要闻速览

1、《数据安全技术 数据分类分级规则》等5项网络安全国家标准获批发布

2、一图读懂 | 上海通管局开展2024年车联网网络和数据安全专项行动

3、谷歌Firebase泄露1900万明文密码，2.2亿条数据记录

4、埃塞俄比亚一银行Bug，引发"取钱狂潮"，民众捡漏取走几十亿

5、偷车问题激增，加拿大计划禁售黑客工具 Flipper Zero

6、没完了？美政府又炒作"中国黑客"攻击其供水系统

一周政策要闻

《数据安全技术 数据分类分级规则》等5项网络安全国家标准获批发布

根据2024年3月15日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2024年第1号），全国网络安全标准化技术委员会归口的5项国家标准正式发布。具体清单如下：

信息来源：全国网络安全标准化技术委员会  https://www.tc260.org.cn/front/postDetail.html?id=20240321160121

一图读懂 | 上海通管局开展2024年车联网网络和数据安全专项行动

2024年3月6日，上海市通信管理局发布《上海市通信管理局关于开展“铸盾车联”2024年车联网网络和数据安全专项行动的通知》，以下为针对该通知的图文解读：

信息来源：上海通信圈https://mp.weixin.qq.com/s/sQYpEZOkHEpUVyxVKcJ1hg

业内新闻速览

谷歌Firebase泄露1900万明文密码，2.2亿条数据记录

近日，三位网络安全专家近日发布报告，谷歌旗下 Firebase 平台实例存在配置错误问题，导致近1900万个明文密码曝光。

三人扫描了500多万个域名，发现有916个组织的网站要么没有启用安全规则，要么安全规则设置错误。专家扫描发现了超过1.25亿条敏感用户记录，其中包括电子邮件、姓名、密码、电话号码以及包含银行详细信息的账单信息。

专家表示 Firebase 实例根本没有设置安全规则，或者配置不正确，允许他人读取访问数据库。

IT之家基于报道，附上本次发现的数据信息如下：

人名：84221169 个

电子邮件地址：106266766 个

电话号码：33559863 个

密码：20185831 个

账单信息（银行详情、发票等）：27487924 条

而更为严重的是，本次曝光的20185831个密码中，98%都是明文存储的，确切地说是19867627个密码都是纯文本。

Firebase 是一家实时后端数据库创业公司，它能帮助开发者很快地写出 Web 端和移动端的应用。该公司在2014年被 Google 收购，截至2020年3月，Firebase 平台拥有19项产品，它们被超过 150万个应用程序采用。

消息来源：IT之家  https://baijiahao.baidu.com/s?id=1794014986514465063&wfr=spider&for=pc

埃塞俄比亚一银行Bug，引发"取钱狂潮"，民众捡漏取走几十亿

近日，埃塞俄比亚最大的商业银行（Commericial Bank of Ethiopia）出现一起技术故障，旗下的 ATM 可以“无限额”取钱……

事故发生在当地时间上周六，拥有超过 3800 万名用户的埃塞俄比亚最大的商业银行（Commericial Bank of Ethiopia）突然出现技术故障 ，使得一些用户可以在银行的 ATM 机上取出超过自身账户余额的金钱，甚至可以通过网银把这些钱转至其他银行账户。

很快这一”免费“获取更多钱财的消息通过电话和短信的方式迅速传播，有些民众把“好消息”发在了社交群里，引发了全民”取钱热“。

值得一提的是，ATM 故障期间，提取大部分资金的是一些大学生，埃塞俄比亚西部的一名学生向 BBC 透露，校园自动取款机外排起了长队，学生们不停地取款，直到警察赶到并阻止他们。据当地媒体报道，“系统故障”持续了数小时，超过 1 亿美元被提取或转移到其他银行。

银行迅速回应故障事件：

ATM 故障持续很长时间，直到商业银行发现问题后，立刻连续发布了多份紧急通知，表示银行遭遇了系统故障，多项业务都受到了影响，已经解决了技术问题，”取钱热“才慢慢平息下去。此外，该银行还强调，为避免造成损失，已经中断了所有业务，银行的网络并没有受到损害，还请客户不必担心，他们的个人账户都很安全。

当地时间本周一，商业银行举行了发布会，银行行长 Abe Sano 表示，故障期间，发生了超过 49 万笔“不健康和非法”的银行交易，与银行的总资产相比，损失的金额较小。同时，Abe Sano 一直强调 CBE 没有遭到网络攻击，向客户一再保证他们的账户并未受到影响，并敦促他们不要惊慌。

对于损失金额的具体数目是多少，部分当地媒体报道称，商业银行共有近 23 亿比尔（超过 2 亿 8 千万元人民币）遭到了恶意提取，或被转移到了其他银行。《财富》杂志援引消息人士的话报道称，故障期间发生了约 6.6 万笔交易，并表明多达 60 亿比尔（1.05亿美元）的交易被撤回。

目前，商业银行正在对故障期间的异常交易进行调查，也已经向当局报告了进行“大额交易”的用户，各大高校也已经发表了声明，要求学生退还不属于他们的钱。目前，相关部门正在追回用户利用“系统故障”取走的大笔资金。同时，Sano 承诺，退还资金的个人不会面临刑事指控。

消息来源：FREEBUF  https://www.freebuf.com/articles/395363.html

偷车问题激增，加拿大计划禁售黑客工具 Flipper Zero

近期，加拿大政府计划禁售黑客工具 Flipper Zero 和类似设备，因为它们被标记为窃贼可以用来偷车的工具。

Flipper Zero 是一款便携式可编程测试工具，可帮助通过多种协议（包括 RFID、无线电、NFC、红外和蓝牙）试验和调试各种硬件和数字设备，获得了不少极客和黑客的青睐。

自产品发布以来，用户纷纷在社交媒体展示 Flipper Zero 的功能，包括利用重放攻击解锁汽车、打开车库门、激活门铃和克隆各种数字钥匙。

Flipper Zero 复制迈凯伦钥匙扣并解锁汽车：加拿大工业部长 François-Philippe Champagne 近日表示：“犯罪分子一直在使用复杂的工具来偷车，加拿大人有理由保持担忧。今天，我宣布将禁止进口、销售和使用这些用于实施犯罪的消费者黑客设备。”

据加拿大政府称，每年约有 9 万辆汽车（或每六分钟一辆汽车）报告被盗窃，汽车盗窃每年造成 10 亿美元的损失，其中包括修理和更换被盗汽车的保险费用。

消息来源：IT之家  https://baijiahao.baidu.com/s?id=1790657392428974508&wfr=spider&for=pc

没完了？美政府又炒作"中国黑客"攻击其供水系统

澎湃新闻3月22日消息，美国近年来多次无端指责“中国黑客组织”对其进行网络攻击，最近开始将炒作焦点放在了关键基础设施领域。当地时间3月18日，白宫国家安全顾问沙利文和环境保护署署长迈克尔·里根联合致信各州州长，声称有外国黑客正攻击全美供水和污水处理系统，并特别提及了中国和伊朗。

沙利文和里根在公开信中表示，“网络攻击正在袭击各地的供水和污水处理系统”。“这些袭击可能会破坏清洁安全饮用水这一关键生命线，并给受影响社区带来巨大损失，”公开信中写道，“我们写信是为了描述这些威胁的性质，并请求你们合作采取重要行动，以确保供水系统免受这些袭击日益增加的风险及其后果的影响。

”随后，二人开始无端抹黑中国和伊朗，声称两大威胁分别来自于“与伊朗伊斯兰革命卫队有关的黑客”和“中国黑客组织‘伏特台风’（Volt Typhoon）”。据他们所说，前者正在实施破坏，后者“正在预先部署，以便在发生地缘政治紧张局势或军事冲突时实施破坏”。

沙利文和里根呼吁各州政府积极采取行动，并计划于当地时间3月21日与州领导人举行一次虚拟会议，讨论保护关键水利部门免受网络攻击的必要性。

目前，中国外交部发言人毛宁就此事回应称，中国坚决反对并依法打击任何形式的网络攻击，美方在缺乏有效证据的情况下妄下结论，对中国无端指责抹黑，极其不负责任，纯属混淆是非，中方对此坚决反对。

消息来源：澎湃新闻  https://www.thepaper.cn/newsDetail_forward_26773594

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！