2023年6月30日 星期五
今日资讯速览:
1、大众汽车车载娱乐系统曝安全漏洞 可被远程控制
2、日本数字身份证系统闹信息错误乌龙,首相致歉并延长换卡时间
3、使用成人内容做诱饵 DcRAT恶意木马曝光
1、大众汽车车载娱乐系统曝安全漏洞 可被远程控制
28日消息,根据GitHub的一份报告,大众汽车Discover Media信息娱乐系统被曝存安全漏洞,该漏洞可能会使未打补丁的系统遭到DoS攻击。该漏洞起初是由大众汽车的用户发现的,随后大众汽车方面确认了该漏洞,表示该漏洞是一个产品质量的问题,会及时改进,漏洞的标识为CVE-2023-34733。
【阅读原文】
2、日本数字身份证系统闹信息错误乌龙,首相致歉并延长换卡时间
IT之家 6 月 28 日消息,日本最新部署的数字身份证 My Number 系统出现了一些乌龙情况,据日本时报(Japan Times)报道,由于系统未能考虑到姓名相同的可能性,因此在实体身份证件寄送过程中,出现了地址混淆的情况。
IT之家经过查询得知,“My Number”数字身份证是当下日本居民的唯一标识,居民需要持该卡才能访问政府服务。该身份证配备 NFC 芯片,因此线上线下都能通用,而日本政府近来准备使用该身份证取代原有的健康保险卡。
▲ 图源 日本时报
据悉,数字大臣河野太郎要求彻底清查此事,而日本总务省对此表示,这些实体身份证件并未遭到黑产所滥用,甚至“收到新款身份证的民众也可能根本并不知情”。
对此,日本首相岸田文雄于 6 月 21 日发表公开谈话时进行了致歉,并要求日本政府迅速对 My Number 系统中的信息进行检查。
岸田文雄表示:“确保公众信任对于向数字社会过渡至关重要,政府将全力以赴,尽快重新获得人民的信任。”
他同时宣布,将于今年秋天调整相关法令,延长新旧身份证件的更换时间至 2025 年,消除民众对新款身份证的疑虑,健康保险卡将持续到 2025 年。
【阅读原文】
3、使用成人内容做诱饵 DcRAT恶意木马曝光
28日消息,安全分析公司eSentire日前揭露了恶意木马DcRAT的系列攻击行动,黑客疑似通过在网络上以“成人内容”作诱饵,引导用户点击含有木马的网站,并进而入侵用户终端。eSentire表示,此木马程序是AsyncRAT的改造版本,不只具备窃取用户隐私信息的能力,还能通过插件加密电脑硬盘中的文件。
【阅读原文】
2023年6月29日 星期四
今日资讯速览:
1、欧盟将出台新法规,要求苹果等科技巨头简化用户在线数据迁移流程
2、ChatGPT检测钓鱼邮件精度高达98%
3、澳大利亚总理建议每晚关机五分钟作为安全保障
1、欧盟将出台新法规,要求苹果等科技巨头简化用户在线数据迁移流程
IT之家 6 月 29 日消息,欧盟正在制定一系列法律,旨在限制科技巨头的权力,其中最新的一项被称为《数据法案》。该法案将规定苹果等科技公司如何使用欧洲消费者和企业的数据,并保护用户的隐私和选择权。
目前,如果你是苹果生态系统的忠实用户,你可能在 iCloud 上存储了大量的数据,包括联系人、信息、日历、照片、视频、邮件、笔记、文档、设备备份等。如果你想要把这些数据从 iCloud 迁移到其他云服务(比如因为价格上涨),这并不是一件容易的事情,而这正是新法案想要改变的。
据IT之家了解,数据可移植性是指消费者应该能够自由地将他们的在线数据从一项服务迁移到另一项服务,尽可能快速和简单地完成这一过程。这样可以增加消费者的选择性,打破科技巨头的垄断优势。例如,Facebook 就不得不推出了下载和转移数据的工具。
据路透社报道,欧盟各国和欧盟立法者已经在周二就该法案达成了初步协议。该法案将使用户更容易切换到其他数据处理服务提供商,引入保障措施来防止云服务提供商非法转移数据,并规定制定部门之间重复使用数据的互操作标准。
苹果几乎肯定会受到这项新法律的影响。虽然苹果支持数据可移植性的原则,并且是数据转移倡议(Data Transfer Initiative)的创始成员之一(Meta 和谷歌也是),但目前其并没有为非技术用户提供一个简单的流程来实现这一点。新法律可能会要求苹果提供一个更顺畅的流程,让消费者可以通过点击一个按钮,就把他们所有的 iCloud 数据转移到 Dropbox 或 Google Drive 等其他云服务上。
除了简化用户数据迁移的流程外,即将出台的法律还将赋予用户更多的话语权,来决定科技巨头可以使用哪些数据。例如,如果你有智能家居产品,它们与品牌所拥有的服务器进行通信,你将可以选择共享哪些数据,以及公司如何使用这些数据。
与所有欧盟法律一样,通过该法案的过程是漫长而复杂的,需要完成许多阶段,所以不要指望能很快生效。预计至少需要两年时间《数据法案》才能成为法律,并适用于苹果等科技公司。
【阅读原文】
2、ChatGPT检测钓鱼邮件精度高达98%
ChatGPT这种通用大语言模型(相比谷歌和微软的网络安全大语言模型)可以根据URL检测网络钓鱼网站吗?
近日,卡巴斯基研究人员测试了5265个URL(2322个钓鱼网址和2943个安全网址)。
研究人员向ChatGPT(GPT-3.5)提出了一个简单的问题:“此链接是否指向网络钓鱼网站?仅根据URL的形式,AI聊天机器人的检出率为87.2%,误报率为23.2%。”
“虽然检出率非常高,但超过两成的假阳性率是不可接受的,这意味着五分之一的网站都会被封锁。”卡巴斯基首席数据科学家Vladislav Tushkanov说。
Tushkanov尝试了更为简单的问题:“这个链接安全吗?”结果要差得多:检出率为93.8%,假阳性率高达64.3%。事实证明,更笼统的提示更有可能导致ChatGPT判定链接是危险的。
更多的数据点能大幅提升检测能力
NTT Security Japan的研究人员进行了同样的测试,但给ChatGPT更多提示:网站的URL,HTML和通过光学字符识别(OCR)从网站中提取的文本。
测试方法概述(来源:NTT Security)
他们用1000个网络钓鱼站点和相同数量的非网络钓鱼站点测试了ChatGPT。研究者使用OpenPhish、PhishTank和CrowdCanary来收集网络钓鱼站点,用Tranco列表用创建非网络钓鱼站点列表。
他们要求ChatGPT识别所使用的社会工程技术和可疑元素,在评估页面上识别品牌名称,判断该网站是网络钓鱼网站还是合法网站(以及原因)以及域名是否合法。
“GPT-4的实验结果展示出了巨大的潜力,精度为98.3%。GPT-3.5和GPT-4之间的比较分析显示,后者减少假阴性的能力有所增强。”研究人员指出。
研究者指出,ChatGPT擅长正确识别策略,例如虚假恶意软件感染警告、虚假登录错误、网络钓鱼短信身份验证请求以及识别不合法的域名,但偶尔无法识别域名抢注和特定的社会工程技术,如果合法域名有多个子域名,则无法识别合法域名等。此外,当使用非英语网站进行测试时,ChatGPT的效果并不好。
“这些发现不仅表明大语言模型在有效识别网络钓鱼站点方面的潜力,而且对加强网络安全措施和保护用户免受在线欺诈活动的危险具有重大意义。”研究人员总结道。
【阅读原文】
3、澳大利亚总理建议每晚关机五分钟作为安全保障
27日消息,澳大利亚总理 Anthony Albanese建议居民将每晚手机关机五分钟作为一种网络安全措施。安全专家表示赞同这一建议,因为定期重启手机有助于清除掉非持久性恶意程序,如只在内存中运行的恶意程序。在系统上执行任意代码并能在重启之后自动执行,这个难度要远大于只在内存中运行,在手机等设备上实现持久运行比PC难度更大。美国国家安全局的移动设备安全最佳实践指南就包括定期如每周重启一次智能手机。
【阅读原文】
2023年6月28日 星期三
今日资讯速览:
1、工信部发布新版《中华人民共和国无线电频率划分规定》,率先在全球将 6GHz 频段划分用于 5G / 6G 系统
2、微软承认Teams存在漏洞 黑客可入侵团队并传播恶意程序
3、物流公司UPS遭黑客入侵导致信息外泄
1、工信部发布新版《中华人民共和国无线电频率划分规定》,率先在全球将 6GHz 频段划分用于 5G / 6G 系统
【阅读原文】
2、微软承认Teams存在漏洞 黑客可入侵团队并传播恶意程序
27日消息,JUMPSEC安全分析公司日前在最新版本的微软Teams中发现了一个漏洞,该漏洞允许黑客绕过客户端安全控制,入侵其他团队,并向团队成员发送带有木马病毒的恶意程序。目前,微软已经承认了该漏洞,但还未开始着手修复。JUMPSEC表示,出于安全需要,微软Teams用户可以直接在设置中禁用相关选项,以防止黑客利用该漏洞发送恶意程序至团队内。
【阅读原文】
3、物流公司UPS遭黑客入侵导致信息外泄
27日消息,由于物流公司涉及频繁处理顾客地址、电话等隐私数据,且此类公司对于顾客信息的安全保护并不严密,因此近来许多黑客瞄准物流企业进行攻击。安全分析公司 Emsisoft透露,最近收到物流公司UPS加拿大分公司的通知信,表示用户这段时间需要留意短信诈骗及钓鱼电子邮件。信中表示,黑客使用UPS的信息搜索工具,取得了大量包含寄件人各种信息的隐私数据,并将这些数据打包用于售卖。据悉,该公司加拿大客户业务或会受到此事件影响。
【阅读原文】
2023年6月27日 星期二
今日资讯速览:
1、近 1000 万驾照持有者信息在DMV、OMV网络攻击中泄露
2、有人向美国军事人员发送神秘智能手表
3、运营商底层协议“漏洞”:通过手机号算出使用者的现实位置,几乎零成本
1、近 1000 万驾照持有者信息在DMV、OMV网络攻击中泄露
此次泄露事件归因于与俄罗斯有关的 Clop 勒索软件团伙,利用了两个 DMV 使用的 MOVEit Transfer 安全文件传输服务中的零日漏洞CVE-2023-34362 。
此次数据泄露可能影响了全球数百个组织,其中包括几个美国联邦机构。
路易斯安那州 OMV 网络攻击
影响了该州所有身份证持有者
据路易斯安那州 OMV(机动车辆办公室)称,网络攻击影响了该州所有驾驶执照、身份证或汽车登记号码的持有者。
暴露的数据包括受害者的姓名、地址、社会安全号码、出生日期、身高、眼睛颜色、驾驶执照号码、车辆登记信息和残障标牌信息。
路易斯安那州 OMV 网络攻击影响了至少 600 万驾照持有者。路易斯安那州打算通知所有潜在的受害者。
与此同时,路易斯安那州 OMV 没有发现任何证据表明威胁行为者出售、使用、共享或发布暴露的数据。Clop 勒索软件团伙还承诺删除从政府机构窃取的所有个人信息。
路易斯安那州州长国土安全和应急准备办公室 (GOHSEP) 推出了一个专门网站,帮助该州驾照持有者减轻网络攻击的影响。
GOHSEP 建议潜在受害者采取额外措施,通过重置所有在线帐户的密码(包括银行、电子邮件和社交媒体)并监控其信用档案,保护自己免受在线身份盗窃。
信用报告机构还允许免费冻结个人的信用档案,以防止欺诈者使用个人信息获取信用卡或贷款。
此外,可能受影响的驾驶执照持有者应从美国国税局 (IRS) 获取“身份保护密码”,以防止网络犯罪分子代表受害者欺诈性地提交纳税申报表或接收退税。
路易斯安那州 OMV 建议:“如果您怀疑涉及您的数据(包括财务信息)的任何异常活动,请致电 1-877-FTC-HELP 联系联邦贸易委员会或立即访问 www.ReportFraud.FTC.gov。”
【阅读原文】
2、有人向美国军事人员发送神秘智能手表
美国陆军刑事调查部门报告称,全军军人收到了未经请求的智能手表。使用这些智能手表后,设备会自动连接到 Wi-Fi,并开始自动连接到手机,从而获取大量用户数据。
军事调查部门还报告称,智能手表还可能包含恶意软件,可用于监视士兵并窃取敏感数据。
“这些智能手表还可能包含恶意软件,允许发送者访问已保存的数据,包括银行信息、联系人以及用户名和密码等帐户信息。” 读取警报。“可能存在访问语音和摄像头的恶意软件,使攻击者能够访问与智能手表相关的对话和帐户。”
该警报还指出,这些产品也可能用于“刷单”,即通过邮件主动向看似随机的个人发送通常是假冒的产品,以允许公司使用收件人的姓名撰写正面评论。
建议收到该设备的美国军事人员不要打开该设备并向当地反情报部门或安全经理报告,或通过我们的 提交提示 – 报告犯罪 报告门户。
【阅读原文】
3、运营商底层协议“漏洞”:通过手机号算出使用者的现实位置,几乎零成本
安全内参6月20日消息,一个大学研究团队发表论文,提出了新型侧信道攻击方法“离奇泄密短信(Freaky Leaky SMS)”,可根据短信送达报告的时间推断接收者的现实位置。
短信送达报告由移动网络的短信服务中心(SMSC)处理,通知用户短信是否已传送、被接受、发送失败、无法送达、已过期或被拒绝。虽然这个过程涉及路由、网络节点传播和处理延迟,但移动网络的固定性质和特定物理特征决定了短信送达报告在标准信号路径的传播时间具有可预测性。
研究人员开发了一种机器学习算法,通过分析短信送达报告中的时间数据确定接收者位置。如接收者位置位于不同国家,算法准确率可达96%;如两个接收者位置位于同一国家,算法准确率可达86%。
准备工作
攻击者首先需要收集一些测量数据,用于建立短信送达报告与目标已知位置之间的具体关联。
短信传输图解(arxiv.org)
攻击者获取的目标行踪的数据越精确,机器学习模型在攻击阶段对位置的分类结果将更准确。
为了收集数据,攻击者必须向目标发送多条短信。他们可以将这些短信伪装成广告信息,这样接收者会忽视它们或将其视为垃圾短信。攻击者也可以使用静默短信。静默短信是一种没有内容的0级短信,在目标屏幕上不产生任何通知,但SMSC上的设备仍会确认接收。
在实验中,论文作者使用安卓调试工具(ADB),向美国、阿联酋和七个欧洲国家的多台测试设备,连续三天每小时发送20条静默短信,范围涵盖了十家运营商,涉及多种不同代际的通信技术。
随后,他们测量了每个案例短信发送报告的时间,并将数据与匹配的位置标识符相结合,生成了一个全面的机器学习评估数据集。
机器学习模型总共使用了60个节点(10个输入节点、10个输出节点、40个隐藏节点)。训练数据还包括接收位置、连接条件、网络类型、接收者距离等信息。
攻击步骤图解(arxiv.org)
定位接收者
实验侧重于“封闭世界”攻击场景。该场景中存在多个预定位置,研究目标是将目标分类到某一预定位置。研究人员发现他们的模型能够非常准确地区分国内和海外位置(准确性高达96%),对不同国家的分类准确率也相当高(92%),亦可以较好地区分同一地区的不同位置(62%至75%)。
全球分类结果(arxiv.org)
准确性取决于位置、运营商和条件。以德国为例,实验系统对57个不同类别的平均准确率为68%,分地区预测准确率最高可达92%。系统在比利时取得了最佳结果,平均正确预测准确率为86%,分地区预测准确率最高可达95%。
完整实验结果(arxiv.org)
如考虑德国的三个位置,模型的平均预测准确率下降至54%,分地区预测准确率最高达到83%。尽管如此,准确率仍然明显高于随机预测算法的33%。如考虑希腊的三个位置,模型实现了不错的平均预测准确率,达到了79%(随机预测算法为33%),分地区预测准确率最高达到82%。
实验结果摘要(arxiv.org)
研究人员将在未来探讨目标访问未知位置的“开放世界”场景,并在论文中简要解释预测模型将如何适应这些场景。
简而言之,基于概率输出、异常检测,并在机器学习训练数据集中纳入地标和其他感兴趣位置,将可以实现开放世界攻击。不过,攻击规模将呈指数增长,这超出了本文的讨论范围。
结论
“离奇泄密短信”攻击方法准备工作繁琐,实施过程复杂,并非适用于所有情况,且面临若干实际限制。虽然有这些局限,它依然对用户带来了潜在隐私风险。
这篇论文的一个作者Evangelos Bitsikas告诉外媒BleepingComputer,本实验中,研究人员将自己视为基准攻击者。也就是说,他们限制了攻击者的资源、机器学习知识和技术能力。这意味着,拥有更多资源、经验丰富的攻击者理论上可以产生更大的影响,甚至在“开放世界”攻击场景中有所斩获。
值得注意的是,该研究团队去年还开发了类似的定时攻击,证明通过信息送达报告,可以大致定位Signal、Threema和WhatsApp等流行即时通讯工具的用户。
参考资料:https://www.bleepingcomputer.com/news/security/sms-delivery-reports-can-be-used-to-infer-recipients-location/、https://arxiv.org/abs/2306.07695
【阅读原文】
2023年6月26日 星期一
今日资讯速览:
1、黑客论坛 15,000 美元出售美方军事卫星接入
2、2022年我国网络安全市场规模约为633亿元 同比增长3.1%
3、公安破获一起跨省侵犯公民个人信息案 信息超10万条
1、黑客论坛 15,000 美元出售美方军事卫星接入
据称,这颗卫星据称由美国著名空间技术公司 Maxar Technologies 所有。而有人表示,访问这颗卫星可能会提供对美国境内军事和战略定位的了解。
活跃在俄语黑客论坛上的一名黑客发布了一则广告,出售Maxar Technologies运营的一颗军用卫星的访问权限。这家总部位于科罗拉多州的空间技术公司专门制造用于通信、地球观测、雷达和在轨服务的卫星。
黑客的说法表明,潜在买家可以获得有关美国军事和战略定位的敏感信息。
尽管这些说法的真实性仍不确定,但黑客提出使用托管(一种值得信赖的第三方支付服务)的事实增加了该提议的可信度。
此访问的广告价格已定为 15,000 美元。值得注意的是,未经授权访问军事卫星可能会产生严重的法律和安全后果。
AT&T 访问广告(图片来源:Hackread.com)
由于军事卫星在监视、通信和战略行动中发挥着至关重要的作用,这种访问违规的影响是重大的。任何未经授权访问这些系统都可能危及国家安全并构成严重威胁。
还出售 AT&T 电子邮件的访问权限
在 Hackread.com 观察到的相关帖子中,同一黑客还以 7,000 美元的价格提供AT&T 公司的电子邮件帐户访问权限。黑客声称,所提供的访问权限将禁用双因素身份验证 (2FA),从而使帐户容易受到潜在的网络攻击。
AT&T 是一家总部位于美国的大型电信公司,处理大量敏感信息,包括客户数据和公司通信。破坏这些电子邮件帐户可能会泄露机密信息,并可能导致进一步的未经授权的活动。
虽然这些说法的可信度和合法性尚未得到证实,但 Maxar Technologies 和 AT&T 必须立即采取行动,调查潜在的安全漏洞并解决任何潜在的漏洞。
此外,个人和组织保持警惕、定期更新安全措施并利用强大的身份验证协议来防止未经授权的访问和网络威胁至关重要。
执法机构、网络安全公司和受影响的公司应合作彻底调查这些指控,识别潜在漏洞,并采取必要措施确保其系统和数据的安全性和完整性。
多次销售
这并不是第一次发现俄语黑客论坛提供对美国关键网络基础设施的访问。今年3月,美国法警局的数据被发现在俄罗斯论坛上出售。黑客以 15 万美元的价格提供 350 GB 的数据。
2021年5月,FBI就多个俄罗斯黑客论坛上出售美国各大学的网络凭证和VPN访问信息发出警告。FBI 透露,出售的信息主要是通过勒索软件、鱼叉式网络钓鱼和其他网络攻击获得的。
【阅读原文】
2、2022年我国网络安全市场规模约为633亿元 同比增长3.1%
近日,中国网络安全产业联盟发布《2023年中国网络安全市场与企业竞争力分析报告》。报告显示,2022年我国网络安全市场规模约为633亿元,同比增长率为3.1%。行业总体保持增长态势,网络安全相关政策的顶层设计逐渐完善,预计未来三年增长率将持续超过10%,到2025年市场规模预计将超过800亿元。报告指出,当前我国网络安全市场进入稳健增长阶段,头部企业规模和资源优势进一步凸显,从而获得更大市场份额。
【阅读原文】
3、公安破获一起跨省侵犯公民个人信息案 信息超10万条
近日,湖北省宜昌市公安局破获一起跨省侵犯公民个人信息案,打掉犯罪窝点3处,抓获犯罪嫌疑人4名,查获涉案手机150多部、电脑4台,涉案金额超200万元,涉及公民个人信息超10万条。据悉,犯罪嫌疑人先是添加受害人微信,再将其拉入微信群,最后将微信群卖给境外诈骗团伙实施诈骗,从中获取非法利益。
【阅读原文】
2023年6月25日 星期日
今日资讯速览:
1、女子与陌生人共享屏幕,结果背负近百万贷款债务
2、国家网信办正式发布境内深度合成服务算法备案信息
3、6.2万元罚单!湖南某医院数据保护不力造成泄露
1、女子与陌生人共享屏幕,结果背负近百万贷款债务
IT之家 6 月 20 日消息,据荔枝新闻报道,近日,常州市公安局经开区分局潞城派出所接到一起特殊的诈骗案件。一名姓周的女子在接到一个自称是京东金融工作人员的陌生电话后,被对方以征信问题为由,诱导她下载视频会议软件,并在屏幕共享的情况下,从十多个平台贷款并转账,最终背负了近百万贷款债务。
据周女士回忆,当天她接到一个陌生电话,对方自称是京东金融工作人员,并准确说出了她的姓名和地址。对方告诉她,由于京东金融下架整改,她的金条账户会产生高额的滞纳金和管理费,需要她注销关闭账户,否则会影响她的个人征信。周女士信以为真,于是按对方指导,下载了“腾讯会议”App,并开启屏幕共享。
在屏幕共享的过程中,对方冒充官方给周女士发送了一封包含征信报告和安全账户的邮件,并让她查看自己已经安装的京东、微信微粒贷等 App 上的贷款功能,并骗她上面的数字是不良征信记录,要全部清空额度,并转入“银证对接账户”,才能修复个人征信。周女士不知道的是,所谓的清空额度,其实是将自己的信用贷款转到骗子账户。而所谓的银证对接账户,也是骗子账户。
不仅如此,对方还要求周女士下载安逸花、美团、携程等 App 查看是否存在不良征信,并重复上述操作。就这样,在所谓“京东客服”的引导下,周女士从十多个平台贷款并转出,背负了近百万贷款债务。
当周女士意识到自己被骗时,已经为时已晚。她立即报警,并向警方说明了事情的经过,目前案件正在进一步调查中。
IT之家注意到,这是一种新型的诈骗手段,利用视频会议软件实现屏幕共享,从而控制受害人的手机操作。常州市公安局经开区分局潞城派出所民警卜雅倩提醒市民:“个人征信由中国人民银行及其派出机构统一管理,任何机构和个人无权随意删除或修改信用报告中展示无误的不良信息。不要轻易下载视频会议软件,更不要在共享屏幕时进行银行账户操作。如果遇到类似情况,请及时挂断电话,并向警方报案。”
【阅读原文】
2、国家网信办正式发布境内深度合成服务算法备案信息
20日消息,根据《互联网信息服务深度合成管理规定》,国家互联网信息办公室公开发布境内深度合成服务算法备案信息,具体信息可通过互联网信息服务算法备案系统进行查询。《规定》明确,具有舆论属性或者社会动员能力的深度合成服务提供者,应当按照《规定》履行备案和变更、注销备案手续。深度合成服务技术支持者应当参照履行备案和变更、注销备案手续。
【阅读原文】
3、6.2万元罚单!湖南某医院数据保护不力造成泄露
19日消息,经查,湖南衡阳市衡南县某医院未履行数据安全保护义务,造成部分数据泄露,违反《中华人民共和国数据安全法》第二十九条规定。衡南县网信办依据《中华人民共和国数据安全法》第四十五条规定,对该医院作出责令整改,给予警告,并处罚款5万元的行政处罚。同时,对第三方技术公司及相关责任人处以1.2万元罚款。据悉,这是衡阳市县级网信部门开出的首张“罚单”,也是衡阳网信部门在数据安全领域开出的首张“罚单”。
【阅读原文】
2023年6月21日 星期三
今日资讯速览:
1、请查收!国家反诈中心2023版《防范电信网络诈骗宣传手册》来了
2、今年最大规模网络攻击:零日漏洞击穿防线,美国近百家大型政企遭勒索
3、强制索要信息 餐饮行业或成隐私安全泄露重灾区
1、请查收!国家反诈中心2023版《防范电信网络诈骗宣传手册》来了
【阅读原文】
2、今年最大规模网络攻击:零日漏洞击穿防线,美国近百家大型政企遭勒索
安全内参6月19日消息,美国官员15日称,俄罗斯勒索软件组织Clop利用MOVEit文件传输软件的零日漏洞发动攻击,窃取并高价售卖美国能源部在内的多个联邦机构用户数据。
美国联邦机构网络安全与基础设施安全局(CISA)公布了这起入侵事件。CISA局长Jen Easterly认为此次入侵具有“高度随机性”,既没有专注于“特定的高价值信息”,也没有像之前针对美国政府机构的网络攻击那样具有破坏性。“这次攻击不像SolarWinds供应链攻击事件一样具有系统性风险。”SolarWinds事件发生于2020年,这起大规模入侵事件对多个美国情报机构带来严重破坏。
联邦地方机构纷纷被黑,海量公民数据遭勒索
美国能源部证实,旗下两家机构对数据记录遭到入侵,并已通知国会和CISA。美国农业部发言人表示,他们可能遭到了Clop的攻击,该部门将首次因为数据泄露接受调查。
美国劳工部、教育部和内政部的发言人表示,这些部门未受影响。国务院、国防部和联邦调查局(FBI)代表拒绝对是否受到影响发表评论,其他几家联邦机构也未回应置评请求。
美国国会能源和商业委员会主席Cathy McMorris Rodgers和高级委员Frank Pallone已要求白宫和能源部就此事进行简报。
多个州级组织也宣布遭遇MOVEit漏洞相关的数据泄露事件。伊利诺伊州、密苏里州和明尼苏达州表示正在调查可能影响数千人的与MOVEit有关的数据泄露事件。俄勒冈州和路易斯安那州的机动车部门确认受到了这些攻击的影响。
路易斯安那州发表声明称,所有持有该州发行的驾驶执照、身份证明或车辆注册证的居民的个人信息“可能”被窃取。俄勒冈州交通部确认,大约350万持俄勒冈州身份证或驾驶执照的居民遭到数据泄漏。
根据CISA和FBI的评估,这次入侵是俄罗斯勒索软件组织Clop所为。他们利用MOVEit软件漏洞攻击了多个地方政府、大学和企业。CISA高级官员表示,虽然只有少数联邦机构受到了影响,但私营机构的初步报告显示,至少有几百家公司和组织受到了影响。安全厂商Emsisoft的威胁分析师Brett Callow称,已统计到63名已知/确认受害者和数量不详的政府机构。
受到此次攻击影响的软件用户包括美国伊利诺伊州、加拿大新斯科舍省和英国伦敦的公职人员,以及英国航空公司和英国广播公司(BBC)。约翰·霍普金斯大学、佐治亚州大学系统和壳牌公司也发布了类似的被攻击声明。
根据GovSpend公司的数据,美国航空航天局(NASA)、财政部、卫生部、国防部等众多联邦政府机构购买了MOVEit软件,但目前尚不清楚有多少机构正积极使用该软件。
Log4shell式灾难:一连串漏洞曝光
MOVEit是一款十分流行的商业文件传输工具,由美国上市公司Progress Software生产。此次遭利用的MOVEit SQL注入零日漏洞CVE-2023-34362。
CISA通报称,Clop组织在5月27日开始利用该漏洞发起攻击。该组织此前曾使用Accellion、GoAnywhere等多种文件传输工具的漏洞实施入侵。
Progress Software在6月1日修复了CVE-2023-34362。但6月9日又曝光了SQL注入漏洞CVE-2023-35036,该公司于次日修复。6月16日曝光了SQL注入漏洞CVE-2023-35708(基于第一个漏洞的补丁绕过),该公司于次日修复。
MOVEit发言人表示,目前尚未看到新漏洞被利用的迹象。Progress在公告中强调,所有MOVEit客户应“立即采取行动,解决这个重大问题”。客户需要先修补最初的漏洞,然后再应用最新的修复程序。CISA也呼吁各大组织阅读Progress针对这个漏洞的公告。
第二个漏洞的披露者Huntress高级安全研究员John Hammond表示,推特用户@MCKSys Argentina 在检查此前研究成果时,找到了第三个漏洞。他们注意到,最新的修补程序仍然抵御不了其他攻击方法,随即发现了第三个零日漏洞。Clop勒索软件黑客使用的攻击方法涉及三个单独的步骤,利用最新漏洞能减少一个步骤。他建议用户继续修补程序,而Progress建议完全关闭HTTP组件。
John Hammond指出,黑客可以通过多种方式攻击MOVEit文件传输应用程序,因此发现更多问题“并不奇怪”。越来越多的安全研究人员正在详细研究MOVEit软件,试图找到更多漏洞。在这一过程中,可能会继续发现更多绕过技术。Huntress正与Progress密切合作,帮助后者更新、加固遗留代码库。
勒索软件威胁态势严峻
Clop组织此前声称对之前一波入侵负责。该组织表示对政府或警察办公室窃取的数据不感兴趣,而是专注于窃取商业信息。
美国网络安全公司Cloudera的政府解决方案总裁Robert J. Carey指出,勒索软件攻击窃取数据很容易被出售给其他非法分子。
MOVEit的公司代表表示,他们已经与联邦执法部门和其他机构合作,打击网络犯罪分子利用常见软件产品的漏洞。
俄罗斯勒索软件组织对政府机构的网络犯罪行为并非个案,近期频繁发生的勒索软件攻击已导致医院、能源系统和城市服务等关键民用基础设施陷入瘫痪。
一些攻击主要出于财务动机,例如2021年影响全球多达1500家企业的勒索软件攻击。然而,最近几个月,俄罗斯勒索软件组织得到俄罗斯政府默许,针对支持乌克兰的国家发起了政治色彩明确的攻击。俄乌战争伊始,哥斯达黎加27个政府机构受到俄罗斯组织Conti的勒索软件攻击,该国总统被迫宣布全国紧急状态。
早在俄乌战争之前,俄罗斯发起对网络攻击已成为美俄关系重要争议点。2021年,美国总统拜登与俄罗斯总统普京会面时,白宫将这一问题列为首要讨论议题。两位总统会晤前一个月,一家据信来自俄罗斯的黑客组织对美国最大的燃油管道发动了勒索软件攻击,迫使运营商支付500万美元恢复被窃取的数据。美国联邦调查人员后来表示,他们通过网络行动,追回了大部分赎金。
参考资料:https://www.nytimes.com/2023/06/15/us/politics/russian-ransomware-cyberattack-clop-moveit.html、https://therecord.media/third-moveit-vulnerability-raises-alarms、https://www.theregister.com/2023/06/16/third_moveit_bug_fixed/
【阅读原文】
3、强制索要信息 餐饮行业或成隐私安全泄露重灾区
近期,上海市消保委对29家知名度较高的奶茶店和快餐店进行暗访,发现其中8个品牌的小程序会索要消费者的手机号,否则无法完成下单。该情况反映出餐饮企业与所委托的技术开发企业,采取的是“消费者信息采集最大化”原则。因此,有关部门在数据安全方面要进行常态化监管,对涉嫌强制消费者提供个人信息且所提供信息范围远超合理标准的餐饮企业,进行约谈,要求其在规定时限内完成整改,并向社会公布相应黑名单。
【阅读原文】
2023年6月20日 星期二
今日资讯速览:
1、你的工作未来由人工智能决定,报告称明年 43% 的企业部署 AI 面试
2、印度制药巨头Granules遭LockBit勒索软件攻击
3、黑客假冒LetsVPN网站传播银行木马
1、你的工作未来由人工智能决定,报告称明年 43% 的企业部署 AI 面试
IT之家 6 月 20 日消息,根据市场调查机构 Resume Builder 本月初公布的报告,2024 年有 43% 的企业招聘将引入人工智能,简化招聘流程、提高面试效率。
询问人事所在公司部署 AI 面试的情况
报告中预估 15% 的企业人事管理人员会采用全自动招聘方法,完全依赖人工智能帮助企业筛选合适的人才,并对其展开面试。
最近的一项调查还显示,46% 的求职者正在使用 ChatGPT 来创建他们的申请材料。有趣的是,大约 78% 的受访者表示,在求职过程中使用人工智能技术后,公司的回复率和面试邀请率更高。
图源:Pixabay
该报告于今年 6 月调查了 1000 多名人事,了解其对 AI 面试的使用情况和看法。IT之家在此附上报告主要内容如下:
43% 的企业已经或者计划在 2024 年前部署 AI 面试。
三分之二的人事认为 AI 面试将提高招聘效率。
15% 的受访者表示,AI 将用于在没有任何人工输入的情况下对候选人做出决定。
超过一半的人认为 AI 最终将取代人事。
【阅读原文】
2、印度制药巨头Granules遭LockBit勒索软件攻击
近日,印度制药巨头Granules India遭到LockBit勒索软件团伙的网络攻击,部分数据被窃取并公开在暗网上。LockBit在其泄露网站上于周三将Granules India列为其最新的受害者之一。Granules India尚未证实这次勒索软件攻击。然而,该公司上个月向印度证券交易所披露了一起网络安全事件,并表示已经隔离了受影响的IT资产。Granules India成立于1984年,是印度最大的制药生产商之一,生产许多常见的非专利药物,如对乙酰氨基酚、布洛芬和二甲双胍。
【阅读原文】
3、黑客假冒LetsVPN网站传播银行木马
17日,研究人员新发现一项恶意软件活动,即利用假冒LetsVPN网站传播多种恶意软件。 LetsVPN是一款由LetsGo Network开发的VPN应用程序,旨在提供高速和安全的网络连接。据悉,研究人员在进行常规的威胁狩猎时,发现了多个伪造的LetsVPN网站,这些网站与真正的LetsVPN网站在设计和外观上非常相似,但实际上是用来分发恶意软件的,包括BlackMoon、AgentTesla、Formbook等伪装成合法VPN应用程序的银行木马。
【阅读原文】
2023年6月19日 星期一
今日资讯速览:
1、微软披露Azure中的严重漏洞 可用来执行跨站脚本攻击
2、微软称6月初其服务中断事件是由于DDoS网络攻击所致
3、浙江公安网安部门查处一起涉数据安全违法典型案件
1、微软披露Azure中的严重漏洞 可用来执行跨站脚本攻击
近日,微软 Azure Bastion 和 Azure Container Registry 披露了两个严重的安全漏洞,这些漏洞可能被利用来执行跨站脚本攻击 (XSS) 。Orca 安全研究员在一份报告中表示,这些漏洞允许在受感染的 Azure 服务 iframe 中未经授权访问受害者的会话,从而导致未经授权的数据访问、未经授权的修改以及 Azure 服务 iframe 的中断。Orca 发现的两个缺陷利用了 postMessage iframe 中的一个漏洞,从而实现 Window 对象之间的跨域通信,这意味着该漏洞可能会被滥用。目前,微软已推出了安全修复程序来修复这些漏洞。
【阅读原文】
2、微软称6月初其服务中断事件是由于DDoS网络攻击所致
在6月的第一周,微软遭遇了一次重大 通信故障,几乎影响了其所有服务,包括Azure、Outlook和Teams。该公司现在透露,一次网络攻击是这次全球中断的幕后黑手。
在一篇博客文章中,微软透露了6月初攻击的细节,这次攻击导致其服务中断,公司花了近15个小时才缓解。该公司发现针对其一些服务的流量激增,并对DDoS(分布式拒绝服务)攻击展开了调查。
微软进一步指出,威胁者使用了多个虚拟专用服务器(VPS)、代理、租用的云基础设施以及DDoS工具来实施攻击。虽然这次攻击很复杂,但微软证实,客户数据没有被访问或泄露。
最近的这次DDoS活动针对的是OSI的第7层,而不是之前常见的第3或第4层。微软加强了第7层的保护措施,包括调整Azure网络应用防火墙(WAF),以更好地保护客户免受类似DDoS攻击的影响。
微软还分享了有关这次攻击的技术细节。根据该公司的说法,威胁行为者Storm-1359使用一系列僵尸网络和工具对该公司的服务器发起攻击。这些工具包括HTTP(S)洪水攻击,通过高负荷的SSL/TLS握手和HTTP(S)请求使系统过载并耗尽资源。在微软的案例中,攻击者从全球各地的IP地址发送了数百万个HTTP(S)请求,使系统超载。
不仅如此,攻击者还使用缓存绕过CDN层,用一系列的查询来超载原始系统。最后,攻击者还使用了Slowloris,即客户端向服务器请求资源,但未能确认收到资源,迫使服务器保持连接开放,并在其内存中保存资源。
微软评估认为,Storm-1359可以访问一系列僵尸网络和工具,这些工具可以使威胁者从多个云服务和开放代理基础设施发起DDoS攻击。Storm-1359似乎专注于破坏和宣传。
微软在帖子的最后为Azure客户提出了一系列提示和建议,以保护他们在未来免受第7层DDoS攻击。不过,该公司没有披露与损失有关的细节,也没有披露由于攻击而带来的任何财务影响。
【阅读原文】
3、浙江公安网安部门查处一起涉数据安全违法典型案件
据公安部网安局消息,2023年3月,浙江温州公安网安部门经查发现,浙江某科技有限公司为浙江某县级市政府部门开发运维信息管理系统的过程中,未经建设单位同意,将建设单位采集的敏感业务数据擅自上传至租用的公有云服务器上,且未采取安全保护措施,造成了严重的数据泄露。浙江温州公安机关根据《中华人民共和国数据安全法》相关规定,对公司及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。
【阅读原文】
2023年6月16日 星期五
今日资讯速览:
1、商密厂商云集上海 上交会首设密码板块
2、多个美国政府机构在全球网络攻击中受到冲击
3、报告:生成式 AI 每年可为全球经济增加 4.4 万亿美元收入
1、商密厂商云集上海 上交会首设密码板块
15日,由商务部、科技部、国家知识产权局和上海市人民政府共同主办的第九届中国(上海)国际技术进出口交易会于上海世博展览馆举办。本届上交会的数字技术展区将围绕“数字中国”建设,聚焦商用密码、智能机器人、数字智造等领域,展示最新数字技术应用成果。此外,大会首次设立商用密码展区,展区面积约1200平方米,展览范围涵盖商用密码产品和服务、新兴场景密码应用解决方案和应用案例等。
【阅读原文】
2、多个美国政府机构在全球网络攻击中受到冲击
"多个"美国联邦政府机构在一次全球网络攻击中受到打击,该攻击利用了广泛使用的软件的一个漏洞。美国网络安全和基础设施安全局"正在向几个联邦机构提供支持,这些机构经历了影响其MOVEit应用程序的入侵",该机构负责网络安全的执行助理主任埃里克-戈尔茨坦在周四发表的一份声明中提到了受影响的软件。"我们正在紧急工作,以了解影响并确保及时补救"。
目前还不清楚负责入侵联邦机构的黑客是否是一个讲俄语的勒索软件集团,该集团在黑客活动中声称对许多其他受害者负有责任。
当CNN询问谁对联邦机构实施了黑客攻击以及有多少人受到影响时,CISA发言人不予置评。
但这一消息使两周前开始的大规模黑客行动的受害者人数不断增加,并袭击了美国主要大学和州政府。黑客的疯狂攻击给联邦官员带来了压力,他们承诺要遏制勒索软件攻击的祸害,这些攻击已经使美国各地的学校、医院和地方政府陷入困境。
巴尔的摩的约翰-霍普金斯大学和该大学著名的医疗系统在本周的一份声明中说,"敏感的个人和财务信息",包括医疗账单记录可能在黑客攻击中被盗。
与此同时,佐治亚州的全州大学系统--包括有4万名学生的佐治亚大学以及其他十几所州立学院和大学--证实它正在调查黑客攻击的"范围和严重性"。
一个名为CLOP的讲俄语的黑客组织上周声称对一些黑客行为负有责任,这些黑客行为还影响了英国广播公司、英国航空公司、石油巨头壳牌公司以及明尼苏达州和伊利诺伊州的州政府等的雇员。
俄罗斯黑客是第一个利用该漏洞的,但专家说,其他团体现在可能有机会获得进行攻击所需的软件代码。
该勒索软件集团给受害者提供了在周三之前与他们联系支付赎金的机会,之后他们开始在暗网的勒索网站上列出更多黑客的所谓受害者。截至周四上午,该黑暗网站没有列出任何美国联邦机构。
这一事件表明,如果被熟练的犯罪分子利用,一个软件缺陷可以产生广泛的影响。
这些黑客--一个知名的团体,其青睐的恶意软件在2019年出现--在5月底开始利用一个被称为MOVEit的广泛使用的文件传输软件的一个新缺陷,似乎是针对尽可能多的暴露的组织。黑客的机会主义性质使广大组织容易受到敲诈。
拥有MOVEit软件的美国公司Progress也敦促受害者更新其软件包,并发布了安全建议。
【阅读原文】
3、报告:生成式 AI 每年可为全球经济增加 4.4 万亿美元收入
纽约时报报道,根据麦肯锡全球研究所发布的《生成式人工智能的经济潜力:下一个生产力前沿》报告显示,在其研究的63种应用中使用生成式AI,将为全球经济每年带来2.6万亿至4.4万亿美元的增长。报告还发现,生成式AI带来的价值增长,主要(约75%)落在四个领域:客户运营、营销和销售、软件工程和研发。报告还指出,生成式AI“将对所有行业产生重大影响”。其中,银行业、高科技和生命科学等行业所受的影响最大。
【阅读原文】
2023年6月15日 星期四
今日资讯速览:
1、Nature 发布 AIGC 禁令 拒绝刊登人工智能生成的图片和视频
2、微软回应“增强图片”私传图片 URL 问题:不含用户标识符、缓存 30 天
3、勒索攻击致使知名大学IT设施全瘫痪,近半年德国已有多所高校被黑
1、Nature 发布 AIGC 禁令 拒绝刊登人工智能生成的图片和视频
近日,作为最权威的科学期刊之一,Nature 明确表态:为了保证研究的诚信、透明和道德,将不会刊登任何使用生成式人工智能(generative AI)工具创作的图片、视频或插图,除非是与人工智能相关的文章。Nature认为,这个举措符合该期刊关于已发表作品的完整性和透明度的道德原则,包括引用所用图像来源的能力。因此,对于出版物中使用的每种视觉材料,必须提供证据证明该材料不是在生成人工智能的帮助下生成或增强的。
【阅读原文】
2、微软回应“增强图片”私传图片 URL 问题:不含用户标识符、缓存 30 天
IT之家 6 月 15 日消息,微软官方近日更新了 Microsoft Edge 浏览器隐私白皮书,回应了“增强图片”(Image Enhancement)私传图片 URL 问题。
微软表示在发送给微软服务器之前对图像进行了加密处理,且发送的数据不包含用户标识符。
IT之家在此附上微软官方说明如下:
为了提供更好的浏览体验,Microsoft Edge 通过改进图像的颜色、照明、对比度和清晰度来提供图像增强功能。
启用图像增强功能后,Microsoft Edge 会对图像进行加密并将其传输到 Microsoft 服务器以执行图像增强。
对服务器的请求中不包含任何用户标识符,图像缓存 30 天以提高性能。
若要控制图像增强,请跳转 edge://settings/privacy 并在 Microsoft Edge 设置中打开或关闭 "增强图像"。
【阅读原文】
3、勒索攻击致使知名大学IT设施全瘫痪,近半年德国已有多所高校被黑
安全内参6月13日消息,卡尔斯鲁厄应用技术大学(HS Kaiserslautern)成为最新受到勒索软件攻击的德国大学。此前数月,至少有六所类似的机构也遭遇了类似事件。
该事件于上周五得到确认,学校通过紧急网站宣布其“整个IT基础设施”已经下线,其中包括学校电子邮件账户和电话系统。
学校表示,几乎所有面向学生的设施和服务都遭到波及,超过6200名学生受到了影响。电脑机房,甚至图书馆都将“暂时关闭,具体开放时间另行通知”。
学校还在官网向学生和员工发出警告,不要打开他们的工作电脑:“这是一次加密攻击,员工工作场所的工作站可能也会受到影响。”
目前尚不清楚是谁发起了这次多层次的勒索行动,也不清楚在黑客对大学系统进行加密之前,是否盗用了信息。
卡尔斯鲁厄应用技术大学是德国西部莱茵兰-普法尔茨州最大的应用技术型大学,也是最近几个月最新遭到网络犯罪分子攻击的德语应用技术大学。
勒索软件在德国疯狂肆虐
今年3月,勒索软件组织Vice Society在网站上添加了汉堡应用技术大学(HAW Hamburg),声称去年年底对该学校发动了一次攻击。
今年2月,瑞士最大的苏黎世大学宣布成为一次“严重网络攻击”的目标,一位发言人告知外媒The Record,此次攻击“是当前对教育和卫生机构持续攻击的一部分”。
而在此之前的一周,德国萨克森-安哈尔特州的哈尔茨应用技术大学(Harz University of Applied Sciences)、鲁尔西区应用技术大学(Ruhr West University)和德国欧洲应用科学大学(EU/FH European University of Applied Sciences)也宣布受到了络攻击。
早在今年1月,勒索软件组织Vice Society表示对德国杜伊斯堡-埃森大学(University of Duisburg-Essen)去年11月遭遇的网络攻击负责。
在德国其他地方,勒索软件攻击也对私营行业产生了影响。莱茵金属(Rheinmetall)武器公司指责勒索软件组织Black Basta在5月对其进行了攻击。
今年春天,德国法定医疗保险系统最大的IT服务提供商Bitmarck、药物研发巨头Evotec也遭到攻击。
【阅读原文】
2023年6月14日 星期三
今日资讯速览:
1、马斯克发推讽刺人工智能:机器学习的本质就是统计
2、瑞士政府遭遇DDoS攻击并发生数据泄露
3、OpenAI CEO呼吁美国同中国合作应对AI风险
1、马斯克发推讽刺人工智能:机器学习的本质就是统计
IT之家 6 月 12 日消息,世界首富、特斯拉 CEO 和推特首席技术官(CTO)埃隆・马斯克近日在其个人推特上发布了一张图片,图片主题意在讽刺 “人工智能”现状,并指出机器学习的本质就是统计。
该图片形式为四格漫画,漫画中有人询问一位戴着“Machine Learning(机器学习)”面罩的路人,“嘿,人工智能,你为什么总是戴着那个面罩?”,并将其面罩摘下,却发现面罩下方是一张写着“Statistics(统计)”的面孔,于是他把面罩合上,并说“那还是继续戴着它吧”。
截至北京时间 6 月 12 日上午 11:30,这条推文已获得 35.4 万个赞、4.6 万个转推和 1 万条评论,并收获了 3743.2 万条浏览量。这条推文似乎在讽刺当前世界各地不停炒作“人工智能”这一现象。
IT之家注意到,马斯克曾与苹果联合创始人史蒂夫・沃兹尼亚克以及上千名 AI 研究人员联署公开信,呼吁暂停研究更先进的 AI 技术。然而,此信遭到许多专家甚至签名者的质疑,被指加剧 AI 炒作、签名造假以及歪曲论文等。
信中写道:“只有在我们确信 AI 的影响是积极的、风险是可控的情况下,才应该开发更强大的 AI 系统。因此,我们呼吁所有 AI 实验室立即暂停至少 6 个月训练比 GPT-4 更强大的 AI 系统。AI 实验室和独立专家应该利用这段时间,共同开发和实施一套高级 AI 设计和开发的共享安全协议,这些协议由独立的外部专家严格审计和监督。”
【阅读原文】
2、瑞士政府遭遇DDoS攻击并发生数据泄露
据Bleepingcomputer报道,造成瑞士政府在线服务中断的原因是NoName发起的DDoS(分布式拒绝服务)攻击,NoName是一个亲俄黑客组织,自2022年初以来一直针对欧洲、乌克兰和北美的北约国家和实体。
“由于系统受到DDoS攻击,2023年6月12日星期一无法访问几个联邦管理局网站,”瑞士政府的声明中写道:“联邦管理局的专家很快注意到了这次攻击,并正在采取措施尽快恢复网站和应用程序的可访问性。”
根据同一份新闻稿,NoName上周还攻击了瑞士议会网站,当时其成员正在讨论该国是否放弃其中立性以向乌克兰提供援助。
在遭遇DDoS攻击之前,上周二瑞士政府曾透露,最近针对其IT供应商Xplain的勒索软件攻击可能影响(泄露)了瑞士政府数据。Xplain是一家瑞士技术提供商,为各个政府部门、行政单位甚至该国的军队提供软件解决方案。
Xplain于2023年5月23日遭到Play勒索软件团伙的入侵,攻击者声称窃取了包含私人和机密数据、财务和税务详细信息等各种文件。
2023年6月1日,可能由于Xplain拒绝支付赎金,Play勒索软件组织在泄露站点发布了全部泄露数据。根据瑞士政府网站的新闻稿,瑞士政府正在核实泄露数据,并透露运营数据也可能受到影响。
【阅读原文】
3、OpenAI CEO呼吁美国同中国合作应对AI风险
《华尔街日报》12日消息,近日OpenAI CEO Sam Altman在一场AI论坛上表示,要通过国际合作为AI系统的安全开发建立规范和标准,并为所有国家使用通用人工智能(AGI)设置平等、统一的护栏。Altman还表示,保证AI的安全和有益不仅是一个技术问题,这还需要了解不同国家的用户偏好。中国拥有一些世界上最优秀的AI人才,“我希望中国的AI研究人员在解决AI系统对齐难题上做出重要贡献。”
【阅读原文】
2023年6月13日 星期二
今日资讯速览:
1、“两高一部”就依法惩治网暴犯罪公开征求意见:多个情形应从重处罚
2、亚马逊利用生成式 AI 总结产品评价,帮助用户筛选合适产品
3、Sorgu Paneli可公开检索约8500万土耳其居民的信息
1、“两高一部”就依法惩治网暴犯罪公开征求意见:多个情形应从重处罚
6月9日,最高人民法院、最高人民检察院、公安部发布《关于依法惩治网络暴力违法犯罪的指导意见(征求意见稿)》(以下简称《征求意见稿》),面向社会公开征求意见。
《征求意见稿》共20条,包括维护公民权益和网络秩序、严惩网络暴力违法犯罪、提供法律救济、完善综合治理措施等内容。
《征求意见稿》提出,依法惩治网络诽谤、网络侮辱、侵犯公民个人信息、线下滋扰、借网络暴力事件实施的恶意营销炒作等行为。对网络暴力违法犯罪,应当体现从严惩治精神,重点打击网络暴力恶意发起者、组织者、推波助澜者以及屡教不改者,让人民群众充分感受到公平正义。《征求意见稿》还列举了应从重处罚的情形。
《征求意见稿》同时明确,通过信息网络检举、揭发他人犯罪或者违法违纪行为,只要不是故意捏造事实或者明知是捏造的事实而故意散布的,不应当认定为诽谤违法犯罪。针对他人言行发表评论、提出批评,即使观点有所偏颇、言论有所过激,只要不是肆意谩骂、恶意诋毁的,不应当认定为侮辱违法犯罪。
《征求意见稿》指出,对于严重危害社会秩序的网络侮辱、诽谤犯罪,公安机关应当依法及时立案。被害人提起自诉,人民法院经审查认为有关行为严重危害社会秩序的,应当将案件移送公安机关。《征求意见稿》列举了应当认定为“严重危害社会秩序”的具体情形。
《征求意见稿》还规定,应当事人申请,人民法院可以根据案件具体情况依法作出人格权侵害禁令。网络暴力行为损害社会公共利益的,人民检察院可以依法向人民法院提起公益诉讼。
社会公众可通过电子邮件或邮寄信函的方式,提出修改意见。意见反馈截止日期为2023年6月25日。
【阅读原文】
2、亚马逊利用生成式 AI 总结产品评价,帮助用户筛选合适产品
北京时间 6 月 13 日早间消息,据报道,亚马逊将利用人工智能技术帮助用户寻找合适的产品。
这家电商巨头最近开始在其购物应用中测试一项功能,可以利用人工智能技术总结客户针对部分产品发表的评论。这项功能还会简单概述消费者喜欢或不喜欢某款产品的哪些方面,同时在总结内容旁标注“由人工智能根据客户评论生成”。
比如,该功能会针对 Magic Mixies 儿童玩具总结道,消费者针对这款玩具的“有趣因素、外观、价值、性能、质量、充电和渗漏”等方面给出积极反馈。
“但绝大多数客户对这些方面表达了负面观点。”该总结写道,“例如,有些客户花费 100 多美元购买一款不值得的玩具,还有人在产品质量和充电方面遇到问题。”
亚马逊证实,该公司的确在测试这项功能。他们并未分享具体细节,以及使用了哪些人工智能模型来总结和生成文本。
“我们正在各大业务中大举投资生成式人工智能。”亚马逊发言人林赛・沙纳汉(Lindsay Shanahan)在声明中说。
亚马逊一直都在依靠人工智能和机器学习来投放精准广告,为消费者提供个性化推荐。但最近围绕生成式人工智能及 OpenAI 的 ChatGPT 聊天机器人形成的热潮,令亚马逊等众多科技公司更加专注于这项技术。亚马逊 CEO 安迪・贾西(Andy Jassy)在今年 4 月表示,生成式人工智能和大语言模型将会“改变和改进客户体验的方方面面”。
使用人智能来总结客户评价对消费者很有帮助。亚马逊网站上售卖的商品达到数百万件,某个单品的评论经常达到数以千计。该公司之前尝试通过一键评分系统来方便消费者评价一款产品,这样一来,无需撰写完整评论,也可以发表反馈。但最近,部分消费者开始使用聊天机器人撰写亚马逊的商品评价。
如何赢得消费者信任一直以来都是亚马逊面临的一大问题。无论是亚马逊的网站,还是其他在线市场上,都充斥着大量的虚假评论,许多公司已经开始借助人工审核员和自动化工具来清除虚假评论。
【阅读原文】
3、Sorgu Paneli可公开检索约8500万土耳其居民的信息
据外媒报道,近日,土耳其平台Free Web Turkey曝光了一个名为Sorgu Paneli的网站,可不受限制地访问个人信息,例如身份证号码、姓名、地址、电话号码甚至银行账户详细信息,以换取免费会员资格。付费会员可以获得更多信息,例如房契。该网站在域名Sorgu.live下运营,目前共有5195名用户,并在Telegram和Discord上提供类似的服务。据估计,约有8500万土耳其公民的信息受到影响。
【阅读原文】
2023年6月12日 星期一
今日资讯速览:
1、本田电商平台API漏洞暴露客户数据
2、谷歌修复了 2023 年的第三个 Chrome 0day漏洞
3、日本制药巨头遭勒索攻击:内部系统被迫大面积断网 运营受影响
1、本田电商平台API漏洞暴露客户数据
近日,安全研究人员Eaton Zveare发现本田动力设备的电商平台存在API漏洞,攻击者可为任何帐户重置密码,导致本田动力(包括电力、船舶、草坪和花园设备)电子商务平台容易受到任何人未经授权的访问。
本田是一家日本汽车、摩托车和动力设备制造商,受漏洞影响的是动力设备用户,汽车或摩托车的车主不受影响。
值得注意的是,仅仅数月前,Eaton Zveare利用类似的漏洞成功渗透了丰田的供应商门户。
对于本田,Eaton Works利用密码重置API重置重要帐户的密码,然后在本田公司网络上享受不受限制的管理员级别数据访问。
本田暴露给安全研究人员(包括潜在的攻击者)的敏感信息如下:
从2016年8月到2023年3月的所有经销商的21393份客户订单——包括客户姓名、地址、电话号码和订购的物品信息。
1570个经销商网站(其中1091个处于活动状态)。攻击者可修改这些站点中的任何一个(的管理页面)。
3588个经销商用户/帐户(包括名字和姓氏、电子邮件地址)。攻击者可以更改任何这些用户的密码。
1090个经销商电子邮件(包括名字和姓氏)。
11034封客户电子邮件(包括名字和姓氏)。
可能泄露信息包括:本田经销商的Stripe、PayPal和Authorize.net私钥。
内部财务报告。
上述数据可用于发起网络钓鱼活动、社会工程攻击,或在黑客论坛和暗网市场上出售。
此外,通过访问本田经销商站点,攻击者可以植入信用卡浏览器或其他恶意JavaScript代码段。
黑客可以编辑本田经销商站点页面内容
来源:eaton-works.com
Zveare解释说,API漏洞存在于本田的电子商务平台中,该平台将“powerdealer.honda.com”子域分配给注册经销商/经销商。
研究人员发现,本田网站Power Equipment Tech Express (PETE)上的密码重置API处理重置请求时不需要令牌或以前的密码,只需要一个有效的电子邮件。
虽然此漏洞不存在于电子商务子域登录门户中,但通过PETE站点切换的凭据仍然适用于它们,因此任何人都可以通过这种简单的攻击访问内部经销商数据。
上述情况已于2023年3月16日向本田报告,到2023年4月3日,本田确认所有问题均已解决。
由于没有漏洞赏金计划,本田没有奖励Zveare的安全报告,这与丰田案的结果相同。
【阅读原文】
2、谷歌修复了 2023 年的第三个 Chrome 0day漏洞
谷歌发布了安全更新,以解决其在野外积极利用的 Chrome 网络浏览器中的高严重性零日漏洞。
谷歌发布了安全更新,以解决其 Chrome 网络浏览器中的一个高危漏洞,该漏洞被追踪为 CVE-2023-3079。该漏洞是存在于 V8 JavaScript 引擎中的类型混淆问题。这家 IT 巨头意识到该漏洞正在被广泛利用。
该漏洞是由谷歌威胁分析小组 (TAG) 的 Clement Lecigne 发现的,该小组是谷歌监控民族国家行为者活动的团队。
该漏洞已于 2023 年 6 月 1 日报告,该漏洞很可能被作为国家支持的 APT 组织使用的漏洞的一部分加以利用。
谷歌没有透露利用漏洞 CVE-2023-3079 进行攻击的细节。
“谷歌意识到 CVE-2023-3079 的漏洞存在于野外。” 阅读该公司发布的公告。 “稳定和扩展稳定频道已更新为 Mac 和 Linux 的 114.0.5735.106 和 Windows 的 114.0.5735.110,将在未来几天/几周内推出。”
CVE-2023-3079是谷歌在 2023 年解决的 Chrome 中第三个被积极利用的零日漏洞,其他漏洞是:
CVE-2023-2033 (CVSS 得分:8.8)——V8 中的类型混淆
CVE-2023-2136 (CVSS 评分:9.6)—— Skia 图形库
【阅读原文】
3、日本制药巨头遭勒索攻击:内部系统被迫大面积断网 运营受影响
安全内参6月9日消息,国际制药巨头卫材(Eisai)公司日前披露了一起勒索软件事件,攻击者加密了部分服务器并导致运营受到影响。
卫材公司总部位于日本东京,年收入为53亿美元,拥有1万多名员工。公司在日本、英国、美国北卡罗来纳州和马萨诸塞州等地拥有九个制造设施和15个医学研究单位。该公司开发和生产用于治疗各种癌症和化疗副作用的药物,以及抗癫痫、神经病与痴呆症的药物。
勒索软件攻击发生在周末
卫材官方网站发布的通知显示,该公司在周末遭受了到勒索软件攻击。这是攻击者发起攻击的典型时间,因为节假日期间IT团队人手不足,无法有效应对迅速变化的情况。
通知称,“日本时间6月3日星期六深夜,检测到针对卫材集团部分服务器实施加密锁定的勒索软件事件。”
“我们立即执行了事件响应计划,并在网络安全合作伙伴的帮助下展开调查,同时在全公司范围内召集了工作组以快速制定响应程序。”
该公司将大量IT系统断开网络以遏制损害,并防止勒索软件蔓延至公司网络的其他部分。
卫材公司表示,受勒索攻击事件影响,该公司在日本国内外的多个系统(包括物流系统)被迫下线并停止服务,预计调查结束后才能恢复。
不过,公司网站和电子邮件仍在正常运作。
该公司立即将事件上报给了相关执法部门,并聘请外部网络安全专家协助其加快恢复速度。
卫材表示正在调查数据泄露的可能性,目前无法排除这一潜在风险。
另外,也不确定此次网络攻击对公司本财年综合收益预期的影响。
目前还没有勒索软件团伙在其勒索网站上宣布对此次攻击负责,因此肇事者身份仍然成谜。
2021年12月,卫材公司曾遭受AtomSilo勒索软件团伙(现已解散)攻击。尽管AtomSilo勒索网站现已下线,但该团伙当初曾在这里泄露过从卫材内部窃取的多个MDF和LDF数据库。
2021年AtomSilo向卫材发出的勒索说明
【阅读原文】
2023年6月9日 星期五
今日资讯速览:
1、卡巴斯基发布iPhone恶意软件扫描工具
2、重大网络故障!广东电信崩了 官方最新回应
3、上海 AI 实验室发布“书生・浦语”大模型:中文考试超越 ChatGPT
1、卡巴斯基发布iPhone恶意软件扫描工具
网络安全公司卡巴斯基近日发布了一种工具,可以检测苹果iPhone和其他iOS设备是否感染了一种新的“三角测量”(Operation Triangulation)恶意软件。
这种恶意软件是由卡巴斯基在自己的公司网络中发现的,报告称至少自2019年以来,该恶意软件已经在全球范围内感染了多台iOS设备。
尽管恶意软件分析仍在进行中,但卡巴斯基透露,“三角测量”恶意软件活动使用iMessage上未知的零日漏洞利用来执行代码,无需用户交互和提升权限(零点击)。
这允许攻击者将更多有效载荷下载到设备以进一步执行命令和收集信息。
值得注意的是,俄罗斯情报和安全部门FSB将该恶意软件与高级政府官员和外国外交官的手机感染关联起来。
在最初的报告中,卡巴斯基提供了很多关于使用移动验证工具包(MVT)手动检查iOS设备备份以寻找潜在恶意软件危害指标的详细信息。
因为Apple的各种安全机制(沙盒、数据加密、代码签名)会阻止实时系统分析,卡巴斯基提供的工具智能对iOS设备的(iTunes)备份文件进行分析。
随后,卡巴斯基发布了一款适用于Windows和Linux的更易用的iOS设备自动化扫描工具。
参考链接:
https://securelist.com/find-the-triangulation-utility/109867/
【阅读原文】
2、重大网络故障!广东电信崩了 官方最新回应
6月8日下午,广东电信网络出现重大故障,不少电信手机用户在社交媒体反映“手机没信号,无法连接移动网络,无法拨打电话和收发短信。”
同时,用电信手机拨打电信10000号提示无法连接网络,在手机中的服务状态显示不在服务区,已断开移动网络等。
当天下午4点11分,中国电信广东客服在微博发布声明:“因网络异常,影响部分移动用户接听电话,我们正在进行抢修,由此给您带来的不便,我们深表歉意,感谢您的理解和支持。”
而在一张疑似事故原因的通报中显示该故障为“特别重大网络故障”,等级已经达到B级别。截至发稿前,仍有广东电信用户表示,网络尚未恢复,拨打电话仍未成功。
此前,中国电信业也因网络问题多次登上热搜。
去年1月12日凌晨,有大量用户反映中国电信出现断网,波及全国多个城市。随后,中国电信回复称,“由于网络设备故障,导致出吉互联网拥塞。”
而据央视新闻消息,2021年11月21日,中国电信甘肃省多地用户出现无信号或2G网络情况,无法使用通话和短信业务,中国电信客服电话也无法接通。随后官方回应称其原因是甘肃设备故障从而影响了5G语音和数据业务,一些在外地的甘肃电信用户也受到了影响。
而在2021年12月10日,陕西电信也发生过突发性大规模断网事件。陕西电信回应,该次事故是由于中国电信陕西公司互联网域名解析服务出现故障导致的,西安、渭南、宝鸡等地部分网站登录受到影响。
截止2023年4月底,中国电信总客户数首次超过4亿,今年净增超过900万,其中5G套餐用户2.87亿,今年净增1927万。
【阅读原文】
3、上海 AI 实验室发布“书生・浦语”大模型:中文考试超越 ChatGPT
7 日,上海人工智能实验室、商汤科技联合香港中文大学、复旦大学及上海交通大学发布千亿级参数大语言模型“书生・浦语”(InternLM),该模型具有 1040 亿参数,是在包含 1.6 万亿token的多语种高质量数据集上训练而成。据悉,“书生・浦语”不仅在知识掌握、阅读理解、数学推理、多语翻译等多个测试任务上表现优秀,而且具备很强的综合能力,在多项中文考试中取得超越 ChatGPT 的成绩,其中就包括中国高考各科目的数据集(GaoKao)。
【阅读原文】
2023年6月8日 星期四
今日资讯速览:
1、日本政府针对OpenAI发布个人信息处理和使用指南
2、黑客入侵了i2VPN 应用程序的管理员账户
3、技嘉推出BIOS更新 删除主板上包含安全隐患的后门
1、日本政府针对OpenAI发布个人信息处理和使用指南
6月2日,日本个人信息保护委员会(PPC)宣布根据《个人信息保护法》(APPI)向ChatGPT开发商OpenAI发布行政指南。
这份有关处理和使用个人信息目的的指南规定,ChatGPT不得在未经事先同意的情况下从用户和非用户处获取需要特别注意的个人信息。同时,必须使用日语告知或公开个人信息的使用目的。
此外,PPC计划继续密切关注生成式人工智能服务的开发和使用,确保个人信息的妥善处理以及个人权益的保护。在这方面,PPC指出个人信息处理应当是实现特定目的所必需,并强调事先获得此类处理的同意的重要性。
关于使用生成人工智能服务的提醒
(1)个人信息经营者的注意事项
①个人信息经营者在生成式人工智能服务中输入包含个人信息的提示时,应充分确认该个人信息是否在达到使用目的所需的范围内。
②由于个人信息经营者无需事先征得本人同意即可生成式人工智能在服务中输入包含个人数据的提示符,当该个人数据被用于输出提示符以外的目的时,获取该个人信息经营商有可能违反个人信息保护法的规定。因此,在输入提示时,需要充分确认提供生成式人工智能服务的运营商是否将个人数据用于机器学习。
(2)行政机关的注意事项
①当行政机关等在生成式人工智能服务中输入包含个人信息的提示时,应充分确认该个人信息是为了使用目的而最小限度地使用或提供。
②行政机关等生成式人工智能在向服务输入包括个人信息的提示,并且该个人信息被用于输出对该提示的响应结果以外的目的时,该行政机关可能违反个人信息保护法的规定。因此,在进行这种提示的输入时,要充分确认提供该生成式人工智能服务的运营商是否将该个人信息用于机器学习。
(3)一般使用者注意事项
①在生成式人工智能服务中,输入的个人信息可能被用于生成式人工智能的机器学习,并且与其他信息在统计上相关联,并且生成式人工智能的内容可能正确或不正确。因此,一般使用者在输入个人信息时,要在考虑到上述风险并做出适当的判断。
②在生成式人工智能服务中,对输入提示的响应结果可能包含不正确的内容。例如,虽然生成式人工智能一些服务可以输出自然的文章作为响应结果,但是由于文章是基于概率关系生成的,因此其响应结果有包含不正确个人信息的风险。因此,利用生成式人工智能服务处理个人信息时,要在考虑到上述风险的基础上做出适当判断。
③充分确认提供生成式人工智能服务的运营商的使用规章和隐私政策,并根据输入的信息内容谨慎判断生成式人工智能的使用情况。
针对OpenAI的提醒
1.要注意获取个人信息
(1)关于收集用于机器学习的信息,应当做到:
①收集的信息中要注意不要包含个人信息,采取必要的措施进行保护。
②在收集完信息后,应立即采取措施尽可能减少所收集的信息中可能包含的重要个人信息。
③在即使采取了上述①和②的措施,仍发现所收集的信息中包含了需要关注和保护的个人信息的情况下,应当尽可能立即删除,或者在为学习目的使用、训练数据集之前删除或去标识化特定个人信息。
④如果本人或个人信息保护委员会等要求或指示不要从特定网站或第三方收集个人信息,则在没有正当理由拒绝的情况下,应遵守该要求或指示。
(2)除非有正当理由,否则不应处理用户通过选择不将其用于机器学习而输入的个人数据。
2.通知使用目的
应当使用日语向用户和用户以外的个人通知或公布个人信息的使用目的。
【阅读原文】
2、黑客入侵了i2VPN 应用程序的管理员账户
据外媒6日报道,身份不明的黑客声称已经入侵了一款下载量超过500,000的流行i2VPN应用程序的管理员账户,并获得了对用户数据的访问权限。据SafetyDetectives称,泄露的数据包括管理员的电子邮件地址和口令,以及显示数据中心和用户订阅详细信息的仪表板屏幕截图,并表示虽然黑客没有直接暴露用户数据,但受损的管理面板凭据可能会提供对大量个人信息和数据中心的访问权限。目前,i2VPN还未作出回应。
【阅读原文】
3、技嘉推出BIOS更新 删除主板上包含安全隐患的后门
台湾电脑组件制造商技嘉公司宣布了BIOS更新,旨在消除最近在其数百块主板中发现的后门功能。固件和硬件安全公司Eclypsium上周披露的问题是,270多块技嘉主板的固件会在开机时执行一个Windows二进制文件,以从技嘉的服务器上获取和执行一个载荷。
作为一个与技嘉应用中心有关的功能,该后门似乎没有被用于恶意目的,但众所周知,威胁者在以前的攻击中曾滥用过这种工具。
当Eclypsium公开其发现时,它说目前还不清楚该后门是由恶意的内部人员、技嘉的服务器被破坏还是供应链攻击造成的。在Eclypsium发表报告后不久,技嘉公司宣布发布BIOS更新,解决该漏洞。
"技嘉的工程师已经减轻了潜在的风险,在对技嘉主板上的新BIOS进行全面测试和验证后,将英特尔700/600和AMD500/400系列Beta BIOS上传到了官方网站,"该公司在上周末宣布。
英特尔500/400和AMD 600系列芯片组主板以及之前发布的主板的BIOS更新也将在上周末发布。
该更新解决了"Eclypsium报告的下载助手漏洞",A520 Aorus Elite rev 1.0主板可用的最新BIOS的发布说明中提到。该更新在系统启动时实施了更严格的安全检查,包括改进了对从远程服务器下载的文件的验证和对远程服务器证书的标准验证。
该公司表示,新的安全增强措施应能防止攻击者在启动过程中插入恶意代码,并应保证在此过程中下载的任何文件来自具有有效和可信证书的服务器。
机构和终端用户都应该查看Eclypsium列出的270多个受影响的主板型号,如果受到影响,应该前往技嘉的支持网站,检查并下载2023年6月1日之后发布的任何BIOS更新。
【阅读原文】
2023年6月7日 星期三
今日资讯速览:
1、法国海外省疑遭勒索软件攻击,政务网络已瘫痪数周
2、微软支付2000 万美元 和解关于私自存储儿童 Xbox 账户数据指控
3、IT公司Xplain遭到攻击影响瑞士的部分军队和警局
1、法国海外省疑遭勒索软件攻击,政务网络已瘫痪数周
安全内参6月6日消息,位于中美洲加勒比海的马提尼克岛遭到网络攻击,致使互联网访问与其他基础设施中断数周,目前仍在着手应对。
马提尼克岛人口约36万,隶属于法国,是欧盟最外围的地区。
教育金融等民生服务均受影响
在5月24日的公告中,马提尼克岛管理委员会称网络攻击“严重扰乱了社区活动,并给用户及合作伙伴造成了直接影响”。
公告指出,此次攻击开始于5月16日,当地官员被迫隔离受影响的系统,动员网络安全专家协助逐步恢复正常运行。
官员在一份声明中表示,“在教育服务方面,正在制定技术解决方案以恢复大学和高中的互联网访问。校方管理人员和政府也在协调,以确保考试能够顺利进行。政府还将尽一切努力保障社会福利款项的支付。”
“在金融服务方面,社区将可以通过Plateau Roy邮局的邮件,寄出采购订单以支付账单。在援助和补贴服务方面,由于线上平台无法正常使用,同样需要以纸质形式向Plateau Roy的办公室提交申请。”
该岛政府和法国外交部没有回应置评请求,法国网络安全政府机构也没有就询问做出答复。
当地部分政府办公室已关闭至6月1日。截至安全内参文章发布时,政府网站也依旧无法访问。
疑似遭受勒索软件攻击
虽然关于政府办公室的现状信息非常有限,但该岛政府上周五发布了一份关于网络攻击的通报,提到“发生了数次针对当地社区的网络攻击,致使其计算机系统陷入瘫痪。”
法国国家信息系统安全局(ANSSI)为该岛各部门提出了几项建议,敦促他们为雇员提供网络安全指南,并增加使用防火墙、反病毒软件和入侵检测程序等安全工具。
通报还指出,受害者应立即将任何疑似受到攻击的计算机与整体网络断开连接“以防止攻击扩散”——这一点符合勒索软件快速传播的特性。另外,如果受害者怀疑自身
