Security Affairs 网站披露，为英国多个政府部门提供服务的设施管理和安全公司 MPD FM “遗留”一个开放实例，暴露出大量人员的护照、签证等敏感数据信息。 MPD FM 成立于 2003 年，总部位于伦敦，主要为英国国家医疗服务体系（NHS）、英国税务海关总署（HM Revenue&Customs）、英国各行政区和议会、英国零售商 WHSmith 以及其它实体组织提供设施管理和安全服务，目前拥有 500 名员工，号称英国领先的 “设施管理公司”。 近期，Cyber news 安全研究团队发现已关闭的亚马逊简单存储服务（S3）中某个数字数据文件库，向任何有能力扫描打开网络的访问者“开放了”16000 多份敏感文档。研究团队推断暴露的信息属于 MDP FM，目前已联系了 MPD FM ，但截至本文发布前仍未收到回复。 被曝光的文件泄露了包括护照、VISA、国家身份证、驾驶执照、出生证明、审查报告、工作权利检查、工作合同、地址证明、银行对账单等大量敏感隐私信息。 Cyber news 研究小组人员指出攻击者很容易利用暴露的信息进行身份盗窃。例如，恶意攻击者可以冒充受害者创建虚假账户，进行未经授权的交易。威胁攻击者还可以利用员工数据设计出有针对性的电子邮件或发起社会工程攻击，包含民众私生活和职业生活的信息使攻击者能够更容易诱使受害者披露敏感信息或采取危及组织安全的行动。 网络安全专家强调，即使看似微不足道的个人信息泄露，经过整理后也会产生破坏性影响。数据被泄露的受害者往往意识不到自己的信息已经泄露，因此不会采取任何行动来减轻后果。 最后，Cyber news 团队建议 MPD FM 或其它处理类似问题的组织立即限制公众访问已暴露的实例，并追溯检查访问日志中是否有任何未经授权的入侵，无论谁在“控制”亚马逊 S3 存储桶，都应使用服务器端加密来保护敏感文件。     转自Freebuf，原文链接:https://www.freebuf.com/news/374882.html 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，2014 年至 2022 年间，英国选举委员会遭遇网络攻击，泄露大量选民的个人信息，目前委员会已经通知英国信息专员办公室。 英国选举委员会在推特上表示 2021 年 8 月，网络攻击者利用某安全漏洞，成功入侵其内部系统，直到2022 年 10 月，选民数据泄露事件才被发现。值得一提的是，根据英国《通用数据保护条例》第 33 条和第 34 条，选举委员会有义务在数据因自身系统的不当访问、丢失或盗窃而被“侵犯”时通知选民。 从数据泄露通知公告来看，威胁攻击者访问了保存委员会的电子邮件、控制系统和选民登记册副本的内部服务器。 电子邮件系统中包含选民的姓名、名字和姓氏、电子邮件地址（个人和/或企业）、家庭地址（如果包含在网络表单或电子邮件中）、联系电话号码（个人和（或企业））、网络表单和电子邮件中可能包含个人数据的内容，以及发送给委员会的任何个人图像。 此外，选举登记册条目中还包含了选民的个姓名、登记簿条目中的家庭住址、达到当年投票年龄的日期，但选举委员会指出选举登记册数据不包含在英国海外选民的匿名登记和地址。 目前，英国选举委员会正试图淡化这一数据泄露事件，辩称此次数据泄漏不会对选举进程产生影响，对任何选举或个人的选民登记没有丝毫影响，也没有影响任何人的选举登记状态，并一再强调根据信息专员办公室数据泄露风险评估，选民登记册包含的选民姓名、地址等个人信息不会对选民构成高风险。 不过，英国选举委员会也承认威胁攻击者可以将盗取的选民信息与公共领域的其它数据结合起来，这样就可以利用汇总数据进行身份盗用、网络钓鱼攻击等欺诈活动。因此。受影响的选民应时刻对可疑电子邮件保持警惕。     转自Freebuf，原文链接:https://www.freebuf.com/news/374267.html 封面来源于网络，如有侵权请联系删除

苹果公司警告称，它宁愿停止在英国提供iMessage和FaceTime服务，也不愿屈服于政府的压力，以回应旨在扩大国家情报机构数字监控能力的新提议。 对2016年《调查权力法》（IPA）进行的立法修改后，将使加密保护无效。具体来说，《网络安全法案》要求公司安装技术，扫描加密消息应用程序和其他服务中的儿童性剥削、性虐待材料以及恐怖主义内容。它还要求消息服务在发布安全功能之前与内政部明确这些功能，并在需要时立即采取行动禁用这些功能，而不通知公众。 虽然这一事实并没有明确要求取消端到端的加密，但事实上，这相当于削弱了这种功能，因为提供服务的公司必须扫描所有消息以标记并删除它们。这允许了政府实施大规模拦截和监视，被视为是一个不成规矩的行为。 苹果公司认为这样的条款将对数据安全和信息隐私构成直接的威胁。今年4月初，Element、Signal、Threema、Viber、Metaowned WhatsApp和Wire等提供加密聊天服务的消息应用程序发布了一封公开信，敦促英国政府重新考虑其做法，并鼓励公司保护其用户的隐私和安全。 这些公司联合表示“该法案没有为加密提供明确的保护，如果按照书面规定实施，可能会授权OFCOM，强制性的对端到端加密通信服务上的私人消息进行主动扫描，从而使加密无效，并损害所有用户的隐私。” 去年，苹果宣布了自己的计划，将在iCloud照片中标记出潜在的问题和滥用的内容。但由于担心该功能可能被滥用，破坏用户的隐私和安全，遭到数字版权组织的抵制，因此，苹果放弃了这一计划。 这不是第一次出现端到端加密与解决严重网络犯罪之间的纷争。 2021年5月，WhatsApp起诉印度政府，要求其停止相关互联网法规，该法规通过引入可追溯机制来识别“信息的第一发起者”，迫使该消息应用程序去破坏加密内容，否则将面临刑事处罚的风险。目前，案件仍在审理中。 苹果拒绝合作符合其在隐私问题上的公开立场，这使它将自己定位为对抗那些以收集用户数据为目标的公司的“隐私英雄”。 但考虑到发送到非苹果设备或从非苹果设备接收到的每一条消息都是未加密的，这可能会为政府打开监控的大门。     转自E安全，原文链接:https://mp.weixin.qq.com/s/1Aecd4S3bjF7wkV7u2l74w 封面来源于网络，如有侵权请联系删除

近日，曼彻斯特大学声称遭遇了一次网络攻击，威胁者很可能从大学网络中窃取了机密数据。 曼彻斯特大学是一所公共研究机构，也是英国最大、最成功的教育和研究中心之一，拥有1万多名员工和超过4.5万名学生。 曼彻斯特大学在其网站上发表的一份声明中表示，他们于上周二（6月6日）发现了这一漏洞，并立即展开了调查。 该大学在其网站声明中写道：很遗憾地告诉大家，我们确实是此次网络事件的受害者。学校系统被未经授权的入侵者访问，数据很可能已被复制。目前内部专家和外部支持人员正对此事进行排查，并努力及时恢复系统。 学校方面表示，他们已经通知了所有相关部门，包括信息专员办公室、国家网络安全中心(NCSC)和国家犯罪局，有关安全和数据泄露的情况。目前首要任务就是解决这个问题，并尽快向受影响的人提供信息，校方正在集中手上所有可用的资源来尽快解决此事。 该校已经为这次“网络事件”建立了一个单独的FAQ页面，主要用于为学生和教职员工提供安全指导。 校方表示，学生和职工现在不需要重置网站的用户密码，但建议大家对潜在的网络钓鱼攻击保持高度警惕。至于谁将为此次攻击负责，以及是否有任何敏感研究或个人数据被盗等问题，大学仅表示调查仍在进行中，一旦获得更多信息，将立即通知公众。 此外，曼彻斯特大学表示，其安全事件与最近的MOVEit Transfer数据盗窃攻击或Zellis的相关数据泄露无关。 虽然该大学的声明没有提供有关攻击的任何进一步细节，但据BleepingComputer最新消息，此次攻击或是源于勒索软件。 转自 Freebuf，原文链接：https://www.freebuf.com/news/369178.html 封面来源于网络，如有侵权请联系删除

据悉，英国政府重新引入了新的 GDPR 立法，它声称这将在未来十年内为企业和慈善机构节省多达 47 亿英镑（56 亿美元），同时加强数据保护和隐私。 保守党政府热衷于证明离开欧盟的好处，表示数据保护和数字信息 ( DPDI ) 法案将减少合规“文书工作”，而不会影响欧盟的数据充分性或全球对英国的信心。 认识到，到 2021 年英国需要保护和发展价值约 2590 亿英镑（3070 亿美元）的数字经济，政府声称新立法将为企业提供更大的灵活性来遵守数据法，同时降低整体合规性负担。 更具体地说，拟议的法律将： 1 确保只有处理活动可能对个人权利和自由构成“高风险”的组织需要保留健康数据的处理记录 2 如果企业已经遵守现行的英国数据法，则确保企业可以继续使用现有的国际数据传输机制在海外共享个人数据 3 阐明商业组织将受益于与学术机构相同的自由，以开展创新科学研究，例如更容易为研究目的重用数据 4 增强企业对可以在未经同意的情况下处理个人数据的案例的信心 5 通过阐明保护措施何时适用于自动决策制定来提高对 AI 的信心——例如对个人进行分析 6 将骚扰电话和短信的罚款提高至全球营业额的 4% 或 1750 万英镑 7 减少人们在网上看到的同意弹出窗口的数量 8 减少人们在网上看到的同意弹出窗口的数量 9 通过为监管机构创建一个新的法定委员会来加强信息专员办公室 (ICO) 该立法于 2022 年夏季首次出台，但在政府咨询行业机构和专家（包括消费者权益组织Which和贸易协会 TechUK）。尽管英国在 2018 年前制定 GDPR 方面发挥了关键作用，但政府很快将新立法宣传为比欧盟范围内的法律更具优势。 “这项新法案从一开始就与企业共同设计，确保了一项极其重要的数据保护制度是根据英国自身的需求和我们的习俗量身定制的，”技术大臣米歇尔·多尼兰 (Michelle Donelan) 表示 ，“我们的新法律将英国企业从不必要的繁文缛节中解放出来，以释放新发现、推动下一代技术、创造就业机会并促进我们的经济发展。” TechUK 首席执行官 Julian David 也对新法案表示欢迎。 “今天宣布的变化将使公司在进行研究、提供基本商业服务和开发人工智能等新技术方面更有法律信心，同时保持符合全球最高标准的数据保护水平，包括与欧盟的数据充分性。”他说。 信息专员约翰·爱德华兹 (John Edwards) 表示，他的办公室支持该法案的“雄心壮志，即使组织能够发展和创新，同时保持高标准的数据保护权利。”     转自 E安全，原文链接：https://mp.weixin.qq.com/s/P2XnuIvgyLqoq5KoeCUTsg 封面来源于网络，如有侵权请联系删除

据 F-Secure 称，过去有数百万英国成年人成为数字诈骗者的受害者，但四分之一的人没有安全控制措施来保护他们的在线活动。 这家芬兰安全供应商对 1000 名英国人进行了调查，这是一项针对网络安全意识和行为的全球Living Secure研究的一部分。 调查发现，19%（约 1260 万英国人）过去曾被网络欺诈等网络欺诈所骗。据 F-Secure 称，这些事件的影响范围从身份盗窃到数据和密码丢失，甚至毕生积蓄被盗。 然而，根据该报告，尽管有相当一部分人每天平均花八小时上网，但他们仍然没有在网上保护自己。一个原因可能是许多人对前景感到害怕：60% 的受访者表示他们发现网络安全过于复杂。 该报告还强调了受访者态度和意识的矛盾。虽然超过四分之三 (77%) 的人声称他们可以发现诈骗，但大约三分之二的人表示他们担心在线人身安全及其家人的安全，而一半 (48%) 的人表示他们不知道他们的设备是否安全或不。 F-Secure 首席执行官 Timo Laaksonen 表示：“我们的研究强调了我们在网上所做的事情和我们在网上感受到的脆弱程度与我们为减少这种脆弱性而采取的具体行动之间存在明显的脱节。” “尽管许多英国人经常在网上感到不安全，但他们仍然没有采取足够的安全措施。在现实世界中，你不会愿意将密码和个人数据透露给陌生人，那么为什么要上网去做，冒着成为网络犯罪分子目标的风险呢？” 根据 FBI 的数据，网络钓鱼是 2021 年报告的案件数量排名第一的网络犯罪类型，身份盗用、爱情欺诈、技术支持诈骗和投资欺诈也位列前 10 名。 同一份报告还发现，投资和爱情欺诈使网络犯罪分子当年的总收入达到 24 亿美元。  F-Secure 报告的调查结果似乎也预示着企业面临风险，如果员工在企业领域表现出与在家中一样低的安全意识水平。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/APcvPidH4WhyDWtduAoANA 封面来源于网络，如有侵权请联系删除  

因“网络事件”导致的“严重服务中断”，英国邮件递送服务巨头皇家邮政（Royal Mail）宣布暂停国际运输服务。 英国本土的货物配送服务并未受到影响，但该公司已向客户建议，在此期间暂缓向海外寄送邮件，相关服务将在问题解决后恢复。 皇家邮政发言人向媒体表示，“事件是在昨天被发现的，但英国国内的邮件不受影响。” 在一份声明中，皇家邮政表示已在配送的邮件可能出现延误，但Parcelforce Worldwide（全球包裹力量）服务并未中断。 皇家邮政表示，“我们的进口业务将继续提供全面服务，只是会出现一些小延误。Parcelforce Wordlwide出口服务仍面向各国际目的地提供服务，但客户可能会遇到一、两天延迟。” “我们立即对事件展开调查，并与外部专家合作。此次事件已经上报给监管机构和相关安全部门。” 英国国家网络安全中心（NCSC）发言人表示，该中心“已知悉此次影响皇家邮政集团公司的事件，且正在与该公司及国家犯罪局合作以充分了解其影响。” 皇家邮政周三也提到，“我们的团队正全天候工作，努力解决此次中断问题。一旦获得更多信息，我们将尽快发布通告。” 皇家邮政IT设施事故频发 在此之前，2022年11月该公司也曾发生一次中断，导致邮件跟踪服务瘫痪超24个小时。 当时的中断影响到Track and Trace网站，导致英国居民只能通过皇家邮政的应用来跟踪包裹、信函和邮件递送情况。 媒体还发现，皇家邮政的Click & Drop网站也遇到了付款故障，无论使用哪种支付方式（信用卡、借记卡、PayPal等）尝试多少次均无法正常操作。 因为无法在线支付配送费，客户们也就无法在家中打印邮资标签。 最近一段时间，这家邮件递送业巨头可谓流年不利。先是被卷入与英国通讯职工联合会的谈判以及计划中的全国大罢工，此次又突然曝出IT故障问题。     转自 安全内参，原文链接：https://www.secrss.com/articles/51012 封面来源于网络，如有侵权请联系删除

在 2022 年发生高校攻击事件后，来自 14 所英国学校的数据被黑客在线泄露。泄露的文件包括学生的 SEN 信息、学生护照扫描件、员工工资表和合同细节。在被攻击的学校拒绝支付赎金要求后，信息被泄露。 据报，攻击和泄露事件是由黑客组织 Vice Society 实施的，该组织针对英国和美国的教育机构进行了多次勒索攻击。 2022 年 10 月，洛杉矶联合学区 (LAUSD)警告称，Vice Society已开始发布从该机构窃取的数据。此前，LAUSD 宣布不会向勒索者付款。 受影响的 14 所英国学校中的许多学校已向家长、学生和教职员工提供了有关该事件的最新信息。 受新泄漏影响的学校有：圣海伦斯的卡梅尔学院；达勒姆约翰斯顿综合学校；Frances King 英语学校，伦敦/都柏林；盖特威学院，汉密尔顿，莱斯特；圣家 RC + CE 学院，海伍德；兰普顿学校，豪恩斯洛，伦敦；莫斯本联合会，伦敦；皮尔顿社区学院，巴恩斯特普尔；塞缪尔莱德学院，圣奥尔本斯；东方和非洲研究学院，伦敦；泰晤士河畔森伯里圣保罗天主教学院；斯托克布里奇测试谷学校；德蒙福德学校，伊夫舍姆。 在过去几年中，教育行业一直是勒索软件的主要目标。Sophos 于 2022 年 7 月发布的一份报告发现，56% 的低等教育机构和 64% 的高等教育机构在过去一年受到了勒索软件的攻击。 由于缺乏网络安全投资以及连接到其系统的大量设备等因素，学校和大学已经被网络犯罪分子视为“软目标” ，使敏感的个人和研究数据面临风险。 Absolute Software 欧洲、中东和非洲地区副总裁 Achi Lewis 评论说：“由于学校和大学系统中存储了大量敏感数据，教育部门是恶意网络犯罪分子有利可图的目标。因此，勒索软件攻击是一个必然问题，而不是偶然问题，这就要求教育机构要准备好预防和应对这些攻击，否则他们就有文件被盗和泄露的风险。” BlackBerry UKI 和新兴市场副总裁 Keiron Holyome 强调了加强教育部门端点安全以应对勒索软件威胁的重要性。“为确保教育的连续性，尤其是在远程学习的背景下，我们鼓励政府投资教育部门的网络安全。   转自 Freebuf，原文链接：https://www.freebuf.com/news/354692.html 封面来源于网络，如有侵权请联系删除

安全内参11月30日消息，英国议会国家安全战略联合委员会（JCNSS）周一举行首次证据介绍会，调查其国家安全战略能否有效应对勒索软件威胁。 联合委员会主席玛格丽特·贝克特(Margaret Beckett)议员表示，这次介绍会旨在确定“威胁的规模和性质”。 在此之前，由英国上、下议院议员组成的联合委员会已开放证据提交通道。 预计后续听证会将进一步引入应对勒索软件攻击的证人，包括受害者及执法机构。其中一部分由委员会传唤，另一些则根据书面证据进行选择。 勒索软件威胁规模有多大？ 贝克特表示，“人们似乎普遍认为，近年来勒索软件威胁正持续恶化，但总体上仍缺少能够证明威胁规模的可靠数据。” 网络安全公司NCC Group首席技术官Ollie Whitehouse、咨询公司Control Risks网络事件响应负责人Jayan Perera以及牛津大学网络安全教授Sadie Cresse三位证人，在本次介绍会上提出了以下几大要点： 针对英国组织的勒索软件攻击在实际“规模”上缺乏可见性； 尽管不清楚攻击事件的真实数量，但其他数据来源证实这确实是个普遍存在的威胁； 所谓“泄露网站”所公布的信息，并不足以体现其他未公开被盗数据的网络勒索活动； 勒索攻击事件上报的普及度不高，组织只在有明显好处时才会选择与政府和执法部门接触； 应当以仍在持续发展的网络安全科学为基础，据此探索对勒索软件的抵御之道。 会上公布了哪些证据？ 在本次调查之前，英国政府已经发布过两项国家安全战略审查：第一是2021年的安全、国防、发展与外交政策综合审查，其中将勒索软件确定为“最有害的网络犯罪形式之一”；第二是今年的英国国家网络战略，其中将勒索软件描述为“英国面临的最重大网络威胁”，且“可能与国家支持的间谍活动具备同等危害”。 在听证会的开场，Ollie Whitehouse引用了美国财政部金融犯罪执法网络（FinCEN）本月早些时候发布的数据。数据显示，2021年全美勒索软件攻击和支付赎金数额均创下新纪录。 他指出，上报的事件已经由2020年的487起跃升至1489起，同比增长约300%。但2022年期间，NCC Group对勒索软件泄露网站的分析显示，受害者数量减少了7%至10%。 Jayan Perera观察到，俄乌战争似乎影响到了勒索软件即服务（RaaS）生态系统。知名勒索软件组织Conti内部的亲俄与亲乌派成员就曾发生过冲突，地缘政治争端后来导致其聊天记录泄露。 Sadie Cresse多次强调犯罪团伙的经济学原理，例如确定供应链攻击如何通过一次投入拿下多位受害者，以此获取规模经济收益。 她还指出，尽管Conti组织已经覆灭（该团伙此前曾攻击哥斯达黎加政府引发该国政治动荡），但其个人成员仍可能以新的身份继续活跃，这也体现出犯罪生态系统的内部流动性。 “隧道尽头没有光明” 英国上议院议员Baroness Crawley援引媒体报道，提到勒索软件攻击已经成为英国政府内阁办公室简报室（COBR）召开会议的主要原因。 报道称，尽管经过几个月的工作，内政部领导的勒索软件“冲刺”已经在一年前结束，但政府方面仍未采取任何切实行动以应对这一威胁。 直接负责勒索软件事务的官员表示，他们觉得隧道尽头没有光明，甚至完全感受不到有助于英国遏制这方面问题的任何希望。 Perera和Whitehouse都对政府的迟缓行动做出辩护。Creese则表示，“其实勒索软件中还涉及其他多种网络威胁类型，所以我建议把对勒索软件的担忧转化为对网络弹性的整体推进。” 转自 安全内参，原文链接：https://www.secrss.com/articles/49576 封面来源于网络，如有侵权请联系删除

英国已经完成脱欧后的第一个独立数据保护决议，这将允许英国在今年年底之前不受限制地将个人数据安全地转移到韩国。英国政府表示，在7月首次达成原则性协议的新立法，将使两国的企业更容易分享数据，增强合作和增长的机会。这一决定是在对韩国的个人数据立法进行全面评估之后做出的，就评估结果而言，韩国拥有强大的隐私法，将保护数据传输，同时维护英国公民的权利。 消除数据传输障碍将促进研究和创新 英国政府在数字、文化、媒体和体育部的一份新闻稿中表示，一旦生效，新的数据传输协议将消除数据传输的障碍，通过简化协作来促进研究和创新。韩国作为英国增长最快的市场之一，超过三分之二的英国服务出口到韩国。在此之前，各企业需要制定昂贵且耗时的合同保障措施，如标准数据保护条款和有约束力的公司规则。消除这些障碍将为许多中小型企业提供机会，企业可以不为这些负担而担忧。 数据部长Julia Lopez在评论该立法时说：在今年年底之前，企业将能够自由地与韩国共享数据–因为我们知道这些数据将按照英国期望的高隐私标准进行保护。 比欧盟与韩国的协议更广泛 英国政府表示，这不仅是英国自脱欧以来第一个独立数据传输的新协议，它也比欧盟与韩国的数据传输协议更广泛。两项协议之间最重要的区别是，英国机构将能够与韩国分享与信用信息有关的个人数据，以帮助识别客户和验证付款，这将有助于促进在韩国的英国企业信贷、借贷、投资和保险业务。 英国信息专员John Edwards说：我们支持政府进行充分性评估，以使个人数据能够自由地流向世界各地值得信赖的合作伙伴。他补充说，英国信息专员办公室（ICO）在这次对韩国的评估中向政府提供了建议，它对政府承认韩国法律中类似的数据保护权利和法案感到满意。这将为英国企业带来帮助，减少合规的负担，同时确保人们的数据得到负责任的处理。 惠特克公司的全球数据合规总监Tash Whitaker说道：这一决定是在欧盟与韩国合作近一年后作出的，所以很高兴看到英国赶上了欧盟，在允许个人数据跨境自由流动到一个保护措施不损害英国或欧盟GDPR的国家。 转自 Freebuf，原文链接：https://www.freebuf.com/news/350741.html 封面来源于网络，如有侵权请联系删除