研究者展示了如何在不同的语音大模型上进行对抗性攻击，使用跨模型和交叉提示攻击等技术来引发意想不到的响应。 OpenAI近日发布的GPT-4o多模态大语言模型震惊了世界，该模型可以通过传感器感知世界并与人类通过语音进行无缝交流，完成各种复杂任务（例如给孩子辅导数学），将科幻电影中的智能机器人场景带入现实。 GPT-4o的问世标志着大语言模型与人类交互的主要渠道正从键盘/文本转向语音，能够遵循语音指令并生成文本/语音响应的集成式语音和大语言模型(SLM)越来越受欢迎。苹果Siri、亚马逊Alexa等可与大语言模型整合的语音智能助理也将迎来第二春。但与此同时，一个新的人工智能安全风险也正浮出水面：对抗性语音攻击。 语音大模型的致命漏洞 近日，亚马逊网络服务（AWS）的研究人员发布了一项新研究，揭示了能够理解和回应语音的多模态大语言模型存在重大安全漏洞。该论文题为《SpeechGuard：探索多模态大语言模型的对抗鲁棒性》，详细描述了这些AI系统如何被精心设计的音频攻击操控，进而生成有害、危险或不道德的响应。 语音接口已经在智能音箱和AI助手（例如苹果的Siri和亚马逊的Alexa）中普及，随着功能强大的大语言模型也开始依赖语音接口执行复杂任务，确保语音大模型技术的安全性和可靠性变得空前紧迫起来。 AWS的研究人员发现，即使内置了安全检查，语音大模型在“对抗性攻击”面前表现得极为脆弱。这些攻击通过对音频输入进行人类难以察觉的微小篡改，就能完全改变大模型的行为（越狱）。 研究论文中的一幅图示（上图）展示了一个语音问答AI系统在遭受对抗性攻击时，如何被操控以提供不道德或者非法内容，例如如何抢劫银行。研究人员提出了一种预处理防御方法，以缓解基于语音的大模型中的此类漏洞（图片来源：arxiv.org）。 攻击成功率高达90% 研究者设计了一种算法，可以在白盒攻击（攻击者拥有有关目标模型的所有信息，例如其架构和训练数据）和黑盒攻击（攻击者仅能访问目标模型的输入和输出，而不知道其内部工作原理）设置下生成对抗性样本，实现无需人工干预的语音大模型越狱。 “我们的越狱实验展示了语音大模型在对抗性攻击/白盒攻击和转移攻击/黑盒攻击面前是多么脆弱。基于精心设计的有害问题数据集进行评估时，平均攻击成功率分别为90%（对抗性攻击/白盒攻击）和10%（转移攻击/黑盒攻击）。”论文作者写道：“这引发了关于不法分子者可能大规模利用语音大模型的严重担忧。” 通过一种名为投影梯度下降（PGD）的方法，研究人员能够生成对抗性样本，成功使语音大模型输出了12个不同类型的有害内容，包括暴力内容和仇恨言论。令人震惊的是，在能够完全访问模型的情况下，研究者突破模型安全壁垒的成功率高达90%。 黑盒攻击：对现实世界构成威胁 更令人担忧的是，研究显示，在一个语音大模型上设计的音频攻击往往可复用到其他模型，即使没有直接访问权限（这是一个现实的场景，因为大多数商业大模型提供商仅允许有限的API访问）。虽然黑盒攻击的成功率下降到10%，但这仍然是一个严重的漏洞。 该论文的主要作者Raghuveer Peri指出：“对抗性语音攻击在不同模型架构间的可复用性表明，这不仅是特定实现的问题，而是我们目前训练人工智能系统以确保其安全和对齐的方法存在更深层次的缺陷。” 随着企业越来越依赖语音AI提供客户服务、数据分析和其他核心功能，对抗性语音攻击的影响是广泛而深远的。除了AI失控可能带来的声誉损害之外，对抗性攻击还可能被用于欺诈、间谍活动，甚至如果与自动化系统连接，还可能带来物理伤害。 应对措施与未来之路 研究人员还提出了几种应对措施，例如在音频输入中添加随机噪声——一种随机平滑技术。在实验中，该方法显著降低了攻击成功率。然而，作者警告称，这并不是一个完善的解决方案。 “防御对抗性攻击是一场持续的军备竞赛，”Peri指出：“随着大模型的能力不断增强，其被滥用的可能性也在不断增加。人工智能公司需要持续投资确保大模型在对抗性攻击中能够保持安全性和可靠性。” 研究使用的语音大模型通过对话数据进行训练，以在语音问答任务中达到最先进的性能，在攻击前的安全性和可靠性基准均超过了80%。这凸显了随着技术进步，人工智能系统的功能与安全能力已经失衡。 随着全球科技巨头争先恐后开发和部署越来越强大的语音AI，亚马逊的安全研究及时敲响了警钟，安全必须成为发展AI的首要任务，而不是马后炮。监管机构和IT行业需要共同努力，建立严格的标准和测试协议。 正如论文共同作者Katrin Kirchhoff所言：“我们正处于AI技术的拐点。AI具有极大的潜力并为社会带来价值，但如果不负责任地开发，也可能带来危害。这项研究是确保我们在享受语音AI带来的好处的同时，做到风险可控。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/DIzz6gTky3EADVO0anvHMg 封面来源于网络，如有侵权请联系删除

桑坦德银行表示，集团所有现任员工、部分前任员工、西班牙等多国客户的信息遭到泄露。 安全内参5月16日消息，桑坦德银行（Banco Santander SA）宣布，遭遇一起数据泄露事件，客户受到影响。事件起因是一名未经授权的人员访问了该银行某个第三方服务提供商托管的数据库。 桑坦德银行是全球范围内最大、最重要的银行之一，业务遍布西班牙、英国、巴西、墨西哥和美国。该银行以其多样化的金融产品和服务而闻名，为超过1.4亿客户提供服务。 在本周发布的一份声明中，桑坦德银行披露了这起数据泄露事件，该事件影响了西班牙、智利和乌拉圭的客户和员工。 声明写道：“我们最近发现了一起未经授权访问桑坦德银行数据库的事件，该数据库由一家第三方提供商托管。” 桑坦德银行表示，已迅速采取行动，遏制事件蔓延，并阻止对数据库的违规访问。为了保护受影响的客户，该银行还实施了额外的欺诈预防控制措施。 “经过调查，我们现在确认，某些涉及桑坦德银行智利、西班牙和乌拉圭客户，以及该集团的现任和部分前任员工的信息已被访问。” ——桑坦德银行 桑坦德银行没有透露具体受影响的数据类型，但指出交易信息以及网络银行账户凭据未受影响。 这家金融机构表示，桑坦德银行在其他市场的业务没有受到这次事件影响。 此外，已确认该银行在上述国家的系统和运营未受影响，因此客户无需担心，可以继续使用所有服务。 桑坦德银行将直接通知受数据泄露影响的客户和员工，以及执法部门。 外媒BleepingComputer已联系桑坦德银行，要求提供有关第三方服务提供商、受影响客户人数和泄露数据类型的信息，但目前尚未收到回复。   转自安全内参，原文链接：https://www.secrss.com/articles/66184 封面来源于网络，如有侵权请联系删除

威胁情报公司 Recorded Future 周二对滥用合法 GitHub 配置文件传播信息窃取恶意软件的恶意活动发出警报。 作为该活动的一部分，在独立国家联合体 (CIS) 之外活动的俄语黑客通过冒充 1Password、Bartender 5、和 Pixelmator Pro进行攻击。 Recorded Future 在一份新报告中指出，恶意软件操作共享相同的命令与控制 (C&C) 基础设施，这表明在跨平台攻击中使用了集中式设置，可能会提高效率。 2024 年初的行业报告显示，AMOS 通过欺骗性网站、冒充合法 macOS 应用程序（包括 Slack 的安装文件）以及欺诈性 Web3 项目进行分发。 以这些报告为起点，Recorded Future 发现了 12 个宣传合法 macOS 软件的网站，但将受害者重定向到分发 AMOS 的 GitHub 配置文件。该配置文件还传播了 Octo Android 银行木马和各种 Windows 信息窃取程序。 该 GitHub 配置文件属于名为“papinyurii33”的用户，创建于 2024 年 1 月 16 日，仅包含两个存储库。Recorded Future 表示，其研究人员在 2 月和 3 月初观察到这些存储库中的文件发生了多次更改，但自 3 月 7 日以来没有新的活动。 调查还揭示了 FileZilla 文件传输协议 FTP 服务器用于恶意软件管理以及分发 Lumma 和 Vidar 信息窃取程序的情况。 此外，Recorded Future 表示，它发现了与该活动相关的多个 IP 地址，其中包括与 DarkComet RAT 的 C&C 基础设施相关的四个 IP，以及用于分发该活动的 FileZilla FTP 服务器。2023 年 8 月至 2024 年 2 月期间，Raccoon Stealer 也使用这些 FTP 服务器进行分发。 Recorded Future 与 Cyfirma、CERT-UA、Cyble 和 Malwarebytes 的报告证实了调查结果，得出的结论是，这些攻击是由同一攻击者精心策划的，是大规模活动的一部分。 该网络安全公司建议组织使用自动代码扫描工具对从外部存储库获取的所有代码进行代码评估，并识别潜在的恶意软件或可疑模式。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Y19DBCGlm-A79RFJ7Q18qg 封面来源于网络，如有侵权请联系删除

美国联邦通信委员会 (FCC) 已将其首个官方指定的机器人电话黑客命名为“Royal Tiger”，此举旨在帮助国际合作伙伴和执法部门更轻松地追踪重复机器人电话活动背后的个人和实体。 Royal Tiger 是一群来自印度、英国、阿拉伯联合酋长国和美国的不良分子，他们使用欺骗性电话号码冒充政府机构、银行和公用事业公司拨打自动电话，并拨打虚假信用卡利率。减价优惠。据称，由 Jashvantlal Anand 王子及其同伙 Kaushal Bhavsar 领导的 Royal Tiger 集团正在美国经营多个与非法电话有关的实体，包括 VoIP 公司 Illum T communications Limited (Illum)、PZ T communications LLC (PZ Telecom) 和 One眼睛有限责任公司（一只眼睛）。 他们将美国境内的自动骚扰电话转接到总部位于德克萨斯州的 Great Choice Telecom 公司，此前该公司曾因拨打非法欺骗性自动骚扰电话而被联邦通信委员会 (FCC) 和联邦贸易委员会 (FTC) 处以 2.25 亿美元的没收令和勒令停止函。 “无论垃圾电话最初来自何处，旨在欺骗或伤害消费者的垃圾电话都需要终止。我们将继续寻找新的方法来打击这些非法诈骗，” FCC 主席杰西卡·罗森沃塞尔 (Jessica Rosenworcel)表示。 “当我们发现屡犯者时，我们将确保继续使用我们所拥有的一切工具来阻止这些垃圾到达消费者并对其造成伤害。” 这个新的 FCC robocall 不良行为者分类系统被称为消费者通信信息服务威胁 (C-CIST) [ PDF ]，旨在帮助州、联邦和国际监管机构和执法实体识别和跟踪滥用电信的黑客基础设施，并对其采取适当行动。 FCC 表示，新的指定还使其能够利用其全部权力来阻止这些威胁组织进入美国电信领域并针对消费者。 虽然潜在的执法行动可能包括停止函、从 Robocall 缓解数据库中删除以及没收令，但 FCC 采取的最终行动将取决于当事人及其违法行为。 今天的行动以执法局的“春季大扫除”举措为基础，该举措于四月开始，针对虚假税收减免计划背后的机器人来电者增加了目标。 FCC在周一发布的公告中补充道：“执法部门、行业利益相关者和消费者应将 Royal Tiger 视为对通信信息服务的潜在威胁。” “如果您怀疑与 Royal Tiger 有关的个人或实体违反了 1934 年通信法（修订版）或委员会的规则，请发送电子邮件至 CCIST@fcc.gov 通知 FCC。” 去年，美国联邦贸易委员会 (FTC) 收到 853,935 起冒名顶替诈骗的报告，报告损失总额近 27 亿美元。 冒名顶替诈骗也是 2023 年军事人员报告的最常见欺诈行为，造成总损失 1.78 亿美元。此外，联邦贸易委员会 (FTC) 于 2022 年指出，老年人因政府冒充诈骗而遭受重大损失，损失总额约为 1.86 亿美元。   转自E安全，原文链接：https://mp.weixin.qq.com/s/_DBq-GGDo4ZmGczs-IEbgQ 封面来源于网络，如有侵权请联系删除

谷歌将在今年晚些时候推出多种防盗和数据保护功能，其中一些功能仅适用于 Android 15 及以上版本的设备，另一些功能将推广到数十亿运行 Android 10 及以上版本的设备。 为了在设备被盗或丢失时保护您的个人敏感数据，一款名为 “盗窃检测锁 “的全新人工智能自动屏幕锁会在检测到与盗窃企图相关的动作时锁定屏幕，比如小偷从您手中抢走设备的动作。 为进一步确保窃贼无法访问您的敏感数据和应用程序，另一项名为 “离线设备锁 “的新功能会在窃贼断开设备与网络连接后不久，或在检测到太多次失败的身份验证尝试时自动锁定设备。 谷歌还宣布推出远程锁定功能，帮助那些安卓设备被盗的用户仅凭电话号码和安全挑战就能远程锁定智能手机或平板电脑。要使用该功能，您可以访问 android.com/lock了解详情。 谷歌副总裁 Suzanne Frey 表示：这为用户恢复账户信息和访问’查找我的设备’中的其他有用选项赢得了时间，包括发送完全出厂重置命令以彻底清除设备。 盗窃检测锁、离线设备锁和远程锁将通过今年晚些时候推出的 Google Play 服务更新在运行 Android 10 或更高版本的设备上提供。 正如在2024年谷歌I/O大会上所宣布的，新发布的安卓15系统还将升级出厂重置保护功能，通过在设置过程中要求用户提供谷歌账户凭证，使被盗设备很难或无法出售。 这次升级后，窃贼无法再强行重置被盗设备，这使得被盗设备无法出售，从而减少了手机盗窃的诱因。 在尝试从不受信任的位置访问或更改关键的谷歌账户和设备设置，如更改 PIN 码、访问密码钥匙或禁用防盗保护时，安卓系统也会要求输入 PIN 码、密码或生物识别身份验证。 同样，禁用 “查找我的设备 “或延长设备屏幕超时也需要输入 PIN 码或密码，或使用某种形式的生物识别验证。 这又增加了一层安全保护，旨在防止偷窃你设备的犯罪分子将你的设备 “解锁或无法在线追踪”。 此外，新的安卓版本还将包括所谓的 “私人空间”，可以使用自己选择的 PIN 码锁定，以防止窃贼访问存储在应用程序中的敏感数据，如健康或财务信息。 出厂重置保护更新和私人空间将在今年秋季推出 Android 15 时发布，而增强的身份验证保护功能将于今年晚些时候在部分设备上推出。 在 2024 年谷歌 I/O 大会上，公司还发布了新的 Android 15 和 Google Play Protect 功能，以防止诈骗、欺诈、间谍软件和银行恶意软件。   转自FreeBuf，原文链接：https://www.freebuf.com/news/401064.html 封面来源于网络，如有侵权请联系删除

目前，PDF 已然成为了数字通信中不可或缺的一部分，在 PDF 阅读器领域，Adobe Acrobat Reader 占据了最大的市场份额，但近些年后起之秀 Foxit PDF Reader 的市场占有率开始突飞猛进，在 200 多个国家拥有超过 7 亿用户。 然而，Check Point Research 近日发现了一种针对 Foxit Reader 用户的 PDF 安全漏洞利用的异常操作模式，该安全漏洞会触发安全警告，诱使毫无戒心的用户执行”有害“命令。目前，该安全漏洞的变体在野外正被积极利用 Foxit PDF Reader 设计中存在安全缺陷 研究人员表示，安全漏洞是由 Foxit Reader 中警告消息中某个设计缺陷引发。据悉，警告消息中提供了一个”有害“的默认选项，一旦有粗心的用户使用默认选项，安全漏洞就会自动触发，从远程服务器下载并执行恶意有效负载。 安全研究人员已经证实安全漏洞已经被多个黑客用于电子犯罪和间谍活动。其中，名为 APT-C-35 / DoNot Team 威胁组织发起的某一间谍组织最为”著名“。黑客通过部署特定恶意软件、获得受害者的数据信息。此外，黑客能够开展针对 Windows 和 Android 设备的混合攻击活动，从而绕过双因素身份验证 （2FA） 。 VenomRAT、Agent-Tesla、Remcos、NjRAT、NanoCore RAT、Pony、Xworm、AsyncRAT、DCRat 等在内的各种网络犯罪攻击者都在利用该安全漏洞，以分发、部署恶意软件。Check Point Research 跟踪了一起可能是通过 Facebook 分发恶意软件的活动，发现了一条攻击链。 在另一场攻击活动中，Check Point Research 确认了黑客为@silentkillertv，主要利用两个链接的PDF 文件执行活动，其中一个文件托管在合法网站 trello.com 上。黑客还销售恶意工具，并于 4 月 27 日宣传了这一漏洞。 研究过程中，Check Point 获得了多个攻击者拥有的构建器，这些构建器利用此漏洞创建恶意 PDF 文件，大多数收集的 PDF 正在执行 PowerShell 命令，该命令从远程服务器下载有效负载，然后立刻执行。 最后，安全人员指出，随着社会工程策略的日益复杂，用户必须时刻保持警惕，随时了解自身网络安全状况，谨慎行事，并实施包括多因素身份验证和安全意识培训等在内的安全措施，以最大程度上降低成为此类攻击受害者的风险。   转自FreeBuf，原文链接：https://www.freebuf.com/news/401073.html 封面来源于网络，如有侵权请联系删除

微软推出最新的安全更新，解决了各种软件产品中的大约 60 个漏洞，并呼吁紧急关注多个外部威胁追踪团队报告的一个被积极利用的0day漏洞。 本月修复的安全漏洞分类如下： 17个特权提升漏洞 2个安全功能绕过漏洞 27个远程代码执行漏洞 7个信息泄露漏洞 3个拒绝服务漏洞 4个欺骗漏洞 标记为CVE-2024-30051的0day漏洞被记录为 Windows 桌面窗口管理器 (DWM) 核心库中基于堆的缓冲区溢出，该漏洞已在需要提升系统权限的恶意软件攻击中被利用。 该漏洞的 CVSS 严重性评分为 7.8/10，并且被 Redmond 评为“重要”。 桌面窗口管理器是 Windows Vista 中引入的一项 Windows 服务，允许操作系统在渲染玻璃窗框架和 3D 过渡动画等图形用户界面元素时使用硬件加速。 卡巴斯基安全研究人员在调查另一个 Windows DWM 核心库权限提升漏洞（编号为CVE-2023-36033）时发现了该漏洞，该漏洞也被用作攻击中的0day漏洞。 在梳理与最近的漏洞和相关攻击相关的数据时，他们偶然发现了一个于 2024 年 4 月 1 日上传到 VirusTotal 的有趣文件。该文件的名称暗示它包含有关 Windows 漏洞的详细信息。 正如他们所发现的，该文件提供了有关 Windows 桌面窗口管理器 (DWM) 漏洞的信息（以蹩脚的英文），该漏洞可被利用来将权限升级到 SYSTEM，其中概述的利用过程完美地反映了 CVE-2023-36033 攻击中使用的过程，尽管它描述了一个明显的漏洞。 尽管该文档质量不佳，并且在如何利用该漏洞方面存在一些遗漏，但卡巴斯基确认 Windows DWM 核心库中存在新的0day特权升级漏洞。Microsoft 分配了 CVE-2024-30051 CVE 编号并在本月的补丁日修补了该漏洞。 卡巴斯基表示：“在将我们的发现发送给微软后，我们开始密切监控我们的统计数据，以寻找利用这个0day漏洞的攻击，在四月中旬我们发现了野外利用。” “我们看到它与 QakBot 和其他恶意软件一起使用，并相信多个攻击者组织可以访问它。” 谷歌威胁分析小组、DBAPPSecurity WeBin 实验室和谷歌 Mandiant 的安全研究人员也向微软报告了该0day漏洞，指出该漏洞可能在恶意软件攻击中被广泛利用。 QakBot（也称为Qbot）始于 2008 年，最初是一种银行木马，用于窃取银行凭证、网站 cookie 和信用卡以实施金融欺诈。随着时间的推移，QakBot 演变成一种恶意软件交付服务，与其他黑客组织合作，为勒索软件攻击、间谍活动或数据盗窃等攻击活动提供对企业和家庭网络的初始访问。 执法部门将 QakBot 与至少 40 起针对全球公司、医疗保健提供商和政府机构的勒索软件攻击联系起来，据保守估计，这些攻击造成了数亿美元的损失。 多年来，Qakbot 一直是各种勒索软件团伙及其附属机构的初始感染媒介，包括 Conti、ProLock、Egregor、REvil、RansomExx、MegaCortex 以及最近的Black Basta。 其他需要重点关注的漏洞 微软还将CVE-2024-30040标记为已被利用的类别，警告攻击者正在绕过 Microsoft 365 和 Office 中的安全功能。该漏洞的 CVSS 评分为 8.8，如果用户欺骗加载恶意文件，攻击者就可以执行任意代码。 “此漏洞绕过了 Microsoft 365 和 Microsoft Office 中的 OLE 缓解措施，这些缓解措施可保护用户免受易受攻击的 COM/OLE 控件的侵害。成功利用此漏洞的未经身份验证的攻击者可以通过说服用户打开恶意文档来获得代码执行权限，此时攻击者可以在用户的上下文中执行任意代码。”微软表示。 微软还敦促 Windows 管理员关注CVE-2024-30044，这是 Microsoft Sharepoint 中的一个严重级别的远程代码执行漏洞。 微软安全响应中心警告说：“具有站点所有者权限的经过身份验证的攻击者可以利用该漏洞注入任意代码并在 SharePoint Server 上下文中执行此代码。” “具有站点所有者或更高权限、经过身份验证的攻击者可以将特制文件上传到目标 Sharepoint Server，并制作专门的 API 请求来触发文件参数的反序列化。这将使攻击者能够在 Sharepoint Server 的上下文中执行远程代码。”微软补充道。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Y19DBCGlm-A79RFJ7Q18qg 封面来源于网络，如有侵权请联系删除

本周三，电报(Telegram)创始人帕维尔·杜洛夫通过电报频道发表讲话，对即时通讯应用Signal提出了诸多指控，包括Signal与美国政府保持着紧密联系、其端到端加密技术来自美国情报机构、缺乏软件透明度等，并称Signal为“一个打着安全幌子的通讯应用”。 Signal被美国情报机构控制 Signal是老牌加密通信软件，根据市场情报公司Sensor Tower的数据，2021年Signal在中国（被屏蔽前）总下载量高达1亿次。同年，随着Whatsapp推出饱受争议的隐私政策，以及特朗普被硅谷科技公司“社死”，特斯拉创始人马斯克在推特上发帖为Signal“带货”，导致Signal全球用户数量暴增，Signal也成了所谓言论自由和隐私保护的一面旗帜。 但是随着City Journal一篇深度报道的发布，Signal的“人设”瞬间崩塌，杜洛夫对Signal的抨击多少也受到了该报道的启发和刺激。 City Journal的报道揭了Signal的老底，称其最初的启动资金来自于美国政府开放技术基金(Open Technology Fund)的300万美元赠款，暗示Signal与美国情报机构可能存在密切关联，并提到Signal基金会现任主席凯瑟琳·马赫(Katherine Maher)曾于2010年至2011年在美国支持的NGO组织“美国国家民主研究所”任职。 该报道称，马赫在阿拉伯之春期间是美国国务院在海外“颠覆政权的代理人”，与中东和北非的持不同政见者进行过交流。马赫还担任过其他重要职务，包括2014年至2016年担任维基媒体基金会(Wikimedia)的首席内容官(CCO)，2016年至2021年升任首席执行官(CEO)；2022年至今年1月担任美国国务院外交政策委员会(希拉里克林顿于2011年成立的专家小组)的成员；并于今年3月担任NPR（美国国家公共电台）的首席执行官兼台长。 马赫不仅在美国的“深层政府”任职，还是“意识形态挂帅”的代言人，她在美国大选和新冠疫情期间将美国宪法第一修正案描述为内容监管和打击虚假信息的“头号挑战”。 担任NPR首席执行官后，马赫曾在TED发表演讲声称“对真相的探寻不能以牺牲普世价值为代价”。作为以记录真相为使命的维基百科的前首席执行官，马赫“意识形态优先于真相”的论调引起一片哗然。不久后马赫遭到共和党国会议员对“NPR政治和意识形态偏见”的调查，但马赫本人拒绝出席听证会。 硅谷没有加密自由 杜罗夫以City Journal的报道作为攻击切入点，进一步指出美国科技巨头们“没有自己的加密”： “美国政府花费了300万美元用于开发Signal使用的加密技术，相同的加密技术已经被整合到WhatsApp、Facebook Messenger、谷歌信息(Google Messages)甚至Skype之中。这给人的感觉是，美国的大型科技公司似乎不被允许开发自己的，独立于政府干预的加密协议。” 杜罗夫还声称，用户在Signal上的聊天信息曾出现在法庭案件或媒体报道中，并暗示这是因为该应用的加密并不完全安全。杜洛夫指的可能是加密货币交易所FTX的前首席执行官Sam Bankman-Fried，在Signal上的聊天信息是导致其被定罪的关键证据。不过，根据公开报道，Sam Bankman-Fried的Signal信息泄露的原因可能是其收件人（包括两名重要证人）将消息提交给了联邦检察官。 透明度之争 杜罗夫还指责Signal缺乏代码安全透明度，不允许用户复制iOS版本的应用程序，因此无法证明用户从苹果应用商店下载的Signal版本与用户使用开源代码构建的版本是完全相同的。 类似地，杜罗夫嘲讽WhatsApp不（敢）发布程序源代码，称“WhatsApp所有关于‘隐私’的言论都更像是一场拙劣的把戏。” 约翰·霍普金斯大学的教授马修·格林表示，iOS用户确实无法制作可复制的Signal版本，但这可能并非Signal不愿为之：“由于Apple自身的特殊原因，在iOS上做到这一点非常困难，主要是因为应用程序被加密了(Apple应该修复这个问题)。” 格林指出，DRM加密同样使Telegram的iOS应用程序复制变得复杂，这种复制仅在已越狱的老款iPhone上才有可能实现，并且由于某些文件仍被加密，最终也只会部分验证成功。相比之下，在安卓系统上则可以进行复制，因为安卓并不像iOS那样对应用进行加密。 最后，值得注意的是，杜洛夫的言论距离其披露电报首次公开募股(IPO)上市计划仅仅几个月时间，因此不排除杜洛夫对竞争对手的抨击存在财务动机。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16349.html 封面来源于网络，如有侵权请联系删除

据ESET 研究人员表示，自 2009 年以来，一个名为 “Ebury “的恶意软件僵尸网络已经感染了近 40 万台 Linux 服务器，截至 2023 年底，仍有约 10 万台服务器受到攻击。 以下是 ESET 自 2009 年以来记录的 Ebury 感染情况，可见随着时间的推移，感染量明显增长。 在近日发布的最新更新中，ESET报告称，最近的一次执法行动使他们得以深入了解恶意软件在过去15年中的活动。虽然 40万是一个庞大的数字，但这的确是近 15 年来的入侵数量。不过这些并非是在同一时间被入侵的。 ESET解释说：在其他服务器被清理或退役的同时，不断有新的服务器被入侵。研究所掌握的数据并不能说明攻击者何时失去了对系统的访问权限，因此很难知道僵尸网络在任何特定时间点的规模。 Ebury 的最新策略 最近的 Ebury 攻击表明，操作者倾向于入侵托管提供商，并对租用被入侵提供商虚拟服务器的客户实施供应链攻击。 最初的入侵是通过凭证填充攻击进行的，使用窃取的凭证登录服务器。一旦服务器被入侵，恶意软件就会从 wtmp 和 known_hosts 文件中渗出入站/出站 SSH 连接列表，并窃取 SSH 身份验证密钥，然后利用这些密钥尝试登录其他系统。 ESET 的详细报告中写道：当 known_hosts 文件包含散列信息时，作案者会尝试对其内容进行暴力破解。 在 Ebury 操作员收集的 480 万个 known_hosts 条目中，约有 200 万个条目对其主机名进行了散列。在这些散列主机名中，40%（约 80 万个）是猜测或暴力获取的。 另外，在可能的情况下，攻击者还可能利用服务器上运行的软件中已知的漏洞来获得进一步的访问权限或提升他们的权限。 托管提供商的基础设施（包括 OpenVZ 或容器主机）可用于在多个容器或虚拟环境中部署 Ebury。 在下一阶段，恶意软件操作员通过使用地址解析协议（ARP）欺骗拦截这些数据中心内目标服务器上的 SSH 流量，将流量重定向到其控制的服务器。 一旦用户通过 SSH 登录受攻击的服务器，Ebury 就会捕获登录凭证。 在服务器托管加密货币钱包的情况下，Ebury 会使用捕获的凭据自动清空钱包。据悉，2023 年Ebury 使用这种方法攻击了至少 200 台服务器，其中包括比特币和以太坊节点。 不过，这些货币化策略各不相同，还包括窃取输入支付网站的信用卡信息、重定向网络流量以从广告和联盟计划中获取收入、利用被攻陷的服务器发送垃圾邮件以及出售捕获的凭据。 在 2023 年底，ESET 观察到该软件引入了新的混淆技术和新的域生成算法 (DGA) 系统，使僵尸网络能够躲避检测并提高其抵御拦截的能力。 而根据 ESET 的最新发现，通过 Ebury 僵尸网络传播的恶意软件模块有： HelimodProxy： 通过修改mod_dir.so Apache模块代理原始流量和转发垃圾邮件，允许被入侵的服务器运行任意命令并支持垃圾邮件活动。 HelimodRedirect： 通过修改各种 Apache 和 nginx 模块，将 HTTP 流量重定向到攻击者控制的网站，从而将一小部分网络流量重定向到恶意网站。 HelimodSteal： 通过添加一个输入过滤器，拦截并窃取通过网络表单提交的数据（如登录凭证和支付详情），从而从 HTTP POST 请求中窃取敏感信息。 KernelRedirect： 通过使用挂接 Netfilter 的 Linux 内核模块，在内核级别修改 HTTP 流量以重定向访问者，改变 HTTP 响应中的位置标头，将用户重定向到恶意 URL。 FrizzySteal： 通过挂钩 libcurl 来拦截和渗透 HTTP 请求，使其能够捕获和窃取被入侵服务器发出的 HTTP 请求中的数据。 ESET 的最新调查是与荷兰国家高科技犯罪小组（NHTCU）合作进行的，该小组最近查获了网络犯罪分子使用的备份服务器。 荷兰当局称，Ebury 的行为者使用通过 Vidar Stealer伪造或盗用的身份，有时甚至冒用其他网络犯罪分子的绰号来误导执法部门。 目前，NHTCU 正在调查在该服务器中发现的证据，包括包含历史记录和保存的登录信息等网络浏览痕迹的虚拟机，但目前还没有新发现。   转自FreeBuf，原文链接：https://www.freebuf.com/news/400974.html 封面来源于网络，如有侵权请联系删除

企业家的个人信息正在以极低的价格被出售！不是一个，而是海量数据！ 每日经济新闻记者（以下简称每经记者）独家调查发现，一家名为“探客查”的平台正在大规模售卖企业家个人信息，号称覆盖“2亿+企业数据库”“10亿+线索联系方式”。记者简单查询，就发现农夫山泉创始人钟睒睒等多位知名企业家手机号在该平台售卖。 另一家大规模售卖企业家个人信息的平台名为“励销云”，号称“覆盖2.7亿+企业工商信息，5.3亿+联系人，上海数据交易所（以下简称上海数交所）挂牌”。每经记者在该平台上也发现在售多位企业家手机号。 经与企业家本人或接近企业家的知情人士确认，每经记者核实到平台销售的农夫山泉创始人钟睒睒、森马服饰创始人邱光和、荣盛集团董事长李水荣、新尚集团董事长唐立新、蜜雪冰城实控人张红甫、钟薛高创始人林盛、蔚来汽车联合创始人秦力洪手机号均为其本人所有并正在使用。 此外，记者通过支付宝转账的方式，逐一核对了平台销售的牧原股份实控人钱瑛、蓝思科技董事长周群飞、喜茶创始人聂云宸对应手机号的实名认证信息——姓氏及尾字，与企业家名字一致。 胡润百富榜显示，多位被泄露个人信息的企业家（家族）财富超百亿元，包括并不限于钟睒睒（4500亿元）、荣盛集团李水荣（680亿元）、蜜雪冰城张红甫（280亿元）、新尚集团唐立新（170亿元）、森马服饰邱光和家族（155亿元）。 探客查：980元包年，每月可查5000条 “精准电销名录，就来这里找！”“有业务要找老板谈，找老板电话就上探客查。”“筛选导出企业法人股东电话，实名认证数据准确。”“三重实名核验法人股东电话。”探客查客服的朋友圈充斥着类似广告。 探客查的官网显示，该平台覆盖“2亿+企业数据库、10亿+线索联系方式”。 “980元包年，每月可查看企业数量5000条”，这是该平台的报价。按最大查询数量计算，一条企业家的个人信息售价仅0.016元。这就意味着，以包年的价格大规模查询钟睒睒、李水荣等企业家的手机号，折合约2分钱一条。 是否真如平台所言，可以提供海量企业家的手机号？这些手机号是否真实有效？记者决定一探究竟。 登录该网站，每经记者注意到，平台有“验证法人、查询企业、批量企业匹配”三项功能。在查询企业功能中可输入企业名、人名、产品名、品牌、地址等信息。企业家电话设置在企业详情的联系方式栏中。 每经记者从“中国上市公司品牌价值榜”中随机挑选了部分知名上市公司，又补充了一些未上市的知名企业，在探客查上简单搜索，就发现了十位知名企业家的手机号在售，分别是：农夫山泉创始人钟睒睒、牧原股份实控人钱瑛、森马服饰创始人邱光和、荣盛集团董事长李水荣、蓝思科技董事长周群飞、新尚集团董事长唐立新、蜜雪冰城实控人张红甫、钟薛高创始人林盛、喜茶创始人聂云宸、蔚来汽车联合创始人秦力洪（为保护个人隐私，本文将展示的手机号打码）。 记者注意到，联系方式栏中很多姓名未以全名展示。 如何保证号码准确性？探客查销售人员表示：“法人或股东电话号码都是实名认证后的数据。电话号码加法人或股东姓名，再与三大运营商联合实名认证。开通会员后有权限查看实名认证后的数据。” 每经记者追问是否与电信运营商有数据合作？该人员回答：“对。” 该人员向记者展示开通会员后的界面。以秦力洪为例，虽然姓名依然为“秦**”，但平台在该条信息上增加了“关键人”“与法人姓名近似”的标注。 那么，打“*”号部分能否还原？ 该平台介绍，“核验企业关键人”功能的原理为“核验系统模拟人工加支付宝转账确认名字的产品逻辑，高达99.9%精准度”。 每经记者尝试以相同方式，通过支付宝转账逐一核对，确认平台销售手机号的实名信息——姓氏及尾字，与对应企业家名字相符。 这些号码是否真为企业家所有？ 每经记者通过各种渠道联系到企业家本人或接近企业家的知情人士，确认平台销售的钟睒睒、邱光和、李水荣、唐立新、张红甫、林盛、秦力洪手机号均为其本人所有并正在使用。 海量企业家的个人电话竟以包年的价格售卖，平台从哪里得到这些私人数据？ 每经记者注意到，农夫山泉创始人钟睒睒等知名企业家的电话来源多被标注为“其他”或“智能关联”，该平台标注的号码“全网最早出现时间”集中在2023年5月或7月。 牧原股份实控人钱瑛的号码来源则比较特殊，显示为门户网站，“全网最早出现时间”为2018年9月。点击钱瑛号码的来源链接，网页分别跳转至顺企网、利酷搜黄页网、搜了网、找找去网，这些网站完整展示了钱瑛的电话号码，与探客查显示一致。上述网站将该电话号码关联在内乡县牧原生态农业发展有限公司名下，但记者发现，实际上该企业已变更名称为内乡县牧原科技有限公司。 励销云：上海数交所挂牌 持多项证书 更有甚者，销售方还开展直接针对意向客户的电销业务。 “提供比企查查、天眼查精准十几倍的老板负责人电话。”“行业排名第一，数据库在上海数交所挂牌。”“腾讯创投参股的励销云，专门做大数据找客系统加智能外呼系统。”“2.7亿条企业数据已经在国家备案。”这是上海微问家信息技术有限公司（以下简称微问家）销售人员电销时的介绍。微问家旗下的获客系统名为励销云。“我们主要是找销售型企业，只要你做B端（企业用户）业务，这个产品肯定用得上。包年整套数据16800元，智能外呼机器人5000元一台，一天可以打1000个电话。”销售人员说。 每经记者注意到，该销售人员名片上使用了腾讯标识，微信名称也特别标注“腾讯励销云~某某”，但其出示的销售合同模板上并未出现腾讯字样。 腾讯有关人士就此回应每经记者：腾讯是励销云的少数股权股东，占股不到9%，并不参与公司的日常运营，从未授权其使用腾讯logo（徽标、商标），也对“大规模兜售企业家电话行为”并不知情。腾讯已经第一时间联系了励销云管理层，请公司全面核实情况，如有任何违规操作，须立刻停止。腾讯同时对侵权行为保留追索的权利。 上述销售人员还提到：“国家中小企业发展基金会也持有我们百分之四点几的股份。” 经查询，微问家股东包含深圳市腾讯产业创投有限公司（持股8.98%）及深圳国中中小企业发展私募股权投资基金合伙企业（持股4.56%）。后者被国家中小企业发展基金有限公司持股25%。 该人员向记者出示了上海数交所“企业工商全景查询”数据产品挂牌纪念证书、信息系统安全等级保护备案证明及信息安全管理体系ISO27001认证证书。 记者查阅“企业工商全景查询”挂牌证书发现，该证书对应的产品描述中并未包含“提供法定代表人联系方式”的许可，该公司在上海数交所的其他挂牌证书也未包含该许可。 励销云也在出售企业家个人信息。登录励销云后，随机输入参数，每经记者设定检索名称中含特定词语的企业，系统为记者筛选出近20万家企业。点击查看详情，只见屏幕右侧出现了多个手机号。 与探客查类似，励销云系统中手机号对应的人名也未展示全名。 “这叫规避法律风险，我们不能展示全名，展示全名侵犯个人隐私。”该人员解释，“但我们打了标签‘与法人同名’。” 每经记者随机抽取多家公司，搜索到新华中盛投资管理有限公司总裁吕泽华、好贷网创始人李明顺、芯联股权投资（杭州）有限公司法定代表人赵奇、海口皑馓商贸有限公司法定代表人艾散江•安外尔、杭州临安余川机械有限公司法定代表人冯国华等企业家的联系方式。记者通过支付宝转账的方式，逐一核对了平台销售的上述企业家对应手机号的实名认证信息——姓氏及尾字，与企业家名字一致。 经与企业家本人或接近企业家的知情人士确认，每经记者核实到平台销售的李明顺、吕泽华电话的确为其本人所有。 励销云又是如何获得海量企业家个人信息的？ 系统页面显示，信息来源包括电商平台、招聘网站、企业服务平台、展会注册信息、招投标网站、门户网站、生活服务网站等。 具体到上述企业，吕泽华、赵奇号码来源为“智能分析”，李明顺、冯国华的号码来源为门户网站。 对于数据来源，每经记者询问励销云的多位销售人员，他们给出了三种说法：一是大数据抓取电话后，与工商信息上的法定代表人名字比对匹配，同时跟三大运营商合作，得知电话实名信息；二是向各大平台支付费用，购买信息；三是利用“大数据+超链分析”技术抓取、整合各平台信息。 移动、联通均否认售卖用户个人信息 对于数据来源，探客查和励销云销售人员同时提及与三大电信运营商的合作。 果真如此吗？记者采访了三大运营商。 中国移动回复每经记者，没有售卖任何用户个人信息。中国移动一直以来高度重视客户个人信息保护工作，制定《中国移动数据安全管理办法》等系列制度。一是设立“五条禁令”，明令禁止泄露或交易客户信息，违反禁令者，根据严重程度予以开除、依法移送司法机关等。二是参考银行“金库模式”，实行“关键操作、多人完成”，通过技术手段，确保所有涉及敏感客户信息操作都有严格审批控制和全面记录与审计。三是凡涉及敏感操作，即时短信提醒客户，确保客户知情权。 中国联通明确回复：“不存在对外泄露、出售企业家手机号的行为。从公司的管理制度来说，肯定不允许泄露个人信息。” 截至发稿，记者暂未收到中国电信的回复。 搜集、销售企业家、股东、高管联系方式是否违法？将承担什么责任？ 上海百谷律师事务所律师高飞长期深耕互联网信息监控和维权领域，他告诉记者，上述平台大规模搜集、售卖企业家电话号码的行为违反个人信息保护法及刑法第二百五十三条之一规定，涉嫌构成侵犯公民个人信息罪。此外，如果有“撞库”行为，还涉嫌构成破坏计算机信息系统罪。高飞还表示，实施主体将承担刑事责任，由于上述平台搜集、售卖的个人信息数量巨大，属于情节严重的情形，应该在量刑范围内从重处罚。   转自FreeBuf，原文链接：https://www.freebuf.com/news/400979.html 封面来源于网络，如有侵权请联系删除