普普安全资讯一周概览(0624-0630)

作者:

时间:
2023-06-30
PART.1
最快仅需两分钟,攻击者能迅速将暴露的敏感信息武器化

据Cyber News 6月20日消息,云安全公海710的研究表明,在针对云的网络攻击中,攻击者能够在短短两分钟内发现配置错误和易受攻击的资产,并立刻开始对其进行利用。Orca Security 为此进行了为期6个月的研究,在9个不同的云环境中设置了蜜罐,这些蜜罐旨在模拟错误配置的资源以吸引攻击者,每个蜜罐都包含一个 AWS 密钥。

随后,Orca 密切监视每个蜜罐,以观察攻击者是否以及何时会上钩,目的是收集对最常见的目标云服务、攻击者访问公共或易于访问的资源所需的时间,以及他们发现和利用泄露的数据所需的时间。

根据报告,GitHub、HTTP和SSH上暴露的敏感信息仅在5分钟内就被发现,AWS S3则在一小时内被发现。Orca Security 云威胁研究团队负责人 表示,虽然每种资源的策略有所不同,但研究清楚地表明如果,只要敏感信息被泄露,就会被攻击者利用。

普普点评

随着互联网的普及,我们的生活越来越离不开网络。然而,网络也带来了很多安全隐患,其中最严重的就是敏感信息泄露。敏感信息泄露不仅会对个人造成损失,还会对企业和国家造成重大影响。近些年敏感信息泄露呈现上升趋势,泄露手段从以黑客入侵等技术手段为主向技术手段与收买内部员工、内部管理不善等非技术手段结合并用发展。


PART.2
因多次索要个人权限和信息,星巴克被上海网信办约谈

6 月中旬,国内某新闻媒体披露上海商圈中一家星巴克点餐小程序过度索客户信息,仅是点 1 杯咖啡,消费者至少被弹窗提示注册会员 3 次,弹窗索要定位授权 2 次。对此,上海市网信办、市市场监管局共执法人员指出上述问题涉嫌违反《个人信息保护法》的有关要求,已要求门店方按时参加约谈,并将指导相关企业进一步整改。记者调查期间,顾客扫描星巴克前台的二维码时,页面首先跳转出现“扫码入会 领券立减”整屏活动海报(这个无法直接关闭),当用户点击下方“领取”按钮后,页面又直接跳转进入“微信用户一键登录”页。

值得一提的是,此时需要用户勾选同意相关隐私政策和绑定协议,做好这一切后,点击“登录”,页面下方又弹窗索要手机号授权,显示可用微信手机号一键绑定或者其他手机号快速注册成为会员。一番操作下来,小程序这才跳转出现堂食点单入口,本来一键点击购买,付账的流程,硬生生的被玩成了“关卡游戏”。

普普点评

在大多数情况下,客户会做出一些妥协让步,最终把自己的用户权限、位置信息、储存信息、手机号等机密内容泄露给平台。对于餐饮行业过度、强制收集信息,消费者早已深恶痛绝,如果商家一味追求把点餐小程序页面处理的过于花哨,放大突出误导性文字和图标,迎逢平台要求,肆意获取用户的信息,之后势必后遭受消费者抛弃。

PART.3
英国网军:欧盟长子,抱上美国大腿

2023 年 6 月,俄乌军事冲突来到僵持阶段,双方在热武器层面的较量开始零敲碎打。但网络空间战场上,一方凭借自家网军强大战斗力,一方站在欧美网军肩膀上,彼此之间角力愈发精彩,仅 2023 年就展开数十次交锋。俄罗斯网军建制化部署早、经验足,作战能力尤为突出。虽然乌克兰自身网络战实力不济,但背靠欧美网军,整个军事冲突期间竟”不落下风“,其中欧美国家支持力度最大,”叫“的最响的当属英国。俄乌军事冲突中网络战战略地位大大“刺激”了英国政府的敏感神经,后者开始重新审视网络战在军事冲突中的战术地位。论及自身网络战实力,英国网军虽”冠绝欧盟“,但相比中美俄则略显“鸡肋”。基于此,2022 年 12 月 15 日,英国当局发布 2022 年新版《国家网络战略》,相较前几版又再次拔高对网络空间的重视程度,力争在《国家网络战略》加持下,建设一只足以改变战争格局,震慑其它国家的网军。

普普点评

信息技术迅速发展,网络安全问题已经蔓延到军事、政治、经济、文化、科技等各个方面,其中军事层面对于社会发展的影响最为深刻,网络战已成为第五维空间领域的实际战斗形式,甚至能够决定战争走势。如果一个国家没有战斗力强悍的网军,构建起多层次、立体化的网络安全保障体系,一旦网络战真正来临那天,便只能乖乖立正,准备挨打了。

PART.4
被罚百万!为政府部门开发系统造成数据泄露

根据“公安部网安局”微信公众号发布的消息,2023年3月,浙江温州公安网安部门在查处一起涉数据安全违法案件时发现问题。浙江某科技有限公海710为浙江某县级市政府部门开发运维信息管理系统的过程中,在未经建设单位同意的情况下,将建设单位采集的敏感业务数据擅自上传至租用的公有云服务器上,且未采取安全保护措施,造成了严重的数据泄露。浙江温州公安机关根据《中华人民共和国数据安全法》第四十五条的规定,对公海710及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。针对建设单位失管失察、未履行数据安全保护职责的情况,当地纪委监委依照《温州市党委(党组)网络安全工作责任制实施细则》规定,对建设单位主要负责同志、部门负责人等4人分别作出批评教育、诫勉谈话和政务立案调查等追究问责决定。下一步,公安机关将持续贯彻落实《网络安全法》等法律法规,全方位加强网络安全监督检查。

普普点评

在信息网络无处不在的新形势下,网络安全成为一个关乎国家安全、国家主权和每一个互联网用户权益的重大问题。应该持续贯彻落实《网络安全法》《数据安全法》等法律法规,全方位加强网络安全监督检查,持续高压严打违法行为,指导监督网络运营者依法履行安全保护责任和义务,做好源头防控,减少违法犯罪发生,坚决维护国家网络安全和数据安全。

PART.5
既能挖矿又能窃取敏感信息,《超级马里奥》游戏被植入恶意软件

据BleepingComputer 6月25日消息,堪称经典的《超级马里奥 3:永远的马里奥》游戏正被网络攻击者植入恶意软件,导致众多玩家设备受到感染。《超级马里奥 3:永远的马里奥》游戏一经推出便颇受欢迎,被认为是既保留了马里奥系列的经典机制,又具有更现代化的图形、造型和声音,目前已经发布多个后续版本,修复了错误并进行了改进。但Cyble的研究人员发现,攻击者正在分发安装程序的修改样本,并通过游戏论坛、社交媒体群组、恶意广告等渠道进行分发。研究人员观察到这些恶意游戏文件包含3个可执行文件,其中1个用于安装正常的游戏(“super-mario-forever-v702e.exe”),另外两个“java.exe”和“atom.exe”则会被安装到受害者的 AppData中的游戏安装目录,用来运行 XMR (Monero) 挖矿程序和 SupremeBot 挖矿客户端。

普普点评

安全专家建议,如果用户最近下载了这款游戏,应尽快对设备进行恶意软件扫描,删除检测到的任何恶意软件,并在检测到恶意软件后,将存储的任何敏感密码信息重置,并使用密码管理器进行存储。

同样,下载游戏或任何软件时,要确保从经认证的发行方网站或权威数字内容分发平台等官方来源进行下载。

PART.6
出资2000万美元!谷歌将在全美推广免费网络安全诊所

近日,谷歌声明将投入2000万美元,用于在美国各地开设更多的网络安全实践诊所,以帮助填补美国的网络安全劳动力缺口,并在不断变化的威胁面前保持领先地位。周四(6月22日),Alphabet和谷歌首席执行官Sundar Pichai在华盛顿特区的一次活动上与美国网络安全诊所联盟合作宣布了这一计划。

Sundar Pichai表示:这笔资金将支持全美20所高等教育机构创建和扩大网络安全诊所。他还提到,人工智能是未来十年影响国家安全的最关键技术之一。这些免费诊所将为学生提供更多的学习机会,就像法学院或医学院在他们的社区提供免费诊所一样。他们不仅为学生提供学习和提高技能的机会,同时帮助保护医院、学校和电网等关键基础设施。联合会表示,每个被选中的学院、大学或社区学院将获得高达100万美元的资金,以增加有兴趣从事网络安全职业的学生的机会。同时,实践诊所内的导师将由具有行业专长的谷歌员工担任。

普普点评

人工智能是未来十年影响国家安全的最关键技术之一。2022年全球网络攻击的数量增加了38%,致使政府、医院和电网等关键基础设施面临更大风险。一个国家需要一支强大的网络安全工作队伍,以在新的挑战和不断变化的威胁面前保持领先地位。建设一支高效能的网络安全管理和技术人员队伍,是有效开展网络安全工作的实际需求。

PART.7
2023 Verizon 数据泄露报告:74%安全事件存在人为因素

近日,著名咨询机构Verizon发布了《2023年数据泄露调查报告》。该报告对过去一年发生的16312起安全事件进行分析,以及世界各地的执法、政府机构公开发布。据报告的数据显示,74%的安全事件被证明存在人的因素,这意味着在过去一年时间里,企业员工正在屡屡出错,包括错误使用权限、滥用特权、钓鱼攻击、身份泄露等等。这也反映出社会工程学的可怕,对网络罪犯来说利润丰厚。这就是为什么商业电子邮件入侵(BEC)攻击几乎翻了一番,如图所示,在社会工程模式中占了50%以上的事件。在web应用程序的安全事件中,报告指出86%的攻击涉及使用被盗证书,只有10%真正存在一个实际的软件漏洞。事实上,滥用数字证书一直是网络犯罪分子常用攻击手法,其目的是让提高恶意软件的合法性,从而绕过企业的安全防护措施。在过去的一年中,超过32%的Log4j扫描活动发生在其发布后的30天内。

普普点评

2023年,数据泄露事件继续狂飙,数据泄露、窃取、买卖等安全事件屡屡发生,全球数据安全态势依旧十分严峻。在实际利益的驱动下,犯罪团伙和黑灰产大肆窃取组织数据,外部攻击呈现出高频、高危害的特点,攻击手法日益复杂、多变。在这样的情况下,传统防护体系难以抵御,如何防护新型的网络攻击是组织需要解决的难题。