一、安全事件摘录
1
电子制造服务公司Keytronic勒索软件攻击损失超1.2亿
8月6日消息,电子制造服务公司Keytronic披露,最近的一次勒索软件攻击导致其额外开支和收入损失总计超过1700万美元(约合人民币1.2亿元)。
Keytronic表示:由于此次事件,公司在第四季度产生了大约230万美元的额外开支,并且预计损失了约1500万美元的收入。
此次网络攻击发生于2024年5月6日,导致美国和墨西哥的多个站点运营中断(包括财务和运营系统)。这些站点的运营因事件暂停了两周。公司在6月初次报告时,已为外部网络安全专家支付了约60万美元的费用。
黑客组织Black Basta声称对这次攻击负责,并称窃取了超过500GB的数据,包括财务文件、工程文件、人力资源信息及其他类型的公司数据。
2
奥运会期间法国巴黎大皇宫和40家法国博物馆 遭勒索软件攻击
8月6日巴黎人报消息,网络犯罪分子在奥运会期间攻击了约40家法国博物馆数据系统。
网络犯罪分子使用了勒索软件ransomware,它会加密数据,使计算机、服务器或企业或地方政府网络的数据不可读,犯罪分子以此索要赎金。
这起攻击事件是由大皇宫博物馆的一名安全专家发现的。注意到,该博物馆举办巴黎奥运会的击剑、武术等比赛,相关部门正在调查此案。
攻击发生后,大皇宫服务器的访问被中断,博物馆本身的运营没有受到影响。卢浮宫、凡尔赛宫、奥赛博物馆和毕加索博物馆等相关博物馆同样受到了影响。
法新社联系到法国国家信息系统安全局(Anssi),该机构证实已“接到事件警报”。该机构称,此次事件“没有影响到任何与奥运会和残奥会运行有关的信息系统”。
3
移动设备管理公司遭黑客攻击,上万设备被远程擦除
8月7日消息,总部位于英国的移动设备管理(MDM)公司Mobile Guardian遭遇黑客攻击,导致上万台客户设备被远程抹除。
Mobile Guardian表示,8月4日检测到平台遭到未授权访问,为控制事态并防止进一步的破坏,服务器被紧急关闭。
此次事件影响到了北美、欧洲和新加坡的多个客户。目前被擦除数据的设备具体数量尚未明确,虽然Mobile Guardian表示仅占总数的“较小百分比”,但根据部分受影响用户的反馈,被擦除的设备规模可能将数以万计。
这一事件凸显了MDM系统的潜在安全风险,特别是在教育等敏感领域的应用,同时再次为网络安全企业敲响警钟,流行安全产品自身的质量保障和安全防护经常出现漏洞,不仅将导致客户流失,还会摧毁CIO和CISO对整个网络安全行业的信赖和信心。
4
美国30亿份包含SSN的国家公共数据记录被黑客泄露
8月7日消息,今年4月,一家以“国家公共数据业务”(National Public Data)为名的背景调查公司Jerico Pictures Inc.发生了数据泄露事件,暴露了近30亿人的个人信息。
根据在佛罗里达南区美国地方法院提交的投诉,4月8日,一家名为USDoD的网络犯罪团伙在一个暗网论坛上发布了名为“国家公共数据”的数据库,声称拥有29亿人的个人数据,并将该数据库以350万美元的价格出售。
根据投诉,为开展业务,国家公共数据从非公开来源抓取了数十亿人的个人身份信息——这意味着原告在不知情的情况下向该公司提供了他们的数据。
一些被曝光的信息包括社会安全号码、现居地址、几十年来的曾居地址、全名、亲属信息,其中一些亲属甚至已去世近二十年。
研究人员分析发现,泄露的数据包括用户的全名、地址、城市、县、州、邮政编码以及明文的SSN。由于SSN是用于金融和政府交易的重要标识符,此次泄露对美国用户构成重大安全威胁,可能导致身份盗窃、伪造信用账户、贷款欺诈和虚假报税等问题。
二、行业动态回顾
1
国家计算机病毒应急处理中心通报15款违规移动应用
8月5日消息,国家计算机病毒应急处理中心依据相关法律法规及相关国家标准要求,近期通过互联网监测发现15款移动App存在隐私不合规行为。
这些APP 包括《快闪壁纸》、《小月日记》)、《生态环境智慧管理系统》、《搞笑内涵》、《指尖微小说》、《小铁马》、《日语翻译》等。
这些APP分别存在部分隐私不合规行为包括:
1、未声明App运营者的基本情况、未声明隐私政策时效。
2、隐私政策未逐一列出App收集使用个人信息的目的、方式、范围等。
3、App客户端向第三方提供个人信息,未经过用户同意,未做匿名化处理;个人信息处理者向其他个人信息处理者提供其处理的个人信息的,未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,未取得个人的单独同意。
4、App在征得用户同意前开始收集个人信息或打开可收集个人信息的权限。
5、App未提供有效的更正、删除个人信息及注销用户账号功能,或为更正、删除个人信息或注销用户账号设置不必要或不合理条件;无法通过在线操作方式及时响应个人信息查询、更正、删除请求的,完成核查和处理承诺时限超过15个工作日。
6、App未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内受理并处理;个人信息处理者未建立便捷的个人行使权利的申请受理和处理机制。
7、基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者未提供便捷的撤回同意的方式;向用户提供撤回同意收集个人信息的途径、方式,未在隐私政策等收集使用规则中予以明确。
8、处理敏感个人信息未取得个人的单独同意。
9、个人信息处理者处理不满十四周岁未成年人个人信息的,未制定专门的个人信息处理规则。
10、收集个人信息的频度等超出业务功能需要。
国家计算机病毒应急处理中心提醒广大手机用户谨慎下载使用以上违规移动App,认真阅读其用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据,避免个人隐私信息被泄露。
2
6家咖啡企业依然存在违规采集消费者个人信息问题被严肃约谈
8月7日消息,近期上海市网信办会同市市场监管局组织开展“咖啡消费场景下个人信息保护”专项整治活动,前期围绕该领域普遍存在的违法违规收集个人信息问题,专门对24家重点咖啡企业集中开展了普法培训和合规指导,并针对6类常见违法违规问题发布《咖啡消费场景违法违规收集使用个人信息案例解析(1-3)》《咖啡消费场景违法违规收集使用个人信息案例解析(4-6)》,督促企业抓好问题自查整改。
经上海市网信办复核巡查发现,太平洋咖啡、瑞幸咖啡、COSTA COFFEE、M Stand、挪瓦咖啡、一尺花园等6家企业仍然存在问题整改不到位情况,反映出部分企业仍没有真正有效落实《个人信息保护法》相关要求。8月6日下午,上海市网信办会同市市场监管局依法约谈上述咖啡企业负责人。
上海市网信办对于6家企业存在隐私政策缺失、不实或不完整,强制或频繁诱导收集精准位置信息,强制或诱导加入会员,未提供关闭定向推送等违法违规问题进行了严肃批评,要求企业务必认真履行个人信息保护义务,不折不扣落实好个人信息处理“最小必要”和“告知-同意”原则,真正做到隐私政策清晰完整、个人信息收集合法合规。
3
互联网安全大会 | 专家就推进大模型赋能网络安全提出建议
8月12日消息,在日前召开的第十二届互联网安全大会上,中央网络安全和信息化委员会办公室副主任、国家互联网信息办公室副主任王京涛介绍,截至目前,我国已经完成备案并上线、能为公众提供服务的生成式人工智能服务大模型达180多个,注册用户数已突破5.64亿。
新变革催生新需求
中国工程院院士吴世忠表示,人工智能以激进式的科技创新,全面推进新一轮科技革命和生活赋能;以颠覆式的应用创新,全面推进新一轮的社会变革。特别是近年来,基础模型的突破展示出强大的新质生产力,激发出科技、经济、社会等全方位的深刻变化,赋能千行百业创新发展。
人工智能迅速发展也带来了安全和风险挑战。随着新一代信息技术与实体经济深度融合,网络安全的基础性、保障性作用日益凸显。“由人工智能技术带来的新型安全问题已成为现实,安全行业将迅速迈进人工智能驱动的新时代。然而,大模型安全研究才刚刚开始。无论是安全研究还是安全产业,都必须紧跟科技进步和应用创新,才能服务保障好发展。”吴世忠说。
拓展网络安全产业空间
世界互联网大会秘书长任贤良认为,要把防控网络安全风险放在人工智能发展与治理的重要位置。在人工智能技术与应用发展各环节,针对不同对象特点设计相应的安全保障体系,确保网络安全保障系统同步运行。
中国工程院院士邬贺铨表示“人工智能等数字技术的应用既是安全防御的重点,也是保障安全的有力手段。要将大数据、人工智能、物联网等技术结合起来,提升安全保障能力。”
夯实网络空间发展底座
工业和信息化部网络安全管理局局长隋静透露,工信部将加强需求牵引,提升网络安全产业发展动能。充分发挥海量数据和丰富应用场景的优势,以工业互联网、车联网等数字化新场景为牵引,以落实电信和互联网等行业安全管理要求为基础,以网络安全能力建设为抓手,不断提升网络安全产业供给水平,促进供需两端有效对接。
隋静表示,要加强网络协同,构建产业生态。支持龙头企业做大做强,构建优势互补、协同发展的网络安全共同体。推动创新链、产业链、资金链、人才链深度融合,持续推进网络安全园区建设。充分发挥中国网络安全产业创新发展联盟作用,加强行业自律,培育公平竞争的市场环境。
END