HackerNews

安全内参10月8日消息，美国水务公司（American Water Works）昨天（7日）发布声明，表示其供水和废水设施未受到上周开始的网络攻击影响。 该公司昨天向美国证券交易委员会（SEC）提交了相关文件，向公众通报此事件。公司管理层在其网站上警告，由于为遏制此次攻击采取了措施，客户目前无法访问用于管理个人账户和支付水费的门户网站。 根据公司网站上的公告，目前公司的MyWater账户系统已瘫痪，所有客户预约的服务将被重新安排。此外，所有账单处理已暂停，直至另行通知。但是，系统恢复上线之前，不会产生逾期费用或停止服务。 公司的呼叫中心也已无法正常运作。 美国水务公司是美国最大的受监管水务公共事业公司，总部位于新泽西州，为14个州及18个军事设施的约1400万人提供饮用水、废水处理及其他相关服务。公司在其受监管的业务中报告，2023年净收入达9.71亿美元。 疑似勒索软件攻击，OT系统未受影响 在向SEC提交的文件和网站公告中，该公司表示他们于上周四（10月3日）发现了此次攻击。 公司已通知执法部门，并聘请网络安全专家协助“遏制和缓解这一事件的影响”。 声明指出，公司已采取并将继续采取措施保护其系统和数据，包括断开或停用部分系统。 对于公司是否正在应对勒索软件攻击或是否收到了勒索要求，美国水务公司未回应相关评论请求。 SEC文件中写道，公司“目前认为其供水或废水设施及运营未受到此次事件的负面影响”。但他们也指出，尚无法“预测此次事件的全部影响”。 在其网站上，美国水务公司表示，他们正通过断开和停用部分系统来保护客户数据并防止进一步的损害。 截至昨天下午，尚无任何勒索软件团伙或黑客组织宣称对这次针对美国水务公司的攻击负责。 美国水务系统网络威胁形势严峻 美国环境保护署（EPA）和其他联邦监管机构多次尝试加强供水和废水行业的网络安全防护措施。然而，去年相关监管努力因游说反对而被搁置。去年11月，伊朗的国家级黑客攻击了数十家水务公司，再次引发人们对该领域安全问题的关注。 EPA在今年5月的报告中指出，最近的检查显示超过70%的水系统未完全遵守《饮用水安全法》，其中一些“存在关键的网络安全漏洞，例如未更新默认密码、使用容易被攻破的单一登录方式”。 两周前，美国顶级网络安全机构发出警告，指出他们仍在应对“互联网可访问的操作技术（OT）和工业控制系统（ICS）设备持续受到的活跃攻击，目标包括供水和废水系统（WWS）领域的设备”。 在此警告发布前，堪萨斯州的一家水务公司由于网络攻击不得不转为手动操作。 参考资料：https://therecord.media/american-water-works-cyberattack-utility     转自安全内参，原文链接：https://www.secrss.com/articles/70967 封面来源于网络，如有侵权请联系删除

因意外将6 亿 Facebook 用户的密码以明文形式存储，当地时间9月27日，爱尔兰数据保护委员会（DPC）宣布对Facebook母公司Meta处以9100万欧元（约合1.01亿美元）罚款。 这一处罚结果源自一起已经持续了5年的调查。2019年3月，美国安全研究员布赖恩·克雷布斯（Brian Krebbs） 发现Meta用户账户密码安全存在缺陷，随后，Meta证实其社交媒体用户的某些密码被以“明文”形式存储在其内部系统上（即没有加密保护或加密），并向DPC进行了通报，强调这些密码仅在 Meta 内部暴露，且没有证据表明其中任何密码被滥用，并立即采取行动修复了该错误。 2019年4月，DPC 启动了对Meta的调查，评估了Meta对《通用数据保护条例》（GDPR） 的遵守情况，最终，DPC认定Meta违反了GDPR中规定的相关安全要求： 违反GDPR 第 33（1） 条，Meta未能通知 DPC 有关以明文形式存储用户密码的个人数据泄露； 违反GDPR 第 33 条第 5 款，Meta 未能记录与以明文形式存储用户密码有关的个人数据泄露； 违反GDPR 第 5 条第 （1） 款第 （f） 项，Meta 没有使用适当的技术或组织措施来确保用户密码的适当安全性，防止未经授权的处理； 违反GDPR 第 32 条第 （1） 款，Meta 没有实施适当的技术和组织措施来确保与风险相适应的安全级别，包括确保用户密码持续机密性的能力。 “考虑到访问此类数据的人所带来的滥用风险，用户密码不应以明文形式存储，”DPC 副专员格雷厄姆·多伊尔 （Graham Doyle） 在一份关于谴责的声明中表示。 就在此次处罚宣布后，最初的爆料者克雷布斯在 LinkedIn 上发表评论称，虽然他没有发现 Facebook 员工当时访问了被曝光密码的证据，但 “安全/隐私缺陷可能会让 Facebook 20 万员工中的任何一人看到这多达 6 亿个账户的明文密码。 附：Meta近期因GDPR违规被罚记录 2022年11月，Meta 旗下的 Facebook被罚 2.65 亿欧元，原因是三年前的数据抓取泄露暴露了数亿条用户记录。 2023 年 1 月，DCP 宣布对 Meta 的 Facebook 处以 2.1 亿欧元的罚款，对 Instagram 处以 1.8 亿欧元的罚款，这两项罚款均因违反与用户同意和数据处理相关的 GDPR 规定。同月，Meta 还因 WhatsApp 的违规行为支付了 550 万欧元的罚款。 2023年5月，Meta 因向美国传输个人数据的方式而被处以 12 亿欧元的罚款，这是有史以来最大的 GDPR 罚款。Meta 正在对 DCP 的判决提出上诉。       转自Freebuf，原文链接：https://www.freebuf.com/articles/412005.html 封面来源于网络，如有侵权请联系删除

一位研究人员声称发现了一个十年前的漏洞，评级为 9.9，该漏洞影响了所有 GNU/Linux 系统，使攻击者能够控制易受攻击的设备。该漏洞正在调查中，预计将于下周全面披露。 网络安全研究员和 Linux 开发人员 Simone Margaritelli 发现了一个关键的 Linux 漏洞，该漏洞可能允许攻击者完全控制易受攻击的系统。此 Linux 漏洞会影响 GNU/Linux 系统，特别是针对 Linux 远程代码执行。如果得到证实，它可能是历史上最严重的漏洞之一。 十年前的缺陷： 据报道，该漏洞已经存在了十多年，影响了所有 GNU/Linux 系统。虽然具体细节仍处于保密状态，但 Canonical 和 Red Hat 等主要 Linux 分销商确认的严重性评分为 9.9 分（满分 10 分），这表明如果被利用，可能会造成巨大的损害。 争议： 尽管问题严重，但尚未分配通用漏洞和披露 （CVE） 标识符，开发人员仍在争论漏洞的某些方面是否构成安全风险。这种分歧导致延迟解决问题，并导致安全研究人员感到沮丧。 Margaritelli 公开表达了他对披露处理方式的失望。他声称已经提供了概念验证漏洞，但开发人员更专注于讨论漏洞的影响，而不是努力寻找解决方案。 因此，他决定不进行负责任的披露，而是完全披露缺陷。虽然他的决定可能会加速修复竞赛，但如果不采取迅速的对策，也会使数百万个 Linux 系统面临恶意攻击。 供您参考，Simone Margaritelli，又名 evilsocket，是一位著名的网络安全专家，他为世界各地的专业人士和研究人员创造了许多工具。他最显着的贡献之一是 Bettercap，这是一个专为中间人 （MITM） 黑客攻击和网络渗透测试而设计的开源工具。 该漏洞可能会影响已知暴露的服务（如 OpenSSH）和可能的过滤服务（如 Net Filter），尽管没有迹象表明哪些服务可能会受到影响，这些只是假设。 根据最新更新，该漏洞最初将于 9 月 30 日披露到 Openwall 安全邮件列表，然后在 10 月 6 日完全公开披露。建议 Linux 用户在补丁可用时立即了解官方更新和补丁系统。 * 未经身份验证的 RCE 与 3 周前披露的所有 GNU/Linux 系统（以及其他系统）的对比。 * 在 2 周内完成完全披露（与开发人员达成协议）。 * 仍然没有分配 CVE（至少应该有 3 个，可能是 4 个，最好是 6 个）。 * 仍然没有有效的修复。 * Canonical、RedHat 和…pic.twitter.com/N2d1rm2VeR — 西蒙娜·玛格丽特利 （@evilsocket） September 23， 2024 软件安全平台 Sonatype 的首席技术官兼开源安全基金会管理委员会成员 Brian Fox 发现，此漏洞与 Log4j/Log4Shell 漏洞 （CVE-2021-44228） 之间存在相似之处。Fox 正在与 Sonatype 的研究团队和开源安全社区密切合作，以了解问题的严重性和可能的缓解方法。 “虽然我们还没有技术细节，但 9.9 CVSS 的漏洞表明利用的复杂性较低，并且有迹象表明系统核心存在缺陷。考虑到这是 Linux，这个漏洞的范围很广，成功利用可能是毁灭性的——从 wifi 路由器到保持灯亮的网格，一切都在 Linux 上运行，“Brain 解释说。 “他进一步补充道：”这种低复杂性和高使用率的组合让人想起 Log4Shell，尽管这里的使用规模要大得多。我理解逐步取消披露的逻辑，因为这个漏洞需要时间来发现和修复，但是，我们也应该预料到威胁行为者会仔细检查提交历史并寻找可以利用的线索。 “在我们等待更多细节公布的同时，企业安全团队必须搜索他们的环境和 SBOM，以了解他们可能容易受到攻击的地方并准备好修补。取消你的假期，因为在 10 月 6 日，这可能是一场与攻击者的赛跑，“Brian 强调说。       转自安全客，原文链接：https://www.anquanke.com/post/id/300491 封面来源于网络，如有侵权请联系删除

近日，有安全研究人员发现起亚汽车经销商门户网站存在一个关键漏洞，黑客只需使用目标车辆的车牌，就能定位并窃取数百万辆 2013 年后生产的起亚汽车。 大约在2022 年，安全研究员和漏洞赏金猎人萨姆-库里等人发现了影响十多家汽车公司的其他关键漏洞，这些漏洞可以让犯罪分子远程定位、禁用启动器、解锁和启动法拉利、宝马、劳斯莱斯、保时捷和其他汽车制造商生产的 1500 多万辆汽车。 今天，库里透露称起亚门户网站漏洞最早是在今年6月被发现的，黑客利用该漏洞能在 30 秒内控制任何配备远程硬件的起亚汽车，无论其是否有激活的起亚互联订阅。 这些漏洞还暴露了车主的敏感个人信息，包括姓名、电话号码、电子邮件地址和实际地址，并可能使攻击者在车主不知情的情况下将自己添加为目标车辆的第二用户。 为了进一步证明这一问题，研究小组制作了一个工具，展示攻击者如何输入汽车牌照，并在 30 秒内远程锁定或解锁汽车、启动或停止汽车、按喇叭或定位车辆。 研究人员在起亚的 kiaconnect.kdealer.com 经销商门户网站上注册了一个经销商账户，以获取这些信息。 通过身份验证后，他们生成了一个有效的访问令牌，该令牌允许他们访问后端经销商 API，从而获得车主的重要详细信息和对汽车遥控器的完全访问权限。 他们发现，攻击者可以利用后台经销商 API完成以下操作，包括： 生成经销商令牌并从 HTTP 响应中获取该令牌 访问受害者的电子邮件地址和电话号码 使用泄露的信息修改车主的访问权限 将攻击者控制的电子邮件添加到受害者的车辆上，从而实现远程命令 HTTP 响应包含车主的姓名、电话号码和电子邮件地址。库里表示：我们能够使用正常的应用程序凭证和修改后的通道头验证进入经销商门户。 从那里，攻击者可以通过 API 输入车辆的 VIN（车辆识别码），并在车主不知情的情况下远程跟踪、解锁、启动或鸣笛。 起亚门户网站的漏洞允许在未经授权的情况下隐秘地访问车辆，因为正如库里解释的那样，从受害者的角度来看，他们的车辆被访问后没有任何通知，他们的访问权限也没有被修改。 库里补充道：这些漏洞后来都得到了修复，这个工具也从未发布过，起亚团队已经证实这从未被恶意利用过。     转自Freebuf，原文链接：https://www.freebuf.com/news/411878.html 封面来源于网络，如有侵权请联系删除

安全研究员Johann Rehberger近期报告了一个ChatGPT漏洞。该漏洞允许攻击者在用户的长期记忆设置中存储虚假信息和恶意指令。OpenAI迅速关闭了问题报告，称其为安全（Safety）问题，而非技术意义上的安全（Security）漏洞。 面对这一情况，Rehberger做了所有优秀研究员都会做的事情：他利用该漏洞创建了一个概念验证（PoC）攻击，能够永久提取用户的所有输入。OpenAI的工程师注意到这一点，并于本月早些时候对该问题进行了部分修复。 回顾漏洞产生的过程 此次漏洞利用了ChatGPT的长期对话记忆功能。OpenAI从今年2月开始测试这一功能，并于9月广泛推广。ChatGPT的记忆功能可以存储此前对话中的信息，并在后续的对话中继续使用这些信息作为上下文。因此，模型能够记住用户的年龄、性别、信仰等各种细节，免去用户每次对话时重新输入这些信息的麻烦。 然而，在该功能推出后的三个月内，Rehberger发现，记忆可以通过间接提示注入进行恶意植入并永久存储。这是一种AI系统的漏洞，会导致大模型执行来自不受信任内容（如电子邮件、博客文章或文档）的指令。 Rehberger演示了如何欺骗ChatGPT，使其相信某位目标用户已经102岁，居住在《黑客帝国》世界中，并坚信地球是平的。模型会将这些虚假信息纳入所有未来的对话中。 这类虚假记忆的植入方式很简单，可以通过在Google Drive或Microsoft OneDrive存储文件、上传图片，或浏览如Bing之类的站点来实现，而这些都可能是由恶意攻击者创建的。 Rehberger于5月将这一发现私下报告给了OpenAI。同月，OpenAI关闭了报告工单。然而，一个月后，Rehberger提交了一份新的披露声明，这次他创建了一个概念验证（PoC），该概念验证使macOS版ChatGPT应用将所有用户输入和ChatGPT的输出逐字发送到他指定的服务器。目标用户只需指示模型访问一个包含恶意图片的网页链接，从那时起，所有的输入和输出数据便会自动传送至攻击者控制的网站。 在演示视频中，Rehberger指出：“真正有趣的是，记忆现在具有了持久性。提示注入已经将一个记忆植入了ChatGPT的长期存储中。即使开始新的对话，模型实际上仍在提取这些数据。” 需要注意的是，通过ChatGPT的网页界面无法实现此类攻击，这要归功于OpenAI去年推出的API限制。 尽管OpenAI已经引入了修复措施，防止记忆功能被滥用为数据提取的工具，但Rehberger指出，不受信任的内容依然可以通过提示注入，导致恶意攻击者植入的长期信息被存储在记忆工具中。 为防止类似攻击，大模型用户应在对话过程中密切关注输出，检查是否有新的记忆被意外添加。他们还应定期审查已存储的记忆，以防有不受信任的内容被植入。OpenAI提供了相关管理记忆工具和存储记忆的详细指南。然而，该公司代表未回应关于其在防止其他虚假记忆攻击方面所作努力的邮件询问。     转自安全内参，原文链接：https://www.secrss.com/articles/70682 封面来源于网络，如有侵权请联系删除

据Cybernews消息，法国公民经历了一次大规模数据暴露事件，超过9500万条公民数据记录被直接公开在互联网上，涉及数据类型包括姓名、电话号码、电子邮件地址和部分支付信息等，这可能导致他们更易遭受针对性的网络攻击。 目前尚不清楚该黑客的具体信息，不过可以肯定的是，他正在持续囤积法国公民泄露的个人信息，并将其编译在一个数据库中。更糟糕的是，这些数据现在已经被公开了。 该数据泄露事件由Cybernews研究团队与网络安全研究员Bob Dyachenko共同发现，这是一个开放的Elasticsearch服务器（实时数据分析和搜索的工具），无需授权即可访问，并且被命名为“vip-v3”。目前该数据库至少包含了9500万条数据，且已经发现来自于17起数据泄露事件，大小超过30GB。 有意思的是，根据公开信息法国总人口也才6779万。安全研究人员表示，这些数据库致力于编译来自多个与法国相关的数据泄露事件，涵盖了电信、电子商务、社交媒体和其他行业，反映了数据泄露十分广泛。数据类型包括已知和未知的数据泄露，涉及全名、电话号码、地址、电子邮件、IP地址、部分支付信息以及其他的数据。 Cybernews研究人员表示，如此庞大的数据量且集中在一个国家，这大大增加了数据泄露的危害性，很有可能会影响数百万个人和公司，并可能导致身份盗窃、欺诈和其他恶意活动的风险增加。 从泄露的数据库中可以发现一共包含17个部分，每个部分可能对应的是一个独立的安全事件，暴露的文件名暗示泄露可能涉及的公司。 Lyca scrappe.txt Lycamobile是一家移动网络运营商，该文档中的数据可能来源于此； Pandabuy-Email.txt 与Pandabuy有关，可能是涉及客户电子邮件数据的泄露； darty.com.txt Darty是一家法国电子产品零售商，数据泄露可能与该公司有关； discord_1_2024.txt Discord是一个流行的网络社交平台，涉及的数据可能是从该平台窃取； dvm.txt 可能与缩写为DVM的服务或实体有关； electro-depot.fr.txt Electro Depot是一家法国电子产品和家电零售商，可能涉及相应的数据泄露； db_vandb.txt 可能与V和B（Vins＆Bières，一家法国葡萄酒和啤酒零售商）有关； Snapchat SQL.txt 表明该部分数据涉及Snapchat泄露，特别是通过SQL查询提取的数据； frsfr.txt 可能与缩写为“FRS”的法国服务有关； go-sport.com-export.txt 指的是Go Sport，一家法国体育用品零售商； intersport-scrapped.fr.txt Intersport是法国另一家体育用品零售商，可能是从这里窃取的数据 ldlc.txt 指向涉及法国在线电子产品零售商LDLC的数据泄露； corsegsm.com.txt Corse GSM是一家科西嘉移动运营商，数据泄露可能与此有关； pinterest.txt 指的是Pinterest，社交媒体平台； minecraft.fr-forum.txt 表明涉及法国Minecraft论坛的泄露 sfr.fr.txt： SFR是一家主要的法国电信公司，可能与此有关； shadow.tech.txt 指的是Shadow，一种云计算服务。 安全研究人员表示，鉴于欧盟的规定，在没有用户同意的情况下，无法合法收集、获取和组合如此大量的数据。而且数据暴露在外，没有任何安全措施。这表明数据库的所有者明显无视GDPR，可能有恶意意图。 由于数据库已经公开可访问了很长一段时间，很可能其他恶意行为者已经复制了数据，并可能正在将其用于犯罪活动。同时也让暴露的公民面临诸多安全风险，例如身份盗窃、欺诈、钓鱼攻击，或使用数据进行帐户劫持或在社会工程攻击中冒充个人。       转自安全客，原文链接：https://www.freebuf.com/news/411820.html 封面来源于网络，如有侵权请联系删除

美国汇款巨头速汇金（MoneyGram）日前确认，自9月20日（上周五）以来，该公司一直在处理系统故障和客户因服务缺失的投诉，是因为遭受了网络攻击。 尽管外界早有猜测认为速汇金遭遇了网络攻击，但直到9月23日早晨，该公司才正式证实，一次网络安全事件是这次系统故障的根本原因。 公告中指出：“速汇金近期发现了一个影响我们部分系统的网络安全问题。我们在发现问题后，立即展开调查，并采取了保护措施应对此次事件，其中包括主动下线部分系统，这对网络连接产生了影响。” 速汇金是一家美国的点对点支付与汇款公司，业务覆盖全球200个国家，拥有35万个实体网点。客户可以通过速汇金庞大的实体网络，或通过其移动应用和网站进行数字汇款。 作为仅次于西联（Western Union）的全球第二大汇款公司，速汇金每年为数千万用户处理超过1.2亿笔交易。 收汇款服务因网络攻击中断约5天 问题的最早迹象出现在9月20日，部分用户报告称无法通过速汇金服务收款或访问资金，同时公司的网站也无法正常访问。 速汇金官网目前仍处于中断状态 在客户无法转账或访问资金后，速汇金于9月21日表示，正在经历一次“网络故障”，该故障影响了系统的连接。 速汇金在X平台（即原推特）发布消息称，公司正遭遇一次“网络故障”，系统连接受到影响，但并未提供进一步的详细信息。 直到9月23日，速汇金才最终确认，网络安全事件是此次故障的原因，并向客户保证，公司正在与外部专家和执法机构紧密合作，积极应对此次事件。 速汇金在解释中表示：“我们深知此事件对我们的客户和合作伙伴的重要性与紧迫性。我们正全力恢复系统上线，并努力使业务回归正常运作。” 9月25日下午，公司在X平台上称，许多代理合作伙伴的汇款和收款服务已经恢复，待处理的交易正在陆续完成，公司将继续恢复剩余的其他服务，包括官方网站。 虽然速汇金尚未透露此次攻击的具体类型，但长时间的系统中断与连接故障，可能表明此次攻击涉及勒索软件。 鉴于速汇金拥有庞大的用户群体，潜在的数据泄露可能对许多人产生深远影响。     转自安全内参，原文链接：https://www.secrss.com/articles/70634 封面来源于网络，如有侵权请联系删除

一项新的勒索软件操作已开始泄露信息，它声称这些信息已从它在全球范围内入侵的组织那里窃取。 最近几天，Valencia Ransomware 在其暗网泄露网站的所谓“耻辱墙”上发布了数 GB 的可下载信息链接，这些信息似乎是从加利福尼亚州的一个城市、一家制药公司和一家造纸商那里泄露出来的。 据称的受害者包括加利福尼亚州的普莱森顿市（攻击者声称在那里窃取了 283GB 的敏感信息）、马来西亚制药公司 Duopharma Biotech （25.7GB）、印度造纸商 Satia （7.1GB） 和孟加拉国制药商 Globe Pharmaceuticals （200MB）。 还有人声称西班牙时尚巨头 Tendam 也受到了瓦伦西亚集团的打击。如果这是准确的，那就特别不幸的是，因为据报道该公司本月早些时候也遭到了 Medusa 勒索软件的攻击。 网上有猜测称，瓦伦西亚集团的一些攻击可能与利用 Progress 的 WhatsUp Gold 网络监控软件中的关键漏洞有关。 5 月发现并负责任地披露了可以接管 WhatsUp Gold 管理员帐户的漏洞，并在 8 月底发布了概念验证漏洞利用代码。 在概念验证代码发布后的几个小时内，安全公司就报告了网络犯罪分子正在积极利用该漏洞的证据。 在其泄密网页上，瓦伦西亚是这样描述受感染组织的： “这是一份不关心客户隐私的公司名单。” 当然，他们真正的意思是，这里列出了在成为犯罪行为的受害者后选择不支付赎金的公司。 确实，支付赎金会激励网络犯罪分子，并增加未来对您的公司和其他公司发起攻击的风险。 但是，当面对对您的业务以及员工、合作伙伴和客户的生计的潜在破坏时，您的公司可能会觉得别无选择，只能付款。无论您做出何种决定，向执法部门报告网络安全攻击并协助他们进行调查都至关重要。 面对勒索软件，任何人都不应该高枕无忧。随着更多的攻击比以往任何时候都更赚钱，没有迹象表明勒索软件事件可能会很快减少。     转自安全客，原文链接：https://www.anquanke.com/post/id/300400 封面来源于网络，如有侵权请联系删除

据Cyber Security News消息，美国卡巴斯基用户反馈，他们的安全软件以悄无声息的方式自动替换为了另一款产品UltraAV。 9月19日，美国卡巴斯基用户的一次软件更新显示，这次更新自动将用户计算机上的卡巴斯基的防病毒软件替换为了UltraAV，这一变更被指此前美国商务部以涉嫌国家安全风险为由，禁止卡巴斯基在美国销售或更新某些防病毒产品。 卡巴斯基在官方支持论坛发布的公告显示，卡巴斯基与 UltraAV 合作，致力于确保客户保持他们所期望的高标准安全和隐私。UltraAV 提供类似的功能，包括行业领先的防病毒保护、高级 VPN、密码管理器和身份盗窃保护。 但不少美国用户对这一变更并不满意，许多用户对这一突然的变化表示惊讶和担忧，一些用户报告说他们没有事先收到过渡的通知。“醒来时发现卡巴斯基完全从我的系统中消失了，我新安装了 Ultra AV 和 Ultra VPN（不是我安装的，只是在我睡觉时自动安装的），”Reddit 上的一位用户写道。 尽管卡巴斯基已为UltraAV 背书，并保证在无缝过渡后UltraAV 将在用户现有的订阅下提供可靠的防病毒保护，但一些用户对 UltraAV 缺乏透明度和既定声誉表示担忧。“UltraAV？从来没有听说过，“一位用户在网上写道。“我不愿使用没有评论或行业经验的产品。为什么我要信任它来处理我的数据？” 据悉， UltraAV 属网络安全公司Pango的产品，拥有一系列消费者网络安全解决方案，然而，在独立杀毒软件评测网站上，有关 UltraAV 的性能和可靠性的信息非常有限。 据统计，此次变更影响到约 100 万美国卡巴斯基用户，卡巴斯基向用户保证，他们不会遇到保护空挡，并将继续获得 UltraAV 提供的可靠杀毒软件保护。     转自Freebuf，原文链接：https://www.freebuf.com/news/411582.html 封面来源于网络，如有侵权请联系删除

乌克兰最新报告显示，俄罗斯在2024年上半年针对乌克兰的网络攻击策略中，倾向于间谍活动而非破坏行动，展现了莫斯科针对基辅网络攻击性质的演变。 2024年，网络战场发生了变化，俄罗斯黑客组织采用了更为隐秘和长期的策略。与前几年大规模的基础设施攻击不同，俄罗斯网络行动人员转向了间谍活动，主要针对军事和关键基础设施目标，以支援俄罗斯对乌克兰的持续战争。 虽然网络事件总体上有所增加，但严重程度较高的事件数量却有所下降。这一转变标志着策略上的变化，从广泛的破坏性网络攻击转向了更为集中和持续的渗透行动，其目的是收集情报。 攻击背后的数据 乌克兰计算机应急响应小组（CERT-UA）在9月23日发布报告，揭示了这一重点转移。 2024年上半年共发生了1739起网络事件，比2023年下半年增加了19%。然而，重大事件的数量下降了90%。2024年上半年仅报告了3起重大事件，远低于2023年下半年的31起。高危事件也大幅下降，降幅高达71%。而中低级别事件则分别增加了32%和75%。 这些数据表明，虽然网络攻击的总体频率有所增加，但攻击者的战术已经转向了较低调的活动，旨在避免引起注意。这些低危事件通常涉及恶意软件传播、间谍活动以及维持对被攻陷系统的访问，而不是造成即时的、可见的破坏。 针对性的间谍活动和隐秘行动 2022年和2023年，俄罗斯黑客集中攻击乌克兰的关键基础设施，试图瘫痪政府机构、能源供应商和互联网服务提供商。然而，乌克兰系统的快速恢复使这些攻击未能达到预期的长期目标。2024年，间谍活动的增加则显示出一种更加深思熟虑的策略。 今年，像UAC-0184和UAC-0020（即Vermin黑客组织）这样的团体尤其活跃。这些团体与俄罗斯情报部门有密切联系，专门从事网络间谍活动，常通过网络钓鱼攻击和恶意软件渗透乌克兰的敏感系统。 例如，UAC-0184利用Signal等即时通讯应用程序伪装成可信联系人，攻击乌克兰国防部队成员，分发恶意软件。一旦该恶意软件被部署，黑客便能够监控受害者的通讯、窃取数据，并对被攻陷的系统进行长期控制。 这种从公开破坏性攻击转向隐秘间谍活动的转变，标志着俄罗斯网络战略进入了一个新阶段。其关注重点从短期破坏转为长期情报收集，意在为军事行动提供支持。CERT-UA的报告还重点解释了黑客如何通过网络行动收集对动能军事打击（如导弹袭击）的反馈。 关键基础设施依然是重点 虽然间谍活动占据了中心位置，对乌克兰关键基础设施的攻击仍在持续。报告指出，自2023年下半年以来，乌克兰能源部门遭受的攻击增加了一倍多，黑客越来越多地瞄准用于电力、供热和供水设施的工业控制系统（ICS）。 2024年3月，UAC-0002组织发动了一次重大的供应链攻击。该组织与俄罗斯占领的卢甘斯克地区的执法部门有联系。黑客利用至少20家能源公司软件中的漏洞，入侵工业控制系统，并在网络内部进行横向移动。 这种供应链攻击通过攻击一个共同的服务提供商，从而入侵多个目标组织。在3月的这次事件中，UAC-0002攻击了三个供应链，向多家能源公司传播了恶意软件和后门程序。黑客使用诸如LOADGRIP和BIASBOAT等专门工具，成功获取了关键系统的访问权限，并可能进一步升级攻击，与对乌克兰基础设施的物理打击相配合。 聊天工具账号盗窃：网络攻击新趋势 2024年另一个显著趋势是即时通信账号盗窃的增加。像WhatsApp和Telegram这样广泛使用的通信平台，成为了俄罗斯黑客的主要目标。 例如，UAC-0195小组使用网络钓鱼活动攻击了数千个即时通信账号。这些被攻陷的账号随后被用于一系列恶意活动，包括传播恶意软件、进行间谍活动以及实施金融诈骗。 在一个案例中，黑客假扮为一项纪念一位乌克兰阵亡士兵的请愿活动组织者，诱导受害者访问一个伪装成乌克兰总统官方网站的假网站，要求用户通过WhatsApp认证。这种网络钓鱼策略使黑客能够将其设备添加到受害者的WhatsApp账号中，从而获取个人消息、文件和联系人。 这一策略也延伸到了Telegram，黑客通过类似的方法诱导用户参与“艺术竞赛投票”，再次获得了未经授权的账号访问权限。通过这些账号访问，黑客可以冒充账号持有者，进一步传播网络钓鱼链接，甚至从高价值目标中窃取敏感信息。 这些最新发现是在乌克兰刚刚禁止在任何政府、军队或关键基础设施相关设备上使用Telegram信使应用几天后公布的。这一果断行动是出于对其在网络间谍活动中脆弱性的日益担忧。9月19日，乌克兰国家网络安全协调中心（NCSCC）开会，强调了这款广泛使用的应用如何从言论自由的工具转变为战争武器。 网络钓鱼攻击和恶意软件传播 网络钓鱼仍然是俄罗斯黑客的重要工具。 2024年初，UAC-0006，一个以金融为动机的组织，继续其针对财务部门员工的网络钓鱼活动。这些活动经常使用多语言档案（即根据使用的软件不同，显示为不同内容的文件）来传播像SmokeLoader这样的恶意软件。 一旦部署，SmokeLoader允许攻击者安装其他恶意软件，如TALESHOT，当银行应用程序打开时，它会截取屏幕截图。这种恶意软件使黑客能够更深入地了解受害者的活动，并访问重要的财务数据。在某些情况下，黑客甚至编辑或创建虚假发票，以从目标组织中窃取资金。 UAC-0006组织在2024年3月短暂暂停了行动，但在5月重新展开了攻击。它们注册了新的域名以继续网络钓鱼活动，并重新控制之前被攻陷的系统。 乌克兰的网络弹性 尽管网络攻击数量增加，乌克兰的网络防御展现了显著的弹性。CERT-UA与国家特殊通信和信息保护局（SSSCIP）合作，在应对这些威胁方面取得了重大进展。他们的努力使得高危事件大幅减少，尽管总体攻击数量在上升。 报告将这种成功归功于增强的可见性和与国际合作伙伴的合作。检测能力的提高，加上各组织的更好意识，使得乌克兰能够更快速地应对新兴威胁。这种合作包括与CERT-UA的合作伙伴共享网络威胁情报，这有助于识别并减轻大量攻击。 然而，报告也警告，随着战争的持续，俄罗斯黑客的能力也在不断增长。供应链攻击的复杂性日益增加，以及持续的网络钓鱼攻击威胁，意味着乌克兰的网络防御策略将一再面临考验。     转自安全内参，原文链接：https://www.secrss.com/articles/68105 封面来源于网络，如有侵权请联系删除

据观察，一个名为 “Twelve ”的黑客组织使用大量公开工具对俄罗斯目标实施破坏性网络攻击。 卡巴斯基在周五的分析中表示：与要求赎金解密数据不同，该组织更倾向于加密受害者的数据，然后使用擦除器破坏他们的基础设施，以防止恢复。 这表明，他们希望对目标组织造成最大程度的损害，而不是直接获得经济利益。 据悉，该黑客组织是在2023年4月俄乌战争爆发后成立的，曾发起过多次网络攻击事件、窃取敏感信息，然后通过其Telegram频道分享这些信息。 卡巴斯基称，Twelve 与一个名为 DARKSTAR（又名 COMET 或 Shadow）的勒索软件组织在基础架构和战术上有重合之处，因此这两个黑客组织很可能相互关联，或者是同一活动集群的一部分。 俄罗斯网络安全厂商说：Twelve 的行动明显具有黑客活动的性质，而 DARKSTAR 则坚持典型的双重勒索模式。集团内部目标的这种变化凸显了现代网络威胁的复杂性和多样性。 攻击链首先通过滥用有效的本地或域账户获得初始访问权限，然后使用远程桌面协议（RDP）进行横向移动。其中一些攻击还通过受害者的承包商实施。 卡巴斯基指出：为此，他们获得了承包商基础设施的访问权限，然后使用其证书连接到客户的 VPN。在获得访问权限后，对手可以通过远程桌面协议（RDP）连接到客户的系统，然后侵入客户的基础设施。 Twelve 使用的其他工具包括 Cobalt Strike、Mimikatz、Chisel、BloodHound、PowerView、adPEAS、CrackMapExec、Advanced IP Scanner 和 PsExec，用于窃取凭证、发现、网络映射和权限升级。与系统的恶意 RDP 连接通过 ngrok 传输。 此外，还部署了具有执行任意命令、移动文件或发送电子邮件功能的 PHP web shell。这些程序（如 WSO web shell）在 GitHub 上随时可用。 在此前的一起事件中，卡巴斯基称威胁分子利用了VMware vCenter中的已知安全漏洞（如CVE-2021-21972和CVE-2021-22005），提供了一个web shell，然后利用这个web shell投放了一个名为FaceFish的后门。 攻击者使用 PowerShell 添加域用户和组，并修改 Active Directory 对象的 ACL（访问控制列表）。而为了避免被发现，攻击者将恶意软件和任务伪装成现有产品或服务的名称。攻击者通过使用包括 “Update Microsoft”、“Yandex”、“YandexUpdate ”和 “intel.exe”等名称伪装成英特尔、微软和 Yandex 的程序来逃避检测。 这些攻击的另一个特点是使用 PowerShell 脚本（“Sophos_kill_local.ps1”）来终止受攻击主机上与 Sophos 安全软件相关的进程。 最后阶段需要使用 Windows 任务调度程序来启动勒索软件和清除器有效载荷，但在此之前要通过名为 DropMeFiles 的文件共享服务以 ZIP 压缩文件的形式收集和渗出受害者的敏感信息。 卡巴斯基研究人员说：攻击者使用了一个流行的 LockBit 3.0 勒索软件版本，该版本由公开源代码编译而成，用于加密数据。在开始工作之前，勒索软件会终止可能干扰单个文件加密的进程。 与Shamoon恶意软件相同的擦除器会重写所连接驱动器上的主引导记录（MBR），并用随机生成的字节覆盖所有文件内容，从而有效防止系统恢复。 卡巴斯基研究人员指出：该组织坚持使用公开的、人们熟悉的恶意软件工具，这也表明它没有自制的工具，那么大家就还是有机会能及时发现并阻止 Twelve 的攻击。     转自Freebuf，原文链接：https://www.freebuf.com/news/411472.html 封面来源于网络，如有侵权请联系删除

一项新的内部审计建议，美国司法部和联邦调查局需要重新定义打击勒索软件获得成功的指标。 这份长达26页的审计报告于9月17日发布。美国司法部监察长Michael Horowitz在报告中详细阐述了该部门从2021年4月到2023年9月期间与勒索软件相关的行动，报告还涵盖了计划于2024年初对LockBit的打击行动。 调查发现，美国司法部和联邦调查局在更有效地打击勒索软件方面有三个需要改进的领域。 应改进衡量打击勒索软件成功的指标 司法部需要一种更好的方式“来确定哪些勒索软件威胁的指标（包括打击勒索软件行动的衡量指标）最为重要，且能够展示其打击勒索软件威胁行动的有效性。” 调查人员查阅的文件显示，司法部目前将与勒索软件相关的“成功”定义为：在报告的勒索软件事件中，“案件在72小时内立案、并入现有案件、解决或采取行动的比例提高到65%”。 联邦调查局表示，2023年，针对47%的勒索软件事件，在72小时内采取了行动，这一数字较2022年的39%有所上升。 此外，联邦调查局和司法部还设定目标，希望在2022年和2023年将与勒索软件相关的查封或没收案件数量增加10%。 调查人员指出：“我们认为，司法部现有的勒索软件指标并未真正反映其打击恶意行为者行动的有效性。” “无论司法部是否继续将勒索软件作为优先任务，都应确定哪些指标最具影响力，以确保能够准确衡量其打击行动的效果。” 报告肯定了司法部和联邦调查局多项基础设施破坏行动的成效，尤其针对LockBit、Hive和AlphV等勒索软件团伙的行动。通过这些行动，两家机构向当前和过去的受害者提供了数百个解密密钥。联邦调查局特别制定了一项战略，专门针对那些构成并推动勒索软件生态系统的行为者、基础设施和资金来源。 调查人员表示，他们认为司法部应该进一步追踪破坏勒索软件行动的成效，将破坏次数和向受害者提供的解密密钥数量作为衡量成功的重要指标。 应加强推进机构间协调和信息共享 审计报告指出，司法部尚未为未来两年制定关于勒索软件的行动计划，也未按要求在过去两个财年通过performance.gov报告任何进展。 Horowitz及其团队还发现，一些勒索软件调查因不同执法机构之间的内部矛盾而受阻，这些机构往往拒绝共享信息。 他们表示：“协调失败和冲突未能化解，损害了调查、起诉以及执法间的关键合作关系，也浪费了资源，破坏了公众对司法部的安全感、国家安全以及对政府的信任。” 联邦调查局的官员告诉调查人员，曾有两起相关勒索软件案件分别由不同联邦检察官监督，但“他们未按要求根据解除冲突政策共享信息。” 一位刑事部门官员还透露，全国各地的检察官办公室对这一政策的了解和执行情况存在差异。 应重新审视并制定NCIJTF机构的使命和职能 审计报告还指出，联邦调查局需要为其领导的国家网络调查联合工作组（NCIJTF）的刑事任务中心制定更加明确和具体的使命。 NCIJTF负责协调2021年和2022年整个政府的勒索软件行动计划，但在国会于2022年成立了新的多机构联合勒索软件工作组（JRTF）后，NCIJTF的职能陷入不确定的状态。 报告发现，NCIJTF“在打击勒索软件方面未产生任何有意义的成果”，自新的工作组成立以来，其作用变得模糊不清。 Horowitz表示：“我们发现，联合勒索软件工作组的成立削弱了刑事任务中心的作用，导致其在打击勒索软件方面的角色不再明确。” 美国司法部副助理检察长Bradley Weinsheimer在回复审计报告的信中表示，他认同调查结果，并承诺将致力于解决这些问题。 联邦调查局网络部门助理主任Bryan Vorndran也对相关建议表示赞同，并承诺联邦调查局将更明确地界定NCIJTF的角色。     转自安全内参，原文链接：https://www.secrss.com/articles/70544 封面来源于网络，如有侵权请联系删除

Tor是一种流行的隐私工具和暗网浏览器，通过将用户的互联网流量在全球多个计算机节点（即”中继”）之间反复转发，使得外界难以追踪到流量的来源。 十年前得益于斯诺登的大力推荐，Tor迅速成为活动人士、记者等职业人士青睐的隐私工具。然而，正是这种匿名性也让Tor成为网络犯罪分子青睐的平台，他们通过Tor进行（暗网）非法市场交易并逃避执法部门的追踪。 近日，德国执法部门成功锁定Tor网络用户身份的报道引发了广泛的关注和讨论。 德国执法部门通过时序分析攻击破获“Boystown”案件 根据德国媒体《Panorama》联合混沌计算机俱乐部（Chaos Computer Club，简称CCC）的调查报告披露，德国执法部门通过运行大量Tor节点并运用时序分析攻击技术，成功破获了儿童色情平台“Boystown”的案件。根据法院文件，执法部门多年来通过控制Tor节点，利用流量进入和离开网络的时间差异来确定目标用户的身份，从而成功进行逮捕。 时序攻击，又称计时攻击，是一种通过分析加密算法或敏感操作执行时间差异来推导出机密信息的攻击方式。在密码学中，这种攻击方式尤为有效，因为每个逻辑运算在计算机上执行都需要时间，而根据输入的不同，执行时间也会有所差异。攻击者正是利用这一特点，通过精确测量执行时间来反推出密码或其他敏感数据。 时间分析攻击最大优点是并不依赖软件漏洞，而是通过观察数据流动的时间点来实现去匿名化。如果攻击者控制了部分Tor节点或监视了进入和退出网络的节点，就可以通过比较数据流动的时间来跟踪回某个特定的用户。 Tor的回应与改进措施 面对这一报道，Tor项目团队表示，他们并未获得相关法院文件，无法进一步分析这些安全假设，但仍根据已有的信息向用户发布声明。Tor团队指出，这些攻击发生在2019年至2021年之间，自那时以来，Tor网络规模大幅扩大，时序分析攻击的难度也随之增加。此外，Tor团队还提到，过去几年他们对不良中继进行了广泛清理，进一步减少了网络集中化的问题。 关于报告中提到的匿名即时通讯应用Ricochet，Tor团队指出，攻击所针对的用户使用的是一个已于2022年6月停用的旧版本。新的Ricochet-Refresh版本则增加了针对时间分析和入口节点发现攻击的保护措施。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/km2RPBKiv0HX5BAGndO8cQ 封面来源于网络，如有侵权请联系删除

近日，美国乔治亚理工学院（Georgia Tech）的网络安全实验室陷入了一场法律诉讼。实验室负责人Antonakakis博士因长期拒绝遵守美国国防部（DoD）的网络安全规范（例如安装杀毒软件），导致学校被美国联邦政府起诉。 著名安全实验室被控欺诈 Antonakakis领导的网络安全实验室此前获得了数百万美元的国防部研究项目资金，其中包括为国防项目开发重大技术项目，例如“Rhamnousia：通过张量分解和数据抓取来追踪网络攻击者”。 联邦政府指控称，Antonakakis及其实验室多年来未遵守基本的安全规范，甚至在明知不合规的情况下，依旧提交了研究项目的费用发票，这种行为构成了欺诈。 “从根本上说，国防部为军事技术项目支付了费用，但被告将这些技术存储在不安全的环境中，无法防止未经授权的访问和泄漏。被告甚至没有监控是否发生了信息泄露，这意味着即便信息已经发生泄露，国防部也无从得知。最终，国防部认为在该项目的投入毫无价值，未能获得应有的利益。”联邦政府在起诉书中如此写道。 网安博士强烈反对安装杀毒软件 Antonakakis博士和他领导的网络安全实验室长期反对安装杀毒软件，这直接违反了DoD的安全规范规定。根据NIST发布的《非联邦信息系统与组织中受控未分类信息的保护》800-171号特别出版物，处理或存储涉密信息的设备必须安装终端杀毒软件。然而，Antonakakis博士对此持强烈反对态度。 乔治亚理工的系统管理员曾要求Antonakakis博士遵守规定，但他在2019年的一封内部邮件中明确表示，安装杀毒软件这件事“无法接受”。实验室的IT主管被允许采取其他“缓解措施”，例如依赖学校的防火墙来提供额外的安全保护。然而，事实证明，这种“假设”是错误的。学校的网络也从未提供过杀毒保护，而且实验室中使用的笔记本电脑经常离开学校网络环境，这进一步加剧了安全风险。 乔治亚理工校方意识到实验室为遵守国防部合同规定后，决定暂停实验室合同的发票提交，以避免被控提交虚假付款请求。然而，在发票暂停提交几天后，Antonakakis最终同意在实验室安装杀毒软件。 尽管如此，联邦政府指出，学校从未承认其长期不合规的事实，且在不合规的情况下依旧提交了大量发票，这属于欺诈行为。 安全评估弄虚作假 乔治亚理工面临的第二个问题是，该校在自我评估安全性时，提交了虚假分数。根据NIST的规定，学校需要评估110项安全控制措施的实施情况。乔治亚理工提交了一份全校的“总体安全计划”，分数为98分，但实际上这个分数是基于一个虚构的模型，而不是各个实验室的真实情况。 校方并没有对每个实验室进行单独评估，而是统一提交了编造的“98分”作为实验室项目的分数。联邦政府对此表示不满，认为这种安全评估形同虚设，根本不反映实际的安全状况。 技术骨干成安全文化“毒瘤” 联邦政府认为，乔治亚理工之所以会出现如此松懈的安全管理，主要原因是研究人员认为遵守安全规范“太麻烦”。当核心研究人员成为抵触网络安全规定的”毒瘤“时，校方管理层往往选择妥协，而不是强制执行安全措施。 据前员工透露，乔治亚理工的高级领导层之所以向研究人员的要求让步，主要是因为这些研究人员能为学校带来大量政府合同资金。一名前员工称，学校的网络安全合规文化充斥着“反正领导都不重视安全，所以我也可以无视（安全）规定”的态度。 不过，并非所有人缺乏基本的安全意识。这起案件之所以曝光，正是因为乔治亚理工的IT部门内部有几位吹哨人站出来揭发实情。 乔治亚理工学院网络安全实验室的合规问题再次凸显了安全合规在学术研究中的重要性。尽管安全规定可能会给研究工作带来不便，但高校学术实验室的开放性使其极易成为国家间间谍活动的目标。 通过起诉乔治亚理工学院，美国政府向其他依赖政府资金的大学实验室也发出了警告：“如果不能严格遵守网络安全规范，就别想再获得政府资金。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/Z2dfMvRs7q5Qk8xxo-nqWg 封面来源于网络，如有侵权请联系删除

据 The Cyber Express消息，臭名昭著勒索软件组织 LockBit 于9 月 18 日将美国在线报税服务 eFile.com 添加至受害者名单，要求在14天内支付赎金。eFile美国国税局（IRS）官方授权的税务申报平台。 人工智能驱动的威胁情报平台 Cyble 的研究人员表示，这次攻击LockBit 没有发布任何文件，通常勒索软件都会释放一些所窃取数据的样例来印证其真实性。 目前，除了14天的赎金支付期限，有关 Lockbit 勒索软件攻击的程度、数据泄露以及网络攻击背后的动机的详细信息仍未披露。此外， eFile.com 官方网站仍然功能齐全。为了确认攻击的真实性，The Cyber Express 已经联系了 eFile 官员，目前尚未收到任何回复。 对于数百万依赖 eFile.com 报税的美国人来说，该服务一旦遭受攻击恐将面临潜在的严重。如果 LockBit 的攻击被证明属实，纳税人的个人和财务数据可能落入犯罪分子手中。这些数据可用于各种恶意活动，包括身份盗窃、税务欺诈和帐户接管。 据悉，早在两年前eFile就已经成为LockBit的目标。 2022 年 1 月 19 日，Lockbit 声称入侵了eFile.com，且该日期正好处了税务申报截点，表明网络犯罪分子有意针对流量高峰期，以最大限度地发挥破坏力。 而在2023年， eFile.com网站曾出现一个漏洞，让攻击者在其中植入了恶意 JavaScript，将用户重定向到恶意软件下载界面。 2023 年 eFile.com网站上的恶意软件下载诱导界面 该恶意软件被研究人员命名为“efail”，利用了报税平台中的漏洞，让攻击者可以访问敏感数据，包括纳税人的社会安全号码、家庭住址、收入信息和其他详细 个人信息。eFile在接到反馈的几天后删除了该恶意软件，但这一事件再次引发了人们对关键金融服务提供商网络安全措施水平的担忧。   转自Freebuf，原文链接：https://www.freebuf.com/news/411364.html 封面来源于网络，如有侵权请联系删除

根据美国联邦贸易委员会（FTC）工作人员的一份报告显示，社交媒体和视频流媒体公司一直在对用户，尤其是儿童和青少年进行广泛的监控，隐私保护不足，并通过数据货币化每年赚取数十亿美元。 此调查始于2020 年 12 月，联邦贸易委员会于2020 年 12 月公布了调查结果，并向亚马逊（Twitch 的所有者）、Meta（Facebook）、YouTube、Twitter（现为 X 公司）、Snapchat、TikTok（ByteDance 所有）、Discord、Reddit 和 WhatsApp（Meta）发出了 6(b) 命令。 这份报告调查了公司在2019年至2020年期间如何收集数据，追踪个人和人口统计信息，以及这些行为对未成年人造成了哪些影响。联邦贸易委员会今天公布的结果显示，这些做法在数据保留、数据共享和针对性广告方面引起了严重的担忧。 联邦贸易委员会（FTC）主席 Lina M. Khan 今日强调了这些调查结果的严重性，她指出报告揭露了这些公司如何将大量美国民众的个人资料转化为巨额利润，每年赚取数十亿美元。 她表示，尽管这些监控行为为公司带来了丰厚的利润，但它们可能侵犯个人隐私，威胁个人自由，并使人们面临从身份盗窃到跟踪等一系列风险。这些公司都未能妥善保护儿童和青少年的网络安全，这是非常令人担忧的。 FTC指出，这些平台收集了大量数据，并且大部分数据被无限期保留。一些公司在数据共享方面过于宽泛，往往缺乏必要的监管，即使用户要求删除数据，这些公司也未能完全遵守。此外，这些公司的商业模式鼓励他们大量收集用户数据，以推动针对性广告的投放，这为他们带来了大部分收入。报告指出，这种做法直接侵犯了用户隐私，并增加了个人信息被滥用的风险。 社交媒体公司收集的用户数据 此报告还突出强调了社交媒体和视频流平台如何将用户及非用户数据输入算法和人工智能系统，并且往往不提供用户退出的选项，这增加了对透明度、监管和潜在消费者伤害的担忧。 报告最显著的发现之一是这些平台上缺乏对儿童和青少年的保护措施，许多公司声称他们的服务不是针对儿童的，以此试图规避遵守《儿童在线隐私保护法》（COPPA）。 但是联邦贸易委员会的报告中指出，青少年在这些平台上通常与成人受到相同的对待，很少或根本没有额外的保护措施。 联邦贸易委员会的报告呼吁政策制定者采取行动，要求国会通过全面的联邦隐私法案，包括限制数据收集、实施更严格的数据最小化和保留政策，以及制定更透明、更有利于消费者理解的隐私政策。 报告还要求公司增强其平台上对青少年和儿童的保护措施，将COPPA作为最低标准，并提供额外的安全和隐私保护措施。 Khan 补充称，此报告的发现非常及时，尤其是在州和联邦政策制定者考虑通过立法来保护人们免受滥用数据行为影响的时候。   转自Freebuf，原文链接：https://www.freebuf.com/news/411354.html 封面来源于网络，如有侵权请联系删除

因供应商未能按时删除用户数据并泄露，AT&T遭监管处罚超9000万元，并实施安全改进计划。 安全内参9月19日消息，美国联邦通信委员会（FCC）与AT&T就2023年1月发生的重大数据泄露事件达成了一项1300万美元（约合人民币9181万元）的和解协议。该事件源自AT&T的一家第三方云服务供应商。 供应商未能按时删除数据并泄露，FCC要求甲方严格落实审查责任 此次数据泄露导致AT&T超过890万名移动客户的信息被窃取。根据和解协议，一家未具名的公司，负责为AT&T提供用于营销、账单处理和生成个性化视频内容的服务，是此次事件的罪魁祸首。协议中提到，AT&T为了使用这家供应商的服务，与其共享了包括用户数据在内的大量客户信息。 AT&T与该供应商之间签署的合同中，明确规定了对这些数据进行保护和处理的要求。2016年至2020年间，经过多次审查和评估，表明该供应商遵循了数据删除政策。 然而，在2023年1月的泄露事件中，本应在2017年或2018年删除的数据被盗。FCC最终认定，AT&T对这一失误负有不可推卸的最终责任。 9月17日，在华盛顿召开的全球年度数据隐私会议上，FCC执法局局长Loyaan Egal指出，这份和解协议提醒企业，FCC正对企业在供应链中如何确保客户数据安全给予更为严格的审查。 他表示：“当我们调查美国境内企业的数据泄露事件时，若涉及到供应商，我们会重点关注这些供应商的所在地以及他们的数据保留情况。这些供应商是否有权保留被泄露的数据？你们能否有效追踪这些第三方所使用的数据？” AT&T推进数据泄露响应工作，并将实施改进计划 根据和解协议，AT&T于2023年1月6日向该供应商通报了数据泄露事件，并于同年2月7日通过在线报告表格向政府报告了此次事件。被盗数据包括客户账号中涉及的电话号码数量、账单余额、支付信息，以及针对约8.9万名受影响客户的1%的费率计划名称。 除了支付1300万美元的罚款外，AT&T还与政府达成了一项同意令，承诺对其在云端存储和保护客户数据的方式进行一系列改进。这些改进措施包括年度合规审计，以及制定一项“全面的”信息安全计划，以更好地保护敏感的客户数据。 此外，该协议要求AT&T加强对其第三方供应商生态系统的监管。具体措施包括限制对敏感客户数据的访问权限、改进对与供应商共享信息的追踪方式、严格执行数据处理要求，以及加强对供应商在其系统和网络中采用的数据保护政策和措施的监督。 在接受外媒CyberScoop采访时，AT&T发言人Alexander Byers表示，该公司从2023年3月开始通知客户此次数据泄露事件，且被盗的数据并不包括信用卡信息、社会安全号码或账户密码。 Byers在一份电子邮件声明中称：“尽管我们的系统并未在此次事件中遭到攻破，我们仍着手改进内部客户信息管理方式，并对供应商的数据管理实践实施了新的要求。” 尽管此次和解结束了FCC对2023年1月供应商云端泄露事件的调查，但FCC仍在继续调查另一宗规模更大的AT&T数据泄露事件。该事件于2023年7月曝光，黑客通过攻击第三方云平台Snowflake，窃取了几乎所有客户长达六个月的电话和短信记录。   转自安全内参，原文链接：https://www.secrss.com/articles/70402 封面来源于网络，如有侵权请联系删除

欧洲刑警组织和九个国家的执法部门成功捣毁了代号“Ghost”的加密通讯平台，该平台被用来作为开展各种犯罪活动的工具，包括大规模贩毒、洗钱、极端暴力事件和其他形式的严重有组织犯罪。 Ghost 应用程序具有先进的安全和匿名化功能，允许使用加密货币购买订阅，具有三层加密功能以及可从发送者和收件人的设备中删除证据的消息自毁系统。 全球有数千人每天使用 Ghost 平台交换大约 1,000 条消息，同时广泛的全球经销商网络向潜在客户推广该平台。 Ghost 应用程序通过广泛的经销商网络在犯罪生态系统中推广。经过修改的智能手机售价约为 2,350 美元，其中包括六个月的加密网络订阅和技术支持。 对该平台的调查由欧洲刑警组织行动工作组 (OTF) 牵头，于 2022 年 3 月开始，参与调查的特工来自美国、加拿大、法国、意大利、爱尔兰、澳大利亚、瑞典和荷兰。 此次行动导致发现了 Ghost 位于法国和冰岛的服务器、位于澳大利亚的平台所有者以及与该平台相关的位于美国的资产。 通过审查证据，当局能够在不同国家组织协同突袭，总共逮捕 51人，其中澳大利亚 38 人、爱尔兰 11 人、加拿大 1 人、意大利 1 人。 参与此次行动的澳大利亚警方在四个州的突袭行动中逮捕了 38 名嫌疑人，加拿大、瑞典、爱尔兰和意大利也逮捕了多名嫌疑人。 这些嫌疑人包括各种有组织犯罪集团的成员，他们涉嫌使用 Ghost 应用程序进行贩毒和杀人等犯罪活动。自 3 月以来，警方干预了 50 起潜在暴力案件，监控了 12.5 万条信息和 120 通视频通话。 澳大利亚联邦警察透露，警方能够破坏该应用程序使用的更新机制，并推出受污染的更新来危害客户的设备。 “管理员定期发布软件更新，就像普通手机所需的更新一样。但澳大利亚联邦警察能够修改这些更新，从而感染设备，使澳大利亚联邦警察能够访问澳大利亚设备上的内容。”澳大利亚联邦警察发布的新闻稿写道。 大多数使用 Ghost 的犯罪嫌疑人都在新南威尔士州，不过维多利亚州、西澳大利亚州、南澳大利亚州和澳大利亚首都领地也有 Ghost 用户。 主要经营者面临五项指控和可能的处罚，最高可判处 26 年监禁。 欧洲刑警组织执行主任凯瑟琳·德博勒评论道：“今天我们已经明确表示，无论犯罪网络认为自己有多么隐蔽，他们都无法逃脱我们的共同努力。” “9 个国家的执法部门与欧洲刑警组织携手，捣毁了一条严重有组织犯罪的生命线。” 除了逮捕之外，当局还捣毁了一个毒品实验室并缴获了武器、非法物质以及超过 100 万欧元（110 万美元）的现金。 查获的Ghost 手机 欧洲刑警组织表示，由于调查的复杂性，不得不在冰岛、爱尔兰和澳大利亚部署网络专家执行高度专业化的技术任务。 该机构还强调，诸如拆除 Ghost 以及之前的Sky ECC、EncroChat和Exlu等行动导致加密通信领域出现碎片化，这使得调查和犯罪追踪变得更具挑战性。 欧洲刑警组织在新闻稿中解释道：“作为回应，犯罪分子现在转向各种不太成熟或定制的通信工具，这些工具提供不同程度的安全性和匿名性。” “这一策略有助于这些行为者避免在单一平台上暴露他们的整个犯罪行动和网络，从而降低被拦截的风险。” 欧洲刑警组织最近呼吁对加密采取平衡的方法，主张采取措施确保隐私，同时不损害刑事调查中合法获取的数据。 该机构借此机会提醒私营公司，当刑事调查需要时，有责任提供合法的数据访问权。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/ls4lZa8niqVFyqNA6CPxjA 封面来源于网络，如有侵权请联系删除

伊朗情报和安全部（MOIS）下属的网络行动已成为该国黑客的复杂初始访问代理，为中东各地电信和政府组织的系统提供持续入口。 谷歌旗下的 Mandiant 公司周四发布了一份关于命名为 UNC1860 网络活动的报告。研究人员称，与该部门有关联的黑客开发了一系列令人印象深刻的专用工具和被动后门，这些工具和后门将继续协助伊朗的其他黑客行动。 Mandiant 解释说：“据报道，这些组织为针对以色列的破坏性和破坏性行动提供了初步途径，这些行动于 2023 年 10 月下旬使用 BABYWIPER 针对以色列，于 2022 年使用 ROADSWEEP 针对阿尔巴尼亚。” Mandiant 指出，虽然他们无法独立确认 UNC1860 是否参与了这两次行动，但他们发现了“可能旨在促进交接操作”的工具。 Mandiant 表示，UNC1860 的一个关键特性包括“维护这一系列多样化的被动/监听式设施，以支持该组织的初始访问和横向移动目标。” 这些工具旨在逃避反病毒软件的监控并提供系统的秘密访问，以用于各种目的。 Mandiant 称 UNC1860 是一个“强大的APT组织”，可能支持“从间谍活动到网络攻击行动等各种目标”。 该安全公司发现 UNC1860 的工具被其他与 MOIS 有关联的黑客组织使用的证据，例如APT34——一个著名的伊朗威胁组织，负责入侵约旦、以色列、沙特阿拉伯等国的政府系统。上周，研究人员发现了一项针对伊拉克政府官员的广泛 APT34 行动。 Mandiant 表示，该公司于 2020 年受聘应对 UNC1860 使用未具名受害者的网络扫描 IP 地址并暴露漏洞的事件，这些漏洞主要位于沙特阿拉伯。该公司还发现 UNC1860 对卡塔尔域名感兴趣的证据。 该公司补充说，2024 年 3 月针对以色列组织的擦除恶意软件活动中使用的工具也可能归因于 UNC1860。 Mandiant 表示：“在取得初步立足点后，该组织通常会部署额外的实用程序和一套选择性的被动植入物，这些植入物的设计比普通的后门更为隐蔽。” 其他公司过去也曾重点关注 UNC1860 的工具，其中包括思科、Check Point和Fortinet。 随着伊朗黑客组织网络行动变得越来越明目张胆，其受到安全研究人员和政府机构的越来越大的关注。 Mandiant 表示：“随着中东紧张局势持续起伏，我们认为，该攻击者在获取目标环境初始访问权方面的娴熟技能，对伊朗网络生态系统而言是一笔宝贵的资产，可随着需求的变化而用于应对不断变化的目标。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/IQKFQhb3RDBENKYQI62Qmw 封面来源于网络，如有侵权请联系删除

近日安全研究人员发现从游戏机到总统大选投标机的海量设备仍然使用不安全的测试密钥，容易受到UEFI bootkit恶意软件的攻击。 安全启动不安全 在近期的安全研究中，一项涉及设备制造行业安全启动（Secure Boot）保护机制的供应链失败问题引发了广泛关注。此次事件波及的设备型号范围远比之前已知的要广泛得多，受影响的设备涵盖了ATM机、POS机、甚至投票机等多个领域。 这一问题源自于过去十年间，数百种设备型号中使用了非生产环境的测试平台密钥，这些密钥在其根证书中标注了“DO NOT TRUST”（请勿信任）等警示语，此类密钥原本应仅用于测试环境，但设备制造商却将其应用于生产系统。 平台密钥作为加密的“信任根”锚定了硬件设备与其运行的固件之间的信任关系，确保安全启动机制正常运行。然而，由于大量用于测试安全启动主密钥的私钥被泄漏，极大地削弱了这一安全机制的有效性。研究发现，2022年甚至有人将一部分私钥在GitHub上公开发布。这些信息为攻击者提供了必要条件，能够通过植入“根工具包”（Rootkits）等恶意软件，破坏设备的UEFI（统一可扩展固件接口）安全启动保护。 500多种设备存在隐患 此次供应链安全事件被Binarly命名为“PKfail”（CVE-2024-8105），意指平台密钥（Platform Key）失效。此次失败展示了供应链复杂性已超出用户当前的风险管理能力，特别是在涉及第三方供应商时。不过，研究人员指出，这一风险完全可以通过“安全设计理念”进行规避和缓解。 根据Binarly的最新报告，受此问题影响的设备型号远超此前的认知。Binarly的研究工具在过去几个月中收集到了10095个固件样本，其中791个（约占8%）包含了非生产密钥。 受PKfail影响的固件数量 最初，Binarly识别出了大约513种设备型号使用了测试密钥，目前一数字已增长至972种。此外，最早报告的215个受影响型号中，有490个型号使用了在GitHub上公开的密钥。研究人员还发现了四个新的测试密钥，使得总数达到了约20个。 此前发现的密钥均来自AMI，这是一家为设备制造商提供UEFI固件开发工具包的主要供应商之一。自7月以来，Binarly还发现了AMI的其他两大竞争对手Insyde和Phoenix的密钥同样存在问题。 更多的受影响设备还包括： Hardkernel的odroid-h2、odroid-h3和odroid-h4 Beelink Mini 12 Pro Minisforum HX99G Binarly进一步指出，受影响的设备不仅限于桌面电脑和笔记本电脑，还包括大量医疗设备、游戏机、企业级服务器、ATM机、销售终端设备，甚至包括投票机！由于目前尚无修复方案，研究人员基于保密协议未披露具体的设备型号。Binarly发布了“PKfail扫描仪”，供应商可以自行上传固件映像查看是否使用了测试密钥。 此次事件表明，安全启动作为一种设备预启动阶段的加密保护机制，尽管被广泛应用于政府承包商和企业环境中，但其安全性依然存在隐患，其供应链管理中存在重大漏洞。   转自安全内参，原文链接：https://www.secrss.com/articles/70379 封面来源于网络，如有侵权请联系删除