又有黑客攻击!三星也遭殃,证实数据泄露!
source link: http://finance.jrj.com.cn/tech/2022/03/08194434542264.shtml
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
又有黑客攻击!三星也遭殃,证实数据泄露!
0评论 2022-03-08 19:44:00 来源:中国基金报 作者:忆山
继国际芯片巨头英伟达被曝遭到黑客组织Lapsus$攻击,约 1 TB 数据被窃取后;近日,韩国科技巨头三星电子也被该黑客组织盯上了,并被泄露了大量机密数据。
三星遭受重大数据泄露
据悉,黑客组织Lapsus$先是发布了一张三星软件里的C/C++ 指令截图,随后便对泄密内容进行了公布,称其中包含三星机密源代码。
该黑客组织称,泄露的数据包括:用于敏感操作的三星TrustZone 环境中安装的每个受信任小程序 (TA) 的源代码(例如硬件加密、二进制加密、访问控制)、所有生物特征解锁设备算法、所有最新三星设备的引导加载程序源代码、三星激活服务器的源代码、用于授权和验证三星帐户的技术的完整源代码(包括 API 和服务)、来自高通的机密源代码等。
此外,黑客组织Lapsus$将这些数据拆分为三个压缩文件,文件总大小接近190GB,并已开通对外下载渠道,该组织还表示会部署更多的服务器来提高下载的速度。
消息曝出后,不少业内人士表示担忧,如果信息准确的话,说明三星遭受了重大数据泄露,可能会对公司造成巨大损害。
据了解,获得源代码可以让黑客找到设备安全系统中的漏洞,进而将用户暴露在可能的数据被盗的风险之下。
三星证实数据泄露
据The Verge报道,三星电子于3月7日发布声明证实了数据泄露事件,但否认会影响客户或员工的个人数据。
三星表示,公司最近被告知存在内部数据相关的安全漏洞。发现事件后便立即加强了安全系统。根据公司的初步分析,此次泄露涉及一些与 Galaxy 设备操作相关的源代码,但不包括消费者或员工的个人信息。
“目前,公司预计不会对业务或客户产生任何影响。并已采取措施防止此类事件再次发生,并将继续为客户提供服务。”三星表示。
据悉,Lapsus$是一个高度保密的黑客组织,此前曾攻击过巴西卫生部的网络系统,并黑掉了葡萄牙最大的媒体集团Impresa Group旗下的一家报纸和一家电视频道的官网。针对三星数据泄露,目前该黑客组织没有提到赎金问题,也没有表示会与三星进行沟通。
英伟达也遭殃
71000名员工数据或被泄露
值得注意的是,不久前国际芯片巨头英伟达也遭到了该黑客组织的攻击。
今年2月底,Lapsus$公开承认对英伟达进行了网络攻击,并已拥有来英伟达的大约 1 TB 数据。仅硬件文件夹就有 250GB,其中包含有关“所有最近的 Nvidia GPU”的信息等。
据悉,该组织此前威胁英伟达取消对其最近显卡的限制,不然将会泄露更多的数据。随后Lapsus$于3月初更新了要求,增加要求英伟达永久将其 GPU 驱动程序完全开源(用于 Windows 、macOS和 Linux 设备)。
据了解,随着虚拟货币价格一路上涨,越来越多的人开始涌入“挖矿”大军,市场上的显卡也出现大面积短缺。去年5月,英伟达为了防止旗下显卡被用作“挖矿”,便限制了其部分性能。
不过英伟达并未答应Lapsus$的要求。该公司表示已对其安全性进行了改进,且通知了执法部门,正在与网络安全专家合作应对攻击。据悉,此前英伟达还曾尝试入侵该黑客组织的电脑系统,但Lapsus$随后表示已提前对所有数据进行了备份。
目前,该黑客组织表示,其将以100万美元的价格出售部分数据信息。而据电子邮件入侵警报网站 Have I Been Pwned 透露,英伟达或有超过71000名员工的电子邮件和密码哈希值被黑客攻击,而这些信息能帮助黑客破解密码。
值得注意的是,英伟达的员工人数远少于 71000 人,根据该公司2021年度报告数据,公司在 29 个国家/地区共有 18975 名员工。因此有媒体推测被泄露的员工数据可能还包括公司以前的员工。
而英伟达仅在3月1日就泄露事件发布声明,近期则没有再更新。在这则声明里,英伟达表示已关注到网络安全事件,在员工信息泄露上,已要求所有的员工修改密码,预计事件不会对公司业务或者公司为客户提供服务造成干扰。
而针对有人猜测攻击事件与俄乌冲突有关,英伟达表示没有证据证明这事是真的。
两会代表和委员建言保护数据安全
事实上,网络安全和数据安全监管已成为各国共同关注的议题,政府工作报告也指出要“强化网络安全、数据安全和个人信息保护”。而在两会期间,有不少两会代表和委员为保护数据安全建言献策。
全国人大代表、民建中央委员林勇建议,明确数据所有权、使用权、处理权、控制权、收益权等各种权利属性,确定各种数据权拥有者的相关权责;制定非网络数据交易领域信息安全全国性行政法规;在实施“东数西算”工程中,加强国家算力枢纽节点和数据中心集群的配套法规体系建设,加强信息安全防护,防止数据非法外泄。
全国政协委员、360创始人周鸿祎建议,将网络安全升级为数字安全,打造覆盖所有数字化场景的数字安全防范应急体系,以应对工业互联网、车联网、智慧城市、云安全、数据安全、供应链安全等挑战。同时,政策面上把数字安全纳入新基建,各地数字化建设之初便将安全考虑在内,并互联互通,调集社会各方力量共同参与数字安全体系建设,真正提升国家数字安全能力。
全国人大代表、海尔集团董事局主席兼CEO周云杰建议,建立智能家电行业数据合规治理体系;尽快研制智能家电行业数据合规治理平台;制定与修改数据资产流通相关法律法规的议案。
全国人大代表、长安汽车(11.24 -0.35%,诊股)董事长朱华荣表示,随着智能网联汽车的快速发展,汽车数据的隐私和安全问题也需要引起关注,建议完善相关法律法规、加强汽车相关数据保护,以进一步促进智能网联汽车的发展。
全国人大代表、贵州白山云科技股份有限公司创始人兼CEO霍涛建议,行政监管部门应设立个人数据综合管理平台,使信息主体能够直观查看个人数据被收集、处理的情况,从而为互联网用户个人信息筑起一道安全防火墙。
(责任编辑:郭艳艳RF12556)
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK