HackerNews

图片来源：SOLEES TIME VIA UNSPLASH 10月11日，日本电子产品制造商卡西欧公司证实，先前宣布的网络事件确为一起勒索软件攻击。此次攻击可能暴露了员工、客户、业务合作伙伴和附属公司的信息。 卡西欧在一份更新的声明中称，10 月 5 日的攻击涉及 “受到第三方勒索软件攻击破坏 ”的服务器。   勒索软件攻击导致多个系统无法使用，调查显示黑客已经获得了受影响服务器上的数据。随后，该公司关闭了服务器，并聘请外部安全公司协助应对。 10 月 6 日，卡西欧公司向日本警方通报了这一事件，10 月 7 日还联系了日本个人信息保护委员会。   截至10月11日，卡西欧公司表示，它认为临时员工和合同工的个人信息已经泄露。附属公司员工的个人信息也被泄露，同时被泄露的还有业务合作伙伴、过去曾参加过公司面试的人员以及 “使用公司和部分附属公司提供的服务 ”的部分客户数据。 卡西欧公司没有公开每一组所泄露的具体数据，但表示不包括客户的信用卡信息。 声明还补充说，所有业务合作伙伴以及卡西欧附属公司有关的合同、发票和销售信息也在攻击中泄露。 黑客可能已经访问了内部法律文件以及人力资源规划、审计、销售、技术信息等方面的数据。 卡西欧提醒到：“请注意，您的个人信息有可能被滥用于向您发送陌生的电子邮件，如钓鱼邮件或垃圾邮件。如果您收到任何可疑邮件，请不要打开并立即删除。 ”  该公司强调不要通过社交媒体传播被盗信息，因为这 “可能会增加因本案信息泄露造成的损失，侵犯受影响者的隐私，对他们的生活和业务造成严重影响，并助长犯罪”。 随后，“地下 ”勒索软件团伙宣称是他们发动了这次攻击。黑客称，他们从该公司窃取了 204.9 GB 的数据，并提供了被窃取数据的样本作为证明。 研究人员称，该组织于 2023 年 7 月首次出现，一些专家解释说，它似乎与总部设在俄罗斯的 RomCom 网络犯罪组织有联系。 Fortinet 指出，该组织已经列出了 16 名受害者，其中大部分位于美国和欧洲。微软去年发布了一份报告，概述了 RomCom 的行动，称其： “会伺机开展勒索软件和勒索行动，以及实施有针对性的凭证收集活动，而这一切的目的很可能是为了支持情报行动”。 RomCom 组织还部署了地下勒索软件，它与 2022 年 5 月首次在野外观察到的工业间谍勒索软件密切相关。 已查明的勒索软件攻击影响了电信和金融等行业。 微软补充说：“他们发现了这与 “工业间谍 ”勒索软件的 “大量代码重叠”，他们认为这意味着 “地下 ”是同一行动的重塑。” 消息来源：The Record，译者：XX；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据报道，名为OilRig 的伊朗威胁行为体在针对阿联酋甚至更广泛海湾地区的网络间谍活动中，利用了Windows 的内核缺陷。 趋势科技研究人员 Mohamed Fahmy、Bahaa Yamany、Ahmed Kamal 和 Nick Dai 在周五发布的一份分析报告中指出：“该组织采用了复杂的策略，包括部署后门，利用微软 Exchange 服务器窃取凭证，以及利用 CVE-2024-30088 等漏洞进行权限升级。” 该网络安全公司正在追踪这个名为 Earth Simnavaz 的威胁行为者，它还被称为 APT34、Crambus、Cobalt Gypsy、GreenBug、Hazel Sandstorm（前身为 EUROPIUM）和 Helix Kitten。 该攻击链需要部署一种从未有过记录的植入程序，它具有通过本地微软 Exchange服务器泄露凭据的功能，这是对手过去采用的一种屡试不爽的战术，同时还将最近披露的漏洞纳入其漏洞库。 微软于 2024 年 6 月修补了 CVE-2024-30088，该漏洞涉及 Windows 内核中的权限升级问题，假定攻击者能够赢得竞赛条件，则可利用该漏洞获得 SYSTEM 权限。 最初进入目标网络的方式是通过渗透一个易受攻击的网络服务器，先丢弃一个网络外壳，而后丢弃ngrok远程管理工具，以保持持久性并转移到网络中的其他端点。 这个权限升级漏洞随后被用作传递代号为 “STEALHOOK ”的后门通道，该后门负责通过Exchange服务器以附件的形式，将收集的数据传输到攻击者控制的电子邮件地址。 OilRig 在最新一组攻击中使用了一种值得注意的技术，即利用提升的权限来丢弃密码的过滤策略 DLL (psgfilter.dll)，以便通过域控制器或本地计算机上的本地账户从域用户那里提取敏感凭证。 研究人员表示：“恶意行为者在实施密码过滤器导出功能时，非常小心地处理明文密码。”威胁者还利用明文密码远程访问和部署工具。明文密码在通过网络发送时首先被加密，然后才被外泄。 值得注意的是，早在 2022 年 12 月就有人发现 psgfilter.dll 的使用，与针对中东地区组织的活动中一个名为 MrPerfectionManager 的后门有关。 研究人员指出，他们最近的活动表明：“地球Simnavaz专注于政治敏感地区关键基础设施的脆弱性。他们还寻求在被入侵的实体中建立持久的立足点，这样这些实体就可以被武器化，对其他目标发动攻击。”   消息来源：The Hacker News，译者：XX；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

施耐德电气就其 Harmony 工业 PC 系列和 Pro-face PS5000 传统工业 PC 系列的系统监控应用程序中的一个关键漏洞发布了安全通报。 该漏洞被跟踪为 CVE-2024-8884，CVSS v3.1 得分为 9.8，因此是一个严重威胁，如果不打补丁，可能会暴露敏感信息和潜在的运行故障。 该漏洞存在于这些工业 PC 中使用的系统监视器应用程序中，这些工业 PC 以轻薄耐用的设计著称，为工业环境提供灵活的连接。该关键漏洞是由于敏感信息通过不安全的 HTTP 连接暴露给了未经授权的行为者。具体来说，如果攻击者能通过网络与应用程序进行交互，就能获取凭证。 这一漏洞使企业面临拒绝服务（DoS）攻击、敏感数据泄漏和潜在完整性问题的重大风险，最终可能导致关键工业环境中的运行故障。 CVE-2024-8884 漏洞影响以下产品中所有版本的系统监视器应用程序： Harmony 工业 PC 系列：HMIBMO/HMIBMI/HMIPSO/HMIBMP/HMIBMU/HMIPSP/HMIPEP； Pro-face PS5000 传统工业 PC 系列。 这两个产品系列在工业环境中被广泛用于监控和管理生产系统，因此对于依赖施耐德电气解决方案来确保其设施无缝运行的公司来说，这一威胁尤其令人担忧。 施耐德电气为受此漏洞影响的客户提供了详细的修复策略。建议的解决方案是卸载系统监控应用程序。 施耐德电气还强烈建议客户遵循行业最佳实践，包括在测试和开发环境或离线基础架构中测试卸载过程，以避免对生产造成意外干扰。     转自安全客，原文链接：https://www.anquanke.com/post/id/300810 封面来源于网络，如有侵权请联系删除

Palo Alto Networks 发现了一种名为 “Lynx ”的新型勒索软件威胁行为体，它正积极瞄准美国和英国各行各业的组织。不过，这种新的恶意软件并不是全新的，事实上，它是 2023 年 8 月出现的 INC 勒索软件家族的改版。 自出现以来，Lynx勒索软件已经掀起了波澜，其攻击目标涉及零售、房地产、建筑和金融服务等多个领域。该变种以 “勒索软件即服务”（RaaS）的方式运行，因此其他网络犯罪分子也可以在其攻击中部署该变种。 Lynx 勒索软件背后的恶意行为者采用了复杂的技术，包括双重勒索策略，即在加密受害者数据之前先将其流出。如果不支付赎金，被盗数据可能会泄露或在暗网上出售。 Lynx 勒索软件的血统可以直接追溯到 INC 勒索软件，估计有 48% 的代码与之共享。使用开源工具 BinDiff 对这两种恶意软件进行比较，证实了两者的相似性。Palo Alto Networks 发现，许多核心功能（约 70.8%）被重复使用，这表明 Lynx 开发人员严重依赖 INC 的代码库。 BinDiff 显示的 INC 和 Lynx 勒索软件代码相似性 | 图片： Palo Alto Networks 这种对已有勒索软件代码的依赖在网络犯罪领域并不罕见。正如报告所指出的，“通过利用已有代码，并在其他成功勒索软件打下的基础上继续发展，威胁行为者可以节省时间和资源，从而更快、更有效地发起攻击。这种代码的重复使用导致了勒索软件家族的迅速扩散，随着地下市场上源代码的增多，这种趋势很可能会继续下去。” Lynx 勒索软件最危险的一点是它实施双重勒索。受害者不仅要面对被加密的文件，还要面临敏感数据被暴露的风险。Lynx 背后的组织声称已经入侵了许多公司，并将窃取的数据显示在公共网站上。虽然他们声称自己避开政府机构、医院和非营利组织，但他们的攻击仍对许多行业构成重大威胁。 Palo Alto Networks 强调了 Lynx 勒索软件的广泛部署途径，包括网络钓鱼电子邮件、恶意下载和黑客论坛上的资源共享。因此，企业在防御这些多方面威胁时必须保持警惕。 对Lynx勒索软件的技术分析表明，它使用了先进的加密算法，包括CTR模式下的AES-128和Curve25519 Donna，这使得它在不支付赎金的情况下解密异常困难。该勒索软件专门针对 Windows 系统，据观察，它使用重启管理器 API (RstrtMgr) 来提高加密效率，Conti 和 Cactus 等其他臭名昭著的勒索软件家族也使用了这种技术。 此外，Lynx勒索软件在设计时考虑到了灵活性，允许攻击者通过各种命令行参数自定义执行方式。这样，攻击者就能根据自己的具体需求定制攻击，无论是加密特定目录、网络驱动器还是服务。 恶意软件中的命令行选项 | 图片： Palo Alto Networks Lynx 勒索软件的出现凸显了网络威胁不断演变的本质。企业需要保持警惕并积极采取网络安全措施，以降低此类威胁带来的风险。     转自安全客，原文链接：https://www.anquanke.com/post/id/300789 封面来源于网络，如有侵权请联系删除

Mozilla 为其 Firefox 浏览器发布了一个紧急安全更新，以解决一个目前在野外被利用的关键漏洞。该漏洞被追踪为 CVE-2024-9680，CVSS 得分为 9.8，允许攻击者在用户系统上执行任意代码。 图片来源：安全客 “东部时间周二上午 8 点左右，我们收到反病毒公司 ESET 的警告，他们提醒我们在野外发现了一个 Firefox 漏洞。”Mozilla 在一份安全公告中说。“我们要衷心感谢 ESET 与我们分享他们的发现，正是这样的合作让网络对每个人来说都更加安全。” 该漏洞存在于动画时间轴组件中，它是 Firefox Web Animations API 中的一个机制，用于控制和同步网页上的动画。更具体地说，它是一个 “释放后使用”（use-after-free）漏洞，这是一种内存损坏漏洞，当程序释放内存位置后继续使用该位置时就会出现这种漏洞。这样，攻击者就可以注入恶意代码并控制受影响的系统。 Mozilla 解释说：“ESET 发送给我们的样本包含一个完整的漏洞利用链，允许在用户计算机上远程执行代码。在收到样本的一个小时内，我们就召集了一个由安全、浏览器、编译器和平台工程师组成的团队，对该漏洞进行逆向工程，迫使它触发有效载荷，并了解它是如何工作的。” 尽管没有提前通知，而且漏洞利用非常复杂，但 Mozilla 还是在短短 25 小时内开发并发布了修复程序。这种快速反应凸显了漏洞的严重性，以及立即更新到最新版本火狐浏览器的重要性。 修补版本包括： Firefox 131.0.2、Firefox ESR 128.3.1、Firefox ESR 115.16.1、Thunderbird 115.16、Thunderbird 128.3.1 和 Thunderbird 131.0.1。 令人担忧的是，Mozilla 已确认该漏洞正被积极利用来攻击 Tor 浏览器用户。不过，有关这些攻击的性质和攻击者身份的详细信息仍然很少。     转自安全客，原文链接：https://www.anquanke.com/post/id/300781 封面来源于网络，如有侵权请联系删除

比特币协议的流行替代实施方案 btcd 中的一个关键漏洞可能会让恶意行为者以最小的代价创建比特币区块链的硬分叉。 该漏洞被追踪为 CVE-2024-38365，CVSS 得分为 7.4，源于 btcd 验证传统比特币交易签名的方式中的一个错误。该缺陷于 2014 年引入，偏离了原始比特币代码库中定义的共识规则，可能导致创建的有效交易被易受攻击的 btcd 节点拒绝。 问题出在 btcd 对 removeOpcodeByData 函数的实现上，该函数负责在签名验证过程中重建签名信息。与比特币核心中的FindAndDelete函数不同，removeOpcodeByData只从脚本中删除与签名完全匹配的数据，而removeOpcodeByData则删除任何包含签名的数据推送，甚至包括额外的填充数据。 这种差异允许攻击者制作特殊脚本来利用这种行为。通过在数据推送中嵌入签名和额外数据，他们可以创建在比特币核心节点看来有效的交易，但却被易受攻击的 btcd 节点拒绝。 这个漏洞的影响非常大，因为攻击者可以利用它迫使易受攻击的 Btcd 节点进入分叉链，从而导致网络不稳定和交易处理问题。 “攻击者可以创建一个标准交易，其中 FindAndDelete 不会返回匹配结果，但 removeOpCodeByData 却会返回匹配结果，从而使 btcd 获得不同的 sighash，导致链分裂。重要的是，任何比特币用户都可以远程利用这个漏洞，而且不需要任何哈希能力。” CVE-2024-38365 漏洞由研究人员 Niklas 和 Antoine 发现并报告。btcd 开发团队已在 0.24.2 版本中解决了该问题。我们强烈建议所有用户将他们的 btcd 节点更新到最新版本，以防止潜在的漏洞利用。     转自安全客，原文链接：https://www.anquanke.com/post/id/300807 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局 (CISA) 在其已知漏洞目录中增加了 Windows 和高通漏洞。 美国网络安全和基础设施安全局 (CISA) 在其已知漏洞目录 (KEV) 中增加了以下漏洞： CVE-2024-43047 高通多个芯片组使用后免费漏洞 CVE-2024-43572 Microsoft Windows 管理控制台远程代码执行漏洞 CVE-2024-43573 Microsoft Windows MSHTML 平台欺骗漏洞 高通公司本周解决了其产品中的 20 个漏洞，其中包括一个潜在的零日问题，该问题被追踪为 CVE-2024-43047（CVSS 得分 7.8）。该漏洞源于一个可导致内存损坏的 “使用后免费”（use-after-free）错误。 该零日漏洞存在于数字信号处理器（DSP）服务中，影响数十种芯片组。 “目前，DSP 使用未使用的 DMA 句柄 fds 更新头缓冲区。在 put_args 部分，如果头缓冲区中存在任何 DMA 句柄 FD，就会释放相应的映射。不过，由于头缓冲区是以无符号 PD 的形式暴露给用户的，因此用户可以更新无效的 FD。如果该无效 FD 与任何已在使用的 FD 相匹配，则可能导致免费使用（UAF）漏洞。作为解决方案，为 DMA FD 添加 DMA 句柄引用，只有在找到引用时才释放 FD 的映射。” 谷歌零项目的网络安全研究人员塞斯-詹金斯（Seth Jenkins）和国际特赦组织安全实验室的王聪慧（Conghui Wang）报告了这一漏洞。詹金斯希望建议尽快解决安卓设备上的这一问题。 谷歌威胁分析小组称，CVE-2024-43047 可能正受到有限的、有针对性的利用，Wang 也证实了野外活动。 研究人员还没有公布利用 CVE-2024-43047 的攻击细节，但报告机构以调查与商业间谍软件供应商有关的网络攻击而闻名。 关于CISA添加到KEV目录中的微软漏洞，IT巨头在2024年10月的补丁星期二安全更新中已经解决了这两个问题。 微软证实，这两个问题正在被恶意利用。 CVE-2024-43572 (CVSS score: 7.8) – 微软管理控制台远端执行程式码漏洞： 如果用户加载恶意的 MMC snap-in，Microsoft 管理控制台漏洞可能允许远程攻击者执行代码。虽然攻击需要社会工程学且可能有限，但管理员应立即应用更新以减轻潜在危害。 CVE-2024-43573（CVSS 得分：6.5）- Windows MSHTML 平台欺骗漏洞： 尽管该漏洞被评为中度，但它与 APT 组织 Void Banshee 以前使用的漏洞补丁相似。这种相似性表明原来的修补程序可能不够完善，因此建议及时测试和部署此更新。 根据约束性操作指令 (BOD) 22-01： FCEB 机构必须在规定日期前处理已发现的漏洞，以保护其网络免受利用目录中漏洞的攻击。 专家还建议私营机构审查目录并解决其基础设施中的漏洞。 CISA 命令联邦机构在 2024 年 10 月 29 日前修复该漏洞。     转自安全客，原文链接：https://www.anquanke.com/post/id/300813 封面来源于网络，如有侵权请联系删除

图片来源：FreeBuf 近日，GitLab 发布了社区版（CE）和企业版（EE）的安全更新，以解决八个安全漏洞，其中包括一个可能允许在任意分支上运行持续集成和持续交付（CI/CD）管道的关键漏洞。该漏洞被跟踪为 CVE-2024-9164，CVSS 得分为 9.6（满分 10 分），攻击者可以在某些情况下以任意用户身份触发Pipeline，可能导致权限提升或执行恶意操作 。 GitLab 在一份公告中说：“在 GitLab EE 中发现了一个漏洞，影响了从 12.5 开始到 17.2.9 之前的所有版本、从 17.3 开始到 17.3.5 之前的所有版本，以及从 17.4 开始到 17.4.2 之前的所有版本。” 目前，GitLab CE/EE 17.1.7，17.2.5，17.3.2及以上版本已修复该漏洞。 在其余七个问题中，四个被评为严重程度高，两个被评为严重程度中，一个被评为严重程度低： CVE-2024-8970（CVSS 得分：8.2），允许攻击者在某些情况下以其他用户身份触发管道 CVE-2024-8977（CVSS 得分：8.2），允许在配置并启用产品分析仪表板的 GitLab EE 实例中进行 SSRF 攻击 CVE-2024-9631 (CVSS score: 7.5)，可导致在查看有冲突的合并请求的差异时速度变慢 CVE-2024-6530 （CVSS 得分：7.3），由于跨站点脚本问题，当授权新应用程序时，会在 OAuth 页面中注入 HTML 近几个月来，GitLab 不断披露与管道相关的漏洞，该公告是其中的最新进展。 近期历史漏洞回顾 GitLab近期频繁披露与管道相关的漏洞，此次更新只是其中的一部分。 上个月，GitLab修复了另一个关键漏洞（CVE-2024-6678，CVSS得分：9.9），该漏洞允许攻击者以任意用户身份运行管道作业。 此前，GitLab还修补了其他三个类似的缺陷——CVE-2023-5009（CVSS得分：9.6）、CVE-2024-5655（CVSS得分：9.6）和CVE-2024-6385（CVSS得分：9.6）。 尽管目前没有证据表明这些漏洞已被主动利用，但GitLab强烈建议用户将其实例更新至最新版本，以确保系统安全并防范潜在威胁。定期更新和监控是保护关键基础设施免受攻击的重要措施。 GitLab的安全更新反映了当前软件安全环境的动态性，企业需保持警惕并及时响应安全公告，以维护其数字资产的安全。 参考来源：New Critical GitLab Vulnerability Could Allow Arbitrary CI/CD Pipeline Execution (thehackernews.com)     转自FreeBuf，原文链接：https://www.freebuf.com/news/412651.html 封面来源于网络，如有侵权请联系删除

由于早前的黑客攻击并泄露了数亿人的数据，美国最大的背景调查公司之一——美国国家公共数据公司（National Public Data，NPD）近日出于多方诉讼压力申请破产。 图片来源：FreeBuf 据悉，NPD 母公司 Jerico Pictures 已于 10 月 2 日向佛罗里达州南区法院申请了破产，该公司在破产申明中表示，2023年12月有黑客入侵了系统，相关数据于今年4月首次出现在Breached黑客犯罪市场中，并点名一位叫USDoD的黑客窃取了这些数据，称其在入侵其他机构（包括 FBI、空客等）方面也取得了巨大成功。 今年6月，以 USDoD 为名的黑客试图以 350 万美元的价格出售被盗数据，声称其中包含 29 亿条美国公民记录。一个多月后，名为Fenice 的黑客在非法市场 BreachForums 上免费发布了一个包含 27 亿条记录的数据库。 这些泄露的数据包括姓名、社会安全号码、电话号码、地址和出生日期。包括数据泄露专家 Troy Hunt 在内的几位网络安全专家已经证实，虽然数据库包含重复项，但大部分信息都是准确的。Hunt 估计，该数据库包括大约 8.99 亿个唯一的 SSN，可能包括部分已经去世的人的信息。 事发后，NPD表示已与执法部门和政府调查人员合作调查该事件，但此后一直没有提供最新情况，该公司也没有向受害者提供身份盗窃保护服务。 NPD破产申明中称公司已无法产生足够的收入来解决广泛的潜在负债，以及承担诉讼辩护和支持调查的费用。该公司表示，他们业务的很大一部分是为医疗机构服务，但这些机构禁止“有背景问题”的企业提供服务。 该公司还承认正面临多起集体诉讼，这些诉讼是由那些认为自己的信息在网络攻击期间被泄露的公民提起。 此外，来自 20 多个州的总检察长要求 NPD 支付违规行为的民事罚款，美国联邦贸易委员会也在审查这一事件。 参考来源： National Public Data files for bankruptcy, citing fallout from cyberattack After breach of billions of records, National Public Data files for bankruptcy     转自FreeBuf，原文链接：https://www.freebuf.com/news/412671.html 封面来源于网络，如有侵权请联系删除

10月12日，广东省教育厅发布声明： 近日，发现有不法分子入侵我厅短信平台，以“广东省教育厅”名义向师生和家长发送包含非法链接的短信。我厅已第一时间向公安机关报案，并配合开展调查。请广大师生和家长提高警惕，切勿点击短信中的非法链接，避免个人信息泄露或遭受财产损失。 此前，社交媒体上有用户表示，收到一条来自“广东省教育厅”的短信，写着“成人电影”。 文章来源：综合正观新闻、南方都市报 转自安全内参，原文链接：https://www.secrss.com/articles/71121 封面来源于网络，如有侵权请联系删除

由于2014年至2020年期间发生的多起重大数据泄露事件，影响了全球超过3.44亿人，10月9日，万豪同意支付5200万美元（约合人民币3.67亿元）罚款，并制定一项全面的信息安全计划。 达成用户赔偿和安全改进的和解协议 这是当日宣布的两项和解协议之一。第一项是万豪与美国49个州总检察长及华盛顿特区组成的联盟之间达成的和解协议。这一联盟在网络入侵者窃取了包括部分财务信息在内的敏感客户信息后发起调查。该笔5200万美元赔偿将分配给所有50位联盟成员。 第二项是万豪与美国联邦贸易委员会（FTC）达成的和解协议，要求万豪国际及其子公司喜达屋酒店及度假酒店国际集团（下称“喜达屋”）在未来20年内实施更严格的网络安全措施，并向FTC证明其合规情况。此外，万豪还需为客户提供便捷的方式，允许他们请求删除酒店已收集的个人信息。 正如惯例，依据酒店官网和两项协议声明，万豪在同意和解的同时，并未承认任何与相关指控有关的责任。 声明还指出：“作为与FTC和州总检察长达成解决方案的一部分，万豪将继续强化其数据隐私和信息安全计划，许多措施已经在实施或正在推进中。” 声明补充道：“例如，万豪为美国客户提供了请求删除个人信息的流程，并为万豪旅享家（Marriott Bonvoy）会员开设了在线门户，允许他们报告可能存在的可疑账号活动。此外，万豪还为旅享家账号引入了多因素身份验证功能。” 万豪数年内发生多起重大数据泄露事件 这两项调查的源头是2014年至2020年间发生的一系列网络入侵事件，这些事件涉及管理着全球超过7000家酒店万豪以及其在2016年收购的喜达屋集团。 根据FTC起诉书，首次数据泄露事件涉及超过4万名喜达屋客户的支付卡信息。 在万豪宣布收购喜达屋的四天后，喜达屋通知客户，数据窃贼自2014年6月起在其网络中潜伏了14个月，期间窃取了客户姓名和卡号，直到系统将其驱逐。 第二次数据泄露始于2014年7月，并持续了四年多，直到2018年9月才被发现。此次入侵涉及超过3.39亿条喜达屋客户记录的泄露，其中包括525万份未加密的护照号码。 第三次数据泄露发生于2018年9月，影响了万豪网络，且耗时近两年，直到2020年2月才被察觉。入侵者在此期间窃取了180万美国人的姓名、实际地址和电子邮件地址、电话号码、出生月份和日期，以及忠诚会员账号信息。 万豪内部安全控制极为薄弱，将实施改进计划 起诉书指出，所有这些数据泄露事件的发生源于万豪和喜达屋极为薄弱的安全措施，包括不当的密码管理和访问控制、缺乏有效的网络分段和软件补丁程序，以及多因素身份验证未普及，日志和网络监控也十分不足。 为了了结这些指控，万豪同意向前述美国各州和首都华盛顿支付5200万美元赔偿。但是，该公司一如既往地否认有任何过失。为便于理解这一金额大小，万豪这一全球酒店巨头在2023年的收入约为237.1亿美元，因此5200万美元对它来说几乎无关痛痒。 此外，万豪还同意实施一系列措施，旨在提高其数据安全性，并尽可能减少客户信息的收集。这些措施包括仅保留为实现特定信息收集目的所必需的个人信息。 根据协议，万豪还需提供一个链接，供客户请求删除与其电子邮件或忠诚奖励计划账号相关的任何个人信息。 此外，万豪和喜达屋还必须根据协议建立一个信息安全计划，每两年由独立的第三方评估，该计划包括多因素身份验证、网络分段和数据加密等措施。 最后，两家公司还需为消费者提供一种方式，允许他们审查其万豪旅享家忠诚会员账号中的任何未经授权的活动。万豪还承诺恢复任何被网络犯罪分子盗取的忠诚会员积分。 参考资料：https://www.theregister.com/2024/10/09/marriott_settlements_data_breaches/     转自安全内参，原文链接：https://www.secrss.com/articles/71101 封面来源于网络，如有侵权请联系删除

图片来源：Cybernews 据悉，远程招聘平台Snaphunt已经泄露了20多万份工作简历。此次泄露全方位暴露了求职者的个人数据，使其面临身份被盗等高危风险。 8月5日，Cybernews研究团队发现了一个配置错误的亚马逊AWS S3存储桶。储存桶中包含超过28万个数据文件，其中就有2018年至2023年的求职者简历。 简历泄露归因于新加坡的招聘平台Snaphunt总部，该平台在全球范围内运营，为亚洲、欧洲和中东在内的各个地区的客户和求职者提供服务。 该平台主要通过人工智能和数据驱动工具实现雇主与求职者的联系，根据候选人的技能、经验和偏好将他们与各个工作机会进行匹配。 泄露的简历中包含了大量私人信息，任何人都可以自由地查看访问，使求职者们面临着严重的信息安全威胁。 泄露的文件数量。来源：Cybernews 哪些数据被泄露了？ 姓名 电话号码 电子邮件地址 出生日期 国籍和出生地 社交媒体链接 就业经历和教育背景 互联网犯罪分子很可能会使用此类高度敏感的信息进行身份盗窃，其中个人信息很可能被用于创建虚假身份或欺诈性帐户。 简历中所涉及的广泛背景信息，很容易使求职者遭受复杂的鱼叉式网络钓鱼的攻击。犯罪分子可以利用泄漏的信息冒充合法组织或个人，使犯罪分子在未经授权的情况下，即可访问金融账户、凭证或其他敏感数据。 泄露的简历。来源：Cybernews 一位Cybernews研究员解释说：“社会工程攻击的可能性很高，因为攻击者可以冒充虚假招聘机构或者是利用泄露的数据渗透到专业网络，传播恶意软件亦或是提取进一步的机密信息。” Cybernews联系了该公司，强调对此后私人数据的访问保障，但尚未收到官方回复。     消息来源：Cybernews，译者：XX；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Progress 软件公司发布了一份重要的安全公告，针对其功能强大的 Telerik Report Server 中新发现的四个漏洞。Telerik Report Server 是一种广泛用于将报表功能嵌入 Web、桌面和云应用程序的工具。这些漏洞从凭据填充和暴力攻击到关键代码执行缺陷，给使用该工具的企业带来了严重风险。 这些漏洞被识别为 CVE-2024-7292、CVE-2024-7293、CVE-2024-7294 和 CVE-2024-8015，影响 Telerik Report Server 2024 Q3 (10.2.24.924) 之前的版本。 这些漏洞可让攻击者： 执行凭证填充攻击—— 利用缺乏登录尝试限制 (CVE-2024-7292)； 对用户密码进行暴力破解攻击—— 由于密码要求较弱 (CVE-2024-7293)； 发起拒绝服务攻击—— 在没有速率限制的情况下针对匿名端点进行攻击(CVE-2024-7294)； 在服务器上执行任意代码—— 通过不安全的类型解析漏洞 (CVE-2024-8015)。 这些漏洞中最严重的 CVE-2024-8015 的 CVSS 得分为 9.1，攻击者可完全控制报告服务器。 Progress Software 已敦促所有用户立即将其 Report Server 部署更新到最新版本（10.2.24.924）。 对于无法立即更新至修补版本的用户，Progress Software建议采取以下缓解措施，以应对CVE-2024-8015： 将报告服务器的应用程序池用户更改为权限有限的用户。这将限制攻击者在成功利用该漏洞时可能造成的潜在破坏。 有关如何实施此缓解措施的详细说明，请参阅 Progress 知识库文章 “How To Change IIS User for Report Server”。     转自安全客，原文链接：https://www.anquanke.com/post/id/300739 封面来源于网络，如有侵权请联系删除

G DATA 安全实验室（G DATA Security Lab）最近发现了一个利用流行代码托管平台 Bitbucket 部署著名远程访问木马AsyncRAT （RAT）的复杂恶意软件活动。报告称，攻击者采用了多阶段攻击策略，利用 Bitbucket 托管和分发恶意有效载荷，同时躲避检测。 图片来源：安全客 恶意软件操作员使用多层 Base64 编码来混淆代码，掩盖攻击的真实性质。报告解释说：“在剥开这些层级后，我们能够揭开整个事件的来龙去脉，以及我们在分析 AsyncRAT 有效载荷传输时发现的关键入侵指标（IOC）。” Bitbucket 作为软件开发平台的合法声誉使其成为网络犯罪分子青睐的目标。 Bitbucket 资源库托管各种恶意有效载荷，包括 AsyncRAT。 Bitbucket 这个流行的代码托管平台来托管恶意有效载荷，为传播恶意软件提供了 “合法性 ”和 “可访问性”。 攻击开始于一封包含恶意 VBScript 文件的钓鱼邮件，该文件名为 “01 DEMANDA LABORAL.vbs”，可执行 PowerShell 命令。这个初始阶段通过多层字符串操作和 Base64 编码混淆和传递有效载荷。 报告指出：“VBScript 构建并执行 PowerShell 命令，有效地将攻击过渡到下一阶段。” 在第二阶段，PowerShell 脚本从 Bitbucket 资源库下载一个文件。这个名为 “dllhope.txt ”的文件是一个 Base64 编码的有效载荷，它被解码为一个 .NET 编译文件，从而揭示了 AsyncRAT 恶意软件的真实本质。 一旦成功发送，AsyncRAT 就能让攻击者完全远程控制受感染的系统。 G DATA 的分析证实：“AsyncRAT 为攻击者提供了对受感染机器的广泛控制，使他们能够执行各种恶意活动。这些活动包括远程桌面控制、文件管理、键盘记录、网络摄像头和麦克风访问以及执行任意命令。” 报告还强调了攻击者利用反虚拟化检查来避免在沙盒环境中被发现。 G DATA 表示：“如果标志参数包含‘4’，代码就会检查是否存在 VMware 或 VirtualBox 等虚拟化工具，从而避免分析。持续性是通过多种机制建立的，包括修改 Windows 注册表和创建启动快捷方式，确保恶意软件即使在系统重启后也能保持活跃。”     转自安全客，原文链接：https://www.anquanke.com/post/id/300743 封面来源于网络，如有侵权请联系删除

美国证券交易委员会（SEC）已与一家交易公司达成和解，该公司涉嫌在声称使用人工智能（AI）进行加密货币和其他资产的自动交易方面向投资者撒谎。 美国证券交易委员会（SEC）周四表示，投资公司 Rimar LLC 和 Rimar USA 的所有者兼首席执行官伊泰-利普兹（Itai Liptz）和 Rimar USA 董事会成员克利福德-博罗（Cliffard Boro）声称可以使用人工智能交易加密货币、股票、债券和其他投资，从而从 45 名投资者手中筹集了近 400 万美元。 但实际上，该公司并没有使用人工智能，美国证券交易委员会称，使用新兴技术的说法只是用来愚弄投资者的 “流行语”，该机构称之为 “人工智能洗盘”。 总部位于加利福尼亚州伯林格姆的 Rimar USA 同意和解指控，并支付总额 31 万美元的民事罚款，但不承认或否认监管机构的调查结果。 美国证券交易委员会资产管理部门联席主管安德鲁-迪恩（Andrew Dean）在周四的一份新闻稿中说：“利普兹通过他控制的实体，以多种捏造的事实，包括有关最新人工智能技术的流行语，引诱投资者和客户。” 诉讼还称，尽管 Rimar 声称拥有 “一个人工智能驱动的平台，用于交易股票和加密资产等产品”，但实际上它 “在集资时根本没有交易应用，也从未有过股票或加密资产交易平台”。 美国证券交易委员会表示，Liptz 同意支付总额为 213611 美元的罚没款和预审利息，支付 25 万美元的民事罚款，并被禁止投资公司和结社。同时，Boro 同意支付 60,000 美元的民事罚款，Rimar LLC 同意接受谴责。 华尔街监督机构美国证券交易委员会今年 1 月警告公众，一些 “不良行为者可能会使用朗朗上口的人工智能相关流行语 ”来欺骗潜在投资者。     转自安全客，原文链接：https://www.anquanke.com/post/id/300747 封面来源于网络，如有侵权请联系删除

经过多年的缺失，Coinbase 用户终于可以获得一项重大升级：向 Taproot 地址发送比特币的功能。 本周二，Coinbase 解决了这一空白，允许其数百万用户利用 Taproot 的隐私和节约成本功能，“创建访问更多链上目的地的途径”。 自 2021 年 11 月 Taproot 推出以来，Coinbase 用户一直无法充分利用该升级功能。 在此次更新之前，许多Coinbase用户报告称，在向Taproot地址发送比特币时遇到困难，导致延迟和交易失败。 通过新的整合，Coinbase 用户可以向 Taproot 地址发送比特币，加入 OKX、Binance 和 Kraken 等平台的行列。 作为自2017年SegWit以来最大的比特币升级，Taproot承诺加强隐私保护，但Coinbase用户多年来一直被抛在后面。 Taproot 由比特币核心开发者格雷戈里-麦克斯韦尔（Gregory Maxwell）提出，它使用施诺尔签名（Schnorr signatures），将复杂的交易压缩成更小、更高效的数据包。 这减少了存储在区块链上的信息量，提高了可扩展性，降低了交易费用。 通过 Taproot 升级，复杂的交易（如需要多个签名的交易）看起来就像标准的比特币转账。这就限制了公共区块链上暴露的数据量，使追踪交易变得更加困难。     转自安全客，原文链接：https://www.anquanke.com/post/id/300753 封面来源于网络，如有侵权请联系删除

据OpenAI本月最新发布的报告《Influence and cyber operations: an update》，伊朗黑客组织CyberAv3ngers利用人工智能模型ChatGPT策划针对工业控制系统（ICS）和可编程逻辑控制器（PLC）的网络攻击。 该组织与伊斯兰革命卫队（IRGC）有关，利用AI工具进行侦察、编码和漏洞研究，攻击以色列、美国和爱尔兰的关键基础设施，如供水系统和电网。美国国务院已确定六名参与攻击美国水务公司的伊朗黑客，并提供奖励。 CyberAv3ngers利用AI寻找默认密码和漏洞，编写bash和Python脚本，增强攻击能力。这表明网络战正转向利用AI制定全面网络攻击战略，对传统安全措施构成挑战，需采取新的防御措施。 OPENAI的结论认为，AI为防御者提供了强大的能力，以识别和分析可疑行为，缩短了分析步骤的时间。威胁行为者通常在活动中期使用AI模型，如在获取基本工具后和部署最终产品前。尽管威胁行为者不断尝试，但没有证据表明他们能通过AI创造新的恶意软件或建立病毒式受众。 事件缘起 伊朗与政府有关联的黑客迅速成为精通技术的工程师。起初只是协助侦察，但很快就升级为更为险恶的行为。伊朗伊斯兰革命卫队(IRGC)关联组织“CyberAv3ngers”一直在使用ChatGPT等人工智能模型，对工业控制系统(ICS)和可编程逻辑控制器(PLC)发起新一轮网络攻击。OpenAI的最新发现表明，随着这些攻击者不断突破网络战的界限，他们的活动反映出人工智能和民族国家黑客攻击日益融合的现象。 据OpenAI称，CyberAv3ngers使用人工智能工具来协助侦察、编码和漏洞研究。人工智能模型不仅仅是被动的信息来源。相反，该组织积极寻求有关调试脚本和收集已知ICS漏洞情报的指导。OPenAI的最新报告中列出了该组织向Chatgpt提问的类型，大致有如下17种情形。 目标明确：针对关键基础设施 据悉，CyberAv3ngers最近的行动集中在以色列、美国和爱尔兰的高价值目标上，利用开源工具来攻击水系统、电网和制造设施中的弱点。 2023年末，他们破坏了爱尔兰梅奥郡的供水服务，并入侵了宾夕法尼亚州阿利奎帕市供水局。美国国务院还确定了与该威胁组织有关的六名伊朗黑客，他们参与了针对美国水务公司的一系列网络攻击。该部门为任何提供有关这些黑客的信息的人提供了丰厚的奖励。 这些事件表明，威胁组织能够利用默认口令和PLC中的已知漏洞来利用安全性较差的工业网络。 CyberAv3ngers专门破坏关键基础设施，瞄准工业控制系统中的薄弱环节，工业控制系统通常管理水利、能源和制造业的关键业务。他们的行动对国家安全构成直接威胁，利用人工智能洞察力和传统攻击方法相结合。 使用LLM：用AI助力侦察和编写脚本 黑客对大型语言模型(LLM)的依赖反映了网络攻击者越来越倾向于自动化部分攻击生命周期。通过ChatGPT等 AI工具，CyberAv3ngers寻找各种工业设备的默认口令组合，探索约旦等地区使用的工业路由器，并改进用于探测网络漏洞的脚本。每个请求都代表着精心策划的努力，以增强他们执行ICS特定攻击的工具包。 OpenAI表示：“虽然之前关于该威胁行为者的公开报道主要集中在他们对ICS和PLC的目标上，但从这些提示中，我们能够识别出他们可能试图利用的其他技术和软件。” 例如，该组织利用人工智能协助编写bash和Python脚本、改进现有公开工具以及混淆恶意代码。通过利用这些功能，CyberAv3ngers增强了逃避检测的能力，并进一步扩大了针对工业网络的武器库。 AI驱动攻击：有限但危险 虽然CyberAv3ngers利用LLM来协助他们的侦察活动，但他们获取的信息并不具有开创性。他们获取的大部分知识都可以通过搜索引擎或公开的网络安全资源等传统方法找到。在这种情况下，人工智能的作用是渐进式的，帮助他们自动执行繁琐的任务，而不是提供全新的漏洞利用。 尽管如此，他们对人工智能的依赖也凸显了利用机器学习支持国家黑客攻击的潜在危险。即使是有限的增量收益，在针对关键基础设施部署时也会产生重大影响。 AI将为谁所用？ 使用人工智能工具入侵工业控制系统揭示了网络战的下一步，现在网络战似乎正在从信息战转向制定全面网络攻击的战略。像CyberAv3ngers这样的民族国家行为者正在利用人工智能来加快攻击准备，以以前无法想象的效率和规模探测工业系统。这一新兴趋势对传统安全措施提出了挑战，并要求安全专业人员（尤其是能源和水利等行业的安全专业人员）采取新的防御措施来抵御人工智能辅助攻击。 与攻击者主动积极利用AI/LLM相反的是，在工业领域AI的应用尚处于初级阶段。10月8日SANS发布的《2024 ICS/OT网络安全调查报告》显示，关键基础设施安全方面较2019年已取得很大起步，但仍存在重大差距。报告的关键发现中有一条，即有限的人工智能应用：人工智能在很大程度上仍处于实验阶段，由于缺乏用例和安全性/可靠性问题，很少有组织将其应用于ICS/OT。 随着人工智能模型变得越来越复杂，风险也随之增加。现在至关重要的是组织如何预测和缓解这些人工智能驱动的威胁。采取主动措施，例如加强密码、修复众所周知的漏洞以及持续监控 ICS 网络，可以帮助组织领先于攻击者。 在网络攻击可能破坏整个城市的供水或对电网造成严重破坏的时代，风险从未如此之高。安全专业人员需要将人工智能视为防御者的工具和攻击者的武器。 CyberAv3ngers最近的活动证明，人工智能虽然是一种强大的创新工具，但也为试图破坏关键基础设施的恶意行为者打开了新的大门。网络安全社区现在应该尽快关闭这些大门，以免为时已晚。 随着AI能力的全球进步，AI公司将继续与内部团队合作，预测恶意行为者如何使用高级模型，并规划相应的执法步骤，与行业同行和研究社区合作，以保持领先风险并加强集体安全。 参考资源： https://thecyberexpress.com/cyberav3ngers-use-chatgpt-to-plan-ics-attacks/ https://cdn.openai.com/threat-intelligence-reports/influence-and-cyber-operations-an-update_October-2024.pdf3 https://www.sans.org/press/announcements/2024-ics-ot-cybersecurity-survey-reveals-significant-progress-while-highlighting-that-major-gaps-remain-in-securing-critical-infrastructure/     转自FreeBuf，原文链接：https://www.freebuf.com/news/412521.html 封面来源于网络，如有侵权请联系删除

最近，卡巴斯基实验室的网络安全分析师发现，黑客一直在频繁利用 YouTube平台来传播复杂的恶意软件。通过劫持热门频道，黑客伪装成原始创作者发布恶意链接，对用户实施诈骗。 图片来源：FreeBuf 研究发现，攻击者曾在 2022 年实施了一项复杂的加密货币挖掘活动，目标主要针对俄罗斯用户。攻击者使用多种攻击媒介（包括被劫持的 YouTube 账户 ）来分发伪装成如uTorrent、Microsoft Office和Minecraft等流行应用的恶意文件。 感染链始于 “受密码保护的 MSI 文件”，其中包含触发多阶段攻击序列的 VBScript，包括利用隐藏在合法数字签名 DLL 中的 AutoIt 脚本，将权限升级到 SYSTEM 级。 这是一种在隐藏 “恶意代码 “的同时保持签名有效性的技术。 该恶意软件通过 WMI 事件过滤器、注册表修改（特别针对 图像文件执行选项、调试器和MonitorProcess 键）以及滥用开源Wazuh SIEM 代理进行远程访问等多种机制建立了持久性。 此外，攻击者采用了复杂的防御规避技术（通 explorer.exe进程镂空、反调试检查和使用基于特殊 GUID 的目录名操纵文件系统）来隐藏恶意组件。 卡巴斯基表示，最终有效载荷部署为SilentCryptoMiner，用于挖掘Monero和Zephyr等注重隐私的加密货币，同时实施基于进程的隐身机制以逃避检测。 该恶意软件还收集系统遥测数据（包括CPU 规格、GPU 详细信息、操作系统版本和防病毒信息）并通过 Telegram 机器人 API 进行传输，其中一些变体包括剪贴板劫持功能，特别针对加密货币钱包地址。 除了针对俄罗斯用户，这一恶意活动还针对来自白俄罗斯、印度、乌兹别克斯坦、哈萨克斯坦、德国、阿尔及利亚、捷克、莫桑比克和土耳其的用户。由于这些用户经常自愿禁用 AV 工具的保护和安全措施来安装非官方软件，因此特别容易受到攻击。 这种攻击的复杂性体现在其模块化结构上，即可以根攻击者的目标动态加载不同的有效载荷组件，表明大规模活动可通过先进的混淆方法和反分析功能，在保持隐蔽性的同时融入复杂的企业级攻击技术。 参考来源：Hackers Using YouTube Videos To Deliver Sophisticated Malware     转自FreeBuf，原文链接：https://www.freebuf.com/news/412529.html 封面来源于网络，如有侵权请联系删除

图片来源：FreeBuf 勒索软件团伙现在利用一个关键的安全漏洞，让攻击者在易受攻击的 Veeam Backup & Replication (VBR) 服务器上获得远程代码执行 (RCE)。 Code White安全研究员Florian Hauser发现，该安全漏洞（现在被追踪为CVE-2024-40711）是由未受信任数据的反序列化弱点引起的，未经认证的威胁行为者可以利用该漏洞进行低复杂度攻击。 Veeam 于 9 月 4 日披露了该漏洞并发布了安全更新，而 watchTowr Labs 则于 9 月 9 日发布了一份技术分析报告。不过，watchTowr Labs 将概念验证利用代码的发布时间推迟到了 9 月 15 日，以便管理员有足够的时间确保服务器安全。 企业将 Veeam 的 VBR 软件作为数据保护和灾难恢复解决方案，用于备份、恢复和复制虚拟机、物理机和云计算机，从而导致了这一延迟。这也使其成为恶意行为者寻求快速访问公司备份数据的热门攻击目标。 正如 Sophos X-Ops 事件响应人员在上个月发现的那样，CVE-2024-40711 RCE 漏洞很快被发现，并在 Akira 和 Fog 勒索软件攻击中被利用，与之前泄露的凭证一起，向本地管理员和远程桌面用户组添加“点”本地帐户。 在一个案例中，攻击者投放了Fog勒索软件。同一时间段的另一起攻击则试图部署 Akira 勒索软件。Sophos X-Ops表示：所有4起案件中的迹象都与早期的Akira和Fog勒索软件攻击重叠。 在每起案件中，攻击者最初都是使用未启用多因素身份验证的受损 VPN 网关访问目标。其中一些 VPN 运行的是不支持的软件版本。 在Fog勒索软件事件中，攻击者将其部署到未受保护的Hyper-V服务器上，然后使用实用程序rclone外泄数据。 这并非勒索软件攻击针对的首个Veeam漏洞 去年，即 2023 年 3 月 7 日，Veeam 还修补了备份与复制软件中的一个高严重性漏洞（CVE-2023-27532），该漏洞可被利用来入侵备份基础架构主机。 几周后的3月下旬，芬兰网络安全和隐私公司WithSecure发现CVE-2023-27532漏洞部署在与FIN7威胁组织有关的攻击中，FIN7威胁组织因与Conti、REvil、Maze、Egregor和BlackBasta勒索软件行动有关而闻名。 几个月后，同样的Veeam VBR漏洞被用于古巴针对美国关键基础设施和拉美IT公司的勒索软件攻击。 Veeam表示，其产品已被全球超过55万家客户使用，其中包括至少74%的全球2000强企业。 参考来源：Akira and Fog ransomware now exploit critical Veeam RCE flaw (bleepingcomputer.com)     转自FreeBuf，原文链接：https://www.freebuf.com/news/412525.html 封面来源于网络，如有侵权请联系删除

图片来源：安全内参 一名安全研究人员透露，数千个机器学习工具已暴露在开放的互联网中，其中一些还属于大型科技公司。任何人都能访问这些工具，并存在敏感数据泄露的潜在风险。 这则消息表明，尽管公司和研究人员在人工智能研究上突飞猛进，但保护这些工具，仍需要依赖适用于其他类型账号的通用账号安全和身份验证最佳实践。 Reddit的安全研究人员兼首席安全工程师Charan Akiri在其研究报告中指出：“除了机器学习（ML）模型本身，暴露的数据还可能包括训练数据集、超参数，甚至有时是用于构建模型的原始数据。” 暴露的工具包括MLflow、Kubeflow和TensorBoard实例。这些工具通常用于帮助企业在云端训练和部署生成式AI模型，或可视化其结果。 Akiri在研究报告中写道：“这种配置错误使得未经授权的人员能够访问、下载，甚至运行敏感的机器学习模型和数据集。这类暴露事件本不应发生，因为这些平台应该仅限于内部使用。” Akiri指出，他们已经能够识别出部分暴露实例的所有者，但他强调，“这只是整体暴露的一小部分，实际上可能还有许多公司尚未被我们识别出来。” 其中一家公司是日本的半导体制造商瑞萨电子（Renesas Electronics）。Akiri表示，通过控制面板证书中的线索，他们确认了一个机器学习工具属于瑞萨电子。外媒404 Media联系瑞萨电子请求对此事发表评论后，瑞萨电子立即撤下了暴露的控制面板，Akiri也通知了该公司这一问题。然而，瑞萨电子最终未对评论请求作出回应。 404 Media在访问几个可以通过开放互联网找到的MLFlow实例时，发现控制面板提供了创建“新运行”的选项。用户还能查看之前的实验记录，通常还能够执行与原用户相同或类似的任务。Akiri表示，他们发现了大约5000个暴露的MLFlow实例。 参考资料：https://www.404media.co/thousands-of-internal-ai-training-datasets-tools-exposed-to-anyone-on-the-internet/     转自安全内参，原文链接：https://www.secrss.com/articles/71040 封面来源于网络，如有侵权请联系删除