顶象首期业务安全月报来了!
导语:随着数字化的深入普及,业务愈加开放互联。企业的关键数据、用户信息、基础设施、运营过程等均处于边界模糊且日益开放的环境中,涉及利益流和高附加值的业务面临多样的安全隐患,随时可能遭遇损失,进而影响企业运营和发展。
一方面,业务安全隐患形式多样,在电商、支付、信贷、账户、交互、交易等形态的业务场景中,存在着各类等欺诈行为;另一方面,欺诈行为日益专业化、产业化,且具有团伙性、复杂性、隐蔽性和传染性等特点。
为了让大家更全面的了解业务安全的风险,顶象自本月起将针对每月的业务安全热点事件进行盘点总结。
一、国内业务安全热点
WPS被爆删除用户本地文件
7 月 11 日,“WPS 被曝会删除用户本地文件”话题登上热搜,引起网友热议。
当日 WPS 官方微博回应称,“删除用户本地文件”属于讹传,系近期一位用户分享的在线文档链接涉嫌违规,WPS 依法禁止了他人访问该链接。关于删除用户本地文件的说法纯属误导,将保留通过法律途径维护合法利益的权利。
7 月 13 日,针对近日网传的“WPS 删除用户本地文件”“侵犯用户隐私”等言论,WPS再次做出回应称:“WPS 不会对用户的本地文件进行任何审核、锁定或删除等操作。有关网传的“WPS 删除用户本地文件”“侵犯用户隐私”等,均系不实信息,对于因此给公司商誉造成的损失,我们将采取法律手段维护合法权利。”
交通银行人脸识别系统被攻破:6次人脸识别比对,近43万被盗走
7月18日,据中国新闻网报道,诈骗人员先后6次冒充北京一名储户,进行了6次人脸识别比对,均显示“活检成功”,并顺利从其交通银行卡中偷走近43万元。
但此类案件并不是孤例。
据媒体报道,2020年10月至2021年10月间,五大国有银行之一的交通银行,发生了多起疑似与人脸识别漏洞有关的盗刷案。交通银行的人脸识别系统多次被犯罪分子通过活体验证,目前已被多名用户起诉。
2021年,有不法分子利用交通银行的人脸识别授权功能,再通过潜伏在用户手机里的木马病毒拦截短信验证码,盗取了多位用户的银行存款,受害者包括金融行业员工、大厂员工、律师以及公司高管。有用户统计信息后告诉市界,目前至少涉及6名用户被盗刷资金,每户金额从几万到几十万不等,总金额超200万元。
部分用户为了追回自己被盗刷的存款,选择将交通银行诉至法庭,但在今年6底,却收到了法院对交通银行“未见存在明显的过错和过失”的一审判决,驳回用户全部诉讼请求。
滴滴被罚80.26亿
7月21日,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
经查明,滴滴公司共存在16项违法事实,归纳起来主要是8个方面。
一是违法收集用户手机相册中的截图信息1196.39万条;
二是过度收集用户剪切板信息、应用列表信息83.23亿条;
三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;
四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;
五是过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;
六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;
七是在乘客使用顺风车服务时频繁索取无关的“电话权限”;
八是未准确、清晰说明用户设备信息等19项个人信息处理目的。
最高法:依法严惩强制“二选一”、大数据杀熟、低价倾销、强制搭售等行为
7月25日,最高人民法院发布了《关于为加快建设全国统一大市场提供司法服务和保障的意见》,其中提出,加强对平台企业垄断的司法规制,及时制止利用数据、算法、技术手段等方式排除、限制竞争行为,依法严惩强制“二选一”、大数据杀熟、低价倾销、强制搭售等破坏公平竞争、扰乱市场秩序行为,防止平台垄断和资本无序扩张。
二、国外业务安全热点
IBM数据泄露成本报告发布,网络钓鱼成主因
近期,IBM发布了最新的数据泄露成本报告,据报告称,目前全球数据泄露的平均成本为435万美元,过去两年数据泄露成本增加了近13%,创下历史新高。数据泄露成本报告是IBM的年度重磅事项,至今已经是该报告发布的第17年。今年的数据泄露成本报告是根据2021年3月至2022年3月期间对17个国家/地区的550家企业的调研编制而成的。
与去年报告相比,今年的整体数据有2.6%的增长,同时,据IBM称,消费者也正因数据泄露事件而遭受不成比例的痛苦。60%的违规企业在遭受数据泄露事件后反而提高了其产品价格,约等于变相加剧了全球通胀的速度。
网络钓鱼成为代价最高的数据泄露原因,受害企业的平均成本为490万美元,而凭据泄露是最常见的原因(19%)。连续第12年,医疗行业都是数据泄露成本最高的行业,而且还在快速增长中。2022年医疗行业的平均违规成本增加了近100万美元,达到创纪录的1010万美元。在众多国家中,美国仍然是数据泄露事件里损失最昂贵的国家,平均违规成本达到了940万美元。
UNI token空投钓鱼攻击成功窃取Uniswap 800万美元
7月11日,有Uniswap用户遭遇空投钓鱼攻击,累计被窃取7,574 ETH,价值约800万美元。Uniswap称协议本身是安全的,没有漏洞。
Uniswap是一家去中心化的加密货币交易所,Uniswap是基于以太坊的协议,旨在促进ETH和ERC20 代币数字资产之间的自动兑换交易,可以在以太坊上自动提供流动性。
空投(airdrop),就是免费给区块链地址(公钥)发送代币。攻击者使用免费UNI token空投作为诱饵,诱使用户授权一个给与攻击者其钱包完全访问权限的交易。钓鱼攻击者创建了一个ERC token,并将其映射到持有UNI token的73399个用户。
Premint NFT遭史上最大NFT黑客攻击
7月18日,据外媒报道,知名NFT平台Premint NFT遭到入侵,攻击者占领了其官方网站,并盗取了314个NFTs。据区块链安全公司CertiK的专家称,这是有历史记录以来最大的NFT黑客攻击之一。
专家们的分析显示,威胁者向Premint NFT官网植入了一个恶意的JavaScript代码。该脚本被设计为指示用户在将其钱包连接到该网站时 "为所有人设置审批",这种方式使攻击者能够访问他们的加密货币资产。
CertiK在对外的事件声明报告中写道:“虽然由于域名服务器已经失效,恶意文件不再可用,但攻击的影响在链上仍然有迹可循。总共有六个外部拥有的账户(EOAs)与这次攻击直接相关,大约有275个ETH被盗(价值约37.5万美元)。”
Tor 浏览器迎重大更新,可自动绕过互联网审查
7月18日,Tor 项目团队宣布发布 Tor 浏览器 11.5版本,而此次更新就只有一个目的——帮助用户自动绕过互联网审查。
众所周知,Tor 浏览器专为通过洋葱路由器 (Tor) 网络访问网站而创建,被业界称之为“暗网世界大门钥匙”,在密码学层面很难破译。通过Tor浏览器访问Internet,就如同带着面具参加舞会,无人可知用户的真实身份。而此次Tor 浏览器的更新则进一步强化了这一功能,大大降低了用户匿名访问的门槛。
它通过通过网络上的节点路由流量并在每一步对其进行加密来实现这一点,连接通过一个出口节点到达目的地,该出口节点用于将信息中继回用户。
App Store存在大量欺诈应用,数百万iOS用户受影响
7月20日,据外媒报道,苹果官方表示每天审核超过 10 万款新应用和应用更新申请,而严苛的审查制度让其只有 60% 可以通过上架。即便如此,App Store 依然充斥着大量欺诈类应用,为这些应用的开发者带来大量收入的同时,由于 30% 的佣金让苹果也分得其中一杯羹。