为了让大家更全面的理解网络安全的危险,顶象针对每月值得关注的平安技术和事件进行盘点总结。
国内安全热点
数据安全
历时500多天,滴滴发表复原新用户注册
1月16日下午,滴滴呈现官网微博发文称即日起复原“滴滴出行”的新用户注册。后续,公司将采取有效措施,切实保障平台设施平安和大数据安全,保护国家网络安全。
截至目前,苹果、小米、华为、OPPO等手机利用市场上,滴滴出行旗下APP尚未复原上架,只能在过来已下载的App中进行新用户注册。有业内人士示意,随着滴滴复原新用户注册,后续包含滴滴出行等APP,应该会陆续复原。
出名航空公司被黑,多位台湾名人个人信息疑外泄
1月15日音讯,台湾中华航空股份有限公司(下简称“华航”)被发现疑似遭逢黑客攻击,导致少量旅客材料外泄到互联网上,其中包含赖清德、张忠谋、林志玲等数十位政商名人、出名艺人。
1月4日首次疑似旅客材料泄露事件产生后,1月7日,“华航”发表声明称收到匿名网络勒索邮件,并在第一工夫启动了应急进攻措施并报警。“华航”称没有呈现旅客材料遭逢不当应用的状况。1月11日,疑似泄露材料的黑客再次颁布了一批旅客材料。黑客称,因为“华航”迟迟不抵赖旅客材料泄露,将继续颁布黑客入侵门路、“华航”零碎清单以及300万会员的资料库等。1月14日,“华航”公布申明称,通过追查,目前网上流传的疑似泄露的旅客材料与该公司的资料库不尽相符。“华航”再次强烈谴责非法行为,将全力配合警方进行考察。“华航”还揭示旅客定期批改明码,爱护好个人资料平安。
业务平安
公安部:2022 年敞开 537 万个“网络水军”账号
1月 9 日音讯,公安部网安局示意,2022 年,全国公安机关网安部门深刻推动“净网 2022”专项口头,截至 2022 年 12 月底,共侦办案件 8.3 万起,针对“网络水军”违法犯罪,组织对辟谣引流、舆情讹诈、刷量控评、有偿删帖 4 类常见“网络水军”违法犯罪发动集群战斗,侦破“网络水军”案件 550 余起,敞开“网络水军”账号 537 万个,关停“网络水军”非法网站 530 余个,清理网上守法有害信息 56.4 万余条,无效污染了网络环境。
挪动平安北京市通信管理局通报 29 款问题 App,高途、考虫等在列1 月 10 日音讯,据工业和信息化部官微“工信微报”,根据相干法律法规,北京市通信管理局继续发展 App 隐衷合规和网络数据安全专项整治。通报中存在侵害用户权利和安全隐患等问题的 29 款 App。其中,21 款 App 存在不同类型问题需整改,相干 App 经营企业需立刻整改,并于 1 月 18 日前提交整改报告,逾期不整改或整改不到位的,将依法依规予以处理。
浙江省网信办依法集中查处一批进犯个人信息合法权益的守法违规App
近期,浙江省网信办根据《个人信息保护法》《App守法违规收集应用个人信息行为认定办法》等法律法规规定,依法查处“诺言”等173款守法违规App。经查,“诺言”等173款App存在频繁索要非必要权限、未告知相干集体信息处理规定、违反必要准则收集、未经用户批准收集应用个人信息等问题,依法责令限期50日实现整改,逾期未实现整改的,依法予以下架处理。
网安政策
十六部门:放慢数据安全技术与人工智能、大数据、区块链等新兴技术的穿插交融翻新
1 月 13 日音讯,据工信部网站,工业和信息化部等十六部门公布对于促成数据安全产业倒退的领导意见。意见提出,到 2025 年,数据安全产业根底能力和综合实力明显增强。产业生态和翻新体系初步建设,规范供应构造和覆盖范围显著优化,产品和服务供应能力大幅晋升,重点行业畛域利用程度继续深入,人才培养体系根本造成。意见提出,放慢数据安全技术与人工智能、大数据、区块链等新兴技术的穿插交融翻新,赋能晋升数据安全态势感知、危险研判等能力程度。增强第五代和第六代挪动通信、工业互联网、物联网、车联网等畛域的数据安全需要剖析,推动专用数据安全技术产品翻新研发、交融利用。反对数据安全产品云化革新,晋升集约化、弹性化服务能力。推动先进实用数据安全技术产品在电子商务、近程医疗、在线教育、线上办公、直播新媒体等新型利用场景,以及国家数据中心集群、国家算力枢纽节点等重大数据基础设施中的利用。推动平安多方计算、联邦学习、全同态加密等数据开发利用撑持技术的部署利用。
信通院公布《网络立法白皮书 (2022年)》
近年来,网络空间曾经成为人们生产生存的新空间,事实空间减速向网络空间全面映射,放慢建设网络综合治理体系,推动依法治网曾经成为全面依法治国的时代命题和重要组成部分。中国信息通信研究院在今年《互联网法律白皮书》的根底上,联合寰球数字经济倒退新趋势,论述进入新时代我国的网络立法成就,回顾过去一年国内外重要网络立法流动,造成《网络立法白皮书(2022年)》,供社会各界参考。白皮书确立了“3+1”的网络立法框架,全面梳理了2022年国内外网络立法状况,同时联合倒退现状对网络立法趋势进行瞻望。
国外平安热点
平安政策
美国防部打算发动“黑掉五角大楼3.0”破绽赏金打算
美国防部1月13日发表将发动“黑掉五角大楼3.0”打算,重点是发现维持五角大楼和相干场地运行操作技术中的破绽。“黑掉五角大楼3.0”打算寻求在五角大楼设施相干控制系统(FRCS)网络上执行众包实际,该网络用于治理五角大楼保留区内的机械操作,如主楼内的供暖和空调、五角大楼供暖和制冷厂、模块化办公大楼和停车场等。该打算的总体目标是通过众包取得翻新信息安全钻研人员的反对,以发展破绽发现、协调和披露流动,并评估FRCS网络以后的网络安全情况,找出弱点和破绽,同时提供改善和增强整体平安态势的倡议。该打算仅波及五角大楼FRCS网络中所蕴含的非秘密信息系统和操作技术。鉴于资产的敏感性,参加该打算承包商须要利用技术娴熟且值得信赖的钻研人员,相干人员仅限于美国人,且必须合乎美国防部制订的资格规范。
数据安全
2亿Twitter用户数据被公开,仅需2美元即可下载
1月5日音讯,有黑客在论坛上泄露了含有2.35亿推特用户的数据。征引Cybernews报道,此次泄露的数据大概有 63GB,其中包含用户的姓名、电子邮件地址、粉丝数量和账户创立日期。该数据库甚至是公开的,容许任何人下载它。
1月13日,Twitter 在申明中示意,针对媒体报道的用户数据在网上发售问题,公司组织了平安专家,进行彻底考察后,发现没有证据表明泄露的用户数据是利用推特系统漏洞获取的。
沃尔沃汽车泄露200GB用户数据
近日,一位昵称为 IntelBroker 的成员发表,VOLVO CARS 成为勒索软件攻打的受害者。他宣称该公司受到 Endurance 勒索软件团伙的袭击,攻击者窃取了 200GB 的敏感数据,这些数据当初正在发售。目前沃尔沃公司并未对此事件进行回应,因而尚无奈确定被泄数据的真实性。然而在2021 年 12 月,瑞典汽车制造商沃尔沃汽车公司走漏攻击者从其零碎中窃取了研发数据,尔后数据并未公开,也没有收到任何勒索信息。因而,此次公开发售的数据尚不分明是否是2021 年数据泄露事件中的数据,或者是新的数据泄露事件。
飞驰、宝马等汽车品牌存在 API 破绽,可能裸露车主个人信息
Bleeping Computer 网站披露,近 20 家汽车制造商和服务机构存在 API 安全漏洞,这些破绽容许黑客进行近程解锁、启动车辆、跟踪汽车行踪,窃取车主个人信息的歹意攻打流动。据悉,API 破绽次要影响宝马、罗尔斯、飞驰、法拉利、保时捷、捷豹、路虎、福特、起亚、本田、英菲尼迪、日产、歌颂、古代、丰田和创世纪等其出名汽车品牌。此外,破绽还影响汽车技术品牌 Spireon 和 Reviver 以及流媒体服务 SiriusXM。宝马和飞驰中发现了最重大的 API 破绽,这些破绽受到 SSO(单点登录)破绽的影响,攻击者能够利用拜访外部业务零碎。例如在对梅赛德斯-飞驰的测试中,钻研人员能够拜访多个公有 GitHub 实例、Mattermost 上的外部聊天频道、服务器、Jenkins 和 AWS 实例,并胜利连贯到客户汽车的 XENTRY 零碎等。
谷歌 Chrome 浏览器曝高危破绽
1 月 15 日音讯,网络安全公司 Imperva Red 近日披露了存在于 Chrome / Chromium 浏览器上的破绽细节,并正告称寰球超过 25 亿用户的数据面临平安威逼。
微软 GitHub 不再反对 PayPal 付款
1 月 26 日音讯,微软 GitHub 官网博客近日发表简短申明,发表从 2023 年 2 月 23 日起,GitHub Sponsors 我的项目打赏性能将不再反对 PayPal 领取形式。赞助人将无奈再通过 PayPal 打赏开发者或组织,GitHub 倡议赞助人更新领取形式,应用信用卡或借记卡。GitHub 官网对此没有给出更多解释。
此前,PayPal 于 2023 年 1 月 18 日走漏,该公司在 2022 年 12 月受到网络攻击,泄露了 34942 条用户个人信息。
市场趋势
Canalys:2022年第三季度寰球网络安全市场达178亿美元,同比增长16%
科技市场独立剖析机构Canalys公布报告称,寰球网络安全市场在2022年第三季度仍同比增长15.9%,达到178亿美元。依据报告,网络安全是体量最大的细分类别,占51亿美元,增长14.8%。迄今为止,北美是最大的网络安全市场,其收入达到96亿美元,占寰球总支出的53.8%。同时,北美也是增长最快的市场,达到17.1%。欧洲、中东和非洲地区的网络安全收入达到52亿美元,亚太地区为24亿美元,拉丁美洲为6亿美元。
Canalys 钻研:2023 年寰球网络安全收入将达 2238 亿美元增长 13%,勒索软件仍是最大威逼
1 月 21 日音讯,Canalys 最新预测,2023年寰球网络安全收入(包含企业产品和服务)将增长 13.2%,对渠道搭档来说,仍是要害的增长畛域。在现实条件下,2023 年的总支出预计将达到 2238 亿美元,网络安全服务的交付量将超过产品的出货量。Canalys 分析师示意,“从经营、财务和品牌角度来看,勒索软件依然是各企业面临的最大威逼。但 ChatGPT 等生成式人工智能模型的呈现和滥用,在 2023 年将网络危险进步到另一个程度。
勒索事件
英国多所学校数据遭大规模泄露,教育行业成勒索软件的主指标
在 2022 年产生高校攻打事件后,来自 14 所英国学校的数据被黑客在线泄露。泄露的文件包含学生的 SEN 信息、学生护照扫描件、员工工资表和合同细节。在被攻打的学校回绝领取赎金要求后,信息被泄露。
据报,攻打和泄露事件是由黑客组织 Vice Society 施行的,该组织针对英国和美国的教育机构进行了屡次勒索攻打。2022 年 10 月,洛杉矶联结学区 (LAUSD)正告称,Vice Society已开始公布从该机构窃取的数据。此前,LAUSD 发表不会向勒索者付款。受影响的 14 所英国学校中的许多学校已向家长、学生和教职员工提供了无关该事件的最新信息。在过来几年中,教育行业始终是勒索软件的次要指标。Sophos 于 2022 年 7 月公布的一份报告发现,56% 的低等教育机构和 64% 的高等教育机构在过来一年受到了勒索软件的攻打。
业务平安产品:收费试用
业务平安交换群:退出畅聊
发表回复