目 錄

　　第一章 國內關鍵信息基礎設施安全動態簡訊

　　(一)《網絡安全威脅信息發布管理辦法(征求意見稿)》公開征求意見

　　(二)“天府杯”國際網絡安全大賽在成都舉行

　　(三)《中德工業互聯網白皮書》發布

　　第二章 海外關鍵信息基礎設施安全動態簡訊

　　(一)導彈級ABB發電信息管理系統漏洞曝光，或成網電作戰致命武器

　　(二)黑客組織Phineas Fisher泄露了開曼國家銀行泄露了2TB的數據

　　(三)伊朗互聯網中斷已超過四天

　　(四)入侵俄羅斯鐵路信息系統只需要20分鐘

　　(五)美國路易斯安那州政府系統遭受勒索軟件襲擊

　　(六)澳大利亞發布物聯網網絡安全實踐準則草案

　　(七)Macy's遭受Magecart攻擊泄露用戶信用卡數據

　　(八)因遭受炸彈威脅 白俄羅斯關閉PotonMail服務

　　第一章 國內關鍵信息基礎設施安全動態簡訊

　　(一)《網絡安全威脅信息發布管理辦法(征求意見稿)》公開征求意見

　　為規范發布網絡安全威脅信息的行為，有效應對網絡安全威脅和風險，保障網絡運行安全，依據《中華人民共和國網絡安全法》等相關法律法規，國家互聯網信息辦公室會同公安部等有關部門起草了《網絡安全威脅信息發布管理辦法(征求意見稿)》，現向社會公開征求意見。

　　第一條 為規范網絡安全威脅信息發布行為，有效應對網絡安全威脅和風險，保障網絡運行安全，依據《中華人民共和國網絡安全法》等相關法律法規，制定本辦法。

　　第二條 發布網絡安全威脅信息，應以維護網絡安全、促進網絡安全意識提升、交流網絡安全防護技術知識為目的，不得危害國家安全和社會公共利益，不得侵犯公民、法人和其他組織的合法權益。

　　第三條 發布網絡安全威脅信息，應堅持客觀、真實、審慎、負責的原則，不利用網絡安全威脅信息進行炒作、牟取不正當利益或從事不正當商業競爭。

　　第四條 發布的網絡安全威脅信息不得包含下列內容：

　　(一)計算機病毒、木馬、勒索軟件等惡意程序的源代碼和制作方法;

　　(二)專門用于從事侵入網絡、干擾網絡正常功能、破壞網絡防護措施或竊取網絡數據等危害網絡活動的程序、工具;

　　(三)能夠完整復現網絡攻擊、網絡侵入過程的細節信息;

　　(四)數據泄露事件中泄露的數據內容本身;

　　(五)具體網絡的規劃設計、拓撲結構、資產信息、軟件源代碼，單元或設備選型、配置、軟件等的屬性信息;

　　(六)具體網絡和信息系統的網絡安全風險評估、檢測認證報告，安全防護計劃和策略方案;

　　(七)其他可能被直接用于危害網絡正常運行的內容。

　　第五條 發布網絡和信息系統被攻擊破壞、非法侵入等網絡安全事件信息前，應向該事件發生所在地地市級以上公安機關報告。各級公安機關應及時將相關情況報同級網信部門和上級公安機關。

　　第六條 任何企業、社會組織和個人發布地區性的網絡安全攻擊、事件、風險、脆弱性綜合分析報告時，應事先向所涉及地區地市級以上網信部門和公安機關報告;

　　發布涉及公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的網絡安全攻擊、事件、風險、脆弱性綜合分析報告時，應事先向行業主管部門報告;

　　發布全國性或跨地區、跨行業領域的綜合分析報告時，應事先向國家網信部門和國務院公安部門報告。

　　第七條 未經政府部門批準和授權，任何企業、社會組織和個人發布網絡安全威脅信息時，標題中不得含有“預警”字樣。

　　第八條 發布具體網絡和信息系統存在風險、脆弱性情況，應事先征求網絡和信息系統運營者書面意見，以下情況除外：

　　(一)相關風險、脆弱性已被消除或修復;

　　(二)已提前30日向網信、電信、公安或相關行業主管部門舉報。

　　第九條 通過下列平臺發布信息的，平臺運營者、主辦單位接到有關部門通報、用戶舉報，或自行發現平臺上存在違反本辦法的發布行為和發布內容的，應當立即停止發布、采取消除等處置措施，防止違規內容擴散，保存有關記錄，并向地市級以上網信部門、公安機關報告。

　　1.報刊、廣播電視、出版物;

　　2.互聯網站、論壇、博客、微博、公眾賬號、即時通信工具、互聯網直播、互聯網視聽節目、應用程序、網絡硬盤等;

　　3.公開舉行的會議、論壇、講座;

　　4.公開舉辦的網絡安全競賽;

　　5.其他公共平臺。

　　第十條 違反本辦法規定發布網絡安全威脅信息的，由網信部門、公安機關根據《中華人民共和國網絡安全法》的規定予以處理。

　　第十一條 涉及國家秘密、涉密網絡的網絡安全威脅信息發布活動，按照國家有關規定執行。

　　第十二條 本辦法所稱網絡安全威脅信息，包括：

　　(一)對可能威脅網絡正常運行的行為，用于描述其意圖、方法、工具、過程、結果等的信息。如：計算機病毒、網絡攻擊、網絡侵入、網絡安全事件等。

　　(二)可能暴露網絡脆弱性的信息。如：系統漏洞，網絡和信息系統存在風險、脆弱性的情況，網絡的規劃設計、拓撲結構、資產信息、軟件源代碼，單元或設備選型、配置、軟件等的屬性信息，網絡安全風險評估、檢測認證報告，安全防護計劃和策略方案等。

　　第十三條 本辦法自發布之日起實施。

　　本文版權歸原作者所有，參考來源：中國網信網

　　(二)“天府杯”國際網絡安全大賽在成都舉行

　　2019年11月16日至17日，“天府杯”國際網絡安全大賽在成都舉行。在大賽上黑客利用零日漏洞成功破壞了多款應用廣泛的軟件和硬件，包括Safari、Chrome、D-Link路由器、和Office 365套件等。

　　“天府杯”國際破解大賽以逐步打造屬于中國自己的“Pwn2Own”為目標，設置三個獨立并行的比賽項目，原創漏洞演示復現賽、產品破解賽和系統破解賽。所有戰隊均需使用原創漏洞進行賽題破解。比賽獎金總額達到100萬美元，努力打造一場網絡安全技術盛宴。

　　參賽者不僅可以贏得現金獎勵，還可以贏得吹噓的資本，而這是在備受尊敬的黑客大賽中獲得勝利所帶來的。

　　根據比賽專用的Twitter賬號及已發布的公告，一些世界頂級軟件和設備被證明容易受到新的零日漏洞的攻擊。

　　在比賽的第一天，黑客團隊成功地利用了針對多種流行瀏覽器以及其他應用程序的漏洞利用程序。組織者稱，黑客取得了以下成就：針對基于EdgeHTML的較早版本的Microsoft Edge進行了三次黑客攻擊;針對Google Chrome的兩次黑客攻擊;一次針對Safari的攻擊;針對Microsoft Office 365的一次黑客攻擊;和針對Adobe PDF Reader的兩個黑客。此外，黑客還成功地利用了三個漏洞，侵入并控制了D-Link的DIR-878路由器以及在Ubuntu上運行的受感染qemu-kvm。

　　根據組織者的說法，在第二天的比賽中，又有四個黑客團隊展示了D-Link DIR-878路由器的成功入侵，同時又有兩個團隊通過Adobe PDF Reader再次脫穎而出。

　　但是，當天的最大贏家是針對VMWare的兩個成功利用漏洞之一。組織者說，360Vulcan的黑客@xiaowei贏得了20萬美元的獎金，這是該活動的最大一筆賞金。組織者承認，并非所有嘗試利用新的零日漏洞的嘗試都成功，特別是在第二天。黑客不得不放棄當天未按計劃進行的16次黑客嘗試中的8次。

　　360Vulcan團隊繼續贏得比賽，并因展示各種成功的漏洞而獲得總獎金382,500美元。安全研究人員thegrugq通過twitter稱，該團隊由以前贏得Pwn2Own的知名黑客組成，他們以其技巧和持久的活動而著名。

　　天地和興安全研究院翻譯整理，參考來源：ThreatPost

　　(三)《中德工業互聯網白皮書》發布

　　2019年11月12日，工業和信息化部副部長陳肇雄與德國經濟和能源部國務秘書努斯鮑姆在德國柏林共同主持第三次中德智能制造及生產過程網絡化合作副部長級會議，并出席合作論壇。

　　中德智能制造及生產過程網絡化合作機制于2015年7月建立，旨在落實兩國領導人達成的重要共識，深化中德制造業數字化轉型方面的政策溝通、產業對接與科研合作。該合作機制由中國工業和信息化部與德國經濟和能源部牽頭，中國科學技術部與德國教育和研究部共同參與。中德兩國政府主管部門、企業、行業組織、專家學者等代表積極開展交流合作，至今已召開3次副部長級會議，促進了中德智能制造及生產過程網絡化合作取得務實成效。在產業合作方面，共遴選試點示范項目四批46個;在標準化方面，就智能制造標準體系和參考架構達成70多項共識，發布10項聯合成果;在科研合作方面，雙方共同出資支持10余項聯合研究項目。

　　本次會議回顧了中德智能制造及生產過程網絡化合作進展，分享了合作案例和成功經驗，并就進一步加強合作形成了廣泛共識。會議認為，智能制造及生產過程網絡化作為信息通信技術與制造業深度融合的重要途徑，是制造業提質增效的重要方向。與會雙方表示，將共同把握制造業數字化、網絡化、智能化發展機遇，進一步擴大在智能制造及生產過程網絡化領域的對話與務實合作，為深化中德全方位戰略伙伴關系作出新的更大貢獻。雙方聯合發布了《中德智能制造/工業4.0功能安全白皮書》《中德工業互聯網白皮書》《中德智能制造人才教育培訓白皮書》等成果。

　　陳肇雄、努斯鮑姆及中國駐德國大使吳懇共同出席了中德智能制造及生產過程網絡化論壇。論壇以“工業的數字化未來”為主題，雙方產業界代表300余人參加了論壇。

　　陳肇雄在致辭中表示，中國國家主席習近平在與德國總理默克爾會見時指出，要把中德合作的蛋糕做得更大，在自動駕駛、新能源汽車、智能制造、人工智能、數字化和5G等新興領域加強合作，共同培育和開拓未來市場。陳肇雄希望雙方共同落實兩國領導人重要共識，進一步加強對話交流，鞏固戰略互信;提升開放水平，優化營商環境;深挖合作潛力，實現互利共贏，共同推動中德智能制造與生產過程網絡化合作行穩致遠。

　　訪問德國期間，陳肇雄還與中國駐德國使館負責人進行了交流，并調研了博世、西門子和思愛普等德國企業。工業和信息化部國際合作司、信息化和軟件服務業司、科技司、裝備工業司，中國電子信息產業發展研究院、中國信息通信研究院、中國電子技術標準化研究院等單位負責人參加上述活動。

　　本文版權歸原作者所有，參考來源：工信部國際合作司

　　第二章 海外關鍵信息基礎設施安全動態簡訊

　　(一)導彈級ABB發電信息管理系統漏洞曝光，或成網電作戰致命武器

　　近日，工控系統大型企業ABB旗下Power Generation Information Manager(PGIM)和PlantConnect監視平臺被曝出現了一個漏洞威脅評分高達CVSS v3 9.8評分的導彈級別漏洞，并且影響所有版本。

      ABB(ABBN: SIX Swiss Ex)是全球技術領導企業，致力于推動行業數字化轉型升級?；诔^130年的創新歷史，ABB以客戶為中心，擁有全球領先的四大業務——電氣、工業自動化、運動控制、機器人及離散自動化，以及ABB Ability?數字化平臺。ABB電網業務將于2020年轉讓給日立集團。ABB集團業務遍布全球100多個國家和地區，雇員達14.7萬。

　　ABB是一家全球500強，扎根在全球100多個國家和地區基礎設施，在中國擁有研發、制造、銷售和工程服務等全方位的業務活動，44家本地企業，近2萬名員工遍布于130余個城市，線上和線下渠道覆蓋全國約700個城市。

　　PGIM(發電信息管理系統)，是一個實時信息管理系統，可以運行在Windows NT/2000/XP/2003等版本的操作系統中，模塊化結構設計，便于安裝、維護和管理。PCIM通過采集網絡連接DCS或其他控制系統，利用UDP、OPC等協議將過程數據傳送到服務器端進行管理與保存，客戶端通過網頁形式查看過程畫面、趨勢曲線、報表等等。

　　而ABB公司開發的PGIM實時數據庫系統，靈活的體系結構使其具有全面的信息管理、信息存儲和歸檔、顯示管理和控制系統聯網功能，使電廠性能計算、建模工具、壽命監視、設備診斷、能源管理、維護管理和控制系統的集成變得更為簡便、易行。PGIM管理多個接口，數萬電的數據，范圍覆蓋整個電廠的生產過程，可以從各種形式的工廠信息系統中提取正確的信息，使用正確的工具，在適合的時候送到恰當的人手中。若該系統存被人通過漏洞繞過，從而獲取到系統訪問權限，那么攻擊者將控制整個電廠的設備和人員調動等等，那若被境外勢力利用，其將會造成極其惡劣的后果。

　　美國國土安全部通過網絡安全和基礎設施安全局(CISA)披露了已發現存在五年的身份驗證繞過漏洞，該漏洞影響了ABB的發電信息管理器(PGIM)工廠歷史記錄和數據分析工具，及其前身Plant Connect。

　　受影響的產品在全球范圍內廣泛使用，包括水壩、關鍵制造業、能源、水和廢水、糧食和農業以及化工。該漏洞允許攻擊者獲取PGIM憑據，甚至可能獲取Windows憑據，從而使它們導致歷史數據和事件的丟失，并可能獲得將數據寫入控制平臺所需的特權。

　　根據官方的漏洞描述中稱，受影響的產品容易受到身份驗證繞過的攻擊，這可使攻擊者可以遠程繞過身份驗證并從受影響的設備中提取憑據。

　　該漏洞使具有網絡訪問目標PGIM服務器的攻擊者可以通過嗅探流量(憑據未經加密即進行傳輸)獲取用戶憑證，因為系統使用明文形式進行憑據傳輸。

　　或通過向服務器發送特制消息來獲取PGIM用戶憑據。漏洞發現者通過創建一個客戶端來演示該行為，結果顯示該客戶端將要求服務器移交所有用戶名和密碼。

　　對于Windows憑據與PGIM相同的組織，此漏洞可能帶來甚至更大的風險。

　　實際上，漏洞發現者在發現漏洞后不久于2014年向ABB報告了他的發現，但據稱該供應商當時對此問題毫不在意。但是，供應商向他保證，它將在打補丁并謹慎地與受影響的客戶聯系，以告知他們存在該漏洞。

　　實際上，ABB忘記了該漏洞的存在，直到最近Bodforss在瑞典的CS3STHLM ICS / SCADA網絡安全會議上討論該漏洞時，才通知該漏洞的存在。除了描述PGIM漏洞外，專家還發布了概念驗證(PoC)漏洞，可用于獲取受影響產品的憑據。

　　POC的代碼在美國國土安全局公開前一個月就在Github公開了：https://github.com/rbodforss/pgpwner/，但由于我們并不具備測試環境，因此建議國內擁有該系統的用戶抓緊時間，聯系ABB升級到不受此漏洞影響的Symphony， Plus Historian。Symphony PlusHistorian是PGIM和Plant Connect產品的后繼產品，并具有改進的網絡安全性。

　　從SMALLTALK | uman | uman := Persistentob jects getOrCreate:\'USERMAN\'class: PlantConnectUserManager. uman listAllUsers' 語句詞義來看，其功能為列出所有的用戶名，其中PlantConnect還依舊是PGIM前身的命名習慣，充分說明了代碼并未更新。

　　本文版權歸原作者所有，參考來源：NOSEC

　　(二)黑客組織Phineas Fisher泄露了開曼國家銀行泄露了2TB的數據

　　巴拿馬文件(Panama Papers)之后，新數據泄漏威脅著金融業。近日，黑客組織Phineas Fisher公布了2TB開曼國家銀行的機密數據。

　　開曼群島是一個全球有名的財政天堂，吸引著來自世界各地的資金。因此，開曼國家銀行的數據泄露對全球金融都會產生影響。開曼國家銀行在Isle of Man有一家分支，主要從離岸銀行業務。

　　黑客以Distributed Denial of Secrets組織的名義在Twitter上公布了2TB開曼國家銀行的機密數據。

　　Distributed Denial of Secrets組織從上周六開始公布材料，聲稱泄漏的文件包含俄羅斯寡頭和全球其他重要人物洗錢的證據。

　　不過該組織并沒有入侵銀行系統，他們只是幫助發布了著名黑客Phineas Fisher所竊取的數據。他同時也是入侵了監視公司HackingTeam和Gamma Group的黑客。

　　根據Unicorn Riot網站的說法，他們獲得了一份黑客用西班牙語發布的簡短公告，其中表示“From the mountains of the Cyber Southeast”，并標榜為“搶劫銀行的DIY指南”。公告還以“Subcowmandante Marcos”的半開玩笑式的詞語開頭，還用ASCII文本風格畫出吸著煙斗的奶牛，指代前Zapatista發言人Subcomandante Marcos。

　　聲明中還介紹了metasploit等常見信息安全工具，對以往重大銀行網絡攻擊事件的觀察，SWIFT(一家國際金融網絡公司)的可疑行為，以及一幅用西班牙語寫著“Be Gay, Do Crimes”的漫畫。

　　Distributed Denial of Secrets共獲得了兩部分樣本，總計約2.21TB，此次事件也稱為Sherwood。相關Torrent文件可從這里獲得，相關archive.org鏡像在這里獲得。

　　Unicorn Riot網站還表示，目前已分析出1400個客戶賬戶的相關地理位置，包括780個馬恩島，272個塞浦路斯，153個英國，107個開曼群島、51個英屬維爾京群島，12個塞舌爾，11個美國，7個伯利茲，7個愛爾蘭以及少量參與離岸銀行業務的地區，包括直布羅陀，澤西島，圣基茨和尼維斯，巴巴多斯，根西島，馬耳他，和毛里求斯。

　　而且文件中的XLS電子表格還有開曼群島國家銀行幫助全球客戶管理的3800多家公司、信托基金以及個人賬戶的詳細財務信息。

　　開曼群島國家雖然還沒有承認數據泄露，但專家注意到，由于“重大升級和維護計劃”，該銀行的許多服務在11月17日之后都無法使用。

　　本文版權歸原作者所有，參考來源：NOSEC

　　(三)伊朗互聯網中斷已超過四天

　　從當地時間2019年11月16日深夜開始，伊朗幾乎無法上網。時至今日2019年11月20日，伊朗互聯網已經關閉超過四天，引發國際關注。在抗議該國燃油價格急劇上漲之后，從當地時間周六深夜開始，互聯網連接開始中斷。

　　互聯網監控非營利性機構NetBlocks監測到了事件的發展。NetBlocks表示，他們發現了區域連通性的波動，并將在當晚影響擴大到全國。據NetBlocks稱，此后，該國的互聯網流量已降至正常水平的5%。NetBlocks通過掃描Internet上的通信設備(路由器，服務器，移動電話塔)并保存每個地區已知在線的數據庫來跟蹤世界各國的連通性。通過定期通過Internet向這些設備發送簡短消息，一種稱為“ ping”的做法，NetBlocks和類似組織可以查看它們何時脫機。

　　NetBlocks的Alp Toker表示對伊朗斷網程度感到吃驚，這與世界各地其他情況的規模不同。Toker指出，該國的互聯網系統不是一個易于打開或關閉的單一網絡。相反，它有點像英國，由一系列相互鏈接的私有網絡組成。破壞這樣的系統并非易事。但是，僅通過國有電信公司和物理與數學研究所與伊朗的外部世界建立聯系，這意味著伊朗當局可以更輕松地阻止進出該國的通信。

　　薩里大學的網絡安全專家艾倫·伍德沃德(Alan Woodward)教授說：“如果該國設計了互聯網訪問權限，從而控制網關(即創建阻塞點)，則可以隨意進行審查?！?/span>

　　NetBlocks能夠檢測到具有固定線路連接的互聯網設備斷開連接以及手機端上的服務丟失，這表明無線移動互聯網也受到了干擾。

　　一名伊朗記者設法通過代理服務器向外界發布消息，代理服務器是一種將兩個獨立的網絡鏈接在一起以便在它們之間傳輸數據的互聯網設備。經過數十次嘗試，他成功了。

　　伊朗的個人也有可能使用 衛星互聯網或漫游SIM卡 訪問更廣泛的互聯網。但是，不能保證這些方法有效，并且可能會受到當局的監視。

　　對于大多數人來說，停電是無法滲透的。BBC通訊員Behrang Tajdin表示，像他的許多同事一樣，他已經失去了與該國聯系人進行基于互聯網通信的能力。

　　科技公司甲骨文公司的互聯網監控服務將其描述為“伊朗有史以來最大規模的互聯網關閉”。

　　Tajdin先生指出，伊朗已經花費了數年時間開發 內部“內聯網”網絡 ，例如，某些政府和銀行分支機構可以在關閉期間將伊朗與外界隔離，從而在該國內部保持在線。他解釋說：“人們仍然可以訪問連接到該網絡的國內網站，這意味著伊朗的應用程序可以工作，盡管沒有(國際)互聯網訪問，網站也可以工作?！眱炔烤W的存在在那些認為伊朗可以使用它來證明更長遠和更具破壞性的互聯網關閉的理由中引起了震驚。

　　Toker表示，除了社會后果之外，可能還會有嚴重的經濟后果。該公司估計，斷網對伊朗的經濟影響每天約為6000萬美元(4600萬英鎊)。他表示，是一種有害的戰略，并樹立了危險的先例。

　　天地和興安全研究院翻譯整理，參考來源：BBC

　　(四)入侵俄羅斯鐵路信息系統只需要20分鐘

　　近日，用戶名為keklick1337的黑客在某網站上發布消息，稱他在Sapsan高鐵上入侵了Wi-Fi網絡，并在20分鐘內訪問了所有用戶的數據。隨后俄羅斯鐵路專家將進行了調查。該黑客還表示，訪問火車乘客的數據并不困難，最多只需20分鐘。

　　事后，俄羅斯鐵路部門的代表回應稱，Sapsan列車的信息和娛樂系統的服務器不存儲乘客的個人數據。其多媒體門戶網站只提供一些俄羅斯鐵路新聞、電影、書籍、音樂等娛樂內容。此外，還有部分與個人相關的座位號等信息， 但這些數據不屬于個人數據，并且根據俄羅斯聯邦法律，此類數據在其服務器上存儲的時間不會超過一天。

　　該部門還補充稱，其信息娛樂系統服務器未連接到俄羅斯鐵路的內部網絡以及火車上的其他內部控制服務，因此不會對其他內部網絡及服務造成影響。

　　但這一回應可能無法讓人信服。早前，外媒“eHackingNews”就曾報道稱，從首席執行官到司機，俄羅斯鐵路公司的70.3萬名員工的個人數據已經公開。因此， 俄羅斯鐵路部門的系統安全性，仍令人堪憂。

　　本文版權歸原作者所有，參考來源：E安全

　　(五)美國路易斯安那州政府系統遭受勒索軟件襲擊

　　2019年11月18日，路易斯安那州政府遭受勒索軟件攻擊，該攻擊影響了包括汽車辦公室、衛生部、運輸與發展部在內的眾多州服務，對州內79家車管所造成了干擾·。該攻擊最初是在上午11點發布的，此前該州已強制關閉了由該州運營的許多網站以及電子郵件和Internet服務。

　　路易斯安那州衛生部(LDH)的一名員工說，那里的員工被指示斷開計算機與網絡的連接。該州的一些貨運公司正在將卡車擋在路上，因為他們無法訪問DOTD網站以申請和打印“超重”許可證之類的東西。

　　州長約翰·貝爾·愛德華茲(John Bel Edwards)在一系列推文中表示，他已啟用路易斯安那州的網絡安全團隊來協調此次攻擊的破壞。

　　該“網絡安全團隊”是 由愛德華茲州州長于2017年成立的路易斯安那州網絡安全委員會的成員，該委員會的成員包括執法人員，公共和私營部門的網絡安全專業人員以及學術界，以協調一致地應對網絡安全攻擊。

　　路易斯安那州技術服務辦公室表示，這次襲擊與7月導致路易斯安那州州長愛德華茲宣布進入緊急狀態的襲擊相似。

　　目前，尚不清楚此攻擊中分發了哪種類型的勒索軟件。

　　天地和興安全研究院翻譯整理，參考來源：Bleeping Computer

　　(六)澳大利亞發布物聯網網絡安全實踐準則草案

　　近日，澳大利亞政府發布了一項保護物聯網(IoT)的業務守則草案，并公開征求意見至2020年3月1日。該自愿行為守則旨在為消費者保護物聯網，并為行業提供最佳實踐建議。

　　該守則適用于澳大利亞所有可用的IoT設備，包括連接到互聯網的日常智能設備，例如智能電視，手表和家庭揚聲器。

　　該準則共有13條原則，其中前三條最重要的為：沒有重復的默認密碼或弱密碼、與設備制造商或服務提供商和應用程序開發人員實施漏洞披露政策、并確保軟件及固件安全更新。

　　其他的準則包括安全存儲憑據和對安全敏感的數據、確保個人數據受到保護、對傳輸中的數據和靜止數據使用“適當的行業標準”加密、驗證輸入數據是授權并符合預期的、應盡量減少暴露的攻擊面、在禁用未使用功能的情況下以最小特權原則運行設備和服務、通過安全啟動機制對軟件進行驗證，使系統能夠應對中斷，監控遙測數據中的網絡異常情況、具有清晰的說明用戶可以對個人數據進行數據處理、使設備的安裝和維護變得容易。

　　內政部長彼得·達頓(Peter Dutton)表示政府公開征求《實踐準則》意見因其希望確保滿足所有澳大利亞人對網絡安全的期望。政府與合作伙伴Five Eyes一起共同期望制造商開發具有內置安全性的互聯設備，并將于各州及地區合作，以確保協調一致。

　　天地和興安全研究院翻譯整理，參考來源：ZDNet

　　(七)Macy's遭受Magecart攻擊泄露用戶信用卡數據

　　2019年11月14日，梅西百貨公司宣布，由于其網站遭到竊取客戶付款信息的惡意腳本的黑客攻擊，他們遭受了數據泄露。該攻擊稱為MageCart，由黑客破壞網站構成，以便他們可以將惡意JavaScript腳本注入網站的各個部分。然后，這些腳本會竊取客戶提交的付款信息。

　　根據梅西百貨(Macy's)發布的“數據泄露通知”，他們的網站于2019年10月7日被黑客攻擊，并且惡意腳本已添加到“結帳”和“我的錢包”頁面。如果在這些頁面遭到入侵時在這些頁面上提交了任何付款信息，則信用卡詳細信息和客戶信息將被發送到受攻擊者控制的遠程站點。

　　2019年10月15日，該公司收到了macys.com與另一個網站之間的可疑連接的警報。該公司的安全團隊立即開始調查?；谡{查結果，在2019年10月7日，未經授權的第三方添加了未經授權的計算機代碼到macys.com上的兩頁。未經授權的代碼是高度特定的，僅允許第三方捕獲客戶在以下兩個macys.com頁面上提交的信息：(1)結帳頁面-如果使用信用卡輸入了數據并點擊了“下訂單”按鈕;以及(2)通過我的帳戶訪問的錢包頁面。我該團隊于2019年10月15日成功刪除了未經授權的代碼。

　　作為此違規行為的一部分，攻擊者能夠訪問客戶信息和信用卡信息，其中包括客戶的名字，姓氏，地址，城市，州，郵政編碼，電話號碼，電子郵件地址，付款卡號，付款卡安全碼，以及在受損頁面上提交的付款卡的有效期月/年。

　　梅西百貨(Macy's)表示，他們在2019年10月15日，即該網站被破壞并且攻擊者正在收集付款信息的整整一周后收到此黑客警報。

　　清理網站后，梅西百貨通知執法部門，并雇用了“一流的取證公司”來協助他們進行調查。他們還聯系了所有相關的信用卡品牌，包括Visa，美國運通，Discover和Mastercard，以通知他們此違規行為。

　　梅西百貨(Macy's)表示，只有少數客戶受到影響，他們制定了其他安全措施，因此不會再發生這種情況。該公司已對此事件進行了徹底調查，找出了原因，并采取了額外的安全措施作為預防措施。已通知所有受影響的客戶，該公司將免費為這些客戶提供消費者保護。

　　梅西百貨公司已開始向受影響的人發送電子郵件，并建議他們監視其信用卡對帳單中是否存在可疑或欺詐性活動。如果發現任何問題，消費者應立即與他們的信用卡公司聯系并質疑費用。

　　Macy's還向所有受此違規影響的用戶免費提供Experian IdentityWorks信用監控服務。用戶將能夠使用隨附的說明和分配給他們的唯一ID進行注冊。

　　一位匿名的研究員表示，當攻擊者破壞了梅西百貨的網站時，他們更改了https://www.macys.com/js/min/common/util/ClientSideErrorLog.js腳本，以包含混淆的Magecart腳本。

　　該研究人員還表示，當客戶提交他們的付款信息時，該腳本將啟動并將提交的信息發送到Barn-x.com/api/analysis.php上的命令和控制服務器。然后，攻擊者可以通過登錄命令和控制服務器來訪問所有被盜的付款信息。

　　天地和興安全研究院翻譯整理，參考來源：Bleeping Computer

　　(八)因遭受炸彈威脅 白俄羅斯關閉PotonMail服務

　　2019年11月15日，白俄羅斯當局在收到一波炸彈威脅后決定阻止訪問端到端加密電子郵件服務ProtonMail。威脅是由未知攻擊者從ProtonMail電子郵件地址發送給私人公司和政府組織的。該消息警告了在該國各個地方遺留和武裝的TNT炸彈。該消息稱威脅在多個地點存在，包括明斯克的五家酒店和購物中心、明斯克機場、多個區域中心的多個火車站、科技新聞網站Onliner的辦公室、化學公司Grodno-Nitrogen的Grodno辦事處、以及Novopolotsk金融公司Naftan的辦公室。響應這些消息，警察要求互聯網服務提供商(ISP)阻止訪問ProtonMail IP地址。

　　ProtonMail表示，11月15日，該公司確認白俄羅斯政府正在阻止ProtonMail和 ProtonVPN IP地址。該公司仍在調查該封鎖，并與白俄羅斯當局聯系，以恢復對該國許多用戶的電子郵件和VPN訪問。一些信息表明，政府阻止Proton的決定可能是由于據稱來自ProtonMail電子郵件地址的炸彈威脅所致。

　　俄羅斯當局于3月采取了類似措施，旨在防止恐怖分子或持不同政見者在第29屆世界大學冬季運動會在克拉斯諾亞爾斯克期間使用ProtonMail。ProtonMail指出，該禁令無助于保護白俄羅斯人民免受炸彈襲擊，相反，這是一種危險的審查制度。這是ProtonMail在白俄羅斯的第二次封鎖。2019年6月，白俄羅斯用戶報告了在明斯克舉行的2019年歐洲運動會期間訪問網絡郵件的問題。

　　天地和興安全研究院翻譯整理，參考來源：Security Affairs