国内知名财务软件漏洞被勒索软件利用、Twitter证实零日漏洞致540万账户数据泄露｜网络安全月报

这里是全球安全月报，本期视频为你呈现8月的网络安全新闻。

01《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》发布

近日，银保监会办公厅向各银保监局，各大型银行、股份制银行、外资银行、直销银行、理财公司，各保险集团（控股）公司、保险公司下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》。

《通知》指出，各机构要对照“银行保险机构侵害个人信息权益乱象主要表现形式”，全面摸排本机构2021年以来与消费者个人信息处理活动相关的经营行为和管理情况，深入查找本机构个人信息保护方面存在的问题，列出问题清单。

02 国内知名财务软件漏洞被勒索软件利用

8月29日，腾讯安全威胁情报中心陆续收到客户反馈，称服务器数据文件被加密，并收到勒索信被要求支付0.2个比特币。据分析，受害企业均使用了某第三方财务SaaS软件系统，初步怀疑是系统存在安全漏洞导致。经过对该事件攻击路径的还原，已确认这起勒索攻击涉及某第三方财务SaaS软件存在的远程代码执行漏洞，攻击者利用漏洞可以上传任意文件到任意路径，从而执行恶意代码，或者接管服务器。腾讯安全系列产品已全面支持本次事件中涉及的风险查杀和处置。

03 苹果前员工承认跳槽小鹏前窃取机密

8月22日，前苹果公司自动驾驶工程师张晓浪在美国加州圣何塞联邦法院的听证会上就2018年“跳槽小鹏汽车前窃取苹果自动驾驶商业机密”的指控认罪。此项指控将于今年11月14日做出判决，张晓浪或面临最高10年监禁与25万美元罚款。

对此，小鹏汽车回应称：“案件至今已经四年多，小鹏汽车并不了解案件的具体情况，也未介入美国司法机关对案件的后续调查，我们与苹果公司之间也没有相关的争议，与该案件也无任何关联。”

04 Twitter证实零日漏洞致540万账户数据泄露

8月5日，据Bleeping Computer网站消息，推特证实了近期发生的540万账户数据泄露是由零日漏洞导致，并且该零日漏洞已被修补。推特表示正在通知每个受影响的用户，但由于安全漏洞影响，官方无法完全确认暴露的账户有哪些。此外，虽然密码不是数据泄露的一部分，但推特建议用户为他们的账户打开双重身份验证。

当月拦截恶意软件动态

8月新增恶意样本数量相对缓和，日新增恶意样本在10-20万左右波动，8月下旬有减少趋势。较7月数据有明显降低。

（以上数据由腾讯安全威胁情报中心提供）

当月威胁事件分类

感染型病毒、挖矿木马、僵尸网络木马占本月威胁事件分类前三。

（以上数据由腾讯安全威胁情报中心提供）

综合来看，全球勒索软件等黑灰产攻击依旧肆虐，各国政务、金融等关系国计民生的行业在数字化转型浪潮中也面临严峻挑战。越来越多的企业通过网页、APP、小程序等应用来开展核心业务，针对业务层的勒索软件攻击日益频发，攻击途径、手段也不断升级。

对此，专家建议，企业需尽快构建一套能够全方位、立体化应对安全威胁的安全产品和服务体系。腾讯安全威胁情报系统和腾讯安全云原生安全产品，可以有效防御漏洞攻击，通过部署云防火墙、Web应用防火墙、主机安全，开启“三道防线防护”，可以完成对漏洞的检测、防护、修复。