自古逢秋多寂寥，人民银行供应链攻击事件终于爆出来了-mycsg

来自ATW的问候：

我们花了两个月的时间，终于能有权访问到中国人民银行的内部资产。
本次泄露的信息包含了中国人民银行所有软件项目的源代码，以及漏洞信息、代码smells和debts、以及安全报告。

我们使用了供应链攻击，目前正处于潜伏状态。因此，对中国人民银行用来进行私有化软硬件代码协作的网络，我们可以保持持续访问。

通过本次入侵，我们收集到了以下信息：
- 自动化办公信创产品-用于帮助国有资产开发和设计安全措施的软件
- 长春人民银行大数据系统
- 产品服务器收集平台-大数据系统之间的链接服务器&信创OA
- ETL 平台服务端
- ETL 平台代理
- 江苏省法人金融机构风险监测系统
- 长沙人民银行国库大数据管理系统
- EAST 数据质量管理系统
- Db2ImportTool（2021年10月）

需要通过 BTC或者ETH 支付，下面是一些证据。
https://mp.weixin.qq.com/s/z4u0IJYdtQhjCLWj9EfTRQ

热议
推荐楼 nnt 昨天20:14

供应链攻击，简单来说就是编写系统的外包商被黑了

推荐楼 mycsg 半小时前

2楼 optimism 昨天19:37

我言秋日胜春朝

3楼 erno 昨天19:40

火钳留名

4楼 hcyme 昨天19:41

包障眼法

5楼 HOH 昨天19:42

看起来没啥作用

6楼 等1下™我老公呢 昨天19:42

我信你个鬼，你先给我转8个0我就信

7楼 3gW7d7jizJS 昨天19:42

又发生肾么事了

8楼 SolitudeGuest 昨天19:46

啥情况~

9楼 citywar 昨天19:48

围观这是啥情况

10楼 _hostloc 昨天19:50

相信央妈

12楼 httpsMail 昨天19:59

啥叫供应链攻击？

13楼 会翻车吗 昨天20:02

啥叫供应链攻击？

看这文章的意思是 比如从LOC里找到了DISCUZ提供的论坛源码 DZ就是供应链

14楼 宝丽金 昨天20:06

啥叫供应链攻击？

就是说从上下游开始的攻击
比如说 食堂

15楼 gamerock 昨天20:09

就算有事也是屁大点事！！（这是明面的）
然后就是（WC这事顶天了！！源代码都被挖走了！！随便检测一下有没有漏洞）
世界上又不是没有银行被黑的事件！！只能吃哑巴亏。又不敢说出来！！说出来影响多大？？
网站源代码泄露的严重性你们不知道？？

16楼 sytta 昨天20:12

就算有事也是屁大点事！！（这是明面的）
然后就是（WC这事顶天了！！源代码都被挖走了！！随便检测 ...

对源代码进行审计 安全漏洞发现了直接就地取材 1:1上线开干是吧

17楼 nnt 昨天20:14

供应链攻击，简单来说就是编写系统的外包商被黑了

18楼 xihuheyi 昨天21:15

不是内网？

19楼 spr1ng 昨天21:45

看这里https://mp.weixin.qq.com/s/z4u0IJYdtQhjCLWj9EfTRQ

20楼 acpp 昨天21:52

啥叫供应链攻击？

男女谈对象，跳过女方直接搞定丈母娘。丈母娘可以搞定女方。

22楼 mycsg 半小时前

23楼 yumijie 半小时前

可意会不可言传?

24楼 aaalzk 28分钟前

IT部门的被查是肯定的,因为我们市一级的都有审核机制,跳板机,网闸都要有,能让人把内部网络的东西偷出来只能说是管理不严了

下一步内网不用的IP全都挂蜜罐吧

25楼 flyqie 27分钟前

卧槽...

看这架势是直接打入开发商内部了？

牛逼，我们中出了个叛徒系列....

就是不知道这个潜伏是指软件还是人，估计大概率是人。

也不知道中国人民银行主要使用的语言是啥，估计是c++吧，这代码要是有人能拿到的话，可真刑。

26楼 karlpopper 7分钟前

IT部门的被查是肯定的,因为我们市一级的都有审核机制,跳板机,网闸都要有,能让人把内部网络的东西偷出来只能 ...

那些审核机制基本是流于表面的，见识过某个省级邮政系统的代码审查，静态+动态+人工，最后一个几乎是摆在面上的问题都查不出来。相关人员业务能力不足以及依赖第三方工具（脚本小子这类）导致所谓的审查都只是机械式履行程序的纸面安全（为了推卸责任用）

27楼 贾队长 5分钟前

来晚了，没看到证据

申明：本文内容由网友收集分享，仅供学习参考使用。如文中内容侵犯到您的利益，请在文章下方留言，本站会第一时间进行处理。