克说:「在苹果,我们一直相信,你应该控制个人数据——你用它做什么,你与谁分享,应该由你决定。」

「现在,iOS14.5系统应用的追踪透明化,给你是否分享数据的选择权。」库克这样表示。

然而,1年之后,作为全球科技企业市值第1的苹果公司,实施这个隐私新政对其它科技公司有何影响?

隐私新政的影响

去年10月,在苹果隐私新政推出后不到半年,Lotame公司对其影响进行了评估。

当时,Lotame统计了Snap、Facebook、Twitter、YouTube这四家社交媒体。

鉴于每个平台仍在以相当大的年率增长,苹果隐私新政看似没有什么影响,但是,影响很可能反映在未来的增长放缓,而不是营收的直接减少。

针对苹果隐私新政对这四家公司的2022年收入造成影响,Lotame作出了预估。

其中,这一变化将给Meta收入带来128亿美元的损失,降幅为9.7%。

当时,Meta警告称,苹果的隐私改革将给它带来大约100亿美元的降幅,显然,自身预估的影响比Lotame的预估影响乐观些。

Lotame估计,2022年,专注于移动业务的Snap营收将因此减少9.6%,约为5.46亿美元;YouTube将减少22亿美元,占其收入的6.5%,造成推特收入影响3.23亿美元,占其收入的5.4%。

其实,这几家公司自身对苹果隐私新政的预估却认为,影响比较有限。

Twitter此前表示,ATT的影响是「温和的」。

因为,与许多同行相比,Twitter更注重品牌广告——旨在向大量受众推销品牌,而不是引发直接反应。

YouTube也表示,苹果用户选择退出跟踪将对收入产生「适度影响」。

现在看来,关于苹果隐私新政的影响,有三种态度:

Lotame估计,这四家社交媒体损失达160亿美元;四家公司自身估计稍显乐观,认为影响有限;苹果公司认为,新政不是针对这些公司,而是为了限制遵守对用户的隐私承诺。

社交媒体广告与用户数据

隐私新政实施前,苹果对于用户的追踪,可以精准地了解用户喜好,结合注册信息、浏览数据等各方面数据,进行用户画像。

这样,广告投放就可以精准进行,从而提升有效性。

然而,基于用户对于隐私保护的要求,苹果在去年的今天,实施了新的隐私保护政策。

2021年4月27日,苹果发布iOS 14.5ATT(App Tracking Transparency)隐私新政,承诺苹果将不再任意追踪用户数据,用户数据是否公开自行决定。

当时,苹果CEO库克拒绝评论这项功能对其它公司的影响,但他表示,发布隐私新政是为了让用户自行选择。

库克说:「我们一直致力于为用户提供力量,我们并不是在做决定,我们只是在提示他们是否想要在应用中被跟踪。」

库克表示,如果应用程序开发人员得到用户的信任,更大比例的用户可能会允许跟踪。

然而,由于大量用户阻止了这种跟踪,广告商和技术平台便失去了价值信号和判断依据。

这一变化迫使广告商重新评估自己的营销方式,甚至将广告费用进行转移,比如线下广告,不再依赖苹果的追踪标识符。

广告测量公司AppsFlyer负责人Shani Rosenfelder说:「我们确实看到了苹果市场份额的巨大增长,成为了「头号玩家」,超过过去具有主宰地位的Facebook。」

AppsFlyer报告显示,86%的苹果iOS设备运行了最新版本,用户可以看到ATT弹窗提示,其中,38%的人选择加入,62%的人选择退出。

Rosenfelder说:「我们看到媒体的成本正在增加,因为同意跟踪对于媒体很有价值。」

作为回应,Facebook在开发的应用程序中构建了自己的系统,以减少了第三方跟踪的需要。

同样,其它的科技公司也在大力利用电子商务,将其作为一种在自己平台进行销售的方式,而无需依赖第三方进行衡量。

]]>
地缘政治引爆欧洲风电安全!已有三家风能公司遭遇网络袭击 Wed, 18 May 2022 02:42:45 +0800 自俄乌冲突全面爆发以来,已有三家欧洲风能公司遭遇网络攻击,这引发了人们的警觉。欧美制裁俄罗斯能源入口使得风电行业受益,站队俄罗斯的黑客组织试图在这一行业制造混乱。

遭受攻击的企业没有公开将黑客行为,归因于特定犯罪团伙或国家,俄罗斯也一直否认发动过相关网络攻击。

但布鲁塞尔行业组织WindEurope的发言人Christoph Zipf认为,从攻击时间上看,很难相信这些恶意行为与俄乌冲突毫无关联。

安全专家称,这类针对工业设备的严重网络攻击并不常见,需要提前搜集大量知识以做好筹备。

已有三家欧洲风能公司被黑

近期陆续遭遇网络攻击的3家风能公司均位于德国。

4月中旬,专门从事风力涡轮机维护的Deutsche Windtechnik AG公司遭遇黑客攻击。该公司表示,攻击发生之后,德国约2000台风力涡轮机的远程控制系统瘫痪了一天左右。

涡轮机制造商Nordex SE表示,他们在3月31日发现一起安全事件,导致IT系统被迫关闭。曾宣布支持俄罗斯的Conti勒索软件团伙本月放话称,对此次攻击负责。(详情见:为应对网络攻击,德国风电设备巨头Nordex关闭IT网络)

另一家涡轮机制造商Enercon GmbH提到,今年2月,他们在一起针对某家卫星通信企业的攻击中沦为“附带受害者”,而且此次攻击“俄罗斯对乌发起军事行动的时间完全相同”。这次攻击破坏了Enercon公司共5800台风力涡轮机的远程控制系统,好在设备仍能在自动模式下保持运行。(详情见:美国“卫星网中断”事件复盘:管理后台遭入侵,数万Modem被下发破坏指令)

Deutsche Windtechnik遭到勒索软件攻击

Deutsche Windtechnik共拥有约2000名员工,公司主管Matthias Brandt表示,如今可再生能源行业很可能成为黑客们的主要攻击目标,“我们需要制定更高的IT安全标准,因为俄乌危机已经用事实证明,可再生能源未来正在取代石油和天然气。”

Brandt指出,公司遭到网络攻击的是内部IT系统,而非涡轮机工业控制系统。

4月12日早6点左右,他突然接到技术部门的来电,意识到系统已经无法正常运行。一两个小时后,IT人员驱车前往德国北部一处数据中心,确认Deutsche Windtechnik昨晚已经遭遇勒索软件攻击。

Brandt回忆道,机器上显示的代码如同象形文字,称服务器已遭恶意软件加密。当天晚些时候,员工们还发现了一份黑客留下的电子笔记,指示Deutsche Windtechnik与他们联系以恢复数据。不过到第二天,Deutsche Windtechnik已经成功了解决大部分问题,所以压根没跟黑客团伙联系。

Brandt提到,约90%的Deutsche Windtechnik员工邮件账户已经恢复。但出于谨慎考虑,公司IT部门仍决定关闭部分企业软件,并用几周时间慢慢上线各项功能。

他表示,“客户和消费者们可能感受不到,但这背后其实有着巨大的工作量。”目前还不清楚此次事件会给Deutsche Windtechnik公司造成多大损失。

风电行业将成为 网络攻击主要目标

埃森哲公司的Guinn指出,随着欧洲国家逐渐摆脱对俄罗斯传统化石燃料的依赖,接下来的替代能源将主要来自德国和北海区域的风电场。而亲俄派黑客肯定会把这些替代能源企业当成攻击目标,“这将是一场漫长的对抗——骚扰、蚕食,就如同棋盘上的厮杀。”

挪威风险管理公司DNV GL网络安全常务董事Trond Solbert表示,只要成功感染风力涡轮机的工业控制设备,黑客就能操纵制动器以阻止正常发电。这可能会扰乱客户服务体验,影响运营收入。Solbert还说,对当地互联网连接服务的攻击,往往也能干扰到风电农场的远程监控系统。

]]>
新型互联网骗局在美国出现,谷歌苹果都上当 Wed, 18 May 2022 02:42:45 +0800 一种新型互联网骗局近日引发美国监管机构高度重视:居心叵测的网络骗子假借执法机关名义,堂而皇之地向大型互联网公司索取用户资料,再利用这些隐私信息,以极其低劣的手段对网络用户实施骚扰、勒索甚至性敲诈,并动用危险手段坑害拒不配合者。据悉,受害者多为社会弱势人群,其中已经有人付出生命代价。

据彭博社27日报道,多名执法部门官员及互联网业内人士透露,“扮警行骗”的套路近几个月来在美国频发,“中招”的包括苹果、谷歌和推特等知名互联网公司。作案过程中,黑客会通过网络手段攻破执法机关的电子邮件系统,并借助其平台伪造“紧急情况用户数据征调申请”等官方函件,再将伪造文件出示给社交媒体公司,要求后者透露特定的用户信息,包括用户姓名、电子邮件、IP地址、家庭住址等,甚至还涉及更为详细的个人隐私。

取得用户私密信息后,不法分子便会对目标账号进行肆意骚扰和破坏,并对受害者提出各种非分要求——如勒索钱财或实施性剥削。此前,不少女性和未成年受害者受到了不法分子的胁迫,被要求提供不雅照片或视频。如拒绝要求,受害者可能遭到一系列报复:比如个人信息被发布到“人肉搜索”网站,受害者从此面临无休止的骚扰;若是发出不雅内容,不法分子反而会变本加厉,并威胁受害者“不服从就把照片发给你的亲友或领导”。在一些极端案例中,有受害人被迫在身体上刻下犯罪分子的姓名并拍成照片,以满足后者的变态心理。

另一种典型的报复手段是“报假警”,即捏造杀人放火、炸弹威胁一类严峻的警情,调动执法人员前往受害者住所进行突击调查。这种手段的社会危害性更为严重,有受害者甚至不幸丧生。《纽约时报》举例称,2020年4月,60岁的田纳西州男子赫林因拒绝出售自己名为“田纳西”的推特账号而遭到黑客报复,后者报警谎称赫林住所有人被谋杀。而当警方持枪登门调查时,受惊的赫林心脏病突发,不幸离世。

2020年8月,“黑人的命也是命”运动领导人梅琳娜·阿卜杜拉遭到报复,不法分子报假警称她在洛杉矶的住宅内挟持人质,好在此次警方执法行动比较克制,未造成严重后果。2017年12月,美国加州黑客泰勒·巴瑞斯在网络游戏中与人发生争执,威胁后者要上门“理论”。他依据对方提供的假地址报了假警,警察随后到指定地点,开枪射杀了无辜民众。巴瑞斯最终被判处20年监禁。

对于这种最新网络犯罪套路,美国执法部门和各科技公司已经展开调查。彭博社称,相比之前的网络诈骗,这种假扮国家执法机关的新套路令受害者防不胜防,在某种程度上也凸显了美国制度层面的一些漏洞。据了解,美国执法部门出示的紧急征调类文件通常用于绑架、自杀、谋杀等危情,往往没有法院签字授权,因此更容易伪造。不过此前调查显示,确实有犯罪分子曾伪造法官签名,据说,在黑市上,这种假签名最低只卖10美元。

严格来说,因紧急征调申请不具备实际法律效力,各科技公司其实可以不予理会。但多数企业出于对官方的信任及合作诚意,往往会积极配合。公开资料显示,苹果公司对该类征调函件的配合度高达93%,脸书所属的社交网络公司Meta配合度也达到77%。对于普通用户而言,个人隐私一旦被平台泄露,只能任人宰割,不存在任何防范手段——除非从一开始就不使用任何社交媒体。

另据媒体透露,这类案件的司法实践也极具挑战,因为很多不法分子远在海外,还有一些黑客是未成年人,即便落网也很难定罪。英国广播公司(BBC)报道称,英国警方今年打掉一个名为“Lapsus$”的网络犯罪团伙,7名嫌疑人中多数为未成年人,其中一名16岁少年疑似为幕后主导。据悉,该组织曾对微软、三星和英伟达等知名企业实施过非法入侵。此外,害死美国公民赫林的嫌疑人当中也包括一名英国少年,因年龄原因无法引渡到美国。

脸书前首席安全官斯塔莫表示,美国警方和科技公司应该加强安全管理,比如在沟通过程中设立“回拨确认”机制,并加入多重身份验证环节,以避免不法分子在通信层面钻空子。网络安全调查专家艾莉森·尼克松则认为,未成年人的网络不端行为如今已经转变为严重危害社会的有组织犯罪,这种趋势应该得到执法部门和网络安全行业的高度重视,并将其列为优先处理事项。她表示:“我们需要把这些少年黑客当作成年人处置。”

]]>
北京健康宝遭受境外网络攻击 Wed, 18 May 2022 02:42:45 +0800 北京疫情防控工作发布会通报:今天,北京健康宝在使用高峰期间遭受到网络攻击,经初步分析,网络攻击源头来自境外,北京健康宝保障团队进行了及时有效应对,受攻击期间北京健康宝相关服务未受影响。在北京冬奥会、冬残奥会期间,北京健康宝也曾遭受过类似网络攻击,均得到了有效处置。

]]>
Black Basta勒索软件攻击美国牙科协会 Wed, 18 May 2022 02:42:45 +0800 Bleeping Computer 网站披露,美国牙科协会(ADA)遭到了网络攻击。目前,该协会正在积极调查攻击事件,同时关闭了部分网络系统。

美国牙科协会 (ADA) 主要为 17.5 万名会员提供牙健康培训、研讨会和课程。对于许多美国人来说,如果日常中使用的牙膏和牙刷等口腔卫生产品上有 ADA 印章,这表明该产品是安全的,有助于口腔健康。

ADA 遭遇网络攻击

此次网络攻击迫使 ADA 下线部分受影响的系统,中断了各种在线服务、电话、电子邮件和网络聊天。另外,ADA 网站也打出了一个横幅,解释了其网站遇到了技术困难,正在努力修复系统。

据悉,此次网络攻击,导致包括 ADA 商店、ADA 目录、MyADA、会议注册、会费页面、ADA CE 在线、ADA 资格认证服务和 ADA 实践过渡等在内的 ADA 服务受到严重影响。

网络攻击不仅影响到 ADA 的网站,也对使用 ADA 在线服务注册账户或支付会费的组织产生了巨大影响,例如纽约、弗吉尼亚和佛罗里达州的牙科协会。

攻击事件发生不久后,ADA 开始向其各州的牙科协会、诊所和组织等成员发送电子邮件,提供关于网络攻击最新情况以及其他信息。邮件中主要描述了 ADA 在遭受网络攻击后,导致包括 Aptify 和 ADA 电 子邮件、电话和网络聊天等在内的服务中断。此外,ADA 在邮件中强调,发现攻击事件后,已经第一时间关闭了受影响的系统,并联合第三方网络安全专家和执法部门,调查此次攻击。

最后,ADA 表示,初步调查结果显示,会员信息或其他数据没有泄露。目前,Bleeping Computer 已经联系了 ADA,询问有关攻击事件的详细情况,但没有得到回复。

Black Basta 勒索软件团伙泄露了 ADA 数据

随着攻击事件持续发酵,一个名为 Black Basta 的新勒索软件团伙声称对此事负责。据网络安全研究员 MalwareHunterTeam 反映,攻击者已经开始泄露据攻击 ADA 期间窃取的数据。目前,包括 W2 表格、NDA、会计电子表格等在内的大约 2.8GB 数据已经被泄露,攻击者表示这占据了被盗数据的 30%。

小型牙科诊所一般没有专门的安全或网络管理员,缺乏专门的 IT 人员通常会导致其网络非常不安全,因此牙医信息的泄露可能特别具有破坏性。ADA 会员的信息有可能被泄露给其他攻击者,强烈建议 ADA 会员警惕鱼叉式钓鱼邮件。

]]>
黑客利用关键的VMware RCE漏洞安装后门 Wed, 18 May 2022 02:42:45 +0800 调查发现,高级黑客正在积极利用影响VMware Workspace ONE Access(以前称为 VMware Identity Manager)的关键远程代码执行(RCE)漏洞CVE-2022-22954。庆幸的是,该问题已在20天前的安全更新中得到解决,不过另外两个编号为RCE - CVE-2022-22957和CVE-2022-22958的漏洞也会影响VMware Identity Manager (vIDM)、VMware vRealize Automation (vRA)、VMware Cloud Foundation 和vRealize Suite生命周期管理控制台。

在漏洞被公开后不久,PoC漏洞代码便出现在公共空间,使黑客得以利用这些代码攻击部分易受攻击的VMware产品,随后VMware也确认了CVE-2022-22954 在野被利用。现在,Morphisec的研究人员报告说,他们看到了高级持续威胁(APT)参与者也在利用这些漏洞,特别是编号为APT35、又名“火箭小猫”的伊朗黑客组织。

攻击细节

攻击者通过利用CVE-2022-22954获得对环境的初始访问权限,这是RCE三人组中唯一一个不需要对目标服务器进行管理访问并且还具有公开可用的PoC漏洞利用。攻击首先在易受攻击的服务 (Identity Manager) 上执行PowerShell命令,该服务会启动一个stager。然后,stager从命令和控制 (C2) 服务器以高度混淆的形式获取PowerTrash加载程序,并将 Core Impact代理加载到系统内存中。

Core Impact是一种合法的渗透测试工具,在这种情况下被滥用于恶意目的,类似于Cobalt Strike在恶意活动中的部署方式。不过,这也不是什么新鲜事,趋势科技过去曾报告过APT35 滥用Core Impact,该活动可追溯到2015年。

在采访中,Morphisec首席技术官Michael Gorelik表示,攻击者尝试在网络上横向移动,尽管后门被阻止。通过特权访问,这些类型的攻击可能会够绕过一些特有的防御措施,包括防病毒(AV)和端点检测和响应(EDR)。

Morphisec能够检索到stager服务器的C2地址、Core Impact 客户端版本和用于 C2 通信的 256 位加密密钥,最终查询到这些操作可能跟名为Ivan Neculiti的特定人员和名为 Stark Industries的公司有关联。

在欺诈暴露数据库中,BleepingComputer发现了几家公司,这些公司将Neculiti 列为合伙人或受益人。该数据库包括一家托管公司,据称该公司支持用于垃圾邮件和网络钓鱼活动的非法网站。目前尚不清楚Neculiti或关联公司是否以任何方式(有意或无意)参与了网络犯罪活动。

不过,近期BleepingComputer收到了来自PQ Hosting SRL的最新声明,该公司总部位于摩尔多瓦,是Stark Industries的母公司,他们否认了故意参与非法活动,“我们有超过15,000名活跃客户,其中当然有我们正在打击的入侵者。没有一家托管公司能够幸免于这样的事实,即明天同样的攻击者会来找他们。创建Stark Industries公司只是为了向我们的经销商提供白标,他们可以更轻松地转售我们的服务,而不是因为我们隐藏任何东西。”

]]>
实锤!可口可乐证实受到网络攻击并开展调查 Wed, 18 May 2022 02:42:45 +0800 全球最大软饮制造商可口可乐公司在近日发布的一份声明中证实,公司相关网络受到了攻击,目前已对攻击行为开展调查。

勒索团伙Stormous宣称对此次攻击负责,称其成功侵入公司服务器并窃取了161GB数据。

攻击者将他们窃取的数据缓存公布在泄密网站上待售,要求支付赎金1.65比特币(约折合64,000美元)。

在列出的数据中,包括压缩文件、带有管理员(admin)、电子邮件和密码的文本文件、公司账本和支付zip文件以及其他类型的敏感信息。

关于Stormous团伙

虽然他们声称自己是一个勒索软件团伙,但目前没有迹象表明他们在受害者的网络中部署过文件加密恶意软件。Stormous更像是一个数据敲诈组织,在俄罗斯入侵乌克兰之后,它曾表示,将针对俄罗斯的黑客攻击采取行动。

这是 Stormous 团伙第一次公开发布盗取的数据集。上周,该团伙组织其追随者们进行了一次投票,以决定下一次攻击的目标。最终,可口可乐以72%的选票在这次投票中“胜出”。

该团伙表示,他们仅仅用了几天时间就将公司攻破。本次攻击的方式包括:拒绝服务攻击、黑客攻击、软件源代码和客户端数据泄露。

值得一提的是,在Stormous组织的投票中,可口可乐和其他受害企业都选择站在反西方的立场。

此前,该团伙声称攻击了Epic Games。他们宣称窃取了Epic商店和游戏3300万用户的数据和信息,总共200GB。然而,这些数据的真实性还没有得到证实,所以storm的这些说法还有待进一步核实。

而可口可乐公司方面也尚未证实他们的数据被盗。在接受媒体采访时,公司负责人表示,目前正在与执法部门合作,对所谓的Stormous团伙攻击开展调查。截止目前,本次攻击尚未显示出任何重大负面影响。

]]>
今年一季度暴露的数据库数量创新高,Redis排第一 Wed, 18 May 2022 02:42:45 +0800 据BleepingComputer网站消息,由威胁情报和研究公司 Group-IB共享的一份报告中显示,公开暴露在互联网上的数据库数量近期有所增加 ,从2021年的 308000 个一路上升,到2022 年第一季度,暴露的数据库峰值数量达到了 91200 个,创造了历史记录。

在大多数情况下,数据库被公开至网络是由于配置错误的原因造成,黑客常常使用可从开放网络访问的搜索引擎索引系统来寻找这些数据库,以窃取内容或进行金融勒索。

Group-IB 发现,大多数暴露的数据库都位于美国和中国服务器,德国、法国和印度也占有较大比例。而这其中,使用 Redis的最多,在今年一季度的暴露数量是排名第二的MongoDB的近两倍, MySQL则占比较少。

专攻数据库安全的安全研究员Bob Diachenko告诉 Bleeping Computer ,目前一些数据库供应商引入的dbms(数据库管理系统)越复杂,反而越容易出现配置错误,从而在无意中暴露数据。他认为,数据库的目的不仅是存储数据,而且还允许以即时和便捷的方式共享这些数据,并由其他团队成员对其进行分析,如今,越来越多的人参与到数据库管理过程中,为了试图简化和加快访问速度,甚至对登录措施进行了忽省略。目前,许多数据库管理系统已采取措施,在管理员将其配置为无需密码即可公开访问时进行提醒,但问题仍然存在。

研究显示,管理员平均需要 170 天的时间来发现错误配置并修复暴露问题,这足以让黑客找到暴露的数据并进行窃取。

Group-IB指出,如果管理员在设置和维护数据库时遵循如下的特定关键措施,则可以在很大程度上确保数据库安全:

如无必要,确保数据库不公开;

使数据库管理系统保持最新版本,以减少可利用的缺陷;

使用强用户身份验证;

为所有存储的信息部署强大的数据加密协议;

使用采用数据包过滤器、数据包检查和代理的数据库和 Web 应用程序防火墙;

使用实时数据库监控;

避免使用将数据库暴露给恶意扫描的默认网络端口;

尽可能遵循服务器分段做法;

以加密形式对数据进行离线备份。

]]>
影响甚微 数据泄露后Conti活动有增无减 Wed, 18 May 2022 02:42:45 +0800 近日,戴尔旗下安全公司Secureworks的研究人员表示,尽管受到近期内部数据泄露的影响, Conti勒索软件团伙的活动依旧非常活跃。他们追踪到一个俄罗斯网络经济罪犯团伙GOLD ULRICK正在利用Conti勒索软件进行犯罪活动。

研究显示,由于Conti团伙对其通信、源代码和操作细节的泄露做出的反应非常,目前该团伙的活跃度已经几乎恢复到了2021年的峰值水平。

“从Conti的泄密网上可以看到,2022 年2月以来受害者人数有所增加。2月27日,泄露Conti信息的黑客团体在其Twitter @ContiLeaks上泄露了GOLD ULRICK团伙的通信数据。可是,尽管公开了这些信息,3月份发布的Conti 受害者人数月度统计却激增至自2021年1月以来的第二高。” Secureworks 公司的反威胁小组(Conter Threat Unit)在其发布的帖子写道。1651124694_626a29d6be06d0864afc1.png!small

网名为“Jordan Conti”的GOLD ULRICK 团伙成员表示,数据泄露对组织运营的影响微乎其微。根据他在地下论坛RAMP上发布的一篇帖子,Conti仅在其泄密网站上列出拒绝支付赎金的受害者名单,而受害者的总量是这一数字的两倍多。这意味着,受害者向Conti团伙的平均支付率为50%,而平均支付金额在70万美元左右。

另外他还在帖子中写道,“GOLD ULRICK正继续致力于发展其勒索软件、入侵方法和处理数据方法。”仅在4 月的前四天,Conti泄密网站上就增加了 11 名新的受害者,如果以这样的速度继续发展,研究人员担心,GOLD ULRICK团伙或将继续对全球组织构成严重的网络犯罪威胁。

]]>
犯罪分子通过伪造的警方电子邮件从谷歌苹果处获得用户信息 Wed, 18 May 2022 02:42:45 +0800 苹果、谷歌和Snapchat等公司遵从了犯罪分子伪造的警方电子邮件数据请求,这些犯罪分子利用获得的数据骚扰和勒索未成年人。

通过偷来的警察证书(如电子邮件)提出的紧急数据请求,导致科技公司与犯罪分子分享敏感的用户数据。由于紧急数据请求通常是出于善意,科技公司有时可以在没有正式传票的情况下做出回应,不过,据了解这些传票也是伪造的。

根据彭博社的一份报告,被盗的数据被用来根据相关人员使用各种策略进行敲诈。报告中引用的消息来源称,这些伪造的请求似乎主要用于金融欺诈,包括用于对妇女和未成年人进行性敲诈。

提供的数据因公司而异,但一般包括姓名、IP地址、电子邮件地址和物理地址。有些公司提供的数据比其他公司多,但一般的经验法则是只提供请求范围内需要的数据。例如,如果犯罪分子得到一个人的姓名、地址和用户名,他们可以直接与他们联系并威胁要伤害他们,让警察以虚假指控出现在他们家(俗称拍打),甚至暗示他们已经有了明确的图像进行勒索。这可能导致各种形式的敲诈、操纵和对受害者的控制。

紧急数据请求每天都被用于真正威胁生命的紧急情况,而这一机制被滥用于对儿童进行性剥削,这是一个悲剧。警察部门要把重点放在通过多因素认证和更好地分析用户行为来防止账户泄露,科技公司应该实施确认回拨政策,以及推动执法部门使用他们的专用门户网站,在那里他们可以更好地检测账户是否出现问题。

Google、Discord和Facebook对该报道作出回应,称它们各自都有对传入请求的验证程序。Twitter和苹果拒绝就此事发表评论,不过苹果确实提供了一份详细文件,说明他们如何处理政府的数据请求。

]]>
2021年勒索软件攻击次数激增至新高 受害者更广泛且损失更大 Wed, 18 May 2022 02:42:45 +0800 勒索软件攻击越来越频繁,越来越容易得逞,受害者支付的代价也越来越昂贵。在Sophos为其年度勒索软件状况报告进行的调查中,66%的组织承认他们去年受到勒索软件攻击,高于2020年的37%。其中65%的攻击成功加密了受害者的数据,高于前一年的54%。

总部设在英国的这家网络安全公司表示,企业为其最重要的勒索软件攻击支付的平均赎金增长了近五倍,略高于80万美元,而支付100万美元或以上赎金的企业数量增加了两倍,达到11%。在其年度报告中,Sophos调查了来自31个国家的5600个组织。共有965名受访者分享了他们的勒索软件攻击细节。

这些数字并不令人惊讶,因为在过去一年中,勒索软件攻击令美国主要的石油管道再到最大的肉类加工厂都深受其害。虽然Colonial Pipeline和JBS US Holdings都支付了数百万的赎金,但这些攻击使他们的业务暂停了很久,足以引发恐慌性购买,使物资供应的价格上升。

这些攻击和其他攻击促使白宫在10月召开了一次国际反勒索软件协调会议,汇集了来自30多个国家的代表,包括英国、加拿大和日本等美国盟友。该小组承诺分享信息,共同追踪和起诉勒索软件攻击背后的网络犯罪分子。

值得注意的是,俄罗斯没有参加(与乌克兰开战以后则更是不可能),美国和其他国家指责俄罗斯窝藏并可能鼓励这些攻击背后的团体。现在,随着世界上大部分国家积极反对俄罗斯入侵乌克兰,专家们担心俄罗斯会发动政府支持下的勒索软件攻击,作为针对乌克兰及其支持者的网络战争的一部分。

无论攻击者的动机如何,勒索软件仍然是网络犯罪分子的一个有利可图的工具。Sophos的首席研究科学家Chester Wisniewski说,勒索软件的成本不仅继续上升,而且越来越多的受害者被迫选择支付赎金,即使他们有其他选择。

在报告他们的数据被攻击锁定的受访者中,46%的人说他们支付了赎金以取回他们的数据,26%的人说他们支付了赎金,尽管他们可以通过备份自己恢复数据。

Wisniewski说,这可能有几个原因,包括不完整的备份,或希望让公司的数据不被公布在网上。此外,在发生勒索软件攻击事件后,往往有很大的压力要尽快恢复运行,而从备份中恢复往往是困难和耗时的。但是,尽管向网络犯罪分子支付解密密钥可能是一个诱人的想法,它也是一个危险的想法。

Wisniewski在一份声明中说:"企业不知道攻击者可能做了什么,例如添加后门、复制密码等等。如果组织不彻底清理恢复的数据,他们最终会在他们的网络中留下潜在的弱点,并有可能暴露在重复的攻击之下。"

]]>
Nvidia遭网络攻击,透过对黑客掌握的电脑进行加密来反制 Wed, 18 May 2022 02:42:45 +0800 资安公司Emsisoft发现犯案的黑客组织在推特宣称,Nvidia以电脑加密的手段反击他们的入侵行为,黑客表示未被成功骇入。

Nvidia上周五(2/25)证实公司遭到网络攻击,也正在调查。不像一般受害企业,Nvidia似乎也以勒索软件反攻黑客。

英国媒体Telegraph上周五报导Nvidia遭网络攻击,导致开发部门的电子邮件和工具系统断线无法使用。

Nvidia周五对媒体指出,目前正在调查攻击事件,但强调公司的业务及商业营运未受影响。Nvidia表示目前致力于评价事件的本质和影响范畴,不愿提供更多资讯。

资安厂商Dark Tracer及安全研究人员Soufiane Tahiri发现一个名为Lapsus$的黑客组织宣称骇入Nvidia,并泄露该公司员工的登入密码及NTLM哈希,并扬言即将公布窃得的1TB数据。

但同时Nivida似乎也出手回击,在黑客系统内植入勒索软件。资安公司Emsisoft引述Lapsus$组织的贴文,指Nvidia利用黑客经由员工VPN存取内部网络时,反将对方一军,Nvidia透过行动装置管理系统(MDM)在黑客使用的电脑上执行注册、列管的程序,而使得Nvidia能够存取黑客使用的电脑(虚拟机器),并执行数据加密的手段。

但Lapsus$黑客指,Nvidia这招成功加密了他们数据,不过他们有备份,躲过一劫。Lapsus$也强调未被任何竞争对手或组织骇入。

我们推测,或许Nvidia此举恰巧是因为该公司MDM或UEM系统落实端点电脑的全硬盘加密(FDE)政策,而使黑客在其环境部署的非法虚拟机器反遭对方加密而失去对其掌控的能力。

Emsisoft威胁分析师Brett Callow指出,回骇虽不常见,但也不是没有过前例,毕竟付赎金不能保证黑客不公布数据。

]]>
上帝视野!美企监视全球数十亿台手机,实时观测俄军/CIA特工动向 Wed, 18 May 2022 02:42:45 +0800 俄乌冲突全面爆发的几个月前,两家鲜为人知的美国公司正在商谈监视技术合作事宜。他们希望进行的合作,是通过手机对数十亿人的动向进行追踪,与从Twitter公司直接购买的巨量用户数据融合。

这一合作将打造出超强的监视能力。美国政府可以利用它,轻松监控俄罗斯军队、追踪中国核潜艇动向。为了证明这一点,其中一家公司进行了验证,利用手机数据监视美国国家安全局和中央情报局的特工。

A6和Zignal

能够利用数据对手机用户进行追踪的是两名前军事情报官员2018年建立的Anomaly Six(下称“A6”公司)公司。媒体报道称,从这家公司的官方网站上基本看不出其从事的业务,但事实上它却有很大可能对不少人的情况了如指掌。之所以能做到这一点,是因为这家公司掌握着先进的用户数据分析技术。

无数智能手机APP通常在用户不知情的情况下,不间断地对用户的位置信息进行收集,然后再传送给广告商或数据经纪公司。这种收集和传送行为通常并不违法,因为APP运营公司会在使用条款中用不起眼的法律术语予以说明,而使用者往往不会对其进行仔细阅读就勾选了同意。

“使用者甚至没有读完长达60页的终端用户协议就选择了没有保留的同意,他的个人信息也因此被发送出去,”A6公司销售代表布兰登・克拉克说。

用户信息一旦被出售给广告商或数据经纪公司,美国目前就没有法律可以禁止他们再向A6这样的公司进行转售了。获得这些数据后,A6就可以利用其专有分析软件进行分析利用,对千千万万普通人或指定人群的日常生活、工作、旅行等活动进行追踪了。

公司发言人表示,同类公司通常利用移动电话的蓝牙和Wi-Fi连接收集使用者的位置数据,但往往不够精确。A6则借助GPS定位收集位置数据,精确度可达到几英尺。据称,该公司在位置数据之外还建立了一个电子邮箱地址数据库,储存了超过20亿个电子邮箱地址以及用户在签约使用APP时暴露的其他个人信息。综合这些信息,A6公司就能判断出处于GPS定位点上的人员的身份。

A6公司理想中的技术合作伙伴是Zignal Labs公司(下称“Zignal”公司)。这家公司与政府有千丝万缕的联系——其顾问委员会中包括前美国陆军特种作战司令部司令查尔斯・克利夫兰,以及曾在白宫、国家安全机构和五角大楼担任过顾问、积极推动实时信息管理以及战略通信建设的约翰・兰登(John Rendo)。同时,公司还与美国陆军签订有一份价值400万美元的数据服务合同。

之所以被A6公司看中,是因为Zignal公司可以不受限制地从Twitter公司获得大量用户数据。尽管Twitter公司的反监视政策特别强调不允许利用用户数据进行信息或情报采集等活动,但在实际操作中这一政策基本等同于无。Zignal公司不但未严格遵守,还振振有词地辩解称“Zignal一贯遵守数据合作伙伴制定的隐私规定和守则”。

两家公司达成合作后会怎样?

A6公司宣称,公司能够对大约30亿人(相当于全球人口的五分之一)的动向进行实时监视。公司的GPS搜索系统每天会监视大约2.3亿件移动通信设备,并从每件设备处获得30至60个定位点,每年能在全球范围内获得25亿组定位点,以及多达280TB的位置数据。

布兰登・克拉克说,A6公司已与数千家手机APP运营公司达成合作关系,因此可利用APP使用条款中的漏洞收集精确的GPS测量数据。这些数据不仅对希望向手机用户推销商品的商家有用,而且还受到追踪移民的联邦政府机构、无人机操作以及定位部门、负责经济制裁以及税务稽查的政府机构的欢迎。有报道援引公开信息指出,美国特种作战司令部曾于2020年9月向A6公司支付59万美元,以求获取该公司“商业遥测数据服务”一年的使用权。

为方便客户对数据进行快捷浏览和选择,A6公司可提供Google地图风格的卫星俯瞰图。客户只需要找到感兴趣的地点然后画个方框把它圈起来,A6公司就能在方框内填充经过该区域的智能电话用户(以小圆点替代)。点击圆点后就会出现智能设备(及其使用者)在某社区、城市或全世界范围内的活动情况。该公司的软件还有一个被称为“规律分析”的强大功能。用户只要点击一个按钮,软件就能自动生成监视对象常去地点的分析,进而推断出其生活和工作地点。

与Zignal公司达成技术合作后,源源不断涌来的巨量数据还会帮助A6公司大幅提升上述监视能力。公司客户不但能够对全球社交媒体活动进行监视,而且还能确定某个帖子的发贴人身份、发贴地点、发贴人跟谁在一起、原先在哪里以及下一步会去哪里,等等。这些功能可以让公司对其雇员的活动进行追踪,也可以帮助政府在全球范围内对其对手进行密切监视,从而拉来更多的“优质政府客户”。

已经证明:CIA特工也避不开A6的追踪

为证明本公司的追踪能力,布兰登・克拉克主持了多场验证展示会,其中一次是追踪俄罗斯军队在俄乌边境的集结情况。

克拉克在演示中“表演”了如何使用A6公司的软件追踪俄罗斯士兵使用的手机从边境地区撤回到尤尔加(Yurga)附近的驻地,并称如何有必要还能继续对其进行追踪,直到手机使用者回到自己家中。《华尔街日报》报道称,这种追踪方式已被用来对俄罗斯军队的调动情况进行跟踪。报道同时表示,即使是美国军队也无法对这种跟踪“免疫”。

《华尔街日报》的报道很快得到了验证。克拉克利用Maxar Techonologies公司拍摄的一张“艾森豪威尔”号航空母舰的照片演示了如何对美军行动进行追踪。

根据照片附带的拍摄经纬度以及拍摄时间,克拉克确定航母当时的位置在希腊的克里特岛南部。用方框将该区域围起来后,该区域只显示出一个手机信号。“虽然当时找到的信号不多,但我注意到这艘航母后来返回了诺福克基地,”克拉克说。他随后又显示了航母停泊在诺福克的照片,以及照片上密密麻麻的小圆点。“现在我们捕捉到了更多代表美国水兵的手机信号,然后就可以利用它们追踪航母的部署情况。我们不再需要卫星了。”

为了给观摩者留下更深刻的印象,克拉克还演示了这个世界没有几个人能做到的事情:追踪美国顶级特工人员。

他先调取了一份显示美国国家安全局总部和中央情报局总部的Google地图,并围绕两个总部的所在区域拉出两个虚拟方框。A6软件立刻在方框内显示出183个代表手机及其使用者的小圆点,点击后出现多达数百行代表其活动轨迹的信息。“如果我是外国情报人员,这183个圆点就是我收集情报的开始,”克拉克说。“我可以找到这些人的生活地点、找出他们的旅行地点以及他们离开这个国家的时间。”

接下为,克拉克还对“圆点”在美国境内外的活动进行了追踪,并看到其中一些“圆点”前往一处训练中心以及约旦的一处机场(据说美军在那里部署有一队无人机)。

“如果数据经纪商能够通过这种方式对数百名(美国)情报官员在全球范围内的活动进行追踪,那将对(美国)国家安全构成严重威胁,”参议员荣・韦登(Sen. Ron Wyden)显然对个人数据公司的行为非常不满。“外国情报人员根本用不到多少间谍技巧就能得到这些情报。”

多次受到侵犯公民隐私权的指责

有人注意到,政府或私人可以在A6和Zignal公司的技术帮助下,避开美国政府对数据使用的司法管辖,获得全球监视能力有了这个便利条件。美国情报部门也许会越来越多地绕开法庭禁令,向A6这样的公司直接购买服务。

《纽约时报》去年曾报道称,美国国防情报局“购买了多个商业数据库,数据库中包含有智能手机APP收集的各种位置信息”。随后,美国国防部、国土安全部、国家税务局等重要政府机构几乎群起仿效,购买包含重要信息的商业数据库一时成为被普遍采用的监视手段。

但美国公民自由联盟认为这“并不是一种值得推广的选择”,因为被美国政府机构视为“公开来源情报”的上述商业数据库,实际上是在违反公民权益的情况下收集、建立起来的。正如今年2月荷兰情报和安全服务审查委员会在报告中指出的,“自动化开源情报收集工具使用的个人数据数量、性质和范围,会对基本人权(尤其是隐私权)构成严重侵犯。”

美国多名移动通信用户隐私研究者以及移动通信安全专家也指出,A6和Zigna等政府承包商向国防部等客户“泄露美国公民的社交发贴、用户名以及位置等信息”是否合法很值得商榷。专门从事APP数据公司隐私条款执行情况研究的安全专家Wolfie Christl认为,就算A6公司对本公司业务能力有夸大,但从保护个人隐私的角度来看,这样的一家公司能够对普通用户进行监视也不得不让人深感忧虑。

A6公司合创始人布兰登・哈夫(Brendan Huff)对此并不在意。他在回应本公司监视业务时表示,“A6是一家退役老兵开办的小公司,以维护美国利益和自然安全为己任,理解并遵守法律。” 不过美国公民自由组织指出,美国最高法院已明确规定手机位置信息受法律保护,所以A6公司的“数据供应链”早晚会有断裂的一天。

]]>
央视曝光百倍暴利“虚拟币”骗局 交易平台一夜关闭有人被骗百万元 Wed, 18 May 2022 02:42:45 +0800 日常生活中,经常有陌生电话号称免费拉人进股票群;网络平台上,也经常有各种股票讲课的广告。很多人抱着不花钱只是进群看看、听听课的心态,没想到却一步步陷入被骗的漩涡,损失惨重。记者在调查过程中发现,这些股票群里所谓的“老师”首先推荐股票,取得信任后,就会推荐自行发行的虚拟数字货币,来骗取投资者钱财。

“虚拟币”号称100倍溢价 网站关闭卷款跑路

记者以投资者的身份潜伏进股票群后发现,全国各地有不少受害者因为免费而入群。

声音来源——某股票群讲课音频:贝特曼是我国首家、唯一一家数字货币平台即将上线。该平台要发行它的平台币相当于它的股票,相当于IPO。我预计它的平台币有10到20倍的溢价,甚至有100倍的溢价。

在所谓10倍到100倍暴利诱惑下,很多人买入大量“虚拟币”。突然,贝特曼虚拟货币交易平台一夜之间关闭,毫无征兆,股票群被解散,再也联系不到任何一个所谓的“老师”或“客服”,受害者投入的所有资金都无法提取。有受害者表示,被骗金额最高达百万元 。

北京市投资者:4月9日凌晨1点钟,半夜醒了以后拿手机看一眼这个盘面怎么样,发现平台点不开了,所有数字都不见了,自己账号也空了,那些群都没了,所有链接都打不开了。我一共被骗了40多万元,多的被骗100多万元。

广东省深圳市投资者:我老公生病了,我们贷款出来,基本上这100多万元都是贷的。现在最主要的问题是有小孩子读书,信用卡还不上会影响征信,小孩子读书读不了,我的信用都会出问题,已经走头无路了。

一位股龄近20年的女士,投资非常谨慎,觉得自己肯定不会被骗,刚开始看着群里其他人纷纷跟着老师操作数字货币也不为所动。但是,随着群里人不停晒一些超高利润的盈利截图,以及“老师”的不断洗脑,于是也抱着试试的心态投进了第一笔钱。

河南省平顶山市投资者:还是禁不住诱惑,先转进去了4000元,打新又中奖了,晚上12点又买进,等于44000元全投入进去了。投入进去之后,他说这是锁仓期,又开始发行了平台币,平台币又是10倍的利润。

北京市康达律师事务所律师 夏禹:我国《刑法》的第二百六十六条的规定,涉嫌诈骗罪,根据具体的犯罪情节,最高有可能判处10年以上有期徒刑,甚至无期徒刑。

用股票讲课当幌子 人情关怀蒙骗老年人

为何这种常见的诈骗套路能屡试不爽?记者发现,除了打感情牌取得受害者的信任,最重要的是,这些诈骗团伙多次冒充一些大型的正规金融平台为自己背书,编造一些虚假的一夜暴富故事,引诱受害者上钩。

记者在股票群中看到,这个网络讲课平台名为“朗盛翻倍大讲堂”。投资者通过其发布的股票授课广告而加入,很多人一开始抱着试试看的心态进入平台听课。除了讲课,每天半夜所谓的“老师”还会发长文为“学员”答疑解惑,配上美女头像的“助理老师”,随时解答“学员”的股票疑问。在逐渐取得信任后,“老师”游说“学员”购买虚拟数字货币 。

广东省深圳市投资者:开始给你推荐几只股赚钱了,后面推荐的几只股,他就不管了,一直叫你拿着,然后说现在大行情不好,就让你把股票全部卖了,来买新币。

北京市投资者:虚拟币利润太高了,高到一会儿几元、几十元就涨上去了,我们这一拨最终炒的是要达到10倍。他循循善诱地讲课,人情味特浓,特别关心人。

不少受害者告诉记者,他们也曾有过怀疑,但诈骗团伙屡屡用一些大型券商的身份作为背书来迷惑投资者,记者在股票群里看到,一旦有投资者表达出疑惑,马上就会被禁言或踢出群,最后留下的都是一些没有接触过虚拟货币,缺乏金融知识的受害者 。

受害人向记者透露,直到现在他们都没见过这个所谓的证券公司李总,甚至都不知道他的全名。

并且,事后他们才反应过来,“贝特曼虚拟货币交易平台”实际上并不存在,所谓的“虚拟货币”打新和涨跌幅也并不真实,完全是诈骗平台自导自演的数字假象。

五类网络诈骗屡禁不止 警方提示风险

目前,多名受害者已经报案。记者在调查中发现,目前还有很多类似的诈骗团伙仍在行骗。那么,普通投资者应该如何避免被骗?

多名受害者告诉记者,他们最近发现又有新的股票讲课平台和新的数字货币交易平台出现。当他们用自己的手机号及身份证信息注册登录时,发现只要以前在贝特曼交易平台上注册过的人 ,在新的所谓的“奥斯曼交易平台”注册后,账号都显示处于冻结状态无法进入 。

北京市投资者:我发现了一个奥斯曼平台,也是数字货币。内容跟贝特曼一样,就是名字不一样。币种有些区别,其他的操作方式,包括资金管理、新币申购、流水查询等内容都一模一样。

记者又在多个网络平台发现,还有非常多受害者在不同时间也被同样的手段骗过,除了平台名字及讲课老师名字不同,其他行骗手段几乎完全一样。在得知被骗后,多位受害者已经报警。

北京市公安局大兴分局红星派出所 工作人员:这个案子已经立案并展开调查,后期刑警负责查。

警方表示类似的诈骗案件非常多,投资者一定要提高警惕,向陌生账户转账过后,一旦感觉异常,应该立即报警。

目前公安机关发现的诈骗类型已经超过50种,其中5种主要类型案件高发多发,分别是是网络刷单返利、虚假投资理财、虚假网络贷款、冒充客服、冒充公检法。

北京市康达律师事务所律师 夏禹:在此提醒广大投资者应选择正规、合法的投资渠道。谨记“天上不会掉馅饼”,应警惕那些超高收益的投资。

]]>
“赚钱”App拉人头 构成人员链金钱链难逃传销之嫌 Wed, 18 May 2022 02:42:45 +0800 看新闻赚现金、刷视频拿红包,甚至走路、睡觉都有人给你“发福利”……人们不禁感叹,在互联网时代,赚钱竟已变得如此容易?近年来,各类“赚钱”App层出不穷,吸引无数民众下载。北京德恒律师事务所合伙人、网络与数据研究中心主任张韬接受《法治日报》记者采访时表示,这类App大多采用“拉人头”的营销手段,平台要严格明晰营销与传销的界限,避免越界。

年轻的宝妈韩迪在空闲时喜欢刷刷短视频,一次某短视频平台弹出的一则“看视频就能轻松赚大钱”的广告吸引了她的注意。通过链接,她下载了该款软件。

“刷一条视频会给相应的音符,10000音符可兑换1元人民币,完成每日签到也会额外获得现金奖励。”因为该软件没有提现限制,因此韩迪在下载后便顺利提现了签到得来的1元钱,此后系统推送消息“提醒”她可以通过“拉人头”的方式赚更多钱。

“首次邀请当日必得35元”的宣传让心动的韩迪将下载链接发给了朋友,在朋友用她发送的链接下载软件后,软件显示钱已到账,系统提醒仍可继续邀请好友下载,不断扩充资金,但在成功邀请3位好友后,韩迪在此后又陆续邀请了5位新人注册,但软件均显示邀请失败,没有再发放相应奖励。

使用软件后,韩迪也发现如果不靠“拉人头”,单靠刷视频的收益很低,而平台提现有固定档位,除最低的一档是0.3元外,其余档位最低也要15元,金额不够就无法提现,只能去挖新用户,赚取“人头费”。

与韩迪相比,在北京从事个体生意的李博不但没从一款同样号称“刷视频赚钱”的App中赚到钱,反而还“搭了钱”。他使用的这款App通过刷视频获取代币来兑换现金,但代币兑现,平台要扣不少手续费,解决方案有两个,一是通过拉新人加入,拉的人越多,获取代币越多,提现手续费也会相应降低;二是通过充值购买一定数量代币,以解锁一些高等级任务,获取更多代币。但在充值后,李博发现作任务依旧收益甚微,坚持一个月的收益还不及充值费用。

当前在手机应用市场中,打着“赚钱”噱头的App不在少数,且覆盖领域很广。记者下载几款软件后发现,此类软件在使用过程中基本都会插入其他同类型软件广告,并以红包图标或“点击赚钱”等字样吸引用户下载。

构成“人员链”“金钱链”恐涉嫌传销

每款“赚钱”软件几乎都在宣称无套路,但记者实测后发现,除了在提现环节困难重重外,这类软件一个最核心的套路就是“拉人头”,用户要想获得高收益,必须拉更多人“入伙”。

事实上,“拉人头”的方式并非“赚钱”类App独有,当前很多软件都有所谓的“拉新”优惠手段来提高下载量和流量。

“根据2005年施行的《禁止传销条例》中关于传销的定义,‘拉人头’行为属于传销的其中一种表现形式。”张韬提醒,在App“拉人头”行为愈加频繁的当下,应警惕其滑向传销违法行为。

此前,也有包括“趣步”等App因涉嫌传销被相关部门调查,如何区分哪些是正常的营销手段,哪些涉嫌传销?

张韬指出,根据《禁止传销条例》规定,传销是指组织者或者经营者发展人员,通过对被发展人员以其直接或者间接发展的人员数量或者销售业绩为依据计算和给付报酬,或者要求被发展人员以交纳一定费用为条件取得加入资格等方式牟取非法利益,扰乱经济秩序,影响社会稳定的行为。

基于这一定义,张韬认为,如果在App营销过程中,组织者或者经营者要求成员发展下级成员,并根据其直接或间接发展的下级成员人数给予经济奖励,则可能构成传销。比如,某些App鼓励用户发展下线,在给予红包返现奖励的同时又把用户分成一星达人、二星达人、三星达人等级别,等级与发展下线人数成正比,每级有高低不等的分成奖励,便可能涉嫌构成传销。

此外,如果在App营销过程中收取所谓入门费,比如要求被发展人员以交纳一定费用或者以认购商品等方式变相交纳费用为条件来取得加入资格的,也有可能涉嫌构成传销。

网经社电子商务研究中心特约研究员赵占领进一步指出,App“拉人头”行为是否构成传销要看是否构成了“人员链”和“金钱链”。具体而言,“人员链”就是通过发展下线,使得老用户、新用户之间构成上下层级,组成上下线的人际网络;“金钱链”则是以参加者本人直接和间接发展的下线人数为依据计算和给付报酬,或者每一级都可以从下一级加入的会员费或其他费用中抽取一定的提成或佣金。

在中国政法大学传播法研究中心副主任朱巍看来,对于App“拉人头”的营销模式不能“一刀切”地草率认定为传销,而是应结合用户发展模式和规则、给予经济奖励的依据、计算和给付报酬的规则等因素来综合判断。

朱巍曾研究过一些以“拉人头”作为营销手段的软件,发现这类软件大多没有对人员层级进行划分,只是用红包、返现等手段鼓励用户不断推荐新用户注册使用,虽然往往会在提现环节设置一定的套路,甚至存在欺骗误导用户的行为,但单就此类“拉人头”的行为来说,并不属于传销范畴。

需强化应用程序平台审查义务

某App以秒杀商品、推销商品、提供服务等虚假商品交易为名,通过返还收益金、奖励购物金、补贴金等形式,发展区域经理、区域总监,诱使会员不断“拉人头”发展下线以获取收益、赚取差价,不断扩大资金交易链;某App通过要求会员向其上线购买“欢乐豆”,再用“欢乐豆”在App内抢购平台推出的虚假商品订单,加价后向下级会员转卖以获取差价,通过虚假订单在会员间逐级流转获利……近年来,相关部门公布了多起利用App进行网络传销的案例。

在赵占领看来,相比传统的线下传销,披着“互联网+”外衣的线上传销模式层出不穷,隐蔽性更强,涉及人数更多,金额更高,危害性也更大,在一些利益驱使之下,民众缺乏甄别能力,容易“中招”。这就需要网信、市场监管、公安等相关部门加大对此类行为的监管力度,形成监管合力,并及时发布预警信息,提高民众意识。同时应考虑发布相关规范,对App“拉人头”的营销手段进行规制,防止越界。

张韬对此表示认同,他补充指出,现有法律对传销行为的种类进行了规定,但未对具体判断的标准作出进一步的细化规定,不明确的违法标准也会助长经营者的投机主义行为,建议应针对新形态的网络传销类型,规定传销行为的具体判断标准。

“此前一些曾因‘拉人头’发展下线而涉嫌网络传销被查处下架的App,有不少又通过‘改头换面’的方式,以另外一款App重新上架出现。”张韬认为,这与现行的《移动互联网应用程序信息服务管理规定》(以下简称《管理规定》)中对应用程序平台的审查义务要求不高有关。

“应在法律法规中着重强化应用程序平台的义务。”张韬指出,2022年1月发布的《管理规定》修订征求意见稿大大强化了应用程序平台的审查义务,要求应用程序分发平台应当建立健全管理和技术措施,及时发现防范应用程序违法违规行为。可考虑将利用应用程序进行传销作为应用程序平台应当及时发现防范的违法行为之一来进行强调。同时,应引导应用程序平台对采取类似“拉人头”营销模式的应用程序进行特别监督,在平台对其风险进行警示和标识,一旦发现其营销“失控”演变为传销时,应当及时采取暂停服务、下架等处置措施,保存记录并向有关部门报告。

]]>
南美洲金融中心里约财政系统遭勒索攻击,420GB数据被盗 Wed, 18 May 2022 02:42:45 +0800 4月22日,巴西里约热内卢州的财政大臣披露,目前该部门正在处理一起针对其系统的勒索软件攻击。

LockBit勒索软件团伙宣称为此次事件负责。他们入侵了接入政府办公室的系统,并窃取到约420 GB数据。该团伙还威胁,将在今天(25日)公布这批被盗数据。

里约热内卢州财政大臣发言人在声明中表示,在发现网络犯罪分子入侵系统并发出威胁后,他们已经联系了巴西数字犯罪执法机构。

发言人指出,“在上周四(21日)发出的威胁中,恶意黑客要求支付赎金,否则将披露据称窃取自Sefaz-RJ系统中的数据。这批失窃数据约占州财政部门全部数据存储量的0.05%。”

里约热内卢市是巴西第二大城市,GDP仅次于圣保罗,同时也是巴西国家石油公司、巴西国家电力公司、巴西联邦储蓄银行、国家经济和发展银行、巴西淡水河谷等多家国有企业的总部所在地。

作为南美洲的金融中心之一,里约热内卢GDP在全球所有城市中排名第30位。2021年,该市出口商品总值达325亿美元。

信息与通信技术副秘书处也在接受媒体采访时指出,他们已经提出与警方合作开展调查。

发言人还提到,“自2020年以来,副秘书处一直将加强信息安全作为优先工作。也正是归功于此,本次攻击并没有造成特别严重的后续影响。”

“这就是此前防范行动的有效性实证。”

据威胁情报厂商Recorded Future维护的勒索软件追踪计划来看,LockBit在今年年内已经仅次于Conti团伙,成为活跃度第二高的勒索软件组织。数据还显示,今年他们已经至少攻击了650个目标组织。

2021年8月,澳大利亚网络安全中心(ACSC)曾发布公告,警告称LockBit勒索软件攻击数量正在激增。

该团伙自2019年9月起一直保持运营,但一直处于边缘位置,直到后来开发出LockBit 2.0勒索软件即服务的全新平台版本。

随着Darkside、Avanddon、REvil等黑客团伙的消亡或退出,LockBit已经成为当下最为常见的勒索软件即服务平台之一。

]]>
17款App涉嫌超范围采集个人隐私信息被点名 Wed, 18 May 2022 02:42:45 +0800 国家计算机病毒应急处理中心近期通过互联网监测发现17款移动App存在隐私不合规行为,违反网络安全法、个人信息保护法等相关规定,涉嫌超范围采集个人隐私信息。

1、未向用户明示申请的全部隐私权限,涉嫌隐私不合规。涉及16款App如下:

《优顾炒股》(版本6.6.73,360手机助手)、《牛股王股票》(版本6.2.7,360手机助手)、《广发易淘金》(版本10.1.0.0,百度手机助手)、《西部证券》(版本4.0.3,华为应用市场)、《e海通财》(版本8.75,乐商店)、《国联证券尊宝》(版本6.01.031,乐商店)、《大智慧》(版本9.47,豌豆荚)、《中国银河证券》(版本6.0.5,豌豆荚)、《阿牛智投》(版本6.2.7,豌豆荚)、《万和手机证券软件》(版本9.00.26,豌豆荚)、《汇通启富》(版本6.6.4.0,豌豆荚)、《新时代证券》(版本6.0.1.0,小米应用商店)、《中邮证券》(版本7.1.2.0,小米应用商店)、《中山证券》(版本6.3.3,小米应用商店)、《东亚前海悦涨》(版本4.2.0,小米应用商店)、《国元智富》(版本8.89,小米应用商店)。

2、App在征得用户同意前就开始收集个人信息,涉嫌隐私不合规。涉及1款App如下:

《财通证券》(版本9.9.3,豌豆荚)。

3、未提供有效的更正、删除个人信息及注销用户账号功能,或注销用户账号设置不合理条件,涉嫌隐私不合规。涉及9款App如下:

《广发易淘金》(版本10.1.0.0,百度手机助手)、《西部证券》(版本4.0.3,华为应用市场)、《e海通财》(版本8.75,乐商店)、《国联证券尊宝》(版本6.01.031,乐商店)、《万和手机证券软件》(版本9.00.26,豌豆荚)、《汇通启富》(版本6.6.4.0,豌豆荚)、《新时代证券》(版本6.0.1.0,小米应用商店)、《中邮证券》(版本7.1.2.0,小米应用商店)、《东亚前海悦涨》(版本4.2.0,小米应用商店)。

4、未建立、公布个人信息安全投诉、举报渠道,或超过承诺处理回复时限,涉嫌隐私不合规。涉及1款App如下:

《中邮证券》(版本7.1.2.0,小米应用商店)。

针对上述情况,国家计算机病毒应急处理中心提醒广大手机用户首先谨慎下载使用以上违法、违规移动App,同时要注意认真阅读其用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据,避免个人隐私信息被泄露。

]]>
试用会员后接连扣费 夸克自动续费玩套路? Wed, 18 May 2022 02:42:45 +0800 “0.01元会员免费试用”你是否见过类似的广告呢?是否又被这样的说法套路过呢?近日,市民吴先生告诉信网,自己使用的“夸克App”就存在0.01元试用后自动续费的问题,在自己未知情的情况下连续两次扣款,而想退费就需要经过一系列的复杂操作。对此,夸克工作人员韩先生告诉信网,对于次月会进行收取会员费的情况,都是有相关的协议和提示,平台方都会进行标注,相关的条文条款也会进行注明。

据了解,“夸克”是一家成立于2014年的移动社交及生活服务的公司,其中包含智能搜索及网盘等,吴先生就是在使用网盘时,陷入了自动续费的“套路”。

“我当时看着这款网盘在做广告,上面写着0.01元免费试用,我又刚好要使用网盘处理文件,就直接开通了。”2022年2月11日,吴先生以0.01元的价格开通了3天免费试用,本以为三天之后会员将自动失效,就一直搁置且未进行任何操作。但是让他没想到的是,在之后的两个月内,发生了连续扣费。

吴先生表示,夸克于3月16日、4月15日分别扣费20元,吴先生说,自己根本不知道这款App的会员会进行自动续费,并且在扣款详情中也未标清扣款的对象,只有备注中写着“免费试用,包月切换。”因此,这才反应过来是夸克进行的会员扣费。

在扣费之后,吴先生也曾多次想进行取消,“这太复杂了,根本找不到相关入口,开通会员只用一分钟,取消会员却要用半小时。”吴先生表示,最后还是通过网络上的教程取消了包月。

为体验相关操作流程,信网下载了夸克App,在办理会员的过程中,操作十分简单,点击即开通。但是想要进行取消,至少需要4-5级页面,由于吴先生使用的是苹果手机,则需要通过手机中的App store跳转至个人中心,在点击“订阅”按钮,并在这级页面中寻找要取消的包月服务,再次选中后才可进行取消,这样才算退订完成。开通时的轻快便捷与如此冗长的取消流程形成了鲜明对比。

夸克的工作人员韩先生告诉信网,有关吴先生的情况,会进行联系与核实,询问其事情经过,核实后会给出相应的解决方案。“对于次月收取会员费的情况,都是有相关协议和提示,平台方都会进行标注,相关的条文条款也会进行注明。”

对此,青岛市消费者委员会的工作人员表示,根据相关规定,自动续费到期前必须提前告知消费者,且不能将默认不回复当成同意,消费者可搜集好相关证据进行投诉。

根据2021年5月1日施行的《网络交易监督管理办法》,其中明确规定了,对于自动续费应当在消费者接受服务前和自动展期、自动续费等日期前五日,以显著方式提请消费者注意,由消费者自主选择,并且在服务期间内,应当为消费者提供显著、简便的随时取消或者变更的选项。由此看来,时至今日若依旧存在“套路”自动续费,则涉嫌违法。

根据企查查的相关信息显示,夸克是由优视科技(中国)有限公司研发的产品,该公司于2014年04月01日在广州市工商行政管理局天河分局登记成立。法定代表人为朱顺炎,由优视科技(亚洲)有限公司100%持股。

据了解,智能搜索和网盘都是夸克主打亮点。夸克也是由UC内部孵化而来的产品,UC则于2014年整合并入阿里巴巴集团。

]]>
针对网络暴力,中央网信办出手! Wed, 18 May 2022 02:42:45 +0800 为有效防范和解决网络暴力问题,切实保障广大网民合法权益,近日,中央网信办就加强网络暴力治理进行专门部署,要求网站平台认真抓好集中整治,建立健全长效机制,确保治理工作取得扎实成效。

中央网信办有关负责人表示,这次“清朗·网络暴力专项治理行动”主要聚焦网络暴力易发多发、社会影响力大的18家网站平台,包括新浪微博、抖音、百度贴吧、知乎等,通过建立完善监测识别、实时保护、干预处置、溯源追责、宣传曝光等措施,进行全链条治理。一是建立健全识别预警机制,进一步细化网络暴力信息分类标准,强化行为识别和舆情发现,及时预警网络暴力苗头性、倾向性问题。二是建立健全网络暴力当事人实时保护机制,调整私信功能规则,及时过滤“网暴”内容,强化“一键防护”等应急保护措施,建立快速取证和举报通道,加大弹窗提醒警示力度,加强重点群体救助保护。三是严防网络暴力信息传播扩散,以社交、直播、短视频、搜索引擎、新闻资讯和榜单、话题、群组、推荐、弹窗等环节为重点,及时清理处置涉及网络暴力的评论、弹幕等内容。四是加大对违法违规账号、机构和网站平台处置处罚力度,针对首发、多发、煽动和跟风发布等不同情形,分类处置网络暴力相关账号,连带处置违规账号背后MCN机构,严肃问责处罚失职失责网站平台,会同有关部门依法追究相关人员法律责任。五是强化警示曝光和正向引导,及时公布典型案例处置情况,推动权威机构和专业人士友善评论、理性发声。

中央网信办有关负责人强调,重点网站平台要按照统一部署,结合平台特点进一步细化明确目标要求、工作措施和完成时限,抓好任务落实。中央网信办将组织督导检查,对于落实不力、问题突出的网站平台,采取严厉处置处罚措施。互联网不是法外之地,各网站平台要加强宣传,引导广大网民严格遵守法律法规,尊重社会公德和伦理道德,共同抵制网络暴力行为,坚决防止网民遭受网络暴力侵害。

]]>
北美国家财政系统遭勒索攻击:税务海关停摆,已危及国家稳定 Wed, 18 May 2022 02:42:45 +0800 近一周来,一次勒索软件攻击致使北美洲国家(位于美洲中部)哥斯达黎加共和国政府(以下简称“哥国”)的计算机系统陷入瘫痪。哥国政府拒绝支付赎金,面对恶意黑客开始公布被盗数据的情况,正努力为潜在后果做好准备。

位于俄罗斯的勒索软件团伙Conti已经宣布对此次攻击负责,但哥斯达黎加政府尚未发表相关细节的公告。

财政部受影响最严重,系统瘫痪、纳税人信息被盗

哥国财政部在周一(4月18日)首先报告了网络攻击事件。从税费征收到海关出口,财政部下辖的许多系统都受到攻击影响。随后,恶意黑客又针对社保部的人力资源系统和劳工部等其他目标发起攻击。

这次攻击导致财政部覆盖国内大部分公职人员的支付系统关停数小时,该系统同时也负责处理政府的养老金支付服务。由于支付服务无法正常进行,财政部不得不批准延期纳税政策。

Conti团伙没有公布具体赎金数额。社交媒体上有传闻称,黑客团伙开出了1000万美元的价码,但Conti团伙网站上并没有相应佐证。

哥国总统Carlos Alvardao表示,“哥斯达黎加绝不会向网络犯罪分子支付任何赎金。”

哥国财政部长Elian Villegas周三(4月20日)表示,黑客在入侵财政部海关平台后访问了 “敏感”的纳税人历史信息,但没有具体说明被泄露的数据量。

哥国企业担心,提交给政府的机密信息被黑客团伙获取,进而被公开或滥用。普通公民则担心,自己的个人财务信息可能被用于入侵其银行账户。

税务海关等平台停摆4天多,出口业务损失惨重

据路透社4月22日报道,包括税务和海关在内的一些平台连续第四天暂停运营,导致进出口出现瓶颈。哥斯达黎加出口商会在周三报告称,损失了2亿美元。

该商会执行董事Christian Rucavado表示,针对海关机构的网络攻击,已经影响到该国的进出口物流。滞留在冷库中的货品正慢慢腐烂,这是一场与时间的赛跑,而且暂时无法确定具体经济损失。贸易业务仍在继续,但运行速度远不及平常。

Rucavado解释道,“现在很多流程只能手动完成,不少边境部门出现了工作延误。我们已经要求政府采取相关补救措施,比如延长上班时间,保证进出口工作及时完成。”

他还提到,哥斯达黎加正常情况下的日均出口商品价值达3800万美元。

攻击者有俄罗斯背景,实施了双重勒索

威胁情报厂商Recorded Future的分析师Allan Liska表示,Conti团伙正在实施双重勒索:加密政府文件以破坏各部门的正常运作;如果收不到赎金,就将被盗文件公布在暗网的团队勒索网站。

Liska说,如果这些系统拥有良好备份,可以解决第一点;但如果被盗数据敏感度较高,将很可能引发大麻烦。

Liska透露,Conti团伙经常将其勒索软件基础设施,出租给愿意付钱的任何“附属团伙”,所以此次攻击的真正幕后黑手可能来自世界任何地方。

一年前,Conti勒索软件攻击曾迫使爱尔兰卫生部门关闭IT系统,大量预约、治疗与手术也被迫取消。

今年2月底,Conti团伙在俄乌冲突中声称支持俄罗斯。此举激怒了同情乌克兰的地下黑客,一位自称长期监控Conti团伙动向的安全研究员,因此公布了大量Conti内部聊天记录、代码等敏感数据。

总统称攻击者试图破坏国家稳定,安全专家认为只是金钱勒索

作为美洲中部地区政局最稳定、野生动物丰富、拥有美丽热带海滩的国家,哥斯达黎加为什么会被黑客团伙盯上?对此Liska认为,可能只是因为该国系统中的漏洞太多。“黑客团伙会搜寻特定漏洞。最可能的推测是哥政府系统中存在大量漏洞,有勒索软件黑客发现了这些漏洞并决定出手攻击。”

Emsisoft公司勒索软件分析师Brett Callow表示,他看到了哥斯达黎加财政部泄露的一份文件,“其中的数据看起来的确真实可信。”

周五(4月22日),Conti团伙在暗网博客上宣称,已经公布了50%的被盗数据,其中包含来自哥财政部及其他机构数据库的总计850 GB数据。该团伙说,“这些都是网络钓鱼的好素材,希望哥斯达黎加的黑客同行们能利用起来好好赚一笔。”

哥国总统Alvarado曾认为此次攻击与经济利益无关,但以上信息明显跟这一判断存在冲突。

Alvarado说,“在我看来,这次攻击并不是要图财,而是在威胁哥国政府换届期间的局势稳定。”他指的是自己即将卸任,新一任总统将于5月8日宣誓就职的过渡阶段。“他们绝不会得逞。”

Alvarado还暗示,这次攻击很可能源自哥斯达黎加曾公开反对俄罗斯入侵乌克兰。他强调,“数字世界中的种种,跟全球地缘政治局势有着千丝万缕的联系。”

]]>
《安联智库-网安周报》2022-04-24 Wed, 18 May 2022 02:42:45 +0800

1、上海回应“面粉官网是非法网站”:疏于运维被“黑”

4月23日消息,网上有消息称浦东新区居民收到了政府发放的“华统”牌面粉,其包装上的官网网址竟是一家赌博色情网站。
对此,上海辟谣平台向面粉生产企业山东华统面业有限公司核实获悉,浦东新区居民收到的面粉确为其工厂生产,面粉包装上的网址是其公司官网网址,但由于近期疏于运维,网页被不法分子篡改成非法赌博色情网站。
相关公司工作人员告诉上海辟谣平台,公司在22日接到有关反映后,即第一时间报警,目前警方已立案侦查。但由于官方网站是委托第三方公司建立的,服务器并不在公司内,公司目前仍无法改回官网内容,正等候警方处理。
业内人士对此表示,网站遭遇“劫持”多半与网站的网络安全管理不善引起。尤其对一些中小型企业,如网站“管理后台”密码设置过于简单,网络安全防护不到位,就容易遭到黑客攻击,导致后台管理权限及域名被劫持的情况。网信部门会对不法网站进行封堵,在此提醒相关网站负责人发挥主体责任,加强网站的日常运维和防护措施。
2、ALAC音频格式存漏洞,全球超半数 Android 用户隐私受威胁

4月21日,Check Point在其官方博客披露,研究人员在去年发现了 ALAC 格式的漏洞,这些漏洞可能导致攻击者远程访问目标设备中的媒体和音频对话。

ALAC是苹果公司2004年开发的一种无损音频格式,并于2011年正式开源。Check Point 发现,全球最大的两家移动芯片组制造商——高通和联发科都将易受攻击的 ALAC 代码移植到其音频解码器中,全球一半以上的智能手机都在使用这些解码器。

研究人员发现,该漏洞会让攻击者利用格式错误的音频文件,在目标设备上执行远程代码执行攻击 (RCE),并可进一步控制用户的多媒体数据,包括利用设备的摄像头拍摄音视频。此外,该漏洞允许特定安卓应用提权,并获得对媒体数据和用户对话的访问权。

Check Point已向联发科和高通共享了调查结果,协助处理漏洞问题。联发科将 ALAC 漏洞跟踪为 CVE-2021-0674 和 CVE-2021-0675,而高通将其跟踪为 CVE-2021-30351。这些漏洞已在2021年12月得到了修复。

3、Lapsus$黑客入侵T-Mobile的系统并窃取其源代码

Lapsus$黑客组织在3月发生的一系列网络入侵事件中窃取了T-Mobile的源代码,T-Mobile在一份声明中确认了这次攻击,并说"被访问的系统不包含客户或政府信息或其他类似的敏感信息"。在一份私人信息副本中,Lapsus$黑客组织讨论了在其七名青少年成员被捕前一周针对T-Mobile的攻击。

在网上购买了员工的凭证后,这些成员可以使用公司的内部工具--如T-Mobile的客户管理系统Atlas来进行SIM卡交换攻击。这种类型的攻击涉及劫持目标的移动电话,将其号码转移到攻击者拥有的设备上。从那里,攻击者可以获得该人的手机号码所收到的短信或电话,包括为多因素认证而发送的任何信息。

Lapsus$黑客还试图破解联邦调查局和美国国防部的T-Mobile账户。他们最终无法做到这一点,因为需要额外的验证措施。

多年来,T-Mobile已经成为数次网络攻击的受害者。虽然这次特定的黑客攻击没有影响客户的数据,但过去的事件却影响过客户的数据。2021年8月,一个漏洞暴露了属于4700多万客户的个人信息,而就在几个月后发生的另一次攻击暴露了"少量"的客户账户信息。

4、哥斯达黎加政府部分网络系统因遭黑客攻击 仍处于关闭状态

截至当地时间4月22日,因遭到国际黑客攻击,哥斯达黎加部分政府公共服务网络仍处于关闭状态。哥斯达黎加总统阿尔瓦拉多此前一天对此表示谴责。他表示,哥斯达黎加不会向国际黑客组织妥协,目前有关部门正在加紧网络管理技术升级,加固网络安全,同时评估泄漏数据的规模和损失,与国际组织和公司合作,加紧恢复受损系统。

当地时间18日,哥斯达黎加财政部的网络系统就遭到黑客攻击,政府随即采取预防性措施,关闭了部分系统。该国养老金、公共系统薪酬支付以及税收、进出口系统均受到不同程度影响。

据当地媒体报道,目前已有包括社会保障、劳工部等在内的至少6个政府部门的网络系统遭到了黑客攻击。

]]>
上海回应“面粉官网是非法网站”:疏于运维被“黑” Wed, 18 May 2022 02:42:45 +0800 4月23日消息,网上有消息称浦东新区居民收到了政府发放的“华统”牌面粉,其包装上的官网网址竟是一家赌博色情网站。

对此,上海辟谣平台向面粉生产企业山东华统面业有限公司核实获悉,浦东新区居民收到的面粉确为其工厂生产,面粉包装上的网址是其公司官网网址,但由于近期疏于运维,网页被不法分子篡改成非法赌博色情网站。

相关公司工作人员告诉上海辟谣平台,公司在22日接到有关反映后,即第一时间报警,目前警方已立案侦查。但由于官方网站是委托第三方公司建立的,服务器并不在公司内,公司目前仍无法改回官网内容,正等候警方处理。

IT之家了解到,山东华统面业有限公司始建于1994年,营业范围包含食用农产品初加工、批发、零售等。目前经营状态正常。

业内人士对此表示,网站遭遇“劫持”多半与网站的网络安全管理不善引起。尤其对一些中小型企业,如网站“管理后台”密码设置过于简单,网络安全防护不到位,就容易遭到黑客攻击,导致后台管理权限及域名被劫持的情况。网信部门会对不法网站进行封堵,在此提醒相关网站负责人发挥主体责任,加强网站的日常运维和防护措施。

]]>
数据交易危害国家安全!多家中介公司公开叫卖美军人员信息 Wed, 18 May 2022 02:42:45 +0800 美国几家市值数十亿美元的数据经纪公司被发现,正在出售所掌握的军队人员个人信息。网络安全专家和国会议员认为,这些公司的举动未受到应有的监管,并对国家安全构成了严重威胁。

数据经纪公司正在 公开叫卖军人信息

长期追踪数据经纪公司商业活动的网络安全专家、大西洋理事会网络治国倡议研究员、杜克大学政策研究室网络政策研究员贾斯汀・谢尔曼说,Axciom、LexisNexis和NielsenIQ三家大型数据经纪公司均有出售现役或退役军人个人数据的行为。

他指出,数据经纪公司收集和出售的个人数据范围广、种类多,不仅包括个人心理健康情况、信用卡交易明细、互联网搜索记录,还包括GPS实时定位信息以及政治倾向等。收集完成后,这些信息将被打包成卷,其详细程度堪称“危险级别”,可以很容易被用来对某人进行“人肉搜索”,并确认其是否现役军人。

谢尔曼说,美国目前没有任何审查程序可以对数据经纪公司出售的数据进行筛查,或监督已售数据是如何被使用的。“所以,美国的敌对国家可以很容易地开设一家表面上与政府毫无关联的空壳公司或幌子公司,然后通过这家公司购买所有需要的信息。要知道,从数据经纪公司手里购买目标人物的敏感信息所花费的成本是非常低的,”他说。

俄罗斯互联网研究局等外国机构可以利用唾手可得的美国军人及其家庭的数据,轻而易举地支持政府的信息作战、网络胁迫和敲诈或情报收集等活动。

缺乏法律约束威胁国家安全

美国共和党参议员比尔・卡思迪已注意到数据经纪公司的行为,并在去年12月举行的参议院金融委员会听证会上强调了对数据经纪公司带来的国家安全隐忧的担心。“目前无法阻止数据经纪公司向敌对国家出售军队人员个人信息的行为,”他说。“这类行为不但危险,而且对我们的国家安全构成巨大威胁。”

贾斯汀・谢尔曼对参议员的担心表示认可。他说,美国国内目前没有任何报告或执行机制监督此类行为的发生。美国的两项现行法律,《家庭教育权和隐私法案》(FERPA)和《医疗保险可携性和责任法案》(HIPAA)“只限制了特定实体对个人健康和教育信息的收集,许多心理健康APP、教育市场公司以及中介公司并不属于被限制对象,上述两项法案无法保证这些信息不被数据经纪公司获得,”他说。

“从这个角度上说,目前美国的数据经纪公司几乎不受监管,可以随意编撰美国公民的个人材料并在公开市场上肆意叫卖。对国家安全来说这是一个巨大的威胁……外国人可以旁若无人地走上来,把美国公民的敏感数据买走。”

为保护军人或其他美国公民的个人信息不再被贩卖,贾斯汀・谢尔曼在去年的一份报告中呼吁对数据经纪公司进行全面、广泛的审查,以“防止数据经纪公司把美国公民的信息出售给外国实体”。

卡思迪、尤恩・奥索福和罗恩・威登等几位参议员则在推动相关法律的出台,建议禁止向不友好的外国公司和政府出售个人数据,并将数据经纪公司向敌对国家出售军人数据与信息的行为标定为非法。

相关方对数据流失反应冷淡

经纪公司造成数据流失的危害已逐渐显露出来。据称2020年7月联邦法官埃瑟・萨拉斯(Esther Salas)之子在其住所外被杀害,背后就有数据经纪公司的影子。凶手就是从一家数据经纪公司手里买到了法官的住址。萨拉斯在接受《纽约时报》采访时愤怒地谴责,法官们的住址、住宅照片以及车辆牌照等信息可以很容易地从网上或数据经纪公司手里获得。

“就我儿子的案件而言,枪手很轻松地获得了诸如我的上班路线、我的密友名单、我常去的教堂等信息,构建出我的生活档案,悄悄潜入我的社区,”萨拉斯说。“所有这一切都完全合法。枪手合法地获得了我的个人信息,然后夺走了我们唯一的孩子的生命。”

军人信息流失或泄露会造成国家安全层面上的危害。比如2018年1月,媒体和研究人员发现,使用Strava应用软件的健身爱好者竟然因为发布个人锻炼热力地图而暴露了秘密军事基地以及CIA秘密监狱的存在。美国公民自由联盟高级技术员丹尼尔・凯恩・吉尔摩尔因此建议,包括军人在内的个人在使用Strava、Waze或Google Maps等地图软件时,应该时刻提防自己的位置信息遭到数据经纪公司的分享。

尽管如此,相关方对数据流失一事反应仍十分冷淡。

美国国防部发言人只是通过邮件发布声明,称本部门“已获悉此事,正实施一系列方案帮助现役和退役人员保护各自的私人信息”。

被批评出售军人信息的三家公司中,Axciom和NielsenIQ并未对此事做出回应,LexisNexis公司则在声明中辩解称,本公司“只在联邦法律允许的情况下,配合银行和其他金融机构的要求严格使用军人的个人信息。除此之外,我们在商业活动中并未使用与军队人员有关的数据“。

吉尔摩尔表示,一切都是利益使然。“这些数据经纪公司的任务只是让本公司的利益最大化,”吉尔摩尔说。“他们掌握着海量数据。这时如果有人过来对他们说,‘我们用一大笔钱换你们的数据,’他们又有什么理由拒绝呢?”

]]>
在线会议APP开启静音后,仍在收集麦克风数据 Wed, 18 May 2022 02:42:45 +0800 研究人员发现在线会议APP静音按钮后仍在收集麦克风数据。

受新冠疫情影响,全球对在线视频会议应用的需求暴涨。近日,研究人员对主流在线视频会议应用进行分析,发现按下静音键后可能并没有静音,应用可能仍然在使用用户麦克风。

当前在线视频会议应用主要基于iOS、安卓、Windows和Mac操作系统。研究人员对选定APP进行了运行时二进制文件分析以确定每个APP收集了哪一类数据,以及数据是否构成隐私威胁。测试的APP包括Zoom、Slack、微软 Teams/Skype、Google Meet、Cisco Webex、BlueJeans、WhereBy、GoToMeeting、Jitsi Meet和Discord。

研究人员追踪了APP以及底层操作系统驱动在网络上传输的原始数据,以确定用户按下静音按钮后的变化。

Windows 10系统在线视频会议系统数据流

研究人员分析发现无论静音的状态如何,所有的APP都会定时收集音频数据,除了使用浏览器软件静音特征的web客户端。

比如,Zoom在静音状态下也会追踪用户是否在讲话。Cisco Webex在用户按下静音按钮后仍然会从用户的麦克风接收音频数据,并传输给厂商的服务器,这与没有按下静音按钮的数据流是一致的。这与webex的隐私政策描述是不相符的。

研究人员APP收集的数据可以用于进一步分析用户行为。研究人员发现在82%的情况下可以利用一个简单的机器学习算法对用户按下静音按钮后从麦克风收集的用户数据来成功推测用户行为,包括按键盘、做饭、吃、听音乐、打扫卫生等。

收集的用户音频数据分类

即使厂商的服务器是安全的,传输线路也是加密的,其雇员也不会滥用这些数据,但仍然可能有攻击者利用中间人攻击来对用户发起攻击。

4月15日,Cisco 回应称,Webex会收集麦克风的遥测数据来告知用户其是静音状态。

2022年1月,Cisco已经不再传输麦克风的遥测数据了。隐私建议

首先,阅读隐私策略以确定数据是如何管理的,以及使用此类在线视频会议软件的潜在风险是什么。

第二,如果麦克风是通过USB或其他设备连接到计算机的,那么可以在静音时拔掉麦克风。

第三,使用操作系统的音频控制设置来对麦克风的输入信道静音,这样的话,所有的APP都不会收到音频输入。

]]>
哥斯达黎加政府部分网络系统因遭黑客攻击 仍处于关闭状态 Wed, 18 May 2022 02:42:45 +0800 截至当地时间4月22日,因遭到国际黑客攻击,哥斯达黎加部分政府公共服务网络仍处于关闭状态。哥斯达黎加总统阿尔瓦拉多此前一天对此表示谴责。他表示,哥斯达黎加不会向国际黑客组织妥协,目前有关部门正在加紧网络管理技术升级,加固网络安全,同时评估泄漏数据的规模和损失,与国际组织和公司合作,加紧恢复受损系统。

当地时间18日,哥斯达黎加财政部的网络系统就遭到黑客攻击,政府随即采取预防性措施,关闭了部分系统。该国养老金、公共系统薪酬支付以及税收、进出口系统均受到不同程度影响。

据当地媒体报道,目前已有包括社会保障、劳工部等在内的至少6个政府部门的网络系统遭到了黑客攻击。


]]>
FBI警告勒索软件攻击食品和农业公司威胁粮食生产 Wed, 18 May 2022 02:42:45 +0800 美国联邦调查局警告食品和农业公司,要做好准备,防止勒索软件操作者在播种和收获季节攻击农业实体。联邦调查局的警告指出,以前在这些季节对6个粮食合作社的勒索软件攻击是在2021年秋收期间进行的,2022年初的两次攻击可能通过破坏种子和化肥的供应而影响种植季节。

"网络犯罪分子可能将农业合作社视为有利可图的目标,由于它们在农业生产中扮演着时间敏感的角色,他们愿意付费,"BlackFog首席执行官兼联合创始人Darren Williams博士说。"去年,我们看到最大的肉类加工公司之一JBS食品公司、价值数十亿美元的乳制品公司Schreiber、位于明尼苏达州的农场供应和谷物营销合作社Crystal Valley以及位于爱荷华州的农场服务提供商NEW Cooperative等受到攻击后,食品供应中断了。"

Williams补充说:"不幸的是,勒索软件攻击正在以无与伦比的速度增加,许多组织仍然依赖过时的技术来防御它们,因此,针对我们的食品供应的破坏性攻击的机会比以往任何时候都高。"

俄罗斯与乌克兰之间近期爆发的战争也凸显了粮食安全问题,这可能会看到许多国家认真对待这一威胁,英国也已经发布了类似的指导意见。

Comparitech公司的安全专家Brian Higgins说:"农民和食品生产已经被网络犯罪分子盯上一段时间了。英国国家网络安全中心(NCSC)在2020年12月发布了指南,美国当局也在跟进,这并不奇怪。犯罪分子总是会在最脆弱的地方攻击他们的目标,以最大限度地施加压力来满足他们的要求。这就是为什么种植和收获季节是农业界特别感兴趣的原因。再加上COVID-19大流行带来的持续的供应链困难,你就会明白为什么这个行业需要提高它的游戏规则并认真对待这些威胁。农民的利润率传统上是非常微薄的,所以一次成功的攻击可能对个别企业或集体造成难以置信的伤害。如果网络犯罪分子来敲门,基本的网络保护必须到位。"

Armis公司的首席信息官Curtis Simpson警告说,"许多食品和农业供应链也是由小型企业促成的。其中一些业务已经受到大流行病的影响,任何此类攻击都可能使他们永远失去业务。再一次,当这种情况发生时,从食品服务提供者到餐馆到医院和消费者的下游业务都会遭遇产品采购问题。"

]]>
Lapsus$黑客入侵T-Mobile的系统并窃取其源代码 Wed, 18 May 2022 02:42:45 +0800 Lapsus$黑客组织在3月发生的一系列网络入侵事件中窃取了T-Mobile的源代码,T-Mobile在一份声明中确认了这次攻击,并说"被访问的系统不包含客户或政府信息或其他类似的敏感信息"。在一份私人信息副本中,Lapsus$黑客组织讨论了在其七名青少年成员被捕前一周针对T-Mobile的攻击。

在网上购买了员工的凭证后,这些成员可以使用公司的内部工具--如T-Mobile的客户管理系统Atlas来进行SIM卡交换攻击。这种类型的攻击涉及劫持目标的移动电话,将其号码转移到攻击者拥有的设备上。从那里,攻击者可以获得该人的手机号码所收到的短信或电话,包括为多因素认证而发送的任何信息。

Lapsus$黑客还试图破解联邦调查局和美国国防部的T-Mobile账户。他们最终无法做到这一点,因为需要额外的验证措施。

"几周前,我们的监控工具检测到一个有害行为者使用偷来的凭证进入内部系统,并在这些系统里操作工具软件,我们的系统和程序按照设计工作,入侵被迅速关闭和封闭,所使用的受损凭证也被淘汰了。"T-Mobile事后这样回复。

多年来,T-Mobile已经成为数次网络攻击的受害者。虽然这次特定的黑客攻击没有影响客户的数据,但过去的事件却影响过客户的数据。2021年8月,一个漏洞暴露了属于4700多万客户的个人信息,而就在几个月后发生的另一次攻击暴露了"少量"的客户账户信息。

Lapsus$作为一个主要针对微软、三星和NVIDIA等大型科技公司源代码的黑客组织,已经声名鹊起。据报道,该组织由一名十几岁的主谋领导,还针对育碧公司、苹果健康合作伙伴Globant和认证公司Okta。

]]>
网络安全诉讼风险:首席信息安全官最关心的4个问题 Wed, 18 May 2022 02:42:45 +0800 出处:企业网D1Net

网络安全和数据保护将成为法律纠纷的主要驱动因素。那么,首席信息安全官最应该关注哪些网络安全诉讼风险?以及他们能做些什么?本文介绍了首席信息安全官在这一领域中需要关心的四个问题。

网络安全诉讼的威胁足以让企业领导者彻夜难眠,而数据保护、隐私和网络安全法规的日益普及正在给首席信息安全官带来巨大的压力。

根据英国诺顿罗氏律师事务所对250多名法律顾问和内部诉讼从业者进行的年度诉讼趋势调查,网络安全和数据保护将成为未来几年新的法律纠纷的主要驱动因素。三分之二的受访者表示,他们在2021年更容易受到此类纠纷的影响,而2020年这一比例不到一半,而同时更复杂的网络攻击、对远程环境中的员工/承包商的监督更少,以及对客户数据量的担忧都被列为影响因素。

显然,对于首席信息安全官及其企业而言,面临的诉讼风险是非常现实的,但他们最关心的问题是什么,能做些什么呢?

01数据泄露引发诉讼

专门从事技术和合规法律事务的律师兼Cordery公司合伙人Jonathan Armstrong表示,在过去18个月到两年中,企业因数据泄露而面临诉讼的可能性显著增加,尤其是当企业被认为没有很好地处理数据泄露事件时。他补充说:“现在出现数据泄露事件的话,引发诉讼是必然的。”

eSentire公司战略和企业发展副总裁Alex Jinivizian表示,虽然法律行动的倾向由于所在的地理位置而有所不同,但网络攻击的持续规模已导致各国政府、行业和监管机构对安全性做出更明确的判断,为采取更多法律行动打开了大门。他说:“美国人事管理办公室、Equifax、Marriott、Target公司的一些引人注目的数据泄露事件导致了针对这些公司的重大诉讼,涉及网络安全标准较差导致的员工或客户的机密数据丢失。”

Armstrong警告说,这对企业来说可能是相当大的影响。他说,“目前在不同案件中寻求的损害赔偿很高。例如TikTok公司在荷兰面临15亿欧元的诉讼,其他国家也有类似的高额索赔,包括英国和德国。多年来,与数据相关的诉讼也一直是美国企业面临的风险。”

首席信息安全官受到诉讼

网络安全诉讼的风险不仅限于企业,也涉及个人。Signature Litigation公司合伙人Simon Fawell表示,如果没有采取足够的措施来防止数据泄露行为,或者违规的后果处理不当,首席信息安全官本身将面临因失职而受到法律诉讼。

Jinivizian对这一观点表示认同,他说:“首席信息安全官的角色对大中型企业来说从未像现在这样重要,而且在安全事件和数据泄露事件中可能扮演着更重要的角色,在2020年毁灭性的供应链攻击之后,针对SolarWinds公司的首席信息安全官和其他高管的集体诉讼就是明证。”

Armstrong补充说,Uber公司的首席安全官涉嫌试图掩盖与2016年攻击有关的勒索软件的赎金,此次攻击泄露了数百万名用户和司机的数据,这也证明了这一点。

Fawell表示,如果首席信息安全官担任企业董事,那么他们可能会因为数据和隐私泄露而面临股东违规行为。他说,“在英国,股东对企业董事的诉讼一直在增加,在数据泄露导致股东利益受损的情况下,越来越多地考虑对企业董事提出索赔。这反映了其他司法管辖区的趋势,例如在美国,首席信息安全官已经成为因违反职责而备受关注的索赔对象。”

02商业秘密丢失和声誉受损

数据泄露或隐私诉讼的潜在后果包括巨额罚款、民事和刑事处罚、声誉损害以及对股价的不利影响。所有这些都可以单独或组合影响企业和首席信息安全官。Signature Litigation公司的合伙人Alasdair Marshall补充说,如果丢失了重要信息,损失可能会非常大。他说,“例如,如果中间人或代理人发生违规事件并丢失重要信息,可能对另一家公司的声誉造成严重损害的商业机密或信息,这可能会导致重大诉讼。近年来,‘巴拿马文件’和瑞士信贷事件凸显了越来越多的个人寻求获取敏感信息并将其发布到市场上。”

Marshall说,“此外,为诉讼辩护可能既昂贵又耗时。虽然英国的制度允许胜诉方从败诉方那里收回诉讼费用,但很少会全额收回用于法律费用和辅助费用的金额。诉讼还需要首席信息安全官和董事会层面的高度关注,这将更有成效地专注于发展和保护未来的业务。”

ForgeRock公司首席信息安全官Russ Kirby表示,诉讼也可能对网络保险事项产生直接影响,影响保险、续约和新业务等事项。而不会受到诉讼影响的公司和首席信息安全官通常将客户放在首位,他们致力保持透明,尽一切努力帮助客户将影响降至最低,并分享他们计划采取的步骤以确保不会再次发生这种情况。

03法规和要求

专家一致认为,地理因素对于首席信息安全官及其企业面临的诉讼风险尤为重要。例如,英国最高法院在Lloyd诉谷歌案中做出裁决,终止了现有程序框架下的“选择退出”集体诉讼,并强调了根据英国法律提起大规模数据索赔的困难,之后,大规模违规群体诉讼的威胁在英国有所减少。他补充说:“虽然这项裁决没有完全阻止在数据隐私案件中提起集体诉讼的可能性,而且英国法院仍有许多不同的诉讼可能会取得成功,但这对索赔者来说是一个相当大的挫折。”

话虽如此,受数据泄露影响的个人获得赔偿的压力越来越大,在相对不久的将来看到针对数据隐私案件引入某种形式的选择退出集体诉讼制度也就不足为奇了。Fawell说,“英国已经针对竞争主张引入了退出机制,数据隐私将是类似方法的下一个合乎逻辑的领域。”他指出,尽管目前英国大规模集体诉讼的威胁已经减弱,但个人诉讼的威胁仍然非常明显,尤其是在高价值的数据可能受到损害的情况下。他说,“GDPR法规和英国相关的立法提高了人们对数据隐私问题的认识,并更加关注商业交易中的合同条款。”

咨询机构Guidehouse公司的诉讼支持服务负责人、前首席信息安全官Jack O'Meara说,“就美国而言,这些事情可能会变得更加复杂。例如,在美国国防工业基地承包商工作的首席信息安全官需要遵守美国国防采购条例(DFARS)252.204-7012保护涵盖的国防信息和网络事件报告,而在纽约金融机构工作的首席信息安全官需要遵守纽约州金融服务部23NYCRR500对金融服务公司的网络安全要求。”

与此同时,一名法官最近批准了由Kemper保险公司的原告提起的1760万美元的集体和解,该原告指控其违反了加州的《消费者隐私法》,而美国证券交易委员会(SEC)已经针对上市公司提出了新的强制性网络安全披露规则,以及为私募股权和投资公司提供书面网络政策和程序、增强的报告和记录管理。

O'Meara补充说,最终,美国首席信息安全官需要了解其企业合同中包含的特定网络安全要求,还需要了解适用于其行业和地理区域的法规和要求。

04降低诉讼风险

Kirby表示,为了减轻和降低诉讼风险,首席信息安全官必须首先检查他们的安全计划在严格审查下是否“可防御”,是否能够改变和适应新的威胁。他说,“例如,如果它无法解决有关其协议是否符合当地法律和行业标准的问题,那么需要迅速采取行动解决这些问题。”

Fawell列举了以下五个问题,这些问题有助于从诉讼的角度衡量违规响应计划的有效性:

(1)谁是需要联系的主要服务提供商?

(2)内部沟通渠道是什么?谁要求指导律师和其他主要顾问?是首席信息安全官还是需要其他高管批准?

(3)如果系统宕机,处理漏洞的关键人员如何安全沟通?

(4)哪种类型的违规行为最有可能对企业造成影响?谁是最有可能受到影响的交易对手?

(5)与交易对手的合同中的数据隐私条款有什么要求?这些合同中是否有通知要求?

Fawell补充说,“计划的范围至少可以从确保上述问题和其他问题的答案得到考虑,并且处理违规行为的关键人员要知道答案,到完全模拟违规行为到压力测试过程。”

O'Meara表示,首席信息安全官应该能够在需要时提供文件化的政策和程序,包括合规性文件、安全配置设置的屏幕截图、防火墙日志、访问审计日志、用户计算机系统和应用程序访问请求表,以及员工安全培训记录。

Armstrong建议首席信息安全官与习惯于在事件发生之前处理此类风险和诉讼的律师进行接触。他说,“当确实发生了攻击事件时,重要的是不要试图把它当作一个孤立的事件来处理。”

同样,O'Meara建议美国的企业与内部法律顾问合作,以了解诉讼风险以及相关的影响和后果。

Fawell指出,首席信息安全官熟悉企业网络保险政策的条款也很重要,主要是涵盖/不涵盖哪些内容以及发生违规时的通知要求。他说,“保险公司通常应该是最早的联系渠道之一。不仅确保承保范围很重要,保险公司通常也是有关如何处理某些方面违约的信息和建议的良好来源。”

此外,网络安全领导者必须知道在违规后立即记录哪些信息。他说,“重要的是要对所做出的决定及其原因保持清晰的审计跟踪。然而,在处理立即具有挑战性的情况时,以书面形式记录判断错误的评论(通常来自高级人员)并不少见,这在以后的法律诉讼中可能没有帮助。尤其重要的是,每个人都要了解哪些可能在相关司法管辖区受到法律特权的保护,以及哪些不会。”

Armstrong已经看到了这种情况。他说,“特权至关重要。在通常情况下,诉讼当事人很早就要求查看内部备忘录、通讯和报告。如果没有正确设置特权,可能不得不披露所有材料。”

Fawell建议,在可能的情况下,明智的做法是在关键人员之间召开会议,以建立清晰的沟通渠道,并确保审计追踪准确而清晰地详细说明响应过程。

]]>
小心,LinkedIn的求职简历被“坏蛋”盯上了 Wed, 18 May 2022 02:42:45 +0800 通常,在如 LinkedIn等平台上寻找工作的求职人员往往会成为被黑客攻击的对象,但现在,有人反其道而行之,将目标对准了企业的招聘人员。

4月21日,网络安全公司eSentire在其官方博客中表示,名为“more_eggs”(更多蛋) 的恶意软件正潜藏至求职简历中,如果企业招聘官打开简历中的附件,恶意软件将自动安装,将恶意代码传递给合法的 Windows 进程,以对企业公司银行账户、电子邮件账户和 IT 管理员账户进行窃取。同时该恶意软件还能通过TeamViewer 传播到其他计算机。

到目前,eSentire已监测到 4起由more_eggs引发的安全事件,其中3起发生在3月底,受到攻击的企业组织包括一家总部位于美国的航空航天国防公司、一家大型英国注册会计师事务所、一家总部位于加拿大的国际商业律师事务所以及加拿大全国人事代理机构。

由于上述4起攻击都被成功阻止,安全研究人员无法确定恶意软件的最终目标是什么,但其实在一年前,more_eggs就已活跃在LinkedIn平台,只是那时的目标与现在恰恰相反,黑客并没有冒充成求职者发送带毒简历,而是盯上了企图寻找工作的专业求职人员,通过向他们发送带有恶意附件的求职邀约窃取其个人数据信息。

对于像more_eggs这样的勒索软件,如果能在航空航天、律师事务所、注册会计师事务所和企业人事代理机构的系统环境中站稳脚跟可能非常有利可图,可用来实施部署勒索软件、窃取知识产权、窃取公司银行账户凭证或进行商业电子邮件欺诈等行为。

]]>
ALAC音频格式存漏洞,全球超半数 Android 用户隐私受威胁 Wed, 18 May 2022 02:42:45 +0800 4月21日,Check Point在其官方博客披露,研究人员在去年发现了 ALAC 格式的漏洞,这些漏洞可能导致攻击者远程访问目标设备中的媒体和音频对话。

ALAC是苹果公司2004年开发的一种无损音频格式,并于2011年正式开源。Check Point 发现,全球最大的两家移动芯片组制造商——高通和联发科都将易受攻击的 ALAC 代码移植到其音频解码器中,全球一半以上的智能手机都在使用这些解码器。

研究人员发现,该漏洞会让攻击者利用格式错误的音频文件,在目标设备上执行远程代码执行攻击 (RCE),并可进一步控制用户的多媒体数据,包括利用设备的摄像头拍摄音视频。此外,该漏洞允许特定安卓应用提权,并获得对媒体数据和用户对话的访问权。

Check Point已向联发科和高通共享了调查结果,协助处理漏洞问题。联发科将 ALAC 漏洞跟踪为 CVE-2021-0674 和 CVE-2021-0675,而高通将其跟踪为 CVE-2021-30351。这些漏洞已在2021年12月得到了修复。

CheckPoint 的研究人员没有透露该漏洞的更多细节以避免在野外被利用,但他们计划在 2022 年 5 月即将举行的 CanSecWest 公布更加详细的信息。

]]>
俄乌冲突引发顾虑 五眼网络安全部门建议盟友增强关键基础设施防护 Wed, 18 May 2022 02:42:45 +0800 以美国为首的“五眼”网络安全部门,刚刚向其盟友(包括英国、加拿大、澳大利亚和新西兰)发出了关键网络基础设施的维护警告。美国家安全局(NSA)给出的理由是 —— 受俄罗斯支持的黑客组织,或对乌克兰境内外的组织构成更大的风险 —— 因而建议各组织对相关网络威胁保持高度警惕,并遵循联合咨询中提当过的缓解措施,以增强 IT 和 OT 网络。

周三的联合公告,建立在 FBI、CISA 和 NSA 于今年 1 月发布过的类似公告的基础之上,揭示了针对美国关键基础设施部门的俄罗斯黑客攻击威胁有所加剧。

CISA 主任 Jen Easterly 补充道:近期情报表明俄政府正探索针对美国关键基础设施的潜在网络攻击选项。

而与跨机构国际合作伙伴共同发布的此公告,旨在强调受俄政府支持和结盟的网络攻击组织的威胁和能力。

在官方给出的建议中,包括了对组织里的关键基础设施加强防御,以保护其信息技术(IT)和运营技术(OT)网络不受各种网络威胁的影响 —— 包括勒索软件、破坏性恶意软件、DDoS 攻击、以及网络间谍活动等。

CISA 建议优先修补那些已在野外被积极利用的漏洞、落实多因素身份验证,并为远程桌面协议(RDP)套上一道安全门。

同时对于终端用户来说,也应开展有针对性的培训,以提升其对于网络安全的忧患意识。

]]>
未打补丁的Exchange服务器遭Hive勒索攻击 逾期就公开数据 Wed, 18 May 2022 02:42:45 +0800 虽然在 2021 年微软就已针对 Hive 勒索软件发布 Exchange 服务器的安全补丁,并敦促企业及时进行部署,但是依然有一些组织并没有及时跟进。消息称这些尚未跟进的组织近日再次遭受了 Hive 勒索软件的攻击,被黑客获得了系统权限。

在攻击获得系统权限之后,该勒索软件就会通过 PowerShell 脚本启动 Cobalt Strike,并创建了一个名为“user”的新系统管理员账户。

然后,攻击者使用 Mimikatz(一款功能强大的轻量级调试神器)来窃取域管理员的 NTLM 哈希值,并获得对该账户的控制。在成功入侵后,Hive 进行了一些发现,它部署了网络扫描仪来存储 IP 地址,扫描文件名中含有"密码"的文件,并尝试RDP进入备份服务器以访问敏感资产。

最后通过“Windows.exe”文件执行一个自定义的恶意软件有效载荷,用于窃取并加密文件,删除影子副本,清除事件日志,并禁用安全机制。随后,会显示一个勒索软件的说明,要求该组织与Hive的"销售部门"取得联系,该部门设在一个可通过 Tor 网络访问的.onion 地址。

被攻击的组织还被提供了以下指示:

不要修改、重命名或删除*.key.文件。你的数据将无法解密。

不要修改或重命名加密的文件。你会失去它们。

不要向警察、联邦调查局等机构报告。他们并不关心你的业务。他们只是不允许你付款。结果是你将失去一切。

不要雇用恢复公司。没有密钥,他们无法解密。他们也不关心你的业务。他们认为自己是好的谈判者,但事实并非如此。他们通常会失败。所以要为自己说话。

不要拒绝(sic)购买。渗出的文件将被公开披露。

如果不向Hive付款,他们的信息将被公布在 HiveLeaks Tor 网站上。同一网站上还会显示一个倒计时,以迫使受害者付款。

该安全团队指出,在一个例子中,它看到攻击者在最初入侵的72小时内设法加密环境。因此,它建议企业立即给Exchange服务器打补丁,定期轮换复杂的密码,阻止 SMBv1,尽可能限制访问,并在网络安全领域培训员工。

]]>
国家邮政系统遭网络攻击,这个国家养老金发放部分中断 Wed, 18 May 2022 02:42:45 +0800 近日,位于东欧地区的保加利亚邮政的计算机系统遭遇网络攻击,导致养老金与复活节津贴无法正常发放。

4月18日上午,保加利亚邮政曾保证付款操作不受影响,然而在普罗夫迪夫、鲁塞等城市,许多领取者仍然发现自己领不到养老金与假期津贴。

本次黑客攻击被发现于4月16日(周六),保加利亚邮政立刻采取行动,将系统转移至该国云基础设施,并正在评估网络攻击对系统造成的具体影响。

普罗夫迪夫中央邮局的工作人员拒绝了大量养老金领取申请,并解释称电脑系统已经无法工作。不过,受影响的仅有柜台业务,选择银行转账的用户仍可正常接收款项。保加利亚国家社会保障研究所也透露,各邮政分局的汇款未出现延误。

没法及时拿到养老金,无疑给许多老年人的生活带来了意外打击。一些老年人来来回回跑了多家邮局,但等待他们的只有一次次失望。

本次付款中断已经波及到保加利亚国内多家邮局。

普罗夫迪夫的一些小型邮政分局开始灵活应对,他们成立临时小组,单独开辟一个窗口,根据清单向老人们支付养老金和假期津贴。不过受系统故障影响,缴费用户仍然无法正常付账。

在鲁塞,不少老年人已经开始担心拿不到养老金,没法应付即将到来的复活节假期。

保加利亚邮政拒绝就此事接受采访。

保加利亚电子政务部称,已经意识到问题的存在,并正在努力开展调查。

保加利亚副总理Kalina Konstantinova在社交媒体上解释道,民众不必担心,复活节津贴一定能够发放到位。工作人员正尽一切努力加快解决相关技术故障。但Konstantinova也承认,过去十年以来,保加利亚邮政的网络安全问题一直遭到系统性忽视。

]]>
警惕!失控的无人机可能成为新的网络攻击杀手 Wed, 18 May 2022 02:42:45 +0800 CSO在线4月20日刊文的称,越来越多的商业用途和很少的内置防御,使无人机成为恶意行为者的有吸引力的目标。

关键基础设施运营商、执法部门和各级政府都忙于将无人机纳入其日常运营。无人机正被用于支持传统基础设施以及农业、公用事业、制造业、石油和天然气、采矿和重工业的一系列应用。无人机制造商和行业最终用户刚刚开始认识到,其互联企业的所有要素都具备毕马威 (KPMG) 战略和创新负责人Jono Anderson所称的“强大的能力,包括单架无人机、互联无人机机队、云/企业能力,以及它们之间的所有通信。”

无人机是“飞行的计算机”和新的攻击向量

尽管存在潜在漏洞,但许多无人机系统并未使用更高级别的安全架构。根据Jono Anderson的说法,“在无人机的互联系统中,无人机内部和周围不断增长的通信‘迷雾’会产生多个攻击向量,可能会暴露单个无人机或整个机队的关键系统,甚至可能暴露整个云和企业。”

尽管无人机为运营商提供了已经证实的众多好处,但它们也带来了严重的网络安全风险。无人机本质上是一台飞行的计算机,就像普通计算机一样,它们充满了潜在的网络威胁。安永技术咨询高级经理Joshua Theimer说:“组织所做的大部分工作都集中在确保无人机的运行符合外部州级和联邦法规。” 由于目前采购的许多无人机都是制造商专有的,因此Theimer认为,制定“基础的组织安全策略”以在使用无人机的生态系统周围提供适当的安全性至关重要。 

网络安全历来不是无人机制造商和无人机用户的主要优先事项。Theimer的评估是,无人机的漏洞仍然“对于那些熟悉该领域的人来说是众所周知的”。例如,参与无人机逆向工程的人员普遍意识到各种无人机和制造商的漏洞。

当担心恶意软件传播到企业环境中时,Theimer注意到“组织在无人机和与支持这些无人机和企业网络的其他部分相关的设备之间实施了气隙隔离”,以确保设备永远不会连接到企业网络。

美国网络安全和基础设施安全局(CISA)的基础设施安全项目专家塞缪尔·罗斯特罗 (Samuel Rostrow) 说:“无人机会给组织带来网络安全威胁,并带来数据泄露的风险。”CISA于2019年向关键基础设施行业发布了相关警报,警告外国制造的无人机可能对组织的敏感信息构成威胁。2021年7月,国防部关于DJI系统的声明再次确认了警报中的信息和指导。

攻击者如何攻陷并操控无人机?

Orange嵌入式系统安全专家David Armand担心,除了军用无人机外,无人机安全投资“与产品成本相比仍然很低。无人机是非常吸引人的目标,因为攻击成本远低于娱乐或专业无人机的价值。威胁分为两类:对无人机的攻击和使用无人机进行的攻击。”

从无人机本身提取信息是一个脆弱点。在无人机操作员和无人机本身之间的通信过程中,系统很容易受到攻击。Theimer指出“允许观察、中断或接管命令到控制链接的漏洞”。

Armand的研究表明,破坏无人机的软件或硬件,甚至是控制器(例如手机)都可以通过供应链攻击来实现。他举了两个例子:

操作3D打印机的螺旋桨设计文件可以让无人机在打印的螺旋桨分解之前在高空飞行。

通过收集手机上收集的信息(用户和无人机的蜂窝网络ID和GPS位置),攻击者可以执行“强制更新”并在没有用户控制的情况下执行代码。

Theimer担心“今天许多制造商继承和使用社区开发的软件包,这些软件包并不总是为安全而设计或审查的。” 随着无人机变得更加强大和复杂,漏洞扩散的机会只会增加。

与围绕使用新兴技术的大多数安全考虑一样,与使用无人机相关的威胁模型和风险分析与组织风险态势一致通常是最佳方法。Theimer对该行业的目标是“确保与使用无人机和网络准备相关的风险与组织的安全态势保持一致。”

无人机供应商需要关注安全性

专注于无人机的网络解决方案的商业市场仍处于初期阶段,因为报告的攻击数量仍然相对较少。因此,优先考虑无人机安全的需求很低。“很少有组织在网络安全方面进行重大投资。虽然一些主要的无人机制造商已经进行了重大和有意的投资,这可能是由于美国政府公开审查的结果,但许多无人机仍然不安全。

“公司需要专注于提高产品安全性,特别是与无人机上的平台软件相关,以及与无人机之间的通信,以减少无人机被接管或失去指挥权的可能性,毕马威的”网络安全负责人Rik Parker表示。“例如,潜在的漏洞可能会延伸到供应链中,那里通常有不同的监管点,并且可以依赖开源代码。这可能导致依赖第三方开发流程来开发关键硬件的安全代码,如果被利用,可能会导致敏感数据和情报丢失或潜在的生命损失。” 鉴于无人机部署的敏感性,他建议供应商为访问监控和行为分析增加一层覆盖范围,以识别潜在的风险或威胁。

Orange对Parrot Corp的产品进行了安全评估。Armand透露,他们“通过 Orange安全专家社区与他们进行了有趣的技术交流”。Parrot解决专业无人机不同级别的网络安全问题:

通过使用多个卫星星座防止GPS欺骗

通过使用里程计技术,通过漂移测量计算位置来防止干扰

使用蜂窝连接而不是Wi-Fi,为无人机管理提供更安全的无线协议

使用安全存储在安全元件中的设备唯一证书进行无人机身份验证。

Armand列举了Regulus、InfiniDome和Septentrio等公司,这些公司拥有可用于检测、缓解和报告GNSS欺骗攻击的商业产品。他指出,包括泰雷兹和英特尔在内的大公司也积极参与无人机安全的探讨。

无人驾驶车辆系统国际协会执行副总裁迈克尔·罗宾斯(Michael Robbins)认为,商业和国防都专注于“确保数据存储和传输、数据保留和处置、保护无人机操作的数据链路以及监控违规或恶意软件”。他指出,商业和国防之间的区别在于“他们防御的网络攻击类型、他们保护的数据和信息,以及有关安全、运营和报告的法律要求。” 

无人机安全的法规和控制框架尚属空白

越来越多的专家认为,需要更好的法规来应对无人机网络安全挑战。例如,Parker认为无人机产品“应该受到网络安全的严格控制,以保护无人机产品提供的预期服务的软件平台以及通信和控制机制。” 他认为需要新的案例控制框架。

在法规和框架方面目前取得了一些进展。美国白宫于2021年发布了第 13981号行政命令 ,该命令指示联邦实体评估和限制联邦政府对“受保护”无人机(如EO中的定义)的使用。CISA 一直在推荐网络安全最佳实践 以降低风险,并推动行业专注于符合Blue UAS标准的无人机,这些无人机已获得国防部认证,符合联邦网络安全标准。

为本文咨询的大多数专家都看到对无人机网络安全的兴趣有所上升。谈到更广泛的网络安全世界,毕马威的安德森认为,“它不能再仅仅被视为一项企业挑战。这是一个更广泛、更复杂的工程、生产和运营挑战。它需要新的方法来解决潜在的漏洞,包括软件和电子设备的渗透,修改与无人机之间的通信,以及它在云或企业中的计算平台。”

]]>
“分身”软件不正当竞争,微信获赔315万元 Wed, 18 May 2022 02:42:45 +0800 一键转发、一键集赞、自动抢红包……第三方插件“丰富”了微信功能,为何却要赔偿300多万元;逐条看微博太麻烦,有软件能“帮忙”抓取、展示微博数据,甚至还能整理成分析报告,可这种软件其实侵了权;“大会员”太贵,有平台可以租赁账号,经济实惠,但这种“中介”平台其实是网络“灰产”……近日,海淀法院发布《知识产权审判白皮书》,提出:新类型网络不正当竞争案件呈现六大特点。

案例一:“分身”软件不正当竞争 微信获赔315万元

不少人都接触过一款被称为“手机神器”的软件——“X分身软件”——用户只要一部手机就可以实现对第三方软件的双开,比如微信,QQ,微博,陌陌等主流应用。用户通过该软件打开微信客户端,就可获得微信伪装、一键转发、一键集赞、消息防撤回、自动抢红包、语音转发等微信软件本不具有的功能。

然而,对于这款第三方插件,微信公司认为,其构成不正当竞争,妨碍,破坏微信软件的正常运营,提出索赔4500万元。

法院审理认为,被告公司通过涉案软件在用户手机中制造虚拟主机环境,在该环境下对微信软件正常运行进行干扰和破坏,以实现涉案6项功能。涉案功能是通过技术手段予以实现,使微信后台正常运行逻辑受到干扰,必然增加微信公司运营微信的负担。而且,涉案软件妨碍微信作为一款真实社交应用软件的功能发挥,改变了微信真实的运行状态,降低了用户对微信的信任度。法院还认为,被告软件还损害了相关微信用户的自主选择权、知情权、隐私权等消费者权利,长此以往,用户对微信服务的评价与信赖也必然降低。

最终,法院认定被告构成不正当竞争,判决被告公司消除影响,并赔偿经济损失300万元及合理开支15万元。宣判后,双方均未上诉,本案判决已生效。

法官指出,网络环境下,互联网产品尤其是社交产品中常常会进行一定的功能设置,保护真实用户的信息、交易等安全,而部分软件以“便利用户”为名,突破该种功能设置,不仅可能影响到他人网络产品或服务的正常经营,也有可能损害到广大消费者的合法权益,甚至给用户的人身、财产安全带来隐患。本案通过对涉案行为不正当性的分析和判断,对用户所使用的网络产品、服务的正当性、安全性等提供了有力的法律保障,同时也力求引导网络服务提供者正当经营、合法创新、诚信竞争。

案例二:数据大户新浪频频被“薅羊毛” 伸手者都遭重罚

网络竞争最重要的资源是什么?数据!因此,保护数据,成为了各个网络服务商的首要任务,其中, 新浪作为“数据大户”,打了这样两场官司,被告方败诉,且都被法院重罚。

鹰击系统,可以抓取、存储、展示新浪微博后台数据,而且,用户还能在脱离微博平台的情况下实时查看、浏览大量新浪微博内容;此外,该系统还能够基于对新浪微博数据的整理分析,形成数据分析报告向用户提供。对此,新浪认为,鹰击系统运营者构成不正当竞争,要求对方停止侵权并赔偿经济损失572万元及合理开支28万元。

“超级星饭团”App,可以向其用户推送和展示来源于新浪微博明星微博的十五类动态数据,且持续并扩大抓取、展示范围,使用户无需登录新浪微博即可全面查看明星微博动态,对新浪微博相关服务构成实质性替代。新浪认为,被告行为构成不正当竞争,请求法院判决被告方赔偿经济损失1000万元及合理开支255 000元。

对于这两起案件,法院均判决新浪获胜。

第一起案件,法院判令被告停止被诉行为、消除影响,并赔偿新浪经济损失500万元及合理开支28万元;第二起案件,法院综合考虑被告的不正当竞争行为持续时间、范围及恶意,以及涉案App的用户数量、付费服务及营销收入,裁量计算经济赔偿数额为1000万元。

对于相关案件,法院指出,网络平台通过自身经营活动吸引用户所积累的平台数据,对平台经营者具有重要意义,是其重要的经营资源。被告通过利用技术手段破坏或绕开服务商访问权限,抓取、存储微博平台中包括已设置访问权限的非公开数据的平台数据,并基于这些数据进行加工整理形成数据分析报告,影响了微博平台数据安全,破坏了原告数据展示规则和其所提供服务的正常运营,破坏了原告与用户间协议的履行,损害了原告的合法权益。

同时,法院也指出,基于网络环境中数据的可集成、可交互的特点,平台经营者应当在一定程度上容忍他人合法收集或利用平台中已公开的数据。

案例三:“租号”看视频 优酷维权胜诉

如今,不少视频网站都以用户购买“会员”作为盈利方式之一,其他一些商家从中看到了“商机”——“买”会员价格相对较高,如果“租”号给用户,不就能赚取差价了吗?“刀锋平台”“租号玩”平台的经营者就这样干了,其通过在租号平台中设置针对优酷的影视租赁专区、提供多项促进交易成功的收费服务项目等方式,大量、集中地为用户提供出租和租用优酷会员帐号的租赁服务,并从中收取费用、牟取利益。

优酷认为,被告的行为严重破坏了优酷平台会员管理制度、商业利益及商业模式,给原告的经济利益造成巨大损失,构成不正当竞争,要求被告赔偿800万元。

法院审理认为,租号平台为优酷会员账号的出租者和租用者提供的该种平台服务,一方面使得租用方假借别人之名,使用优酷平台的会员服务;另一方面,也促使出租方为了扩大租号收益而出现一人利用不同身份注册、囤积多个会员账号的情形。该行为破坏了优酷基于经营自主权对会员账号所做的限制,直接损害了优酷基于其商业模式所产生的经营收益。从长远来看,该提供租号平台的行为也将逐步造成市场激励机制失灵,阻碍网络视频行业的正常、有序发展,并最终造成消费者福祉的减损。

最终,法院判令被告赔偿优酷经济损失120万元及合理开支3万元。

法官指出,本案对于提供视频网站会员账号租赁这种中介服务的行为进行了否定性评价,对于网络“灰产”中的该类寄生于他人商业模式下获利的典型行为进行了有力打击,保障了视频行业的长远发展。

法院分析:新类型网络不正当竞争案件呈现六大特点

近年来,海淀法院受理的网络不正当竞争案件呈现数量增长迅猛、类型化案件集中、新类型案件频发的特点。2019年至2021年期间,受理的涉网络不正当竞争案件分别为278件、427件、645件,案件数量呈现逐年快速增长态势。在案件类型上,除了涉及混淆、虚假宣传、商业诋毁等传统不正当竞争行为之外,涉及新类型网络不正当竞争行为的案件明显增多,近三年共受理481件。

经过梳理,法院总结新类型网络不正当竞争案件呈现出六个方面的新特点和新趋势:平台数据竞争纠纷明显增多;刷量类案件呈现批量化;有关租赁游戏账号和视频网站会员账号的纠纷成为新热点;涉视频网站“屏蔽广告”类案件出现新样态;利益平衡的考量成为判断行为性质的关键;行为保全措施成为及时制止网络不正当竞争的有力手段。

对此,法院建议,应引导企业树立公平竞争意识,自觉维护市场竞争秩序;搭建行业协会纽带桥梁作用,助力矛盾纠纷源头化解;丰富行政机关服务举措内容,充分发挥市场监管作用,建立健全互联网领域信用体系建设,全面提升互联网企业诚信经营秩序;同时,强化司法机关法治保障职能,完善知产司法保护机制,提升法律适用能力和水平,审慎处理新类型网络不正当竞争案件。

]]>
产业规模破万亿元 工业互联网发展提速 Wed, 18 May 2022 02:42:45 +0800 工信部研究机构数据显示,目前我国工业互联网产业规模已迈过万亿元大关。展望下一步发展,更多政策利好密集释放。《工业互联网专项工作组2022年工作计划》近日发布,从夯实基础设施、深化融合应用、强化技术创新、培育产业生态、提升安全保障、完善要素保障等方面提出15类任务。与此同时,工信部将通过实施新一轮工业互联网创新发展工程,促进工业互联网平台进园区,引导各类资本加大对工业互联网领域投资。

政策利好密集释放

今年一季度,工业互联网标识解析体系国际根节点、国家工业互联网大数据中心等75个项目建成投入运行;全国“5G+工业互联网”在建项目总数达2400个;目前工业互联网已在45个国民经济大类中得到应用……工信部新闻发言人、信息通信管理局局长赵志国介绍的一组数据,显示了我国工业互联网持续向好的发展势头。

赵志国表示,总的来看,我国工业互联网仍处于发展的关键期,产业发展还面临一系列真难题、新课题,亟须发挥政产学研用各方力量去突破。

记者获悉,下一步工信部将会同有关部门展开系列部署,加快工业互联网提档升级。

一是启动新项目,打好强链补链“攻坚战”。实施新一轮工业互联网创新发展工程,强化关键技术产品短板攻关,提升平台技术供给质量,促进设备、系统的互联互通互操作。同时加强创新载体建设,积极打造工业互联网数字化转型促进中心,完善公共服务体系。

二是增强新基建,下好数字经济“先手棋”。适度超前推进网络、平台、安全三大体系建设,提升工业互联网大数据中心、标识解析体系、安全态势感知系统等重点设施效能,扩大区域、行业、领域覆盖面,提升服务企业数量,促进工业互联网数据流通、有效利用和安全保障,夯实数字经济发展基础。

三是拓展新应用,打好融合创新“团体赛”。推动工业互联网与细分行业融合,加快新模式新业态推广,打造5G全连接工厂标杆,挖掘产线级、车间级典型应用场景,促进工业互联网平台进园区,开展工业互联网企业网络安全分类分级管理,促进千行百业、千园万企加快数字化转型。

四是研究新政策,用好支撑发展“组合拳”。针对产业发展存在的现实挑战,研究更加“解渴”的实招硬招。拓宽融资渠道,深化产融合作,引导产业投资基金等各类资本加大对工业互联网领域投资。强化校企联动、产教融合,加强工业互联网实训教育,构建多层次人才体系。

推动中小企业数字化转型

加快中小企业数字化转型,是工业互联网发展的重要发力点。《工业互联网专项工作组2022年工作计划》提出多项细化举措,例如,在装备、机械、汽车、能源、电子、冶金、石化、矿业等国民经济重点行业,遴选10家骨干企业打造符合行业中小企业需求的数字化平台、系统解决方案、产品和服务;面向典型共性场景,培育一批适用于工业园区、产业集群中小企业的低成本、易部署、轻量化解决方案。

事实上,不少中小企业已经尝到工业互联网带来的提质增效降本的“甜头”。在安徽,华茂纺织通过工业互联网改造升级,工厂每万锭用工由50人降至15人以下,生产效率提高50%;在湖南,立信彩印通过中国联通云镝生产报工系统梳理车间生产流程、追溯生产数据,提升车间生产流程的作业效率,降低流程管理与人员管理成本。

不过业内人士也指出,对不少中小企业而言,借力工业互联网进行数字化转型的路径需要进一步明晰。中国工业互联网研究院院长鲁春丛对《经济参考报》记者表示,当前工业互联网等新业态新模式对中小企业的应用场景服务仍处于探索阶段,案例缺乏典型示范应用效果。工业互联网平台在相关服务功能应用、赋能中小企业能力提升等方面均处于初级阶段。

针对下一步发展,工信部新闻发言人、运行监测协调局局长罗俊杰表示,将加强政策引导和经验推广,总结一批数字化转型成熟模式和路径,发布中小企业数字化转型评价标准及评价模型、中小企业数字化转型指南,制定重点细分行业和领域中小企业数字化转型路线图,为更多中小企业提供看得见、摸得着的典型案例和手段工具。鼓励各地创新财政支持方式,引导帮助中小企业数字化转型,降低转型成本。

进一步拓宽资金来源

值得关注的是,在拓宽资金来源方面,《工业互联网专项工作组2022年工作计划》提出,支持符合条件的工业互联网企业首次公开发行证券并上市,在全国股转系统基础层和创新层挂牌,以及通过增发、配股、可转债等方式再融资。支持符合条件的企业发行公司信用类债券和资产支持证券融资。

国家工业信息安全发展研究中心的报告显示,2021年我国工业互联网行业完成非上市投融资346起,披露总金额突破680亿元,同比大幅增长85.9%。同时,重点企业上市进程加速推进,2021年共有19家工业互联网相关企业成功上市,募集资金总额突破145亿元。

在业内看来,《工业互联网专项工作组2022年工作计划》的相关部署将进一步激发企业发展活力。“这将大幅拓宽工业互联网企业的融资来源,也可以通过上市融资提升工业互联网企业的估值,从而鼓励资本投资工业互联网企业。” 浙江大学国际联合商学院数字经济与金融创新研究中心联席主任、研究员盘和林表示。

围绕进一步优化工业互联网行业产融合作环境,国家工业信息安全发展研究中心信息政策所高级工程师王慧娴建议,强化行业主管部门与相关部门的工作联动机制,畅通资金需求方和投资方沟通渠道;支持工业互联网企业通过发债、抵押、担保、借贷、金融租赁等多种方式进行融资;定期围绕新进展、新问题和新趋势开展研究、分析与预测,探索产融互动新路径,推动产业良性发展。

]]>
谷歌地图18日起开放俄所有战略要地高清卫星图像? Wed, 18 May 2022 02:42:45 +0800 俄乌冲突爆发近两月,战火未熄。4月18日起,中文网络流传消息称,世界互联网巨头谷歌开始深度介入俄乌冲突。谷歌地图已从18日起以最大分辨率提供俄罗斯所有军事和战略设施卫星图像,包括洲际弹道导弹发射井、指挥所、秘密试验场等在内的俄战略要地现均可以每像素0.5米左右的分辨率查看。

“澎湃明查”微信公众号后台亦有读者提问,认为谷歌不可能掌握俄罗斯军事设施位置,请求核查。

消息来自何处?

相关消息在推特、Reddit等国外社交平台同样广泛流传,不少发布者称该消息源自一个叫@ArmedForcesUkr的推特账号。该账号未获推特官方认证,但曾多次被乌克兰国防部及其下属信息机构的官推@armyinformcomua提及。此外,多家被认证的媒体推特账号如@nexta_tv @arstechnica援引了@ArmedForcesUkr 的消息。

经核查,北京时间4月18日晚7时37分,@ArmedForcesUkr确实发布了一组疑似俄罗斯军事战略要地的图片,称“谷歌地图开放了对俄罗斯军事和战略设施的访问, 现在每个人都可以看到各种俄罗斯发射器、洲际弹道导弹发射井、指挥所和秘密填埋场了”。然而,@ArmedForcesUkr发布推文的时间要明显晚于相关消息出现在中文网络的时间,红星新闻在4月18日19时22分就转载了相关消息。因此,@ArmedForcesUkr的推文不可能是网传消息的最初来源。

“谷歌开放俄所有战略要地高清图像”的说法究竟从何而来?推特用户@obretix有着同样的疑惑,因为作为公开情报搜索(OSINT)爱好者,他了解到“谷歌地图从未隐藏过俄罗斯的‘秘密军事和战略设施’”。一个叫@avatter的推特用户回复@obretix,称他从一篇来自censor.net的文章中看到,这一消息最初可能来自Armyinform,即前文提到的乌克兰国防部下属信息机构。

查询可知,Censor.net的文章发布于4月18日14时35分,其中确实提到了消息源Armyinform,并给出了相关消息的具体链接。Armyinform在4月18日上午11时02分发布了题为《谷歌地图开放俄罗斯所有战略地点》的文章,但同样不是网传消息的最初来源。Armyinform声称其消息依据一家叫“防务快讯”(Defense Express)的乌克兰信息资讯公司,该公司自称在国防工业政策和军事技术合作方面有20余年的经验,其使命是促进乌克兰的防务、安全和发展。

4月17日晚6时22分,“防务快讯”的官网上刊出了一篇叫《找到普京的地堡:谷歌发现俄罗斯所有战略要点的高质量卫星图像》的文章,随文发布的还有12张涉及俄罗斯军事战略要地的高清卫星图片。“防务快讯”声称,这些要地在过去的谷歌地图上的显示质量偶尔较差,不允许拆解细节,但现在的图片分辨率达到了每像素约0.5米。这是“澎湃明查”目前追溯到的与网传消息相关的最早的消息源。

谷歌开放高清俄军事要地卫星图像?

那么,谷歌地图是否真如“防务快讯”所说,是在最近才公开了俄罗斯战略要点的高质量卫星图像呢?“防务新闻”在文章中发布了一张展示俄罗斯航空母舰的图片,称得益于谷歌地图的“公开”,现在人们有可能评估唯一的现役航空母舰“库兹涅佐夫海军上将”号的工作“进展”。然而公开资料显示,早在2020年7月,推特用户@RALee85就曾在平台上传过一张来自谷歌地图的图片,展示的正是“库兹涅佐夫”号的高清卫星图像。显然,谷歌并不是在最近才“公布”了这些军事战略设施。

@ArmedForcesUkr和“防务新闻”发布的图片中,还有一张展示了疑似俄罗斯舰船停靠点的卫星图。美国科技新闻网站The Verge在谷歌地图上找到了该地的具体坐标,在52°55'00.3''N,158°29'16.1''E,属俄罗斯保密行政区维柳钦斯克境内。

在谷歌地图上能够找到维柳钦斯克地区核潜艇基地的高清卫星图片。

2022年1月20日,中国军网、《解放军报》天下军事栏目曾发表文章《维柳钦斯克:俄在远东最大核潜艇基地》,提到维柳钦斯克“位于俄罗斯勘察加半岛,直面太平洋”,“与摩尔曼斯克的加吉耶沃核潜艇基地分别位于俄东西两个方向,形成优势互补、风险分散、配置均衡的战略布局”,“该基地部署有俄潜艇部队的精锐力量,如奥斯卡级、阿库拉级、德尔塔级等核潜艇”。

相关文章还配上了展示“维柳钦斯克核潜艇基地一角”的图片,经地形比对可以确定,此图所示地理区域与上文中提到的The Verge提供的地理坐标所显示的为同一区域。尽管《解放军报》没有提供其图源的具体信息,但窥此文可知,对世人来说,“防务新闻”公布的图片、以及维柳钦斯克拥有核潜艇基地一事本身早已不是什么秘密。

此次新闻事件发酵后,The Verge就网传“谷歌公开高像素卫星图以暴露俄罗斯军事战略要地”一事致信谷歌公司,得到了后者的邮件回应。谷歌发言人帕克(Genevieve Park)明确表示:谷歌没有对其在俄罗斯的卫星图片“作任何模糊度上的修改”。谷歌地图官推@googlemaps还在北京时间4月19日上午5时36分于@nexta_tv发布的相关消息下留言,重申了这一回应。不少卫星地图爱好者亦为谷歌背书,称自己关注俄罗斯军事基地多年,从未见过谷歌对这些地点作模糊处理。

谷歌地图回应@nexta_tv,称“未对俄罗斯的卫星图片作任何模糊度上的修改。

至于相关消息称“谷歌地图从18日起以最大分辨率提供俄罗斯所有军事和战略设施卫星图像”,是否意味着谷歌之前提供的地图可能仅展现了“部分”俄罗斯境内的军事战略要地,而此次公开了更多?由于缺乏能够证明俄罗斯“全部”军事战略要地所在的公开、权威资料,“澎湃明查”无法独立对此说法的准确性进行判断。

“澎湃明查”发现,2018年6月,美国科学家协会fas.org曾在官网公布过一组来自谷歌地球的图片,系俄罗斯位于加里宁格勒地区的核武器库在2002年和2010年的周边环境对比图。在2002年的图片中,人们甚至可以清晰判断出该武器库“大门”所在的位置。而根据英国《每日邮报》报道,谷歌地图的这种图片处理方式也并非仅针对俄罗斯。包括位于英国朴茨茅斯港的英皇家海军旗舰“伊丽莎白女王号”航空母舰等英敏感军事设施,在谷歌地图上同样清晰可见。

商业卫星如何处理敏感地理信息?

商业卫星使用者对于高清图像的追求与敏感军事地理信息的保密需要存在天然矛盾。在实操上,各商业卫星的运营商往往需要遵守其所在国法律对卫星地图安全使用方面的规定。

美国1997年的《国防授权法》即《凯尔-宾格曼修正案》规定,联邦政府许可的商业卫星成像系统提供的以色列图像"不得比从商业来源获得的以色列卫星图像更详细或精确",即分辨率不得超过每像素2米。美国国家海洋和大气管理局(NOAA)在2018年审查并维持了这一限制,这解释了为何谷歌地图和谷歌地球在加沙地区的卫星图像长期呈现模糊的状态。

商业卫星地图的服务商有时也会收到他国政府对其地域内卫星图像作模糊化处理的要求。例如据法国媒体bfmtv报道,2018年7月,法国司法部曾向谷歌公司抗议,称谷歌提供的高清街景地图直接帮助了法国监狱内的罪犯逃狱。谷歌因此对法国境内的大部分监狱进行了模糊化处理。

对敏感地区的模糊化处理本意在于保密,但有时,局部卫星图像清晰度的降低反而会产生“此地无银三百两”的效果。2018年12月,应以色列和土耳其相关规定,俄罗斯卫星地图供应商Yandex对此两国境内的部分敏感军事设施进行了模糊化处理。美国科学家协会却通过周边地理信息元素确认了这些被模糊地区的地理位置,发现了以、土境内的秘密军事基地。对于有能力提供高清图像的商业卫星而言,“模糊”更像是一种“不得已而为之”的服务。在必要的追求信息精确度的场景如军事冲突中,高清卫星图像服务商们也有可能会转变姿态,为客户提供追踪战况演变和战事侦察的服务。

此次俄乌冲突中,以“MAXAR”为代表的私人卫星被广泛使用,在基辅、哈尔科夫、卢甘斯克、顿涅茨克、梅利托波尔、敖德萨等战事热点地区不断成像,满足了人们对获取“实时战况”的需要。MAXAR还将镜头对准了俄罗斯部队,拍摄了多张显示俄军装备、军事设施乃至俄罗斯军人的高清图像。

综上所述,网传“谷歌地图从18日起以最大分辨率提供俄罗斯所有军事和战略设施卫星图像”一事并无实证,谷歌公司已否认了相关说法,且公开信息显示,早在俄乌冲突爆发之前,谷歌提供卫星地图中便包含了与俄罗斯军事战略设施有关的图像信息。

随着技术的发展,商业卫星的成像清晰度有了大幅提升。有的公司会响应相关法律规定或他国政府要求,对其卫星图中的部分敏感地理信息作模糊化处理。但在追求信息精确度的场景如战争中,这些卫星也有可能会摇身一变,成为互联网时代人们“围观战争”的一种手段,乃至战争的利器。

]]>
7-Zip被爆零日安全漏洞:可提权执行代码 但用户可简单操作使其失效 Wed, 18 May 2022 02:42:45 +0800 文件压缩软件 7-Zip 被爆零日安全漏洞,允许攻击者提权并执行任意代码。目前开发团队并未发布补丁,但普通用户可以通过简单操作来让这个漏洞失效。上周,研究人员 Kağan Çapar 发现并公布了 7-Zip 的一个零日漏洞,该漏洞可以授予权限升级和命令执行。

它被命名为 CVE-2022-29072,影响到运行 21.07 版本的 Windows 用户--截至目前的最新版本。

对系统有有限访问权的攻击者可以通过打开 7-Zip 的“帮助”窗口,在“帮助->内容”下,将一个扩展名为 .7z 的文件拖入该窗口来激活该漏洞。任何具有该扩展名的文件都可以使用。它不一定是一个真正的7z档案。

通过在7zFM.exe进程下运行一个子进程,该漏洞可以提升攻击者的权限,让他们在目标系统上运行命令。恰帕尔将此归咎于7z.dll文件的错误配置和堆溢出。

Windows的HTML帮助文件也可能负有一定的责任,因为其他程序可以通过它允许执行命令。Çapar 提到了一个类似的漏洞,该漏洞通过 Windows HTML 帮助文件和 WinRAR 起作用。

删除 7-Zip 根文件夹中的“7-zip.chm”文件可以缓解这个问题,直到开发人员打上补丁。

]]>
公民实验室:英政府内部网络曾遭“飞马”间谍软件攻击 Wed, 18 May 2022 02:42:45 +0800 加拿大多伦多大学下属“公民实验室”(Citizen Lab)的研究人员当地时间周一发文称,该实验室的核心任务是对民间社会的数字威胁进行研究。在调查雇佣军间谍软件的过程中,他们偶尔会观察到一些案例,怀疑政府正在使用间谍软件对其他政府进行国际间谍活动。这些案件绝大多数都不属于他们的范围和任务。然而,在某些特定的案件中,在适当的情况下,在保持独立性的同时,公民实验室决定通过官方渠道通知这些政府,特别是如果他们认为他们的行动可以减少伤害时。

公民实验室确认,在2020年和2021年,他们观察到并通知了英国政府在英国官方网络中出现的多起疑似“飞马”(PegASUS)间谍软件攻击事件。其中包括:

英国首相府(唐宁街10号)

英国外交和联邦事务部(FCO)(现为英国外交、联邦及发展事务部, FCDO)

公民实验室称,与FCO有关的疑似攻击事件与阿联酋、印度、塞浦路斯和约旦的Pegasus运营商有关。英国首相办公室的疑似攻击事件被认为与阿联酋的一个Pegasus运营商有关。

由于英国外交和联邦事务部及其继任办公室--外交、联邦及发展事务部(FCDO)在许多国家都有人员,公民实验室观察到的疑似FCO攻击事件可能与位于国外并使用外国SIM卡的FCO设备有关,类似于2021年美国国务院雇员在乌干达使用的外国电话号码被黑客秘密窃听。

英国目前正在进行几项立法和司法工作,涉及围绕网络政策的监管问题,以及对间谍软件受害者的补救措施。 公民实验室认为,允许这些努力在不受间谍软件不当影响的情况下展开是至关重要的。鉴于一名参与对NSO集团诉讼的英国律师的设备在2019年被Pegasus软件攻击,研究人员认为有必要确保英国政府意识到持续的间谍软件威胁,并采取适当的行动来减轻这种威胁。

]]>
安全专家发现新型恶意Windows 11网站:镜像内含恶意文件 Wed, 18 May 2022 02:42:45 +0800 自 Windows 11 系统 2021 年 6 月发布以来,不断有各种活动欺骗用户下载恶意的 Windows 11 安装程序。虽然这种情况在过去一段时间里有所遏制,但现在又卷土重来,而且破坏力明显升级。

网络安全公司 CloudSEK 近日发现了一个新型恶意软件活动,看起来非常像是微软的官方网站。由于使用了 Inno Setup Windows 安装程序,它分发的文件包含研究人员所说的“Inno Stealer”恶意软件。

恶意网站的URL是“windows11-upgrade11[.com]”,看来 Inno Stealer 活动的威胁者从几个月前的另一个类似的恶意软件活动中吸取了经验,该活动使用同样的伎俩来欺骗潜在的受害者。

CloudSEK说,在下载受感染的ISO后,多个进程在后台运行,以中和受感染用户的系统。它创建了Windows命令脚本,以禁用注册表安全,添加 Defender 例外,卸载安全产品,并删除阴影卷。

最后,一个.SCR文件被创建,这是一个实际传递恶意有效载荷的文件,在这种情况下,新颖的 Inno Stealer 恶意软件在被感染系统的以下目录中。恶意软件有效载荷文件的名称是"Windows11InstallationAssistant.scr"。

]]>
美国中情局主战网络攻击武器曝光 世界各地重要信息基础设施已成美国“情报站” Wed, 18 May 2022 02:42:45 +0800 近日,美国通过网络对全球进行监控窃密的又一主战装备曝光,这一主战装备即为美国中央情报局(CIA)专用的“蜂巢”恶意代码攻击控制武器平台(以下简称“蜂巢平台”)。国家计算机病毒应急处理中心的研究人员在接受采访时对《环球时报》记者表示,全球互联网和世界各地的重要信息基础设施已经成为美国情治部门的“情报站”,从技术细节分析,现有国际互联网的骨干网设备和世界各地的重要信息基础设施中,只要包含美国互联网公司提供的硬件、操作系统和应用软件,就极有可能成为美国情治机构的攻击窃密目标,全球互联网上的全部活动、存储的全部数据或都“如实”展现在美国情治机构面前。

近一段时间以来,中国网络安全机构连续揭开美国国家安全局(NSA)“电幕行动”“APT-C-40”“NOPEN”“量子”网络攻击武器的真面目。相较而言,此次曝光的“蜂巢”平台有哪些新的特点?对全球网络用户有哪些新提示?国家计算机病毒应急处理中心研究人员接受《环球时报》独家专访做出进一步解释。

根据介绍,“蜂巢”平台由CIA下属部门和美国著名军工企业诺斯罗普·格鲁曼(NOC)旗下公司联合研发,系CIA专用的网络攻击武器装备,该装备具有五大特点。

首先,“蜂巢”平台智能化程度高。该武器是典型的美国军工产品,模块化、标准化程度高,扩展性好,表明美国已实现网络武器的“产学研一体化”。这些武器可根据目标网络的硬件、软件配置和存在后门、漏洞情况自主确定攻击方式并发起网络攻击,可依托人工智能技术自动提高权限、自动窃密、自动隐藏痕迹、自动回传数据,实现对攻击目标的全自动控制。其强大的系统功能、先进的设计理念和超前的作战思想充分体现了CIA在网络攻击领域的能力。其网络武器涵盖远程扫描、漏洞利用、隐蔽植入、嗅探窃密、文件提取、内网渗透、系统破坏等网络攻击活动的全链条,具备统一指挥操控能力,已基本实现人工智能化。这同时也可以证明,CIA对他国发动网络黑客攻击的武器系统已经实现体系化、规模化、无痕化和人工智能化

其次,“蜂巢”平台隐蔽性强。该平台采用C/S架构,主要由主控端、远程控制平台、生成器、受控端程序等4部分组成。CIA攻击人员利用生成器生成定制化的受控端恶意代码程序,服务器端恶意代码程序被植入目标系统并正常运行后,会处于静默潜伏状态,实时监听受控信息系统网络通讯流量中具有触发器特征的数据包,等待被 “唤醒”。CIA攻击人员可以使用客户端向服务器端发送“暗语”,以“唤醒”潜伏的恶意代码程序并执行相关指令,之后CIA攻击人员利用名为“割喉”的控制台程序对客户端进行操控(如图1所示)。为躲避入侵检测,发送“暗语”唤醒受控端恶意代码程序后,会根据目标环境情况临时建立加密通信信道,以迷惑网络监测人员、规避技术监测手段。

此外,为进一步提高网络间谍行动的隐蔽性,CIA在全球范围内精心部署了蜂巢平台相关网络基础设施。从已经监测到的数据分析,CIA在主控端和被控端之间设置了多层动态跳板服务器和VPN通道,这些服务器广泛分布于加拿大、法国、德国、马来西亚和土耳其等国,有效隐藏自身行踪,受害者即使发现遭受“蜂巢”平台的网络攻击,也极难进行技术分析和追踪溯源。

第三,“蜂巢”平台攻击涉及面广。CIA为了满足针对多平台目标的攻击需求,针对不同CPU架构和操作系统分别开发了功能相近的“蜂巢”平台适配版本。根据目前掌握的情况,“蜂巢”平台可支持现有主流的CPU架构,覆盖Windows、Unix、Linux、Solaris等通用操作系统,以及网络设备专用操作系统等。

第四,“蜂巢”平台设定有重点攻击对象。 从攻击目标类型上看,CIA特别关注MikroTik系列网络设备。MikroTik公司的路由器等网络设备在全球范围内具有较高流行度,特别是其自研的RouterOS操作系统,被很多第三方路由器厂商所采用,因此CIA对这种操作系统的攻击能力带来的潜在风险难以估量。CIA特别开发了一个名为“Chimay-Red”的MikroTik路由器漏洞利用工具,并编制了详细的使用说明。该漏洞利用工具利用存在于MikroTik RouterOS 6.38.4及以下版本操作系统中的栈冲突远程代码执行漏洞,实现对目标系统的远程控制。

第五,“蜂巢”平台突防能力强,应引起全球互联网用户警惕。“蜂巢”平台属于“轻量化”网络武器,其战术目的是在目标网络中建立隐蔽立足点,秘密定向投放恶意代码程序,利用该平台对多种恶意代码程序进行集中控制,为后续持续投送“重型”网络攻击武器创造条件。“蜂巢”平台作为CIA攻击武器中的“先锋官”和“突击队”,承担了突破目标防线的重要职能,其广泛的适应性和强大的突防能力向全球互联网用户发出了重大警告。

这位研究人员指出,与此前NSA被曝光的美国网络攻击武器一样,CIA对全球范围的高价值目标实施无差别的攻击控制和间谍窃密。CIA的黑客攻击和网络间谍活动目标涉及世界各国政府、政党、非政府组织、国际组织和重要军事目标,各国政要、公众人物、社会名人和技术专家,教育、科研、通讯、医疗机构,大量窃取受害国的秘密信息,大量获取受害国重要信息基础设施的控制权,大量掌握世界各国的公民个人隐私,服务于美国维持霸权地位。而且,全球互联网和世界各地的重要信息基础设施已经成为美国情治部门的“情报站”。“从技术细节分析,现有国际互联网的骨干网设备和世界各地的重要信息基础设施中(服务器、交换设备、传输设备和上网终端),只要包含美国互联网公司提供的硬件、操作系统和应用软件,就极有可能包含零日(0day)或各类后门程序(Backdoor),就极有可能成为美国情治机构的攻击窃密目标,全球互联网上的全部活动、存储的全部数据或都‘如实’展现在美国情治机构面前,成为其对全球目标实施攻击破坏的 ‘把柄’和 ‘素材’。”

针对“蜂巢”平台高度智能化、高度隐蔽性的特点,互联网使用者该如何发现和应对“蜂巢”平台的威胁。国家计算机病毒应急处理中心提醒广大互联网用户,美国情治部门的网络攻击是迫在眉睫的现实威胁,针对带有美国“基因”的计算机软硬设备的攻击窃密如影随形。现阶段避免遭受美国政府黑客攻击的权宜之计是采用自主可控的国产化设备。此外,该中心的研究人员也建议互联网使用者及时更新网络设备、上网终端的操作系统,并及时打好补丁,同时关闭不必要的网络服务和端口,按照《中华人民共和国网络安全法》、《网络安全等级保护条例》等法律法规的要求做好网络安全防护工作。

]]>
联想UEFI固件驱动曝重大漏洞,数百万台电脑存在被入侵风险 Wed, 18 May 2022 02:42:45 +0800 最新的网络安全研究中,已发现的3个影响深远的统一可扩展固件接口 (UEFI) 安全漏洞影响了多款联想消费者笔记本电脑,这些漏洞可以使攻击者能够在受影响的设备上部署和执行固件植入。

根据中国网络安全行业门户”极牛网”GeekNB.com的梳理,这3个UEFI的重大安全漏洞号分别是 CVE-2021-3970、CVE-2021-3971 和 CVE-2021-3972,这些漏洞的产生主要是由于原本只能用于在电脑制造期间使用的固件驱动程序,被包含在了量产的BIOS镜像中。

成功利用这些漏洞可能允许攻击者禁用 SPI 闪存保护或安全启动,从而有效地使攻击者能够安装能够在系统重启后继续存在的持久性恶意软件。

另一方面,CVE-2021-3970 漏洞与公司系统管理模式 ( SMM ) 中的内存损坏有关,导致以最高权限执行恶意代码。

这3个漏洞已于 2021 年 10 月 11 日向 PC 制造商报告,随后于 2022 年 4 月 12 日发布补丁。联想描述的3个缺陷的摘要如下:

CVE-2021-3970:LenovoVariable SMI 处理程序中的一个潜在漏洞,由于在某些联想笔记本型号中验证不足,可能允许具有本地访问权限和提升权限的攻击者执行任意代码。

CVE-2021-3971: 在某些消费者联想笔记本设备的旧制造过程中使用的驱动程序存在潜在漏洞,错误地包含在 BIOS 映像中,这可能允许具有提升权限的攻击者通过修改 NVRAM 变量来修改固件保护区域。

CVE-2021-3972: 一些消费者联想笔记本设备在制造过程中使用的驱动程序存在潜在漏洞,该驱动程序错误地未停用,可能允许具有提升权限的攻击者通过修改 NVRAM 变量来修改安全启动设置。

网络安全研究人员表示,UEFI 威胁可能非常隐蔽和危险,它们在启动过程的早期执行,然后将控制权转移到操作系统,这意味着它们可以绕过堆栈中几乎所有可能阻止其操作系统有效负载执行的安全措施和缓解措施。

]]>
我国电信设施曾遭网络窃密,部分数据传至境外 Wed, 18 May 2022 02:42:45 +0800 4月15日是第七个全民国家安全教育日。随着我国前所未有地走近世界舞台中央,国家安全的内涵和外延越来越丰富,时空领域更加宽广,网络安全、数据安全等非传统安全领域的风险日益显现,一些以互联网新生事物为掩护从事危害传统安全的行为也屡见不鲜。面对传统安全和非传统安全交织叠加的新形势,国家安全机关坚持统筹兼顾、综合施策,依法防范、制止、惩治各类危害国家安全行为,有效防范化解了国家安全各领域风险挑战。近日,国家安全机关公布多起典型案件,呼吁全社会提高国家安全意识,共同筑牢维护国家安全的坚固防线。

关键信息基础设施领域遭网络攻击窃密

2020年以来,国家安全机关工作发现,我国有关电信运营商、航空公司等单位内网和信息系统先后多次出现越权登录、数据外传等异常网络行为,疑似遭受网络攻击。国家安全机关依法开展技术检查,确认部分骨干网络节点设备、核心业务系统服务器等被植入特种木马程序,已有部分数据被发送至境外。通过进一步深入调查证实,相关攻击活动是由某境外间谍情报机关精心策划、秘密实施的。该机构调集强力网络攻击力量,使用全球多地网络资源和先进网络武器,妄图实现对我国关键信息基础设施战略控制的目的。

针对上述案情,国家安全机关指导相关单位,立即采取有效措施,清除特种木马程序,堵塞技术漏洞,调整安全策略,加固网络防护,及时制止了危害蔓延。同时,对该境外间谍情报机关后续对我国实施的网络攻击行为,进行全天候跟踪监测和定向打击,及时发布预警信息,有效阻断通信链路,清除危害源头,成功粉碎其对我国“停服断网”图谋。

12339举报电话受理多条自首线索

近年来,国家安全机关持续加大国家安全法律法规和12339举报受理电话宣传力度。随着宣传教育的不断深入,公民自觉主动举报危害国家安全线索显著增多,其中有一些是悬崖勒马、主动自首的情况。在我国某重要军事基地周边,2021年1月至6月间,先后有4人主动向国家安全机关自首。其中2人是被他人“引荐”给境外间谍情报机关,另外2人是在使用某知名网络交友软件时被境外间谍情报机关实施了网络勾连。

吴某某,被朋友“引荐”给境外间谍情报机关后,按对方要求搜集了当地公告、交通管制信息等情况,并获取了对方给予的报酬。后来,因对方提出需要他想办法搜集“红头文件”,他才意识到对方可能是间谍,于2021年1月拨打12339自首。

沈某某,是一名退役军人,退役后以开私家车载客为兼职。一名受雇于境外间谍情报机关,在我国境内开展工作的人员搭乘其私家车进行观测时,将沈某某“引荐”了给境外间谍。对方认为沈某某具备观测军事目标的条件,于是对他实施了勾连,并部署搜集情报的任务。后来,沈某某发觉对方要求拍照的地点都是敏感的军事基地周边,意识到对方可能是境外间谍,于2021年5月主动向国家安全机关自首。

陈某某,在使用某网络交友软件时被境外间谍勾连。他执行了对方布置的观测任务并收受了报酬,后在家人劝说下,于2021年1月拨打12339自首。孙某某,同样在使用该交友软件时,被境外间谍网络勾连。对方要求他查看当地部队发布的道路管制公告、录制军事目标视频。孙某某认为对方的行为与新闻报道中的间谍行为很吻合,于2021年6月向国家安全机关自首。

鉴于4人主动向国家安全机关自首,且未造成实质性危害,当地国家安全机关依法免于处罚,没收其违法所得,并进行了教育训诫。

故意泄露国家安全机关工作秘密

2021年3月,因工作需要,国家安全机关多次前往北京市西城区某餐厅开展工作,依法要求该餐厅副经理黄某某配合调查,同时告知其保守秘密的义务。不久后,国家安全机关工作发现,该餐厅配合调查的情况疑似被其他人员知悉掌握,给后续工作开展带来了严重不利影响。国家安全机关随即对这一情况进行了深入调查。通过进一步调查取证,证实了黄某某涉嫌泄露有关反间谍工作的国家秘密。

经鉴定,黄某某泄露内容系秘密级国家秘密。在确凿的证据面前,黄某某如实交代,其在明确被告知应保守国家秘密的前提下,先后两次故意对外泄露国家安全机关依法开展工作的情况。此外,在国家安全机关此前依法要求黄某某配合调查时,他还对办案人员故意隐瞒了其所知悉的情况。针对以上违法事实,根据《中华人民共和国反间谍法》第三十一条之规定,2021年6月17日,国家安全机关对黄某某处以行政拘留十五日的处罚。

《中华人民共和国国家安全法》第七十七条规定,公民和组织应当履行下列维护国家安全的义务:一是遵守宪法、法律法规关于国家安全的有关规定;二是及时报告危害国家安全活动的线索;三是如实提供所知悉的涉及危害国家安全活动的证据;四是为国家安全工作提供便利条件或者其他协助;五是向国家安全机关、公安机关和有关军事机关提供必要的支持和协助;六是保守所知悉的国家秘密;七是法律、行政法规规定的其他义务。

国家安全机关提醒,维护国家安全没有“局外人”,每个人都应该参与其中,贡献一份力量。国家越安全,人民就越有安全感;人民越有安全意识,国家安全也就越有依靠。

]]>
《安联智库-网安周报》2022-04-17 Wed, 18 May 2022 02:42:45 +0800

1、在ESET和微软帮助下 乌克兰成功阻止针对能源设施的网络攻击

在 ESET 和微软研究人员的帮助下,乌克兰官员表示成功阻止了一起针对能源设施的网络攻击。在本次阻止攻击过程中,它们发现了 Industroyer 的新变种,它是一个臭名昭著的恶意软件,在 2016 年被 Sandworm APT 组织用来切断乌克兰的电力。
乌克兰政府计算机应急小组(CERT-UA)表示,该攻击使用 Industroyer 变体尝试对“几个基础设施”发起攻击,包括高压变电站、设施的计算机、网络设备和运行 Linux 操作系统的服务器设备。
2、谷歌浏览器紧急更新,又修复一零日漏洞

Bleeping Computer 网站消息,谷歌发布了适用于 Windows、Mac 和 Linux 的更新版本 Chrome 100.0.4896.127,以解决一个在野被利用高严重性零日漏洞(CVE-2022-1364)。攻击者可以通过类型混淆漏洞读取或写入超出缓冲区范围的内存,导致浏览器系统崩溃。除此之外,攻击者也可以利用该漏洞执行任意代码。

谷歌方面表示,Chrome 浏览器的更新版本将在未来几周内推出。目前,用户可以进入 Chrome 菜单>帮助>关于谷歌浏览器,立即收到更新。另外,浏览器也会自动检查更新,在用户关闭和重新启动谷歌浏览器时安装更新版本。

谷歌方面强调,该漏洞正在被积极利用,强烈建议用户手动检查更新并重新启动浏览器应用新版本。

3、又一家NFT平台曝出重大漏洞

以色列网络安全厂商Check Point发布报告称,全球最大的不可替代代币(NFT)市场之一Rarible曝出安全漏洞,可能允许恶意黑客在交易过程中窃取用户的NFT与加密货币。

研究人员表示,网络犯罪分子发现一种创建恶意NFT的方法。只要点击恶意NFT链接,攻击者就能完全控制受害者的加密货币钱包并窃取钱包中的资金。

Rarible平台未回复置评请求。据Check Point透露,该平台已经在4月5日的披露说明中承认存在此问题,“相信Rarible将在接下来的版本中部署修复程序。”

加密货币盗窃攻击过程还原

典型的Rarible漏洞利用流程如下:

首先,黑客会向受害者发送一条恶意NFT链接;

之后,该恶意NFT会“执行JavaScript代码,并尝试向受害者发送setApprovalForAll请求”。

如此一来,受害者将在无意间回复请求,泄露自己NFT或加密货币的完全访问权限。

周杰伦就在4月初不幸成为这一攻击手法的受害者。当时他点击了一个恶意NFT,无意中让黑客窃取了他的Bored Ape NFT 3738访问权限。

Check Point解释称,“在周杰伦提交请求将NFT访问权限泄露给恶意黑客后,对方立即将NFT转移到了自己的钱包中,随后在市场上以50万美元价格卖出。”

4、俄乌冲突以来,超过 350 万俄罗斯互联网用户的账户被盗

4 月 16 日消息,据 Surfshark 的一项研究表明,自 3 月俄罗斯入侵乌克兰开始以来,俄罗斯账户遭到入侵的数量比 2 月增加了 136%。与此同时,乌克兰出现的泄露数量比战前季度减少了 67%。

这些数字很可能是由黑客组织 Anonymous 在冲突开始时宣布将针对俄罗斯的事实驱动的。

“泄露的电子邮件、密码、电话号码,甚至更敏感的数据池通常在暗网上出售,以供以后用于网络钓鱼攻击、勒索软件甚至身份盗窃。从我们的最新数据中可以看出,一些国家在过去的几个月里,比其他人更容易受到这种情况的影响。”


]]>
俄乌冲突以来,超过 350 万俄罗斯互联网用户的账户被盗 Wed, 18 May 2022 02:42:45 +0800 4月16日消息,据 Surfshark 的一项研究表明,自 3 月俄罗斯入侵乌克兰开始以来,俄罗斯账户遭到入侵的数量比 2 月增加了 136%。与此同时,乌克兰出现的泄露数量比战前季度减少了 67%。

这些数字很可能是由黑客组织 Anonymous 在冲突开始时宣布将针对俄罗斯的事实驱动的。

美国排名第二,其次是波兰、法国和印度。数据泄露最多的五个国家占 2022 年第一季度所有泄密事件的一半。仅俄罗斯人就占全球所有受害者的近五分之一。

Surfshark 首席信息安全官 Aleksandr Valentij 表示:“尽管过去几个月数据泄露事件有所减少,但它仍然是最常见的网络犯罪类型之一。”

“泄露的电子邮件、密码、电话号码,甚至更敏感的数据池通常在暗网上出售,以供以后用于网络钓鱼攻击、勒索软件甚至身份盗窃。从我们的最新数据中可以看出,一些国家在过去的几个月里,比其他人更容易受到这种情况的影响。”

美国连续第二季度显示出数据泄露的积极下降趋势,2022 年受影响的用户比上一季度减少了近 50%,大约有 250 万用户被泄露。

由于今年泄露数量激增 514%,波兰跃升至第三位。该国媒体在年初报道了一波电话网络钓鱼攻击事件,黑客试图引诱诈骗信用卡详细信息。

]]>
又一家NFT平台曝出重大漏洞,Web 3.0安全隐患凸显 Wed, 18 May 2022 02:42:45 +0800 以色列网络安全厂商Check Point发布报告称,全球最大的不可替代代币(NFT)市场之一Rarible曝出安全漏洞,可能允许恶意黑客在交易过程中窃取用户的NFT与加密货币。

研究人员表示,网络犯罪分子发现一种创建恶意NFT的方法。只要点击恶意NFT链接,攻击者就能完全控制受害者的加密货币钱包并窃取钱包中的资金。

Rarible平台未回复置评请求。据Check Point透露,该平台已经在4月5日的披露说明中承认存在此问题,“相信Rarible将在接下来的版本中部署修复程序。”

Web 3.0基础设施安全薄弱

Check Point产品漏洞研究负责人Oded Vanunu表示,他们已经看到不少网络犯罪分子正在盗窃加密货币以获取利润,这类行为在NFT市场上尤为常见。

Vanunu称,去年10月,另一家国际主要NFT市场OpenSea曾曝出安全漏洞,他们正是受此启发开始对Rarible进行调查。在中国台湾的超级巨星周杰伦抱怨自己的一个NFT被盗,卖出50万美元高价后,他们受到鞭策愈加积极调查。

“在安全性方面,Web 2.0与Web 3.0基础设施之间仍然存在巨大差距。”Vanunu表示。

“任何一个小漏洞都可能被网络犯罪分子利用,从而悄悄劫持用户的加密钱包。从安全角度来看,我们仍处在一个缺乏统一Web 3.0协议市场的状态。”

加密货币盗窃攻击过程还原

典型的Rarible漏洞利用流程如下:

首先,黑客会向受害者发送一条恶意NFT链接;

之后,该恶意NFT会“执行JavaScript代码,并尝试向受害者发送setApprovalForAll请求”。

如此一来,受害者将在无意间回复请求,泄露自己NFT或加密货币的完全访问权限。

周杰伦就在4月初不幸成为这一攻击手法的受害者。当时他点击了一个恶意NFT,无意中让黑客窃取了他的Bored Ape NFT 3738访问权限。

Check Point解释称,“在周杰伦提交请求将NFT访问权限泄露给恶意黑客后,对方立即将NFT转移到了自己的钱包中,随后在市场上以50万美元价格卖出。”

“NFT用户应该对各类钱包的请求保持警惕,其中大部分仅指向钱包地址,但也有一些可能涉及对用户NFT及加密货币的完全访问权限。”

加密货币盗窃猖獗,用户需保持警惕

Rarible平台的月活跃用户超过200万。2021年,该平台报告的交易总量突破2亿美元。

Vanunu指出,这类加密货币/NFT黑攻击很可能引发极端影响。

“在基于区块链技术的交易市场上,我们已经观察到价值数百万美元的资产惨遭盗窃。在未来一段时期内,这类加密货币盗窃事件很可能还将持续增加。”

“结合当下现实,用户应当需要使用两个钱包:一个用于存储大部分加密货币,另一个仅用于操作单笔特定交易。这样即使涉及特定交易的钱包被盗,用户的主体资产不会受到致命影响。”

]]>
谷歌浏览器紧急更新,又修复一零日漏洞 Wed, 18 May 2022 02:42:45 +0800 Bleeping Computer 网站消息,谷歌发布了适用于 Windows、Mac 和 Linux 的更新版本 Chrome 100.0.4896.127,以解决一个在野被利用高严重性零日漏洞(CVE-2022-1364)。

谷歌方面表示,Chrome 浏览器的更新版本将在未来几周内推出。目前,用户可以进入 Chrome 菜单>帮助>关于谷歌浏览器,立即收到更新。另外,浏览器也会自动检查更新,在用户关闭和重新启动谷歌浏览器时安装更新版本。

谷歌方面强调,该漏洞正在被积极利用,强烈建议用户手动检查更新并重新启动浏览器应用新版本。

披露的几个漏洞细节 

据悉,谷歌新修复的零日漏洞追踪为 CVE-2022-1364,是 Chrome V8 JavaScript 引擎中一个高严重性类型混淆漏洞,由谷歌威胁分析小组成员 Clément Lecigne 发现。

根据以往经验来看,攻击者可以通过类型混淆漏洞读取或写入超出缓冲区范围的内存,导致浏览器系统崩溃。除此之外,攻击者也可以利用该漏洞执行任意代码。漏洞披露不久后,谷歌方面表示,安全研究人员已经检测到利用该零日漏洞的网络攻击行为,但是没有提供关于网络攻击活动的具体细节。

另外,谷歌强调,对漏洞细节和链接的访问可能会一直受到限制,直到大多数用户应用更新版本。值得一提的是,CVE-2022-1364 是本次更新中唯一披露的漏洞,侧面说明为了解决这个问题,谷歌紧急推出了Chrome 100.0.4896.127版本。

]]>
国家网信办曝光一批电信网络诈骗典型案例 Wed, 18 May 2022 02:42:45 +0800 为贯彻落实习近平总书记关于打击治理电信网络诈骗犯罪工作的重要指示精神,切实保障人民群众财产安全,国家网信办会同公安部等有关部门,深入整治电信网络新型违法犯罪,建设国家涉诈黑样本库,建立互联网预警劝阻平台,精准提示潜在受害人,维护人民群众切身利益。今年以来,国家网信办反诈中心排查打击涉诈网址87.8万个、APP7.3万个、跨境电话7.5万个,并纳入国家涉诈黑样本库。目前,国家涉诈黑样本库已涵盖并处置涉诈网址318.7万个、APP46.9万个、跨境电话39.7万个,互联网预警劝阻平台预警超6亿人次。为提高人民群众防骗意识和识骗能力,现将部分典型案例通报如下:

一、2022年2月,江西省某市受害人洪某某下载了一款名为“京东.J.R”的仿冒APP,受到“额度高”“利息低”等表述诱导,注册账户并申请贷款。平台谎称其账号异常,需转账到所谓的“银保监会账户”进行验证,洪某某先后多次转账,合计被骗5万元。

二、2021年8月,江苏省某市方某某下载了“阿聊”APP和“汇龙支付”APP,参加所谓的“高额”任务返现活动。平台以连单任务、信誉不足为由让方某某先充钱再重启任务,方某某累计被骗11万元。

三、2021年11月,四川省某市张某某接到谎称某电商的客服电话075xxx384,称张某某购买的尿不湿因质量问题可申请退款。张某某未通过官方渠道核实对方信息,按照对方指示进行转账操作,合计被骗7.5万元。

四、2021年6月,诈骗分子冒充浙江省某市派出所民警,联系郭某称其已涉嫌诈骗被立案,并要求郭某登录仿冒的某公安局官网查看立案信息,将资金转移到“安全账户”。郭某按照诈骗分子要求转账,合计被骗50余万元。

五、2022年2月,河北省某市受害人胡某看到炒股广告,下载“平安证券”仿冒APP进行相关投资操作,开始投入小金额盈利并提现成功,遂加大投资金额,最后提现失败,合计被骗50万元。

六、2022年1月,湖北省某市张某某接到陌生电话,对方自称是某平台客服,能准确说出张某某个人信息,并表示要帮张某某消除“校园贷”记录,否则会影响个人征信。张某某按照对方要求向多个网贷平台借款,并分别转到对方提供的账户,合计损失6万元。

国家网信办有关负责同志表示,近年来,利用APP进行诈骗已成为电信网络诈骗案件的主要犯罪手段之一,约占整体案发量的六成。其中,网络兼职刷单、快速贷款等诈骗APP较多,特别是有一些仿冒各大银行和金融平台的APP具有较大迷惑性和欺骗性,广大人民群众需提高防范意识。

国家网信办有关负责同志强调,各类网站平台特别是具有社交属性的相关平台要严格落实企业责任,加强涉诈信息处置,坚决把好第一道关。手机厂商、安全厂商、浏览器厂商等要积极接入互联网预警劝阻平台,应接尽接、不留死角,织密预警劝阻网络,履行企业社会责任,为打击治理电信网络诈骗犯罪贡献力量。

]]>
全民国家安全教育日 | 央视《焦点访谈》:失算的数据买卖 Wed, 18 May 2022 02:42:45 +0800 4月15日是全民国家安全教育日。数字经济已经成为国际竞争的制高点,数据领域面临的国家安全风险日益突出,尤其是国家基础信息、国家核心数据日益成为境外情报窃密的重要目标。不久前,国家安全机关破获了一起为境外刺探、非法提供高铁数据的重要案件。这起案件是《数据安全法》实施以来,首例涉案数据被鉴定为情报的案件,也是我国首例涉及高铁运行安全的危害国家安全类案件。

王某,上海某信息科技公司销售总监,因涉嫌为境外刺探、非法提供情报罪,于2021年12月31日被上海市国家安全局执行逮捕。与王某一同被逮捕的,还有公司销售迟某、法定代表人王某。

这是不久前,国家安全机关工作人员在王某所在公司搜查时缴获的设备。

2020年年底,经朋友介绍,上海某信息科技公司一名员工被拉进一个微信群,群里一家西方境外公司表示自己有项目要委托中国公司开展。

上海市国家安全局干警说:“境外公司自称其客户从事铁路运输的技术支撑服务,为进入中国市场需要对中国的铁路网络进行调研,但是受新冠疫情的影响,境外公司人员来华比较困难,所以委托境内公司采集中国铁路信号数据,包括物联网、蜂窝和GSM-R,也就是轨道使用的频谱等数据。”

为了挣钱,上海某信息科技公司很快应下了这个项目,但“境外公司”“铁路信号”“数据测试”这一系列的敏感词也让他们心存疑虑。为了确认项目的合法性,销售总监王某向公司法务咨询了该项目的法律风险,很快,他们得到了回复。

国家安全部干警说:“法务在了解了这个项目的情况以后,曾经告诉他们,这个数据的流出是不可控的,而且也不知道境外公司拿到这个数据的最终目的是什么,因此非常有可能会危害到我们的国家安全,所以建议这家公司一定要谨慎考虑开展这次合作。”

在与境外公司的邮件中,这家公司表达了自己的担心,并希望对方提供相应的合法性文件。对方回复道:你担心这个项目会有什么样的法律风险?我们在其他国家进行此类测试时,没有人让我们提供过任何相关的文件。对方催促项目要尽快开展,并把需要的设备清单提供给境内这家信息技术公司。

上海市国家安全局干警说:“器材设备普通易购,并非专用间谍器材。一个是天线,一个是SDR设备,就是连接天线跟电脑之间的设备,一个就是电脑,还有就是移动硬盘。”

这样的设备清单,大大减小了境内公司的疑虑。这单生意操作十分简单,但利润却十分丰厚,几天后,在公司的例会上,销售总监王某提起了这个项目,但他强调的主要是回报率。

犯罪嫌疑人、某信息科技公司法定代表人王某说:“据他所说这个项目有机会发展成为长期业务,收入和利润都还不错。在他说完这个之后,我们的技术总监也提出了,这个项目会涉及要去高铁车站采集信号,这样做是否合规。”

虽然有人对项目的合法性提出疑义,但利润可观,法务给出的意见并不是大家想要的结果,公司负责人王某要求销售王某、迟某和负责网络安全的米姓副总,再去咨询另一家从事信息安全服务的兄弟公司。这一次,他们得到了想要的答案。

犯罪嫌疑人、某信息科技公司法定代表人王某说:“负责信息安全的子公司的一个副总,说看起来这个在技术上面貌似没有什么问题。”

犯罪嫌疑人、某信息科技公司销售迟某说:“因为这个项目如果能进行下去,自己可以从中拿到一些绩效。当利益摆在面前的时候,从自身角度我可能更倾向于相信这个项目是可行的。”

这是销售王某和迟某想要的结果,但他们很清楚,这样的咨询并不专业,况且当初法务在回复的邮件里提醒过,即使境外获取的数据在国家安全和技术层面没有法律风险,也有可能侵犯到国内某通讯集成公司的知识产权或商业秘密。迟某和王某虽想赚钱,却不愿承担这个项目可能带来的法律风险。

对接过程中,双方约定了两个阶段的合作:第一阶段由上海这家公司按照对方要求购买、安装设备,在固定地点采集3G、4G、5G、WIFI和GSM-R信号数据;第二阶段则进行移动测试,由上海公司的工作人员背着设备到对方规定的北京、上海等16个城市及相应高铁线路上,进行移动测试和数据采集。然而,在双方的合同中,合作涉及的这些具体又敏感的内容完全没有被提及。

国家安全部干警说:“他们仅仅是在附件里简单提到了这次服务内容有调试服务和工程服务,具体要采集什么信号,信号是什么内容,以什么形式传到境外,里面一概没有提,这是他们为了规避风险故意而为的。”

合作之初,境外公司要求境内这家公司把测试数据存入硬盘,等测试结束后邮寄到境外。上海的公司因担心邮寄硬盘被海关查扣而提出过其他的选项。

国家安全部干警说:“他们曾经商量过能不能通过云存储的方式进行数据传递,但是境外公司拒绝了这个建议,他们表示自己需要的数据量可能会比较大,通过云存储的方式进行传递,不一定能够全部完整获得到相关数据。”

对于最终如何提交数据,对方没再说什么,只是一再催着境内的公司尽快开始。在对方的催促下,境内这家信息技术公司按照对方的要求购买了设备,并进行安装调试。就在调试的过程中,对方突然提出让境内公司为他们开通远程登录端口的要求。

犯罪嫌疑人、某信息科技公司销售迟某说:“境外这家公司的说法很简单,开个远程端口就是测试一下,看看信号是不是正常。”

犯罪嫌疑人、某信息科技公司销售总监王某说:“在我拿到开启端口需求的时候,以我几年的IT从业经验来看,他是可以远程控制这台电脑做相应的测试,也可以实时拿到对应的测试数据,所以他可能以这种形式已经将数据转移到海外。”

对于境外公司的真实目的,这家信息技术公司心知肚明,但又选择与对方心照不宣。把远程端口的登录名和密码交给对方后,国内的公司只需要保证网络24小时连接再做些简单的工作就可以直接从对方拿钱了。

国家安全部干警说:“他们只需要在电脑死机或者是天线角度不对的情况下,重启下电脑或者是按照对方的要求调整天线的角度就可以了。这家公司日常的项目利润也就15%到20%之间,但是做这个项目,投入的成本非常低,利润却高达80%到90%,可谓是一本万利。”

在利益的驱使下,国内这家信息技术公司默许对方源源不断获取我国铁路信号数据。直到5个月后,合同快到期准备续签时。

犯罪嫌疑人、某信息科技公司销售迟某说:“境外这家公司要求我们提供一些参数给它,但是这个参数我们向公司的相关部门咨询的时候,相关部门给出的建议是这个东西我们提供不了,我们不能做,所以公司决定这个项目不做了。”

虽然公司决定停止与境外公司合作,但销售王某和迟某不愿放弃如此高利润的项目。为了继续从中获取利益,王某决定寻找下家接手的公司,自己和迟某则作为介绍人从中分成。

在王某的撮合下,第二家公司很快就与境外公司建立了合作关系,王某和迟某直接拿到了9万元的分成。但这样的好日子没过多久,国家安全机关就找上门来。

国家安全部干警说:“通过勘验相关电子设备,仅仅一个月采集的信号数据就已经达到500GB,而这个项目已经实施了将近半年,可以想象所采集和传递到境外的数据是非常庞大的。”

经鉴定,两家公司为境外公司搜集、提供的数据涉及铁路GSM-R敏感信号,GSM-R是高铁移动通信专网,直接用于高铁列车运行控制和行车调度指挥,是高铁的“千里眼、顺风耳”,承载着高铁运行管理和指挥调度等各种指令。境内公司的行为是《数据安全法》《无线电管理条例》等法律法规严令禁止的非法行为。相关数据被国家保密行政管理部门鉴定为情报,相关人员的行为涉嫌《刑法》第111条规定的为境外刺探、非法提供情报罪。

中国国家铁路集团有限公司工电部通信信号处主管姜永富说:“虽然非法采集行为本身,不会影响高铁无线通信正常进行,也不影响列车安全。但是不法分子如果非法利用这些数据故意干扰或恶意攻击,严重时将会造成高铁通信无线中断,影响高铁运行秩序,对铁路的运营构成重大威胁;同时大量获取分析相关数据,也存在高铁内部信息被非法泄露,甚至被非法利用的可能。”

经国家安全机关调查,这家境外公司从事国际通信服务,但它长期合作的客户包括某西方大国间谍情报机关、国防军事单位以及多个政府部门。在数据时代,境外一些机构、组织和个人,针对我国重要领域敏感数据的情报窃密活动十分突出,给国家安全和经济社会发展造成了重大风险隐患。

国家基础信息、国家核心数据事关国家安全、国计民生和重大公共利益,是数据安全保护工作的重中之重。希望全社会进一步增加国家安全意识,坚持总体国家安全观,共同建立健全数据安全治理体系,提高数据安全保障能力,筑牢维护国家安全的钢铁长城。

]]>
因数据或隐私安全问题,这家巨头近一年已累计被罚超10亿美元 Wed, 18 May 2022 02:42:45 +0800 对互联网企业而言,数据信息既是心头肉,又是心头痛,在利益与维系用户隐私安全面前走钢索,翻车在所难免。最近一年以来,知名社交平台Facebook母公司Meta可谓罚单不断,其中因为数据处理和隐私安全等问题所遭受到的来自各国的罚款就已超过10亿美元。本文梳理了自2021年以来Meta吃到的典型罚单案例。

因不当使用数据被意大利监管机构罚款700万欧元

2021年2月16日,Facebook因对用户数据的不当使用,被意大利监管机构罚款700万欧元(约760万美元)。当局认为,Facebook未能遵守2018年11月对其的警告,即必须告知用户的数据会被用于商业用途,同时要让用户拥有自主选择权。但Facebook未能公布纠正声明,并在未经用户明确同意的情况下,对于访问第三方网站或应用的授权,用户只能取消选择预设,而不能对其进行主动、自由和有意识的选择,此举亦违反了意大利《消费者法》。

滥用人脸识别,被迫支付6.5亿美元巨额赔偿

2021年2月26日,美国法院批准了一起针对Facebook的集体诉讼和解协议,这一诉讼持续了长达6年。2015年,3名用户状告Facebook 在收集和存储生物特征数据时,没有明确告知、没有征得用户的书面同意,也没有说明数据的保存期限,期间Facebook多次试图终止诉讼,但均被驳回,且有越来越多的用户也因此要求索赔。最终,根据和解协议,Facebook需要向160万申请索赔的用户共赔偿6.5亿美元,其中3名原告代表每人获赔5000美元,其余用户获得至少345美元的赔偿。

除了这笔巨额赔偿,Facebook也不得已在2019年就把人脸识别功能设置为默认关闭,并且根据此次和解协议,还必须删除所保存的现有人脸模板。

因侵犯隐私被欧盟罚款2.25亿欧元

2021年9月2日,爱尔兰数据保护委员会公布裁决,因Facebook旗下即时通信工具WhatsApp违反了欧盟《一般数据保护条例》(GDPR),被处以2.25亿欧元(约2.67亿美元)罚款。据悉,自2018年开始,相关单位就已对Facebook展开了调查,因Facebook的欧盟总部设在爱尔兰,调查由爱尔兰数据保护委员会领导。

委员会认定,WhatsApp没有按照GDPR的要求,正确告知用户它与母公司Facebook共享个人数据的方式,对用户隐私构成威胁。根据GDPR,如果保护用户数据不力,轻者可被罚1000万欧元或前一年全球营业收入的2%,重者可被罚两千万欧元或前一年全球营业收入的4%。

因滥用用户隐私被法国罚款6000万欧元

2022年1月6日,法国监管机构CNIL对Meta开出6000万欧元(约约6500万美元)罚单。CNIL认为Meta在征询Cookie使用时,未向用户提供清晰明确的“一键拒绝”网络数据跟踪机制,存在试图引导用户暴露个人隐私的嫌疑,触犯了有关隐私保护条例。在罚款的同时,CNIL也勒令Meta在三个月内整改,让用户可以“一键拒绝”cookie追踪。

根据调查发现,诸如Facebook网站、谷歌或Youtube网站在提供拒绝跟踪Cookie时需要执行复杂的操作,而对接受追踪却可以“一键搞定”。

赔偿9000万美元了结十年数据隐私诉讼

2022年2月,美国加州地方法院何塞分庭宣布了结了一起Meta与4名Facebook用户长达十年数据隐私诉讼,这4名用户指控Facebook在他们退出社交媒体网站后,仍会追踪他们的网络活动,对用户隐私权构成侵犯。根据庭外和解协议,Meta最终同意支付9000万美元的赔偿金,并同意删除在用户不知情的情况下搜集到的所有数据。

因数据泄露问题处理不当,再度被欧盟罚款1700万欧元

2022年3月,爱尔兰数据保护委员会再度对Meta开刀,认为Meta在多次大规模个人数据泄露事件中,未能证明其采取了适当的安全应对措施,保障欧盟用户的数据安全,因而违背欧盟《通用数据保护条例》(GDPR),被处以1700万欧元(约1840万美元)罚款。

自2018年5月GDPR开始实施以来,Meta仅在当年就向GDPR报告了不少于12起数据泄事件,爱尔兰数据保护委员会在对这起事件进行为期两年多的调查后最终做出了如上裁决。Meta表示会认真对待GDPR的规定,并对此次处罚进行反思。

不难看出,Meta的屡屡受罚反映了近年来国际社会对数据和隐私安全的重视程度在日益加深,多国均已出台和完善了相应的数据及隐私监管法规。虽然Meta口口声声以用户为中心,注重安全与隐私,在近期推出了全新的“隐私中心”,帮助用户了解解数据收集和隐私选项,并表示将在明年正式推出旗下应用间的端到端加密计划,但显然Meta在实际运营中采取了“两面“做法。

虽然目前多数罚款对像Meta这样的互联网巨头而言如同毛毛细雨,但在数字经济越发成熟、人们自我保护意识觉醒的当下,如果不能从行动上采取实质性措施保护数据及用户隐私,除了会面临更巨额的罚款,用户的流失和在各国面临的监管制裁恐将给企业发展带来真正的切肤之痛。

]]>
福克斯新闻在线曝光 1300 万条敏感记录 Wed, 18 May 2022 02:42:45 +0800 Hack Read 网站披露,由于数据库配置错误,FOX News(福克斯新闻)在没有任何安全认证的情况下暴露一个大小 58GB 的数据库,其中包含约 1300 万条网络内容管理记录。

以 Jeremiah Fowler 为首的 IT 安全研究人员披露了福克斯新闻数据泄漏事件的相关细节,据悉,数据库存在一个配置错误,导致大小 58 GB 的数据库处于没有密码保护的状态,任何互联网用户都能够随意访问这些暴露数据。目前,暴露的数据库已经得到保护。

曝光 1300 万条记录

研究人员对曝光的数据库分析后指出,暴露数据中包含大约 1300 万条网络内容管理记录,互联网用户可以随时访问。

Security Discovery 联合创始人兼安全研究员 Fowler 表示,被曝光的文件中包含约 700 个内部的网络电子邮件、用户名,演员和制作人员的姓名以及他们的内部 Fox ID 参考号。

经进对泄露的内部记录进一步研究,发现几乎包含福克斯新闻内容、存储信息、福克斯内部电子邮件、用户名、员工身份证号码、附属电台信息、主机名、主机帐号、IP地址、接口、设备数据等信息。

数据泄露带来安全隐患

针对福克斯新闻数据泄露事件,Fowler 强调,如果这些数据落入网络犯罪分子手中,可能会带来一系列网络钓鱼攻击,攻击者能够很容易识别出脆弱区域,以便开展网络入侵活动。

另外,攻击者也会就数据库提出赎金要求,Fowler  还指出,目前尚不清楚这些信息记录暴露了多长时间,也不清楚是否有人已经访问了数据库。

值得一提的是,福克斯新闻接到关于不安全的数据库通知后,迅速召集网络安全人员,采取专业行动,此举 获得了 Fowler 的赞赏。

]]>
在ESET和微软帮助下 乌克兰成功阻止针对能源设施的网络攻击 Wed, 18 May 2022 02:42:45 +0800 在 ESET 和微软研究人员的帮助下,乌克兰官员表示成功阻止了一起针对能源设施的网络攻击。在本次阻止攻击过程中,它们发现了 Industroyer 的新变种,它是一个臭名昭著的恶意软件,在 2016 年被 Sandworm APT 组织用来切断乌克兰的电力。

乌克兰政府计算机应急小组(CERT-UA)表示,该攻击使用 Industroyer 变体尝试对“几个基础设施”发起攻击,包括高压变电站、设施的计算机、网络设备和运行 Linux 操作系统的服务器设备。

CERT-UA 解释说:“受害组织遭受了两波攻击。最初的妥协发生在 2022 年 2 月之前。变电站的断电和公司基础设施的退役被安排在2022年4月8日星期五晚上进行。同时,到目前为止,恶意计划的实施已经被阻止了”。

EET在关于这一情况的解释中说,它还看到攻击者使用了其他几个破坏性的恶意软件家族,包括CaddyWiper、ORCSHRED、SOLOSHRED和AWFULSHRED。

ESET说,它不确定攻击者是如何入侵最初的受害者的,也不确定他们如何设法从IT网络转移到工业控制系统(ICS)网络。但CERT-UA说,攻击者能够"通过创建SSH隧道链"在不同网段之间横向移动。

]]>
捐1元被收3元“支持费”?互联网筹款平台手续费收取陷入两难 Wed, 18 May 2022 02:42:45 +0800 近期,多家互联网大病筹款平台被曝开始向捐款者收取“支持费”,甚至捐1元收取3元。同时,去年于美股上市的水滴筹也于4月7日开始试行向筹款者收取服务费,其在试行公告中称,过去五年多,水滴筹维持运营所需的成本,一直由水滴公司补贴,未向筹款人收取费用。

《科创板日报》记者查询水滴公司招股书发现,从2018年开始,水滴公司的经营活动现金流净额一直处于净流出状态,且出现扩大的趋势;相比涨幅不算明显的营业收入而言,水滴公司的净亏损也正在逐步扩大,这也在很大程度上增加了水滴公司运营筹款平台的财务压力。

从财报角度来看,公司资金面上的不再充裕,或许是促使水滴筹等互联网筹款平台向筹款和捐款双方收取服务费用的初衷。不过,从收取费用的额度来看,对于筹款平台运营上的压力,这仍旧是杯水车薪。

当捐款与提现“不再免费”

向捐款方或者筹款方按捐款费用比例收取服务费用,是目前主流互联网筹款平台的两种主要方式。

如以轻松筹为代表的平台,当捐助者此前在平台页面进行捐款时,在最后一步会出现勾选项,询问用户是否阅读并同意《用户资助说明》,如果没有取消勾选该项目,在实际捐款时将会扣除3元“支持费”。《科创板日报》记者查询黑猫投诉平台发现,捐助者投诉的内容大多与此相关——在没有取消勾选的情况下被多扣除了3元捐助费用。

而在商家回复中,轻松筹表示,平台未收取任何服务费用,也无误导支付之意。如果捐款者需要退费,可在轻松筹公众号-个人中心-我的捐款-资助平台处申请退费。《科创板日报》记者登陆轻松筹客户端发现,截至目前,《用户资助说明》的勾选项已经被下线,在记者随机捐出1元之后,类似的额外服务费扣款也没有再度出现。

而水滴筹,则是在今年1月份就在徐州等城市试点向筹款方收取服务费。在徐州等试点地区,服务费的金额为实际筹款金额的3%,每案例服务费收取上限为5000.00元,与此前公布试行方案中的比例相同。

此外,第三方支付平台将另行扣除提现金额的0.6%作为支付通道费用。如果想要查看具体的试行方案,在提现公示与平台声明下方的实行公告处即可自行查阅。

水滴相关人士告诉《科创板日报记者》,在筹款人发起筹款之前,筹款顾问会和筹款人说清楚服务费的规则,筹款人在提交个人信息时还有一道确认,提现时还有一道提示。换言之,手续费用的收取是在征得筹款人同意之后才会进行扣除。如果筹款人不认可服务费的规则,可以选择其他筹款平台,或者水滴平台帮其另行联系公益组织。

由此来看,无论是筹款平台向捐款方或者筹款方收费,其出发点均来源于覆盖平台水涨船高的运营费用,但此前运营多年的“0服务费”模式,已经培养起了用户免费使用的习惯,而突然变为收费模式,短期内对于用户口碑可能会造成不利影响。

《科创板日报》记者查阅水滴公司财报发现,即便按照目前3%左右的扣除比例,水滴公司收取的服务费规模,也很难覆盖其高额的运营费用,至于能否缓解目前的经营状况,仍是未知数。

“烧钱营销”买流量快速做大模式后遗症多

公开信息显示,水滴筹母公司水滴公司创立于2016年,创始人为美团10号员工沈鹏。从家庭背景来看,沈鹏家庭此前从事保险行业已经多年。而美团的工作经历,让其对互联网与保险领域同时拥有较深的认知与见解。

自创始至今,公司经历了六轮投资,每一轮腾讯全部参与。最近的一次融资是在2020年11月,水滴接受了来自腾讯独家1.5亿美元的战略投资。6轮融资之后,水滴收到的投资金额接近44亿人民币。

当然,由于互联网筹款业务本身的公益体质,加之“0服务费”的宣传策略,水滴并不能从该项业务中获取营业收入,因此,借助筹款平台获取的流量,转化为互联网医疗保险的代理与经销,就成为了水滴筹与轻松筹等筹款平台获取收入的重要方式。

而在近年受疫情影响,在线医疗服务的增速超过了同期的其他医疗方式,根据艾瑞咨询预测,在线医疗服务市场预计到2024年将达到4,374亿元,在客观上为水滴筹的保险业务提供了增长空间。

此外,水滴相关人士告诉《科创板日报》记者,其负责代理的第三方保险类型,多为一次性的消费型保险,该种保险的保额较大,而需要支付的保费相对较少。正因如此,这类保险较为适合从互联网等渠道进行销售,水滴的营收在招股书的三年期间内也迎来了爆发性增长——2019年,水滴公司的营业收入增长534.5%到15.1亿元,2020年营业收入增长100.4%到30.3亿元。两年增长了近12倍。增速和数额都远超同属互联网保险经纪行业的慧择控股。

但在收入显著增长的背后,水滴依靠的还是以往互联网平台依靠第三方流量“烧钱营销”的套路。而这种方式在企业的扩张期是有效的。招股书显示,在营收流量来源方面,在初期水滴仍然以内部流量(众筹及互助)为主,但到2020年,这个比例已经降至16%左右,取而代之的是自然流量与第三方流量。

但这种打法的缺点显而易见,即为极高的市场费用投放。因此仅就净利润而言,水滴公司的亏损在近年来处于不断扩大的态势——在2018年,水滴营收2.38亿,净亏损1.88亿;2020年水滴营收30.28亿,净亏损6.64亿,而最新披露的2021年财报中,水滴的增速相比以往数倍的增幅大打折扣,增速仅为5%左右,为32.06亿,而净亏损却接近16亿,相比2020年猛增接近10亿。

就在2021年水滴上市之后不久,银保监会下发了《关于开展互联网保险乱象专项整治工作的通知》针对互联网保险产品管理、销售管理、理赔管理、信息安全等乱象频发领域,重点整治销售误导、强制搭售、诱导销售、费用虚高、违规经营和用户信息泄露等问题。

换言之,此前互联网保险业务通过烧钱等“野路子”进行扩张的打法已经不再奏效,这对业务模式刚刚成形的水滴来说,无疑是又一次打击。

专家:可参照慈善基金会收费标准

《科创板日报》记者查阅水滴公司财报发现,其2020年经营性现金流量净额为-7.77亿元,这意味着在水滴营收状况最好的一年,公司经营状况仍处于“失血”状态。而在2021年,水滴收入增长陷入停滞,而亏损进一步扩大,这也意味着此前靠互联网保险反哺0服务费的筹款业务的愿景,变得不再可行。这或许是水滴开始向筹款用户收取服务费的内在原因。

之所以水滴没有向捐款方收款,则有一些可能性在于,水滴需要向这部分捐款人群销售互联网保险,为了保证其筹款业务流量的稳定,选择向筹款方收取费用。

值得注意的是,水滴公司在试行方案中表示,每个筹款案例最高收取服务费不会超过5000元人民币,如果按3%的比例,意味着如果筹款超过16.67万元,即可达到服务费收取上限,对于治疗费用动辄数十万人民币的大病患者,这是个并不难达到的数字。

而公司声称五年来,已经为超过240万个大病患者筹集医疗资金,那么每年水滴筹服务平均48万个大病患者。如果这240万个大病患者均支付了5000元服务费,水滴将从他们身上收取一共24亿的服务费,但从2020年开始,水滴公司的营业支出已经超过35亿人民币,2020年则达到了50亿人民币,而上述24亿服务费,只是较为理想的情况。

“免费的服务方式不足以支撑业务可持续发展,对平台进一步发挥社会力量救助作用形成掣肘。” 全国人大代表、安徽省农业科学院副院长赵皖平接受媒体采访时表示,作为具有效率优势的互联网平台,可以参照现行基金会管理费标准,设立合理的行业服务费标准,从而促使行业良性持久发展。北京师范大学民生保障研究中心主任、教授谢琼同样认为,收取服务费用一定程度上比“商业反哺”的模式要有益,但要谨慎规定收费费率,确保可持续发展。

]]>
CISA:5款D-Link淘汰型号存在安全风险 推荐用户尽快升级 Wed, 18 May 2022 02:42:45 +0800 路由器是网络中必不可少的网络设备,但也往往被我们所忽略。只要路由器能够满足我们的上网需求,即便是停止支持我们也会继续使用。但我们也忽略了这些路由器存在的安全隐患,网络安全和基础设施机构(CISA)正在提醒 D-Link 的客户:近期又有 5 个 D-Link 型号被添加到该机构的脆弱设备名单中。

当路由器达到其使用寿命时(如受此漏洞影响的设备),漏洞变得更加严重。制造商有责任用新的补丁来解决这些问题,但他们一般不会为报废设备推送更新(只有少数罕见的例外)。

CISA 报告称 D-Link DIR-810L、DIR-820L/LW、DIR-826L、DIR-830L 和 DIR-836L 这 5 款型号的路由器存在“远程代码执行”漏洞。据 Malwarebytes 实验室称,攻击者可以利用“诊断钩子”(diagnostic hooks),在没有适当认证的情况下进行动态 DNS 调用,使他们能够控制受影响的路由器。

值得注意的是,Github 用户 doudoudedi表示针对这一漏洞的概念证明黑客已经存在于野外。因此,D-Link 建议尽快更换你可能拥有的任何受影响的路由器。产生更多的电子垃圾总是令人遗憾的,但在这种情况下,它是两害相权取其轻。

]]>
上海黑快递为赚钱核酸造假系谣言 Wed, 18 May 2022 02:42:45 +0800 近日,一段“‘黑快递’为了赚钱,核酸造假”的聊天记录在圈群传播。根据该聊天记录,微信用户名“CC”的网友称,目前有很多“黑快递”集中居住在一起,已经感染新冠病毒,却为了做生意在核酸检测上造假,并表示这是部分小区出现阳性感染的原因。上海辟谣平台从公安部门了解到,经初步调查,上海目前并不存在网传“黑快递”情况。网传关于“黑快递”的说法均来自“CC”。经调查,“CC”是吕某(男,46岁)的微信名,其于4月10日晚在小区群传播了这条消息,并称“我朋友说,外面快递员核酸都是代做的”,目前上海公安已经介入调查。

]]>
华为员工利用公司系统Bug越权访问机密数据被判刑 Wed, 18 May 2022 02:42:45 +0800 4月12日消息,根据中国裁判文书网披露了一份华为员工利用公司系统 Bug 越权访问机密数据的案件。

华为员工易某因工作需要,拥有登录华为企业资源计划 (ERP)系统的权限,查看工作范围内相关数据信息。

2010年12月,易某从华为公司线缆物控部调任后,未按华为公司的要求将 ERP 账户线缆类编码物料价格的查询权限清理,至2017年底,易某违反规定多次通过越权查询、借用同事账号登录的方式在 ERP 系统内获取线缆物料的价格信息。

2017年以后,易某发现 ERP 系统中的 POL 采购小程序存在漏洞,能通过特定操作绕过权限控制查看系统数据,便以此方式获取线缆物料的价格信息。易某将非法获取的价格数据以发短信、打电话、发电子邮件的方式告知深圳市金信诺高新技术股份有限公司(华为技术有限公司的供应商),从而帮助金信诺公司在华为公司的招标项目中提高中标率。

在2016年12月27日至2018年2月28日期间,多次通过公司邮箱将华为多个供应商共 1183 个(剔除重复部分共 918 个)线缆类编码物料的采购价格发送给金信诺公司。其在2012年至2017年6月30日期间,收受金信诺公司购物卡共计 7000 元、篮球鞋 5 双(价值共计人民币 16437.6 元)。

案发后,华为公司出具谅解书,表示对易某侵害华为公司的行为予以谅解。

IT之家了解到,法院一审裁定,易某犯非法获取计算机信息系统数据罪,判处有期徒刑一年,并处罚金人民币二万元;并向易某追缴违法所得共计人民币 23437.6 元,依法予以没收,上缴国库。

易某提起上诉,请求撤销原审判决,并依法改判为免于刑事处罚。法院二审裁定,易某非法获取计算机信息系统数据,违法所得超过人民币 5000 元,属于情节严重,已经构成非法获取计算机信息系统数据罪。其本人及辩护人的相关意见不成立,法院不予采纳。原审判决认定事实清楚,证据确实充分,定罪准确,量刑适当,审判程序合法。驳回上诉,维持原判。

]]>
一男子将自动贩卖机收款码换成自己的:非法获利74元 拘留12天 Wed, 18 May 2022 02:42:45 +0800 4月10日消息,据永康公安消息,近日永康市公安局东城派出所抓获了一名在口罩自助贩卖机上粘贴自己收款码实施诈骗的违法人员。

据通报,29岁的罗某于3月24日上午10时30分许,将自己的收款二维码贴在永康某医院的口罩自动贩卖机上,又事先在手机相册里保存了贩卖机上原本的收款码。口罩原价6元一个,罗某设置价格为14元一个。

这样一来,只要有人扫码,他就能在支付宝收到转账,再根据金额判断需要购买的口罩数量,用自己手机扫事先拍好的贩卖机二维码照片完成购买,并赚取差价。

截止到24日下午6时,贩卖机上的二维码被民警发现并撕除,罗某通过此方法共非法获利74元。目前,罗某因诈骗被公安机关依法处以行政拘留十二日的处罚,案件还在进一步办理中。

IT之家了解到,永康公安表示,商户应将收款码摆放在显眼位置,如果有监控,可将二维码设在监控范围内,并经常检查,避免收款码被替换、修改。

]]>
当心骗子冒充防疫人员加好友 Wed, 18 May 2022 02:42:45 +0800 “社区疫苗接种排查”、“社区防疫人员 速加好友”……你是否曾收到过这样以疫情防控为名的好友添加申请?那你一定要小心了。近日,德州市公安局陵城分局 打掉一冒充社区防疫人员为电信诈骗犯罪实施引流的犯罪团伙,抓获犯罪嫌疑人9名。

]]>
《安联智库-网安周报》2022-04-10 Wed, 18 May 2022 02:42:45 +0800

1、SpaceX星链突发全球断网 美英加澳均受影响

4月9日消息,太空探索技术公司 (SpaceX) 的 Starlink 卫星互联网突发全球中断。
Reddit 上有众多 Starlink 用户报告称,该服务突然停止工作。根据这些用户自己的说法,包括美国、英国、加拿大、澳大利亚、新西兰、比利时和葡萄牙等全球各地都出现了 Starlink 星链互联网中断的问题,但好在中断似乎很短暂,只用了不到半小时就恢复了正常。
Starlink 使用低地球轨道 (LEO) 互联网卫星为其用户提供互联网宽带服务,目前该服务已扩展到美国以外的多个国家。
2、三星手机曝重大漏洞 运行Android 9至12的所有机型危险了

4月6日消息,安全公司Kryptowire警告说,三星的各种设备都容易受到重大安全漏洞的影响,该漏洞允许黑客接管设备。

Kryptowire制作移动应用安全测试(MAST),这是一种扫描漏洞以及安全和隐私问题的工具。据该公司称,它发现了一个漏洞(CVE-2022-22292),该漏洞可能允许黑客采取一系列行动,包括拨打电话、安装/卸载应用程序、通过安装未经验证的证书来削弱HTTPS 安全性、在背景,甚至恢复出厂设置。

由于预装的手机应用程序具有“不安全组件”,该漏洞似乎影响了几乎所有运行Android 9至12的三星智能手机。因为电话应用程序以系统权限运行,这为不良行为者打开了攻击媒介。恶意应用程序可以利用电话漏洞来“模仿系统级活动”并访问本应受到保护的功能。

3、俄罗斯石油巨头Gazprom Neft网站因遭黑客攻击而关闭

近期,俄罗斯国家天然气公司Gazprom的石油部门Gazprom Neft网站因遭黑客攻击而被迫关闭,这似乎是俄罗斯入侵乌克兰后对政府相关网站的最新黑客攻击。

除此之外,据称多个乌克兰新闻网站在上个月同样遭到俄罗斯威胁攻击者的黑客攻击,并向访问者展示了“Z”符号。乌克兰国家特别通信和信息保护局在一篇网络帖子中证实了这一事件,并将责任归咎于俄罗斯国家支持的行为者。

4、广州行程码“带星”解释来了:是否影响出行,何时能消失?

4月9日,广州发布《广州市个别区域疫情风险等级调整的通告》。

根据广东省新冠肺炎防控指挥办疫情防控组《关于印发广东省新冠肺炎本地疫情应急处置方案(第三版)的通知》,经广州市新冠肺炎防控指挥办同意,自2022年4月9日起,广州市白云区三元里大道1008号鸿盈汇大厦调整为中风险地区。

4月9日中午,不少广州市民发现自己的通信大数据行程卡被标上了“*”。“通信大数据行程卡”,也是广大市民所熟知的“行程码”,是由工信部指导,中国信通院、中国电信、中国移动、中国联通共同推出的公益性的行程查询服务,可以免费为用户提供本人过往14天内到访过的国家(地区)和国内城市证明。

目前,只要是电信、移动、联通三家运营商中任何一家的用户,都可以使用该服务。但是新开卡的用户满14天后才能使用行程查询服务。

“通信大数据行程卡”显示信息包括:用户加密手机号、行程信息更新时间、色卡、用户过往14天内所有到访过的国家(地区)和停留超过4小时的国内城市,中高风险地区的城市会标注星号“*”。

那么,现在出现在广州人行程卡上的星号“*”是什么意思?根据“通信大数据行程卡”使用指南,到访地右上角的“*”标记表示当前该城市存在中风险或高风险地区,并不表示用户实际到访过这些中高风险地区。

需要注意的是,星号“*”和用户个人健康状况无关,仅作为中高风险地区的提示标志,方便管理人员查验。

当用户过往14天内行程不包含中高风险地区城市后,星号会自行消失。

星号标记会根据防疫部门对到访地的认定而变化,通常根据各地方卫健委最新发布的信息于24小时内更新中高风险地区的标星,数据更新有一定的时间差。如出现争议,建议您与相关防疫部门沟通,根据个人旅行车票、住宿单据、社区证明等来确定自己的行程。

]]>
广州行程码“带星”解释来了:是否影响出行,何时能消失? Wed, 18 May 2022 02:42:45 +0800 4月9日,广州发布《广州市个别区域疫情风险等级调整的通告》。

根据广东省新冠肺炎防控指挥办疫情防控组《关于印发广东省新冠肺炎本地疫情应急处置方案(第三版)的通知》,经广州市新冠肺炎防控指挥办同意,自2022年4月9日起,广州市白云区三元里大道1008号鸿盈汇大厦调整为中风险地区。

4月9日中午,不少广州市民发现自己的通信大数据行程卡被标上了“*”。“通信大数据行程卡”,也是广大市民所熟知的“行程码”,是由工信部指导,中国信通院、中国电信、中国移动、中国联通共同推出的公益性的行程查询服务,可以免费为用户提供本人过往14天内到访过的国家(地区)和国内城市证明。

目前,只要是电信、移动、联通三家运营商中任何一家的用户,都可以使用该服务。但是新开卡的用户满14天后才能使用行程查询服务。

“通信大数据行程卡”显示信息包括:用户加密手机号、行程信息更新时间、色卡、用户过往14天内所有到访过的国家(地区)和停留超过4小时的国内城市,中高风险地区的城市会标注星号“*”。

那么,现在出现在广州人行程卡上的星号“*”是什么意思?根据“通信大数据行程卡”使用指南,到访地右上角的“*”标记表示当前该城市存在中风险或高风险地区,并不表示用户实际到访过这些中高风险地区。

需要注意的是,星号“*”和用户个人健康状况无关,仅作为中高风险地区的提示标志,方便管理人员查验。

当用户过往14天内行程不包含中高风险地区城市后,星号会自行消失。

星号标记会根据防疫部门对到访地的认定而变化,通常根据各地方卫健委最新发布的信息于24小时内更新中高风险地区的标星,数据更新有一定的时间差。如出现争议,建议您与相关防疫部门沟通,根据个人旅行车票、住宿单据、社区证明等来确定自己的行程。

]]>
三星手机曝重大漏洞 运行Android 9至12的所有机型危险了 Wed, 18 May 2022 02:42:45 +0800   4月6日消息,安全公司Kryptowire警告说,三星的各种设备都容易受到重大安全漏洞的影响,该漏洞允许黑客接管设备。

  Kryptowire制作移动应用安全测试(MAST),这是一种扫描漏洞以及安全和隐私问题的工具。

  据该公司称,它发现了一个漏洞(CVE-2022-22292),该漏洞可能允许黑客采取一系列行动,包括拨打电话、安装/卸载应用程序、通过安装未经验证的证书来削弱HTTPS 安全性、在背景,甚至恢复出厂设置。

  由于预装的手机应用程序具有“不安全组件”,该漏洞似乎影响了几乎所有运行Android 9至12的三星智能手机。因为电话应用程序以系统权限运行,这为不良行为者打开了攻击媒介。恶意应用程序可以利用电话漏洞来“模仿系统级活动”并访问本应受到保护的功能。

  Kryptowire于2021年11月首次发现该漏洞并通知了三星。该公司于2022年2月发布了修复程序,鼓励所有三星用户立即更新以确保他们的手机安全。

]]>
俄罗斯石油巨头Gazprom Neft网站因遭黑客攻击而关闭 Wed, 18 May 2022 02:42:45 +0800 近期,俄罗斯国家天然气公司Gazprom的石油部门Gazprom Neft网站因遭黑客攻击而被迫关闭,这似乎是俄罗斯入侵乌克兰后对政府相关网站的最新黑客攻击。据说该网站上有一份来自俄罗斯天然气工业股份公司首席执行官阿列克谢米勒的声明,该声明似乎已经是网站被黑客入侵后的版本了,这份声明中对俄罗斯向乌克兰派遣数千名士兵的决定发表了批评言论,随后,该网站就被迫停止运营。

上个月,在面临外国制裁的情况下,米勒敦促俄罗斯天然气工业股份公司的50万名员工支持克里姆林宫,以保持俄罗斯作为一个重要大国的地位。不过,对于网站被黑事件,俄罗斯天然气工业股份公司表示:“4月6日上午在网站上发布的信息不属实,不能被视为公司代表或股东的正式声明”。Gazprom Neft是俄罗斯第三大石油生产商。它是俄罗斯天然气工业股份公司的子公司,持有其96%的股份。OAO Gazprom拥有Gazprom Neft 95%的股份,其余股份在证券交易所上市。

除此之外,据称多个乌克兰新闻网站在上个月同样遭到俄罗斯威胁攻击者的黑客攻击,并向访问者展示了“Z”符号。乌克兰国家特别通信和信息保护局在一篇网络帖子中证实了这一事件,并将责任归咎于俄罗斯国家支持的行为者。

]]>
SpaceX星链突发全球断网 美英加澳均受影响 Wed, 18 May 2022 02:42:45 +0800 4月9日消息,太空探索技术公司 (SpaceX) 的 Starlink 卫星互联网今天早些时候突发全球中断。

今天早些时候,Reddit 上有众多 Starlink 用户报告称,该服务突然停止工作。根据这些用户自己的说法,包括美国、英国、加拿大、澳大利亚、新西兰、比利时和葡萄牙等全球各地都出现了 Starlink 星链互联网中断的问题,但好在中断似乎很短暂,只用了不到半小时就恢复了正常。

此次事故发生于美国东部时间凌晨,不过那时候大部分美国东海岸用户可能正在睡觉,所以影响不大。

Starlink 使用低地球轨道 (LEO) 互联网卫星为其用户提供互联网宽带服务,目前该服务已扩展到美国以外的多个国家。

根据 spacexstats 统计数据,SpaceX 在太空中运行的 Starlink 卫星还有 2107 颗,脱轨 196 颗,可覆盖全球大多数地区。

]]>
VMware 多个产品中爆出严重漏洞 Wed, 18 May 2022 02:42:45 +0800 Bleeping Computer 网站消息,VMware 发布警告,称其多个产品中存在关键漏洞,攻击者能够利用这些漏洞发起远程代码执行攻击,用户应该立即修补,以防止遭受网络攻击。

VMware 在公告中警示,客户应根据 VMSA-2021-0011 中的指示,立即修补或缓解这些漏洞,不然会造成很严重的后果。

另外,声明中强调,每个客户所拥有的环境不尽相同,对风险的容忍度也不同,有不同的安全控制和深度防御来减轻风险,因此是否修补漏洞需要客户自己决定,但是鉴于漏洞的严重性,强烈建议用户应立即采取行动,修补漏洞。

五个关键漏洞的补丁

目前,修补的关键安全漏洞清单包括一个服务器端模板注入远程代码执行漏洞(CVE-2022-22954),两个 OAuth2 ACS认证绕过漏洞(CVE-2022-22955,CVE-2022-22956),以及两个 JDBC 注入远程代码执行漏洞(CVE-2022-22957,CVE-2022-22958)。

值得一提的是,VMware 还修补了一些其他高度和中度严重漏洞。据悉,这些漏洞可被攻击者用于跨站请求伪造(CSRF)攻击(CVE-2022-22959),提升权限(CVE-2022-22960),以及未经授权获取信息(CVE-2022-22961)。

受安全漏洞影响的 VMware 产品完整列表如下。

VMware Workspace ONE Access (访问)

VMware身份管理器(vIDM)

VMware vRealize Automation (vRA)

VMware云计算基础

vRealize Suite (生命周期管理器)

公告最后,VMware 表示,公告发布之前,没有发现这些漏洞在野外被利用的证据。

其他解决办法

VMware 的客户群体中,有一些不能立即给其设备打补丁的人,针对这一情况,VMware 提供了一种临时解决方案,要求管理员在受影响的虚拟设备上运行一个基于Python的脚本。

VMware 表示,临时解决方案虽然简单方便,但不能彻底消除漏洞,而且可能带来额外的复杂性,但是打补丁则不会。当然,选择打补丁或使用临时方案是由客户决定,但是想要完全消除这些漏洞,唯一方法是应用补丁,因此 VMware 强烈建议用户尽快打补丁。

值得一提的是,前几天,VMware 还发布了安全更新,以解决 VMware Tanzu Application Service for VMs、VMware Tanzu Operations Manager 和 VMware Tanzu Kubernetes Grid Integrated Edition(TKGI)/中的 Spring4Shell RCE 关键漏洞。

]]>
Cash App数据泄露恐将影响820万美国用户 Wed, 18 May 2022 02:42:45 +0800 近日,美国支付巨头Block披露了一项与投资应用Cash App有关的数据泄露事件,并将此事件告知了其820万美国用户。

Cash App是一款允许用户自由转账、花钱、存钱和购买加密货币的应用程序。此次数据泄露事件中,一名Block的前员工被卷入其中。有证据显示,他下载了一些关于Cash App Investing应用程序的报告。

2022年4月4日,Block公司方面宣布,经过调查公司发现一名前员工于2021年12月10日下载了其子公司Cash App Investing LLC(Cash App Investing)的某些报告,而这其中包含了一些美国用户的信息。

“虽然员工按照公司规定可以定期访问这些报告,而且是作为工作职责的一部分,但在本案例中,这些报告在员工雇佣期结束后仍未经允许就被访问”,美国证券交易委员会(SEC)公布的表格8-K中如此写道。

这次安全事件发生在2021年12月10日,那名前员工下载的报告中包括用户的全名和他们的经纪账户号(用户在Cash App Investing上的股票活动相关的唯一标识号)。另外,也包含了部分客服的一些其他信息,如经纪投资组合价值,经纪公司的投资组合或一个交易日的股票交易活动。

Block特别声明了,这些报告不包含用户名或密码、社会安全号码、出生日期、支付卡信息、地址和银行账户详细信息等个人身份信息。

目前尙不清楚有多少用户受到了影响,而Block方面已经通知执法部门并向其大约820万用户告知此事。另外,公司方面宣布将继续审查和加强行政和技术保障,以保护其用户的信息。

目前还很难预测这次安全事件将造成的损失,Block发布的公告的结论是这样写的,“虽然公司尚未完成对该事件的调查,但根据其初步评估和目前已知的信息,公司目前认为该事件不会对其业务、运营或财务业绩产生实质性影响。”

]]>
蔚来员工用公司服务器挖矿,已供认不讳 Wed, 18 May 2022 02:42:45 +0800 蔚来员工,用公司服务器挖矿。

据称,涉事人张某是蔚来汽车员工,此前担任某集群服务器管理员。

而他在在职期间,利用职务上的便利,用公司服务器挖虚拟货币。

事件一出,立即登上了微博热搜:

对此,不少网友纷纷发出感慨:

可真刑啊,越来越有判头了呢。

用公司服务器挖矿

虽然对于这件事情,蔚来汽车官方并没有出面做回应。

但是从流露出来的内部消息图片中,可以获取到些许事件详情。

事情还要追溯到2021年9月1日,蔚来汽车合规和风险管理部收到投诉称:

研发部门员工张某疑似利用其服务器管理的便利,不当利用公司服务器资源进行虚拟货币数字挖掘操作。

而后,蔚来内部经授权,对此事展开了调查。

调查结果显示,张某从2021年2月开始,便开始了这样的违规操作。

其所挖的虚拟货币,从爆料中的图片中可以看到,是以太币。

并且消息还称,张某在调查期间对于自己的违规行为供认不讳。

而张某的这一行为,触犯了我国刑法第285条第二款非法控制计算机信息系统罪。

据了解,犯此项罪的:

处三年以下有期徒刑或者拘役,并处或者单处罚金;

情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

此前还有百度员工

蔚来员工的事情一经曝出,很多网友纷纷联想到了之前的那位百度工程师。

早在2020年,一位百度员工在短短7个月内便走完了从“挖矿”、“变现”到“被判3年”的三部曲。

其挖矿所用的,便是百度搜索服务器。

在判决书中,也对这位百度员工“薅羊毛”的细节做了公布:

从2018年1月底到5月底,安某薅了155台服务器的羊毛,用来挖比特币、门罗币,卖掉一部分之后获利10万元。

事发之后,不仅这笔钱被没收,还额外被罚了11000元,另外还有3年的有期徒刑。

而从国内外来看,近年来公然用公司服务器挖矿的事件时有发生。

虽然截至发稿,蔚来汽车方面并未做出更详细的回应。

但还需从此事中了解一点:

道路千万条,守法第一条。

为了牟利而赌上未来和自由,不值得!

]]>
国内上市公司遭遇电信诈骗:邮箱遭入侵,被骗2275万元 Wed, 18 May 2022 02:42:45 +0800 近日,大亚圣象(000910)发布2021年度业绩报告,公司实现营收87.5亿元,同比上升20.46%;归属上市公司股东净利润5.95亿元,同比下降4.86%。

值得注意的是,公司同时披露,其全资子公司遭遇电信诈骗,涉案金额约356.9万美元(折合人民币2275.49万元),追回可能性较低。

大亚圣象旗下公司被骗2275万

大亚圣象公告表示,2021年报告期内,公司全资子公司圣象集团有限公司下属子公司美国HomeLegendLLC公司,成为一起电信欺诈的受害者,肇事者入侵该公司租用的微软公司365邮箱系统,伪造假电子邮件冒充该公司管理层成员,伪造供应商文件及邮件路径,实施诈骗,涉案金额约356.9万美元(折合人民币2275.49万元)。

该公司已于美国地方联邦执法当局备案并向中国公安机关报案。大亚圣象表示,截至报告日,被盗资金追回可能性较低。

年报显示,目前该笔损失已被列入营业外支出的“其他”项。

大亚圣象主要从事地板和人造板的生产销售业务,公司曾在投资者互动平台表示,公司木地板的市场占有率稳居行业首位,2021年度公司地板销量为6289万平方米,被称为“地板大王”。2021年公司营收87.5亿元,同比上升20.46%;归属上市公司股东净利润5.95亿元,同比下降4.86%;归属上市公司股东的扣非净利润为5.57亿元,同比下降7.04%。

上市公司遭遇电信骗局偶发

上市公司遭遇电信骗局,不是孤例。据记者不完全梳理:

2020年11月5日,斯莱克(300382)公告称,全资子公司香港斯莱克近期遭遇犯罪团伙电信诈骗,导致银行账户内的205万余美元(约合1300万人民币)通过网络被骗取。案发后公司已向公安机关报案,并于2020年 11月4日收到公安机关出具的《受案回执》,目前公安机关正在积极侦办。

2022年3月31日,斯莱克在年报中透露,目前该案件进展如下:

上述款项共计2,053,036.50美元已汇入诈骗人在乌克兰基辅开设的账户;

公司已经由乌克兰代理律师向基辅商事法院起诉,要求收回2,053,036.50美元,目前该案正在审理之中;

乌克兰代理律师于2020年12月向法院申请扣押上述账户中的相关款项,法院亦发布了扣押裁决书。经调查,该账户内有资金58,246,894.80格里夫纳以及36.50美元,根据基辅佩切斯克地区法院于2020年12月10日作出的第757/54607/20-K号案件的裁决已被扣押。该账户内已扣押资金与香港斯莱克被骗资金相当。

征询律师意见后,公司认为通过法律途径追回上述款项有较大的可能性,但可能需要较长时间。

2020年6月23日晚间,京投发展(600683)公告称,公司接到持股50%、由合作方负责操盘的子公司北京京投银泰置业,其财务人员遭遇犯罪团伙电信诈骗,导致银泰置业银行账户内2670万元于2020年6月22日通过网络被骗取。若按照2019年实现的净利润计算,该公司此次被骗取的2670万元约为其2019年净利润的6倍之多。

2021年4月12日,京投发展发布的2020年度内部控制评价报告表示,已追回500万。

上市公司是如何被诈骗的?

从上述案例不难看出,诈骗金额高达数百万、数千万,如此级别的巨款,按规则应该要公司内部层层审批,通过各种财务稽核,怎么会说转走就转走了呢?因此,有业内人士直言,上市公司遭遇电信诈骗,也从一定程度上反映了该上市公司财务流程的不健全,以及公司的内部管理不规范、不专业。

那么,上市公司在遭遇电信诈骗时,百万、千万级别的款项是如何轻易被划走的呢?2021年7月17日,世龙实业(002748)在回复交易所问询时,详细披露了其被骗过程。

2020年5月8日上午,公司综管部职员杨东锋(以下简称“杨”)收到名为“张海清”(公司总经理名字)的电邮指示,要求其建立一内部工作群,将财务负责人拉入群内,杨在不辨真伪的情况下,按其指示建群,并将邓拉入新建的QQ工作群,群中仅有三人。

“张海清”在群中开始对邓说:“今天有笔保证金98万要打过来,你查一下工行基本户收到没有”,邓回答“工行尚未有到账记录”,“张”又说“你联系一下徐炳洪15608818278,问他合同保证金打了没有,如果没有打就暂时不打,让他等我修改好合同后再打保证金”,邓联系过徐炳洪后回复“已联系了,徐说十分钟前已将款划入您个人账户”,“张”说“我在开会没留意,款我已收到,他已打入我私人账户了,你现在再联系一下徐总,我需要修改合同,先把保证金退给他,等合同修改后再重新打,你安排从公司账上将98万退回去,我会议结束后再补汇到公司账上”,“张”接着就给了邓“徐炳洪”的账号,邓当时完全没有任何甄别判断意识,在未经公司领导审批,未执行财务付款流程的情况下,同出纳员詹宾一同经网上银行划出公司银行资金98万元。

十几分钟后,群中“张”又说“徐总可能没有和他们的会计沟通清楚,他的会计以为合同签定成功了,又把尾款200万打给我了,你再安排一下从公司把款退回去,明天我将298万转回公司,合同还没签,先给对方留个好印象”,于是邓又没有请示领导,无视公司财务制度规定,私下自作主张,从公司账上再汇出200万元,共计支付款项298万元至“徐炳洪”账户。

当日邓一直都未曾怀疑已遭遇诈骗事项,也没有向公司财务总监和总经理汇报此事,直到晚上约9点半时,杨东锋对QQ群中的聊天记录开始质疑并致电提示邓京云,邓才警觉起过来,约10点钟打电话向张总核实有没有此事。张总接电后,意识到邓可能被诈骗,随即问财务总监胡总知道此事否?胡也不知情。张随后向公司副总经理宋总、曾总通报了情况,并安排保安部部长带领人员向江西省乐平市公安局邢侦大队报了案,同时胡总也通知农行冻结了“徐炳洪”账户,但款项早已被提现。

世龙实业表示,本次公司被“电信诈骗”的事项发生,主要是财务部长置公司内控管理制度不顾,思想麻痹,安全防范意识薄弱,对公司主要领导权威过于服从,同时出纳人员出于对部门领导平时的信任和威严,不顾公司内控管理制度的要求,对自己直接领导的指示,盲目执行,导致公司遭受到巨大损失。同时财务总监在日常监管中,对分管部门人员的内控制度、风险防范教育不足,被诈骗份子有机可乘。

防骗“秘籍”

近年来,电信网络诈骗高发。大量涉诈资金被转往境外,即使抓住了人,也很难追回损失,如斯莱克的被骗资金去了乌克兰,世龙实业的被骗资金去了缅甸。据最高人民检察院通报,2019年至2021年,检察机关分别起诉电信网络诈骗犯罪3.9万人、5万人、4万人。从发案数量上看,电信网络诈骗犯罪总体仍在高位运行。

据公开数据显示,目前电信诈骗犯罪警情已占全部刑事警情的46%,大部分城市超过50%,成为我国第一大犯罪类型。相比于偶发的上市公司被诈骗,发生在我们身边的诈骗,已经是无孔不入,防不胜防。

那么应该如何避免被骗呢?骗子的目的是骗钱,最终要通过转账的形式,达到骗取钱财的目的,所以无论骗子如何花言巧语、危言恐吓大家一定要记住“不听、不信、不转账、不汇款”有疑问直接拨打110进行咨询或报警。此外,可以安装公安部研发的“国家反诈中心”APP,预警电信诈骗。

以下是中国互联网协会总结的9大防骗“秘籍”:

1.短信内链接都别点

虽然手机短信中也有银行等机构发来的安全链接,但不少用户难以通过对方短信号码、短信内容、链接形式等辨别真伪,所以建议用户尽量不要点击短信中自带的任何链接。特别是Android手机用户,更要防止中木马病毒。

2.“验证码”谁都别给

银行、支付宝等发来的“短信验证码”是极其隐秘的隐私信息,且通常几分钟之后即自动过期,所以不要向任何人和机构透露该信息。

3.手机不显号码,别接

目前,除极少数特殊部门还拥有“无显示号码”电话之外,任何政府、企业、银行、运营商等机构均没有“无显示号码”的电话,所以今后再见到“无显示号码”来电,直接挂断就好。

4.闭口不谈卡号和密码

对话中都绝不提及银行卡号、密码、身份证号码、医保卡号码等信息,以免被诈骗分子利用。

5.钱财只能进不能出

任何要求自己打款、汇钱的行为都得长心眼,警方建议如需打款可至线下银行柜台办理,如心中有疑惑,可向银行柜台工作人员咨询。

6.陌生证据莫轻信

由于个人隐私泄露泛滥,诈骗分子常常会掌握用户的一些个人信息,并以此作为证据,骗取用户信任,此时切记要多长个心眼——绝不轻易相信陌生人,就算朋友家人,如果仅仅是在网上,也不可轻信。

7.钓鱼网站要提防

切不可轻易信任那些看上去与官方网站长得一模一样的钓鱼网站,中病毒不说,还可能被直接骗走钱财,所以在登录银行等重要网站时,养成核实网站域名、网址的习惯。

8.新鲜事要注意

诈骗分子常常利用最新的时事热点设计骗局内容,如房产退税、热播电视节目等都常常被骗子利用。如果不明电话中提及一些你从未接触过的新鲜事,也切莫轻易当真。

9.拿不准就打110

如果真有拿不准的事,拨打110无疑是最可靠的咨询手段,虽然麻烦了警察,但必要时候仍可以采取这种手段。

]]>
大数据时代下如何保障信息安全? Wed, 18 May 2022 02:42:45 +0800 对于“大数据”(Big data),研究机构Gartner给出了这样的定义。“大数据”是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力来适应海量、高增长率和多样化的信息资产。‍‍

01 大数据时代已来

随着网络时代日益信息化,移动互联网、社交网络、电子商务大大拓展了互联网的疆土与应用领域,我们正处在一个数据爆炸性增长的 “大数据”时代,大数据对社会经济、政治、文化,生活等方面产生深远的影响,大数据时代对我们的数据驾驭能力提出了新的挑战。

大数据给我们带来哪些便利?商业精准营销、终端信息互联和创造就业。

大数据时代,商业环境已悄然发生变化。普通地铁、公交、公园广场等随时都能看到一些智能终端设备、产品宣传、频繁互动的社交网络、法律法规、安全知识的普及,使平常只是浏览网页的网民意识由模糊变得清晰,企业也有机会针对大量消费者数据进行分析,实现在大数据时代下的精准营销;

基于移动互联网、物联网、社交网络、数字家庭、智慧城市等信息技术的不同来源数据进行转换、分析和优化,将各种结果相互反馈到不同应用中,以改善用户的体验,创造最大的商业价值、经济价值以及社会价值,达到在大数据时代,人们消息之间的互联互通。

大数据时代的另一个明显便利是:企业、政府需要一大批精通业务又能做大数据分析的人才,调查显示,在美国,对拥有大量数据分析技能(包括机器学习和高级统计分析)的人才的需求可能超过预期供应的50%~60%,在大数据时代下,造就了一批新的就业岗位。

02 大数据时代面临的安全问题及应对方案

数据的安全存储问题

目前,数据的存储主要以云架构为技术基础,采用虚拟分布式存储的方式,在云端进行数 据信息的操作处理,主要可通过如下几种方式来实现数据的存储安全。

差异化存储:首先可以对数据先进行分类,再对已分类的一般数据、常用数据、重要数据实施差异保存,并存储在不同位置,权限也根据用户具体的角色或基于新一代的访问控制模型ABAC进行分类管理,采用私有存储与云存储相结合的模式存储。

分散存储:利用已有的云存储技术,将数据块分散在多个位置上。采用分散保存的方式,不仅能保证其实用性,而且在一定程度上也提高了其安全性。

“数”“密”分离存储:还可以采用加密的数据和“密匙”相分离的方式,达到数据与“密匙”互相制约的效果,同时管理数据和使用数据也实现同样的分离,并加强“密匙”的存储、修改、产生等周期。

数据的访问(使用)安全

大数据时代,如果数据信息被黑客攻击利用,存在关键数据被破坏,甚至数据丢失的风险。所以想要保护数据信息的安全,必须要加强对数据信息的访问控制。

基于端侧的访问控制:设置访问数据时,需对终端MAC绑定。设置不同等级的控制,并给予授权访问。

基于数据的访问控制:在原有的端侧访问控制的基础之上,再对数据敏感层的分类分级,并规定不同属性下的安全访问权限,设置身份认证和权限控制,真正做到安全可控。对数据本身的拥有者可以设置所有或部分的访问权限。

基于ABAC的访问控制:在基于端侧环境、用户身份基础上,搭配最新访问控制策略ABAC,将访问主体属性、客体属性和环境条件结合起来,通过动态计算一个或一组属性,判断一个用户是否具有数据访问权限。

防御数据被攻击

想要数据安全,必须加强安全防护。

优化传统网络安全技术:传统网络安全技术以加密技术、访问控制技术、防火墙技术、入 侵检测技术、认证技术为主。大数据时代信息技术更新迭代速度加快, 企业内网络信息安全管理人员需要加强对传统技术的创新,确保内部机房环境、视频监控系统、防火墙、入侵防御系统、数据库审计系统、应用交付系统的安全。

使用大数据安全技术:保障网络信息数据各个生命周期的安全,降低企业遭受病毒攻击的风险。将数据源身份认证技术、密文附加消息认证码技术、时间戳等应用到信息数据的采集过程中,将隐私保护技术、数据加密技术、密钥管理技术、异地备份技术应用到数据存储过程中,降低数据被攻击窃取风险。

数据的安全管理策略

大数据时代,数据安全三分靠技术,七分靠管理。这不仅强调了大数据技术的重要性,又表明了安全管理更加重要,安全管理主要可通过以下手动实现。

行为规范:数据的交互、提取等操作要在统一标准下运作,正规有序使用和管理数据信息;

提前做好安全风险评估:根据不同来源的各类数据,分别设置不同的安全风险等级,并且制定相应的安全预案;

加强数据安全意识:为了让每一个工作人员充分了解自己在安全防护中的职责和担当,充分认识工作中信息安全的重要性,结合实际情况,周期性开展安全演练,提高员工安全意识。

大数据时代,日常生活与工作得到了极大的便利,同时信息安全也面临着各式风险与挑战。确保重要数据不被泄露,保护每个人信息安全需要大家共同努力。通过对大数据环境中存在的安全挑战进行分析,并且从数据安全治理的角度,提出数据安全防护以及相关应对措施,该方案能够适用于不同行业数据安全防护需求,确保数据信息的安全。

]]>
如何让经营场所摄像头闭紧侵权之眼 Wed, 18 May 2022 02:42:45 +0800 一些商家在经营场所安装摄像头存在不规范行为。有的摄像头被安装在浴室、试衣间等私密空间,有的摄像头因技术问题极易被破解,还有的能够精准识别人脸以分析客户群……律师提出,应当进一步细化摄像头的安装规范,对于谁来安装、摆放位置、质量要求等问题做出明确规定,划出禁区和底线。

日前,浙江杭州两名女子在足浴店做完精油开背后发现,房间里的摄像头竟然正对着按摩床。对此,店家称是派出所的要求,派出所回应称,在公共场所安装摄像头属于治安防范措施,但从未强制商家在隐私区域安装,且安装监控后需尽到提醒义务。

在经营场所安装摄像头,无疑有利于维护治安、定纷止争。但近年来,一些商家不规范的安装行为,屡屡引发隐私侵权和信息泄露风险。而谁可以安摄像头?装在哪?谁有权存储和查看?这些问题还需以立法形式进行细化。

餐厅能在包间安装摄像头吗

经营场所为何要安装摄像头?记者从北京多家商超和餐厅了解到,商家大多是出于安全考虑。一家中型超市在货架过道安装了十几个摄像头,“店里丢了东西或者顾客落了东西都有据可查,也能为警方破案提供便利”。

在北京一家餐厅,不仅前台、大厅等区域装有摄像头,几个包间也在监控覆盖范围之内。餐厅经理告诉记者,之前有包间顾客在餐食中投入异物“碰瓷”,为避免损失只能装监控。

对此,记者随机采访了几位正在就餐的顾客。很多人表示理解,认为只要不影响消费体验,监控怎么装是商家的自由。也有顾客提出质疑,“选择包间就是看中了私密性,如果在不知情的情况下,一言一行都被记录,谁还能好好吃饭”。

争议一直存在。去年2月,某连锁火锅店被曝出在包间装有云台式摄像头,客服回应称,包间属于餐厅,也是公共场所的一部分。8月,深圳某服装门店被指在女士试衣间上方装摄像头,店家辩称视频不会泄露,“只有经理有权查看,且受总部监管”。

“法律并未禁止商家在经营场所安装摄像头,但也不得随意安装。”北京拙朴律师事务所创始合伙人谢燕平表示,对于摄像头的安装和监管,我国现阶段暂无专门法规,相关规定散见于行业条例和部门规章中。但根据个人信息保护法,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,并设置显著的提示标识。

中国社会科学院大学互联网法治研究中心执行主任刘晓春认为,经营场所安装监控,商家必须明确告知,让顾客对于自己的人像、行为被采集有心理预期。此外,顾客对不同消费场景的隐私预期不同,相较于收银台、商品展示区等公共区域,更衣室、饭店包厢属于私密空间,安装摄像头涉嫌侵害隐私权。

大量存储信息如何不失守

摄像头记录的信息如何保存?根据商家介绍,摄像头或是收银系统自带,或是从网上购买,录像存储时间与应用内存挂钩,一般在10天至一个月,可提前下载至U盘或者手机中。

不过,记者调查发现,不少监控视频正在境内外社交平台上传播,涉及按摩店、民宿、浴池等经营场所。据多家媒体报道,其背后是一条成型的灰色产业链:不法分子破解他人摄像头权限,将ID出售供人实时观看,并发展下线代理层层转售,有些“精品”ID被炒至上千元。

网络安全从业者刘阿杜(化名)告诉记者,早期产品对个人信息保护的考虑不充分,设置的出厂密码较为简单易破解,甚至在网上搜索品牌就能查到。这些摄像头仍在市场上流通,很多买家没有重置密码的意识,导致个人信息陷入“裸奔”的境地。

近日,广东佛山某售楼处被查出装有4个人脸抓拍摄像头,共抓拍、储存人脸图像达34万条次。执法人员表示,店家未能提供采集客户人脸信息的书面告知同意书,拍摄行为涉嫌违法。而记者在电商平台搜索发现,不少店铺提供所谓“智慧门店管理系统”的定制服务。

“这种做法完全背离了安装摄像头的初衷,属于违法行为。”谢燕平说。

谢燕平分析称,人脸信息属于敏感个人信息中的生物识别信息,具有唯一性和不可更改性。根据民法典和个人信息保护法,处理敏感个人信息必须基于合法、正当、必要原则,需在充分告知的前提下取得当事人书面同意,并采取必要措施保障信息安全。

相关法规亟待细化统一

在摄像头愈发普及的当下,如何使其睁大监督之眼,闭紧侵权之眼?

“立法的脚步要再快些。”谢燕平认为,个人信息保护法等法律的相关条款较为原则性,在执行中暴露出一些模糊地带。立法机关应当进一步细化摄像头的安装规范,对于谁来安装、摆放位置、质量要求等问题做出明确规定,划清禁区和底线,并以规范性文件、技术法规等形式固定下来。

去年3月,深圳探索针对摄像头立法。《深圳经济特区公共安全视频图像信息系统管理条例(草案)》提出,禁止在旅馆客房、公共浴室、更衣室、哺乳室等可能泄露公民隐私的场所和区域安装摄像头;涉及公共安全人像及车牌等敏感信息采集的视频图像信息系统,应由公安机关统一规划。

刘晓春建议进行全流程监管。摄像头生产企业要按照数据安全法等法规提升产品质量和安全能力;电商平台应严格自查,让“客流统计摄像头”等侵权产品没有容身之处;各类社交平台须尽到信息审核义务,全面清理涉及摄像头破解和交易的违法有害信息。此外,相关部门亟须探索技术手段,追溯摄像头从生产、销售到应用的全过程。

“购买摄像头的商家是链条上最重要的一环。”谢燕平认为,可推行经营场所摄像头安装“备案审查制”,由公安和市场监管部门进行监督;商家自身要从正规渠道购买设备,及时销毁监控视频,定期更换摄像头密码。

“对隐私、个人信息的关注与保护看似会增加经营成本,但尊重消费者权益的商家最终会得到消费者认可,这也是高标准服务和履行社会责任的应有之义。”谢燕平说。

]]>
大学女老师网购一条裤子 然后3小时被骗24万 Wed, 18 May 2022 02:42:45 +0800 被骗与学历、职业无关,你以为只有小孩子、学生和老人才会被骗,其实就连大学老师也很可能轻易中枪。

今天,法制日报就公布了一起“离奇”的案例,沈阳一高校教师在某网络平台上买了一条裤子,然后接到了一通境外来电,随后陷入了连环全套,仅3个小时就被骗走24万元。

据报道,4月1日上午,她接到了一个0087开头的境外来电。电话那端的骗子A自称是某网络平台客服,并报出了准确的裤子订单号骗取她的信任。对方表示:“由于平台工作人员操作失误,将您设置成代理商,每月您要缴纳代理费790元。”

这位教师听后很生气,并表示必须要马上取消!随后,客服回复道:“取消代理需要银行部门介入办理。”

于是,骗子B出现了。骗子B假冒“银行工作人员”打来电话表示,办理取消代理业务,需要把自己所有银行账户内的钱,集中到一个账户中,再将钱从自己的A账户,转到B账户,再转到C账户,最后转到骗子提供的一个银行账户。

这位老师被这种无厘头操作弄得晕头转向,便将自己的11.3万元存款转给了骗子B。

骗子B看到她好骗,便变本加厉要求她在某网贷平台上最大额度贷款,随后该老师按骗子B指示,又转汇了98000元和30000元。

在该老师继续贷款时,她的家人发现了异常,并马上制止其再转账。但此时,这位老师已经被骗了24万元。

]]>
零售商The Works在遭遇网络攻击后被迫关闭商店 Wed, 18 May 2022 02:42:45 +0800 据报道,英国领先的商业街零售商The Works在遭受网络攻击后被迫关闭了部分门店,并暂停了其部分业务,对于该事件,The Works作出了回应,在调查期间,作为预防措施,它已禁用包括电子邮件在内的计算机系统的访问权限。而《卫报》也报道了该事件,它指出The Works贸易和业务运营都受到了干扰,同时也因为收银问题被迫关闭了部分门店。

不过The Works表示因为网络攻击原因将暂时停止向集团门店补货,并延长了履行在线订单的正常交付窗口,但门店交付会逐步恢复,并且正在逐步恢复正常的在线服务水平。其中卡交易不会受到影响,因为它们是由第三方处理的,但目前尚不清楚员工和/或客户的个人信息是否已被泄露。他们在发表的声明中表示:“虽然支付数据没有受到损害,但尚无法确定任何其他数据可能受到影响的全部程度,因此,作为预防措施,我们已通知信息专员办公室。”

对于该事件,BBC报道称勒索软件才是这次攻击的幕后黑手,尽管目前The Works并没有收到赎金要求。由于网络攻击,本次共有五家商店关闭,在线交付也受到影响。不过业务将很快重启,所以The Works预计该事件不会影响其今年的财务状况。

ESET全球网络安全顾问杰克摩尔认为,如果该公司后续收到赎金要求,则他们需要衡量支付赎金或者独自处理该事件的潜在成本——尤其是后者可能意味着更长的恢复期。“不过该事件的最终结果对于其他公司来说是个案例,至少它能让其他公司加强对安全的重视,为未来不可避免的网络攻击做好准备。”

]]>
IT服务巨头遭勒索软件攻击、导致损失4200万美元 Wed, 18 May 2022 02:42:45 +0800 近期,西班牙一家领先的业务流程外包(BPO)服务提供商表示,因遭遇勒索软件攻击导致其损失超过数千万美元。作为全球前五的客户关系管理(CRM)和BPO提供商,Telefonica Atento在拉丁美洲拥有强大的基础。然而去年10月,它声称其巴西子公司IT系统遭遇了“网络攻击”。不过公司已经第一时间做出了响应,“快速识别”出威胁、且隔离受影响的系统并暂停与客户的连接。

虽然公司表示在之后的24小时内,服务开始恢复在线,不到一周后,数据中心的运营已经恢复。然而近期发布的2021财年财务报告显示,勒索攻击对公司的影响比最初想象的要大得多。根据报告可以得出,由于“巴西业务中断”,第四季度收入损失了 3480万美元,另外还有730万美元用于与攻击相关的“保护、检测和补救措施”。

Atento的首席财务官兼首席执行官在一份联合声明中说,“与当今时代的许多公司一样,包括一些世界技术领导者,我们受到了网络攻击,这当然也影响了我们第四季度的业绩。该事件的复杂性和对我们的影响,都远大于我们的预期。据当地报道,该公司没有向勒索者付款,而发起勒索攻击的黑客组织据说是近期高调的LockBit组织。

对此,Atento声称已经设立了最佳的应对方案,除了提高其保护、检测和补救能力——包括与CrowdStrike和Mandiant签署的新协议,现在正与“防御团体和机构”更密切地合作,以提高应对威胁的准备。

不过,基于近期勒索事件频发,Atento也会被添加到勒索软件攻击后遭受极高损失的公司名单中,名单中包括法国IT服务公司Sopra Steria(6000 万美元)、铝业巨头Norsk Hydro(4100 万美元)和IT服务公司Cognizant(7000 万美元)。

]]>
为应对网络攻击,德国风电设备巨头Nordex关闭IT网络 Wed, 18 May 2022 02:42:45 +0800 3月31日,德国风力涡轮机制造商Nordex遭受网络攻击,导致其多地业务部门的IT系统被迫关停。

Nordex是一家风力涡轮机设计、销售与制造企业,2021年全年销售额接近60亿美元。Nordex公司在德国、中国、墨西哥、美国、巴西、西班牙及印度均设有工厂。

上周四,该公司称“在早期阶段”检测到入侵活动,并迅速采取了应对措施。

在官方声明中,Nordex公司表示“立即成立了由内部及外部专家组成的事件响应小组,负责遏制问题,阻止进一步传播,并评估潜在风险的具体程度。”

“多个IT系统关停,可能给客户、员工及其他利益相关方造成影响。Nordex也将在掌握更多信息时,发布进一步情况更新。”

4月4日(周一),有媒体询问当前业务运营状况,Nordex公司并未做出回应。

据德国媒体Erneuerbare Energien报道,Nordex网站曾在事件早期显示“由于维护工作,本网站暂时无法访问,请稍后再试。”不过现在网站已经恢复正常运行。

网络安全已成为风电行业重大风险

就在本次事件之前,美国卫星通信公司ViaSat曾在2月下旬被黑后中断服务,致使德国5800台Enercon风力涡轮机发生故障。

据Renewables Now报道,直到现在,Enercon也未能全部恢复。在受到攻击影响的全部设备中,目前约有85%已经恢复正常。

2021年11月,风力涡轮机制造商Vestas遭遇勒索软件攻击,恶意攻击者还威胁要将窃取到的数据公之于众。与Nordex一样,为了阻止问题持续蔓延,Vestas也被迫关闭了跨多个业务部门及地点的IT系统。

]]>
《安联智库-网安周报》2022-04-03 Wed, 18 May 2022 02:42:45 +0800

1、勒索软件攻击给软件巨头Atento造成4210万美元损失

近日,客户关系管理(CRM)服务提供商Atento公布了2021年的财报,披露该公司去年10月遭受的网络攻击造成的损失高达4210万美元。具体地说,勒索软件攻击造成的业务中断影响了该公司在巴西的业务,导致收入损失3480万美元,其他损失还包括缓解事件影响的730万美元额外成本。
Atento是全球领先的CRM和业务流程外包服务供应商之一,在13个国家/地区开展业务,拥有15.4万名员工,并拥有400多家从事电信、银行、零售和公共管理业务的跨国公司客户。
在勒索软件LockBit的网站上,可以检索到Atento的数据泄露页面,显示加密数据已被公布:
2、纽约82万名学生的个人数据被曝光

近期,纽约一个广泛使用的在线评分和考勤系统遭到黑客攻击,这可能是美国历史上学生个人数据最大的一次曝光。犯罪分子于1月闯入Illuminate Education IT系统,并获得了约820,000名现任和前任纽约市公立学校学生个人数据的数据库的访问权限。

Illuminate Education是一家位于加利福尼亚州的纳税人资助的软件公司。该公司创建了流行的IO Classroom、Skedula和PupilPath平台,纽约市教育部使用它来跟踪成绩和出勤率。

本次的黑客攻击涉及可追溯到2016-17学年的信息,教育部于上周五宣布了该事件,事件中泄露的数据包括学生的姓名、出生日期、种族、家庭语言和学生证号码,同时还包含班级和教师的时间表以及关于学生获得免费午餐或特殊教育服务的数据。

3、Wyze摄像头曝出大漏洞,近三年时间才修复

近日,某畅销的摄像头品牌Wyze Cam被曝存在三个严重的安全漏洞,黑客利用这些漏洞可以执行任意代码,完全控制摄像头,并且访问设备中的视频资源。更糟糕的是,这些漏洞是在三年前被发现的,最后一个漏洞直到近段时间才完成修复。

这三个安全漏洞的具体信息如下:

漏洞一:CVE-2019-9564,可绕过身份安全验证;

漏洞二:CVE-2019-12266,基于堆栈的缓冲区溢出,可远程控制摄像头

漏洞三:无编号,可远程接管设备,并访问SD卡中的视频资源;

如果黑客将以上三个漏洞综合利用,那么就可以轻松绕过设备的身份验证,入侵目标摄像头,最终实现实时监控摄像头。这意味着,使用者的一举一动都会清晰的出现在黑客的视野中,再无任何的隐私。

4、苹果发布紧急补丁以修复被积极利用的零日漏洞

近日,苹果发布了一个紧急安全补丁,以解决两项被积极利用以入侵iPhone、iPad和Mac的零日漏洞。

这两项漏洞均由匿名研究人员发现并报告,苹果公司表示在iOS 15.4.1、iPadOS 15.4.1和macOS Monterey 12.3.1的发布中已解决了该两项漏洞,并建议用户尽快安装安全更新。

第一项漏洞是存在于英特尔显卡驱动程序中的超权限读取问题,追踪代码为CVE-2022-22674,该漏洞允许恶意应用程序读取内核内存。

第二项漏洞是一个越界写入问题,影响AppleAVD媒体解码器,追踪代码为CVE-2022-22675。该漏洞同样允许恶意应用程序读取内核内存,从而使应用程序能够使用内核特权执行任意代码。

其实,自2022年1月以来,苹果公司已经解决了三个被积极利用的零日漏洞。1月,公司解决的两项零日漏洞追踪代码分别为CVE-2022-22587和CVE-2022-22594,攻击者可以利用其在受攻击的设备上运行任意代码。2月,解决的是WebKit中一个影响iOS、iPadOS、macOS和Safari的零日漏洞,追踪代码为CVE-2022-22620,可以通过处理恶意制作的网页内容触发,从而导致任意代码执行。

]]>
优酷回应1分钱会员无法6个月内退订 细则内容由运营商制定 Wed, 18 May 2022 02:42:45 +0800 4月3日,有不少消费者反映优酷视频最近开启了一个“首月 1 分钱”的会员活动,但购买之后才发现次月会恢复原价且无法退订,网友们认为优酷存在诱导消费、自动消费,开通后发现无法在合约期 (6 个月) 内退订等问题,引发热议。

据南方都市报,优酷视频客服对此表示,相关活动是与运营商联合推出的,具体的收费 细则等内容由运营商制定,优酷平台主要负责会员账号的使用问题。

优酷客服指出,若用户想提前退订,具体可咨询号码归属地所在的运营商 ,各地运营商规定不一。

有律师称,优酷及运营商未对关键信息进行显著提示,在客观上造成了消费者的误解,影响其购买决策,已构成违规,可能面临市场监督管理局处罚。

]]>
俄罗斯外卖应用的泄露数据中包含GRU特勤人员的用餐习惯 Wed, 18 May 2022 02:42:45 +0800 据The Verge报道,根据Bellingcat的调查结果,俄罗斯外卖平台Yandex Food的一次大规模数据泄漏暴露了属于那些与俄罗斯秘密警察有关的递送地址、电话号码、姓名和配送指示。

Yandex Food是俄罗斯大型互联网公司Yandex的子公司,于3月1日首次报告了数据泄漏事件,将其归咎于其一名员工的“不诚实行为”,并指出该泄漏不包括用户的登录信息。俄罗斯通信监管机构Roskomnadzor此后威胁要对该公司的泄漏行为处以最高10万卢布(约合人民币7652元)的罚款,路透社称该事件暴露了约58000名用户的信息。Roskomnadzor还阻止了对包含这些数据的在线地图的访问--试图掩盖普通公民以及与俄罗斯军队和安全部门有联系的人的信息。

Bellingcat的研究人员获得了进入信息库的机会,在其中筛选出任何感兴趣的人的线索,例如与俄罗斯反对派领导人阿列克谢·纳瓦尔尼中毒事件有关的个人。通过搜索数据库中作为先前调查的一部分而收集的电话号码,Bellingcat发现了与俄罗斯联邦安全局(FSB)联系以策划纳瓦尔尼中毒事件的人的名字。Bellingcat说,这个人还用他的工作电子邮件地址在Yandex Food公司注册,使研究人员能够进一步确定他的身份。

研究人员还检查了泄露的信息中属于与俄罗斯军事情报局(GRU)或该国外国军事情报机构有关的个人的电话号码。他们发现了其中一个特工的名字, Yevgeny,并能够将他与俄罗斯外交部联系起来,找到他的车辆登记信息。

Bellingcat通过搜索数据库中的具体地址也发现了一些有价值的信息。当研究人员寻找莫斯科的GRU总部时,他们发现只有四个结果--这是一个潜在的迹象,表明工作人员不使用外卖应用程序,或选择从步行距离内的餐馆订购。然而,当Bellingcat搜索FSB在莫斯科郊区的特别行动中心时,它产生了20个结果。有几个结果包含有趣的配送指示,警告司机,送货地点实际上是一个军事基地。一位用户告诉他们的司机:“到蓝色亭子附近的三个吊杆障碍物上打电话。在110路公交车的站台后上到终点,”而另一个人说 “封闭的领土。上去到检查站。在你到达前十分钟拨打(号码)”!

俄罗斯政治家和纳瓦尔尼的支持者柳博夫·索博尔在一条翻译的推文中说,泄露的信息甚至导致了关于俄罗斯总统普京的所谓"秘密"女儿和前情妇的额外信息。索博尔说:“由于泄露的Yandex数据库,普京的前情妇斯维特兰娜·克里沃诺吉赫的另一个公寓被发现。那是他们的女儿Luiza Rozova订餐的地方。该公寓面积为400平方米,价值约1.7亿卢布!”

The Verge指出,如果研究人员能够根据一个送餐应用程序的数据发现这么多信息,那么想想Uber Eats、DoorDash、Grubhub和其他公司拥有的用户信息量,就有点让人不安。2019年,DoorDash的数据泄露事件暴露了490万人的姓名、电子邮件地址、电话号码、外卖订单详情、送货地址等--这个数字比Yandex Food泄露事件中受影响的人要多得多。

]]>
苹果发布紧急补丁以修复被积极利用的零日漏洞 Wed, 18 May 2022 02:42:45 +0800 近日,苹果发布了一个紧急安全补丁,以解决两项被积极利用以入侵iPhone、iPad和Mac的零日漏洞。

这两项漏洞均由匿名研究人员发现并报告,苹果公司表示在iOS 15.4.1、iPadOS 15.4.1和macOS Monterey 12.3.1的发布中已解决了该两项漏洞,并建议用户尽快安装安全更新。除此之外,苹果方面没有透露任何关于在这些漏洞被如何利用的具体细节。

第一项漏洞是存在于英特尔显卡驱动程序中的超权限读取问题,追踪代码为CVE-2022-22674,该漏洞允许恶意应用程序读取内核内存。

这一漏洞的积极利用引起了苹果公司的注意,公司最近发布的一份报告中称,超权限读取问题可能会导致内核内存的泄露。在报告也同时提到了公司的对应建议:“可以通过改进的输入验证来解决该漏洞。”

第二项漏洞是一个越界写入问题,影响AppleAVD媒体解码器,追踪代码为CVE-2022-22675。该漏洞同样允许恶意应用程序读取内核内存,从而使应用程序能够使用内核特权执行任意代码。

对此,报告给出建议:“通过改进的边界检查可以解决越界写入问题。”

其实,自2022年1月以来,苹果公司已经解决了三个被积极利用的零日漏洞。1月,公司解决的两项零日漏洞追踪代码分别为CVE-2022-22587和CVE-2022-22594,攻击者可以利用其在受攻击的设备上运行任意代码。2月,解决的是WebKit中一个影响iOS、iPadOS、macOS和Safari的零日漏洞,追踪代码为CVE-2022-22620,可以通过处理恶意制作的网页内容触发,从而导致任意代码执行。

]]>
Wyze摄像头曝出大漏洞,近三年时间才修复 Wed, 18 May 2022 02:42:45 +0800 近日,某畅销的摄像头品牌Wyze Cam被曝存在三个严重的安全漏洞,黑客利用这些漏洞可以执行任意代码,完全控制摄像头,并且访问设备中的视频资源。更糟糕的是,这些漏洞是在三年前被发现的,最后一个漏洞直到近段时间才完成修复。

这三个安全漏洞的具体信息如下:

漏洞一:CVE-2019-9564,可绕过身份安全验证;

漏洞二:CVE-2019-12266,基于堆栈的缓冲区溢出,可远程控制摄像头

漏洞三:无编号,可远程接管设备,并访问SD卡中的视频资源;

如果黑客将以上三个漏洞综合利用,那么就可以轻松绕过设备的身份验证,入侵目标摄像头,最终实现实时监控摄像头。这意味着,使用者的一举一动都会清晰的出现在黑客的视野中,再无任何的隐私。

罗马尼亚网络安全公司 Bitdefender发布的报告显示,安全研究人员最早发现了这些漏洞,并在2019年5月就向供应商报告了漏洞详情,Wyze分别在2019 年9月和2020年11月发布了修复CVE-2019-9564和 CVE-2019-12266的补丁。

2022年1月底,Wyze终于发布了固件更新,解决了攻击者不经身份验证,即可访问SD卡内容的问题。安全专家表示,目前这些漏洞会影响三个版本的Wyze Cam摄像头,其中第一个版本已经停产,因此不会收到解决上述漏洞问题的安全更新。

这意味着,正在使用且未来继续使用第一个版本的Wyze Cam摄像头将会一直处于风险之中,安全性无法得到保证。这对正在很多用户都将会是一个灾难,尤其是家庭用户,他们所有的隐私都有可能被黑客窃取。

因此,Bitdefenders表示,家庭用户应密切关注物联网设备,并尽可能将它们与本地或访客网络隔离开来。这可以通过专门为物联网设备设置专用 SSID 来完成,或者如果路由器不支持创建额外的 SSID,则将它们移动到访客网络。

]]>
勒索软件攻击给软件巨头Atento造成4210万美元损失 Wed, 18 May 2022 02:42:45 +0800 勒索软件攻击造成的业务中断影响了该公司在巴西的业务,导致收入损失3480万美元,其他损失还包括缓解事件影响的730万美元额外成本。

近日,客户关系管理(CRM)服务提供商Atento公布了2021年的财报,披露该公司去年10月遭受的网络攻击造成的损失高达4210万美元。

具体地说,勒索软件攻击造成的业务中断影响了该公司在巴西的业务,导致收入损失3480万美元,其他损失还包括缓解事件影响的730万美元额外成本。

Atento是全球领先的CRM和业务流程外包服务供应商之一,在13个国家/地区开展业务,拥有15.4万名员工,并拥有400多家从事电信、银行、零售和公共管理业务的跨国公司客户。

Atento于2021年10月22日宣布遭受网络攻击,称它必须暂停其位于巴西的系统运行以遏制威胁。Atento逐步恢复数据中心运营及部分受影响的网络,Atento的客户在24小时后才恢复了有限的服务。

在勒索软件LockBit的网站上,可以检索到Atento的数据泄露页面,显示加密数据已被公布:

Atento很可能拒绝支付赎金,与勒索软件团伙的谈判陷入了死胡同,导致被盗数据被泄露。

“与当前时代的许多公司,包括一些世界技术领导者一样,我们也受到网络攻击的打击,这影响了我们第四季度的业绩。”Atento首席执行官在给投资者的信息中写道:

“事件的复杂性以及后期影响(损失)被证明远远大于我们最初的预期。”

]]>
纽约82万名学生的个人数据被曝光 Wed, 18 May 2022 02:42:45 +0800 近期,纽约一个广泛使用的在线评分和考勤系统遭到黑客攻击,这可能是美国历史上学生个人数据最大的一次曝光。犯罪分子于1月闯入Illuminate Education IT系统,并获得了约820,000名现任和前任纽约市公立学校学生个人数据的数据库的访问权限。

Illuminate Education是一家位于加利福尼亚州的纳税人资助的软件公司。该公司创建了流行的IO Classroom、Skedula和PupilPath平台,纽约市教育部使用它来跟踪成绩和出勤率。本次的黑客攻击涉及可追溯到2016-17学年的信息,教育部于上周五宣布了该事件,事件中泄露的数据包括学生的姓名、出生日期、种族、家庭语言和学生证号码,同时还包含班级和教师的时间表以及关于学生获得免费午餐或特殊教育服务的数据。

自2016年以来,K12 Security Information Exchange一直在跟踪针对学校和教育平台的网络攻击。该组织的全国主管Doug Levin说:“不敢想象一个学区发生了如此大规模的学生数据泄露事件。”在检测到黑客攻击后,Illuminate的评分和出勤平台被关闭了数周,对城市学校造成了干扰,直到事件发生的两个月后,Illuminate才公布了数据泄露的消息。

教育官员现在指责Illuminate歪曲其对学生数据的保护措施,以及未能加密其 IO Classroom、Skedula 和 Pupilpath 平台。纽约市教育局局长大卫班克斯说:“我们认为Illuminate会保护好我们的信息,可实际上他们并没有。

尽管对此Illuminate做出了回应,但纽约市市长埃里克·亚当斯 指责 Illuminate “更关心保护自己而不是保护我们的学生”。他和班克斯已要求纽约州教育部和其他机构调查此事件以及 Illuminate 对州法律的遵守情况。

]]>
美国“卫星网中断”事件复盘:管理后台遭入侵,数万Modem被下发破坏指令 Wed, 18 May 2022 02:42:45 +0800 3月30日,美国卫星通信服务商Viasat发布一份事件报告,详细披露了2月24日俄罗斯对乌克兰开战当天,该公司KA-SAT民用卫星网络服务遭遇网络攻击的细节。

KA-SAT卫星网络曾经被“乌克兰军方所频繁使用”。在被攻击期间,中欧及东欧地区的KA-SAT卫星服务均发生中断。

这次通信服务中断也影响到了德国,导致负责控制约5800台风力涡轮机的调制解调器无法正常联网。此外,来自法国、意大利、匈牙利、希腊和波兰的客户也受到不同程序影响。

Viasat公司在事件报告中证实,这次攻击直接影响到数千名乌克兰客户及数万名欧洲其他宽带客户。

报告还提到,由该公司直接管理的政府与移动客户、使用KA-SAT卫星及其他Viasat全球网络服务的用户未受到影响。

Viasat公司披露,“最终,数以万计此前稳定在线且处于活动状态的调制解调器在网络上掉线,并且此后没有尝试重新接入网络。”

利用错误配置的VPN设备入侵

Viasat公司表示,攻击者首先入侵管理网络,发出管理指令覆盖掉了设备闪存,由此关闭客户家中的调制解调器并导致其无法重新接入网络。但这只是掉线,并没有让这些设备“变砖”。

Viasat公司补充称,“通过后续调查与取证分析,我们确定攻击者是以错误配置的VPN设备为跳板,获得了对KA-SAT网络内受信任管理网段的远程访问权限。”

 “攻击者通过受信管理网段进行横向移动,进入到负责网络管理及运营的特定网段,再向大量客户调制解调器同时发出合法且有针对性的管理指令。”

这次攻击造成的直接结果,就是数以万计的在线调制解调器从KA-SAT网络中断开,而且无法重新接入。

此次事件不仅影响到乌克兰国内大部分原本正常的调制解调器,也令欧洲其他地区的大量调制解调器意外离线。

Viasat公司已经对受到影响的调制解调器开展详细分析,确认不存在任何故障或电子元件异常,设备物理或电子元件并未受损,未发现损害或篡改Viasat调制解调器软件或固件镜像的迹象,也没有证据表明供应链受到过干扰。客户可以通过恢复出厂设置将调制解调器还原。截至目前,对于正常网络运营中使用的标准调制解调器软件或固件,Viasat公司没有在分发或更新流程中发现任何利用或破坏迹象。

——Viasat

为恢复网络服务,更换近3万个调制解调器

自2月下旬遭受网络攻击以来,Viasat已经发出近3万台调制解调器,以帮助客户重新联网,未来还将继续提供更多设备加快受影响客户的服务恢复。

Viasat公司表示,“我们认为此次攻击的目的就是要造成服务宕机。”

“目前没有证据表明有最终用户的数据遭到访问或泄露,客户的个人设备(PC、移动设备等)未遭非法访问,也没有证据表明KA-SAT卫星自身或公司使用的地面卫星接收设施受到直接针对、受损或入侵。”

美国政府目前也在调查Viasat黑客事件,并将事件初步定性为疑似俄罗斯国家支持的网络攻击。美国国安局发起了一项跨机构联合措施,希望与乌克兰情报部门一起“评估事件的影响范围与严重性”。

美国网络安全与基础设施安全局与联邦调查局还发布了一份联合咨询报告,就国内乃至全球卫星通信(SATCOM)网络面临的“潜在威胁”向相关美国组织发出警告。

]]>
点了一下链接,10万元没了 Wed, 18 May 2022 02:42:45 +0800 谁能想到,一条短信,竟然让山西小伙张某三天内被骗10万。究其根本,在于张某被诱导下载一款冒充某知名官方平台的App。

实际上,利用手机应用的诈骗案例早已不是新鲜事。2019年至今,央视315晚会连续四年关注应用安全问题,手机里的“窃贼”、“漏洞”和“安全陷阱”令人触目惊心。类似安全问题层出不穷,根源在于很多人通过违法违规的App内广告、网页等第三方链接进行手机App安装。

对此,近年来,工信部等部门一直在严厉打击不法链接和违规App。与此同时,专家指出,用户尽量在官方手机应用商店等正规渠道下载,安全方面会更有保障;而对于各类广告推广或投放链接以及充斥在各个群内的下载链接则需要高度警惕,尤其要警惕非法链接。

点了陌生链接,三天被骗10万

在手机上被骗10万需要几步?三步足以:加上陌生网友,通过网友给的链接下载App,听网友的话开始打钱。

短短三天内,山西小伙张某就这样被骗走了10万块。

去年临近年关,张某收到一条陌生短信,短信上面显示:张XX(小伙名字)您好,您在我们店铺的快件已收,加微信号拿某品牌电饭煲一个。于是,张某加上微信,微信的头像是个青春貌美的少女,名为福利员-晓莹。

随后晓莹就邀请张某进群,张某在群内抢到红包后,逐渐信任了该平台。这时,晓莹一步步引导,告诉张某想要赚取更多福利,就要通过给到的二维码下载一款App,刷单赚福利。

如何能够赚到钱呢?该App里发布了所谓“抢多少元做多少元的任务”的抢单任务,成功抢单可以拿到30%的利润回扣。

为了进一步引张某上钩,诈骗团伙继续给张某发“福利”,张某前期支付了总计7500元钱款做任务,同时赚了一笔大钱。

两天后,“大单”如约而至。

张某抢到了10000元的订单,并向对方打款,但随后的任务过程中却不再那么顺利。张某收到了App里的提示,做错任务,需要重新操作,否则就无法回款。这种局面下,张某只好咬咬牙,继续支付了三笔费用,分别是20000元、50000元和20000元。

对方坚称再交3000元才能取款。此时,张某才醒悟过来,自己被骗了。

后来,张某投诉到该App所冒名的知名公司,公司查证发现,张某是通过一个安全级别极低的渠道下载了该App。该App冒充某知名公司,借用该平台的影响力来欺骗用户,张某知道后悔不当初。

该平台工作人员告诉中国新闻周刊,手机应用分发存在灰色地带,一个二维码或一个链接,可能就关联到涉赌、涉诈类App。用户如果警惕性不高,或者犯罪分子手段稍微高明,就有可能禁不住诱惑,下载安装,被危及生命财产安全。

“要命”链接为何层出不穷?

根据《中国互联网络发展状况统计报告》最新数据显示,截至2021年12月,中国网民规模达10.32亿,而网民使用手机上网的比例达到99.7%。这意味着绝大多数网民都在使用手机等移动端产品上网。

随着移动互联网的发展,App的数量增长到百万级别。数据显示,截至2021年底,国内App总量达到252万款,应用分发总量达21072亿次。

目前,手机用户下载软件大概分为三类途径,分别是手机自带的应用商店,如华为应用市场、小米应用商店、OPPO软件商店等;第二类是百度手机助手等第三方应用商店;第三类则是通过其他非应用商店App的广告、网页或某些链接进行下载的渠道。

上述案例中,犯罪分子的犯罪成本极低。

从技术上来看,只要诱导用户,通过链接或者浏览器等渠道下载APK(安卓应用程序包),或在审核不严的App内投放广告,经过下载器安装,即可下载某些具有重大安全风险的App,诈骗团伙屡试不爽。

中国电子技术标准化研究院网安中心测评实验室副主任何延哲告诉中国新闻周刊,一个下载包就可以安装一个手机应用,非应用商店App广告和网页等分发渠道广泛而分散,规律不好把握,因此监管难度大。

从市场层面来说,用户下载了具有明确使用需求的常用App后,一般不会再频繁打开应用商店,随意下载一些App。为了触达到用户,一些App会带有“优惠”或“红包”等字眼,诱导用户从投放链接中下载。基于这种消费习惯和心理,这些分发渠道难免伸出“罪恶的手”,骗取用户隐私,甚至骗取用户钱财。

资深通信工程师袁博透露,投放问题不可避免,这是基于商业逻辑而存在的。用户点开一个链接其实就相当于点了一次广告,目前靠这些广告分发的App,占比不小,这些链接往往都是靠套路来获取用户,可能导致严重的安全问题。

那么,怎样才能治理不良“链接”,杜绝违法犯罪事件的发生?

谁来做好用户手机安全的“守门人”?

近些年来,工信部、网信办等相关部门一直在通过制定标准、技术检验和专项整治等措施,不断加强手机应用商店的生态治理。

2月,工信部通报13款第三方SDK违规行为及问题。3月17日,国家网信办部署开展的2022年“清朗”系列专项行动中,又强调了“规范网络传播秩序”。来自于这些分散的分发渠道,侵害用户权益的App,正逐渐被监测和处理。

何延哲指出,官方手机应用商店及第三方应用商店就好比“商场”,刷刷短视频、逛逛网页就出现的这些App下载链接类似“路边摊”,在“商场”里兜售的产品质量肯定比“路边摊”要好一些,审核和管理都稍微严格一些。至于充斥在群内的下载链接,很有可能涉及“黄赌毒”,连“路边摊”都称不上。

想要整个手机应用分发市场乃至整个移动互联网高质量发展,需要有人来做好“守门人”。

袁博表示,对不懂技术的用户来说,手机自带的应用商店如华为应用商店、小米应用商店等为消费者构筑了第一道防线,相较于第三方下载链接来说,肯定更能保护用户,也更加值得信赖。毕竟作为出货量比较大的手机品牌,是需要保证自身品牌力的。

去年11月,“个人信息保护法”施行,这对手机应用商店提出了更高的要求,把手机应用商店定位成隐私保护的守门人。不少业内人士也认为,监管部门对应用分发市场的治理举措,会要求这些应用商店把红线守住,将应用商店的审核门槛提高,阻断违法违规的应用分发。

对于难以监督的第三方分发渠道来说,何延哲表示,对这些渠道的监管越来越常态化,通过抽查等方式来进行监督。不过,在某主流安全公司得到的抽样监测数据显示:跟踪315通报的移动应用下载情况,每天仍有30+个非厂商应用商店分发渠道(App内广告、网页、链接等)分发被通报的应用近3000次。

而从第三方渠道分发应用抽查中,近2万款不满足隐私合规要求。具体到App类别,这些渠道每天分发明确存在风险的应用近40万次。其中,无版号游戏更是高达100多万次。可见,这些分发渠道的安全合规问题依然严重。

截至2021年12月,中国网民的人均每周上网时长达到28.5个小时,较去年同期提升了2.3个小时。该数据充分说明,上网成为用户生活中越来越重要的事情。而相对纯净的网络生活更为用户所需要。

袁博指出,现在很多用户很难分清楚,这些不同渠道下载的App有何区别。不过目前很多人已转变观念,随着用户安全隐私意识的加强,加上手机品牌的背书,选择手机自带的应用商店来下载App,这样也会提高安全意识,这样可以更好地保护个人信息和各类隐私,防范诈骗,远离网络犯罪侵害。

何延哲则建议用户在看到一些广告弹窗及链接时,对于特别夸张的优惠或者具有诱惑力的广告,最好不要轻信下载。“就比如贴小广告的总归还是不能轻信的”,他补充道。

]]>
重拳推进“打猫”“断卡” 全力整治电信网络诈骗 Wed, 18 May 2022 02:42:45 +0800 3月31日消息,据经济参考报报道,如何进一步加强信息通信行业防范治理电信网络诈骗?工信部网络安全管理局相关负责人在接受采访时表示,当前新型诈骗手法层出不穷,各类即时通信工具、社交网站等成为诈骗的主渠道。工信部高度重视全行业系统推进电信网络诈骗防范治理工作,将深入推进“断卡2.0”、“打猫”、互联网反诈等专项行动,持续完善信息通信行业反诈大平台能力,进一步构建长效治理机制。

报道称,工信部网络安全管理局相关负责人表示,电信网络诈骗可分为精准信息获取、诈骗脚本设计、通讯联络诱导、资金支付转移等四个关键环节,打击治理电信网络诈骗始终处于一个动态博弈的过程。

述负责人称,诈骗分子通过跨境或远程操控插卡集群设备(俗称“猫池”、GoIP 设备),利用深度伪造技术、机器学习等人工智能技术实施诈骗活动,并不断对反诈策略模型进行试探分析,以调整诈骗行为方式,躲避技术封堵。同时,在国内持续高压打击和有效治理下,诈骗分子为了躲避监管,大量利用境外电信网络资源实施诈骗,增加了技术防范难度。

针对“猫池”、GoIP 设备拨打诈骗电话溯源打击困难的问题,工信部组织开展“打猫行动”,会同公安机关加强对“猫池”设备的快速发现、准确定位和联合打击。截至目前,联合端掉“猫池”窝点2424个,缴获设备7201台。

针对当前行业治理中最为紧迫的电话卡、物联网卡、网络账号管理问题,工信部突出源头管控,启动“断卡行动2.0”专项工作,组织电信企业规范实施“二次实人认证”制度,对全国物联网卡开展拉网式检查,累计处置涉诈高风险电话卡9700万张、关联互联网账号5700万余个。目前已清理一大批存量高危号卡,有力斩断“囤卡、养卡、倒卡”等黑灰产业链条。

上述负责人表示,下一步将坚决打赢重点领域整顿攻坚战。聚焦行业治理突出问题,深入推进“断卡2.0”、“打猫”、跨境业务治理等专项行动,从严规范端口类短信、呼叫转移、专线、云服务等涉诈重点业务。特别是针对互联网领域诈骗多发高发态势,组织开展专项治理行动,加强互联网涉诈资源处置,强化互联网账号风险排查,严格规范网络搜索业务,建立完善主动预警能力,全面整治网络违规信息和黑灰产,夯实行业反诈工作基础。

据悉,工信部将进一步推动完善信息通信行业反诈制度体系,会同有关部门加快推动出台反电信网络诈骗法,进一步构建长效治理机制。健全信息通信行业反诈考核评价和督导检查工作机制,不断提升行业治理效能。

]]>
部分本田车型存在漏洞,黑客可远程启动车辆 Wed, 18 May 2022 02:42:45 +0800 The Hacker News 网站披露,研究人员发现一个影响部分 Honda(本田) 和 Acura(讴歌)车型的重放攻击漏洞(CVE-2022-27254),黑客能够利用该漏洞解锁汽车、甚至启动汽车引擎。1648697912_6245223869a37add29bc2.png!small

据悉,发现漏洞问题的是达特茅斯大学两个学生 Ayyappan Rajesh 和 Blake Berry。Blake Berry 在 GitHub帖子中表示,黑客可以通过该漏洞获得锁定、解锁、控制车窗、打开后备箱和启动目标车辆发动机的访问权限,防止攻击的唯一方法是永远不要使用遥控钥匙,或者在被攻击后,从汽车经销商处重新设置新的钥匙。

受影响车型的遥控钥匙向汽车传输相同的、未加密的无线电频率信号(433.215MHz)时,攻击者能够拦截并重新发送,以无线方式启动发动机,并锁定和解锁车门。

漏洞主要影响 2016 年至 2020 年生产的本田思域 LX、EX、EX-L、旅行版、Si 和 Type R 等车型。

本田汽车出现过类似漏洞

值得一提的是,这不是第一次在本田汽车中发现此类漏洞, 2017 年本田 HR-V 车型中出现了一个相关漏洞(CVE-2019-20626,CVSS评分:6.5)。

Rajesh 强调,汽车制造商必须实施滚动代码,也就是所谓的跳转代码,这是一种常用的安全技术,为远程无钥匙进入(RKE)或被动无钥匙进入(PKE)系统的每次身份认证提供一个新的代码,来确保汽车安全。

]]>
Lapsus$再出手:泄漏Globant软件公司70GB数据 Wed, 18 May 2022 02:42:45 +0800 就在英国警方逮捕了 7 名嫌疑犯之后,近期非常猖獗的黑客组织 Lapsus$ 又有了新动作。在攻击微软、三星、NVIDIA 和 Okta 等公司之后,该组织再次宣布成功攻陷 Globant,后者是一家位于卢森堡的软件开发咨询公司。

在周三宣布自己“度假归来”之后,该组织在其 Telegram 频道上发布了一个 70G 的种子文件,其中包括据称从该公司窃取的数据,黑客声称其中包括其企业客户的源代码。

Globant 向 TechCrunch 证实,它已经“检测到我们公司代码库的一个有限部分受到了未经授权的访问”,并正在进行调查。

黑客们还公布了一份用于访问其源代码共享平台的公司凭证清单,包括 GitHub、Jira、Crucible 和 Confluence。恶意软件研究小组 VX-Underground 在Twitter上发布了黑客 Telegram 帖子的编辑截图,其中显示该小组发布了他们声称是Globant的密码,如果得到证实,攻击者很容易猜到这些密码。

在发布种子文件之前,Lapsus$ 还分享了一个文件目录的截图,其中包含据信是 Globant 客户的几个公司的名字,包括Facebook、花旗银行和C-Span。

Globant公司还在其网站上列出了一些高知名度的客户,包括英国大都会警察局、软件公司Autodesk和游戏巨头Electronic Arts。至少Lapsus$的一名成员参与了去年电子艺界的数据泄露事件,但目前还不清楚这两起事件是否有关联。

]]>
投放800个恶意NPM包!黑客发动大规模供应链攻击 Wed, 18 May 2022 02:42:45 +0800 “通常,攻击者使用一个匿名的一次性NPM帐户发起攻击,”以色列安全公司Checkmarx透露:“但这一次,攻击者似乎完全自动化了NPM帐户创建过程,为每个恶意程序包都开设了专用帐户,这使得这批新的恶意包更难被发现和完全清理。”

此前,JFrog和Sonatype最近的报告都详细介绍了数百个恶意NPM包,这些包利用依赖混淆和域名仿冒等技术针对Azure、Uber和Airbnb的开发人员。

根据对RED-LILI作案手法的详细分析,其异常活动的最早证据出现在2022年2月23日,该恶意程序包集群在一周内“爆发式”发布。

据Checkmarx透露,黑客使用自定义Python代码和Selenium等Web测试工具的组合来模拟在注册表中复制用户创建过程所需的用户操作,从而将恶意库自动化批量上传到NPM。

为了绕过NPM设置的一次性密码(OTP)验证,攻击者还利用一种名为Interactsh的开源工具将NPM服务器发送的OTP提取到注册期间提供的电子邮件地址,从而成功创建帐户。

有了这个全新的NPM用户帐户后,攻击者会在生成访问令牌之后,以自动方式创建和发布一个恶意程序包,且每个帐户只发布一个,这种方式可以有效绕过电子邮件OTP验证。

研究人员说:“这是软件供应链攻击的一个里程碑,标志着供应链攻击者正在不断提高技能并让防御变得更加艰难。”“通过跨多个用户名分发恶意软件包,攻击者使防御者更难完全关联和防御,增加感染的机会。”

]]>
2345被锤: 杀掉进程依然读取密码等敏感信息 Wed, 18 May 2022 02:42:45 +0800 央视新闻频道日前报道部分浏览器读取用户剪切板信息,某浏览器甚至在未开启的情况下仍然后台读取数据。央视新闻频道报道称:随着《个人信息保护法》的实施,加强个人信息保护、拒绝个人隐私在互联网上裸奔已经有法可依。但仍然有不少用户觉得自己处于 APP 的监视下,在网上看到某个物品或者搜索某个关键词,很快相关广告就会到来。

杀掉进程都还继续读取私密信息:

央视记者前往某网络安全公司与网络安全工程师进行测试,测试时选定两款浏览器测试收集用户信息的行为。随后工程师复制模拟银行卡号和密码,尽管此时并未使用浏览器,但检测工具显示某浏览器已经读取记录该信息。同时这个浏览器还是以明文形式记录的并未进行加密,因此也存在读取上报等其他环节遭到窃取的安全风险。接着工程师又在手机上复制测试用的电话号码和短信,此时浏览器被转到后台运行的情况下仍然读取该信息。其中某浏览器在手动傻吊杀掉进程的情况下竟然还能读取,蓝点网仔细看视频发现该浏览器是 2345 浏览器安卓版。还有个被测试的浏览器是谁呢?UC 浏览器安卓版,不过可以想象多数国产浏览器情况应该都是类似的,肯定不只是 2345 浏览器和 UC 浏览器。

]]>
以轻松赚钱为由,黑客每天发送近 4000 封虚假求职邀约邮件 Wed, 18 May 2022 02:42:45 +0800 3月29日,网络安全公司 Proofpoint发布报告,指出一黑客团伙利用电子邮件散布虚假的求职邀约,其数量达到了每日近4000封。

报告称,黑客以能够提供轻松赚钱的工作为诱饵,不仅窃取用户个人数据信息,还诱导受害者进行洗钱活动。

“这类型的钓鱼攻击可能会导致人们失去毕生积蓄,或在不知不觉中被诱骗参与犯罪活动,” Proofpoint 副总裁 Sherrod DeGrippo 说道。“他们尤其关注大学校园,Proofpoint 每周检测并阻止数千起可能伤害学生和教师的就业欺诈威胁。”

案例一:冒充联合国儿童基金会进行欺诈

Proofpoint 分享了具体的案例,比如招募大学生担任联合国儿童基金会 (UNICEF) 行政个人助理,邮件中通过看起来非常官方的职位描述,并利用谷歌表单链接,引导受害者提供姓名、备用电子邮件地址、电话号码和其他个人详细信息。

为了进一步调查黑客的行动手法,Proofpoint的研究人员填写了表单,随后,黑客通过 Gmail 与他们联系,要求提供更多信息,并列出了详细的工作职责信息。

这时,黑客还声称助理职位还包括为孤儿院购买和分发玩具,在最初的几条消息中,黑客向研究人员发送了一张价值 950 美元的虚假银行本票,几星期之后,黑客再次发来一张更大的欺诈性支票,价值 1,950 美元。

在询问研究人员的银行账户中有多少余额后,黑客要求立即将 1000 美元发送给他们所对接的孤儿院,并通过 Zelle 应用程序支付。此外,黑客还向研究人员发送了一个比特币地址以进行后续付款。

在这种情况下,一般受害者会认为他们收到了"工资",但这些票据都是不合法的,所以受害者将自己的钱寄给了黑客。

目前联合国儿童基金会已经意识到了这种骗局,2022 年 1 月,该组织发布警告,让人们警惕利用联合国儿童基金会的欺诈活动。

案例二:欺骗大学生从事模特工作

在最近的另一个案例活动中,Proofpoint 的研究人员观察到黑客假装招募大学生从事所谓的模特工作。

黑客冒充“星探”,称通过查看受害者的 Instagram信息,认为适合当模特,并进行一次为期3天的拍摄,邀约受害者通过电子邮件进行联系。研究人员联系了黑客,并通过环聊和 Gmail 展开了进一步沟通。黑客冒充快时尚品牌 Zaful 和 Fashion Nova,以此吸引对女性时尚感兴趣的学生。黑客还发送了一份“合同”,以进一步增强工作机会的真实性。

在与研究人员的交流中,黑客声称要在洛杉矶进行拍摄,要求他们选好服装并协调好日程安排,黑客通过电子邮件发来一张价值 4950 美元的假支票,并要求使用 100 美元的加密货币来支付将在拍摄中产生的物品的运输费用。在这一案例中,黑客花费了大量时间和精力与我们的研究人员沟通,并回答有关这份虚假工作机会的诸多问题。Proofpoint 评估认为,这种“服务周到”的就业欺诈往往具有更大的威胁性。

Proofpoint 指出,网络犯罪分子正在利用新冠病毒在全球的大流行所带来的巨大就业压力,引诱求职者轻信钓鱼邮件中的虚假求职邀约。根据联邦调查局的报告发现,这类钓鱼攻击让受害者在 2020 年总共损失了至少 6200 万美元。

Proofpoint认为,用户应该意识到这类威胁,尤其是大学生和教职人员,此外,合法的雇主永远不会在员工上班的第一天之前寄出薪水,也不会要求员工在工作开始前就付钱购买物品。

]]>
史上最大的加密黑客攻击诞生:Axi Infinity侧链 Ronin bridge被盗6.25亿美元 Wed, 18 May 2022 02:42:45 +0800 近日,攻击者从Axi Infinity的侧链 Ronin 跨链桥窃取了价值近6.25亿美元的以太坊(Ethereum)和USDC(一种与美元挂钩的稳定币)。 这次攻击事件发生在3月23日,但直到3月29日一位用户无法提取其5000以太坊后才渐渐浮出水面。

Ronin Network是一个以太坊连接的侧链,用于区块链游戏Axi Infinity。

本次攻击中,攻击者共计盗取了大约17.36万以太坊和2550万USDC。而Ronin bridge和 Katana Dex在袭攻击发生后被紧急叫停了。

事后,Axi Infinity通过官方Discord和Twitter账号以及Ronin Network披露了存在的安全漏洞,

“Ronin Network出现了安全漏洞。今天早些时候,我们发现Sky Mavis的Ronin验证器节点和Axie DAO验证器节点在3月23日遭到破坏,导致173,600个以太坊和2550万USDC在两次交易(1和2)中从Ronin桥中流失。”

Axi Infinity还写道,“攻击者使用被破解的私钥来伪造取款。今天早上,我们在接到一份用户无法从桥上取出5千以太坊的报告后发现了这次攻击。”

庞大的被盗资金数量使此次攻击成为了历史上最大的加密攻击,超过了2021年8月对DeFi protocol Poly Network的6.11亿美元黑客攻击。

当前,Sky Mavis的Ronin链由9个验证节点组成,而为了确认交易信息,需要9个验证器签名中的5个。攻击者设法控制了5个验证器签名,Sky Mavis的4个Ronin验证器和一个由Axie DAO运营的第三方验证器。

对此,Axi Infinity 的工作人员解释道,“验证器密钥方案是被设置成去中心化的,这样它就可以限制攻击向量,可是这次的攻击者通过我们的无气体RPC节点发现了一个后门,他们使用这个后门来获得Axie DAO验证器的签名。”

目前,Axi Infinity公司方面已经报告了执法部门,并聘请了一名法医密码学家调查这一事件此外,公司也同时表示,它将尽全力追回和补偿在本次攻击中被盗的资金。

]]>
黑客正在利用伪造的执法机构传票窃取苹果、Google等公司的用户数据 Wed, 18 May 2022 02:42:45 +0800 据报道,犯罪黑客正在通过一种有效的、狡猾的技术用偷来的执法部门的电子邮件从大型科技公司、ISP、运营商和社交媒体公司窃取用户数据。据网络安全记者Brian Krebs称,更具体地说,攻击者显然正在伪装成执法官员以获取传票特权数据。

一般来说,他们使用被破坏的执法部门电子邮件账户。

这种策略还依赖于一种叫做紧急数据请求(EDR)的政府调查。通常情况下,技术公司只有在有法院命令的情况下才会交出用户数据或发出传票。然而当局可以在涉及迫在眉睫的伤害或死亡威胁的情况下提出EDR--绕过法院批准的文件或官方审查的需要。

据Krebs称,恶意黑客已经发现,技术公司和社交媒体公司没有简单的方法来验证EDR是否合法。“通过利用对警方电子邮件系统的非法访问,黑客将发送一个假的EDR,同时证明,如果不立即提供所要求的数据无辜的人将可能遭受巨大的痛苦或死亡。”

记者发现,网络犯罪分子会向潜在买家出售“搜查令/传票服务”的证据,这些人宣称可以从苹果、Google和Snapchat等服务中获取执法数据。

然而对于这样的情况,没有简单的方法来缓解这个问题。技术公司在面对EDR时不得不做出令人不安的选择,即遵从一个可能是假的请求或拒绝一个合法的请求--可能会使某人的生命受到威胁。

来自加州大学伯克利分校的安全专家Nicholas Weaver认为,清理这一漏洞的唯一方法是由FBI这样的机构充当所有州和地方执法机构的唯一身份提供者。

不过Weaver认为,即使是这样也不一定有效,因为FBI如何实时审查一些请求是否真的来自某个偏远的警察部门还是一个问题。

并且这种策略可能不会像其他方法那样普遍,因为许多网络犯罪分子认为它风险太大。

“如果你被抓到,风险很大,但这样做不是一个技巧问题。而是一个意志的问题。如果不在全美范围内彻底重做我们对互联网身份的思考,这是一个根本无法解决的问题,”Weaver说道。

2021年7月,美国立法者提出了一项可能有帮助的法案。该立法将要求向州和部落法院提供资金以便它们能够采用数字签名技术来打击伪造的法院命令。

]]>
不少WordPress网站被注入恶意脚本 对乌克兰网站发起DDoS攻击 Wed, 18 May 2022 02:42:45 +0800 不少 WordPress 网站正在遭受黑客们的攻击,通过注入的恶意脚本,利用访问者的浏览器对乌克兰网站进行分布式拒绝服务攻击。今天,MalwareHunterTeam 发现一个 WordPress 网站被入侵使用这个脚本,针对十个网站进行分布式拒绝服务(DDoS)攻击。

这些网站包括乌克兰政府机构、智囊团、乌克兰国际军团的招募网站、金融网站和其他亲乌克兰的网站。

目标网站的完整清单如下。

https://stop-russian-desinformation.near.page

https://gfsis.org/

http://93.79.82.132/

http://195.66.140.252/

https://kordon.io/

https://war.ukraine.ua/

https://www.fightforua.org/

https://bank.gov.ua/

https://liqpay.ua

https://edmo.eu

当加载时,JavaScript 脚本将迫使访问者的浏览器对列出的每个网站执行 HTTP GET 请求,每次不超过 1000 个并发连接。DDoS攻击将在后台发生,而用户不知道它正在发生,只是他们的浏览器会变慢。这使得脚本能够在访问者不知道他们的浏览器已被用于攻击的情况下进行 DDoS 攻击。

对目标网站的每个请求都将利用一个随机查询字符串,这样请求就不会通过 Cloudflare 或 Akamai 等缓存服务提供,而是直接由被攻击的服务器接收。例如,DDoS 脚本将在网站服务器的访问日志中产生类似以下的请求。

"get /?17.650025158868488 http/1.1"

"get /?932.8529889504794 http/1.1"

"get /?71.59119445542395 http/1.1"

BleepingComputer 只找到了几个感染了这种 DDoS 脚本的网站。然而,开发者 Andrii Savchenko 表示,有数百个 WordPress 网站被破坏,以进行这些攻击。Savchenko 在Twitter上说:“实际上大约有上百个这样的网站。都是通过WP漏洞。不幸的是,许多供应商/业主没有反应”。

在研究该脚本以寻找其他受感染的网站时,BleepingComputer 发现,亲乌克兰的网站 https://stop-russian-desinformation.near.page,也在使用同样的脚本,用于对俄罗斯网站进行攻击。在访问该网站时,用户的浏览器被用来对67个俄罗斯网站进行 DDoS 攻击。

虽然这个网站澄清它将利用访问者的浏览器对俄罗斯网站进行DDoS攻击,但被攻击的WordPress网站在网站所有者或其访问者不知情的情况下使用了这些脚本。

]]>
Shutterfly 遭Conti 勒索软件攻击后被泄露数据 Wed, 18 May 2022 02:42:45 +0800 近期,在线零售和摄影制造平台Shutterfly在遭遇Conti勒索软件攻击后被泄露了员工信息。

这是一家为客户、企业,甚至包括为Shutterfly.com、BorrowLenses、GrooveBook、Snapfish 和 Lifetouch在内的品牌提供摄影服务的公司。Shutterfly最近披露由于勒索软件攻击,其网络于2021年12月3日遭到入侵。在勒索软件攻击期间,威胁参与者会获得对公司网络的访问权,并窃取相应的文件和数据。一旦他们获得对Windows域控制器的访问权,并在收集到所有有价值的数据后,他们就会部署勒索软件来加密所有网络设备。

根据Shutterfly的回应,Conti威胁参与者于2021年12月13日部署了勒索软件,这也是该公司第一次意识到它们已被入侵。“攻击者锁定了我们的一些系统并访问了这些系统上的一些数据。这包括访问某些人的个人信息,这里头也许就有你的。”而被盗的文件可能包含员工的个人信息,比如姓名、工资和薪酬信息,以及FMLA休假或工人赔偿要求。

不过,对于该事件,Shutterfly也及时做了相应的补救措施,他们会为受影响的人提供Equifax的两年免费信用监控。虽然Shutterfly在回应中并未提及太多攻击细节,但BleepingComputer 还是获取了其他一些相关的信息,一位消息人士告诉BleepingComputer,Conti已经加密了属于Shutterfly的4,000多台设备和120台VMware ESXi服务器。一个私人数据泄露页面还显示了从Shutterfly窃取的数据样本,其中包括法律协议、银行和商家帐户信息、公司服务的登录凭据、电子表格以及客户的一些私密信息,包括最后四位数字的信用卡。

截至目前,Conti勒索软件操作已经发布了7.02 GB的数据,这些数据来源于攻击期间,数据类型包括财务、法律、客户服务和工资数据命名的档案。Shutterfly 表示,他们正在与外部网络安全专家合作,继续调查此次攻击。同时,Shutterfly也警告员工继续监控他们的信用报告和账户可疑活动,并随时保持警惕。

]]>
赔不起了?多款“隔离险”下架:消费者吐槽理赔难 Wed, 18 May 2022 02:42:45 +0800 近年来,由于疫情的反复,承诺可以在隔离期间予以投保人相应经济补偿的“隔离险”成为了很多人的心头好,不过事情并没有想的那般美好。

市面上一些隔离险的售价一般在59元至89元之间,承诺在理赔范围内消费者能得到每天约200元的补偿。

据@央视财经调查,近期,一度销售火爆的“隔离险”开始陆续下架,而不少已投保的消费者也纷纷表示,该险种的理赔也并非那么容易。

经过调查,大家关于“隔离险”的投诉集中在“被隔离却没有产生理赔”、“退保手续费高昂”、“理赔证明材料苛刻无法提供”、“强制购买”等。

日前,上海银保监局提醒称,在部分“隔离险”的责任免除条款中约定,被保险人虽被集中隔离但未自费支付隔离费用的,保险公司不承担理赔责任。

此外,投保前已疑似感染或已收到通知要求隔离的、保险合同生效前被保险人所在地区被列为国家公布的中高风险地区等情况均可能属于责任免除情况。

但有不少消费者反映,在买保险的时候,销售人员并没有告知详细细则。

浙江的王女士表示,自己曾与一个密接同乘了一个车厢,然后就被隔离了,之后去理赔时,保险公司拒绝赔偿,称她只提供了一份证明,证据不足,后来自己投诉也不管用。

而北京的董女士在接受采访时也明确表示称,自己买之前不知道理赔限制条件,否则的话就不会买了。

有业内人士告诉记者,前期为开拓市场,各保险机构都把“隔离险”产品的保费压得很低,“隔离险”产品的盈利状况并不好。

由于投诉率高,大量的理赔申请给保险机构带来压力,这也成为了“隔离险”下架的重要原因。

]]>
最快的勒索软件被发现仅用4分多钟就加密了53GB的数据 Wed, 18 May 2022 02:42:45 +0800 对于IT管理员和网络安全团队来说,勒索软件攻击是一场与时间赛跑的关键比赛,以检测和控制损害,同时抢救公司的数据资产的剩余部分。但是,当这种事件发生时,有多少反应时间呢?似乎不是很多。正如对10个候选勒索软件的测试所揭示的那样,一种名叫LockBit的勒索软件效率惊人,在四分钟内就加密了一台Windows服务器上的近10万个文件,在同行当中处于“领先地位”。

由Splunk进行的勒索软件加密速度测试涉及10个勒索软件家族的10个样本,它们在4个不同的模拟计算机"受害者"配置上运行。在总共400次测试中,在Windows Server 2019机器上运行的LockBit样本成为最快的勒索软件,仅用4分9秒就加密了所有53GB的测试数据。

该测试数据由98561个文件组成,包括pdf、excel和word文档。同时,在一台Windows 10和Windows Server 2019机器上测试了这些勒索软件,包括来自REvil、Darkside、Babuk、Maze、LockBit和其他几个样本。LockBit不仅有最快的样本,而且在中位持续时间方面也排在总体第一位。

有趣的"Babuk"勒索软件在总体上排名第二,尽管它的名声因其最慢的单个样本(文件加密时间超过三个半小时)而受到一些打击。

Splunk还分享了一份白皮书(需要商业电子邮件才能下载),提供了对这项研究的全面看法。至于在发生勒索软件攻击时应采取的策略,该公司建议使用多因素认证、网络分段、集中记录和保持系统补丁。

]]>
意大利铁路系统遭黑客攻击,多地车站受影响 Wed, 18 May 2022 02:42:45 +0800 当地时间3月23日,意大利铁路系统受到黑客攻击,多地火车站受影响。意大利铁路公司表示,目前没有证据表明攻击来源。

当地时间3月23日上午,意大利首都罗马特米尼火车站受到黑客攻击,直到24日上午该车站电子信息显示屏仍只能显示部分信息,造成许多旅客因信息不明而出现混乱。火车站安排工作人员使用扩音器为旅客指示方向并提供信息。23日,米兰市多处火车站售票机也因黑客攻击出现故障,无法售票。

24日凌晨,威尼斯圣卢西亚和梅斯特雷车站的信息系统出现了故障,且出现显示屏信息与列车实际运行不符的情况。目前该车站售票处关闭、售票机无法正常工作,有旅客称网上购票时也遇到困难。但意大利铁路公司尚未说明此次故障是否与23日网络攻击有关。

意大利铁路公司称,正在与意大利国家网络安全机构和警方密切合作,调查此次事故。

]]>
《安联智库-网安周报》2022-03-27 Wed, 18 May 2022 02:42:45 +0800

1、雀巢遭Anonymous组织攻击 致10GB敏感资料外泄

近日,国际黑客组织“匿名者”(Anonymous)宣布,他们成功入侵了全球最大食品制造商雀巢(Nestlè)的网络,并披露了10GB的敏感数据,包括公司电子邮件、密码和与商业客户相关的数据,以惩罚其未停止在俄罗斯的业务。
此外,“匿名者”组织高调宣布将发动另外的大规模攻击,对于40家仍在俄罗斯运营的国际公司发出威胁警告。该组织警告称,他们将给这些国际公司48小时的时间以停止与俄罗斯的合作。潜在目标的名单很长,Hayatt、BBDO、Raiffeisen Bank、IPG、Cloudflare、Citrix Systems等知名品牌都赫然在列。
2、直击搜索第二个黑匣子:为什么黑匣子有信号发射器仍难找寻?

东航飞行事故搜救进入第六天,搜寻救助人员在逐一摸排事发区附近摄像头和目击者,并在技术调查组协助下,进一步扩大搜索范围,全力搜寻第二个黑匣子。

据央视新闻消息,飞机黑匣子分为驾驶舱语音记录器和飞行数据记录器。通常情况下,语音记录器至少可保留最后两小时的录音;暂未找到的第2个黑匣子可保存超25小时飞行数据,包括发动机状态、飞行员的操纵量等。

黑匣子发射器的全称为“水下定位信标”,被水浸泡后电池才会向发射器供电,若坠机地点在陆地上,大多只能以目视方式寻找。

针对已找到的黑匣子,专家表示,黑匣子必须经数据提取、译码、分析,再形成情况汇报,约需10到15天时间才能获得初步分析结果。

3、借东航坠机事件进行网暴 5个快手帐号被永久封禁

3 月 26 日消息,今天快手官方发布关于打击借东航坠机事件进行网暴行为的公告,内容表示,东航 MU5735 客机坠机事件发生后,快手在对相关事件的违规内容的排查处置中,发现有用户在一则“领证还没办婚礼,东航失事客机乘客妻子采访”的视频评论中攻击失联人员家属。针对上述情况,平台本次共处理人身攻击评论 126 条、永久封禁帐号 5 个。

快手表示,希望大家理性发言,尊重失联人员及其家属,不乱蹭热度,不恶意炒作,不捕风捉影,不造谣传谣。倡导大家自觉遵守法律法规与平台规则,共同维护平台生态环境。若你在使用快手的过程中发现任何违规行为,欢迎向平台举报。

4、全球超过200,000台MicroTik路由器受到僵尸网络恶意软件的控制

近期,专家表示受僵尸网络控制的MicroTik路由器是他们近年来看到的最大的网络犯罪活动之一。根据Avast发布的一项新研究,Glupteba僵尸网络以及臭名昭著的TrickBot恶意软件的加密货币挖掘活动都使用相同的命令和控制(C2)服务器进行分发。Avast的高级恶意软件研究员Martin Hron说,“近230,000个易受攻击的MikroTik路由器受到僵尸网络的控制。”

该僵尸网络利用MikroTik路由器的Winbox组件中的一个已知漏洞 ( CVE-2018-14847 ),使攻击者能够获得对任何受影响设备的未经身份验证的远程管理访问权限。部分Mēris僵尸网络于2021年9月下旬陷入困境。对此,Hron说:“CVE-2018-14847漏洞于2018年公布,MikroTik虽然针对该漏洞发布了修复程序,但犯罪分子同样可以利用其达到控制路由器的目的。

鉴于这些攻击,建议用户使用最新的安全补丁更新他们的路由器,设置强大的路由器密码,并从公共端禁用路由器的管理界面。“他们的目标并不是在物联网设备上运行恶意软件,因为基于不同的架构和操作系统版本不同让恶意软件不仅很难编写也很难大规模传播,”Hron 说,“这样做是为了隐藏攻击者的踪迹或用作DDoS攻击的工具。”

]]>
借东航坠机事件进行网暴 5个快手帐号被永久封禁 Wed, 18 May 2022 02:42:45 +0800 3 月 26 日消息,今天快手官方发布关于打击借东航坠机事件进行网暴行为的公告,内容表示,东航 MU5735 客机坠机事件发生后,快手在对相关事件的违规内容的排查处置中,发现有用户在一则“领证还没办婚礼,东航失事客机乘客妻子采访”的视频评论中攻击失联人员家属。针对上述情况,平台本次共处理人身攻击评论 126 条、永久封禁帐号 5 个。

快手表示,希望大家理性发言,尊重失联人员及其家属,不乱蹭热度,不恶意炒作,不捕风捉影,不造谣传谣。倡导大家自觉遵守法律法规与平台规则,共同维护平台生态环境。若你在使用快手的过程中发现任何违规行为,欢迎向平台举报。

]]>
直击搜索第二个黑匣子:为什么黑匣子有信号发射器仍难找寻? Wed, 18 May 2022 02:42:45 +0800 东航飞行事故搜救进入第六天,搜寻救助人员在逐一摸排事发区附近摄像头和目击者,并在技术调查组协助下,进一步扩大搜索范围,全力搜寻第二个黑匣子。

据央视新闻消息,飞机黑匣子分为驾驶舱语音记录器和飞行数据记录器。通常情况下,语音记录器至少可保留最后两小时的录音;暂未找到的第2个黑匣子可保存超25小时飞行数据,包括发动机状态、飞行员的操纵量等。

黑匣子发射器的全称为“水下定位信标”,被水浸泡后电池才会向发射器供电,若坠机地点在陆地上,大多只能以目视方式寻找。

针对已找到的黑匣子,专家表示,黑匣子必须经数据提取、译码、分析,再形成情况汇报,约需10到15天时间才能获得初步分析结果。

但若要形成可呈现在事故调查报告中的最终结论,所需时间可能更久。

]]>
精心伪造的微软客户支持和帮助文档实际上是窃取信息的Vidar恶意软件 Wed, 18 May 2022 02:42:45 +0800 网络安全公司Trustwave的安全团队SpiderLabs警告Windows用户,一个名为Vidar的新恶意软件活动将自己伪装成微软支持或帮助文件。因此,毫无戒心的用户可能很容易成为受害者,而Vidar是一个偷窃数据的恶意软件,可以窃取被利用者的信息。微软编译的HTML帮助(CHM)文件虽然现在已经不常见,但总是会有人希望寻求“帮助”,这个恶意的Vidar CHM恶意软件以ISO格式通过电子邮件散播,该ISO被伪装成一个"require.doc"文件。

在这个 request.doc ISO文件中包含几个恶意文件,一个被称为"pss10r.chm"的微软帮助文件(CHM)和一个被称为"app.exe"的可执行文件。一旦用户被骗提取这些文件,用户的系统就会被破坏。前者即"pss10r.chm"实际上是一个一般的合法文件,但附带的exe文件却是臭名昭著的Vidar,Vidar是偷窃者恶意软件,从浏览器等地方窃取信息和数据。该活动类似于我们在2月份了解到的RedLine恶意软件活动。

恶意CHM的目的是运行另一个文件,即包含Vidar恶意软件的app.exe,以成功传递恶意软件载荷。

]]>
全球超过200,000台MicroTik路由器受到僵尸网络恶意软件的控制 Wed, 18 May 2022 02:42:45 +0800 近期,专家表示受僵尸网络控制的MicroTik路由器是他们近年来看到的最大的网络犯罪活动之一。根据Avast发布的一项新研究,Glupteba僵尸网络以及臭名昭著的TrickBot恶意软件的加密货币挖掘活动都使用相同的命令和控制(C2)服务器进行分发。Avast的高级恶意软件研究员Martin Hron说,“近230,000个易受攻击的MikroTik路由器受到僵尸网络的控制。”

该僵尸网络利用MikroTik路由器的Winbox组件中的一个已知漏洞 ( CVE-2018-14847 ),使攻击者能够获得对任何受影响设备的未经身份验证的远程管理访问权限。部分Mēris僵尸网络于2021年9月下旬陷入困境。对此,Hron说:“CVE-2018-14847漏洞于2018年公布,MikroTik虽然针对该漏洞发布了修复程序,但犯罪分子同样可以利用其达到控制路由器的目的。

Avast在2021年7月观察到的攻击链中,易受攻击的MikroTik路由器以域名bestony[.]club中检索的第一梯队为目标,该脚本随后被用于globalmoby[.]xyz。有趣的是,这两个域都链接到同一个IP地址:116.202.93[.]14,导致发现了另外七个积极用于攻击的域,其中一个 (tik.anyget[.]ru) 是用于向目标主机提供 Glupteba 恶意软件样本。“当请求URL https://tik.anyget[.]ru时,我被重定向到https://routers.rip/site/login(再次被 Cloudflare 代理隐藏),”Hron说,“这是一个用于编排被奴役的MikroTik路由器的控制面板”,该页面显示了连接到僵尸网络的实时设备数。

但在2021年9月上旬 Mēris僵尸网络的详细信息进入公共领域后,据说命令和控制服务器突然停止提供脚本。该披露还与微软的一份新报告相吻合,该报告揭示了TrickBot 恶意软件如何将MikroTik路由器武器化,这增加了操作人员使用相同僵尸网络即服务的可能性。

鉴于这些攻击,建议用户使用最新的安全补丁更新他们的路由器,设置强大的路由器密码,并从公共端禁用路由器的管理界面。“他们的目标并不是在物联网设备上运行恶意软件,因为基于不同的架构和操作系统版本不同让恶意软件不仅很难编写也很难大规模传播,”Hron 说,“这样做是为了隐藏攻击者的踪迹或用作DDoS攻击的工具。”

]]>
雀巢遭Anonymous组织攻击 致10GB敏感资料外泄 Wed, 18 May 2022 02:42:45 +0800 近日,国际黑客组织“匿名者”(Anonymous)宣布,他们成功入侵了全球最大食品制造商雀巢(Nestlè)的网络,并披露了10GB的敏感数据,包括公司电子邮件、密码和与商业客户相关的数据,以惩罚其未停止在俄罗斯的业务。

不仅是雀巢,近些天“匿名者”组织已经向所有决定继续在俄罗斯运营的公司宣战,因为这些公司持续地向俄罗斯政府缴纳税款。

雀巢是入侵事件发生后仍在俄罗斯运营的西方公司之一,“匿名者”先前就警告过该公司,然后才对其进行了黑客攻击。

本次攻击发生后,雀巢宣布它决定将继续留在俄罗斯运营,因为公司方面宣称其目的并非是从在俄罗斯的业务中获利。

乌克兰总理丹尼斯·希米哈尔(Denys Shmyhal)与雀巢首席执行官马克·施耐德(Mark Schneider)此前就此有过一次谈话,希米哈尔谈到了雀巢继续留在俄罗斯市场的“副作用”,他说道:“为一个恐怖主义国家的预算纳税意味着杀害手无寸铁的儿童和母亲。 我希望雀巢能尽快改变主意。”

此外,“匿名者”组织高调宣布将发动另外的大规模攻击,对于40家仍在俄罗斯运营的国际公司发出威胁警告。该组织警告称,他们将给这些国际公司48小时的时间以停止与俄罗斯的合作。潜在目标的名单很长,Hayatt、BBDO、Raiffeisen Bank、IPG、Cloudflare、Citrix Systems等知名品牌都赫然在列。

]]>
黑吃黑!黑客通过推送虚假恶意软件从同行手中窃取信息 Wed, 18 May 2022 02:42:45 +0800 据Bleeping Computer消息,两家安全公司的分析师发现黑客间的“黑吃黑”行为,黑客通过论坛,利用伪装成破解 RAT 和恶意软件构建工具的剪贴板窃取器来攻击其他黑客。

剪贴板窃取程序非常常见,通常用于监视受害者的剪贴板内容,以识别加密货币钱包地址,如比特币、以太坊和门罗币,这使得攻击者可以即时劫持金融交易,并将资金转移到他们的账户。

ASEC的研究人员在俄罗斯黑帽等黑客论坛上注意到剪贴板窃取程序的虚假报价,黑客用破解版的BitRAT和Quasar RAT来引诱其他黑客,这两种恶意软件的价格通常在 20 到 100 美元之间。对于上钩的黑客,他们将被定向到一个 Anonfiles 页面,该页面提供一个 RAR 文档,该文档据称是所选恶意软件的构建器,但实际上,该文档内包含的“crack.exe”文件却是一个ClipBanker 安装程序,能够将恶意二进制文件复制到启动文件夹并在第一次重新启动时执行。

安全公司Cyble报告了另一起案例,他们在网络犯罪论坛上发现,有黑客声称提供一个月的免费恶意软件 AvD Crypto Stealer,当有黑客下载时,实际上会启动一个名为“Payload.exe”的可执行文件,并使其系统感染一个针对以太坊、Binance智能链、Fantom、Polygon、Avalanche和Arbitrum的剪切器。Cyble发现,攻击者通过这种方式劫持了422笔交易,获得了1.3个比特币(约54000美元)。

虽然针对普通用户的黑客更加常见,但黑客试图欺骗并攻击其他同行的行为也并不少见。一些缺乏经验或者粗心大意的黑客往往不能很快识别黑客论坛上的欺骗性工具,最终导致上当受骗。

]]>
Anonymous声称已入侵俄罗斯央行 Wed, 18 May 2022 02:42:45 +0800 国际知名黑客组织“匿名者”(Anonymous)正持续以俄罗斯政府机构和私营企业为攻击目标,日前他们声称已经侵入了俄罗斯中央银行。

Anonymous组织宣称,在本次攻击中共盗取3.5万份文件,并扬言将在48小时内将其泄露。

自从俄罗斯2月24日开始入侵乌克兰以来,Anonymous组织随即向俄罗斯宣战,并对俄罗斯实体发动了多次网络攻击,包括俄罗斯政府网站、国有媒体网站和能源公司等。

除此之外,Anonymous组织前些天也向所有决定继续在俄罗斯运营的国际公司发出宣战声明,原因是这些公司仍不断地向俄罗斯政府纳税。

全球最大食品制造商雀巢(Nestlè)是入侵后仍在俄罗斯运营的公司之一,Anonymous先是对该公司发出威胁警告,然后对其进行了黑客攻击。

就这本周,Anonymous组织宣布他们入侵了雀巢的网站,并泄露了10GB的敏感数据,包括公司电子邮件、密码和与商业客户相关的数据,其中包含了超过5万商业客户的数据样本。

]]>
黑掉微软英伟达黑客团伙被抓:16岁少年疑似主谋 拥有财富近9000万 Wed, 18 May 2022 02:42:45 +0800 3月25日消息,据国外媒体报道,伦敦警方逮捕了7名黑掉微软和英伟达等公司的黑客团伙Lapsus$有关人员。

据之前报道,一名16岁的少年疑似为该团伙的主谋,据悉,这名少年通过黑客活动积累了1400万美元(约8900万元人民币)的财富,警方没有透露他是否在被捕的7名青少年之列。

这名患有自闭症的少年在网络上的绰号是“White”或“Breachbase”。跟他有关的南美黑客团伙Lapsus$成功攻破微软等大公司的网络,并将这些“成绩”发到网上之后,受到大众关注。

信息安全研究人员追踪“White”已经有快一年的时间,信息安全调查公司Unit 221B首席研究员埃里森·尼克松(Allison Nixon)表示:“我们从去年年中就知道了他的名字。我们在他被曝光之前就确认了他的身份。”

尼克松还表示,研究人员通过对这名少年互联网帐号进行长时间的监控,“我们找到一个帐号的发帖历史,并看到在较早的帖子中提供了联系人信息。”之所以能追踪到他的活动踪迹,是因为“White”没有掩盖自己的痕迹。

此前,微软等公司承认,Lapsus$黑进了自己的内部系统,造成不小威胁。信息安全公司Okta也承认,遭到了Lapsus$的黑客攻击,影响了数百家客户。

]]>
知名身份厂商Okta被黑,全球网络空间或又掀血雨腥风 Wed, 18 May 2022 02:42:45 +0800 3月22日,国际身份验证龙头厂商Okta表示,该公司遭到黑客攻击,一些客户可能受到了影响。

包括联邦快递和穆迪在内的许多知名公司,都使用Okta的身份验证服务提供对其网络的访问。

黑客攻击的范围还不清楚,但它可能会产生重大影响,因为有成千上万家公司依靠Okta来管理对其网络和应用程序的访问。

Okta首席安全官David Bradbury在一篇博文中说,一名为第三方承包商工作的客户支持工程师的电脑受到攻击,在1月中旬被黑客访问了5天,“对Okta客户的潜在影响仅限于支持工程师的访问”。

他说:"我们的客户不需要采取纠正措施。"

尽管如此,Bradbury承认,支持工程师有权限帮助客户重置密码,一些客户"可能受到了影响"。他说,公司正在确认和联系受影响客户。

这种影响的性质并不清楚。路透社邮件询问Okta,有多少组织可能受到影响,或者这与Okta关于客户不需要采取纠正措施的建议有何关系,该公司没有立即回复邮件。

该公司股价在当天收盘时下跌了1.76%,报166.43美元。

Okta在官网上称,自己是一家 "互联网的身份供应商",平台上有超过15000个客户。

它的竞争对手包括微软、PingID、Duo、SecureAuth和IBM等公司。它提供单点登录和多因素认证等身份服务,用于帮助用户安全地访问在线应用和网站。

保持高度警惕

Okta发表声明之前,周一(3月21日)晚些时候,一个勒索赎金的黑客团伙Lapsus$在他们的电报频道上,发布了一系列Okta内部通讯的截图。

在附带的信息中,该团伙称其重点"仅针对Okta客户"。

Lapsus$在周二还对Okta的声明作出回应,称该公司正试图将该漏洞的重要性降到最低。

一些外部观察家对Okta的解释也不以为然。

独立安全研究员Bill Demirkapi说:“在我看来,他们似乎在尽可能地淡化这次攻击,甚至在他们自己的声明中直接自相矛盾。”

安全咨询公司Phobos Group的创始人Dan Tentler早些时候告诉路透社,Okta客户"现在应该非常警惕"。

已经有迹象表明,Okta客户正在采取行动,重新审视他们的安全。

互联网基础设施公司Cloudflare发布了一份详细的解释,说明它对Okta漏洞的反应,并说该公司不认为它因此而受到影响。

联邦快递在一份声明中说,它也在进行调查,"我们目前没有迹象表明我们的环境被访问或被破坏"。穆迪公司没有回复寻求评论的信息。

Lapsus$是谁?

Lapsus$是拥挤的勒索软件市场的一个相对较新的加入者,但它已经通过高调的黑客攻击和寻求关注的行为掀起了波澜。

该组织今年早些时候入侵了葡萄牙媒体集团Impresa的网站,在一家报纸的推特账户上发布推文"Lapsus$现在是葡萄牙的新总统"。Impresa旗下的媒体机构将这一黑客行为描述为对新闻自由的攻击。

今年2月,该团伙将美国芯片巨头英伟达的专有信息泄露到网络上。

近两周,该团伙声称已经泄露了包括微软在内的几家大型科技公司的源代码。本周二,微软发表了一篇专门针对Lapsus$的博客文章,确认一个内部账户被入侵,"获得了有限的访问权"。

Lapsus$团伙在电报群中留下了联系方式,路透社就此事寻求评论,该团伙没有回应。

]]>
永利、澳门的酒店遭到黑客组织攻击,客人敏感信息或被窃取 Wed, 18 May 2022 02:42:45 +0800 最近一个高级持续性威胁(APT)组织一直在对中国澳门的豪华酒店开展鱼叉式钓鱼攻击活动,其目的是为了破坏它们的网络设施并窃取那些住在度假村的有高知名度的客人的敏感数据。这些被攻击的酒店就包括了路环度假村和永利皇宫。

Trellix的一份威胁研究报告大致确定韩国的DarkHotel APT组织是这些攻击背后的罪魁祸首。

研究人员说,此次鱼叉式网络钓鱼攻击活动始于11月末,犯罪分子将一些载有恶意Excel宏文件的电子邮件发送到了可以访问酒店网络的管理层的邮箱中,其中就包括了人力资源和办公室经理。

在其中的一次攻击中,钓鱼邮件在12月7日发送到了17家不同的酒店中,并伪造该邮件是由澳门政府旅游局发出的,其攻击目的在于收集这些酒店所住用户的信息。这些邮件要求收件人打开一个标有 "旅客查询 "的Excel附件文件。

Trellix公司的威胁研究人员说,电子邮件的内容要求用户打开附件中的文件,并回信说明这些人是否住在酒店里?该邮件的署名是旅游局检查处。

研究人员怀疑DarkHotel窃取数据计划在未来进行攻击

报告说,Trellix大致能够将这些攻击归咎于DarkHotel组织,因为他们的指挥和控制服务器(C2)的IP地址以前曾与该组织有过联系;DarkHotel经常以酒店为攻击目标,并且在C2中发现的设置模式与已知的DarkHotel的活动模式非常相符。

Trellix团队说,我们目前对此还没有一个很高的确信度,因为这个IP地址在被公开曝光后仍然活跃了相当长的一段时间,而且该IP地址还进行了其他的与该威胁无关的网络攻击。这些观察结果使得我们在调查归因方面更加的谨慎。

Trellix团队解释说,用户一旦打开了该文件,这些恶意的宏代码就会与C2服务器建立联系,开始从酒店网络中渗透窃取数据。

Trellix在报告中补充说,进行恶意攻击的命令和控制服务器曾经试图冒充密克罗尼西亚联邦合法政府网站的域名。然而,真正的密克罗尼西亚网站域名是'fsmgov.org'。

Trellix团队说,他们怀疑攻击者只是在收集数据,以便日后进行利用。

Trellix研究人员报告说,在研究了目标酒店的活动议程后,我们确实发现了多个威胁行为者可能会感兴趣的会议,例如,一家酒店正在举办国际环境论坛和国际贸易与投资博览会,这两个活动都会吸引潜在的间谍活动攻击。

该团队说,鱼叉式网络钓鱼活动于1月18日停止。

由于COVID-19的流行停止了会议

也就是说,由于COVID-19的大流行取消或推迟了这些活动,这才给了执法部门时间去抓获嫌疑人。到2021年12月,澳门治安警察局收到了警察局网络安全事件警报和应急中心的通知,一个治安警察局官方网页的域名被用来传播恶意软件以及实施非法行为。

Trellix报告补充说,犯罪分子除了对酒店进行攻击以外,其他的犯罪活动都用了同一个C2 IP地址,据研究该C2可能是由DarkHotel所控制,他们曾经用了一个具有欺骗性的Collab.Land钓鱼页面去攻击MetaMask加密货币用户。

DarkHotel组织长期以来一直以中国用户为攻击目标。2020年4月,该APT组织对中国虚拟私人网络(VPN)服务提供商SangFor进行了攻击,该服务提供商被大量的机构所使用。据报道,到该月第一周结束时,至少已经有200个端点被入侵。

大约在同一时间,在COVID-19大流行开始时,DarkHotel就以世界卫生组织的系统为攻击目标。

像这样的攻击足以表明,存储在酒店网络中的数据对威胁者来说是多么有吸引力。Trellix团队建议,酒店经营者应该认识到,网络安全需要覆盖到生活的各个方面。Trellix补充说,旅行者同样需要采取适当的安全预防措施。

报告说,建议旅行者只携带有限的必要的设备,并且保持安全系统及时更新,在使用酒店Wi-Fi时尽量使用VPN服务。

]]>
俄乌冲突加剧网空对抗,网络安全将走向黄金时代 Wed, 18 May 2022 02:42:45 +0800 行业分析师近一月内三次发布报告,看好网络安全行业;

随着俄乌战争的持续,网安行业已经处于‘红色警报’状态,网络威胁正显著增加。云与数字化转型的全面推进,加上犯罪分子复杂攻击的连绵不绝,正在推动网络安全领域走向黄金时代。

技术专家与政界人士向美国发出警告,近期来自俄罗斯的网络攻击压力正持续增长。在这一威胁之下,一些分析师对网络安全行业的短期经济前景表示看好。

3月18日,财富管理公司Wedbush Securities分析师Dan Ives再次重申了对网络安全领域的积极判断。他表示,目前的形势已经非常明显——云与数字化转型的全面推进,加上犯罪分子复杂攻击的连绵不绝,正在推动网络安全领域走向黄金时代。

他还提到,“我们认为,随着俄乌战争的持续,网安行业已经处于‘红色警报’状态,网络威胁正显著增加。”

网安支出预算暴涨,推动行业发展大提速

Dan Ives透露,公司最近与多位企业CISO、来自华盛顿和特拉维夫的联络人、合作伙伴/渠道方展开对话,希望组织新一轮网络安全调查,以衡量当前背景下的网安支出水平。调查结果显示,“威胁水平正在全面上升,促使企业在网安领域拿出了‘令人瞠目结舌’的巨额资金预算。”

Palo Alto、Zscaler、Crowdstrike、Sentinel One、Check Point、CyberArk及Tenable等网络安全领先企业,始终处在积极保护企业/政府免受俄乌冲突网络威胁侵扰的第一线。截至目前,这些实体及非实体机构已经成功处理了多起随着俄乌战争而出现的网络安全事件。

Ives指出,“随着网络攻击水平的显著提高,我们认为科技投资者应该将投资重点转向增长良好、市场领先的网络安全供应商。网安行业从2021年起迎来增长提速,并有望在2022年内获得约25%的上涨空间。”

月内三次发布报告,看好网络安全行业

这是Dan Ives近一月内第三次发布报告,看好网络安全行业。

此前在2月24日,Dan Ives在报告中表示,对于网络攻击的担忧可能将整个网络安全行业股价拉高200至300个基点。

3月4日,Dan Ives又在报告中称,网络攻击水平的显著提升已经让网安行业迎来了自己的风口,目前全行业收入已经较俄乌战争爆发前同比增长了20%。在这一波市场震荡下,科技投资者有必要将市场领先的网安厂商视为重点投资对象。

报告显示,“根据Wedbush Securities与企业、CISO、华盛顿政界联络人的沟通,大家普遍担心短期内会爆发大规模网络战。这肯定会促使企业增加支出,以防止针对数据中心、网络、漏洞点和其他高度敏感数据的复杂网络攻击。”

]]>
微软云计算源代码疑遭大规模泄露 Wed, 18 May 2022 02:42:45 +0800 上周末,“微软被黑客组织入侵,云服务关键源代码泄露”的消息在安全社区开始流传。微软本周二表示,他们正在调查有关Lapsus$数据勒索黑客组织入侵其内部Azure DevOps源代码存储库并窃取数据的“传闻”。

与常见的勒索软件组织不同,Lapsus$不会在受害者的设备上部署勒索软件,而是实施“数据绑票”:以大公司的源代码存储库为目标,窃取他们的专有数据,然后试图以数百万美元的价格将这些数据卖回给受害公司。

虽然目前尚不清楚该勒索组织是否成功拿到了被盗数据的赎金,但可以确定的一点是Lapsus$并非虚张声势的组织,因为过去几个月中该组织对英伟达、三星、沃达丰、育碧和Mercado Libre等知名企业的攻击最后都得到了证实。

Lapsus$声称已经“搞定”微软

上周日清晨,Lapsus$团伙在Telegram发布了微软内部源代码存储库的屏幕截图,以此来证实自己成功入侵了微软的Azure DevOps服务器。

该屏幕截图显示Azure DevOps存储库,其中包含Cortana和各种Bing项目的源代码遭泄露(文件名分别为“Bing_STC-SV”、“Bing_Test_Agile”和“Bing_UX”)。

屏幕截图还显示了其他源代码存储库,但不知道具体包含什么。

奇怪的是,不知是粗心还是什么别的原因,该勒索团伙在屏幕截图中留下了登录用户名的首字母缩写“IS”,这可能使微软能够识别和保护被盗的帐户(下图):

泄露失窃账户的信息可能意味着Lapsus$已经失去了对该账户的控制,或者只是在嘲弄微软,众所周知,勒索团伙与受害者之间经常会发生类似的心理战。

发布屏幕截图后不久,Lapsus$删除了帖子,并发了一条消息称“暂时删除,稍后再发布”:

然而,当时不少安全研究人员已经保存了屏幕截图并在Twitter上分享:

虽然微软并未确认源代码泄露,目前只是表示开始调查攻击(是否确实),但不幸的是,Lapsus$有着良好的记录,他们声称的攻击后来都被证实是真实的。而且该组织在勒索谈判中的态度格外强硬,甚至大爆粗口,下面是Lapsus$对英伟达发出的通牒截图(威胁不缴纳100万美元赎金将公开显卡驱动源代码):

源代码泄漏真的没有风险吗?

虽然源代码泄露会让攻击者更容易找到软件中的漏洞,但微软此前曾表示,源代码泄露不会增加风险。

微软表示,他们的威胁模型假设攻击者已经了解他们的软件是如何工作的,无论是通过逆向工程还是以前的源代码泄漏。

“在微软,我们有一种内部源代码方法——使用开源软件开发最佳实践和类似开源的文化——使源代码在微软内部可见。这意味着我们的产品安全性不依赖于源代码的保密性,我们的威胁模型假设攻击者了解源代码。”微软在一篇关于SolarWinds攻击者获取其源代码访问权限的博客文章中解释道:“因此查看(泄露)源代码与风险提升无关。”

但是,微软“源码泄露无风险”的说法也许并不准确。源代码存储库通常还包含访问令牌、凭据、API密钥,甚至代码签名证书。

当Lapsus$入侵NVIDIA并发布泄露数据时,其中还包括代码签名证书,其他攻击者可使用这些证书给他们的恶意软件代码赋予合法签名,造成更大的威胁。因为NVIDIA的代码签名证书能够帮助恶意软件绕过防病毒引擎:

使用被盗NVIDIA证书签名Quasar RAT后门

不过微软此前曾表示,他们有一项开发政策,禁止将API密钥、凭据或访问令牌等“秘密”包含在其源代码存储库中。

但即使是这样,也不意味着源代码中不包含其他有价值的数据,例如私有加密密钥或其他专有工具。

目前尚不清楚这些存储库中包含什么,但就像以前的受害者所遭遇的那样,Lapsus$泄露被盗数据只是时间问题。

]]>
美国顶级“武器”平台曝光 全球网民遭无差别攻击 Wed, 18 May 2022 02:42:45 +0800 不久前,360政企安全集团公开披露美国国家安全局(National Security Agency,NSA)针对全球发起长达十余年的攻击活动,我国是重点攻击目标之一。3月22日,360针对NSA事件再次发布技术报告,完整揭露了NSA针对中国境内目标所使用的代表性网络武器——Quantum(量子)攻击平台。

Quantum(量子)攻击是NSA针对国家级互联网专门设计的一种先进的网络流量劫持攻击技术,NSA利用Quantum(量子)攻击技术持续对世界各国访问脸书、推特、油管、亚马逊等美国境内网站的所有互联网用户发起网络攻击。

据360报告分析,遭受美国NSA窃取的数据包括人口数据、医疗卫生数据、教育科研数据、军事国防数据、航空航天数据、社会管理数据、交通管理数据、基础设施数据等。这种攻击是无差别的,除中国以外,很多美国盟友和与美有合作的国家也是NSA网络攻击的目标。

美国顶级武器平台曝光 完全实现工程化、自动化

Quantum(量子)攻击是美国国家安全局(NSA)针对国家级互联网专门设计的一种先进的网络流量劫持攻击技术,主要针对国家级网络通信进行中间劫持,以实施漏洞利用、通信操控、情报窃取等一系列复杂网络攻击。Quantum(量子)攻击可以劫持全世界任意地区任意网上用户的正常网页浏览流量,进行0day(零日)漏洞利用攻击并远程植入后门程序。

据相关证据推测,泄露的一系列NSA网络武器被他国特别是“五眼联盟”国家黑客广泛利用,造成了全球性的网络安全灾难。如“永恒之蓝”被“WannaCry”蠕虫病毒利用,在2017年攻击了中国和全球多个国家地区,给各国网络安全造成了严重的危害。

360云端安全大脑对Quantum(量子)攻击平台进行了长期的跟踪研究,现已发现其包含的九种先进网络攻击能力模块,分别为QUANTUMINSERT(量子注入)、QUANTUMBOT(量子傀儡)、QUANTUMBISCUIT(量子饼干)、QUANTUMDNS(量子DNS)、QUANTUMHAND(量子掌握)、QUANTUMPHANTOM(量子幻影)、QUANTUMSKY(量子天空)、QUANTUMCOPPER(量子警察)、QUANTUMMACKDOWN(量子下载)。

此外,美国国家安全局(NSA)为了监控全球互联网目标,制定了众多的作战计划,相关计划涉及的具体任务会通过Quantum(量子)攻击平台实施,QUANTUM(量子)攻击的完整实施过程分为以下三个阶段,现已完全实现了工程化、自动化:

第一阶段,QUANTUM(量子)攻击实施者会首先对被攻击目标进行网络定位,整个定位过程是通过NSA持有的一整套“QUANTUM Capabilities”(量子能力),网络黑客攻击工具完成,这些工作具有对全球互联网巨头网络流量的远程劫持操控能力。

第二阶段,在精准确定攻击目标的上网地点、上网IP和网络账号后,NSA会利用其它网络武器全面监控攻击目标的上网终端和互联网账号,详细分析相关网络通信内容和其它网络活动,包括与上网终端有关的静态文件、上网流量及通讯内容等等。

第三阶段,NSA通过Quantum(量子)攻击系统实施漏洞利用攻击,向受害者上网终端植入NSA的专属后门程序,对受害者形成远程控制,随即大量窃取受害者的个人隐私和上网数据。整个攻击过程中所采集窃取的大量数据都在用戶毫不知情的情况下被传送到NSA在美国的多个专用大数据中心。

全球网民遭无差别攻击 美国网络“镰刀”之下何以独善其身?

美国国家安全局(NSA)的全球化无差别入侵行径,离不开庞大复杂的网络武器平台支持,360安全报告针 QUANTUM(量子)攻击系统的应用场景和攻击实施过程进行技术分析,结合360云端安全大脑视野发现的真实案例,全面印证了美国国家安全局(NSA)针对全球互联网用户实施大规模无差别网络攻击的详细情况,也引发了进一步思考:

一、美国NSA网络武器攻击已完全实现了工程化、自动化。网络战时代到来,网络武器的自动化优势成为超越信息优势的“进阶优势”,而NSA组织的QUANTUM(量子)系统可能仅是冰山一角,美国或掌握着更多更高度工程化的网络攻击平台,其自动化的“思考”速度和质量,极大提高了美国自主作战系统实现制胜目标的优势,也为全球网络安全带来无穷隐忧。

二、为应对网络战,美国政府充分利用一切先进技术和网络资源。美国有着全球最先进的互联网技术,这是尽人皆知的,但为了掌握网络战主导权,美国将诸如QUANTUM(量子)攻击系统等大量顶级技术手段、高端人才、情报力量纳入作战序列,由此可见,美国对发展网络作战力量的重视程度,并不计成本地投入资源、增加筹码。

三、美国的网络攻击属于无差别攻击,目标是全球范围,甚至包括美国盟友。由上述分析可见,美国针对各类电子邮箱、社交网络、搜索引擎、视频网站、游戏平台、图书文档分享等几乎所有互联网用户发起无差别的网络攻击,这种战略性的网络打击是全球性的、无节制的,在美国网络攻击的镰刀之下,没有哪一国能独善其身。

四、美国的网络战战略,或不仅限于网络窃密。通过公开的资料已知,美国已经完成了其网络战战略目标第一步——网络窃密,像斯诺登还有维基百科爆料的“棱镜”计划都属于这一范畴,但不排除美国的下一步目标野心将更大。一旦通过在对手的电脑网络中安插硬件或软件后门,实现关键目标远程操控,包括军事系统、国家公共安全领域的服务器、民航公路铁路交通系统的主机、银行金融系统的服务器等,如果美国更大的战略目标实现,其对手将毫无谈判的余地。

]]>
《安联智库-网安周报》2022-03-20 Wed, 18 May 2022 02:42:45 +0800
1、俄罗斯管道巨头Transneft遭攻击 79GB数据泄露

俄乌冲突进入第 3 周,一些非常规行为者继续针对俄罗斯国家支持的企业发起攻击,进行一连串的黑客攻击和数据泄露。而由俄罗斯国家控制的石油管道巨头 Transneft 无疑成为了重点攻击对象。
本周四,泄密托管网站 Distributed Denial of Secrets 发布了一个 79GB 的电子邮件链接,这些电子邮件来自 Transneft 的研发部门 Omega 公司。
Transneft的总部设在莫斯科,是世界上最大的管道公司。作为一家俄罗斯国有企业,根据对俄罗斯的制裁条款,它现在被阻止接受来自美国市场的投资。它的内部研发单位 Omega 公司生产一系列用于石油管道的高科技声学和温度监测系统,具有讽刺意味的是,这些系统主要用于泄漏检测。
泄露的电子邮件似乎包含了公司员工的多个电子邮件账户的内容,不仅包括电子邮件信息,还包括包含发票和产品发货细节的文件附件,以及显示服务器机架和其他设备配置的图像文件。
2、神误报!微软卫士称Office更新是勒索软件

3月16日,微软卫士终端版(Microsoft Defender for Endpoint)的一波误报令Windows系统管理员们大惊失色。在对系统进行勒索软件扫描时,Office更新居然被标记为恶意活动。

根据Windows系统管理员们的上报来看,几小时内这一问题已经遍地开花,引得“勒索软件警报此起彼伏”。随着报告数量的激增,微软确认称,这次Office更新由于误报而被错误标记成了勒索软件活动。

微软还称,工程师们已经更新了云端逻辑,消除了原有误报,并避免未来再出现类似的警报。

3、大厂又被爆杀熟:会员买机票 比新用户贵11%

近日,315曝光台上,美团和去哪儿相继被曝出大数据杀熟。

今年3月3日,一位匿名用户在黑猫平台 上对在线旅游平台“去哪儿”发起投诉,他已经在去哪儿平台开通了一年多的plus会员。但是,当他用不同账号查询同一时间同一航班,机票价格不同,开了plus会员的账号显示比普通账户票价高11%。

而湖北武汉的高先生在美团上点外卖时发现,同一时间、同一家店的套餐、同样的送达地点,朋友软件界面上的价格却要比自己低。其实美团平台上,关于不同的人所点外卖的价格不同之说法,已经被曝光过。

据此前北京市消费者协会发布大数据“杀熟”调查结果,有86.91%的受访者有过被大数据“杀熟”的经历。此外,在黑猫投诉平台,关于大数据“杀熟”的投诉多达两千余条。

除了此次被曝光的美团和去哪儿,之前还有其他平台也被陆续曝出大数据杀熟。

4、育碧遭遇网络攻击,造成服务暂时中断

近日,有关育碧遭到网络攻击的谣言在网上流传,而数据勒索组织LAPSUS$则表明这并不是留言,他们已经入侵了育碧。起因在于近期的多个用户报告了访问游戏的某些服务出现问题,最终育碧公布遭遇了“网络安全事件”才造成服务的暂时中断。

经过专家的调查,并没有找出有数据泄露的迹象,相关的服务也在正常运行。对于该事件目前也没有过多的信息,也许Lapsus$团伙可能已经破坏了公司网络并泄露了内部数据,毕竟该网络犯罪团伙近期从已经披露数据泄露事件的巨头公司(包括NVIDIA和三星)那里窃取了敏感数据。

这并不是育碧第一次遭受网络攻击,去年12月,这家游戏公司就曾被爆出数据泄露事件,导致未经授权就可以访问“舞力全开”的用户数据,该安全漏洞是由错误配置引起的,不过问题已得到迅速解决。在2020年10月,Egregor勒索软件团伙袭击了游戏开发商Crytek,并泄露了据称从育碧系统中窃取的文件。

]]>
华硕警告针对路由器的 Cyclops Blink 恶意软件攻击 Wed, 18 May 2022 02:42:45 +0800 据Bleeping Computer网站消息,多款华硕路由器型号容易受到名为Cyclops Blink的恶意软件威胁,并被曝与一个俄罗斯黑客组织Sandworm存在关联,该组织历来针对WatchGuard Firebox和其他SOHO网络设备。

Cyclops Blink能在目标设备上建立与攻击者的持久性链接,使他们能够远程访问受感染的网络。由于Cyclops Blink具有模块化特性,能够轻松更新以针对新的设备。

在由趋势科技协调披露的调查中,发现该恶意软件具有 一个专门针对多个华硕路由器的模块,允许恶意软件读取闪存以收集有关关键文件、可执行文件、数据和库的信息,并在闪存中并建立持久性命令,即使恢复出厂设置也不会擦除。

由于Cyclops Blink与 Sandworm黑客组织存在关联,后者曾参与或主导了多起大型网络攻击事件,比如在2015年至2016年,利用恶意软件BlackEnergy和 NotPetya攻击了乌克兰的电力系统,因此在未来可能会出现攻击者开始针对其他路由器制造商。

华硕已于3月17日发布了安全公告,公布了受影响的路由器型号和固件版本,暂未发布新的固件更新以阻止 Cyclops Blink,但已发布可用于保护设备的缓解措施:

受影响型号及固件版本:

GT-AC5300、GT-AC2900、RT-AC5300、RT-AC88U、RT-AC3100、RT-AC86U

RT-AC68U, AC68R, AC68W, AC68P

RT-AC66U_B1、RT-AC3200、RT-AC2900

RT-AC1900P, RT-AC1900P

以上型号的 3.0.0.4.386.xxxx固件及以下版本;

RT-AC87U (已过时)

RT-AC66U (已过时)

RT-AC56U (已过时)

以上不受支持的型号。

缓解措施:

将设备重置为出厂默认设置:登录 Web GUI,进入管理 → 恢复/保存/上传设置,单击“初始化所有设置并清除所有数据日志”,然后单击“恢复”按钮;

更新到最新的可用固件;

确保默认管理员密码已更改为更安全的密码;

禁用远程管理(默认禁用,只能通过高级设置启用)。

如果用户使用的是老旧的不再受支持的型号,因而不会收到任何更新,华硕建议停止使用,并更换为较新的设备。

]]>
俄罗斯管道巨头Transneft遭攻击 79GB数据泄露 Wed, 18 May 2022 02:42:45 +0800 俄乌冲突进入第 3 周,一些非常规行为者继续针对俄罗斯国家支持的企业发起攻击,进行一连串的黑客攻击和数据泄露。而由俄罗斯国家控制的石油管道巨头 Transneft 无疑成为了重点攻击对象。

本周四,泄密托管网站 Distributed Denial of Secrets 发布了一个 79GB 的电子邮件链接,这些电子邮件来自 Transneft 的研发部门 Omega 公司。

Transneft的总部设在莫斯科,是世界上最大的管道公司。作为一家俄罗斯国有企业,根据对俄罗斯的制裁条款,它现在被阻止接受来自美国市场的投资。

它的内部研发单位 Omega 公司生产一系列用于石油管道的高科技声学和温度监测系统,具有讽刺意味的是,这些系统主要用于泄漏检测。

泄露的电子邮件似乎包含了公司员工的多个电子邮件账户的内容,不仅包括电子邮件信息,还包括包含发票和产品发货细节的文件附件,以及显示服务器机架和其他设备配置的图像文件。

不寻常的是,根据分布式拒绝秘密组织随同电子邮件上传的一份说明,消息来源将泄漏的数据献给希拉里·克林顿。在 2 月份接受 MSNBC 采访时,克林顿采取了非常规的措施,鼓励 Anonymous 对俄罗斯发动网络攻击。克林顿说:“热爱自由的人,了解我们的生活方式取决于支持那些也相信自由的人,可以参与对俄罗斯街头的人进行网络支持”。

]]>
2022年“清朗”系列专项行动10个方面重点任务 Wed, 18 May 2022 02:42:45 +0800 国务院新闻办公室,于3月17日下午3时举行关于2022年“清朗”系列专项行动新闻发布会。

国家互联网信息办公室副主任盛荣华介绍,2022年“清朗”系列专项行动聚焦影响面广、危害性大的问题开展整治,具体包括10个方面重点任务:

一是“清朗·打击网络直播、短视频领域乱象”专项行动,全面清理“色、丑、怪、假、俗、赌”等各类违法违规直播和短视频;从严整治激情打赏、高额打赏、诱导打赏、未成年人打赏等行为;坚决遏制借未成年人牟利,通过直播、短视频打造“网红儿童”等侵犯未成年人权益现象;全面整治劣迹艺人违规复出、被封账号违规转世;严惩偷拍跟拍、搭讪骚扰、虚构自杀等各类无底线蹭流量,进行违规变现行为;坚决整治直播间营造虚假人气、虚假带货量,短视频账号营造虚假流量等行为;严厉打击通过炮制低俗情感剧情,收割老年人流量,实施营销诈骗。

二是“清朗·MCN机构信息内容乱象整治”专项行动,集中整治MCN机构及其旗下账号炮制蹭炒舆论热点、引发群体对立、欺骗误导网民、发布三俗信息、利用未成年人谋利等违法违规行为。督促重点网站平台建立MCN机构分级管理制度,通过平台MCN机构入驻协议,明确MCN机构信息内容业务活动标准和责任,加强日常监管,定期开展培训,加强信息披露,建立专门举报受理渠道,强化违规处置。

三是“清朗·打击网络谣言”专项行动,全面清理涉及政治经济、文化历史和民生科普等领域的谣言信息,打上标签、做出明示。压实网站平台主体责任,对敏感领域、敏感事件产生的各种信息加强识别;对影响大、传播广的无权威来源的信息及时查证。建立溯源机制,对首发、多发、情节严重的平台和账号,严肃追究相关责任。建立健全治理网络谣言工作机制。

四是“清朗·2022年暑期未成年人网络环境整治”专项行动,着力为未成年人营造健康安全干净的网络环境,重点清理影响青少年身心健康、妨碍青少年上网学习的不良信息,重点整治涉未成年人网络乱象;督促网站平台进一步完善和推广青少年模式。

五是“清朗·整治应用程序信息服务乱象”专项行动,结合修订《移动互联网应用程序信息服务管理规定》,在清理各类违法和不良信息的同时,注重源头治理,督促指导应用程序严管快处各类账号,督促指导分发平台严管快处各类应用程序;紧盯重要流量入口,全面规范应用程序功能运行、活动设计、内容生产等重点环节,坚决遏制各类乱象;以应用程序内容审核和分发平台上架审核为切入点,压实双主体责任,强化日常监管,推动形成“平台管程序、程序管账号”的管理链条。

六是“清朗·规范网络传播秩序”专项行动,面向网上新闻信息重点生产、传播平台,分阶段开展规范网络传播秩序专项整治。加大网上新闻信息传播源头治理,把牢导向关。严打重点传播平台违规采编、超范围转载、篡改新闻标题、违规PUSH弹窗推送等行为。深化“自媒体”涉新闻信息网络传播乱象治理,集中清理违规账号和信息。聚焦解决手机浏览器、网址导航、主流工具类应用扰乱新闻信息网络传播秩序突出问题。

七是“清朗·2022年算法综合治理”专项行动,落实《互联网信息服务算法推荐管理规定》关于互联网企业平台的算法主体责任和系列管理要求,督促重点互联网企业平台整改算法不合理应用带来的“信息茧房”“算法歧视”等问题,积极利用算法弘扬社会主义核心价值观,营造风清气正的网络空间。

八是“清朗·2022年春节网络环境整治”专项行动,聚焦春节期间人民群众使用频率较高的平台环节和服务类型,聚焦解决影响上网观感、群众反映强烈的网络生态问题,着力整治网络暴力、炫富拜金、封建迷信等乱象,营造文明健康、喜庆祥和的春节网上舆论氛围。

九是“清朗·打击流量造假、黑公关、网络水军”专项行动,进一步聚焦重点平台、环节、版块和产品功能,严管水军招募和推广引流信息,加大违规账号群组查处力度,强化行为分析和关联处置,优化榜单评分功能,规范探店种草行为,加强线索移交和信息共享,健全跨部门跨平台联动处置机制,适时开展专项督查和“回头看”,防止问题反弹反复。

十是“清朗·互联网用户账号运营专项整治行动”,坚决处置假冒、仿冒、捏造党政军机关、企事业单位、新闻媒体等组织机构名称、标识等以假乱真、误导公众的账号;依法从严处置利用时政新闻、社会事件等“蹭热点”,借势进行渲染炒作的账号,发布“标题党”文章煽动网民情绪、放大群体焦虑的账号;强化网络名人账号异常涨粉行为管理,严格清理“僵尸”粉、机器粉,坚决打击通过雇佣水军、恶意营销等方式的非自然涨粉行为,确保粉丝账号身份真实有效。

]]>
神误报!微软卫士称Office更新是勒索软件 Wed, 18 May 2022 02:42:45 +0800 3月16日,微软卫士终端版(Microsoft Defender for Endpoint)的一波误报令Windows系统管理员们大惊失色。在对系统进行勒索软件扫描时,Office更新居然被标记为恶意活动。

根据Windows系统管理员们的上报来看,几小时内这一问题已经遍地开花,引得“勒索软件警报此起彼伏”。

随着报告数量的激增,微软确认称,这次Office更新由于误报而被错误标记成了勒索软件活动。

微软还称,工程师们已经更新了云端逻辑,消除了原有误报,并避免未来再出现类似的警报。

微软在收到用户报告后表示,“自3月16日上午开始,客户可能经历一系列检测误报。这些检测旨在识别文件系统内的勒索软件活动。管理员们看到的误报标题为「在文件系统中检测到勒索软件活动」,触发警报的是OfficeSvcMgr.exe。”

 “我们在调查中发现,检测勒索软件警报服务组件新近部署了一项更新,正是这项更新引入了代码问题,导致可能在没有问题时触发警报。我们已经发布代码更新纠正了问题,并确保后续不会出现新的警报提醒。我们也重新处理了积压警报,希望彻底消除此次意外造成的影响。”

云端逻辑更新之后,勒索软件活动误报确实不再出现。而且无需管理员干预,所有误报记录将会自动从门户中消除。

微软卫士的误报史

微软表示,该问题“可能会影响”在微软卫士终端版观察勒索软件活动的管理员。

引发误报的根本原因,是微软卫士最近在服务组件中部署了一项专门检测勒索软件警报的更新。

更新引入了一个代码问题,导致在系统上不存在勒索软件活动时,仍错误触发警报。

2021年11月,微软卫士就出现过类似的误报问题,导致正常文件被标记为Emotet恶意软件有效载荷,Office文档及部分Office可执行文件无法正常打开。

一个月后,微软卫士又将自家刚刚为Log4j进程部署的微软卫士365扫描程序标错,发出“传感器篡改”警报。

自从2020年10月以来,管理员们已经一次又一次面对微软卫士终端版的离谱表现,包括一次针对Cobalt Strike的网络设备感染警报、一次将Chrome更新标记为PHP后门的警报。

我们已就此事与微软发言人取得联系,对方表示目前无法发表任何评论。

]]>
数百个 GoDaddy 托管的网站,短时间内被部署了后门 Wed, 18 May 2022 02:42:45 +0800 Bleeping Computer 网站披露,网络安全分析师发现 GoDaddy 管理服务器上托管的部分 WordPress 网站,被部署了大量后门,所有网站都具有相同的后门有效载荷。

据悉,这次网络攻击可能影响到许多互联网服务经销商,已知的包括 MediaTemple、tsoHost、123Reg、Domain Factory、Heart Internet和Host Europe Managed WordPress 等。

2022 年 2 月 11 日,Wordfenc 安全团队首次观察到此次恶意活动。经过一段时间追踪,发现 24 小时内约有 298 个网站感染后门,其中 281 个网站托管在 GoDaddy。

网络安全研究员透漏,感染后门的网站允许攻击者从 C2 中获取垃圾邮件链接模板,用于将恶意网页注入到用户搜索结果中,进行虚假宣传,诱导受害者购买假冒产品。

此外,攻击者还能够通过更改网站内容等明显违规行为,损害网站声誉,但这些似乎都不是威胁者最终目的。

糟糕的是,这种模式的网络攻击发生在服务器上而不是浏览器上,很难从用户端检测到和阻止,因此本地网络安全工具不会检测到任何可疑的东西。

供应链攻击

此次网络攻击的入侵载体还没有得到确定,虽然看起来很接近供应链攻击,但目前不能证实。

无论如何,如果用户的网站托管在GoDaddy的WordPress管理平台上,请务必尽快扫描wp-config.php文件,查找潜在的后门注入。

值得注意的是,2021 年 11 月,GoDaddy 披露一起数据泄露事件,影响范围涵盖 120 万客户和多个WordPress 管理服务经销商,包含上文提到的六个。

Bleeping Computer 已经联系了 GoDaddy,期望获取更多关于攻击活动的信息,但没有收到回复。

]]>
研究发现Linux和树莓派成为凭证黑客攻击的首要目标 Wed, 18 May 2022 02:42:45 +0800 新的研究表明,黑客经常使用相同的常用密码,通常是默认密码获得服务器的访问权。来自Bulletproof的数据还显示,在黑客使用的顶级默认凭证列表中,默认的Raspberry Pi用户名和登录信息占据了突出位置。

在整个2021年,利用蜜罐进行的研究表明,目前总网络活动的70%是机器人流量。随着黑客越来越多地部署自动化攻击方法,默认凭证是这些不良行为者最常使用的密码,实际上充当了犯罪访问的'骨架钥匙'。

"名单上有默认的Raspberry Pi凭证(un:pi/pwd:raspberry)。互联网上有超过20万台机器在运行标准的树莓派操作系统,这使得它成为不法分子的合理目标。我们还可以看到看起来像是在Linux机器上使用的凭证(un:nproc/pwd:nproc)。"Bulletproof公司首席技术官Brian Wagner说:"这突出了一个关键问题--默认凭证仍然没有被改变。使用默认凭证为攻击者提供了一个最容易的切入点,充当了多个黑客的'骨架钥匙'。使用合法的凭证可以让黑客避免被发现,并使调查和监测攻击变得更加困难。"

今天仍在被攻击者使用的密码中,有四分之一源自2009年12月的RockYou数据库泄漏。这些密码仍然是可行的,Bulletproof公司的渗透测试人员在测试中也尝试使用这些密码,因为它们仍然有很高的成功率。

"在一个服务器被放到互联网上的几毫秒内,它就已经被各种实体扫描了。僵尸网络将以它为目标,然后大量的恶意流量被驱动到服务器,"瓦格纳补充说。"尽管我们的一些数据显示合法的研究公司正在扫描互联网,但我们遇到的进入我们蜜罐的流量的最大比例来自威胁行为者和被破坏的主机。"

完整的Bulletproof年度网络安全行业威胁报告来自该公司的网站。下面有一个正在使用的顶级默认凭证列表。

]]>
多款App上线算法关闭键 媒体点赞:理应把算法开关交给消费者 Wed, 18 May 2022 02:42:45 +0800 网络安全、数字安全是托起数字经济的底层逻辑,不能建立在侵害消费者知情权与选择权的基础上。算法开关给了消费者选择权,还应进一步保障消费者知情权。数据收集透明、规范,不仅是对消费者的保护,更是对企业自身的一种保护。

改了改了,他们都改了!据不完全统计,截至3月15日,抖音、今日头条、微信、淘宝、百度、大众点评、微博、小红书等App均已上线算法关闭键,允许用户在后台一键关闭“个性化推荐”。在“3·15”国际消费者权益日到来之际,个人隐私保护跨出一大步、消费者权益得以保障,令人欣慰。

近几年,不少App打着“千人千面”的口号,基于算法为用户提供精准推送。市场也很认可这种商业模式,谁把用户的心思猜得准,谁的广告就赚得多。但App们极少主动提示“千人千面”会大规模收集和使用用户个人信息,更不会冒着断自己财路的风险,设计算法关闭键。

直到今年1月,《互联网信息服务算法推荐管理规定》出台,明确了算法推荐服务提供者应当以显著方式告知用户其提供算法推荐服务的情况;向用户提供不针对其个人特征的选项,或者向用户提供便捷的关闭算法推荐服务的选项。该规定自3月1日起施行,App们不想改也不行了。

个性化推荐有助于改善用户体验。用户不管是喜欢小动物、美食还是美妆,都不用到处去搜索资源,算法会源源不断地推荐。不太美好的一面在于,算法很了解用户,但用户对算法几乎一无所知;算法强大到能控制用户的眼睛,甚至基于算法实施“大数据杀熟”,但用户对此几乎无计可施。

北京大学互联网发展研究中心发布的《中国大安全感知报告(2021)》显示,受访者中,60%担心自己的信息在数字环境中有泄露风险,70%担心个人喜好、兴趣被算法“算计”,50%表示在算法束缚下想要逃离网络、远离手机。这意味着算法构建的不只是“信息茧房”,还可能是“信息囚笼”,用户明知不妥又挣不脱。算法新规就是要求App们给笼门配一把钥匙,并交到用户手中。

目前大部分App都把算法关闭键埋得比较深,这点小心思可以理解。其实,“算法开关”不是自废武功,而是补地基上的漏洞,有利于合规企业进一步发挥优势。网络安全、数字安全是托起数字经济的底层逻辑,不能建立在侵害消费者知情权与选择权的基础上,企业对此心知肚明。有一个有意思的现象——按理说,以算法起家的字节跳动系应该最忌惮关闭算法,可偏偏它旗下产品设置的算法开关位置最显眼、分类最齐全。一方面,这说明企业对自己的服务有信心,相信消费者会自愿打开;另一方面,这也在一定程度上表明部分企业已经意识到数据收集越透明、越规范,对自己越是一种保护。

算法开关给了消费者选择权,还应进一步保障消费者知情权。算法不该是企业手里的“黑匣子”,而应是用户眼前的透明鱼缸。用户不用弄懂鱼缸的生态系统如何运转,但有权知道鱼缸里装了什么。这方面,微信、大众点评等App列出了“个人信息收集清单”,告诉消费者自己收集了哪些信息,以及如何使用这些信息。这种明确告知有必要成为行业共识。

设置算法开关只是保障数字安全的第一步。如果得到消费者信任,企业可以继续优化算法,推荐向上向善的内容,增强用户黏性;如果消费者选择关闭,企业也可以采用其他方式改善消费者体验,但要注意不能故意提供过时、低质信息逼消费者打开算法,实质上侵害消费者选择权。总之,消费者的心思可以猜,但猜的企业要合法合规,被猜的用户得心甘情愿。

]]>
短视频越刷越上瘾!微信、抖音出手整改:个性化推荐可一键关闭 Wed, 18 May 2022 02:42:45 +0800 经常刷短视频的朋友,往往会发现自己对一个视频点赞之后,在随后一段时间内,系统会为自己推送越来越多类似的视频,并且推送的广告信息,也与自己感兴趣的内容接近。

这也是目前不少互联网APP主推的“个性化推荐”功能,不过,这种模式也引起不少网友的反感,要求取消“个性化推荐”的呼声也不绝于耳。

3月16日消息,据经济日报报道,据不完全统计,截至3月15日,抖音、今日头条、微信、淘宝、百度、大众点评、微博、小红书等App均已上线算法关闭键,允许用户在后台一键关闭“个性化推荐”。

不过,目前大部分App都把“个性化推荐”关闭键埋得比较深,一般会在隐私、广告相关的设置选项中找到。值得一提的是,微信、大众点评等App列出了“个人信息收集清单”,告诉消费者自己收集了哪些信息,以及如何使用这些信息。

此外,在今年1月,《互联网信息服务算法推荐管理规定》出台,明确了算法推荐服务提供者应当以显著方式告知用户其提供算法推荐服务的情况;

向用户提供不针对其个人特征的选项,或者向用户提供便捷的关闭算法推荐服务的选项,该规定自3月1日起施行。

]]>
大厂又被爆杀熟:会员买机票 比新用户贵11% Wed, 18 May 2022 02:42:45 +0800 近日,315曝光台上,美团和去哪儿相继被曝出大数据杀熟。

今年3月3日,一位匿名用户在黑猫平台 上对在线旅游平台“去哪儿”发起投诉,他已经在去哪儿平台开通了一年多的plus会员。

但是,当他用不同账号查询同一时间同一航班,机票价格不同,开了plus会员的账号显示比普通账户票价高11%。

而湖北武汉的高先生在美团上点外卖时发现,同一时间、同一家店的套餐、同样的送达地点,朋友软件界面上的价格却要比自己低。

其实美团平台上,关于不同的人所点外卖的价格不同之说法,已经被曝光过。

早在2020年,自媒体“漂移神父”发布了一篇名为文章《我被美团会员割了韭菜》,引发了热议。文章讲述作者在开通美团外卖会员后,发现常点的一家店铺,其配送费由平时的2元变为了6元。

作者为此还做了个试验,在美团上的同一家店铺,同一配送地址,同一时间点单,会员账号的配送费仍为6元,而非会员账号仅为2元。

在反馈客服后,对方表示愿意补偿十元红包。电话客服主管则表示已超出他的处理范围,会向更高级管理人员反映。

文章中还提到,不仅是一家店这种情况,一部开通美团外卖会员的手机,附近几乎所有外卖商户的配送费,基本都要超出非会员配送费1~5元不等。

现在,大数据杀熟已经成为消费维权的关键词了。其中,网络购物中的大数据杀熟问题最多,其次是在线旅游、外卖和网约车。

据此前北京市消费者协会发布大数据“杀熟”调查结果,有86.91%的受访者有过被大数据“杀熟”的经历。此外,在黑猫投诉平台,关于大数据“杀熟”的投诉多达两千余条。

除了此次被曝光的美团和去哪儿,之前还有其他平台也被陆续曝出大数据杀熟。

2020年滴滴被曝出大数据杀熟。复旦大学教授孙金云带领团队做了一项“手机打车软件打车”的调研。该团队在国内五个城市,花50000元,收集了常规场景下的800多份样本,得出一份打车报告。

报告显示:苹果机主更容易被专车、优享这类更贵车型接单;如果不是苹果手机,则手机越贵,越容易被更贵车型接单。

后有北京消协点名飞猪和饿了么涉嫌大数据杀熟,并展开相关调查。

飞猪旅行和饿了么个别体验样本显示,新老用户同时购买相同商品(服务)的标价不同,明显侵犯消费者的合法权益。

这些操作都严重侵犯了消费者的合法权益,甚至有时候消费者知晓这种杀熟行为,却也没有付出相应的维权行动。

这种现象的背后,是维权成本与被杀熟成本的严重不对等所致。

一名微博网友表示,“毕竟一次‘杀熟’可能也就十几、几十块钱,维权耗费人力、物力、财力,用户将被‘杀熟’损失的金额和维权成本相对比,就不去维权了。”

除了成本问题,消费者维权难还体现在举证困难、维权效果不明显等方面。

比如订购机票、酒店等产品受供需、日期等影响较大,平台由此对价格进行调整,消费者不易举证。而且就算取证成功进行维权,基于互联网商家的优势地位,凭消费者一己之力也很难掀起水花。

但在此前,互联网行业正式迎来了“大数据杀熟”第一案。

浙江绍兴胡女士通过某商旅平台订购酒店,结账时发现通过平台支付房费比该酒店实际房价高出近一倍,而她是该商旅平台的高级会员,本该享受8.5折优惠。

胡女士怀疑商旅平台存在“大数据杀熟”的行为,于是将该商旅平台告上法庭,最终胜诉并获得退一赔三补偿。

近年来,相关政府部门已注意到大数据“杀熟”问题,推进了相关工作。

今年3月1日正式实施的《互联网信息服务算法推荐管理规定》指出,算法推荐服务提供者向消费者销售商品或者提供服务的,应当保护消费者公平交易的权利,不得根据消费者的偏好、交易习惯等特征,利用算法在交易价格等交易条件上实施不合理的差别待遇等违法行为。

如违反相关规定,算法推荐服务提供者或被处以罚款等,必要时追究刑责。

另外,作为消费者,为了避免大数据杀熟,中消协提示:①货比三家;②一旦被坑,一定要留好证据。

]]>
迄今最完善的Android系统!Android 13官宣 Wed, 18 May 2022 02:42:45 +0800 今天,谷歌母公司Alphabet CEO Sundar Pichai在社交平台宣布,谷歌将于5月11日-5月12日在线上举行谷歌I/O大会,这次大会以线上的形式和广大开发者见面。

按照惯例,这次谷歌I/O大会将会带来全新一代Android 13操作系统,目前Android 13开发者预览版已经上线,谷歌Pixel系列机型可以尝鲜这一操作系统。

Android 13操作系统堪称是Android史上最完善的版本,对比Android 12,Android 13进一步加强了隐私保护。用户可以让应用程序获取特定的照片或视频权限,不用担心应用程序获取所有权限后导致个人隐私外泄。

不仅如此,Android 13设备通过Wi-Fi连接附近设备时,可以不用分享个人的位置信息,有效避免用户的位置信息被获取。

此外,Android 13延续了Material You设计语言,支持用户打造个性化界面,允许用户对特定的APP进行语言设置。比如系统设定语言为英文,但是用户可以设定某个APP的语言为中文。

值得注意的是,Android 13针对折叠屏、平板电脑等大屏设备进行了适配优化,谷歌强化了界面设计,让更多应用程序可以无缝适配不同尺寸的Android设备,让应用体验更佳。

迄今最完善的Android系统!Android 13官宣:5月11日见

对于消费者来说,谷歌预计会在下半年推送Android 13正式版更新,谷歌Pixel系列将是首批尝鲜Android 13正式版的机型。

]]>
黑客入侵俄罗斯能源巨头位于德国的子公司,窃取了20TB数据 Wed, 18 May 2022 02:42:45 +0800 据Security affairs网站消息,一个匿名的黑客团伙声称已经入侵了俄罗斯能源巨头——俄罗斯石油公司位于德国的分公司Rosneft Deutschland GmbH,并从中窃取了 20 TB 的数据。

此次攻击事件得到了德国联邦信息安全办公室 (BSI) 的证实,该公司在上周六晚上报告了一起 IT 安全事件。BSI表示将对相关调查予以支持,并向石油行业的其他利益相关者发出了安全警告。

据报道,尽管该公司的系统受到了影响,但公司的业务或供应状况暂未受到影响。Rosneft Deutschland GmbH是第三大矿物油加工公司,在过去三年中,该公司负责向德国进口约四分之一的原油。

就在BSI正式对外公开宣布攻击事件的前一天,一个自称Anonymous的黑客团体表示对这起攻击事件负责,并称攻击的起因源于俄罗斯对乌克兰的入侵,以及对该公司的运作、德国前总理格哈德·施罗德与普京的关系感到不满。他们认为,施罗德是俄罗斯石油公司在俄罗斯的董事会主席,自90年代以来一直是普京的密友。由于俄罗斯石油公司在海外的子公司没有受到制裁的影响,因此黑客决定对它下手。

这起攻击事件进一步表明,俄乌两国冲突,让许多关键基础设施成为了网络攻击者的优先级目标。安全和分析公司Gurucul Solutions Pvt Ltd AG认为,所有相关机构组织都应保持警惕,并继续投资于网络安全解决方案,以阻止攻击者者破坏运营设施、窃取敏感数据或进行勒索活动。

]]>
以色列称该国多个政府网站遭黑客攻击 短时间瘫痪 Wed, 18 May 2022 02:42:45 +0800 新华社耶路撒冷3月14日电(记者吕迎旭 王卓伦)据以色列政府和媒体14日消息,该国多个政府网站当天遭到黑客攻击,短时间瘫痪。目前遭到攻击的各个网站已经恢复。

以色列网络指挥部14日发表声明说,一家以色列网络运营商“遭到拒绝服务攻击”,造成多个政府网站无法正常登录和使用。此次攻击发生在14日傍晚,持续约一个小时。

另据以色列媒体14日报道,遭到攻击的政府网站包括以色列总理府、内政部、司法部等。

以色列《国土报》援引该国官员的话报道,这是以色列遭受的最大范围黑客攻击,目前无法确认幕后操纵者。

报道说,以色列网络指挥部已宣布进入紧急状态,以了解此次攻击造成的破坏程度,并对电力、供水等基础设施进行全面检查,了解是否同样遭到了攻击。

]]>
黑客入侵俄罗斯能源巨头位于德国的子公司,窃取了20TB数据 Wed, 18 May 2022 02:42:45 +0800 据Security affairs网站消息,一个匿名的黑客团伙声称已经入侵了俄罗斯能源巨头——俄罗斯石油公司位于德国的分公司Rosneft Deutschland GmbH,并从中窃取了 20 TB 的数据。

此次攻击事件得到了德国联邦信息安全办公室 (BSI) 的证实,该公司在上周六晚上报告了一起 IT 安全事件。BSI表示将对相关调查予以支持,并向石油行业的其他利益相关者发出了安全警告。

据报道,尽管该公司的系统受到了影响,但公司的业务或供应状况暂未受到影响。Rosneft Deutschland GmbH是第三大矿物油加工公司,在过去三年中,该公司负责向德国进口约四分之一的原油。

就在BSI正式对外公开宣布攻击事件的前一天,一个自称Anonymous的黑客团体表示对这起攻击事件负责,并称攻击的起因源于俄罗斯对乌克兰的入侵,以及对该公司的运作、德国前总理格哈德·施罗德与普京的关系感到不满。他们认为,施罗德是俄罗斯石油公司在俄罗斯的董事会主席,自90年代以来一直是普京的密友。由于俄罗斯石油公司在海外的子公司没有受到制裁的影响,因此黑客决定对它下手。

这起攻击事件进一步表明,俄乌两国冲突,让许多关键基础设施成为了网络攻击者的优先级目标。安全和分析公司Gurucul Solutions Pvt Ltd AG认为,所有相关机构组织都应保持警惕,并继续投资于网络安全解决方案,以阻止攻击者者破坏运营设施、窃取敏感数据或进行勒索活动。

]]>
俄罗斯的 IT 危机:数据存储空间还剩2月用完 Wed, 18 May 2022 02:42:45 +0800 在西方国家的云服务提供商纷纷撤出俄罗斯之后,该国如今正面临一场严重的IT存储危机:俄罗斯离用完数据存储空间不到两个月的时间了。

为了解决这个IT存储问题,俄罗斯政府正在探究种种方案:从租赁所有可用的国内数据存储空间,到没收撤出该国的公司企业留下的IT资源,不一而足。

这些解决办法是在俄罗斯数字化转型部召开的一次会议上提出来的,来自Sberbank、MTS、Oxygen、Rostelecom、Atom-Data、Croc和Yandex的代表们出席了会议。

据俄罗斯新闻媒体《生意人报》(Kommersant)报道,有关方估计还有大概两个月的时间就要用完可用的存储空间。《生意人报》声称,知情人士证实了这一提案。

在西方国家的云存储服务纷纷在俄罗斯切断业务关系之后,所有俄罗斯公司都因受到制裁而被迫转向国内云存储服务提供商。

比如说,俄罗斯移动运营商MegaFon的本地存储容量需求增长了五倍,MTS增长了十倍,VK不得不在短短一周内寻求增加20%的存储资源。

由于俄罗斯境内没有足够的数据中心来满足地方运营商的需求,这造成了一个无法克服的实际问题。因此,俄罗斯需要一种全国性的解决办法来应对这场存储危机。

《生意人报》进一步解释,由于“智慧城市”项目涉及广泛的视频监控系统和人脸识别系统,俄罗斯公共机构的存储需求随之急剧增加,这无异于雪上加霜。

几条潜在的出路

上周,俄罗斯数字发展部修订了《亚洛瓦亚法》(Yarovaya Law,2016 年),暂停要求电信运营商每年将分配的存储容量增加15%以用于反恐监视用途的规定。

另一个有望释放存储空间的举措是,要求ISP们摈弃消耗宝贵资源的流媒体服务及其他在线娱乐平台。

第三条路子是,可以选择从国内数据处理中心购买所有的可用存储空间。然而,这可能会给需要额外存储空间以添加服务和内容的娱乐提供商带来进一步的问题。

俄罗斯还在考虑要不要没收已撤出俄罗斯的那些公司留下的IT服务器和存储资源,并将它们整合到公共基础设施中。

据当地媒体报道,数字发展部目前正在分析:如果政府颁布这类政策,有望提供多少的可用资源。如果一套加快进程的程序足以支持关键政府部门的运作,相关部门就会制定。

]]>
无本金、无囤货、无风险就能赚钱?揭秘“无货源开店”骗局 Wed, 18 May 2022 02:42:45 +0800 无需本金、不用囤货、没有风险,一部手机就能轻松当老板,在家动动鼠标就能赚钱……

近期,一种号称“无货源开店”的广告在一些社交平台和短视频平台兴起。这类广告宣称,只要交几百元就能享受“开店指导”和“内部货源”,开店者通过赚取消费者的“信息差”,从而实现“坐在家里收钱”。

世上真有这种美事吗?

高价购买的开店“秘笈”,不过是“盗图抄店”

所谓“无货源开店”,就是店铺经营者没有现货,在网上找产品找货源,然后把货源“搬运”到自己的店铺中,等有顾客下单,店主再去上家下单,由上家来派单发货。

“一样的产品,一样的图片,卖得比别家更贵,会有人买吗?”花费6998元购买了广州某公司“开店指导”服务的吴女士告诉记者,她看到广告一开始也质疑,但后来被“劝说”相信了。

她加了一个指导“老师”的微信,随后被拉入一个开店群中。“老师”在微信群中规定学员之间不允许互相加微信,还发了成功开店学员的交易截图在群里——某茶杯在批发网标价3元,在淘宝网卖20元;一套茶具在批发网标价500元,在淘宝网卖1800元。

“我本来是不太相信的,但是‘老师’一直在‘洗脑’,说不能简单把主图和简介搬过来,还要会选品、会运营,‘开店指导’教的就是如何运营。”吴女士告诉记者,她买了开店套餐后,“老师”教她在1688批发网选品上传到自己的店铺。但是店铺没有流量,“老师”又建议吴女士刷单,或者再花钱购买增加流量的服务,甚至可以交钱找人代运营。

吴女士认为教的开店流程网上都有免费教程,不值这个学费,宣传的内容与上课内容不符,于是提出退费要求。商家拒绝退费,并称“店是不是给你开了?你是不是学会上架商品了?”“出售的课程属于知识付费产品,你已经学了足够的时长,没有生意是你的问题。”

广州某传播公司技术部门负责人告诉记者,开店“老师”所发的网店交易成功截图,能够通过修图软件制作而成,实际上没有多大参考价值。深圳市消费纠纷【进入黑猫投诉】评审专家、北京市东元(深圳)律师事务所律师邓永也表示,如商家通过虚假图片误导消费者,则涉嫌以无货源销售培训为名,行诈骗或传销之实。

2022年1月,哈尔滨市公安局打掉一个电信网络诈骗团伙,该团伙以指导电商开店为名,骗取客户的开店培训费、网店包装费、代运营费,8个多月诈骗近千人,涉案资金500余万元。

杭州市消费者权益保护委员会秘书长陈兆波提醒,市面上不少“无货源开店”广告是以诈骗为目的;公众在遇到“躺着就可以赚钱”之类的宣传标语时,一定要多个心眼,谨防上当。

“开店指导”?都是套路!

记者发现,在网络平台上发帖称因“无货源开店指导”上当受骗的不在少数,仅在“黑猫投诉”上就有超过1000条相关投诉。记者联系上不少投诉维权者,发现“开店指导”有多个套路。

——开店前:虚假宣传、诱导消费。陕西的刘女士在快手上看到“帮开店、包货源、教运营,仅需39元”的短视频广告后,添加了客服微信。随后客服在微信上提出要收388元报名费,费用包括对接货源、推广指导、活动策划等。为博取信任,销售人员还将公司的营业执照、获奖证书、店铺内实景等图片视频发给刘女士,并提供了公司的详细地址、400开头的热线电话。

刘女士认为可信度高便交了钱,等到店铺要上架商品时,销售人员表示还需要另外购买货源。刘女士认为店家涉嫌虚假宣传、诱导消费,要求退费被拒。

刘女士在全国12315平台进行投诉,几天后,公司注册地市场监管部门回复表示,“经查公司未在注册地从事经营活动”“已依照相关规定,将其列入异常经营名录,进行受限管理”“建议通过司法途径维护自身权益”。

刘女士说,事情过去4个月,钱没要回来,网上还有很多人投诉该公司。

——开店中:上游货源接单不发货。深圳的王先生在“开店指导”的推介下购买了价值1200元的批发网站货源,本想着接单后直接要求批发商“一件代发”,但批发商迟迟不发货,王先生的网店还被平台扣分。

陈兆波说,有的“无货源店铺”,如果未经相关货品方的授权或委托销售,也属于侵权销售,并且这种销售模式在售后方面会存在较大风险。

——开店后:被平台处罚下架商品。广州的周先生同样是看到短视频广告后购买了“开店指导”服务,指导“老师”教周先生在电商平台选择一个商品,然后复制商品链接和详情到自己的店里。然而,不久后周先生的店就被淘宝网处罚了。

据了解,根据淘宝网的运营规则,对部分卖家以不正当方式批量复制他人店铺内的商品、通过购买他人店铺内商品完成自己店铺内交易的行为,淘宝网会实施下架全店商品、限制发布商品7天等处罚。

在一些地方的市场监管部门工作人员看来,“一键搬店”甚至跨平台复制店铺,属于不正当竞争,会扰乱市场秩序,涉嫌违法。

堵住监管漏洞,避免消费者上当

北京盈科(杭州)律师事务所律师甘海滨表示,网络兼职课程一直是诈骗的高发领域,很多不法分子利用售卖课程、“带徒弟”等模式,收取信息费、加盟费等费用,敛取钱财。

专家表示,从商业模式上来看,也正是由于电商平台法律责任落实不到位、不同电商平台裁定尺度不一等因素,导致大量不法分子有机可乘。

中国法学会消费者权益保护法研究会副秘书长陈音江表示,“无货源店铺”没有经过其他商家同意,通过擅自复制其他商家商品信息的方式,把其他商家的商品“搬运”到自己店铺销售,不仅涉嫌侵犯消费者的知情权和选择权,而且涉嫌对其他商家构成不正当竞争。

此外,对于实行“批零一体”的批发商而言,通过特许经营模式委托被特许人销售商品,法律上也有明确规定。甘海滨表示,根据《商业特许经营管理条例》的规定,拥有注册商标、企业标志、专利、专有技术等经营资源的企业,以合同形式将其拥有的经营资源许可其他经营者使用,特许人应向商务主管部门备案,不能在网上简单“搬运”。

北京孟真律师事务所律师舒胜来表示,对于消费者而言,“无货源店铺”实际上把自身经营风险转嫁到了消费者身上,消费者付款后可能无法及时收到合格的商品和服务。“无货源店铺”本质上是中间商,对货源并不了解,如果售卖的产品可能存在质量缺陷,他们需要承担产品质量责任;但由于其没有相应的经济实力和专业实力,往往难以提供售后服务、承担质量责任。

对此,陈音江建议有关部门加大监管力度,从依法查处相关虚假广告入手,通过消费者投诉等渠道及时发现问题线索,依据反不正当竞争法进行查处。另外,电商平台也应加强监管,增加对入驻商家的资质审核、物流调查、货品溯源等,维护正常的销售秩序,避免更多的消费者上当受骗。

]]>
俄乌战争爆发后 俄罗斯App Store失去近7000款应用 Wed, 18 May 2022 02:42:45 +0800 3月16日消息,应用分析公司Sensor Tower提供的数据显示,自从俄乌战争爆发以来,苹果俄罗斯App Store已经失去了6982款移动应用,这是因为许多公司已经从该国的苹果iPhone和iPad应用商店下架了他们的应用和游戏。

目前为止,这些应用在俄罗斯的下载量约为2.18亿次,占其全球66亿次总安装量的3%多一点。在大量公司退出的情况下,几家大型科技公司的应用仍然在俄罗斯App Store上排名靠前。

尽管苹果经常会从其App Store下架过时和被废弃的应用,但是俄罗斯App Store自战后(2月24日到3月14日)下架的应用数量较2月前两周(2月1日到14日)增长了105%。在此之前的一个时期,俄罗斯App Store仅下架了3404个应用,与其他市场的苹果App Store下架的应用数量相当,例如美国为3422款。

]]>
脸书被欧盟罚款1.2亿:大规模数据泄露 Wed, 18 May 2022 02:42:45 +0800 3月16日消息,Facebook母公司Meta被欧盟罚款1700万欧元(约合1900万美元),原因是它未能阻止Facebook平台在2018年发生的一系列数据泄露事件,违反了欧盟的隐私规则。

Meta在欧盟的主要隐私监管机构爱尔兰数据保护委员会表示,他们发现Facebook“未能采取适当的技术和组织措施”。

2018年,Facebook成为欧盟《通用数据保护条例》颁布后的首个重大考验。当时,爱尔兰监管机构宣布对一起影响多达5000万个账户的漏洞事件展开调查。与周二处罚相关的调查是在当年12月开始的,调查的对象是Facebook发出的12条漏洞通知,其中一些是由一个软件漏洞引起的,导致外部开发者获得了数百万用户的照片。

]]>
假网站假首席“坑你没商量” Wed, 18 May 2022 02:42:45 +0800 对证券业而言,打假是一个老话题,更是需要长期坚持做的事。

近日,不少券商发布了《关于警惕不法分子假冒xx证券名义进行非法证券活动的风险提示公告》。这些公告称,近期,发现不法分子假冒公司名义,通过假冒网站、假冒APP、假冒工作人员等形式从事非法证券活动,严重损害广大投资者合法权益和公司品牌声誉。

公告特别提醒投资者应提高警惕,防范非法证券活动,提高对非法证券活动的辨别能力,保护自身财产安全。

据了解,这些假冒网站、假冒APP、假冒工作人员在骗取投资者信任后,会以“牛股”“涨停板”等噱头诱导投资者在虚假平台进行转账投资,从而骗取钱财。

总之,投资者需要提防的是:可能除了转出的钱是真的,其他投资活动都是假的。

假冒券商进行诈骗

近日,中信证券在官网发布风险提示称,近期公司发现多起伪造公司LOGO、微信、开户页面、二维码以及交易软件,诱导客户进行充值、交易;冒充中信证券名义进行非法证券活动的机构和个人,主动给客户打电话或通过“朋友”介绍推荐股票或邀请客户加入聊天群、股票交流群,通过不明人士或渠道下载假冒公司的开户软件、交易软件进行证券交易。这些违法行为不但侵害了公司的合法权利,同时也严重侵害了投资者的合法权益。

中信证券称,上述行为属于非法证券活动或网络诈骗犯罪,请投资者注意提防,谨防受骗上当。

证券时报记者注意到,除了中信证券,还有中银证券、华融证券、英大证券、湘财证券、中原证券、平安证券、开源证券、万和证券、光大证券、华鑫证券、广发证券、银河证券、国融证券、东北证券等券商也发布过类似公告。

假冒首席经济学家荐股

中银证券近期称,有不法分子假冒中银证券全球首席经济学家管涛开设微信公众号,账号名称为“管涛”且使用管涛真人照片为头像,存在严重的侵权违法性和极大的公众误导性,并涉嫌非法荐股等非法证券活动。

中银证券表示,“经济技术开发区陈若服装店”注册开设的“管涛”微信公众号属假冒账号,该账号编发文章中提到的所谓“实盘指导QQ”涉嫌非法荐股,与公司及公司全球首席经济学家管涛无关。中银证券提醒,陷入骗局的投资者做好证据的保存和保管工作,立即报警。

此前,东北证券也发布过类似公告,近期有不法分子假冒东北证券首席经济学家付鹏,以免费领取“私募抄底金股”“100%中签秘籍”“涨停龙虎榜选股器”等为诱饵,劝说投资者加入QQ群,进行非法证券活动。东北证券提醒,该公司首席经济学家付鹏从未创建过任何荐股授课群、实时行情分析群,上述非法行为与公司及付鹏本人无任何关系,并严重侵害了公司以及付鹏的权益。并提醒投资者谨防上当受骗,如已被卷入相关诈骗活动,建议保留证据并立即向公安机关报案。

“神奇”软件藏陷阱

除了假冒的首席,炒股软件也可能是假冒的。中证协此前公布的一个非法证券活动案例中,就涉及一款隐藏陷阱的炒股软件,该软件介绍中声称:“××软件是我们公司汇集国内金融、科技精英,投入巨资开发的高科技产品,可以第一时间实时跟踪国内全部股票走势,并自动发出买卖点信号,操作简单,选股精准。用户还可以享受资深投资顾问一对一的服务,很多客户都已获利不菲。”

投资者朱某在浏览网站时,发现了成都某网络科技公司上述关于“某股票资讯终端”的产品宣传。通过进一步接触,朱某了解到,公司软件按股票走势准确度和售后一对一咨询服务内容不同划分为若干等级,其中“绝密计划”等级收费逾10万,由公司“王牌投资总监”亲自指导操作。在“神奇”的“高科技软件”光环下,在公司“轰炸式”营销攻势下,在公司“贴心”服务的承诺下,朱某动摇了,交费11万余元,成为了该公司的软件用户。

此后,朱某拿到的软件却没有带来预期收益,账户经所谓的“王牌投资总监”实盘指导后甚至出现了严重亏损。上述公司当初信誓旦旦的收益承诺,事后看来只不过是打着神奇高科技软件旗号的又一起非法证券活动。

券商网站遭山寨

有假冒的炒股软件,也有假冒的券商网站,中证协曾披露过类似的案例。在该案例中,投资者张某在某财经网站发现一栏消息,标题是“揭幕明日即将拉升的股票”,点击一看,是国内“知名券商”的网站,网站顶部还写着“公司经过中国证监会批准”,并有电子版的批准证书。网站内容主要有“强力个股推荐”“精确市场预测”“实战业绩”“涨停板股票服务”等内容。

张某拨打了网站底部所写的手机号码,业务员陈某声称公司实力很强,有专人研究分析股票,近期几只大牛股都抓住了。于是张某心动不已,按要求向一个户名为“陈某”个人账户缴纳了一个季度的服务费4380元,对方也传真了一份已盖章的服务合同,并口头保证15个交易日获利120%,总获利不低于360%。

但此后,张某按推荐的股票进行操作,却只跌不涨。一周后,张某后悔,想讨回服务费,却发现再也无法联系到陈某,公司的电话也无人接听。

在这个案例中,张某碰到的就是被山寨的知名券商网站。记者了解到,不法分子常常利用网络平台假冒合法证券公司设立山寨网站和冒牌机构,企图鱼目混珠,欺骗投资者而获得非法收入。

]]>
揭露四种支付码诈骗套路 扫一扫背后的各种风险 Wed, 18 May 2022 02:42:45 +0800 “扫一扫,完成收付款”已经成为最常见的支付手段,给我们的生活带来了极大的便利。但需要警惕的是,有一些不法分子悄悄盯上了这小小二维码,用尽手段,设计出一套又一套的骗局,以达到盗取他人钱财的目的。

如果有人说有偿借用收款码,你借吗?

如果有人自称银行客服并指引输入银行账户、支付密码、验证码等,你照做吗?

如果有人给你付款却没到账,你会怀疑谁?

如果有人想以18位数字付款码的形式支付,你会告诉他这串数字吗?

在移动支付普及程度如此之高的今天,我们早已可以熟练使用各种电子支付方式,但是面对上述情形,恐怕仍有不少人难以察觉其背后的风险。

案例一:出借收款码可以赚钱?有可能涉及犯罪

去年3月,福建省泉州市中级人民法院披露的裁定书显示:2019年,时年21岁的大学生曾某恒以1%的佣金受雇于王某军,曾某恒为其提供微信二维码,帮忙收款6134元,并从中获利61元。收款过程中,曾某恒的微信账户被投诉涉嫌欺诈,后被限制收款。曾某恒以0.5%的佣金雇请张某铭提供微信二维码,帮助自己收款和转账人民币72200.64元,后转给王某军及其提供的银行卡上,从中获利人民币310元。

殊不知,曾某恒出借收款码获得的三百多元竟然给他带来了牢狱之灾。裁判文书网显示,曾某恒在侦查阶段稳定供认其和张某铭的微信账户在收款过程中,均被投诉涉嫌欺诈并被限制收款,但为了赚取佣金仍然继续提供微信收款二维码给王某军,因此,曾某恒主观上明知他人实施电信网络诈骗犯罪,客观上仍为该犯罪转移资金,其行为符合诈骗罪的构成要件,应当依照诈骗罪定罪处罚。因此,一审法院判决,曾某恒犯诈骗罪,判处有期徒刑一年十个月,并处罚金人民币三千元。

没有直接参与诈骗算是违法行为吗?对于一审判决不服,曾某恒上诉称:其没有以非法占有为目的直接参与到本案的诈骗活动中,只是以出租微信收款码为赢利目的,且上家从未告诉其行为的用途和所收资金的来源,不知道他们的诈骗手段,也没有从中直接获利;其与上家不存在诈骗的意思联络,也没有实施虚构事实或隐瞒真相骗取他人财物的行为,原判认定的部分事实有误,且其自首情节,又是初犯、偶犯,归案后如实供述犯罪事实,认罪、悔罪态度好,还是一名在校大学生,犯罪所得数额较小,情节较轻,社会危害性小,请求二审对其依法酌情改判,判处较轻刑罚。

二审法院认为,“虽然他们在犯罪的初始阶段与上家不存在诈骗的意思联络,也没有直接实施虚构事实或隐瞒真相骗取他人财物的行为,但在后来他们各自的微信账户在收款过程中,均被投诉涉嫌欺诈并被限制收款,但为了赚取佣金仍然继续提供其他人的微信收款二维码用于收取他人的被诈骗款项,并转账给上家王某军,从中非法获利,据此可以断定他们各自的行为均系为电信网络诈骗犯罪提供了支付结算等帮助的行为,原判据此所认定的事实并无错误,故该诉辩意见与事实及证据不符,均不能成立,不予采纳。”最终,法院驳回上诉,维持原判。

Tips:天上不会掉馅饼,出租收款码帮人收钱,轻则被限制收款,重则可能涉嫌犯罪。

案例二:莫名收到银行逾期短信?也许有人在盗取支付码

明明没有逾期,却收到信用卡逾期短信?大多数人第一反应是和银行进行沟通,不假思索地拨过去短信中的电话号码,这就有可能踏入了骗子的圈套。

一份刑事裁定书显示,被告人从QQ网名“保罗”(基本信息不详)处获得他人办理信用卡公民信息后以冒充银行客服人员的方式从网络群发平台上向被害人发送信用卡逾期的虚假短信,并在短信中预留银行客服虚假电话。被害人拨打该虚假电话后再用事先准备好的解码器获取被害人在其手机上输入的身份信息、支付密码及验证码,随后登陆被害人银行卡APP等网络支付平台生成支付码,通过支付扫码的形式将被害人的钱财划走。

值得一提的是,上述案例并非偶发,而是具有一定的代表性。

某商业银行人士指出,近年来,随着条码支付业务量规模增长,相关异议处理量增多。经调查发现,欺诈分子广泛发送有关信用卡逾期、征信修复等信息,诱导受害人点击虚假链接,录入个人身份、账户密码等敏感信息。欺诈分子使用窃取所得的客户信息,冒名注册APP应用软件或电子钱包,并通过其收付款码渠道,窃取受害者资金。

骗子是如何得逞的呢?据分析,欺诈分子利用部分市场主体身份认证模式单一、缺乏辅助身份识别手段等漏洞,使用受害者真实的个人敏感信息,冒名注册账户,通过应用端收付款码窃取受害者的资金。并不定期更换设备及IP地址信息,规避风险交易规则。

Tips:付款码支付一定额度内的免密支付,更高额度需要密码或验证码,因此,千万不能随意将自己的银行账户、密码、验证码告诉他人,以防受骗。

案件三:客户扫了付款码却没收到钱?可能是被套路了

需要特别提醒的是,骗子盯上的不只是付款码,还有收款码。2022年1月,云南省陆良县公安局成功破获了一起诈骗案件。据了解,犯罪嫌疑人因屡次以电子支付扫码但不付款的方式实施诈骗,被警方依法行拘。

既然没有付款,商家为何没能及时发现呢?记者发现,此类骗局中骗子一般是通过两种方式完成欺诈。第一种是利用P图技术,伪造支付成功的界面,让商家误以为完成了支付;第二种是利用语音播报,以假乱真。这种情况下,骗子首先会测试商家收款时是否有语音播报的提示,如有的话,用另一台手机也设置语音到账播报功能,付款时假装扫码支付,实则是付款到自己的另一个手机账户上,让商家听到语音提示后误以为完成了支付。

通常,街边的小商贩忙于招揽生意,或是出于人与人之间的信任,或是一时大意,往往就忽略了这些潜在的风险,让诈骗分子钻了空子。民警提醒:在日常经营活动中,商家要时常注意自己的收款二维码,发现有异常一定要及时检查,防止二维码被人“调包”。在顾客付款后,要及时确认资金是否入账,现如今网络延迟现象已极少发生,扫码后资金迟迟未入账情况一定要引起警惕。消费者与商家在进行交易时,要当面确认好商品和钱款,以免事后发生利益损失。

Tips:收款不能大意,既要看好自己的收款码是否被掉包,又要实时关注收款是否到账,谨防落入诈骗分子的圈套。

案例四:明明是收款为何变成付款?条形码18位数字泄露了

只是报了条形码上的18位数字,能有什么风险呢?这其实大错特错了。

广州越秀警方表示,在工作中发现一种专门针对餐饮店,利用员工对“付款码”和“收款码”不熟悉而实施诈骗的手法。诈骗分子通过拨打餐厅订餐电话谎称消费,在商议付款方式时,诱导餐厅员工提供支付宝付款条形码18位数字,从而由付款变收款。

根据警方通报,某奶茶店员工小麦接到一个订餐电话,对方称可以先付款,晚一点儿再到店里取餐,当小麦让对方把消费金额转账到他支付宝账号上时,对方表示要用另外一种方式转账。于是,小麦按照对方的指引打开了自己的支付宝,并点击进入首页上方的“付钱”项,随后对方要求小麦把页面上方的一串18位数字告诉给他,说是用于付款,此时小麦并没有细想,便把付款码的18位数字在电话里读给了对方,对方称数字过期,要求小麦刷新后再报一次,小麦照做之后,对方说支付不成功,表示稍后直接去店铺购买,便匆匆挂断了电话。不久,小麦发现自己的支付宝有两笔支出,分别被消费了409元和399.82元,此时,小麦才反应过来,自己接到的是诈骗电话。

警方提示,付款码仅用于线下向对方付款时使用,付款码页面包括“二维码”和“条形码”,其中条形码下方有18位数字,商家可以手动输入条形码下方的数字完成交易。请勿透过其他途径泄露付款码页面的任何信息。

很多人不知道的是,商户可以手动输入条形码下方的18位数字完成交易。因此,一般在用户点击付款码数字时都会出现提示,“付款码数字仅用于支付时向收银员展示,请勿泄露以防诈骗”“把这串数字给别人,别人可以直接从你的账户中扣款,该数字只用于付款时展示给收银员”。目前,微信支付和支付宝的付款码服务,单笔付款金额1000元以下的交易,无需验证支付码或其他交易指令验证要素,超额需要验证支付码。此外,支付公司也有权根据实际情况调整用户的免密额度。

Tips:18位数字付款码=付款二维码=付款条形码,千万不能随意泄露自己的18位数字付款码,手机如有丢失要及时关闭付款功能,以防被盗取资金。

]]>
针对乌克兰的数据擦除攻击盛行!第四个新样本被发现 Wed, 18 May 2022 02:42:45 +0800 3月14日,研究人员再次发现针对乌克兰组织目标的数据破坏恶意软件CaddyWiper,能在受感染网络中跨系统执行数据删除。

ESET研究实验室解释称,“这种新型恶意软件会删除所连接驱动器内的用户数据与分区信息。”

“ESET遥测数据显示,目前已经有少量组织的几十个系统中出现该恶意软件的身影。”

全新恶意样本,编译完就被用于攻击

虽然设计目标是在所部署的Windows域内擦除数据,但CaddyWiper恶意软件会使用DsRoleGetPrimaryDomainInformation()函数来检查目标设备是否属于域控制器。如果是,则不会删除该域控制器上的数据。

这种设计很可能是攻击者设计的一种策略,即在目标组织的受感染网络内保持访问能力的前提下,不断擦除其他关键设备上的数据以干扰正常运营。

研究人员在某乌克兰组织的网络中发现了恶意软件样本。他们进行逆向分析时发现,该恶意软件当天刚刚编译完成,就马上被用于发动攻击。

ESET还表示,“CaddyWiper与此前披露的数据擦除软件HermeticWiper、IssacWIper或者任何其他恶意软件,均没有明显的代码相似性。我们手上的分析样本也没有经过数字签名。”

“与HermeticWiper的部署方式类似,我们观察到CaddyWiper也是通过GPO部署的,这表明攻击者已经事先控制了目标网络。”

今年第四次针对性数据擦除攻击

自今年年初以来,针对乌克兰的攻击活动中已经先后出现四种数据擦除恶意软件,除最新成员CaddyWiper外,其他有两种还是ESET研究实验室的分析人员发现,另外一种则被微软发现。

2月23日,就在俄罗斯军事攻击乌克兰的前一天,ESET研究人员发现一种被命名为HermeticWiper的数据擦除恶意软件。此恶意软件与勒索软件诱饵配合,共同被用于向乌克兰发动攻势。

2月24日,俄罗斯军事攻击乌克兰当天,ESET研究人员又发现了另一种被命名为IssacWiper的数据擦除程序,以及HermeticWizard新型蠕虫病毒(用于传播HermeticWiper的有效载荷)。

微软发现的是被命名为WhisperGate的擦除程序。这款恶意软件曾在今年1月中旬被用于向乌克兰发动数据擦除攻击,还将自身伪装成勒索软件。

微软公司总裁Brad Smith表示,这些针对乌克兰组织发动破坏性攻击的恶意软件“目标精确”。

此情此景,不禁让人联想到2017年曾对乌克兰等多国造成巨大影响的NotPetya恶意软件。事后归因认为,那场攻击与俄罗斯GRU相关的黑客组织Sandworm有关。

乌克兰安全局(SSU)在俄乌冲突爆发前表示,这类破坏性攻击属于“大规模混合战争”的组成部分。

]]>
本东映遭受网络攻击后,海贼王等热门动画剧集延迟 Wed, 18 May 2022 02:42:45 +0800 由于内部系统关闭,他们正在从攻击中恢复,新剧集的制作已被推迟。

动漫巨头东映周末遭遇网络攻击,导致热门动漫系列新剧集的播出延迟,包括《海贼王》和《Delicious Party Precure》。这个消息让备受好评的日本漫画海贼王的粉丝们非常失望,他们热切期待着该系列的第 1000 章的发布。

根据 Toei 和 ONE PIECE 的公告,动画工作室在 2022 年 3 月 6 日检测到未经授权访问他们的系统。次日,该公司发布通知称,作为安全预防措施,他们必须关闭所有内部系统,并对事件展开调查。调查还将确定威胁参与者是否在攻击期间窃取了数据,从而导致影响客户和业务合作伙伴的潜在数据泄露。

“我们目前正在调查细节,但我们也正在由外部专业机构进行调查,以确认是否包含有关客户和业务合作伙伴的信息以及个人信息,”东映在一份新闻声明中宣布。东映表示,他们正在与一家外部网络安全公司合作,以帮助他们进行调查并通知执法部门。

新动漫剧集延迟

东映动画发布了 有关情况的最新消息,通知他们的粉丝群,由于内部系统关闭,他们正在从攻击中恢复,新剧集的制作已被推迟。

因此,《勇者斗恶龙大王剑》、《Delicious Party Precure》、《数码宝贝幽灵游戏》和《ONE PIECE》新剧集的播出将延迟,直至另行通知。

东映动画是一家历史悠久的日本工作室,成立于 1948 年,制作了龙珠、美少女战士、变形金刚、数码宝贝和魔神 Z 等热门系列。

《海贼王》新剧集的制作延迟影响了全球整个广播公司链,包括 Netflix、Funimation 和 Crunchyroll。在日本,《海贼王》一直是收视率排名前五的动漫节目,2016 年每月有 200 万次观看。这个数字在过去五年中可能显着增加。

]]>
育碧遭遇网络攻击,造成服务暂时中断 Wed, 18 May 2022 02:42:45 +0800 近日,有关育碧遭到网络攻击的谣言在网上流传,而数据勒索组织LAPSUS$则表明这并不是留言,他们已经入侵了育碧。起因在于近期的多个用户报告了访问游戏的某些服务出现问题,最终育碧公布遭遇了“网络安全事件”才造成服务的暂时中断。

对此,育碧发表了一则公告,公告称:“上周,我们经历了一起网络安全事件,导致我们的游戏、系统和服务暂时中断。我们的IT团队正在与外部专家合作调查该问题。以防万一,我们启动了全公司范围的密码重置。此外,我们可以保证所有的游戏和服务都在正常运行,并且目前没有证据显示因为此事件而倒是的玩家个人信息泄露。”

经过专家的调查,并没有找出有数据泄露的迹象,相关的服务也在正常运行。对于该事件目前也没有过多的信息,也许Lapsus$团伙可能已经破坏了公司网络并泄露了内部数据,毕竟该网络犯罪团伙近期从已经披露数据泄露事件的巨头公司(包括NVIDIA和三星)那里窃取了敏感数据。上周四时,Lapsus$勒索软件团伙宣布他们开始招募受雇于科技巨头和ISP的内部人员,这些公司包括微软、苹果、EA Games和IBM。他们的目标范围主要以电信公司为主,如Claro、Telefonica和AT&T。

这并不是育碧第一次遭受网络攻击,去年12月,这家游戏公司就曾被爆出数据泄露事件,导致未经授权就可以访问“舞力全开”的用户数据,该安全漏洞是由错误配置引起的,不过问题已得到迅速解决。在2020年10月,Egregor勒索软件团伙袭击了游戏开发商Crytek,并泄露了据称从育碧系统中窃取的文件。

]]>
日本电装德国分部大量机密数据被窃取 黑客威胁将公开 Wed, 18 May 2022 02:42:45 +0800 丰田汽车旗下零部件制造商日本电装于13日宣布,其德国当地法人受到了网络攻击。该公司确认其网络感染了勒索软件。被认定发动了此次攻击的黑客集团已经发布了勒索声明。公司称虽然目前并没有立刻对公司经营造成影响,但是“关于受害的详细情况正在调查中”。公司已向德国当地政府提交了受害报告。

据信息安全公司三井物产安全咨询的吉川孝志说,13日,在操纵勒索软件的新兴网络犯罪集团“Pandora(潘多拉)”的主页上刊登了“盗取并公开电装的机密数据”的声明。

数据为1.4TB,文件超过15万7千份,内容为设计图、订购书扫描件、邮件和打印机的印刷数据等。电装并未明确表示有无被索要赎金,只称“详细情况正在确认中”。另一方面,公司未确认对其全球所有生产基地的影响,表示将继续正常运行。

近段时间黑客勒索事件猖獗,从英伟达到三星、环球晶等跨国公司,都受到了来自黑客组织的威胁。近期英伟达与黑客组织Lapsus$的攻防战让很多人开了眼界,尽管最终英伟达并未能挽回数据,但也让各行各业意识到了构建自身网络安全的重要性。

]]>
《安联智库-网安周报》2022-03-13 Wed, 18 May 2022 02:42:45 +0800

1、我国互联网遭受境外网络攻击

  国家互联网应急中心监测发现,2月下旬以来,我国互联网持续遭受境外网络攻击,境外组织通过攻击控制我境内计算机,进而对俄罗斯、乌克兰、白俄罗斯进行网络攻击。

  经分析,这些攻击地址主要来自美国,仅来自纽约州的攻击地址就有10余个,攻击流量峰值达36Gbps,87%的攻击目标是俄罗斯,也有少量攻击地址来自德国、荷兰等国家。

据悉,国家互联网应急中心已及时对以上攻击行为最大限度予以处置。

2、卡巴斯基或遭攻击,黑客称窃取了40000份文件资料

俄罗斯卡巴斯基是全球知名的安全软件,很多人认为卡巴斯基的安全性是非常可靠的,但近日有黑客声称获取了卡巴斯基的源代码,以及俄罗斯核安全研究所的40000份文件资料。

据外媒报道,这次攻击其实并不是黑客攻入卡巴斯基系统,而是NB65黑客组织攻击俄罗斯核安全研究所,窃取了40000份文件资料后遭遇的池鱼之殃。黑客首先入侵了研究所,在获取的资料中找到了卡巴斯基有关的内容。分析人士表示,泄露的数据,很有可能是卡巴斯基为该研究所提供安全服务的信息。

而NB65黑客组织公开表示,已经找到了卡巴斯基的源代码,并威胁在12个小时内放出这些源代码。

3、最新通报!5起违反保密法律法规典型案例

2021年,浙江省委保密委员会办公室、省国家保密局依法依规查处了一批违反保密法律法规的案件。现通报5起典型案例。

1、杭州市某局工作人员违规用手机拍摄、微信传递涉密文件。

有关部门工作中发现,2020年6月,杭州市某局办公室一级调研员李某某违规将1份秘密级文件交给借调人员朱某某,用以文稿起草中参考。朱某某违规用手机拍摄其中2页,并存储在手机中。同年底,朱某某将文件图片发至单位微信工作群,供其他同事参阅,造成泄密。案件发生后,朱某某受到党内警告处分,李某某受到通报批评并取消当年评优资格处理。

2、宁波市某区工作人员违规用手机拍摄、微信传递内部文件。

2021年3月,宁波市某区工作人员施某某看到同一办公室收文人员接收到上级党委1份内部文件后,用手机拍摄该文件,通过微信点对点方式发送给某银行工作人员何某,何某接收到图片后,将文件编号截去,通过微信点对点方式发送给某公司职员徐某某,徐某某又将该图片发送至同学微信群,从而引发该内部文件在网上大范围扩散、炒作,给相关工作造成极大被动。案件发生后,施某某、何某受到党内严重警告、行政记过处分,徐某某受到行政警告处分,其他相关人员也受到了处分。

3、台州市某市工作人员违规用手机拍摄、微信转发涉密文件。

2021年5月,台州市某市工作人员胡某某将1份秘密级文件复印件交给徐某某,并提出保密要求。随后,徐某某将文件交给卢某保管,并让其通知各支部集中传达学习,卢某违规用手机拍摄该文件并传至微信群。群内成员潘某某看到文件后,将该文件照片转发至本单位微信群,导致文件泄密。案件发生后,卢某受到党内警告处分,潘某某受到行政警告处分。

4、某省属高校老师非法扫描上传秘密级文件资料。

2021年6月,某省属高校下属机构工作人员莫某某到省外出差期间,违规复印涉密合同。回校后,莫某某将2份涉密合同复印件等材料交给某学院教师汤某某,汤某某让学生用手机APP扫描该涉密合同复印件,并存储在连接互联网的电脑中。此后,汤某某、莫某某与该校其他人员、省外某公司人员之间多次通过微信转发含有该涉密合同的PDF文档。案件发生后,汤某某受到党内警告处分,莫某某受到行政警告处分,其他4名相关人员受到取消年度评优资格等处理。

5、某省直单位工作人员违规在互联网上传输标密文件资料。

2021年5月,某省直单位工作人员张某某登录某“云平台”后提交了1份标注为秘密级的文件,造成该文件信息泄密。案件发生后,有关部门对张某某进行了诫勉谈话,并责成其深刻检讨。

各地各部门要认真汲取上述案例的深刻教训,举一反三,常态化开展保密法律法规和基本知识教育,压实保密工作责任,形成闭环管理机制,确保国家秘密和工作秘密安全,为浙江高质量发展建设共同富裕示范区保驾护航。

4、俄罗斯多个联邦政府网站遭遇供应链攻击:显示篡改内容

本周二,俄罗斯称继多家政府机构使用的旨在追踪访客的数据小工具遭不明黑客攻击后,其联邦机构网站再次遭供应链攻击。

这次遭攻击的政府站点包括能源部、联邦国家统计委员会、联邦监狱服务、联邦法警局、联邦反垄断局、文化部和其它国家机构网站。

周二晚,攻击者在这些网站上发布了自己的内容并拦截了对这些网站的访问权限。俄罗斯经济发展部的新闻服务告知Interfax 称,“直接攻陷这些网站很难,因此攻击者通过外部服务攻击资源,获得权限,之后展示不正确的内容。数据工具被黑后,黑客在网页上发布了不正确的内容。该事件立即得到遏制。”

遭到篡改的页面

俄罗斯数字化发展部声称国家机构网站在事件发生一小时内恢复正常。

俄乌双方互相攻击对方网络

这起最新事件发生在俄罗斯发布了声称对俄罗斯网络发动DDoS 攻击的1.7万多个IP地址后。俄罗斯联邦安全局国家计算机事件协调中心 (NKTsKI) 提醒俄罗斯组织机构注意采取措施应对信息安全威胁并共享攻击防御指南。

这些提醒是在乌克兰副总理 Mykhailo Fedorov 宣布创立“IT军队”支持该国“在网络前线战斗”之后发出的。乌克兰国防部开始招募乌克兰地下黑客社区攻击俄罗斯且受“大规模混合战”之后,乌克兰IT军队创建信息披露。

本周一,俄罗斯数字化发展部否认俄罗斯计划从世界web断网。一名发言人指出,“国外针对俄罗斯站点的攻击永不停止。我们已准备好应对各种情况,确保俄罗斯在线资源的可获得性。目前未有计划将国内网络从互联网切断。”

]]>
僵尸网络Emotet卷土重来,已感染179个国家的13万台设备 Wed, 18 May 2022 02:42:45 +0800 曾经臭名昭著的僵尸网络Emotet在2021年初被全球执法部门重拳出击后消失了一段时间,如今,它已卷土重来,而且势头凶猛。据Securityaffairs等网站消息,Emotet自去年11月复出以来发展迅猛,已经感染了约13万台主机,遍布179个国家。

Emotet 于 2014 年被首次发现,最初是作为一种银行木马病毒进行传播,但随着发展逐渐囊括了越来越多的恶意程序,如Trickbot 和 QBot,以及勒索软件Conti、ProLock、Ryuk和 Egregor等,构建成了一个庞大的僵尸网络。2021 年 11 月,来自多家网络安全公司(Cryptolaemus、GData和 Advanced Intel)的研究人员报告称,攻击者正利用TrickBot 恶意软件在受感染设备上投放 Emote 加载程序,专家们跟踪了旨在利用TrickBot的基础设施重建Emotet僵尸网络的活动。

研究人员指出,新的 Emotet具有了一些新功能:

除了规避检测和分析,还能对网络流量进行加密,以及将进程列表分离到自己的模块中;

采用椭圆曲线加密 (ECC) 方案,代了用于网络流量保护和验证的 RSA 加密;

新版本只有在与C2建立连接后才会部署进程列表模块;

添加了更多信息收集功能,以更好地进行系统分析,而以前,Emotet 只会发回正在运行的进程列表。

但与之前的版本相似,Emotet 的大部分C2基础设施位于美国和德国,其次是法国、巴西、泰国、新加坡、印度尼西亚、加拿大、英国和印度;在机器人(Bot)方面,则重点分布在日本、印度、印度尼西亚、泰国、南非、墨西哥、美国、中国、巴西和意大利。分析人士认为,排名靠前的国家是由于这些地区拥有较多过时且易受攻击的Windows设备。

去年年初,由荷兰、德国、美国、英国、法国、立陶宛、加拿大和乌克兰组成的执法部门曾开展行动,破坏了Emotet相关基础设施。由此看来,这次行动并不彻底,导致Emotet在沉寂大半年后死灰复燃。

]]>
最新通报!5起违反保密法律法规典型案例 Wed, 18 May 2022 02:42:45 +0800 2021年,浙江省委保密委员会办公室、省国家保密局依法依规查处了一批违反保密法律法规的案件。现通报5起典型案例。

1、杭州市某局工作人员违规用手机拍摄、微信传递涉密文件。

  有关部门工作中发现,2020年6月,杭州市某局办公室一级调研员李某某违规将1份秘密级文件交给借调人员朱某某,用以文稿起草中参考。朱某某违规用手机拍摄其中2页,并存储在手机中。同年底,朱某某将文件图片发至单位微信工作群,供其他同事参阅,造成泄密。案件发生后,朱某某受到党内警告处分,李某某受到通报批评并取消当年评优资格处理。

2、宁波市某区工作人员违规用手机拍摄、微信传递内部文件。

  2021年3月,宁波市某区工作人员施某某看到同一办公室收文人员接收到上级党委1份内部文件后,用手机拍摄该文件,通过微信点对点方式发送给某银行工作人员何某,何某接收到图片后,将文件编号截去,通过微信点对点方式发送给某公司职员徐某某,徐某某又将该图片发送至同学微信群,从而引发该内部文件在网上大范围扩散、炒作,给相关工作造成极大被动。案件发生后,施某某、何某受到党内严重警告、行政记过处分,徐某某受到行政警告处分,其他相关人员也受到了处分。

3、台州市某市工作人员违规用手机拍摄、微信转发涉密文件。

  2021年5月,台州市某市工作人员胡某某将1份秘密级文件复印件交给徐某某,并提出保密要求。随后,徐某某将文件交给卢某保管,并让其通知各支部集中传达学习,卢某违规用手机拍摄该文件并传至微信群。群内成员潘某某看到文件后,将该文件照片转发至本单位微信群,导致文件泄密。案件发生后,卢某受到党内警告处分,潘某某受到行政警告处分。

4、某省属高校老师非法扫描上传秘密级文件资料。

  2021年6月,某省属高校下属机构工作人员莫某某到省外出差期间,违规复印涉密合同。回校后,莫某某将2份涉密合同复印件等材料交给某学院教师汤某某,汤某某让学生用手机APP扫描该涉密合同复印件,并存储在连接互联网的电脑中。此后,汤某某、莫某某与该校其他人员、省外某公司人员之间多次通过微信转发含有该涉密合同的PDF文档。案件发生后,汤某某受到党内警告处分,莫某某受到行政警告处分,其他4名相关人员受到取消年度评优资格等处理。

5、某省直单位工作人员违规在互联网上传输标密文件资料。

  2021年5月,某省直单位工作人员张某某登录某“云平台”后提交了1份标注为秘密级的文件,造成该文件信息泄密。案件发生后,有关部门对张某某进行了诫勉谈话,并责成其深刻检讨。

  各地各部门要认真汲取上述案例的深刻教训,举一反三,常态化开展保密法律法规和基本知识教育,压实保密工作责任,形成闭环管理机制,确保国家秘密和工作秘密安全,为浙江高质量发展建设共同富裕示范区保驾护航。

]]>
最新通报!5起违反保密法律法规典型案例 Wed, 18 May 2022 02:42:45 +0800 2021年,浙江省委保密委员会办公室、省国家保密局依法依规查处了一批违反保密法律法规的案件。现通报5起典型案例。

1、杭州市某局工作人员违规用手机拍摄、微信传递涉密文件。

  有关部门工作中发现,2020年6月,杭州市某局办公室一级调研员李某某违规将1份秘密级文件交给借调人员朱某某,用以文稿起草中参考。朱某某违规用手机拍摄其中2页,并存储在手机中。同年底,朱某某将文件图片发至单位微信工作群,供其他同事参阅,造成泄密。案件发生后,朱某某受到党内警告处分,李某某受到通报批评并取消当年评优资格处理。

2、宁波市某区工作人员违规用手机拍摄、微信传递内部文件。

  2021年3月,宁波市某区工作人员施某某看到同一办公室收文人员接收到上级党委1份内部文件后,用手机拍摄该文件,通过微信点对点方式发送给某银行工作人员何某,何某接收到图片后,将文件编号截去,通过微信点对点方式发送给某公司职员徐某某,徐某某又将该图片发送至同学微信群,从而引发该内部文件在网上大范围扩散、炒作,给相关工作造成极大被动。案件发生后,施某某、何某受到党内严重警告、行政记过处分,徐某某受到行政警告处分,其他相关人员也受到了处分。

3、台州市某市工作人员违规用手机拍摄、微信转发涉密文件。

  2021年5月,台州市某市工作人员胡某某将1份秘密级文件复印件交给徐某某,并提出保密要求。随后,徐某某将文件交给卢某保管,并让其通知各支部集中传达学习,卢某违规用手机拍摄该文件并传至微信群。群内成员潘某某看到文件后,将该文件照片转发至本单位微信群,导致文件泄密。案件发生后,卢某受到党内警告处分,潘某某受到行政警告处分。

4、某省属高校老师非法扫描上传秘密级文件资料。

  2021年6月,某省属高校下属机构工作人员莫某某到省外出差期间,违规复印涉密合同。回校后,莫某某将2份涉密合同复印件等材料交给某学院教师汤某某,汤某某让学生用手机APP扫描该涉密合同复印件,并存储在连接互联网的电脑中。此后,汤某某、莫某某与该校其他人员、省外某公司人员之间多次通过微信转发含有该涉密合同的PDF文档。案件发生后,汤某某受到党内警告处分,莫某某受到行政警告处分,其他4名相关人员受到取消年度评优资格等处理。

5、某省直单位工作人员违规在互联网上传输标密文件资料。

  2021年5月,某省直单位工作人员张某某登录某“云平台”后提交了1份标注为秘密级的文件,造成该文件信息泄密。案件发生后,有关部门对张某某进行了诫勉谈话,并责成其深刻检讨。

  各地各部门要认真汲取上述案例的深刻教训,举一反三,常态化开展保密法律法规和基本知识教育,压实保密工作责任,形成闭环管理机制,确保国家秘密和工作秘密安全,为浙江高质量发展建设共同富裕示范区保驾护航。

]]>
俄罗斯多个联邦政府网站遭遇供应链攻击:显示篡改内容 Wed, 18 May 2022 02:42:45 +0800 本周二,俄罗斯称继多家政府机构使用的旨在追踪访客的数据小工具遭不明黑客攻击后,其联邦机构网站再次遭供应链攻击。

这次遭攻击的政府站点包括能源部、联邦国家统计委员会、联邦监狱服务、联邦法警局、联邦反垄断局、文化部和其它国家机构网站。

周二晚,攻击者在这些网站上发布了自己的内容并拦截了对这些网站的访问权限。俄罗斯经济发展部的新闻服务告知Interfax 称,“直接攻陷这些网站很难,因此攻击者通过外部服务攻击资源,获得权限,之后展示不正确的内容。数据工具被黑后,黑客在网页上发布了不正确的内容。该事件立即得到遏制。”

俄罗斯数字化发展部声称国家机构网站在事件发生一小时内恢复正常。

俄乌双方互相攻击对方网络

这起最新事件发生在俄罗斯发布了声称对俄罗斯网络发动DDoS 攻击的1.7万多个IP地址后。俄罗斯联邦安全局国家计算机事件协调中心 (NKTsKI) 提醒俄罗斯组织机构注意采取措施应对信息安全威胁并共享攻击防御指南。

这些提醒是在乌克兰副总理 Mykhailo Fedorov 宣布创立“IT军队”支持该国“在网络前线战斗”之后发出的。乌克兰国防部开始招募乌克兰地下黑客社区攻击俄罗斯且受“大规模混合战”之后,乌克兰IT军队创建信息披露。

本周一,俄罗斯数字化发展部否认俄罗斯计划从世界web断网。一名发言人指出,“国外针对俄罗斯站点的攻击永不停止。我们已准备好应对各种情况,确保俄罗斯在线资源的可获得性。目前未有计划将国内网络从互联网切断。”

]]>
卡巴斯基或遭攻击,黑客称窃取了40000份文件资料 Wed, 18 May 2022 02:42:45 +0800 俄罗斯卡巴斯基是全球知名的安全软件,很多人认为卡巴斯基的安全性是非常可靠的,但近日有黑客声称获取了卡巴斯基的源代码,以及俄罗斯核安全研究所的40000份文件资料。

据外媒报道,这次攻击其实并不是黑客攻入卡巴斯基系统,而是NB65黑客组织攻击俄罗斯核安全研究所,窃取了40000份文件资料后遭遇的池鱼之殃。黑客首先入侵了研究所,在获取的资料中找到了卡巴斯基有关的内容。分析人士表示,泄露的数据,很有可能是卡巴斯基为该研究所提供安全服务的信息。

而NB65黑客组织公开表示,已经找到了卡巴斯基的源代码,并威胁在12个小时内放出这些源代码。

]]>
我国互联网遭受境外网络攻击 Wed, 18 May 2022 02:42:45 +0800   国家互联网应急中心监测发现,2月下旬以来,我国互联网持续遭受境外网络攻击,境外组织通过攻击控制我境内计算机,进而对俄罗斯、乌克兰、白俄罗斯进行网络攻击。

  经分析,这些攻击地址主要来自美国,仅来自纽约州的攻击地址就有10余个,攻击流量峰值达36Gbps,87%的攻击目标是俄罗斯,也有少量攻击地址来自德国、荷兰等国家。

 据悉,国家互联网应急中心已及时对以上攻击行为最大限度予以处置。


]]>
Firefox再爆两个0Day漏洞,建议尽早升级 原创 LouisJack FreeBuf Wed, 18 May 2022 02:42:45 +0800 近日,Mozilla对火狐(Firefox)网络浏览器进行了带外安全更新,其中包含了两个影响很大的安全漏洞。数据显示,这两个漏洞正在被广泛利用。

这两个零日漏洞被追踪为CVE-2022-26485和CVE-2022-26486,被认为属于Use-After-Free 漏洞,其主要影响可扩展样式表语言转换(XSLT)参数处理和WebGPU进程间通信(IPC)框架。

XSLT是一种基于XML的语言,用于将XML文档转换成网页或PDF文档,而WebGPU是一种新兴的web标准,也被认为是当前WebGL JavaScript图形库的继承者。

以下是对这两个缺陷的具体描述:

CVE-2022-26485 - 在处理过程中删除XSLT参数可能会导致可利用的Use-After-Free 漏洞

CVE-2022-26486 - WebGPU IPC框架中一个意料之外的消息可能会导致Use-After-Free漏洞和可利用的sandbox escape

而通过利用Use-After-Free漏洞,这些缺陷可能被用来破坏有效数据,并在受损的系统上执行任意代码。

Mozilla已经承认收到受入侵的报告,且确认了这两个漏洞的武器化,但没有透露任何与入侵有关的技术细节,也没有透露利用这些漏洞的恶意者的身份。

关于本次入侵,外界普遍认为是奇虎360的安全研究人员王刚、刘家磊、杜思航、黄毅和杨康最先发现并报告了这些缺陷。

鉴于这些漏洞正被积极利用,建议用户尽快升级到Firefox 97.0.2、Firefox ESR 91.6.1、Firefox for Android 97.3.0、Firefox Focus 97.3.0和Firefox Thunderbird 91.6.2版本。

]]>
中国黑客小组对别国网络攻击?外交部:这种“贼喊捉贼”的伎俩是不会得逞的 Wed, 18 May 2022 02:42:45 +0800 财联社3月9日电,外交部发言人赵立坚今日主持例行记者会,有记者就个别国家称受到中国黑客小组网络攻击一事提问。对此,赵立坚回应时表示,“我们多次重申,中国依法打击任何形式黑客攻击,更不会对黑客攻击进行鼓励支持和纵容。”赵立坚介绍,不久前,北京奇安盘古实验室、360公司接连发布报告,发现隶属于美国国安局的黑客组织,对包括中国在内的全球范围内近50个国家和地区进行长达十几年的恶意网络活动,严重危害中国关键基础设施安全、海量个人数据安全以及商业和技术运营,严重影响了中美在网络空间的互信,美方尚未就此作出任何解释。赵立坚指出,与此同时,美方继续通过各种方式持续散布有关中国的虚假信息,试图转移国际社会的注意力,这种“贼喊捉贼”的伎俩是不会得逞的。

]]>
东欧大型加油站遭勒索攻击,官网、APP等全部下线 Wed, 18 May 2022 02:42:45 +0800 东欧大型加油站服务商Rompetrol遭到Hive勒索软件攻击,影响到了公司“大部分IT服务”,官网、APP全部下线,顾客只能使用现金和刷卡支付;

据悉,攻击者还入侵了Petromdia炼油厂的内部IT网络,但运营未受到影响。

上周末(3月6日),东欧国家罗马尼亚Rompetrol加油站遭到勒索软件攻击,官方网站及油站Fill&Go服务被迫下线。

Rompetrol是罗马尼亚国内最大炼油厂Petromidia Navodari的配套油站运营商,该炼油厂的年油品加工能力超过500万吨。

Rompetrol母公司KMG International是一家国际大型石油公司,在欧洲、中亚及北非的15个国家均有业务覆盖。KMG的主要经营内容涉及炼油、营销、贸易、生产,外加钻井、EPCM(设计采购与施工管理)与运输等石油工业服务。

 “Fill&Go”油站服务与公司网站均已下线

罗马尼亚的油品供应商Rompetrol日前宣布,正在努力处理一波“复杂的网络攻击”。

外媒BleepingComputer了解到,此次攻击的幕后黑手正是Hive勒索软件团伙,对方开出了高达数百万美元的赎金要求。

攻击发生后,Rompetrol在脸书上发布公告称,“今晚,Rompetrol遭遇了一起复杂网络攻击。”

Rompetrol公司在给员工的邮件中透露,这次攻击是在当地时间周日(3月6日)21:00被检测到的,影响到了公司“大部分IT服务”。

截至目前,KMG和Rompetrol的官网仍无法访问,Fill&Go应用程序(安全内参注:加油服务APP)也处于瘫痪状态。值得庆幸的是,该公司的电子邮件系统(Microsoft Outlook)仍在正常运行。

KMG已将事件上报给罗马尼亚国家网络安全局(DNSC),安全局一直与该公司保持联络,帮助其解决问题并提供必要帮助。

Rompetrol公司表示,“为了保护数据,公司暂停了网站与Fill&Go服务的正常运营,车队与个人客户暂时无法访问。”

“Rompetrol加油站仍在正常运营,客户可以选择以现金或银行卡支付油费。”

外媒BleepingComputer获得的匿名消息显示,攻击者还入侵了Petromdia炼油厂的内部IT网络。但Rompetrol表示,Petromidia炼油厂的运营并未受到影响。

 勒索团伙要求支付200万美元赎金

据悉,此次对KMG子公司Rompetrol发动突击的,是Hive勒索软件团伙。

Hive团伙要求Rompetrol支付200万美元赎金,以换取解密器和不泄露被盗数据的承诺。

Hive勒索软件团伙的攻击频率比他们数据泄露网站发布的内容更加频繁。自2021年6月下旬被曝光以来,相关附属团伙平均每天对三家公司发动攻击。

FBI此前发布公告提到,Hive勒索软件团伙的典型特征是拥有多变的策略、技术与攻击程序,导致受害者很难抵挡其攻势。

该团伙曾在去年对Memorial Health System发动攻击,导致手术与诊断被取消,患者数据被盗。

在本次攻击发生前,KMG曾在周末宣布另一处炼油厂Rompetrol Rafinare将于3月11日至4月3日期间暂停运营以开展计划内维护:

KMG表示,“技术性停产是保持炼油厂良好运作的必要条件,也是集团总体战略的一部分。我们在战略中制定了精确的活动日程表,包括每四年进行一轮大修、每两年安排一次技术性停产。”

]]>
数据中心机房的噩梦--UPS不间断电源设备中发现的三个严重漏洞可让攻击者远程操纵数百万企业设备的电源 Wed, 18 May 2022 02:42:45 +0800 Armis公司研究人员在APC Smart-UPS设备中发现了一组三个关键的零日漏洞,这些漏洞可让远程攻击者接管 Smart-UPS设备并对物理设备和 IT 资产进行极端攻击。不间断电源 (UPS)设备为关键任务资产提供应急备用电源,可在数据中心、工业设施、医院等场所找到。APC是施耐德电气的子公司,是UPS设备的领先供应商之一,在全球销售了超过2000万台设备。如果被利用,这些被称为TLStorm的漏洞允许完全远程接管Smart-UPS设备并能够进行极端的网络物理攻击。根据Armis的数据,近10家公司中有8家暴露于TLSstorm漏洞。

一、TLSstorm漏洞概述

这组发现的漏洞包括云连接Smart-UPS设备使用的TLS实施中的两个严重漏洞,以及第三个严重漏洞,即设计缺陷,其中所有Smart-UPS设备的固件升级都没有正确签名和验证。其中两个漏洞涉及UPS和施耐德电气云之间的TLS连接。支持SmartConnect功能的设备会在启动时或云连接暂时丢失时自动建立TLS连接。

CVE-2022-22806:TLS 身份验证绕过:TLS 握手中的状态混淆导致身份验证绕过,导致使用网络固件升级进行远程代码执行 (RCE)。

CVE-2022-22805:TLS 缓冲区溢出:数据包重组 (RCE) 中的内存损坏错误。

这两个漏洞可以通过未经身份验证的网络数据包触发,无需任何用户交互(ZeroClick 攻击)。

CVE-2022-0715:可通过网络更新的未签名固件升级 (RCE)。

第三个漏洞是设计缺陷,受影响设备上的固件更新未以安全方式进行加密签名。这意味着攻击者可以制作恶意固件并使用各种路径(包括Internet、LAN或USB驱动器)进行安装。这可以让攻击者在此类 UPS设备上建立持久的持久性,这些设备可以用作网络中的据点,可以从中进行额外的攻击。

滥用固件升级机制中的缺陷正在成为APT的标准做法,正如最近在对Cyclops Blink恶意软件的分析中所详述的那样,嵌入式设备固件的不当签名是各种嵌入式系统中反复出现的缺陷。Armis之前在Swisslog PTS系统中发现的漏洞( PwnedPiper , CVE-2021-37160) 是类似漏洞的结果。

Armis已于2021年10月31日向施耐德电气披露了这些漏洞。此后,Armis与施耐德电气合作创建并测试了一个补丁,该补丁现已普遍可用。

在当地时间3月8日发布的安全公告中,施耐德电气表示,这些漏洞被归类为“严重”和“高严重性”,影响 SMT、SMC、SCL、SMX、SRT和SMTL系列产品。该公司已开始发布包含针对这些漏洞的补丁的固件更新。对于没有固件补丁的产品,施耐德提供了一系列缓解措施来降低被利用的风险。

]]>
网络攻击导致全球最大数字报纸发行平台关闭数天 Wed, 18 May 2022 02:42:45 +0800 PressReader是一家为数千种实体报纸杂志提供服务的数字平台。上周四遭遇网络攻击导致系统宕机后,该公司最新披露称正在逐步恢复正常。

这次业务中断在3月3日首次公布,随后被证实为网络攻击。

PressReader平台收录了世界各地7000多种刊物,客户包括报纸、图书馆及博物馆等多个领域。

正逐步恢复关闭期间的刊物发布

PressReader在推特和脸书上表示,内容处理系统现已完全恢复正常,3月6日之后接收到的所有刊物均发布完成。

虽然接收功能已经恢复,但仍有部分刊物在PressReader上的发布进度存在延迟。

该公司解释道,“我们正积极与各家出版商联系,希望尽快接收并处理这些刊物。3月3日至3月5日之间未能及时发布的刊物,将在未来几天内陆续上线。而3月3日之后的杂志内容,则将从3月7日星期一上午9点(PST)起恢复正常处理流程。”

“我们仍在调查事件全貌。目前能够透露的是,PressReader团队一直夜以继日地工作,希望确保与合作伙伴一道捍卫新闻自由、促进高质量新闻的传播。”

该公司在上周日(3月6日)提到,PressReader温哥华与菲律宾团队一直在加班加点推进服务恢复。该公司表示会优先考虑欧洲、非洲与中东地区业务,先将这部分系统恢复至满负荷状态。

太多读者反馈故障,报纸不堪问询

由于影响面太大,大量用户涌入推特与脸书帖子,抱怨没法阅读自己喜爱的刊物。数百家报纸向读者们发出私信,解释无法查看数字刊物的原因。

特别是那些将PressReader平台作为唯一电子版发布渠道的报社,更是逐字逐句转载了PressReader的声明。

有一家报社表示,“由于此次服务中断,我们的客服中心出现了来电数量猛增与人工坐席长时间繁忙等状况。”他们呼吁读者们别再就此事来电咨询,耐心等待报社方面的公开消息。

公司称并非唯一受害者

PressReader表示,内部安全团队在3月5日已经确定,此次事件属于网络攻击事件,不过并未说明是否属于勒索软件攻击。

但在初步声明中,PressReader声称自己并未唯一的受害者。过去几周内,曾经出现一波针对北美多家企业的大规模“安全事件”,PressReader受到的攻击只是其中一例。

PressReader强调,尚无证据表明有客户数据受到侵害,但在后续的声明中再未提及这一判断。

值得一提的是,这次攻击发生的一周前,PressReader从服务目录中删除了几十家俄罗斯出版社,并表示要帮助乌克兰民众在俄军军事行动期间继续获取新闻资讯。

2月25日,PressReader公司在社交媒体上提到,“为了帮助乌克兰民众获取最新信息,我们将免费向在乌个人用户免费开放所有PressReader内容。期间产生的一切费用将由PressReader承担并支付给出版商,直至另行通知。”

]]>
APC UPS 零日漏洞可远程烧毁设备、断电 Wed, 18 May 2022 02:42:45 +0800 近期跟进的一组三个关键的零日漏洞TLSstorm可以让黑客从施耐德电气的子公司APC控制不间断电源(UPS)设备,这种情况将影响广泛用于各种活动领域的APC Smart-UPS系统,包括政府、医疗保健、工业、IT 和零售业,其中UPS设备充当应急电源备用解决方案,并存在于数据中心、工业设施、医院等关键任务环境中。

作为一家为企业连接设备提供安全解决方案的公司,Armis研究人员在APC的 SmartConnect和Smart-UPS 系列产品中发现了三个问题。其中两个漏洞 CVE-2022-22805 和CVE-2022-22806 存在于TLS(传输层安全)协议的实施中,该协议将具有“SmartConnect”功能的Smart-UPS设备连接到施耐德电气管理云。而第三个标识为 CVE-2022-0715的漏洞,几乎跟所有的APC Smart-UPS 设备固件有关,该固件未经过加密签名,且安装在系统上时无法验证其真实性。虽然固件是加密的(对称的),但它缺少加密签名,从而允许攻击者创建它的恶意版本并将其作为更新交付给目标UPS设备以实现远程代码执行 (RCE)。

Armis研究人员能够利用该漏洞并构建恶意APC固件版本,该版本被Smart-UPS设备接受为官方更新,根据目标执行不同的过程:

具有SmartConnect云连接功能的最新Smart-UPS设备可以通过Internet从云管理控制台升级

可以通过本地网络更新使用网络管理卡 (NMC) 的旧 Smart-UPS 设备

大多数Smart-UPS设备也可以使用 USB 驱动器进行升级

根据Armis的调查表明,10家公司中就有8家公司使用易受攻击的APC UPS装置,考虑到他们所服务的敏感环境(医疗设施、ICS 网络、服务器机房),其影响可能会产生重大的物理后果。Armis发现的与TLS相关的漏洞似乎更严重,因为它们可以被未经身份验证的攻击者在没有用户交互的情况下利用,即所谓的零点击攻击。这两个漏洞都是因为从Smart-UPS 到施耐德电气服务器的TLS连接中不正确的TLS错误处理引起的。其中一个安全问题是由“TLS 握手中的状态混淆”引起的身份验证绕过,另一个是内存损坏错误。

不过研究人员不仅在报告里给出了所有三个TLSstorm漏洞的技术信息,也提供了一组保护 UPS设备的建议:

安装Schneider Electric网站上提供的补丁程序

如果您使用NMC,请更改默认NMC密码(“apc”)并安装公开签名的SSL证书,这样攻击者将无法截获新密码。

部署访问控制列表 (ACL),其中仅允许UPS设备通过加密通信与一小部分管理设备和施耐德电气云进行通信.

]]>
英特尔和Arm的CPU再被发现存在重大安全漏洞Spectre-HBB Wed, 18 May 2022 02:42:45 +0800 BHI是一种影响大多数英特尔和Arm CPU的新型投机执行漏洞,它攻击分支全局历史而不是分支目标预测。不幸的是,这些公司以前对Spectre V2的缓解措施也无法保护BHI的威胁,尽管AMD处理器大多是免疫的。消息传出后,供应商应该很快就会发布安全补丁,而最新得Linux内核已经打了补丁。

VUSec安全研究小组和英特尔周二联合披露了一个新的Spectre类投机执行漏洞,称为分支历史注入(BHI)或Spectre-HBB。

BHI是对Spectre V2(或Spectre-BTI)类型攻击的概念重新实现的证明。它影响到任何同样易受Spectre V2攻击的CPU,即使Spectre V2的缓解措施已经实施;它可以绕过英特尔的eIBRS和Arm的CSV2缓解措施。这些缓解措施可以保护分支目标注入,而新的漏洞允许攻击者在全局分支历史中注入预测器条目。BHI可以用来泄露任意的内核内存,这意味着像密码这样的敏感信息可以被泄露。

VUSec对此的解释如下:"BHI本质上是Spectre v2的扩展,我们利用全局历史来重新引入跨权限BTI的利用。因此,攻击者的基本原理仍然是Spectre v2,但通过跨权限边界注入历史(BHI),我们可以利用部署新的硬件内缓解措施的系统(即英特尔eIBRS和Arm CSV2)。"

该漏洞影响到自Haswell以来推出的任何英特尔CPU,包括Ice Lake-SP和Alder Lake。受影响的Arm CPU包括Cortex A15/A57/A65/A72/A73/A75/A76/A77/A78/X1/X2/A710、Neoverse N2/N1/V1和博通Brahma B15。

Arm的CVE ID是CVE-2022-23960,Intel使用的是CVE-2022-0001和CVE-2022-0002的ID。

英特尔发布了关于BHI漏洞的以下声明。"正如研究人员所证明的那样,这种攻击以前在大多数Linux发行版中都被默认缓解了。Linux社区已经从Linux内核5.16版本开始实施英特尔的建议,并正在将缓解措施回传到Linux内核的早期版本。英特尔发布了技术文件,描述了那些使用非默认配置的人的进一步缓解方案,以及为什么LFENCE; JMP缓解措施在所有情况下都是不够的"。

AMD CPU似乎对BHI有免疫力。据Phoronix称,默认使用Retpolines进行Spectre V2缓解的AMD处理器应该是安全的。

供应商的安全补丁应该很快就会发布。除了安装它们之外,研究人员建议禁用无特权的eBPF支持作为额外的预防措施。Linux已经将安全更新合并到其主线内核中。这些安全缓解措施是否会影响性能尚不清楚。

]]>
黑卫星?网络攻击导致数万名卫星网络用户断网 Wed, 18 May 2022 02:42:45 +0800 上周五(3月4日),有消息人士称,在俄罗斯对乌克兰发动军事行动时,欧洲成千上万卫星网络用户被迫下线,这可能是一次网络攻击。

涉乌克兰卫星网络瘫痪,数万用户断网

法国电信运营商Orange旗下公司Nordnet依托美国卫星运营商Viasat对外提供卫星互联网服务。Orange公司透露,2月24日Viasat遭遇“网络事件”后,Nordnet的网络服务也被迫瘫痪,“近9000名订户”无法正常上网。

图片

3月4日,英国卫星互联网服务商Bigblu Broadband的母公司Eutelsat也向法新社证实,目前Bigblu分布在德国、法国、匈牙利、希腊、意大利以及波兰等欧洲各国的4万名用户中,约有三分之一同样受到Viasat宕机事件的影响。

事实上,美国卫星运营商Viasat在上周三(3月2日)已经公开披露, “网络事件”导致“乌克兰及欧洲其他多个地区” 依赖其KA-SAT卫星的客户出现“部分网络中断”。

Viasat公司没有提供进一步细节,只表示已经通知“警察与政府合作伙伴”,并且正在“协助”调查。

法国太空司令部司令Michel Friedling将军称,发生了网络攻击。

 “过去几天以来,在俄乌军事冲突开始后不久,我们有一套覆盖欧洲特别是乌克兰的卫星网络,沦为网络攻击的受害者,导致数以万计的终端在攻击之下失去了用处。”他补充称,这里提到的卫星网络是Viasat民用网络。

俄罗斯航天局:黑客攻击卫星是一种战争行为

3月2日,俄罗斯航天局局长在接受电视采访时表示,将把针对俄罗斯卫星基础设施的任何网络攻击视为战争行为。

俄罗斯Roscosmos国家航天公司现任负责人德米特里·罗戈津说,此类企图也将被视为犯罪,并由俄罗斯执法机构进行调查。因为禁用任何国家的卫星组织通常是一个宣战理由,即发动战争的理由。罗戈津在Rossiya 24(VGTRK)上说,将寻找组织它的人,向联邦安全局、调查委员会和总检察长办公室发送所有必要的材料,以启动相关刑事案件。

2月28日,与匿名者相关的第65网络营(NB65)声称它入侵并关闭了Roscosmos俄罗斯航天局的服务器。罗戈津否认了NB65的说法,称俄罗斯航天局的活动控制中心运行正常,称NB65是“小丑和小骗子”。

俄乌冲突网空对 抗烈度尚在控制范围内

军事与网络专家们担心,俄乌冲突很可能导致网络攻击爆发,进而引发一场“网络世界大战”,由此造成的溢出效应将对乌克兰、俄罗斯乃至全球民众造成重大影响。

但到目前为止,最糟糕的情况似乎并未发生,目前观察到的攻击基本控制住了影响规模与地理范围。

有多家网络安全公司在乌克兰发现新型数据破坏病毒,但尚不清楚实际影响究竟如何。

在俄罗斯的政府机构网站已经禁止国外访问,以保护网站免受拒绝服务(DoS)攻击活动的影响。

]]>
英伟达数据被盗后续:黑客用证书将病毒伪装成显卡驱动 Wed, 18 May 2022 02:42:45 +0800 英伟达机密数据被盗,让广大网友吃了不少瓜。但从现在起,每个人都要小心了,别只顾着吃瓜了。因为黑客们正在用被盗数据制造能骗过系统的病毒。

这次泄漏的数据中,包括英伟达开发人员用于签署驱动程序和可执行文件的两个签名证书。

拿到证书后,黑客就可以把恶意程序伪装成英伟达开发的软件,比如显卡驱动,从而骗过系统。在线查毒平台 VirusTotal 显示,黑客已经开始尝试用证书给远程访问木马签名了。安全人员也注意到了这一点。

证书

现在黑客和安全人员正在进行着一场攻防大战。黑客们将打包好的病毒上传到 VirusTotal,这里几乎集成了市面上所有杀毒软件。如果没被杀毒软件查出来,那就说明恶意代码比较安全,可以投放使用了。

除了上面所说的木马外,还有人用证书对 Windows 驱动程序进行签名。虽然用于签名的证书已经过期,但仍然会对 Windows 系统造成风险。

因为 Windows 系统为了保证向下兼容性,防止系统无法启动,在某些情况下会接受 2015 年 7 月 29 日之前证书签发的驱动程序。所以用着过期证书,病毒也一样能伪装成合法的英伟达驱动程序。

用着过期证书,病毒也一样能伪装成合法的英伟达驱动程序

那用户应该怎么办,才能防止中毒呢?微软企业和操作系统安全总监 David Weston 在 Twitter 上给出了对策:以管理员身份配置 Windows Defender 应用程序控制策略,这样就能控制可以加载哪些驱动程序,防止病毒被加载到系统中。

然而,使用这种方法比较复杂,并不适合电脑小白。有人建议微软撤销对这两个英伟达过期证书的许可,但这又有可能导致真的英伟达驱动程序被阻止。

微软真的有点难办。不过好消息是,虽然系统自带反病毒软件不好使,但由 VirusTotal 的扫描结果显示,现在的杀毒软件很多能发现伪装的病毒,事情可能并没有想象的那么糟。

]]>
公安机关查获被非法控制网络摄像头 3 万个,正告偷拍偷窥违法人员投案自首 Wed, 18 May 2022 02:42:45 +0800 IT之家 3 月 7 日消息,据公安部消息,去年 11 月以来,针对偷拍偷窥事件频发,严重侵犯公民个人隐私,影响人民群众安全感情况,公安部网安局部署开展依法严厉打击偷拍偷窥黑色产业链条行动,侦破刑事案件 160 余起,抓获犯罪嫌疑人 860 余名,打掉窃听窃照专用器材生产窝点 15 个,缴获专用器材 1.1 万件,查获被非法控制的网络摄像头 3 万个。

IT之家了解到,近年来,随着信息网络技术和光学传感技术的快速发展,摄像头被广泛应用,给群众的群众生产生活带来便利同时,也给少数不法分子实施偷窥偷拍违法犯罪活动带来可乘之机。有的不法分子非法破解、控制他人架设的网络摄像头并出售摄像头访问权限牟利,有的将摄像头安装在插排、充电宝、打火机等生活用品内并制成窃听窃照专用器材在网上出售牟利,有的将购买的窃听窃照专用器材安装在宾馆房间、卫生间等场所进行偷拍偷窥,有的利用非法获得的摄像头访问权限对他人进行偷拍偷窥,有的将偷拍偷窥内容制成图片、音视频进行传播、贩卖等,形成了偷拍偷窥黑色产业链条,严重侵犯公民个人隐私,严重侵害受害人合法权益,严重妨害社会管理秩序。

公安部网安局对此高度重视,部署专项打击行动,对偷拍偷窥黑产实施全链条打击,依法严惩偷拍偷窥人员、传播贩卖偷拍图片音视频人员、窃听窃照专用器材生产销售人员以及黑客等。行动中,江苏泰州公安机关打掉一个非法控制他人网络摄像头并出售摄像头访问权限的犯罪团伙;江苏常州公安机关打掉一个在云南、贵州、四川多个地市酒店房间安装网络摄像头并出售摄像头访问权限的犯罪团伙,查获被出售的摄像头访问账号 1000 余个;浙江湖州、福建宁德、山西大同、新疆乌鲁木齐、广东东莞和河南开封、漯河等地公安机关打掉多个窃听窃照专用器材生产窝点,缴获相关器材 9100 余件;山东日照公安机关抓获偷拍、直播无痛人流手术的某三甲医院麻醉科医生厉某等。

公安部网安局有关负责人表示,公安机关将继续保持对偷拍偷窥违法犯罪行为的高压严打态势,切实维护人民群众合法权益,坚决维护社会管理秩序。广大群众一旦发现个人隐私被偷拍偷窥要第一时间报案,公安机关必将一查到底、严惩不贷。公安机关正告相关违法犯罪人员要立即向公安机关投案自首,否则将受到法律的严惩。

]]>
继NVIDIA之后,三星也被公开了源代码和190GB机密数据 Wed, 18 May 2022 02:42:45 +0800 继NVIDIA核心源代码75GB的机密数据和核心源代码被泄露后,Lapsus$勒索组织在2022年3月4日再次公开了韩国消费电子巨头三星电子150GB的机密数据和核心源代码。两次数据泄露事件之间的时间间隔还不足一周,令业界大为震动。

3月4日上午,Lapsus$勒索组织发布了一份报告,其中包含了三星电子大量的机密数据,以及三星软件中C/C++指令快照的内容,如下图所示。

Lapsus$勒索组织称即将公布三星的这些数据和源代码,涉及的内容包括:

三星 TrustZone 环境中安装的每个受信任小程序 (TA) 的源代码,用于敏感操作(例如硬件加密、二进制加密、访问控制);

所有生物特征解锁操作的算法;

所有最新三星设备的引导加载程序源代码;

来自高通的机密源代码;

三星激活服务器的源代码;

用于授权和验证三星帐户的技术的完整源代码,包括 API 和服务。

如果Lapsus$勒索组织没有说谎的话,那么三星毫无疑问已经发生了重大数据泄露事件,并很有可能因此遭遇严重伤害。

据悉,Lapsus$ 勒索组织将泄露的数据拆分为三个压缩文件,总计已经达到190GB,并且以非常受欢迎的torrent形式提供。目前已经有400多人共享了这三个文件,Lapsus$ 勒索组织还表示接下来将上传至更多的服务,不断提高数据下载速度

此外,三个压缩文件中还有每个文件如何使用的简要说明:

第1部分包含有关Security/Defense/Knox/Bootloader/TrustedApps ,其他各种项目的源代码和相关数据的转储;

第2部分包含有关设备安全、加密的源代码和相关数据的转储;

第3部分包含来自三星 Github 的各种存储库:移动防御工程、三星帐户后端、三星通行证后端/前端和SES(Bixby、Smartthings、商店)。

截止到目前,尚不清楚Lapsus$ 勒索组织是否已经向三星集团勒索了赎金,也不清楚三星集团是否拒绝支付赎金,正如NVIDIA那样。

2022年2月底,LAPSU$入侵NVIDIA内部服务器,窃取了超过1TB的数据,包括 NVIDIA 的产品设计蓝图、驱动、固件、文档、工具、SDK 开发包等等,并公开叫卖 RTX 30系列显卡的挖矿限制破解算法,还要求NVIDIA全面开源。

但是NVIDIA并未向LAPSU$勒索组织妥协,LAPSU$因此公开他们掌握的部分文件数据,即一个18.8GB RAR压缩包,其中包含超过 40 多万个文件,涉及众多高度机密的文件和源代码。

对于NVIDIA来说,如此庞大的数据和源代码文件被泄露,无疑会对公司造成严重打击。有NVIDIA前车之鉴,三星是否会向黑客屈服呢,我们拭目以待。

]]>
75%的医用输液泵受到已知漏洞影响 Wed, 18 May 2022 02:42:45 +0800 近日,Palo Alto Networks公司的研究人员对超过20万台联网医疗输液泵进行专项分析,研究结果并不容乐观,因为他们发现这些设备中有超过75%受已知漏洞的影响,而这些漏洞可能会被攻击者利用。

“我们使用公司的物联网医疗安全技术(IoT Security for healthcare)对医院和其他医疗机构网络上超20万台输液泵的扫描数据进行了众包审查”,Palo Alto Networks公司发布的报告如此写道。“在被扫描的输液泵中,有75%存在安全漏洞,这让他们面临更高被攻击者攻破的风险。这些缺陷包括目前已知的40个网络安全漏洞中的一个或多个,以及存在约70个其他类型的已知物联网设备安全缺陷中的一个或多个。”

这次报告中有一项发现非常有趣:研究人员分析的所有输液泵中有52%易受到2019年公开披露的两个漏洞影响。考虑到输液泵的平均寿命仅为8到10次,这样的数据就非常令人感到不安。

研究人员将这些问题分为三类,分别是敏感信息泄露、未经授权的访问和缓冲区溢出。报告称,一些问题与设备使用的跨平台第三方库有关,比如网络堆栈。TCP/IP栈IPNet中的CVE-2019-12255和CVE- 12264漏洞就是具有代表性的例子。

这两个缺陷影响了所分析的输液泵的52%,超过104,000台。对此,Palo Alto Networks建议医疗服务机构采用积极主动的安全策略来防止网络攻击,同时提出在评估医疗物联网(IoMT)安全策略和技术时需要考虑一些关键指标:

准确的发现和详细目录

整体风险评估

应用降低风险政策

防止威胁

在报告的结尾,Palo Alto Networks再次强调,“我们研究的20万台输液泵中,有75%至少存在一个弱点或发出一个安全警报。尽管这些漏洞和安全警报并不会完全被攻击者利用,但这仍然对医疗服务机构和患者的总体安全构成潜在风险,特别是在攻击者被投入额外资源攻击目标的情况下。”

随着攻击范围不断扩大,攻击载体变得日益精细,或许现在就是应该赋予医疗设备安全全新定义的时候了。

]]>
《安联智库-网安周报》2022-03-06 Wed, 18 May 2022 02:42:45 +0800

1、乌克兰战争引出试图利用捐款的诈骗者

世界对俄罗斯入侵乌克兰的反应是对乌克兰人民的大量支持。这并没有逃过诈骗者的眼睛,他们非常愿意利用人们的帮助愿望。其中,一封诈骗邮件的标志是乌克兰国旗的蓝黄两色。它要求以美元和少量加密货币的形式向一个人道主义组织捐款。其他假电子邮件要求收件人寄钱帮助儿童或为乌克兰军队购买武器。
虚假的慈善网站也在不断涌现。总部设在斯洛伐克的反病毒公司ESET的研究人员说,他们发现了一些使用乌克兰国旗颜色以及士兵和爆炸戏剧性图片的网站。ESET说,这些网站征集"援助",但它们没有提供关于如何使用这些钱的细节。
安全研究人员说,这种诈骗活动是可以预期的。战争创造了所有的情绪触发器,如紧迫感,骗子们在试图将人们与他们的钱分开时利用了这一点。Bitdefender是一家位于罗马尼亚的网络安全公司,在入侵开始一天后开始发现网络钓鱼活动。
2、俄罗斯修改刑法重罚“假新闻”传播者 欧美新闻社纷纷停止在俄罗斯运营

3月5日消息,俄乌冲突之际,据《莫斯科时报》报道,俄罗斯总统普京周五(3月4日)签署了一项法案,针对有关俄罗斯军队“假新闻”的传播者,将判处最高15年的监禁。

这项最新的刑法修正案规定,传播有关军队的“明知是虚假信息”的人,将面临不同期限的监禁和不同程度的罚款。如果传播被认为产生严重后果,则会受到更严厉的惩罚。

据相关人士分析,新的法律将允许俄罗斯当局监禁任何传播有关冲突的 “假新闻”的人。被判犯罪的人,一般而言是内容的制作者或转发者,但社交媒体平台的员工也可能被指控为相关罪行的共犯。如果平台审核员工遗漏了包含虚假信息的视频,导致内容被公开传播,也可能会被判刑。

法案颁布后,英国广播公司BBC、美国电视台CNN、ABC、CBS和彭博新闻社均已停止在俄罗斯的运营

据《每日邮报》报道,俄罗斯通信监管机构Roskomnadzor周五表示,该机构封锁了对Facebook的访问,以回应这家社交媒体巨头对俄罗斯媒体机构施加的限制。此外,据一位接近克里姆林宫的消息人士称,俄罗斯官员也在寻求禁止TikTok。这位内部人士说,在未来几天内,对这个短视频社交媒体平台的封锁“迫在眉睫”。

3、初创公司Kytch 起诉快餐巨头麦当劳索赔9亿美元

一家名为 Kytch 的初创公司正在起诉快餐巨头麦当劳索赔9亿美元。《连线》报道称,自 2019 年以来,Kytch 已经销售了一款手机大小的设备,该设备安装在麦当劳的冰淇淋机内。它的工作原理是拦截冰淇淋机的内部通信并将其发送到 Web 或移动界面,以便麦当劳餐厅经营者可以远程监控和解决冰激凌机遇到的故障或者其他问题。

但是,2020 年 11 月,麦当劳发出电子邮件要求所有特许经营商移除 Kytch 的设备,因为它们违反了机器的保修条款并截获了“机密信息”。麦当劳还声称这些设备是一种安全威胁,可能导致“严重的人身伤害”。这些消息还宣传了由长期制造合作伙伴泰勒制造的新型冰淇淋机,该机具有与 Kytch 设备相似的功能。

麦当劳发言人在一份声明中说:“对我们来说,没有什么比食品质量和安全更重要,这就是为什么麦当劳餐厅所有设备在获准使用之前都要经过彻底审查。在得知 Kytch 未经批准的设备正在由我们的一些特许经营商进行测试后,我们打电话更好地了解它是什么,随后向特许经营商传达了潜在的安全问题。这里没有阴谋。“

Kytch 的联合创始人梅丽莎·尼尔森说:”这些电子邮件玷污了它的名字,吓跑了客户,毁了它的业务。麦当劳完全有理由知道 Kytch产品是安全的,没有任何问题,这并不像他们声称的那样危险。所以我们要起诉他们。”

去年 5 月,Kytch 还起诉 Taylor 及其经销商 TFG 盗窃商业机密。该诉讼称,泰勒与 TFG 和一位特许经营权所有者合作,从 Kytch 设备中获取、逆向工程和复制功能。此外,Kytch的起诉书称麦当劳警告其它公司,包括可口可乐和汉堡王,不要购买 Kytch 产品。

4、“匿名者”组织宣称侵入俄罗斯太空研究网站并泄露任务文件

作为俄乌冲突抗议活动的后续,“匿名者”组织刚刚宣称破坏了一个属于俄罗斯空间研究所(IKI)的网站,并在推特上发布了指向俄罗斯联邦航空局(Roscosmos)泄露数据的缓存页面的链接。Vice 报道称,黑客似乎侵入了 IKI 网站的一个子域,同时其它子域仍处于正常在线的状态。

据悉,网站受损部分与世界空间紫外天文台(WSO-UV)有关,该项目与哈勃太空望远镜类似,并计划于 2025 年发射升空。

周五上午,@YourAnonNews 推特账户披露本次攻击与 v0g3lSec 有关,且当时 uv.ikiweb.ru 网站处于无法访问的状态,上方截图为 3 月 3 日上午的缓存页面。

此外 @YourAnonNews 账户分享了一个指向云端 .zip 压缩包文件的链接,下载后可知其中包含了手写表单、PDF 文档、电子表格等资料,且包含了对月球任务的相关描述。

对此,外媒暂时无法验证数据的真实性。但在美国宣布制裁后,俄罗斯航天局负责人曾暗示美俄双方的航天合作可能会走到尽头,乃至威胁到国际空间站的未来运营。

]]>
俄罗斯修改刑法重罚“假新闻”传播者 最高或被判刑15年 Wed, 18 May 2022 02:42:45 +0800 3月5日消息,俄乌冲突之际,据《莫斯科时报》报道,俄罗斯总统普京周五(3月4日)签署了一项法案,针对有关俄罗斯军队“假新闻”的传播者,将判处最高15年的监禁。

这项最新的刑法修正案规定,传播有关军队的“明知是虚假信息”的人,将面临不同期限的监禁和不同程度的罚款。如果传播被认为产生严重后果,则会受到更严厉的惩罚。

《俄罗斯联邦刑法典》更新了第 207.3 条“公开传播关于俄罗斯联邦武装部队情况的故意虚假信息”内容。条款规定,传播有关俄罗斯军队一般虚假信息的,将面临最高3年监禁或最高150万卢比罚款;利用“职务便利”,“雇佣关系”,或出于政治、意识形态、种族、民族或宗教仇恨或敌意传播虚假信息的,将被处以最高10年监禁或500万卢布罚款;因传播虚假信息导致严重后果的,会面临10到15年监禁。俄罗斯国家杜马和联邦委员会已经审议并通过该法案。

据相关人士分析,新的法律将允许俄罗斯当局监禁任何传播有关冲突的 “假新闻”的人。被判犯罪的人,一般而言是内容的制作者或转发者,但社交媒体平台的员工也可能被指控为相关罪行的共犯。如果平台审核员工遗漏了包含虚假信息的视频,导致内容被公开传播,也可能会被判刑。

法案颁布后,英国广播公司BBC、美国电视台CNN、ABC、CBS和彭博新闻社均已停止在俄罗斯的运营。

据《每日邮报》报道,俄罗斯通信监管机构Roskomnadzor周五表示,该机构封锁了对Facebook的访问,以回应这家社交媒体巨头对俄罗斯媒体机构施加的限制。

此外,据一位接近克里姆林宫的消息人士称,俄罗斯官员也在寻求禁止TikTok。这位内部人士说,在未来几天内,对这个短视频社交媒体平台的封锁“迫在眉睫”。

]]>
保险业巨头 AON 遭网络攻击 Wed, 18 May 2022 02:42:45 +0800 据BleepingComputer消息,专业服务和保险巨头AON遭受了网络攻击,对此AON发文称此次网络攻击带来的影响“有限”。

怡安集团(Aon Corporation),全球最大规模的保险业集团公司之一,集风险管理服务、保险经纪和再保险经纪、人力资源咨询服务于一体。

Aon 集团总部设于英国伦敦,并在纽约证券交易所上市交易,包括商业保险、再保险、网络安全咨询、风险解决方案、医疗保险和财富管理产品。2021年,AON创造了122亿美元的收入,在120个国家拥有约 50000 名员工。

在提交给美国证券交易委员会的8-K表格中,AON披露他们在2022年2月25日遭受了网络攻击。在报告中,除了发生攻击并影响了有限数量的系统外,AON 没有提供任何攻击细节和其他额外的消息。

AON表示,攻击事件发生后,公司立即对这起事件展开调查,并聘请了专业的第三方网络安全公司,应急响应人员和法律顾问共同处理这起事件。截止到目前,该事件并未对公司业务、运营和财务状况产生重大影响。

资料显示,除了常规的保险业务外,AON还是业内知名的再保险公司,他们为保险公司提供相关的保险服务。这意味着他们除了自身收集的数据外,还会收到其他保险公司客户的数据。

如此庞大的数据量也让AON成为网络攻击的香饽饽,是吸引数据窃取攻击者最有吸引力的目标之一。REvil 勒索软件组织也曾公开表示,保险公司是最优质的攻击目标之一,因为他们有网络保险单,因此支付的赎金的概率也更高。

例如在2021年,保险巨头CNA就曾被Evil Corp 网络犯罪集团勒索攻击过,据媒体报道,他们为此支付了4000万美元的赎金,以此获得解密工具并防止被盗的数据泄露。

]]>
“匿名者”组织宣称侵入俄罗斯太空研究网站并泄露任务文件 Wed, 18 May 2022 02:42:45 +0800 作为俄乌冲突抗议活动的后续,“匿名者”组织刚刚宣称破坏了一个属于俄罗斯空间研究所(IKI)的网站,并在推特上发布了指向俄罗斯联邦航空局(Roscosmos)泄露数据的缓存页面的链接。Vice 报道称,黑客似乎侵入了 IKI 网站的一个子域,同时其它子域仍处于正常在线的状态。

据悉,网站受损部分与世界空间紫外天文台(WSO-UV)有关,该项目与哈勃太空望远镜类似,并计划于 2025 年发射升空。

周五上午,@YourAnonNews 推特账户披露本次攻击与 v0g3lSec 有关,且当时 uv.ikiweb.ru 网站处于无法访问的状态,上方截图为 3 月 3 日上午的缓存页面。

此外 @YourAnonNews 账户分享了一个指向云端 .zip 压缩包文件的链接,下载后可知其中包含了手写表单、PDF 文档、电子表格等资料,且包含了对月球任务的相关描述。

对此,外媒暂时无法验证数据的真实性。但在美国宣布制裁后,俄罗斯航天局负责人曾暗示美俄双方的航天合作可能会走到尽头,乃至威胁到国际空间站的未来运营。

]]>
初创公司Kytch 起诉快餐巨头麦当劳索赔9亿美元 Wed, 18 May 2022 02:42:45 +0800 一家名为 Kytch 的初创公司正在起诉快餐巨头麦当劳索赔9亿美元。《连线》报道称,自 2019 年以来,Kytch 已经销售了一款手机大小的设备,该设备安装在麦当劳的冰淇淋机内。它的工作原理是拦截冰淇淋机的内部通信并将其发送到 Web 或移动界面,以便麦当劳餐厅经营者可以远程监控和解决冰激凌机遇到的故障或者其他问题。

但是,2020 年 11 月,麦当劳发出电子邮件要求所有特许经营商移除 Kytch 的设备,因为它们违反了机器的保修条款并截获了“机密信息”。麦当劳还声称这些设备是一种安全威胁,可能导致“严重的人身伤害”。这些消息还宣传了由长期制造合作伙伴泰勒制造的新型冰淇淋机,该机具有与 Kytch 设备相似的功能。

麦当劳发言人在一份声明中说:“对我们来说,没有什么比食品质量和安全更重要,这就是为什么麦当劳餐厅所有设备在获准使用之前都要经过彻底审查。在得知 Kytch 未经批准的设备正在由我们的一些特许经营商进行测试后,我们打电话更好地了解它是什么,随后向特许经营商传达了潜在的安全问题。这里没有阴谋。“

Kytch 的联合创始人梅丽莎·尼尔森说:”这些电子邮件玷污了它的名字,吓跑了客户,毁了它的业务。 麦当劳完全有理由知道 Kytch产品是安全的,没有任何问题,这并不像他们声称的那样危险。所以我们要起诉他们。”

去年 5 月,Kytch 还起诉 Taylor 及其经销商 TFG 盗窃商业机密。该诉讼称,泰勒与 TFG 和一位特许经营权所有者合作,从 Kytch 设备中获取、逆向工程和复制功能。此外,Kytch的起诉书称麦当劳警告其它公司,包括可口可乐和汉堡王,不要购买 Kytch 产品。

]]>
霍涛代表:建议建立健全国家统一互联网实名制认证平台 Wed, 18 May 2022 02:42:45 +0800 随着互联网技术的快速发展和“互联网+”的推进,互联网技术已经渗透到社会生产和人民生活的各个领域。与此同时,网络监管难度逐步增大,互联网的开放性、国内互联网实名制的局限性以及实名制技术的壁垒都在一定程度使得网络犯罪活动有机可乘。互联网金融、电子商务、网络社交等平台成为网络犯罪的高发地。

对此,全国人大代表、贵州白山云科技股份有限公司董事长兼首席执行官霍涛建议建立健全国家统一互联网实名制认证平台。

霍涛提到,在我国,进一步建立健全国家统一互联网实名制认证平台有顶层设计的支持、技术能力的积累和公众认知的深厚基础。但目前,网络身份认证目前仍存在种种局限性:部分互联网平台实名认证存在技术局限性,无法保证认证主体的真实性;大量企业和各类组织自行完成用户身份认证方式,给犯罪分子窃取个人信息留下更多可乘之机;加大实名制宣传力度,可有效避免网民易受害、易成为作案工具的问题。

“建立健全国家统一互联网实名制认证平台,将有助于提升网络综合治理能力,为网络强国提供强有力的支撑保障。”霍涛说。

霍涛建议:其一,应打造国家提供统一的互联网认证平台,要求涉及用户注册登录的互联网平台统一接入该系统。加快推进网络实名制,需要进一步扩大实名制的范围,提高实名制的技术手段,做到违法犯罪主体可追溯、容易追溯,提高网民安全意识、法律意识。国家可提供统一的互联网认证平台,提供统一的用户注册、认证、定期检测使用主体等功能。要求涉及账号相关的互联网平台统一接入,由国家统一进行互联网用户的管理、实名认证和使用主体的检测。

其二,规范实名认证技术,必要情况下结合视频实人认证。视频实人认证使用视频对认证主体进行检测,并要求认证主体做出一系列的活体动作,从而保证认证主体的真实性,能够精准确定设备和账户的使用主体,并且可在事后实现精准追溯。由国家牵头,在必要情况下要求用户注册、登录都需要进行视频实人认证,使用过程中定期进行视频实人检测,确保设备和账户的使用主体是本人,减少账号出售、借用及被盗用的几率,提高账号使用主体可追溯性。

其三,国家统一互联网认证平台应具备授权管理功能和审计手段。授权管理功能,即通过向公民个人账户开放能力,允许公民管理个人身份的登录授权,并在必要时取消对于某些平台做过的授权。审计手段,即公民可以随时查看网站、APP的登录记录,包括但不限于登录时间和登出时间。

其四,加大对实名制的宣传力度。加大力度宣传实名制的必要性和重要性,同时进一步加强对网络犯罪防范手段及网络安全相关法律的普及工作,让每个公民意识到,互联网实名制的规范化和扩大化是切实保护自身利益、促进经济社会发展的有效手段。

]]>
乌克兰战争引出试图利用捐款的诈骗者 Wed, 18 May 2022 02:42:45 +0800 世界对俄罗斯入侵乌克兰的反应是对乌克兰人民的大量支持。这并没有逃过诈骗者的眼睛,他们非常愿意利用人们的帮助愿望。其中,一封诈骗邮件的标志是乌克兰国旗的蓝黄两色。它要求以美元和少量加密货币的形式向一个人道主义组织捐款。其他假电子邮件要求收件人寄钱帮助儿童或为乌克兰军队购买武器。

虚假的慈善网站也在不断涌现。总部设在斯洛伐克的反病毒公司ESET的研究人员说,他们发现了一些使用乌克兰国旗颜色以及士兵和爆炸戏剧性图片的网站。ESET说,这些网站征集"援助",但它们没有提供关于如何使用这些钱的细节。

2月24日的入侵引发了欧洲多年来最大的人道主义危机之一,在这种情况下,以乌克兰为主题的钓鱼邮件和网站开始出现,这是人性的悲哀。除了求救之外,骗子们还假装成乌克兰富商,希望把钱从该国转移出去,这是臭名昭著的尼日利亚王子骗局的衍生版本。

安全研究人员说,这种诈骗活动是可以预期的。战争创造了所有的情绪触发器,如紧迫感,骗子们在试图将人们与他们的钱分开时利用了这一点。Bitdefender是一家位于罗马尼亚的网络安全公司,在入侵开始一天后开始发现网络钓鱼活动。

现在不乏合法的慈善机构在网上筹集资金,以帮助难民。联系他们的最好方法是在浏览器中直接输入他们的网址,或者从一个值得信赖的来源获得链接。值得注意的是,一些真正的慈善机构接受加密货币形式的捐赠。但消费者在涉及他们的加密货币时应该特别小心,除非它是一个非常官方的组织的有效加密货币钱包。

虽然大量的骗局会让善意的人感到难受,但研究人员敦促有慈善心的人在向任何组织捐款之前采取同样的预防措施。在你捐款之前,要对慈善团体进行审查,以确保它是有信誉的。在Google上快速搜索,以及在GuideStar或Charity Navigator上查找名称,都是不错的开始。

如果是来自陌生人的求财请求,不要理会。研究人员预计,以浪漫为主题的诈骗案会增加,骗子会假装是乌克兰妇女,她们是难民或寻求帮助离开该国。安全专家表示,用户还应该避在社交媒体上招揽,因为社交媒体是骗子们最喜欢利用的平台。

]]>
美国国安局“偷窥”数亿人,中国是重点攻击目标之一 Wed, 18 May 2022 02:42:45 +0800 《环球时报》记者近日独家从360公司获悉,自2008年起,360安全大脑整合海量安全大数据,独立捕获大量高级复杂的攻击程序,通过长期分析与跟踪并实地从多个受害单位取证,结合关联全球威胁情报,以及对斯诺登事件、“影子经纪人”黑客组织的持续追踪,确认了这些针对系列行业龙头企业长达十余年的攻击属于美国国家安全局(NSA)。此外,NSA长期“偷窥”及收集通信行业存储的大量个人信息及行业关键数据,导致全球数亿公民隐私和敏感信息无处藏身犹如“裸奔”,其公民身份、财产、家庭住址、甚至通话录音等数据面临恶意采集、非法滥用、跨境流出的严重威胁。

多国受攻击,我国是重点攻击目标之一

美国国家安全局(NSA)隶属美国国防部,专门从事电子通信侦察,主要任务是搜集各国信息资料,揭露潜伏间谍通信联络活动,为美国政府提供各种加工整理的情报信息。长期以来,为达到美国政府情报收集目的,NSA针对全球发起大规模网络攻击,我国就是NSA的重点攻击目标之一。

2013年,前美国中央情报局(CIA)职员、美国国家安全局(NSA)外包技术员爱德华·斯诺登向全世界揭发美国政府收集用户数据信息的丑闻,并泄露NSA大量网络战机密文档资料,这起美国历史上最严重的泄密事件轰动全球。经此一事,“网络战”及“国家级网络威胁”等概念为全世界所认知。

之后的2016年、2017年,黑客组织“影子经纪人”又公开了被NSA应用的网络武器的样本,NSA大规模高危网络作战武器及配套组件逐一曝光。360公司相关人士对《环球时报》记者表示,360公司是国内第一批有意识追踪高级别网络威胁的安全公司,并率先提出了APT(高级可持续威胁攻击)概念。在此期间,360团队依托海量安全大数据的情报视野,看到各行各业相继沦陷于NSA网络武器攻击之下,积极推出各种包括永恒之蓝武器库防御方案和漏洞补丁等配套防护工具,全力抵御NSA武器库攻击。

《环球时报》记者了解到,长期以来,为达到美国政府情报收集目的,NSA针对全球发起大规模网络攻击,我国就是NSA的重点攻击目标之一,NSA对中国境内目标的攻击如政府、金融、科研院所、运营商、教育、军工、航空航天、医疗等行业,重要敏感单位及组织机构成为主要目标,占比重较大的是高科技领域。

美国国家安全局(NSA)为监控全球的目标制定了众多的作战计划,360安全专家告诉《环球时报》记者,通过对NSA专属的Validator后门配置字段的统计分析,推测NSA针对中国的潜在攻击量非常巨大,“仅Validator一项的感染量最保守估计应该在几万的数量级,数十万甚至百万都是有可能的。”

同时,《环球时报》记者获悉,根据NSA机密文档中描述的FOXACID服务器代号,可以发现其针对英国、德国、法国、韩国、波兰、日本、伊朗等全球47个国家及地区发起攻击,403个目标受到影响,潜伏时间长达十几年。

美国国安局的网络攻击手法有哪些?

360安全团队将NSA及其关联机构单独编号为APT-C-40,并与系列行业龙头共建APT高级威胁研究实验室,发现NSA针对系列行业龙头企业长达十余年时间的攻击活动。通过对取证数据比对,结合网络情报分析研判,该攻击活动与NSA的某网络战计划实施时间前后衔接,攻击活动涉及企业众多关键的网络管理服务器和终端,其攻击手法如下:

QUANTUM(量子)攻击系统

QUANTUM(量子)攻击系统是NSA发展的一系列网络攻击与利用平台的总称,其下包含多个子项目,均以QUANTUM开头命名。它是NSA最强大的互联网攻击工具,也是NSA进行网络情报战最重要的能力系统之一。NSA利用美国处于全球网络系统核心地位,通过先进技术手段对网络信号进行监听、截获与自动化利用,QUANTUM项目的本质就是在此基础上实现一系列数据分析与利用能力。

FOXACID(酸狐狸)0Day漏洞攻击平台

QUANTUM(量子)攻击经常配套使用的是代号为FOXACID(酸狐狸)的系统。FOXACID是NSA设计的一个威力巨大的0Day漏洞攻击平台,并且可以对漏洞攻击的主要步骤实施自动化,甚至让没有什么网络攻击经验的运营商也参与进来,成为一件威力巨大的“大规模入侵工具”。

Validator(验证器)后门

Validator(验证器)是FOXACID项目的主要后门程序之一,一般用于NSA的初步入侵,然后再植入更复杂的木马程序,比如UNITEDRAKE(联合耙),每个被植入的计算机系统都会被分配一个唯一的验证ID。Validator是一种很简单的后门程序,提供了一种队列式的操作模式,只能支持上传下载文件、执行程序、获取系统信息、改变ID和自毁这类简单功能。

UNITEDRAKE(联合耙)后门系统

UNITEDRAKE(联合耙)是NSA开发的一套先进后门系统。360安全专家通过对泄露的相关文档进行分析,UNITEDRAKE的整体结构大致分为5个子系统,分别是服务器、系统管理界面、数据库、模块插件集和客户端。

隐私无处藏身 公民犹如“裸奔”

NSA的非法入侵行径,其行为将可能对我国甚至其他国家的国防安全、关键基础设施安全、金融安全、社会安全、生产安全以及公民个人信息造成严重危害。

360安全专家对《环球时报》记者表示,面对这些非法网络攻击,首先应警惕国家级APT组织对国家安全的危害。战争的形式不止于兵戎相见,网络空间早已成为大国较量的另一重要战场,“回顾2020年,360披露美国中央情报局(APT-C-39)对中国进行长达11年的网络攻击渗透一案依然历历在目,面对网络强国咄咄逼人的战略攻势,以国家力量为背景的APT网络攻击及全球化网络战争再一次敲响我们头上的警钟。”

“网络战及国家级APT组织对国家安全的危害是多方面的。”这位专家告诉记者,入侵组织不仅对国家政府及要害部门进行持续监视与间谍活动,甚至对于一国政治、经济、社会、国防军事等方面的威胁不断加深。一旦APT组织对整个国家社会系统进行攻击,将可能导致交通、银行、航空、水电系统瘫痪,并对国家政治稳定、经济命脉造成不可估量的伤害。

360安全专家表示,此外,还应警惕国家级APT组织对关键基础设施的危害,“关键基础设施逐渐成为网络战首选目标,国与国之间的网络对抗,以关键基础设施为目标的网络战愈加频繁,网络攻击不再只是为了窃取情报,更可以对电力、水利、电信、交通、能源等关键基础设施发起攻击,从而对公共数据、公共通信网络、公共交通网络、公共服务等造成灾难性后果,严重影响关系百姓民生的公共安全,破坏整个社会的神经中枢。”

“同时,国家级APT组织对个人信息安全的危害也不可低估。”《环球时报》根据360云端安全大脑长期监测数据发现,NSA将通信行业视为重点攻击目标,长期“偷窥”及收集关于通信行业存储的大量个人信息及行业关键数据,导致大量网民的公民身份、财产、家庭住址、甚至通话录音等隐私数据面临着恶意采集、非法滥用、跨境流出的严重威胁,“在NSA的监视下,全球数亿公民隐私和敏感信息无处藏身犹如“裸奔”,而其幕后政府及政客只关注政治私利,全然漠视公民个人权利,公民人权沦为政治博弈的筹码,其入侵行径严重侵犯我国及全球公民的合法利益。”360安全专家表示。

]]>
参与乌克兰难民援助工作的欧洲政府官员成为网络钓鱼活动的目标 Wed, 18 May 2022 02:42:45 +0800 据CNET报道,网络安全公司Proofpoint周三表示,欧洲官员正被一场似乎是国家支持的网络钓鱼活动所攻击,目的是破坏他们帮助乌克兰难民的努力。

据该公司的研究人员称,攻击者正在使用可能被盗的乌克兰武装部队成员的电子邮件账户,针对管理逃离该国的难民的后勤工作的官员。这些电子邮件带有一个恶意的宏附件,试图将危险的恶意软件(研究人员称之为SunSeed)下载到目标计算机上。

该活动是在俄罗斯军队向乌克兰首都推进,促使数十万人逃离,并阻塞了乌克兰与波兰、匈牙利、斯洛伐克和罗马尼亚等几个国家的边境口岸之际进行的。据Proofpoint称,该活动可能是试图找出这些人以及帮助他们所需的资源的下一个目的地。

虽然被攻击的欧洲官员有不同的专业知识和工作职责,但攻击者似乎专注于与运输、财务和预算分配、行政管理以及欧洲内部人口流动有关的职责。

研究人员在他们的报告中写道:“这一活动可能代表了一种尝试,以获得有关北约成员国内部资金、物资和人员流动的后勤保障的情报。”

虽然研究人员没有直接将该活动归于一个特定的国家或网络犯罪集团,但他们确实注意到,从技术角度来看,它类似于以前与一个被称为Ghostwriter或TA445的攻击者有关的行动,据信该攻击者在白俄罗斯运作。

Proofpoint说,该攻击者还与大型虚假信息行动有关,该行动旨在操纵与北约国家内难民有关的欧洲舆论。

]]>
GitHub:严格限制俄罗斯获取维持其侵略性军事能力所需要的技术 Wed, 18 May 2022 02:42:45 +0800 2022年3月3日,GitHub CEO Thomas Dohmke发布《我们对乌克兰境内战争作出的响应》一文。

其中提到:“与此同时,我们正在采取行动以支持我们的平台,并遵守您可能看到的因这场战争而颁布的许多政府规定。我们的法务团队会彻底细读这类规定,而且我们遵守不断变化的出口管制和贸易法规。这包括实施严格的新出口管制,旨在严格限制俄罗斯获取维持其侵略性军事能力所需要的技术和其他物品。此外,我们接到并处理的任何政府下架通知都会公开发布,因为我们认为透明度对于良好治理至关重要。”

]]>
Oracle暂停俄罗斯所有业务 Wed, 18 May 2022 02:42:45 +0800 2022年3月2日,乌克兰副总理兼数字化转型部长Mykhailo Fedorov在推特上晒出了发给Oracle联合创始人兼首席技术官Larry Ellison、Oracle首席执行官Safra Catz和SAP首席执行官Christian Klein的两封信的副本。

这两封信的诉求大同小异,要求这两家公司终止与俄罗斯的商业关系,以应对俄罗斯当前入侵乌克兰的行为。

Fedorov在致Oracle领导层的信中表示:“面对俄罗斯联邦发动的战争,乌克兰现正站在捍卫民主和自由原则的前线。”

“IT 行业始终支持倡导责任和民主的价值观。我相信贵国也信奉这些价值观。”

这位乌克兰领导人接着表示,乌克兰“呼吁贵公司终止与俄罗斯联邦的任何关系,停止与/在俄罗斯联邦开展业务,尤其是停止为Oracle产品提供支持、维护和软件更新,直至冲突得到解决,公平秩序得到恢复。”

Fedorov在致SAP领导层的信件中表示:“2022年的现代技术也是我们保卫国家和公民的武器,这就是为什么我们需要你们的支持。”

“我们希望你们不仅会听到心声,还会尽一切可能保护,以乌克兰、欧洲乃至整个世界免受俄罗斯的血腥侵略。[......]因此,我呼吁你们停止提供SAP服务和产品,直至普京对我们国家发动的攻击结束。”

Oracle随后发推文称:“为了Oracle在全球各地的150000名员工的利益,为了支持乌克兰民选政府和乌克兰人民,Oracle公司已经暂停了在俄罗斯联邦的所有业务。”

Fedorov回应道:“乌克兰的所有自由人民满怀感激之情!”

这位高官还在3月2日向多家游戏开发商发布了一封公开信,要求暂时封禁所有俄罗斯和白俄罗斯的帐户持有人,包括暂时禁止他们参加国际电竞活动。

周二,苹果公司表示已暂停在俄罗斯销售产品,对销售渠道的出口已停止,俄罗斯国家控制的RT News和Sputnik News媒体应用程序在境外已从应用程序商店下架。

此外,这家iPad和iPhone制造商表示:“作为为乌克兰公民提供的一项安全和预防措施,我们已经在乌克兰的苹果地图(Apple Maps)中禁用了交通和实时事件。”

乌克兰还要求互联网管理机构吊销俄罗斯的顶级域名(TLD)及其SSL证书。

]]>
俄罗斯核研究所被攻击影响达40,000多份文 Wed, 18 May 2022 02:42:45 +0800 为应对俄罗斯开战,匿名和其他黑客组织正持续对政府组织和企业发起网络攻击。与这个受欢迎的集体有关的匿名和众多黑客组织继续对俄罗斯和白俄罗斯政府组织和私营企业发起网络攻击。

在过去的几天里,大规模的 DDoS 攻击已经使俄罗斯政府实体的许多网站下线,包括杜马和国防部。

然而,与匿名组织有联系的第 65 网络营今天宣布的网络攻击可能会造成严重后果。该组织声称已经破坏了俄罗斯核研究所并发布了 40.000 多份文件。Network Battalion 65 还请求支持翻译大量文件(用西里尔文编写),这些文件可能包含可用于破坏行动的敏感数据和信息。

该研究所的任务是监测俄罗斯核电站的安全,因此,据称被该组织窃取的文件可能包含敏感数据。攻击的消息通过与匿名集体相关的其他团体使用的其他 twitter 帐户重新发布。

今天,Anonymous 还针对属于俄罗斯宣传媒体的网站,包括 TASS、Izvestia、Fontaka、RBC 和 Kommersant 诋毁它们。

Anonymous(匿名者)是全球最大的黑客组织,主要分部位于美国,其次为欧洲各国、非洲、南美洲、亚洲等地。2月24日,Anonymous在社交平台上发文称,正式对俄罗斯发起“网络战争”。几日前,Anonymous入侵了白俄罗斯的武器制造商Tetraedr,并窃取了约200GB的电子邮件。

此次攻击迫使白俄罗斯铁路转为手动控制模式,导致列车运行减速,对列车的运营产生了重大影响。调度系统 ‘Neman’被禁用,相关软件无法工作。明斯克和奥尔沙的铁路枢纽据称已经瘫痪。

]]>
以俄罗斯为主题的凭据收集主要针对Microsoft 帐户 Wed, 18 May 2022 02:42:45 +0800 来自俄罗斯的警告微软用户“异常登录活动”的恶意电子邮件正在寻求利用乌克兰危机。

虽然人们对俄乌冲突引发全球范围内影响深远的网络战大火的担忧比比皆是,但在危机中,小骗子也在加大努力。向微软用户发出警告莫斯科主导的帐户黑客攻击的网络钓鱼电子邮件已经开始四处传播,目的是窃取凭据和其他个人详细信息。

这是根据 Malwarebytes 的说法,它发现了大量的垃圾邮件,这些邮件对俄罗斯的黑客行为进行了名称检查。研究人员指出,这些消息的主题是“Microsoft 帐户异常登录活动”。

正文写道:

异常登录活动

我们检测到最近登录 Microsoft 帐户时出现异常情况

登录详情

国家/地区:俄罗斯/莫斯科

IP地址:

日期:2022 年 2 月 26 日星期六 02:31:23 +0100

平台:Kali Linux

浏览器:火狐

来自俄罗斯/莫斯科的用户刚刚从新设备登录您的帐户,如果这不是您,请举报该用户。如果这是您,我们将相信未来的类似活动。

举报用户

谢谢,

Microsoft 客户团队

根据 Malwarebytes 周二的分析,这些电子邮件随后会提供一个“报告用户”按钮和一个取消订阅选项。单击该按钮会创建一条新消息,其主题行是“报告用户”。收件人的电子邮件地址引用 Microsoft 帐户保护。

根据 Malwarebytes周二的分析,使用电子邮件进行回复可能会带来各种风险。

研究人员解释说:“发送回复的人几乎肯定会收到登录详细信息的请求,可能还有付款信息,很可能是通过虚假的网络钓鱼页面。” “骗子也完全有可能将所有内容都专门通过电子邮件进行交流。无论哪种方式,人们都有可能失去对网络钓鱼者的帐户控制权。最好的办法是不回复,然后删除电子邮件。”

与以往一样,垃圾邮件以语法错误的形式发出危险信号,包括拼写错误,例如“acount”。换句话说,这不是一项特别复杂的工作,但却是一项精明的工作。与任何重大世界事件一样,对社会工程师来说,最大的兴趣(或恐惧)是猫薄荷。

研究人员说:“鉴于当前的世界事件,看到‘来自俄罗斯的不寻常的登录活动’将使大多数人成为双重目标,因此它是完美的垃圾邮件诱饵材料。” “[电子邮件](有意或无意)可以让人们思考当前的国际危机。保持警惕将在未来几天和几周内获得回报,因为下面肯定会出现更多情况。”

据 Malwarebytes 称,该邮件明确针对 Microsoft 帐户持有人,但好消息是 Outlook 将电子邮件直接发送到垃圾邮件文件夹。然而,该公司指出,“根据个人情况和/或任何特定时刻世界上正在发生的事情,一个人的‘大事’是另一个人的‘哦,不,我的东西’。这就是某些人失去登录可能需要的全部内容,而这封邮件目前可能比大多数人更突出。”

]]>
俄媒:俄准备启用本国互联网 Wed, 18 May 2022 02:42:45 +0800 俄罗斯已启用俄罗斯本国互联网系统的准备。《消息报》3月1日报道称,俄罗斯对柳鹏正发起对国家特别军事行动的安排,之后,各国报道俄罗斯各种情况。未来的命中目标,以保障它们的正常运行,可能与全球互联网运行。

针对网络问题,政府发起自己的网络威胁中心,准备发起“网络威胁中心”,准备开展联合运行。俄联邦民众权益保护和公益监督,目前正在与国家对关键信息的事故进行协调,以应对黑客攻击的攻击。并做好了 Runets 的准备工作。

Runet 出于俄罗斯出于网络防御目的而建立的一个基础法律。俄政府在 2019 年就签署了《互联网早日法》,据此,俄罗斯设施将步入全球互联网俄罗斯对外网络的影响尤其严重,可以在互联网上进行断网测试。增加的背景下,“地球互联网”是不同类型的建立。

]]>
全球最大轮胎制造商遭遇网络攻击,部分业务中断 Wed, 18 May 2022 02:42:45 +0800 普利司通沃伦县工厂的一些员工于周日被送回家,目前没有迹象表明员工何时可以重返工作岗位。沃伦县的工厂主要生产卡车和客车子午线轮胎。

这家汽车行业巨头表示,到目前为止,它无法“确定任何潜在事件的范围或性质”。

普利司通美洲公司在发给多家媒体的声明中说:

“普利司通美洲公司目前正在调查一起潜在的信息安全事件。自2月27日凌晨得知可能发生的事件以来,我们已展开全面调查,以迅速收集事实,同时努力确保我们的IT系统的安全性。”

“出于谨慎考虑,我们将拉丁美洲和北美的许多制造和翻新设施与我们的网络断开连接,以遏制和防止任何潜在影响。”

该公司补充说:“在我们从这次调查中了解更多信息之前,我们无法确定任何潜在事件的范围或性质,但我们将继续努力解决任何可能影响我们的运营、数据、员工和客户的潜在问题。”

母公司普利司通公司是一家日本跨国公司,也是世界上最大的轮胎制造商。普利司通美洲公司在加拿大、中美洲、拉丁美洲和加勒比地区拥有50多个生产设施,并雇佣了大约55,000名员工。

]]>
因供应商遭受网络攻击,丰田汽车宣布明日关闭日本所有工厂 Wed, 18 May 2022 02:42:45 +0800 日本汽车制造巨头丰田公司宣布暂停汽车生产业务。造成此次停产的原因,是其重要零部件供应商小岛工业(Kojima Industries)出现系统故障,据悉该公司遭受了网络攻击。

小岛工业是一家日本塑料部件制造商,他们的部件供应业务属于汽车生产中的关键环节。此次事件是又一起严重的供应链中断案例。

丰田公司表示,此次事件迫使他们决定从3月1日(周二)开始,暂停日本14家工厂内28条生产线的正常运行。

据估算,这将导致丰田公司的日本月产能下降5%,相当于大约13000辆汽车。

此外,丰田旗下子公司大发汽车与日野汽车同样出现停产状况,目前尚不清楚这两家子公司受到的具体影响。

尽管小岛工业还没有公开关于此次攻击的任何官方消息,但该公司网站目前确实处于离线状态。多家日本新闻机构也宣称,此次中断确实是网络攻击造成的直接结果。

一位了解内情的官员告知当地媒体,小岛工业“似乎遭受到网络攻击”,目前的首要任务是恢复对丰田的零部件供应。

日本记者还曾采访首相岸田文雄,询问此次攻击是否与日本对俄制裁有关。岸田回应称,并无证据表明攻击与俄罗斯有关。

]]>
乌克兰网络警察部队参战:已对多家俄罗斯主要网站发起攻击 Wed, 18 May 2022 02:42:45 +0800 乌克兰网络警察部队(Ukrainian cyber police force)公开宣布加入网络战争,已经对多家俄罗斯主要网站和国家在线门户网站发起攻击。正如该部队在公告中所详述的,该部队的专家与志愿者联手攻击俄罗斯和白俄罗斯的网络资源。

这三个国家目前正在进行大规模的武装力量冲突,其中包括网络前线,这甚至在入侵之前就表现出来了。周六,乌克兰官员决定组建一支特殊的“IT 军队”(IT Army),由来自全球的网络特工和志愿黑客组成。

志愿者们利用可以招募到的任何可用火力,对俄罗斯和白俄罗斯的网站发起攻击,并协调针对敌方地面上的高级官员和意见领袖的大规模数据曝光行动。乌克兰网络警察宣布已针对俄罗斯联邦调查委员会、联邦安全局(FSB)和俄罗斯国有银行 Sberbank 的网站发起攻击。

在本次攻击中,以下网站被关闭

sberbank.ru

vsrf.ru

scrf.gov.ru

kremlin.ru

radiobelarus.by

rec.gov.by

sb.by

belarus.by

belta.by

tvr.by

Bleeping Computer 在撰文时候访问上述网站,均已经无法访问。IT Army 的 Telegram 频道列出了以下网站在成功的网络攻击后被关闭。今天,乌克兰网络警察宣布了一个新的信息收集系统,人们可以提交俄罗斯网络的已知漏洞,分享对关键系统的访问,等等。

例如,一个名为“Cyber Partisans”的白俄罗斯黑客组织声称破坏了白俄罗斯的火车,以帮助延缓俄罗斯军队的运输。另一个被称为“AgainstTheWest”的黑客组织也以俄罗斯的利益为目标,声称已经不断入侵俄罗斯的网站和公司。

]]>
最新报告称传统备份等方式应对勒索攻击不再那么有效 Wed, 18 May 2022 02:42:45 +0800 机器识别专家 Venafi 的一份最新报告中指出,鉴于双重甚至是三重勒索软件攻击的增长,传统的、常见的缓解勒索软件攻击的方法(例如维护良好的备份)不再变得有效。

该报告对全球范围内 IT 和安全决策者进行了调查,显示 83% 的成功勒索软件攻击涉及到其他勒索方法,例如使用被盗数据勒索客户(38%),将数据泄露到暗网(35%),以及告知客户其数据已被泄露(32%)。仅有 17% 的攻击只是向客户索要解密密钥的赎金。

Venafi 说,这意味着,由于勒索软件攻击现在依赖于数据渗透,因此有效的备份策略在某种程度上对遏制漏洞“不再有效”。Venafi 公司业务发展和威胁情报副总裁 Kevin Bocek 说:“勒索软件攻击已经变得更加危险。他们已经超越了基本的安全防御和业务连续性技术,如下一代防病毒和备份”。

Venafi 还发现,网络犯罪分子正越来越多地贯彻他们的威胁,无论他们是否得到报酬。事实上,18% 的受害者在付款后仍有数据被泄露,而比直接拒绝支付任何费用的 16% 的人更多,他们的数据被泄露了。约有8%的人直接拒绝,但随后他们的客户被勒索;35% 的人付款后,却被晾在一边,无法取回他们的数据。

Bocek 表示:“组织没有准备好抵御数据泄漏的勒索软件,所以他们支付赎金,但这只会促使攻击者变本加厉。坏消息是,即使在支付了赎金之后,攻击者仍在继续进行敲诈威胁。这意味着 CISO 面临更大的压力,因为一次成功的攻击更有可能造成全面的服务中断,影响到客户”。

在Venafi的调查中,受访者在一定程度上同意双重和三重勒索攻击越来越流行,这使得拒绝赎金要求变得更加困难,给安全团队带来更多问题。受访者还倾向于同意支付赎金,勒索软件攻击的发展速度超过了安全技术的发展速度。因此,76% 的受访者正计划在勒索软件的具体控制上进一步投入资金,这些控制超出了空气加密存储的范围。

]]>
高危木马Xenomorph曝光:专门窃取用户银行凭证 Wed, 18 May 2022 02:42:45 +0800 本月早些时候,ThreatFabric 安全研究人员发现了一个危险程度很高的新木马 -- Xenomorph。该木马和 2020 年秋季开始流行的 Alien 恶意软件存在关联。虽然相关代码和 Alien 相似,但是 Xenomorph 恶意软件的破坏力要强得多。

据 ThreatFabric 称,超过 5 万名 Android 用户安装了一个包含银行应用程序恶意软件的恶意应用程序。据报道,该恶意软件背后的威胁者正针对欧洲 56 家不同银行的用户。

正如 ThreatFabric 所指出的,黑客们总是在寻找新的方法,通过 Google Play 商店分发恶意软件。Google 正在反击,但黑客似乎总是领先一步。最近的一个邪恶的例子是“Fast Cleaner”应用程序。它声称能够通过清除杂乱无章的东西来加快 Android 手机的速度。但实际上,Fast Cleaner 是 Xenomorph 银行应用程序恶意软件的一个投放器。

以下是 ThreatFabric 分析该应用程序后发现的情况:

经过分析,我们认识到这个应用程序属于 Gymdrop 投放器系列。Gymdrop 是 ThreatFabric 在 2021 年 11 月发现的一个投放器家族。之前它被观察到部署了 Alien.A 的有效载荷。

从该投放器下载的配置中,ThreatFabric 能够确认该投放器家族继续采用该恶意软件家族作为其有效载荷。然而,与过去不同的是,托管恶意代码的服务器还包含另外两个恶意软件家族,根据特定的触发器,它们也被返回,而不是 Alien。

ThreatFabric 说,Xenomorph仍在开发中,但破坏力已经显现。该恶意软件的主要目标是使用覆盖式攻击来窃取银行应用程序的凭证。它还可以拦截短信和通知,以记录和使用 2FA 令牌。ThreatFabric 还指出,Xenomorph 被设计成“可扩展和可更新的”。

ThreatFabric 的安全研究人员在文章中表示:“这种恶意软件的记录能力所存储的信息非常广泛。如果发回 C2 服务器,可用于实施键盘记录,以及收集受害者和已安装应用程序的行为数据,即使它们不属于目标列表”。

]]>
《安联智库-网安周报》2022-02-27 Wed, 18 May 2022 02:42:45 +0800

1、王者巅峰对决!被勒索软件攻击后 NVIDIA把黑客黑了

匪夷所思,半导体巨头NVIDIA也成为了被被黑客攻击的目标,近日,据多家英美媒体报道称,NVIDIA遭遇网络攻击,甚至导致电子邮件及开发者工具中断。
之后,NVIDIA对此进行了回应,表示业务没有受到干扰,还在评估事件影响。
而今,一个专门收集恶意软件样本的网站 vx-underground 称,是一个名为 LAPSU$ 的南美组织对英伟达实施了此次勒索软件攻击。
vx-underground 表示,LAPSU$ 勒索组织是一个在南美开展业务的组织,他们声称已入侵英伟达,并窃取了超过 1TB 的专有数据。不过,相当尴尬的是,NVIDIA也对黑客组织进行了强力反击,该组织声称英伟达也对其进行了黑客攻击,并表示英伟达已成功恢复了他们的机器。
据 vx-underground 提供的截图,黑客一觉醒来发现他们自己的机器被黑,但是他们已经对数据进行了备份。英伟达试图通过加密被盗数据来黑掉该组织,但是该组织已在虚拟机环境中制作了副本,这意味着英伟达的反击措施没有成功。
2、世界著名黑客组织宣布发起网络战争


俄罗斯已正式向乌克兰发起了大规模的军事行动。动荡不安的政治局势再度引起国际社会的关注,美国、欧盟等组织也在不断对俄罗斯“施压”。据俄罗斯卫星通讯社消息,全球最大的黑客组织“匿名者”(Anonymous)宣布对俄罗斯发动网络战争,并已摧毁数十家网站,以回击俄罗斯在乌克兰的军事行动。他们声称对会俄罗斯电视台(RT)遭受的网络攻击负责。

该组织表示,会对俄罗斯电视台(RT)遭受的网络攻击负责。在声明发布后,Anonymous 短暂关闭了 RT.com,以及克里姆林宫、俄罗斯政府和俄罗斯国防部的网站。

据RT(俄罗斯电视台)所说,确实从2月24日晚上开始,他们的网站就一直受到DDoS攻击,并且,进行DDoS攻击的地址中约有27%位于美国。

不过攻击似乎并没有持续很久,在几个小时后,发现RT的网站似乎又恢复了。

3、华硕子公司ASUSTOR遭攻击,被勒索上千万元赎金

近日华硕旗下子公司华芸科技(Asustor)的网络附加存储(NAS)也遭遇了勒索攻击。此次勒索攻击波及全球众多用户,并在ASUSTOR论坛上引起来广泛讨论。

两次攻击均是DeadBolt勒索软件所为,所有文件都被加了.deadbolt 文件扩展名。ASUSTOR 登录页面也被一张数据勒索通知代替,要求用户支0.03个比特币,折合人民币约七千多元,如下图所示:

目前,ASUSTOR尚未解释旗下的NAS设备是如何被加密的,但是一些用户认为,黑客是利用了PLEX 媒体服务器或 EZ Connect 中的某个漏洞加密了他们的NAS设备。


4、利用撞库攻击,一尼日利亚黑客将他人工资据为己有

据Bleeping Computer网站消息,一名叫查尔斯·奥努斯(Charles Onus)的尼日利亚人侵入一家人力资源公司的用户账户并窃取工资存款,此案已在纽约南区地方法院接受审理。

根据起诉书和在法庭上的陈述,奥努斯从2017年7月开始,陆续将这家公司的用户工资窃取并转移到了自己的银行账户中,直到被捕时,已累计入侵了5500个用户账户,总共转移了80万美元。

奥努斯使用了简单而又粗暴的方式——撞库来窃取账户。通过凭证填充,攻击者使用从以前的数据泄露中获取的用户名和密码组合来登录账户。该方法不同于暴力破解或猜测密码,因为它不涉及破解,而是依赖于受害者往往在多个平台上重复使用相同的凭证。

奥努斯已于2021年4月14日在机场被捕,并承认了相关罪行,最终的裁决将在2022 年 5 月 12 日公布。

其实,阻止撞库攻击的一个简单方法是使用多因素认证(MFA),除了用户名和密码,还需要一个单独的验证码,这类验证码通常通过短信或使用身份验证应用程序发送给用户,因此即使攻击者的登录名和密码被盗,如果没有 MFA 一次性密码也无法登录。

除此以外,用户也尽量避免在多个平台上使用相同或过于相似的账户密码,也不要使用过于简单的密码,比如根据Nord Security发布的《2021世界密码排行》,123456依然是使用人数最多的密码,这类简单且连续的密码往往给网络犯罪分子提供了可乘之机


]]>
王者巅峰对决!被勒索软件攻击后 NVIDIA把黑客黑了 Wed, 18 May 2022 02:42:45 +0800 匪夷所思,半导体巨头NVIDIA也成为了被被黑客攻击的目标,近日,据多家英美媒体报道称,NVIDIA遭遇网络攻击,甚至导致电子邮件及开发者工具中断。

之后,NVIDIA对此进行了回应,表示业务没有受到干扰,还在评估事件影响。

而今,一个专门收集恶意软件样本的网站 vx-underground 称,是一个名为 LAPSU$ 的南美组织对英伟达实施了此次勒索软件攻击。

vx-underground 表示,LAPSU$ 勒索组织是一个在南美开展业务的组织,他们声称已入侵英伟达,并窃取了超过 1TB 的专有数据。

不过,相当尴尬的是,NVIDIA也对黑客组织进行了强力反击,该组织声称英伟达也对其进行了黑客攻击,并表示英伟达已成功恢复了他们的机器。

据 vx-underground 提供的截图,黑客一觉醒来发现他们自己的机器被黑,但是他们已经对数据进行了备份。

据 Videocardz 称,英伟达试图通过加密被盗数据来黑掉该组织,但是该组织已在虚拟机环境中制作了副本,这意味着英伟达的反击措施没有成功。

]]>
世界著名黑客组织宣布发起网络战争 Wed, 18 May 2022 02:42:45 +0800 俄罗斯已正式向乌克兰发起了大规模的军事行动。动荡不安的政治局势再度引起国际社会的关注,美国、欧盟等组织也在不断对俄罗斯“施压”。据俄罗斯卫星通讯社消息,全球最大的黑客组织“匿名者”(Anonymous)宣布对俄罗斯发动网络战争,并已摧毁数十家网站,以回击俄罗斯在乌克兰的军事行动。他们声称对会俄罗斯电视台(RT)遭受的网络攻击负责。

该组织表示,会对俄罗斯电视台(RT)遭受的网络攻击负责。在声明发布后,Anonymous 短暂关闭了 RT.com,以及克里姆林宫、俄罗斯政府和俄罗斯国防部的网站。

据RT(俄罗斯电视台)所说,确实从2月24日晚上开始,他们的网站就一直受到DDoS攻击,并且,进行DDoS攻击的地址中约有27%位于美国。

不过攻击似乎并没有持续很久,在几个小时后,发现RT的网站似乎又恢复了。

]]>
微信“红包接龙”成新型赌博方式 4 人涉嫌开设赌场罪被刑拘 Wed, 18 May 2022 02:42:45 +0800 2月25日消息,据长沙电视台政法频道报道,微信红包本是亲友间娱乐、沟通的一种方式,但一些不法分子竟将其当成了赌博的工具。近日,长沙市公安局雨花分局成功捣毁了一个通过微信群组织开展“红包接龙”变相赌博的新型赌博团伙,抓获11名涉案人员,涉案金额达80余万元。

今年 2 月,长沙市公安局雨花分局跳马派出所接到群众报警,有人在微信群内组织开展“红包接龙”变相赌博。接警后,警方迅速介入调查。2 月 21 日 20 时许,专案组调集 30 余名警力,兵分 5 路在市内多地抓获涉案人员 11 名。

经查,以文某为首的 4 名犯罪嫌疑人组织不特定参赌人员,开设多个微信群,进行“红包接龙”赌博活动。该犯罪团伙分工明确,有的负责拉人进群,有的负责群管理,有的负责游戏规则的制定发布。犯罪团伙一名成员为微信群群主,每次在赌博开始时,由群主首先发 99 元金额红包,数量 5 个,抢得金额最少的参赌人员以此接力。

群内的群主如何获利?

办案民警介绍,群主有特权,除首发一次红包之后,可只抢不发,以此来从中获利。为避免群内参赌人员不按规则赔付,犯罪嫌疑人还特别设立了一个监控账号,并对每名参赌人员收取 99 元的押金。

目前,长沙市公安局雨花公安分局已对涉嫌开设赌场罪的文某等 4 名犯罪嫌疑人采取刑事强制措施,对参与赌博的王某等 7 名违法嫌疑人予以行政处罚,案件仍在进一步办理中。

警方提醒

微信“抢红包”变相赌博,无论赌法怎样变,其目的都是引诱那些妄想通过赌博、不劳而获的赌徒上钩,结局都是越陷越深。群主纠集成员进行“抢红包”赌博,群主涉嫌开设赌场犯罪,群成员“抢红包”涉嫌赌博违法行为,希望广大群众自觉抵制并远离网络赌博,一旦发现此类抢红包赌博群,可以直接进行投诉、举报。

]]>
保护力度不够的Microsoft SQL数据库正成为黑客攻击的目标 Wed, 18 May 2022 02:42:45 +0800 1

]]>
华硕子公司ASUSTOR遭攻击,被勒索上千万元赎金 Wed, 18 May 2022 02:42:45 +0800 与上个月QNAP NAS 设备被勒索攻击相类似,近日华硕旗下子公司华芸科技(Asustor)的网络附加存储(NAS)也遭遇了勒索攻击。此次勒索攻击波及全球众多用户,并在ASUSTOR论坛上引起来广泛讨论。

两次攻击均是DeadBolt勒索软件所为,所有文件都被加了.deadbolt 文件扩展名。ASUSTOR 登录页面也被一张数据勒索通知代替,要求用户支0.03个比特币,折合人民币约七千多元,如下图所示:

目前,ASUSTOR尚未解释旗下的NAS设备是如何被加密的,但是一些用户认为,黑客是利用了PLEX 媒体服务器或 EZ Connect 中的某个漏洞加密了他们的NAS设备。

ASUSTOR 表示,针对此次勒索攻击事件,公司正在全力进行调查,并发布了说明:由于ASUSTOR NAS设备被Deadbolt勒索软件攻击,myasustor.com DDNS 服务将在问题调查期间被禁用。ASUSTOR也会第一时间公布事件的原因和后续调查的信息,确保用户NAS设备的安全,并将不遗余力解决被勒索攻击用户的问题。

为了更好地保护您的设备,ASUSTOR建议采取以下措施:

1、更改默认端口,包括默认的NAS Web 访问端口8000和8001,以及远程 Web 访问端口80和443;

2、禁用 EZ Connect;

3、关闭 Plex 端口并禁用 Plex;

4、做好文件/数据的备份工作;

5、关闭终端/SSH 和 SFTP 服务;

6、不要将ASUSTOR 设备暴露在互联网上,以免被 DeadBolt 加密。

ASUSTOR表示,如果设备已经被 DeadBolt 勒索软件感染,请强制关闭NAS 设备,并及时和ASUSTOR 技术人员联系,咨询如何恢复文件;禁止尝试重启设备,因为这会清除所有文件和数据。

截止到发稿,尚不清楚是否所有的ASUSTOR 设备都容易受到 DeadBolt 勒索软件攻击,但有报告显示 AS6602T、AS-6210T-4K、AS5304T、AS6102T 和 AS5304T 型号不受影响。不幸的是,由于无法免费恢复DeadBolt 勒索软件加密的文件,很多用户许多受影响的 QNAP 用户被迫支付赎金来恢复文件。

恢复固件即将发布

ASUSTOR在其发布的公告中写道,公司计划在2月23日发布恢复固件,让用户可以再次使用他们的 NAS 设备,但是已经被加密的文件和数据依旧无法恢复。更糟糕的是,即便用户支付了赎金,在恢复的过程中依旧可能无法恢复文件和数据,赎金记录页面和解密文件可能会被删除,这将给用户带来新的问题。

因此建议用户在运行恢复软件之前备份index.cgi和所有被DEADBOLT.html锁定的文件。这些文件包含支付赎金和接收解密密钥所需的信息,用户可以将其与 Emsisoft 的 DeadBolt 解密器一起使用。

支付赎金后,攻击者将创建一个比特币的交易,交易与支付赎金的比特币地址相同,其中包含受害者的解密密钥。

勒索上千万人民币的赎金

和上月针对QNAP设备的攻击类似,DeadBolt勒索组织正试图向ASUSTOR公司出售和本次勒索攻击有关的零日漏洞信息,以及所有受害者解密秘钥。

DeadBolt 赎金记录包含一个标题为“ASUSTOR 的重要消息”的链接,点击该链接后,将显示来自DeadBolt勒索软件的消息。

如果 ASUSTOR 支付 7.5个比特币,DeadBolt 攻击者将会出售所谓的零日漏洞的详细信息;

如果ASUSTOR 支付 50个比特币,那么DeadBolt 攻击者将会出售所有受害者的主解密秘钥和零日漏洞信息。这意味ASUSTOR将要承担本次勒索攻击的全部损失,约合人民币上千万元。

截止到目前ASUSTOR尚未表现出要支付这笔赎金,有专家表示ASUSTOR大概率不会支付赎金,因此如果你的设备被加密了,那么从备份中恢复或者支付0.03个比特币大概是比较有效的一个方法。

]]>
NVIDIA RTX 30显卡挖矿被100%破解?其实是恶意软件 Wed, 18 May 2022 02:42:45 +0800 这两天,一个号称能破解NVIDIA RTX 30全系显卡挖矿限制的工具“RTX LHR v2 Unlocker”得到广泛关注,据说可以全自动破解、算力几乎翻番、不损坏硬件,甚至发生了作者疑似跑路的闹剧。那么,这个工具真的这么神?经过分析发现,这个破解工具,其实就是个病毒,或者说是个恶意软件。

它的主执行文件LHRUnlocker Install.MSI不但起不到破解算力的作用,还会感染Windows命令行服务程序powershell.exe并绕过其执行策略,添加目录屏蔽Windows Defender安全服务,以挂起模式添加进程(疑似注入代码),获取硬盘序列号等敏感信息,等等,并导致CPU占用率过高。

目前来看,这个恶意软件的破坏力并不大,不会给用户系统造成致命伤害,但其威胁性还在进一步分析中,不排除有更多恶意行为。所以,对于破解类工具,一定要慎重,矿主们也不要欢呼雀跃了。

]]>
美、英发现新的僵尸网络恶意程序 Cyclops Blink Wed, 18 May 2022 02:42:45 +0800 英国国家网络安全中心(National Cyber Security Centre,NCSC)以及美国联邦调查局(FBI)等组织近日指出,俄罗斯黑客集团 Sandworm 自 2019 年 6 月就开始利用僵尸网络恶意程序 Cyclops Blink 来感染连网设备,并且主要锁定由 WatchGuard 所开发的防火墙设备,相关单位并未公布 Cyclops Blink 僵尸网络的规模,而 WatchGuard 则表示只有不到 1% 的设备被感染,但已释出检测工具和整治计划。

Sandworm 在 2015 年和 2016 年间曾针对乌克兰的电厂展开攻击,也曾在全球大规模散布 NotPetya 勒索软件。Sandworm 先前使用的僵尸网络恶意程序为 VPNFilter,在 2018 年 5 月遭到思科(Cisco)威胁情报组织 Talos 揪出,VPNFilter 当时已经感染了全球 50 万台网络设备,被黑的设备主要位于乌克兰,同月 FBI 即藉由接管 VPNFilter 的网域,摧毁了这个僵尸网络。

上述组织相信 Cyclops Blink 是 Sandworm 用来取代 VPNFilter 的作品,而且从 2019 年便开始部署,意味着 Cyclops Blink 已潜伏超过两年,而且主要部署在 WatchGuard 防火墙设备上。

黑客针对 WatchGuard 设备的 Firebox 软件更新程序进行了反向工程,并找到该程序中的弱点,可重新计算用以验证软件更新映像档的 HMAC 值,让 Cyclops Blink 得以常驻于 WatchGuard 设备上,不论重新启动还是更新软件都无法移除它。

Cyclops Blink 还具备读写设备档案系统的能力,可置换合法的档案,因此就算上述弱点已被修补,黑客依旧能够部署新功能来维持 Cyclops Blink 的存在,属于很高阶的恶意程序。

WatchGuard 在同一天给出了检测工具及整治计划,表示只有不到 1% 的 WatchGuard 防火墙设备受到感染,若未配置允许来自网络的无限制存取,便不会有危险,且并无证据显示 WatchGuard 或客户资料外泄。

WatchGuard 提供了 3 种检测工具,包括可从网络存取的 Cyclops Blink Web Detector,还有必须下载并执行安装的 WatchGuard System Manager Cyclops Blink Detector,两者的主要差异是前者必须与 WatchGuard 分享诊断纪录,后者则不需要,此外还有一款是专供拥有 WatchGuard Cloud 帐号使用的 WatchGuard Cloud Cyclops Blink Detector。

如果设备遭到感染,那么就必须依照 WatchGuard 的指示重置设备到干净状态,再升级到最新的 Fireware OS 版本。不仅如此,用户也必须更新管理帐号的密码短语,以及更换所有该设备先前所使用的凭证或短语,最后要确认该防火墙的管理政策并不允许来自网络的无限制存取。

WatchGuard 还建议所有用户,不管有无受到感染都应升级到最新的 Fireware OS,因为它修补了最新的漏洞,也提供了自动化的系统完整性检查能力,得以强化对软件的保护。

]]>
利用撞库攻击,一尼日利亚黑客将他人工资据为己有 Wed, 18 May 2022 02:42:45 +0800 据Bleeping Computer网站消息,一名叫查尔斯·奥努斯(Charles Onus)的尼日利亚人侵入一家人力资源公司的用户账户并窃取工资存款,此案已在纽约南区地方法院接受审理。

根据起诉书和在法庭上的陈述,奥努斯从2017年7月开始,陆续将这家公司的用户工资窃取并转移到了自己的银行账户中,直到被捕时,已累计入侵了5500个用户账户,总共转移了80万美元。

奥努斯使用了简单而又粗暴的方式——撞库来窃取账户。通过凭证填充,攻击者使用从以前的数据泄露中获取的用户名和密码组合来登录账户。该方法不同于暴力破解或猜测密码,因为它不涉及破解,而是依赖于受害者往往在多个平台上重复使用相同的凭证。

奥努斯已于2021年4月14日在机场被捕,并承认了相关罪行,最终的裁决将在2022 年 5 月 12 日公布。

其实,阻止撞库攻击的一个简单方法是使用多因素认证(MFA),除了用户名和密码,还需要一个单独的验证码,这类验证码通常通过短信或使用身份验证应用程序发送给用户,因此即使攻击者的登录名和密码被盗,如果没有 MFA 一次性密码也无法登录。

除此以外,用户也尽量避免在多个平台上使用相同或过于相似的账户密码,也不要使用过于简单的密码,比如根据Nord Security发布的《2021世界密码排行》,123456依然是使用人数最多的密码,这类简单且连续的密码往往给网络犯罪分子提供了可乘之机。

]]>
乌克兰政府和银行网站又遭大规模网络攻击被迫关闭 Wed, 18 May 2022 02:42:45 +0800 2月23日,乌克兰境内多个政府机构(包括外交部、国防部、内政部、安全局及内阁等)以及两家大型银行的网站再次沦为DDoS攻击的受害者。

专注监测国际互联网状态的民间组织NetBlocks还证实,乌克兰最大银行Privatbank、国家储蓄银行(Oschadbank)的网站也在攻击中遭受重创,目前与政府网站一同陷入瘫痪状态。

乌克兰国家特殊通信与信息保护局(SSCIP)表示,“部分政府与银行机构网站再度遭受大规模DDoS攻击,部分受到攻击的信息系统已经宕机,或处于间歇性不可用状态。”

目前,该部门与他国家网络安全机构“正在努力应对攻击,收集并分析相关信息。”

上周已遭遇大规模DDoS攻击

而就在上周(2月15日),已经出现过一波针对乌克兰政府及银行网站的DDoS攻击,并导致国防部、武装部队等网站被迫下线。

三天后(2月18日),乌克兰计算机应急响应小组(CERT-UA)在一份报告中表示,在这轮攻击中,攻击者曾动用到多种DDoS即服务平台,以及包括Mirai与Meris在内的多个僵尸网络。

美国政府已经认定这波DDoS攻击与俄罗斯武装部队总参谋部情报总局(GRU/格鲁乌)有关。美国国家安全副顾问Anne Neuberger表示,“我们已经掌握了俄情报总局与此次事件有关的技术信息,发现已知的GRU基础设施曾向乌克兰方面的IP地址和域名传输大量通信内容。”

Neuberger补充道,尽管这些攻击“影响有限”,但这也许是在“为更具破坏性的后续攻势奠定基础”。届时,可能还将有针对乌克兰领土的入侵行动与线上攻击协同推进。

英国政府也指责俄罗斯格鲁乌黑客在上周针对乌克兰军方和国有银行网站的在线服务发动了DDoS攻击。

就在第一波DooS攻击的前一天,乌克兰安全局(SSU)发布新闻稿,称该国正成为“大规模混合战”的打击目标。发出不久,安全局网站也在此次攻击中受到影响。

乌克兰安全局在2月初还曾经提到,他们已经在2022年1月期间阻止过120多次指向乌克兰国家机构的网络攻击。

]]>
Bvp47-美国NSA方程式组织的顶级后门 Wed, 18 May 2022 02:42:45 +0800 2013年,盘古实验室研究员在针对某国内要害部门主机的调查过程中,提取了一个经过复杂加密的Linux平台后门,其使用的基于SYN包的高级隐蔽信道行为和自身的代码混淆、系统隐藏、自毁设计前所未见。在不能完全解密的情况下,进一步发现这个后门程序需要与主机绑定的校验码才能正常运行,随后研究人员又破解了校验码,并成功运行了这个后门程序,从部分行为功能上断定这是一个顶级APT后门程序,但是进一步调查需要攻击者的非对称加密私钥才能激活远控功能,至此研究人员的调查受阻。基于样本中最常见的字符串“Bvp”和加密算法中使用数值0x47,命名为“Bvp47”。

2016年,知名黑客组织“影子经纪人”(The Shadow Brokers)宣称成功黑进了“方程式组织”,并于2016年和2017年先后公布了大量“方程式组织”的黑客工具和数据。盘古实验室成员从“影子经纪人”公布的文件中,发现了一组疑似包含私钥的文件,恰好正是唯一可以激活Bvp47顶级后门的非对称加密私钥,可直接远程激活并控制Bvp47顶级后门。可以断定,Bvp47是属于“方程式组织”的黑客工具。

研究人员通过进一步研究发现,“影子经纪人”公开的多个程序和攻击操作手册,与2013年前美国中情局分析师斯诺登在“棱镜门”事件中曝光的NSA网络攻击平台操作手册中所使用的唯一标识符完全吻合。

鉴于美国政府以“未经允许传播国家防务信息和有意传播机密情报”等三项罪名起诉斯诺登,可以认定“影子经纪人”公布的文件确属NSA无疑,这可以充分证明,方程式组织隶属于NSA,即Bvp47是NSA的顶级后门。

“影子经济人”的文档揭示受害范围超过45个国家287个目标,包括俄罗斯、日本、西班牙、德国、意大利等,持续十几年时间,某日本受害者被利用作为跳板对目标发起攻击。

盘古实验室为多起Bvp47同源样本事件起了一个代号“电幕行动”。电幕(Telescreen)是英国作家乔治·奥威尔在小说《1984》中想象的一个设备,可以用来远程监控部署了电幕的人或组织,“思想警察”可以任意监视任意电幕的信息和行为。

方程式组织是世界超一流的网络攻击组织,普遍认为隶属于美国国家安全局NSA。从所获取的包括Bvp47在内的相关攻击工具平台来看,方程式组织确实堪称技术一流,工具平台设计良好、功能强大、广泛适配,底层以0day漏洞体现的网络攻击能力在当时的互联网上可以说畅通无阻,获取被隐秘控制下的数据如探囊取物,在国家级的网空对抗中处于主导地位。

]]>
网站被入侵、攻击,相关企业要负责任吗? Wed, 18 May 2022 02:42:45 +0800 “我是一个企业负责人,我的网站遭受了不法分子的入侵、攻击,造成用户个人信息泄露,明明我也是受害者,我也要负责任吗?”

警方提示

企业网络运营者应当履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

1、制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

2、采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

3、采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

4、采取数据分类、重要数据备份和加密等措施;

5、法律、行政法规规定的其他义务。

]]>
因插件存在漏洞!超200万个WordPress网站被强制更新 Wed, 18 May 2022 02:42:45 +0800 UpdraftPlus 是一款可靠、易用的 WordPress 备份/还原和克隆插件。上周由于该插件存在严重漏洞,超过 200 万个 WordPress 网站得到了强制更新。该漏洞可能让未经授权的用户下载 WordPress 网站的备份。

JetPack 的开发人员在对 UpdraftPlus 进行内部审计时,发现了一个权限检查缺失的漏洞,该漏洞可能允许未经授权的用户访问这些备份。通常情况下,只有管理员才能访问它们。根据 UpdraftPlus 的图表,周四约有 170 万个网站下载了该更新。

JetPack 和 UpdraftPlus 都发布了关于该漏洞的警告。UpdraftPlus 的开发者指出如果你的 WordPress 网站已经对备份进行加密,那么存在的风险较小。这是因为 WordPress 对其存储的密码进行了加密,这应该可以保护它们不被获得未加密的备份的黑客攻击。JetPack 说大多数 WordPress 网站已经更新,并敦促那些没有更新的网站安装最新的 UpdraftPlus 补丁。

]]>
“交友”变“交钱” 小心这些“脱单”App暗藏陷阱 Wed, 18 May 2022 02:42:45 +0800 “发每条信息都要钱”“花了10多万元,还拿不到联系方式”“要线下见面,先得刷个价值1万元的‘一生一世’”……“新华视点”记者调查发现,部分自称“快速脱单”“互助脱单”App通过平台规则“下套”,让交友过程异化为步步“交钱”,不少用户成为被“收割”对象,引发了大量涉嫌“诱导消费”“情感欺诈”的纠纷。

“花10多万元没脱单,结果面都没见到”

记者发现,多个运营模式类似的“脱单”App在应用商店上下载量巨大,有的下载量突破1亿次。然而,该类App在黑猫投诉【投诉入口】等投诉平台上遭到大量网友投诉,有的多达1600多起,涉及“虚假宣传”“诱导大量充值”“情感欺诈”等。

——博眼球,恶俗广告横行。“就在软件上聊了几次,这个女的就非要跑来跟着我”“你都不知道上面的女的有多主动”……记者发现,该类App大肆在短视频平台上推广,演员扮作交友成功的用户“现身说法”,且语言恶俗、表演夸张。

一名来自新疆的女士告诉记者,自己被该类App“强制交友”了一把。“偶然发现我在抖音上的个人视频成了‘爱聊’App的宣传广告,广告里我照片上还有一行字‘30岁、单身、喜欢旅游’,但此前平台并没联系我,也没有得到我的许可和授权。”

——想交友,步步要充值。“为了找对象,我在平台上花了10多万元,还网贷了3万多元,结果面都没见到。”来自江西农村50岁的刘先生因为丧偶,下载了名为“来遇”的App,希望找个伴侣,结果人财两空。

“注册后就有不少女用户像机器人一样给我发照片、语音,但回复文字、语音、视频都要花钱。我给一个女用户送礼物就花了6万多元。”刘先生说。

记者在该类App中发现,男用户视频通话单方花费可高达每分钟数十元,语音通话花费可高达每分钟数元。男用户最高可一键发送价值数百万元的礼物给女用户。

——要“奔现”?屏蔽联系方式。来自浙江的蒋先生告诉记者,他在“他趣”“来遇”等App上,希望和女用户交换微信号、手机号,但无论输入字母还是数字,或通过语音告知,平台都会将相关内容屏蔽或中断通话。

“发送联系方式后,对方无法看到,平台还会提示‘禁止发送微信、手机和地址信息’,如果多次发送,可能会造成账号被封。”蒋先生说。

在投诉平台上,平台方给投诉者的回复为:“付费目的在于寻找和筛选真实的活跃玩家”“付费提高社交质量,增加与对方互动体验”“是否充值消费以用户个人意愿为前提,平台不强制也不干涉”……

“聊天就能赚钱”,是交友还是陷阱?

该类平台一方面诱导男性用户步步充值,另一方面则通过“聊天就可以赚钱”的宣传吸引大量女性用户参与其中。

记者发现,不少平台通过宣传“高额返现”“月入过万”,吸引用户“拉人头”。根据相关App的奖励机制,若邀请的好友每次进行充值提现,便可获得其充值提现额度的8%到12%作为奖励,并表示“上不封顶”。

记者在他人帮助下在“爱聊”App注册一个女性账号,系统立马发来“回复即能获得现金”的相关提示。在与多名男性用户交流10分钟后,账号获得10元左右的积分收益。

但不少女性用户反映,这类App存在“男方打赏无法提现”“提现申请提交后未到账”“账号未违规却被封禁”等“提现难”问题。

“以前在‘爱聊’提现几十元很快到账,可最近平台莫名把我的账号封了,理由是向第三方软件引流,账号里还有1600多元的积分,多次和平台沟通也没有结果。”在广州工作的刘小姐希望平台能够解封账号,继续在平台上赚钱。

记者询问了多个该类App,人工客服均未向记者提供细化的封禁标准和封禁时长,给记者的回复仅为“涉及平台内部规则,无法告知”“封禁以审核部门审核为准,没有具体标准”等。

记者注册了“来遇”App男性用户账号,未与任何人聊天和充值便向客服询问:“聊天的异性对象账号被封,是否能退还刷礼物用的积分?”该App“人工客服”“秒回”表示:积分无法退回,“经相关部门核实,对方账号存在违规行为,故对其进行封号”。

北京格丰律师事务所合伙人郭玉涛认为,该类平台一方面鼓励男性用户充值、刷礼物;另一方面利用平台优势,对女性用户采取收益提现抽成、任意封禁账号清零收益等方式让资金沉淀在平台,实现“两头吃”。

扫清交友平台上的“荷尔蒙陷阱”

专家表示,当前大量打着“交友”旗号的平台注册主体都是科技信息公司,经营范围绝大部分没有“婚姻介绍服务”项目。有的平台以此逃避民政部门监管,存在一定的监管盲区。

郭玉涛认为,若该类平台发布虚假信息,引诱他人进行注册、充值、消费的行为,并将用户资金非法占有,则涉嫌诈骗罪等。

在北京理工大学计算机学院副教授闫怀志看来,由于应用商店已经成为用户获取App的重要入口,应用商店运营方应当进一步承担起App应用上架审核和运营监管责任。

“App上架前,应用商店应要求App运营方提供各项用户协议,并进行运营模式评估,做到合规上架;App上架后,应便捷受理和处置用户投诉,并向App运营方反馈,督促其整改,必要时下架App甚至列入黑名单。如App运营涉嫌违法犯罪,应用商店等应积极配合国家网信、公安、工信等部门对相关违法犯罪行为依法处置和坚决打击。”闫怀志说。

东部某婚介机构管理协会相关负责人表示,当前,网络日渐成为婚恋交友的主要渠道,建议民政部门进一步完善婚介行业标准和监管法规,进一步规范网络婚介管理。“行业组织可充分运用平台‘红黑榜’公示制度,引导网络婚介平台合规运营。对打着陌生人交友旗号‘打擦边球’侵害用户权益的平台,有关部门要加强监管和惩治。”

中国人民大学商法研究所所长刘俊海表示,用户在交友平台遭受财产或人身损害时,应积极主动保全相关证据,要求侵权人承担赔偿责任。若交友平台利用平台优势,恶意侵害用户合法权益,拒绝赔偿和退还,用户决不能忍气吞声,应通过行政或司法途径捍卫自己的合法权益。

]]>
2021年五分之三的公司遭遇软件供应链攻击 Wed, 18 May 2022 02:42:45 +0800 Anchore最近的调查研究表明,2021年里,五分之三以上的公司遭遇过软件供应链攻击。调查征集了IT、安全、开发和DevOps领域428位高管、主管和经理的意见,结果显示:近三分之一(30%)的受访者所在企业在2021年所受软件供应链攻击的影响为严重或中等。仅6%的受访者认为攻击对其软件供应链的影响很小。

调查结果呈现了Apache Log4实用程序漏洞暴露前后软件供应链攻击的变化。研究人员在2021年12月3日至12月30日期间编撰此调查报告,而Log4j漏洞是在12月9日披露的。12月9日之前,55%的受访者表示自己遭遇了软件供应链攻击。这个日期之后,表示遭遇软件供应链攻击的受访者上升到了65%。

Anchore高级副总裁Kim Weins表示:“这意味着有受访者在Log4j之前没有遭遇供应链攻击,还有受访者之前经历了攻击,但在Log4j之后所受影响加重了。”

科技公司受软件供应链攻击的影响更大

调查还发现,与其他行业相比(3%),受软件供应链攻击严重影响的科技公司更多(15%)。Wein称:“科技公司有可能提高恶意攻击者的投资回报率。只要攻击者可以染指软件产品,而该软件产品为成千上万的用户所用,那么攻击者就能在万千其他公司中立足。”

许多企业似乎也开始重视供应链安全了:54%的受访者将供应链安全视为首要或重要的关注领域。成熟容器用户对供应链安全的关注度甚至更高:70%的成熟容器用户表示供应链安全是其首要或重要关注点。

Weins表示:“你必须留意的依赖数量会随着容器和云原生部署而增加。因此,随着容器使用的愈加成熟,用户逐渐意识到自己必须关注这些依赖所引入的新增攻击面。”

软件物料清单(SBOM)是保护软件供应链的关键

调查报告指出,尽管很多受访者将保护软件供应链视为头等大事,但将软件物料清单(SBOM)纳入自身安全态势考量的受访者却很少。例如,仅不到三分之一的受访者遵从了SBOM最佳实践,而自家所有应用都具备完整SBOM的受访者更是仅有18%。

Weins称:“我们认为SBOM是确保软件供应链安全的重要基础,因为可以通过SBOM了解实际在用的软件。” 

曝出漏洞时,SBOM还有助于缩短安全团队的响应时间。资产管理和治理解决方案公司JupiterOne首席信息安全官Sounil Yu指出:“如果没有SBOM,修复这些漏洞的时间可能会延长至数月乃至数年”。

数字风险防护解决方案提供商Digital Shadows首席信息安全官Rick Holland补充道:“缺乏SBOM,客户就会购买黑盒解决方案,由此导致无法全面了解产品或服务中使用的所有组件。”

Weins坚定认为,SBOM是2022年必备。“大家都很清楚,软件安全始于了解你所拥有的一切,也就是拥有完整的组件列表,然后在交付软件之前对照检查是否全都安全。而在软件部署之后,你还需要持续监测软件的安全性。”

]]>
Meta因隐私案赔付九千万美元 Wed, 18 May 2022 02:42:45 +0800 Meta Platforms 已同意支付 9000 万美元,以了结有关该公司使用 cookie 来追踪 Facebook 用户的互联网活动的诉讼,即使他们已从平台注销。

此外,社交媒体公司将被要求删除从这些用户那里非法收集的所有数据。Variety首次报道了这一发展。

这起长达十年之久的案件于 2012 年提起,主要围绕 Facebook 使用专有的“Like”按钮来跟踪用户访问第三方网站时——无论他们是否实际使用该按钮——违反了联邦窃听法,以及然后据称将这些浏览历史记录到配置文件中,以便将信息出售给广告商。

根据提议的和解条款,在 2010 年 4 月 22 日至 2011 年 9 月 26 日期间浏览过包含“Like”按钮的非 Facebook 网站的用户将受到保护。

“在这个已有十多年历史的案件中达成和解,符合我们社区和股东的最大利益,我们很高兴解决这个问题,”Meta 发言人对 Variety 说。

一年前,Meta 被勒令支付 6.5 亿美元以解决集体诉讼,该诉讼指控 Facebook 违反伊利诺伊州生物识别信息隐私法 (BIPA),在未经用户明确同意的情况下使用面部识别在照片中标记用户。

和解协议也随之到来,因为该公司卷入了来自美国德克萨斯州的另一起隐私诉讼,该州本周早些时候起诉 Meta “在没有适当获得他们知情同意的情况下捕获和使用数百万德克萨斯人的生物特征数据。"

觉得这篇文章有趣吗?在Facebook和Twitter 上关注 THN和LinkedIn以阅读我们发布的更多独家内容。

]]>
非法“变脸”APP,日夜双面孔 Wed, 18 May 2022 02:42:45 +0800