为了让大家更全面的了解网络安全的风险,顶象针对每月值得关注的安全技术和事件进行盘点总结。
国内安全热点
数据安全
历时500多天,滴滴宣布恢复新用户注册
1月16日下午,滴滴出现官方微博发文称即日起恢复“滴滴出行”的新用户注册。后续,公司将采取有效措施,切实保障平台设施安全和大数据安全,维护国家网络安全。
截至目前,苹果、小米、华为、OPPO等手机应用市场上,滴滴出行旗下APP尚未恢复上架,只能在过去已下载的App中进行新用户注册。有业内人士表示,随着滴滴恢复新用户注册,后续包括滴滴出行等APP,应该会陆续恢复。
知名航空公司被黑,多位台湾名人个人信息疑外泄
1月15日消息,台湾中华航空股份有限公司(下简称“华航”)被发现疑似遭遇黑客攻击,导致大批旅客资料外泄到互联网上,其中包括赖清德、张忠谋、林志玲等数十位政商名人、知名艺人。
1月4日首次疑似旅客资料泄露事件发生后,1月7日,“华航”发表声明称收到匿名网络勒索邮件,并在第一时间启动了应急防御措施并报警。“华航”称没有出现旅客资料遭遇不当使用的情况。1月11日,疑似泄露资料的黑客再次公布了一批旅客资料。黑客称,由于“华航”迟迟不承认旅客资料泄露,将持续公布黑客入侵路径、“华航”系统清单以及300万会员的资料库等。1月14日,“华航”发布声明称,经过清查,目前网上流传的疑似泄露的旅客资料与该公司的资料库不尽相符。“华航”再次强烈谴责非法行为,将全力配合警方进行调查。“华航”还提醒旅客定期修改密码,保护好个人资料安全。
业务安全
公安部:2022 年关闭 537 万个“网络水军”账号
1月 9 日消息,公安部网安局表示,2022 年,全国公安机关网安部门深入推进“净网 2022”专项行动,截至 2022 年 12 月底,共侦办案件 8.3 万起,针对“网络水军”违法犯罪,组织对造谣引流、舆情敲诈、刷量控评、有偿删帖 4 类常见“网络水军”违法犯罪发起集群战役,侦破“网络水军”案件 550 余起,关闭“网络水军”账号 537 万个,关停“网络水军”非法网站 530 余个,清理网上违法有害信息 56.4 万余条,有效净化了网络环境。
移动安全北京市通信管理局通报 29 款问题 App,高途、考虫等在列1 月 10 日消息,据工业和信息化部官微“工信微报”,依据相关法律法规,北京市通信管理局持续开展 App 隐私合规和网络数据安全专项整治。通报中存在侵害用户权益和安全隐患等问题的 29 款 App。其中,21 款 App 存在不同类型问题需整改,相关 App 运营企业需立即整改,并于 1 月 18 日前提交整改报告,逾期不整改或整改不到位的,将依法依规予以处置。
浙江省网信办依法集中查处一批侵犯个人信息合法权益的违法违规App
近期,浙江省网信办依据《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规规定,依法查处“诺言”等173款违法违规App。经查,“诺言”等173款App存在频繁索要非必要权限、未告知相关个人信息处理规则、违反必要原则收集、未经用户同意收集使用个人信息等问题,依法责令限期50日完成整改,逾期未完成整改的,依法予以下架处置。
网安政策
十六部门:加快数据安全技术与人工智能、大数据、区块链等新兴技术的交叉融合创新
1 月 13 日消息,据工信部网站,工业和信息化部等十六部门发布关于促进数据安全产业发展的指导意见。意见提出,到 2025 年,数据安全产业基础能力和综合实力明显增强。产业生态和创新体系初步建立,标准供给结构和覆盖范围显著优化,产品和服务供给能力大幅提升,重点行业领域应用水平持续深化,人才培养体系基本形成。意见提出,加快数据安全技术与人工智能、大数据、区块链等新兴技术的交叉融合创新,赋能提升数据安全态势感知、风险研判等能力水平。加强第五代和第六代移动通信、工业互联网、物联网、车联网等领域的数据安全需求分析,推动专用数据安全技术产品创新研发、融合应用。支持数据安全产品云化改造,提升集约化、弹性化服务能力。推动先进适用数据安全技术产品在电子商务、远程医疗、在线教育、线上办公、直播新媒体等新型应用场景,以及国家数据中心集群、国家算力枢纽节点等重大数据基础设施中的应用。推进安全多方计算、联邦学习、全同态加密等数据开发利用支撑技术的部署应用。
信通院发布《网络立法白皮书 (2022年)》
近年来,网络空间已经成为人们生产生活的新空间,现实空间加速向网络空间全面映射,加快建立网络综合治理体系,推进依法治网已经成为全面依法治国的时代命题和重要组成部分。中国信息通信研究院在往年《互联网法律白皮书》的基础上,结合全球数字经济发展新趋势,阐述进入新时代我国的网络立法成就,回顾过去一年国内外重要网络立法活动,形成《网络立法白皮书(2022年)》,供社会各界参考。白皮书确立了“3+1”的网络立法框架,全面梳理了2022年国内外网络立法情况,同时结合发展现状对网络立法趋势进行展望。
国外安全热点
安全政策
美国防部计划发起“黑掉五角大楼3.0”漏洞赏金计划
美国防部1月13日宣布将发起“黑掉五角大楼3.0”计划,重点是发现维持五角大楼和相关场地运行操作技术中的漏洞。“黑掉五角大楼3.0”计划寻求在五角大楼设施相关控制系统(FRCS)网络上执行众包实践,该网络用于管理五角大楼保留区内的机械操作,如主楼内的供暖和空调、五角大楼供暖和制冷厂、模块化办公大楼和停车场等。该计划的总体目标是通过众包获得创新信息安全研究人员的支持,以开展漏洞发现、协调和披露活动,并评估FRCS网络当前的网络安全状况,找出弱点和漏洞,同时提供改善和加强整体安全态势的建议。该计划仅涉及五角大楼FRCS网络中所包含的非机密信息系统和操作技术。鉴于资产的敏感性,参与该计划承包商需要利用技术娴熟且值得信赖的研究人员,相关人员仅限于美国人,且必须符合美国防部制定的资格标准。
数据安全
2亿Twitter用户数据被公开,仅需2美元即可下载
1月5日消息,有黑客在论坛上泄露了含有2.35亿推特用户的数据。援引Cybernews报道,此次泄露的数据大约有 63GB,其中包括用户的姓名、电子邮件地址、粉丝数量和账户创建日期。该数据库甚至是公开的,允许任何人下载它。
1月13日,Twitter 在声明中表示,针对媒体报道的用户数据在网上出售问题,公司组织了安全专家,进行彻底调查后,发现没有证据表明泄露的用户数据是利用推特系统漏洞获取的。
沃尔沃汽车泄露200GB用户数据
近日,一位昵称为 IntelBroker 的成员宣布,VOLVO CARS 成为勒索软件攻击的受害者。他声称该公司遭到 Endurance 勒索软件团伙的袭击,攻击者窃取了 200GB 的敏感数据,这些数据现在正在出售。目前沃尔沃公司并未对此事件进行回应,因此尚无法确定被泄数据的真实性。但是在2021 年 12 月,瑞典汽车制造商沃尔沃汽车公司透露攻击者从其系统中窃取了研发数据,此后数据并未公开,也没有收到任何勒索信息。因此,此次公开出售的数据尚不清楚是否是2021 年数据泄露事件中的数据,或者是新的数据泄露事件。
奔驰、宝马等汽车品牌存在 API 漏洞,可能暴露车主个人信息
Bleeping Computer 网站披露,近 20 家汽车制造商和服务机构存在 API 安全漏洞,这些漏洞允许黑客进行远程解锁、启动车辆、跟踪汽车行踪,窃取车主个人信息的恶意攻击活动。据悉,API 漏洞主要影响宝马、罗尔斯、奔驰、法拉利、保时捷、捷豹、路虎、福特、起亚、本田、英菲尼迪、日产、讴歌、现代、丰田和创世纪等其知名汽车品牌。此外,漏洞还影响汽车技术品牌 Spireon 和 Reviver 以及流媒体服务 SiriusXM。宝马和奔驰中发现了最严重的 API 漏洞,这些漏洞受到 SSO(单点登录)漏洞的影响,攻击者可以利用访问内部业务系统。例如在对梅赛德斯-奔驰的测试中,研究人员可以访问多个私有 GitHub 实例、Mattermost 上的内部聊天频道、服务器、Jenkins 和 AWS 实例,并成功连接到客户汽车的 XENTRY 系统等。
谷歌 Chrome 浏览器曝高危漏洞
1 月 15 日消息,网络安全公司 Imperva Red 近日披露了存在于 Chrome / Chromium 浏览器上的漏洞细节,并警告称全球超过 25 亿用户的数据面临安全威胁。
微软 GitHub 不再支持 PayPal 付款
1 月 26 日消息,微软 GitHub 官方博客近日发表简短声明,宣布从 2023 年 2 月 23 日起,GitHub Sponsors 项目打赏功能将不再支持 PayPal 支付方式。赞助人将无法再通过 PayPal 打赏开发者或组织,GitHub 建议赞助人更新支付方式,使用信用卡或借记卡。GitHub 官方对此没有给出更多解释。
此前,PayPal 于 2023 年 1 月 18 日透露,该公司在 2022 年 12 月受到网络攻击,泄露了 34942 条用户个人信息。
市场趋势
Canalys:2022年第三季度全球网络安全市场达178亿美元,同比增长16%
科技市场独立分析机构Canalys发布报告称,全球网络安全市场在2022年第三季度仍同比增长15.9%,达到178亿美元。根据报告,网络安全是体量最大的细分类别,占51亿美元,增长14.8%。迄今为止,北美是最大的网络安全市场,其支出达到96亿美元,占全球总支出的53.8%。同时,北美也是增长最快的市场,达到17.1%。欧洲、中东和非洲地区的网络安全支出达到52亿美元,亚太地区为24亿美元,拉丁美洲为6亿美元。
Canalys 研究:2023 年全球网络安全支出将达 2238 亿美元增长 13%,勒索软件仍是最大威胁
1 月 21 日消息,Canalys 最新预测,2023年全球网络安全支出(包括企业产品和服务)将增长 13.2%,对渠道伙伴来说,仍是关键的增长领域。在理想条件下,2023 年的总支出预计将达到 2238 亿美元,网络安全服务的交付量将超过产品的出货量。Canalys 分析师表示,“从运营、财务和品牌角度来看,勒索软件仍然是各企业面临的最大威胁。但 ChatGPT 等生成式人工智能模型的出现和滥用,在 2023 年将网络风险提高到另一个水平。
勒索事件
英国多所学校数据遭大规模泄露,教育行业成勒索软件的主目标
在 2022 年发生高校攻击事件后,来自 14 所英国学校的数据被黑客在线泄露。泄露的文件包括学生的 SEN 信息、学生护照扫描件、员工工资表和合同细节。在被攻击的学校拒绝支付赎金要求后,信息被泄露。
据报,攻击和泄露事件是由黑客组织 Vice Society 实施的,该组织针对英国和美国的教育机构进行了多次勒索攻击。2022 年 10 月,洛杉矶联合学区 (LAUSD)警告称,Vice Society已开始发布从该机构窃取的数据。此前,LAUSD 宣布不会向勒索者付款。受影响的 14 所英国学校中的许多学校已向家长、学生和教职员工提供了有关该事件的最新信息。在过去几年中,教育行业一直是勒索软件的主要目标。Sophos 于 2022 年 7 月发布的一份报告发现,56% 的低等教育机构和 64% 的高等教育机构在过去一年受到了勒索软件的攻击。