HackerNews 编译，转载请注明出处： 康涅狄格州大型信用合作社Connex上周确认遭遇网络攻击，导致17.2万名客户的个人及财务数据泄露。入侵发生于2025年6月2日至3日，并于6月3日被发现。调查显示，攻击者可能访问或下载了敏感文件。 Connex成立于1940年，管理资产超10亿美元，在纽黑文、哈特福德等八个县设有分支机构，服务逾7万名会员。失窃数据可能包含：

姓名
账户号码
借记卡详情
社会安全号码
开户所用的政府签发身份证件

Connex声明尚无证据表明泄露导致账户或资金遭非法访问。...

HackerNews 编译，转载请注明出处： 一种新型攻击技术可操控全球数千台公共域控制器（DC）组建恶意僵尸网络，用于发动高威力分布式拒绝服务（DDoS）攻击。该技术被SafeBreach研究人员奥尔·亚伊尔（Or Yair）和沙哈克·莫拉格（Shahak Morag）命名为Win-DDoS， 亚伊尔和莫拉格在报告中指出：“分析Windows轻量级目录访问协议（LDAP）客户端代码时，我们发现其转介流程存在重大缺陷。攻击者可操纵该流程，诱导域控制器向目标服务器发送海量请求致其瘫痪。”他们进一步解释：“由此开发的Win-DDoS技术，能让黑客无需任何成本且不留痕迹地操控全球数万台公共域控制器，...

HackerNews 编译，转载请注明出处： 当英国政府提出《在线安全法案》（OSA）时，公众被告知新规将保护儿童免受色情内容侵害。但法案背后是否隐藏着更多意图？ 电子前沿基金会（EFF）曾警告该法案可能滑向伤害其本应保护之人的深渊。隐私倡导者认为政策可能被用于压制政治言论，并为大规模个人数据库建立基础，甚至可能迫使儿童转向更隐蔽的网络角落。近50万公民联署请愿要求废除该法案。而多名政府官员竟将质疑法律的行为等同于支持犯罪者，...

HackerNews 编译，转载请注明出处： 朝鲜政府支持的黑客组织ScarCruft（又称APT37）在近期攻击中首次部署了勒索软件。该组织长期以高价值个人和政府机构为网络间谍目标，但韩国安全公司S2W周四报告称，其在此次行动中使用了“新发现的”勒索软件。 研究人员将该勒索软件命名为VCD（取自其对加密文件添加的扩展名）。其会生成英文和韩文两个版本的勒索通知。S2W指出，ScarCruft使用勒索软件的行为“暗示其可能转向经济利益驱动的行动，或拓展了包含破坏性及勒索策略的运营目标”。...

HackerNews 编译，转载请注明出处： 研究人员在DEF CON黑客大会上演示了智能公交系统可被远程入侵的漏洞。趋势科技台湾研究员余孝林（Chiao-Lin ‘Steven Meow’ Yu）与台湾托管安全服务提供商CHT Security的王凯庆（Kai-Ching ‘Keniver’ Wang）于上周五公布了这一发现。 研究人员注意到公交提供免费乘客Wi-Fi后开始深入调查其安全性。分析显示，同一台M2M路由器既用于提供乘客Wi-Fi，又连接着车内的高级公共交通服务系统（APTS）和高级驾驶辅助系统（ADAS）。ADAS通过传感器、摄像头、雷达和激光雷达辅助驾驶并预防事故，...

HackerNews 编译，转载请注明出处： 自2023年3月以来，60个包含凭证窃取代码的恶意Ruby软件包（gems）累计下载量已超27.5万次。这些恶意包由安全公司Socket发现，主要针对使用Instagram、TikTok、Twitter/X、Telegram、Naver、WordPress和Kakao自动化工具的韩国用户。 RubyGems作为Ruby编程语言的官方包管理器，负责Ruby库（即gems）的分发、安装和管理，其功能类似于JavaScript的npm或Python的PyPI。...

HackerNews 编译，转载请注明出处： Eclypsium研究人员发现部分联想摄像头存在统称为BadCam的漏洞，攻击者可将其改造成BadUSB设备实施击键注入等跨操作系统攻击。首席安全研究员杰西·迈克尔（Jesse Michael）和米奇·什卡托夫（Mickey Shkatov）在DEF CON 33大会上演示了该漏洞。 Eclypsium在报告中指出：“研究人员发现联想特定型号摄像头运行Linux系统且未验证固件，可被武器化为BadUSB设备。据我们所知，这是首次证明攻击者能利用已接入计算机的非恶意USB设备发起攻击。”...

HackerNews 编译，转载请注明出处： 哥伦比亚大学近期发生的数据泄露事件暴露了数十万申请者及在校师生的个人信息。该大学在向潜在受影响人群发送的数据泄露通知中透露，事件是在6月发生技术故障导致校内多套系统瘫痪后被发现的。 就在系统故障发生数小时后，这所知名研究机构曾否认遭遇黑客攻击。但后续调查显示，攻击者早在一个多月前就已渗透进哥伦比亚大学的系统。“我们的调查确认，在2025年5月16日左右，未经授权的第三方获取了哥伦比亚大学网络访问权限，并随后从系统中窃取特定文件，”泄露通知称。...

HackerNews 编译，转载请注明出处： 联邦贸易委员会（FTC）数据显示，诈骗者侵吞退休人员毕生积蓄的速度正以惊人速率攀升。去年单年，网络犯罪分子就卷走7亿美元，其中大部分损失涉及被骗金额超过10万美元的受害者。 向FTC报告因诈骗损失超1万美元的老年人数量激增逾四倍。这些诈骗者通常伪装成知名且受信任的政府机构或公司人员。2024年，60岁以上成年人因商业或政府冒充诈骗损失超1万美元的案件达8269起；相比之下，2020年该数字仅为1790起，增长4.6倍。...

HackerNews 编译，转载请注明出处： 应用安全公司PortSwigger研究主管詹姆斯·凯特尔（James Kettle）在周三举行的黑帽大会上公布了一种新型攻击方法。凯特尔与多名研究人员（包括漏洞赏金猎人团队）合作，识别受影响机构并告知其风险。 HTTP请求走私（亦称去同步攻击）利用Web服务器处理HTTP请求时的解析差异，使攻击者能将恶意请求“夹带”在合法请求中。该问题源于服务器（通常是充当负载均衡器或代理的前端服务器，与托管网站的后端服务器）如何界定HTTP请求结束及下一请求开始的位置。...