1月业务安全月报
导语:随着数字化的深入普及,业务愈加开放互联。企业的关键数据、用户信息、基础设施、运营过程等均处于边界模糊且日益开放的环境中,涉及利益流和高附加值的业务面临多样的安全隐患,随时可能遭遇损失,进而影响企业运营和发展。
为了让大家更全面的了解网络安全的风险,顶象自7月起将针对每月值得关注的安全技术 和事件,包括业务安全、内容安全、移动安全等进行盘点总结。
国内安全热点
数据安全
历时500多天,滴滴宣布恢复新用户注册
1月16日下午,滴滴出现官方微博发文称,“一年多来,我公司认真配合国家网络安全审查,严肃对待审查中发现的安全问题,进行了全面整改。经报网络安全审查办公室同意,即日起恢复“滴滴出行”的新用户注册。后续,公司将采取有效措施,切实保障平台设施安全和大数据安全,维护国家网络安全。
据此前媒体报道,网信办2021年7月对滴滴出行启动网络安全审查。“滴滴出行”停止新用户注册,并在应用商店下架。2022年7月,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
截至目前,目前苹果、小米、华为、OPPO等手机应用市场上,滴滴出行旗下APP尚未恢复上架,只能在过去已下载的App中进行新用户注册。有业内人士表示,随着滴滴恢复新用户注册,后续包括滴滴出行等APP,应该会陆续恢复。
知名航空公司被黑,多位台湾名人个人信息疑外泄
1月15日消息,台湾中华航空股份有限公司(下简称“华航”)被发现疑似遭遇黑客攻击,导致大批旅客资料外泄到互联网上,其中包括赖清德、张忠谋、林志玲等数十位政商名人、知名艺人。
据网传图片显示,境外某黑客论坛分别在1月4日和1月11日泄露了数十名疑似“华航”旅客的资料,其中包括民进党当局副领导人赖清德、台积电创办人张忠谋、台当局交通部门负责人王国材、台当局外事部门负责人吴钊燮,以及艺人林志玲、徐若瑄等。泄露的信息涵盖了旅客姓名、生日、邮箱地址和手机号码等。
1月4日首次疑似旅客资料泄露事件发生后,1月7日,“华航”发表声明称收到匿名网络勒索邮件,并在第一时间启动了应急防御措施并报警。“华航”称没有出现旅客资料遭遇不当使用的情况。1月11日,疑似泄露资料的黑客再次公布了一批旅客资料。黑客称,由于“华航”迟迟不承认旅客资料泄露,将持续公布黑客入侵路径、“华航”系统清单以及300万会员的资料库等。
1月14日,“华航”发布声明称,经过清查,目前网上流传的疑似泄露的旅客资料与该公司的资料库不尽相符。“华航”再次强烈谴责非法行为,将全力配合警方进行调查。“华航”还提醒旅客定期修改密码,保护好个人资料安全。
业务安全
公安部:2022 年关闭 537 万个“网络水军”账号
1月 9 日消息,公安部网安局表示,2022 年,全国公安机关网安部门深入推进“净网 2022”专项行动,截至 2022 年 12 月底,共侦办案件 8.3 万起,针对“网络水军”违法犯罪,组织对造谣引流、舆情敲诈、刷量控评、有偿删帖 4 类常见“网络水军”违法犯罪发起集群战役,侦破“网络水军”案件 550 余起,关闭“网络水军”账号 537 万个,关停“网络水军”非法网站 530 余个,清理网上违法有害信息 56.4 万余条,有效净化了网络环境。
同时,针对不法分子恶意窃取公民个人信息用于实施犯罪等突出情况,始终保持高压严打态势,聚焦恶意窃取中小学生、老年人等群体个人信息,非法侵入计算机系统获取个人信息,非法窃取快递信息,以及网上非法倒卖公民个人信息等重点方向全力开展侦查攻坚,累计侦办侵犯公民个人信息案件 1.6 万余起,有力维护了公民个人信息安全。
针对智能化、隐蔽式的网络攻击活动,坚持下先手棋、打主动仗,聚焦打击僵尸网络及 DDOS 攻击、勒索病毒以及针对民生领域的黑客攻击、技术型帮助犯罪活动,集中研判、集群作战,累计侦办案件 1300 余起,有力维护了网络空间安全。
针对不法分子非法生产、销售窃听窃照专用器材,偷拍群众隐私并网上传播售卖等严重侵犯人民群众隐私违法犯罪活动,组织开展严打窃听窃照、偷拍偷窥集群战役,累计侦办案件 340 余起,打掉非法窃听窃照专用器材生产窝点 90 余个,缴获窃听窃照专用器材 14.1 万件,有力打击了此类犯罪活动。
针对为电信网络诈骗、网络赌博等犯罪提供非法支付结算、技术支持、推广引流、物料支撑的黑产,持续开展专项打击整治,侦破相关案件 3.1 万起,打掉各类犯罪团伙 8700 余个,有效防止了网络黑产犯罪蔓延扩散。
此外,针对为各类网络违法犯罪提供关键物料支撑的网络黑号,深入开展“断号”集中打击整治行动,重拳打击恶意注册、贩卖网络黑号的卡商、号商、打码接码平台等犯罪团伙,侦破相关案件 1.1 万起,捣毁“猫池”窝点 800 余个,缴获“猫池”、GOIP 等黑产设备 1.1 万台,关停接码平台 130 余个,查扣手机黑卡 240 万张,查获网络黑账号 4200 余万个。
移动安全
北京市通信管理局通报 29 款问题 App,高途、考虫等在列
1 月 10 日消息,据工业和信息化部官微“工信微报”,依据相关法律法规,北京市通信管理局持续开展 App 隐私合规和网络数据安全专项整治。通报中存在侵害用户权益和安全隐患等问题的 29 款 App。
其中,21 款 App 存在不同类型问题需整改,相关 App 运营企业需立即整改,并于 1 月 18 日前提交整改报告,逾期不整改或整改不到位的,将依法依规予以处置;
浙江省网信办依法集中查处一批侵犯个人信息合法权益的违法违规App
近期,浙江省网信办依据《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规规定,依法查处“诺言”等173款违法违规App。经查,“诺言”等173款App存在频繁索要非必要权限、未告知相关个人信息处理规则、违反必要原则收集、未经用户同意收集使用个人信息等问题,依法责令限期50日完成整改,逾期未完成整改的,依法予以下架处置。
网安政策
十六部门:加快数据安全技术与人工智能、大数据、区块链等新兴技术的交叉融合创新
1 月 13 日消息,据工信部网站,工业和信息化部等十六部门发布关于促进数据安全产业发展的指导意见。
意见提出,到 2025 年,数据安全产业基础能力和综合实力明显增强。产业生态和创新体系初步建立,标准供给结构和覆盖范围显著优化,产品和服务供给能力大幅提升,重点行业领域应用水平持续深化,人才培养体系基本形成。
意见提出,加快数据安全技术与人工智能、大数据、区块链等新兴技术的交叉融合创新,赋能提升数据安全态势感知、风险研判等能力水平。加强第五代和第六代移动通信、工业互联网、物联网、车联网等领域的数据安全需求分析,推动专用数据安全技术产品创新研发、融合应用。支持数据安全产品云化改造,提升集约化、弹性化服务能力。推动先进适用数据安全技术产品在电子商务、远程医疗、在线教育、线上办公、直播新媒体等新型应用场景,以及国家数据中心集群、国家算力枢纽节点等重大数据基础设施中的应用。推进安全多方计算、联邦学习、全同态加密等数据开发利用支撑技术的部署应用。
附意见全文。
信通院发布《网络立法白皮书 (2022年)》
近年来,网络空间已经成为人们生产生活的新空间,现实空间加速向网络空间全面映射,加快建立网络综合治理体系,推进依法治网已经成为全面依法治国的时代命题和重要组成部分。中国信息通信研究院(以下简称“中国信通院”)在往年《互联网法律白皮书》的基础上,结合全球数字经济发展新趋势,阐述进入新时代我国的网络立法成就,回顾过去一年国内外重要网络立法活动,形成《网络立法白皮书(2022年)》,供社会各界参考。
白皮书确立了“3+1”的网络立法框架,全面梳理了2022年国内外网络立法情况,同时结合发展现状对网络立法趋势进行展望。
国外安全热点
国外网安政策
美国防部计划发起“黑掉五角大楼3.0”漏洞赏金计划
美国防部1月13日宣布将发起“黑掉五角大楼3.0”计划,重点是发现维持五角大楼和相关场地运行操作技术中的漏洞。
“黑掉五角大楼3.0”计划寻求在五角大楼设施相关控制系统(FRCS)网络上执行众包实践,该网络用于管理五角大楼保留区内的机械操作,如主楼内的供暖和空调、五角大楼供暖和制冷厂、模块化办公大楼和停车场等。该计划的总体目标是通过众包获得创新信息安全研究人员的支持,以开展漏洞发现、协调和披露活动,并评估FRCS网络当前的网络安全状况,找出弱点和漏洞,同时提供改善和加强整体安全态势的建议。该计划仅涉及五角大楼FRCS网络中所包含的非机密信息系统和操作技术。鉴于资产的敏感性,参与该计划承包商需要利用技术娴熟且值得信赖的研究人员,相关人员仅限于美国人,且必须符合美国防部制定的资格标准。
数据安全
2亿Twitter用户数据被公开,仅需2美元即可下载
1月5日消息,有黑客在论坛上泄露了含有2.35亿推特用户的数据。援引Cybernews报道,此次泄露的数据大约有 63GB,其中包括用户的姓名、电子邮件地址、粉丝数量和账户创建日期。该数据库甚至是公开的,允许任何人下载它。据《华盛顿邮报》报道,这些记录很可能是在2021年底利用Twitter的一个漏洞泄露的,该漏洞允许掌握电子邮件地址或电话号码的外人在Twitter上找到任何与该信息相匹配的账户。这些查询可以自动化,以检查无限数量的电话号码和电子邮件地址。
据称,这个数据集与11月流传的4亿个数据集相同,但经过清理,去掉重复的数据,总数减少到约2亿条。这些数据是以RAR档案的形式发布的,包括六个文本文件,总大小为59G的数据。
目前已经能够确认许多列出的Twitter个人资料是正确的,但整个数据集并没有得到确认。此外,该数据集并非完整,因为有许多用户没有被发现在此次泄漏中。判断个人信息是否在这个数据集中,高度取决于你的电子邮件地址是否在以前的数据泄露中被曝光。
1月13日,Twitter 在声明中表示,针对媒体报道的用户数据在网上出售问题,公司组织了安全专家,进行彻底调查后,发现没有证据表明泄露的用户数据是利用推特系统漏洞获取的。
沃尔沃汽车泄露200GB用户数据
近日,一位昵称为 IntelBroker 的成员宣布,VOLVO CARS 成为勒索软件攻击的受害者。他声称该公司遭到 Endurance 勒索软件团伙的袭击,攻击者窃取了 200GB 的敏感数据,这些数据现在正在出售。
此次攻击者并未索要赎金反而公开出售这些数据的原因是因为他们并不认为受害人会支付赎金。
在出售的数据包括:数据库访问、CICD 访问、Atlassian 访问、域访问、WiFi 点和登录、身份验证承载、API、PAC 安全访问、员工列表、软件许可证以及密钥和系统文件。
同时,在出售的数据中还包括所有现有车型和未来车型的信息,并发布了一系列截图作为黑客攻击的证据。
目前沃尔沃公司并未对此事件进行回应,因此尚无法确定被泄数据的真实性。但是在2021 年 12 月,瑞典汽车制造商沃尔沃汽车公司透露攻击者从其系统中窃取了研发数据,此后数据并未公开,也没有收到任何勒索信息。因此,此次公开出售的数据尚不清楚是否是2021 年数据泄露事件中的数据,或者是新的数据泄露事件。
奔驰、宝马等汽车品牌存在 API 漏洞,可能暴露车主个人信息
Bleeping Computer 网站披露,近 20 家汽车制造商和服务机构存在 API 安全漏洞,这些漏洞允许黑客进行远程解锁、启动车辆、跟踪汽车行踪,窃取车主个人信息的恶意攻击活动。
据悉,API 漏洞主要影响宝马、罗尔斯、奔驰、法拉利、保时捷、捷豹、路虎、福特、起亚、本田、英菲尼迪、日产、讴歌、现代、丰田和创世纪等其知名汽车品牌。此外,漏洞还影响汽车技术品牌 Spireon 和 Reviver 以及流媒体服务 SiriusXM。
宝马和奔驰中发现了最严重的 API 漏洞,这些漏洞受到 SSO(单点登录)漏洞的影响,攻击者可以利用访问内部业务系统。例如在对梅赛德斯-奔驰的测试中,研究人员可以访问多个私有 GitHub 实例、Mattermost 上的内部聊天频道、服务器、Jenkins 和 AWS 实例,并成功连接到客户汽车的 XENTRY 系统等。
安全公司披露可窃取用户敏感信息的谷歌 Chrome 浏览器高危漏洞
1 月 15 日消息,网络安全公司 Imperva Red 近日披露了存在于 Chrome / Chromium 浏览器上的漏洞细节,并警告称全球超过 25 亿用户的数据面临安全威胁。
该公司表示,这个追踪编号为 CVE-2022-3656 的漏洞可以窃取包括加密钱包、云提供商凭证等敏感数据。
该公司在解释该漏洞如何影响谷歌浏览器时表示,攻击者可以创建一个提供新加密钱包服务的虚假网站。然后,该网站可以通过要求用户下载“恢复”密钥来诱骗用户创建新钱包。
博文中写道:“这些密钥实际上是一个 zip 文件,其中包含指向用户计算机上云提供商凭证等敏感文件或文件夹的符号链接。当用户解压缩并将‘恢复’密钥上传回网站后,攻击者将获得对敏感文件的访问权限”。
微软 GitHub 项目打赏功能不再支持 PayPal 付款
1 月 26 日消息,微软 GitHub 官方博客近日发表简短声明,宣布从 2023 年 2 月 23 日起,GitHub Sponsors 项目打赏功能将不再支持 PayPal 支付方式。赞助人将无法再通过 PayPal 打赏开发者或组织,GitHub 建议赞助人更新支付方式,使用信用卡或借记卡。GitHub 官方对此没有给出更多解释。
此前,PayPal 于 2023 年 1 月 18 日透露,该公司在 2022 年 12 月受到网络攻击,泄露了 34942 条用户个人信息。
网安市场趋势
Canalys:2022年第三季度全球网络安全市场达178亿美元,同比增长16%
科技市场独立分析机构Canalys发布报告称,全球网络安全市场在2022年第三季度仍同比增长15.9%,达到178亿美元。根据报告,网络安全是体量最大的细分类别,占51亿美元,增长14.8%。
迄今为止,北美是最大的网络安全市场,其支出达到96亿美元,占全球总支出的53.8%。同时,北美也是增长最快的市场,达到17.1%。欧洲、中东和非洲地区的网络安全支出达到52亿美元,亚太地区为24亿美元,拉丁美洲为6亿美元。
Canalys 研究:2023 年全球网络安全支出将达 2238 亿美元增长 13%,勒索软件仍是最大威胁
1 月 21 日消息,Canalys 最新预测,2023年全球网络安全支出(包括企业产品和服务)将增长 13.2%,对渠道伙伴来说,仍是关键的增长领域。在理想条件下,2023 年的总支出预计将达到 2238 亿美元,网络安全服务的交付量将超过产品的出货量。
Canalys 分析师表示,“从运营、财务和品牌角度来看,勒索软件仍然是各企业面临的最大威胁。但 ChatGPT 等生成式人工智能模型的出现和滥用,在 2023 年将网络风险提高到另一个水平。
勒索事件
英国多所学校数据遭大规模泄露,教育行业成勒索软件的主目标
在 2022 年发生高校攻击事件后,来自 14 所英国学校的数据被黑客在线泄露。泄露的文件包括学生的 SEN 信息、学生护照扫描件、员工工资表和合同细节。在被攻击的学校拒绝支付赎金要求后,信息被泄露。
据报,攻击和泄露事件是由黑客组织 Vice Society 实施的,该组织针对英国和美国的教育机构进行了多次勒索攻击。
2022 年 10 月,洛杉矶联合学区 (LAUSD)警告称,Vice Society已开始发布从该机构窃取的数据。此前,LAUSD 宣布不会向勒索者付款。
受影响的 14 所英国学校中的许多学校已向家长、学生和教职员工提供了有关该事件的最新信息。
在过去几年中,教育行业一直是勒索软件的主要目标。Sophos 于 2022 年 7 月发布的一份报告发现,56% 的低等教育机构和 64% 的高等教育机构在过去一年受到了勒索软件的攻击。
由于缺乏网络安全投资以及连接到其系统的大量设备等因素,学校和大学已经被网络犯罪分子视为“软目标” ,使敏感的个人和研究数据面临风险。