HackerNews 编译，转载请注明出处： 众所周知，浏览器扩展（从拼写检查工具到生成式AI工具）几乎已嵌入每位用户的日常工作流程。但多数IT与安全人员尚未意识到：浏览器扩展的过度权限正成为企业日益增长的风险。 LayerX今日发布《2025企业浏览器扩展安全报告》，这是首份也是唯一将公共扩展市场统计数据与企业实际使用遥测数据相结合的报告。通过这种方式，该报告揭示了现代网络安全中最被低估的威胁面之一：浏览器扩展。 报告揭示了多项值得IT与安全负责人在制定2025下半年计划时关注的发现，包括有关”多少扩展具有危险权限”、”授予了哪些类型权限”、”扩展开发者是否可信”等数据与分析。以下是报告关键数据摘录。 《2025企业浏览器扩展安全报告》核心发现： 浏览器扩展在企业环境无处不在。99%（几乎所有）员工安装了浏览器扩展，52%安装超过10个扩展。 安全分析：几乎所有员工都暴露于浏览器扩展风险中。 多数扩展可访问关键数据。53%企业用户安装的扩展能访问Cookie、密码、网页内容、浏览信息等敏感数据。 安全分析：单个员工层面的漏洞可能危及整个组织。 扩展发布者身份成谜。超半数（54%）扩展发布者身份未知（仅通过Gmail识别），79%发布者仅发布过1个扩展。 安全分析：追踪扩展信誉度极为困难（即便动用IT资源也难以实现）。 生成式AI扩展威胁加剧。超20%用户至少安装1个生成式AI扩展，其中58%具有高风险权限范围。 安全分析：企业应制定明确的生成式AI扩展使用与数据共享政策。 未维护/未知扩展引发担忧。51%扩展超过1年未更新，26%企业扩展采用旁加载方式（绕过应用商店基础审查）。 安全分析：即使非恶意扩展也可能存在漏洞。 报告不仅提供数据，更为安全与IT团队提供应对浏览器扩展威胁的行动指南。 LayerX建议企业采取以下措施： 全面审计扩展 – 掌握所有扩展信息是理解威胁面的基础。因此，防范恶意扩展的第一步是审计员工使用的所有扩展。 分类扩展类型 – 某些扩展类型因其广泛用户基础（如生成式AI扩展）或获得的高危权限而更易受攻击。分类有助于评估浏览器扩展安全态势。 枚举扩展权限 – 列出各扩展可访问的信息类型，帮助绘制攻击面并配置后续策略。 评估扩展风险 – 基于权限与数据访问能力评估各扩展风险。整体风险评估还需纳入信誉度、流行度、发布者及安装方式等外部参数，最终形成统一风险评分。 实施自适应策略 – 根据分析结果，制定符合企业使用场景、需求与风险特征的自适应风险策略。 浏览器扩展不仅是生产力工具，更是多数企业尚未意识到的攻击媒介。LayerX《2025报告》通过全面发现与数据驱动分析，帮助CISO与安全团队管控风险，构建可防御的浏览器环境。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 华硕确认了一个影响启用AiCloud功能路由器的严重安全漏洞，远程攻击者可借此在受影响设备上执行未授权功能。 该漏洞编号为CVE-2025-2492，CVSS评分为9.2（满分10.0）。 “特定华硕路由器固件系列存在认证控制不当漏洞，”华硕在公告中表示。”此漏洞可通过构造请求触发，可能导致未授权功能执行。” 华硕已通过以下固件分支的更新修复该缺陷： 3.0.0.4_382 3.0.0.4_386 3.0.0.4_388 3.0.0.6_102 为获得最佳防护，建议用户将设备升级至最新固件版本。 华硕建议，”请为无线网络和路由器管理页面设置不同密码。使用至少10位字符的密码，包含大写字母、数字和符号。” “不要在多台设备或服务中使用相同密码。避免使用连续数字或字母的密码，例如1234567890、abcdefghij或qwertyuiop。” 若无法立即更新补丁或路由器已停产（EoL），请确保登录密码和Wi-Fi密码强度足够。 另一解决方案是禁用AiCloud及所有可从互联网访问的服务，包括：WAN远程访问、端口转发、DDNS、VPN服务器、DMZ、端口触发和FTP。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现一个公开可访问的服务器，内含超过1.58亿条AWS密钥记录。其中大部分密钥是跨不同区域端点和配置复制的重复条目。 然而进一步调查发现，攻击者通过爬取和其他方式收集AWS密钥，对存储桶进行加密并索要赎金的恶意活动。研究人员将密钥列表精简至1,229组独特的AWS密钥对，每组包含访问密钥ID及对应的秘密访问密钥。许多密钥对已被轮换，但仍在生效的有效密钥对已导致含有勒索信的S3存储桶被加密。 某未知威胁行为体正滥用AWS原生服务端加密功能以隐藏行踪。网络安全研究员、SecurityDiscovery.com所有者Bob Diachenko表示：“这是罕见且可能前所未有的协同勒索攻击案例——攻击者利用泄露的AWS凭证，在存储桶所有者未察觉或未操作的情况下，通过客户提供密钥的服务器端加密（SSE-C）对S3存储桶数据进行加密。” 关键要点： 1、发现超过1.58亿条泄露的AWS密钥记录，指向1,229组独特凭证。有效AWS密钥允许攻击者列出S3存储桶并检索勒索要求。 2、勒索信显示文件是使用客户提供密钥的服务器端加密（SSE-C）加密的。 3、勒索金额为每名受害者0.3枚比特币（约合2.5万美元）。 部分受害者仍不知情。 此次恶意活动无明确归属且高度自动化。攻击者在名为warning.txt的文件中留下勒索信。每个被加密的S3存储桶似乎都有独立的警告信息及唯一的比特币（BTC）地址。黑客留下联系邮箱awsdecrypt[@]techie.com。 攻击者正在利用AWS对抗其客户——他们滥用客户提供密钥的AWS服务器端加密（SSE-C）来加密S3存储桶数据。Halcyon RISE团队此前已详细说明过该技术。这意味着攻击者生成自己的加密密钥（AES-256），用于锁定数据，使得没有密钥就无法恢复。 这种攻击模式允许”静默入侵”，漏洞发生时不会向受害者发出警报或报告，也没有文件删除日志。威胁行为体保持存储桶结构完整。此外，攻击者似乎甚至懒得窃取数据实施双重勒索。 此前观察到攻击者设置S3生命周期策略在7天内删除加密数据，进一步逼迫受害者付款。令人担忧的是，多个案例中受影响的AWS环境仍在运行，表明受害者可能仍未意识到漏洞存在。 “部分受害者可能尚未察觉其存储桶已被加密，尤其是当受影响文件访问频率较低，或存储桶用于备份时。某些暴露的备份是空的且可能是新创建的，这使未来项目面临风险。”Diachenko表示。 研究人员还指出，攻击者在多个案例中警告受害者不要更改凭证，并通过允许测试文件恢复来提供’解密证明’。”此事件标志着云勒索策略的重大升级。其简单性使其特别危险：攻击者仅需窃取密钥——无需复杂漏洞利用。”Diachenko补充道。 他们警告称，对采用AWS原生强加密锁定的数据进行暴力破解或其他方式解密实际上是不可能的。 黑客如何收集AWS密钥？ 威胁行为体收集海量AWS密钥的确切方法尚未证实。但Cybernews研究人员提出几种最可能的假设： 1、公共代码库泄露的AWS密钥：密钥凭证常被误提交至GitHub、Bitbucket等平台。攻击者随后使用TruffleHog、Gitleaks等工具爬取这些代码库获取密钥。 2、不安全的CI/CD（持续集成/持续部署）工具：Jenkins或GitLab Runner常存储AWS密钥。这些密钥可能因配置错误部署或弱凭证而暴露。 3、Web应用中配置错误的.env和config.php或JSON配置文件：这些文件本应保密，但因配置错误可能导致凭证泄露。 4、泄露与入侵事件：被入侵的开发工具、云控制面板或密码管理器可能成为来源。黑客可从非法市场收集凭证。 5、陈旧/被遗忘的IAM用户：许多云环境中普遍存在极少轮换且长期有效的非活跃IAM用户凭证，这些是静默攻击的主要目标。 攻击者还可通过其他多种方式提取凭证。此前Cybernews研究发现，iOS应用平均包含5个硬编码密钥，可能导致泄露与数据泄露。 如何保护云存储桶？ AWS凭证本应保密。Cybernews研究人员建议通过以下方法强化AWS环境： 1、立即审计所有IAM凭证。停用未使用的密钥并轮换有效密钥。 2、实施AWS Config和GuardDuty服务以检测可疑访问模式。 3、使用自动化工具扫描公共代码库是否泄露密钥。 4、强制使用短期临时令牌，并从应用中移除硬编码凭证。 5、对所有IAM角色应用最小权限原则。 6、监控存储桶中warning.txt等未知新文件。 7、配置策略限制SSE-C使用，并启用详细日志记录以检测异常活动。 Cybernews已将暴露实例通报AWS。我们也联系对方寻求更多评论，收到回复后将予以补充。 AWS鼓励所有客户遵循安全、身份与合规最佳实践。若客户怀疑遭受入侵，可先参考本文列出的步骤或联系AWS支持团队。       消息来源：cybernews；  本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 对于注重隐私的人而言，在线生成成人内容通常不是明智之举。例如，苹果应用商店的”Novel AI: Book Creator”因Firebase数据库配置错误导致数据泄露，显示用户生成的内容远不止普通鬼故事那么简单。 “Novel AI: Book Creator”用户生成故事及其他个人数据遭泄露，部分泄露故事涉及少儿不宜内容，攻击者可利用泄露信息进行性勒索和敲诈，Cybernews已联系应用开发者但未获回复。我们用户往往对应用开发者及其隐私保护能力过度信任。以iOS应用”Novel AI: Book Creator”为例，Cybernews研究团队发现该应用因安全规则配置错误导致用户数据泄露。 这款在美国应用商店拥有近2000条评分的应用，允许用户通过人工智能(AI)生成故事。然而安全配置错误使这些故事处于公开可访问状态。此外，用户与客服的互动记录及邮箱地址也遭曝光。 唯一值得庆幸的是，AI提示词本身已匿名化处理，这意味着攻击者只能识别同一用户生成的多篇故事，但无法获取相关个人信息。换句话说，攻击者需要付出更多努力才能确定故事来源。 令人担忧的是，尽管多次尝试联系开发者，该数据库已持续公开访问超过一个月。我们已联系”Novel AI: Book Creator”开发团队寻求置评，收到回复后将更新报道。 “泄露数据包括用户与客服的沟通记录、邮箱等个人身份信息，以及用户生成的各类故事。部分用户生成内容涉及成人题材。”Cybernews信息安全研究员Aras Nazarovas指出。 iOS应用具体泄露哪些数据？数据通过Firebase数据库泄露，该数据库作为临时存储区，在数据量达到阈值后会同步至永久存储系统。研究团队发现泄露的数据库包含：用户与客服的互动记录，用户邮箱地址以及用户借助AI生成的故事。 如前所述，用户故事仅关联用户ID而非真实姓名，但攻击者仍可进行关联匹配。研究人员表示，若用户曾在应用中提交反馈或客服咨询，攻击者即可确定特定故事的创建者。 研究团队特别指出，鉴于部分故事包含大量性内容，有些用户可能非常不愿让人知晓其使用过某些特定AI提示词。 Nazarovas解释：”此类内容的泄露风险极高，可能暴露令人尴尬或社会难以接受的个人偏好，攻击者可利用这些信息进行勒索或性胁迫。” 研究团队认为，攻击者可利用该漏洞设置数据抓取程序，持续从暴露的Firebase数据库中下载敏感信息。此外，网络犯罪分子还能实时获取新的AI提示词提交记录、客服咨询记录（含邮箱地址）等数据。 调查期间，该Firebase数据库已泄露约400封含邮箱地址的客服邮件，以及55,000篇用户生成故事。但考虑到Firebase作为临时数据库的特性，实际存储数据量可能远高于此。 泄露的Firebase数据库不仅暴露用户隐私数据，还公开了应用客户端的多项机密信息，包括：API密钥、客户端ID、数据库URL、Google应用ID、项目ID、反向客户端ID、存储桶、Facebook应用ID、Facebook客户端令牌。API密钥和数据库URL的公开会显著提升安全风险。攻击者可反编译应用，利用泄露凭证访问后端服务，绕过应用安全控制，导致非授权数据访问、账户劫持乃至完整数据库泄露等问题。 此外，API密钥通常具有广泛权限，攻击者可借此篡改或窃取用户敏感数据。而Facebook应用ID等社交媒体凭证则可能被用于实施仿冒攻击。 研究人员建议分别针对Firebase实例和硬编码密钥采取修复措施。针对Firebase相关问题，建议：制定适当的Firebase安全规则，确保只有经授权的认证用户和服务能访问存储数据。研究人员表示。”该应用使用的Firebase实例处于公开可访问状态，攻击者可实时连接数据库并抓取数据，获取包括用户客服沟通记录和AI提示词在内的所有操作信息。” 为防止应用密钥落入不法分子之手，建议：将敏感密钥从应用客户端移除，转存至服务器端，通过自有基础设施代理应用与第三方服务的通信。Nazarovas解释称。”硬编码密钥使攻击者可枚举应用使用的基础设施。若存在认证密钥，攻击者还可能滥用相关服务窃取用户数据，或将服务用于非授权用途。” “Novel AI: Book Creator”远非首个存在密钥泄露问题的iOS应用。研究团队近期发现多款应用存在严重安全隐患。例如，多个BDSM、LGBTQ+和sugar dating应用被曝泄露用户私密照片，部分甚至泄露私聊信息中的图片。 其他案例中，用于追踪家人行踪或秘密存储敏感数据的应用也被发现存在大规模数据泄露。 最新泄露事件是在大规模调查中发现的——Cybernews研究人员下载了156,000个iOS应用（约占苹果商店应用的8%），发现开发者普遍在应用代码中明文存储密钥凭证。 调查结果显示，71%的被分析应用至少泄露一个密钥，平均每个应用代码暴露5.2个密钥。     消息来源：cybernews；  本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Atlassian和Cisco本周宣布为其产品中的多个高危漏洞提供补丁，其中包括可导致远程代码执行的缺陷。 Atlassian发布了七项更新，修复了Bamboo、Confluence和Jira中影响第三方依赖项的四个高危漏洞，其中部分漏洞早在近六年前就已公开披露。针对Bamboo数据中心与服务器版、Jira数据中心与服务器版以及Jira服务管理数据中心与服务器版的修复程序，解决了Netplex Json-smart中未经认证即可被利用的拒绝服务（DoS）问题。该安全缺陷编号为CVE-2024-57699。 针对Jira及Jira服务管理的安全更新还修复了一个可导致DoS的XXE（XML外部实体注入）漏洞，编号为CVE-2021-33813。 Confluence数据中心与服务器版修复了两个漏洞，包括Netty应用框架中的DoS漏洞（编号CVE-2025-24970），以及libjackson-json-java库中的XXE漏洞（CVE-2019-10172）。 Atlassian未提及这些漏洞在现实中被利用的情况。 周三，Cisco为Webex App、安全网络分析系统（Secure Network Analytics）和Nexus Dashboard中的三个安全缺陷提供了补丁。 Webex App修复了一个高危漏洞（编号CVE-2025-20236）。攻击者可诱使用户点击特制会议邀请链接并下载任意文件，从而远程执行任意代码。针对安全网络分析系统7.5.0、7.5.1和7.5.2版本的更新修复了一个中危问题，该漏洞允许经过认证的攻击者获取具有root权限的shell访问。 在Nexus Dashboard中，Cisco修复了一个中危漏洞，未经认证的远程攻击者可借此验证有效LDAP用户账号的用户名。 Cisco表示目前未发现这些漏洞在现实中被利用。更多信息可查阅该公司安全公告页面。     消息来源：securityweek；  本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 娱乐场所管理公司Legends International警告称，其于2024年11月遭遇数据泄露事件，波及员工及曾前往其管理场馆的访客。 在一份提交给监管机构的通知信中，该公司表示于2024年11月9日发现其IT系统存在未经授权的活动，随即在外部网络安全专家的协助下展开调查。 调查结果证实，入侵者窃取了个人数据文件，但通知信样本中未明确泄露数据类型。 Legends International是一家全球性体育娱乐服务公司，业务涵盖场馆规划、销售、合作、接待、周边商品及技术解决方案，年收入超11亿美元。 该公司管理着全球五大洲超过350个场馆，包括洛杉矶索菲体育场（SoFi Stadium）、纽约世贸中心观景台（One World Observatory）、得克萨斯州AT&T体育场、西班牙圣地亚哥伯纳乌球场（Santiago Bernabéu）与诺坎普球场（Camp Nou），以及英国安菲尔德球场（Anfield）和温布利OVO体育馆（OVO Arena Wembley）。 近期，该公司通过收购全球领先的场馆管理企业ASM Global进一步扩展业务版图。 目前数据泄露的具体范围及受影响人数尚未公布。但鉴于该公司业务规模及所管理海量敏感数据，事件引发广泛担忧。BleepingComputer已联系公司要求披露详情，但暂未获得回应。 在发送给受影响个体的通知信中，Legends International称事件前已部署安全防护措施，并在系统恢复后追加了额外措施，但未提供具体细节。 受影响者可注册享受益博睿（Experian）提供的为期24个月的身份盗用检测服务，注册截止日期为2025年7月31日。 Legends International在信中表示，目前尚无证据表明泄露个人信息遭恶意利用，但仍建议用户保持警惕。 截至本文发布时，尚无勒索组织宣称对此次攻击负责，因此攻击类型及实施者身份仍不明确。     消息来源：bleepingcomputer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软近日披露了一场持续进行的恶意广告活动，该活动利用Node.js提供能够窃取信息及数据泄露的恶意载荷。 该活动最早于2024年10月被发现，通过伪装成币安（Binance）或TradingView等合法软件的欺诈网站，以加密货币交易为诱饵，诱骗用户安装恶意安装程序。 下载的安装程序内嵌动态链接库（“CustomActions.dll”），其功能包括通过Windows管理规范（WMI）收集基础系统信息，并通过计划任务在受感染主机上实现持久化驻留。 为维持伪装，该动态链接库会通过“msedge_proxy.exe”启动浏览器窗口，显示合法的加密货币交易网站。值得注意的是，“msedge_proxy.exe”可用于将任意网站显示为网络应用程序。 与此同时，计划任务被配置为运行PowerShell命令，从远程服务器下载附加脚本。这些脚本负责将正在运行的PowerShell进程及当前目录排除在Microsoft Defender for Endpoint的扫描范围之外，以此规避检测。 设置排除项后，系统会执行一条经过混淆的PowerShell命令，从远程URL获取并运行能够收集操作系统、BIOS、硬件及已安装应用等详细信息的脚本。 所有窃取的数据均被转换为JSON格式，并通过HTTPS POST请求发送至命令与控制（C2）服务器。 攻击链随后进入下一阶段：另一条PowerShell脚本被启动，从C2服务器下载包含Node.js运行时二进制文件及JavaScript编译（JSC）文件的压缩包。Node.js可执行文件触发JSC文件的运行，该文件会建立网络连接并可能窃取浏览器敏感信息。 微软观察到的另一感染链中，攻击者采用“ClickFix”策略实现内联JavaScript执行，即通过恶意PowerShell命令直接下载Node.js二进制文件并运行JavaScript代码（而非从文件加载）。 内联JavaScript执行的操作包括：通过网络探测识别高价值资产，将C2流量伪装为合法的Cloudflare活动以躲避监测以及通过修改Windows注册表启动项实现持久化。 微软表示：“Node.js是一个开源、跨平台的JavaScript运行时环境，允许JavaScript代码在浏览器外运行。因其支持开发者构建前端与后端应用，受到广泛信任。然而，攻击者正利用Node.js的特性，试图将恶意软件与合法应用混淆，绕过传统安全防护机制，并长期潜伏在目标环境中。” 此次披露之际，CloudSEK发现一个仿冒PDF Candy（域名为candyxpdf[.]com或candyconverterpdf[.]com）的虚假PDF转DOCX网站，利用“ClickFix”社会工程学手段诱导受害者运行编码后的PowerShell命令，最终部署SectopRAT（又名ArechClient2）木马。 安全研究员Varun Ajmera在本周发布的报告中指出：“攻击者精心复制了真实平台的用户界面，并注册了外观相似的域名以欺骗用户。攻击链通过诱骗受害者执行PowerShell命令来安装Arechclient2木马。该木马属于危险的SectopRAT信息窃取家族，以从受感染系统窃取敏感数据著称。” 此外，钓鱼活动还被发现使用基于PHP的工具包，以人力资源（HR）主题骗局针对企业员工，未经授权访问薪资门户并修改受害者银行账户信息，将资金转移至攻击者控制的账户。 部分活动被归因于名为“薪资海盗”（Payroll Pirates）的黑客组织。攻击者通过谷歌的赞助广告投放恶意搜索广告，仿冒人力资源页面，诱骗受害者提交账户凭证及双因素认证（2FA）代码。     消息来源：thehackernews；  本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）于周三将一个影响SonicWall Secure Mobile Access（SMA）100系列网关的安全漏洞添加至其”已知被利用漏洞（KEV）目录”，基于此漏洞正被活跃利用的证据。 该高危漏洞编号为CVE-2021-20035（CVSS评分：7.2），属于操作系统命令注入漏洞，可能导致代码执行。 “SMA100管理界面未能正确过滤特殊元素，使得远程认证攻击者能以’nobody’用户身份注入任意命令，可能导致代码执行。”SonicWall在2021年9月发布的公告中表示。该漏洞影响以下版本设备：SMA 200、SMA 210、SMA 400、SMA 410及SMA 500v（ESX、KVM、AWS、Azure）型号。 受影响版本包括： 10.2.1.0-17sv及更早版本（10.2.1.1-19sv及以上版本已修复） 10.2.0.7-34sv及更早版本（10.2.0.8-37sv及以上版本已修复） 9.0.0.10-28sv及更早版本（9.0.0.11-31sv及以上版本已修复） 尽管目前尚不清楚CVE-2021-20035漏洞被利用的具体细节，但SonicWall已更新公告指出”该漏洞可能正在现实中被利用”。 根据要求，联邦民事行政部门（FCEB）机构必须在2025年5月7日前采取必要的缓解措施，以保护其网络免受主动威胁。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 由前MTV高管创立的澳大利亚最热门创意招聘平台The Loop于2024年关闭，但其用户敏感数据至今仍在泄露。该平台错误配置的Google Cloud存储桶导致210万份文件泄露，包括含全名、地址、电话号码、邮箱及完整职业履历的简历。利用这些数据，诈骗者可实施高度定向的钓鱼攻击、语音钓鱼和短信钓鱼，将用户置于风险之中。截至目前，尚未有任何机构采取行动保护这些数据。 2025年2月，Cybernews安全研究人员偶然发现了本不该暴露于世的秘密：一个配置错误的Google Cloud存储桶向全网开放，其中存放着210万份文件。泄露的文件包含高度敏感信息，例如原始简历（含全名、家庭地址、电话号码、电子邮箱以及详细的职业与教育经历）。 简而言之，这些数据为诈骗者提供了伪装成你本人或通过虚假职位窃取银行信息所需的一切。 The Loop泄露了哪些数据？ 含教育及职业背景的简历 全名 家庭地址 电子邮箱 电话号码 该平台由MTV前高管Pip Jamieson和Matt Fayle创立，声称拥有10万名注册艺术家用户，并与1.6万家企业建立联系。 Cybernews尝试联系该公司及计算机应急响应组（CERT），但未收到任何回应。 这种包含完整个人档案的数据泄露犹如一场“灾难自助餐”，尤其当受害者是依赖网络声誉接案的创意工作者和自由职业者时， 凭借详细简历，诈骗者可制作极度逼真的个性化钓鱼邮件。试想收到一封提及你真实职位名称、过往客户甚至日常使用工具的邮件——所有这些信息均从你的简历中提取。邮件可能附带虚假职位邀约、待签署合同，或要求你“验证身份”（需提供护照复印件）。当诈骗者掌握你的电话号码和背景信息时，语音钓鱼和短信钓鱼将变得极具说服力。例如，接到自称来自你曾实际应聘的创意机构的电话，要求“最终确认”银行信息。利用你的姓名、地址、生日、邮箱、电话号码及职业履历，诈骗者可伪装成你向客户或雇主发送虚假发票。 对某些人而言，这种场景看似难以置信。因此，让我们回顾史上最猖獗的网络诈骗案例：一名立陶宛男子通过伪造发票邮件诱骗Facebook和Google向其转账超1亿美元。这两家全球科技巨头在两年间持续付款且未提出任何质疑。试想，中小企业落入此类陷阱的难度将低得多。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果公司周三发布带外（out-of-band）操作系统更新，修复两个已被用于针对少量iOS设备的“极其复杂”攻击的安全漏洞。 这两个漏洞编号为CVE-2025-31200和CVE-2025-31201，分别被归类为代码执行漏洞和安全缓解措施绕过漏洞，影响iOS、iPadOS及macOS平台。苹果称已收到报告，确认这些漏洞被用于针对特定iPhone目标的高端攻击。 CoreAudio组件漏洞（CVE-2025-31200） 处理恶意构造的媒体文件中的音频流时可能触发代码执行。苹果确认该漏洞可能已在针对iOS设备特定个体的高度复杂攻击中被利用。此内存损坏问题通过改进边界检查修复。该漏洞由谷歌威胁分析小组（TAG）报告。 RPAC组件漏洞（CVE-2025-31201） 具备任意读写能力的攻击者可能绕过指针认证（Pointer Authentication）机制。苹果确认该漏洞可能已在针对iOS设备特定个体的高度复杂攻击中被利用。此问题通过移除漏洞代码修复。（注：指针认证是ARM架构中的安全功能，用于检测指针是否被篡改） 漏洞补丁已覆盖所有运行macOS Sequoia系统的设备，但苹果强调目前仅观察到少量针对iPhone的攻击实例。 依照惯例，苹果未公开实际攻击的技术细节或入侵指标（IOCs）。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文