网络安全相关资讯，业界发展大事要闻，安在媒体重要发布，甲方社群互动交流，都在安在 · 网安周报。与网安发展同步，采业界资讯共赏，天天见闻，周周必报。

本期焦点

丰田泄露超200万辆汽车敏感数据：实时位置暴露近10年

安全内参5月15日消息，丰田汽车公司披露了一起云环境数据暴露事件，从2013年11月6日至2023年4月17日十年间，共有215万客户的车辆位置信息持续暴露。

根据丰田公司日本新闻编辑室发布的安全通告，此次事件是因为数据库配置错误，任何人无需密码即可访问泄露内容。

通告称，“由于云环境配置错误，丰田汽车公司委托丰田互联公司管理的部分数据已被公开。”

“发现该事件后，我们已采取措施防止外部访问，目前仍在继续开展调查，包括由丰田互联公司管理的所有云环境。对于给我们客户和相关方造成的极大不便和担忧，我们深表歉意。”

 

专家点评：

看到丰田汽车近期曝光的一起云环境数据泄露事件，惊讶的是近10年的200万俩车辆位置信息和近7年的车外视频记录等敏感数据遭到泄露，印象中就在几个月前也是丰田也是因为将部分源代码上传到Github上造成了近30万的客户编号和电子邮件地址遭到泄露，一个是云环境的数据库配置错误，一个是人为的公开源代码行为，这两起事件归根到底就是人为的因素造成。Cybersecurity Insiders发布的《2023年内部威胁报告》指出，74%的组织容易受到内部威胁。这是可以理解的，因为在2022年，我们看到了许多恶意的内部攻击和由用户疏忽造成的数据泄露。企业组织继续遭受来自正式员工、特权用户和第三方的内部威胁。

特权用户包括系统管理员、超级管理员以及其他具有高级访问权限和配置权限的账户，这些账户都掌握着组织关键基础设施和敏感数据的“钥匙”，一旦管理不善或者配置失误都可以对组织造成巨大的威胁和损失。

纯粹的人为失误，可以说是当今网络威胁中最为关键的变数，这种人为错误我觉得可以分为两种类型：

①技术层面的失误：人不是机器，不可能24小时保持高度精神集中，总有疲倦、分心、注意力不集中、甚至其他失误、粗心或者疏忽的情况，比如密码输错、消息发错群甚至在打字聊天的时候可能都会输错拼音甚至拼错单词……这些是不可避免的现象。

②决策层面的失误：通常就是错误的决定，可能是多种不同的因素叠加在一起造成的，可能是专业知识的缺失、特定场景的信息层面了解深度不够，甚至对当前形式的一种误判根本没有意识到自己的行为可能造成难以挽回的后果。

企业应当对上述可能造成的失误进行有效地识别，并从系统层面对员工由于岗位、职级、权限不同，接触、运维、配置时所涉及的敏感性和保密性对象的差异进行控制和预判，哪些员工及岗位属于关键岗位？可以采用Double Check的方式进行操作复核，哪些员工的人性弱点容易被漏洞利用，增加相应的智能审批环节或人工审批环节；对于可能造成数据泄露的操作及影响较大的场景进行审计，规避可能存在的网络威胁、人员懈怠及合规决策风险，充分考虑“以人为本”的人为因素安全风险管理，做到能预判、早响应、勤上报、降风险的目的，将人为因素相关的安全风险管理同企业的技术、流程、框架及文化紧密的结合在一起。

本期特邀专家

陈圣

中通信息安全专家

网安行业热点

安全事件

1、RCE漏洞导致严重网络攻击

研究人员发现，三个工业蜂窝路由器供应商的云管理平台中的 11 个漏洞使操作技术 (OT) 网络面临远程代码执行的风险。

2、全新勒索组织“曝光”，已入侵美国、韩国多个组织！

近日，一个名为RA group的新勒索软件组织进入人们的视野，该网络犯罪团伙自2023年4月22日起就已经开始有所“行动”，目前仍在迅速扩大其勒索活动的范围。

3、法国大型制造企业遭网络攻击

Lacroix公司在上周末遭遇到网络攻击，旗下8个制造工厂中有3个受到了影响，预计下周才能重新开放。

4、大学录取平台泄露24万学生个人敏感信息

Cybernews 研究团队发现，热门大学录取平台 Leverage EDU 泄露了近 24万份敏感文件，包括学生的电话号码、财务信息、证书和考试成绩。

5、明星整形视频外泄，无数人隐私正在被直播！

近日，有一勒索团伙通过手术室摄像头记录窃取到了医院数位癌症患者的裸体医疗照片并发布到了网上，同时被窃取的还有接受放射肿瘤治疗的患者图像，以及其它75000多人的敏感健康记录。

6、网络安全公司 Dragos 遭受勒索软件攻击

Bleeping Computer 网站披露，网络安全公司 Dragos 近期遭遇了勒索软件攻击，一个网络犯罪团伙试图突破 Dragos 的防御系统，渗透到其内部网络，以期对设备进行加密。

6、DDoS 僵尸网络 RapperBot 开始涉足挖矿

RapperBot 是一个主要针对 IoT 设备的恶意软件家族，自从 2022 年 6 月以来一直保持活跃。研究人员近期发现，RapperBot 开始进行挖矿获利。

7、苹果数据传输漏洞：新的Wireshark剖析器揭开面纱

最近，研究人员正对苹果数据传输过程的安全性表示担忧，黑客可能试图抓取包含苹果iOS及其用户数据相关的敏感信息网络数据包。

8、美国23.7万政府员工的个人信息遭到泄露

美国交通部（USDOT）最近发生了一起数据泄露事件，导致23.7万名现/前联邦政府雇员的个人信息被曝光。

9、【APT 组织·响尾蛇】持续攻击我国和巴基斯坦

The Hacker News 网站披露，网络安全研究人员近期发现 APT 组织 SideWinder 正在“集中火力”猛攻位于我国和巴基斯坦境内的实体组织。

10、苹果又曝 0Day漏洞，iPhone/iPad/Mac等全部受影响

安全研究人员在 WebKit 浏览器引擎中发现了三个零日漏洞，分别被跟踪为 CVE-2023-32409、CVE-2023-28204 和 CVE-2023-3 2373，网络攻击者可以利用这些漏洞，针对 iPhone、Mac 和 iPad 展开网络攻击活动。

法规政策

1、信安标委征求《信息安全技术 网络和终端隔离产品技术规范（征求意见稿）》等2项国家标准意见

2、市自动驾驶办公室正式发布《北京市智能网联汽车政策先行区数据安全管理办法（试行）》

本次发布办法填补了国内自动驾驶示范区级数据安全管理的空白，明确了在市自动驾驶办公室统筹指导下，企业负数据安全主体责任，构建了示范区企业数据能力提升及共享机制。

3、《北京市促进通用人工智能创新发展的若干措施》征求意见

措施为抢抓大模型发展机遇，重视通用人工智能发展，充分发挥政府引导作用和创新平台催化作用，整合创新资源，加强要素配置。

创投融资

1、永信至诚与翼盾智能达成投资合作

日前，永信至诚正式入股智能安全领域代表企业翼盾（上海）智能科技有限公司，成为翼盾智能第一大外部股东，同时翼盾智能也成为永信至诚重要参股公司，并于近日完成工商变更。

业界活动

1、阿里云免费试用产品增加至80多款

阿里云开发者业务负责人孟晋宇透露，目前免费试用新增了云原生、AI、安全、开发工具、迁移和运维管理等多个品类。

2、白山云「安全服务」产品重磅升级

3、美创科技敏感数据动态脱敏系统全新而来

产品基于原有多因子身份准入控制等完整能力，敏感数据动态脱敏系统对底层、前端框架以及存储等进行全面优化重构，完成产品性能、稳定性翻倍式提升，有效保护个人隐私及敏感信息。

4、深信服首秀自研安全大模型——安全GPT的技术应用。

深信服安全GPT是完全自主可控的，不依赖开源模型服务，且由深信服自主训练，训练数据部署在深信服托管云上，实现数据不出境。

调查报告

1、《数据安全治理白皮书5.0》正式发布

《数据安全治理白皮书5.0》在4.0版本的基础上，分析我国数字经济战略发展与数据安全新形势新动态，厘清数据安全治理概念并诠释数据安全治理内涵。

安在有声

2022（第二届）超级CSO年度评选颁奖盛典在上海成功举办

在Z｜雾帜智能（北上广深杭苏等地）高薪诚招销售顾问、交付工程师

社群话题

话题一：数据分类分级没有强烈的外部刺激基本推不动

话题二：上海靠谱的硬盘数据恢复公司有壕的、华客、中磁

话题三：看雪官网全是骚扰广告

话题四：跨境电商胆子大，竟已在某些场景中使用了ChatGPT

话题五：如何从制度和协议角度更好的约束第三方外包开发公司

社群话题

资料详细名称列表

1、2022-2023信创实践报告

2、2022API经济-数字化转型的驱动力（英文版）

3、2022科技向善数实共创-监管科技白皮书

4、2022勒索软件系列报告之1：LockBit勒索软件进阶之路

5、2022勒索软件系列报告之2：新兴的勒索软件BianLia

6、2022勒索软件系列报告之3：疯狂收割的勒索软件Cuba

7、2022勒索软件系列报告之4：三重勒索软件BlackCat

本期“在看”全文所述报告、话题、活动议题PPT等各类资料，都已在诸子云知识星球分类归档，即入可取。

RECOMMEND

推荐阅读 

■ 在看 | TikTok美国数据安全主管将于5月离职

■ 在看 | 谷歌首次推出以网络安全为重点的人工智能系统

■ 在看 | iPhone曝“末日漏洞”，沦为间谍软件的监视工具

戳“原文阅读”查看往期网安精彩内容

点【在看】的人最好看

原文始发于微信公众号（安在）：在看 | 丰田泄露超200万辆汽车敏感数据