「一周安全资讯1024」美国财政部禁止企业支付勒索软件赎金

宏观新闻

【手机盗刷黑产事件后续 工信部约谈涉事电信企业相关负责人】近日，有舆论报道反映，不法分子偷盗个人手机后，在某政务App窃取用户个人信息，进而申请网贷消费造成用户财产损失，引发了网民对手机个人信息保护和财产安全的担忧。对此，工业和信息化部立即组织核查处理，约谈了涉事电信企业相关负责人，要求三家基础电信企业在服务密码重置、解挂等涉及用户身份的敏感环节，在方便用户办理业务的同时强化安全防护，加强客服人员风险防范意识培训，警惕业务异常办理行为。同时，工业和信息化部也提醒广大用户及时设置SIM卡密码，在丢失手机后应第一时间挂失，强化安全风险意识。

【美国财政部禁止企业支付勒索软件赎金】近期，美国财政部外国资产控制办公室（OFAC）发布咨文警告组织不要向勒索软件支付赎金，并声称此举存在违反政府对网络犯罪集团或国家黑客施加的经济制裁的法律风险。该咨文有可能破坏勒索软件的变现模式，但同时也使被攻击的企业、其保险公司和事件响应服务商处境更加艰难。因为不支付赎金，往往意味着勒索软件攻击造成的损失更大，而且需要更长的时间才能恢复。而且，“支付赎金犯法”也有可能导致网络安全保险将不再覆盖勒索软件攻击。

【2020年生物识别设备市场收入暴跌22%】根据ABI Research的最新报告，在新冠病毒大流行之后，2020年全球生物识别设备收入预计将下降22%，降至66亿美元。但是整个生物识别市场将在2021年恢复势头，到2025年总收入将达到约400亿美元。数字安全行业分析师迪米特里斯•帕夫拉基斯（Dimitris Pavlakis）解释道：“生物识别技术市场目前的下滑，源于政府、商业和技术层面的多方面挑战。”

安全动态

【美国最大零售连锁书店Barnes&Noble遭遇黑客攻击】美国图书销售巨头Barnes＆Noble近日通过电子邮件与客户联系，警告他们其网络已被黑客破坏，并且攻击者可能已经访问了用户的敏感信息。Barnes＆Noble表示，在受感染的服务器上存储了个人信息，包括客户的电子邮件地址、账单和送货地址以及电话号码。此外，Barnes＆Noble会存储客户过去交易的详细信息，显示过去从零售商那里购买的书籍和其他产品的历史。该公司表示，尽管没有证据表明安全漏洞已经暴露了个人详细信息，但“目前无法排除这种可能性。”

【2.5Tbs！Google透露曾经受史上最大规模DDoS攻击】近日，Google在一篇官方博客文章中透露，2017年9月Google的基础设施曾缓解了迄今为止已知最大规模的DDoS攻击，流量峰值高达2.5Tbps。在Google爆料之前，业界心有余悸、记忆犹新的超大规模DDoS攻击分别2016年Mirai物联网僵尸攻击了托管DNS服务Dyn，堵塞了一些世界上最知名的网站，包括Twitter、Spotify、Github、Reddit和AirBnB，攻击的峰值流速约为623Gbps。2018年，GitHub遭受大规模DDoS攻击，峰值达到每秒约1.35Tps，但与Google的2.5Tps相形见绌。Google在博客文章中也指出，DDoS攻击者正在不断开发破坏系统的新技术。

【勒索软件集团向慈善机构捐赠20000美金！】2018年，一份令人震惊的报告披露了网络犯罪分子如何从救助儿童会(Save The Children)慈善机构窃取了100万美元，但令人出乎意料的是，最近的一起案件中，勒索软件集团决定从“大鱼”那窃取资金，然后捐款：DarkSide勒索软件集团表示，他们分别向“国际儿童”和“水项目”慈善机构捐赠了0.88 BTC。(约合1万美元至8000欧元至7000英镑)。根据黑客通过Tor浏览器在其官方网站上发布的新闻稿，黑客还提供了他们向慈善机构捐款的收据证据。

【美国指控俄罗斯黑客组织参与多项网络攻击行动】近日，美国司法部对六名GRU（俄罗斯军事情报局）74455部门官员发起了起诉，指控他们对平昌冬奥会、2017年法国大选进行黑客攻击，以及臭名昭著的NotPetya勒索软件攻击。起诉书称，这6人都是俄罗斯主要情报机构GRU的成员，据传他们同时也是俄罗斯精英黑客组织“沙虫”(Sandworm)的成员。负责美国国家安全的助理司法部长约翰·C·德默斯(John C. Demers)说，“没有哪个国家像俄罗斯那样，恶意或不负责任地将其网络能力武器化，肆意在全球制造前所未有的破坏，以追求较小的战术优势，并满足一时的恶意心理”

【TikTok宣布与HackerOne的漏洞赏金计划，最高单个漏洞14800美金】中国视频共享社交网络服务 TikTok 本周通过 HackeOne 平台推出了一个公共漏洞赏金计划。TikTok 欢迎白帽黑客提交关于 TikTok 网站的安全缺陷，包括 TikTok 的几个子域名，以及 Android 和 iOS 的应用程序。TikTok 为漏洞提供 1700 美元至 6900 美元不等的赏金，对于严重漏洞最高可支付高达 14800 美元的赏金。“我们鼓励安全研究人员将精力集中在发现具有较大影响的安全漏洞上。我们的奖励评价基于每个漏洞的 CVSS（常见漏洞评分标准）的评分。”TikTok 声称已经通过漏洞赏金计划支付了 4 万美元，所以本次与 HackOne 合作推出漏洞赏金计划的想法并不是突发奇想。公司遵循漏洞报告政策，同时遵循漏洞协调披露政策，等待期为 90 天，从提交开始计算日期。