•WEF《2025年全球网络安全展望》:互联网空间日益复杂,网络不平等加剧
•非营利血液捐献机构OneBlood确认遭遇勒索软件攻击,献血者个人隐私信息被盗
国家计算机病毒应急处理中心依据《网络安全法》《个人隐私信息保护法》《App违法违规收集使用个人隐私信息行为认定方法》等法律和法规及相关国家标准要求,近期利用互联网监测发现《小鹿组队电竞陪玩》(版本3.7.1,360手机助手)、《168运友物流》(版本3.9.93,应用宝)等16款移动App存在隐私不合规行为。
其中,9款App存在隐私政策难以访问、未声明App运营者的基本情况;8款App隐私政策未逐一列出App收集使用个人隐私信息的目的、方式、范围等;6款App个人隐私信息处理者向其他个人信息处理者提供其处理的个人信息的,未向个人告知接收方的名称或者姓名、联系方式、处理目的、解决方法和个人隐私信息的种类,未取得个人的单独同意;1款App未建立并公布个人隐私信息安全投诉、举报渠道;10款App基于个人同意处理个人信息的,个人有权撤回其同意,个人信息处理者未提供便捷的撤回同意的方式;向用户更好的提供撤回同意收集个人隐私信息的途径、方式,未在隐私政策等收集使用规则中予以明确;2款App处理敏感个人隐私信息未取得个人的单独同意;3款App个人隐私信息处理者处理不满十四周岁未成年人个人信息的,未制定专门的个人信息处理规则。
针对上面讲述的情况,国家计算机病毒应急处理中心提醒广大手机用户首先谨慎下载使用以上违规移动App,同时要注意认真阅读其用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理有关数据,避免个人隐私信息被泄露。
1月10日,美国网络安全与基础设施安全局(CISA)日前发布了《网络安全绩效目标采用报告》,旨在强调采用网络安全绩效目标(CPGs)对该国关键基础设施行业的益处。
CISA最初于2022年10月发布了CPGs,这是关键基础设施所有者可自愿采纳的实践措施,旨在保护他们免受网络威胁。这份新报告基于CISA从2022年8月1日至2024年8月31日期间,对7791家注册其漏洞扫描服务的关键基础设施组织的分析。多个方面数据显示,医疗和公共卫生、水和废水系统、通信以及政府服务和设施等四个关键基础设施领域最受CPGs采用的影响。这四个领域均与CISA有着密切的合作关系。
随着CISA加强与所有16个关键基础设施领域的合作伙伴关系,该机构希望CPGs的采用将继续扩大。
2025年1月13日,世界经济论坛(WEF)发布的《2025年全球网络安全展望》报告数据显示,随网络空间的复杂性持续不断的增加和地理政治学的不确定性加剧,过去一年网络不平等进一步扩大。
报告显示,大型和小型组织之间的网络安全能力差距相当显著,超过三分之一(35%)的小型组织认为自身的网络恢复能力不够,这一比例自2022年以来增长了7倍。相比之下,报告不足网络恢复能力的大型组织比例则几乎减半。
报告还发现,与私营部门相比,公共部门应对网络事件的准备程度明显不足。38%的公共部门受访者报告网络恢复能力不够,而中大型私营组织这一比例仅为10%。这种不平等还延伸到网络人才方面,49%的公共部门组织表示缺乏实现网络安全目标所需的人才,比2024年增加了33%。
WEF研究人员表示,网络安全环境日益复杂是导致网络不平等加剧的主因,这增加了组织实现网络恢复所需的成本和技能。推动网络安全复杂性的重要的因素包括:地理政治学焦灼的事态升级、供应链集成和依赖程度加深、人工智能快速采用、监督管理要求激增、网络人才短缺。WEF指出,这种复杂环境并没有显示出缓解的迹象。
近日,国际保险经纪集团Howden公布了一项针对900多名英国私营部门IT决策者的调查分析结果,揭示了网络攻击给英国企业造成的巨大损失,以及企业在加强网络安全方面所面临的诸多问题。
据Howden的分析,在过去5年里,英国企业遭受网络攻击造成的损失高达550亿英镑。在这一时期内,有52%的私营企业至少遭受过一次网络攻击,平均损失占企业营收的1.9%。其中,年收入超过1亿英镑的大规模的公司更容易成为攻击目标,有74%的企业遭受过网络攻击,而年收入在200万至5000万英镑的中小企业则为49%。
调查显示,20%的英国企业遭受过电子邮件被入侵的攻击,18%遭受过数据窃取,16%的供应商系统被攻破,14%遭受过资金转账欺诈,14%受到内部人员的恶意行为,12%遭受过勒索软件攻击。令人震惊的是,仅有61%的受访企业使用防病毒软件,55%使用网络防火墙,基本保护措施都严重缺乏。Howden建议,采用更有效的防病毒解决方案和防火墙等措施,可使网络攻击造成的损失减少75%,为英国企业平均节省350万英镑。
近日,由密西根大学、Merit Network公司、亚利桑那州立大学和Breakpointing Bad机构的研究人员合作完成的新研究揭示,商业VPN服务中最受喜爱的协议OpenVPN存在可被指纹识别的漏洞。
研究人员扮演了一个控制网络的攻击者角色,设计了一个两阶段的框架,可以通过被动指纹识别和主动探测来准确识别OpenVPN连接。研究人员在一个中型ISP的一个主要节点部署了他们的框架,对20Gbps的入站和出站流量做多元化的分析。在对2000个控制流量来测试时,他们可以识别出1718个OpenVPN流量,涵盖了40种不同的OpenVPN配置中的39种。他们还成功识别了三分之二的隐蔽OpenVPN流量。尽管一些顶级VPN提供商宣称其隐蔽服务无法被检测,但研究人员发现大多数实现都类似于使用简单的XOR掩码对OpenVPN进行掩盖,非常容易被指纹识别。在为期8天的评估中,他们的框架标记了3638个流量为OpenVPN连接,其中3245个流量有证据支持检测结果。
研究人员指出,与Tor或Refraction Networking等规避工具采用了复杂的策略不同,OpenVPN和更广泛的VPN生态系统中明显缺乏健壮的隐蔽技术。研究人员警告,即使连接到隐蔽服务,对那些面临较高威胁的用户来说,他们的VPN使用也可能被观察到。
网络安全研究人员近日发现,多个网络攻击团伙正在积极利用Aviatrix Controller集中管理平台的一个评分高达10分的严重漏洞(CVE-2024-50603)进行攻击。该漏洞能让未经身份验证的远程攻击者在受影响的系统上执行任意代码,从而完全控制系统。攻击者目前正在利用这个漏洞在易受攻击的目标上部署XMRig密码货币挖矿恶意软件和Sliver后门程序。
Wiz Security的研究人员在1月10日警告说,在默认情况下,Aviatrix Controller允许权限提升,这使得漏洞更危险,大约3%的企业云环境部署了Aviatrix Controller,其中有65%的Aviatrix Controller虚拟机存在可以横向移动获取管理云控制平面权限的路径。
数百家大规模的公司使用Aviatrix的技术在AWS、Azure、Google Cloud平台等多云环境中管理云网络。常见的使用场景包括自动化部署和管理云网络基础设施,以及管理安全性、加密和连接策略。该公司的客户包括Heineken、雷神公司、Yara和IHG酒店等。
Halcyon公司近日发现,威胁分子Codefinger正在利用亚马逊AWS的客户提供密钥的服务器端加密(SSE-C)功能,使用仅有攻击者知晓的密钥加密S3存储桶,并勒索赎金以获取解密密钥。Codefinger已至少加密了两个受害者的数据。此类行为可能会扩大,或被其他威胁分子效仿。
亚马逊简单存储服务(S3)是亚马逊网络服务(AWS)提供的可扩展、安全且高速的对象存储服务,S3存储桶用于存储文件、数据备份、媒体、日志等。SSE-C是一种加密选项,用于保护S3上的静态数据,允许客户使用自己的加密密钥通过AES-256算法加密和解密数据。
Codefinger使用被盗的AWS凭证定位具有s3:GetObject和s3:PutObject权限的受害者密钥,这些权限允许账户通过SSE-C加密S3存储桶中的对象。攻击者随后在本地生成一个加密密钥,用于加密目标数据。由于AWS不存储这些加密密钥,假如没有攻击者的密钥,即使受害者向亚马逊报告没有经过授权活动,也没办法恢复数据。接下来,攻击者使用S3对象生命周期管理API设置7天文件删除策略,并在所有受影响目录中留下勒索信,要求受害者向指定比特币地址支付赎金,以换取自定义AES-256密钥。勒索信还警告受害者,如果他们试图更改账户权限或修改存储桶中的文件,攻击者将单方面终止谈判,导致受害者没办法恢复数据。
Halcyon已将发现情况报告给亚马逊。该云服务提供商表示,他们会尽最大努力及时通知密钥被泄露的客户,以便他们采取立即行动。
非营利血液捐献机构OneBlood确认遭遇勒索软件攻击,献血者个人隐私信息被盗
美国非营利性血液捐献机构OneBlood近日证实,去年夏天遭受的一次勒索软件攻击导致献血者的个人隐私信息被盗。
OneBlood于2024年7月31日首次就此次攻击向公众发出通知,称勒索软件行为者加密了其虚拟机,导致该医疗机构不得不采取人工操作流程。作为全美250多家医院的血液供应商,此次攻击造成了血液采集、检测和分发延迟,一些诊所不得不启动血液严重短缺应急方案。
OneBlood于上周开始向受影响个人发送数据泄露通知,告知调查于2024年12月12日结束,确定泄露发生的确切日期为2024年7月14日。该威胁分子从始至终保持对OneBlood网络的访问权限,直至7月29日,即该机构发现入侵的次日。尽管血液采集中心通常会收集手机号、电子邮件和物理地址、人口统计数据和病史等信息,但此次泄露的数据仅限于姓名和社会安全号码。为降低此风险,OneBlood在信函中附上了免费一年信用监控服务的激活码。
斯堪的纳维亚酒店集团Strawberry决定将其员工的默认浏览器搜索引擎从谷歌切换到DuckDuckGo,原因是谷歌广告环境中存在漏洞,使其每天都面临欺诈威胁。
Strawberry技术安全负责人马丁·贝拉克表示,虽然谷歌的工具运行很出色,但谷歌搜索服务和广告服务缺乏控制给他们带来了麻烦,其中最大的问题是谷歌不核实哪些广告商被允许拥有付费搜索位置,他们不检查真实性或进行背景调查,这在某种程度上预示着合法和犯罪分子都投放广告。任何人在搜索栏中搜索供应商,都可能会被引导到由犯罪分子购买的页面。犯罪分子购买关键词并创建与合法网站完全相同的假登录页面,还确保URL与真实URL相似。“我们每天都面临这种欺诈企图,尽管我们的安全层能够捕获大部分,但仍有一些成功的案例给我们大家带来了信任和经济损失。
