The Good 美國政治一向是分歧嚴重的,但至少這次兩端都達成共識:網路犯罪需要以緊急和協調的方式來加以解決。因此,好消息是,國會在 1 月 17 日提出了兩黨合作的《 Cybersecurity State Coordinator Act of 2020 》。如果獲得通過,它將任命 50 名員工(每個州一名)加入Department of Homeland Security’s Cybersecurity and Infrastructure Security Agency , CISA。每位員工都將成為網路安全狀態協調員,他們能夠以各種身份在聯邦機構和非聯邦機構之間提供便利的協調,例如提供聯邦網路安全風險建議,在事件期間作為主要聯繫點以及充當策略推動者。關鍵職責將包括幫助組織規劃和管理網路安全基礎設施的發展,促進與非聯邦單位共享威脅情報和聯邦網路資源,以及支援與網絡安全風險和事件相關的培訓,演習和補救措施。 該法案是邁向正確方向的一步。 與其以缺乏更多數據保護和服務及更多法規和懲罰的形式來打擊各企業/單位,還不如說是“蘿蔔加大棒的概念” –為各州和地方政府,學校,醫院與其他努力跟上網路衝擊的組織,提供當前急需的實際幫助。 The Bad 所有數據洩露都是不好的,但引用 Tolstoy 的話來說,“每次的數據洩露都有自己痛苦的方式”。 但是,有些數據洩露使我們知道的其他東西都黯然失色。 微軟,在本周公開了這樣的數據洩露事件。 這家 OS 系統製造商在一博客文章中表示,在 12 月 5 日至 31 日之間,在沒有適當保護的情況下,存儲在內部用於匿名分析的客服數據庫意外地在線上暴露了出來。 這暴露了14年的客戶支援的日誌,其中包含 2.5 億個記錄,其中包含如電子郵件地址,IP 和支援案件詳細信息之類的信息。微軟表示,大多數記錄不包含任何個人用戶信息。 錯誤配置的伺服器在被發現並關閉之前已暴露於 Internet 25天。 找到伺服器的研究人員說,這些數據對於技術支援詐騙可能是有價值的,尤其是那些假裝是Microsoft 支援客服代表的詐騙者。 Microsoft 及時採取了行動,並在通知的兩天內修復了問題。 但是,這次的事件表明了即使是非常熟練的企業組織也仍在雲端配置和安全性方面掙扎與搏鬥。 The Ugly 本週最醜陋的故事涉及了 Amazon,但再說明白點,網路零售巨頭,或更確切地說是其創始人兼首席執行官 Jeff Bezos,是受害者而不是肇事者。 據英國《衛報》,Bezos 的 iPhone 顯然是在 2018 年 5月 被一個隱藏在 mp4 檔中的惡意軟體入侵,該mp4是由 WhatsApp 發送給 Bezos。 而真正引起這個醜陋的網路風暴的原因是,該檔案據說是由沙烏地阿拉伯王儲Mohammed bin Salman 發送給 Bezos 的。 儘管沙烏地阿拉伯大使館很自然否認了這些傳聞,並稱指控為“荒謬”,在 Bezos iPhone上進行分析的研究人員表示,該惡意程式 “極有可能” 來自受感染用戶的視頻文件 。。在惡意程式感染的幾小時內,從 Bezos 手機中竊取了大量個人數據,大概是將其上傳到了由惡意程式作者控制的伺服器上。至於這種高階人身攻擊的動機,猜測圍繞著因為 Bezos 還擁有《華盛頓郵報》。長期以來,沙烏地阿拉伯一直對批評該國人權記錄的報導感到不滿,並且有人猜測沙烏地阿拉伯可能希望利用竊取的數據來獲得槓桿作用,以獲得更有利的新聞報導。當然,華盛頓郵報也是被謀殺的沙烏地阿拉伯記者 Jamal Khashoggi 的雇主。我們相信,這個故事還有很多有趣之處,我們當然都想更了解這次攻擊中使用的惡意程式。同時,請注意你是在與誰聊天,並提防未經請求的 mp4 檔案!
0 Comments
Your comment will be posted after it is approved.
Leave a Reply. |
Categories
All
Archives
January 2021
|