宜家法国公司用间谍软件非法监控员工被罚款120万美元；美国CVS Health数据库配置错误泄露超过10亿条记录

瑞典家具集团宜家法国分公司因使用间谍软件非法监控员工被罚款120万美元。该事件发生在2009年至2012年间，宜家法国公司开发了一个间谍系统来监控员工和提出纠纷的客户。该系统为公司1996年至2002年的负责人Jean-Louis Baillot建立的，其被处以两年缓刑和60630美元罚款。检察官表示，宜家法国公司利用警方消息来源，聘请了一家私人保安公司和私人侦探非法获取其员工的机密信息。该刑事调查于2012年启动，直到本周二才下令罚款。

研究团队于2021年3月21日发现了一个不受密码保护的数据库。经过进一步研究，该数据库与美国医疗保健公司CVS Health有关。数据库大小为204GB，总计有1148327940条记录，包含访客ID、会话ID、设备信息和日志系统如何从后端运行的蓝图等内容，以及有关药物、COVID-19疫苗和CVS各种产品的信息。CVS Health表示，该数据库由一个第三方供应商在管理，现在已经被保护起来。 

美国最大的丙烷供应商AmeriGas主动披露其近期发生的数据泄露事件。AmeriGas在美国的50个州为超过200万客户提供服务，拥有2500多个分销点。5月10日，向AmeriGas提供运输部 (DOT) 合规服务的供应商JJ Keller在其系统上检测到可疑活动，后发现其员工遭到了钓鱼攻击导致帐户被盗，该公司立刻开始确定此次泄露的范围。5月21日，JJ Keller通知AmeriGas此事件可能泄露了AmeriGas的123名员工的记录，包括实验室ID、社会安全号码、驾驶执照号码和出生日期。

CISA披露了ThroughTek的P2P SDK中的明文泄露漏洞，影响了数百万个摄像头。该漏洞追踪为CVE-2021-32934，CVSS v3基本评分为9.1。该组件已被多家安全摄像头的原始设备制造商 (OEM) 以及物联网设备制造商使用，已被安装在数百万个设备中，例如婴儿和宠物监控摄像头、机器人和电池设备等。CISA表示，攻击者可利用该漏洞访问敏感信息，如相机音频/视频源等，截至现在还没被在野利用。

本周二，以色列时报称伊朗黑客攻击了以色列国防军的前参谋长的计算机，并获得了他的整个计算机数据库的访问权限。Channel 10表示该黑客是Yaser Balaghi，据称他在后来吹嘘自己的行为时不知不觉地留下了痕迹，导致伊朗停止了针对全球1800人（包括以色列陆军将军、波斯湾人权捍卫者和学者）的网络行动。在过去的两年中，以色列一直是许多网络攻击的目标。

Cybereason发布了企业遭到勒索攻击的损失的分析报告。报告指出，平均每11秒就会发生一次勒索软件攻击，预计2021年组织的损失将达到200亿美元，比2020年增加225%。66%的组织报告称在勒索软件攻击后收入出现损失；35%企业支付了35万至140万美元赎金，7%的企业支付的赎金超过140万美元；53%组织称其品牌和声誉受损，32%组织称C级人才流失；26%组织报告称攻击导致企业在一段时间内完全关闭。