安全周报（06.08-06.14）

安联智库WTX 2020-06-16 11:24:30

1

高校近两万名学生信息被泄露？“在查”

6月6日，郑州西亚斯学院多名学生向澎湃新闻反映，学校近两万学生个人信息被泄露，以表格的形式在微信、QQ等社交平台上流传。对此，该校官方微博在回应学生时称，目前已向公安机关报备，目前正在调查之中。

一名学生告诉澎湃新闻，5月31日，有人在班级微信群中发来两份“返校学生名单”，该名单涉及近两万名学生，信息具体到名字、身份证号、年龄、专业及宿舍门牌号，等等；这些信息源头未知，目前已经传开了，自己也是在其他群里看到的，该学生称，大家怀疑个人信息被恶意泄露了。其在名单中，也找到了自己的信息，“全部准确无误，甚至包括高考准考证号”。另有学生表示，网上流传的文件名为“第1批/2批/3批/4批返校名单”，但目前学生尚未接到正式的返校通知。其猜测，可能是学校准备开学时制作了相关名单，不知通过何种途径泄露了出来。

有学生向澎湃新闻证实，名单泄露的同时，已有学生相继收到部分专升本及“雅思”培训机构的骚扰电话，“对方知道准确的班级、姓名以及专业”。

2

加拿大CPA官网遭网络攻击，近33万人信息泄露

2020年6月5日，根据CP24报道，特许专业会计师(Chartered Professional Accountant)加拿大官方网站上发生的一次网络攻击已经影响了超过329,000名注册会员和相关者的个人信息。

加拿大特许专业会计师机构表示，这些信息包括用户姓名，地址，电子邮件和雇主姓名，但密码和信用卡号受到加密保护，暂未泄露。

该机构警告说泄露的数据可能被不法分子用于电子邮件网络诈骗，并敦促受影响的用户时刻保持警惕。根据网络安全专家的调查发现，此次网络袭击为未经授权的第三方的攻击，袭击发生在11月30日至5月1日之间。

640.webp (15).jpg

3

印度IT公司7年入侵1万多电邮账户，多国政要被殃及

一家鲜为人知的印度IT公司为客户提供黑客服务，在7年时间里对全球超过1万个电子邮件账户进行入侵。

根据该公司的三名前员工披露的信息以及外部研究人员的报告和网上的种种证据，总部位于新德里的BellTroX信息技术服务公司专门瞄准欧洲的政府官员、巴哈马的博彩大亨和以及包括美国私募股权巨头KKR和做空机构浑水在内的著名投资机构。

互联网监督组织Citizen Lab的研究人员花费了两年多时间摸清了黑客使用的基础设施。这些研究人员周二发布报告称，他们“充分相信”BellTroX的员工充当了间谍活动的幕后黑手。“这是有史以来受雇开展的规模最大的间谍活动之一。”

路透社通过查看数据缓存深入研究了这项活动，结果显示，BellTroX在2013至2020年间发送了成千上万条旨在诱骗受害者透露密码的消息。该数据是由黑客使用的网络服务提供商匿名提供给路透社的。

640.webp (16).jpg

4

POS植入病毒？韩国90万张信用卡个人信息遭泄露！

2020年6月9日，韩国《每日经济》报道，韩国信贷金融协会8日表示，据金融保安院调查，韩国约有90万张信用卡信息正在外国网络黑市上非法流通，其中，除有效期到期，补发等情况外，实际可使用的有效信用卡约有41万张。

据确认的加盟店分析结果显示，此次泄露的信用卡信息是韩国引进IC终端机之前通过感染了恶性代码的POS终端等被黑客窃取的（手机POS机是一种RF-SIM卡终端阅读器）。信贷协会方面正在掌握信用卡信息被盗的途径，计划与金融保安院合作对相关加盟店采取保安措施等。此外，协会还计划推进相关信用卡公司对不正当使用事故全额赔偿的方案，最大限度地减少对信用卡持卡人的直接损失。

640 (3).png