云原生安全

让云上的“无形刀”不再刺伤我们——深度解读Kubernetes安全风险,点燃信息安全意识的火花

admin

一、头脑风暴:三大典型安全事件,引人深思

在信息化、数字化、自动化深度融合的今天,组织的核心业务越来越依赖容器化平台和云原生技术。以下三个案例,虽不全部来源于真实事故,但均基于业界公开的真实风险,结合《CloudTweaks Podcast》第28期的核心观点进行演绎,具有极强的警示意义:

案例编号 案例标题 触发因素 结果概述
案例一 “成本迷雾中的隐形泄露” 自动扩容策略未加细粒度预算限制 通过 Kubernetes 的 Horizontal Pod Autoscaler(HPA)在业务高峰期自动扩容,导致数十个新节点快速启动,未及时审计 IAM 权限,暴露了内部 API gateway 的访问凭证。攻击者利用泄露的 token,横向渗透至关键数据库,窃取数千条用户敏感信息。
案例二 “容器镜像的‘背后暗流’” 使用公共镜像仓库的默认拉取策略,缺乏镜像签名验证 开发团队在 CI/CD 流程中直接引用 Docker Hub 上的 “latest” 镜像。某次供应链攻击者在该镜像中植入了后门脚本,容器启动后自动向外部 C2 服务器发送系统信息并下载勒索软件,导致生产环境集群在夜间被全盘加密,业务停摆 12 小时。
案例三 “自动化治理的‘失控曲线’” 自动化安全策略执行脚本误写正则,误删关键配置 为实现“零手工”运维,运维团队编写了一个自动化脚本,用于每日审计并删除未使用的 ServiceAccount。脚本中正则匹配错误,误将所有 ServiceAccount(包括系统默认的 defaultkube-system)全部删除,导致 API Server 无法认证请求,整个平台瞬间宕机,恢复过程耗时超过 8 小时。

思考题:如果上述三起事故中,团队在“自动化、成本、治理”环节提前植入了明确的安全Guardrail(防护栅栏),会不会避免或至少降低损失?答案显而易见——

二、案例深度剖析:从表象看到根源

1. 成本迷雾中的隐形泄露——“自动化+预算=安全盲区”

  • 技术背景:Kubernetes 的 HPA 能根据 CPU/Memory 使用率自动扩容 Pod,极大提升弹性;但若缺乏细粒度的 Cost Center 标记与配额(Quota)控制,扩容的节点数会在短时间内激增,导致费用骤升。
  • 安全漏洞:在扩容过程中,新节点会自动拉取集群的 kubeconfig,若 IAM 权限策略未实现最小权限原则(Principle of Least Privilege),这些节点便拥有过度宽泛的 API 访问能力。攻击者若能截获或猜测节点的凭证,就能借此绕过网络隔离,直接攻击内部服务。
  • 防御要点
    • 配额限制:在 Namespace 级别设置 ResourceQuota,对 Pod、CPU、Memory、节点数上限进行硬限制。
    • 成本标签:使用 CostCenterProject 等标签进行费用归属,配合 Cloud Cost Management 工具实时监控异常费用。
    • 最小权限:为节点角色绑定最小化的 ClusterRole,禁用对敏感 API(如 secretsconfigmaps)的不必要读写。

2. 容器镜像的背后暗流——“供应链安全不能忽视”

  • 技术背景:容器化的优势在于“一次构建、处处运行”。然而,若构建过程依赖公共镜像仓库的 latest 标签,意味着每次拉取都有可能收到被篡改的二进制。
  • 供应链攻击路径:攻击者通过在公开镜像仓库植入恶意层,利用 CI/CD 自动拉取最新镜像的行为,将后门代码注入到生产环境。由于缺少镜像签名(如 Notary、Cosign)的校验,安全团队难以及时发现异常。
  • 防御要点
    • 镜像签名:在构建阶段使用 cosign 为镜像签名,并在部署前强制校验签名。
    • 内部镜像仓库:搭建私有镜像仓库(Harbor、Quay),仅允许通过审计流程后推送镜像。
    • 镜像漏洞扫描:集成 Snyk、Trivy 等工具,对每个镜像层进行 CVE 扫描,阻止高危漏洞进入生产。

3. 自动化治理的失控曲线——“脚本即武器,正则需谨慎”

  • 技术背景:企业在追求运维自动化时,往往将“清理废弃资源”和“安全策略强制执行”写进同一套脚本。脚本的正确性直接决定系统的稳定性与安全性。
  • 事故根源:此案例的正则误匹配导致所有 ServiceAccount 被误删。更糟的是,脚本在执行前未进行 dry‑run 预演,也未采用 RBAC 限制其删除权限,导致“人肉”审计失效。
  • 防御要点
    • 代码审查:所有自动化脚本必须经过 peer review,并使用单元测试(例如 kube-score)验证安全规则的正确性。
    • 灰度执行:在生产前先在 staging 环境进行 --dry-run=client,确认资源影响范围。
    • 权限分离:将“清理”权限交给专用 ServiceAccount,只授予 delete 某类资源的权限,防止误操作波及核心组件。

三、从案例看趋势:自动化、数字化、信息化的融合挑战

1. 自动化是“双刃剑”

“工欲善其事,必先利其器。”——《论语·卫灵公》

正如《CloudTweaks Podcast》第28期所言,自动化若缺乏人定义的 Guardrail,等同于让无形刀在系统内部乱舞。在我们公司日益加速的数字化转型中,CI/CD、IaC(Infrastructure as Code)以及云原生治理平台(如 OpenShift、Rancher)已成为业务的“血脉”。但若不在每一步“自动化”前植入安全校验、费用监控、合规审计,便会产生“隐形风险”。

2. 数字化意味着业务的快节奏迭代

数字化让业务能够 在秒级响应市场需求,但也让 攻击面呈星状扩散。每一个新服务的上线,都可能带来新的入口点;每一次 API 的开放,都可能成为攻击者的 “跳板”。因此,安全必须嵌入到业务的每一次迭代,而不是事后补丁。

3. 信息化的深度渗透与合规要求

在信息化浪潮中,合规(如 GDPR、ISO27001、国内的网络安全法) 已不再是可选项,而是业务能否持续运行的底线。尤其是云资源的弹性伸缩、跨地域调度,都涉及数据跨境、隐私保护等复杂法规。通过 统一标签、审计日志、可追溯性,我们才能在实现业务敏捷的同时,满足合规监管。

四、号召全员参与信息安全意识培训:从“认识风险”到“主动防御”

1. 培训的目标与价值

目标 价值
提升安全认知 让每位同事都能识别日常工作中的安全隐患,如泄露凭证、错误配置、未加密传输等。
掌握实战技能 通过演练 Kubernetes RBAC 最佳实践、镜像安全扫描、成本监控平台使用等,转化为可操作的能力。
培养安全文化 形成“安全是每个人的职责”的共识,推动组织在自动化、数字化进程中自觉遵循防护原则。
实现合规可审计 让团队自然遵循标签、审计日志、权限最小化等合规要求,降低审计风险。

2. 培训内容概览

  1. 云原生安全基石——Kubernetes RBAC、NetworkPolicy、PodSecurityPolicy(或其新版本 OPA Gatekeeper)实战演示。
  2. 成本与安全的“双重守护”——如何使用 Cost Explorer、Savings Plans、Spot 实例与安全 Guardrail 同步配置。
  3. 供应链安全——镜像签名、SBOM(Software Bill of Materials)生成与验证、CI/CD 安全扫描的完整流程。
  4. 自动化脚本安全——IaC 静态审计工具(Checkov、Terraform Compliance)使用、dry‑run 与灰度发布的最佳实践。
  5. 案例复盘——以上三大案例现场演练,学员亲手定位风险点、制定防护措施、模拟应急响应。

3. 培训方式与时间安排

方式 说明
线上直播 通过 Teams/Zoom,邀请资深安全专家进行案例剖析,学员可实时提问。
实战实验室 搭建预置的 Kubernetes 环境(包括 cost‑monitor、policy‑engine),学员在实验中完成任务。
知识星图 用思维导图形式梳理安全要点,帮助记忆;配套电子手册随时查阅。
安全作业赛 以“小组PK”形式完成安全加固、成本优化双任务,激发竞争与学习热情。
跟踪复盘 培训后 30 天内,每周推送安全小贴士,督促学员在实际项目中落地。

4. 参与的奖励机制

  • 安全达人徽章:完成全部模块并通过考核的同事,可获公司安全达人徽章,展现在内部社区主页。
  • 季度礼包:安全积分累计前 10% 的团队成员,将获得技术书籍、线上课程或小额奖金。
  • 晋升加分:在绩效评估中,信息安全意识与实践表现将计入个人加分项。

5. 呼吁行动

“危机并非天降,而是我们在成长路上留下的脚印。”
———《道德经·第九章》

各位同事,云上的刀锋越磨越锋利,唯有我们每个人都成为刀上的护盾,才能让业务在高速奔跑中不被割伤。请立即报名参加 2026 年第一季度信息安全意识培训(报名截止 1 月 30 日),让我们一起把“自动化”这把神器打磨得更安全、更可靠、更省钱!

五、结束语:从“防御”到“共创”——安全是企业的共同财富

在数字化、自动化、信息化三位一体的浪潮中,安全不再是单点防御,而是全链路的协同治理。正如《孙子兵法》所言:“上兵伐谋,其次伐交,其次伐兵,其下攻城。”我们要做的不是单纯抵御外部攻击,而是 通过系统化的治理、成本控制、技术创新,让安全成为业务创新的加速器

请相信,只有每一位员工都具备强烈的安全意识,持续学习最新的防护技巧,才能把潜在的风险化作组织竞争力的坚实基石。让我们以本次培训为契机,携手共建“安全‑自动化‑成本三位一体”的新生态,让企业在云原生的海洋中航行得更加稳健、更加迅猛。

关键词

昆明亭长朗然科技有限公司提供一站式信息安全服务,包括培训设计、制作和技术支持。我们的目标是帮助客户成功开展安全意识宣教活动,从而为组织创造一个有利于安全运营的环境。如果您需要更多信息或合作机会,请联系我们。我们期待与您携手共进,实现安全目标。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898

打造“安全思维”防火墙:从真实案例到全员意识提升的全景指南

admin

前言:头脑风暴的火花——三个让人“警铃大作”的信息安全事件

在准备本次安全意识培训材料时,我把自己想象成一位“安全侦探”,把公司内部可能出现的风险化作三场扣人心弦的“悬疑剧”。下面这三个案例,都是基于 AWS re:Invent 2025 安全主题的真实技术趋势编撰而成,虽然情节是虚构的,却深植于当下企业最容易踩雷的细节点。希望通过这些“惊险片段”,把枯燥的安全概念化作血肉丰满的故事,从而在第一时间抓住大家的注意力。

案例编号 核心情节 安全要点
案例 Ⅰ “AI‑助手泄密”——一名业务分析师在内部 Slack 里使用 Amazon Bedrock 生成的聊天机器人,误把内部敏感模型参数当作公开回答粘贴到公开文档中。 生成式 AI 内容治理、数据标记、最小特权原则
案例 Ⅱ “钓鱼鱼鹰”——利用 GPT‑4 生成的高度仿真钓鱼邮件,成功诱骗部门经理点击恶意链接,导致公司内部 IAM 角色凭证被窃取。 AI 驱动的社会工程、凭证管理、防钓鱼培训
案例 Ⅲ “云端裸跑”——一次自动化部署脚本漏掉了 S3 桶的加密与访问控制配置,导致十万条业务日志在公开互联网上被爬取,泄露了客户的交易细节。 基础设施即代码(IaC)安全、默认安全配置、持续合规审计

下面,我将对每个案例进行细致剖析,从“事前预防”“事中发现”“事后整改”三道防线展开,帮助大家把抽象的技术要点内化为可操作的日常习惯。

案例Ⅰ:AI‑助手泄密——从好奇心到信息泄露的“一步之遥”

场景复盘

2025 年 3 月,昆明亭长朗然科技的市场部小李(化名)在准备产品路演 PPT 时,想借助 Amazon Bedrock 的生成式 AI 快速撰写“一页产品简介”。她在内部 Chat 界面输入:

“请帮我写一段关于我们内部机器学习模型‘AlphaSecure‑V2’的技术优势,最好加入模型的超参数和训练数据分布。”

AI 返回了完整的技术文档,其中包括了 模型的超参数、训练数据标签分布、以及用于加密的 KMS 密钥别名。小李误以为这些信息已经脱敏,直接复制粘贴到一个公开的 PowerPoint 幻灯片,并在公司内部 Wiki 上共享。

几天后,竞争对手的安全研究员在网络上抓取到该公开 PPT,立刻识别出 模型的细节与内部 KMS 配置,成功对公司在云端的加密策略发起针对性攻击,导致部分加密数据在 S3 访问日志 中被解密后泄漏。

安全根因

  1. AI 内容未做敏感信息过滤
    • SEC410 – Advanced AI Security 中提到,生成式 AI 必须配合 “防泄密守卫(Guardrails)”,对返回内容进行敏感信息检测与脱敏。
  2. 缺乏最小特权原则
    • 小李的 IAM 角色拥有 “BedrockFullAccess” 权限,能够直接查询模型内部细节。按 SEC333 – From Static to Dynamic,应采用 动态、临时凭证 并限制查询范围。
  3. 文档审批流程不严谨
    • PPT 在发布前未经过 安全审计,导致敏感信息在公开渠道泄露。

教训与落地措施

步骤 操作要点 对应 AWS 实践
1️⃣ 预防 为所有生成式 AI 接口配置 Amazon Bedrock Guardrails,开启 敏感词库(包括模型名称、KMS 别名等)。 SEC410 中的 “Prompt Guardrails”。
2️⃣ 权限 为业务人员提供 基于角色的细粒度访问(Amazon Verified Permissions),仅授予查询公开模型的权限。 SEC307 工作坊的 Identity & Authorization 实践。
3️⃣ 审计 在任何对外文档发布前,强制走 AWS Security Hub + Amazon Macie 的内容扫描流程。 SEC323 中的 “统一安全监控”。
4️⃣ 教育 定期组织 “AI 内容安全” 微课堂,让员工熟悉 Prompt Injection信息脱敏 的基本原则。 参考 SEC419(未来计划)中的 “AI 安全最佳实践”。

金句“欲防信息泄露,先要让 AI 学会守口如瓶。”

案例Ⅱ:钓鱼鱼鹰——当 AI 成为黑客的“枪手”

场景复盘

2025 年 7 月,财务部门的张经理(化名)收到一封标题为 “【重要】请确认本月供应商付款信息” 的邮件。邮件正文使用了 GPT‑4 生成的自然语言,语气亲切、格式严谨,甚至复制了公司内部常用的 徽标与签名。邮件中嵌入了一个看似合法的 Amazon S3 预签名链接,声称是“付款清单”附件。

张经理点开链接,页面弹出 AWS 登录框,要求使用 公司 IAM 用户名/密码 登录。由于链接的域名是 s3.amazonaws.com,张经理误以为是 AWS 官方页面,输入凭证后,凭证被劫持。攻击者随后利用该凭证调用 AWS STS AssumeRole,获取了 管理员级别的临时凭证,对公司内部的 Amazon Cognito 用户池进行批量导出,导致上千名员工的个人信息泄漏。

安全根因

  1. AI 生成的社交工程邮件
    • 采用 Generative AI 产生高度仿真的钓鱼文案,使传统的 “辨认可疑链接” 防线失效。
  2. 凭证缺乏多因素认证 (MFA)
    • 张经理的 IAM 账户未开启 MFA,导致一次性密码泄露即能完成登录。
  3. 临时凭证滥用
    • Attackers 利用 AssumeRole 随意获取持久化权限,未进行 权限边界 限制。

教训与落地措施

步骤 操作要点 对应 AWS 实践
1️⃣ 防钓 开展 AI 驱动钓鱼演练(参照 SEC406 – Red teaming your generative AI),让员工亲身体验 AI 生成钓鱼邮件的威力。 SEC406 工作坊提供实战平台。
2️⃣ MFA 为所有 IAM 用户强制 MFA(推荐使用 U2F 硬件密钥),并在 AWS IAM Access Analyzer 中监控缺失 MFA 的身份。 SEC319 中的 “安全文化”。
3️⃣ 权限边界 通过 IAM 权限边界(Permissions Boundaries)和 组织服务控制策略 (SCP),限制 AssumeRole 的角色范围。 参照 SEC333 中的 “动态访问管理”。
4️⃣ 行为监控 启用 Amazon GuardDutyAWS Security Hub,实时检测异常登录、异常角色切换等行为。 SEC323 “检测与响应创新”。
5️⃣ 教育 设立 “AI安全守门员” 小组,负责每月审计公司内部生成式 AI 的使用场景,确保 Prompt Guardrails 持续有效。 SEC410 呼应的治理措施。

金句“当黑客的箭头装上了 AI 的弹头,只有智慧的盾牌才能挡住。”

案例Ⅲ:云端裸跑——IaC 的“无形漏洞”

场景复盘

2025 年 10 月,研发团队在使用 AWS CDK 编写 CI/CD 流水线时,因时间紧迫省略了对 S3 桶 的加密与访问控制配置。代码片段如下(已脱敏):

new s3.Bucket(this, 'LogBucket', {  versioned: true,  // 意外遗漏:encryption: s3.BucketEncryption.S3_MANAGED,  // 意外遗漏:publicReadAccess: false,});

部署成功后,日志桶默认 public-read,因 Amazon S3 静态网站托管 功能被误开启,外部搜索引擎爬虫迅速索引到该桶的 URL。数日内,竞争对手通过公开的日志文件,逆向解析出业务系统的 API 调用路径、请求体结构,进一步发起了 API 注入业务层面 的漏洞利用。

安全根因

  1. IaC 配置缺失
    • 未在代码层面强制 加密最小权限,导致部署后出现安全漏洞。
  2. 缺乏自动化安全审计
    • 没有在 CI/CD 阶段集成 AWS Config Rulescfn‑nag 等工具进行安全合规检查。
  3. 对 CloudFront/Edge 缓存误用
    • 错误地将日志桶绑定为 Static Website,增加了公开面。

教训与落地措施

步骤 操作要点 对应 AWS 实践
1️⃣ IaC 安全 CDK/CloudFormation 模板中使用 AWS Construct Library 的安全默认(如 encryption: s3.BucketEncryption.S3_MANAGEDblockPublicAccess: s3.BlockPublicAccess.BLOCK_ALL)。 SEC303 工作坊讲解的 “基础设施安全”。
2️⃣ 自动审计 CodePipeline 中加入 AWS Config Rules(如 s3-bucket-public-read-prohibited)与 Amazon GuardDuty 的 IaC 检测器,确保每次提交都通过安全检查。 参考 SEC310 中的 “基础设施防护”。
3️⃣ 角色分离 为部署脚本分配 最小化 IAM 角色,仅允许 S3:PutBucketPolicyS3:PutEncryptionConfiguration 等必要权限。 SEC333 的 “动态访问管理” 对齐。
4️⃣ 监控与报警 开启 Amazon CloudTrail 对 S3 ACL 和 Policy 的变更记录,设置 SNS 报警,第一时间响应异常公开。 SEC323 中的 “统一监控”。
5️⃣ 文化 IaC 安全审查 纳入 代码评审(Code Review) 的必检项,并在团队内部组织 “安全即代码” 读书会。 SEC319 希望构建的 “安全文化” 相呼应。

金句“代码里埋下的‘裸跑’,往往比外部攻击更致命。”

Ⅰ️⃣ 信息化、数字化、智能化时代的安全新常态

1. AI 与安全的“双刃剑”

  • 生成式 AI 为业务创新提供了 “写代码、写文案、写安全策略” 的强大能力,却也让 Prompt Injection信息泄露 成为常见风险。正如 SEC410 所指出,AI 需要 “防泄密守卫” 来约束其输出。
  • Agentic AI(自主智能体)在 SEC408 中被提及,其拥有 自主决策高频交互 的特性,使得 身份管理 必须更加细粒度、实时化。

2. 云原生与基础设施即代码(IaC)

  • 随着 DevOps、GitOps 成为主流,基础设施 已不再是手工配置,而是 代码化。这带来了 IaC 漏洞(如案例Ⅲ),也提供了 自动化审计 的契机。
  • AWS 提供的 Config Rules、GuardDuty、Security Hub 能够在 提交阶段 即捕获配置错误,实现 “左移动安全”(Shift‑Left)。

3. 零信任与动态访问

  • 零信任 已从口号走向实践:短时凭证、最小特权、身份即策略(IAM、Verified Permissions)。
  • SEC333 中的 “临时访问、动态角色” 强调:不要让长期密钥在系统中流转,而是使用 STS 生成一次性凭证,并通过 权限边界 限制其作用范围。

4. 人员与文化:安全不是 IT 的事,而是全员的事

  • “安全文化” 并非口号,而是 行为。案例Ⅰ、Ⅱ中,人的好奇心、疏忽、对新技术的盲目信任均导致安全事故。
  • 正如 《孙子兵法》 讲:“兵者,诡道也”。在信息安全领域,诡道 体现在 攻击者的创新防御者的持续学习。只有全员参与、不断演练,才能在威胁面前保持主动。

Ⅱ️⃣ 号召全员加入信息安全意识培训——从“听课”到“实战”

1. 培训的结构与亮点

章节 形式 关键内容 对标 AWS Session
A. 安全基础 线上微课堂(30 min) 密码管理、多因素认证、网络钓鱼识别 SEC319、SEC343
B. AI 安全实战 现场 Workshop(2 h) Prompt Guardrails、Agentic AI 访问控制、AI 红队演练 SEC410、SEC408、SEC406
C. 云原生安全 实战 Lab(3 h) CDK 安全最佳实践、Config Rules 自动化、IAM 动态访问 SEC303、SEC333、SEC401
D. 安全文化建设 小组讨论 + 案例复盘(1 h) 事故复盘、组织治理、持续改进 SEC319、SEC343
E. 认证考核 在线测评(30 min) 知识点检验,合格后获“安全达人”徽章

特别福利:完成全部培训并通过考核的同事,将获得 AWS Certified Security – Specialty 费用报销(最高 2,400 USD),并在公司内部 “安全之星” 榜单上展示。

2. 参与方式

  • 报名渠道:公司内部安全门户 → “培训与发展” → “信息安全意识培训”。
  • 时间安排:2025 12 1 日至 12 15 日,每天 09:00–18:00 多场平行场次,可自行选择。
  • 必备设备:笔记本电脑(已安装 AWS CLI、VS Code、Docker),确保能够完成 WorkshopLab

3. 培训的价值:从“防御”到“赋能”

  1. 提升个人竞争力:掌握 AI 安全零信任IaC 安全 等前沿技能,成为公司内部的“安全专家”。
  2. 增强组织韧性:全员具备安全思维,能够在 威胁出现的第一时间 进行 自助判别初步响应
  3. 降低合规成本:通过 自动化审计安全文化 的沉淀,显著降低 PCI‑DSS、GDPR、ISO 27001 等合规审计的资源投入。

金句“安全不是一道围墙,而是一把随时可以拔出的剑”。

Ⅲ️⃣ 结束语:让安全成 为每一天的习惯

古语有云:“千里之堤,毁于蚁穴”。在数字化浪潮汹涌而来的今天,信息安全的堤坝 同样可能因一次细小的失误而被冲垮。我们已经用案例说明了 AI 生成内容、钓鱼攻击、IaC 漏洞 如何在不经意间渗透进业务流程,也已经提供了 防护、检测、响应 的全链路对策。

然而,技术方案只能为“堤坝”提供 钢筋混凝土,真正的 防护 还需要 全员的警觉持续的学习。因此,我诚挚邀请公司每一位同事,都在 2025 12 1 日至 12 15 的学习窗口里,投入时间、打开脑袋、动手实练,让 安全思维 从一次培训、一次演练,扎根于每天的工作、每一次代码提交、每一次系统登录之中。

让我们共同把 “信息安全” 从口号转化为 组织的基因,让 “安全文化” 成为 企业最坚固的护城河。只有这样,当外部的 AI 红队高级持续威胁(APT) 再次来袭时,我们才能胸有成竹、从容应对。

邀请您加入:点击公司内部 安全门户,立即报名!让我们在 2025 的最后一个月,以 知识技能文化 三位一体的力量,守护 昆明亭长朗然 的每一次创新、每一份信任。

让安全成为每个人的习惯,让创新在安全的护航下飞得更高!

昆明亭长朗然科技有限公司强调以用户体验为核心设计的产品,旨在使信息安全教育变得简单、高效。我们提供的解决方案能够适应不同规模企业的需求,从而帮助他们建立健壮的安全防线。欢迎兴趣客户洽谈合作细节。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898