【安全頭條】PyPI設立關鍵包制度遭部分開發抗議
1、PyPI設立關鍵包制度遭部分開發抗議
為應對頻發的供應鏈攻擊,PyPI決定設立關鍵包制度強制施行雙因子認證,但部分開發卻決定對著干。
總體來說這項舉措還是眾望所歸,推出后在開發者社區里好評如潮,但每種制度總有人唱反調,何況確實帶來了一些不便。有一個開發者為了不被強制加入雙因子認證,從PyPI中刪除了包重新發布,清空了下載量,以便退出“關鍵包”之列。目前的關鍵包政策是,六個月內下載量前1%的包設置為關鍵包,贊助商Google也會為此項目提供免費的硬件密鑰。考慮到直到上周還在出現的PyPI供應鏈攻擊,雖然這種方式無法對抗模糊名稱,至少可以在反劫持上做出一定的貢獻。
部分開發者不知是不是被官方發送的郵件氣到了——“恭喜,你的包成為了關鍵包,快來雙因子認證吧!”,決定刪除后重新上架自己月下載量高達600萬次的包,同時表示絕不使用這項功能,認為開發者已經做的夠多了不能再折騰開發者。鑒于反對者只占少數,關鍵包制度應該會執行下去,這個“退出”的辦法應該也不會封禁作為少數開發者的應對之策。
2、馬斯特里赫特大學最終拿回了翻很多倍的贖金
19年時馬斯特里赫特大學遭勒索軟件攻擊,為保住成噸的研究數據選擇支付贖金,如今這份贖金翻了數倍回到了自己手中。
支付贖金后,荷蘭檢察院迅速扣押了一個加密貨幣錢包,認為這部分資金與勒索脫不開干系,雖然只有部分贖金,但價格已達40000歐元。時至今日,這個錢包中的加密貨幣價格漲至50萬歐元,甚至比當初支付的贖金還要高。司法部已提起流程,希望從荷蘭檢察院那里接手這個錢包,同時用資金設立基金幫助有困難的學生。
不過大學方面表示,就算50萬歐元足額拿回,也不足以彌補因勒索而導致的各方面損失,不過有總比沒有強。
3、FBI釣魚手機與應用Anom部分源碼公布
自昨天(7月10日)以來,美國網民就被社交網絡上一則極為重磅話題吸引住了眼球。原來,有來自美國4chan論壇的網民宣稱,他們論壇的大佬已經成功“黑”掉了美國總統拜登的小兒子亨特的蘋果手機云盤,并在里面看到了大量亨特的“黑料”。
不過,這一說法尚未被任何媒體證實,真相仍然存疑。不僅美國白宮方面沒有任何回應,美國主流媒體也沒有一家報道此事。
即便是那些非常敵視拜登、正在瘋狂炒作亨特云盤“被黑”的美國極右翼媒體,比如《華盛頓審察者報》,也在文章中承認拜登兒子亨特的云盤被黑的說法還無法證實。
《華盛頓審察者報》還指出,目前美國網絡上流傳的那些據稱來自亨特“云盤”的裸照等大量不雅圖片內容,其實基本上是亨特2019年時丟失的筆記本電腦里泄露出來的內容。值得一提的是,亨特筆記本電腦的失竊以及里面私人文件遭泄露的事情,倒是已經被多家美國媒體證實和報道過。
有些美國網民則懷疑,此事可能是4chan論壇編造的一個假消息,因為這個缺少監管,人人都可以匿名的論壇,一直都是假消息和謠言泛濫的重災區。
不過,就在亨特云盤“被黑”的這個說法在網上傳得沸沸揚揚、真假難辨之時,美國蘋果公司發布的一項針對高端用戶的隱私保護政策,卻讓那些相信亨特云盤“被黑”的人浮想聯翩。
根據美國哥倫比亞廣播公司網站(CNBC)7月10日的報道,蘋果公司于上周三推出了一項可以讓諸如政客和社會活動人士等高端用戶封鎖自己的手機和用戶信息,從而可以減少他們的手機被有組織的黑客行為入侵的風險。
而在這則新聞的評論區,那些認為亨特手機云盤“被黑”的美國保守派網民就認為,蘋果出臺這個政策很可能是因為拜登兒子的手機云盤被黑了。
看來,白宮以及一些美國的權威媒體,還是有必要去好好回應和調查一下這個傳言了。
4、全球網絡犯罪急需強化協同打擊去年造成損失超6萬億美元
意大利信息安全協會近期發布的研究報告顯示,2021年全球網絡犯罪造成的相關損失超過6萬億美元,而2020年這一數字估計為1萬億美元。意大利防務、安全和航空航天巨頭萊昂納多公司首席執行官普羅富莫表示,新冠肺炎疫情導致在線活動激增,“過去兩年來的網絡安全威脅成為疫情的‘附帶損害’”。
全球網絡犯罪快速上升勢頭明顯,企業在網絡犯罪中蒙受了重大損失。根據美國聯邦調查局最新發布的《互聯網犯罪報告》,與前幾年相比,網絡釣魚攻擊是目前最常報告的網絡犯罪類型,2021年報告了32萬多起,其中僅商務電郵入侵就造成近24億美元的損失。云計算公司Iomart的一份報告指出,2020年第一季度,全球大規模信息泄露事件同比增長273%。一次數據泄露對于大型公司的損失大約是其市值的7.27%,對中小型公司的影響則是災難性的。今年5月,網絡安全機構Hiscox針對5000多家歐美企業進行了問卷調查,超過87%的受訪者將網絡犯罪視為頭號威脅,超過經濟衰退和人才短缺等問題。西班牙國家網絡安全研究所稱,欺詐、漏洞和勒索軟件仍將是2022年網絡威脅的主要形式。
為應對日趨猖獗的網絡犯罪威脅,許多國家和地區不斷完善立法和技術保護措施。根據聯合國貿發會議的數據,全球156個國家和地區已經頒布實施網絡犯罪相關法律法規,多國正在完善升級其網絡安全國家戰略和組織架構。意大利去年6月宣布成立國家網絡安全局,旨在提高國家預防、監測能力,以應對網絡安全事件和網絡攻擊。英國今年初發布的《政府網絡安全戰略2022—2030》報告提出,到2025年,英國政府關鍵職能部門要顯著增強抵御網絡攻擊的能力;到2030年,各政府部門均需具備抵御已知的網絡漏洞和攻擊方法的能力。
鑒于網絡犯罪存在跨境特征,全球協同打擊網絡犯罪具有重要意義。2019年底,聯合國大會通過了“打擊為犯罪目的使用通信技術”決議。去年5月,第七十五屆聯合國大會通過關于啟動《聯合國打擊網絡犯罪公約》談判的決議,公約特委會第一次談判會議已于今年初舉行。與會各方普遍認同應盡快制定《聯合國打擊網絡犯罪公約》,多數國家支持按聯大決議如期完成談判。
目前,上海合作組織、歐洲委員會、阿拉伯國家聯盟等國際組織均已制定打擊網絡犯罪的多邊條約。歐盟正加緊整合成員國的相關資源和專業技術,計劃成立一個專門應對網絡攻擊的機構,強化聯合打擊網絡犯罪的能力。該機構預計于2023年建成,成員包括來自歐盟成員國、歐洲刑警組織以及歐盟對外行動署等機構的專家。
5、B站回應“黑客售賣2 億余條用戶賬號”傳聞:完全不實
驅動中國2022年7月8日消息
近日,有媒體報道,疑似B站發生用戶賬號(UID)、手機號泄露問題,泄露數據多達2.2億余條。起因是,一張在暗網叫賣 2.2 億余條B站用戶信息的截圖在網上流傳,泄露數據疑似包括用戶賬號(UID)和手機號,價格為 0.5 比特幣或 17.72 以太幣。
而這條信息出售帖發布于7月6日凌晨,發帖者稱“【嗶哩嗶哩】數據泄露2.3MM”,數量具體為221223698條,并提供了總計超過50萬行的樣本數據。
報道稱,記者隨機選取了部分樣本數據進行核實,發現 UID 基本上都能對應B站賬號,對應的手機號則有些是空號,有些可以打通,但暫未證實手機號與 UID 指向同一用戶。
對此,B站相關負責人表示,關于“疑似用戶數據泄露”的網傳信息完全不實。公司經過全面技術排查和分析對比,確認網傳的泄露數據為錯誤信息。
值得一提的是,今年 6 月,國家互聯網信息辦公室發布《互聯網用戶賬號信息管理規定》(下稱“《規定》”),《規定》自 8 月 1 日起施行。《規定》要求互聯網信息服務提供者履行賬號信息管理主體責任,配備與服務規模相適應的專業人員和技術能力;建立健全并嚴格落實真實身份信息認證、賬號信息核驗、信息內容安全、生態治理、應急處置、個人信息保護等管理制度。
