When a third-party tech vendor suffers a cyber incident, your business can feel the effects immediately. That’s why it’s crucial to treat vendor risk as part of your cybersecurity posture. In this Help Net Security video, Mike Toole, Director of Security and IT at Blumira, explores why visibility into your vendor ecosystem is essential: from understanding which vendors you use and what data they access, to how they protect it. Learn how to build third-party … More →
The post Third-party cyber risks and what you can do appeared first on Help Net Security.
Russian APT groups intensified attacks against Ukraine and the EU, exploiting zero-day vulnerabilities and deploying wipers, according to ESET. Ukraine faces rising cyber threats The Russia-aligned Sandworm group intensified destructive operations against Ukrainian energy companies, deploying a new wiper named ZEROLOT. Gamaredon remained the most prolific actor targeting Ukraine, enhancing malware obfuscation and introducing PteroBox, a file stealer leveraging Dropbox. “The infamous Sandworm group concentrated heavily on compromising Ukrainian energy infrastructure. In recent cases, it … More →
The post Nation-state APTs ramp up attacks on Ukraine and the EU appeared first on Help Net Security.
在Pwn2Own Berlin 2025的第二天,参赛者利用了微软SharePoint、VMware ESXi、Oracle VirtualBox、红帽企业Linux和Mozilla Firefox等多个产品中的零日漏洞,获得了43.5万美元的奖金。
最引人注目的是来自STARLabs SG的Nguyen Hoang Thach对VMware ESXi的成功攻击,他利用整数溢出漏洞获得了15万美元。
越南电信网络安全公司(Viettel Cyber Security)的Dinh Ho Anh Khoa获得了10万美元的奖金,原因是他利用一个结合了认证绕过和不安全反序列化漏洞的漏洞链攻击微软SharePoint。
Palo Alto Networks的Edouard Bochin和Tao Yan也演示了Mozilla Firefox中的越权写入零日漏洞,STAR Labs SG的Gerrard Tai使用use-after-free漏洞将红帽企业Linux的权限升级为root, Viettel Cyber Security使用了另一个越权写入Oracle VirtualBox的guest-to-host漏洞。
在人工智能领域,Wiz Research的安全研究人员用免费使用的零日漏洞,利用Redis和Qrious Secure链接的四个安全漏洞,攻击了英伟达的Triton推理服务器。
在第一天,参赛者在成功利用Windows 11、Red Hat Linux和Oracle VirtualBox的零日漏洞后,获得了26万美元的奖金,在比赛的前两天,他们展示了20个独特的零日漏洞,总共获得了69.5万美元的奖金。
Pwn2Own柏林第二天的排名
Pwn2Own Berlin 2025黑客大赛将重点关注企业技术,首次引入人工智能类别,并于5月15日至5月17日在OffensiveCon会议期间举行。
安全研究人员在AI、web浏览器、虚拟化、本地特权升级、服务器、企业应用程序、云原生/容器和汽车类别的完全修补产品中展示零日漏洞,将能够获得超过100万美元的奖励。
然而,在Pwn2Own启动之前,没有特斯拉的注册,但两辆2025年的特斯拉Y型和2024年的特斯拉3型台式汽车也可以作为目标。
在比赛的最后一天,黑客们将尝试利用Windows 11、Oracle VirtualBox、VMware ESXi、VMware Workstation、Mozilla Firefox以及Nvidia的Triton Inference Server和Container Toolkit中的零日漏洞。
在Pwn2Own竞赛期间披露了零日漏洞后,供应商有90天的时间发布其软件和硬件产品的安全修复程序。
依据《网络安全法》《个人信息保护法》等法律法规,按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求,经公安部计算机信息系统安全产品质量监督检验中心检测,在应用宝中35款移动应用存在违法违规收集使用个人信息情况,现通报如下。
1、未以结构化清单的方式逐一列出收集、使用个人信息规则。涉及 12 款移动应用如下:
《智慧 AI 聊天》(版本 1.4.0)、《虚拟恋爱 AI》(版本 1.1.3)、《轻抖》(版本 V3.2.400)、《剪辑软件》(版本 1.1.2)、《视频剪辑》(版本 26.9.82)、《爱剪》(版本 V1.0.0)、《视频编辑剪辑 cut》(版本 1.0.2)、《妙剪》(版本 1.55)、《智能出行》(版本 1.0.2)、《创游世界》(版本 1.56.0)、《AI音乐学园》(版本 7.1.1)、《台铃电动》(版本 3.3.5)。
2、实际收集的个人信息超出用户授权范围。涉及 18 款移动应用如下:
《智谱清言》(版本 2.9.6)、《Wink》(版本 2.7.0)、《剪印》(版本 24.03.26)、《抖影视频剪辑》(版本 1.2.8)、《Pr 视频剪辑》(版本 2.7.5)、《爱剪辑》(版本 80.21.0)、《免费剪辑视频》(版本 v1.1.8)、《剪辑软件》(版本 1.1.2)、《AI 视频成片》(版本 3.2.0)、《视频剪辑》(版本 26.9.82)、《妙剪》(版本 1.55)、《自律锁机》(版本 24.08.10)、《画世界》(版本 2.9.8)、《QCY》(版本 4.0.8)、《智能出行》(版本 1.0.2)、《创游世界》(版本 1.56.0)、《AVmini》(版本 4.2.0.12)、《小白学习打印》(版本 4.17.4)。
3、个人信息保护政策中描述收集的个人信息与业务功能无直接关联。涉及 2 款移动应用如下:
《AI 智能秘书》(版本 1.0.25)、《抖影视频剪辑》(版本 1.2.8)。
4、在配置文件中声明与移动应用的所有业务功能均没有直接关联的权限。涉及 8 款移动应用如下:
《AI 智能秘书》(版本 1.0.25)、《智慧 AI 聊天》(版本 1.4.0)、《AI 对话专家》(版本 1.0.17)、《QCY》(版本 4.0.8)、《来音吉他》(版本 3.5.8)、《台铃电动》(版本 3.3.5)、《Wow》(版本 1.16.5)、《猫箱》(版本 1.57.0)。
5、申请的可收集个人信息的权限与业务功能没有直接关联。涉及 1 款移动应用如下:
《AVmini》(版本 4.2.0.12)。
6、提前要求用户授权当前未使用的特定功能所需的权限。涉及 2 款移动应用如下:
《AI 剪辑》(版本 20.5)、《视频剪辑王》(版本 1.2.3)。
7、提前要求用户填写当前未使用的特定功能需要的个人信息。涉及 2 款移动应用如下:
《小白学习打印》(版本 4.17.4)、《台铃电动》(版本 3.3.5)。
8、实际收集的个人信息与业务功能没有直接关联。涉及 2 款移动应用如下:
《Kimi》(版本 2.0.8)、《Wink》(版本 2.7.0)。
9、实际收集个人信息的频率与业务功能没有直接关联。涉及 10 款移动应用如下:
《ChatGreat》(版本 1.1.3)、《虚拟恋爱 AI》(版本 1.1.3)、《轻抖》(版本 V3.2.400)、《免费剪辑视频》(版本 v1.1.8)、《剪辑软件》(版本 1.1.2)、《妙剪》(版本 1.55)、《创游世界》(版本 1.56.0)、《AVmini》(版本 4.2.0.12)、《台铃电动》(版本 3.3.5)、《Wow》(版本 1.16.5)。
10、未向用户提供更正或补充其个人信息的具体途径。涉及 1 款移动应用如下:
《ChatGreat》(版本 1.1.3)。
11、广告存在误导、欺骗用户行为。涉及 5 款移动应用如下:
《AI Genie》(版本 2.9.0)、《虚拟恋爱 AI》(版本 1.1.3)、《免费剪辑视频》(版本 v1.1.8)、《视频剪辑王》(版本 1.2.3)、《视频编辑剪辑 cut》(版本 1.0.2)。
(注:文中所列移动应用检测时间为2025年4月16日至2025年5月15日,来源均为应用宝)
文章来源自:国家网络安全通报中心