通用汽車遭撞庫攻擊被暴露車主個人信息|國際刑警組織：國家網絡武器將很快在暗網上出現

通用汽車遭撞庫攻擊被暴露車主個人信息

近期，通用汽車表示他們在今年4月11日至29日期間檢測到了惡意登錄活動，經調查后發現黑客在某些情況下將客戶獎勵積分兌換為禮品卡，針對此次事件，通用汽車也及時給受影響的客服發郵件并告知客戶。為了彌補客戶所受損失，通用汽車表示，他們將為所有受此事件影響的客戶恢復獎勵積分。但根據調查，這些違規行為并不是通用汽車被黑客入侵的結果，而是由針對其平臺上的客戶的一波撞庫攻擊引起的。

撞庫是指黑客通過收集網上已泄露的用戶和密碼信息，生成對應的字典表，并嘗試批量登陸其他網站后，得到一系列可以登錄的用戶。經后續的調查，通用汽車表示目前沒有證據表明登錄信息是從通用汽車本身獲得的，“未經授權的用戶獲得了之前在其他非通用汽車網站上被泄露的客戶登錄憑證的訪問權限，然后在客戶的通用汽車賬戶上重復使用這些憑證。”對此通用汽車要求受影響的用戶 在再次登錄他們的帳戶之前重置他們的密碼。

 個人信息暴露 

當黑客成功入侵用戶的通用汽車帳戶后，他們可以訪問存儲在該網站上的某些信息。此信息包括以下個人詳細信息：

• 名字和姓氏，
• 
  
• 個人電子郵件地址，
• 
  
• 個人地址，
• 
  
• 與帳戶綁定的注冊家庭成員的用戶名和電話號碼，
• 
  
• 最后已知和保存的最喜歡的位置信息，
• 
  
• 當前訂閱的 OnStar 套餐（如果適用），
• 
  
• 家庭成員的頭像和照片（如果已上傳），
• 
  
• 個人資料圖片，
• 
  
• 搜索和目的地信息。

黑客入侵通用汽車賬戶時可獲得的其他信息包括汽車里程歷史、服務歷史、緊急聯系人、Wi-Fi 熱點設置（包括密碼）等。但帳戶里不包含出生日期、社會安全號碼、駕駛執照號碼、信用卡信息或銀行帳戶信息，因此這些信息沒有被泄露。

除了重置密碼外，通用汽車還建議受影響的用戶向銀行索取信用報告，如有必要還可進行賬戶安全凍結。不幸的是，通用汽車的在線站點不支持雙重身份驗證，所以其網站無法阻止撞庫攻擊。不過還有一種做法是客戶可以給所有的支付動作添加PIN碼驗證環節。至于受影響的客戶數量，通用汽車只向加州總檢察長辦公室提交了一份通知樣本，因此我們只知道該州受影響的客戶數量，也就是略低于5,000家。

參考來源

https://www.bleepingcomputer.com/news/security/gm-credential-stuffing-attack-exposed-car-owners-personal-info/

國際刑警組織：國家網絡武器將很快在暗網上出現

圖：國際刑警組織秘書長Jurgen Stock

國際刑警組織秘書長Jurgen Stock警告，由國家開發的網絡武器會在“幾年”后出現在暗網上；

他呼吁商界領袖加強與政府及執法部門的合作，上報網絡安全事件，明晰威脅態勢。

國際刑警組織高級官員警告稱，軍方在網絡戰中使用的數字工具，最終有可能落入惡意黑客手中。

國際刑警組織秘書長Jurgen Stock表示，他擔心由國家開發的網絡武器會在“幾年”后出現在暗網上。所謂暗網，是指互聯網上的一個隱藏部分，無法通過谷歌等搜索引擎直接訪問。

周一（5月23日），在瑞士達沃斯舉行的世界經濟論壇上，Stock提出，“這已經成為現實世界中的一大主要問題——戰場上使用的武器逐漸落入有組織的犯罪團伙手中。”

他還補充道，“數字武器也不例外。也許當前由軍方開發使用的數字武器，明天就會被惡意黑客所利用。”

網絡武器分為多種形式，其中可用于鎖定目標計算機系統迫使受害者支付贖金的勒索軟件，已經成為關鍵。長期以來，網絡戰一直是全球政府關注的焦點，并在此次俄烏戰爭中再次吸引整個世界的目光。

俄羅斯多次被歸因指責，在俄烏戰爭前期先向烏克蘭發動多次網絡攻擊。不過俄羅斯政府一直否認此類指控。與此同時，烏克蘭得到了世界各地志愿黑客的支援，協助其應對俄羅斯的攻擊。

Stock呼吁商界領袖加強與政府及執法部門的合作，確保更行之有效地監管網絡犯罪。

他表示，“一方面，我們需要把握當前態勢；而另一方面，我們需要私營部門數據的支持。”

“我們需要企業的網絡泄露報告。沒有這些報告，我們將無法看到威脅形勢。”

Stock說，目前“大量”的網絡攻擊未被上報。“這不僅僅是執法部門要求我們打通的組織與信息孤島，更是我們需要彌合的現實差距。”

根據世界經濟論壇《全球網絡安全展望》報告，2021年全球網絡攻擊數量增加了一倍以上。報告稱，勒索軟件仍是當下最流行的攻擊類型，各受訪組織每年平均被攻擊270次。

參與討論的企業高管和政府官員表示，網絡安全事件正在令關鍵能源基礎設施和供應鏈面臨風險。

工控安全公司Dragos聯合創始人兼CEO Robert Lee也敦促企業關注現實威脅場景，例如2015年由俄羅斯支持的對烏電網攻擊，而非一味假設風險場景。烏克蘭已經在今年4月成功抵擋住一次類似的能源基礎設施破壞企圖。

Lee總結道，“我們的問題用不著‘下一代’AI、區塊鏈或者其他技術來解決。我們的問題在于，很多已經投資并開發完成的成果仍未得到實際應用。”

    參考資料：cnbc.com