公司新聞

【一周安全資訊0323】《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級(jí)規(guī)則》等5項(xiàng)網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)獲批發(fā)布;埃塞俄比亞一銀行Bug,引發(fā)取錢(qián)狂潮

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2024-03-23    瀏覽次數(shù):
 

要聞速覽

1、《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級(jí)規(guī)則》等5項(xiàng)網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)獲批發(fā)布

2、一圖讀懂 | 上海通管局開(kāi)展2024年車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)和數(shù)據(jù)安全專項(xiàng)行動(dòng)

3、谷歌Firebase泄露1900萬(wàn)明文密碼,2.2億條數(shù)據(jù)記錄

4、埃塞俄比亞一銀行Bug,引發(fā)"取錢(qián)狂潮",民眾撿漏取走幾十億

5、偷車(chē)問(wèn)題激增,加拿大計(jì)劃禁售黑客工具 Flipper Zero

6、沒(méi)完了?美政府又炒作"中國(guó)黑客"攻擊其供水系統(tǒng)


一周政策要聞

《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級(jí)規(guī)則》等5項(xiàng)網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)獲批發(fā)布

根據(jù)2024年3月15日國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)公告(2024年第1號(hào)),全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口的5項(xiàng)國(guó)家標(biāo)準(zhǔn)正式發(fā)布。具體清單如下:

信息來(lái)源:全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)  https://www.tc260.org.cn/front/postDetail.html?id=20240321160121


一圖讀懂 | 上海通管局開(kāi)展2024年車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)和數(shù)據(jù)安全專項(xiàng)行動(dòng)

2024年3月6日,上海市通信管理局發(fā)布《上海市通信管理局關(guān)于開(kāi)展“鑄盾車(chē)聯(lián)”2024年車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)和數(shù)據(jù)安全專項(xiàng)行動(dòng)的通知》,以下為針對(duì)該通知的圖文解讀:

信息來(lái)源:上海通信圈https://mp.weixin.qq.com/s/sQYpEZOkHEpUVyxVKcJ1hg


業(yè)內(nèi)新聞速覽

谷歌Firebase泄露1900萬(wàn)明文密碼,2.2億條數(shù)據(jù)記錄

近日,三位網(wǎng)絡(luò)安全專家近日發(fā)布報(bào)告,谷歌旗下 Firebase 平臺(tái)實(shí)例存在配置錯(cuò)誤問(wèn)題,導(dǎo)致近1900萬(wàn)個(gè)明文密碼曝光。

三人掃描了500多萬(wàn)個(gè)域名,發(fā)現(xiàn)有916個(gè)組織的網(wǎng)站要么沒(méi)有啟用安全規(guī)則,要么安全規(guī)則設(shè)置錯(cuò)誤。專家掃描發(fā)現(xiàn)了超過(guò)1.25億條敏感用戶記錄,其中包括電子郵件、姓名、密碼、電話號(hào)碼以及包含銀行詳細(xì)信息的賬單信息。

專家表示 Firebase 實(shí)例根本沒(méi)有設(shè)置安全規(guī)則,或者配置不正確,允許他人讀取訪問(wèn)數(shù)據(jù)庫(kù)。

IT之家基于報(bào)道,附上本次發(fā)現(xiàn)的數(shù)據(jù)信息如下:

人名:84221169 個(gè)

電子郵件地址:106266766 個(gè)

電話號(hào)碼:33559863 個(gè)

密碼:20185831 個(gè)

賬單信息(銀行詳情、發(fā)票等):27487924 條

而更為嚴(yán)重的是,本次曝光的20185831個(gè)密碼中,98%都是明文存儲(chǔ)的,確切地說(shuō)是19867627個(gè)密碼都是純文本。

Firebase 是一家實(shí)時(shí)后端數(shù)據(jù)庫(kù)創(chuàng)業(yè)公司,它能幫助開(kāi)發(fā)者很快地寫(xiě)出 Web 端和移動(dòng)端的應(yīng)用。該公司在2014年被 Google 收購(gòu),截至2020年3月,F(xiàn)irebase 平臺(tái)擁有19項(xiàng)產(chǎn)品,它們被超過(guò) 150萬(wàn)個(gè)應(yīng)用程序采用。

消息來(lái)源:IT之家  https://baijiahao.baidu.com/s?id=1794014986514465063&wfr=spider&for=pc


埃塞俄比亞一銀行Bug,引發(fā)"取錢(qián)狂潮",民眾撿漏取走幾十億

近日,埃塞俄比亞最大的商業(yè)銀行(Commericial Bank of Ethiopia)出現(xiàn)一起技術(shù)故障,旗下的 ATM 可以“無(wú)限額”取錢(qián)……

事故發(fā)生在當(dāng)?shù)貢r(shí)間上周六,擁有超過(guò) 3800 萬(wàn)名用戶的埃塞俄比亞最大的商業(yè)銀行(Commericial Bank of Ethiopia)突然出現(xiàn)技術(shù)故障 ,使得一些用戶可以在銀行的 ATM 機(jī)上取出超過(guò)自身賬戶余額的金錢(qián),甚至可以通過(guò)網(wǎng)銀把這些錢(qián)轉(zhuǎn)至其他銀行賬戶。

很快這一”免費(fèi)“獲取更多錢(qián)財(cái)?shù)南⑼ㄟ^(guò)電話和短信的方式迅速傳播,有些民眾把“好消息”發(fā)在了社交群里,引發(fā)了全民”取錢(qián)熱“。

值得一提的是,ATM 故障期間,提取大部分資金的是一些大學(xué)生,埃塞俄比亞西部的一名學(xué)生向 BBC 透露,校園自動(dòng)取款機(jī)外排起了長(zhǎng)隊(duì),學(xué)生們不停地取款,直到警察趕到并阻止他們。據(jù)當(dāng)?shù)孛襟w報(bào)道,“系統(tǒng)故障”持續(xù)了數(shù)小時(shí),超過(guò) 1 億美元被提取或轉(zhuǎn)移到其他銀行。

銀行迅速回應(yīng)故障事件:

ATM 故障持續(xù)很長(zhǎng)時(shí)間,直到商業(yè)銀行發(fā)現(xiàn)問(wèn)題后,立刻連續(xù)發(fā)布了多份緊急通知,表示銀行遭遇了系統(tǒng)故障,多項(xiàng)業(yè)務(wù)都受到了影響,已經(jīng)解決了技術(shù)問(wèn)題,”取錢(qián)熱“才慢慢平息下去。此外,該銀行還強(qiáng)調(diào),為避免造成損失,已經(jīng)中斷了所有業(yè)務(wù),銀行的網(wǎng)絡(luò)并沒(méi)有受到損害,還請(qǐng)客戶不必?fù)?dān)心,他們的個(gè)人賬戶都很安全。

當(dāng)?shù)貢r(shí)間本周一,商業(yè)銀行舉行了發(fā)布會(huì),銀行行長(zhǎng) Abe Sano 表示,故障期間,發(fā)生了超過(guò) 49 萬(wàn)筆“不健康和非法”的銀行交易,與銀行的總資產(chǎn)相比,損失的金額較小。同時(shí),Abe Sano 一直強(qiáng)調(diào) CBE 沒(méi)有遭到網(wǎng)絡(luò)攻擊,向客戶一再保證他們的賬戶并未受到影響,并敦促他們不要驚慌。

對(duì)于損失金額的具體數(shù)目是多少,部分當(dāng)?shù)孛襟w報(bào)道稱,商業(yè)銀行共有近 23 億比爾(超過(guò) 2 億 8 千萬(wàn)元人民幣)遭到了惡意提取,或被轉(zhuǎn)移到了其他銀行。《財(cái)富》雜志援引消息人士的話報(bào)道稱,故障期間發(fā)生了約 6.6 萬(wàn)筆交易,并表明多達(dá) 60 億比爾(1.05億美元)的交易被撤回。

目前,商業(yè)銀行正在對(duì)故障期間的異常交易進(jìn)行調(diào)查,也已經(jīng)向當(dāng)局報(bào)告了進(jìn)行“大額交易”的用戶,各大高校也已經(jīng)發(fā)表了聲明,要求學(xué)生退還不屬于他們的錢(qián)。目前,相關(guān)部門(mén)正在追回用戶利用“系統(tǒng)故障”取走的大筆資金。同時(shí),Sano 承諾,退還資金的個(gè)人不會(huì)面臨刑事指控。

消息來(lái)源:FREEBUF  https://www.freebuf.com/articles/395363.html


偷車(chē)問(wèn)題激增,加拿大計(jì)劃禁售黑客工具 Flipper Zero

近期,加拿大政府計(jì)劃禁售黑客工具 Flipper Zero 和類似設(shè)備,因?yàn)樗鼈儽粯?biāo)記為竊賊可以用來(lái)偷車(chē)的工具。

Flipper Zero 是一款便攜式可編程測(cè)試工具,可幫助通過(guò)多種協(xié)議(包括 RFID、無(wú)線電、NFC、紅外和藍(lán)牙)試驗(yàn)和調(diào)試各種硬件和數(shù)字設(shè)備,獲得了不少極客和黑客的青睞。

自產(chǎn)品發(fā)布以來(lái),用戶紛紛在社交媒體展示 Flipper Zero 的功能,包括利用重放攻擊解鎖汽車(chē)、打開(kāi)車(chē)庫(kù)門(mén)、激活門(mén)鈴和克隆各種數(shù)字鑰匙。

Flipper Zero 復(fù)制邁凱倫鑰匙扣并解鎖汽車(chē):加拿大工業(yè)部長(zhǎng) Fran?ois-Philippe Champagne 近日表示:“犯罪分子一直在使用復(fù)雜的工具來(lái)偷車(chē),加拿大人有理由保持擔(dān)憂。今天,我宣布將禁止進(jìn)口、銷售和使用這些用于實(shí)施犯罪的消費(fèi)者黑客設(shè)備?!?

據(jù)加拿大政府稱,每年約有 9 萬(wàn)輛汽車(chē)(或每六分鐘一輛汽車(chē))報(bào)告被盜竊,汽車(chē)盜竊每年造成 10 億美元的損失,其中包括修理和更換被盜汽車(chē)的保險(xiǎn)費(fèi)用。

消息來(lái)源:IT之家  https://baijiahao.baidu.com/s?id=1790657392428974508&wfr=spider&for=pc


沒(méi)完了?美政府又炒作"中國(guó)黑客"攻擊其供水系統(tǒng)

澎湃新聞3月22日消息,美國(guó)近年來(lái)多次無(wú)端指責(zé)“中國(guó)黑客組織”對(duì)其進(jìn)行網(wǎng)絡(luò)攻擊,最近開(kāi)始將炒作焦點(diǎn)放在了關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域。當(dāng)?shù)貢r(shí)間3月18日,白宮國(guó)家安全顧問(wèn)沙利文和環(huán)境保護(hù)署署長(zhǎng)邁克爾·里根聯(lián)合致信各州州長(zhǎng),聲稱有外國(guó)黑客正攻擊全美供水和污水處理系統(tǒng),并特別提及了中國(guó)和伊朗。

沙利文和里根在公開(kāi)信中表示,“網(wǎng)絡(luò)攻擊正在襲擊各地的供水和污水處理系統(tǒng)”?!斑@些襲擊可能會(huì)破壞清潔安全飲用水這一關(guān)鍵生命線,并給受影響社區(qū)帶來(lái)巨大損失,”公開(kāi)信中寫(xiě)道,“我們寫(xiě)信是為了描述這些威脅的性質(zhì),并請(qǐng)求你們合作采取重要行動(dòng),以確保供水系統(tǒng)免受這些襲擊日益增加的風(fēng)險(xiǎn)及其后果的影響。

”隨后,二人開(kāi)始無(wú)端抹黑中國(guó)和伊朗,聲稱兩大威脅分別來(lái)自于“與伊朗伊斯蘭革命衛(wèi)隊(duì)有關(guān)的黑客”和“中國(guó)黑客組織‘伏特臺(tái)風(fēng)’(Volt Typhoon)”。據(jù)他們所說(shuō),前者正在實(shí)施破壞,后者“正在預(yù)先部署,以便在發(fā)生地緣政治緊張局勢(shì)或軍事沖突時(shí)實(shí)施破壞”。

沙利文和里根呼吁各州政府積極采取行動(dòng),并計(jì)劃于當(dāng)?shù)貢r(shí)間3月21日與州領(lǐng)導(dǎo)人舉行一次虛擬會(huì)議,討論保護(hù)關(guān)鍵水利部門(mén)免受網(wǎng)絡(luò)攻擊的必要性。

目前,中國(guó)外交部發(fā)言人毛寧就此事回應(yīng)稱,中國(guó)堅(jiān)決反對(duì)并依法打擊任何形式的網(wǎng)絡(luò)攻擊,美方在缺乏有效證據(jù)的情況下妄下結(jié)論,對(duì)中國(guó)無(wú)端指責(zé)抹黑,極其不負(fù)責(zé)任,純屬混淆是非,中方對(duì)此堅(jiān)決反對(duì)。

消息來(lái)源:澎湃新聞  https://www.thepaper.cn/newsDetail_forward_26773594


來(lái)源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來(lái),僅用于分享,并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性,部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系,若涉及版權(quán)問(wèn)題,煩請(qǐng)?jiān)髡呗?lián)系我們,我們會(huì)盡快刪除處理,謝謝!

 
 

上一篇:大日志精選案例四:某省級(jí)大數(shù)據(jù)集團(tuán)日志審計(jì)優(yōu)化實(shí)戰(zhàn)解析

下一篇:國(guó)家互聯(lián)網(wǎng)信息辦公室公布《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》