安全新闻周报 20260112~0118

1.教元集团证实遭遇网络攻击，多个系统离线

韩国最大的教育及生活用品企业之一教元集团宣布，本周末在发现疑似勒索软件攻击后，已关闭其内部计算机网络的关键部分。

在该公司的一份声明中，教元集团表示1月10日早上发现了异常活动，随即启动了应急响应计划，隔离受影响的服务器以防止黑客入侵更多系统。1月11日，教元集团主网站及其多个关联网站无法访问，该事件才被公开承认。

这家由韩国首富之一张平淳所有的企业集团表示，“已确认有迹象表明，由于勒索软件攻击，部分数据可能已外泄。受影响的数据是否包含客户信息，目前正在调查中。”

自系统关闭以来，其多家附属企业的网站（包括教育和旅游子公司）已无法访问，该公司称正在努力安全地恢复系统。

教元集团表示，在与其所谓的专业安全人员和相关政府机构合作调查入侵原因、影响范围以及是否有数据受影响的同时，已将网络下线以稳定服务并优先保护客户。

据《亚洲商业日报》报道，此次攻击背后的黑客已向教元集团发出勒索要求。据《朝鲜日报》报道，人们担心该公司的数据泄露可能影响数百万人，数据包括使用其教育服务的儿童的姓名和地址。

该公司表示，在发现问题后不久，已向韩国互联网振兴院及其他调查机构报告了此次安全漏洞。

该集团网站上的一条横幅声明写道：“如果进一步调查确认客户信息已泄露，我们将及时、透明地通知受影响的客户。”

这是影响韩国公司的最新一起高调数据泄露事件，去年有SK电信的2700万客户和乐天信用卡的300万客户收到了相关事件通知。韩国官员已承诺加强该国的数据保护法，并对未能保护客户数据的公司实施更严厉的处罚。

链接：

https://www.anquan114.com/archives/6932

2.维多利亚州教育部门称，黑客窃取了学生数据

澳大利亚维多利亚州教育部门通知家长，攻击者访问了一个包含当前和以前学生个人信息和电子邮件地址的数据库，导致密码重置。

该部门在发给家长的信中披露了此次数据泄露事件，称未经授权的第三方获取了学生的姓名、学校名称、年级和学校发放的电子邮件地址，以及使用这些信息的帐户的加密密码。

不过，声明称，出生日期、家庭住址或电话号码等更敏感的数据并未在此次事件中泄露。

尽管调查此次泄露事件的当局尚未发现证据表明被访问的数据已被公开或与其他方共享，但作为预防措施，该部门已重置所有学生密码，阻止学生访问学校帐户，直到发放新的凭据为止。

“所有学生的密码都已重置。这意味着学生无法访问他们的学校账户。新密码将优先发放给VCE学生。所有其他学生将在学年开始时获得新密码，”教育部在当地媒体发布的信函中表示。

“教育部已采取措施保护学生电子邮件账户，但您可能需要提醒您的孩子不要回复来历不明的电子邮件。”

虽然维多利亚州教育部没有透露有多少学生受到数据泄露的影响，但维多利亚州的公立学校系统在 1500 多所学校为大约 65 万名学生提供服务。

该部门还表示，已采取措施消除导致此次安全漏洞的攻击途径，并表示将在获得更多信息后提供有关该事件的信息。

教育部表示：“教育部已查明此次事件的原因，并已采取保护措施。在进入2026学年之际，教育部将继续向各学校校长提供最新信息。”

维多利亚州教育部门尚未透露攻击者何时获得数据库访问权限、何时发现安全漏洞以及攻击者是否索要赎金。

“我们现在正与网络安全专家、其他政府机构合作，并与各学校沟通，以确保此事不会影响学生在2026学年开始时的学习，”教育部发言人告诉BleepingComputer网站。“没有证据表明被访问的数据已被公开或与其他第三方共享。”

链接：

https://www.bleepingcomputer.com/news/security/victorian-department-of-education-notifies-parents-of-data-breach/

3.加拿大投资监管机构证实，黑客攻击了75万名投资者

加拿大投资监管组织（CIRO）1月16日证实，去年约有75万名投资者受到网络安全事件的影响。

该组织独立于加拿大政府，负责监管该国所有投资和共同基金交易商，以及加拿大债务和股票市场的交易活动。

该公司表示，在8月份检测到一起“复杂的网络钓鱼攻击”后，可以确认数据泄露的规模。

CIRO 表示，经过“领先的第三方 IT 取证调查员”超过 9000 小时的取证检查后，他们正在联系受影响的客户，以确认犯罪分子可能已经泄露了大量个人信息，尽管登录凭证没有风险。

CIRO表示：“以下信息可能受到影响：出生日期、电话号码、年收入、社会保险号码、政府颁发的身份证号码、投资账户号码和账户报表。”

该机构表示：“目前没有证据表明这些信息已被滥用。我们将继续监控恶意活动，尚未发现任何威胁活动或在暗网上泄露的情况。”

受影响的投资者将获得“两大信用机构”提供的两年信用监控和身份盗窃保护。

首席执行官安德鲁·克里格勒表示：“我们致力于妥善处理所有受影响者的权益。我们非常重视自身在公共利益方面的角色。隐私和安全问题对我们至关重要，透明度和问责制也是我们组织的核心价值观。正因如此，我们将继续致力于进一步加强自身的网络安全防御和数据安全措施，并支持更广泛的投资行业正在进行的各项努力。”

链接：

https://therecord.media/canada-ciro-investing-regulator-confirms-data-breach

4.波兰全国可再生能源设施遭遇大规模网络攻击

安全内参消息，波兰政府表示，成功挫败了近年来针对该国能源基础设施最严重的一次网络攻击，从而避免了一场大规模停电。

据波兰能源部长Miłosz Motyka称，此次未遂破坏发生在去年12月末，黑客针对全国大范围内的可再生能源设施，包括太阳能电站和风力发电机，与电力配电运营商之间的通信发动了攻击。

1月13日周二，波兰数字事务部长Krzysztof Gawkowski表示，该事件险些引发一次全面停电，并呈现出明显的协调一致的破坏行动特征。

Gawkowski对当地媒体表示：“此次攻击的规模、入侵路径以及幕后主使都表明，这是一次蓄意切断波兰公民电力供应的企图。所有迹象都指向俄罗斯的破坏行为。”

与此前主要聚焦大型发电厂或输电网络的网络事件不同，最新这次攻击同时针对了多个较小的电力来源。

Motyka表示：“我们以前从未见过这种类型的攻击，但我们应当预期它还会再次发生。”

他拒绝透露有关入侵的技术细节，未正式将其归因于某个具体威胁行为体，也没有说明事件发生后采取了哪些安全措施。

作为北约成员国以及乌克兰的重要支持者，自2022年俄乌战争全面爆发以来，波兰面临的针对关键基础设施的网络攻击数量持续上升。

此次未遂入侵发生之际，莫斯科仍在持续使用无人机和导弹轰炸乌克兰的能源系统，引发了乌克兰当局所称的前所未有的能源危机。在严寒的冬季气温下，数百万人失去了电力、供暖和供水。

链接：

https://www.secrss.com/articles/87065

5.西班牙能源巨头Endesa披露数据泄露事件

西班牙能源供应商 Endesa 及其 Energía XXI 运营商正在通知客户，黑客入侵了公司的系统并获取了与合同相关的信息，其中包括个人信息。

Endesa是西班牙最大的电力公司，现隶属于Enel集团，为西班牙和葡萄牙超过1000万用户提供天然气和电力。该公司表示，其客户总数约为2200万。

这家能源公司通知了受此次安全漏洞影响的 Energía XXI 客户，并公开披露了这起安全事件，称其商业平台遭到了未经授权的访问。

“尽管该公司采取了安全措施，但我们仍检测到未经授权和非法访问我们客户某些与其能源合同相关的个人数据的证据，包括您的数据，”该公司表示。

目前的调查显示，黑客可能已经访问或窃取了基本身份信息、联系信息、国民身份证号码（DNI）、合同详情、付款详情，包括 IBAN 账号。

Energía XXI 和 Endesa 都明确表示，此次安全事件并未泄露账户密码。

针对此次事件，公司已封锁了受影响的内部账户，导出日志记录以供分析，目前正在通知所有客户。此外，公司已加强监控，以检测进一步的可疑活动。

由于调查仍在进行中，该公司已通知西班牙数据保护局和该国所有相关机构。

与此同时，一些网络威胁组织上周公布了他们声称是从Endesa窃取的数据样本，据称包含2000万条记录。这些数据被出售给一位独家买家。

黑客声称拥有约1TB的SQL数据库，其中包含Endesa的客户信息。根据卖家提供的信息，这些数据似乎与Endesa所称的入侵者访问其系统的数据相符。

BleepingComputer 已就这些指控联系了 Energía XXI 和 Endesa，但发言人仅分享了官方声明。

Energía XXI 表示，该事件并未影响其运营或服务，因此客户可以继续享受同等水平的服务，无需承担任何风险。

该公司承诺，如果正在进行的调查发现有关该事件的更多细节，将在未来几天内直接通知受影响的客户。

链接：

https://www.bleepingcomputer.com/news/security/spanish-energy-giant-endesa-discloses-data-breach-affecting-customers/

6.比利时AZ Monica医院在遭受网络攻击

由于网络攻击，比利时 AZ Monica 医院1月13日周二早些时候被迫关闭所有服务器、取消预定手术并转移危重病人。

这家在安特卫普和德尔讷设有院区的医院，在系统遭受攻击后，于早上 6 点 32 分断开了所有服务器的连接。

网络攻击还迫使医院暂停了周二的所有预定手术，尽管急救医疗服务和重症监护转运部门仍然处于离线状态，但急诊科仍在以较低的容量运行。

“鉴于目前的情况，今天所有预定的手术都无法进行。我们已通知所有患者。急诊科目前以较低的接诊量运转。急诊科（MUG）和重症监护室（ICU）的服务目前暂停，”医院在一份新闻稿中表示。

发言人索菲·布雷姆告诉VRT新闻：“紧急治疗仍在继续，当然，已经在医院的患者也仍在接受治疗。但是，非紧急会诊暂时推迟，因为我们无法调取患者电子病历中的信息。”

七名需要重症监护的患者在红十字会的协助下被转送至其他医​​院。医院官员补充说，所有剩余患者均留在AZ Monica医院接受必要的治疗，但同时 提醒说，由于员工“需要填写大量纸质信息”，新患者的登记流程将会比较慢。

医院已通知相关部门，并表示警方和检方正在调查这起网络安全事件。医院还指出，将继续密切关注事态发展，并在获得更多信息后及时更新情况。

“AZ Monica始终将患者的安全和医疗服务的连续性放在首位。我们将继续密切关注事态发展，并在情况更加明朗后立即发布最新消息。”声明补充道。

AZ Monica 没有具体说明事件的性质，也没有指出是否涉及勒索软件。勒索软件是针对全球医疗保健机构的常见威胁，因为医疗保健机构经常存储敏感的患者数据，这使它们成为双重勒索攻击的理想目标。

链接：

https://www.bleepingcomputer.com/news/security/belgian-hospital-az-monica-shuts-down-servers-after-cyberattack/

深圳市信飞合创科技有限公司

2026年1月