年终丨2021年信息安全大事件盘点
发布时间:2022年01月04日
字体大小:小中大
1. 四部印发《常见类型移动互联网应用程序必要个人信息范围规定》的通知
2021年3月22日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局近日联合印发《常见类型移动互联网应用程序必要个人信息范围规定》(下简称《规定》),明确移动互联网应用程序(APP)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用APP基本功能服务。
《规定》明确了39种常见类型APP的必要个人信息范围,将自今年5月1日起施行。
2.《中华人民共和国数据安全法》正式施行
2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过了《中华人民共和国数据安全法》,并于2021年9月1日起施行。作为我国数据安全领域内的“基础性法律”和我国国家安全领域内的“重要法律”,《数据安全法》积极回应了时下国内外数据竞争和保护的关键问题,给企业数据经营合规、以及进一步的数据资产化治理与发展提供指引。同时《数据安全法》在个人信息收集和管理方面做出了明确要求,包括“对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。”此外,在数据确权和数据交易保护方面,《数据安全法》也明确表示,国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。
3.《网络产品安全漏洞管理规定》正式施行
2021年7月12日,工业和信息化部、国家互联网信息办公室、公安部三部门联合印发《网络产品安全漏洞管理规定》,并于2021年9月1日起施行。《规定》旨在维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行;规范漏洞发现、报告、修补和发布等行为,明确网络产品提供者、网络运营者,以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务;鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作。《规定》自9月1日起施行。
4.国家互联网信息办公室关于《网络安全审查办法(修订草案征求意见稿)》
2021年7月10日,国家互联网信息办公室就《网络安全审查办法草案》公开征求意见,规定关键信息基础设施运营者采购网络产品和服务,数据处理者(连同关键信息基础设施运营者统称「运营者」)开展数据处理活动,影响或可能影响国家安全的,应当进行网络安全审查。根据《网络安全审查办法草案》,掌握超过1百万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
5.《关键信息基础设施安全保护条例》施行
2021年7月30日,国务院总理李克强签署中华人民共和国国务院令第745号:《关键信息基础设施安全保护条例》(以下简称《条例》),该《条例》于8月17日正式发布,自2021年9月1日起施行。
关键信息基础设施是数字化社会运行的神经中枢,是网络安全保障的重中之重。
当前,关键信息基础设施面临的严峻的安全形势,网络攻击威胁事件频发。
在此情况下,制定出台《条例》,建立专门的关基信息基础设施(以下简称“关基”)的保护制度,明确各方责任,提出保障促进措施,有利于进一步提升我国网络空间安全保障的整体水平。
这是自1994年国务院令第174号令:
《中华人民共和国计算机信息系统安全保护条例》之后,又一网络安全领域的重要法规。
6.《中华人民共和国个人信息保护法》正式施行
2021年8月20日,第十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》,并于2021年11月1日起施行。其中明确:①通过自动化决策方式向个人进行信息推送、商业营销,应提供不针对其个人特征的选项或提供便捷的拒绝方式②处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息,应取得个人的单独同意③对违法处理个人信息的应用程序,责令暂停或者终止提供服务。
7.工信部关于《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》
2021年09月30日,为贯彻落实《数据安全法》等法律法规,加快推动工业和信息化领域数据安全管理工作制度化、规范化,提升工业、电信行业数据安全保护能力,防范数据安全风险,工业和信息化部研究起草了《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》(见附件),拟以规范性文件形式印发,现面向社会公开征求意见。
8.国家互联网信息办公室《数据出境安全评估办法(征求意见稿)》
2021年10月29日,为了规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,我办起草了《数据出境安全评估办法(征求意见稿)》,现向社会公开征求意见。全面和系统地提出了我国数据出境“安检”的具体要求。
9.国家互联网信息办公室关于《网络数据安全管理条例(征求意见稿)》
2021年11月14日,国家互联网信息办公室为落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,根据国务院2021年立法计划,我办现向社会公开征求意见。
征求意见的《网络数据安全管理条例(征求意见稿)》中,专门规定数据处理者赴香港上市,影响或者可能影响国家安全的,应当按照国家有关规定,申报网络安全审查(第13条)。
10.中央网信办发布《“十四五”国家信息化规划》
2021年12月27日,中央网络安全和信息化委员会发布《“十四五”国家信息化规划》,对我国“十四五”时期信息化发展作出部署安排。《规划》提出“十四五”时期国家信息化总体发展目标。到2025年,数字中国建设取得决定性进展,信息化发展水平大幅跃升,数字基础设施全面夯实,数字技术创新能力显著增强,数据要素价值充分发挥,数字经济高质量发展,数字治理效能整体提升。围绕发展目标,《规划》部署了10项重大任务,重点提出要适度超前部署下一代智能设施体系,畅通网信企业融资渠道,打造具有国际竞争力的数字产业集群。
1.美国最大的成品油管道运营商被勒索
2021年5月7日,美国最大的成品油管道运营商Colonial Pipeline遭受到勒索软件攻击,被迫关闭其美国东部沿海各州供油的关键燃油网络。Colonial的5500英里管道将燃料从墨西哥湾沿岸的炼油厂运送到美国南部和东部的客户,它运输了45%的东海岸燃料,覆盖了5000万美国人。这次Colonial Pipeline事件,勒索病毒直接让一个国家级的能源系统受到重创,其危害可见一斑。
2.爱尔兰卫生部门遭勒索软件攻击
2021年5月14日,爱尔兰公立医疗保健系统 Health Service Executive (HSE) 遭到了 Conti 勒索软件的攻击,攻击者索要 2000 万美元的赎金。Conti 称它访问 HSE 的网络长达两周,窃取了700 GB的数据,包括病人和雇员信息,合同、财报和工资信息等。如果 HSE 同意支付 19,999,000 美元的赎金,它将提供解密和删除窃取的数据。
3.国务院金融委:打击比特币挖矿和交易行为
2021年5月21日,国务院金融稳定发展委员会召开第五十一次会议,研究部署下一阶段金融领域重点工作。会议宣布将打击比特币挖矿和交易行为。同日加密货币遭遇重击,美股区块链股也直线跳水,比特币家园数据显示,全网24小时内超过15万人爆仓,55亿元资金成为炮灰,而短短的一小时内就有16亿元灰飞烟灭。金融稳定发展委员会的声明并没有给出具体措施,内蒙古发展与改革委员会宣布将设立一条电话热线,便利群众举报疑似在挖矿的企业,作为“全面清理关停”虚拟货币挖矿项目的努力的一部分。
4.IBM Cloud全球性瘫痪
2021年5月22到26日,蓝色巨人在短短5天里接连发生两次严重中断事件,其中5月25日的中断为一级严重问题(Severity One),这是IBM来描述关键业务系统无法正常运行的评级。
据悉,该中断发生了5月25日UTC 14点54分。
华盛顿特区、大阪、伦敦、达拉斯、悉尼、东京和法兰克福等地云服务统统受到影响。
除此之外,在今年6月10日,IBM Cloud也发生了一起全球性的中断。
此次中断涉及IBM AoC 托管存储服务,进而影响了IBM多地的用户。
5.美国电信运营商T-Mobile再遭网络攻击
2021年8月17日,在此前出现大规模数据泄露之后,美国电信运营商T-Mobile再次遭受网络攻击。根据 The T-Mo Report 公布的文件,受影响的客户要么成为 SIM卡交换攻击的受害者,要么个人计划信息被暴露,或者两者都有。文件显示,被查看的客户专有网络信息可能包括客户的账单账户名称、电话和账户号码,以及他们的计划信息,包括他们账户上有多少条线路。
6.Facebook瘫痪6个多小时
2021年10月4日到5日,由于Facebook将其组织配置成使用域名注册商和托管在自己路由前缀上的DNS服务器,一旦这些前缀被删除,没有人可以连接到这些IP地址以及运行在它们上面的服务。在BGP路由问题导致全球性故障持续六个多小时后,Facebook、Instagram和WhatsApp开始重新上线。
7.从滴滴终结美股之旅看网络安全审查制度
2021年12月3日,滴滴宣布将从纽交所退市,转进香港。滴滴出行通过官方微博发文,表明正式终结“美股之旅”。消息一出,再次将网络安全审查制度推到了风口浪尖。今年7月,在登陆纽交所一周不到的时间,网络安全审查办公室就发布了关于对“滴滴出行”启动网络安全审查的公告,最终以滴滴违法违规使用个人信息的问题下架APP。在国际竞争环境日益复杂的背景下,企业合法、法规经营尤为重要。
8.全球最大图片服务公司Shutterfly遭勒索
2021年12月26日,摄影和个性化照片巨头 Shutterfly 近日遭到 Conti 的勒索软件攻击,他们声称已经加密了 4000 多台设备和 120 台 VMware ESXi 服务器。勒索软件团伙要求数百万美元的赎金。虽然Shutterfly表示没有披露任何财务信息,但BleepingComputer被告知,其中一张截图包含了信用卡的最后四位数字。
9.Log4j2漏洞致全球6万+开源软件受影响
Apache Log4j2 是一个基于 Java 的日志记录工具。该日志框架被大量用于业务系统开发,用来记录日志信息。
近日,Log4j2 被爆出现核弹级利用成本极低危害极大的漏洞,黑客可通过发送一条指令即可控制目标设备。Log4j2 作为基础日志组件被大量基础服务在底层使用,据统计,该漏洞影响6万+流行开源软件,影响70%以上的企业线上业务系统!软件在官方发布漏洞修复补丁后依旧被黑客多次绕过,几乎所有的互联网大厂都在通宵加急处理漏洞,避免造成黑客攻击事件,没想到道高一尺魔高一丈,刚修复完又马上被黑客绕过。
10.阿里云被暂停网络安全威胁信息共享平台合作单位 6 个月
2021年12月22日,工业和信息化部网络安全管理局通报称,阿里云计算有限公司(简称“阿里云”)是工信部网络安全威胁信息共享平台合作单位。此前,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。
1.Microsoft在Exchange中修补了四个零日漏洞
2021年3月2日,微软紧急发布了Microsoft Exchange中多个高危漏洞的风险通告,其中修复了四个已在野外被积极利用的零日漏洞(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065)。据悉,全球已有数十万台Exchange服务器被攻击,大量企业、政府部门被感染,超过6万家组织受影响。攻击者可以在目标系统中获取敏感信息、写入任意文件、执行恶意代码等。通过这些漏洞,攻击者无需身份验证或访问个人电子邮件帐户即可从Exchange服务器读取电子邮件。而通过后面的漏洞链接,攻击者则能够完全接管邮件服务器。Exchange中出现的四个零日漏洞已经被至少10个高威胁性黑客组织注意到了,这些黑客组织已经在全球100个国家以上的超过5000台服务器中安装了后门程序,从而攻击者可以简单的通过web浏览器对服务器进行远程控制。
2.F5 BIG-IP/BIG-IQ 多个严重高危漏洞
2021年3月10日,F5官方发布安全通告,修复了未授权远程代码执行漏洞在内的多个严重高危漏洞。其中包括:CVE-2021-22986 BIG-IP/BIG-IQ iControl REST 未授权远程代码执行漏洞 ;CVE-2021-22987 BIG-IP TMUI 后台远程代码执行漏洞 ;CVE-2021-22988 BIG-IP TMUI 后台远程代码执行漏洞;CVE-2021-22989 Advanced WAF/ASM TMUI 后台远程代码执行漏洞;CVE-2021-22990 Advanced WAF/ASM TMUI 后台远程代码执行漏洞。
3.Apache OFBiz反序列化漏洞
2021年4月2日,阿里云安全向Apache官方报告了Apache OFBiz反序列化漏洞,漏洞编号为CVE-2021-30128,漏洞等级:高危。关于CVE-2021-26295的相关信息可以参考网上的公开资料,有两个关键:一个为反序列化的触发,一个是SafeObjectInputStream的绕过。
4.Chrome远程代码执行0Day 、微信PC版0Day
2021年4月13日,国外安全研究员发布了关于Google Chrome远程代码执行0Day漏洞的PoC详情。Google官方同步发布了最新的 Chrome 安全通告,其中修复了pwn2own中攻破 Chrome 所使用的一个严重的安全漏洞(CVE-2021-21220),该漏洞影响x64架构的 Chrome,攻击者利用此漏洞,构造一个恶意的web页面,用户访问该页面时,会造成远程代码执行。大量采用Chrome内核的浏览器同样也会受此漏洞影响,如微软的Edge浏览器,影响版本:Chrome: <=89.0.4389.114,可通过在Chrome浏览器中输入chrome://version查看版本等信息。受此影响,微信 < 3.2.1.141 以下版本打开链接时都会调用内置chrome浏览器,也会触发此漏洞,导致远程命令执行。
5.runc符号链接挂载与容器逃逸漏洞
2021年5月31日,国外安全研究人员披露 CVE-2021-30465 runc 符号链接挂载与容器逃逸漏洞。在CVE-2021-30465 中,攻击者可通过创建恶意POD及container,利用符号链接以及条件竞争漏洞,可挂载宿主机目录至 container 中,并最终可能导致容器逃逸。
6.微软6月更新多个高危漏洞
2021年6月9日,微软官方发布漏洞安全补丁,共修复了50个针对微软产品的CVE漏洞。涉及Windows操作系统、NET Core、Visual Studio、Microsoft Defender、scripting、EngineServer for NFS、Windows MSHTML Platform、Microsoft SharePoint Server等相关组件。其中 5 个严重漏洞,45个高危漏洞。目前 6 个漏洞已发现在野利用。
7.Microsoft Exchange远程代码执行漏洞POC公开
2021年8月5日,安全研究员公开了CVE-2021-34473 Microsoft Exchange Server 远程代码执行漏洞分析及其相关POC。攻击者利用该漏洞可绕过相关权限验证,进而配合其他漏洞可执行任意代码,控制Microsoft Exchange Server。
8.VMware vCenter Server任意文件上传漏洞
2021年9月22日,VMware 官方发布安全公告,披露了包括 CVE-2021-22005 VMware vCenter Server 任意文件上传漏洞在内的多个中高危严重漏洞。在CVE-2021-22005中,攻击者可构造恶意请求,通过vCenter中的Analytics服务,可上传恶意文件,从而造成远程代码执行漏洞。
9.核弹级 Apache Log4j远程代码执行漏洞
2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。12月7号,Apache log4j官方发布2.15.0-rc1版本以修复漏洞。12月9日到10日,Apache Log4j 远程代码执行漏洞细节被公开,国内多家机构监测到Apache Log4j存在任意代码执行漏洞,并紧急通报相关情况。同日,阿里云安全团队再次发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,建议用户更新至 Apache Log4j 2.15.0-rc2 版本。
10.Microsoft Windows Active Directory 域服务权限提升漏洞
2021年12月12日,网上监测发现 Microsoft Windows Active Directory 域服务权限提升漏洞(CVE-2021-42278、CVE-2021-42287)相关利用PoC在互联网公开。攻击者可利用该漏洞将域内的普通用户权限提升到域管理员权限,由此造成风险和危害极大。鉴于目前微软官方已提供修复补丁,建议用户应尽快更新补丁并采取相关措施。
