打开微信扫一扫
一、近期,浙江温州公安网安部门查处了一起某大药房 “ 内鬼 ” 侵犯公民个人信息案。温州网安部门在日常工作中发现有人在暗网上售卖温州某大药房销售数据。通过侦查发现,该大药房数据分析师利用工作便利将大量交易数据导出并售卖。温州网安在依法对该数据分析师采取刑事强制措施的同时,启动 “ 一案双查 ” 工作机制。
经进一步侦查发现,该大药房因未建立健全全流程数据安全管理制度,未组织开展数据安全教育培训,未采取相应的技术措施和其他必要措施保障数据安全,最终导致大量敏感数据泄露。该大药房数据分析师因违反《中华人民共和国刑法》第二百五十三条之一之规定,涉嫌侵犯公民个人信息罪被温州公安机关依法刑事拘留,现案件还在进一步办理中。同时,温州公安机关依据《中华人民共和国数据安全法》第二十七条、第四十五条之规定,对该公司处罚款 110 万元,对该大药房直接负责的主管人员处罚款 10 万元。
二、 Lockbit 对工商银行美国子公司勒索软件攻击事件负责。近日,中国工商银行( ICBC )的美国全资子公司工银金融服务有限责任公司( ICBCFS )在官网发布申明称 11 月 8 日遭受了勒索软件攻击,导致部分系统中断。据彭博社报道,对工商银行美国子公司的攻击已经扰乱了美国国债市场。证券行业和金融市场协会周四的一份声明显示,由于工商银行遭到勒索软件的攻击,无法代表其他市场参与者结算国债交易,这可能对美国国债的流动性产生巨大影响,并可能引发监管审查。据安全研究平台 VXunderground 本周五透露, LockBit 组织代表在 Tox 上公开确认对攻击负责,但否认自己是俄罗斯黑客组织。 LockBit 提供勒索软件即服务( RaaS ),是 2023 年最多产的勒索软件组织,其受害者名单不乏世界知名企业和机构,例如 IT 巨头埃森哲、波音、曼谷航空、英国皇家邮政、德国大陆集团、伦敦市政府等。交易攻击发生后,由于被攻击的系统被隔离断网,工行总部和其他海外分支机构并未受到影响,但也导致工银金融无法清算待处理的美国国债交易,被迫通过 U 盘发送结算数据。虽然工行尚未公布调查结果,但安全专家 Kevin Beaumont 推测,攻击者可能利用了 CitrixBleed 漏洞( CVE-2023-4966 )。 Beaumont 表示,工银金融的 Citrix 服务器最后一次上线是在周一,攻击发生后离线,工银金融可能没有对其 Citrix NetScaler Gateway 网关设备中的漏洞进行修补。瑞典网络安全公司 Truesec 的创始人马库斯 · 穆雷 (Marcus Murray) 表示: “ 工商银行遭遇勒索软件攻击对全球大型金融企业来说是一次重大冲击。从今天开始,中国工商银行的黑客事件将迫使全球大型银行竞相提高防御能力。 ”Truesec 威胁情报专家马蒂亚斯 · 瓦伦表示,针对中国公司的勒索软件攻击很少见,部分原因是中国禁止了与加密货币相关的交易。这使得受害者更难支付赎金,而勒索软件组织通常要求受害者通过加密货币支付赎金。但瓦伦表示,最新的攻击可能暴露了工商银行的防御弱点。多名业内人士一致认为,金融业向来是网络安全能力成熟度最高的行业之一,今年 ION 和工银金融的重大黑客事件凸显了各国包括金融机构在内的关键基础设施面临的攻击风险正与日俱增。
三、俄罗斯储蓄银行遭受 100 万 RPS DDoS 攻击。近日, Bleeping Computer 网站消息,俄罗斯国有储蓄银行 Sberbank 在一份新闻稿中表示,两周前,该银行遭遇了强大的分布式拒绝服务( DDoS )攻击。据悉,俄罗斯储蓄银行是一家国有银行和金融服务公司,也是俄罗斯最大的金融机构,拥有俄罗斯三分之一的资产。俄罗斯与乌克兰军事冲突爆发后, Sberbank 银行面临国际封锁和制裁,并多次成为西方黑客组织攻击的目标。从俄罗斯媒体 Interfax 的报道内容来看,此次攻击达到每秒 100 万次请求( RPS ),大约是此前俄罗斯联邦储蓄银行遭遇过的最强大 DDoS 攻击的四倍。 Sberbank 方面相关负责人表示,其内部安全人团发现此次网络攻击背后的黑客组织是一些 “ 新面孔 ” ,由此可推测网络世界可能又出现了一些新的、非常有 “ 技术特色 ” 的网络罪犯,并且这些人早就开始系统地攻击俄罗斯相关资源。 DDoS 是网络犯罪分子惯有的一种攻击手段,对网络环境产生了恶劣的影响。从以往案例里来看,虽然每秒 100 万次请求( RPS )看起来挺 “ 唬人 ” ,但还是它无法与此前破纪录的 DDoS 攻击相比。据悉,在某次 DDoS 攻击案例中,网络攻击者使用新的 “HTTP/2 快速重置 ” 技术,造成的后果比俄罗斯联邦储蓄银行经历的影响大一百倍。值得注意的是,早在 2022 年 5 月份,俄罗斯联邦储蓄银行就宣布过其受到前所未有的黑客攻击,包括针对其在线客户服务的大规模 DDoS 攻击。 随后, Sberbank 银行表示其成功击退了一次 450GB/ 秒的 DDoS 攻击。(攻击是由 27000 台受损设备组成的僵尸网络产生)此外,俄罗斯金融系统近期遭受的网络攻击涉及到 Mir 卡运营商国家支付卡系统( NSPK ),其网站于 2023 年 10 月 30 日突然不可用,后来被篡改,发布了有关影响客户的数据泄露的消息。对此, NSPK 告诉媒体,鉴于网站没有存储敏感信息,攻击者不可能窃取任何敏感的客户数据,并向客户保证,网络攻击没有影响支付系统。然而, TheRecord 后来报道称,来自 “DumpForums” 组织和乌克兰网络联盟的黑客分子主动为次攻击负责,并声称窃取了 31 GB 的数据。
四、每条价格仅 1 美分,美国军人敏感信息正被低价售卖。近日,杜克大学于 11 月 6 日发布的的一项新研究报告表明,网络攻击者可以轻松地从数据经纪人手中,以低廉的价格获取有关美国军人的敏感信息。数据经纪人收集和汇总信息,然后直接或通过利用数据的服务出售、许可或共享信息。数据经纪人包括 Equifax 和 Experian 等信用报告机构、 Acxiom 等营销公司以及 Verisk 等数据分析和风险评估公司。该领域的另一个主要参与者是移动应用程序,它们通常在用户不知情或不同意的情况下收集用户信息并将其出售给第三方。数据经纪人收集和出售的信息广泛,包括姓名、政治偏好、家庭和电子邮件地址、 GPS 位置、财务状况和健康信息等。 此类信息对于攻击者而言非常有用,可对目标进行跟踪、诈骗、勒索、等行动。对于军人来说,这些数据的暴露可能会对国家安全构成风险。杜克大学的研究人员发现,在许多情况下,获取在役军人和退伍军人的信息既简单又便宜,经纪人会专门宣传此类数据。研究人员联系了美国的十几家经纪人,购买了军人信息。他们发现经纪人用来验证客户身份的方法不一致,并指出这些做法高度不受美国政府监管。虽然一些经纪人拒绝将数据出售给未经验证的组织,但其他经纪人更感兴趣的似乎是确保数据购买的机密性,而不是实际数据的机密性。 当购买数千条记录时,研究人员设法以每条 0.12 美元的价格获取到了敏感信息,而对于更大数量购买,价格甚至可以低至每条 0.01 美元。研究人员尝试使用美国域名和已链接到新加坡 IP 地址的 .asia 域名购买数据,发现即使使用 .asia 域名,一些经纪人也同意提供数千条记录,包括地理围栏到华盛顿特区、北卡罗来纳州布拉格堡、弗吉尼亚州阿皮山堡和匡蒂科等战略地点的数据。研究人员在报告中认为,一些国家间的间谍活动对美国军方的数据尤其感兴趣,建议立法者通过一项全面的隐私法,对数据经纪生态系统进行强有力的控制,并建议国会向能够执行新政策的监管机构提供更多资金。