2023年11月30日 星期四

今日资讯速览：

1、浙江网信办：依法查处闲鱼等156款违法违规App

2、BlackCat 声称攻击了台湾中国石化

3、18国签署，全球首份《安全AI系统开发指南》发布

1、浙江网信办：依法查处闲鱼等156款违法违规App

据网信浙江11月28日消息，依据《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规，该办依法查处阿里拍卖、闲鱼、极氪等156款违法违规App。这些违法违规App存在未公开收集使用规则、未明示收集使用个人信息的目的方式和范围、未经用户同意收集使用个人信息、违反必要原则收集等问题，责令限期15日完成整改。

【阅读原文】

2、BlackCat 声称攻击了台湾中国石化

据知道创宇暗网雷达监测，近日勒索软件组织 BlackCat(ALPHV)将台湾中国石化（https://www.cpdc.com.tw）添加到其Tor泄露网站的受害者名单中，从公布的数据来看，本次泄露的数据大小为41.9GB，数据上传时间是2023年11月27日。

BlackCat (ALPHV)勒索网站官网

台湾中国石油化学工业开发股份有限公司（中石化、CPDC）成立于1969年。原系台湾行政院经济部所属国营事业，1991年股票于台湾证券交易所挂牌上市，1994年，正式转为民营企业，为威京集团事业体之一。

台湾中国石化开发总公司及其子公司在台湾和国际上生产和销售石化中间体及相关工程塑料、合成树脂、化学纤维和其他衍生产品。

关于BlackCat (ALPHV)组织

BlackCat 勒索组织（又名AlphaVM、AlphaV 或ALPHV）于2021 年11月中旬首次被 Malwarehuntertam 研究人员披露，是第一个基于 RUST 语言编写的专业勒索软件家族系列，并因其高度定制化和个性化的攻击而迅速赢得市场，是勒索即服务(RaaS) 的运营商之一。

根据目前的分析，BlackCat 采用勒索软件即服务 (RaaS) 商业模式，在已知的网络犯罪论坛中招揽生意，允许合作的黑客组织使用勒索软件并自留 80-90% 的赎金。BlackCat 采取了更激进的方式来对受害者进行勒索，在一个多月的时间里，在他们的泄密网站上已经有十几个受害者的信息被泄露。

迄今为止，该组织的最大受害者都是美国的组织，但 BlackCat 及其合作组织也攻击了欧洲、菲律宾和其他地方的目标。受害者包括以下行业的组织：建筑和工程、零售、运输、商业服务、保险、机械、专业服务、电信、汽车零部件和制药。

BlackCat 在数据泄露站点（暗网）上公布的台湾中国石化部分样例数据截图如下：

黑客公布的部分样例数据截图

从勒索组织发布的截图上来看，此次泄露的数据包含了其内部通讯录、银行账户、收入支出等财务状况和高管交接资料等。

 【阅读原文】

3、18国签署，全球首份《安全AI系统开发指南》发布

2023年11月27日，美国、英国和其他十几个国家公布了首份关于如何保护AI免受流氓行为侵害的详细国际协议《安全AI系统开发指南》，敦促企业打造“设计安全”的AI系统。

协议由英国国家网络安全中心（NCSC）主导，并与美国网络安全和基础设施安全局(CISA)共同制定，从而建立了AI领域的全球合作。

作为世界各国政府为推动AI发展而采取的一系列举措中的最新一项，《安全AI系统开发指南》旨在提高AI的网络安全水平，并帮助确保AI的设计、开发和安全部署。协议分为四个关键领域——安全设计、安全开发、安全部署以及安全操作和维护。其不具备约束力，主要包含一般性建议，例如监控AI系统是否被滥用、保护数据免遭篡改以及审查软件供应商等。

在一份长达20页的文件中，18个国家一致认为，设计和使用AI的公司需要以确保客户和公众免受滥用的方式开发和部署。《安全AI系统开发指南》将帮助任何使用AI的系统的开发人员在开发过程的每个阶段做出明智的网络安全决策——无论这些系统是从零开始设计的，还是建立在已有的工具和服务之上的。

具体而言，该指南为AI系统安全开发提出了四大方面的监管要求：

01 要优先考虑“设计安全”和“默认安全“

其中多次强调了“设计安全”和“默认安全”原则，即AI开发公司应该主动保护AI产品免受攻击的方法。起草者敦促AI开发人员在决策过程中优先考虑安全，而不单单注重功能和性能。准则还建议产品提供设置为最安全的默认应用选项，并向用户清楚地传达替代该默认配置的风险。根据指南的要求，AI系统的开发人员应该为下游的应用结果承担责任，而不是依赖客户去控制安全。

02 密切关注复杂的供应链安全

AI工具开发人员在设计自己的产品时常依赖第三方组件，比如基础模型、训练数据集和API。庞大的供应商网络会给AI系统带来更大的攻击面，其中任何一个薄弱环节都可能会对产品的安全性产生负面影响。因此，准则要求开发人员在决定引用第三方组件时，需要充分评估其中的安全风险。在与第三方合作时，开发人员应该审查和监控供应商的安全状况，要求供应商遵守与自己组织相同的安全标准，并对导入的第三方代码实施扫描和隔离。

03 考虑AI应用中面临的独特风险

AI系统应用时会产生一些特有的威胁（如提示注入攻击和数据中毒），因此开发者需要充分考虑AI系统独特的安全因素。AI系统“设计安全”方法的一个重要组成部分就是为AI模型输出设置安全护栏，以防止敏感数据泄露，并限制用于文件编辑等任务的AI组件的操作。开发人员应该将AI特有的威胁场景纳入发布前的测试中，并监控用户输入以判断是否存在恶意利用系统的企图。

04 AI系统安全开发应该具有持续性和协作性

指南中概述了贯穿AI系统设计、开发、部署、操作及维护等全生命周期阶段的最佳安全实践，并强调了要持续监控已部署AI系统的重要性，这样能够发现模型行为方面的变化和可疑的用户输入。“设计安全”原则是任何软件更新的关键组成部分，准则建议开发者在默认情况下自动更新。最后，指南还建议开发人员利用更庞大的AI社区反馈和信息共享，不断改进系统的安全性。

【阅读原文】

2023年11月29日 星期三

今日资讯速览：

1、滴滴“闪崩”背后：疑似底层系统遭攻击｜聚焦

2、黑客劫持美国自来水公司的工业控制系统

3、KyberSwap称5470万美元的加密货币在攻击中被盗

1、滴滴“闪崩”背后：疑似底层系统遭攻击｜聚焦

《科创板日报》11月28日讯（记者 黄心怡 朱凌）滴滴系统再遭遇“闪崩”危机。

今日早晨，滴滴官方称经技术团队连夜修复，滴滴网约车等服务已恢复，用户可下载滴滴App使用打车服务。骑车等服务还在陆续修复中，所有可开锁或未关锁的青桔车辆均可免费骑行。

不过，在滴滴发出公告的同时，《科创板日报》记者在上海、深圳等地使用滴滴呼叫网约车，发现网约车功能并未恢复使用，网络加载异常，仍无法打车。

一直到上午9点20分，不少网友反馈无法登陆。

《科创板日报》记者联系滴滴相关部门，后者人士表示，以最新公告为准。记者继续问及对于此次系统“闪崩”背后原因，一直未获回复。

▍有用户一下子叫来四辆车 且无法取消

截至今天（11月28日）早上，滴滴全系统仍未完全恢复， 多数打车用户今天早上只能改用其他网约车平台。有用户反馈虽然打到了车，但同时来了好几辆车，最夸张的是一下子叫了四辆车，且无法取消，也无法联系客服。

这次滴滴系统故障已经持续一夜。

昨日晚间11时许，北京、上海等城市大量滴滴用户表示，滴滴出行APP崩溃并显示网络异常，用户无法使用定位功能且无法打车。滴滴支付宝、微信小程序也无法登录。而记者拨打滴滴出行乘客热线，提示“对方无应答，已关机”。而滴滴官网也无法访问，呈现“502 Bad Gateway”空白页面状态。

除了无法打车，滴滴系统的订单和计价系统也出现了异常。有用户表示：司机都把我送到目的地了，还在显示“司机已达到”，而取消订单还网络异常。

还有用户反馈：明明已经到了目的地还在给我一直计费。几十块的行程，最后扣费三百多。

今天早间滴滴回应称，用户账户中的优惠券可正常使用。如果因故障原因优惠券未生效，用户原价支付后，故障恢复后系统将自动抵扣优惠券并原路退款（优惠券同等金额）；因系统故障导致的费用支付异常、多扣费等问题，请大家不用担心，耐心等待，会在事故处理结束后统一结算补偿；故障期间骑行未能关锁的用户，已扣除费用会原路退回。

▍疑似底层系统遭攻击

“滴滴这种复杂LBS（基于位置的服务）服务，如果是在基础设施层崩溃，恢复起来不容易的。”有IT业内人士向《科创板日报》记者表示。

对于滴滴系统故障的原因有多方猜测。有互联网从业者在社交平台爆料称，是滴滴系统半夜被攻击所致。“服务器没有物理隔离，物理攻击后台服务全挂，dc都上不去。”

对此，有资深IT技术总监向《科创板日报》记者分析，从表现上看，打车、共享单车全挂，不同的业务板块之间应该是有隔离的，说明问题出在更加底层的基础设施。

“攻击者一般只能访问到应用层，基础设施访问不到的。要么是被攻击者打穿，要么是自己系统操作不慎挂了。即便是前者，也算是一种系统缺陷，才会被打穿。”

也有多名互联网技术人员提到，目前信息较少，很难推测准确的原因。另有滴滴内部人士也对《科创板日报》表示，目前尚不清楚情况。

截至记者发稿，上海、山东、北京多地用户反应已经可以使用滴滴打车服务，但打车时间较长。有用户称：从9:05开始叫车叫到9:35，刚上车，来自高德的司机师傅大喝: “哈哈，滴滴叫不到吧！”

《科创板日报》记者采访获悉，不少消费者受滴滴系统崩溃影响，已经选择使用其他平台。有用户称“大早上的滴滴挂了，高德、美团爆满。”

▍内部更新把基础设施搞崩溃？

经《科创板日报》记者梳理，滴滴历史上曾多次出现崩溃。

2015年10月，滴滴出行就曾出现出现崩溃3个多小时，无法叫车的情况，彼时滴滴解释称深圳部分服务器遭遇技术故障，“目前已经定位故障原因，我们的工程师正在紧急修复，系统正在逐步恢复正常。”

2016年7月，滴滴打车系统整个崩溃，司机与乘客均无法登陆。

2018年11月，滴滴版本更新时，滴滴司机车辆信息全部被清理，无法出车。

2019年10月，滴滴再次崩溃，无法显示路线。滴滴表示，是系统更新时出现了故障，导致导航出现问题。

2020年9月，滴滴再现“最难打车日”，多地用户使用滴滴出行打车时，出现网络故障的提示，滴滴后续仅称，技术故障已修复。

2021年2月，滴滴又一次崩了，出现打不了车、发布的行程也看不见、司机接到人后开启不了订单、司机无法结束订单等多种异常情况。

滴滴此前曾推出滴滴云公有云服务。不过由于产品线调整， 2023年3月31日起不再对外提供公有云服务。

《科创板日报》记者发现，滴滴官网的IP指向腾讯云服务器。

美股公告曾显示，滴滴向腾讯采购支付处理服务、托管服务及云服务2018年、2019年和2020年的成本费用约32.6亿元；滴滴向阿里巴巴采购云服务及信息技术平台服务2018年、2019年和2020年的成本费用约32.6亿元。

“这种一般是做更新、运维时把云底座、基础设施带崩了，滴滴历史上多次内部更新时崩溃的。异地多活容灾似乎也没起作用。”一位接近滴滴的IT人士告诉《科创板日报》记者。

【阅读原文】

2、黑客劫持美国自来水公司的工业控制系统

 宾夕法尼亚州阿利基帕市水务局证实，黑客周末控制了与升压站相关的系统，但表示供水不存在风险。

 该公司为Aliquippa以及Hopewell、Raccoon和Potter镇部分地区的6,600多名客户提供供水和污水处理服务。

 自来水公司的一名代表告诉KDKA-TV，受损系统与监控和调节Raccoon镇和Potter镇水压的增压站有关。

 警报很快就向Aliquippa实用程序发出了入侵警报，并禁用了受感染的系统。该供水设施的代表表示，供水或饮用水不存在已知风险。

 一个与伊朗有关联的黑客组织自称CyberAv3ngers，声称对此次攻击负责。反以色列黑客似乎瞄准了以色列公司Unitronics制造的工业控制系统(ICS)。

 KDKA-TV发布的图片表明，黑客控制了UnitronicsVision系统，该系统是一个带有集成人机界面(HMI)的可编程逻辑控制器(PLC)。据了解，UnitronicsVision产品受到严重漏洞的影响，这些漏洞可能会使设备遭受攻击。

 另一方面，HMI通常暴露在互联网上，无需身份验证即可访问，这使得它们很容易成为低技能威胁行为者的目标。

 CyberAv3ngers组织声称自10月7日以色列与哈马斯冲突升级以来，已经攻破了以色列许多水处理站的系统。

 然而，众所周知，黑客夸大了攻击的影响，甚至被发现发布虚假数据并声称这些数据是从目标组织窃取的。

 黑客活动团体经常以ICS为目标，因为他们很清楚黑客攻击这些类型设备的潜在影响，这有助于他们吸引更多人关注他们的事业。

 在许多情况下，黑客活动分子不需要成为工业系统专家就可以进行攻击。由于HMI通常不受保护，因此黑客可以轻松访问它们并更改可能对物理过程产生重大影响的参数。

 此类黑客活动团体的说法往往被夸大，但专家警告说，他们不应被忽视。

 KDKA-TV报道称，宾夕法尼亚州警方已获悉Aliquippa自来水公司发生的这起事件，但尚不清楚联邦当局是否也参与了调查。

 针对水务部门的网络攻击并不罕见，并且已经有证实的报告称攻击影响了供水设施的ICS。这就是为什么美国政府机构CISA最近开始向该领域的组织提供免费的漏洞扫描服务。

【阅读原文】

3、KyberSwap称5470万美元的加密货币在攻击中被盗

据外媒11月27日报道，加密货币平台 KyberSwap表示，在本周早些时候宣布的网络攻击中，价值约5400万美元的加密货币被盗。

【阅读原文】

2023年11月28日 星期二

今日资讯速览：

1、日本主要通讯应用Line遭攻击，数十万用户面临数据泄露风险

2、美国通用电气公司的访问权限和大量数据在黑客论坛被出售

3、GE疑遭黑客攻击导致大量数据泄漏

1、日本主要通讯应用Line遭攻击，数十万用户面临数据泄露风险

11月27日下午，日本最主要通讯应用程序Line的运营商、日本LY公司发布公告称，有攻击者通过附属公司的 NAVER Cloud 系统访问了其内部服务器，可能泄露了数十万条包含用户、员工和业务合作伙伴在内的数据。

这一攻击事件发生在10月9日，当时攻击者通过恶意软件感染了附属公司一名员工的电脑。10 月 27 日，LY 公司的安全团队确定，这极有可能是未经授权的外部人员访问该应用程序的系统。

据悉，此次Line可能泄露的302569条用户数据包括通话页面活动、通话终止类型、通话室详情（包括发送方和接收方的国家、性别、年龄和操作系统）以及内容发布详情（包括时间和日期、关注者/好友总数以及发布视频的开始和结束时间）等信息；而51353 条员工相关数据则包括姓名、员工 ID 号、电子邮件地址。此外，该公司业务合作伙伴的 86071 条电子邮件地址记录也可能同样泄露。

该公司声称，泄露的数据不包括有关银行账户、信用卡或 LINE 应用中的聊天对话信息。

LY 公司在公告中也表示尚未收到任何造成二次损害的报告，包括滥用用户和业务合作伙伴的信息。

LY公司发布的公告全文

Line 于 2011 年 6 月在日本推出，这款流行的通讯应用提供视频和文本聊天服务、免费 VoIP 对话和视频会议。除了在日本，Line 在中国台湾、泰国和印度尼西亚等地也拥有广泛用户，全球每月活跃用户超过 1.76 亿。

【阅读原文】

2、美国通用电气公司的访问权限和大量数据在黑客论坛被出售

据外媒11月25日报道，美国通用电气公司（GE）正在调查有关威胁行为者在网络攻击中破坏公司开发环境并泄露涉嫌被盗数据的说法。本月早些时候，黑客IntelBroker在暗网以500美元的价格出售GE的访问权限。然后，攻击者再次发帖称，他们现在同时出售网络访问权限（SSH和SVN等）和被盗数据，其中被盗数据包括大量与DARPA相关的军事信息、文件、SQL文件和文档等。

【阅读原文】

3、GE疑遭黑客攻击导致大量数据泄漏

据Cyberexpress报道，GE（通用电气）近日疑遭黑客攻击，包含大量敏感军事机密信息数据被黑客在论坛中出售。

GE是一家美国跨国公司，业务涉及电力、可再生能源和航空航天行业，同时也是美国国防部的重要承包商。

本月早些时候，一个名为IntelBroker的黑客在黑客论坛上以500美元的价格出售通用电气“软件开发管道”的访问权限。

在没能出售所谓的访问权限后，该黑客再次发帖称，他们开始出售GE的网络访问权限和被盗数据。

“我之前列出了GE网络的访问权限，但是，没有真正的买家真正回复我或跟进。我现在在这里单独出售整个东西，包括访问权限（SSH、SVN等），”IntelBroker在黑客论坛发帖称：

“数据包括大量与DARPA相关的军事信息、文件、SQL文件、文档等。”

来源：BleepingComputer

作为泄露的证据，黑客还公布了GE被盗数据的屏幕截图，数据样本包括GE Aviations的一个SQL数据库（包含有关军事项目的信息）、军事文件、航空系统技术描述和指南以及维护报告等数据。

在一份声明中，GE发言人表示：“我们注意到不良行为者对GE发生数据泄漏的声明，并正在调查该事件。我们将采取适当措施来帮助保护我们系统的完整性。”

虽然此次泄露事件尚未得到证实，但值得注意的是，IntelBroker是一位“专干大案”，且成功率极高的黑客。

今年3月，IntelBroker攻破了DC Health Link，并声称出售了包含数千人个人信息的被盗数据库。DCHealthLink是华盛顿特区的一个医疗保健市场，许多白宫和众议院工作人员及其家人都使用该市场。

此次泄露事件引起了媒体的广泛报道，并召开了国会听证会，以更多地了解和调查泄露事件是如何发生的。

在听证会上，哥伦比亚特区健康福利交换管理局执行董事米拉·科夫曼(Mila Kofman)解释说，这些数据是通过配置错误的服务器暴露的。

【阅读原文】

2023年11月27日 星期一

今日资讯速览：

1、国内某企业2000多万条地图数据遭数据公司盗取

2、印度国有银行因技术问题，错汇82亿卢比

3、开源3D设计软件Blender的服务器遭受DDoS攻击

1、国内某企业2000多万条地图数据遭数据公司盗取

利用非法手段获取数据，为他人提供数据分析服务？

近期，在市局网安总队的指导下，普陀警方在纵深推进净网2023、砺剑2023等专项工作中，破获一起非法获取计算机信息系统数据案。

01 接到报案

今年5月，普陀分局网安支队接到某提供导航服务的公司报案称，发现有人利用技术手段盗取公司服务器内全国的导航地图信息数据，并在论坛中售卖，导致公司直接经济损失约21万元。

电子数据鉴定报告

02 开展侦查

普陀网安支队迅速开展侦查工作，成功锁定就职于一家数据科技公司的犯罪嫌疑人张某齐。警方循线追踪，发现张某齐售卖的“盗版”数据均来自其所就职公司的数据库。该公司自2021年7月起从事大数据分析业务，主要根据客户需求出具分析报告，并提供营销分析、运营分析、产品分析等服务。经警方进一步侦查发现，在该公司实际控制人张某某的指使下，公司技术负责人吕某昌和技术员张某齐编写爬虫程序，对目标平台的数据进行非法爬取，通过分析“盗版”数据出具分析报告以非法牟利。

涉案硬盘

03 实施抓捕

6月底，警方将张某某、吕某昌、张某齐等3名犯罪嫌疑人抓获。7月21日，警方赴外省抓获犯罪嫌疑人丘某平。目前，犯罪嫌疑人张某某、吕某昌、张某齐、丘某平因涉嫌非法获取计算机信息系统数据罪被警方依法采取刑事强制措施。

犯罪嫌疑人张某齐到案

到案后，犯罪嫌疑人张某齐对其犯罪事实供认不讳。经审讯，张某齐交代，其因工作需要，通过论坛搭识网络工程师丘某平，并在丘某平处购买了相关技术服务。两人在未经授权的情况下，非法盗取平台数据2000余万条。此外，张某齐为进一步非法牟利，私自将非法爬取的“盗版”数据于论坛售卖。

涉案服务器

从事相关工作的技术人员要进一步规范自身运用行为，遵守行业规范和法律法规。企业也应进一步提高数据安全保护意识，积极构建系统长效的安全防护体系，严格落实网络数据安全制度和措施。

上海公安机关将不断加强打击非法爬虫违法犯罪，起底黑灰产业链条，以打促管，以管促治，全力维护网上安全。

编辑｜小张、赵煜

审核 | 青青、欣月

【阅读原文】

2、印度国有银行因技术问题，错汇82亿卢比

印度国有银行合众银行（UCO Bank）指出，由于“即时支付服务”（IMPS）技术问题，高达82亿卢比的款项被误转入该行某些帐户，银行发现后立刻冻结部分帐户，目前追回64亿9000万卢比，约占79%。

综合外媒报导，印度合众银行向监管机构提交一份文件显示，在11月10日至13日，IMPS出现技术问题，导致其他银行的帐户持有人进行某些交易后，没有收到钱，反而有82亿卢比汇入了合众银行旗下多个帐户。

该行发现问题后，立刻冻结误收款项的帐户，部分客户已动用相关款项，银行亦已向他们解释并敦促他们偿还，成功从这些客户中追回了约9000万卢比。

该行目前已成功追回64亿9000万卢比，并将采取必要行动，追回剩余的17亿1000万卢比，也向执法部门报告，同时停用IMPS。

公开资料显示，即时支付服务平台是由印度国家支付公司（NPCI）营运，用来提供各家银行间不需经过干涉，可直接进行电子金融转帐的系统。至于导致IMPS出错的缘故，合众银行并未说明，仅解释是内部技术问题，而不是平台问题。

【阅读原文】

3、开源3D设计软件Blender的服务器遭受DDoS攻击

据外媒11月22日报道，Blender已经证实，最近的站点中断是由18日开始的持续DDoS（分布式拒绝服务）攻击引起的。该项目的团队表示，这些攻击使他们无法处理合法的连接请求，从而对运营造成严重干扰。最终，在连续四天的问题之后，该团队将其主要网站移至CloudFlare，他们说这有助于减少攻击的影响。

【阅读原文】

2023年11月24日 星期五

今日资讯速览：

1、非法获取新生儿信息遭泄露，13人被抓！

2、俄报道揭露了黑客组织 Killnet 头目身份

3、博彩网站 DraftKings 68000 个账户被撞库，幕后之人竟为青少年

1、非法获取新生儿信息遭泄露，13人被抓！

济南多名新生儿父母曾接到“上门摄影”电话推销，疑似个人信息泄漏，多人报警。网警在接警后进行了跟踪调查，查明：山东某文化有限公司主营业务为新生儿摄影，公司法人席某倩于2021年5月联系在济南某单位工作的好友张某某、周某，意图通过非法渠道获取更多客户资源。与席某倩达成共识后，张、周二人利用职务之便潜入单位系统，查询获取到部分孕妇和新生儿信息，并以每条5元的价格出售给席某倩。

专案组将上述3人以及山东某文化有限公司共同经营人张某江抓获，同时查获纸质版新生儿信息2000余条，电子版6万余条。经梳理，席某某非法获利51万余元，张某某非法获利24万余元，周某非法获利12万余元。

与此同时，警方继续“顺藤摸瓜”，挖到了曾经为其提供个人信息的6家机构，以及席某倒卖新生儿个人信息的下家2个，又再次抓获犯罪嫌疑人9名。

个人信息保护法于2021年11月1日正式实施。该法规定了个人信息的收集、处理、使用和保护原则，明确了对于违法收集和处理个人信息的行为将会受到严厉的处罚。此外，相关刑法也明文规定了侵犯公民个人信息罪，涉及到侵犯未成年人个人信息的，刑罚将会更为严重。

对倒卖方的制裁：

• 刑事责任：倒卖新生儿个人信息属于侵犯隐私权、非法交易等罪行，将受到刑事责任的追究。在中国，可能涉及到《刑法》中的侵犯公民个人信息罪，刑罚严重，可能面临有期徒刑。

• 
  

• 经济制裁：根据相关法规，倒卖个人信息的行为也可能受到罚款等经济制裁，罚款数额将根据涉及人数和情节的严重程度而定。

• 
  

• 公司责任：如果倒卖方是企业或组织，除了个人刑事责任外，公司也可能面临巨额罚款，并可能被迫关闭或受到其他行政制裁。

对购买方的制裁：

• 刑事责任：购买新生儿个人信息的行为同样涉及到非法交易、侵犯隐私权等罪行，将受到刑事责任的制裁。刑罚可能包括有期徒刑、罚款等。

• 
  

• 民事责任：购买方可能面临赔偿受害者的民事赔偿责任，因为他们的行为导致了个人信息的泄露和可能的财务损失。

• 
  

• 社会声誉受损：购买方一旦被曝光，将面临社会谴责，可能导致个人和企业的声誉受损。

【阅读原文】

2、俄报道揭露了黑客组织 Killnet 头目身份

Hackernews 编译，转载请注明出处：

亲俄黑客组织Killnet本周受到越来越严格的审查，此前一家新闻网站似乎披露了该组织领导人的身份。

他在网上被称为基尔米尔克(Killmilk)，在俄乌战争期间，他因代表一群出于政治动机的黑客而出名。据俄媒体 Gazeta.ru 周二发布的一篇报道，他实际上是一名30岁的俄罗斯公民，名叫尼古拉·塞拉菲莫夫(Nikolai Serafimov)。

根据 Gazeta.ru 从其他黑客活动人士和执法机构的消息来源获得的数据，塞拉菲莫夫已婚，拥有保时捷和宝马汽车，之前曾因分销毒品而被定罪。

截至周三，Killmilk 和 Killnet 都没有对这则新闻报道发表公开评论。

Gazeta.ru 没有解释是什么引发了报道，基尔米尔克一度要求 Gazeta.ru 披露是谁泄露了这些信息，但该新闻网站表示拒绝。据 Gazeta.ru 报道，这名黑客随后终止了通信并删除了聊天记录。

Killnet 声称对针对西方国家医疗机构以及美国和欧洲政府机构网站的DDoS攻击负责。

网络安全公司 Radware 的网络威胁情报主管帕斯卡尔·吉宁斯(Pascal Geenens)表示，新闻报道中描述的此人的形象——“具有说服能力和良好的社会工程技能，能够围绕自己建立一个品牌，攻击能力技术含量较低”——与他对基尔米尔克的看法一致，他说：“基尔米尔克的身份暴露后，他将无法继续经营下去。”

在周二的新闻发布之前，Killnet 的行动最近似乎就处于一个十字路口。研究人员说，在去年发起了几次活动后，该组织在过去几个月的活动有所减少，这可能是内部分裂的信号。

反 Killmilk 联盟

据Gazeta.ru报道，十多名黑客和黑客激进分子公开反对Killnet及其领导人。据研究人员称，尽管把自己定位为一个有影响力的爱国英雄，但基尔米尔克原来是一个普通的黑客，在同行中名声不佳。

研究人员说，基尔米尔克经常把其他黑客组织的行动归功于自己，或者对从未发生过的网络攻击撒谎。据俄罗斯黑客活动人士称，他还欠别人钱，欺骗自己的客户，很少兑现自己的承诺。

起初，这种古怪行为帮助基尔米尔克吸引了俄罗斯的支持者。基尔米尔克的前同事告诉 Gazeta.ru，他是“一个优秀的品牌创造者——他知道如何创造信息产品并销售它们。”然而，一些俄罗斯黑客声称他的行为“对整个俄罗斯黑客主义社区有害”。

“很多人都受够了基尔米尔克。在幕后，相当一部分亲俄组织反对他，”亲俄组织NET-WORKER 的一名黑客活动人士告诉 Gazeta.ru。

很长一段时间以来，俄罗斯黑客都不敢与基尔米尔克对抗，因为他以泄露对手的真实姓名而闻名。例如，他对“Anonymous Russia”组织的头目进行了人肉搜索——一名18岁的白俄罗斯公民，绰号“Raty”，在今年早些时候于白俄罗斯被捕。

研究人员说，如果 Killmilk 的身份被正式暴露，Killnet 可能很快就需要一个新的领导人。在这种情况下，地下黑客组织有时会消失，成员会在其他地方重新出现。

吉宁斯说道:“Killnet 与 Killmilk 的理念和声音有着紧密的联系。“这可能意味着一个时代和最具影响力的亲俄黑客组织的终结。但是，每当出现空白时，这个空白很快就会被另一个人或组织填补。”

【阅读原文】

3、博彩网站 DraftKings 68000 个账户被撞库，幕后之人竟为青少年

美国青少年约瑟夫·加里森 (Joseph Garrison)（19 岁）承认参与了一项针对幻想体育和博彩网站用户帐户的撞库活动。 3

2022 年 11 月 18 日左右，该男子对博彩网站发起了撞库攻击，并获得了约 60,000 个账户的访问权限。在某些情况下，该男子及其同伙能够向受感染的账户添加新的支付方式，通过新的支付方式向该账户存入 5 美元以验证该方式，然后通过受害人账户提取所有现有资金。新的付款方式。根据法庭文件，骗子从大约 1,600 个被盗账户中窃取了大约 60 万美元。

根据法庭文件，2022 年 11 月 18 日，Garrison 对该博彩网站发起了攻击，获得了约 60,000 个用户帐户的访问权限。

警方在该男子的电脑上发现了近4000万条凭证，可用于凭证填充攻击。

“执法部门于 2023 年 2 月对 GARRISON 的家进行了搜查。在这次搜查中，他们找到了通常用于撞库攻击的程序。这些程序需要目标网站的个性化“配置”文件来发起撞库攻击，执法部门在 GARRISON 的计算机上找到了数十个不同公司网站的大约 700 个此类配置文件。” 阅读司法部发布的新闻稿。“执法部门还在 GARRISON 的计算机上发现了包含近 4000 万个用户名和密码对的文件，这些文件也用于撞库攻击。”

对加里森手机的分析揭示了他和同谋之间的对话，内容涉及如何入侵博彩网站以及如何直接或通过出售受害者账户的访问权限从受害者账户窃取资金。

据 SecurityWeek 报道，博彩网站 DraftKings 于 2022 年 11 月宣布，约 68,000 个账户在撞库攻击中遭到破坏。

【阅读原文】

2023年11月23日 星期四

今日资讯速览：

1、微软 Defender 推出新一轮漏洞赏金计划，最高奖励 20000 美元

2、《数据清洗、去标识化、匿名化业务规程（试行）》发布

3、中国台湾大江生医集团 236.3GB 数据于暗网泄露

1、微软 Defender 推出新一轮漏洞赏金计划，最高奖励 20000 美元

IT之家 11 月 23 日消息，微软今日发布新闻稿，宣布将为旗下 Microsoft Defender 推出新一轮赏金计划，主要鼓励安全研究人员发现这款软件中的漏洞，赏金最高为 20000 美元（IT之家备注：当前约 14.3 万元人民币）。

微软介绍称，Microsoft Defender 旨在增强微软客户的安全性体验，而 Microsoft Defender 赏金计划将邀请全球研究人员寻找这款软件中的漏洞。新一轮 Defender 赏金计划将从“有限的范围”开始，重点是 Microsoft Defender for Endpoint API，并将随着时间的推移扩展到包括 Defender 旗下其他产品。

微软介绍称，安全人员提交的漏洞必须通过以下标准，才能获得赏金：

• 必须是新发现的漏洞，不包含此前已经向微软报告的漏洞

• 相关漏洞具有一定严重性，并且可以在最新、完全修补的产品或服务版本中重现。

• 安全人员应提供包括清晰、简洁和可复制的重现步骤，书面或视频格式均可。

微软表示，根据漏洞严重程度，相关赏金价格将从 500 美元到 8000 美元（当前约 3580 元到 57280 元人民币）不等，而针对在 Defender 中发现与远程代码执行相关漏洞的研究人员。该类别的奖励将从 5000 美元到 20000 美元（当前约 35800 元到 14.3 万元人民币）不等。

【阅读原文】

2、《数据清洗、去标识化、匿名化业务规程（试行）》发布

为规范数据处理行为，激活数据要素市场，北京市经济和信息化局指导中国信息通信研究院产业与规划研究所、北京国际大数据交易所联合编制、发布国内首个数据清洗、去标识化、匿名化处理相关流程方法的业务规程——《数据清洗、去标识化、匿名化业务规程（试行）》，旨在指导行业主体组织开展数据清洗、去标识化、匿名化处理等及相应的技术测试评估，支撑数据共享、交易、开放等流通活动合规、有序进行。

规范数据清洗、去标识化、匿名化处理等业务活动，有助于提升数据的可用、可信、可流通、可追溯水平，推动数据要素强化优质供给，是促进数据要素化和要素市场化的必经步骤。

《数据清洗、去标识化、匿名化业务规程（试行）》在《个人信息保护法》《数据安全法》《北京市数字经济促进条例》《北京市数字经济全产业链开放发展行动方案》等法规政策框架下，体系性地明晰了数据清洗、去标识化、匿名化处理的技术特点、相互关系和落地方式，总结了各项处理活动的目的、流程、技术方法及环境要求，可适用于广义的数据范畴，包括但不限于个人数据、企业数据、物联网数据等，以期为企业等主体开展相关数据处理活动和相应测试评估提供参考。

下一步，《数据清洗、去标识化、匿名化业务规程（试行）》将作为北京数据基础制度先行区内数据处理活动的工作指南，指导行业主体有序开展数据共享、交易、开放等流通活动，并根据工作实践情况不断优化完善。

【阅读原文】

3、中国台湾大江生医集团 236.3GB 数据于暗网泄露

据知道创宇暗网雷达监测，大江生医集团数据泄露，文件大小 236.3 GB，包含 104,001 个文件。

大江生医股份有限公司是中国台湾地区的企业，全球500强上市公司，成立于1980年，是一家生物整合设计公司，集团下设有四大生产中心，分别坐落在中国台湾、中国上海，以及美国、日本。目前有大江生医、上海百岳特、大江生活、光腾新药、和康生技、沛富生技等多家子公司。

此次暗网雷达监测到的数据泄露，主要包括客户投诉数据、SQL备份 (HR 库、CRM 库、其他库) 、财务数据 (付款、报告、审计等)、业务部门数据 (订单、产品配方、实验室测试、包装等)、美国分部数据 (网络设置、审计供应商、员工数据等)、客户数据(订单、混合物、产品配方、实验室测试、包裹、邮件等)。

黑客先于11月14日在暗网公开了该集团的部分数据，约 1.3GB，随后又发布了全部 236.3GB 的文件数据。

大江生医集团暂未对此数据泄露事件发表公开声明。

【阅读原文】

2023年11月22日 星期三

今日资讯速览：

1、SiegedSec黑客攻击美国核研究实验室，窃取员工数据

2、攻击者利用蝙蝠侠游戏的安装程序进行攻击活动

3、以色列男子因提供黑客雇佣服务被判处 80 个月监禁

1、SiegedSec黑客攻击美国核研究实验室，窃取员工数据

爱达荷国家实验室 (INL) 确认，在“SiegedSec”黑客活动分子在网上泄露被盗的人力资源数据后，他们遭受了网络攻击。

INL 是美国能源部运营的核研究中心，拥有 5,700 名原子能、综合能源和国家安全领域的专家。

INL 综合体占地 890 平方英里（2,310 平方公里），包括 50 座实验核反应堆，其中包括历史上第一座产生可用电力的核反应堆和第一座为核潜艇设计的发电厂。

目前，INL正致力于下一代核电站、轻水反应堆、控制系统网络安全、先进车辆测试、生物能源、机器人、核废料处理等方面的研究。

黑客活动分子声称对 INL 发起攻击

周一，SiegedSec 宣布已获得 INL 数据的访问权限，其中包括“数十万”员工、系统用户和公民的详细信息。

SiegedSec 在黑客论坛上的公告 (BleepingComputer)

正如该组织之前针对 NATO 和 Atlassian的违规行为一样，他们在黑客论坛和该组织运营的 Telegram 频道上公开泄露被盗数据，不顾与受害者谈判或索要赎金。

SiegedSec 泄露的数据包括：

• 全名
• 出生日期
• 电子邮件地址
• 电话号码
• 社会安全号码 (SSN)
• 物理地址
• 就业信息

在 Telegram 上，SiegedSec 还通过分享 INL 内部用于文档访问和公告创建的工具的屏幕截图来发布所谓的违规证据。

攻击者还展示了在 INL 系统上创建的自定义公告，以便让综合体中的每个人都知道此次违规行为。

访问内部 INL 工具

INL尚未就该事件发表任何声明。然而，一位发言人向当地媒体证实了这一违规行为，并评论说目前正在接受调查，联邦执法部门已介入其中。

“今天早上早些时候，爱达荷国家实验室确定它是网络安全数据泄露的目标，影响了支持其 Oracle HCM 系统的服务器，该系统支持其人力资源应用程序。INL 已立即采取行动保护员工数据，”INL 媒体发言人洛里·麦克纳马拉告诉 EastIdahoNews.com。“INL 已与联邦执法机构联系，包括联邦调查局和国土安全部的网络安全和基础设施安全局，以调查此事件影响的数据范围。”

尽管 SiegedSec 既没有访问也没有披露任何有关核研究的数据，但该事件将不可避免地加强执法部门对黑客组织的审查，因为 INL 被认为是美国关键基础设施的重要组成部分。

【阅读原文】

2、攻击者利用蝙蝠侠游戏的安装程序进行攻击活动

据外媒11月17日报道，研究人员近期发现了一个经过恶意修改的《蝙蝠侠：阿卡姆之城》游戏安装程序，可能是通过钓鱼网站进行传播的。该安装程序是原游戏的修改版本，其中包含正版蝙蝠侠游戏的安装程序，以及一个恶意程序。该恶意程序用于执行VBS脚本以启动经过混淆处理的Meterpreter，然后使用Meterpreter执行其他恶意活动，包括从攻击者服务器下载执行其他恶意软件。

【阅读原文】

3、以色列男子因提供黑客雇佣服务被判处 80 个月监禁

一名以色列黑客因参与大规模鱼叉式网络钓鱼活动而在美国被判处 80 个月监禁。

Aviram Azari（52 岁）因参与针对美国和世界各地公司和个人的大规模鱼叉式网络钓鱼活动而因计算机入侵、电信欺诈和严重身份盗窃而被判处 80 个月监禁。该男子于 2019 年 9 月从国外前往美国时被捕。

阿扎里在以色列的家中精心策划了国际雇佣黑客鱼叉式网络钓鱼活动。据司法部称，这名以色列男子获得了超过 480 万美元的犯罪收益

阿扎里在以色列创立了一家名为 Aviram Hawk 或 Aviram Netz 的“情报公司”。该公司帮助其客户管理“项目”，这些项目被官方描述为情报收集工作，但实际上是专门针对某些受害者群体的黑客活动。

“大约从 2014 年 11 月到 2019 年 9 月，AZARI 开展了大规模的鱼叉式网络钓鱼活动，针对美国和全球各地的个人和公司。” 阅读司法部发布的新闻稿。“AZARI 向不同的黑客组织（包括位于印度的一个特定组织）付费，向各个项目的受害者发送鱼叉式网络钓鱼电子邮件。黑客组织向 AZARI 通报了他们的进展情况，包括向他发送了跟踪他们针对特定受害者的黑客活动的列表。黑客还发送了 AZARI 报告，告知他们何时成功访问受害者账户并窃取信息。”

美国司法部透露，AZARI 的黑客项目之一针对的是参与气候变化倡导的个人和组织。该男子及其同伙从受害者的在线帐户中窃取了文件并将其泄露给媒体，从而发表了与纽约州和马萨诸塞州总检察长对埃克森美孚公司有关气候变化的知识进行调查以及埃克森美孚公司在气候变化方面可能做出的错误陈述有关的文章。它了解气候变化的风险。

目标实体还包括对冲基金和记者。

调查人员获得了针对 Azari 目标的 100 次成功攻击的证据，但专家认为，被黑客攻击的实体数量可能高出 100 倍。

该男子还被判处额外三年监管释放，并没收他通过该计划赚取的 484 万美元。

【阅读原文】

2023年11月21日 星期二

今日资讯速览：

1、多地出现“电话手表兑换卡”新型诈骗，警方提醒若捡到要直接销毁

2、加拿大政府宣布数据泄露

3、白宫秘密监视计划使警察能够访问数万亿条美国电话记录

1、多地出现“电话手表兑换卡”新型诈骗，警方提醒若捡到要直接销毁

IT之家 11 月 19 日消息，据“平安北京”公众号，近日全国多地有不少人捡到一张“电话手表兑换卡”，印有 300 元面值，还有“安全守护”“防走失儿童定位智能电话手表”等字样。经多地警方向中国移动公司求证核实，近期中国移动并未推出此类活动。

▲ 图源平安北京，下同

据介绍，这张“兑换卡”实则为新型诈骗形式。在卡片背面，印有引导用户扫码兑换的提示，但一旦扫码填写了相关信息之后，用户将会一步步落入骗子的圈套，比如想领取手表就得进群、刷单、做任务，但最终目的还是套走受害者的钱财。

警方和不少学生家长群的老师也发布提醒，叮嘱家长和学生捡到这种卡片一定不要扫码，直接销毁。

今年以来，社会上陆续出现各种各样“提货卡”“兑换卡”名义的新型诈骗形式。这类骗局以扫码领取奖品为诱饵，通过收集个人信息来进一步实施各类犯罪活动，个人信息将存在泄露、冒用等风险，乃至骗取受害者的钱财。

综合IT之家此前报道，今年 10 月有北京市民王先生收到印有董明珠照片的“礼品卡”，卡上声称邀请其参加“最高可获 10000 元”的“一起撕豪礼”活动。北京格力相关负责人回应称“礼品卡上标注的均为虚假信息，格力方面并未举办或联合商家做过此类活动”。

无独有偶，本月初小米品牌安全发文称收到很多关于提货卡的问询，并提醒用户小米未曾做过此类活动。从 @平安北京 分享的图片来看，这些“小米提货卡”伪装在快递当中，甚至用上了雷军的形象并附上感谢信。其实这并非小米官方发放的提货卡，用户扫码后便进入了骗子的套路当中。对此，雷军进行转发并提醒用户小心新的诈骗形式“小米提货卡”。

【阅读原文】

2、加拿大政府宣布数据泄露

据外媒11月19日报道，加拿大政府已就最近发生的数据泄露事件向现任和前任公共服务雇员以及加拿大皇家骑警和加拿大武装部队成员发出警告。官员们已经确定了两家公司，Brookfield Global Relocation Services（BGRS）和SIRVA Worldwide Relocation & Moving Services，作为违规行为的来源。这些公司为联邦政府内部的员工提供搬迁支持。自1999年以来，雇员向这些公司提供的个人和财务信息可能已经泄露。

【阅读原文】

3、白宫秘密监视计划使警察能够访问数万亿条美国电话记录

《连线》对泄露的警方文件的分析证实，一项秘密政府计划正在允许联邦、州和地方执法部门获取没有犯罪嫌疑的美国人的电话记录。

根据《连线》杂志获得的一封信，美国参议员罗恩·怀登 (Ron Wyden) 周日向司法部 (DOJ) 发送了一封信，要求司法部解释鲜为人知的监控计划，该计划每年追踪美国境内超过一万亿条国内电话记录，参议员质疑该计划的合法性。

根据这封信，十多年来，现在被称为数据分析服务（DAS）的监控计划允许联邦、州和地方执法机构挖掘美国人的通话细节，分析无数人的电话记录。没有涉嫌任何犯罪，包括受害者。该计划使用一种称为链分析的技术，不仅针对那些与犯罪嫌疑人直接电话联系的人，还针对与这些人有过接触的任何人。

DAS 项目以前称为 Hemisphere，与电信巨头 AT&T 合作运行，该项目为执法机构（从当地警察和治安部门到美国海关和邮政检查员）捕获并分析美国通话记录。根据《连线》杂志查阅的一份白宫备忘录。记录显示，白宫在过去十年中为该计划提供了超过 600 万美元，该计划允许针对使用 AT&T 基础设施（遍布美国的路由器和交换机组成的迷宫）的任何通话记录进行定位。

怀登在周日写给美国司法部长梅里克·加兰的一封信中写道，他对 DAS 计划的合法性“表示严重担忧”，并补充说，他收到的“令人不安的信息”“理所当然地会激怒许多美国人和其他国会议员”。

根据参议员的信，怀登表示，司法部秘密向他提供的这些信息被美国政府视为“敏感但非机密”，这意味着虽然它不会对国家安全构成风险，但像怀登这样的联邦官员被禁止向公众披露这些信息。

AT&T 发言人金·哈特·琼森 (Kim Hart Jonson) 拒绝了《连线》杂志就 DAS 计划发表评论的请求，仅表示法律要求该公司遵守合法传票。

没有法律要求 AT&T 出于执法目的存储美国人数十年的通话记录。《连线》查阅的文件显示，AT&T 官员最近于 2018 年参加了德克萨斯州的执法会议，培训警察如何最好地利用 AT&T 的自愿援助（尽管可以创收）。

2020 年，透明度组织“Distributed Denial”公布了从美国各地机构窃取的数百 GB执法数据。《连线》杂志对这些文件的审查揭示了有关机构用来监控犯罪嫌疑人及其配偶、孩子、父母和朋友通话记录的流程和理由的非凡细节。

虽然 DAS 是根据一个专门打击贩毒的计划进行管理的，但北加州地区情报中心 (NCRIC) 泄露的一份文件显示，戴利城和奥克兰等当地警察机构要求 DAS 提供看似与毒品无关的未侦案件的数据。

有一次，奥克兰警察局的一名警官要求进行“Hemisphere分析”，通过分析嫌疑人亲密朋友的电话来识别嫌疑人的电话号码。

在另一起案件中，圣何塞的一名执法人员要求北加州地区情报中心确认一起未具体案件中的受害者和重要证人的身份。一名警官在该计划下向 AT&T 索取信息时写道：“我们获得了[嫌疑人]手机六个月的通话数据，以及几个密切的联系信息（他的女朋友、父亲、姐妹、母亲）。” 这些记录并未表明 AT&T 如何响应每个请求。

泄露的执法文件进一步显示，从美国邮政局检查员到纽约惩教部假释官等一系列官员都参加了 DAS 培训课程。其他参与者包括港务局、美国移民和海关执法局、国民警卫队、加州公路巡逻队以及数十个较小机构的成员。

DAS 计划于 2013 年 9 月首次被《纽约时报》披露为“半球”（Hemisphere），并于 2013 年重新命名，此后基本上没有引起人们的关注。该报当时获得的有关该计划保密的内部记录显示，执法部门长期以来一直被指示永远不要“在任何官方文件中提及‘半球（Hemisphere）’”。

据《纽约时报》报道，美国前总统巴拉克·奥巴马 (Barack Obama) 在 2013 年暂停了对“半球”（Hemisphere）计划的资助。尽管在接下来的三年里，可自由支配的资金被扣留，但《连线》获得的一份白宫备忘录显示，美国各地的各个执法机构允许继续与 AT&T 直接签订合同，以维持对其数据挖掘服务的访问。

根据白宫备忘录，在前总统唐纳德·特朗普 (Donald Trump) 领导下，资金恢复了，但在 2021 年再次停止。备忘录称，去年，在乔·拜登总统的领导下，资金再次恢复。

白宫承认了《连线》杂志的询问，但尚未发表评论。

DAS计划是在一个名为 HIDTA 的附属计划下维护的，该计划由白宫国家药物管制政策办公室 (ONDCP) 资助。据白宫称，HIDTA（即“高强度贩毒区”）是对美国 33 个不同地区的指定。最初的五个地区于 1990 年绘制，包括洛杉矶、休斯顿、迈阿密、纽约周边地区以及整个美墨边境，这些地区是美国贩毒最活跃的地区。

根据 DAS 收集通话记录数据并不属于窃听，而在美国境内，窃听需要基于可能原因的搜查令。AT&T 存储的通话记录不包括任何对话录音。相反，这些记录包括一系列识别信息，例如呼叫者和接收者的姓名、电话号码以及他们拨打电话的日期和时间，每次六个月或更长时间。

根据公共记录法发布的文件显示，DAS 程序已被用来生成犯罪嫌疑人及其已知同伙的位置信息，这种做法在 2018 年未经搜查令的情况下被视为违宪。

“有关位置信息的请求需要最高级别的法律要求，即法院签发的搜查令，紧急情况除外。”AT&T 的 Hart Jonson 说。

针对个人关系的命令有时被称为“利益共同体”传票，在隐私倡导者中，这个短语相当于天罗地网的监视。

怀登在给加兰的信中表示：“半球项目下为执法部门提供的数据规模和定期搜索的数据规模令人震惊。”

根据白宫官员去年撰写的一份长达两页的备忘录，自 2013 年以来，白宫已向 DAS 计划提供了至少 610 万美元的可自由支配资金。《连线》杂志审阅的一份 HIDTA 内部“参与者指南”显示，仅 2020 年 HIDTA 的资金就超过了 2.8 亿美元。目前尚不清楚 HIDTA 花费了多少资金来支持 AT&T 的大量美国通话记录收集。

目前尚不清楚 DAS 下可访问的通话记录可以追溯到多久之前。2014 年根据《信息自由法》发布的幻灯片指出，根据该计划最多可以查询 10 年的记录，这一统计数据与其他声称 AT&T 可以追溯到几十年前的内部文件形成鲜明对比。与此同时，AT&T 的竞争对手通常保留通话记录不超过两年。

（随着长途费用的消失，电话公司长时间跟踪通话记录的必要性逐渐降低。）

DAS计划与几十年前的多项天罗地网式监视计划相呼应，其中包括缉毒局于 1992 年启动的一项计划，该计划迫使电话公司交出几乎所有往返于其他 100 多个国家的通话记录；国家安全局的大量元数据收集计划，美国第二巡回上诉法院于 2014 年认定该计划非法；以及通话详细记录项目，该项目因“技术违规”而受到影响，导致美国国家安全局收集了数百万个它“无权接收”的通话。

与过去这些受国会监督的项目不同，DAS 不受国会监督。怀登的一位高级助手告诉《连线》杂志，该计划利用了联邦隐私法中的众多“漏洞”。例如，它实际上在白宫之外运行，这意味着它不受要求评估其隐私影响的规则的约束。白宫也不受《信息自由法》的约束，从而降低了公众了解该计划的整体能力。

由于 AT&T 的通话记录收集是沿着电信“骨干网”进行的，因此《电子通信隐私法》规定的保护措施可能不适用于该计划。

本月早些时候，怀登和参众两院的其他议员提出了全面的隐私立法，即《政府监视改革法案》。该法案包含许多条款，如果颁布，将修补大部分（如果不是全部）这些漏洞，从而有效地使目前形式的 DAS 计划明显非法。

参考链接：https://www.wired.com/story/hemisphere-das-white-house-surveillance-trillions-us-call-records/

【阅读原文】

2023年11月20日 星期一

今日资讯速览：

1、ZIMBRA 零日漏洞CVE-2023-37580 被四个黑客组织利用，窃取政府电子邮件

2、越南邮政公司配置错误导致约1.2TB数据泄露

3、美杜莎勒索软件威胁泄露数据后，丰田证实存在违规行为

1、ZIMBRA 零日漏洞CVE-2023-37580 被四个黑客组织利用，窃取政府电子邮件

Google TAG 透露，威胁行为者利用 Zimbra 协作套件零日漏洞 ( CVE-2023-37580 ) 窃取政府的电子邮件。

谷歌威胁分析小组 (TAG) 研究人员透露，Zimbra Collaboration 电子邮件软件中的一个零日漏洞（编号为CVE-2023-37580 （CVSS 评分：6.1））被四个不同的威胁参与者利用来窃取电子邮件数据、用户凭据，以及来自政府组织的身份验证令牌。

专家观察到，大多数攻击都是在该漏洞的补丁公开披露后发生的。

该漏洞是驻留在 Zimbra Classic Web 客户端中的反射跨站脚本 (XSS) 问题，它影响 8.8.15 补丁 41 之前的 Zimbra Collaboration (ZCS) 8。Zimbra 于 2023 年 7 月解决了漏洞 CVE- 2023-37580  。

Google TAG 研究员 Clément Lecigne 在 6 月份调查针对 Zimbra 电子邮件服务器的针对性攻击时发现了该零日漏洞。

“TAG 观察到三个威胁组织在官方补丁发布之前利用了该漏洞，其中包括在修复程序最初在 Github 上公开后可能已经了解该漏洞的组织。官方补丁发布后，TAG 发现了第四个利用 XSS 漏洞的活动。” 阅读Google TAG 发布的建议。“其中三项活动是在修补程序最初公开后开始的，强调了组织尽快应用修补程序的重要性。”

谷歌观察到的三个活动在修复程序发布之前利用了该漏洞，而第四个威胁行为者则在补丁发布一个月后发起了活动。

第一个针对希腊政府组织的活动，威胁行为者向其目标发送了包含漏洞利用 URL 的电子邮件。在登录的 Zimbra 会话期间单击该链接后，该 URL 会加载安全公司 Volexity 在 2022 年 2 月详细介绍的一个框架。该框架允许攻击者利用 XSS 问题窃取用户的邮件数据，例如电子邮件和附件，并设置设置自动转发规则以将传入邮件劫持到攻击者控制的电子邮件地址。

第二个威胁行为者自 7 月 11 日起在 7 月 25 日官方补丁发布之前利用了该漏洞。攻击者针对摩尔多瓦和突尼斯的政府组织，专家注意到每个 URL 都包含这些政府中特定组织的唯一官方电子邮件地址。TAG 研究人员将该活动与与俄罗斯有关的 APT 组织Winter Vivern (UNC4907) 联系起来。

第三个身份不明的组织利用该漏洞窃取属于越南政府组织的凭证。

“在这种情况下，漏洞利用网址指向一个脚本，该脚本显示用户网络邮件凭据的网络钓鱼页面，并将窃取的凭据发布到攻击者可能入侵的官方政府域上托管的网址。” 报告继续。

第四次攻击活动发生在 2023 年 8 月，威胁行为者利用该漏洞对巴基斯坦的一个政府组织进行了攻击。该漏洞用于窃取 Zimbra 身份验证令牌。

“发现至少有四个利用 CVE-2023-37580 的活动，这是该漏洞首次公开后的三个活动，这表明组织尽快对其邮件服务器应用修复程序的重要性。这些活动还强调了攻击者如何监控开源存储库，以伺机利用修复程序位于存储库中但尚未发布给用户的漏洞。” 报告总结道。“在修复程序被推送到 Github 之后，但在 Zimbra 公开发布带有修复建议的建议之前，第 2 号活动背后的参与者就开始利用该漏洞。”

【阅读原文】

2、越南邮政公司配置错误导致约1.2TB数据泄露

据外媒11月16日报道，研究团队发现了一个属于越南邮政公司的开放Kibana实例。在发现时，数据存储包含2.26亿个记录事件，约1.2TB，并且还在实时更新。泄露信息包括安全日志，以及员工的姓名和电子邮件。目前，该公司已将这些数据保护起来。

【阅读原文】

3、美杜莎勒索软件威胁泄露数据后，丰田证实存在违规行为

丰田金融服务公司 (TFS) 证实，在 Medusa 勒索软件声称对该公司发起攻击后，该公司在欧洲和非洲的一些系统上检测到未经授权的访问。

丰田金融服务公司是丰田汽车公司的子公司，是一家全球性实体，业务覆盖丰田汽车 90% 的市场，为其客户提供汽车融资服务。

今天早些时候，Medusa 勒索软件团伙将 TFS 列入其暗网上的数据泄露网站，要求支付 800 万美元才能删除据称从这家日本公司窃取的数据。

威胁行为者给了丰田 10 天的时间做出回应，并可以选择延长期限，每天支付 10,000 美元。

美杜莎向丰田索要 800 万美元 (BleepingComputer)

虽然丰田金融没有确认数据是否在攻击中被盗，但威胁者声称已经窃取了文件，并威胁称，如果不支付赎金，就会泄露数据。

为了证明入侵，黑客发布了样本数据，其中包括财务文件、电子表格、购买发票、哈希帐户密码、明文用户 ID 和密码、协议、护照扫描、内部组织结构图、财务绩效报告、员工电子邮件地址等。

Medusa 还提供了一个 .TXT 文件，其中包含他们声称从丰田系统窃取的所有数据的文件树结构。

大多数文件都是德语，表明黑客成功访问了丰田在中欧业务的系统。

BleepingComputer 联系了这家日本汽车制造商，请其对泄露的数据发表评论，该公司发言人发表了以下声明：

“丰田欧洲和非洲金融服务公司最近在其有限数量的地点发现了未经授权的系统活动。”

“我们关闭了某些系统以调查这一活动并降低风险，并已开始与执法部门合作。”

“到目前为止，这一事件仅限于丰田金融服务欧洲和非洲地区。”

关于受影响系统的状态及其预计恢复正常运行的情况，发言人告诉我们，大多数国家/地区已经在进行使系统恢复正常运行的过程。

又一个 Citrix Bleed 漏洞？

今天早些时候，在 Medusa 披露 TFS 作为受害者之后，安全分析师Kevin Beaumont 强调，该公司的德国办事处有一个暴露于互联网的 Citrix Gateway 端点，该端点自 2023 年 8 月以来一直没有更新，这表明它容易受到关键 Citrix Bleed 的攻击（ CVE-2023-4966）安全问题。

几天前，相关机构猜测Lockbit 勒索软件操作人员正在利用 Citrix Bleed 的公开漏洞攻击中国工商银行 (ICBC)、迪拜环球港务集团 (DP World)、Allen & Overy 和波音公司。

其他勒索软件组织可能已开始利用 Citrix Bleed，利用 估计有数千个端点的大规模攻击面。

【阅读原文】

2023年11月17日 星期五

今日资讯速览：

1、“内鬼”盗卖数据，某大药房被罚！

2、市民家中私装气象仪，将数据泄露至境外！被罚款5000元

3、新的三星数据泄露影响了英国商店客户

1、“内鬼”盗卖数据，某大药房被罚！

近期，浙江温州公安网安部门查处了一起某大药房“内鬼”侵犯公民个人信息案。

“内鬼”得到应有的法律处罚外，该大药房也因未履行数据保护义务造成数据泄露的违法行为被公安机关罚款110万元。

简要回顾

前段时间，温州网安部门在日常工作中发现有人在暗网上售卖温州某大药房销售数据。通过侦查发现，该大药房数据分析师利用工作便利将大量交易数据导出并售卖。

温州网安在依法对该数据分析师采取刑事强制措施的同时，启动“一案双查”工作机制。

经进一步侦查发现，该大药房因未建立健全全流程数据安全管理制度，未组织开展数据安全教育培训，未采取相应的技术措施和其他必要措施保障数据安全，最终导致大量敏感数据泄露。

该大药房数据分析师因违反《中华人民共和国刑法》第二百五十三条之一之规定，涉嫌侵犯公民个人信息罪被温州公安机关依法刑事拘留，现案件还在进一步办理中。

同时，温州公安机关依据《中华人民共和国数据安全法》第二十七条、第四十五条之规定，对该公司处罚款110万元，对该大药房直接负责的主管人员处罚款10万元。

下一步，公安机关将持续贯彻落实《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规，全方位加强网络安全监督检查，持续高压严打违法犯罪行为，指导监督网络运营者建立和完善网络与数据安全管理体系，制定内部安全管理制度和操作规程，做好源头防控，坚决维护国家网络安全和数据安全。

【阅读原文】

2、市民家中私装气象仪，将数据泄露至境外！被罚款5000元

本文转自【中国青年报】；

近日，浙江舟山市普陀区综合行政执法局查处一起气象数据信息外泄案件，对当事人张某作出警告以及罚款人民币5000元的行政处罚决定，并责令张某停止使用该气象仪。

据了解，张某在搭建智能家居环节中，使用了一款带有无线传输功能的气象数据收集设备。该设备收集的数据信息被传输至国外服务器，造成数据信息外泄。这是舟山第一起该类型的行政处罚案件。

“我们收到市气象局提供的违法线索后，随即介入调查。经查，张某为配合家中智能家居使用而购买了某款无线气象仪，将气象仪放置于院落内并接入互联网，人在外时通过手机APP实时查看院内天气信息。”区综合行政执法局执法工作人员经过咨询相关部门、查看手机APP用户协议及有关数据资料，确定该款产品的确会将气象仪收集的数据信息（包括温度、湿度、风向、风速、气压、雨量、日照等）通过互联网传输至境外。

区综合行政执法局执法人员在调查过程中还了解到，张某的无线气象仪从网上某购物平台购买，其采集和显示设备在未联网的情况下不会外传数据信息，一旦联网，就会将数据信息传输至境外服务器。鉴于张某检查发现后，立即停止了违法行为，认错态度良好，情节轻微。区综合行政执法局依法对其作出警告并处罚款人民币5000元的处罚决定。

“一般人印象中的气象信息，是天气预报、预警，气象信息在农业生产、交通运输、能源利用等领域发挥作用。然而很多人不知道数据信息是信息安全和资源安全的构成元素，也是国家安全的重要构成要素。”区综合行政执法局法规科科长周贤告诉记者，近年来，涉外气象探测资料不落地直接传输到境外，对我国数据信息安全和国家安全造成严重威胁。本案反映了社会公众“数据信息关乎国家安全”这一观念的淡薄，对我国的气象探测和数据信息管理相关法律缺乏了解。

按照我国相关法律规定，组织和个人开展气象探测须向省级气象主管机构备案，探测所获得的气象资料须向省级气象主管机构汇交；开展气象探测、传输探测所得气象资料涉及境外组织、机构和个人，必须经国务院气象主管机构会同国家安全、保密等部门审批同意后方可实施。

来源：舟山日报、今日普陀

【阅读原文】

3、新的三星数据泄露影响了英国商店客户

三星电子向部分客户通报了一起数据泄露事件，该事件导致他们的个人信息暴露给未经授权的个人。

该公司表示，此次网络攻击仅影响在 2019 年 7 月 1 日至 2020 年 6 月 30 日期间从三星英国在线商店购物的客户。

黑客利用第三方应用程序中的漏洞

两天前，即 11 月 13 日，三星发现了此次数据泄露事件，并确定这是黑客利用该公司使用的第三方应用程序中的漏洞造成的。

没有提供有关攻击中利用的安全问题或使攻击者能够访问三星客户个人信息的易受攻击的应用程序的详细信息。

给客户的通知称，暴露的数据可能包括姓名、电话号码、邮政和电子邮件地址。该公司强调，凭证或财务信息并未受到该事件的影响。

三星提醒客户注意新的数据泄露

三星发言人告诉 BleepingComputer，该公司最近收到有关网络安全事件的警报，该事件仅限于英国地区，不会影响属于美国客户、员工或零售商的数据。

“我们最近收到有关网络安全事件的警报，该事件导致一些三星英国电子商店客户的某些联系信息被非法获取。银行或信用卡详细信息或客户密码等财务数据不会受到影响。该事件仅限于英国，不会影响美国客户、员工或零售商数据”——三星

该代表告诉 BleepingComputer，该公司已采取一切必要措施来解决安全问题，并补充说该事件也已报告给英国信息专员办公室。

这是三星两年内遭遇的第三次数据泄露。上一次发生 在2022 年 7 月下旬 – 8 月 4 日发现，当时黑客访问并窃取了三星客户的姓名、联系人和人口统计信息、出生日期以及产品注册数据。

2022 年 3 月， 数据勒索组织 Lapsus$ 侵入了三星的网络并窃取了机密信息，包括 Galaxy 智能手机的源代码。

三星证实，在 Lapsus$ 泄露了约190GB 的存档 文件及其内容描述后，“某些内部数据”已落入未经授权的一方手中 。

【阅读原文】

2023年11月16日 星期四

今日资讯速览：

1、Microsoft 2023 年 11 月补丁日修复了 58个漏洞，其中包括5个0day

2、核能、石油和天然气是 2024 年勒索软件组织的主要目标

3、美国防部发布生成式人工智能临时指南

1、Microsoft 2023 年 11 月补丁日修复了 58个漏洞，其中包括5个0day

今天是微软的 2023 年 11 月补丁日，微软修复了58 个缺陷，其中包括 5 个0day。

本月更新修复了 14 个远程代码执行 (RCE) 漏洞，微软将其中一个评为严重级。今天修复的三个关键漏洞是 Azure 信息泄露错误、Windows Internet 连接共享 (ICS) 中的 RCE 漏洞以及允许在具有 SYSTEM 权限的主机上执行程序的 Hyper-V 转义缺陷。

下面列出了每个漏洞类别中的漏洞数量：

• 16 个特权提升漏洞

• 6 个安全功能绕过漏洞

• 15 个远程代码执行漏洞

• 6 个信息泄露漏洞

• 5 个拒绝服务漏洞

• 11 个欺骗漏洞

58 个漏洞的总数不包括本月早些时候发布的 5 个 Mariner 安全更新和 20 个 Microsoft Edge 安全更新。

三个被积极利用的0day漏洞：

CVE-2023-36036 - Windows 云文件微型筛选器驱动程序特权提升漏洞

Microsoft 修复了一个经常被利用的 Windows 云文件迷你过滤器权限提升错误。

微软解释说：“成功利用此漏洞的攻击者可以获得系统权限。”

目前尚不清楚该缺陷是如何在攻击中被滥用的，也不清楚是由哪些攻击者滥用的。

该漏洞是由 Microsoft 威胁情报 Microsoft 安全响应中心内部发现的。

CVE-2023-36033 - Windows DWM 核心库特权提升漏洞

Microsoft 修复了一个被积极利用并公开披露的 Windows DWM 核心库漏洞，该漏洞可用于提升 SYSTEM 权限。

微软解释说：“成功利用此漏洞的攻击者可以获得系统权限。”

微软表示该漏洞是由 DBAPPSecurity WeBin Lab 的 Quan Jin(@jq0904) 发现的 ， 但没有透露如何在攻击中使用它们的详细信息。

CVE-2023-36025 - Windows SmartScreen 安全功能绕过漏洞

一个经常被利用的 Windows SmartScreen 缺陷，该缺陷允许恶意 Internet 快捷方式绕过安全检查和警告。

微软解释说：“攻击者将能够绕过 Windows Defender SmartScreen 检查及其相关提示。”

用户必须单击特制的 Internet 快捷方式 (.URL) 或指向 Internet 快捷方式文件的超链接，才会受到攻击者的攻击。

该漏洞是由 Will Metcalf (Splunk)、微软威胁情报和微软 Office 产品组安全团队发现的。

另外两个公开披露的0day漏洞“CVE-2023-36413 - Microsoft Office 安全功能绕过漏洞”和“CVE-2023-36038 - ASP.NET Core 拒绝服务漏洞”，这两个漏洞也进行了修复。微软表示，它们并未在攻击中被积极利用。

本周，Adobe 推出了大量安全修复程序，以覆盖其 Acrobat 和 Reader、ColdFusion、inDesign、inCopy 和 Audition 产品中的严重缺陷。

Adobe 记录了 72 个不同的安全漏洞，并呼吁特别关注广泛部署的 Adobe Acrobat 和 Reader 软件中的代码执行缺陷。

在一份漏洞严重性公告中，Adobe 记录了至少 17 个 Acrobat 和 Reader 错误，这些错误使未修补的 Windows 和 macOS 系统面临任意代码执行和内存泄漏风险。

Adobe 还针对至少六个不同的 ColdFusion 漏洞发布了补丁，这些漏洞可能导致任意代码执行和安全功能绕过。ColdFusion 漏洞被标记为严重级别并影响 2023 和 2021两个版本。  

参考链接：https://www.bleepingcomputer.com/news/microsoft/microsoft-november-2023-patch-tuesday-fixes-5-zero-days-58-flaws/

【阅读原文】

2、核能、石油和天然气是 2024 年勒索软件组织的主要目标

Resecurity, Inc.（美国）保护全球主要财富 100 强和政府机构，发现针对能源行业（包括核设施和相关研究实体）的勒索软件运营商数量惊人增加。去年，勒索软件攻击者瞄准了北美、亚洲和欧盟的能源设施。据《商报》报道，在欧盟，2022 年针对能源行业的勒索软件攻击比前一年增加了一倍多，截至 10 月份防御者记录了 21 起攻击。

Resecurity 的研究深入探讨了美国国土安全部在最近发布的情报企业国土威胁评估中引用的独特勒索软件趋势。根据国土安全部的报告，“2020 年 1 月至 2022 年 12 月期间，美国已知的勒索软件攻击数量增加了 47%”。该机构还指出，“勒索软件攻击者在 2023 年上半年在全球勒索了至少 4.491 亿美元，预计将迎来第二个最赚钱的年份。”

针对能源部门和关键基础设施的勒索软件攻击不断升级，这是一个不容忽视的趋势。随着BlackCat/ALPHV、Medusa 和 LockBit 3.0 等至少十几个复杂组织加强对这些高风险目标的关注，威胁形势变得越来越危险。这些威胁行为者并不是孤立行动的；它们得到了由地下接入经纪人和工具开发商组成的蓬勃发展的生态系统的支持，这些经纪人和工具开发商为渗透和利用关键基础设施中的这些基本系统提供了必要的杠杆作用。

这些团体和个人行为者之间的合作清楚地表明了能源行业的战略重要性，该行业被视为高价值数据的金矿，在某些情况下最高支付的赎金超过 5,000,000 美元。Resecurity 发现了多起针对核运营商的袭击事件，这是国家安全主要关注的领域。

展望 2024 年，Resecurity 分析师预计，有针对性的网络威胁将显着增长，特别是勒索软件组织越来越优先考虑能源行业及其供应链内的高价值目标。

我建议您阅读一份报告“针对能源行业的勒索软件攻击呈上升趋势——核能、石油和天然气是 2024 年的主要目标”，其中有证据表明核能公司正在成为勒索团体的优先目标。

【阅读原文】

3、美国防部发布生成式人工智能临时指南

【据美国FedScoop网站11月9日报道】近日，美国防部“利马”工作组发布生成式人工智能临时指南，为美国防部及各军事部门正在进行和即将采用的新兴和颠覆性生成式人工智能技术提供建议。

该指南供国防部内部使用，不会公开传播，但首席数字与人工智能办公室简要介绍了该指南的部分关键内容。①风险评估与缓解。国防部敦促各部门采用稳健的治理流程，而不是完全禁止通用人工智能工具。这包括记录与特定的生成式用例相关的风险，确定和证明可接受的风险，以及降低不可接受的风险。②输入限制。应谨慎使用公开可用的生成式人工智能工具。禁止输入国家安全机密信息或受控制的非机密信息。所有数据、代码、文本或媒体在输入之前必须获得公开发布批准。③问责制。所有国防部人员均应对在生成式人工智能协助下得出的结果和决策负责。建议用户验证和交叉检查此类工具的所有输出。④引用。为增强透明度，鼓励对使用生成式人工智能工具创建的文档进行适当标记。

作者：赵霄

注：原文来源网络，文中观点不代表本公众号立场，相关建议仅供参考。

【阅读原文】

2023年11月15日 星期三

今日资讯速览：

1、日本首台国产量子计算机启动云端使用

2、《电信网络诈骗及其关联违法犯罪联合惩戒办法》公开征求意见

3、路透社：中国工商银行已支付赎金

1、日本首台国产量子计算机启动云端使用

日本信息通信研究机构（NICT） 2023年3月24日官网发布消息称，首台日本产超导量子计算机对外公开，并推出了“量子计算云服务”。以日本理化学研究所为首的联合研究小组于2023年3月27日在云端开放量子计算机，供外部研究人员使用。该研究成果将有助于扩大日本量子计算平台的应用。

日本首台国产量子计算机启动云端使用

编译：学术plus高级观察员乔

本文主要内容及关键词

1. 简介：首台日本产超导量子计算机启动云端使用；

2. 计划：探索发展百万量子比特级的集成技术。

内容主要整理自外文网站相关资料

仅供学习参考，欢迎交流指正！

文章观点不代表本机构立场

*****

机构介绍

日本信息通信研究机构（National Institute of Information and Communications Technology；缩写：NICT），是隶属于日本总务省的国立研究开发法人，总部位于日本东京都小金井市，下设电磁波研究所、网络研究所、网络安全研究所、未来ICT研究所、量子ICT协创中心等。

日本NICT的logo

01背景

量子计算机，指根据量子物理原理进行计算的计算机。通过使用传统计算机（经典计算机）所没有的量子叠加和量子纠缠，可以高速解决分子中的电子态等量子行为的有效模拟和质因数分解等各种问题。超导方式是一种量子计算方式，在使用超导材料的电子电路上使用称为约瑟夫森结的隧道结元件来实现量子比特。为了将量子力学的基本原理应用于计算、通信、测量等信息科学和信息处理技术，世界各国正在研究处理量子信息的技术。日本理化学研究所于 2021 年成立量子计算机研究中心，推动从事量子计算的量子计算机的研发。

此次，联合研究小组研制出日本首台采用超导方式的日本产量子计算机，迈出了利用量子计算机搭建量子计算平台的一步；联合研究小组还启动了外部通过互联网可以使用该计算机的云服务。目前，用户可以通过与日本理化学研究所的联合研究协议办理使用手续。

联合研究小组包括日本理化学研究所量子计算机研究中心主任中村泰信，产业技术综合研究所3D集成系统组研究组长菊地克弥，信息通信研究机构超导 ICT 研究室室长寺井弘高，大阪大学量子信息及量子生命研究中心主任北川胜浩、副主任藤井启佑，富士通株式会社量子研究所所长佐藤信太郎，日本电信电话株式会社计算机与数据科学研究所研究员德永裕己等。

此次的“量子计算云服务”，是通过日本的研究机构（包括大学在内）与企业的合作实现的。NICT称，该服务不仅有望在研发阶段培养参与日本量子信息研究的人力资源，而且还将促进发展以信息技术领域为基干的日本产业。

图1 日本理化学研究所开发的超导量子计算机

量子力学自 20 世纪初诞生以来，作为物理学的基础理论，对广泛的科学领域的发展做出了贡献。特别是量子叠加、量子纠缠（量子叠加指多个状态同时存在的状态，与人们日常的尺度感相冲突。量子纠缠是指与量子叠加结合发生的量子物理学特有的相关性。）等独特现象，是现代科学技术发展不可或缺的要素。但从20世纪末以来迅速发展的量子信息科学的观点来看，人类还没有完全掌握量子力学。因此，全球正在进行研发，以期将量子力学的基本原理应用于计算、通信和测量等技术领域，提取传统技术所不具备的先进性能。

日本理化学研究所于2001年成立了宏观量子相干研究组，开始了与量子信息科学相关的研究。之后，吸纳各方研究人员参与研发，并于2021年发展成为中村泰信博士为首的量子计算机研究中心。在该中心，除了超导量子计算机之外，还在量子计算机领域进行广泛的研发，例如基于各种物理系统的硬件研究，以及量子计算理论、量子算法、量子架构等软件研究。2021 年，该中心与富士通株式会社合作，在该中心内建立了“理研RQC-富士通合作中心”，以整合双方拥有的计算技术和量子技术知识，力争在2023财年推出面向工业应用的超导量子计算机。

02研究方法与成果

此次发布的超导量子计算机采用64量子比特（量子比特是量子计算中的基本信息单位。）集成电路，其中排列了64个量子比特。该装置有两个特点：“二维集成电路”和“垂直布线封装”。这是一种具有较高可扩展性的系统配置，可以方便地增加量子比特数，从而使得在今后如果大规模化时，也可以在不改变基本设计的情况下完成。

此项研究得到了日本文部科学省的“光学和量子飞跃旗舰计划 (Q-LEAP)”的“超导量子计算机的研究与开发”、“基于智能量子设计的量子软件研发与应用”，以及日本科学技术振兴机构（JST）的“中村宏观量子机械项目”，“共同创造空间支持计划（COI-NEXT）”的“量子软件研究基地”的支持。

如图所示，在二维集成电路上，正方形排列的4个量子比特分别通过连接相邻量子比特的“量子比特间耦合”进行连接（图2右上）。正方形中还配置了“读取谐振器”等。通过将这4个量子比特构成的基本单元排列成二维，可以制作量子比特集成电路。此次的64量子比特集成电路由16个功能单位构成，如图2所示。

图2 64量子比特集成电路芯片

（左）进行量子计算的64量子比特二维集成电路芯片。

设计为排列16个由4个量子比特构成的基本单元。作为超导体的氮化钛膜闪耀金色。

（右上）由4个量子比特构成的基本单元的示意图。

（右下）构成量子比特的约瑟夫森结部分的电子显微镜照片。

此外，对用于各个量子比特的控制和读取的布线，也需要下功夫处理。此次采用了垂直布线封装方式，将配置在二维平面上的量子比特的布线与芯片垂直结合，还开发了可统一连接量子比特集成电路芯片布线的布线封装，如图3所示。

图3 垂直布线封装

（左）垂直布线的概念图。用于量子比特的控制和读取的布线，通过信号接触探针垂直于芯片进行连接，进行微波信号的收发。

（右）安装有量子比特集成电路芯片的布线封装。

用于控制量子比特的信号，使用以微波频率（8～9GHz）振荡的电压脉冲，如图4所示。但是，由于每个量子比特都需要不同频率的微波，所以联合研究小组开发了一种控制装置，能够生成高精度、相位稳定的微波脉冲，还开发了使用该装置来控制量子比特的软件。

图4 量子比特控制装置

由微波信号的振荡器和接收机构成的量子比特控制装置。在此次的64量子比特量子计算机中，为了控制和读取，使用96条输入布线、16条输出布线进行量子计算。

日本理化学研究所提供的“量子计算云服务”，使这台超导量子计算机可以在任何地方应用，如图5所示。只要是以促进和发展量子计算等研发为目的的非商业使用，任何研究人员或技术人员都可以申请。但目前，须通过与理化学研究所的联合研究合同来办理使用手续。用户连接到该研究所外部的云服务器，可以向超导量子计算机发送作业并接收计算结果。

图5 用户接入超导量子计算机的概念图（登陆用户在 Web 界面上进行认证，并发送和接收作业。）

联合研究小组正在进行进一步的系统开发，例如增加稀释制冷机中的布线（如图6）密度，以实现具有更多量子比特的量子计算操作。此外，该小组在提供超导量子计算机作为NISQ（Noisy Intermediate-Scale Quantum computers，含噪声的中型量子。不能纠正由噪声引起的计算错误的中小型量子计算机的总称。）应用平台的试验床的同时，也将根据用户需求进行必要的研发。NICT称，通过此次量子计算云服务的发布，将深化与量子软件开发人员、量子计算研究人员、企业开发人员的合作，从而进一步加速量子计算机的研发。

图6 64量子比特超导量子计算机用稀释冷冻机内的配线

在中央的圆筒型磁屏蔽内放入64量子比特集成电路芯片，连接控制布线、读取布线。在操作时，芯片周边需要冷却到约10mK（约-273℃），因此须将其收纳在真空绝热容器的内部，用稀释冷冻机进行冷却。

03未来规划

NICT称，量子计算机的发展在过去 20多年里取得了进步，但如果要像使用半导体集成电路的传统计算机那样在任何地方都可自由使用，还需要很长的开发周期。将来计划使用具备高可扩展性的集成电路（如图 7）作为主要技术，实现 100 量子比特和 1,000 量子比特等。此外，还将探索发展百万量子比特级的集成技术，实现纠错和容错的量子计算，以期在未来实现大规模量子计算机并在社会上投入实用。

图 7 未来量子比特集成电路图

通过在平面上周期性地排列由4个量子比特组成的基本单元，可以增加集成化的量子比特的数量。上图是将64个量子比特排列成4x4形成1024个量子位的预想图。

（注：纠错和容错量子计算，其概念如下。传统计算机也会出错，但它们有能力在计算过程中纠正错误。在量子计算机的情况下，量子计算可以在纠错的同时进行。通过在多个量子比特之间产生量子纠缠态来表达一个量子比特的信息，并且通过检测纠缠的量子比特之间的扰动，在不破坏量子信息的情况下进行纠错。容错量子计算是一种量子计算，它降低了整个量子计算机在控制和读取量子比特时出错的概率，在不累积计算过程中出现的错误的情况下，在纠错同时进行大规模计算。）

据日媒报道，文部科学大臣永冈桂子就此事在记者会上表示：“通过使用国产机，有望培养和发展广泛的核心技术；将成为迈向未来实用化的一大步。”

参考链接：https://www.nict.go.jp/publicity/topics/2023/03/24-1.html

【阅读原文】

2、《电信网络诈骗及其关联违法犯罪联合惩戒办法》公开征求意见

为保障《中华人民共和国反电信网络诈骗法》的贯彻实施，进一步建立健全联合惩戒制度，经充分调研论证，公安部会同有关主管部门起草了《电信网络诈骗及其关联违法犯罪联合惩戒办法（征求意见稿）》，现向社会公开征求意见。公众可以通过公安部网站（www.mps.gov.cn）查阅公开征求意见稿。意见征集截止2023年12月12日，有关意见建议可通过电子邮件发送至gjfzzx@163.com。

【阅读原文】

3、路透社：中国工商银行已支付赎金

Hackernews 编译，转载请注明出处：

根据路透社消息，Lockbit 勒索软件团伙本周一在一份声明中称中国工商银行已支付了赎金。路透社无法独立证实该声明的真实性。

工行美国分支机构 11 月 9 日受到勒索软件攻击（中国工商银行美国子公司遭 LockBit 勒索软件攻击），导致美国国债市场交易中断。工行没有立即回应置评请求。

“他们支付了赎金，交易已完成，”Lockbit 的代表通过在线消息应用程序 Tox 告诉路透社。

工商银行美国经纪自营商的停牌使其暂时欠下纽约梅隆银行 90 亿美元的债务，这一数额是其净资本的数倍。

据路透社报道，这次黑客攻击的范围如此之广，以至于该公司的公司电子邮件都停止了运行，迫使员工改用谷歌邮件。

勒索软件攻击发生之际，正值人们对 26 万亿美元美国国债市场的弹性担忧加剧，美国国债市场对全球金融管道至关重要，可能会受到监管机构的密切关注。对此，美国财政部发言人周一没有立即发表评论。

金融行业网络安全组织金融服务信息共享和分析中心说，金融公司有完善的协议来共享此类事件的信息。一位发言人在一份声明中表示：“我们提醒会员保持所有保护措施的最新状态，并立即修补关键漏洞。”他补充说：“勒索软件仍然是金融业面临的最大威胁载体之一。”

为什么支付?

最近几个月，Lockbit 入侵了世界上一些最大的组织，在受害者拒绝支付赎金的情况下窃取和泄露敏感数据。

据美国官员称，在短短三年内，它已成为世界上最大的勒索软件威胁。

而美国遭受到了最广泛的打击，从金融服务、食品到学校、交通和政府部门，1700 多家美国组织都受到了影响，几乎涉及每个行业。

长期以来，官方一直建议不要向勒索软件团伙支付赎金，以打破犯罪分子的商业模式。赎金通常被要求以加密货币的形式支付，这种形式更难追踪，并且接收者为匿名。

一些公司已经悄悄支付了赎金，以求迅速恢复运营，避免敏感数据被公开泄露对公司声誉造成损害。如果受害者没有数字备份，必须使用解密密钥才能恢复系统，他们有时别无选择，只能付费。

上周，Lockbit 团伙公布了航空巨头波音公司的内部数据（勒索不成！LockBit 泄露 43GB 波音公司数据）。并在其网站上表示，他们已经感染了安理律师事务所的计算机系统。

另外值得注意的是，Lockbit 团伙对中国工商银行、DP World、Allen & Overy 和波音等多家公司的攻击，其共同点都是利用 Citrix Bleed (CVE-2023-4966) 的公开漏洞，以破坏大型组织的系统、窃取数据和加密文件。

尽管 Citrix 在一个多月前就修复了 CVE-2023-4966，但数千个暴露在互联网上的端点仍在运行易受攻击的设备。

【阅读原文】

2023年11月14日 星期二

今日资讯速览：

1、消息称日本正考虑针对苹果、谷歌等厂商征收游戏 App 销售税

2、阿里系服务大面积宕机，阿里云紧急回应

3、消息称苹果公司将禁止摇一摇跳转广告，多家头部 App 收到通知

1、消息称日本正考虑针对苹果、谷歌等厂商征收游戏 App 销售税

IT之家 11 月 14 日消息，产经新闻报道称，日本正探索税制改革，考虑对苹果、谷歌这类拥有 App 商店的 IT 巨头间接征收 App 消费税，确保实现税收公平。

据称，日本有关部门正考虑对海外游戏厂商在日本销售的 App 征收消费税，但不是直接向开发商或者发行商征税，而是间接向分发这些 App 的谷歌和苹果等 IT 巨头公司征收。

消息人士透露，执政党税制改革委员会不久将就此展开全面讨论，目的是将新制度纳入 2024 年税制改革计划。

日媒指出，这些消费税本应由游戏运营商缴纳，但许多海外运营商规模较小，而且也没有在日本设立办事处，因此很多情况下需缴纳的消费税都被拖欠。

日本政府认为，如果海外 App 厂商出现大量未缴消费税的情况，可能会对日本国内游戏运营商不公平，而这一新制度的目的是由经营 App 商店的 IT 巨头为销售额超过一定水平的游戏运营商代缴消费税，从而确保与本土游戏运营商之间实现税收公平。

根据 KADOKAWA 8 月发布的《Famitsu 游戏白皮书》，日本 2022 年的手游市场规模约为 1.2 万亿日元（IT之家备注：当前约 577.2 亿元人民币），在 10 年左右的时间里几乎翻了一番；而且日本市场目前还有大量海外游戏公司，其中大部分是来自中国的游戏公司。

【阅读原文】

2、阿里系服务大面积宕机，阿里云紧急回应

昨日18时许，阿里云发布公告称，阿里云云产品控制台服务异常。公告显示，北京时间2023年11月12日17:44起，阿里云监控发现云产品控制台访问及API调用出现异常，阿里云工程师正在紧急介入排查。目前，工程师通过分批重启组件服务，绝大部分地域控制台服务已恢复访问。据阿里方面消息，19:20左右，经工程师紧急处理，阿里旗下淘宝、钉钉、阿里云盘等APP已全面恢复。

【阅读原文】

3、消息称苹果公司将禁止摇一摇跳转广告，多家头部 App 收到通知

IT之家 11 月 13 日消息，近日不少用户在社交媒体上吐槽，他们的手机经常被摇一摇跳转广告打扰，一不小心就会跳转到购物软件的双十一专场。对此，据时代财经报道，互联网大厂内部人士常乐年称，11 月以来，苹果公司已通知国内多家头部 App 要求它们移除陀螺仪权限，摇一摇跳转广告被禁止。

据报道，11 月以来，苹果公司已通知在线视频软件、短视频软件、音频软件、邮箱软件等多种类型的 App，要求它们取消摇一摇跳转广告的功能，常乐年所在公司的 App 也在通知的范围内。他透露，接下来公司可能会发布新版本 App，在苹果的 App Store 上架，新版本将没有摇一摇跳转广告，具体发布时间还不确定。

另一位广告从业者也证实了这一消息，他的客户也是互联网大厂，旗下有行业头部 App。他说，收到通知的不只是头部 App，还有很多其他的 App，范围很广。

摇一摇功能调用的是陀螺仪权限，这是一种很早就有的功能，可以用来抢电视红包、识别歌曲等，但现在被用来做广告跳转，而有些手机没有陀螺仪权限开关，用户无法自行关闭。

一位手机大厂的工作人员说，这种跳转是 App 开发出来的商业模式，手机厂商很难做系统性的调整。

IT之家注意到，中国信息通信研究院此前联合华为、小米、OPPO、阿里巴巴等企业制定了团体标准 T / TAF 078.7—2022，于 2022 年 11 月由电信终端产业协会发布实施，该标准进一步细化了 App 信息窗口通过“摇一摇”等方式触发页面或跳转至第三方应用的相关参数，提出“摇一摇”动作的设备加速度应不小于 15m/s2，转动角度不小于 35°，操作时间不少于 3s 等系列参考数值。

【阅读原文】

2023年11月13日 星期一

今日资讯速览：

1、中国工商银行美国子公司遭 LockBit 勒索软件攻击

2、Check Point发布10月份全球威胁指数的分析报告

3、WhatsApp 推出新的隐私功能以保护通话中的 IP 地址

1、中国工商银行美国子公司遭 LockBit 勒索软件攻击

Hackernews 编译，转载请注明出处：

世界上最大的银行之一正在处理勒索软件攻击。

英国《金融时报》报道称，中国最大的国有银行中国工商银行(ICBC)本周遭到勒索软件攻击。

据报道，代表证券公司、银行和资产管理公司的行业组织证券业和金融市场协会(Securities Industry and Financial Markets Association)在美国国债市场的某些交易无法结算后，向其成员发出了有关这一事件的信息。

中国工商银行在美全资子公司——工银金融服务有限责任公司（ICBCFS）在官网发布声明称，美东时间11月8日，ICBCFS遭勒索软件攻击，导致部分系统中断。

ICBCFS表示，发现攻击后立即切断并隔离了受影响系统，已展开彻底调查并向执法部门报告，正在专业信息安全专家团队的支持下推进恢复工作。ICBCFS称，已成功结算周三执行的美国国债交易和周四完成的回购融资交易。

声明称，中国工商银行及其他国内外附属机构的系统未受此次事件影响，中国工商银行纽约分行也未受影响。

消息人士告诉英国《金融时报》，此次攻击的幕后黑手是 LockBit 勒索软件团伙。整个 2023 年，该组织对政府、公司和组织进行了几次大规模攻击，远远超过了目前任何其他勒索软件团伙。

网络安全专家 Kevin Beaumont 分享了一份 Shodan 搜索报告，显示中国工商银行有一个 Citrix Netscaler 盒子没有打 CVE-2023-4966 的补丁，专家称这个漏洞为“CitrixBleed”，影响 Netscaler ADC 和 Netscaler 网关设备。这些产品被公司用来管理网络流量。

Beaumont 说，这个盒子目前已下线，但他指出，勒索软件团伙正在利用这个问题，因为它“允许完全、轻松地绕过所有形式的身份验证”。他补充说，超过 5000 家组织尚未修补该漏洞。

Beaumont 解释说:“它就像你在组织内部的指向和点击一样简单——它为攻击者提供了一个完全交互式的远程桌面PC。”

Halcyon 首席执行官 Jon Miller 表示，针对中国工商银行的所谓攻击“有可能对全球金融市场产生严重影响，因为美国国债是全球银行和金融体系的核心。”

他说:“金融、制造业、医疗保健和能源等关键基础设施提供商仍然是勒索软件运营商的首要目标，因为迅速解决攻击并恢复运营的压力增加了受害组织支付赎金要求的可能性。”

据《财富》杂志报道，按收入计算，工商银行是中国最大的银行，也是全球最大的商业银行，2022年的收入为2147亿美元，利润为535亿美元。它拥有1070万企业客户和7.2亿个人客户。除了在国内拥有1.7万家分行外，工商银行还在41个国家设有分行，其中包括美国东西海岸的13家分行。

【阅读原文】

2、Check Point发布10月份全球威胁指数的分析报告

11月8日，Check Point发布了10月份全球威胁指数的分析报告。Formbook是10月份最常见的恶意软件，影响了全球3%的实体，其次是NJRat（2%）。教育和研究行业仍然是受到攻击最严重的行业，其次是通信以及军政行业。10月份最常被利用的漏洞是Zyxel ZyWALL命令注入漏洞(CVE-2023-28771)，影响了全球42%的实体。最常见的移动恶意软件是Anubis，其次是AhMyth和Hiddad。

【阅读原文】

3、WhatsApp 推出新的隐私功能以保护通话中的 IP 地址

据外媒11月8日报道，Meta 旗下的 WhatsApp 在其消息服务中正式推出一项名为“保护通话中的 IP 地址”的新隐私功能，该功能通过其服务器中继通话来将用户的 IP 地址屏蔽给其他方。其核心思想是通过WhatsApp服务器安全地中继连接，使通话中的不良行为者更难推断用户的位置。但是，启用隐私选项的问题是通话质量略有下降。

【阅读原文】

2023年11月10日 星期五

今日资讯速览：

1、OpenAI 寻求合作伙伴生成用于训练 AI 模型的数据集

2、微软将为管理门户访问推出mfa强制策略

3、制造业巨头日本航空电子公司服务器遭入侵

1、OpenAI 寻求合作伙伴生成用于训练 AI 模型的数据集

IT之家 11 月 10 日消息，OpenAI 发文宣布，将与组织合作生成用于训练 AI 模型的公共 / 私有数据集，数据合作伙伴关系旨在“让更多组织能够帮助引导 AI 的未来”并“从更有用的模型中受益”。

IT之家从博客获悉，OpenAI 称：“为了最终使 AI 变得更加安全且造福于全人类，我们希望 AI 模型能够深入理解所有主题、行业、文化和语言，这需要尽可能广泛的训练数据集。”

作为数据合作伙伴计划的一部分，OpenAI 表示，它将收集“反映人类社会”且目前不易在线访问的“大规模”数据集。虽然该公司计划跨多种模式开展工作，包括图像、音频和视频，但它特别寻求跨不同语言、主题和格式“表达人类意图”（例如长篇写作或对话）的数据。

OpenAI 表示，如有必要，它将与组织合作，结合使用光学字符识别和自动语音识别工具，对训练数据进行数字化，并在必要时删除敏感或个人信息。

OpenAI 希望创建两种类型的数据集：一个可供任何人在 AI 模型训练中使用的公开开源数据集，以及一组用于训练专有 AI 模型的私有数据集。

OpenAI 表示，私有集适用于希望保持数据私密性但希望 OpenAI 的模型更好地理解其领域的组织；到目前为止，OpenAI 与冰岛政府和 Miðeind ehf 合作，提高了 GPT-4 说冰岛语的能力，并与自由法律项目合作，提高其模型对法律文件的理解。

【阅读原文】

2、微软将为管理门户访问推出mfa强制策略

据外媒11月6日报道，微软将很快开始推出条件访问策略，要求管理员在登录到 Microsoft Entra、Microsoft 365、Exchange 和 Azure 等 Microsoft 管理门户时进行多重身份验证 （MFA）。该公司还将推出一些策略，要求所有云应用的MFA 用户进行 MFA验证，以及要求对高风险登录进行 MFA（后者仅适用于 Microsoft Entra ID Premium Plan 2 客户）。

【阅读原文】

3、制造业巨头日本航空电子公司服务器遭入侵

Hackernews 编译，转载请注明出处：

制造业巨头日本航空电子公司(Japan Aviation Electronics)证实，其系统正面临网络攻击，迫使该公司关闭其网站。

本周一晚，这家电子产品和航空航天产品制造商用一条静态消息取代了其网站，称其部分服务器上周四被黑客入侵。

该公司表示：“我们目前正在调查受影响情况，并恢复运营，但一些系统已经暂停，收发电子邮件出现了一些延迟。”该公司的收入超过10亿美元。

“到目前为止，没有确认信息泄露。对于给客户和其他相关方造成的不便，我们深表歉意。一旦我们通过进一步调查发现任何新情况，我们将立即通知您。”

该公司的网站只有一个页面，发表了相关声明：

日本航空电子公司网站截图

本周一，日本航空电子公司被添加到 AlphV/Black Cat 勒索软件团伙的泄露站点中，但该公司尚未证实是否正在应对勒索软件攻击。

最近几个月发生了一系列针对日本大型公司的攻击事件。

制表商精工、卡西欧、拉链巨头YKK、制药公司卫材和日本最大的贸易港今年都遭遇了网络攻击或勒索软件事件。苏黎世和Aflac保险公司的数百万日本客户在1月份的一次数据泄露事件中受到影响。

【阅读原文】

2023年11月9日 星期四

今日资讯速览：

1、中国跨境电商暴露数百万用户隐私数据，部分含身份证照片

2、新加坡滨海湾金沙集团 66.5 万客户数据遭窃取

3、SideCopy 在针对印度政府实体的攻击中利用 WinRAR 漏洞

1、中国跨境电商暴露数百万用户隐私数据，部分含身份证照片

安全内参11月8日消息，据外媒TechCrunch报道，安全研究员发现，由于一家电商店铺数据库暴露在互联网上，数百万中国公民的身份证号码遭泄露。

云安全公司CloudDefense.ai的安全研究员Viktor Markopoulos发现了这次暴露的数据库。他表示，该数据库属于Zhefengle，这家中国电商店铺专门从国外进口商品 （经安全内参查询，zhefengle.com网站隶属杭州橙子信息科技有限公司）。

Viktor Markopoulos说，这个数据库包含了2015年到2020年之间超过330万订单，但没有受到密码保护。

订单数据库包含了客户送货地址和电话号码，以及客户的政府核发的居民身份证号码。TechCrunch发现，许多订单还包括了客户的身份证复印件。

购买海外商品的中国客户必须经过身份验证，商店要求客户上传身份证复印件也是常规操作。

目前尚不清楚这个数据库暴露了多长时间。只要知道数据库的IP地址，任何人都可以在直接通过网络浏览器访问其中的数据。

TechCrunch联系了这家网店的所有者，提供了有关泄露数据库的详细信息。不久之后，数据库就无法访问。店主回复说：“漏洞已经得到迅速处理。我们正在对原因展开内部调查。”

参考资料：https://techcrunch.com/2023/11/06/store-millions-chinese-citizen-identity-cards/

【阅读原文】

2、新加坡滨海湾金沙集团 66.5 万客户数据遭窃取

Hackernews 编译，转载请注明出处：

新加坡滨海湾金沙集团表示，66.5万名客户的数据在网络攻击中被盗。

上个月，针对新加坡滨海湾金沙赌场和酒店的网络攻击导致66.5万名客户的数据被盗。

这个庞大的综合体位于新加坡滨海湾海滨，拥有2200间客房的酒店，旁边是亚洲最大的赌场之一。

该公司在周二的公开通知中表示，黑客前一天侵入他们的系统，他们在10月20日意识到数据安全事件。黑客获取了客户忠诚度计划的会员数据。

“发现这一事件后，我们团队立即采取行动解决问题，”他们说。“根据我们的调查，到目前为止，我们没有证据表明未经授权的第三方滥用数据对客户造成伤害。我们不认为赌场奖励计划金沙奖赏俱乐部的会员数据受到影响。”

该公司正在与一家网络安全公司合作解决这个问题，并表示被盗的数据包括姓名、电子邮件地址、电话号码、居住国、会员号码等。

公司将与受影响的客户联系。这起事件已报告给新加坡和其他国家的当局。

在滨海湾金沙遭到攻击之前，位于拉斯维加斯的米高梅度假村和凯撒娱乐公司——全球最大的两家酒店和赌场公司——也遭到了勒索软件的攻击。

上个月，美高梅度假村表示，由于酒店系统受损以及客户数据被盗，勒索软件攻击将给他们造成约1亿美元的损失。

Semperis首席技术专家Sean Deuby与酒店公司合作处理网络安全问题，他表示，对滨海湾金沙、米高梅和凯撒的攻击“让整个酒店和赌场行业处于紧张状态”。

他说：“在最近的这起数据泄露事件中，令人欣慰的是，黑客似乎并没有带走社会安全号码和信用卡数据等个人身份信息。”

“然而，通过窃取滨海湾金沙集团忠诚客户的其他个人信息，如电子邮件地址和手机号码，攻击者很有可能在未来几周内进行其他基于社会工程学的攻击和网络钓鱼骗局，或者将这些数据出售给暗网上出价最高的人。”

【阅读原文】

3、SideCopy 在针对印度政府实体的攻击中利用 WinRAR 漏洞

据观察，与巴基斯坦有关的威胁行为者SideCopy在针对印度政府实体的攻击中利用最近的 WinRAR 安全漏洞来传播各种远程访问木马，例如 AllaKore RAT、Ares RAT 和 DRat。

企业安全公司 SEQRITE 将该活动描述为多平台攻击，这些攻击还旨在通过兼容版本的 Ares RAT 渗透 Linux 系统。

SideCopy 至少从 2019 年开始活跃，以攻击印度和阿富汗实体而闻名。它被怀疑是透明部落（又名 APT36）演员的一个子团体。

SEQRITE 研究员 Sathwik Ram Prakki在周一的一份报告中表示：“SideCopy 和 APT36 共享基础设施和代码，以积极瞄准印度。”

今年 5 月初，该组织与一次网络钓鱼活动有关，该活动利用与印度国防研究与发展组织 (DRDO) 相关的诱饵来传播信息窃取恶意软件。

此后，SideCopy 还参与了一系列针对印度国防部门的网络钓鱼攻击，这些攻击通过 ZIP 存档附件传播 Action RAT 和支持 18 种不同命令的基于 .NET 的新特洛伊木马。

SEQRITE 检测到的新网络钓鱼活动涉及两个不同的攻击链，每个攻击链都针对 Linux 和 Windows 操作系统。

前者围绕基于 Golang 的 ELF 二进制文件，为 Linux 版本的Ares RAT铺平了道路，该版本能够枚举文件、截屏以及文件下载和上传等。

另一方面，第二个活动需要利用WinRAR 归档工具中的安全漏洞CVE-2023-38831来触发恶意代码的执行，从而导致部署 AllaKore RAT、Ares RAT 和两个新的 RAT。称为 DRat 和 Key RAT 的木马。

Ram Prakki 表示：“[AllaKore RAT] 具有窃取系统信息、键盘记录、截取屏幕截图、上传和下载文件以及远程访问受害计算机以发送命令并将窃取的数据上传到 C2 的功能。”

DRat 能够解析来自 C2 服务器的多达 13 个命令，以收集系统数据、下载和执行其他有效负载以及执行其他文件操作。

针对 Linux 的攻击并非巧合，其动机很可能是印度政府和国防部门决定用名为 Maya OS 的 Linux 版本取代 Microsoft Windows。

Ram Prakki 表示：“SideCopy 通过零日漏洞扩展其武器库，持续利用各种远程访问木马来针对印度国防组织。”

“APT36 正在不断扩展其 Linux 武器库，据观察，APT36 与 SideCopy 共享其 Linux stagers，以部署名为 Ares 的开源 Python RAT。”

【阅读原文】

2023年11月8日 星期三

今日资讯速览：

1、2023世界互联网大会即将开幕

2、现役美军信息1元/条可买！美国数据交易产业失控引发国家安全漏洞

3、一封陌生邮件背后的“网攻阴谋”

1、2023世界互联网大会即将开幕

11月8日至10日，2023年世界互联网大会乌镇峰会将在浙江乌镇举行。其中“互联网之光”博览会已于今日11月7日正式开展。在网络安全主题展区，中国网络空间安全协会组织60余家单位展示新技术新应用新业态下的网络安全创新成果，奇安信、360、安恒信息、天融信、阿里安全等网安企业展示我国网络安全的核心能力；国家计算机网络应急技术处理协调中心、中国联通、中国移动等分别展示国家网络安全防护能力和关键信息基础设施安全保护工作成果。

【阅读原文】

2、现役美军信息1元/条可买！美国数据交易产业失控引发国家安全漏洞

安全内参11月7日消息，杜克大学周一发布的一项研究显示，现役美军的个人信息十分廉价、极易购买，并且还被售卖美国人数据的数据经纪人们疯狂地打广告宣传。

研究人员表示，他们购买了各种数据，包括姓名、电话号码、地址，有时甚至能买到军人子女的姓名、婚姻状况、净资产和信用评级等信息。购买单价一般仅有12美分/人。研究人员一共花了1万美元出头，就买到将近5万名军人的记录。

这项研究引发担忧，数据经纪业缺乏重大监管可能对国家安全带来风险。部分美国参议员提前查看了杜克大学的研究结果。他们通过电子邮件发表声明称，研究说明了有必要采取应对行动。

共和党参议员Bill Cassidy表示：“研究报告进一步说明美国军人保护工作存在巨大漏洞，急需加以解决。我们必须维护国家安全，保护守卫国家的军人。”

民主党参议员Ron Wyden称，研究结果“为政策制定者敲响了警钟。数据经纪业已经失控，对美国国家安全构成了严重威胁。”

数据交易网站无所不卖

研究发现，有500多家数据经纪网站打广告宣传能够提供军人信息。发现购买者是学术研究人员后，部分网站拒绝出售这些信息，而其他一些网站要求买方签署保密协议。杜克大学研究人员最终从三家未具名的经纪人那里购买了数千份记录。

杜克大学桑福德公共政策学院研究员Justin Sherman表示，研究结果揭示了隐私法规很少讨论的一面。

Justin Sherman说，“我们的政策存在一个有趣的空白。我们对隐私的讨论主要关注消费者隐私，这当然也很重要。但是，讨论者很少考虑国家安全。”

一些经纪人提供了特定地区的记录。购买者可以由此推断出现役军人的驻地。

危及国家安全

军人数据可以轻易获得属于国家安全问题。这是因为，外国间谍可以利用这些数据，识别、接触拥有国家机密的美国人。

前中情局官员Jeff Asher告诉NBC新闻：“有些人不应该被外国情报部门接触。然而，他们的信息可以轻易获得。这种情况并不乐观。”

今年7月，美国国家情报总监办公室委托的一个小组发布报告，表示美国情报机构经常购买这种“可在市面上购取的信息” （CAI），几乎没有受到质疑或监督。

小组发现：“人们越发认识到，CAI作为一种唾手可得的资源，为我们的对手提供了情报优势。”

五角大楼发言人没有回应置评请求。

一些国家，特别是欧盟国家，制订了严格的法规，用于指导个人信息收集、打包、购买和出售等行业行为。美国法律对医疗数据和幼儿信息的收集设定了一些限制，但国会未能达成一项普遍的数据隐私法案。

Ron Wyden说：“不要觉得我总是重复说，我们的国家迫切需要一项全面的消费者隐私法，从源头限制敏感个人信息的收集、留存和出售。”

参考资料：https://www.nbcnews.com/tech/security/us-service-members-data-easy-cheap-purchase-online-study-finds-rcna123064

【阅读原文】

3、一封陌生邮件背后的“网攻阴谋”

一封看似普通的电子邮件，背后却是网络间谍在进行网络攻击与窃密，请跟随我们一起走进案发现场，看看究竟发生了什么。

（该案例根据真实案件改编）

夏日炎炎，蝉鸣聒噪，南方的夏天格外湿热，坐在办公室的小张被空调的冷气围裹着，忽感一丝寒意。就在他准备伸个懒腰之时，“叮咚”，单位群聊天窗口收到了新消息，通知大家参加保密知识竞赛，并要求下载安装某手机应用程序。与此同时，小张的工作邮箱也收到了一封陌生邮件。

这些操作提示，让接受过反间谍和保密教育的小张陷入了思考：这个邮箱不是单位群发的常用邮箱，里面这个安装文件会是什么内容，不会被网络“钓鱼”吧？不可能，我这么个小角色，怎么会有“黑客”对我感兴趣呢？而且有单位群里发的通知，应该不会有问题，试一试吧！

经过短暂的内心纠结，小张点击链接并下载安装了该手机应用程序。

小张安装完毕并点击该应用程序后，手机屏幕画面一闪，却并没有打开邮件所称的应用，更奇怪的是，应用对应的安装图标也消失了。接下来，怪事接连发生：手机流量流失莫名加速，电池开始发烫，麦克风、定位同时开启……

小张深感不妙，越发觉得自己的手机遭到了网络攻击。但此时后悔已经来不及了，小张随即拔掉电话卡、断开 WIFI连接、关闭手机，并及时上报单位网络安全中心。

在断网和屏蔽摄像头、麦克风的前提之下，网络安全专家对这部手机进行安全检查，经过 1 个多小时的不懈努力，终于揭开此次网络攻击的谜底。

原来小张遭受了境外网络攻击者常用的“钓鱼攻击”，他收到的所谓手机应用安装软件，实际是境外“网络间谍”伪造的手机木马程序，一旦目标选择下载安装，就会在手机后台执行以下操作：

- 获取短信、通讯录、通话记录；

- 获取 GPS 位置信息；

- 开启录音功能；

- 开启摄像头拍照功能；

- 遍历 SD卡上 doc、ppt、pdf 等后缀的文件，打包压缩；

- 远程控制手机进行指令下发；

- 将窃取的所有文件压缩加密回传至攻击者指定网盘。

通过网络安全专家的进一步分析，发现小张手机上关于某政策研究的各种文档、邮件以及手机相册里对应的照片均被攻击者偷走。

任意打开某张照片，可以看到如下信息：

该照片为小张工位上的盆栽，手机感染木马之后，在不知不觉的情况下启动了拍照功能，并对周围环境进行了拍摄。小张惊呼：“这简直太可怕了！”

此外，由于小张的手机拍照设置为包含位置信息，所以根据照片的 Exif 信息可以看到图片拍摄时的经纬度（通过经纬度可以确定手机的具体位置)，据此可以判断小张单位的精确地理位置。

事后，小张单位进一步加强对涉密事项、重点场所和涉密载体的安全防范管理，及时采取相应的技术措施和其他必要措施，加强对网络设施、信息系统等的反间谍技术防范，同时还进一步加强了对工作人员的反间谍安全防范教育培训，有效筑牢了防范网络窃密的防火墙。

本案例中，小张遭遇的网络攻击俗称“钓鱼攻击”，攻击者通过构造诱饵文件，引起小张的兴趣，利用小张的好奇心和疏于防范的心理，诱导小张主动点击恶意链接，从而向其设备植入木马或盗取其账号。与电信诈骗不同，国家级网络攻击在目标的选择上十分明确，他们不会浪费资源广撒网，通常会针对特定群体目标，以情报窃取为目的进行攻击。

防范网络攻击、维护网络空间安全，关系国家安全和公民、组织切身利益，需要全社会共同努力。

【阅读原文】

2023年11月7日 星期二

今日资讯速览：

1、我国工业信息安全产业规模达204.86亿元

2、视频为证！“Cyber Av3ngers”黑客组织声称攻陷以色列十个水处理厂

3、Socks5Systemz 代理服务已感染全球 10,000 个系统

1、我国工业信息安全产业规模达204.86亿元

近日，在2023年工业信息安全大会上，《中国工业信息安全产业发展态势研究（2022年-2023年）》发布。研究显示，2022年我国工业信息安全产业规模达204.86亿元，市场增长率达21.62%。中国工业信息安全产业仍然处于快速成长期。2022年电力、智能制造、交通和石油石化等关键信息基础设施领域的工业信息安全投入占比依然保持在较高水平。工信部网络安全管理局的数据显示，今年以来，工信部数据安全风险信息报送与共享平台累计报告3700多起风险，其中80%以上的风险涉及工业领域。

【阅读原文】

2、视频为证！“Cyber Av3ngers”黑客组织声称攻陷以色列十个水处理厂

伊朗背景的“Cyber Av3ngers”的黑客组织10月30日在社交媒体上宣布，他们已经入侵了以色列的十个水处理厂。受影响的城市包括赫德拉、帕尔马希姆、索雷克、阿什凯隆、海法、花拉子姆、卡法哈鲁夫、塔贝里亚、埃拉特和丹尼尔。黑客声称他们一旦获得了控制权，就可以实施对自动监控设施、传感器和控件的工业系统（PLC、SCADA、HMI）的操纵、擦除和毁坏。此前，该组织宣称他们攻陷了以色列内坦亚市的一家污水处理厂。

无法确认这些水处理厂是否确实受到攻击。运营其中部分设施的IDE Technologies没有回应有关该事件细节的问题。然而，黑客发布的视频包含软件菜单的片段，其中可以看到IDE Technologies徽标。

根据视频片段和该组织的声明，这次黑客攻击导致自动监控站、传感器和控制器的工业系统关闭，这些系统允许操作员手动操作系统。在其中一个视频帧中，屏幕上显示有关系统酸度水平的信息，会出现一个请求，询问您是否要“停止清洁”。

黑客还发布了一段视频，展示了通过命令行进行的黑客攻击过程，其中包括被攻击系统的IP地址。其中一些IP地址属于私有网段，与运行屏幕截图中软件的西门子公司相关。

该伊朗背景的黑客组织CyberAv3ngers于10月24日在Telegram上宣布，他们攻陷了以色列内坦亚市的一家污水处理厂。该组织在他们的Telegram频道和X账户上，均发布了部分屏幕截图，显示他们已经获得了工厂控制和监控系统的访问权限。他们还威胁要破坏污水处理厂，除非以色列政府停止支持“占领巴勒斯坦”。10月29日，该组织发布消息称将在接下来的24小时内对以色列关键基础设施发动更厉害的网络攻击。

CyberAv3ngers黑客组织声称获得了以色列内坦亚市的一家污水处理厂控制系统的访问权限

Cyber Av3ngers此前曾宣布对以色列发电厂发动网络攻击。然而，卡巴斯基实验室的分析发现，有关先前攻击的说法包含来自另一个黑客活动组织Moses Staff的重复使用的图像和数据，该组织与伊朗有联系，旨在通过“窃取和发布敏感数据”来伤害以色列公司。

卡巴斯基揭穿Cyber Av3ngers黑客组织攻陷以色列Dorad发电厂的谎言

Securelist指出 ，还有一个名为“网络复仇者”的活跃黑客组织自2020年以来一直活跃，其目标是以色列组织，主要是那些负责该国关键基础设施的组织。然而，没有发现该组织与Cyber Av3ngers之间有任何记录的联系。

参考资源

1、https://www.securitylab.ru/news/543346.php

2、https://twitter.com/CyberAveng3rs

【阅读原文】

3、Socks5Systemz 代理服务已感染全球 10,000 个系统

名为“Socks5Systemz”的代理僵尸网络已通过“PrivateLoader”和“Amadey”恶意软件加载程序感染全球计算机，目前已统计有 10,000 台受感染设备。

该恶意软件会感染计算机，并将其转变为恶意、非法或匿名流量的流量转发代理。它将这项服务出售给每天支付 1 至 140 美元加密货币的订阅者。

BitSight的一份报告详细介绍了 Socks5Systemz，该报告称代理僵尸网络至少自2016年以来就已存在，但直到最近才相对低调。

Socks5Systemz

Socks5Systemz 僵尸程序由 PrivateLoader 和 Amadey 恶意软件分发，这些恶意软件通常通过网络钓鱼、漏洞利用工具包、恶意广告、从 P2P 网络下载的木马可执行文件等进行传播。

BitSight 看到的样本名为“previewer.exe”，其任务是将代理机器人注入到主机内存中，并通过名为“ContentDWSvc”的 Windows 服务为其建立持久性。

代理机器人有效负载是一个 300 KB 32 位 DLL。它使用域生成算法 (DGA) 系统与其命令和控制 (C2) 服务器连接，并发送有关受感染计算机的分析信息。

作为响应，C2 可以发送以下命令之一来执行：

空闲：不执行任何操作

connect：连接到反向连接服务器

connect：断开与反向连接服务器的连接

updips：更新授权发送流量的 IP 地址列表

upduris：尚未实施

connect 命令至关重要，它指示机器人通过端口 1074/TCP 建立反向连接服务器连接。

一旦连接到威胁行为者的基础设施，受感染的设备现在可以用作代理服务器并出售给其他威胁行为者。

连接到反向连接服务器时，它使用确定 IP 地址、代理密码、阻止端口列表等的字段。这些字段参数确保只有白名单中的机器人并具有必要的登录凭据才能与控制服务器交互，从而阻止未经授权的尝试。

法经营影响

BitSight 映射了主要位于法国和整个欧洲（荷兰、瑞典、保加利亚）的 53 个代理机器人、反向连接、DNS 和地址获取服务器的广泛控制基础设施。

自 10 月初以来，分析师通过端口 1074/TCP 记录了 10,000 次与已识别的反向连接服务器的不同通信尝试，表明受害者数量相同。

地理分布稀疏且随机，覆盖全球，但印度、美国、巴西、哥伦比亚、南非、阿根廷和尼日利亚感染人数最多。

Socks5Systemz 代理服务的访问权限分为两个订阅级别，即“标准”和“VIP”，客户通过匿名（无 KYC）支付网关“Cryptomus”进行支付。

订阅者必须声明代理流量的来源 IP 地址，才能将其添加到机器人的白名单中。

标准订阅者仅限于单个线程和代理类型，而 VIP 用户可以使用 100-5000 个线程并将代理类型设置为 SOCKS4、SOCKS5 或 HTTP。

下面列出了每项服务的价格：

住宅代理僵尸网络是一项 利润丰厚的业务 ，对互联网安全和未经授权的带宽劫持具有重大影响。

这些服务通常用于购物机器人并绕过地理限制，因此非常受欢迎。

8 月，AT&T 分析师透露了一个由超过 400,000 个节点组成的广泛代理网络，其中不知情的 Windows 和 macOS 用户充当出口节点，引导其他人的互联网流量。

【阅读原文】

2023年11月6日 星期一

今日资讯速览：

1、网络攻击迫使美国五金零售巨头断网停服，顾客只能线下采买

2、安全专家：黑客正在利用人工智能改进网络钓鱼攻击方式

3、黑客肆虐！70多座城市陷入黑暗！德国政府被勒索软件狂攻

1、网络攻击迫使美国五金零售巨头断网停服，顾客只能线下采买

安全内参11月2日消息，美国五金零售连锁巨头王牌五金（Ace Hardware）似乎成为了最新遭到网络攻击的机构。

该公司网站日前警告称，公司拥有的零售合作社目前无法处理在线订单。而首席执行官John Venhuizen也发布备忘录，说明问题十分严重。

Venhuizen发给王牌五金零售商一份备忘录中表示：“上周日早上，我们检测到一起影响我们大多数IT系统的网络安全事件。由于这一事件，我们许多关键运营系统，包括ACENET（网络）、仓库管理系统、零售商移动助手（ARMA）、热销产品目录、发票、奖励系统及客服中心的电话系统都已中断或暂停运行。”

王牌五金公司暂未回应外媒The Register提供更多信息的请求。根据社交媒体上的评论来看，内部情况不容乐观。有网友声称在这家市值数十亿美元的机构的仓库工作，他们表示已被打发回家。其他人则担心无法按时领到工资。

据The Register观察，王牌五金的最新情况更新表明，该公司10月31日不会送货，也无法接受来自零售商的订单。不过，商店应该保持营业。王牌五金指出，尚未发现有店内支付系统或信用卡处理系统受到影响。

换句话说，消费者已经无法通过王牌五金公司下订单或使用其他服务，但可以亲自前往王牌五金商店购买现货商品。

王牌五金尚未明确遭受的攻击类型，只表示正在努力恢复系统和运营，并已请数位数字取证专家提供协助。

首席执行官对零售商们补充道：“您的王牌五金团队正在一组技术取证专家的支持下，全力解决这一情况。没有什么比尽早恢复所有运营更重要。我们面临的动态快速变化，事件细节将迅速变化。”

有许多潜在漏洞可能已经被利用来攻击该机构的信息技术系统；上周，思杰系统有限公司用户被敦促修补一个关键的Netscaler漏洞。我们注意到，美高梅度假村承认，这家娱乐巨头因为去年9月的网络攻击可能损失了1亿美元。

王牌五金公司被誉为全球最大的由零售商拥有的硬件合作社，总部位于美国伊利诺伊州。该公司销售DIY所需各类工具和其他物品。据称公司在全球拥有5000多家独立门店。

该公司最近的收入有所下降，2023年第一季度报告为21亿美元，较去年同期下降了5.8%。

根据《新闻周刊》的“美国最值得信赖的公司”排行，王牌五金公司被评为美国第六值得信赖的零售商。

参考资料：https://www.theregister.com/2023/10/31/ace_hardware_cyberattack/

【阅读原文】

2、安全专家：黑客正在利用人工智能改进网络钓鱼攻击方式

权威政府和犯罪团伙正在争先恐后地利用人工智能增添其网络攻击的能力，这些攻击可能会打开守护我们最敏感机密和最重要基础设施的大门--这将增加医院、学校、城市和企业的危险，因为它们已经经常成为黑客欺诈性电子邮件的牺牲品，而黑客还会继续制造混乱。

随着技术的不断发展，人们越来越担心大型语言模型（LLM）（如 ChatGPT）被用于犯罪目的的可能性。人工智能将大大提高网络钓鱼邮件的成功率，这是黑客入侵人们的计算机、电子邮件账户和公司服务器的最具破坏性的有效技术。目前，90% 以上的网络攻击都是从网络钓鱼信息开始的，它们伪装成来自朋友、家人或商业伙伴的合法通信，诱骗人们在虚假登录页面上输入密码或下载恶意软件，从而窃取数据或监视他们。通过利用人工智能的文本生成和数据分析能力，黑客将能够发送更有说服力的网络钓鱼信息，诱骗更多受害者，造成难以计数的损失。

地下社区对 LLM 抱有极大的兴趣，恶意 LLM 产品也将随之出现。一个名为 last/laste 的未知开发者创建了自己的 ChatGPT LLM 聊天机器人，旨在帮助网络犯罪分子： WormGPT。WormGPT 诞生于 2021 年 3 月，直到 6 月，开发者才开始在一个流行的黑客论坛上出售该平台的访问权限。与 ChatGPT 等主流 LLM 不同，这个黑客聊天机器人没有任何限制，无法回答有关非法活动的问题。聊天机器人的创建平台是 2021 年推出的相对过时的开源大型 GPT-J 语言模型。聊天机器人接受了恶意软件开发相关材料的培训，这就是 WormGPT 的诞生过程。开发人员估计，访问 WormGPT 的费用为每月 60 欧元至 100 欧元，或每年 550 欧元。

专家认为，俄罗斯等威权国家正在研究人工智能的恶意用途，包括用于网络钓鱼。而在地下犯罪组织中，有才华的开发者已经在构建和出售定制人工智能平台的访问权限，如 WormGPT（可生成令人信服的网络钓鱼信息）和 FraudGPT（可创建虚假网站以支持网络钓鱼活动）。

网络公司 Trustwave 高级安全研究经理菲尔-海伊（Phil Hay）说："我们完全可以预见，攻击者将越来越多地利用人工智能来创建他们的网络钓鱼活动。"

网络钓鱼领域这场迫在眉睫的革命--由同样的技术驱动--已经让用户眼花缭乱，因为这种技术能够在几秒钟内撰写论文并制作出假肖像--让一些网络安全专家感到震惊，他们担心即将出现的恶意信息会过于复杂，大多数人都无法识别。

联邦网络安全和基础设施安全局网络部门前负责人布赖恩-瓦尔（Bryan Ware）说："如果人工智能像我们现在谈论的那样起飞，那么网络钓鱼的企图将变得越来越严重，越来越难以防范，也越来越难以发现。"

如果犯罪分子拥有自己的类似 ChatGPT 的工具，那么对网络安全、社交工程和整体数字安全的影响将是巨大的。这一前景凸显了我们在努力确保人工智能技术安全和负责任地开发人工智能技术时保持警惕的重要性，以降低潜在风险并防止滥用。

【阅读原文】

3、黑客肆虐！70多座城市陷入黑暗！德国政府被勒索软件狂攻

      该公司在一个临时网站上发布的声明中表示，此次袭击使当地政府服务“受到严重限制”，因为事件发生后，其主网站无法访问。

      该地区几乎所有的市政厅都受到了黑客攻击的影响。

      袭击发生当天，德国城市锡根的行政部门取消了与公民的预约，因为其大部分IT系统都被关闭了。截至周二，政府的大部分在线服务仍然无法使用。Wermelskirchen和Burscheid市政府的网站也在周三关闭。Wermelskirchen的一位女发言人告诉德国媒体：“由于中断，我们无法访问通过Südwestfalen IT运行的所有应用程序。”。这影响了该市的财政、居民、墓地和登记处。

      政府在公开讨论此次袭击的影响时表示，尽管在线系统已经关闭，但他们仍在为公民提供面对面的服务。政府的内部和外部沟通，包括电子邮件和电话服务，大多是无效的。

      德国警方和网络安全机构正在调查此次黑客攻击，并努力恢复城市管理部门的服务。

      Burscheid的一位发言人说：“但我们不能告诉我们的客户任何具体的事情，这给人们带来了很大的压力。”

      德国网络安全专家表示，攻击的时间特别敏感，因为地方政府通常在月底进行金融交易。专家表示，此次袭击可能会阻碍工资、社会援助和护理基金转账等支付。

      德国联邦信息安全办公室（BSI）表示，它知道这起全事件，并正在与受影响的服务提供商联系。然而，由于调查仍在进行中，它无法对进一步的细节发表评论。

      参与调查的德国检察官告诉当地媒体，他们目前正在努力确定损失的程度，哪些服务受到影响，以及谁应对袭击负责。他们预计将进行“复杂而漫长的调查”。

【阅读原文】

2023年11月3日 星期五

今日资讯速览：

1、美政府起诉企业首席安全官未尽职，震惊安全高管群体

2、黑客肆虐！70多座城市陷入黑暗！德国政府被勒索软件狂攻

3、Avast误将Google快速搜索框启动器标记为恶意软件

1、美政府起诉企业首席安全官未尽职，震惊安全高管群体

安全内参11月1日消息，美国证券交易委员会（SEC）周一对太阳风公司（Solarwinds）提起诉讼，起诉理由是该机构认为太阳风的数字安全保障措施不足，且未能及时披露这些问题，导致该公司发生有史以来最严重的入侵事件。

美国证券交易委员会在起诉书中指控太阳风公司和该公司首席信息安全官Tim Brown，多次违反联邦证券法的反欺诈披露和内部控制规定，多年来一直忽视有关安全漏洞的警告，没有披露公司明知可能导致黑客攻击的漏洞，直到在2020年底才披露了这次入侵事件。2021年4月，美国政府正式将入侵事件归咎于俄罗斯外国情报机构的黑客。

出现多个“第一次”

美国证券交易委员会执法部门前助理主管、Jenner & Block律师事务所合伙人Jennifer Lee表示，这个案件至少有三个值得注意的独特要素。2018年，Lee曾主管美国证券交易委员会的首次网络执法行动。当时，雅虎与该委员会达成了和解协议。

Lee指出，这是美国证券交易委员会在网络案件中，第一次指控一个组织有意欺骗投资者，第一次采取针对个人的行动，第一次指控一家公司在其内部控制方面存在失误。

关于第二个“第一次”，美国证券交易委员会首次提醒可能对太阳风采取执法行动时，各组织负责网络职能的高管群体们大为受惊。

起诉证据主要来自内部员工

美国证券交易委员会大量采信太阳风公司员工和官员的陈述，强调太阳风已经意识到了其安全问题。根据投诉书：

• 一名工程师在2018年表示，公司的远程访问设置“不太安全”，利用这种不安全设置的人“基本上可以做任何事，而不被我们察觉”，这会对太阳风造成“重大声誉和财务损失”。

• 2019年和2020年的多次演示都说明太阳风公司在系统访问控制方面存在问题。

• 2020年7月，Tim Brown表示黑客非常熟悉太阳风软件，知道“如何部署软件，关闭备份等”。同月，一名工程团队成员表示，他们对某个太阳风客户的活动感到“惊吓”。Tim Brown因此表示，该事件“非常令人担忧”。他补充说：“正如大家所知，我们的后台系统不够弹性，确实需要改进。”

• 一名信息安全经理在2020年11月写道：“我们还远不是一家注重安全的公司……听到我们的头号极客谈论安全，我都忍不住想吐”。

美国证券交易委员会执法部门主管Gurbir Grewal在一份声明中表示：“与其解决这些漏洞，太阳风和Tim Brown发起了一场公关行动，美化了公司的网络控制环境，导致投资者无法准确获知重要信息。”

“今天的执法行动不仅控告太阳风和Tim Brown误导投资大众，未能保护公司的‘皇冠明珠’资产，还重申了我们对发行人的态度：他们必须实施与风险环境相适应的强有力的控制措施，并如实告知投资者已知的问题。”

太阳风重申斗争策略

太阳风公司之前已经表示准备与美国证券交易委员会作斗争。公司在本周一重申了这一表态。

太阳风公司发表声明：“美国公司受到俄罗斯黑客攻击，美国证券交易委员会却对美国公司提起毫无根据的指控，我们对此感到失望，非常担忧此举将危及我们的国家安全。美国证券交易委员会决定针对我们和首席信息安全官提出索赔，这是该机构过度扩张的又一例证，应引起全国各地所有上市公司和网络安全专业人士的警觉。我们期待在法庭上澄清真相，并继续落实我们的设计安全承诺，支持我们的客户。”

Tim Brown的代理律师Alec Koch表示：“Tim Brown在太阳风担任信息安全副总裁以及后来担任首席信息安全官期间，勤勉、诚实，杰出地履行了他的职责。Tim Brown先生在太阳风任职期间不懈努力，持续改进公司的网络安全状况。我们期待捍卫他的声誉，并纠正美国证券交易委员会投诉中的不准确之处。”Alec Koch就职于King & Spalding律师事务所。

参考资料：https://www.washingtonpost.com/politics/2023/10/31/what-know-about-secs-case-against-solarwinds/

【阅读原文】

2、黑客肆虐！70多座城市陷入黑暗！德国政府被勒索软件狂攻

      本周发生的勒索软件攻击已使德国西部多个城市和地区的地方政府服务陷入瘫痪。周一早些时候，一个未知的黑客组织对当地市政服务提供商Südwestfalen IT的服务器进行了加密。为了防止恶意软件传播，该公司限制了70多个城市的基础设施访问，主要是在德国西部的北莱茵-威斯特法伦州。

      该公司在一个临时网站上发布的声明中表示，此次袭击使当地政府服务“受到严重限制”，因为事件发生后，其主网站无法访问。

      该地区几乎所有的市政厅都受到了黑客攻击的影响。

      袭击发生当天，德国城市锡根的行政部门取消了与公民的预约，因为其大部分IT系统都被关闭了。截至周二，政府的大部分在线服务仍然无法使用。Wermelskirchen和Burscheid市政府的网站也在周三关闭。Wermelskirchen的一位女发言人告诉德国媒体：“由于中断，我们无法访问通过Südwestfalen IT运行的所有应用程序。”。这影响了该市的财政、居民、墓地和登记处。

      政府在公开讨论此次袭击的影响时表示，尽管在线系统已经关闭，但他们仍在为公民提供面对面的服务。政府的内部和外部沟通，包括电子邮件和电话服务，大多是无效的。

      德国警方和网络安全机构正在调查此次黑客攻击，并努力恢复城市管理部门的服务。

      Burscheid的一位发言人说：“但我们不能告诉我们的客户任何具体的事情，这给人们带来了很大的压力。”

      德国网络安全专家表示，攻击的时间特别敏感，因为地方政府通常在月底进行金融交易。专家表示，此次袭击可能会阻碍工资、社会援助和护理基金转账等支付。

      德国联邦信息安全办公室（BSI）表示，它知道这起全事件，并正在与受影响的服务提供商联系。然而，由于调查仍在进行中，它无法对进一步的细节发表评论。

      参与调查的德国检察官告诉当地媒体，他们目前正在努力确定损失的程度，哪些服务受到影响，以及谁应对袭击负责。他们预计将进行“复杂而漫长的调查”。

【阅读原文】

3、Avast误将Google快速搜索框启动器标记为恶意软件

据10月31日外媒报道，安全公司Avast称自周六以来，其杀毒软件将部分型号的智能手机上的Google Android应用标记为恶意软件。在受影响设备上，用户被提醒立即卸载Google应用，因为它可能会秘密发送短信、下载和安装其它应用或窃取用户信息。还有人看到了不同的提醒，称Google应用是一个木马，可以远程访问他们的设备，被攻击者用来安装恶意软件并窃取数据。Avast透露，其杀毒SDK误将Google快速搜索框应用程序启动器标记为恶意软件，该问题已于10月30日解决。

【阅读原文】

2023年11月2日 星期四

今日资讯速览：

1、大英图书馆遭遇网络攻击被迫中断多项服务

2、警惕！非法交易公民个人信息 “双11提货卡”骗局现身

3、微软新闻 AI 推荐再出争议，案件报道出现不恰当调查

1、大英图书馆遭遇网络攻击被迫中断多项服务

10 月 28 日星期六，一场“网络事件”影响了大英图书馆的系统，导致其网站和许多服务遭受重大 IT 中断。持续的中断还影响了其他服务，包括我们在伦敦和约克郡的电话线路和现场图书馆服务。包括供个人学习的阅览室仍在运行，10 月 26 日或之前请求的藏品可在现场获取。

每年有超过 1100 万名学习者访问该图书馆的网站，而每天有超过 16,000 人使用其馆藏（现场和在线）。该图书馆表示，其馆藏包括超过 1.5 亿件藏品，存放在 625 公里长的书架上，并且每年都会增加 300 万件，因为它收到了英国和爱尔兰出版的所有出版物的副本。

“由于网络事件，大英图书馆正在经历重大技术中断。这正在影响在线系统和服务、我们的网站以及包括阅览室在内的现场服务，”一位发言人告诉 BleepingComputer。

“我们正在国家网络安全中心（NCSC）和网络安全专家的支持下调查这一事件。”

该发言人没有透露在事件期间属于客户或员工的个人或财务信息是否被访问或窃取。

该图书馆尚未提供有关攻击性质以及恶意行为者如何破坏其系统的详细信息。文章发表时，大英图书馆网站因网络攻击仍处于离线状态。 

大英图书馆补充说，虽然伦敦通过圣潘克拉斯的印刷目录手动订购藏品有限，但无法访问数字馆藏或数字目录，展览门票只能亲自使用现金购买。

【阅读原文】

2、警惕！非法交易公民个人信息 “双11提货卡”骗局现身

　　警惕！“双11提货卡”骗局现身

　　非法交易公民个人信息成关键一环

　　本报记者 邬林桦

　　前不久，以“蟹卡”作为引流手段的诈骗方式引起关注，相关词条冲上微博热搜第一。如今，诈骗分子又蹭上了新的热点：把“蟹卡”换成了所谓的“双11提货卡”“红包兑换卡”等，其手法是忽悠人们扫码“兑奖”进入所谓刷单返利群，最终诱导受害人进入刷单诈骗的圈套。

　　这类诈骗之所以易发、多发，关键在于不法分子掌握了收件人的信息，从而实现了卡券的精准寄送。这背后，非法交易公民个人信息的灰色产业链起了关键作用。

　　来源不明的“提货卡”

　　近日，虹口居民瞿阿姨走进江湾镇街道方浜居委会，向社区民警祝新民求证一张“提货卡”的真伪。瞿阿姨是通过快递收到了这张某品牌的“提货卡”，背面写着“内含智能家电提货卡一张，扫码0元提货”等字样。她对此将信将疑，想起前不久在新闻里看到的“蟹卡”诈骗，决定找民警求证。

　　祝新民扫了卡上的二维码，跳出一个微信对话框，显示为“某团客服”，在向对方提供了手机号和提货卡截图后，对方邀请他加入了“返利群”，群里群友开始“撬边”说，领到东西有多好、不领就亏了。之后他就被要求下载某个App，开始刷单任务。

　　祝新民告诉记者，“提货卡”的诈骗手法跟此前的“蟹卡”骗局如出一辙。“这些套路最终指向刷单诈骗，前期以小额返利获取被害人信任，等被害人大额充值后，就不返还本金和返利了。”

　　近期，多位市民向警方反映，收到装有提货卡或兑奖卡的快递包裹，卡片背后都印有二维码，称扫码即可兑换小家电、领取礼物等。

　　信息买卖产业链活跃

　　不法分子如何精准获取公民个人信息？记者调查发现，交易公民个人信息、买卖快递面单信息的灰色产业链仍较活跃。

　　前不久，上海警方就曾捣毁一个30人犯罪团伙，他们往1.2万多台商家电脑植入“木马”病毒，大量窃取公民个人信息，并自动发送给境外诈骗团伙。

　　据此前公安部门破获的多起案件显示，这些公民信息“中间商”有的通过开设“数据挖掘”“信息咨询”公司名义，专门从事公民信息倒卖；有的通过搭设所谓信息服务网、单号网等线上销售平台，非法出售公民信息。

　　电商平台卖家也需要公民信息。据业内人士介绍，一些电商卖家通过虚构客户完成虚假交易的“刷单”，获取销量及好评。填写真实的快递单号，是刷单的重要一环。此外，需要推销广告信息、出售假冒发票和垃圾信息发布源头的组织和个人，也对公民个人信息趋之若鹜。

　　据业内人士透露，卡券寄送骗局中被掌握的公民信息，很可能是从快递行业泄露的客户信息。实际上，近年来快递行业泄露客户信息的情况时有发生，具有明显的行业特征。

　　从事专业打击的民警告诉记者，由于快递物流企业掌握的客户个人信息内容丰富且数量巨大，犯罪方式除企业内部员工从快递公司内部系统盗取外，也出现了利用“黑客”手段作案的趋势。

　　不过，这仅仅是信息窃取、倒卖灰色产业链的冰山一角。记者在网上发现，宣称有快递单信息兜售的卖家不在少数。在某聊天软件的“单号交流群”“快递行业数据群”等多个群中，信息贩子定时发布出售信息的广告信息。这些信息贩子通常以一些中文拼音缩写来逃避平台监管，例如以“sfz”来代表“身份证”。

　　记者接触的一名信息贩子“FAKE”称，随着监管收紧，给他提供公民信息的“货源”越来越少，“价格肯定没得商量，量也有限，要的量大的话，需提前付定金”。他的定价为：一条包含姓名、年龄、电话和地址的信息2元；只有电话和姓名的1元。

　　泄露信息该如何处罚

　　法律界人士指出，在全面的个人信息保护法尚未出台背景下，应当利用现行法律对相关人员追责。“对于‘内鬼’和黑客，应当以‘侵犯公民个人信息罪’追究其个人的刑事责任。”

　　根据刑法关于侵犯公民个人信息罪的规定：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

　　业内人士指出，想要真正保护用户隐私，必须进一步完善快递公司内部监管。“真正想获取个人信息的人不需要去看一张张快递单，更多的还是快递公司‘内鬼’故意贩卖用户信息。如果快递公司不防‘内鬼’，就不能杜绝消费者隐私泄露问题。”（解放日报）

【阅读原文】

3、微软新闻 AI 推荐再出争议，案件报道出现不恰当调查

IT之家 11 月 1 日消息，根据英国卫报报道，微软新闻聚合服务的 AI 再次引发争议，在一篇报道 21 岁水球教练莉莉・詹姆斯（Lilie James）死亡的新闻时候，侧面出现了不恰当的问卷调查。

微软 AI 创建的调查标题为：“你认为该妇女的死亡原因是什么？”，并提供了谋杀、事故或自杀三个选项。

读者对这项调查表达了强烈的反应，微软随后删除了相关调查。截至周二上午，读者对该调查的评论依然保留出现在网络上。

一位用户写道：“这注定会成为我一生中见到的最可悲、最恶心的民意调查”。

IT之家在此附上微软发言人的回应如下：“我们已经停用了所有问卷调查系统，并已着手调查本次出现不当内容的原因。此类性质的文章不应该出现调查，我们正在采取措施帮助防止此类错误在未来再次发生。”

【阅读原文】

2023年11月1日 星期三

今日资讯速览：

1、 美国总统拜登签署白宫首个生成式AI监管规定

2、数据安全服务资质正式发布

3、英国NCSC敲响警钟：78%学校遭受网络攻击

1、 美国总统拜登签署白宫首个生成式AI监管规定

当地时间10月30日，美国总统拜登签署了一项关于人工智能的行政命令，推出白宫有关生成式人工智能的首套监管规定，要求对人工智能进行新的安全评估、公平和民权指引，以及对劳动力市场影响的研究。

拜登的行政命令要求大公司在人工智能系统正式发布之前与美国政府分享安全测试结果。它还优先考虑美国国家标准与技术研究院（National Institute of Standard sandTechnology）制定的人工智能“红队”标准，即对系统内的防御和潜在问题进行压力测试。美国商务部将制定为人工智能生成的内容加水印的标准。

此外，最新的行政命令还涉及大型人工智能系统的训练数据，并提出了评估机构如何收集和使用商业可用数据的必要性，包括从数据中介处购买的数据，特别是当这些数据涉及个人标识符时。

拜登政府也在采取措施吸引更多劳动力参与人工智能。从周一开始，具有人工智能专业知识的工人可以在AI.gov找到联邦政府的相关职位空缺。

白宫副办公厅主任布鲁斯·里德（Bruce Reed）在一份声明中说，该命令代表了“世界上任何政府在人工智能安全、安保和信任方面采取的最强有力的行动”。它建立在白宫此前从领先的人工智能公司获得的自愿承诺之上，是政府对这项技术采取的第一个具有约束力的重大行动。

此前，美国15家主要科技公司已同意实施自愿的人工智能安全承诺，但里德表示这“还不够”，周一的行政命令是朝着对该技术发展进行具体监管迈出的一步。

里德说：“总统拜登持续数月的努力，就为了在广泛的领域发挥联邦政府的权力，以管理人工智能的风险并利用其好处。”

虽然执法机构警告说，他们已准备好将现有法律应用于滥用人工智能的行为，国会也努力更多地了解这项技术来制定新法律，但行政命令可能会产生更直接的影响。像所有行政命令一样，它“具有法律效力”。

白宫的行政命令主要包括8个部分：

1、为人工智能制定新的安全和安保标准，包括要求一些人工智能公司与联邦政府分享安全测试结果，同时指示商务部为人工智能水印制定指南，并创建一个网络安全计划，使人工智能工具能够帮助识别关键软件中的缺陷。

2、保护消费者隐私，包括制定指引让机构可以用来评估人工智能中使用的隐私技术。

3、通过向联邦承包商提供指导，避免人工智能算法歧视，并就人工智能在司法系统中的适当作用（包括在量刑、风险评估和犯罪预测中使用时）创建最佳实践，促进公平和公民权利。

4、通过指示卫生与公众服务部制定一项计划来评估人工智能带来的潜在危害。

5、编写一份关于人工智能对劳动力市场的潜在影响的报告，并研究联邦政府如何支持劳动力市场受人工智能影响的工人。

6、通过扩大对气候变化等领域的人工智能研究的资助，以及制定具有关键专业知识的高技能移民留在美国的标准，促进创新和竞争。

7、与国际合作伙伴合作，在全球范围内实施人工智能标准。

8、制定联邦机构使用和采购人工智能指南，并加快政府雇用该领域熟练工人的速度。

今年8月，白宫与7家顶级人工智能公司，包括谷歌、微软、亚马逊、Meta、OpenAI、Anthropic和Inflection达成共识，每家公司都同意在开发人工智能方面做出一系列自愿承诺，包括允许独立专家在公开亮相之前评估工具，研究与人工智能相关的社会风险，并允许第三方测试系统漏洞。随后，再有8家公司参与到白宫的倡议当中。

全球人工智能峰会将举行 传G7即将就AI开发准则达成一致

由英国方面牵头的首届AI安全峰会将于11月1日至2日举办，英国政府宣称举办此次峰会意在讨论人工智能带来的风险，以及如何通过国际协调行动减轻AI风险。

而在峰会举办之前，七国集团（G7）最新发布的一份文件表示，七国集团的代表们即将同意制定一份行为准则，规范各大公司开发以及建设先进的人工智能系统。此举正值全球各国政府寻求降低人工智能的风险和潜在的滥用人工智能技术的方法之际。报告补充称，自愿行为准则将为全球主要国家如何管理这项全新的技术建立重要的里程碑。

报告指出，由美国、英国、加拿大、法国、德国、意大利和日本组成的七国集团（G7）在今年5月召开的部长级别论坛上启动了这一关键进程，该论坛被外界普遍称为“广岛人工智能进程”。

该文件还显示，新准则旨在促进全球范围推广安全、可靠和值得信赖的人工智能，并将为开发最先进的人工智能系统（包括最先进的基础模型和生成式人工智能系统）的组织的各项行动提供自愿性的指导意见。此外，该准则还旨在帮助各国和各企业抓住该新型技术的机遇，并解决该技术的潜在风险。报告称，该规范要求各大公司采取措施，检测、评估和降低人工智能生命周期中的风险，并在人工智能产品投放市场后处理相应的滥用事件。

文件显示，各大公司还被敦促发布关于人工智能产品的功能、限制、使用和任何滥用有关的公开性质报告，并投资于网络安保措施。

在管理人工智能方面，欧盟此前一直主张采取更强硬的立场，而日本则寻求更容易的管理方法——更接近美国为加强经济增长所采取的方法。东南亚国家也对人工智能采取了更有利于商业化的方式。

责编：叶舒筠

校对：苏焕文

【阅读原文】

2、数据安全服务资质正式发布

今日，中国信息安全测评中心正式启动数据安全类一级资质的申请工作，可通过中心官网下载申请资料。信息安全服务资质是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质和能力，以及其稳定性、可靠性进行评估，并依据公开的标准和程序，对其安全服务保障能力进行认定的过程。

【阅读原文】

3、英国NCSC敲响警钟：78%学校遭受网络攻击

为了应对教育领域日益严重的网络安全威胁，英国国家网络安全中心（NCSC） 宣布启动一项新举措 ，旨在防止学校网络用户访问恶意网站。

NCSC 经济和社会副主任 Sarah Lyons 表示，面向学校的PDNS计划将完全免费，预计明年将推广到大多数英国学校 。

学校 PDNS 服务建立在 PDNS 成功实施的基础上，作为 NCSC 主动网络防御策略的一部分，该策略 由.uk 域名注册商Nominet于 2017 年推出，此后一直充当递归解析器，阻止对有风险的网站的访问。

根据 NCSC 的说法，PDNS 通过阻止访问已知的恶意域来防止访问。这可以从源头防止病毒、网络钓鱼攻击、勒索软件、间谍软件和其他威胁的传播，从而提高网络安全性。

此外，PDNS 还使组织能够深入了解其网络的健康状况，并提供 NCSC 支持来解决出现的问题。从 PDNS 获得的信息还用于通知和支持英国政府的网络事件响应。

根据 NCSC 今年 1 月发布的 2022 年调查，78% 的英国学校在过去一年中至少经历过一种网络事件，其中 73% 的学校报告称曾向教职员工发送网络钓鱼电子邮件或教职员工被重定向到欺诈网站。

希望使用 PDNS 服务的学校目前可能不会采取任何行动，直到预计 2024 年上半年全面宣布推出该服务。

但是，英格兰地方当局以及苏格兰、威尔士和北爱尔兰向学校提供 DNS 服务的授权公共网络建议您在该服务可用时预先注册。

【阅读原文】

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)