普普安全資訊一周概覽(0619-0625)

作者:

時(shí)間:
2021-06-25
普普安全資訊一周概覽(0619-0625)
網(wǎng)絡(luò)安全公司Cognyte泄漏50億條數(shù)據(jù)

近日,網(wǎng)絡(luò)安全公司Cognyte泄漏了50億條數(shù)據(jù)。網(wǎng)絡(luò)安全公司遭遇網(wǎng)絡(luò)攻擊,泄漏安全工具源代碼,甚至成為黑客發(fā)動(dòng)供應(yīng)鏈攻擊的跳板已經(jīng)不是新鮮事,但頗具諷刺意味的是,Cognyte所泄漏的數(shù)據(jù)恰恰是用來提醒客戶注意第三方數(shù)據(jù)泄漏的,而且數(shù)據(jù)規(guī)模驚人。

一名安全研究人員最近在網(wǎng)上發(fā)現(xiàn)了一個(gè)由網(wǎng)絡(luò)安全分析公司Cognyte運(yùn)營的不安全數(shù)據(jù)庫,該數(shù)據(jù)庫采集了從一系列在線數(shù)據(jù)泄漏事件中收集的約50億條記錄,并且無需身份驗(yàn)證即可訪問。存儲(chǔ)的數(shù)據(jù)是Cognyte網(wǎng)絡(luò)情報(bào)服務(wù)的一部分,用于提醒客戶注意第三方數(shù)據(jù)泄漏。具有諷刺意味的是,用于交叉檢查已知數(shù)據(jù)泄漏事件的個(gè)人信息的數(shù)據(jù)庫本身已暴露。這些信息包括姓名、密碼、電子郵件地址和泄漏的原始來源。

Comparitech的安全研究負(fù)責(zé)人Bob Diachenko于5月29日發(fā)現(xiàn)了暴露的數(shù)據(jù),并通知了Cognyte,后者在三天后保護(hù)了數(shù)據(jù)。Cognyte已經(jīng)快速響應(yīng)并阻止了潛在的數(shù)據(jù)暴露。


普普點(diǎn)評(píng):網(wǎng)絡(luò)安全公司的“淪陷”不僅僅表明了黑客攻擊的肆無忌憚,個(gè)人隱私數(shù)據(jù)的價(jià)值,更表明了當(dāng)今網(wǎng)絡(luò)安全體系的單薄。如果不能從更高的層面重視網(wǎng)絡(luò)安全,采取體系化的措施甚至是國家法律手段,那么數(shù)據(jù)泄密、勒索攻擊等網(wǎng)絡(luò)安事件就會(huì)想新冠疫情一樣蔓延。


普普安全資訊一周概覽(0619-0625)
普普安全資訊一周概覽(0619-0625)
兩人因使用爬蟲非法爬取、使用淘寶11.8億用戶數(shù)據(jù)獲罪

近日,河南省商丘市睢陽區(qū)人民法院公布了一份刑事判決書。判決書顯示,被告人逯某長(zhǎng)期使用爬蟲非法爬取淘寶用戶數(shù)據(jù),被告人黎某將該用戶數(shù)據(jù)用于公司經(jīng)營活動(dòng),兩人的行為已構(gòu)成侵犯公民個(gè)人信息罪,分別被判處有期徒刑三年三個(gè)月與有期徒刑三年六個(gè)月。該案件中淘寶遭爬取的這些數(shù)據(jù)包括了用戶的ID、昵稱、注冊(cè)時(shí)間甚至是手機(jī)號(hào),而在阿里巴巴注意到該問題前,已有11.8億條用戶信息數(shù)據(jù)遭泄露。

2020年8月14日淘寶(中國)軟件有限公司報(bào)警稱,在2020年7月6日到2020年7月13日,有黑產(chǎn)通過mtop訂單評(píng)價(jià)接口繞過平臺(tái)風(fēng)控批量爬取加密數(shù)據(jù),爬取字段量巨大,平均每天爬取數(shù)量500萬。警方立案調(diào)查后于2020年8月15日將逯某抓獲歸案。2020年8月21日將黎某抓獲歸案。

自2019年以來,被告人逯某受雇于被告人黎某,作為黎某公司的技術(shù)員,一直在家遠(yuǎn)程辦公,逯某在商丘市睢陽區(qū)其家中利用自己開發(fā)的爬蟲軟件,通過淘寶網(wǎng)頁接口爬取淘寶客戶的信息,并將其中淘寶客戶的手機(jī)號(hào)碼提供給被告人黎某開設(shè)的瀏陽市泰創(chuàng)網(wǎng)絡(luò)科技有限公司用于經(jīng)營活動(dòng)。黎某在收到逯某提供的用戶數(shù)據(jù)后,將這些數(shù)據(jù)導(dǎo)入“微信加人”軟件,將用戶拉入建好的微信群,群里有公司的員工負(fù)責(zé)發(fā)送廣告鏈接。這些淘寶用戶在該公司的微信群里購買商品,該公司則以此收取淘寶網(wǎng)傭金和商家服務(wù)費(fèi),公司從中獲利約34萬元。


普普點(diǎn)評(píng):根據(jù)相關(guān)法律法規(guī),網(wǎng)絡(luò)爬蟲入罪的關(guān)鍵在于訪問、抓取數(shù)據(jù)行為是否獲得許可、授權(quán)。網(wǎng)絡(luò)爬蟲入罪的基本標(biāo)準(zhǔn)是,網(wǎng)絡(luò)爬蟲客觀上有突破數(shù)據(jù)保護(hù)措施的行為,行為人主觀上有突破數(shù)據(jù)保護(hù)措施的故意。同時(shí)此案件也反映出即便國內(nèi)一線的互聯(lián)網(wǎng)大廠阿里巴巴在用戶信息安全方面還需加強(qiáng)。

普普安全資訊一周概覽(0619-0625)
普普安全資訊一周概覽(0619-0625)
Ferocious Kitten APT組織監(jiān)視伊朗公民長(zhǎng)達(dá)六年

卡巴斯基的研究人員報(bào)告,與伊朗有關(guān)的APT組織Ferocious Kitten正在利用即時(shí)通訊應(yīng)用程序和VPN軟件,如Telegram和Psiphon,來分發(fā)Windows RAT并監(jiān)視目標(biāo)設(shè)備。據(jù)悉,該APT組織至少從2015年起就開始竊取受害者的敏感信息,而鎖定這兩個(gè)平臺(tái),是因?yàn)樗鼈冊(cè)谝晾屎苁軞g迎。攻擊活動(dòng)中所采用的誘餌經(jīng)常為政治主題,涉及抵抗基地或打擊伊朗政權(quán)的圖像或視頻,這種情況表明他們攻擊的目標(biāo)是該國境內(nèi)此類運(yùn)動(dòng)的潛在支持者。

此次活動(dòng)被發(fā)現(xiàn),是由于卡巴斯基調(diào)查了2020年7月和2021年3月上傳到VirusTotal的兩個(gè)武器化文件。這兩份文件包含了用于啟動(dòng)多階段感染的宏,旨在部署一個(gè)新發(fā)現(xiàn)的名為MarkiRat的惡意軟件。該惡意軟件允許攻擊者竊取目標(biāo)數(shù)據(jù),記錄擊鍵,下載和上傳任意文件,捕獲剪貼板內(nèi)容,并在受感染的系統(tǒng)上執(zhí)行任意命令。專家們還發(fā)現(xiàn)了Psiphon工具的一個(gè)污點(diǎn)版本,這是一個(gè)用于逃避互聯(lián)網(wǎng)審查的開源VPN軟件。值得重視的是,研究人員發(fā)現(xiàn)該組織的指揮和控制基礎(chǔ)設(shè)施正在托管DEX和APK文件形式的安卓應(yīng)用程序,很可能是該組織為了針對(duì)移動(dòng)用戶所采取的行動(dòng)。


普普點(diǎn)評(píng):這或許是又一起“棱鏡門”事件,但比美國“棱鏡門”事件更可怕的是主導(dǎo)這次監(jiān)聽的是一個(gè)黑客組織。在網(wǎng)絡(luò)時(shí)代,正如習(xí)近平總書記所指出的:“沒有網(wǎng)絡(luò)安全就沒有國家安全。”

普普安全資訊一周概覽(0619-0625)
普普安全資訊一周概覽(0619-0625)
Google推出軟件供應(yīng)鏈安全框架

為了應(yīng)對(duì)不斷升級(jí)的軟件供應(yīng)鏈安全威脅,Google近日推出了一個(gè)軟件供應(yīng)鏈安全框架——SLSA。

熟練的攻擊者們已經(jīng)發(fā)現(xiàn)軟件供應(yīng)鏈才是軟件行業(yè)的軟肋。除了改變游戲規(guī)則的SolarWinds供應(yīng)鏈攻擊之外,Google還指出了最近的Codecov供應(yīng)鏈攻擊,甚至網(wǎng)絡(luò)安全公司Rapid7也成了受害者。

Google將SLSA描述為“用于確保整個(gè)軟件供應(yīng)鏈中軟件工件完整性的端到端框架”。SLSA以Google內(nèi)部的“Borg二進(jìn)制授權(quán)”(BAB)為主導(dǎo)——Google八年來一直使用這一流程來驗(yàn)證代碼出處和實(shí)現(xiàn)代碼身份。Google在一份白皮書中指出,BAB的目標(biāo)是通過確保部署在Google的生產(chǎn)軟件得到適當(dāng)審查來降低內(nèi)部風(fēng)險(xiǎn),特別是當(dāng)這些代碼可以訪問用戶數(shù)據(jù)時(shí)。Google的開源安全團(tuán)隊(duì)的專家指出:“SLSA的目標(biāo)是改善軟件行業(yè)安全狀況,尤其是開源軟件,以抵御最緊迫的完整性威脅。通過SLSA,消費(fèi)者可以對(duì)他們使用的軟件的安全狀況做出明智的選擇?!?/p>


普普點(diǎn)評(píng):SLSA希望鎖定軟件開發(fā)鏈中的所有內(nèi)容,從開發(fā)人員到源代碼、開發(fā)平臺(tái)和CI/CD系統(tǒng)、以及包存儲(chǔ)庫和依賴項(xiàng)。依賴性是開源軟件項(xiàng)目的主要弱點(diǎn),Google為關(guān)鍵的開源軟件開發(fā)提出了新協(xié)議,該協(xié)議需要兩個(gè)獨(dú)立方的代碼審查,并且維護(hù)人員需要使用雙因素身份驗(yàn)證。更高的SLSA級(jí)別將有助于防止類似SolarWinds的軟件供應(yīng)鏈攻擊,以及防范CodeCov攻擊。

普普安全資訊一周概覽(0619-0625)
普普安全資訊一周概覽(0619-0625)
大眾、奧迪泄漏超過350萬用戶數(shù)據(jù)

近日,由于在線銷售數(shù)據(jù)庫公開暴露,超過350萬大眾和奧迪用戶的數(shù)據(jù)遭泄漏。據(jù)ZDnet報(bào)道,大多數(shù)受影響的人是奧迪汽車的當(dāng)前或潛在買家,其中包括16.3萬加拿大和美國用戶。

上周末,大眾公司通告稱2014年至2019年期間的銷售和營銷數(shù)據(jù)處于不安全狀態(tài),關(guān)聯(lián)的第三方供應(yīng)商已被確定為攻擊來源。奧迪和大眾在3月10日被警告稱,“未經(jīng)授權(quán)的第三方”可能訪問了這些信息。大眾汽車表示,用戶的姓名、個(gè)人或企業(yè)郵寄地址、電子郵件地址和電話號(hào)碼可能已在違規(guī)行為中暴露。大眾汽車已將數(shù)據(jù)泄漏一事通知有關(guān)當(dāng)局和執(zhí)法部門。

路透社報(bào)道稱,大多數(shù)記錄僅與電話號(hào)碼和電子郵件地址有關(guān),但是,美國大約9萬名奧迪客戶的敏感數(shù)據(jù)可能已泄漏,例如社會(huì)安全號(hào)碼、賬戶或貸款號(hào)碼。敏感數(shù)據(jù)已暴露的個(gè)人將通過注冊(cè)代碼獲得免費(fèi)信用監(jiān)控。該公司表示,接到的通知中沒有包含注冊(cè)代碼的用戶都被視為敏感信息未遭泄漏,但電子郵件等基本信息泄漏的用戶也需要對(duì)網(wǎng)絡(luò)釣魚郵件保持警惕。此外,釣魚電子郵件或信件也可能發(fā)送給安全事件相關(guān)的非直接客戶或潛在買家。大眾汽車表示:“奧迪和大眾正在與第三方網(wǎng)絡(luò)安全專家合作、評(píng)估和應(yīng)對(duì)這種情況,并已采取措施與相關(guān)供應(yīng)商解決此事。”


普普點(diǎn)評(píng):近年來,多家車企曾發(fā)生信息泄露事件,而汽車數(shù)據(jù)的安全問題也愈發(fā)受到重視。如2017年6月,美國某經(jīng)銷商集團(tuán)數(shù)據(jù)庫遭到攻擊,1000萬輛汽車的銷售數(shù)據(jù)泄露。2018年7月,加拿大汽車供應(yīng)商Level one多達(dá)157GB的數(shù)據(jù)泄露,其中包含員工駕駛證和護(hù)照掃描件等隱私信息。而含有大量車主敏感信息的智能汽車數(shù)據(jù)一旦泄露,恐將會(huì)對(duì)車主造成無法挽回的影響。

普普安全資訊一周概覽(0619-0625)
普普安全資訊一周概覽(0619-0625)
美國核武器合同商遭勒索軟件攻擊

雖然FBI近日成功追繳了輸油管道運(yùn)營商Colonial Pipeline支付給勒索軟件DarkSide的贖金,但這顯然并未嚇阻勒索軟件遠(yuǎn)離關(guān)鍵基礎(chǔ)設(shè)施甚至核武器。近日,美國核武器合同商Sol Oriens遭遇REvil勒索軟件攻擊,攻擊者揚(yáng)言不繳納贖金就將核武器機(jī)密信息泄露給其他國家的軍方。

據(jù)報(bào)道,REvil威脅受害者:“我們?cè)诖吮A魧⑺邢嚓P(guān)文件和數(shù)據(jù)轉(zhuǎn)發(fā)給我們選擇的軍事機(jī)構(gòu)的權(quán)利?!?/p>

位于新墨西哥州阿爾伯克基的Sol Oriens公司是美國能源部(DOE)的分包商,與美國國家核安全局(NNSA)合作開發(fā)核武器,上個(gè)月遭到了勒索軟件攻擊,專家稱該攻擊來自“無情的”REvil勒索軟件的RaaS團(tuán)伙。

據(jù)報(bào)道,至少從6月3日起,Sol Oriens公司的網(wǎng)站就已無法訪問,但Sol Oriens的官員向??怂剐侣労虲NBC證實(shí),該公司上個(gè)月就檢測(cè)到了攻擊。


普普點(diǎn)評(píng):所有行業(yè)各種規(guī)模的公司和組織都需要仔細(xì)審視自己的基礎(chǔ)設(shè)施,并采取一切必要措施來解決那些幾乎總是導(dǎo)致此類攻擊行為的根本問題。

在防火墻處關(guān)閉RDP等面向公眾的服務(wù),在所有內(nèi)部和面向外部的服務(wù)(如 VPN)上啟用多因素身份驗(yàn)證。應(yīng)確保面向互聯(lián)網(wǎng)的設(shè)備和服務(wù)器完全更新已知錯(cuò)誤的補(bǔ)丁或修復(fù)程序,即使這意味需要付出著一些停機(jī)時(shí)間的代價(jià)。

普普安全資訊一周概覽(0619-0625)
普普安全資訊一周概覽(0619-0625)
工信部組織開展攝像頭網(wǎng)絡(luò)安全集中整治

按照中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局 《關(guān)于開展攝像頭偷窺等黑產(chǎn)集中治理的公告》要求,工業(yè)和信息化部網(wǎng)絡(luò)安全管理局近期組織開展攝像頭網(wǎng)絡(luò)安全集中整治。

根據(jù)工作部署,工業(yè)和信息化部網(wǎng)絡(luò)安全管理局組織各地通信管理局、基礎(chǔ)電信企業(yè)、專業(yè)機(jī)構(gòu)及視頻監(jiān)控云平臺(tái)、攝像頭生產(chǎn)企業(yè)等,于6月至8月在全國范圍開展攝像頭網(wǎng)絡(luò)安全集中整治,通過加大聯(lián)網(wǎng)攝像頭安全威脅監(jiān)測(cè)處置力度、開展視頻監(jiān)控云平臺(tái)網(wǎng)絡(luò)和數(shù)據(jù)安全專項(xiàng)檢查、規(guī)范攝像頭生產(chǎn)企業(yè)產(chǎn)品安全漏洞管理等措施,消除攝像頭網(wǎng)絡(luò)安全隱患,保障網(wǎng)絡(luò)安全,維護(hù)公民在網(wǎng)絡(luò)空間的合法權(quán)益。

下一步,工業(yè)和信息化部網(wǎng)絡(luò)安全管理局將加強(qiáng)部省協(xié)同,組織各單位堅(jiān)持標(biāo)本兼治、綜合施策,狠抓任務(wù)落實(shí),確保集中整治工作取得實(shí)效。


普普點(diǎn)評(píng):近年來,隨著信息網(wǎng)絡(luò)的快速發(fā)展和日益普及,攝像頭在人民群眾日常工作、生活中被廣泛應(yīng)用。受經(jīng)濟(jì)利益驅(qū)動(dòng),利用攝像頭安全漏洞侵害公民個(gè)人隱私的活動(dòng)呈快速增長(zhǎng)趨勢(shì),并形成地下產(chǎn)業(yè)鏈,嚴(yán)重危害網(wǎng)絡(luò)安全。