文/Thomas Brewster 在哥斯达黎加晴朗的天空下,其首都圣何塞(San José)西北部有一处色彩柔和的办公室,员工们正在自己的小隔间里忙着接听电话,为客户提供技术支持。他们为一家名为赛科斯(Sykes)的外包公司工作。大多数人从来没有听说过这家公司,尽管它现在是全球最大的呼叫中心提供商之一Sitel Group的一部分。根据LinkedIn的资料显示,赛科斯的员工曾为亚马逊和思科这样的知名公司做过外包工作。 如果你是一名赛科斯公司的客户支持员工,那么你就需要访问这家外包公司那些大牌客户的数据。事实证明,这种访问方式对黑客非常有吸引力。于是,在今年1月,当一名该公司的员工正在为Okta的用户提供客户服务时,一个名为Lapsus$的神秘黑客组织成功掌握了这个位于哥斯达黎加的赛科斯员工的账户,而Okta是"单点登录"软件最大的供应商之一,该软件可以让客户在许多应用程序中使用一个密码,只需要一次性密码就能进入账户。按道理来说,这个平台本应该提供更严格的安全措施,但正如发生在赛科斯公司的黑客入侵事件所显示的那样,网络犯罪分子有办法在不直接针对Okta的情况下获取Okta客户的数据。通过赛科斯的泄露账户,黑客成功窥探了Okta旗下2.5%的客户信息,其中似乎包括价值300亿美元的网络安全提供商Cloudflare和365家其他客户。在此过程中,黑客还能够重置密码并获取客户信息。 赛科斯向福布斯证实,它的"部分"网络在1月份遭到了黑客攻击,但声称它不认为这引发了任何严重的漏洞,且本次攻击对其企业客户(或其客户的客户)不再构成风险。Okta后来表示,这次入侵持续了五天,黑客得以在期间重置密码和那些一次性密码。 在被问及是否还有其他客户在1月份的赛科斯事件中受到攻击时,Sitel集团的一名发言人表示,"我们无法就我们与任何特定品牌的关系或我们为客户提供的服务的性质发表评论。" Okta首席安全官David Bradbury在周三的一次网络研讨会上说,他们周一才收到Sitel的完整取证报告,但他们最初在1月份就收到了可能存在漏洞的警告。不过,他承认,Okta上周收到了一份关于黑客攻击的总结报告,该公司本应更快地对这些初步发现采取行动。报告显示,一名黑客通过所谓的远程桌面协议(RDP)获得了访问Sitel技术人员计算机的权限,而该协议提供远程访问系统的权限。 这次黑客攻击表明,外包技术支持对任何公司及其客户的数据来说都是一种风险。虽然公司可以将员工的职能外包,但它不能将承包商出现问题时的风险和声誉损害外包出去。而这也正是Lapsus$的黑客成员一直在认真利用的一个因素,因为他们经常要求受害者支付费用,以阻止数据泄漏。 网络调查部门221B的首席研究官Allison Nixon说,网络罪犯长期以来一直把目标锁定在那些"掌握着王国钥匙"的低收入技术支持人员。 Nixon说,在关注Okta的过程中,Lapsus$成功地从赛科斯最初的漏洞中误导了所有人。"这有点像变魔术。所有的目光都被Okta吸引了,但魔术师就在你面前做了一些更有趣的事情……那就是像Lapsus$这样瞄准Sitel和第三方呼叫中心。"她说,黑客这样做是为了避免暴露他们打算攻击呼叫中心的真实计划。 然而,正是通过利用这个漏洞,Lapsus$能够黑入顶级公司,并获得足以令高级政府黑客组织"垂涎欲滴"的访问级别。 大型科技公司也知道这一点。Lapsus$组织此前曾声称自己从微软、三星、英伟达和其他大型科技公司都窃取过数据。周二,微软证实自己是Lapsus$攻击的受害者,在那次攻击中,微软的一个公司账户被黑客入侵,并被用来窃取公司的源代码。就在几天前,Lapsus$还声称盗取了一些Bing, Bing Maps和Cortana的源代码。微软没有透露其泄露的账户是属于内部员工还是外包员工,但在周二的一篇分析Lapsus$黑客活动的博客文章中,微软表示,它"发现了该组织通过招募员工(或其供应商或商业伙伴的员工)成功进入目标组织的实例。"它指出,在一个广告中,Lapsus$提出购买公司密码。微软还指出了Lapsus$通过从犯罪论坛购买的密码和窃取登录信息的恶意软件入侵组织的其他途径,但并没有回应关于最初入侵是如何发生的置评请求。 网络安全公司Strike的首席研究官Cesar Cerrudo说,许多公司往往没有做足够的尽职调查来检查第三方供应商的安全。Cerrudo说:"有时候你只是被要求在一个复选框上签名,以表示你(合法)遵守规定,以及你会做安全和渗透测试等。但那实际上也只是合同表格上的一个复选框而已。" 安全公司Rapid7的首席科学家Raj Samani表示,Okta和赛科斯的黑客入侵应该为企业敲响一个警钟,提醒他们对谁可以访问他们网络上的内容进行检查梳理。他说:"我们必须让各个公司开始考虑,他们要做什么来跟踪我们的事件响应工作流程,以及要做什么来分析我们的Slack渠道。"他说,企业对此应该采用"零信任"的模式,因为这直接关系到检查小组电话中每个人的身份,而那里可能存在一个假冒者。
12岁男孩网课时打赏主播5万平台退款并封禁作者2月28日,河北石家庄的刘女士向媒体反映,她12岁的儿子浩浩(化名)在家上网络课时,用手机刷了一个短视频平台。4天之内,她在不告诉父母的情况下,给了5个主播5万余元,并给比赛加满了谷歌更新Pixel系列,绿厂双十一开启K9s携众机型超值亮相10月份的新机潮仍在持续中,19日Google带来了已经预热两个月的Pixel6系列,除了早已知晓的防爆盾造型镜头模组和撞色后盖,最大的亮点还是新机搭载的Google首颗自研芯片T小米12Pro设计曝光居中挖孔双微曲面,数字系列设计飘忽不定?今年的骁龙888真的是一言难尽,功耗发热表现拉胯,很多机型要么高刷锁帧保续航,要么游戏锁帧保发热,很多用户选择再等一年或者转投再次上岗的骁龙870。而目前骁龙898也已经提上日程,千元档空降杀手级选手,OPPOK9s是否值得买对于手机厂商来说,旗舰机型代表的是门面,而实际最走量的还是中低端机型,很多人会觉得,用2K购买一款能用3年左右的手机是最好的预算。相比入门机型的能用,现在的中端机已经可以体验到一些联想小新PadPro12。6持续预热中,配件信息公布,11月上市之前联想就开始为小新PadPro12。6预热,现在又陆续公布了一些产品信息。最近,联想小新官方也表示小新PadPro12。6携手ZUI13,11月和老朋友见,确认了这款平板新品将在人间扳手杨舒予同款手表,OPPOWatch2是如何做到才貌兼备的?今年的东京奥运会出现了很多新面孔,在比赛中凭借精湛的技术带来了很多高光表现,其中不乏才貌兼备的运动员,而三对三篮球女子组季军的杨舒予便是其中一位。杨舒予在球队中充当射手的角色,在外这才是真正的OFFICE,万能文件查看器大家好,我是九剑。办公时,我们可能需要打开一大堆文件,什么Word,Excel,PDF甚至PS等等。像Word还好,如果是PS这种大型软件打开的多了,我们的电脑难免会遭遇卡顿等情况手机一键变成电脑!真正的掌上电脑来了大家好,我是九剑。说到手机,目前基本上我们使用的手机就两种系统苹果和安卓。无论你是华为还是小米,oppo还是apple,你的手机操作界面基本都一样。然而千篇一律的界面,九剑表示我TRedmiNote11系列芯片反向升级?小米高层一年两代,按需选择最近小米官微在给即将发布的Redmi11系列预热造势,每天都更新新品的配置信息,到发布会那天就只剩价格待公布了。或许大家会有点疑惑,明明上半年才推出Note10系列,这么快又更新一红米Note11系列预热配置已经公布完毕,就差价格了要说安卓中端市场的明星机型,那必须是Redmi的note系列了,素有小金刚的定位。而最近红米官微几乎天天在为即将上市的Note11系列预热,配置也基本都亮了出来,就等正式发布的价格永不限速!吊打某度网盘说起网盘,真的是感慨万千,网盘的存在确实为我们带来很大的便利,真正的将存储从硬件转移到云,当真是意义非凡。但是作为最大网盘之一的某度网盘的限速情况也确实令人蛋疼,不充钱想下载可以,