安全威胁情报周报（2025/01/11-2025/01/17）

    1月11日消息，微软宣布，正在对一个“外国黑客组织”提起诉讼。该组织运营“黑客即服务“的基础设施，故意绕过微软生成式人工智能（AI）服务的安全控制来制作冒犯性和有害内容。

    微软的数字犯罪部门（DCU）称，他们发现威胁行为者“开发了复杂软件，利用从公共网站抓取暴露的客户凭据”，并且“试图识别并违法访问拥有某些生成式AI服务的账户，还故意改变这些服务的能力”。

    之后，这些对手利用如Azure OpenAI Service等服务，通过将这些访问权限出售给其他恶意行为者来变现，同时为他们提供详细说明如何运用这些定制工具生成有害内容。

    微软还表示，在此之后已经撤销了攻击者的访问权限，实施了新的应对措施，并且强化了安全措施以防止类似活动再次发生。此外，微软还获得了一项法院命令，查封了对该集团犯罪活动至关重要的网站（“aitism[.]net”）。

    法庭文件显示，至少有三名未知个人参与了此次行动，他们利用被盗的Azure API密钥和客户Entra ID身份验证信息侵入微软系统，并且使用DALL - E违反可接受使用政策创建有害图像。

    目前尚不清楚API密钥是如何被收集的，不过微软表示，被告从多个客户（其中包括几家位于宾夕法尼亚州和新泽西州的美国公司）进行了“系统性API密钥盗窃”。

    微软公司在一份文件中指出：“使用被盗的属于美国微软客户的Microsoft API密钥，被告创建了一种黑客即服务方案——可通过‘rentry.org/de3u’和‘aitism.net’这样的基础设施访问——专门用于滥用微软的Azure基础设施和软件。”

    据一个现已被删除的GitHub存储库描述，de3u被称作“具有反向代理支持的DALL - E 3前端”，该GitHub账户于2023年11月8日创建。

图：微软

    据说，威胁行为者采取措施“掩盖他们的踪迹，包括试图删除某些Rentry.org页面、de3u工具的GitHub存储库以及部分反向代理基础设施”，随后“aitism[.]net”被查封。

    微软指出，威胁行为者使用de3u和一个名为oai反向代理的定制反向代理服务，借助被盗的API密钥通过Azure OpenAl Service API调用来非法生成数千张使用文本提示的有害图像，但不清楚创建的是何种冒犯性图像。

    运行在服务器上的oai反向代理服务旨在将通过Cloudflare隧道的de3u用户计算机通信引入Azure OpenAI Service，并把响应传回用户设备。

    雷德蒙解释说：“de3u软件允许用户通过利用Azure API访问Azure OpenAI Service的简单用户界面发出使用DALL - E模型生成图像的Microsoft API调用。”

“被告的de3u应用程序使用未经记录的Microsoft网络API与Azure计算机通信，发送旨在模仿合法Azure OpenAPI Service API请求的请求，并且使用被盗的API密钥和其他身份验证信息进行身份验证。”

    值得注意的是，Sysdig在2024年5月与针对AI产品（包括Anthropic、AWS Bedrock、Google Cloud Vertex AI、Microsoft Azure、Mistral和OpenAI）的LLMjacking攻击活动相关联时，强调了使用代理服务非法访问LLM服务。

    微软表示：“被告通过协调一致的持续非法活动模式实施针对Azure企业的滥用行为，以实现他们共同的非法目的。被告的非法活动模式不限于对微软的攻击。到目前为止，微软所揭示的证据表明，Azure滥用企业一直在针对其他AI服务提供商并且遭受其害。”

    1月12日消息，网络犯罪分子利用一种技巧关闭 Apple iMessage 内置的短信网络钓鱼保护功能，并诱骗用户重新启用已禁用的网络钓鱼链接。

    由于我们的许多日常活动都是通过移动设备完成的，无论是支付账单、购物还是与朋友和同事交流，威胁行为者越来越多地对手机号码进行短信网络钓鱼攻击。

    为了保护用户免受此类攻击，Apple iMessage 会自动禁用来自未知发件人的消息中的链接，无论是电子邮件地址还是电话号码。

    然而，苹果告诉 BleepingComputer，如果用户回复该消息或将发件人添加到他们的联系人列表，则这些链接将被启用。

    诱骗用户回复

    在过去的几个月中，BleepingComputer 发现短信网络钓鱼攻击数量激增，这种攻击试图诱骗用户回复短信，以便再次启用链接。

    正如您在下面看到的，一条虚假的 USPS 运输问题和一条虚假的未付道路通行费短信由未知发件人发送，iMessage 自动禁用了这些链接。

    虽然这两种网络钓鱼诱饵都不是新的，但我们注意到，这些短信钓鱼短信以及最近看到的其他短信都要求用户回复“Y”以启用链接。

    “请回复 Y，然后退出短信，重新打开短信激活链接，或将链接复制到 Safari 浏览器打开”，短信钓鱼邮件中写道。

    进一步的研究表明，这种策略在过去一年中一直被使用，并且自夏季以来激增。

由于用户已经习惯输入“STOP”、“是”或“否”来确认约会或选择不接收短信，威胁行为者希望这种熟悉的操作能够让文本接收者回复文本并启用链接。

    这样做将再次启用链接并关闭 iMessage 针对该文本的内置网络钓鱼保护。

    即使用户没有点击现在启用的链接，回复行为也会告诉威胁行为者，他们现在有一个响应网络钓鱼文本的目标，这使他们成为更大的目标。

    虽然我们的大多数读者都能发现这些都是网络钓鱼攻击，但一位年长的家庭朋友向 BleepingComputer 展示了上述短信之一，他不确定这是否合法。

图：利用禁用链接进行短信钓鱼攻击

    不幸的是，这些人通常是此类网络钓鱼信息的目标，导致他们输入个人信息、信用卡信息或其他详细信息，然后攻击者会窃取这些信息。

    如果您收到一条链接被禁用的消息或来自未知发件人的消息要求您回复文本，强烈建议您不要这样做。

    相反，请直接联系公司或组织来验证文本并询问是否还有其他需要做的事情。

    1月13日消息，Nominet 是 .UK 官方域名注册机构，也是最大的国家代码注册机构之一，该公司已确认其网络两周前遭 Ivanti VPN 零日漏洞攻击。

    该公司管理和运营超过 1100 万个 .uk、.co.uk 和 .gov .uk 域名以及其他顶级域名，包括 .cymru 和 .wales。

    它还代表英国国家网络安全中心 (NCSC) 运营英国的保护域名服务 (PDNS)，直至 2024 年 9 月，保护超过 1,200 个组织和超过 700 万最终用户。

Nominet 仍在调查该事件，但尚未发现其系统上部署任何后门的证据，正如ISPreview首次报道的那样。

    自从检测到其网络上的可疑活动以来，该公司已向包括 NCSC 在内的相关部门报告了此次攻击，并限制通过 VPN 连接对其系统的访问。

    Nominet 在与 BleepingComputer 分享的客户通知中表示：“入口点是通过 Ivanti 提供的第三方 VPN 软件，使我们的员工能够远程访问系统。”

    “不过，目前我们没有数据泄露或泄漏的证据。我们已经运行了限制访问协议和防火墙来保护我们的注册系统。域名注册和管理系统继续正常运行。”

    虽然该公司没有分享有关攻击中使用的 VPN 零日漏洞的更多信息，但 Ivanti 上周表示，黑客一直在利用关键的 Ivanti Connect Secure 零日漏洞（追踪为 CVE-2025-0282）来入侵有限数量客户的设备。

    据网络安全公司 Mandiant（Google Cloud 的一部分）称，攻击者从 12 月中旬开始利用此漏洞，使用自定义 Spawn 恶意软件工具包。

    他们还在受感染的 VPN 设备上部署了新的 Dryhook 和 Phasejam 恶意软件（目前与威胁组织无关）。

    Macnica 研究员 Yutaka Sejiyama 告诉 BleepingComputer，当 Ivanti 于周三发布针对零日漏洞的补丁时，超过 3,600 台 ICS 设备被暴露在网上。

    10 月份，Ivanti 发布了更多安全更新，以修复其他三个同样在攻击中被积极利用的云服务设备 (CSA) 零日漏洞。

    更新于 1 月 13 日，美国东部时间 12:17：修改为 Nominet 不再运行英国的 PDNS。

图：Nominet 客户通知

    更新时间：1 月 13 日，美国东部时间 13:50：发布文章后，Ivanti 发送了以下声明：

    通过我们的完整性检查工具 (ICT) 识别漏洞后，Ivanti 迅速开发并在数周内发布了针对 Ivanti Connect Secure 的补丁，这是唯一一款被观察到有限利用的产品。为了履行我们对支持客户的承诺，我们正与 Nominet 和相关部门密切合作，提供一切必要的支持。我们强烈敦促所有客户遵循我们的安全公告中概述的指导，以确保他们的系统受到保护。

    我们感谢客户对我们的信任。我们致力于保障客户安全，并与更广泛的安全生态系统合作，不断改进我们的产品和流程。

    1月13日消息，新的勒索软件活动使用只有威胁行为者知道的 AWS 服务器端加密和客户提供的密钥 (SSE-C) 来加密 Amazon S3 存储桶，并要求支付赎金才能获得解密密钥。

    Halcyon 发现了这一活动，并报告称名为“Codefinger”的威胁行为者已加密至少两名受害者。然而，这一行动可能会升级，或者很快会有更多威胁行为者采用这一策略。

    加密云存储

    Amazon Simple Storage Service (S3) 是由 Amazon Web Services (AWS) 提供的可扩展、安全且高速的对象存储服务，S3 存储桶是用于存储文件、数据备份、媒体、日志等的云存储容器。

    SSE-C 是一种加密选项，用于保护静态 S3 数据，允许客户使用自己的加密密钥通过 AES-256 算法加密和解密数据。AWS 不存储密钥，客户负责生成密钥、管理和保护密钥。

图：亚马逊

    在 Codefinger 的攻击中，威胁行为者使用受损的 AWS 凭证来定位具有“s3：GetObject”和“s3：PutObject”权限的受害者密钥，这允许这些账户通过 SSE-C 加密 S3 存储桶中的对象。

    然后，攻击者在本地生成加密密钥来加密目标的数据。

由于 AWS 不存储这些加密密钥，因此即使受害者向亚马逊报告未经授权的活动，如果没有攻击者的密钥，也不可能恢复数据。

    Halcyon 解释道：“通过利用 AWS 原生服务，他们可以实现一种既安全又不可恢复的加密，除非得到他们的合作。”

    接下来，攻击者使用 S3 对象生命周期管理 API 设置为期七天的文件删除策略，并在所有受影响的目录中放置赎金通知，指示受害者在给定的比特币地址上支付赎金以换取自定义的 AES-256 密钥。

    赎金还警告受害者，如果他们试图更改帐户权限或修改存储桶上的文件，攻击者将单方面终止谈判，受害者无法恢复他们的数据。

    防御 Codefinger

    Halcyon 向亚马逊报告了其发现结果，亚马逊表示，他们会尽最大努力及时通知密钥被泄露的客户，以便他们立即采取行动。

    亚马逊还鼓励人们实施严格的安全协议并按照以下步骤快速解决未经授权的 AWS 账户活动问题。

    Halcyon 还建议 AWS 客户设置限制性策略，防止在其 S3 存储桶上使用 SSE-C。

    关于 AWS 密钥，应禁用未使用的密钥，应经常轮换活动密钥，并且应将帐户权限保持在所需的最低级别。

    亚马逊针对 Codefinger 活动的完整声明如下：

    “AWS 通过共享责任模式帮助客户保护其云资源。只要 AWS 发现密钥泄露，我们就会通知受影响的客户。我们还会彻底调查所有密钥泄露报告，并迅速采取任何必要措施，例如应用隔离策略，以在不破坏客户 IT 环境的情况下最大限度地降低客户风险。 

    我们鼓励所有客户遵循安全、身份和合规性最佳实践。如果客户怀疑他们可能已经暴露了他们的凭证，他们可以按照本文列出的步骤开始。与往常一样，客户可以联系 AWS Support 询问有关其账户安全性的任何问题或疑虑。

    AWS 提供了丰富的功能，无需将凭证存储在源代码或配置文件中。IAM 角色使应用程序能够使用自动部署、频繁轮换且无需客户管理的短期凭证安全地从 EC2 实例、ECS 或 EKS 容器或 Lambda 函数发出签名的 API 请求。即使是 AWS 云之外的计算节点也可以使用 Roles Anywhere 功能进行经过身份验证的调用，而无需长期 AWS 凭证。开发人员工作站使用身份中心获取由受 MFA 令牌保护的长期用户身份支持的短期凭证。

    所有这些技术都依赖 AWS 安全令牌服务 (AWS STS) 来颁发临时安全凭证，这些凭证可以控制对其 AWS 资源的访问，而无需在应用程序中分发或嵌入长期 AWS 安全凭证（无论是在代码中还是配置文件中）。即使是对非 AWS 技术的安全访问也可以使用 AWS Secrets Manager 服务进行保护。该服务的目的是创建、管理、检索和自动轮换非 AWS 凭证（如数据库用户名和密码、非 AWS API 密钥和其他此类机密），并在整个生命周期内进行轮换。”——亚马逊发言人

    1月14日消息，新的恶意软件活动已经入侵了超过 5,000 个 WordPress 网站，以创建管理员帐户、安装恶意插件并窃取数据。

    Webscript 安全公司 c/side 的研究人员在为其一位客户进行的事件响应中发现，恶意活动使用 wp3[.]xyz 域窃取数据，但尚未确定初始感染媒介。

    在攻击目标之后，从 wp3[.]xyz 域加载的恶意脚本会使用代码中提供的凭据创建恶意管理员帐户wpx_admin 。

    然后，脚本继续安装从同一域下载的恶意插件（plugin.php），并在受感染的网站上激活它。

图：创建恶意管理员账户

    据c/cide称，该插件的目的是收集敏感数据，例如管理员凭据和日志，并以混淆的方式将其发送到攻击者的服务器，使其看起来像图像请求。

    攻击还涉及几个验证步骤，例如在创建恶意管理员帐户后记录操作的状态以及验证恶意插件的安装。

阻止攻击

    c/side 建议网站所有者使用防火墙和安全工具阻止“wp3[.]xyz”域。

    此外，管理员应检查其他特权帐户和已安装插件的列表，以识别未经授权的活动，并尽快将其删除。

    最后，建议通过唯一令牌生成、服务器端验证和定期重新生成来加强 WordPress 网站上的 CSRF 保护。令牌应具有较短的有效期以限制其有效期。

    实施多因素身份验证还可以为凭证已被泄露的帐户增加保护。

    1月14日消息，Google 的 OAuth“使用 Google 登录”功能存在一个弱点，可能使注册已倒闭初创公司域名的攻击者能够访问链接到各种软件即服务 (SaaS) 平台的前员工账户的敏感数据。

   该安全漏洞由 Trufflesecurity 研究人员发现，并于去年 9 月 30 日向谷歌报告。

    谷歌最初将该发现视为“欺诈和滥用”问题，而不是 Oauth 或登录问题。然而，在 Trufflesecurity 首席执行官兼联合创始人 Dylan Ayrey去年 12 月在Shmoocon上提出该问题后，这家科技巨头向研究人员颁发了 1337 美元的赏金，并重新开启了该问题。

    不过，截至本文发布时，该问题仍未得到解决，且可被利用。谷歌发言人在 BleepingComputer 发表的声明中表示，该公司建议客户遵循最佳做法并“适当关闭域名”。

    谷歌代表告诉 BleepingComputer：“我们感谢 Dylan Ayrey 帮助我们识别因客户忘记删除第三方 SaaS 服务而导致的运营风险。”

    作为最佳实践，我们建议客户按照这些说明正确关闭域名，以避免此类问题。此外，我们鼓励第三方应用遵循最佳实践，使用唯一帐户标识符 (sub) 来降低这种风险” - Google 发言人

    根本问题

    在今天的一份报告中，Ayrey 将这个问题描述为“谷歌的 OAuth 登录无法防止有人购买失败的初创公司的域名，并用它为前雇员重新创建电子邮件帐户。”

    创建克隆电子邮件并不会授予新所有者访问通信平台上先前通信的权限，但这些帐户可用于重新登录 Slack、Notion、Zoom、ChatGPT 和各种人力资源 (HR) 平台等服务。

    研究人员证明，通过购买已停用的域名并访问 SaaS 平台，可以从人力资源系统中提取敏感数据（税务文件、保险信息和社会安全号码），并登录各种服务（例如 ChatGPT、Slack、Notion、Zoom）。

    通过查看 Crunchbase 数据库中已解散且拥有废弃域名的初创公司，Ayrey 发现有 116,481 个域名可用。  

    在 Google 的 OAuth 系统中，子声明旨在为每个用户在登录时提供唯一且不可变的标识符，旨在作为识别用户的明确参考，尽管域名或电子邮件所有权可能会发生变化。

    然而，正如研究人员所解释的那样，子声明中的不一致率约为 0.04%，迫使 Slack 和 Notion 等下游服务完全忽略它，而仅仅依赖电子邮件和托管域声明。

电子邮件声明与用户的电子邮件地址绑定，托管域名声明与域名所有权绑定，因此两者都可以由新所有者继承，然后新所有者可以在 SaaS 平台上冒充前雇员。

研究人员提出的一个解决方案是，谷歌引入不可变的标识符，即唯一的永久用户ID和与原始组织绑定的唯一工作区ID。

图：sub、hd 和电子邮件声明

    SaaS 提供商还可以实施其他措施，例如交叉引用域名注册日期、强制管理员级别的账户访问批准或使用辅助因素进行身份验证。

    但这些措施会带来成本、技术复杂性和登录障碍。此外，这些措施会保护以前不付费的客户，因此实施这些措施的动力很低。

风险不断增加

    这个问题影响了数百万人和数千家公司，而且随着时间的推移，问题只会变得越来越严重。

    Trufflesecurity 的报告指出，失败的初创企业可能有数百万个员工账户，其中的域名可供购买。

    目前，有 600 万美国人在科技初创公司工作，从统计数据来看，其中 90％ 注定会在未来几年内倒闭。

    其中大约 50% 的公司使用 Google Workspaces 来收发电子邮件，因此他们的员工使用 Gmail 帐户登录生产力工具。

    如果您是其中之一，请确保在离开初创公司时从帐户中删除敏感数据，并避免使用工作帐户进行个人帐户注册，以防止将来的暴露。

    1月15日消息，威胁行为者正在利用 FastHTTP Go 库发起针对全球 Microsoft 365 帐户的高速暴力密码攻击。

     此次攻击活动最近被事件响应公司SpearTip发现 ，该公司表示，攻击始于 2025 年 1 月 6 日，目标是 Azure Active Directory Graph API。

    研究人员警告称，暴力攻击成功接管账户的概率为 10%。

    滥用 FastHTTP 进行接管

    FastHTTP 是用于 Go 编程语言的高性能 HTTP 服务器和客户端库，针对处理 HTTP 请求进行了优化，即使在使用大量并发连接时也能提高吞吐量、降低延迟、提高效率。

    在这次活动中，它被用来创建 HTTP 请求，以自动尝试未经授权的登录。

    SpearTip 表示，所有请求都以 Azure Active Directory 端点为目标，要么暴力破解密码，要么反复发送多重身份验证 (MFA) 挑战，以压倒MFA 疲劳攻击中的目标。

    SpearTip 报告称，65% 的恶意流量来自巴西，利用了广泛的 ASN 提供商和 IP 地址，其次是土耳其、阿根廷、乌兹别克斯坦、巴基斯坦和伊拉克。

    研究人员表示，41.5% 的攻击会失败，21% 的攻击导致保护机制强制锁定账户，17.7% 的攻击因访问策略违规（地理或设备合规性）而被拒绝，10% 的攻击受到 MFA 的保护。

    这意味着威胁行为者成功验证目标账户的概率为 9.7%，这是一个相当高的成功率。

检测和防御

    Microsoft 365 帐户接管可能导致机密数据泄露、知识产权盗窃、服务停机和其他负面后果。

    SpearTip 分享了一个 PowerShell 脚本，管理员可以使用它来检查审计日志中是否存在 FastHTTP 用户代理，表明他们是此操作的目标。

    管理员还可以通过登录 Azure 门户、导航到 Microsoft Entra ID → 用户 → 登录日志并应用过滤器客户端应用程序：“其他客户端”来手动检查用户代理。

图：微软365

    如果发现任何恶意活动的迹象，建议管理员立即让用户会话过期并重置所有帐户凭据，检查登记的 MFA 设备，并删除未经授权的添加。

    与此次活动相关的完整危害指标列表可在 SpearTip 报告的底部找到。

    1月13日消息，德克萨斯州总检察长肯·帕克斯顿 (Ken Paxton) 已对 Allstate 及其数据子公司 Arity 提起诉讼，指控其非法收集、使用和出售超过 4500 万美国人的驾驶数据。

   这些数据用于分析人们的驾驶习惯并调整保险报价或续保成本，从而使公司能够识别风险并相应地设定价格。

    此外，据称 Allstate 和 Arity 将这些数据出售给其他保险公司，以便他们也能做同样的事情。

    德克萨斯州总检察长办公室在公告中指出：“Allstate 收集了全国 4500 多万消费者数万亿英里的位置数据，并利用这些数据创建了世界上最大的驾驶行为数据库。”

图：汽车

    “当消费者要求报价或续保时，Allstate 和其他保险公司会使用该消费者的数据来证明提高其汽车保险费是合理的。”

    这违反了德克萨斯州数据隐私和安全法案 (TDPSA)，因为应用程序用户并未被告知此有针对性的数据收集，而且他们也没有同意。

    针对 Allstate 的诉讼

    提交给蒙哥马利县地方法院的诉讼提到将跟踪软件（Arity SDK）集成到 Life360、GasBuddy、Fuel Rewards 和 Routely 等应用程序中。

仅在 Google Play 上，这四款应用程序的下载量就已超过 1.15 亿次。

    据称，如果用户在安装/启动时授予这些应用程序定位权限，它们就会每 15 秒秘密收集一次敏感位置数据。

    此外，诉讼称 Allstate 还直接从丰田、雷克萨斯、马自达、克莱斯勒、道奇、菲亚特、吉普、玛莎拉蒂和 Ram 购买位置数据，用于相同目的。

    该法律诉讼声称违反了《TDPSA》、《数据经纪人法》和《德克萨斯州保险法》，涉及不公平和欺骗性的行为和做法。

    该诉讼请求采取多项补救措施，包括：

    根据上述德克萨斯州法律规定的民事处罚，包括根据《TDPSA》每次违法行为最高罚款 7,500 美元以及根据德克萨斯州保险法规每次违法行为最高罚款 10,000 美元。

    对因涉嫌行为而遭受损失的消费者进行赔偿。

    销毁所有非法获取的数据，包括第三方持有的数据。

    禁令救济，阻止被告继续所述做法。

    BleepingComputer 已联系 Allstate 和 Arity 就 Paxton 的法律诉讼发表声明，该公司发言人回应如下： 

    “Arity 以简单、透明的方式帮助消费者在完全符合所有法律法规的情况下，获得最准确的汽车保险价格。”

    1月14日消息，出版和媒体巨头 Scholastic 遭受了网络攻击，丢失了数百万人的敏感信息。

    一名化名为“Parasocial”的黑客声称通过员工门户窃取了数据，其中包括美国客户和“教育联系人”的姓名、电子邮件地址、电话号码和邮政地址。在总共 800 万条记录中，后者约占 100 万条。

    Daily Dot在报告中称，该数据库包含超过 400 万个唯一电子邮件地址。此外，Parasocial 还向其研究人员提供了一个样本，研究人员从中推断出这些数据是真实的。他们没有直接联系这些人，而是在阅读了他们的 LinkedIn 信息和其他社交媒体账户后得出了一些结论。

    正品样品

    Scholastic 以其书籍、教育材料和《哈利波特》、《饥饿游戏》和《鸡皮疙瘩》等热门系列而闻名。家长、教师和管理员可以在该平台上注册账户。家长需要输入孩子的完整数据，教师需要列出他们工作的学校。

图：scholastic

    袭击者称，他们的动机只是简单的娱乐，并且不会将档案发布到互联网上。

“致 Scholastic；哈哈，被攻破了。这是惨痛的教训。不要让你的客户因你的安全漏洞而受到打击，使用 MFA，” Daily Dot援引 Parasocial 的话称，并补充说他们本可以获取更多信息，但由于服务器的导出限制而被阻止。

    Scholastic 的一位代表在给Daily Dot 的声明中表示，公司正在调查此事。

他们表示：“Scholastic 非常重视客户数据的安全，采用广泛的系统和协议，并正在彻底调查这一说法。”

    1月15日消息，西班牙跨国电信公司 Telefonica 证实其内部售票系统数据遭泄露。此前，网络犯罪和黑客论坛 Breach Forums 上出现了被盗数据。

   ZAGG 是一家消费电子配件制造商，以其手机配件而闻名，例如屏幕保护膜、手机壳、键盘和移动电源。这家总部位于犹他州的公司年收入为 6 亿美元。

    西班牙最大的电信公司 Telefonica 业务遍及 12 个国家，拥有超过 104,000 名员工。Telefonica 遭受网络攻击。该公司已确认其售票系统遭到入侵，目前正在调查事件范围，并已采取措施防止进一步的未经授权的访问。黑客论坛上的泄露包括 Telefonica Jira 数据库。 

    四个使用化名 DNA、Grep、Pryx 和 Rey 的人声称对此次入侵负责。据攻击者之一 Pryx 称，“内部票务系统”是 Telefonica 用于报告和解决内部问题的内部 Jira 开发和票务服务器。

图：泄露的数据

    据消息人士透露，前一天，被盗员工凭证被用来入侵系统。Telefonica 对此作出回应，封锁了员工的访问权限，并重置了受影响账户的密码。攻击者表示，他们能够利用被盗员工账户窃取大约 2.3 GB 的文档、票据和各种数据。虽然其中一些数据被标记为客户，但票据是用 @telefonica.com 电子邮件地址打开的，这表明它们可能是以客户的名义打开的。

    Pryx 声称，在将数据泄露到网上之前，他们没有联系过 Telefonica，也没有试图敲诈勒索。此次攻击的三名幕后黑手是 Grep、Pryx 和 Rey，他们也是最近发起的勒索软件行动Hellcat Ransomware的一部分。Hellcat 是施耐德电气最近数据泄露事件的罪魁祸首，该公司的 JIRA 服务器中有 40GB 的数据被盗。

    据报道，此次 Telefonica 网络攻击涉及该公司网络基础设施的关键组件 Fortinet。虽然数据泄露的程度和被盗数据的性质尚未披露，但人们担心其可能造成的影响。尽管有这样的说法，但 Telefonica 的官方网站仍在运行，这让人怀疑所谓的网络攻击的真实性。

    然而，这并不是西班牙电信第一次遭遇数据泄露。2018 年 7 月，数百万西班牙电信客户的数据在一次安全漏洞后被泄露。尽管如此，由于电信行业面临网络威胁，各公司必须保持合作，针对关键基础设施建立适当的网络安全措施。

    1月16日消息，非营利性献血组织 OneBlood 证实，去年夏天，献血者的个人信息在一次勒索软件攻击中被盗。

        OneBlood 于 2024 年 7 月 31 日首次向公众通报了这一攻击事件，指出勒索软件攻击者对其虚拟机进行了加密，迫使该医疗机构退回到使用人工流程的状态。

OneBlood 是全美 250 多家医院的血液供应商，此次攻击导致血液采集、检测和分发延迟，导致一些诊所执行 “严重缺血 ”协议。

    当时，这家非营利组织发出了紧急呼吁，呼吁人们捐献O型阳性、O型阴性和血小板，这些血液具有普遍兼容性，可用于紧急输血。

    上周，OneBlood 开始向受影响的个人发送数据泄露通知，告知他们对该事件的调查已于 2024 年 12 月 12 日完成，并确定泄露的确切日期为 2024 年 7 月 14 日。

    直到 7 月 29 日，即该医疗机构发现漏洞的第二天，该威胁行为者仍保留着对 OneBlood 网络的访问权限。

    “我们的调查确定，在 2024 年 7 月 14 日至 7 月 29 日期间，某些文件和文件夹在未经授权的情况下被从我们的网络中复制，”OneBlood 数据泄露通知中写道。

    “调查确定，您的姓名和社会保险号包含在相关文件和文件夹中。”

尽管采血中心通常会收集更多信息，如电话号码、电子邮件和实际地址、人口统计数据和病史，但此次暴露的数据仅限于姓名和社会安全号。

    姓名和 SSN 有可能被用于身份盗用和金融欺诈，而且由于不易更改，风险会持续多年。

图：oneblood

    为了降低这种风险，OneBlood 在信中附上了一年免费信用监控服务的激活码，通知收件人可在 2025 年 4 月 9 日前使用。

    此外，受影响的个人应考虑在其账户上设置信用冻结和欺诈警报，以防止经济损失。

尽管 OneBlood 遵守了其最初的承诺，通知受影响的个人潜在的数据暴露，但六个月的延迟使这些人处于风险之中。

    OneBlood 受勒索软件攻击影响的人数尚未披露。

    互联网数据中心（以下简称IDC）作为新一代信息基础设施，承载着千行百业的海量客户数据，是关系国民经济命脉的重要战略资源。提升IDC客户数据安全保障能力，对于维护经济社会稳定乃至国家安全至关重要。为指导IDC业务经营者加强客户数据安全保护，现将有关事项通知如下：

一、基本要求

    （一）总体原则。根据《数据安全法》《网络安全法》《网络数据安全管理条例》《工业和信息化领域数据安全管理办法（试行）》等法律法规和政策要求，按照“权责一致、分类施策、技管结合、确保安全”的原则，加强客户数据安全保障能力建设，提升客户数据安全保护水平（具体实施指引见附件）。

    （二）明确安全责任界面。在与客户、第三方服务商等签署的合同协议中，根据合作模式、内容等，明确各方数据安全保护责任义务。

    （三）强化制度建设和组织保障。建立健全客户数据安全管理制度，明确数据安全负责人和管理部门，强化客户数据安全管理保障措施。

    （四）加强客户管理。建立客户管理机制，按照客户类别和数据保护需求，提供差异化安全保护措施供客户选用。

    （五）加强客户数据安全保障。结合数据处理流程，明确数据访问、操作、销毁等重点环节的安全策略和流程机制，并做好数据隔离等保护措施。在实施可能影响客户数据安全的高危操作和对外提供客户数据前，应告知客户并取得授权。根据业务实际情况，通过冗余设计等，提高业务连续性和稳定性。

    （六）做好事件应急处置。建立客户数据安全事件应急预案，定期开展应急演练。因IDC业务经营者原因引发客户数据安全事件时，立即启动应急处置措施，及时告知客户，并按有关要求向电信主管部门报告。

    （七）提供安全防护服务能力。根据业务实际情况，提供数据安全技术能力，以及网络安全防护产品或服务供客户选择。

图：工信部通知

    二、加强服务器托管业务场景保障能力

    （八）保障机房设施安全。规范机房安全管理，配备物理安全保障措施，加强机房权限、人员值守、消防系统等的安全保障，及时发现、消除安全隐患，防止客户数据损毁、丢失。

    （九）做好设备供应链管理。涉及提供服务器、网络设备等售卖、租赁服务的，加强设备采购安全管理，建立设备台账，做好设备上架前的安全检查与定期维护更新，防范客户数据被篡改、窃取。

    三、加强数据存储与计算业务场景保障能力

    （十）保障数据存储和计算安全。提供容灾备份、校验技术、密码技术等数据安全保护能力，配备存储和计算资源监控技术能力，及时发现预警存储和计算资源异常使用情形，做好资源动态调整分配，保障相关资源安全可用。

    （十一）保障数据传输安全。提供数据加密、接口鉴权、安全审计等保护措施，加强数据安全风险监测预警，提供数据流量异常、违规导出等安全风险的发现、告警与处置能力，协助客户保障数据传输链路和接口安全。

    （十二）强化重点服务安全管理。涉及提供人工智能训练数据集管理功能的，提供保障客户自有训练数据集安全的能力，避免相关数据集被泄露、污染。涉及提供算力调度及算力服务的，做好算力调度策略安全管理，配备算力异常使用情况的监测预警与应急处置能力，保障算力调度安全。

    四、加强数据安全供给支撑

    （十三）推进数据安全标准研制。工业和信息化部组织制定IDC业务客户数据安全保护、能力评价等相关标准，明确IDC业务客户数据通用及典型业务场景安全保护细则、责任划分模型等，建立客户数据安全保护能力分级评价体系，引导IDC业务经营者提升客户数据安全保护水平。

    （十四）探索开展数据安全保护能力评价。IDC业务经营者可自行或委托第三方专业机构定期开展客户数据安全保护能力评价。鼓励行业组织、专业机构依据能力评价结果，开展客户数据安全保护能力分级，引导IDC业务客户根据业务场景、数据重要程度等，按需选择IDC业务。

    五、工作实施

    （十五）夯实客户数据安全保护责任。IDC业务经营者要高度重视客户数据安全保护，强化责任担当，结合本单位实际，积极加大资源投入，做好客户数据安全保护工作，切实提升IDC业务服务水平。

    （十六）加强督促指导。工业和信息化部、各地通信管理局加强对IDC业务客户数据安全保护工作的督促指导，落实相关企业主体责任。

    美国商务部工业与安全局（BIS）于当地时间1月13日发布名为《人工智能扩散框架》(Framework for Artificial Intelligence Diffusion)的临时性最终规则，对先进计算集成电路（advanced computing integrated circuits）以及封闭式两用AI模型权重的出口实施新的管控措施。这项新规于当日生效，其中部分条款将在120天或365天后开始执行合规要求。

    根据这份编号为2025-00636的文件，此次修订涉及《出口管理条例》（EAR）中的多个部分，主要包括两大方面：一是扩大对先进计算集成电路的现有管控；二是新增对特定AI模型参数（权重）的管控。

    BIS表示，这些新措施旨在建立一个安全的生态系统，以负责任的方式推动AI技术和先进计算集成电路的扩散应用。该局认为，高等级AI模型既可能带来显著的经济和社会效益，也可能对美国国家安全和外交政策利益构成深远风险。

    在具体管控措施方面，新规要求对满足特定性能参数的先进计算集成电路实施全球许可证要求。对于最先进AI模型的权重参数，如果其训练计算量超过10^26次运算，也将被纳入管控范围。不过，开源权重模型不在管控之列。

    为方便合规企业开展业务，新规设置了多项许可证例外。其中包括面向19个"可信"国家和地区（包括澳大利亚、比利时、加拿大、丹麦、芬兰、法国、德国、爱尔兰、意大利、日本、荷兰、新西兰、挪威、韩国、西班牙、瑞典、中国台湾、英国、美国）的人工智能授权（AIA）许可例外、面向制造商的先进计算制造（ACM）许可例外，以及面向低算力系统的低性能处理（LPP）许可例外等。

    新规还引入了“数据中心最终用户认证”（DC VEU）机制，将其分为"通用VEU"（UVEU）和"国家VEU"（NVEU）两类。获得UVEU资质的企业可在除中国澳门和D:5类国家以外的地区建设数据中心；获得NVEU资质的企业则需遵守特定的国家配额限制。

    对于不符合许可证例外条件的交易，相关方需按照EAR第748部分的规定申请许可证。BIS将根据目的地国家、计算能力总量或AI模型性能、以及接收方同意的安全要求等因素审查申请。2025年至2027年期间，各国累计可获得的算力配额上限为79000万TPP（总处理性能）。

    值得注意的是，新规对AI模型权重的管控采用了"外国直接产品规则"（FDPR）。这意味着，即使是在美国境外使用美国技术生产的AI模型权重，只要其计算量超过规定阈值，也将受到EAR管辖。

图：美国商务部工业与安全局

    在合规时间表方面，大部分条款将在120天过渡期后生效。但涉及数据中心安全要求的第748部分补充第10号第14、15和18段将有365天的过渡期。过渡期内已经启程的发货如果在30天内完成出口，可按原有规定执行。

    BIS强调，此次修订是基于《2018年出口管制改革法案》（ECRA）的授权。该法案要求美国在维护科技领先地位的同时，确保出口管制规则具有透明度、可预测性和及时性。考虑到新规将影响快速发展的AI产业，BIS特意设置了较长的过渡期，以便利益相关方熟悉新规并提出意见。

    BIS邀请公众在规则正式发布后120天内提交评论意见。评论可通过联邦电子规则制定门户网站（www.regulations.gov）提交，规则ID为BIS-2025-0001。如需技术咨询，可联系BIS相关负责人。涉及商业机密的评论应在提交时注明，并提供公开版本。

    数字全球化背景下，数据基础设施作为释放数据价值的基础性支撑，其重要性日益凸显。为此，美国国家科学技术委员会于2024年12月发布《数据基础设施互联互通的框架》建议报告，呼应了此前美国白宫科技政策办公室发布的《美国联邦研究与开发基础设施：美国全球科学领导地位、经济和国家安全的基础》，以促进数据驱动的交互式研究模式，推动人工智能等技术爆发式增长。

本期，我们对其中有关研究与开发基础设施（Research and Development Infrastructure，以下简称“RDI”）生命周期的各个阶段实现数据基础设施互联互通的考虑因素，以及在开发和升级数据基础设施过程中如何处理敏感和安全数据的问题展开详解，以期为读者和相关研究提供参考。

    何为RDI？

    RDI，即研究与开发基础设施，在美国《2021年国家科学研究与开发基础设施报告》中被定义为 “科技界用于开展研究与开发或促进创新的设施或系统”，是一个包容性较强的术语。按照性质分类，主要包括实验和观测基础设施（Experimental and Observational Infrastructure）、知识基础设施（Knowledge Infrastructure）、研究网络基础设施（Research Cyberinfrastructure），三者共同构成了支撑研发的综合资源。早期RDI主要集中于“大科学”（Big Science），即建设大型实验平台和设施，如粒子加速器、地面望远镜、研究反应堆等。随着各学科不断融合、研究数据量和复杂度呈指数级增长，当前科学界越来越依赖RDI互联互通形成新的科研成果。特别是在互联网和仪器控制软件的支持下，研究人员可以更加快速便捷地远程访问和使用RDI。

    美国对RDI投入具有较长历史。第二次世界大战后，就对联邦实验室、专业设施和设备进行了大量投资，建立起许多世界级研发基础设施。20世纪60年代，又实施了一批研究计划，投资建设相关设施，促进了研发事业发展。通过RDI的持续高投入，美国科学技术发生变革性进步，创造出大量新产业、新主体、新商业模式，成为推动经济社会发展的关键动力源。

    数据基础设施设计和互联互通的主要考虑因素

    报告从五个主要领域确定并论述了在研发基础设施生命周期的各个阶段考虑数据基础设施和互联互通的因素：

    · 数据的科学目标和任务优先级；

    · 用户和利用；

    · 数据清单、管理和指导；

    · 动态数据生态系统；

    · 项目管理与合作。

    数据的科学目标和任务优先级

    开发 RDI通常是为了实现特定的科学或任务目标，这反过来又促使人们决定如何构建和管理项目的数据方面，以高效、有效和可持续地实现这些目标。

考虑三个问题：

    · 哪些科学优先事项和目标驱动着数据基础设施投资选择？

    · 将采用哪些总体数据政策、社区规范和标准？

    · 与数据有关的成功愿景是什么，有哪些可量化的标准和指标可以进行评价和评估？

    用户和利用

    以用户和使用为中心的设计方法是成功规划、运营和升级数据基础设施的基本驱动力。

    考虑三个问题：

    · 谁是数据基础设施为实现科学和任务目标而服务的主要用户？

    · 将支持哪些科学利用模式和工作流程？

    · 用户与数据直接交互需要哪些支持方式？

    数据清单、管理和指导

    必须对哪些数据将得到支持、数据的预期用途以及数据治理和管理方面的考虑因素进行全面彻底的分析，以便为数据基础设施的规划、设计和实施提供信息。

    考虑四个问题：

    · 这项工作的数据清单是什么？

    · 如何在整个数据生命周期实施数据管理？

    · 数据基础设施将如何满足数据治理和管理需求？

    · 是否制定了程序，使工作人员和用户都能成功地适应不断变化的数据资源和服务，同时保持必要的运作？

    动态数据生态系统

    RDI 数据的科学目标及其相关技术和应用处于持续发展的状态，因此在设计过程中应当积极考虑这种持续变化，以确保最终的数据基础设施和互操作性方案具备灵活性、适应性，并能够持续访问数据。

考虑三个问题：

    · 如何设计数据基础设施以最大化互操作性？

    · 前瞻性发展因素将如何融入研发创新（RDI）生命周期的各个阶段？将采取哪些流程来收集数据基础设施的预期未来需求和要求？

    · 是否有相关流程确保员工和用户在保持必要运营的同时，能够成功适应不断变化的数据资源和服务？

    项目管理与合作

    RDI项目和合作中数据基础设施的管理和合作考虑因素包括政策、法律、资金和监督机制，以确保主要利益相关者的参与以及数据基础设施的长期可持续性和适应性。

    考虑三个问题：

    · 谁是数据利益相关者，他们如何参与数据决策和数据使用愿景？

    · 管理和伙伴关系政策以及财务支持机制将如何确保项目的可持续性和复原力？

    · 在合作或伙伴关系中，是否就如何开展和监督共同努力以及如何分配各自的角色和责任达成一致？

    处理敏感和保密数据的挑战

    报告对在开发和升级RDI 数据基础设施时经常面临的几个普遍挑战领域进行了归纳，其中重点强调了敏感和保密数据的处理问题。报告提出，不同的研发领域有时会涉及到不能公开共享且需要保密处理的敏感研究数据，如医疗保健和临床研究数据、某些社会科学数据、文化敏感数据以及安全和国防研究领域的数据。在这些情况下，需要专门的规划、专门的数据基础设施以及额外的数据治理和监管工作。

    对此，报告列举了可能的应对措施：

    · 对数据访问和数据完整性进行全面的风险评估和缓解规划。

    · 确定时间表并建立必要的流程，对用户进行政策、要求和实践方面的社会化培训，以确保对敏感数据和后续数据产品的保护和访问。

    · 在安全要求和威胁不断变化的生态系统中，建立支持数据安全存储和传输所需的技术和操作要求及专业知识。

    相关启示

    从以上数据基础设施设计的考虑框架和对敏感保密数据的处理不难看出，数据安全仍是美国RDI数据基础设施建设中的重要指向。其在数据开放共享与安全的平衡、动态数据生态中的安全性挑战、数据全生命周期管理方面提供了有益启示。

    数据开放共享与安全的平衡

    报告强调了数据共享和互操作性的核心价值，尤其是在推动开放科学和跨学科合作方面的作用。对于我国而言，随着大数据、人工智能及开放数据战略的推进，数据共享和科学资源的开放正在成为提升科研能力、促进技术创新的重要手段。然而，数据共享和开放过程中，如何平衡开放性与数据安全之间的矛盾，是亟待解决的关键问题。

    在实践中，数据共享需要在保证安全性和隐私保护的前提下进行。例如，建立严格的数据分类和分级保护体系是确保共享数据不被滥用的基础，通过加密、去标识化等技术手段，降低数据泄露的风险。此外，在数据访问过程中，采用多层次的权限管理与审计机制也十分重要。通过细化访问控制策略，可以确保敏感数据仅由授权人员访问，同时通过审计记录避免不当使用或泄露情况。

    动态数据生态中的安全性挑战

    随着数据生态系统日益复杂，数据的动态流转成为常态，尤其是跨部门、跨地区的合作更加频繁。我国在推动数据基础设施互联互通的过程中，必须重视数据在不同系统间流动时的安全性。如何确保不同系统间的数据交换和共享不会引入安全漏洞，成为一个至关重要的问题。

图：报告封面

    对此从报告中可以看到，跨部门和跨地区合作中的安全标准化尤为重要。尽管各参与方的需求和技术方案各异，但统一的数据安全标准和安全规范是确保数据在交换过程中的安全性与合规性的重要保障。此类统一的标准不仅要覆盖数据交换过程中的加密和认证技术，还应涵盖数据存储、处理、传输等各环节的安全保障措施。

    数据全生命周期管理

    随着数据生态系统的不断发展和数据量的激增，数据生命周期管理变得愈加重要。报告强调，数据销毁和归档作为数据生命周期中的关键环节，因此必须得到足够重视。

    我国数据相关政策法规主要指向数据价值挖掘，对数据销毁和归档两大环节较少提及。对此应当注意到，对生成和衍生数据产品的归档/销毁相关技术标准、系统的建设不仅是管理的必要手段，更是降低数据泄露和滥用风险的重要保障。