頂象首期業務安全月報來了！

導語：隨著數字化的深入普及，業務愈加開放互聯。企業的關鍵資料、使用者資訊、基礎設施、運營過程等均處於邊界模糊且日益開放的環境中，涉及利益流和高附加值的業務面臨多樣的安全隱患，隨時可能遭遇損失，進而影響企業運營和發展。

 

一方面，業務安全隱患形式多樣，在電商、支付、信貸、賬戶、互動、交易等形態的業務場景中，存在著各類等欺詐行為；另一方面，欺詐行為日益專業化、產業化，且具有團伙性、複雜性、隱蔽性和傳染性等特點。

 

為了讓大家更全面的瞭解業務安全的風險，頂象自本月起將針對每月的業務安全熱點事件進行盤點總結。

 

一、國內業務安全熱點

 

WPS被爆刪除使用者本地檔案

 

7 月 11 日，“WPS 被曝會刪除使用者本地檔案”話題登上熱搜，引起網友熱議。

 

當日 WPS 官方微博回應稱，“刪除使用者本地檔案”屬於訛傳，系近期一位使用者分享的線上文件連結涉嫌違規，WPS 依法禁止了他人訪問該連結。關於刪除使用者本地檔案的說法純屬誤導，將保留透過法律途徑維護合法利益的權利。

7 月 13 日，針對近日網傳的“WPS 刪除使用者本地檔案”“侵犯使用者隱私”等言論，WPS再次做出回應稱：“WPS 不會對使用者的本地檔案進行任何稽核、鎖定或刪除等操作。有關網傳的“WPS 刪除使用者本地檔案”“侵犯使用者隱私”等，均系不實資訊，對於因此給公司商譽造成的損失，我們將採取法律手段維護合法權利。”

 

交通銀行人臉識別系統被攻破：6次人臉識別比對，近43萬被盜走

 

7月18日，據中國新聞網報導，詐騙人員先後6次冒充北京一名儲戶，進行了6次人臉識別比對，均顯示“活檢成功”，並順利從其交通銀行卡中偷走近43萬元。

 

但此類案件並不是孤例。

 

據媒體報導，2020年10月至2021年10月間，五大國有銀行之一的交通銀行，發生了多起疑似與人臉識別漏洞有關的盜刷案。交通銀行的人臉識別系統多次被犯罪分子透過活體驗證，目前已被多名使用者起訴。

 

2021年，有不法分子利用交通銀行的人臉識別授權功能，再透過潛伏在使用者手機裡的木馬病毒攔截簡訊驗證碼，盜取了多位使用者的銀行存款，受害者包括金融行業員工、大廠員工、律師以及公司高管。有使用者統計資訊後告訴市界，目前至少涉及6名使用者被盜刷資金，每戶金額從幾萬到幾十萬不等，總金額超200萬元。

 

部分使用者為了追回自己被盜刷的存款，選擇將交通銀行訴至法庭，但在今年6底，卻收到了法院對交通銀行“未見存在明顯的過錯和過失”的一審判決，駁回使用者全部訴訟請求。

 

滴滴被罰80.26億

 

7月21日，國家網際網路資訊辦公室依據《網路安全法》《資料安全法》《個人資訊保護法》《行政處罰法》等法律法規，對滴滴全球股份有限公司處人民幣80.26億元罰款，對滴滴全球股份有限公司董事長兼CEO程維、總裁柳青各處人民幣100萬元罰款。

 

經查明，滴滴公司共存在16項違法事實，歸納起來主要是8個方面。

 

一是違法收集使用者手機相簿中的截圖資訊1196.39萬條；

 

二是過度收集使用者剪下板資訊、應用列表資訊83.23億條；

 

三是過度收集乘客人臉識別資訊1.07億條、年齡段資訊5350.92萬條、職業資訊1633.56萬條、親情關係資訊138.29萬條、“家”和“公司”叫車地址資訊1.53億條；

 

四是過度收集乘客評價代駕服務時、App後臺執行時、手機連線桔視記錄儀裝置時的精準位置（經緯度）資訊1.67億條；

 

五是過度收集司機學歷資訊14.29萬條，以明文形式儲存司機身份證號資訊5780.26萬條；

 

六是在未明確告知乘客情況下分析乘客出行意圖資訊539.76億條、常駐城市資訊15.38億條、異地商務/異地旅遊資訊3.04億條；

 

七是在乘客使用順風車服務時頻繁索取無關的“電話許可權”；

 

八是未準確、清晰說明使用者裝置資訊等19項個人資訊處理目的。

 

最高法：依法嚴懲強制“二選一”、大資料殺熟、低價傾銷、強制搭售等行為

7月25日，最高人民法院釋出了《關於為加快建設全國統一大市場提供司法服務和保障的意見》，其中提出，加強對平臺企業壟斷的司法規制，及時制止利用資料、演算法、技術手段等方式排除、限制競爭行為，依法嚴懲強制“二選一”、大資料殺熟、低價傾銷、強制搭售等破壞公平競爭、擾亂市場秩序行為，防止平臺壟斷和資本無序擴張。

 

 

二、國外業務安全熱點

 

IBM資料洩露成本報告發布，網路釣魚成主因

 

近期，IBM釋出了最新的資料洩露成本報告，據報告稱，目前全球資料洩露的平均成本為435萬美元，過去兩年資料洩露成本增加了近13%，創下歷史新高。資料洩露成本報告是IBM的年度重磅事項，至今已經是該報告發布的第17年。今年的資料洩露成本報告是根據2021年3月至2022年3月期間對17個國家/地區的550家企業的調研編制而成的。

 

與去年報告相比，今年的整體資料有2.6%的增長，同時，據IBM稱，消費者也正因資料洩露事件而遭受不成比例的痛苦。60%的違規企業在遭受資料洩露事件後反而提高了其產品價格，約等於變相加劇了全球通脹的速度。

 

網路釣魚成為代價最高的資料洩露原因，受害企業的平均成本為490萬美元，而憑據洩露是最常見的原因(19%)。連續第12年，醫療行業都是資料洩露成本最高的行業，而且還在快速增長中。2022年醫療行業的平均違規成本增加了近100萬美元，達到創紀錄的1010萬美元。在眾多國家中，美國仍然是資料洩露事件裡損失最昂貴的國家，平均違規成本達到了940萬美元。

 

UNI token空投釣魚攻擊成功竊取Uniswap 800萬美元

 

7月11日，有Uniswap使用者遭遇空投釣魚攻擊，累計被竊取7,574 ETH，價值約800萬美元。Uniswap稱協議本身是安全的，沒有漏洞。

Uniswap是一家去中心化的加密貨幣交易所，Uniswap是基於以太坊的協議，旨在促進ETH和ERC20 代幣數字資產之間的自動兌換交易，可以在以太坊上自動提供流動性。

 

空投（airdrop），就是免費給區塊鏈地址（公鑰）傳送代幣。攻擊者使用免費UNI token空投作為誘餌，誘使使用者授權一個給與攻擊者其錢包完全訪問許可權的交易。釣魚攻擊者建立了一個ERC token，並將其對映到持有UNI token的73399個使用者。

 

Premint NFT遭史上最大NFT駭客攻擊

7月18日，據外媒報導，知名NFT平臺Premint NFT遭到入侵，攻擊者佔領了其官方網站，並盜取了314個NFTs。據區塊鏈安全公司CertiK的專家稱，這是有歷史記錄以來最大的NFT駭客攻擊之一。

 

專家們的分析顯示，威脅者向Premint NFT官網植入了一個惡意的JavaScript程式碼。該指令碼被設計為指示使用者在將其錢包連線到該網站時 "為所有人設定審批"，這種方式使攻擊者能夠訪問他們的加密貨幣資產。

 

CertiK在對外的事件宣告報告中寫道：“雖然由於域名伺服器已經失效，惡意檔案不再可用，但攻擊的影響在鏈上仍然有跡可循。總共有六個外部擁有的賬戶（EOAs）與這次攻擊直接相關，大約有275個ETH被盜（價值約37.5萬美元）。”

 

 

Tor 瀏覽器迎重大更新，可自動繞過網際網路審查

 

7月18日，Tor 專案團隊宣佈釋出 Tor 瀏覽器 11.5版本，而此次更新就只有一個目的——幫助使用者自動繞過網際網路審查。

眾所周知，Tor 瀏覽器專為透過洋蔥路由器 (Tor) 網路訪問網站而建立，被業界稱之為“暗網世界大門鑰匙”，在密碼學層面很難破譯。透過Tor瀏覽器訪問Internet，就如同帶著面具參加舞會，無人可知使用者的真實身份。而此次Tor 瀏覽器的更新則進一步強化了這一功能，大大降低了使用者匿名訪問的門檻。

 

它透過透過網路上的節點路由流量並在每一步對其進行加密來實現這一點，連線透過一個出口節點到達目的地，該出口節點用於將資訊中繼回使用者。

 

App Store存在大量欺詐應用，數百萬iOS使用者受影響

 

7月20日，據外媒報導，蘋果官方表示每天稽核超過 10 萬款新應用和應用更新申請，而嚴苛的審查制度讓其只有 60% 可以透過上架。即便如此，App Store 依然充斥著大量欺詐類應用，為這些應用的開發者帶來大量收入的同時，由於 30% 的佣金讓蘋果也分得其中一杯羹。