瑞士

近期，“暗网下/AWX”梳理发现，澳大利亚、瑞士的多家企业机构遭受网络攻击，数据被泄露至暗网。澳大利亚人工受精巨头Genea已致函患者，告知他们敏感的医疗信息已被发布在暗网上。澳大利亚证券投资委员会起诉Fortnum，原因是黑客涉嫌窃取数千名投资者的数据并将其公开出售。Radix的数据泄露是瑞士此类基金会遭遇的最大规模数据泄露事件之一。 Genea确认暗网上存在敏感的患者健康信息 7月22日，澳大利亚第三大体外受精（IVF）提供商Genea的患者被告知，他们的敏感信息（包括病史）已被发布在暗网上。 五个多月前，澳大利亚广播公司 （ABC） 披露网络犯罪分子已将这家为全国数万人提供服务的生育诊所作为网络攻击目标。 Genea首席执行官Tim Yeoh在过去几天发给受影响患者的电子邮件中证实，公司已经结束了对2月份网络攻击的调查：“我们不会通知您有关新事件的信息”。 “Genea已完成的调查已证实，您的个人信息已被窃取并发布在暗网上。” 邮件称，这些数据包括患者的全名、地址、电话号码、出生日期、医疗保险卡号、医疗诊断以及“与您从Genea或其他医疗服务提供商处获得的服务和/或医疗治疗相关的临床信息”。 Genea的一位前患者表示，这封邮件似乎淡化了数据泄露的严重后果与影响危害。这位不愿透露姓名的患者在2022年至2024年期间在该医疗机构花费了数万美元进行了多轮IVF，但均未成功。 该电子邮件声称，这些信息是在“暗网的一部分，即互联网的隐藏部分”中发现的，并且“在互联网上不易搜索或访问”。 电子邮件中写道：“我们理解这个消息可能会让您担心，对于由此给您带来的任何困扰，我们深表歉意。” Gene没有确认有多少患者受到此次攻击的影响、声称对此负责的网络犯罪集团的名称，也不会确认是否支付了全部或部分赎金。该公司也不会提供调查人员针对此次泄密事件的报告副本。 财富管理公司Fortnum的9000多名客户数据被泄露至暗网 7月23日，澳大利亚证券投资委员会（ASIC）向新南威尔士州最高法院提起诉讼，声称金融咨询公司Fortnum Private Wealth Limited遭受网络攻击后，超过9000名客户的个人信息被泄露。据称，此次攻击涉及超过200 GB的敏感数据被盗并被公开到网上。 ASIC的法庭文件详细说明了Fortnum如何涉嫌在2021年4月至2023年5月期间让自己及其财务顾问网络容易受到网络犯罪分子的攻击。监管机构表示，这家总部位于悉尼的财富管理公司没有采取适当的保障措施，即使在此期间其授权代表遭遇多起网络事件。 澳大利亚证券投资委员会主席乔·隆戈（Joe Longo）在一份声明中表示：“Fortnum未能充分管理网络安全风险，导致公司、其代表及其客户面临不可接受的网络攻击风险。” 据称，Fortnum的多名授权代表遭受了网络攻击。除了导致数千条客户记录泄露的重大数据泄露事件外，事件还包括电子邮件账户被盗，网络钓鱼攻击，以及黑客从顾问的电子邮件地址发送欺诈性信息。 法庭文件显示，攻击者获取了敏感的客户信息，包括身份证明文件、税号、银行账户信息和信用卡信息，而这些信息正是网络犯罪分子进行身份盗窃和欺诈的目标数据类型。 ASIC的诉讼指控Fortnum违反了《公司法》的多项规定，未能“高效、诚实和公平地”提供金融服务，且未维护足够的风险管理系统。监管机构声称，该公司没有具备网络安全专业知识的员工，并且在制定政策时也未聘请合格的网络安全顾问。 这是近几个月来又一起类似的案件。3月份，澳大利亚证券投资委员会（ASIC）曾起诉FIIG Securities，称其涉嫌网络安全漏洞导致大规模数据泄露，385 GB的敏感客户数据最终流入暗网。 瑞士健康基金会Radix的数据在暗网上泄露 上个月底，Radix基金会遭受网络攻击后，被禁止进入赌场的人员的姓名和债务等敏感个人数据被发布在暗网上。 7月26日，据瑞士公共广播公司SRF报道，攻击发生后不久，1.3 TB的敏感数据被发布到暗网上。这将是瑞士此类基金会遭遇的最大规模数据泄露事件之一。 除了被赌场禁入的玩家信息（无论是否自愿）外，还可以查看另外1300人的信息。大部分内容来自Radix基金会赌博成瘾和其他行为成瘾中心的数据库。 Radix是一家致力于健康推广的非营利组织。瑞士联邦食品药品监督管理局（FCOS）在接受采访时强调，采取必要的组织和技术措施以及告知客户至关重要。 该基金会表示：“与赌场客人的心理社会护理过程相关的敏感信息以这种方式在暗网上被获取，这一事实在各方面都是悲剧和不可接受的。” Radix联系了所有能联系到的人，并与苏黎世数据保护机构和警方合作采取了必要措施。

今年春天，与大多数瑞士安全服务机构合作的瑞士IT服务提供商Xplain公司遭到了黑客攻击。接下来发展成一种典型的勒索软件攻击模式：内部系统瘫痪、数据被盗、索要赎金，然后，由于Xplain公司拒绝付款，黑客在暗网上发布了泄露的信息。6月初，黑客只发布了六个压缩文件，其中包含数千份文档，主要为来自Fedpol和几个州警察局执行的众多IT项目的数据：合同、技术规范等，总计近3GB；然后到了6月中旬，似乎所有被盗的信息都被放到了网上，即907GB，这是一个巨大的数据量。现在，来自瑞士联邦的超敏感信息现在可以在暗网上找到，那些意图伤害瑞士的居心不良的人很容易获得这些信息。 值得注意的是，Xplain公司是瑞士许多警察部队和安全联盟的IT服务提供商，特别是与联邦警察局、Fedpol和海关管理局合作。Xplain公司遭到黑客攻击导致大量超敏感数据在暗网上发布，影响了瑞士的国家安全。 据称勒索软件团伙”Play“是此次Xplain数据泄露事件的幕后黑手，”Play“是一个相当新的与俄罗斯相关联勒索软件团伙，在2022年发动了多次引人注目的攻击。该团伙因在加密受害者数据后添加扩展名“.play”而得名，其勒索信中通常包含“PLAY”一词。 “暂时”无法下载 上周日，瑞士国家网络安全中心（NCSC）告诉Keystone-ATS机构，这些数据已从暗网上消失。也就是它们已从当初发布的页面上删除，NCSC无法解释这种突然失踪的原因。NCSC时指出，“勒索软件团伙”Play“黑客组织于6月14日在暗网上发布了这些数据，此后暂时无法下载。我们不知道原因。” 这是一个重要的澄清：根据NCSC的说法，这些被盗的数据总量高达907GB，只是“暂时”消失了。联邦服务部门没有提供有关此事件的任何进一步细节。提供数据下载的地址很可能不再有效，这也可能是由于联邦方面采取的技术行动造成的。但随后，黑客可能从另一个地址重新发布了被盗的信息，与当局开始了一场猫捉老鼠的游戏，而他们几乎不可能获胜。 曾经很容易下载 网络安全专家证实，泄露的联邦数据确实可以在暗网上获得。请记住，访问它并不是很复杂：您所需要的只是一个特殊的浏览器，最著名的是Tor浏览器，然后可以直接访问所需的地址或查阅目录。这需要一点经验和时间。黑客和对被盗数据感兴趣的人也会浏览暗网交流论坛，在那里交换下载信息的地址。 从Xplain公司窃取的联邦数据大约十天前被黑客放到了网上。我们能想象这些数据从那时起已经被下载了很多次吗？普华永道负责网络安全服务的合伙人Yan Borboën表示：“是的，很可能这些数据已经被下载过很多次了，直到今天仍然如此。我们从之前的案例中知道这是可能的。”暗网上被盗数据存在真正的市场，就Xplain公司而言，这些数据显然会引起了许多人的兴趣——黑客、外国安全服务机构、网络安全公司……因此，许多存储副本已经在线和离线存在，下载到计算机、优盘或光盘、移动硬盘上。 数据一旦流出就很难监控 回到周日NCSC给出的信息，我们可以肯定地说数据不在暗网上吗？可以永久扫描吗？“我们的‘威胁情报’领域的专家团队确实可以监控暗网，”Yan Borboën继续说道。然而，考虑到暗网本身的功能，不可能确保这些搜索能够详尽地检测所有数据。事实上，数据有可能在访问受到严格限制的秘密暗网论坛上共享。 结论是：一旦数据被盗，其所有者就不再对其有任何控制权。 瑞士联邦正在危机处理 瑞士联邦危机工作人员已成立，负责处理影响Xplain公司的网络攻击，联邦委员会希望在联邦数据被盗后采取行动。危机工作人员负责协调正在进行的工作，以管理针对Xplain的勒索软件攻击。 联邦公共事务部已启动诉讼程序。联邦数据保护专员还对联邦警察局和联邦海关办公室展开调查，有迹象表明可能存在严重违反数据保护规定的情况。 政府还决定验证并在必要时修改与联邦政府IT服务提供商的当前合同。如果遇到网络攻击，联邦必须能够迅速做出反应。联邦服务提供商必须确保遵守针对网络攻击的保护标准。

5月中旬，一个被盗的数据库出现在暗网上，内容是《瑞士评论》（Swiss Review）订阅者信息的外部下载链接。这是一份联邦政府杂志，可以让国外的瑞士公民了解本国的最新动态。 这个数据库很全面，它包含超过42.5万个地址，其中40%是邮政地址，60%是电子邮件地址。任何在瑞士注册为海外公民的人都会自动通过电子邮件或邮寄方式收到《瑞士评论》。据外交部称，80万海外瑞士人中只有33万没有选择接受《瑞士评论》——其中包括讲意大利语的瑞士人。 瑞士外交部在处理这些地址时遵守所有数据保护规则，因为这些数据不是自愿提交的，它来自瑞士驻外领事馆。 任何在瑞士注销身份登记的人都有义务向相关瑞士代表处申报其在国外的居住地。这创造了《瑞士评论》的订户基础。 任何人都不能访问 瑞士政府认为这些数据非常敏感，甚至连《瑞士评论》的出版商SwissCommunity都无法获得这些数据。 但是，现在正是这些数据库可以在暗网中找到——或者至少是其中的一部分，具体情况尚不清楚。暗网是互联网中普通计算机用户无法访问的部分。 “联邦外交部不知道实际上有多少数据被窃取。”外交部写道。 联邦数据保护和信息专员阿德里安·洛比格（Adrian Lobsiger）表示：“非自愿收集的数据以这种方式公开，这一事实令人非常遗憾。”他正在呼吁让受影响的人得到通知。 已经提交了一份刑事投诉，网络安全专家正在进行调查。 网络攻击的副产品 但是，这怎么可能发生呢？简单地说，海外瑞士人的425000个地址是对两家瑞士出版社（NZZ出版集团和CH Media）进行勒索攻击的副产品。这两家出版社的数字基础设施是相互联网的。 对这次攻击负责的犯罪组织自称“Play”。这是一个活跃于国际舞台的黑客组织，据说与俄罗斯有联系。2023年5月3日，“Play”在暗网上公布了从瑞士出版集团CH Media窃取的大量数据。 公布窃取的数据是勒索扑克游戏的一部分，这在黑客所谓的勒索软件攻击中很常见。他们的做法冷酷而奸诈。 首先，犯罪分子侵入公司的IT系统。然后他们经常加密受害者的数据。与此同时，他们威胁要公布敏感数据。如果被勒索的公司拒绝支付赎金，数据记录就会发布在暗网上。 受攻击的公司表示，他们尚未支付赎金。 NZZ和CH Media数字生态系统遭受的攻击发生在3月底。据编辑部主任马克·莱托（Marc Lettau）称，《瑞士评论》编辑部也因编辑系统中断而受到了此次攻击的影响。《瑞士评论》也通过其IT基础设施与受到攻击的环境相连。 2023年5月3日，即“Play”公布被盗数据的当天，CH Media通知其IT客户。合作伙伴公司了解到客户数据也受到了影响。此消息也被发送至《瑞士评论》。 到5月中旬，很明显，这些数据包括《瑞士评论》订阅者的详细地址信息。每年六次，当该杂志印刷时，瑞士外交部会将这些数据发送给负责发送《瑞士评论》的印刷公司。 工作流程中的数据保护？ 此工作流程中是否有数据保护措施？外交部的回应是：“发送是通过加密的政府文件传输进行的。该流量没有受到影响，没有被黑客攻击，也不是数据被盗的对象。根据政府的数据保护规定，这些数据必须以加密的形式存储在印刷公司。” 目前尚不清楚相关数据库最终是否经过加密。CH Media写道：“我们不对个别客户关系发表评论。” 针对瑞士公司的勒索攻击 外交部上周才发表声明，即在泄密事件发生六周后。其中的核心要点是：除了地址之外，印刷公司不掌握任何个人数据。 显然，外交部几周来一直在努力做出正确的评估和正确的沟通。但专家们确信：“错误不在于政府，”《Inside-IT》杂志主编雷托·沃格特（Reto Vogt）表示。他说，政府以其对数据保护的敏感态度而闻名。“这一特殊案例可能只是运气不好。” 电子投票面临风险？ 然而，这次攻击有可能引发有关瑞士电子投票系统的安全争论，该系统于2023年重新推出。新系统的首次试用伴随着瑞士发生的几起网络攻击，引起了人们的关注。 除了勒索出版商之外，“Play”还对瑞士IT公司Xplain发起了一次惊人的攻击。该公司为瑞士司法和警察当局提供软件。 这次勒索软件攻击也导致了敏感数据的发布。受影响的包括军队、联邦海关和边境安全局以及联邦警察。调查仍在进行中，损坏程度尚无法确定。 六月初，另一个黑客团体使瑞士重要网站瘫痪。这次袭击是由亲俄组织NoName发起的，是对乌克兰总统泽连斯基在瑞士议会的视频演示的回应。 许多州的网站以及联邦政府和瑞士证券交易所的网站都受到了攻击。这些攻击的原理是不同的。它们被称为DDoS攻击，包括精心策划的大规模调用流量访问网站，使其不堪重负，导致网站暂时瘫痪。 无论勒索软件攻击和DDoS攻击都与电子投票技术没有直接关系。然而，如果此类攻击频繁发生，就会产生后果。IT企业家格吕特（Franz Grüter）表示：“即使这一事件与电子投票系统没有直接联系，随着每一次额外的网络事件的发生，人们对国家IT系统安全性的信心也会下降。” “可疑的安全思维” 对于格吕特来说，这些事件“让人们对政府的安全思维产生了怀疑”。格吕特是议会的人民党议员，对电子投票持怀疑态度。他认为这次事件很严重，并指出，在选举年，可购买的包含所有海外瑞士人地址的数据集特别有价值。“有人可以利用它来进行非常有针对性的选举广告。” 瑞士外交部写道，它“不知道这些数据目前是否在暗网上被提供”。

尽管瑞士纳沙泰尔国务委员会曾向议会保证，解释说它在电脑安全方面取得了进展，但这个事件却是一记耳光：勒索软件组织LockBit针对瑞士纳沙泰尔州两家医疗机构进行了网络攻击，并提出勒索赎金，否则在暗网公布其窃取的数据。 在暗网泄露医疗数据 在发出最后通牒后，周二，勒索软件组织LockBit在纳沙泰尔州采取了行动：在暗网上泄露了数千名纳沙泰尔患者的数据。然而，他们在周三被撤回。 黑客曾威胁这些公司，如果不支付赎金，将在3月29日星期二公布被黑客拖取的数据。根据Le Temps的说法，黑客兑现了他们的威胁，43,651份医疗文件最终进入了暗网（互联网的一个隐藏部分），包含地址、电话号码或职业。 泄露的文件中有医疗档案，有关于患者的病症或医疗检查的各种数据，在那里可以找到病历和治疗方法，例如：某位患者是艾滋病毒阳性，另一位患者正在服药，第三位患者患有抑郁症。其中一些档案可以追溯到1998年。 下午删除数据 然而，周三下午，这些数据在暗网上已经无法访问，它们在发布后不久被删除。有如下可能性：黑客攻击的受害者最终决定付款，或者黑客意识到文件的价值并决定尝试提高勒索赎金。网络安全专家也提出了暗网技术问题的假设。 在黑客的暗网页面上，更新了一个倒计时，即星期四下午1:30左右会有新动作，应是LockBit组织设置了新的24小时最后通牒。 警方调查 纳沙泰尔警方已经对这起案件开展了调查。“调查正在进行中，警方不希望提供有关这两家医疗机构的更多信息。”警方发言人Georges-André Lozouet周三告诉Keystone-ATS，证实了Le Temps的信息，这两个受害医疗机构的办公室位于纳沙泰尔山区。 一场“灾难” 纳沙泰尔医学会（SNM）主席多米尼克-邦兹利（Dominique Bünzli）在12时30分表示，发生的事情是“一场灾难”。他还没有详细信息，但他说，如果确实确认这些数据已被盗，他们将必须以完全透明的方式通知他们的患者。 本月早些时候，在同事告知他医学会是网络攻击的受害者后，SNM主席发出了一封警告信，呼吁成员立即采取行动。 网络安全加固 Dominique Bünzli解释说，目前正在开展工作，以加强医疗实践中的信息技术安全。瑞士医学协会（FMH）也发布了几项针对网络安全加固做法的建议。