非接触式万事达卡和Maestro卡被曝新漏洞！黑客可免密支付

非接触式支付，为我们生活提供了极大的便利性。然而其背后隐藏的安全漏洞，也受到了高度关注。

近日，苏黎世的瑞士工程学院的研究人员发现了一个新的漏洞——非接触式万事达卡和Maestro密码可以被轻松绕过。

此漏洞如果利用得当，黑客可以使用被入侵的万事达卡或Maestro卡进行非接触式支付，这意味着他们无需输入密码便可以完成交易。

首先，在两部Android智能手机上安装专用软件。一个设备用于模拟正在安装的销售点终端，另一个作为一个卡片模拟器，允许将修改后的交易信息传输到真正的销售点设备。一旦卡片启动交易，它就会泄露所有相关信息。

目前的实验集中在非Visa非接触式支付协议使用的卡上的PIN绕过，但使用的都是相同的策略和已知的漏洞。该团队能够拦截Visa的非接触式支付规范，并将交易方面转移到一个真正的销售点终端，该终端并不知道交易凭据的来源，直接验证并确认了PIN和购卡者的身份，因此PoS也不需要进行进一步的检查和身份鉴别流程。

普普点评

由于这个漏洞的严重性及其潜在的后果难以估量，研究人员目前还没有透露所使用应用程序的名称。但是若无法保证安全性，再便捷的支付方式也将毫无意义。随着信息技术的发展，黑客的技术能力同样与日俱增，相关企业单位在着力于新支付方式的开拓过程中，应当把支付安全放在首位，要对其进行全面的安全测试。同时面对新出现的安全风险，也应该在最短的时间内调配资源进行漏洞修复，加强防护。

曼谷航空公司200GB数据遭LockBit勒索软件运营商窃取

LockBit勒索软件团队窃取了超过200GB曼谷航空公司数据，并在其泄密网站上发布了一条消息，威胁说如果曼谷航空不支付赎金，就会泄露被盗数据，消息还显示他们有更多的数据要泄露。

8月29日，曼谷航空公司就数据泄露事件发布致歉声明。声明显示，该公司于8月23日发现了安全漏洞，并立即在网络安全团队的协助下展开调查，以确定事件的严重程度。调查显示，泄露的数据可能包括乘客姓名、姓氏、国籍、性别、电话号码、电子邮件、地址、联系信息、部分信用卡信息和特殊膳食信息。

为避免更大损失，对于近期乘坐此航空公司的旅客，公司强烈建议乘客联系银行或信用卡提供商，尽快更改任何可能泄露的密码。另外，曼谷航空公司提醒其客户保持警惕，并注意任何可疑或未经请求的电话或电子邮件，因为攻击者可能会尝试进行网络钓鱼攻击等恶意活动。

曼谷航空公司还表示，安全漏洞并未影响公司的运营或航空安全系统，但不确定攻击者是否已经访问了属于乘客的个人数据，曼谷航空公司也已向当局报告了这次事件。

普普点评

面对不断出现的新型勒索病毒，企业单位需要加强信息安全防范。可通过对重要文件进行定期的非本地备份、关闭非必要的文件共享功能、关闭高危端口、加强用户密码的复杂程度、提升运维人员安全意识及安装对应防护软件等方式进行防护。对勒索病毒的防范工作应该是常态化、体系化的，否则一旦出现信息泄露，不仅会对企业造成经济损失，而且公众重要信息的外泄还会对社会生活的正常秩序造成影响。

DockerHub再现百万下载量黑产镜像 小心你的容器被挖矿

近年来云原生容器的应用越来越流行，统计数据显示高达47%生产环境容器镜像会来源于公用仓库，Docker Hub作为全球最大的公共容器镜像仓库，已然成为整个云原生应用的软件供应链安全重要一环，其镜像的安全风险问题对生态影响尤为重要。腾讯安全云鼎实验室针对云原生容器安全进行了长期研究投入，对Docker Hub的镜像安全风险建立了长期监控和安全态势分析。近期监测到一个较大的挖矿黑产团伙anandgovards（挖矿账户中包含了这个邮箱账号），利用Docker Hub上传特制挖矿镜像，通过蠕虫病毒快速感染docker主机，进而下载相关镜像进行挖矿。该黑产团伙从2020年6月开始使用3个Docker Hub账户制作了21个恶意镜像，累计下载传播量达到342万，获取了不低于313.5个门罗币。

针对该黑产团伙anandgovards，我们通过对Docker Hub的安全监控和分析暂时发现3个相关账户，共涉及21个镜像，其中最高的下载量达到百万。通常黑产通过蠕虫病毒感染docker主机，入侵成功后，再自动下拉这些黑产镜像到本地运行进行挖矿获利。

普普点评

随着容器应用的快速发展，与之伴生的安全问题也不容忽视。黑产团伙通过容器服务器的漏洞传播的蠕虫病毒，通过下拉挖矿镜像进行获利，已然是现阶段容器相关黑产的主流手段。除了下载挖矿镜像以外，现有的模式可以轻松将挖矿镜像替换成其他恶意软件，造成更大的破坏。相关企业在享受容器应用带来的便利时，也需要建立对应的安全防护体系，来防范不法分子的恶性攻击。

曾勒索卡普空的黑客组织解散 并向受害者免费公布密钥

去年11月，有一个勒索组织攻击并勒索了日本老牌游戏开发商卡普空Capcom，窃取了卡普空约1TB 数据，勒索金额 1100 万美元。就在上周，这个勒索组织Ragnarok在他们的门户网站上宣布解散，离别之际，还不忘为受害者留下一份礼物——解密器。

Ragnarok是从2019年开始进入人们视野的一个勒索软件团伙，曾攻击过法国、爱沙尼亚、斯里兰卡、土耳其、泰国、美国、马来西亚、中国香港、西班牙和意大利的公司，攻击范围涵盖了制造业到法律服务等多个领域。

企业若是没有备份数据的话，就不得不支付赎金购买解密密钥以维持企业正常运营，这是第一重勒索。企业就算备份了数据，勒索软件团伙仍可以威胁企业不支付赎金就公布窃取的数据，这是第二重勒索。这就是勒索事件中所谓的双重勒索。

这个组织的门户网站本来是用来公布不愿妥协的受害者的数据的，如今随着组织宣布解散，上面公布的内容也变为了受害者加密文件的解密器，以及一份关于如何解密文件的简短说明。经安全研究人员证实，该解密器是有效的。

普普点评

企业单位遭受黑客组织攻击而付出巨大代价的事件还是不断发生，但是可喜的是，随着各国对黑客组织的严厉打击，一些组织迫于压力只能解散。但是这些组织成员如果没有被绳之以法，很有可能再加入别的组织继续进行黑客行为。加大黑客组织打击力度的同时，企业单位自身也需要加强信息安全体系建设。未来还将有无数的数据攻防不断上演，信息安全常态化建设才是解决之道。

医疗行业网络安全市场未来五年将高速增长

根据ResearchAndMarkets的调查报告，在2021年至2026年的预测期内，医疗行业网络安全市场的复合年增长率将高达15.6%。报告指出，从2018年到2021年，针对医院的勒索软件攻击大幅增加，这意味着医疗行业急需采取更多网络安全措施。

医院很容易受到网络攻击，因为现有的医疗技术系统变得越来越复杂。而且，医院工作人员更依赖移动设备和监控设备。他们还负责收集患者的个人详细隐私信息，包括社会安全号码、正在服用的药物和信用卡信息。这使医院成为攻击者的主要目标。

如今，联网医疗设备的数量已经超过了移动计算设备（例如手机和笔记本电脑）。它们在提供护理和运营效率方面发挥着重要作用，但另一方面，每个连接的设备也为恶意网络攻击打开了大门。

2019年HIMSS网络安全调查显示，大多数医疗行业网络安全事件是由不良行为者造成的，他们主要使用电子邮件渗透系统。HIPAA估计，在2019年三月份，美国大约100万人在数据泄露事件暴露了病例档案。这直接导致数据泄露成本呈指数级增长，医疗行业平均数据泄露成本已经高达819万美元。

普普点评

一些无意中进入设备、软件、服务器或补丁的漏洞是医疗行业网络安全市场的其他驱动因素。医疗行业所收集的庞大信息，需要利用不断发展的信息处理技术进行妥善的处置，未来还将有更多的行业面临新技术带来的巨大改变。享受新技术带来的便利性时，伴生的安全威胁已是无法避免的问题。这些行业需要从改变的初期阶段就重视网络安全体系建设，降低安全风险。

四成互联网流量来自恶意机器人

Barracuda的一份报告显示，自动流量占互联网流量的64%，但其中只有25%的自动流量是由搜索引擎爬虫和社交网络机器人等良性bot（bot包括机器工具、自动机等）构成的，而所有流量中有39%来自恶意bot。这些恶意bot包括常见的网络爬虫和攻击脚本，以及高级的持久性bot。这些持久性bot尽最大可能逃避标准防御和检测，偷偷从事恶意活动。

报告显示，这些持久性bot中最常见的是追踪电子商务应用程序和登录门户的bot。据统计，北美占不良bot流量的67%，其次是欧洲占22%，然后是亚洲占7.5%。有趣的是，与北美流量相比，欧洲的bot流量更多来自托管服务(VPS)或住宅IP，其中大部分来自公共数据中心。

研究还显示，大部分bot流量来自两个最大的公共云供应商AWS和Microsoft Azure，数量大致相同。这可能是因为不法分子更容易在这两个供应商处设置免费帐户，然后借此设置恶意bot。研究人员还观察到，恶意bot流量往往遵循标准工作日时间，使它们能够隐藏在正常的人工流量中，以避免被发现。

普普点评

超过60%的机器人致力于大规模开展恶意活动。如果不加以检查，这些不良机器人可能会窃取数据、影响站点性能，甚至导致数据泄露。这也是检测并有效阻止bot流量是至关重要的原因。企业需要采取积极主动的步骤，在不损害其网络资产可用性的情况下，积极地阻止恶意的机器人。当我们努力控制机器人的崛起时，利用行为控制而不是静态规则要有效得多。