安全315:十大消费产品网络安全事件
近年来随着网络安全意识的普及,以及中国、欧盟和美国等主要市场的产品安全法规不断健全,网络安全已经成为消费者购买决策的关键因素之一。
欧盟今年2月份推出的《欧盟共同标准网络安全认证方案》标志着网络安全能力已经成为数字产品的关键产品力和“市场通行证”。
根据《2023年消费者网络安全调查报告》:
- 82%的消费者表示,如果知道某个品牌的产品曾遭受网络攻击,他们将不再购买该品牌的产品。
- 73%的消费者表示,他们会在购买产品之前,先调查该产品/品牌的网络安全状况。
- 65%的消费者表示,他们愿意为更安全的网络安全产品支付更高的费用。
数据泄露/安全漏洞(未及时修复)导致的网络攻击事件不但会给企业带来业务中断和合规惩罚,同时也会导致重大品牌和信心损失。报告显示,消费者最担心的不安全产品带来的网络安全威胁是:
- 数据泄露(78%)
- 身份盗窃(72%)
- 勒索软件攻击(69%)
十大产品/品牌安全事件
以下是过去12个月中发生的十大产品/网络安全事件(以品牌影响力、数据泄露/安全事件规模和性质、危险性/影响力为主要评选指标):
1.禾赛激光雷达遭遇闰年虫bug,自动驾驶功能全歇菜
2024年2月29日,多家新闻报道激光雷达厂商禾赛科技因固件没处理闰年问题,导致采用禾赛激光雷达的汽车自动驾驶功能全都“歇菜”。当天下午,禾赛回应表示:有2个老款L4机械式激光雷达在当天出现了软件bug,问题原因已经找到,也和相关客户都做了深入沟通、并提供了相关解决方案。
激光雷达作为智能驾驶系统的核心传感器,已经成为了汽车领域的关键核心技术之一。数据显示,截至2023年底,禾赛激光雷达累计交付量已超30万台。
2.丰田发生大规模数据泄露,波及200万车主
丰田汽车公司2023年底披露了其云环境中长达十年的大规模数据泄露事件:从2013年11月6日到2023年4月17日暴露了215万车主的汽车位置信息。根据该丰田公司发布的安全通知,数据泄露是由于数据库配置错误导致任何人无需密码即可访问其内容。
3.苹果iPhone12辐射严重超标
2023年9月,法国国家频率局(ANFR)发布公告要求苹果在法国市场停售iPhone12智能手机,因为该手机发射的射频能量超出了人体吸收的限度,辐射严重超标43.5%。
虽然iPhone12已经停产且无法在苹果网站上购买,不过消费者仍然可以从第三方零售商处购买全新或翻新的iPhone12。鉴于iPhone12的性价比随着时间的推移而不断提高,该机型仍然是市场上非常受欢迎的智能手机,因此其辐射超标问题和潜在的召回行动会影响大量用户。
4.顶流火锅品牌1.5亿会员信息长期裸奔
2024年1月,上海市网信办通报一批未有效履行消费者个人信息保护责任的行政处罚典型案例,其中包括某知名火锅品牌企业存储的手机号码、邮箱号码等1.5亿条会员个人信息以及包括身份证号码在内的18万条本公司员工个人信息,未按规定采取加密、去标识化等安全保护措施,长期处于“裸奔”状态。这是地方网信办在全国范围内首次依据《个人信息保护法》自主办理的系列行政处罚案件。
5.多邻国(Duolingo)泄漏260万用户数据
2023年8月底,有黑客在暗网论坛上兜售260万多邻国用户数据,其中包含用户账号名称、真实姓名、电子邮件地址等相关内部数据。这些数据最早于2023年1月在Breached黑客论坛上出售,要价1500美元。这些数据是使用公开的应用程序编程接口(API)收集的,该API允许任何人提交用户名并检索包含该用户的公开信息,并支持以JSON格式输出。此外用户调用该API检索电子邮件,也可以确认相关联的多邻国账号。该接口至少自2023年3月以来一直公开共享。
6.员工被钓鱼,D-Link数百万用户信息疑遭泄露
2023年10月网络设备制造商D-Link10证实发生大规模数据泄露事件,失窃信息于当月早些时候已在黑客论坛BreachForums上公开出售。黑客声称窃取了D-Link的D-View网络管理软件的源代码,以及数百万条包含D-Link客户和员工个人信息的数据,其中甚至包括D-Link首席执行官的详细信息。
7.游戏装备巨头雷蛇(Razer)发生大规模数据泄漏
2023年7月,游戏装备公司Razer(雷蛇)在推特官方账号发推承认最近发生大规模数据泄露,并告知用户已开始对此事进行调查。有人在黑客论坛上发帖称,他们窃取了该公司官网Razer.com的源代码、数据库、加密密钥和后端访问登录信息。Razer随后重置了所有会员帐户,所有活动会话失效,并要求用户重置密码。
8.美联航和西北航空泄露数以千计的飞行员个人信息
2023年6月,根据美国航空公司和西南航空公司分别发布的数据泄露通知,美国航空公司的5745名飞行员和西南航空公司的3009名飞行员的个人信息因第三方供应商网络安全事件而泄露。泄漏的飞行员个人信息包括:姓名和社会安全号码、驾驶执照号码、护照号码、出生日期、飞行员证书号码和其他政府颁发的身份证号码被泄露。
9.基因测试公司23andMe泄露30万华裔数据
美国基因测试公司23andMe上周一(4日)宣布,黑客利用客户的旧密码,成功获取了大约690万份用户档案的个人信息。部分被窃档案信息包括家族谱系、出生年份和地理位置。据TheRecord报道,帖子公布了约100万犹太裔和30万华裔的样例用户数据,并对外报价1-10美元单个账号数据进行售卖。
10.ChatGPT泄漏用户聊天记录和信用卡信息
美国时间3月25日,OpenAI官方发布了3月20日ChatGPT临时中断服务的调查报告,并表示有1.2%的ChatGPT Plus的用户数据可能被泄露。根据OpenAI官网公告表示,3月20日前,因开源数据库存在的错误导致了缓存出现问题,一些用户可能看到其他人聊天记录的片段,以及其他用户信用卡的最后四位数字、到期日期、姓名、电子邮件地址和付款地址等信息。