安全

声波攻击可能严重威胁未来的水下数据中心设备安全

水下数据中心的实验已经进行了近十年,揭示了将这些设施置于波浪深处的诸多优势。然而,研究人员发现,水下数据中心的独特环境使其容易受到一种特殊攻击:声波。

Trustnet:开创去中心化在线事实核查的新模式

研究人员推出了 Trustnet 浏览器扩展,允许用户识别和评估任何网站上的错误信息。这一分散式工具使用户能够定义什么是错误信息,并与来自可信来源的内容评估进行互动,从而提供了一种通用的解决方案,增强了批判性思维和内容评估能力。

安全漏洞让CSC ServiceWorks的洗衣房服务可以无限免费用

加州大学圣克鲁兹分校的两名学生研究员亚历山大-舍布鲁克(Alexander Sherbrooke)和伊科夫-塔拉嫩科(Iakov Taranenko)发现了一个安全漏洞,该漏洞使 CSC ServiceWorks 运营的 100 多万台洗衣机面临免费赠送洗衣服务的风险。

FBI查封新版BreachForums论坛 此前有黑客销售EXSi漏洞

BreachForums 最初是由 Pompompurin 运营的黑客论坛,不过在 FBI 的执法行动中 Pom 被逮捕并且已经被法院判刑。Pom 运营的 BreachForums 论坛使用 Breaked.vc/.to/.co,被查封后有新黑客继续以 BreachForums 名义继续运营新论坛,包括 Breakforums.st/.cs/.is/.vc,运营者为 ShinyHunters。

12秒盗窃2500万美元 两兄弟利用以太坊漏洞“打劫”加密交易者

美国检方周三表示,麻省理工学院毕业的两兄弟被指控利用以太坊区块链的一个漏洞,在12秒内窃取了2500万美元,这是美国首例此类案件被提起诉讼。曼哈顿联邦检察官指控24岁的Anton Peraire-Bueno和28岁的James Peraire-Bueno犯有欺诈和洗钱罪。他们被指控去年用几个月的时间在电脑上进行闪电般的抢劫。

借助新的OpenSSL兼容性层 Rustls现在可以与Nginx协同工作

Rustls 是用 Rust 编程语言编写的现代 TLS 库,重点强调内存安全和安全性。Rustls 得到了Google、AWS 等公司的支持,并获得了德国主权技术基金的资助。该开源项目最近一个令人兴奋的里程碑是,Rustls 现在可以与 Nginx 协同工作了。

佳士得网站在8.4亿美元拍卖前几天被黑客攻陷

据纽约时报报道,在佳士得拍卖行预计拍卖价值高达 8.4 亿美元的艺术品,包括沃霍尔(Warhol)和巴斯奎特(Basquiat)的画作的前几天,该拍卖行遭遇了它所描述的"技术安全问题",导致其网站离线。

黑客在印度政府网站上植入板球赛事赌博广告

安全研究人员发现,一些印度政府网站被黑客植入广告,将访问者重定向到在线博彩平台。与印度比哈尔邦、果阿邦、卡纳塔克邦、喀拉拉邦、米佐拉姆邦和特兰加纳邦等邦相关的约四十几个"gov.in"网站链接被重定向到在线博彩平台。其中一些网站属于各邦的邦警察局和财产税部门。这些诈骗链接被包括Google在内的搜索引擎收录,使得这些广告很容易在网上找到。

英国监管机构新规向社交媒体提出了保护儿童免受"有毒算法"伤害的要求

英国呼吁搜索和社交媒体公司"驯服"向儿童推荐有害内容的"有毒算法",否则将面临数十亿美元的罚款。周三,英国媒体监管机构通讯管理局(Ofcom)根据该国《网络安全法案》(Online Safety Act)的规定,概述了对科技巨头提出的 40 多项要求,其中包括严格的年龄检查和内容节制,旨在更好地保护未成年人的网络安全,以符合即将出台的数字安全法律。

美国司法部起诉LockBit勒索软件头目 悬赏1000万美元捉拿

美国司法部公布了对一名俄罗斯人的指控,他被指控开发和管理 LockBit 勒索软件。在周二的一份文件中,司法部声称 31 岁的德米特里-尤里耶维奇-霍罗舍夫(Dmitry Yuryevich Khoroshev)帮助 LockBit 成为"世界上最多产、最具破坏性的勒索软件组织"之一。

美国和英国警方确认并指控LockBit勒索软件团伙的俄罗斯头目

史上最臭名昭著的勒索软件组织之一的头目身份终于揭晓。本周二,由英国国家犯罪署领导的执法联盟宣布,31 岁的俄罗斯人德米特里-尤里耶维奇-霍罗舍夫(Dmitry Yuryevich Khoroshev)是绰号 LockBitSupp 的幕后黑手,也是 LockBit 勒索软件的管理者和开发者。美国司法部也宣布了对 Khoroshev 的起诉,指控他犯有计算机犯罪、欺诈和敲诈勒索罪。

警方复活LockBit网站公布更多犯罪细节 并对勒索软件团伙升级侦查力度

一个国际警察机构联盟复活了今年早些时候查获的臭名昭著的 LockBit 勒索软件团伙的黑暗网站,并预告了有关该团伙的新消息。周日,曾经的 LockBit 官方暗网网站再次出现在网上,并发布了新的帖子,表明当局计划在接下来的 24 小时内(截至本文发稿时)发布有关黑客的新信息。

德国外交部长称俄罗斯是去年"不可容忍的"网络攻击的幕后黑手

德国表示有证据表明,俄罗斯国家支持的黑客是去年一次"不可容忍的"网络攻击的幕后黑手,在这次攻击中,多个网站被关闭,这显然是对柏林决定向乌克兰提供坦克的回应。德国外交部长安娜莱娜-贝尔博克(Annalena Baerbock)说,联邦政府对德国执政联盟成员、总理奥拉夫-肖尔茨的政党社会民主党(SPD)遭受 2023 网络攻击的调查刚刚结束。

Google称其Passkey在不到一年的时间里已被使用超过十亿次

Google在"世界密码日"宣布了Passkey的新成就并分享了一些更新。这家搜索巨头透露,在不到一年的时间里,Passkey在 4 亿个账户中的使用次数已超过 10 亿次。

Bitwarden推出开源免费独立的多因素认证器Bitwarden Authenticator

知名密码管理器 Bitwarden 日前宣布推出适用于 iOS 和 Android 平台的开源、免费、独立的多因素验证器 (MFA) Bitwarden Authenticator。这款身份验证器并不是集成在密码管理器中,也不需要用户使用该密码管理器才能使用多因素验证器,也就是这款验证器可以单独使用,兼容所有支持标准 TOTP 协议的网站。

勒索软件团伙成员因2021年实施网络攻击行为被判处13年以上监禁

CNN报道,一名乌克兰人因帮助实施2021 年勒索软件攻击而于周三被判处超过13年的监禁,并被勒令支付 1600 万美元的赔偿金,该攻击感染了美国和国外的数百家企业。

只需59分钟 RTX 4090轻松破解你的超级复杂密码

网络安全公司Hive Systems近日公布了他们使用NVIDIA GPU显卡破解密码的研究成果。怎么说呢,很厉害,也挺吓人。不同于其他使用AI破解密码的做法,Hive Systems利用的是哈希破解,也就是GPU暴力计算撞库,并测试了MD5、bcrypt两种加密方式,后者更加复杂,破解难度更高。

联合健康集团CEO称"可能有三分之一"的美国公民受到近期黑客攻击影响

在黑客入侵 Change Healthcare 系统窃取并加密公司数据两个月后,仍不清楚有多少美国人受到了网络攻击的影响。上个月,Change Healthcare 的母公司联合健康集团(UnitedHealth Group)首席执行官安德鲁-威蒂(Andrew Witty)表示,被盗文件包括"美国相当一部分人"的个人健康信息。

存在卡油门隐患 厂商宣布召回17500辆马里奥卡丁车

《马里奥赛车》是风靡全球的游戏作品。在现实中,虽然你无法驾驶着卡丁车冲上彩虹赛道,但Jakks Ride-On Racer Cars能让你拥有属于自己的马里奥卡丁车。不过,如果你真买到这款车的话,最好还是再检查一下,因为其中17500辆卡丁车因油门踏板问题被召回。

MS-DOS 4.00源代码公开过程中的Git转储失误会破坏构建并删除元数据

微软公司开源了MS-DOS 4.00 的源代码,揭示了计算机历史上的一个重要里程碑,这值得称赞。但这家科技巨头在发布过程中的失误,可能会给渴望研究几十年前代码的历史学家和档案保管人员带来不必要的麻烦。

问界M7高速上碰撞起火背后:专家释疑AEB国标与实际情况存差距 消费者谨慎用

对于当下AEB功能,专家表示,AEB国标并非强制标准。2024年4月26日16时34分左右,一辆问界M7 Plus在山西运城发生严重交通事故。随后,AITO汽车官微发声,对于事故中出现的人员伤亡,深表痛心,对遇难者表示沉痛的哀悼。

数以百万计的设备仍易受PlugX USB蠕虫影响 感染集中在特定国家

安全研究人员发现了一种令人不寒而栗的全球计算机流行病:一种古老的恶意软件多年来一直在不受控制地传播。尽管其创建者似乎在几年前就放弃了这个项目,但这个阴险的 USB 蠕虫病毒却一直存在,并持续感染全球数百万台新机器。

英国成为首个禁止在物联网设备上使用默认弱密码的国家

七年前,一场网络攻击导致美国许多最受欢迎的网站无法访问。2016 年 10 月 21 日,互联网用户连续三次无法访问 Twitter、CNN 和 Netflix 等热门网站。人们自然会猜测是哪些强大的威胁行为体造成了这样的破坏。但这次事件并非敌对国家所为。事实证明,这起事件并不复杂,只是针对 Dyn 的分布式拒绝服务攻击,Dyn 是一家提供域名系统(DNS)服务的公司,而域名系统是互联网通信结构的重要组成部分。

假冒美国邮政的钓鱼网站的流量与真实网站不相上下

安全研究人员在分析针对美国邮政(USPS)的网络钓鱼活动时发现,假冒域名的流量通常与合法网站记录的流量相似,在节假日期间甚至更高。网络钓鱼行动通常以人们的敏感信息(账户凭证、银行卡详细信息)为目标,或试图诱骗用户向欺诈性商店付款,或支付因各种原因被搁置的物品的所谓结算费用。

FTC向Ring客户发放560万美元隐私和解款

亚马逊旗下的智能家居安全公司 Ring 早在 2023 年就因一些严重的隐私保护问题而受到联邦贸易委员会的关注,一年多后的今天,作为 Ring 去年达成的和解协议的一部分,联邦贸易委员会向客户退还了 560 万美元。

网络犯罪分子利用发展中国家作为勒索软件攻击的试验田

随着勒索软件变得如此有利可图和广泛传播,黑客开始在发展中国家和新兴国家部署新的恶意软件,作为在攻击富裕国家的企业之前对其进行测试的一种方式。非洲、拉丁美洲和亚洲的组织首先受到攻击,因为它们的安全性往往较弱,引起的关注也较少。然后,黑客再攻击北美和欧洲的高知名度目标。

FTC控杰夫·贝索斯、安迪·杰西等人在反垄断调查中删除聊天记录

美国联邦贸易委员会(FTC)指控包括创始人杰夫-贝索斯和首席执行官安迪-贾西在内的亚马逊高管在该机构对该公司的反垄断调查中销毁了讨论商业事务的短信。

印度杀毒软件eScan长期使用HTTP协议 被黑客用来发起中间人攻击

现在几乎所有网站和服务都已经采用加密协议连接,但让人无法理解的是,印度本土杀毒软件 eScan 竟然从 2019 年开始就一直使用 HTTP 明文协议来提供更新。eScan 使用 HTTP 明文协议推送软件更新,然后有黑客就发现了机会,所谓最危险的地方就是最安全的地方,黑客在一款杀毒软件的眼皮底下使用杀毒软件本身的更新机制来投放病毒。

9款输入法被发现漏洞:影响10亿用户 部分已修复

公民实验室近日发布的《The not-so-silent type》报告揭示了百度、荣耀、科大讯飞、OPPO、三星、腾讯、vivo和小米等八家主流供应商输入法的安全漏洞问题,引起了广泛关注。这些漏洞的严重性在于,它们允许专家“窃听”用户敲击输入的内容,对用户的隐私安全构成了严重威胁。

多家大型科技公司联合宣布为生成式AI服务提供新的儿童安全承诺

生成式人工智能以各种方式被越来越多地使用,这引起了人们对其可能被敌对分子和团体用来威胁儿童安全的担忧。谷歌、Meta、OpenAI、微软和亚马逊等科技公司今天承诺,将对其人工智能训练数据中的儿童性虐待材料(CSAM)进行审查,并在今后的模型中不再使用这些数据。

韩国军方认为iPhone不够安全 但Android却没问题

据报道,一项设备禁令已在韩国空军总部开始实施。周二上午的一份报告称,该禁令适用于所有能进行语音录制的设备,并且不允许第三方应用程序对此进行锁定--其中特别点名了 iPhone。据报道,军方分发的文件称:"阻止任何形式的录音都是不可避免的,不仅包括会议、办公室谈话、业务公告以及来自公众的投诉和咨询等正式通信,还包括(军事建筑内的)私人电话等非正式通信。"

Mozilla发现大多数约会应用程序对用户数据的保护不足

Mozilla 的一项新研究指出,约会应用程序并没有遵循很好的隐私保护措施,而且为了吸引 Z 世代用户,它们正在收集比以往更多的数据。 研究人员对2021年约会应用程序的隐私保护情况进行了审查。他们在最新的报告中指出,约会应用程序变得更加渴求数据和具有侵扰性。

联合健康集团称黑客窃取了其保管的"相当一部分美国人"的健康数据

联合健康集团(UnitedHealth Group)证实,今年早些时候其医疗技术子公司 Change Healthcare 遭到勒索软件攻击,导致大量美国人的私人医疗数据被盗。联合健康(UnitedHealth)在周一的一份声明中说,一个勒索软件团伙拿走了包含个人数据和受保护健康信息的文件,该公司称这些文件可能"覆盖了美国相当一部分人"。

GitHub评论功能被用来冒充微软托管恶意软件 暂时还未解决问题

GitHub 是全球最大的代码托管平台,全球各地的科技公司和开发者们在上面托管项目或源代码,项目维护者也可以开启评论功能让其他开发者提交建议或反馈问题。不过目前 GitHub 被发现了一个严重的设计问题,有攻击者利用项目评论功能冒充微软等公司来分发恶意软件,并且这种情况已经持续有一段时间了。

OpenAI的GPT-4可通过阅读安全公告自主利用真实漏洞

学术界称,人工智能代理结合了大型语言模型和自动化软件,可以通过阅读安全公告成功利用现实世界中的安全漏洞。伊利诺伊大学厄巴纳-香槟分校(UIUC)的四位计算机科学家--理查德-方(Richard Fang)、罗汉-宾都(Rohan Bindu)、阿库尔-古普塔(Akul Gupta)和丹尼尔-康(Daniel Kang)--在最新发表的一篇论文中报告说,OpenAI 的 GPT-4 大型语言模型(LLM)可以自主利用真实世界系统中的漏洞,只要给它一个描述漏洞的 CVE 通告。

澳大利亚赌场因软件故障导致老虎机送出数百万现金

澳大利亚悉尼 Star Casino 赌场出现软件故障,老虎机在无意中吐出了数百万现金,而赌客却也没有意识到这一点,这种勤快持续甚至长达数周之久。周一,在对该赌场进行的独立调查中传出了赠品的消息,该赌场多年来一直存在合规方面的问题,导致其经营者被认定不适合持有执照。

研究发现粗制滥造的勒索软件工具在暗网上大打"价格战"

网络安全公司Sophos情报部门的研究人员发现,从2023年6月到2024年2月,有19种勒索软件在四个暗网论坛上出售或宣传正在开发中。廉价的勒索软件在暗网论坛上出售,供一次性使用,让新手无需与关联公司进行任何互动就能参与网络犯罪。

漏洞卖家想以200万美元出手可能根本不存在的iMessage零日攻击载荷

在暗网上列出的一个价值 200 万美元的iMessage漏洞可能并不能像卖家说的那样,但它仍然提醒人们,iPhone 并不是黑客无法渗透的。根据 4 月 15 日在 X 上发布的一篇文章,Trust Wallet 发现了与针对 iMessage 用户的高风险零日漏洞有关的可靠证据。据称,该漏洞无需用户点击任何链接即可访问iPhone。

俄罗斯支持的黑客组织"沙虫"涉嫌攻击美国供水系统

俄罗斯首次对美国的供水系统发动的攻击让得克萨斯州一个小镇发生供水事故后,与俄罗斯政府有联系的"沙虫"组织(Sandworm)涉嫌导演了这场黑客攻击,导致水塔溢水。

“以中文为母语的人”被认为与苹果警告的间谍软件LightSpy有关

一个安全博客声称,最近对iPhone的攻击是由名为 LightSpy 的间谍软件完成的,该软件似乎与中国有关。2024 年 4 月 11 日,苹果公司向包括印度在内的 92 个国家的用户发出警报,称他们可能受到了"雇佣间谍软件攻击"的影响。苹果公司没有提供更多细节,只是说这次攻击是企图"远程入侵 iPhone"。

勒索软件Lockbit已经在暗网上线新的数据泄露站点 看起来已经复活

之前 FBI 联合欧洲刑警组织对臭名昭著的勒索软件 Lockbit 进行了打击,当时 Lockbit 用于泄露数据的暗网站点被 FBI 通过 PHP 漏洞入侵并拿下,不过 Lockbit 的基础设施并没有太大变化。

Mozilla研究发现大科技公司的广告透明度工具仍很糟糕

一份关于广告透明度工具的报告指出,科技巨头为提高广告透明度所做的努力,充其量只能说是一项正在进行中的工作。欧盟针对大型平台的《数字服务法案》(DSA)规定,要求公司提供可搜索的公共广告库。这些公司包括苹果、Google、Meta、TikTok 和 X。

日本EUV光罩基底大厂170万个文件被盗 勒索1000万美元

据法国媒体LeMagIT报道,日本光学技术领导厂商 Hoya Corporation (豪雅)最近承认其遭遇了勒索软件的攻击,其总部和几个业务部门IT系统受到了影响。如果不支付1000万美元,其包括EUV掩模坯料和光掩模(光罩基底及光罩)在内的机密可能将会被曝光。

政府间谍软件泛滥是民众使用广告拦截工具的另一个原因

在打击间谍软件的斗争中,广告拦截器似乎是一种不太可能的防御手段,但新的报道揭示了间谍软件制造商是如何利用在线广告让政府进行监控的。据报道,间谍软件制造商有能力利用横幅广告定位特定目标,并用间谍软件隐蔽地感染这些目标。

关键EUV芯片制造工具供应商遭黑客攻击

据报道,Hunters International 盗取了 170 万份文件。 关键 EUV 芯片制造工具供应商遭到黑客攻击,被迫支付 1000 万美元用于解锁勒索软件 - Hoya 将黑客攻击视为“IT 系统事件”。

绝大多数美国医院网站与大科技公司共享访客数据

HIPAA 隐私规定是医疗保健行业的重中之重,这些保护措施自然会延伸到患者体验的方方面面。然而,根据最近的一项研究,在访问医院网站时,隐私几乎被抛到了九霄云外。不出所料,这一切都归结于广告费。

微软提供更多细节 介绍如何抵御黑客对人工智能防护网的攻击

据报道,今年 1 月,微软的生成式人工智能图像制作工具 Designer 被用于制作流行歌手泰勒-斯威夫特 (Taylor Swift )的露骨深度伪造图像,这些图像 后来在 X(前 Twitter)上疯传。虽然微软 表示没有发现任何证据表明 Designer 确实被用于制作这些图片,但其他媒体报道称该公司确实对 Designer 进行了修改,以防止其制作此类图片。

密码管理器LastPass员工遭到深度伪造攻击 所幸及时发现

密码管理器 LastPass 本周透露,有黑客尝试使用深度伪造技术 (Deepfake) 对该公司一名员工进行钓鱼,不过这名员工发现异常后立即报告,随后 LastPass 安全团队介入,黑客的诡计并未得逞。

箱包与配件制造商Targus遭遇网络攻击导致业务中断

移动小工具和箱包制造商 Targus 表示,周五遭受网络攻击后,其业务运营出现了"暂时中断"。Targus 的母公司 B. Riley Financial 在周一向监管机构提交的一份通知中称,它发现"一名威胁行为者未经授权访问了 Targus 的某些文件系统",并关闭了大部分网络以隔离事件。

新发现的HTTP/2漏洞使服务器面临DoS攻击风险 单个TCP连接即可实现

HTTP/2 于 2015 年推出,为 HTTP 协议带来了多项增强功能,包括高效的数据传输、请求处理、响应速度,以及对基于网站的信息交易进行标头压缩。但除了这些效率之外,HTTP/2 也给管理员和安全团队带来了一系列独特的挑战。本周早些时候,研究人员公布了一个新发现的与 HTTP/2 相关的漏洞,该漏洞可用于对易受攻击的目标实施拒绝服务(DoS)攻击。

美国网络安全审查委员会报告称微软本可阻止中国黑客针对Exchange系统的攻击

美国网络安全审查委员会(US Cyber Safety Review Board)的一份新报告发现,去年微软本可以阻止中国黑客通过其微软Exchange在线软件入侵美国政府的电子邮件。该事件被描述为微软"一连串的安全失误",使中国国家支持的黑客能够访问 22 个组织的在线电子邮件收件箱,影响到 500 多人,其中包括从事国家安全工作的美国政府雇员。

印度政府云S3WaaS多年来持续将公民个人数据泄露在网上

印度政府终于解决了长达数年之久的网络安全问题,该问题暴露了印度公民的大量敏感数据。一位安全研究人员透露,他发现至少有数百份包含公民个人信息的文件在网上泄露,任何人都可以访问,其中包括 Aadhaar 号码、COVID-19 疫苗接种数据和护照详细信息。

一名志愿者如何阻止恶意后门暴露全球Linux系统

Linux 是世界上使用最广泛的开放源代码操作系统,它在复活节周末勉强躲过了一次大规模的网络攻击,这一切都要归功于一名志愿者。这个后门被植入了最近发布的一个名为 XZ Utils 的 Linux 压缩格式中,这个工具在 Linux 世界之外鲜为人知,但几乎每个 Linux 发行版都使用它来压缩大文件,使其更易于传输。如果它的传播范围更广,可能会有数不清的系统被入侵数年之久。

微软发布有关 Linux 系统 XZ Utils 漏洞的详细常见问题解答

微软发布了有关在 XZ Utils 中发现的关键漏洞的详细常见问题解答和指导。该漏洞的标识符为CVE-2024-3094,严重等级为危急,发现原因是软件供应链遭到破坏。XZ Utils 工具主要用于各种 Linux 发行版的数据压缩,对于管理软件包、内核映像等非常重要。

德国起草法律要求所有通讯服务和云服务都必须采用端到端加密服务(E2EE)

德国联邦数字化和交通部 (BMDV) 正在起草一项新法案,该法案要求未来面向德国用户提供的即时通讯工具和云服务都必须采用端到端加密 (E2EE) 来确保安全性和隐私性。(端到端加密可以确保只有消息双方能够解密消息,无论是中间人还是服务提供商都无法获知通信具体内容)

PyPI存储库遭到自动化提交恶意软件攻击后暂停注册10小时

早前由于 Ubuntu Snap Store 商店里近期多次出现恶意软件,尤其是针对加密货币钱包之类的恶意软件,为此 Canonical 不得不抽调人手修改流程,同时开发者提交应用不再是自动化的,而是需要 Canonical 工程团队的成员进行人工审核后才允许发布。这种做法虽然很麻烦但也是没有办法的事情,比如 3 月 30 日知名存储库 PyPI 就遭到黑客攻击,黑客使用自动化工具向 PyPI 批量提交恶意软件。

央视曝光网红车载儿童坐垫隐患:抽检20款样品无一合格

均价不到50元、小巧轻便的“儿童安全坐垫”你买过没?相比儿童安全座椅,儿童安全坐垫占用车内空间小,价格也便宜得多,但它替代安全座椅吗?近日,央视曝光网红车载儿童坐垫隐患,抽检20款样品无一合格。

纽约警方开始使用GPS追踪飞镖标记逃逸车辆 避免危险的追捕行动

全国各地的警察部门都在探索更安全的追车方法,以取代危险的公路追逐,并从间谍电影中常见的技术中汲取灵感,以实现他们的目标。纽约老韦斯特伯里警察局(Old Westbury Police Department)采用了一种新颖的方法来应对追车过程中的逃逸车辆。他们在一些巡逻车上安装了车载发射器,可以发射由一家名为StarChase 的公司生产的含有热激活粘胶的泡沫弹丸。

纽约市将在地铁上测试基于人工智能的枪支探测器

纽约市市长埃里克-亚当斯(Eric Adams)周四表示,纽约市将很快开始测试利用人工智能在地铁转门处检测枪支的技术。亚当斯是在布鲁克林一个地铁站发生一起争执事件一周后宣布这一消息的,在这起争执事件中,一名男子在向另一名乘客拔枪后被自己的枪射中。

亚马逊的掌纹扫描识别服务现在可以用手机注册

亚马逊现在可以让您直接用手机注册其手掌识别服务。亚马逊在iOSAndroid推出了新的 Amazon One 应用程序,你可以用它拍摄手掌照片并设置账户,然后就可以在支持验证技术的地点开始扫描手掌了。

近期勒索软件攻击量显著提升 建议及时安装更新并提高防御措施

有些小伙伴这段时间可能注意到各类勒索软件攻击的频次增加了,比如有个小伙伴反馈,一台运行 Windows 10 的备用机在短短半个月内被感染两次勒索软件。这台备用机是一直开机的,放在角落里偶尔使用,并没有安装乱七八糟的软件,所以怎么被感染勒索软件的让他有些疑惑。

在间谍软件供应商的推动下 2023年被恶意利用的0day漏洞猛增50%

网络安全专家警告说,随着国家支持的黑客和网络犯罪分子找到了复杂的攻击方式,零日漏洞(0day)变得越来越常见。Google的研究人员周三表示,他们在2023年观察到97个这样的高危并被利用的漏洞,而2022年只有62个,增加了50%。

安全警告:苹果用户成为涉及密码重置请求的高级网络钓鱼攻击的目标

根据KrebsOnSecurity的一份报告,利用苹果公司密码重置功能中的一个似乎是漏洞的钓鱼攻击变得越来越普遍。多位苹果用户成为了攻击目标,这些攻击会向他们发送无休止的通知或多因素验证(MFA)信息,试图让他们批准更改Apple ID密码。

英国政府将2021年泄露数百万英国选民个人信息的网络攻击归咎于中国黑客

英国副首相奥利弗-道顿(Oliver Dowden)周一在议会向议员发表声明,将2021年选举委员会数据泄露事件归咎于为中国政府工作的黑客。道登告诉议员们,"只要中国政府威胁到英国的利益,英国政府就会毫不犹豫地采取迅速有力的行动"。

卡车间蠕虫病毒可能感染并破坏整个美国商业车队

美国科罗拉多州立大学的研究人员称,美国商用卡车所需的普通电子记录设备(ELD)中可能存在漏洞,超过 1400 万辆中型和重型卡车都存在这种漏洞。在 2024 年网络和分布式系统安全研讨会上发表的一篇论文中,杰里米-戴利(Jeremy Daily)副教授和系统工程研究生杰克-杰普森(Jake Jepson)、里克-查特吉(Rik Chatterjee)演示了如何通过蓝牙或 Wi-Fi 连接访问 ELD,从而控制卡车、操纵数据并在车辆间传播恶意软件。

X/Twitter安全系统似乎存在漏洞 可以冒充任意知名网站发帖

在 X/Twitter 上,如果网站已经按照开发者规范要求在网页源代码里添加了标头等数据,则这个网站的任何地址发布到 X 上时,都会额外显示网站域名以及图片等数据。要实现此功能 X 的爬虫需要在用户发布内容时第一时间对目标链接进行抓取,如果抓取无法那就可以显示完整信息,并且后续变更后已经被抓取的数据也不会变更。

Windows 11、特斯拉和Ubuntu Linux在温哥华Pwn2Own大会上被攻破

今天是Pwn2Own Vancouver 2024 开赛第一天,参赛者演示了 Windows 11、特斯拉、Ubuntu Linux 及其他设备和软件中的 19 个零日漏洞,以赢得 73.25 万美元和一辆特斯拉 Model 3 汽车。

白帽黑客展示如何打开数百万把酒店RFID钥匙卡锁

全球 131 个国家 13000 座建筑中的 300 多万把酒店房锁存在漏洞,攻击者可利用漏洞伪造任何房门的主钥匙。虽然受影响门锁的制造商正在推出修复程序,但目前还不清楚受影响的酒店何时或是否会升级其系统。

入侵《Apex 英雄》北美决赛预选战的黑客解释动机:只是闹着玩

在美国当地时间3月18日举行的《Apex 英雄》北美决赛预选战期间,有黑客入侵到比赛中强制给选手开挂,导致官方不得不叫停比赛,也令不少玩家对反作弊程序产生了质疑。

安全研究人员跟踪到中国黑客组织Earth Krahang入侵了23个国家的70个机构

一个名为"Earth Krahang"的中国高级持续性威胁(APT)组织发起了一场复杂的黑客攻击活动,入侵了 45 个国家的 70 个组织,攻击目标至少 116 个。根据趋势科技研究人员对该活动的监测,该活动自 2022 年初开始,主要针对政府组织。

配置错误的Firebase实例暴露了1.25亿条用户记录

安全研究人员警告说,数百家网站错误配置了Google Firebase,泄露了超过 1.25 亿条用户记录,其中包括明文密码。三位使用 mrbruh、xyzeva 和 logykk 等网络昵称的安全研究人员解释说,这一切都源于 对 Chattr 的黑客攻击,Chattr 是一个人工智能招聘系统,为美国多家机构提供服务,其中包括 Applebee's、Chick-fil-A、KFC、Subway、Taco Bell 和 Wendy's 等快餐连锁店。

Let's Encrypt签发10份新中级证书 包括5份2048 RSA证书和5份384 ECDSA证书

Let's Encrypt 今天发布博客宣布已经签发了 10 份新的中级证书,这些新中级证书一方面是 Let's Encrypt 的定期轮换保持安全性,另一方面则是缩小证书体积从而增强速度、安全性和可访问性等体验。

APEX或EAC反作弊系统被质疑存在远程代码执行漏洞 比赛途中被黑客入侵

知名游戏公司 EA 目前已经暂停 APEX 英雄全球系列赛的北美决赛,暂停原因是在此前的比赛中途竟然有游戏选手屏幕突然出现外挂工具,还能显示其他玩家的位置等。这当然不是游戏选手作弊 (虽说其他游戏比赛里可能也有),而是俄罗斯黑客通过某种方式入侵了游戏选手的电脑并远程部署了外挂工具。

D加密开发商宣布推出新技术 可追查游戏文件泄露事件

近日,反盗版软件Denuvo的Irdeto宣布将推出一项新技术:TraceMark for Games,这一种新的水印技术,允许开发者为特定游戏文件添加唯一且可能不可见的ID。通过让文件易于识别,这项新技术将有望帮助开发者发现是谁泄露了他们的内部游戏文件,并可能阻止更多人分享这些敏感信息。

LockBit勒索软件组织成员因感染1000多个系统被判刑四年

LockBit 勒索软件组织再次成为新闻焦点,不过这次与执法部门最近查封其网站无关。该组织的一名高级成员刚刚被判处四年有期徒刑,并被勒令支付超过 63.5 万美元的赔偿金,因为他在用 LockBit 感染 1000 多个系统中扮演了重要角色。

六个国家新加入由美国牵头的打击手机黑客间谍软件的协议

拜登政府欢迎六个新国家加入由美国牵头的打击手机黑客间谍软件的协议,因为近期不断发现有美国政府人员成为这种被视为国家安全和反间谍威胁的技术攻击目标的新案例。

黑客有能力避开保护 访问您与AI助手的加密私人聊天记录

对某些人来说,人工智能助手就像我们的好朋友,我们可以向他们提出任何敏感或尴尬的问题。毕竟,我们与它们的通信是加密的,这看起来很安全。然而,以色列的研究人员发现了黑客规避这种保护的方法。

黑客在百度付费推广Notepad++带毒版 专门针对Mac和Linux用户

据卡巴斯基安全实验室发布的最新报告,该实验室检测到有用户下载的 Notepad++(或者分叉版本 Notepad--) 携带病毒,进行针对性分析后卡巴斯基安全实验室发现黑客竟然在百度搜索上付费投放广告来诱导用户下载。

麦当劳称全球点单系统异常并非遭到攻击 而是第三方服务商修改配置导致

昨天麦当劳的 POS 系统在全球多个市场出现异常,这个系统用来处理在线点单、收银、打印订单等,在出现故障后大量麦当劳门店不得不依靠纸笔记录订单。

加密邮箱提供商ProtonMail手撕LastPass 指责这款密码管理器不安全

端到端加密邮箱 ProtonMail 的开发商 Proton 最近推出了他们自己的密码管理器 Proton Pass,这款密码管理器目前口碑还算不错,不过用户还是需要付费订阅后才能使用的。今天 Proton 罕见发布博客罗列密码管理器 LastPass 的各种安全问题,指责该密码管理器不安全,用户就不应该使用 LastPass。

国际组织 Cybercrime Atlas 希望在全球范围内打击网络犯罪

当今最大的安全威胁都是在国际舞台上活动的,这意味着要有效地瓦解它们显然也应该依赖全球合作。《网络犯罪地图集》(Cybercrime Atlas)的成员们正在努力做到这一点,首先是共享网络犯罪团伙及其行动的情报。

Let's Encrypt旧的根证书即将到期 Android 7.1.1及更早版本的用户将受影响

如果你仍然在使用 Android 7.1.1 及更早的版本,那么接下来你可能会碰到有一些网站无法访问,这并不是网站的问题而是系统版本问题。Let's Encrypt 是目前被广泛使用的免费证书颁发机构,当前全球至少也有千万以上的网站使用 Let's Encrypt 签发的证书。

俄/加公民瓦西里耶夫因通过LockBit勒索数千万美元被判刑四年

2022 年 10 月加拿大执法机构在安大略省逮捕 33 岁的米哈伊尔瓦西里耶夫,这是一名拥有加拿大和俄罗斯双重国籍的犯罪分子,属于臭名昭著的勒索软件 LockBit 的下级运营商。

爱尔兰政府网站漏洞暴露百万居民COVID-19疫苗接种记录 拉锯两年才公开披露

爱尔兰政府两年前修复了其国家 COVID-19 疫苗接种门户网站的一个漏洞,该漏洞暴露了约一百万居民的疫苗接种记录。但直到本周,在试图与政府机构协调公开披露漏洞的努力陷入僵局后,该漏洞的细节才被披露出来。

苹果“篡改”cURL行为引起开发者不满 实际弱化了安全性

cURL 开发者丹尼尔上周在博客中发布了一篇文章抨击苹果 “篡改” cURL 导致的 “安全问题”,这个问题最初是 2023 年 12 月有用户提交的,跟踪 ID 为 12604。丹尼尔针对该问题进行调查后发现这并不是 cURL 的问题,而是苹果在部署中进行了一些修改,为此丹尼尔发邮件给苹果,苹果安全团队还表示有意这么干的,不需要 “修复”。

某国产电视盒子每天凌晨5点疯狂破解路由器 为什么这么干呢?

据网友 @要优雅不要污的零发布的一张截图,网友使用的 TP-LINK 路由器弹出提示称某些设备连续多次使用错误密码登录管理界面,为了防止路由器的管理密码被暴力破解,TP-LINK 在重启路由器之前已经禁止使用这些设备登录路由器管理界面。

政协委员两会发声取消过度人脸识别 胡锡进力挺

3月4日下午3时,全国政协十四届二次会议在北京开幕。全国政协委员戴斌提交的一份提案,引发广泛热议,还得到了著名媒体人胡锡进的力挺。只因提案呼吁的是,取消旅游场景中过度的人脸识别。

印度选举委员会修复暴露公民信息搜索数据的隐私漏洞

印度选举委员会已修复了其网站上的漏洞,这些漏洞暴露了与公民要求获得有关其投票资格状况、当地政治候选人和政党以及电子投票机技术细节等信息相关的数据。印度即将举行下届大选,预计在 4 月至 5 月间选出议会下院议员,并由他们组建新政府。

美国民众去年因网络欺诈损失了创纪录的125亿美元

根据美国联邦调查局(FBI)的年度《互联网犯罪报告》,2023 年美国公众举报的网络欺诈案件造成的损失超过 125 亿美元,比前一年增加了 22%。该报告汇编了联邦调查局互联网犯罪投诉中心(IC3)提供的信息,显示欺诈案件几乎全面稳步增长,该中心登记的投诉超过 88 万件,IC3 只汇总了举报案件的数据,因此实际金额可能还要高得多。

住酒店必须刷脸?政协委员建议取消 为“任性”刷脸套缰绳

“刷脸”,再次成为全国两会的热词。“从什么时候开始,入住酒店要人脸识别了?你知道这是哪里的要求吗?”全国政协委员、中国旅游研究院院长戴斌把采访的记者问愣住了,而他带到全国两会上的建议就和“旅游场景中过度使用人脸识别问题”相关。

CloudFlare推出Firewall for AI 特别为人工智能模型研发的防火墙

知名网络服务提供商 CloudFlare 今天宣布推出 Firewall for AI,这并不是基于 AI 技术开发的传统防火墙应用,而是专门为 AI 开发的防火墙。这个 AI 防火墙的主要客户是企业,即面向那些部署 AI 模型的企业,在部署之前提供一个保护层,如果终端用户输入有问题的内容那么可能会被防火墙直接拦截。

韩国两家芯片设备制造商遭黑客入侵

韩国国家安全机构3月4日表示,自2024年以来,朝鲜支持的网络黑客已经渗透了两家韩国半导体设备公司,或是为了窃取韩国国内芯片制造项目的信息。韩国国家情报局表示,朝鲜在2023年12月和2024年2月渗透了两家公司的服务器,窃取了其设施的产品和生产设施的蓝图。

安全研究人员证明可以利用聊天机器人系统传播AI驱动的蠕虫病毒

大科技公司继续不计后果地投入数十亿美元,为消费者提供人工智能助手。微软的 Copilot、Google的 Bard、亚马逊的 Alexa 和 Meta 的 Chatbot 都已经拥有了生成式人工智能引擎。苹果是少数几个似乎在慢慢将 Siri 升级为 LLM 的公司之一。它希望与本地运行而非云端运行的 LLM 竞争。

简易密码别再用 一男子捡到银行卡仅用2次试出密码盗走7万元

日常生活中很多人为了防止忘记,喜欢设置简易密码,将银行卡、账号等密码设置为123456、666666、789456等等简易且有规律的数字。但这样的简易密码非常容易被破解,导致钱财、隐私等损失。据多家国内媒体报道,近日一无业游民徐某捡到他人遗失的银行卡后,破解了对方的密码,将卡内的钱款据为己有,共盗走7万元。

德国警方摧毁网络黑市Crimemarket 年仅23岁的主犯被逮捕

德国警方日前宣布摧毁了一个主要以德语为主的网络黑市 Crimemarket (犯罪市场,名字就是这么直白),逮捕了 6 人,其中主犯年仅 23 岁。Crimemarket 算是德国最大的网络黑市,和我们之前提到的各种地下黑客论坛不同,活跃在 Crimemarket 主要是一些从事非黑客行业的犯罪分子,包括毒贩等。

WhatsApp在法庭上获胜 获得Pegasus源代码访问权

美国地区法院裁定,NSO Group必须向 WhatsApp 移交其臭名昭著的 Pegasus 间谍软件的源代码。WhatsApp 在美国与 NSO Group 展开了一场法律战,指控该公司使用以色列公司的 Pegasus 恶意软件在两周内监视了 1400 多名 WhatsApp 用户。

澳大利亚情报机构警告:间谍正在学习如何破坏关键基础设施

澳大利亚安全情报组织(ASIO)的任务是保卫国家不受间谍、破坏和恐怖主义的侵害。与美国的联邦调查局和英国的军情五处类似,澳大利亚安全情报组织最近一直在积极努力挫败外国实体的重大网络战行动。

GitHub遭到大规模持续性的恶意存储库攻击 已删除数百万个带毒存储库

GitHub 目前正在努力遏制一场持续性的攻击,有加密货币相关的犯罪团伙利用自动化工具创建大量 GitHub 账号,然后再去自动化 fork 知名的存储库,在这些存储库里添加携带后门程序。这些后门程序主要针对的是加密货币投资者,即如果用户或开发者不慎使用了这些带有后门的项目,他们的加密钱包数据可能会被窃取,进而损失资金。

泄漏的短信路由服务数据库泄露了全球科技巨头的2FA安全代码

一家在全球范围内发送数百万条短信的技术公司保护了一个被曝光的数据库,该数据库泄露了一次性安全代码,而这些代码可能允许用户访问他们的 Facebook、Google 和 TikTok 账户。亚洲技术和互联网公司 YX International 生产蜂窝网络设备,并提供 SMS 短信路由服务。

《消费者报告》发现廉价的门铃摄像头存在危险的安全漏洞

《消费者报告》是美国最权威的消费杂志,提供调查报告并测试大众产品,就消费者如何保护自己的权益提供建议和文件。最新报告聚焦于门铃摄像头,结果发现调查结果再糟糕不过了。

加载中...

精彩评论

全部展开

CBer 热度

created by ceallan