普普安全資訊一周概覽(0624-0630)

作者:

時(shí)間:
2023-06-30
PART.1
最快僅需兩分鐘,攻擊者能迅速將暴露的敏感信息武器化

據(jù)Cyber News 6月20日消息,云安全公司的研究表明,在針對(duì)云的網(wǎng)絡(luò)攻擊中,攻擊者能夠在短短兩分鐘內(nèi)發(fā)現(xiàn)配置錯(cuò)誤和易受攻擊的資產(chǎn),并立刻開(kāi)始對(duì)其進(jìn)行利用。Orca Security 為此進(jìn)行了為期6個(gè)月的研究,在9個(gè)不同的云環(huán)境中設(shè)置了蜜罐,這些蜜罐旨在模擬錯(cuò)誤配置的資源以吸引攻擊者,每個(gè)蜜罐都包含一個(gè) AWS 密鑰。

隨后,Orca 密切監(jiān)視每個(gè)蜜罐,以觀察攻擊者是否以及何時(shí)會(huì)上鉤,目的是收集對(duì)最常見(jiàn)的目標(biāo)云服務(wù)、攻擊者訪問(wèn)公共或易于訪問(wèn)的資源所需的時(shí)間,以及他們發(fā)現(xiàn)和利用泄露的數(shù)據(jù)所需的時(shí)間。

根據(jù)報(bào)告,GitHub、HTTP和SSH上暴露的敏感信息僅在5分鐘內(nèi)就被發(fā)現(xiàn),AWS S3則在一小時(shí)內(nèi)被發(fā)現(xiàn)。Orca Security 云威脅研究團(tuán)隊(duì)負(fù)責(zé)人 表示,雖然每種資源的策略有所不同,但研究清楚地表明如果,只要敏感信息被泄露,就會(huì)被攻擊者利用。

普普點(diǎn)評(píng)

隨著互聯(lián)網(wǎng)的普及,我們的生活越來(lái)越離不開(kāi)網(wǎng)絡(luò)。然而,網(wǎng)絡(luò)也帶來(lái)了很多安全隱患,其中最嚴(yán)重的就是敏感信息泄露。敏感信息泄露不僅會(huì)對(duì)個(gè)人造成損失,還會(huì)對(duì)企業(yè)和國(guó)家造成重大影響。近些年敏感信息泄露呈現(xiàn)上升趨勢(shì),泄露手段從以黑客入侵等技術(shù)手段為主向技術(shù)手段與收買內(nèi)部員工、內(nèi)部管理不善等非技術(shù)手段結(jié)合并用發(fā)展。


PART.2
因多次索要個(gè)人權(quán)限和信息,星巴克被上海網(wǎng)信辦約談

6 月中旬,國(guó)內(nèi)某新聞媒體披露上海商圈中一家星巴克點(diǎn)餐小程序過(guò)度索客戶信息,僅是點(diǎn) 1 杯咖啡,消費(fèi)者至少被彈窗提示注冊(cè)會(huì)員 3 次,彈窗索要定位授權(quán) 2 次。對(duì)此,上海市網(wǎng)信辦、市市場(chǎng)監(jiān)管局共執(zhí)法人員指出上述問(wèn)題涉嫌違反《個(gè)人信息保護(hù)法》的有關(guān)要求,已要求門店方按時(shí)參加約談,并將指導(dǎo)相關(guān)企業(yè)進(jìn)一步整改。記者調(diào)查期間,顧客掃描星巴克前臺(tái)的二維碼時(shí),頁(yè)面首先跳轉(zhuǎn)出現(xiàn)“掃碼入會(huì) 領(lǐng)券立減”整屏活動(dòng)海報(bào)(這個(gè)無(wú)法直接關(guān)閉),當(dāng)用戶點(diǎn)擊下方“領(lǐng)取”按鈕后,頁(yè)面又直接跳轉(zhuǎn)進(jìn)入“微信用戶一鍵登錄”頁(yè)。

值得一提的是,此時(shí)需要用戶勾選同意相關(guān)隱私政策和綁定協(xié)議,做好這一切后,點(diǎn)擊“登錄”,頁(yè)面下方又彈窗索要手機(jī)號(hào)授權(quán),顯示可用微信手機(jī)號(hào)一鍵綁定或者其他手機(jī)號(hào)快速注冊(cè)成為會(huì)員。一番操作下來(lái),小程序這才跳轉(zhuǎn)出現(xiàn)堂食點(diǎn)單入口,本來(lái)一鍵點(diǎn)擊購(gòu)買,付賬的流程,硬生生的被玩成了“關(guān)卡游戲”。

普普點(diǎn)評(píng)

在大多數(shù)情況下,客戶會(huì)做出一些妥協(xié)讓步,最終把自己的用戶權(quán)限、位置信息、儲(chǔ)存信息、手機(jī)號(hào)等機(jī)密內(nèi)容泄露給平臺(tái)。對(duì)于餐飲行業(yè)過(guò)度、強(qiáng)制收集信息,消費(fèi)者早已深惡痛絕,如果商家一味追求把點(diǎn)餐小程序頁(yè)面處理的過(guò)于花哨,放大突出誤導(dǎo)性文字和圖標(biāo),迎逢平臺(tái)要求,肆意獲取用戶的信息,之后勢(shì)必后遭受消費(fèi)者拋棄。

PART.3
英國(guó)網(wǎng)軍:歐盟長(zhǎng)子,抱上美國(guó)大腿

2023 年 6 月,俄烏軍事沖突來(lái)到僵持階段,雙方在熱武器層面的較量開(kāi)始零敲碎打。但網(wǎng)絡(luò)空間戰(zhàn)場(chǎng)上,一方憑借自家網(wǎng)軍強(qiáng)大戰(zhàn)斗力,一方站在歐美網(wǎng)軍肩膀上,彼此之間角力愈發(fā)精彩,僅 2023 年就展開(kāi)數(shù)十次交鋒。俄羅斯網(wǎng)軍建制化部署早、經(jīng)驗(yàn)足,作戰(zhàn)能力尤為突出。雖然烏克蘭自身網(wǎng)絡(luò)戰(zhàn)實(shí)力不濟(jì),但背靠歐美網(wǎng)軍,整個(gè)軍事沖突期間竟”不落下風(fēng)“,其中歐美國(guó)家支持力度最大,”叫“的最響的當(dāng)屬英國(guó)。俄烏軍事沖突中網(wǎng)絡(luò)戰(zhàn)戰(zhàn)略地位大大“刺激”了英國(guó)政府的敏感神經(jīng),后者開(kāi)始重新審視網(wǎng)絡(luò)戰(zhàn)在軍事沖突中的戰(zhàn)術(shù)地位。論及自身網(wǎng)絡(luò)戰(zhàn)實(shí)力,英國(guó)網(wǎng)軍雖”冠絕歐盟“,但相比中美俄則略顯“雞肋”?;诖?,2022 年 12 月 15 日,英國(guó)當(dāng)局發(fā)布 2022 年新版《國(guó)家網(wǎng)絡(luò)戰(zhàn)略》,相較前幾版又再次拔高對(duì)網(wǎng)絡(luò)空間的重視程度,力爭(zhēng)在《國(guó)家網(wǎng)絡(luò)戰(zhàn)略》加持下,建設(shè)一只足以改變戰(zhàn)爭(zhēng)格局,震懾其它國(guó)家的網(wǎng)軍。

普普點(diǎn)評(píng)

信息技術(shù)迅速發(fā)展,網(wǎng)絡(luò)安全問(wèn)題已經(jīng)蔓延到軍事、政治、經(jīng)濟(jì)、文化、科技等各個(gè)方面,其中軍事層面對(duì)于社會(huì)發(fā)展的影響最為深刻,網(wǎng)絡(luò)戰(zhàn)已成為第五維空間領(lǐng)域的實(shí)際戰(zhàn)斗形式,甚至能夠決定戰(zhàn)爭(zhēng)走勢(shì)。如果一個(gè)國(guó)家沒(méi)有戰(zhàn)斗力強(qiáng)悍的網(wǎng)軍,構(gòu)建起多層次、立體化的網(wǎng)絡(luò)安全保障體系,一旦網(wǎng)絡(luò)戰(zhàn)真正來(lái)臨那天,便只能乖乖立正,準(zhǔn)備挨打了。

PART.4
被罰百萬(wàn)!為政府部門開(kāi)發(fā)系統(tǒng)造成數(shù)據(jù)泄露

根據(jù)“公安部網(wǎng)安局”微信公眾號(hào)發(fā)布的消息,2023年3月,浙江溫州公安網(wǎng)安部門在查處一起涉數(shù)據(jù)安全違法案件時(shí)發(fā)現(xiàn)問(wèn)題。浙江某科技有限公司為浙江某縣級(jí)市政府部門開(kāi)發(fā)運(yùn)維信息管理系統(tǒng)的過(guò)程中,在未經(jīng)建設(shè)單位同意的情況下,將建設(shè)單位采集的敏感業(yè)務(wù)數(shù)據(jù)擅自上傳至租用的公有云服務(wù)器上,且未采取安全保護(hù)措施,造成了嚴(yán)重的數(shù)據(jù)泄露。浙江溫州公安機(jī)關(guān)根據(jù)《中華人民共和國(guó)數(shù)據(jù)安全法》第四十五條的規(guī)定,對(duì)公司及項(xiàng)目主管人員、直接責(zé)任人員分別作出罰款100萬(wàn)元、8萬(wàn)元、6萬(wàn)元的行政處罰。針對(duì)建設(shè)單位失管失察、未履行數(shù)據(jù)安全保護(hù)職責(zé)的情況,當(dāng)?shù)丶o(jì)委監(jiān)委依照《溫州市黨委(黨組)網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施細(xì)則》規(guī)定,對(duì)建設(shè)單位主要負(fù)責(zé)同志、部門負(fù)責(zé)人等4人分別作出批評(píng)教育、誡勉談話和政務(wù)立案調(diào)查等追究問(wèn)責(zé)決定。下一步,公安機(jī)關(guān)將持續(xù)貫徹落實(shí)《網(wǎng)絡(luò)安全法》等法律法規(guī),全方位加強(qiáng)網(wǎng)絡(luò)安全監(jiān)督檢查。

普普點(diǎn)評(píng)

在信息網(wǎng)絡(luò)無(wú)處不在的新形勢(shì)下,網(wǎng)絡(luò)安全成為一個(gè)關(guān)乎國(guó)家安全、國(guó)家主權(quán)和每一個(gè)互聯(lián)網(wǎng)用戶權(quán)益的重大問(wèn)題。應(yīng)該持續(xù)貫徹落實(shí)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等法律法規(guī),全方位加強(qiáng)網(wǎng)絡(luò)安全監(jiān)督檢查,持續(xù)高壓嚴(yán)打違法行為,指導(dǎo)監(jiān)督網(wǎng)絡(luò)運(yùn)營(yíng)者依法履行安全保護(hù)責(zé)任和義務(wù),做好源頭防控,減少違法犯罪發(fā)生,堅(jiān)決維護(hù)國(guó)家網(wǎng)絡(luò)安全和數(shù)據(jù)安全。

PART.5
既能挖礦又能竊取敏感信息,《超級(jí)馬里奧》游戲被植入惡意軟件

據(jù)BleepingComputer 6月25日消息,堪稱經(jīng)典的《超級(jí)馬里奧 3:永遠(yuǎn)的馬里奧》游戲正被網(wǎng)絡(luò)攻擊者植入惡意軟件,導(dǎo)致眾多玩家設(shè)備受到感染。《超級(jí)馬里奧 3:永遠(yuǎn)的馬里奧》游戲一經(jīng)推出便頗受歡迎,被認(rèn)為是既保留了馬里奧系列的經(jīng)典機(jī)制,又具有更現(xiàn)代化的圖形、造型和聲音,目前已經(jīng)發(fā)布多個(gè)后續(xù)版本,修復(fù)了錯(cuò)誤并進(jìn)行了改進(jìn)。但Cyble的研究人員發(fā)現(xiàn),攻擊者正在分發(fā)安裝程序的修改樣本,并通過(guò)游戲論壇、社交媒體群組、惡意廣告等渠道進(jìn)行分發(fā)。研究人員觀察到這些惡意游戲文件包含3個(gè)可執(zhí)行文件,其中1個(gè)用于安裝正常的游戲(“super-mario-forever-v702e.exe”),另外兩個(gè)“java.exe”和“atom.exe”則會(huì)被安裝到受害者的 AppData中的游戲安裝目錄,用來(lái)運(yùn)行 XMR (Monero) 挖礦程序和 SupremeBot 挖礦客戶端。

普普點(diǎn)評(píng)

安全專家建議,如果用戶最近下載了這款游戲,應(yīng)盡快對(duì)設(shè)備進(jìn)行惡意軟件掃描,刪除檢測(cè)到的任何惡意軟件,并在檢測(cè)到惡意軟件后,將存儲(chǔ)的任何敏感密碼信息重置,并使用密碼管理器進(jìn)行存儲(chǔ)。

同樣,下載游戲或任何軟件時(shí),要確保從經(jīng)認(rèn)證的發(fā)行方網(wǎng)站或權(quán)威數(shù)字內(nèi)容分發(fā)平臺(tái)等官方來(lái)源進(jìn)行下載。

PART.6
出資2000萬(wàn)美元!谷歌將在全美推廣免費(fèi)網(wǎng)絡(luò)安全診所

近日,谷歌聲明將投入2000萬(wàn)美元,用于在美國(guó)各地開(kāi)設(shè)更多的網(wǎng)絡(luò)安全實(shí)踐診所,以幫助填補(bǔ)美國(guó)的網(wǎng)絡(luò)安全勞動(dòng)力缺口,并在不斷變化的威脅面前保持領(lǐng)先地位。周四(6月22日),Alphabet和谷歌首席執(zhí)行官Sundar Pichai在華盛頓特區(qū)的一次活動(dòng)上與美國(guó)網(wǎng)絡(luò)安全診所聯(lián)盟合作宣布了這一計(jì)劃。

Sundar Pichai表示:這筆資金將支持全美20所高等教育機(jī)構(gòu)創(chuàng)建和擴(kuò)大網(wǎng)絡(luò)安全診所。他還提到,人工智能是未來(lái)十年影響國(guó)家安全的最關(guān)鍵技術(shù)之一。這些免費(fèi)診所將為學(xué)生提供更多的學(xué)習(xí)機(jī)會(huì),就像法學(xué)院或醫(yī)學(xué)院在他們的社區(qū)提供免費(fèi)診所一樣。他們不僅為學(xué)生提供學(xué)習(xí)和提高技能的機(jī)會(huì),同時(shí)幫助保護(hù)醫(yī)院、學(xué)校和電網(wǎng)等關(guān)鍵基礎(chǔ)設(shè)施。聯(lián)合會(huì)表示,每個(gè)被選中的學(xué)院、大學(xué)或社區(qū)學(xué)院將獲得高達(dá)100萬(wàn)美元的資金,以增加有興趣從事網(wǎng)絡(luò)安全職業(yè)的學(xué)生的機(jī)會(huì)。同時(shí),實(shí)踐診所內(nèi)的導(dǎo)師將由具有行業(yè)專長(zhǎng)的谷歌員工擔(dān)任。

普普點(diǎn)評(píng)

人工智能是未來(lái)十年影響國(guó)家安全的最關(guān)鍵技術(shù)之一。2022年全球網(wǎng)絡(luò)攻擊的數(shù)量增加了38%,致使政府、醫(yī)院和電網(wǎng)等關(guān)鍵基礎(chǔ)設(shè)施面臨更大風(fēng)險(xiǎn)。一個(gè)國(guó)家需要一支強(qiáng)大的網(wǎng)絡(luò)安全工作隊(duì)伍,以在新的挑戰(zhàn)和不斷變化的威脅面前保持領(lǐng)先地位。建設(shè)一支高效能的網(wǎng)絡(luò)安全管理和技術(shù)人員隊(duì)伍,是有效開(kāi)展網(wǎng)絡(luò)安全工作的實(shí)際需求。

PART.7
2023 Verizon 數(shù)據(jù)泄露報(bào)告:74%安全事件存在人為因素

近日,著名咨詢機(jī)構(gòu)Verizon發(fā)布了《2023年數(shù)據(jù)泄露調(diào)查報(bào)告》。該報(bào)告對(duì)過(guò)去一年發(fā)生的16312起安全事件進(jìn)行分析,以及世界各地的執(zhí)法、政府機(jī)構(gòu)公開(kāi)發(fā)布。據(jù)報(bào)告的數(shù)據(jù)顯示,74%的安全事件被證明存在人的因素,這意味著在過(guò)去一年時(shí)間里,企業(yè)員工正在屢屢出錯(cuò),包括錯(cuò)誤使用權(quán)限、濫用特權(quán)、釣魚攻擊、身份泄露等等。這也反映出社會(huì)工程學(xué)的可怕,對(duì)網(wǎng)絡(luò)罪犯來(lái)說(shuō)利潤(rùn)豐厚。這就是為什么商業(yè)電子郵件入侵(BEC)攻擊幾乎翻了一番,如圖所示,在社會(huì)工程模式中占了50%以上的事件。在web應(yīng)用程序的安全事件中,報(bào)告指出86%的攻擊涉及使用被盜證書,只有10%真正存在一個(gè)實(shí)際的軟件漏洞。事實(shí)上,濫用數(shù)字證書一直是網(wǎng)絡(luò)犯罪分子常用攻擊手法,其目的是讓提高惡意軟件的合法性,從而繞過(guò)企業(yè)的安全防護(hù)措施。在過(guò)去的一年中,超過(guò)32%的Log4j掃描活動(dòng)發(fā)生在其發(fā)布后的30天內(nèi)。

普普點(diǎn)評(píng)

2023年,數(shù)據(jù)泄露事件繼續(xù)狂飆,數(shù)據(jù)泄露、竊取、買賣等安全事件屢屢發(fā)生,全球數(shù)據(jù)安全態(tài)勢(shì)依舊十分嚴(yán)峻。在實(shí)際利益的驅(qū)動(dòng)下,犯罪團(tuán)伙和黑灰產(chǎn)大肆竊取組織數(shù)據(jù),外部攻擊呈現(xiàn)出高頻、高危害的特點(diǎn),攻擊手法日益復(fù)雜、多變。在這樣的情況下,傳統(tǒng)防護(hù)體系難以抵御,如何防護(hù)新型的網(wǎng)絡(luò)攻擊是組織需要解決的難題。