哥伦比亚能源供应商EPM遭BlackCat勒索攻击

 

1. 哥伦比亚能源供应商EPM遭BlackCat勒索攻击

日前，哥伦比亚能源公司Empresas Públicas de Medellín (EPM) 遭受了 BlackCat/ALPHV 勒索软件攻击，导致公司运营网络中断，在线服务被迫暂停。

EPM 是哥伦比亚最大的公共能源、水和天然气供应商之一，为 123 个城市提供服务。该公司在 2022 年创造了超过 250 亿美元的收入，归哥伦比亚麦德林市政府所有。上周，该公司要求约4000 名员工在家工作，IT 基础设施出现故障，公司网站也不再可用。

EPM 曾向当地媒体透露 ，他们正在应对一起网络安全事件，并为客户提供替代服务支付方式。检察官办公室后来向 EL COLOMBIANO 证实勒索软件是对 EPM 的攻击的幕后黑手，导致设备被加密和数据被盗。[阅读原文]

 

2. 部分用户安装Windows 10更新后会出现蓝屏死机

日前，微软针对Windows 10设备的更新可能会导致蓝屏死机错误，该公司称已经在进行修复。

微软表示，安装KB5021233后，部分Windows设备启动时可能出现错误（0xc000021a）以及蓝屏，这是因为在安装更新后，c: windows system32和c: windows system32 drivers中的hidparse.sys文件版本不匹配，导致清理时签名验证失败。目前，微软正着手解决这个问题。

 

3. GitHub宣布对所有公共仓库进行免费秘密扫描

日前，GitHub表示将向代码托管平台上的所有公共存储库免费提供其秘密扫描服务。秘密扫描警报会直接通知您代码中泄露的机密，预计将在2023 年1月底完成部署。

秘密扫描旨在检查存储库中的访问令牌、私钥、凭据、API 密钥和其他可能被意外提交的200多种格式的秘密，并生成警报以防止它们被滥用。安全选项之前仅限于使用GitHub Enterprise Cloud并拥有GitHub Advanced Security许可证的组织所拥有的存储库。对于GitHub Advanced Security的客户，通过在代码推送期间对暴露的秘密（包括自定义模式）执行扫描，保护更进一步。[阅读原文]

 

4. Google苹果Mozilla合作构建新浏览器基准测试

三大存在竞争关系的浏览器开发商Google、苹果和Mozilla合作构建新浏览器基准测试Speedometer 3。

为了防止新工具偏向任意一家，Speedometer的治理政策要求任何重大变更都需要另外两家公司的批准，非重大变更需要另外两家公司之一的批准，三家公司的任意一位评审者可以同意对一个“微小变更”开绿灯。Speedometer 3将是主要由苹果WebKit团队开发的Speedometer 2的后续，目前处于早期开发阶段。开发者建议在项目进一步开发之前继续使用Speedometer 2.1。[阅读原文]

 

5. LEGO Marketplace曝API漏洞，利用可进行账号接管攻击

在 LEGO® Group 旗下的乐高转售平台中发现了应用程序编程接口 (API) 安全漏洞，这可能会使敏感的客户信息面临风险。

日前，Salt Security 研究团队 Salt Labs 进行的一项调查，发现BrickLink中存在两个API安全漏洞，BrickLink 是一个买卖乐高零件、人仔和套装的在线市场，拥有超过一百万的会员。

研究人员表示，这些漏洞可能使威胁行为者能够对客户账户进行大规模账户接管 (ATO) 攻击，访问平台存储的个人身份信息 (PII) 用户数据，并获得对内部生产数据的访问权限，从而可能导致完全妥协 BrickLink 的内部服务器。

Salt Security 研究副总裁 Yaniv Balmas 在 Black Hat Europe 2022 期间对Infosecurity Magazine 发表讲话时解释说：“我们在那里发现的东西使该系统的每个用户都处于危险之中——我们可能会访问用户存储的所有信息，包括个人信息数据和信用卡详细信息。”[阅读原文]

 

6. 多个团伙利用社保、公积金系统漏洞，非法获取公民个人信息2300万条

2022年12月7日，从四川南充市公安局顺庆区分局获悉，当地警方侦破一起公安部挂牌督办案件，打掉多个利用社保、公积金等系统漏洞非法获取公民个人信息的犯罪团伙，涉及四川、河南、广东多个省市，抓获犯罪嫌疑人121人，查获公民个人信息2300余万条，发现国内多地各类信息系统平台漏洞300余个，收缴黑客工具12套。

2022年4月，南充市公安局顺庆区分局网安大队民警在工作中发现，男子杨某利用境外聊天软件(Telegram)贩卖某市社保查询信息系统漏洞及侵入教程。通过这些漏洞和教程，犯罪分子能轻松绕过系统安全保护，通过链路授权访问省级社保系统，进而非法获取省级社保系统用户的全量数据。

发现该线索后，顺庆公安分局网安大队立即向南充市公安局网安支队报告，由南充市公安局抽调全市网安部门精干警力成立专案组，开展网安行政执法和案件侦查工作。由于该案件侵犯对象广，社会危害严重，被公安部挂牌督办。

民警调查发现，犯罪嫌疑杨某先后通过“Telegram”聊天软件建立“普通查询”和“高级查询”两个聊天群，吸纳群成员2200余人，并将其从四川、广东、广西等地信息系统非法获取的100余万条公民个人信息和300余个系统漏洞发布至群内，用于交易牟利。其中，杨某非法获取的公民个人信息、数据种类繁多，涉及姓名、性别、社会保障号、联系方式、联系地址、发卡地行政区划代码、社保卡号、卡状态、发卡银行、银行卡号等众多信息。

2022年6月，犯罪嫌疑人杨某被公安机关抓获归案。在四川省公安厅网安总队的指导下，南充警方组织全市网安部门发起集群作战，着手对该案实施全链条打击，成功锁定四川、河南等地涉嫌非法侵入计算机信息系统获取公民个人信息的9家“网络催收”公司。[阅读原文]