安联智库seczk.com--做最好网安新媒体! http://seczk.com 信息安全资讯,热点资讯,安全期刊,人物专访,安全事件,漏洞威胁,安全技术,攻防众测, Tue, 07 Feb 2023 10:48:04 +0800 zh-CN hourly 1 https://www.s-cms.cn/?v=4.7.5 加入我们 Tue, 07 Feb 2023 10:48:04 +0800

      欢迎有志从事信息安全的朋友,一起加入安联智库这个大家庭,有你们的到来安联智库将因你而出彩!

]]>
联系我们 Tue, 07 Feb 2023 10:48:04 +0800

安联智库&安联攻防实验室(简称:seczk)www.seczk.com
使命:让安全,更简单!
提出:攻击溯源、纵深防御的安全治理解决方案!
微信 、QQ:110468258
网站:www.seczk.com 
邮箱:110468258#qq.com 
地址:广州市天河区黄埔大道西505号A栋2519室 
机构:[广东-广西-海南-云南-贵州-四川-福建-江西-湖南-北京-深圳-重庆-上海.....] 


]]>
团队简介 Tue, 07 Feb 2023 10:48:04 +0800

    安联智库是为了(简称:seczk)是一个专注于信息安全、具有全面信息安全综合服务能力的专业服务团队。seczk立足自主研发,专注信息安全市场,为客户提供安全产品、安全服务、安全集成、安全培训等多项综合性信息安全服务。经过多年的发展已经成为一个理念先进、方案成熟、团队精干、客户认可的具有本土化特色的信息安全服务商。
    seczk立足于羊城广州,目前拥有一支20多人的专业队伍,团队拥有多名CISP、CISSP、CCIE、PMP等技术人员,核心团队成员都出自国内著名安全厂商与安全服务测评机构(如启明星辰、绿盟、天融信、蓝盾、竟远、南方信息安全研究院、中国信息安全测评中心等),积累了丰富的安全经验,其技术能力已获得过不同行业客户的认可。
    安联智库&安联攻防实验室(简称:seczk)使命:让安全,更简单!提出攻防纵深防御、攻击溯源的安全治理解决方案!




]]>
两男子开发取不出钱的“贷款APP”骗取注册费、倒卖信息获利超460万元! Tue, 07 Feb 2023 10:48:06 +0800 “在APP平台缴纳39元会员费,就可贷款10万元?”90后的冯某、潘某本是大学同窗好友,毕业后又同在一家科技公司做起了“码农”,从事编程开发APP。然而二人却在工作中不满足于自己的本职工作,辞去工作后自主创业,走上了开发APP诈骗的不归路。近日,浦东警方成功破获一起电信网络诈骗案,涉案人员均因涉嫌诈骗罪被警方依法采取刑事强制措施。

取不出钱的贷款APP

2022年10月,浦东公安分局刑侦支队在工作中发现一条线索,手机应用中有一款名为“迅捷易借”的APP,页面显示只要支付39元会员费,成为会员后就能轻松贷款8至10万余元。有市民按提示登记个人信息,之后再缴纳所谓“会员费”,以为这样就能拿到贷款,不料这39元的会员费一去不复返,而且所贷的款项也一直取不出来。

民警也下载这款APP多次操作后发现,该款软件实际没有贷款功能,背后的开发者一心想通过各种套路,骗取被害人的会员费39元与个人信息。浦东公安分局刑侦支队迅速成立专案组,经缜密调查,警方发现该款APP的资金流就位于本地,遂通过资金流等关键线索开展循线追踪,最终锁定幕后的冯某、潘某的经营窝点,并抓获该诈骗APP主要开发者冯某、潘某及后台维护员等11人。

1年生成10万余单充值订单

据犯罪嫌疑人冯某、潘某供述,二人此前在同一家科技公司上班,从事的也是开发APP工作,后因不满足每月固定的收入,便辞职创业,共同组建APP开发公司。二人招募多名技术人员,并开发借款APP,通过虚构放款金额,在网上诱骗有借款需求的人员充值注册。经警方初步查证,在2021年至2022年这一年多时间里,后台涉及充值订单达十万余单,涉案金额达460余万元。

上海市公安局浦东分局刑侦支队四大队大队长邬继青介绍,该APP通过话术包装,诱导需要贷款的受害人充值会员,让他们误以为39元购买的是贷款流程中的各种附加服务。不仅如此,随着专案组不断深挖线索,发现这一APP还为同类APP导流,“在黑灰行业内,他们互为推广渠道,从中获得返利,并辩称这一行为只是赚取广告流量”,邬继青说,这一团伙还将受害人填写的个人信息售卖给贷款公司,这一行为涉嫌侵犯公民个人信息,相关取证调查工作还在进行中。

目前,犯罪嫌疑人冯某、潘某等11名犯罪嫌疑人因涉嫌诈骗罪已被警方依法采取强制措施。

警方提示:不管骗子伪装成什么身份,绕多少圈最终目的都是“转账、汇款”,凡是涉及到钱财问题的信息一定要提高警惕,多加核实确认,切勿轻信他人,以免财产受到损失。一旦发现上当受骗,请及时报警并为警方提供线索。

]]>
技术高管冒充黑客勒索公司,导致市值暴跌40亿美元 Tue, 07 Feb 2023 10:48:06 +0800 本周四,无线宽带网络设备制造商Ubiquiti Networks前员工尼古拉斯夏普(Nickolas Sharp)在法庭认罪,承认在Ubiquiti担任云计算负责人期间从公司网络中窃取大量机密文件,并在冒充匿名黑客勒索雇主失败后,向媒体举报雇主瞒报安全事件,导致Ubiquiti市值暴跌40亿美元。

美国检察官达米安威廉姆斯表示:“尼古拉斯夏普得到公司信任处理机密信息,但他却监守自盗向公司勒索赎金。”

“更恶劣的是,当夏普没有得到赎金时,他利用媒体发布有关公司瞒报安全事件的虚假新闻进行报复,导致Ubiquiti的市值暴跌超过40亿美元。”

Sharp于2021年12月1日被捕并被控盗窃数据和勒索企图。

(尽管美国司法部的起诉书和此案相关新闻稿中都未指明夏普的雇主是Ubiquiti,但案件细节、夏普的LinkedIn账户信息,都与此前公布的Ubiquiti漏洞信息完全一致。)

“爆料”导致公司市值损失数十亿美元

在被夏普窃取机密数据后,Ubiquiti在2021年1月披露发生数据泄漏安全事件。作为该公司的云计算负责人,夏普假装“努力评估”事件范围并“补救”安全漏洞,同时又冒充匿名黑客向Ubiquiti勒索赎金。

夏普(以匿名黑客身份)要求Ubiquiti支付50个比特币作为赎金(当时价值约190万美元),以换取漏洞信息和被盗文件。

Ubiquiti选择拒绝付款,更改了所有员工访问账户,同时还发现并禁用了其系统的第二个后门,并于1月11日发布了安全漏洞通知。

在敲诈勒索失败后,Sharp伪装成举报人与媒体披露该事件的有关信息,污蔑Ubiquiti淡化掩饰违规事件。结果导致Ubiquiti的股价下跌了近20%,市值损失超过40亿美元。

4月1日,Ubiquiti发布安全声明,承认在1月份的数据泄露事件后遭遇勒索。但夏普向媒体匿名举报Ubiquiti的安全声明隐瞒了大量客户账户遭到泄漏的事实。

夏普还谎称Ubiquiti的日志系统无法验证系统或数据是否被“攻击者”访问过。然而,司法部公布的案件的信息显示,这是夏普自己篡改公司日志系统的结果。

“掉线”暴露真实IP地址

根据起诉书,夏普用自己的云管理员凭证通过SSH从Ubiquiti的AWS基础设施(2020年12月10日)和GitHub平台(2020年12月21日至22日)克隆了数百个存储库,窃取了大量机密文件。

在窃取数据时,夏普使用Surfshark VPN服务隐藏其家庭IP地址,但“不幸”的是,偶尔的网络中断暴露了他的真实IP地址和位置。

为了进一步隐藏恶意活动,夏普还修改了Ubiquiti服务器上的日志保留时间设置和其他文件,试图避免在事件调查期间暴露身份。

“除其他‘清理’手段外,夏普将AWS上的某些日志的保留时间设置为一天,这意味着系统将在一天内删除入侵者的活动证据”法庭文件中写道。

据BleepingComputer报道,美国地区法官凯瑟琳·波尔克·法伊拉(Katherine Polk Failla)将在5月10日宣布判决结果。

如果罪名成立,夏普面临的指控最高可判处37年监禁。

]]>
立即修改密码,KeePass 曝严重漏洞,密码数据库被明文导出 Tue, 07 Feb 2023 10:48:06 +0800 鉴于各平台对密码的要求越来越复杂,许多用户使用密码管理软件统一存储密码,此举虽然很好帮助用户管理账户信息,但同样意味着一旦此类软件存在安全漏洞,很容易导致机密数据泄露。

近日,Bleeping Computer 网站披露,开源密码管理软件 KeePass 被爆存在严重安全漏洞 CVE-2023-24055,网络攻击者能够利用漏洞在用户毫不知情的情况下,以纯文本形式导出用户整个密码数据库。

不同于 LastPass 、BitwardenKeePass 等云托管的数据库,KeePass 允许用户使用本地存储的数据库来管理密码,并允许用户通过主密码加密数据库,以避免泄漏,这样恶意软件或威胁攻击者就很难访问数据库并自动窃取其中存储的密码。

但 CVE-2023-24055 允许获得目标系统写入权限的威胁攻击者更改 KeePass XML 配置文件并注入恶意触发器,从而将数据库中所有用户名和密码以明文方式导出。

据悉,当目标用户启动 KeePass 并输入主密码以解密数据库时,将触发导出规则,并将数据库内容保存到一个文件中,攻击者可以稍后将其导出到其控制的系统中。值得一提的是,整个数据库导出过程都在系统后台完成,不需要前期交互,不需要受害者输入密码,甚至不会通知受害者,悄悄导出所有数据库中存储的密码信息。

安全研究人员认为 CVE-2023-24055 漏洞爆出可能使威胁攻击者更容易在受损设备上转储和窃取 KeePass 数据库的内容。部分户要求 KeePass 开发团队在黑客“悄悄”导出数据库之前添加确认提示,或者提供一个没有导出功能的应用程序版本。

KeePass 官方表示暂无漏洞修补措施

KeePass 官方声明表示,CVE-2023-24055 漏洞不应该归咎于 KeePass,并且这一漏洞不是其所能够解决的,有能力修改写入权限的网络攻击者完全可以进行更强大的网络攻击。

当用户常规安装 KeePass 时,一旦攻击者具有写入权限,就可以执行各种命令,开展攻击活动,就算用户运行可移植版,威胁攻击者也可以用恶意软件替换 KeePass 可执行文件。

上述两种情况表明,对 KeePass 配置文件进行写入意味着攻击者实际上可以执行比修改配置文件更强大的攻击(这些攻击最终也会影响 KeePass,而不受配置文件保护)。因此,KeePass 建议用户只有保持环境安全(使用防病毒软件、防火墙、不打开未知电子邮件附件等),才能防止此类攻击。

最后,KeePass 开发人员指出,虽然用户无法获得更新版本,但能够通过系统管理员身份登录并创建强制配置文件来保护数据库。

]]>
日产北美公司再次曝出数据泄露严重事件 Tue, 07 Feb 2023 10:48:06 +0800 日产公司近日再次曝出数据泄露严重事件。BleepingComputer报道,日产(NISSAN)北美公司本周二开始发送数据泄露通知,通知客户其第三方服务提供商发生泄露客户信息的安全事件。

第三方泄露数据

该安全事件于2023年1月16日报告给缅因州总检察长办公室,日产在报告中透露,有17998名客户受到该违规行为的影响。

在通知中,日产声称它于2022年6月21日收到了一个软件开发供应商的数据泄露通知。

该软件开发商从日产接收了客户数据,用于为汽车制造商开发和测试软件解决方案,由于数据库配置不当,无意中暴露了这些数据。

在得知安全事件后,日产确保暴露的数据库已得到保护,并启动了内部调查。2022年9月26日,日产证实未经授权的人可能访问了这些数据。

“在2022年9月26日的调查中,我们确定此事件可能导致未经授权访问或获取我们的数据,包括属于日产客户的一些个人信息,”日产通知中写道:“具体来说,在软件测试期间嵌入代码中的数据无意中暂时存储在公共云存储库中。公开暴露的数据包括全名、出生日期和NMAC帐号(日产财务账户)。”最后,该通知澄清说,暴露的信息不包括信用卡详细信息或社会安全号码。

日产表示,到目前为止,它还没有看到任何证据表明这些信息被滥用,并且出于谨慎考虑发出通知。

第三方泄露数据

早在2021年1月,日产北美公司曾经历了类似的数据泄露事件,Git服务器使用默认访问凭据在线暴露,导致该公司的多个存储库被公开泄露。

该事件导致20GB数据泄露,包括移动应用程序和内部工具源代码、市场研究和客户获取数据、诊断和NissanConnect服务详细信息。

2022年10月,丰田也经历了类似的数据安全事件,暴露296019名客户的个人信息。事件原因是包含丰田公司数据库访问密钥的GitHub存储库对公众开放了长达五年之久。

此外,2023年1月初包括日产、本田、讴歌、宝马、奔驰在内的近20家知名车企的在线服务曝出API安全漏洞,可能导致帐户接管和大量车主敏感信息暴露。

]]>
又一国公民个人信息全部泄露,涉事黑客还曾贩卖我国数据 Tue, 07 Feb 2023 10:48:06 +0800 1月29日消息,2022年11月底,荷兰阿姆斯特丹警方逮捕了一名25岁男子,此人来自荷兰阿尔梅勒,涉嫌窃取或交易了全球数千万民众的个人数据。

2020年5月,奥地利联邦刑事调查局发现,该男子在网络犯罪论坛上发布数据集,随后对其活动展开了调查。

此人发布的数据集中,包含一个来自Geburen Info Service GmbH公司(简称GIS)的数百万条地址与个人信息数据集,总计近900万条数据,具体涉及用户的全名、性别、完整地址、出生日期等。

奥地利总人口约910万。GIS是一家负责为奥地利国内电视、收音机等广电接收设备建立归档、记录民众收看收听费用的公司。

奥地利联邦刑事调查局购买了该数据集,确认数据真实,随后调查了资金流向和用于宣传被盗数据的论坛。警方成功追踪到数据集卖家所使用的IP地址,并将此人与阿姆斯特丹的某处住宅地址关联了起来。

2022年5月,阿姆斯特丹公共检察署要求当地检察署接管对嫌疑人的刑事起诉。阿姆斯特丹警方根据奥地利警方提供的数据自行展开调查,并确定嫌疑人曾长期交易个人及医疗数据。

公共检察署发布的新闻稿中提到,“有强烈迹象表明,嫌疑人曾使用掌握的用户名进行操作,长期通过该用户名在论坛上发布患者病历数据等非公开个人数据,并收取费用。其中不仅涉及奥地利民众的敏感数据,也影响到来自荷兰、泰国、哥伦比亚、中国和英国等国的受害者。一经发现,该网络犯罪论坛已被外国警方和调查部门关停下线。”

这名嫌疑人面临四项指控:

拥有网络钓鱼工具包与黑客工具;

盗窃数据并交易非公开数据;

入侵计算机;

存在惯常洗钱。

所谓惯常洗钱,是指嫌疑人曾在2022年进行了价值总计45万欧元的加密货币交易。

“2022年12月5日,阿姆斯特丹地区法院议事厅将审前拘留时间延长了90天。”新闻稿称,“目前,金融与数字方面的调查正在全力推进。”

]]>
全球最大船级社遭勒索攻击,千艘船舶运营受影响 Tue, 07 Feb 2023 10:48:06 +0800 1月20日消息,由于重要船舶软件供应商遭遇勒索软件攻击,已有约1000艘船舶受到影响。

全球最大海事组织之一DNV披露,其于1月7日晚间遭勒索软件攻击, ShipManager软件系统相关的IT服务器已经被迫关闭。

DNV总部位于挪威首都奥斯陆。ShipManager是一套全面的船舶船队管理系统,支持对船舶与船队在技术、运营和合规方面的管理。

这份声明于上周一发布,其中写道,“DNV正与总计70家受到影响的客户开展每日沟通,向其更新正在进行的取证调查结果。约1000艘船舶受到影响。”

“所有用户仍可使用ShipManager软件的船载离线功能,并无迹象表明DNV有任何其他软件或数据受到影响。服务器中断也不会影响到DNV的任何其他服务。”

DNV表示,正在与挪威警方和IT安全公司合作应对此次事件。

DNV是世界上最大的船级社,即管理船舶与海上结构物建造与运营技术认证的组织。DNV目前为超过13175艘船舶及移动海上装置提供服务,2021年收入超20亿美元。

航运业网络威胁态势严峻

针对DNV的攻击成为影响航运业的又一起恶意事件。两周之前,LockBit勒索软件团伙曾对里斯本港发动攻击。在整个2022年,欧洲各港口也先后遭遇一系列勒索软件侵袭。

2022年2月,德国物流集团Marquard & Bahls旗下石油公司Oiltanking和Mabanaft遭受网络攻击,致使其装卸系统瘫痪。Oiltanking公司将攻击定性为“不可抗力”。

同年11月,美国国土安全部长Alejandro Mayorkas向国会作证,称网络攻击已成美国港口面临的最大威胁。

Mayorkas表示,“我们正在提高港口运营的技术水平,这就是为什么不仅海关和边境保护局在关注网络安全,美国海岸警卫队也同样给予关注。”

“对我们的港口来说,网络安全已经成为一股重大威胁。我们当然要集中精力抵御这种威胁并加强自身网络安全。”

]]>
张忠谋、林志玲、徐若瑄等多位台湾名人个人信息疑外泄 Tue, 07 Feb 2023 10:48:06 +0800 近日,台湾中华航空股份有限公司(下简称“华航”)被发现疑似遭遇黑客攻击,导致大批旅客资料外泄到互联网上,其中包括赖清德、张忠谋、林志玲等数十位政商名人、知名艺人。

据网传图片显示,境外某黑客论坛分别在1月4日和1月11日泄露了数十名疑似“华航”旅客的资料,其中包括民进党当局副领导人赖清德、台积电创办人张忠谋、台当局交通部门负责人王国材、台当局外事部门负责人吴钊燮,以及艺人林志玲、徐若瑄等。泄露的信息涵盖了旅客姓名、生日、邮箱地址和手机号码等。

1月4日首次疑似旅客资料泄露事件发生后,1月7日,“华航”发表声明称收到匿名网络勒索邮件,并在第一时间启动了应急防御措施并报警。“华航”称没有出现旅客资料遭遇不当使用的情况。1月11日,疑似泄露资料的黑客再次公布了一批旅客资料。黑客称,由于“华航”迟迟不承认旅客资料泄露,将持续公布黑客入侵路径、“华航”系统清单以及300万会员的资料库等。

1月14日,“华航”发布声明称,经过清查,目前网上流传的疑似泄露的旅客资料与该公司的资料库不尽相符。“华航”再次强烈谴责非法行为,将全力配合警方进行调查。“华航”还提醒旅客定期修改密码,保护好个人资料安全。

台湾民用航空管理部门也表示,已要求“华航”尽快说明事件始末并检查系统安全,确保防御措施正常工作。该部门还要求“华航”落实旅客个人资料保护措施,维护旅客权益。针对事件的前因后果和善后措施,台湾民用航空管理部门还要求“华航”立即提出改善报告。

]]>
旧金山湾区地铁遭勒索攻击,轨交业已成黑客攻击重灾区 Tue, 07 Feb 2023 10:48:06 +0800 1月10日消息,在被勒索软件团伙公开列入“已勒索”名单后,旧金山湾区城轨交通系统(BART)开始对这起疑似勒索事件开展调查。

作为美国第五繁忙的重轨快速交通系统,BART在1月6日被列入Vice Society勒索软件团伙的泄密网站上。BART首席通讯官Alicia Trost表示,他们正在调查该团伙窃取和发布的数据。

她称,“需要明确的是,BART的服务或内部业务系统并未受到影响。与其他政府机构一样,我们正采取一切必要的防范措施加以应对。”

轨交业已成为黑客攻击重灾区

近年来,轨道交通行业已成网络攻击重灾区。2021年4月,作为全球最大交通系统之一,纽约市大都会运输署遭到某个黑客团伙攻击。

虽然这次攻击并未造成任何损害,也没有令乘客身陷险境,但市政官员在报告中仍发出警告,称攻击者可能已经触及关键系统、也许在其中埋设了后门。

同月,圣克拉丽塔谷运输署遭到勒索软件攻击;2020年,宾夕法尼亚州东南部运输署也受到勒索软件侵扰。

就在上周,全球最大铁路和机车企业之一Wabtec公布消息,称去年夏季的疑似勒索软件攻击已经引发一起涉及大量员工的数据泄露。

美国国土安全部长Alejandro Mayorkas去年宣布了针对铁路运营商的网络安全新规,要求各运营商强制披露黑客攻击、制定网络攻击恢复计划,并任命一位首席网络官员。该规定已经于去年12月到期。

Vice Society勒索软件团伙凭借对大学及K-12基础教育学校的攻击活动震动全世界,其中包括美国第二大公立学区和英国的多所学校。

FBI、网络安全和基础设施安全局(CISA)等多家机构曾在去年9月的警告中指出,Vice Society在过去一年内“以超高比例”攻击了数十家教育机构,并在2022年秋季进一步上调了攻击级别。

但根据微软去年10月发布的一份报告,该团伙也“仍在关注安全控制力较弱、易于入侵且支付赎金可能性较高的组织”。

]]>
瑞士军队安全通信软件曝出大量严重漏洞 Tue, 07 Feb 2023 10:48:06 +0800 该大学的应用密码学小组本周发布了研究论文(链接在文末),详细介绍了Threema自主开发的密码协议中的七个严重漏洞。利用这些漏洞,不法分子将能克隆帐户并读取用户消息,窃取私钥和联系人,甚至出于勒索目的炮制有害资料。

Threema总部位于瑞士,数据中心位于阿尔卑斯山地区,自称是比WhatsApp(编者:已经被瑞士军队禁用)更安全的非美国加密通信产品的替代品。Threema没有Signal或Telegram流行,但是对于瑞士军队这样的客户来说,小众的Threema似乎更安全,因为流行消息应用往往无法避免海外政府的窥探。

Threema目前拥有超过1000万用户和7000名本地客户——包括德国总理奥拉夫舒尔茨。

Threema在博客文章中淡化了研究者发现的漏洞,声称这些漏洞是在Threema停用的协议中发现的。“虽然这些漏洞从理论上讲可能很有趣,但它们没有对现实世界产生任何重大影响”。

以下是Threema的声明:

去年,苏黎世联邦理工学院计算机科学系的一名学生撰写了关于Threema通信协议的硕士论文。该大学现已将他的作品作为论文/预印本发表。但是,该论文基于不再使用的旧协议。调查结果不适用于Threema当前的通信协议“Ibex”,或者已经得到解决。他们都没有对现实世界产生过任何重大影响。

披露Threema漏洞的三位研究人员——计算机科学教授Kenneth Paterson和博士生Matteo Scarlata与Kien Tuong Truong在一个关于Threema安全漏洞的网站上指出,他们最初是在2022年10月向Threema披露了他们的发现,后者同意研究者在1月9日公开披露。

Threema于2022年11月下旬发布了其Ibex协议,研究人员表示尚未审核这一在漏洞发现后发布的新协议。不过研究人员表示“相信所有漏洞都已通过Threema最近的补丁得到缓解”。

在给The Register的电子邮件中,Paterson指出,Threema声明中的所谓“旧协议”,其实就是ibex协议发布之前使用的协议。

他补充说,Threema的声明“极具误导性,这令人非常失望。”

虽然安全研究人员承认这些漏洞不再对Threema客户构成威胁,但他们的发现仍然凸显了评估“自主开发加密协议安全声明”的困难性。

“理想情况下,任何使用新型加密协议的应用程序都应该进行正式的安全分析(以安全证明的形式),以提供强大的安全保证,”研究者补充道:“这样的分析有助于降低类似Threema这样的软件中暗藏更严重漏洞的风险。”

]]>
网络攻击致使英国邮政巨头中断国际寄件服务 Tue, 07 Feb 2023 10:48:06 +0800 1月12日消息,因“网络事件”导致的“严重服务中断”,英国邮件递送服务巨头皇家邮政(Royal Mail)宣布暂停国际运输服务。

英国本土的货物配送服务并未受到影响,但该公司已向客户建议,在此期间暂缓向海外寄送邮件,相关服务将在问题解决后恢复。

皇家邮政发言人向媒体表示,“事件是在昨天被发现的,但英国国内的邮件不受影响。”

在一份声明中,皇家邮政表示已在配送的邮件可能出现延误,但Parcelforce Worldwide(全球包裹力量)服务并未中断。

皇家邮政表示,“我们的进口业务将继续提供全面服务,只是会出现一些小延误。Parcelforce Wordlwide出口服务仍面向各国际目的地提供服务,但客户可能会遇到一、两天延迟。”

“我们立即对事件展开调查,并与外部专家合作。此次事件已经上报给监管机构和相关安全部门。”

英国国家网络安全中心(NCSC)发言人表示,该中心“已知悉此次影响皇家邮政集团公司的事件,且正在与该公司及国家犯罪局合作以充分了解其影响。”

皇家邮政周三也提到,“我们的团队正全天候工作,努力解决此次中断问题。一旦获得更多信息,我们将尽快发布通告。”

皇家邮政IT设施事故频发

在此之前,2022年11月该公司也曾发生一次中断,导致邮件跟踪服务瘫痪超24个小时。

当时的中断影响到Track and Trace网站,导致英国居民只能通过皇家邮政的应用来跟踪包裹、信函和邮件递送情况。

媒体还发现,皇家邮政的Click & Drop网站也遇到了付款故障,无论使用哪种支付方式(信用卡、借记卡、PayPal等)尝试多少次均无法正常操作。

因为无法在线支付配送费,客户们也就无法在家中打印邮资标签。

最近一段时间,这家邮件递送业巨头可谓流年不利。先是被卷入与英国通讯职工联合会的谈判以及计划中的全国大罢工,此次又突然曝出IT故障问题。

]]>
突破太空网络安全!航天器关键技术爆严重漏洞 Tue, 07 Feb 2023 10:48:06 +0800 当美国航空航天局(NASA)需要两部在轨航天器保持相对静止并完成对接时,时机的把握至关重要。二者的运行必须彼此精确同步,才能防止发生灾难性故障。这意味着负责控制其推进器的计算机网络绝不能有哪怕一瞬间的中断,必须保证每次都能按时交付关于何时/如何移动的明确指示。

宾夕法尼亚大学工程学院计算机与信息科学系副教授Linh Thi Xuan Phan与密歇根大学、NASA的一组研究人员合作,发现了该系统及其他安全关键系统所使用的网络技术中,存在一个严重漏洞“PCspooF”。

这种网络技术被称为“时间触发以太网”,简称TTE,已在航空、航天和重工业领域应用了十多年。在这类场景下,会有多种不同类型的信息持续在计算机网络中传播,但并非所有信息都需要相同级别的计时精度。时间触发以太网能确保最关键的信号获得优先权,因此无需单独部署专用的网络硬件。

对于NASA来说,通过时间触发以太网在同一物理网络上传输多种类型的信号显得尤其重要,因为它必须精打细算航天器的每一克重量。而此次研究结果表明,时间触发以太网的安全保证效果可能因电磁干扰而受到损害。对高优先级信号的计时干扰,足以导致模拟对接程序出现严重故障。

图片

图:PCspooF漏洞攻击过程概述

Phan教授与密歇根大学的Andrew Loveless、Ronald Dreslinski以及Baris Kasikci,共同在2023年IEEE安全与隐私研讨会的论文集上发表了这一发现。

在NASA约翰逊航天中心工作期间,Loveless开始利用模拟数据调查这一潜在安全漏洞。他和密歇根大学的同事们还聘请网络物理系统安全专家Phan来研究时间触发以太网的网络硬件的自身缺陷。

结果表明,低优先级信号的发送方式可以使负责消息传输的以太网线缆产生电磁干扰,进而让恶意消息顺利通过原本会阻止它们的交换机。

Phan表示,“时间触发以太网技术在关键系统中被广泛应用,因为能保证两种类型的信号不会相互干扰。但如果这一假设并不可靠,那么以此为基础建立的一切都会土崩瓦解。”

该团队曾在2021年私下向使用时间触发以太网的主要企业、组织以及设备制造商披露了研究发现和缓解建议,包括将铜缆替换为光纤及其他光频隔离器。

Loveless表示,“各方都非常愿意采取缓解措施。据我们所知,该隐患尚未对任何相关方构成实际安全威胁。我们对行业和政府的积极反应感到欣慰。”

]]>
英国多所学校数据遭大规模泄露,教育行业成勒索软件的主目标 Tue, 07 Feb 2023 10:48:06 +0800 在 2022 年发生高校攻击事件后,来自 14 所英国学校的数据被黑客在线泄露。泄露的文件包括学生的 SEN 信息、学生护照扫描件、员工工资表和合同细节。在被攻击的学校拒绝支付赎金要求后,信息被泄露。

据报,攻击和泄露事件是由黑客组织 Vice Society 实施的,该组织针对英国和美国的教育机构进行了多次勒索攻击。

2022 年 10 月,洛杉矶联合学区 (LAUSD)警告称,Vice Society已开始发布从该机构窃取的数据。此前,LAUSD 宣布不会向勒索者付款。

受影响的 14 所英国学校中的许多学校已向家长、学生和教职员工提供了有关该事件的最新信息。

受新泄漏影响的学校有:圣海伦斯的卡梅尔学院;达勒姆约翰斯顿综合学校;Frances King 英语学校,伦敦/都柏林;盖特威学院,汉密尔顿,莱斯特;圣家 RC + CE 学院,海伍德;兰普顿学校,豪恩斯洛,伦敦;莫斯本联合会,伦敦;皮尔顿社区学院,巴恩斯特普尔;塞缪尔莱德学院,圣奥尔本斯;东方和非洲研究学院,伦敦;泰晤士河畔森伯里圣保罗天主教学院;斯托克布里奇测试谷学校;德蒙福德学校,伊夫舍姆。

在过去几年中,教育行业一直是勒索软件的主要目标。Sophos 于 2022 年 7 月发布的一份报告发现,56% 的低等教育机构和 64% 的高等教育机构在过去一年受到了勒索软件的攻击。

由于缺乏网络安全投资以及连接到其系统的大量设备等因素,学校和大学已经被网络犯罪分子视为“软目标” ,使敏感的个人和研究数据面临风险。

Absolute Software 欧洲、中东和非洲地区副总裁 Achi Lewis 评论说:“由于学校和大学系统中存储了大量敏感数据,教育部门是恶意网络犯罪分子有利可图的目标。因此,勒索软件攻击是一个必然问题,而不是偶然问题,这就要求教育机构要准备好预防和应对这些攻击,否则他们就有文件被盗和泄露的风险。”

BlackBerry UKI 和新兴市场副总裁 Keiron Holyome 强调了加强教育部门端点安全以应对勒索软件威胁的重要性。“为确保教育的连续性,尤其是在远程学习的背景下,我们鼓励政府投资教育部门的网络安全。

]]>
全球超级港口遭勒索攻击后网络瘫痪 Tue, 07 Feb 2023 10:48:06 +0800 全球超级港口之一、葡萄牙最大港口里斯本港当地官员确认,由于遭受网络攻击,港口网站一周后仍无法正常访问。大约在同一时间,LockBit团伙将里斯本港列入其网站已勒索名单,声称发动了勒索软件攻击。

新闻报道称,里斯本港务局(APL)证实,本次攻击并未损害其关键基础设施的运营。攻击发生后,港务局已将事件上报至国家网络安全中心和司法警察局。

港口官员在采访中表示,“针对此类事件规划的各项安全协议和响应措施都已迅速启动。里斯本港务局与各主管部门长期保持密切合作,共同保障系统和相关数据的安全。”

LockBit勒索软件团伙声称,窃取到了财务报告、审计、预算、合同、货物信息、船舶日志、船员详细信息、客户PII(个人身份信息)、港口文件、往来邮件等数据。该团伙还公布了被盗数据样本,但披露数据的合法性无法得到验证和证实。

LockBit威胁称,若里斯本港不满足赎金要求,他们将在2023年1月18日公布入侵期间窃取到的所有数据。该团伙提出的赎金数额为150万美元,并表示受害者可以先支付1000美元,将数据发布时间延后24小时。

年底勒索软件团伙愈加猖獗

上个月,LockBit勒索软件团伙袭击了美国加利福尼亚州财政部,并窃取到76 Gb数据。该团伙威胁称,如果受害者不在2022年12月24日前支付赎金,将泄露窃取数据内容。根据声明,LockBit在此次攻击中窃取到数据库、机密数据、财务文件、认证、法庭与性诉讼资料、IT文件等信息。

加州财政部在声明中确认了此次攻击事件,称“加利福尼亚州网络安全集成中心(Cal-CSIC)正积极应对涉及州财政部的网络安全事件。通过与州及联邦安全合作伙伴共同协调,已主动发现了入侵行为。在识别出威胁后,已迅速部署数字安全与在线威胁搜寻专家以评估入侵程度,同时检查、遏制和缓解未来漏洞。”

以往,黑客团伙曾多次在勒索要求未得到满足下公开数据内容。2022年10月,新闻报道称Hive勒索软件的勒索即服务(RaaS)团伙就泄露了从印度塔塔电力能源公司窃取到的数据。两周前,该黑客团伙对外声称对塔塔电力网络攻击事件负责,塔塔电力也做出证实。

已有研究表明,LockBit 3.0似乎采用(或大量借鉴)了BlackMatter勒索软件家族提出的概念和技术。研究人员从二者间发现了诸多相似之处,有强烈迹象表明LockBit 3.0复用了BlackMatter的代码。

过去一年全球关基设施屡遭勒索攻击蹂躏

里斯本港勒索攻击事件是针对欧洲港口一系列严重网络攻击的又一起事件。

2022年2月,网络攻击影响到整个欧洲的多家石油运输和储存企业,当局确认这波大规模网络攻击还波及到比利时、德国和荷兰的港口设施。比利时SEA-Invest和荷兰Evos的IT系统遭到破坏;与此同时,有未经证实的报道称,BlackCat勒索软件可能已破坏了德国石油供应商Oiltanking GmbH Group和Mabanaft Group的系统。

2022年11月,美国国土安全部部长Alejandro N. Mayorkas在参议院国土安全和政府事务委员会就“对国土的威胁”问题作证时称,截至2022年2月,网络安全与基础设施安全局、联邦调查局和国家安全局发现,美国16大关键基础设施行业中有14个都曾遭受勒索软件事件影响。受害者在2021年上半年共支付约5.9亿美元赎金,远高于2020年全年的4.16亿美元。

Mayorkas表示,“我们认为对于勒索软件事件的报告仍严重不足。根据评估,我们认为针对美国网络的勒索软件攻击在短期和长期内还将继续增加,因为网络犯罪分子已经建立起有效的商业模式,能够提高攻击活动的经济收益、成功几率和匿名性。”

近年来,勒索攻击事件在美国各州、地方、部落和领土(SLTT)政府机构及关键基础设施组织层面已愈发普遍。2020年,全美勒索攻击提出的赎金总额超过14亿美元。

]]>
又吃巨额罚单!Meta因违反欧盟数据隐私规定被罚 3.9 亿欧元 Tue, 07 Feb 2023 10:48:06 +0800 据BleepingComputer消息,当地时间1月4日,爱尔兰数据保护委员会 (DPC) 以Meta强迫 Facebook 和 Instagram 用户接受定向投放的个性化广告,违反欧盟《通用数据保护条例》为由,向Meta开出3.9亿欧元巨额罚单。

《通用数据保护条例》 (GDPR) 于2018年5月出台,旨在更好地保障用户隐私。但Meta被指通过与用户签订“用户协议”来绕过条例监管,一旦签订协议即代表用户同意平台处理个人数据以提供有针对性的广告投放,而不是单独询问用户“是否接受”。

爱尔兰数据保护委员会开出的3.9亿欧元罚单中, 2.1 亿欧元用于处罚Facebook,1.8亿用于处罚Instagram。爱尔兰数据保护委员会还勒令 Meta 在未来三个月内进行整改,使数据处理行为符合条例规定。

Meta将对处罚结果提出上诉

当日,Meta已对这一处罚结果发表声明,称并不认同这一裁决,将进行上诉。Meta表示在欧盟地区推出的个性化广告完全符合《通用数据保护条例》相关规定,并对爱尔兰数据保护委员会“缺乏监管透明度”而表示遗憾。

无论结果如何,这已经是短短三个月内Meta被爱尔兰数据保护委员“二度施以重罚”。在刚刚过去的2022年11月,因Facebook泄露5.33亿用户隐私数据,Meta被处以2.65 亿欧元罚款。

截至目前,爱尔兰数据保护委员会已累计对Meta开出了13亿欧元罚单,同时还有针对该公司的其他11项调查正在进行中。

]]>
又遭信息泄露?丰田印度就可能的客户数据泄露发出警告 Tue, 07 Feb 2023 10:48:06 +0800 1 月 2 日消息,据《印度斯坦时报》报道,丰田印度公司当地时间 2023 年 1 月 1 日表示,已将丰田基洛斯卡汽车公司(Toyota Kirloskar Motor)数据泄露一事通知印度有关部门。该公司为丰田与印度基洛斯卡集团(Kirloskar Group)的合资企业。

TKM 公司在一份电子邮件声明中表示:“接到公司一家服务提供商通知,部分客户的个人信息可能已在互联网上泄露。”该声明没有透露数据泄露的规模或受影响的客户数量。

这并非是丰田首次泄露用户信息。2022 年 10 月,丰田汽车官方表示,使用其 T-connect 服务的约 29.6 万名客户的个人信息可能已被泄露,包括电子邮箱地址和客户编号等,用户可能会收到垃圾邮件、网络钓鱼邮件等,但其它敏感信息如姓名、电话号码和信用卡信息均未受到影响。随后,丰田汽车就此事向受影响的客户发送电子道歉邮件,同时建立了网站表单,客户可以查看自己的电子邮箱是否在可能被泄露的范围内。丰田汽车还设立了专门的呼叫中心,以回答客户针对信息泄露的相关问题。

]]>
美国路易斯安那州医院遭勒索攻击,27万名患者信息泄露 Tue, 07 Feb 2023 10:48:06 +0800 据BleepingComputer 12月28日消息,位于美国路易斯安那州的查尔斯湖纪念医院 (LCMHS) 发出通告称,该院近期发生了一起网络勒索攻击事件,近27万名患者信息遭到泄露。

根据 LCMHS 网站发布的公告,数据泄露发生在 2022 年 10 月 21 日,当时安全团队检测到了计算机网络上存在异常活动。在10 月 25 日结束的一项内部调查显示,攻击者获得了对 LCMHS 网络的未授权访问权限,并窃取了敏感文件。这些文件包含患者信息,如患者姓名、出生日期、住址、病例、患者识别号、医保信息、支付信息等。

LCMHS 向美国卫生与公共服务部 (HHS) 报告了这一事件。当局公布的报告称,有 269752 名患者受到该事件的影响。

Hive 还发布了据称在破坏 LCMHS 系统后被盗的文件,但BleepingComputer目前还无法确认这些文件是否真实。

]]>
加拿大铜矿场遭勒索软件攻击被迫关闭 Tue, 07 Feb 2023 10:48:06 +0800 加拿大一家主要铜矿场上周边到勒索软件攻击,被迫以手动作业,并关闭采矿设备。

加拿大铜山采矿公司(Copper Mountain Mining Corporation)表示,去年12月27日该公司IT系统和公司办公室遭到勒索软件攻击。该公司为了降低损害而将运行系统独立开来、转为手动操作,并预防性关闭矿场以判断控制系统受到的影响。

铜山采矿公司已经通报主管机关,合作的外部安全厂商及其IT部门正在评估风险,也已增加防范措施,表示攻击没有造成安全事件或环境影响。

这家采矿企业目前正在调查攻击来源。安全媒体BleepingComputer报道,安全企业KELA发现,事件发生前约2周,有人在黑客论坛上销售这家公司员工的访问凭证,极可能直接或间接造成攻击事件的发生。

]]>
小心踩雷掉坑!一女子称点击爱奇艺广告买券被骗 Tue, 07 Feb 2023 10:48:06 +0800 现如今,大家的手机里都会下载各种视频App来浏览视频。在观看视频的时候,界面会时不时跳出一些广告,而这些广告中有时会出现一些促销、优惠活动等信息。近日,CNMO了解到,一女子表示自己点击爱奇艺广告买券被骗。

据了解,在山东青岛,一位孙女士通过“爱奇艺”广告页面得知可以用29.9元购买100元的话费。不过想要获得该券的用户需要下载“优品优驯App使用。为了获得该优惠券,孙女士搜索了这款名为“优品优驯的App,但是结果却出乎意料。

12月31日,孙女士向媒体表示,自己付款后根本找不到该App。这也就是说孙女士买的“100元话费券”无法使用。对此,孙女士表示,“想让更多人知道,这是个骗子”,希望以此提醒网友避免“踩雷”。

据了解,孙女士付款的商户全称为廊坊创景科技有限公司。相关相信显示,该涉事公司成立于2022年9月15日,地址位于河北省廊坊市固安县,属于软件和信息技术服务业。该公司的经营范围包括网络技术开发、技术咨询、技术服务、技术转让;通信设备、计算机软硬件的技术开发;互联网数据服务;平面设计;图文设计制作;广告设计、代理;广告发布;广告制作等。

]]>
勒索软件团伙良心发现?为儿童医院攻击事件道歉 并提供免费解密工具 Tue, 07 Feb 2023 10:48:06 +0800 1 月 3 日消息,勒索软件是一种人人喊打的工具,不法分子一般会通过锁定用户的计算机和文件来要求支付巨额赎金,然而你相信勒索软件团伙也是有原则的吗?


世界上最臭名昭著的勒索软件团伙之一 LockBit 在声称其合作伙伴之一对加拿大最大的儿科医院的网络攻击负责后,发表了罕见的道歉。

2022 年 12 月 18 日,多伦多儿童医院(SickKids)遭到勒索软件攻击,导致该机构无法访问许多关键系统。该事件导致患者等待时间增加。截至 12 月 29 日,SickKids 表示已重新获得近 50% 的优先系统的访问,包括导致诊断和治疗延误的系统。

上周末,安全研究员 Dominic Alvieri 发现 LockBit 团伙为参与该事件而道歉。该组织表示将向 SickKids 提供免费解密工具,并以违反该团伙规则为由屏蔽了实施攻击的“伙伴”。该组织声称禁止附属机构将攻击可能导致某人死亡的“医疗机构”作为目标。

多伦多儿童医院(SickKids)官推承认了 LockBit 的这一声明,并表示正在与外部安全专家合作“验证和评估解密工具的使用”。


]]>
揭秘:伊朗黑客曾入侵以色列敏感区域摄像头,后者国安部门未做处置 Tue, 07 Feb 2023 10:48:06 +0800 12月26日消息,以色列时报报道称,以色列国家安全机构一年前就已发现,有伊朗黑客团伙控制了以色列数十台安保摄像头,但并未采取任何阻止措施。直到上周一晚间有报道称,该黑客团伙发布了来自以色列各地的多段视频,包括去年一处武器制造设施以及上月发生在耶路撒冷的恐怖袭击的监控画面。

此次播报为前期预告,完整调查报道在次日(12月20日)正式播出。以色列公共广播公司Kan称,尽管以色列官员早已发现黑客团伙Moses Staff的活动,但却并未对摄像机采取保护行动。这次播放的报道片段并未公布消息来源。

该团伙在其Telegram频道上公布了多地视频画面,包括以色列海法拉斐尔国防承包工厂周边镜头,以及耶路撒冷及特拉维夫等各处摄像机拍下的镜头。

该团伙还公布了上月在耶路撒冷发生的恐怖爆炸袭击事件画面,该事件已导致两人死亡。这些画面明显来自以色列主要安全机构所使用的监控摄像头。

根据Kan广播公司的介绍,黑客团伙在很长一段时间内能够随意控制摄像机,包括平移、倾斜和缩放拍摄镜头。目前还不清楚这些摄像机是否遭受黑客攻击。

安全官员在接受Kan采访时表示,Moses Staff上传的视频来自未接入任何安保网络的民用摄像机。

Kan广播公司提到,完整报道将探讨黑客在监视以色列高级官员方面做出的尝试,同时会揭露Moses Staff背后的推动力量。

Moses Staff黑客团伙曾在今年6月宣称对一次网络攻击负责,此次攻击导致耶路撒冷和以色列南部城市埃拉特的部分地区误响火箭空袭警报。

Moses Staff去年还曾表示其窃取到关于士兵的敏感信息,具体内容似乎来自LinkedIn上的公开资料;此外,该团伙还通过商业网站获得了以色列航拍图像。

还有另一条未经证实的消息,该团伙声称曾在6月致使军用观察气球在加沙地带坠毁。但以色列军方表示事故起因是气球没有正确系好。

]]>
非法收集儿童信息,腾讯参股公司被罚5.2亿美元 Tue, 07 Feb 2023 10:48:06 +0800 美国联邦贸易委员会(FTC)和游戏公司Epic Games近期表示,Epic Games将支付5.2亿美元,以了结FTC对其非法收集儿童个人信息并诱骗人们购物的指控。

Epic Games是热门游戏《堡垒之夜》的开发商,并因对苹果和谷歌安卓平台的反垄断起诉而闻名。腾讯是Epic Games的大股东,公开资料显示,在去年4月Epic Games获得新一轮融资后,腾讯持股40%。

根据Epic Games和FTC达成的最新和解协议,Epic Games因违反儿童隐私法(COPPA)将支付创纪录的2.75亿美元罚款,并将取消侵犯隐私的默认设置。FTC表示,Epic Games还将支付2.45亿美元退款,以退还被所谓的“黑暗模式”欺骗而进行游戏内支付购买商品的消费者。

FTC主席Lina Khan在一份声明中称:“Epic Games使用了侵犯隐私的默认设置和欺骗性界面,欺骗了《堡垒之夜》的用户,包括青少年和儿童。”

FTC在游戏行业监管方面正在加大力度。上周,FTC宣布对微软以690亿美元收购动视暴雪提出诉讼。

Epic Games在周一的一份声明中表示,玩家可以通过信用卡寻求退款。公司还表示,为了保护儿童,已经创建了一些新功能,例如更易于访问的家长控制模式,以及允许父母授权购买的密码要求、13岁以下儿童的每日支出限额等。

此次FTC和Epic Games达成的协议主要是两部分,一是儿童隐私保护;二是欺诈点击付费。美国儿童在线隐私保护法(COPPA)对儿童有明确的定义,也就是年龄在13岁以下,并规定网络从业者在收集13岁以下儿童个人信息之前,必须首先获得家长的同意。

对于青少年儿童在网络游戏世界中的隐私以及支付限制也是中国游戏公司高度关注的。国内在去年正式实施的《个人信息保护法》当中也有明确规定,将不满14周岁的未成年人的个人信息规定为敏感个人信息,并要求相关企业对此制定专门的个人信息处理规则。

具体来看,《个人信息保护法》第二十八条规定:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。”

《个人信息保护法》第三十一条规定:“个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。”

青少年儿童的个人信息属于敏感数据,因为儿童青少年的个人自我保护意识普遍较弱,个人信息一旦遭到不法者的利用,可能导致严重后果,因此需要立法给予特殊的保护,应当取得监护人同意之后才可收集。

]]>
英国知名媒体《卫报》疑遭勒索软件攻击 Tue, 07 Feb 2023 10:48:06 +0800 知名新闻机构是黑客的高价值目标,英国卫报似乎是最新一家成为攻击的受害者。

当地时间周二(12月20日)晚上,该出版物发生了“严重的IT事件”。总编辑凯瑟琳·维纳 (Katharine Viner)和卫报媒体集团(Guardian Media Group)首席执行官安娜·贝特森(Anna Bateson)在一份报告中告诉员工,过去24小时内发生了一起严重事件,影响了IT网络和系统。他们认为这是勒索软件袭击,继续考虑所有可能性。卫报的技术团队一直在努力处理这一事件的各个方面,有大量的员工都能够像大流行期间那样在家工作。目前尚没有任何组织声称对此事件负责。

正如《卫报》媒体编辑首次报道的那样,该事件发生在当地时间12月20日(星期二)深夜,并扰乱了该公司的部分技术基础设施。它促使管理层告诉员工在本周剩下的时间里远程工作。《卫报》的一些技术基础设施和“后台服务”受到了影响。对在线出版几乎没有影响,新文章定期出现在卫报的网站和移动应用程序上。《卫报》仍然能够在其网站和应用程序上发布新闻,领导人有信心能够在周四(22日)发布印刷版。

目前尚不清楚是否有任何数据被盗,或者卫报是否收到赎金要求。根据TechCrunch的说法,有关该事件的其他事实仍然模糊不清。 

使用勒索软件的犯罪分子通常会从受害者那里窃取敏感信息,并威胁要泄露这些信息,除非向他们支付赎金。

也不清楚谁应对这次袭击负责,目前还没有大型勒索软件团伙声称对此负责。

据《新闻公报》报道,卫报是世界上阅读量排名第九的新闻网站,11月的访问量接近3.9亿。

最近几个月,其他新闻机构也遭遇了安全事件。

安全软件公司ESET的全球网络安全顾问Jake Moore表示,Guardian成为被攻击并不令人意外。“今年,新闻机构已成为网络攻击的常规目标,这些攻击通常会对目标公司造成更大的破坏性影响,”他说。“勒索软件通常会使所有部门陷入停顿,因此幸运的是,尽管发生了这次攻击,该组织仍会看到一些关键领域照常工作。”

美国公司网站Fast Company在9月遭到黑客攻击,目的是向Apple News读者发送恶意推送警报。根据之前的报道,有人以“Thrax”的名义侵入了Fast Company新闻并引发了这起事件。尽管暴露了一个名字,但这次违规行为的真正肇事者仍然不为人知。

推特上充斥着来自相关iPhone用户的各种截图。许多没有订阅Fast Company的人仍然收到了类似的警报。该警报将读者带到另一篇被黑的文章,其中使用了相同的挑衅性语言。

纽约邮报在10月份声称,一名流氓员工接管了其网站和Twitter账户,是种族主义和性别歧视帖子背后的罪魁祸首。

]]>
黑客利用推特漏洞窃取4亿用户数据 以20万美元在线出售 Tue, 07 Feb 2023 10:48:06 +0800 12月27日讯,据CSDN消息,近日,网名为 Ryushi 的用户在黑客论坛 Breached 上发布了一个帖子称,已成功利用推特21年的漏洞抓取了超 4 亿用户数据,并以20万美元的价格在线出售。

为了证明数据的真实性,黑客直接分享了37 人的个人数据,其中包括美国民主党议员 AOC(Alexandria Ocasio-Cortez)、以太坊加密货币创始人 V 神等知名用户的私人信息。示例数据包含以下信息:电子邮件、姓名、用户名、关注者数量、创建日期,甚至还有用户的电话号码。黑客还链接到一个帖子,解释这些数据如何被其他威胁行为者滥用于网络钓鱼攻击、加密货币诈骗和 BEC 攻击。

此外,黑客还提供了 1000 个账户的样本作为证明,他建议推特或马斯克花钱购买该数据库,否则他们将会面临欧盟巨额罚款。

针对此次黑客勒索事件,爱尔兰数据保护机构表示,推特显然违反了《通用数据保护条例》的规定,该条例是欧洲的隐私法规,通常与巨额罚款挂钩。如果黑客所盗数据得到证实,将是对推特及其首席执行官马斯克的沉重打击。

]]>
谎称电脑中毒 印度团伙假冒微软工程师骗了美国人100多亿美元 Tue, 07 Feb 2023 10:48:06 +0800 由于语言及人口资源上的优势,很多美国科技公司都把客服中心放在了印度,咨询售后问题会交给印度工程师来解决,然而这个模式也被印度的诈骗团队利用了,他们通过假冒微软工程师等方式骗了美国人100多亿美元。

根据美国FBI公布的信息,2022年1到11月,美国人遭遇的欺诈损失就高达100多亿美元,2021全年则是69亿美元,意味着网络诈骗活动还在增多。

这类诈骗花样多多,受害者也主要是美国的中老年人,因为他们对电脑系统也不太了解,容易被技术支持电话钓鱼欺诈。

其中一个重要来源就是印度的骗子团队,他们运营者大量虚假的呼叫中心,假冒微软工程师提供技术支持,称用户的系统中毒了,或者温度过高容易爆炸,让受害者花钱解决,甚至银行卡被洗劫一空。

除了假冒工程师之外,这些网络诈骗团伙还有其他各种手段,另一种常见的方法就是虚假的在线聊天,利用虚构的浪漫爱情让一些中老年男人买单,这也是很经典的网骗套路了,全球也屡见不鲜。

]]>
蔚来汽车用户数据遭窃!被勒索225万美元比特币 Tue, 07 Feb 2023 10:48:06 +0800 12月20日,蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布公告,2022年12月11日,蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元(当前约1570.5万元人民币)等额比特币。在收到勒索邮件后,公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。

“在收到勒索邮件后,公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。”蔚来汽车在声明中表示,经初步调查被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。

对于是否是因翻越蔚来防火墙导致数据失窃,有蔚来汽车高层对财联社记者回应称,“目前数据被窃取的情况还在调查中。”

针对可能造成的用户损失,蔚来汽车客服人员表示,不会做出主动赔偿,但“对客户的反馈会记录再案,且会对因本次事件给用户造成的损失承担责任”。蔚来客服同时表示,目前尚未出台赔偿方案,并提醒,如近期遇涉及蔚来的陌生来电,需小心谨慎,勿透露个人信息。

一张流传于网络的图片显示,有人宣称破解了蔚来大量数据,并公开叫价出售。其列出的数据涉及蔚来的经营以及客户隐私,包括蔚来员工数据、订单数据、用户及企业代表联系人数据,还包括车主身份证、用户地址,甚至车主亲密关系、车主贷款数据等极为隐私的信息。

这些信息被明码标价,价格均以比特币为单位,比如2.28万条员工数据,售价0.15比特币;3.99万条车主身份证数据,售价0.25比特币;全部数据打包,售价1比特币。

针对数据泄露遭勒索的情况,蔚来汽车态度坚决。“窃取、买卖此类数据是违法犯罪行为,公司对此予以严厉谴责,也坚决不会向网络犯罪行为低头。”蔚来在声明中表示,将协同有关执法部门深入调查此次事件,并依法坚决打击相关的数据窃取、买卖行为。

“中汽协支持蔚来汽车的声明,不应向犯罪行为妥协。”中国汽车工业协会秘书长助理兼技术部部长王耀对记者表示。

王耀同时分析认为,以其个人初步判断,这次不是因技术问题导致的数据泄露。“目前看,对于蔚来汽车用户来说,不会出现系统性大规模数据泄露,也不会引发车辆端安全问题。”王耀称。

智能化是汽车产业发展的重要趋势,而数据则是实现智能化的基石。随着汽车智能化程度越来越高,守好数据确保安全,关乎到用户的权益,更关乎行业发展进程。汽车企业作为数据运营的主体,是数据安全的主体责任。

就在12月13日,工信部印发《工业和信息化领域数据安全管理办法(试行)》的通知。其中指出,“工业和信息化领域数据处理者应当对数据处理活动负安全主体责任。”同时,“工业和信息化领域数据处理者在数据安全事件发生后,应当按照应急预案,及时开展应急处置,涉及重要数据和核心数据的安全事件,第一时间向本地区行业监管部门报告,事件处置完成后在规定期限内形成总结报告,每年向本地区行业监管部门报告数据安全事件处置情况。工业和信息化领域数据处理者对发生的可能损害用户合法权益的数据安全事件,应当及时告知用户,并提供减轻危害措施。”

仅从目前被披露的信息,此次蔚来被窃数据尚未涉及车辆安全等,只不过因其作为智能电动品牌的代表而被业内广泛关注。但即便如此,切实保障数据安全已成为全社会的共识。

蔚来汽车在声明中称,蔚来有责任并有义务使用一切手段保护用户信息安全,事件发生后,对公司网络信息安全进行了排查与强化,以避免此类事件的再次发生。

]]>
美国加州财政部遭勒索攻击,专家称不清楚黑客如何入侵 Tue, 07 Feb 2023 10:48:06 +0800 Bleeping Computer 网站披露,LockBit 黑客组织宣布从加州财政部盗取近 76GB 数据。目前,加州网络安全情报中心(Cal-CSIC)已着手调查此次网络攻击事件。

加州相关部门证实财政部数据泄露

据悉,加州州长紧急事务办公室已经证实了财政部遭受了网络攻击,并强调攻击事件发生不久后,通过与联邦安全合作伙伴协调,确定网络威胁后,迅速部署数字安全和在线威胁猎取专家,评估网络入侵的危害程度,以期控制、减轻网络攻击带来的影响。

值得一提的是,截至目前,尚不清楚此次攻击事件造成多大损失,也不清楚攻击者是采用何种技术侵入财政部。

LockBit 声称盗取近 76GB 数据

本周一,LockBit 黑客团伙在其泄密网站上发布消息称其攻破了加利福尼亚州财政部,盗取了数据库、机密数据、财务文件和 IT 文件。为了增加可信度,LockBit 组织还公布几张据称从加州财政部系统中渗出的文件截图。

此外,LockBit 黑客团伙还发布了盗取数据的目录和存储文件数量截图。对话框显示超过 114000 个文件夹中有超过 246000 个文件,总计 75.3GB 的数据。

数据泄露网站上显示,数据“保护器”截止到 12月24 日前,一旦无法获得赎金,LockBit黑客团伙将公布所有被盗数据。

LockBit 黑客组织多次作案

10 月份,一名涉嫌与 LockBit 勒索软件团伙有关的 33 岁俄罗斯公民在加拿大安大略省被捕。据信,他在关键基础设施和大型工业组织上部署了勒索软件。欧洲刑警组织表示,该名男子参与许多高调的勒索软件案件",共向受害者索要了 500 万至 7000 万欧元。

LockBit 黑客组织资金雄厚,是圈内第一个推出 bug 赏金计划的黑客团伙,为”寻找“漏洞,提供了高达 100 万美元的奖励,是勒索勒索软件领域目前最活跃的勒索软件之一。

此外,从以往案例来看,LockBit 黑客组织通常专注于勒索大公司,仅仅 2022 年,LockBit 受害者名单中就”囊括“了汽车巨头大陆集团(Continental)、安全公司 Entrust 和意大利国税局(L'Agenzia delle Entrate)。

]]>
亚马逊云曝出“超级漏洞”,攻击者可删除任何镜像 Tue, 07 Feb 2023 10:48:06 +0800 近日,Lightspin安全分析师在Amazon ECR(弹性容器注册表)公共库中发现一个严重漏洞,允许攻击者删除任何容器映像或将恶意代码注入其他AWS账户的镜像。

Amazon ECR Public Gallery是容器镜像的公共存储库,用于共享即用型应用程序和流行的Linux发行版,例如Nginx、EKS Distro、Amazon Linux、CloudWatch代理和Datadog代理。

研究者透露,利用该漏洞,攻击者可通过滥用未记录的API操作来修改其他用户的现有公共映像、层、标签、注册表和存储库。

研究人员于2022年11月15日向亚马逊网络安全部门报告了该漏洞,亚马逊在24小时内推出了修复程序。

虽然没有迹象表明这个漏洞在野外被滥用,但威胁行为者本可以将其用于针对许多用户的大规模供应链攻击。

ECR Public Gallery中下载量最高的前六个容器映像的下载量超过130亿次,因此其中的任何恶意注入都可能导致“失控式”感染。

研究者的分析显示,26%的Kubernetes集群至少有一个pod可以从ECR公共库中提取镜像,因此潜在影响面极大。

利用未记录的API操作

研究人员发现,ECR Public Gallery公共库有几个内部API操作,用于支持特定的命令和用户操作,但不会公开。

下面列出的其中四个API操作没有任何触发器,但它们在平台上仍然处于活动状态,因此可以调用。

DeleteImageForConvergentReplicationInternal

DeleteTagForConvergentReplicationInternal

PutImageForConvergentReplicationInternal

PutLayerForConvergentReplicationInternal

分析师成功找到了让恶意API请求获得通过的方法:用Amazon Cognito的临时凭证对ECR内部API进行身份验证。

当然,要使上述方法可行,请求应具有有效的JSON结构,并且由于没有这些API调用的文档,因此推断它需要进行一些实验。

在Lightspin报告提供的概念验证示例中,该请求使用“DeleteImage”API调用以及公开可用的存储库和镜像ID来擦除研究人员上传的公开镜像。

研究人员将漏洞利用步骤编写到Python脚本中,可以自动滥用未记录的API来攻击公共镜像。

亚马逊的回应

亚马逊告诉BleepingComputer,他们立即修复了Lightspin发现的问题,内部调查没有发现恶意行为者利用的迹象。

根据日志分析,亚马逊表示确信没有客户帐户或其他资产受到损害。

亚马逊的完整声明如下:

2022年11月14日,一位安全研究人员报告了Amazon Elastic容器注册表(ECR)公共库中的问题,这是一个用于查找和共享公共容器镜像的公共网站。研究人员确定了一个ECR API操作,如果调用该操作,则可以修改或删除ECR公共库上可用的镜像。

截至2022年11月15日,亚马逊已修复该问题。我们对所有日志进行了详尽的分析。我们相信我们的审查是决定性的,与这个问题相关的唯一活动是研究人员拥有的账户,没有其他客户的帐户受到影响,也不需要客户执行任何操作。我们要感谢Lightspin报告此问题。

]]>
美国关基保护重大事故!FBI关基设施关键联络人数据库泄露 Tue, 07 Feb 2023 10:48:06 +0800 12月10日,一个包含87,000多名美国联邦调查局(FBI)审查信息共享网络-InfraGard成员联系方式的数据库被发布在BreachedForums暗网论坛。

与此同时,幕后肇事的黑客正在通过FBI InfraGard在线门户直接与成员交流——使用一个新账户,假冒金融行业CEO的身份,该身份是经过FBI审查的。

相对较新的网络犯罪论坛Breached推出的这个重磅炸弹的新销售项目引起了安全研究人员的关注。黑客还提供了样本数据来验证他们的说法,其中包含InfraGard成员的各种个人信息,包括:全名、电子邮件地址、就业详情、就业行业、社交媒体USERID等。

InfraGard是美国联邦调查局(FBI)运行的一个项目,旨在与私营部门建立网络和物理威胁信息共享伙伴关系,FBI的InfraGard计划应该是经过审查的名人录,其中涉及管理国家大部分关键基础设施(包括饮用水和电力公用事业、通信和金融服务公司、运输公司)的公司和制造公司、医疗保健供应商和核能公司的网络和物理安全的私营部门关键人物。

InfraGard成立于1996 年,是FBI国家基础设施保护中心 (NIPC) 和信息系统安全协会 (ISSA) 的联合倡议。InfraGard提供对安全电子邮件系统、安全数据存储平台、基于网络的漏洞评估工具、密码管理解决方案和其他安全服务的访问。此外,InfraGard还提供有关网络安全最佳实践和新兴威胁等主题的教育研讨会。这些研讨会向所有部门的成员开放,帮助他们了解当前的安全趋势。InfraGard还提供资源,用于在潜在的网络犯罪受害者或可疑活动成为重大问题之前识别它们。

“InfraGard将关键基础设施所有者、运营商和利益相关者与FBI联系起来,以提供有关安全威胁和风险的教育、网络和信息共享,”FBI的InfraGard情况说明书写道。

KrebsOnSecurity联系了InfraGard数据库的卖家,一位Breached论坛成员,用户名是“USDoD”,头像是美国国防部的印章。

“USDoD”关于Breached论坛的InfraGard销售线索。

“USDoD”表示,他们通过使用极有可能获得InfraGard会员资格的公司首席执行官的姓名、社会安全号码、出生日期和其他个人详细信息申请一个新帐户,从而获得了对FBI InfraGard系统的访问权限。

这位首席执行官——目前是一家对大多数美国人的信用有直接影响的大型美国金融公司的负责人——没有回应置评请求。

“USDoD”告诉KrebsOnSecurity,他们的虚假申请是在11月以首席执行官的名义提交的,该申请包括他们控制的联系电子邮件地址——以及首席执行官的真实手机号码。

“当你注册时,他们说要获得批准至少需要三个月,”美“USDoD”说。“我没想到会被批准[d]。”

但“USDoD”表示,在12月初,他们以CEO名义的电子邮件地址收到了一封回复,称申请已获批准(见右侧的编辑截图)。虽然FBI的InfraGard系统默认需要多重身份验证,但用户可以选择通过短信或电子邮件接收一次性代码。

“如果只是手机问题,我的处境就会很糟糕,”“USDoD”说。“因为我使用了我正在冒充的人的电话。”

“USDoD”表示,InfraGard用户数据可通过应用程序编程接口(API)轻松获取,该接口内置于网站的几个关键组件中,可帮助InfraGard 成员相互连接和通信。

“USDoD”表示,在他们的InfraGard会员资格获得批准后,他们要求一位朋友用Python编写脚本来查询该API并检索所有可用的 InfraGard用户数据。

“InfraGard是面向知名人士的社交媒体情报中心,”“USDoD”表示。“他们甚至有论坛来讨论事情。”

KrebsOnSecurity与FBI分享了一些可能有助于隔离冒名顶替者InfraGard帐户的屏幕截图和其他数据,但该机构拒绝就此事发表评论。

为了证明截至周二(当地时间12月13日)晚上发布时间他们仍然可以访问InfraGard,“USDoD”通过InfraGard的消息系统向一名 InfraGard成员发送了一条直接说明,该成员的个人详细信息最初作为预告片发布在数据库销售项目上。

这位InfraGard成员是美国一家大型科技公司的安全负责人,他确认收到了“USDoD”的消息,但要求对此事保持匿名。

“USDoD”承认,他们对InfraGard数据库的50,000美元要价可能有点高,因为这是一个相当基本的名单,这些人已经非常注重安全。此外,只有大约一半的用户帐户包含电子邮件地址,而大多数其他数据库字段(如社会安全号码和出生日期)完全是空的。

“我不认为有人会支付那个价格,但我必须[定价]高一点才能[协商]我想要的价格,”他们解释道。

尽管InfraGard渗透所暴露的数据可能很少,但用户数据可能并不是入侵者真正的最终目标。

“USDoD”表示,他们希望冒名顶替的账户能持续足够长的时间,让他们能够以CEO的身份使用InfraGuard消息门户向其他高管发送直接消息。“USDoD”分享了以下经过编辑的屏幕截图,他们声称这是一条这样的消息,尽管他们没有提供更多相关信息。

“USDoD”共享的屏幕截图显示了FBI InfraGard系统中的消息线程。

“USDoD”在他们的销售线索中表示,交易的担保人将是网络犯罪论坛Breached的管理员Pompompurin。通过论坛管理员的托管服务购买数据库,潜在买家理论上可以避免上当受骗,并确保在资金交换之前交易双方都满意地完成。

多年来,Pompompurin一直是FBI的眼中钉。他们的Breached论坛被广泛认为是RaidForums的第二个化身,RaidForums是一个非常相似的英语网络犯罪论坛,于4月被美国司法部关闭。在被FBI渗透之前,RaidForums出售了超过100亿条在世界上一些最大的数据泄露事件中被盗的消费者记录。

2021年11月,KrebsOnSecurity详细介绍了Pompompurin如何滥用FBI在线门户中的一个漏洞,该门户旨在与州和地方执法机构共享信息,以及该访问权限如何被用来爆出数以千计的恶作剧电子邮件消息——所有这些消息都是从FBI电子邮件和互联网地址。

后续进展及影响持续跟踪中!

]]>
哥伦比亚能源供应商EPM遭受BlackCat勒索软件攻击 Tue, 07 Feb 2023 10:48:06 +0800 哥伦比亚能源公司Empresas Públicas de Medellín (EPM) 当地时间12月12日(周一)遭受了BlackCat/ALPHV勒索软件攻击,扰乱了公司的运营并中断了在线服务。EPM 是哥伦比亚最大的公共能源、水和天然气供应商之一,为 123 个城市提供服务。该公司在 2022年创造了超过250亿美元的收入,归哥伦比亚麦德林市政府所有。周二,该公司要求大约4,000名员工居家工作,IT 基础设施出现故障,公司网站也不再可用。经澄清,这种情况并不影响安蒂奥基亚省首府提供能源、水和天然气服务。

EPM向当地媒体透露 ,他们正在应对一起网络安全事件,并为客户提供了支付服务费用的替代方法。检察官办公室后来向EL COLOMBIANO证实勒索软件是EPM网络攻击的幕后黑手,导致设备被加密和数据被盗。但是,没有透露攻击背后的勒索软件操作。

调查机构承认其对该国网络攻击增加的担忧。两周多前,EPS Sanitas——在该国拥有近500万分支机构——遭受了对其技术基础设施的攻击,至今仍未恢复;他们的大部分在线服务仍处于关闭状态。显然,黑客保留了重要的患者信息,例如医疗记录。

同一个检察官办公室证实,网络犯罪分子要求获得赎金,以换取释放所扣押和加密的信息。负责打击计算机犯罪专门委员会的埃德娜·帕特里夏·卡布雷拉 (Edna Patricia Cabrera) 告诉EL COLOMBIANO,就EPM攻击事件而言,被破坏的信息显然不包含客户数据,而是包含公司的运营和内部动态。但专门从事此类犯罪的 Mucho Hacker门户网站发布的屏幕截图将证明存在有关员工和财务信息的私人数据,例如有关付款、预算、报告、报告和银行文件的数据。检察官办公室估计,从EPM窃取信息的规模将达 15 T。

EPM总经理豪尔赫·安德烈斯·卡里略 (Jorge Andrés Carrillo) 于同一周二(13日)签署的一项法令中,在对勒索软件的影响及其可能对组织运营产生的影响进行了初步分析后,将情况上报给了总公司。该文件还向新业务、创新和技术执行副总裁Darío Amar Flórez提供了50亿美元,以便他可以签订合同和协议,以支持和关注“网络安全事件”。

攻击事件背后的BlackCat勒索软件

Bleeping Computer目前了解到该事件与BlackCat勒索软件有关,BlackCat又名 ALPHV,应该是本次攻击的幕后黑手,声称在攻击期间窃取了公司数据。Bleeping Computer还看到了来自EPM 攻击的加密器样本和赎金记录,并确认它们来自BlackCat勒索软件操作。

虽然在攻击中创建的赎金票据指出威胁行为者窃取了各种各样的数据,但应该注意的是,这是所有BlackCat勒索票据中使用的确切文本,并非特定于EPM。

然而,进一步的发现表明,黑客可能在攻击期间从EPM窃取了大量数据。

智利安全研究员Germán Fernández发现了BlackCat 的“ExMatter”数据窃取工具的最新样本,该样本是从哥伦比亚上传到恶意软件分析站点的。

ExMatter是BlackCat勒索软件攻击中使用的一种工具,可在设备加密之前从公司网络中窃取数据。这些数据随后被用作勒索软件团伙双重勒索企图的一部分。

当该工具运行时,它会从网络上的设备窃取数据,并将其存储在攻击者控制的服务器上的文件夹中,该文件夹以被盗的Windows计算机名称命名。

在分析ExMatter工具时,Fernández发现它将数据上传到安全性不够的远程服务器,允许任何访问者查看存储在其上的数据。

在来自哥伦比亚的ExMatter变体中,数据被上传到以“EPM-”开头的各种文件夹中,如下所示。Fernández 告诉Bleeping Computer,这些计算机名称与Empresas Públicas de Medellín使用的已知计算机命名格式相匹配。

虽然目前还不清楚总共有多少数据被盗,但Fernández告诉 Bleeping Computer,网站上列出了40多台设备。Bleeping Computer已联系EPM以了解有关此次攻击的更多信息以及有多少数据被盗,但并未立即得到回应。

这不是第一次针对哥伦比亚能源公司的勒索软件攻击。2020年,Enel集团 同年两次遭受勒索软件攻击。

在过去几个月里,哥伦比亚的袭击事件也有所增加,该国的医疗保健系统上个月因 跨国医疗保健组织Keralty遭到RansomHouse攻击而中断。

]]>
阿里云香港服务器“史诗级”宕机 Tue, 07 Feb 2023 10:48:06 +0800 2022年12月18日上午10点左右,阿里云的香港服务据点出现故障,导致托管在该地域的众多服务项目出现无法访问,其中包括澳门金融管理局、澳门银河、莲花卫视在内的多个关键基础设施。

阿里云官网12月18日下午更新处理进展称,经排查,阿里云香港地域故障确认系香港PCCW机房制冷设备故障所致,影响香港地域可用区C的云服务器ECS、云数据库、存储产品(对象存储、表格存储等)、云网络产品(全球加速、NAT网关、VPN网关等)等云产品使用。

阿里云称,这一故障也影响了香港地域控制台访问和API调用操作,事故发生后、阿里云工程师配合PCCW机房工程师加速处理,部分制冷设备正在恢复中。

据南都报道,截至 12 月 18 日下午 6 时许,澳门一些受影响的网站已可正常打开访问,不过当地一些传媒应用程序尚无法登录。

阿里云宕机影响最为严重的当属各大加密货币交易所。知名交易平台“Gate.io”发布公告表示,受运营商部分网络节点维护影响,充提服务将出现延缓。

加密货币交易所OKX部分用户无法提领,帐户更显示资金归零,OKX称,服务器供应商阿里云出现技术故障,导致交易所部分功能出现问题。

根据最新的更新进展显示,目前阿里云所租用的香港电讯盈科公司机房已修复制冷设备故障,阿里云香港地域所有可用区云产品功能正在陆续恢复正常。对于受本次故障影响的产品,阿里云将根据相关产品的SLA协议进行赔付。

]]>
微软发现苹果macOS漏洞 可植入恶意软件 Tue, 07 Feb 2023 10:48:06 +0800 12 月 20 日消息,微软于今年 7 月发现了一个 macOS 漏洞,可以绕过 Gatekeeper 安全机制执行恶意软件。苹果公司在收到微软的报告之后,在本月 13 日发布的 macOS 13(Ventura)、macOS 12.6.2(Monterey)和 macOS 1.7.2(Big Sur)更新中修复了这个漏洞。

了解到,微软将发现的这个 macOS 漏洞称之为“Achilles”,并通过“Coordinated Vulnerability Disclosure”将其告知给了苹果公司。该漏洞允许攻击者绕过苹果的 Gatekeeper 安全机制,在 Mac 设备上植入任意恶意软件。

微软在最近的一篇文章中详细介绍了如何发现该漏洞以及此类问题的影响。这些细节对安全专家和研究人员很有用。微软在博文中表示:“Gatekeeper 在阻止 macOS 恶意软件方面发挥重要作用,但是它并非是绝对安全的”。

]]>
三大运营商:同步删除用户行程相关数据 Tue, 07 Feb 2023 10:48:06 +0800 12月13日0时起,通信行程卡服务将正式下线。中国移动、中国联通、中国电信均表示,自12月13日0时“通信行程卡”服务下线后,同步删除用户行程相关数据,依法保障个人信息安全。

“中国移动高度重视客户个人信息保护,将按照《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等有关法律规定,自12月13日0时‘通信行程卡’服务下线后,同步删除用户行程相关数据,依法保障个人信息安全。”中国移动方面回复广州日报全媒体记者表示。

12月12日晚,中国联通微信号发布的《关于删除用户通信行程卡相关数据的通告》称,中国联通高度重视客户个人信息保护,将按照《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等有关法律规定,自12月13日0时“通信行程卡”服务下线后,同步删除用户行程相关数据,依法保障个人信息安全。

同时,中国电信方面对记者表示,按照《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等有关法律规定,“通信行程卡”系统自12月13日0时下线相关服务后,将同步删除用户行程相关全部数据,依法保障个人信息安全。

“通信行程卡”是中国信通院在工业和信息化部的指导下,与三大电信运营企业利用大数据技术共同推出的,为全国手机用户免费提供行程查询服务。2020年2月13日,“通信行程卡”推出短信查询服务,2月29日,网页版查询服务上线,3月6日小程序上线,4月21日行程卡APP1.0上线,4月30日行程卡APP2.0上线。

同时,记者注意到,今年6月底,通信行程卡取消通信行程卡“星号”标记。2022年7月8日,“通信行程卡”查询结果的覆盖时间范围由“14天”调整为“7 天”。

]]>
《安联智库-网安周报》2022-12-11 Tue, 07 Feb 2023 10:48:06 +0800

1、外媒:丹麦国防部称遭到网络攻击

12月9日报道 据路透社8日报道,丹麦国防部在推特上说,该部8日遭到网络攻击,导致无法访问其网站,但网络攻击对丹麦国防部的行动没有造成影响。
丹麦国防部说,网站遭到所谓分布式拒绝服务(DDoS)的攻击。这种攻击方式将大量流量引向目标服务器,目的是让服务器下线。
丹麦国防部在推特上说:“目前,除了无法访问门户网站之外,其他影响尚未发现,因此没有对国防部造成行动上的影响。
2、勒索软件凶猛!比利时最大城市数字服务被迫中断

12月7日消息,由于合作的数字供应商日前遭受网络攻击,西欧国家比利时的安特卫普市的数字服务被迫中断,目前正努力恢复。

服务中断影响到当地市民、学校、日托中心和警署所使用的服务。截至目前,各项服务仍处于时断时续的不稳定状态。

据比利时媒体《Het Laatste Nieuws》(简称HLN)报道,黑客实际是破坏了为城市提供管理软件的数字合作伙伴Digipolis的服务器,由此导致安特卫普的政务系统陷入瘫痪。HLN还提到,几乎所有Widows应用程序都受到了影响。一些部门的电话服务无法正常使用。

事件还影响到该市的预订系统,服务中断导致人们无法正常领取身份证。截至目前,只有出行卡还可正常使用。比利时媒体将此事报道为该国最严重的公共服务信息失窃之一。据报道,团伙泄露的缓存数据包含过去16年间的车牌信息、犯罪报告文件、调查报告和罚款记录。

3、俄罗斯第二大银行VTB遭DDoS攻击离线

“目前,VTB技术基础设施正受到来自国外的前所未有的网络攻击,”VTB发言人向塔斯社表示:“这不仅是今年有记录的最大网络攻击,而且是该银行整个历史上最大的网络攻击。”

VTB表示,其内部分析表明DDoS攻击是精心策划的,目的是通过中断其银行服务给客户带来不便。目前,VTB的在线门户网站处于离线状态,但所有核心银行服务都正常运行。VTB还表示,客户数据受到保护,因为它存储在其基础设施的内部边界,没有遭到攻击者破坏。

亲乌克兰的黑客组织“乌克兰IT军队”声称对针对VTB的DDoS攻击负责,并于11月底在Telegram上宣布了该活动。在VTB之前,“乌克兰IT军队”发动的造成业务中断的网络攻击包括伏特加生产商和分销商的门户网站以及俄罗斯航空航天和国防集团Rostec的网站。

4、Hive勒索组织黑五期间攻击欧洲零售商,已累计攻击1300家公司

近日,Hive勒索软组织对外公布了其在11月份对法国体育零售商Intersport的攻击中获得的客户数据。

这个臭名昭著的勒索组织周一在其暗网泄露网站上发布了一批Intersport数据,并威胁说除非零售商支付勒索费,否则将泄露更多数据。

据法国《世界报》报道,黑客攻击包括法国北部商店的Intersport员工的护照信息、他们的工资单、其他商店的离职和在职员工名单,以及社会保险号码。

美国联邦政府在11月底表示,Hive已经袭击了全球1300多家公司,收取了约1亿美元的赎金。该组织使用各种方法来获得访问权,利用缺乏多因素认证的目标,访问远程桌面协议、VPN或其他远程网络连接协议。

]]>
Vice Society 勒索软件太猖狂,一年内袭击 33 个教育机构 Tue, 07 Feb 2023 10:48:06 +0800 The Hacker News 网站披露,Vice Society 勒索软件组织增加了对教育机构的网络攻击,在 2022 年期间,该组织袭击了 33 个教育机构,超过 LockBit、BlackCat、BianLian 和 Hive 等其它勒索软件团伙。

从 Palo Alto Networks Unit 42 分享的数据分析结果来看,除教育机构外,Vice Society 其它攻击目标主要涉及医疗保健、政府、制造业、零售业和法律服务业等领域。

2022 年,Vice Society 100 多个受害者中,美国报告了 35 例,其次是英国 18例,西班牙 7 例,巴西和法国各 6 例,德国和意大利各 4例,澳大利亚 3 例,如此多攻击事件使其成为最具影响力的勒索软件团伙之一。

自 2021 年 5 月开始活跃以来,Vice Society 与其它勒索软件团队主要区别在于其不使用自己的勒索软件变体,而是依赖于地下论坛上出售的 HelloKitty 和 Zeppelin 等预先存在的勒索程序二进制文件。微软曾以 DEV-0832 的名义追踪过该组织活动轨迹,发现在某些情况下,Vice Society 尽量避免部署勒索软件直接勒索,而是利用窃取的数据进行勒索。

根据 Unit 42 的研究结果,Vice Society 一般会在受害者系统环境中“潜伏”时间 6 天左右,最初要求的赎金往往不会超过100万美元,在与受害者谈判后可能还会下降 60%左右。

最后,Umit 42 研究员 JR Gumarin 强调,网络安全能力有限、资源有限的教育机构往往最容易受到网络威胁,正在成为勒索软件组织的潜在目标。

]]>
多个团伙利用社保公积金系统漏洞,非法获取公民个人信息2300万条 Tue, 07 Feb 2023 10:48:06 +0800 12月7日,红星新闻从四川南充市公安局顺庆区分局获悉,当地警方侦破一起公安部挂牌督办案件,打掉多个利用社保、公积金等系统漏洞非法获取公民个人信息的犯罪团伙,涉及四川、河南、广东多个省市,抓获犯罪嫌疑人121人,查获公民个人信息2300余万条,发现国内多地各类信息系统平台漏洞300余个,收缴黑客工具12套。

2022年4月,南充市公安局顺庆区分局网安大队民警在工作中发现,男子杨某利用境外聊天软件(Telegram)贩卖某市社保查询信息系统漏洞及侵入教程。通过这些漏洞和教程,犯罪分子能轻松绕过系统安全保护,通过链路授权访问省级社保系统,进而非法获取省级社保系统用户的全量数据。

发现该线索后,顺庆公安分局网安大队立即向南充市公安局网安支队报告,由南充市公安局抽调全市网安部门精干警力成立专案组,开展网安行政执法和案件侦查工作。由于该案件侵犯对象广,社会危害严重,被公安部挂牌督办。

民警调查发现,犯罪嫌疑杨某先后通过“Telegram”聊天软件建立“普通查询”和“高级查询”两个聊天群,吸纳群成员2200余人,并将其从四川、广东、广西等地信息系统非法获取的100余万条公民个人信息和300余个系统漏洞发布至群内,用于交易牟利。其中,杨某非法获取的公民个人信息、数据种类繁多,涉及姓名、性别、社会保障号、联系方式、联系地址、发卡地行政区划代码、社保卡号、卡状态、发卡银行、银行卡号等众多信息。

2022年6月,犯罪嫌疑人杨某被公安机关抓获归案。在四川省公安厅网安总队的指导下,南充警方组织全市网安部门发起集群作战,着手对该案实施全链条打击,成功锁定四川、河南等地涉嫌非法侵入计算机信息系统获取公民个人信息的9家“网络催收”公司。

在前期充分的摸排和侦查下,南充警方对四川、河南两省三市的15个犯罪窝点开展收网行动,挡获涉案人员256名,采取刑事强制措施121人。查扣涉案电脑124台、手机227部、移动存储介质24个、服务器4台;查获国内社保、疫苗、公积金等各类信息系统平台漏洞300余个,相关入侵教程10余个。

目前,该案已移送检察机关审查起诉。

]]>
Hive勒索组织黑五期间攻击欧洲零售商,已累计攻击1300家公司 Tue, 07 Feb 2023 10:48:06 +0800 近日,Hive勒索软组织对外公布了其在11月份对法国体育零售商Intersport的攻击中获得的客户数据。

这个臭名昭著的勒索组织周一在其暗网泄露网站上发布了一批Intersport数据,并威胁说除非零售商支付勒索费,否则将泄露更多数据。

据法国《世界报》报道,黑客攻击包括法国北部商店的Intersport员工的护照信息、他们的工资单、其他商店的离职和在职员工名单,以及社会保险号码。

La Voix Du Nord报道说,黑客攻击发生在 "黑色星期五 "销售期间,使员工无法进入收银系统,迫使商店进行人工操作。

美国联邦政府在11月底表示,Hive已经袭击了全球1300多家公司,收取了约1亿美元的赎金。该组织使用各种方法来获得访问权,利用缺乏多因素认证的目标,访问远程桌面协议、VPN或其他远程网络连接协议。

同时也有利用含有恶意附件的钓鱼邮件,利用Microosft Exchange服务器的漏洞。绕过了多因素认证,通过利用CVE-2020-12812(Fortinet操作系统中现已修补的不当认证漏洞)获得了对FortiOS服务器的访问。

此次攻击正是通过这些途径导致该零售商员工数据泄露。Intersport是一家瑞士公司在全球有5800家分店,其中780家位于法国。目前该公司对此事还没有做出任何回应。

]]>
外媒:丹麦国防部称遭到网络攻击 Tue, 07 Feb 2023 10:48:06 +0800 12月9日报道 据路透社8日报道,丹麦国防部在推特上说,该部8日遭到网络攻击,导致无法访问其网站,但网络攻击对丹麦国防部的行动没有造成影响。

丹麦国防部说,网站遭到所谓分布式拒绝服务(DDoS)的攻击。这种攻击方式将大量流量引向目标服务器,目的是让服务器下线。

丹麦国防部在推特上说:“目前,除了无法访问门户网站之外,其他影响尚未发现,因此没有对国防部造成行动上的影响。

]]>
勒索软件凶猛!比利时最大城市数字服务被迫中断 Tue, 07 Feb 2023 10:48:06 +0800 12月7日消息,由于合作的数字供应商日前遭受网络攻击,西欧国家比利时的安特卫普市的数字服务被迫中断,目前正努力恢复。

服务中断影响到当地市民、学校、日托中心和警署所使用的服务。截至目前,各项服务仍处于时断时续的不稳定状态。

资料显示,安特卫普市是比利时面积最大、人口最多的城市。

电子邮件和电话系统均已中断

针对这起事件的调查正在进行中。从已公布的少量信息来看,造成服务中断的应该是勒索软件攻击,但幕后黑手是谁尚不明确。

据比利时媒体《Het Laatste Nieuws》(简称HLN)报道,黑客实际是破坏了为城市提供管理软件的数字合作伙伴Digipolis的服务器,由此导致安特卫普的政务系统陷入瘫痪。

HLN还提到,几乎所有Widows应用程序都受到了影响。

一些部门的电话服务无法正常使用。维尔莱克区议员Alexandrad’Archambeau早些时候评论称,该市的电子邮件服务也出现了故障。

比利时媒体《德斯坦达德报》(De Standaard)报道称,他们已经收到消息,造成事故的元凶正是勒索软件,但攻击者身份尚未确定。

事件还影响到该市的预订系统,服务中断导致人们无法正常领取身份证。截至目前,只有出行卡还可正常使用。

护理中心亦受到影响

受攻击影响的其他机构还包括安特卫普医疗保健公司(Zorgbedrijf Antwerpen),这是一家专为省内老年人提供住宿护理服务的组织。

该公司总经理Johan De Muynck表示,此次攻击导致用于跟踪患者治疗用药记录的软件无法工作。

为此,18个住宿护理中心的工作人员被迫改用纸笔记录,并依靠传统的纸质处方为老年患者们开药。

De Muynck表示,“现在,医生们只能重新签署处方,再把纸质处方送至药房。虽然文书工作量极大,但至少保证了患者们当天内就能拿到药品。估计明天早上,自动系统就会恢复运行。”

De Muynck补充道,好在数据库并未受到攻击影响,所以民众的个人信息仍然安全无忧。

目前还不清楚安特卫普市的IT系统何时才能完全恢复正常。该市市长表示,事件造成的影响可能持续到12月底。

尽管警察和消防部门也受到一定影响,但各项应急服务仍可正常运行。

一周多之前,Ragnar Locker勒索软件团伙刚刚泄露了从安特卫普省兹韦恩德雷赫特地方警局窃取到的数据。

比利时媒体将此事报道为该国最严重的公共服务信息失窃之一。据报道,团伙泄露的缓存数据包含过去16年间的车牌信息、犯罪报告文件、调查报告和罚款记录。

]]>
俄罗斯第二大银行VTB遭DDoS攻击离线 Tue, 07 Feb 2023 10:48:06 +0800 “目前,VTB技术基础设施正受到来自国外的前所未有的网络攻击,”VTB发言人向塔斯社表示:“这不仅是今年有记录的最大网络攻击,而且是该银行整个历史上最大的网络攻击。”

VTB表示,其内部分析表明DDoS攻击是精心策划的,目的是通过中断其银行服务给客户带来不便。

目前,VTB的在线门户网站处于离线状态,但所有核心银行服务都正常运行。VTB还表示,客户数据受到保护,因为它存储在其基础设施的内部边界,没有遭到攻击者破坏。

该银行表示,它已经确定大多数恶意DDoS请求来自国外,但是攻击中也涉及几个俄罗斯IP地址。

这意味着外国攻击者要么使用当地代理进行攻击,要么设法在其DDoS活动中招募当地持不同政见者。

有关这些IP地址的信息已转发给俄罗斯执法当局进行刑事调查。

VTB 61%的股份国有,俄罗斯财政部和经济发展部在该集团中占有一席之地,因此这些袭击具有政治色彩,是对俄罗斯政府的间接打击。

“乌克兰IT军队”声称对攻击负责

亲乌克兰的黑客组织“乌克兰IT军队”声称对针对VTB的DDoS攻击负责,并于11月底在Telegram上宣布了该活动。

这个特殊的黑客行动主义团体是在乌克兰政府的官方支持下于2022年2月成立的,试图加强该国的网络战线。

在VTB之前,“乌克兰IT军队”发动的造成业务中断的网络攻击包括伏特加生产商和分销商的门户网站以及俄罗斯航空航天和国防集团Rostec的网站。

亲乌克兰的黑客行动主义者在11月非常活跃,针对900多个俄罗斯实体,包括销售军事装备和无人机的商店、俄罗斯中央银行、国家人工智能发展中心和阿尔法银行。

]]>
勒索软件凶猛!法国巴黎又一医院暂停运营并转移患者 Tue, 07 Feb 2023 10:48:06 +0800 12月6日消息,上周末,法国巴黎一家综合性医院遭到勒索软件攻击,被迫叫停医疗手术并转移了6名患者。

法国卫生部表示,凡尔赛医院中心目前已经陷入无计算机系统可用的困境,该医疗综合体旗下有两所医院与一家养老院。

6名患者中,3名转移患者来自重症监护室,另外3名则来自新生儿病房。法国卫生部长弗朗索瓦·布劳恩 (Francois Braun)周日警告称,此次攻击后可能还有更多患者需要被转移至其他位置,并导致“医院进行了全面组织调整”。

这位部长在推特上表示,“这种以法国民众健康为要挟的行为不可接受……我们正在动员一切专业人员,确保给予患者护理和照料。”

虽然医院内部重症监护室的关键设备仍在运行,但由于内部网络故障再加上员工人手不足,已经无法单独监控各设备发回的生命体征。

巴黎检察官已经对这起所谓“勒索未遂”案件展开初步调查。

近几月法国医疗机构频遭网络攻击

布劳恩表示,近几个月来,包括凡尔赛医院中心在内,法国的医疗保健服务机构“每天都会遭到攻击”。不过其中“绝大多数”攻击都被成功阻止。

今年8月,巴黎另一家医院Center Hospitalier Sud Francilien也遭到勒索软件攻击,经过数周时间才得以恢复。

该医院雇员和患者的敏感数据被勒索团伙发布至其官方主页。法国警方已将此次攻击的幕后黑手归因于LockBit勒索软件团伙。

针对本次攻击,外媒The Record已经联系卫生部、法国国家网络安全机构国家信息系统安全局(ANSSI)并提出置评请求。

就在攻击前不久,上任已有八年九个月的法国国家信息系统安全局局长Guillaume Poupard宣布即将离职。

]]>
三菱电机 PLC 曝出多个严重安全漏洞 Tue, 07 Feb 2023 10:48:06 +0800 美国网络安全和基础设施安全局 (CISA) 在上周发布了一份工业控制系统 (ICS) 咨询,对三菱电机 GX Works3 工程软件存在的多个漏洞发出了安全警告。

GX Works3是一种用于 ICS 环境的工程软件,能够从控制器上传和下载程序、排除软硬件故障以及执行相应的操作维护。由于功能广泛,使得该软件平台成为攻击者的一个强有力的”集火“目标,攻击者希望破坏此类系统以控制受管理的 PLC。

在CISA揭露的10个缺陷中,有 3 个涉及敏感数据的明文存储,4 个涉及使用硬编码加密密钥,2 个涉及使用硬编码密码,1 个涉及凭证保护不足。最严重的漏洞CVE-2022-25164和CVE-2022-29830的 CVSS 评分高达 9.1,可在无需任何权限的情况下被滥用,以获取对 CPU 模块的访问权限并获取有关项目文件的信息。

三菱表示,工程软件是工业控制器安全链中的一个关键组成部分,如果其中出现任何漏洞,对手可能会滥用它们最终危及托管设备,从而危及受监管的工业过程。

CISA也提到了一个CVSS 评分为8.6的MELSEC iQ-R 系列中的拒绝服务 (DoS) 漏洞信息,并指出由于缺乏适当的输入验证,成功利用此漏洞可能允许未经身份验证的远程攻击者通过发送特制数据包,在目标产品上造成拒绝服务。

缓解措施

三菱已经宣布相关补丁将在不久之后发布,在此之前建议应用以下缓解措施:

尽可能限制不受信任方访问安全 CPU 项目文件;

在传输和静止时充分保护安全 CPU 项目文件(例如通过加密);

更改安全 CPU 模块上设置的所有弱密码;

切勿重复使用相同的凭据打开安全 CPU 项目文件和访问安全 CPU 模块。

]]>
美国警方采购汽车取证工具,可破解万款车型信息娱乐系统提取数据 Tue, 07 Feb 2023 10:48:06 +0800 12月5日消息,日前,有安全研究人员详细介绍了一个新漏洞,据称攻击者可使用该漏洞,远程解锁全球任意位置的本田、日产等品牌汽车。

此次漏洞披露凸显出现代汽车联网系统的又一缺陷,特别是那些同时接入司机手机端、持续收集用户数据的车辆跟踪及定位系统。事实上,这种技术已经被美国联邦执法机构所使用。目前移民和边境警察正在加大技术工具的采购力度,希望借此从上万种不同车型中提取大量数据,比如密码、地理位置等。

汽车数据取证成 执法人员办案利器

美国移民和边境警察越来越重视从汽车中收集关于潜在犯罪活动的大量证据。有时候,从车上获取的证据往往远超手机数据、而且获取难度也更低。法院文件和政府合同记录显示,负责监控墨西哥边境的移民管理机构在汽车黑客工具上的开支创下历史纪录,也确实从车载计算机中获得了大量有价值证据。与此同时,隐私倡导者则发出警告,称现代汽车堪称“车轮上的监控探头”。

在最近对墨西哥边境一辆2019款道奇“战马”汽车的搜查中,一名巡逻警员写道,负责提供GPS、远程控制和娱乐功能的信息娱乐系统对政府调查人员特别有价值。他们可以从中获取关于嫌疑人位置、电子邮件地址、IP地址和电话号码等信息,“跟踪不具备合法身份的非公民进入美国、及在美国各地的往来/移动”。其甚至可以体现“账户使用者的情绪,包括对所调查犯罪行为的了解、动机和自愿性”。

巡逻警员还提到,信息娱乐系统还会暴露用户密码,但没有提供具体细节。今年10月,密苏里州酒精、烟草、火器和爆炸物管理局(ATF)提交的一份搜查令中也做出类似的表述,但同样未做细节解释。当时他们试图从一辆2022款福特F-150上收集信息。尽管缺乏确凿的证据,但可以认定这种风险真实存在:之前曾有报道称,特斯拉的信息娱乐系统就会存储Wi-Fi密码和Spotify密码。

另外,ATF调查人员详细介绍了车载计算机如何“设计并存储大量数据”,并且“有望在无需访问手机本身的情况下,通过与车载系统的连接记录恢复大量手机信息。”调查员们还提到,使用这种数字技术能够入侵多种主流车型,包括“宝马、别克、凯迪拉克、雪佛兰、克莱斯勒、道奇、菲亚特、福特、GMC、悍马、吉普、林肯、玛莎拉蒂、梅赛德斯、水星、庞蒂亚克、公羊、土星、丰田和大众等品牌的超10000款车型。”

黑客或警方也能从汽车上获得多种公开信息。网络安全研究员Curry向媒体证实,只要在车身看一眼VIN码,就能查询到大量相关信息,这也凸显出VIN码公开的“可怕后果”。他补充道,“我们在多家汽车公司的产品中发现了很多不同功能和汽车信息条目,全都可以用VIN码进行查询。”

美国执法机构采购汽车取证 预算创历史纪录

为了从被扣押的汽车身上获取有用数据,美国海关及边境保护局、移民海关执法局今年在汽车取证技术身上花掉了创纪录的预算,供应商则是总部位于马里兰州的行业龙头公司Berla。其iVe工具能够从车辆中挖掘数据,供当地/联邦执法部门以及军事机构使用。

根据政府合同记录,今年8月,海关及边境保护局在iVe上的花费超过38万美元,几乎是过去两年来最大单笔采购金额(5万美元)的8倍。移民海关执法局自2010年以来也一直在采购Berla工具和培训服务,今年9月更是在iVe身上花掉了50万美元,超过之前单笔采购纪录20万美元的两倍。在2022年5月的一份合同中,海关及边境保护局还特别要求Berla提供“车载信息娱乐系统取证工具、许可证和培训服务”。

在警方深入调查现代汽车中的大量个人信息时,隐私保护组织们对此深感忧心。今年10月,监控技术监督项目(S.T.O.P.)发布一份报告,警告称“从汽车上收集到的数据比手机数据更详细,并且获取车载数据的法律和技术门槛反而更低。”

S.T.O.P.研究主管Eleni Manis认为,海关及边境保护局和移民海关执法局正在“将汽车数据武器化”。

她总结道,“Berla设备让海关及边境保护局和移民海关执法局能够对乘客的生活开展全面搜查,包括轻松访问汽车的历史位置记录、常去的地方,乘客的家人和社交联系人、彼此间的通话记录,甚至是社交媒体使用概况等。虽然我们还不知道海关及边境保护局和移民海关执法局具体入侵了多少辆汽车,但可以肯定的是几乎每辆新车都可能受到攻击。”

截至本文发布时,海关及边境保护局与移民海关执法局均未回应置评请求。

]]>
《安联智库-网安周报》2022-12-04 Tue, 07 Feb 2023 10:48:06 +0800

1、十年未被发现!现代汽车曝重大安全漏洞,黑客可远程解锁

据cybernews消息,现代汽车APP存在一个重大安全漏洞。利用这个漏洞,黑客可以远程解锁、启动汽车。更令业界感到惊讶的是,这个漏洞已经存在了10年之久,影响了自2012年生产的现代汽车。
这两个APP的名称是MyHyundai 和 MyGenesis,允许经过身份验证的用户启动、停止、锁定和解锁他们的车辆,可进一步提升车主的使用体验。
根据网络安全研究人员Sam Curry在社交平台发文称,“我们注意到服务器不要求用户确认他们的电子邮件地址,此外还有一个非常松散的正则表达式,允许在您的电子邮件中使用控制字符。”
在深入研究绕过身份验证的可能方法后,Sam Curry和他的团队发现,在注册过程中,只需要在现有受害者电子邮件的末尾添加CRLF字符,攻击者就可以使用现有的电子邮件注册一个新帐户。而这个新帐户将获得一个JSON网络令牌 (JWT),该令牌与服务器中的合法电子邮件相匹配,从而授予攻击者对目标车辆的访问权限。
有消息称,某些黑客团队也盯上了这个漏洞,甚至开发了一个python 脚本,只需要获取受害者的电子邮件地址,即可执行车辆上的所有命令,甚至接管车主的帐户。
2、Redis服务器被植入后门

被研究人员称之为Redigo的一种基于Go的新的恶意软件,它一直针对有CVE-2022-0543漏洞的Redis服务器并植入一个隐秘的后门允许命令执行。

CVE-2022-0543是Redis(远程字典服务器)软件中的一个关键漏洞,具有非常高的威胁性。它在2022年2月被发现并修复。修复几个月后,仍有攻击者继续在未打补丁的机器上利用它。针对于此漏洞的恶意软件的名称Redigo则是由它的目标机器和构建它的编程语言创造的。

3、三星小米等厂商均受影响,谷歌披露威胁数百万安卓设备的高危漏洞

谷歌安卓合作伙伴漏洞计划(APVI)网站上的一个新帖子中,曝光了一个影响数百万安卓设备的安全漏洞。黑客利用该漏洞,就能够在三星、LG、小米等诸多 OEM 厂商品牌手机中植入恶意软件。而且这些恶意软件可以获得系统级别的最高权限。

这个安全漏洞的关键就是平台证书。谷歌员工和恶意软件逆向工程师卢卡兹・塞维尔斯基(Łukasz Siewierski)率先发现了这个证书问题,他表示这些证书或签名密钥决定了设备上安卓版本的合法性。供应商也使用这些证书来签署应用程序。

虽然安卓系统在安装时为每个应用程序分配了一个独特的用户 ID(UID),但共享签名密钥的应用程序也可以有一个共享的 UID,并可以访问对方的数据。而通过这种设计,与操作系统本身使用相同证书签署的应用程序也能获得同样的特权。而问题的关键是,部分 OEM 厂商的安卓平台证书泄露给了错误的人。这些证书现在被滥用于签署恶意应用程序,使其具有与安卓系统相同的权限。这些应用程序可以在受影响的设备上可以不和用户交互,直接获得系统级权限。因此安卓设备一旦感染,就能在用户不知情的情况下获取所有数据。

4、停用UEFI安全启动,宏碁多款电脑存在严重安全漏洞

11月29日消息,ESET恶意软件研究员Martin Smolar报告,宏碁某些笔记本电脑设备的驱动程序存在高危漏洞,可停用UEFI安全启动功能,导致攻击者在启动过程中部署恶意软件。

受影响的宏碁笔记本电脑型号共计有五款,包括宏碁Aspire A315-22、A115-21、A315-22G、Extensa EX215-21和EX215-21G。

宏碁回应称,该漏洞确实存在,目前已修复该漏洞,并提醒用户及时更新固件。用户可在官网下载BIOS更新,并在系统中手动部署。

]]>
十年未被发现!现代汽车曝重大安全漏洞,黑客可远程解锁 Tue, 07 Feb 2023 10:48:06 +0800 据cybernews消息,现代汽车APP存在一个重大安全漏洞。利用这个漏洞,黑客可以远程解锁、启动汽车。更令业界感到惊讶的是,这个漏洞已经存在了10年之久,影响了自2012年生产的现代汽车,以及旗下高端品牌捷尼赛思汽车。但现代汽车发布公告称,该漏洞并未被广泛利用。

这两个APP的名称是MyHyundai 和 MyGenesis,允许经过身份验证的用户启动、停止、锁定和解锁他们的车辆,可进一步提升车主的使用体验。

根据网络安全研究人员Sam Curry的说法,原本现代和捷尼赛思汽车的APP仅向授权用户提供车辆的控制权限,但是,该APP与授权服务器的通信之间存在一个严重的安全漏洞,导致攻击者可以轻易取得相应的权限。

Sam Curry在社交平台发文称,“我们注意到服务器不要求用户确认他们的电子邮件地址,此外还有一个非常松散的正则表达式,允许在您的电子邮件中使用控制字符。”

在深入研究绕过身份验证的可能方法后,Sam Curry和他的团队发现,在注册过程中,只需要在现有受害者电子邮件的末尾添加CRLF字符,攻击者就可以使用现有的电子邮件注册一个新帐户。

而这个新帐户将获得一个JSON网络令牌 (JWT),该令牌与服务器中的合法电子邮件相匹配,从而授予攻击者对目标车辆的访问权限。

Sam Curry发布消息称,“我们目前在确认,是否可以使用被篡改的 JWT 执行解锁或启动汽车等实际操作,如果真的可以做到这一点,那么将有可能全面接管所有远程启动的现代汽车和捷尼赛思汽车。

随后,有安全研究人员利用他们手里的一辆现代汽车来测试该漏洞。最终结果显示,使用受害者的电子邮件地址并添加 CRLF 字符,就可以让他们远程解锁链接了相应电子邮件地址的车辆。

有消息称,某些黑客团队也盯上了这个漏洞,甚至开发了一个python 脚本,只需要获取受害者的电子邮件地址,即可执行车辆上的所有命令,甚至接管车主的帐户。

目前,该漏洞已经报告给现代汽车公司,并且已经得到修复。在发布的公告中,现代汽车表示,经过调查后并未发现该漏洞被黑客利用了。

现代声称该公司调查了这个问题,并没有发现该漏洞在野外被利用,并强调利用该漏洞条件苛刻,“需要知道与特定现代汽车帐户和车辆相关的电子邮件地址,以及研究人员使用的特定网络脚本。”

而这似乎与目前不少安全人员发布的内容不太相符。

Yuga Labs公司的分析师称,只需要知道目标车辆识别号 (VIN),就有可能向端点发送伪造的 HTTP 请求,从而顺利利用该漏洞。

在实际情况中,车辆VIN 很容易在停放的汽车上获取,通常在仪表板与挡风玻璃相接的板上可见,攻击者可以轻松访问它。这些识别号码也可以在专门的汽车销售网站上找到,供潜在买家查看车辆的历史记录。

近年来,智能汽车产业正处于快速发展期,越来越多的安全专家们也开始将研究重点放在汽车攻击领域,发现了不少重量级汽车网络安全漏洞,包括远程解锁、启动、停止车辆等,成功向外界展示,攻击者是如何破坏车辆中的各种组件,涉及多个主流汽车品牌。

也正因为如此,汽车厂商们应进一步加大对网络安全的重视程度,并真切投入资源改善这种不安去的状况。汽车作为一个私密、封闭的个人空间,其安全性的重要性毋庸置疑,也是车主们选择汽车的重要衡量因素。

]]>
三星小米等厂商均受影响,谷歌披露威胁数百万安卓设备的高危漏洞 Tue, 07 Feb 2023 10:48:06 +0800 谷歌安卓合作伙伴漏洞计划(APVI)网站上的一个新帖子中,曝光了一个影响数百万安卓设备的安全漏洞。黑客利用该漏洞,就能够在三星、LG、小米等诸多 OEM 厂商品牌手机中植入恶意软件。而且这些恶意软件可以获得系统级别的最高权限。

这个安全漏洞的关键就是平台证书。谷歌员工和恶意软件逆向工程师卢卡兹・塞维尔斯基(Łukasz Siewierski)率先发现了这个证书问题,他表示这些证书或签名密钥决定了设备上安卓版本的合法性。供应商也使用这些证书来签署应用程序。

虽然安卓系统在安装时为每个应用程序分配了一个独特的用户 ID(UID),但共享签名密钥的应用程序也可以有一个共享的 UID,并可以访问对方的数据。而通过这种设计,与操作系统本身使用相同证书签署的应用程序也能获得同样的特权。

而问题的关键是,部分 OEM 厂商的安卓平台证书泄露给了错误的人。这些证书现在被滥用于签署恶意应用程序,使其具有与安卓系统相同的权限。这些应用程序可以在受影响的设备上可以不和用户交互,直接获得系统级权限。因此安卓设备一旦感染,就能在用户不知情的情况下获取所有数据。

]]>
速看!Redis服务器被植入后门 Tue, 07 Feb 2023 10:48:06 +0800 被研究人员称之为Redigo的一种基于Go的新的恶意软件,它一直针对有CVE-2022-0543漏洞的Redis服务器并植入一个隐秘的后门允许命令执行。

CVE-2022-0543是Redis(远程字典服务器)软件中的一个关键漏洞,具有非常高的威胁性。它在2022年2月被发现并修复。修复几个月后,仍有攻击者继续在未打补丁的机器上利用它。针对于此漏洞的恶意软件的名称Redigo则是由它的目标机器和构建它的编程语言创造的。

今天,AquaSec报告说,其易受CVE-2022-0543影响的Redis蜜罐捕获了一个新的恶意软件,该恶意软件并没有被Virus Total上的安全软件检测到。

Redigo攻击

AquaSec说,Redigo攻击从6379端口的扫描开始,以定位暴露在开放网络上的Redis服务器。找到目标端点后,atacker连接并运行以下命令:

INFO - 检查Redis的版本,以确定服务器是否有CVE-2022-0543的漏洞。

SLAVEOF - 创建一个攻击服务器的副本。

REPLCONF - 配置从攻击服务器到新创建副本的连接。

PSYNC - 启动复制流并下载服务器磁盘上的共享库 "exp_lin.so"。

MODULE LOAD - 从下载的动态库中加载模块,该模块能够执行任意命令并利用CVE-2022-0543。

SLAVEOF NO ONE - 将有漏洞的Redis服务器转变成主服务器。

利用植入后门的命令执行能力,攻击者收集主机的硬件信息,然后下载Redigo(redis-1.2-SNAPSHOT)。该恶意软件在升级权限后被执行。

攻击者通过6379端口模拟正常的Redis通信,以逃避网络分析工具的检测,同时试图隐藏来自Redigo的命令和控制服务器的流量。

由于AquaSec公司蜜罐的攻击时间限制,其分析师无法确定Redigo在环境中站稳脚跟后到底做了什么。

AquaSec表示,Redigo的最终目标很可能是将易受攻击的服务器作为机器人加入网络,进行分布式拒绝服务(DDoS)攻击,或者在被攻击的系统上运行加密货币矿工。

此外,由于Redis是一个数据库,访问数据并窃取它也可能是Redigo攻击的目的。

]]>
医保基金公司Medibank数据大规模泄露后,澳紧急将罚款提高至5000万 Tue, 07 Feb 2023 10:48:06 +0800 12月2日,据The Hacker News报道,黑客再次在暗网公布Medibank用户敏感数据,这已经是黑客连续数次公布盗窃数据。作为澳大利亚最大的个人医保基金公司,Medibank在10月遭遇重大勒索攻击,970万用户敏感信息遭窃取。

在连续数起大规模勒索攻击事件发生后,澳大利亚政府通过了一项法案,将对数据泄露公司的处罚提高到5000万澳元。

这起发生在10月的勒索软件事件“余韵悠长”,在Medibank拒绝支付高额勒索赎金后,黑客开始陆续在暗网公开用户信息。

图片黑客最新披露的数据集以六个ZIP存档文件的形式上传,包括医疗保险赔付信息。但Medibank表示,大部分数据是零散的,与客户姓名和联系方式没有关联,被盗的个人数据本身不足以用来进行身份和财务欺诈。

The Hacker News表示,攻击Medibank的组织疑似位于俄罗斯,且很可能与REvil勒索组织有关,该组织于今年5月卷土重来。

此次黑客再度公布信息,恰逢澳大利亚信息委员会办公室(OAIC)宣布对Medibank的涉事数据处理实践进行调查。

频遭网络攻击,澳大利亚提高罚款额度

过去两个月,澳大利亚的大型企业和关键基础设施频频遭遇网络攻击,除了Medibank,澳大利亚第二大电信供应商澳都斯(Optus)也遭遇网络攻击,1000万名客户的账户受影响。零售公司伍尔沃斯(Woolworths)的打折购物网站也遭攻击,数百万客户个人信息泄露。

路透社此前曾报道,澳大利亚政府11月4日发布的一份报告显示,上个财年,澳大利亚境内的网络攻击数量激增,“平均每七分钟一次”。

这些大型数据泄露事件促使澳大利亚政府通过新的法案。11月30日,澳大利亚政府通过了一项法案《2022年隐私立法修正案(执行和其他措施)法案》,显著增加了对遭受严重数据泄露或反复数据泄露公司的处罚。

新法案规定,最高罚款从目前的222万澳元提高到5000万澳元,相当于一家实体企业在相关时期调整后营业额的30%,或者通过滥用信息获利的三倍,以两者中最高者为准。

司法部长马克·德雷福斯(Mark Dreyfus)在一份声明中表示:“最近几个月发生的重大隐私泄露事件表明,现有的安全措施已经过时和不足。这些改革清楚地向企业表明,对重大数据泄露的惩罚不能再被视为经营成本。”

]]>
亲俄黑客组织Killnet发起“总攻”预热,星链瘫痪数小时 Tue, 07 Feb 2023 10:48:06 +0800 本周三,亲俄黑客组织Killnet宣称已经完成对埃隆·马斯克的星链(Starlink)、白宫官网(WhiteHouse.gov)和威尔士亲王网站的“测试攻击”。安全公司Trustwave的研究人员确认了上述攻击的真实性。

星链瘫痪数小时

Killnet及其黑客合作者团伙在宣言中声称,他们完成了三次“试探性的”DDoS攻击,旨在惩罚支持乌克兰的一些最关键的力量,包括马斯克的Starlink卫星宽带服务以及美国白宫和英国威尔士亲王的网站。

Killnet声称在11月18日通过DDoS攻击关闭了Starlink服务。同一天,网络安全公司Trustwave的研究人员在Reddit上发现Starlink客户抱怨他们几个小时内无法登录帐户。

Killnet在Telegram上发布消息称:“同志们久等了,对星链发动的集体DDoS攻击导致没有人可以登录Starlink。”

马斯克的星链对乌克兰军队的战场情报和指挥至关重要。11月初,黑客组织“Joker DPR”(顿涅兹克小丑)宣称成功入侵乌克兰武装部队(AFU)使用的所有军事指挥和控制程序,包括可接入北约ISR系统的美国Delta数字地图战场指挥系统。根据Joker DPR泄露的信息,该系统目前是乌克兰部队主要使用的战场指挥系统,且严重依赖星链网络提供的通讯服务。

据悉有大量黑客组织参与了Killnet围剿星链的DDoS攻击活动,包括Anonymous Russia,Msidstress,Radis,Mrai和Halva。

白宫,威尔士亲王网站被针对

除了星链,Killnet还宣称在11月17日成功地在白宫网站上实施了“30分钟的试探性攻击”。

“当然,我们希望攻击持续更长的时间,但没有考虑到请求过滤系统的强度,”Killnet补充道:“即便如此!白宫官网还是在所有人面前被搞瘫了!”

据Trustwave透露,白宫动用了军用级保护来抵御Automattic的DDoS攻击。

数日后,即11月22日,Killnet又发起了另一次DDoS攻击,这次是针对威尔士亲王的网站,并警告说英国医疗系统将是下一个目标。Killnet还威胁未来将对伦敦证券交易所,英国陆军等重要目标实施攻击。

尽管目标雄心勃勃,但Trustwave表示,Killnet及其网络犯罪团伙还不够先进,无法实施比基本DDoS攻击更高级的攻击。

“我们应该期待看到更多来自Killnet的低技能攻击,针对越来越多与俄罗斯作对的目标,”Trustwave在周二关于Killnet DDoS攻击的报告中表示:“然而,该组织的攻击力能否升级到造成损害、泄露数据或长时间瘫痪网站还有待观察。”

周四发动大规模攻击

在星链和白宫官网“小试牛刀”后,Killnet在社交网络上号召数以千计的俄罗斯黑客本周四对敌人发起大规模集体攻击(主要为网站篡改、垃圾邮件、DDoS等低技能攻击),参与攻击的黑客将得到加密货币作为奖励(下图)。

Killnet宣称本周四的第一波攻击将拿拉脱维亚开刀,因为后者宣布支持向乌克兰提供武器:

Killnet公布了拉脱维亚政府目标网站的网址和IP地址,同时还呼吁得到俄罗斯政府的支持,这表明Killnet期望能够得到类似乌克兰IT部队的官方认可和支持。

]]>
大事件!密码神器LastPass承认黑客窃取了客户数据 Tue, 07 Feb 2023 10:48:06 +0800 11月30日,密码管理工具LastPass首席执行官 Karim Toubba公开承认,通过一个新的漏洞,黑客访问了LastPass 的第三方云存储服务器,并获得了部分客户的关键信息。但具体有多少客户因此受到影响,以及黑客窃取了哪些敏感信息暂时未公布。

在LastPass公开承认这一数据泄露事件后,该公司进一步强调“由于LastPass采取了先进的零信任架构体系,因此客户的密码仍然被安全加密。”

但是这个保证似乎并没有让客户满意。毕竟在2022年8月,LastPass还曾公开承认,有黑客曾进入过LastPass 的内部系统,并窃取了部分源代码和敏感数据。仅仅三个月后,LastPass 就在一次出现如此严重的数据泄露事件。

公开信息显示,Lastpass是一个在线密码管理器和页面过滤器,采用了强大的加密算法,自动登录/云同步/跨平台/支持多款浏览器。该公司声称其产品有超过10万家企业、3300万人员正在使用,是全球最大的在线密码管理软件。

值得一提的是,11月发生的数据泄露事件和8月发生的源代码泄露存在关联,根据LastPass 首席执行官 Karim Toubba的说法,黑客利用了“8月事件中获得的信息" ,从而获得了对用户数据的访问。

LastPass 表示,目前公司已经聘请专业网络安全公司Mandiant调查此事件,并将此次攻击的情况和执法部门进行了汇报。

近几年,LastPass 频频传出数据、密码泄露丑闻。2021年年底,许多LastPass用户在收到LastPass登录电子邮件警告,邮件告知他们的主密码已被泄露,有人试图从未知位置登录他们的帐户。事后,LastPass回应异常登录称,暂无证据表明数据泄露,但用户并不买账,并对LastPass的安全性提出了质疑。

LastPass母公司GoTo也遭受影响

由于第三方云存储服务由LastPass及其母公司GoTo(原名LogMeIn)共享,因此此次攻击事件也影响了GoTo的开发环境和第三方云存储服务,并泄露了相应的数据。

GoTo表示,该攻击事件并未影响他们的产品和服务,并且它们仍然可以正常运行。为了更好地确保安全,GoTo公司称在袭击发生后部署了“增强的安全措施和监控能力”。

有国外媒体向 GoTo 询问事件发生的具体信息及相关后果,例如攻击发生的时间或源代码是否被盗,但尚未得到回复。

]]>
勒索软件已冲击国家安全?英国议会启动专项调查 Tue, 07 Feb 2023 10:48:06 +0800 11月30日消息,英国议会国家安全战略联合委员会(JCNSS)周一举行首次证据介绍会,调查其国家安全战略能否有效应对勒索软件威胁。

联合委员会主席玛格丽特·贝克特(Margaret Beckett)议员表示,这次介绍会旨在确定“威胁的规模和性质”。

在此之前,由英国上、下议院议员组成的联合委员会已开放证据提交通道。

预计后续听证会将进一步引入应对勒索软件攻击的证人,包括受害者及执法机构。其中一部分由委员会传唤,另一些则根据书面证据进行选择。

勒索软件威胁规模有多大?

贝克特表示,“人们似乎普遍认为,近年来勒索软件威胁正持续恶化,但总体上仍缺少能够证明威胁规模的可靠数据。”

网络安全公司NCC Group首席技术官Ollie Whitehouse、咨询公司Control Risks网络事件响应负责人Jayan Perera以及牛津大学网络安全教授Sadie Cresse三位证人,在本次介绍会上提出了以下几大要点:

针对英国组织的勒索软件攻击在实际“规模”上缺乏可见性;

尽管不清楚攻击事件的真实数量,但其他数据来源证实这确实是个普遍存在的威胁;

所谓“泄露网站”所公布的信息,并不足以体现其他未公开被盗数据的网络勒索活动;

勒索攻击事件上报的普及度不高,组织只在有明显好处时才会选择与政府和执法部门接触;

应当以仍在持续发展的网络安全科学为基础,据此探索对勒索软件的抵御之道。

会上公布了哪些证据?

在本次调查之前,英国政府已经发布过两项国家安全战略审查:第一是2021年的安全、国防、发展与外交政策综合审查,其中将勒索软件确定为“最有害的网络犯罪形式之一”;第二是今年的英国国家网络战略,其中将勒索软件描述为“英国面临的最重大网络威胁”,且“可能与国家支持的间谍活动具备同等危害”。

在听证会的开场,Ollie Whitehouse引用了美国财政部金融犯罪执法网络(FinCEN)本月早些时候发布的数据。数据显示,2021年全美勒索软件攻击和支付赎金数额均创下新纪录。

他指出,上报的事件已经由2020年的487起跃升至1489起,同比增长约300%。但2022年期间,NCC Group对勒索软件泄露网站的分析显示,受害者数量减少了7%至10%。

Jayan Perera观察到,俄乌战争似乎影响到了勒索软件即服务(RaaS)生态系统。知名勒索软件组织Conti内部的亲俄与亲乌派成员就曾发生过冲突,地缘政治争端后来导致其聊天记录泄露。

Sadie Cresse多次强调犯罪团伙的经济学原理,例如确定供应链攻击如何通过一次投入拿下多位受害者,以此获取规模经济收益。

她还指出,尽管Conti组织已经覆灭(该团伙此前曾攻击哥斯达黎加政府引发该国政治动荡),但其个人成员仍可能以新的身份继续活跃,这也体现出犯罪生态系统的内部流动性。

“隧道尽头没有光明”

英国上议院议员Baroness Crawley援引媒体报道,提到勒索软件攻击已经成为英国政府内阁办公室简报室(COBR)召开会议的主要原因。

报道称,尽管经过几个月的工作,内政部领导的勒索软件“冲刺”已经在一年前结束,但政府方面仍未采取任何切实行动以应对这一威胁。

直接负责勒索软件事务的官员表示,他们觉得隧道尽头没有光明,甚至完全感受不到有助于英国遏制这方面问题的任何希望。

Perera和Whitehouse都对政府的迟缓行动做出辩护。Creese则表示,“其实勒索软件中还涉及其他多种网络威胁类型,所以我建议把对勒索软件的担忧转化为对网络弹性的整体推进。”

]]>
停用UEFI安全启动,宏碁多款电脑存在严重安全漏洞 Tue, 07 Feb 2023 10:48:06 +0800 11月29日消息,ESET恶意软件研究员Martin Smolar报告,宏碁某些笔记本电脑设备的驱动程序存在高危漏洞,可停用UEFI安全启动功能,导致攻击者在启动过程中部署恶意软件。

受影响的宏碁笔记本电脑型号共计有五款,包括宏碁Aspire A315-22、A115-21、A315-22G、Extensa EX215-21和EX215-21G。

Martin指出,宏碁笔记本设备上的HQSwSmiDxe DXE驱动程序中发现了安全漏洞(CVE-2022-4020)。攻击者不需要用户交互即可更改 UEFI 安全启动设置,方法是修改 BootOrderSecureBootDisable NVRAM变量以禁用安全启动。

UEFI是统一可扩展固件接口(Unified Extensible Firmware Interface)的缩写,用于在加载操作系统之前启动计算机硬件。UEFI安全启动功能确保在设备启动过程中不加载恶意代码。

宏碁回应称,该漏洞确实存在,目前已修复该漏洞,并提醒用户及时更新固件。用户可在官网下载BIOS更新,并在系统中手动部署。

联想笔记本电脑早些时候也出现过类似问题,研究人员发现,ThinkBook、IdeaPad和Yoga多款笔记本电脑型号中存在类似错误,可能导致停用UEFI Secure Boot。

今年早些时候,ESET还发现超过70款联想笔记本设备安装了易受攻击的UEFI固件。UEFI固件中的缓冲区溢出漏洞允许攻击者进行任意代码执行(ACE)攻击,并禁用基本的安全功能。

]]>
又泄露5亿用户数据!知名社交平台脸书被罚约20亿元 Tue, 07 Feb 2023 10:48:06 +0800 2022年11月27日,当地时间路透社报道称,爱尔兰数据保护委员会(Data Protection Commission,下称“DPC”)对社交软件脸书(Facebook)处以2.65亿欧元(合约20亿人民币)的罚款,理由是该软件中超5亿用户数据被泄露。截至目前,脸书母公司Meta(Nasdaq:META)已因隐私泄露被该监管机构罚款近10亿欧元。

据路透社,此次罚款基于2021年4月的一项调查。该调查显示,脸书约5.33亿用户的个人数据被黑客窃取,这些数据涉及106个国家,包括脸书ID、用户全名、位置、生日、个人简介以及电子邮件地址等。

对于此次数据泄露,Meta曾表示,这是由于“恶意人士”利用脸书的漏洞窃取用户个人信息,且这些数据来自2019年发生的信息泄露事件,早已过时。

11月27日,该公司重申系统漏洞已经于2019年修正。Meta发言人表示,该公司将审查此次罚款的详细情况以决定是否对罚款提起上诉。

由于信息泄露,过去15个月中,爱尔兰DPC已经对Meta及旗下社交软件WhatsApp和Instagram展开三次调查,总罚款额超过9亿美元。

其中最大一笔发生在今年9月,Meta旗下社交软件Instagram由于保护儿童数据不力,被处以4.05亿欧元罚款。这是截至目前该监管机构对Meta的最高罚单,同时也是根据欧盟《通用数据保护条例》(General Data Protection Regulation)对监管公司开出的第二高罚单,仅次于2021年7月对亚马逊处以的7.46亿欧元罚款。

值得注意的是,就在上周,WhatsApp再度陷入信息泄露“丑闻”。

数字安全调查媒体Cybernews11月24日报道称,来自84个国家的超4.87亿WhatsApp用户数据被公开售卖。不过据多家外媒报道,Meta发言人于27日否认信息泄露一事,称该说法基于“未经证实的屏幕截图”,纯属推测,Meta并没有发现任何证据可以表明WhatsApp的系统存在数据泄露。

目前,欧盟正在收紧对大型科技公司的监管,已有两项针对大型科技公司的法律通过并开始实施,分别为《数字服务法案》及《数字市场法案》,前者规范科技公司的内容审核系统,后者旨在限制科技巨头的不正当竞争行为。

除Meta外,苹果、谷歌等科技公司同样受到爱尔兰DPC的监管。路透社称,该监管机构已对上述科技公司展开40项调查。

截至11月28日美股收盘,Meta跌2.36%,报收108.78美元/股,今年以来股价已跌逾67%。

]]>
网灾降临!因遭遇网络攻击,这个国家政务网络瘫痪超三周 Tue, 07 Feb 2023 10:48:06 +0800 11月29日消息,受网络攻击影响,太平洋岛国瓦努阿图政府已经离线约三个星期。民众难以获得服务,部分公务员也被迫重新拿起笔纸来办理事务。

几天过去,有官员告知当地新闻媒体,政府网络、官方网站和在线服务曾在11月6日遭到“入侵”。在此之后,政府一直对攻击事件和系统恢复问题三缄其口,这招致了一些批评声音,有新闻媒体甚至将这次黑客攻击称为“我们最深处的秘密”。

居民生活和工作受到极大影响

这次网络攻击,发生在总理Alatoi Ishmael Kalsakau领导的新政府宣誓就职后的第二天。由于政务系统离线,对居住在几十个岛屿上的32万瓦努阿图民众生活造成了极大不便。

太平洋咨询公司(一家与太平洋地区各企业及政府,包括瓦努阿图政府合作的咨询公司)管理合伙人Glen Craig表示,“这里的一切都通过电子邮件运行,所以邮件系统中断引发了很多问题。包括建筑许可、居留申请以及工作许可在内,很多待处理的事务都被搁置了。”

紧急服务也受到了影响,有一条报警热线被关闭了约一周之久。政府工作人员的工资未能按时支付,部分人还表示自己难以正常纳税。

在卢甘维尔岛帮助经营百万美元景观度假村的Gilbert Fries表示,“我有个朋友没法续签驾照,另一个朋友则无法在截止日期之前为一块土地上缴财产税。”他还提到,目前港口工人已经在用纸和笔来登记进出货物。

居住在该国首都维拉港的Craig表示,虽然居民们可以亲自到政府办公室缴纳税款,但“整个缴税记录,也是以手动方式在电子表格上完成的”。

攻击者索要赎金被拒,邻国正协助恢复业务

瓦努阿图最大邻国澳大利亚的太平洋事务部长Pat Conroy上周五表示,澳方一直在帮助瓦国政府恢复正常运作。

Conroy在瓦努阿图参加区域会议时告诉记者,“我们立即提供了帮助,并派出一支团队来协助应对这次可耻的网络攻击、做出事后响应。我们正努力让该国的IT系统恢复运转。”

澳大利亚的《悉尼先驱晨报》本月报道称,黑客曾索取赎金,但瓦国政府拒绝支付。外媒通过电话、短信和邮件多次联络瓦努阿图国家首席信息官,但对方并未回复置评请求。

尽管政府“每天”都会受到网络攻击,但系统被实际攻陷的情况并不多见。新南威尔士州大学网络安全研究所主任Nigel Phair表示,“这是因为政府一般在网络安全方面都做得很好。”

Phair解释称,恶意黑客往往会瞄准政府愿意出钱保护的敏感数据。“比如说高度敏感的税务信息、社会保障或健康信息,以及总理部门经手的某些信息,犯罪分子往往能用这些数据换取更加有利的交换条件。相比之下,公园管理割草时间的IT系统的低敏感度信息则意义不大。”

多方面因素导致瓦努阿图缺乏应急计划

澳大利亚墨尔本莫纳什大学信息技术学院副院长Carsten Rudolph表示,由于人口稀少,瓦努阿图这个太平洋岛国很难养活足够应对网络安全挑战的全职政府雇员。

他解释称,“这个问题不仅跟太平洋地区的特点有关,也跟瓦国幅员辽阔、居民常因气候变化和灾害风险而迁徙等具体问题有关。总之,网络安全是一个系统性问题,必须把它跟其他问题统一起来做整体分析。”

Craig则表示,瓦努阿图政府缺乏在网络长时间中断的情况下继续维持政务的应急计划,这确实“令人失望”。他认为“有些部门表示不错,能立即在社交媒体上公布员工的备用Gmail账户。但也有些部门未作反应,导致人们根本不知道该如何与其沟通。”

Craig还提到,瓦努阿图堪称全球自然灾害最频繁、灾害风险最高的国家,受到气候变化的影响也极大。今年1月,另一太平洋国家汤加刚刚因火山喷发而陷入瘫痪,原因就是该国与世界连通的唯一海底光缆在灾害中断开。

Craig总结称,“在当今时代,对于像瓦努阿图遭遇的这类高风险事件,都应该有相应的强大系统来应对和解决。”

]]>
印度最大医院遭网络攻击:业务中断超4天 只能手动处理工作 Tue, 07 Feb 2023 10:48:06 +0800 11月28日消息,印度主要公共医疗机构之一,全印度医学科学研究所(AIIMS)遭遇网络攻击,出现业务中断。

此次中断影响到数百位使用基础医疗保健服务的患者和医生,波及患者入院、出院和计费等系统。

AIIMS成立于1956年,拥有数千位医学本科生和研究生。该机构同时也是印度最大的国有医院之一,可容纳2200多张病床。

医院方面表示,上周三(11月23日)发生的网络攻击似乎是一起勒索软件攻击,因为黑客修改了受感染文件的扩展名。

AIIMS管理人员接受采访时表示,自上周三上午开始,其患者护理服务受到了严重影响。

由于负责记录患者数据的服务器停止工作,该机构只能转向手动操作,包括手写病患记录。中断还导致排队周期延长,应急处置工作也开始出现失误。

在经历最初几个小时的中断之后,医院方面发布一份声明,确认了网络攻击的存在。中断一直持续到次日。

一位住院医生在采访中表示,“有很多采血样本无法发送,没法进行影像学研究,也看不到之前的报告和图像。大量操作只能以手动方式完成,但这样既耗时也更容易出错。”

到上周四晚些时候,医院方面指示医生继续手写记录,包括在系统中断期间手写出生和死亡证明。

据mint报道,直到上周六,医院服务器依然受影响,相关工作继续以人工方式进行。

印度国家信息中心的一支团队正与印度计算机应急响应小组密切合作,帮助AIIMS尽快恢复系统。据一位直接了解事件的人士称,目前正努力从备份中恢复数据。

与此同时,包括中央调查局和德里警局情报整合与战略行动部在内的多个执法机构,也在着手调查这起事件的幕后黑手。警方已经就此事提出正式控告。

目前还不清楚,恶意黑客能否访问到患者的细节数据。


]]>
《安联智库-网安周报》2022-11-27 Tue, 07 Feb 2023 10:48:06 +0800

1、WhatsApp数据大泄露,近5亿条用户号码在暗网出售

据Cybernews报道,有黑客正在地下论坛出售近5亿WhatsApp用户的最新手机号码,而通过检验数据库样本,这些数据极有可能是真实数据。11月16日,一名黑客在著名黑客社区论坛上发布了一则广告,声称出售WhatsApp 2022年数据库,库内包含4.87亿用户手机号码。
公开数据显示,WhatsApp在全球拥有超过20亿月活跃用户。据称,该数据库包含84个国家的WhatsApp用户数据。威胁行动者称其中包含3200万美国用户、4500万埃及用户、3500万意大利用户、2900万沙特阿拉伯用户、2000万法国用户、2000万土耳其用户信息;还包含近1000万俄罗斯公民和1100多万英国公民的电话号码。
Cybernews的研究人员联系WhatsApp数据库卖家,得到了一份数据样本。样本中有1097个英国和817个美国用户号码。卖家没有具体说明数据库的获得方法,暗示使用了一些策略来收集数据,并保证数据库中所有号码是WhatsApp活跃用户。WhatsApp母公司Meta对此不予置评。Meta长期以来因允许第三方收集用户数据而受到批评。通常情况下,发布在网上的大量数据转储是通过抓取获得的,此举违反了WhatsApp的服务条款。某黑客论坛上存在超过5.33亿WhatsApp用户纪录的泄露,下载数据库几乎免费。
除了WhatsApp大规模数据泄露,一份据称包含5亿领英用户资料的数据库被挂上黑客论坛出售。泄露的电话号码可能被用于广告营销、网络钓鱼、假冒和欺诈。“在这个时代,我们都留下了庞大的数字轨迹,像Meta这样的科技巨头应该采取一切预防措施和手段来保护这些数据,”Cybernews研究团队负责人曼塔斯·萨纳乌斯卡斯表示。“应该采取严格的措施来应对威胁,并从技术角度防止平台被滥用。”
2、真实案例!恶意黑客利用物联网设备成功入侵电网


11月25日消息,微软近期发布一份报告,揭示了使用已停止维护软件的物联网设备面临的风险。从最新案例来看,已经有黑客利用软件中的漏洞攻击能源组织。

本周二,微软研究人员在一份分析报告中透露,他们在Boa Web Server软件中发现了一个易受攻击的开源组件,被广泛应用于一系列路由器、安保摄像头以及流行的软件开发工具包(SDK)。

尽管Boa Web Server在2005年就已停止更新,但它仍被广泛应用,并由此掀起一轮新的危机。由于Boa已经内置到物联网设备供应链的复杂构建方式,防御方其实很难缓解这一安全缺陷。微软报告称,恶意黑客试图利用Boa Web Server的多个漏洞,包括一个高危级别的信息泄露漏洞(CVE-2021-33558)和一个任意文件访问漏洞(CVE-2017-9833)。未经身份验证的攻击者可以利用这些漏洞获取用户凭证,并远程执行代码。

“影响该组件的两个漏洞,可以让恶意黑客在发起攻击之前就收集到关于目标网络资产的信息,并获取有效凭证以访问更多未被检测到的网络。在关键基础设施网络中,恶意黑客能够在攻击之前收集未检测的信息。一旦攻击发起,黑客方就能引发更大影响,甚至可能造成数百万美元损失、破坏数百万人的正常生活。”微软表示。

2022年4月,Recorded Future又发布一份报告,介绍了另一个国家支持的恶意黑客团伙。报告称,该团伙利用物联网设备在用于监视/控制物理工业系统的运营技术(OT)网络上开辟登陆点。在此之后,微软在一周内在全球范围内发现了上百万个暴露在互联网上的Boa服务器组件。可以预见,这个易受攻击的组件很可能给整个世界带来巨大威胁。

3、遇到垃圾短信千万别回复TD 越回越多

我们每天都会收到垃圾短信,很多朋友为了不受其影响,基本都会回复“TD”退订,毕竟短信上就是这样写的。但实际情况却不是这样。腾讯公众号“你问鹅答”就提到,如果遇到无良商家,回复“TD”也没用,甚至后面会收到更多短信。

当你回复“TD”后,无良商家就会将你的号码认定为活跃用户,从而会给你发送更多营销短信。所以最好的解决方法是,什么都不要做。当然你也可以选择将“TD”作为关键词,通过黑名单等功能拦截。但这种做法可能会把少量有用的短信拦截。

事实上,商家没有经过用户同意,就给用户发送营销类短信,这种做法其实是违法的。早在2015年工信部就发布了《通信短信息服务管理规定》,明确商家不得在未经用户同意的情况下发送营销短信。违反者可被处于1万以上、3万以下罚款。

4、国际刑警组织破获 1.3 亿美元的网络犯罪大案

The Hacker News 网站披露, 国际刑警组织宣布,在一项全球打击网络犯罪的活动中,逮捕近 1000 名嫌疑人并扣押价值 1.3 亿美元的虚拟资产。据悉,这场名为“HAECHI-III”的网络犯罪打击行动开始于 2022 年 6 月 28日,在为期五个月时间里,共处理 1600多起案件,逮捕 975 名嫌疑人,冻结近 2800 个用于洗钱的银行和虚拟资产账户。

值得一提的是,逮捕嫌疑人中包括两名被韩国通缉的逃犯,这两人涉嫌参与庞氏骗局,从 2000 名受害者身上骗取近 2800 万欧元。此外,抓捕行动还涉及到一起印度呼叫中心骗局,一群犯罪分子冒充国际刑警组织和欧洲刑警组织的官员,网络诱骗奥地利的受害者转移资金。

网络犯罪分子”通知“受害者,由于其个人身份信息被盗,其他人以他们的名义犯下了与毒品有关的罪行,恐吓受害者汇款。印度中央调查局(CBI)上月披露,大部分受害者为消除嫌疑,被迫通过银行转账、加密钱包、礼品卡代码或凭证代码将其资产/金钱转移到犯罪分子的银行账户。

根据执法部门的说法,此次调查行动特别指出了一系列网络金融犯罪,如语音网络钓鱼、浪漫骗局、性侵犯、投资欺诈和与非法网络赌博相关的洗钱。当局强调,一些新发现的网络犯罪趋势包括各种各样的”浪漫骗局“、性侵犯以及使用加密消息应用程序推广虚假的加密钱包计划。


]]>
遇到垃圾短信千万别回复TD 越回越多 Tue, 07 Feb 2023 10:48:06 +0800 我们每天都会收到垃圾短信,很多朋友为了不受其影响,基本都会回复“TD”退订,毕竟短信上就是这样写的。但实际情况却不是这样。腾讯公众号“你问鹅答”就提到,如果遇到无良商家,回复“TD”也没用,甚至后面会收到更多短信。

当你回复“TD”后,无良商家就会将你的号码认定为活跃用户,从而会给你发送更多营销短信。所以最好的解决方法是,什么都不要做。当然你也可以选择将“TD”作为关键词,通过黑名单等功能拦截。但这种做法可能会把少量有用的短信拦截。

收到垃圾短信回复TD真能退订?腾讯科普:遇到无良商家变本加厉

事实上,商家没有经过用户同意,就给用户发送营销类短信,这种做法其实是违法的。早在2015年工信部就发布了《通信短信息服务管理规定》,明确商家不得在未经用户同意的情况下发送营销短信。违反者可被处于1万以上、3万以下罚款。

]]>
国际刑警组织破获 1.3 亿美元的网络犯罪大案 Tue, 07 Feb 2023 10:48:06 +0800 The Hacker News 网站披露, 国际刑警组织宣布,在一项全球打击网络犯罪的活动中,逮捕近 1000 名嫌疑人并扣押价值 1.3 亿美元的虚拟资产。

据悉,这场名为“HAECHI-III”的网络犯罪打击行动开始于 2022 年 6 月 28日,在为期五个月时间里,共处理 1600多起案件,逮捕 975 名嫌疑人,冻结近 2800 个用于洗钱的银行和虚拟资产账户。

值得一提的是,逮捕嫌疑人中包括两名被韩国通缉的逃犯,这两人涉嫌参与庞氏骗局,从 2000 名受害者身上骗取近 2800 万欧元。

此外,抓捕行动还涉及到一起印度呼叫中心骗局,一群犯罪分子冒充国际刑警组织和欧洲刑警组织的官员,网络诱骗奥地利的受害者转移资金。

网络犯罪分子”通知“受害者,由于其个人身份信息被盗,其他人以他们的名义犯下了与毒品有关的罪行,恐吓受害者汇款。印度中央调查局(CBI)上月披露,大部分受害者为消除嫌疑,被迫通过银行转账、加密钱包、礼品卡代码或凭证代码将其资产/金钱转移到犯罪分子的银行账户。

此次国际刑警组织的突击行动没收印度呼叫中心骗局 25.83 比特币和不同数字钱包中约 3.7 万美元,其中一名嫌疑人银行账户中持有的 37000 美元也被冻结。

国际刑警组织指出,呼叫中心骗局导致受害者转移了总计 15.9 万美元,并缴获了骗子使用的四个加密货币钱包。

根据执法部门的说法,此次调查行动特别指出了一系列网络金融犯罪,如语音网络钓鱼、浪漫骗局、性侵犯、投资欺诈和与非法网络赌博相关的洗钱。当局强调,一些新发现的网络犯罪趋势包括各种各样的”浪漫骗局“、性侵犯以及使用加密消息应用程序推广虚假的加密钱包计划。

]]>
真实案例!恶意黑客利用物联网设备成功入侵电网 Tue, 07 Feb 2023 10:48:06 +0800 11月25日消息,微软近期发布一份报告,揭示了使用已停止维护软件的物联网设备面临的风险。从最新案例来看,已经有黑客利用软件中的漏洞攻击能源组织。

本周二,微软研究人员在一份分析报告中透露,他们在Boa Web Server软件中发现了一个易受攻击的开源组件,被广泛应用于一系列路由器、安保摄像头以及流行的软件开发工具包(SDK)。

尽管Boa Web Server在2005年就已停止更新,但它仍被广泛应用,并由此掀起一轮新的危机。由于Boa已经内置到物联网设备供应链的复杂构建方式,防御方其实很难缓解这一安全缺陷。

微软报告称,恶意黑客试图利用Boa Web Server的多个漏洞,包括一个高危级别的信息泄露漏洞(CVE-2021-33558)和一个任意文件访问漏洞(CVE-2017-9833)。未经身份验证的攻击者可以利用这些漏洞获取用户凭证,并远程执行代码。

“影响该组件的两个漏洞,可以让恶意黑客在发起攻击之前就收集到关于目标网络资产的信息,并获取有效凭证以访问更多未被检测到的网络。在关键基础设施网络中,恶意黑客能够在攻击之前收集未检测的信息。一旦攻击发起,黑客方就能引发更大影响,甚至可能造成数百万美元损失、破坏数百万人的正常生活。”微软表示。

微软最初发现这个易受攻击的组件,是在调查一起针对印度电网的入侵事件中。此前,美国威胁情报公司Recorded Future曾在2021年发布报告,详细介绍某个国家威胁组织正在将攻击矛头指向印度电网内的运营资产。

2022年4月,Recorded Future又发布一份报告,介绍了另一个国家支持的恶意黑客团伙。报告称,该团伙利用物联网设备在用于监视/控制物理工业系统的运营技术(OT)网络上开辟登陆点。

在此之后,微软在一周内在全球范围内发现了上百万个暴露在互联网上的Boa服务器组件。可以预见,这个易受攻击的组件很可能给整个世界带来巨大威胁。

另一个重要问题在于,由于经常被整合在流行的SDK当中,所以很多用户根本不确定自己的产品中是否存在Boa Web Server。比如Realtek SDK,这款软件开发工具包在路由器、接入点及其他网关设备制造商中得到广泛使用,而它正好包含Boa Web服务器。

由于持续观察到针对Boa漏洞的攻击,微软决定就广泛使用的各网络组件的安全缺陷发布供应链风险警报。

]]>
WhatsApp数据大泄露,近5亿条用户号码在暗网出售 Tue, 07 Feb 2023 10:48:06 +0800 据Cybernews报道,有黑客正在地下论坛出售近5亿WhatsApp用户的最新手机号码,而通过检验数据库样本,这些数据极有可能是真实数据。

11月16日,一名黑客在著名黑客社区论坛上发布了一则广告,声称出售WhatsApp 2022年数据库,库内包含4.87亿用户手机号码。

公开数据显示,WhatsApp在全球拥有超过20亿月活跃用户。据称,该数据库包含84个国家的WhatsApp用户数据。威胁行动者称其中包含3200万美国用户、4500万埃及用户、3500万意大利用户、2900万沙特阿拉伯用户、2000万法国用户、2000万土耳其用户信息;还包含近1000万俄罗斯公民和1100多万英国公民的电话号码。

Cybernews的研究人员联系WhatsApp数据库卖家,得到了一份数据样本。样本中有1097个英国和817个美国用户号码。卖家没有具体说明数据库的获得方法,暗示使用了一些策略来收集数据,并保证数据库中所有号码是WhatsApp活跃用户。

WhatsApp母公司Meta对此不予置评。Meta长期以来因允许第三方收集用户数据而受到批评。通常情况下,发布在网上的大量数据转储是通过抓取获得的,此举违反了WhatsApp的服务条款。某黑客论坛上存在超过5.33亿WhatsApp用户纪录的泄露,下载数据库几乎免费。

除了WhatsApp大规模数据泄露,一份据称包含5亿领英用户资料的数据库被挂上黑客论坛出售。泄露的电话号码可能被用于广告营销、网络钓鱼、假冒和欺诈。

“在这个时代,我们都留下了庞大的数字轨迹,像Meta这样的科技巨头应该采取一切预防措施和手段来保护这些数据,”Cybernews研究团队负责人曼塔斯·萨纳乌斯卡斯表示。“应该采取严格的措施来应对威胁,并从技术角度防止平台被滥用。”

]]>
澳媒:澳医保公司近千万客户信息遭黑客窃取 Tue, 07 Feb 2023 10:48:06 +0800 据《澳大利亚人报》网站11月9日报道,一个黑客勒索组织9日在网上披露了澳大利亚个人医保基金公司的第一批客户敏感信息,其中包括吸毒成瘾者和艾滋病毒检测呈阳性者。澳大利亚总理安东尼·阿尔巴尼斯也是该公司的客户之一。

报道称,首批被公布数据被分成两组,一组以名为《淘气名单》的未加密文件的形式发布在暗网上,供人下载。里面有约100名患者的详细信息,包括他们是否曾因吸毒、酗酒焦虑、大麻依赖或阿片类药物成瘾而接受过治疗。

另一组所谓的《好人名单》也被发布了出来,包含另一些客户的细节信息和健康状况等。

这个勒索组织迄今已将数百名澳大利亚人的详细信息发布在这两份名单下。此前它在8日向个人医保基金公司下了最后通牒,要求后者在24小时内支付赎金,而该公司拒绝了勒索。

调查显示,黑客获取了个人医保基金公司约970万名当前客户和曾经客户的详细信息。

]]>
黑客攻击欧盟议会网站长达数小时 导致网络瘫痪 Tue, 07 Feb 2023 10:48:06 +0800 11月24日消息,外媒称,欧洲议会研究所所长表示,欧洲议会网站(European Parliament's website)在当地时间周三遭到“亲克里姆林宫”黑客的拒绝服务攻击,导致网站瘫痪数小时。

据了解,大约在该机构报告故障两小时后,议会网站再次启动。

欧洲议会主席梅特索拉(European Parliament President Roberta Metsola)在网站瘫痪后不久发推文称,“欧洲议会正遭受复杂的网络攻击。一个亲克里姆林宫的组织(pro-Kremlin group)声称对此负责。我们的IT专家正在反击,保护我们的系统。”

]]>
泰康人寿被疑强制上保泄露个人信息,旗下APP曾遭工信部通报 Tue, 07 Feb 2023 10:48:06 +0800 “本人没有做过相关操作,强制给别人上保,要求在你司信息库中永久删除我的个人信息。”

最近,在黑猫投诉平台上,有很多用户质疑泰康人寿侵害了自己权益、个人信息遭到泄露。

有用户表示,在自己没有投保的情况下,“突然收到泰康人寿短信,说飞铁保Plus领取成功,还有链接和保单号,证明我的信息被泄露了。”

还有用户称,“有泰康工作人员电话通知有飞铁保产品时,自己表明拒绝办理,但仍会收到链接短信,几分钟后又收到标有保单号的办理成功短信。”

据了解,飞铁保plus是一款特定交通工具意外险产品,由泰康在线保险承保,属于赠险,用户免费领取保障,虽然不需要支付保费,但需要填写各型信息,会有信息泄露的风险。

仅10月份以来,关于上述“强制上飞铁保”的投诉,就多达数十条,很多用户均表示非自己主观意愿,甚至并不知情,对自己的个人信息十分担忧,更有甚者要求删除自己在泰康人寿的资料。

而在今年2月21日,工信部通报的2022年第一批侵害用户权益的APP名单,泰康保险旗下泰康医生APP位列其中。所涉问题为:APP强制、频繁、过度索取权限。随后,泰康回应尽快整改完成。

最近,泰康人寿发布数据,泰康医生APP注册用户数突破900万,同比去年增长超75%。

有专家认为,用户个人信息泄露绝非“儿戏”,如果违规使用、买卖或信息泄露,用户轻则被垃圾信息和电话骚扰,重则被冒名办理业务,甚至被诈骗,引发财产损失和安全性问题。

近些年,国家对于网络信息安全越来越重视。2017年6月1日,《网络安全法》开始施行。《数据安全法》自2021年9月1日起施行。《个人信息保护法》自2021年11月1日起施行。

2021年2月施行的《互联网保险业务监管办法》,要求保险机构收集、处理及使用个人信息,应征得客户同意,获得客户授权。未经客户同意或授权,不得将客户信息用于所提供保险服务之外的用途等。

]]>
某医疗机构公众号系统漏洞遭利用,攻击者窃取10余万条公民数据境外售卖被抓 Tue, 07 Feb 2023 10:48:06 +0800 “网络通”麻某本可以靠自身技能找工作赚干净钱,却抵不住金钱的诱惑走上邪路,一手好牌被自己打的稀烂,硬生生将自己送进“班房”,冰城警方果断出手斩断了麻某非法窃取公民信息的“黑手”。

近日,哈尔滨市公安局南岗分局网安大队民警在工作中发现,境外某黑客论坛上有一名用户于2022年10月发贴出售公民个人信息数据,自称持有数据量约20GB,售价0.2比特币,该用户还公布了29条数据样本,样本中还包括了公民姓名、联系电话、家庭住址等个人信息。

由于该线索涉及侵犯公民个人信息犯罪,且涉案数据量较大,立即引起了各级网安部门的高度重视。

在哈尔滨市公安局网安支队统一指挥下,两级网安部门成立专案组,合力开展侦查工作。

专案组民警在调查中发现,犯罪嫌疑人精通电脑操作及网络知识,隐藏得很深,给侦查工作造成了不小的难度。专案组的民警们昼夜不眠,将被泄露数据在海量的数据源中进行比对、分析,经过96小时的艰苦奋战,最终确定了犯罪嫌疑人的作案手法、作案时间段及使用的IP地址。

10月22日,南岗公安分局民警在哈尔滨市平房区将涉嫌非法获取计算机信息系统数据的犯罪嫌疑人麻某抓获,并在其电脑中查获非法获取的公民个人信息10万余条。经审讯,犯罪嫌疑人麻某供述,其为IT行业从业人员,利用某医疗机构微信公众号的系统漏洞,在今年4月至10月间,通过技术手段非法获取该计算机系统数据10万余条,而后在境外某黑客论坛发帖出售,截至落网前,已非法获利1500美元。

目前,麻某已因涉嫌非法获取计算机信息系统数据罪被依法批准逮捕,案件正在进一步工作中。

]]>
《安联智库-网安周报》2022-11-20 Tue, 07 Feb 2023 10:48:06 +0800

1、暴雪与网易分手原因 关键在于想要中国百万玩家数据

对于暴雪和网易分手这件事,丁磊表示,“我们非常希望能继续代理暴雪游戏,为此付出非常多努力,但谈判难度远超预期。对关键核心条款,包括长远运营、玩家权益等都是暴雪提出的,这些条款也是我们不能接受的。
据爆料,知情人士称,网易与暴雪停止的合作的关键问题在于,对于知识产权的所有权以及对中国数百万玩家数据的控制权,由于此次会谈不公开,因此相关人士要求匿名。
2、数百个亚马逊 RDS 泄露了用户信息

安全公司 Mitiga 最新发现显示,亚马逊关系型数据库服务(Amazon RDS)上数百个数据库正在暴露用户个人身份信息(PII)。

安全研究员 Ariel Szarf、Doron Karmi 和 Lionel Saposnik 在与 The Hacker News 分享的报告中表示,泄露的数据库中包含用户姓名、电子邮件地址、电话号码、出生日期、婚姻状况、汽车租赁信息,甚至是公司登录信息,如此详细的用户数据,为潜在攻击者提供了丰富的“素材”。

亚马逊 RDS 是一项 Web 服务,可以在亚马逊网络服务(AWS)云中建立关系型数据库。不仅如此,RDS 还支持不同的数据库引擎,例如 MariaDB、MySQL、Oracle、PostgreSQL 和SQL Server 等。

3、疑遭网络攻击,太平洋岛国瓦努阿图政府网站已瘫痪11天

据英国广播公司(BBC)当地时间11月18日报道,瓦努阿图的多个政府网站已瘫痪11天,其服务器疑似遭到网络攻击。

瓦努阿图的议会、警方和总理办公室的网站已瘫痪。另外,该国学校、医院以及所有政府部门的电子邮件系统、内部网站和在线数据库均已瘫痪。这些网站或网络服务的瘫痪,导致瓦努阿图约31.5万名居民在纳税、开发票、申请执照和签证等事务上遇到困难。

当地政府工作人员不得不采取人工方式处理业务,这导致许多业务延期或被迫暂停。一些工作人员使用个人邮箱和个人网络热点处理业务。另据澳大利亚《悉尼先驱晨报》报道,疑似有网络黑客要求瓦努阿图政府支付赎金,但瓦努阿图政府拒绝支付。对于疑似黑客的身份、网络攻击如何发生、网络何时能够恢复等疑问,目前仍然没有答案。

4、安卓系统可能遭遇重大风险,两分钟可轻松破解锁屏

安卓系统可能遭遇了重大安全风险,只要能拿到对方的手机,就有可能轻松破解手机的锁屏密码。一次偶然的机会,国外网络安全研究员 David Schütz发现了一种极为简单地绕过谷歌Pixel 6 和 Pixel 5 智能手机的锁屏的方法,任何拿到手机的用户都可以解开手机。

整个过程只需要简单的五个步骤,大概两分钟的时间。虽然谷歌针对这个问题已经发布了Android 更新,而在更新之前,这个锁屏漏洞持续存在超过五个月的时间。

总的来说,对于该漏洞的利用主要有以下五个步骤:

1.提供三次错误指纹以禁用锁定设备上的生物特征认证;

2.将设备中的 SIM 卡与设置了 PIN 码的攻击者控制的 SIM 卡热交换;

3.提示输入错误的 SIM 卡密码三次,锁定 SIM 卡;

4.设备提示用户输入 SIM 的个人解锁密钥 (PUK) 码,这是一个唯一的 8 位数字,用于解锁 SIM 卡;

5.为攻击者控制的 SIM 输入新的 PIN 码。

漏洞影响广泛

该安全漏洞的影响十分广泛,几乎所有未更新2022年11月补丁的,运行 Android 10、11、12 、13 版本的手机都受到影响,这是一个无法想象的数量。

虽然这个漏洞利用需要对拿到对方的手机,但是这依旧会产生巨大的影响,尤其是对于那些虐待他人、接受调查、手机丢失的用户来说,影响十分严重。

]]>
安卓系统可能遭遇重大风险,两分钟可轻松破解锁屏 Tue, 07 Feb 2023 10:48:06 +0800 安卓系统可能遭遇了重大安全风险,只要能拿到对方的手机,就有可能轻松破解手机的锁屏密码。

一次偶然的机会,国外网络安全研究员 David Schütz发现了一种极为简单地绕过谷歌Pixel 6 和 Pixel 5 智能手机的锁屏的方法,任何拿到手机的用户都可以解开手机。

图片

整个过程只需要简单的五个步骤,大概两分钟的时间。虽然谷歌针对这个问题已经发布了Android 更新,而在更新之前,这个锁屏漏洞持续存在超过五个月的时间。

五步直接绕过Android锁屏

Schütz表示,他是在自己的Pixel 6 电池没电、输错 3 次 PIN 并使用 PUK(个人解锁密钥)代码恢复锁定的 SIM 卡后,发现了这个漏洞。

令他惊讶的是,在解锁 SIM 卡并选择新的 PIN 码后,设备并没有要求输入锁屏密码,而只是要求进行指纹扫描。

出于安全原因,Android 设备在重新启动时总是要求输入锁屏密码或图案,因此直接进行指纹解锁不正常。

Schütz继续进行试验,当他尝试在不重启设备的情况下重现漏洞时,他认为也可以绕过指纹提示,直接进入主屏幕。

总的来说,对于该漏洞的利用主要有以下五个步骤:

1.提供三次错误指纹以禁用锁定设备上的生物特征认证;

2.将设备中的 SIM 卡与设置了 PIN 码的攻击者控制的 SIM 卡热交换;

3.提示输入错误的 SIM 卡密码三次,锁定 SIM 卡;

4.设备提示用户输入 SIM 的个人解锁密钥 (PUK) 码,这是一个唯一的 8 位数字,用于解锁 SIM 卡;

5.为攻击者控制的 SIM 输入新的 PIN 码。

漏洞影响广泛

该安全漏洞的影响十分广泛,几乎所有未更新2022年11月补丁的,运行 Android 10、11、12 、13 版本的手机都受到影响,这是一个无法想象的数量。

虽然这个漏洞利用需要对拿到对方的手机,但是这依旧会产生巨大的影响,尤其是对于那些虐待他人、接受调查、手机丢失的用户来说,影响十分严重。

该问题是由于 SIM PUK 解锁后键盘锁被错误地关闭引起的,原因是关闭调用的冲突影响了在对话框下运行的安全屏幕堆栈。

当 Schütz 输入正确的 PUK 号码时,“解除”功能被调用两次,一次由监视 SIM 状态的后台组件调用,另一次由 PUK 组件调用。

这不仅会导致 PUK 安全屏幕被取消,还会导致堆栈中的下一个安全屏幕(键盘锁)被取消,随后是堆栈中下一个排队的任何屏幕。如果没有其他安全屏幕,用户将直接访问主屏幕。

谷歌的解决方案是为每个“关闭”调用中使用的安全方法包含一个新参数,以便调用关闭特定类型的安全屏幕,而不仅仅是堆栈中的下一个。

2022年6月, Schütz 向谷歌报告了这一安全漏洞,编号 CVE ID  CVE-2022-20465,但是直到2022年11月7日,谷歌才正式对外公布了该漏洞的修复补丁。另外,因为这个安全漏洞, Schütz 获得了谷歌的7万美元的高额奖励。

]]>
暴雪与网易分手原因 关键在于想要中国百万玩家数据 Tue, 07 Feb 2023 10:48:06 +0800 对于暴雪和网易分手这件事,丁磊表示,“我们非常希望能继续代理暴雪游戏,为此付出非常多努力,但谈判难度远超预期。对关键核心条款,包括长远运营、玩家权益等都是暴雪提出的,这些条款也是我们不能接受的。

据爆料,知情人士称,网易与暴雪停止的合作的关键问题在于,对于知识产权的所有权以及对中国数百万玩家数据的控制权,由于此次会谈不公开,因此相关人士要求匿名。

除此之外,网易在另一份声明中表示,在2021年和2022年前9个月,暴雪游戏的收入在网易总收入中占比较低。彭博社称在今年夏季,暴雪和网易的合作就出现了裂隙,当时他们取消了一款开发了三年的《魔兽世界》手游,而网易解散了一个100多名开发人员的团队。

]]>
快看看有你没!数百个亚马逊 RDS 泄露了用户信息 Tue, 07 Feb 2023 10:48:06 +0800 安全公司 Mitiga 最新发现显示,亚马逊关系型数据库服务(Amazon RDS)上数百个数据库正在暴露用户个人身份信息(PII)。

安全研究员 Ariel Szarf、Doron Karmi 和 Lionel Saposnik 在与 The Hacker News 分享的报告中表示,泄露的数据库中包含用户姓名、电子邮件地址、电话号码、出生日期、婚姻状况、汽车租赁信息,甚至是公司登录信息,如此详细的用户数据,为潜在攻击者提供了丰富的“素材”。

亚马逊 RDS 是一项 Web 服务,可以在亚马逊网络服务(AWS)云中建立关系型数据库。不仅如此,RDS 还支持不同的数据库引擎,例如 MariaDB、MySQL、Oracle、PostgreSQL 和SQL Server 等。

亚马逊 RDS 数据泄露事件详情

此次亚马逊 RDS 用户个人数据泄漏事件源于一个称为公共 RDS 快照的功能,该功能允许创建一个在云中运行数据库的环境备份,并且可以被所有 AWS 账户访问。

亚马逊方面表示,当用户准备把快照分享为公共快照时,请确保公共快照中不包括自身私人信息,一旦快照被公开共享时,会给予所有 AWS 账户复制快照和从中创建 DB 实例的权限。

2022 年 9 月 21 日至 10 月 20 日期间,安全研究人员进行了细致实验,最后发现实验的 810 张快照在不同时间段(从几小时到几周)内被公开分享,照片很容易被恶意攻击滥用。

在这 810 张快照中,有超过 250 个备份暴露了 30 天,侧面反映它们很可能已经被遗忘了。

根据所暴露信息的特殊性质,潜在攻击者可以窃取数据以期获取经济利益,或利用数据信息来更好地掌握用户所属公司的 IT 环境。

因此,亚马逊强烈建议用户不要开启 RDS 快照公开访问权限,以防止敏感数据的潜在泄漏、滥用或任何其他类型的安全威胁。当然,最好在适当的时候对快照进行加密。

]]>
疑遭网络攻击,太平洋岛国瓦努阿图政府网站已瘫痪11天 Tue, 07 Feb 2023 10:48:06 +0800 据英国广播公司(BBC)当地时间11月18日报道,瓦努阿图的多个政府网站已瘫痪11天,其服务器疑似遭到网络攻击。

瓦努阿图的议会、警方和总理办公室的网站已瘫痪。另外,该国学校、医院以及所有政府部门的电子邮件系统、内部网站和在线数据库均已瘫痪。

这些网站或网络服务的瘫痪,导致瓦努阿图约31.5万名居民在纳税、开发票、申请执照和签证等事务上遇到困难。

当地政府工作人员不得不采取人工方式处理业务,这导致许多业务延期或被迫暂停。一些工作人员使用个人邮箱和个人网络热点处理业务。

另据澳大利亚《悉尼先驱晨报》报道,疑似有网络黑客要求瓦努阿图政府支付赎金,但瓦努阿图政府拒绝支付。对于疑似黑客的身份、网络攻击如何发生、网络何时能够恢复等疑问,目前仍然没有答案。

]]>
《安联智库-网安周报》2022-11-13 Tue, 07 Feb 2023 10:48:06 +0800

1、虚假马斯克账号都能认证?Twitter Blue订阅引发冒牌危机

据Bleeping Computer 11月10日消息,Twitter在近期推出的“ Twitter Blue”蓝色认证功能已开始被网络不法分子以冒充的形式滥用,让这项每月需花费7.99美元的订阅服务的认证机制及安全性受到质疑。
这项订阅一经推出,就遇到了滥用风险,攻击者可以仿冒他人账户,并畅通无阻地通过认证。比如著名游戏发行商Rockstar Games出现了名为“RockstarGamse”的已认证仿冒账号。而一些名人,比如特朗普,甚至连马斯克本人的账号都没能幸免。在马斯克的例子中,虚假帐号直接从马斯克的真实帐号全盘复制个人资料,并通过了Twitter Blue认证。
11月初,马斯克在接管Twitter后正式推出Twitter Blue订阅服务,在此之前,马斯克就曾表示,要改进该平台的认证流程,但Twitter Blue所带来的这一混乱局面已经引发诸多不满。面对这一情况,马斯克表示将积极打击假冒和欺骗行为,任何假冒账号将会在不提前警告的情况下直接被永久停用。
2、波音子公司遭网络攻击,致使全球多家航司航班规划中断

近日,上海奉贤区人民检察院披露一起案件。50岁的罗某是一位基金经理,还是一位博士。

2021年10月,他通过交友网站结识34岁女子殷某。殷某自称“张某某”,并精心编造了一个留学归来、事业有成的高端人设。两人很快发展成男女朋友关系,罗某也多次向殷某转账。期间罗某多次向殷某提出见面被拒,一日殷某终于答应见面,最终却没有露面。罗某担心殷某身体不适,选择报警。警方调查后才发现,殷某并非其编造的“张某某”,而是外地的一位工厂女工,家中有丈夫和一对儿女。殷某因工作的工厂拖欠工资,便骗取罗某钱款用于生活开销。2021年11月,奉贤区人民检察院依法对殷某批准逮捕。该案在进一步审查起诉中。

3、隐私问题罗生门?苹果因涉嫌侵犯用户隐私被提起诉讼

苹果一直标榜自己的系统安全稳定,并珍视用户信息,但根据最新的诉讼消息来看,苹果栽在了其一直引以为傲的安全隐私,对于隐私权的尊重,或许它们过于言过其实了。新的诉讼是来自一份来自11月发表的报告,这位用户发现在iOS 14.6系统下,App Store、Apple Music、Apple TV和Books的“详细使用数据被发送到苹果”。研究人员称,股票发送的可识别信息比其他应用程序少。据报道,发送的数据与一个可以识别用户的标识符相关。据报道,这种行为在iOS 16中仍然存在,但研究人员无法检查发送的数据是什么,因为这些数据都是加密发送的。研究人员确实对Gizmodo说,在任何隐私设置的组合下,健康和钱包都没有发送类似的数据。所有数据都被发送到与iCloud的阵列不同的服务器。

原告表示,“苹果公司的做法侵犯了消费者的隐私;故意欺骗消费者;使苹果公司及其员工有权了解有关个人生活、兴趣和应用程序使用的亲密细节;并使苹果公司成为任何想破坏个人隐私、安全或自由的政府、私人或犯罪行为人'一站式购物'的潜在目标。通过其普遍和非法的数据跟踪和收集业务,苹果甚至知道用户应用使用的最私密和潜在的尴尬方面--无论用户是否接受苹果虚幻的提议来保持这些活动的隐私”。

苹果也曾明确表示过,其广告平台不会将用户或设备数据与从第三方收集的数据连接起来,以进行定向广告。他们还说,他们不会与数据收集公司分享用户设备或设备识别,无论是App Store,还是iPhone本身。但根据原告所提供的证据却证明了苹果公司正在欺瞒它的用户,并且涉嫌侵犯了受第四修正案保护的隐私区域",并违反了几十个州关于窃听和侵犯隐私的刑事法律,而第四修正案在这里似乎也并不适用。

4、加拿大最大肉类生产商被黑:部分运营中断 食品供应受影响

11月11日消息,加拿大肉类生产巨头Maple Leaf Foods(也称枫叶食品)在上周日(11月6号)证实,经历了一起网络安全事件,导致系统与运营中断。

Maple Leaf Foods是加拿大最大的预制肉类与家禽食品生产商,共拥有21处制造工厂、雇佣14000名员工,并承包超700处库房。2021年,该公司总销售额达33亿美元。

恶意黑客经常在周末发动网络攻击,这是看准目标正在放假、应对人手不足,希望最大限度提高成功机率。尽管攻击者时机选得不错,但这家加拿大包装食品巨头表示,其IT团队还是立即采取了应对措施。

目前,该公司专员正与网络安全和恢复专家们合作,希望尽快解决问题。“但预计全面解决中断仍然需要时间,且期间部分运营和服务将无法正常进行。”

]]>
基金经理网恋被工厂女工骗近30万 对方已婚已育 Tue, 07 Feb 2023 10:48:06 +0800 近日,上海奉贤区人民检察院披露一起案件。50岁的罗某是一位基金经理,还是一位博士。2021年10月,他通过交友网站结识34岁女子殷某。殷某自称“张某某”,并精心编造了一个留学归来、事业有成的高端人设。两人很快发展成男女朋友关系,罗某也多次向殷某转账。期间罗某多次向殷某提出见面被拒,一日殷某终于答应见面,最终却没有露面。罗某担心殷某身体不适,选择报警。警方调查后才发现,殷某并非其编造的“张某某”,而是外地的一位工厂女工,家中有丈夫和一对儿女。殷某因工作的工厂拖欠工资,便骗取罗某钱款用于生活开销。2021年11月,奉贤区人民检察院依法对殷某批准逮捕。该案在进一步审查起诉中。

]]>
将机密藏在三明治中,美国夫妇因出售核潜艇机密被判入狱 Tue, 07 Feb 2023 10:48:06 +0800 据美国司法部网站消息,一夫妇因试图窃取核潜艇设计机密并出售,于11月9日正式被判刑入狱。

据称,44岁的被告乔纳森·托贝在任职海军核工程师期间,具备访问海军核推进装置机密信息,包括军事敏感的设计元素、性能特征以及核动力潜艇反应堆其他敏感数据的权限,他协同自己46岁的妻子戴安娜·托贝,试图将上述部分信息出售给外国政府。

根据法庭文件披露,泄密过程始于2020年4月1日寄给外国政府的一个包裹,其中包含美国海军文件、一封包含指令的机密信件以及一张加密SD 卡,并附有“建立秘密关系可以购买额外的机密信息”的说明,寄件人地址为在宾夕法尼亚州的匹兹堡。FBI在了解到泄密情报后,于 2020 年 12 月派出一名冒充为对方国家政府代表的卧底,通过ProtonMail 加密邮件与取得联系。

在2021 年 4 月至 2021 年 6 月与乔纳森的交流中,这名FBI卧底在同意以门罗币加密货币支付报酬后,说服被告将其他美国海军机密信息传送到西弗吉尼亚州杰斐逊县的一个情报秘密传递点(dead drop)。期间,乔纳森也曾表现出对这名卧底的不信任,表示在将机密信息送至情报秘密传递点之前可能不会再与他进行沟通。

2021 年 6 月 26 日,乔纳森将一张加密 SD 卡藏进半个花生酱三明治中,放置在了预先约定的地点,而他的妻子负责望风。在向他们支付2万美元报酬后,FBI收到了解密密钥,审查发现,其中包含与潜艇核反应堆有关的军事敏感信息。8月28日,乔纳森将另一张加密SD卡藏在口香糖包装中,放置在了另一个位于弗吉尼亚州东部的约定地点。FBI在支付7万美元报酬后收到了解密密钥,其中也包含与潜艇核反应堆有关的敏感数据。

2021 年 10 月 9 日,在按约定将第三张SD卡交付后,这对夫妇被FBI 和海军刑事调查局 (NCIS)逮捕,并于 2022 年 2 月认罪。在11月9日的审判中,乔纳森·托贝被判处19年监禁,其妻子戴安娜·托贝被判处21年监禁。

据《华盛顿邮报》的报道,乔纳森·托贝对出售这些机密信息早已蓄谋已久,甚至为事情败露预留了护照和现金。在一封写给外国的信中,乔纳森称,“这些信息是在我的正常工作过程中,经过几年的缓慢而仔细地收集的,以避免引起注意,每次都是几页纸,偷偷通过安检。”

美国检察官 Cindy Chung 表示,乔纳森·托贝受托负责并保护国家机密,但他和其妻子的做法将国家的安全置于风险之中,是对忠诚无私的海军军人的背叛,其罪行的严重性怎么强调都不为过。

]]>
虚假马斯克账号都能认证?Twitter Blue订阅引发冒牌危机 Tue, 07 Feb 2023 10:48:06 +0800 据Bleeping Computer 11月10日消息,Twitter在近期推出的“ Twitter Blue”蓝色认证功能已开始被网络不法分子以冒充的形式滥用,让这项每月需花费7.99美元的订阅服务的认证机制及安全性受到质疑。

Twitter Blue订阅服务能够为用户账号提供优先推文、更少的广告、发布更长的媒体内容等特权,而最引人注目的特征,则是会在账号名称后面加上一个表示“已验证”的蓝色徽标。在过去,这一标识只对知名人士和组织机构的帐号开放。

这项订阅一经推出,就遇到了滥用风险,攻击者可以仿冒他人账户,并畅通无阻地通过认证。比如著名游戏发行商Rockstar Games出现了名为“RockstarGamse”的已认证仿冒账号。而一些名人,比如特朗普,甚至连马斯克本人的账号都没能幸免。在马斯克的例子中,虚假帐号直接从马斯克的真实帐号全盘复制个人资料,并通过了Twitter Blue认证。

到目前为止,区分是否经Twitter Blue订阅认证的账号的唯一方法是点击账号的蓝色认证徽标,查看弹窗中的认证说明信息,过去以知名人士或组织机构身份认证的账号会被描述为“此账号被识别为政府、新闻、娱乐或其他相关机构的可信账号”。

11月初,马斯克在接管Twitter后正式推出Twitter Blue订阅服务,在此之前,马斯克就曾表示,要改进该平台的认证流程,但Twitter Blue所带来的这一混乱局面已经引发诸多不满。面对这一情况,马斯克表示将积极打击假冒和欺骗行为,任何假冒账号将会在不提前警告的情况下直接被永久停用。

]]>
隐私问题罗生门?苹果因涉嫌侵犯用户隐私被提起诉讼 Tue, 07 Feb 2023 10:48:06 +0800 尽管苹果公司的市值不断上升,但苹果的麻烦也一直不断,尤其是在诉讼方面苹果一直是科技公司的重灾地,此前就有关于劳资、著作权等方面的诉讼,不过这一次苹果竟然栽在了其一直引以为傲的安全隐私上。苹果一直标榜自己的系统安全稳定,并珍视用户信息,但根据最新的诉讼消息来看,对于隐私权的尊重,或许它们过于言过其实了。

新的诉讼是来自一份来自11月发表的报告,这位用户发现在iOS 14.6系统下,App Store、Apple Music、Apple TV和Books的“详细使用数据被发送到苹果”。研究人员称,股票发送的可识别信息比其他应用程序少。据报道,发送的数据与一个可以识别用户的标识符相关。据报道,这种行为在iOS 16中仍然存在,但研究人员无法检查发送的数据是什么,因为这些数据都是加密发送的。研究人员确实对Gizmodo说,在任何隐私设置的组合下,健康和钱包都没有发送类似的数据。所有数据都被发送到与iCloud的阵列不同的服务器。

原告表示,“苹果公司的做法侵犯了消费者的隐私;故意欺骗消费者;使苹果公司及其员工有权了解有关个人生活、兴趣和应用程序使用的亲密细节;并使苹果公司成为任何想破坏个人隐私、安全或自由的政府、私人或犯罪行为人'一站式购物'的潜在目标。通过其普遍和非法的数据跟踪和收集业务,苹果甚至知道用户应用使用的最私密和潜在的尴尬方面--无论用户是否接受苹果虚幻的提议来保持这些活动的隐私”。

苹果也曾明确表示过,其广告平台不会将用户或设备数据与从第三方收集的数据连接起来,以进行定向广告。他们还说,他们不会与数据收集公司分享用户设备或设备识别,无论是App Store,还是iPhone本身。但根据原告所提供的证据却证明了苹果公司正在欺瞒它的用户,并且涉嫌侵犯了受第四修正案保护的隐私区域",并违反了几十个州关于窃听和侵犯隐私的刑事法律,而第四修正案在这里似乎也并不适用。

原告希望该诉讼寻求“赔偿和所有其他形式的公平金钱救济”,以及法院可能认为适当的禁令救济。要求进行陪审团审判。目前还不清楚该案何时或是否会得到审理。

]]>
知名会计事务所被拿下,近期LockBit勒索软件动作频频 Tue, 07 Feb 2023 10:48:06 +0800 据SecurityAffairs 11月6日消息,勒索软件组织 LockBit从知名会计事务所Kearney Company 窃取了数据并索要赎金。

Kearney主要为政府单位提供财务管理等多种服务,目前为一些美国联邦政府机构提供审计、咨询和 IT 服务,提高政府运作效率。

据悉,LockBit于11月5日正式公开了勒索消息,要求Kearney & Company 在11月26日前支付200万美元赎金,否则将发布被盗数据。目前LockBit已经公布了一份被盗数据样本,其中包括财务文件、合同、审计报告、账单文件等。

而就在上周,LockBit还攻击了德国著名跨国车企大陆集团(Continental)和国防巨头Thales,LockBit勒索软件近期可谓是异常活跃。

 强大且危险的LockBit 3.0 

回望 LockBit短短三年的发展历史,自2019年9月首次出现以来就经历了三次重大更迭,每一次升级都让它的攻击实力得到大幅增强。最新版的LockBit 3.0于今年6月底推出,其中包括了勒索软件以前从未有过的漏洞赏金计划,该计划提供最高100万美元的优厚报酬,让LockBit得以持续优化改进。为了提高隐蔽性,Lockbit 3.0 接受 Zcash、门罗币以及比特币的赎金支付。

]]>
加拿大最大肉类生产商被黑:部分运营中断 食品供应受影响 Tue, 07 Feb 2023 10:48:06 +0800 11月11日消息,加拿大肉类生产巨头Maple Leaf Foods(也称枫叶食品)在上周日(11月6号)证实,经历了一起网络安全事件,导致系统与运营中断。

Maple Leaf Foods是加拿大最大的预制肉类与家禽食品生产商,共拥有21处制造工厂、雇佣14000名员工,并承包超700处库房。2021年,该公司总销售额达33亿美元。

恶意黑客经常在周末发动网络攻击,这是看准目标正在放假、应对人手不足,希望最大限度提高成功机率。

尽管攻击者时机选得不错,但这家加拿大包装食品巨头表示,其IT团队还是立即采取了应对措施。

目前,该公司专员正与网络安全和恢复专家们合作,希望尽快解决问题。

Maple Leaf Foods在公告中表示,“我公司正在执行业务连续性计划,着手恢复受到影响的系统。”

“但预计全面解决中断仍然需要时间,且期间部分运营和服务将无法正常进行。”

Maple Leaf Foods表示将继续与客户及合作伙伴携手,尽量缓和加拿大市场上的食品供应中断。

该公司发言人还在发给媒体的评论中指出,他们正在对事件开展调查,但尚未确定此次攻击是如何发生的。

声明提到,“中断已经造成部分运营和服务无法正常进行,具体情况依各业务部门、工厂和地点而定。”

至于接下来的恢复阶段,这位发言人预计系统恢复期间会继续发生中断,但他们会努力将这种影响降至最低。

“目前,我们专注于恢复业务连续性。”

该公司最后补充称,他们还未发现此次事件对其他合作伙伴造成的任何可能影响。

截至本文撰稿时,各网络犯罪论坛或勒索软件团伙门户上也尚未列出关于Maple Leaf Foods的任何公告。

]]>
卧底揭秘:英国竟是印度黑客雇佣行业的大金主 Tue, 07 Feb 2023 10:48:06 +0800 非法黑客,也被称为“雇佣黑客”,活跃在世界各地。印度雇佣黑客在国际上十分活跃,收取高额费用入侵重要国家和人物的电子邮件和手机。

11月6日,《星期日泰晤士报》(The Sunday Times)和调查新闻局(Bureau of Investigative Journalism)的一项卧底调查,通过一个印度“雇佣黑客”团伙内部泄露的数据库,揭露了一些印度黑客替伦敦的企业情报公司入侵英国企业、记者和政界人士的电子邮件账户等攻击行为。

这些卧底爆料在西方企业情报圈引起了恐慌,因为许多企业都曾使用过印度雇佣黑客,尤其是英国企业。卧底记者与若干印度黑客取得了联系,探寻雇佣黑客的行业生态及其地下产业对英国的影响。

印度对雇佣黑客来说是一个特别有吸引力的地方,一方面印度对计算机违规行为执法力度轻,另一方面在一个拥有不同管辖权的遥远国家实施犯罪大大降低了被抓或被起诉的风险。

在英国,黑客攻击最高可被判处10年监禁。印度也有类似的法律,非法入侵电脑会判处最高3年监禁。但印度的黑客们并不惧怕,因为尚且没有判决先例。这也是英国企业热衷雇佣印度黑客的原因之一。

Appin:印度雇佣黑客圈的“黄埔军校”

卧底记者们假扮成前军情六处(MI6)经纪人和非公开调查人员,潜入印度雇佣黑客行业。

雇佣黑客是近十几年的趋势,一些计算机安全公司假借训练“白帽”黑客之名,实则在为黑暗交易做准备。侵入私人电子帐户收获颇丰,也有很多客户愿意付钱,印度黑客产业由此兴起。

该行业的创始人之一是Appin公司,十多年前成立于德里,借口是培训新一代“白帽”黑客,帮助保护个人和企业免受网络攻击。

如今,Appin已经倒闭,据称它的客户包括英国的企业情报公司。Appin训练的黑客之一Aditya Jain,他的秘密数据库显示他攻击过卡塔尔的活动人士,这一行为也被《星期日泰晤士报》曝光。据一名前雇员向卧底调查人员透露,卡塔尔是Appin的客户之一。但卡塔尔方面对此持否认态度。

当Appin的攻击活动曝光后,其非法行为也随之结束。2013年,挪威网络安全专家将Appin与针对十几个国家的大规模网络攻击联系起来。有消息称,2021年,Appin的创始人Rajat Khare在英国政府贸易部门全球企业家项目的帮助下,在英国成立了一家企业。

Appin解散后,其前员工出走成立了新公司。一些公司在古尔冈(Gurugram)设立了办事处,古尔冈位于德里西南郊区30公里处,是德里的卫星城,大型科技公司如Meta、谷歌、推特都在这里设有办事处。

后起之秀BellTrox是印度雇佣黑客行业的关键玩家,该公司董事苏米特·古普塔(Sumit Gupta)曾在Appin工作。他曾和两名美国私人侦探一起开展大规模黑客行动,被列入美国司法部通缉名单。

2020年,加拿大网络安全监管机构公民实验室(Citizen Lab)公布的证据显示,BellTrox代表客户入侵了1万多个电子邮件账户,包括英国律师、政府官员、法官和环保团体的账户。

公民实验室发现,BellTroX的领英帐户有数百份员工认可。去年12月,脸书母公司Meta被迫删除了BellTroX在脸书运营的400个账户。

暴利收入:雇主花2万美元入侵一个电邮

由于黑客攻击的违法性,雇佣黑客行业高度保密,记者只能伪造身份接触黑客并进行秘密调查。

两名记者在梅菲尔创建了一家名为博福特的空壳情报调查公司,并假扮成最近退休的英国特勤局成员。

随后,记者联系疑似印度雇佣黑客的成员,称需要雇佣一名网络调查员收集客户目标信息。得到回应后,记者在二月飞往德里。

第一个回应的黑客自称“摩哂陀·辛格”,他的领英帐号列出的技能包括“安卓黑客”“手机监控”和“电子邮件追踪和渗透”。在和记者见面后,他表示在领英使用的是假名,他实际真名为泰·辛格·拉索尔(Tej Singh Rathore)。

拉索尔今年28岁。在科塔的拉贾斯坦邦科技大学学习信息技术时,他转而选择了“道德黑客”课程,因为他意识到这是一个“新兴行业”。

2014年,拉索尔以一级学位毕业后,在印度西北部城市阿姆利则的一家网络安全公司找到了一份工作。但他的老板告诉他,电脑“攻击性工作”(黑客术语)的报酬比保护系统的“防御性工作”高得多。

于是拉索尔选择单干,在领英上向企业情报公司兜售他的黑客技能。他接的工作案例背景多为婚姻纠纷、商业间谍和谋杀。

拉索尔的第一位顾客是新泽西州的酿酒师,她在离婚诉讼前委托拉索尔黑进丈夫的电子邮件,以了解丈夫的财务状况。

另一位出价颇高的顾客是比利时的马术师,他委托拉索尔黑入德国一个富有的马厩主。拉索尔回忆,这位顾客愿意付2万美元黑入一个电子邮件账户。

他还卷入了加拿大最臭名昭著的双重谋杀案。2017年12月,亿万富翁巴里·谢尔曼和他的妻子哈尼被发现被皮带勒死在多伦多家中的室内游泳池旁。拉索尔被雇来破解谢尔曼的电子邮件帐户。

几年之内,拉索尔的黑客业务蒸蒸日上。他表示,入侵一个电子邮件账户收取3000至2万美元的费用。目前,他已在英国、北美、香港、罗马尼亚、比利时和瑞士建立了企业情报客户。

背后大主顾:英国企业情报公司

拉索尔对卧底记者表示,大多数英国私人调查公司都雇佣印度黑客,“英国和整个世界… …都在使用印度黑客。”他表示,英国公司雇佣印度黑客已超过10年,大多是该行业两大巨头Appin和BellTroX的客户。

2019年,他通过领英与英国企业情报公司联系,首次被英国公司雇佣。对黑客来说,英国是一个富矿。“英国有很多公司,他们正在寻找同样的(黑客)服务,”他告诉卧底记者。

2020年,他被委托入侵苏格兰精酿啤酒公司Brewdog的前经理本·杜克沃斯的帐户。杜克沃斯曾公开批评该公司,离开Brewdog后,他在伦敦南部的布里克斯顿建立了自己的酿酒厂Affinity Beers。

拉索尔假扮成一名希望收购Affinity的酿酒商,给杜克沃斯发了一封钓鱼邮件,“我是一名意大利商人,我有意向投资贵公司并占股40%。”杜克沃斯点击了钓鱼邮件,拉索尔因此轻松获得了他的账户密码。

当《星期日泰晤士报》和联邦调查局将拉索尔的陈述告知杜克沃斯时,他表示不知自己被黑客攻击。精酿啤酒公司Brewdog则否认雇佣黑客实施攻击。拉索尔并不清楚最终客户的身份,他只与私人侦探打交道并拒绝透露私人侦探的名字。

拉索尔不仅仅是一名黑客,他还受雇为一位英国政治家做声誉管理工作。他表示,2021年初,一家总部位于伦敦的企业情报公司向他支付了1500英镑,替61岁的马修·戈登·班克斯(Matthew Gordon Banks)掩盖一件丑闻。拉索尔耗时一个月发布这位政客的正面消息,以覆盖之前在谷歌搜索信息流中的丑闻。这项名誉管理工作于去年4月成功结束,但随着时间推移,效果逐渐减弱。上周,戈登·班克斯否认使用过声誉管理服务。

印度雇佣黑客的培养

卧底记者接触的另一位黑客是乌特卡什·巴尔加瓦(Utkarsh Bhargava)。他常驻班加罗尔,有近10年黑客经历。

他告诉记者,他最初在印度工程师学会学习计算机科学,随后立即在德里的一家公司找到了一份工作从事黑客攻击,同期毕业的17位学员都服务于该公司。

他将该公司描述为印度政府的“国土安全公司”,称该公司十分神秘,与印度政府合作十分密切,进行黑客攻击类工作。

当时公司的培训由Appin负责,巴尔加瓦接受了一年的黑客培训,他还记得Appin的黑客为中东的客户工作,例如卡塔尔、迪拜、巴林、科威特、沙特,窃取“任何东西”。

在Appin学习之后,巴尔加瓦称接到印度政府命令,对土耳其、巴基斯坦、埃及和柬埔寨政府进行一系列网络攻击,目标通常是国家部委的秘密文件和档案。“我们的任务是获取数据转储并将其移交给(印度)机构… …(目标)包括外交部、内政部、国防部、财政部。这取决于他们在需要什么样的情报。”

2016年9月,巴尔加瓦离开了这家为印度政府工作的公司,加入了蓬勃发展的商业雇佣黑客行业,在博帕尔成立了自己的公司Aristi Cybertech Private Limited,从事私人黑客工作。

他每个项目收费1万至1.5万美元,为法国、奥地利、德国、意大利和泰国客户工作。一位名为Muller的奥地利客户在2020年夏天委托他黑掉埃及航空公司的乘客名单。他回忆,“操作起来非常简单,埃及航空公司的IT信息没有合适的安全配置。”

趁手利器:解构Pegasus间谍软件

巴尔加瓦甚至声称可以访问以色列NSO集团开发的Pegasus(飞马)间谍软件的源代码。Pegasus是最强大的网络武器之一,可以秘密安装在目标手机上,并可以提取WhatsApp、Signal和Telegram等加密消息应用程序。它还可以让黑客远程控制手机的摄像头和麦克风、下载设备的所有内容。

他表示,他在2019年发现了Pegasus源代码,并声称他和一些商业黑客利用Pegasus为客户提供服务。Pegasus可以持续监控目标的位置,如果受害者的GPS定位打开,黑客甚至可以进行实时跟踪。

巴尔加瓦给记者们发了一份他们部署的Pegasus代码。记者将代码交给Amnesty International安全实验室核验,研究员艾蒂安·梅尼尔确认,这些代码确实是一段“解构的Pegasus代码”。

梅尼尔称,为了实现可用性,黑客需要重新打包代码,并建立一个“在线操作中心”来接收被黑客攻击的数据。NSO集团则否认Pegasus代码已经泄露。

对黑客来说,部署间谍软件时受害者的手机会发热且运行速度明显变慢。因此,他们需要研究受害者的日常活动,以确定他们不使用手机的时间。

对于大多数目标,巴尔加瓦在凌晨时分窃听他们的电话。对于虔诚的中东目标,黑客一般选择在周五的礼拜时间发起攻击,这段时间他们不会看手机。

除了上述两位雇佣黑客,卧底记者还和前印度陆军跨境情报部门指挥官拉姆·希拉尔准将会面,他负责监管网络部门,直到2014年退休。退休后,他在古尔冈成立了一家名为Phronesis的公司。公司通过挖掘暗网来获取个人数据,有若干个英国企业情报客户。

]]>
乌克兰“网军”入侵俄罗斯央行,公布大量敏感数据 Tue, 07 Feb 2023 10:48:06 +0800 11月9日消息,乌克兰黑客分子称已成功入侵俄罗斯中央银行,并窃取到数千份内部文件。

外媒The Record审查了上周四(11月3日)公开发布的部分“被盗”文件,总计2.6 GB,包含27000个文件。从内容上看,这些文件主要涉及银行运营、安全政策以及部分前任/现任员工的个人数据。

黑客分子们在Telegram上写道,“如果俄罗斯央行无法保护自己的数据,又怎么保证卢布的稳定?”这起入侵事件出自乌克兰IT军成员之手,该组织在俄乌战争爆发后建立,有超20万名网络志愿者,各成员协同对俄罗斯网站开展分布式拒绝服务攻击。

中央银行是俄罗斯最重要的金融机构之一,也是该国货币政策制定者和国家货币监管者。据俄罗斯媒体报道,央行方面否认其系统遭黑客入侵,并表示这些所谓外泄文件原本就存放在公开域内。

泄露数据时间跨度大,涉及未来战略规划

这已经不是黑客首次宣称攻破俄罗斯央行。今年3月,匿名者(Anonymous)组织的黑客曾声称,从俄央行处窃取到35000份文件,并发布到了网上。

数据安全公司Very Good Security的分析师Kenneth Geers认为,“对于间谍、媒体和人权活动家们来说,这次泄露的文件可能是个宝库,其中也许包含会对俄罗斯造成灾难性打击的消息和故事。”

到目前为止,还很难断言这批泄露文件到底有多重要。部分已公开的文件可以追溯到近20年前,还有一些文件概述了俄罗斯央行未来两年的战略。

部分文件详细说明了俄罗斯用国内技术替代进口计算机程序/软件的政策,旨在“确保银行支付系统能顺利运行”。

由于俄乌战争爆发后的国际制裁,不少跨国科技企业目前已退出俄罗斯市场或暂停运营,迫使俄罗斯方面寻求国内替代方案。

乌克兰IT军还发布了其他一些文件,据称其中包含俄罗斯军人的个人数据、电话号码和银行账号。

俄乌冲突爆发后,俄罗斯银行业屡遭网络攻击

自俄乌开战以来,俄罗斯银行一直是乌克兰黑客们最热衷于攻击的目标。今年9月初,乌克兰IT军还入侵了俄罗斯第三大银行Gazprombank(俄罗斯天然气工业银行)。

据乌克兰IT军称,该银行网站在DDoS攻击下瘫痪了四个小时,导致客户无法付款、访问个人账户或使用手机银行。

IT军一位代表在采访中表示,“为了成功完成攻击,我们遍历了对方的整个网络并从中找到了漏洞。”

为了绕过俄罗斯的DDoS保护服务,IT军宣称创建了一款“特殊程序”,能够“以非标准方式攻击系统,因此对方很难抵挡。”

俄罗斯天然气工业银行证实了9月的黑客攻击事件,副总裁Olexander Egorkin甚至称赞了乌克兰黑客的“创造力”和“专业精神”。

Egorkin在9月的一次会议上表示,“这次攻势极为猛烈,就连俄罗斯最大的电信运营商Rostelecom都感到压力巨大。”尽管如此,目前还无法断言IT军在俄乌之间的网络战进程中究竟起到了怎样的作用。只能说部分行动确实暂时性扰乱了俄罗斯的业务,或者至少引发了俄方关注。

据俄罗斯媒体报道,自俄乌开战以来,俄罗斯银行业对于网络攻击和数据泄露的防御性服务需求开始急剧增加。

随着思科、IBM、甲骨文、Imperva、Fortinet、诺顿和Avast等全球技术与网络安全厂商纷纷退出俄罗斯,俄罗斯企业也更易受到网络攻击影响。

这也从另一方面鼓舞了IT军的士气,他们坚称,“我们的目标仍旧不变:让银行难以正常支付、拖慢财务履约速度,把怀疑的种子播撒在收款人们的心中。”

]]>
澳国防部遭黑客袭击,军人信息被泄露! Tue, 07 Feb 2023 10:48:06 +0800 据英国《卫报》10月31日报道,一场影响到澳大利亚国防部网站的黑客攻击,可能导致澳大利亚现役和退役军人之间多达4万份私人通信数据面临泄露风险。

澳大利亚国防部周一证实,在负责运营该国国防部内部通信平台ForceNet的外部ICT服务供应商遭到黑客攻击后,一些数据可能已经泄露。

澳大利亚退伍军人事务和国防人员部部长马特·基奥(Matt Keogh)将ForceNet描述为“一个内部通信平台”,涉及的数据库来自2018年,其中包含3万到4万份记录。

基奥说,澳国防部仍然相信没有个人数据被窃取,但仍在努力确认哪些现役和退役人员包括受雇于该部门的公务员,可能会受到影响。

他补充说:“我们正在与外部供应商合作,以确保全面了解该数据库包含哪些数据,哪些是可被获取的。我们了解到,(遭黑客攻击的)外部供应商那里总共保存着大约3万到4万份记录。我们正在努力全面了解可能涉及的人员有哪些。”

根据ForceNet网站介绍,该通信平台供澳大利亚军方和国防部门内部使用,旨在“促进可回查的沟通和信息共享,包括一对一和一对多,也包括在紧急情况下有针对性的沟通和支持以及对特定人员的支持”。

该网站在常见问题解答部分写道:“这意味着ForceNet用户可以确信,他们的信息和内容只会被其他已授权的用户看到。”

基奥表示,澳大利亚发生的一系列网络攻击事件令人担忧,其中包括针对电信供应商澳都斯(Optus)和私人保险公司Medibank的攻击。这些攻击凸显出人们需要对自己的个人信息保持警惕,政府则需要确保各机构采用充分的安全措施。

另据澳大利亚广播公司报道,技术专家认为,澳大利亚之所以成为黑客的攻击目标,是因为该国缺乏足够数量的、专业技能过硬的网络安全人员。

]]>
网络攻击迫使丹麦最大铁路公司火车全部停运 Tue, 07 Feb 2023 10:48:06 +0800 11月7日消息,由于受到网络攻击影响,欧盟国家丹麦在上周六(11月5日)出现多列火车停运。该事件再次证明,针对第三方IT服务提供商的攻击会对物理世界造成重大破坏。

据丹麦广播公司DR报道,上周六早上,丹麦最大的铁路运营公司DSB旗下所有列车均陷入停运,连续数个小时未能恢复。

从现象来看,这似乎是针对DSB运营技术(OT)系统实施恶意攻击的事件。但实际恰恰相反,遭受攻击的是丹麦公司Supeo,该公司专为铁路、交通基础设施和公共客运提供资产管理解决方案的外包供应商。

Supeo可能经受了一次勒索软件攻击,但该公司并未披露任何信息。DSB方面的一名代表告诉路透社,这是一起“经济犯罪”。

在发现黑客攻击之后,Supeo决定关闭其服务器,导致列车司机们使用的一款软件无法正常工作,最终引发了列车运营中断。

Supeo公司提供了一款移动应用,可供火车司机访问运行的各项关键运营信息,例如限速指标和铁路运行信息。据媒体报道,Supeo关闭服务器的决定令该应用停止工作,司机们只能被迫停车。

攻击铁路部门的恶意黑客并不少见,最近一段时间的受害者包括白俄罗斯、意大利、英国、以色列和伊朗。虽然研究人员已经证明,现代火车系统确易受到黑客攻击影响,但近期攻击活动针对的主要是铁路网站、票务及其他IT系统,没有直接针对控制系统。

美国运输安全管理局(TSA)最近发布一项新指令,希望改善铁路运营中的网络安全水平。

]]>
德国跨国汽车巨头大陆集团遭LockBit勒索软件组织攻击 Tue, 07 Feb 2023 10:48:06 +0800 据BleepingCompuer11月3日消息,知名勒索软件组织LockBit宣布他们对德国跨国汽车集团大陆集团( Continental) 发动了网络攻击。

LockBit声称,他们窃取了大陆集团系统中的一些数据,如果不能在11 月 4 日 15:45:36(北京时间23:45:36)之前收到赎金,他们将在数据泄露网站上公开这些数据。

目前LockBit尚未透露赎金的具体金额,以及窃取数据的具体时间及其他任何细节,但由于显示支付赎金的倒计时页面仍在刷新,表明大陆集团还尚未与勒索软件进行谈判,已经决定拒绝支付赎金。

今年8月,大陆集团系统曾遭到过攻击者入侵,事后公司声称立即采取了所有必要的防御措施,并在外部网络安全专家的支持下,对事件进行调查,公司业务没有受到任何影响。BleepingCompuer向大陆集团 询问这起事件是否和此次LockBit的勒索攻击相关,大陆集团美国公司传播与营销副总裁 Kathryn Blackwell 给出了否定的回复,并称无法提供更进一步的任何细节。

LockBit 勒索软件于 2019 年 9 月作为勒索软件即服务 (RaaS) 首次出现以来,已经制造多起重大勒索攻击事件。就在今年,LockBit 曾分别向意大利国税局和安全巨头Entrust发动过勒索攻击。

]]>
波音子公司遭网络攻击,致使全球多家航司航班规划中断 Tue, 07 Feb 2023 10:48:06 +0800 11月4日消息,美国航空航天巨头波音的全资子公司Jeppesen是一家位于科罗拉多州的导航与航班规划工具供应商。该公司昨天证实,由于发生网络安全事件,导致部分航班被迫中断。

11月2日(本周三),Jeppesen公司网站上出现了红色提示条幅,警告称“我们的部分产品、服务和沟通渠道出现了技术问题”。

波音公司一位发言人透露,这是一起网络安全事件,Jeppesen方面正在努力恢复服务。

该发言人表示,“我们的子公司Jeppesen遭遇到网络事件,已经有部分航班规划产品和服务受到影响。部分航班规划被中断,但目前我们判断此次事件应该不会对飞机或飞行安全构成威胁。我们正与客户和监管机构沟通,并努力在最短时间内全面恢复服务。”

尽管航班中断的严重程度还不明确,但此次事件至少已经影响到当前及后续空中任务通知(NOTAM)的接收和处理。NOTAM是指向航空当局提交的通知,用于提醒飞行员注意航线上的潜在危险。

伊拉克航空、沙特Flynas航空、加拿大太阳之翼航空均发布公告,称Jeppesen系统发生了中断。Flynas表示部分航班被重新调整,太阳之翼还称北美多家航司受影响。

旅游博客Live And Let’s Fly的博主Matthew Klint称,有消息人士透露,此次事件属于勒索软件攻击。但波音发言人称系统“仍处于活动状态”,暂时无法证实事件与勒索软件有关。

航空业网络威胁形势日趋严峻

当前,航空业已经成为网络攻击乃至勒索软件攻击的高频目标。

今年5月,印度香料航空(SpiceJet)公司报告称遭受勒索软件攻击,导致众多乘客因航班停飞在滞留在机场。今年8月,为多家大型航空公司提供技术方案的Accelya称遭受勒索软件攻击,幕后黑手为BlackCat团伙。去年8月,曼谷航空公司称有黑客对其发动勒索软件攻击,事后还通过入侵窃取了乘客信息。

据报道,波音公司也在2018年受到广泛传播的WannaCry勒索软件的打击,好在服务很快恢复了正常。波音公司发言人接受《西雅图时报》采访时称,“漏洞只影响到几台设备。我们部署了软件补丁,所以包括777喷气式飞机在内的所有项目均未发生中断。”

今年8月,美国运输安全管理局(TSA)出台规定,强制要求各航空公司在24小时内向网络安全与基础设施安全局(CISA)上报一切网络安全事件。

]]>
黑客长期潜伏国内一外贸企业邮箱,骗走200余万美元货款 Tue, 07 Feb 2023 10:48:06 +0800 本报讯近日,杭州钱塘一家外贸企业的电子邮箱遭不法分子入侵,导致企业险些被骗200余万美元货款。

当日,该企业工作人员在查询订单时发现,一海外客户于几日前收到了企业生产的货物,但一笔90万美元的货款始终未如约支付。该工作人员第一时间联系客户催款,对方却告知早已将货款汇至电子邮件里提供的指定账户。

该工作人员立即意识到,企业邮箱很可能遭到黑客非法入侵并恶意篡改,便向杭州市公安局钱塘区分局前进派出所报警求助。前进派出所立即将相关情况上报,钱塘区公安分局网警大队高度重视,联合前进派出所迅速介入调查。

“根据我们的调查,黑客是通过木马程序侵入了这家企业的邮箱,并长期潜伏,发现双方交易后,篡改了企业发送给国外客户邮件中的收款人信息及收款账户,致使客户根据邮件信息,将货款打进了黑客的账户。”前进派出所副所长钟嘉淇介绍说,在开展调查的同时,钱塘警方第一时间开展紧急止损。由于这笔货款需要在银行中转,警方介入时,这笔货款仍在中转流程中,警方通过及时申诉支付冻结,将全部货款顺利追回。

“警察同志,多亏有你们,不然我们公司损失就大了!”事后,该企业负责人给前进派出所送来锦旗,感谢警方帮忙挽回了巨额损失。

据钱塘警方介绍,此类黑客作案手法具有较强的针对性,侵害对象以与境外客商有业务往来的企业为主。警方提醒,如收到有关收款银行账号变更的邮件,一定要提高警惕,通过电话等多种方式再次确认。

此外,如果发现邮箱被盗,应立即修改邮箱密码,并在“自动转发”里删除盗取者的邮箱,避免邮件仍被抄送出去;同时应立即告知现有客户相关情况,对于任何关键信息的修改,如银行账号变动、订单详情变化,需通过传真及电话进行双重确认。如客户已打款,应尽快向公安机关报案,从而及时挽回损失。

]]>
英媒:前英国首相特拉斯私人手机被俄黑客入侵 Tue, 07 Feb 2023 10:48:06 +0800 据英国《每日邮报》称,这些网络黑客已经获得了与主要国际合作伙伴的绝密交流以及与他的朋友英国保守党政治家 Kwasi Kwarteng 的私人对话。此外,一位消息人士称,手机受到严重破坏,目前放在封闭的保险箱中并处于一个国家机关的保护下。

网络间谍在夏季保守党领导竞选期间入侵了特拉斯的手机,当时特拉斯正担任外交大臣。网络间谍获得的一些信息包括特拉斯女士对约翰逊先生的批评,这些信息可能被用来勒索这位政客。

专家还认为,这些信息包括与国际外交部长就乌克兰冲突进行的对话,可能与武器运输有关。

作为对黑客攻击的回应,特拉斯女士在成为总理前不久被迫更换了她的手机号码,这也解释了为何特拉斯成为首相前被迫更换了使用十多年的手机号码。

俄罗斯间谍涉嫌侵入的结果造成最近一年含有与外国政治家以及与自己朋友和同党派人士夸西·克沃滕通信的秘密数据被下载。在通信中特拉斯与英国盟国外长们,特别包含有向乌克兰提供西方武器的细节数据,该事件引起了英国政府内部的担忧。

“这非常严重,它显示了来自国家的威胁对我们造成伤害的严重性,以及为什么政府中的每个人都需要如此认真地对待网络安全。我们需要知道政府认识到这件事的严重性。” 影子内政大臣伊薇特库珀说。

据悉,政府发言人试图淡化这一事件,并解释说政府采取了强有力的措施来保护其基础设施免受网络威胁。

“我们不对个人的安全安排发表评论。政府拥有健全的系统来防范网络威胁。这包括为部长们提供定期安全简报,以及保护他们的个人数据的建议。” 发言人说。

]]>
美国财政部:2021年金融机构因勒索攻击损失超12亿美元 Tue, 07 Feb 2023 10:48:06 +0800 11月2日消息,美国金融监管机构发布报告称,2021年勒索软件攻击与赎金支付数量再创历史新高,多数勒索软件变种的幕后操纵者据信与俄罗斯有关。

总体来看,2021年金融机构根据美国《银行保密法》要求上报的勒索攻击总损失,已经由前一年的4.16亿美元骤升至12亿美元。

这些数据出自周二美国财政部下辖金融犯罪执法网络(FinCEN)发布的最新报告。

图片

2021年内上报事件总计1489起,远高于2020年的487起。研究人员报告称,“勒索软件持续对美国各关键基础设施部门、企业及公众构成重大威胁。”

报告写道,“过去两年以来,勒索软件攻击者开始从广撒网转向针对性入侵,通过精心挑选受害者、重点针对大型企业和提出高额赎金要求等方式,尽可能提高‘投资’回报。”

与此同时,美国白宫周一举办反勒索软件倡议全球峰会,接待来自30多个国家/地区的代表,共商勒索软件难题的解决之道。目前,勒索软件在全球范围内日益猖獗。

值得注意的是,俄罗斯官员缺席了此次会议。FinCEN表示,绝大多数勒索软件攻击均可溯源至俄罗斯。

报告发现,目前五大顶级勒索软件变种均与俄罗斯有关,而且近70%的勒索攻击事件“与俄罗斯、其代理人或俄方行动代表有关。”

报告指出,“虽然很难确定恶意软件的具体归属,但从这些变体的开源信息中确实发现了一些共性,例如使用俄语代码,通过编码刻意绕开俄罗斯或其他前苏联国家,主要在俄语网站上投放广告等。”

今年下半年,勒索软件攻击数量急剧增加。7月1日后上报的攻击事件已经达到793起,而俄罗斯恶意软件变种继续在其中占比四分之三。

]]>
严惩入侵网课的“爆破猎手” 守护清朗网络空间 Tue, 07 Feb 2023 10:48:06 +0800 11月2日凌晨,一名网友在微博发文称,她的母亲是一名历史教师,10月28日上完网课后独自倒在了家里,两天后才被发现并确认因心梗去世。据该网友提供的信息,网课期间有人在会议室中通过语音辱骂、共享屏幕干扰课件投屏等多种方式再三刺激这位老师,最终导致了悲剧。

当地负责处理此事的相关负责人表示,这位老师上网课时确实多次遭到网暴,但猝死和遭遇网暴是否有关联,暂无法确定,公安机关已介入调查。目前,悲剧的最终原因尚待相关部门调查,但网课入侵现象已经引发了公众的广泛关注。

为了在做好防疫工作的前提下确保教学进度,各地上网课的现象越来越普遍。大多数情况下,网课能较好地保证教学秩序,但也难以彻底排除各种意外的发生。除了早期师生的设备、网络速度等硬件能否匹配之外,网课遭入侵已经越来越成为让人头疼的问题。

所谓网课入侵,就是指老师正在上课期间,有现在被称“爆破猎手”的黑客,进入网络课堂谩骂老师或学生,发各种和教学无关的文字、图文、音乐,甚至还有淫秽色情视频等,来干扰教学秩序。其原因较为复杂,有些是学生反感上网课,自己或者邀请“爆破猎手”来捣乱,实现把网课搞黄的目的;也有些是学生之间有矛盾,通过这种方式公开报复;还有些就是纯粹的恶作剧。

在部分熟悉网络文化的年轻人看来,这可能不算什么严重的事。遇见莫名其妙的发言,及时踢出网络教室就可以了。可是对一些年纪偏大或者不熟悉网络操作的教师,这场景就会比较尴尬。除了自己被莫名羞辱之外,在全班学生面前手忙脚乱,暴露自己在网络技术方面的笨拙,对自尊心也是一种伤害。虽然这次老师的不幸猝死和网暴之间的关系有待确认,但换位思考,她面对网暴时的无奈也是完全可以想象的。

对于这类明显违法的行为,既要事前防范,也要事后追惩。某互联网知名企业曾在9月份的时候发布了网络会议的新版本,其中就有“一键暂停与会者活动”功能,用以防止网课入侵。更多相关软件也不妨加入相应的功能,方便网上教学、网络会议的主持人维持秩序。

对所谓“爆破猎手”的网络入侵,要追查到具体的黑客,从技术上可能也不会很难。此前之所以一直被漠视,可能和类似入侵所造成的后果不大有关系。正如流传出的一些“爆破猎手”发言截图显示的,这类行为通常顶多就是搞黄一堂课。

但这次的悲剧说明,看似轻微的违法行为,一旦不被及时打击而蔓延,也可能造成意想不到的严重后果。所以,除了相关平台技术上的改进,对相关人员多做技术上的辅导之外,更重要的是对这类“爆破猎手”也要加强打击力度。

从此前媒体报道以及最近流传的网络截图看,“爆破猎手”似乎已经形成了某种灰产。“爆破猎手”们在一些社交平台煽动、诱导学生下单,请他们去入侵课堂。时下,线上教学、办公的人数不少,某些明目张胆的网络入侵行为,扰乱的不仅是虚拟空间的公共秩序,也给很多人的现实生活带来了实实在在的伤害。对这些“爆破猎手”,就应该进行及时、精准、严厉的打击,还公众一个安宁、清朗的网络空间。

]]>
台湾 2300 万人民信息泄露,黑客开价5000美元 Tue, 07 Feb 2023 10:48:06 +0800 近期,联合新闻网披露,有黑客在国外论坛 “BreachForums”上出售 20 万条中国台湾省民众的个人资料,并声称拥有台湾省 2300 万民众的详细信息。

台湾省某部门接到举报后立刻展开调查,初步调查结果显示,在售的 20 万条信息所有者主要集中在宜兰地区,且信息全部吻合,县长林志妙、民进党立委陈欧珀的个人信息也在其中。

泄露的信息非常详细

10 月 21 日早上,海外论坛 Breach Forums 出现一篇文章,一名ID为“OKE”的网友,在论坛兜售台湾省民众的详细资料,并表示这些资料是来自政府官网的数据。据悉,这些数据包括台湾省的人口记录,可以很容易地从这些数据中找到所有民众的兵役记录、教育记录和居住地址等个人信息。

中国台湾省某部门指出,论坛上出现的 20 万条个人资料,只是黑客抛出的样本,供买家 "测试",黑客会和有兴趣的买家打交道,事实上,想要这些数据的人大多是电诈团伙成员。

2300 万民众数据打包出售

该名黑客以 5000 美元(约 3.6 万人民币),将 2300 多万条数据 "打包 "出售,并强调可以用比特币支付。

陈欧珀 10 月 29 日表示,已于 25日掌握黑客在贩售户政资料的消息,前天已要求相关部门尽速查明。此外,陈欧珀指出“户政资料”被黑,引起岛内民众极大震惊,会造成大家心理上恐惧。

林姿妙也要求民进党当局赶快检讨,强调保护民众个资很重要。林姿妙阵营强调,户政资料外泄已经不是第一次了,掌管户政资料的部门要说清楚,不能每隔几年就外泄一次。

中国台湾省内政部否认资料泄露

有关部门在 29 日发布的新闻稿中指出,Breach Forums 论坛在售的民众个人资料内容格式与政府部门的资料差异甚大,相关资料并非从户政部门网站泄漏,目前检调单位已着手进行调查。此外,该部门一再重申没有资料被窃取,已由检警调查,其没有调查权,不清楚资料来源。

台湾省有关单位初步调查显示,此次在 Breach Forums 论坛上兜售的户政资料,是 2018 年相关资料介接时,由其他单位泄露的。对于这种说法,政府部门表示的确有这样的传言,但目前还无法证实。

最后该部门表示,论坛上贩售的资料,看似由多个数据库组合而成,资料真实性有相似度,已交由检警调调查,并强调户政部门资讯系统采内外网实体隔离架构,资料均妥善保存于内网中,并未流出。

]]>
欧盟最大铜矿公司遭网络攻击,IT系统被迫中断服务 Tue, 07 Feb 2023 10:48:06 +0800

10月31日消息,德国铜生产商Aurubis(中文名为奥鲁比斯)宣布遭受网络攻击,被迫关闭IT系统以防止影响蔓延。

Aurubis是欧洲最大、世界第二的铜生产商,在全球拥有6900名员工,年产阴极铜100万吨。

Aurubis已经在官网上发布公告,称虽然各地IT系统已经关闭,但正常生产并未受到影响。

图片

公告中指出,“冶炼厂的生产和环保设施正在运行,进出货物也已转入人工维护。”

目前,该公司仍在评估网络攻击引发的影响,并与政府当局密切合作以加快调查进度。

Aurubis的当务之急是将产量保持在正常水平,保证原材料供应和制成品的平稳交付。

为此,该公司已经将部分操作转为手动模式,希望能在计算机辅助自动化功能重新上线之前,尽量保持冶炼厂货物的正常进出。

Aurubis公司指出,暂时无法估算需要多长时间才能让全体系统恢复正常运行。

在全面复原之前,该公司计划建立过渡性解决方案,为自身及客户提供暂时沟通渠道。目前,联络Aurubis的唯一途径只剩下电话呼叫。

尽管种种迹象表明这似乎是一起勒索软件攻击,但Aurubis方面并未提供关于攻击细节的任何说明。

值得注意的是,Aurubis提到这次攻击只是“针对金属及采矿业的更大规模袭击中的一部分”。

外媒已经联系该公司,希望了解关于此次事件的更多消息,并将第一时间带回置评回复。

最近一次针对超大型金属生产商实施勒索软件攻击的事件发生在2019年3月,当时LockerGoga团伙实施攻击,迫使铝业巨头Norsk Hydro关闭了自家IT系统。

]]>
网络安全事件迫使斯洛伐克议会暂停会议,今年欧洲近十国议会遭黑 Tue, 07 Feb 2023 10:48:06 +0800 11月1日消息,欧洲内陆国家斯洛伐克议会IT系统遭遇网络安全事件,导致上周举行的会议被迫暂停。

上周四(10月27日),斯洛伐克议会议长鲍里斯·科拉尔(Boris Kollár)在电视简报会中解释称,为了着手调查此次安全事件,原定的议会投票被迫取消。

科拉尔在简报会上透露,“我们发现了一起网络安全事件……有一个信号来自某个点,干扰了我们的系统和计算机,甚至为议员们服务的自助餐厅都受到了影响。”

图片

斯洛伐克国家安全办公室(NSB)后续发表声明,确认收到了关于国民议会期间“网络安全事件”的报告。该办公室拒绝提供关于情况的更多细节,也没有回应置评请求。

值得一提的是,官员们给出的事件信息间存在冲突。有人说国民议会“报告称当天早上记录到IT服务中断”,并导致会议提前结束。但斯洛伐克国家安全局(NBU)发言人彼得·哈巴拉(Peter Habara)提醒说,这起(网络安全)事件可能不是网络攻击,只是普通的系统中断,网络攻击是一种“故意行为”。

据斯洛伐克共和国通讯社(TASR)发言人米凯拉·尤尔乔娃(Michaela Jurcová)介绍,“对这起网络安全事件的初步分析表明,网络通信确实出现了异常,结果导致所有组件功能均受到影响,包括接入网络基础设施的投票设备。”

该国执法机构目前正与国家安全局合作开展调查。

科拉尔称这起事件“非常严重”,并取消了11月8日之前的所有原定会议。他还指出,如果能早点解决问题,议会也可以考虑在下周重启会议。

斯洛伐克一些反对党派对事件本身以及应对决定提出了质疑。反对党政客安娜·泽马诺娃(Anna Zemanová)在采访中表示,把会议推迟到11月8日简直“荒谬”,并声称此次攻击可能是在故意拖延时间,避免执政党的几位政客在重要立法会议上缺席。

继罗马尼亚、意大利、立陶宛、挪威、波兰、芬兰和拉脱维亚之后,斯洛伐克成为又一个议会遭受网络攻击的国家。就在上周,保加利亚政府网站也受攻击影响,官员们将事件归咎于某亲俄罗斯黑客团伙。

据路透社报道,波兰议会上周四同样遭遇了网络攻击。

]]>
《安联智库-网安周报》2022-10-31 Tue, 07 Feb 2023 10:48:06 +0800

1、汤森路透3个数据库处于公开访问状态,至少包含3TB敏感数据

据Cybernews 10月27日报道,跨国传媒集团汤森路透公司至少有三个数据库处于开放状态,访客无需验证即可访问,里面包含敏感客户和企业数据以及明文格式储存的第三方服务器密码。攻击者可以利用这些细节进行供应链攻击。
Cybernews研究小组发现,汤森路透至少保留了三个任何人都可访问的数据库。其中一个是面向公众的ElasticSearch数据库,3TB大小,包含该公司各个平台的最新和最敏感信息。汤森路透已经发现该问题,目前已修复。
汤森路透为客户提供的产品和平台包括企业对企业媒体工具Reuters Connect、法律研究服务和数据库Westlaw、税务自动化系统ONESOURCE、编辑和源材料在线研究套件Checkpoint以及其他工具。
ElasticSearch数据库对威胁行为者来说是一个宝库,可以利用泄露的信息进行社会工程学攻击和勒索攻击,在地下犯罪论坛上可能价值数百万美元。
2、澳大利亚保险巨头遭拖库,390万用户信息全部泄露

澳大利亚医疗保险公司Medibank周三披露,在最近一次勒索软件攻击之后,其所有客户的个人信息都遭泄露。

根据该公司的调查,攻击者获得了 "大量的健康索赔数据",其中包含了ahm健康保险子公司和国际学生的个人数据。"我们有证据表明,罪犯已经删除了其中的一些数据,同时罪犯很可能已经窃取了个人和健康索赔数据,"该公司进一步补充说。因此,预计受影响的客户数量可能会大幅增加。

现该事件已成为澳大利亚联邦警察(AFP)调查的对象,与此同时,Medibank公司表述已被一个犯罪行为人联系,声称盗走了200GB的数据。

这些数据包含了名字、姓氏、地址、出生日期、医疗保险号码、保单号码、电话号码和一些索赔数据。这些索赔数据包括客户接受医疗服务的地点,以及他们诊断的信息。

3、“聊天”软件WhatsApp故障 全球多地用户受影响

25日,全球多个国家和地区的用户发现,自己无法正常使用即时通信应用WhatsApp,其中包括美国、英国、印度和新加坡等多地。

英国广播公司(BBC)25日报道称,许多人在社交媒体上抱怨他们无法发送或接收信息。不仅是英国,WhatsApp的崩溃在全球范围内引发很多网民强烈反应。统计数据显示,它在全球拥有约20亿活跃用户,在非洲、欧洲、印度和南美尤其受欢迎,2022年位居软件下载量第四名。

运营商报错网站Down Detector的数据显示,WhatsApp于美国东部时间3时许出现状况,并于美东时间5时左右基本恢复正常。美国《纽约时报》称,考虑到该软件的用户规模和其在许多国家作为不可或缺的地位,每一秒的访问障碍都会带来意想不到的后果。BBC称,此番WhatsApp的服务中断还在英国引发不小争议,因为政府官员也在使用该平台。此外,中国香港、南非、新加坡和印度等地也有该问题的报告。

路透社报道称,该事故发生后,Meta的股价下跌了0.7%。

4、俄罗斯联邦储蓄银行遭遇史上最大规模DDoS攻击

10月27日消息,俄罗斯最重要的银行之一俄罗斯储蓄银行(Sberbank)副总裁斯坦尼斯拉夫·库兹涅佐夫(Stanislav Kuznetsov)表示,该银行击退了其历史上规模最大的网络攻击之一,这次攻击持续了24小时零7分钟。

库兹涅佐夫周二对Rossiya 24电视台表示,DDoS攻击是一种拒绝服务攻击,涉及至少104000名黑客,他们在不同国家拥有至少30000台电脑。这位高级管理人员强调,尽管在这种条件下工作非常复杂,但该银行启动了先进的安全协议,并继续不受干扰地运营。

这位银行高管解释说,他们的团队找到了成功阻止网络攻击的必要资源。库兹涅佐夫补充道,今年迄今为止,Sberbank的系统至少遭遇了470次网络攻击,超过了过去七年中检测到的所有攻击。

]]>
俄罗斯联邦储蓄银行遭遇史上最大规模DDoS攻击 Tue, 07 Feb 2023 10:48:06 +0800 10月27日消息,俄罗斯最重要的银行之一俄罗斯储蓄银行(Sberbank)副总裁斯坦尼斯拉夫·库兹涅佐夫(Stanislav Kuznetsov)表示,该银行击退了其历史上规模最大的网络攻击之一,这次攻击持续了24小时零7分钟。

库兹涅佐夫周二对Rossiya 24电视台表示,DDoS攻击是一种拒绝服务攻击,涉及至少104000名黑客,他们在不同国家拥有至少30000台电脑。

这位高级管理人员强调,尽管在这种条件下工作非常复杂,但该银行启动了先进的安全协议,并继续不受干扰地运营。

这位银行高管解释说,他们的团队找到了成功阻止网络攻击的必要资源。

库兹涅佐夫补充道,今年迄今为止,Sberbank的系统至少遭遇了470次网络攻击,超过了过去七年中检测到的所有攻击。


]]>
澳大利亚保险巨头遭拖库,390万用户信息全部泄露 Tue, 07 Feb 2023 10:48:06 +0800 澳大利亚医疗保险公司Medibank周三披露,在最近一次勒索软件攻击之后,其所有客户的个人信息都遭泄露。

根据该公司的调查,攻击者获得了 "大量的健康索赔数据",其中包含了ahm健康保险子公司和国际学生的个人数据。

Medibank是澳大利亚最大的私人健康保险供应商之一,为全国约390万客户提供服务。

"我们有证据表明,罪犯已经删除了其中的一些数据,同时罪犯很可能已经窃取了个人和健康索赔数据,"该公司进一步补充说。因此,预计受影响的客户数量可能会大幅增加。

该公司还表示将继续调查,以确定具体哪些数据在这次攻击中被盗,并将直接通知受影响的客户。

现该事件已成为澳大利亚联邦警察(AFP)调查的对象,与此同时,Medibank公司表述已被一个犯罪行为人联系,声称盗走了200GB的数据。

这些数据包含了名字、姓氏、地址、出生日期、医疗保险号码、保单号码、电话号码和一些索赔数据。这些索赔数据包括客户接受医疗服务的地点,以及他们诊断的信息。

其他唯一可识别的个人信息,如与国际学生保单有关的护照号码也被非法访问,但Medibank表示,现没有发现任何证据能直接表明借记的细节已被破坏。

在一份单独的投资者公告中,Medibank表示,它已经加强了其监测能力,以防未来发生此类攻击。Medibank估计这次网络犯罪事件给他们带来的损失在2500万到3500万澳元之间。

同时建议客户对任何网络钓鱼或smishing诈骗保持警惕,该公司承诺为那些 "因为此次事件受损的客户 "提供免费的身份监测服务和财务支持。

事实上在Medibank被黑之前,澳大利亚电信巨头Optus的也遭受到网络攻击,导致其近210万名现有和以前的客户数据被盗。

这些明目张胆且具有破坏性的数据泄露事件促使澳大利亚政府出台了严格的数据保护法,其中就包括从目前的220万澳元上限提高到最高5000万澳元的货币处罚。

澳政府新出台的《2022年隐私立法修正案》也赋予澳大利亚信息专员更多的权力来解决隐私泄露问题。

澳总检察长Mark Dreyfus表明:根据最近几周的重大隐私泄露事件表明,现有的保障措施是不够的。我们需要更好的法律来规范公司管理他们收集的大量数据,以及更大的惩罚来激励更好的行为。

]]>
汤森路透3个数据库处于公开访问状态,至少包含3TB敏感数据 Tue, 07 Feb 2023 10:48:06 +0800 据Cybernews 10月27日报道,跨国传媒集团汤森路透公司至少有三个数据库处于开放状态,访客无需验证即可访问,里面包含敏感客户和企业数据以及明文格式储存的第三方服务器密码。攻击者可以利用这些细节进行供应链攻击。

Cybernews研究小组发现,汤森路透至少保留了三个任何人都可访问的数据库。其中一个是面向公众的ElasticSearch数据库,3TB大小,包含该公司各个平台的最新和最敏感信息。汤森路透已经发现该问题,目前已修复。

汤森路透为客户提供的产品和平台包括企业对企业媒体工具Reuters Connect、法律研究服务和数据库Westlaw、税务自动化系统ONESOURCE、编辑和源材料在线研究套件Checkpoint以及其他工具。

ElasticSearch数据库对威胁行为者来说是一个宝库,可以利用泄露的信息进行社会工程学攻击和勒索攻击,在地下犯罪论坛上可能价值数百万美元。

据了解,该数据库开放了好几天,恶意机器人能够在短短几小时内侦测到。汤森路透快速解决了该问题,并表示它只影响“汤森路透全球一小部分客户”。

汤森路透服务器内ElasticSearch索引的命名表明,这个开放的数据库被用作日志服务器,以收集用户-客户互动的大量数据。开放数据库还包含登录和密码重置日志。虽然这些日志不会暴露旧密码或新密码,但可以看到帐户持有人的电子邮件地址,以及发送密码更改查询的确切时间。

另一个敏感信息包括SQL(结构化查询语言)日志,它记录了用户查询信息和返还的信息。开放的数据库还包括对YouTube等其他平台的内部筛选、汤森路透客户的访问日志以及与其他数据库的连接字符串。

汤森路透声称,三个配置错误的数据库中,有两个被设置为可公开访问。第三台服务器是一个非生产性服务器,用于存储“生产前/实施环境的应用日志”。

ElasticSearch是一种非常常见和广泛使用的数据存储,容易出现配置错误,这使得任何人都可以访问它。这种情况下,敏感数据是开放的,并且已经被流行的物联网搜索引擎索引。Cybernews安全研究主管Mantas Sasnauskas表示,这为恶意行为者提供了一个巨大的攻击面,不仅可以利用内部系统,还可以进行供应链攻击。一个简单的人为错误就可能导致毁灭性的攻击。

]]>
惊!乐歌升降台被曝暗藏摄像头,厂家:产品已经下架 Tue, 07 Feb 2023 10:48:06 +0800 近日,一篇题为《乐歌产品存重大隐患、设计缺陷遭用户投诉非法安装摄像头偷窥用户隐私》的文章在网上发酵。据悉,因用户在黑猫投诉反映乐歌A9智能升降台的数码屏内暗藏摄像头等问题。对此,乐歌方面对媒体回应,该产品已经下架,而内置摄像头用于无接触心率检测功能,该项功能在研发上正在进一步开发和完善,不存在窃取用户隐私的问题。

产品中装摄像头消费者和乐歌都有说法

据悉,在黑猫投诉上,该投诉者表示:本人在某平台购买乐歌a9智能升降台,收货后发现有三个重要问题:1、台面升高后极不稳定,晃动异常大,根本无法正常办公;2、所谓的海量资讯库根本无法点开;(以上2点我可以提供视频证明);3、这款产品的数码屏内偷偷暗藏了一颗摄像头,但是产品本身没有需要用到摄像头的地方,卖家也表示认可,他们的回答是摄像头是闲置的,我想问作为刚上线的新产品你们既然没有摄像功能,为什么要“好心偷藏一颗摄像头,还不在产品页中告诉消费者?究竟是什么居心?这和出租车上触动屏里藏摄像头一样偷偷获取顾客面容信息一样是非法行为,要求严惩!

之后,乐歌通过书面回应的方式,回复了媒体。乐歌方面称,出于谨慎考虑,公司已对该款产品做下架处理。

对于安装摄像头一事,乐歌回复函中提及:“该产品随附的智慧屏内置摄像头系用于公司开发的无接触心率检测功能,目的是为用户提供健康增值服务。该项功能软件技术难度高,需要硬件和软件算法高度配合。该产品在很局部使用过程中存在一些兼容性问题,当前该项功能在研发上正在进一步开发和完善,当前该项功能已经关闭。因此,实际上该内置摄像头当前属于闲置状态,根本不存在窃取用户隐私的问题。”

另外乐歌方面表示,未来,公司正式全面向消费者提供该项服务功能时,会向消费者进一步在说明书中说明,征得消费者同意,在自愿的基础上提供收费服务。届时,公司将提交智慧屏的相关代码于权威第三方平台检测排查,并按照相关法律不滥用该装置调取用户隐私之行为。同时,我们愿意为摄像头引起消费者的困扰表示歉意。

]]>
“聊天”软件WhatsApp故障 全球多地用户受影响 Tue, 07 Feb 2023 10:48:06 +0800 25日,全球多个国家和地区的用户发现,自己无法正常使用即时通信应用WhatsApp,其中包括美国、英国、印度和新加坡等多地。

WhatsApp是一款可以免费拨打电话和发送短消息的通信软件,2014年,该平台被Facebook以220亿美元收购,如今与Facebook和Instagram等知名社交媒体平台同属母公司Meta。英国广播公司(BBC)25日报道称,许多人在社交媒体上抱怨他们无法发送或接收信息。不仅是英国,WhatsApp的崩溃在全球范围内引发很多网民强烈反应。统计数据显示,它在全球拥有约20亿活跃用户,在非洲、欧洲、印度和南美尤其受欢迎,2022年位居软件下载量第四名。

运营商报错网站Down Detector的数据显示,WhatsApp于美国东部时间3时许出现状况,并于美东时间5时左右基本恢复正常。美国《纽约时报》称,考虑到该软件的用户规模和其在许多国家作为不可或缺的地位,每一秒的访问障碍都会带来意想不到的后果。BBC称,此番WhatsApp的服务中断还在英国引发不小争议,因为政府官员也在使用该平台。此外,中国香港、南非、新加坡和印度等地也有该问题的报告。

事后,WhatsApp发言人乔什·布雷克曼在社交媒体平台上表示,“我们知道人们今天在使用WhatsApp发送消息时遇到了麻烦,我们已经解决了这个问题,并对带来的不便表示歉意。”不过,他并没有具体说明问题的原因。

据《纽约时报》介绍,此次并非WhatsApp第一次发生问题。去年10月,包括该平台在内的Facebook应用程序家族服务中断了大约5个小时。《纽约时报》表示,此次故障对于Meta来说是一个“不幸的时刻”,因为该公司最近发起了一场大型广告宣传活动,声称“WhatsApp是其他消息服务平台安全可靠的替代品”。

路透社报道称,该事故发生后,Meta的股价下跌了0.7%。

]]>
伊朗核电站疑遭伊朗黑客组织攻击,大量数据泄露 Tue, 07 Feb 2023 10:48:06 +0800 伊朗原子能组织表示,为布什尔核电站服务的IT部门已经检查并发布了有关网络攻击行为的报告,并否认有任何敏感信息被泄露。该能源机构表示,此次黑客攻击旨在引起公众和媒体的关注。

该组织网站上的一份声明称:“应该指出,用户电子邮件中的内容包含技术信息以及日常交流信息。” “很明显,这属于出于绝望而进行的非法活动,目的是引起公众的关注。”

但是上周六,一个名为Black Reward的伊朗黑客组织在Telegram和Twitter上发帖宣称窃取了伊朗布什尔核电站的活动信息。该组织在帖子中声称,该黑客攻击是为了支持全国范围内的一场持续的抗议活动(起因是一名伊朗年轻女子Mahsa Amini因未能正确佩戴头巾遭拘留并在警方拘留期间死亡)。

Black Reward威胁要在24小时内发布在攻击中窃取的核电站信息,除非当局释放在最近的骚乱中被捕的人。

上周日,该组织如期发布了一个指向其Telegram频道的信息下载链接。该组织在Twitter上表示,这些信息包括大约8.5万封电子邮件的“经过清理的、可用浏览器查看的版本”。

该组织声称,泄露的信息包括布什尔发电厂各部门的管理和运营时间表,以及在那里工作的伊朗和俄罗斯核专家的签证和护照信息、财务收据以及与当地和外国组织的协议。

布什尔核电站于2011年使用俄罗斯技术建造,是伊朗第一座位于波斯湾沿岸的核电站。本周末布什尔核电站遭遇的网络攻击并非伊朗核计划遭遇的首次攻击。

2010年首次曝光的Stuxnet恶意蠕虫病毒通过感染伊朗纳坦兹核设施中的Windows电脑来攻击伊朗的核计划,并造成了重大损失。Stuxnet也被认为是美国和以色列联合开发的网络攻击武器。据报道,Stuxnet感染了超过20万台计算机并导致1000台设备受损,破坏了伊朗近五分之一的核离心机。 

]]>
欧洲超市巨头麦德龙遭网络攻击,IT和支付服务中断已超过一周 Tue, 07 Feb 2023 10:48:06 +0800 10月24日消息,在最近遭遇网络攻击之后,国际批发和超市巨头麦德龙(METRO)已陷入基础设施中断与商店支付系统瘫痪。

该公司的IT团队正在协同外部专家着手调查此事,希望找出持续中断背后的原因。

据技术博主Günter Born发布的报告,至少自10月17日以来,IT中断就一直影响着麦德龙公司在奥地利、德国和法国的门店。

该公司在官方网站上发布说明称,“麦德龙(METRO/MAKRO)的部分IT基础设施内有多项技术服务正处于中断状态。麦德龙IT团队已经第一时间与外部专家共同开展彻查,希望确定引发服务中断的原因。”

尽管门店仍在营业,但麦德龙方面称其被迫建立起线下支付系统,并且在线订单已经延误。

该公司指出,“虽然麦德龙门店正在经营且定期提供服务,但可能出现中断和延误。Web应用和在线商店上的订单正在处理中,但预计同样会出现延误。”

麦德龙已经将此次安全事件上报政府当局,并将配合开展涉及攻击细节的后续调查。

麦德龙是一家面向酒店、餐厅与餐饮行业客户的跨国批发公司,业务遍及30多个国家,在全球范围内拥有超过95000名员工。

截至2022年9月30日,麦德龙以METRO和MAKRO两大品牌经营着总计661家批发超市门店。

截至目前,该公司还没有公布此次网络攻击的具体性质,但IT基础设施中断大多与勒索软件攻击有关。

麦德龙在最新公告中提到,“我们将继续深入分析和监控,并根据实际需要发布更新。麦德龙对此次事件给各客户及业务合作伙伴造成的任何不便深表歉意。”

外媒就此事主动联系了麦德龙公司,对方发言人表示由于调查仍在进行当中,该公司无法分享关于事件的更多信息。


]]>
超市巨头麦德龙遭网络攻击,支付系统中断 Tue, 07 Feb 2023 10:48:06 +0800 德国零售批发超市集团麦德龙(Metro)被证实遭遇网络攻击,其部分基础设施中断,线下门店支付系统和线上订单出现延迟。

根据Günter Born网站的一份报告,至少从10月17日起,麦德龙奥地利、德国和法国地区的门店已经发生IT故障。

麦德龙在其网站声明中透露:“麦德龙目前正在经历几项技术服务的部分IT基础设施中断。IT团队已联合外部专家展开全面调查,寻找服务中断的原因。”

尽管麦德龙的门店仍在运营,但麦德龙表示,服务可能中断或延误,线上订单正加紧处理中,但预计会出现延迟。为了应对服务中断,麦德龙还启用了线下支付系统。

麦德龙已将这起安全事件通知了当局,并表示将配合任何与攻击有关的调查。

麦德龙是一家面向HoReCa(酒店、餐厅和餐饮)行业客户的国际批发公司,业务遍及30多个国家,在全球拥有超过9.5万名员工。它旗下Metro和Makro 两个品牌经营着661家批发门店(截至2022年9月30日)。

当媒体就此次攻击事件联系麦德龙时,该公司表示,此次网络攻击正在调查中,尚不能分享更多信息。据媒体推测,IT基础设施中断通常与勒索软件攻击有关。

网络攻击一向是零售公司头疼的问题,它通常导致中断和延误。此前,美国连锁便利店7-Eleven因网络攻击导致丹麦各地的结账和支付系统瘫痪,不得不关闭170多家线下门店。

]]>
被索要6000万,这家汽车经销商坚持拒绝支付! Tue, 07 Feb 2023 10:48:06 +0800 据BleepingComputer 10月24日消息,英国著名汽车经销商集团Pendragon近期遭遇 LockBit 勒索软件组织的网络攻击,部分数据被窃取,并收到了高达6000万美元的赎金支付通知。

Pendragon在安全公告中声称:“我们在部分 IT 系统中发现了可疑活动,并确认我们遇到了 IT 安全事件。”在10月21日接受英国《泰晤士报》采访时,该公司首席营销官 Kim Costello 透露攻击发生在大约一个月前,并表示攻击者以发布被盗数据为威胁,要求在截止日期前支付高额赎金。经过其他媒体查证,确认LockBit 的索要金额为 6000 万美元。

“我们坚持不向攻击者付款!”该公司发言人说道。为了回应外界担忧,发言人强调称攻击发生后,公司 IT 团队立即做出了反应,调查结果显示,黑客仅窃取了数据库中 5%的数据。

BleepingComputer 已联系该公司以获取有关被盗数据的更多信息,以及如果黑客泄露数据会产生的影响,但在发布时没有收到任何回复。

Pendragon在英国遍布200多个经销商站点,拥有 CarStore、Evans Halshaw 和 Stratstone 豪华汽车零售品牌。就在攻击发生的同一个月,Pendragon曾收到另一家知名经销商集团Hedin Mobility价值4亿英镑(约4.52亿美元)的收购申请。

]]>
《安联智库-网安周报》2022-10-23 Tue, 07 Feb 2023 10:48:06 +0800

1、微软数据泄露暴露全球111个国家超6.5万实体的客户个人信息

微软表示,由于一台服务器配置不当,导致某些客户的敏感信息遭暴露。
遭暴露的信息包括姓名、邮件地址、邮件内容、公司名称和电话号码,以及文件,而这些文件与受影响客户和微软或越权微软合作伙伴之间的业务相关联。这次数据泄露是因“对端点的无意配置不当造成的,不过该端点并未在微软生态中使用”,而非因安全漏洞造成。
被泄数据与全球6.5万个实体有关
虽然微软并未提供与该数据泄露事件相关的其它详情,但发现这起数据泄露事件的SOCRadar 公司发布博客文章指出,该数据存储在配置不当的 Azure Blob Storage 上。SOCRadar表示,该公司能够将这些敏感信息与111个国家超过6.5万个实体关联在一起,覆盖2017年到2022年8月。该公司指出,“2022年9月24日,SOCRadar的内置云安全模块检测到,由微软维护的一个配置不当的 Azure Blob Storage 中包含属于高级别云提供商的敏感数据。”SOCRadar 指出,分析发现被泄数据“包括执行验证和工作说明 (SoW) 文档、用户信息、产品订单/报价、项目详情、个人可识别信息数据和可能泄露智慧财产的文档”。
2、美国300万名医院患者的个人信息被泄露给外部公司

美国芝加哥——伊利诺伊州和威斯康星州多达300万患者的个人健康信息可能已通过大型医院系统电子健康记录网站上使用的跟踪技术暴露给外部公司。

经营27家医院的倡导者Aurora Health在一份声明中表示,违规行为可能暴露了包括患者医疗提供者、预约类型或医疗程序、预定预约的日期和地点以及IP地址在内的信息。该系统将漏洞归咎于其使用像素(收集用户如何与网站交互信息的计算机代码)的使用,包括谷歌和Facebook母公司Meta开发的产品,这些产品使这些公司可以访问收集的数据。

根据卫生与公众服务部的调查日志,卫生系统周五通知了该违规行为,该漏洞影响了多达300万患者。

3、成多国“提款机” 谷歌被印度开出11.7亿元天价罚单

作为全球互联网巨头,今年以来,谷歌被多个国家和地区,频频开出天价罚单,成为多个国家的“提款机”,此次又轮到印度向谷歌“开刀”。

10月21日消息,据报道,印度反垄断监管机构“竞争委员会”(CCI)周四责令谷歌整改安卓平台的垄断行为,并对公司处以133.8亿印度卢比(约合1.6195亿美元)的罚款。CCI表示,谷歌利用安卓系统在线搜索和应用商店等市场的主导,保护其Chrome和YouTube等应用在浏览器和视频程序中的垄断地位。

对此,印度要求谷歌整改安卓系统的一些反竞争行为,包括允许智能手机用户卸载谷歌地图和Gmail等预装应用程序,以及给予他们选择其他搜索引擎的权利。

此外,在9月份,欧盟针对谷歌安卓垄断的调查,欧洲普通法院做出了裁定,谷歌上诉失败,维持了欧盟之前对谷歌滥用安卓打击竞争对手的判决,不过将之前的罚款金额从43.4亿欧元减少到了41.25亿欧元,分别折合人民币300、286亿元。

而在8月份,澳大利亚联邦法院对谷歌开出了6000万美元(约合人民币4.04亿元)的巨额罚款,其原因则与用户的隐私安全有关。

7月份,因为在3月19日期限之前拒绝自愿支付罚款,俄罗斯联邦法警将对谷歌立案,并强制执行72亿卢布(约合人民币6.6亿元)的营业额罚款。

4、勒索攻击中断印刷系统,德国地方大报被迫暂停纸质版发行

10月18日消息,德国报纸《海尔布隆言论报》(Heilbronn Stimme)在上周五(10月14日)遭遇勒索软件攻击,印刷系统陷入瘫痪,该报被迫以电子版形式发布最新一期内容。

上周六,该报已经发布了6页“应急”版,所有计划发表的讣闻均转移至官方网站。而且整个周末期间,报社的电话和电子邮件通信始终未能恢复上线。

这份地区性出版物的发行量约为75000份,受印刷问题的影响,其官方网站已经暂时取消了付费墙模式。该报的网站月度访问量约为200万次。

]]>
成多国“提款机” 谷歌被印度开出11.7亿元天价罚单 Tue, 07 Feb 2023 10:48:06 +0800 作为全球互联网巨头,今年以来,谷歌被多个国家和地区,频频开出天价罚单,成为多个国家的“提款机”,此次又轮到印度向谷歌“开刀”。

10月21日消息,据报道,印度反垄断监管机构“竞争委员会”(CCI)周四责令谷歌整改安卓平台的垄断行为,并对公司处以133.8亿印度卢比(约合1.6195亿美元)的罚款。

CCI表示,谷歌利用安卓系统在线搜索和应用商店等市场的主导,保护其Chrome和YouTube等应用在浏览器和视频程序中的垄断地位。

对此,印度要求谷歌整改安卓系统的一些反竞争行为,包括允许智能手机用户卸载谷歌地图和Gmail等预装应用程序,以及给予他们选择其他搜索引擎的权利。

另外,CCI还要求谷歌不得与智能手机制造商形成分成协议,比如“捆绑销售”等,确保自身的唯一性,完全将竞争对手排除在外。

据数据显示,在印度6亿部智能手机中,有97%搭载的是安卓操作系统。CCI在一份声明中表示:“应该允许市场基于价值进行公平竞争,而主要竞争者(本案中指谷歌)有责任确保其行为不会影响这种竞争。”

此外,在9月份,欧盟针对谷歌安卓垄断的调查,欧洲普通法院做出了裁定,谷歌上诉失败,维持了欧盟之前对谷歌滥用安卓打击竞争对手的判决,不过将之前的罚款金额从43.4亿欧元减少到了41.25亿欧元,分别折合人民币300、286亿元。

而在8月份,澳大利亚联邦法院对谷歌开出了6000万美元(约合人民币4.04亿元)的巨额罚款,其原因则与用户的隐私安全有关。

7月份,因为在3月19日期限之前拒绝自愿支付罚款,俄罗斯联邦法警将对谷歌立案,并强制执行72亿卢布(约合人民币6.6亿元)的营业额罚款。

]]>
美国300万名医院患者的个人信息被泄露给外部公司 Tue, 07 Feb 2023 10:48:06 +0800 美国芝加哥——伊利诺伊州和威斯康星州多达300万患者的个人健康信息可能已通过大型医院系统电子健康记录网站上使用的跟踪技术暴露给外部公司。

经营27家医院的倡导者Aurora Health在一份声明中表示,违规行为可能暴露了包括患者医疗提供者、预约类型或医疗程序、预定预约的日期和地点以及IP地址在内的信息。

该系统表示,其调查发现没有涉及社会保障号码、财务信息或信用卡和借记卡号码。

该系统将漏洞归咎于其使用像素(收集用户如何与网站交互信息的计算机代码)的使用,包括谷歌和Facebook母公司Meta开发的产品,这些产品使这些公司可以访问收集的数据。

声明说:“这些像素不太可能导致身份盗窃或任何经济伤害,我们没有证据表明该事件导致滥用或欺诈事件。”“然而,我们始终鼓励患者定期查看他们的财务账户,并立即报告任何可疑、未识别或不准确的活动。”

医疗保健行业对像素的使用受到了隐私倡导者的广泛批评,他们警告说,该技术的使用违反了联邦患者隐私法。

The Markup在6月份发布的一份报告发现,该国许多顶级医院使用Meta Pixel,收集并向这家社交媒体公司发送敏感的患者信息。

Advocate Aurora Health的声明没有具体说明是什么促使其决定在MyChart网站上公布其像素的使用,患者在该网站上安排预约,与提供商办公室沟通并查看测试结果。该声明称,卫生系统已禁用或删除了所有像素,并正在继续内部调查。

根据卫生与公众服务部的调查日志,卫生系统周五通知了该违规行为,该漏洞影响了多达300万患者。

密歇根大学专注于医疗保健创新的法律教授Nicholson Price表示,这一宣布提醒我们,健康信息的保护往往低于美国消费者的希望。

Price说:“患者将这些登录网站视为查看特别私人信息的地方。”“因此,(对他们来说)了解那里使用的这种跟踪技术更令人惊讶。”

]]>
微软数据泄露暴露全球111个国家超6.5万实体的客户个人信息 Tue, 07 Feb 2023 10:48:06 +0800 微软表示,由于一台服务器配置不当,导致某些客户的敏感信息遭暴露。

微软在2022年9月24日获悉该泄露事件后加固了服务器安全,“配置不当可导致对微软与客户之间的某些企业交易数据的未认证访问权限。经过调查未发现客户账号或系统受陷。我们已直接告知受影响客户。”

微软表示,遭暴露的信息包括姓名、邮件地址、邮件内容、公司名称和电话号码,以及文件,而这些文件与受影响客户和微软或越权微软合作伙伴之间的业务相关联。微软指出,这次数据泄露是因“对端点的无意配置不当造成的,不过该端点并未在微软生态中使用”,而非因安全漏洞造成。

被泄数据与全球6.5万个实体有关

虽然微软并未提供与该数据泄露事件相关的其它详情,但发现这起数据泄露事件的SOCRadar 公司发布博客文章指出,该数据存储在配置不当的 Azure Blob Storage 上。

SOCRadar表示,该公司能够将这些敏感信息与111个国家超过6.5万个实体关联在一起,覆盖2017年到2022年8月。该公司指出,“2022年9月24日,SOCRadar的内置云安全模块检测到,由微软维护的一个配置不当的 Azure Blob Storage 中包含属于高级别云提供商的敏感数据。”SOCRadar 指出,分析发现被泄数据“包括执行验证和工作说明 (SoW) 文档、用户信息、产品订单/报价、项目详情、个人可识别信息数据和可能泄露智慧财产的文档”。

微软指出, SOCRader“大大夸大了问题范围”以及“数字”。微软还表示,SOCRadar 收集该数据且通过专门的搜索门户使其可搜索的做法,“并不符合确保客户隐私或安全的最佳利益,而且可能将它们暴露到不必要的风险之中”。

可搜索被泄数据的在线工具

SOCRadar 给出的数据泄露搜索门户为BlueBleed,可使企业查看自己的敏感信息是否暴露。除了查找微软配置不当的服务器中的信息外,该门户还允许用户搜索从其它公开存储桶中收集到的数据。

单是微软的服务器,SOCRadar公司就声称从中发现2.4TB的数据中包括敏感信息,其中包括33.5万份电子邮件、13.3万个项目和54.8万个被泄露的用户。

根据SOCRadar的分析,这些文件中包括客户邮件、SOW文档、产品报价、POC文档、合作伙伴的生态系统详情、发票、项目详情、客户产品价格表、POE文档、产品订单、已签名的客户文档、客户的内部评论、营销策略和客户资产文档。

SOCRadar 提醒称,“访问该存储桶的威胁行动者可利用该信息,实施勒索、通过被暴露的信息制作社工技术、或者将该信息出售给暗网和Telegram频道上出价高的竞价者。”

SOCRadar 公司的发言人并未就此事置评。

]]>
勒索攻击中断印刷系统,德国地方大报被迫暂停纸质版发行 Tue, 07 Feb 2023 10:48:06 +0800 10月18日消息,德国报纸《海尔布隆言论报》(Heilbronn Stimme)在上周五(10月14日)遭遇勒索软件攻击,印刷系统陷入瘫痪,该报被迫以电子版形式发布最新一期内容。

上周六,该报已经发布了6页“应急”版,所有计划发表的讣闻均转移至官方网站。而且整个周末期间,报社的电话和电子邮件通信始终未能恢复上线。

这份地区性出版物的发行量约为75000份,受印刷问题的影响,其官方网站已经暂时取消了付费墙模式。该报的网站月度访问量约为200万次。

报社主编Uwe Ralf Heer表示,此次攻击对整个Stimme Mediengruppe媒体集团都造成了影响,具体包括旗下的Pressedruck、Echo与RegioMail等公司。

发行量25万4千份的Echo受到网络攻击影响,连网站上的电子版访问都出现了问题。但其在线新闻门户Echo24.de仍在正常运行。

Heer指出,此次攻击出自某知名网络犯罪团伙之手。该团伙于上周五晚对其系统进行了加密,并留下勒索说明。但截至上周六下午,对方仍未给出具体的赎金数额。

 员工开始居家办公

按照报社通知,该报编辑开始在家中使用个人电脑工作,并拿到了由报社发放的新邮件地址。

该媒体集团正在与警方合作,希望尽快找到解决技术问题的方法,同时努力查明肇事元凶。

应德国内政部长Thomas Strobl的要求,巴登-符腾堡州的网络安全专家也开始协助修复工作。

通知中写道,“我们正与警方、数据保护及外部专家开展正式合作,希望尽快将运营恢复至正常水平。”

“但就目前来看,我们无法预测能否在一周之内恢复报纸交付。”

在印刷系统恢复正常之前,《海尔布隆言论报》将继续通过来自卡尔斯鲁厄的第三方印刷“应急”版报纸。

由于该媒体集团本身也是发行商,因此海尔布隆地区的《南德意志报》(Süddeutsche Zeitung)和《斯图加特报》(Stuttgarter Zeitung)等其他主要报纸(发行量达35万份)也将暂停发行,直至另行通知。

]]>
智能汽车网络威胁已降临:无钥匙偷车猖獗 欧洲破获近千万元大案 Tue, 07 Feb 2023 10:48:06 +0800 10月19日消息,欧洲执法机构本周一宣布,欧洲刑警组织刚刚捣毁了一个专门入侵汽车无钥匙解锁系统的黑客团伙,逮捕31名嫌疑人并没收超过100万美元(约人民币775万元)的犯罪资产。

欧洲刑警组织称,“该犯罪团伙专门以支持无钥匙进入及启动系统的车辆为目标,滥用该技术将汽车开走。他们使用的欺诈工具原本被作为汽车诊断解决方案销售,可用于替换车辆的原始软件,能够在未拿到车钥匙的情况下打开车门并启动点火装置。”

专家指出,针对无钥匙车辆的盗窃难度甚至比传统偷车方法更低,毕竟传统偷车贼还要学习仿配机械钥匙和对线打火的技术。而且除盗窃之外,还有其他网络威胁在对汽车虎视眈眈。2015年,已经有安全研究人员成功以远程方式令行驶在高速公路上的吉普车(Jeep)熄火。

在这个联网程度日益提升的行业中,电动汽车与自动驾驶汽车正逐渐拓展更大的商业版图。由于政府尚未做出明确要求,由此引发的安全风险在短时间内恐怕不会消退。(据估计,去年全美公路上共行驶着8400万辆联网汽车。)

网络安全公司ExtraHop服务主管Rafal Los表示,“如今的汽车正逐渐发展成带轮子的计算机,因此来自攻击方的威胁也愈发严峻。”

当然,也已经有人在采取应对措施。网络专家表示,在里程碑式的Jeep黑客事件之后,汽车行业已经着手改善车辆的网络安全水平。美国国家公路交通安全管理局在9月还更新了2016年发布的关于车辆网络安全的指南。当然,专家们也承认单凭这些还远远不够。

盗窃狂潮

由于各地执法部门向FBI提交的数据减少,全美犯罪统计数据的可靠性已经大不如前,但仍有迹象表明,近年来汽车盗窃案件有所增加。

今年7月,参议员Edward J. Markey曾给汽车制造商写信道,“自1990年代以来,允许用户无需机械钥匙即可打开车门、启动车辆的无钥匙进入系统曾经是降低车辆盗窃率的利器。但在随后的30年中,情况开始急转直下。虽然引发这种转变的确切原因尚不明确,但越来越多的证据表明,无钥匙进入系统可能正是导致情况恶化的一项因素。”

不过,行业组织汽车创新联盟对Markey的说法回应称,无钥匙系统其实增强了安全水平。该行业组织还赞扬了其他围绕无钥匙设计的安全措施,例如允许车主手动停用遥控钥匙功能。

联盟事务副总裁Garrick Francis写道,“缓解盗窃问题是一项需要持续推进的努力,而规定性要求通常是创新探索的障碍。汽车制造商在设计、评估和实施无钥匙进入系统的安全功能时,必须拥有充分的灵活性,这样汽车行业才能快速响应种种可能影响车主的新问题。”

尽管如此,研究人员已经用实例反复证明了,自己成功入侵车辆、开启发动机的能力,近几个月来特斯拉、本田汽车均已相继沦陷。

CanBusHack公司总裁兼Def Con安全大会Car Hacking Village创始人Robert Leale表示,“有些汽车公司的安全措施简直可笑。只要想办法入侵了一辆车,往往就能入侵同品牌旗下的所有车型。”

直接熄火

远程熄火引发的危险后果无疑更加令人心惊。虽然发生频率相对较低,或者单纯发生在实验环境下,但却直接关乎使用者的生命安全:

一名心怀不满的前得克萨斯汽车中心雇员,据称曾在2010年利用收回软件远程禁用了100多名司机的车辆。

在2015年的黑客攻击中,研究人员成功切断了Jeep汽车的变速箱和刹车,开启收音机并打开了前雨刷器。此次事件也让克莱斯勒公司首次、也是唯一一次以网络安全为由召回了140万辆汽车。同一批研究人员还在召回之后再次尝试黑客攻击,旨在进一步做出漏洞验证。

前白宫网络官员Richard Clarke表示,2013年记者Michael Hastings的死亡“很可能与汽车网络攻击有关”,但验尸官的报告和Hastings家人的证词排除了这种可能性。

行动了,但没完全行动

虽然联合国和欧洲已经着力推进关于车辆的网络安全规则,但美国在这方面却一直表现得比较迟钝。去年,两党基础设施法案确实引入了一项要求联邦公路管理局设立网络安全协调员的规定。白宫方面本月还启动一项为安全“物联网”设备添加标签的倡议,但先期主要针对路由器和摄像头。

Leale称,目前汽车制造商还没有充分的经济动力,去主动实施防盗措施。

“他们通常不想增加成本,并且盗窃对汽车厂商其实没什么影响。此类事件影响到的更多是用户和保险公司。”

草根数字安全倡议I Am the Cavalry创始人Joshua Corman表示,他们曾经在2014年推出过汽车网络安全的“五星级”计划,其中一些已经得到业界接纳,例如为上报bug的研究人员提供激励措施。

网络安全厂商Claroty的网络和物理安全副总裁Corman表示,“当我们发布这项「五星级」计划时,还没有任何一家汽车厂商能够满足全部五点要求。而且时至今日,仍然没有哪家厂商能够满足全部五点要求。所以现在的问题是,我们能是否能拿出充分的政治意愿,采取足够积极的行动来适应这种威胁形势?”

]]>
韩国数据中心发生火灾导致大面积断网 Kakao回应 Tue, 07 Feb 2023 10:48:06 +0800 10 月 17 日消息,据路透社报道,韩国占主导地位的聊天应用运营商 Kakao Corp 周一表示,预计大范围的服务中断对 Kakao 及其主要部门的财务影响有限。

上周六,韩国首尔南部郊区的 SK 公司 C&C 板桥数据中心数据中心发生火灾,火灾导致停电,造成约 3.2 万个服务器瘫痪。

IT之家获悉,服务中断导致该国一些最常用的应用程序和网站宕机,包括 Kakao 以及该公司的在线支付、游戏和音乐流媒体服务。

这些故障突出了韩国对 Kakao 消息的依赖程度,Kakao 消息是许多政府和商业服务的默认通信方式。

韩国政府要求,应采取措施防止此类事件再次发生,包括确保数据得到备份和事故得到迅速报告。

Kakao 公司在 8 月的一份报告中说,Kakao 消息应用 Kakao Talk 在韩国有超过 4700 万活跃用户,在全球有 5300 万用户。

另一家韩国互联网企业 NAVER 也使用同一数据中心,却在几小时内恢复服务。这是因为 NAVER 还在春川等其他数据中心分散储存数据,即使一处出现问题,也能通过其他数据中心恢复正常运营。

]]>
韩国多个网络平台瘫痪:尹锡悦道歉 要求相关部门查明事故原因 Tue, 07 Feb 2023 10:48:06 +0800 韩国SK公司C&C板桥数据中心15日发生火灾,导致包括韩国“国民聊天工具”Kakao Talk在内的多个网络平台服务中断。16日,韩国总统尹锡悦为此向公众表示歉意,并要求相关部门查明事故原因,制定事故预防对策避免此类事故再次发生。

发生火灾的SK公司C&C板桥数据中心有Kakao、NAVER、SK电信等企业入驻。韩联社报道称,15日下午3时19分左右,该数据中心发生火灾,3时22分服务电源被切断。韩国警方和消防部门16日表示,初步研判火灾是电气因素导致电气设备室电池周围起火所致。调查发现,安装在地下三层电气设备室的5个电池机架全部被烧毁。火灾并未造成人员伤亡,但通信软件Kakao Talk、门户网站Daum等大部分Kakao服务和NAVER的部分服务瘫痪。

《环球时报》驻韩国特派记者15日曾使用Kakao Talk与朋友联系,从下午3时13分后便未接收到对方的回复信息。16日上午10时许,记者在Kakao Talk上收到前一天朋友回复的信息,但电脑版客户端依然不能正常使用。16日下午5时左右,记者的电脑版Kakao Talk才能正常登录。

韩国《国民日报》16日报道称,16日下午2时,Kakao Talk的文字信息发送和接收功能才完全恢复正常,但照片和视频的发送功能仍在修复。Kakao公司表示,无法确定彻底恢复服务的时间。Kakao公司代表南宫勋称,整个数据中心受到影响是非常罕见的情况,采取相关措施需要比预期更长的时间。不过Kakao方面表示,此次事故导致数据损失的可能性为零。

《韩国时报》报道称,对韩国国内外数以千万计的Kakao用户来说,这是一场混乱,他们的日常生活在周末全乱套了。他们在很大程度上依赖该公司的在线服务,这些服务在过去10年变得越来越受欢迎。

报道称,纵观整个韩国IT业界,很难找到发生10小时左右服务故障的事例。因此,有人批评Kakao的灾难恢复系统不健全。SK公司C&C板桥数据中心是Kakao主要的数据中心,15日的火灾导致停电,造成约3.2万个服务器瘫痪。另一家韩国互联网企业NAVER也使用同一数据中心,却在几小时内恢复了服务。这是因为NAVER还在春川等其他数据中心分散储存数据,即使一处出现问题,也能通过其他数据中心恢复正常运营。

由于Kakao Talk是韩国人主要使用的即时通信软件,这一事故引起韩国总统尹锡悦和政府相关部门的重视。尹锡悦称,相关部门不仅要准确掌握事故原因,还要制定包括设置双数据中心在内的事故预防方案和事故发生时的应对策略。韩联社报道称,尹锡悦15日就要求科学技术信息通信部长官李宗昊迅速处置这一事故。李宗昊表示,作为主管相关事务的官员深感责任重大,对给国民带来巨大不便表示歉意。李宗昊还承诺,政府将完善通信服务相关设施的检查和管理体系,积极研讨所需的制度和技术对策,以防类似情况重演。

韩总统办公室一名高级官员接受媒体采访时表示,有必要调查Kakao等企业是否在国民遭受不便时采取放任态度。另据韩国纽西斯通讯社报道,就此事件,Kakao创始人金范洙将于24日作为国会科学技术信息广播通信委员会国政监察证人被传唤。而导致服务瘫痪的SK公司C&C板桥数据中心的代表预计也将接到传票。

]]>
《安联智库-网安周报》2022-10-17 Tue, 07 Feb 2023 10:48:06 +0800

1、“三哥”,核酸信息泄露该管管了!

印度屡屡贡献信息泄露的神操作,新冠疫情蔓延至印度后,使其成为了主要的“毒窝”,培育出诸如德尔塔等众多变异毒株。面对疫情,印度政府不仅没有采取科学防疫措施,其新冠检测数据更是频频泄露,甚至处于放任自流的状态。
800 万份检测报告数据在暗网出售
2021 年 3 月,安全研究人员 Sourajeet Majumder 称其发现某印度政府网站泄露数百万民众核酸检测结果。随着信息泄漏事件持续发酵,印度政府承认了数据泄露事件,并表示泄露的核酸检测报告大约有 800 万份。
经安全专家分析研究,发现引起核酸数据泄露的原因是政府网站存在问题,从而导致核酸检测结果泄露。(泄露信息中含有姓名、年龄、婚姻状况、检测时间、居住地址等敏感个人信息)。
数百万份检测结果暴露,涉事机构置若罔闻
知名安全研究员 Anurag Sen 发现印度某家医疗软件供应商的 Elasticsearch 服务器暴露在互联网上。这种情况立刻引起了 Anurag 的重视,随机对服务器进行详细分析,发现服务器暴露了23 GB 的 COVID 抗原检测结果。这些数据信息及其详尽,不仅包括个人记录,还有往来印度人士的医疗记录,其中身份信息主要是姓名、国籍、出生日期、完整地址、电话号码、投票 ID 编号、COVID 测试结果、Aadhaar 医保编号、护照编号、基础疾病情况疫苗详细情况等,涉及受害人数超过 170 万。
目前该服务器仍然保持公开,任何人员无需任何安全身份验证或密码即可直接访问,是否有黑客已经盯上并利用了这些数据仍不得而知,但可以确定的是,一旦网络犯罪分子掌握这些信息,170 万民众以及服务器所有方都将面临严重网络安全威胁。
2、西门子 PLC 中的关键漏洞可能让攻击者窃取加密密钥

西门子Simatic可编程逻辑控制器(PLC)中的漏洞可以被用来检索硬编码的全局私有加密密钥,并获取对设备的控制权。

“黑客可能会利用这些机密信息,以无法修复的方式破坏整个SIMATIC S7-1200/1500产品线。”该关键漏洞被追踪为CVE-2022-38465,在CVSS评分为9.3。

受影响的产品和版本列表如下:

SIMATIC 驱动控制器系列(2.9.2之前的所有版本)

SIMATIC ET 200SP 开放式控制器 CPU 1515SP PC2,包括 SIPLUS 变体(21.9 之前的所有版本)

SIMATIC ET 200SP 开放式控制器 CPU 1515SP PC, 包括 SIPLUS 变体(所有版本)

SIMATIC S7-1200 CPU 系列, 包括 SIPLUS 变体(4.5.0 之前的所有版本)

SIMATIC S7-1500 CPU 系列, 包括相关的 ET200 CPUs 和 SIPLUS 变体(V2.9.2 之前的所有版本)

SIMATIC S7-1500 软件控制器(21.9 之前的所有版本)

SIMATIC S7-PLCSIM 高级版(4.0 之前的所有版本)

Claroty表示,它能够通过利用西门子PLC中之前披露的漏洞(CVE-2020-15782)来获得对控制器的读写权限,从而恢复私钥。这样做不仅可以让攻击者绕过访问控制并覆盖本机代码,还可以完全控制每个受影响的西门子产品线的PLC。

3、违规处理政务类数据,某科技公司违反《数据安全法》被行政处罚

近期,上海网信办发现,某科技公司在处理政务类数据时违规操作,且未采取相应的技术措施和其他必要措施保障数据安全,导致数据存在泄露风险。上海网信办依据《中华人民共和国数据安全法》对该公司责令改正,给予警告,并处以人民币五万元罚款的行政处罚。

上海网信办相关负责人表示,数据安全关乎人民群众切身利益,关乎国家安全和社会稳定,上海网信办将针对数据安全保护义务履行不力,造成重要数据泄露风险的违法违规行为加强监督检查和执法,进一步营造安全稳定的网络环境。

法律·链接

《中华人民共和国数据安全法》第二十七条:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。

重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。

《中华人民共和国数据安全法》第四十五条规定:开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

4、宇宙级杀猪盘:“俄宇航员”称要回地球 骗日本老人21万

相较于盗号假扮熟人,诈骗个电话费、生活费什么的低级诈骗方式,“杀猪盘”的诈骗危害要更大,不仅诈骗金钱,还会欺骗感情,最终受害者落个人财两空。只不过,现如今的杀猪盘,诈骗分子的脑洞也是越来越大,就连“宇航员回地球”这样的离谱背景,也能编排出来。

近日,据报道,日本滋贺县一名六旬妇女6月在网上认识了一名自称“俄罗斯宇航员”的男子,两人在聊天中逐渐产生了恋爱的感觉。

“俄罗斯宇航员”进行糖衣炮弹轰炸时,顺势要求被害人提供“返回地球的火箭和着陆费用”,并承诺“回到地球就结婚”。

被害人在8月至9月期间陆续汇款5次,总金额大约440万日元(约合人民币21.5万元),随后才意识到被骗。

警方认为这是一场“国际杀猪盘”,目前正展开详细调查,并敦促市民谨慎交友。

]]>
韩国老人质疑谷歌地图侵犯私生活:“我家客厅在地图上被360度展示” Tue, 07 Feb 2023 10:48:06 +0800 据韩联社15报道,一名80岁的韩国老人近日在谷歌地图的“街景视图”上偶然发现,自家客厅正在被360度全方位展示。当事人表示,自己并未在网上上传过相关照片,因此质疑自家电脑可能被黑客入侵,谷歌地图图像上传系统也存在侵犯个人隐私等问题。而谷歌方面此后虽删除了相关照片,但并未向当事人做出任何道歉和说明。韩联社称,相关照片是如何上传至谷歌地图的,至今仍是个谜。报道一出,立即引发了韩国网民的关注和讨论。

近日,一位韩国的谷歌地图用户在使用该应用时,发现自家客厅360度的全景照片正在被公开展示。图源:韩联社

据报道,家住首尔市恩平区的一位80岁老人近日学会在电脑上使用谷歌地图的“街景视图”功能,以此来欣赏户外街景,消磨时间。然而,老人在本月9日使用该应用查看自家公寓街景时吓了一跳。在他点击所住公寓具体楼栋查看照片时,竟发现自家客厅360度的全景照片正在被公开展示。照片中,家中客厅、厨房、地板、天花板的模样都被一览无余。

老人向韩联社表示,点开图中原点区域,就能通过谷歌地图的“街景视图”功能看到自家客厅的全景照片。 

报道称,这张室内全景照片在谷歌系统中显示是在2019年11月由用户本人上传的。对此,老人表示,根据照片中家里客厅的样子,可以推断拍摄时间大概是在2013年左右。当时,为了防止家中的小孙子摔倒受伤,客厅地面铺设了很多海绵地板软垫。但老人还称,自己最近才学会使用谷歌地图“街景视图”功能,此前根本不知如何拍摄全景照片,更别提亲自上传了。同时,老人的家人们也同样表示,没有拍摄并上传过相关照片。因此,老人质疑家中电脑可能被黑客入侵,谷歌地图的图像上传系统也存在侵犯个人隐私等问题。于是,老人于本月11日向谷歌发送了邮件,要求删除相关照片。

据报道,12日,谷歌方面删除了相关照片,但并未就此事向老人做出任何道歉或说明。老人向韩联社记者表示,谷歌这样的做法非常不负责任,一想到有人看着自己的私生活,就感到非常的不安和不快。在这之前,老人也曾给谷歌方面打过电话,但没有人接听,因为联系不上,就连要求删除照片都很困难。

事后,谷歌方面向韩联社表示,“经确认,我方判断相关图像是由用户提供的”,“谷歌重视保护用户个人信息,不会在谷歌地图‘街景视图’中收集个人住宅内部图像。同时,谷歌地图的用户同样也适用于相关条款,一经发现违规行为,将会删除相关图片,并封号处理 ”。至于老人住宅客厅的全景照片是如何上传到谷歌地图上的,韩联社称这至今仍是个谜。

该报道一出,立即引发了韩国网民的关注和讨论。有人认为这是老人忘记自己上传过相关照片而引发的“乌龙”事件,但也有很多人同样对谷歌方面提出了“侵犯隐私”的相关质疑。

一位网民在报道下质疑老人的说法:“是本人忘记自己上传过相关照片了吧”↓

但另一位网民针对谷歌指责道:“谷歌和脸书都是偷个人信息的‘小偷’。”↓

还有网民随声附和道:“以后看来在使用谷歌时,要小心勾选用户同意条款了。”↓

更有韩国网民表示:“哎…谷歌好像随时监听人们的私生活和私下的对话。手机虽然为人们带来便利,但同时个人信息却被不断泄露。”↓

]]>
西门子 PLC 中的关键漏洞可能让攻击者窃取加密密钥 Tue, 07 Feb 2023 10:48:06 +0800 西门子Simatic可编程逻辑控制器(PLC)中的漏洞可以被用来检索硬编码的全局私有加密密钥,并获取对设备的控制权。

工业网络安全公司Claroty在一份新报告中表示:“攻击者可以使用这些密钥对西门子SIMATIC设备和相关的TIA Portal进行多次高级攻击,同时绕过其所有四个访问级别保护。”

“黑客可能会利用这些机密信息,以无法修复的方式破坏整个SIMATIC S7-1200/1500产品线。”

该关键漏洞被追踪为CVE-2022-38465,在CVSS评分为9.3,西门子已在2022年10月11日发布的安全更新中对其进行了处理。

受影响的产品和版本列表如下:

SIMATIC 驱动控制器系列(2.9.2之前的所有版本)

SIMATIC ET 200SP 开放式控制器 CPU 1515SP PC2,包括 SIPLUS 变体(21.9 之前的所有版本)

SIMATIC ET 200SP 开放式控制器 CPU 1515SP PC, 包括 SIPLUS 变体(所有版本)

SIMATIC S7-1200 CPU 系列, 包括 SIPLUS 变体(4.5.0 之前的所有版本)

SIMATIC S7-1500 CPU 系列, 包括相关的 ET200 CPUs 和 SIPLUS 变体(V2.9.2 之前的所有版本)

SIMATIC S7-1500 软件控制器(21.9 之前的所有版本)

SIMATIC S7-PLCSIM 高级版(4.0 之前的所有版本)

Claroty表示,它能够通过利用西门子PLC中之前披露的漏洞(CVE-2020-15782)来获得对控制器的读写权限,从而恢复私钥。

这样做不仅可以让攻击者绕过访问控制并覆盖本机代码,还可以完全控制每个受影响的西门子产品线的PLC。

CVE-2022-38465反映了去年在罗克韦尔自动化PLC(CVE-2021-22681)中发现的另一个严重漏洞,该漏洞可能使对手能够远程连接到控制器,并上传恶意代码,从PLC下载信息或安装新固件。

Claroty在2021年2月指出:“该漏洞在于Studio 5000 Logix Designer软件可能允许发现秘密加密密钥。”

西门子建议客户仅在受信任的网络环境中使用传统PG/PC和HMI通信,并安全访问TIA Portal和CPU,以防止未经授权的连接。

这家德国工业制造公司还采取措施,使用TIA Portal版本17中的传输层安全性(TLS)对工程站、PLC和HMI面板之间的通信进行加密,同时警告“黑客滥用全球私钥的可能性越来越大。”

这些是在工业网络中使用的软件中发现的一系列重大漏洞中的最新发现。今年6月初,Claroty详细介绍了西门子SINEC网络管理系统(NMS)中的十几个漏洞,这些漏洞可能会被滥用以获得远程代码执行功能。

然后在2022年4月,该公司在罗克韦尔自动化PLC中发现了两个漏洞(CVE-2022-1159和CVE-2022-1161),这些漏洞可能被利用来修改用户程序并将恶意代码下载到控制器。

]]>
“三哥”,核酸信息泄露该管管了! Tue, 07 Feb 2023 10:48:06 +0800 新冠病毒肆虐近三年时间,仍没有想要“放过”人类的迹象,疫情不仅影响全球经济发展,社会正常运转,甚至成为网络攻击、勒索软件快速增长的温床,”滋养“了一系列网络安全问题。

令人吃惊的是,新冠检测信息这种高敏感数据躲过了黑客攻击,却因人为原因大规模泄露。实时筛出携带新冠病毒个体,可以有效阻隔疫情传播,但检测时需要收集大量民众个人信息,存储、监管如此数量级的数据会存在很大安全风险,更不用说,网络犯罪分子早就盯上了核酸相关信息这块香饽饽。

本文盘点一些典型新冠核酸检测信息泄露事件 ,我们一起看看其中的“神操作”。

印度屡屡贡献信息泄露的神操作

新冠疫情蔓延至印度后,使其成为了主要的“毒窝”,培育出诸如德尔塔等众多变异毒株。面对疫情,印度政府不仅没有采取科学防疫措施,其新冠检测数据更是频频泄露,甚至处于放任自流的状态。

800 万份检测报告数据在暗网出售

2021 年 3 月,安全研究人员 Sourajeet Majumder 称其发现某印度政府网站泄露数百万民众核酸检测结果。随着信息泄漏事件持续发酵,印度政府承认了数据泄露事件,并表示泄露的核酸检测报告大约有 800 万份。

经安全专家分析研究,发现引起核酸数据泄露的原因是政府网站存在问题,从而导致核酸检测结果泄露。(泄露信息中含有姓名、年龄、婚姻状况、检测时间、居住地址等敏感个人信息)。

此次事件并非印度核酸检测结果首次泄露,此前多个新冠病毒实验室采用了存在安全漏洞的二维码,攻击者可以通过枚举测试结果 URL 的方式来窃取病人核酸检测结果。

系统出现安全漏洞,引发数据泄漏,并不只发生在印度,但接下来提到的数据泄漏事件,只有“大英帝国的正统继承人”,“厕所运动发起者”、“肠胃道战士”,没错,正是”印度三哥才能够干出来。

数百万份检测结果暴露,涉事机构置若罔闻

机缘巧合之下,知名安全研究员 Anurag Sen 发现印度某家医疗软件供应商的 Elasticsearch 服务器暴露在互联网上。

这种情况立刻引起了 Anurag 的重视,随机对服务器进行详细分析,发现服务器暴露了23 GB 的 COVID 抗原检测结果。这些数据信息及其详尽,不仅包括个人记录,还有往来印度人士的医疗记录,其中身份信息主要是姓名、国籍、出生日期、完整地址、电话号码、投票 ID 编号、COVID 测试结果、Aadhaar 医保编号、护照编号、基础疾病情况疫苗详细情况等,涉及受害人数超过 170 万。

值得注意的是,其中还涉及一些美国、加拿大和印度公民。

Anurag 意识到事情的严重性,立刻联系服务器运营公司。令人迷惑的是,本该迅速修补漏洞的医疗软件提供商,一个多星期后也迟迟未做任何回应。

目前该服务器仍然保持公开,任何人员无需任何安全身份验证或密码即可直接访问,是否有黑客已经盯上并利用了这些数据仍不得而知,但可以确定的是,一旦网络犯罪分子掌握这些信息,170 万民众以及服务器所有方都将面临严重网络安全威胁。

印度作为互联网世界永远的神,连”牛尿新冠特效药“都能发明出来,无论发生什么稀奇古怪的事情也不会引起疑惑,但离谱到相关单位已经收到了安全威胁预警,依旧选择置若罔闻,将大量敏感数据信息”赤裸裸“暴露给网络犯罪分子,完全展现其对民众数据信息安全性的蔑视。

现阶段,随着万物互联紧密度逐渐加深,势必会产生海量数据信息,很难做到”绝对“安全,发生数据泄露也在所难免,但一定要有态度。若相关机构发现数据泄露风险,置之不理,实难逃脱责任。

“严谨的”的德日同样逃不过数据泄漏

“喝清澈恒河水,吃干净印度饼“,三哥作为中文互联网群嘲老玩家,名场面实在太多,但下面”青岛下水道”、“马桶水干净可饮”等故事背后主人公出现数据泄露,就很难理解了。

媒体披露,德国柏林数个新冠病毒检测站点的数据运营商因使用不安全的软件解决方案,致使数十万人的数据信息泄露。

从调查结果来看,大约 20 万至 40 万人的数据受到影响,民众的核酸检测结果、姓名、电话、住址和电子邮箱等信息遭到泄露,部分人的身份证和护照信息也遭泄露。

相比较德国,日本数据泄漏带来的影响相对较低。

埼玉县政府官网上刊登了一份所有人可见的文件,记载了 191 名新冠患者的姓名、住址等信息,直到 5 个多小时后,经外部人员指出才被删除。在这段时间内,该文件被阅览了115次。

据悉,这件事情的根源是埼玉县政府在公布上个月某天新增确诊病例信息时,出现了失误。一名政府雇员在修改时误将当日确诊名单上传至官网。通常情况下,上传官网的名单要经过处理,隐去患者的姓名,但由于该雇员糊涂地将处理前后两种文件放在同一个文件夹,并误选了原始的名单。

核酸信息数据泄漏带来那些危害?

毋庸置疑,民众核酸数据信息十分重要,核酸信息几乎包含了民众所有基础个人信息,一旦落入不法分子手中将会带来很大安全隐患,给生活带来极其其恶劣的影响。以下整理了几种常见数据泄露引发的安全问题。

1. 垃圾短信、骚扰电话、垃圾邮件源源不断:个人信息泄露后,民众电子邮箱每天会收到大量垃圾邮件外,此外还会接到陌生人打来的推销电话;

2. 诈骗电话持续轰炸:核酸信息中包含了很多民众基础信息,诈骗分子得到这些信息后,就会集中精力,相互配合,编造各种谎言,实施诈骗活动。

3. 冒充公检法要求受害者转账:一些胆大妄为的网络犯罪分子甚至会冒充公安局、检察院等权力部门,详细说出受害者个人信息,并绘声绘色地描述近期诈骗案件,之后假意提醒银行账户存在安全风险,需要转入一个安全转账中,这时候迷迷糊糊的受害人就可能上当了。

4. 案件事故:最糟糕的是,不法分子可能利用受害者个人信息,进行违法犯罪活动,受害者可能不明不白被警察传唤或被法院传票通知出庭。

随着大数据技术不断发展,再加上疫情对工作模式的改变,个人信息泄露事件层出不穷,愈演愈烈。民众信息一旦泄漏,带来的危害往往难以估量,轻则受到垃圾邮件、广告短信的长期骚扰,严重的会造成巨大经济损失。

核酸信息泄露亟待解决

核酸信息泄露,归根结底还是民众个人信息泄露,为何这些年信息泄露屡禁不止?小编认为还是处罚力度的问题,因此必须要完善顶层制度建设,加大对泄露和滥用个人信息的处罚力度,让网络犯罪分子付出沉重代价。

当前,全球多个国家已经纷纷颁布数据保护的相关法律法规,旨在对信息安全与隐私保护相关事项进行规范与引导。例如中国颁布的《网络安全法》和《个人信息保护法》、GB/T 35273个人信息保护条例,欧盟 GDPR 通用数据保护条例,美国加州 CCPA 隐私保护条例,美国内华达州 SB220 数据隐私法,英国DPA2018 数据保护法等。此外,为了应对越来越多信息泄露及信息滥用的现状,国际标准化组织 ISO 也在信息安全、隐私安全、云安全等相关领域发布了诸多国际标准。

各个国家的法律法规明确了政府机关对数据信息的保护义务,是保护数据安全硬性要求,对数据所有者、数据处理者、数据监管者起到了很大的震慑作用,但真正能够最大程度地减缓数据泄漏还是需要加强数据安全意识培训。网络安全意识教育能够全面提升社会民众的安全意识与安全防护能力,从而侧面地推动企业机构重视数据保护,从根本上杜绝数据泄露。

写在最后

新冠检测有助于更好地筛选出阳性病人,从而阻断疫情传播,但存在的信息安全隐患同样不可忽视。核酸信息往往会包含民众姓名、电话号码、工作和家庭地址以及身份证号码基础信息。一旦核酸信息泄露,民众就几乎“裸奔了”,给其工作生活增加许多障碍。

核酸信息这种高敏感信息尚且会泄露,其它信息数据就更难保证安全性,数据信息保护已经来到不得不做的时刻,各国政府应更加细化法律法规,规范信息收集、存储、使用各个环节,对造成个人信息泄露的单位负责人或相关人员,依法进行严肃处理,以儆效尤。

]]>
违规处理政务类数据,某科技公司违反《数据安全法》被行政处罚 Tue, 07 Feb 2023 10:48:06 +0800 近期,上海网信办发现,某科技公司在处理政务类数据时违规操作,且未采取相应的技术措施和其他必要措施保障数据安全,导致数据存在泄露风险。上海网信办依据《中华人民共和国数据安全法》对该公司责令改正,给予警告,并处以人民币五万元罚款的行政处罚。

上海网信办相关负责人表示,数据安全关乎人民群众切身利益,关乎国家安全和社会稳定,上海网信办将针对数据安全保护义务履行不力,造成重要数据泄露风险的违法违规行为加强监督检查和执法,进一步营造安全稳定的网络环境。

法律·链接

《中华人民共和国数据安全法》第二十七条:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。

重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。

《中华人民共和国数据安全法》第四十五条规定:开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

]]>
键盘残余热量可能泄露密码,20秒内拍下键盘热像图,密码泄露86% Tue, 07 Feb 2023 10:48:06 +0800 如果攻击者可以从用户在键盘上留下的热量猜出密码怎么办?英国格拉斯哥大学计算科学学院的计算机安全研究人员成功地部署了这种实验。

副教授穆罕默德·哈米斯(Mohamed Khamis)领导的一个团队开发了ThermoSecure系统,该系统使用红外热像仪来猜测和识别用户最后触摸的键位,然后利用人工智能分析热像图,热像图中越亮的键位,表明它被触摸的时间距离现在越短。这一研究论文发布在即将出版的《ACM隐私与安全交易》杂志中。

研究人员使用该系统可猜测计算机键盘、智能手机屏幕、ATM键盘上的密码和PIN。研究结果非常惊人,在20秒内拍摄热像图时,密码的还原率为86%;30秒内拍摄,密码的还原率为76%;60秒内拍摄,密码还原率为62%。

使用ThermoSecure系统,研究人员可以破解多达16个字符的三分之二的密码。较短的密码更容易被破解:12个字符的密码在82%的时间内被猜到,八个字符的密码被破解的概率是935。六个字符或更少字符的密码被破解的概率是100%。

虽然该系统仅用于研究,但此演示是一个明确的警告,即短密码和PIN(例如我们用于在ATM上访问银行帐户的密码和PIN)特别容易受到攻击。

更重要的是,像哈米斯团队使用的工具越来越容易获得。他表示,“使用红外热像仪比以往任何时候都更实惠,它们的价格不到200英镑(220美元),机器学习也变得越来越容易获得。这使得世界各地的人们很可能正在沿着与ThermoSecure类似的路线开发系统,以便窃取密码。”

]]>
广州网警侦办多起黑客违法犯罪案件 Tue, 07 Feb 2023 10:48:06 +0800 根据“净网2022”专项行动工作部署,广东网安部门严厉打击黑客类违法犯罪行为。

今年以来,共破获黑客类案件142起,抓获涉案嫌疑人424名,依法刑事拘留343人,有力打击了相关违法犯罪活动。以下为重大典型案例:

● 破坏信息系统,严重扰乱民生秩序

广州网安部门破获安某等人提供入侵、非法控制计算机信息系统程序、工具案,抓获犯罪嫌疑人15名,捣毁犯罪团伙生产窝点2个,扣押涉案物品一大批。

该案嫌疑人生产的遥控设备可通过截获复制、扫描破解车辆道闸系统开启信号等方式,对车辆道闸系统进行非法控制,达到逃费目的。

该案嫌疑人还发展代理商,在网络平台售卖设备。

● 非法篡改数据,破坏网络安全秩序

广州网安部门破获某团伙篡改数据代打车案。

该犯罪团伙通过篡改网络数据包,修改打车目的地坐标和订单号,修改打车实际金额,从而绕过平台的预支付款机制。

下游中介进而实施“代叫车”,打车结束后,以正常打车价的3到5折向乘客收取费用,并弃用打车账号(即逃单),涉案金额百万元。

近日,广州公安机关开展收网行动,一举抓获嫌疑人19名。

● 搭建虚假网站、植入木马病毒牟利

广州网安部门侦破林某某等人涉嫌非法获取计算机信息系统数据案。

该团伙成员通过发布广告吸引需要兑换泰达币(一种虚拟货币)的受害人登录虚假第三方支付网站,再以开通充值商户需要绑定IP等为由,在受害人电脑植入木马病毒,从而获取电脑中的键盘记录、密码、虚拟货币公钥、私钥、助记词等信息,达到窃取受害人泰达币,并利用境外博彩诈骗资金跑分套现的目的。

近日,广东广州公安机关开展收网行动,一举抓获并刑拘嫌疑人59名,串并全国涉该团伙的电信诈骗案件800余宗。

]]>
快一年了,VMware这一高危漏洞仍未解决 Tue, 07 Feb 2023 10:48:06 +0800 据Bleeping Computer消息,VMware于10月11日通知客户,vCenter Server 8.0(最新版本)仍在等待补丁来解决 2021 年 11 月披露的高严重性特权提升漏洞。

该安全漏洞 CVE-2021-22048 由 CrowdStrike 的 Yaron Zinar 和 Sagi Sheinfeld 在 vCenter Server 的 IWA(集成 Windows 身份验证)机制中发现,影响范围涉及到了 VMware 的 Cloud Foundation 混合云平台部署,具有非管理访问权限的攻击者可以利用漏洞,在未打补丁的服务器上将权限提升到更高权限组。

VMware 表示,只有使用与目标服务器相邻的向量网络的攻击者才能利用此漏洞作为高复杂性攻击的一部分,该攻击需要低权限且无需用户交互(但是NIST NVD 的 CVE-2021-22048 条目表示它可以远程利用低复杂性攻击)。

尽管如此,VMware 仍将该漏洞的严重性评估为“重要”, 这意味着通过用户协助或经过验证的攻击者能利用漏洞泄露用户数据。

公司曾在 2022 年 7 月发布安全更新,但仅解决了当时运行最新可用版本(vCenter Server 7.0 Update 3f)的服务器漏洞,即便如此,该补丁也在发布 11 天后被撤回,因为它没有修复漏洞并导致 Secure打补丁时令牌服务 (vmware-stsd) 崩溃。

补丁发布之前的解决方法

尽管所有受影响产品都还在苦苦等待补丁的到来,但 VMware 提供了一种解决方法,允许管理员删除攻击媒介。

为了阻止攻击尝试,VMware 建议管理员从受影响的集成 Windows 身份验证 (IWA) 切换到 Active Directory over LDAPs 身份验证或 AD FS 身份提供程序联合身份验证(仅限 vSphere 7.0)。

]]>
英特尔确认Alder Lake BIOS源代码已泄露 Tue, 07 Feb 2023 10:48:06 +0800 据Bleeping Computer 10月9日消息,英特尔已向知名硬件网站Tom's Hardware确认了其第十二代酷睿处理器Alder Lake 的UEFI BIOS 源代码已经泄露。

英特尔表示:“我们的专有 UEFI 代码似乎已被第三方泄露,但我们认为这不会暴露任何新的安全漏洞,因为我们不依赖混淆信息作为安全措施。此代码包含在我们的漏洞赏金计划“Project Circuit Breaker活动中,我们鼓励任何可能发现潜在漏洞的研究人员通过该计划与我们取得联系。我们正在与客户和安全研究社区联络,让他们了解事件情况。”

10月7日,名为“freak”的 Twitter 用户发布了据称是英特尔 Alder Lake 的 UEFI 固件源代码的链接,并声称该固件是由 4chan 提供。该链接指向名为“ICE_TEA_BIOS”的 GitHub 存储库,该存储库由名为“LCCFCASD”的用户上传。其描述称“来自 C970 项目的 BIOS 代码”,总大小 5.97 GB,包括源代码、私钥、日志和编译工具,最新的时间戳显示是 2022 年 9 月 30 日,可能是黑客或内部人员复制了数据。

BleepingComputer 被告知,所有源代码都是由 UEFI 系统固件开发公司 Insyde Software Corp 开发。但泄露的源代码还包含大量关于联想公司的引用内容,包括联想字符串服务、联想安全套件和联想云服务集成代码。

目前尚不清楚源代码是在网络攻击期间被盗还是被内部人员泄露。

尽管英特尔淡化了源代码泄漏的安全风险,但安全研究人员警告称,这些内容可以更容易地发现代码中的漏洞。硬件安全公司Hardened Vault认为,即使被泄露的OEM只部分用于生产中,攻击者及漏洞猎手也能从中找出破绽,比如Insyde解决方案漏洞,并能轻松进行逆向工程,这将长期增加用户的使用风险。

Positive Technologies 硬件研究员 Mark Ermolov 也警告称,泄露的内容包括一个用于保护英特尔 Boot Guard 平台的私有密钥KeyManifest,如果该私钥用于实际生产,攻击者可能会利用它来修改英特尔固件中的启动策略并绕过硬件安全性。

BleepingComputer 已联系英特尔、Insyde 和联想,询问有关泄漏以及私钥是否在生产中使用的相关问题。

]]>
宜家智能照明系统发现漏洞,可能导致灯泡闪烁恢复出厂设置 Tue, 07 Feb 2023 10:48:06 +0800 据The Record报道,研究人员在宜家的智能照明系统中发现了两个漏洞,允许攻击者控制该系统并使灯泡快速闪烁,还可能导致恢复出厂设置。

两个漏洞影响了宜家的E1526型Trådfri网关1.17.44及之前版本。该产品的价格约为80美元,通常用于照亮书架和梳妆台。

Synopsys网络安全研究中心的Kari Hulkko和Tuomo Untinen表示,他们在2021年6月就将这两个漏洞(CVE-2022-39064和CVE-2022-39065)告知宜家。CVE-2022-39064的CVSS评分为7.1,其核心是Zigbee协议,一种用于无线电、医疗设备和家庭自动化工具等低功率、低数据率设备的无线网络类型。

该漏洞允许攻击者通过该协议发送一个恶意帧,使宜家的TRÅDFRI灯泡闪烁。如果攻击者多次重发该恶意信息,灯泡就会执行出厂重置。

2021年10月底,宜家回应称,正在制作一个漏洞修复程序。该公司在2022年2月16日公布了CVE-2022-39065的修复方案,并在6月公布了CVE-2022-39064的部分补救措施。

宜家的一位发言人向媒体表示,自披露以来,该公司已与Synopsys合作,以改善其智能设备的安全和功能。该发言人表示,由于Zigbee协议的设计,所发现的问题并没有危及客户安全,攻击者不能获得TRÅDFRI网关或智能设备内的敏感信息。

Hulkko和Untinen说,虽然CVE-2022-39065已经在所有1.19.26或更高版本的软件中得到解决,但CVE-2022-39064还没有得到完全处理。“V-2.3.091版本修复了一些畸形帧的问题,但不是所有已知的畸形帧,”他们说,并分享了该漏洞的一个视频。宜家没有回应关于何时发布完整补丁的评论请求。

物联网安全公司Viakoo首席执行官Bud Broomhead解释说,像这样的漏洞的危险性在于它可以导致出厂重置。对于许多Zigbee和相关的物联网设备,这可能会导致物联网设备连接到威胁行为者控制的Zigbee网络。

他指出:“很庆幸这只是灯泡,而不是门锁、摄像机或工业控制系统,所有这些都可以通过Zigbee连接,被攻破和利用后会产生更多的破坏性后果。”

]]>
美国多家机场遭黑客攻击,疑似亲俄黑客所为 Tue, 07 Feb 2023 10:48:06 +0800 Bleeping Computer 网站披露,亲俄黑客组织 “KillNet ”声称对美国几个主要机场的网站进行了分布式拒绝服务(DDoS)攻击,海量垃圾请求淹没了承载机场网站的服务器,导致部分旅客无法获得其预定航班的更新信息,也不能预订机场服务。

据悉,受此次网络攻击事件影响,包括亚特兰大市哈茨菲尔德-杰克逊国际机场和洛杉矶国际机场在内的十余个机场的网站出现故障。(这两个也是美国最繁忙的两个机场)

其它遭受攻击的机场主要包括芝加哥奥黑尔国际机场(ORD)、奥兰多国际机场(MCO)、丹佛国际机场(DIA)、凤凰城天港国际机场(PHX),此外肯塔基州、密西西比州和夏威夷的一些机场网站也没能幸免。

除了上述攻击目标外,KillNet 黑客组织还在其Telegram频道上列出了一些域名,以便组织成员和其他黑客可以获取新的攻击目标。

KillNet 黑客组织通过特定软件生成针对目标的虚假请求和垃圾流量,目的是耗尽目标的资源,使合法用户无法使用这些资源, 虽然这种情况,DDoS攻击可能不会影响航班,但是可能会中断或延迟某些服务。

KillNet“盯上了”西方国家

此前,KillNet 组织曾将罗马尼亚和意大利等站在乌克兰一边的国家作为主要攻击目标,其 “子集团 ”Legion也因类似原因攻击了了挪威和立陶宛等国重要实体机构。不难看出,随着俄乌冲突进入新的阶段,亲俄黑客组织正试图加强对西方世界报复性网络攻击。

值得一提的是,自俄乌冲突以来,尤其是欧盟宣布制裁俄罗斯后,,KillNet 黑客组织DDoS 攻击目标似乎主要集中在欧盟。美国作为北约“事实上”的话事人,一直是俄罗斯的主要军事对手,从俄乌冲突爆发初期,持续向乌克兰方面提供军事情报和设备,但似乎没有受到亲俄黑客势力的攻击。

直到上周,KillNet 组织的攻击范围才扩大到美国,主要攻击了科罗拉多州、肯塔基州和密西西比州一些政府网站,并取得了一定的成功。

]]>
宇宙级杀猪盘:“俄宇航员”称要回地球 骗日本老人21万 Tue, 07 Feb 2023 10:48:06 +0800 相较于盗号假扮熟人,诈骗个电话费、生活费什么的低级诈骗方式,“杀猪盘”的诈骗危害要更大,不仅诈骗金钱,还会欺骗感情,最终受害者落个人财两空。只不过,现如今的杀猪盘,诈骗分子的脑洞也是越来越大,就连“宇航员回地球”这样的离谱背景,也能编排出来。

近日,据报道,日本滋贺县一名六旬妇女6月在网上认识了一名自称“俄罗斯宇航员”的男子,两人在聊天中逐渐产生了恋爱的感觉。

“俄罗斯宇航员”进行糖衣炮弹轰炸时,顺势要求被害人提供“返回地球的火箭和着陆费用”,并承诺“回到地球就结婚”。

被害人在8月至9月期间陆续汇款5次,总金额大约440万日元(约合人民币21.5万元),随后才意识到被骗。

警方认为这是一场“国际杀猪盘”,目前正展开详细调查,并敦促市民谨慎交友。

]]>
以色列国防巨头埃尔比特系统的美国分公司遭黑客攻击 Tue, 07 Feb 2023 10:48:06 +0800 以色列国防承包商埃尔比特系统公司的美国分公司表示,其网络在6月初遭到黑客攻击,员工的个人信息被盗。埃尔比特系统美国分公司在提交给缅因州总检察长办公室的一份通知中说,有369名员工受到数据泄露的影响,其中包括员工姓名、地址、出生日期、直接存款信息、种族和社会安全号码。

在通知中,这家位于得克萨斯州的公司几乎没有分享任何细节,只是说“有人试图干扰美国埃尔比特公司的网络运营”,而且其调查正在进行。

埃尔比特系统美国分公司没有把这次入侵归咎于某个特定的威胁集团或政府,也没有说它认为它被攻击的原因。埃尔比特公司在美国和以色列的发言人都没有回应评论请求。

总部位于以色列海法的母公司埃尔比特系统公司是一家国防技术和电子巨头,为世界各地的军队和政府制造无人驾驶飞机、电子战系统和其他情报收集、侦察和监视系统。

埃尔比特公司在监控软件市场也有涉猎。2015年,埃尔比特公司以大约1.6亿美元的价格收购了Nice Systems公司的网络和情报部门,并将其分拆为一个名为Cyberbit的子公司。两年后,互联网监督机构Citizen Lab的研究人员发现,由Cyberbit构建的商业间谍软件被用来监视美国和英国的埃塞俄比亚持不同政见者。互联网监督机构说,这些间谍软件冒充假的浏览器插件,旨在从受害者的电脑中提取私人用户数据,包括电子邮件、密码和屏幕截图。

Citizen Lab说,埃塞俄比亚政府可能下令进行监视。

埃尔比特公司在2020年出售了其在Cyberbit的股份,在美国私募股权公司Charlesbank Capital Partners投资7000万美元后,成为少数股东。

Cyberbit是设在以色列的几个已知的间谍软件制造商之一,包括NSO集团、Cytrox和Candiru。

]]>
新型Android恶意软件\"RatMilad\"乔装正常应用以监视受害者 Tue, 07 Feb 2023 10:48:06 +0800 移动安全公司Zimperium发现了一种名为"RatMilad"的新Android恶意软件,目标是中东地区的移动设备。据该公司称,该恶意软件被用于网络间谍活动、敲诈勒索或窃听受害者的谈话。

该恶意软件隐藏在一个名为"NumRent"的欺诈性VPN和电话本应用程序背后。NumRent通过社交媒体上的链接以及Telegram和WhatsApp等通信应用程序分发。为了让人们相信该应用程序的合法性,其背后的网络犯罪分子创建了一个网站为该应用程序做广告。

一旦安装,RatMilad隐藏在VPN连接后面,并持续渗出设备上的数据,如:

短信

通话记录

剪贴板数据

设备信息(例如,型号、品牌、构建号、Android版本)。

GPS位置数据

SIM卡信息

联系信息

已安装的应用程序列表

更重要的是,RatMilad可以删除数据和上传文件到其命令和控制服务器,修改应用程序的权限,并使用设备的麦克风录制音频和窃听对话。

据Zimperium称,RatMilad背后的网络犯罪分子采取随机目标的方式,而不是有针对性地面向某些个人和企业。

为了保护你的Android设备免受RatMilad和其他恶意软件的侵害,请避免从第三方应用程序商店下载应用程序。此外,经常扫描恶意软件,并审查你的应用程序的权限,看看是否有任何可能看起来不合适的地方。

]]>
泄露的英特尔酷睿Alder Lake BIOS的5.9GB源代码被发布到GitHub上 Tue, 07 Feb 2023 10:48:06 +0800 之前我们报道过英特尔酷睿Alder Lake BIOS的源代码已在被完整地泄露了,未压缩版本的容量有5.9GB,它似乎可能是在主板供应商工作的人泄露的,也可能是一个PC品牌的制造伙伴意外泄露的。

一些Twitter用户似乎认为该代码源自4chan。昨天,它进被分享到了GitHub,在今天早些时候被撤下之前,有人查看了它的源代码日志,发现最初的提交日期是9月30日,作者被标记为LC Future Center的一名员工,这是一家可能生产笔记本电脑的公司,该代码现在依然可以从几个镜像中获得,并在互联网上被分享和讨论。

分析所有5.9GB的代码可能需要好几天时间,但有人已经发现了一些有趣的部分。显然,有多处提到了"功能标签测试",进一步将泄漏与OEM厂商联系起来。其他部分据称提到了AMD的CPU,这表明代码在离开英特尔后被修改了。最令人震惊的是,一名研究人员发现了对未记录的MSR的明确引用,这可能构成重大的安全风险。

MSR(特定型号寄存器)是只有BIOS或操作系统等特权代码才能访问的特殊寄存器。供应商使用它们来切换CPU内的选项,如启用调试或性能监控的特殊模式,或某些类型的指令等功能。

一款CPU可能有数百个MSR,而英特尔和AMD只公布了其中一半到三分之二的文档。未记录的MSR通常与CPU制造商希望保密的选项有关。例如,研究人员发现AMD K8 CPU内的一个未记录的MSR是为了启用特权调试模式。MSR在安全方面也发挥着重要作用。英特尔和AMD都使用MSR选项来修补其CPU中在硬件缓解之前的Spectre漏洞。

安全研究人员已经表明,通过操纵未记录的MSR,有可能在现代CPU中创建新的攻击载体。这可能发生的情况非常复杂,不一定是现在正在发生的事情,但它仍然是一种可能性。应由英特尔来澄清情况和对其客户造成的风险。

]]>
厌倦了数据泄露让印尼人破罐破摔 开始反向支持暴露13亿张SIM卡信息的黑客 Tue, 07 Feb 2023 10:48:06 +0800 8月31日,一个名为Bjorka的用户在一个名为Breached Forums的鲜为人知的网站上发布了一条信息,标题很平淡。"印度尼西亚SIM卡(电话号码)注册13亿"。这几个字预示着对13亿张SIM卡注册的巨大数据黑客攻击--它揭示了国民身份号码、电话号码、电信供应商的名称等等。

8月31日,一个名为Bjorka的用户在一个名为Breached Forums的鲜为人知的网站上发布了一条信息,标题很平淡。"印度尼西亚SIM卡(电话号码)注册13亿"。这几个字预示着对13亿张SIM卡注册的巨大数据黑客攻击--它揭示了国民身份号码、电话号码、电信供应商的名称等等。

印度尼西亚人在混乱中惊醒,并迅速转为愤怒。通信和信息技术部(Kominfo)的回应是,告诉公民他们有责任定期更换密码。这一甩锅的做法让印尼政府部门成了顶流,网民们并开起了苦涩的玩笑。一位官员在一次新闻发布会上无奈地恳求Bjorka。"如果你可以,请不要攻击。""别再当白痴了,"比约卡在他们的Breach账户上反唇相讥。

数字权利组织Safenet将Bjorka事件称为亚洲有史以来最大的数据泄露案件,如果不是如此普遍,可能会更令人震惊。

印度尼西亚人的数据以如此快速和有规律的速度曝光,以至于公民们开玩笑地称其为"开源国家"。

2020年,包括电子商务巨头Tokopedia和Bukalapak在内的公司泄露了超过1亿用户的个人数据。第二年,一名黑客攻破了BPJS Kesehatan的数据库,这是该国的医疗保健和社会保障机构,暴露了2.79亿人的国民身份证号码等,其中一些人已经去世。

经过多年来越来越肆无忌惮的泄密事件,印度尼西亚人的挫败感达到了沸点--这足以促使9月份匆忙通过一项拖延已久的个人数据保护法案,并成立了一个专门负责追捕黑客Bjorka的特别小组。

在一个转折点上,许多印度尼西亚人甚至站在了黑客一边,黑客声称实施这次入侵是为了暴露数据管理的不完善。伴随着又一次公民数据泄漏,Bjorka在Kominfo部长Johnny G. Plate生日当天公开挑战:"生日快乐!"据报道,攻击者在他们的Telegram频道,Bjorkanism发布了一系列主管官员的身份细节,从他的地址到家庭电话号码到疫苗ID。

"2018年,[Kominfo]强迫我们用[政府身份证]注册电话号码,承诺我们没有垃圾邮件,"网络安全顾问Teguh Aprianto在Twitter上指出。"[不仅]我们没有摆脱垃圾邮件,[而且]注册数据......反而被泄露和出售。"这条推文迅速被分享了17000多次,并被大约27000个账户所点赞--这只是在社交媒体上飞舞的一系列针对Kominfo的愤怒帖子和标签中的一个。

Kominfo和国家网络和加密机构(BSSN)没有对评论请求作出回应。

东爪哇省马朗市的讲师玛丽亚姆-贾梅拉(Maryam Jameelah)承认,当在新闻上看到最近的数据泄露案件时,感到很受打击。两年前,Jameelah是Tokopedia数据泄露事件的受害者之一,几个月来,她会收到从未做过的交易账单。

"我不得不改变我的号码和我所有的账户,"Jameelah告诉Rest of World。"这非常令人不安。"

Mulyadi是一家四大公司的IT审计师,他认为印尼政府有责任,并希望采取进一步行动。Mulyadi说:"聘请一名顾问,调查哪些数据被入侵,根本原因是什么,以及下一步是什么,"他还对发送到他私人号码的垃圾邮件感到沮丧。"对我们来说,重要的是知道有一个具体的行动。"

尽管个人数据保护法案已经通过,其中详细规定了在数据泄露的情况下对数据处理者和公司的刑事制裁,但专家们说,这些新措施是暂时的,旨在冷却印度尼西亚人的愤怒。

"这取决于谁是[工作队]的成员。他们有能力吗?"媒体追踪网站Drone Emprit的创始人Ismail Fahmi告诉Rest of World。"这只是短期的。"

这个问题的核心是对数据安全的拼凑方法。一位政府官员向媒体表示,公司经常与印尼内务部门分享国民数据,以核实他们的身份。一些国家部门被授权保护公民私人数据的某些部分,这些部门包括Kominfo、BSSN、内政部和国家警察。因此,当泄漏发生时,并不总是清楚泄漏的源头:是来自政府机构还是公司本身。

这些国家部门也应该一起工作。但是缺乏协调,而泄密却很猖獗。例如,Kominfo主持通信、信息和互联网法律;BSSN的任务是改善系统,防止黑客攻击;而警方的网络犯罪部门则负责执行网络犯罪相关法律,包括黑客攻击、网络污损、仇恨言论、欺诈和数据盗窃。同时,内务部作为所有印度尼西亚人的民事记录的持有者,预计将拥有一个无懈可击的安全系统。

这位政府官员向Rest of World解释说,当数据泄露发生时,Kominfo、国家网络安全机构BSSN和平台都在进行调查,但没有系统让他们充分协调结果。

这位官员说:"不幸的是,[国家部门]几乎从不与Kominfo分享他们的调查结果,所以该部往往被迫只根据合规信息提出建议,"这样松散的部门构成了基本的安全框架。

现在,印尼人的大部分希望似乎都取决于个人数据保护法案和随后将建立的新的权力机构。总统将有特权决定谁将成为新机构的成员。

政策研究和宣传研究所(ELSAM)的执行主任Wahyudi Djafar告诉Rest of World,他支持法案中关于建立数据保护机构的规定。但是,贾法尔警告说:"如果该机构不是作为一个独立的机构建立的,就很难保证法案的有效性"。

"挑战在于这个机构的权力有多大,[这]将完全取决于总统的诚意,"贾法尔补充说。

]]>
2K确认一些用户数据被窃和用于出售 Tue, 07 Feb 2023 10:48:06 +0800 2K确认最近的黑客攻击导致一些玩家的个人信息被窃,被发布出来出售。今年9月,2K称其客户服务可能被盗用,警告那些可能受影响的玩家更改他们的密码。2K当时解释说,一个第三方非法访问了该公司使用的帮助台平台的其中一个供应商凭证,然后访问了客户的机密信息,并向一些玩家发送了恶意链接。

10月6日,2K开始联系那些信息被窃取并被出售的客户。

该公司解释说:“未经授权的第三方访问并复制了您向我们寻求支持时记录的一些个人数据,包括您的电子邮件地址、帮助台ID号、玩家标签和控制台详细信息。没有迹象表明我们系统中保存的任何您的财务信息或密码被泄露。

然而,出于谨慎考虑,我们鼓励所有玩家重新设置密码,如果他们还没有这样做的话,我们鼓励他们通过启用多因素认证来保护自己的账户。”

]]>
美国第四大医疗系统CommonSpirit Health疑似遭勒索软件攻击 Tue, 07 Feb 2023 10:48:06 +0800 美国大型连锁医院之一疑似遭到勒索软件攻击,导致手术延迟、患者护理中断以及在全国范围内重新安排医生预约。拥有逾 140 间医院、被《贝克尔医院评论》(Becker's Hospital Review)杂志评为全美第四大医疗系统的 CommonSpirit Health 本周二宣布遭遇“IT 安全问题”,迫使某些系统宕机。

虽然 CommonSpirit 拒绝透露具体细节,但一位熟悉其补救措施的人士向 NBC 新闻证实,它遭受了勒索软件攻击。CommonSpirit 也拒绝分享有关其有多少设施出现延误的信息。然而,包括田纳西州的 CHI 纪念医院、德克萨斯州的一些圣卢克医院和西雅图的弗吉尼亚梅森方济会健康中心在内的多家医院都宣布受到影响。

一位不愿透露姓名以保护家人的医疗隐私的德克萨斯州妇女说,她和她的丈夫已于周三抵达 CommonSpirit 附属医院进行此前计划的大手术,但医生推荐等待医院的技术问题修复之后再进行手术。

对医疗保健链的勒索软件攻击相对普遍,两年多来一直是美国医疗系统的频繁部分。即使攻击没有关闭医院,它也可以使部分或全部数字系统脱机,从而切断医生和护士对数字信息的访问,例如患者记录和护理建议。

]]>
泄露约30万用户信息,丰田公开道歉 Tue, 07 Feb 2023 10:48:06 +0800 据路透社报道,丰田汽车公司旗下T-Connect服务出现安全事故,近三十万用户的个人信息可能已经被攻击者窃取。泄露的信息类型包括用户的电子邮件地址、客户号码等,影响范围包括2017年7月以来使用电子邮件地址注册服务的用户。

对于此次信息泄露事件,丰田公开表示“抱歉”。资料显示,T-Connect是一种通过网络连接车辆的远程信息处理服务,车主可通过网络连接车辆。

根据丰田发布的公告,此次信息泄露事件的原因让车主感到无比气愤。开发T-Connect网站的承包商在 2017 年 12 月至2022年 9 月 15 日期间意外上传了部分源代码,从而导致用户信息泄露。

“根据调查,无法从存储信息的数据服务器的访问历史中确认第三方访问安全专家”,丰田进一步强调,“此次事件不会泄露敏感用户的个人信息,例如姓名、电话号码或信用卡信息。”但是,用户还是需要提高警惕,谨防第三方攻击者利用这些信息发送网络钓鱼邮件。

 黑客攻击导致数据泄露 

近年来,丰田汽车频频遭受黑客和勒索组织攻击,并导致发生了多次数据泄露事件。

2022年3月,丰田旗下子公司-日本电装株式会社(以下简称“电装”)遭遇勒索软件攻击,有大量的内部资料被黑客获取。在此之前,一个名为“Pandora”的黑客组织称已经入侵电装公司,并获取超过15.7万份订购单、邮件和设计图纸等总共1.4TB的资料,同时该组织威胁电装称,如果不按要求支付赎金,将在暗网公布这些数据。

此外,在2019年,丰田还因黑客入侵服务器,访问部分销售子公司的数据,导致出现严重数据泄露事件,高达310万客户的信息被攻击者窃取。受影响的子公司包括丰田东京销售控股公司、东京汽车、东京丰田、丰田东京卡罗拉、丰田东京销售网络、雷克萨斯Koishikawa Sales公司、Jamil Shoji及丰田西东京卡罗拉。

在这起用户信息泄露事件中,丰田汽车强调,客户的财务细节并未存储在被黑客攻击的服务器上,也未披露黑客可能访问了哪些类型的数据。

这也是丰田2019年第二次出现网络安全事件。在2019年2月,丰田还曾披露了另外一起网络攻击事件,影响其澳大利亚分公司。将两次攻击相比较,澳大利亚分公司受到的攻击更具破坏性,对澳大利亚公司处理销售和交付造成了影响。一些行业专家认为攻击是APT32 (OceanLotus)所为,这是一家越南网络间谍机构,以专注于汽车行业而闻名。

专家表示,APT32黑客可能想先攻击丰田的澳大利亚分公司,然后进入丰田在日本的中央网络。

]]>
史上之最!澳大利亚40%居民信息被泄露 Tue, 07 Feb 2023 10:48:06 +0800 据infosecurity消息,澳大利亚第二大电信运营商Optus被曝发生严重的数据泄露事件,近1000万用户的个人信息被泄露。而根据澳大利亚2021年人口普查数据,其人口总数约为2500万人。

这意味着,此次数据泄露事件波及人数达到该国40%的左右的人口,并成为澳大利亚史上最大的网络安全事件之一。资料显示,Optus是新加坡电信的全资子公司。通过其OptusNet品牌,它在澳大利亚提供宽带,无线和拨号上网服务,并以稳定而高速的网络著称。

Optus表示,公司正在调查在网络攻击后未经授权访问客户数据的情况,此次涉案信息包括数据库中用户的姓名、出生日期、家庭住址、电话号码、电子邮件地址、驾照号码、护照号码等。

根据Optus公布的消息,该公司目前正在与澳大利亚网络安全中心合作,以减轻对客户的任何风险,提醒用户提高安全意识,谨防各种网络诈骗活动,并向主要金融机构通报了此次攻击和随后的违规行为。

Optus 首席执行官 Kelly Bayer Rosmarin 对这次网络攻击表示遗憾和愤怒,具体的攻击细节尚未披露。尽管如此,根据托管安全服务提供商Tiberium的首席执行官 Drew Perry 的说法,该漏洞可能是由于一项安全技术中的漏洞造成的。

Perry指出,有关该事件的详细信息仍在不断涌现,建议所有 Optus 的客户立即修改密码,并启用多因素身份验证。如果用户在多个账户中使用了相同的密码,请全部更新并使用密码管理器。”

而《悉尼先驱晨报》发表了一篇报道,称 Optus 曾收到了勒索威胁,要求其支付 100 万美元的加密货币,否则黑客将出售数百万客户的个人信息。澳大利亚联邦警察告诉路透社,在“暗网”和其他来源可以购买到 Optus 客户数据和其他“凭证”。

安全专家表示,Optus 客户将面临更高的网络钓鱼攻击风险,他们的账号密码可能已经在暗网上。这些信息有可能被用来训练“人工智能”]网络钓鱼机器人,以此产生逼真的合成媒体攻击。

但是Optus 指出,由于执法部门正在调查此事,因此它可以发布的与此数据泄露有关的信息量是有限的。该电信运营商还指出,属于黑客的IP地址在欧洲不同国家之间移动。

]]>
加拿大政府雇员知法犯法参与NetWalker勒索软件活动被判处20年监禁 Tue, 07 Feb 2023 10:48:06 +0800 一名前加拿大政府雇员因在勒索软件计划中的作用而被判处20年监禁,该计划使他获得了超过2100万美元的收入。Sebastien Vachon-Desjardins,34岁,来自魁北克省,在承认与他参与臭名昭著的Netwalker勒索软件即服务(RaaS)行动有关的指控后,于周二在佛罗里达法院被判刑。

Vachon-Desjardins作为NetWalker勒索软件网络的重要骨干,据信他在那里对一些美国公司和至少17个加拿大实体进行勒索操作。

根据他的LinkedIn个人资料,Vachon-Desjardins在加拿大担任公共工程和政府服务部门的IT顾问,之前他在2021年1月被加拿大警方逮捕,并被判处七年监禁。在搜查他的家时,执法人员发现并缴获了719枚比特币(在撰写本文时价值约为1760万美元),以及79万美元的加拿大货币。美国和比利时当局还查获了NetWalker用来发布从受害者那里窃取的数据的暗网网站。

今年3月,Vachon-Desjardins被引渡到美国,他面临共谋计算机欺诈和电信欺诈、故意破坏受保护的计算机以及传送有关破坏受保护的计算机的要求等指控。

除了被判处20年监禁 - 这远远高于联邦准则建议的12-15年监禁,这位前Netwalker骨干还被没收从全球"几十个"受害者那里非法获得的2150万美元,其中包括公司、市政当局、执法部门、紧急服务、学区、学院和大学。甚至在COVID-19大流行期间,NetWalker还将美国的许多医院作为目标。

佛罗里达州中区联邦检察官罗杰-汉德伯格(Roger B. Handberg)说:"本案的被告在国际卫生危机的高峰期利用复杂的技术手段勒索了许多国家的数百名受害者。"

NetWalker,也被称为"Mailto"于2019年首次出现,此后与几次高知名度的高价值勒索软件攻击事件有关。2020年6月,该组织以加利福尼亚大学旧金山分校为目标,该校支付了超过100万美元的赎金要求。三个月后,NetWalker袭击了网络威胁创业公司Cygilant。根据加密货币分析公司Chainalysis的数据,在2019年8月至2021年1月期间,涉及NetWalker的勒索软件攻击拉动了4600万美元的赎金支付。

]]>
伊朗社会抗议引发信息战:国家电视台又遭篡改 播放“杀死最高领袖” Tue, 07 Feb 2023 10:48:06 +0800 安全内参10月10日消息,支持伊朗女性抗议浪潮的黑客劫持了该国国家电视台的新闻播报,在画面中放出最高领袖阿亚图拉·阿里·哈梅内伊 (Ayatollah Ali Khamenei)头部被十字准星瞄准并在火焰中燃烧的形象。该视频在互联网上广泛传播。

在上周六晚间的电视转播期间,屏幕上出现了一条简短视频,“你的双手,沾满我们年轻人的鲜血。” “加入我们,站起来。”黑客组织Edalat-e Ali(阿里的正义)宣称对此负责。

在这波抗议浪潮中,活动人士在伊朗首都德黑兰各处公共广告牌上喷涂“哈梅内伊之死”和“警察谋杀人民”等字样。

伊朗库德族22岁女孩玛莎·艾米妮(Mahsa Amini)之死是本轮抗议浪潮的导火索。该事件曝光后,街头抗议再次震动德黑兰等多处伊朗城市。。

伊朗国家通讯社IRNA报道称,“警方使用催泪瓦斯驱散了德黑兰数十个地点的抗议人群”,示威者们“高呼口号,还放火烧毁了公共财产,包括一处警察亭。”

艾米妮9月16日身故以后,民众的愤怒被彻底点燃。就在三天前,这位年轻的库尔德女性因涉嫌违反伊斯兰共和国严格的女性着装规定,而被臭名昭著的道德警察逮捕。

篡改视频还播放了艾米妮和另外三名在镇压中丧生的女性的照片。据总部位于挪威的伊朗人权组织称,这场镇压活动已经夺走至少95人的生命。

伊朗人权组织援引总部位于英国的俾路支激进主义者运动的消息称,9月30日,锡斯坦-俾路支斯坦省一名警察局长强奸一名少女的事件引发了骚乱,导致另外 90 人丧生。

伊斯兰革命卫队一名成员上周六在库尔德斯坦省萨南达吉被杀,另一名卫队成员在德黑兰死于“暴徒武装袭击导致的头部重伤”。根据IRNA的统计,目前革命卫队方面的死亡人数已经增加至14人。

“到处都是抗议”

伊朗遭受了近三年来最严重的一波社会震荡,包括大学生及年轻女学生在内的抗议人群高呼“女性、生活、自由”口号。

美国活动家兼记者奥米德·梅马里安(Omid Memarian)在推特上说,“来自德黑兰的视频表明,这座城市里到处都是抗议,已经蔓延到了每一个角落。”

根据亨沃格人权组织称于上周六录制的视频,在艾米妮的家乡库尔德斯坦萨基兹,女学生们高呼口号并走上街头,在空中挥舞着头巾。

尽管伊朗已经全面中断了国内互联网连接,封锁了各大主要社交媒体平台,但该国惨烈的对抗、特别是令人毛骨悚然的血腥镜头仍然在网络之上广为流传。

其中一段视频显示,在库尔德斯坦首府萨南达吉,一名男子被枪杀在自己的车内,该省警察局长阿里·阿扎迪(Ali Azadi)随后称此人是“被反革命势力所杀害”。

另一段在网上引起轩然大波的视频中,愤怒的男人们似乎将一名巴斯基民兵围住,并疯狂殴打。

还有视频片段显示,据称在伊朗东北部的马什哈德,一名年轻女性被枪杀。

社交媒体上许多用户表示,这让人想起妮达-阿迦-索尔坦的遭遇。这位年轻女性在2009年的抗议活动中被枪杀,随后长期成为伊朗反对派的象征。

抗议者的对抗策略

面对暴力与网络限制,抗议者们采取了新策略,开始在公共场所传播自己的抵抗信息。

德黑兰莫达雷斯高速公路立交桥上挂起一面巨大的横幅,写道“我们不再害怕,我们将要抗争。”法新社核实了图片的真实性。

在其他画面中,还能看到一名手持喷漆罐的男子将一条高速公路上的政府广告牌,从“警察服务人民”改成了“警察谋杀人民”。

有传言称,伊朗首都多个喷泉景观被染成血红色。但德黑兰市政公园组织负责人阿里·穆罕默德·莫赫塔里(Ali Mohamad Mokhtari)反驳道,“这种说法纯属造谣,德黑兰的喷泉颜色没有任何变化。”

伊朗指责有外部势力在煽动抗议活动,否则全球数十个城市不可能同时组织起群体示威。与此同时,美国、欧盟及其他多国政府都对伊朗出台了新的制裁。

关于艾米妮的死,伊朗政府上周五公布了法医的调查结果,表示她的死因是长期健康问题,并非活动人士宣称的头部受到打击。

艾米妮的父亲则向总部位于伦敦的伊朗国际组织驳斥了官方的说法,“我亲眼看到玛莎的耳朵和后颈流出了鲜血。”

]]>
以色列国防巨头埃尔比特系统的美国分公司遭黑客攻击 Tue, 07 Feb 2023 10:48:06 +0800 以色列国防承包商埃尔比特系统公司的美国分公司表示,其网络在6月初遭到黑客攻击,员工的个人信息被盗。埃尔比特系统美国分公司在提交给缅因州总检察长办公室的一份通知中说,有369名员工受到数据泄露的影响,其中包括员工姓名、地址、出生日期、直接存款信息、种族和社会安全号码。

在通知中,这家位于得克萨斯州的公司几乎没有分享任何细节,只是说“有人试图干扰美国埃尔比特公司的网络运营”,而且其调查正在进行。

埃尔比特系统美国分公司没有把这次入侵归咎于某个特定的威胁集团或政府,也没有说它认为它被攻击的原因。埃尔比特公司在美国和以色列的发言人都没有回应评论请求。

总部位于以色列海法的母公司埃尔比特系统公司是一家国防技术和电子巨头,为世界各地的军队和政府制造无人驾驶飞机、电子战系统和其他情报收集、侦察和监视系统。

埃尔比特公司在监控软件市场也有涉猎。2015年,埃尔比特公司以大约1.6亿美元的价格收购了Nice Systems公司的网络和情报部门,并将其分拆为一个名为Cyberbit的子公司。两年后,互联网监督机构Citizen Lab的研究人员发现,由Cyberbit构建的商业间谍软件被用来监视美国和英国的埃塞俄比亚持不同政见者。互联网监督机构说,这些间谍软件冒充假的浏览器插件,旨在从受害者的电脑中提取私人用户数据,包括电子邮件、密码和屏幕截图。

Citizen Lab说,埃塞俄比亚政府可能下令进行监视。

埃尔比特公司在2020年出售了其在Cyberbit的股份,在美国私募股权公司Charlesbank Capital Partners投资7000万美元后,成为少数股东。

Cyberbit是设在以色列的几个已知的间谍软件制造商之一,包括NSO集团、Cytrox和Candiru。

]]>
澳大利亚史上最大数据泄露事件,40%的居民信息被泄露 Tue, 07 Feb 2023 10:48:06 +0800 据infosecurity消息,澳大利亚第二大电信运营商Optus被曝发生严重的数据泄露事件,近1000万用户的个人信息被泄露。而根据澳大利亚2021年人口普查数据,其人口总数约为2500万人。

这意味着,此次数据泄露事件波及人数达到该国40%的左右的人口,并成为澳大利亚史上最大的网络安全事件之一。资料显示,Optus是新加坡电信的全资子公司。通过其OptusNet品牌,它在澳大利亚提供宽带,无线和拨号上网服务,并以稳定而高速的网络著称。

Optus表示,公司正在调查在网络攻击后未经授权访问客户数据的情况,此次涉案信息包括数据库中用户的姓名、出生日期、家庭住址、电话号码、电子邮件地址、驾照号码、护照号码等。

根据Optus公布的消息,该公司目前正在与澳大利亚网络安全中心合作,以减轻对客户的任何风险,提醒用户提高安全意识,谨防各种网络诈骗活动,并向主要金融机构通报了此次攻击和随后的违规行为。

Optus 首席执行官 Kelly Bayer Rosmarin 对这次网络攻击表示遗憾和愤怒,具体的攻击细节尚未披露。尽管如此,根据托管安全服务提供商Tiberium的首席执行官 Drew Perry 的说法,该漏洞可能是由于一项安全技术中的漏洞造成的。

Perry指出,有关该事件的详细信息仍在不断涌现,建议所有 Optus 的客户立即修改密码,并启用多因素身份验证。如果用户在多个账户中使用了相同的密码,请全部更新并使用密码管理器。”

而《悉尼先驱晨报》发表了一篇报道,称 Optus 曾收到了勒索威胁,要求其支付 100 万美元的加密货币,否则黑客将出售数百万客户的个人信息。澳大利亚联邦警察告诉路透社,在“暗网”和其他来源可以购买到 Optus 客户数据和其他“凭证”。

安全专家表示,Optus 客户将面临更高的网络钓鱼攻击风险,他们的账号密码可能已经在暗网上。这些信息有可能被用来训练“人工智能”]网络钓鱼机器人,以此产生逼真的合成媒体攻击。

但是Optus 指出,由于执法部门正在调查此事,因此它可以发布的与此数据泄露有关的信息量是有限的。该电信运营商还指出,属于黑客的IP地址在欧洲不同国家之间移动。

]]>
湖南衡阳破获400亿虚拟货币交易洗钱案,或涉大量币安账户被冻结 Tue, 07 Feb 2023 10:48:06 +0800 9月26日,湖南衡阳县公安发布文章,表示破获“9.15”特大洗钱犯罪集团案等9起典型案例,其中“9.15”特大洗钱犯罪团伙涉嫌利用虚拟币交易洗钱金额高达400亿元,目前已串并涉电诈案件300余起。

据相关人士爆料,今年8月,大量币安交易所的账号资金被冻结事件与该案件有关。对此,记者联系了币安,币安方面拒绝对该司法案例做出评论。

除此之外,币安表示,在全球范围内,币安与全球监管机构和执法部门通力合作,以保护生态系统和所有用户的安全,同时币安内部针对执法请求也有着严格的标准作业流程,这是币安在全球范围内一致的态度与做法。如果相关账户确实存在触犯法律的情况,多数司法管辖区的执法部门会要求直接联系用户,币安将持续完善执法支持系统,依照司法进度处理相关事宜。

]]>
网络攻击扰乱酒店供应链!洲际酒店集团加盟商损失惨重 Tue, 07 Feb 2023 10:48:06 +0800 安全内参9月27日消息,近期针对洲际酒店集团的网络攻击影响到了各特许加盟商的业务,导致愤怒的客户、收入损失乃至集体诉讼隐患正持续发酵。

网络攻击导致预约系统严重中断

9月6日,洲际酒店集团表示,检测到技术系统中存在未授权活动,导致预订及其他系统出现严重中断。

酒店业主们(注:即洲际酒店集团旗下酒店的房产拥有者)收到了一封来自洲际酒店集团高管的电子邮件,解释称此次攻击将导致线上预订系统关闭。由于洲际集团并未分享黑客攻击引发数据泄露的任何细节,作为其特许经营合作伙伴,酒店业主们根本无力应对客户爆发出的愤怒与沮丧。

代表全美约20000名酒店业主的亚裔美国酒店业主协会总裁兼CEO Laura Lee Blake表示,“他们至少应该分享一点信息,否则酒店业主只能连续几天身陷黑暗之中,根本不清楚自己维持生计的经营系统出了什么问题。”

此次网络攻击可能影响到了洲际集团的供应链、客户及众多特许加盟商。洲际酒店集团官网显示,该集团在全球拥有17个酒店品牌、6000家酒店。就在去年,针对美国软件公司Kaseya的勒索软件攻击同样蔓延到多个国家的客户身上。

洲际酒店及度假酒店一位发言人表示,“我们尚未发现客人数据遭到未授权访问的证据。我们始终专注于支持我们的酒店和业主,也将在事件期间定期向业主和酒店管理团队传达最新信息。”洲际酒店集团旗下的知名酒店品牌包括假日酒店、驻桥套房酒店和洲际酒店。

酒店业主损失惨重,已发起集体诉讼索赔

酒店业主们指出,众多因网络攻击而预订失败的愤怒客户已经令他们疲于招架。Blake女士还透露,亚裔美国酒店业主协会的成员们对这次攻击事件的调查作出回应。根据近几周的预订量、去年同期预订量以及竞争对手预订量等指标,这些各自拥有两到五家酒店的业主估计,攻击造成的平均损失在30000到75000美元之间。好在目前技术系统已经重新恢复运行。

Blake称,“酒店业主希望就此事获得赔偿,毕竟网络攻击不是他们的错。”

美国路易斯安那州一家假日酒店的业主QHotels Management公司总裁兼CEO Vimal Patel反映,他们遇到了一位情绪激动的顾客,要求酒店说明如何处理住客的信用卡。

9月15日,Patel及其他多位酒店业主在亚特兰大地方法院对洲际酒店集团提起集体诉讼。

Patel表示,“当我们没有受到黑客攻击时,也需要随时担心自己的财务稳定性。”

诉讼称,洲际酒店集团的各特许加盟商一直在按月支付费用,以使用集团提供的预订技术方案。

除了要求对加盟商补偿外,Patel还希望洲际集团能解释,网络攻击暴露了哪些数据、为何会发生此次事故。他认为,洲际集团的高管们应该为糟糕的网络安全状况负起责任。

信息多且价值高,连锁酒店是网络攻击热门目标

连锁酒店是恶意黑客的热门攻击目标,这里蕴藏着大量客户个人及财务信息。近年来,万豪酒店先后遭遇了多起违规事件。2016年,洲际酒店集团因网络攻击导致客户信用卡数据外泄,并在2020年的相关集体诉讼中同意支付超150万美元赔偿金。

研究机构Forrester的高级分析师Allie Mellen表示,除了直接技术问题以外,各特许加盟商后续还可能面临网络攻击引发的其他影响。例如在申购网络保险时,服务商向他们开出的保费会更高。不少司法管辖区的法律也有适用条款,要求遭黑客入侵的企业在发现个人数据泄露时,必须向监管机构和受影响个人发布通报。

但Blake女士坦言,大多数企业往往不愿透露网络攻击的细节,特别是在原有安全措施不够完善的情况下。但隐瞒重要细节同样会损害客户信任,“这对企业方来说是非常有害的。”

她最后总结道,“总有人在掩耳盗铃,认为只要不主动担责,别人就不知道事态有多糟糕。”

]]>
美国安局网络攻击西工大最新调查:窃取远程业务管理关键敏感数据 Tue, 07 Feb 2023 10:48:06 +0800 据人民日报消息,2022年6月22日,西北工业大学发布《公开声明》称,该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》,证实在西北工业大学的信息网络中发现了多款源于境外的木马和恶意程序样本,西安警方已对此正式立案调查。

中国国家计算机病毒应急处理中心和360公司全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了木马程序样本,综合使用国内现有数据资源和分析手段,并得到欧洲、东南亚部分国家合作伙伴的通力支持,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,初步判明相关攻击活动源自于美国国家安全局(NSA)的“特定入侵行动办公室”(即:Office of Tailored Access Operation,后文简称“TAO”)。

本系列研究报告将公布TAO对西北工业大学发起的上千次网络攻击活动中,某些特定攻击活动的重要细节,为全球各国有效发现和防范TAO的后续网络攻击行为提供可以借鉴的案例。

一、TAO攻击渗透西北工业大学的流程

TAO对他国发起的网络攻击技战术针对性强,采取半自动化攻击流程,单点突破、逐步渗透、长期窃密。

(一)单点突破、级联渗透,控制西北工业大学网络

经过长期的精心准备,TAO使用“酸狐狸”平台对西北工业大学内部主机和服务器实施中间人劫持攻击,部署“怒火喷射”远程控制武器,控制多台关键服务器。利用木马级联控制渗透的方式,向西北工业大学内部网络深度渗透,先后控制运维网、办公网的核心网络设备、服务器及终端,并获取了部分西北工业大学内部路由器、交换机等重要网络节点设备的控制权,窃取身份验证数据,并进一步实施渗透拓展,最终达成了对西北工业大学内部网络的隐蔽控制。

(二)隐蔽驻留、“合法”监控,窃取核心运维数据

TAO将作战行动掩护武器“精准外科医生”与远程控制木马NOPEN配合使用,实现进程、文件和操作行为的全面“隐身”,长期隐蔽控制西北工业大学的运维管理服务器,同时采取替换3个原系统文件和3类系统日志的方式,消痕隐身,规避溯源。TAO先后从该服务器中窃取了多份网络设备配置文件。利用窃取到的配置文件,TAO远程“合法”监控了一批网络设备和互联网用户,为后续对这些目标实施拓展渗透提供数据支持。

(三)搜集身份验证数据、构建通道,渗透基础设施

TAO通过窃取西北工业大学运维和技术人员远程业务管理的账号口令、操作记录以及系统日志等关键敏感数据,掌握了一批网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息、FTP服务器文档资料信息。根据TAO攻击链路、渗透方式、木马样本等特征,关联发现TAO非法攻击渗透中国境内的基础设施运营商,构建了对基础设施运营商核心数据网络远程访问的“合法”通道,实现了对中国基础设施的渗透控制。

(四)控制重要业务系统,实施用户数据窃取

TAO通过掌握的中国基础设施运营商的思科PIX防火墙、天融信防火墙等设备的账号口令,以“合法”身份进入运营商网络,随后实施内网渗透拓展,分别控制相关运营商的服务质量监控系统和短信网关服务器,利用“魔法学校”等专门针对运营商设备的武器工具,查询了一批中国境内敏感身份人员,并将用户信息打包加密后经多级跳板回传至美国国家安全局总部。

二、窃取西北工业大学和中国运营商敏感信息

(一)窃取西北工业大学远程业务管理账号口令、操作记录等关键敏感数据

TAO通过在西北工业大学运维管理服务器安装嗅探工具“饮茶”,长期隐蔽嗅探窃取西北工业大学运维管理人员远程维护管理信息,包含网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息等。

遭到嗅探的网络设备类型包括固定互联网的接入网设备(路由器、认证服务器等)、核心网设备(核心路由器、交换机、防火墙等),也包括通信基础设施运营企业的重要设备(数据服务平台等),内容包括账号、口令、设备配置、网络配置等信息。

1、窃取西工大核心网络设备账号口令及配置信息

北京时间20××年12月11日6时52分,TAO以位于日本京都大学的代理服务器(IP:130.54.××.××)为攻击跳板,非法入侵了西北工业大学运维网络的“telnet”管理服务器,上传并安装NOPEN木马,然后级联控制其内网监控管理服务器,上述2台服务器事先均已被安装“饮茶”嗅探工具。TAO远程操控木马检索并下载被压缩加密的监听记录文件,然后清痕退出。窃取数据包括路由器、核心网设备(核心路由器、交换机、防火墙)管理账号、口令、设备配置、网络配置等信息。

2、多次窃取接入网认证设备账号口令及配置信息

(1)北京时间20××年5月30日0时28分,TAO以位于日本的代理服务器(IP:210.135.××.××)为攻击跳板,非法入侵了西北工业大学运维网络“telnet”管理服务器,上传并安装NOPEN木马,然后级联控制其内网监控管理服务器,这2台服务器事先均已被安装“饮茶”嗅探工具,TAO远程操控木马检索并下载窃密记录文件后清痕退出。窃取数据包括接入网认证设备的账号、口令及配置信息。

(2)北京时间20××年7月4日1时12分,TAO利用位于德国莱比锡技术经济和文化学院的代理服务器(IP:141.57.××.××)作为攻击跳板,非法入侵西北工业大学运维网络“telnet”管理服务器,上传并安装NOPEN木马工具,级联控制其内网监控管理服务器等其他3台服务器,这4台服务器事先均已被安装“饮茶”嗅探工具,TAO远程操控木马检索并下载窃密文件后清痕退出。

(3)北京时间20××年10月11日10时35分,TAO利用位于韩国首尔国立江原大学的代理服务器(IP:210.115.××.××)作为攻击跳板,非法入侵西北工业大学运维网络监控管理服务器,上传并安装NOPEN木马工具,然后级联控制其内网备份服务器、认证服务器等其他4台服务器,这5台服务器事先均已被安装“饮茶”嗅探工具,TAO远程操控木马分别检索并下载窃取记录文件后清痕退出。

(4)北京时间20××年10月19日2时46分,TAO以位于韩国大田的高等科学技术研究学院的代理服务器(IP:143.248.××.××)为攻击跳板,非法入侵西北工业大学运维网络“telnet”管理服务器,级联控制其内网监管服务器等其他2台服务器,这3台服务器事先均已被安装“饮茶”嗅探工具,TAO通过远程操控木马检索并下载窃密文件,然后清痕退出。

(二)窃取西北工业大学网络设备运维配置文件和日志文件

美国国家安全局“特定入侵行动办公室”(TAO)长期攻击入侵西北工业大学网络运维管理服务器,秘密窃取网络设备运维配置文件和日志文件。

1、窃取西北工业大学网络运行日志文件

北京时间20××年3月2日3时41分,TAO通过位于日本的代理服务器(IP:210.135.××.××)非法入侵控制西北工业大学1台网络运维管理服务器。3时49分,TAO从该运维管理服务器横向移动到另一台运维监控服务器,以特定字符串为关键词检索日志文件并进行窃取了一批系统运行日志文件和系统日常自检报告备份文件。

2、窃取西北工业大学服务器定期任务配置脚本

北京时间20××年10月11日10时41分,TAO通过位于韩国的代理服务器(IP:210.115.××.××)入侵控制了西北工业大学一台内网服务器。10时48分,TAO经过两次横向移动,入侵了另一台内网服务器,访问了特定目录下的定期任务配置脚本,共检索到14个用于定期执行任务的配置文件。随后,一次性窃取了这14个文件,这些文件可用于执行定期清理、备份、检查电源等操作。

3、窃取西北工业大学公司服务器系统信息文件

北京时间20××年6月6日1时27分,TAO通过位于韩国的代理服务器(IP:222.122.××.××)入侵控制了西北工业大学一台内网服务器。2时4分,TAO经过两次横向移动,入侵了另一台内网服务器,访问了目录/var/下的系统文件,窃取了60个常用的系统信息文件,被窃取的系统信息文件内容包含系统发行版本、用户密码哈希、用户权限、本地域名解析配置等。

(三)渗透控制中国基础设施核心设备

美国国家安全局“特定入侵行动办公室”(TAO)利用窃取到的网络设备账号口令,以“合法”身份进入中国某基础设施运营商服务网络,控制相关服务质量监控系统,窃取用户隐私数据。

1、窃取中国用户隐私数据

北京时间20××年3月7日22时53分,美国国家安全局“特定入侵行动办公室”(TAO)通过位于墨西哥的攻击代理148.208.××.××,攻击控制中国某基础设施运营商的业务服务器211.136.××.××,通过两次内网横向移动(10.223.140.××、10.223.14.××)后,攻击控制了用户数据库服务器,非法查询多名身份敏感人员的用户信息。

同日15时02分,TAO将查询到的用户数据保存在被攻击服务器/var/tmp/.2e434fd8aeae73e1/erf/out/f/目录下,被打包回传至攻击跳板,随后窃密过程中上传的渗透工具、用户数据等攻击痕迹被专用工具快速清除。

美国国家安全局“特定入侵行动办公室”(TAO)运用同样的手法,分别于北京时间20××年1月10日23时22分、1月29日8时41分、3月28日22时00分、6月6日23时58分,攻击控制另外1家中国基础设施业务服务器,非法多批次查询、导出、窃取多名身份敏感人员的用户信息。

2、渗透控制全球电信基础设施

据分析,美国国家安全局“特定入侵行动办公室”(TAO)以上述手法,利用相同的武器工具组合,“合法”控制了全球不少于80个国家的电信基础设施网络。技术团队与欧洲和东南亚国家的合作伙伴通力协作,成功提取并固定了上述武器工具样本,并成功完成了技术分析,拟适时对外公布,协助全球共同抵御和防范美国国家安全局NSA的网络渗透攻击。

三、TAO在攻击过程中暴露身份的相关情况

美国国家安全局“特定入侵行动办公室”(TAO)在网络攻击西北工业大学过程中,暴露出多项技术漏洞,多次出现操作失误,相关证据进一步证明对西北工业大学实施网络攻击窃密行动的幕后黑手即为美国国家安全局NSA。兹摘要举例如下:

(一)攻击时间完全吻合美国工作作息时间规律

美国国家安全局“特定入侵行动办公室”(TAO)在使用tipoff激活指令和远程控制NOPEN木马时,必须通过手动操作,从这两类工具的攻击时间可以分析出网络攻击者的实际工作时间。

首先,根据对相关网络攻击行为的大数据分析,对西北工业大学的网络攻击行动98%集中在北京时间21时至凌晨4时之间,该时段对应着美国东部时间9时至16时,属于美国国内的工作时间段。其次,美国时间的全部周六、周日中,均未发生对西北工业大学的网络攻击行动。第三,分析美国特有的节假日,发现美国的“阵亡将士纪念日”放假3天,美国“独立日”放假1天,在这四天中攻击方没有实施任何攻击窃密行动。第四,长时间对攻击行为密切跟踪发现,在历年圣诞节期间,所有网络攻击活动都处于静默状态。依据上述工作时间和节假日安排进行判断,针对西北工业大学的攻击窃密者都是按照美国国内工作日的时间安排进行活动的,肆无忌惮,毫不掩饰。

(二)语言行为习惯与美国密切关联

技术团队在对网络攻击者长时间追踪和反渗透过程中(略)发现,攻击者具有以下语言特征:一是攻击者有使用美式英语的习惯;二是与攻击者相关联的上网设备均安装英文操作系统及各类英文版应用程序;三是攻击者使用美式键盘进行输入。

(三)武器操作失误暴露工作路径

20××年5月16日5时36分(北京时间),对西北工业大学实施网络攻击人员利用位于韩国的跳板机(IP:222.122.××.××),并使用NOPEN木马再次攻击西北工业大学。在对西北工业大学内网实施第三级渗透后试图入侵控制一台网络设备时,在运行上传PY脚本工具时出现人为失误,未修改指定参数。脚本执行后返回出错信息,信息中暴露出攻击者上网终端的工作目录和相应的文件名,从中可知木马控制端的系统环境为Linux系统,且相应目录名“/etc/autoutils”系TAO网络攻击武器工具目录的专用名称(autoutils)。

出错信息如下:

Quantifier follows nothing in regex; marked by <-- HERE in m/* <-- HERE .log/ at ../etc/autoutils line 4569

(四)大量武器与遭曝光的NSA武器基因高度同源

此次被捕获的、对西北工业大学攻击窃密中所用的41款不同的网络攻击武器工具中,有16款工具与“影子经纪人”曝光的TAO武器完全一致;有23款工具虽然与“影子经纪人”曝光的工具不完全相同,但其基因相似度高达97%,属于同一类武器,只是相关配置不相同;另有2款工具无法与“影子经纪人”曝光工具进行对应,但这2款工具需要与TAO的其它网络攻击武器工具配合使用,因此这批武器工具明显具有同源性,都归属于TAO。

(五)部分网络攻击行为发生在“影子经纪人”曝光之前

技术团队综合分析发现,在对中国目标实施的上万次网络攻击,特别是对西北工业大学发起的上千次网络攻击中,部分攻击过程中使用的武器攻击,在“影子经纪人”曝光NSA武器装备前便完成了木马植入。按照NSA的行为习惯,上述武器工具大概率由TAO雇员自己使用。

四、TAO网络攻击西北工业大学武器平台IP列表

技术分析与溯源调查中,技术团队发现了一批TAO在网络入侵西北工业大学的行动中托管所用相关武器装备的服务器IP地址,举例如下:

五、TAO网络攻击西北工业大学所用跳板IP列表

研究团队经过持续攻坚,成功锁定了TAO对西北工业大学实施网络攻击的目标节点、多级跳板、主控平台、加密隧道、攻击武器和发起攻击的原始终端,发现了攻击实施者的身份线索,并成功查明了13名攻击者的真实身份。

]]>
继《GTA6》被黑后:苹果新闻也遭黑客攻击 Tue, 07 Feb 2023 10:48:06 +0800 前几天,在游戏圈闹得沸沸扬扬的“史上最大游戏泄露”已经告一段落,放出《GTA6》资料的少年黑客已经被捕。

然而此事还没过去几天,又有黑客出来行动了,这次的目标是苹果。

据财联社最新报道,苹果新闻遭到了黑客的攻击,不过具体的攻击内容和方式还并未透露出来。

继《GTA6》被黑后:苹果新闻也遭黑客攻击

其实此前,攻击R星的背后黑客组织也曾入侵过苹果,并且盗取了苹果健康源代码。

这些事件也可以看出来,作为全球最大的科技公司,苹果的安全性也并不是那么牢不可破。

今年8月还曾有消息称,iPhone、iPad和iMac电脑等产品存在严重安全漏洞,这些漏洞可能会让黑客入侵用户设备、获得管理权限甚至完全控制设备并运行其中的应用软件。

苹果紧急寻找了解决办法,并向用户推送全新的修复补丁,提醒大家立即升级,这才封堵了这个严重漏洞。

]]>
《安联智库-网安周报》2022-09-25 Tue, 07 Feb 2023 10:48:06 +0800

1、澳大利亚Optus遭受重大网络攻击,多达900万用户受影响


Optus透露,它受到了一次网络攻击,导致当前和以前客户的信息被非法获取,包括姓名、出生日期、机密身份证件和电子邮箱地址。在一份声明中,这家新加坡电信的澳大利亚子公司解释说,它已立即制止了侵犯行为,并与澳大利亚网络安全中心合作以减轻客户面临的任何风险。
它还通知了警方和主要监管机构,可能泄露的信息包括电话号码等个人详细信息,而部分客户的地址和身份证件号码也被泄露,受到影响的客户据称多达900万。
该运营商表示,支付细节和账户密码并未泄露,其移动和互联网服务仍正常运行。
2、支付宝安全中心:对确认刷单涉案的关联收款账户 实行永久冻结账户处罚

据支付宝安全中心微信公众号消息,支付宝安全中心发布《针对虚假刷单类欺诈行为深度治理的公告》称,近期收到了不少用户对于虚假刷单骗局的线索举报。支付宝安全中心表示,在对用户提交的举报线索进行核实后,依据相关法律法规及支付宝平台相关协议和规范,对有以下虚假刷单行为的账户等进行专项分类治理:
1、对确认刷单涉案的关联收款账户,实行永久冻结账户处罚,同时向公安机关提交违法证据线索;
2、对账户涉嫌参与向他人做刷单返款、收款以及资金中间账户做限制收款处理;
3、对确认建立刷单群聊,诱导他人下载刷单 App、点击刷单网站链接的,做社交群功能禁止处罚。
公告指出,为了守护支付宝用户的资金安全,支付宝安全中心对正处于风险交易中的用户进行主动提醒,对于核实参与虚假刷单欺诈的风险账户进行了不同程度的处罚。
数据显示,截至 2022 年 9 月,支付宝安全中心已对 24407 个参与组织刷单的账号进行了永久冻结账户处罚;对 4215 个参与刷单诈骗的账号作出了限制收款处理;对 34375 个刷单社交群作了群功能禁止处罚。同时,其也致力于优化风控服务能力,实时甄别疑似刷单欺诈交易。2022 年上半年,支付宝用户在刷单类诈骗中的资金损失率下降了 36.9%。
此外,支付宝安全中心提醒称,刷单是违法行为,凡是以刷单为名义的兼职,都是诈骗。如遇疑似违法违规情况,可通过支付宝举报中心举报或者直接拨打 110 电话报警。
3、信阳师范学院曝“学信网信息泄露”,学院:已报警,涉事学生干部被撤职

据国内多家媒体报道,9月19日,河南省信阳师范学院被曝“学信网信息泄露”,导致不少学生三个月内不能享受购买苹果电脑、耳机等产品的优惠政策。根据信阳师范学院发布的通告,学校有关部门已于9月19日上午向信阳市五星乡派出所报案,并立案调查。

以下是信阳师范学院通报内容:

关于调查问卷引发网络舆情的情况说明

2022年9月19日,学校在日常网络舆情梳理中发现“学信网信息泄露”的话题。对此,学校高度重视,第一时间责成学生处、校团委、保卫处等部门对事件进行调查,要求快速查清事实,及时作出回应,给学生一个安心答复。经过多部门协同调查,与相关学生走访座谈,基本查清事实。现将有关情况说明如下。

2022年8月28日,校学生会一名学生干部参加社会实践活动期间,应郑州泽梦企业管理咨询有限公司业务人员要求,协助该公司擅自组织学生参与网上《信师宿舍满意度调查问卷》活动,通过学生干部QQ交流群发布调查问卷,组织2020级和2021级学生参加问卷调查。

经查,该调查问卷最后一题是要求学生登录学信网并填写学信码,涉事公司事前向该生隐瞒了学信码的真实用途,该生对问卷调查的真实目的缺乏了解。经与填写问卷学生核实,确实存在部分学生学信码被盗用情况,造成这些学生在三个月内不能享受购买苹果平板电脑、耳机等产品的优惠政策。

针对该事件,学校有关部门已于9月19日上午向信阳市五星乡派出所报案,并立案调查。校团委第一时间召开团学会议,要求做好学生信息统计、事件解释和情绪安抚工作,同时,通知参与问卷调查的学生登录学信网关闭学信码。涉事学生干部已被撤职,责令写出深刻检讨,等待进一步处理。

同时,与涉事企业进行严正交涉,要求该公司立即停止非法侵害行为,最大限度保护学生信息安全。目前,公安机关已掌握涉事公司收集我校学生个人信息情况,已责令该公司不得售卖学生信息,并最快消除不良后果,给我校学生一个满意交代。有关部门正与公安、网信部门保持密切联系,开展进一步调查,以确保学生信息安全。

最后,请同学们放心,也请同学们相信,学校将尽最大努力帮助学生挽回损失,消除此次事件可能造成的不良后果,后续事件进展情况将及时跟踪公布。

4、《GTA6》泄露事件黑客身份曝光:年仅16岁少年

9月20日消息,上周末R星备受期待的游戏大作《GTA6》的测试版游戏视频在网上泄露,引起业界轰动,成为有史以来最重大的游戏泄密事件。然而让人意外的是,这次泄密事件背后的黑手仅是一个16岁的青少年。

知名黑客、黑客论坛BreachForums的所有者“pompompurin”曝光了《GTA6》泄露事件黑客的身份,他表示罪魁祸首是网络犯罪团队Lapsus$的负责人,年仅16岁的Tea Pot。其在Telegram聊天中承认入侵了R星并展示了证据,但聊天记录很快就遭到了删除。

据悉,黑客组织Lapsus$自去年年底以来已卷入多起黑客事件,此前包括微软、三星、英伟达和育碧在内的许多科技公司都遭到了其攻击,该黑客组织曾表示自己的主要目标是钱,既无政治性,也没有任何人赞助。

值得一提的是,美国打车App优步(UBER)也表示最近遭到了Lapsus$ 攻击,现在正在与联邦调查局和美国司法部保持联系。R星发文承认《GTA6》遭到了泄露,但表示不会对其正在进行的项目产生长期影响。

]]>
支付宝安全中心:对确认刷单涉案的关联收款账户 实行永久冻结账户处罚 Tue, 07 Feb 2023 10:48:06 +0800 据支付宝安全中心微信公众号消息,支付宝安全中心发布《针对虚假刷单类欺诈行为深度治理的公告》称,近期收到了不少用户对于虚假刷单骗局的线索举报。支付宝安全中心表示,在对用户提交的举报线索进行核实后,依据相关法律法规及支付宝平台相关协议和规范,对有以下虚假刷单行为的账户等进行专项分类治理:

1、对确认刷单涉案的关联收款账户,实行永久冻结账户处罚,同时向公安机关提交违法证据线索;

2、对账户涉嫌参与向他人做刷单返款、收款以及资金中间账户做限制收款处理;

3、对确认建立刷单群聊,诱导他人下载刷单 App、点击刷单网站链接的,做社交群功能禁止处罚。

公告指出,为了守护支付宝用户的资金安全,支付宝安全中心对正处于风险交易中的用户进行主动提醒,对于核实参与虚假刷单欺诈的风险账户进行了不同程度的处罚。

数据显示,截至 2022 年 9 月,支付宝安全中心已对 24407 个参与组织刷单的账号进行了永久冻结账户处罚;对 4215 个参与刷单诈骗的账号作出了限制收款处理;对 34375 个刷单社交群作了群功能禁止处罚。同时,其也致力于优化风控服务能力,实时甄别疑似刷单欺诈交易。2022 年上半年,支付宝用户在刷单类诈骗中的资金损失率下降了 36.9%。

此外,支付宝安全中心提醒称,刷单是违法行为,凡是以刷单为名义的兼职,都是诈骗。如遇疑似违法违规情况,可通过支付宝举报中心举报或者直接拨打 110 电话报警。

]]>
澳大利亚Optus遭受重大网络攻击,多达900万用户受影响 Tue, 07 Feb 2023 10:48:06 +0800 Optus透露,它受到了一次网络攻击,导致当前和以前客户的信息被非法获取,包括姓名、出生日期、机密身份证件和电子邮箱地址。在一份声明中,这家新加坡电信的澳大利亚子公司解释说,它已立即制止了侵犯行为,并与澳大利亚网络安全中心合作以减轻客户面临的任何风险。

它还通知了警方和主要监管机构。

可能泄露的信息包括电话号码等个人详细信息,而部分客户的地址和身份证件号码也被泄露。

该运营商表示,支付细节和账户密码并未泄露,其移动和互联网服务仍正常运行。

Optus首席执行官凯利·拜耳·罗斯马林(Kelly Bayer Rosmarin)表示,该公司受到此次攻击的“重创”,并立即采取行动阻止和展开调查。

“虽然不是每个人都可能受到影响,我们的调查也尚未完成,但我们希望所有客户尽快了解发生的事情,以便提高警惕。”

受到影响的客户据称多达900万。

]]>
全球最大航空公司发生数据泄露事件 Tue, 07 Feb 2023 10:48:06 +0800 美国航空公司上周末(9月16日)发出客户通知信确认遭遇黑客攻击,声称攻击者获取了数量不明的客户和员工电子邮件账户和敏感个人信息。

美国航空公司的企业传播高级经理Andrea Koos告诉BleepingComputer,该公司员工的账户在一次网络钓鱼活动中遭到入侵,但拒绝透露有多少客户和员工受到影响,而是说这是“非常少数”。

根据通知,美国航空公司在7月5日发现了这一漏洞,立即保护了受影响的电子邮件账户,并聘请了一家网络安全取证公司来调查安全事件。

“在2022年7月,我们发现一名未经授权的行为者入侵了有限数量的美国航空公司团队成员的电子邮件账户,”该航空公司告诉受影响的客户:“在发现事件后,我们保护了受影响的电子邮件帐户,并聘请了第三方网络安全取证公司进行取证调查,以确定事件的性质和范围。”

在攻击中暴露并可能被攻击者访问的个人信息可能包括:员工和客户的姓名、出生日期、邮寄地址、电话号码、电子邮件地址、驾驶执照号码、护照号码和/或某些医疗信息。

美国航空公司表示,将为受影响的客户提供两年免费的Experian IdentityWorks会员资格,以帮助检测和解决身份盗窃问题。

美国航空公司曾在2021年3月遭遇数据泄露事件,当时全球航空信息技术巨头SITA证实,黑客入侵了其服务器并获得了包括美国航空公司在内的全球多家航空公司的乘客服务系统(PSS)的访问权限。

作为全球机队规模最大的航空公司(其主线拥有超过1300架飞机),美国航空公司拥有超过12万名员工,每天运营近6700个航班,飞往50多个国家/地区的约350个目的地。

]]>
河南一高校学信网信息泄露,校方:已报案 Tue, 07 Feb 2023 10:48:06 +0800 信阳师范学院

关于调查问卷引发网络舆情的情况说明

2022年9月19日,学校在日常网络舆情梳理中发现“学信网信息泄露”的话题。对此,学校高度重视,第一时间责成学生处、校团委、保卫处等部门对事件进行调查,要求快速查清事实,及时作出回应,给学生一个安心答复。经过多部门协同调查,与相关学生走访座谈,基本查清事实。现将有关情况说明如下。

2022年8月28日,校学生会一名学生干部参加社会实践活动期间,应郑州泽梦企业管理咨询有限公司业务人员要求,协助该公司擅自组织学生参与网上《信师宿舍满意度调查问卷》活动,通过学生干部QQ交流群发布调查问卷,组织2020级和2021级学生参加问卷调查。经查,该调查问卷最后一题是要求学生登录学信网并填写学信码,涉事公司事前向该生隐瞒了学信码的真实用途,该生对问卷调查的真实目的缺乏了解。经与填写问卷学生核实,确实存在部分学生学信码被盗用情况,造成这些学生在三个月内不能享受购买苹果平板电脑、耳机等产品的优惠政策。

针对该事件,学校有关部门已于9月19日上午向信阳市五星乡派出所报案,并立案调查。校团委第一时间召开团学会议,要求做好学生信息统计、事件解释和情绪安抚工作,同时,通知参与问卷调查的学生登录学信网关闭学信码。涉事学生干部已被撤职,责令写出深刻检讨,等待进一步处理。同时,与涉事企业进行严正交涉,要求该公司立即停止非法侵害行为,最大限度保护学生信息安全。目前,公安机关已掌握涉事公司收集我校学生个人信息情况,已责令该公司不得售卖学生信息,并最快消除不良后果,给我校学生一个满意交代。有关部门正与公安、网信部门保持密切联系,开展进一步调查,以确保学生信息安全。

最后,请同学们放心,也请同学们相信,学校将尽最大努力帮助学生挽回损失,消除此次事件可能造成的不良后果,后续事件进展情况将及时跟踪公布。

信阳师范学院学生处

2022年9月20日

]]>
勒索软件耽搁立法工作!欧洲又一国家议会遭攻击 工作停顿多天 Tue, 07 Feb 2023 10:48:06 +0800 9月21日消息,欧洲国家波黑(全称为波斯尼亚和黑塞哥维那)的检察官正调查一场影响范围极大的网络攻击,据称已经影响到该国议会的正常运行。

最近两周来,波黑议会网站一直处于关停状态。当地新闻媒体Nezavisne就此事联系了几位议员,对方称已被告知禁止访问自己的电子邮箱和官方文件,甚至最好干脆别使用电脑。

波黑检察官办公室一位发言人表示,他们几天前就已接到此案。

发言人Boris Grubešić表示,“当日值班的检察官向执法机构官员发出了必要指示,希望澄清案件具体情况,同时对IT网络与各级机构给予网络安全保护。”

“此案正在调查当中,我们目前无法透露其他任何消息。”

议会已失去工作能力,议员批评安全人员不关心安全

波黑议会人民院代表Zlatko Miletić告知当地媒体Nezavisne,目前立法机构已经失去了工作能力,而且此次攻击开始于9月8日-9日左右。

虽然检察官并未透露具体攻击类型,但有消息人士向Nezavisne证实,这就是一起勒索软件攻击。波黑《萨拉热窝时报》报道称,攻击发生后,该国议会的主服务器旋即关闭。

一位议会发言人告诉新闻媒体,“用户无法访问服务器,电子邮件和官方网站目前也都处于关闭状态。”

还有多位议员提到,他们收到了不要使用电脑的通知,理由是担心勒索软件会传播到他们的个人设备上。

Miletić对政府网络安全专家的工作持批评态度,强调在此次攻击之前,“根本没人关心安全问题”。

“他们本来有充足的时间采购必要的技术手段,为服务器施加额外保护。他们应该知道,网络安全领域就是需要投资,没有设备就没有安全可言。这些技术手段确实价格不菲,但我们必须要买起来、用起来。不只是议会,其他处理并存储各类数据的机构也应该从中吸取教训。”

另一位议员Dušanka Majkić也对政府计算机上的数据表示担忧,还提到她自己的设备上甚至保存着2004年时的文件。

政治动荡更容易引发网络攻击,今年已有多起案例

随着塞族共和国分裂行为的逐步升级,波黑目前正处于政治动荡之中。如果勒索软件攻击的传闻得到证实,则将成为今年以来勒索软件团伙借政治风波为掩护发动攻击的又一案例。

现已解散的Conti勒索软件团伙此前曾对哥斯达黎加发动过毁灭性的攻击,哥新任总统称这是企图“在过渡时期威胁该国稳定”。

三周之前,就在黑山政府因不信任投票而被实际免职的同时,也有勒索软件攻击趁虚而入。

近年来,全球多国议会已先后成为勒索软件团伙和黑客攻击的受害者。就在上周,位于首都的阿根廷议会遭遇一起勒索软件攻击,事件破坏了该机构的内部操作系统和WiFi网络。

]]>
女子被骗50万后哭求民警要再转20万 Tue, 07 Feb 2023 10:48:06 +0800 近日,湖北黄石,一银行工作人员报警称有位客户疑似被骗,坚持要转账。@平安黄石 民警赶到现场后,当事女子竟哭求民警让其再转20万,试着把之前转过去的50万提现出来,还声称银行不让转就回家用手机转。在民警苦口婆心的劝说下,该女子终于清醒,避免了更大的损失。

]]>
《GTA6》泄露事件黑客身份曝光:年仅16岁少年 Tue, 07 Feb 2023 10:48:06 +0800 9月20日消息,上周末R星备受期待的游戏大作《GTA6》的测试版游戏视频在网上泄露,引起业界轰动,成为有史以来最重大的游戏泄密事件。然而让人意外的是,这次泄密事件背后的黑手仅是一个16岁的青少年。

《GTA6》事件黑客身份曝光:16岁少年 此前曾攻击NVIDIA

知名黑客、黑客论坛BreachForums的所有者“pompompurin”曝光了《GTA6》泄露事件黑客的身份,他表示罪魁祸首是网络犯罪团队Lapsus$的负责人,年仅16岁的Tea Pot。其在Telegram聊天中承认入侵了R星并展示了证据,但聊天记录很快就遭到了删除。

据悉,黑客组织Lapsus$自去年年底以来已卷入多起黑客事件,此前包括微软、三星、英伟达和育碧在内的许多科技公司都遭到了其攻击,该黑客组织曾表示自己的主要目标是钱,既无政治性,也没有任何人赞助。

值得一提的是,美国打车App优步(UBER)也表示最近遭到了Lapsus$ 攻击,现在正在与联邦调查局和美国司法部保持联系。

IT之家了解到,昨天R星发文承认《GTA6》遭到了泄露,但表示不会对其正在进行的项目产生长期影响。

]]>
《羊了个羊》惊动警方,公安部治安管理局微博发文! Tue, 07 Feb 2023 10:48:06 +0800 近日,一款名叫《羊了个羊》的小游戏爆火网络。由于太火,服务器2天崩了3次,很多玩家惊呼“我只是睡前玩一玩,没想到给我整失眠了!”。

9月19日,公安部治安管理局官方微博“中国警方在线”发布反诈提醒:谨防冒充“羊了个羊”客服人员销售道具、复活次数等进行电信诈骗。在游戏过程中,要提高安全防范意识,别被一时激动冲昏头脑。一旦发现被骗,要及时保存聊天记录、发布诈骗信息的网页等证据,并立即向警方报案。

防骗秘籍

各位玩家,快乐游戏的同时,这份防骗秘籍,请一定要牢记!

01 给钱买秘籍

骗子在社交平台发布有通关秘籍的广告信息,诱导受害人在虚假游戏交易平台、微信群或QQ群内进行交易,让受害人支付9.9元等小额金额来换取秘籍或以“注册费、押金、解冻费”的名义支付各种费用。待收到钱后,将受害人联系方式拉黑或者失联。

02 秘籍在网盘自取

通常骗子通过社交平台与受害人添加好友后,声称索要秘籍的人较多,已经将word文档存在某网盘里,随即发来链接要求受害人自取,岂不知,骗子利用发送带有病毒的木马链接,诱骗游戏玩家进行点击,通过远程操控对其电脑、手机等进行控制。

03 中奖诱惑玩家付费

以去年爆火的某小程序游戏为例,就是凭借诱导性的广告,让玩家在玩游戏时,领取游戏界面弹出的带有“100手机话费券”。 大量网友在社交媒体上反馈称,领取了所谓的“100手机话费券”,但在按网站指示支付了9.9元或19.9元后却发现话费无法兑现,也不能退款。

警方提醒:快乐游戏的同时,谨防诈骗!未知链接不点击,陌生来电不轻信,个人信息不透露,转账汇款多核实。

“羊了个羊”背后上市公司股价19日大跌超7%

《羊了个羊》席卷社交平台的同时,其背后的一众公司和资本也成为市场关注的焦点。

9月14日,《羊了个羊》官方微博发布的一条“简游急招后端服务器开发”的招聘启事,让研发团队简游科技进入大众视野。

启信宝显示,简游科技成立于2021年1月,拥有“羊了个羊软件”的著作权。公司注册资本约117万元人民币,法定代表人为张佳旭。公司第一大股东为张佳旭,持股比例为85.5%;第二大股东为厦门雷霆网络科技股份有限公司(以下简称“雷霆网络”),持股比例为10%。

虽然成立短短一年多,但简游科技此前还开发过另一爆款微信小游戏《海盗来了》,并且其背后股东雷霆网络是知名游戏上市公司吉比特旗下公司。近日,吉比特(SH603444,股价285.13元,市值189.8亿元)也在投资者问答平台上表示:“公司通过控股子公司间接持有北京简游10%股权。”9月8日~9月16日,吉比特在6个交易日中股价累计上涨4.63%。吉比特于2017年上市,公司股价最高点曾达626.20元。

今日(9月19日)早间开盘后,吉比特股价极速下跌,一度跌超7%,截至发稿前,公司股价为264.15元,下跌7.32%。

Choice数据显示,今年9月1日至今,吉比特股价累计上涨0.4%;今年1月4日至今,吉比特股价累计下跌28.68%。如果将时间线再拉长,2021年1月4日至2022年9月16日,吉比特股价累计下跌27.87%。

]]>
Uber被黑,内部系统和机密文件均遭到破坏 Tue, 07 Feb 2023 10:48:06 +0800 据悉,Uber 再次遭到入侵,威胁行为者访问了其电子邮件和云系统、代码存储库、内部 Slack 帐户和 HackerOne 票据,攻击者渗透其内部网络并访问内部文件,包括漏洞报告。

据《纽约时报》报道,威胁者入侵了一名员工的 Slack 账户,并用它来通知内部人员该公司“遭受了数据泄露”,并提供了一份据称被黑客入侵的内部数据库列表。

“我宣布我是一名黑客,Uber遭到数据泄露。”

该公司被迫使其内部通信和工程系统离线,以减轻攻击并调查入侵。

据称,攻击者破坏了多个内部系统,并向《纽约时报》和一些网络安全研究人员提供了电子邮件、云存储和代码存储库的图像。“他们几乎可以完全访问 Uber,”Yuga Labs 的安全工程师 Sam Curry 说,他与声称对此次违规行为负责的人进行了通信。“从它的样子来看,这是一个彻底的妥协。”

攻击者还可以访问公司的 HackerOne 漏洞赏金计划,这意味着他们可以访问白帽黑客提交给公司的每个漏洞报告。这些信息非常重要,威胁者可以利用它发动进一步的攻击。目前无法排除报告包含有关公司尚未修复的一些缺陷的技术细节。

HackerOne 已立即禁用 Uber 漏洞赏金计划,阻止对报告问题列表的任何访问。公司发言人证实,Uber通知执法部门并开始对事件进行内部调查。

Uber首席信息安全官 Latha Maripuri 通过电子邮件告诉《纽约时报》:“我们目前无法估计何时恢复对工具的完全访问权限,因此感谢您对我们的支持。”

员工被指示不要使用内部消息服务 Slack,其中一些不愿透露姓名的员工告诉纽约时报,其他内部系统无法访问。

这名黑客自称18岁,并补充说优步的安全性很弱,在通过 Slack 发送的消息中,他还表示优步司机应该获得更高的工资。

据悉,这不是Uber第一次遭遇安全漏洞。2017 年,2016 年发生的另一起数据泄露事件成为头条新闻。

2017 年 11 月,Uber 首席执行官 Dara Khosrowshahi 宣布黑客侵入了公司数据库并访问了 5700 万用户的个人数据(姓名、电子邮件地址和手机号码),令人不安的发现是该公司掩盖了黑客行为一年多。攻击者还访问了其在美国大约 600,000 名司机的姓名和驾照号码。

黑客事件发生在 2016 年,根据彭博社发布的一份报告,黑客很容易  从公司开发团队使用的私人 GitHub 站点获取凭据。黑客试图勒索优步,并要求该公司支付 10 万美元,以换取避免公布被盗数据。

信息安全主管乔·沙利文(Joe Sullivan)没有按照加州数据安全违规通知法的要求向客户和执法部门通知数据泄露事件,而是下令支付赎金并掩盖破坏任何证据的故事。奖金被伪装 成漏洞赏金 ,并签署了保密协议。

如果Slack被判有罪,这将是第一次有安全专业人员因此类事件而被追究个人责任。

]]>
《安联智库-网安周报》2022-09-19 Tue, 07 Feb 2023 10:48:06 +0800

1、手机预售平台“易联购”被曝卷款跑路

近日,有多地消费者反映,他们通过易联购微信小程序预购了手机,付款后卖家却失联。而“易联购”手机订购平台疑似携款潜逃后留下嚣张跑路公告,称已卷款跑路,人在国外,钱也已经洗干净。
目前,重庆警方已经介入调查处理此次事件,当地市场监管部门也在协助警方进行调查。
律师表示,小程序平台作为开放平台管理者,也有义务在发现小程序发布违法违规信息时,及时采取技术上可行的必要措施,保障小程序用户的资金财产安全。
2、借悼念伊丽莎白二世女王之名,攻击者发起大规模网络钓鱼攻击

当地时间9月8日,英国传奇女王伊丽莎白二世在苏格兰巴尔莫勒尔城堡去世,享年96岁。

就在大家哀悼女王之际,Proofpoint安全研究人员却发现,毫无底线的攻击者假借悼念之名,行网络攻击之实,以“女王去世”、“哀悼女王”等为诱饵的网络钓鱼攻击呈现持续上升的趋势,其目的是从受害者那里窃取 Microsoft 帐户和密码。

邮件以 Microsoft团队的名义发出,大意是微软现正在推出一款名为“伊丽莎白将记忆板”的产品,以此缅怀这位传奇女王。在这里将汇聚来自全球的各种悼念信息,包括单词、邮件、相片等。如果用户也想参与悼念活动,点击链接登录微软账户即可。很明显,这是一个虚假恶意的钓鱼链接,重定向的域名并没有让用户提交悼念文本,而是忽悠受害者先输入其微软账号的登录面、以及多因素身份验证(MFA)等私密信息。一旦这些敏感的信息被攻击者获取,势必会对用户带来严重的影响,甚至是以用户之名进行二次网络钓鱼攻击。

3、大事件!乌方:网络攻击已瘫痪俄罗斯2400个网站

据乌克兰数字转型部消息,乌克兰IT军队在8月29日至9月11日的两周内,攻击了2400多个俄罗斯网站,其中包括俄罗斯联邦最大银行、汽车在线销售平台、俄罗斯主要媒体等。

当地时间9月12日,乌克兰数字转型部在Telegram宣布,其IT团队致使俄罗斯2400多个俄罗斯网站瘫痪,涉及金融业、实体企业、媒体等组织。俄罗斯联邦最大和最重要的银行:俄罗斯天然气工业银行、莫斯科信贷银行、俄罗斯国家银行的服务瘫痪,导致俄罗斯用户无法使用网上银行或通过智能手机进行金融交易。乌克兰数字转型部表示,“更严重的是,俄罗斯士兵领不到工资,亲属领不到赔偿。”

受影响的还有而连锁汽车经销商在线网站Drom、乳制品批发和零售商的电子文档管理系统。俄罗斯主要宣传媒体《俄罗斯日报》也陷入瘫痪。乌克兰数字转型部表示,“我们注意到,一些宣传人员已经在考虑停战,但现在已经太迟了。”据乌克兰媒体Ukrinform报道,9月11日俄罗斯对乌克兰展开大规模袭击,哈尔科夫和顿涅茨克地区的电力被完全切断。根据乌克兰能源部的数据,共有40个的变电站停电,4名电力工程师遇难。

4、FBI:黑客从医疗保健支付处理商窃取数百万美元

根据网站安全客消息,美国联邦调查局 (FBI) 已发出警报,称黑客针对医疗保健支付处理器将付款转移到攻击者控制的银行账户。据悉,仅今年一年,攻击者在访问客户账户和更改支付细节后,从医疗保健公司窃取了超过 460 万美元。

从FBI公布的信息来看,疗保健行业支付处网络犯罪分子正在结合多种策略来获取医理器员工的登录凭据并修改支付指令。FBI 表示,它收到了多份报告,其中黑客使用公开的个人详细信息和社会工程学来冒充受害者访问医疗保健门户、网站和支付信息。在今年 2 月和 4 月的三起此类事件中,黑客从受害者那里转移了超过 460 万美元到他们的账户。

网络钓鱼和欺骗支持中心是帮助黑客实现访问处理和分发医疗保健支付实体的目标的附加方法。FBI 今天的警报指出,这种特定的威胁行为者活动包括向医疗保健支付处理器的财务部门发送网络钓鱼电子邮件。他们还在修改 Exchange Server 的配置并为目标帐户设置自定义规则,可能会收到受害者邮件的副本。

]]>
FBI:黑客从医疗保健支付处理商窃取数百万美元 Tue, 07 Feb 2023 10:48:06 +0800 控制的银行账户。据悉,仅今年一年,攻击者在访问客户账户和更改支付细节后,从医疗保健公司窃取了超过 460 万美元。

从FBI公布的信息来看,疗保健行业支付处网络犯罪分子正在结合多种策略来获取医理器员工的登录凭据并修改支付指令。FBI 表示,它收到了多份报告,其中黑客使用公开的个人详细信息和社会工程学来冒充受害者访问医疗保健门户、网站和支付信息。在今年 2 月和 4 月的三起此类事件中,黑客从受害者那里转移了超过 460 万美元到他们的账户。

网络钓鱼和欺骗支持中心是帮助黑客实现访问处理和分发医疗保健支付实体的目标的附加方法。FBI 今天的警报指出,这种特定的威胁行为者活动包括向医疗保健支付处理器的财务部门发送网络钓鱼电子邮件。他们还在修改 Exchange Server 的配置并为目标帐户设置自定义规则,可能会收到受害者邮件的副本

]]>
借悼念伊丽莎白二世女王之名,攻击者发起大规模网络钓鱼攻击 Tue, 07 Feb 2023 10:48:06 +0800 当地时间9月8日,英国传奇女王伊丽莎白二世在苏格兰巴尔莫勒尔城堡去世,享年96岁。2015年,她成为历史上在位时间最长的英国君主,打破了她的曾曾祖母维多利亚女王创下的纪录。

各国政府纷纷对此表示哀悼,女王的葬礼后续事宜也在按照以往的规格和节奏有序进行。9月15日,英国伦敦深夜举行女王伊丽莎白二世葬礼彩排,并将于19日为女王举行隆重的国葬仪式。

假借悼念之名,行网络攻击之实

就在大家哀悼女王之际,Proofpoint安全研究人员却发现,毫无底线的攻击者假借悼念之名,行网络攻击之实,以“女王去世”、“哀悼女王”等为诱饵的网络钓鱼攻击呈现持续上升的趋势,其目的是从受害者那里窃取 Microsoft 帐户和密码。

攻击者实施网络钓鱼攻击的具体做法是,向用户发送一封带有恶意链接的电子邮件,内容如下图所示:

邮件以 Microsoft团队的名义发出,大意是微软现正在推出一款名为“伊丽莎白将记忆板”的产品,以此缅怀这位传奇女王。在这里将汇聚来自全球的各种悼念信息,包括单词、邮件、相片等。如果用户也想参与悼念活动,点击链接登录微软账户即可。

很明显,这是一个虚假恶意的钓鱼链接,重定向的域名并没有让用户提交悼念文本,而是忽悠受害者先输入其微软账号的登录面、以及多因素身份验证(MFA)等私密信息。一旦这些敏感的信息被攻击者获取,势必会对用户带来严重的影响,甚至是以用户之名进行二次网络钓鱼攻击。

EvilProxy一键反向代理

值得注意的是,在此次网络钓鱼攻击中,安全研究人员观察到不少攻击者正在使用EvilProxy一键反向代理和Cookie 注入,以此绕过2FA 身份验证。关于EvilProxy反向代理服务的具体内容,FreeBuf在 (EvilProxy文章) 进行了说明。

事实上,安全研究人员并非首次观察到此类攻击方式,在以往的APT和针对性间谍活动中也曾多次出现。而随着EvilProxy将这类功能逐渐产品化,那么未来针对在线服务和MFA授权机制的攻击将会迎来较高的增长。

EvilProxy首次出现在安全人员的视野是在2022年5月上旬,当时其背后的攻击组织发布了一段演示视频,详细介绍了该工具是如何提供高级网络钓鱼攻击服务,并声称可窃取身份验证令牌以绕过 Apple、Google、Facebook、Microsoft、Twitter、GitHub、GoDaddy 和甚至 PyPI。

其原理较为简单,攻击将受害者引导至网络钓鱼页面,使用反向代理获取用户期望的所有合法内容,包括登录页面——当流量通过代理时,它会进行嗅探。通过这种方式,攻击者可以获取有效的会话 cookie 并绕过用户名、密码、2FA令牌进行身份验证等操作,从而实现访问目标账户。

EvilProxy服务承诺窃取用户名、密码和会话cookie,费用为150美元(10天)、250美元(20 天)或400美元(30天)。而针对Google帐户攻击的使用费用更高,为 250/450/600 美元。Resecurity还在社交平台上演示了,EvilProxy是如何针对Google帐户发起网络钓鱼攻击。

]]>
伊朗勒索软件组织攻击美国企业,遭美政府溯源真实身份并制裁 Tue, 07 Feb 2023 10:48:06 +0800 安全内参9月15日消息,美国财政部海外资产控制办公室(OFAC)昨天宣布,对隶属于伊朗伊斯兰革命卫队(IRGC)的10名个人和两家实体实施制裁,理由是他们参与了勒索软件攻击。

美国财政部声称,过去两年以来,这些个人涉嫌参与多起勒索软件攻击,并入侵了美国和全球其他地区组织的网络。

这些恶意活动,还与多家网络厂商分别跟踪的国家资助黑客活动存在交集,具体包括APT35、Charming Kitten、Phosphorus、DEV-0270、Tunnel Vision和Nemesis Kitten。

美国财政部表示,“已经有多家网络安全公司发现,这些入侵活动确与伊朗政府有关。他们此前进行过多种恶意网络攻击,包括勒索软件和网络间谍活动。”

“该团伙针对全球各组织及官员发起广泛攻击,重点针对美国及中东地区的国防、外交和政府工作人员,同时也将矛头指向媒体、能源、商业服务和电信等私营行业。”

三名成员信息被悬赏3000万美元

作为伊朗伊斯兰革命卫队的附属组织,该团伙的成员主要是总部位于伊朗的Najee Technology Hooshmand Fater LLC(简称Najee Technology)和Afkar System Yazd公司(简称Afkar System)员工,其中包括:

Mansour Ahmadi:Najee Technology公司法人、董事总经理兼董事会主席

Ahmad Khatibi Aghda:Afkar System公司董事总经理兼董事会成员

其他雇员及同事:Ali Agha-Ahmadi、Mohammad Agha Ahmadi、Mo'in Mahdavi、Aliakbar Rashidi-Barjini、Amir Hossein Nikaeen Ravari、Mostafa Haji Hosseini、Mojtaba Haji Hosseini及Mohammad Shakeri-Ashtijeh

美国财政部之前曾制裁与Net Peygard Samavat公司相关的人员,理由是他们曾于2019年同伊斯兰革命卫队和伊朗情报与安全部(MOIS)开展合作。

一年之后,美国财政部又制裁了Rana Intelligence Computing公司及部分员工,称这家打着经营旗号的企业其实在代表伊情报与安全部协调网络攻击活动。

在此次制裁公告中,美国国务院提供3000万美元,征集关于Mansour Ahmadi、Ahmad Khatibi Aghda和Hossein Nikaeen Ravari三名受制裁伊朗人的信息。三人也因涉嫌参与针对美国关键基础设施组织的勒索软件攻击,面临美国司法部的指控。

美国安全公司提供溯源证据链

昨天,美国、加拿大、英国和澳大利亚的网络安全机构还发布联合公告,描述了该威胁团伙的恶意活动并披露了技术细节。

安全公司Secureworks也紧跟发布一份报告,证实了美国财政部的信息。

Secureworks公司表示,由于抓住了对方在2022年6月勒索软件事件中犯下的操作失误,该公司成功将Nemesis Kitten(也称Cobalt Mirage)团伙同伊朗的Najee Technology、Afkar System两家公司,以及名为Secnerd的另一家实体联系了起来。

Secureworks公司反威胁部门(CTU)在今年5月的报告中,也曾提到涉及Nemesis Kitten的类似恶意攻击(与Phosphorus APT团伙存在交集)。

上周,微软表示,Nemesis Kitten(也称DEV-0270)团伙一直悄悄“作为伊朗支持的Phosphorus网络间谍团伙(又名Charming Kitten和APT35)的子部门,为个人或公司获取非法收入。”

微软将该团伙与多家伊朗企业联系了起来,其中包括Najee Technology、Secnerd和Lifeweb。

微软解释道,“该团伙的攻击目标有很大的随机性:他们会首先扫描互联网以查找易受攻击的服务器和设备,因此服务器和设备易受攻击且暴露在网上的组织更可能受到攻击影响。”

]]>
近6年黑客企图入侵韩国政府网络近56万次 Tue, 07 Feb 2023 10:48:06 +0800 韩联社首尔9月13日电 韩国国会行政安全委员会所属共同民主党籍议员李海植13日公开的一份资料显示,近6年来黑客企图入侵韩国政府网络系统近56万次。

这份来自行政安全部的统计资料显示,近5年零7个月(2017年到2022年7月)期间,黑客共55.8674万次企图入侵政府网络系统。按年度看,2017年为6.2532万次,2018年为9.498万次,2019年为12.4754万次,2020年为10.881万次,2021年为10.1123万次,整体呈逐年递增趋势。今年1月至7月共6.6475万次。

追踪网络层协议(IP)地址的结果显示,来自中国的攻击试图最多,共有12.7908万次(22.9%),其次是来自美国的11.3086万次(20.2%),韩国的4.7725万次(8.5%),俄罗斯的2.6261万次(4.7%),德国的1.5539万次(2.8%),巴西的1.3591万次(2.4%)等。按攻击类型来看,泄露信息(40.9%)最多,其次是收集信息(16.5%)、篡改网页(15.7%)、获取系统权限(14.2%)等。

李海植表示,试图攻击政府网络的黑客逐年增加意味着国家安全和国民的个人信息受到威胁,有必要从政府层面制定全面的网络安全防范对策。

]]>
原来用户隐私是这样被泄露:超八成搜索网站将信息出售 Tue, 07 Feb 2023 10:48:06 +0800 互联网时代给用户带来了极大地便利,但也让个人隐私信息无处躲藏。打开电商购物平台,APP的精准推荐总是让人感到不安;打开搜索平台,跳出的智能搜索记录着浏览行为;打开娱乐软件,推荐算法让用户逐渐沉迷其中......

虽然“隐私”在数字化的世界已经无处安放,但我们却很少去认真思考,隐私究竟是怎样被泄露的?

近日,诺顿LifeLock实验室研究后发现,超过8成带有搜索栏的网站会将访问者的搜索字词泄露给谷歌等在线广告商。

很明显这是在赤裸裸地侵犯用户隐私,并公然将敏感信息泄露给庞大的第三方服务商,借助这些信息,谷歌等在线广告商可以提供有针对性的广告或跟踪用户的网络行为。这些数据甚至有可能在这些服务商之间共享,又或者是多次转手出售给更多的企业,由此带来的恶果是,用户的隐私信息将会一直存在互联网上,一直被曝光。

虽然一些网站可能会在其用户政策中声明这种做法,但访问者通常不会阅读这些内容,并认为他们在嵌入式搜索字段中输入的信息是与大数据代理隔离的。

用爬虫发现信息泄露

为了研究用户隐私信息泄露的普遍程度,诺顿LifeLock实验室开发了一个基于Chrome 浏览器的网络爬虫。该爬虫可以使用前100万个网站内部的搜索功能并执行搜索,最后搜索后捕获所有网络流量,以此查看用户的搜索词会流转到哪里。

为了区别于其他的普通搜索,实验室使用了一个特定的搜索词“jellybeans”,以确保可以在网络流量中轻松找到测试的搜索词。

众所周知,一个典型的 HTTP 网络请求由三部分组成:URL、Request Header 和 payload。HTTP 请求标头是浏览器自动发送的元数据(见下文),有效负载是脚本或表单请求的附加数据,可能包括更详细的跟踪信息,例如浏览器指纹或点击流数据。在实际研究中,安全研究人员在网络请求的Referer 请求标头、URL 和有效负载中寻找关键词“jellybeans”。

结果令人感到非常惊讶。在具有内部站点搜索功能的顶级网站中,安全研究人员发现,81.3%的网站都在以某种形式向第三方泄露搜索字词:75.8% 的网站通过Referer标头,71% 的网站通过URL,21.2%的网站通过有效载荷。这也就意味着网站通常会以多个向量泄露关键词。

研究人员强调,八成只是最低的数字,因为他们仅在三个特定位置查找“jellybeans”搜索字符串,还有不少有效载荷被混淆以避免被工具检查,因此有效载荷的实际数量将会更高。

鉴于如此严峻的结果,安全研究人员很好奇这些网站是否都告知用户,其搜索关键词将会被发给第三方服务商。事实上,自欧洲通用数据保护条例 (GDPR) 和加利福尼亚州消费者隐私法 (CCPA) 通过以来,许多网站都更新了各自的隐私政策,那么又有多少网站明确告知了这些内容?

为此安全研究人员再次使用爬虫爬取了隐私政策,并建立了一个人工智能逻辑来阅读隐私政策,结果发现只有13% 的隐私政策明确提到了用户搜索词的处理,如此之低的比例再次让安全研究人员感到震惊。这不仅侵犯了用户隐私,而且还侵犯了用户的知情同意权。

]]>
大事件!乌方:网络攻击已瘫痪俄罗斯2400个网站 Tue, 07 Feb 2023 10:48:06 +0800 据乌克兰数字转型部消息,乌克兰IT军队在8月29日至9月11日的两周内,攻击了2400多个俄罗斯网站,其中包括俄罗斯联邦最大银行、汽车在线销售平台、俄罗斯主要媒体等。

当地时间9月12日,乌克兰数字转型部在Telegram宣布,其IT团队致使俄罗斯2400多个俄罗斯网站瘫痪,涉及金融业、实体企业、媒体等组织。

俄罗斯联邦最大和最重要的银行:俄罗斯天然气工业银行、莫斯科信贷银行、俄罗斯国家银行的服务瘫痪,导致俄罗斯用户无法使用网上银行或通过智能手机进行金融交易。乌克兰数字转型部表示,“更严重的是,俄罗斯士兵领不到工资,亲属领不到赔偿。”

受影响的还有而连锁汽车经销商在线网站Drom、乳制品批发和零售商的电子文档管理系统。俄罗斯主要宣传媒体《俄罗斯日报》也陷入瘫痪。乌克兰数字转型部表示,“我们注意到,一些宣传人员已经在考虑停战,但现在已经太迟了。”

此外,乌克兰IT团队还在9月1日(苏联解体国家的知识日),通过克里米亚主要电视频道,向学生传达总统泽连斯基的问候。

据乌克兰媒体Ukrinform报道,9月11日俄罗斯对乌克兰展开大规模袭击,哈尔科夫和顿涅茨克地区的电力被完全切断。根据乌克兰能源部的数据,共有40个的变电站停电,4名电力工程师遇难。

]]>
思科确认 Yanluowang 勒索软件团伙泄露了公司数据 Tue, 07 Feb 2023 10:48:06 +0800 Bleeping Computer 网站披露,思科公司已经确认 Yanluowang 勒索软件团伙泄露的数据是黑客在5月份一次网络攻击中从该公司网络中窃取的。

值得一提的是,思科方面在一份公告中表示,此次数据泄漏事件不会对公司业务有任何影响。

公告中部分内容:

2022 年 9 月 11 日,黑客将相同文件的实际内容发布到了暗网同一位置上,这些文件的内容与公司已经识别和披露的内容相符。思科方面认为对公司业务没有影响,包括思科产品或服务、敏感的客户数据或敏感的员工信息、知识产权或供应链运营等。

据悉,早在 8 月份的一份报告中,思科就宣布在黑客入侵员工 VPN 帐户后,其网络已被 Yanluowang 勒索软件入侵。随后思科强调被盗的数据包括该员工 Box 文件夹中的非敏感文件,攻击在 Yanluowang 勒索软件开始加密系统之前就已被遏制。

黑客声称窃取了55GB的数据

有意思的是,黑客表示事情并不是思科所说的那样,Yanluowang 幕后主使人向 BleepingComputer 透露,该组织窃取了思科成千上万的文件,总计达到了 55 GB ,文件主要包括机密文件、技术原理图和源代码。

不过,该名黑客没有提供任何证据,只分享了一张截图(表明可以访问似乎是开发系统的界面),因此 BleepingComputer 也无法核实这一说法的准确性。当被要求对此事发表评论时,思科否认了入侵者能够访问任何源代码的可能性。

公司没有证据表明攻击者访问了思科产品的源代码,也没有任何超出我们已经公开披露的实质性访问——思科

上月末,网络安全公司eSentire的研究团队发表了一份报告,其中有证据表明 Yanluowang、“Evil Corp”(UNC2165)和 FiveHands 勒索软件(UNC2447)之间存在关联。但Yanluowang勒索软件团伙告诉 BleepingComputer,他们在攻破思科时是单独行动,与这些派别都没有关系。

]]>
250万学生贷款记录因违规泄露 Tue, 07 Feb 2023 10:48:06 +0800 据外媒报道,EdFinancial 和俄克拉荷马州学生贷款管理局 (OSLA)已承认,超过250万学生用户的个人数据和贷款记录遭泄露,目前正在陆续通知受害者。

根据其披露的违规信息,造成此次数据泄露的主要元凶是Nelnet Servicing公司——一家服务系统和网络门户提供商,为 OSLA 和 EdFinancial 提供相应的服务。

2022年7月,Nelnet公司曾向用户发布了一封公开信,披露了存在的违规行为以及可能泄露个人贷款记录。该公司在公开信中强调,在事件发生后,网络安全团队立即采取行动保护信息系统,并极力阻止一切可以行动,及时与第三方网络安全专家展开联合调查,以确定活动的性质和范围,尽可能解决这一网络安全事件。

直到8月17日,调查结果显示,个人用户信息已经被未经授权的第三方访问,数据泄露已成定局。此次事件中泄露了250万学生贷款记录,以及账户持有人的姓名、家庭住址、电子邮件地址、电话号码和社会保险号码,个人财务信息没有泄露。

Nelnet法律顾问向俄克拉荷马州提交了违规披露文件,但尚不清楚被攻击的原因和具体的漏洞信息。

尽管极为关键的个人财务信息没有泄露,但是在 Nelnet事件中泄露的个人信息,未来很有可能被攻击者在社会工程或网络钓鱼攻击活动中利用。恰好拜登政府上周出台了一项“减免学生贷款”的计划,中低收入贷款人取消 10000 美元的学生贷款债务,别有用心的犯罪分子可能会利用这个机会进行诈骗,已经贷款的用户需提高警惕,认真辨别消息的真伪,避免上当受骗。

]]>
20.5亿条数据泄露?TikTok否认遭黑客攻击 Tue, 07 Feb 2023 10:48:06 +0800 据BleepingComputer报道,TikTok近日否认遭黑客入侵及源代码和用户数据被盗,黑客论坛泄露的20.5亿条数据与该公司“完全无关”。

上周五,一个名为“AgainstTheWest”的黑客组织在一个黑客论坛发帖声称已经入侵了TikTok和微信,并公布了一个Tiktok和微信的数据库屏幕截图,声称该数据库是在一个包含TikTok和微信用户数据的阿里云实例上访问的。

该黑客组织表示,该服务器在一个790GB的庞大数据库中保存了20.5亿条记录,其中包含用户数据、平台统计信息、软件代码、cookie、身份验证令牌、服务器信息等。

虽然该黑客组织的名字是“AgainstTheWest”(以下简称ATW),但该组织声称只针对敌视西方利益的国家和公司。

网络安全研究员CyberKnow解释说:“不要让这个名字让你感到困惑,ATW的目标是他们认为对西方社会构成威胁的国家,目前他们的目标是中国和俄罗斯,并计划在未来瞄准朝鲜、白俄罗斯和伊朗。”

TikTok否认被黑客入侵

TikTok告诉BleepingComputer,该公司被黑客入侵的说法是错误的。此外,该公司表示,在黑客论坛上共享的源代码不是其平台的一部分。

“这是一个错误的说法——我们的安全团队调查了这一声明,并确定有问题的代码与TikTok的后端源代码完全无关,后者从未与微信数据合并。”-TikTok。

TikTok还指出,泄露的用户数据不可能是直接抓取其平台造成的,因为它们有足够的安全保护措施来防止自动脚本收集用户信息。

BleepingComputer也已联系微信,但截止发稿尚未收到回复。

虽然微信和TikTok都是中国公司,但它们并不属于同一家母公司,前者属于腾讯,后者属于字节跳动。因此,在单个数据库中同时看到两家企业的数据表明该数据库不属于其中任何一家公司。

最有可能的情况是,该未受保护的数据库是由第三方数据抓取工具或代理人创建的,从两种服务中抓取公共数据并将其保存到单个数据库中。但是考虑到严格的隐私保护法规,如此大规模的隐私数据云端暴露真实性存疑。

HaveIBeenPwned创始人Troy Hunt发推文(下图)确认了某些数据(源代码)是有效的。但是Hunt表示已泄露的都是公开可访问代码,很可能是非生产环境或测试代码,目前没有任何证据表明TikTok存在内部系统漏洞。

此外,“数据库猎手”Bob Diachenko发推文称已经验证了泄露的用户数据是真实的,但无法提供有关数据来源的任何具体结论:

]]>
洲际酒店集团遭网络攻击预订系统瘫痪 Tue, 07 Feb 2023 10:48:06 +0800 洲际酒店集团是一家英国跨国公司,目前在100多个国家/地区经营6,028家酒店,并有1800多家在开发中,旗下品牌包括豪华、高档和基本连锁酒店,如洲际、丽晶、六善、皇冠假日、假日酒店等。

在周二在向伦敦证券交易所提交的文件中,洲际酒店集团报告其公司部分技术系统受到未经授权的活动的影响:“自昨天以来,IHG的预订渠道和其他应用程序已被严重中断,而且这种情况仍在继续。”

根据报告,洲际酒店集团已聘请外部专家对事件进行调查,并正在通知相关监管机构。 

洲际酒店集团是一家英国跨国公司,目前在100多个国家/地区经营6,028家酒店,并有1800多家在开发中,旗下品牌包括豪华、高档和基本连锁酒店,如洲际、丽晶、六善、皇冠假日、假日酒店等。

在周二在向伦敦证券交易所提交的文件中,洲际酒店集团报告其公司部分技术系统受到未经授权的活动的影响:“自昨天以来,IHG的预订渠道和其他应用程序已被严重中断,而且这种情况仍在继续。”

根据报告,洲际酒店集团已聘请外部专家对事件进行调查,并正在通知相关监管机构。 

根据BleepingComputer的测试,洲际酒店集团的API也出现故障,并显示502和503HTTP错误。

洲际酒店集团客户端APP目前也无法登录,显示“出现问题,您输入的凭据无效。请重置您的密码或联系客户服务。”的错误信息

网络犯罪情报公司Hudson Rock表示,根据与ihg[.]com域名相关的数据分析,IHG至少有15名员工和4000多名用户遭到入侵。

这家连锁酒店巨头也是2017年(9月29日至12月29日)长达三个月的漏洞攻击事件的受害者目标,当时美国有1200多家洲际特许经营酒店受到影响。

]]>
洛杉矶联合学区遭勒索软件攻击 多项服务出现中断 Tue, 07 Feb 2023 10:48:06 +0800 洛杉矶联合学区 (LAUSD) 承认遭到勒索软件攻击,导致持续的技术中断。LAUSD 是仅次于纽约市教育部的美国第二大学区。LAUSD 为 1000 多所学校的 60 多万名从幼儿园到 12 年级的学生提供服务,并雇用了超过 26000 名教师。

本周一,该学区承认在上周末遭到网络攻击,随后确认攻击类型为勒索软件。尽管本次攻击导致 LAUSD 基础设施出现“明显的中断”,不过该学区表示正着手恢复受影响的服务。LAUSD 表示,预计技术问题不会影响交通、食品或课后活动,但指出“业务运营可能会延迟或修改”。

该学区警告说,持续的中断包括“访问电子邮件、计算机系统和应用程序”。该学区内 Northridge Academy High 学校的一篇帖子证实,教师和学生可能无法访问 Google Drive 和 Schoology,这是一个 K- 12 学习管理系统,直至另行通知。

LAUSD 表示,根据对关键业务系统的初步分析,“员工医疗保健和工资单没有受到影响,网络事件也没有影响学校的安全和应急机制”。然而,目前尚不清楚攻击期间是否有任何数据被盗,LAUSD 尚未回答媒体的问题。勒索软件攻击者通常会在要求支付赎金之前泄露受害者的文件,旨在进一步勒索受害者,威胁要在不支付赎金的情况下在线泄露被盗数据。目前尚不清楚袭击的幕后黑手是谁。

]]>
谷歌Chrome浏览器再现0 day漏洞 已发布更新补丁 Tue, 07 Feb 2023 10:48:06 +0800  9 月 7 日消息,谷歌于 9 月 2 日发布了其 Chrome 浏览器的更新,其中包含针对 Mac 和 Windows 版漏洞的修复。

Chrome 浏览器 105.0.5195.102 版本更新已推出,修复了一个高风险安全漏洞,该漏洞修补了一个危险的 0 day 漏洞,即被发现后立即被恶意利用的安全漏洞。这是该公司在 2022 年迄今为止修补的第六个 0 day 漏洞。

此前修复的 5 个 0 day 漏洞分别为 CVE-2022-0609、CVE-2022-1096、CVE-2022-1364、CVE-2022-2294 和 CVE-2022-2856。

IT之家了解到,匿名报告称,新漏洞 CVE-2022-3075 是 Mojo 中数据验证不足导致的。Mojo 是一组运行时库,有助于跨任意进程间和进程内边界传递消息。

谷歌表示:“在大多数用户更新修复程序之前,可能会限制对错误详细信息和链接的访问。如果错误存在于其他项目类似依赖但尚未修复的第三方库中,我们还将保留限制。”

]]>
《安联智库-网安周报》2022-09-05 Tue, 07 Feb 2023 10:48:06 +0800

1、黑山遭遇勒索软件攻击,黑客索要1000万美元

Bleeping Computer 网站披露,黑山政府关键基础设施遭到了勒索软件攻击,黑客索要 1000 万美元巨款。
黑山公共管理部长马拉斯-杜卡伊在接受当地电视台采访时表示,此次网络攻击背后是一个有组织的网络犯罪集团,之后杜卡伊又补充说,黑客在这次攻击中使用了一种“特殊病毒”,并提出了 1000 万美元的赎金要求。
2、意大利石油巨头 ENI 遭受网络攻击

Security Affairs 网站披露,意大利石油巨头ENI 遭受网络攻击,攻击者破坏了其计算机网络,但该公司称,攻击并未产生很恶劣的影响。

攻击事件发生不久后,ENI 一位发言人在接受路透社采访时透露,是在最近几天内部保护系统检测时,发现了此次网络攻击事件,随后就向意大利当局报告了这一事件,当局也已经展开调查。

目前,没有披露出关于此次攻击的具体技术细节,也没有确定攻击者是采用那种方式入侵了公司和攻击者动机。从知情人士透露出的消息来看,ENI 可能遭受了勒索软件攻击。勒索软会锁定计算机并阻止对文件的访问以代替付款,目前尚不清楚攻击事件的主谋。

3、美国国税局泄露了12万人的机密信息

9月4日消息,据《华尔街日报》报道,美国国税局于当地时间周五表示,官网无意中发布了涉及约 120000 人的通常机密信息,目前已发现错误并从网站上删除了数据。

据报道,泄露的数据包括姓名、联系信息和有关这些 IRA 收入的财务信息。根据美国政府周五发送给国会主要成员的一封信,财政部确定,其中不包括社会安全号码、完整的个人收入信息或其他可能影响纳税人信用的数据。

美国国税局和财政部称,从去年开始,以电子方式提交 990-T 表格时出现了人为编码错误。一些非公开数据被错误地包含在了公共数据中,并且所有这些数据都可以在该机构的网站上进行搜索和下载。

4、匿名黑客控制了俄罗斯最大的出租车公司,造成了大规模的交通堵塞

本周,黑客控制了莫斯科市中心,造成了长达两小时的交通堵塞。根据推特的报道,黑客操纵了Yandex出租车应用程序,让所有可用的出租车同时到同一个地方。

这条被称为莫斯科库图佐夫前景的街道堵塞了几个小时,出租车司机发现他们无法离开这一地区。匿名者声称这是他们“OpRussia”的一部分,但他们的角色尚未得到证实。

出租车公司的一位发言人表示,安保部门立即制止了人为囤积车辆的行为。由于假订单,司机们在路上花费了大约40分钟。赔偿的问题将在不久的将来得到解决。检测和防止此类攻击的算法已经得到了改进,以帮助防止未来发生此类攻击。虽然这次黑客攻击是通过Yandex应用程序发生的,但它突显了一旦自动驾驶汽车成为现实,黑客可能会带来的危险。

]]>
美国国税局泄露了12万人的机密信息 Tue, 07 Feb 2023 10:48:06 +0800 9月4日消息,据《华尔街日报》报道,美国国税局于当地时间周五表示,官网无意中发布了涉及约 120000 人的通常机密信息,目前已发现错误并从网站上删除了数据。

这些数据来自 990-T 表格,该表格通常用于拥有个人退休账户且在这些退休计划中赚取某些类型业务收入的人。

据报道,泄露的数据包括姓名、联系信息和有关这些 IRA 收入的财务信息。根据美国政府周五发送给国会主要成员的一封信,财政部确定,其中不包括社会安全号码、完整的个人收入信息或其他可能影响纳税人信用的数据。

美国国税局和财政部称,从去年开始,以电子方式提交 990-T 表格时出现了人为编码错误。一些非公开数据被错误地包含在了公共数据中,并且所有这些数据都可以在该机构的网站上进行搜索和下载。IT之家了解到,《华尔街日报》称其也下载到了部分数据。

美国国税局的一名研究人员最近几周发现了这个错误,引发了更广泛的调查。根据管理重大信息安全事件的联邦法律的要求,美国国税局于周五通知了国会。受影响的纳税人将在未来几周内收到通知。

]]>
匿名黑客控制了俄罗斯最大的出租车公司,造成了大规模的交通堵塞 Tue, 07 Feb 2023 10:48:06 +0800 本周,黑客控制了莫斯科市中心,造成了长达两小时的交通堵塞。根据推特的报道,黑客操纵了Yandex出租车应用程序,让所有可用的出租车同时到同一个地方。

这条被称为莫斯科库图佐夫前景的街道堵塞了几个小时,出租车司机发现他们无法离开这一地区。

匿名者声称这是他们“OpRussia”的一部分,但他们的角色尚未得到证实。

出租车公司的一位发言人表示,安保部门立即制止了人为囤积车辆的行为。由于假订单,司机们在路上花费了大约40分钟。赔偿的问题将在不久的将来得到解决。检测和防止此类攻击的算法已经得到了改进,以帮助防止未来发生此类攻击。

虽然这次黑客攻击是通过Yandex应用程序发生的,但它突显了一旦自动驾驶汽车成为现实,黑客可能会带来的危险。

Yandex出租车被广泛称为“俄罗斯谷歌”,在全球1000多个城市运营,也是世界上从事自动驾驶技术的最大公司之一。如果一支舰队人工智能无人驾驶的出租车可能会被黑客接管,谁也不知道会造成什么样的破坏,从网络罪犯到军队,每个人都有能力瘫痪整个城镇和国家。

]]>
意大利石油巨头 ENI 遭受网络攻击 Tue, 07 Feb 2023 10:48:06 +0800 Security Affairs 网站披露,意大利石油巨头ENI 遭受网络攻击,攻击者破坏了其计算机网络,但该公司称,攻击并未产生很恶劣的影响。

攻击事件发生不久后,ENI 一位发言人在接受路透社采访时透露,是在最近几天内部保护系统检测时,发现了此次网络攻击事件,随后就向意大利当局报告了这一事件,当局也已经展开调查。

彭博社首次披露了攻击事件

周三,彭博新闻社首先报道了 ENI 遭受攻击的消息,并猜测 ENI  似乎受到了勒索软件攻击。

目前,没有披露出关于此次攻击的具体技术细节,也没有确定攻击者是采用那种方式入侵了公司和攻击者动机。

从知情人士透露出的消息来看,ENI 可能遭受了勒索软件攻击。勒索软会锁定计算机并阻止对文件的访问以代替付款,目前尚不清楚攻击事件的主谋。

意大利其他部门同样也遭受了网络攻击

上周末,意大利能源机构 Gestore dei Servizi Energetici SpA 遭受了网络攻击,(GSE 是运营意大利电力市场的政府机构)。GSE 的网站目前仍然处于瘫痪状态。熟悉此事的人向彭博社透露,能源公司的基础设施遭到严重破坏,对该机构的运作产生了很大影响。

更糟糕的是,公共关键基础设施运营商一旦遭受网络攻击,可能导致向用户提供电力、水和其他服务的运营系统中断,最终影响民众的生活。

去年,位于佐治亚州阿尔法雷塔的 Colonial Pipeline Co遭受了网络攻击,导致其 IT 系统瘫痪,被迫关闭了美国最大的燃料管道。今年 2 月,位于德国汉堡的石油交易商 Mabanaft 遭受网络攻击,严重破坏了德国各地的燃料供应工作。

]]>
黑山遭遇勒索软件攻击,黑客索要1000万美元 Tue, 07 Feb 2023 10:48:06 +0800 Bleeping Computer 网站披露,黑山政府关键基础设施遭到了勒索软件攻击,黑客索要 1000 万美元巨款。

黑山公共管理部长马拉斯-杜卡伊在接受当地电视台采访时表示,此次网络攻击背后是一个有组织的网络犯罪集团,之后杜卡伊又补充说,黑客在这次攻击中使用了一种“特殊病毒”,并提出了 1000 万美元的赎金要求。

最后,杜卡伊强调,无法估计受黑客影响的服务何时能够重新恢复正常使用。

幕后主使者 Cuba 勒索软件

值得一提的是,此前杜卡伊和黑山国防部长向当地媒体透露,他们有足够的证据怀疑网络攻击是由俄罗斯服务机构指挥的,并动员巴尔干国家的北约盟友帮助他们进行事件响应、防御和补救。

如果他们所述属实,会使攻击事件显得具有强烈的地缘政治色彩。

事情很快出现了反转,在黑山政治人物发声不久后,Cuba 勒索软件团伙将黑山议会(Skupstina)列为其受害者,并声称盗取了财务文件、与银行的通信记录、资产负债表、税务文件、赔偿金,甚至源代码等资料。

这些数据分类在该网站的“免费 ”部分,任何访问者都可以无限制地使用。

Cuba勒索软件的演变

近段时间,Cuba 勒索软件表现出了明显演变。三周前,安全研究人员发现了该团伙使用一个新的工具集,以及之前未见过的策略、技术和程序。

6月,Cuba 勒索软件更新了其加密器,增加了一些选项,并建立了一个支持“受害者实时沟通”的渠道。

另一个值得注意是,2021年,大量美国实体组织在 Cuba团伙的目标范围中。

]]>
印度阿卡萨航空公司承认存在安全漏洞 导致34533条用户信息暴露 Tue, 07 Feb 2023 10:48:06 +0800 本月初开始商业运营的印度阿卡萨航空公司(Akasa Air)由于注册登陆服务中的技术故障,导致数千名用户的个人数据被披露。这些披露的数据是由阿舒托什·巴罗特(Ashutosh Barot)发现的,其中包括客户全名、性别、电子邮件地址、手机号码等等。

在阿卡萨航空公司网站于 8 月 7 日成立上线之后,巴罗特在几分钟之后就发现了 HTTP 请求漏洞。他最初试图直接与这家总部位于孟买的航空公司的安全团队沟通,但没有找到直接联系人。

这位研究专家表示:“我通过他们的官方Twitter账户联系了航空公司,要求他们提供一个电子邮件 ID 来报告这个问题。他们给了我 info@akasa 电子邮件 ID,我没有向其分享漏洞详细信息,因为它可能由支持人员或第三方供应商处理。所以,我再次给他们发了电子邮件,并要求 [航空公司] 提供他们安全团队中某人的 [the] 电子邮件地址。我没有收到来自 Akasa 的进一步通信”。

在没有得到航空公司关于他如何与安全团队联系的回应后,研究人员向 TechCrunch 通报了这个问题。在 TechCrunch 联系之后,该航空公司承认确实存在该问题,导致 34,533 条客户记录面临风险。该航空公司还表示,暴露的数据不包括与旅行相关的信息或支付记录。该航空公司告诉 TechCrunch,它进行了额外的审查,以确保其所有系统的安全性。

]]>
俄罗斯流媒体巨头遭恶意攻击,210万中国用户数据泄露 Tue, 07 Feb 2023 10:48:06 +0800 8月30日消息,俄罗斯流媒体巨头START 在上周日表示,其客户的个人信息在一次网络攻击中被泄露。

该公司没有透露具体有多少用户受到此次事件的影响,但根据俄罗斯Telegram频道“Information Leaks”的信息(该频道率先公布了此次事件,并附上一张据称为泄露信息的截图),泄露数据库总计72 GB大小,包含4400万客户的数据。

此次泄露的信息包括用户名、电子邮件地址、哈希密码、IP地址、用户注册国家、订阅起始及结束日期,以及最后一次登录记录。

START共在超过174个国家销售电影和电视节目,此次事件也让其成为俄乌冲突爆发后,遭受数据泄露和黑客攻击影响的众多俄罗斯企业之一。

据称,这起数据泄露事件已经影响到全球观众,包括俄罗斯本土的2460万用户、哈萨克斯坦的230万用户、中国的210万用户及乌克兰的170万用户。

恶意黑客宣称,这些数据来自一个暴露在互联网上的MongoDB数据库,其中包含去年9月22日之前在START网站上注册用户的详细信息。

START公司表示,已经修复了漏洞并设置了数据库访问权限,事件声明中写道,“泄露的数据对恶意黑客而言意义不大,其中最重要的内容也只有用户的电子邮件和电话号码。”

据START介绍,该数据库中不存在信用卡号等重要的财务信息。由于密码已经加密,该公司也未要求用户更改原有密码。

START公司数据科学主管Ilya Braslavskiy表示,只有少部分用户(不到2%)在网站注册时填写了真实姓名。他在Telegram上写道,“本人姓名并非必填字段,所以大多数用户没必要提交。”

目前尚不清楚此次攻击的幕后黑手和行为动机,也没有黑客团伙宣称对这起事件负责。

广电媒体成俄乌冲突期间攻击重点

今年7月初,来自乌克兰IT军的恶意黑客利用分布式拒绝服务(DDoS)攻击影响了约80家俄罗斯在线电影网站,泛滥的垃圾流量导致这些线上观影平台无法正常访问。

今年3月,匿名恶意黑客还曾入侵俄罗斯流媒体服务Wink和Ivi,并播放了俄乌战场上拍摄的真实画面。

俄乌战争期间,乌克兰方面的流媒体服务也同样饱受俄方网络攻击的摧残。今年6月,亲俄派黑客就攻击了乌克兰流媒体服务Oll.tv,并把足球赛转播替换成了俄文宣传影像。

Megogo、Sweet.tv等其他重要流媒体服务商也大多表示受到DDoS攻击,但并未受到重大影响。

]]>
《安联智库-网安周报》2022-08-28 Tue, 07 Feb 2023 10:48:06 +0800

1、AR滤镜违规采集人脸信息 Snap或需支付2.4亿元和解金

近日,由于被质疑滤镜效果违反生物识别法案,社交软件Snapchat的母公司Snap将以3500万美元(约2.4亿元人民币)和解一起隐私集体诉讼案件。这起集体诉讼在美国伊利诺伊州发起,原告指控Snapchat的滤镜不合理地收集和存储了居民的人脸信息,并且未提前告知这些行为,这违反了伊利诺伊州的《生物信息隐私法案》。
作为一款以照片分享为主要功能的软件,丰富的滤镜是Snapchat产品竞争力的重要组成部分。原告认为, Snapchat的滤镜可以通过摄像头,扫描、采集,并修改用户面部数据,以达到任意改变他们在镜头中的脸部形象的效果。然而,这些面部数据属于BIPA保护的“生物识别标识符(biometric identifier)”。同时,Snapchat并没有公开告知收集、使用和销毁个人生物识别信息的具体流程。
随着技术的逐渐普及,其中的风险也逐渐被用户所重视。
2、美外卖巨头发生数据泄露 涉及用户姓名、地址等信息

 8 月 27 日消息,据华尔街日报报道,当地时间周四,DoorDash 报告了一起数据泄露事件,涉及该公司的用户和配送员等信息。

DoorDash 表示,被读取的信息包括客户姓名、电子邮件地址、送货地址和电话号码、订单信息和部分支付卡信息。此外,DoorDash 工作人员的姓名、电话号码或电子邮件地址也被泄露。

不过,DoorDash 指出,受影响的人数只占该公司持有信息的“很小百分比”。在被问及此事时,DoorDash 的一名发言人不愿提供更具体的数字。

据 DoorDash 介绍,该公司调查了此次入侵事件,并认定“未经授权的一方使用窃取的供应商员工身份验证信息获得了我们部分内部工具的权限”。

3、北美国家政务机构遭勒索软件攻击,内部数据全部泄露

8月26日消息,位于北美洲的多米尼加共和国突遇横祸,农业部下属机构Instituto Agrario Dominicano(IAD)受到Quantum勒索软件攻击,导致该机构内多个服务及工作站被加密锁定。

IAD技术总监Walixson Amaury Nuñez向当地媒体表示,“对方开价超过60万美元。我们这边被锁定的包括四台物理服务器和八台虚拟服务器,几乎是我们的全部服务器设备了。”Núñez还透露,“由于数据库、应用程序和电子邮件等都受到了影响,信息已经全面泄露。

IAD告诉当地媒体,他们的系统上只装有防病毒软件之类最基础的安全软件,并且没有专门的网络安全部门。

4、黑客正使用AiTM攻击监控企业高管的微软 365帐户

据Bleeping Computer8月24日消息,一项新的商业电子邮件泄露 (BEC) 活动正将复杂的鱼叉式网络钓鱼与中间人攻击 (AiTM) 策略相结合,以入侵企业高管的 Microsoft 365 帐户,其中包括受多因素身份验证 (MFA) 保护的帐户。


Mitiga 的研究人员在一次事件响应案例中发现了这一活动,这是一种典型的商业电子邮件泄露攻击,目的是在入侵并监控首席执行官或首席财务官等高级员工的账户后适时进行通信,并在适当的时候回复电子邮件,将大笔资金交易转移到他们控制的银行账户。

在攻击开始时,攻击者会向目标发送谎称付款的公司银行账户由于财务审计而被冻结的钓鱼邮件,并附有新的付款指令,这些指令会切换到由攻击者控制的银行账户。

在Mitiga例举的一个攻击样例中,对公司高管的攻击始于一封看似来自 DocuSign 的网络钓鱼电子邮件,(DocuSign 是一种在企业环境中广泛使用的电子协议管理平台),虽然电子邮件没有通过 DMARC 检查,但 Mitiga 发现, DocuSign 针对垃圾邮件的常见安全错误配置有助于它进入目标的收件箱。单击“查看文档”按钮时,受害者会被带到一个欺骗域上的网络钓鱼页面,要求收件人登录到 Windows 域。

攻击者被认为使用网络钓鱼框架(例如 Evilginx2 代理)来进行所谓的中间人攻击 (AiTM) 。在 AiTM 攻击期间, Evilginx2 等工具充当代理,位于网络钓鱼页面和目标公司的合法登录表单之间。由于代理位于中间,当受害者输入他们的凭证并解决 MFA 问题时,代理会窃取 Windows 域生成的Cookie。这时,可以将偷来的Cookie加载到他们自己的浏览器中,自动登录到受害者的账户中,并绕过MFA。

由于有效Cookie可能会过期或被撤销,因此攻击者会添加新的 MFA 设备并将其链接到被破坏的 Microsoft 365 帐户,这一举动不会生成任何警报或需要与原有帐户所有者进行进一步交互。

在 Mitiga 看到的案例中,攻击者添加了一部手机作为新的身份验证设备,以确保他们可以不间断地访问受感染的帐户。据研究人员称,攻击者正利用这种隐秘的漏洞几乎完全地访问 Exchange 和 SharePoint。根据日志,他们没有对受害者的收件箱采取任何行动,大概只是阅读电子邮件。

然而,攻击者可能正在等待合适的时机注入他们自己的电子邮件,以将发票付款转移到攻击者控制的银行账户中

]]>
美外卖巨头发生数据泄露 涉及用户姓名、地址等信息 Tue, 07 Feb 2023 10:48:06 +0800  8 月 27 日消息,据华尔街日报报道,当地时间周四,DoorDash 报告了一起数据泄露事件,涉及该公司的用户和配送员等信息。

IT之家了解到,DoorDash 表示,被读取的信息包括客户姓名、电子邮件地址、送货地址和电话号码、订单信息和部分支付卡信息。此外,DoorDash 工作人员的姓名、电话号码或电子邮件地址也被泄露。

不过,DoorDash 指出,受影响的人数只占该公司持有信息的“很小百分比”。在被问及此事时,DoorDash 的一名发言人不愿提供更具体的数字。

据 DoorDash 介绍,该公司调查了此次入侵事件,并认定“未经授权的一方使用窃取的供应商员工身份验证信息获得了我们部分内部工具的权限”。

]]>
AR滤镜违规采集人脸信息 Snap或需支付2.4亿元和解金 Tue, 07 Feb 2023 10:48:06 +0800 近日,由于被质疑滤镜效果违反生物识别法案,社交软件Snapchat的母公司Snap将以3500万美元(约2.4亿元人民币)和解一起隐私集体诉讼案件。这起集体诉讼在美国伊利诺伊州发起,原告指控Snapchat的滤镜不合理地收集和存储了居民的人脸信息,并且未提前告知这些行为,这违反了伊利诺伊州的《生物信息隐私法案》。

此前,Meta也因Facebook和Instagram上的滤镜功能在该州被起诉,最终停用了在该州的相关功能。

Snap:滤镜不违法,但是同意和解

根据伊利诺伊州杜佩奇县第十八巡回法院8月22日发布的文件,社交软件Snapchat的母公司Snap将可能以3500万美元和解该隐私集体诉讼案件。和解已于 8 月 8 日在法院提起,并获得了法官的初步批准。和解协议显示,正式批准后,自 2015 年 11 月 17 日以来所有使用过Snapchat的伊利诺伊州居民都将可能从这笔和解金中获得赔偿。

在此前的诉讼中,原告认为Snapchat的滤镜功能违反了伊利诺伊州的《生物识别信息隐私法》(以下简称“BIPA”),具体行为包括未经允许收集和使用了生物识别信息。

作为一款以照片分享为主要功能的软件,丰富的滤镜是Snapchat产品竞争力的重要组成部分。原告认为, Snapchat的滤镜可以通过摄像头,扫描、采集,并修改用户面部数据,以达到任意改变他们在镜头中的脸部形象的效果。然而,这些面部数据属于BIPA保护的“生物识别标识符(biometric identifier)”。同时,Snapchat并没有公开告知收集、使用和销毁个人生物识别信息的具体流程。

但Snap则否认了这些指控。公司表示,产品的滤镜功能是通过物体识别技术(object recognition technology)实现的,这项技术只会识别出人的五官并加上滤镜效果,但这些特征并不会指向特定的个人。此外,Snap还表示,数据会存储在用户的设备上,甚至部分数据会在关闭应用时就被删除,不可能被发送到公司的服务器。

科技公司深陷生物识别信息隐私诉讼

据悉,Snapchat的滤镜大多是依托AR增强现实技术实现的,简单来说,该技术就是将虚拟世界的CG图像投射到现实之中。应用中的滤镜会把镜头中的人脸变成动物、水果,或者是在照片上添加其他元素,用户可以选择相应的滤镜,并且根据自己的喜好进行调整。除了Snapchat,在海外,Facebook、Instagram和Tiktok等软件都推出了AR滤镜功能;而国内,AR滤镜也逐渐在各个应用普及,比如购物软件提供的AR试妆功能、还有短视频软件的部分变脸特效滤镜等。

但是,随着技术的逐渐普及,其中的风险也逐渐被用户所重视。事实上,Snapchat并不是第一个因为在软件中使用AR滤镜功能被指控违法收集用户信息的大型互联网公司。

今年5月,Meta也被指控违反BIPA和德克萨斯州的有关人脸识别与隐私的相关法律,随后Meta在伊利诺伊州和德克萨斯州关闭了旗下社交软件Facebook、Instagram等多个产品的AR滤镜功能。而在去年,由于频频被质疑非法收集用户生物识别信息,Meta宣布暂时关闭Facebook上的人脸识别系统,并将删除超过 10 亿人的个人面部识别模板。

而此前,字节跳动旗下产品TikTok也以 9200万美金和解的一起隐私集体诉讼,也涉及滤镜对人脸隐私的非法收集。在和解协议稿中,TikTok被指控违反BIPA,利用技术采集用户的面部特征并推荐相关的贴纸和滤镜。8月22日,法院正式批准和解。

]]>
北美国家政务机构遭勒索软件攻击,内部数据全部泄露 Tue, 07 Feb 2023 10:48:06 +0800 8月26日消息,位于北美洲的多米尼加共和国突遇横祸,农业部下属机构Instituto Agrario Dominicano(IAD)受到Quantum勒索软件攻击,导致该机构内多个服务及工作站被加密锁定。

IAD是多米尼加农业部的下辖机构,负责为该国执行土地改革计划。

当地媒体报道称,此次勒索攻击发生在8月18日,已经影响到IAD的正常运营。

IAD技术总监Walixson Amaury Nuñez向当地媒体表示,“对方开价超过60万美元。我们这边被锁定的包括四台物理服务器和八台虚拟服务器,几乎是我们的全部服务器设备了。”

一直协助IAD从攻击中恢复的国家网络安全中心(CNCS)表示,攻击者的IP地址来自美国和俄罗斯。

Núñez还透露,“由于数据库、应用程序和电子邮件等都受到了影响,信息已经全面泄露。”

IAD告诉当地媒体,他们的系统上只装有防病毒软件之类最基础的安全软件,并且没有专门的网络安全部门。

攻击者为Quantum勒索软件

外媒BleepingComputer从@VenezuelaBTH 推特上获悉,IAD不太可能向恶意黑客支付赎金,因为他们根本负担不起这么大笔款项。

调查发现,本次攻击的幕后黑手正是Quantum勒索团伙,他们最初开出65万美元赎金。

恶意黑客声称已经窃取到超过1 TB数据,并威胁称如果IAD不支付赎金,他们就把数据发布出去。

Quantum正逐步成为针对企业受害者的主要勒索软件团伙。他们之前曾攻击过应收账款管理公司Professional Finance Company(PFC),进而间接影响到超650家医疗保健机构。

据悉,Quantum团伙已经成为Conti勒索软件团伙旗下的附属组织,所使用的Quantum勒索软件则是由MountLocker勒索软件改头换面而来。

MountLocker勒索软件于2020年9月首次在攻击中亮相,随后曾多次变更名称,包括AstroLocker、XingLocker,以及现在的Quantum。

最后这次更名发生在2021年8月,当时该团伙的勒索软件加密器开始为被加密文件添加.quantum扩展名。不过在此之后,该团伙已经很少发动攻击,频繁的更名也暂时告一段落。

随着Conti勒索软件团伙的沉寂,Quantum团伙又开始蠢蠢欲动。

根据Advanced Intel公司Yelisey Boguslavskiy的介绍,一部分Conti团伙成员已经加入Quantum,因此攻击势头又有所恢复。

]]>
黑客正使用AiTM攻击监控企业高管的微软 365帐户 Tue, 07 Feb 2023 10:48:06 +0800 据Bleeping Computer8月24日消息,一项新的商业电子邮件泄露 (BEC) 活动正将复杂的鱼叉式网络钓鱼与中间人攻击 (AiTM) 策略相结合,以入侵企业高管的 Microsoft 365 帐户,其中包括受多因素身份验证 (MFA) 保护的帐户。

Mitiga 的研究人员在一次事件响应案例中发现了这一活动,这是一种典型的商业电子邮件泄露攻击,目的是在入侵并监控首席执行官或首席财务官等高级员工的账户后适时进行通信,并在适当的时候回复电子邮件,将大笔资金交易转移到他们控制的银行账户。

在攻击开始时,攻击者会向目标发送谎称付款的公司银行账户由于财务审计而被冻结的钓鱼邮件,并附有新的付款指令,这些指令会切换到由攻击者控制的银行账户。

在Mitiga例举的一个攻击样例中,对公司高管的攻击始于一封看似来自 DocuSign 的网络钓鱼电子邮件,(DocuSign 是一种在企业环境中广泛使用的电子协议管理平台),虽然电子邮件没有通过 DMARC 检查,但 Mitiga 发现, DocuSign 针对垃圾邮件的常见安全错误配置有助于它进入目标的收件箱。单击“查看文档”按钮时,受害者会被带到一个欺骗域上的网络钓鱼页面,要求收件人登录到 Windows 域。

攻击者被认为使用网络钓鱼框架(例如 Evilginx2 代理)来进行所谓的中间人攻击 (AiTM) 。在 AiTM 攻击期间, Evilginx2 等工具充当代理,位于网络钓鱼页面和目标公司的合法登录表单之间。由于代理位于中间,当受害者输入他们的凭证并解决 MFA 问题时,代理会窃取 Windows 域生成的Cookie。这时,可以将偷来的Cookie加载到他们自己的浏览器中,自动登录到受害者的账户中,并绕过MFA。

由于有效Cookie可能会过期或被撤销,因此攻击者会添加新的 MFA 设备并将其链接到被破坏的 Microsoft 365 帐户,这一举动不会生成任何警报或需要与原有帐户所有者进行进一步交互。

在 Mitiga 看到的案例中,攻击者添加了一部手机作为新的身份验证设备,以确保他们可以不间断地访问受感染的帐户。据研究人员称,攻击者正利用这种隐秘的漏洞几乎完全地访问 Exchange 和 SharePoint。根据日志,他们没有对受害者的收件箱采取任何行动,大概只是阅读电子邮件。

然而,攻击者可能正在等待合适的时机注入他们自己的电子邮件,以将发票付款转移到攻击者控制的银行账户中。

]]>
曾攻击云通讯巨头Twilio的黑客,又连续攻击130多个组织 Tue, 07 Feb 2023 10:48:06 +0800 在8月初接连攻击云通讯巨头Twilio和云服务商Cloudflare后,攻击者逐渐浮出水面。网络安全公司Group-IB指出,该组织在数月内疯狂入侵了130多家机构,盗取了近1万名员工的凭证。

Group-IB将该攻击组织追踪为0ktapus,该组织主要攻击使用Okta单点登录服务的企业。

Group-IB在一名客户受到网络钓鱼攻击后开展调查,结果显示,自3月以来,其至少窃取了9931个用户证书,其中超过一半包含用于访问公司网络的多因素认证码。

Group-IB高级威胁情报分析师Roberto Martinez向媒体表示,“在许多情况下,有一些特定的图像、字体或脚本,可以用来识别用使用同一套钓鱼工具设计的钓鱼网站。"在这种情况下,我们发现了一个被钓鱼的使用Okta认证的网站。”

“这些攻击案例很有意思,尽管它的技术含量低,但它还是能够危害大量知名组织,”Group-IB表示,“一旦攻击者入侵了一个组织,他们就能够迅速转向并发起后续的供应链攻击,这表明攻击是经过事先精心策划的。”

据信,0ktapus至少定制了 169 个域用于网络钓鱼,这些网站通过使用以前未记录的网络钓鱼工具包进行联合攻击。受害组织主要位于美国(114 个)、印度(4 个)、加拿大(3 个)、法国(2 个)、瑞典(2 个)和澳大利亚(1个) 等,分布在通讯、商业服务、金融、教育、零售、物流等行业。

虽然目前还不清楚攻击者是如何获得电话号码和员工姓名并发送短信钓鱼消息,Group-IB指出,攻击者首先以移动运营商和电信公司为目标,”可能从最初的攻击中收集到这些号码。”

该组织的最终目标仍不清楚,可能是间谍活动和经济动机,攻击者可以访问机密数据、知识产权、公司收件箱以及虹吸资金。最重要的是,入侵 Signal 帐户意味着,攻击者还试图获取私人对话和其他敏感数据。

]]>
全球最受欢迎的密码管理软件LastPass称其遭到黑客入侵 Tue, 07 Feb 2023 10:48:06 +0800 全球用户数超过3300万的密码管理软件公司LastPass表示,最近一名黑客在侵入其系统后窃取了源代码和专有信息。该公司在周四的一篇博客文章中表示,公司认为没有任何密码被盗,用户不需要采取行动来保护他们的账户。

一项调查发现未经授权方侵入了该公司的开发者环境,也就是员工用来构建和维护LastPass产品的软件。该公司称,侵入者通过一个受损的开发者账户获得访问权。

该公司的软件为用户自动生成并保存用于Netflix、Gmail等账户的密码,并且用户登陆这些账户时无需手动输入密码。LastPass在其网站上列出的客户名单包括Patagonia、Yelp Inc.、State Farm等。

网络安全网站Bleeping Computer报道称,在两周前曾向LastPass询问过这一入侵事件。

]]>
多米尼加共和国政府机构遭受勒索软件攻击 Tue, 07 Feb 2023 10:48:06 +0800 Bleeping Computer 网站披露,多米尼加共和国的多米尼加农业研究所(Instituto Agrario Dominicano)遭到了 Quantum 勒索软件的疯狂攻击,该勒索软件加密了整个政府机构的多项服务和工作站,导致部分工作暂时停滞。

当地媒体报道称,勒索软件攻击发生在 8 月 18 日,严重影响了多米尼加农业研究所(IAD)的运作。(IAD 隶属于农业部管理,主要负责执行多米尼加共和国的土地改革计划,是该国重要的政府机构)。

攻击者索要 60 万美元赎金

IAD 技术总监 Walixson Amaury Nuñez 在接收当地媒体采访时透漏,此次勒索软件攻击导致 IAD几乎所有服务器出现问题( 四个物理服务器和八个虚拟服务器出现故障)。此外,,因为数据库、应用程序、电子邮件等都受到影响,数据信息也基本都遭受了破坏。

值得一提的是,IAD 告诉当地媒体其系统中只有例如杀毒软件之类的基本安全软件,缺乏专业的安全部门。此次事件,攻击者索要 60 多万美元赎金。

攻击事件发生后,多米尼加共和国立即开始响应,经过家网络安全中心(CNCS)分析后发现,攻击者的 IP 地址来自美国和俄罗斯。

攻击背后的勒索软件组织

Bleeping Computer 从 Venezuela BT 处获悉,后者表示 IAD 不太可能支付赎金,60 万美元超出了他们的负担范围。

从媒体披露的信息来看,Quantum 勒索软件声称已经窃取了超过 1TB 的数据,最初要求 IAD 支付 65 万美元的赎金,并威胁如果 IAD 不公开支付赎金,就会立即泄露这些数据。1661399267_6306f0e3784b597de9c9c.jpg!small?1661399267701

据了解,Quantum 勒索软件团伙目前已成为 Conti 勒索软件的一个分支,主要接管了之前 MountLocker 勒索软件操作,此外,Quantum 与对 PFC 的攻击有关,影响了 650 多个医疗机构,正在成为针对企业的勒索软件操作中的主要角色。

MountLocker 从 2020 年 9 月开始首次部署在攻击中,随后以不同的名称多次更名,主要使用了 AstroLocker、XingLocker 等,最后是 Quantum。

更名为 Quantum 发生在 2021 年 8 月,在此之后,该品牌的重塑从未变得特别活跃,行动大多处于休眠状态,直到 Conti 勒索软件操作开始关闭,其成员开始寻找其他操作进行渗透。

从 Advanced Intel 的 Yelisey Boguslavskiy 的说法来看,一些 Conti 网络犯罪集团加入了 Quantum 勒索软件的行列。

]]>
男子2200万拍下一柯尼塞格 拍卖平台:被黑客攻击提不了车 Tue, 07 Feb 2023 10:48:06 +0800 在我们还在纠结买车全款还是贷款的时候,就有人在网上直接2200多万元,拍下一辆柯尼塞格超跑了,这你敢相信?不过,有钱人也有有钱人的烦恼,买车稍有不慎同样“进坑”。日前,网友上传一段视频显示,一名男子在拍卖平台看上了一辆柯尼塞格Regera超跑,8月19日,和朋友一起斥资2200多万元将其拍下。

8月21日收到平台的付款信息,将剩余车款2200多万元全款支付,计划22日前往天津提车。但是此时却有意外发生,平台告知,因为受到黑客攻击,导致拍卖结果有误。

原本愉快的提车之旅,现在变成了维权之路,就在他们去往天津的路上,拍卖平台无任何说法,将车款全额退还;5个多小时后,将300万元保证金一同退还。

8月24日,他们一行人来到拍卖平台所在公司,却得不到任何答复,也不出具任何证明,只说明事情仍在调查当中。

对此,买家相当不解,如果是他们拍卖后,不及时支付尾款,那么他们300万的保证金平台肯定不会退还;但现在是他们支付了尾款,而平台方却不给提车,平台这种做法是否构成违约,需要退还双重保证金?需要专业人士来解答。

目前,双方还未达成一致,后续关注。

]]>
国际航空重要供应商遭勒索软件攻击,航空业已成为勒索主要目标 Tue, 07 Feb 2023 10:48:06 +0800 8月25日消息,作为服务全球多家大型航空公司的技术提供商,Accelya表示,近期刚刚遭遇勒索软件攻击,部分系统已经受到影响。

Accelya的客户包括达美航空、英国航空、捷蓝航空、联合航空、维珍大西洋航空、美国航空等多家知名航空企业。

勒索软件公开发布窃取数据

8月23日,该公司披露,其聘请解决此事的两家安全厂商发现,Accelya内部数据已经被发布至专门的勒索泄密网站。

上周四(8月18日),AlphV/BlackCat勒索软件团伙公布了据称窃取自Accelya的数据。该团伙称窃取的数据包含电子邮件、员工合同等内容。

Accelya公司一位发言人称,他们聘请的专家设法“隔离”了勒索软件,阻断其在系统内进一步传播。

这位发言人表示,“我们的取证调查人员证实,受到攻击影响的只是整体环境中的一部分。没有证据表明恶意软件可能经由我们的系统,横向移动到我们客户的环境当中。”

他们还补充称,Accelya公司正在审查上周AlphV泄露网站上发布的数据,并将向受到信息泄露影响的客户发布通报。

Accelya公司主要负责为各大航空零业企业提供客运、货运与行业分析平台,与9个国家共250多家航空企业保持着合作关系。

2022年,航空产业已经成为勒索软件团伙的一大主要攻击目标。今年5月,印度香料航空(SpiceJet)和加拿大战斗机培训服务商均曾遭遇勒索软件攻击。

AlphV/BlackCat勒索软件是谁?

AlphV/BlackCat是当前最活跃的勒索软件团伙之一,上个月刚刚对路易斯安那州亚历山大市政府发动攻击,今年春季还先后攻击了多所大学。

同样是在上个月,该团伙又先后攻击了卢森堡两家能源公司,以及日本电子游戏巨头万代南梦宫。

根据几位专家的介绍,AlphV/BlackCat其实是BlackMatter勒索软件团伙的“马甲”,而BlackMatter又是DarkSide勒索团伙改头换面后的产物。这个DarkSide来头不小,最大的动作就是震惊世界的科洛尼尔管道运输公司攻击案。

该团伙的一位代表在今年2月接受了美媒The Record的采访,声称大多数主要勒索软件团伙间都有着某种形式的关联。

说起AlphV跟BlackMatter及DarkSide之间的关系,这位代表表示,“可以这么说,我们借用了他们的优势,同时回避了他们的劣势。”

FBI在4月的警报中提到,截至今年3月,执法机构已经追踪到至少60起由AlphV/BlackCat团伙发动的勒索软件攻击。

]]>
法国首都一医院遭勒索软件攻击:急诊被迫停业 赎金1000万美元 Tue, 07 Feb 2023 10:48:06 +0800 8月24日消息,距巴黎市中心28公里,拥有1000张床位的Center Hospitalier Sud Francilien(简称CHSF)医院上周日(8月21日)遭遇网络攻击,迫使其将患者转诊至其他机构,并推迟了手术预约。

CHSF为当地60万居民提供诊疗服务,因此任何运营中断,都有可能给身处危急关头的病患造成健康甚至是生命威胁。

经谷歌翻译,CHSF发布的公告称,“此次计算机网络攻击,导致我院业务软件、存储系统(特别是医学影像)及与患者入院相关的信息系统暂时无法访问。”

该医院的管理部门尚未发布进一步事态更新,目前IT系统中断引发的运营紧缺也仍未结束。

CHSF的医生们已经在对需要紧急护理的病患进行评估,如果迫切需要医学影像诊疗,病患们将被转移至另一处医疗中心。

法媒《世界报》称,攻击CHSF的勒索软件团伙要求受害者支付1000万美元以换取解密密钥。

一位警方消息人士向《世界报》透露,“目前,巴黎检察官办公室旗下的网络犯罪部门,已经启动了对这一入侵计算机系统,并企图实施勒索的有组织黑客团伙的调查”,由“调查工作由打击数字犯罪中心(C3N)的宪兵负责。”

幕后黑手或为LockBit 3.0

法国网络安全记者Valéry Riess-Marchive在事件中发现了LockBit 3.0感染的迹象,并提到介入调查的国家宪兵也正在负责追踪Ragnar Locker和LockBit。

Riess-Marchive表示,根据Ragnar Locker以往只向大规模关键基础设施目标下手的特点,这次事件应该不是其所为。相比之下,LockBit 3.0的攻击目标则要广泛得多。

如果LockBit 3.0确实就是CHSF攻击事件的幕后黑手,那他们就违反了RaaS的“行规”,即不得由附属组织向医疗保健服务商的系统发动加密攻击。

目前,这场事端究竟是谁所为还不明确,LockBit 3.0的勒索网站上也还没挂出CHSF的信息,所以前面的一切分析仍然只是假设。


]]>
希腊最大天然气运营商遭勒索软件攻击,多项在线服务被迫中断 Tue, 07 Feb 2023 10:48:06 +0800 8月23日消息,欧洲国家希腊最大的天然气分销商DESFA在上周六(8月20日)证实,由于遭受网络攻击,该公司出现了一定程度的数据泄露与IT系统中断。

在向当地新闻媒体发布的公开声明中,DESFA称有黑客试图渗透其网络,但因为IT团队快速反应而被阻断。然而,对方仍在有限范围内实施了入侵,导致部分文件和数据被访问并可能“外泄”,

DESFA为此停用了多项在线服务,希望保护客户数据。而且随着专家们努力进行恢复,各项服务已经逐渐恢复运行。

DESFA向消费者保证称,此次事件不会影响到天然气供应,所有天然气输入/输出点均保持正常容量运行。

该公司也已通知警方的网络犯罪部门、国家数据保护办公室、国防部以及能源与环境部,希望在最短时间内以最低影响解决问题。

最后,DESFA宣布绝不会与网络犯罪分子对话,也就不存在进行赎金谈判。




Ragnar Locker宣布对事件负责



上周五(8月19日),Ragnar Locker勒索软件团伙在窃取数据后确认了此次攻击。这批恶意黑客亮相于两年多之前,并在2021年发起过多起大型网络攻击活动。

Ragnar Locker在今年活跃度仍然不低,但攻击数量上较去年有所下降。FBI最近一份报告提到,Ragnar Locker与截至2022年1月美国各关键基础设施实体遭受的共52起网络入侵有关。

该恶意黑客团伙还在其数据泄露与勒索门户上发布了所谓被盗数据清单,展示了一小部分似乎不涉及机密信息的被盗文件。

此外,Ragnar Locker提到他们在DESFA系统上发现了多个安全漏洞,并向对方告知了这一情况。这可能是该团伙勒索行动的一部分,但据称受害者并未做出回应。

如果受害组织不满足赎金要求,该恶意黑客团伙威胁将发布整个文件树内对应的所有文件。

此次攻击恰逢欧洲各天然气供应商的艰难时期。当前欧洲大陆主要国家已决定快速削减对俄罗斯天然气的依赖,因此不可避免要产生问题。

预计在即将到来的冬季,供应短缺、停气、配给中断和能源价格飙升等因素可能轮番上演,届时消费者恐怕又将迎来一波针对天然气供应商的勒索攻击大爆发。

]]>
黑客利用零日漏洞窃取 General Bytes ATM 机上的加密货币 Tue, 07 Feb 2023 10:48:06 +0800 The Hacker News 网站披露,比特币 ATM 机制造商 General Bytes 证实其遭到了网络攻击。攻击者利用服务器中的零日漏洞,从用户处掠夺加密货币。

攻击事件发生不久后,General Bytes 在一份公告中表示,自 2020-12-08 版本以来,该零日漏洞一直存在于 CAS 软件中。攻击者通过 CAS 管理界面,利用页面上的 URL 调用,远程创建管理员用户。

CAS

CAS,Crypto Application Server 的缩写,是 General Bytes 公司旗下一款自托管产品,能够使用户通过桌面或移动设备上的 Web 浏览器从中央位置管理比特币 ATM(BATM)机器。

目前,涉及 CAS 管理界面的零日漏洞,已经在以下两个版本的服务器补丁中得到了修复:

20220531.38

20220725.22

General Bytes 强调,未知攻击者通过扫描 DigitalOcean 云主机的 IP 地址空间,识别出在端口 7777 或 443 运行的 CAS 服务,随后滥用该漏洞在 CAS 上添加了一个名为 “gb ”的新默认管理员用户。

之后,黑客可以修改“购买”和“出售”加密设置以及“无效支付地址”,这时候客户向 ATM 机发送加密货币,双向 ATM 机则会向黑客钱包地址转发货币。

换句话说,攻击者主要目的是通过修改设置,将所有资金都转到其控制的数字钱包地址里。值得一提的是,目前尚不清楚有多少服务器受到此漏洞影响,以及有多少加密货币被盗。

最后,General Bytes 公司强调,自 2020 年以来,内部已经进行了多次“安全审计”,从未发现这一零日漏洞。

]]>
因用户未更新固件,超八万台摄像机可能被利用 Tue, 07 Feb 2023 10:48:06 +0800 据Bleeping Computer消息,因用户未及时更新固件,超过八万台海康威视摄像机容易受到关键命令注入漏洞的影响。攻击者可将特定的消息发送至易受攻击的Web服务器,即可轻松利用该漏洞,并发起命令注入攻击。

2021年6月,网络安全研究机构Watchful IP首次发现了该漏洞,编号为CVE-2021-36260,同月,海康威视通过固件更新解决了这一问题。

但是,这并不意味着这一漏洞已经失去了效果。根据 CYFIRMA 发布的白皮书,全球100 个国家/地区的2300个正在使用受影响摄像机的组织,并未及时对固件进行安全更新,仍然处于被攻击者的威胁之中。

公开信息显示,CVE-2021-36260一共包含两个已知的公开漏洞,一个在2021 年 10 月发布,另一个在2022 年 2 月发布,因此所有技能水平的攻击者都可以轻松地搜索和利用易受攻击的摄像头。

截止到目前,安全研究人员已经观察到,大量有效载荷试图利用此漏洞来探测设备状态或从受害者那里提取敏感数据。更糟糕的是,一个名为Moobot的恶意僵尸网络正在试图大规模利用该漏洞,这很有可能会引起更严重的网络攻击和信息泄露。因为Moobot是一基于Mirai开发的僵尸网络家族,自从其出现就一直很活跃,并且拥有零日漏洞利用的能力。

2022年年初,CISA也曾发布警告称,CVE-2021-36260 是当时发布的列表中被积极利用的漏洞之一,攻击者可以“控制”设备,要求组织立即修补漏洞。

极易遭受攻击和伤害

CYFIRMA表示,出售网络入口点最多的是讲俄语的黑客论坛,这些入口点其中一大部分依赖于那些可用于僵尸网络或横向移动的,存在漏洞的海康威视摄像机。

在俄罗斯论坛上出售的样品 (CYFIRMA)

安全研究人员对285000个面向互联网的海康威视Web服务器的样本进行分析之后,得出的结论是仍有超过8万个摄像机容易遭受网络攻击,并广泛分布于全球各个地方。其中数量分布最多的是中国和美国,此外还有越南、英国、乌克兰、泰国、南非、法国、荷兰和罗马尼亚等国家,未更新固件的摄像机均超过2000个。

易受攻击的海康威视摄像机 (CYFIRMA)的位置

虽然该漏洞的利用目前并未遵循特定模式,但是已经有不少攻击者参与其中。而用户想要避免被攻击者威胁,最好的办法就是立即更新固件,修复这一漏洞。倘若继续任由该漏洞存在,很有可能造成严重后果。

同时安全专家还进一步强调,用户应提升网络安全意识。除了上述命令注入漏洞外,研究员还发现很多时候用户图方便而将密码设置成“123456”等弱密码,或者是直接使用生产厂商的初始密码。

而这些日常的操作会让厂商的安全措施毁于一旦,哪怕是再好的安全产品,也无法彻底改变用户不安全的使用习惯。

]]>
车载导航提示“路上有枪战” 上海公安辟谣:可能是系统BUG或黑客攻击 Tue, 07 Feb 2023 10:48:06 +0800 你正在开车,突然车机屏幕里跳出一条提示:路上有枪战。你信还是不信?8月23日,上海辟谣平台官方发布消息称,上海有不少车主遭遇车内显示屏出现“路上有枪战”的交通警告提示。

记者向上海市公安局求证获悉,本市没有发生枪战警情。

对于车辆导航的错误提示,有业内人士认为可能是翻译问题,不排除黑客攻击可能。

“很可能是车载系统出现了故障或者遇到黑客攻击。在正常情况下,导航软件不会推送这类信息,因为绝大多数导航软件本身并不撰写信息,如果进行推送,也是推送权威渠道的信息。”某导航软件技术人员向上海辟谣平台介绍。

该技术人员说,目前依据只有部分网友提供的车载系统屏幕照片,不能判断车型和运行状态,所以无法确定到底是哪个环节出现了问题。

但从技术基础看,大部分车载系统使用的都是第三方导航软件,导航及推送信息的准确性与是否联网运行、是否及时升级有关。

部分系统若没有及时升级或使用的第三方供应商本身存在瑕疵,那么可能在导航准确性上出现问题。

同时,正规导航软件的推送信息都有权威信源,通常来自官方渠道,而并非导航软件自行编辑撰写。且大部分导航软件推送的信息会列出出处。

根据目前网传信息看,相关“枪战”信息没有出处且并非出现在所有车型上,所以大概率是系统故障(bug)或黑客攻击。

]]>
美国拟立法禁止采购有漏洞软件,“引爆”网络安全行业 Tue, 07 Feb 2023 10:48:06 +0800 8月22日消息,美国立法者希望立法改善政府的部分网络安全防御措施,但却引发了信息安全专家们的质疑和不满。

《2023财年国防授权法案》,对应着划拨给美国军队和政府各关键领域的数十亿美元财政预算。目前法案已经在众议院通过,接下来需要经参议院批准,最后由拜登总统签字执行。

今天要讨论的争议,集中在该法案草案看似合理的条款:管理国土安全部及其应用程序/在线服务供应链的软件级攻击风险。

这份拟议法案要求,对于新签和现有政府合同,软件供应商应保证“提交软件物料清单中列出的所有项目,均不存在影响最终产品或服务安全性的已知漏洞或缺陷,并给出证明。”

所谓“已知漏洞或缺陷”,是指美国国家标准与技术研究院(NIST)发布的国家漏洞数据库,以及网络安全与基础设施安全局(CISA)指定的用于“跟踪各开源或第三方开发软件内安全漏洞/缺陷”的数据库内列出的条目。

换句话说:国土安全部不得采购任何包含已知、已登记安全漏洞的软件。

这项要求的出发点是好的,旨在防止恶意黑客利用Log4j之类的漏洞破坏政府敏感系统。但法案中的具体措辞却令行业专家颇感沮丧。一方面,任何代码都存在bug,这一条款基本上切断了政府军工部门原本强大的采购流程。另一方面,漏洞数据库中相当一部分漏洞并不属于安全风险。

总而言之,如果严格执行该项法案,那么美国政府后续将无法部署任何软件/服务。

软件供应链安全厂商Chainguard的联合创始人兼CEO Dan Lorenc表示,“这项要求往好了说是受到误导,往坏了想肯定会引发大麻烦。”

不过,这项要求也有回旋空间。如果合同内包含“关于所列出各项安全漏洞或缺陷的缓解、修复或解决方法”,政府一方就可购买包含已知缺陷的软件。换句话说,只要可以缓解或修复措施,就不会影响各部门的正常采购。

争议过大引发行业热议

这个问题在推特上掀起了争论热潮。有人担心软件供应商为了正常向政府客户出售软件,故意对漏洞信息知情不报(不再注册CVE编号)。另一方面,各家企业在争夺合同的过程中,也可能会挖其他竞争者产品的漏洞作为“黑料”。

安全厂商Rapid7的高级政策主管Harley Lorenz Geiger律师在推文中提到,“立法者起草的条文相当于在说:要么放弃继续上报软件漏洞,要么被排除在软件投标范围之外,你们自己选。”

“这里我要提醒一句,并不是所有安全漏洞都有严重危害,或者能够/应该缓解。感谢立法者,祝好。”

漏洞协调与众测厂商Luta Security的CEO Katie Moussouris等行业专家,则呼吁安全专家们先别反应过激。她在Twitter上写道,新法案其实允许政府官员“采购那些虽包含CVE,但已有缓解方法的软件产品”,同时提醒政府方面“在部署之前必须缓解或接受这些风险”。

市场研究公司Dell'Oro Group负责网络安全的研究主管Mauricio Sanchez也在采访中提到,虽然他理解立法者们的善意动机,但在技术采购方面设置的种种要求,很可能会阻断政府的正常部署流程。

他提到,“很遗憾,这就是我们立法者的典型做法,只提要求、不讲方法。”

在Sanchez看来,这项法案的最终走向恐怕只有以下三种。

第一:立法者服软。技术游说部门等各方提出有力的反对意见,宣扬这项要求根本就无法实现(也确实无法实现),于是立法者选择删除这部分条文。

第二:做出澄清。立法者对条文“做出修正”,把这项过于理想的要求修改得更加实际。

最后:直接摆烂。立法者可能懒得费脑筋,强行出台这项新政,然后向选民们宣扬自己支持网络安全、改善美国风险水平的姿态。至于收拾这个烂摊子需要投入多少时间、精力和金钱,那就是各联邦机构和法院自己的问题了。

而且Sanchez本人的看法比较悲观。“如果让我押个宝,那我赌立法者会选择最后这条。”

]]>
技术支持骗子正在利用带有微软logo的USB驱动器来骗取用户 Tue, 07 Feb 2023 10:48:06 +0800 通过使用微软的名字来欺骗潜在的受害者在技术支持骗子的名单上总是名列前茅。FBI最近的一份报告指出,这些骗局仍相当活跃,即使在今天也是如此。在日前的一篇报道中,Sky News称其被发送了一个带有微软品牌的欺诈性USB驱动器。它们是由来自Atheniem的网络安全顾问Martin Pitman发现的。

据悉,该驱动器被包装在一个Office 2021 Professional Plus的盒子内,这表明骗子在制作这些东西时花了一些好时间并还花了一些钱。

当目标将U盘插入他们的电脑之后,一条假的警告信息就会弹出,告知用户他们的系统中存在病毒并提示受害者拨打技术支持电话,这显然是骗子使用的号码。然后,骗子要求受害者安装一个远程访问程序来接管系统。

微软发言人就这一案件向Sky News发表了以下声明:“微软致力于帮助保护我们的客户。我们有在采取适当的行动一从市场上清除任何可疑的无证或假冒产品并追究那些针对我们客户的责任。”

这家科技公司非常了解这种骗局并向用户们提供了一个支持页面。

]]>
周鸿祎谈企业遭遇勒索攻击:基本无解 只能交赎金 Tue, 07 Feb 2023 10:48:06 +0800 8月23日消息,前不久,网络安全机构Resecurity发布报告预测,到2031年,全球勒索软件勒索活动将达到2650亿美元,对全球企业造成的潜在总损失或达到10.5万亿美元。日前,360集团创始人、董事长 周鸿祎发文称,最近多起知名企业遭遇勒索攻击,在业界引起了热议。勒索攻击俨然已经成为“全球公敌”,严重影响企业业务发展。

周鸿祎表示,与传统攻击不同,勒索攻击已变成一种新商业模式。它不撬你的保险柜,而是给你做一个更大的保险柜,把你的保险柜也锁起来,而且被勒索后基本无解,你就只能交赎金。

据统计,在最严重的勒索软件攻击中,组织支付的平均赎金2021年比2020年增加近五倍,达到812360美元,中国勒索攻击起价也已达500万元。

前不久,国际知名服务器厂商思科公司证实被勒索攻击,泄露数据2.8GB,思科被窃取的数据包括大约3100个文件,许多文件是保密协议、数据转储和工程图纸。

根据其团队博文披露的细节,黑客是通过思科员工的个人谷歌浏览器个人帐户密码同步功能作为初始向量,从而获取了思科内部凭证。

]]>
勒索软件LockBit旗下站点因泄露Entrust数据遭到DDoS报复攻击 Tue, 07 Feb 2023 10:48:06 +0800 勒索软件 LockBit 运营的多家数据泄露站点由于遭到 DDoS 攻击而在上周末关闭,这些攻击的目的是要求该组织移除从 Entrust 盗取的数据。在 7 月下旬,数字安全机构 Entrust 确认在今年 6 月遭到网络攻击,攻击者从网络中窃取了部分数据。

当时消息人士告诉 BleepingComputer,这是一次勒索软件攻击,但我们无法独立确认背后的原因。上周末,LockBit 宣布对本次攻击负责,并于上周五开始公开泄漏的数据。

在描述中提供了 30 张样本截图,显示了法律文件、营销电子表格和会计数据。在他们开始泄露数据后不久,研究人员开始报告说,勒索软件团伙的 Tor 数据泄露站点由于 DDoS 攻击而无法使用。

昨天,安全研究小组 VX-Underground 从 LockBitSupp(LockBit 勒索软件运营的公众账号)处获悉,其 Tor 站点遭到了攻击,而且他们认为和 Entrust 有关联。

LockBitSupp 表示:“在数据公开和谈判开始之后这些 DDoS 攻击立即开始了,很显然这是 Entrust 的手笔,不然还有谁需要呢?此外,在攻击日志中就提到了要求移除这些数据”。

从这些 HTTPS 请求中可以看出,攻击者在浏览器用户代理字段中向 LockBit 添加了一条消息,告诉他们删除 Entrust 的数据。思科 Talos 研究员 Azim Shukuhi 在Twitter上表示,对 LockBit 服务器的 DDoS 攻击包括“每秒来自 1000 多台服务器的 400 个请求”。

作为对攻击的报复,LockBit 的数据泄露站点现在显示一条消息,警告说勒索软件团伙计划将 Entrust 的所有数据作为种子上传,这将使其几乎不可能被删除。

此外,威胁行为者与安全研究员 Soufiane Tahiri 分享了 Entrust 和勒索软件团伙之间所谓的谈判。该聊天记录表明,最初的赎金要求为 800 万美元,后来降至 680 万美元。

]]>
《安联智库-网安周报》2022-08-21 Tue, 07 Feb 2023 10:48:06 +0800

1、苹果发现2大严重安全漏洞,黑客可完全操控手机


周三,苹果公司宣布,他们在 iPhone、iPad 和 Mac 电脑中发现了两个严重的安全漏洞,甚至有些型号的iPod都受到了影响。当天,苹果公司就紧急发布了 iOS 15.6.1 和 iPadOS 15.6.1 的安全更新,并建议所有用户立即更新软件,以避免被黑客入侵。
从苹果公司发布的两份安全报告来看,这两个漏洞是在WebKit(为Safari和其他应用程序提供动力的引擎)和Kernel(操作系统的核心)中发现,黑客可以通过这两个漏洞,直接操控人们的设备。苹果发出声明后,网络安全咨询公司SocialProof Security的首席执行官雷切尔·托拜克(Rachel Tobac)也呼吁大家尽快更新软件,以免被人窃取重要隐私和信息造成损失。
2、英特尔新型CPU漏洞可致敏感数据泄露

研究人员在英特尔 CPU 中发现了一个名为 ÆPIC 的新漏洞,该漏洞使攻击者能够从处理器中获取加密密钥和其他机密信息。ÆPIC 泄漏(CVE-2022-21233)是第一个架构上的CPU 错误,它可能导致敏感数据泄露并影响大多数第 10 代、第 11 代和第 12 代 Intel CPU。

“某些英特尔(R) 处理器中共享资源的不当隔离可能允许特权用户通过本地访问潜在启用信息泄露。” 

英特尔已经发布了固件更新以解决该漏洞。尚未发布任何安全更新来修补攻击线,但该芯片制造商建议 “软件开发人员采用现有的最佳实践,包括恒定时间算法并在适当的情况下避免依赖秘密的控制流。

3、因收集Android 位置数据,Google被罚六千万美元

近日,澳大利亚公平竞争和消费者委员会(ACCC)发布消息称,谷歌2017年1月至2018年 12 月的时间里,存在收集和使用其位置数据并误导澳大利亚 Android 用户,被处以6000万美元(约合人民币2.88亿元)罚款。

澳大利亚竞争监管机构表示,这家科技巨头继续跟踪其部分用户的 Android 手机,尽管他们在设备设置中禁用了“位置历史记录”。但实际情况是,谷歌在默认情况下会打开另一个名为“Web & App Activity”的帐户设置使公司能够“收集、存储和使用个人可识别的位置数据”。

ACCC 表示,根据现有数据,估计有超过 130 万个属于澳大利亚人的谷歌账户受到影响。

4、百度网盘再发声明否认人工审核用户照片 并贴出受案回执和律师函

8月20日消息,,百度网盘再次发布声明称,百度网盘不存在照片人工审核,也并未委托任何机构招聘兼职人员。

声明指出,近日网络热传“青团社招聘审核”截图纯属恶意造谣。现有证据显示,谣言信息源发为“鲨鲨要努力变强”“音乐草莓熊”抖音博主,目前两名博主均已删除相关内容并修改ID。其已经固定证据并报警,坚决维护自身合法权益。

度网盘在声明中表示,百度网盘拥有规范且严密的隐私管理机制和安全防御体系,有效保护用户隐私和数据安全。请大家放心使用。

此前,网络作家边想8月18日发布微博称:“一直以为百度网盘是机器审核的,没想到是真人审核?审核人员还能随随便便把用户的照片截下来保存发到网上?即便打了码。”彼时,百度网盘官方回应称,不存在所谓的照片人工审核,网络上关于百度网盘照片真人审核的内容是谣言。

]]>
苹果严重安全漏洞冲上热搜第一:黑客能接管设备 Tue, 07 Feb 2023 10:48:06 +0800 8月20日消息,微博话题“苹果曝出严重安全漏洞”冲上热搜第一名。

就在本周,苹果公司报告了一个重大安全漏洞,该漏洞可以让黑客接管苹果设备,苹果方面呼吁用户立刻下载最新更新。

据介绍,受本次漏洞影响的设备涵盖了几乎所有的苹果产品。其中手机包括iPhone 6S及以后的型号;平板包括第五代及以后的iPad,所有iPad Pro以及iPad Air 2;电脑则是运行MacOS Monterey的Mac。此外,该漏洞还能影响到部分型号的iPod。

苹果表示,黑客可以通过该漏洞获得设备的“完全管理权限”。这意味着入侵者能够冒充设备拥有者,并以他们的名义运行任何软件。

值得注意的是,苹果未在报告中说明漏洞是在何时、何地以及由谁发现的,仅仅表示是一名匿名研究人员发现了这一漏洞。

专家指出,对于普通民众而言,本次漏洞不太可能造成大范围的问题。通常情况下,当iPhone等手机的漏洞被利用时,往往是有针对性的,攻击一般集中于一小部分人。

如果你系统保持最新,那就绝对没问题了,因为安全更新已经上线了。

]]>
百度网盘再发声明否认人工审核用户照片 并贴出受案回执和律师函 Tue, 07 Feb 2023 10:48:06 +0800 8月20日消息,今日上午,百度网盘再次发布声明称,百度网盘不存在照片人工审核,也并未委托任何机构招聘兼职人员。

声明指出,近日网络热传“青团社招聘审核”截图纯属恶意造谣。现有证据显示,谣言信息源发为“鲨鲨要努力变强”“音乐草莓熊”抖音博主,目前两名博主均已删除相关内容并修改ID。其已经固定证据并报警,坚决维护自身合法权益。

IT之家了解到,百度网盘在声明中表示,百度网盘拥有规范且严密的隐私管理机制和安全防御体系,有效保护用户隐私和数据安全。请大家放心使用。

此前,网络作家边想8月18日发布微博称:“一直以为百度网盘是机器审核的,没想到是真人审核?审核人员还能随随便便把用户的照片截下来保存发到网上?即便打了码。”彼时,百度网盘官方回应称,不存在所谓的照片人工审核,网络上关于百度网盘照片真人审核的内容是谣言。

]]>
谷歌曝光有史以来最大DDoS攻击 数据比之前高出76% Tue, 07 Feb 2023 10:48:06 +0800  8 月 20 日消息,今年6月,Cloudflare证实,出现了历史上最大的HTTPS 分布式拒绝服务 (DDoS) 攻击,不过它在出现任何实际损失之前就成功阻止了这次破纪录的攻击。该公司透露,它记录了每秒2600万次请求的DDoS攻击。

谷歌刚刚报告说,他们发现了一次大规模的DDOS共计,对方尝试关闭其 Cloud Armor 客户服务,峰值可达每秒 4600 万个请求,规模相当于此前记录的 176.92%。这使其成为有史以来报告的最大的一次七层分布式拒绝服务攻击。

谷歌解释说,在高峰期,这种攻击相当于在10秒内实现一整天的Wikipedia访问量,因此能够抵御如此强大的DDoS攻击是一项令人难以置信的壮举。

谷歌云服务徽标看起来像云的五彩轮廓图。

据介绍,Google Cloud Armor通过使用负载平衡技术定期保护应用程序(第 7 层)和网站免受此类互联网攻击,即使在面临这些挑战时也能保持 Web 服务运行。

IT之家了解到,谷歌Cloud Armor声称每秒可支持超过 100 万次查询请求,但这次它们却成功处理了4600万次每秒的负担。

谷歌报告称,Cloud Armor 成功检测到了此次 DDoS 攻击,并向客户推荐了一条规则来阻止攻击,实际效果不错。几分钟后,攻击者意识到攻击失败后,数据请求出现下降。

不过,谷歌指出DDoS攻击的数量呈指数级增长,而且是由大量恶意机器人提供的,因此这一记录可能不会保持太久。

]]>
TikTok被曝App内浏览器监控输入和点击的任何内容 发言人否认 Tue, 07 Feb 2023 10:48:06 +0800  8 月 21 日消息,据安全研究员 Felix Krause 称,TikTok 在 iOS 上的自定义 App 内浏览器将 JavaScript 代码注入外部网站,允许 TikTok 在用户与给定网站交互时监控“所有键盘输入和点击”,但据报道 TikTok 公司否认了该代码被用于恶意行为。

Krause 表示,当用户与外部网站交互时,TikTok App 内浏览器会“订阅”所有键盘输入,包括密码和信用卡信息等任何敏感细节,以及屏幕上的每次点击。

“从技术角度来看,这相当于在第三方网站上安装键盘记录器,”Krause 在谈到 TikTok 注入的 JavaScript 代码时写道。然而,研究人员补充说,“仅仅是应用将 JavaScript 注入外部网站,但并不意味着该应用正在做任何恶意的事情。”

在与福布斯分享的一份声明中,TikTok 发言人承认了有问题的 JavaScript 代码,但表示它仅用于调试、故障排除和性能监控,以确保“最佳用户体验”。

“与其他平台一样,我们使用 App 内浏览器来提供最佳用户体验,但所讨论的 Javascript 代码仅用于调试、故障排除和性能监控 —— 例如检查页面加载速度或是否崩溃。”

Krause 表示,希望保护自己免受 App 内浏览器 JavaScript 代码的任何潜在恶意使用的用户应尽可能切换使用平台默认浏览器访问查看给定链接,例如 iPhone 和 iPad 上的 Safari 浏览器。

据 Krause 称,Facebook 和 Instagram 是另外存在问题的两个应用程序,它们将 JavaScript 代码插入到加载在 App 内浏览器中的外部网站中,从而使应用程序能够跟踪用户活动。Facebook 和 Instagram 母公司 Meta 发言人在推文中表示,该公司“有意开发此代码是为了尊重人们在我们平台上的应用跟踪透明度 (ATT) 选择”。《Meta Instagram 被曝通过 App 内浏览器跟踪用户网络活动,已违反苹果 iOS 隐私政策》

Krause 说他创建了简单的工具,允许任何人在呈现网站时检查 App 内浏览器是否正在注入 JavaScript 代码。研究人员表示,用户只需打开他们想要分析的应用程序,在应用程序内的某处分享地址 InAppBrowser.com(例如直接向另一个人发送消息),点击应用程序内的链接即可在-app 浏览器,并阅读显示的报告的详细信息。

苹果没有立即回应置评请求。

TikTok发言人进一步声明表示,“该报告关于 TikTok 的结论是不正确且具有误导性的。研究人员明确表示,JavaScript 代码并不意味着我们的应用程序在做任何恶意行为,并承认他们无法知道我们的应用程序内浏览器收集了什么样的数据。我们不会通过此代码收集击键或文本输入,该代码仅用于调试、故障排除和性能监控。”

据 TikTok 发言人称,JavaScript 代码是 TikTok 正在利用的软件开发工具包 (SDK) 的一部分,而 Krause 提到的“keypress”和“keydown”功能是 TikTok 不用于按键记录的常见输入。

]]>
苹果发现2大严重安全漏洞,黑客可完全操控手机 Tue, 07 Feb 2023 10:48:06 +0800 周三,苹果公司宣布,他们在 iPhone、iPad 和 Mac 电脑中发现了两个严重的安全漏洞,甚至有些型号的iPod都受到了影响。

当天,苹果公司就紧急发布了 iOS 15.6.1 和 iPadOS 15.6.1 的安全更新,并建议所有用户立即更新软件,以避免被黑客入侵。

从苹果公司发布的两份安全报告来看,这两个漏洞是在WebKit(为Safari和其他应用程序提供动力的引擎)和Kernel(操作系统的核心)中发现,黑客可以通过这两个漏洞,直接操控人们的设备。

苹果发出声明后,网络安全咨询公司SocialProof Security的首席执行官雷切尔·托拜克(Rachel Tobac)也呼吁大家尽快更新软件,以免被人窃取重要隐私和信息造成损失。

雷切尔·托拜克是一名优秀的白帽黑客,曾经成功入侵亿万富翁杰弗瑞·卡森伯格(Jeffrey Katzenberg)的 Mac 电脑,在网络安全这块儿是非常知名的人物。

连她都这样呼吁了,大家还是尽快把系统软件更新了吧...

话说,这也不是苹果公司第一次出现安全漏洞了。

去年9月,安全研究员Denis Tokarev(又名 illusionofchaos)爆料,自己曾经向苹果公司报告过三个明显的安全漏洞,却被怠慢。

后来事情发酵后,苹果公司才道歉并修复了漏洞。

在科技发达的今天,不管用什么电子设备,其实都没有百分百的安全。大家现在就赶紧打开手机检查一下,系统软件有没有更新到最新版本吧...

]]>
CS:GO 交易网站被黑,价值 600 万美元皮肤被盗 Tue, 07 Feb 2023 10:48:06 +0800 据Bleeping Computer网站8月16日消息,著名射击游戏CS:GO最大的皮肤交易平台之一——CS.MONEY在一次黑客攻击后被窃取了2万件、总价值约 600万美元的游戏皮肤,并导致网站被迫下线。

CS:GO(反恐精英:全球攻势)是全球流行的多人第一人称射击游戏CS(反恐精英)系列的第四款作品,拥有许多非常受欢迎但却较为稀有的皮肤等虚拟物品,这促使了一些基于Steamworks API的皮肤交易网站的建立。而CS.MONEY 是此类交易中最大的网站之一,拥有 53 种武器共计 1696 种皮肤,在攻击发生前管理的总资产达1650万美元。

攻击发生后,CS.MONEY 在推特上宣布已经与其它交易平台达成一致,将禁止这2万件被盗皮肤的交易,防止黑客在其他 CS:GO 交易平台上进行出售。

攻击是如何发生的

根据 CS.MONEY 公共关系负责人 Timofey Sobolevky 发布的贴子透露,攻击者以某种方式获得了用于 Steam 授权的 Mobile Authenticator (MA) 文件访问权限。接下来,攻击者控制了100个机器人账户,并进行了大约一千次交易,将这些物品吸纳到他们自己的账户中。

起初,攻击者将皮肤添加到他们的个人账户中,但随后,他们开始进行随机交易,将皮肤“赠送”给一些与攻击无关的普通用户。分析认为,这么做的原因很可能是为了隐藏自身踪迹,通过让更多人参与而使要弄清这些被窃物品的归属问题变得苦难。此外,攻击者还生成许多涉及各种第三方交易平台的虚假消息,以混淆攻击者的盗窃行踪。

在平台检测到托管在售的皮肤数量急剧减少并收到多个用户关于可疑交易的报告后,CS.MONEY 采取行动阻止了攻击,但仍有价值600万美元的皮肤被抢走。

Sobolevky表示,一旦 CS.MONEY 恢复运行,将优先归还这些皮肤,并对所属用户进行补偿。

值得注意的是,Steam 的所有者 Valve 可以在必要时撤销这些虚拟物品的转让,但目前尚不清楚这家游戏巨头是否计划在遇到类似攻击场景时进行有效的干预。

]]>
英特尔新型CPU漏洞可致敏感数据泄露 Tue, 07 Feb 2023 10:48:06 +0800 研究人员在英特尔 CPU 中发现了一个名为 ÆPIC 的新漏洞,该漏洞使攻击者能够从处理器中获取加密密钥和其他机密信息。ÆPIC 泄漏(CVE-2022-21233)是第一个架构上的CPU 错误,它可能导致敏感数据泄露并影响大多数第 10 代、第 11 代和第 12 代 Intel CPU。

ÆPIC Leak 适用于基于 Ice Lake、Alder Lake 和 Ice Lake SP 的最新 Intel CPU,并且不依赖于启用的超线程。

英特尔发布的公告:“某些英特尔® 处理器中的潜在安全漏洞可能允许信息泄露。英特尔正在发布固件更新以解决此潜在漏洞。” 

“某些英特尔(R) 处理器中共享资源的不当隔离可能允许特权用户通过本地访问潜在启用信息泄露。” 

该漏洞的发现是罗马第一大学、格拉茨科技大学、亚马逊网络服务和 CISPA 亥姆霍兹信息安全中心的研究人员进行的研究的结果。

与Meltdown 和 Spectre不同,ÆPIC Leak 是一个架构漏洞,这意味着敏感数据会在不依赖侧信道攻击的情况下被泄露。

研究人员说:“ÆPIC Leak 就像在 CPU 本身中读取的未初始化内存。访问 APIC MMIO 需要特权攻击者(管理员或 root)。因此,大多数系统都不会受到 ÆPIC 泄漏的影响。然而,依靠 SGX 保护数据免受特权攻击者的系统将面临风险,因此必须进行修补。”

CVE-2022-21233问题存在于高级可编程中断控制器(APIC)中,负责接受、确定优先级并将中断分派给处理器。 

“基于 Sunny Cove 微架构的英特尔 CPU 上的 I/O 地址空间扫描显示,本地高级可编程中断控制器(APIC)的内存映射寄存器未正确初始化。因此,从架构上读取这些寄存器会返回来自微架构的陈旧数据。由于只有特权软件才能访问 I/O 地址空间,ÆPIC Leak 的目标是英特尔的 TEE、SGX。ÆPIC Leak 可能会从运行在同一物理内核上的 SGX enclave 泄露数据。虽然 ÆPIC Leak 会在虚拟化环境中构成巨大威胁,但管理程序通常不会将本地 APIC 寄存器暴露给虚拟机,从而消除了基于云的场景中的威胁。” 

专家们使用 100 个不同的随机密钥测试了 ÆPIC Leak 问题,并试图通过一次攻击来泄露 AES 密钥。结果是完整的密钥恢复平均需要 1.35 秒

(n = 100,σ = 15.70%),成功率为 94%

该漏洞使具有权限的攻击者能够在目标机器上执行特权本机代码以提取私钥,并且更糟糕的是破坏证明,这是 SGX 中用于确保代码和数据完整性的安全原语的基石。“我们展示了允许泄露内存和寄存器中的数据的攻击。我们展示了 ÆPIC Leak 如何完全打破 SGX 提供的保证,确定性地泄露 AES 密钥、RSA 私钥,并提取 SGX 密封密钥以进行远程认证。”

研究人员还提出了几种固件和软件缓解措施,以防止 ÆPIC Leak 泄露敏感数据或完全防止 ÆPIC Leak。

英特尔已经发布了固件更新以解决该漏洞。

随着研究人员展示了对影响 AMD Zen 1、Zen 2 和 Zen 3 微架构的调度程序队列的首次侧信道攻击 (CVE-2021-46778),攻击者可能会滥用该攻击来恢复 RSA 密钥。

该攻击代号为 SQUIP(Scheduler Queue Usage via Interference Probing 的缩写),需要测量调度程序队列的争用级别,以潜在地收集敏感信息。

尚未发布任何安全更新来修补攻击线,但该芯片制造商建议 “软件开发人员采用现有的最佳实践,包括恒定时间算法并在适当的情况下避免依赖秘密的控制流。”

]]>
因收集Android 位置数据,Google被罚六千万美元 Tue, 07 Feb 2023 10:48:06 +0800 近日,澳大利亚公平竞争和消费者委员会(ACCC)发布消息称,谷歌2017年1月至2018年 12 月的时间里,存在收集和使用其位置数据并误导澳大利亚 Android 用户,被处以6000万美元(约合人民币2.88亿元)罚款。

澳大利亚竞争监管机构表示,这家科技巨头继续跟踪其部分用户的 Android 手机,尽管他们在设备设置中禁用了“位置历史记录”。但实际情况是,谷歌在默认情况下会打开另一个名为“Web & App Activity”的帐户设置使公司能够“收集、存储和使用个人可识别的位置数据”。

ACCC 表示,根据现有数据,估计有超过 130 万个属于澳大利亚人的谷歌账户受到影响。

ACCC 主席 Gina Cass-Gottlieb表示,谷歌是世界上最大的公司之一,它能够保留通过“网络和应用活动”设置收集的位置数据,谷歌可以使用保留的数据将广告定位到某些消费者,即使这些消费者“位置记录”设置已关闭。

个人位置数据对一些消费者来说既敏感又重要,如果谷歌没有做出误导性的陈述,一些看到这些陈述的用户可能会对他们的位置数据的收集、存储和使用做出不同的选择。

澳大利亚联邦法院做出处罚决定

ACCC早在2019年10月就对谷歌提起诉讼。2021年4月,澳大利亚联邦法院裁定谷歌上述做法违反消费者法。主审案件的Thomas Thawley法官表示,被误导的用户不会想到,如果允许“网络和应用程序活动”的跟踪,就意味着允许谷歌使用自己的位置数据。

当时谷歌表示不同意法官的调查结果。“我们为位置数据提供强大的控制,并且一直在寻求做更多的事情——例如我们最近为位置历史引入了自动删除选项,让用户控制数据变得更加容易。”

此番联邦法院确认,2017年1月至2018年12月期间,谷歌通过安卓手机收集和使用其个人位置数据时,对用户做出误导性陈述,违反了消费者法。不仅如此,谷歌还被发现另外两项误导用户的违法行为。

在8月12日联邦法院的听证会上,双方同意处以6000万澳元的“公平合理”罚款,并且已向Thomas Thawley大法官提交一份联合意见书。此外,联邦法院下令谷歌调整其政策,以确保对合规的承诺,并为员工提供有关消费者法的培训。

ACCC 主席 Gina Cass-Gottlieb认为,“个人位置数据对某些消费者来说是敏感和重要的,如果不是谷歌做出误导性陈述,一些看到这些陈述的用户可能会对他们的位置数据的收集、存储和使用做出不同的选择。”

在ACCC主席Gina Cass-Gottlieb看来, 联邦法院这一重大处罚向数字平台和其他大大小小的企业发出一个强烈的信号,即企业不能就数据的收集和使用误导消费者。

谷歌在全球范围内遭遇多次处罚

这已经不是谷歌第一次因违反数据相关法律而遭受处罚,近年来,谷歌在全球范围内都曾因为数据收集、使用不当,违反当地数据法规而被罚款。

2022年 1 月,法国国家信息与自由委员会 (CNIL)对谷歌处以 1.7 亿美元的罚款,原因是谷歌将这个选项隐藏在多次点击之后,使网站访问者难以拒绝跟踪cookie,这侵犯了互联网用户的同意自由。 

此前,谷歌还因激进的数据收集被罚款 1130 万美元,因偏袒竞争对手的服务而被罚款2.2 亿欧元 ,因在线广告中的反竞争行为被罚款 17 亿美元 ,以及因滥用其市场主导地位调整搜索结果而被罚款 27.2 亿美元等。

]]>
苹果iOS设备上的VPN是一场骗局? Tue, 07 Feb 2023 10:48:06 +0800 VPN是互联网原始丛林中搭建起的“安全隧道”,但是苹果iOS系统曝出的VPN数据泄露漏洞意味着这个管道已经“跑冒滴漏”多年。

iOS曝出VPN数据泄露漏洞

近日,一位资深计算机安全研究人员Michael Horowitz爆料称,苹果公司的iOS设备(例如iPhone手机和iPad)并没有像用户预期的那样通过VPN完全路由所有网络流量,多年来苹果公司对该漏洞心知肚明。

Michael Horowitz在最新发布的博文中言辞激烈地控诉:“iOS上的VPN是一个骗局”。

Horowitz写道,(iOS设备上运行的)任何第三方VPN一开始似乎都可以正常工作,为设备提供新的IP地址、DNS服务器和新流量的隧道。但是在激活VPN之前建立的会话和连接并不会终止,并且Horowitz在高级路由器日志记录发现中,设备仍然可以在VPN隧道建立且处于活动状态时将数据(不通过VPN)发送到外部。

换句话说,用户通常认为VPN客户端会在建立安全连接之前终止现有连接,以便可以在隧道内重新建立它们。但Horowitz说,iOS上的VPN似乎无法做到这一点,这一发现得到了2020年5月的一份类似报告的支持。

“数据从VPN隧道以外流出iOS设备,”Horowitz写道:“这不是经典/传统的DNS泄漏,而是数据泄漏!我测试了多个VPN提供商的多种类型的VPN软件确认了这一点。我测试的最新版本的iOS是15.6。”

安全博主Michael Horowitz的日志显示,一台连接VPN的iPad同时连接了他的VPN提供商(37.19.214.1)和Apple Push(17.57.144.12)。与苹果服务器的连接在VPN之外,如果被ISP或其他方看到,可能会暴露用户的IP地址。

隐私公司Proton此前报告了一个iOS VPN绕过漏洞,该漏洞至少始于iOS 13.3.1。与Horowitz的帖子一样,Proton的博客指出,VPN通常会关闭所有现有连接并在VPN隧道内重新打开它们,但这在iOS上并没有发生。大多数现有连接最终会转入VPN隧道,但有些连接,如苹果公司的推送通知服务,可以(在VPN隧道外)持续传输数小时。

危险的隧道外链接

隧道外连接持续存在的主要安全隐患是,如果数据未加密将存在泄露风险,并且ISP和其他方可以看到用户的IP地址及其连接的内容。

Proton确认VPN绕过漏洞在iOS 13的三个后续更新中持续存在。Proton表示,苹果公司添加了一个功能以阻止现有连接,但似乎对Horowitz的测试结果没有影响。

Horowitz于2022年年中在iPad iOS 15.4.1上测试了ProtonVPN的应用程序,发现它仍然允许与苹果公司的推送服务建立持久的非隧道连接。根据Horowitz的说法,Proton添加的Kill Switch功能可在VPN隧道丢失时阻止所有网络流量,但事实上并不能防止泄漏。

Horowitz使用不同的VPN提供商和iOS应用程序(例如OVPN,运行WireGuard协议)在iOS 15.5上再次进行了测试。结果他的iPad仍继续向Apple服务和亚马逊AWS云服务发出请求。

对于个隐私高度敏感的人群来说,在苹果公司未能彻底解决该问题之前,如果你不想在启动VPN前手动关闭所有连接,Proton给出了一个同样有效的解决方法:先连接到VPN服务器,然后打开飞行模式,然后再将其关闭。此时之前所有连接都将在VPN隧道内重新建立,但Proton表示这个方法并不能保证100%的成功率,因为“iOS的飞行模式功能非常混乱”。

苹果iOS的VPN数据泄露漏洞表明:VPN,尤其是商业VPN产品,仍然是互联网安全和隐私的一个复杂因素。选择“最佳VPN”对于用户来说始终是一件挠头的事情。VPN可能因漏洞、未加密的服务器、贪婪的数据经纪人或被Facebook这样的科技巨头控制而成为安全隐患。

]]>
Realtek爆出关键漏洞,影响多款网络设备 Tue, 07 Feb 2023 10:48:06 +0800 Bleeping Computer 网站披露,Realtek 爆出严重漏洞,该漏洞影响到数百万台采用 Realtek RTL819x 系统芯片(SoC)的网络设备。

该漏洞被追踪为 CVE-2022-27255,远程攻击者可以利用其破坏来自各种原始设备制造商 (OEM) 的易受攻击设备。

无需身份验证

据悉,CVE-2022-27255 漏洞由阿根廷网络安全公司 Faraday Security 的研究人员在 Realtek 的开源 eCos 操作系统 SDK 中发现,并在 DEFCON 黑客大会上披露了详细的技术细节。

CVE-2022-27255是一个基于堆栈的缓冲区溢出漏洞,其严重程度为 9.8 分(满分10分),远程攻击者可以使用带有恶意 SDP 数据的特制 SIP 数据包任意执行代码,这个过程完全无需身份验证。此外,攻击者还可以通过 WAN 接口利用漏洞。

早在 3 月份,Realtek 已经解决这一漏洞问题,并指出了漏洞主要影响rtl819x-eCos-v0.x 系列和 rtl819x-eCos-v1.x 系列产品。

来自 Faraday Security 的四位研究人员为 CVE-2022-27255 开发了概念验证(PoC)利用代码,该代码可用于 Nexxt Nebula 300 Plus 路由器。研究人员还分享了一段视频,展示了即使远程管理功能被关闭,远程攻击者也可能破坏设备。

最后,研究人员指出攻击者利只需有漏洞设备的外部 IP 地址,就可以 利用CVE-2022-27255 漏洞,意味着不需要与用户交互。

注:发现漏洞的四名研究人员分别是来自布宜诺斯艾利斯大学的计算机科学学生Octavio Gianatiempo, Octavio Galland, Emilio Couto, Javier Aguinaga。

存在几道防线

SANS 研究部主任 Johannes Ullrich 表示,远程攻击者可以利用 CVE-2022-27255 漏洞进行以下操作:

导致设备崩溃

执行任意代码

建立持久性的后门

改变网络流量的路线

拦截网络流量

另外,尽管 Realtek 在3 月已经发布了一个补丁,但 Ullrich 强调该漏洞影响到数百万设备,修复补丁很难被推广到所有待修复的设备,如果 CVE-2022-27255 漏洞变成了蠕虫病毒,可以在短短几分钟内扩散到互联网上。

多家供应商将易受攻击的 Realtek SDK 用于基于 RTL819x SoC 的设备,其中许多供应商尚未发布固件更新。目前还不清楚有多少网络设备使用 RTL819x 芯片,但 RTL819xD 版本的 SoC 出现在 60 多个供应商的产品中,其中包括华硕、贝尔金、Buffalo、D-Link、Edimax、TRENDnet 和 Zyxel。

研究人员的观点:

使用 2022 年 3 月之前围绕 Realtek eCOS SDK 构建的固件的设备存在漏洞,易受攻击;

即使用户不暴露任何管理界面功能,也容易受到攻击;

攻击者可以使用单个 UDP 数据包到任意端口来利用该漏洞;

此漏洞可能对路由器影响最大,但一些基于 Realtek SDK 的物联网设备也可能受到影响。

安全专家建议用户应尽快检查其网络设备是否存在漏洞,一经发现,应立即安装供应商发布的固件更新。除此以外,企业可以尝试阻止未经请求的 UDP 请求。

]]>
英国一水厂疑遭勒索软件攻击,IT系统中断服务 敏感数据或泄露 Tue, 07 Feb 2023 10:48:06 +0800 英国南斯塔福德郡水务公司(South Staffordshire Water)是一家供水商,每天为160万消费者提供约3.3亿升饮用水。日前,该公司发表一份声明,确认IT系统已经因网络攻击而宕机。

英国面临缺水期,网络攻击正逢其时

根据公告内容来看,该公司的安全和供水系统仍在正常运行,因此IT系统宕机不会影响到其自身及旗下子公司Cambridge Water和South Staffs Water的客户安全用水。

该公司在官网发布的声明中解释道,“这要归功于我们长期以来强大的供水和质量控制系统,也离不开我们团队为应对此次事件做出的迅速响应和额外预防措施。”

南斯塔福德郡水务公司还向客户做出保证,称所有服务团队都在照常运营,并不存在因网络攻击而导致长期停水的风险。

据悉,此次攻击疑似为Clop勒索软件团伙所为。攻击恰逢英国消费者面临严重的缺水危机,目前英国国内已经有八个地区实施了供水配额和禁止私接软管等政策。

网络犯罪分子当然不会随意选择目标,抢在严重缺水期间攻击供水商,有望迫使受害者面对巨大的民众用水压力而乖乖支付赎金。

勒索团伙搞错受害者,错误发送勒索信息

与此同时,Clop勒索软件团伙日前在其暗网网站发布公告,宣称泰晤士水务公司(Thames Water)已经沦为其受害者。从公告来看,Clop表示已经成功接入泰晤士水务公司的监测控制与数据采集(SCADA)系统,甚至有能力操纵该系统对1500万客户造成损害。

泰晤士水务公司是英国最大的自来水供应商和废水处理商,业务涵盖大伦敦地区及泰晤士河周边地区。

Clop团伙称已经将网络安全缺陷透露给泰晤士水务公司,并表示此次攻击非常“贴心”,没有加密受害者的数据,只是从受感染的系统中窃取到5TB资料。

在赎金谈判破裂之后,Clop团伙决定发布首批被盗数据样本,其中包含护照、水处理SCADA系统截屏以及驾照等内容。

泰晤士水务公司则通过一份正式声明对此提出异议,称Clop团伙提到的网络入侵说法属于“网络骗局”,且目前供水业务一直在满负荷运转。

事件中的一大关键细节在于,从公开证据来看,Clop团伙提供的一份包含用户名和密码的电子表格,其中列出的其实是South Staff Water和South Staffordshire的邮件地址。

此外,外媒BleepingComputer还观察到,其中一份泄露文件明确标注是发给南斯塔福德郡水务公司的。

因此,Clop团伙很可能是搞错了受害者身份,或者是打算用虚假的证据去勒索另一家体量更大的企业。

在被“打假”后,Clop团伙修正了其暗网网站的勒索对象,将南斯塔福德郡水务公司列为受害者。

要想顺利拿到赎金,Clop团伙至少得先把受害者的身份搞清楚。考虑到此次事件已经掀起轩然大波,想要顺利换取赎金恐怕没那么容易。

]]>
竟然不设密码!调查发现全球超9000台VNC 服务器存暴露风险 Tue, 07 Feb 2023 10:48:06 +0800 据Bleeping Computer网站8月14日消息,研究人员通过调查发现了至少9000个暴露的VNC(虚拟网络计算)端点,这些端点能在没有认证的情况下进行访问,从而使攻击者能够轻松进入内部网络。

VNC(虚拟网络计算)是一个独立于平台的系统,旨在帮助用户连接到需要监控和调整的系统,通过网络连接的RFB(远程帧缓冲协议)提供对远程计算机的控制。

如果因为工作疏忽或者只图方便,让这些端点没有用密码进行保护,便会成为未经授权的入口,让攻击者趁虚而入。根据Cyble公司安全漏洞猎手的扫描结果,发现网络上有超过9000个没有密码防护且面向互联网的VNC实例,其中大多数被暴露的实例位于中国和瑞典,而美国、西班牙和巴西则紧随其后。令人担忧的是,Cybcle发现其中一些暴露的VNC实例位于本不应该暴露在互联网上的工业控制系统。

为了解攻击者针对VNC服务器的频率,Cyble使用其网络情报工具监测VNC的默认端口——5900端口的攻击,发现在一个月内有超过600万个请求,其中多数访问来自来自荷兰、俄罗斯和美国。

对VNC访问的需求

在黑客论坛上,通过暴露或破解的VNC访问关键网络的需求很高,在某些情况下,这种访问可以用于更深层次的网络渗透。

“攻击者可能会滥用VNC,以登录用户的身份进行恶意操作,如打开文档、下载文件和运行任意命令,"一位Cyble研究员在一次私下讨论中告诉Bleeping Computer,"攻击者可以利用VNC来远程控制和监控一个系统,以收集数据和信息,从而向网络内的其他系统进行渗透。"

Bleeping Computer发现,在一个暗网论坛的帖子中列出了一长串暴露的VNC实例,这些实例的密码非常弱或没有密码。弱密码的情况引起了人们对VNC安全的另一个关注,因为 Cyble 的调查仅集中在身份验证层完全禁用的实例上。

由于许多VNC产品不支持超过8个字符的密码,导致它们在安全性上的表现欠佳,建议VNC管理员不要把服务器直接暴露在互联网上,如果必须远程访问,至少将它们放在 VPN 后面以保护对服务器的访问。

]]>
阿根廷地方司法机构遭勒索软件攻击:IT系统全部关闭 被迫纸笔办公 Tue, 07 Feb 2023 10:48:06 +0800 8月16日消息,南美洲阿根廷科尔多瓦司法机构因勒索软件攻击而被迫关闭IT系统,据爆料此次攻击是新近出现的Play勒索软件所为。

这次攻击发生在上周六(8月13日),迫使当地司法机构关闭了其IT系统及在线门户。服务中断期间,只能依靠传统纸面形式提交官方文件。

据阿根廷新闻媒体Cadena 3发布的“网络攻击应急计划”显示,科尔多瓦司法机构证实曾遭受勒索软件攻击,并已经与微软、思科、趋势科技及当地专家共同开展事件调查。

经谷歌翻译理解,报道中提到“2022年8月13日星期六,科尔多瓦法院的技术基础设施遭受网络攻击,IT服务受勒索软件影响而无法正常运转。”

阿根廷新闻媒体Clarín 也提到,有消息人士称,此次攻击影响到司法机构的IT系统及数据库,这是该国“历史上针对公共机构的最严重攻击活动”。

攻击方系Play勒索软件

虽然司法机构尚未披露此次攻击的更多细节,但记者Luis Ernest Zegarra已经在推特上表示,他们受到的是以“.Play”为扩展名实施文件加密的勒索软件攻击。

该扩展名与2022年6月新出现的“Play”勒索软件有关,当时首批受害者曾在BleepingComputer论坛上描述过攻击情形。

与其他勒索软件攻击一样,Play恶意黑客同样先入侵网络、再加密设备。而在加密文件时,该勒索软件会添加.PLAY扩展名,如下图所示。

但与大多数留下冗长勒索说明、向受害者施压要挟的其他勒索软件不同,“Play”属于典型的“人狠话不多”。

“Play”的ReadMe.txt勒索说明不会遍布每个文件夹,而仅仅只放在磁盘驱动器的根目录(C:\\)下。内容也非常简洁,只有“PLAY”单词与联系邮件地址。

外媒BleepingComputer获悉,Play团伙会使用多个不同联络邮件地址,所以上图地址可能跟科尔多瓦司法机构攻击事件无关。

目前还不清楚Play团伙是如何入侵司法机构网络的。但在今年3月Lapsus$入侵Globant事件当中,曾有司法部门的员工遭遇邮件地址列表泄露。也许Play团伙是借此实施网络钓鱼攻击,进而窃取到登录凭证。

目前暂时没有发现该勒索软件团伙实施数据泄露,或数据在攻击期间被盗的迹象。

这已经不是阿根廷政府机构第一次遭受勒索软件攻击。早在2020年9月,Netwalker勒索软件团伙就袭击了阿根廷官方移民局 Dirección Nacional de Migraciones,并开价索取400万美元赎金。

]]>
《安联智库-网安周报》2022-08-14 Tue, 07 Feb 2023 10:48:06 +0800

1、网络巨头思科遭数据勒索:VPN访问权限被窃取,2.8GB数据泄露

8月11日消息,思科公司昨日证实,“阎罗王”(音译,原名Yanluowang)勒索软件团伙在今年5月下旬入侵了其企业网络,攻击者还试图公布被盗文件以要挟索取赎金。思科声称,攻击者窃取到的只是与受感染员工账户关联的Box文件夹中的非敏感数据。
黑客称已经窃取到思科数据
这批恶意黑客通过邮件向外媒BleepingComputer发送了一份目录,内容据称是攻击期间从思科处窃取到的文件。恶意黑客声称共窃取到2.75 GB数据,包含约3100个文件。其中不少文件为保密协议、数据转储和工程图纸。
黑客还向BleepingComputer展示了攻击期间获得的一份经过编辑的保密协议(NDA)文件,用以证明攻击获得成功,并“暗示”这些文件是入侵思科网络后窃取而来。
2、美的集团回应遭受病毒勒索:系谣言,各业务系统未受影响

11日晚间,就“美的受黑客攻击并勒索千万美元”的传闻,美的集团在微博上发文回应称,2022年8月11日,美的集团遭受新型网络病毒攻击,少数员工电脑受到感染,公司各业务系统未受影响,经营正常进行,也没有收到勒索信息。

此前,网络上流传的一则聊天记录显示,美的集团在休集体年假期间遭遇加密勒索,工厂多处电脑中病毒,导致无法打开文件或进入不了系统。该病毒为勒索病毒,需要7天内汇1000万美元到指定账户。

上述聊天记录还提到,针对发生的加密勒索,公司提示相关用户需要保持非必要不开机;已经开机的用户马上关机断电;不要连VPN;不要使用美信、邮箱发送文件,并且会安排安保进行强制关机。

3、美服装商HanesBrands 受到勒索软件攻击损失1亿美元

美国服装制造商HanesBrands 8月11日表示,由于勒索软件攻击暂时中断了公司的供应链和订单,它损失了1亿美元。

根据该公司的财报,此次攻击破坏了其“全球供应链网络,并限制了其在大约3周内履行客户订单的能力”。该公司估计,这次攻击导致1亿美元的净销售额和3500万美元的调整后营业利润。

4、破解Starlink卫星终端需要多少成本?25美元

近日在拉斯维加斯召开的 Black Hat Security Conference 峰会上,一名 Lennert Wouters 的比利时研究人员现场演示,成功破解了 SpaceX 的其中一个 Starlink 用户终端。Starlink 是伊隆·马斯克(Elon Musk)旗下私人航天公司 SpaceX 推出的卫星互联网业务,主要为全球偏远地区和网络信号无法覆盖的地区提供网络服务。目前该业务已经发展到 3000 多颗卫星。

Wouters 在展示过程中,所使用的破解装置总成本仅为 25 美元,成功侵入 Starlink 的卫星天线终端并获得系统访问权限。Wouters 写道:“我们的攻击可以让 Starlink 的用户终端无法使用,并允许我们任意执行代码”。

在拉斯维加斯会议上展示他的发现之前,Wouter 曾警告 SpaceX 其用户终端的漏洞。Starlink 已经更新了系统,但研究人员回答说,避免此类攻击的唯一可靠方法是创建一个新版本的主芯片。

]]>
利用macOS端Zoom安装器漏洞 黑客可以接管你的Mac Tue, 07 Feb 2023 10:48:06 +0800 一名安全专家近日发现利用 macOS 端 Zoom 应用程序,掌控整个系统权限的攻击方式。本周五在拉斯维加斯召开的 Def Con 黑客大会上,Mac 安全专家帕特里克·沃德尔(Patrick Wardle)在演讲中详细介绍了这个漏洞细节。

虽然 Zoom 已经修复了演示中的部分 BUG,但是沃德尔还演示了一个尚未修复、依然可以影响 macOS 系统的漏洞。该漏洞通过 Zoom 应用的安装器进行入侵,虽然在首次添加到 macOS 的时候需要用户输入系统密码,不过沃德尔表示可以通过超级用户权限在后台执行自动升级功能。

在 Zoom 发布修复更新之后,在安装新的安装包的时候都需要审查是否经过 Zoom 加密签署。不过这种审查方式依然存在缺陷,任意文件只需要修改为和 Zoom 签署认证相同的文件名称就可以通过测试,因此攻击者可以伪装任意恶意程序,并通过提权来掌控系统、

其结果是一种权限提升攻击方式,需要攻击者已经获得了对目标系统的初始访问权限,然后利用漏洞来获得更高级别的访问权限。 在这种情况下,攻击者从受限用户帐户开始,但升级为最强大的用户类型——称为“superuser”或“root”——允许他们添加、删除或修改机器上的任何文件。

]]>
破解Starlink卫星终端需要多少成本?25美元 Tue, 07 Feb 2023 10:48:06 +0800 近日在拉斯维加斯召开的 Black Hat Security Conference 峰会上,一名 Lennert Wouters 的比利时研究人员现场演示,成功破解了 SpaceX 的其中一个 Starlink 用户终端。Starlink 是伊隆·马斯克(Elon Musk)旗下私人航天公司 SpaceX 推出的卫星互联网业务,主要为全球偏远地区和网络信号无法覆盖的地区提供网络服务。目前该业务已经发展到 3000 多颗卫星。

Wouters 在展示过程中,所使用的破解装置总成本仅为 25 美元,成功侵入 Starlink 的卫星天线终端并获得系统访问权限。 Wouters 写道:“我们的攻击可以让 Starlink 的用户终端无法使用,并允许我们任意执行代码”。

在拉斯维加斯会议上展示他的发现之前,Wouter 曾警告 SpaceX 其用户终端的漏洞。 Starlink 已经更新了系统,但研究人员回答说,避免此类攻击的唯一可靠方法是创建一个新版本的主芯片。

]]>
美服装商HanesBrands 受到勒索软件攻击损失1亿美元 Tue, 07 Feb 2023 10:48:06 +0800 美国服装制造商HanesBrands 8月11日表示,由于勒索软件攻击暂时中断了公司的供应链和订单,它损失了1亿美元。

攻击发生在公司销售额下降14%至15. 1亿美元期间。

HanesBrands于5月底向美国证券交易委员会 (SEC)报告了此次攻击 ,但此前并未具体说明影响程度。

根据该公司的财报,此次攻击破坏了其“全球供应链网络,并限制了其在大约3周内履行客户订单的能力”。

该公司估计,这次攻击导致1亿美元的净销售额和3500万美元的调整后营业利润。

此外,8月11日,HanesBrands 股价下跌6.2%至10.84美元。目前尚不清楚HanesBrands是否支付了赎金。

]]>
电脑中毒被勒索1000万美元?美的澄清:少数电脑被感染 Tue, 07 Feb 2023 10:48:06 +0800 11日晚间,就“美的受黑客攻击并勒索千万美元”的传闻,美的集团在微博上发文回应称,2022年8月11日,美的集团遭受新型网络病毒攻击,少数员工电脑受到感染,公司各业务系统未受影响,经营正常进行,也没有收到勒索信息。

中新经纬注意到,此前,网络上流传的一则聊天记录显示,美的集团在休集体年假期间遭遇加密勒索,工厂多处电脑中病毒,导致无法打开文件或进入不了系统。该病毒为勒索病毒,需要7天内汇1000万美元到指定账户。

上述聊天记录还提到,针对发生的加密勒索,公司提示相关用户需要保持非必要不开机;已经开机的用户马上关机断电;不要连VPN;不要使用美信、邮箱发送文件,并且会安排安保进行强制关机。

]]>
网络巨头思科遭数据勒索:VPN访问权限被窃取,2.8GB数据泄露 Tue, 07 Feb 2023 10:48:06 +0800 8月11日消息,思科公司昨日证实,“阎罗王”(音译,原名Yanluowang)勒索软件团伙在今年5月下旬入侵了其企业网络,攻击者还试图公布被盗文件以要挟索取赎金。

思科声称,攻击者窃取到的只是与受感染员工账户关联的Box文件夹中的非敏感数据。

思科公司一位发言人向外媒BleepingComputer确认,“思科公司在2022年5月下旬经历了一起企业网络安全事件。我们立即采取行动,遏制并清理了恶意黑客。”

“思科未发现此事件对公司业务造成过任何影响,包括思科产品或服务、敏感客户数据或敏感员工信息、知识产权或供应链运营。”

“8月10日,恶意黑客将期间窃取到的文件清单发布至暗网。我们已经采取了额外措施来保护自身系统,并公布了技术细节,希望协助保护更广泛的安全社区。”

利用被盗员工凭证入侵思科网络

“阎罗王”恶意团队首先劫持了思科员工的个人谷歌账户(包含从浏览器同步的凭证),随后使用其中的被盗凭证获得了对思科网络的访问权限。

“阎罗王”团伙发出大量多因素身份验证(MFA)推送通知,用疲劳战术搞垮目标员工的心态,之后再伪装成受信任的支持组织发起一系列复杂的语音网络钓鱼攻击。

终于,恶意黑客成功诱导受害者接受了其中一条多因素验证通知,并结合目标用户上下文信息获得了对VPN的访问权限。

在思科企业网络上成功站稳脚跟后,“阎罗王”团伙开始横向移动至Citrix服务器和域控制器。

思科安全研究团队Talos表示,“对方进入了Citrix环境,入侵了一系列Citrix服务器,并最终获得了对域控制器的高权限访问。”

在获得域管理员身份后,他们使用域枚举工具(如ntdsutil、adfind以及secretsdump等)收集更多信息,将包括后门在内的多种有效载荷安装到受感染系统上。

最后,思科检测到了这一恶意活动,并将恶意黑客从环境中驱逐了出去。在随后几周内,“阎罗王”团伙仍多次尝试重夺访问权限。

Talos团队补充道,“在获得初始访问权限后,恶意黑客曾采取多种行动来维持访问权限,希望尽可能破坏取证线索,并提高自己在环境中的系统访问级别。”

“恶意黑客随后被成功清理出思科环境,但仍没有彻底放弃。他们在攻击后的几周内,曾反复尝试重新夺取访问权限,但这些尝试均未能奏效。”

黑客称已经窃取到思科数据

上周,这批恶意黑客通过邮件向外媒BleepingComputer发送了一份目录,内容据称是攻击期间从思科处窃取到的文件。

恶意黑客声称共窃取到2.75 GB数据,包含约3100个文件。其中不少文件为保密协议、数据转储和工程图纸。

黑客还向BleepingComputer展示了攻击期间获得的一份经过编辑的保密协议(NDA)文件,用以证明攻击获得成功,并“暗示”这些文件是入侵思科网络后窃取而来。

恶意黑客已经在自己的数据泄露网站上公布了思科入侵事件,并附上了BleepingComputer此前收到的同一份文件目录。

思科系统并未被部署勒索软件

思科公司强调,尽管“阎罗王”团伙向来以加密锁定受害者文件而闻名,但此次攻击过程并未出现涉及勒索软件载荷的证据。

昨天(8月10日),思科Talos团队发布对该事件的响应过程文章称,“虽然我们并未在此次攻击中观察到勒索软件部署,但恶意黑客使用的战术、技术与程序(TTP)同以往的「勒索攻击预前活动」保持一致。也就是说,对方仍然延续了实际部署勒索软件之前的整个预备套路。”

“我们有中等到较强的信心,认为此次攻击是某初始访问代理(IAB)所为。之前已经确认,此代理同UNC2447网络犯罪团伙、Lapsus$恶意团伙以及「阎罗王」勒索软件团伙均有联系。”

“阎罗王”团伙近期还表示成功入侵了美国零售巨头沃尔玛的系统,但遭到受害者的明确否认。沃尔玛向BleepingComputer表示,自己并未发现勒索软件攻击的证据。

]]>
云计算通信平台Twilio遭黑客以网络钓鱼短信取得员工账号 Tue, 07 Feb 2023 10:48:06 +0800 云计算通信平台Twilio周日(8/7)指出,黑客通过网络钓鱼短信骗取了内部员工的登录凭证,再借由盗来的凭证访问内部网络,并取得了客户的资料,除了对外说明之外,也借此呼吁其它企业要小心里防备范这类的社交工程攻击。

Twilio表示,该公司是在8月4日发现有特定的客户账号资讯遭到未经授权的访问,主要是成功骗过了员工,让员工提供了自己的登录凭证。

黑客的手法是先发送短信给许多Twilio的前任与现任员工,短信内还写上了员工姓名,指出员工的密码已经过期,或是班表变更了,要求员工连至短信内所附上的连接,并输入登录凭证。

这些连接所使用的网址都是黑客先行注册的网络钓渔网站,像是http“:”//twilio-okta.com/或http“:”//twilio-sso.com/,以欺骗Twilio员工点击并输入凭证。接着黑客再以盗走的Twilio员工凭证访问客户资料。

Twilio并未说明有多少员工的登录凭证遭到窃取,也未提供外泄的客户数量或资料内容,仅说已一一通知受到影响的客户,并撤销所有被盗走的员工凭证,与鉴识公司合作,通知执法机构。此外,Twilio也通知了黑客发送网络钓鱼短信所使用的电信运营商,以及网络钓渔网站的托管服务供应商,请求它们撤销黑客的账号。

值得注意的是,Twilio还说也有其它公司遭到类似网络钓鱼手法的攻击,有些企业同样也通知了电信运营商与托管服务供应商,但在它们撤销黑客的账号之后,黑客很快就利用其它服务另起炉灶,显然是个有组织且有条不紊的犯罪集团,惟目前尚无法识别黑客的身份。

Twilio警告,社交工程攻击非常的复杂且先进,甚至能挑战最先进的防御系统,该公司已针对相关攻击展开了额外的员工训练,也正在研究其它的技术性防御措施,同时呼吁其它企业也应小心里防备范。

]]>
网络攻击致使英国医疗急救热线“120”发生重大中断 Tue, 07 Feb 2023 10:48:06 +0800 由于受到网络攻击影响,英国国家医疗服务体系(NHS)的111急救热线(注:类似我国的120热线)发生重大持续性中断。

这次网络攻击袭击了NHS的本地托管服务提供商Advanced。根据状态页面信息显示,111急救热线约85%的服务都在使用Advanced公司提供的Adastra客户患者管理解决方案。本次攻击令Adastra解决方案以及Advanced提供的其他几项服务同时陷入重大中断。

威尔士救护车服务中心表示,“当地用于将111急救热线患者转诊给急诊全科医师的计算机系统,近期出现了重大故障。”

“该系统主要帮助当地卫生局为患者提供协调服务。持续中断已经造成严重冲击与深远影响,覆盖了英国的英格兰、威尔士、苏格兰及北爱尔兰四大地区。”

英国卫生部部长Steve Barclay表示,正定期听取关于NHS 111服务事件的简报,目前已在受影响地区制定应急计划,将影响降到最低。

NHS官方建议,民众暂时使用在线网站访问111急救呼叫服务,直到事件得到解决。

Advanced公司高管证实网络攻击

目前,Advanced网站状态页面会弹出仅供客户及员工登录的表单,外部无法公开访问。但该公司首席运营官Simon Short已经证实,这次事件源自上周四(8月4日)早上检测到的网络攻击。

Short向英媒BBC公布的一份声明中表示,“我们发现了一个安全问题,已经引发服务中断。”

“可以确定该事件与网络攻击有关。作为预防措施,我们立即隔离了所有医疗与护理IT环境。”

“我们的事件响应团队及早介入,将问题控制在了少数服务器中,受影响设备只占整体医疗保健基础设施的2%。”

虽然并未提供关于网络攻击性质的细节信息,但根据Short的描述,这很可能是一起勒索软件或者数据勒索攻击。

Advanced公司为各行各业的22000多家全球客户提供商业软件,场景涵盖医疗保健、教育以及非营利组织等。

这家服务提供商的客户包括英国医疗卫生服务体系(NHS)、英国工作和养老金部(DWP)以及伦敦城市机场等。

外媒BleepingComputer曾联系到Advanced公司一位发言人,希望了解更多事件细节,但对方并未立即回应置评请求。

]]>
员工被钓鱼,云通讯巨头Twilio客户数据遭泄露 Tue, 07 Feb 2023 10:48:06 +0800 据Bleeping Computer网站8月8日消息,云通讯巨头Twilio表示,有攻击者利用短信网络钓鱼攻击窃取了员工凭证,并潜入内部系统泄露了部分客户数据。

根据Twilio在上周末的公开披露,8月4日,Twilio首次注意到了这些旨在窃取员工凭证的复杂社会工程学攻击。这些攻击者冒充公司内部的IT部门人员,向公司员工发送短信,警告他们的系统密码已经过期,需要通过点击短信附带的URL进行修改。该URL带有“Twilio”、“Okta”和“SSO”等具有高仿真性的字段,受害员工一旦点击便会跳转到一个克隆的 Twilio 登录页面。

当被问及有多少员工的帐户在网络钓鱼攻击中“失陷”,以及有多少客户数据受到泄露影响时,Twilio 的 EMEA 通讯总监 Katherine James 拒绝透露相关信息。Twilio 对外表示,已经与美国的短信供应商取得联系,封闭了发送钓鱼短信的账户。

Twilio尚未确定攻击者的身份,但已联系执法部门对攻击者展开调查。为此,Twilio已经封禁了在攻击期间遭到破坏的员工账户,以阻止攻击者访问其系统,并已开始通知受此事件影响的客户。

Twillio在 17 个国家和地区拥有26 个办事处,共计 5000 多名员工,提供可编程语音、文本、聊天、视频和电子邮件 API,被超过 1000 万开发人员和 150000 家企业用于构建客户参与平台。

Twilio还在2015年2月收购了Authy,这是一家面向终端用户、开发者和企业的流行双因素认证(2FA)供应商,在全球拥有数百万用户。

]]>
荷兰受网络攻击影响被迫临时关停100多家牙科诊所 Tue, 07 Feb 2023 10:48:06 +0800 当地时间8月5日,荷兰Colosseum Dental Benelux公司向媒体表示,公司旗下的100多家牙科诊所因网络攻击被迫停工。Colosseum Dental Benelux在荷兰和比利时拥有130家诊所。

该公司在接受RTL Z采访时证实,受到了网络攻击,并报告了警方和荷兰数据保护局(AP)。

该公司认为这是一起“网络事件”,影响了大约120个旗下诊所。Colosseum Dental Benelux预计本周将慢慢重新开业。

根据可靠的消息来源,员工无法获取客户的病史。“不幸的是,这具有勒索软件攻击的所有特征,”网络安全公司ESET荷兰首席执行官戴夫·马斯兰(Dave Maasland)说。

马斯兰说:“一项操作的停止、无法访问系统或网站、向警方报告和向荷兰数据保护局报告,所有这些都指向这个方向。”他不排除这可能是另一种攻击,但认为这种可能性很小。“不幸的是,在当前的网络事件浪潮中,几乎都能看到勒索软件的影子。”

该公司目前正在恢复系统,并正在与外部各方调查该事件。由于正在进行调查,发言人不想透露更多信息。他不想透露事件的幕后主使以及患者数据是否被盗。

该公司表示别无选择,只能向犯罪分子付款:“照顾我们的患者是我们的首要任务,这促使Colosseum Dental Benelux与网络攻击者联系,就我们的数据返还和安全达成协议。只有这样,我们才能够在如此短的时间内将所有相关人员的风险降至最低,并相对快速地恢复业务。”

该公司告知荷兰数据保护局,已联系外界共同应对紧急情况。预计受影响的诊所将在本周内恢复正常运行。目前尚不清楚支付了多少赎金。

Colosseum Dental Benelux没有透露攻击者身份。有消息称攻击者在系统加密之前删除了备份。目前还不确定是否有数据泄露。

Colosseum Dental Benelux在荷兰和比利时有130多个门店,每年治疗约600000名患者。这次袭击只影响了大约120家荷兰门店。发言人透露,比利时或其他国家没有卷入这起事件。

]]>
丹麦全国7-11便利店遭网络攻击关闭 Tue, 07 Feb 2023 10:48:06 +0800 本周一,丹麦的7-11便利店遭遇重大网络攻击,全国商店的支付和结账系统陷入瘫痪,导致丹麦全国的7-11便利店关闭。

这次攻击发生在周一晚间,7-11便利店在Facebook官方账号上发帖称他们很可能“受到黑客攻击”。

声明称,该公司在调查安全事件,并已关闭该国所有门店:

“不幸的是,我们怀疑我们今天(2022年8月8日星期一)受到了黑客攻击。这意味着我们无法使用结账和接收付款功能。因此,我们将关闭商店,我们希望可以很快再次开店。” ——7-11DK。

在现已删除的一个Reddit帖子中,一名据称是丹麦7-11便利店的员工也证实了网络攻击,称他们在结账系统停止工作后被迫关闭商店。

“我在国王新广场的7-11工作,我们的结账系统已经瘫痪,全国所有的7-11都使用相同的系统,所以丹麦的所有7-11现在都已‘关闭’,”这名7-11员工说在Reddit上。

“所有店铺已经对客户关闭了大门,并张贴了通知。”

目前,还没有关于这次攻击的更多细节,也未确认是否涉及勒索软件,但后者是导致大规模业务中断的最常见网络攻击。

]]>
NHS遭网络攻击,系统出现重大故障 Tue, 07 Feb 2023 10:48:06 +0800 英国国家卫生服务(NHS)的111紧急服务受到网络攻击,继而引发了重大影响,服务系统出现持续性中断,该攻击袭击了英国管理服务提供商(MSP)Advanced的系统。

根据NHS111服务的介绍页面,85% 的 NHS 111 服务都使用了Advanced 的 Adastra 客户患者管理解决方案,该解决方案与 MSP 提供的其他几项服务一起遭遇重大中断 。

威尔士救护车服务中心近日称用于将病人从威尔士的国家医疗服务体系转诊到小时外全科医生的NHS计算机系统发生了重大故障,该系统是由地方卫生局用来协调病人转诊的。此次持续的故障是非常重大的,故障造成的影响也十分深远,英国全境都因此受到了不同程度的影响。NHS建议英国公众在此次事件得到解决之前,先使用在线平台访问NHS 111紧急服务。

Advanced首席运营官确认了网络攻击

目前为止,公众暂时无法查看Advanced状态页面,Advanced的首席运营官Simon Short证实,该故障事件是由周四上午发现的网络攻击造成的。

Simon Short在BBC上发表声明称,近日发现的安全问题造成了此次服务的故障,他们可以确认,该事件与网络攻击有关,作为预防措施,Advanced立即隔离了该组织所有的健康和护理环境。Advanced的事件响应小组的早期干预将这个问题控制在少数服务器上,这些问题服务器约占Advanced使用的健康和护理基础服务器的2%。

虽然没有提供有关网络攻击性质的细节,但根据Advanced的首席运营官的发言推测,此次事件可能是一个勒索软件或数据勒索攻击。Advanced为22,000多个全球客户提供商业软件服务,这些客户来自不同的行业垂直领域,从医疗保健和教育到非营利组织,MSP的客户名单包括NHS、英国工作和养老金部(DWP)以及伦敦城市机场。

]]>
记者调查:多家电商平台个人信息遭泄露 网上公开叫卖 Tue, 07 Feb 2023 10:48:06 +0800 李铁的个人信息泄露了。

李铁从事数据安全保护工作近10年,尤为看重自己的个人信息保护。近日,他告诉央广网记者,今年6月的一天,他接到一个陌生电话,对方直接说出他在某电商平台的订单信息,并称货品质量有问题,需要提供银行卡号,以便赔偿。

李铁说,出于职业敏感,他的第一反应是个人信息被泄露了。此前他确实在这家电商平台购买过上述物品,当他试图询问更多信息时,对方立即挂断了电话。

记者近期调查发现,除这家电商平台外,多家知名电商平台均有数据在网上公开叫卖,这些信息包括消费者的姓名、电话、地址、商品名称和快递单号等。有卖家自称每条个人信息0.35元,2000条起卖,如果购买量大,最低可打五折。记者从卖家处购买了数千条数据,随机对近200条个人数据进行了电话求证,证实被售卖的个人信息中名字、电话、住址等准确无误。

互联网数据信息泄露不仅带来不厌其烦的营销电话,还牵涉到商业平台之间的利益竞争,甚至导致电信诈骗等犯罪现象,诸如2016年震惊全国的“徐玉玉电信诈骗案”。该案入选最高人民法院“2017年推动法治进程十大案件”。

2022年6月1日,《中华人民共和国网络安全法》(简称《网络安全法》)正式实施五周年。《网络安全法》明确规定,网络运营者对其收集的个人信息所负有的法定义务包括:不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息;采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。

今年国务院印发的《“十四五”数字经济发展规划》提出,严厉打击数据黑市交易,营造安全有序的市场环境。国家发展改革委等部门联合印发的《关于推动平台经济规范健康持续发展的若干意见》中也提到,从严管控非必要采集数据行为,依法依规打击黑市数据交易、大数据杀熟等数据滥用行为。

严厉打击之下,还是有人铤而走险。几千元可买到上万条数据,一条黑色产业链正潜伏在社会的隐秘角落中。

个人信息遭公开叫卖,一条数据0.35元

隔三岔五,卖家许飞就会在QQ群发布一条“出料”信息。

“出料”是这个地下交易的“黑话”,它代表“数据”。消息发出不久,群内一些成员就来询问是什么类别的数据,他回复“私聊”后,这群人便消失在聊天群中。申请好友通过验证后,一旦有人买数据时犹豫不决,他就很快把人拉黑。

记者以买家身份加上了卖家许飞的QQ。“你要多少条?这些数据你先打电话核实。”许飞发来一个文档,称这是截取短信的信息,短信显示“某人、某时购买的物品已经发货”。

他自称还出售多家知名电商平台的个人信息,“一条数据0.35元,2000条信息起卖。”购买者不仅可以指定平台,还可指定日期,但最新数据也是两天前的数据,而非实时数据。

记者向许飞购买多家电商平台的个人数据,发来的每份数据文档中的信息条数从几十个到上千个不等,订单的商品有母婴用品、衣服、酒水、生活用品等多种类别。

其中,两份名为某电商平台“纸尿裤”和“母婴”的文件,共有数百条网购订单数据信息。信息包括所购买的商品品名、数量、价格、交易时间、订单号,以及收货人电话、姓名、地址,快递公司和快递单号等,其中地址详至门牌号。甚至,部分订单显示“未发货”“已发货”“孕妇不能走太远路”等备注信息。

为验证上述数据信息的真实性,记者随机拨打近200名用户电话求证,证实被售卖者的名字、电话、住址等信息无误。

“假的数据,我敢卖给你?”许飞再三催促记者尽快核实,“你放心,这些数据都可以对上号。”

许飞介绍,他和其他人合伙开了一家工作室,每天产量3万条左右,而他自己也偷偷生产数据,但量少,每月不到1万条。假如客户多,数据又不够,他只能从工作室拿,而自己只能拿一点提成,“挣得并不多”。

见记者犹豫不决,他不断劝说:“数据效果好的话,趁月底你多弄点数据,可以打五折,1万条数据只要2300元。你要是想倒手卖,再把价格加上去。”

许飞还发来一份名为“银行交易短信劫持样本”的文档。该文档包含国内各大银行名称、姓名、手机号码、属地、时间、储户实时到账的短信提示等信息。“这是银行内部流出的数据,我们渠道很多,你信了吧?”他说。

另一售卖者也表示,自己售卖的数据以母婴类为主,还有专门的宝妈平台和电视购物个人信息,这些信息都是从平台一手渠道“拿货”,保证精准,并称如果价格能够接受,“身份证都能给你洗出来”。

许飞从不用支付宝、微信转账的方式交易。

他称,支付宝口令红包更安全。记者在购买数据时,他再三嘱咐转账必须通过“支付宝口令”红包,输入口令后,将截图发给他即可。“我们都是通过这种方式支付。”“这样有点麻烦,但稳妥最重要。”在聊天中,他从不提钱、数据、红包等敏感词汇,“你要有安全意识”。

数据被反复流转、清洗,溯源不明

交易神秘是因为这些数据来源“见不得光”。

“数据保真就行,渠道不能说得‘太白’。不然我们还咋挣钱!”许飞透露,这些数据主要通过程序从平台上“爬取”,或者从“企业内鬼”处买到。记者随机向许飞发来的数据所涉平台商家进行验证,这些商家的工作人员均表示,不出售任何个人数据。

许飞称,有些数据来源于物流。但多家快递公司的快递员均表示,在网购快递收发中,他们可以看到备注的收货人名字、电话、地址或快递物品类别,但商品型号、颜色、价格等订单具体信息,他们无从得知。有些知名家电品牌的快递面单备注较为详细,但也并非所有信息都会显示。

“这种货源渠道五花八门,咋跟你说?”许飞表示他不是黑客,也不是中间商,不然数据售价不会这么低。

根据工作经验,李铁认为,许飞出售的可能是一手资料。他本人曾向某企业内鬼购买数据,对方和许飞一样警惕性极高。

李铁介绍,这类倒买倒卖的方式往往是把一手信息通过固定渠道向外销售,购买者成立公司或工作室,对数据进行清洗,然后通过各种渠道售卖给个人买家。“一手数据售价往往很低,在数据流通出去后,不少人反复倒卖加价,售价自然就高了。”

“这些人胆子很大,不停在各个社交渠道叫卖,而且还反复售卖。”仔细研究了对方售卖的数据,李铁分析称,部分数据已被清洗过,然后对方再重新拼凑起来。“这样做主要是安全,无法追溯源头。”

中国计算机行业协会数据安全专业委员会委员杨蔚表示,从近几年国内外网络攻击事件和数据泄露事件来看,不管是网购还是其他途径的信息泄露,来源主要是黑客攻击、内鬼泄露、供应链泄露三个方面。

杨蔚说,以电商平台举例,它是典型的供应链生态体系,既有“上游”,也有“下游”,整个流程协同分工。从消费者角度来看,各个环节都会存在数据被获取的可能性,因为各数据都在流转,大电商和小电商区别就在于组织和流程上涉及多少的问题。“这也是为什么某些电商平台一旦数据泄露,任何一个环节都说不是自己泄露的,这些平台没有相应的技术手段来保证各环节,说明管理存在问题。”他说。

据记者了解,最高人民检察院近期印发了《关于加强刑事检察与公益诉讼检察衔接协作严厉打击电信网络犯罪加强个人信息司法保护的通知》,要求严厉打击行业“内鬼”泄露公民个人信息违法犯罪。

数据遭泄露后,多用于营销推广和电信诈骗

许飞从不过问买方购买数据的用途,“我管那么多干嘛,问了别人也不说。”

但实际上,这些包含大量个人信息的数据已经成为电信网络诈骗犯罪的“基本物料”。犯罪分子通过非法手段获取公民注册手机卡、银行卡,以此作为诈骗犯罪的基础工具,或是利用这些信息对诈骗对象进行“画像”,实施精准诈骗。

在记者电话求证过程中,近半数消费者表示曾接到诈骗电话,甚至部分人多次接到境外诈骗电话,这些诈骗人员能够详细说出他们的姓名、住址、网购订单等信息。其中,有些是要求他们通过银行转账,有的是以返还商品优惠为由要求提供银行卡。

李铁表示,购买这些数据的人,主要是出于商业目的和诈骗。出于商业目的,例如推广营销、获取新用户、提高销售额、获取竞争对手客群等,而诈骗则尤为常见,甚至还有人借此来进行勒索。

杨蔚同样表示,一般个人信息数据泄露后常被用于营销推广和电信诈骗。而在电信诈骗中,在校学生、留守老年人会成为电信诈骗分子重点关注的对象。

2016年8月21日,刚接到大学录取通知书的山东临沂市高三毕业生徐玉玉接到诈骗电话。陈文辉等人以发放助学金的名义,骗走了徐玉玉全部学费9900元,徐玉玉在报警回家的路上猝死。

2017年6月27日,此案在山东省临沂市中级人民法院一审公开开庭审理。陈文辉、郑金锋、黄进春等7名被告人均表示认罪悔罪。

根据法院披露的信息,2015年11月至2016年8月,被告人陈文辉、郑金峰、黄进春等人通过网络购买学生信息和公民购房信息。随后冒充教育局、财政局、房产局工作人员,以发放贫困学生助学金、购房补贴为名,以高考学生为主要诈骗对象,拨打电话骗取他人钱款,金额共计人民币56万余元。

李铁表示,电信诈骗犯罪产业链的背后,盘踞着以公司化体系运营的网络犯罪集团。诈骗的大部分话术围绕高额回报、高收益展开,后续再以账户异常、流水不足、银行卡异常无法提现等理由实施诈骗,常见的骗局类型有刷单、假冒金融App、电商购物退款等。在他看来,电信网络诈骗背后折射的是各类信息的数据安全。网络黑产分子攫取个人数据信息,经过处理加工后批量标价卖给电信诈骗团伙,后者再利用这些信息获取受害者信任,以实施诈骗。

公安部公布的最新统计数据显示,2021年,公安机关侦办侵犯公民个人信息、黑客等重点案件1.8万余起,打掉为赌博、诈骗等犯罪提供资金结算、技术支撑、引流推广等服务的团伙6000余个,查处非法侵入计算机信息系统、非法获取系统数据人员3000余名,抓获行业内部人员680余名。

个人信息泄露后,立案难、维权难

杨蔚也曾遭遇个人信息泄露,而其后的维权之路让这位网络安全领域的专家都感到无比艰难。

就在今年“3·15”当天,杨蔚接到某房产中介的电话,对方精准地说出了他所居住的小区和楼层号。“骚扰电话的精准程度,真是令人发指。”杨蔚尝试举报,但过程并不理想。

杨蔚说,这类案件举证大部分容易因扩散渠道不具有单一性和唯一性,导致无法确认泄露主体而败诉。网民在日常生活中使用一些App时,如果不授权就用不了任何功能,但授权同意后就表示用户让渡了自己的个人信息,给予App运营主体获取权限。这也是为什么近年来手机App过度收集用户信息现象多次遭受质疑的原因。因为容易滋生数据黑产,引发违法犯罪。

此外,依靠暗网交易软件获取的数据来源更加私密,形成监管盲区,给执法部门带来很大困难。杨蔚认为,要从上游如支付环节或数据源头解决问题。

为加强对数据安全、个人信息的保护力度,近几年国内颁布多部法律法规及行业标准,包括网络安全法、数据安全法、个人信息保护法、电子商务法以及消费者权益保护法等。

北京市中治律师事务所律师郭聪认为,根据刑法第二百五十三条之一:侵犯公民个人信息罪,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

郭聪表示,据不完全统计,目前根据司法实践中的案例数据,2020年至2021年的侵犯公民个人信息犯罪结案案例约4613件,2022年1月至6月约为307件。绝大多数案件处于判处三年以下有期徒刑的量刑层级。

在国外,欧盟实施了严厉的数据保护条例GDPR。GDRP是《通用数据保护条例》的简称,是欧盟立法机关针对欧洲发生的诸多信息和隐私数据泄露案件而制定的法案。该条例明确规定,公司内部需要设立数据保护官DPO(类似于CEO和COO高管职位),负责个人隐私数据保护。对比国内外法律,欧盟对数据泄露的处罚力度更大,法条更明确。杨蔚认为,相比欧盟,我国关于数据安全的立法起步较晚,在数据安全治理实践上还存在一定差距。

中兴通讯数据保护合规部与数据法盟联合编制的《GDPR执法案例精选白皮书》数据显示,截至2019年9月24日,22家欧洲数据监管机构对共87件案件作出了总计3.7亿欧元的行政处罚决定。

杨蔚表示,数据作为生产要素,安全保护仍然是需要大家共同解决的问题,须监管部门、企业、安全机构、民间安全力量等各方的努力。他认为,有关部门要不断明确各方权责,将举证门槛降低,并且加大处罚力度;企业及负责人应做到知法守法,承担保障个人信息安全的义务,对员工进行安全教育和培训,企业内建设网络安全防御体系、加强数据备份和信息保密等工作;个人要提高安全防护意识,具备一定的敏感性,谨慎点击链接及网站、创建安全性较高的密码等。

北京大学法学院副院长薛军认为,要从根本上解决信息泄露问题,还要依靠先进的技术。在可能出现个人隐私和信息泄露的环节,要用技术将信息匿名化,这些匿名信息只有系统能识别,而行为人不能识别、获取。

他表示,相关部门还要进一步加强对这类违法行为的侦查,加大对不法分子的惩处力度。“这个最有震慑力,当他们知道违规、违法必然受到处罚时,可能就放弃了。”

]]>
乌克兰宣布关闭一处社交农场:超百万账号肆意传播抹黑信息 Tue, 07 Feb 2023 10:48:06 +0800 乌克兰安全局(SSU)旗下的网络警察部门关闭了一处拥有上百万机器人的设施农场,这些机器人被用于在社交网络上传播虚假信息。

这处农场的目标就是抹黑乌克兰官方发布的信息,破坏乌国社会与政治局势、伺机制造内部冲突。

这些机器人传播的信息与俄罗斯宣传口径相符,因此认为这些虚假信息设备的操作者应该是俄罗斯特种部队的成员。

事实上,乌安全局的调查还一路挖出了该犯罪团伙的头目——一位曾居住在基辅的俄罗斯“政治专家”。

乌安全局在公告中解释道,“根据调查,此人正在组织信息传播与颠覆活动,在其之上还有乌克兰国内一股政治力量的授意支持。”

“跟这位政治专家一直保持联络和协调的,是曾任州领导团队核心职务的某位现乌克兰国会议员。”

乌克兰警方的调查工作仍在进行当中,希望找到虚假信息传播的其他参与者。他们将因违反乌克兰刑法第361.2条受到指控。

大规模机器人农场

乌安全局封控的这处机器人农场位于基辅、哈尔科夫及文尼察,依靠100万机器人大肆传播虚假信息。为了建立这支线上“部队”,恶意黑客共使用5000张手机卡来批量注册新的社交媒体账户。

此外,操作者还使用200台代理服务器,来掩盖实际IP地址、逃避欺诈检测并绕过社交媒体平台的屏蔽机制。

根据乌安全局的介绍,此处机器人农场的操作者还开发部署了定制软件,用以远程管理一众匿名社交媒体账户、协调需要推送的宣传信息。

战争时期的虚假信息

假新闻的力量不容小觑,往往能在困难时期、互联网访问受限和普遍动荡的背景下引发巨变。

俄罗斯方面长期以来一直在实施虚假宣传活动,并在乌克兰投资建立针对当地民众的机器人农场。

2022年2月,Meta公司就曾删除几个在社交媒体平台上传播虚假信息的Facebook账户群。

2022年3月,乌安全局宣布发现并关闭了5处此类机器人农场,据称这里运营的负责传播假新闻的社交媒体账户多达10万个。

乌克兰总统泽连斯基也一直身陷虚假信息的泥潭。据安全内参了解,Facebook就曾出现过由Deepfakes技术合成的假消息;乌克兰广播电台之前还遭到入侵,强制播报泽连斯基总统已经生命垂危的假新闻。两起事件均被认为是俄罗斯方面所为。

自俄乌战争爆发以来,乌安全局已经发现并消除了1200多次针对乌国家及其他关键实体的网络攻击,报告和关闭了500个YouTube频道、涉及的订阅者高达1500万。

此外,乌安全局还报告了参与俄罗斯宣传攻势的1500个Telegram频道/机器人,以及另外1500个Facebook、Instagram及TikTok账户。

]]>
推特确认540万账户数据泄露 现已修补0-day漏洞 Tue, 07 Feb 2023 10:48:06 +0800 8月8日消息,7月22日Restore Privacy报告称,推特因安全漏洞被黑客入侵,共计540万个账户的联系方式泄露,泄露的540万个账户包括推特ID与其关联的电话号码和电子邮件信息,已在一个黑客论坛上出售,价格为3万美元(约20.28万元人民币)。

今日,推特已正式确认该攻击已发生,并且该0-day漏洞已被修补。

推特官方称,早在今年1月,就已经通过其漏洞赏金计划HackerOne获悉了该漏洞,该漏洞在2021年6月对其代码进行更新后逐渐出现。虽然该问题已在今年早些时候得到解决,但推特表示它没有考虑攻击者已经拥有数据的可能性。

了解到,根据此前的报告,共有5,485,636个推特账户的个人资料,其中包含手机号、位置、URL、个人资料图片和其他数据信息被盗取。

推特表示正在通知每个受影响的用户,但由于安全漏洞影响,官方无法完全确认暴露的账户有哪些。此外,虽然密码不是数据泄露的一部分,但推特建议用户为他们的账户打开双重身份验证。

]]>
《安联智库-网安周报》2022-08-07 Tue, 07 Feb 2023 10:48:06 +0800

1、跨国导弹开发商MBDA疑似被入侵,攻击者声称获取机密

MBDA是一家欧洲跨国导弹开发商和制造商,由来自法国、英国和意大利的Aérospatiale– Matra、  BAE Systems、 Finmeccanica三家公司合并而来。
代号为Adrastea的攻击组织自称是一组独立的网络安全专家和研究人员,声称他们已经成功入侵了MBDA。该攻击者在某热门黑客论坛发帖称:“你好!我们是Adrastea ——一群网络安全领域的独立专家和研究人员。我们在您的网络基础设施中发现了严重漏洞,并获得了对公司文件和机密数据的访问权限。目前下载的数据量约为60 GB。 下载的数据包含有关贵公司员工的机密和封闭信息,这些员工参与了MBDA封闭军事项目的开发。
作为黑客攻击的证据,Adrastea 分享了一个指向受密码保护的链接存档的链接,其中包含与项目和通信相关的内部文件。目前尚不清楚Adrastea是否持有了其他数据,同时Adrastea也没有透露有关攻击的细节。
2、超2.8亿条公民身份信息在公有云上暴露

8月4日消息,包括印度养老基金持有人全名、银行账号、代名人等信息在内的海量数据在网上曝光。

乌克兰安全研究员Bob Diachenko发现,有两个独立IP地址存储着超过2.88亿条记录,其中一个IP下约有2.8亿条记录,另一IP下约有840万条记录,两个IP均未经密码保护,数据被公开暴露在互联网上。两个IP地址归属印度,属于微软Azure托管服务。

Diachenko透露,“据我了解,数据库中的信息可被用来拼凑出这些印度公民的完整资料,致使他们成为网络钓鱼或欺诈攻击的目标。”

每条记录中都包含他们的个人身份信息,包括婚姻状况、性别和出生日期。以及与养老基金账户有关的细节信息,包括UAN、银行账号和就业情况。

3、区块链行业遭供应链攻击,上万加密钱包被“抄底”损失上亿美元

当地时间8月2日晚间,区块链行业遭遇了一次行业重创。据科技媒体TechCrunch报道,若干名攻击者“抄底”了上万个加密钱包,钱包内有价值上亿美元的代币。

据了解遭受攻击的加密钱包包括Phantom、Slope和TrustWallet等。涉及到的币种除了SOL、SPL和其他基于Solana(公链)的代币以外,还有USDC、USDT、BTC、ETH等主流币和稳定币。攻击的原因仍不清楚,但区块链Avalanche创始人Emin Gün Sirer表示,交易是正确签署的,这意味着该漏洞可能是一个 "供应链攻击",并设法窃取用户的私钥。

4、德国工商总会被网络攻击打爆了

据Bleeping Computer消息,网络攻击组织盯上了德国工商协会 (DIHK) ,对其发起了大规模的网络攻击。DIHK无力面对如此强力的网络攻击,直接躺平:被迫关闭了所有的IT系统,关闭所有的数字服务、电话和电子邮件服务器。

资料显示,德国工商总会(简称DIHK)是79个独立的德国工商会的行政联合机构。根据德国有关法律规定,所有德国境内企业(除手工业者、自由职业者及农业加工业外)均必须加入德国工商会。该会在德国国内承担着大量的公益任务。

在被攻击之后,DIHK在网站上发布了一份简短的通知,并表示关闭系统和数字服务是预防网络攻击造成更大损失的一种措施,也让IT团队有更多的时间摸清此次网络攻击的情况,并针对性的给出解决方案,提高系统的防护能力。 

有安全专家指出,此次网络攻击有可能是勒索组织所为,DIHK被迫关闭所有系统和数字服务,其目的是防止恶意软件快速传播,但这种猜测尚未得到官方的证实。截至目前也没有哪个勒索软件在其官网上宣布成功入侵 DIHK 的消息。

]]>
德国工商总会被网络攻击打爆了 Tue, 07 Feb 2023 10:48:06 +0800 据Bleeping Computer消息,网络攻击组织盯上了德国工商协会 (DIHK) ,对其发起了大规模的网络攻击。DIHK无力面对如此强力的网络攻击,直接躺平:被迫关闭了所有的IT系统,关闭所有的数字服务、电话和电子邮件服务器。

资料显示,德国工商总会(简称DIHK)是79个独立的德国工商会的行政联合机构。根据德国有关法律规定,所有德国境内企业(除手工业者、自由职业者及农业加工业外)均必须加入德国工商会。该会在德国国内承担着大量的公益任务。

德国工商总会是三百六十万德国企业的最高发言人,负责法律代理、咨询、外贸促进、培训、区域经济发展,并为其成员提供一般支持服务。

目前,尚未了解DIHK被攻击的原因,也没有黑客组织声称对此次攻击负责。

DIHK被黑客打爆了

在被攻击之后,DIHK在网站上发布了一份简短的通知,并表示关闭系统和数字服务是预防网络攻击造成更大损失的一种措施,也让IT团队有更多的时间摸清此次网络攻击的情况,并针对性的给出解决方案,提高系统的防护能力。 

在对此次攻击进行彻底检查后并确保用户可安全使用后,DIHK将逐步恢复正常服务,目前还只是恢复了一小部分。

DIHK总经理迈克尔伯格曼通过 LinkedIn 发布消息称,网络攻击发生在“周三”,并指出是一次大规模的攻击事件。DIHK暂时也无法确定修复时间许多多久,这也就意味着无法确定服务恢复的时间。

有安全专家指出,此次网络攻击有可能是勒索组织所为,DIHK被迫关闭所有系统和数字服务,其目的是防止恶意软件快速传播,但这种猜测尚未得到官方的证实。截至目前也没有哪个勒索软件在其官网上宣布成功入侵 DIHK 的消息。

]]>
区块链行业遭供应链攻击,上万加密钱包被“抄底”损失上亿美元 Tue, 07 Feb 2023 10:48:06 +0800 当地时间8月2日晚间,区块链行业遭遇了一次行业重创。据科技媒体TechCrunch报道,若干名攻击者“抄底”了上万个加密钱包,钱包内有价值上亿美元的代币。

据了解遭受攻击的加密钱包包括Phantom、Slope和TrustWallet等。涉及到的币种除了SOL、SPL和其他基于Solana(公链)的代币以外,还有USDC、USDT、BTC、ETH等主流币和稳定币。

区块链浏览器 Solscan称,锁定的四名攻击者共计攻击了大约1.52万个钱包,不过这些钱包之间可能存在重复攻击。Solana Status官方推特称,此次攻击中大约有8000个独立钱包受影响。

攻击的原因仍不清楚,但区块链Avalanche创始人Emin Gün Sirer表示,交易是正确签署的,这意味着该漏洞可能是一个 "供应链攻击",并设法窃取用户的私钥。

区块链审计公司OtterSec也证实,交易是由实际所有者签署,这意味着私钥已被泄露。

加密货币分析师@0xfoobar补充,"很可能是某些原因造成了大范围私钥泄露,影响范围包括近6个月内未活跃的钱包账户。"他还表示,撤销钱包的批准可能于事无补。

但Solana Labs和Phantom称其网络运行良好,并且不认为该问题与Solana网络或Phantom钱包有关。

Solana Ventures投资者Justin Barlow称,他的USDC钱包余额也被攻击。

8月3日凌晨,公链Solana生态NFT平台Magic Eden的推特帐号称,可能有一个普遍存在的SOL漏洞,正在影响整个生态系统的钱包,并提醒用户更新设置保护个人资产。

就在公链Solana遭到攻击的几个小时前,恶意分子滥用一个名为“chaotic”的安全漏洞,从跨链消息协议Nomad窃取了近2亿美元数字资产。这是由于Nomad智能合约的最新更新,用户可以很容易地进行交易欺诈。

]]>
Solana被盗500万美元,具体原因尚不明确 Tue, 07 Feb 2023 10:48:06 +0800 攻击者从区块链平台Solana窃取了超过500万美元,具体的失窃原因仍在进一步调查中调查中。

总部位于旧金山的去中心化区块链平台Solana,昨天上午在官方Twitter上确认了这一事件,Solana声称此次攻击有7767个钱包受到影响,其中包括了Slope和Phantom用户,并要求受影响的用户填写一份在线调查,以帮助其工程师查清事情的真相。

Solana声称他们的工程师们目前正在与多个安全研究人员和生态系统团队合作,以确定该漏洞的根本原因,现在虽然没有直接证据表明硬件钱包受到了影响。但还是强烈建议用户使用硬件钱包并且不要在硬件钱包上重复使用的种子短语,而应该创建使用独立的种子短语。被排出的钱包应被用户视为受到损害的状态,并要及时放弃。

Solana将自己宣传为 "世界上最快的区块链 "和 "加密货币中增长最快的生态系统",拥有成千上万的项目,涉及DeFi、NFTs、Web3和其他领域。

Pixel Privacy消费者隐私的Chris Hauk对外界解释道,Solana攻击只是最近一系列对加密货币的攻击中的最新一次。面对这些攻击,用户普遍希望撤销他们钱包上的任何第三方权限,直到Solana和其他被攻击的交易所完全修复产生这些攻击问题的漏洞。投资者也应该把他们的加密货币从热钱包转移到冷钱包。"

这一事件是一连串针对加密货币公司漏洞事件的衍生,其中包括有史以来最大的一次加密货币盗窃案,当时朝鲜黑客从以太坊侧链Ronin Network盗

]]>
超2.8亿条公民身份信息在公有云上暴露,印度政府未予置评 Tue, 07 Feb 2023 10:48:06 +0800 8月4日消息,包括印度养老基金持有人全名、银行账号、代名人等信息在内的海量数据在网上曝光。

乌克兰安全研究员Bob Diachenko发现,有两个独立IP地址存储着超过2.88亿条记录,其中一个IP下约有2.8亿条记录,另一IP下约有840万条记录。

Diachenko表示,两个IP均未经密码保护,数据被公开暴露在互联网上。两个IP地址归属印度,属于微软Azure托管服务。

这些记录属于“UAN”Elasticsearch集群。UAN是指印度国有雇员公积金组织(EPFO)分配给养老基金持有者们的通用账号。

Diachenko透露,“据我了解,数据库中的信息可被用来拼凑出这些印度公民的完整资料,致使他们成为网络钓鱼或欺诈攻击的目标。”

每条记录中都包含他们的个人身份信息,包括婚姻状况、性别和出生日期。以及与养老基金账户有关的细节信息,包括UAN、银行账号和就业情况。

除了泄露养老基金持有者们的个人身份信息(PII)之外,这些记录中还暴露了相应代名人的信息,例如代名人全名、与账户持有人的关系。

Diachenko在本周早些时候发现这些泄露敏感数据的IP地址。他昨天在Twitter上发布一张截图,展示了暴露个人信息的数据字段,并点名印度计算机应急响应小组(CERT-In)。这条推文发布后不到一天,两个问题IP均已无法访问。

Diachenko表示,目前还不清楚应该由谁对网上暴露的海量数据负责,也不清楚除他之外是否还有其他人发现了这些数据。

外媒TechCrunch已经向印度国有雇员公积金组织、计算机应急响应小组以及该国IT部门发出置评请求,但未得到回应。

据安全内参了解,印度中央公积金专员在2018年就曾通知国家IT部门,称黑客可以从公积金组织的Aadhaar门户网站窃取数据。该事件导致约2700万养老基金持有者身陷风险。事后,养老基金机构表示并未发生数据泄露,但没有给出任何相应证据。

]]>
半导体巨头赛米控遭勒索软件攻击 Tue, 07 Feb 2023 10:48:06 +0800 德国电力电子制造商赛米控(Semikron)近日披露遭到勒索软件攻击,部分公司网络被加密。

赛米控在德国、巴西、中国、法国、印度、意大利、斯洛伐克和美国的24个办事处和8个生产基地拥有3000多名员工,2020年的营业额约为4.61亿美元。

赛米控还是全球领先的电力工程部件制造商之一,每年安装的风力涡轮机中有35%使用其技术部件。

面临大规模数据泄露

根据赛米控集团本周一发布的声明,攻击者从其系统中窃取了数据,“这次攻击还导致了我们的IT系统和文件的部分加密。目前正在研究和调整整个网络的取证。”

根据德国联邦信息安全办公室发出的警报,勒索软件运营商正在勒索该公司,并威胁要泄露据称被盗的数据。

虽然赛米控没有透露攻击者的任何信息,但是根据流出的勒索软件声明,这是一次大规模数据勒索软件攻击,攻击者声称窃取了多达2TB的文件。

赛米控正在外部网络安全和取证专家的帮助下调查攻击者是否在攻击前从系统中窃取了所声称的数据。

赛米控补充说,它还在整个调查过程中通知并与相关当局合作,如果发现任何数据盗窃证据,将提醒客户和合作伙伴。

“与此同时,我们正在努力恢复工作能力,以最大限度地减少对我们员工、客户和合同合作伙伴的干扰,并确保我们的IT系统尽可能地安全。”赛米控补充道。

]]>
MBDA疑似被入侵,攻击者声称获取机密 Tue, 07 Feb 2023 10:48:06 +0800 一个名为Adrastea的攻击组织声称已经入侵了跨国导弹制造商 MBDA。

MBDA是一家欧洲跨国导弹开发商和制造商,由来自法国、英国和意大利的Aérospatiale– Matra、  BAE Systems、 Finmeccanica三家公司合并而来。

代号为Adrastea的攻击组织自称是一组独立的网络安全专家和研究人员,声称他们已经成功入侵了MBDA。Adrastea表示,他们在该公司基础设施中发现了严重漏洞,并窃取了 60 GB 的机密数据,被盗数据包括了公司员工参与的军事项目、商业活动、合同协议以及与其他公司的通信信息等内容。

该攻击者在某热门黑客论坛发帖称:“你好!我们是Adrastea ——一群网络安全领域的独立专家和研究人员。我们在您的网络基础设施中发现了严重漏洞,并获得了对公司文件和机密数据的访问权限。目前下载的数据量约为60 GB。 下载的数据包含有关贵公司员工的机密和封闭信息,这些员工参与了MBDA封闭军事项目的开发。

作为黑客攻击的证据,Adrastea 分享了一个指向受密码保护的链接存档的链接,其中包含与项目和通信相关的内部文件。目前尚不清楚Adrastea是否持有了其他数据,同时Adrastea也没有透露有关攻击的细节。

]]>
《安联智库-网安周报》2022-07-31 Tue, 07 Feb 2023 10:48:06 +0800 1、微软 SQL 服务器被黑,带宽遭到破坏

据Bleeping Computer网站7月28日消息,目前,一些攻击者通过使用捆绑广告的软件甚至是恶意软件入侵微软的SQL服务器,将设备转化为在线代理服务出租的服务器进行牟利。

为了窃取设备的带宽,攻击者安装了代理软件 ,将设备的可用互联网带宽分配为代理服务器,远程用户可以使用该服务器进行各种操作,如测试、情报收集、内容分发或市场研究。

作为共享带宽的回报,设备所有者可以从向客户收取的费用中抽成。例如,Peer2Profit服务显示,通过在数以千计的设备上安装该公司的软件,每月赚取多达6000美元的收入。

2、西班牙一核安全系统遭黑客攻击,部分地区服务中断数月

7月28日,西班牙警方宣布,已逮捕两名黑客。据悉,二人应对2021年3月至6月期间针对辐射警报网络(RAR)的攻击行为负责。

两名被捕者是外包商前员工,曾负责按合同为西班牙民防和紧急情况总部(DGPGE)提供辐射警报网络系统维护服务。两名被捕人员曾非法访问紧急情况总部网络,并试图删除控制中心内的辐射警报网络管理Web应用程序。与此同时,二人还对传感器发起单独攻击,断开了它们与控制中心间的连接,破坏了数据交换,导致分布在西班牙全国的800个传感器中的300个停止工作。

攻击引发严重核安全风险

西班牙在卡塞雷斯、塔拉戈纳、瓦伦西亚、瓜达拉哈拉、萨拉曼卡和科尔多瓦的六座发电厂中运营有七处核反应堆,支撑着全国约五分之一的电力需求。辐射警报网络系统的作用是:检测辐射水平的异常上升并发出警报,以帮助政府当局采取保护措施、检测问题并施以补救。

此次网络攻击导致其中300个传感器无法将计数传输回控制中心,使得西班牙面临严重风险,无法立即对辐射激增事件做出响应。

3、数字安全巨头 Entrust 遭遇勒索攻击

据Bleeping Computer消息,数字安全巨头Entrust已经承认,自己遭受了网络攻击,攻击者破坏了其内部网络,并窃取了一定规模的数据。

Entrust 是一家专注于在线信任和身份管理的安全公司,为企业用户和政府部分提供广泛的服务,包括加密通信、安全数字支付和身份证明等解决方案。此次攻击造成内部数据泄露,很有可能会影响到大量使用 Entrust 进行身份管理和身份验证的关键和敏感组织。

  黑客6月入侵Entrust的网络  

有安全专家称,Entrust早在6月18日就已经被黑客攻击和破坏,同时对方趁机窃取了公司的机密数据。

可以确定的是,攻击者确实从Entrust的内部系统中窃取了一部分数据,但是尚不清楚这部分数据是来自公司、客户还是供应商,亦或三者皆有之。目前,Entrust会同另外一家知名网络安全公司、执法部门共同调查此次攻击事件。

4、IBM数据泄露成本报告发布,数据泄露创历史新高

近期,IBM发布了最新的数据泄露成本报告,据报告称,目前全球数据泄露的平均成本为435万美元,过去两年数据泄露成本增加了近13%,创下历史新高。

与去年报告相比,今年的整体数据有2.6%的增长,同时,据IBM称,消费者也正因数据泄露事件而遭受不成比例的痛苦。60%的违规企业在遭受数据泄露事件后反而提高了其产品价格,约等于变相加剧了全球通胀的速度。

网络钓鱼成为代价最高的数据泄露原因,受害企业的平均成本为490万美元,而凭据泄露是最常见的原因(19%)。连续第12年,医疗行业都是数据泄露成本最高的行业,而且还在快速增长中。2022年医疗行业的平均违规成本增加了近100万美元,达到创纪录的1010万美元。在众多国家中,美国仍然是数据泄露事件里损失最昂贵的国家,平均违规成本达到了940万美元。

据调研,将近80%的关键基础设施企业都没有采用零信任策略,这使得他们的违规成本比其他人增加了近 120 万美元,平均数据泄露成本上升到540万美元,与采用零信任策略的组织相比增加了117万美元。未实施零信任方案的组织所发生的数据泄露事件中,28%与勒索软件或破坏性攻击有关。

如果企业受到勒索软件的影响,他们也会向敲诈者付款。确实发现平均违规成本仅减少了 610,000 美元。当包括赎金本身时,违规成本可能会高得多。没有支付赎金的赎金攻击的平均成本为 450 万美元。

据报告研究,在有记录的数据泄露事件里,近一半的 (45%) 事件发生在云上,那些尚未制定安全策略或处于制定安全策略的早期阶段的企业比拥有成熟云安全态势的人平均要多支付660,000美元。

数据泄露似乎是不可避免的:83% 的研究企业表示他们遭受了不止一次数据泄露事件。但是,随着技术的升级,企业对网络攻击的检测和响应也越来越快了。其中识别和遏制数据泄露的平均时间从 2021年的287天下降到2022年的277天,整体数据下降了3.5%。其中运行XDR工具的企业在检测和响应的时间整体上又要比其他企业快29天。

报告指出,最大的成本节省是安全人工智能和自动化技术的使用——运行这些技术的企业平均减少了300万美元的数据泄露成本。IBM Security X-Force 全球负责人查尔斯·亨德森 (Charles Henderson) 表示:“企业需要将安全防御置于进攻端并击败攻击者。现在是阻止对手实现其目标并开始将攻击影响降至最低的时候了。越来越多的企业试图完善自己的边界,而不是在检测和反应方面加强,所以数据泄露事件就会导致其成本增加。

]]>
微软 SQL 服务器被黑,带宽遭到破坏 Tue, 07 Feb 2023 10:48:06 +0800 据Bleeping Computer网站7月28日消息,目前,一些攻击者通过使用捆绑广告的软件甚至是恶意软件入侵微软的SQL服务器,将设备转化为在线代理服务出租的服务器进行牟利。

为了窃取设备的带宽,攻击者安装了代理软件 ,将设备的可用互联网带宽分配为代理服务器,远程用户可以使用该服务器进行各种操作,如测试、情报收集、内容分发或市场研究。

作为共享带宽的回报,设备所有者可以从向客户收取的费用中抽成。例如,Peer2Profit服务显示,通过在数以千计的设备上安装该公司的软件,每月赚取多达6000美元的收入。

根据韩国公司Ahnlab的研究人员28日发表的一份新报告,一种新的恶意软件活动正通过安装代理软件,利用受害者的网络带宽赚钱。攻击者通过为用户设置其电子邮件地址来获得带宽补偿,而用户可能只会察觉到网络速度有时会变慢。

在设备上偷装代理客户端

Ahnlab观察到通过捆绑广告的软件和其他恶意软件,为 Peer2Profit 和 IPRoyal 等服务安装代理软件。

恶意软件检查代理客户端是否在主机上运行,如果停用,它可以使用 "p2p_start() "函数来启动。

对于 IPRoyal 的 Pawns,恶意软件更喜欢安装客户端的 CLI 版本而不是 GUI 版本,因为其目的是让该进程在后台隐蔽地运行。

在最近的观察中,攻击者使用DLL形式的Pawns,以编码的字符串形式提供他们的电子邮件和密码,并用 "Initialize() "和 "startMainRoutine() "函数来启动。在设备上安装代理软件后,该软件会将其添加为可用代理,远程用户可以使用它在互联网上进行任何操作。这也意味着其他攻击者可以在受害者不知情的情况下使用这些代理进行非法活动。

感染MS-SQL服务器

根据Ahnlab的报告,使用这种方案创收的恶意软件也会针对脆弱的MS-SQL服务器来安装Peer2Profit客户端。

这一情况自2022年6月初以来便一直持续,研究人员从受感染系统中检索到的大多数日志都显示存在一个名为“sdk.mdf”的 UPX 打包数据库文件。

在微软SQL服务器更常见的威胁中,有进行加密货币劫持的加密货币币矿工,也有攻击者通过Cobalt Strike信标将服务器作为进入网络的支点。

使用代理软件客户端背后的原因可能是增加了长时间不被发现的机会,这就转化为更大的利润。不过,目前还不清楚行为人通过这种方法赚了多少钱。

]]>
IBM数据泄露成本报告发布,数据泄露创历史新高 Tue, 07 Feb 2023 10:48:06 +0800 近期,IBM发布了最新的数据泄露成本报告,据报告称,目前全球数据泄露的平均成本为435万美元,过去两年数据泄露成本增加了近13%,创下历史新高。数据泄露成本报告是IBM的年度重磅事项,至今已经是该报告发布的第17年。今年的数据泄露成本报告是根据2021年3月至2022年3月期间对17个国家/地区的550家企业的调研编制而成的。

与去年报告相比,今年的整体数据有2.6%的增长,同时,据IBM称,消费者也正因数据泄露事件而遭受不成比例的痛苦。60%的违规企业在遭受数据泄露事件后反而提高了其产品价格,约等于变相加剧了全球通胀的速度。

网络钓鱼成为代价最高的数据泄露原因,受害企业的平均成本为490万美元,而凭据泄露是最常见的原因(19%)。连续第12年,医疗行业都是数据泄露成本最高的行业,而且还在快速增长中。2022年医疗行业的平均违规成本增加了近100万美元,达到创纪录的1010万美元。在众多国家中,美国仍然是数据泄露事件里损失最昂贵的国家,平均违规成本达到了940万美元。

据调研,将近80%的关键基础设施企业都没有采用零信任策略,这使得他们的违规成本比其他人增加了近 120 万美元,平均数据泄露成本上升到540万美元,与采用零信任策略的组织相比增加了117万美元。未实施零信任方案的组织所发生的数据泄露事件中,28%与勒索软件或破坏性攻击有关。

如果企业受到勒索软件的影响,他们也会向敲诈者付款。确实发现平均违规成本仅减少了 610,000 美元。当包括赎金本身时,违规成本可能会高得多。没有支付赎金的赎金攻击的平均成本为 450 万美元。

据报告研究,在有记录的数据泄露事件里,近一半的 (45%) 事件发生在云上,那些尚未制定安全策略或处于制定安全策略的早期阶段的企业比拥有成熟云安全态势的人平均要多支付660,000美元。

数据泄露似乎是不可避免的:83% 的研究企业表示他们遭受了不止一次数据泄露事件。但是,随着技术的升级,企业对网络攻击的检测和响应也越来越快了。其中识别和遏制数据泄露的平均时间从 2021年的287天下降到2022年的277天,整体数据下降了3.5%。其中运行XDR工具的企业在检测和响应的时间整体上又要比其他企业快29天。

报告指出,最大的成本节省是安全人工智能和自动化技术的使用——运行这些技术的企业平均减少了300万美元的数据泄露成本。IBM Security X-Force 全球负责人查尔斯·亨德森 (Charles Henderson) 表示:“企业需要将安全防御置于进攻端并击败攻击者。现在是阻止对手实现其目标并开始将攻击影响降至最低的时候了。越来越多的企业试图完善自己的边界,而不是在检测和反应方面加强,所以数据泄露事件就会导致其成本增加。

]]>
西班牙一核安全系统遭黑客攻击,部分地区服务中断数月 Tue, 07 Feb 2023 10:48:06 +0800 7月28日消息,西班牙警方宣布,已逮捕两名黑客。据悉,二人应对2021年3月至6月期间针对辐射警报网络(RAR)的攻击行为负责。

两名被捕者是外包商前员工,曾负责按合同为西班牙民防和紧急情况总部(DGPGE)提供辐射警报网络系统维护服务。正因如此,二人对该系统的运作原理及如何实施针对性网络攻击有着深入了解。

两名被捕人员曾非法访问紧急情况总部网络,并试图删除控制中心内的辐射警报网络管理Web应用程序。

与此同时,二人还对传感器发起单独攻击,断开了它们与控制中心间的连接,破坏了数据交换,导致分布在西班牙全国的800个传感器中的300个停止工作。

当局发现这一违规行为,并在国家警察网络犯罪部门的协助下立即开展调查后,针对辐射警报网络的破坏活动于2021年6月停止。最终,在追踪黑客行迹一年之后,警方终于发现了这起网络攻击的责任人。

 “经过对被破坏传感器的所有通信内容,以及与被入侵计算机系统相关的数据进行长达一年的调查与详细技术刑侦分析,最终发现数据源头可能来自马德里市中心一家知名酒店的公共网络,网络攻击的幕后黑手也由此被确定。”

- 西班牙国家警察总局

警方在公告中指出,“根据马德里第39号调查法院发布的两项命令,警方在马德里和圣奥古斯丁德瓜达利克斯展开协同行动,对两所房屋和一家公司进行了搜查,发现了大量与案件相关的计算机和通信设备。”

攻击引发严重核安全风险

西班牙在卡塞雷斯、塔拉戈纳、瓦伦西亚、瓜达拉哈拉、萨拉曼卡和科尔多瓦的六座发电厂中运营有七处核反应堆,支撑着全国约五分之一的电力需求。

辐射警报网络系统的作用是:检测辐射水平的异常上升并发出警报,以帮助政府当局采取保护措施、检测问题并施以补救。

辐射警报网络系统共在西班牙全国各特定位置部署有800个伽马辐射传感器,每个传感器都通过电话线路接入紧急情况总部总部的控制中心。

此次网络攻击导致其中300个传感器无法将计数传输回控制中心,使得西班牙面临严重风险,无法立即对辐射激增事件做出响应。

警方并未在公告中提供进一步细节,因此尚不清楚嫌疑人发动攻击的具体原因。

]]>
允许用户购买“无疫苗精子/卵子”的反疫苗约会网站Unjected被爆数据泄露 Tue, 07 Feb 2023 10:48:06 +0800 一家允许用户购买“mRNA FREE”精子的反疫苗约会网站出现了用户数据泄露事件。该网站名为 Unjected,成立于 2021 年 5 月,声称是互联网上“最大的反疫苗平台”。去年 8 月,该应用违反了苹果关于 COVID-19 的相关策略而遭下架,从而受到了外界的关注。

尽管这款应用在界面上比较接近于 Twitter,但通常认为是“反疫苗者的 Tinder”。Unjected 随后一直受到某些人的关注,后续也增加了一些新的功能。

该网站提供了一项名为“mRNA FREE 血液匹配和生育目录”的功能,那些不愿意接受疫苗的用户可以向其他人贡献血液、精子或者卵子。尽管关于血液的一部分广告看起来是合理的,但是该应用还提供了未接受过疫苗的精子。该网站的生育区域允许用户提供自己的卵子、母乳和精子。

网名为 GeopJr 的程序员和安全专家发现,任意用户都可以访问该网站的管理员面板。在访问之后该面板可以添加、编辑和停用页面,例如网站的“About Us”页面和各种用户账户。

这是因为 GeopJr 发现 Unjected 的网络应用框架目前正处于 Debug 模式,允许用户了解患者的信息。国外科技媒体 Daily Dot 在该平台设置了一个测试账号,然后 GeopJr 成功更改了该账号的私有电子邮件以及头像。GeopJr 甚至还可以编辑 Daily Dot 发布的帖子并更改措辞。

网站的备份也可以进行下载或者删除。GeopJr 还能绕过每月 15 美元费用进行订阅,回复和删除帮助中心的帖子和相关报道。

]]>
数字安全巨头 Entrust 遭遇勒索攻击 Tue, 07 Feb 2023 10:48:06 +0800 据Bleeping Computer消息,数字安全巨头Entrust已经承认,自己遭受了网络攻击,攻击者破坏了其内部网络,并窃取了一定规模的数据。

Entrust 是一家专注于在线信任和身份管理的安全公司,为企业用户和政府部分提供广泛的服务,包括加密通信、安全数字支付和身份证明等解决方案。此次攻击造成内部数据泄露,很有可能会影响到大量使用 Entrust 进行身份管理和身份验证的关键和敏感组织。

而Entrust用户不仅有大量的企业,还有美国很多政府机构,其中包括能源部、国土安全部、财政部、卫生与公众服务部、退伍军人事务部、农业部等,这无疑是一个巨大的威胁。

  黑客6月入侵Entrust的网络  

有安全专家称,Entrust早在6月18日就已经被黑客攻击和破坏,同时对方趁机窃取了公司的机密数据。7月6日,安全研究人员Dominic Alvieri证实了这一攻击事件,他在推特上分享了Entrust公司发给客户的安全通知的屏幕截图。

Entrust 首席执行官在安全通知中写到,“不得不通知您,在6月18日我们发现了一起未经授权访问公司内部运营系统的行为。从这一刻起,公司正在努力地将此次攻击行为带来的影响降至最低。”

“我们仍在调查这一攻击事件,迄今为止我们没有发现任何迹象表明该问题已经影响了我们产品和服务的运营或安全。在我们继续调查这个问题的过程中,如果我们了解到我们认为会影响我们为您的组织提供的产品和服务的安全性的信息,我们将直接与您联系。”

可以确定的是,攻击者确实从Entrust的内部系统中窃取了一部分数据,但是尚不清楚这部分数据是来自公司、客户还是供应商,亦或三者皆有之。目前,Entrust会同另外一家知名网络安全公司、执法部门共同调查此次攻击事件。该公司称“迄今为止我们没有发现任何迹象表明该问题已影响我们产品和服务的运行或安全,这些产品和服务在与我们的内部系统分开的气隙环境中运行并且完全可以运行”。

  谁为这起攻击负责?

目前,尚未有勒索组织声称对此次攻击事件负责,在Entrust发给客户的安全通知,以及该公司对外的声明中,都没有分享此次攻击的详细信息,因此谁策划实施了这起攻击暂时还不清楚。

但 Bleeping Computer认为,某个著名的勒索组织可能是这起攻击的幕后黑手。虽然尚不清楚设备在攻击期间是否被加密,但勒索软件团伙通常会在启动加密器之前窃取数据以用于双重勒索计划。

根据 AdvIntel 首席执行官 Vitali