二月安全月报 | 45亿条快递数据疑泄露，Twitter史上最大规模宕机

为了让大家更全面的了解网络安全的风险，顶象针对每月值得关注的安全技术和事件进行盘点总结。

国内安全热点

👉业务安全

男子注册上万账号薅羊毛获利13万

近日，上海市，由闵行区人民检察院提起公诉的刘某某诈骗一案开庭审理，被告人刘某某被判处有期徒刑三年，缓刑三年，并处罚金。

据悉，刘某某平日喜欢在网上看小说。2020年2月，刘某某看到有人售卖读书App的追书券。此后刘某某了解得知，追书券均为在App以往老版本中通过系统更新迭代的弱点领取，且经其自行尝试后获得成功。随后刘某某雇人制作三款计算机脚本，注册上万个账号领取被害单位平台上的追书券，并开网店售卖获利13万余元。2021年8月，App系统维护工作人员在定期核查中发现异常并报案。最终，被告人刘某某自愿认罪认罚，退赔被害单位经济损失，并取得谅解。

ChatGPT等技术或放大网络风险

知名网络安全公司Check Point Research(CPR)最新发布的报告显示，与2021年相比，2022年全球网络攻击量增长38%，中国所在的亚太地区网络攻击数量增长位居全球第二。CPR预计，2023年全球网络攻击活动将有增无减。随着AI语言模型ChatGPT等消费类应用程序的日渐成熟，网络攻击或将愈演愈烈，黑客将能够以更快、更自动化的速度生成恶意代码和电子邮件。美国网络安全公司Recorded Future也认为，ChatGPT或对于“脚本小子、黑客行动主义者、欺诈分子/垃圾邮件发送者、支付卡欺骗者等技术水平不高的网络犯罪分子”最有帮助，把恶意软件、钓鱼攻击推向了规模化时代。

云计算成为网络钓鱼新平台

云计算为网络钓鱼者提供了一个收获和发展业务的新平台。不仅如此，其影响也更为广泛、危险。任何组织，无论大小，都不可避免地会受到网络钓鱼攻击的伤害。因此，了解攻击是如何发生的以及如何预防可谓至关重要。

基于SaaS的网络钓鱼已经十分普遍。例如，数据显示超过90%的数据泄露都归咎于网络钓鱼，手段更是层出不穷，从被盗的凭据到恶意链接等等。此外，根据Palo Alto Networks发布的一份报告指出，研究人员发现网络钓鱼攻击正在大幅增加，该公司收集的数据显示，从2021年6月到2022年6月，这种攻击大幅增长了1100%。

随着技术的不断进步，不仅防御者可以利用更复杂的工具和技术来检测和阻止钓鱼电子邮件、链接和消息，与此同时，攻击者也在不断改进他们的攻击策略。

虽然大多数社会工程攻击都是通过电子邮件进行的，但三分之一的IT专业人士报告称，2022年通过其他通信平台进行的社会工程攻击有所增加。这些攻击平台包括：

视频会议平台（44%）；
劳动力信息平台（40%）；
基于云的文件共享平台（40%）；
短信（36%）。
此外，社交媒体上的网络钓鱼也日益普遍，在2022年第一季度，LinkedIn用户成为全球52%的网络钓鱼攻击的目标。根据Proofpoint发布的《2022年网络钓鱼状况报告》指出，74%的组织机构员工收到过钓鱼短信（smishing），同样比例的员工在社交媒体上成为攻击目标。

👉网安政策

网信办：2023 年 1 月全国受理网络违法和不良信息举报 1321.8 万件，同比下降 10.3%

2 月 15 日消息，中央网信办举报中心数据显示，2023 年 1 月全国受理网络违法和不良信息举报 1321.8 万件。

中央网信办举报中心表示，2023 年 1 月，中央网信办举报中心指导全国各级网信举报工作部门、主要网站平台受理网民举报色情、赌博、侵权、谣言等违法和不良信息 1321.8 万件，环比下降 9.6%、同比下降 10.3%。

其中，中央网信办举报中心受理举报 57.9 万件，环比下降 13.7%、同比增长 58.5%；各地网信举报工作部门受理举报 66.6 万件，环比下降 13.8%、同比下降 32.1%；全国主要网站平台受理举报 1197.4 万件，环比下降 9.2%、同比下降 10.6%。

警惕：2023年每月新增1900个危险漏洞

根据网络安全保险公司Coalition最新发布的网络威胁指数报告，预计2023年平均每月将有1900个危险漏洞披露，比2022年增长13%，其中高危漏洞270个、严重高危漏洞155个。

附报告全文。

《全球安全倡议概念文件》发布，多项涉及网络安全

2月21日，外交部长秦刚出席“全球安全倡议：破解安全困境的中国方案”蓝厅论坛开幕式并发表主旨演讲。

秦刚指出，中方正式发布《全球安全倡议概念文件》（以下简称《概念文件》），阐释倡议的核心理念和原则，明确重点合作方向和平台机制，展现中方对维护世界和平的责任担当、对守护全球安全的坚定决心。

《概念文件》列出20项重点合作方向，具有鲜明的行动导向，归纳起来就是：坚定支持联合国安全治理核心作用、努力促进大国协调和良性互动、积极推动对话和平解决热点问题、有效应对传统与非传统安全挑战、不断加强全球安全治理体系和能力建设。

其中，网络安全被多次提及。

第二章“核心理念与原则”第六条指出，坚持统筹维护传统领域和非传统领域安全。我们倡导各国践行共商共建共享的全球治理观，共同应对地区争端和恐怖主义、气候变化、网络安全、生物安全等全球性问题，多管齐下、综合施策，完善规则，携手寻求长远解决之道，推进全球安全治理，防范化解安全困境。

第三章“重点合作方向”第十三提出，深化信息安全领域国际合作。中方已提出《全球数据安全倡议》，希望推动达成反映各方意愿、尊重各方利益的全球数字治理规则。持续推进落实《中国－阿拉伯联盟数据安全合作倡议》和《“中国+中亚五国”数据安全合作倡议》，共同应对各类网络威胁，构建开放包容、公平合理、安全稳定、富有生机活力的全球网络空间治理体系。

第十五条提出，加强人工智能等新兴科技领域国际安全治理，预防和管控潜在安全风险。中国已就人工智能军事应用和伦理治理发布立场文件，愿与国际社会就人工智能安全治理加强沟通交流，推动达成普遍参与的国际机制，形成具有广泛共识的治理框架和标准规范。

第四章“合作平台和机制”第五条提出，围绕应对反恐、网络、生物、新兴科技等领域安全挑战，搭建更多国际交流合作平台和机制，共同提升非传统安全治理能力。

👉数据安全

据传国内45亿条快递数据泄露

2月15日消息，据中证报，快递股昨日出现闪崩，圆通速递跌幅近7%。消息面上，安恒信息在其官方微信公众号发布《不要泄露! 疑似45亿条国内个人信息泄露背后的数据安全账》文章。该文称，2月12日晚，Telegran各大频道突然大面积转发某隐私查询机器人链接。网传消息称该机器人泄露了国内45亿条个人信息，疑似电商或快递物流行业数据。

当日下午，红星资本局致电圆通董秘办询问信息泄露是否与圆通有关，对方表示情况正在核实中，也关注到相关新闻和市场的波动情况，待核实结束后会向投资者进行回复。另据中国证券报，圆通速递证券部工作人员回应记者称：“已经注意到二级市场的波动，上述传闻与公司无关，公司生产经营一切正常

阿里云盘崩了

据多家媒体消息，阿里云盘在2月3日22点左右出现故障无法访问，不论是App、网页端还是PC 客户端，全都无法加载内容，API 接口出现 502 故障。

随后，该消息在微博上引起众多网友热议，不少网友吐槽“阿里云盘又崩了”，导致用户的转存、上传、下载功能全部瘫痪。不少用户表示正在看“狂飙”、“三体”，忽然就无法使用了，严重打击了付费的信心。

2月4日凌晨，阿里云盘排除故障，所有功能已经恢复正常使用。

小米汽车“设计文件”泄密，供应商被罚100万元！

2月2日消息，小米汽车设计文件泄密一事近日引发关注，小米内部通报了该事件的处理结果，涉事合作方处以100万元的经济赔偿，泄密人也被处理。今年1月，有汽车博主发布了关于小米汽车首款车型小米MS11车型的设计图片，展示了小米汽车保险杠、小米MS11的装饰件，以及小米与北汽模塑相关合作细节等，引发网络关注。

针对小米汽车设计文件泄密一事，小米集团公关部总经理王化随即回应称，的确是二级供应商保密的设计文件泄密，该供应商仅仅是为模具打样的供应商，泄密的文件是非常早期的招标过程的设计稿，并非最终文件。“我们一定会根据与该供应商签订的保密协议进行严肃处理。”他说。小米内部也针对该事件通报了处理结果。对于此前小米汽车设计文件遭泄密一事，雷军微博发文表示“零容忍”。

👉移动安全

内蒙古通报 19 款侵害用户权益行为的 App

2 月 15 日消息，内蒙古通信管理局近日发布了关于 App 侵害用户权益行为的通报（2023 年第 1 批，总第 3 批）。

依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，按照《工业和信息化部关于开展纵深推进 App 侵害用户权益专项整治行动的通知》（工信部信管函〔2020〕164 号）文件部署，组织第三方检测机构对部分属地活跃移动 App 进行侵害用户权益安全检测，截止目前尚有 19 款 App 未完成整改，现予以社会公示。

卡巴斯基：2022年手机银行木马数量暴涨100%

2月27日，卡巴斯基公布的《2022 年移动威胁》显示，去年出现了近20万个新型手机银行木马，比前一年增长了 100%，达到了近六年来的最快增幅。

报告列出了在检出次数中排名前10的手机银行木马，显示名为Trojan-Banker.AndroidOS.Bian.h的木马达到了接近30%的比例。

报告认为，银行木马开发的急剧增加表明网络犯罪分子正以移动用户为目标，虽然网络犯罪活动在 2022 年总体趋于平稳，攻击数量在 2021 年有所下降后保持稳定，但也说明网络犯罪分子仍在努力改进恶意软件功能和传播媒介，用户需要警惕官方应用市场和虚假热门程序下载广告中隐藏的恶意木马。

国外安全热点

👉数据安全

现代和起亚汽车爆出逻辑漏洞，只需一根 USB 线即可开走汽车

Bleeping Computer 披露，韩国汽车制造商现代（Hyundai）和起亚（Kia）给旗下约 830 万辆汽车进行了防盗安全更新（预估有 380 万辆现代汽车和 450 万辆起亚汽车）。

报道称，正常情况下，钥匙启动车辆需要绕过防盗器，但这两个品牌的部分车型允许任何 "转动钥匙启动 "系统绕过防盗器，这使得盗贼可以使用任何 USB 电缆强行激活“点火桶”，从而启动车辆。

此外，“Kia Challenge”之所以影响如此之大，以至于在洛杉矶，这两个品牌 2022 年的盗窃案与前一年相比陡然增加了 85%，在芝加哥，针对这两个品牌的盗窃案同样增加了 9 倍。

根据美国交通部（NHTSA）发表文章的文章来看，安全漏洞影响了大约 380 万辆现代汽车和 450 万辆起亚汽车。

👉安全漏洞

Apple 出现多个安全漏洞

The Hacker News 网站披露，苹果公司近日推出了 iOS、iPadOS、macOS 的安全更新，以期解决一个 0day 漏洞（追踪为 CVE-2023-23529）。

研究表明，CVE-2023-23529 漏洞与 WebKit 开源浏览器引擎中的类型混淆错误有关，一旦攻击者成功利用，便可在目标系统上执行任意代码。

WebKit 是一个主要用于 Safari，Dashboard，Mail 和其它一些 Mac OS X 程序的开源浏览器引擎，在手机上的应用十分广泛（例如 Android、iPhone 等）。此外，WebKit 还应用在 Mac OS X 平台默认的 Safari 桌面浏览器内。

除了上述提到的 CVE-2023-23529 安全漏洞，近段时间，国内某安全厂商还监测了多个 Apple 官方发布的安全漏洞通知，主要包括：

Apple Kernel 权限提升漏洞(CVE-2023-23514)
Apple macOS Ventura 敏感信息泄露漏洞(CVE-2023-23522)

相较于其它两个漏洞，CVE-2023-23529 影响范围及危害程度最严重，该漏洞允许未经身份认证的远程攻击者诱骗受害者访问其特制的恶意网站，使 WebKit 处理网页内容时触发类型混淆错误，最终在目标系统上实现任意代码执行。

影响苹果多个版本产品：

iPhone 8 及更高版本

iPad Pro（所有型号）

iPad Air 第三代及更高版本

iPad 第五代及更新版本

iPad mini 第五代和更高版本

运行 macOS Ventura 的 Mac

此外，攻击者可组合利用 CVE-2023-23529 和 CVE-2023-23514 漏洞提升权限并逃逸 Safari 沙箱。值得注意的是，安全研究人员已经发现 Apple WebKit 任意代码执行漏洞 CVE-2023-23529 在野利用的迹象，鉴于这些漏洞影响范围较大，建议客户尽快做好自查及防护。

2 月14 日，苹果官方正式发布了 iOS 16.3.1 安全更新，修复了 CVE-2023-23529 高危漏洞，建议用户尽快升级。

👉业务安全

土耳其和叙利亚地震后，网络捐款诈骗遍地开花

2月6日发生在土耳其和叙利亚的地震，已经造成了数万人死亡，数百万人无家可归。

地震发生后，许多国家的政府和民间组织纷纷伸出援手，或出人出力参与救援，或出钱出物慷慨相助，其中也包括许多真正的慈善组织从具有爱心的公众中募集的捐款。

然而，也有一些想发灾难财、想从人们的同情心中牟利的团伙或个人觉得：一次新的诈捐骗钱的机会到来了。

网络安全技术公司Bitdefender的安全专家克里斯蒂安·斯塔伊说：“可悲的现实是，诈骗总是在灾难、冲突或任何重大事件发生后立即出现。”

Bitdefender总部设在罗马尼亚首都布加勒斯特，但在美国、欧洲、澳大利亚和中东都设有分公司。该公司在土耳其和叙利亚地震发生后进行的调查中发现，在震后出现的新一波诈骗活动中受到影响的国家，主要是美国、英国、德国和爱尔兰。

同样在推特上，有一个名为“土耳其救援”的账户，也呼吁人们通过网上支付工具贝宝（PayPal）为地震受害者捐款，但这个2023年1月才开设、只有31个粉丝的账户，通过贝宝收到的900美元捐款中，有500美元是自己捐的。目前这个账户已被推特关闭。

钓鱼网站“潜伏”谷歌广告，窃取亚马逊用户账密

Bleeping Computer 披露，一个新的网络犯罪活动将钓鱼网站隐藏在谷歌搜索结果中，以窃取亚马逊网络服务（AWS）用户的登录凭据。

Sentinel 实验室的安全分析师首次发现钓鱼活动隐藏在谷歌广告搜索结果中。据悉，当搜索“aws”时，不良广告排名第二，仅次于亚马逊自身推广搜索结果。

经过研究分析，安全人员发现攻击者最初将广告直接链接到网络钓鱼页面，后期陆续增加了重定向步骤，以期逃避谷歌广告欺诈检测系统的监管。

“恶意谷歌广告”首先将受害者引到攻击者控制的博客网站（“us1-eat-a-w.s.blogspot[.]com”：该网站是一个合法的素食博客），使用“window.location.replace”自动将受害者重定向到托管了虚假 AWS 登录页面的新网站。

当用户进行至此步骤时，钓鱼网站系统会自动提示受害者是选择使用 root 用户还是 IAM 用户登录，一旦用户输入电子邮件地址和密码，信息就会被盗。（提示用户选择登陆方式有助于攻击者区分被盗数据的分价值和实用性）

Reddit遭钓鱼攻击，攻击者已获得内部权限

据BleepingComputer消息，全球最大社交新闻站点Reddit在当地时间2月5日晚间遭到了网络钓鱼攻击。

该公司表示，攻击者使用了一种针对 Reddit 员工的网络钓鱼诱饵，通过冒充其内部网站的登陆页面，试图窃取双因素验证码，从而获得员工账户凭证。目前已有一名员工的凭证不慎被窃取，攻击者因此获得了对一些内部文档、代码以及一些内部后台和业务系统的访问权限。

Reddit 表示，虽然公司相关联系人以及员工的部分信息被窃取，但没有迹象表明攻击者破坏了用于运行网站的生产系统，用户个人数据也未监测到泄露。虽然 Reddit 没有分享有关这次网络钓鱼攻击的任何细节，但他们提到和之前拳头公司遭遇的攻击类似，当时攻击者窃取了包括《英雄联盟》在内旗下多款游戏的源代码，并提出1000万美元的赎金要求。

全球社交媒体三巨头大规模宕机，Twitter遭16年历史上最大中断

2月8日，据安全媒体InfoRiskToday报道，全球最大的三家社交媒体平台遭遇宕机，Twitter、Instagram和YouTube的部分用户无法访问其账户。

据了解，这是Twitter 16年历史上最大规模的一次宕机。许多Twitter用户8日收到一条消息提示称“已超过每日推文发送限额，无法发帖。”当天下午3点，Twitter宣布美国的Twitter Blue用户可以编辑长推文，最多可发布4000个字符。但问题也随之开始。

Twitter 8日下午6点27分发布了一篇推文，回应宕机问题称正在努力解决问题。

Downdetector网站指出，宕机开始于8日下午4:30之前，下午4:55到5:10之间有9000多份中断报告，然后急剧下降。

许多用户的Twitter宕机持续了几个小时，迫使他们使用预定的推文功能发布更新。一些用户被禁止发布推文，并被告知:“您的推文发送量已超过每日限制。”

当天，YouTube和Instagram用户也遭遇宕机。YouTube表示正在调查部分用户遭遇宕机的原因。YouTube用户在8日收到了服务器错误“429”的消息。根据Downdetector的数据，YouTube的宕机时间很短，但规模较大。8日晚上7点19分，有近7.2万名用户报告了此问题，8点后即恢复正常。

拓展学习：

小白如何从靶场过渡到实战——「业务安全大讲堂第第二季第2期」https://live.csdn.net/room/dingxiangtech/xldogSXD