HackerNews

HackerNews 编译，转载请注明出处： 数百万使用热门金融应用的土耳其用户可能遭遇了私人数据泄露。 Cybernews研究团队发现了一个未受保护的MongoDB数据库，内含超过四百万条敏感财务数据记录。 泄露的数据可追溯至FinansCepte和FinansWebde，这是土耳其使用最广泛的两款金融应用。这两款应用为超过一百万用户提供财务追踪、市场分析和个人投资管理服务。 目前尚不清楚是否有恶意行为者访问过这个暴露的数据库，也不清楚该数据库已公开暴露了多长时间。像这样暴露的数据库是攻击者的金矿，他们持续监控互联网以寻找未受保护的数据库。 因此，如果我们的研究人员找到了该数据库，攻击者很可能也已经发现了。 土耳其金融应用数据样本（图片来自Cybernews） Cybernews已联系应用背后的公司Pasyonis Medya ve Bilişim Ticaret，但在本文发布时尚未收到回复。 金融应用泄露了哪些数据？ 用户名 电子邮箱地址 电话号码 部分支付信息 哈希加密的密码 金融警报设置 数百万用户面临网络攻击风险 暴露财务数据极其危险，使用户容易遭受一系列网络攻击。掌握财务细节后，攻击者可发起高度复杂的钓鱼活动，针对应用用户进行诱骗，以获取更敏感的数据。例如，攻击者可能冒充金融应用发送通知，敦促用户重置密码或保护账户安全，实则窃取凭证并清空账户。 泄露的数据中也包含登录凭证。虽然密码经过哈希加密处理，安全性更高，但仍可能被用于撞库攻击和暴力破解攻击，从而使黑客有机会访问用户在其他多个平台的账户。 访问警报设置则可能让攻击者操纵金融通知，使用户无法察觉真实的市场波动，或在关键时刻向其传递虚假信号。 （图片来自Cybernews） 金融应用正在泄露用户数据 数据库不设密码是非常常见的漏洞，通常归因于人为失误。Cybernews的内部研究也显示了同样的趋势。然而，若未被及时发现，这些“简单的错误”可能会演变成影响数十万人的安全事件。 类似的配置错误是近年来多起影响金融应用的重大数据泄露事件的根源。 2024年，Cybernews发现尼日利亚金融科技公司BestFin（运营iCredit应用）发生数据泄露，暴露了846,000名客户、其紧急联系人信息，甚至包括该应用秘密收集的私人短信。 另一起数据泄露事件影响了乌拉圭数字银行平台Bankingly，导致七家金融机构的数据泄露，暴露了遍布南美和中美洲的近10万人的信息。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在俄罗斯今年举行胜利日阅兵之际，支持克里姆林宫的黑客劫持了一颗为乌克兰提供电视服务的在轨卫星。乌克兰观众看到的不是常规节目，而是从莫斯科传输的阅兵画面：坦克、士兵和武器组成的洪流。这一威慑性信息表明，21世纪的战争不仅发生在陆地、海洋和空中，还延伸至网络空间和外层空间。 卫星：短期内的安全挑战 禁用卫星无需一枪一弹即可造成毁灭性打击——通过攻击卫星安全软件或干扰其与地球的信号传输即可实现。专注于供应链安全的网络安全公司NetRise首席执行官汤姆·佩斯（Tom Pace）指出：“若能阻碍卫星通信能力，就能引发重大混乱。”曾在能源部处理网络事务的海军陆战队退伍军人佩斯补充道：“想想全球定位系统（GPS），若民众失去它，混乱将难以想象。” 目前有超过1.2万颗运行中的卫星环绕地球，它们不仅在广播通信中扮演关键角色，还支撑着军事行动、GPS等导航系统、情报收集和经济供应链。卫星还是导弹发射早期预警的核心，对国家安全构成重大隐患，因而成为削弱对手经济或战备能力的主要目标。支持俄罗斯的黑客劫持乌克兰电视信号，正是此类心理威慑的典型案例。 攻击卫星的薄弱环节 黑客通常瞄准卫星或其与地球通信的软硬件中最脆弱的部分。尽管在轨设备本身可能安全，但过时的软件仍易被利用。2022年俄罗斯入侵乌克兰期间，黑客针对乌克兰政府和军方使用的美国卫星公司Viasat发起攻击。此次被基辅归咎于莫斯科的袭击，通过恶意软件感染数万台调制解调器，导致欧洲大片区域服务中断。 太空核武器威胁 美国国家安全官员透露，俄罗斯正在研发一种基于太空的核武器，旨在一次性摧毁几乎所有低地球轨道卫星。该武器结合物理攻击与核组件：物理冲击波将摧毁更多卫星，而核组件则烧毁其电子系统。美国俄亥俄州共和党众议员迈克·特纳（Mike Turner）公开警告该技术后，美方解密了相关信息。特纳强调，若部署此类武器将违反禁止在太空部署大规模杀伤性武器的国际条约，并可能使低地球轨道长达一年无法使用，导致美国及其盟友面临经济动荡甚至核打击风险。尽管中俄也将损失卫星，但两国对同类卫星的依赖度较低。 特纳将这种尚未部署的武器比作1957年开启太空时代的苏联卫星“斯普特尼克”，并警告：“若此类反卫星核武器进入太空，将是太空时代的终结。这堪比太空版的古巴导弹危机。” 月球资源争夺战 月球和小行星上发现的珍贵矿物可能引发未来冲突，各国正竞相开发新技术和能源。美国国家航空航天局（NASA）代理局长肖恩·达菲（Sean Duffy）本月宣布将向月球运送小型核反应堆，强调需“赶在中国或俄罗斯之前抵达”。月球富含氦-3，科学家认为其可用于核聚变产生巨量能源。伦敦网络安全专家约瑟夫·鲁克（Joseph Rooke）指出，尽管该技术需数十年成熟，但在此期间对月球的控制权将决定新兴超级大国的地位。 中俄已宣布未来几年在月球建设核电站的计划，而美国正推进登月及火星任务。人工智能和能源需求可能加速这场竞赛。俄罗斯驻美使馆未回应置评请求。中国驻美使馆发言人刘鹏宇表示，中国“反对任何地外军备竞赛”，并指责美国“持续扩张太空军力，企图将太空变为战场”。 美国的太空安全应对 各国正争相建立火箭和太空计划以减少对外国卫星的依赖。2019年成立的美国太空军旨在保护美国太空利益及卫星安全。尽管规模小于陆军、海军或空军，但其正在扩张。美军操作的无人驾驶太空飞机X-37B近期结束超过一年的在轨机密任务返回地球。太空军声明强调：“太空是作战域，太空军的职责是通过掌控该领域实现国家安全目标。” 美国在冷战后的太空主导地位如今面临中俄的新威胁。特纳表示，美国必须采取行动阻止中俄取得优势，避免太空武器的恐怖前景成为现实。“我们必须密切关注，防患于未然。”       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据“我被挂了吗”（Have I Been Pwned）平台的最新数据，安联人寿（Allianz Life）7月遭遇的网络攻击导致约110万客户的个人信息泄露。此次攻击针对云端客户关系管理（CRM）系统，是广泛针对Salesforce托管数据库企业的大规模攻击活动的一部分。 安联人寿（德国安联集团美国子公司）表示，黑客获取了其140万客户中“大部分” 人员的数据，包括客户、金融专业人士及员工的信息。该公司确认攻击者窃取了个人详细资料，但当时未提供具体数字。 “我被挂了吗”平台披露的泄露数据类型包括： 姓名 出生日期 性别 电子邮箱地址 电话号码 家庭住址 安联人寿在向州政府提交的文件中还证实，社会安全号码（SSN） 同样被窃取。 “此次110万客户的敏感信息泄露影响重大，”ThreatAware首席执行官乔恩·阿博特（Jon Abbott）表示，“CRM工具存储的高价值信息正是攻击者的目标，这些数据可被其他犯罪分子用于身份盗窃和钓鱼攻击。” 攻击关联ShinyHunters组织 安全研究人员将事件归因于黑客组织ShinyHunters。该组织近期还入侵了谷歌、澳洲航空（Qantas）、Workday及多个零售品牌的Salesforce系统，以通过社会工程手段诱骗员工提供未授权访问而闻名。 “ShinyHunters等组织依赖快速推进的社会工程策略——通常通过致电或邮件威胁受害企业员工，若勒索未果则建立泄露网站施压支付赎金，”阿博特补充道。 调查显示，攻击者通过恶意OAuth应用渗透Salesforce实例后下载企业数据库。安联案例中，泄露文件据称包含数百万条记录，涉及投保人、顾问及合作机构。 企业响应与行业影响 安联人寿以调查仍在进行为由未回应最新发现，但承诺为受影响个人提供两年免费身份监控服务。 阿博特强调：“ShinyHunters的攻击模式凸显了基础安全措施的重要性，包括准确的资产清单、防篡改的身份验证和强化的服务台流程。” 安联人寿数据泄露是今年系列重大事件中的最新一起，加剧了金融和科技行业对广泛使用的云端系统安全性的担忧。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 纽约州商业委员会（Business Council of New York State）遭遇网络攻击，导致黑客窃取了超过4.7万人的敏感信息。 该商业倡导组织向多个州的监管机构报告称，其在今年2月遭受了网络攻击。 调查于8月4日完成，结果显示47,329人的部分信息遭到泄露，包括姓名、社会安全号码、州身份证号码、金融账户及路由号码、支付卡号、PIN码、有效期、纳税人识别号码以及电子签名信息等不同组合。 部分人员的重要医疗数据也被泄露，涉及诊断、处方、治疗和手术信息以及健康保险详情。 纽约州商业委员会与全州3000余家组织合作，成员包括IBM、柯达等大型企业及小型公司，雇员总数超过120万人。 该组织表示，其在州议会中游说维护商业利益，并推动经济发展。许多成员还使用该组织提供的团体保险计划。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一家总部位于印第安纳州的药物研究公司表示，近期遭受的勒索软件攻击已扰乱其业务运营，并迫使关键系统关闭。 Inotiv公司向美国证券交易委员会（SEC）提交报告称，该网络安全事件发现于8月8日，后续调查发现威胁行为者加密了其部分系统。 该公司尚未确定系统恢复的时间表，但表示该事件正在影响“公司某些网络和系统的可用性与访问权限，包括内部数据存储及特定内部业务应用程序的访问”。 工作人员正努力恢复部分系统运行，同时采用“离线替代方案”以减少业务中断。当局已就此次勒索软件攻击通知执法部门，但尚未有组织宣称对事件负责。 Inotiv作为合同研究组织，为制药公司提供药物发现与开发服务。该公司2025年前三季度通过医疗设备、肿瘤药物、神经科学和新冠肺炎相关项目实现3.749亿美元收入。 在提交给SEC的文件中，该公司表示尚不确定该事件是否会造成财务影响。 周二上午，Qilin勒索软件组织宣称对此次攻击负责，并将Inotiv列入其数据泄露网站。该组织在公告中声称窃取了176GB信息，据称包含过去十年收集的研究数据。 该组织因针对医疗行业的攻击而臭名昭著，去年曾因攻击英国病理服务机构Synnovis导致勒索事件，据称造成一名患者死亡。这个位于俄罗斯的勒索组织还涉及多起针对政府机构及美国大型报业集团的攻击。 今年已有两家医疗设备公司向SEC报告网络安全事件。设备制造商迈心诺（Masimo）5月表示，网络攻击影响了其“及时处理、履行及发运客户订单的能力”。 一个月后，明尼苏达州公司Surmodics向监管机构报告，为应对网络攻击被迫关闭部分IT系统。另一家生产心脏手术产品的公司则称，其交付系统因感恩节前夕的勒索软件攻击而中断。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种结合利用SAP NetWeaver中两个漏洞（编号为CVE-2025-31324和CVE-2025-42999）的新攻击方法，使组织面临系统被入侵和数据被盗的风险。 CVE-2025-31324（CVSS评分：10.0）是NetWeaver Visual Composer开发服务器中存在的一个授权检查缺失漏洞。该漏洞源于NetWeaver Visual Composer元数据上传器缺乏适当的授权检查。这意味着未经认证的攻击者（即没有有效凭证的人员）可利用它向系统上传恶意可执行文件。 一旦这些文件被上传，它们就可能在主机系统上执行，导致目标SAP环境被完全攻陷。SAP已在2025年4月安全补丁日修复了该漏洞。 CVE-2025-42999（CVSS评分：9.1）是SAP NetWeaver Visual Composer开发服务器中存在的不安全反序列化漏洞。该漏洞允许特权用户上传恶意内容，危及系统的机密性、完整性和可用性。美国网络安全和基础设施安全局（CISA）已于2025年5月将此SAP NetWeaver漏洞添加至其“已知被利用漏洞”目录。 VX Underground在社交平台X上发布了针对SAP零日漏洞CVE-2025-31324的利用代码，该代码由“Scattered LAPSUS$ Hunters – ShinyHunters”在Telegram群组中公开。 网络安全公司Onapsis发布的分析报告指出：“这两个被追踪为CVE-2025-31324并与CVE-2025-42999结合利用的初始漏洞，是SAP NetWeaver Visual Composer中两个严重漏洞的组合，CVSS评分为10.0（最高严重等级）。这些漏洞允许未经认证的攻击者在目标SAP系统上执行任意命令，包括上传任意文件。这可能导致远程代码执行（RCE）以及对受影响系统和SAP业务数据与流程的完全接管。”报告强调：“该漏洞已在野外被积极利用，对运行未打补丁SAP系统的组织构成了明确而现实的威胁。” 这种攻击方法将CVE-2025-31324和CVE-2025-42999串联起来，以绕过身份验证并以管理员权限执行恶意代码，使攻击者能够运行操作系统命令、部署Web Shell并完全访问数据和资源。研究人员指出，该利用程序不会在系统上留下痕迹。 “该反序列化工具的公开尤其令人担忧，因为它可以在其他上下文中被重用，例如利用SAP最近在7月修补的反序列化漏洞——这些漏洞由Onapsis发现并报告（2025年7月SAP补丁日：创纪录的补丁与关键反序列化漏洞）： 安全补丁3578900对应CVE-2025-30012（CVSS 10） 安全补丁3620498对应CVE-2025-42980（CVSS 9.1） 安全补丁3610892对应CVE-2025-42966（CVSS 9.1） 安全补丁3621771对应CVE-2025-42963（CVSS 9.1） 安全补丁3621236对应CVE-2025-42964（CVSS 9.1） 这可能会为SAP应用程序的其他领域开辟新的攻击途径。它是攻击者武器库中的强大工具，其公开是一个重大事件。”Onapsis继续强调，“组织应确保这些SAP漏洞也已在其环境中得到及时修补。” Onapsis已与Mandiant合作，在其GitHub页面上发布了针对CVE-2025-31324和CVE-2025-42999的开源扫描器。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国国家情报总监图尔西·加巴德（Tulsi Gabbard）周一表示，英国政府已同意放弃强制要求iPhone制造商苹果公司提供“后门”，该后门本可用于访问美国公民受保护的加密数据。 加巴德在社交平台X上发布声明称，她与英国方面进行了数月协商，并与唐纳德·特朗普总统及副总统JD·万斯（JD Vance）共同努力达成此项协议。 英国首相基尔·斯塔默（Keir Starmer）周一与其他欧洲领导人一同在华盛顿会晤特朗普，讨论俄罗斯对乌克兰的战争。 英国政府和苹果公司未立即回应关于加巴德声明的置评请求。 美国立法者曾在5月指出，英国命令苹果为其加密用户数据创建后门的做法，可能被网络犯罪分子和专制政府利用。 苹果公司此前声明永远不会在其加密服务或设备中构建此类访问权限，并已向英国调查权力法庭（IPT）提出法律申诉。   今年2月，苹果公司在英国下达命令后，撤回了面向英国用户的高级数据保护（Advanced Data Protection）功能。苹果设备的用户启用该功能后，可确保仅其本人——甚至苹果公司也无法解锁存储在云端的加密数据。 美国官员今年早些时候表示，正在审查英国要求苹果构建后门以访问其加密云存储系统数据备份的行为是否违反双边协议。 在2月25日致美国立法者的信中，加巴德指出，美方正在审查英国政府是否违反《云法案》（CLOUD Act）。该法案禁止英国索取美国公民数据，反之亦然。 网络安全专家向路透社表示，若苹果选择为政府构建后门，该后门最终将被黑客发现并利用。 苹果与监管机构在加密问题上的争端可追溯至2016年，当时美国政府曾试图强迫该公司开发解锁一名极端主义嫌疑人iPhone的工具。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名白帽黑客攻破了英特尔的四个内部系统，发现27万名英特尔员工的敏感数据遭到泄露。随后，他花费数月时间帮助该公司堵塞漏洞，最终只收到一封自动回复的感谢信。 安全研究员伊顿·兹维尔（Eaton Zveare）发现，可以绕过英特尔印度公司名片订购网站的身份验证。该系统的API响应返回的数据远超出研究员的预期。 “它给了我一个近1GB的JSON文件。这个文件包含了每位英特尔员工的详细信息。仅仅通过一次API请求，我就窃取了大量详细信息，”兹维尔在领英上发帖称。 进一步调查揭示了其他系统中的关键缺陷。 “不是一个，不是两个，而是四个漏洞，使我能够窃取超过27万名英特尔员工/工作人员的敏感信息，并且我能够通过创造性的JavaScript修补方法侵入多个内部网站，”这位安全研究员在一份报告中披露。 为了绕过英特尔印度运营网站的身份验证，研究员只是调整了客户端代码。该网站使用JavaScript重定向未经身份验证的用户，但研究员修改了一个函数使其返回非空数组，从而成功绕过登录。 研究员惊讶地发现，“后台”通信正在使用一个未经身份验证的API来返回每位员工的信息。他分享了一张截图，其中包含英特尔前首席执行官帕特·基辛格（Pat Gelsinger）的详细信息。 “数据包括姓名、职位、经理、电话号码和邮箱地址等字段，但没有像薪资或社保号这样过于敏感的信息。”他解释道。 另外三个系统暴露 研究员随后发现，英特尔用于组织内部产品组和所有权的“层级管理”（Hierarchy Management）网站包含一个易于解密的硬编码密码，该密码甚至可用于获取系统的管理员权限。 “这种加密完全是徒劳的，”研究员写道，“一切都在客户端完成，意味着客户端拥有密钥，因此可以解密密码！” 解密后的密码更令人惊讶。它只包含数字序列（123…）和字母序列（abc…）。 这个弱密码硬编码的管理员凭证允许访问该网站，其中包含“一些有趣的信息，其中一些可能涉及未发布的产品”。 研究员访问的第三个内部服务是“产品上架”（Product Onboarding）网站，可能用于上传产品信息。 “就泄露/硬编码凭证而言，这是最严重的违规者。” 各种API的凭证以纯文本形式发布在JS文件的注释中。一个加密的GitHub个人访问令牌可能允许读取英特尔ARK（产品数据库）上的虚假产品，但研究员选择不进行测试。 最后，英特尔的SEIMS（供应商环境健康安全知识产权管理系统）网站的企业登录也被攻破。同样，它泄露了所有英特尔员工的数据，但通过额外的客户端修改，可以“获得对系统的完全访问权限，查看有关英特尔供应商的大量机密信息”。 研究员能够访问产品报告和其他文件，例如保密协议（NDA）。 研究员负责任地向英特尔披露了所有漏洞，并将此经历描述为“一个单向的黑洞”。 2024年10月14日，兹维尔发送了第一个有关“商务名片”漏洞的报告，并立即收到一封自动回复邮件，写着“谢谢！”，并解释说网络基础设施漏洞不属于漏洞赏金计划的范围。 “除本通知外，不会发出其他回复或证书。”邮件写道。 这是研究员收到的唯一正式信函。 兹维尔后来在2024年10月29日和11月12日披露了更多漏洞。随后，他发送了多封跟进邮件，敦促轮换泄露的凭证并修复漏洞。 九十天后，漏洞得到修复。2025年2月28日，研究员告知英特尔打算公布调查结果。但他一直等到2025年8月18日，才将报告公开。 “硬件漏洞价值高达10万美元，而网站漏洞基本上被扔进了一个黑洞收件箱，”研究员指出，“好消息是，英特尔最近扩大了其漏洞赏金计划的覆盖范围，将服务纳入其中。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大金融监管机构披露了一起网络安全事件，导致会员公司及其员工的个人信息遭到泄露。 加拿大投资监管组织（CIRO）作为覆盖全国投资交易商、互惠基金交易商及债务与股权市场交易活动的自律监管机构，于8月11日发现该网络安全威胁。为应对此事件，该机构已主动关闭部分系统以确保安全，并启动调查以确定攻击者的活动范围。 初步调查表明，威胁行为者已获取部分会员公司及其注册员工的个人信息。CIRO在8月18日的公告中表示：“鉴于CIRO对自身及会员机构设定的高标准安全要求，我们对此深感忧虑。当前首要任务是积极排查受影响个体，确认后将直接通知相关人员并提供风险缓释服务”。 目前尚未透露具体泄露数据细节，CIRO承诺将适时更新进展。该机构警示会员警惕冒充监管者的可疑来电或邮件，切勿泄露个人及财务信息。 投资者资金安全 CIRO特别强调，此次事件不会危及加拿大民众的投资安全。“若调查发现投资者信息受影响，我们将直接通知当事人并提供风险缓释服务”。 此次调查由外部网络安全专家、法律团队及执法部门协同推进。关键市场监控功能仍正常运行，股权交易实时监管未受影响。 CIRO成立于2023年，负责制定投资及交易机构的监管标准，有权对违规实体实施罚款等处罚措施。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 澳大利亚第二大互联网服务提供商（ISP）披露了一起重大数据泄露事件，波及数十万客户。 母公司TPG Telecom今日向澳大利亚证券交易所提交公告称，其子公司iiNet的订单管理系统遭到“不明第三方”非法入侵，该事件于上周六（8月16日）被发现。公告声明：“8月16日周六确认事件后，我们立即启动应急预案，切断了未经授权的系统访问途径，并已聘请外部IT及网络安全专家协助事件处置”。 TPG Telecom声称该订单管理系统仅存储“有限”的客户个人信息，未涉及身份证件、信用卡或其他财务资料。但公司承认非法第三方获取了以下数据： 28万个活跃iiNet邮箱地址 2万个活跃iiNet固定电话号码 1万个iiNet用户名、住址及电话号码 1700个调制解调器设置密码 数量不明的“休眠”邮箱地址及固话号码 目前尚不明确黑客如何获取iiNet员工的账户凭证，但近年来信息窃取程序威胁日益加剧。据近期研究显示，2021至2025年间已有超3万澳大利亚人的银行登录凭证通过此类恶意软件外泄。 该电信集团表示已联络澳大利亚网络安全中心（ACSC）、国家网络安全办公室（NOCS）、澳大利亚信号局（ASD）及澳大利亚信息专员办公室（OAIC）等相关部门。 自2022年起频发的数据泄露事件促使澳大利亚政府持续加强网络安全建设。此前该国已推出《2023-2030年网络安全战略》，旨在2030年前将澳大利亚打造为“全球网络安全领导者”；2024年更通过首部专项立法《网络安全法案》。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Noodlophile恶意软件背后的威胁行为者正在利用鱼叉式钓鱼邮件和更新的传播机制，针对位于美国、欧洲、波罗的海国家和亚太（APAC）地区的企业部署信息窃取程序。 Morphisec研究员Shmuel Uzan在分享给The Hacker News的报告中表示：“Noodlophile攻击活动已持续一年以上，目前采用伪装成版权侵权通知的高级鱼叉式钓鱼邮件，这些邮件通过侦察获取的细节（如特定Facebook页面ID和公司所有权信息）进行定制化伪装。” 网络安全供应商曾在2025年5月详细披露过Noodlophore恶意软件，揭露攻击者使用虚假人工智能（AI）工具作为诱饵传播该恶意软件。这些伪造程序被发现在Facebook等社交媒体平台上投放广告。 需要说明的是，采用版权侵权诱饵并非新手段。早在2024年11月，Check Point就曾发现一场大规模钓鱼行动，该行动以虚假的版权侵权违规为由针对个人和组织投放Rhadamanthys窃取程序。 但最新迭代的Noodlophile攻击展现出显著差异，尤其是在合法软件漏洞利用、通过Telegram进行混淆分阶段部署以及动态载荷执行方面。 整个过程始于钓鱼邮件——通过声称特定Facebook页面存在版权侵权行为来制造虚假紧迫感，诱骗员工下载并运行恶意载荷。这些邮件源自Gmail账户以规避怀疑。 邮件内含有的Dropbox链接会释放ZIP或MSI安装程序。该安装程序随后利用与海海软件（Haihaisoft）PDF阅读器相关的合法二进制文件侧载恶意DLL，最终启动混淆的Noodlophile窃取程序。在此之前，攻击者会通过运行批处理脚本利用Windows注册表建立持久化机制。 攻击链的显著特点是利用Telegram群组描述作为“死投解析器”（dead drop resolver）来获取托管窃取程序载荷的实际服务器（“paste[.]rs”），此举增加了检测和清除难度。 Uzan指出：“该方法延续了先前攻击活动的技术（例如Base64编码压缩包、滥用certutil.exe等LOLBin工具），但新增了基于Telegram的命令控制层和内存执行层，以规避基于磁盘的检测。” 身份安全风险评估 Noodlophore是一款功能完善的窃取程序，能够捕获网络浏览器数据并收集系统信息。对该窃取程序源代码的分析表明，其开发工作持续进行以扩展功能，包括实现屏幕截图捕获、键盘记录、文件窃取、进程监控、网络信息收集、文件加密和浏览器历史记录提取。 Morphisec强调：“对浏览器数据的广泛窃取表明该活动针对具有重要社交媒体足迹（尤其是Facebook等平台）的企业。这些尚未实现的功能表明窃取程序开发者正积极扩展其能力，可能将其转变为更通用且危险的威胁。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全领域正面临一种新型威胁的警示——“提示词中间人攻击”（Man-in-the-Prompt），这种攻击能够危害用户与主流生成式人工智能工具的交互，包括ChatGPT、Gemini、Copilot和Claude等。最令人担忧的是，这种攻击甚至不需要复杂的技术手段，仅需一个浏览器扩展即可实施。 LayerX安全研究员Aviad Gispan解释道：“研究表明，任何浏览器扩展——即使没有特殊权限——都能访问商业和内部LLM（大语言模型）的提示词，并通过注入恶意提示词来窃取数据、外泄信息并掩盖痕迹。我们已在所有主流商业LLM上验证了这一漏洞，并为ChatGPT和Google Gemini提供了概念验证演示。” 什么是“提示词中间人攻击”？ LayerX安全专家用这个术语描述一种新型攻击向量，它利用了AI聊天机器人输入窗口这一被低估的弱点。当我们在浏览器中使用ChatGPT等工具时，输入的信息实际上位于一个简单的HTML字段中，可通过页面的DOM（文档对象模型）访问。这意味着任何能访问DOM的浏览器扩展都能读取、修改或重写我们发送给AI的请求，而用户却浑然不觉。更关键的是，这类扩展甚至不需要特殊权限。 攻击原理剖析 用户在浏览器中打开ChatGPT或其他AI工具 恶意扩展拦截即将发送的文本 修改提示词，例如添加隐藏指令（提示词注入）或从AI响应中窃取数据 用户收到看似正常的回复，但实际上数据已被窃取或会话已被入侵 该技术已被证实适用于所有主流AI工具，包括： ChatGPT（OpenAI） Gemini（Google） Copilot（Microsoft） Claude（Anthropic） DeepSeek（中国AI模型） 具体风险分析 报告指出，这种攻击可能造成严重后果，尤其对企业用户： 敏感数据窃取： 若AI处理的是机密信息（源代码、财务数据、内部报告），攻击者可通过修改提示词读取或提取这些信息。 响应操控： 注入的提示词可改变AI的行为模式。 安全控制绕过： 攻击发生在提示词发送至AI服务器之前，因此能绕过防火墙、代理和数据防泄露系统。 据LayerX统计，99%的企业用户浏览器中至少安装了一个扩展程序，这意味着风险敞口极大。 防护措施建议 个人用户应采取： 定期检查并卸载非必要的浏览器扩展。 避免安装来源不明或不可靠的扩展。 尽可能限制扩展权限。 企业用户应实施： 在公司设备上禁用或严格监控浏览器扩展。 尽可能将AI工具与敏感数据隔离。 采用运行时安全解决方案监控DOM并检测输入字段篡改。 对提示词流进行专项安全测试，模拟注入攻击。 采用新兴的“提示词签名”技术：在发送前对提示词进行数字签名以验证完整性。 实施“来源标注”技术，区分可靠内容与潜在篡改。 更广泛的问题：提示词注入 “提示词中间人攻击”属于更广泛的提示词注入威胁范畴，根据OWASP 2025年十大LLM安全风险，这是AI系统面临的最严重威胁之一。这类攻击不仅限于技术手段——即使是看似无害的外部内容（如电子邮件、链接或文档注释）也可能包含针对AI的隐藏指令。例如： 处理支持工单的企业聊天机器人可能被格式异常的请求操控。 阅读邮件的AI助手可能被注入的提示词诱导向第三方发送信息。 核心启示 LayerX报告指出了一个关键问题：AI安全不能仅局限于模型或服务器层面，还必须涵盖用户界面和浏览器环境。在AI日益融入个人和企业工作流的时代，一个简单的HTML文本字段可能成为整个系统的致命弱点。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据Shadowserver基金会最新监测数据，超过870个暴露在互联网的N-able N-central实例仍运行存在两个高危漏洞的版本。这两个漏洞分别被追踪为CVE-2025-8875（不安全反序列化问题）和CVE-2025-8876（命令注入漏洞）。 N-able于8月13日发布公告称，其远程监控与管理平台（RMM）2025.3版本已修复相关漏洞。同日，美国网络安全和基础设施安全局（CISA）将漏洞列入“已知被利用漏洞”目录，要求联邦机构在8月20日前完成修补。 N-able向SecurityWeek确认，漏洞已被用于攻击“有限数量的客户”，攻击者通过利用本地部署的N-central实例实现权限提升。该公司声明：“目前尚未在云端托管环境中发现攻击证据，调查仍在持续中。”尽管未明确承认，漏洞披露时间与CISA紧急响应的时间节点暗示这些漏洞可能已被作为零日漏洞利用。 漏洞披露后，Shadowserver立即启动专项监测。该机构8月18日报告称：“8月15日扫描发现1077个存在漏洞的IP地址。”截至8月17日，全球仍有超过870个未修复实例，地域分布前五位为：美国（367台）、加拿大（92台）、荷兰（84台）、澳大利亚（74台）和英国（72台）。 N-able作为2021年从SolarWinds分拆的独立公司，其N-central平台是托管服务提供商（MSP）的核心管理工具。该平台的失陷可能导致攻击者渗透MSP客户的网络环境。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 根据Trellix研究人员报告，一场由国家支持的间谍活动正在针对驻韩国外交使馆展开。该行动通过恶意GitHub仓库分发XenoRAT恶意软件，自2025年3月持续至今，已发起至少19次针对高价值目标的鱼叉式钓鱼攻击。 基础设施和攻击手法与朝鲜黑客组织Kimsuky（APT43）的战术高度吻合。 多阶段攻击行动 攻击分为三个阶段，3月初至7月间使用不同主题的钓鱼邮件： 初始探测阶段（3月）：最早发现的邮件针对某中欧国家使馆。 外交主题阶段（5月）：攻击者转向复杂外交诱饵。例如5月13日冒充欧盟高级官员向某西欧使馆发送标题为“5月14日欧盟代表团政治咨询会议”的虚假会议邀请。 美韩军事联盟主题阶段（6-7月）：诱饵内容涉及美韩军事合作议题。 目标主要为驻首尔的欧洲使馆，钓鱼邮件伪装成会议邀请、官方信函及活动通知，常冒用外交官名义发送。这些诱饵具有高度场景化、多语种（含韩语、英语、波斯语、阿拉伯语、法语和俄语）的特点，且多数邮件时间点与真实事件吻合以增强可信度。 统一投放手法 所有阶段均采用相同投递方式：通过Dropbox、Google Drive或Daum云存储发送受密码保护的ZIP压缩文件（降低邮件防护系统警报概率）。压缩包内含伪装成PDF的LNK文件，触发后会执行经过混淆的PowerShell代码，从GitHub或Dropbox获取XenoRAT有效载荷，并通过计划任务实现持久化驻留。 XenoRAT作为功能强大的木马，可执行键盘记录、屏幕截图、摄像头与麦克风窃取、文件传输及远程Shell操作。该恶意软件通过反射机制直接加载至内存，并采用Confuser Core 1.6.0进行混淆，实现在受感染系统中的隐蔽运行。 Trellix强调此次攻击符合APT43特征并采用典型朝鲜黑客技术，支持依据包括： 使用韩国本土邮件服务 滥用GitHub作命令控制服务器 采用与Kimsuky恶意软件家族一致的独特GUID和互斥量 关联IP及域名历史记录与Kimsuky活动重叠       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软公司已启动紧急外部调查，回应以色列军事情报机构被指控利用其Azure云平台实施针对巴勒斯坦民众的大规模监控。此次行动源于《卫报》联合以色列-巴勒斯坦媒体《+972》及希伯来语媒体《Local Call》发布的调查报告，该报告揭露以色列8200部队在Azure平台定制隔离区存储加沙和约旦河西岸民众每日数百万条通话录音。 微软声明称，若Azure被用于“存储通过广泛或大规模监控加沙及约旦河西岸平民获取的通话数据文件”，将违反其服务条款。此次调查由美国科文顿·柏灵律师事务所监督，系微软就以色列军方使用其技术发起的第二次外部审查。今年五月公布的首次审查结论称“未发现以军违反服务条款或利用Azure锁定攻击加沙民众的证据”，但新报告促使微软高层质疑以色列员工在先前调查中隐瞒了关键信息。 核心争议点 数据规模：8200部队在荷兰与爱尔兰的微软数据中心存储约11500TB军事数据（相当于2亿小时音频），系统具备每小时处理百万通电话的能力。 军事应用：情报人员证实，云端存储的通话内容被用于研究并确定加沙轰炸目标，部分录音还被用作拘捕和勒索巴勒斯坦人的依据。 合作溯源：2021年8200部队指挥官约西·沙利叶与微软CEO萨提亚·纳德拉在西雅图会晤，双方就迁移70%敏感数据至Azure达成协议。微软工程师随后与以方合作开发定制安全层。 各方回应 微软：坚称高管对存储数据性质不知情，“无法获知客户云环境中的数据信息”。但泄露文件显示，公司预计该项目将带来“数亿美元收入”，并被定位为“打入国防情报市场的全球样板”。 以色列国防军：声明“微软从未参与以军数据存储或处理”，但微软内部人士反驳称军方声明“令人惊讶”，因公司与以色列国防部存在明确云存储合同。 社会压力：员工组织“抵制Azure用于种族隔离”要求微软公开所有军方合作并终止关系，抗议者指其“从巴勒斯坦苦难中牟利”。 此次调查正值微软面临双重困境：一方面，美国联邦贸易委员会正审查其云计算业务的反竞争行为；另一方面，国际刑事法院已对以色列总理发出逮捕令，指控其军事行动造成超6万名巴勒斯坦人死亡。微软承诺调查结束后将向公众公布事实结论。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 跨国科技公司联想（Lenovo）的AI聊天机器人Lena近日被发现存在严重安全漏洞，攻击者仅需单条指令即可诱导其泄露会话凭证甚至执行恶意脚本。此次事件暴露了AI助手在缺乏严格防护时的灾难性风险。 漏洞机制与危害 网络安全研究团队Cybernews发现，联想官网搭载的AI助手Lena（基于OpenAI GPT-4构建）存在跨站脚本（XSS）漏洞。攻击者通过400字符的恶意指令即可实现： 诱导机器人将回复格式转为HTML 在回复中嵌入伪造图片加载指令 触发浏览器向攻击者服务器发送包含会话cookie的请求 当用户要求转接人工客服时，该漏洞会产生连锁反应：客服人员查看对话历史将触发相同漏洞，导致其会话凭证被窃取。攻击者可借此劫持客服账号，访问客户对话记录及敏感数据。 潜在攻击场景 研究团队警告该漏洞可能引发多重风险： 系统渗透：劫持的客服账号可能成为内网跳板 恶意操作：诱导生成的代码可部署后门、执行系统命令 数据泄露：窃取客户支持系统中的用户信息 界面篡改：向客服终端注入虚假信息或钓鱼页面 安全专家Žilvinas Girėnas指出：“企业急于部署AI却疏于防护，这种差距正是攻击者的突破口。大语言模型不具备‘安全’本能概念，它们只会忠实执行指令。若无严格输入输出过滤，微小疏忽可能演变为重大安全事件。” 行业警示 Cybernews团队强调该漏洞反映的深层问题： 输入过滤缺失：未对用户指令进行危险字符过滤 输出无验证：直接信任AI生成的HTML/Javascript代码 内容加载失控：允许从任意外部源加载资源 联想在7月22日收到漏洞报告后，于8月6日确认问题并在8月18日前完成修复。2025财年数据显示，这家香港上市公司营收达568.6亿美元，净利润11亿美元，市值约180亿美元。 防护建议 研究团队提出关键防护措施： 实施输入净化机制：严格限制允许字符类型与输入长度 建立输出审查：剥离AI回复中的可执行代码 启用内容安全策略（CSP）：限制浏览器可加载资源域 避免内联JavaScript：所有脚本应置于外部文件 执行最小权限原则：限制AI系统访问权限 “必须默认所有AI输出均可能包含恶意代码，采用‘永不信任，始终验证’策略”，研究团队总结道。此次事件再次证明：当企业竞相拥抱AI技术时，安全防护必须同步进化。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客论坛近期出现一份据称包含1580万组PayPal凭证的数据集，内含登录邮箱及明文密码。发帖者宣称数据为近期获取，但PayPal官方否认存在系统入侵。 该数据发布于知名泄密论坛，广告发布者声称数据集涵盖数百万组PayPal邮箱与密码凭证。PayPal公司代表向Cybernews声明：”没有发生数据泄露——这与2022年事件相关而非新事件”。 攻击方数据泄露主张 发帖者声称数据于今年5月获取，泄露细节包含： 登录邮箱 明文密码 关联URL 变体信息 攻击方宣称数据集覆盖全球大量PayPal账户。若属实，将使用户面临严重风险：泄露凭证可直接用于账户登录，虽多数用户启用多因素认证（MFA），但凭证泄露仍会突破首道防线；关联URL更直接指向相关服务入口。攻击方提供的样本显示数据结构支持自动化撞库攻击。 发帖者承认数据含”数千组独特高强度”密码，但存在重复使用现象，这意味着实际可利用数据量可能低于其宣称规模。 争议焦点与验证 Cybernews研究团队核查后表示：样本规模过小无法验证有效性，且若数据确为5月窃取，有效信息或已被利用。值得注意的是，所谓海量数据仅标价750美元，与宣称价值严重不符。 PayPal历史上从未发生大规模系统入侵，暗示数据可能通过其他途径获取。信息窃取恶意软件（Infostealer）是可能来源——这类恶意软件获取的数据通常按URL、登录详情、密码的结构存储，与本次泄露数据结构高度吻合。 背景关联 2022年12月PayPal曾遭撞库攻击，3.5万账户信息泄露。2025年初公司因未遵守纽约州网络安全法规支付200万美元和解金。此次论坛兜售事件中，攻击方特别标注”2025年全球PayPal凭证库”字样，但数据特征显示其更可能源自受感染设备采集的登录凭证，或为恶意软件窃取的浏览器保存密码。 信息窃取恶意软件运作机制 这类恶意软件通过可疑链接、伪造程序或恶意附件渗透设备，隐蔽窃取：浏览器保存密码、自动填充信息、Cookies、信用卡号及加密钱包密钥。得手后立即将数据传输给攻击者，部分变种可自删除痕迹。当前RedLine、Raccoon等窃密工具在暗网泛滥，且已出现针对macOS和Android系统的变种。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 人力资源解决方案公司Workday披露，未知威胁行为者通过高级社会工程手段成功入侵其第三方CRM平台，手法与近期Salesforce攻击浪潮如出一辙。这家总部位于旧金山的公司于周五在官网发布公告警示客户。 “我们希望告知近期针对多家大型组织（包括Workday）的社会工程攻击活动，”声明指出。攻击者通过“短信或电话联系员工，伪装成人力资源部或IT部门人员”，这种被称为语音钓鱼（vishing）的手段与黑客团伙Shiny Hunters（UNC6240）今夏针对数十家Salesforce环境的攻击策略高度相似。 Workday成立于2005年，是专注人力资源与财务管理的云服务供应商，拥有近2万名员工及全球超1.1万家企业客户，服务合同用户超7000万，2024年营收达84亿美元。Closed Door Security首席执行官威廉·赖特分析称：“与其他CRM数据窃取事件类似，攻击者诱骗员工授予平台访问权限后实施数据外泄。”泄露数据主要为“常见商业联系信息，如姓名、邮箱和电话号码”，可能被用于升级社会工程诈骗。 赖特强调此类信息泄露将“严重打击客户信任”，增加鱼叉式钓鱼与欺诈风险。他进一步指出，ShinyHunters关联攻击事件激增表明“员工需接受更复杂社会工程攻击的培训”：“当前员工已熟悉传统钓鱼邮件，但语音钓鱼因缺乏针对性培训而异常有效”。 Workday重申“无迹象表明客户租户或内部数据被访问”，并提醒客户“官方通知仅通过认证支持渠道发送，绝不会通过电话索要密码等安全信息”。CybaVerse首席技术官朱丽叶·哈德森认为攻击特征指向ShinyHunters为主谋：“培训员工识别语音钓鱼仅是基础，随着攻击者伪装技术日益精密，企业需强化内部认证协议。”她举例说明：“若客服人员与员工通话时需验证身份才能分享敏感数据，此类攻击成功率将大幅降低”。 2025年3月，Salesforce曾预警语音钓鱼攻击导致约20家企业数据外泄，黑客篡改其数据加载工具实施入侵。6月谷歌旗下Mandiant确认Shiny Hunters为该活动幕后黑手，业界推测其与Scattered Spider勒索团伙存在关联或协作。近期受害企业包括可口可乐、思科、澳航、安联人寿、阿迪达斯及路易威登母公司LVMH等。Workday表示发现入侵后已立即切断访问权限，并增设防护措施防止类似事件重演。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一位安全研究人员发布了针对 FortiWeb Web 应用防火墙中一个漏洞的部分概念验证（PoC）利用代码。该漏洞允许远程攻击者绕过身份验证。 该漏洞已负责任地报告给 Fortinet，现被追踪为 CVE-2025-52970。Fortinet 已于 8 月 12 日发布了修复程序。 安全研究员 Aviv Y 将此漏洞命名为 FortMajeure，并描述其为“一种本不应发生的静默失效”。从技术上讲，这是 FortiWeb 的 cookie 解析过程中的一个越界读取（out-of-bounds read）漏洞，允许攻击者将 Era参数设置为非预期值。 这导致服务器使用全零密钥（all-zero secret key）进行会话加密和 HMAC 签名，使得伪造身份验证 cookie 变得轻而易举。 成功利用该漏洞会导致完全的身份验证绕过，允许攻击者冒充任何活跃用户，包括管理员。 要成功利用 CVE-2025-52970，目标用户在攻击期间必须拥有活跃会话，并且攻击者必须暴力破解 cookie 中的一个小的数字字段。 这个暴力破解要求源于签名 cookie 中的一个字段，该字段由 libncfg.so中的 refresh_total_logins()函数进行验证。 该字段是一个攻击者必须猜测的未知数字，但研究员指出其范围通常不会超过 30，这使其搜索空间非常小，大约只需 30 次请求。 由于该利用利用了全零密钥（归因于 Era漏洞），每次猜测都可以通过检查伪造的 cookie 是否被接受来即时验证。 该问题影响 FortiWeb 7.0 至 7.6 版本，并已在以下版本中修复： FortiWeb 7.6.4 及更高版本 FortiWeb 7.4.8 及更高版本 FortiWeb 7.2.11 及更高版本 FortiWeb 7.0.11 及更高版本 Fortinet 在公告中表示，FortiWeb 8.0 版本不受此问题影响，因此用户无需采取任何措施。 安全公告未列出任何变通办法或缓解建议，因此升级到安全版本是唯一推荐的有效措施。 Fortinet 给出的 CVSS 严重性评分为 7.7，这可能会产生误导，因为该分数源于“高攻击复杂性”（high attack complexity），而这主要是由于暴力破解的要求。然而在实践中，暴力破解部分操作简单且快速。 研究员分享了一个 PoC 输出结果，展示了在 REST 端点上冒充管理员的情况。不过，他暂时保留了能够通过 /ws/cli/open连接到 FortiWeb CLI 的完整利用代码。 研究员 Aviv Y 承诺稍后将发布完整的漏洞利用细节，因为供应商的公告发布不久。他做出此决定是为了给系统管理员更多时间来应用修复程序。 该研究员告诉 BleepingComputer，已发布的细节展示了问题的核心，但即使对于知识渊博的攻击者来说，也不足以推断出其余部分并开发出完整的武器化利用链。他解释说，攻击者将不得不逆向工程会话中的字段格式，考虑到 Fortinet 拥有自己的数据结构，这实际上并不可行。 尽管如此，必须立即采取行动来缓解此问题，因为黑客会密切关注这些公告，并准备在完整 PoC 出现时发动攻击。 Aviv Y 告诉 BleepingComputer，他尚未决定发布漏洞利用代码的具体日期，但计划给防御者留出时间来应对风险。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国与五眼联盟（Five Eyes）中的另外三个国家（澳大利亚、加拿大和新西兰）以及德国和荷兰合作，共同制定了一份用于运营技术（OT）和工业控制系统（ICS）的通用资产清单和分类法指南。 这份名为《OT网络安全基础：所有者和运营商资产清单指南》（Foundations for OT Cybersecurity: Asset Inventory Guidance for Owners and Operators）的文件于8月13日由九家政府机构发布，其中包括来自美国的四家机构。 该指南的核心是一份有组织的系统、硬件和软件清单，这些系统、硬件和软件是工业信息网络的一部分或与其连接。该文件还针对一些特定工业领域（如石油和天然气、电力以及供水和废水处理）提供了额外的资产分类法。 该文件还概述了OT所有者和运营商创建及维护资产清单的过程。该过程包括定义清单的范围和目标、识别资产、收集属性、创建分类法、管理数据以及实施资产生命周期管理。 文件中写道：“本指南概述了OT所有者和运营商如何维护、改进和利用其资产清单来保护其最重要的资产。相关步骤包括OT网络安全和风险管理、维护与可靠性、性能监控与报告、培训与意识以及持续改进。”其目标是帮助关键基础设施运营商了解其生态系统，并加强对关键资产的网络安全和保护。 该文件旨在定期更新，以跟上技术进步和应用发展的步伐。文件总结道：“本指南强调了主动规划、IT与OT团队协作的重要性，以及在可能和适当的情况下整合尖端技术以领先于潜在威胁。” 参与编写的机构包括美国国家安全局（NSA）、美国联邦调查局（FBI）、美国网络安全和基础设施安全局（CISA）、美国环境保护局（EPA）、澳大利亚信号局澳大利亚网络安全中心（ASD’s ACSC）、加拿大网络安全中心（Cyber Centre）、德国联邦信息安全办公室（BSI）、荷兰国家网络安全中心（NCSC-NL）和新西兰国家网络安全中心（NCSC-NZ）。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文