近日，網(wǎng)絡(luò )安全公司Cognyte泄漏了50億條數據。網(wǎng)絡(luò )安全公司遭遇網(wǎng)絡(luò )攻擊，泄漏安全工具源代碼，甚至成為黑客發(fā)動(dòng)供應鏈攻擊的跳板已經(jīng)不是新鮮事，但頗具諷刺意味的是，Cognyte所泄漏的數據恰恰是用來(lái)提醒客戶(hù)注意第三方數據泄漏的，而且數據規模驚人。

一名安全研究人員最近在網(wǎng)上發(fā)現了一個(gè)由網(wǎng)絡(luò )安全分析公司Cognyte運營(yíng)的不安全數據庫，該數據庫采集了從一系列在線(xiàn)數據泄漏事件中收集的約50億條記錄，并且無(wú)需身份驗證即可訪(fǎng)問(wèn)。存儲的數據是Cognyte網(wǎng)絡(luò )情報服務(wù)的一部分，用于提醒客戶(hù)注意第三方數據泄漏。具有諷刺意味的是，用于交叉檢查已知數據泄漏事件的個(gè)人信息的數據庫本身已暴露。這些信息包括姓名、密碼、電子郵件地址和泄漏的原始來(lái)源。

Comparitech的安全研究負責人Bob Diachenko于5月29日發(fā)現了暴露的數據，并通知了Cognyte，后者在三天后保護了數據。Cognyte已經(jīng)快速響應并阻止了潛在的數據暴露。

普普點(diǎn)評：網(wǎng)絡(luò )安全公司的“淪陷”不僅僅表明了黑客攻擊的肆無(wú)忌憚，個(gè)人隱私數據的價(jià)值，更表明了當今網(wǎng)絡(luò )安全體系的單薄。如果不能從更高的層面重視網(wǎng)絡(luò )安全，采取體系化的措施甚至是國家法律手段，那么數據泄密、勒索攻擊等網(wǎng)絡(luò )安事件就會(huì )想新冠疫情一樣蔓延。

近日，河南省商丘市睢陽(yáng)區人民法院公布了一份刑事判決書(shū)。判決書(shū)顯示，被告人逯某長(cháng)期使用爬蟲(chóng)非法爬取淘寶用戶(hù)數據，被告人黎某將該用戶(hù)數據用于公司經(jīng)營(yíng)活動(dòng)，兩人的行為已構成侵犯公民個(gè)人信息罪，分別被判處有期徒刑三年三個(gè)月與有期徒刑三年六個(gè)月。該案件中淘寶遭爬取的這些數據包括了用戶(hù)的ID、昵稱(chēng)、注冊時(shí)間甚至是手機號，而在阿里巴巴注意到該問(wèn)題前，已有11.8億條用戶(hù)信息數據遭泄露。

2020年8月14日淘寶（中國）軟件有限公司報警稱(chēng)，在2020年7月6日到2020年7月13日，有黑產(chǎn)通過(guò)mtop訂單評價(jià)接口繞過(guò)平臺風(fēng)控批量爬取加密數據，爬取字段量巨大，平均每天爬取數量500萬(wàn)。警方立案調查后于2020年8月15日將逯某抓獲歸案。2020年8月21日將黎某抓獲歸案。

自2019年以來(lái)，被告人逯某受雇于被告人黎某，作為黎某公司的技術(shù)員，一直在家遠程辦公，逯某在商丘市睢陽(yáng)區其家中利用自己開(kāi)發(fā)的爬蟲(chóng)軟件，通過(guò)淘寶網(wǎng)頁(yè)接口爬取淘寶客戶(hù)的信息，并將其中淘寶客戶(hù)的手機號碼提供給被告人黎某開(kāi)設的瀏陽(yáng)市泰創(chuàng )網(wǎng)絡(luò )科技有限公司用于經(jīng)營(yíng)活動(dòng)。黎某在收到逯某提供的用戶(hù)數據后，將這些數據導入“微信加人”軟件，將用戶(hù)拉入建好的微信群，群里有公司的員工負責發(fā)送廣告鏈接。這些淘寶用戶(hù)在該公司的微信群里購買(mǎi)商品，該公司則以此收取淘寶網(wǎng)傭金和商家服務(wù)費，公司從中獲利約34萬(wàn)元。

普普點(diǎn)評：根據相關(guān)法律法規，網(wǎng)絡(luò )爬蟲(chóng)入罪的關(guān)鍵在于訪(fǎng)問(wèn)、抓取數據行為是否獲得許可、授權。網(wǎng)絡(luò )爬蟲(chóng)入罪的基本標準是，網(wǎng)絡(luò )爬蟲(chóng)客觀(guān)上有突破數據保護措施的行為，行為人主觀(guān)上有突破數據保護措施的故意。同時(shí)此案件也反映出即便國內一線(xiàn)的互聯(lián)網(wǎng)大廠(chǎng)阿里巴巴在用戶(hù)信息安全方面還需加強。

卡巴斯基的研究人員報告，與伊朗有關(guān)的APT組織Ferocious Kitten正在利用即時(shí)通訊應用程序和VPN軟件，如Telegram和Psiphon，來(lái)分發(fā)Windows RAT并監視目標設備。據悉，該APT組織至少從2015年起就開(kāi)始竊取受害者的敏感信息，而鎖定這兩個(gè)平臺，是因為它們在伊朗很受歡迎。攻擊活動(dòng)中所采用的誘餌經(jīng)常為政治主題，涉及抵抗基地或打擊伊朗政權的圖像或視頻，這種情況表明他們攻擊的目標是該國境內此類(lèi)運動(dòng)的潛在支持者。

此次活動(dòng)被發(fā)現，是由于卡巴斯基調查了2020年7月和2021年3月上傳到VirusTotal的兩個(gè)武器化文件。這兩份文件包含了用于啟動(dòng)多階段感染的宏，旨在部署一個(gè)新發(fā)現的名為MarkiRat的惡意軟件。該惡意軟件允許攻擊者竊取目標數據，記錄擊鍵，下載和上傳任意文件，捕獲剪貼板內容，并在受感染的系統上執行任意命令。專(zhuān)家們還發(fā)現了Psiphon工具的一個(gè)污點(diǎn)版本，這是一個(gè)用于逃避互聯(lián)網(wǎng)審查的開(kāi)源VPN軟件。值得重視的是，研究人員發(fā)現該組織的指揮和控制基礎設施正在托管DEX和APK文件形式的安卓應用程序，很可能是該組織為了針對移動(dòng)用戶(hù)所采取的行動(dòng)。

普普點(diǎn)評：這或許是又一起“棱鏡門(mén)”事件，但比美國“棱鏡門(mén)”事件更可怕的是主導這次監聽(tīng)的是一個(gè)黑客組織。在網(wǎng)絡(luò )時(shí)代，正如習近平總書(shū)記所指出的：“沒(méi)有網(wǎng)絡(luò )安全就沒(méi)有國家安全?！?/span>

為了應對不斷升級的軟件供應鏈安全威脅，Google近日推出了一個(gè)軟件供應鏈安全框架——SLSA。

熟練的攻擊者們已經(jīng)發(fā)現軟件供應鏈才是軟件行業(yè)的軟肋。除了改變游戲規則的SolarWinds供應鏈攻擊之外，Google還指出了最近的Codecov供應鏈攻擊，甚至網(wǎng)絡(luò )安全公司Rapid7也成了受害者。

Google將SLSA描述為“用于確保整個(gè)軟件供應鏈中軟件工件完整性的端到端框架”。SLSA以Google內部的“Borg二進(jìn)制授權”(BAB)為主導——Google八年來(lái)一直使用這一流程來(lái)驗證代碼出處和實(shí)現代碼身份。Google在一份白皮書(shū)中指出，BAB的目標是通過(guò)確保部署在Google的生產(chǎn)軟件得到適當審查來(lái)降低內部風(fēng)險，特別是當這些代碼可以訪(fǎng)問(wèn)用戶(hù)數據時(shí)。Google的開(kāi)源安全團隊的專(zhuān)家指出：“SLSA的目標是改善軟件行業(yè)安全狀況，尤其是開(kāi)源軟件，以抵御最緊迫的完整性威脅。通過(guò)SLSA，消費者可以對他們使用的軟件的安全狀況做出明智的選擇?！?/p>

普普點(diǎn)評：SLSA希望鎖定軟件開(kāi)發(fā)鏈中的所有內容，從開(kāi)發(fā)人員到源代碼、開(kāi)發(fā)平臺和CI/CD系統、以及包存儲庫和依賴(lài)項。依賴(lài)性是開(kāi)源軟件項目的主要弱點(diǎn)，Google為關(guān)鍵的開(kāi)源軟件開(kāi)發(fā)提出了新協(xié)議，該協(xié)議需要兩個(gè)獨立方的代碼審查，并且維護人員需要使用雙因素身份驗證。更高的SLSA級別將有助于防止類(lèi)似SolarWinds的軟件供應鏈攻擊，以及防范CodeCov攻擊。

近日，由于在線(xiàn)銷(xiāo)售數據庫公開(kāi)暴露，超過(guò)350萬(wàn)大眾和奧迪用戶(hù)的數據遭泄漏。據ZDnet報道，大多數受影響的人是奧迪汽車(chē)的當前或潛在買(mǎi)家，其中包括16.3萬(wàn)加拿大和美國用戶(hù)。

上周末，大眾公司通告稱(chēng)2014年至2019年期間的銷(xiāo)售和營(yíng)銷(xiāo)數據處于不安全狀態(tài)，關(guān)聯(lián)的第三方供應商已被確定為攻擊來(lái)源。奧迪和大眾在3月10日被警告稱(chēng)，“未經(jīng)授權的第三方”可能訪(fǎng)問(wèn)了這些信息。大眾汽車(chē)表示，用戶(hù)的姓名、個(gè)人或企業(yè)郵寄地址、電子郵件地址和電話(huà)號碼可能已在違規行為中暴露。大眾汽車(chē)已將數據泄漏一事通知有關(guān)當局和執法部門(mén)。

路透社報道稱(chēng)，大多數記錄僅與電話(huà)號碼和電子郵件地址有關(guān)，但是，美國大約9萬(wàn)名奧迪客戶(hù)的敏感數據可能已泄漏，例如社會(huì )安全號碼、賬戶(hù)或貸款號碼。敏感數據已暴露的個(gè)人將通過(guò)注冊代碼獲得免費信用監控。該公司表示，接到的通知中沒(méi)有包含注冊代碼的用戶(hù)都被視為敏感信息未遭泄漏，但電子郵件等基本信息泄漏的用戶(hù)也需要對網(wǎng)絡(luò )釣魚(yú)郵件保持警惕。此外，釣魚(yú)電子郵件或信件也可能發(fā)送給安全事件相關(guān)的非直接客戶(hù)或潛在買(mǎi)家。大眾汽車(chē)表示：“奧迪和大眾正在與第三方網(wǎng)絡(luò )安全專(zhuān)家合作、評估和應對這種情況，并已采取措施與相關(guān)供應商解決此事?！?/span>

普普點(diǎn)評：近年來(lái)，多家車(chē)企曾發(fā)生信息泄露事件，而汽車(chē)數據的安全問(wèn)題也愈發(fā)受到重視。如2017年6月，美國某經(jīng)銷(xiāo)商集團數據庫遭到攻擊，1000萬(wàn)輛汽車(chē)的銷(xiāo)售數據泄露。2018年7月，加拿大汽車(chē)供應商Level one多達157GB的數據泄露，其中包含員工駕駛證和護照掃描件等隱私信息。而含有大量車(chē)主敏感信息的智能汽車(chē)數據一旦泄露，恐將會(huì )對車(chē)主造成無(wú)法挽回的影響。

雖然FBI近日成功追繳了輸油管道運營(yíng)商Colonial Pipeline支付給勒索軟件DarkSide的贖金，但這顯然并未嚇阻勒索軟件遠離關(guān)鍵基礎設施甚至核武器。近日，美國核武器合同商Sol Oriens遭遇REvil勒索軟件攻擊，攻擊者揚言不繳納贖金就將核武器機密信息泄露給其他國家的軍方。

據報道，REvil威脅受害者：“我們在此保留將所有相關(guān)文件和數據轉發(fā)給我們選擇的軍事機構的權利?！?/p>

位于新墨西哥州阿爾伯克基的Sol Oriens公司是美國能源部(DOE)的分包商，與美國國家核安全局(NNSA)合作開(kāi)發(fā)核武器，上個(gè)月遭到了勒索軟件攻擊，專(zhuān)家稱(chēng)該攻擊來(lái)自“無(wú)情的”REvil勒索軟件的RaaS團伙。

據報道，至少從6月3日起，Sol Oriens公司的網(wǎng)站就已無(wú)法訪(fǎng)問(wèn)，但Sol Oriens的官員向?？怂剐侣労虲NBC證實(shí)，該公司上個(gè)月就檢測到了攻擊。

普普點(diǎn)評：所有行業(yè)各種規模的公司和組織都需要仔細審視自己的基礎設施，并采取一切必要措施來(lái)解決那些幾乎總是導致此類(lèi)攻擊行為的根本問(wèn)題。

在防火墻處關(guān)閉RDP等面向公眾的服務(wù)，在所有內部和面向外部的服務(wù)（如 VPN）上啟用多因素身份驗證。應確保面向互聯(lián)網(wǎng)的設備和服務(wù)器完全更新已知錯誤的補丁或修復程序，即使這意味需要付出著(zhù)一些停機時(shí)間的代價(jià)。

按照中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場(chǎng)監管總局 《關(guān)于開(kāi)展攝像頭偷窺等黑產(chǎn)集中治理的公告》要求，工業(yè)和信息化部網(wǎng)絡(luò )安全管理局近期組織開(kāi)展攝像頭網(wǎng)絡(luò )安全集中整治。

根據工作部署，工業(yè)和信息化部網(wǎng)絡(luò )安全管理局組織各地通信管理局、基礎電信企業(yè)、專(zhuān)業(yè)機構及視頻監控云平臺、攝像頭生產(chǎn)企業(yè)等，于6月至8月在全國范圍開(kāi)展攝像頭網(wǎng)絡(luò )安全集中整治，通過(guò)加大聯(lián)網(wǎng)攝像頭安全威脅監測處置力度、開(kāi)展視頻監控云平臺網(wǎng)絡(luò )和數據安全專(zhuān)項檢查、規范攝像頭生產(chǎn)企業(yè)產(chǎn)品安全漏洞管理等措施，消除攝像頭網(wǎng)絡(luò )安全隱患，保障網(wǎng)絡(luò )安全，維護公民在網(wǎng)絡(luò )空間的合法權益。

下一步，工業(yè)和信息化部網(wǎng)絡(luò )安全管理局將加強部省協(xié)同，組織各單位堅持標本兼治、綜合施策，狠抓任務(wù)落實(shí)，確保集中整治工作取得實(shí)效。

普普點(diǎn)評：近年來(lái)，隨著(zhù)信息網(wǎng)絡(luò )的快速發(fā)展和日益普及，攝像頭在人民群眾日常工作、生活中被廣泛應用。受經(jīng)濟利益驅動(dòng)，利用攝像頭安全漏洞侵害公民個(gè)人隱私的活動(dòng)呈快速增長(cháng)趨勢，并形成地下產(chǎn)業(yè)鏈，嚴重危害網(wǎng)絡(luò )安全。