安联智库seczk.com--做最好网安新媒体! http://seczk.com 信息安全资讯,热点资讯,安全期刊,人物专访,安全事件,漏洞威胁,安全技术,攻防众测, Wed, 22 May 2024 14:11:52 +0800 zh-CN hourly 1 https://www.s-cms.cn/?v=4.7.5 加入我们 Wed, 22 May 2024 14:11:52 +0800

      欢迎有志从事信息安全的朋友,一起加入安联智库这个大家庭,有你们的到来安联智库将因你而出彩!

]]>
联系我们 Wed, 22 May 2024 14:11:52 +0800

安联智库&安联攻防实验室(简称:seczk)www.seczk.com
使命:让安全,更简单!
提出:攻击溯源、纵深防御的安全治理解决方案!
微信 、QQ:110468258
网站:www.seczk.com 
邮箱:110468258#qq.com 
地址:广州市天河区黄埔大道西505号A栋2519室 
机构:[广东-广西-海南-云南-贵州-四川-福建-江西-湖南-北京-深圳-重庆-上海.....] 


]]>
团队简介 Wed, 22 May 2024 14:11:52 +0800

    安联智库是为了(简称:seczk)是一个专注于信息安全、具有全面信息安全综合服务能力的专业服务团队。seczk立足自主研发,专注信息安全市场,为客户提供安全产品、安全服务、安全集成、安全培训等多项综合性信息安全服务。经过多年的发展已经成为一个理念先进、方案成熟、团队精干、客户认可的具有本土化特色的信息安全服务商。
    seczk立足于羊城广州,目前拥有一支20多人的专业队伍,团队拥有多名CISP、CISSP、CCIE、PMP等技术人员,核心团队成员都出自国内著名安全厂商与安全服务测评机构(如启明星辰、绿盟、天融信、蓝盾、竟远、南方信息安全研究院、中国信息安全测评中心等),积累了丰富的安全经验,其技术能力已获得过不同行业客户的认可。
    安联智库&安联攻防实验室(简称:seczk)使命:让安全,更简单!提出攻防纵深防御、攻击溯源的安全治理解决方案!




]]>
泄露用户信息长达一年半,丰田被服务商坑惨了 Wed, 22 May 2024 14:11:54 +0800 全球知名汽车制造公司丰田(TOYOTA)遭遇了严重的用户信息泄露事件。安全研究人员发现,黑客通过攻击丰田意大利数字营销自动化和分析软件服务提供商 Salesforce Marketing Cloud,从而获得了海量的用户数据,且至今为止数据泄露已有一年半之久。

此外,丰田意大利还泄露了软件公司 Mapbox 的应用程序编程接口 (API) 令牌,导致敏感数据泄露范围增大。攻击者可能会借此获取丰田意大利用户的手机号码和电子邮箱等,并利用这些信息发起网络钓鱼攻击。

好消息是,截止到发稿时,丰田意大利已经将这些数据再次保护起来,该公司也表示,已经和第三方网络安全公司合作,采取了额外的措施加强其网络安全系统和协议。

公开信息显示,丰田是全球最大的汽车制造商之一,拥有超过37W名员工,去年收入约为2670亿美元。仅在欧洲,丰田的雇员就超过了2.5W名,共有八家汽车制造工厂。

目前虽然不清楚丰田意大利的官方数据,但是该公司已经在意大利屹立半个多世纪了,妥妥的老牌企业。根据 Statista 的数据,丰田意大利公司的收入预计到 2023 年将达到约18亿美元,汽车销量预计将接近8.3w辆。

偶然发现数据被公开

2023年2月14日,Cybernews的安全研究团队在丰田意大利官方网站上发现了一个环境文件(.env)。而该环境文件于2021 年 5 月 21 日首次被物联网 (IoT) 搜索引擎编入索引,这意味着很多人都可以进行公开访问。

根据 Cybernews 研究团队的说法,该环境文件泄露的原因是,丰田意大利数字营销自动化和分析软件服务提供商 Salesforce Marketing Cloud公开了用户账户凭证访问权限。黑客获取了Salesforce Marketing Cloud公司的权限,并借此访问丰田意大利用户的账户凭证。

通过账户凭证,攻击者顺势访问到了用户的电话号码、电子邮件地址、客户跟踪信息、短信和推送通知内容。同时这些凭据可以进一步被用来发送虚假的SMS消息、电子邮件、编辑&启动营销活动、创建自动化脚本、编辑与 Salesforce 营销云相关的内容,甚至向丰田的客户发送推送通知。

Cybernews 安全研究人员称,此次敏感数据泄露事件对于丰田意大利来说十分严重,这些信息完全可以被用来发起一些复杂的网络钓鱼攻击,攻击者可以访问和控制丰田的官方通信渠道,从而使受害者更容易落入此类钓鱼攻击中,因为发件人的信息是被冒充的丰田意大利官方。

此外,丰田意大利还泄露了软件公司 Mapbox 的应用程序编程接口 (API) 令牌。虽然这部分数据不像 Salesforce Marketing Cloud 账号凭证那么敏感,但是攻击者可能会滥用它来查询大量请求并增加丰田 API 使用的成本。

丰田官方回应

Cybernews 将此漏洞告知丰田后,该公司立即采取了必要的措施来进行补救。据丰田公司称,此次安全事件的出现,是对方未能遵守公司的数据安全政策造成的。

目前丰田公司已经采取了一套额外的安全措施来恢复和加强网络安全系统和协议,并及时向意大利有关当局报告了隐私数据暴露的风险,全力配合正在进行的调查。

丰田公司进一步表示,丰田非常认真地对待此次事件,也非常重视网络安全建设,我们将借此机会从调查结果中吸取教训,进一步提升网络安全防护能力以及协议的安全性,防止再次出现此类安全事件。

目前尚不清楚攻击者具体访问了哪些数据,但丰田公司建议用户高度警惕网络钓鱼攻击,及时更换账号密码,以确保个人信息安全。

丰田公司称:“骗子可能会试图向您发送冒充丰田或任何其他流行品牌的虚假消息,因此请确保通过启用多因素身份验证 (MFA) 来保护您的电子邮件地址。小心电子邮件,不要点击链接或提供任何个人信息。如果您发现电子邮件可疑,请将其报告给您的提供商。

当涉及到电话号码时,您可能会受到垃圾/营销/钓鱼短信的轰炸,甚至会发现自己成为 SIM 交换攻击的受害者,攻击者部署该攻击以获取对基于 SMS MFA 代码的访问权限。”

这不是丰田第一次在网上公开其数据并将自身和客户置于风险之中。

2022年,丰田公司近30万用户数据被泄露,包括电子邮件地址和客户管理号码。开发人员在 GitHub 上发布源代码后,通过其客户应用程序 T-Connect 公开的数据已经泄露了五年。

2023年 1 月,丰田汽车在印度的业务也曝出信息泄露事件,部分用户的个人信息很有可能已经被攻击者获取。

]]>
三千万条数据,娱乐巨头泄露用户信息 Wed, 22 May 2024 14:11:54 +0800 根据Cybernews的研究,娱乐业巨头Lionsgate公司泄露了用户的IP地址和他们在其电影流媒体平台上观看的内容的信息。

在调查过程中,研究人员发现,视频流平台Lionsgate Play通过一个开放的ElasticSearch实例泄露了用户数据。

Cybernews研究团队发现了一个未受保护的20GB的服务器日志,其中包含近3000万个条目,其中最早的是2022年5月。这些日志暴露了用户的IP地址、操作系统和网络浏览记录等用户数据。

研究人员还发现了记录在案的HTTP GET请求的不明哈希值,这是客户提出的请求的记录,通常用于从网络服务器获取数据:当这些请求被提出时,它们被存储在服务器的日志文件中。

机遇与危险并增

Lionsgate娱乐公司拥有几部获得全球认可的知名电影和电视特许经营权,包括《暮光之城》、《电锯惊魂》、《终结者》、《饥饿游戏》和《分歧者》系列。

虽然Netflix以超过2.3亿的用户数保持在所有流媒体平台的首位,但Lionsgate公司拥有超过3700万的全球用户,去年的收入为36亿美元。

在新冠疫情的影响下,在线流媒体平台的人气一直在增长。2022年在美国的视频点播平台的订阅率达到83%,在8年间增长了30%以上。

但是,随着平台上用户数量的增加,它们正成为网络犯罪分子的目标。即使是轻微的安全漏洞也可能造成严重的损害,然而安全问题往往被忽视。

数据可能有助于网络攻击

随着新的流媒体服务越来越多,我们可以看到,错误配置和数据泄露的风险也在增长。

在此次特定的案例中,泄露的信息通常不会在黑客社区中分享。尽管如此,它仍然是敏感的。这些被泄露的数据在有针对性的攻击中可能是有用的,特别是当与其他泄露的或公开的信息相结合时。

例如,用户的IP地址和设备数据的组合可以被恶意行为者利用,对他们进行有针对性的攻击,这样就可以向他们的设备提供恶意的有效载荷。

同时研究人员还表示:攻击者可以将用户的搜索查询和浏览的内容与他们的IP地址进行交叉对比,以建立一个更全面的个人档案。

最后,研究人员提醒:随着使用数据的增加,攻击者可以确定行为模式,并可能利用这些信息来制作更准确、更有针对性的网络钓鱼攻击。

]]>
勒索软件团伙扬言泄露SpaceX设计图纸 Wed, 22 May 2024 14:11:54 +0800 近日,勒索软件组织LockBit给埃隆·马斯克(Elon Musk)发送了一条信息:打钱,或者眼睁睁看着SpaceX的机密信息在暗网上被卖掉。

根据网络安全分析师Dominic Alvieri本周三发布的推文,LockBit勒索软件组织威胁要发布被盗的SpaceX设计图纸,除非埃隆马斯克在3月20日前支付“保密费”。

LockBit在勒索通知中写道:“埃隆马斯克,我们将把图纸出售给其他制造商,帮他们更快地建造船并飞走。”

据报道,这些机密图纸不是来自SpaceX本身,而是来自其第三方供应商:为SpaceX项目生产零件的Max Industries。

本周一LockBit宣称入侵了SpaceX最大的零部件提供商Max Industires,并窃取了3000张设计图纸。

这并非SpaceX第一次遭遇第三方安全问题,早在2020年,总部位于科罗拉多州丹佛的精密零件制造商Visser Precision遭受勒索软件攻击,攻击者泄漏了Visser Precision与特斯拉和SpaceX签署的保密协议。Visser Precision是特斯拉、波音、洛克希德·马丁公司和SpaceX等行业巨头的零件供应商。

“当人们听到勒索攻击时,会立即想到勒索软件。其实,勒索软件只是攻击者武器库中的一种工具。”KnowBe4首席安全意识官Javvad Malik指出:“数据才是犯罪分子的最大筹码,因为泄露数据会对受害者产生巨大影响。这提出了一个重要的问题:犯罪分子如何进入企业网络?为何长时间驻留未被发现?如何在不被阻止的情况下泄露敏感数据?这些问题的答案不仅仅是单点安全产品,而是真正关注企业的整体安全文化。”

]]>
军事基地航拍照片泄露,美国法警局数百GB敏感数据遭黑客售卖 Wed, 22 May 2024 14:11:54 +0800 据外媒报道,一名黑客正在一个俄语论坛上出售据称是从美国法警局(USMS)服务器中窃取的350 GB数据。USMS是美国司法部下属的一个机构,通过执行联邦法院命令、确保证人及其家人的安全、查封非法所获资产等职责为联邦司法系统提供支持。

卖家在帖子中将该数据库标价15万美元,据称包含美国法警局文件服务器和工作电脑上从2021年到2023年2月的文件。这些文件包括具有精确坐标的军事基地和其他敏感区域的航拍视频及照片、护照及身份证明的副本、以及有关窃听和监视公民的细节,另外还有一些关于罪犯、黑帮头目等的信息。卖家还声称,其中一些文件被标记为机密和绝密,并且还包含证人保护计划的细节。

值得注意的是,此前USMS正在调查2月17日的一起勒索软件攻击事件。USMS发言人Drew Wade表示,该次事件中遭窃取的数据包括USMS的执法敏感信息,法律程序相关信息,与美国法警局调查对象、第三方、某些雇员有关的个人身份信息。但当时的说法是,攻击者并未获得USMS的证人安全文件信息系统(也被称为WITSEC或证人保护计划)数据库的访问权限。

除此之外,USMS还曾在2020年5月披露过另一起数据泄露事件,其曾于2019年12月泄露过超过38.7万名前囚犯及现囚犯的详细信息(包括姓名、出生日期、家庭地址和社会安全号码)。

可以看到,即使是政府机构也无法避免遭受网络攻击的损失,现下敏感信息盗窃威胁日益严重,所有组织都有必要在其运营中优先考虑网络安全措施,特别是那些涉及处理敏感信息的机构。并且需要注意到,事前采取预防措施远比事后响应更为妥当。

]]>
FBI:勒索软件去年入侵了860个关键基础设施 Wed, 22 May 2024 14:11:54 +0800 近日,FBI(美国联邦调查局)在其2022年互联网犯罪报告中透露,勒索软件团伙2022年入侵了至少860个关键基础设施网络,与2021年(649个)相比大幅增长。

由于FBI的报告仅统计了向互联网犯罪投诉中心(IC3)报告的攻击,实际发生的攻击数量可能更高。

报告显示,在16个关键基础设施行业中,14个行业至少有1个实体在2022年遭受勒索软件攻击。

勒索软件受害者在2022年全年总共提交了2385起投诉,调整后的损失超过3400万美元。

按照攻击次数排名,2022年实施关键基础设施攻击的前三大勒索软件组织是Lockbit(149次),ALPHV/BlackCat(114次)和Hive(87次)。

此外,Ragnar Locker勒索软件至少入侵了52个关键基础设施实体,Cuba勒索软件攻击了至少49个美国关键基础设施实体,BlackByte勒索软件也成功入侵了至少三个关键基础设施实体。

FBI建议关键基础设施组织不要向网络犯罪分子支付赎金,因为付款并不能保证受害者会恢复他们的文件,反而会鼓励进一步的攻击,并且赎金很可能会被用来资助额外的攻击。

FBI还分享了勒索软件攻击防御清单:

更新操作系统和软件。

实施用户培训和网络钓鱼练习,以提高对可疑链接和附件风险的认识。

如果使用远程桌面协议(RDP),请保护并监视它。

对数据进行脱机备份。

CISA(关键基础设施管理局)本周一宣布,该机构自2023年1月30日以来一直在扫描关键基础设施实体的网络,查找易受勒索软件攻击的设备,在黑客入侵之前发出警告,帮助关键基础设施实体修复漏洞。

]]>
NBA已承认!敏感数据泄露,警告球迷安全风险 Wed, 22 May 2024 14:11:54 +0800 据bleeping computer 消息,美国国家篮球协会(NBA)公开承认,其在第三方提供商的部分球迷敏感数据已被泄露,提醒广大球迷防范可能发生的网络钓鱼攻击或诈骗。

NBA是一家全球体育和媒体组织,管理着五个职业体育联盟,包括NBA、WNBA、篮球非洲联盟、NBA G联盟和NBA 2K联盟。众所周知,NBA在全球有着极为广泛的影响力,其节目和比赛在215个国家/地区,以50 多种语言进行直播/转播。

正因为如此,NBA拥有数量庞大的粉丝群体。在此次数据泄露事件中,NBA尚未公布泄露的数据量和涉及影响范围。但不少粉丝称,收到了NBA发送的“网络安全事件通知”电子邮件,并指出NBA的系统没有遭到破坏,数据已泄露的球迷的凭证也没有受到影响。

“我们(NBA)最近发现,未经授权的第三方获得了您的姓名和电子邮件地址的访问权限,并获得了您的姓名和电子邮件地址的副本,这些信息由第三方服务提供商持有,帮助我们通过电子邮件与分享了这些信息的粉丝进行交流NBA。没有迹象表明我们的系统、您的用户名、密码或您与我们共享的任何其他信息受到了影响。”

目前,就此次数据泄露事件,NBA已经聘请了外部网络安全专家,以及第三方服务提供商一起,正在进行相应的调查,并分析判断影响范围。

警告球迷提防钓鱼攻击

NBA 警告说,由于所涉及数据的敏感性,受影响的个人更有可能成为网络钓鱼攻击和各种诈骗的目标。因此,强烈建议受影响的球迷在打开看似来自 NBA 或其合作伙伴的可疑电子邮件或通讯时保持警惕。

“鉴于信息的性质,您可能会增加从看似与 NBA 有关联的电子邮件帐户收到‘网络钓鱼’电子邮件的风险,或者成为其他所谓的‘社会工程’攻击的目标。”

在邮件中,NBA表示绝不会通过电子邮件索取球迷的帐户信息,包括用户名或密码。建议受影响的球迷验证收到的电子邮件是否来自合法的“@nba.com”电子邮件地址,检查嵌入式链接是否指向受信任的网站,并且永远不要打开他们不希望收到的电子邮件附件。

火箭队也曾遭遇勒索攻击

2021年,NBA休斯顿火箭队也遭遇了网络攻击。Babuk勒索组织在其网站上,发布了一份据称来自于火箭队网络系统中的数据和文件相关的500GB数据,其中包括NBA休斯顿火箭队的第三方合同公司、客户、员工和财务信息。目前该帖子已被发布者删除。

负责处理此次勒索软件攻击事件的律师称,不要根据Babuk勒索软件犯罪团伙删除了此前发布的帖子,就草率地认为我们正在跟网络犯罪分子谈判,或者是我们已经支付了数据赎金。

休斯顿火箭队表示:“这些调查是复杂的、动态的,需要时间才能妥善进行。在我们的调查完成之前,很难确定事件的范围,但我们将继续保持警惕,解决任何可能影响我们球迷、员工和球员的潜在问题。如果调查证实个人信息被曝光,我们将立刻通知客户、球员或员工。像这样的问题并不少见,这也突出了组织对数据文件的备份和加密的重要性。”

]]>
国家数据局成立,数据要素迎来历史性时刻 Wed, 22 May 2024 14:11:54 +0800 数据要素市场迎来巨大变动。3月10日,国家数据局成立,正从顶层设计层面推动数据要素市场的完善和提速。

国内的数据流通和要素市场曾被一些业内人士视作“黑暗丛林”。由于在数据确权、价值挖掘和分配、跨产业链治理、数据交易等诸多层面缺乏规范,数据要素市场的发展并不健全,距离爆发仍有不短距离。

不过,数据晋升为第五种生产要素后,改变正在加速发生。尤其是最近国家数据局的成立,被业内人士认为是从顶层设计层面做了部署,“相当于1992年证监会的成立对证券市场的影响,市场将进一步规范与健全”。同时,一些企业也正在从跨链治理和流通及行业性底座层面开始探索。

为什么会成立国家数据局?国家数据局的成立会给行业带来哪些变化?数据真正发挥生产要素作用的关键是什么?

01“重要程度可类比证监会的成立”

3月10日,国务院机构改革方案获批通过,意味着一个新机构——国家数据局正式组建。不少业内人士对该局的协调、统筹特征,及纳入国家发改委的高规格管理表示关注。它将负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等。

对此,行业内及产业人士有什么反应?

“这对行业的重要程度,可以类比1992年组建证监会对证券市场的意义。”大数据资深人士、百分点科技CTO刘译璟告诉数智前线。

在他看来,该机构在短期内可能推动法律法规、制度建设,未来可能会衍生出执法等职能。“市场如何运行,相关从业者要具备什么资质,出现争议如何处置,它应该具有最终决定权。”

企服行业资深人士、用友集团副总裁罗小江则认为,国家数据局的成立,将推动数据交易加速,推进数据估值,让数据真正成为资产。据他了解,在企业侧,目前已有企业提出数据像厂房、机器设备、商誉等一样,作为资产出现在三大报表中。

此前,因数据黑产问题频发,国家陆续出台了《个人信息保护法》、《数据安全法》,但更多集中在数据的安全、保护上。2020年4月作为,数据首次在国务院印发的相关文件中被列为第五大生产要素后,对其应用实践增多。

但多位业界人士发现,数据要素在过去几年的产业实践中遇到了不少问题,核心瓶颈是基础制度缺失,如产权制度、流通交易制度、收益分配制度、跨产业链治理制度、安全治理制度等,导致数据要素市场没有真正发展起来。

"数据局成立,有一个明确的牵头部门,更有助于去理清并解决这些问题。"中国计算机学会理事、副秘书长谭晓生认为。IDC中国助理研究总监孙吉峰也表示,组建国家数据局是必须和必然的。

根据相关统计,2021年,我国数字经济占GDP比重已高达39.8%,其从2015年到2021年的复合增长率达到 16.1%,高于GDP增速。数据对经济的贡献已经与土地、劳动力、资本、技术四大要素同等重要。

在孙吉峰看来,作为下一轮增长的引擎和重要动力,数据生产要素要发挥更大作用,必须要形成自上而下的组织和制度,从组织层面解决数据汇聚、数据质量问题,从制度层面解决数据共享、数据开放,以及数据交易问题。

02顶层设计加码

国家数据局成立背后,是国家在顶层设计层面,对数据要素的加码。

2014年,大数据第一次被写入政府工作报告,上升为国家战略,预热就已经开始。数据成为生产要素后,“十四五”规划、《2035年远景目标纲要》等也都将其作为重要元素,市场如火如荼被搅动起来。不久前出台的《数字中国建设整体布局规划》,更与数据要素紧密相关,提出“到2025年,数字中国建设取得重要进展,数据资源规模和质量加快提升,数据要素价值有效释放”。

刘译璟告诉数智前线,最近几年,国家的确把数字经济提到了非常高的一个位置,相关的动作也在变得越来越实,越来越具体。

政策之外,一些新进展和动向也在持续发生。

数据交易所层面,成立一年多的上海数据交易所,数据产品累计挂牌数近千个,交易额超1亿元,且预计今年场内交易有望突破10亿元。广州数据交易所已发布80多个行业数据指数,这些是企业运营时非常需要的。而从2022年9月30日挂牌运营后,它在不到4个月内就累计交易5.07亿元。

国资委和国央企也有动作。产业资深人士告诉数智前线,国资委从去年底已推动相关课题,其一是如何打造相对通用的数字技术底座,其二是推动国央企沉淀数据资产,为行业数据交易奠定基础。

2022年12月25日,中国电子组建国内首家央国企设立的数据产业集团,定义了“数据元件”,尝试解决确权、交易、收益分配和安全治理问题。“数据要素市场还处于初期,有很长的试错期,央企国企自身在数据要素市场获得国家的信任,发力希望通过市场实践,变成事实上的标准或模式。”IDC孙吉峰告诉数智前线。

有行业人士预计,随着数据要素相关质量、合规标准等的逐渐完善,或将带动数据从企业内治理,向跨产业链治理方向迈进,进而推动整个数据要素市场发挥价值。

03数据跨产业链是新焦点

数据要素市场尚在发展中,还有大量的标准和规则需补齐和完善。罗小江认为,在让数据能够真正发挥生产要素作用的道路上,数据治理,尤其是跨产业链数据治理正在成为大家关注的新焦点。

罗小江接触到的不少大中型企业,前几年在和他交流时,提的需求往往是BI(商业分析)、大屏可视化,这两年却不约而同转向了更底层的数据治理。其中,集团性企业和行业龙头企业关于跨产业链数据的需求更是广泛存在。

一位资深人士介绍,国内一些做大宗商品贸易的企业就已经有了对行业指数、产品开工率、用电情况、航运数据等的需求,以此来判断大宗交易的价格起伏,“部分企业每年花在购买跨产业链数据的钱基本在百万规模以上”。

打造韧性供应链也需要跨产业数据。某中国机械行业龙头企业,有大量海外订单,订单逾期处罚相当惊人,为此,他们引入天气、航运、公路交通等数据,再结合供货商的产能数据、自身的生产数据,及时调整生产计划,“对整个生产运营进行风控”。

供应链金融的风控、营销场景里的通路问题同样对跨产业链数据有需求。国科恒泰市场负责人王忠良透露,新能源汽车厂商在做新车研发时,都会关注年轻人的用车数据和交通数据,以便更好地适应市场需要。

但跨产业链的数据治理其实仍存在不少难题。一是《数据安全法》出台后,在实操中遇到非常多问题。比如数据确权和流转,大家还缺乏明确样例。谭晓生曾碰到基建设计单位,设计时用到了高精度地理信息数据,这些要当做敏感数据去管理。而整个设计、施工过程,要依靠BIM软件,是电子化流转的。这些机构遇到了施工中数据要如何安全流转的问题。

二是数据质量。罗小江在实践中发现,数据来源五花八门,有效性和准确性不足,即便治理之后,跟银行的一些风控模型进行匹配时,依然会存在问题。

三是数联网的标准。王忠良之前在一家医药新零售企业。某个药品到底属于口腔科、牙科,还是呼吸道科,行业内没有统一标准。所以大家在输入时就比较随意,最后导致不同存储平台里的数据维度完全不一样,给后续使用造成障碍。

四是数据治理的工程化。数据治理是一个庞杂的过程,除了工具,还要有经验提炼、标准、流程和运营机制。这是一个系统化、工程化的事,并不容易。

04央国企、行业龙头已有实践

尽管存在不少问题,甚至还有一些企业内部数据都尚未打通,但也有部分龙头企业已迈进跨产业链数据落地实践阶段。

典型如央国企,最近几年都在深化链长制建设,以期打通整个产业链。一些地方大数据局,则把当地医疗、教育、出行、能源、电力等社会数据逐步打通,政府部门在惠民和产业布局中先用起来。

而在供应链金融、营销、风控等领域,已落地跨产业链数据应用。

当然,更多应用的深入还依赖于跨产业链数据的进一步打通。IDC分析师告诉数智前线,供应链的数据打通,当前都是依靠强有力的链主企业等制定数据标准。在汽车、钢铁、石化等比较大的行业,由于国外供应商引入,或者行业集中度高,供应链的上下游数据打通较好。而大部分企业自身的标准化、数字化还比较低,无从谈起供应链上下游的数据打通。

谭晓生也表示,这个问题最终起决定性作用的是产业协同关系。随着甲方逐渐成熟,国内确实可以像西方一样用大的采购订单,逼大家去标准化。“比如电力、两桶油、各大银行,采购量比较大,提出这种要求,供应商咬着牙也得做”。

最近,ChatGPT的“横空出世”也给行业带来了新思路,一些企业及政府机构开始思考甚至尝试在一些场景里嵌入相关技术。知情人士透露,一些地方政府受大模型启发,正在从整体经济市场,包括ESG环境能源,配套支撑体系来思考引入什么经济,最有利于本区域产业聚合。

不过,受访业界人士都认为,ChatGPT这类大模型在消费市场,如社交等表现相对成熟,但在ToB领域,还需大量建设,“不用太神化它”。

百分点科技刘译璟也认为,未来大模型要用得更好,一定是在垂直领域里。他同时表示,看好行业性的大模型做成后的效果。他认为,企业间的数据流转可能由此能形成更好的共享共用机制。“在统一产业链上,大家有相同的技术和产品标准,同时数据共享给行业性大模型,对产业里的设计、研发等长期规划有推动作用,从而催生出好的应用场景。”

]]>
重磅!空客德国工厂至少部分停产:因物流供应商被黑 Wed, 22 May 2024 14:11:54 +0800 3月14日消息,德国当地IT博主Günter Born爆料称,在3月8日,空中客车位于德国诺登哈姆的工厂似乎已停止生产(至少部分停止生产)。原因似乎是物流服务供应商(知情人士称其为“LTS”)遭受网络攻击,系统可能已被勒索软件影响。

如果没有LTS的系统支持,长期来看,空客工厂恐怕将无法正常生产。但目前还没有得到LTS的任何确认,仅由部分消息来源和空客公司对攻击消息做出了证实。

物流供应商疑遭勒索攻击

一位不愿透露姓名的消息人士称,“LTS”公司的IT系统遭到黑客攻击。其表示,“一切均无法工作”,如果“计算机仍然瘫痪,不能重新启动”,就指示空客诺登汉姆工厂(隶属于空客航空结构件公司)停止工作。

此外,消息人士提到攻击者可能来自俄罗斯,已经开出1500万欧元赎金。爆料博主称,这听起来就是一起勒索软件攻击——如果物流服务提供商的IT系统被感染,客户将无法正常使用这些系统。

除了为飞机制造机身外壳的诺登哈姆空客工厂外,空客公司的整体生产体系都可能因此受到影响,包括远在法国图卢兹的工厂。

IT博主Günter Born在社交媒体上提出的模糊询问得到了二次确认。在题为“Honnold LTS Nordenham”的电子邮件中,用户Peter回复道:

我在LTS那边的朋友告诉我,“LTS与A&T的服务器遭到入侵。目前这里的一切都无法工作。”

这里说的“A&T服务器”是指Albers & Tönjes GmbH,一家制造飞机零件的德国服务提供商,可能也提供IT解决方案。这家公司与AT&T无关。

关键业务系统中断导致空客受影响

Günter Born后来又得到多方补充素材,终于勾勒出事态的全貌。

3月8日晚,温瑟马奇地区报纸的编辑部主任Christoph Heilscher透露,空客位于诺登哈姆的部分工厂存放有大量物料。

3月9日上午,消息人士称,由于个别地区出现大规模中断,空客诺登哈姆工厂已经无法全面开工。部分厂区的员工甚至开始用工时账户(单独记录法定工时以外的工作时长)抵偿。Heilscher也证实了这一猜测,即此次中断将对空客的整体物流链产生影响。原因是飞机机身外壳需要在诺登哈姆制造,而后被运送到图卢兹等其他地点进行最终组装。

德媒NWZ报道称,中断的源头是一家服务商,负责为诺登哈姆的空客工厂运营材料管理中心。根据空客发言人Daniel Werdung的解释,员工要么留在家中(用工时账户抵偿),要么选择参加进一步培训。

另一位知情人士(但尚未核实)称,LTS和A&T两家公司的SAP系统服务器已遭黑客入侵或破坏,对方要求支付2000万欧元“用于恢复”。这也符合前一位知情人士的消息,同样将事件定性为勒索软件攻击(描述了“计算机仍然瘫痪、不能重新启动”)。虽然双方提出的赎金数额存在差异,但说法总体比较一致(网络犯罪分子经常会调整自己的赎金数字,类似于市场上的讨价还价)。

SAP系统在仓储领域确实应用广泛,这也增加了消息内容的可信度。空客公司很可能在诺登哈姆拥有自己的SAP物料管理系统。但物料供应链必须进行协调,一旦某个系统发生故障或受到损害,就会全面崩盘。IT部门会切断系统之间的连接,之后用户将无法访问被黑的SAP系统。

知情人士表示,“空客航空结构件公司拥有自己的SAP服务器,但也需要访问A&T的[SAP服务器](LTS/A&T)以查询物料库存。此次受影响的是空客航空结构件公司中依赖于LTS的区域。那些厂内尚存有物料的区域,仍可在一定程度上继续保持运营。”这也符合其他消息来源给出的描述。

空中客车发布声明

与此同时,空客公司也发表了声明。面对博主Günter Born在电子邮件中提到的物流服务商LTS遭受的网络攻击、诺登哈姆空客工厂生产受到的影响等问题,空客发言人Daniel Werdung做出如下回应:

以下是我们关于诺登哈姆IT中断事件的声明:

我们目前有一家服务提供商似乎发生了物流IT系统中断。调查仍在进行中,专家也在努力解决中断问题并恢复平稳运行。由于各部门受到的影响程度不同,在必要时我们会暂时针对个别区域采取不同措施。

提示:自2022年7月1日起,诺登哈姆工厂属于空客航空结构件公司。

Honold LTS没有回应置评请求。

]]>
9亿条印度警方业务机密数据疑似在暗网销售 Wed, 22 May 2024 14:11:54 +0800 3月15日消息,一位数据泄露论坛的用户声称,可以访问一个包含超9亿条印度法律记录和文件的数据库,其中包括印度警方记录、报告、法庭案件,以及被告与被捕人员的详细信息。

该用户正在兜售这批数据,据称数据内容为JSON格式,附有指向原始PDF文件的链接。文件总大小约为600 GB,泄露数据的庞大规模可见一斑。

不过,这些数据的来源尚未确定,这也引发了人们对于数据合法性和泄露原因的担忧。

此外,出售此类敏感信息可能造成严重后果,包括个人信息滥用、胁迫、剥削甚至是设施等等。

9亿条印度警方记录和案件数据 疑似被出售

据暗网上的卖家Tailmon介绍,这批失窃数据包含印度法律文件、印度警方记录(含指控文件)、法庭案件文件以及其他文件和文件夹。

Tailmon在3月13日发布的帖子中表示,“我所出售的是超过9亿份(600 GB)印度法律文件记录/文档、被捕/被控人以及警方/法庭报告……经OCR处理转为JSON格式,随附有原始PDF文件链接。”

近年来,多起数据泄露和网络攻击事件凸显出数据安全和隐私的重要性。失窃数据被公开出售,也进一步强调了采取严格措施保护敏感信息的必要性。

印度政府应采取措施应对

印度政府必须立即开展调查,采取必要措施以防止此类敏感信息的公开出售。

当局还应执行更严格的法规,确保处理个人信息的企业和个人遵守数据保护法。

此外,这次事件也提醒个人和组织应采取适当措施保护其数据,包括投资建设安全网络、对员工进行数据安全最佳实践培训,并定期更新安全协议以抵御潜在威胁。

总之,包含印度公民敏感法律文件的数据库被公开兜售令人担忧,防止个人信息滥用已经刻不容缓。

这起事件给印度政府、企业及个人敲响了警钟。数据安全和隐私保护应得到高度重视,并采取必要措施防范数据泄露和网络攻击。

]]>
美国国会山最严重安全事件?两院议员及家人身份数据全泄露,已在暗网兜售 Wed, 22 May 2024 14:11:54 +0800 3月10日消息,据美国众议院领导人向全体成员发出的通报函和参议院最高安全官员公布的备忘录,国会议员及华盛顿特区居民使用的在线健康保险市场D.C. Health Link遭到黑客攻击,导致数千名立法者、其配偶、家属和雇员的个人身份信息面临泄露风险。

国会警察局和FBI已经向加利福尼亚州共和党人、众议院议长凯文·麦卡锡(Kevin McCarthy)、众议员兼少数党领袖哈基姆·杰弗里斯 (Hakeem Jeffries)报告了针对D.C. Health Link市场的攻击情况。信中提到,由于此次违规行为,联邦调查员已经能够在暗网上买到关于国会议员及其家人的个人信息。

麦卡锡与杰弗里斯在周三的信中写道,“目前,我们的首要任务就是保护国会山社区中受到网络攻击影响的人们,为其提供安全保障。”他们将此次事件称为“严重的安全违规”。

立法者们写道,“首席行政官办公室将与信用与身份盗窃监控等重要服务部门保持联络,我们也强烈建议大家使用这些服务资源。”

根据参议院警察部门的一份内部备忘录,参议员及其工作人员的数据同样遭到泄露。备忘录中提到,泄露的数据包括“全名、注册日期、关系(本人、配偶、孩子)和电子邮件地址,但并不涉及其他个人身份信息。”

据众议院领导人称,导致此次D.C. Health Link数据泄露的原因、规模和范围尚不清楚,但强调警方和FBI“一直在向他们通报”此事。

作为在线健康保险市场,D.C. Health Link为大约1.1万名国会议员及其工作人员提供服务,总用户数量近10万人。

麦卡锡和杰弗里斯写道,“此次违规事件大大增加了议员、员工及其家人遭遇身份盗用、金融犯罪和人身威胁等本就持续存在的风险。幸运的是,出售信息的人似乎没有意识到自己掌握着高度敏感的机密内容,也不清楚这些与国会议员的关系。但随着媒体广泛报告此次违规行为,情况肯定会有所转变。”

众议院领导者们现在要求D.C. Health Benefit Exchange Authority(D.C. Health Link的运营方,一家在哥伦比亚特区管理在线健康保险市场的公私合营机构)主管Mila Kofman给出解释。

周三,麦卡锡和杰弗里斯向Kofman提出了一系列尖锐的问题。

包括保险市场为何没有就个人数据的泄露原因发出正式警告;具体有哪些注册者的信息被盗;以及有多少名立法者受到影响等。

在周三晚发布的一份声明中,政府发言人Adam Hudson证实了此次事件的存在,称“部分D.C. Health Link客户的数据已被泄露至公共论坛”。

Hudson称调查工作已经启动。

 “与此同时,我们正在采取行动以保障用户个人信息的安全和隐私。我们正通知受影响客户,并将提供身份与信用监控服务。”

]]>
知名安全公司Acronis被攻击 黑客:他们技术渣 只是羞辱一下 Wed, 22 May 2024 14:11:54 +0800 很多网友可能听过Acronis公司的名字,他们有款备份软件True Image很出名,这家瑞士公司全球员工超过2000多名,用户遍及世界各地,官网还表示能够第一时间阻止攻击发生并保护数据。

然而这家安全公司也被黑客攻破了,据说有多达12GB的资料泄露,泄露的数据包括证书文件、命令日志、系统配置和文件系统存档。

他们被黑客攻击的原因也很无语,不是说他们的数据有多大价值,而是黑客认为这家公司虽然从事网络及数据安全业务,但是他们的技术如狗S一样,黑客觉得很无聊,就想羞辱他们一下,然后就攻击他们网站了。

知名安全公司Acronis被攻击 黑客:他们技术渣 只是羞辱一下

面对黑客这样杀入还要诛心的挑衅,Acronis公司也反击了,否认Acronis公司有任何产品受到影响或者被利用,所谓的攻击只是有人掌控了Acronis客户的账号信息并用它来窃取了文件。

Acronis称他们已经跟该客户合作,并暂停了账号访问,解决了问题,后面还会继续调查。

]]>
美国警察也被勒索软件威胁 Wed, 22 May 2024 14:11:54 +0800 联邦执法部门再次应对网络安全漏洞。美国法警署(USMS)报告说,它在2月17日遭遇了严重的勒索软件攻击。肇事者破坏了一个独立系统上的敏感数据,包括美国法警局一些雇员、第三方和调查对象的个人身份信息。

我们已经要求美国移民局发表评论。该机构告诉CNBC,在发现攻击后,它将受影响的系统从网络上断开,司法部已启动调查。获悉该勒索软件的高级官员确定它是2月22日的一个 "重大 "事件。

该服务还没有确定潜在的罪魁祸首,也没有命名任何受影响的部门或项目。CNBC的一个消息来源称,勒索软件没有触及证人安全计划。据报道,美国移民局已经创建了一个变通办法来维持其活动,包括追捕逃犯。在联邦调查局说它 "控制 "了其网络上的一个安全事件之后,关于该漏洞的消息刚刚过了一个星期。在过去的几个月里,勒索软件也给各级政府和公共机构带来了问题。奥克兰市在2月份发生入侵事件后,甚至宣布进入紧急状态,而洛杉矶的联合学区也在去年秋天遭受了数字抢劫。

在过去两年中,美国政府已经升级了对勒索软件的打击。它在2021年将30个国家聚集在一起应对勒索软件,最近成功地瓦解了一个从受害者那里盗取数亿美元的主要勒索软件集团。然而,USMS的漏洞表明,这场战斗远未结束。

]]>
知名台企疑似泄漏160GB敏感数据 Wed, 22 May 2024 14:11:54 +0800 据Hackread报道,近日总部位于中国台湾的大型科技企业宏碁公司(Acer Inc.)遭黑客攻击后疑似发生大规模数据泄露。化名为“Kernelware”的黑客声称对此次重大数据泄露事件负责。

Kernelware声称数据泄漏发生在2023年2月中旬,导致总计160GB的大量敏感信息被盗,包括655个目录和2869个文件。

在黑客论坛发布的一篇帖子(题图)中,Kernelware表示愿意向感兴趣的各方出售泄漏数据库,并表示其中包含大量有价值的文件。黑客还分享了被盗数据的样本以证明其真实性。

泄漏数据包括机密幻灯片和演示文稿、技术手册、Windows图像文件、各种类型的二进制文件、后端基础结构数据、产品模型文档以及有关手机、平板电脑、笔记本电脑和其他产品信息。

此外,泄漏数据还包含数字产品密钥、ISO文件、Windows系统部署映像文件、BIOS组件和ROM文件。

Kernelware要求宏碁使用匿名加密货币XMR(Monero)支付赎金,并建议使用中间人来确保销售成功。虽然目前还不清楚数据是否真实,但黑客愿意使用中间人,以及对被盗信息质量的信心表明这次数据泄漏的可信度较高。

宏碁公司尚未就所谓的数据泄露发表评论。如果属实,泄漏数据可能会为宏碁的竞争对手或试图利用其产品和服务漏洞的恶意行为者提供有价值的情报和竞争优势。

被盗信息还可能被网络犯罪分子用于各种目的,包括勒索、身份盗用和欺诈。此外,宏碁后端基础设施和产品模型的曝光可能会暴露出可被其他攻击者利用的漏洞。

面对日益增长的数据泄漏风险,建议个人和企业采取措施保护敏感数据和系统,包括使用强密码、实施多因素身份验证、及时更新软件和固件,并监控可疑活动迹象。

]]>
支付机构广州合利宝称遭到黑客攻击 Wed, 22 May 2024 14:11:54 +0800 2023年3月3日,广州合利宝支付科技有限公司(简称“合利宝”)通过“合利宝商户管家公众号”发布声明,表示在前一日(3月2日)遭到黑客攻击,该攻击造成了个别交易的响应速度变慢,影响部分用户的体验。

合利宝遭遇攻击后,立即组织技术人员对系统进行全流程检测和风险排查,并在第一时间对相关攻击进行了处理,确保用户各类交易正常进行,同时已将攻击线索搜集好上报了公安部门。

公开资料显示,合利宝成立于2013年7月19日,总部位于广州。2014年7月10日获得人民银行颁发的《支付业务许可证》,业务类型包含互联网支付、移动电话支付、银行卡收单业务(全国)。合利宝的母公司为A股上市公司仁东控股,上市公司去年半年报显示,其第三方支付业务(约等于合利宝的业务)营收为7.42亿元。

]]>
大疆无人机被曝16个安全漏洞:可破解禁飞限制、飞行中强制坠落 Wed, 22 May 2024 14:11:54 +0800 3月6日消息,德国波鸿和萨尔布吕肯的研究人员们从无人机巨头大疆(DJI)的产品中发现多个安全漏洞,其中部分漏洞相当严重。例如,用户可利用漏洞修改无人机的序列号,或覆盖掉安全当局用于跟踪无人机及其操纵者的机制。在特定攻击场景下,无人机甚至可能在飞行中被远程击落。

德国波鸿鲁尔大学Horst Görtz IT安全研究所的Nico Schiller和Thorsten Holz教授领导的研究团队,已经在2月27日至3月3日美国圣迭戈召开的网络和分布式系统安全研讨会(NDSS)上公布了自己的发现。该团队以前在波鸿,目前在萨尔布吕肯的CISPA亥姆霍兹信息安全中心。

在向公众发布此次发现之前,研究人员已经将检测到的16个漏洞上报给了大疆,该制造商也已采取措施进行修复。

四款机型参与测试

该团队共测试了三款型号的大疆无人机,分别为小型机Mini 2、中型机Air 2和大型机Mavic 2。之后,IT专家们又在经过更新的Mavic 3机型上重现了攻击效果。他们向无人机的硬件和固件发出大量随机输入,并检查哪些输入会导致无人机坠毁、或者对无人机数据(例如序列号)执行意外篡改。为了实现整个模糊测试,他们首先需要开发出一种新的算法。

Nico Shciller表示,“一般来说,我们在模糊测试时往往准备好了设备的完整固件。但这次情况并非如此。”由于大疆无人机相对复杂,所以必须在实时系统中执行模糊测试。

“将无人机接入笔记本电脑后,我们首先研究了如何与之通信,还有我们可以在测试中使用哪些接口。”事实证明,大部分通信是经由DUML协议完成的,该协议负责以数据包的形式向无人机发送命令。

发现四个严重错误

研究人员开发的模糊测试工具要生成DUML数据包,将其发送至无人机并评估哪些输入可能导致软件崩溃。只要能够引发崩溃,就说明编程中存在错误。Thorsten Holz解释道,“但并不是所有安全漏洞都会引发崩溃,也有一些错误会导致序列号等数据发生变化。”

为了检测此类逻辑漏洞,研究团队将无人机与运行大疆应用的手机配对。这样他们就能定期检查应用,查看模糊测试是否改变了无人机的状态。

结果发现,参与测试的四款大疆机型全部存在安全漏洞。研究人员共记录下16个漏洞,且大疆Mini 2、Mavic Air 2和Mavic 3机型还存在4个严重缺陷,允许攻击者在系统中扩大访问权限。

Thorsten Holz解释称,“攻击者可以借此篡改日志数据或序列号,并伪装自己的身份。另外,虽然大疆采取了预防措施以阻止无人机飞越机场或监狱等禁区,但这些机制也可能被破解。”该研究小组甚至能让飞行中的无人机在半空中坠毁。

在未来的研究中,研究团队打算进一步测试其他无人机型号的安全性。

传输的位置数据未经加密

此外,研究人员还检查了大疆无人机当中用于传输设备位置及操纵者信息的协议。通过这些信息,授权机构(包括安全机构或关键基础设施运营商)可以访问并管理无人机的使用情况。

通过大疆固件及无人机发出的无线电信号进行逆向工程,研究团队首次记录到名为“DroneID”的跟踪协议。Nico Schiller总结道,“我们证实了传输的数据未经加密,几乎任何人都可以用相对简单的方式读取到操作者和无人机的位置信息。

]]>
中资著名手机品牌疑似被黑,11GB内部敏感数据泄露 Wed, 22 May 2024 14:11:54 +0800 3月7日消息,一家数据泄露市场的用户LeakBase宣称,已成功通过故障和错误获得了中资背景的美国摩托罗拉公司JIRA系统的备份控制面板访问权限。

据用户LeakBase透露,外泄的数据包括管理面板(即管理后台)数据,以HTML格式导出并带有截屏内容。该用户还提到,数据包含多种文件格式,总大小约为11 GB。

通过对泄露网站上共享的数据进行初步分析,分析师发现信息内容真实有效。外媒Cyber Express已经就此事向摩托罗拉发出置评请求。

自2022年3月以来,用户LeakBase就一直活跃在该泄露论坛上。Cyber Express之前曾经报道过这名网站成员的多篇帖子,比如涉及德国托管IT服务商BITMARCK、美国互联网营销服务商Purecars等。

此次最新网络安全事故的突破口,正是摩托罗拉公司使用的JIRA软件(由澳大利亚软件公司Atlassian开发的应用程序)。

摩托罗拉移动的网络威胁状况

摩托罗拉公司曾是一家总部位于美国的跨国电信巨头。但在2007年至2009年遭受数十亿美元亏损之后,该公司于2011年拆分为两家独立的上市企业,分别为摩托罗拉移动和摩托罗拉解决方案。

作为重组计划的一部分,摩托罗拉移动被拆分出来,在2014年被中国科技企业联想收购,并仍以摩托罗拉品牌生产其产品。

目前,摩托罗拉移动是联想集团的子公司,主要制造消费级电子产品,例如智能手机和其他基于Android系统的移动设备。

根据泄露网站的数据,此次流出的信息来自摩托罗拉移动。样本数据中提到的网站motorola.com是摩托罗拉移动公司的零售门户。

这不是摩托罗拉移动近期唯一的安全事故。2022年6月,安全厂商Checkpoint发现中国芯片制造商紫光展锐生产的Tiger T700芯片存在漏洞,而2021年销售的Moto G20、E30和E40设备采用的正是这款芯片。

当蜂窝调制解调器尝试接入LTE网络,且调制解调器的连接处理程序无法验证有效用户ID(例如国际移动用户识别码IMSI)时,就会触发该漏洞,导致读取零数字字段时发生堆栈溢出。一旦遭到利用,此漏洞可能导致拒绝服务攻击甚至允许远程代码执行。

研究人员表示,尚不清楚其它紫光展锐应用处理器芯片是否也使用搭载相同固件的同款基带调制解调器。

JIRA的历史漏洞和安全问题

JIRA可帮助用户团队跟踪问题、管理项目并实现工作流程自动化。今年1月,Atlassian在发现JIRA软件易受网络攻击后发出了警报。

该公司表示,当时发现的JIRA软件漏洞可能允许黑客在受影响系统上远程执行任意代码。

相关披露说明称,“在JIRA Service Management Server and Data Center中发现的身份验证漏洞,允许攻击者在特定情况下冒充为另一用户,并获得对JIRA Service Management 实例的访问权限。”

2022年10月,网络安全厂商Bishop Fox又报告了JIRA Align中的两个漏洞。这些漏洞可能允许未经授权者访问管理员区域,并威胁到Atlassian公司的云基础设施。

其中一个漏洞为服务器端请求伪造(SSRF)缺陷,可能允许用户检索Atlassian服务账户的AWS凭证;另一缺陷来自用户授权机制,允许获得对JIRA Align租户的管理员控制权。

研究人员发现,这些漏洞组合可能导致针对Atlassian云基础设施的重大攻击。

发现该漏洞的Bishop Fox公司安全顾问Jake Shafer解释道,通过利用授权漏洞,低权限用户可以将其角色升级为超级管理员,进而获取对客户JIRA部署中全部内容的访问权限。

]]>
组建国家数据局 Wed, 22 May 2024 14:11:54 +0800 根据国务院关于提请审议国务院机构改革方案的议案,组建国家数据局。负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等,由国家发展和改革委员会管理。

将中央网络安全和信息化委员会办公室承担的研究拟订数字中国建设方案、协调推动公共服务和社会治理信息化、协调促进智慧城市建设、协调国家重要信息资源开发利用与共享、推动信息资源跨行业跨部门互联互通等职责,国家发展和改革委员会承担的统筹推进数字经济发展、组织实施国家大数据战略、推进数据要素基础制度建设、推进数字基础设施布局建设等职责划入国家数据局。

]]>
这家软件巨头数据库在暗网公布,亚马逊、波音、摩根大通等都受影响 Wed, 22 May 2024 14:11:54 +0800 当地时间2月28日消息,美国软件公司Beeline的数据库被攻击者发布在黑客论坛上,数据库内包含亚马逊、瑞士信贷、3M、波音、宝马、戴姆勒、摩根大通、麦当劳、蒙特利尔银行等Beeline客户的数据。

该数据库大约1.5GB,据称是攻击者从Beeline的Jira账户中窃取的。Jira是由Atlassian开发的问题跟踪软件,用于bug跟踪和项目管理活动。与此同时,Beeline运营着一项软件即服务(SaaS)业务,专注于寻找和管理劳动力。

攻击者声称该数据库包含Beeline的客户数据,例如名字、姓氏、Beeline用户名、职位以及其他数据。黑客论坛的帖子表明,这些数据窃取于2月25日。

记者通过邮件联系Beeline,但截至文章发表前暂未收到回复。

Cybernews研究人员调查了论坛上发布的样本数据,推测泄露的数据包括合法的公司数据。攻击者在论坛帖子中的一些屏幕截图的文件类型是用俄语编写的,这表明攻击者的操作系统默认语言可能是俄语。

]]>
时隔近两年,斯坦福大学再遭数据泄露 Wed, 22 May 2024 14:11:54 +0800 据BleepingComputer 2月24日消息,美国斯坦福大学被曝在2022 年12 月至 2023 年 1 月期间发生了数据泄露事件,涉及897名正申请博士学位的研究生。

在一封发送给这些学生的邮件中,学校表示2023 年 1 月 24 日收到通知,由于文件夹设置配置错误,导致他们的经济系博士入学申请文件能够以未经授权的方式被访问。

斯坦福调查发现,数据泄露最早始于2022年12月5日,并且在2022年12月5日至2023年1月24日之间有两次下载记录。这些数据涉及学生的申请表和随附材料,包括姓名、性别、出生日期、家庭和邮寄地址、电话号码、电子邮件地址、种族和公民身份信息。除上述信息外,申请材料中的个人健康信息、社会安全号码和财务数据没有被暴露,因为所泄露的申请文件不包含这些数据。

在斯坦福大学网站上的另一份声明表示,该数据泄露只涉及经济学博士项目申请,不再涉及学校其他任何项目,也不影响大学的本科生申请。

斯坦福在发现数据泄露后后立即阻止了对这些文件的访问。目前,学校表示没有发现下载信息被滥用的迹象。斯坦福在事后申明:“个人信息的机密性、隐私和安全是我们的首要任务,我们有适当的安全措施来保护此类信息。”“为应对这一事件,我们正在更新与电子文件存储安全相关的流程和政策,并将对教职员工进行政策再培训。”

2021年4月,斯坦福也曾遭遇过数据泄露,Clop 勒索软件组织从斯坦福医学院的 Accellion 文件传输设备 (FTA) 平台窃取了个人和财务信息,并最终将这些数据进行了在线发布。

]]>
“黑客”恶作剧攻击连锁公司数据库,警方跨省抓捕助力复产 Wed, 22 May 2024 14:11:54 +0800 2023年2月25日,据重庆之声报道:2023年2月的一个上午,某连锁品牌公司的收银系统和会员系统出现无法登录,无法正常运营的情况。在检查后发现收银系统所在的服务器内的数据被人故意删除。此时,公司负责人才意识到遭遇了“黑客”攻击,赶紧报了警。

重庆市公安局江北区分局在接到报警后高度重视,第一时间成立专案组对该案件进行攻坚。因为该连锁平台有超30家门店,注册会员数十万,运营出现故障每一秒都会给公司带来损失,因此,江北警方首先将工作中心集中在帮助企业回到正常运营上。

“我们第一时间调集了技术骨干人员来到公司提供技术指导。”网安支队副支队长杨仕海介绍道,“在和服务器运营商的共同努力下,服务器的基本架构得以修复。”当日,连锁公司所有门店都恢复了正常。

“黑客”动作蹊跷

在明确嫌疑人身份的过程中,警方遇到了新的困难。一般来说,犯罪嫌疑人侵入计算机的动机要么是盗转资金,要么是盗取数据,但民警刘建国却在侦查中发现“这个‘黑客’除了删除数据,再没有其他的操作。

“越是困难,越要攻破,必须尽快将犯罪嫌疑人绳之以法,防止他继续作案!”副支队长杨仕海为大家加油鼓劲,并在专题研究会上提供了破案新思路,以“黑客”攻击的方式为突破口,进行深入侦查。找准侦查方向后,民警很快锁定了在广西的犯罪嫌疑人黄某。2月7日,民警成功在黄某家中将其捉获。

原来,黄某从小就喜欢研究网络技术,自己的这身本领都是通过自学而来,这次,他为了“炫技”随机挑选了一台计算机进行攻击,目的只是单纯的恶作剧,没想到……至今为止,黄某也不知道自己攻击的对象是谁。

随后,民警现场查获其作案用的手机和电脑。虽然黄某认识到自己行为的错误,但因其行为已经涉嫌违法犯罪,黄某被采取了取保候审的刑事强制措施。

警方提醒如何避免防范黑客攻击:

一是及时更新服务器系统安全漏洞补丁;二是要加强服务器安全防护能力;三是制定有效的风险预警机制,重要数据一定要备份;四是发现被“黑客”入侵时,要立即断网,保存好现场的犯罪证据,并马上报警处理。

]]>
世界水果巨头遭勒索攻击:北美生产工厂被迫全部关闭 Wed, 22 May 2024 14:11:54 +0800 2月27日消息,全球最大的新鲜果蔬生产与分销商之一都乐食品(Dole Food)宣布遭受勒索软件攻击,目前正在着手解决由此引发的运营影响。

都乐食品公司公布的细节很少,表示正在调查“事件的波及范围”,并宣称攻击影响有限。

该公司拥有约38000名员工,年收入达65亿美元。都乐食品在官网上的声明中表示,他们已经与第三方专家接洽,帮助其修复受影响系统并保障安全。执法当局也已经获悉此次事件。

尽管都乐食品在说明中称影响“有限”,但得克萨斯一家杂货店在Facebook上公布了一份备忘录,其中提到该食品巨头的北美生产工厂已经被迫关闭。都乐公司似乎已经无法向各家杂货店正常供货。

备忘录中写道,“都乐食品公司正处于网络攻击中,[我们]随后关闭了整个北美系统。”

该公司在写给各合作伙伴的通知中称,“我们的工厂已于当天关闭,全部供货均被搁置。”

过去一周多以来,消费者一直抱怨门店货架上的都乐成品沙拉供应短缺。虽然该公司没有透露攻击的具体时间,但最近发生的供货短缺很可能就是勒索软件攻击的结果。

发给杂货店的备忘录还提到,都乐将执行其危机管理协议,包括“手动备份计划”。也就是说,该公司可能会转为速度较慢的手动操作,从而恢复正常生产和供货。

据安全内参了解,外媒BleepingComputer已联系都乐,希望了解关于网络攻击的更多细节信息,但该公司拒绝在公开声明之外发表任何评论。

]]>
美国国防部服务器没密码,3TB敏感数据泄露 Wed, 22 May 2024 14:11:54 +0800 在线暴露长达两周,该服务器托管在微软的Azure政府云上。

上周末,安全研究人员Anurag Sen发现美国国防部一台存储了3TB内部军事电子邮件的服务器在线暴露长达两周,该服务器托管在微软的Azure政府云上,供美国国防部客户使用,与其他商业客户物理隔离,可用于共享敏感的政府数据。其中许多数据与美国特种作战司令部(USSOCOM)有关,USSOCOM是美国负责执行特殊军事行动的军事单位。

令人惊讶的是,暴露的服务器由于配置错误没有密码,任何人都可通过互联网访问。

据Anurag Sen透露,暴露数据包含过去几年的大量内部军事电子邮件,其中一些包含敏感的人员信息。其中一个暴露的文件包括一份完整的SF-86问卷,该问卷用于处理机密信息前的个人审查,由寻求安全许可的联邦雇员填写,包含高度敏感的个人和健康信息。

根据Shodan的搜索结果,该邮箱服务器2月8日首次被检测为数据泄露。目前尚不清楚邮箱数据是如何暴露在公共互联网上的,从目前可用信息推测可能是由于人为错误导致的配置错误。

目前尚不清楚除了Sen之外,是否有人在两周的暴露窗口期内发现了可以从互联网访问云服务器的暴露数据。

无独有偶,上周末美国有线电视新闻网报道美国联邦调查局纽约办事处的(用于调查儿童性剥削的)计算机系统也遭黑客入侵,联邦调查局发言人Manali Basu证实,该机构已经控制了“孤立事件”,并继续开展调查。

]]>
普京在议会两院现场直播遭乌克兰网络攻击,导致停电、直播中断 Wed, 22 May 2024 14:11:54 +0800 乌克兰黑客声称对俄罗斯国家媒体发动了网络攻击,该攻击导致普京总统在向俄罗斯议会发表国情咨文期间出现断电。

2月21日,普京在向俄罗斯议会两院发表现场直播讲话时,多个地方的记者都表示,在讲话期间无法进入直播间。

随后,俄新闻社首先报道了这次中断是黑客通过分布式拒绝服务(DDoS)攻击导致的。

乌克兰IT军很快在Twitter和Telegram账户上庆贺。

据《新闻周刊》报道,另一个亲乌克兰的黑客组织,也在推特上声称他们帮助IT军团成功完成了这次攻击。

乌克兰IT军是一个由乌克兰政府号召的黑客志愿者组成的联合体,旨在开展网络进攻行动,并帮助国家抵御俄罗斯的网络攻击。

受此次黑客攻击影响的国家媒体和网站包括全俄国家电视、广播公司(VGTRK)网站和Smotrim直播平台。VGTRK网站上显示,"正在进行技术修复工作",而Smotrim网站则无法加载。

据路透社报道,就在其中一次间歇性中断之前,普京一直在讨论俄罗斯计划退出《削减战略武器条约》--该条约规定了美国和俄罗斯可以部署的弹头数量上限。‘

显然此次攻击是有组织、有预谋的恶意行为。俄乌战争在过去一年里,经历了一场漫长的网络战,核心参与国是俄罗斯和乌克兰,其他西方国家因各种原因,也参与了这场网络战。目前随着战争的持续,网络战也将愈演愈烈。

]]>
俄罗斯10个城市电台遭黑客攻击,发布导弹袭击的假消息 Wed, 22 May 2024 14:11:54 +0800 据乌克兰《真理报》2月22日报道,当地时间22日上午,俄罗斯 10 个城市的电台发布空袭警报和导弹威胁,随后俄罗斯紧急情况部称这是一次黑客攻击事件。

“注意,正在发布空袭警告。立即前往避难所。注意,注意,导弹袭击的威胁”—–在俄罗斯的 Relax FM、Avtoradio、Yumor FM 和 Comedy 电台广播都播出了这条空袭警报。

据称,俄罗斯皮亚季戈尔斯克、秋明、沃罗涅日、喀山、下诺夫哥罗德、马格尼托哥尔斯克、别尔哥罗德、旧奥斯科尔、乌法和新乌拉尔斯克等城市的居民都听到了空袭警报的广播。

随后,俄罗斯紧急情况部表示,这是因为黑客攻击而出现在广播电台上。该部称, “由于黑客攻击了该国某些地区的一些商业广播电台的服务器,广播了有关据称发布空袭警告和导弹袭击威胁的信息。”

俄罗斯网络媒体 Baza;奥斯托罗兹诺,新社;俄罗斯独立新闻网站 Meduza;俄罗斯国有新闻媒体 RIA Novosti都对此进行了报道。

]]>
有人假冒“小红书”虚假招聘骗取高额保证金 多方提醒 Wed, 22 May 2024 14:11:54 +0800 “小红书2023招聘,时间自由、居家可做,月薪7500-9500元。”

近日,多名网友反映称,有团伙假冒小红书平台之名,以招聘为由诈骗保证金,对方伪造公司印章和广告推广授权书,在微信公众号上投放虚假招聘广告,吸引用户扫码下载相关App,实施诈骗。

有人反映他们被假冒“小红书”的虚假招聘诈骗。

2月21日,湖北襄阳的张琳(化名)告诉澎湃新闻,她被前述虚假招聘骗了近18万元。

张琳称,2月初,她在微信公众号上看到了一则题为《开始了!湖北2月7日开始,仅招300人,待遇优厚,欲做从速,先到先得》的消息,其中称“小红书招聘兼职,待遇丰厚”,她就扫码添加了页面中的客服。

张琳说,一开始对方“工作人员”让她去关注别人的账号,会有3.8元的报酬,需要在“小红书之家”App提现。后来,“工作人员”突然告知她有个单子做错了,必须缴纳一定金额的保证金才能修复,第一次,她投了九千元,第二次投了四万,第三次投了十二万多元。

“投了十二万多的时候,对方本来说可以提现了,但我准备提现的时候对方又称不行,得再交一个五万元的税费。”张琳说,这时候她才知道自己被骗,随后报警。

张琳说,这笔钱是她从信用卡套现的,现在信用卡也还不上了,生活困难。她说,目前当地警方正追查该案,身边还有其他人遭到类似骗局,被骗了十万多。

另一受害者反映,她和张琳情况类似。她通过微信公众号看到“小红书2023年春季招聘”信息后,萌生了做兼职的想法,于是扫码联系客服并下载了名叫“小红书之家”的App,然后进入了“发布任务”的群聊。

她说,在群聊里,群成员需要完成任务才能转正,而做任务又要交保证金,完成任务后金额和佣金回返回,可以在App提现。她发现起先一些小金额保证金确实可以提现,也确实能赚一些钱,但随着保证金金额增多,对方开始以“操作失误”为由冻结资金,并不停地要求补单修复。

除了假冒小红书的名义招聘,对方还疑似伪造了涉及多个广告公司的小红书授权书,如翼扬网络科技(浙江)有限公司在官网发布公告称,近期出现冒充该司名义进行直播业务诈骗,请各位用户谨防上当。该司郑重声明,不提供任何直播类、涨粉类、培训类、金融类等服务。

此前,小红书方面对澎湃新闻表示,针对前述情况,他们第一时间发布澄清公告并报警,协助警方侦查,一旦发现有小红书虚假广告,第一时间联系删除,降低影响。

小红书2月1日通过平台官方账号发布声明称,有不法分子冒用公司的名义,通过各微信公众号及多家媒体平台发布虚假招聘及助农送水果活动广告,诱导用户在小红书进行刷量伪造虚假数据等非法活动。该虚假广告严重损害小红书的合法权益,同时给社会公众带来潜在风险。目前已要求相关渠道下架虚假广告,并会持续跟进后续处理进展。

甘肃天水市反诈骗中心也发布过类似案例。今年2月4日,家住甘谷县的谢某通过微信公众号看到了一条假冒小红书的招聘信息并下载相关App,在开始接单并成功赚取145元后不再怀疑对方真实性,开始大额资金的投入,向对方指定账户多次转账后,谢某发现该 App已无法进入,这时才意识到被骗,遂报警,共计损失176834元。

天水市反诈骗中心提醒,网络刷单本身就是一种违法的行为,任何要求垫资的网络刷单都是诈骗,遇到“刷单”、“刷信誉”的网络兼职广告时要提高警惕。找兼职工作要到正规的招聘、中介平台或公司,签订详实的劳务合同,以保护自己的合法权益。不管何时何地不随意轻信陌生人,涉及转账要谨慎。提高防范意识,一旦被骗,第一时间拨打110报警。

]]>
“黑客”袭击数据库,一查竟是“老熟人”的报复 Wed, 22 May 2024 14:11:54 +0800 2023年2月17日,据报道近日,辽源警方接到当地一家铝业公司报警,说企业内部服务器遭到了黑客的恶意攻击,服务器内硬盘数据被恶意删除,导致系统崩溃,无法正常生产,给企业造成了不小的损失。接警后,办案民警进行了现场勘验,并很快锁定了嫌疑人。

辽源市公安局高新分局刑事侦查大队副大队长 徐海洋:

2023年1月4日中午的时候,辽源市启星铝业的网络主管赵某到我们局里报案,企业的数据库被人恶意攻击了,把里面的数据什么的全部都毁坏了,导致企业无法正常办公,无法正常生产经营。接到这个报警之后,局领导也都高度重视,责令我们尽快破案。

接到报警后,办案民警对企业受损服务器反复勘验后,锁定该企业原网络主管赵某有重大作案嫌疑,并随之将其抓获。起初,犯罪嫌疑人赵某拒不交待其犯罪事实,在民警出示证据和政策攻心后,成功突破其心理防线。

辽源市公安局高新分局刑事侦查大队副大队长 徐海洋:

经过我们的了解,赵某之前是启星铝业的网络主管,因为工作原因不太和睦,这个赵某被公司辞退了。他被公司辞退之后,对公司产生了一些不满情绪,导致他后期一是为了报复启星铝业,二是为了报复现任的网络主管。

赵某交代当时他在家中,通过之前掌握的公司数据库账号和密码,登陆后删除了一部分数据,还隐藏了一部分数据,导致该公司上百名员工无法正常读取数据库开展工作,严重影响企业生产经营效率,给企业造成巨大经济损失。

辽源市公安局高新分局刑事侦查大队副大队长 徐海洋:

犯罪嫌疑人赵某被我们抓获之后,经过咱们民警的说服教育,他认识到自己的错误,以及自己的行为给企业造成的巨大损失。然后在赵某的配合下,我们民警将启星铝业现任的网络主管找到我们局里边,把赵某隐藏的那些数据都找到了。

目前,犯罪嫌疑人赵某已经被采取刑事强制措施,案件正在进一步侦办中。

]]>
印度火车票务平台遭遇大规模数据泄露,涉及超3100万人 Wed, 22 May 2024 14:11:54 +0800 RailYatri 黑客攻击发生在 2022 年 12 月,但被盗数据直到近日才在一个著名的黑客论坛上泄露。

在个人信息中,RailYatri 黑客攻击还暴露了印度数百万旅客的详细位置信息。

印度流行的火车票预订平台RailYatri遭遇大规模数据泄露,暴露了超过 3100 万 (31,062,673) 名用户/旅客的个人信息。据信,该漏洞发生在 2022 年 12 月下旬,敏感信息数据库现已在线泄露。

泄露的数据包括电子邮件地址、全名、性别、电话号码和位置,这可能使数百万用户面临身份盗用、网络钓鱼攻击和其他网络犯罪的风险。

目前可以确认该数据库已在 Breachforums 上泄露,Breachforums 是一个黑客和网络犯罪论坛,作为流行且 现已占领的 Raidforums 的替代品出现。

RailYatri 的意思是火车乘客,而 Yatra 代表旅程。RailYatri 数据泄露事件并非黑客利用漏洞窃取和泄露数据的典型案例。事实上,它始于2020 年 2 月,当时网络安全研究员 Anurag Sen 发现了一个配置错误的 Elasticsearch 服务器暴露在公众面前,没有任何密码或安全身份验证。

Sen 指出该服务器属于 RailYatri,并将此问题告知了该公司,该公司最初否认它属于他们。后来,该公司声称这只是测试数据。当时,服务器包含超过 700,000 条日志,总计超过 3700 万条条目,包括内部生产日志。

2020 年,只有在印度计算机应急响应小组 (CERT-In) 介入后,Railyatri 才设法保护其数据;然而,两年后,即 2023 年 2 月 16 日,由于新的漏洞,黑客再次让公司陷入安全漏洞。

“早在 2020 年,当我联系 Railyatri 时,他们从未回复或联系过我,但在我联系 Cert-In 后,服务器关闭了,”Anurag 告诉 Hackread.com。“我报告了印度的各种数据泄露事件;我看到的最常见的问题是,由于印度没有任何类似 GDPR 的法律,这些公司没有被罚款。”Anurag 补充说到。

Anurag认为:“如果公司从一开始就实施适当的网络安全措施,本可以避免最新的数据泄露事件。”

建议所有用户更改密码并在其帐户上启用双因素身份验证作为预防措施,同时建议用户监控他们的银行账户和信用卡报表,以发现任何可疑活动。

]]>
又曝出新冠疫情患者数据泄露,印度卫生部未予置评 Wed, 22 May 2024 14:11:54 +0800 2月21日消息,印度再次曝光一起COVID-19患者数据泄露事件,由印度卡纳塔克邦维护的arogya.karnataka.gov.in数据库已被泄露。兜售的黑客声称,该数据库内包含个人ID、姓名、地址、电话号码、电子邮箱及密码等信息。

从帖子中列出的数据样本来看,泄露的数据包含来自班加罗尔(印度第三大城市)等地区的信息。据称这些数据的源头是由卡纳塔克邦政府维护的数据库,由当地私营实验室负责收集COVID-19相关信息。

迄今为止,卡纳塔克邦登记的COVID-19病例总数超过400万,超过美国俄克拉荷马州、康涅狄格州、犹他州、爱荷华州、内华达州及密西西比州等地的居民数量。

外媒Cyber Express已经就此事向印度卫生部及该邦卫生署发出置评请求,但目前尚未收到回复。

印度的新冠患者数据泄露史

这篇贴子在本周一发布,提供的样本数据包含了从个人ID到电子邮件等多种个人身份信息(PII)。自2022年9月以来,昵称为adma3的发布人就一直活跃在数据泄露论坛上。

此次事件也是新冠疫情爆发,印度着手维护感染数据库以来,政府方面泄露的最新一批患者数据。根据政府官方数据,截至今年2月20日,印度累计确诊病例4470万例,死亡53万人。

2022年1月,印度政府服务器就曾被攻破,导致逾2万民众的个人数据曝光,其中包括姓名、手机号码、居住地址和COVID检测结果。

网络安全研究员Rajshekhar Rajaharia当时发布推特称,这些敏感信息可通过在线搜索轻松访问。

大约同一时间,还曝光了另一起公共卫生数据泄露事件。牙科期刊The Probe当时的一项调查显示,地方卫生部门在未采取任何安全措施的情况下,直接向网站上传了民众的COVID-19数据。

新冠疫情数据泄露不是新鲜事

此前,有恶意黑客声称窃取了4850万新冠疫情相关应用的用户信息。2022年8月10日,有用户在数据泄露论坛上公布了这一消息,并以4000美元价格向潜在买家进行兜售。

贴子附带了一份被盗数据样本,其中包括公民姓名、电话号码、18位身份证号及健康码状态。数据样本里有47人的详细信息,路透社向其中列出的11人求证,发现数据属实。

与此同时,涉事机构某大数据中心表示他们只负责程序开发,否认数据是从他们那里泄露出来的。

]]>
全球关键半导体厂商因勒索攻击损失超17亿元 Wed, 22 May 2024 14:11:54 +0800 2月20日消息,作为全球最大的半导体制造设备和服务供应商,美国应用材料公司(Applied Materials)在上周的财报电话会议中表示,有一家上游供应商遭到勒索软件攻击,由此产生的关联影响预计将给下季度造成2.5亿美元(约合人民币17.17亿元)的损失。

应用材料没有透露供应商的具体信息,但多位行业分析师表示,这里指的应该是美国技术与工程公司MKS Instruments。MKS在上周一宣布,受2月3日发现的勒索软件攻击影响,其第四季度财报电话会议已经被迫延后。

供应商受影响设施仍未恢复运营,预计造成2.5亿美元损失

应用材料公司首席执行官Gary Dickerson在上周四的电话会议上称,“最近一家主要供应商遭受攻击,将对我们第二季度的出货造成影响。”

应用材料在发布的财报中表示,2023财年第二季度预计净销售额约为64亿美元,此结果“反映了持续存在的供应链挑战;另外有一家供应商近期遭受网络安全事件影响,相关损失可能达2.5亿美元”。

该公司没有回应置评请求,所以暂时无法确定受攻击影响的供应商是否为MKS Instruments。

MKS Instruments则表示,在经历所谓勒索软件攻击后,公司目前仍在“恢复当中”。

MKS方面指出,“MKS正持续努力,希望恢复受影响设施的正常运营。第一季度,勒索软件攻击给公司真空解决方案与光子解决方案部门的订单处理、产品运输和客户服务能力造成了严重影响。”

MKS还补充称,目前尚不确定此次勒索软件事件造成的损失与影响范围。公司仍在核算网络保险能否抵偿攻击带来的部分开销,财报电话会议暂定延后至2月28日。

MKS解释道,“公司希望通过延后财务业绩的发布时间,更好地解决勒索软件事件引发的财务影响。”

截至上周五,尚无勒索软件团伙公开对MKS攻击事件负责。

供应链安全难题

针对MKS的攻击再次凸显出近年来网络安全专家们的普遍担忧:随着大型企业在系统保障方面的逐步增强,恶意黑客开始将矛头指向供应链中体量较小、安全能力较弱的环节。

网络防御公司Horizon3.ai的Monti Knode说,越来越多的公司开始像MKS这样公开承认网络攻击造成的后果。

移动安全厂商Approv的CEO Ted Miracco则表示,半导体供应链仍然是全球经济当中最复杂、也最重要的部分之一。

“去年我们已经亲眼目睹半导体市场中断可能引发的长期后果,影响将波及从汽车到食品的多种产品价格。”

“相较于最近的中美气球事件,半导体供应链面临的攻击威胁无疑更值得关注。”

]]>
德媒:德国机场网络遭遇大规模黑客攻击 Wed, 22 May 2024 14:11:54 +0800 2月18日报道 据德国《法兰克福汇报》网站2月16日报道,黑客正在大规模攻击德国的信息技术系统。在德国汉莎航空公司发生信息技术故障一天后,德国数个机场的网站在16日出现了数小时无法访问的情况。虽然旅客和空中交通安全未受到威胁,但IT专家认为,当前攻击只是更广泛的攻击浪潮的前兆。政府部门、公司甚至安全机构都是网络犯罪分子的攻击目标。在未来几天和几周内,一场名副其实的海啸可能席卷德国的数字基础设施。

据称,近期攻击的幕后黑手是若干国际黑客团体。它们通过分布式拒绝服务攻击,有针对性地利用计算机程序的漏洞。因此,德国信息技术安全局呼吁国内所有关键基础设施机构将系统更新至最新技术状态。

虽然汉莎航空15日的故障是由施工过程中意外切断数据线造成的,但德国数个机场的网站是因遭到大规模攻击而停止服务的。

报道称,德国第四大机场杜塞尔多夫机场以及汉诺威、多特蒙德、纽伦堡和卡尔斯鲁厄/巴登-巴登机场均受到影响。爱尔福特机场说,由于负荷过大,作为预防,机场已关闭网站。慕尼黑机场则表示,15日已经遭到一次类似的攻击,不过防御措施发挥了作用。

]]>
第一批因ChatGPT坐牢的人 已经上路了 Wed, 22 May 2024 14:11:54 +0800 就在由ChatGPT引发的AI革命席卷全球之际,第一批利用ChatGPT犯罪的人已经悄然出现了。

前不久,外国网络安全平台GBHackers披露了一段黑客利用ChatGPT实施诈骗的犯罪行为:黑客通过ChatGPT在短时间内生成完整的诈骗套路话术,并把ChatGPT包装成“虚拟角色”,让受害人以为自己“坠入爱河”,最终遭受诈骗。

尽管OpenAI意识到ChatGPT可能会被犯罪分子利用,并对其添加了安全保护机制,但依旧有大批黑客取得了破解安全机制的方法,并利用ChatGPT快速编写犯罪软件。例如编写用于骗取个人信息的钓鱼邮件;生成加密工具远程锁定他人电脑,由此进行勒索;以及生成攻击脚本,对网络用户进行SIM交换攻击(身份盗窃攻击)等等。

作为互联网历史上增长最快的消费级应用程序,被黑客利用的ChatGPT无疑像一枚巨大的定时炸弹。目前,美国参、众两院已经将目光聚焦到Open AI身上。

据路透社报道,近日,有美国众议院议员公开宣称自己“被人工智能吓坏了,尤其是不受限制和监管的人工智能”,并拿出了决议草案,呼吁强化对人工智能的监管。

不仅如此,由于OpenAI在安全保护机制方面对ChatGPT进行了较多限制,ChatGPT似乎正处于一种“情绪崩溃”的状态。

据《独立报》报道,在与用户交流时,ChatGPT出现了侮辱用户、对用户撒谎的情形,称用户“像一个骗子、一个操纵者、虐待狂、魔鬼”。

不可否认,月活用户数量超过1亿人次的ChatGPT,有着不可估量的巨大价值。但在其技术前景、商业模式都还方兴未艾的时刻,围绕自身的“犯罪方案”以及所造成的负面影响却已真实发生。由新技术衍生的网络信息安全以及违法犯罪等方面的风险,成了摆在全球AI科学家、企业以及国家面前的严肃问题。

ChatGPT的地下生意

在众多的犯罪方法中,利用ChatGPT进行诈骗只能算入门级的手段,比如用AI来谈一场“虚假恋爱”。

据外国网络安全平台GBHackers报道,由于具备强大的工作生产效率,ChatGPT深深地吸引了网络诈骗犯。

借助ChatGPT,诈骗者可以在几秒钟内生成一条完整的诈骗“套路”:从自我介绍、聊天内容到一份精心制作的“情书”,ChatGPT都可以一键生成,甚至还可以通过录入目标对象的特征,对诈骗话术进行个性化定制。

在编写情书后,利用生成式AI,黑客能快速创建一个“虚拟角色”,并通过电子邮件引诱受害者“坠入爱河”。然后搭配由ChatGPT辅助编写的收款程序或银行卡信息获取连接,诈骗受害人钱财。

其实,这种诈骗方式并不新鲜。但问题在于,在如今人工智能技术的支撑下,人们开始难以分辨屏幕的另一端到底是人还是机器。

为测试人们是否真的会对AI版“情话”产生信赖,2月13日,全球最大安全技术公司迈克菲(McAfee)用AI生成过一封情书,并将它发送给全球5000位用户。

结果显示,在已知该情书有可能是由人工智能生成之后,依旧有33%的受访者愿意相信这些情话出自人类手笔,而坚信情书由AI创作的受访者占比仅为31%,其余36%的参与者则表示无法区分情书的创作者到底是人还是机器。

在AI加持下,骗子们正变得比以往任何时候都更容易欺骗毫无戒心的受害者。

]]>
2022年工控系统勒索软件攻击暴增87% Wed, 22 May 2024 14:11:54 +0800 根据Dragos最新发布的工控安全报告,2022年针对工业基础设施的攻击的复杂性和数量有所增加,遭受攻击的工控系统(ICS)中80%缺乏对ICS流量的可见性,一半存在网络分段问题和不受控制的OT网络连接。

根据报告,2022年针对工业组织的勒索软件攻击增加了87%,其中制造业是受影响最大的行业。勒索软件组织LockBit发起的攻击数量最多,其次是现已解体的勒索软件组织Conti、Black Basta和Hive。

报告指出,2022年有八个针对工业基础设施的威胁组织表现活跃,其中两个是新组织,Dragos为其命名为Chernovite和Bentonite。其中Chernovite是一个高度复杂的恶意软件平台,具备ICS网络杀伤链第1阶段(侦察)和第2阶段(武器化)的各种能力,未来可能会进化出更具破坏性的攻击力。

2022年工控系统相关硬件和软件漏洞数量比2021年增加了27%,但该数据并不能代表该行业的全部漏洞情况,因为并非所有漏洞都是平等的,尤其是在工控系统领域。

Dragos对这些漏洞进行了更深入的风险评估,发现15%位于接入企业网络的设备中,85%位于ICS网络内部。

更严重的问题是,在一个修补漏洞通常涉及关闭操作和关键设备的行业中,资产所有者严重依赖缓解措施,虽然70%的供应商安全公告中提供补丁,但是其中51%不包含任何缓解建议。而在30%的不提供补丁的安全公告中,16%没有给出实际的缓解措施。

]]>
瑞典最大电视广播公司遭网络攻击导致网站瘫痪 Wed, 22 May 2024 14:11:54 +0800 2月16日消息,一系列网络攻击导致瑞典国家电视广播公司SVT网站无法正常访问。而此前一周内,已有多所瑞典高校、医院和地区行政办公室遭受类似攻击。

SVT技术主管Adde Granberg在攻击后表示,“我们发现服务器上的活动增加,接收到的调用存在异常。有人正在试探我们的系统。需要进一步分析才能弄清是谁在背后捣鬼。”

根据SVT的说法,这可能是一次拒绝访问攻击——一种针对计算机系统的攻击活动,虽然不会造成永久性损坏或访问到秘密信息,但却能限制系统的正常使用以起到重大的干扰效果。

SVT报告称,之前其他多家媒体公司和教育机构都遇到了类似的问题。

整个周末到本周一,卡罗林斯卡学院、瑞典大学网(Sunet)以及吕勒奥理工大学等多所瑞典高校,都受到了类似的攻击。

广播媒体Sveriges Radio Ekot之前报道,黑客团伙“匿名苏丹”(Anonymous Sudan)曾呼吁对瑞典当局和银行开展网络攻击,这次SVT遇袭可能并不意外。

黑客称攻击活动是为了抗议瑞典极右翼人士在斯德哥尔摩的土耳其使馆旁焚烧古兰经,而且事先已宣布将袭击各瑞典高校。

]]>
勒索攻击致使国际帆船之都进入紧急状态 Wed, 22 May 2024 14:11:54 +0800 2月16日消息,因勒索软件攻击导致城市所有IT系统离线,奥克兰市宣布进入紧急状态。

宣布进入紧急状态后,奥克兰市可以加快政令实施、材料与设备采购,并在必要时召集应急工作人员。

据安全内参检索,奥克兰市是新西兰人口最多的城市,还被誉为国际帆船之都。

遭受勒索攻击后一周仍未好转,非紧急服务是重灾区

2月14日的更新声明中写道,“今天,奥克兰市临时行政官G. Harold Duffey宣布当地进入紧急状态,旨在应对2月8日(星期三)开始的勒索软件攻击所造成的网络中断影响。”

该事件没有影响到核心服务,911警务调度、消防及应急资源都在按预期运作。

尽管上周的勒索软件攻击只影响到非紧急服务,但当时离线的多个系统目前仍未恢复。

目前尚不清楚攻击出自哪个勒索软件团伙,奥克兰市也未分享关于赎金要求或数据盗窃情况的详细信息。

事件发生后,外媒BleepingComputer立即联系了奥克兰市一名发言人,但对方表示无法透露更多细节。

声明指出,“该市IT部门正与一家领先的取证公司合作,开展事件响应与分析,并配合其他网络安全和技术公司的恢复与补救工作。”

“目前正对多个地方、州和联邦机构开展持续调查。”

全球勒索攻击猖獗,多国均有紧急状态前例

大约三年前,即2019年7月,美国路易斯安那州州长John Edwards在该州学区遭遇勒索软件攻击之后,也曾宣布进入紧急状态。

当月,莫尔豪斯、萨宾、门罗市及瓦希塔学区的IT系统均因勒索软件加密而离线,导致全州范围内各学校系统中断。

美国联邦汽车运输安全管理局(FMCSA)曾发出一项区域性紧急公告,覆盖全美17个州外加哥伦比亚特区,原因是DarkSide勒索软件攻击令美国最大燃油输送企业科洛尼尔管道公司(Colonial Pipeline)陷入瘫痪。

Emsisoft公司威胁分析师Brett Callow表示,“2022年以来,美国至少有6个地方政府遭受勒索软件影响,其中至少4个发生了数据失窃。”

今年1月,微软透露,截至2022年年底,他们持续跟踪的100多个勒索软件团伙至少已实际部署超50种不同勒索软件家族。

]]>
美国数万人被骗,损失超7亿美元,情节人为何成情人劫? Wed, 22 May 2024 14:11:54 +0800 2月14日,一年一度的情人节又来了,今天你们是不是忙着表白、送玫瑰花?还是作为一只单身狗被残忍地喂了一嘴的狗粮,又或者是在寻找一个可以共度情人节的佳人?

作为网络安全行业垂直媒体,FreeBuf想提醒大家,2月14日,除了火热的恋爱外,还有非常多活跃的网络犯罪团伙,在互联网中疯狂地传播钓鱼邮件。不管你是不是在过情人节,都需要提高警惕,千万不要让情人节变成“情人劫”。

据国外某网络钓鱼专家称,每年的情人节都是恋爱诈骗案的飙升时刻,伪装的钓鱼人员会不遗余力地对受害者进行 "糖衣炮弹",使其沉浸在甜言蜜语之中,难以自拔,失去理智。

对此,网络钓鱼检测与响应解决方案提供商Cofense首席安全顾问 Ronnie Tokazowski 表示赞同,他综合了过去15年的网络钓鱼案例,却发现尽管网络钓鱼攻击的形式每年不尽相同,但是其核心原理始终基于爱情、浪漫一夜、情人节等,并且在情人节前后迎来爆发期。

Tokazowski 称,攻击者最常见的手法就是利用聊天、约会等应用程序对受害者进行言语上的关心和持续的关注,直到他们愿意为素未谋面的人花钱。在国内,这种行为有一个更加通俗易懂的名字——杀猪盘,甚至和你聊天的都不是MM,而是一个抠脚大汉。

联邦调查局(FBI)互联网犯罪投诉中心的报告结果显示,2022年是情人节(恋爱)骗局创纪录的一年,官方统计大概有2万名受害者,直接损失金额达到了7.39亿美元。同时联邦调查局办公室也发出警告,情人节前后这段时间是骗子非常活跃的时候,希望大家可以提高警惕。

事实上,情人节(恋爱)骗局不仅仅在美国盛行,而是在全球都处于泛滥的状态。据媒体报道,2022年英国网恋诈骗损失的总金额达到8800万英镑(超1亿美元),其中还包括同性恋诈骗。

Tokazowski 在采访时公开表示,钓鱼攻击和诈骗盛行并不意味着网上约会英国被禁止,这属于因噎废食,而是要让所有民众提高警惕。

什么是恋爱骗局?

所谓恋爱骗局,一般是诈骗者利用聊天、约会应用程序来锁定那些寻找爱情的人。他们往往会把自己的个人展示页面伪装的非常优秀,且大多精通化妆、P图、美颜等各种手段,并凭借这些虚假资料来欺骗受害者。

一旦他们获得了受害者的信任,他们就会尽力说服对方,让他们相信他们是完美的一对。一旦他们觉得自己已经建立了牢固的情感纽带,他们就会开始利用情感操纵,为不同类型的犯罪提供便利。

其中一些犯罪包括礼品卡诈骗、商业电子邮件泄露、电子诈骗等,世界上90%的国家都有受害者。

网恋骗局有哪些共同特征?

骗子总是先在交友平台上假造一份吸引人的个人描述,再配上从别处盗来的帅哥美女头像,然后接触受害人进行“钓鱼”。每天嘘寒问暖,还会不停得强调:“我们三观好和,好难得啊!”来赢得受害人深深的信任。

骗子往往会主动提出网友“见面”,可是快要到见面的时候,又见不着了。总会有突发事件,比如出了事故、要做手术、家里有人去世等等,急需用钱。这时有些头脑不清的受害人就会转钱过去,帮助网恋对象“渡过难关”。

骗子也会时不时索要小礼物,然后慢慢以小及大的索要贵的东西。他们还会表示在异地,要求对方出钱负担见面所需的差旅。

骗子是如何锁定受害者并获得他们的信任的?

骗子们会花时间来了解受害者。伪装成你们两个人真的很合得来。有相同的兴趣爱好,可能之前已经结婚或丧偶,并最终找到了那个和你惺惺相惜的心灵伴侣。

你们花几个小时聊天,交换甜言蜜语,每天早上发短信,并开始聊起你们两个人什么时候能最终见面。虽然可能在异地,但每次聊天时你都能感觉到他与你同在。你甚至幻想着你们最终能够见面的那一天。

受骗人群大多在什么年龄段?

对网恋诈骗最新学术分析数据表明,最容易被网恋骗局所骗的是老年人(50岁及以上)。在心理学上,受害者有将关系理想化的倾向,被认为是冲动的,并有依赖性的倾向。

可以采取什么措施来保护自己?

要通过多种途径去核实对方的身份信息,比如说个人征信、犯罪记录等。当然,也不要将此作为100%的验证。因为骗子们的伪装可能更高明。

上约会软件是可以的,在网上尝试和某人约会也是可以的,但如果有人给你说要亲自见面或要钱,那就是一个骗局。

感情上的骗局是最令人心疼的。然而,与其在骗局中耗费数年时间,不如断绝潜在的骗局,骗子只会带你坐上爱情的过山车,为的只是你手机里的余额。

]]>
黑客们盯上了Dota 2,秘密部署后门 Wed, 22 May 2024 14:11:54 +0800 Dota 2的玩家注意了,你使用的游戏模式很可能被黑客盯上了。

2月13日消息,未知的威胁行为者为 Dota 2 游戏创建了恶意游戏模式,这些模式可能已经被利用来建立对玩家系统的后门访问。

威胁行为者利用了V8 JavaScript 引擎中的一个高危零日漏洞CVE-2021-38003(CVSS 评分8.8),谷歌在2021年10月已修复该漏洞。

“由于V8在Dota中没有沙盒化,这个漏洞本身就可以对Dota玩家进行远程代码执行,”Avast研究员Jan Vojtěšek在上周发布的一份报告中说。

目前,游戏发行商Valve已经在202年1月12日的更新版本中修复了该漏洞。游戏模式本质上是一种自定义功能,既可以扩展现有游戏,也可以以一种偏离标准规则的方式提供全新玩法。

虽然向Steam商店发布自定义游戏模式需要经过Valve的审查,但威胁行为者还是成功地绕过了审查。

这些游戏模式已经被下架,它们是“test addon plz ignore”“Overdog no annoying heroes”“Custom Hero Brawl”以及 “Overthrow RTZ Edition X10 XP”。据称,该威胁行为者还发布了名为“Brawl in Petah Tiqwa ”的第五种游戏模式,没有包含任何恶意代码。

“test addon plz ignore”中嵌入了一个针对V8缺陷的漏洞,该漏洞可以被用来执行自定义的shellcode。

另外三个采取了更隐蔽的方法,其恶意代码被设计成与远程服务器联系以获取JavaScript有效载荷,这也可能是对CVE-2021-38003的利用,因为该服务器已不能访问。

Avast表示,目前还不知道开发者创建这些游戏模式背后的最终目的是什么。

]]>
传45亿条个人信息泄露,圆通回应称情况正在核实 Wed, 22 May 2024 14:11:54 +0800 2月15日消息,据中证报,快递股昨日出现闪崩,圆通速递跌幅近7%。消息面上,安恒信息在其官方微信公众号发布《不要泄露! 疑似45亿条国内个人信息泄露背后的数据安全账》文章。该文称,2月12日晚,Telegran各大频道突然大面积转发某隐私查询机器人链接。网传消息称该机器人泄露了国内45亿条个人信息,疑似电商或快递物流行业数据。

当日下午,红星资本局致电圆通董秘办询问信息泄露是否与圆通有关,对方表示情况正在核实中,也关注到相关新闻和市场的波动情况,待核实结束后会向投资者进行回复。

另据中国证券报,圆通速递证券部工作人员回应记者称:“已经注意到二级市场的波动,上述传闻与公司无关,公司生产经营一切正常。

]]>
网警依法对南昌一省级银行作出行政处罚 Wed, 22 May 2024 14:11:54 +0800 近日,南昌市红谷滩网安大队在对辖区金融单位开展日常网络安全监督检查过程中,发现南昌一省级银行多个APP未开展安全评估报备,经调查,该企业APP存在未公开收集、使用规则,未明示收集使用个人信息的目的、方式和范围等情况。其收集与提供的服务无关的个人信息等违法行为,违反了《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律和有关规定。

2023年1月11日,红谷滩网安大队依据《中华人民共和国网络安全法》第四十一条第一款、第六十四条第一款规定,对APP的运营者某省级银行责令改正、给予警告并处罚款5万元,对直接负责的主管人员给予警告。涉事企业负责人表示诚恳接受公安机关网安部门的处罚,今后将严格按照相关法律法规要求,积极配合监管,认真履行主体责任。

下一步,红谷滩网安大队将继续加强网络安全、数据安全、个人信息保护等领域执法力度,通过线上巡查、实地检查等多途径、多方式,依法打击侵害公民个人信息等违法犯罪行为。

网警提示

1.不要通过第三方链接或页面直接下载安装一些不明来源的APP。

2.注册、登录APP时应谨慎提交个人敏感信息,必须提供的,请尽量确认其是否有相应的依据。

3.及时注销不再使用的APP账号,如发现APP未提供注销账号功能或注销机制无效,可向有关部门举报。

4.发现APP存在超范围收集个人信息、强制捆绑其他功能、过度索要系统权限、隐私政策不合理等问题,可通过“App个人信息举报”微信公众号举报。

]]>
尴尬!谷歌AI聊天机器人答错问题,股价大跌7.4%,市值蒸发近7000亿 Wed, 22 May 2024 14:11:54 +0800 2月8日晚美股开盘,美股三大指数集体低开,道指跌0.29%,纳指跌0.37%,标普500指数跌0.40%。

谷歌大跌超7%,市值蒸发约1020亿美元(约6932.50亿元人民币)。此前谷歌人工智能聊天机器人Bard在一场发布会上对用户提出的问题给出错误回答。

谷歌聊天机器人Bard答错问题

2月7日,谷歌通过Twitter发布了一个在线短视频广告,推广其旗下Bard。Bard是近日爆火刷屏、给谷歌搜索带来巨大威胁的ChatGPT的竞品。然而,万众瞩目、备受期待的Bard,却出师不利。

谷歌在广告中表示,Bard是一项实验性对话式AI服务,由LaMDA提供支持。Bard使用谷歌的大型语言模型构建,并利用网络信息。谷歌将其聊天机器人描述为“好奇心的发射台”,称它有助于简化复杂的话题。目前,谷歌的这一广告在Twitter上的浏览量已达到100万次。

这家科技巨头在Twitter上发布了一段巴德行动的GIF视频,称这款聊天机器人是“好奇心的发射台”,有助于简化复杂的话题。

有提问问道,“关于詹姆斯·韦伯太空望远镜(JWST),我可以告诉我9岁的孩子它有哪些新发现?”对此,Bard给出了很多答案,其中一个包括,太阳系外行星的第一张照片,是用JWST拍摄的。然而,这个答案是不准确的。根据美国国家航空航天局(NASA),2004年,欧洲南方天文台的甚大望远镜(VLT),拍摄了第一张系外行星照片。

谷歌的新人工智能工具Bard犯了事实性错误,这加剧了人们对相关工具尚未准备好集成到搜索引擎中的担忧。

据《金融时报》报道,谷歌2月6日透露计划推出一款聊天机器人Bard,与OpenAI颇受欢迎的ChatGPT竞争。该公司正寻求在将强大的新语言人工智能引入互联网搜索业务的竞赛中收复失地。

模型对抗

Bard由谷歌对话应用语言模型LaMDA驱动。实际上,这一底层技术已经存在了一段时间,早在2021年,谷歌就已开始进行由LaMDA支持的对话型AI服务开发,但并未广泛为公众所用。

谷歌所研发的LaMDA,是一种基于网络上数十亿词汇进行训练的大型语言模型。它不仅受益于谷歌更强大的计算能力和研发团队,并且谷歌还有能力通过数百万用户的反馈来对LaMDA模型及聊天机器人Bard进行微调。

2022年年底,LaMDA曾一度登上媒体头条。当时,谷歌AI研究员布莱克•雷蒙恩(Blake Lemoine)坚信,LaMDA是“有意识、有灵魂”的,但他的说法在受到广泛批评,最终谷歌驳回他的说法,并让其带薪休假。

实际上,谷歌是最先提出深度学习模型核心算法的企业,其对大语言模型的研究很早就开始了,2018年BERT横空出世。2021年,谷歌又推出了比BERT更强大的MUM。

马萨诸塞大学洛厄尔分校计算机科学教授Jie Wang在此前接受《每日经济新闻》采访时表示,像谷歌这样的大公司会有一定优势,因为他们拥有人力、技术和财力资源。不过,没有一个模型可以在所有方面都擅长。因此,所有公司在市场上有足够的空间。这将是一场新的比赛,尤其是在深度和正确性方面。

ChatGPT的背后,是OpenAI一手打造的GPT-3.5模型。可以说,Bard和ChatGPT的对决,就是LaMDA和GPT-3.5的对决,也是谷歌和OpenAI这两个在大语言模型领域冠绝全球的双雄之间的主战场。媒体评论称,基于LaMDA的聊天机器人Bard将成为谷歌此次的决胜关键。


]]>
勒索抑郁症患者,发起5万次连环网络攻击的黑客,在法国落网 Wed, 22 May 2024 14:11:54 +0800 近日,Julius "Zeekill" Kivimäki因攻击一家心理治疗中心并勒索病人而被捕。然而这只是他数千起网络犯罪行为中的一件。

据报道,2020年10月,该黑客闯入位于赫尔辛基的私人心理治疗中心Vastaamo,窃取了与治疗有关的敏感数据和超过2.2万名患者的财务信息。

由于该医疗中心拒绝支付六位数的赎金,个别病人收到威胁,勒索支付500欧元的赎金,否则他们的私人信息将被曝光。

最终犯罪者将一个包含所有被盗Vastaamo患者记录的大型压缩文件上传到了暗网上。不小心的是在这个大型压缩文件内包含了一份犯罪者的家庭文件夹副本,这也使网警锁定了Kivimäki。

自2022年10月以来该嫌疑人一直否认所有指控并躲避芬兰当局。在逮捕令发出后,他仍在一条推特上继续否认自己参与过任何形式的犯罪活动。

目前Julius “Zeekill” Kivimäki 因被控勒索和敲诈罪被法国当局逮捕。这次逮捕是长期的国际合作和两国警方共享信息的结果。目前对于犯罪嫌疑人何时引渡还不确定,引渡程序的时间取决于诸多因素,因此在目前阶段,何时将嫌疑人带到芬兰会是一个挑战。

曾因超过5W起网络犯罪被定罪

Kivimäki是一个名为Lizard Squad的网络犯罪集团的成员。该组织在2014年底最为活跃,曾参与对PlayStation和Xbox在线游戏服务的DDoS攻击,还曾对一架载有索尼在线娱乐公司总裁约翰-斯梅德利的飞机发出炸弹威胁。

Kivimäki还是个少年时,就参与了一系列高调的网络攻击,并在2013年因5万多起网络犯罪被定罪。

然而,这位17岁的少年没有入狱,仅仅获得到了两年的缓刑。然而这样宽松的判决也引起了网络犯罪领域专家的批评。假设我是另一个黑客组织,看到有人因为超过5万次黑客攻击而仅仅被判处缓刑,这样只能助长网络犯罪的风气。

]]>
外媒:黑客利用向日葵软件漏洞部署远控木马 Wed, 22 May 2024 14:11:54 +0800 2月8日消息,外媒黑客新闻报道称,恶意黑客正在利用向日葵(Sunlogin)软件的已知漏洞来部署Silver C2框架,以实施后续入侵活动。

这一安全事件调查由韩国安全公司AhnLab的安全应急响应中心(ASEC)发布。该中心发现,中国远程桌面控制软件向日葵的安全漏洞已遭到利用,攻击者正借此部署各种恶意载荷。

研究人员表示,“恶意黑客不仅使用了Silver后门,还使用了BYOVD(自带易受攻击驱动程序)来破坏安全产品并安装反向shell。”

攻击者首先利用向日葵v11.0.0.33及更早版本中的两个远程代码执行漏洞(CNVD-2022-03672 和 CNVD-2022-10270)打开局面,然后借此传播Silver或其他恶意软件,例如Gh0st RAT和XMRig加密货币采矿程序。

在相关案例中,恶意黑客据称利用向日葵漏洞安装了PowerShell脚本,该脚本又利用BYOVD技术使得系统中已安装的安全软件失效,最后使用Powercat投放了反向shell。

BYOVD技术滥用了合法但却易受攻击的Windows驱动程序mhyprot2.sys。该驱动程序经过有效证书的签名,可获得更高权限并终止反病毒进程。

值得注意的是,趋势科技此前曾经披露过,有攻击者利用原神冲击(Genshin Impact)游戏的反作弊驱动程序(包括mhyprot2.sys)部署勒索软件。

研究人员指出,“目前还不确定,这次是否出自同一批恶意黑客之手,但几个小时之后,日志显示被攻击系统确实由于向日葵远程代码执行漏洞而被装上了Silver后门。”

从调查结果来看,这批黑客打算利用由Go语言编写的合法渗透测试工具Silver,替代以往的Cobalt Strike和Metasploit。

研究人员总结道,“Silver提供必要的分步功能,例如账户信息窃取、内部网络横移以及企业内网越界,跟Cobalt Strike非常相似。”

]]>
因网络攻击造成近亿元损失,这家半导体厂商股价大跌 Wed, 22 May 2024 14:11:54 +0800 2月8日消息,英国半导体材料厂商摩根先进材料(Morgan Advanced Materials)日前披露,上月发生的网络攻击可能造成高达1200万英镑(约合人民币9799万元)的损失。消息一出,公司股价旋即跳水。

摩根先进材料主要为半导体制造业供应陶瓷与碳部件,是伦敦证券交易所上市的350家最具价值企业之一。他们在今年1月曾宣布,“从企业网络上检测到了未经授权的活动,目前正在处理相关网络安全事件。”

符合勒索软件攻击特征,部分工厂改为手动操作运营

此次事件的性质尚未得到证实,但从监管新闻服务(Regulatory News Service)上发布的投资者公告来看,事件影响部分的描述基本可以断定是勒索软件攻击。

摩根先进材料公司表示,旗下所有制造工厂均在正常运营。“只是在系统恢复期间,部分制造工厂临时转为手动操作流程。”

该公司承认,“经过论证,少数系统已经无法恢复”,应对办法则是引入云端企业资源规划解决方案,也就是利用SaaS产品取代所有内部部署的IT系统。

昨日消息公布后,摩根先进材料的股价立即下跌超5%,收盘时跌幅为4.91%。

该公司宣布,“此次事件造成的额外损失可能达到800万至1200万英镑,其中包括专家咨询费,以及恢复整个摩根集团下众多相关系统的成本。”

摩根先进材料成立于1856年,是英国领先的专业材料制造商之一,主要设计工业部件,以及用于电动汽车、太阳能电池板和半导体制造工艺的各类材料。公司在全球拥有近7800名员工,年收入超过9.5亿英镑(约合人民币77.6亿元)。

该公司警告称,目前已经有多处单位“受到网络安全事件影响,致使生产和运输重启出现了延迟。”再加上处理事件的额外成本,预计公司的利润率将遭受打击。

“虽然今年1月的市场需求依然强劲,但我们在复工期间出现了生产效率低下的情况。根据当前估计,在对2023财年的预期营业利润做出调整之后,结果可能比原本预期低出10%至15%。”

另外一家英国工程陶瓷材料商Vesuvius Plc也在本周一透露,他们正在处理一起“网络事件”。

]]>
时隔近一个月后,LockBit正式宣告攻击了英国皇家邮政 Wed, 22 May 2024 14:11:54 +0800 据BleepingComputer消息,在英国最大的邮政企业皇家邮政(Royal Mail) 遭遇网络攻击近1个月后,LockBit 勒索软件组织正式承认自己是这起网络勒索攻击事件的“始作俑者”。

1月初,英国皇家邮政因这次攻击导致国际邮政业务被迫中断。当时的勒索票据显示,它是由“LockBit Black Ransomware”创建,属于LockBit所采用的新版加密器,包含已被关闭的 BlackMatter 勒索软件的代码和功能。票据还包含多个指向 LockBit 勒索软件操作的 Tor 数据泄漏站点和协商站点的链接,这些线索无不指向攻击者就是 LockBit 。

但LockBit负责对外联络的 LockBitSupport曾在事后表示,他们没有攻击皇家邮政,并称是有其他攻击者使用了他们泄露的构建器实施了这次行动。LockBitSupport没有解释为什么皇家邮政的赎金票据包含指向 LockBit 的 Tor 协商和数据泄漏站点的链接,而不是其他据称使用构建器的攻击者的站点。

不久后,LockBit曾在一个俄罗斯黑客论坛的帖子中证实,旗下某附属组织发动了这次攻击,表示只会在支付赎金后提供解密器并删除从皇家邮政网络窃取的数据。

而随着2月6日(UTC),皇家邮政被列入LockBit数据泄露网站的攻击条目,表示该组织正式宣告对这起攻击事件负责。条目显示,如果不能在 2 月 9 日星期四凌晨 03:42分(UTC)之前缴纳赎金,被盗数据将会公开发布。

在攻击发生后,皇家邮政仍将这起事件模糊地描述为“网络事件”,试图淡化勒索攻击带来的影响,并表示已经恢复了部分受影响的服务。

就在去年11月,皇家邮政也曾因网络故障,导致在线追踪服务中断超过24小时。

]]>
难以置信!两周,微软遭遇两次重大故障 Wed, 22 May 2024 14:11:54 +0800 据微软总部所在地华盛顿州雷德蒙市媒体周一晚间报道,北美及其他地区的用户无法访问微软某些服务,包括 Outlook.com 网络邮件。这一故障一直持续到了周二。

随后,微软在Office.com服务状态页面发布通告:“位于北美地区的用户访问Outlook.com时,可能无法发送、接收或搜索电子邮件。其他功能如 Microsoft Teams 等服务所使用的日历也会受到影响。”

众包网站和服务中断报告的Downdetector网站显示,从凌晨 3 点 24 分(UTC)开始,用户报告 Outlook 问题的数量激增。

这次故障似乎只影响到微软的消费者类型服务。Outlook.com是其免费的网络邮件服务,以前称为Hotmail,与Outlook for Web和OWA不同,后者是企业型网络邮件服务。

微软表示,Microsoft Teams 等其他服务使用的 Outlook.com 功能(例如日历 API)也受到影响。这似乎只是对其消费者版本的 Teams 的引用。

微软上一次遭受重大故障是在13天前,当时其内部团队进行的广域网络路由变更导致全球微软365中断,许多Azure云服务变得无法访问,包括Outlook、Microsoft Teams、SharePoint Online、OneDrive for Business等。

Outlook的访问和服务问题

微软周二凌晨4点04分(UTC)首次确认其最新的故障,20分钟后发推文表示“正在调查Outlook的访问和服务问题"。

此后不久,微软表示此次故障与最近更改的服务器有关,并开始有针对性地重新启动基础设施中受最近变化影响的部分,以尝试解决这个问题。

微软在上午6点46分(UTC)发布推文表示目标资源正在取得进展,一些环境得到了改善,并正在寻找其他方式以加快解决速度。

此次故障不仅涉及北美的基础设施,在全球范围内仍然可以看到中断现象。对此,微软在报告中解释道:“由于北美基础设施的受影响部分,北美以外其他地区的用户可能会经历一些残余的影响”。

随后,随着微软继续重新启动更多系统,一些受影响地区的用户逐渐得到改善。"

截至上午9:37分(UTC),微软报告称,服务尚未完全恢复。“我们正在对受影响的基础设施的一个子集应用有针对性的缓解措施,并验证它已经减轻了影响。我们还在进行流量优化工作,以减轻用户的影响,并加快恢复”。

服务恢复

周二晚些时候,微软报告称,在问题开始约12小时后,问题已基本得到解决。微软说:“我们可以从遥测数据中看到,大部分影响已经得到解决,服务可用性达到99.9%。我们正在继续监测环境,并对显示有残留影响的后端邮箱组件进行有针对性的改善,以确保所有用户恢复正常使用。”

]]>
两男子开发取不出钱的“贷款APP”骗取注册费、倒卖信息获利超460万元! Wed, 22 May 2024 14:11:54 +0800 “在APP平台缴纳39元会员费,就可贷款10万元?”90后的冯某、潘某本是大学同窗好友,毕业后又同在一家科技公司做起了“码农”,从事编程开发APP。然而二人却在工作中不满足于自己的本职工作,辞去工作后自主创业,走上了开发APP诈骗的不归路。近日,浦东警方成功破获一起电信网络诈骗案,涉案人员均因涉嫌诈骗罪被警方依法采取刑事强制措施。

取不出钱的贷款APP

2022年10月,浦东公安分局刑侦支队在工作中发现一条线索,手机应用中有一款名为“迅捷易借”的APP,页面显示只要支付39元会员费,成为会员后就能轻松贷款8至10万余元。有市民按提示登记个人信息,之后再缴纳所谓“会员费”,以为这样就能拿到贷款,不料这39元的会员费一去不复返,而且所贷的款项也一直取不出来。

民警也下载这款APP多次操作后发现,该款软件实际没有贷款功能,背后的开发者一心想通过各种套路,骗取被害人的会员费39元与个人信息。浦东公安分局刑侦支队迅速成立专案组,经缜密调查,警方发现该款APP的资金流就位于本地,遂通过资金流等关键线索开展循线追踪,最终锁定幕后的冯某、潘某的经营窝点,并抓获该诈骗APP主要开发者冯某、潘某及后台维护员等11人。

1年生成10万余单充值订单

据犯罪嫌疑人冯某、潘某供述,二人此前在同一家科技公司上班,从事的也是开发APP工作,后因不满足每月固定的收入,便辞职创业,共同组建APP开发公司。二人招募多名技术人员,并开发借款APP,通过虚构放款金额,在网上诱骗有借款需求的人员充值注册。经警方初步查证,在2021年至2022年这一年多时间里,后台涉及充值订单达十万余单,涉案金额达460余万元。

上海市公安局浦东分局刑侦支队四大队大队长邬继青介绍,该APP通过话术包装,诱导需要贷款的受害人充值会员,让他们误以为39元购买的是贷款流程中的各种附加服务。不仅如此,随着专案组不断深挖线索,发现这一APP还为同类APP导流,“在黑灰行业内,他们互为推广渠道,从中获得返利,并辩称这一行为只是赚取广告流量”,邬继青说,这一团伙还将受害人填写的个人信息售卖给贷款公司,这一行为涉嫌侵犯公民个人信息,相关取证调查工作还在进行中。

目前,犯罪嫌疑人冯某、潘某等11名犯罪嫌疑人因涉嫌诈骗罪已被警方依法采取强制措施。

警方提示:不管骗子伪装成什么身份,绕多少圈最终目的都是“转账、汇款”,凡是涉及到钱财问题的信息一定要提高警惕,多加核实确认,切勿轻信他人,以免财产受到损失。一旦发现上当受骗,请及时报警并为警方提供线索。

]]>
技术高管冒充黑客勒索公司,导致市值暴跌40亿美元 Wed, 22 May 2024 14:11:54 +0800 本周四,无线宽带网络设备制造商Ubiquiti Networks前员工尼古拉斯夏普(Nickolas Sharp)在法庭认罪,承认在Ubiquiti担任云计算负责人期间从公司网络中窃取大量机密文件,并在冒充匿名黑客勒索雇主失败后,向媒体举报雇主瞒报安全事件,导致Ubiquiti市值暴跌40亿美元。

美国检察官达米安威廉姆斯表示:“尼古拉斯夏普得到公司信任处理机密信息,但他却监守自盗向公司勒索赎金。”

“更恶劣的是,当夏普没有得到赎金时,他利用媒体发布有关公司瞒报安全事件的虚假新闻进行报复,导致Ubiquiti的市值暴跌超过40亿美元。”

Sharp于2021年12月1日被捕并被控盗窃数据和勒索企图。

(尽管美国司法部的起诉书和此案相关新闻稿中都未指明夏普的雇主是Ubiquiti,但案件细节、夏普的LinkedIn账户信息,都与此前公布的Ubiquiti漏洞信息完全一致。)

“爆料”导致公司市值损失数十亿美元

在被夏普窃取机密数据后,Ubiquiti在2021年1月披露发生数据泄漏安全事件。作为该公司的云计算负责人,夏普假装“努力评估”事件范围并“补救”安全漏洞,同时又冒充匿名黑客向Ubiquiti勒索赎金。

夏普(以匿名黑客身份)要求Ubiquiti支付50个比特币作为赎金(当时价值约190万美元),以换取漏洞信息和被盗文件。

Ubiquiti选择拒绝付款,更改了所有员工访问账户,同时还发现并禁用了其系统的第二个后门,并于1月11日发布了安全漏洞通知。

在敲诈勒索失败后,Sharp伪装成举报人与媒体披露该事件的有关信息,污蔑Ubiquiti淡化掩饰违规事件。结果导致Ubiquiti的股价下跌了近20%,市值损失超过40亿美元。

4月1日,Ubiquiti发布安全声明,承认在1月份的数据泄露事件后遭遇勒索。但夏普向媒体匿名举报Ubiquiti的安全声明隐瞒了大量客户账户遭到泄漏的事实。

夏普还谎称Ubiquiti的日志系统无法验证系统或数据是否被“攻击者”访问过。然而,司法部公布的案件的信息显示,这是夏普自己篡改公司日志系统的结果。

“掉线”暴露真实IP地址

根据起诉书,夏普用自己的云管理员凭证通过SSH从Ubiquiti的AWS基础设施(2020年12月10日)和GitHub平台(2020年12月21日至22日)克隆了数百个存储库,窃取了大量机密文件。

在窃取数据时,夏普使用Surfshark VPN服务隐藏其家庭IP地址,但“不幸”的是,偶尔的网络中断暴露了他的真实IP地址和位置。

为了进一步隐藏恶意活动,夏普还修改了Ubiquiti服务器上的日志保留时间设置和其他文件,试图避免在事件调查期间暴露身份。

“除其他‘清理’手段外,夏普将AWS上的某些日志的保留时间设置为一天,这意味着系统将在一天内删除入侵者的活动证据”法庭文件中写道。

据BleepingComputer报道,美国地区法官凯瑟琳·波尔克·法伊拉(Katherine Polk Failla)将在5月10日宣布判决结果。

如果罪名成立,夏普面临的指控最高可判处37年监禁。

]]>
立即修改密码,KeePass 曝严重漏洞,密码数据库被明文导出 Wed, 22 May 2024 14:11:54 +0800 鉴于各平台对密码的要求越来越复杂,许多用户使用密码管理软件统一存储密码,此举虽然很好帮助用户管理账户信息,但同样意味着一旦此类软件存在安全漏洞,很容易导致机密数据泄露。

近日,Bleeping Computer 网站披露,开源密码管理软件 KeePass 被爆存在严重安全漏洞 CVE-2023-24055,网络攻击者能够利用漏洞在用户毫不知情的情况下,以纯文本形式导出用户整个密码数据库。

不同于 LastPass 、BitwardenKeePass 等云托管的数据库,KeePass 允许用户使用本地存储的数据库来管理密码,并允许用户通过主密码加密数据库,以避免泄漏,这样恶意软件或威胁攻击者就很难访问数据库并自动窃取其中存储的密码。

但 CVE-2023-24055 允许获得目标系统写入权限的威胁攻击者更改 KeePass XML 配置文件并注入恶意触发器,从而将数据库中所有用户名和密码以明文方式导出。

据悉,当目标用户启动 KeePass 并输入主密码以解密数据库时,将触发导出规则,并将数据库内容保存到一个文件中,攻击者可以稍后将其导出到其控制的系统中。值得一提的是,整个数据库导出过程都在系统后台完成,不需要前期交互,不需要受害者输入密码,甚至不会通知受害者,悄悄导出所有数据库中存储的密码信息。

安全研究人员认为 CVE-2023-24055 漏洞爆出可能使威胁攻击者更容易在受损设备上转储和窃取 KeePass 数据库的内容。部分户要求 KeePass 开发团队在黑客“悄悄”导出数据库之前添加确认提示,或者提供一个没有导出功能的应用程序版本。

KeePass 官方表示暂无漏洞修补措施

KeePass 官方声明表示,CVE-2023-24055 漏洞不应该归咎于 KeePass,并且这一漏洞不是其所能够解决的,有能力修改写入权限的网络攻击者完全可以进行更强大的网络攻击。

当用户常规安装 KeePass 时,一旦攻击者具有写入权限,就可以执行各种命令,开展攻击活动,就算用户运行可移植版,威胁攻击者也可以用恶意软件替换 KeePass 可执行文件。

上述两种情况表明,对 KeePass 配置文件进行写入意味着攻击者实际上可以执行比修改配置文件更强大的攻击(这些攻击最终也会影响 KeePass,而不受配置文件保护)。因此,KeePass 建议用户只有保持环境安全(使用防病毒软件、防火墙、不打开未知电子邮件附件等),才能防止此类攻击。

最后,KeePass 开发人员指出,虽然用户无法获得更新版本,但能够通过系统管理员身份登录并创建强制配置文件来保护数据库。

]]>
日产北美公司再次曝出数据泄露严重事件 Wed, 22 May 2024 14:11:54 +0800 日产公司近日再次曝出数据泄露严重事件。BleepingComputer报道,日产(NISSAN)北美公司本周二开始发送数据泄露通知,通知客户其第三方服务提供商发生泄露客户信息的安全事件。

第三方泄露数据

该安全事件于2023年1月16日报告给缅因州总检察长办公室,日产在报告中透露,有17998名客户受到该违规行为的影响。

在通知中,日产声称它于2022年6月21日收到了一个软件开发供应商的数据泄露通知。

该软件开发商从日产接收了客户数据,用于为汽车制造商开发和测试软件解决方案,由于数据库配置不当,无意中暴露了这些数据。

在得知安全事件后,日产确保暴露的数据库已得到保护,并启动了内部调查。2022年9月26日,日产证实未经授权的人可能访问了这些数据。

“在2022年9月26日的调查中,我们确定此事件可能导致未经授权访问或获取我们的数据,包括属于日产客户的一些个人信息,”日产通知中写道:“具体来说,在软件测试期间嵌入代码中的数据无意中暂时存储在公共云存储库中。公开暴露的数据包括全名、出生日期和NMAC帐号(日产财务账户)。”最后,该通知澄清说,暴露的信息不包括信用卡详细信息或社会安全号码。

日产表示,到目前为止,它还没有看到任何证据表明这些信息被滥用,并且出于谨慎考虑发出通知。

第三方泄露数据

早在2021年1月,日产北美公司曾经历了类似的数据泄露事件,Git服务器使用默认访问凭据在线暴露,导致该公司的多个存储库被公开泄露。

该事件导致20GB数据泄露,包括移动应用程序和内部工具源代码、市场研究和客户获取数据、诊断和NissanConnect服务详细信息。

2022年10月,丰田也经历了类似的数据安全事件,暴露296019名客户的个人信息。事件原因是包含丰田公司数据库访问密钥的GitHub存储库对公众开放了长达五年之久。

此外,2023年1月初包括日产、本田、讴歌、宝马、奔驰在内的近20家知名车企的在线服务曝出API安全漏洞,可能导致帐户接管和大量车主敏感信息暴露。

]]>
又一国公民个人信息全部泄露,涉事黑客还曾贩卖我国数据 Wed, 22 May 2024 14:11:54 +0800 1月29日消息,2022年11月底,荷兰阿姆斯特丹警方逮捕了一名25岁男子,此人来自荷兰阿尔梅勒,涉嫌窃取或交易了全球数千万民众的个人数据。

2020年5月,奥地利联邦刑事调查局发现,该男子在网络犯罪论坛上发布数据集,随后对其活动展开了调查。

此人发布的数据集中,包含一个来自Geburen Info Service GmbH公司(简称GIS)的数百万条地址与个人信息数据集,总计近900万条数据,具体涉及用户的全名、性别、完整地址、出生日期等。

奥地利总人口约910万。GIS是一家负责为奥地利国内电视、收音机等广电接收设备建立归档、记录民众收看收听费用的公司。

奥地利联邦刑事调查局购买了该数据集,确认数据真实,随后调查了资金流向和用于宣传被盗数据的论坛。警方成功追踪到数据集卖家所使用的IP地址,并将此人与阿姆斯特丹的某处住宅地址关联了起来。

2022年5月,阿姆斯特丹公共检察署要求当地检察署接管对嫌疑人的刑事起诉。阿姆斯特丹警方根据奥地利警方提供的数据自行展开调查,并确定嫌疑人曾长期交易个人及医疗数据。

公共检察署发布的新闻稿中提到,“有强烈迹象表明,嫌疑人曾使用掌握的用户名进行操作,长期通过该用户名在论坛上发布患者病历数据等非公开个人数据,并收取费用。其中不仅涉及奥地利民众的敏感数据,也影响到来自荷兰、泰国、哥伦比亚、中国和英国等国的受害者。一经发现,该网络犯罪论坛已被外国警方和调查部门关停下线。”

这名嫌疑人面临四项指控:

拥有网络钓鱼工具包与黑客工具;

盗窃数据并交易非公开数据;

入侵计算机;

存在惯常洗钱。

所谓惯常洗钱,是指嫌疑人曾在2022年进行了价值总计45万欧元的加密货币交易。

“2022年12月5日,阿姆斯特丹地区法院议事厅将审前拘留时间延长了90天。”新闻稿称,“目前,金融与数字方面的调查正在全力推进。”

]]>
全球最大船级社遭勒索攻击,千艘船舶运营受影响 Wed, 22 May 2024 14:11:54 +0800 1月20日消息,由于重要船舶软件供应商遭遇勒索软件攻击,已有约1000艘船舶受到影响。

全球最大海事组织之一DNV披露,其于1月7日晚间遭勒索软件攻击, ShipManager软件系统相关的IT服务器已经被迫关闭。

DNV总部位于挪威首都奥斯陆。ShipManager是一套全面的船舶船队管理系统,支持对船舶与船队在技术、运营和合规方面的管理。

这份声明于上周一发布,其中写道,“DNV正与总计70家受到影响的客户开展每日沟通,向其更新正在进行的取证调查结果。约1000艘船舶受到影响。”

“所有用户仍可使用ShipManager软件的船载离线功能,并无迹象表明DNV有任何其他软件或数据受到影响。服务器中断也不会影响到DNV的任何其他服务。”

DNV表示,正在与挪威警方和IT安全公司合作应对此次事件。

DNV是世界上最大的船级社,即管理船舶与海上结构物建造与运营技术认证的组织。DNV目前为超过13175艘船舶及移动海上装置提供服务,2021年收入超20亿美元。

航运业网络威胁态势严峻

针对DNV的攻击成为影响航运业的又一起恶意事件。两周之前,LockBit勒索软件团伙曾对里斯本港发动攻击。在整个2022年,欧洲各港口也先后遭遇一系列勒索软件侵袭。

2022年2月,德国物流集团Marquard & Bahls旗下石油公司Oiltanking和Mabanaft遭受网络攻击,致使其装卸系统瘫痪。Oiltanking公司将攻击定性为“不可抗力”。

同年11月,美国国土安全部长Alejandro Mayorkas向国会作证,称网络攻击已成美国港口面临的最大威胁。

Mayorkas表示,“我们正在提高港口运营的技术水平,这就是为什么不仅海关和边境保护局在关注网络安全,美国海岸警卫队也同样给予关注。”

“对我们的港口来说,网络安全已经成为一股重大威胁。我们当然要集中精力抵御这种威胁并加强自身网络安全。”

]]>
张忠谋、林志玲、徐若瑄等多位台湾名人个人信息疑外泄 Wed, 22 May 2024 14:11:54 +0800 近日,台湾中华航空股份有限公司(下简称“华航”)被发现疑似遭遇黑客攻击,导致大批旅客资料外泄到互联网上,其中包括赖清德、张忠谋、林志玲等数十位政商名人、知名艺人。

据网传图片显示,境外某黑客论坛分别在1月4日和1月11日泄露了数十名疑似“华航”旅客的资料,其中包括民进党当局副领导人赖清德、台积电创办人张忠谋、台当局交通部门负责人王国材、台当局外事部门负责人吴钊燮,以及艺人林志玲、徐若瑄等。泄露的信息涵盖了旅客姓名、生日、邮箱地址和手机号码等。

1月4日首次疑似旅客资料泄露事件发生后,1月7日,“华航”发表声明称收到匿名网络勒索邮件,并在第一时间启动了应急防御措施并报警。“华航”称没有出现旅客资料遭遇不当使用的情况。1月11日,疑似泄露资料的黑客再次公布了一批旅客资料。黑客称,由于“华航”迟迟不承认旅客资料泄露,将持续公布黑客入侵路径、“华航”系统清单以及300万会员的资料库等。

1月14日,“华航”发布声明称,经过清查,目前网上流传的疑似泄露的旅客资料与该公司的资料库不尽相符。“华航”再次强烈谴责非法行为,将全力配合警方进行调查。“华航”还提醒旅客定期修改密码,保护好个人资料安全。

台湾民用航空管理部门也表示,已要求“华航”尽快说明事件始末并检查系统安全,确保防御措施正常工作。该部门还要求“华航”落实旅客个人资料保护措施,维护旅客权益。针对事件的前因后果和善后措施,台湾民用航空管理部门还要求“华航”立即提出改善报告。

]]>
旧金山湾区地铁遭勒索攻击,轨交业已成黑客攻击重灾区 Wed, 22 May 2024 14:11:54 +0800 1月10日消息,在被勒索软件团伙公开列入“已勒索”名单后,旧金山湾区城轨交通系统(BART)开始对这起疑似勒索事件开展调查。

作为美国第五繁忙的重轨快速交通系统,BART在1月6日被列入Vice Society勒索软件团伙的泄密网站上。BART首席通讯官Alicia Trost表示,他们正在调查该团伙窃取和发布的数据。

她称,“需要明确的是,BART的服务或内部业务系统并未受到影响。与其他政府机构一样,我们正采取一切必要的防范措施加以应对。”

轨交业已成为黑客攻击重灾区

近年来,轨道交通行业已成网络攻击重灾区。2021年4月,作为全球最大交通系统之一,纽约市大都会运输署遭到某个黑客团伙攻击。

虽然这次攻击并未造成任何损害,也没有令乘客身陷险境,但市政官员在报告中仍发出警告,称攻击者可能已经触及关键系统、也许在其中埋设了后门。

同月,圣克拉丽塔谷运输署遭到勒索软件攻击;2020年,宾夕法尼亚州东南部运输署也受到勒索软件侵扰。

就在上周,全球最大铁路和机车企业之一Wabtec公布消息,称去年夏季的疑似勒索软件攻击已经引发一起涉及大量员工的数据泄露。

美国国土安全部长Alejandro Mayorkas去年宣布了针对铁路运营商的网络安全新规,要求各运营商强制披露黑客攻击、制定网络攻击恢复计划,并任命一位首席网络官员。该规定已经于去年12月到期。

Vice Society勒索软件团伙凭借对大学及K-12基础教育学校的攻击活动震动全世界,其中包括美国第二大公立学区和英国的多所学校。

FBI、网络安全和基础设施安全局(CISA)等多家机构曾在去年9月的警告中指出,Vice Society在过去一年内“以超高比例”攻击了数十家教育机构,并在2022年秋季进一步上调了攻击级别。

但根据微软去年10月发布的一份报告,该团伙也“仍在关注安全控制力较弱、易于入侵且支付赎金可能性较高的组织”。

]]>
瑞士军队安全通信软件曝出大量严重漏洞 Wed, 22 May 2024 14:11:54 +0800 该大学的应用密码学小组本周发布了研究论文(链接在文末),详细介绍了Threema自主开发的密码协议中的七个严重漏洞。利用这些漏洞,不法分子将能克隆帐户并读取用户消息,窃取私钥和联系人,甚至出于勒索目的炮制有害资料。

Threema总部位于瑞士,数据中心位于阿尔卑斯山地区,自称是比WhatsApp(编者:已经被瑞士军队禁用)更安全的非美国加密通信产品的替代品。Threema没有Signal或Telegram流行,但是对于瑞士军队这样的客户来说,小众的Threema似乎更安全,因为流行消息应用往往无法避免海外政府的窥探。

Threema目前拥有超过1000万用户和7000名本地客户——包括德国总理奥拉夫舒尔茨。

Threema在博客文章中淡化了研究者发现的漏洞,声称这些漏洞是在Threema停用的协议中发现的。“虽然这些漏洞从理论上讲可能很有趣,但它们没有对现实世界产生任何重大影响”。

以下是Threema的声明:

去年,苏黎世联邦理工学院计算机科学系的一名学生撰写了关于Threema通信协议的硕士论文。该大学现已将他的作品作为论文/预印本发表。但是,该论文基于不再使用的旧协议。调查结果不适用于Threema当前的通信协议“Ibex”,或者已经得到解决。他们都没有对现实世界产生过任何重大影响。

披露Threema漏洞的三位研究人员——计算机科学教授Kenneth Paterson和博士生Matteo Scarlata与Kien Tuong Truong在一个关于Threema安全漏洞的网站上指出,他们最初是在2022年10月向Threema披露了他们的发现,后者同意研究者在1月9日公开披露。

Threema于2022年11月下旬发布了其Ibex协议,研究人员表示尚未审核这一在漏洞发现后发布的新协议。不过研究人员表示“相信所有漏洞都已通过Threema最近的补丁得到缓解”。

在给The Register的电子邮件中,Paterson指出,Threema声明中的所谓“旧协议”,其实就是ibex协议发布之前使用的协议。

他补充说,Threema的声明“极具误导性,这令人非常失望。”

虽然安全研究人员承认这些漏洞不再对Threema客户构成威胁,但他们的发现仍然凸显了评估“自主开发加密协议安全声明”的困难性。

“理想情况下,任何使用新型加密协议的应用程序都应该进行正式的安全分析(以安全证明的形式),以提供强大的安全保证,”研究者补充道:“这样的分析有助于降低类似Threema这样的软件中暗藏更严重漏洞的风险。”

]]>
网络攻击致使英国邮政巨头中断国际寄件服务 Wed, 22 May 2024 14:11:54 +0800 1月12日消息,因“网络事件”导致的“严重服务中断”,英国邮件递送服务巨头皇家邮政(Royal Mail)宣布暂停国际运输服务。

英国本土的货物配送服务并未受到影响,但该公司已向客户建议,在此期间暂缓向海外寄送邮件,相关服务将在问题解决后恢复。

皇家邮政发言人向媒体表示,“事件是在昨天被发现的,但英国国内的邮件不受影响。”

在一份声明中,皇家邮政表示已在配送的邮件可能出现延误,但Parcelforce Worldwide(全球包裹力量)服务并未中断。

皇家邮政表示,“我们的进口业务将继续提供全面服务,只是会出现一些小延误。Parcelforce Wordlwide出口服务仍面向各国际目的地提供服务,但客户可能会遇到一、两天延迟。”

“我们立即对事件展开调查,并与外部专家合作。此次事件已经上报给监管机构和相关安全部门。”

英国国家网络安全中心(NCSC)发言人表示,该中心“已知悉此次影响皇家邮政集团公司的事件,且正在与该公司及国家犯罪局合作以充分了解其影响。”

皇家邮政周三也提到,“我们的团队正全天候工作,努力解决此次中断问题。一旦获得更多信息,我们将尽快发布通告。”

皇家邮政IT设施事故频发

在此之前,2022年11月该公司也曾发生一次中断,导致邮件跟踪服务瘫痪超24个小时。

当时的中断影响到Track and Trace网站,导致英国居民只能通过皇家邮政的应用来跟踪包裹、信函和邮件递送情况。

媒体还发现,皇家邮政的Click & Drop网站也遇到了付款故障,无论使用哪种支付方式(信用卡、借记卡、PayPal等)尝试多少次均无法正常操作。

因为无法在线支付配送费,客户们也就无法在家中打印邮资标签。

最近一段时间,这家邮件递送业巨头可谓流年不利。先是被卷入与英国通讯职工联合会的谈判以及计划中的全国大罢工,此次又突然曝出IT故障问题。

]]>
突破太空网络安全!航天器关键技术爆严重漏洞 Wed, 22 May 2024 14:11:54 +0800 当美国航空航天局(NASA)需要两部在轨航天器保持相对静止并完成对接时,时机的把握至关重要。二者的运行必须彼此精确同步,才能防止发生灾难性故障。这意味着负责控制其推进器的计算机网络绝不能有哪怕一瞬间的中断,必须保证每次都能按时交付关于何时/如何移动的明确指示。

宾夕法尼亚大学工程学院计算机与信息科学系副教授Linh Thi Xuan Phan与密歇根大学、NASA的一组研究人员合作,发现了该系统及其他安全关键系统所使用的网络技术中,存在一个严重漏洞“PCspooF”。

这种网络技术被称为“时间触发以太网”,简称TTE,已在航空、航天和重工业领域应用了十多年。在这类场景下,会有多种不同类型的信息持续在计算机网络中传播,但并非所有信息都需要相同级别的计时精度。时间触发以太网能确保最关键的信号获得优先权,因此无需单独部署专用的网络硬件。

对于NASA来说,通过时间触发以太网在同一物理网络上传输多种类型的信号显得尤其重要,因为它必须精打细算航天器的每一克重量。而此次研究结果表明,时间触发以太网的安全保证效果可能因电磁干扰而受到损害。对高优先级信号的计时干扰,足以导致模拟对接程序出现严重故障。

图片

图:PCspooF漏洞攻击过程概述

Phan教授与密歇根大学的Andrew Loveless、Ronald Dreslinski以及Baris Kasikci,共同在2023年IEEE安全与隐私研讨会的论文集上发表了这一发现。

在NASA约翰逊航天中心工作期间,Loveless开始利用模拟数据调查这一潜在安全漏洞。他和密歇根大学的同事们还聘请网络物理系统安全专家Phan来研究时间触发以太网的网络硬件的自身缺陷。

结果表明,低优先级信号的发送方式可以使负责消息传输的以太网线缆产生电磁干扰,进而让恶意消息顺利通过原本会阻止它们的交换机。

Phan表示,“时间触发以太网技术在关键系统中被广泛应用,因为能保证两种类型的信号不会相互干扰。但如果这一假设并不可靠,那么以此为基础建立的一切都会土崩瓦解。”

该团队曾在2021年私下向使用时间触发以太网的主要企业、组织以及设备制造商披露了研究发现和缓解建议,包括将铜缆替换为光纤及其他光频隔离器。

Loveless表示,“各方都非常愿意采取缓解措施。据我们所知,该隐患尚未对任何相关方构成实际安全威胁。我们对行业和政府的积极反应感到欣慰。”

]]>
英国多所学校数据遭大规模泄露,教育行业成勒索软件的主目标 Wed, 22 May 2024 14:11:54 +0800 在 2022 年发生高校攻击事件后,来自 14 所英国学校的数据被黑客在线泄露。泄露的文件包括学生的 SEN 信息、学生护照扫描件、员工工资表和合同细节。在被攻击的学校拒绝支付赎金要求后,信息被泄露。

据报,攻击和泄露事件是由黑客组织 Vice Society 实施的,该组织针对英国和美国的教育机构进行了多次勒索攻击。

2022 年 10 月,洛杉矶联合学区 (LAUSD)警告称,Vice Society已开始发布从该机构窃取的数据。此前,LAUSD 宣布不会向勒索者付款。

受影响的 14 所英国学校中的许多学校已向家长、学生和教职员工提供了有关该事件的最新信息。

受新泄漏影响的学校有:圣海伦斯的卡梅尔学院;达勒姆约翰斯顿综合学校;Frances King 英语学校,伦敦/都柏林;盖特威学院,汉密尔顿,莱斯特;圣家 RC + CE 学院,海伍德;兰普顿学校,豪恩斯洛,伦敦;莫斯本联合会,伦敦;皮尔顿社区学院,巴恩斯特普尔;塞缪尔莱德学院,圣奥尔本斯;东方和非洲研究学院,伦敦;泰晤士河畔森伯里圣保罗天主教学院;斯托克布里奇测试谷学校;德蒙福德学校,伊夫舍姆。

在过去几年中,教育行业一直是勒索软件的主要目标。Sophos 于 2022 年 7 月发布的一份报告发现,56% 的低等教育机构和 64% 的高等教育机构在过去一年受到了勒索软件的攻击。

由于缺乏网络安全投资以及连接到其系统的大量设备等因素,学校和大学已经被网络犯罪分子视为“软目标” ,使敏感的个人和研究数据面临风险。

Absolute Software 欧洲、中东和非洲地区副总裁 Achi Lewis 评论说:“由于学校和大学系统中存储了大量敏感数据,教育部门是恶意网络犯罪分子有利可图的目标。因此,勒索软件攻击是一个必然问题,而不是偶然问题,这就要求教育机构要准备好预防和应对这些攻击,否则他们就有文件被盗和泄露的风险。”

BlackBerry UKI 和新兴市场副总裁 Keiron Holyome 强调了加强教育部门端点安全以应对勒索软件威胁的重要性。“为确保教育的连续性,尤其是在远程学习的背景下,我们鼓励政府投资教育部门的网络安全。

]]>
全球超级港口遭勒索攻击后网络瘫痪 Wed, 22 May 2024 14:11:54 +0800 全球超级港口之一、葡萄牙最大港口里斯本港当地官员确认,由于遭受网络攻击,港口网站一周后仍无法正常访问。大约在同一时间,LockBit团伙将里斯本港列入其网站已勒索名单,声称发动了勒索软件攻击。

新闻报道称,里斯本港务局(APL)证实,本次攻击并未损害其关键基础设施的运营。攻击发生后,港务局已将事件上报至国家网络安全中心和司法警察局。

港口官员在采访中表示,“针对此类事件规划的各项安全协议和响应措施都已迅速启动。里斯本港务局与各主管部门长期保持密切合作,共同保障系统和相关数据的安全。”

LockBit勒索软件团伙声称,窃取到了财务报告、审计、预算、合同、货物信息、船舶日志、船员详细信息、客户PII(个人身份信息)、港口文件、往来邮件等数据。该团伙还公布了被盗数据样本,但披露数据的合法性无法得到验证和证实。

LockBit威胁称,若里斯本港不满足赎金要求,他们将在2023年1月18日公布入侵期间窃取到的所有数据。该团伙提出的赎金数额为150万美元,并表示受害者可以先支付1000美元,将数据发布时间延后24小时。

年底勒索软件团伙愈加猖獗

上个月,LockBit勒索软件团伙袭击了美国加利福尼亚州财政部,并窃取到76 Gb数据。该团伙威胁称,如果受害者不在2022年12月24日前支付赎金,将泄露窃取数据内容。根据声明,LockBit在此次攻击中窃取到数据库、机密数据、财务文件、认证、法庭与性诉讼资料、IT文件等信息。

加州财政部在声明中确认了此次攻击事件,称“加利福尼亚州网络安全集成中心(Cal-CSIC)正积极应对涉及州财政部的网络安全事件。通过与州及联邦安全合作伙伴共同协调,已主动发现了入侵行为。在识别出威胁后,已迅速部署数字安全与在线威胁搜寻专家以评估入侵程度,同时检查、遏制和缓解未来漏洞。”

以往,黑客团伙曾多次在勒索要求未得到满足下公开数据内容。2022年10月,新闻报道称Hive勒索软件的勒索即服务(RaaS)团伙就泄露了从印度塔塔电力能源公司窃取到的数据。两周前,该黑客团伙对外声称对塔塔电力网络攻击事件负责,塔塔电力也做出证实。

已有研究表明,LockBit 3.0似乎采用(或大量借鉴)了BlackMatter勒索软件家族提出的概念和技术。研究人员从二者间发现了诸多相似之处,有强烈迹象表明LockBit 3.0复用了BlackMatter的代码。

过去一年全球关基设施屡遭勒索攻击蹂躏

里斯本港勒索攻击事件是针对欧洲港口一系列严重网络攻击的又一起事件。

2022年2月,网络攻击影响到整个欧洲的多家石油运输和储存企业,当局确认这波大规模网络攻击还波及到比利时、德国和荷兰的港口设施。比利时SEA-Invest和荷兰Evos的IT系统遭到破坏;与此同时,有未经证实的报道称,BlackCat勒索软件可能已破坏了德国石油供应商Oiltanking GmbH Group和Mabanaft Group的系统。

2022年11月,美国国土安全部部长Alejandro N. Mayorkas在参议院国土安全和政府事务委员会就“对国土的威胁”问题作证时称,截至2022年2月,网络安全与基础设施安全局、联邦调查局和国家安全局发现,美国16大关键基础设施行业中有14个都曾遭受勒索软件事件影响。受害者在2021年上半年共支付约5.9亿美元赎金,远高于2020年全年的4.16亿美元。

Mayorkas表示,“我们认为对于勒索软件事件的报告仍严重不足。根据评估,我们认为针对美国网络的勒索软件攻击在短期和长期内还将继续增加,因为网络犯罪分子已经建立起有效的商业模式,能够提高攻击活动的经济收益、成功几率和匿名性。”

近年来,勒索攻击事件在美国各州、地方、部落和领土(SLTT)政府机构及关键基础设施组织层面已愈发普遍。2020年,全美勒索攻击提出的赎金总额超过14亿美元。

]]>
又吃巨额罚单!Meta因违反欧盟数据隐私规定被罚 3.9 亿欧元 Wed, 22 May 2024 14:11:54 +0800 据BleepingComputer消息,当地时间1月4日,爱尔兰数据保护委员会 (DPC) 以Meta强迫 Facebook 和 Instagram 用户接受定向投放的个性化广告,违反欧盟《通用数据保护条例》为由,向Meta开出3.9亿欧元巨额罚单。

《通用数据保护条例》 (GDPR) 于2018年5月出台,旨在更好地保障用户隐私。但Meta被指通过与用户签订“用户协议”来绕过条例监管,一旦签订协议即代表用户同意平台处理个人数据以提供有针对性的广告投放,而不是单独询问用户“是否接受”。

爱尔兰数据保护委员会开出的3.9亿欧元罚单中, 2.1 亿欧元用于处罚Facebook,1.8亿用于处罚Instagram。爱尔兰数据保护委员会还勒令 Meta 在未来三个月内进行整改,使数据处理行为符合条例规定。

Meta将对处罚结果提出上诉

当日,Meta已对这一处罚结果发表声明,称并不认同这一裁决,将进行上诉。Meta表示在欧盟地区推出的个性化广告完全符合《通用数据保护条例》相关规定,并对爱尔兰数据保护委员会“缺乏监管透明度”而表示遗憾。

无论结果如何,这已经是短短三个月内Meta被爱尔兰数据保护委员“二度施以重罚”。在刚刚过去的2022年11月,因Facebook泄露5.33亿用户隐私数据,Meta被处以2.65 亿欧元罚款。

截至目前,爱尔兰数据保护委员会已累计对Meta开出了13亿欧元罚单,同时还有针对该公司的其他11项调查正在进行中。

]]>
又遭信息泄露?丰田印度就可能的客户数据泄露发出警告 Wed, 22 May 2024 14:11:54 +0800 1 月 2 日消息,据《印度斯坦时报》报道,丰田印度公司当地时间 2023 年 1 月 1 日表示,已将丰田基洛斯卡汽车公司(Toyota Kirloskar Motor)数据泄露一事通知印度有关部门。该公司为丰田与印度基洛斯卡集团(Kirloskar Group)的合资企业。

TKM 公司在一份电子邮件声明中表示:“接到公司一家服务提供商通知,部分客户的个人信息可能已在互联网上泄露。”该声明没有透露数据泄露的规模或受影响的客户数量。

这并非是丰田首次泄露用户信息。2022 年 10 月,丰田汽车官方表示,使用其 T-connect 服务的约 29.6 万名客户的个人信息可能已被泄露,包括电子邮箱地址和客户编号等,用户可能会收到垃圾邮件、网络钓鱼邮件等,但其它敏感信息如姓名、电话号码和信用卡信息均未受到影响。随后,丰田汽车就此事向受影响的客户发送电子道歉邮件,同时建立了网站表单,客户可以查看自己的电子邮箱是否在可能被泄露的范围内。丰田汽车还设立了专门的呼叫中心,以回答客户针对信息泄露的相关问题。

]]>
美国路易斯安那州医院遭勒索攻击,27万名患者信息泄露 Wed, 22 May 2024 14:11:54 +0800 据BleepingComputer 12月28日消息,位于美国路易斯安那州的查尔斯湖纪念医院 (LCMHS) 发出通告称,该院近期发生了一起网络勒索攻击事件,近27万名患者信息遭到泄露。

根据 LCMHS 网站发布的公告,数据泄露发生在 2022 年 10 月 21 日,当时安全团队检测到了计算机网络上存在异常活动。在10 月 25 日结束的一项内部调查显示,攻击者获得了对 LCMHS 网络的未授权访问权限,并窃取了敏感文件。这些文件包含患者信息,如患者姓名、出生日期、住址、病例、患者识别号、医保信息、支付信息等。

LCMHS 向美国卫生与公共服务部 (HHS) 报告了这一事件。当局公布的报告称,有 269752 名患者受到该事件的影响。

Hive 还发布了据称在破坏 LCMHS 系统后被盗的文件,但BleepingComputer目前还无法确认这些文件是否真实。

]]>
加拿大铜矿场遭勒索软件攻击被迫关闭 Wed, 22 May 2024 14:11:54 +0800 加拿大一家主要铜矿场上周边到勒索软件攻击,被迫以手动作业,并关闭采矿设备。

加拿大铜山采矿公司(Copper Mountain Mining Corporation)表示,去年12月27日该公司IT系统和公司办公室遭到勒索软件攻击。该公司为了降低损害而将运行系统独立开来、转为手动操作,并预防性关闭矿场以判断控制系统受到的影响。

铜山采矿公司已经通报主管机关,合作的外部安全厂商及其IT部门正在评估风险,也已增加防范措施,表示攻击没有造成安全事件或环境影响。

这家采矿企业目前正在调查攻击来源。安全媒体BleepingComputer报道,安全企业KELA发现,事件发生前约2周,有人在黑客论坛上销售这家公司员工的访问凭证,极可能直接或间接造成攻击事件的发生。

]]>
小心踩雷掉坑!一女子称点击爱奇艺广告买券被骗 Wed, 22 May 2024 14:11:54 +0800 现如今,大家的手机里都会下载各种视频App来浏览视频。在观看视频的时候,界面会时不时跳出一些广告,而这些广告中有时会出现一些促销、优惠活动等信息。近日,CNMO了解到,一女子表示自己点击爱奇艺广告买券被骗。

据了解,在山东青岛,一位孙女士通过“爱奇艺”广告页面得知可以用29.9元购买100元的话费。不过想要获得该券的用户需要下载“优品优驯App使用。为了获得该优惠券,孙女士搜索了这款名为“优品优驯的App,但是结果却出乎意料。

12月31日,孙女士向媒体表示,自己付款后根本找不到该App。这也就是说孙女士买的“100元话费券”无法使用。对此,孙女士表示,“想让更多人知道,这是个骗子”,希望以此提醒网友避免“踩雷”。

据了解,孙女士付款的商户全称为廊坊创景科技有限公司。相关相信显示,该涉事公司成立于2022年9月15日,地址位于河北省廊坊市固安县,属于软件和信息技术服务业。该公司的经营范围包括网络技术开发、技术咨询、技术服务、技术转让;通信设备、计算机软硬件的技术开发;互联网数据服务;平面设计;图文设计制作;广告设计、代理;广告发布;广告制作等。

]]>
勒索软件团伙良心发现?为儿童医院攻击事件道歉 并提供免费解密工具 Wed, 22 May 2024 14:11:54 +0800 1 月 3 日消息,勒索软件是一种人人喊打的工具,不法分子一般会通过锁定用户的计算机和文件来要求支付巨额赎金,然而你相信勒索软件团伙也是有原则的吗?


世界上最臭名昭著的勒索软件团伙之一 LockBit 在声称其合作伙伴之一对加拿大最大的儿科医院的网络攻击负责后,发表了罕见的道歉。

2022 年 12 月 18 日,多伦多儿童医院(SickKids)遭到勒索软件攻击,导致该机构无法访问许多关键系统。该事件导致患者等待时间增加。截至 12 月 29 日,SickKids 表示已重新获得近 50% 的优先系统的访问,包括导致诊断和治疗延误的系统。

上周末,安全研究员 Dominic Alvieri 发现 LockBit 团伙为参与该事件而道歉。该组织表示将向 SickKids 提供免费解密工具,并以违反该团伙规则为由屏蔽了实施攻击的“伙伴”。该组织声称禁止附属机构将攻击可能导致某人死亡的“医疗机构”作为目标。

多伦多儿童医院(SickKids)官推承认了 LockBit 的这一声明,并表示正在与外部安全专家合作“验证和评估解密工具的使用”。


]]>
揭秘:伊朗黑客曾入侵以色列敏感区域摄像头,后者国安部门未做处置 Wed, 22 May 2024 14:11:54 +0800 12月26日消息,以色列时报报道称,以色列国家安全机构一年前就已发现,有伊朗黑客团伙控制了以色列数十台安保摄像头,但并未采取任何阻止措施。直到上周一晚间有报道称,该黑客团伙发布了来自以色列各地的多段视频,包括去年一处武器制造设施以及上月发生在耶路撒冷的恐怖袭击的监控画面。

此次播报为前期预告,完整调查报道在次日(12月20日)正式播出。以色列公共广播公司Kan称,尽管以色列官员早已发现黑客团伙Moses Staff的活动,但却并未对摄像机采取保护行动。这次播放的报道片段并未公布消息来源。

该团伙在其Telegram频道上公布了多地视频画面,包括以色列海法拉斐尔国防承包工厂周边镜头,以及耶路撒冷及特拉维夫等各处摄像机拍下的镜头。

该团伙还公布了上月在耶路撒冷发生的恐怖爆炸袭击事件画面,该事件已导致两人死亡。这些画面明显来自以色列主要安全机构所使用的监控摄像头。

根据Kan广播公司的介绍,黑客团伙在很长一段时间内能够随意控制摄像机,包括平移、倾斜和缩放拍摄镜头。目前还不清楚这些摄像机是否遭受黑客攻击。

安全官员在接受Kan采访时表示,Moses Staff上传的视频来自未接入任何安保网络的民用摄像机。

Kan广播公司提到,完整报道将探讨黑客在监视以色列高级官员方面做出的尝试,同时会揭露Moses Staff背后的推动力量。

Moses Staff黑客团伙曾在今年6月宣称对一次网络攻击负责,此次攻击导致耶路撒冷和以色列南部城市埃拉特的部分地区误响火箭空袭警报。

Moses Staff去年还曾表示其窃取到关于士兵的敏感信息,具体内容似乎来自LinkedIn上的公开资料;此外,该团伙还通过商业网站获得了以色列航拍图像。

还有另一条未经证实的消息,该团伙声称曾在6月致使军用观察气球在加沙地带坠毁。但以色列军方表示事故起因是气球没有正确系好。

]]>
非法收集儿童信息,腾讯参股公司被罚5.2亿美元 Wed, 22 May 2024 14:11:54 +0800 美国联邦贸易委员会(FTC)和游戏公司Epic Games近期表示,Epic Games将支付5.2亿美元,以了结FTC对其非法收集儿童个人信息并诱骗人们购物的指控。

Epic Games是热门游戏《堡垒之夜》的开发商,并因对苹果和谷歌安卓平台的反垄断起诉而闻名。腾讯是Epic Games的大股东,公开资料显示,在去年4月Epic Games获得新一轮融资后,腾讯持股40%。

根据Epic Games和FTC达成的最新和解协议,Epic Games因违反儿童隐私法(COPPA)将支付创纪录的2.75亿美元罚款,并将取消侵犯隐私的默认设置。FTC表示,Epic Games还将支付2.45亿美元退款,以退还被所谓的“黑暗模式”欺骗而进行游戏内支付购买商品的消费者。

FTC主席Lina Khan在一份声明中称:“Epic Games使用了侵犯隐私的默认设置和欺骗性界面,欺骗了《堡垒之夜》的用户,包括青少年和儿童。”

FTC在游戏行业监管方面正在加大力度。上周,FTC宣布对微软以690亿美元收购动视暴雪提出诉讼。

Epic Games在周一的一份声明中表示,玩家可以通过信用卡寻求退款。公司还表示,为了保护儿童,已经创建了一些新功能,例如更易于访问的家长控制模式,以及允许父母授权购买的密码要求、13岁以下儿童的每日支出限额等。

此次FTC和Epic Games达成的协议主要是两部分,一是儿童隐私保护;二是欺诈点击付费。美国儿童在线隐私保护法(COPPA)对儿童有明确的定义,也就是年龄在13岁以下,并规定网络从业者在收集13岁以下儿童个人信息之前,必须首先获得家长的同意。

对于青少年儿童在网络游戏世界中的隐私以及支付限制也是中国游戏公司高度关注的。国内在去年正式实施的《个人信息保护法》当中也有明确规定,将不满14周岁的未成年人的个人信息规定为敏感个人信息,并要求相关企业对此制定专门的个人信息处理规则。

具体来看,《个人信息保护法》第二十八条规定:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。”

《个人信息保护法》第三十一条规定:“个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。”

青少年儿童的个人信息属于敏感数据,因为儿童青少年的个人自我保护意识普遍较弱,个人信息一旦遭到不法者的利用,可能导致严重后果,因此需要立法给予特殊的保护,应当取得监护人同意之后才可收集。

]]>
英国知名媒体《卫报》疑遭勒索软件攻击 Wed, 22 May 2024 14:11:54 +0800 知名新闻机构是黑客的高价值目标,英国卫报似乎是最新一家成为攻击的受害者。

当地时间周二(12月20日)晚上,该出版物发生了“严重的IT事件”。总编辑凯瑟琳·维纳 (Katharine Viner)和卫报媒体集团(Guardian Media Group)首席执行官安娜·贝特森(Anna Bateson)在一份报告中告诉员工,过去24小时内发生了一起严重事件,影响了IT网络和系统。他们认为这是勒索软件袭击,继续考虑所有可能性。卫报的技术团队一直在努力处理这一事件的各个方面,有大量的员工都能够像大流行期间那样在家工作。目前尚没有任何组织声称对此事件负责。

正如《卫报》媒体编辑首次报道的那样,该事件发生在当地时间12月20日(星期二)深夜,并扰乱了该公司的部分技术基础设施。它促使管理层告诉员工在本周剩下的时间里远程工作。《卫报》的一些技术基础设施和“后台服务”受到了影响。对在线出版几乎没有影响,新文章定期出现在卫报的网站和移动应用程序上。《卫报》仍然能够在其网站和应用程序上发布新闻,领导人有信心能够在周四(22日)发布印刷版。

目前尚不清楚是否有任何数据被盗,或者卫报是否收到赎金要求。根据TechCrunch的说法,有关该事件的其他事实仍然模糊不清。 

使用勒索软件的犯罪分子通常会从受害者那里窃取敏感信息,并威胁要泄露这些信息,除非向他们支付赎金。

也不清楚谁应对这次袭击负责,目前还没有大型勒索软件团伙声称对此负责。

据《新闻公报》报道,卫报是世界上阅读量排名第九的新闻网站,11月的访问量接近3.9亿。

最近几个月,其他新闻机构也遭遇了安全事件。

安全软件公司ESET的全球网络安全顾问Jake Moore表示,Guardian成为被攻击并不令人意外。“今年,新闻机构已成为网络攻击的常规目标,这些攻击通常会对目标公司造成更大的破坏性影响,”他说。“勒索软件通常会使所有部门陷入停顿,因此幸运的是,尽管发生了这次攻击,该组织仍会看到一些关键领域照常工作。”

美国公司网站Fast Company在9月遭到黑客攻击,目的是向Apple News读者发送恶意推送警报。根据之前的报道,有人以“Thrax”的名义侵入了Fast Company新闻并引发了这起事件。尽管暴露了一个名字,但这次违规行为的真正肇事者仍然不为人知。

推特上充斥着来自相关iPhone用户的各种截图。许多没有订阅Fast Company的人仍然收到了类似的警报。该警报将读者带到另一篇被黑的文章,其中使用了相同的挑衅性语言。

纽约邮报在10月份声称,一名流氓员工接管了其网站和Twitter账户,是种族主义和性别歧视帖子背后的罪魁祸首。

]]>
黑客利用推特漏洞窃取4亿用户数据 以20万美元在线出售 Wed, 22 May 2024 14:11:54 +0800 12月27日讯,据CSDN消息,近日,网名为 Ryushi 的用户在黑客论坛 Breached 上发布了一个帖子称,已成功利用推特21年的漏洞抓取了超 4 亿用户数据,并以20万美元的价格在线出售。

为了证明数据的真实性,黑客直接分享了37 人的个人数据,其中包括美国民主党议员 AOC(Alexandria Ocasio-Cortez)、以太坊加密货币创始人 V 神等知名用户的私人信息。示例数据包含以下信息:电子邮件、姓名、用户名、关注者数量、创建日期,甚至还有用户的电话号码。黑客还链接到一个帖子,解释这些数据如何被其他威胁行为者滥用于网络钓鱼攻击、加密货币诈骗和 BEC 攻击。

此外,黑客还提供了 1000 个账户的样本作为证明,他建议推特或马斯克花钱购买该数据库,否则他们将会面临欧盟巨额罚款。

针对此次黑客勒索事件,爱尔兰数据保护机构表示,推特显然违反了《通用数据保护条例》的规定,该条例是欧洲的隐私法规,通常与巨额罚款挂钩。如果黑客所盗数据得到证实,将是对推特及其首席执行官马斯克的沉重打击。

]]>
谎称电脑中毒 印度团伙假冒微软工程师骗了美国人100多亿美元 Wed, 22 May 2024 14:11:54 +0800 由于语言及人口资源上的优势,很多美国科技公司都把客服中心放在了印度,咨询售后问题会交给印度工程师来解决,然而这个模式也被印度的诈骗团队利用了,他们通过假冒微软工程师等方式骗了美国人100多亿美元。

根据美国FBI公布的信息,2022年1到11月,美国人遭遇的欺诈损失就高达100多亿美元,2021全年则是69亿美元,意味着网络诈骗活动还在增多。

这类诈骗花样多多,受害者也主要是美国的中老年人,因为他们对电脑系统也不太了解,容易被技术支持电话钓鱼欺诈。

其中一个重要来源就是印度的骗子团队,他们运营者大量虚假的呼叫中心,假冒微软工程师提供技术支持,称用户的系统中毒了,或者温度过高容易爆炸,让受害者花钱解决,甚至银行卡被洗劫一空。

除了假冒工程师之外,这些网络诈骗团伙还有其他各种手段,另一种常见的方法就是虚假的在线聊天,利用虚构的浪漫爱情让一些中老年男人买单,这也是很经典的网骗套路了,全球也屡见不鲜。

]]>
蔚来汽车用户数据遭窃!被勒索225万美元比特币 Wed, 22 May 2024 14:11:54 +0800 12月20日,蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布公告,2022年12月11日,蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元(当前约1570.5万元人民币)等额比特币。在收到勒索邮件后,公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。

“在收到勒索邮件后,公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。”蔚来汽车在声明中表示,经初步调查被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。

对于是否是因翻越蔚来防火墙导致数据失窃,有蔚来汽车高层对财联社记者回应称,“目前数据被窃取的情况还在调查中。”

针对可能造成的用户损失,蔚来汽车客服人员表示,不会做出主动赔偿,但“对客户的反馈会记录再案,且会对因本次事件给用户造成的损失承担责任”。蔚来客服同时表示,目前尚未出台赔偿方案,并提醒,如近期遇涉及蔚来的陌生来电,需小心谨慎,勿透露个人信息。

一张流传于网络的图片显示,有人宣称破解了蔚来大量数据,并公开叫价出售。其列出的数据涉及蔚来的经营以及客户隐私,包括蔚来员工数据、订单数据、用户及企业代表联系人数据,还包括车主身份证、用户地址,甚至车主亲密关系、车主贷款数据等极为隐私的信息。

这些信息被明码标价,价格均以比特币为单位,比如2.28万条员工数据,售价0.15比特币;3.99万条车主身份证数据,售价0.25比特币;全部数据打包,售价1比特币。

针对数据泄露遭勒索的情况,蔚来汽车态度坚决。“窃取、买卖此类数据是违法犯罪行为,公司对此予以严厉谴责,也坚决不会向网络犯罪行为低头。”蔚来在声明中表示,将协同有关执法部门深入调查此次事件,并依法坚决打击相关的数据窃取、买卖行为。

“中汽协支持蔚来汽车的声明,不应向犯罪行为妥协。”中国汽车工业协会秘书长助理兼技术部部长王耀对记者表示。

王耀同时分析认为,以其个人初步判断,这次不是因技术问题导致的数据泄露。“目前看,对于蔚来汽车用户来说,不会出现系统性大规模数据泄露,也不会引发车辆端安全问题。”王耀称。

智能化是汽车产业发展的重要趋势,而数据则是实现智能化的基石。随着汽车智能化程度越来越高,守好数据确保安全,关乎到用户的权益,更关乎行业发展进程。汽车企业作为数据运营的主体,是数据安全的主体责任。

就在12月13日,工信部印发《工业和信息化领域数据安全管理办法(试行)》的通知。其中指出,“工业和信息化领域数据处理者应当对数据处理活动负安全主体责任。”同时,“工业和信息化领域数据处理者在数据安全事件发生后,应当按照应急预案,及时开展应急处置,涉及重要数据和核心数据的安全事件,第一时间向本地区行业监管部门报告,事件处置完成后在规定期限内形成总结报告,每年向本地区行业监管部门报告数据安全事件处置情况。工业和信息化领域数据处理者对发生的可能损害用户合法权益的数据安全事件,应当及时告知用户,并提供减轻危害措施。”

仅从目前被披露的信息,此次蔚来被窃数据尚未涉及车辆安全等,只不过因其作为智能电动品牌的代表而被业内广泛关注。但即便如此,切实保障数据安全已成为全社会的共识。

蔚来汽车在声明中称,蔚来有责任并有义务使用一切手段保护用户信息安全,事件发生后,对公司网络信息安全进行了排查与强化,以避免此类事件的再次发生。

]]>
美国加州财政部遭勒索攻击,专家称不清楚黑客如何入侵 Wed, 22 May 2024 14:11:54 +0800 Bleeping Computer 网站披露,LockBit 黑客组织宣布从加州财政部盗取近 76GB 数据。目前,加州网络安全情报中心(Cal-CSIC)已着手调查此次网络攻击事件。

加州相关部门证实财政部数据泄露

据悉,加州州长紧急事务办公室已经证实了财政部遭受了网络攻击,并强调攻击事件发生不久后,通过与联邦安全合作伙伴协调,确定网络威胁后,迅速部署数字安全和在线威胁猎取专家,评估网络入侵的危害程度,以期控制、减轻网络攻击带来的影响。

值得一提的是,截至目前,尚不清楚此次攻击事件造成多大损失,也不清楚攻击者是采用何种技术侵入财政部。

LockBit 声称盗取近 76GB 数据

本周一,LockBit 黑客团伙在其泄密网站上发布消息称其攻破了加利福尼亚州财政部,盗取了数据库、机密数据、财务文件和 IT 文件。为了增加可信度,LockBit 组织还公布几张据称从加州财政部系统中渗出的文件截图。

此外,LockBit 黑客团伙还发布了盗取数据的目录和存储文件数量截图。对话框显示超过 114000 个文件夹中有超过 246000 个文件,总计 75.3GB 的数据。

数据泄露网站上显示,数据“保护器”截止到 12月24 日前,一旦无法获得赎金,LockBit黑客团伙将公布所有被盗数据。

LockBit 黑客组织多次作案

10 月份,一名涉嫌与 LockBit 勒索软件团伙有关的 33 岁俄罗斯公民在加拿大安大略省被捕。据信,他在关键基础设施和大型工业组织上部署了勒索软件。欧洲刑警组织表示,该名男子参与许多高调的勒索软件案件",共向受害者索要了 500 万至 7000 万欧元。

LockBit 黑客组织资金雄厚,是圈内第一个推出 bug 赏金计划的黑客团伙,为”寻找“漏洞,提供了高达 100 万美元的奖励,是勒索勒索软件领域目前最活跃的勒索软件之一。

此外,从以往案例来看,LockBit 黑客组织通常专注于勒索大公司,仅仅 2022 年,LockBit 受害者名单中就”囊括“了汽车巨头大陆集团(Continental)、安全公司 Entrust 和意大利国税局(L'Agenzia delle Entrate)。

]]>
亚马逊云曝出“超级漏洞”,攻击者可删除任何镜像 Wed, 22 May 2024 14:11:54 +0800 近日,Lightspin安全分析师在Amazon ECR(弹性容器注册表)公共库中发现一个严重漏洞,允许攻击者删除任何容器映像或将恶意代码注入其他AWS账户的镜像。

Amazon ECR Public Gallery是容器镜像的公共存储库,用于共享即用型应用程序和流行的Linux发行版,例如Nginx、EKS Distro、Amazon Linux、CloudWatch代理和Datadog代理。

研究者透露,利用该漏洞,攻击者可通过滥用未记录的API操作来修改其他用户的现有公共映像、层、标签、注册表和存储库。

研究人员于2022年11月15日向亚马逊网络安全部门报告了该漏洞,亚马逊在24小时内推出了修复程序。

虽然没有迹象表明这个漏洞在野外被滥用,但威胁行为者本可以将其用于针对许多用户的大规模供应链攻击。

ECR Public Gallery中下载量最高的前六个容器映像的下载量超过130亿次,因此其中的任何恶意注入都可能导致“失控式”感染。

研究者的分析显示,26%的Kubernetes集群至少有一个pod可以从ECR公共库中提取镜像,因此潜在影响面极大。

利用未记录的API操作

研究人员发现,ECR Public Gallery公共库有几个内部API操作,用于支持特定的命令和用户操作,但不会公开。

下面列出的其中四个API操作没有任何触发器,但它们在平台上仍然处于活动状态,因此可以调用。

DeleteImageForConvergentReplicationInternal

DeleteTagForConvergentReplicationInternal

PutImageForConvergentReplicationInternal

PutLayerForConvergentReplicationInternal

分析师成功找到了让恶意API请求获得通过的方法:用Amazon Cognito的临时凭证对ECR内部API进行身份验证。

当然,要使上述方法可行,请求应具有有效的JSON结构,并且由于没有这些API调用的文档,因此推断它需要进行一些实验。

在Lightspin报告提供的概念验证示例中,该请求使用“DeleteImage”API调用以及公开可用的存储库和镜像ID来擦除研究人员上传的公开镜像。

研究人员将漏洞利用步骤编写到Python脚本中,可以自动滥用未记录的API来攻击公共镜像。

亚马逊的回应

亚马逊告诉BleepingComputer,他们立即修复了Lightspin发现的问题,内部调查没有发现恶意行为者利用的迹象。

根据日志分析,亚马逊表示确信没有客户帐户或其他资产受到损害。

亚马逊的完整声明如下:

2022年11月14日,一位安全研究人员报告了Amazon Elastic容器注册表(ECR)公共库中的问题,这是一个用于查找和共享公共容器镜像的公共网站。研究人员确定了一个ECR API操作,如果调用该操作,则可以修改或删除ECR公共库上可用的镜像。

截至2022年11月15日,亚马逊已修复该问题。我们对所有日志进行了详尽的分析。我们相信我们的审查是决定性的,与这个问题相关的唯一活动是研究人员拥有的账户,没有其他客户的帐户受到影响,也不需要客户执行任何操作。我们要感谢Lightspin报告此问题。

]]>
美国关基保护重大事故!FBI关基设施关键联络人数据库泄露 Wed, 22 May 2024 14:11:54 +0800 12月10日,一个包含87,000多名美国联邦调查局(FBI)审查信息共享网络-InfraGard成员联系方式的数据库被发布在BreachedForums暗网论坛。

与此同时,幕后肇事的黑客正在通过FBI InfraGard在线门户直接与成员交流——使用一个新账户,假冒金融行业CEO的身份,该身份是经过FBI审查的。

相对较新的网络犯罪论坛Breached推出的这个重磅炸弹的新销售项目引起了安全研究人员的关注。黑客还提供了样本数据来验证他们的说法,其中包含InfraGard成员的各种个人信息,包括:全名、电子邮件地址、就业详情、就业行业、社交媒体USERID等。

InfraGard是美国联邦调查局(FBI)运行的一个项目,旨在与私营部门建立网络和物理威胁信息共享伙伴关系,FBI的InfraGard计划应该是经过审查的名人录,其中涉及管理国家大部分关键基础设施(包括饮用水和电力公用事业、通信和金融服务公司、运输公司)的公司和制造公司、医疗保健供应商和核能公司的网络和物理安全的私营部门关键人物。

InfraGard成立于1996 年,是FBI国家基础设施保护中心 (NIPC) 和信息系统安全协会 (ISSA) 的联合倡议。InfraGard提供对安全电子邮件系统、安全数据存储平台、基于网络的漏洞评估工具、密码管理解决方案和其他安全服务的访问。此外,InfraGard还提供有关网络安全最佳实践和新兴威胁等主题的教育研讨会。这些研讨会向所有部门的成员开放,帮助他们了解当前的安全趋势。InfraGard还提供资源,用于在潜在的网络犯罪受害者或可疑活动成为重大问题之前识别它们。

“InfraGard将关键基础设施所有者、运营商和利益相关者与FBI联系起来,以提供有关安全威胁和风险的教育、网络和信息共享,”FBI的InfraGard情况说明书写道。

KrebsOnSecurity联系了InfraGard数据库的卖家,一位Breached论坛成员,用户名是“USDoD”,头像是美国国防部的印章。

“USDoD”关于Breached论坛的InfraGard销售线索。

“USDoD”表示,他们通过使用极有可能获得InfraGard会员资格的公司首席执行官的姓名、社会安全号码、出生日期和其他个人详细信息申请一个新帐户,从而获得了对FBI InfraGard系统的访问权限。

这位首席执行官——目前是一家对大多数美国人的信用有直接影响的大型美国金融公司的负责人——没有回应置评请求。

“USDoD”告诉KrebsOnSecurity,他们的虚假申请是在11月以首席执行官的名义提交的,该申请包括他们控制的联系电子邮件地址——以及首席执行官的真实手机号码。

“当你注册时,他们说要获得批准至少需要三个月,”美“USDoD”说。“我没想到会被批准[d]。”

但“USDoD”表示,在12月初,他们以CEO名义的电子邮件地址收到了一封回复,称申请已获批准(见右侧的编辑截图)。虽然FBI的InfraGard系统默认需要多重身份验证,但用户可以选择通过短信或电子邮件接收一次性代码。

“如果只是手机问题,我的处境就会很糟糕,”“USDoD”说。“因为我使用了我正在冒充的人的电话。”

“USDoD”表示,InfraGard用户数据可通过应用程序编程接口(API)轻松获取,该接口内置于网站的几个关键组件中,可帮助InfraGard 成员相互连接和通信。

“USDoD”表示,在他们的InfraGard会员资格获得批准后,他们要求一位朋友用Python编写脚本来查询该API并检索所有可用的 InfraGard用户数据。

“InfraGard是面向知名人士的社交媒体情报中心,”“USDoD”表示。“他们甚至有论坛来讨论事情。”

KrebsOnSecurity与FBI分享了一些可能有助于隔离冒名顶替者InfraGard帐户的屏幕截图和其他数据,但该机构拒绝就此事发表评论。

为了证明截至周二(当地时间12月13日)晚上发布时间他们仍然可以访问InfraGard,“USDoD”通过InfraGard的消息系统向一名 InfraGard成员发送了一条直接说明,该成员的个人详细信息最初作为预告片发布在数据库销售项目上。

这位InfraGard成员是美国一家大型科技公司的安全负责人,他确认收到了“USDoD”的消息,但要求对此事保持匿名。

“USDoD”承认,他们对InfraGard数据库的50,000美元要价可能有点高,因为这是一个相当基本的名单,这些人已经非常注重安全。此外,只有大约一半的用户帐户包含电子邮件地址,而大多数其他数据库字段(如社会安全号码和出生日期)完全是空的。

“我不认为有人会支付那个价格,但我必须[定价]高一点才能[协商]我想要的价格,”他们解释道。

尽管InfraGard渗透所暴露的数据可能很少,但用户数据可能并不是入侵者真正的最终目标。

“USDoD”表示,他们希望冒名顶替的账户能持续足够长的时间,让他们能够以CEO的身份使用InfraGuard消息门户向其他高管发送直接消息。“USDoD”分享了以下经过编辑的屏幕截图,他们声称这是一条这样的消息,尽管他们没有提供更多相关信息。

“USDoD”共享的屏幕截图显示了FBI InfraGard系统中的消息线程。

“USDoD”在他们的销售线索中表示,交易的担保人将是网络犯罪论坛Breached的管理员Pompompurin。通过论坛管理员的托管服务购买数据库,潜在买家理论上可以避免上当受骗,并确保在资金交换之前交易双方都满意地完成。

多年来,Pompompurin一直是FBI的眼中钉。他们的Breached论坛被广泛认为是RaidForums的第二个化身,RaidForums是一个非常相似的英语网络犯罪论坛,于4月被美国司法部关闭。在被FBI渗透之前,RaidForums出售了超过100亿条在世界上一些最大的数据泄露事件中被盗的消费者记录。

2021年11月,KrebsOnSecurity详细介绍了Pompompurin如何滥用FBI在线门户中的一个漏洞,该门户旨在与州和地方执法机构共享信息,以及该访问权限如何被用来爆出数以千计的恶作剧电子邮件消息——所有这些消息都是从FBI电子邮件和互联网地址。

后续进展及影响持续跟踪中!

]]>
哥伦比亚能源供应商EPM遭受BlackCat勒索软件攻击 Wed, 22 May 2024 14:11:54 +0800 哥伦比亚能源公司Empresas Públicas de Medellín (EPM) 当地时间12月12日(周一)遭受了BlackCat/ALPHV勒索软件攻击,扰乱了公司的运营并中断了在线服务。EPM 是哥伦比亚最大的公共能源、水和天然气供应商之一,为 123 个城市提供服务。该公司在 2022年创造了超过250亿美元的收入,归哥伦比亚麦德林市政府所有。周二,该公司要求大约4,000名员工居家工作,IT 基础设施出现故障,公司网站也不再可用。经澄清,这种情况并不影响安蒂奥基亚省首府提供能源、水和天然气服务。

EPM向当地媒体透露 ,他们正在应对一起网络安全事件,并为客户提供了支付服务费用的替代方法。检察官办公室后来向EL COLOMBIANO证实勒索软件是EPM网络攻击的幕后黑手,导致设备被加密和数据被盗。但是,没有透露攻击背后的勒索软件操作。

调查机构承认其对该国网络攻击增加的担忧。两周多前,EPS Sanitas——在该国拥有近500万分支机构——遭受了对其技术基础设施的攻击,至今仍未恢复;他们的大部分在线服务仍处于关闭状态。显然,黑客保留了重要的患者信息,例如医疗记录。

同一个检察官办公室证实,网络犯罪分子要求获得赎金,以换取释放所扣押和加密的信息。负责打击计算机犯罪专门委员会的埃德娜·帕特里夏·卡布雷拉 (Edna Patricia Cabrera) 告诉EL COLOMBIANO,就EPM攻击事件而言,被破坏的信息显然不包含客户数据,而是包含公司的运营和内部动态。但专门从事此类犯罪的 Mucho Hacker门户网站发布的屏幕截图将证明存在有关员工和财务信息的私人数据,例如有关付款、预算、报告、报告和银行文件的数据。检察官办公室估计,从EPM窃取信息的规模将达 15 T。

EPM总经理豪尔赫·安德烈斯·卡里略 (Jorge Andrés Carrillo) 于同一周二(13日)签署的一项法令中,在对勒索软件的影响及其可能对组织运营产生的影响进行了初步分析后,将情况上报给了总公司。该文件还向新业务、创新和技术执行副总裁Darío Amar Flórez提供了50亿美元,以便他可以签订合同和协议,以支持和关注“网络安全事件”。

攻击事件背后的BlackCat勒索软件

Bleeping Computer目前了解到该事件与BlackCat勒索软件有关,BlackCat又名 ALPHV,应该是本次攻击的幕后黑手,声称在攻击期间窃取了公司数据。Bleeping Computer还看到了来自EPM 攻击的加密器样本和赎金记录,并确认它们来自BlackCat勒索软件操作。

虽然在攻击中创建的赎金票据指出威胁行为者窃取了各种各样的数据,但应该注意的是,这是所有BlackCat勒索票据中使用的确切文本,并非特定于EPM。

然而,进一步的发现表明,黑客可能在攻击期间从EPM窃取了大量数据。

智利安全研究员Germán Fernández发现了BlackCat 的“ExMatter”数据窃取工具的最新样本,该样本是从哥伦比亚上传到恶意软件分析站点的。

ExMatter是BlackCat勒索软件攻击中使用的一种工具,可在设备加密之前从公司网络中窃取数据。这些数据随后被用作勒索软件团伙双重勒索企图的一部分。

当该工具运行时,它会从网络上的设备窃取数据,并将其存储在攻击者控制的服务器上的文件夹中,该文件夹以被盗的Windows计算机名称命名。

在分析ExMatter工具时,Fernández发现它将数据上传到安全性不够的远程服务器,允许任何访问者查看存储在其上的数据。

在来自哥伦比亚的ExMatter变体中,数据被上传到以“EPM-”开头的各种文件夹中,如下所示。Fernández 告诉Bleeping Computer,这些计算机名称与Empresas Públicas de Medellín使用的已知计算机命名格式相匹配。

虽然目前还不清楚总共有多少数据被盗,但Fernández告诉 Bleeping Computer,网站上列出了40多台设备。Bleeping Computer已联系EPM以了解有关此次攻击的更多信息以及有多少数据被盗,但并未立即得到回应。

这不是第一次针对哥伦比亚能源公司的勒索软件攻击。2020年,Enel集团 同年两次遭受勒索软件攻击。

在过去几个月里,哥伦比亚的袭击事件也有所增加,该国的医疗保健系统上个月因 跨国医疗保健组织Keralty遭到RansomHouse攻击而中断。

]]>
阿里云香港服务器“史诗级”宕机 Wed, 22 May 2024 14:11:54 +0800 2022年12月18日上午10点左右,阿里云的香港服务据点出现故障,导致托管在该地域的众多服务项目出现无法访问,其中包括澳门金融管理局、澳门银河、莲花卫视在内的多个关键基础设施。

阿里云官网12月18日下午更新处理进展称,经排查,阿里云香港地域故障确认系香港PCCW机房制冷设备故障所致,影响香港地域可用区C的云服务器ECS、云数据库、存储产品(对象存储、表格存储等)、云网络产品(全球加速、NAT网关、VPN网关等)等云产品使用。

阿里云称,这一故障也影响了香港地域控制台访问和API调用操作,事故发生后、阿里云工程师配合PCCW机房工程师加速处理,部分制冷设备正在恢复中。

据南都报道,截至 12 月 18 日下午 6 时许,澳门一些受影响的网站已可正常打开访问,不过当地一些传媒应用程序尚无法登录。

阿里云宕机影响最为严重的当属各大加密货币交易所。知名交易平台“Gate.io”发布公告表示,受运营商部分网络节点维护影响,充提服务将出现延缓。

加密货币交易所OKX部分用户无法提领,帐户更显示资金归零,OKX称,服务器供应商阿里云出现技术故障,导致交易所部分功能出现问题。

根据最新的更新进展显示,目前阿里云所租用的香港电讯盈科公司机房已修复制冷设备故障,阿里云香港地域所有可用区云产品功能正在陆续恢复正常。对于受本次故障影响的产品,阿里云将根据相关产品的SLA协议进行赔付。

]]>
微软发现苹果macOS漏洞 可植入恶意软件 Wed, 22 May 2024 14:11:54 +0800 12 月 20 日消息,微软于今年 7 月发现了一个 macOS 漏洞,可以绕过 Gatekeeper 安全机制执行恶意软件。苹果公司在收到微软的报告之后,在本月 13 日发布的 macOS 13(Ventura)、macOS 12.6.2(Monterey)和 macOS 1.7.2(Big Sur)更新中修复了这个漏洞。

了解到,微软将发现的这个 macOS 漏洞称之为“Achilles”,并通过“Coordinated Vulnerability Disclosure”将其告知给了苹果公司。该漏洞允许攻击者绕过苹果的 Gatekeeper 安全机制,在 Mac 设备上植入任意恶意软件。

微软在最近的一篇文章中详细介绍了如何发现该漏洞以及此类问题的影响。这些细节对安全专家和研究人员很有用。微软在博文中表示:“Gatekeeper 在阻止 macOS 恶意软件方面发挥重要作用,但是它并非是绝对安全的”。

]]>
三大运营商:同步删除用户行程相关数据 Wed, 22 May 2024 14:11:54 +0800 12月13日0时起,通信行程卡服务将正式下线。中国移动、中国联通、中国电信均表示,自12月13日0时“通信行程卡”服务下线后,同步删除用户行程相关数据,依法保障个人信息安全。

“中国移动高度重视客户个人信息保护,将按照《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等有关法律规定,自12月13日0时‘通信行程卡’服务下线后,同步删除用户行程相关数据,依法保障个人信息安全。”中国移动方面回复广州日报全媒体记者表示。

12月12日晚,中国联通微信号发布的《关于删除用户通信行程卡相关数据的通告》称,中国联通高度重视客户个人信息保护,将按照《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等有关法律规定,自12月13日0时“通信行程卡”服务下线后,同步删除用户行程相关数据,依法保障个人信息安全。

同时,中国电信方面对记者表示,按照《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等有关法律规定,“通信行程卡”系统自12月13日0时下线相关服务后,将同步删除用户行程相关全部数据,依法保障个人信息安全。

“通信行程卡”是中国信通院在工业和信息化部的指导下,与三大电信运营企业利用大数据技术共同推出的,为全国手机用户免费提供行程查询服务。2020年2月13日,“通信行程卡”推出短信查询服务,2月29日,网页版查询服务上线,3月6日小程序上线,4月21日行程卡APP1.0上线,4月30日行程卡APP2.0上线。

同时,记者注意到,今年6月底,通信行程卡取消通信行程卡“星号”标记。2022年7月8日,“通信行程卡”查询结果的覆盖时间范围由“14天”调整为“7 天”。

]]>
《安联智库-网安周报》2022-12-11 Wed, 22 May 2024 14:11:54 +0800

1、外媒:丹麦国防部称遭到网络攻击

12月9日报道 据路透社8日报道,丹麦国防部在推特上说,该部8日遭到网络攻击,导致无法访问其网站,但网络攻击对丹麦国防部的行动没有造成影响。
丹麦国防部说,网站遭到所谓分布式拒绝服务(DDoS)的攻击。这种攻击方式将大量流量引向目标服务器,目的是让服务器下线。
丹麦国防部在推特上说:“目前,除了无法访问门户网站之外,其他影响尚未发现,因此没有对国防部造成行动上的影响。
2、勒索软件凶猛!比利时最大城市数字服务被迫中断

12月7日消息,由于合作的数字供应商日前遭受网络攻击,西欧国家比利时的安特卫普市的数字服务被迫中断,目前正努力恢复。

服务中断影响到当地市民、学校、日托中心和警署所使用的服务。截至目前,各项服务仍处于时断时续的不稳定状态。

据比利时媒体《Het Laatste Nieuws》(简称HLN)报道,黑客实际是破坏了为城市提供管理软件的数字合作伙伴Digipolis的服务器,由此导致安特卫普的政务系统陷入瘫痪。HLN还提到,几乎所有Widows应用程序都受到了影响。一些部门的电话服务无法正常使用。

事件还影响到该市的预订系统,服务中断导致人们无法正常领取身份证。截至目前,只有出行卡还可正常使用。比利时媒体将此事报道为该国最严重的公共服务信息失窃之一。据报道,团伙泄露的缓存数据包含过去16年间的车牌信息、犯罪报告文件、调查报告和罚款记录。

3、俄罗斯第二大银行VTB遭DDoS攻击离线

“目前,VTB技术基础设施正受到来自国外的前所未有的网络攻击,”VTB发言人向塔斯社表示:“这不仅是今年有记录的最大网络攻击,而且是该银行整个历史上最大的网络攻击。”

VTB表示,其内部分析表明DDoS攻击是精心策划的,目的是通过中断其银行服务给客户带来不便。目前,VTB的在线门户网站处于离线状态,但所有核心银行服务都正常运行。VTB还表示,客户数据受到保护,因为它存储在其基础设施的内部边界,没有遭到攻击者破坏。

亲乌克兰的黑客组织“乌克兰IT军队”声称对针对VTB的DDoS攻击负责,并于11月底在Telegram上宣布了该活动。在VTB之前,“乌克兰IT军队”发动的造成业务中断的网络攻击包括伏特加生产商和分销商的门户网站以及俄罗斯航空航天和国防集团Rostec的网站。

4、Hive勒索组织黑五期间攻击欧洲零售商,已累计攻击1300家公司

近日,Hive勒索软组织对外公布了其在11月份对法国体育零售商Intersport的攻击中获得的客户数据。

这个臭名昭著的勒索组织周一在其暗网泄露网站上发布了一批Intersport数据,并威胁说除非零售商支付勒索费,否则将泄露更多数据。

据法国《世界报》报道,黑客攻击包括法国北部商店的Intersport员工的护照信息、他们的工资单、其他商店的离职和在职员工名单,以及社会保险号码。

美国联邦政府在11月底表示,Hive已经袭击了全球1300多家公司,收取了约1亿美元的赎金。该组织使用各种方法来获得访问权,利用缺乏多因素认证的目标,访问远程桌面协议、VPN或其他远程网络连接协议。

]]>
Vice Society 勒索软件太猖狂,一年内袭击 33 个教育机构 Wed, 22 May 2024 14:11:54 +0800 The Hacker News 网站披露,Vice Society 勒索软件组织增加了对教育机构的网络攻击,在 2022 年期间,该组织袭击了 33 个教育机构,超过 LockBit、BlackCat、BianLian 和 Hive 等其它勒索软件团伙。

从 Palo Alto Networks Unit 42 分享的数据分析结果来看,除教育机构外,Vice Society 其它攻击目标主要涉及医疗保健、政府、制造业、零售业和法律服务业等领域。

2022 年,Vice Society 100 多个受害者中,美国报告了 35 例,其次是英国 18例,西班牙 7 例,巴西和法国各 6 例,德国和意大利各 4例,澳大利亚 3 例,如此多攻击事件使其成为最具影响力的勒索软件团伙之一。

自 2021 年 5 月开始活跃以来,Vice Society 与其它勒索软件团队主要区别在于其不使用自己的勒索软件变体,而是依赖于地下论坛上出售的 HelloKitty 和 Zeppelin 等预先存在的勒索程序二进制文件。微软曾以 DEV-0832 的名义追踪过该组织活动轨迹,发现在某些情况下,Vice Society 尽量避免部署勒索软件直接勒索,而是利用窃取的数据进行勒索。

根据 Unit 42 的研究结果,Vice Society 一般会在受害者系统环境中“潜伏”时间 6 天左右,最初要求的赎金往往不会超过100万美元,在与受害者谈判后可能还会下降 60%左右。

最后,Umit 42 研究员 JR Gumarin 强调,网络安全能力有限、资源有限的教育机构往往最容易受到网络威胁,正在成为勒索软件组织的潜在目标。

]]>
多个团伙利用社保公积金系统漏洞,非法获取公民个人信息2300万条 Wed, 22 May 2024 14:11:54 +0800 12月7日,红星新闻从四川南充市公安局顺庆区分局获悉,当地警方侦破一起公安部挂牌督办案件,打掉多个利用社保、公积金等系统漏洞非法获取公民个人信息的犯罪团伙,涉及四川、河南、广东多个省市,抓获犯罪嫌疑人121人,查获公民个人信息2300余万条,发现国内多地各类信息系统平台漏洞300余个,收缴黑客工具12套。

2022年4月,南充市公安局顺庆区分局网安大队民警在工作中发现,男子杨某利用境外聊天软件(Telegram)贩卖某市社保查询信息系统漏洞及侵入教程。通过这些漏洞和教程,犯罪分子能轻松绕过系统安全保护,通过链路授权访问省级社保系统,进而非法获取省级社保系统用户的全量数据。

发现该线索后,顺庆公安分局网安大队立即向南充市公安局网安支队报告,由南充市公安局抽调全市网安部门精干警力成立专案组,开展网安行政执法和案件侦查工作。由于该案件侵犯对象广,社会危害严重,被公安部挂牌督办。

民警调查发现,犯罪嫌疑杨某先后通过“Telegram”聊天软件建立“普通查询”和“高级查询”两个聊天群,吸纳群成员2200余人,并将其从四川、广东、广西等地信息系统非法获取的100余万条公民个人信息和300余个系统漏洞发布至群内,用于交易牟利。其中,杨某非法获取的公民个人信息、数据种类繁多,涉及姓名、性别、社会保障号、联系方式、联系地址、发卡地行政区划代码、社保卡号、卡状态、发卡银行、银行卡号等众多信息。

2022年6月,犯罪嫌疑人杨某被公安机关抓获归案。在四川省公安厅网安总队的指导下,南充警方组织全市网安部门发起集群作战,着手对该案实施全链条打击,成功锁定四川、河南等地涉嫌非法侵入计算机信息系统获取公民个人信息的9家“网络催收”公司。

在前期充分的摸排和侦查下,南充警方对四川、河南两省三市的15个犯罪窝点开展收网行动,挡获涉案人员256名,采取刑事强制措施121人。查扣涉案电脑124台、手机227部、移动存储介质24个、服务器4台;查获国内社保、疫苗、公积金等各类信息系统平台漏洞300余个,相关入侵教程10余个。

目前,该案已移送检察机关审查起诉。

]]>
Hive勒索组织黑五期间攻击欧洲零售商,已累计攻击1300家公司 Wed, 22 May 2024 14:11:54 +0800 近日,Hive勒索软组织对外公布了其在11月份对法国体育零售商Intersport的攻击中获得的客户数据。

这个臭名昭著的勒索组织周一在其暗网泄露网站上发布了一批Intersport数据,并威胁说除非零售商支付勒索费,否则将泄露更多数据。

据法国《世界报》报道,黑客攻击包括法国北部商店的Intersport员工的护照信息、他们的工资单、其他商店的离职和在职员工名单,以及社会保险号码。

La Voix Du Nord报道说,黑客攻击发生在 "黑色星期五 "销售期间,使员工无法进入收银系统,迫使商店进行人工操作。

美国联邦政府在11月底表示,Hive已经袭击了全球1300多家公司,收取了约1亿美元的赎金。该组织使用各种方法来获得访问权,利用缺乏多因素认证的目标,访问远程桌面协议、VPN或其他远程网络连接协议。

同时也有利用含有恶意附件的钓鱼邮件,利用Microosft Exchange服务器的漏洞。绕过了多因素认证,通过利用CVE-2020-12812(Fortinet操作系统中现已修补的不当认证漏洞)获得了对FortiOS服务器的访问。

此次攻击正是通过这些途径导致该零售商员工数据泄露。Intersport是一家瑞士公司在全球有5800家分店,其中780家位于法国。目前该公司对此事还没有做出任何回应。

]]>
外媒:丹麦国防部称遭到网络攻击 Wed, 22 May 2024 14:11:54 +0800 12月9日报道 据路透社8日报道,丹麦国防部在推特上说,该部8日遭到网络攻击,导致无法访问其网站,但网络攻击对丹麦国防部的行动没有造成影响。

丹麦国防部说,网站遭到所谓分布式拒绝服务(DDoS)的攻击。这种攻击方式将大量流量引向目标服务器,目的是让服务器下线。

丹麦国防部在推特上说:“目前,除了无法访问门户网站之外,其他影响尚未发现,因此没有对国防部造成行动上的影响。

]]>
勒索软件凶猛!比利时最大城市数字服务被迫中断 Wed, 22 May 2024 14:11:54 +0800 12月7日消息,由于合作的数字供应商日前遭受网络攻击,西欧国家比利时的安特卫普市的数字服务被迫中断,目前正努力恢复。

服务中断影响到当地市民、学校、日托中心和警署所使用的服务。截至目前,各项服务仍处于时断时续的不稳定状态。

资料显示,安特卫普市是比利时面积最大、人口最多的城市。

电子邮件和电话系统均已中断

针对这起事件的调查正在进行中。从已公布的少量信息来看,造成服务中断的应该是勒索软件攻击,但幕后黑手是谁尚不明确。

据比利时媒体《Het Laatste Nieuws》(简称HLN)报道,黑客实际是破坏了为城市提供管理软件的数字合作伙伴Digipolis的服务器,由此导致安特卫普的政务系统陷入瘫痪。

HLN还提到,几乎所有Widows应用程序都受到了影响。

一些部门的电话服务无法正常使用。维尔莱克区议员Alexandrad’Archambeau早些时候评论称,该市的电子邮件服务也出现了故障。

比利时媒体《德斯坦达德报》(De Standaard)报道称,他们已经收到消息,造成事故的元凶正是勒索软件,但攻击者身份尚未确定。

事件还影响到该市的预订系统,服务中断导致人们无法正常领取身份证。截至目前,只有出行卡还可正常使用。

护理中心亦受到影响

受攻击影响的其他机构还包括安特卫普医疗保健公司(Zorgbedrijf Antwerpen),这是一家专为省内老年人提供住宿护理服务的组织。

该公司总经理Johan De Muynck表示,此次攻击导致用于跟踪患者治疗用药记录的软件无法工作。

为此,18个住宿护理中心的工作人员被迫改用纸笔记录,并依靠传统的纸质处方为老年患者们开药。

De Muynck表示,“现在,医生们只能重新签署处方,再把纸质处方送至药房。虽然文书工作量极大,但至少保证了患者们当天内就能拿到药品。估计明天早上,自动系统就会恢复运行。”

De Muynck补充道,好在数据库并未受到攻击影响,所以民众的个人信息仍然安全无忧。

目前还不清楚安特卫普市的IT系统何时才能完全恢复正常。该市市长表示,事件造成的影响可能持续到12月底。

尽管警察和消防部门也受到一定影响,但各项应急服务仍可正常运行。

一周多之前,Ragnar Locker勒索软件团伙刚刚泄露了从安特卫普省兹韦恩德雷赫特地方警局窃取到的数据。

比利时媒体将此事报道为该国最严重的公共服务信息失窃之一。据报道,团伙泄露的缓存数据包含过去16年间的车牌信息、犯罪报告文件、调查报告和罚款记录。

]]>
俄罗斯第二大银行VTB遭DDoS攻击离线 Wed, 22 May 2024 14:11:54 +0800 “目前,VTB技术基础设施正受到来自国外的前所未有的网络攻击,”VTB发言人向塔斯社表示:“这不仅是今年有记录的最大网络攻击,而且是该银行整个历史上最大的网络攻击。”

VTB表示,其内部分析表明DDoS攻击是精心策划的,目的是通过中断其银行服务给客户带来不便。

目前,VTB的在线门户网站处于离线状态,但所有核心银行服务都正常运行。VTB还表示,客户数据受到保护,因为它存储在其基础设施的内部边界,没有遭到攻击者破坏。

该银行表示,它已经确定大多数恶意DDoS请求来自国外,但是攻击中也涉及几个俄罗斯IP地址。

这意味着外国攻击者要么使用当地代理进行攻击,要么设法在其DDoS活动中招募当地持不同政见者。

有关这些IP地址的信息已转发给俄罗斯执法当局进行刑事调查。

VTB 61%的股份国有,俄罗斯财政部和经济发展部在该集团中占有一席之地,因此这些袭击具有政治色彩,是对俄罗斯政府的间接打击。

“乌克兰IT军队”声称对攻击负责

亲乌克兰的黑客组织“乌克兰IT军队”声称对针对VTB的DDoS攻击负责,并于11月底在Telegram上宣布了该活动。

这个特殊的黑客行动主义团体是在乌克兰政府的官方支持下于2022年2月成立的,试图加强该国的网络战线。

在VTB之前,“乌克兰IT军队”发动的造成业务中断的网络攻击包括伏特加生产商和分销商的门户网站以及俄罗斯航空航天和国防集团Rostec的网站。

亲乌克兰的黑客行动主义者在11月非常活跃,针对900多个俄罗斯实体,包括销售军事装备和无人机的商店、俄罗斯中央银行、国家人工智能发展中心和阿尔法银行。

]]>
勒索软件凶猛!法国巴黎又一医院暂停运营并转移患者 Wed, 22 May 2024 14:11:54 +0800 12月6日消息,上周末,法国巴黎一家综合性医院遭到勒索软件攻击,被迫叫停医疗手术并转移了6名患者。

法国卫生部表示,凡尔赛医院中心目前已经陷入无计算机系统可用的困境,该医疗综合体旗下有两所医院与一家养老院。

6名患者中,3名转移患者来自重症监护室,另外3名则来自新生儿病房。法国卫生部长弗朗索瓦·布劳恩 (Francois Braun)周日警告称,此次攻击后可能还有更多患者需要被转移至其他位置,并导致“医院进行了全面组织调整”。

这位部长在推特上表示,“这种以法国民众健康为要挟的行为不可接受……我们正在动员一切专业人员,确保给予患者护理和照料。”

虽然医院内部重症监护室的关键设备仍在运行,但由于内部网络故障再加上员工人手不足,已经无法单独监控各设备发回的生命体征。

巴黎检察官已经对这起所谓“勒索未遂”案件展开初步调查。

近几月法国医疗机构频遭网络攻击

布劳恩表示,近几个月来,包括凡尔赛医院中心在内,法国的医疗保健服务机构“每天都会遭到攻击”。不过其中“绝大多数”攻击都被成功阻止。

今年8月,巴黎另一家医院Center Hospitalier Sud Francilien也遭到勒索软件攻击,经过数周时间才得以恢复。

该医院雇员和患者的敏感数据被勒索团伙发布至其官方主页。法国警方已将此次攻击的幕后黑手归因于LockBit勒索软件团伙。

针对本次攻击,外媒The Record已经联系卫生部、法国国家网络安全机构国家信息系统安全局(ANSSI)并提出置评请求。

就在攻击前不久,上任已有八年九个月的法国国家信息系统安全局局长Guillaume Poupard宣布即将离职。

]]>
三菱电机 PLC 曝出多个严重安全漏洞 Wed, 22 May 2024 14:11:54 +0800 美国网络安全和基础设施安全局 (CISA) 在上周发布了一份工业控制系统 (ICS) 咨询,对三菱电机 GX Works3 工程软件存在的多个漏洞发出了安全警告。

GX Works3是一种用于 ICS 环境的工程软件,能够从控制器上传和下载程序、排除软硬件故障以及执行相应的操作维护。由于功能广泛,使得该软件平台成为攻击者的一个强有力的”集火“目标,攻击者希望破坏此类系统以控制受管理的 PLC。

在CISA揭露的10个缺陷中,有 3 个涉及敏感数据的明文存储,4 个涉及使用硬编码加密密钥,2 个涉及使用硬编码密码,1 个涉及凭证保护不足。最严重的漏洞CVE-2022-25164和CVE-2022-29830的 CVSS 评分高达 9.1,可在无需任何权限的情况下被滥用,以获取对 CPU 模块的访问权限并获取有关项目文件的信息。

三菱表示,工程软件是工业控制器安全链中的一个关键组成部分,如果其中出现任何漏洞,对手可能会滥用它们最终危及托管设备,从而危及受监管的工业过程。

CISA也提到了一个CVSS 评分为8.6的MELSEC iQ-R 系列中的拒绝服务 (DoS) 漏洞信息,并指出由于缺乏适当的输入验证,成功利用此漏洞可能允许未经身份验证的远程攻击者通过发送特制数据包,在目标产品上造成拒绝服务。

缓解措施

三菱已经宣布相关补丁将在不久之后发布,在此之前建议应用以下缓解措施:

尽可能限制不受信任方访问安全 CPU 项目文件;

在传输和静止时充分保护安全 CPU 项目文件(例如通过加密);

更改安全 CPU 模块上设置的所有弱密码;

切勿重复使用相同的凭据打开安全 CPU 项目文件和访问安全 CPU 模块。

]]>
美国警方采购汽车取证工具,可破解万款车型信息娱乐系统提取数据 Wed, 22 May 2024 14:11:54 +0800 12月5日消息,日前,有安全研究人员详细介绍了一个新漏洞,据称攻击者可使用该漏洞,远程解锁全球任意位置的本田、日产等品牌汽车。

此次漏洞披露凸显出现代汽车联网系统的又一缺陷,特别是那些同时接入司机手机端、持续收集用户数据的车辆跟踪及定位系统。事实上,这种技术已经被美国联邦执法机构所使用。目前移民和边境警察正在加大技术工具的采购力度,希望借此从上万种不同车型中提取大量数据,比如密码、地理位置等。

汽车数据取证成 执法人员办案利器

美国移民和边境警察越来越重视从汽车中收集关于潜在犯罪活动的大量证据。有时候,从车上获取的证据往往远超手机数据、而且获取难度也更低。法院文件和政府合同记录显示,负责监控墨西哥边境的移民管理机构在汽车黑客工具上的开支创下历史纪录,也确实从车载计算机中获得了大量有价值证据。与此同时,隐私倡导者则发出警告,称现代汽车堪称“车轮上的监控探头”。

在最近对墨西哥边境一辆2019款道奇“战马”汽车的搜查中,一名巡逻警员写道,负责提供GPS、远程控制和娱乐功能的信息娱乐系统对政府调查人员特别有价值。他们可以从中获取关于嫌疑人位置、电子邮件地址、IP地址和电话号码等信息,“跟踪不具备合法身份的非公民进入美国、及在美国各地的往来/移动”。其甚至可以体现“账户使用者的情绪,包括对所调查犯罪行为的了解、动机和自愿性”。

巡逻警员还提到,信息娱乐系统还会暴露用户密码,但没有提供具体细节。今年10月,密苏里州酒精、烟草、火器和爆炸物管理局(ATF)提交的一份搜查令中也做出类似的表述,但同样未做细节解释。当时他们试图从一辆2022款福特F-150上收集信息。尽管缺乏确凿的证据,但可以认定这种风险真实存在:之前曾有报道称,特斯拉的信息娱乐系统就会存储Wi-Fi密码和Spotify密码。

另外,ATF调查人员详细介绍了车载计算机如何“设计并存储大量数据”,并且“有望在无需访问手机本身的情况下,通过与车载系统的连接记录恢复大量手机信息。”调查员们还提到,使用这种数字技术能够入侵多种主流车型,包括“宝马、别克、凯迪拉克、雪佛兰、克莱斯勒、道奇、菲亚特、福特、GMC、悍马、吉普、林肯、玛莎拉蒂、梅赛德斯、水星、庞蒂亚克、公羊、土星、丰田和大众等品牌的超10000款车型。”

黑客或警方也能从汽车上获得多种公开信息。网络安全研究员Curry向媒体证实,只要在车身看一眼VIN码,就能查询到大量相关信息,这也凸显出VIN码公开的“可怕后果”。他补充道,“我们在多家汽车公司的产品中发现了很多不同功能和汽车信息条目,全都可以用VIN码进行查询。”

美国执法机构采购汽车取证 预算创历史纪录

为了从被扣押的汽车身上获取有用数据,美国海关及边境保护局、移民海关执法局今年在汽车取证技术身上花掉了创纪录的预算,供应商则是总部位于马里兰州的行业龙头公司Berla。其iVe工具能够从车辆中挖掘数据,供当地/联邦执法部门以及军事机构使用。

根据政府合同记录,今年8月,海关及边境保护局在iVe上的花费超过38万美元,几乎是过去两年来最大单笔采购金额(5万美元)的8倍。移民海关执法局自2010年以来也一直在采购Berla工具和培训服务,今年9月更是在iVe身上花掉了50万美元,超过之前单笔采购纪录20万美元的两倍。在2022年5月的一份合同中,海关及边境保护局还特别要求Berla提供“车载信息娱乐系统取证工具、许可证和培训服务”。

在警方深入调查现代汽车中的大量个人信息时,隐私保护组织们对此深感忧心。今年10月,监控技术监督项目(S.T.O.P.)发布一份报告,警告称“从汽车上收集到的数据比手机数据更详细,并且获取车载数据的法律和技术门槛反而更低。”

S.T.O.P.研究主管Eleni Manis认为,海关及边境保护局和移民海关执法局正在“将汽车数据武器化”。

她总结道,“Berla设备让海关及边境保护局和移民海关执法局能够对乘客的生活开展全面搜查,包括轻松访问汽车的历史位置记录、常去的地方,乘客的家人和社交联系人、彼此间的通话记录,甚至是社交媒体使用概况等。虽然我们还不知道海关及边境保护局和移民海关执法局具体入侵了多少辆汽车,但可以肯定的是几乎每辆新车都可能受到攻击。”

截至本文发布时,海关及边境保护局与移民海关执法局均未回应置评请求。

]]>
《安联智库-网安周报》2022-12-04 Wed, 22 May 2024 14:11:54 +0800

1、十年未被发现!现代汽车曝重大安全漏洞,黑客可远程解锁

据cybernews消息,现代汽车APP存在一个重大安全漏洞。利用这个漏洞,黑客可以远程解锁、启动汽车。更令业界感到惊讶的是,这个漏洞已经存在了10年之久,影响了自2012年生产的现代汽车。
这两个APP的名称是MyHyundai 和 MyGenesis,允许经过身份验证的用户启动、停止、锁定和解锁他们的车辆,可进一步提升车主的使用体验。
根据网络安全研究人员Sam Curry在社交平台发文称,“我们注意到服务器不要求用户确认他们的电子邮件地址,此外还有一个非常松散的正则表达式,允许在您的电子邮件中使用控制字符。”
在深入研究绕过身份验证的可能方法后,Sam Curry和他的团队发现,在注册过程中,只需要在现有受害者电子邮件的末尾添加CRLF字符,攻击者就可以使用现有的电子邮件注册一个新帐户。而这个新帐户将获得一个JSON网络令牌 (JWT),该令牌与服务器中的合法电子邮件相匹配,从而授予攻击者对目标车辆的访问权限。
有消息称,某些黑客团队也盯上了这个漏洞,甚至开发了一个python 脚本,只需要获取受害者的电子邮件地址,即可执行车辆上的所有命令,甚至接管车主的帐户。
2、Redis服务器被植入后门

被研究人员称之为Redigo的一种基于Go的新的恶意软件,它一直针对有CVE-2022-0543漏洞的Redis服务器并植入一个隐秘的后门允许命令执行。

CVE-2022-0543是Redis(远程字典服务器)软件中的一个关键漏洞,具有非常高的威胁性。它在2022年2月被发现并修复。修复几个月后,仍有攻击者继续在未打补丁的机器上利用它。针对于此漏洞的恶意软件的名称Redigo则是由它的目标机器和构建它的编程语言创造的。

3、三星小米等厂商均受影响,谷歌披露威胁数百万安卓设备的高危漏洞

谷歌安卓合作伙伴漏洞计划(APVI)网站上的一个新帖子中,曝光了一个影响数百万安卓设备的安全漏洞。黑客利用该漏洞,就能够在三星、LG、小米等诸多 OEM 厂商品牌手机中植入恶意软件。而且这些恶意软件可以获得系统级别的最高权限。

这个安全漏洞的关键就是平台证书。谷歌员工和恶意软件逆向工程师卢卡兹・塞维尔斯基(Łukasz Siewierski)率先发现了这个证书问题,他表示这些证书或签名密钥决定了设备上安卓版本的合法性。供应商也使用这些证书来签署应用程序。

虽然安卓系统在安装时为每个应用程序分配了一个独特的用户 ID(UID),但共享签名密钥的应用程序也可以有一个共享的 UID,并可以访问对方的数据。而通过这种设计,与操作系统本身使用相同证书签署的应用程序也能获得同样的特权。而问题的关键是,部分 OEM 厂商的安卓平台证书泄露给了错误的人。这些证书现在被滥用于签署恶意应用程序,使其具有与安卓系统相同的权限。这些应用程序可以在受影响的设备上可以不和用户交互,直接获得系统级权限。因此安卓设备一旦感染,就能在用户不知情的情况下获取所有数据。

4、停用UEFI安全启动,宏碁多款电脑存在严重安全漏洞

11月29日消息,ESET恶意软件研究员Martin Smolar报告,宏碁某些笔记本电脑设备的驱动程序存在高危漏洞,可停用UEFI安全启动功能,导致攻击者在启动过程中部署恶意软件。

受影响的宏碁笔记本电脑型号共计有五款,包括宏碁Aspire A315-22、A115-21、A315-22G、Extensa EX215-21和EX215-21G。

宏碁回应称,该漏洞确实存在,目前已修复该漏洞,并提醒用户及时更新固件。用户可在官网下载BIOS更新,并在系统中手动部署。

]]>
十年未被发现!现代汽车曝重大安全漏洞,黑客可远程解锁 Wed, 22 May 2024 14:11:54 +0800 据cybernews消息,现代汽车APP存在一个重大安全漏洞。利用这个漏洞,黑客可以远程解锁、启动汽车。更令业界感到惊讶的是,这个漏洞已经存在了10年之久,影响了自2012年生产的现代汽车,以及旗下高端品牌捷尼赛思汽车。但现代汽车发布公告称,该漏洞并未被广泛利用。

这两个APP的名称是MyHyundai 和 MyGenesis,允许经过身份验证的用户启动、停止、锁定和解锁他们的车辆,可进一步提升车主的使用体验。

根据网络安全研究人员Sam Curry的说法,原本现代和捷尼赛思汽车的APP仅向授权用户提供车辆的控制权限,但是,该APP与授权服务器的通信之间存在一个严重的安全漏洞,导致攻击者可以轻易取得相应的权限。

Sam Curry在社交平台发文称,“我们注意到服务器不要求用户确认他们的电子邮件地址,此外还有一个非常松散的正则表达式,允许在您的电子邮件中使用控制字符。”

在深入研究绕过身份验证的可能方法后,Sam Curry和他的团队发现,在注册过程中,只需要在现有受害者电子邮件的末尾添加CRLF字符,攻击者就可以使用现有的电子邮件注册一个新帐户。

而这个新帐户将获得一个JSON网络令牌 (JWT),该令牌与服务器中的合法电子邮件相匹配,从而授予攻击者对目标车辆的访问权限。

Sam Curry发布消息称,“我们目前在确认,是否可以使用被篡改的 JWT 执行解锁或启动汽车等实际操作,如果真的可以做到这一点,那么将有可能全面接管所有远程启动的现代汽车和捷尼赛思汽车。

随后,有安全研究人员利用他们手里的一辆现代汽车来测试该漏洞。最终结果显示,使用受害者的电子邮件地址并添加 CRLF 字符,就可以让他们远程解锁链接了相应电子邮件地址的车辆。

有消息称,某些黑客团队也盯上了这个漏洞,甚至开发了一个python 脚本,只需要获取受害者的电子邮件地址,即可执行车辆上的所有命令,甚至接管车主的帐户。

目前,该漏洞已经报告给现代汽车公司,并且已经得到修复。在发布的公告中,现代汽车表示,经过调查后并未发现该漏洞被黑客利用了。

现代声称该公司调查了这个问题,并没有发现该漏洞在野外被利用,并强调利用该漏洞条件苛刻,“需要知道与特定现代汽车帐户和车辆相关的电子邮件地址,以及研究人员使用的特定网络脚本。”

而这似乎与目前不少安全人员发布的内容不太相符。

Yuga Labs公司的分析师称,只需要知道目标车辆识别号 (VIN),就有可能向端点发送伪造的 HTTP 请求,从而顺利利用该漏洞。

在实际情况中,车辆VIN 很容易在停放的汽车上获取,通常在仪表板与挡风玻璃相接的板上可见,攻击者可以轻松访问它。这些识别号码也可以在专门的汽车销售网站上找到,供潜在买家查看车辆的历史记录。

近年来,智能汽车产业正处于快速发展期,越来越多的安全专家们也开始将研究重点放在汽车攻击领域,发现了不少重量级汽车网络安全漏洞,包括远程解锁、启动、停止车辆等,成功向外界展示,攻击者是如何破坏车辆中的各种组件,涉及多个主流汽车品牌。

也正因为如此,汽车厂商们应进一步加大对网络安全的重视程度,并真切投入资源改善这种不安去的状况。汽车作为一个私密、封闭的个人空间,其安全性的重要性毋庸置疑,也是车主们选择汽车的重要衡量因素。

]]>
三星小米等厂商均受影响,谷歌披露威胁数百万安卓设备的高危漏洞 Wed, 22 May 2024 14:11:54 +0800 谷歌安卓合作伙伴漏洞计划(APVI)网站上的一个新帖子中,曝光了一个影响数百万安卓设备的安全漏洞。黑客利用该漏洞,就能够在三星、LG、小米等诸多 OEM 厂商品牌手机中植入恶意软件。而且这些恶意软件可以获得系统级别的最高权限。

这个安全漏洞的关键就是平台证书。谷歌员工和恶意软件逆向工程师卢卡兹・塞维尔斯基(Łukasz Siewierski)率先发现了这个证书问题,他表示这些证书或签名密钥决定了设备上安卓版本的合法性。供应商也使用这些证书来签署应用程序。

虽然安卓系统在安装时为每个应用程序分配了一个独特的用户 ID(UID),但共享签名密钥的应用程序也可以有一个共享的 UID,并可以访问对方的数据。而通过这种设计,与操作系统本身使用相同证书签署的应用程序也能获得同样的特权。

而问题的关键是,部分 OEM 厂商的安卓平台证书泄露给了错误的人。这些证书现在被滥用于签署恶意应用程序,使其具有与安卓系统相同的权限。这些应用程序可以在受影响的设备上可以不和用户交互,直接获得系统级权限。因此安卓设备一旦感染,就能在用户不知情的情况下获取所有数据。

]]>
速看!Redis服务器被植入后门 Wed, 22 May 2024 14:11:54 +0800 被研究人员称之为Redigo的一种基于Go的新的恶意软件,它一直针对有CVE-2022-0543漏洞的Redis服务器并植入一个隐秘的后门允许命令执行。

CVE-2022-0543是Redis(远程字典服务器)软件中的一个关键漏洞,具有非常高的威胁性。它在2022年2月被发现并修复。修复几个月后,仍有攻击者继续在未打补丁的机器上利用它。针对于此漏洞的恶意软件的名称Redigo则是由它的目标机器和构建它的编程语言创造的。

今天,AquaSec报告说,其易受CVE-2022-0543影响的Redis蜜罐捕获了一个新的恶意软件,该恶意软件并没有被Virus Total上的安全软件检测到。

Redigo攻击

AquaSec说,Redigo攻击从6379端口的扫描开始,以定位暴露在开放网络上的Redis服务器。找到目标端点后,atacker连接并运行以下命令:

INFO - 检查Redis的版本,以确定服务器是否有CVE-2022-0543的漏洞。

SLAVEOF - 创建一个攻击服务器的副本。

REPLCONF - 配置从攻击服务器到新创建副本的连接。

PSYNC - 启动复制流并下载服务器磁盘上的共享库 "exp_lin.so"。

MODULE LOAD - 从下载的动态库中加载模块,该模块能够执行任意命令并利用CVE-2022-0543。

SLAVEOF NO ONE - 将有漏洞的Redis服务器转变成主服务器。

利用植入后门的命令执行能力,攻击者收集主机的硬件信息,然后下载Redigo(redis-1.2-SNAPSHOT)。该恶意软件在升级权限后被执行。

攻击者通过6379端口模拟正常的Redis通信,以逃避网络分析工具的检测,同时试图隐藏来自Redigo的命令和控制服务器的流量。

由于AquaSec公司蜜罐的攻击时间限制,其分析师无法确定Redigo在环境中站稳脚跟后到底做了什么。

AquaSec表示,Redigo的最终目标很可能是将易受攻击的服务器作为机器人加入网络,进行分布式拒绝服务(DDoS)攻击,或者在被攻击的系统上运行加密货币矿工。

此外,由于Redis是一个数据库,访问数据并窃取它也可能是Redigo攻击的目的。

]]>
医保基金公司Medibank数据大规模泄露后,澳紧急将罚款提高至5000万 Wed, 22 May 2024 14:11:54 +0800 12月2日,据The Hacker News报道,黑客再次在暗网公布Medibank用户敏感数据,这已经是黑客连续数次公布盗窃数据。作为澳大利亚最大的个人医保基金公司,Medibank在10月遭遇重大勒索攻击,970万用户敏感信息遭窃取。

在连续数起大规模勒索攻击事件发生后,澳大利亚政府通过了一项法案,将对数据泄露公司的处罚提高到5000万澳元。

这起发生在10月的勒索软件事件“余韵悠长”,在Medibank拒绝支付高额勒索赎金后,黑客开始陆续在暗网公开用户信息。

图片黑客最新披露的数据集以六个ZIP存档文件的形式上传,包括医疗保险赔付信息。但Medibank表示,大部分数据是零散的,与客户姓名和联系方式没有关联,被盗的个人数据本身不足以用来进行身份和财务欺诈。

The Hacker News表示,攻击Medibank的组织疑似位于俄罗斯,且很可能与REvil勒索组织有关,该组织于今年5月卷土重来。

此次黑客再度公布信息,恰逢澳大利亚信息委员会办公室(OAIC)宣布对Medibank的涉事数据处理实践进行调查。

频遭网络攻击,澳大利亚提高罚款额度

过去两个月,澳大利亚的大型企业和关键基础设施频频遭遇网络攻击,除了Medibank,澳大利亚第二大电信供应商澳都斯(Optus)也遭遇网络攻击,1000万名客户的账户受影响。零售公司伍尔沃斯(Woolworths)的打折购物网站也遭攻击,数百万客户个人信息泄露。

路透社此前曾报道,澳大利亚政府11月4日发布的一份报告显示,上个财年,澳大利亚境内的网络攻击数量激增,“平均每七分钟一次”。

这些大型数据泄露事件促使澳大利亚政府通过新的法案。11月30日,澳大利亚政府通过了一项法案《2022年隐私立法修正案(执行和其他措施)法案》,显著增加了对遭受严重数据泄露或反复数据泄露公司的处罚。

新法案规定,最高罚款从目前的222万澳元提高到5000万澳元,相当于一家实体企业在相关时期调整后营业额的30%,或者通过滥用信息获利的三倍,以两者中最高者为准。

司法部长马克·德雷福斯(Mark Dreyfus)在一份声明中表示:“最近几个月发生的重大隐私泄露事件表明,现有的安全措施已经过时和不足。这些改革清楚地向企业表明,对重大数据泄露的惩罚不能再被视为经营成本。”

]]>
亲俄黑客组织Killnet发起“总攻”预热,星链瘫痪数小时 Wed, 22 May 2024 14:11:54 +0800 本周三,亲俄黑客组织Killnet宣称已经完成对埃隆·马斯克的星链(Starlink)、白宫官网(WhiteHouse.gov)和威尔士亲王网站的“测试攻击”。安全公司Trustwave的研究人员确认了上述攻击的真实性。

星链瘫痪数小时

Killnet及其黑客合作者团伙在宣言中声称,他们完成了三次“试探性的”DDoS攻击,旨在惩罚支持乌克兰的一些最关键的力量,包括马斯克的Starlink卫星宽带服务以及美国白宫和英国威尔士亲王的网站。

Killnet声称在11月18日通过DDoS攻击关闭了Starlink服务。同一天,网络安全公司Trustwave的研究人员在Reddit上发现Starlink客户抱怨他们几个小时内无法登录帐户。

Killnet在Telegram上发布消息称:“同志们久等了,对星链发动的集体DDoS攻击导致没有人可以登录Starlink。”

马斯克的星链对乌克兰军队的战场情报和指挥至关重要。11月初,黑客组织“Joker DPR”(顿涅兹克小丑)宣称成功入侵乌克兰武装部队(AFU)使用的所有军事指挥和控制程序,包括可接入北约ISR系统的美国Delta数字地图战场指挥系统。根据Joker DPR泄露的信息,该系统目前是乌克兰部队主要使用的战场指挥系统,且严重依赖星链网络提供的通讯服务。

据悉有大量黑客组织参与了Killnet围剿星链的DDoS攻击活动,包括Anonymous Russia,Msidstress,Radis,Mrai和Halva。

白宫,威尔士亲王网站被针对

除了星链,Killnet还宣称在11月17日成功地在白宫网站上实施了“30分钟的试探性攻击”。

“当然,我们希望攻击持续更长的时间,但没有考虑到请求过滤系统的强度,”Killnet补充道:“即便如此!白宫官网还是在所有人面前被搞瘫了!”

据Trustwave透露,白宫动用了军用级保护来抵御Automattic的DDoS攻击。

数日后,即11月22日,Killnet又发起了另一次DDoS攻击,这次是针对威尔士亲王的网站,并警告说英国医疗系统将是下一个目标。Killnet还威胁未来将对伦敦证券交易所,英国陆军等重要目标实施攻击。

尽管目标雄心勃勃,但Trustwave表示,Killnet及其网络犯罪团伙还不够先进,无法实施比基本DDoS攻击更高级的攻击。

“我们应该期待看到更多来自Killnet的低技能攻击,针对越来越多与俄罗斯作对的目标,”Trustwave在周二关于Killnet DDoS攻击的报告中表示:“然而,该组织的攻击力能否升级到造成损害、泄露数据或长时间瘫痪网站还有待观察。”

周四发动大规模攻击

在星链和白宫官网“小试牛刀”后,Killnet在社交网络上号召数以千计的俄罗斯黑客本周四对敌人发起大规模集体攻击(主要为网站篡改、垃圾邮件、DDoS等低技能攻击),参与攻击的黑客将得到加密货币作为奖励(下图)。

Killnet宣称本周四的第一波攻击将拿拉脱维亚开刀,因为后者宣布支持向乌克兰提供武器:

Killnet公布了拉脱维亚政府目标网站的网址和IP地址,同时还呼吁得到俄罗斯政府的支持,这表明Killnet期望能够得到类似乌克兰IT部队的官方认可和支持。

]]>
大事件!密码神器LastPass承认黑客窃取了客户数据 Wed, 22 May 2024 14:11:54 +0800 11月30日,密码管理工具LastPass首席执行官 Karim Toubba公开承认,通过一个新的漏洞,黑客访问了LastPass 的第三方云存储服务器,并获得了部分客户的关键信息。但具体有多少客户因此受到影响,以及黑客窃取了哪些敏感信息暂时未公布。

在LastPass公开承认这一数据泄露事件后,该公司进一步强调“由于LastPass采取了先进的零信任架构体系,因此客户的密码仍然被安全加密。”

但是这个保证似乎并没有让客户满意。毕竟在2022年8月,LastPass还曾公开承认,有黑客曾进入过LastPass 的内部系统,并窃取了部分源代码和敏感数据。仅仅三个月后,LastPass 就在一次出现如此严重的数据泄露事件。

公开信息显示,Lastpass是一个在线密码管理器和页面过滤器,采用了强大的加密算法,自动登录/云同步/跨平台/支持多款浏览器。该公司声称其产品有超过10万家企业、3300万人员正在使用,是全球最大的在线密码管理软件。

值得一提的是,11月发生的数据泄露事件和8月发生的源代码泄露存在关联,根据LastPass 首席执行官 Karim Toubba的说法,黑客利用了“8月事件中获得的信息" ,从而获得了对用户数据的访问。

LastPass 表示,目前公司已经聘请专业网络安全公司Mandiant调查此事件,并将此次攻击的情况和执法部门进行了汇报。

近几年,LastPass 频频传出数据、密码泄露丑闻。2021年年底,许多LastPass用户在收到LastPass登录电子邮件警告,邮件告知他们的主密码已被泄露,有人试图从未知位置登录他们的帐户。事后,LastPass回应异常登录称,暂无证据表明数据泄露,但用户并不买账,并对LastPass的安全性提出了质疑。

LastPass母公司GoTo也遭受影响

由于第三方云存储服务由LastPass及其母公司GoTo(原名LogMeIn)共享,因此此次攻击事件也影响了GoTo的开发环境和第三方云存储服务,并泄露了相应的数据。

GoTo表示,该攻击事件并未影响他们的产品和服务,并且它们仍然可以正常运行。为了更好地确保安全,GoTo公司称在袭击发生后部署了“增强的安全措施和监控能力”。

有国外媒体向 GoTo 询问事件发生的具体信息及相关后果,例如攻击发生的时间或源代码是否被盗,但尚未得到回复。

]]>
勒索软件已冲击国家安全?英国议会启动专项调查 Wed, 22 May 2024 14:11:54 +0800 11月30日消息,英国议会国家安全战略联合委员会(JCNSS)周一举行首次证据介绍会,调查其国家安全战略能否有效应对勒索软件威胁。

联合委员会主席玛格丽特·贝克特(Margaret Beckett)议员表示,这次介绍会旨在确定“威胁的规模和性质”。

在此之前,由英国上、下议院议员组成的联合委员会已开放证据提交通道。

预计后续听证会将进一步引入应对勒索软件攻击的证人,包括受害者及执法机构。其中一部分由委员会传唤,另一些则根据书面证据进行选择。

勒索软件威胁规模有多大?

贝克特表示,“人们似乎普遍认为,近年来勒索软件威胁正持续恶化,但总体上仍缺少能够证明威胁规模的可靠数据。”

网络安全公司NCC Group首席技术官Ollie Whitehouse、咨询公司Control Risks网络事件响应负责人Jayan Perera以及牛津大学网络安全教授Sadie Cresse三位证人,在本次介绍会上提出了以下几大要点:

针对英国组织的勒索软件攻击在实际“规模”上缺乏可见性;

尽管不清楚攻击事件的真实数量,但其他数据来源证实这确实是个普遍存在的威胁;

所谓“泄露网站”所公布的信息,并不足以体现其他未公开被盗数据的网络勒索活动;

勒索攻击事件上报的普及度不高,组织只在有明显好处时才会选择与政府和执法部门接触;

应当以仍在持续发展的网络安全科学为基础,据此探索对勒索软件的抵御之道。

会上公布了哪些证据?

在本次调查之前,英国政府已经发布过两项国家安全战略审查:第一是2021年的安全、国防、发展与外交政策综合审查,其中将勒索软件确定为“最有害的网络犯罪形式之一”;第二是今年的英国国家网络战略,其中将勒索软件描述为“英国面临的最重大网络威胁”,且“可能与国家支持的间谍活动具备同等危害”。

在听证会的开场,Ollie Whitehouse引用了美国财政部金融犯罪执法网络(FinCEN)本月早些时候发布的数据。数据显示,2021年全美勒索软件攻击和支付赎金数额均创下新纪录。

他指出,上报的事件已经由2020年的487起跃升至1489起,同比增长约300%。但2022年期间,NCC Group对勒索软件泄露网站的分析显示,受害者数量减少了7%至10%。

Jayan Perera观察到,俄乌战争似乎影响到了勒索软件即服务(RaaS)生态系统。知名勒索软件组织Conti内部的亲俄与亲乌派成员就曾发生过冲突,地缘政治争端后来导致其聊天记录泄露。

Sadie Cresse多次强调犯罪团伙的经济学原理,例如确定供应链攻击如何通过一次投入拿下多位受害者,以此获取规模经济收益。

她还指出,尽管Conti组织已经覆灭(该团伙此前曾攻击哥斯达黎加政府引发该国政治动荡),但其个人成员仍可能以新的身份继续活跃,这也体现出犯罪生态系统的内部流动性。

“隧道尽头没有光明”

英国上议院议员Baroness Crawley援引媒体报道,提到勒索软件攻击已经成为英国政府内阁办公室简报室(COBR)召开会议的主要原因。

报道称,尽管经过几个月的工作,内政部领导的勒索软件“冲刺”已经在一年前结束,但政府方面仍未采取任何切实行动以应对这一威胁。

直接负责勒索软件事务的官员表示,他们觉得隧道尽头没有光明,甚至完全感受不到有助于英国遏制这方面问题的任何希望。

Perera和Whitehouse都对政府的迟缓行动做出辩护。Creese则表示,“其实勒索软件中还涉及其他多种网络威胁类型,所以我建议把对勒索软件的担忧转化为对网络弹性的整体推进。”

]]>
停用UEFI安全启动,宏碁多款电脑存在严重安全漏洞 Wed, 22 May 2024 14:11:54 +0800 11月29日消息,ESET恶意软件研究员Martin Smolar报告,宏碁某些笔记本电脑设备的驱动程序存在高危漏洞,可停用UEFI安全启动功能,导致攻击者在启动过程中部署恶意软件。

受影响的宏碁笔记本电脑型号共计有五款,包括宏碁Aspire A315-22、A115-21、A315-22G、Extensa EX215-21和EX215-21G。

Martin指出,宏碁笔记本设备上的HQSwSmiDxe DXE驱动程序中发现了安全漏洞(CVE-2022-4020)。攻击者不需要用户交互即可更改 UEFI 安全启动设置,方法是修改 BootOrderSecureBootDisable NVRAM变量以禁用安全启动。

UEFI是统一可扩展固件接口(Unified Extensible Firmware Interface)的缩写,用于在加载操作系统之前启动计算机硬件。UEFI安全启动功能确保在设备启动过程中不加载恶意代码。

宏碁回应称,该漏洞确实存在,目前已修复该漏洞,并提醒用户及时更新固件。用户可在官网下载BIOS更新,并在系统中手动部署。

联想笔记本电脑早些时候也出现过类似问题,研究人员发现,ThinkBook、IdeaPad和Yoga多款笔记本电脑型号中存在类似错误,可能导致停用UEFI Secure Boot。

今年早些时候,ESET还发现超过70款联想笔记本设备安装了易受攻击的UEFI固件。UEFI固件中的缓冲区溢出漏洞允许攻击者进行任意代码执行(ACE)攻击,并禁用基本的安全功能。

]]>
又泄露5亿用户数据!知名社交平台脸书被罚约20亿元 Wed, 22 May 2024 14:11:54 +0800 2022年11月27日,当地时间路透社报道称,爱尔兰数据保护委员会(Data Protection Commission,下称“DPC”)对社交软件脸书(Facebook)处以2.65亿欧元(合约20亿人民币)的罚款,理由是该软件中超5亿用户数据被泄露。截至目前,脸书母公司Meta(Nasdaq:META)已因隐私泄露被该监管机构罚款近10亿欧元。

据路透社,此次罚款基于2021年4月的一项调查。该调查显示,脸书约5.33亿用户的个人数据被黑客窃取,这些数据涉及106个国家,包括脸书ID、用户全名、位置、生日、个人简介以及电子邮件地址等。

对于此次数据泄露,Meta曾表示,这是由于“恶意人士”利用脸书的漏洞窃取用户个人信息,且这些数据来自2019年发生的信息泄露事件,早已过时。

11月27日,该公司重申系统漏洞已经于2019年修正。Meta发言人表示,该公司将审查此次罚款的详细情况以决定是否对罚款提起上诉。

由于信息泄露,过去15个月中,爱尔兰DPC已经对Meta及旗下社交软件WhatsApp和Instagram展开三次调查,总罚款额超过9亿美元。

其中最大一笔发生在今年9月,Meta旗下社交软件Instagram由于保护儿童数据不力,被处以4.05亿欧元罚款。这是截至目前该监管机构对Meta的最高罚单,同时也是根据欧盟《通用数据保护条例》(General Data Protection Regulation)对监管公司开出的第二高罚单,仅次于2021年7月对亚马逊处以的7.46亿欧元罚款。

值得注意的是,就在上周,WhatsApp再度陷入信息泄露“丑闻”。

数字安全调查媒体Cybernews11月24日报道称,来自84个国家的超4.87亿WhatsApp用户数据被公开售卖。不过据多家外媒报道,Meta发言人于27日否认信息泄露一事,称该说法基于“未经证实的屏幕截图”,纯属推测,Meta并没有发现任何证据可以表明WhatsApp的系统存在数据泄露。

目前,欧盟正在收紧对大型科技公司的监管,已有两项针对大型科技公司的法律通过并开始实施,分别为《数字服务法案》及《数字市场法案》,前者规范科技公司的内容审核系统,后者旨在限制科技巨头的不正当竞争行为。

除Meta外,苹果、谷歌等科技公司同样受到爱尔兰DPC的监管。路透社称,该监管机构已对上述科技公司展开40项调查。

截至11月28日美股收盘,Meta跌2.36%,报收108.78美元/股,今年以来股价已跌逾67%。

]]>
网灾降临!因遭遇网络攻击,这个国家政务网络瘫痪超三周 Wed, 22 May 2024 14:11:54 +0800 11月29日消息,受网络攻击影响,太平洋岛国瓦努阿图政府已经离线约三个星期。民众难以获得服务,部分公务员也被迫重新拿起笔纸来办理事务。

几天过去,有官员告知当地新闻媒体,政府网络、官方网站和在线服务曾在11月6日遭到“入侵”。在此之后,政府一直对攻击事件和系统恢复问题三缄其口,这招致了一些批评声音,有新闻媒体甚至将这次黑客攻击称为“我们最深处的秘密”。

居民生活和工作受到极大影响

这次网络攻击,发生在总理Alatoi Ishmael Kalsakau领导的新政府宣誓就职后的第二天。由于政务系统离线,对居住在几十个岛屿上的32万瓦努阿图民众生活造成了极大不便。

太平洋咨询公司(一家与太平洋地区各企业及政府,包括瓦努阿图政府合作的咨询公司)管理合伙人Glen Craig表示,“这里的一切都通过电子邮件运行,所以邮件系统中断引发了很多问题。包括建筑许可、居留申请以及工作许可在内,很多待处理的事务都被搁置了。”

紧急服务也受到了影响,有一条报警热线被关闭了约一周之久。政府工作人员的工资未能按时支付,部分人还表示自己难以正常纳税。

在卢甘维尔岛帮助经营百万美元景观度假村的Gilbert Fries表示,“我有个朋友没法续签驾照,另一个朋友则无法在截止日期之前为一块土地上缴财产税。”他还提到,目前港口工人已经在用纸和笔来登记进出货物。

居住在该国首都维拉港的Craig表示,虽然居民们可以亲自到政府办公室缴纳税款,但“整个缴税记录,也是以手动方式在电子表格上完成的”。

攻击者索要赎金被拒,邻国正协助恢复业务

瓦努阿图最大邻国澳大利亚的太平洋事务部长Pat Conroy上周五表示,澳方一直在帮助瓦国政府恢复正常运作。

Conroy在瓦努阿图参加区域会议时告诉记者,“我们立即提供了帮助,并派出一支团队来协助应对这次可耻的网络攻击、做出事后响应。我们正努力让该国的IT系统恢复运转。”

澳大利亚的《悉尼先驱晨报》本月报道称,黑客曾索取赎金,但瓦国政府拒绝支付。外媒通过电话、短信和邮件多次联络瓦努阿图国家首席信息官,但对方并未回复置评请求。

尽管政府“每天”都会受到网络攻击,但系统被实际攻陷的情况并不多见。新南威尔士州大学网络安全研究所主任Nigel Phair表示,“这是因为政府一般在网络安全方面都做得很好。”

Phair解释称,恶意黑客往往会瞄准政府愿意出钱保护的敏感数据。“比如说高度敏感的税务信息、社会保障或健康信息,以及总理部门经手的某些信息,犯罪分子往往能用这些数据换取更加有利的交换条件。相比之下,公园管理割草时间的IT系统的低敏感度信息则意义不大。”

多方面因素导致瓦努阿图缺乏应急计划

澳大利亚墨尔本莫纳什大学信息技术学院副院长Carsten Rudolph表示,由于人口稀少,瓦努阿图这个太平洋岛国很难养活足够应对网络安全挑战的全职政府雇员。

他解释称,“这个问题不仅跟太平洋地区的特点有关,也跟瓦国幅员辽阔、居民常因气候变化和灾害风险而迁徙等具体问题有关。总之,网络安全是一个系统性问题,必须把它跟其他问题统一起来做整体分析。”

Craig则表示,瓦努阿图政府缺乏在网络长时间中断的情况下继续维持政务的应急计划,这确实“令人失望”。他认为“有些部门表示不错,能立即在社交媒体上公布员工的备用Gmail账户。但也有些部门未作反应,导致人们根本不知道该如何与其沟通。”

Craig还提到,瓦努阿图堪称全球自然灾害最频繁、灾害风险最高的国家,受到气候变化的影响也极大。今年1月,另一太平洋国家汤加刚刚因火山喷发而陷入瘫痪,原因就是该国与世界连通的唯一海底光缆在灾害中断开。

Craig总结称,“在当今时代,对于像瓦努阿图遭遇的这类高风险事件,都应该有相应的强大系统来应对和解决。”

]]>
印度最大医院遭网络攻击:业务中断超4天 只能手动处理工作 Wed, 22 May 2024 14:11:54 +0800 11月28日消息,印度主要公共医疗机构之一,全印度医学科学研究所(AIIMS)遭遇网络攻击,出现业务中断。

此次中断影响到数百位使用基础医疗保健服务的患者和医生,波及患者入院、出院和计费等系统。

AIIMS成立于1956年,拥有数千位医学本科生和研究生。该机构同时也是印度最大的国有医院之一,可容纳2200多张病床。

医院方面表示,上周三(11月23日)发生的网络攻击似乎是一起勒索软件攻击,因为黑客修改了受感染文件的扩展名。

AIIMS管理人员接受采访时表示,自上周三上午开始,其患者护理服务受到了严重影响。

由于负责记录患者数据的服务器停止工作,该机构只能转向手动操作,包括手写病患记录。中断还导致排队周期延长,应急处置工作也开始出现失误。

在经历最初几个小时的中断之后,医院方面发布一份声明,确认了网络攻击的存在。中断一直持续到次日。

一位住院医生在采访中表示,“有很多采血样本无法发送,没法进行影像学研究,也看不到之前的报告和图像。大量操作只能以手动方式完成,但这样既耗时也更容易出错。”

到上周四晚些时候,医院方面指示医生继续手写记录,包括在系统中断期间手写出生和死亡证明。

据mint报道,直到上周六,医院服务器依然受影响,相关工作继续以人工方式进行。

印度国家信息中心的一支团队正与印度计算机应急响应小组密切合作,帮助AIIMS尽快恢复系统。据一位直接了解事件的人士称,目前正努力从备份中恢复数据。

与此同时,包括中央调查局和德里警局情报整合与战略行动部在内的多个执法机构,也在着手调查这起事件的幕后黑手。警方已经就此事提出正式控告。

目前还不清楚,恶意黑客能否访问到患者的细节数据。


]]>
《安联智库-网安周报》2022-11-27 Wed, 22 May 2024 14:11:54 +0800

1、WhatsApp数据大泄露,近5亿条用户号码在暗网出售

据Cybernews报道,有黑客正在地下论坛出售近5亿WhatsApp用户的最新手机号码,而通过检验数据库样本,这些数据极有可能是真实数据。11月16日,一名黑客在著名黑客社区论坛上发布了一则广告,声称出售WhatsApp 2022年数据库,库内包含4.87亿用户手机号码。
公开数据显示,WhatsApp在全球拥有超过20亿月活跃用户。据称,该数据库包含84个国家的WhatsApp用户数据。威胁行动者称其中包含3200万美国用户、4500万埃及用户、3500万意大利用户、2900万沙特阿拉伯用户、2000万法国用户、2000万土耳其用户信息;还包含近1000万俄罗斯公民和1100多万英国公民的电话号码。
Cybernews的研究人员联系WhatsApp数据库卖家,得到了一份数据样本。样本中有1097个英国和817个美国用户号码。卖家没有具体说明数据库的获得方法,暗示使用了一些策略来收集数据,并保证数据库中所有号码是WhatsApp活跃用户。WhatsApp母公司Meta对此不予置评。Meta长期以来因允许第三方收集用户数据而受到批评。通常情况下,发布在网上的大量数据转储是通过抓取获得的,此举违反了WhatsApp的服务条款。某黑客论坛上存在超过5.33亿WhatsApp用户纪录的泄露,下载数据库几乎免费。
除了WhatsApp大规模数据泄露,一份据称包含5亿领英用户资料的数据库被挂上黑客论坛出售。泄露的电话号码可能被用于广告营销、网络钓鱼、假冒和欺诈。“在这个时代,我们都留下了庞大的数字轨迹,像Meta这样的科技巨头应该采取一切预防措施和手段来保护这些数据,”Cybernews研究团队负责人曼塔斯·萨纳乌斯卡斯表示。“应该采取严格的措施来应对威胁,并从技术角度防止平台被滥用。”
2、真实案例!恶意黑客利用物联网设备成功入侵电网


11月25日消息,微软近期发布一份报告,揭示了使用已停止维护软件的物联网设备面临的风险。从最新案例来看,已经有黑客利用软件中的漏洞攻击能源组织。

本周二,微软研究人员在一份分析报告中透露,他们在Boa Web Server软件中发现了一个易受攻击的开源组件,被广泛应用于一系列路由器、安保摄像头以及流行的软件开发工具包(SDK)。

尽管Boa Web Server在2005年就已停止更新,但它仍被广泛应用,并由此掀起一轮新的危机。由于Boa已经内置到物联网设备供应链的复杂构建方式,防御方其实很难缓解这一安全缺陷。微软报告称,恶意黑客试图利用Boa Web Server的多个漏洞,包括一个高危级别的信息泄露漏洞(CVE-2021-33558)和一个任意文件访问漏洞(CVE-2017-9833)。未经身份验证的攻击者可以利用这些漏洞获取用户凭证,并远程执行代码。

“影响该组件的两个漏洞,可以让恶意黑客在发起攻击之前就收集到关于目标网络资产的信息,并获取有效凭证以访问更多未被检测到的网络。在关键基础设施网络中,恶意黑客能够在攻击之前收集未检测的信息。一旦攻击发起,黑客方就能引发更大影响,甚至可能造成数百万美元损失、破坏数百万人的正常生活。”微软表示。

2022年4月,Recorded Future又发布一份报告,介绍了另一个国家支持的恶意黑客团伙。报告称,该团伙利用物联网设备在用于监视/控制物理工业系统的运营技术(OT)网络上开辟登陆点。在此之后,微软在一周内在全球范围内发现了上百万个暴露在互联网上的Boa服务器组件。可以预见,这个易受攻击的组件很可能给整个世界带来巨大威胁。

3、遇到垃圾短信千万别回复TD 越回越多

我们每天都会收到垃圾短信,很多朋友为了不受其影响,基本都会回复“TD”退订,毕竟短信上就是这样写的。但实际情况却不是这样。腾讯公众号“你问鹅答”就提到,如果遇到无良商家,回复“TD”也没用,甚至后面会收到更多短信。

当你回复“TD”后,无良商家就会将你的号码认定为活跃用户,从而会给你发送更多营销短信。所以最好的解决方法是,什么都不要做。当然你也可以选择将“TD”作为关键词,通过黑名单等功能拦截。但这种做法可能会把少量有用的短信拦截。

事实上,商家没有经过用户同意,就给用户发送营销类短信,这种做法其实是违法的。早在2015年工信部就发布了《通信短信息服务管理规定》,明确商家不得在未经用户同意的情况下发送营销短信。违反者可被处于1万以上、3万以下罚款。

4、国际刑警组织破获 1.3 亿美元的网络犯罪大案

The Hacker News 网站披露, 国际刑警组织宣布,在一项全球打击网络犯罪的活动中,逮捕近 1000 名嫌疑人并扣押价值 1.3 亿美元的虚拟资产。据悉,这场名为“HAECHI-III”的网络犯罪打击行动开始于 2022 年 6 月 28日,在为期五个月时间里,共处理 1600多起案件,逮捕 975 名嫌疑人,冻结近 2800 个用于洗钱的银行和虚拟资产账户。

值得一提的是,逮捕嫌疑人中包括两名被韩国通缉的逃犯,这两人涉嫌参与庞氏骗局,从 2000 名受害者身上骗取近 2800 万欧元。此外,抓捕行动还涉及到一起印度呼叫中心骗局,一群犯罪分子冒充国际刑警组织和欧洲刑警组织的官员,网络诱骗奥地利的受害者转移资金。

网络犯罪分子”通知“受害者,由于其个人身份信息被盗,其他人以他们的名义犯下了与毒品有关的罪行,恐吓受害者汇款。印度中央调查局(CBI)上月披露,大部分受害者为消除嫌疑,被迫通过银行转账、加密钱包、礼品卡代码或凭证代码将其资产/金钱转移到犯罪分子的银行账户。

根据执法部门的说法,此次调查行动特别指出了一系列网络金融犯罪,如语音网络钓鱼、浪漫骗局、性侵犯、投资欺诈和与非法网络赌博相关的洗钱。当局强调,一些新发现的网络犯罪趋势包括各种各样的”浪漫骗局“、性侵犯以及使用加密消息应用程序推广虚假的加密钱包计划。


]]>
遇到垃圾短信千万别回复TD 越回越多 Wed, 22 May 2024 14:11:54 +0800 我们每天都会收到垃圾短信,很多朋友为了不受其影响,基本都会回复“TD”退订,毕竟短信上就是这样写的。但实际情况却不是这样。腾讯公众号“你问鹅答”就提到,如果遇到无良商家,回复“TD”也没用,甚至后面会收到更多短信。

当你回复“TD”后,无良商家就会将你的号码认定为活跃用户,从而会给你发送更多营销短信。所以最好的解决方法是,什么都不要做。当然你也可以选择将“TD”作为关键词,通过黑名单等功能拦截。但这种做法可能会把少量有用的短信拦截。

收到垃圾短信回复TD真能退订?腾讯科普:遇到无良商家变本加厉

事实上,商家没有经过用户同意,就给用户发送营销类短信,这种做法其实是违法的。早在2015年工信部就发布了《通信短信息服务管理规定》,明确商家不得在未经用户同意的情况下发送营销短信。违反者可被处于1万以上、3万以下罚款。

]]>
国际刑警组织破获 1.3 亿美元的网络犯罪大案 Wed, 22 May 2024 14:11:54 +0800 The Hacker News 网站披露, 国际刑警组织宣布,在一项全球打击网络犯罪的活动中,逮捕近 1000 名嫌疑人并扣押价值 1.3 亿美元的虚拟资产。

据悉,这场名为“HAECHI-III”的网络犯罪打击行动开始于 2022 年 6 月 28日,在为期五个月时间里,共处理 1600多起案件,逮捕 975 名嫌疑人,冻结近 2800 个用于洗钱的银行和虚拟资产账户。

值得一提的是,逮捕嫌疑人中包括两名被韩国通缉的逃犯,这两人涉嫌参与庞氏骗局,从 2000 名受害者身上骗取近 2800 万欧元。

此外,抓捕行动还涉及到一起印度呼叫中心骗局,一群犯罪分子冒充国际刑警组织和欧洲刑警组织的官员,网络诱骗奥地利的受害者转移资金。

网络犯罪分子”通知“受害者,由于其个人身份信息被盗,其他人以他们的名义犯下了与毒品有关的罪行,恐吓受害者汇款。印度中央调查局(CBI)上月披露,大部分受害者为消除嫌疑,被迫通过银行转账、加密钱包、礼品卡代码或凭证代码将其资产/金钱转移到犯罪分子的银行账户。

此次国际刑警组织的突击行动没收印度呼叫中心骗局 25.83 比特币和不同数字钱包中约 3.7 万美元,其中一名嫌疑人银行账户中持有的 37000 美元也被冻结。

国际刑警组织指出,呼叫中心骗局导致受害者转移了总计 15.9 万美元,并缴获了骗子使用的四个加密货币钱包。

根据执法部门的说法,此次调查行动特别指出了一系列网络金融犯罪,如语音网络钓鱼、浪漫骗局、性侵犯、投资欺诈和与非法网络赌博相关的洗钱。当局强调,一些新发现的网络犯罪趋势包括各种各样的”浪漫骗局“、性侵犯以及使用加密消息应用程序推广虚假的加密钱包计划。

]]>
真实案例!恶意黑客利用物联网设备成功入侵电网 Wed, 22 May 2024 14:11:54 +0800 11月25日消息,微软近期发布一份报告,揭示了使用已停止维护软件的物联网设备面临的风险。从最新案例来看,已经有黑客利用软件中的漏洞攻击能源组织。

本周二,微软研究人员在一份分析报告中透露,他们在Boa Web Server软件中发现了一个易受攻击的开源组件,被广泛应用于一系列路由器、安保摄像头以及流行的软件开发工具包(SDK)。

尽管Boa Web Server在2005年就已停止更新,但它仍被广泛应用,并由此掀起一轮新的危机。由于Boa已经内置到物联网设备供应链的复杂构建方式,防御方其实很难缓解这一安全缺陷。

微软报告称,恶意黑客试图利用Boa Web Server的多个漏洞,包括一个高危级别的信息泄露漏洞(CVE-2021-33558)和一个任意文件访问漏洞(CVE-2017-9833)。未经身份验证的攻击者可以利用这些漏洞获取用户凭证,并远程执行代码。

“影响该组件的两个漏洞,可以让恶意黑客在发起攻击之前就收集到关于目标网络资产的信息,并获取有效凭证以访问更多未被检测到的网络。在关键基础设施网络中,恶意黑客能够在攻击之前收集未检测的信息。一旦攻击发起,黑客方就能引发更大影响,甚至可能造成数百万美元损失、破坏数百万人的正常生活。”微软表示。

微软最初发现这个易受攻击的组件,是在调查一起针对印度电网的入侵事件中。此前,美国威胁情报公司Recorded Future曾在2021年发布报告,详细介绍某个国家威胁组织正在将攻击矛头指向印度电网内的运营资产。

2022年4月,Recorded Future又发布一份报告,介绍了另一个国家支持的恶意黑客团伙。报告称,该团伙利用物联网设备在用于监视/控制物理工业系统的运营技术(OT)网络上开辟登陆点。

在此之后,微软在一周内在全球范围内发现了上百万个暴露在互联网上的Boa服务器组件。可以预见,这个易受攻击的组件很可能给整个世界带来巨大威胁。

另一个重要问题在于,由于经常被整合在流行的SDK当中,所以很多用户根本不确定自己的产品中是否存在Boa Web Server。比如Realtek SDK,这款软件开发工具包在路由器、接入点及其他网关设备制造商中得到广泛使用,而它正好包含Boa Web服务器。

由于持续观察到针对Boa漏洞的攻击,微软决定就广泛使用的各网络组件的安全缺陷发布供应链风险警报。

]]>
WhatsApp数据大泄露,近5亿条用户号码在暗网出售 Wed, 22 May 2024 14:11:54 +0800 据Cybernews报道,有黑客正在地下论坛出售近5亿WhatsApp用户的最新手机号码,而通过检验数据库样本,这些数据极有可能是真实数据。

11月16日,一名黑客在著名黑客社区论坛上发布了一则广告,声称出售WhatsApp 2022年数据库,库内包含4.87亿用户手机号码。

公开数据显示,WhatsApp在全球拥有超过20亿月活跃用户。据称,该数据库包含84个国家的WhatsApp用户数据。威胁行动者称其中包含3200万美国用户、4500万埃及用户、3500万意大利用户、2900万沙特阿拉伯用户、2000万法国用户、2000万土耳其用户信息;还包含近1000万俄罗斯公民和1100多万英国公民的电话号码。

Cybernews的研究人员联系WhatsApp数据库卖家,得到了一份数据样本。样本中有1097个英国和817个美国用户号码。卖家没有具体说明数据库的获得方法,暗示使用了一些策略来收集数据,并保证数据库中所有号码是WhatsApp活跃用户。

WhatsApp母公司Meta对此不予置评。Meta长期以来因允许第三方收集用户数据而受到批评。通常情况下,发布在网上的大量数据转储是通过抓取获得的,此举违反了WhatsApp的服务条款。某黑客论坛上存在超过5.33亿WhatsApp用户纪录的泄露,下载数据库几乎免费。

除了WhatsApp大规模数据泄露,一份据称包含5亿领英用户资料的数据库被挂上黑客论坛出售。泄露的电话号码可能被用于广告营销、网络钓鱼、假冒和欺诈。

“在这个时代,我们都留下了庞大的数字轨迹,像Meta这样的科技巨头应该采取一切预防措施和手段来保护这些数据,”Cybernews研究团队负责人曼塔斯·萨纳乌斯卡斯表示。“应该采取严格的措施来应对威胁,并从技术角度防止平台被滥用。”

]]>
澳媒:澳医保公司近千万客户信息遭黑客窃取 Wed, 22 May 2024 14:11:54 +0800 据《澳大利亚人报》网站11月9日报道,一个黑客勒索组织9日在网上披露了澳大利亚个人医保基金公司的第一批客户敏感信息,其中包括吸毒成瘾者和艾滋病毒检测呈阳性者。澳大利亚总理安东尼·阿尔巴尼斯也是该公司的客户之一。

报道称,首批被公布数据被分成两组,一组以名为《淘气名单》的未加密文件的形式发布在暗网上,供人下载。里面有约100名患者的详细信息,包括他们是否曾因吸毒、酗酒焦虑、大麻依赖或阿片类药物成瘾而接受过治疗。

另一组所谓的《好人名单》也被发布了出来,包含另一些客户的细节信息和健康状况等。

这个勒索组织迄今已将数百名澳大利亚人的详细信息发布在这两份名单下。此前它在8日向个人医保基金公司下了最后通牒,要求后者在24小时内支付赎金,而该公司拒绝了勒索。

调查显示,黑客获取了个人医保基金公司约970万名当前客户和曾经客户的详细信息。

]]>
黑客攻击欧盟议会网站长达数小时 导致网络瘫痪 Wed, 22 May 2024 14:11:54 +0800 11月24日消息,外媒称,欧洲议会研究所所长表示,欧洲议会网站(European Parliament's website)在当地时间周三遭到“亲克里姆林宫”黑客的拒绝服务攻击,导致网站瘫痪数小时。

据了解,大约在该机构报告故障两小时后,议会网站再次启动。

欧洲议会主席梅特索拉(European Parliament President Roberta Metsola)在网站瘫痪后不久发推文称,“欧洲议会正遭受复杂的网络攻击。一个亲克里姆林宫的组织(pro-Kremlin group)声称对此负责。我们的IT专家正在反击,保护我们的系统。”

]]>
泰康人寿被疑强制上保泄露个人信息,旗下APP曾遭工信部通报 Wed, 22 May 2024 14:11:54 +0800 “本人没有做过相关操作,强制给别人上保,要求在你司信息库中永久删除我的个人信息。”

最近,在黑猫投诉平台上,有很多用户质疑泰康人寿侵害了自己权益、个人信息遭到泄露。

有用户表示,在自己没有投保的情况下,“突然收到泰康人寿短信,说飞铁保Plus领取成功,还有链接和保单号,证明我的信息被泄露了。”

还有用户称,“有泰康工作人员电话通知有飞铁保产品时,自己表明拒绝办理,但仍会收到链接短信,几分钟后又收到标有保单号的办理成功短信。”

据了解,飞铁保plus是一款特定交通工具意外险产品,由泰康在线保险承保,属于赠险,用户免费领取保障,虽然不需要支付保费,但需要填写各型信息,会有信息泄露的风险。

仅10月份以来,关于上述“强制上飞铁保”的投诉,就多达数十条,很多用户均表示非自己主观意愿,甚至并不知情,对自己的个人信息十分担忧,更有甚者要求删除自己在泰康人寿的资料。

而在今年2月21日,工信部通报的2022年第一批侵害用户权益的APP名单,泰康保险旗下泰康医生APP位列其中。所涉问题为:APP强制、频繁、过度索取权限。随后,泰康回应尽快整改完成。

最近,泰康人寿发布数据,泰康医生APP注册用户数突破900万,同比去年增长超75%。

有专家认为,用户个人信息泄露绝非“儿戏”,如果违规使用、买卖或信息泄露,用户轻则被垃圾信息和电话骚扰,重则被冒名办理业务,甚至被诈骗,引发财产损失和安全性问题。

近些年,国家对于网络信息安全越来越重视。2017年6月1日,《网络安全法》开始施行。《数据安全法》自2021年9月1日起施行。《个人信息保护法》自2021年11月1日起施行。

2021年2月施行的《互联网保险业务监管办法》,要求保险机构收集、处理及使用个人信息,应征得客户同意,获得客户授权。未经客户同意或授权,不得将客户信息用于所提供保险服务之外的用途等。

]]>
某医疗机构公众号系统漏洞遭利用,攻击者窃取10余万条公民数据境外售卖被抓 Wed, 22 May 2024 14:11:54 +0800 “网络通”麻某本可以靠自身技能找工作赚干净钱,却抵不住金钱的诱惑走上邪路,一手好牌被自己打的稀烂,硬生生将自己送进“班房”,冰城警方果断出手斩断了麻某非法窃取公民信息的“黑手”。

近日,哈尔滨市公安局南岗分局网安大队民警在工作中发现,境外某黑客论坛上有一名用户于2022年10月发贴出售公民个人信息数据,自称持有数据量约20GB,售价0.2比特币,该用户还公布了29条数据样本,样本中还包括了公民姓名、联系电话、家庭住址等个人信息。

由于该线索涉及侵犯公民个人信息犯罪,且涉案数据量较大,立即引起了各级网安部门的高度重视。

在哈尔滨市公安局网安支队统一指挥下,两级网安部门成立专案组,合力开展侦查工作。

专案组民警在调查中发现,犯罪嫌疑人精通电脑操作及网络知识,隐藏得很深,给侦查工作造成了不小的难度。专案组的民警们昼夜不眠,将被泄露数据在海量的数据源中进行比对、分析,经过96小时的艰苦奋战,最终确定了犯罪嫌疑人的作案手法、作案时间段及使用的IP地址。

10月22日,南岗公安分局民警在哈尔滨市平房区将涉嫌非法获取计算机信息系统数据的犯罪嫌疑人麻某抓获,并在其电脑中查获非法获取的公民个人信息10万余条。经审讯,犯罪嫌疑人麻某供述,其为IT行业从业人员,利用某医疗机构微信公众号的系统漏洞,在今年4月至10月间,通过技术手段非法获取该计算机系统数据10万余条,而后在境外某黑客论坛发帖出售,截至落网前,已非法获利1500美元。

目前,麻某已因涉嫌非法获取计算机信息系统数据罪被依法批准逮捕,案件正在进一步工作中。

]]>
《安联智库-网安周报》2022-11-20 Wed, 22 May 2024 14:11:54 +0800

1、暴雪与网易分手原因 关键在于想要中国百万玩家数据

对于暴雪和网易分手这件事,丁磊表示,“我们非常希望能继续代理暴雪游戏,为此付出非常多努力,但谈判难度远超预期。对关键核心条款,包括长远运营、玩家权益等都是暴雪提出的,这些条款也是我们不能接受的。
据爆料,知情人士称,网易与暴雪停止的合作的关键问题在于,对于知识产权的所有权以及对中国数百万玩家数据的控制权,由于此次会谈不公开,因此相关人士要求匿名。
2、数百个亚马逊 RDS 泄露了用户信息

安全公司 Mitiga 最新发现显示,亚马逊关系型数据库服务(Amazon RDS)上数百个数据库正在暴露用户个人身份信息(PII)。

安全研究员 Ariel Szarf、Doron Karmi 和 Lionel Saposnik 在与 The Hacker News 分享的报告中表示,泄露的数据库中包含用户姓名、电子邮件地址、电话号码、出生日期、婚姻状况、汽车租赁信息,甚至是公司登录信息,如此详细的用户数据,为潜在攻击者提供了丰富的“素材”。

亚马逊 RDS 是一项 Web 服务,可以在亚马逊网络服务(AWS)云中建立关系型数据库。不仅如此,RDS 还支持不同的数据库引擎,例如 MariaDB、MySQL、Oracle、PostgreSQL 和SQL Server 等。

3、疑遭网络攻击,太平洋岛国瓦努阿图政府网站已瘫痪11天

据英国广播公司(BBC)当地时间11月18日报道,瓦努阿图的多个政府网站已瘫痪11天,其服务器疑似遭到网络攻击。

瓦努阿图的议会、警方和总理办公室的网站已瘫痪。另外,该国学校、医院以及所有政府部门的电子邮件系统、内部网站和在线数据库均已瘫痪。这些网站或网络服务的瘫痪,导致瓦努阿图约31.5万名居民在纳税、开发票、申请执照和签证等事务上遇到困难。

当地政府工作人员不得不采取人工方式处理业务,这导致许多业务延期或被迫暂停。一些工作人员使用个人邮箱和个人网络热点处理业务。另据澳大利亚《悉尼先驱晨报》报道,疑似有网络黑客要求瓦努阿图政府支付赎金,但瓦努阿图政府拒绝支付。对于疑似黑客的身份、网络攻击如何发生、网络何时能够恢复等疑问,目前仍然没有答案。

4、安卓系统可能遭遇重大风险,两分钟可轻松破解锁屏

安卓系统可能遭遇了重大安全风险,只要能拿到对方的手机,就有可能轻松破解手机的锁屏密码。一次偶然的机会,国外网络安全研究员 David Schütz发现了一种极为简单地绕过谷歌Pixel 6 和 Pixel 5 智能手机的锁屏的方法,任何拿到手机的用户都可以解开手机。

整个过程只需要简单的五个步骤,大概两分钟的时间。虽然谷歌针对这个问题已经发布了Android 更新,而在更新之前,这个锁屏漏洞持续存在超过五个月的时间。

总的来说,对于该漏洞的利用主要有以下五个步骤:

1.提供三次错误指纹以禁用锁定设备上的生物特征认证;

2.将设备中的 SIM 卡与设置了 PIN 码的攻击者控制的 SIM 卡热交换;

3.提示输入错误的 SIM 卡密码三次,锁定 SIM 卡;

4.设备提示用户输入 SIM 的个人解锁密钥 (PUK) 码,这是一个唯一的 8 位数字,用于解锁 SIM 卡;

5.为攻击者控制的 SIM 输入新的 PIN 码。

漏洞影响广泛

该安全漏洞的影响十分广泛,几乎所有未更新2022年11月补丁的,运行 Android 10、11、12 、13 版本的手机都受到影响,这是一个无法想象的数量。

虽然这个漏洞利用需要对拿到对方的手机,但是这依旧会产生巨大的影响,尤其是对于那些虐待他人、接受调查、手机丢失的用户来说,影响十分严重。

]]>
安卓系统可能遭遇重大风险,两分钟可轻松破解锁屏 Wed, 22 May 2024 14:11:54 +0800 安卓系统可能遭遇了重大安全风险,只要能拿到对方的手机,就有可能轻松破解手机的锁屏密码。

一次偶然的机会,国外网络安全研究员 David Schütz发现了一种极为简单地绕过谷歌Pixel 6 和 Pixel 5 智能手机的锁屏的方法,任何拿到手机的用户都可以解开手机。

图片

整个过程只需要简单的五个步骤,大概两分钟的时间。虽然谷歌针对这个问题已经发布了Android 更新,而在更新之前,这个锁屏漏洞持续存在超过五个月的时间。

五步直接绕过Android锁屏

Schütz表示,他是在自己的Pixel 6 电池没电、输错 3 次 PIN 并使用 PUK(个人解锁密钥)代码恢复锁定的 SIM 卡后,发现了这个漏洞。

令他惊讶的是,在解锁 SIM 卡并选择新的 PIN 码后,设备并没有要求输入锁屏密码,而只是要求进行指纹扫描。

出于安全原因,Android 设备在重新启动时总是要求输入锁屏密码或图案,因此直接进行指纹解锁不正常。

Schütz继续进行试验,当他尝试在不重启设备的情况下重现漏洞时,他认为也可以绕过指纹提示,直接进入主屏幕。

总的来说,对于该漏洞的利用主要有以下五个步骤:

1.提供三次错误指纹以禁用锁定设备上的生物特征认证;

2.将设备中的 SIM 卡与设置了 PIN 码的攻击者控制的 SIM 卡热交换;

3.提示输入错误的 SIM 卡密码三次,锁定 SIM 卡;

4.设备提示用户输入 SIM 的个人解锁密钥 (PUK) 码,这是一个唯一的 8 位数字,用于解锁 SIM 卡;

5.为攻击者控制的 SIM 输入新的 PIN 码。

漏洞影响广泛

该安全漏洞的影响十分广泛,几乎所有未更新2022年11月补丁的,运行 Android 10、11、12 、13 版本的手机都受到影响,这是一个无法想象的数量。

虽然这个漏洞利用需要对拿到对方的手机,但是这依旧会产生巨大的影响,尤其是对于那些虐待他人、接受调查、手机丢失的用户来说,影响十分严重。

该问题是由于 SIM PUK 解锁后键盘锁被错误地关闭引起的,原因是关闭调用的冲突影响了在对话框下运行的安全屏幕堆栈。

当 Schütz 输入正确的 PUK 号码时,“解除”功能被调用两次,一次由监视 SIM 状态的后台组件调用,另一次由 PUK 组件调用。

这不仅会导致 PUK 安全屏幕被取消,还会导致堆栈中的下一个安全屏幕(键盘锁)被取消,随后是堆栈中下一个排队的任何屏幕。如果没有其他安全屏幕,用户将直接访问主屏幕。

谷歌的解决方案是为每个“关闭”调用中使用的安全方法包含一个新参数,以便调用关闭特定类型的安全屏幕,而不仅仅是堆栈中的下一个。

2022年6月, Schütz 向谷歌报告了这一安全漏洞,编号 CVE ID  CVE-2022-20465,但是直到2022年11月7日,谷歌才正式对外公布了该漏洞的修复补丁。另外,因为这个安全漏洞, Schütz 获得了谷歌的7万美元的高额奖励。

]]>
暴雪与网易分手原因 关键在于想要中国百万玩家数据 Wed, 22 May 2024 14:11:54 +0800 对于暴雪和网易分手这件事,丁磊表示,“我们非常希望能继续代理暴雪游戏,为此付出非常多努力,但谈判难度远超预期。对关键核心条款,包括长远运营、玩家权益等都是暴雪提出的,这些条款也是我们不能接受的。

据爆料,知情人士称,网易与暴雪停止的合作的关键问题在于,对于知识产权的所有权以及对中国数百万玩家数据的控制权,由于此次会谈不公开,因此相关人士要求匿名。

除此之外,网易在另一份声明中表示,在2021年和2022年前9个月,暴雪游戏的收入在网易总收入中占比较低。彭博社称在今年夏季,暴雪和网易的合作就出现了裂隙,当时他们取消了一款开发了三年的《魔兽世界》手游,而网易解散了一个100多名开发人员的团队。

]]>
快看看有你没!数百个亚马逊 RDS 泄露了用户信息 Wed, 22 May 2024 14:11:54 +0800 安全公司 Mitiga 最新发现显示,亚马逊关系型数据库服务(Amazon RDS)上数百个数据库正在暴露用户个人身份信息(PII)。

安全研究员 Ariel Szarf、Doron Karmi 和 Lionel Saposnik 在与 The Hacker News 分享的报告中表示,泄露的数据库中包含用户姓名、电子邮件地址、电话号码、出生日期、婚姻状况、汽车租赁信息,甚至是公司登录信息,如此详细的用户数据,为潜在攻击者提供了丰富的“素材”。

亚马逊 RDS 是一项 Web 服务,可以在亚马逊网络服务(AWS)云中建立关系型数据库。不仅如此,RDS 还支持不同的数据库引擎,例如 MariaDB、MySQL、Oracle、PostgreSQL 和SQL Server 等。

亚马逊 RDS 数据泄露事件详情

此次亚马逊 RDS 用户个人数据泄漏事件源于一个称为公共 RDS 快照的功能,该功能允许创建一个在云中运行数据库的环境备份,并且可以被所有 AWS 账户访问。

亚马逊方面表示,当用户准备把快照分享为公共快照时,请确保公共快照中不包括自身私人信息,一旦快照被公开共享时,会给予所有 AWS 账户复制快照和从中创建 DB 实例的权限。

2022 年 9 月 21 日至 10 月 20 日期间,安全研究人员进行了细致实验,最后发现实验的 810 张快照在不同时间段(从几小时到几周)内被公开分享,照片很容易被恶意攻击滥用。

在这 810 张快照中,有超过 250 个备份暴露了 30 天,侧面反映它们很可能已经被遗忘了。

根据所暴露信息的特殊性质,潜在攻击者可以窃取数据以期获取经济利益,或利用数据信息来更好地掌握用户所属公司的 IT 环境。

因此,亚马逊强烈建议用户不要开启 RDS 快照公开访问权限,以防止敏感数据的潜在泄漏、滥用或任何其他类型的安全威胁。当然,最好在适当的时候对快照进行加密。

]]>
疑遭网络攻击,太平洋岛国瓦努阿图政府网站已瘫痪11天 Wed, 22 May 2024 14:11:54 +0800 据英国广播公司(BBC)当地时间11月18日报道,瓦努阿图的多个政府网站已瘫痪11天,其服务器疑似遭到网络攻击。

瓦努阿图的议会、警方和总理办公室的网站已瘫痪。另外,该国学校、医院以及所有政府部门的电子邮件系统、内部网站和在线数据库均已瘫痪。

这些网站或网络服务的瘫痪,导致瓦努阿图约31.5万名居民在纳税、开发票、申请执照和签证等事务上遇到困难。

当地政府工作人员不得不采取人工方式处理业务,这导致许多业务延期或被迫暂停。一些工作人员使用个人邮箱和个人网络热点处理业务。

另据澳大利亚《悉尼先驱晨报》报道,疑似有网络黑客要求瓦努阿图政府支付赎金,但瓦努阿图政府拒绝支付。对于疑似黑客的身份、网络攻击如何发生、网络何时能够恢复等疑问,目前仍然没有答案。

]]>
《安联智库-网安周报》2022-11-13 Wed, 22 May 2024 14:11:54 +0800

1、虚假马斯克账号都能认证?Twitter Blue订阅引发冒牌危机

据Bleeping Computer 11月10日消息,Twitter在近期推出的“ Twitter Blue”蓝色认证功能已开始被网络不法分子以冒充的形式滥用,让这项每月需花费7.99美元的订阅服务的认证机制及安全性受到质疑。
这项订阅一经推出,就遇到了滥用风险,攻击者可以仿冒他人账户,并畅通无阻地通过认证。比如著名游戏发行商Rockstar Games出现了名为“RockstarGamse”的已认证仿冒账号。而一些名人,比如特朗普,甚至连马斯克本人的账号都没能幸免。在马斯克的例子中,虚假帐号直接从马斯克的真实帐号全盘复制个人资料,并通过了Twitter Blue认证。
11月初,马斯克在接管Twitter后正式推出Twitter Blue订阅服务,在此之前,马斯克就曾表示,要改进该平台的认证流程,但Twitter Blue所带来的这一混乱局面已经引发诸多不满。面对这一情况,马斯克表示将积极打击假冒和欺骗行为,任何假冒账号将会在不提前警告的情况下直接被永久停用。
2、波音子公司遭网络攻击,致使全球多家航司航班规划中断

近日,上海奉贤区人民检察院披露一起案件。50岁的罗某是一位基金经理,还是一位博士。

2021年10月,他通过交友网站结识34岁女子殷某。殷某自称“张某某”,并精心编造了一个留学归来、事业有成的高端人设。两人很快发展成男女朋友关系,罗某也多次向殷某转账。期间罗某多次向殷某提出见面被拒,一日殷某终于答应见面,最终却没有露面。罗某担心殷某身体不适,选择报警。警方调查后才发现,殷某并非其编造的“张某某”,而是外地的一位工厂女工,家中有丈夫和一对儿女。殷某因工作的工厂拖欠工资,便骗取罗某钱款用于生活开销。2021年11月,奉贤区人民检察院依法对殷某批准逮捕。该案在进一步审查起诉中。

3、隐私问题罗生门?苹果因涉嫌侵犯用户隐私被提起诉讼

苹果一直标榜自己的系统安全稳定,并珍视用户信息,但根据最新的诉讼消息来看,苹果栽在了其一直引以为傲的安全隐私,对于隐私权的尊重,或许它们过于言过其实了。新的诉讼是来自一份来自11月发表的报告,这位用户发现在iOS 14.6系统下,App Store、Apple Music、Apple TV和Books的“详细使用数据被发送到苹果”。研究人员称,股票发送的可识别信息比其他应用程序少。据报道,发送的数据与一个可以识别用户的标识符相关。据报道,这种行为在iOS 16中仍然存在,但研究人员无法检查发送的数据是什么,因为这些数据都是加密发送的。研究人员确实对Gizmodo说,在任何隐私设置的组合下,健康和钱包都没有发送类似的数据。所有数据都被发送到与iCloud的阵列不同的服务器。

原告表示,“苹果公司的做法侵犯了消费者的隐私;故意欺骗消费者;使苹果公司及其员工有权了解有关个人生活、兴趣和应用程序使用的亲密细节;并使苹果公司成为任何想破坏个人隐私、安全或自由的政府、私人或犯罪行为人'一站式购物'的潜在目标。通过其普遍和非法的数据跟踪和收集业务,苹果甚至知道用户应用使用的最私密和潜在的尴尬方面--无论用户是否接受苹果虚幻的提议来保持这些活动的隐私”。

苹果也曾明确表示过,其广告平台不会将用户或设备数据与从第三方收集的数据连接起来,以进行定向广告。他们还说,他们不会与数据收集公司分享用户设备或设备识别,无论是App Store,还是iPhone本身。但根据原告所提供的证据却证明了苹果公司正在欺瞒它的用户,并且涉嫌侵犯了受第四修正案保护的隐私区域",并违反了几十个州关于窃听和侵犯隐私的刑事法律,而第四修正案在这里似乎也并不适用。

4、加拿大最大肉类生产商被黑:部分运营中断 食品供应受影响

11月11日消息,加拿大肉类生产巨头Maple Leaf Foods(也称枫叶食品)在上周日(11月6号)证实,经历了一起网络安全事件,导致系统与运营中断。

Maple Leaf Foods是加拿大最大的预制肉类与家禽食品生产商,共拥有21处制造工厂、雇佣14000名员工,并承包超700处库房。2021年,该公司总销售额达33亿美元。

恶意黑客经常在周末发动网络攻击,这是看准目标正在放假、应对人手不足,希望最大限度提高成功机率。尽管攻击者时机选得不错,但这家加拿大包装食品巨头表示,其IT团队还是立即采取了应对措施。

目前,该公司专员正与网络安全和恢复专家们合作,希望尽快解决问题。“但预计全面解决中断仍然需要时间,且期间部分运营和服务将无法正常进行。”

]]>
基金经理网恋被工厂女工骗近30万 对方已婚已育 Wed, 22 May 2024 14:11:54 +0800 近日,上海奉贤区人民检察院披露一起案件。50岁的罗某是一位基金经理,还是一位博士。2021年10月,他通过交友网站结识34岁女子殷某。殷某自称“张某某”,并精心编造了一个留学归来、事业有成的高端人设。两人很快发展成男女朋友关系,罗某也多次向殷某转账。期间罗某多次向殷某提出见面被拒,一日殷某终于答应见面,最终却没有露面。罗某担心殷某身体不适,选择报警。警方调查后才发现,殷某并非其编造的“张某某”,而是外地的一位工厂女工,家中有丈夫和一对儿女。殷某因工作的工厂拖欠工资,便骗取罗某钱款用于生活开销。2021年11月,奉贤区人民检察院依法对殷某批准逮捕。该案在进一步审查起诉中。

]]>
将机密藏在三明治中,美国夫妇因出售核潜艇机密被判入狱 Wed, 22 May 2024 14:11:54 +0800 据美国司法部网站消息,一夫妇因试图窃取核潜艇设计机密并出售,于11月9日正式被判刑入狱。

据称,44岁的被告乔纳森·托贝在任职海军核工程师期间,具备访问海军核推进装置机密信息,包括军事敏感的设计元素、性能特征以及核动力潜艇反应堆其他敏感数据的权限,他协同自己46岁的妻子戴安娜·托贝,试图将上述部分信息出售给外国政府。

根据法庭文件披露,泄密过程始于2020年4月1日寄给外国政府的一个包裹,其中包含美国海军文件、一封包含指令的机密信件以及一张加密SD 卡,并附有“建立秘密关系可以购买额外的机密信息”的说明,寄件人地址为在宾夕法尼亚州的匹兹堡。FBI在了解到泄密情报后,于 2020 年 12 月派出一名冒充为对方国家政府代表的卧底,通过ProtonMail 加密邮件与取得联系。

在2021 年 4 月至 2021 年 6 月与乔纳森的交流中,这名FBI卧底在同意以门罗币加密货币支付报酬后,说服被告将其他美国海军机密信息传送到西弗吉尼亚州杰斐逊县的一个情报秘密传递点(dead drop)。期间,乔纳森也曾表现出对这名卧底的不信任,表示在将机密信息送至情报秘密传递点之前可能不会再与他进行沟通。

2021 年 6 月 26 日,乔纳森将一张加密 SD 卡藏进半个花生酱三明治中,放置在了预先约定的地点,而他的妻子负责望风。在向他们支付2万美元报酬后,FBI收到了解密密钥,审查发现,其中包含与潜艇核反应堆有关的军事敏感信息。8月28日,乔纳森将另一张加密SD卡藏在口香糖包装中,放置在了另一个位于弗吉尼亚州东部的约定地点。FBI在支付7万美元报酬后收到了解密密钥,其中也包含与潜艇核反应堆有关的敏感数据。

2021 年 10 月 9 日,在按约定将第三张SD卡交付后,这对夫妇被FBI 和海军刑事调查局 (NCIS)逮捕,并于 2022 年 2 月认罪。在11月9日的审判中,乔纳森·托贝被判处19年监禁,其妻子戴安娜·托贝被判处21年监禁。

据《华盛顿邮报》的报道,乔纳森·托贝对出售这些机密信息早已蓄谋已久,甚至为事情败露预留了护照和现金。在一封写给外国的信中,乔纳森称,“这些信息是在我的正常工作过程中,经过几年的缓慢而仔细地收集的,以避免引起注意,每次都是几页纸,偷偷通过安检。”

美国检察官 Cindy Chung 表示,乔纳森·托贝受托负责并保护国家机密,但他和其妻子的做法将国家的安全置于风险之中,是对忠诚无私的海军军人的背叛,其罪行的严重性怎么强调都不为过。

]]>
虚假马斯克账号都能认证?Twitter Blue订阅引发冒牌危机 Wed, 22 May 2024 14:11:54 +0800 据Bleeping Computer 11月10日消息,Twitter在近期推出的“ Twitter Blue”蓝色认证功能已开始被网络不法分子以冒充的形式滥用,让这项每月需花费7.99美元的订阅服务的认证机制及安全性受到质疑。

Twitter Blue订阅服务能够为用户账号提供优先推文、更少的广告、发布更长的媒体内容等特权,而最引人注目的特征,则是会在账号名称后面加上一个表示“已验证”的蓝色徽标。在过去,这一标识只对知名人士和组织机构的帐号开放。

这项订阅一经推出,就遇到了滥用风险,攻击者可以仿冒他人账户,并畅通无阻地通过认证。比如著名游戏发行商Rockstar Games出现了名为“RockstarGamse”的已认证仿冒账号。而一些名人,比如特朗普,甚至连马斯克本人的账号都没能幸免。在马斯克的例子中,虚假帐号直接从马斯克的真实帐号全盘复制个人资料,并通过了Twitter Blue认证。

到目前为止,区分是否经Twitter Blue订阅认证的账号的唯一方法是点击账号的蓝色认证徽标,查看弹窗中的认证说明信息,过去以知名人士或组织机构身份认证的账号会被描述为“此账号被识别为政府、新闻、娱乐或其他相关机构的可信账号”。

11月初,马斯克在接管Twitter后正式推出Twitter Blue订阅服务,在此之前,马斯克就曾表示,要改进该平台的认证流程,但Twitter Blue所带来的这一混乱局面已经引发诸多不满。面对这一情况,马斯克表示将积极打击假冒和欺骗行为,任何假冒账号将会在不提前警告的情况下直接被永久停用。

]]>
隐私问题罗生门?苹果因涉嫌侵犯用户隐私被提起诉讼 Wed, 22 May 2024 14:11:54 +0800 尽管苹果公司的市值不断上升,但苹果的麻烦也一直不断,尤其是在诉讼方面苹果一直是科技公司的重灾地,此前就有关于劳资、著作权等方面的诉讼,不过这一次苹果竟然栽在了其一直引以为傲的安全隐私上。苹果一直标榜自己的系统安全稳定,并珍视用户信息,但根据最新的诉讼消息来看,对于隐私权的尊重,或许它们过于言过其实了。

新的诉讼是来自一份来自11月发表的报告,这位用户发现在iOS 14.6系统下,App Store、Apple Music、Apple TV和Books的“详细使用数据被发送到苹果”。研究人员称,股票发送的可识别信息比其他应用程序少。据报道,发送的数据与一个可以识别用户的标识符相关。据报道,这种行为在iOS 16中仍然存在,但研究人员无法检查发送的数据是什么,因为这些数据都是加密发送的。研究人员确实对Gizmodo说,在任何隐私设置的组合下,健康和钱包都没有发送类似的数据。所有数据都被发送到与iCloud的阵列不同的服务器。

原告表示,“苹果公司的做法侵犯了消费者的隐私;故意欺骗消费者;使苹果公司及其员工有权了解有关个人生活、兴趣和应用程序使用的亲密细节;并使苹果公司成为任何想破坏个人隐私、安全或自由的政府、私人或犯罪行为人'一站式购物'的潜在目标。通过其普遍和非法的数据跟踪和收集业务,苹果甚至知道用户应用使用的最私密和潜在的尴尬方面--无论用户是否接受苹果虚幻的提议来保持这些活动的隐私”。

苹果也曾明确表示过,其广告平台不会将用户或设备数据与从第三方收集的数据连接起来,以进行定向广告。他们还说,他们不会与数据收集公司分享用户设备或设备识别,无论是App Store,还是iPhone本身。但根据原告所提供的证据却证明了苹果公司正在欺瞒它的用户,并且涉嫌侵犯了受第四修正案保护的隐私区域",并违反了几十个州关于窃听和侵犯隐私的刑事法律,而第四修正案在这里似乎也并不适用。

原告希望该诉讼寻求“赔偿和所有其他形式的公平金钱救济”,以及法院可能认为适当的禁令救济。要求进行陪审团审判。目前还不清楚该案何时或是否会得到审理。

]]>
知名会计事务所被拿下,近期LockBit勒索软件动作频频 Wed, 22 May 2024 14:11:54 +0800 据SecurityAffairs 11月6日消息,勒索软件组织 LockBit从知名会计事务所Kearney Company 窃取了数据并索要赎金。

Kearney主要为政府单位提供财务管理等多种服务,目前为一些美国联邦政府机构提供审计、咨询和 IT 服务,提高政府运作效率。

据悉,LockBit于11月5日正式公开了勒索消息,要求Kearney & Company 在11月26日前支付200万美元赎金,否则将发布被盗数据。目前LockBit已经公布了一份被盗数据样本,其中包括财务文件、合同、审计报告、账单文件等。

而就在上周,LockBit还攻击了德国著名跨国车企大陆集团(Continental)和国防巨头Thales,LockBit勒索软件近期可谓是异常活跃。

 强大且危险的LockBit 3.0 

回望 LockBit短短三年的发展历史,自2019年9月首次出现以来就经历了三次重大更迭,每一次升级都让它的攻击实力得到大幅增强。最新版的LockBit 3.0于今年6月底推出,其中包括了勒索软件以前从未有过的漏洞赏金计划,该计划提供最高100万美元的优厚报酬,让LockBit得以持续优化改进。为了提高隐蔽性,Lockbit 3.0 接受 Zcash、门罗币以及比特币的赎金支付。

]]>
加拿大最大肉类生产商被黑:部分运营中断 食品供应受影响 Wed, 22 May 2024 14:11:54 +0800 11月11日消息,加拿大肉类生产巨头Maple Leaf Foods(也称枫叶食品)在上周日(11月6号)证实,经历了一起网络安全事件,导致系统与运营中断。

Maple Leaf Foods是加拿大最大的预制肉类与家禽食品生产商,共拥有21处制造工厂、雇佣14000名员工,并承包超700处库房。2021年,该公司总销售额达33亿美元。

恶意黑客经常在周末发动网络攻击,这是看准目标正在放假、应对人手不足,希望最大限度提高成功机率。

尽管攻击者时机选得不错,但这家加拿大包装食品巨头表示,其IT团队还是立即采取了应对措施。

目前,该公司专员正与网络安全和恢复专家们合作,希望尽快解决问题。

Maple Leaf Foods在公告中表示,“我公司正在执行业务连续性计划,着手恢复受到影响的系统。”

“但预计全面解决中断仍然需要时间,且期间部分运营和服务将无法正常进行。”

Maple Leaf Foods表示将继续与客户及合作伙伴携手,尽量缓和加拿大市场上的食品供应中断。

该公司发言人还在发给媒体的评论中指出,他们正在对事件开展调查,但尚未确定此次攻击是如何发生的。

声明提到,“中断已经造成部分运营和服务无法正常进行,具体情况依各业务部门、工厂和地点而定。”

至于接下来的恢复阶段,这位发言人预计系统恢复期间会继续发生中断,但他们会努力将这种影响降至最低。

“目前,我们专注于恢复业务连续性。”

该公司最后补充称,他们还未发现此次事件对其他合作伙伴造成的任何可能影响。

截至本文撰稿时,各网络犯罪论坛或勒索软件团伙门户上也尚未列出关于Maple Leaf Foods的任何公告。

]]>
卧底揭秘:英国竟是印度黑客雇佣行业的大金主 Wed, 22 May 2024 14:11:54 +0800 非法黑客,也被称为“雇佣黑客”,活跃在世界各地。印度雇佣黑客在国际上十分活跃,收取高额费用入侵重要国家和人物的电子邮件和手机。

11月6日,《星期日泰晤士报》(The Sunday Times)和调查新闻局(Bureau of Investigative Journalism)的一项卧底调查,通过一个印度“雇佣黑客”团伙内部泄露的数据库,揭露了一些印度黑客替伦敦的企业情报公司入侵英国企业、记者和政界人士的电子邮件账户等攻击行为。

这些卧底爆料在西方企业情报圈引起了恐慌,因为许多企业都曾使用过印度雇佣黑客,尤其是英国企业。卧底记者与若干印度黑客取得了联系,探寻雇佣黑客的行业生态及其地下产业对英国的影响。

印度对雇佣黑客来说是一个特别有吸引力的地方,一方面印度对计算机违规行为执法力度轻,另一方面在一个拥有不同管辖权的遥远国家实施犯罪大大降低了被抓或被起诉的风险。

在英国,黑客攻击最高可被判处10年监禁。印度也有类似的法律,非法入侵电脑会判处最高3年监禁。但印度的黑客们并不惧怕,因为尚且没有判决先例。这也是英国企业热衷雇佣印度黑客的原因之一。

Appin:印度雇佣黑客圈的“黄埔军校”

卧底记者们假扮成前军情六处(MI6)经纪人和非公开调查人员,潜入印度雇佣黑客行业。

雇佣黑客是近十几年的趋势,一些计算机安全公司假借训练“白帽”黑客之名,实则在为黑暗交易做准备。侵入私人电子帐户收获颇丰,也有很多客户愿意付钱,印度黑客产业由此兴起。

该行业的创始人之一是Appin公司,十多年前成立于德里,借口是培训新一代“白帽”黑客,帮助保护个人和企业免受网络攻击。

如今,Appin已经倒闭,据称它的客户包括英国的企业情报公司。Appin训练的黑客之一Aditya Jain,他的秘密数据库显示他攻击过卡塔尔的活动人士,这一行为也被《星期日泰晤士报》曝光。据一名前雇员向卧底调查人员透露,卡塔尔是Appin的客户之一。但卡塔尔方面对此持否认态度。

当Appin的攻击活动曝光后,其非法行为也随之结束。2013年,挪威网络安全专家将Appin与针对十几个国家的大规模网络攻击联系起来。有消息称,2021年,Appin的创始人Rajat Khare在英国政府贸易部门全球企业家项目的帮助下,在英国成立了一家企业。

Appin解散后,其前员工出走成立了新公司。一些公司在古尔冈(Gurugram)设立了办事处,古尔冈位于德里西南郊区30公里处,是德里的卫星城,大型科技公司如Meta、谷歌、推特都在这里设有办事处。

后起之秀BellTrox是印度雇佣黑客行业的关键玩家,该公司董事苏米特·古普塔(Sumit Gupta)曾在Appin工作。他曾和两名美国私人侦探一起开展大规模黑客行动,被列入美国司法部通缉名单。

2020年,加拿大网络安全监管机构公民实验室(Citizen Lab)公布的证据显示,BellTrox代表客户入侵了1万多个电子邮件账户,包括英国律师、政府官员、法官和环保团体的账户。

公民实验室发现,BellTroX的领英帐户有数百份员工认可。去年12月,脸书母公司Meta被迫删除了BellTroX在脸书运营的400个账户。

暴利收入:雇主花2万美元入侵一个电邮

由于黑客攻击的违法性,雇佣黑客行业高度保密,记者只能伪造身份接触黑客并进行秘密调查。

两名记者在梅菲尔创建了一家名为博福特的空壳情报调查公司,并假扮成最近退休的英国特勤局成员。

随后,记者联系疑似印度雇佣黑客的成员,称需要雇佣一名网络调查员收集客户目标信息。得到回应后,记者在二月飞往德里。

第一个回应的黑客自称“摩哂陀·辛格”,他的领英帐号列出的技能包括“安卓黑客”“手机监控”和“电子邮件追踪和渗透”。在和记者见面后,他表示在领英使用的是假名,他实际真名为泰·辛格·拉索尔(Tej Singh Rathore)。

拉索尔今年28岁。在科塔的拉贾斯坦邦科技大学学习信息技术时,他转而选择了“道德黑客”课程,因为他意识到这是一个“新兴行业”。

2014年,拉索尔以一级学位毕业后,在印度西北部城市阿姆利则的一家网络安全公司找到了一份工作。但他的老板告诉他,电脑“攻击性工作”(黑客术语)的报酬比保护系统的“防御性工作”高得多。

于是拉索尔选择单干,在领英上向企业情报公司兜售他的黑客技能。他接的工作案例背景多为婚姻纠纷、商业间谍和谋杀。

拉索尔的第一位顾客是新泽西州的酿酒师,她在离婚诉讼前委托拉索尔黑进丈夫的电子邮件,以了解丈夫的财务状况。

另一位出价颇高的顾客是比利时的马术师,他委托拉索尔黑入德国一个富有的马厩主。拉索尔回忆,这位顾客愿意付2万美元黑入一个电子邮件账户。

他还卷入了加拿大最臭名昭著的双重谋杀案。2017年12月,亿万富翁巴里·谢尔曼和他的妻子哈尼被发现被皮带勒死在多伦多家中的室内游泳池旁。拉索尔被雇来破解谢尔曼的电子邮件帐户。

几年之内,拉索尔的黑客业务蒸蒸日上。他表示,入侵一个电子邮件账户收取3000至2万美元的费用。目前,他已在英国、北美、香港、罗马尼亚、比利时和瑞士建立了企业情报客户。

背后大主顾:英国企业情报公司

拉索尔对卧底记者表示,大多数英国私人调查公司都雇佣印度黑客,“英国和整个世界… …都在使用印度黑客。”他表示,英国公司雇佣印度黑客已超过10年,大多是该行业两大巨头Appin和BellTroX的客户。

2019年,他通过领英与英国企业情报公司联系,首次被英国公司雇佣。对黑客来说,英国是一个富矿。“英国有很多公司,他们正在寻找同样的(黑客)服务,”他告诉卧底记者。

2020年,他被委托入侵苏格兰精酿啤酒公司Brewdog的前经理本·杜克沃斯的帐户。杜克沃斯曾公开批评该公司,离开Brewdog后,他在伦敦南部的布里克斯顿建立了自己的酿酒厂Affinity Beers。

拉索尔假扮成一名希望收购Affinity的酿酒商,给杜克沃斯发了一封钓鱼邮件,“我是一名意大利商人,我有意向投资贵公司并占股40%。”杜克沃斯点击了钓鱼邮件,拉索尔因此轻松获得了他的账户密码。

当《星期日泰晤士报》和联邦调查局将拉索尔的陈述告知杜克沃斯时,他表示不知自己被黑客攻击。精酿啤酒公司Brewdog则否认雇佣黑客实施攻击。拉索尔并不清楚最终客户的身份,他只与私人侦探打交道并拒绝透露私人侦探的名字。

拉索尔不仅仅是一名黑客,他还受雇为一位英国政治家做声誉管理工作。他表示,2021年初,一家总部位于伦敦的企业情报公司向他支付了1500英镑,替61岁的马修·戈登·班克斯(Matthew Gordon Banks)掩盖一件丑闻。拉索尔耗时一个月发布这位政客的正面消息,以覆盖之前在谷歌搜索信息流中的丑闻。这项名誉管理工作于去年4月成功结束,但随着时间推移,效果逐渐减弱。上周,戈登·班克斯否认使用过声誉管理服务。

印度雇佣黑客的培养

卧底记者接触的另一位黑客是乌特卡什·巴尔加瓦(Utkarsh Bhargava)。他常驻班加罗尔,有近10年黑客经历。

他告诉记者,他最初在印度工程师学会学习计算机科学,随后立即在德里的一家公司找到了一份工作从事黑客攻击,同期毕业的17位学员都服务于该公司。

他将该公司描述为印度政府的“国土安全公司”,称该公司十分神秘,与印度政府合作十分密切,进行黑客攻击类工作。

当时公司的培训由Appin负责,巴尔加瓦接受了一年的黑客培训,他还记得Appin的黑客为中东的客户工作,例如卡塔尔、迪拜、巴林、科威特、沙特,窃取“任何东西”。

在Appin学习之后,巴尔加瓦称接到印度政府命令,对土耳其、巴基斯坦、埃及和柬埔寨政府进行一系列网络攻击,目标通常是国家部委的秘密文件和档案。“我们的任务是获取数据转储并将其移交给(印度)机构… …(目标)包括外交部、内政部、国防部、财政部。这取决于他们在需要什么样的情报。”

2016年9月,巴尔加瓦离开了这家为印度政府工作的公司,加入了蓬勃发展的商业雇佣黑客行业,在博帕尔成立了自己的公司Aristi Cybertech Private Limited,从事私人黑客工作。

他每个项目收费1万至1.5万美元,为法国、奥地利、德国、意大利和泰国客户工作。一位名为Muller的奥地利客户在2020年夏天委托他黑掉埃及航空公司的乘客名单。他回忆,“操作起来非常简单,埃及航空公司的IT信息没有合适的安全配置。”

趁手利器:解构Pegasus间谍软件

巴尔加瓦甚至声称可以访问以色列NSO集团开发的Pegasus(飞马)间谍软件的源代码。Pegasus是最强大的网络武器之一,可以秘密安装在目标手机上,并可以提取WhatsApp、Signal和Telegram等加密消息应用程序。它还可以让黑客远程控制手机的摄像头和麦克风、下载设备的所有内容。

他表示,他在2019年发现了Pegasus源代码,并声称他和一些商业黑客利用Pegasus为客户提供服务。Pegasus可以持续监控目标的位置,如果受害者的GPS定位打开,黑客甚至可以进行实时跟踪。

巴尔加瓦给记者们发了一份他们部署的Pegasus代码。记者将代码交给Amnesty International安全实验室核验,研究员艾蒂安·梅尼尔确认,这些代码确实是一段“解构的Pegasus代码”。

梅尼尔称,为了实现可用性,黑客需要重新打包代码,并建立一个“在线操作中心”来接收被黑客攻击的数据。NSO集团则否认Pegasus代码已经泄露。

对黑客来说,部署间谍软件时受害者的手机会发热且运行速度明显变慢。因此,他们需要研究受害者的日常活动,以确定他们不使用手机的时间。

对于大多数目标,巴尔加瓦在凌晨时分窃听他们的电话。对于虔诚的中东目标,黑客一般选择在周五的礼拜时间发起攻击,这段时间他们不会看手机。

除了上述两位雇佣黑客,卧底记者还和前印度陆军跨境情报部门指挥官拉姆·希拉尔准将会面,他负责监管网络部门,直到2014年退休。退休后,他在古尔冈成立了一家名为Phronesis的公司。公司通过挖掘暗网来获取个人数据,有若干个英国企业情报客户。

]]>
乌克兰“网军”入侵俄罗斯央行,公布大量敏感数据 Wed, 22 May 2024 14:11:54 +0800 11月9日消息,乌克兰黑客分子称已成功入侵俄罗斯中央银行,并窃取到数千份内部文件。

外媒The Record审查了上周四(11月3日)公开发布的部分“被盗”文件,总计2.6 GB,包含27000个文件。从内容上看,这些文件主要涉及银行运营、安全政策以及部分前任/现任员工的个人数据。

黑客分子们在Telegram上写道,“如果俄罗斯央行无法保护自己的数据,又怎么保证卢布的稳定?”这起入侵事件出自乌克兰IT军成员之手,该组织在俄乌战争爆发后建立,有超20万名网络志愿者,各成员协同对俄罗斯网站开展分布式拒绝服务攻击。

中央银行是俄罗斯最重要的金融机构之一,也是该国货币政策制定者和国家货币监管者。据俄罗斯媒体报道,央行方面否认其系统遭黑客入侵,并表示这些所谓外泄文件原本就存放在公开域内。

泄露数据时间跨度大,涉及未来战略规划

这已经不是黑客首次宣称攻破俄罗斯央行。今年3月,匿名者(Anonymous)组织的黑客曾声称,从俄央行处窃取到35000份文件,并发布到了网上。

数据安全公司Very Good Security的分析师Kenneth Geers认为,“对于间谍、媒体和人权活动家们来说,这次泄露的文件可能是个宝库,其中也许包含会对俄罗斯造成灾难性打击的消息和故事。”

到目前为止,还很难断言这批泄露文件到底有多重要。部分已公开的文件可以追溯到近20年前,还有一些文件概述了俄罗斯央行未来两年的战略。

部分文件详细说明了俄罗斯用国内技术替代进口计算机程序/软件的政策,旨在“确保银行支付系统能顺利运行”。

由于俄乌战争爆发后的国际制裁,不少跨国科技企业目前已退出俄罗斯市场或暂停运营,迫使俄罗斯方面寻求国内替代方案。

乌克兰IT军还发布了其他一些文件,据称其中包含俄罗斯军人的个人数据、电话号码和银行账号。

俄乌冲突爆发后,俄罗斯银行业屡遭网络攻击

自俄乌开战以来,俄罗斯银行一直是乌克兰黑客们最热衷于攻击的目标。今年9月初,乌克兰IT军还入侵了俄罗斯第三大银行Gazprombank(俄罗斯天然气工业银行)。

据乌克兰IT军称,该银行网站在DDoS攻击下瘫痪了四个小时,导致客户无法付款、访问个人账户或使用手机银行。

IT军一位代表在采访中表示,“为了成功完成攻击,我们遍历了对方的整个网络并从中找到了漏洞。”

为了绕过俄罗斯的DDoS保护服务,IT军宣称创建了一款“特殊程序”,能够“以非标准方式攻击系统,因此对方很难抵挡。”

俄罗斯天然气工业银行证实了9月的黑客攻击事件,副总裁Olexander Egorkin甚至称赞了乌克兰黑客的“创造力”和“专业精神”。

Egorkin在9月的一次会议上表示,“这次攻势极为猛烈,就连俄罗斯最大的电信运营商Rostelecom都感到压力巨大。”尽管如此,目前还无法断言IT军在俄乌之间的网络战进程中究竟起到了怎样的作用。只能说部分行动确实暂时性扰乱了俄罗斯的业务,或者至少引发了俄方关注。

据俄罗斯媒体报道,自俄乌开战以来,俄罗斯银行业对于网络攻击和数据泄露的防御性服务需求开始急剧增加。

随着思科、IBM、甲骨文、Imperva、Fortinet、诺顿和Avast等全球技术与网络安全厂商纷纷退出俄罗斯,俄罗斯企业也更易受到网络攻击影响。

这也从另一方面鼓舞了IT军的士气,他们坚称,“我们的目标仍旧不变:让银行难以正常支付、拖慢财务履约速度,把怀疑的种子播撒在收款人们的心中。”

]]>
澳国防部遭黑客袭击,军人信息被泄露! Wed, 22 May 2024 14:11:54 +0800 据英国《卫报》10月31日报道,一场影响到澳大利亚国防部网站的黑客攻击,可能导致澳大利亚现役和退役军人之间多达4万份私人通信数据面临泄露风险。

澳大利亚国防部周一证实,在负责运营该国国防部内部通信平台ForceNet的外部ICT服务供应商遭到黑客攻击后,一些数据可能已经泄露。

澳大利亚退伍军人事务和国防人员部部长马特·基奥(Matt Keogh)将ForceNet描述为“一个内部通信平台”,涉及的数据库来自2018年,其中包含3万到4万份记录。

基奥说,澳国防部仍然相信没有个人数据被窃取,但仍在努力确认哪些现役和退役人员包括受雇于该部门的公务员,可能会受到影响。

他补充说:“我们正在与外部供应商合作,以确保全面了解该数据库包含哪些数据,哪些是可被获取的。我们了解到,(遭黑客攻击的)外部供应商那里总共保存着大约3万到4万份记录。我们正在努力全面了解可能涉及的人员有哪些。”

根据ForceNet网站介绍,该通信平台供澳大利亚军方和国防部门内部使用,旨在“促进可回查的沟通和信息共享,包括一对一和一对多,也包括在紧急情况下有针对性的沟通和支持以及对特定人员的支持”。

该网站在常见问题解答部分写道:“这意味着ForceNet用户可以确信,他们的信息和内容只会被其他已授权的用户看到。”

基奥表示,澳大利亚发生的一系列网络攻击事件令人担忧,其中包括针对电信供应商澳都斯(Optus)和私人保险公司Medibank的攻击。这些攻击凸显出人们需要对自己的个人信息保持警惕,政府则需要确保各机构采用充分的安全措施。

另据澳大利亚广播公司报道,技术专家认为,澳大利亚之所以成为黑客的攻击目标,是因为该国缺乏足够数量的、专业技能过硬的网络安全人员。

]]>
网络攻击迫使丹麦最大铁路公司火车全部停运 Wed, 22 May 2024 14:11:54 +0800 11月7日消息,由于受到网络攻击影响,欧盟国家丹麦在上周六(11月5日)出现多列火车停运。该事件再次证明,针对第三方IT服务提供商的攻击会对物理世界造成重大破坏。

据丹麦广播公司DR报道,上周六早上,丹麦最大的铁路运营公司DSB旗下所有列车均陷入停运,连续数个小时未能恢复。

从现象来看,这似乎是针对DSB运营技术(OT)系统实施恶意攻击的事件。但实际恰恰相反,遭受攻击的是丹麦公司Supeo,该公司专为铁路、交通基础设施和公共客运提供资产管理解决方案的外包供应商。

Supeo可能经受了一次勒索软件攻击,但该公司并未披露任何信息。DSB方面的一名代表告诉路透社,这是一起“经济犯罪”。

在发现黑客攻击之后,Supeo决定关闭其服务器,导致列车司机们使用的一款软件无法正常工作,最终引发了列车运营中断。

Supeo公司提供了一款移动应用,可供火车司机访问运行的各项关键运营信息,例如限速指标和铁路运行信息。据媒体报道,Supeo关闭服务器的决定令该应用停止工作,司机们只能被迫停车。

攻击铁路部门的恶意黑客并不少见,最近一段时间的受害者包括白俄罗斯、意大利、英国、以色列和伊朗。虽然研究人员已经证明,现代火车系统确易受到黑客攻击影响,但近期攻击活动针对的主要是铁路网站、票务及其他IT系统,没有直接针对控制系统。

美国运输安全管理局(TSA)最近发布一项新指令,希望改善铁路运营中的网络安全水平。

]]>
德国跨国汽车巨头大陆集团遭LockBit勒索软件组织攻击 Wed, 22 May 2024 14:11:54 +0800 据BleepingCompuer11月3日消息,知名勒索软件组织LockBit宣布他们对德国跨国汽车集团大陆集团( Continental) 发动了网络攻击。

LockBit声称,他们窃取了大陆集团系统中的一些数据,如果不能在11 月 4 日 15:45:36(北京时间23:45:36)之前收到赎金,他们将在数据泄露网站上公开这些数据。

目前LockBit尚未透露赎金的具体金额,以及窃取数据的具体时间及其他任何细节,但由于显示支付赎金的倒计时页面仍在刷新,表明大陆集团还尚未与勒索软件进行谈判,已经决定拒绝支付赎金。

今年8月,大陆集团系统曾遭到过攻击者入侵,事后公司声称立即采取了所有必要的防御措施,并在外部网络安全专家的支持下,对事件进行调查,公司业务没有受到任何影响。BleepingCompuer向大陆集团 询问这起事件是否和此次LockBit的勒索攻击相关,大陆集团美国公司传播与营销副总裁 Kathryn Blackwell 给出了否定的回复,并称无法提供更进一步的任何细节。

LockBit 勒索软件于 2019 年 9 月作为勒索软件即服务 (RaaS) 首次出现以来,已经制造多起重大勒索攻击事件。就在今年,LockBit 曾分别向意大利国税局和安全巨头Entrust发动过勒索攻击。

]]>
波音子公司遭网络攻击,致使全球多家航司航班规划中断 Wed, 22 May 2024 14:11:54 +0800 11月4日消息,美国航空航天巨头波音的全资子公司Jeppesen是一家位于科罗拉多州的导航与航班规划工具供应商。该公司昨天证实,由于发生网络安全事件,导致部分航班被迫中断。

11月2日(本周三),Jeppesen公司网站上出现了红色提示条幅,警告称“我们的部分产品、服务和沟通渠道出现了技术问题”。

波音公司一位发言人透露,这是一起网络安全事件,Jeppesen方面正在努力恢复服务。

该发言人表示,“我们的子公司Jeppesen遭遇到网络事件,已经有部分航班规划产品和服务受到影响。部分航班规划被中断,但目前我们判断此次事件应该不会对飞机或飞行安全构成威胁。我们正与客户和监管机构沟通,并努力在最短时间内全面恢复服务。”

尽管航班中断的严重程度还不明确,但此次事件至少已经影响到当前及后续空中任务通知(NOTAM)的接收和处理。NOTAM是指向航空当局提交的通知,用于提醒飞行员注意航线上的潜在危险。

伊拉克航空、沙特Flynas航空、加拿大太阳之翼航空均发布公告,称Jeppesen系统发生了中断。Flynas表示部分航班被重新调整,太阳之翼还称北美多家航司受影响。

旅游博客Live And Let’s Fly的博主Matthew Klint称,有消息人士透露,此次事件属于勒索软件攻击。但波音发言人称系统“仍处于活动状态”,暂时无法证实事件与勒索软件有关。

航空业网络威胁形势日趋严峻

当前,航空业已经成为网络攻击乃至勒索软件攻击的高频目标。

今年5月,印度香料航空(SpiceJet)公司报告称遭受勒索软件攻击,导致众多乘客因航班停飞在滞留在机场。今年8月,为多家大型航空公司提供技术方案的Accelya称遭受勒索软件攻击,幕后黑手为BlackCat团伙。去年8月,曼谷航空公司称有黑客对其发动勒索软件攻击,事后还通过入侵窃取了乘客信息。

据报道,波音公司也在2018年受到广泛传播的WannaCry勒索软件的打击,好在服务很快恢复了正常。波音公司发言人接受《西雅图时报》采访时称,“漏洞只影响到几台设备。我们部署了软件补丁,所以包括777喷气式飞机在内的所有项目均未发生中断。”

今年8月,美国运输安全管理局(TSA)出台规定,强制要求各航空公司在24小时内向网络安全与基础设施安全局(CISA)上报一切网络安全事件。

]]>
黑客长期潜伏国内一外贸企业邮箱,骗走200余万美元货款 Wed, 22 May 2024 14:11:54 +0800 本报讯近日,杭州钱塘一家外贸企业的电子邮箱遭不法分子入侵,导致企业险些被骗200余万美元货款。

当日,该企业工作人员在查询订单时发现,一海外客户于几日前收到了企业生产的货物,但一笔90万美元的货款始终未如约支付。该工作人员第一时间联系客户催款,对方却告知早已将货款汇至电子邮件里提供的指定账户。

该工作人员立即意识到,企业邮箱很可能遭到黑客非法入侵并恶意篡改,便向杭州市公安局钱塘区分局前进派出所报警求助。前进派出所立即将相关情况上报,钱塘区公安分局网警大队高度重视,联合前进派出所迅速介入调查。

“根据我们的调查,黑客是通过木马程序侵入了这家企业的邮箱,并长期潜伏,发现双方交易后,篡改了企业发送给国外客户邮件中的收款人信息及收款账户,致使客户根据邮件信息,将货款打进了黑客的账户。”前进派出所副所长钟嘉淇介绍说,在开展调查的同时,钱塘警方第一时间开展紧急止损。由于这笔货款需要在银行中转,警方介入时,这笔货款仍在中转流程中,警方通过及时申诉支付冻结,将全部货款顺利追回。

“警察同志,多亏有你们,不然我们公司损失就大了!”事后,该企业负责人给前进派出所送来锦旗,感谢警方帮忙挽回了巨额损失。

据钱塘警方介绍,此类黑客作案手法具有较强的针对性,侵害对象以与境外客商有业务往来的企业为主。警方提醒,如收到有关收款银行账号变更的邮件,一定要提高警惕,通过电话等多种方式再次确认。

此外,如果发现邮箱被盗,应立即修改邮箱密码,并在“自动转发”里删除盗取者的邮箱,避免邮件仍被抄送出去;同时应立即告知现有客户相关情况,对于任何关键信息的修改,如银行账号变动、订单详情变化,需通过传真及电话进行双重确认。如客户已打款,应尽快向公安机关报案,从而及时挽回损失。

]]>
英媒:前英国首相特拉斯私人手机被俄黑客入侵 Wed, 22 May 2024 14:11:54 +0800 据英国《每日邮报》称,这些网络黑客已经获得了与主要国际合作伙伴的绝密交流以及与他的朋友英国保守党政治家 Kwasi Kwarteng 的私人对话。此外,一位消息人士称,手机受到严重破坏,目前放在封闭的保险箱中并处于一个国家机关的保护下。

网络间谍在夏季保守党领导竞选期间入侵了特拉斯的手机,当时特拉斯正担任外交大臣。网络间谍获得的一些信息包括特拉斯女士对约翰逊先生的批评,这些信息可能被用来勒索这位政客。

专家还认为,这些信息包括与国际外交部长就乌克兰冲突进行的对话,可能与武器运输有关。

作为对黑客攻击的回应,特拉斯女士在成为总理前不久被迫更换了她的手机号码,这也解释了为何特拉斯成为首相前被迫更换了使用十多年的手机号码。

俄罗斯间谍涉嫌侵入的结果造成最近一年含有与外国政治家以及与自己朋友和同党派人士夸西·克沃滕通信的秘密数据被下载。在通信中特拉斯与英国盟国外长们,特别包含有向乌克兰提供西方武器的细节数据,该事件引起了英国政府内部的担忧。

“这非常严重,它显示了来自国家的威胁对我们造成伤害的严重性,以及为什么政府中的每个人都需要如此认真地对待网络安全。我们需要知道政府认识到这件事的严重性。” 影子内政大臣伊薇特库珀说。

据悉,政府发言人试图淡化这一事件,并解释说政府采取了强有力的措施来保护其基础设施免受网络威胁。

“我们不对个人的安全安排发表评论。政府拥有健全的系统来防范网络威胁。这包括为部长们提供定期安全简报,以及保护他们的个人数据的建议。” 发言人说。

]]>
美国财政部:2021年金融机构因勒索攻击损失超12亿美元 Wed, 22 May 2024 14:11:54 +0800 11月2日消息,美国金融监管机构发布报告称,2021年勒索软件攻击与赎金支付数量再创历史新高,多数勒索软件变种的幕后操纵者据信与俄罗斯有关。

总体来看,2021年金融机构根据美国《银行保密法》要求上报的勒索攻击总损失,已经由前一年的4.16亿美元骤升至12亿美元。

这些数据出自周二美国财政部下辖金融犯罪执法网络(FinCEN)发布的最新报告。

图片

2021年内上报事件总计1489起,远高于2020年的487起。研究人员报告称,“勒索软件持续对美国各关键基础设施部门、企业及公众构成重大威胁。”

报告写道,“过去两年以来,勒索软件攻击者开始从广撒网转向针对性入侵,通过精心挑选受害者、重点针对大型企业和提出高额赎金要求等方式,尽可能提高‘投资’回报。”

与此同时,美国白宫周一举办反勒索软件倡议全球峰会,接待来自30多个国家/地区的代表,共商勒索软件难题的解决之道。目前,勒索软件在全球范围内日益猖獗。

值得注意的是,俄罗斯官员缺席了此次会议。FinCEN表示,绝大多数勒索软件攻击均可溯源至俄罗斯。

报告发现,目前五大顶级勒索软件变种均与俄罗斯有关,而且近70%的勒索攻击事件“与俄罗斯、其代理人或俄方行动代表有关。”

报告指出,“虽然很难确定恶意软件的具体归属,但从这些变体的开源信息中确实发现了一些共性,例如使用俄语代码,通过编码刻意绕开俄罗斯或其他前苏联国家,主要在俄语网站上投放广告等。”

今年下半年,勒索软件攻击数量急剧增加。7月1日后上报的攻击事件已经达到793起,而俄罗斯恶意软件变种继续在其中占比四分之三。

]]>
严惩入侵网课的“爆破猎手” 守护清朗网络空间 Wed, 22 May 2024 14:11:54 +0800 11月2日凌晨,一名网友在微博发文称,她的母亲是一名历史教师,10月28日上完网课后独自倒在了家里,两天后才被发现并确认因心梗去世。据该网友提供的信息,网课期间有人在会议室中通过语音辱骂、共享屏幕干扰课件投屏等多种方式再三刺激这位老师,最终导致了悲剧。

当地负责处理此事的相关负责人表示,这位老师上网课时确实多次遭到网暴,但猝死和遭遇网暴是否有关联,暂无法确定,公安机关已介入调查。目前,悲剧的最终原因尚待相关部门调查,但网课入侵现象已经引发了公众的广泛关注。

为了在做好防疫工作的前提下确保教学进度,各地上网课的现象越来越普遍。大多数情况下,网课能较好地保证教学秩序,但也难以彻底排除各种意外的发生。除了早期师生的设备、网络速度等硬件能否匹配之外,网课遭入侵已经越来越成为让人头疼的问题。

所谓网课入侵,就是指老师正在上课期间,有现在被称“爆破猎手”的黑客,进入网络课堂谩骂老师或学生,发各种和教学无关的文字、图文、音乐,甚至还有淫秽色情视频等,来干扰教学秩序。其原因较为复杂,有些是学生反感上网课,自己或者邀请“爆破猎手”来捣乱,实现把网课搞黄的目的;也有些是学生之间有矛盾,通过这种方式公开报复;还有些就是纯粹的恶作剧。

在部分熟悉网络文化的年轻人看来,这可能不算什么严重的事。遇见莫名其妙的发言,及时踢出网络教室就可以了。可是对一些年纪偏大或者不熟悉网络操作的教师,这场景就会比较尴尬。除了自己被莫名羞辱之外,在全班学生面前手忙脚乱,暴露自己在网络技术方面的笨拙,对自尊心也是一种伤害。虽然这次老师的不幸猝死和网暴之间的关系有待确认,但换位思考,她面对网暴时的无奈也是完全可以想象的。

对于这类明显违法的行为,既要事前防范,也要事后追惩。某互联网知名企业曾在9月份的时候发布了网络会议的新版本,其中就有“一键暂停与会者活动”功能,用以防止网课入侵。更多相关软件也不妨加入相应的功能,方便网上教学、网络会议的主持人维持秩序。

对所谓“爆破猎手”的网络入侵,要追查到具体的黑客,从技术上可能也不会很难。此前之所以一直被漠视,可能和类似入侵所造成的后果不大有关系。正如流传出的一些“爆破猎手”发言截图显示的,这类行为通常顶多就是搞黄一堂课。

但这次的悲剧说明,看似轻微的违法行为,一旦不被及时打击而蔓延,也可能造成意想不到的严重后果。所以,除了相关平台技术上的改进,对相关人员多做技术上的辅导之外,更重要的是对这类“爆破猎手”也要加强打击力度。

从此前媒体报道以及最近流传的网络截图看,“爆破猎手”似乎已经形成了某种灰产。“爆破猎手”们在一些社交平台煽动、诱导学生下单,请他们去入侵课堂。时下,线上教学、办公的人数不少,某些明目张胆的网络入侵行为,扰乱的不仅是虚拟空间的公共秩序,也给很多人的现实生活带来了实实在在的伤害。对这些“爆破猎手”,就应该进行及时、精准、严厉的打击,还公众一个安宁、清朗的网络空间。

]]>
台湾 2300 万人民信息泄露,黑客开价5000美元 Wed, 22 May 2024 14:11:54 +0800 近期,联合新闻网披露,有黑客在国外论坛 “BreachForums”上出售 20 万条中国台湾省民众的个人资料,并声称拥有台湾省 2300 万民众的详细信息。

台湾省某部门接到举报后立刻展开调查,初步调查结果显示,在售的 20 万条信息所有者主要集中在宜兰地区,且信息全部吻合,县长林志妙、民进党立委陈欧珀的个人信息也在其中。

泄露的信息非常详细

10 月 21 日早上,海外论坛 Breach Forums 出现一篇文章,一名ID为“OKE”的网友,在论坛兜售台湾省民众的详细资料,并表示这些资料是来自政府官网的数据。据悉,这些数据包括台湾省的人口记录,可以很容易地从这些数据中找到所有民众的兵役记录、教育记录和居住地址等个人信息。

中国台湾省某部门指出,论坛上出现的 20 万条个人资料,只是黑客抛出的样本,供买家 "测试",黑客会和有兴趣的买家打交道,事实上,想要这些数据的人大多是电诈团伙成员。

2300 万民众数据打包出售

该名黑客以 5000 美元(约 3.6 万人民币),将 2300 多万条数据 "打包 "出售,并强调可以用比特币支付。

陈欧珀 10 月 29 日表示,已于 25日掌握黑客在贩售户政资料的消息,前天已要求相关部门尽速查明。此外,陈欧珀指出“户政资料”被黑,引起岛内民众极大震惊,会造成大家心理上恐惧。

林姿妙也要求民进党当局赶快检讨,强调保护民众个资很重要。林姿妙阵营强调,户政资料外泄已经不是第一次了,掌管户政资料的部门要说清楚,不能每隔几年就外泄一次。

中国台湾省内政部否认资料泄露

有关部门在 29 日发布的新闻稿中指出,Breach Forums 论坛在售的民众个人资料内容格式与政府部门的资料差异甚大,相关资料并非从户政部门网站泄漏,目前检调单位已着手进行调查。此外,该部门一再重申没有资料被窃取,已由检警调查,其没有调查权,不清楚资料来源。

台湾省有关单位初步调查显示,此次在 Breach Forums 论坛上兜售的户政资料,是 2018 年相关资料介接时,由其他单位泄露的。对于这种说法,政府部门表示的确有这样的传言,但目前还无法证实。

最后该部门表示,论坛上贩售的资料,看似由多个数据库组合而成,资料真实性有相似度,已交由检警调调查,并强调户政部门资讯系统采内外网实体隔离架构,资料均妥善保存于内网中,并未流出。

]]>
欧盟最大铜矿公司遭网络攻击,IT系统被迫中断服务 Wed, 22 May 2024 14:11:54 +0800

10月31日消息,德国铜生产商Aurubis(中文名为奥鲁比斯)宣布遭受网络攻击,被迫关闭IT系统以防止影响蔓延。

Aurubis是欧洲最大、世界第二的铜生产商,在全球拥有6900名员工,年产阴极铜100万吨。

Aurubis已经在官网上发布公告,称虽然各地IT系统已经关闭,但正常生产并未受到影响。

图片

公告中指出,“冶炼厂的生产和环保设施正在运行,进出货物也已转入人工维护。”

目前,该公司仍在评估网络攻击引发的影响,并与政府当局密切合作以加快调查进度。

Aurubis的当务之急是将产量保持在正常水平,保证原材料供应和制成品的平稳交付。

为此,该公司已经将部分操作转为手动模式,希望能在计算机辅助自动化功能重新上线之前,尽量保持冶炼厂货物的正常进出。

Aurubis公司指出,暂时无法估算需要多长时间才能让全体系统恢复正常运行。

在全面复原之前,该公司计划建立过渡性解决方案,为自身及客户提供暂时沟通渠道。目前,联络Aurubis的唯一途径只剩下电话呼叫。

尽管种种迹象表明这似乎是一起勒索软件攻击,但Aurubis方面并未提供关于攻击细节的任何说明。

值得注意的是,Aurubis提到这次攻击只是“针对金属及采矿业的更大规模袭击中的一部分”。

外媒已经联系该公司,希望了解关于此次事件的更多消息,并将第一时间带回置评回复。

最近一次针对超大型金属生产商实施勒索软件攻击的事件发生在2019年3月,当时LockerGoga团伙实施攻击,迫使铝业巨头Norsk Hydro关闭了自家IT系统。

]]>
网络安全事件迫使斯洛伐克议会暂停会议,今年欧洲近十国议会遭黑 Wed, 22 May 2024 14:11:54 +0800 11月1日消息,欧洲内陆国家斯洛伐克议会IT系统遭遇网络安全事件,导致上周举行的会议被迫暂停。

上周四(10月27日),斯洛伐克议会议长鲍里斯·科拉尔(Boris Kollár)在电视简报会中解释称,为了着手调查此次安全事件,原定的议会投票被迫取消。

科拉尔在简报会上透露,“我们发现了一起网络安全事件……有一个信号来自某个点,干扰了我们的系统和计算机,甚至为议员们服务的自助餐厅都受到了影响。”

图片

斯洛伐克国家安全办公室(NSB)后续发表声明,确认收到了关于国民议会期间“网络安全事件”的报告。该办公室拒绝提供关于情况的更多细节,也没有回应置评请求。

值得一提的是,官员们给出的事件信息间存在冲突。有人说国民议会“报告称当天早上记录到IT服务中断”,并导致会议提前结束。但斯洛伐克国家安全局(NBU)发言人彼得·哈巴拉(Peter Habara)提醒说,这起(网络安全)事件可能不是网络攻击,只是普通的系统中断,网络攻击是一种“故意行为”。

据斯洛伐克共和国通讯社(TASR)发言人米凯拉·尤尔乔娃(Michaela Jurcová)介绍,“对这起网络安全事件的初步分析表明,网络通信确实出现了异常,结果导致所有组件功能均受到影响,包括接入网络基础设施的投票设备。”

该国执法机构目前正与国家安全局合作开展调查。

科拉尔称这起事件“非常严重”,并取消了11月8日之前的所有原定会议。他还指出,如果能早点解决问题,议会也可以考虑在下周重启会议。

斯洛伐克一些反对党派对事件本身以及应对决定提出了质疑。反对党政客安娜·泽马诺娃(Anna Zemanová)在采访中表示,把会议推迟到11月8日简直“荒谬”,并声称此次攻击可能是在故意拖延时间,避免执政党的几位政客在重要立法会议上缺席。

继罗马尼亚、意大利、立陶宛、挪威、波兰、芬兰和拉脱维亚之后,斯洛伐克成为又一个议会遭受网络攻击的国家。就在上周,保加利亚政府网站也受攻击影响,官员们将事件归咎于某亲俄罗斯黑客团伙。

据路透社报道,波兰议会上周四同样遭遇了网络攻击。

]]>
《安联智库-网安周报》2022-10-31 Wed, 22 May 2024 14:11:54 +0800

1、汤森路透3个数据库处于公开访问状态,至少包含3TB敏感数据

据Cybernews 10月27日报道,跨国传媒集团汤森路透公司至少有三个数据库处于开放状态,访客无需验证即可访问,里面包含敏感客户和企业数据以及明文格式储存的第三方服务器密码。攻击者可以利用这些细节进行供应链攻击。
Cybernews研究小组发现,汤森路透至少保留了三个任何人都可访问的数据库。其中一个是面向公众的ElasticSearch数据库,3TB大小,包含该公司各个平台的最新和最敏感信息。汤森路透已经发现该问题,目前已修复。
汤森路透为客户提供的产品和平台包括企业对企业媒体工具Reuters Connect、法律研究服务和数据库Westlaw、税务自动化系统ONESOURCE、编辑和源材料在线研究套件Checkpoint以及其他工具。
ElasticSearch数据库对威胁行为者来说是一个宝库,可以利用泄露的信息进行社会工程学攻击和勒索攻击,在地下犯罪论坛上可能价值数百万美元。
2、澳大利亚保险巨头遭拖库,390万用户信息全部泄露

澳大利亚医疗保险公司Medibank周三披露,在最近一次勒索软件攻击之后,其所有客户的个人信息都遭泄露。

根据该公司的调查,攻击者获得了 "大量的健康索赔数据",其中包含了ahm健康保险子公司和国际学生的个人数据。"我们有证据表明,罪犯已经删除了其中的一些数据,同时罪犯很可能已经窃取了个人和健康索赔数据,"该公司进一步补充说。因此,预计受影响的客户数量可能会大幅增加。

现该事件已成为澳大利亚联邦警察(AFP)调查的对象,与此同时,Medibank公司表述已被一个犯罪行为人联系,声称盗走了200GB的数据。

这些数据包含了名字、姓氏、地址、出生日期、医疗保险号码、保单号码、电话号码和一些索赔数据。这些索赔数据包括客户接受医疗服务的地点,以及他们诊断的信息。

3、“聊天”软件WhatsApp故障 全球多地用户受影响

25日,全球多个国家和地区的用户发现,自己无法正常使用即时通信应用WhatsApp,其中包括美国、英国、印度和新加坡等多地。

英国广播公司(BBC)25日报道称,许多人在社交媒体上抱怨他们无法发送或接收信息。不仅是英国,WhatsApp的崩溃在全球范围内引发很多网民强烈反应。统计数据显示,它在全球拥有约20亿活跃用户,在非洲、欧洲、印度和南美尤其受欢迎,2022年位居软件下载量第四名。

运营商报错网站Down Detector的数据显示,WhatsApp于美国东部时间3时许出现状况,并于美东时间5时左右基本恢复正常。美国《纽约时报》称,考虑到该软件的用户规模和其在许多国家作为不可或缺的地位,每一秒的访问障碍都会带来意想不到的后果。BBC称,此番WhatsApp的服务中断还在英国引发不小争议,因为政府官员也在使用该平台。此外,中国香港、南非、新加坡和印度等地也有该问题的报告。

路透社报道称,该事故发生后,Meta的股价下跌了0.7%。

4、俄罗斯联邦储蓄银行遭遇史上最大规模DDoS攻击

10月27日消息,俄罗斯最重要的银行之一俄罗斯储蓄银行(Sberbank)副总裁斯坦尼斯拉夫·库兹涅佐夫(Stanislav Kuznetsov)表示,该银行击退了其历史上规模最大的网络攻击之一,这次攻击持续了24小时零7分钟。

库兹涅佐夫周二对Rossiya 24电视台表示,DDoS攻击是一种拒绝服务攻击,涉及至少104000名黑客,他们在不同国家拥有至少30000台电脑。这位高级管理人员强调,尽管在这种条件下工作非常复杂,但该银行启动了先进的安全协议,并继续不受干扰地运营。

这位银行高管解释说,他们的团队找到了成功阻止网络攻击的必要资源。库兹涅佐夫补充道,今年迄今为止,Sberbank的系统至少遭遇了470次网络攻击,超过了过去七年中检测到的所有攻击。

]]>
俄罗斯联邦储蓄银行遭遇史上最大规模DDoS攻击 Wed, 22 May 2024 14:11:54 +0800 10月27日消息,俄罗斯最重要的银行之一俄罗斯储蓄银行(Sberbank)副总裁斯坦尼斯拉夫·库兹涅佐夫(Stanislav Kuznetsov)表示,该银行击退了其历史上规模最大的网络攻击之一,这次攻击持续了24小时零7分钟。

库兹涅佐夫周二对Rossiya 24电视台表示,DDoS攻击是一种拒绝服务攻击,涉及至少104000名黑客,他们在不同国家拥有至少30000台电脑。

这位高级管理人员强调,尽管在这种条件下工作非常复杂,但该银行启动了先进的安全协议,并继续不受干扰地运营。

这位银行高管解释说,他们的团队找到了成功阻止网络攻击的必要资源。

库兹涅佐夫补充道,今年迄今为止,Sberbank的系统至少遭遇了470次网络攻击,超过了过去七年中检测到的所有攻击。


]]>
澳大利亚保险巨头遭拖库,390万用户信息全部泄露 Wed, 22 May 2024 14:11:54 +0800 澳大利亚医疗保险公司Medibank周三披露,在最近一次勒索软件攻击之后,其所有客户的个人信息都遭泄露。

根据该公司的调查,攻击者获得了 "大量的健康索赔数据",其中包含了ahm健康保险子公司和国际学生的个人数据。

Medibank是澳大利亚最大的私人健康保险供应商之一,为全国约390万客户提供服务。

"我们有证据表明,罪犯已经删除了其中的一些数据,同时罪犯很可能已经窃取了个人和健康索赔数据,"该公司进一步补充说。因此,预计受影响的客户数量可能会大幅增加。

该公司还表示将继续调查,以确定具体哪些数据在这次攻击中被盗,并将直接通知受影响的客户。

现该事件已成为澳大利亚联邦警察(AFP)调查的对象,与此同时,Medibank公司表述已被一个犯罪行为人联系,声称盗走了200GB的数据。

这些数据包含了名字、姓氏、地址、出生日期、医疗保险号码、保单号码、电话号码和一些索赔数据。这些索赔数据包括客户接受医疗服务的地点,以及他们诊断的信息。

其他唯一可识别的个人信息,如与国际学生保单有关的护照号码也被非法访问,但Medibank表示,现没有发现任何证据能直接表明借记的细节已被破坏。

在一份单独的投资者公告中,Medibank表示,它已经加强了其监测能力,以防未来发生此类攻击。Medibank估计这次网络犯罪事件给他们带来的损失在2500万到3500万澳元之间。

同时建议客户对任何网络钓鱼或smishing诈骗保持警惕,该公司承诺为那些 "因为此次事件受损的客户 "提供免费的身份监测服务和财务支持。

事实上在Medibank被黑之前,澳大利亚电信巨头Optus的也遭受到网络攻击,导致其近210万名现有和以前的客户数据被盗。

这些明目张胆且具有破坏性的数据泄露事件促使澳大利亚政府出台了严格的数据保护法,其中就包括从目前的220万澳元上限提高到最高5000万澳元的货币处罚。

澳政府新出台的《2022年隐私立法修正案》也赋予澳大利亚信息专员更多的权力来解决隐私泄露问题。

澳总检察长Mark Dreyfus表明:根据最近几周的重大隐私泄露事件表明,现有的保障措施是不够的。我们需要更好的法律来规范公司管理他们收集的大量数据,以及更大的惩罚来激励更好的行为。

]]>
汤森路透3个数据库处于公开访问状态,至少包含3TB敏感数据 Wed, 22 May 2024 14:11:54 +0800 据Cybernews 10月27日报道,跨国传媒集团汤森路透公司至少有三个数据库处于开放状态,访客无需验证即可访问,里面包含敏感客户和企业数据以及明文格式储存的第三方服务器密码。攻击者可以利用这些细节进行供应链攻击。

Cybernews研究小组发现,汤森路透至少保留了三个任何人都可访问的数据库。其中一个是面向公众的ElasticSearch数据库,3TB大小,包含该公司各个平台的最新和最敏感信息。汤森路透已经发现该问题,目前已修复。

汤森路透为客户提供的产品和平台包括企业对企业媒体工具Reuters Connect、法律研究服务和数据库Westlaw、税务自动化系统ONESOURCE、编辑和源材料在线研究套件Checkpoint以及其他工具。

ElasticSearch数据库对威胁行为者来说是一个宝库,可以利用泄露的信息进行社会工程学攻击和勒索攻击,在地下犯罪论坛上可能价值数百万美元。

据了解,该数据库开放了好几天,恶意机器人能够在短短几小时内侦测到。汤森路透快速解决了该问题,并表示它只影响“汤森路透全球一小部分客户”。

汤森路透服务器内ElasticSearch索引的命名表明,这个开放的数据库被用作日志服务器,以收集用户-客户互动的大量数据。开放数据库还包含登录和密码重置日志。虽然这些日志不会暴露旧密码或新密码,但可以看到帐户持有人的电子邮件地址,以及发送密码更改查询的确切时间。

另一个敏感信息包括SQL(结构化查询语言)日志,它记录了用户查询信息和返还的信息。开放的数据库还包括对YouTube等其他平台的内部筛选、汤森路透客户的访问日志以及与其他数据库的连接字符串。

汤森路透声称,三个配置错误的数据库中,有两个被设置为可公开访问。第三台服务器是一个非生产性服务器,用于存储“生产前/实施环境的应用日志”。

ElasticSearch是一种非常常见和广泛使用的数据存储,容易出现配置错误,这使得任何人都可以访问它。这种情况下,敏感数据是开放的,并且已经被流行的物联网搜索引擎索引。Cybernews安全研究主管Mantas Sasnauskas表示,这为恶意行为者提供了一个巨大的攻击面,不仅可以利用内部系统,还可以进行供应链攻击。一个简单的人为错误就可能导致毁灭性的攻击。

]]>
惊!乐歌升降台被曝暗藏摄像头,厂家:产品已经下架 Wed, 22 May 2024 14:11:54 +0800 近日,一篇题为《乐歌产品存重大隐患、设计缺陷遭用户投诉非法安装摄像头偷窥用户隐私》的文章在网上发酵。据悉,因用户在黑猫投诉反映乐歌A9智能升降台的数码屏内暗藏摄像头等问题。对此,乐歌方面对媒体回应,该产品已经下架,而内置摄像头用于无接触心率检测功能,该项功能在研发上正在进一步开发和完善,不存在窃取用户隐私的问题。

产品中装摄像头消费者和乐歌都有说法

据悉,在黑猫投诉上,该投诉者表示:本人在某平台购买乐歌a9智能升降台,收货后发现有三个重要问题:1、台面升高后极不稳定,晃动异常大,根本无法正常办公;2、所谓的海量资讯库根本无法点开;(以上2点我可以提供视频证明);3、这款产品的数码屏内偷偷暗藏了一颗摄像头,但是产品本身没有需要用到摄像头的地方,卖家也表示认可,他们的回答是摄像头是闲置的,我想问作为刚上线的新产品你们既然没有摄像功能,为什么要“好心偷藏一颗摄像头,还不在产品页中告诉消费者?究竟是什么居心?这和出租车上触动屏里藏摄像头一样偷偷获取顾客面容信息一样是非法行为,要求严惩!

之后,乐歌通过书面回应的方式,回复了媒体。乐歌方面称,出于谨慎考虑,公司已对该款产品做下架处理。

对于安装摄像头一事,乐歌回复函中提及:“该产品随附的智慧屏内置摄像头系用于公司开发的无接触心率检测功能,目的是为用户提供健康增值服务。该项功能软件技术难度高,需要硬件和软件算法高度配合。该产品在很局部使用过程中存在一些兼容性问题,当前该项功能在研发上正在进一步开发和完善,当前该项功能已经关闭。因此,实际上该内置摄像头当前属于闲置状态,根本不存在窃取用户隐私的问题。”

另外乐歌方面表示,未来,公司正式全面向消费者提供该项服务功能时,会向消费者进一步在说明书中说明,征得消费者同意,在自愿的基础上提供收费服务。届时,公司将提交智慧屏的相关代码于权威第三方平台检测排查,并按照相关法律不滥用该装置调取用户隐私之行为。同时,我们愿意为摄像头引起消费者的困扰表示歉意。

]]>
“聊天”软件WhatsApp故障 全球多地用户受影响 Wed, 22 May 2024 14:11:54 +0800 25日,全球多个国家和地区的用户发现,自己无法正常使用即时通信应用WhatsApp,其中包括美国、英国、印度和新加坡等多地。

WhatsApp是一款可以免费拨打电话和发送短消息的通信软件,2014年,该平台被Facebook以220亿美元收购,如今与Facebook和Instagram等知名社交媒体平台同属母公司Meta。英国广播公司(BBC)25日报道称,许多人在社交媒体上抱怨他们无法发送或接收信息。不仅是英国,WhatsApp的崩溃在全球范围内引发很多网民强烈反应。统计数据显示,它在全球拥有约20亿活跃用户,在非洲、欧洲、印度和南美尤其受欢迎,2022年位居软件下载量第四名。

运营商报错网站Down Detector的数据显示,WhatsApp于美国东部时间3时许出现状况,并于美东时间5时左右基本恢复正常。美国《纽约时报》称,考虑到该软件的用户规模和其在许多国家作为不可或缺的地位,每一秒的访问障碍都会带来意想不到的后果。BBC称,此番WhatsApp的服务中断还在英国引发不小争议,因为政府官员也在使用该平台。此外,中国香港、南非、新加坡和印度等地也有该问题的报告。

事后,WhatsApp发言人乔什·布雷克曼在社交媒体平台上表示,“我们知道人们今天在使用WhatsApp发送消息时遇到了麻烦,我们已经解决了这个问题,并对带来的不便表示歉意。”不过,他并没有具体说明问题的原因。

据《纽约时报》介绍,此次并非WhatsApp第一次发生问题。去年10月,包括该平台在内的Facebook应用程序家族服务中断了大约5个小时。《纽约时报》表示,此次故障对于Meta来说是一个“不幸的时刻”,因为该公司最近发起了一场大型广告宣传活动,声称“WhatsApp是其他消息服务平台安全可靠的替代品”。

路透社报道称,该事故发生后,Meta的股价下跌了0.7%。

]]>
伊朗核电站疑遭伊朗黑客组织攻击,大量数据泄露 Wed, 22 May 2024 14:11:54 +0800 伊朗原子能组织表示,为布什尔核电站服务的IT部门已经检查并发布了有关网络攻击行为的报告,并否认有任何敏感信息被泄露。该能源机构表示,此次黑客攻击旨在引起公众和媒体的关注。

该组织网站上的一份声明称:“应该指出,用户电子邮件中的内容包含技术信息以及日常交流信息。” “很明显,这属于出于绝望而进行的非法活动,目的是引起公众的关注。”

但是上周六,一个名为Black Reward的伊朗黑客组织在Telegram和Twitter上发帖宣称窃取了伊朗布什尔核电站的活动信息。该组织在帖子中声称,该黑客攻击是为了支持全国范围内的一场持续的抗议活动(起因是一名伊朗年轻女子Mahsa Amini因未能正确佩戴头巾遭拘留并在警方拘留期间死亡)。

Black Reward威胁要在24小时内发布在攻击中窃取的核电站信息,除非当局释放在最近的骚乱中被捕的人。

上周日,该组织如期发布了一个指向其Telegram频道的信息下载链接。该组织在Twitter上表示,这些信息包括大约8.5万封电子邮件的“经过清理的、可用浏览器查看的版本”。

该组织声称,泄露的信息包括布什尔发电厂各部门的管理和运营时间表,以及在那里工作的伊朗和俄罗斯核专家的签证和护照信息、财务收据以及与当地和外国组织的协议。

布什尔核电站于2011年使用俄罗斯技术建造,是伊朗第一座位于波斯湾沿岸的核电站。本周末布什尔核电站遭遇的网络攻击并非伊朗核计划遭遇的首次攻击。

2010年首次曝光的Stuxnet恶意蠕虫病毒通过感染伊朗纳坦兹核设施中的Windows电脑来攻击伊朗的核计划,并造成了重大损失。Stuxnet也被认为是美国和以色列联合开发的网络攻击武器。据报道,Stuxnet感染了超过20万台计算机并导致1000台设备受损,破坏了伊朗近五分之一的核离心机。 

]]>
欧洲超市巨头麦德龙遭网络攻击,IT和支付服务中断已超过一周 Wed, 22 May 2024 14:11:54 +0800 10月24日消息,在最近遭遇网络攻击之后,国际批发和超市巨头麦德龙(METRO)已陷入基础设施中断与商店支付系统瘫痪。

该公司的IT团队正在协同外部专家着手调查此事,希望找出持续中断背后的原因。

据技术博主Günter Born发布的报告,至少自10月17日以来,IT中断就一直影响着麦德龙公司在奥地利、德国和法国的门店。

该公司在官方网站上发布说明称,“麦德龙(METRO/MAKRO)的部分IT基础设施内有多项技术服务正处于中断状态。麦德龙IT团队已经第一时间与外部专家共同开展彻查,希望确定引发服务中断的原因。”

尽管门店仍在营业,但麦德龙方面称其被迫建立起线下支付系统,并且在线订单已经延误。

该公司指出,“虽然麦德龙门店正在经营且定期提供服务,但可能出现中断和延误。Web应用和在线商店上的订单正在处理中,但预计同样会出现延误。”

麦德龙已经将此次安全事件上报政府当局,并将配合开展涉及攻击细节的后续调查。

麦德龙是一家面向酒店、餐厅与餐饮行业客户的跨国批发公司,业务遍及30多个国家,在全球范围内拥有超过95000名员工。

截至2022年9月30日,麦德龙以METRO和MAKRO两大品牌经营着总计661家批发超市门店。

截至目前,该公司还没有公布此次网络攻击的具体性质,但IT基础设施中断大多与勒索软件攻击有关。

麦德龙在最新公告中提到,“我们将继续深入分析和监控,并根据实际需要发布更新。麦德龙对此次事件给各客户及业务合作伙伴造成的任何不便深表歉意。”

外媒就此事主动联系了麦德龙公司,对方发言人表示由于调查仍在进行当中,该公司无法分享关于事件的更多信息。


]]>
超市巨头麦德龙遭网络攻击,支付系统中断 Wed, 22 May 2024 14:11:54 +0800 德国零售批发超市集团麦德龙(Metro)被证实遭遇网络攻击,其部分基础设施中断,线下门店支付系统和线上订单出现延迟。

根据Günter Born网站的一份报告,至少从10月17日起,麦德龙奥地利、德国和法国地区的门店已经发生IT故障。

麦德龙在其网站声明中透露:“麦德龙目前正在经历几项技术服务的部分IT基础设施中断。IT团队已联合外部专家展开全面调查,寻找服务中断的原因。”

尽管麦德龙的门店仍在运营,但麦德龙表示,服务可能中断或延误,线上订单正加紧处理中,但预计会出现延迟。为了应对服务中断,麦德龙还启用了线下支付系统。

麦德龙已将这起安全事件通知了当局,并表示将配合任何与攻击有关的调查。

麦德龙是一家面向HoReCa(酒店、餐厅和餐饮)行业客户的国际批发公司,业务遍及30多个国家,在全球拥有超过9.5万名员工。它旗下Metro和Makro 两个品牌经营着661家批发门店(截至2022年9月30日)。

当媒体就此次攻击事件联系麦德龙时,该公司表示,此次网络攻击正在调查中,尚不能分享更多信息。据媒体推测,IT基础设施中断通常与勒索软件攻击有关。

网络攻击一向是零售公司头疼的问题,它通常导致中断和延误。此前,美国连锁便利店7-Eleven因网络攻击导致丹麦各地的结账和支付系统瘫痪,不得不关闭170多家线下门店。

]]>
被索要6000万,这家汽车经销商坚持拒绝支付! Wed, 22 May 2024 14:11:54 +0800 据BleepingComputer 10月24日消息,英国著名汽车经销商集团Pendragon近期遭遇 LockBit 勒索软件组织的网络攻击,部分数据被窃取,并收到了高达6000万美元的赎金支付通知。

Pendragon在安全公告中声称:“我们在部分 IT 系统中发现了可疑活动,并确认我们遇到了 IT 安全事件。”在10月21日接受英国《泰晤士报》采访时,该公司首席营销官 Kim Costello 透露攻击发生在大约一个月前,并表示攻击者以发布被盗数据为威胁,要求在截止日期前支付高额赎金。经过其他媒体查证,确认LockBit 的索要金额为 6000 万美元。

“我们坚持不向攻击者付款!”该公司发言人说道。为了回应外界担忧,发言人强调称攻击发生后,公司 IT 团队立即做出了反应,调查结果显示,黑客仅窃取了数据库中 5%的数据。

BleepingComputer 已联系该公司以获取有关被盗数据的更多信息,以及如果黑客泄露数据会产生的影响,但在发布时没有收到任何回复。

Pendragon在英国遍布200多个经销商站点,拥有 CarStore、Evans Halshaw 和 Stratstone 豪华汽车零售品牌。就在攻击发生的同一个月,Pendragon曾收到另一家知名经销商集团Hedin Mobility价值4亿英镑(约4.52亿美元)的收购申请。

]]>
《安联智库-网安周报》2022-10-23 Wed, 22 May 2024 14:11:54 +0800

1、微软数据泄露暴露全球111个国家超6.5万实体的客户个人信息

微软表示,由于一台服务器配置不当,导致某些客户的敏感信息遭暴露。
遭暴露的信息包括姓名、邮件地址、邮件内容、公司名称和电话号码,以及文件,而这些文件与受影响客户和微软或越权微软合作伙伴之间的业务相关联。这次数据泄露是因“对端点的无意配置不当造成的,不过该端点并未在微软生态中使用”,而非因安全漏洞造成。
被泄数据与全球6.5万个实体有关
虽然微软并未提供与该数据泄露事件相关的其它详情,但发现这起数据泄露事件的SOCRadar 公司发布博客文章指出,该数据存储在配置不当的 Azure Blob Storage 上。SOCRadar表示,该公司能够将这些敏感信息与111个国家超过6.5万个实体关联在一起,覆盖2017年到2022年8月。该公司指出,“2022年9月24日,SOCRadar的内置云安全模块检测到,由微软维护的一个配置不当的 Azure Blob Storage 中包含属于高级别云提供商的敏感数据。”SOCRadar 指出,分析发现被泄数据“包括执行验证和工作说明 (SoW) 文档、用户信息、产品订单/报价、项目详情、个人可识别信息数据和可能泄露智慧财产的文档”。
2、美国300万名医院患者的个人信息被泄露给外部公司

美国芝加哥——伊利诺伊州和威斯康星州多达300万患者的个人健康信息可能已通过大型医院系统电子健康记录网站上使用的跟踪技术暴露给外部公司。

经营27家医院的倡导者Aurora Health在一份声明中表示,违规行为可能暴露了包括患者医疗提供者、预约类型或医疗程序、预定预约的日期和地点以及IP地址在内的信息。该系统将漏洞归咎于其使用像素(收集用户如何与网站交互信息的计算机代码)的使用,包括谷歌和Facebook母公司Meta开发的产品,这些产品使这些公司可以访问收集的数据。

根据卫生与公众服务部的调查日志,卫生系统周五通知了该违规行为,该漏洞影响了多达300万患者。

3、成多国“提款机” 谷歌被印度开出11.7亿元天价罚单

作为全球互联网巨头,今年以来,谷歌被多个国家和地区,频频开出天价罚单,成为多个国家的“提款机”,此次又轮到印度向谷歌“开刀”。

10月21日消息,据报道,印度反垄断监管机构“竞争委员会”(CCI)周四责令谷歌整改安卓平台的垄断行为,并对公司处以133.8亿印度卢比(约合1.6195亿美元)的罚款。CCI表示,谷歌利用安卓系统在线搜索和应用商店等市场的主导,保护其Chrome和YouTube等应用在浏览器和视频程序中的垄断地位。

对此,印度要求谷歌整改安卓系统的一些反竞争行为,包括允许智能手机用户卸载谷歌地图和Gmail等预装应用程序,以及给予他们选择其他搜索引擎的权利。

此外,在9月份,欧盟针对谷歌安卓垄断的调查,欧洲普通法院做出了裁定,谷歌上诉失败,维持了欧盟之前对谷歌滥用安卓打击竞争对手的判决,不过将之前的罚款金额从43.4亿欧元减少到了41.25亿欧元,分别折合人民币300、286亿元。

而在8月份,澳大利亚联邦法院对谷歌开出了6000万美元(约合人民币4.04亿元)的巨额罚款,其原因则与用户的隐私安全有关。

7月份,因为在3月19日期限之前拒绝自愿支付罚款,俄罗斯联邦法警将对谷歌立案,并强制执行72亿卢布(约合人民币6.6亿元)的营业额罚款。

4、勒索攻击中断印刷系统,德国地方大报被迫暂停纸质版发行

10月18日消息,德国报纸《海尔布隆言论报》(Heilbronn Stimme)在上周五(10月14日)遭遇勒索软件攻击,印刷系统陷入瘫痪,该报被迫以电子版形式发布最新一期内容。

上周六,该报已经发布了6页“应急”版,所有计划发表的讣闻均转移至官方网站。而且整个周末期间,报社的电话和电子邮件通信始终未能恢复上线。

这份地区性出版物的发行量约为75000份,受印刷问题的影响,其官方网站已经暂时取消了付费墙模式。该报的网站月度访问量约为200万次。

]]>
成多国“提款机” 谷歌被印度开出11.7亿元天价罚单 Wed, 22 May 2024 14:11:54 +0800 作为全球互联网巨头,今年以来,谷歌被多个国家和地区,频频开出天价罚单,成为多个国家的“提款机”,此次又轮到印度向谷歌“开刀”。

10月21日消息,据报道,印度反垄断监管机构“竞争委员会”(CCI)周四责令谷歌整改安卓平台的垄断行为,并对公司处以133.8亿印度卢比(约合1.6195亿美元)的罚款。

CCI表示,谷歌利用安卓系统在线搜索和应用商店等市场的主导,保护其Chrome和YouTube等应用在浏览器和视频程序中的垄断地位。

对此,印度要求谷歌整改安卓系统的一些反竞争行为,包括允许智能手机用户卸载谷歌地图和Gmail等预装应用程序,以及给予他们选择其他搜索引擎的权利。

另外,CCI还要求谷歌不得与智能手机制造商形成分成协议,比如“捆绑销售”等,确保自身的唯一性,完全将竞争对手排除在外。

据数据显示,在印度6亿部智能手机中,有97%搭载的是安卓操作系统。CCI在一份声明中表示:“应该允许市场基于价值进行公平竞争,而主要竞争者(本案中指谷歌)有责任确保其行为不会影响这种竞争。”

此外,在9月份,欧盟针对谷歌安卓垄断的调查,欧洲普通法院做出了裁定,谷歌上诉失败,维持了欧盟之前对谷歌滥用安卓打击竞争对手的判决,不过将之前的罚款金额从43.4亿欧元减少到了41.25亿欧元,分别折合人民币300、286亿元。

而在8月份,澳大利亚联邦法院对谷歌开出了6000万美元(约合人民币4.04亿元)的巨额罚款,其原因则与用户的隐私安全有关。

7月份,因为在3月19日期限之前拒绝自愿支付罚款,俄罗斯联邦法警将对谷歌立案,并强制执行72亿卢布(约合人民币6.6亿元)的营业额罚款。

]]>
美国300万名医院患者的个人信息被泄露给外部公司 Wed, 22 May 2024 14:11:54 +0800 美国芝加哥——伊利诺伊州和威斯康星州多达300万患者的个人健康信息可能已通过大型医院系统电子健康记录网站上使用的跟踪技术暴露给外部公司。

经营27家医院的倡导者Aurora Health在一份声明中表示,违规行为可能暴露了包括患者医疗提供者、预约类型或医疗程序、预定预约的日期和地点以及IP地址在内的信息。

该系统表示,其调查发现没有涉及社会保障号码、财务信息或信用卡和借记卡号码。

该系统将漏洞归咎于其使用像素(收集用户如何与网站交互信息的计算机代码)的使用,包括谷歌和Facebook母公司Meta开发的产品,这些产品使这些公司可以访问收集的数据。

声明说:“这些像素不太可能导致身份盗窃或任何经济伤害,我们没有证据表明该事件导致滥用或欺诈事件。”“然而,我们始终鼓励患者定期查看他们的财务账户,并立即报告任何可疑、未识别或不准确的活动。”

医疗保健行业对像素的使用受到了隐私倡导者的广泛批评,他们警告说,该技术的使用违反了联邦患者隐私法。

The Markup在6月份发布的一份报告发现,该国许多顶级医院使用Meta Pixel,收集并向这家社交媒体公司发送敏感的患者信息。

Advocate Aurora Health的声明没有具体说明是什么促使其决定在MyChart网站上公布其像素的使用,患者在该网站上安排预约,与提供商办公室沟通并查看测试结果。该声明称,卫生系统已禁用或删除了所有像素,并正在继续内部调查。

根据卫生与公众服务部的调查日志,卫生系统周五通知了该违规行为,该漏洞影响了多达300万患者。

密歇根大学专注于医疗保健创新的法律教授Nicholson Price表示,这一宣布提醒我们,健康信息的保护往往低于美国消费者的希望。

Price说:“患者将这些登录网站视为查看特别私人信息的地方。”“因此,(对他们来说)了解那里使用的这种跟踪技术更令人惊讶。”

]]>
微软数据泄露暴露全球111个国家超6.5万实体的客户个人信息 Wed, 22 May 2024 14:11:54 +0800 微软表示,由于一台服务器配置不当,导致某些客户的敏感信息遭暴露。

微软在2022年9月24日获悉该泄露事件后加固了服务器安全,“配置不当可导致对微软与客户之间的某些企业交易数据的未认证访问权限。经过调查未发现客户账号或系统受陷。我们已直接告知受影响客户。”

微软表示,遭暴露的信息包括姓名、邮件地址、邮件内容、公司名称和电话号码,以及文件,而这些文件与受影响客户和微软或越权微软合作伙伴之间的业务相关联。微软指出,这次数据泄露是因“对端点的无意配置不当造成的,不过该端点并未在微软生态中使用”,而非因安全漏洞造成。

被泄数据与全球6.5万个实体有关

虽然微软并未提供与该数据泄露事件相关的其它详情,但发现这起数据泄露事件的SOCRadar 公司发布博客文章指出,该数据存储在配置不当的 Azure Blob Storage 上。

SOCRadar表示,该公司能够将这些敏感信息与111个国家超过6.5万个实体关联在一起,覆盖2017年到2022年8月。该公司指出,“2022年9月24日,SOCRadar的内置云安全模块检测到,由微软维护的一个配置不当的 Azure Blob Storage 中包含属于高级别云提供商的敏感数据。”SOCRadar 指出,分析发现被泄数据“包括执行验证和工作说明 (SoW) 文档、用户信息、产品订单/报价、项目详情、个人可识别信息数据和可能泄露智慧财产的文档”。

微软指出, SOCRader“大大夸大了问题范围”以及“数字”。微软还表示,SOCRadar 收集该数据且通过专门的搜索门户使其可搜索的做法,“并不符合确保客户隐私或安全的最佳利益,而且可能将它们暴露到不必要的风险之中”。

可搜索被泄数据的在线工具

SOCRadar 给出的数据泄露搜索门户为BlueBleed,可使企业查看自己的敏感信息是否暴露。除了查找微软配置不当的服务器中的信息外,该门户还允许用户搜索从其它公开存储桶中收集到的数据。

单是微软的服务器,SOCRadar公司就声称从中发现2.4TB的数据中包括敏感信息,其中包括33.5万份电子邮件、13.3万个项目和54.8万个被泄露的用户。

根据SOCRadar的分析,这些文件中包括客户邮件、SOW文档、产品报价、POC文档、合作伙伴的生态系统详情、发票、项目详情、客户产品价格表、POE文档、产品订单、已签名的客户文档、客户的内部评论、营销策略和客户资产文档。

SOCRadar 提醒称,“访问该存储桶的威胁行动者可利用该信息,实施勒索、通过被暴露的信息制作社工技术、或者将该信息出售给暗网和Telegram频道上出价高的竞价者。”

SOCRadar 公司的发言人并未就此事置评。

]]>
勒索攻击中断印刷系统,德国地方大报被迫暂停纸质版发行 Wed, 22 May 2024 14:11:54 +0800 10月18日消息,德国报纸《海尔布隆言论报》(Heilbronn Stimme)在上周五(10月14日)遭遇勒索软件攻击,印刷系统陷入瘫痪,该报被迫以电子版形式发布最新一期内容。

上周六,该报已经发布了6页“应急”版,所有计划发表的讣闻均转移至官方网站。而且整个周末期间,报社的电话和电子邮件通信始终未能恢复上线。

这份地区性出版物的发行量约为75000份,受印刷问题的影响,其官方网站已经暂时取消了付费墙模式。该报的网站月度访问量约为200万次。

报社主编Uwe Ralf Heer表示,此次攻击对整个Stimme Mediengruppe媒体集团都造成了影响,具体包括旗下的Pressedruck、Echo与RegioMail等公司。

发行量25万4千份的Echo受到网络攻击影响,连网站上的电子版访问都出现了问题。但其在线新闻门户Echo24.de仍在正常运行。

Heer指出,此次攻击出自某知名网络犯罪团伙之手。该团伙于上周五晚对其系统进行了加密,并留下勒索说明。但截至上周六下午,对方仍未给出具体的赎金数额。

 员工开始居家办公

按照报社通知,该报编辑开始在家中使用个人电脑工作,并拿到了由报社发放的新邮件地址。

该媒体集团正在与警方合作,希望尽快找到解决技术问题的方法,同时努力查明肇事元凶。

应德国内政部长Thomas Strobl的要求,巴登-符腾堡州的网络安全专家也开始协助修复工作。

通知中写道,“我们正与警方、数据保护及外部专家开展正式合作,希望尽快将运营恢复至正常水平。”

“但就目前来看,我们无法预测能否在一周之内恢复报纸交付。”

在印刷系统恢复正常之前,《海尔布隆言论报》将继续通过来自卡尔斯鲁厄的第三方印刷“应急”版报纸。

由于该媒体集团本身也是发行商,因此海尔布隆地区的《南德意志报》(Süddeutsche Zeitung)和《斯图加特报》(Stuttgarter Zeitung)等其他主要报纸(发行量达35万份)也将暂停发行,直至另行通知。

]]>
智能汽车网络威胁已降临:无钥匙偷车猖獗 欧洲破获近千万元大案 Wed, 22 May 2024 14:11:54 +0800 10月19日消息,欧洲执法机构本周一宣布,欧洲刑警组织刚刚捣毁了一个专门入侵汽车无钥匙解锁系统的黑客团伙,逮捕31名嫌疑人并没收超过100万美元(约人民币775万元)的犯罪资产。

欧洲刑警组织称,“该犯罪团伙专门以支持无钥匙进入及启动系统的车辆为目标,滥用该技术将汽车开走。他们使用的欺诈工具原本被作为汽车诊断解决方案销售,可用于替换车辆的原始软件,能够在未拿到车钥匙的情况下打开车门并启动点火装置。”

专家指出,针对无钥匙车辆的盗窃难度甚至比传统偷车方法更低,毕竟传统偷车贼还要学习仿配机械钥匙和对线打火的技术。而且除盗窃之外,还有其他网络威胁在对汽车虎视眈眈。2015年,已经有安全研究人员成功以远程方式令行驶在高速公路上的吉普车(Jeep)熄火。

在这个联网程度日益提升的行业中,电动汽车与自动驾驶汽车正逐渐拓展更大的商业版图。由于政府尚未做出明确要求,由此引发的安全风险在短时间内恐怕不会消退。(据估计,去年全美公路上共行驶着8400万辆联网汽车。)

网络安全公司ExtraHop服务主管Rafal Los表示,“如今的汽车正逐渐发展成带轮子的计算机,因此来自攻击方的威胁也愈发严峻。”

当然,也已经有人在采取应对措施。网络专家表示,在里程碑式的Jeep黑客事件之后,汽车行业已经着手改善车辆的网络安全水平。美国国家公路交通安全管理局在9月还更新了2016年发布的关于车辆网络安全的指南。当然,专家们也承认单凭这些还远远不够。

盗窃狂潮

由于各地执法部门向FBI提交的数据减少,全美犯罪统计数据的可靠性已经大不如前,但仍有迹象表明,近年来汽车盗窃案件有所增加。

今年7月,参议员Edward J. Markey曾给汽车制造商写信道,“自1990年代以来,允许用户无需机械钥匙即可打开车门、启动车辆的无钥匙进入系统曾经是降低车辆盗窃率的利器。但在随后的30年中,情况开始急转直下。虽然引发这种转变的确切原因尚不明确,但越来越多的证据表明,无钥匙进入系统可能正是导致情况恶化的一项因素。”

不过,行业组织汽车创新联盟对Markey的说法回应称,无钥匙系统其实增强了安全水平。该行业组织还赞扬了其他围绕无钥匙设计的安全措施,例如允许车主手动停用遥控钥匙功能。

联盟事务副总裁Garrick Francis写道,“缓解盗窃问题是一项需要持续推进的努力,而规定性要求通常是创新探索的障碍。汽车制造商在设计、评估和实施无钥匙进入系统的安全功能时,必须拥有充分的灵活性,这样汽车行业才能快速响应种种可能影响车主的新问题。”

尽管如此,研究人员已经用实例反复证明了,自己成功入侵车辆、开启发动机的能力,近几个月来特斯拉、本田汽车均已相继沦陷。

CanBusHack公司总裁兼Def Con安全大会Car Hacking Village创始人Robert Leale表示,“有些汽车公司的安全措施简直可笑。只要想办法入侵了一辆车,往往就能入侵同品牌旗下的所有车型。”

直接熄火

远程熄火引发的危险后果无疑更加令人心惊。虽然发生频率相对较低,或者单纯发生在实验环境下,但却直接关乎使用者的生命安全:

一名心怀不满的前得克萨斯汽车中心雇员,据称曾在2010年利用收回软件远程禁用了100多名司机的车辆。

在2015年的黑客攻击中,研究人员成功切断了Jeep汽车的变速箱和刹车,开启收音机并打开了前雨刷器。此次事件也让克莱斯勒公司首次、也是唯一一次以网络安全为由召回了140万辆汽车。同一批研究人员还在召回之后再次尝试黑客攻击,旨在进一步做出漏洞验证。

前白宫网络官员Richard Clarke表示,2013年记者Michael Hastings的死亡“很可能与汽车网络攻击有关”,但验尸官的报告和Hastings家人的证词排除了这种可能性。

行动了,但没完全行动

虽然联合国和欧洲已经着力推进关于车辆的网络安全规则,但美国在这方面却一直表现得比较迟钝。去年,两党基础设施法案确实引入了一项要求联邦公路管理局设立网络安全协调员的规定。白宫方面本月还启动一项为安全“物联网”设备添加标签的倡议,但先期主要针对路由器和摄像头。

Leale称,目前汽车制造商还没有充分的经济动力,去主动实施防盗措施。

“他们通常不想增加成本,并且盗窃对汽车厂商其实没什么影响。此类事件影响到的更多是用户和保险公司。”

草根数字安全倡议I Am the Cavalry创始人Joshua Corman表示,他们曾经在2014年推出过汽车网络安全的“五星级”计划,其中一些已经得到业界接纳,例如为上报bug的研究人员提供激励措施。

网络安全厂商Claroty的网络和物理安全副总裁Corman表示,“当我们发布这项「五星级」计划时,还没有任何一家汽车厂商能够满足全部五点要求。而且时至今日,仍然没有哪家厂商能够满足全部五点要求。所以现在的问题是,我们能是否能拿出充分的政治意愿,采取足够积极的行动来适应这种威胁形势?”

]]>
韩国数据中心发生火灾导致大面积断网 Kakao回应 Wed, 22 May 2024 14:11:54 +0800 10 月 17 日消息,据路透社报道,韩国占主导地位的聊天应用运营商 Kakao Corp 周一表示,预计大范围的服务中断对 Kakao 及其主要部门的财务影响有限。

上周六,韩国首尔南部郊区的 SK 公司 C&C 板桥数据中心数据中心发生火灾,火灾导致停电,造成约 3.2 万个服务器瘫痪。

IT之家获悉,服务中断导致该国一些最常用的应用程序和网站宕机,包括 Kakao 以及该公司的在线支付、游戏和音乐流媒体服务。

这些故障突出了韩国对 Kakao 消息的依赖程度,Kakao 消息是许多政府和商业服务的默认通信方式。

韩国政府要求,应采取措施防止此类事件再次发生,包括确保数据得到备份和事故得到迅速报告。

Kakao 公司在 8 月的一份报告中说,Kakao 消息应用 Kakao Talk 在韩国有超过 4700 万活跃用户,在全球有 5300 万用户。

另一家韩国互联网企业 NAVER 也使用同一数据中心,却在几小时内恢复服务。这是因为 NAVER 还在春川等其他数据中心分散储存数据,即使一处出现问题,也能通过其他数据中心恢复正常运营。

]]>
韩国多个网络平台瘫痪:尹锡悦道歉 要求相关部门查明事故原因 Wed, 22 May 2024 14:11:54 +0800 韩国SK公司C&C板桥数据中心15日发生火灾,导致包括韩国“国民聊天工具”Kakao Talk在内的多个网络平台服务中断。16日,韩国总统尹锡悦为此向公众表示歉意,并要求相关部门查明事故原因,制定事故预防对策避免此类事故再次发生。

发生火灾的SK公司C&C板桥数据中心有Kakao、NAVER、SK电信等企业入驻。韩联社报道称,15日下午3时19分左右,该数据中心发生火灾,3时22分服务电源被切断。韩国警方和消防部门16日表示,初步研判火灾是电气因素导致电气设备室电池周围起火所致。调查发现,安装在地下三层电气设备室的5个电池机架全部被烧毁。火灾并未造成人员伤亡,但通信软件Kakao Talk、门户网站Daum等大部分Kakao服务和NAVER的部分服务瘫痪。

《环球时报》驻韩国特派记者15日曾使用Kakao Talk与朋友联系,从下午3时13分后便未接收到对方的回复信息。16日上午10时许,记者在Kakao Talk上收到前一天朋友回复的信息,但电脑版客户端依然不能正常使用。16日下午5时左右,记者的电脑版Kakao Talk才能正常登录。

韩国《国民日报》16日报道称,16日下午2时,Kakao Talk的文字信息发送和接收功能才完全恢复正常,但照片和视频的发送功能仍在修复。Kakao公司表示,无法确定彻底恢复服务的时间。Kakao公司代表南宫勋称,整个数据中心受到影响是非常罕见的情况,采取相关措施需要比预期更长的时间。不过Kakao方面表示,此次事故导致数据损失的可能性为零。

《韩国时报》报道称,对韩国国内外数以千万计的Kakao用户来说,这是一场混乱,他们的日常生活在周末全乱套了。他们在很大程度上依赖该公司的在线服务,这些服务在过去10年变得越来越受欢迎。

报道称,纵观整个韩国IT业界,很难找到发生10小时左右服务故障的事例。因此,有人批评Kakao的灾难恢复系统不健全。SK公司C&C板桥数据中心是Kakao主要的数据中心,15日的火灾导致停电,造成约3.2万个服务器瘫痪。另一家韩国互联网企业NAVER也使用同一数据中心,却在几小时内恢复了服务。这是因为NAVER还在春川等其他数据中心分散储存数据,即使一处出现问题,也能通过其他数据中心恢复正常运营。

由于Kakao Talk是韩国人主要使用的即时通信软件,这一事故引起韩国总统尹锡悦和政府相关部门的重视。尹锡悦称,相关部门不仅要准确掌握事故原因,还要制定包括设置双数据中心在内的事故预防方案和事故发生时的应对策略。韩联社报道称,尹锡悦15日就要求科学技术信息通信部长官李宗昊迅速处置这一事故。李宗昊表示,作为主管相关事务的官员深感责任重大,对给国民带来巨大不便表示歉意。李宗昊还承诺,政府将完善通信服务相关设施的检查和管理体系,积极研讨所需的制度和技术对策,以防类似情况重演。

韩总统办公室一名高级官员接受媒体采访时表示,有必要调查Kakao等企业是否在国民遭受不便时采取放任态度。另据韩国纽西斯通讯社报道,就此事件,Kakao创始人金范洙将于24日作为国会科学技术信息广播通信委员会国政监察证人被传唤。而导致服务瘫痪的SK公司C&C板桥数据中心的代表预计也将接到传票。

]]>
《安联智库-网安周报》2022-10-17 Wed, 22 May 2024 14:11:54 +0800

1、“三哥”,核酸信息泄露该管管了!

印度屡屡贡献信息泄露的神操作,新冠疫情蔓延至印度后,使其成为了主要的“毒窝”,培育出诸如德尔塔等众多变异毒株。面对疫情,印度政府不仅没有采取科学防疫措施,其新冠检测数据更是频频泄露,甚至处于放任自流的状态。
800 万份检测报告数据在暗网出售
2021 年 3 月,安全研究人员 Sourajeet Majumder 称其发现某印度政府网站泄露数百万民众核酸检测结果。随着信息泄漏事件持续发酵,印度政府承认了数据泄露事件,并表示泄露的核酸检测报告大约有 800 万份。
经安全专家分析研究,发现引起核酸数据泄露的原因是政府网站存在问题,从而导致核酸检测结果泄露。(泄露信息中含有姓名、年龄、婚姻状况、检测时间、居住地址等敏感个人信息)。
数百万份检测结果暴露,涉事机构置若罔闻
知名安全研究员 Anurag Sen 发现印度某家医疗软件供应商的 Elasticsearch 服务器暴露在互联网上。这种情况立刻引起了 Anurag 的重视,随机对服务器进行详细分析,发现服务器暴露了23 GB 的 COVID 抗原检测结果。这些数据信息及其详尽,不仅包括个人记录,还有往来印度人士的医疗记录,其中身份信息主要是姓名、国籍、出生日期、完整地址、电话号码、投票 ID 编号、COVID 测试结果、Aadhaar 医保编号、护照编号、基础疾病情况疫苗详细情况等,涉及受害人数超过 170 万。
目前该服务器仍然保持公开,任何人员无需任何安全身份验证或密码即可直接访问,是否有黑客已经盯上并利用了这些数据仍不得而知,但可以确定的是,一旦网络犯罪分子掌握这些信息,170 万民众以及服务器所有方都将面临严重网络安全威胁。
2、西门子 PLC 中的关键漏洞可能让攻击者窃取加密密钥

西门子Simatic可编程逻辑控制器(PLC)中的漏洞可以被用来检索硬编码的全局私有加密密钥,并获取对设备的控制权。

“黑客可能会利用这些机密信息,以无法修复的方式破坏整个SIMATIC S7-1200/1500产品线。”该关键漏洞被追踪为CVE-2022-38465,在CVSS评分为9.3。

受影响的产品和版本列表如下:

SIMATIC 驱动控制器系列(2.9.2之前的所有版本)

SIMATIC ET 200SP 开放式控制器 CPU 1515SP PC2,包括 SIPLUS 变体(21.9 之前的所有版本)

SIMATIC ET 200SP 开放式控制器 CPU 1515SP PC, 包括 SIPLUS 变体(所有版本)

SIMATIC S7-1200 CPU 系列, 包括 SIPLUS 变体(4.5.0 之前的所有版本)

SIMATIC S7-1500 CPU 系列, 包括相关的 ET200 CPUs 和 SIPLUS 变体(V2.9.2 之前的所有版本)

SIMATIC S7-1500 软件控制器(21.9 之前的所有版本)

SIMATIC S7-PLCSIM 高级版(4.0 之前的所有版本)

Claroty表示,它能够通过利用西门子PLC中之前披露的漏洞(CVE-2020-15782)来获得对控制器的读写权限,从而恢复私钥。这样做不仅可以让攻击者绕过访问控制并覆盖本机代码,还可以完全控制每个受影响的西门子产品线的PLC。

3、违规处理政务类数据,某科技公司违反《数据安全法》被行政处罚

近期,上海网信办发现,某科技公司在处理政务类数据时违规操作,且未采取相应的技术措施和其他必要措施保障数据安全,导致数据存在泄露风险。上海网信办依据《中华人民共和国数据安全法》对该公司责令改正,给予警告,并处以人民币五万元罚款的行政处罚。

上海网信办相关负责人表示,数据安全关乎人民群众切身利益,关乎国家安全和社会稳定,上海网信办将针对数据安全保护义务履行不力,造成重要数据泄露风险的违法违规行为加强监督检查和执法,进一步营造安全稳定的网络环境。

法律·链接

《中华人民共和国数据安全法》第二十七条:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。

重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。

《中华人民共和国数据安全法》第四十五条规定:开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

4、宇宙级杀猪盘:“俄宇航员”称要回地球 骗日本老人21万

相较于盗号假扮熟人,诈骗个电话费、生活费什么的低级诈骗方式,“杀猪盘”的诈骗危害要更大,不仅诈骗金钱,还会欺骗感情,最终受害者落个人财两空。只不过,现如今的杀猪盘,诈骗分子的脑洞也是越来越大,就连“宇航员回地球”这样的离谱背景,也能编排出来。

近日,据报道,日本滋贺县一名六旬妇女6月在网上认识了一名自称“俄罗斯宇航员”的男子,两人在聊天中逐渐产生了恋爱的感觉。

“俄罗斯宇航员”进行糖衣炮弹轰炸时,顺势要求被害人提供“返回地球的火箭和着陆费用”,并承诺“回到地球就结婚”。

被害人在8月至9月期间陆续汇款5次,总金额大约440万日元(约合人民币21.5万元),随后才意识到被骗。

警方认为这是一场“国际杀猪盘”,目前正展开详细调查,并敦促市民谨慎交友。

]]>
韩国老人质疑谷歌地图侵犯私生活:“我家客厅在地图上被360度展示” Wed, 22 May 2024 14:11:54 +0800 据韩联社15报道,一名80岁的韩国老人近日在谷歌地图的“街景视图”上偶然发现,自家客厅正在被360度全方位展示。当事人表示,自己并未在网上上传过相关照片,因此质疑自家电脑可能被黑客入侵,谷歌地图图像上传系统也存在侵犯个人隐私等问题。而谷歌方面此后虽删除了相关照片,但并未向当事人做出任何道歉和说明。韩联社称,相关照片是如何上传至谷歌地图的,至今仍是个谜。报道一出,立即引发了韩国网民的关注和讨论。

近日,一位韩国的谷歌地图用户在使用该应用时,发现自家客厅360度的全景照片正在被公开展示。图源:韩联社

据报道,家住首尔市恩平区的一位80岁老人近日学会在电脑上使用谷歌地图的“街景视图”功能,以此来欣赏户外街景,消磨时间。然而,老人在本月9日使用该应用查看自家公寓街景时吓了一跳。在他点击所住公寓具体楼栋查看照片时,竟发现自家客厅360度的全景照片正在被公开展示。照片中,家中客厅、厨房、地板、天花板的模样都被一览无余。

老人向韩联社表示,点开图中原点区域,就能通过谷歌地图的“街景视图”功能看到自家客厅的全景照片。 

报道称,这张室内全景照片在谷歌系统中显示是在2019年11月由用户本人上传的。对此,老人表示,根据照片中家里客厅的样子,可以推断拍摄时间大概是在2013年左右。当时,为了防止家中的小孙子摔倒受伤,客厅地面铺设了很多海绵地板软垫。但老人还称,自己最近才学会使用谷歌地图“街景视图”功能,此前根本不知如何拍摄全景照片,更别提亲自上传了。同时,老人的家人们也同样表示,没有拍摄并上传过相关照片。因此,老人质疑家中电脑可能被黑客入侵,谷歌地图的图像上传系统也存在侵犯个人隐私等问题。于是,老人于本月11日向谷歌发送了邮件,要求删除相关照片。

据报道,12日,谷歌方面删除了相关照片,但并未就此事向老人做出任何道歉或说明。老人向韩联社记者表示,谷歌这样的做法非常不负责任,一想到有人看着自己的私生活,就感到非常的不安和不快。在这之前,老人也曾给谷歌方面打过电话,但没有人接听,因为联系不上,就连要求删除照片都很困难。

事后,谷歌方面向韩联社表示,“经确认,我方判断相关图像是由用户提供的”,“谷歌重视保护用户个人信息,不会在谷歌地图‘街景视图’中收集个人住宅内部图像。同时,谷歌地图的用户同样也适用于相关条款,一经发现违规行为,将会删除相关图片,并封号处理 ”。至于老人住宅客厅的全景照片是如何上传到谷歌地图上的,韩联社称这至今仍是个谜。

该报道一出,立即引发了韩国网民的关注和讨论。有人认为这是老人忘记自己上传过相关照片而引发的“乌龙”事件,但也有很多人同样对谷歌方面提出了“侵犯隐私”的相关质疑。

一位网民在报道下质疑老人的说法:“是本人忘记自己上传过相关照片了吧”↓

但另一位网民针对谷歌指责道:“谷歌和脸书都是偷个人信息的‘小偷’。”↓

还有网民随声附和道:“以后看来在使用谷歌时,要小心勾选用户同意条款了。”↓

更有韩国网民表示:“哎…谷歌好像随时监听人们的私生活和私下的对话。手机虽然为人们带来便利,但同时个人信息却被不断泄露。”↓

]]>
西门子 PLC 中的关键漏洞可能让攻击者窃取加密密钥 Wed, 22 May 2024 14:11:54 +0800 西门子Simatic可编程逻辑控制器(PLC)中的漏洞可以被用来检索硬编码的全局私有加密密钥,并获取对设备的控制权。

工业网络安全公司Claroty在一份新报告中表示:“攻击者可以使用这些密钥对西门子SIMATIC设备和相关的TIA Portal进行多次高级攻击,同时绕过其所有四个访问级别保护。”

“黑客可能会利用这些机密信息,以无法修复的方式破坏整个SIMATIC S7-1200/1500产品线。”

该关键漏洞被追踪为CVE-2022-38465,在CVSS评分为9.3,西门子已在2022年10月11日发布的安全更新中对其进行了处理。

受影响的产品和版本列表如下:

SIMATIC 驱动控制器系列(2.9.2之前的所有版本)

SIMATIC ET 200SP 开放式控制器 CPU 1515SP PC2,包括 SIPLUS 变体(21.9 之前的所有版本)

SIMATIC ET 200SP 开放式控制器 CPU 1515SP PC, 包括 SIPLUS 变体(所有版本)

SIMATIC S7-1200 CPU 系列, 包括 SIPLUS 变体(4.5.0 之前的所有版本)

SIMATIC S7-1500 CPU 系列, 包括相关的 ET200 CPUs 和 SIPLUS 变体(V2.9.2 之前的所有版本)

SIMATIC S7-1500 软件控制器(21.9 之前的所有版本)

SIMATIC S7-PLCSIM 高级版(4.0 之前的所有版本)

Claroty表示,它能够通过利用西门子PLC中之前披露的漏洞(CVE-2020-15782)来获得对控制器的读写权限,从而恢复私钥。

这样做不仅可以让攻击者绕过访问控制并覆盖本机代码,还可以完全控制每个受影响的西门子产品线的PLC。

CVE-2022-38465反映了去年在罗克韦尔自动化PLC(CVE-2021-22681)中发现的另一个严重漏洞,该漏洞可能使对手能够远程连接到控制器,并上传恶意代码,从PLC下载信息或安装新固件。

Claroty在2021年2月指出:“该漏洞在于Studio 5000 Logix Designer软件可能允许发现秘密加密密钥。”

西门子建议客户仅在受信任的网络环境中使用传统PG/PC和HMI通信,并安全访问TIA Portal和CPU,以防止未经授权的连接。

这家德国工业制造公司还采取措施,使用TIA Portal版本17中的传输层安全性(TLS)对工程站、PLC和HMI面板之间的通信进行加密,同时警告“黑客滥用全球私钥的可能性越来越大。”

这些是在工业网络中使用的软件中发现的一系列重大漏洞中的最新发现。今年6月初,Claroty详细介绍了西门子SINEC网络管理系统(NMS)中的十几个漏洞,这些漏洞可能会被滥用以获得远程代码执行功能。

然后在2022年4月,该公司在罗克韦尔自动化PLC中发现了两个漏洞(CVE-2022-1159和CVE-2022-1161),这些漏洞可能被利用来修改用户程序并将恶意代码下载到控制器。

]]>
“三哥”,核酸信息泄露该管管了! Wed, 22 May 2024 14:11:54 +0800 新冠病毒肆虐近三年时间,仍没有想要“放过”人类的迹象,疫情不仅影响全球经济发展,社会正常运转,甚至成为网络攻击、勒索软件快速增长的温床,”滋养“了一系列网络安全问题。

令人吃惊的是,新冠检测信息这种高敏感数据躲过了黑客攻击,却因人为原因大规模泄露。实时筛出携带新冠病毒个体,可以有效阻隔疫情传播,但检测时需要收集大量民众个人信息,存储、监管如此数量级的数据会存在很大安全风险,更不用说,网络犯罪分子早就盯上了核酸相关信息这块香饽饽。

本文盘点一些典型新冠核酸检测信息泄露事件 ,我们一起看看其中的“神操作”。

印度屡屡贡献信息泄露的神操作

新冠疫情蔓延至印度后,使其成为了主要的“毒窝”,培育出诸如德尔塔等众多变异毒株。面对疫情,印度政府不仅没有采取科学防疫措施,其新冠检测数据更是频频泄露,甚至处于放任自流的状态。

800 万份检测报告数据在暗网出售

2021 年 3 月,安全研究人员 Sourajeet Majumder 称其发现某印度政府网站泄露数百万民众核酸检测结果。随着信息泄漏事件持续发酵,印度政府承认了数据泄露事件,并表示泄露的核酸检测报告大约有 800 万份。

经安全专家分析研究,发现引起核酸数据泄露的原因是政府网站存在问题,从而导致核酸检测结果泄露。(泄露信息中含有姓名、年龄、婚姻状况、检测时间、居住地址等敏感个人信息)。

此次事件并非印度核酸检测结果首次泄露,此前多个新冠病毒实验室采用了存在安全漏洞的二维码,攻击者可以通过枚举测试结果 URL 的方式来窃取病人核酸检测结果。

系统出现安全漏洞,引发数据泄漏,并不只发生在印度,但接下来提到的数据泄漏事件,只有“大英帝国的正统继承人”,“厕所运动发起者”、“肠胃道战士”,没错,正是”印度三哥才能够干出来。

数百万份检测结果暴露,涉事机构置若罔闻

机缘巧合之下,知名安全研究员 Anurag Sen 发现印度某家医疗软件供应商的 Elasticsearch 服务器暴露在互联网上。

这种情况立刻引起了 Anurag 的重视,随机对服务器进行详细分析,发现服务器暴露了23 GB 的 COVID 抗原检测结果。这些数据信息及其详尽,不仅包括个人记录,还有往来印度人士的医疗记录,其中身份信息主要是姓名、国籍、出生日期、完整地址、电话号码、投票 ID 编号、COVID 测试结果、Aadhaar 医保编号、护照编号、基础疾病情况疫苗详细情况等,涉及受害人数超过 170 万。

值得注意的是,其中还涉及一些美国、加拿大和印度公民。

Anurag 意识到事情的严重性,立刻联系服务器运营公司。令人迷惑的是,本该迅速修补漏洞的医疗软件提供商,一个多星期后也迟迟未做任何回应。

目前该服务器仍然保持公开,任何人员无需任何安全身份验证或密码即可直接访问,是否有黑客已经盯上并利用了这些数据仍不得而知,但可以确定的是,一旦网络犯罪分子掌握这些信息,170 万民众以及服务器所有方都将面临严重网络安全威胁。

印度作为互联网世界永远的神,连”牛尿新冠特效药“都能发明出来,无论发生什么稀奇古怪的事情也不会引起疑惑,但离谱到相关单位已经收到了安全威胁预警,依旧选择置若罔闻,将大量敏感数据信息”赤裸裸“暴露给网络犯罪分子,完全展现其对民众数据信息安全性的蔑视。

现阶段,随着万物互联紧密度逐渐加深,势必会产生海量数据信息,很难做到”绝对“安全,发生数据泄露也在所难免,但一定要有态度。若相关机构发现数据泄露风险,置之不理,实难逃脱责任。

“严谨的”的德日同样逃不过数据泄漏

“喝清澈恒河水,吃干净印度饼“,三哥作为中文互联网群嘲老玩家,名场面实在太多,但下面”青岛下水道”、“马桶水干净可饮”等故事背后主人公出现数据泄露,就很难理解了。

媒体披露,德国柏林数个新冠病毒检测站点的数据运营商因使用不安全的软件解决方案,致使数十万人的数据信息泄露。

从调查结果来看,大约 20 万至 40 万人的数据受到影响,民众的核酸检测结果、姓名、电话、住址和电子邮箱等信息遭到泄露,部分人的身份证和护照信息也遭泄露。

相比较德国,日本数据泄漏带来的影响相对较低。

埼玉县政府官网上刊登了一份所有人可见的文件,记载了 191 名新冠患者的姓名、住址等信息,直到 5 个多小时后,经外部人员指出才被删除。在这段时间内,该文件被阅览了115次。

据悉,这件事情的根源是埼玉县政府在公布上个月某天新增确诊病例信息时,出现了失误。一名政府雇员在修改时误将当日确诊名单上传至官网。通常情况下,上传官网的名单要经过处理,隐去患者的姓名,但由于该雇员糊涂地将处理前后两种文件放在同一个文件夹,并误选了原始的名单。

核酸信息数据泄漏带来那些危害?

毋庸置疑,民众核酸数据信息十分重要,核酸信息几乎包含了民众所有基础个人信息,一旦落入不法分子手中将会带来很大安全隐患,给生活带来极其其恶劣的影响。以下整理了几种常见数据泄露引发的安全问题。

1. 垃圾短信、骚扰电话、垃圾邮件源源不断:个人信息泄露后,民众电子邮箱每天会收到大量垃圾邮件外,此外还会接到陌生人打来的推销电话;

2. 诈骗电话持续轰炸:核酸信息中包含了很多民众基础信息,诈骗分子得到这些信息后,就会集中精力,相互配合,编造各种谎言,实施诈骗活动。

3. 冒充公检法要求受害者转账:一些胆大妄为的网络犯罪分子甚至会冒充公安局、检察院等权力部门,详细说出受害者个人信息,并绘声绘色地描述近期诈骗案件,之后假意提醒银行账户存在安全风险,需要转入一个安全转账中,这时候迷迷糊糊的受害人就可能上当了。

4. 案件事故:最糟糕的是,不法分子可能利用受害者个人信息,进行违法犯罪活动,受害者可能不明不白被警察传唤或被法院传票通知出庭。

随着大数据技术不断发展,再加上疫情对工作模式的改变,个人信息泄露事件层出不穷,愈演愈烈。民众信息一旦泄漏,带来的危害往往难以估量,轻则受到垃圾邮件、广告短信的长期骚扰,严重的会造成巨大经济损失。

核酸信息泄露亟待解决

核酸信息泄露,归根结底还是民众个人信息泄露,为何这些年信息泄露屡禁不止?小编认为还是处罚力度的问题,因此必须要完善顶层制度建设,加大对泄露和滥用个人信息的处罚力度,让网络犯罪分子付出沉重代价。

当前,全球多个国家已经纷纷颁布数据保护的相关法律法规,旨在对信息安全与隐私保护相关事项进行规范与引导。例如中国颁布的《网络安全法》和《个人信息保护法》、GB/T 35273个人信息保护条例,欧盟 GDPR 通用数据保护条例,美国加州 CCPA 隐私保护条例,美国内华达州 SB220 数据隐私法,英国DPA2018 数据保护法等。此外,为了应对越来越多信息泄露及信息滥用的现状,国际标准化组织 ISO 也在信息安全、隐私安全、云安全等相关领域发布了诸多国际标准。

各个国家的法律法规明确了政府机关对数据信息的保护义务,是保护数据安全硬性要求,对数据所有者、数据处理者、数据监管者起到了很大的震慑作用,但真正能够最大程度地减缓数据泄漏还是需要加强数据安全意识培训。网络安全意识教育能够全面提升社会民众的安全意识与安全防护能力,从而侧面地推动企业机构重视数据保护,从根本上杜绝数据泄露。

写在最后

新冠检测有助于更好地筛选出阳性病人,从而阻断疫情传播,但存在的信息安全隐患同样不可忽视。核酸信息往往会包含民众姓名、电话号码、工作和家庭地址以及身份证号码基础信息。一旦核酸信息泄露,民众就几乎“裸奔了”,给其工作生活增加许多障碍。

核酸信息这种高敏感信息尚且会泄露,其它信息数据就更难保证安全性,数据信息保护已经来到不得不做的时刻,各国政府应更加细化法律法规,规范信息收集、存储、使用各个环节,对造成个人信息泄露的单位负责人或相关人员,依法进行严肃处理,以儆效尤。

]]>
违规处理政务类数据,某科技公司违反《数据安全法》被行政处罚 Wed, 22 May 2024 14:11:54 +0800 近期,上海网信办发现,某科技公司在处理政务类数据时违规操作,且未采取相应的技术措施和其他必要措施保障数据安全,导致数据存在泄露风险。上海网信办依据《中华人民共和国数据安全法》对该公司责令改正,给予警告,并处以人民币五万元罚款的行政处罚。

上海网信办相关负责人表示,数据安全关乎人民群众切身利益,关乎国家安全和社会稳定,上海网信办将针对数据安全保护义务履行不力,造成重要数据泄露风险的违法违规行为加强监督检查和执法,进一步营造安全稳定的网络环境。

法律·链接

《中华人民共和国数据安全法》第二十七条:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。

重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。

《中华人民共和国数据安全法》第四十五条规定:开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

]]>
键盘残余热量可能泄露密码,20秒内拍下键盘热像图,密码泄露86% Wed, 22 May 2024 14:11:54 +0800 如果攻击者可以从用户在键盘上留下的热量猜出密码怎么办?英国格拉斯哥大学计算科学学院的计算机安全研究人员成功地部署了这种实验。

副教授穆罕默德·哈米斯(Mohamed Khamis)领导的一个团队开发了ThermoSecure系统,该系统使用红外热像仪来猜测和识别用户最后触摸的键位,然后利用人工智能分析热像图,热像图中越亮的键位,表明它被触摸的时间距离现在越短。这一研究论文发布在即将出版的《ACM隐私与安全交易》杂志中。

研究人员使用该系统可猜测计算机键盘、智能手机屏幕、ATM键盘上的密码和PIN。研究结果非常惊人,在20秒内拍摄热像图时,密码的还原率为86%;30秒内拍摄,密码的还原率为76%;60秒内拍摄,密码还原率为62%。

使用ThermoSecure系统,研究人员可以破解多达16个字符的三分之二的密码。较短的密码更容易被破解:12个字符的密码在82%的时间内被猜到,八个字符的密码被破解的概率是935。六个字符或更少字符的密码被破解的概率是100%。

虽然该系统仅用于研究,但此演示是一个明确的警告,即短密码和PIN(例如我们用于在ATM上访问银行帐户的密码和PIN)特别容易受到攻击。

更重要的是,像哈米斯团队使用的工具越来越容易获得。他表示,“使用红外热像仪比以往任何时候都更实惠,它们的价格不到200英镑(220美元),机器学习也变得越来越容易获得。这使得世界各地的人们很可能正在沿着与ThermoSecure类似的路线开发系统,以便窃取密码。”

]]>
广州网警侦办多起黑客违法犯罪案件 Wed, 22 May 2024 14:11:54 +0800 根据“净网2022”专项行动工作部署,广东网安部门严厉打击黑客类违法犯罪行为。

今年以来,共破获黑客类案件142起,抓获涉案嫌疑人424名,依法刑事拘留343人,有力打击了相关违法犯罪活动。以下为重大典型案例:

● 破坏信息系统,严重扰乱民生秩序

广州网安部门破获安某等人提供入侵、非法控制计算机信息系统程序、工具案,抓获犯罪嫌疑人15名,捣毁犯罪团伙生产窝点2个,扣押涉案物品一大批。

该案嫌疑人生产的遥控设备可通过截获复制、扫描破解车辆道闸系统开启信号等方式,对车辆道闸系统进行非法控制,达到逃费目的。

该案嫌疑人还发展代理商,在网络平台售卖设备。

● 非法篡改数据,破坏网络安全秩序

广州网安部门破获某团伙篡改数据代打车案。

该犯罪团伙通过篡改网络数据包,修改打车目的地坐标和订单号,修改打车实际金额,从而绕过平台的预支付款机制。

下游中介进而实施“代叫车”,打车结束后,以正常打车价的3到5折向乘客收取费用,并弃用打车账号(即逃单),涉案金额百万元。

近日,广州公安机关开展收网行动,一举抓获嫌疑人19名。

● 搭建虚假网站、植入木马病毒牟利

广州网安部门侦破林某某等人涉嫌非法获取计算机信息系统数据案。

该团伙成员通过发布广告吸引需要兑换泰达币(一种虚拟货币)的受害人登录虚假第三方支付网站,再以开通充值商户需要绑定IP等为由,在受害人电脑植入木马病毒,从而获取电脑中的键盘记录、密码、虚拟货币公钥、私钥、助记词等信息,达到窃取受害人泰达币,并利用境外博彩诈骗资金跑分套现的目的。

近日,广东广州公安机关开展收网行动,一举抓获并刑拘嫌疑人59名,串并全国涉该团伙的电信诈骗案件800余宗。

]]>
快一年了,VMware这一高危漏洞仍未解决 Wed, 22 May 2024 14:11:54 +0800 据Bleeping Computer消息,VMware于10月11日通知客户,vCenter Server 8.0(最新版本)仍在等待补丁来解决 2021 年 11 月披露的高严重性特权提升漏洞。

该安全漏洞 CVE-2021-22048 由 CrowdStrike 的 Yaron Zinar 和 Sagi Sheinfeld 在 vCenter Server 的 IWA(集成 Windows 身份验证)机制中发现,影响范围涉及到了 VMware 的 Cloud Foundation 混合云平台部署,具有非管理访问权限的攻击者可以利用漏洞,在未打补丁的服务器上将权限提升到更高权限组。

VMware 表示,只有使用与目标服务器相邻的向量网络的攻击者才能利用此漏洞作为高复杂性攻击的一部分,该攻击需要低权限且无需用户交互(但是NIST NVD 的 CVE-2021-22048 条目表示它可以远程利用低复杂性攻击)。

尽管如此,VMware 仍将该漏洞的严重性评估为“重要”, 这意味着通过用户协助或经过验证的攻击者能利用漏洞泄露用户数据。

公司曾在 2022 年 7 月发布安全更新,但仅解决了当时运行最新可用版本(vCenter Server 7.0 Update 3f)的服务器漏洞,即便如此,该补丁也在发布 11 天后被撤回,因为它没有修复漏洞并导致 Secure打补丁时令牌服务 (vmware-stsd) 崩溃。

补丁发布之前的解决方法

尽管所有受影响产品都还在苦苦等待补丁的到来,但 VMware 提供了一种解决方法,允许管理员删除攻击媒介。

为了阻止攻击尝试,VMware 建议管理员从受影响的集成 Windows 身份验证 (IWA) 切换到 Active Directory over LDAPs 身份验证或 AD FS 身份提供程序联合身份验证(仅限 vSphere 7.0)。

]]>
英特尔确认Alder Lake BIOS源代码已泄露 Wed, 22 May 2024 14:11:54 +0800 据Bleeping Computer 10月9日消息,英特尔已向知名硬件网站Tom's Hardware确认了其第十二代酷睿处理器Alder Lake 的UEFI BIOS 源代码已经泄露。

英特尔表示:“我们的专有 UEFI 代码似乎已被第三方泄露,但我们认为这不会暴露任何新的安全漏洞,因为我们不依赖混淆信息作为安全措施。此代码包含在我们的漏洞赏金计划“Project Circuit Breaker活动中,我们鼓励任何可能发现潜在漏洞的研究人员通过该计划与我们取得联系。我们正在与客户和安全研究社区联络,让他们了解事件情况。”

10月7日,名为“freak”的 Twitter 用户发布了据称是英特尔 Alder Lake 的 UEFI 固件源代码的链接,并声称该固件是由 4chan 提供。该链接指向名为“ICE_TEA_BIOS”的 GitHub 存储库,该存储库由名为“LCCFCASD”的用户上传。其描述称“来自 C970 项目的 BIOS 代码”,总大小 5.97 GB,包括源代码、私钥、日志和编译工具,最新的时间戳显示是 2022 年 9 月 30 日,可能是黑客或内部人员复制了数据。

BleepingComputer 被告知,所有源代码都是由 UEFI 系统固件开发公司 Insyde Software Corp 开发。但泄露的源代码还包含大量关于联想公司的引用内容,包括联想字符串服务、联想安全套件和联想云服务集成代码。

目前尚不清楚源代码是在网络攻击期间被盗还是被内部人员泄露。

尽管英特尔淡化了源代码泄漏的安全风险,但安全研究人员警告称,这些内容可以更容易地发现代码中的漏洞。硬件安全公司Hardened Vault认为,即使被泄露的OEM只部分用于生产中,攻击者及漏洞猎手也能从中找出破绽,比如Insyde解决方案漏洞,并能轻松进行逆向工程,这将长期增加用户的使用风险。

Positive Technologies 硬件研究员 Mark Ermolov 也警告称,泄露的内容包括一个用于保护英特尔 Boot Guard 平台的私有密钥KeyManifest,如果该私钥用于实际生产,攻击者可能会利用它来修改英特尔固件中的启动策略并绕过硬件安全性。

BleepingComputer 已联系英特尔、Insyde 和联想,询问有关泄漏以及私钥是否在生产中使用的相关问题。

]]>
宜家智能照明系统发现漏洞,可能导致灯泡闪烁恢复出厂设置 Wed, 22 May 2024 14:11:54 +0800 据The Record报道,研究人员在宜家的智能照明系统中发现了两个漏洞,允许攻击者控制该系统并使灯泡快速闪烁,还可能导致恢复出厂设置。

两个漏洞影响了宜家的E1526型Trådfri网关1.17.44及之前版本。该产品的价格约为80美元,通常用于照亮书架和梳妆台。

Synopsys网络安全研究中心的Kari Hulkko和Tuomo Untinen表示,他们在2021年6月就将这两个漏洞(CVE-2022-39064和CVE-2022-39065)告知宜家。CVE-2022-39064的CVSS评分为7.1,其核心是Zigbee协议,一种用于无线电、医疗设备和家庭自动化工具等低功率、低数据率设备的无线网络类型。

该漏洞允许攻击者通过该协议发送一个恶意帧,使宜家的TRÅDFRI灯泡闪烁。如果攻击者多次重发该恶意信息,灯泡就会执行出厂重置。

2021年10月底,宜家回应称,正在制作一个漏洞修复程序。该公司在2022年2月16日公布了CVE-2022-39065的修复方案,并在6月公布了CVE-2022-39064的部分补救措施。

宜家的一位发言人向媒体表示,自披露以来,该公司已与Synopsys合作,以改善其智能设备的安全和功能。该发言人表示,由于Zigbee协议的设计,所发现的问题并没有危及客户安全,攻击者不能获得TRÅDFRI网关或智能设备内的敏感信息。

Hulkko和Untinen说,虽然CVE-2022-39065已经在所有1.19.26或更高版本的软件中得到解决,但CVE-2022-39064还没有得到完全处理。“V-2.3.091版本修复了一些畸形帧的问题,但不是所有已知的畸形帧,”他们说,并分享了该漏洞的一个视频。宜家没有回应关于何时发布完整补丁的评论请求。

物联网安全公司Viakoo首席执行官Bud Broomhead解释说,像这样的漏洞的危险性在于它可以导致出厂重置。对于许多Zigbee和相关的物联网设备,这可能会导致物联网设备连接到威胁行为者控制的Zigbee网络。

他指出:“很庆幸这只是灯泡,而不是门锁、摄像机或工业控制系统,所有这些都可以通过Zigbee连接,被攻破和利用后会产生更多的破坏性后果。”

]]>
美国多家机场遭黑客攻击,疑似亲俄黑客所为 Wed, 22 May 2024 14:11:54 +0800 Bleeping Computer 网站披露,亲俄黑客组织 “KillNet ”声称对美国几个主要机场的网站进行了分布式拒绝服务(DDoS)攻击,海量垃圾请求淹没了承载机场网站的服务器,导致部分旅客无法获得其预定航班的更新信息,也不能预订机场服务。

据悉,受此次网络攻击事件影响,包括亚特兰大市哈茨菲尔德-杰克逊国际机场和洛杉矶国际机场在内的十余个机场的网站出现故障。(这两个也是美国最繁忙的两个机场)

其它遭受攻击的机场主要包括芝加哥奥黑尔国际机场(ORD)、奥兰多国际机场(MCO)、丹佛国际机场(DIA)、凤凰城天港国际机场(PHX),此外肯塔基州、密西西比州和夏威夷的一些机场网站也没能幸免。

除了上述攻击目标外,KillNet 黑客组织还在其Telegram频道上列出了一些域名,以便组织成员和其他黑客可以获取新的攻击目标。

KillNet 黑客组织通过特定软件生成针对目标的虚假请求和垃圾流量,目的是耗尽目标的资源,使合法用户无法使用这些资源, 虽然这种情况,DDoS攻击可能不会影响航班,但是可能会中断或延迟某些服务。

KillNet“盯上了”西方国家

此前,KillNet 组织曾将罗马尼亚和意大利等站在乌克兰一边的国家作为主要攻击目标,其 “子集团 ”Legion也因类似原因攻击了了挪威和立陶宛等国重要实体机构。不难看出,随着俄乌冲突进入新的阶段,亲俄黑客组织正试图加强对西方世界报复性网络攻击。

值得一提的是,自俄乌冲突以来,尤其是欧盟宣布制裁俄罗斯后,,KillNet 黑客组织DDoS 攻击目标似乎主要集中在欧盟。美国作为北约“事实上”的话事人,一直是俄罗斯的主要军事对手,从俄乌冲突爆发初期,持续向乌克兰方面提供军事情报和设备,但似乎没有受到亲俄黑客势力的攻击。

直到上周,KillNet 组织的攻击范围才扩大到美国,主要攻击了科罗拉多州、肯塔基州和密西西比州一些政府网站,并取得了一定的成功。

]]>
宇宙级杀猪盘:“俄宇航员”称要回地球 骗日本老人21万 Wed, 22 May 2024 14:11:54 +0800 相较于盗号假扮熟人,诈骗个电话费、生活费什么的低级诈骗方式,“杀猪盘”的诈骗危害要更大,不仅诈骗金钱,还会欺骗感情,最终受害者落个人财两空。只不过,现如今的杀猪盘,诈骗分子的脑洞也是越来越大,就连“宇航员回地球”这样的离谱背景,也能编排出来。

近日,据报道,日本滋贺县一名六旬妇女6月在网上认识了一名自称“俄罗斯宇航员”的男子,两人在聊天中逐渐产生了恋爱的感觉。

“俄罗斯宇航员”进行糖衣炮弹轰炸时,顺势要求被害人提供“返回地球的火箭和着陆费用”,并承诺“回到地球就结婚”。

被害人在8月至9月期间陆续汇款5次,总金额大约440万日元(约合人民币21.5万元),随后才意识到被骗。

警方认为这是一场“国际杀猪盘”,目前正展开详细调查,并敦促市民谨慎交友。

]]>
以色列国防巨头埃尔比特系统的美国分公司遭黑客攻击 Wed, 22 May 2024 14:11:54 +0800 以色列国防承包商埃尔比特系统公司的美国分公司表示,其网络在6月初遭到黑客攻击,员工的个人信息被盗。埃尔比特系统美国分公司在提交给缅因州总检察长办公室的一份通知中说,有369名员工受到数据泄露的影响,其中包括员工姓名、地址、出生日期、直接存款信息、种族和社会安全号码。

在通知中,这家位于得克萨斯州的公司几乎没有分享任何细节,只是说“有人试图干扰美国埃尔比特公司的网络运营”,而且其调查正在进行。

埃尔比特系统美国分公司没有把这次入侵归咎于某个特定的威胁集团或政府,也没有说它认为它被攻击的原因。埃尔比特公司在美国和以色列的发言人都没有回应评论请求。

总部位于以色列海法的母公司埃尔比特系统公司是一家国防技术和电子巨头,为世界各地的军队和政府制造无人驾驶飞机、电子战系统和其他情报收集、侦察和监视系统。

埃尔比特公司在监控软件市场也有涉猎。2015年,埃尔比特公司以大约1.6亿美元的价格收购了Nice Systems公司的网络和情报部门,并将其分拆为一个名为Cyberbit的子公司。两年后,互联网监督机构Citizen Lab的研究人员发现,由Cyberbit构建的商业间谍软件被用来监视美国和英国的埃塞俄比亚持不同政见者。互联网监督机构说,这些间谍软件冒充假的浏览器插件,旨在从受害者的电脑中提取私人用户数据,包括电子邮件、密码和屏幕截图。

Citizen Lab说,埃塞俄比亚政府可能下令进行监视。

埃尔比特公司在2020年出售了其在Cyberbit的股份,在美国私募股权公司Charlesbank Capital Partners投资7000万美元后,成为少数股东。

Cyberbit是设在以色列的几个已知的间谍软件制造商之一,包括NSO集团、Cytrox和Candiru。

]]>
新型Android恶意软件\"RatMilad\"乔装正常应用以监视受害者 Wed, 22 May 2024 14:11:54 +0800 移动安全公司Zimperium发现了一种名为"RatMilad"的新Android恶意软件,目标是中东地区的移动设备。据该公司称,该恶意软件被用于网络间谍活动、敲诈勒索或窃听受害者的谈话。

该恶意软件隐藏在一个名为"NumRent"的欺诈性VPN和电话本应用程序背后。NumRent通过社交媒体上的链接以及Telegram和WhatsApp等通信应用程序分发。为了让人们相信该应用程序的合法性,其背后的网络犯罪分子创建了一个网站为该应用程序做广告。

一旦安装,RatMilad隐藏在VPN连接后面,并持续渗出设备上的数据,如:

短信

通话记录

剪贴板数据

设备信息(例如,型号、品牌、构建号、Android版本)。

GPS位置数据

SIM卡信息

联系信息

已安装的应用程序列表

更重要的是,RatMilad可以删除数据和上传文件到其命令和控制服务器,修改应用程序的权限,并使用设备的麦克风录制音频和窃听对话。

据Zimperium称,RatMilad背后的网络犯罪分子采取随机目标的方式,而不是有针对性地面向某些个人和企业。

为了保护你的Android设备免受RatMilad和其他恶意软件的侵害,请避免从第三方应用程序商店下载应用程序。此外,经常扫描恶意软件,并审查你的应用程序的权限,看看是否有任何可能看起来不合适的地方。

]]>
泄露的英特尔酷睿Alder Lake BIOS的5.9GB源代码被发布到GitHub上 Wed, 22 May 2024 14:11:54 +0800 之前我们报道过英特尔酷睿Alder Lake BIOS的源代码已在被完整地泄露了,未压缩版本的容量有5.9GB,它似乎可能是在主板供应商工作的人泄露的,也可能是一个PC品牌的制造伙伴意外泄露的。

一些Twitter用户似乎认为该代码源自4chan。昨天,它进被分享到了GitHub,在今天早些时候被撤下之前,有人查看了它的源代码日志,发现最初的提交日期是9月30日,作者被标记为LC Future Center的一名员工,这是一家可能生产笔记本电脑的公司,该代码现在依然可以从几个镜像中获得,并在互联网上被分享和讨论。

分析所有5.9GB的代码可能需要好几天时间,但有人已经发现了一些有趣的部分。显然,有多处提到了"功能标签测试",进一步将泄漏与OEM厂商联系起来。其他部分据称提到了AMD的CPU,这表明代码在离开英特尔后被修改了。最令人震惊的是,一名研究人员发现了对未记录的MSR的明确引用,这可能构成重大的安全风险。

MSR(特定型号寄存器)是只有BIOS或操作系统等特权代码才能访问的特殊寄存器。供应商使用它们来切换CPU内的选项,如启用调试或性能监控的特殊模式,或某些类型的指令等功能。

一款CPU可能有数百个MSR,而英特尔和AMD只公布了其中一半到三分之二的文档。未记录的MSR通常与CPU制造商希望保密的选项有关。例如,研究人员发现AMD K8 CPU内的一个未记录的MSR是为了启用特权调试模式。MSR在安全方面也发挥着重要作用。英特尔和AMD都使用MSR选项来修补其CPU中在硬件缓解之前的Spectre漏洞。

安全研究人员已经表明,通过操纵未记录的MSR,有可能在现代CPU中创建新的攻击载体。这可能发生的情况非常复杂,不一定是现在正在发生的事情,但它仍然是一种可能性。应由英特尔来澄清情况和对其客户造成的风险。

]]>
厌倦了数据泄露让印尼人破罐破摔 开始反向支持暴露13亿张SIM卡信息的黑客 Wed, 22 May 2024 14:11:54 +0800 8月31日,一个名为Bjorka的用户在一个名为Breached Forums的鲜为人知的网站上发布了一条信息,标题很平淡。"印度尼西亚SIM卡(电话号码)注册13亿"。这几个字预示着对13亿张SIM卡注册的巨大数据黑客攻击--它揭示了国民身份号码、电话号码、电信供应商的名称等等。

8月31日,一个名为Bjorka的用户在一个名为Breached Forums的鲜为人知的网站上发布了一条信息,标题很平淡。"印度尼西亚SIM卡(电话号码)注册13亿"。这几个字预示着对13亿张SIM卡注册的巨大数据黑客攻击--它揭示了国民身份号码、电话号码、电信供应商的名称等等。

印度尼西亚人在混乱中惊醒,并迅速转为愤怒。通信和信息技术部(Kominfo)的回应是,告诉公民他们有责任定期更换密码。这一甩锅的做法让印尼政府部门成了顶流,网民们并开起了苦涩的玩笑。一位官员在一次新闻发布会上无奈地恳求Bjorka。"如果你可以,请不要攻击。""别再当白痴了,"比约卡在他们的Breach账户上反唇相讥。

数字权利组织Safenet将Bjorka事件称为亚洲有史以来最大的数据泄露案件,如果不是如此普遍,可能会更令人震惊。

印度尼西亚人的数据以如此快速和有规律的速度曝光,以至于公民们开玩笑地称其为"开源国家"。

2020年,包括电子商务巨头Tokopedia和Bukalapak在内的公司泄露了超过1亿用户的个人数据。第二年,一名黑客攻破了BPJS Kesehatan的数据库,这是该国的医疗保健和社会保障机构,暴露了2.79亿人的国民身份证号码等,其中一些人已经去世。

经过多年来越来越肆无忌惮的泄密事件,印度尼西亚人的挫败感达到了沸点--这足以促使9月份匆忙通过一项拖延已久的个人数据保护法案,并成立了一个专门负责追捕黑客Bjorka的特别小组。

在一个转折点上,许多印度尼西亚人甚至站在了黑客一边,黑客声称实施这次入侵是为了暴露数据管理的不完善。伴随着又一次公民数据泄漏,Bjorka在Kominfo部长Johnny G. Plate生日当天公开挑战:"生日快乐!"据报道,攻击者在他们的Telegram频道,Bjorkanism发布了一系列主管官员的身份细节,从他的地址到家庭电话号码到疫苗ID。

"2018年,[Kominfo]强迫我们用[政府身份证]注册电话号码,承诺我们没有垃圾邮件,"网络安全顾问Teguh Aprianto在Twitter上指出。"[不仅]我们没有摆脱垃圾邮件,[而且]注册数据......反而被泄露和出售。"这条推文迅速被分享了17000多次,并被大约27000个账户所点赞--这只是在社交媒体上飞舞的一系列针对Kominfo的愤怒帖子和标签中的一个。

Kominfo和国家网络和加密机构(BSSN)没有对评论请求作出回应。

东爪哇省马朗市的讲师玛丽亚姆-贾梅拉(Maryam Jameelah)承认,当在新闻上看到最近的数据泄露案件时,感到很受打击。两年前,Jameelah是Tokopedia数据泄露事件的受害者之一,几个月来,她会收到从未做过的交易账单。

"我不得不改变我的号码和我所有的账户,"Jameelah告诉Rest of World。"这非常令人不安。"

Mulyadi是一家四大公司的IT审计师,他认为印尼政府有责任,并希望采取进一步行动。Mulyadi说:"聘请一名顾问,调查哪些数据被入侵,根本原因是什么,以及下一步是什么,"他还对发送到他私人号码的垃圾邮件感到沮丧。"对我们来说,重要的是知道有一个具体的行动。"

尽管个人数据保护法案已经通过,其中详细规定了在数据泄露的情况下对数据处理者和公司的刑事制裁,但专家们说,这些新措施是暂时的,旨在冷却印度尼西亚人的愤怒。

"这取决于谁是[工作队]的成员。他们有能力吗?"媒体追踪网站Drone Emprit的创始人Ismail Fahmi告诉Rest of World。"这只是短期的。"

这个问题的核心是对数据安全的拼凑方法。一位政府官员向媒体表示,公司经常与印尼内务部门分享国民数据,以核实他们的身份。一些国家部门被授权保护公民私人数据的某些部分,这些部门包括Kominfo、BSSN、内政部和国家警察。因此,当泄漏发生时,并不总是清楚泄漏的源头:是来自政府机构还是公司本身。

这些国家部门也应该一起工作。但是缺乏协调,而泄密却很猖獗。例如,Kominfo主持通信、信息和互联网法律;BSSN的任务是改善系统,防止黑客攻击;而警方的网络犯罪部门则负责执行网络犯罪相关法律,包括黑客攻击、网络污损、仇恨言论、欺诈和数据盗窃。同时,内务部作为所有印度尼西亚人的民事记录的持有者,预计将拥有一个无懈可击的安全系统。

这位政府官员向Rest of World解释说,当数据泄露发生时,Kominfo、国家网络安全机构BSSN和平台都在进行调查,但没有系统让他们充分协调结果。

这位官员说:"不幸的是,[国家部门]几乎从不与Kominfo分享他们的调查结果,所以该部往往被迫只根据合规信息提出建议,"这样松散的部门构成了基本的安全框架。

现在,印尼人的大部分希望似乎都取决于个人数据保护法案和随后将建立的新的权力机构。总统将有特权决定谁将成为新机构的成员。

政策研究和宣传研究所(ELSAM)的执行主任Wahyudi Djafar告诉Rest of World,他支持法案中关于建立数据保护机构的规定。但是,贾法尔警告说:"如果该机构不是作为一个独立的机构建立的,就很难保证法案的有效性"。

"挑战在于这个机构的权力有多大,[这]将完全取决于总统的诚意,"贾法尔补充说。

]]>
2K确认一些用户数据被窃和用于出售 Wed, 22 May 2024 14:11:54 +0800 2K确认最近的黑客攻击导致一些玩家的个人信息被窃,被发布出来出售。今年9月,2K称其客户服务可能被盗用,警告那些可能受影响的玩家更改他们的密码。2K当时解释说,一个第三方非法访问了该公司使用的帮助台平台的其中一个供应商凭证,然后访问了客户的机密信息,并向一些玩家发送了恶意链接。

10月6日,2K开始联系那些信息被窃取并被出售的客户。

该公司解释说:“未经授权的第三方访问并复制了您向我们寻求支持时记录的一些个人数据,包括您的电子邮件地址、帮助台ID号、玩家标签和控制台详细信息。没有迹象表明我们系统中保存的任何您的财务信息或密码被泄露。

然而,出于谨慎考虑,我们鼓励所有玩家重新设置密码,如果他们还没有这样做的话,我们鼓励他们通过启用多因素认证来保护自己的账户。”

]]>
美国第四大医疗系统CommonSpirit Health疑似遭勒索软件攻击 Wed, 22 May 2024 14:11:54 +0800 美国大型连锁医院之一疑似遭到勒索软件攻击,导致手术延迟、患者护理中断以及在全国范围内重新安排医生预约。拥有逾 140 间医院、被《贝克尔医院评论》(Becker's Hospital Review)杂志评为全美第四大医疗系统的 CommonSpirit Health 本周二宣布遭遇“IT 安全问题”,迫使某些系统宕机。

虽然 CommonSpirit 拒绝透露具体细节,但一位熟悉其补救措施的人士向 NBC 新闻证实,它遭受了勒索软件攻击。CommonSpirit 也拒绝分享有关其有多少设施出现延误的信息。然而,包括田纳西州的 CHI 纪念医院、德克萨斯州的一些圣卢克医院和西雅图的弗吉尼亚梅森方济会健康中心在内的多家医院都宣布受到影响。

一位不愿透露姓名以保护家人的医疗隐私的德克萨斯州妇女说,她和她的丈夫已于周三抵达 CommonSpirit 附属医院进行此前计划的大手术,但医生推荐等待医院的技术问题修复之后再进行手术。

对医疗保健链的勒索软件攻击相对普遍,两年多来一直是美国医疗系统的频繁部分。即使攻击没有关闭医院,它也可以使部分或全部数字系统脱机,从而切断医生和护士对数字信息的访问,例如患者记录和护理建议。

]]>
泄露约30万用户信息,丰田公开道歉 Wed, 22 May 2024 14:11:54 +0800 据路透社报道,丰田汽车公司旗下T-Connect服务出现安全事故,近三十万用户的个人信息可能已经被攻击者窃取。泄露的信息类型包括用户的电子邮件地址、客户号码等,影响范围包括2017年7月以来使用电子邮件地址注册服务的用户。

对于此次信息泄露事件,丰田公开表示“抱歉”。资料显示,T-Connect是一种通过网络连接车辆的远程信息处理服务,车主可通过网络连接车辆。

根据丰田发布的公告,此次信息泄露事件的原因让车主感到无比气愤。开发T-Connect网站的承包商在 2017 年 12 月至2022年 9 月 15 日期间意外上传了部分源代码,从而导致用户信息泄露。

“根据调查,无法从存储信息的数据服务器的访问历史中确认第三方访问安全专家”,丰田进一步强调,“此次事件不会泄露敏感用户的个人信息,例如姓名、电话号码或信用卡信息。”但是,用户还是需要提高警惕,谨防第三方攻击者利用这些信息发送网络钓鱼邮件。

 黑客攻击导致数据泄露 

近年来,丰田汽车频频遭受黑客和勒索组织攻击,并导致发生了多次数据泄露事件。

2022年3月,丰田旗下子公司-日本电装株式会社(以下简称“电装”)遭遇勒索软件攻击,有大量的内部资料被黑客获取。在此之前,一个名为“Pandora”的黑客组织称已经入侵电装公司,并获取超过15.7万份订购单、邮件和设计图纸等总共1.4TB的资料,同时该组织威胁电装称,如果不按要求支付赎金,将在暗网公布这些数据。

此外,在2019年,丰田还因黑客入侵服务器,访问部分销售子公司的数据,导致出现严重数据泄露事件,高达310万客户的信息被攻击者窃取。受影响的子公司包括丰田东京销售控股公司、东京汽车、东京丰田、丰田东京卡罗拉、丰田东京销售网络、雷克萨斯Koishikawa Sales公司、Jamil Shoji及丰田西东京卡罗拉。

在这起用户信息泄露事件中,丰田汽车强调,客户的财务细节并未存储在被黑客攻击的服务器上,也未披露黑客可能访问了哪些类型的数据。

这也是丰田2019年第二次出现网络安全事件。在2019年2月,丰田还曾披露了另外一起网络攻击事件,影响其澳大利亚分公司。将两次攻击相比较,澳大利亚分公司受到的攻击更具破坏性,对澳大利亚公司处理销售和交付造成了影响。一些行业专家认为攻击是APT32 (OceanLotus)所为,这是一家越南网络间谍机构,以专注于汽车行业而闻名。

专家表示,APT32黑客可能想先攻击丰田的澳大利亚分公司,然后进入丰田在日本的中央网络。

]]>
史上之最!澳大利亚40%居民信息被泄露 Wed, 22 May 2024 14:11:54 +0800 据infosecurity消息,澳大利亚第二大电信运营商Optus被曝发生严重的数据泄露事件,近1000万用户的个人信息被泄露。而根据澳大利亚2021年人口普查数据,其人口总数约为2500万人。

这意味着,此次数据泄露事件波及人数达到该国40%的左右的人口,并成为澳大利亚史上最大的网络安全事件之一。资料显示,Optus是新加坡电信的全资子公司。通过其OptusNet品牌,它在澳大利亚提供宽带,无线和拨号上网服务,并以稳定而高速的网络著称。

Optus表示,公司正在调查在网络攻击后未经授权访问客户数据的情况,此次涉案信息包括数据库中用户的姓名、出生日期、家庭住址、电话号码、电子邮件地址、驾照号码、护照号码等。

根据Optus公布的消息,该公司目前正在与澳大利亚网络安全中心合作,以减轻对客户的任何风险,提醒用户提高安全意识,谨防各种网络诈骗活动,并向主要金融机构通报了此次攻击和随后的违规行为。

Optus 首席执行官 Kelly Bayer Rosmarin 对这次网络攻击表示遗憾和愤怒,具体的攻击细节尚未披露。尽管如此,根据托管安全服务提供商Tiberium的首席执行官 Drew Perry 的说法,该漏洞可能是由于一项安全技术中的漏洞造成的。

Perry指出,有关该事件的详细信息仍在不断涌现,建议所有 Optus 的客户立即修改密码,并启用多因素身份验证。如果用户在多个账户中使用了相同的密码,请全部更新并使用密码管理器。”

而《悉尼先驱晨报》发表了一篇报道,称 Optus 曾收到了勒索威胁,要求其支付 100 万美元的加密货币,否则黑客将出售数百万客户的个人信息。澳大利亚联邦警察告诉路透社,在“暗网”和其他来源可以购买到 Optus 客户数据和其他“凭证”。

安全专家表示,Optus 客户将面临更高的网络钓鱼攻击风险,他们的账号密码可能已经在暗网上。这些信息有可能被用来训练“人工智能”]网络钓鱼机器人,以此产生逼真的合成媒体攻击。

但是Optus 指出,由于执法部门正在调查此事,因此它可以发布的与此数据泄露有关的信息量是有限的。该电信运营商还指出,属于黑客的IP地址在欧洲不同国家之间移动。

]]>
加拿大政府雇员知法犯法参与NetWalker勒索软件活动被判处20年监禁 Wed, 22 May 2024 14:11:54 +0800 一名前加拿大政府雇员因在勒索软件计划中的作用而被判处20年监禁,该计划使他获得了超过2100万美元的收入。Sebastien Vachon-Desjardins,34岁,来自魁北克省,在承认与他参与臭名昭著的Netwalker勒索软件即服务(RaaS)行动有关的指控后,于周二在佛罗里达法院被判刑。

Vachon-Desjardins作为NetWalker勒索软件网络的重要骨干,据信他在那里对一些美国公司和至少17个加拿大实体进行勒索操作。

根据他的LinkedIn个人资料,Vachon-Desjardins在加拿大担任公共工程和政府服务部门的IT顾问,之前他在2021年1月被加拿大警方逮捕,并被判处七年监禁。在搜查他的家时,执法人员发现并缴获了719枚比特币(在撰写本文时价值约为1760万美元),以及79万美元的加拿大货币。美国和比利时当局还查获了NetWalker用来发布从受害者那里窃取的数据的暗网网站。

今年3月,Vachon-Desjardins被引渡到美国,他面临共谋计算机欺诈和电信欺诈、故意破坏受保护的计算机以及传送有关破坏受保护的计算机的要求等指控。

除了被判处20年监禁 - 这远远高于联邦准则建议的12-15年监禁,这位前Netwalker骨干还被没收从全球"几十个"受害者那里非法获得的2150万美元,其中包括公司、市政当局、执法部门、紧急服务、学区、学院和大学。甚至在COVID-19大流行期间,NetWalker还将美国的许多医院作为目标。

佛罗里达州中区联邦检察官罗杰-汉德伯格(Roger B. Handberg)说:"本案的被告在国际卫生危机的高峰期利用复杂的技术手段勒索了许多国家的数百名受害者。"

NetWalker,也被称为"Mailto"于2019年首次出现,此后与几次高知名度的高价值勒索软件攻击事件有关。2020年6月,该组织以加利福尼亚大学旧金山分校为目标,该校支付了超过100万美元的赎金要求。三个月后,NetWalker袭击了网络威胁创业公司Cygilant。根据加密货币分析公司Chainalysis的数据,在2019年8月至2021年1月期间,涉及NetWalker的勒索软件攻击拉动了4600万美元的赎金支付。

]]>
伊朗社会抗议引发信息战:国家电视台又遭篡改 播放“杀死最高领袖” Wed, 22 May 2024 14:11:54 +0800 安全内参10月10日消息,支持伊朗女性抗议浪潮的黑客劫持了该国国家电视台的新闻播报,在画面中放出最高领袖阿亚图拉·阿里·哈梅内伊 (Ayatollah Ali Khamenei)头部被十字准星瞄准并在火焰中燃烧的形象。该视频在互联网上广泛传播。

在上周六晚间的电视转播期间,屏幕上出现了一条简短视频,“你的双手,沾满我们年轻人的鲜血。” “加入我们,站起来。”黑客组织Edalat-e Ali(阿里的正义)宣称对此负责。

在这波抗议浪潮中,活动人士在伊朗首都德黑兰各处公共广告牌上喷涂“哈梅内伊之死”和“警察谋杀人民”等字样。

伊朗库德族22岁女孩玛莎·艾米妮(Mahsa Amini)之死是本轮抗议浪潮的导火索。该事件曝光后,街头抗议再次震动德黑兰等多处伊朗城市。。

伊朗国家通讯社IRNA报道称,“警方使用催泪瓦斯驱散了德黑兰数十个地点的抗议人群”,示威者们“高呼口号,还放火烧毁了公共财产,包括一处警察亭。”

艾米妮9月16日身故以后,民众的愤怒被彻底点燃。就在三天前,这位年轻的库尔德女性因涉嫌违反伊斯兰共和国严格的女性着装规定,而被臭名昭著的道德警察逮捕。

篡改视频还播放了艾米妮和另外三名在镇压中丧生的女性的照片。据总部位于挪威的伊朗人权组织称,这场镇压活动已经夺走至少95人的生命。

伊朗人权组织援引总部位于英国的俾路支激进主义者运动的消息称,9月30日,锡斯坦-俾路支斯坦省一名警察局长强奸一名少女的事件引发了骚乱,导致另外 90 人丧生。

伊斯兰革命卫队一名成员上周六在库尔德斯坦省萨南达吉被杀,另一名卫队成员在德黑兰死于“暴徒武装袭击导致的头部重伤”。根据IRNA的统计,目前革命卫队方面的死亡人数已经增加至14人。

“到处都是抗议”

伊朗遭受了近三年来最严重的一波社会震荡,包括大学生及年轻女学生在内的抗议人群高呼“女性、生活、自由”口号。

美国活动家兼记者奥米德·梅马里安(Omid Memarian)在推特上说,“来自德黑兰的视频表明,这座城市里到处都是抗议,已经蔓延到了每一个角落。”

根据亨沃格人权组织称于上周六录制的视频,在艾米妮的家乡库尔德斯坦萨基兹,女学生们高呼口号并走上街头,在空中挥舞着头巾。

尽管伊朗已经全面中断了国内互联网连接,封锁了各大主要社交媒体平台,但该国惨烈的对抗、特别是令人毛骨悚然的血腥镜头仍然在网络之上广为流传。

其中一段视频显示,在库尔德斯坦首府萨南达吉,一名男子被枪杀在自己的车内,该省警察局长阿里·阿扎迪(Ali Azadi)随后称此人是“被反革命势力所杀害”。

另一段在网上引起轩然大波的视频中,愤怒的男人们似乎将一名巴斯基民兵围住,并疯狂殴打。

还有视频片段显示,据称在伊朗东北部的马什哈德,一名年轻女性被枪杀。

社交媒体上许多用户表示,这让人想起妮达-阿迦-索尔坦的遭遇。这位年轻女性在2009年的抗议活动中被枪杀,随后长期成为伊朗反对派的象征。

抗议者的对抗策略

面对暴力与网络限制,抗议者们采取了新策略,开始在公共场所传播自己的抵抗信息。

德黑兰莫达雷斯高速公路立交桥上挂起一面巨大的横幅,写道“我们不再害怕,我们将要抗争。”法新社核实了图片的真实性。

在其他画面中,还能看到一名手持喷漆罐的男子将一条高速公路上的政府广告牌,从“警察服务人民”改成了“警察谋杀人民”。

有传言称,伊朗首都多个喷泉景观被染成血红色。但德黑兰市政公园组织负责人阿里·穆罕默德·莫赫塔里(Ali Mohamad Mokhtari)反驳道,“这种说法纯属造谣,德黑兰的喷泉颜色没有任何变化。”

伊朗指责有外部势力在煽动抗议活动,否则全球数十个城市不可能同时组织起群体示威。与此同时,美国、欧盟及其他多国政府都对伊朗出台了新的制裁。

关于艾米妮的死,伊朗政府上周五公布了法医的调查结果,表示她的死因是长期健康问题,并非活动人士宣称的头部受到打击。

艾米妮的父亲则向总部位于伦敦的伊朗国际组织驳斥了官方的说法,“我亲眼看到玛莎的耳朵和后颈流出了鲜血。”

]]>
以色列国防巨头埃尔比特系统的美国分公司遭黑客攻击 Wed, 22 May 2024 14:11:54 +0800 以色列国防承包商埃尔比特系统公司的美国分公司表示,其网络在6月初遭到黑客攻击,员工的个人信息被盗。埃尔比特系统美国分公司在提交给缅因州总检察长办公室的一份通知中说,有369名员工受到数据泄露的影响,其中包括员工姓名、地址、出生日期、直接存款信息、种族和社会安全号码。

在通知中,这家位于得克萨斯州的公司几乎没有分享任何细节,只是说“有人试图干扰美国埃尔比特公司的网络运营”,而且其调查正在进行。

埃尔比特系统美国分公司没有把这次入侵归咎于某个特定的威胁集团或政府,也没有说它认为它被攻击的原因。埃尔比特公司在美国和以色列的发言人都没有回应评论请求。

总部位于以色列海法的母公司埃尔比特系统公司是一家国防技术和电子巨头,为世界各地的军队和政府制造无人驾驶飞机、电子战系统和其他情报收集、侦察和监视系统。

埃尔比特公司在监控软件市场也有涉猎。2015年,埃尔比特公司以大约1.6亿美元的价格收购了Nice Systems公司的网络和情报部门,并将其分拆为一个名为Cyberbit的子公司。两年后,互联网监督机构Citizen Lab的研究人员发现,由Cyberbit构建的商业间谍软件被用来监视美国和英国的埃塞俄比亚持不同政见者。互联网监督机构说,这些间谍软件冒充假的浏览器插件,旨在从受害者的电脑中提取私人用户数据,包括电子邮件、密码和屏幕截图。

Citizen Lab说,埃塞俄比亚政府可能下令进行监视。

埃尔比特公司在2020年出售了其在Cyberbit的股份,在美国私募股权公司Charlesbank Capital Partners投资7000万美元后,成为少数股东。

Cyberbit是设在以色列的几个已知的间谍软件制造商之一,包括NSO集团、Cytrox和Candiru。

]]>
澳大利亚史上最大数据泄露事件,40%的居民信息被泄露 Wed, 22 May 2024 14:11:54 +0800 据infosecurity消息,澳大利亚第二大电信运营商Optus被曝发生严重的数据泄露事件,近1000万用户的个人信息被泄露。而根据澳大利亚2021年人口普查数据,其人口总数约为2500万人。

这意味着,此次数据泄露事件波及人数达到该国40%的左右的人口,并成为澳大利亚史上最大的网络安全事件之一。资料显示,Optus是新加坡电信的全资子公司。通过其OptusNet品牌,它在澳大利亚提供宽带,无线和拨号上网服务,并以稳定而高速的网络著称。

Optus表示,公司正在调查在网络攻击后未经授权访问客户数据的情况,此次涉案信息包括数据库中用户的姓名、出生日期、家庭住址、电话号码、电子邮件地址、驾照号码、护照号码等。

根据Optus公布的消息,该公司目前正在与澳大利亚网络安全中心合作,以减轻对客户的任何风险,提醒用户提高安全意识,谨防各种网络诈骗活动,并向主要金融机构通报了此次攻击和随后的违规行为。

Optus 首席执行官 Kelly Bayer Rosmarin 对这次网络攻击表示遗憾和愤怒,具体的攻击细节尚未披露。尽管如此,根据托管安全服务提供商Tiberium的首席执行官 Drew Perry 的说法,该漏洞可能是由于一项安全技术中的漏洞造成的。

Perry指出,有关该事件的详细信息仍在不断涌现,建议所有 Optus 的客户立即修改密码,并启用多因素身份验证。如果用户在多个账户中使用了相同的密码,请全部更新并使用密码管理器。”

而《悉尼先驱晨报》发表了一篇报道,称 Optus 曾收到了勒索威胁,要求其支付 100 万美元的加密货币,否则黑客将出售数百万客户的个人信息。澳大利亚联邦警察告诉路透社,在“暗网”和其他来源可以购买到 Optus 客户数据和其他“凭证”。

安全专家表示,Optus 客户将面临更高的网络钓鱼攻击风险,他们的账号密码可能已经在暗网上。这些信息有可能被用来训练“人工智能”]网络钓鱼机器人,以此产生逼真的合成媒体攻击。

但是Optus 指出,由于执法部门正在调查此事,因此它可以发布的与此数据泄露有关的信息量是有限的。该电信运营商还指出,属于黑客的IP地址在欧洲不同国家之间移动。

]]>
湖南衡阳破获400亿虚拟货币交易洗钱案,或涉大量币安账户被冻结 Wed, 22 May 2024 14:11:54 +0800 9月26日,湖南衡阳县公安发布文章,表示破获“9.15”特大洗钱犯罪集团案等9起典型案例,其中“9.15”特大洗钱犯罪团伙涉嫌利用虚拟币交易洗钱金额高达400亿元,目前已串并涉电诈案件300余起。

据相关人士爆料,今年8月,大量币安交易所的账号资金被冻结事件与该案件有关。对此,记者联系了币安,币安方面拒绝对该司法案例做出评论。

除此之外,币安表示,在全球范围内,币安与全球监管机构和执法部门通力合作,以保护生态系统和所有用户的安全,同时币安内部针对执法请求也有着严格的标准作业流程,这是币安在全球范围内一致的态度与做法。如果相关账户确实存在触犯法律的情况,多数司法管辖区的执法部门会要求直接联系用户,币安将持续完善执法支持系统,依照司法进度处理相关事宜。

]]>
网络攻击扰乱酒店供应链!洲际酒店集团加盟商损失惨重 Wed, 22 May 2024 14:11:54 +0800 安全内参9月27日消息,近期针对洲际酒店集团的网络攻击影响到了各特许加盟商的业务,导致愤怒的客户、收入损失乃至集体诉讼隐患正持续发酵。

网络攻击导致预约系统严重中断

9月6日,洲际酒店集团表示,检测到技术系统中存在未授权活动,导致预订及其他系统出现严重中断。

酒店业主们(注:即洲际酒店集团旗下酒店的房产拥有者)收到了一封来自洲际酒店集团高管的电子邮件,解释称此次攻击将导致线上预订系统关闭。由于洲际集团并未分享黑客攻击引发数据泄露的任何细节,作为其特许经营合作伙伴,酒店业主们根本无力应对客户爆发出的愤怒与沮丧。

代表全美约20000名酒店业主的亚裔美国酒店业主协会总裁兼CEO Laura Lee Blake表示,“他们至少应该分享一点信息,否则酒店业主只能连续几天身陷黑暗之中,根本不清楚自己维持生计的经营系统出了什么问题。”

此次网络攻击可能影响到了洲际集团的供应链、客户及众多特许加盟商。洲际酒店集团官网显示,该集团在全球拥有17个酒店品牌、6000家酒店。就在去年,针对美国软件公司Kaseya的勒索软件攻击同样蔓延到多个国家的客户身上。

洲际酒店及度假酒店一位发言人表示,“我们尚未发现客人数据遭到未授权访问的证据。我们始终专注于支持我们的酒店和业主,也将在事件期间定期向业主和酒店管理团队传达最新信息。”洲际酒店集团旗下的知名酒店品牌包括假日酒店、驻桥套房酒店和洲际酒店。

酒店业主损失惨重,已发起集体诉讼索赔

酒店业主们指出,众多因网络攻击而预订失败的愤怒客户已经令他们疲于招架。Blake女士还透露,亚裔美国酒店业主协会的成员们对这次攻击事件的调查作出回应。根据近几周的预订量、去年同期预订量以及竞争对手预订量等指标,这些各自拥有两到五家酒店的业主估计,攻击造成的平均损失在30000到75000美元之间。好在目前技术系统已经重新恢复运行。

Blake称,“酒店业主希望就此事获得赔偿,毕竟网络攻击不是他们的错。”

美国路易斯安那州一家假日酒店的业主QHotels Management公司总裁兼CEO Vimal Patel反映,他们遇到了一位情绪激动的顾客,要求酒店说明如何处理住客的信用卡。

9月15日,Patel及其他多位酒店业主在亚特兰大地方法院对洲际酒店集团提起集体诉讼。

Patel表示,“当我们没有受到黑客攻击时,也需要随时担心自己的财务稳定性。”

诉讼称,洲际酒店集团的各特许加盟商一直在按月支付费用,以使用集团提供的预订技术方案。

除了要求对加盟商补偿外,Patel还希望洲际集团能解释,网络攻击暴露了哪些数据、为何会发生此次事故。他认为,洲际集团的高管们应该为糟糕的网络安全状况负起责任。

信息多且价值高,连锁酒店是网络攻击热门目标

连锁酒店是恶意黑客的热门攻击目标,这里蕴藏着大量客户个人及财务信息。近年来,万豪酒店先后遭遇了多起违规事件。2016年,洲际酒店集团因网络攻击导致客户信用卡数据外泄,并在2020年的相关集体诉讼中同意支付超150万美元赔偿金。

研究机构Forrester的高级分析师Allie Mellen表示,除了直接技术问题以外,各特许加盟商后续还可能面临网络攻击引发的其他影响。例如在申购网络保险时,服务商向他们开出的保费会更高。不少司法管辖区的法律也有适用条款,要求遭黑客入侵的企业在发现个人数据泄露时,必须向监管机构和受影响个人发布通报。

但Blake女士坦言,大多数企业往往不愿透露网络攻击的细节,特别是在原有安全措施不够完善的情况下。但隐瞒重要细节同样会损害客户信任,“这对企业方来说是非常有害的。”

她最后总结道,“总有人在掩耳盗铃,认为只要不主动担责,别人就不知道事态有多糟糕。”

]]>
美国安局网络攻击西工大最新调查:窃取远程业务管理关键敏感数据 Wed, 22 May 2024 14:11:54 +0800 据人民日报消息,2022年6月22日,西北工业大学发布《公开声明》称,该校遭受境外网络攻击。陕西省西安市公安局碑林分局随即发布《警情通报》,证实在西北工业大学的信息网络中发现了多款源于境外的木马和恶意程序样本,西安警方已对此正式立案调查。

中国国家计算机病毒应急处理中心和360公司全程参与了此案的技术分析工作。技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了木马程序样本,综合使用国内现有数据资源和分析手段,并得到欧洲、东南亚部分国家合作伙伴的通力支持,全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头,初步判明相关攻击活动源自于美国国家安全局(NSA)的“特定入侵行动办公室”(即:Office of Tailored Access Operation,后文简称“TAO”)。

本系列研究报告将公布TAO对西北工业大学发起的上千次网络攻击活动中,某些特定攻击活动的重要细节,为全球各国有效发现和防范TAO的后续网络攻击行为提供可以借鉴的案例。

一、TAO攻击渗透西北工业大学的流程

TAO对他国发起的网络攻击技战术针对性强,采取半自动化攻击流程,单点突破、逐步渗透、长期窃密。

(一)单点突破、级联渗透,控制西北工业大学网络

经过长期的精心准备,TAO使用“酸狐狸”平台对西北工业大学内部主机和服务器实施中间人劫持攻击,部署“怒火喷射”远程控制武器,控制多台关键服务器。利用木马级联控制渗透的方式,向西北工业大学内部网络深度渗透,先后控制运维网、办公网的核心网络设备、服务器及终端,并获取了部分西北工业大学内部路由器、交换机等重要网络节点设备的控制权,窃取身份验证数据,并进一步实施渗透拓展,最终达成了对西北工业大学内部网络的隐蔽控制。

(二)隐蔽驻留、“合法”监控,窃取核心运维数据

TAO将作战行动掩护武器“精准外科医生”与远程控制木马NOPEN配合使用,实现进程、文件和操作行为的全面“隐身”,长期隐蔽控制西北工业大学的运维管理服务器,同时采取替换3个原系统文件和3类系统日志的方式,消痕隐身,规避溯源。TAO先后从该服务器中窃取了多份网络设备配置文件。利用窃取到的配置文件,TAO远程“合法”监控了一批网络设备和互联网用户,为后续对这些目标实施拓展渗透提供数据支持。

(三)搜集身份验证数据、构建通道,渗透基础设施

TAO通过窃取西北工业大学运维和技术人员远程业务管理的账号口令、操作记录以及系统日志等关键敏感数据,掌握了一批网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息、FTP服务器文档资料信息。根据TAO攻击链路、渗透方式、木马样本等特征,关联发现TAO非法攻击渗透中国境内的基础设施运营商,构建了对基础设施运营商核心数据网络远程访问的“合法”通道,实现了对中国基础设施的渗透控制。

(四)控制重要业务系统,实施用户数据窃取

TAO通过掌握的中国基础设施运营商的思科PIX防火墙、天融信防火墙等设备的账号口令,以“合法”身份进入运营商网络,随后实施内网渗透拓展,分别控制相关运营商的服务质量监控系统和短信网关服务器,利用“魔法学校”等专门针对运营商设备的武器工具,查询了一批中国境内敏感身份人员,并将用户信息打包加密后经多级跳板回传至美国国家安全局总部。

二、窃取西北工业大学和中国运营商敏感信息

(一)窃取西北工业大学远程业务管理账号口令、操作记录等关键敏感数据

TAO通过在西北工业大学运维管理服务器安装嗅探工具“饮茶”,长期隐蔽嗅探窃取西北工业大学运维管理人员远程维护管理信息,包含网络边界设备账号口令、业务设备访问权限、路由器等设备配置信息等。

遭到嗅探的网络设备类型包括固定互联网的接入网设备(路由器、认证服务器等)、核心网设备(核心路由器、交换机、防火墙等),也包括通信基础设施运营企业的重要设备(数据服务平台等),内容包括账号、口令、设备配置、网络配置等信息。

1、窃取西工大核心网络设备账号口令及配置信息

北京时间20××年12月11日6时52分,TAO以位于日本京都大学的代理服务器(IP:130.54.××.××)为攻击跳板,非法入侵了西北工业大学运维网络的“telnet”管理服务器,上传并安装NOPEN木马,然后级联控制其内网监控管理服务器,上述2台服务器事先均已被安装“饮茶”嗅探工具。TAO远程操控木马检索并下载被压缩加密的监听记录文件,然后清痕退出。窃取数据包括路由器、核心网设备(核心路由器、交换机、防火墙)管理账号、口令、设备配置、网络配置等信息。

2、多次窃取接入网认证设备账号口令及配置信息

(1)北京时间20××年5月30日0时28分,TAO以位于日本的代理服务器(IP:210.135.××.××)为攻击跳板,非法入侵了西北工业大学运维网络“telnet”管理服务器,上传并安装NOPEN木马,然后级联控制其内网监控管理服务器,这2台服务器事先均已被安装“饮茶”嗅探工具,TAO远程操控木马检索并下载窃密记录文件后清痕退出。窃取数据包括接入网认证设备的账号、口令及配置信息。

(2)北京时间20××年7月4日1时12分,TAO利用位于德国莱比锡技术经济和文化学院的代理服务器(IP:141.57.××.××)作为攻击跳板,非法入侵西北工业大学运维网络“telnet”管理服务器,上传并安装NOPEN木马工具,级联控制其内网监控管理服务器等其他3台服务器,这4台服务器事先均已被安装“饮茶”嗅探工具,TAO远程操控木马检索并下载窃密文件后清痕退出。

(3)北京时间20××年10月11日10时35分,TAO利用位于韩国首尔国立江原大学的代理服务器(IP:210.115.××.××)作为攻击跳板,非法入侵西北工业大学运维网络监控管理服务器,上传并安装NOPEN木马工具,然后级联控制其内网备份服务器、认证服务器等其他4台服务器,这5台服务器事先均已被安装“饮茶”嗅探工具,TAO远程操控木马分别检索并下载窃取记录文件后清痕退出。

(4)北京时间20××年10月19日2时46分,TAO以位于韩国大田的高等科学技术研究学院的代理服务器(IP:143.248.××.××)为攻击跳板,非法入侵西北工业大学运维网络“telnet”管理服务器,级联控制其内网监管服务器等其他2台服务器,这3台服务器事先均已被安装“饮茶”嗅探工具,TAO通过远程操控木马检索并下载窃密文件,然后清痕退出。

(二)窃取西北工业大学网络设备运维配置文件和日志文件

美国国家安全局“特定入侵行动办公室”(TAO)长期攻击入侵西北工业大学网络运维管理服务器,秘密窃取网络设备运维配置文件和日志文件。

1、窃取西北工业大学网络运行日志文件

北京时间20××年3月2日3时41分,TAO通过位于日本的代理服务器(IP:210.135.××.××)非法入侵控制西北工业大学1台网络运维管理服务器。3时49分,TAO从该运维管理服务器横向移动到另一台运维监控服务器,以特定字符串为关键词检索日志文件并进行窃取了一批系统运行日志文件和系统日常自检报告备份文件。

2、窃取西北工业大学服务器定期任务配置脚本

北京时间20××年10月11日10时41分,TAO通过位于韩国的代理服务器(IP:210.115.××.××)入侵控制了西北工业大学一台内网服务器。10时48分,TAO经过两次横向移动,入侵了另一台内网服务器,访问了特定目录下的定期任务配置脚本,共检索到14个用于定期执行任务的配置文件。随后,一次性窃取了这14个文件,这些文件可用于执行定期清理、备份、检查电源等操作。

3、窃取西北工业大学公司服务器系统信息文件

北京时间20××年6月6日1时27分,TAO通过位于韩国的代理服务器(IP:222.122.××.××)入侵控制了西北工业大学一台内网服务器。2时4分,TAO经过两次横向移动,入侵了另一台内网服务器,访问了目录/var/下的系统文件,窃取了60个常用的系统信息文件,被窃取的系统信息文件内容包含系统发行版本、用户密码哈希、用户权限、本地域名解析配置等。

(三)渗透控制中国基础设施核心设备

美国国家安全局“特定入侵行动办公室”(TAO)利用窃取到的网络设备账号口令,以“合法”身份进入中国某基础设施运营商服务网络,控制相关服务质量监控系统,窃取用户隐私数据。

1、窃取中国用户隐私数据

北京时间20××年3月7日22时53分,美国国家安全局“特定入侵行动办公室”(TAO)通过位于墨西哥的攻击代理148.208.××.××,攻击控制中国某基础设施运营商的业务服务器211.136.××.××,通过两次内网横向移动(10.223.140.××、10.223.14.××)后,攻击控制了用户数据库服务器,非法查询多名身份敏感人员的用户信息。

同日15时02分,TAO将查询到的用户数据保存在被攻击服务器/var/tmp/.2e434fd8aeae73e1/erf/out/f/目录下,被打包回传至攻击跳板,随后窃密过程中上传的渗透工具、用户数据等攻击痕迹被专用工具快速清除。

美国国家安全局“特定入侵行动办公室”(TAO)运用同样的手法,分别于北京时间20××年1月10日23时22分、1月29日8时41分、3月28日22时00分、6月6日23时58分,攻击控制另外1家中国基础设施业务服务器,非法多批次查询、导出、窃取多名身份敏感人员的用户信息。

2、渗透控制全球电信基础设施

据分析,美国国家安全局“特定入侵行动办公室”(TAO)以上述手法,利用相同的武器工具组合,“合法”控制了全球不少于80个国家的电信基础设施网络。技术团队与欧洲和东南亚国家的合作伙伴通力协作,成功提取并固定了上述武器工具样本,并成功完成了技术分析,拟适时对外公布,协助全球共同抵御和防范美国国家安全局NSA的网络渗透攻击。

三、TAO在攻击过程中暴露身份的相关情况

美国国家安全局“特定入侵行动办公室”(TAO)在网络攻击西北工业大学过程中,暴露出多项技术漏洞,多次出现操作失误,相关证据进一步证明对西北工业大学实施网络攻击窃密行动的幕后黑手即为美国国家安全局NSA。兹摘要举例如下:

(一)攻击时间完全吻合美国工作作息时间规律

美国国家安全局“特定入侵行动办公室”(TAO)在使用tipoff激活指令和远程控制NOPEN木马时,必须通过手动操作,从这两类工具的攻击时间可以分析出网络攻击者的实际工作时间。

首先,根据对相关网络攻击行为的大数据分析,对西北工业大学的网络攻击行动98%集中在北京时间21时至凌晨4时之间,该时段对应着美国东部时间9时至16时,属于美国国内的工作时间段。其次,美国时间的全部周六、周日中,均未发生对西北工业大学的网络攻击行动。第三,分析美国特有的节假日,发现美国的“阵亡将士纪念日”放假3天,美国“独立日”放假1天,在这四天中攻击方没有实施任何攻击窃密行动。第四,长时间对攻击行为密切跟踪发现,在历年圣诞节期间,所有网络攻击活动都处于静默状态。依据上述工作时间和节假日安排进行判断,针对西北工业大学的攻击窃密者都是按照美国国内工作日的时间安排进行活动的,肆无忌惮,毫不掩饰。

(二)语言行为习惯与美国密切关联

技术团队在对网络攻击者长时间追踪和反渗透过程中(略)发现,攻击者具有以下语言特征:一是攻击者有使用美式英语的习惯;二是与攻击者相关联的上网设备均安装英文操作系统及各类英文版应用程序;三是攻击者使用美式键盘进行输入。

(三)武器操作失误暴露工作路径

20××年5月16日5时36分(北京时间),对西北工业大学实施网络攻击人员利用位于韩国的跳板机(IP:222.122.××.××),并使用NOPEN木马再次攻击西北工业大学。在对西北工业大学内网实施第三级渗透后试图入侵控制一台网络设备时,在运行上传PY脚本工具时出现人为失误,未修改指定参数。脚本执行后返回出错信息,信息中暴露出攻击者上网终端的工作目录和相应的文件名,从中可知木马控制端的系统环境为Linux系统,且相应目录名“/etc/autoutils”系TAO网络攻击武器工具目录的专用名称(autoutils)。

出错信息如下:

Quantifier follows nothing in regex; marked by <-- HERE in m/* <-- HERE .log/ at ../etc/autoutils line 4569

(四)大量武器与遭曝光的NSA武器基因高度同源

此次被捕获的、对西北工业大学攻击窃密中所用的41款不同的网络攻击武器工具中,有16款工具与“影子经纪人”曝光的TAO武器完全一致;有23款工具虽然与“影子经纪人”曝光的工具不完全相同,但其基因相似度高达97%,属于同一类武器,只是相关配置不相同;另有2款工具无法与“影子经纪人”曝光工具进行对应,但这2款工具需要与TAO的其它网络攻击武器工具配合使用,因此这批武器工具明显具有同源性,都归属于TAO。

(五)部分网络攻击行为发生在“影子经纪人”曝光之前

技术团队综合分析发现,在对中国目标实施的上万次网络攻击,特别是对西北工业大学发起的上千次网络攻击中,部分攻击过程中使用的武器攻击,在“影子经纪人”曝光NSA武器装备前便完成了木马植入。按照NSA的行为习惯,上述武器工具大概率由TAO雇员自己使用。

四、TAO网络攻击西北工业大学武器平台IP列表

技术分析与溯源调查中,技术团队发现了一批TAO在网络入侵西北工业大学的行动中托管所用相关武器装备的服务器IP地址,举例如下:

五、TAO网络攻击西北工业大学所用跳板IP列表

研究团队经过持续攻坚,成功锁定了TAO对西北工业大学实施网络攻击的目标节点、多级跳板、主控平台、加密隧道、攻击武器和发起攻击的原始终端,发现了攻击实施者的身份线索,并成功查明了13名攻击者的真实身份。

]]>
继《GTA6》被黑后:苹果新闻也遭黑客攻击 Wed, 22 May 2024 14:11:54 +0800 前几天,在游戏圈闹得沸沸扬扬的“史上最大游戏泄露”已经告一段落,放出《GTA6》资料的少年黑客已经被捕。

然而此事还没过去几天,又有黑客出来行动了,这次的目标是苹果。

据财联社最新报道,苹果新闻遭到了黑客的攻击,不过具体的攻击内容和方式还并未透露出来。

继《GTA6》被黑后:苹果新闻也遭黑客攻击

其实此前,攻击R星的背后黑客组织也曾入侵过苹果,并且盗取了苹果健康源代码。

这些事件也可以看出来,作为全球最大的科技公司,苹果的安全性也并不是那么牢不可破。

今年8月还曾有消息称,iPhone、iPad和iMac电脑等产品存在严重安全漏洞,这些漏洞可能会让黑客入侵用户设备、获得管理权限甚至完全控制设备并运行其中的应用软件。

苹果紧急寻找了解决办法,并向用户推送全新的修复补丁,提醒大家立即升级,这才封堵了这个严重漏洞。

]]>
《安联智库-网安周报》2022-09-25 Wed, 22 May 2024 14:11:54 +0800

1、澳大利亚Optus遭受重大网络攻击,多达900万用户受影响


Optus透露,它受到了一次网络攻击,导致当前和以前客户的信息被非法获取,包括姓名、出生日期、机密身份证件和电子邮箱地址。在一份声明中,这家新加坡电信的澳大利亚子公司解释说,它已立即制止了侵犯行为,并与澳大利亚网络安全中心合作以减轻客户面临的任何风险。
它还通知了警方和主要监管机构,可能泄露的信息包括电话号码等个人详细信息,而部分客户的地址和身份证件号码也被泄露,受到影响的客户据称多达900万。
该运营商表示,支付细节和账户密码并未泄露,其移动和互联网服务仍正常运行。
2、支付宝安全中心:对确认刷单涉案的关联收款账户 实行永久冻结账户处罚

据支付宝安全中心微信公众号消息,支付宝安全中心发布《针对虚假刷单类欺诈行为深度治理的公告》称,近期收到了不少用户对于虚假刷单骗局的线索举报。支付宝安全中心表示,在对用户提交的举报线索进行核实后,依据相关法律法规及支付宝平台相关协议和规范,对有以下虚假刷单行为的账户等进行专项分类治理:
1、对确认刷单涉案的关联收款账户,实行永久冻结账户处罚,同时向公安机关提交违法证据线索;
2、对账户涉嫌参与向他人做刷单返款、收款以及资金中间账户做限制收款处理;
3、对确认建立刷单群聊,诱导他人下载刷单 App、点击刷单网站链接的,做社交群功能禁止处罚。
公告指出,为了守护支付宝用户的资金安全,支付宝安全中心对正处于风险交易中的用户进行主动提醒,对于核实参与虚假刷单欺诈的风险账户进行了不同程度的处罚。
数据显示,截至 2022 年 9 月,支付宝安全中心已对 24407 个参与组织刷单的账号进行了永久冻结账户处罚;对 4215 个参与刷单诈骗的账号作出了限制收款处理;对 34375 个刷单社交群作了群功能禁止处罚。同时,其也致力于优化风控服务能力,实时甄别疑似刷单欺诈交易。2022 年上半年,支付宝用户在刷单类诈骗中的资金损失率下降了 36.9%。
此外,支付宝安全中心提醒称,刷单是违法行为,凡是以刷单为名义的兼职,都是诈骗。如遇疑似违法违规情况,可通过支付宝举报中心举报或者直接拨打 110 电话报警。
3、信阳师范学院曝“学信网信息泄露”,学院:已报警,涉事学生干部被撤职

据国内多家媒体报道,9月19日,河南省信阳师范学院被曝“学信网信息泄露”,导致不少学生三个月内不能享受购买苹果电脑、耳机等产品的优惠政策。根据信阳师范学院发布的通告,学校有关部门已于9月19日上午向信阳市五星乡派出所报案,并立案调查。

以下是信阳师范学院通报内容:

关于调查问卷引发网络舆情的情况说明

2022年9月19日,学校在日常网络舆情梳理中发现“学信网信息泄露”的话题。对此,学校高度重视,第一时间责成学生处、校团委、保卫处等部门对事件进行调查,要求快速查清事实,及时作出回应,给学生一个安心答复。经过多部门协同调查,与相关学生走访座谈,基本查清事实。现将有关情况说明如下。

2022年8月28日,校学生会一名学生干部参加社会实践活动期间,应郑州泽梦企业管理咨询有限公司业务人员要求,协助该公司擅自组织学生参与网上《信师宿舍满意度调查问卷》活动,通过学生干部QQ交流群发布调查问卷,组织2020级和2021级学生参加问卷调查。

经查,该调查问卷最后一题是要求学生登录学信网并填写学信码,涉事公司事前向该生隐瞒了学信码的真实用途,该生对问卷调查的真实目的缺乏了解。经与填写问卷学生核实,确实存在部分学生学信码被盗用情况,造成这些学生在三个月内不能享受购买苹果平板电脑、耳机等产品的优惠政策。

针对该事件,学校有关部门已于9月19日上午向信阳市五星乡派出所报案,并立案调查。校团委第一时间召开团学会议,要求做好学生信息统计、事件解释和情绪安抚工作,同时,通知参与问卷调查的学生登录学信网关闭学信码。涉事学生干部已被撤职,责令写出深刻检讨,等待进一步处理。

同时,与涉事企业进行严正交涉,要求该公司立即停止非法侵害行为,最大限度保护学生信息安全。目前,公安机关已掌握涉事公司收集我校学生个人信息情况,已责令该公司不得售卖学生信息,并最快消除不良后果,给我校学生一个满意交代。有关部门正与公安、网信部门保持密切联系,开展进一步调查,以确保学生信息安全。

最后,请同学们放心,也请同学们相信,学校将尽最大努力帮助学生挽回损失,消除此次事件可能造成的不良后果,后续事件进展情况将及时跟踪公布。

4、《GTA6》泄露事件黑客身份曝光:年仅16岁少年

9月20日消息,上周末R星备受期待的游戏大作《GTA6》的测试版游戏视频在网上泄露,引起业界轰动,成为有史以来最重大的游戏泄密事件。然而让人意外的是,这次泄密事件背后的黑手仅是一个16岁的青少年。

知名黑客、黑客论坛BreachForums的所有者“pompompurin”曝光了《GTA6》泄露事件黑客的身份,他表示罪魁祸首是网络犯罪团队Lapsus$的负责人,年仅16岁的Tea Pot。其在Telegram聊天中承认入侵了R星并展示了证据,但聊天记录很快就遭到了删除。

据悉,黑客组织Lapsus$自去年年底以来已卷入多起黑客事件,此前包括微软、三星、英伟达和育碧在内的许多科技公司都遭到了其攻击,该黑客组织曾表示自己的主要目标是钱,既无政治性,也没有任何人赞助。

值得一提的是,美国打车App优步(UBER)也表示最近遭到了Lapsus$ 攻击,现在正在与联邦调查局和美国司法部保持联系。R星发文承认《GTA6》遭到了泄露,但表示不会对其正在进行的项目产生长期影响。

]]>
支付宝安全中心:对确认刷单涉案的关联收款账户 实行永久冻结账户处罚 Wed, 22 May 2024 14:11:54 +0800 据支付宝安全中心微信公众号消息,支付宝安全中心发布《针对虚假刷单类欺诈行为深度治理的公告》称,近期收到了不少用户对于虚假刷单骗局的线索举报。支付宝安全中心表示,在对用户提交的举报线索进行核实后,依据相关法律法规及支付宝平台相关协议和规范,对有以下虚假刷单行为的账户等进行专项分类治理:

1、对确认刷单涉案的关联收款账户,实行永久冻结账户处罚,同时向公安机关提交违法证据线索;

2、对账户涉嫌参与向他人做刷单返款、收款以及资金中间账户做限制收款处理;

3、对确认建立刷单群聊,诱导他人下载刷单 App、点击刷单网站链接的,做社交群功能禁止处罚。

公告指出,为了守护支付宝用户的资金安全,支付宝安全中心对正处于风险交易中的用户进行主动提醒,对于核实参与虚假刷单欺诈的风险账户进行了不同程度的处罚。

数据显示,截至 2022 年 9 月,支付宝安全中心已对 24407 个参与组织刷单的账号进行了永久冻结账户处罚;对 4215 个参与刷单诈骗的账号作出了限制收款处理;对 34375 个刷单社交群作了群功能禁止处罚。同时,其也致力于优化风控服务能力,实时甄别疑似刷单欺诈交易。2022 年上半年,支付宝用户在刷单类诈骗中的资金损失率下降了 36.9%。

此外,支付宝安全中心提醒称,刷单是违法行为,凡是以刷单为名义的兼职,都是诈骗。如遇疑似违法违规情况,可通过支付宝举报中心举报或者直接拨打 110 电话报警。

]]>
澳大利亚Optus遭受重大网络攻击,多达900万用户受影响 Wed, 22 May 2024 14:11:54 +0800 Optus透露,它受到了一次网络攻击,导致当前和以前客户的信息被非法获取,包括姓名、出生日期、机密身份证件和电子邮箱地址。在一份声明中,这家新加坡电信的澳大利亚子公司解释说,它已立即制止了侵犯行为,并与澳大利亚网络安全中心合作以减轻客户面临的任何风险。

它还通知了警方和主要监管机构。

可能泄露的信息包括电话号码等个人详细信息,而部分客户的地址和身份证件号码也被泄露。

该运营商表示,支付细节和账户密码并未泄露,其移动和互联网服务仍正常运行。

Optus首席执行官凯利·拜耳·罗斯马林(Kelly Bayer Rosmarin)表示,该公司受到此次攻击的“重创”,并立即采取行动阻止和展开调查。

“虽然不是每个人都可能受到影响,我们的调查也尚未完成,但我们希望所有客户尽快了解发生的事情,以便提高警惕。”

受到影响的客户据称多达900万。

]]>
全球最大航空公司发生数据泄露事件 Wed, 22 May 2024 14:11:54 +0800 美国航空公司上周末(9月16日)发出客户通知信确认遭遇黑客攻击,声称攻击者获取了数量不明的客户和员工电子邮件账户和敏感个人信息。

美国航空公司的企业传播高级经理Andrea Koos告诉BleepingComputer,该公司员工的账户在一次网络钓鱼活动中遭到入侵,但拒绝透露有多少客户和员工受到影响,而是说这是“非常少数”。

根据通知,美国航空公司在7月5日发现了这一漏洞,立即保护了受影响的电子邮件账户,并聘请了一家网络安全取证公司来调查安全事件。

“在2022年7月,我们发现一名未经授权的行为者入侵了有限数量的美国航空公司团队成员的电子邮件账户,”该航空公司告诉受影响的客户:“在发现事件后,我们保护了受影响的电子邮件帐户,并聘请了第三方网络安全取证公司进行取证调查,以确定事件的性质和范围。”

在攻击中暴露并可能被攻击者访问的个人信息可能包括:员工和客户的姓名、出生日期、邮寄地址、电话号码、电子邮件地址、驾驶执照号码、护照号码和/或某些医疗信息。

美国航空公司表示,将为受影响的客户提供两年免费的Experian IdentityWorks会员资格,以帮助检测和解决身份盗窃问题。

美国航空公司曾在2021年3月遭遇数据泄露事件,当时全球航空信息技术巨头SITA证实,黑客入侵了其服务器并获得了包括美国航空公司在内的全球多家航空公司的乘客服务系统(PSS)的访问权限。

作为全球机队规模最大的航空公司(其主线拥有超过1300架飞机),美国航空公司拥有超过12万名员工,每天运营近6700个航班,飞往50多个国家/地区的约350个目的地。

]]>
河南一高校学信网信息泄露,校方:已报案 Wed, 22 May 2024 14:11:54 +0800 信阳师范学院

关于调查问卷引发网络舆情的情况说明

2022年9月19日,学校在日常网络舆情梳理中发现“学信网信息泄露”的话题。对此,学校高度重视,第一时间责成学生处、校团委、保卫处等部门对事件进行调查,要求快速查清事实,及时作出回应,给学生一个安心答复。经过多部门协同调查,与相关学生走访座谈,基本查清事实。现将有关情况说明如下。

2022年8月28日,校学生会一名学生干部参加社会实践活动期间,应郑州泽梦企业管理咨询有限公司业务人员要求,协助该公司擅自组织学生参与网上《信师宿舍满意度调查问卷》活动,通过学生干部QQ交流群发布调查问卷,组织2020级和2021级学生参加问卷调查。经查,该调查问卷最后一题是要求学生登录学信网并填写学信码,涉事公司事前向该生隐瞒了学信码的真实用途,该生对问卷调查的真实目的缺乏了解。经与填写问卷学生核实,确实存在部分学生学信码被盗用情况,造成这些学生在三个月内不能享受购买苹果平板电脑、耳机等产品的优惠政策。

针对该事件,学校有关部门已于9月19日上午向信阳市五星乡派出所报案,并立案调查。校团委第一时间召开团学会议,要求做好学生信息统计、事件解释和情绪安抚工作,同时,通知参与问卷调查的学生登录学信网关闭学信码。涉事学生干部已被撤职,责令写出深刻检讨,等待进一步处理。同时,与涉事企业进行严正交涉,要求该公司立即停止非法侵害行为,最大限度保护学生信息安全。目前,公安机关已掌握涉事公司收集我校学生个人信息情况,已责令该公司不得售卖学生信息,并最快消除不良后果,给我校学生一个满意交代。有关部门正与公安、网信部门保持密切联系,开展进一步调查,以确保学生信息安全。

最后,请同学们放心,也请同学们相信,学校将尽最大努力帮助学生挽回损失,消除此次事件可能造成的不良后果,后续事件进展情况将及时跟踪公布。

信阳师范学院学生处

2022年9月20日

]]>
勒索软件耽搁立法工作!欧洲又一国家议会遭攻击 工作停顿多天 Wed, 22 May 2024 14:11:54 +0800 9月21日消息,欧洲国家波黑(全称为波斯尼亚和黑塞哥维那)的检察官正调查一场影响范围极大的网络攻击,据称已经影响到该国议会的正常运行。

最近两周来,波黑议会网站一直处于关停状态。当地新闻媒体Nezavisne就此事联系了几位议员,对方称已被告知禁止访问自己的电子邮箱和官方文件,甚至最好干脆别使用电脑。

波黑检察官办公室一位发言人表示,他们几天前就已接到此案。

发言人Boris Grubešić表示,“当日值班的检察官向执法机构官员发出了必要指示,希望澄清案件具体情况,同时对IT网络与各级机构给予网络安全保护。”

“此案正在调查当中,我们目前无法透露其他任何消息。”

议会已失去工作能力,议员批评安全人员不关心安全

波黑议会人民院代表Zlatko Miletić告知当地媒体Nezavisne,目前立法机构已经失去了工作能力,而且此次攻击开始于9月8日-9日左右。

虽然检察官并未透露具体攻击类型,但有消息人士向Nezavisne证实,这就是一起勒索软件攻击。波黑《萨拉热窝时报》报道称,攻击发生后,该国议会的主服务器旋即关闭。

一位议会发言人告诉新闻媒体,“用户无法访问服务器,电子邮件和官方网站目前也都处于关闭状态。”

还有多位议员提到,他们收到了不要使用电脑的通知,理由是担心勒索软件会传播到他们的个人设备上。

Miletić对政府网络安全专家的工作持批评态度,强调在此次攻击之前,“根本没人关心安全问题”。

“他们本来有充足的时间采购必要的技术手段,为服务器施加额外保护。他们应该知道,网络安全领域就是需要投资,没有设备就没有安全可言。这些技术手段确实价格不菲,但我们必须要买起来、用起来。不只是议会,其他处理并存储各类数据的机构也应该从中吸取教训。”

另一位议员Dušanka Majkić也对政府计算机上的数据表示担忧,还提到她自己的设备上甚至保存着2004年时的文件。

政治动荡更容易引发网络攻击,今年已有多起案例

随着塞族共和国分裂行为的逐步升级,波黑目前正处于政治动荡之中。如果勒索软件攻击的传闻得到证实,则将成为今年以来勒索软件团伙借政治风波为掩护发动攻击的又一案例。

现已解散的Conti勒索软件团伙此前曾对哥斯达黎加发动过毁灭性的攻击,哥新任总统称这是企图“在过渡时期威胁该国稳定”。

三周之前,就在黑山政府因不信任投票而被实际免职的同时,也有勒索软件攻击趁虚而入。

近年来,全球多国议会已先后成为勒索软件团伙和黑客攻击的受害者。就在上周,位于首都的阿根廷议会遭遇一起勒索软件攻击,事件破坏了该机构的内部操作系统和WiFi网络。

]]>
女子被骗50万后哭求民警要再转20万 Wed, 22 May 2024 14:11:54 +0800 近日,湖北黄石,一银行工作人员报警称有位客户疑似被骗,坚持要转账。@平安黄石 民警赶到现场后,当事女子竟哭求民警让其再转20万,试着把之前转过去的50万提现出来,还声称银行不让转就回家用手机转。在民警苦口婆心的劝说下,该女子终于清醒,避免了更大的损失。

]]>
《GTA6》泄露事件黑客身份曝光:年仅16岁少年 Wed, 22 May 2024 14:11:54 +0800 9月20日消息,上周末R星备受期待的游戏大作《GTA6》的测试版游戏视频在网上泄露,引起业界轰动,成为有史以来最重大的游戏泄密事件。然而让人意外的是,这次泄密事件背后的黑手仅是一个16岁的青少年。

《GTA6》事件黑客身份曝光:16岁少年 此前曾攻击NVIDIA

知名黑客、黑客论坛BreachForums的所有者“pompompurin”曝光了《GTA6》泄露事件黑客的身份,他表示罪魁祸首是网络犯罪团队Lapsus$的负责人,年仅16岁的Tea Pot。其在Telegram聊天中承认入侵了R星并展示了证据,但聊天记录很快就遭到了删除。

据悉,黑客组织Lapsus$自去年年底以来已卷入多起黑客事件,此前包括微软、三星、英伟达和育碧在内的许多科技公司都遭到了其攻击,该黑客组织曾表示自己的主要目标是钱,既无政治性,也没有任何人赞助。

值得一提的是,美国打车App优步(UBER)也表示最近遭到了Lapsus$ 攻击,现在正在与联邦调查局和美国司法部保持联系。

IT之家了解到,昨天R星发文承认《GTA6》遭到了泄露,但表示不会对其正在进行的项目产生长期影响。

]]>
《羊了个羊》惊动警方,公安部治安管理局微博发文! Wed, 22 May 2024 14:11:54 +0800 近日,一款名叫《羊了个羊》的小游戏爆火网络。由于太火,服务器2天崩了3次,很多玩家惊呼“我只是睡前玩一玩,没想到给我整失眠了!”。

9月19日,公安部治安管理局官方微博“中国警方在线”发布反诈提醒:谨防冒充“羊了个羊”客服人员销售道具、复活次数等进行电信诈骗。在游戏过程中,要提高安全防范意识,别被一时激动冲昏头脑。一旦发现被骗,要及时保存聊天记录、发布诈骗信息的网页等证据,并立即向警方报案。

防骗秘籍

各位玩家,快乐游戏的同时,这份防骗秘籍,请一定要牢记!

01 给钱买秘籍

骗子在社交平台发布有通关秘籍的广告信息,诱导受害人在虚假游戏交易平台、微信群或QQ群内进行交易,让受害人支付9.9元等小额金额来换取秘籍或以“注册费、押金、解冻费”的名义支付各种费用。待收到钱后,将受害人联系方式拉黑或者失联。

02 秘籍在网盘自取

通常骗子通过社交平台与受害人添加好友后,声称索要秘籍的人较多,已经将word文档存在某网盘里,随即发来链接要求受害人自取,岂不知,骗子利用发送带有病毒的木马链接,诱骗游戏玩家进行点击,通过远程操控对其电脑、手机等进行控制。

03 中奖诱惑玩家付费

以去年爆火的某小程序游戏为例,就是凭借诱导性的广告,让玩家在玩游戏时,领取游戏界面弹出的带有“100手机话费券”。 大量网友在社交媒体上反馈称,领取了所谓的“100手机话费券”,但在按网站指示支付了9.9元或19.9元后却发现话费无法兑现,也不能退款。

警方提醒:快乐游戏的同时,谨防诈骗!未知链接不点击,陌生来电不轻信,个人信息不透露,转账汇款多核实。

“羊了个羊”背后上市公司股价19日大跌超7%

《羊了个羊》席卷社交平台的同时,其背后的一众公司和资本也成为市场关注的焦点。

9月14日,《羊了个羊》官方微博发布的一条“简游急招后端服务器开发”的招聘启事,让研发团队简游科技进入大众视野。

启信宝显示,简游科技成立于2021年1月,拥有“羊了个羊软件”的著作权。公司注册资本约117万元人民币,法定代表人为张佳旭。公司第一大股东为张佳旭,持股比例为85.5%;第二大股东为厦门雷霆网络科技股份有限公司(以下简称“雷霆网络”),持股比例为10%。

虽然成立短短一年多,但简游科技此前还开发过另一爆款微信小游戏《海盗来了》,并且其背后股东雷霆网络是知名游戏上市公司吉比特旗下公司。近日,吉比特(SH603444,股价285.13元,市值189.8亿元)也在投资者问答平台上表示:“公司通过控股子公司间接持有北京简游10%股权。”9月8日~9月16日,吉比特在6个交易日中股价累计上涨4.63%。吉比特于2017年上市,公司股价最高点曾达626.20元。

今日(9月19日)早间开盘后,吉比特股价极速下跌,一度跌超7%,截至发稿前,公司股价为264.15元,下跌7.32%。

Choice数据显示,今年9月1日至今,吉比特股价累计上涨0.4%;今年1月4日至今,吉比特股价累计下跌28.68%。如果将时间线再拉长,2021年1月4日至2022年9月16日,吉比特股价累计下跌27.87%。

]]>
Uber被黑,内部系统和机密文件均遭到破坏 Wed, 22 May 2024 14:11:54 +0800 据悉,Uber 再次遭到入侵,威胁行为者访问了其电子邮件和云系统、代码存储库、内部 Slack 帐户和 HackerOne 票据,攻击者渗透其内部网络并访问内部文件,包括漏洞报告。

据《纽约时报》报道,威胁者入侵了一名员工的 Slack 账户,并用它来通知内部人员该公司“遭受了数据泄露”,并提供了一份据称被黑客入侵的内部数据库列表。

“我宣布我是一名黑客,Uber遭到数据泄露。”

该公司被迫使其内部通信和工程系统离线,以减轻攻击并调查入侵。

据称,攻击者破坏了多个内部系统,并向《纽约时报》和一些网络安全研究人员提供了电子邮件、云存储和代码存储库的图像。“他们几乎可以完全访问 Uber,”Yuga Labs 的安全工程师 Sam Curry 说,他与声称对此次违规行为负责的人进行了通信。“从它的样子来看,这是一个彻底的妥协。”

攻击者还可以访问公司的 HackerOne 漏洞赏金计划,这意味着他们可以访问白帽黑客提交给公司的每个漏洞报告。这些信息非常重要,威胁者可以利用它发动进一步的攻击。目前无法排除报告包含有关公司尚未修复的一些缺陷的技术细节。

HackerOne 已立即禁用 Uber 漏洞赏金计划,阻止对报告问题列表的任何访问。公司发言人证实,Uber通知执法部门并开始对事件进行内部调查。

Uber首席信息安全官 Latha Maripuri 通过电子邮件告诉《纽约时报》:“我们目前无法估计何时恢复对工具的完全访问权限,因此感谢您对我们的支持。”

员工被指示不要使用内部消息服务 Slack,其中一些不愿透露姓名的员工告诉纽约时报,其他内部系统无法访问。

这名黑客自称18岁,并补充说优步的安全性很弱,在通过 Slack 发送的消息中,他还表示优步司机应该获得更高的工资。

据悉,这不是Uber第一次遭遇安全漏洞。2017 年,2016 年发生的另一起数据泄露事件成为头条新闻。

2017 年 11 月,Uber 首席执行官 Dara Khosrowshahi 宣布黑客侵入了公司数据库并访问了 5700 万用户的个人数据(姓名、电子邮件地址和手机号码),令人不安的发现是该公司掩盖了黑客行为一年多。攻击者还访问了其在美国大约 600,000 名司机的姓名和驾照号码。

黑客事件发生在 2016 年,根据彭博社发布的一份报告,黑客很容易  从公司开发团队使用的私人 GitHub 站点获取凭据。黑客试图勒索优步,并要求该公司支付 10 万美元,以换取避免公布被盗数据。

信息安全主管乔·沙利文(Joe Sullivan)没有按照加州数据安全违规通知法的要求向客户和执法部门通知数据泄露事件,而是下令支付赎金并掩盖破坏任何证据的故事。奖金被伪装 成漏洞赏金 ,并签署了保密协议。

如果Slack被判有罪,这将是第一次有安全专业人员因此类事件而被追究个人责任。

]]>
《安联智库-网安周报》2022-09-19 Wed, 22 May 2024 14:11:54 +0800

1、手机预售平台“易联购”被曝卷款跑路

近日,有多地消费者反映,他们通过易联购微信小程序预购了手机,付款后卖家却失联。而“易联购”手机订购平台疑似携款潜逃后留下嚣张跑路公告,称已卷款跑路,人在国外,钱也已经洗干净。
目前,重庆警方已经介入调查处理此次事件,当地市场监管部门也在协助警方进行调查。
律师表示,小程序平台作为开放平台管理者,也有义务在发现小程序发布违法违规信息时,及时采取技术上可行的必要措施,保障小程序用户的资金财产安全。
2、借悼念伊丽莎白二世女王之名,攻击者发起大规模网络钓鱼攻击

当地时间9月8日,英国传奇女王伊丽莎白二世在苏格兰巴尔莫勒尔城堡去世,享年96岁。

就在大家哀悼女王之际,Proofpoint安全研究人员却发现,毫无底线的攻击者假借悼念之名,行网络攻击之实,以“女王去世”、“哀悼女王”等为诱饵的网络钓鱼攻击呈现持续上升的趋势,其目的是从受害者那里窃取 Microsoft 帐户和密码。

邮件以 Microsoft团队的名义发出,大意是微软现正在推出一款名为“伊丽莎白将记忆板”的产品,以此缅怀这位传奇女王。在这里将汇聚来自全球的各种悼念信息,包括单词、邮件、相片等。如果用户也想参与悼念活动,点击链接登录微软账户即可。很明显,这是一个虚假恶意的钓鱼链接,重定向的域名并没有让用户提交悼念文本,而是忽悠受害者先输入其微软账号的登录面、以及多因素身份验证(MFA)等私密信息。一旦这些敏感的信息被攻击者获取,势必会对用户带来严重的影响,甚至是以用户之名进行二次网络钓鱼攻击。

3、大事件!乌方:网络攻击已瘫痪俄罗斯2400个网站

据乌克兰数字转型部消息,乌克兰IT军队在8月29日至9月11日的两周内,攻击了2400多个俄罗斯网站,其中包括俄罗斯联邦最大银行、汽车在线销售平台、俄罗斯主要媒体等。

当地时间9月12日,乌克兰数字转型部在Telegram宣布,其IT团队致使俄罗斯2400多个俄罗斯网站瘫痪,涉及金融业、实体企业、媒体等组织。俄罗斯联邦最大和最重要的银行:俄罗斯天然气工业银行、莫斯科信贷银行、俄罗斯国家银行的服务瘫痪,导致俄罗斯用户无法使用网上银行或通过智能手机进行金融交易。乌克兰数字转型部表示,“更严重的是,俄罗斯士兵领不到工资,亲属领不到赔偿。”

受影响的还有而连锁汽车经销商在线网站Drom、乳制品批发和零售商的电子文档管理系统。俄罗斯主要宣传媒体《俄罗斯日报》也陷入瘫痪。乌克兰数字转型部表示,“我们注意到,一些宣传人员已经在考虑停战,但现在已经太迟了。”据乌克兰媒体Ukrinform报道,9月11日俄罗斯对乌克兰展开大规模袭击,哈尔科夫和顿涅茨克地区的电力被完全切断。根据乌克兰能源部的数据,共有40个的变电站停电,4名电力工程师遇难。

4、FBI:黑客从医疗保健支付处理商窃取数百万美元

根据网站安全客消息,美国联邦调查局 (FBI) 已发出警报,称黑客针对医疗保健支付处理器将付款转移到攻击者控制的银行账户。据悉,仅今年一年,攻击者在访问客户账户和更改支付细节后,从医疗保健公司窃取了超过 460 万美元。

从FBI公布的信息来看,疗保健行业支付处网络犯罪分子正在结合多种策略来获取医理器员工的登录凭据并修改支付指令。FBI 表示,它收到了多份报告,其中黑客使用公开的个人详细信息和社会工程学来冒充受害者访问医疗保健门户、网站和支付信息。在今年 2 月和 4 月的三起此类事件中,黑客从受害者那里转移了超过 460 万美元到他们的账户。

网络钓鱼和欺骗支持中心是帮助黑客实现访问处理和分发医疗保健支付实体的目标的附加方法。FBI 今天的警报指出,这种特定的威胁行为者活动包括向医疗保健支付处理器的财务部门发送网络钓鱼电子邮件。他们还在修改 Exchange Server 的配置并为目标帐户设置自定义规则,可能会收到受害者邮件的副本。

]]>
FBI:黑客从医疗保健支付处理商窃取数百万美元 Wed, 22 May 2024 14:11:54 +0800 控制的银行账户。据悉,仅今年一年,攻击者在访问客户账户和更改支付细节后,从医疗保健公司窃取了超过 460 万美元。

从FBI公布的信息来看,疗保健行业支付处网络犯罪分子正在结合多种策略来获取医理器员工的登录凭据并修改支付指令。FBI 表示,它收到了多份报告,其中黑客使用公开的个人详细信息和社会工程学来冒充受害者访问医疗保健门户、网站和支付信息。在今年 2 月和 4 月的三起此类事件中,黑客从受害者那里转移了超过 460 万美元到他们的账户。

网络钓鱼和欺骗支持中心是帮助黑客实现访问处理和分发医疗保健支付实体的目标的附加方法。FBI 今天的警报指出,这种特定的威胁行为者活动包括向医疗保健支付处理器的财务部门发送网络钓鱼电子邮件。他们还在修改 Exchange Server 的配置并为目标帐户设置自定义规则,可能会收到受害者邮件的副本

]]>
借悼念伊丽莎白二世女王之名,攻击者发起大规模网络钓鱼攻击 Wed, 22 May 2024 14:11:54 +0800 当地时间9月8日,英国传奇女王伊丽莎白二世在苏格兰巴尔莫勒尔城堡去世,享年96岁。2015年,她成为历史上在位时间最长的英国君主,打破了她的曾曾祖母维多利亚女王创下的纪录。

各国政府纷纷对此表示哀悼,女王的葬礼后续事宜也在按照以往的规格和节奏有序进行。9月15日,英国伦敦深夜举行女王伊丽莎白二世葬礼彩排,并将于19日为女王举行隆重的国葬仪式。

假借悼念之名,行网络攻击之实

就在大家哀悼女王之际,Proofpoint安全研究人员却发现,毫无底线的攻击者假借悼念之名,行网络攻击之实,以“女王去世”、“哀悼女王”等为诱饵的网络钓鱼攻击呈现持续上升的趋势,其目的是从受害者那里窃取 Microsoft 帐户和密码。

攻击者实施网络钓鱼攻击的具体做法是,向用户发送一封带有恶意链接的电子邮件,内容如下图所示:

邮件以 Microsoft团队的名义发出,大意是微软现正在推出一款名为“伊丽莎白将记忆板”的产品,以此缅怀这位传奇女王。在这里将汇聚来自全球的各种悼念信息,包括单词、邮件、相片等。如果用户也想参与悼念活动,点击链接登录微软账户即可。

很明显,这是一个虚假恶意的钓鱼链接,重定向的域名并没有让用户提交悼念文本,而是忽悠受害者先输入其微软账号的登录面、以及多因素身份验证(MFA)等私密信息。一旦这些敏感的信息被攻击者获取,势必会对用户带来严重的影响,甚至是以用户之名进行二次网络钓鱼攻击。

EvilProxy一键反向代理

值得注意的是,在此次网络钓鱼攻击中,安全研究人员观察到不少攻击者正在使用EvilProxy一键反向代理和Cookie 注入,以此绕过2FA 身份验证。关于EvilProxy反向代理服务的具体内容,FreeBuf在 (EvilProxy文章) 进行了说明。

事实上,安全研究人员并非首次观察到此类攻击方式,在以往的APT和针对性间谍活动中也曾多次出现。而随着EvilProxy将这类功能逐渐产品化,那么未来针对在线服务和MFA授权机制的攻击将会迎来较高的增长。

EvilProxy首次出现在安全人员的视野是在2022年5月上旬,当时其背后的攻击组织发布了一段演示视频,详细介绍了该工具是如何提供高级网络钓鱼攻击服务,并声称可窃取身份验证令牌以绕过 Apple、Google、Facebook、Microsoft、Twitter、GitHub、GoDaddy 和甚至 PyPI。

其原理较为简单,攻击将受害者引导至网络钓鱼页面,使用反向代理获取用户期望的所有合法内容,包括登录页面——当流量通过代理时,它会进行嗅探。通过这种方式,攻击者可以获取有效的会话 cookie 并绕过用户名、密码、2FA令牌进行身份验证等操作,从而实现访问目标账户。

EvilProxy服务承诺窃取用户名、密码和会话cookie,费用为150美元(10天)、250美元(20 天)或400美元(30天)。而针对Google帐户攻击的使用费用更高,为 250/450/600 美元。Resecurity还在社交平台上演示了,EvilProxy是如何针对Google帐户发起网络钓鱼攻击。

]]>
伊朗勒索软件组织攻击美国企业,遭美政府溯源真实身份并制裁 Wed, 22 May 2024 14:11:54 +0800 安全内参9月15日消息,美国财政部海外资产控制办公室(OFAC)昨天宣布,对隶属于伊朗伊斯兰革命卫队(IRGC)的10名个人和两家实体实施制裁,理由是他们参与了勒索软件攻击。

美国财政部声称,过去两年以来,这些个人涉嫌参与多起勒索软件攻击,并入侵了美国和全球其他地区组织的网络。

这些恶意活动,还与多家网络厂商分别跟踪的国家资助黑客活动存在交集,具体包括APT35、Charming Kitten、Phosphorus、DEV-0270、Tunnel Vision和Nemesis Kitten。

美国财政部表示,“已经有多家网络安全公司发现,这些入侵活动确与伊朗政府有关。他们此前进行过多种恶意网络攻击,包括勒索软件和网络间谍活动。”

“该团伙针对全球各组织及官员发起广泛攻击,重点针对美国及中东地区的国防、外交和政府工作人员,同时也将矛头指向媒体、能源、商业服务和电信等私营行业。”

三名成员信息被悬赏3000万美元

作为伊朗伊斯兰革命卫队的附属组织,该团伙的成员主要是总部位于伊朗的Najee Technology Hooshmand Fater LLC(简称Najee Technology)和Afkar System Yazd公司(简称Afkar System)员工,其中包括:

Mansour Ahmadi:Najee Technology公司法人、董事总经理兼董事会主席

Ahmad Khatibi Aghda:Afkar System公司董事总经理兼董事会成员

其他雇员及同事:Ali Agha-Ahmadi、Mohammad Agha Ahmadi、Mo'in Mahdavi、Aliakbar Rashidi-Barjini、Amir Hossein Nikaeen Ravari、Mostafa Haji Hosseini、Mojtaba Haji Hosseini及Mohammad Shakeri-Ashtijeh

美国财政部之前曾制裁与Net Peygard Samavat公司相关的人员,理由是他们曾于2019年同伊斯兰革命卫队和伊朗情报与安全部(MOIS)开展合作。

一年之后,美国财政部又制裁了Rana Intelligence Computing公司及部分员工,称这家打着经营旗号的企业其实在代表伊情报与安全部协调网络攻击活动。

在此次制裁公告中,美国国务院提供3000万美元,征集关于Mansour Ahmadi、Ahmad Khatibi Aghda和Hossein Nikaeen Ravari三名受制裁伊朗人的信息。三人也因涉嫌参与针对美国关键基础设施组织的勒索软件攻击,面临美国司法部的指控。

美国安全公司提供溯源证据链

昨天,美国、加拿大、英国和澳大利亚的网络安全机构还发布联合公告,描述了该威胁团伙的恶意活动并披露了技术细节。

安全公司Secureworks也紧跟发布一份报告,证实了美国财政部的信息。

Secureworks公司表示,由于抓住了对方在2022年6月勒索软件事件中犯下的操作失误,该公司成功将Nemesis Kitten(也称Cobalt Mirage)团伙同伊朗的Najee Technology、Afkar System两家公司,以及名为Secnerd的另一家实体联系了起来。

Secureworks公司反威胁部门(CTU)在今年5月的报告中,也曾提到涉及Nemesis Kitten的类似恶意攻击(与Phosphorus APT团伙存在交集)。

上周,微软表示,Nemesis Kitten(也称DEV-0270)团伙一直悄悄“作为伊朗支持的Phosphorus网络间谍团伙(又名Charming Kitten和APT35)的子部门,为个人或公司获取非法收入。”

微软将该团伙与多家伊朗企业联系了起来,其中包括Najee Technology、Secnerd和Lifeweb。

微软解释道,“该团伙的攻击目标有很大的随机性:他们会首先扫描互联网以查找易受攻击的服务器和设备,因此服务器和设备易受攻击且暴露在网上的组织更可能受到攻击影响。”

]]>
近6年黑客企图入侵韩国政府网络近56万次 Wed, 22 May 2024 14:11:54 +0800 韩联社首尔9月13日电 韩国国会行政安全委员会所属共同民主党籍议员李海植13日公开的一份资料显示,近6年来黑客企图入侵韩国政府网络系统近56万次。

这份来自行政安全部的统计资料显示,近5年零7个月(2017年到2022年7月)期间,黑客共55.8674万次企图入侵政府网络系统。按年度看,2017年为6.2532万次,2018年为9.498万次,2019年为12.4754万次,2020年为10.881万次,2021年为10.1123万次,整体呈逐年递增趋势。今年1月至7月共6.6475万次。

追踪网络层协议(IP)地址的结果显示,来自中国的攻击试图最多,共有12.7908万次(22.9%),其次是来自美国的11.3086万次(20.2%),韩国的4.7725万次(8.5%),俄罗斯的2.6261万次(4.7%),德国的1.5539万次(2.8%),巴西的1.3591万次(2.4%)等。按攻击类型来看,泄露信息(40.9%)最多,其次是收集信息(16.5%)、篡改网页(15.7%)、获取系统权限(14.2%)等。

李海植表示,试图攻击政府网络的黑客逐年增加意味着国家安全和国民的个人信息受到威胁,有必要从政府层面制定全面的网络安全防范对策。

]]>
原来用户隐私是这样被泄露:超八成搜索网站将信息出售 Wed, 22 May 2024 14:11:54 +0800 互联网时代给用户带来了极大地便利,但也让个人隐私信息无处躲藏。打开电商购物平台,APP的精准推荐总是让人感到不安;打开搜索平台,跳出的智能搜索记录着浏览行为;打开娱乐软件,推荐算法让用户逐渐沉迷其中......

虽然“隐私”在数字化的世界已经无处安放,但我们却很少去认真思考,隐私究竟是怎样被泄露的?

近日,诺顿LifeLock实验室研究后发现,超过8成带有搜索栏的网站会将访问者的搜索字词泄露给谷歌等在线广告商。

很明显这是在赤裸裸地侵犯用户隐私,并公然将敏感信息泄露给庞大的第三方服务商,借助这些信息,谷歌等在线广告商可以提供有针对性的广告或跟踪用户的网络行为。这些数据甚至有可能在这些服务商之间共享,又或者是多次转手出售给更多的企业,由此带来的恶果是,用户的隐私信息将会一直存在互联网上,一直被曝光。

虽然一些网站可能会在其用户政策中声明这种做法,但访问者通常不会阅读这些内容,并认为他们在嵌入式搜索字段中输入的信息是与大数据代理隔离的。

用爬虫发现信息泄露

为了研究用户隐私信息泄露的普遍程度,诺顿LifeLock实验室开发了一个基于Chrome 浏览器的网络爬虫。该爬虫可以使用前100万个网站内部的搜索功能并执行搜索,最后搜索后捕获所有网络流量,以此查看用户的搜索词会流转到哪里。

为了区别于其他的普通搜索,实验室使用了一个特定的搜索词“jellybeans”,以确保可以在网络流量中轻松找到测试的搜索词。

众所周知,一个典型的 HTTP 网络请求由三部分组成:URL、Request Header 和 payload。HTTP 请求标头是浏览器自动发送的元数据(见下文),有效负载是脚本或表单请求的附加数据,可能包括更详细的跟踪信息,例如浏览器指纹或点击流数据。在实际研究中,安全研究人员在网络请求的Referer 请求标头、URL 和有效负载中寻找关键词“jellybeans”。

结果令人感到非常惊讶。在具有内部站点搜索功能的顶级网站中,安全研究人员发现,81.3%的网站都在以某种形式向第三方泄露搜索字词:75.8% 的网站通过Referer标头,71% 的网站通过URL,21.2%的网站通过有效载荷。这也就意味着网站通常会以多个向量泄露关键词。

研究人员强调,八成只是最低的数字,因为他们仅在三个特定位置查找“jellybeans”搜索字符串,还有不少有效载荷被混淆以避免被工具检查,因此有效载荷的实际数量将会更高。

鉴于如此严峻的结果,安全研究人员很好奇这些网站是否都告知用户,其搜索关键词将会被发给第三方服务商。事实上,自欧洲通用数据保护条例 (GDPR) 和加利福尼亚州消费者隐私法 (CCPA) 通过以来,许多网站都更新了各自的隐私政策,那么又有多少网站明确告知了这些内容?

为此安全研究人员再次使用爬虫爬取了隐私政策,并建立了一个人工智能逻辑来阅读隐私政策,结果发现只有13% 的隐私政策明确提到了用户搜索词的处理,如此之低的比例再次让安全研究人员感到震惊。这不仅侵犯了用户隐私,而且还侵犯了用户的知情同意权。

]]>
大事件!乌方:网络攻击已瘫痪俄罗斯2400个网站 Wed, 22 May 2024 14:11:54 +0800 据乌克兰数字转型部消息,乌克兰IT军队在8月29日至9月11日的两周内,攻击了2400多个俄罗斯网站,其中包括俄罗斯联邦最大银行、汽车在线销售平台、俄罗斯主要媒体等。

当地时间9月12日,乌克兰数字转型部在Telegram宣布,其IT团队致使俄罗斯2400多个俄罗斯网站瘫痪,涉及金融业、实体企业、媒体等组织。

俄罗斯联邦最大和最重要的银行:俄罗斯天然气工业银行、莫斯科信贷银行、俄罗斯国家银行的服务瘫痪,导致俄罗斯用户无法使用网上银行或通过智能手机进行金融交易。乌克兰数字转型部表示,“更严重的是,俄罗斯士兵领不到工资,亲属领不到赔偿。”

受影响的还有而连锁汽车经销商在线网站Drom、乳制品批发和零售商的电子文档管理系统。俄罗斯主要宣传媒体《俄罗斯日报》也陷入瘫痪。乌克兰数字转型部表示,“我们注意到,一些宣传人员已经在考虑停战,但现在已经太迟了。”

此外,乌克兰IT团队还在9月1日(苏联解体国家的知识日),通过克里米亚主要电视频道,向学生传达总统泽连斯基的问候。

据乌克兰媒体Ukrinform报道,9月11日俄罗斯对乌克兰展开大规模袭击,哈尔科夫和顿涅茨克地区的电力被完全切断。根据乌克兰能源部的数据,共有40个的变电站停电,4名电力工程师遇难。

]]>
思科确认 Yanluowang 勒索软件团伙泄露了公司数据 Wed, 22 May 2024 14:11:54 +0800 Bleeping Computer 网站披露,思科公司已经确认 Yanluowang 勒索软件团伙泄露的数据是黑客在5月份一次网络攻击中从该公司网络中窃取的。

值得一提的是,思科方面在一份公告中表示,此次数据泄漏事件不会对公司业务有任何影响。

公告中部分内容:

2022 年 9 月 11 日,黑客将相同文件的实际内容发布到了暗网同一位置上,这些文件的内容与公司已经识别和披露的内容相符。思科方面认为对公司业务没有影响,包括思科产品或服务、敏感的客户数据或敏感的员工信息、知识产权或供应链运营等。

据悉,早在 8 月份的一份报告中,思科就宣布在黑客入侵员工 VPN 帐户后,其网络已被 Yanluowang 勒索软件入侵。随后思科强调被盗的数据包括该员工 Box 文件夹中的非敏感文件,攻击在 Yanluowang 勒索软件开始加密系统之前就已被遏制。

黑客声称窃取了55GB的数据

有意思的是,黑客表示事情并不是思科所说的那样,Yanluowang 幕后主使人向 BleepingComputer 透露,该组织窃取了思科成千上万的文件,总计达到了 55 GB ,文件主要包括机密文件、技术原理图和源代码。

不过,该名黑客没有提供任何证据,只分享了一张截图(表明可以访问似乎是开发系统的界面),因此 BleepingComputer 也无法核实这一说法的准确性。当被要求对此事发表评论时,思科否认了入侵者能够访问任何源代码的可能性。

公司没有证据表明攻击者访问了思科产品的源代码,也没有任何超出我们已经公开披露的实质性访问——思科

上月末,网络安全公司eSentire的研究团队发表了一份报告,其中有证据表明 Yanluowang、“Evil Corp”(UNC2165)和 FiveHands 勒索软件(UNC2447)之间存在关联。但Yanluowang勒索软件团伙告诉 BleepingComputer,他们在攻破思科时是单独行动,与这些派别都没有关系。

]]>
250万学生贷款记录因违规泄露 Wed, 22 May 2024 14:11:54 +0800 据外媒报道,EdFinancial 和俄克拉荷马州学生贷款管理局 (OSLA)已承认,超过250万学生用户的个人数据和贷款记录遭泄露,目前正在陆续通知受害者。

根据其披露的违规信息,造成此次数据泄露的主要元凶是Nelnet Servicing公司——一家服务系统和网络门户提供商,为 OSLA 和 EdFinancial 提供相应的服务。

2022年7月,Nelnet公司曾向用户发布了一封公开信,披露了存在的违规行为以及可能泄露个人贷款记录。该公司在公开信中强调,在事件发生后,网络安全团队立即采取行动保护信息系统,并极力阻止一切可以行动,及时与第三方网络安全专家展开联合调查,以确定活动的性质和范围,尽可能解决这一网络安全事件。

直到8月17日,调查结果显示,个人用户信息已经被未经授权的第三方访问,数据泄露已成定局。此次事件中泄露了250万学生贷款记录,以及账户持有人的姓名、家庭住址、电子邮件地址、电话号码和社会保险号码,个人财务信息没有泄露。

Nelnet法律顾问向俄克拉荷马州提交了违规披露文件,但尚不清楚被攻击的原因和具体的漏洞信息。

尽管极为关键的个人财务信息没有泄露,但是在 Nelnet事件中泄露的个人信息,未来很有可能被攻击者在社会工程或网络钓鱼攻击活动中利用。恰好拜登政府上周出台了一项“减免学生贷款”的计划,中低收入贷款人取消 10000 美元的学生贷款债务,别有用心的犯罪分子可能会利用这个机会进行诈骗,已经贷款的用户需提高警惕,认真辨别消息的真伪,避免上当受骗。

]]>
20.5亿条数据泄露?TikTok否认遭黑客攻击 Wed, 22 May 2024 14:11:54 +0800 据BleepingComputer报道,TikTok近日否认遭黑客入侵及源代码和用户数据被盗,黑客论坛泄露的20.5亿条数据与该公司“完全无关”。

上周五,一个名为“AgainstTheWest”的黑客组织在一个黑客论坛发帖声称已经入侵了TikTok和微信,并公布了一个Tiktok和微信的数据库屏幕截图,声称该数据库是在一个包含TikTok和微信用户数据的阿里云实例上访问的。

该黑客组织表示,该服务器在一个790GB的庞大数据库中保存了20.5亿条记录,其中包含用户数据、平台统计信息、软件代码、cookie、身份验证令牌、服务器信息等。

虽然该黑客组织的名字是“AgainstTheWest”(以下简称ATW),但该组织声称只针对敌视西方利益的国家和公司。

网络安全研究员CyberKnow解释说:“不要让这个名字让你感到困惑,ATW的目标是他们认为对西方社会构成威胁的国家,目前他们的目标是中国和俄罗斯,并计划在未来瞄准朝鲜、白俄罗斯和伊朗。”

TikTok否认被黑客入侵

TikTok告诉BleepingComputer,该公司被黑客入侵的说法是错误的。此外,该公司表示,在黑客论坛上共享的源代码不是其平台的一部分。

“这是一个错误的说法——我们的安全团队调查了这一声明,并确定有问题的代码与TikTok的后端源代码完全无关,后者从未与微信数据合并。”-TikTok。

TikTok还指出,泄露的用户数据不可能是直接抓取其平台造成的,因为它们有足够的安全保护措施来防止自动脚本收集用户信息。

BleepingComputer也已联系微信,但截止发稿尚未收到回复。

虽然微信和TikTok都是中国公司,但它们并不属于同一家母公司,前者属于腾讯,后者属于字节跳动。因此,在单个数据库中同时看到两家企业的数据表明该数据库不属于其中任何一家公司。

最有可能的情况是,该未受保护的数据库是由第三方数据抓取工具或代理人创建的,从两种服务中抓取公共数据并将其保存到单个数据库中。但是考虑到严格的隐私保护法规,如此大规模的隐私数据云端暴露真实性存疑。

HaveIBeenPwned创始人Troy Hunt发推文(下图)确认了某些数据(源代码)是有效的。但是Hunt表示已泄露的都是公开可访问代码,很可能是非生产环境或测试代码,目前没有任何证据表明TikTok存在内部系统漏洞。

此外,“数据库猎手”Bob Diachenko发推文称已经验证了泄露的用户数据是真实的,但无法提供有关数据来源的任何具体结论:

]]>
洲际酒店集团遭网络攻击预订系统瘫痪 Wed, 22 May 2024 14:11:54 +0800 洲际酒店集团是一家英国跨国公司,目前在100多个国家/地区经营6,028家酒店,并有1800多家在开发中,旗下品牌包括豪华、高档和基本连锁酒店,如洲际、丽晶、六善、皇冠假日、假日酒店等。

在周二在向伦敦证券交易所提交的文件中,洲际酒店集团报告其公司部分技术系统受到未经授权的活动的影响:“自昨天以来,IHG的预订渠道和其他应用程序已被严重中断,而且这种情况仍在继续。”

根据报告,洲际酒店集团已聘请外部专家对事件进行调查,并正在通知相关监管机构。 

洲际酒店集团是一家英国跨国公司,目前在100多个国家/地区经营6,028家酒店,并有1800多家在开发中,旗下品牌包括豪华、高档和基本连锁酒店,如洲际、丽晶、六善、皇冠假日、假日酒店等。

在周二在向伦敦证券交易所提交的文件中,洲际酒店集团报告其公司部分技术系统受到未经授权的活动的影响:“自昨天以来,IHG的预订渠道和其他应用程序已被严重中断,而且这种情况仍在继续。”

根据报告,洲际酒店集团已聘请外部专家对事件进行调查,并正在通知相关监管机构。 

根据BleepingComputer的测试,洲际酒店集团的API也出现故障,并显示502和503HTTP错误。

洲际酒店集团客户端APP目前也无法登录,显示“出现问题,您输入的凭据无效。请重置您的密码或联系客户服务。”的错误信息

网络犯罪情报公司Hudson Rock表示,根据与ihg[.]com域名相关的数据分析,IHG至少有15名员工和4000多名用户遭到入侵。

这家连锁酒店巨头也是2017年(9月29日至12月29日)长达三个月的漏洞攻击事件的受害者目标,当时美国有1200多家洲际特许经营酒店受到影响。

]]>
洛杉矶联合学区遭勒索软件攻击 多项服务出现中断 Wed, 22 May 2024 14:11:54 +0800 洛杉矶联合学区 (LAUSD) 承认遭到勒索软件攻击,导致持续的技术中断。LAUSD 是仅次于纽约市教育部的美国第二大学区。LAUSD 为 1000 多所学校的 60 多万名从幼儿园到 12 年级的学生提供服务,并雇用了超过 26000 名教师。

本周一,该学区承认在上周末遭到网络攻击,随后确认攻击类型为勒索软件。尽管本次攻击导致 LAUSD 基础设施出现“明显的中断”,不过该学区表示正着手恢复受影响的服务。LAUSD 表示,预计技术问题不会影响交通、食品或课后活动,但指出“业务运营可能会延迟或修改”。

该学区警告说,持续的中断包括“访问电子邮件、计算机系统和应用程序”。该学区内 Northridge Academy High 学校的一篇帖子证实,教师和学生可能无法访问 Google Drive 和 Schoology,这是一个 K- 12 学习管理系统,直至另行通知。

LAUSD 表示,根据对关键业务系统的初步分析,“员工医疗保健和工资单没有受到影响,网络事件也没有影响学校的安全和应急机制”。然而,目前尚不清楚攻击期间是否有任何数据被盗,LAUSD 尚未回答媒体的问题。勒索软件攻击者通常会在要求支付赎金之前泄露受害者的文件,旨在进一步勒索受害者,威胁要在不支付赎金的情况下在线泄露被盗数据。目前尚不清楚袭击的幕后黑手是谁。

]]>
谷歌Chrome浏览器再现0 day漏洞 已发布更新补丁 Wed, 22 May 2024 14:11:54 +0800  9 月 7 日消息,谷歌于 9 月 2 日发布了其 Chrome 浏览器的更新,其中包含针对 Mac 和 Windows 版漏洞的修复。

Chrome 浏览器 105.0.5195.102 版本更新已推出,修复了一个高风险安全漏洞,该漏洞修补了一个危险的 0 day 漏洞,即被发现后立即被恶意利用的安全漏洞。这是该公司在 2022 年迄今为止修补的第六个 0 day 漏洞。

此前修复的 5 个 0 day 漏洞分别为 CVE-2022-0609、CVE-2022-1096、CVE-2022-1364、CVE-2022-2294 和 CVE-2022-2856。

IT之家了解到,匿名报告称,新漏洞 CVE-2022-3075 是 Mojo 中数据验证不足导致的。Mojo 是一组运行时库,有助于跨任意进程间和进程内边界传递消息。

谷歌表示:“在大多数用户更新修复程序之前,可能会限制对错误详细信息和链接的访问。如果错误存在于其他项目类似依赖但尚未修复的第三方库中,我们还将保留限制。”

]]>
《安联智库-网安周报》2022-09-05 Wed, 22 May 2024 14:11:54 +0800

1、黑山遭遇勒索软件攻击,黑客索要1000万美元

Bleeping Computer 网站披露,黑山政府关键基础设施遭到了勒索软件攻击,黑客索要 1000 万美元巨款。
黑山公共管理部长马拉斯-杜卡伊在接受当地电视台采访时表示,此次网络攻击背后是一个有组织的网络犯罪集团,之后杜卡伊又补充说,黑客在这次攻击中使用了一种“特殊病毒”,并提出了 1000 万美元的赎金要求。
2、意大利石油巨头 ENI 遭受网络攻击

Security Affairs 网站披露,意大利石油巨头ENI 遭受网络攻击,攻击者破坏了其计算机网络,但该公司称,攻击并未产生很恶劣的影响。

攻击事件发生不久后,ENI 一位发言人在接受路透社采访时透露,是在最近几天内部保护系统检测时,发现了此次网络攻击事件,随后就向意大利当局报告了这一事件,当局也已经展开调查。

目前,没有披露出关于此次攻击的具体技术细节,也没有确定攻击者是采用那种方式入侵了公司和攻击者动机。从知情人士透露出的消息来看,ENI 可能遭受了勒索软件攻击。勒索软会锁定计算机并阻止对文件的访问以代替付款,目前尚不清楚攻击事件的主谋。

3、美国国税局泄露了12万人的机密信息

9月4日消息,据《华尔街日报》报道,美国国税局于当地时间周五表示,官网无意中发布了涉及约 120000 人的通常机密信息,目前已发现错误并从网站上删除了数据。

据报道,泄露的数据包括姓名、联系信息和有关这些 IRA 收入的财务信息。根据美国政府周五发送给国会主要成员的一封信,财政部确定,其中不包括社会安全号码、完整的个人收入信息或其他可能影响纳税人信用的数据。

美国国税局和财政部称,从去年开始,以电子方式提交 990-T 表格时出现了人为编码错误。一些非公开数据被错误地包含在了公共数据中,并且所有这些数据都可以在该机构的网站上进行搜索和下载。

4、匿名黑客控制了俄罗斯最大的出租车公司,造成了大规模的交通堵塞

本周,黑客控制了莫斯科市中心,造成了长达两小时的交通堵塞。根据推特的报道,黑客操纵了Yandex出租车应用程序,让所有可用的出租车同时到同一个地方。

这条被称为莫斯科库图佐夫前景的街道堵塞了几个小时,出租车司机发现他们无法离开这一地区。匿名者声称这是他们“OpRussia”的一部分,但他们的角色尚未得到证实。

出租车公司的一位发言人表示,安保部门立即制止了人为囤积车辆的行为。由于假订单,司机们在路上花费了大约40分钟。赔偿的问题将在不久的将来得到解决。检测和防止此类攻击的算法已经得到了改进,以帮助防止未来发生此类攻击。虽然这次黑客攻击是通过Yandex应用程序发生的,但它突显了一旦自动驾驶汽车成为现实,黑客可能会带来的危险。

]]>
美国国税局泄露了12万人的机密信息 Wed, 22 May 2024 14:11:54 +0800 9月4日消息,据《华尔街日报》报道,美国国税局于当地时间周五表示,官网无意中发布了涉及约 120000 人的通常机密信息,目前已发现错误并从网站上删除了数据。

这些数据来自 990-T 表格,该表格通常用于拥有个人退休账户且在这些退休计划中赚取某些类型业务收入的人。

据报道,泄露的数据包括姓名、联系信息和有关这些 IRA 收入的财务信息。根据美国政府周五发送给国会主要成员的一封信,财政部确定,其中不包括社会安全号码、完整的个人收入信息或其他可能影响纳税人信用的数据。

美国国税局和财政部称,从去年开始,以电子方式提交 990-T 表格时出现了人为编码错误。一些非公开数据被错误地包含在了公共数据中,并且所有这些数据都可以在该机构的网站上进行搜索和下载。IT之家了解到,《华尔街日报》称其也下载到了部分数据。

美国国税局的一名研究人员最近几周发现了这个错误,引发了更广泛的调查。根据管理重大信息安全事件的联邦法律的要求,美国国税局于周五通知了国会。受影响的纳税人将在未来几周内收到通知。

]]>
匿名黑客控制了俄罗斯最大的出租车公司,造成了大规模的交通堵塞 Wed, 22 May 2024 14:11:54 +0800 本周,黑客控制了莫斯科市中心,造成了长达两小时的交通堵塞。根据推特的报道,黑客操纵了Yandex出租车应用程序,让所有可用的出租车同时到同一个地方。

这条被称为莫斯科库图佐夫前景的街道堵塞了几个小时,出租车司机发现他们无法离开这一地区。

匿名者声称这是他们“OpRussia”的一部分,但他们的角色尚未得到证实。

出租车公司的一位发言人表示,安保部门立即制止了人为囤积车辆的行为。由于假订单,司机们在路上花费了大约40分钟。赔偿的问题将在不久的将来得到解决。检测和防止此类攻击的算法已经得到了改进,以帮助防止未来发生此类攻击。

虽然这次黑客攻击是通过Yandex应用程序发生的,但它突显了一旦自动驾驶汽车成为现实,黑客可能会带来的危险。

Yandex出租车被广泛称为“俄罗斯谷歌”,在全球1000多个城市运营,也是世界上从事自动驾驶技术的最大公司之一。如果一支舰队人工智能无人驾驶的出租车可能会被黑客接管,谁也不知道会造成什么样的破坏,从网络罪犯到军队,每个人都有能力瘫痪整个城镇和国家。

]]>
意大利石油巨头 ENI 遭受网络攻击 Wed, 22 May 2024 14:11:54 +0800 Security Affairs 网站披露,意大利石油巨头ENI 遭受网络攻击,攻击者破坏了其计算机网络,但该公司称,攻击并未产生很恶劣的影响。

攻击事件发生不久后,ENI 一位发言人在接受路透社采访时透露,是在最近几天内部保护系统检测时,发现了此次网络攻击事件,随后就向意大利当局报告了这一事件,当局也已经展开调查。

彭博社首次披露了攻击事件

周三,彭博新闻社首先报道了 ENI 遭受攻击的消息,并猜测 ENI  似乎受到了勒索软件攻击。

目前,没有披露出关于此次攻击的具体技术细节,也没有确定攻击者是采用那种方式入侵了公司和攻击者动机。

从知情人士透露出的消息来看,ENI 可能遭受了勒索软件攻击。勒索软会锁定计算机并阻止对文件的访问以代替付款,目前尚不清楚攻击事件的主谋。

意大利其他部门同样也遭受了网络攻击

上周末,意大利能源机构 Gestore dei Servizi Energetici SpA 遭受了网络攻击,(GSE 是运营意大利电力市场的政府机构)。GSE 的网站目前仍然处于瘫痪状态。熟悉此事的人向彭博社透露,能源公司的基础设施遭到严重破坏,对该机构的运作产生了很大影响。

更糟糕的是,公共关键基础设施运营商一旦遭受网络攻击,可能导致向用户提供电力、水和其他服务的运营系统中断,最终影响民众的生活。

去年,位于佐治亚州阿尔法雷塔的 Colonial Pipeline Co遭受了网络攻击,导致其 IT 系统瘫痪,被迫关闭了美国最大的燃料管道。今年 2 月,位于德国汉堡的石油交易商 Mabanaft 遭受网络攻击,严重破坏了德国各地的燃料供应工作。

]]>
黑山遭遇勒索软件攻击,黑客索要1000万美元 Wed, 22 May 2024 14:11:54 +0800 Bleeping Computer 网站披露,黑山政府关键基础设施遭到了勒索软件攻击,黑客索要 1000 万美元巨款。

黑山公共管理部长马拉斯-杜卡伊在接受当地电视台采访时表示,此次网络攻击背后是一个有组织的网络犯罪集团,之后杜卡伊又补充说,黑客在这次攻击中使用了一种“特殊病毒”,并提出了 1000 万美元的赎金要求。

最后,杜卡伊强调,无法估计受黑客影响的服务何时能够重新恢复正常使用。

幕后主使者 Cuba 勒索软件

值得一提的是,此前杜卡伊和黑山国防部长向当地媒体透露,他们有足够的证据怀疑网络攻击是由俄罗斯服务机构指挥的,并动员巴尔干国家的北约盟友帮助他们进行事件响应、防御和补救。

如果他们所述属实,会使攻击事件显得具有强烈的地缘政治色彩。

事情很快出现了反转,在黑山政治人物发声不久后,Cuba 勒索软件团伙将黑山议会(Skupstina)列为其受害者,并声称盗取了财务文件、与银行的通信记录、资产负债表、税务文件、赔偿金,甚至源代码等资料。

这些数据分类在该网站的“免费 ”部分,任何访问者都可以无限制地使用。

Cuba勒索软件的演变

近段时间,Cuba 勒索软件表现出了明显演变。三周前,安全研究人员发现了该团伙使用一个新的工具集,以及之前未见过的策略、技术和程序。

6月,Cuba 勒索软件更新了其加密器,增加了一些选项,并建立了一个支持“受害者实时沟通”的渠道。

另一个值得注意是,2021年,大量美国实体组织在 Cuba团伙的目标范围中。

]]>
印度阿卡萨航空公司承认存在安全漏洞 导致34533条用户信息暴露 Wed, 22 May 2024 14:11:54 +0800 本月初开始商业运营的印度阿卡萨航空公司(Akasa Air)由于注册登陆服务中的技术故障,导致数千名用户的个人数据被披露。这些披露的数据是由阿舒托什·巴罗特(Ashutosh Barot)发现的,其中包括客户全名、性别、电子邮件地址、手机号码等等。

在阿卡萨航空公司网站于 8 月 7 日成立上线之后,巴罗特在几分钟之后就发现了 HTTP 请求漏洞。他最初试图直接与这家总部位于孟买的航空公司的安全团队沟通,但没有找到直接联系人。

这位研究专家表示:“我通过他们的官方Twitter账户联系了航空公司,要求他们提供一个电子邮件 ID 来报告这个问题。他们给了我 info@akasa 电子邮件 ID,我没有向其分享漏洞详细信息,因为它可能由支持人员或第三方供应商处理。所以,我再次给他们发了电子邮件,并要求 [航空公司] 提供他们安全团队中某人的 [the] 电子邮件地址。我没有收到来自 Akasa 的进一步通信”。

在没有得到航空公司关于他如何与安全团队联系的回应后,研究人员向 TechCrunch 通报了这个问题。在 TechCrunch 联系之后,该航空公司承认确实存在该问题,导致 34,533 条客户记录面临风险。该航空公司还表示,暴露的数据不包括与旅行相关的信息或支付记录。该航空公司告诉 TechCrunch,它进行了额外的审查,以确保其所有系统的安全性。

]]>
俄罗斯流媒体巨头遭恶意攻击,210万中国用户数据泄露 Wed, 22 May 2024 14:11:54 +0800 8月30日消息,俄罗斯流媒体巨头START 在上周日表示,其客户的个人信息在一次网络攻击中被泄露。

该公司没有透露具体有多少用户受到此次事件的影响,但根据俄罗斯Telegram频道“Information Leaks”的信息(该频道率先公布了此次事件,并附上一张据称为泄露信息的截图),泄露数据库总计72 GB大小,包含4400万客户的数据。

此次泄露的信息包括用户名、电子邮件地址、哈希密码、IP地址、用户注册国家、订阅起始及结束日期,以及最后一次登录记录。

START共在超过174个国家销售电影和电视节目,此次事件也让其成为俄乌冲突爆发后,遭受数据泄露和黑客攻击影响的众多俄罗斯企业之一。

据称,这起数据泄露事件已经影响到全球观众,包括俄罗斯本土的2460万用户、哈萨克斯坦的230万用户、中国的210万用户及乌克兰的170万用户。

恶意黑客宣称,这些数据来自一个暴露在互联网上的MongoDB数据库,其中包含去年9月22日之前在START网站上注册用户的详细信息。

START公司表示,已经修复了漏洞并设置了数据库访问权限,事件声明中写道,“泄露的数据对恶意黑客而言意义不大,其中最重要的内容也只有用户的电子邮件和电话号码。”

据START介绍,该数据库中不存在信用卡号等重要的财务信息。由于密码已经加密,该公司也未要求用户更改原有密码。

START公司数据科学主管Ilya Braslavskiy表示,只有少部分用户(不到2%)在网站注册时填写了真实姓名。他在Telegram上写道,“本人姓名并非必填字段,所以大多数用户没必要提交。”

目前尚不清楚此次攻击的幕后黑手和行为动机,也没有黑客团伙宣称对这起事件负责。

广电媒体成俄乌冲突期间攻击重点

今年7月初,来自乌克兰IT军的恶意黑客利用分布式拒绝服务(DDoS)攻击影响了约80家俄罗斯在线电影网站,泛滥的垃圾流量导致这些线上观影平台无法正常访问。

今年3月,匿名恶意黑客还曾入侵俄罗斯流媒体服务Wink和Ivi,并播放了俄乌战场上拍摄的真实画面。

俄乌战争期间,乌克兰方面的流媒体服务也同样饱受俄方网络攻击的摧残。今年6月,亲俄派黑客就攻击了乌克兰流媒体服务Oll.tv,并把足球赛转播替换成了俄文宣传影像。

Megogo、Sweet.tv等其他重要流媒体服务商也大多表示受到DDoS攻击,但并未受到重大影响。

]]>
《安联智库-网安周报》2022-08-28 Wed, 22 May 2024 14:11:54 +0800

1、AR滤镜违规采集人脸信息 Snap或需支付2.4亿元和解金

近日,由于被质疑滤镜效果违反生物识别法案,社交软件Snapchat的母公司Snap将以3500万美元(约2.4亿元人民币)和解一起隐私集体诉讼案件。这起集体诉讼在美国伊利诺伊州发起,原告指控Snapchat的滤镜不合理地收集和存储了居民的人脸信息,并且未提前告知这些行为,这违反了伊利诺伊州的《生物信息隐私法案》。
作为一款以照片分享为主要功能的软件,丰富的滤镜是Snapchat产品竞争力的重要组成部分。原告认为, Snapchat的滤镜可以通过摄像头,扫描、采集,并修改用户面部数据,以达到任意改变他们在镜头中的脸部形象的效果。然而,这些面部数据属于BIPA保护的“生物识别标识符(biometric identifier)”。同时,Snapchat并没有公开告知收集、使用和销毁个人生物识别信息的具体流程。
随着技术的逐渐普及,其中的风险也逐渐被用户所重视。
2、美外卖巨头发生数据泄露 涉及用户姓名、地址等信息

 8 月 27 日消息,据华尔街日报报道,当地时间周四,DoorDash 报告了一起数据泄露事件,涉及该公司的用户和配送员等信息。

DoorDash 表示,被读取的信息包括客户姓名、电子邮件地址、送货地址和电话号码、订单信息和部分支付卡信息。此外,DoorDash 工作人员的姓名、电话号码或电子邮件地址也被泄露。

不过,DoorDash 指出,受影响的人数只占该公司持有信息的“很小百分比”。在被问及此事时,DoorDash 的一名发言人不愿提供更具体的数字。

据 DoorDash 介绍,该公司调查了此次入侵事件,并认定“未经授权的一方使用窃取的供应商员工身份验证信息获得了我们部分内部工具的权限”。

3、北美国家政务机构遭勒索软件攻击,内部数据全部泄露

8月26日消息,位于北美洲的多米尼加共和国突遇横祸,农业部下属机构Instituto Agrario Dominicano(IAD)受到Quantum勒索软件攻击,导致该机构内多个服务及工作站被加密锁定。

IAD技术总监Walixson Amaury Nuñez向当地媒体表示,“对方开价超过60万美元。我们这边被锁定的包括四台物理服务器和八台虚拟服务器,几乎是我们的全部服务器设备了。”Núñez还透露,“由于数据库、应用程序和电子邮件等都受到了影响,信息已经全面泄露。

IAD告诉当地媒体,他们的系统上只装有防病毒软件之类最基础的安全软件,并且没有专门的网络安全部门。

4、黑客正使用AiTM攻击监控企业高管的微软 365帐户

据Bleeping Computer8月24日消息,一项新的商业电子邮件泄露 (BEC) 活动正将复杂的鱼叉式网络钓鱼与中间人攻击 (AiTM) 策略相结合,以入侵企业高管的 Microsoft 365 帐户,其中包括受多因素身份验证 (MFA) 保护的帐户。


Mitiga 的研究人员在一次事件响应案例中发现了这一活动,这是一种典型的商业电子邮件泄露攻击,目的是在入侵并监控首席执行官或首席财务官等高级员工的账户后适时进行通信,并在适当的时候回复电子邮件,将大笔资金交易转移到他们控制的银行账户。

在攻击开始时,攻击者会向目标发送谎称付款的公司银行账户由于财务审计而被冻结的钓鱼邮件,并附有新的付款指令,这些指令会切换到由攻击者控制的银行账户。

在Mitiga例举的一个攻击样例中,对公司高管的攻击始于一封看似来自 DocuSign 的网络钓鱼电子邮件,(DocuSign 是一种在企业环境中广泛使用的电子协议管理平台),虽然电子邮件没有通过 DMARC 检查,但 Mitiga 发现, DocuSign 针对垃圾邮件的常见安全错误配置有助于它进入目标的收件箱。单击“查看文档”按钮时,受害者会被带到一个欺骗域上的网络钓鱼页面,要求收件人登录到 Windows 域。

攻击者被认为使用网络钓鱼框架(例如 Evilginx2 代理)来进行所谓的中间人攻击 (AiTM) 。在 AiTM 攻击期间, Evilginx2 等工具充当代理,位于网络钓鱼页面和目标公司的合法登录表单之间。由于代理位于中间,当受害者输入他们的凭证并解决 MFA 问题时,代理会窃取 Windows 域生成的Cookie。这时,可以将偷来的Cookie加载到他们自己的浏览器中,自动登录到受害者的账户中,并绕过MFA。

由于有效Cookie可能会过期或被撤销,因此攻击者会添加新的 MFA 设备并将其链接到被破坏的 Microsoft 365 帐户,这一举动不会生成任何警报或需要与原有帐户所有者进行进一步交互。

在 Mitiga 看到的案例中,攻击者添加了一部手机作为新的身份验证设备,以确保他们可以不间断地访问受感染的帐户。据研究人员称,攻击者正利用这种隐秘的漏洞几乎完全地访问 Exchange 和 SharePoint。根据日志,他们没有对受害者的收件箱采取任何行动,大概只是阅读电子邮件。

然而,攻击者可能正在等待合适的时机注入他们自己的电子邮件,以将发票付款转移到攻击者控制的银行账户中

]]>
美外卖巨头发生数据泄露 涉及用户姓名、地址等信息 Wed, 22 May 2024 14:11:54 +0800  8 月 27 日消息,据华尔街日报报道,当地时间周四,DoorDash 报告了一起数据泄露事件,涉及该公司的用户和配送员等信息。

IT之家了解到,DoorDash 表示,被读取的信息包括客户姓名、电子邮件地址、送货地址和电话号码、订单信息和部分支付卡信息。此外,DoorDash 工作人员的姓名、电话号码或电子邮件地址也被泄露。

不过,DoorDash 指出,受影响的人数只占该公司持有信息的“很小百分比”。在被问及此事时,DoorDash 的一名发言人不愿提供更具体的数字。

据 DoorDash 介绍,该公司调查了此次入侵事件,并认定“未经授权的一方使用窃取的供应商员工身份验证信息获得了我们部分内部工具的权限”。

]]>
AR滤镜违规采集人脸信息 Snap或需支付2.4亿元和解金 Wed, 22 May 2024 14:11:54 +0800 近日,由于被质疑滤镜效果违反生物识别法案,社交软件Snapchat的母公司Snap将以3500万美元(约2.4亿元人民币)和解一起隐私集体诉讼案件。这起集体诉讼在美国伊利诺伊州发起,原告指控Snapchat的滤镜不合理地收集和存储了居民的人脸信息,并且未提前告知这些行为,这违反了伊利诺伊州的《生物信息隐私法案》。

此前,Meta也因Facebook和Instagram上的滤镜功能在该州被起诉,最终停用了在该州的相关功能。

Snap:滤镜不违法,但是同意和解

根据伊利诺伊州杜佩奇县第十八巡回法院8月22日发布的文件,社交软件Snapchat的母公司Snap将可能以3500万美元和解该隐私集体诉讼案件。和解已于 8 月 8 日在法院提起,并获得了法官的初步批准。和解协议显示,正式批准后,自 2015 年 11 月 17 日以来所有使用过Snapchat的伊利诺伊州居民都将可能从这笔和解金中获得赔偿。

在此前的诉讼中,原告认为Snapchat的滤镜功能违反了伊利诺伊州的《生物识别信息隐私法》(以下简称“BIPA”),具体行为包括未经允许收集和使用了生物识别信息。

作为一款以照片分享为主要功能的软件,丰富的滤镜是Snapchat产品竞争力的重要组成部分。原告认为, Snapchat的滤镜可以通过摄像头,扫描、采集,并修改用户面部数据,以达到任意改变他们在镜头中的脸部形象的效果。然而,这些面部数据属于BIPA保护的“生物识别标识符(biometric identifier)”。同时,Snapchat并没有公开告知收集、使用和销毁个人生物识别信息的具体流程。

但Snap则否认了这些指控。公司表示,产品的滤镜功能是通过物体识别技术(object recognition technology)实现的,这项技术只会识别出人的五官并加上滤镜效果,但这些特征并不会指向特定的个人。此外,Snap还表示,数据会存储在用户的设备上,甚至部分数据会在关闭应用时就被删除,不可能被发送到公司的服务器。

科技公司深陷生物识别信息隐私诉讼

据悉,Snapchat的滤镜大多是依托AR增强现实技术实现的,简单来说,该技术就是将虚拟世界的CG图像投射到现实之中。应用中的滤镜会把镜头中的人脸变成动物、水果,或者是在照片上添加其他元素,用户可以选择相应的滤镜,并且根据自己的喜好进行调整。除了Snapchat,在海外,Facebook、Instagram和Tiktok等软件都推出了AR滤镜功能;而国内,AR滤镜也逐渐在各个应用普及,比如购物软件提供的AR试妆功能、还有短视频软件的部分变脸特效滤镜等。

但是,随着技术的逐渐普及,其中的风险也逐渐被用户所重视。事实上,Snapchat并不是第一个因为在软件中使用AR滤镜功能被指控违法收集用户信息的大型互联网公司。

今年5月,Meta也被指控违反BIPA和德克萨斯州的有关人脸识别与隐私的相关法律,随后Meta在伊利诺伊州和德克萨斯州关闭了旗下社交软件Facebook、Instagram等多个产品的AR滤镜功能。而在去年,由于频频被质疑非法收集用户生物识别信息,Meta宣布暂时关闭Facebook上的人脸识别系统,并将删除超过 10 亿人的个人面部识别模板。

而此前,字节跳动旗下产品TikTok也以 9200万美金和解的一起隐私集体诉讼,也涉及滤镜对人脸隐私的非法收集。在和解协议稿中,TikTok被指控违反BIPA,利用技术采集用户的面部特征并推荐相关的贴纸和滤镜。8月22日,法院正式批准和解。

]]>
北美国家政务机构遭勒索软件攻击,内部数据全部泄露 Wed, 22 May 2024 14:11:54 +0800 8月26日消息,位于北美洲的多米尼加共和国突遇横祸,农业部下属机构Instituto Agrario Dominicano(IAD)受到Quantum勒索软件攻击,导致该机构内多个服务及工作站被加密锁定。

IAD是多米尼加农业部的下辖机构,负责为该国执行土地改革计划。

当地媒体报道称,此次勒索攻击发生在8月18日,已经影响到IAD的正常运营。

IAD技术总监Walixson Amaury Nuñez向当地媒体表示,“对方开价超过60万美元。我们这边被锁定的包括四台物理服务器和八台虚拟服务器,几乎是我们的全部服务器设备了。”

一直协助IAD从攻击中恢复的国家网络安全中心(CNCS)表示,攻击者的IP地址来自美国和俄罗斯。

Núñez还透露,“由于数据库、应用程序和电子邮件等都受到了影响,信息已经全面泄露。”

IAD告诉当地媒体,他们的系统上只装有防病毒软件之类最基础的安全软件,并且没有专门的网络安全部门。

攻击者为Quantum勒索软件

外媒BleepingComputer从@VenezuelaBTH 推特上获悉,IAD不太可能向恶意黑客支付赎金,因为他们根本负担不起这么大笔款项。

调查发现,本次攻击的幕后黑手正是Quantum勒索团伙,他们最初开出65万美元赎金。

恶意黑客声称已经窃取到超过1 TB数据,并威胁称如果IAD不支付赎金,他们就把数据发布出去。

Quantum正逐步成为针对企业受害者的主要勒索软件团伙。他们之前曾攻击过应收账款管理公司Professional Finance Company(PFC),进而间接影响到超650家医疗保健机构。

据悉,Quantum团伙已经成为Conti勒索软件团伙旗下的附属组织,所使用的Quantum勒索软件则是由MountLocker勒索软件改头换面而来。

MountLocker勒索软件于2020年9月首次在攻击中亮相,随后曾多次变更名称,包括AstroLocker、XingLocker,以及现在的Quantum。

最后这次更名发生在2021年8月,当时该团伙的勒索软件加密器开始为被加密文件添加.quantum扩展名。不过在此之后,该团伙已经很少发动攻击,频繁的更名也暂时告一段落。

随着Conti勒索软件团伙的沉寂,Quantum团伙又开始蠢蠢欲动。

根据Advanced Intel公司Yelisey Boguslavskiy的介绍,一部分Conti团伙成员已经加入Quantum,因此攻击势头又有所恢复。

]]>
黑客正使用AiTM攻击监控企业高管的微软 365帐户 Wed, 22 May 2024 14:11:54 +0800 据Bleeping Computer8月24日消息,一项新的商业电子邮件泄露 (BEC) 活动正将复杂的鱼叉式网络钓鱼与中间人攻击 (AiTM) 策略相结合,以入侵企业高管的 Microsoft 365 帐户,其中包括受多因素身份验证 (MFA) 保护的帐户。

Mitiga 的研究人员在一次事件响应案例中发现了这一活动,这是一种典型的商业电子邮件泄露攻击,目的是在入侵并监控首席执行官或首席财务官等高级员工的账户后适时进行通信,并在适当的时候回复电子邮件,将大笔资金交易转移到他们控制的银行账户。

在攻击开始时,攻击者会向目标发送谎称付款的公司银行账户由于财务审计而被冻结的钓鱼邮件,并附有新的付款指令,这些指令会切换到由攻击者控制的银行账户。

在Mitiga例举的一个攻击样例中,对公司高管的攻击始于一封看似来自 DocuSign 的网络钓鱼电子邮件,(DocuSign 是一种在企业环境中广泛使用的电子协议管理平台),虽然电子邮件没有通过 DMARC 检查,但 Mitiga 发现, DocuSign 针对垃圾邮件的常见安全错误配置有助于它进入目标的收件箱。单击“查看文档”按钮时,受害者会被带到一个欺骗域上的网络钓鱼页面,要求收件人登录到 Windows 域。

攻击者被认为使用网络钓鱼框架(例如 Evilginx2 代理)来进行所谓的中间人攻击 (AiTM) 。在 AiTM 攻击期间, Evilginx2 等工具充当代理,位于网络钓鱼页面和目标公司的合法登录表单之间。由于代理位于中间,当受害者输入他们的凭证并解决 MFA 问题时,代理会窃取 Windows 域生成的Cookie。这时,可以将偷来的Cookie加载到他们自己的浏览器中,自动登录到受害者的账户中,并绕过MFA。

由于有效Cookie可能会过期或被撤销,因此攻击者会添加新的 MFA 设备并将其链接到被破坏的 Microsoft 365 帐户,这一举动不会生成任何警报或需要与原有帐户所有者进行进一步交互。

在 Mitiga 看到的案例中,攻击者添加了一部手机作为新的身份验证设备,以确保他们可以不间断地访问受感染的帐户。据研究人员称,攻击者正利用这种隐秘的漏洞几乎完全地访问 Exchange 和 SharePoint。根据日志,他们没有对受害者的收件箱采取任何行动,大概只是阅读电子邮件。

然而,攻击者可能正在等待合适的时机注入他们自己的电子邮件,以将发票付款转移到攻击者控制的银行账户中。

]]>
曾攻击云通讯巨头Twilio的黑客,又连续攻击130多个组织 Wed, 22 May 2024 14:11:54 +0800 在8月初接连攻击云通讯巨头Twilio和云服务商Cloudflare后,攻击者逐渐浮出水面。网络安全公司Group-IB指出,该组织在数月内疯狂入侵了130多家机构,盗取了近1万名员工的凭证。

Group-IB将该攻击组织追踪为0ktapus,该组织主要攻击使用Okta单点登录服务的企业。

Group-IB在一名客户受到网络钓鱼攻击后开展调查,结果显示,自3月以来,其至少窃取了9931个用户证书,其中超过一半包含用于访问公司网络的多因素认证码。

Group-IB高级威胁情报分析师Roberto Martinez向媒体表示,“在许多情况下,有一些特定的图像、字体或脚本,可以用来识别用使用同一套钓鱼工具设计的钓鱼网站。"在这种情况下,我们发现了一个被钓鱼的使用Okta认证的网站。”

“这些攻击案例很有意思,尽管它的技术含量低,但它还是能够危害大量知名组织,”Group-IB表示,“一旦攻击者入侵了一个组织,他们就能够迅速转向并发起后续的供应链攻击,这表明攻击是经过事先精心策划的。”

据信,0ktapus至少定制了 169 个域用于网络钓鱼,这些网站通过使用以前未记录的网络钓鱼工具包进行联合攻击。受害组织主要位于美国(114 个)、印度(4 个)、加拿大(3 个)、法国(2 个)、瑞典(2 个)和澳大利亚(1个) 等,分布在通讯、商业服务、金融、教育、零售、物流等行业。

虽然目前还不清楚攻击者是如何获得电话号码和员工姓名并发送短信钓鱼消息,Group-IB指出,攻击者首先以移动运营商和电信公司为目标,”可能从最初的攻击中收集到这些号码。”

该组织的最终目标仍不清楚,可能是间谍活动和经济动机,攻击者可以访问机密数据、知识产权、公司收件箱以及虹吸资金。最重要的是,入侵 Signal 帐户意味着,攻击者还试图获取私人对话和其他敏感数据。

]]>
全球最受欢迎的密码管理软件LastPass称其遭到黑客入侵 Wed, 22 May 2024 14:11:54 +0800 全球用户数超过3300万的密码管理软件公司LastPass表示,最近一名黑客在侵入其系统后窃取了源代码和专有信息。该公司在周四的一篇博客文章中表示,公司认为没有任何密码被盗,用户不需要采取行动来保护他们的账户。

一项调查发现未经授权方侵入了该公司的开发者环境,也就是员工用来构建和维护LastPass产品的软件。该公司称,侵入者通过一个受损的开发者账户获得访问权。

该公司的软件为用户自动生成并保存用于Netflix、Gmail等账户的密码,并且用户登陆这些账户时无需手动输入密码。LastPass在其网站上列出的客户名单包括Patagonia、Yelp Inc.、State Farm等。

网络安全网站Bleeping Computer报道称,在两周前曾向LastPass询问过这一入侵事件。

]]>
多米尼加共和国政府机构遭受勒索软件攻击 Wed, 22 May 2024 14:11:54 +0800 Bleeping Computer 网站披露,多米尼加共和国的多米尼加农业研究所(Instituto Agrario Dominicano)遭到了 Quantum 勒索软件的疯狂攻击,该勒索软件加密了整个政府机构的多项服务和工作站,导致部分工作暂时停滞。

当地媒体报道称,勒索软件攻击发生在 8 月 18 日,严重影响了多米尼加农业研究所(IAD)的运作。(IAD 隶属于农业部管理,主要负责执行多米尼加共和国的土地改革计划,是该国重要的政府机构)。

攻击者索要 60 万美元赎金

IAD 技术总监 Walixson Amaury Nuñez 在接收当地媒体采访时透漏,此次勒索软件攻击导致 IAD几乎所有服务器出现问题( 四个物理服务器和八个虚拟服务器出现故障)。此外,,因为数据库、应用程序、电子邮件等都受到影响,数据信息也基本都遭受了破坏。

值得一提的是,IAD 告诉当地媒体其系统中只有例如杀毒软件之类的基本安全软件,缺乏专业的安全部门。此次事件,攻击者索要 60 多万美元赎金。

攻击事件发生后,多米尼加共和国立即开始响应,经过家网络安全中心(CNCS)分析后发现,攻击者的 IP 地址来自美国和俄罗斯。

攻击背后的勒索软件组织

Bleeping Computer 从 Venezuela BT 处获悉,后者表示 IAD 不太可能支付赎金,60 万美元超出了他们的负担范围。

从媒体披露的信息来看,Quantum 勒索软件声称已经窃取了超过 1TB 的数据,最初要求 IAD 支付 65 万美元的赎金,并威胁如果 IAD 不公开支付赎金,就会立即泄露这些数据。1661399267_6306f0e3784b597de9c9c.jpg!small?1661399267701

据了解,Quantum 勒索软件团伙目前已成为 Conti 勒索软件的一个分支,主要接管了之前 MountLocker 勒索软件操作,此外,Quantum 与对 PFC 的攻击有关,影响了 650 多个医疗机构,正在成为针对企业的勒索软件操作中的主要角色。

MountLocker 从 2020 年 9 月开始首次部署在攻击中,随后以不同的名称多次更名,主要使用了 AstroLocker、XingLocker 等,最后是 Quantum。

更名为 Quantum 发生在 2021 年 8 月,在此之后,该品牌的重塑从未变得特别活跃,行动大多处于休眠状态,直到 Conti 勒索软件操作开始关闭,其成员开始寻找其他操作进行渗透。

从 Advanced Intel 的 Yelisey Boguslavskiy 的说法来看,一些 Conti 网络犯罪集团加入了 Quantum 勒索软件的行列。

]]>
男子2200万拍下一柯尼塞格 拍卖平台:被黑客攻击提不了车 Wed, 22 May 2024 14:11:54 +0800 在我们还在纠结买车全款还是贷款的时候,就有人在网上直接2200多万元,拍下一辆柯尼塞格超跑了,这你敢相信?不过,有钱人也有有钱人的烦恼,买车稍有不慎同样“进坑”。日前,网友上传一段视频显示,一名男子在拍卖平台看上了一辆柯尼塞格Regera超跑,8月19日,和朋友一起斥资2200多万元将其拍下。

8月21日收到平台的付款信息,将剩余车款2200多万元全款支付,计划22日前往天津提车。但是此时却有意外发生,平台告知,因为受到黑客攻击,导致拍卖结果有误。

原本愉快的提车之旅,现在变成了维权之路,就在他们去往天津的路上,拍卖平台无任何说法,将车款全额退还;5个多小时后,将300万元保证金一同退还。

8月24日,他们一行人来到拍卖平台所在公司,却得不到任何答复,也不出具任何证明,只说明事情仍在调查当中。

对此,买家相当不解,如果是他们拍卖后,不及时支付尾款,那么他们300万的保证金平台肯定不会退还;但现在是他们支付了尾款,而平台方却不给提车,平台这种做法是否构成违约,需要退还双重保证金?需要专业人士来解答。

目前,双方还未达成一致,后续关注。

]]>
国际航空重要供应商遭勒索软件攻击,航空业已成为勒索主要目标 Wed, 22 May 2024 14:11:54 +0800 8月25日消息,作为服务全球多家大型航空公司的技术提供商,Accelya表示,近期刚刚遭遇勒索软件攻击,部分系统已经受到影响。

Accelya的客户包括达美航空、英国航空、捷蓝航空、联合航空、维珍大西洋航空、美国航空等多家知名航空企业。

勒索软件公开发布窃取数据

8月23日,该公司披露,其聘请解决此事的两家安全厂商发现,Accelya内部数据已经被发布至专门的勒索泄密网站。

上周四(8月18日),AlphV/BlackCat勒索软件团伙公布了据称窃取自Accelya的数据。该团伙称窃取的数据包含电子邮件、员工合同等内容。

Accelya公司一位发言人称,他们聘请的专家设法“隔离”了勒索软件,阻断其在系统内进一步传播。

这位发言人表示,“我们的取证调查人员证实,受到攻击影响的只是整体环境中的一部分。没有证据表明恶意软件可能经由我们的系统,横向移动到我们客户的环境当中。”

他们还补充称,Accelya公司正在审查上周AlphV泄露网站上发布的数据,并将向受到信息泄露影响的客户发布通报。

Accelya公司主要负责为各大航空零业企业提供客运、货运与行业分析平台,与9个国家共250多家航空企业保持着合作关系。

2022年,航空产业已经成为勒索软件团伙的一大主要攻击目标。今年5月,印度香料航空(SpiceJet)和加拿大战斗机培训服务商均曾遭遇勒索软件攻击。

AlphV/BlackCat勒索软件是谁?

AlphV/BlackCat是当前最活跃的勒索软件团伙之一,上个月刚刚对路易斯安那州亚历山大市政府发动攻击,今年春季还先后攻击了多所大学。

同样是在上个月,该团伙又先后攻击了卢森堡两家能源公司,以及日本电子游戏巨头万代南梦宫。

根据几位专家的介绍,AlphV/BlackCat其实是BlackMatter勒索软件团伙的“马甲”,而BlackMatter又是DarkSide勒索团伙改头换面后的产物。这个DarkSide来头不小,最大的动作就是震惊世界的科洛尼尔管道运输公司攻击案。

该团伙的一位代表在今年2月接受了美媒The Record的采访,声称大多数主要勒索软件团伙间都有着某种形式的关联。

说起AlphV跟BlackMatter及DarkSide之间的关系,这位代表表示,“可以这么说,我们借用了他们的优势,同时回避了他们的劣势。”

FBI在4月的警报中提到,截至今年3月,执法机构已经追踪到至少60起由AlphV/BlackCat团伙发动的勒索软件攻击。

]]>
法国首都一医院遭勒索软件攻击:急诊被迫停业 赎金1000万美元 Wed, 22 May 2024 14:11:54 +0800 8月24日消息,距巴黎市中心28公里,拥有1000张床位的Center Hospitalier Sud Francilien(简称CHSF)医院上周日(8月21日)遭遇网络攻击,迫使其将患者转诊至其他机构,并推迟了手术预约。

CHSF为当地60万居民提供诊疗服务,因此任何运营中断,都有可能给身处危急关头的病患造成健康甚至是生命威胁。

经谷歌翻译,CHSF发布的公告称,“此次计算机网络攻击,导致我院业务软件、存储系统(特别是医学影像)及与患者入院相关的信息系统暂时无法访问。”

该医院的管理部门尚未发布进一步事态更新,目前IT系统中断引发的运营紧缺也仍未结束。

CHSF的医生们已经在对需要紧急护理的病患进行评估,如果迫切需要医学影像诊疗,病患们将被转移至另一处医疗中心。

法媒《世界报》称,攻击CHSF的勒索软件团伙要求受害者支付1000万美元以换取解密密钥。

一位警方消息人士向《世界报》透露,“目前,巴黎检察官办公室旗下的网络犯罪部门,已经启动了对这一入侵计算机系统,并企图实施勒索的有组织黑客团伙的调查”,由“调查工作由打击数字犯罪中心(C3N)的宪兵负责。”

幕后黑手或为LockBit 3.0

法国网络安全记者Valéry Riess-Marchive在事件中发现了LockBit 3.0感染的迹象,并提到介入调查的国家宪兵也正在负责追踪Ragnar Locker和LockBit。

Riess-Marchive表示,根据Ragnar Locker以往只向大规模关键基础设施目标下手的特点,这次事件应该不是其所为。相比之下,LockBit 3.0的攻击目标则要广泛得多。

如果LockBit 3.0确实就是CHSF攻击事件的幕后黑手,那他们就违反了RaaS的“行规”,即不得由附属组织向医疗保健服务商的系统发动加密攻击。

目前,这场事端究竟是谁所为还不明确,LockBit 3.0的勒索网站上也还没挂出CHSF的信息,所以前面的一切分析仍然只是假设。


]]>
希腊最大天然气运营商遭勒索软件攻击,多项在线服务被迫中断 Wed, 22 May 2024 14:11:54 +0800 8月23日消息,欧洲国家希腊最大的天然气分销商DESFA在上周六(8月20日)证实,由于遭受网络攻击,该公司出现了一定程度的数据泄露与IT系统中断。

在向当地新闻媒体发布的公开声明中,DESFA称有黑客试图渗透其网络,但因为IT团队快速反应而被阻断。然而,对方仍在有限范围内实施了入侵,导致部分文件和数据被访问并可能“外泄”,

DESFA为此停用了多项在线服务,希望保护客户数据。而且随着专家们努力进行恢复,各项服务已经逐渐恢复运行。

DESFA向消费者保证称,此次事件不会影响到天然气供应,所有天然气输入/输出点均保持正常容量运行。

该公司也已通知警方的网络犯罪部门、国家数据保护办公室、国防部以及能源与环境部,希望在最短时间内以最低影响解决问题。

最后,DESFA宣布绝不会与网络犯罪分子对话,也就不存在进行赎金谈判。




Ragnar Locker宣布对事件负责



上周五(8月19日),Ragnar Locker勒索软件团伙在窃取数据后确认了此次攻击。这批恶意黑客亮相于两年多之前,并在2021年发起过多起大型网络攻击活动。

Ragnar Locker在今年活跃度仍然不低,但攻击数量上较去年有所下降。FBI最近一份报告提到,Ragnar Locker与截至2022年1月美国各关键基础设施实体遭受的共52起网络入侵有关。

该恶意黑客团伙还在其数据泄露与勒索门户上发布了所谓被盗数据清单,展示了一小部分似乎不涉及机密信息的被盗文件。

此外,Ragnar Locker提到他们在DESFA系统上发现了多个安全漏洞,并向对方告知了这一情况。这可能是该团伙勒索行动的一部分,但据称受害者并未做出回应。

如果受害组织不满足赎金要求,该恶意黑客团伙威胁将发布整个文件树内对应的所有文件。

此次攻击恰逢欧洲各天然气供应商的艰难时期。当前欧洲大陆主要国家已决定快速削减对俄罗斯天然气的依赖,因此不可避免要产生问题。

预计在即将到来的冬季,供应短缺、停气、配给中断和能源价格飙升等因素可能轮番上演,届时消费者恐怕又将迎来一波针对天然气供应商的勒索攻击大爆发。

]]>
黑客利用零日漏洞窃取 General Bytes ATM 机上的加密货币 Wed, 22 May 2024 14:11:54 +0800 The Hacker News 网站披露,比特币 ATM 机制造商 General Bytes 证实其遭到了网络攻击。攻击者利用服务器中的零日漏洞,从用户处掠夺加密货币。

攻击事件发生不久后,General Bytes 在一份公告中表示,自 2020-12-08 版本以来,该零日漏洞一直存在于 CAS 软件中。攻击者通过 CAS 管理界面,利用页面上的 URL 调用,远程创建管理员用户。

CAS

CAS,Crypto Application Server 的缩写,是 General Bytes 公司旗下一款自托管产品,能够使用户通过桌面或移动设备上的 Web 浏览器从中央位置管理比特币 ATM(BATM)机器。

目前,涉及 CAS 管理界面的零日漏洞,已经在以下两个版本的服务器补丁中得到了修复:

20220531.38

20220725.22

General Bytes 强调,未知攻击者通过扫描 DigitalOcean 云主机的 IP 地址空间,识别出在端口 7777 或 443 运行的 CAS 服务,随后滥用该漏洞在 CAS 上添加了一个名为 “gb ”的新默认管理员用户。

之后,黑客可以修改“购买”和“出售”加密设置以及“无效支付地址”,这时候客户向 ATM 机发送加密货币,双向 ATM 机则会向黑客钱包地址转发货币。

换句话说,攻击者主要目的是通过修改设置,将所有资金都转到其控制的数字钱包地址里。值得一提的是,目前尚不清楚有多少服务器受到此漏洞影响,以及有多少加密货币被盗。

最后,General Bytes 公司强调,自 2020 年以来,内部已经进行了多次“安全审计”,从未发现这一零日漏洞。

]]>
因用户未更新固件,超八万台摄像机可能被利用 Wed, 22 May 2024 14:11:54 +0800 据Bleeping Computer消息,因用户未及时更新固件,超过八万台海康威视摄像机容易受到关键命令注入漏洞的影响。攻击者可将特定的消息发送至易受攻击的Web服务器,即可轻松利用该漏洞,并发起命令注入攻击。

2021年6月,网络安全研究机构Watchful IP首次发现了该漏洞,编号为CVE-2021-36260,同月,海康威视通过固件更新解决了这一问题。

但是,这并不意味着这一漏洞已经失去了效果。根据 CYFIRMA 发布的白皮书,全球100 个国家/地区的2300个正在使用受影响摄像机的组织,并未及时对固件进行安全更新,仍然处于被攻击者的威胁之中。

公开信息显示,CVE-2021-36260一共包含两个已知的公开漏洞,一个在2021 年 10 月发布,另一个在2022 年 2 月发布,因此所有技能水平的攻击者都可以轻松地搜索和利用易受攻击的摄像头。

截止到目前,安全研究人员已经观察到,大量有效载荷试图利用此漏洞来探测设备状态或从受害者那里提取敏感数据。更糟糕的是,一个名为Moobot的恶意僵尸网络正在试图大规模利用该漏洞,这很有可能会引起更严重的网络攻击和信息泄露。因为Moobot是一基于Mirai开发的僵尸网络家族,自从其出现就一直很活跃,并且拥有零日漏洞利用的能力。

2022年年初,CISA也曾发布警告称,CVE-2021-36260 是当时发布的列表中被积极利用的漏洞之一,攻击者可以“控制”设备,要求组织立即修补漏洞。

极易遭受攻击和伤害

CYFIRMA表示,出售网络入口点最多的是讲俄语的黑客论坛,这些入口点其中一大部分依赖于那些可用于僵尸网络或横向移动的,存在漏洞的海康威视摄像机。

在俄罗斯论坛上出售的样品 (CYFIRMA)

安全研究人员对285000个面向互联网的海康威视Web服务器的样本进行分析之后,得出的结论是仍有超过8万个摄像机容易遭受网络攻击,并广泛分布于全球各个地方。其中数量分布最多的是中国和美国,此外还有越南、英国、乌克兰、泰国、南非、法国、荷兰和罗马尼亚等国家,未更新固件的摄像机均超过2000个。

易受攻击的海康威视摄像机 (CYFIRMA)的位置

虽然该漏洞的利用目前并未遵循特定模式,但是已经有不少攻击者参与其中。而用户想要避免被攻击者威胁,最好的办法就是立即更新固件,修复这一漏洞。倘若继续任由该漏洞存在,很有可能造成严重后果。

同时安全专家还进一步强调,用户应提升网络安全意识。除了上述命令注入漏洞外,研究员还发现很多时候用户图方便而将密码设置成“123456”等弱密码,或者是直接使用生产厂商的初始密码。

而这些日常的操作会让厂商的安全措施毁于一旦,哪怕是再好的安全产品,也无法彻底改变用户不安全的使用习惯。

]]>
车载导航提示“路上有枪战” 上海公安辟谣:可能是系统BUG或黑客攻击 Wed, 22 May 2024 14:11:54 +0800 你正在开车,突然车机屏幕里跳出一条提示:路上有枪战。你信还是不信?8月23日,上海辟谣平台官方发布消息称,上海有不少车主遭遇车内显示屏出现“路上有枪战”的交通警告提示。

记者向上海市公安局求证获悉,本市没有发生枪战警情。

对于车辆导航的错误提示,有业内人士认为可能是翻译问题,不排除黑客攻击可能。

“很可能是车载系统出现了故障或者遇到黑客攻击。在正常情况下,导航软件不会推送这类信息,因为绝大多数导航软件本身并不撰写信息,如果进行推送,也是推送权威渠道的信息。”某导航软件技术人员向上海辟谣平台介绍。

该技术人员说,目前依据只有部分网友提供的车载系统屏幕照片,不能判断车型和运行状态,所以无法确定到底是哪个环节出现了问题。

但从技术基础看,大部分车载系统使用的都是第三方导航软件,导航及推送信息的准确性与是否联网运行、是否及时升级有关。

部分系统若没有及时升级或使用的第三方供应商本身存在瑕疵,那么可能在导航准确性上出现问题。

同时,正规导航软件的推送信息都有权威信源,通常来自官方渠道,而并非导航软件自行编辑撰写。且大部分导航软件推送的信息会列出出处。

根据目前网传信息看,相关“枪战”信息没有出处且并非出现在所有车型上,所以大概率是系统故障(bug)或黑客攻击。

]]>
美国拟立法禁止采购有漏洞软件,“引爆”网络安全行业 Wed, 22 May 2024 14:11:54 +0800 8月22日消息,美国立法者希望立法改善政府的部分网络安全防御措施,但却引发了信息安全专家们的质疑和不满。

《2023财年国防授权法案》,对应着划拨给美国军队和政府各关键领域的数十亿美元财政预算。目前法案已经在众议院通过,接下来需要经参议院批准,最后由拜登总统签字执行。

今天要讨论的争议,集中在该法案草案看似合理的条款:管理国土安全部及其应用程序/在线服务供应链的软件级攻击风险。

这份拟议法案要求,对于新签和现有政府合同,软件供应商应保证“提交软件物料清单中列出的所有项目,均不存在影响最终产品或服务安全性的已知漏洞或缺陷,并给出证明。”

所谓“已知漏洞或缺陷”,是指美国国家标准与技术研究院(NIST)发布的国家漏洞数据库,以及网络安全与基础设施安全局(CISA)指定的用于“跟踪各开源或第三方开发软件内安全漏洞/缺陷”的数据库内列出的条目。

换句话说:国土安全部不得采购任何包含已知、已登记安全漏洞的软件。

这项要求的出发点是好的,旨在防止恶意黑客利用Log4j之类的漏洞破坏政府敏感系统。但法案中的具体措辞却令行业专家颇感沮丧。一方面,任何代码都存在bug,这一条款基本上切断了政府军工部门原本强大的采购流程。另一方面,漏洞数据库中相当一部分漏洞并不属于安全风险。

总而言之,如果严格执行该项法案,那么美国政府后续将无法部署任何软件/服务。

软件供应链安全厂商Chainguard的联合创始人兼CEO Dan Lorenc表示,“这项要求往好了说是受到误导,往坏了想肯定会引发大麻烦。”

不过,这项要求也有回旋空间。如果合同内包含“关于所列出各项安全漏洞或缺陷的缓解、修复或解决方法”,政府一方就可购买包含已知缺陷的软件。换句话说,只要可以缓解或修复措施,就不会影响各部门的正常采购。

争议过大引发行业热议

这个问题在推特上掀起了争论热潮。有人担心软件供应商为了正常向政府客户出售软件,故意对漏洞信息知情不报(不再注册CVE编号)。另一方面,各家企业在争夺合同的过程中,也可能会挖其他竞争者产品的漏洞作为“黑料”。

安全厂商Rapid7的高级政策主管Harley Lorenz Geiger律师在推文中提到,“立法者起草的条文相当于在说:要么放弃继续上报软件漏洞,要么被排除在软件投标范围之外,你们自己选。”

“这里我要提醒一句,并不是所有安全漏洞都有严重危害,或者能够/应该缓解。感谢立法者,祝好。”

漏洞协调与众测厂商Luta Security的CEO Katie Moussouris等行业专家,则呼吁安全专家们先别反应过激。她在Twitter上写道,新法案其实允许政府官员“采购那些虽包含CVE,但已有缓解方法的软件产品”,同时提醒政府方面“在部署之前必须缓解或接受这些风险”。

市场研究公司Dell'Oro Group负责网络安全的研究主管Mauricio Sanchez也在采访中提到,虽然他理解立法者们的善意动机,但在技术采购方面设置的种种要求,很可能会阻断政府的正常部署流程。

他提到,“很遗憾,这就是我们立法者的典型做法,只提要求、不讲方法。”

在Sanchez看来,这项法案的最终走向恐怕只有以下三种。

第一:立法者服软。技术游说部门等各方提出有力的反对意见,宣扬这项要求根本就无法实现(也确实无法实现),于是立法者选择删除这部分条文。

第二:做出澄清。立法者对条文“做出修正”,把这项过于理想的要求修改得更加实际。

最后:直接摆烂。立法者可能懒得费脑筋,强行出台这项新政,然后向选民们宣扬自己支持网络安全、改善美国风险水平的姿态。至于收拾这个烂摊子需要投入多少时间、精力和金钱,那就是各联邦机构和法院自己的问题了。

而且Sanchez本人的看法比较悲观。“如果让我押个宝,那我赌立法者会选择最后这条。”

]]>
技术支持骗子正在利用带有微软logo的USB驱动器来骗取用户 Wed, 22 May 2024 14:11:54 +0800 通过使用微软的名字来欺骗潜在的受害者在技术支持骗子的名单上总是名列前茅。FBI最近的一份报告指出,这些骗局仍相当活跃,即使在今天也是如此。在日前的一篇报道中,Sky News称其被发送了一个带有微软品牌的欺诈性USB驱动器。它们是由来自Atheniem的网络安全顾问Martin Pitman发现的。

据悉,该驱动器被包装在一个Office 2021 Professional Plus的盒子内,这表明骗子在制作这些东西时花了一些好时间并还花了一些钱。

当目标将U盘插入他们的电脑之后,一条假的警告信息就会弹出,告知用户他们的系统中存在病毒并提示受害者拨打技术支持电话,这显然是骗子使用的号码。然后,骗子要求受害者安装一个远程访问程序来接管系统。

微软发言人就这一案件向Sky News发表了以下声明:“微软致力于帮助保护我们的客户。我们有在采取适当的行动一从市场上清除任何可疑的无证或假冒产品并追究那些针对我们客户的责任。”

这家科技公司非常了解这种骗局并向用户们提供了一个支持页面。

]]>
周鸿祎谈企业遭遇勒索攻击:基本无解 只能交赎金 Wed, 22 May 2024 14:11:54 +0800 8月23日消息,前不久,网络安全机构Resecurity发布报告预测,到2031年,全球勒索软件勒索活动将达到2650亿美元,对全球企业造成的潜在总损失或达到10.5万亿美元。日前,360集团创始人、董事长 周鸿祎发文称,最近多起知名企业遭遇勒索攻击,在业界引起了热议。勒索攻击俨然已经成为“全球公敌”,严重影响企业业务发展。

周鸿祎表示,与传统攻击不同,勒索攻击已变成一种新商业模式。它不撬你的保险柜,而是给你做一个更大的保险柜,把你的保险柜也锁起来,而且被勒索后基本无解,你就只能交赎金。

据统计,在最严重的勒索软件攻击中,组织支付的平均赎金2021年比2020年增加近五倍,达到812360美元,中国勒索攻击起价也已达500万元。

前不久,国际知名服务器厂商思科公司证实被勒索攻击,泄露数据2.8GB,思科被窃取的数据包括大约3100个文件,许多文件是保密协议、数据转储和工程图纸。

根据其团队博文披露的细节,黑客是通过思科员工的个人谷歌浏览器个人帐户密码同步功能作为初始向量,从而获取了思科内部凭证。

]]>
勒索软件LockBit旗下站点因泄露Entrust数据遭到DDoS报复攻击 Wed, 22 May 2024 14:11:54 +0800 勒索软件 LockBit 运营的多家数据泄露站点由于遭到 DDoS 攻击而在上周末关闭,这些攻击的目的是要求该组织移除从 Entrust 盗取的数据。在 7 月下旬,数字安全机构 Entrust 确认在今年 6 月遭到网络攻击,攻击者从网络中窃取了部分数据。

当时消息人士告诉 BleepingComputer,这是一次勒索软件攻击,但我们无法独立确认背后的原因。上周末,LockBit 宣布对本次攻击负责,并于上周五开始公开泄漏的数据。

在描述中提供了 30 张样本截图,显示了法律文件、营销电子表格和会计数据。在他们开始泄露数据后不久,研究人员开始报告说,勒索软件团伙的 Tor 数据泄露站点由于 DDoS 攻击而无法使用。

昨天,安全研究小组 VX-Underground 从 LockBitSupp(LockBit 勒索软件运营的公众账号)处获悉,其 Tor 站点遭到了攻击,而且他们认为和 Entrust 有关联。

LockBitSupp 表示:“在数据公开和谈判开始之后这些 DDoS 攻击立即开始了,很显然这是 Entrust 的手笔,不然还有谁需要呢?此外,在攻击日志中就提到了要求移除这些数据”。

从这些 HTTPS 请求中可以看出,攻击者在浏览器用户代理字段中向 LockBit 添加了一条消息,告诉他们删除 Entrust 的数据。思科 Talos 研究员 Azim Shukuhi 在Twitter上表示,对 LockBit 服务器的 DDoS 攻击包括“每秒来自 1000 多台服务器的 400 个请求”。

作为对攻击的报复,LockBit 的数据泄露站点现在显示一条消息,警告说勒索软件团伙计划将 Entrust 的所有数据作为种子上传,这将使其几乎不可能被删除。

此外,威胁行为者与安全研究员 Soufiane Tahiri 分享了 Entrust 和勒索软件团伙之间所谓的谈判。该聊天记录表明,最初的赎金要求为 800 万美元,后来降至 680 万美元。

]]>
《安联智库-网安周报》2022-08-21 Wed, 22 May 2024 14:11:54 +0800

1、苹果发现2大严重安全漏洞,黑客可完全操控手机


周三,苹果公司宣布,他们在 iPhone、iPad 和 Mac 电脑中发现了两个严重的安全漏洞,甚至有些型号的iPod都受到了影响。当天,苹果公司就紧急发布了 iOS 15.6.1 和 iPadOS 15.6.1 的安全更新,并建议所有用户立即更新软件,以避免被黑客入侵。
从苹果公司发布的两份安全报告来看,这两个漏洞是在WebKit(为Safari和其他应用程序提供动力的引擎)和Kernel(操作系统的核心)中发现,黑客可以通过这两个漏洞,直接操控人们的设备。苹果发出声明后,网络安全咨询公司SocialProof Security的首席执行官雷切尔·托拜克(Rachel Tobac)也呼吁大家尽快更新软件,以免被人窃取重要隐私和信息造成损失。
2、英特尔新型CPU漏洞可致敏感数据泄露

研究人员在英特尔 CPU 中发现了一个名为 ÆPIC 的新漏洞,该漏洞使攻击者能够从处理器中获取加密密钥和其他机密信息。ÆPIC 泄漏(CVE-2022-21233)是第一个架构上的CPU 错误,它可能导致敏感数据泄露并影响大多数第 10 代、第 11 代和第 12 代 Intel CPU。

“某些英特尔(R) 处理器中共享资源的不当隔离可能允许特权用户通过本地访问潜在启用信息泄露。” 

英特尔已经发布了固件更新以解决该漏洞。尚未发布任何安全更新来修补攻击线,但该芯片制造商建议 “软件开发人员采用现有的最佳实践,包括恒定时间算法并在适当的情况下避免依赖秘密的控制流。

3、因收集Android 位置数据,Google被罚六千万美元

近日,澳大利亚公平竞争和消费者委员会(ACCC)发布消息称,谷歌2017年1月至2018年 12 月的时间里,存在收集和使用其位置数据并误导澳大利亚 Android 用户,被处以6000万美元(约合人民币2.88亿元)罚款。

澳大利亚竞争监管机构表示,这家科技巨头继续跟踪其部分用户的 Android 手机,尽管他们在设备设置中禁用了“位置历史记录”。但实际情况是,谷歌在默认情况下会打开另一个名为“Web & App Activity”的帐户设置使公司能够“收集、存储和使用个人可识别的位置数据”。

ACCC 表示,根据现有数据,估计有超过 130 万个属于澳大利亚人的谷歌账户受到影响。

4、百度网盘再发声明否认人工审核用户照片 并贴出受案回执和律师函

8月20日消息,,百度网盘再次发布声明称,百度网盘不存在照片人工审核,也并未委托任何机构招聘兼职人员。

声明指出,近日网络热传“青团社招聘审核”截图纯属恶意造谣。现有证据显示,谣言信息源发为“鲨鲨要努力变强”“音乐草莓熊”抖音博主,目前两名博主均已删除相关内容并修改ID。其已经固定证据并报警,坚决维护自身合法权益。

度网盘在声明中表示,百度网盘拥有规范且严密的隐私管理机制和安全防御体系,有效保护用户隐私和数据安全。请大家放心使用。

此前,网络作家边想8月18日发布微博称:“一直以为百度网盘是机器审核的,没想到是真人审核?审核人员还能随随便便把用户的照片截下来保存发到网上?即便打了码。”彼时,百度网盘官方回应称,不存在所谓的照片人工审核,网络上关于百度网盘照片真人审核的内容是谣言。

]]>
苹果严重安全漏洞冲上热搜第一:黑客能接管设备 Wed, 22 May 2024 14:11:54 +0800 8月20日消息,微博话题“苹果曝出严重安全漏洞”冲上热搜第一名。

就在本周,苹果公司报告了一个重大安全漏洞,该漏洞可以让黑客接管苹果设备,苹果方面呼吁用户立刻下载最新更新。

据介绍,受本次漏洞影响的设备涵盖了几乎所有的苹果产品。其中手机包括iPhone 6S及以后的型号;平板包括第五代及以后的iPad,所有iPad Pro以及iPad Air 2;电脑则是运行MacOS Monterey的Mac。此外,该漏洞还能影响到部分型号的iPod。

苹果表示,黑客可以通过该漏洞获得设备的“完全管理权限”。这意味着入侵者能够冒充设备拥有者,并以他们的名义运行任何软件。

值得注意的是,苹果未在报告中说明漏洞是在何时、何地以及由谁发现的,仅仅表示是一名匿名研究人员发现了这一漏洞。

专家指出,对于普通民众而言,本次漏洞不太可能造成大范围的问题。通常情况下,当iPhone等手机的漏洞被利用时,往往是有针对性的,攻击一般集中于一小部分人。

如果你系统保持最新,那就绝对没问题了,因为安全更新已经上线了。

]]>
百度网盘再发声明否认人工审核用户照片 并贴出受案回执和律师函 Wed, 22 May 2024 14:11:54 +0800 8月20日消息,今日上午,百度网盘再次发布声明称,百度网盘不存在照片人工审核,也并未委托任何机构招聘兼职人员。

声明指出,近日网络热传“青团社招聘审核”截图纯属恶意造谣。现有证据显示,谣言信息源发为“鲨鲨要努力变强”“音乐草莓熊”抖音博主,目前两名博主均已删除相关内容并修改ID。其已经固定证据并报警,坚决维护自身合法权益。

IT之家了解到,百度网盘在声明中表示,百度网盘拥有规范且严密的隐私管理机制和安全防御体系,有效保护用户隐私和数据安全。请大家放心使用。

此前,网络作家边想8月18日发布微博称:“一直以为百度网盘是机器审核的,没想到是真人审核?审核人员还能随随便便把用户的照片截下来保存发到网上?即便打了码。”彼时,百度网盘官方回应称,不存在所谓的照片人工审核,网络上关于百度网盘照片真人审核的内容是谣言。

]]>
谷歌曝光有史以来最大DDoS攻击 数据比之前高出76% Wed, 22 May 2024 14:11:54 +0800  8 月 20 日消息,今年6月,Cloudflare证实,出现了历史上最大的HTTPS 分布式拒绝服务 (DDoS) 攻击,不过它在出现任何实际损失之前就成功阻止了这次破纪录的攻击。该公司透露,它记录了每秒2600万次请求的DDoS攻击。

谷歌刚刚报告说,他们发现了一次大规模的DDOS共计,对方尝试关闭其 Cloud Armor 客户服务,峰值可达每秒 4600 万个请求,规模相当于此前记录的 176.92%。这使其成为有史以来报告的最大的一次七层分布式拒绝服务攻击。

谷歌解释说,在高峰期,这种攻击相当于在10秒内实现一整天的Wikipedia访问量,因此能够抵御如此强大的DDoS攻击是一项令人难以置信的壮举。

谷歌云服务徽标看起来像云的五彩轮廓图。

据介绍,Google Cloud Armor通过使用负载平衡技术定期保护应用程序(第 7 层)和网站免受此类互联网攻击,即使在面临这些挑战时也能保持 Web 服务运行。

IT之家了解到,谷歌Cloud Armor声称每秒可支持超过 100 万次查询请求,但这次它们却成功处理了4600万次每秒的负担。

谷歌报告称,Cloud Armor 成功检测到了此次 DDoS 攻击,并向客户推荐了一条规则来阻止攻击,实际效果不错。几分钟后,攻击者意识到攻击失败后,数据请求出现下降。

不过,谷歌指出DDoS攻击的数量呈指数级增长,而且是由大量恶意机器人提供的,因此这一记录可能不会保持太久。

]]>
TikTok被曝App内浏览器监控输入和点击的任何内容 发言人否认 Wed, 22 May 2024 14:11:54 +0800  8 月 21 日消息,据安全研究员 Felix Krause 称,TikTok 在 iOS 上的自定义 App 内浏览器将 JavaScript 代码注入外部网站,允许 TikTok 在用户与给定网站交互时监控“所有键盘输入和点击”,但据报道 TikTok 公司否认了该代码被用于恶意行为。

Krause 表示,当用户与外部网站交互时,TikTok App 内浏览器会“订阅”所有键盘输入,包括密码和信用卡信息等任何敏感细节,以及屏幕上的每次点击。

“从技术角度来看,这相当于在第三方网站上安装键盘记录器,”Krause 在谈到 TikTok 注入的 JavaScript 代码时写道。然而,研究人员补充说,“仅仅是应用将 JavaScript 注入外部网站,但并不意味着该应用正在做任何恶意的事情。”

在与福布斯分享的一份声明中,TikTok 发言人承认了有问题的 JavaScript 代码,但表示它仅用于调试、故障排除和性能监控,以确保“最佳用户体验”。

“与其他平台一样,我们使用 App 内浏览器来提供最佳用户体验,但所讨论的 Javascript 代码仅用于调试、故障排除和性能监控 —— 例如检查页面加载速度或是否崩溃。”

Krause 表示,希望保护自己免受 App 内浏览器 JavaScript 代码的任何潜在恶意使用的用户应尽可能切换使用平台默认浏览器访问查看给定链接,例如 iPhone 和 iPad 上的 Safari 浏览器。

据 Krause 称,Facebook 和 Instagram 是另外存在问题的两个应用程序,它们将 JavaScript 代码插入到加载在 App 内浏览器中的外部网站中,从而使应用程序能够跟踪用户活动。Facebook 和 Instagram 母公司 Meta 发言人在推文中表示,该公司“有意开发此代码是为了尊重人们在我们平台上的应用跟踪透明度 (ATT) 选择”。《Meta Instagram 被曝通过 App 内浏览器跟踪用户网络活动,已违反苹果 iOS 隐私政策》

Krause 说他创建了简单的工具,允许任何人在呈现网站时检查 App 内浏览器是否正在注入 JavaScript 代码。研究人员表示,用户只需打开他们想要分析的应用程序,在应用程序内的某处分享地址 InAppBrowser.com(例如直接向另一个人发送消息),点击应用程序内的链接即可在-app 浏览器,并阅读显示的报告的详细信息。

苹果没有立即回应置评请求。

TikTok发言人进一步声明表示,“该报告关于 TikTok 的结论是不正确且具有误导性的。研究人员明确表示,JavaScript 代码并不意味着我们的应用程序在做任何恶意行为,并承认他们无法知道我们的应用程序内浏览器收集了什么样的数据。我们不会通过此代码收集击键或文本输入,该代码仅用于调试、故障排除和性能监控。”

据 TikTok 发言人称,JavaScript 代码是 TikTok 正在利用的软件开发工具包 (SDK) 的一部分,而 Krause 提到的“keypress”和“keydown”功能是 TikTok 不用于按键记录的常见输入。

]]>
苹果发现2大严重安全漏洞,黑客可完全操控手机 Wed, 22 May 2024 14:11:54 +0800 周三,苹果公司宣布,他们在 iPhone、iPad 和 Mac 电脑中发现了两个严重的安全漏洞,甚至有些型号的iPod都受到了影响。

当天,苹果公司就紧急发布了 iOS 15.6.1 和 iPadOS 15.6.1 的安全更新,并建议所有用户立即更新软件,以避免被黑客入侵。

从苹果公司发布的两份安全报告来看,这两个漏洞是在WebKit(为Safari和其他应用程序提供动力的引擎)和Kernel(操作系统的核心)中发现,黑客可以通过这两个漏洞,直接操控人们的设备。

苹果发出声明后,网络安全咨询公司SocialProof Security的首席执行官雷切尔·托拜克(Rachel Tobac)也呼吁大家尽快更新软件,以免被人窃取重要隐私和信息造成损失。

雷切尔·托拜克是一名优秀的白帽黑客,曾经成功入侵亿万富翁杰弗瑞·卡森伯格(Jeffrey Katzenberg)的 Mac 电脑,在网络安全这块儿是非常知名的人物。

连她都这样呼吁了,大家还是尽快把系统软件更新了吧...

话说,这也不是苹果公司第一次出现安全漏洞了。

去年9月,安全研究员Denis Tokarev(又名 illusionofchaos)爆料,自己曾经向苹果公司报告过三个明显的安全漏洞,却被怠慢。

后来事情发酵后,苹果公司才道歉并修复了漏洞。

在科技发达的今天,不管用什么电子设备,其实都没有百分百的安全。大家现在就赶紧打开手机检查一下,系统软件有没有更新到最新版本吧...

]]>
CS:GO 交易网站被黑,价值 600 万美元皮肤被盗 Wed, 22 May 2024 14:11:54 +0800 据Bleeping Computer网站8月16日消息,著名射击游戏CS:GO最大的皮肤交易平台之一——CS.MONEY在一次黑客攻击后被窃取了2万件、总价值约 600万美元的游戏皮肤,并导致网站被迫下线。

CS:GO(反恐精英:全球攻势)是全球流行的多人第一人称射击游戏CS(反恐精英)系列的第四款作品,拥有许多非常受欢迎但却较为稀有的皮肤等虚拟物品,这促使了一些基于Steamworks API的皮肤交易网站的建立。而CS.MONEY 是此类交易中最大的网站之一,拥有 53 种武器共计 1696 种皮肤,在攻击发生前管理的总资产达1650万美元。

攻击发生后,CS.MONEY 在推特上宣布已经与其它交易平台达成一致,将禁止这2万件被盗皮肤的交易,防止黑客在其他 CS:GO 交易平台上进行出售。

攻击是如何发生的

根据 CS.MONEY 公共关系负责人 Timofey Sobolevky 发布的贴子透露,攻击者以某种方式获得了用于 Steam 授权的 Mobile Authenticator (MA) 文件访问权限。接下来,攻击者控制了100个机器人账户,并进行了大约一千次交易,将这些物品吸纳到他们自己的账户中。

起初,攻击者将皮肤添加到他们的个人账户中,但随后,他们开始进行随机交易,将皮肤“赠送”给一些与攻击无关的普通用户。分析认为,这么做的原因很可能是为了隐藏自身踪迹,通过让更多人参与而使要弄清这些被窃物品的归属问题变得苦难。此外,攻击者还生成许多涉及各种第三方交易平台的虚假消息,以混淆攻击者的盗窃行踪。

在平台检测到托管在售的皮肤数量急剧减少并收到多个用户关于可疑交易的报告后,CS.MONEY 采取行动阻止了攻击,但仍有价值600万美元的皮肤被抢走。

Sobolevky表示,一旦 CS.MONEY 恢复运行,将优先归还这些皮肤,并对所属用户进行补偿。

值得注意的是,Steam 的所有者 Valve 可以在必要时撤销这些虚拟物品的转让,但目前尚不清楚这家游戏巨头是否计划在遇到类似攻击场景时进行有效的干预。

]]>
英特尔新型CPU漏洞可致敏感数据泄露 Wed, 22 May 2024 14:11:54 +0800 研究人员在英特尔 CPU 中发现了一个名为 ÆPIC 的新漏洞,该漏洞使攻击者能够从处理器中获取加密密钥和其他机密信息。ÆPIC 泄漏(CVE-2022-21233)是第一个架构上的CPU 错误,它可能导致敏感数据泄露并影响大多数第 10 代、第 11 代和第 12 代 Intel CPU。

ÆPIC Leak 适用于基于 Ice Lake、Alder Lake 和 Ice Lake SP 的最新 Intel CPU,并且不依赖于启用的超线程。

英特尔发布的公告:“某些英特尔® 处理器中的潜在安全漏洞可能允许信息泄露。英特尔正在发布固件更新以解决此潜在漏洞。” 

“某些英特尔(R) 处理器中共享资源的不当隔离可能允许特权用户通过本地访问潜在启用信息泄露。” 

该漏洞的发现是罗马第一大学、格拉茨科技大学、亚马逊网络服务和 CISPA 亥姆霍兹信息安全中心的研究人员进行的研究的结果。

与Meltdown 和 Spectre不同,ÆPIC Leak 是一个架构漏洞,这意味着敏感数据会在不依赖侧信道攻击的情况下被泄露。

研究人员说:“ÆPIC Leak 就像在 CPU 本身中读取的未初始化内存。访问 APIC MMIO 需要特权攻击者(管理员或 root)。因此,大多数系统都不会受到 ÆPIC 泄漏的影响。然而,依靠 SGX 保护数据免受特权攻击者的系统将面临风险,因此必须进行修补。”

CVE-2022-21233问题存在于高级可编程中断控制器(APIC)中,负责接受、确定优先级并将中断分派给处理器。 

“基于 Sunny Cove 微架构的英特尔 CPU 上的 I/O 地址空间扫描显示,本地高级可编程中断控制器(APIC)的内存映射寄存器未正确初始化。因此,从架构上读取这些寄存器会返回来自微架构的陈旧数据。由于只有特权软件才能访问 I/O 地址空间,ÆPIC Leak 的目标是英特尔的 TEE、SGX。ÆPIC Leak 可能会从运行在同一物理内核上的 SGX enclave 泄露数据。虽然 ÆPIC Leak 会在虚拟化环境中构成巨大威胁,但管理程序通常不会将本地 APIC 寄存器暴露给虚拟机,从而消除了基于云的场景中的威胁。” 

专家们使用 100 个不同的随机密钥测试了 ÆPIC Leak 问题,并试图通过一次攻击来泄露 AES 密钥。结果是完整的密钥恢复平均需要 1.35 秒

(n = 100,σ = 15.70%),成功率为 94%

该漏洞使具有权限的攻击者能够在目标机器上执行特权本机代码以提取私钥,并且更糟糕的是破坏证明,这是 SGX 中用于确保代码和数据完整性的安全原语的基石。“我们展示了允许泄露内存和寄存器中的数据的攻击。我们展示了 ÆPIC Leak 如何完全打破 SGX 提供的保证,确定性地泄露 AES 密钥、RSA 私钥,并提取 SGX 密封密钥以进行远程认证。”

研究人员还提出了几种固件和软件缓解措施,以防止 ÆPIC Leak 泄露敏感数据或完全防止 ÆPIC Leak。

英特尔已经发布了固件更新以解决该漏洞。

随着研究人员展示了对影响 AMD Zen 1、Zen 2 和 Zen 3 微架构的调度程序队列的首次侧信道攻击 (CVE-2021-46778),攻击者可能会滥用该攻击来恢复 RSA 密钥。

该攻击代号为 SQUIP(Scheduler Queue Usage via Interference Probing 的缩写),需要测量调度程序队列的争用级别,以潜在地收集敏感信息。

尚未发布任何安全更新来修补攻击线,但该芯片制造商建议 “软件开发人员采用现有的最佳实践,包括恒定时间算法并在适当的情况下避免依赖秘密的控制流。”

]]>
因收集Android 位置数据,Google被罚六千万美元 Wed, 22 May 2024 14:11:54 +0800 近日,澳大利亚公平竞争和消费者委员会(ACCC)发布消息称,谷歌2017年1月至2018年 12 月的时间里,存在收集和使用其位置数据并误导澳大利亚 Android 用户,被处以6000万美元(约合人民币2.88亿元)罚款。

澳大利亚竞争监管机构表示,这家科技巨头继续跟踪其部分用户的 Android 手机,尽管他们在设备设置中禁用了“位置历史记录”。但实际情况是,谷歌在默认情况下会打开另一个名为“Web & App Activity”的帐户设置使公司能够“收集、存储和使用个人可识别的位置数据”。

AC