7月5日，星期二，您好！中科汇能与您分享信息安全快讯：

• Macmillan遭勒索软件攻击后关闭系统

出版业巨头麦克米伦（Macmillan）在上周末遭勒索软件攻击，临时关闭系统网络。Publishers Weekly最先报道此次事件，称收到麦克米伦通知邮件，表示公司遇到安全事件，部分设备已被加密。他们还安抚代理商和客户，目前系统虽然已被加密导致各种服务无法访问，但他们在尽力修复，并且会时刻支持代理商和客户的需求。最新消息显示，麦克米伦成功恢复了内部邮件系统，员工重新开始了工作，不过专业人士认为，这次攻击不可避免会造成图书短暂出货延迟。目前还不知道此次攻击勒索组织奉行加密和窃取信息并行主义还是勒索原教旨主义，关于数据麦克米伦也语焉不详。

• 微软发布安全警告提醒关注欺诈恶意软件

计费欺诈类恶意软件被微软置于聚光灯下，提醒安全研究员关注它的发展趋势。他们的分类源自破坏方式，没有信息窃取等功能，却能为黑客带来直接收益的方式——运营商计费。一旦安装到设备中，他们会帮受害者订阅成吨的高级服务，就算是一些认证很复杂的功能：需要移动网络连接外加二次确认和手机验证码，也不是什么难题。为此恶意软件甚至加入了关闭Wifi的功能，一个不小心受害者网费同样爆炸，可谓是老倒霉蛋了。这次被当作案例的是Toll恶意软件，作为最新的欺诈类恶意软件，它的定制化更进一步，可以针对不同运营商设计不同的扣费策略，验证方式也是专项专用，订阅流畅。安全研究员提醒，尽量不要赋予应用发送接受短信这些敏感功能。

• 旧金山无人驾驶出租车瘫痪数小时

reddit用户seansinha爆料，十几辆无人驾驶出租车在旧金山某十字路口瘫痪数小时，并造成了交通拥堵。爆料照片显示，车辆大剌剌停在路中间，他们本应在这个时段招揽生意，如今却集体罢工，最终由员工手动驾驶回仓库。

• 警方通过谷歌搜索找到嫌疑人引起民众恐慌

隐私主义者正密切关注此案，认为警方会通过同样方式逮捕堕胎舆论相关的人。此案犯人是一位青少年，他曾在科罗拉多州烧死五个塞内加尔移民。警方对此一筹莫展之时，有人提议通过搜索来寻找嫌疑人。筛选出搜索过犯罪现场地址的人后，警方最终确定了嫌疑人——一名17岁青少年。嫌疑人律师辩称，警方此举违反了宪法，谷歌也助纣为虐。隐私主义者认同律师的观点，怀疑警方很快就可以用同样的方式逮捕和近期堕胎事件有关系的人。不过事实上，这并不是第一次警方如此行事，只不过近期忙于解决杂事疏忽了舆论管控才让这期案件浮出水面被大众关注。谷歌和往常以前不予置评。

• 美国测试AI犯罪预测系统准确率高达90%

美国政府援助芝加哥大学Ishanu Chattopadhyay团队，利用芝加哥三年的犯罪数据制作了AI模型，来预测未来发生的犯罪事件，准确率高达90%。该模型可以实现对一周内城市将发生犯罪的预测，可以精细化到300米范围。实验成功后，在另外七个城市进行了推广，效果和芝加哥接近。有人认为这会加重种族歧视，但此前芝加哥警方同样用AI预测了最有可能参与枪支案的人，最终名单出现大量黑人，希望大家尊重科学不要在意这种细节。安全研究员认为，这种模型或许不是问题，最终警员的执行才是问题，但模型毫无疑问会给执行带来问题。

• 97% 的英国企业领袖预计量子计算将颠覆他们的行业

EY昨天发布的一份报告显示，相当数量（97%）的英国企业领袖预计量子计算将在高度或中等程度上影响他们的行业。《EY Quantum Readiness Survey 2022》报告包含了501 位高管级企业领袖对一系列问题的回答，这些问题涉及量子计算对英国企业的影响。报告发现，在英国几乎所有（97%）接受调查的高管都预计量子计算将在高度或中等程度上影响他们的行业。此外，大约一半 (48%) 的人认为，到 2025 年，量子计算将足够成熟，可以在大多数公司各自领域的业务中发挥重要作用。

• Jenkins 披露多个组件中的29个未修复0day

Jenkins 是一款非常流行的平台（支持1700多个插件），世界各地的企业都在使用它构建、测试和部署软件。这些0day 漏洞的CVSS 评分为低危到高危不等，受影响插件的安装次数超过2.2万次。这些未修复0day漏洞的类型包括XSS，存储型XSS，CSRF，权限检查缺失或不正确，密码、机密、API密钥和令牌存储以明文形式存储等。幸运的是，其中最严重的高危0day 要求用户交互才能被具有低权限的远程攻击者利用于低复杂程度的攻击活动中。从Shodan 数据来看，目前超过14.4万台暴露在互联网中的 Jenkins 服务器如运行的是未修复插件，则可遭利用。

• HackerOne 员工窃取漏洞报告，向受影响客户索取钱财

近日，HackerOne 平台的一名客户要求调查一起可疑的漏洞披露事件，名为 “rzlr”的人员通过平台以外的通信渠道披露了漏洞。这名客户注意到，此前已通过 HackerOne 平台提交过同样的安全问题。撞洞是指多名研究员发现并报告了同样的漏洞问题，这种情况很常见；在本案例中，真正的漏洞报告和来自威胁行动者的报告之间有很多值得仔细审查的相似之处。HackerOne 平台调查后发现，其中一名员工在两个多月（4月4日至6月23日）的时间里有访问该平台的权限，并联系了7家公司向它们报告已通过HackerOne 系统披露的漏洞。

• GitLab 修复严重的RCE漏洞

该漏洞的等级为“严重”，出现在GitLab的所有版本中：14.10.5之前的14.0版本、15.0.4之前的15.0版本以及15.1.1之前的15.1版本。GitLab 在一份安全公告中指出，认证用户可导入恶意构造的项目，从而导致远程代码执行。该漏洞目前已在最新版本中修复。GitLab 最新版本还修复了其它多个漏洞，包括两个跨站脚本漏洞。这些漏洞影响 GitLab 社区版和企业版。GitLab 已建议用户升级至最新版本。GitLab 发布安全公告指出，“我们强烈建议所有运行所述漏洞影响版本的用户，尽快升级至最新版本。如果没有提到某款产品的具体部署形式（汇编、源代码、helm chart等），则意味着所有类型均受影响。”

• 2021年80%的公司遭遇身份相关数据泄露

研究人员表示，飞速增长的员工身份、第三方合作伙伴和机器节点令公司争相保护凭证信息、软件秘密和云身份。近日，Dimensional Research发布了一项针对IT和身份专业人员的调查，结果显示，在不断增加的云采用、第三方合作伙伴和机器身份的推动下，几乎每家企业（98%）需要管理的身份数量都在快速增长。而且，须管理身份数量的暴增还导致了数据泄露事件的增长，84%的公司在过去一年里经历了身份相关的数据泄露，而此前一项覆盖两年时间的调查研究中这一比例还只是79%。资助该调查的身份定义安全联盟（IDSA）执行董事Julie Smith表示，数据泄露事件增多并不令人惊讶。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台  火绒安全 亚信安全 奇安信威胁情报中心 卡巴斯基 MACFEE  Symantec 白帽汇安全研究院   安全帮

本文版权归原作者所有，如有侵权请联系我们及时删除