要闻速览
1、《数据安全技术 数据分类分级规则》等5项网络安全国家标准获批发布
2、一图读懂 | 上海通管局开展2024年车联网网络和数据安全专项行动
3、谷歌Firebase泄露1900万明文密码,2.2亿条数据记录
4、埃塞俄比亚一银行Bug,引发"取钱狂潮",民众捡漏取走几十亿
5、偷车问题激增,加拿大计划禁售黑客工具 Flipper Zero
6、没完了?美政府又炒作"中国黑客"攻击其供水系统
一周政策要闻
《数据安全技术 数据分类分级规则》等5项网络安全国家标准获批发布
根据2024年3月15日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2024年第1号),全国网络安全标准化技术委员会归口的5项国家标准正式发布。具体清单如下:
信息来源:全国网络安全标准化技术委员会 https://www.tc260.org.cn/front/postDetail.html?id=20240321160121
一图读懂 | 上海通管局开展2024年车联网网络和数据安全专项行动
2024年3月6日,上海市通信管理局发布《上海市通信管理局关于开展“铸盾车联”2024年车联网网络和数据安全专项行动的通知》,以下为针对该通知的图文解读:
信息来源:上海通信圈https://mp.weixin.qq.com/s/sQYpEZOkHEpUVyxVKcJ1hg
业内新闻速览
谷歌Firebase泄露1900万明文密码,2.2亿条数据记录
近日,三位网络安全专家近日发布报告,谷歌旗下 Firebase 平台实例存在配置错误问题,导致近1900万个明文密码曝光。
三人扫描了500多万个域名,发现有916个组织的网站要么没有启用安全规则,要么安全规则设置错误。专家扫描发现了超过1.25亿条敏感用户记录,其中包括电子邮件、姓名、密码、电话号码以及包含银行详细信息的账单信息。
专家表示 Firebase 实例根本没有设置安全规则,或者配置不正确,允许他人读取访问数据库。
IT之家基于报道,附上本次发现的数据信息如下:
人名:84221169 个
电子邮件地址:106266766 个
电话号码:33559863 个
密码:20185831 个
账单信息(银行详情、发票等):27487924 条
而更为严重的是,本次曝光的20185831个密码中,98%都是明文存储的,确切地说是19867627个密码都是纯文本。
Firebase 是一家实时后端数据库创业公司,它能帮助开发者很快地写出 Web 端和移动端的应用。该公司在2014年被 Google 收购,截至2020年3月,Firebase 平台拥有19项产品,它们被超过 150万个应用程序采用。
消息来源:IT之家 https://baijiahao.baidu.com/s?id=1794014986514465063&wfr=spider&for=pc
埃塞俄比亚一银行Bug,引发"取钱狂潮",民众捡漏取走几十亿
近日,埃塞俄比亚最大的商业银行(Commericial Bank of Ethiopia)出现一起技术故障,旗下的 ATM 可以“无限额”取钱……
事故发生在当地时间上周六,拥有超过 3800 万名用户的埃塞俄比亚最大的商业银行(Commericial Bank of Ethiopia)突然出现技术故障 ,使得一些用户可以在银行的 ATM 机上取出超过自身账户余额的金钱,甚至可以通过网银把这些钱转至其他银行账户。
很快这一”免费“获取更多钱财的消息通过电话和短信的方式迅速传播,有些民众把“好消息”发在了社交群里,引发了全民”取钱热“。
值得一提的是,ATM 故障期间,提取大部分资金的是一些大学生,埃塞俄比亚西部的一名学生向 BBC 透露,校园自动取款机外排起了长队,学生们不停地取款,直到警察赶到并阻止他们。据当地媒体报道,“系统故障”持续了数小时,超过 1 亿美元被提取或转移到其他银行。
银行迅速回应故障事件:
ATM 故障持续很长时间,直到商业银行发现问题后,立刻连续发布了多份紧急通知,表示银行遭遇了系统故障,多项业务都受到了影响,已经解决了技术问题,”取钱热“才慢慢平息下去。此外,该银行还强调,为避免造成损失,已经中断了所有业务,银行的网络并没有受到损害,还请客户不必担心,他们的个人账户都很安全。
当地时间本周一,商业银行举行了发布会,银行行长 Abe Sano 表示,故障期间,发生了超过 49 万笔“不健康和非法”的银行交易,与银行的总资产相比,损失的金额较小。同时,Abe Sano 一直强调 CBE 没有遭到网络攻击,向客户一再保证他们的账户并未受到影响,并敦促他们不要惊慌。
对于损失金额的具体数目是多少,部分当地媒体报道称,商业银行共有近 23 亿比尔(超过 2 亿 8 千万元人民币)遭到了恶意提取,或被转移到了其他银行。《财富》杂志援引消息人士的话报道称,故障期间发生了约 6.6 万笔交易,并表明多达 60 亿比尔(1.05亿美元)的交易被撤回。
目前,商业银行正在对故障期间的异常交易进行调查,也已经向当局报告了进行“大额交易”的用户,各大高校也已经发表了声明,要求学生退还不属于他们的钱。目前,相关部门正在追回用户利用“系统故障”取走的大笔资金。同时,Sano 承诺,退还资金的个人不会面临刑事指控。
消息来源:FREEBUF https://www.freebuf.com/articles/395363.html
偷车问题激增,加拿大计划禁售黑客工具 Flipper Zero
近期,加拿大政府计划禁售黑客工具 Flipper Zero 和类似设备,因为它们被标记为窃贼可以用来偷车的工具。
Flipper Zero 是一款便携式可编程测试工具,可帮助通过多种协议(包括 RFID、无线电、NFC、红外和蓝牙)试验和调试各种硬件和数字设备,获得了不少极客和黑客的青睐。
自产品发布以来,用户纷纷在社交媒体展示 Flipper Zero 的功能,包括利用重放攻击解锁汽车、打开车库门、激活门铃和克隆各种数字钥匙。
Flipper Zero 复制迈凯伦钥匙扣并解锁汽车:加拿大工业部长 François-Philippe Champagne 近日表示:“犯罪分子一直在使用复杂的工具来偷车,加拿大人有理由保持担忧。今天,我宣布将禁止进口、销售和使用这些用于实施犯罪的消费者黑客设备。”
据加拿大政府称,每年约有 9 万辆汽车(或每六分钟一辆汽车)报告被盗窃,汽车盗窃每年造成 10 亿美元的损失,其中包括修理和更换被盗汽车的保险费用。
消息来源:IT之家 https://baijiahao.baidu.com/s?id=1790657392428974508&wfr=spider&for=pc
没完了?美政府又炒作"中国黑客"攻击其供水系统
澎湃新闻3月22日消息,美国近年来多次无端指责“中国黑客组织”对其进行网络攻击,最近开始将炒作焦点放在了关键基础设施领域。当地时间3月18日,白宫国家安全顾问沙利文和环境保护署署长迈克尔·里根联合致信各州州长,声称有外国黑客正攻击全美供水和污水处理系统,并特别提及了中国和伊朗。
沙利文和里根在公开信中表示,“网络攻击正在袭击各地的供水和污水处理系统”。“这些袭击可能会破坏清洁安全饮用水这一关键生命线,并给受影响社区带来巨大损失,”公开信中写道,“我们写信是为了描述这些威胁的性质,并请求你们合作采取重要行动,以确保供水系统免受这些袭击日益增加的风险及其后果的影响。
”随后,二人开始无端抹黑中国和伊朗,声称两大威胁分别来自于“与伊朗伊斯兰革命卫队有关的黑客”和“中国黑客组织‘伏特台风’(Volt Typhoon)”。据他们所说,前者正在实施破坏,后者“正在预先部署,以便在发生地缘政治紧张局势或军事冲突时实施破坏”。
沙利文和里根呼吁各州政府积极采取行动,并计划于当地时间3月21日与州领导人举行一次虚拟会议,讨论保护关键水利部门免受网络攻击的必要性。
目前,中国外交部发言人毛宁就此事回应称,中国坚决反对并依法打击任何形式的网络攻击,美方在缺乏有效证据的情况下妄下结论,对中国无端指责抹黑,极其不负责任,纯属混淆是非,中方对此坚决反对。
消息来源:澎湃新闻 https://www.thepaper.cn/newsDetail_forward_26773594
来源:本安全周报所推送内容由网络收集整理而来,仅用于分享,并不意味着赞同其观点或证实其内容的真实性,部分内容推送时未能与原作者取得联系,若涉及版权问题,烦请原作者联系我们,我们会尽快删除处理,谢谢!