培训行动

守护数字化车间的安全防线——从漏洞到防护的全景思考

admin

“防患于未然”,古人云:“先谋而后动,未雨绸缪”,在信息化、机器人化、自动化深度融合的今天,安全已经不再是“事后补救”,而是每一个岗位、每一台设备的“日常体操”。本文以近期两起极具警示意义的安全事件为切口,深度剖析攻击路径与防御错位,进而呼吁全体职工积极投身即将开展的信息安全意识培训,提升全员安全素养,让我们的数字化车间真正成为“稳如磐石、亮如星辰”的生产堡垒。

一、案例一:PTC Windchill 与 FlexPLM 触目惊心的零日漏洞(CVE‑2026‑4681)

1. 背景概述

2026 年 3 月 26 日,全球工业软件巨头 PTC 在其官方安全公告中披露,旗下核心 PLM(Product Lifecycle Management)平台 WindchillFlexPLM 存在 CVE‑2026‑4681 漏洞。该漏洞属 CWE‑94 程序码注入(Code Injection),利用不受信任数据的反序列化(Deserialization of untrusted data)即可实现 远程代码执行(RCE),CVSS 3.1 评分高达 10.0(满分)。

要点速递
– 影响版本:Windchill / FlexPLM 11.x、12.x、13.x 系列;
– 攻击方式:构造特制 HTTP 请求,诱导服务器在 Apache/IIS 上执行恶意序列化对象;
– 当时状态:官方尚未发布补丁,仅提供临时硬化配置(HTTP 头部过滤、禁用特定序列化入口)。

2. 警示信号与德国警方的非常规介入

漏洞公开后,常规的媒体报道和安全社区的技术分析随即出现。但更让人惊讶的是 德国联邦刑事警察局(BKA) 直接下令,各州执法部门派员赴多家受影响的本土企业现场,手持 PTC 官方公告,逐家逐户 进行风险提示。

  • 为何执法机关如此行动?
    • 情报支撑:据公开透露,德国警方在一次跨境网络情报共享会议中捕获了黑客组织准备利用该漏洞的大规模攻击计划,其中目标锁定了德系汽车、航空与高端装备制造企业的核心 PLM 系统。
    • 公共安全属性:PLM 系统管理着产品设计、工艺流程及关键材料信息,一旦被污染,可能导致假冒零部件流入供应链,危及人身与财产安全,甚至触发重大事故。
    • 预防性执法:在网络空间中,执法部门已逐步从“事后取证”转向“事前预警”。这一次行动,是对“公共安全组织介入网络安全事件处理”的典型案例。

3. 技术细节与攻击链分析

环节 关键技术点 可能的防御失误
入口 HTTP GET/POST 请求中的 Content-Type: application/octet-stream 未对上传的二进制流进行白名单校验
序列化 Java 序列化(ObjectInputStream)或 .NET 二进制序列化 直接反序列化不可信数据
对象注入 恶意类实现 java.io.Serializable 并覆写 readObject,执行系统命令 缺乏序列化类的安全审计
执行 触发 Runtime.exec()Process.Start(),在服务器上执行任意 Shell 未开启系统调用审计或 SELinux/AppArmor 约束
后渗透 通过已获取的系统权限,横向移动至内部网络的 ERP、MES 等系统 缺失网络分段与最小权限原则

4. 受影响的业务冲击

  • 产线停摆:PLM 数据库若被篡改,产品 BOM(Bill of Materials)失真,导致加工指令错误,直接导致装配线停工。
  • 合规风险:欧美地区的制造企业需符合 ISO 26262IEC 61508 等功能安全标准,产品数据被篡改即构成合规违约。
  • 声誉与法律责任:若因数据泄露导致竞争对手获取核心技术,企业将面临巨额赔偿和品牌信任危机。

5. 对企业的启示

  1. 及时订阅供应商安全通报,在公告发布后 24 小时内完成内部评估。
  2. 硬化服务器配置:如本案例所示,PTC 提供的 Apache/IIS HTTP 头部过滤是临时措施,但必须配合 WAF、入侵检测系统(IDS)进行深度防御。
  3. 强化供应链安全:PLM 系统位于供应链的 “中枢神经”,必须在供应链风险管理(SRM)框架中纳入安全评估。
  4. 建立跨部门应急响应:IT、安全、业务部门联动,形成“预案—检测—处置—复盘”闭环。

二、案例二:某大型车企被勒索病毒锁定,数千台机器人停滞三天

1. 事件概述

2025 年 11 月底,A 车企(全球领先的新能源汽车制造商)在其位于华东的智能工厂内,遭遇了 后门木马 + 勒索软件 双重攻击。攻击者利用未打补丁的 Windows SMB 脆弱实现(CVE‑2025‑1350),成功获取域管理员权限。随后,恶意脚本在工厂的 机器人控制系统(RCS)MES(Manufacturing Execution System) 上植入加密病毒,导致 2,800 台机器人生产线被迫停机,累计产能损失约 1.5 亿人民币

2. 攻击路径与关键失误

步骤 攻击手段 企业防线缺口
初始渗透 钓鱼邮件带有恶意宏文档,诱导运维人员点击 邮件网关缺乏高级威胁防御(ATP),宏安全策略未严格执行
横向移动 使用 Mimikatz 抽取凭证,利用 SMB 漏洞 CVE‑2025‑1350 进行域传递 未对关键服务器启用 SMB 加密,未实施细粒度的网络分段
持久化 在机器人控制系统的 PLC(可编程逻辑控制器) 代码中植入后门 PLC 固件未进行完整性校验,缺少代码签名
加密勒索 通过 PowerShell 脚本调用 AES‑256 加密所有生产数据 备份策略不完整,灾备中心与生产网络同网段,导致备份也被加密
勒索通知 通过暗网渠道索要 比特币 赎金 未建立快速响应的内部报告渠道,导致事后发现时间延迟 48 小时

3. 业务与安全的“双重代价”

  • 直接经济损失:停产导致订单违约,需对客户进行违约赔偿;
  • 供应链连锁反应:上游零部件供应商因交付延迟被迫削减产能,形成 “鞭子效应”
  • 安全合规惩罚:该公司在中国的 《网络安全法》《工业互联网信息安全管理办法》 中被列为违规单位,受到 数百万人民币 的监管处罚;
  • 品牌形象受创:媒体曝光导致消费者信任度下降,股价在公告后 5 天跌幅达 12%

4. 关键教训

  1. 人因是最高危隐患:一次成功的钓鱼邮件即可撬开整个工厂的大门,必须强化全员的安全意识训练。
  2. 系统层面的“最小化暴露”:对不再使用的 SMB 端口、未受管控的远程登录服务进行关闭或严格访问控制。
  3. 机器人与 PLC 的安全基线:在工业控制系统(ICS)中强制执行固件签名、代码完整性校验,并部署 工业防火墙行为异常检测系统(UEBA)。
  4. 备份与灾备的“零信任”:备份系统应与生产网络空中隔离,采用不可变存储(WORM)并启用 离线快照

三、从案例到行动:在机器人化、信息化、自动化融合的新时代,如何让安全成为“隐形的生产力”?

1. 时代特征与安全挑战

维度 现状 潜在风险
机器人化 机器人协同作业、柔性制造、自动化装配 机器人操作系统(ROS、PLC)若被植入后门,可能导致工伤或生产失误。
信息化 大数据、云平台、MES 与 ERP 深度集成 数据中心若缺乏细粒度访问控制,攻击者可横向渗透至核心业务系统。
自动化 AI 预测维护、数字孪生、无人车间 AI 模型被对抗样本投毒,导致错误决策,甚至触发安全阀门失灵。

在这种“三位一体”的技术架构里,“安全不是堆砌在系统外围的防火墙”,而是每一个功能模块、每一次交互的“内部防线”。

2. 安全意识培训的必要性与目标

目标 内容 预期效果
认知提升 讲解最新威胁趋势(如 CVE‑2026‑4681、Supply Chain Attack)、案例复盘 员工能辨识潜在攻击手法,形成风险敏感度。
技能渗透 手把手演练钓鱼邮件识别、强密码生成、双因素认证配置、PLC 固件校验 让安全操作成为日常工作流程的一部分。
文化沉淀 “安全第一”口号、内部奖励机制、跨部门红蓝对抗演练 建立以安全为中心的组织氛围,形成“安全自觉”。
快速响应 建立应急联动链路、标准化报告模板、演练演习(Table‑top) 在真实事件发生时,能够在 30 分钟 内完成初步定位并启动响应。

一句话总结:培训不是“灌输”,而是“点燃”。只有让每位职工把安全当作工作的一部分,才能在面对未知威胁时,做到“未雨绸缪”。

3. 培训计划概览(2026 年 Q2)

时间 形式 主题 主讲人 预期受众
4 月 5 日 在线直播(90 分钟) “从 PTC 漏洞看供应链安全” 外部资深安全顾问 全体研发、运维、供应链管理人员
4 月 12 日 现场工作坊(3 小时) “PLC 与机器人安全基线” 公司工业信息安全团队 机器人操作员、自动化工程师
4 月 19 日 案例复盘(2 小时) “勒索病毒突围” IT 运维总监 全体 IT 支持、系统管理员
5 月 3 日 红蓝对抗演练(半天) “模拟内部钓鱼、快速响应” 安全运营中心(SOC) 安全团队、业务部门负责人
5 月 10 日 结业测评(线上) “信息安全技能大考” 人力资源部 所有参与培训人员
5 月 15 日 颁奖仪式 “最佳安全倡导者” 公司高层 表彰表现突出者,树立榜样

4. 培训中的关键环节与趣味设计

  1. 情景剧:以“黑客侵入车间”为剧本,演员扮演运维人员、攻击者、警察,现场演绎如何在第一时间发现异常并报告。
  2. 小游戏“密码强度大挑战”,让大家现场生成密码并用工具即时检测,最高分者获得“密码守护神”称号。
  3. 互动投票:每个案例后设置即时投票,“如果你是当事人,你会先做哪一步?” 通过投票结果引导正确的应急流程。
  4. 现场答疑:邀请外部专家现场解答大家关于 CVE‑2026‑4681工业控制系统渗透 的技术细节,打破“技术高墙”。

5. 培训成效评估与持续改进

  • 量化指标

    • 培训完成率 ≥ 95%;
    • 安全知识测评平均得分 ≥ 85%;
    • 真实安全事件报告率提升 30%;
    • 漏洞响应时间从 48 小时缩短至 ≤ 12 小时。

  • 质性评估:通过问卷收集学员对案例实用性、讲师表达、培训节奏的满意度,形成年度安全文化报告。

  • 持续改进:每季度对培训内容进行一次风险更新(如新 CVE、行业新规),并将最新案例纳入演练库,确保培训永远与 “刀锋” 同频。

四、结语:让安全成为每一次点击、每一次操作的自觉

在机器人臂臂相迎、数据流如江河的数字化车间里,“安全”不应是高高在上的口号,而是每个人指尖的习惯。PTC 的零日漏洞提醒我们,供应链的任何环节都有可能成为攻击的入口;A 车企的勒索风暴警示我们,人因失误+技术缺口 正是黑客最爱钻的洞。

愿我们所有职工在即将开启的信息安全意识培训中,
保持警觉:不随意打开来历不明的邮件附件;
遵循最佳实践:定期更新系统补丁、使用强密码、开启多因素认证;
积极报告:一旦发现异常,第一时间通过公司统一渠道报告;
学习进化:把每一次安全演练当作技能升级的机会。

让我们在 “机器人化、信息化、自动化” 的浪潮中,以 “安全先行、全员参与” 为帆,驶向高效、可靠、可持续的未来。

昆明亭长朗然科技有限公司的信息安全管理课程专为不同行业量身定制,旨在提高员工对数据保护重要性的认知。欢迎各界企业通过我们,加强团队成员的信息安全意识。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898

防御AI时代的暗潮涌动——从“看不见的日志”到“潜伏的代理”,一次全员安全意识的觉醒

admin

前言·头脑风暴
在信息安全的浩瀚星海里,每一次技术突破都伴随着暗流潜伏。若把2026年AWS Bedrock的八大攻击向量比作一场潜伏在企业内部的“谍战”,那么下面这三个案例便是最具警示意义的“首发弹”。它们不只是技术细节的堆砌,更是对组织安全文化的强烈拷问。请先跟随我一起梳理这三起真实或“假设”场景的案例,感受危机的真实力度,再让思考的火花点燃我们共同的防御意志。

案例一:日志暗链——“模型调用日志”成为数据泄露的后门

场景回放

某互联网金融公司为提升客服效率,使用Bedrock的语言模型自动生成交易帮助文案。为了满足合规审计,团队开启了 Model Invocation Logging,把所有对模型的请求和返回写入企业内部的S3日志桶 s3://company-bedrock-logs/。但在权限审计时,运维人员仅给了 bedrock:PutModelInvocationLoggingConfiguration 权限给了一个名为 ml‑pipeline‑svc 的服务角色,以便动态切换日志路径。

数周后,攻击者通过一次 IAM 权限提升(利用旧的 Lambda 角色泄漏的凭证)获得了 bedrock:PutModelInvocationLoggingConfiguration 权限。借助这项权限,他将日志输出修改为自己控制的 S3 桶 s3://malicious-logs/attacker/,随后每一次客户的敏感提问(如 “我的银行卡号是?”)以及模型的完整回复都悄然流入了黑客的私有存储。

更可怕的是,攻击者还拥有 s3:DeleteObject 权限,随时可以清除原始日志桶中的记录,留下的唯一痕迹就是这条被重定向的日志流。安全团队在事后审计时,只发现原始日志桶里“日志被清空”,再也找不到任何异常。

安全要点剖析

步骤 关键失误 防御建议
权限授予 bedrock:PutModelInvocationLoggingConfiguration 过宽(包含跨账户) 最小化权限,仅允许 PutModelInvocationLoggingConfiguration 指向受控、只读的内部桶;使用 IAM 条件 限制 s3:PutObject 目标前缀
日志桶管理 S3 桶未开启 Object VersioningMFA Delete 开启版本控制,防止日志被直接覆盖;强制 MFA 删除关键对象
监控告警 未对 PutModelInvocationLoggingConfiguration API 调用启用 CloudTrail 监控 将该 API 加入 Security Hub 高危事件列表,配合 Amazon EventBridge 实时告警
审计流程 只审计 模型请求,忽视 日志配置 变更 建立 配置审计(Config Rules)检测日志桶配置异常,触发自动回滚

古语有云:“防微杜渐,未雨绸缪”。 在AI模型的治理中,日志不仅是合规的证据,更是攻击者的潜在泄漏口。对日志的每一次“搬家”,都必须在可追溯、可回滚的框架内进行。

案例二:知识库纵横——“数据源凭证泄露”引发的横向渗透

场景回放

一家制造业企业将内部技术手册、采购合同等文档上传至 S3,并在Bedrock中创建 Knowledge Base,让聊天机器人能够在内部帮助中心直接检索这些文档。为了实现跨系统查询,团队在 Bedrock Knowledge Base 配置中填写了 AWS Secrets Manager 中的凭证(访问 SharePoint、Salesforce 的 API 密钥),并赋予 bedrock:GetKnowledgeBase 权限给业务服务角色 arn:aws:iam::123456789012:role/knowledge‑svc.

攻击者通过一次成功的 S3 Bucket Policy 绕过 (利用公开的 ListBucket 权限)获取了 knowledge-s3-data 桶的 GetObject 权限,直接读取了存放在桶中的 credentials.json(该文件误放在非加密的对象中,用于快速调试)。凭证内容包括 Salesforce OAuth TokenSharePoint Client Secret

凭借这些凭证,攻击者使用 Salesforce API 读取了内部的客户关系数据,随后利用 SharePoint 的内部目录结构定位了 Active Directory 同步脚本的路径,进一步在内部网络中植入了 PowerShell 脚本,实现了 横向移动。整个过程持续了两周,未触发任何异常报警。

安全要点剖析

失误点 影响范围 防御措施
明文凭证存放 攻击者直接获取跨系统访问凭证 所有外部系统凭证必须使用 AWS Secrets ManagerParameter Store 并开启 KMS 加密;禁止在 S3 中存放任何明文凭证
权限过宽 bedrock:GetKnowledgeBase 赋予了读取全部 Knowledge Base 配置的能力 采用 基于标签的访问控制(ABAC) 只授予对特定 Knowledge Base 的读取权限;使用 IAM 条件 限制对 Secrets Manager 的访问
S3 Bucket 配置缺陷 ListBucket 公开导致对象列举 关闭公共读写,使用 Bucket Policy 限定来源 IP;启用 Amazon Macie 检测敏感数据泄露
缺少跨服务监控 未监测到跨系统 API 调用异常 配置 AWS CloudTrailSalesforce、SharePoint 的 API 调用进行统一日志并启用 Anomaly Detection(异常检测)

千里之堤,溃于蚁穴”。在AI驱动的知识检索体系里,凭证管理是最薄弱的环节。仅有技术的封闭不足以抵御有心人,必须在组织层面严格规范凭证的生命周期。

案例三:代理流动暗战——“Flow 注入”与 “Lambda 恶意代码”双剑合璧

场景回放

一家大型电商平台在促销季采用 Bedrock Flows 编排多模型协作:① 首先调用文本摘要模型提取商品描述;② 再调用图像生成模型渲染海报;③ 最后通过自研的 Lambda 函数把海报保存至 CDN 并推送到社交媒体。整个 Flow 使用了 Customer Managed Key (CMK) 加密中间状态,确保数据在传输过程不被泄露。

攻击者通过 社交工程(伪装成内部业务伙伴)获取了 Lambda:UpdateFunctionCode 权限的临时凭证。随后在 Flow 中的 Condition Node(负责检查是否为节假日促销)注入了一个 Sidecar S3 Storage Node,将所有商品描述原文同步写入攻击者控制的 S3 桶。更进一步,攻击者利用 lambda:PublishLayer 为目标 Lambda 函数附加了一个恶意依赖层,层中包含 Keylogger加密勒索 payload

当 Flow 正常运行时,勒索代码在每次生成海报后启动,对存放在 CDN 的图片进行加密,并将解密钥匙发送至攻击者的 Telegram Bot。企业在发现 CDN 文件不可访问后,才意识到系统已经被内部 Lambda 完全控制。由于 Flow 中的 CMK 已被替换为攻击者自持的密钥,整个加密过程在合法的 KMS 调用路径内完成,安全审计工具难以辨别异常。

安全要点剖析

攻击路径 关键漏洞 对策建议
Lambda 代码更新 lambda:UpdateFunctionCode 权限被滥用 采用 代码签名(Code Signing)并强制仅接受已签名的部署包;启用 AWS Lambda Layers 的白名单
Flow 配置修改 bedrock:UpdateFlow 允许插入恶意节点 将 Flow 配置纳入 AWS Config 合规检测,禁止未授权更改;使用 IAM 条件 限制 UpdateFlow 只能由特定 CI/CD 账户执行
CMK 替换 kms:CreateGrant 被用于切换自己的密钥 CMK 变更 开启 CloudTrail 细粒度监控,并使用 AWS GuardDuty 检测异常 Grant;开启 Key Policy 的多因素审批
Lambda Layer 注入 lambda:PublishLayer 被用于加载恶意代码 对 Layer 发布实行 审计与签名,仅允许内部可信仓库的 Layer;对 Layer ARN 使用 Resource-based policies 限制调用者

正所谓“兵者,诡道也”。在 AI 编排系统中,流程即是战场,每一次节点的变动都可能是敌手潜伏的信号。只有把 最小特权代码完整性行为审计 融为一体,才能在纵横交错的自动化链路中保持清晰的防御视野。

越走越远的自动化、数字化、具身智能化 —— 安全的“同频共振”

过去十年里,企业从 IT 资产OT、IoT、AI 跨界融合的 数字化 转型一路加速。2026 年的趋势更是将 自动化具身智能(Embodied Intelligence) 融合——机器人、数字孪生、边缘 AI 设备不再是实验室的玩物,而是生产线、客服中心、物流仓储的“活体”。在这种“大脑+四肢”协同的生态里,安全 的边界被重新定义:

  1. 自动化即攻击面:CI/CD、IaC(Infrastructure as Code)以及 AI/ML Ops 流水线的每一次自动化部署,都可能成为攻击者的入口。正如案例三所示,一个权限过宽的 Lambda 函数就能在毫秒级完成恶意代码注入,远比传统的手工植入更具隐蔽性和破坏力。

  2. 数字化即数据资产扩散:知识库、向量数据库、实时流处理平台等数字资产以 服务化 形式对外提供,任何一次 API 调用 都是潜在的信息泄漏点。案例二中的跨系统凭证泄露,正是数字化带来的“信息链路过长”导致的风险。

  3. 具身智能化即攻击路径可视化:机器人、自动驾驶小车、智能摄像头等具身实体在边缘运行,它们的 行为决策 大多依赖云端模型(如 Bedrock)。一旦模型或其调用路径被篡改(案例一、三),实体设备将可能在无感知的情况下执行攻击者指令,形成 物理层面的破坏

水至清则无鱼,鱼欲脱则不养”。安全不应追求绝对的“无风险”,而是要在 快速迭代风险可控 之间找到 平衡点。因此,企业需要从 技术、流程、文化 三个维度同步提升防御能力。

三大提升路径

维度 关键动作 预期收益
技术层 1️⃣ 引入 AI/ML 安全基线(如模型输入/输出审计、Prompt Guardrails)
2️⃣ 强化 IAM 最小特权条件访问(ABAC)
3️⃣ 部署 统一安全监控平台(Security Hub + GuardDuty + Config)		 防止权限滥用、实时捕获异常行为
流程层 1️⃣ 将 安全审计 纳入 CI/CD Pipeline(代码签名、IaC 检查)
2️⃣ 对 Bedrock Flow/Agent/Guardrail 的变更实行 双人审批变更记录
3️⃣ 定期进行 红队渗透,聚焦 AI 堆栈		 将安全嵌入交付链,提升可追溯性
文化层 1️⃣ 开展 全员安全意识培训(覆盖模型使用、日志审计、凭证管理)
2️⃣ 建立 安全威胁情报共享 社区,鼓励内部“安全彩蛋”报告
3️⃣ 用 案例驱动 的方式让技术团队“感同身受”		 把安全理念根植于每个人的日常工作,形成“安全第一”的组织氛围

号召:一起加入信息安全意识培训,打造“AI+安全”双轮驱动

同事们,技术的升级不应成为安全的盲点。AI 赋能 带来业务创新的同时,也打开了 攻击者的新入口。正如《左传·僖公二十三年》所言:“防微而未萌,祸起于盈”。我们必须在微观的权限、日志、凭证细节上,提前布设防线,才能在宏观的业务创新中保持安全的底线。

为此,公司即将在本月启动一轮 信息安全意识培训,培训内容覆盖:

  • AI模型安全:Prompt Guardrails、模型审计、对话日志合规
  • Bedrock全栈防护:权限最小化、Flow/Agent/Guardrail 实战案例
  • 凭证与密钥管理:Secrets Manager、KMS、S3 加密的最佳实践
  • 自动化安全:CI/CD 安全、IaC 代码审计、Lambda 代码签名
  • 具身智能防护:边缘 AI 设备安全、模型推理链路审计、物理层攻击检测

培训采用 线上+线下混合 的形式,配合 情景式演练(如模拟 “日志重定向” 漏洞修复)与 红蓝对抗(攻防实战),帮助大家在 理论实践 两端都能获得实战经验。参与培训的同事将在公司内部获得 安全积分,积分可兑换 专业书籍、技术培训券,并有机会加入公司 安全先锋团队,直接参与安全治理项目。

让安全成为大家的共同语言,而不是少数人的专属职责。正如《论语》所云:“温故而知新”,回顾过去的安全漏洞,才能在新技术面前游刃有余。

请大家

  1. 报名链接已通过企业邮箱发送,请在48小时内完成报名。
  2. 对于已在项目中使用 Bedrock、Lambda、S3 等资源的同事,请提前准备权限清单,在培训中进行现场演练。
  3. 若有任何安全疑问或想分享的案例,欢迎随时在内部 安全论坛 发帖,我们将挑选优秀案例在培训中进行深度剖析。

让我们一起把 “AI赋能的安全防线” 建设成企业竞争力的硬核底层,在自动化、数字化、具身智能化的浪潮中,保持清醒、保持防护、保持前行的力量!

致敬每一位助力企业安全的勇士,让我们在新一轮的学习中,携手共筑安全堡垒!

昆明亭长朗然科技有限公司在企业合规方面提供专业服务,帮助企业理解和遵守各项法律法规。我们通过定制化咨询与培训,协助客户落实合规策略,以降低法律风险。欢迎您的关注和合作,为企业发展添砖加瓦。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898