记者/忆山
继国际芯片巨头英伟达被曝遭到黑客组织Lapsus$攻击,约 1 TB 数据被窃取后;近日,韩国科技巨头三星电子也被该黑客组织盯上了,并被泄露了大量机密数据。
三星遭受重大数据泄露
据悉,黑客组织Lapsus$先是发布了一张三星软件里的C/C++ 指令截图,随后便对泄密内容进行了公布,称其中包含三星机密源代码。
该黑客组织称,泄露的数据包括:用于敏感操作的三星TrustZone 环境中安装的每个受信任小程序 (TA) 的源代码(例如硬件加密、二进制加密、访问控制)、所有生物特征解锁设备算法、所有最新三星设备的引导加载程序源代码、三星激活服务器的源代码、用于授权和验证三星帐户的技术的完整源代码(包括 API 和服务)、来自高通的机密源代码等。
此外,黑客组织Lapsus$将这些数据拆分为三个压缩文件,文件总大小接近190GB,并已开通对外下载渠道,该组织还表示会部署更多的服务器来提高下载的速度。
消息曝出后,不少业内人士表示担忧,如果信息准确的话,说明三星遭受了重大数据泄露,可能会对公司造成巨大损害。
据了解,获得源代码可以让黑客找到设备安全系统中的漏洞,进而将用户暴露在可能的数据被盗的风险之下。
三星证实数据泄露
据The Verge报道,三星电子于3月7日发布声明证实了数据泄露事件,但否认会影响客户或员工的个人数据。
来源:三星官网三星表示,公司最近被告知存在内部数据相关的安全漏洞。发现事件后便立即加强了安全系统。根据公司的初步分析,此次泄露涉及一些与 Galaxy 设备操作相关的源代码,但不包括消费者或员工的个人信息。
“目前,公司预计不会对业务或客户产生任何影响。并已采取措施防止此类事件再次发生,并将继续为客户提供服务。”三星表示。
据悉,Lapsus$是一个高度保密的黑客组织,此前曾攻击过巴西卫生部的网络系统,并黑掉了葡萄牙最大的媒体集团Impresa Group旗下的一家报纸和一家电视频道的官网。针对三星数据泄露,目前该黑客组织没有提到赎金问题,也没有表示会与三星进行沟通。
英伟达也遭殃
71000名员工数据或被泄露
值得注意的是,不久前国际芯片巨头英伟达也遭到了该黑客组织的攻击。
今年2月底,Lapsus$公开承认对英伟达进行了网络攻击,并已拥有来英伟达的大约 1 TB 数据。仅硬件文件夹就有 250GB,其中包含有关“所有最近的 Nvidia GPU”的信息等。
据悉,该组织此前威胁英伟达取消对其最近显卡的限制,不然将会泄露更多的数据。随后Lapsus$于3月初更新了要求,增加要求英伟达永久将其 GPU 驱动程序完全开源(用于 Windows 、macOS和 Linux 设备)。
据了解,随着虚拟货币价格一路上涨,越来越多的人开始涌入“挖矿”大军,市场上的显卡也出现大面积短缺。去年5月,英伟达为了防止旗下显卡被用作“挖矿”,便限制了其部分性能。
不过英伟达并未答应Lapsus$的要求。该公司表示已对其安全性进行了改进,且通知了执法部门,正在与网络安全专家合作应对攻击。据悉,此前英伟达还曾尝试入侵该黑客组织的电脑系统,但Lapsus$随后表示已提前对所有数据进行了备份。
目前,该黑客组织表示,其将以100万美元的价格出售部分数据信息。而据电子邮件入侵警报网站 Have I Been Pwned 透露,英伟达或有超过71000名员工的电子邮件和密码哈希值被黑客攻击,而这些信息能帮助黑客破解密码。
值得注意的是,英伟达的员工人数远少于 71000 人,根据该公司2021年度报告数据,公司在 29 个国家/地区共有 18975 名员工。因此有媒体推测被泄露的员工数据可能还包括公司以前的员工。
而英伟达仅在3月1日就泄露事件发布声明,近期则没有再更新。在这则声明里,英伟达表示已关注到网络安全事件,在员工信息泄露上,已要求所有的员工修改密码,预计事件不会对公司业务或者公司为客户提供服务造成干扰。
而针对有人猜测攻击事件与俄乌冲突有关,英伟达表示没有证据证明这事是真的。
两会代表和委员建言保护数据安全
事实上,网络安全和数据安全监管已成为各国共同关注的议题,政府工作报告也指出要“强化网络安全、数据安全和个人信息保护”。而在两会期间,有不少两会代表和委员为保护数据安全建言献策。
全国人大代表、民建中央委员林勇建议,明确数据所有权、使用权、处理权、控制权、收益权等各种权利属性,确定各种数据权拥有者的相关权责;制定非网络数据交易领域信息安全全国性行政法规;在实施“东数西算”工程中,加强国家算力枢纽节点和数据中心集群的配套法规体系建设,加强信息安全防护,防止数据非法外泄。
全国政协委员、360创始人周鸿祎建议,将网络安全升级为数字安全,打造覆盖所有数字化场景的数字安全防范应急体系,以应对工业互联网、车联网、智慧城市、云安全、数据安全、供应链安全等挑战。同时,政策面上把数字安全纳入新基建,各地数字化建设之初便将安全考虑在内,并互联互通,调集社会各方力量共同参与数字安全体系建设,真正提升国家数字安全能力。
全国人大代表、海尔集团董事局主席兼CEO周云杰建议,建立智能家电行业数据合规治理体系;尽快研制智能家电行业数据合规治理平台;制定与修改数据资产流通相关法律法规的议案。
全国人大代表、长安汽车董事长朱华荣表示,随着智能网联汽车的快速发展,汽车数据的隐私和安全问题也需要引起关注,建议完善相关法律法规、加强汽车相关数据保护,以进一步促进智能网联汽车的发展。
全国人大代表、贵州白山云科技股份有限公司创始人兼CEO霍涛建议,行政监管部门应设立个人数据综合管理平台,使信息主体能够直观查看个人数据被收集、处理的情况,从而为互联网用户个人信息筑起一道安全防火墙。