关键信息基础设施安全动态周报【2019年第15期】
发布时间:
2019-11-26
来源:
作者:
访问量:
48
目 录
第一章 国内关键信息基础设施安全动态简讯
(一)《网络安全威胁信息发布管理办法(征求意见稿)》公开征求意见
(二)“天府杯”国际网络安全大赛在成都举行
(三)《中德工业互联网白皮书》发布
第二章 海外关键信息基础设施安全动态简讯
(一)导弹级ABB发电信息管理系统漏洞曝光,或成网电作战致命武器
(二)黑客组织Phineas Fisher泄露了开曼国家银行泄露了2TB的数据
(三)伊朗互联网中断已超过四天
(四)入侵俄罗斯铁路信息系统只需要20分钟
(五)美国路易斯安那州政府系统遭受勒索软件袭击
(六)澳大利亚发布物联网网络安全实践准则草案
(七)Macy's遭受Magecart攻击泄露用户信用卡数据
(八)因遭受炸弹威胁 白俄罗斯关闭PotonMail服务
第一章 国内关键信息基础设施安全动态简讯
(一)《网络安全威胁信息发布管理办法(征求意见稿)》公开征求意见
为规范发布网络安全威胁信息的行为,有效应对网络安全威胁和风险,保障网络运行安全,依据《中华人民共和国网络安全法》等相关法律法规,国家互联网信息办公室会同公安部等有关部门起草了《网络安全威胁信息发布管理办法(征求意见稿)》,现向社会公开征求意见。
第一条 为规范网络安全威胁信息发布行为,有效应对网络安全威胁和风险,保障网络运行安全,依据《中华人民共和国网络安全法》等相关法律法规,制定本办法。
第二条 发布网络安全威胁信息,应以维护网络安全、促进网络安全意识提升、交流网络安全防护技术知识为目的,不得危害国家安全和社会公共利益,不得侵犯公民、法人和其他组织的合法权益。
第三条 发布网络安全威胁信息,应坚持客观、真实、审慎、负责的原则,不利用网络安全威胁信息进行炒作、牟取不正当利益或从事不正当商业竞争。
第四条 发布的网络安全威胁信息不得包含下列内容:
(一)计算机病毒、木马、勒索软件等恶意程序的源代码和制作方法;
(二)专门用于从事侵入网络、干扰网络正常功能、破坏网络防护措施或窃取网络数据等危害网络活动的程序、工具;
(三)能够完整复现网络攻击、网络侵入过程的细节信息;
(四)数据泄露事件中泄露的数据内容本身;
(五)具体网络的规划设计、拓扑结构、资产信息、软件源代码,单元或设备选型、配置、软件等的属性信息;
(六)具体网络和信息系统的网络安全风险评估、检测认证报告,安全防护计划和策略方案;
(七)其他可能被直接用于危害网络正常运行的内容。
第五条 发布网络和信息系统被攻击破坏、非法侵入等网络安全事件信息前,应向该事件发生所在地地市级以上公安机关报告。各级公安机关应及时将相关情况报同级网信部门和上级公安机关。
第六条 任何企业、社会组织和个人发布地区性的网络安全攻击、事件、风险、脆弱性综合分析报告时,应事先向所涉及地区地市级以上网信部门和公安机关报告;
发布涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的网络安全攻击、事件、风险、脆弱性综合分析报告时,应事先向行业主管部门报告;
发布全国性或跨地区、跨行业领域的综合分析报告时,应事先向国家网信部门和国务院公安部门报告。
第七条 未经政府部门批准和授权,任何企业、社会组织和个人发布网络安全威胁信息时,标题中不得含有“预警”字样。
第八条 发布具体网络和信息系统存在风险、脆弱性情况,应事先征求网络和信息系统运营者书面意见,以下情况除外:
(一)相关风险、脆弱性已被消除或修复;
(二)已提前30日向网信、电信、公安或相关行业主管部门举报。
第九条 通过下列平台发布信息的,平台运营者、主办单位接到有关部门通报、用户举报,或自行发现平台上存在违反本办法的发布行为和发布内容的,应当立即停止发布、采取消除等处置措施,防止违规内容扩散,保存有关记录,并向地市级以上网信部门、公安机关报告。
1.报刊、广播电视、出版物;
2.互联网站、论坛、博客、微博、公众账号、即时通信工具、互联网直播、互联网视听节目、应用程序、网络硬盘等;
3.公开举行的会议、论坛、讲座;
4.公开举办的网络安全竞赛;
5.其他公共平台。
第十条 违反本办法规定发布网络安全威胁信息的,由网信部门、公安机关根据《中华人民共和国网络安全法》的规定予以处理。
第十一条 涉及国家秘密、涉密网络的网络安全威胁信息发布活动,按照国家有关规定执行。
第十二条 本办法所称网络安全威胁信息,包括:
(一)对可能威胁网络正常运行的行为,用于描述其意图、方法、工具、过程、结果等的信息。如:计算机病毒、网络攻击、网络侵入、网络安全事件等。
(二)可能暴露网络脆弱性的信息。如:系统漏洞,网络和信息系统存在风险、脆弱性的情况,网络的规划设计、拓扑结构、资产信息、软件源代码,单元或设备选型、配置、软件等的属性信息,网络安全风险评估、检测认证报告,安全防护计划和策略方案等。
第十三条 本办法自发布之日起实施。
本文版权归原作者所有,参考来源:中国网信网
(二)“天府杯”国际网络安全大赛在成都举行
2019年11月16日至17日,“天府杯”国际网络安全大赛在成都举行。在大赛上黑客利用零日漏洞成功破坏了多款应用广泛的软件和硬件,包括Safari、Chrome、D-Link路由器、和Office 365套件等。
“天府杯”国际破解大赛以逐步打造属于中国自己的“Pwn2Own”为目标,设置三个独立并行的比赛项目,原创漏洞演示复现赛、产品破解赛和系统破解赛。所有战队均需使用原创漏洞进行赛题破解。比赛奖金总额达到100万美元,努力打造一场网络安全技术盛宴。
参赛者不仅可以赢得现金奖励,还可以赢得吹嘘的资本,而这是在备受尊敬的黑客大赛中获得胜利所带来的。
根据比赛专用的Twitter账号及已发布的公告,一些世界顶级软件和设备被证明容易受到新的零日漏洞的攻击。
在比赛的第一天,黑客团队成功地利用了针对多种流行浏览器以及其他应用程序的漏洞利用程序。组织者称,黑客取得了以下成就:针对基于EdgeHTML的较早版本的Microsoft Edge进行了三次黑客攻击;针对Google Chrome的两次黑客攻击;一次针对Safari的攻击;针对Microsoft Office 365的一次黑客攻击;和针对Adobe PDF Reader的两个黑客。此外,黑客还成功地利用了三个漏洞,侵入并控制了D-Link的DIR-878路由器以及在Ubuntu上运行的受感染qemu-kvm。
根据组织者的说法,在第二天的比赛中,又有四个黑客团队展示了D-Link DIR-878路由器的成功入侵,同时又有两个团队通过Adobe PDF Reader再次脱颖而出。
但是,当天的最大赢家是针对VMWare的两个成功利用漏洞之一。组织者说,360Vulcan的黑客@xiaowei赢得了20万美元的奖金,这是该活动的最大一笔赏金。组织者承认,并非所有尝试利用新的零日漏洞的尝试都成功,特别是在第二天。黑客不得不放弃当天未按计划进行的16次黑客尝试中的8次。
360Vulcan团队继续赢得比赛,并因展示各种成功的漏洞而获得总奖金382,500美元。安全研究人员thegrugq通过twitter称,该团队由以前赢得Pwn2Own的知名黑客组成,他们以其技巧和持久的活动而著名。
天地和兴安全研究院翻译整理,参考来源:ThreatPost
(三)《中德工业互联网白皮书》发布
2019年11月12日,工业和信息化部副部长陈肇雄与德国经济和能源部国务秘书努斯鲍姆在德国柏林共同主持第三次中德智能制造及生产过程网络化合作副部长级会议,并出席合作论坛。
中德智能制造及生产过程网络化合作机制于2015年7月建立,旨在落实两国领导人达成的重要共识,深化中德制造业数字化转型方面的政策沟通、产业对接与科研合作。该合作机制由中国工业和信息化部与德国经济和能源部牵头,中国科学技术部与德国教育和研究部共同参与。中德两国政府主管部门、企业、行业组织、专家学者等代表积极开展交流合作,至今已召开3次副部长级会议,促进了中德智能制造及生产过程网络化合作取得务实成效。在产业合作方面,共遴选试点示范项目四批46个;在标准化方面,就智能制造标准体系和参考架构达成70多项共识,发布10项联合成果;在科研合作方面,双方共同出资支持10余项联合研究项目。
本次会议回顾了中德智能制造及生产过程网络化合作进展,分享了合作案例和成功经验,并就进一步加强合作形成了广泛共识。会议认为,智能制造及生产过程网络化作为信息通信技术与制造业深度融合的重要途径,是制造业提质增效的重要方向。与会双方表示,将共同把握制造业数字化、网络化、智能化发展机遇,进一步扩大在智能制造及生产过程网络化领域的对话与务实合作,为深化中德全方位战略伙伴关系作出新的更大贡献。双方联合发布了《中德智能制造/工业4.0功能安全白皮书》《中德工业互联网白皮书》《中德智能制造人才教育培训白皮书》等成果。
陈肇雄、努斯鲍姆及中国驻德国大使吴恳共同出席了中德智能制造及生产过程网络化论坛。论坛以“工业的数字化未来”为主题,双方产业界代表300余人参加了论坛。
陈肇雄在致辞中表示,中国国家主席习近平在与德国总理默克尔会见时指出,要把中德合作的蛋糕做得更大,在自动驾驶、新能源汽车、智能制造、人工智能、数字化和5G等新兴领域加强合作,共同培育和开拓未来市场。陈肇雄希望双方共同落实两国领导人重要共识,进一步加强对话交流,巩固战略互信;提升开放水平,优化营商环境;深挖合作潜力,实现互利共赢,共同推动中德智能制造与生产过程网络化合作行稳致远。
访问德国期间,陈肇雄还与中国驻德国使馆负责人进行了交流,并调研了博世、西门子和思爱普等德国企业。工业和信息化部国际合作司、信息化和软件服务业司、科技司、装备工业司,中国电子信息产业发展研究院、中国信息通信研究院、中国电子技术标准化研究院等单位负责人参加上述活动。
本文版权归原作者所有,参考来源:工信部国际合作司
第二章 海外关键信息基础设施安全动态简讯
(一)导弹级ABB发电信息管理系统漏洞曝光,或成网电作战致命武器
近日,工控系统大型企业ABB旗下Power Generation Information Manager(PGIM)和PlantConnect监视平台被曝出现了一个漏洞威胁评分高达CVSS v3 9.8评分的导弹级别漏洞,并且影响所有版本。
ABB(ABBN: SIX Swiss Ex)是全球技术领导企业,致力于推动行业数字化转型升级。基于超过130年的创新历史,ABB以客户为中心,拥有全球领先的四大业务——电气、工业自动化、运动控制、机器人及离散自动化,以及ABB Ability™数字化平台。ABB电网业务将于2020年转让给日立集团。ABB集团业务遍布全球100多个国家和地区,雇员达14.7万。
ABB是一家全球500强,扎根在全球100多个国家和地区基础设施,在中国拥有研发、制造、销售和工程服务等全方位的业务活动,44家本地企业,近2万名员工遍布于130余个城市,线上和线下渠道覆盖全国约700个城市。
PGIM(发电信息管理系统),是一个实时信息管理系统,可以运行在Windows NT/2000/XP/2003等版本的操作系统中,模块化结构设计,便于安装、维护和管理。PCIM通过采集网络连接DCS或其他控制系统,利用UDP、OPC等协议将过程数据传送到服务器端进行管理与保存,客户端通过网页形式查看过程画面、趋势曲线、报表等等。
而ABB公司开发的PGIM实时数据库系统,灵活的体系结构使其具有全面的信息管理、信息存储和归档、显示管理和控制系统联网功能,使电厂性能计算、建模工具、寿命监视、设备诊断、能源管理、维护管理和控制系统的集成变得更为简便、易行。PGIM管理多个接口,数万电的数据,范围覆盖整个电厂的生产过程,可以从各种形式的工厂信息系统中提取正确的信息,使用正确的工具,在适合的时候送到恰当的人手中。若该系统存被人通过漏洞绕过,从而获取到系统访问权限,那么攻击者将控制整个电厂的设备和人员调动等等,那若被境外势力利用,其将会造成极其恶劣的后果。
美国国土安全部通过网络安全和基础设施安全局(CISA)披露了已发现存在五年的身份验证绕过漏洞,该漏洞影响了ABB的发电信息管理器(PGIM)工厂历史记录和数据分析工具,及其前身Plant Connect。
受影响的产品在全球范围内广泛使用,包括水坝、关键制造业、能源、水和废水、粮食和农业以及化工。该漏洞允许攻击者获取PGIM凭据,甚至可能获取Windows凭据,从而使它们导致历史数据和事件的丢失,并可能获得将数据写入控制平台所需的特权。
根据官方的漏洞描述中称,受影响的产品容易受到身份验证绕过的攻击,这可使攻击者可以远程绕过身份验证并从受影响的设备中提取凭据。
该漏洞使具有网络访问目标PGIM服务器的攻击者可以通过嗅探流量(凭据未经加密即进行传输)获取用户凭证,因为系统使用明文形式进行凭据传输。
或通过向服务器发送特制消息来获取PGIM用户凭据。漏洞发现者通过创建一个客户端来演示该行为,结果显示该客户端将要求服务器移交所有用户名和密码。
对于Windows凭据与PGIM相同的组织,此漏洞可能带来甚至更大的风险。
实际上,漏洞发现者在发现漏洞后不久于2014年向ABB报告了他的发现,但据称该供应商当时对此问题毫不在意。但是,供应商向他保证,它将在打补丁并谨慎地与受影响的客户联系,以告知他们存在该漏洞。
实际上,ABB忘记了该漏洞的存在,直到最近Bodforss在瑞典的CS3STHLM ICS / SCADA网络安全会议上讨论该漏洞时,才通知该漏洞的存在。除了描述PGIM漏洞外,专家还发布了概念验证(PoC)漏洞,可用于获取受影响产品的凭据。
POC的代码在美国国土安全局公开前一个月就在Github公开了:https://github.com/rbodforss/pgpwner/,但由于我们并不具备测试环境,因此建议国内拥有该系统的用户抓紧时间,联系ABB升级到不受此漏洞影响的Symphony, Plus Historian。Symphony PlusHistorian是PGIM和Plant Connect产品的后继产品,并具有改进的网络安全性。
从SMALLTALK | uman | uman := Persistentob jects getOrCreate:\'USERMAN\'class: PlantConnectUserManager. uman listAllUsers' 语句词义来看,其功能为列出所有的用户名,其中PlantConnect还依旧是PGIM前身的命名习惯,充分说明了代码并未更新。
本文版权归原作者所有,参考来源:NOSEC
(二)黑客组织Phineas Fisher泄露了开曼国家银行泄露了2TB的数据
巴拿马文件(Panama Papers)之后,新数据泄漏威胁着金融业。近日,黑客组织Phineas Fisher公布了2TB开曼国家银行的机密数据。
开曼群岛是一个全球有名的财政天堂,吸引着来自世界各地的资金。因此,开曼国家银行的数据泄露对全球金融都会产生影响。开曼国家银行在Isle of Man有一家分支,主要从离岸银行业务。
黑客以Distributed Denial of Secrets组织的名义在Twitter上公布了2TB开曼国家银行的机密数据。
Distributed Denial of Secrets组织从上周六开始公布材料,声称泄漏的文件包含俄罗斯寡头和全球其他重要人物洗钱的证据。
不过该组织并没有入侵银行系统,他们只是帮助发布了著名黑客Phineas Fisher所窃取的数据。他同时也是入侵了监视公司HackingTeam和Gamma Group的黑客。
根据Unicorn Riot网站的说法,他们获得了一份黑客用西班牙语发布的简短公告,其中表示“From the mountains of the Cyber Southeast”,并标榜为“抢劫银行的DIY指南”。公告还以“Subcowmandante Marcos”的半开玩笑式的词语开头,还用ASCII文本风格画出吸着烟斗的奶牛,指代前Zapatista发言人Subcomandante Marcos。
声明中还介绍了metasploit等常见信息安全工具,对以往重大银行网络攻击事件的观察,SWIFT(一家国际金融网络公司)的可疑行为,以及一幅用西班牙语写着“Be Gay, Do Crimes”的漫画。
Distributed Denial of Secrets共获得了两部分样本,总计约2.21TB,此次事件也称为Sherwood。相关Torrent文件可从这里获得,相关archive.org镜像在这里获得。
Unicorn Riot网站还表示,目前已分析出1400个客户账户的相关地理位置,包括780个马恩岛,272个塞浦路斯,153个英国,107个开曼群岛、51个英属维尔京群岛,12个塞舌尔,11个美国,7个伯利兹,7个爱尔兰以及少量参与离岸银行业务的地区,包括直布罗陀,泽西岛,圣基茨和尼维斯,巴巴多斯,根西岛,马耳他,和毛里求斯。
而且文件中的XLS电子表格还有开曼群岛国家银行帮助全球客户管理的3800多家公司、信托基金以及个人账户的详细财务信息。
开曼群岛国家虽然还没有承认数据泄露,但专家注意到,由于“重大升级和维护计划”,该银行的许多服务在11月17日之后都无法使用。
本文版权归原作者所有,参考来源:NOSEC
(三)伊朗互联网中断已超过四天
从当地时间2019年11月16日深夜开始,伊朗几乎无法上网。时至今日2019年11月20日,伊朗互联网已经关闭超过四天,引发国际关注。在抗议该国燃油价格急剧上涨之后,从当地时间周六深夜开始,互联网连接开始中断。
互联网监控非营利性机构NetBlocks监测到了事件的发展。NetBlocks表示,他们发现了区域连通性的波动,并将在当晚影响扩大到全国。据NetBlocks称,此后,该国的互联网流量已降至正常水平的5%。NetBlocks通过扫描Internet上的通信设备(路由器,服务器,移动电话塔)并保存每个地区已知在线的数据库来跟踪世界各国的连通性。通过定期通过Internet向这些设备发送简短消息,一种称为“ ping”的做法,NetBlocks和类似组织可以查看它们何时脱机。
NetBlocks的Alp Toker表示对伊朗断网程度感到吃惊,这与世界各地其他情况的规模不同。Toker指出,该国的互联网系统不是一个易于打开或关闭的单一网络。相反,它有点像英国,由一系列相互链接的私有网络组成。破坏这样的系统并非易事。但是,仅通过国有电信公司和物理与数学研究所与伊朗的外部世界建立联系,这意味着伊朗当局可以更轻松地阻止进出该国的通信。
萨里大学的网络安全专家艾伦·伍德沃德(Alan Woodward)教授说:“如果该国设计了互联网访问权限,从而控制网关(即创建阻塞点),则可以随意进行审查。”
NetBlocks能够检测到具有固定线路连接的互联网设备断开连接以及手机端上的服务丢失,这表明无线移动互联网也受到了干扰。
一名伊朗记者设法通过代理服务器向外界发布消息,代理服务器是一种将两个独立的网络链接在一起以便在它们之间传输数据的互联网设备。经过数十次尝试,他成功了。
伊朗的个人也有可能使用 卫星互联网或漫游SIM卡 访问更广泛的互联网。但是,不能保证这些方法有效,并且可能会受到当局的监视。
对于大多数人来说,停电是无法渗透的。BBC通讯员Behrang Tajdin表示,像他的许多同事一样,他已经失去了与该国联系人进行基于互联网通信的能力。
科技公司甲骨文公司的互联网监控服务将其描述为“伊朗有史以来最大规模的互联网关闭”。
Tajdin先生指出,伊朗已经花费了数年时间开发 内部“内联网”网络 ,例如,某些政府和银行分支机构可以在关闭期间将伊朗与外界隔离,从而在该国内部保持在线。他解释说:“人们仍然可以访问连接到该网络的国内网站,这意味着伊朗的应用程序可以工作,尽管没有(国际)互联网访问,网站也可以工作。”内部网的存在在那些认为伊朗可以使用它来证明更长远和更具破坏性的互联网关闭的理由中引起了震惊。
Toker表示,除了社会后果之外,可能还会有严重的经济后果。该公司估计,断网对伊朗的经济影响每天约为6000万美元(4600万英镑)。他表示,是一种有害的战略,并树立了危险的先例。
天地和兴安全研究院翻译整理,参考来源:BBC
(四)入侵俄罗斯铁路信息系统只需要20分钟
近日,用户名为keklick1337的黑客在某网站上发布消息,称他在Sapsan高铁上入侵了Wi-Fi网络,并在20分钟内访问了所有用户的数据。随后俄罗斯铁路专家将进行了调查。该黑客还表示,访问火车乘客的数据并不困难,最多只需20分钟。
事后,俄罗斯铁路部门的代表回应称,Sapsan列车的信息和娱乐系统的服务器不存储乘客的个人数据。其多媒体门户网站只提供一些俄罗斯铁路新闻、电影、书籍、音乐等娱乐内容。此外,还有部分与个人相关的座位号等信息, 但这些数据不属于个人数据,并且根据俄罗斯联邦法律,此类数据在其服务器上存储的时间不会超过一天。
该部门还补充称,其信息娱乐系统服务器未连接到俄罗斯铁路的内部网络以及火车上的其他内部控制服务,因此不会对其他内部网络及服务造成影响。
但这一回应可能无法让人信服。早前,外媒“eHackingNews”就曾报道称,从首席执行官到司机,俄罗斯铁路公司的70.3万名员工的个人数据已经公开。因此, 俄罗斯铁路部门的系统安全性,仍令人堪忧。
本文版权归原作者所有,参考来源:E安全
(五)美国路易斯安那州政府系统遭受勒索软件袭击
2019年11月18日,路易斯安那州政府遭受勒索软件攻击,该攻击影响了包括汽车办公室、卫生部、运输与发展部在内的众多州服务,对州内79家车管所造成了干扰·。该攻击最初是在上午11点发布的,此前该州已强制关闭了由该州运营的许多网站以及电子邮件和Internet服务。
路易斯安那州卫生部(LDH)的一名员工说,那里的员工被指示断开计算机与网络的连接。该州的一些货运公司正在将卡车挡在路上,因为他们无法访问DOTD网站以申请和打印“超重”许可证之类的东西。
州长约翰·贝尔·爱德华兹(John Bel Edwards)在一系列推文中表示,他已启用路易斯安那州的网络安全团队来协调此次攻击的破坏。
该“网络安全团队”是 由爱德华兹州州长于2017年成立的路易斯安那州网络安全委员会的成员,该委员会的成员包括执法人员,公共和私营部门的网络安全专业人员以及学术界,以协调一致地应对网络安全攻击。
路易斯安那州技术服务办公室表示,这次袭击与7月导致路易斯安那州州长爱德华兹宣布进入紧急状态的袭击相似。
目前,尚不清楚此攻击中分发了哪种类型的勒索软件。
天地和兴安全研究院翻译整理,参考来源:Bleeping Computer
(六)澳大利亚发布物联网网络安全实践准则草案
近日,澳大利亚政府发布了一项保护物联网(IoT)的业务守则草案,并公开征求意见至2020年3月1日。该自愿行为守则旨在为消费者保护物联网,并为行业提供最佳实践建议。
该守则适用于澳大利亚所有可用的IoT设备,包括连接到互联网的日常智能设备,例如智能电视,手表和家庭扬声器。
该准则共有13条原则,其中前三条最重要的为:没有重复的默认密码或弱密码、与设备制造商或服务提供商和应用程序开发人员实施漏洞披露政策、并确保软件及固件安全更新。
其他的准则包括安全存储凭据和对安全敏感的数据、确保个人数据受到保护、对传输中的数据和静止数据使用“适当的行业标准”加密、验证输入数据是授权并符合预期的、应尽量减少暴露的攻击面、在禁用未使用功能的情况下以最小特权原则运行设备和服务、通过安全启动机制对软件进行验证,使系统能够应对中断,监控遥测数据中的网络异常情况、具有清晰的说明用户可以对个人数据进行数据处理、使设备的安装和维护变得容易。
内政部长彼得·达顿(Peter Dutton)表示政府公开征求《实践准则》意见因其希望确保满足所有澳大利亚人对网络安全的期望。政府与合作伙伴Five Eyes一起共同期望制造商开发具有内置安全性的互联设备,并将于各州及地区合作,以确保协调一致。
天地和兴安全研究院翻译整理,参考来源:ZDNet
(七)Macy's遭受Magecart攻击泄露用户信用卡数据
2019年11月14日,梅西百货公司宣布,由于其网站遭到窃取客户付款信息的恶意脚本的黑客攻击,他们遭受了数据泄露。该攻击称为MageCart,由黑客破坏网站构成,以便他们可以将恶意JavaScript脚本注入网站的各个部分。然后,这些脚本会窃取客户提交的付款信息。
根据梅西百货(Macy's)发布的“数据泄露通知”,他们的网站于2019年10月7日被黑客攻击,并且恶意脚本已添加到“结帐”和“我的钱包”页面。如果在这些页面遭到入侵时在这些页面上提交了任何付款信息,则信用卡详细信息和客户信息将被发送到受攻击者控制的远程站点。
2019年10月15日,该公司收到了macys.com与另一个网站之间的可疑连接的警报。该公司的安全团队立即开始调查。基于调查结果,在2019年10月7日,未经授权的第三方添加了未经授权的计算机代码到macys.com上的两页。未经授权的代码是高度特定的,仅允许第三方捕获客户在以下两个macys.com页面上提交的信息:(1)结帐页面-如果使用信用卡输入了数据并点击了“下订单”按钮;以及(2)通过我的帐户访问的钱包页面。我该团队于2019年10月15日成功删除了未经授权的代码。
作为此违规行为的一部分,攻击者能够访问客户信息和信用卡信息,其中包括客户的名字,姓氏,地址,城市,州,邮政编码,电话号码,电子邮件地址,付款卡号,付款卡安全码,以及在受损页面上提交的付款卡的有效期月/年。
梅西百货(Macy's)表示,他们在2019年10月15日,即该网站被破坏并且攻击者正在收集付款信息的整整一周后收到此黑客警报。
清理网站后,梅西百货通知执法部门,并雇用了“一流的取证公司”来协助他们进行调查。他们还联系了所有相关的信用卡品牌,包括Visa,美国运通,Discover和Mastercard,以通知他们此违规行为。
梅西百货(Macy's)表示,只有少数客户受到影响,他们制定了其他安全措施,因此不会再发生这种情况。该公司已对此事件进行了彻底调查,找出了原因,并采取了额外的安全措施作为预防措施。已通知所有受影响的客户,该公司将免费为这些客户提供消费者保护。
梅西百货公司已开始向受影响的人发送电子邮件,并建议他们监视其信用卡对帐单中是否存在可疑或欺诈性活动。如果发现任何问题,消费者应立即与他们的信用卡公司联系并质疑费用。
Macy's还向所有受此违规影响的用户免费提供Experian IdentityWorks信用监控服务。用户将能够使用随附的说明和分配给他们的唯一ID进行注册。
一位匿名的研究员表示,当攻击者破坏了梅西百货的网站时,他们更改了https://www.macys.com/js/min/common/util/ClientSideErrorLog.js脚本,以包含混淆的Magecart脚本。
该研究人员还表示,当客户提交他们的付款信息时,该脚本将启动并将提交的信息发送到Barn-x.com/api/analysis.php上的命令和控制服务器。然后,攻击者可以通过登录命令和控制服务器来访问所有被盗的付款信息。
天地和兴安全研究院翻译整理,参考来源:Bleeping Computer
(八)因遭受炸弹威胁 白俄罗斯关闭PotonMail服务
2019年11月15日,白俄罗斯当局在收到一波炸弹威胁后决定阻止访问端到端加密电子邮件服务ProtonMail。威胁是由未知攻击者从ProtonMail电子邮件地址发送给私人公司和政府组织的。该消息警告了在该国各个地方遗留和武装的TNT炸弹。该消息称威胁在多个地点存在,包括明斯克的五家酒店和购物中心、明斯克机场、多个区域中心的多个火车站、科技新闻网站Onliner的办公室、化学公司Grodno-Nitrogen的Grodno办事处、以及Novopolotsk金融公司Naftan的办公室。响应这些消息,警察要求互联网服务提供商(ISP)阻止访问ProtonMail IP地址。
ProtonMail表示,11月15日,该公司确认白俄罗斯政府正在阻止ProtonMail和 ProtonVPN IP地址。该公司仍在调查该封锁,并与白俄罗斯当局联系,以恢复对该国许多用户的电子邮件和VPN访问。一些信息表明,政府阻止Proton的决定可能是由于据称来自ProtonMail电子邮件地址的炸弹威胁所致。
俄罗斯当局于3月采取了类似措施,旨在防止恐怖分子或持不同政见者在第29届世界大学冬季运动会在克拉斯诺亚尔斯克期间使用ProtonMail。ProtonMail指出,该禁令无助于保护白俄罗斯人民免受炸弹袭击,相反,这是一种危险的审查制度。这是ProtonMail在白俄罗斯的第二次封锁。2019年6月,白俄罗斯用户报告了在明斯克举行的2019年欧洲运动会期间访问网络邮件的问题。
天地和兴安全研究院翻译整理,参考来源:Security Affairs
相关信息
2022-09-16
2022-09-09
2022-09-02
