近期网络安全事件盘点

一，网络安全公司Cognyte泄漏50亿条数据

近日，网络安全公司Cognyte泄漏了50亿条数据。网络安全公司遭遇网络攻击，泄漏安全工具源代码，甚至成为黑客发动供应链攻击的跳板已经不是新鲜事，但颇具讽刺意味的是，Cognyte所泄漏的数据恰恰是用来提醒客户注意第三方数据泄漏的，而且数据规模惊人。

一名安全研究人员最近在网上发现了一个由网络安全分析公司Cognyte运营的不安全数据库，该数据库采集了从一系列在线数据泄漏事件中收集的约50亿条记录，并且无需身份验证即可访问。

存储的数据是Cognyte网络情报服务的一部分，用于提醒客户注意第三方数据泄漏。

“具有讽刺意味的是，用于交叉检查已知数据泄漏事件的个人信息的数据库本身已暴露。这些信息包括姓名、密码、电子邮件地址和泄漏的原始来源。”Comparitech在一份报告中写道。

Comparitech的安全研究负责人Bob Diachenko于5月29日发现了暴露的数据，并通知了Cognyte，后者在三天后保护了数据。

“由于安全研究员Volodymyr Bob Diachenko提供的信息，Cognyte已经快速响应并阻止了潜在的数据暴露。”Cognyte在给Comparitech的一份声明中说道。

二，麦当劳系统被攻击，韩国和中国台湾的客户信息遭泄露

6月11日，麦当劳披露了一起数据泄露事件，该事件影响了其美国、韩国和中国台湾地区的相关员工和用户。

作为全球食品服务零售商，麦当劳每天在 100 多个国家/地区的 39,000 多个地点为近数亿客户提供服务，仅在美国就有大约 14,000 家餐厅。

麦当劳表示，根据外部安全顾问进行的调查发现，攻击者攻击了其全球多个市场的系统，并窃取了美国员工和特许经销商的业务联系信息。不过，其中并不包含敏感财务数据。

此外，攻击者还窃取了韩国和台湾地区的用户个人信息。（包括姓名、电子邮件、电话号码和地址）对此，麦当劳表示，只有少数客户受到影响，并且他们的财务数据没有暴露。

麦当劳在给美国员工发送的邮件中表示：

“根据我们的调查，只有韩国和台湾地区有客户个人数据被访问的现象，我们将采取措施通知这些文件中列出的监管机构和客户。

“这些文件中不包含客户付款信息。在未来几天，其他市场也将采取措施处理包含员工个人数据的文件。”

目前，麦当劳正在通知所有受影响市场的受影响客户和门店。

据悉，这已经不是麦当劳第一次遭受网络攻击。早在2017年，就曾有攻击者入侵了麦当劳加拿大招聘网站，窃取了9.5万名求职者的信息。

三：币圈震惊：FBI凭密钥控制黑客比特币账户

5月初，俄罗斯黑客组织“黑暗面”（DarkSide）入侵美国科洛尼尔管道运输公司（Colonial Pipeline）网络，并且成功索要赎金。不过近期事件出现大反转，美国司法部6月7日公告称，已收回了DarkSide今年从Colonial Pipeline勒索的大部分赎金。该公告详细说明了黑客如何通过在全球范围内启用的勒索软件来造成威胁，而美国又是如何截取了这一黑客组织的支付账户。

科洛尼尔是美东输油“大动脉”，支撑东海岸45%的燃油供应，还为军方供油。该公司被黑客袭击后被迫全面暂停运营，直接导致17个州及华盛顿特区一度进入紧急状态。

联邦调查局旧金山办事处负责助理特工Elvis Chan6月7日在新闻电话会议上表示，这些资金是专门从使用DarkSide勒索软件入侵Colonial的黑客分包商那里没收的。但他拒绝透露FBI是如何获得钱包访问权限的具体细节。

Elvis表示，FBI并不需要等犯罪分子使用美国的加密货币服务才能达到目的，不过他同时认同，全球有大量的互联网基础设施都设在美国，而联邦调查局可以获得（这些基础设施的）搜查令。

“我不想公开我们的‘手艺’，以防未来还需要再次使用这种技能。”他说，“对于处理海外案件，技术方面不是问题。”

不过他透露说，跟踪勒索软件组织的微软威胁情报中心（Microsoft's Threat Intelligence Center）协助了调查。

FBI特工的话说明，该机构可以通过搜查美国基础设施的最底层信息，以及综合利用美国各种IT服务供应商的共享信息，来获取全球任何一个组织的最隐私信息。

黑客组织DarkSide的私钥能被FBI查出来并“盗”走63.7个比特币，那么其他持币人的私钥呢？细思极恐。

四，突发！一知名勒索软件源代码泄露，目前尚无法解密

Paradise勒索软件的源代码在多个黑客论坛上外泄，成为第二个源代码遭到泄露的主流勒索软件；

目前尚无法解密Paradise加密的数据，加上源代码在网上快速传播，或将在引起较大的风波。

安全厂商Security Joes高级威胁情报分析师Tom Malka透露，Paradise勒索软件的.NET版本源代码已经于上周末在多个黑客论坛上外泄。

这批代码已经在俄语论坛XSS上被公开放出，也成为继2020年初Dharma之后第二个源代码遭到泄露的主流勒索软件。

此次泄露事件的真实性，得到了曾多次分析以往Paradise勒索攻击活动的恶意软件分析师Bart Blaze与MalwareHunterTeam的验证与确认。

Malka与Blaze在采访中强调，上周末泄露的Paradise代码正是其.NET版本源代码，更准确地说是其builder与解密工具程序的源代码。

尽管只是使用频率较低的.NET版本，Paradise勒索软件builder的外泄仍然值得我们给予关注。

Blaze分析师今天尝试构建了一各Paradise勒索软件样本，并在上传至ID-Ransomware服务进行验证，但被归类为无法解密。

这种无法解密的特性，加上公开的源代码在互联网上快速传播，我们不排除会有部分恶意人士抓住机会开展Paradise攻击。虽然不像Paradise RaaS原生版本那么精准高效，但相信这套.NET版本也足够引起不小的麻烦。

五：美国一地区发生大面积停电：遭遇火灾与网络攻击双重打击

电力供应商Luma能源公司一处变电站遭遇火灾与网络攻击双重打击，导致波多黎各发生大面积停电。

6月10日，美国海外岛屿、自治邦波多黎各的新晋电力供应商Luma能源公司位于圣胡安的Monacillo变电站发生大火，导致波多黎各出现大面积停电。目前，约有80万居民被迫生活在一片漆黑当中。

据报道，Monacillos变电站发生重大火灾。大火导致波多黎各全岛严重停电。目前相关方面正在评估情况并恢复系统运行。

LUMA能源公司发布推文称，“火灾导致波多黎各全岛发生大面积停电。情况正在评估当中，我们也在努力恢复系统的正常运转。”就在停电的同一天，该公司表示一次大规模DDoS攻击中断了其在线服务。

据报道，“Luma能源公司透露，这次DDoS攻击每秒对其客户门户与移动应用发出200万次访问，严重影响到众多用户访问账户信息。”

政府当局正着手调查这两起事故，目前尚不清楚火灾与DDoS攻击之间是否存在关联。

现任总督Pedro Pierluisi透露，波多黎各邦内及联邦政府执法部门正在调查爆炸事件。

Pierluisi说，“无论事出何因，相关人员都必须给波多黎各人民一个说法。”

此次停电恰逢波多黎各岛内的新冠疫苗接种期间，可能导致各处医院及医疗中心无法在低温环境下稳定保存某些疫苗。停电发生之际，岛内仍在努力为居民接种新冠病毒疫苗。但这种疫苗需要在低温下保存才能保持应有效力。

波多黎各卫生部长Carlos Mellado López称，医院内的手术没有受到影响，停电也并未破坏疫苗储备。