12月安全月报蔚来遭数据勒索阿里云史诗级宕机乒联被泄信息

　　#在头条看见彼此#
　　导语：随着数字化的深入普及，业务愈加开放互联。企业的关键数据、用户信息、基础设施、运营过程等均处于边界模糊且日益开放的环境中，涉及利益流和高附加值的业务面临多样的安全隐患，随时可能遭遇损失，进而影响企业运营和发展。
　　为了让大家更全面的了解网络安全的风险，顶象自7月起将针对每月值得关注的安全技术和事件，包括业务安全、内容安全、移动安全等进行盘点总结。
　　国内安全热点蔚来被勒索225万美元！大量用户数据遭窃取
　　12月20日，蔚来首席信息安全科学家、信息安全委员会负责人卢龙在官方社区发布公告称，有不法人士在网上出售蔚来相关数据。此前公司收到外部邮件，称拥有蔚来内部数据，并以泄露数据勒索225万美元（当前约1570.5万元人民币）等额比特币。
　　经初步调查，被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。
　　针对用户数据泄露一事，蔚来创始人、CEO李斌在蔚来官方社区表示：＂非常抱歉发生这样的事。保护好用户信息安全是我们的责任，我们没有做好，向大家深表歉意，会对此次事件给用户带来的损失承担责任。我们会协同有关部门深入调查此次事件，对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。我们不会与不法行为妥协，也请大家及时提供线索。＂ 全国首例！云南破获域名黑产大案，抓获630人
　　2021年5月以来，在公安部的组织指挥下，云南公安机关历时8个多月，成功破获全国首例域名黑产犯罪案件，经全国各地公安机关连续奋战，共侦破案件300起，抓获涉案人员630人，查封用于黄、赌、诈等违法网站域名50余万个。
　　近日，该案在昆明市西山区人民法院依法进行审理，案件中违规销售域名的某网络科技公司被判处罚金200万元；李某某、怀某某等主要犯罪嫌疑人一审分别被判处一至二年不等有期徒刑，并处罚金。 字节跳动员工违规获取TikTok用户数据
　　近日，字节跳动CEO梁汝波在致员工的一封邮件中称，公司内部调查发现有员工不当获取少量美国TikTok用户的数据，包括两名美国记者的TikTok用户数据 。对此，梁汝波表示＂我们花费巨大努力建立起来的公众信任，被少数人的不当行为严重破坏。＂ 当前，字节跳动内部调查组涉事的4名员工，有一人辞职，三人被解雇。这四名调查人员中，两名在中国工作，两名在美国工作。 现代汽车曝重大安全漏洞，黑客可远程解锁、启动汽车
　　据cybernews消息，现代汽车APP存在一个重大安全漏洞。利用这个漏洞，黑客可以远程解锁、启动汽车。更令业界感到惊讶的是，这个漏洞已经存在了10年之久，影响了自2012年生产的现代汽车，以及旗下高端品牌捷尼赛思汽车。但现代汽车发布公告称，该漏洞并未被广泛利用。 阿里云香港服务器＂史诗级＂宕机
　　12月18日上午10点左右，阿里云的香港服务据点出现故障，导致托管在该地域的众多服务项目出现无法访问，其中包括澳门金融管理局、澳门银河、莲花卫视在内的多个关键基础设施。
　　阿里云官网12月18日下午更新处理进展称，经排查，阿里云香港地域故障确认系香港PCCW机房制冷设备故障所致，影响香港地域可用区C的云服务器ECS、云数据库、存储产品（对象存储、表格存储等）、云网络产品（全球加速、NAT网关、VPN网关等）等云产品使用。
　　阿里云称，这一故障也影响了香港地域控制台访问和API调用操作，事故发生后，阿里云工程师配合PCCW机房工程师加速处理，部分制冷设备正在恢复中。
　　12月25日，阿里云发布香港Region可用区C服务中断事件说明，并向所有受到故障影响的客户公开致歉，称将尽快处理赔偿事宜。阿里云表示，将尽一切努力从此次事件中吸取经验教训，持续提升云服务的稳定性。 三部门发规：人脸替换、合成人声等进行显著标识
　　近日，国家互联网信息办公室、工业和信息化部、公安部联合发布《 互联网信息服务深度合成管理规定 》（下简称《 规定 》），自 2023 年 1 月 10 日起施行。
　　《 规定 》要求深度合成服务提供者对使用其服务生成或编辑的信息内容，应当添加不影响使用的表示。提供智能对话、合成人声、人脸生成等服务的，应当进行显著标识，避免公众混淆或者误认。
　　任何组织和个人不得采用技术手段删除、篡改、隐匿相关标识。 App ＂ 摇一摇 ＂开屏信息弹窗跳转相关标准正式实施，要求不误导、不强迫跳转
　　据悉，中国信息通信研究院泰尔终端实验室及多家企业，联合制定了《 App 用户权益保护测评规范 第 7 部分：欺骗误导强迫行为 》T / TAF 078.7 — 2022 ，并于 2022 年 11 月 25 日正式发布实施。
　　该标准提出＂ 摇一摇 ＂动作的设备加速度应不小于 15m/s^2 ，转动角度不小于 35°，操作时间不少于 3s 等，确保在非用户主动触发跳转的情况下，不会出现误导、强迫跳转。
　　国外安全热点国际乓联泄露数百名运动员护照和疫苗接种证书，马龙和樊振东信息也在泄露名单中
　　据荷兰媒体RTL Nieuws 当地时间12月12日报道，由于国际乒乓球联合会（ITTF）的服务器出现安全问题，数百名乒乓球运动员的护照细节和疫苗接种证明等信息被泄露，其中包括中国运动员马龙和樊振东的信息。
　　报道称，运动员护照和疫苗接种证书被在线储存，由云托管服务配置不当，数据暴露了三年多。任何人都可以查看并下载这些信息。疫苗接种证书包含医疗数据，很容易受到欺诈；护照复印件可能被滥用于身份欺诈。
　　泄露原因可能是国际乓联的云储存是开放状态，每个人都可以搜索文件夹文档/medical_information。目前，国际乓联泄露了世界排名前10的运动员的护照或疫苗接种证书。 30万安卓用户 Facebook 凭证遭＂Schoolyard Bully＂木马窃取
　　The Hacker News 网站披露，一种名为＂Schoolyard Bully＂木马程序攻击遍布 71 个国家的 30 多万Android用户。该木马程序伪装成合法的教育主题应用程序，引诱毫无戒心的用户下载，随后便窃取其 Facebook 凭证。
　　据悉，这些应用程序可以从官方Google Play商店下载，目前已经被删除了。但是，用户仍然可以在第三方应用商店中下载并继续使用。
　　Zimperium 研究人员 Nipun Gupta 和 Aazim Bill SE Yaswant 在与 The Hacker News 分享的一份报告中表示，＂Schoolyard Bully＂木马程序使用了 JavaScript 注入来窃取 Facebook 凭证。
　　研究人员进一步分析发现，＂Schoolyard Bully＂通过在 WebView 中启动 Facebook 的登录页面来实现这一目的，该页面还嵌入了恶意 JavasCript 代码，将用户电话号码、电子邮件地址和密码渗透到配置的命令和控制（C2）服务器。 微软发现 macOS 存在漏洞，允许攻击者绕过安全审查部署恶意软件
　　Bleeping Computer 网站披露，苹果公司近期修复了一个安全漏洞。据悉，攻击者可以利用该漏洞，绕过 Gatekeeper 安全机制应用程序，在易受攻击的 macOS 设备上部署恶意软件。
　　漏洞被追踪为 CVE-2022-42821，由微软首席安全研究员 Jonathan Bar Or 发现并报告。一周前，苹果已在 macOS 13（Ventura）、macOS 12.6.2（Monterey）和macOS 1.7.2（Big Sur）中解决了漏洞问题。
　　Gatekeeper 作为 macOS 安全功能之一 ，能够自动检查所有从互联网中下载的应用程序是否经过了公证和开发者签名验证（由苹果公司批准），并且在应用启动前要求用户确认或发出应用程序不可信的警告。
　　CVE-2022-42821 漏洞允许攻击者特别制作的有效载荷滥用某个逻辑漏洞，设置＂限制性＂的访问控制列表（ACL）权限，阻止网络浏览器和互联网下载器为下载成功的 ZIP 文件存档的有效载荷设置com.apple.quarantine属性。
　　因此，存档的恶意负载中包含的恶意应用程序将在目标系统上启动，而不是被 Gatekeeper 阻止，从而允许攻击者下载和部署恶意软件。 《堡垒之夜》开发商因侵犯隐私和黑暗模式，支付5.2亿美元天价和解金
　　12月19日，据Bleeping Computer报道，美国联邦贸易委员会（FTC）表示，《堡垒之夜》等爆款游戏的制造商Epic Games将支付5.2亿美元，用以和解面临的两项指控。
　　FTC表示，Epic Games将因为违反《儿童在线隐私保护法》（COPPA）而支付2.75亿美元的罚款，并支付2.45亿美元，以退还给因被欺骗诱导而进行不必要消费的用户。这是FTC有史以来最大的行政命令和历史上最大的游戏案件退款金额。 暗网加密货币交易额高达21亿美元
　　Chainalysis发布的一份加密货币数据报告显示，暗网市场加密货币犯罪率迅速上升，并在2020年创下了新的收入纪录。2020年，该生态系统的加密货币交易（主要是比特币）达17亿美元。
　　但是，到了2021年，这一纪录再次被刷新，加密货币交易的数量激增至21亿美元左右。根据报告，这些交易中大约有3亿美元是由欺诈商店产生的，这些组织负责代理销售各种被盗的登录名、信用卡和漏洞利用工具包。
　　根据该报告，服务于俄语国家的市场（Hydra）是迄今为止最重要的加密货币交易市场，占全球暗网市场收入的80%左右。 2022年的数据泄露数量增加了68%
　　身份盗窃资源中心（Identity Theft Resource Center，ITRC）在2022年发布的一项研究发现，与暗网有关的数据泄露和网络犯罪数量正在增加。与2021年相比，数据泄露数量增加了68%以上。
　　数据泄露数量的新纪录比2017年首次创下的历史新高还高出约23%。值得注意的是，该审查还发现，涉及社会安全号码等敏感信息的数据事件数量增加了3%。与前一年相比，本报告中受数据泄露影响的受害者数量实际上增加了5%，这表明犯罪分子正专注于特定数据类型而不是大规模数据获取。
　　此外，据身份盗窃资源中心（ITRC）发布的《2021年年度数据泄露报告》显示，与勒索软件相关的数据泄露在过去两年每年都翻了一番。目前的勒索软件攻击率表明，这种策略将在2022年超过网络钓鱼，成为数据泄露的头号根源。
　　这些发现表明，在暗网中可以购买的许多数据点可能来自勒索软件攻击。该研究还显示，除了一个（军事）部门外，报告中每个主要部门的数据泄露都有所增加。然而，与2020年相比，制造业和公用事业部门的增幅最大（217%）。 第三方供应商数据泄漏，Gemini 客户恐遭钓鱼攻击
　　Bleeping Computer 网站披露，Gemini 加密货币交易所近日宣布，由于第三方供应商遭网络攻击，导致大量客户的电子邮件地址和电话号码泄露，部分 Gemini 客户可能已经成为了潜在网络犯罪分子的攻击目标。
　　在某个黑客论坛上出现了多篇出售 Gemini 数据库的帖子，数据库中包含了 570 万用户的电话号码和电子邮件地址。值得一提的是，之前某黑客论坛上已经有攻击者尝试出售数据库，并标价 30 个比特币（按当前汇率计算约 52 万美元）。
　　目前，Gemini 已提供更改 Gemini 账户相关电子邮件地址的必要步骤。此外，Gemini 强烈建议其客户尽快激活双因素认证（2FA）或使用硬件安全密钥来访问账户。 FBI的关基情报网站遭黑客攻击，数据库在暗网出售
　　12月15日消息，据安全媒体Security Affairs报道，美国联邦调查局（FBI）的关键基础设施情报门户网站InfraGard遭到黑客攻击，其数据库在暗网违规出售，内含8万多名知名私营部门成员的联系方式。
　　InfraGard是美国联邦调查局（FBI）开展的一个情报共享项目，旨在与私营部门建立网络和实体威胁信息共享伙伴关系。
　　据报道，黑客创建了一个新账户，伪装成一名经过联邦调查局审查的金融行业首席执行官，在InfraGard门户网站直接与其他成员交流。
　　卖家是一个网名为USDoD的论坛成员，他要价5万美元出售包含姓名和联系信息的完整用户数据库。 黑客发布兼容苹果 iOS 15 和 iOS 16 的越狱工具
　　2 月 15 日消息，苹果公司一直在努力提高其操作系统和设备的安全性，黑客已经越来越难为 iOS 创建越狱工具。不过 palera1n 团队通过不懈努力，近日发布了一个越狱工具，不仅兼容 iOS 15，而且还兼容 iOS 16。 思科爆出严重漏洞，更新补丁明年一月才能发布
　　The Hacker News 网站披露，近日思科发布了新的安全公告，指出 IP 电话（网络电话） 7800 和 8800 系列某个固件中存在高危漏洞，一旦攻击者成功利用该漏洞，或引发远程代码执行或拒绝服务（DoS）情况。
　　漏洞被追踪为 CVE-2022-20968（CVSS 评分：8.1），由 Qianxin Group Legendsec Codesafe 团队的 Qian Chen 发现并报告。据悉，漏洞产生的原因是在收到 Cisco 发现协议（CDP）数据包时，存在输入验证不足的情况，思科目前正在积极开发新补丁来解决漏洞问题。
　　值得一提的是，漏洞主要影响运行固件版本 14.2 及更早版本的Cisco IP 电话，思科方面声称目前暂时没有更新补丁和解决方案来解决该问题，但公司正在加紧开发更新补丁，计划在 2023 年 1 月发布。
　　业务安全产品：免费试用（https://user.dingxiang-inc.com/user/register#/）
　　业务安全交流群：加入畅聊（https://www.dingxiang-inc.com/blog/post/599）