新闻动态

News information

六方云 安全态势周刊丨第201期

<<返回

2022年05月31日 09:41

01.

业界动态


1、《网络安全标准实践指南—Windows 7操作系统安全加固指引》发布

为帮助用户降低Windows 7操作系统停服后带来的网络安全风险,秘书处组织编制了《网络安全标准实践指南—Windows 7操作系统安全加固指引》。本《实践指南》从安全防护加固和安全配置加固两个方面,给出了Windows 7操作系统本地安全防护和安全策略配置建议。

https://www.tc260.org.cn/upload/2022-05-26/1653558347828098387.pdf


2、世界经济论坛推动石油和天然气行业网络弹性承诺

18个石油和天然气公司和一些网络安全公司正在倡导建立一种统一的方法,以减轻日益增长的网络风险,并承诺提高网络弹性。

https://www.secrss.com/articles/42857


3、手机预装SDK 30人被判犯非法控制计算机信息系统罪

朗趣公司提供广告SDK工具包,手机商将广告SDK工具包预装到智能手机系统中,并使广告SDK获取系统权限,朗趣公司则根据存活率按安装台数或以广告费收入分成的方式向手机商支付费用。

https://www.163.com/dy/article/H8G6N2N30511D6RL.html


4、Group-IB发布2021-2022年勒索软件态势的分析报告

Group-IB发布了2021-2022年勒索软件态势的分析报告。根据报告的数据,2021年的平均赎金要求为247000美元,比上一年增加了45%,大多数攻击者都试图通过双重勒索的手段强制目标付赎金。更复杂的攻击使目标更难恢复,攻击造成的平均停机时间从18天增加到22天。远程桌面协议(RDP)仍然是攻击的主要载体,占比为47%,其次是网络钓鱼(26%)。去年利用面向公众的应用进行的攻击占比为21%,2020年为17%。

https://www.group-ib.com/resources/threat-research/ransomware-2022.html


02.

关键基础设施


1、印度航空公司SpiceJet遭到勒索攻击,部分航班延误

印度的航空公司SpiceJet在5月25日通知客户,其遭到了勒索攻击。根据该公司的公告,其IT团队已成功阻止此次攻击,因此恢复了正常的运营状态。然而,Twitter和Facebook上的多个客户仍然反映存在的问题,例如航班延误,无法通过电话联系客服,且预订系统不可用。截至25日,SpiceJet的网站中只有主页可访问,而大多数底层系统和网页都无法加载,航班状态表显示所有目的地的航班都存在大量延误。SpiceJet是印度第二大航空公司,此次攻击会影响大量乘客,并造成巨大的经济损失。

https://www.bitdefender.com/blog/hotforsecurity/airline-passengers-left-stranded-after-ransomware-attack/


03.

安全事件


1、某配置错误的ES服务器泄露数百万贷款申请人的信息

据5月24日报道,一个配置错误的Elasticsearch服务器泄露了147 GB的数据,共8.7亿条记录。该服务器于2021年12月5日被检测到,主要包括乌克兰、哈萨克斯坦和俄罗斯小额贷款的申请人的信息,如姓名、住址和护照号码等个人信息,以及薪水、贷款详情和INN(税号)等财务信息。据估计,约有1000万用户受到影响,其中大部分服务器日志和护照号码属于俄罗斯,大多数INN属于乌克兰,而该服务器位于荷兰的阿姆斯特丹。

https://www.hackread.com/personal-data-russians-ukrainians-exposed-online/


2、通用汽车透露其遭到撞库攻击导致部分客户的信息泄露

据媒体5月23日报道,美国通用汽车称其在上个月遭到了撞库攻击,泄露了在线平台部分用户的信息。该汽车制造商透露,他们在2022年4月11日至29日检测到了恶意登录的活动,发现攻击者已将部分用户的奖励积分兑换为礼品卡。该公司表示,此次违规事件并不是源于通用汽车的系统遭到入侵,而是针对其平台上客户的一波撞库攻击导致的,他们将为所有受影响的用户恢复积分,并建议用户在登陆户之前重置密码。

https://www.bleepingcomputer.com/news/security/gm-credential-stuffing-attack-exposed-car-owners-personal-info/


3、德克萨斯州交通部TxDOT工资系统的门户网站被黑

据5月23日报道,德克萨斯州交通部(TxDOT)为承包商提供的认证工资系统的门户网站被黑。上周末,攻击者在黑客论坛上发布帖子,称其已入侵TxDOT并窃取员工数据,还公开了部分员工的个人信息、登录凭据和网址以及承包商的项目列表。据攻击者称,数据很快就会被出售。但当被问到有没有联系TxDOT试图勒索时,他们表示不会为了金钱或敲诈勒索而做任何事情,这只是为了宣传并表明他们的安全性很差。

https://www.databreaches.net/another-texas-state-agency-data-breach-this-time-its-the-department-of-transportation/


4、搜狐员工遭大规模“工资补助”诈骗

5月25日,搜狐公司董事局主席兼CEO张朝阳终于对外回应此事,称“事情不像大家想象那么严重。搜狐一个员工的内部邮箱密码被盗,盗贼冒充财务部发信给员工,发现后技术部门紧急处理,资金损失总额少于5万元。不涉及对公共服务的个人邮

https://www.cnbeta.com/articles/tech/1273429.htm


04.

漏洞事件


1、QCT多款服务器易受Pantsdown漏洞CVE-2019-6260的影响

媒体5月26日称,达云科技(QCT)服务器容易受到基板管理控制器(BMC)漏洞“Pantsdown”的影响。该漏洞追踪为CVE-2019-6260(CVSS评分9.8),于2019年1月首次曝光,涉及对BMC物理地址空间的任意读写访问,可导致任意代码执行。研究人员称,成功利用该漏洞可获得服务器的完全控制权,从而使用恶意代码覆盖BMC固件、安装恶意软件、泄露数据,甚至破坏系统。受影响的QCT服务器型号包括D52BQ-2U、D52BQ-2U 3UPI和D52BV-2U。漏洞于2021年10月7日披露之后,补丁已于今年4月15日提供给客户。

https://thehackernews.com/2022/05/critical-pantsdown-bmc-vulnerability.html


05.

政策监管


1、【国内/2022-05-24】国家发改委:正牵头制定数据要素基础制度文件

据发改委官网消息,2022年5月17日,全国政协在京召开专题协商会,围绕“推动数字经济持续健康发展”进行协商议政。对于全国政协委员在会议上的建议,国家发展改革委副主任林念修从四方面作了简要回应。其中,关于深度挖掘数字要素价值,拓展数字经济发展空间的问题。按照中央部署发改委正在牵头制定数据要素基础制度文件。下一步,将加快推动文件出台,着力建设四方面制度。一是建立保障权益激活价值的数据产权制度。二是建立合规高效、场内外结合的数据要素流通交易制度。三是建立体现效率、促进公平的数据要素收益分配制度。四是建立安全可控、弹性包容的数据要素安全治理制度。

https://www.ndrc.gov.cn/fzggw/wld/lnx/lddt/202205/t20220524_1325249.html?code=&state=123

 

2、【国内/2022-05-25】最高人民法院发布《最高人民法院关于加强区块链司法应用的意见》(中英文版)

2022年5月25日,最高人民法院发布《最高人民法院关于加强区块链司法应用的意见》(以下简称《意见》)。这是人民法院深入贯彻习近平法治思想、落实习近平总书记关于推动区块链技术创新发展重要指示精神的具体举措,将进一步推进人民法院运用以区块链为代表的关键技术加速人民法院数字化变革、创造更高水平数字正义,促进法治与科技深度融合发展、推动智慧法治建设迈向更高层次。

https://www.court.gov.cn/fabu-xiangqing-360271.html


3、【国际/2022-5-20】俄罗斯联邦安全委员会批准《保护关键信息基础设施国家政策基本原则》草案

俄罗斯联邦安全委员会(SC)于5月20日举行的会议上审议批准了《保护国家关键信息基础设施国家政策基本原则》草案,还决定额外制定旨在改善俄罗斯信息安全体系的若干战略规划文件。该草案定义了在IT部门实施国家政策的目的、目标和机制,特别是计划通过使用国产信息技术来提高关键信息基础设施的安全水平。草案还规定创建有竞争力的电子元件基地和高科技生产,发展用于检测、预防和消除计算机攻击后果的国家系统。

https://mp.weixin.qq.com/s/9tKewnBhhMicQhApdx7a1A


06.

国家/行业标准


1、【2022-05-26】《信息安全技术 互联网平台及产品服务隐私协议要求》(征求意见稿)面向社会公开征求意见

该文件规定了互联网平台及产品服务隐私协议编制程序、具体内容、发布形式,增加隐私协议的可读性、透明性,以及处理隐私协议相关的争议纠纷等方面的要求,适用于规范个人信息处理者制定、发布隐私协议的过程,也适用于主管监管部门、第三方评估机构等对隐私协议进行监督、管理和评估。

https://www.tc260.org.cn/front/postDetail.html?id=20220526180528