国内外简报industry briefing

国内外信息安全简报2018年第三十周

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1.史上最严重数据车祸:100+车厂机密全曝光,通用特斯拉统统中招

100多家车厂,从通用汽车、菲亚特克莱斯勒、福特、丰田,大众到特斯拉,现在机密数据统统被供应商的共同服务器曝光。前所未有的数据车祸事件。今天,数据安全事件的当事主角叫Level One,一家2000年创办于加拿大的汽车供应商,由于提供机器人和自动化方面的工程服务,在全球有100多家合作伙伴。然而,正是这样一家“能力越大责任越大”的供应商,被网络安全公司UpGuard的研究员Chris Vickery发现,数据后门大开,轻松访问其合作伙伴的机密文件。从车厂发展蓝图规划、工厂原理、制造细节,到客户合同材料、工作计划,再到各种保密协议文件……甚至员工的驾驶证和护照的扫描件等隐私信息,共计157千兆字节,包含近47,000个文件。数据之机密和丰富,令人背后发凉。(详情链接

2.新加坡遭最大规模网络安全攻击 李显龙:我就是目标

新加坡卫生部20日表示,新加坡一保健集团健康数据遭黑客攻击,150万人的个人信息被非法获取,新加坡的总人口约600万人,这意味着新加坡平均每四个人,就有一个人的信息遭到泄露。而这其中包括新加坡总理李显龙,甚至连李显龙本人的配药记录、门诊信息等也遭到外泄。这起事件也被当地媒体称为“新加坡遭遇的最大规模网络安全攻击”。此外,新加坡总理李显龙还表示,此次网络攻击的目标是他本人,黑客为盗取他的门诊配药记录进行了多次尝试。李显龙称,这些黑客是希望找到一些国家机密或令他本人难堪的信息。但同时,李显龙也表示这些黑客会感到失望,因为其中“没有什么令人担忧的东西”。(详情链接

3.iPhone没那么安全 黑客可绕过密码尝试次数限制

没有密码要解锁iPhone并非易事。多次尝试输入密码,用户会数年、数十年不能解锁手机,甚至丢掉手机中的数据。这也是执法机构向苹果施压,要求帮助解锁圣贝纳迪诺枪击案嫌犯iPhone,以及全美警局购买一款被称作GrayKey的低价iPhone破解装置的原因。但是,网络安全公司Hacker House联合创始人马太·希基(Matthew Hickey)发现一种方法,绕过iPhone的这一安全机制,甚至是在iPhone运行最新iOS版本的情况下。黑客需要的仅仅是“一部处于开机状态的上锁iPhone和一根Lightning线缆。”希基表示,当iPhone与电脑相连时,黑客利用键盘输入向它发送猜测的密码(而非在手机屏幕上输入),这会触发一个优先级别最高的中断请求。这意味着,如果黑客一个接一个地不停地向iPhone发送密码,它将处于忙的状态,没有时间去删除设备上的数据。因此,黑客可以随意尝试输入的密码次数,突破只能尝试10次的限制。(详情链接

4.大量 Mega 帐户的登录信息遭泄露,并暴露了用户文件

Mega —— 这家于新西兰成立并提供在线云存储和文件托管服务的公司,目前被发现其平台中有成千上万的帐号凭证信息已在网上被公开发布。被泄露的信息以文本文件形式提供,据了解这份文本文件包含超过 15,500 条用户名、密码和文件名的数据,这意味着这些帐号都曾出现异常登录的情况,并且帐号中的文件名也被爬取了。这份文本文件最早由 Digita Security 公司的首席研究官和联合创始人 Patrick Wardle 于6月份在恶意软件分析网站 VirusTotal 上发现,而这份文件是在几个月前由一名据称在越南的用户上传的。(详情链接

5.医疗软件公司MedEvolve因服务器漏洞致20多万患者信息泄露

在过去的几个月里,我们看到了数据泄露事件发生频率的激增,同时也看到了针对对医疗行业的网络攻击显著增加。在上周,另一起医疗数据泄露事件导致了患者的个人信息遭到曝光,并且所涉及的患者数量超过了20万。MedEvolve是一家美国阿肯色州的医疗软件公司。根据2018年7月10日发布的一份新闻稿,MedEvolve面临数据泄露,暴露了患者的个人信息。在2018年5月11日,当该公司的工作人员在一个FTP服务器上发现了一个包含患者数据的文件后,他们注意到了这个漏洞。值得注意的是,这个文件可以被任何人访问。MedEvolve表示,在2018年3月29日到2018年5月4日期间,该文件都是可以被公开访问。他们同时也指出,曾经就有人在2018年3月29日对该文件进行了非法访问。(详情链接

6.美国最大血液检测实验室LabCorp出现安全漏洞

LabCorp是美国最大的血液检测实验室,而LabCorp在近日发表声明称,他们遭到了黑客的非法入侵,而这一事件将会让数百万的美国公民陷入安全风险之中。据英国《每日邮报(DailyMail)》报道,LabCorp在上周末遭遇了一起网络攻击事件,可能存在数据泄露的问题。虽然目前调查仍在进行当中,但有关当局表示LabCorp的网络系统的确在上周末遭到了匿名黑客的入侵,而入侵目的很可能是为了获取医疗数据。(详情链接

7.五角大楼将研发新技术:让意念控制武器

美国国防部的研究部门正在实施一个项目,他们正在挑选几个团队,一种“神经界面(neural interface)”系统,既能让战斗员利用脑电波将自己与武器系统相连接,又能让这些系统直接将信息传回用户的大脑。五角大楼将研发新技术:让意念控制武器-E安全旨在将人类操作员的大脑与他们控制的系统连接起来——而且反之亦行。人类控制机器的想法催生了众多科幻大片,如《环太平洋》(Pacific Rim)。虽然目前摩天大楼大小的战斗机器人只存在于屏幕上,但五角大楼正在开发一种技术,希望有朝一日可能使它们成为现实。(详情链接

8.入侵300家网站权当练手,半个月出师的“黑客”流下了悔恨的泪水……

作为一名黑客的确可以很酷,指尖在键盘跳跃就能操控世界,甚至还能拯救全人类,但这大多只是电影里的情节。为了炫技,尝试盗QQ号、给朋友发恶作剧木马程序,相信很多人年少轻狂都干过这样的事情;不过为了练手,入侵多达300个网站,顺带窃取用户信息牟利,这位半个月出师的“黑客”不出意外的获罪入狱。(详情链接

9. 微信仓促更新,黑产加速圈钱,“微信号”黑市规模接近40亿

在这次微信的更新中,长按公众号文章会出现“未完成的功能”字样,此次改版在还“未完成”状态仓促上马,说明张小龙背负着越来越重的商业变现压力。讽刺的是,就在张小龙眼皮底下,有那么一群人,寄生在微信平台上,创造了一个规模近40个亿的黑色产业链……。(详情链接

10.数据堂涉倒卖公民信息案:曾0.2元/条买病例

7月11日,数据堂发公告称,公司某一客户因出售公民个人信息被公安机关调查,个别相关人员牵连涉案接受调查。数据堂是一家数据市场服务提供商,主要业务涵盖数据采集、制作、交易等。数据堂称拥有超过2000TB的数据,涵盖金融、信用、医疗、交通等数十大领域的大规模数据,曾在8个月内日均传输公民个人信息1亿3千万余条,累计传输数据压缩后达4000GB左右。2018年5月9日、7月10日,该案两次开庭审理完毕,尚待宣判。(详情链接