AI 网络安全初创公司 Lasso 发现了代码存储库中暴露的 1,600 多个有效 Hugging Face API 令牌，可提供对数百个组织帐户的访问。 泄露的秘密（例如代币）长期以来一直是代码托管平台和安全研究人员关注的焦点，因为它们落入坏人之手时会带来很高的风险。 Hugging Face API 令牌也不例外，它允许开发人员和组织集成大型语言模型 (LLM) 并管理 Hugging Face 存储库。...

间谍软件已在该设施的网络中隐藏了 8 年。
英国塞拉菲尔德核设施的IT系统遭到黑客攻击。 《卫报》的一项调查 发现，该工厂的高级员工经常隐瞒有关袭击的信息。目前尚不清楚这些系统何时首次遭到破坏，但第一次违规行为是在 2015 年发现的。在塞拉菲尔德网络中发现了休眠的恶意软件， 黑客可能已经获得了该设施中最敏感的材料。由于塞拉菲尔德未能及时向监管机构发出警报，丢失的数据和持续存在的系统风险的全部范围仍然未知。 调查还发现该设施长期存在网络安全缺陷。2013年，发现对Sellafield服务器的外部访问，引起了严重关注。据消息人士透露，塞拉菲尔德不符合高网络安全标准，目前正受到更严格的监管审查。...

谷歌周一宣布，2023 年 12 月的 Android 安全更新针对 94 个漏洞提供了补丁。 更新的第一部分—— 2023年12月1日安全补丁级别——解决了Android框架和系统组件中的33个漏洞。其中三个被评为“严重”。
谷歌在其公告中指出：“这些问题中最严重的是系统组件中的一个关键安全漏洞，可能导致远程（近端/相邻）代码执行，而无需额外的执行权限。 ”
这家互联网巨头解释说， 最新的 Android 更新还解决了系统组件中的 15 个其他问题，即 10 个权限提升问题和 5 个信息泄露错误。所有这些都被评为“高严重性”。...

ENISA发布了 ENISA DoS 攻击威胁态势报告，为 DoS 威胁态势带来了新的见解。 拒绝服务 (DoS) 攻击给组织带来了持续且重大的安全风险。在过去几年中，黑客越来越多地获得具有成本效益且高效的手段和服务来实施此类攻击。持续不断的全球冲突助长了 DoS 攻击浪潮，新兴威胁组织有选择地针对不同实体。 ENISA DoS 攻击威胁态势报告旨在提供有关 DoS 威胁态势的宝贵见解。它分析了 DoS 攻击的动机和影响，还旨在支持组织在发生攻击时增强防御能力。...

ALPHV 数据泄漏网站上列出的 HTC Global Services 被盗数据 目前来看，虽然有关 HTC Global Services 遭受网络攻击的详细信息很少，但网络安全专家凯文-博蒙特（Kevin Beaumont）认为，网络攻击者是利用 Citrix Bleed 漏洞入侵了该公司。博蒙特指出，...

Hackernews 编译，转载请注明出处： 个人基因公司 23andMe 周二证实，黑客使用窃取的密码访问了约 690 万会员的个人信息。 23andMe 的一名发言人在回答法新社的询问时表示，虽然黑客只能进入大约1.4万个账户，占该公司客户的0.1%，但他们能够看到 23andMe 基因相关亲属共享的信息。...

攻击者在第一次攻击中使用的工具 （CISA） 第二起事件发生在 6 月 2 日，当时黑客在运行 Adobe ColdFusion v2021.0.0.2 的服务器上利用了 CVE-2023-26360。

在这种情况下，攻击者在删除解码为远程访问木马 ( d.jsp ) 的文本文件之前收集了用户帐户信息。

接下来，...

欧盟立法者就《网络弹性法案》在技术和政治层面均达成一致，下一步欧洲议会和欧盟理事会通过后将成为法律。
有消息称：欧盟政策制定者于11月30日达成了关于《网络弹性法案》的政治协议，弥合了在最后几个悬而未决问题上的分歧。 《网络弹性法案》是一项立法提案，为从智能玩具到工业机械等各类联网设备引入安全要求。欧盟委员会、欧洲议会和欧盟理事会通过“三方对话”会议最终敲定这一法案。下一步需要欧洲议会和欧盟理事会正式通过，才能成为法律。 该协议此前在技术层面上已经基本敲定，提案的许多方面在政治会议期间得到认可。欧盟谈判代表经过激烈讨论之后解决了最后的政治障碍。...

Twisted Spider 组织积极使用 DanaBot 木马作为危险恶意软件的传播渠道。 微软报告了新一波 CACTUS 勒索软件攻击，利用恶意广告部署DanaBot工具作为初始访问媒介。 就在几天前，Arctic Wolf专家已经研究了一次类似的活动，该活动利用Qlik Sense 商业智能平台中的漏洞渗透目标环境并用 CACTUS 勒索软件感染它们，但这些网络事件的差异比乍看起来要多。一眼。...

Hackernews 编译，转载请注明出处： 微软周一表示，与俄罗斯军事情报部门有关的黑客仍在积极利用微软软件的一个漏洞，获取受害者的电子邮件。 研究人员在3月份的一份报告的更新中表示，被微软追踪为 Forest Blizzard，同时也被称为 Fancy Bear 及 APT28 的黑客，早在2022年4月就试图利用该漏洞未经授权访问微软 Exchange 服务器内的电子邮件帐户。...