密码管理

从“密码失守”到“合规危机”——让信息安全成为每位员工的自觉行动

admin

一、头脑风暴:四大典型安全事件,警示每一次“疏忽”

在信息化、数字化、智能化浪潮日益汹涌的今天,隐蔽的安全隐患常常在不经意间酝酿,稍有不慎便会酿成“千钧一发”。以下四个真实或高度还原的案例,犹如警钟长鸣,提醒我们:安全不只是技术部门的事,更是全体员工的共同责任。

案例一:密码库泄露导致跨国数据泄露(某跨国制造企业)

情景再现:该企业在全球设有数十个研发中心,研发数据涉及大量欧盟公民的个人信息。公司在一次快速上线新产品的压力下,选用了市面上一款“轻量级”个人密码管理工具来统一存放研发系统的凭证。该工具采用的是云端同步、但并未提供零知识(Zero‑Knowledge)架构,供应商服务器上保留了可解密的密文。一次供应商内部员工离职审计失误,导致旧有加密钥匙未被及时撤销,黑客通过钓鱼邮件获取了该员工的登录凭证,随后批量下载了研发数据库。

后果:欧盟数据保护监管机构对该企业启动了GDPR调查,依据第33条“数据泄露通报义务”和第32条“安全性要求”,对企业处以最高4%年度营业额的罚款,且要求在30天内完成整改。更糟的是,泄露的研发成果被竞争对手快速复制,导致公司在半年内失去约30%的市场份额。

教训:密码管理工具必须满足企业级的合规要求,尤其是零知识设计、强加密和细粒度访问控制;否则,密码本身会成为攻击者的“后门”。

案例二:内部员工离职未收回凭证,导致供应链攻击(某大型电商平台)

情景再现:平台的供应链系统与第三方物流公司深度集成,所有关键API凭证均存放在内部自研的密码库中。某资深运维工程师因个人原因离职,离职手续中仅完成了AD账户的禁用,却忽略了对其在密码库中创建的“共享凭证”进行回收。离职后,该工程师将凭证复制至个人云盘,数月后被同一行业的竞争对手收购并利用,发起针对平台供应链的API滥用攻击。

后果:攻击持续两周,导致平台每日订单处理延迟30%以上,直接经济损失逾人民币1500万元。更严重的是,由于涉及到用户的支付信息,监管部门对平台的第三方风险管理提出了严厉批评,并要求提交整改报告。

教训:离职流程必须覆盖所有关键资产的回收,尤其是密码库中共享凭证的撤销与审计。即使是“已经禁用的账户”,若其拥有的密钥未被销毁,也会成为潜在危机。

案例三:弱加密导致“黑暗森林”攻击(某金融机构的内部审计系统)

情景再现:该机构内部审计系统采用自建的密码库,使用的是自定义的“DES+Base64”加密方式,号称“足够安全”。黑客在一次外部渗透测试中获知该加密算法后,利用公开的逆向工具对截获的密文进行批量破解,仅用数小时便还原出全部审计账号的明文密码。

后果:黑客利用这些审计账号登录内部审计系统,下载了数万条客户信用记录,随后在暗网进行出售。金融监管机构依据《网络安全法》对该机构处罚,并强制其在30日内完成系统加密升级。机构声誉受创,客户信任度下降,导致存款流失约5%。

教训:所谓“自研加密”往往安全性无法得到验证,选用行业通用、经过审计的加密标准(如AES‑256)才是正道。密码库必须实现“安全即设计”,防止加密算法本身成为攻击向量。

案例四:缺乏审计日志导致监管追责(某医疗健康信息平台)

情景再现:平台为医护人员提供电子病历系统,所有访问凭证均集中存放在密码管理系统中。然而该系统未提供完整的访问日志功能,也没有对管理员操作进行实时告警。一次内部审计人员误操作,删除了部分患者记录后未被及时发现,导致数千名患者的诊疗信息不完整。

后果:患者投诉后,监管部门依据《个人信息保护法》对平台展开专项检查,发现平台在“访问控制”和“可审计性”上严重缺失,依法对平台处以150万元行政罚款,并要求在90天内完成审计日志系统的建设与数据恢复工作。

教训:合规要求不仅体现在“数据加密”,更体现在“可追溯、可审计”。完整、不可篡改的日志是事后追责、事前预防的根本支撑。

小结:四大案例横跨制造、电子商务、金融、医疗四大行业,所涉及的漏洞分别是——密码库的合规不足、离职凭证未回收、弱加密算法、审计日志缺失。它们如同四根刺刀,刺向企业的安全防线,也提醒我们:信息安全是一道全链路、全生命周期的防护长城,而不是单点的技术堆砌。

二、在数字化、智能化时代,密码管理的合规坐标——GDPR 与《个人信息保护法》双重锁

1. GDPR 与个人信息保护的底层逻辑

GDPR(General Data Protection Regulation)自2018年正式施行以来,已经成为全球数据保护的“金标准”。它强调:

  • 数据最小化(Data Minimisation):仅收集、处理业务所必需的数据。
  • 安全性设计(Security by Design):系统从架构层面即嵌入安全防护。
  • 可追溯性(Accountability):必须能够证明已采取合规措施,且具备完整审计日志。

在密码管理场景中,密码本身即是“个人信息”的关键访问凭证,若密码管理系统未满足 GDPR 的安全性和可审计性要求,则整个业务链路的合规性也会被打上问号。

2. 《个人信息保护法》对密码管理的具体要求

2021年《个人信息保护法》(以下简称《法》)在第39条至第43条明确了以下技术要求:

  • 强加密:使用行业标准的对称加密算法(如 AES‑256)保护存储和传输中的数据。
  • 零知识:服务提供方不得获取明文数据,确保即使供应商泄漏也无法解密。
  • 细粒度访问控制:基于角色的访问控制(RBAC)必须实现最小权限原则。
  • 审计日志:记录所有访问信息、修改操作、异常告警,且日志必须不可篡改、可导出。

因此,无论是国内企业还是跨境业务,密码管理工具必须实现 “合规即安全,安全即合规” 的闭环。

3. 从技术视角审视密码管理的关键要素

关键要素 合规意义 实际落地要点
Zero‑Knowledge 架构 防止供应商成为“第三方受监管方” 客户端加密、密钥仅在本地生成、服务器仅存储密文
AES‑256 加密 满足《法》与 GDPR 的加密强度要求 数据静态、传输均使用 TLS 1.3 + AES‑256
身份系统集成(AD、LDAP、SSO) 实现身份统一、离职自动回收 支持 SAML、OAuth2、OpenID Connect
细粒度 RBAC 数据最小化、最小特权原则 支持基于组织结构的动态角色、资源标签化
MFA(多因素认证) 防止单因素密码泄露导致的连锁风险 支持硬件令牌、TOTP、FIDO2
审计日志 & 实时监控 可追溯、及时告警 日志采用不可变存储、支持 SIEM / SOAR 集成
全球合规 & 本地化 跨境业务的数据流动合规 数据中心可选 EU、CN 区域,满足数据本地化要求

上述要素是构建 “GDPR‑ready” 密码管理系统的基本框架,也是企业在信息安全治理中实现“技术合规、治理合规、运营合规”的关键路径。

三、Passwork——符合 GDPR 与《个人信息保护法》 的密码管理典范(案例剖析)

在众多市面密码管理方案中,Passwork 以 “欧盟本土化、Zero‑Knowledge、AES‑256、完整审计” 的特性脱颖而出。下面结合上述四大案例,对 Passwork 的合规优势进行剖析。

1. 零知识设计,防止“供应商泄漏”

Passwork 的私钥始终保存在用户本地,服务器仅存储密文。即使供应商服务器被攻击,攻击者也只能看到不可解密的密文,从根本上断绝了供应商成为攻击链中 “第三方受信任方” 的可能。这正是案例一中因供应商服务器泄漏导致的灾难性后果的有力防御。

2. 与企业身份系统无缝集成,保障离职回收

Passwork 支持 LDAP、Active Directory、SAML、OAuth2 等企业身份体系,实现 “身份即凭证” 的统一管理。在员工离职时,管理员只需在 AD 中禁用账号,即可自动撤销其在 Passwork 中的所有访问权限,彻底杜绝案例二中“共享凭证未回收”的风险。

3. AES‑256 加密与强大的密码策略

Passwork 采用行业标准的 AES‑256 GCM 加密,且强制要求密码满足复杂度校验、定期更换、禁用弱密码等策略。对比案例三的自研弱加密,“DES+Base64”,Passwork 的加密方案已经通过多家第三方安全机构的审计,确保在“黑暗森林”式的密码破解面前仍能屹立不倒。

4. 完整审计日志与实时告警

Passwork 记录所有用户的 登录、访问、导出、修改 操作,日志采用不可变写入(WORM)技术,并可通过 API 与企业 SIEM 系统对接,实现 “日志即证据、告警即响应”。这直接解决了案例四中审计日志缺失导致监管追责的痛点。

正如《论语·为政》有云:“以史为鉴,可以知兴替”。通过对真实案例的复盘,我们看清了密码管理不合规所带来的沉痛代价,也看到了 Passwork 这类合规工具在防御链路中的关键价值。

四、信息安全意识培训——让每位员工成为“第一道防线”

技术是防线的根基,人是防线的最前线。无论系统多么安全、密码多么强大,若员工在使用过程中出现“随手记、随意共享、密码复用”等不安全行为,仍会让攻击者有机可乘。

1. 当前形势:信息化、数字化、智能化的“三位一体”

  • 信息化:企业业务高度依赖信息系统,数据流动频繁。
  • 数字化:业务模型已经从传统流程转向数据驱动,数据本身成为核心资产。
  • 智能化:AI、机器学习被广泛用于业务决策,同时也提升了攻击者的自动化渗透能力。

在这样的背景下,安全意识不再是“可选项”,而是 “必修课”

2. 培训目标:从认知到行为的闭环

培训阶段 关键目标 预期行为
认知提升 了解 GDPR / 《个人信息保护法》对密码管理的合规要求 能够解释何为“零知识”“最小特权”
技能练习 熟练使用 Passwork:创建 vault、分配角色、审计日志查询 在实际工作中主动使用 Passwork 进行凭证管理
情境演练 通过案例演练(钓鱼、社工、离职回收)提升应急处置能力 遭遇可疑邮件时能够快速报告、采用 MFA
行为固化 将安全流程嵌入日常 SOP,形成 “安全即工作” 的文化 主动检查密码强度、定期更换、避免复用

3. 培训形式与安排

  • 线上微课(每期 15 分钟):覆盖密码管理基础、合规要点、Passwork 操作指南。
  • 现场工作坊(2 小时):分组实操 Passwork,完成“密码库迁移与角色分配”任务。
  • 情景沙盘(1 小时):模拟离职回收与异常登录告警,演练应急响应流程。
  • 测评与奖励:通过线上测评(满分 100,合格线 80),合格者授予 “信息安全卫士” 电子徽章,并纳入年度绩效加分。

正如《孙子兵法·谋攻》所言:“兵贵神速”。信息安全培训要快、要准、更要有实战味,让每位员工在第一时间具备识别风险、应对威胁的能力。

4. 培训效果预期

  • 合规度提升:通过统一的密码管理平台和培训,企业在 GDPR 与《个人信息保护法》审计中的合规缺口缩小 80%。
  • 安全事件下降:预计因密码泄露导致的安全事件数量在 12 个月内下降至 30% 以下。
  • 业务连续性增强:在离职、调岗等人员变动时,凭证回收自动化率提升至 95%,业务中断风险大幅降低。
  • 员工满意度提升:安全工具的易用性与培训的实战性相结合,可显著提升员工对信息安全的主动参与感,形成 “安全文化” 的良性循环。

五、行动号召:从今天起,让安全成为每个人的习惯

各位同事,信息安全不是某个部门的专利,也不是某套技术的终极答案。它是一种 “思维方式”,是一种 “日常习惯”。我们已经看到了因密码管理失误而导致的沉痛案例,也已经了解了 Passwork 带来的合规与安全优势。现在,真正需要你我共同完成的任务,是将这些技术和合规要求转化为每一次点击、每一次登录、每一次共享时的自觉行为。

“千里之行,始于足下”。让我们从今天的培训开始,从每一次安全登录、每一次密码更新、每一次日志审查做起,把安全意识根植于工作细节之中。让每位员工都成为 “第一道防线”,让企业的数字化转型在安全的护航下稳步前行。

让我们共同期待:
1️⃣ 即将开启的密码管理专题培训——从理论到实操,一站式覆盖。
2️⃣ Passwork 免费试用——亲自感受零知识、AES‑256、完整审计的力量。
3️⃣ 安全文化建设——让“安全”不再是口号,而是每个人的自觉选择。

愿我们在合规的道路上同行,在安全的海洋里畅游,最终抵达“稳健、可信、创新”三位一体的企业新高度!

我们提供包括网络安全、物理安全及人员培训等多方面的信息保护服务。昆明亭长朗然科技有限公司的专业团队将为您的企业打造个性化的安全解决方案,欢迎咨询我们如何提升整体防护能力。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898

信息安全的“警钟”:从真实案例说起,携手筑牢数字防线

admin

前言:头脑风暴的四幅画面

在信息化、数字化、智能化浪潮滚滚而来的今天,办公桌上不再只有纸笔与文件夹,键盘、鼠标、移动终端、云端服务、乃至AI大模型已经成为我们日常工作的不可或缺之物。倘若把这些技术工具比作一把把锋利的刀剑,那么“安全意识”便是那柄永不生锈的刀鞘——没有它,即使是最精良的武器也会误伤使用者。

为帮助大家快速感知信息安全的真实危害,我在阅读《PCMag》最新安全报道时,灵光一闪,脑中浮现出四幅典型且深具教育意义的情景:

  1. “Password”密码的尴尬——一位政府副局长的邮箱密码竟是“Password”。
  2. 卢浮宫的“Louvre”密码——世界级博物馆的安防系统竟用展馆名称作口令。
  3. AI公司泄露秘钥的噩梦——65% 的热门AI企业在GitHub公开仓库中意外泄露API密钥。
  4. 钓鱼攻击的极速抢劫——黑客仅用几秒钟便窃取用户凭证,并实时转账至Telegram。

下面,我将对这四个案例进行“细胞级”剖析,帮助大家从“看得见、摸得着”的事件中领悟抽象的安全概念。

案例一:弱口令的代价——“Password”闹剧

事件回溯
在一次政府内部的邮件存储空间告急的危机处理中,IT支援人员需要登录副局长的邮箱以进行清理。负责此事的同事敲入的密码是——Password(不带句点)。这位副局长因为获得“例外”特权而不必接受密码复杂度检查,导致密码直接被写进内部文档。

安全漏洞
密码复杂度不足:仅包含八个字符、全为英文单词,符合常见的弱密码特征。
特权豁免:组织内部制定的“例外”制度本是为应急而设,却被滥用,形成制度漏洞。
口令曝光:因为内部文档共享,攻击者只需在公开渠道搜索该职位关键字,即可尝试登录。

后果
在同一周,黑客利用公开的弱口令尝试登录多个政府邮箱系统,最终成功入侵两名官员的账户,导致内部邮件泄露、机密文件被外传,给政府形象与公共安全带来不可估量的损失。

启示
1. 没有例外的例外:安全政策必须“一刀切”,除非有强有力的审计与临时授权流程。
2. 强密码是第一道防线:使用长度≥12、包含大写、小写、数字、特殊字符的组合,并定期更换。
3. 采用多因素认证(MFA):即便密码被破解,攻击者仍需第二因素才能登录。

案例二:文化宝库的“露天密码”——卢浮宫的“Louvre”

事件回顾
媒体曝出,法国卢浮宫安防系统的登录口令竟是Louvre。这条“密码”没有任何混淆字符,也未进行加盐处理。黑客在公开的安全论坛上分享此信息后,仅用了数分钟便突破了门禁控制系统的防线。

漏洞解析
业务关联密码:使用与组织业务强关联的名称(如公司、产品、部门)极易被猜测。
缺乏密码策略:系统没有强制执行密码复杂度与历史记录策略。
未启用日志审计:系统未能及时检测异常登录尝试,导致攻击者在成功后长时间潜伏。

潜在危害
实体安全受威胁:黑客可通过系统远程打开摄像头、门禁等,甚至可能对展品实施破坏。
品牌声誉受损:全球知名博物馆的安全漏洞被曝光,公众信任度骤降,票务与赞助收入受到波及。

防御建议
1. 禁止使用业务关联词:组织内部应有密码字典,杜绝使用品牌、产品、地点等关键词。
2. 分层权限:关键系统采用基于角色的访问控制(RBAC),仅授权必要人员。
3. 实时监控与报警:部署异常登录检测系统(UEBA),对异常IP、时间段进行即时告警。

案例三:AI公司的“秘钥裸奔”——65% 的泄漏率

背景概述
根据云安全公司Wiz的研究报告,全球65% 的热门AI企业在其公开的GitHub仓库中意外泄露了API密钥、访问令牌、硬编码凭证。这类密钥往往拥有高价值的算力与数据访问权限,一旦被黑客获取,可直接用于大规模算力租赁、模型窃取、甚至生成恶意内容

技术细节
硬编码凭证:开发者在本地调试时将密钥直接写入源代码,随后推送至公共仓库。
缺乏秘密管理:未使用专门的机密管理工具(如HashiCorp Vault、AWS Secrets Manager)存储敏感信息。
CI/CD 流水线泄露:持续集成系统在日志中输出了完整的环境变量,导致密钥在构建日志中暴露。

实际危害
算力盗用:黑客利用泄露的API密钥在云平台上租用GPU算力,进行加密货币挖矿深度伪造(Deepfake)生成,导致企业账单激增。
模型窃取:竞争对手或黑市买家获取企业专有模型,导致商业机密泄漏。
数据泄露:密钥往往关联数据集访问权限,黑客可直接下载训练数据,侵犯用户隐私。

整改措施
1. 代码审计与自动化扫描:在代码合并前使用工具(如GitGuardian、TruffleHog)检测硬编码密钥。
2. 机密管理平台:所有凭证统一存储在受控系统,严禁明文写入代码。
3. 最小权限原则:为每个服务或脚本分配最小权限的API令牌,避免“一把钥匙打开所有门”。
4. 密钥轮换:定期更换API密钥,泄露后立即失效。

案例四:秒抢式钓鱼——从邮件到Telegram的极速转移

事件概述
MalwareBytes最新报告显示,黑客在一次大规模钓鱼活动中,仅用数秒钟便完成了凭证的窃取、转发至Telegram的实时通知,并立即发动后续攻击。传统的“密码数据库”已被淘汰,取而代之的是即时信息渠道

攻击链拆解
1. 钓鱼邮件:伪装成官方邮件(如“Windows 更新”或“账户安全提醒”),含有仿真登录页面链接。
2. 伪造登录页面:页面外观与真实网站几乎无差别,采用HTTPS加密,骗取用户信任。
3. 即时转发:用户提交用户名、密码后,脚本立即将信息通过Telegram Bot API发送至攻击者的私聊频道。
4. 快速利用:攻击者立即使用窃取的凭证登录对应服务,进行账户接管或数据导出。

危害速描
零延迟:凭证在提交后立即进入黑客手中,传统的日志审计甚至无法捕捉到这“一瞬”行为。
跨平台传播:Telegram 的加密与匿名特性使追踪变得困难,黑客可在全球任何角落操作。
二次攻击:凭证被盗后,黑客通常会在受害者不知情的情况下进行勒索、诈骗身份冒充

防御要点
邮件安全网关:部署先进的反钓鱼过滤(DKIM、DMARC、SPF)并使用AI模型识别异常邮件。
防钓鱼浏览器插件:如Chrome的“PhishTank”、Microsoft Edge的“SmartScreen”。
登陆警示:启用登录提示(如Google的“登录尝试来自新设备,请确认”),及时发现异常。
多因素认证:即便密码泄露,MFA 仍能阻断攻击者的后续登录。

章节小结:从案例看“共性”

上述四起案例虽涉及政府、文化机构、AI企业和普通用户,但它们的根本原因高度一致

  1. 密码弱化或使用业务关联词
  2. 缺乏严格的权限与特例管理
  3. 凭证管理混乱(明文、硬编码、未轮换)
  4. 对社交工程的防御不足

如果我们能够在组织内部对这些共性痛点进行系统化治理,那么即使面对日新月异的攻击手段,也能保持“防御前线”的稳固。

信息化、数字化、智能化时代的安全挑战

5G+AI+云 的技术叠加效应下,企业的业务模型正向着 全流程数字化 加速转型。以下趋势正在重塑我们的安全防线:

趋势 描述 对安全的影响
云原生架构 微服务、容器、Serverless 成为主流 资产边界模糊,需以 零信任 为核心
AI辅助决策 大模型帮助自动化分析、客服、代码生成 模型窃取对抗样本 成为新型威胁
远程协作与混合办公 VPN、Zero‑Trust Network Access (ZTNA) 成为常态 终端安全、身份验证、网络分段迫在眉睫
物联网 & 智能家居 传感器、摄像头、车联网激增 攻击面扩展,需实现设备生命周期治理
供应链安全 第三方库、开源依赖广泛使用 供应链攻击(如 SolarWinds)风险上升

面对如此复杂的环境,“技术 + 人” 双轮驱动的安全体系方能稳固。技术层面,我们需要 自动化、可观测、可审计 的安全平台;而在人为层面,则必须筑起 信息安全意识的防护墙——这正是本次培训的核心使命。

号召:加入信息安全意识培训,让每位员工成为“安全卫士”

为什么每一位职工都必须参与?

  1. 最薄弱环节往往是人
    正如案例所示,弱密码、钓鱼邮件、凭证泄露 都是由人为失误或疏忽导致。技术防御只能降低概率,无法完全杜绝人因。

  2. 合规与法规驱动
    《网络安全法》《个人信息保护法》以及欧盟 GDPR 等法规已经明确要求企业开展定期的安全培训,违者将面临巨额罚款。

  3. 企业竞争力的软实力
    信息安全已成为客户选择供应商的重要指标。拥有 全员安全意识 的组织,更易赢得合作伙伴的信任。

培训安排概览

时间 主题 目标
第一周 密码管理与多因素认证 学会生成高强度密码、使用密码管理工具、部署MFA
第二周 识别与防御钓鱼攻击 通过实战演练,提升邮件、短信、社交媒体钓鱼的辨别能力
第三周 凭证与密钥安全 学习机密管理平台的使用、最小权限原则、密钥轮换流程
第四周 零信任与云安全 理解零信任模型、云资源访问控制(IAM)最佳实践
第五周 应急响应与报告 建立快速报告渠道、演练泄露应急预案、学习取证要点
第六周 综合实战演练 将前五周知识点融合,进行全流程的“红蓝对抗”演练
  • 培训形式:线上直播 + 现场演练 + 互动测验,确保理论与实践相结合。
  • 考核方式:每周测验合格后颁发 信息安全合格徽章,累计三个徽章即可获得 “安全卫士”荣誉证书
  • 奖励机制:年度最佳安全倡导者将获 公司内部积分+主题纪念品,激励大家积极参与。

行动指南

  1. 登录企业学习平台(链接已通过邮件发送),使用公司统一身份认证登录。
  2. 报名参与:请选择您所在部门对应的培训批次,系统将自动分配时间。
  3. 准备工作:提前下载并安装 Bitwarden(或1Password) 等密码管理工具;在手机上绑定 Google AuthenticatorMicrosoft Authenticator
  4. 保持沟通:如在培训过程中遇到技术或时间冲突,请及时联系 安全培训组([email protected]

结语:让安全成为组织的“文化基因”

如果说技术是城墙,那么安全意识就是城门的守卫。城墙再坚固,若城门常常敞开,敌人依旧可以轻易闯入。通过本次系统化的培训,我们希望每位同事都能:

  • 认识到自己的行为直接影响组织安全,从而在日常工作中自觉遵守安全规范。
  • 具备快速辨别与应对威胁的能力,让攻击者的每一次试探都被即时捕获。
  • 在团队中传播安全理念,形成“人人是安全卫士、处处是防御点”的良好氛围。

正如《孙子兵法》所言:“兵者,诡道也”。在信息安全的战场上,防守者必须主动出击、不断演练,才能在敌手的诡计面前保持不败。让我们携手,用知识武装自己,用行为守护企业,用文化培育安全,让“信息安全”真正根植于每一位职工的血脉之中。

加油!让我们一起把“密码”“钓鱼”“凭证泄露”等安全隐患,变成过去的教科书案例!

昆明亭长朗然科技有限公司倡导通过教育和培训来加强信息安全文化。我们的产品不仅涵盖基础知识,还包括高级应用场景中的风险防范措施。有需要的客户欢迎参观我们的示范课程。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898