原創: 周郎
7月20日,新加坡,新加坡通訊及新聞部和衛生部舉行聯合召開記者會。新加坡遭受嚴重的網絡安全攻擊。新加坡保健集團旗下專科門診和綜合診所病患的非醫療個人資料被非法獲取和複制,其中包括病患姓名、國籍、地址、性別、種族和出生日期。這些患者就診時間在2015年5月1日至2018年7月4日之間。而總理李顯龍當天證實了他的門診記錄和配藥記錄也在其中,除他外新加坡政府多名部長的個人資料和門診配藥記錄也被黑客非法獲取。
而李顯龍也表示這次網絡攻擊的目標就是他,黑客在攻擊過程多次搜索他的醫療記錄。李顯龍稱,這些黑客是希望找到一些國家機密或令他本人難堪的信息。但同時,李顯龍也表示這些黑客會感到失望,因爲其中“沒有什麽令人擔憂的東西”。
圖源聯合早報網
新加坡保健集團是新加坡最大的醫療保健集團,擁有兩家醫院和包括癌症、心髒、神經學、眼科、牙科在內的5個國家級專科中心,9個綜合診所和一家社區醫院。這意味著包括總理李顯龍在內有四分之一的新加坡人的醫療記錄被竊取。這是新加坡迄今爲止遭受的最嚴重的網絡攻擊。被媒體稱爲“有史以來最大的災難”。新加坡網絡安全局(CSA)及綜合衛生信息系統(IHIS)發起的調查確認了此次襲擊是“蓄意的,有目標的,計劃嚴密的”,並非“業余黑客或犯罪分子”的“作品”。
圖源新華網
在20日的記者會上,新加坡衛生部長顔金勇向受影響的病人表達歉意。這次醫療系統中數據均沒有被篡改,並且被竊取數據目前並沒有被公布網絡,而黑客竊取數據的真正目的官方並沒有給出說明。而今年1月至2月的時候新加坡啓動了一項特殊網絡安全工作計劃,邀請黑客設法入侵本國網絡,請他們協助查找網絡中存在的薄弱環節,加強網絡安全。當時也是備受爭議。
看來網絡安全和維護不只是靠黑客主動發現網絡問題,進行攻擊這種最優惠形式找出問題去彌補就能一勞永逸。但這次的安全網絡災難並沒有讓新加坡在數據庫智能化道路上退縮。李顯龍表示,盡管數據庫可能遭到攻擊,但不能回到紙質記錄的時代,必須不斷前進,建設安全智慧國。他已指示新加坡網絡安全局(CSA)和智慧國及數碼政府工作團(SNDGG),與衛生部一同合作,全面加強相關防備和程序。
圖源carsjp
無獨有偶,UpGuard安全公司的研究員Chris Vickry最近發現了一家公司的數據庫後門大敞,這讓他大爲驚訝!這家公司就是Level One,一家2000年創辦于加拿大的汽車供應商,由于提供機器人和自動化方面的工程服務,在全球有100多家合作夥伴。100廠家是什麽概念,從通用汽車、菲亞特克萊斯勒、福特、豐田,大衆到特斯拉,各大品牌都沒幸免。小編大膽猜測下,也許有的中國的品牌也在其中。
這真的很讓人窒息!競爭激烈的汽車市場,研發設計,專利數據,商業機密都是汽車産業的極大競爭力體現。而且這不是黑客攻擊的數據泄露,它是不知從何時開始的後台大敞,可以無阻礙訪問各種汽車機器品牌隱私敏感文件。說得通俗易懂點,即是任何一個路過Level One數據庫的網友都可以下載甚至私自篡改這些文件,各大品牌恨不得十層加密的內部文件,在這裏歡迎你去訪問。真的讓人意想不到。
圖源推特
于是,7月9日,Chris Vickery聯系到Level One,10日,Level One采取斷網脫機的方式,暫時止住了數據庫裸露。Level One的文件傳輸使用的是rsync這一程序,就是通過它可以無障礙訪問上述所有隱私數據。罪魁禍首的rsync其實是一種廣泛使用的應用程序,經常用于大型數據傳輸和備份。但是,如果不采取適當的步驟限制rsync服務,數據可能就有泄露的風險。這一次,Level One錯在沒有限制使用者的IP地址,讓非指定客戶端也能連接,並且也沒有設置用戶訪問權限,比如客戶端在接收信息前進行身份驗證等。就像我們的手機沒有設置任何密碼,指紋或者面部識別限制,任何撿到手機的人都可以打開它,進行操作。
圖截推特
這次泄露的數據龐大到吃瓜群衆的瓜都能被嚇掉。雖然Level OneCEO稱他非常重視這件事,並且會大力調查,另外還聲明,除了安全研究員Vickery之外,任何外部各方幾乎不可能找到該入口、看到這些數據。但現在沒有任何有力證據證明CEO單薄的口頭保證。各大與Level One合作的汽車品牌,可能急得像熱鍋上的螞蟻,卻只能吞下這口黃連。因爲現在明確的是這只是細思極恐的漏洞。
除了汽車的設計,電腦動畫演示,機器線路和組裝,以及各種私密合同,另外大量暴露的是公司員工的個人隱私和客戶信息比如:特斯拉的保密協議。還有,還有Level One自己的數據。比一些合作的合同、發票、報價、工作範圍和客戶協議等,也在該數據庫中。真的是“泄露來的太快太猛就像龍卷風”。
圖源推特
而且,在漏洞發現時,rsync服務器上設置的權限表明,服務器竟然是可公開寫入的?如果這些資料落入不懷好意的人手中,對于汽車制造甚至是安全問題帶來不可估量的損失。想想都讓人後頸發麻。
說到因爲第三方代理、合作公司導致數據泄露,大家都能想起今年3月Facebook的數據泄露事件。劍橋分析作爲Facebook的第三方外包商,它們利用科根開發的心理測試小程序,以付費測試的方式吸引了27萬人自願參與,之後又通過這27萬人的朋友圈收獲了5000萬用戶的資料。通過測試和用戶資料分析可得知用戶的性向,愛好,甚至是政治態度。
圖源界面
而原本Facebook授權科根的公司收集用戶信息只能用于研究分析,到這裏都沒有任何違規行爲。只是科根轉手將這些信息二次賣于劍橋分析,用做政治態度,傾向分析,進一步對他們的目標用戶進行政治廣告投遞,來影響之後的美國總統大選。科根也一直刻意隱瞞了他雙重國籍的身份,科根不只有美國國籍,還擁有俄羅斯國籍。同時俄羅斯也被查出長期在Facebook投放政治廣告影響美國選民。加上劍橋分析在大選期間的確和特朗普團隊在合作,一切像突然串聯起得珠串,所以“特朗普通俄門”就開始這樣沸沸揚揚了。雖然科根表示這種的影響很小。可涉及到5000萬人,相當于選民的四分之一,誰能相信他們做了也沒有影響呢!
而回到事件的最開始,泄露的源頭,是每一個用戶參加測試的用戶自願獻出隱私。同時Facebook也授權了用戶信息做于研究用途。想一想我們平時在微博,微信裏做的小程序測試,以及一時圖方便關聯登錄其它APP,頓時笑容僵硬。可即便我們不做,不授權自己的信息登錄第三方平台,在我們只是浏覽任何網頁之後,你會驚奇的發現你的各大平台首頁會有你最近就很感興趣的內容,話題,人物和想要購買的商品。
這些都是各大網站和APP在收集用戶信息,再進行的“個性化定制”。當然在你注冊任何網站和APP時你同意了那份“用戶協議”和“隱私政策”,就意味著你已同意自己相關信息被該網站或APP合理合法收集。大數據時代,我們的個人信息隱私既是最有價值的,又是最廉價的。一切可平台競爭力都與用戶信息息息相關,我們的信息卻常常被我們無意間授權共享了。因此各大平台在得到用戶信息後的分析,用途的底線就顯得極爲重要。
我們購物,叫外賣,出行,觀影,運動,都愈加依賴于電子化,網絡化。所走的每一步,都在網絡裏留下痕迹。在我們個人努力進行自我信息保護的同時,更需要國家出台更全面的法律保障和企業平台的合理使信息並加強用戶數據保護,同時大力打擊非法販賣個人信息的違法活動。
新聞來源于:聯合早報網,環球網,推特,新華網