HackerNews 编译，转载请注明出处： 欧洲铁路旅行公司Eurail正在通知超过30万人，其个人信息在2025年12月的数据泄露事件中被盗。 该事件最初于1月披露，当时公司警告称可能持有Eurail通票的客户受到影响。黑客入侵这家荷兰公司的网络后，窃取了包含基本身份和联系信息的文件。 2月，一名黑客在明网网络犯罪网站上吹嘘从Eurail的AWS S3、Zendesk和GitLab实例窃取约1.3TB数据，包括源代码、支持工单和数据库备份。黑客声称窃取了数百万Eurail/Interrail客户的个人信息，与旅行公司的谈判已失败。 3月初，Eurail确认黑客一直在暗网出售被盗数据，并在其Telegram频道发布了样本数据集。公司还表示不存储银行或信用卡信息，也不存储护照视觉副本。 上周，Eurail向多个美国州检察长办公室提交泄露通知，披露攻击中姓名和护照号码被盗。公司告诉俄勒冈州检察长办公室，数据泄露仅影响308,777人，正在向可能受影响个人发送书面通知。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： RSAC研究人员发现一种高成功率绕过苹果Apple Intelligence AI安全协议的方法。 Apple Intelligence是深度集成于iOS、iPadOS和macOS的个人智能系统，结合生成式AI与个人上下文。它主要通过紧凑的端侧大语言模型在苹果芯片上直接处理任务，利用用户独特上下文（消息、照片和日程）为系统级写作工具和Siri等功能提供支持。对于更复杂的推理，它通过私有云计算将请求卸载至苹果专用云基础设施上的更大基础模型。 RSAC研究团队对Apple Intelligence进行了安全审查，试图绕过端侧大语言模型的输入输出过滤器（用于阻止恶意输入和防止不良输出）及内部防护栏以影响其行为。 为此，他们结合两种对抗技术。第一种是Neural Execs——一种已知的提示注入攻击，使用”乱码”输入欺骗AI执行攻击者定义的任意任务，这些输入作为通用触发器无需针对不同载荷重新制作。 第二种方法是Unicode操纵。研究人员通过将恶意输出文本反向书写并使用Unicode从右至左覆盖功能，成功绕过内容限制。”本质上，我们将恶意/冒犯性英文输出文本反向编码，使用Unicode技巧强制大语言模型正确渲染，”研究人员解释。 结合两种方法可使攻击者强制端侧Apple Intelligence大语言模型生成冒犯性内容，或更关键地，操纵与Apple Intelligence集成的第三方应用中的私有数据和功能，如健康数据或个人媒体。 该攻击经100个随机提示测试，成功率达76%。研究人员估计，10万至100万用户已安装可能易受此类攻击的应用。 “RSAC估计，截至2025年12月，消费者手中已有至少2亿台支持Apple Intelligence的设备，苹果应用商店已出现使用Apple Intelligence的应用——因此它已成为高价值目标，”研究人员指出。 苹果于2025年10月接到通知，据RSAC研究，防护措施已在近期iOS 26.4和macOS 26.4中推出。研究人员尚未发现恶意利用的证据。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 广泛使用的第三方安卓软件开发工具包EngageLab SDK中一处已修复的安全漏洞细节曝光，该漏洞可能使数百万加密货币钱包用户面临风险。 微软Defender安全研究团队今日发布的报告中表示：“该缺陷允许同一设备上的应用绕过安卓安全沙箱，获取私有数据的未授权访问。” EngageLab SDK提供推送通知服务，据其网站介绍，旨在基于开发者已追踪的用户行为发送”及时通知”。集成至应用后，该SDK可发送个性化通知并驱动实时互动。 这家科技巨头称，大量使用该SDK的应用属于加密货币和数字钱包生态系统，受影响钱包应用安装量超过3000万。若计入基于同一SDK构建的非钱包应用，安装量突破5000万。 微软未透露应用名称，但指出所有检测到使用漏洞版本SDK的应用已从Google Play商店移除。经2025年4月负责任披露后，EngageLab于2025年11月发布5.2.1版本修复该漏洞。 该问题在4.5.4版本中被识别，被描述为意图重定向漏洞。安卓中的意图指用于向另一应用组件请求操作的消息对象。 意图重定向发生在脆弱应用发送的意图内容被利用其可信上下文（即权限）操纵时，以获取受保护组件的未授权访问、暴露敏感数据或在安卓环境内提升权限。 攻击者可通过设备上通过其他方式安装的恶意应用利用该漏洞，访问集成SDK应用关联的内部目录，导致敏感数据的未授权访问。 尚无证据表明该漏洞曾被恶意利用。尽管如此，建议集成该SDK的开发者尽快更新至最新版本，尤其考虑到上游库中即使是微小缺陷也可能产生连锁影响，波及数百万设备。 微软表示：”此案例显示第三方SDK中的弱点可能产生大规模安全影响，尤其在数字资产管理等高价值领域。应用日益依赖第三方SDK，形成庞大且往往不透明的供应链依赖。当集成暴露导出组件或依赖跨应用边界未验证的信任假设时，这些风险会增加。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰医疗软件供应商ChipSoft遭受勒索软件攻击，被迫下线其面向患者和医疗机构的网站及数字服务。 ChipSoft是荷兰大型电子健康记录（EHR）系统供应商，其旗舰平台HiX被众多荷兰医院使用。 本周早些时候，Reddit用户报道称这家医疗行业数字解决方案开发商遭遇网络安全事件。当地媒体证实，ChipSoft向医疗机构发布的内部备忘录显示公司遭网络攻击，警告”可能存在未授权访问”。 据报道，该IT服务提供商向医疗中心运营商保证正在采取一切措施”尽可能限制不利影响”，同时建议他们在清理完成前断开与其系统的连接。 昨日，荷兰医疗网络安全计算机应急响应小组（Z-CERT）宣布ChipSoft遭受勒索软件事件影响。该机构表示正与公司及医疗机构合作，识别影响并协助恢复。 作为预防措施，ChipSoft禁用了所有与其Zorgportaal、HiX Mobile和Zorgplatform数字医疗服务的连接。 虽然荷兰部分媒体称大多数面向患者的系统正常运行，但也有多份报告称各医院相同系统无法使用。已确认的系统中断报告涉及Weert的Sint Jans Gasthuis、Roermond的Laurentius、Venlo的VieCuri医院以及Almere的Flevo医院。 BleepingComputer已联系ChipSoft询问事件详情，但截至发稿未获回复。 针对医疗IT系统提供商的网络攻击对威胁行为体极具破坏性和牟利性，因为这些公司运营多个医疗中心的信息枢纽，管理大量敏感数据。 上月，医疗IT公司CareCloud披露数据泄露事件，暴露敏感数据并导致数小时服务中断。2026年3月初，Cognizant的医疗IT公司TriZetto Provider Solutions遭受数据泄露，超过340万人的敏感信息外泄。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 运营全球最大比特币ATM网络之一的Bitcoin Depot披露，上月系统遭入侵后，攻击者从其加密钱包窃取价值366.5万美元的比特币。 该公司管理着全球超过2.5万台比特币ATM和BDCheckout网点，2025年营收达6.15亿美元。 据美国证券交易委员会文件披露，公司于3月23日发现攻击，此前检测到部分IT系统存在可疑活动。 虽然公司立即采取措施控制入侵，但攻击者仍有时间窃取数字资产结算账户凭证，并在其访问被阻止前从Bitcoin Depot钱包转走超过50枚比特币。 Bitcoin Depot表示：”2026年3月23日，公司发现未授权方访问其部分信息技术系统。检测后，公司立即启动事件响应程序，聘请外部网络安全专家并通知执法部门。结果，未授权行为体未经批准从公司控制的钱包转移约50.903枚比特币，截至报告日价值约366.5万美元。公司进一步认为，事件仅限于公司企业环境，未影响客户平台、部门、系统、数据或环境。” 公司已就入侵通知执法部门，并聘请外部网络安全专家协助调查。 虽然公司持有网络攻击保险，但Bitcoin Depot表示这可能无法覆盖攻击直接导致的所有损失。 “2026年4月6日，公司仍认定该事件具有重大影响，鉴于潜在后果，包括声誉损害、法律、监管和响应成本，”公司补充。 “公司持有可能覆盖网络安全事件相关某些损失的保险，但无法保证该保险足以收回此次事件导致的任何或全部损失。” 去年，Bitcoin Depot还就2024年数据泄露通知近2.6万人，该事件源于威胁行为体入侵系统窃取受影响个人信息的攻击（包括全名、地址、出生日期、驾照号码、邮箱地址和电话号码）。 2024年12月，美国比特币ATM运营商Byte Federal披露类似事件，导致影响5.8万名客户的数据泄露。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 知名研究员Haifei Li发现一份疑似利用未修补Adobe Reader零日漏洞的PDF文件，正寻求网络安全社区协助调查这一复杂的PDF利用程序。 Haifei Li是资深安全研究员，过去二十年曾在Fortinet、微软、McAfee和Check Point任职，也是基于沙盒的零日漏洞检测系统Expmon的创始人兼开发者。 Expmon检测到这一新型Reader利用程序，分析显示该PDF“作为初始利用程序，具备收集和泄露各类信息的能力，可能随后执行远程代码执行（RCE）和沙箱逃逸（SBX）利用”。 研究员认为该PDF利用零日漏洞，因为攻击已确认对最新版Adobe Reader有效。 虽然Li确认已识别的利用程序会从受入侵系统收集用户及其他数据，但未能复现完整攻击链，获取可能用于沙箱逃逸或远程代码执行的额外载荷。 SecurityWeek已联系Adobe，但考虑到公司仅在4月7日左右收到利用详情，评估可能需要一定时间。 针对该潜在零日的利用程序已提交至Expmon和VirusTotal。VirusTotal上识别的一份样本于2025年11月提交，表明该漏洞至少已被利用4个月。 一位审查该利用程序的威胁情报分析师指出，恶意PDF包含俄语诱饵，并提及俄罗斯油气行业的时事。 Adobe近年来多次致谢Li报告Reader和Acrobat漏洞，包括关键代码执行缺陷。然而，对于2024年发现的Reader漏洞CVE-2024-41869，在Li报告发现明显试图武器化该漏洞的PDF后，Adobe未确认野外利用。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 洛杉矶警察局周二宣布，黑客入侵了洛杉矶市律师办公室数字存储系统，该系统包含敏感警务文件。 洛杉矶警察局称，这些文件是此前已解决或和解的民事案件中，在证据开示阶段移交的材料。据洛杉矶警察局新闻稿，此次入侵未突破任何洛杉矶警察局系统或网络。 新闻稿称：”我们非常重视这一事件，正与洛杉矶市律师办公室合作，获取受影响文件以了解数据泄露的全部范围。洛杉矶警察局致力于保护其敏感人员和调查信息。” 洛杉矶市律师办公室发言人声明称，办公室于3月20日发现入侵。声明称，黑客访问了”市律师办公室用于向对方律师和诉讼当事人传输证据的第三方工具”。 声明称：”市律师办公室已确认，没有其他市政应用或系统涉及此次事件。信息自包含于此应用中，与任何部门记录或系统无链接或访问权限。” 声明称，办公室正与执法部门及外部取证专家合作调查，并与市信息技术局（ITA）合作审查涉及的数据。 声明称：”我们的调查正在继续，以确定工具中存在哪些信息，我们将根据审查结果采取适当行动通知任何受影响方。” 根据加州法律，警察记录通常被视为机密。 洛杉矶市律师办公室未立即回应置评请求。 《洛杉矶时报》报道，据称 featuring 被盗材料信息的社交媒体帖子（部分已被删除）显示，有7.7TB数据可供下载，超过33.7万份文件被访问。被盗材料包括包含证人姓名、医疗信息、未编辑刑事投诉和调查文件的记录。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Horizon3.ai报告，Apache ActiveMQ Classic中潜伏13年的远程代码执行（RCE）漏洞可与旧漏洞链接以绕过认证。 Apache ActiveMQ是开源消息和集成模式服务器，作为处理消息队列的中间件代理，广泛应用于众多行业。ActiveMQ Classic是该代理的原始版本。 新发现的漏洞编号CVE-2026-34197，允许攻击者通过Jolokia API调用管理操作，诱使代理检索远程配置文件并执行操作系统命令。 据Horizon3.ai称，该安全缺陷是CVE-2022-41678的绕过方案——该漏洞允许攻击者通过调用特定JDK MBean将Web shell写入磁盘。修复方案添加了一个标志，允许通过Jolokia调用每个ActiveMQ MBean的所有操作。代码执行问题出现在运行时设置代理间桥接的操作中。 然而，该漏洞的利用还需针对ActiveMQ的VM传输功能——该功能设计用于在应用程序内嵌入代理，导致客户端和代理在同一JVM内直接通信。 如果VM传输URI引用不存在的代理，ActiveMQ会创建一个，并接受指示其加载可能包含攻击者提供URL的配置参数。 通过链接这两种机制，攻击者可诱使代理检索并运行Spring XML配置文件，”实例化所有bean定义，导致远程代码执行”，Horizon3.ai表示。 该网络安全公司还指出，在某些部署中，可通过利用CVE-2024-32114实现无需认证的RCE——该漏洞将Jolokia API暴露给未经认证的用户。 “CVE-2024-32114是ActiveMQ 6.x中的独立漏洞，/api/*路径（包括Jolokia端点）被无意中从Web控制台的安全约束中移除。这意味着在ActiveMQ 6.0.0至6.1.1版本中，Jolokia完全无需认证，”Horizon3.ai解释。 新发现的安全缺陷已在ActiveMQ Classic 5.19.4和6.2.3版本中修复，建议用户尽快更新部署。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新OpenSSL更新修复了七处漏洞，其中包括一个可导致敏感数据泄露的缺陷。 该数据泄露问题编号CVE-2026-31790，评级为”中等严重性”，影响使用RSASVE密钥封装建立秘密加密密钥的应用程序。问题在于OpenSSL有时未能正确验证加密是否成功，但仍可能返回”成功”消息，将未初始化内存缓冲区的数据暴露给攻击者。 “未初始化缓冲区可能包含应用程序进程先前执行的敏感数据，导致敏感数据泄露给攻击者，”OpenSSL开发者在公告中解释。 该安全漏洞影响3.6、3.5、3.4、3.3和3.0版本，OpenSSL 1.0.2和1.1.1不受影响。 其余漏洞均被评为”低严重性”，多数可被利用导致应用程序崩溃和拒绝服务（DoS）条件。其中两处缺陷理论上可能导致任意代码执行，但一处影响不常见的OpenSSL配置，另一处涉及发送特制的1GB X.509证书。 OpenSSL开发者1月发布的更新修复了12处漏洞，包括一个可被利用实现远程代码执行的高严重性缺陷。目前OpenSSL的高严重性漏洞已较为罕见，2025年仅发现一处。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Trellix深入分析了Masjesu僵尸网络的内部运作，这是一个用于分布式拒绝服务（DDoS）攻击的僵尸网络，已感染多种物联网设备。 Masjesu自2023年起活跃，其运营者主要在Telegram上宣传，声称能够发动数百GB规模的DDoS攻击。运营者的帖子同时针对中文和英文用户，”表明其服务继续瞄准中美客户”。目前该运营者的Telegram频道拥有超过400名订阅者，但僵尸网络用户群似乎更大，因最初推广该僵尸网络的频道已被平台以违反政策为由关闭。 攻击来源国家分析显示，Masjesu感染的大多数设备位于越南，但巴西、印度、伊朗、肯尼亚和乌克兰也有大量设备被感染。“数据强烈表明攻击来自多个自治系统，涉及各种网络，而非僵尸网络完全托管于单一虚拟专用服务器（VPS）提供商，”Trellix指出。 近期分析的Masjesu样本显示，其可针对多种架构，包括i386、MIPS、ARM、SPARC、PPC、68K（摩托罗拉68000）和AMD64。该僵尸网络通过D-Link路由器、GPON路由器、华为家庭网关、MVPower DVR、Netgear路由器、UPnP服务及其他物联网设备的漏洞传播。 在受感染设备上，恶意软件绑定硬编码TCP端口的套接字为运营者提供远程访问，并加固自身以实现持久化。恶意软件将敏感字符串（包括命令控制域名、端口、文件夹名和进程名）加密存储在查找表中，运行时解密。 为实现持久化，Masjesu首先分叉新进程，将原始可执行路径重命名为模拟合法Linux动态链接器的路径和功能。然后创建cron作业每15分钟运行重命名的可执行文件，将进程转为后台守护进程，并重命名以显示为合法系统组件。 恶意软件还终止常用进程（如wget和curl），锁定共享临时文件夹，可能为防止其他僵尸网络感染。为传播，它扫描互联网随机IP地址寻找可感染的脆弱设备。 Masjesu使用多个命令控制域名和备用IP，在套接字连接上配置60秒接收超时，客户端解密接收数据。根据服务器接收的数据，僵尸网络可发动多种DDoS攻击，包括UDP、TCP、VSE、GRE、RDP、OSPF、ICMP、IGMP、TCP_SYN、TCP-ACK、TCP-ACKPSH和HTTP洪水攻击。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文