信息泄露与网络攻击篇
1. 信息泄露连续五年创历史记录
自2013年斯诺登事件以来,全球信息泄露规模连年加剧。尽管目前还没有信息泄露统计的确切数字,但2018年的数据泄露规模又将创下新的历史记录已是大概率事件。根据Gemalto发布的《数据泄露水平指数(Breach Level Index)》,仅2018年上半年,全球就发生了945起较大型的数据泄露事件,共计导致45亿条数据泄露,与2017年相比数量增加了133%
2018年规模或影响较大的信息泄露事件
1月
印度媒体 The Tribune 声称以500卢比(约6英镑)的价格购买了对公民信息数据库Aadhaar的访问。该数据库包含10亿印度公民的个人信息。
美国国土安全部承认,2.4万名现任雇员和前任员工个人信息由于黑客攻击而泄露。
2月
美国高端运动品牌安德玛的健康及饮食跟踪应用MyFitnessPal被黑客入侵,1.5亿用户账户信息泄露。
3月
安全研究人员披露,仅今年前3个月,就发现了超过15.5亿份商业敏感文档在网上泄露,数据量高达12PB,是巴拿马文档泄露事件的4000倍。
英国媒体披露Facebook超过5000万名用户资料遭“剑桥分析”公司非法用来发送政治广告。
4月
加拿大零售集团HBC承认,其500万客户的信用卡和借记卡信息被黑客窃取,成为史上最大信用卡信息失窃案之一
Facebook承认,“剑桥分析”事件影响8700万用户,同时有恶意行为人,用Facebook的反向搜索和恢复功能,很可能恶意爬取了20亿用户的账户基本信息。
5月
由于软件缺陷导致明文暴露证书,推特敦促其所有3.3亿用户更改口令。
6月
基因检测公司MyHeritage发布公告,称超过9200万个帐户信息被窃取。公告称,黑客入侵事件发生在2017年10月26日。
国内安全专家发现一个被盗密码查询网站,包含14亿的邮箱口令,而且查询结果为明文。
研究人员发现数据统计公司Exactis包含3.4亿个人记录的数据库,在网上可公开访问。该2TB大的数据库包含上亿美国成年人的个人信息和数百万公司信息。
谷歌Firebase平台2,271个数据库可公开访问,这些数据库中包括了1亿多条敏感信息记录,113GB的数据量。
7月
包括福特、通用、丰田、特斯拉等100多家公司的157GB含有高度敏感信息的商业和技术文档数据可公开访问。
8月
国内一家新媒体营销上市公司,非法劫持运营商流量赚取商业利益的案件被警方破获。百度、腾讯、阿里、今日头条等全国96家互联网公司用户数据被窃取,数量高达30亿条。
国内某集团多家酒店1.3亿人身份信息、2.4亿条开房记录和1.23亿条官网注册资料在暗网兜售,盗取数据的黑客二十天后被警方抓获。
9月
英国航空宣称被黑客攻击,38万乘客的支付卡信息被盗。
Facebook官方公开承认,由于一个令牌访问漏洞,黑客可接管5000万用户的账户,约9000万用户受到影响,包括扎克伯格本人的账户。
10月
在美国2018年中期选举之前,研究人员发现暗网上出售20个州的选民数据,数量达到8000万之多。
由于第三方供应商遭到黑客攻击,美国国防部至少3万名服务人员或雇员的个人和支付卡信息遭到泄露。
香港国泰航空声称,包含有940万乘客的姓名、生日、电话、地址、身份证及护照号等敏感信息外泄。
11月
万豪国际集团公布其酒店数据泄露事件,涉及约5亿客人的个人信息和开房记录。
安全人员发现开源搜索引擎Elasticsearch,至少有3个IP由于配置错误,可未授权访问,约8200万美国公民的个人信息被暴露。
12月
美国在线知识问答平台Quora官方发布通知,发现恶意第三方未经授权访问,约1亿用户数据泄露。
谷歌承认Google+出现API漏洞,在11月的6天时间里,5250万用户的姓名、电子邮箱、职业和年龄以及其他详细信息被访问。
(注:以上部分泄露事件由白帽汇安全研究院提供)
2018年的信息泄露事件呈现以下特点:
1.信息泄露事件自2013年开始已经连续5年突破历史记录,根本原因在于网络安全保障的意识、认知和能力均落后于信息网络技术及其应用的爆发式增长,两者之间出现极大裂痕。
2.信息泄露事件常态化,无分行业、领域、国家。随着全球信息化程度的提高,全社会对网络和数字化技术的依赖,这一情况很有可能还将加剧。
3.信息泄露给企业、个人带来的损失越来越大,可大幅度降低企业估值,令企业面临巨额赔偿,威胁个人财产和生活稳定等。
4.信息泄露的途径主要分为内部人员或第三方合作伙伴泄露,信息系统无法杜绝漏洞,机构本身的防护机制不健全,对数据的重要程度不敏感,以及对安全配置的疏忽大意等问题。
相关参考
雅虎数据泄露案最新进展:5000万美元赔偿 2亿人两年免费信用监控服务
2. 网络攻击对现实世界产生重大影响
从数字货币到勒索软件,从网络欺诈到舆论控制,从商业竞争到国家安全,随着数字化世界的到来,网络攻击对政治、经济、军事、国家、社会安全,甚至是人身安全的影响越来越大。据网络风险公司RiskIQ的统计,2017年度全球网络犯罪造成6000亿美元的损失,意味着每一分钟的损失约为114万美元。
2018年影响较大的网络攻击事件
1月
东京交易所Coincheck价值5.3亿美元的加密货币NEM被黑客窃取,并尝试转移到其它交易所。
2月
韩国平昌冬奥会开幕式期间,服务器遭到身份不明的黑客入侵,导致主媒体中心的IPTV(交互式网络电视)发生故障。奥组委关闭了内部网络服务器,导致官网彻底关闭,无法打印开幕式门票
英国斯旺西大学计算机教授声称,英国国家医疗服务系统(NHS),每年因信息系统故障和漏洞导致的死亡事件,约在100到900例之间。
美国科罗拉多州交通部遭遇勒索软件两次攻击,致使该机构运转停滞数周,工资系统和供应商合约也受到了攻击的影响,员工被迫用纸笔处理事务。
3月
代码共享平台GitHub遭遇反射放大(Memcached)拒绝服务攻击,峰值创记录的达到1.35Tbps。之后不到一周,Arbor网络又声称美国一家服务提供商遭到了峰值1.7Tbps的Memcached攻击。
特朗普政府首次公开将NotPetya勒索软件,以及对美国电力、核能、商业、航空、制造业等基础设施的攻击,归咎于俄罗斯政府。
3月,美国司法部起诉9名伊朗黑客,对22个国家的大学、私营公司和政府机构进行大规模网络攻击,窃取研究信息,其中被入侵的320所大学遭受了大约34亿美元的损失。
美国亚特兰大市政府受到勒索软件攻击,其所用424个软件程序中的1/3以上停止了服务或部分功能被禁用,影响核心城市服务,包括警署和法庭。在一份官员提交的预算简报中透露,该攻击可能是美国城市遭受的最严重网络攻击,这份预算提案包含了950万美元的服务恢复费用支出。
美国巴尔的摩市遭遇勒索软件攻击,导致911紧急调度服务的计算机辅助调度(CAD)功能掉线。CAD系统是911派遣第一反应人员的工具,如果没有CAD系统,警察、消防员和救护车就不能第一时间派往事发地进行救助。掉线期间911操作人员仍能手动调度响应人员,效率大幅降低。
3月,区块链资产交易平台币安数十个用户账户被黑客控制,并通过买入卖出操纵币价,专业人士估计黑客可能从中获利7亿元。
5月
一款名为VPNFilter的恶意软件感染了Linksys,MikroTik,Netgear和TP-Link等厂商的路由器,影响范围覆盖全球54个国家,超过50万台路由器和网络设备。
6月
三一重工近泵车失踪案宣判。犯罪分子通过源代码找到远程监控系统的漏洞,得以解锁设备,间接造成企业约10亿元的经济损失。
韩国最大虚拟货币交易平台Bithumb遭黑客入侵,价值约350亿韩元(3000万美元)的数字货币被盗。
7月
美国参议员马可·卢比奥宣称,人工智能视频处理工具“Deep Fakes”是对国家安全的威胁,并将其与导弹、核武器相比。
美国阿拉斯加Mat-Su自治市遭遇勒索病毒,致使该市的网络电话和电子邮件全面瘫痪,工作人员只能使用原始的纸笔办公。
美国司法部副部长宣布,以阴谋干涉2016年美国大选的罪名起诉12名俄罗斯军官。
360披露从2011年开始持续至今,高级攻击组织蓝宝菇(APT-C-12)对我国政府、军工、科研、金融等重点单位和部门进行了持续的网络间谍活动。该组织主要关注核工业和科研等相关信息,被攻击目标主要集中在中国大陆境内。
FBI公共服务通告部发布统计报告,从2013年10月至2018年5月,全球披露的邮件欺诈事件造成的损失已达120.5亿美元。
一伙网络犯罪通过劫持40名受害者的手机SIM卡,共窃取了总额超过500万美元的加密货币。
币圈传出消息,区块链资产交易平台币安再次遭遇用户API被控,转走7000多枚比特币拉升小币种再抛出,推论黑客可因此获得8000万元。
8月
台湾积体电路制造三大厂区出现电脑大规模勒索病毒事件,约造成17.6 亿元的营收损失,股票市值下跌78亿。
安全公司Securonix披露,朝鲜黑客组织Lazarus通过侵入SWIFT/ATM系统,三天内从印度最大的银行Cosmos盗走9.4亿卢比(约1.35亿美元)。
Email安全公司Valimail发布的报告显示,全球虚假电子邮件的日发送量已高达64亿封。
首次于2017年出现的Globelmposter勒索病毒在国内再次爆发,包括多家企业、大学及政府机构受害,山东10个市的不动产业务登记暂停受理。
9月
美国政府正式指控朝鲜政府,称其是索尼影业黑客事件、WannaCry勒索软件和孟加拉银行等一系列网络银行劫案背后主使。
日本数字货币交易所Zaif发布声明,被黑客盗走三种数字货币,分别为比特币、比特币现金和MonaCoin,总价值约合5967万美元。
10月
网络安全公司Group-IB的研究报告披露,朝鲜黑客组织Lazarus从2017年开始,已经盗取了价值5.7亿美元的加密货币。
彭博社报道称,中国特工在亚马逊、苹果、美国政府和其他潜在目标使用的超微(Super Micro)服务器中成功植入间谍芯片,令中国政府可窥探高度敏感数据。
11月
安全公司Cylance宣称,国家支持的黑客组织“白色军团”对巴基斯坦军队网络执行了名为“Operation Shaheen”的长期针对性攻击。
12月
欧洲国际刑警宣布,在3个月的联合行动中,来自30个国家的执法机构共抓捕了168个“钱骡”。超过300家银行、20个银行协会、以及其他机构总共报告了26,376起欺诈性钱骡交易,防止了4100万美元的损失。
美国司法部指控两名中国公民窃取全球12个国家数十家公司的商业机密和知识产权,攻击目标还包括美国海军和国家航空航天局(NASA)在内的多家美国政府机构。
安全厂商 Upstream Security 发布的《全球汽车行业网络安全报告》预计,到2023年由于网络黑客攻击可导致汽车制造商损失240亿美元。
2018年的网络攻击呈现以下特点:
1.针对加密货币的黑客攻击无论是攻击数量还是在造成的损失上,均呈爆发态势。依据有关统计,仅今年上半年,损失已超过17.3亿美元。其主要原因为加密货币的火爆带来的巨大商业利益。
2.勒索软件持续产生严重危害,发生多起影响企业生产、政府办公、城市运转的实际事故,反映出安全意识的普遍薄弱和基本防护手段的缺失,预示着网络安全对现实生活带来的重大隐患。
3.电子邮件欺诈带来的损失史无前例。据FBI统计,2013至2016年5月,商业欺诈邮件造成53亿美元的损失,但这一数字在2018年5月上升到了120亿美元。
4.国家之间的网络对抗呈明显化趋势。美国政府已实施严格的商业禁令,并公开指责、诉讼他国黑客的攻击行为。如果说,前两年国家支持的黑客行动还属于冷战时期,今年则进入了小规模冲突时期,全面网络战的阴影迫近。
二、漏洞事件篇
# 国家信息安全漏洞库(CNNVD):
CNNVD公布的漏洞数量为14,866个,2017年全年的漏洞总数为12,433个,年增长率约为19.6%。
# 美国国家漏洞库(NVD):
NVD公布的漏洞数量为18,041个,2017年全年的漏洞总数为18,114个,年增长率约为0.4%。
# 公共漏洞披露平台(CVE):
CVEdetails公布的漏洞数量为16,492个,2017年全年的漏洞总数为14,714个,年增长率约为12.08%。
(注:以上2018年的漏洞数量均为截止到12月29日的统计数字)
2018影响较大和较为特殊的漏洞事件
1月
谷歌“Project Zero”团队和多国研究人员共同发布的漏洞披露报告称,英特尔的x86 64位处理器有一个“根本性的设计缺陷”,设计瑕疵存在已久,近10年来搭载英特尔处理器的Windows、Mac 与Linux 电脑均可能受到影响。
2月
西部数据旗下MyCloud系列网络存储设备多个漏洞细节被曝,包括固件中的管理员权限的后门账号。研究人员早在2017年6月就将其发现提交给了西数公司,在一直没有得到修复的情况下,公开漏洞细节。
3月
以色列硬件安全公司CTS Labs发布白皮书,指出AMD Zen CPU架构存在四类多达12个以上的安全漏洞。这些漏洞有可能让攻击者绕过防止篡改计算机操作系统的安全防范措施,并且植入无法检测或删除的恶意软件。值得注意的是,CTS Labs只给了AMD 24小时的时间,就公布了漏洞细节。
4月
美国食品与药物管理局在全球范围内督促,使用了 Abbot Laboratories 心脏植入设备的患者,尽快前往附近的医疗中心进行固件升级。一个固件漏洞允许攻击者向患者的设备发送远程指令,造成潜在的电量加速流失隐患。
思科IOS/IOS XE 中的智能安装客户端(Smart Install Client)代码中被发现堆栈缓冲区溢出漏洞(CVE-2018-0171),通过此漏洞无需身份验证即可远程执行任意代码,实现对该设备的完全控制。
5月
阿姆斯特丹自由大学研究人员发现同时改变RAM内存中的3个比特,就不会触发阻止Rowhammer式攻击的ECC校正机制。于是攻击者可进行篡改数据,注入恶意代码和命令,更改访问权限等操作,以窃取密码、密钥和其他秘密信息。
360通告,发现区块链平台EOS的一系列高危安全漏洞,可通过远程攻击,直接控制和接管EOS上运行的所有节点。
7月
加州大学研究人员发现,用前视红外(FLIR)热成像摄像头扫描计算机键盘,在口令首字符被敲下的30秒之内便可以恢复出用户敲击的口令。
来自以色列理工学院的研究人员发现一个高危蓝牙漏洞(CVE-2018-5383),可进行拦截、监控或篡改设备的网络数据。漏洞影响苹果、博通、英特尔、高通等多家硬件供应商的相关产品。
物联网安全公司Armis发布的研究报告显示,包括网络电话、打印机、交换机、路由器等近5亿台企业设备,面临DNS重绑定的攻击风险。
8月
安全研究人员发现了影响英特尔处理器的“Foreshadow”漏洞,攻击者能够绕过英特尔内置的芯片安全特性,获得存储在“安全封锁区域”的敏感数据。
研究人员发现某医疗科技公司的心脏起搏器与胰岛素泵存在安全漏洞。利用漏洞可以控制发送到心脏的电脉冲,可能导致患者受伤甚至死亡。
9月
趋势科技发布的调查报告显示,数据采集与监控系统(SCADA)系统2018年上半年的漏洞几近于2017年上半年的两倍。
10月
安全研究机构Ponemon发布的《2018年端点安全风险状态报告》显示,针对端点的攻击手段,无文件攻击将占到35%,主要包括利用的宏、脚本引擎、内存、命令执行等系统内置功能。
加州大学研究人员公布了3个边信道漏洞利用,这些漏洞利用可从GPU抽取敏感数据,而且相比CPU边信道攻击,操作更为简单。个人用户和高性能计算系统均面临潜在风险。
11月
物联网安全公司Armis发现德州仪器制造的低功耗蓝牙(BLE)芯片存在漏洞,全球数百万思科和惠普生产的联网接入设备面临远程攻击风险。
俄罗斯安全研究人员公开披露了Oracle虚拟机中的一个零日漏洞(VirtualBox E1000 Guest-to-Host Escape)。攻击者可以利用该漏洞逃逸出客户计算机虚拟环境。
芬兰两所大学的研究人员发现名为“PortSmash”(CVE-2018-5407)的漏洞。攻击者可以从计算机的内存或处理器中提取敏感数据,如加密密钥。该漏洞影响所有依赖同步多线程(SMT)架构的CPU,包括Intel的超线程(HT)架构。
手机App安全公司Privacy4Cars披露了名为CarsBlues的汽车蓝牙漏洞。黑客可通过蓝牙获得车主手机信息并进入车载娱乐系统获得权限,推测全球数千万辆汽车可能受到影响。
荷兰拉德堡德大学研究人员发现,固态硬盘流行加密软件Bitlocker存在重大漏洞。通过调试端口对其重编程,就可以重设任意口令,解密数据。
国内首个专注于重大漏洞的黑客破解比赛,“天府杯”PWN举行。参赛选手成功利用30个漏洞,攻破了Microsoft Edge/Chrome/Safari/macOS/VMware/Oracle VB/Adobe Reader/Microsoft Office等主流操作系统、浏览器和应用软件,以及包括iPhone X和3款国内流行智能手机,奖金总额达102.4万美元。
软件风险评估与管理公司Checkmarx的研究人员发现,可通过手机应用嗅探设备间通信,控制智能灯泡的灯光颜色来渗漏数据。
12月
安全公司 Check Point 使用流行的Windows模糊测试框架进行漏洞测试,仅50天的时间里,就在 Adobe Reader 中找出53个CVE漏洞。
美国国防部监察长报告称,美国弹道导弹防御系统(BMDS)的网络安全操作存在“系统性漏洞”,网络安全操作存在严重缺陷。包括不锁服务器机架、缺乏加密、没有持续身份验证、打补丁、数据监控保护等……
2018年漏洞相关事件的特点:
1.与2017年的漏洞数量激升相比,2018年的漏洞通告数量增速放缓。这一现象的主要原因,可能在于漏洞报告较以往更为分散化,大量漏洞并未得到官方收录。此外,还与各个国家对漏洞披露政策的保守化有关,漏洞已成为重要的竞争资源。
2.底层硬件漏洞、边信道和无文件等攻击手法越来越受到关注,针对芯片、内存、硬盘、协议级别的攻击方法相继出现,同时,借用系统内置功能的无文件攻击开始普及。
3.摄像头、路由器、汽车、音箱、无人机等智能联网设备,以及工业联网系统的漏洞明显增多。主要原因在于智能设备的爆发和全球智能制造的浪潮,制造商普遍对安全的忽视,和嵌入式系统难以更新。
4.业界对漏洞的重视已成常态。从国家监管到互联网企业,再到软件厂商、科技公司,均加强了对漏洞的监管、发现、通告和修补。漏洞相关的政策、标准和技术,逐渐走向规范化,体系化。
地址:深圳市福田区泰然三路天安工业区天济大厦CD座6楼603
电话:0755-23972904-803
传真:0755-23972726
邮 箱:wechat@zevercn.com
百度商桥在线
微信联系