繼國際晶片巨頭英偉達被曝遭到黑客組織Lapsus$攻擊,約 1 TB 資料被竊取後;近日,南韓科技巨頭三星電子也被該黑客組織盯上了,并被洩露了大量機密資料。
三星遭受重大資料洩露
據悉,黑客組織Lapsus$先是釋出了一張三星軟體裡的C/C++ 指令截圖,随後便對洩密内容進行了公布,稱其中包含三星機密源代碼。
該黑客組織稱,洩露的資料包括:用于敏感操作的三星TrustZone 環境中安裝的每個受信任小程式 (TA) 的源代碼(例如硬體加密、二進制加密、通路控制)、所有生物特征解鎖裝置算法、所有最新三星裝置的引導加載程式源代碼、三星激活伺服器的源代碼、用于授權和驗證三星帳戶的技術的完整源代碼(包括 API 和服務)、來自高通的機密源代碼等。
此外,黑客組織Lapsus$将這些資料拆分為三個壓縮檔案,檔案總大小接近190GB,并已開通對外下載下傳管道,該組織還表示會部署更多的伺服器來提高下載下傳的速度。
消息曝出後,不少業内人士表示擔憂,如果資訊準确的話,說明三星遭受了重大資料洩露,可能會對公司造成巨大損害。
據了解,獲得源代碼可以讓黑客找到裝置安全系統中的漏洞,進而将使用者暴露在可能的資料被盜的風險之下。
三星證明資料洩露
據The Verge報道,三星電子于3月7日釋出聲明證明了資料洩露事件,但否認會影響客戶或員工的個人資料。
三星表示,公司最近被告知存在内部資料相關的安全漏洞。發現事件後便立即加強了安全系統。根據公司的初步分析,此次洩露涉及一些與 Galaxy 裝置操作相關的源代碼,但不包括消費者或員工的個人資訊。
“目前,公司預計不會對業務或客戶産生任何影響。并已采取措施防止此類事件再次發生,并将繼續為客戶提供服務。”三星表示。
據悉,Lapsus$是一個高度保密的黑客組織,此前曾攻擊過巴西衛生部的網絡系統,并黑掉了葡萄牙最大的媒體集團Impresa Group旗下的一家報紙和一家電視訊道的官網。針對三星資料洩露,目前該黑客組織沒有提到贖金問題,也沒有表示會與三星進行溝通。
英偉達也遭殃
71000名員工資料或被洩露
值得注意的是,不久前國際晶片巨頭英偉達也遭到了該黑客組織的攻擊。
今年2月底,Lapsus$公開承認對英偉達進行了網絡攻擊,并已擁有來英偉達的大約 1 TB 資料。僅硬體檔案夾就有 250GB,其中包含有關“所有最近的 Nvidia GPU”的資訊等。
據悉,該組織此前威脅英偉達取消對其最近顯示卡的限制,不然将會洩露更多的資料。随後Lapsus$于3月初更新了要求,增加要求英偉達永久将其 GPU 驅動程式完全開源(用于 Windows 、macOS和 Linux 裝置)。
據了解,随着虛拟貨币價格一路上漲,越來越多的人開始湧入“挖礦”大軍,市場上的顯示卡也出現大面積短缺。去年5月,英偉達為了防止旗下顯示卡被用作“挖礦”,便限制了其部分性能。
不過英偉達并未答應Lapsus$的要求。該公司表示已對其安全性進行了改進,且通知了執法部門,正在與網絡安全專家合作應對攻擊。據悉,此前英偉達還曾嘗試入侵該黑客組織的電腦系統,但Lapsus$随後表示已提前對所有資料進行了備份。
目前,該黑客組織表示,其将以100萬美元的價格出售部分資料資訊。而據電子郵件入侵警報網站 Have I Been Pwned 透露,英偉達或有超過71000名員工的電子郵件和密碼哈希值被黑客攻擊,而這些資訊能幫助黑客破解密碼。
值得注意的是,英偉達的員勞工數遠少于 71000 人,根據該公司2021年度報告資料,公司在 29 個國家/地區共有 18975 名員工。是以有媒體推測被洩露的員工資料可能還包括公司以前的員工。
而英偉達僅在3月1日就洩露事件釋出聲明,近期則沒有再更新。在這則聲明裡,英偉達表示已關注到網絡安全事件,在員工資訊洩露上,已要求所有的員工修改密碼,預計事件不會對公司業務或者公司為客戶提供服務造成幹擾。
而針對有人猜測攻擊事件與俄烏沖突有關,英偉達表示沒有證據證明這事是真的。
兩會代表和委員建言保護資料安全
事實上,網絡安全和資料安全監管已成為各國共同關注的議題,政府工作報告也指出要“強化網絡安全、資料安全和個人資訊保護”。而在兩會期間,有不少兩會代表和委員為保護資料安全建言獻策。
全國人大代表、民建中央委員林勇建議,明确資料所有權、使用權、處理權、控制權、收益權等各種權利屬性,确定各種資料權擁有者的相關權責;制定非網絡資料交易領域資訊安全全國性行政法規;在實施“東數西算”工程中,加強國家算力樞紐節點和資料中心叢集的配套法規體系建設,加強資訊安全防護,防止資料非法外洩。
全國政協委員、360創始人周鴻祎建議,将網絡安全更新為數字安全,打造覆寫所有數字化場景的數字安全防範應急體系,以應對工業網際網路、車聯網、智慧城市、雲安全、資料安全、供應鍊安全等挑戰。同時,政策面上把數字安全納入新基建,各地數字化建設之初便将安全考慮在内,并互聯互通,調集社會各方力量共同參與數字安全體系建設,真正提升國家數字安全能力。
全國人大代表、海爾集團董事局主席兼CEO周雲傑建議,建立智能家電行業資料合規治理體系;盡快研制智能家電行業資料合規治理平台;制定與修改資料資産流通相關法律法規的議案。
全國人大代表、長安汽車董事長朱華榮表示,随着智能網聯汽車的快速發展,汽車資料的隐私和安全問題也需要引起關注,建議完善相關法律法規、加強汽車相關資料保護,以進一步促進智能網聯汽車的發展。
全國人大代表、貴州白山雲科技股份有限公司創始人兼CEO霍濤建議,行政監管部門應設立個人資料綜合管理平台,使資訊主體能夠直覺檢視個人資料被收集、處理的情況,進而為網際網路使用者個人資訊築起一道安全防火牆。
本文源自中國基金報