HackerNews 编译，转载请注明出处： 思科公司警告管理员立即修补Cisco Smart Licensing Utility（CSLU）中的严重漏洞，该漏洞暴露了一个内置的后门管理员账户，目前已被攻击者利用。 CSLU是一款Windows应用程序，用于在本地管理许可证和关联产品，而无需连接至思科云端的Smart Software Manager解决方案。   思科于2024年9月修补了该安全漏洞（CVE-2024-20439），并将其描述为“未公开的静态用户凭证”，攻击者可通过CSLU应用程序的API远程登录未修补的系统，获取管理员权限。   CVE-2024-20439仅影响运行受漏洞影响版本的CSLU系统，但只有在用户手动启动CSLU应用程序时才会被利用（默认情况下不会在后台运行）。   Aruba威胁研究员Nicholas Starke在思科发布补丁两周后，逆向分析了该漏洞，并发布了包含详细技术信息的报告，其中包括解码后的硬编码静态密码。   思科在周二更新的安全公告中表示：“2025年3月，思科产品安全事件响应团队（PSIRT）发现该漏洞在野外环境中已被尝试利用。思科继续强烈建议客户尽快升级至修复后的软件版本。”   与第二个漏洞联动利用   尽管思科未公开这些攻击的具体细节，但SANS技术研究院研究主任Johannes Ullrich上月发现，有攻击者利用后门管理员账户攻击暴露在互联网上的CSLU实例。   Ullrich指出，威胁行为者正将CVE-2024-20439漏洞与另一个严重的信息泄露漏洞（CVE-2024-20440）结合使用。未经身份验证的攻击者可通过发送精心构造的HTTP请求，访问易受攻击设备中的日志文件，获取API凭证等敏感数据。   “虽然当时的快速搜索未发现任何活跃的攻击行为，但Nicholas Starke在思科发布公告后不久就在博客中公开了后门凭证，因此现在看到部分攻击活动并不意外。”Ullrich表示。   本周一，美国网络安全与基础设施安全局（CISA）将CVE-2024-20439的静态凭证漏洞加入其“已知被利用漏洞目录”，并要求美国联邦机构在三周内（即4月21日前）保护系统免受该漏洞的主动利用。   近年来，这并非思科产品中首次发现并移除后门账户。在此之前，思科的IOS XE、广域网应用服务（WAAS）、数字网络架构（DNA）中心和应急响应软件中也曾发现硬编码凭证漏洞。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 卡巴斯基研究人员发现，数千部新安卓设备被预装了 Triada 木马的新变种。一旦用户设置设备，攻击者即可立即开始窃取数据。 此次恶意软件活动主要影响俄罗斯用户。根据卡巴斯基移动防护工具的监测数据，2025年3月13日至27日期间已确认至少有2600起感染事件。这些被感染的设备是假冒的热门智能手机型号，通过在线商店以折扣价销售，吸引不明真相的消费者购买。 Triada 是一种模块化的安卓恶意软件，最早于2016年被发现。它通过在设备内存中运行来逃避检测，多年来已多次被发现在通过非正规渠道销售的低价安卓手机的固件中隐藏。一旦安装，Triada 就会变得非常难以清除，除非重新刷机。 卡巴斯基的最新报告显示，Triada 的最新变种更具隐蔽性，它隐藏在安卓系统框架中，并复制到智能手机上的每个进程中。该恶意软件在被感染设备上执行以下操作： – 窃取即时通讯和社交媒体账号； – 通过 WhatsApp 和 Telegram 发送和删除消息，冒充用户； – 通过修改钱包地址劫持加密货币交易； – 监控浏览活动并替换链接； – 在通话过程中伪造电话号码以重新路由对话； – 拦截、发送和删除短信； – 开启高级短信服务以收取付费服务费用； – 远程下载和运行额外应用程序； – 阻断网络连接以逃避检测或破坏防御。 交易分析显示，新 Triada 木马已窃取至少价值27万美元的加密货币，但由于还涉及难以追踪的门罗币（Monero），实际被盗金额可能更高。 卡巴斯基尚不确定设备是如何感染 Triada 的，但推测这可能是由于供应链攻击所致。卡巴斯基研究人员德米特里·卡利宁表示：“Triada 的新版本在设备到达用户之前就被嵌入到智能手机的固件中。供应链可能在某个环节被攻破，甚至商店可能都不知道它们销售的手机带有 Triada”。 为降低风险，建议用户仅从授权经销商处购买智能手机。如有疑问，可以使用谷歌提供的干净系统镜像，或可信的第三方 ROM（如 LineageOS 或 GrapheneOS）重新刷机。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 基因数据共享平台 openSNP 将于 2025 年 4 月 30 日关闭，并删除所有用户提交的数据。该平台的联合创始人巴斯蒂安·格雷沙克·茨沃拉拉斯本周早些时候宣布了这一决定，他指出，个人基因组数据如今容易遭到滥用，且在过去 14 年间，相关环境已发生根本性变化。 openSNP 是一个免费且开源的平台，用户可以在此上传和分享基因及表型数据，用于研究和教育目的。其最初目标是打破商业 DNA 检测公司的垄断，让研究人员和普通民众能够免费且无障碍地探索人类基因数据。多年来，openSNP 已成为此类数据存储库中的佼佼者，广泛应用于研究、教育，甚至社区主导的调查，例如驳斥有缺陷的慢性疲劳综合征基因研究。 尽管与 23andMe 没有直接关联，但 openSNP 收到的大部分数据都来自 23andMe 的用户。随着 23andMe 申请破产保护，提交至 openSNP 的新数据几乎停滞，且预计短期内难以恢复。此外，茨沃拉拉斯还担心，保留这些数据可能会被滥用，尤其是私人法医公司、执法机构和政府以伪科学为由，愈发积极地寻求获取此类信息。 “2025 年，提供个人基因数据免费且开放访问的风险与收益比，与 14 年前相比已大不相同。”茨沃拉拉斯解释道，“因此，关闭 openSNP 并删除其中存储的数据，是如今对这些数据最负责任的管理方式。”openSNP 曾多次拒绝企业收购其数据控制权的提议，是开源项目在低预算下成功运营的罕见范例。然而，鉴于当前伦理、政治和社会环境的变化，该组织认为继续运营风险过高。 该平台将在本月底关闭，所有用户提交的数据都将被清除。公告并未要求用户采取任何手动操作，如删除数据，因此无需用户自行处理。不过，那些希望保留个人或他人数据副本以供个人使用的人，可在 4 月 30 日之前下载。需要注意的是，虽然已下载数据的用户将永久保留副本，但移除公共、集中的数据源将降低其被发现和未来通过网络爬虫获取的可能性。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一种名为“Hijack Loader”的恶意软件加载器的更新版本，该版本增加了新功能以逃避检测并在受感染系统中建立持久性。 Zscaler ThreatLabz 研究员穆罕默德·伊尔凡·瓦表示：“Hijack Loader 推出了一种新模块，通过调用栈伪造来隐藏函数调用（例如API调用和系统调用）的来源。”此外，“Hijack Loader 增加了一个新模块，用于执行反虚拟机检查，以检测恶意软件分析环境和沙箱。” Hijack Loader 最初于2023年被发现，能够传递第二阶段的有效载荷，例如信息窃取恶意软件。它还配备了多种模块，用于绕过安全软件和注入恶意代码。Hijack Loader 在网络安全社区中还被称为DOILoader、GHOSTPULSE、IDAT Loader 和 SHADOWLADDER。 2024年10月，HarfangLab 和 Elastic Security Labs 详细描述了利用合法代码签名证书以及臭名昭著的 ClickFix 策略传播恶意软件的 Hijack Loader 活动。 与前代产品相比，Hijack Loader 的最新版本增加了调用栈伪造作为逃避检测的手段，以隐藏API和系统调用的来源。这种方法最近也被另一种名为 CoffeeLoader 的恶意软件加载器采用。 “该技术利用 EBP 指针链遍历堆栈，并通过用伪造的堆栈帧替换实际堆栈帧来隐藏恶意调用的存在。”Zscaler 表示。 与之前的版本一样，Hijack Loader 利用 Heaven’s Gate 技术执行64位直接系统调用以进行进程注入。其他更改包括更新黑名单进程列表，新增“avastsvc.exe”（Avast 防病毒软件的一个组件），延迟执行时间五秒。 该恶意软件还增加了两个新模块，分别是 ANTIVM（用于检测虚拟机）和 modTask（通过计划任务设置持久性）。研究结果表明，Hijack Loader 仍在被其运营者积极维护，目的是增加分析和检测的难度。 SHELBY 恶意软件利用 GitHub 进行命令与控制 与此同时，Elastic Security Labs 揭示了一个名为 SHELBY 的新型恶意软件家族，该家族利用 GitHub 进行命令与控制（C2）、数据外泄和远程控制。相关活动被追踪为 REF8685。 攻击链始于一封网络钓鱼邮件，邮件中包含一个 ZIP 压缩包，其中包含一个 .NET 二进制文件，用于通过 DLL 侧加载执行一个名为 SHELBYLOADER（“HTTPService.dll”）的 DLL 加载器。这些邮件通过目标组织内部发送，投递给了伊拉克一家电信公司。 随后，加载器与 GitHub 建立通信，从攻击者控制的存储库中名为“License.txt”的文件中提取一个特定的48字节值。该值用于生成 AES 解密密钥，解密主后门有效载荷（“HTTPApi.dll”）并将其加载到内存中，而不会在磁盘上留下可检测的痕迹。 “SHELBYLOADER 利用沙箱检测技术来识别虚拟化或监控环境。”Elastic 表示，“一旦执行，它会将结果发送回 C2。这些结果被封装在日志文件中，详细说明每种检测方法是否成功识别出沙箱环境。” SHELBYC2 后门则解析另一个名为“Command.txt”的文件中列出的命令，以从 GitHub 存储库下载/上传文件、反射加载 .NET 二进制文件以及运行 PowerShell 命令。值得注意的是，C2 通信通过使用个人访问令牌（PAT）提交到私有存储库来实现。 “恶意软件的设置方式意味着，任何拥有 PAT（个人访问令牌）的人都可以理论上获取攻击者发送的命令，并访问任何受害机器上的命令输出。”该公司表示，“这是因为 PAT 令牌嵌入在二进制文件中，任何获得它的人均可使用。” Emmenhtal 通过 7-Zip 文件传播 SmokeLoader 此外，以支付为主题的网络钓鱼邮件还被观察到用于传播名为 Emmenhtal Loader（也称 PEAKLIGHT）的恶意软件加载器家族，该家族充当部署另一种名为 SmokeLoader 的恶意软件的渠道。 GDATA 表示：“在这一 SmokeLoader 样本中，一个值得注意的技术是使用了 .NET Reactor，这是一种用于混淆和打包的商业 .NET 保护工具。” “尽管 SmokeLoader 历史上曾使用过 Themida、Enigma Protector 和自定义加密器等打包器，但使用 .NET Reactor 符合其他恶意软件家族（尤其是窃密器和加载器）的趋势，因为其具有强大的反分析机制。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，以经济利益为动机的网络犯罪团伙FIN7正在利用一种名为Anubis的基于Python的后门程序，劫持被入侵的Windows系统。 瑞士网络安全公司PRODAFT在一份技术报告中指出，这种恶意软件允许攻击者执行远程Shell命令和其他系统操作，从而完全控制被感染的机器。 FIN7也被称为Carbon Spider、ELBRUS、Gold Niagara、Sangria Tempest和Savage Ladybug，是一个以俄罗斯为背景的网络犯罪团伙。该团伙以不断演变和扩展的恶意软件家族而闻名，这些恶意软件家族用于获取初始访问权限和数据窃取。近年来，该团伙被认为已转变为勒索软件的附属组织。 2024年7月，该团伙被发现使用多个在线别名宣传一种名为AuKill（又称AvNeutralizer）的工具，该工具能够终止安全工具，可能是为了多元化其盈利策略。 Anubis后门被认为通过恶意垃圾邮件活动传播，通常诱使受害者执行托管在被入侵的SharePoint网站上的恶意负载。该恶意软件以ZIP存档的形式交付，感染的入口点是一个Python脚本，该脚本设计用于直接在内存中解密并执行主要混淆的有效负载。一旦启动，该后门会通过TCP套接字以Base64编码格式与远程服务器建立通信。 服务器的响应同样以Base64编码，允许该后门收集主机的IP地址、上传/下载文件、更改当前工作目录、获取环境变量、修改Windows注册表、使用PythonMemoryModule将DLL文件加载到内存中，并终止自身。 德国安全公司GDATA在对Anubis进行独立分析时发现，该后门还支持将操作员提供的响应作为受害者系统上的Shell命令运行。PRODAFT表示：“这使得攻击者能够在不直接在受感染系统上存储这些功能的情况下，执行诸如键盘记录、截屏或窃取密码等操作。通过尽可能保持后门的轻量化，攻击者降低了被检测的风险，同时保持了执行进一步恶意活动的灵活性。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个名为Outlaw（又称Dota）的“自动传播”加密货币挖矿僵尸网络。该团伙以攻击存在弱凭据的SSH服务器而闻名。 据Elastic安全实验室周二发布的最新分析报告称，“Outlaw是一种依赖SSH暴力破解攻击、加密货币挖矿和类似蠕虫传播方式的Linux恶意软件，用于感染并控制系统。”该名称也用于指代开发该恶意软件的威胁行为者，他们被认为来自罗马尼亚。 自2018年底以来，该黑客团伙一直活跃，通过暴力破解SSH服务器，利用获得的权限进行侦察，并通过将自身的SSH密钥添加到“authorized_keys”文件中，以在被入侵主机上保持持久性。 攻击者还采用多阶段感染过程，使用一个下载器Shell脚本（“tddwrt7s.sh”）下载一个归档文件（“dota3.tar.gz”），然后解包以启动挖矿程序，同时清除过往入侵痕迹，并终止其他竞争挖矿程序和自身旧版本挖矿程序。 该恶意软件的一个显著特点是初始访问组件（又称BLITZ），它通过扫描运行SSH服务的易受攻击系统，以类似僵尸网络的方式实现恶意软件的自我传播。暴力破解模块会从SSH命令与控制（C2）服务器获取目标列表，以进一步延续传播周期。 在某些攻击中，该团伙还利用存在CVE-2016-8655和CVE-2016-5195（又称Dirty COW）漏洞的Linux和Unix操作系统，以及攻击存在弱Telnet凭据的系统。在获得初始访问权限后，恶意软件会部署SHELLBOT，通过C2服务器使用IRC频道进行远程控制。 SHELLBOT能够执行任意Shell命令、下载和运行额外的有效载荷、发起DDoS攻击、窃取凭据以及窃取敏感信息。 在挖矿过程中，该恶意软件会检测被感染系统的CPU，并为所有CPU核心启用大页面功能，以提高内存访问效率。它还使用一个名为kswap01的二进制文件，以确保与攻击者基础设施的持续通信。 “尽管Outlaw使用了SSH暴力破解、SSH密钥操作和基于计划任务的持久性等基本技术，但它仍然活跃。”Elastic表示，“该恶意软件部署了修改版的XMRig挖矿程序，利用IRC进行C2通信，并使用公开可用的脚本实现持久性和防御规避。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了谷歌云平台（GCP）云运行服务（Cloud Run）的一个现已修复的权限提升漏洞。该漏洞可能会让恶意攻击者访问容器镜像，甚至注入恶意代码。 据网络安全公司Tenable的安全研究员利夫·马坦（Liv Matan）称，该漏洞允许攻击者利用其在谷歌云运行服务中的修订编辑权限，拉取同一账户中的私有谷歌工件仓库（Google Artifact Registry）和谷歌容器仓库（Google Container Registry）镜像。这一安全漏洞被Tenable命名为“ImageRunner”，谷歌已于2025年1月28日完成修复。 谷歌云运行服务是一种完全托管的服务，用于在可扩展的无服务器环境中运行容器化应用程序。当使用该技术运行服务时，会通过指定镜像URL从工件仓库（或Docker Hub）拉取容器镜像以进行后续部署。 问题在于，某些身份虽然没有容器仓库权限，但却拥有谷歌云运行服务修订的编辑权限。每次部署或更新云运行服务时，都会创建一个新版本，而每次部署云运行修订时，都会使用服务代理账户来拉取必要的镜像。 如果攻击者在受害者的项目中获得了特定权限（特别是`run.services.update`和`iam.serviceAccounts.actAs`权限），他们可以修改云运行服务并部署一个新修订版本。在此过程中，攻击者可以指定服务拉取项目内任何私有容器镜像。此外，攻击者还可以访问受害者仓库中存储的敏感或专有镜像，并引入恶意指令，这些指令在执行时可能会被利用来提取机密信息、窃取敏感数据，甚至向攻击者控制的机器打开反向Shell。 谷歌发布的补丁现在确保创建或更新云运行资源的用户或服务账户必须明确拥有访问容器镜像的权限。谷歌在其2025年1月的云运行发布说明中表示：“创建或更新云运行资源的主体（用户或服务账户）现在需要明确的权限来访问容器镜像。”当使用工件仓库时，确保主体在包含容器镜像的项目或仓库上具有工件仓库读者（roles/artifactregistry.reader）IAM角色。 Tenable将“ImageRunner”描述为其所谓的“Jenga”现象的一个实例，这种现象是由于各种云服务的相互关联性导致安全风险传递。“云服务提供商在其现有服务的基础上构建服务。如果一个服务受到攻击或被攻破，那么在其基础上构建的其他服务也会继承风险并变得脆弱。”这种场景为攻击者提供了发现新的权限提升机会甚至漏洞的可能性，同时也为防御者引入了新的隐藏风险。 此次披露发生在Praetorian详细描述较低权限主体如何滥用Azure虚拟机（VM）以控制Azure订阅的几周之后。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名使用化名 “CoreInjection” 的黑客声称对以色列网络安全公司 Check Point 进行入侵，声称获得了敏感的内部数据和网络系统访问权限。 该黑客于 2025 年 3 月 30 日星期日在 Breach Forums 论坛上发布了这一声明，并宣布以 5 枚比特币（约 434,570 美元）的价格出售所窃取的内容。黑客强调，该价格”固定且不可协商”，且仅接受加密货币付款。有兴趣的买家需通过 TOX 消息平台联系。   在论坛的帖子中，CoreInjection 声称出售的数据包括：   – 内部项目文档   – 用户凭据（包括哈希和明文形式）   – 内部网络地图和架构图   – 专有软件的源代码和编译二进制文件   – 员工联系方式，包括电话号码和电子邮件地址   Check Point 公司的回应   在该帖子引起关注后不久，Check Point 发表声明，否认近期发生过如此规模的入侵事件。公司表示，该黑客的说法涉及的是”一个已知的、非常有限的旧事件”，该事件影响的仅是少数组织，且未涉及核心系统。   “此事件在几个月前就已得到处理，并不包含暗网论坛帖子中描述的内容，”Check Point 在声明中表示。”受影响的组织当时已得到通知和妥善处理，此次曝光不过是对旧信息的再度炒作。”   公司坚称，其客户、基础设施或内部运营均未受到安全威胁，并澄清称，受影响的门户网站并未涉及生产环境或包含敏感架构的系统。   CoreInjection 是谁？   CoreInjection 是网络犯罪领域的一个相对新面孔，但已迅速因针对关键基础设施和高端网络（特别是以色列的目标）而声名鹊起。该黑客于 2025 年 3 月 15 日首次出现在 Breach Forums 上，并自那时起已发布了 5 条出售企业网络访问权限的帖子。   其最早的一条帖子是出售对一家总部位于美国的工业机械和设备公司管理面板的访问权限，标价 100,000 美元。然而，不久之后，黑客的攻击目标展现出了一个明显的地理倾向——以色列。   2025 年 3 月 16 日，CoreInjection 声称在出售某以色列国际汽车公司的网络和管理电子邮件访问权限。据称，该访问权限包含对该公司”以色列网络基础设施的完全控制权”，售价 50,000 美元。   两天后的 3 月 18 日，黑客又发布了一条帖子，出售对一家以色列”知名数字屏幕公司”的”完整系统访问权限”。该帖子称，黑客可访问管理大型商场中的数字显示屏服务器，售价 100,000 美元，并强调该权限可实现”即时内容修改和传播”，也就是说，可以实时控制公共显示屏的内容。   这一细节引起了网络安全专家的警觉。过去，与伊朗、真主党和巴勒斯坦黑客组织有关的团体曾多次攻击 CCTV 摄像头、电视信号和公共显示屏，通常用于政治宣传。如果 CoreInjection 的声明属实，这类访问权限的出售可能会为类似的高曝光度攻击提供可乘之机。   2025 年 3 月 20 日，该黑客又发布了一条帖子，出售某以色列电气产品公司的客户和订单数据库，并声称数据”独家且最新”，售价 30,000 美元。   综合来看，CoreInjection 的一系列出售信息显示出明确的攻击模式：高价值访问权限、关键系统以及对以色列基础设施的强烈兴趣。无论其是独立行动，还是隶属于更广泛的组织，该黑客的活动都已引起地下论坛和网络安全界的关注。   仍存疑问   尽管 Check Point 试图安抚公众，但黑客对被窃数据的详细描述仍然引发了担忧。如果这些数据属实，其中提到的内部网络架构、明文凭据和专有软件，可能表明黑客的访问权限比 Check Point 公开承认的要深得多。   此外，仍有几个关键问题未得到解答。如果这确实是一个旧事件，为什么当时未被公开披露？对于一家规模如此庞大的网络安全公司来说，透明度应当是基本要求。而且，Check Point 尚未提供任何关于事件发生方式的细节，这使得外界无法判断其攻击路径究竟是什么——是错误配置的门户？凭据泄露？内部威胁？还是其他原因？   同时，Check Point 也未说明是否已查明黑客的入侵方式，或是否已锁定任何可能的嫌疑人。在缺乏这些信息的情况下，外界难以评估此次攻击是否已被完全遏制，或者仍然存在持续威胁。   这一事件发生之际，网络犯罪分子正越来越多地将网络安全公司本身作为攻击目标，往往利用微小的安全漏洞，进而引发更大规模的数据泄露。无论 CoreInjection 的声明是否属实，该事件都表明，即使是专门从事网络安全防御的公司，也无法完全免受黑客攻击的威胁。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德克萨斯州成为法律风暴的中心，因为一起针对甲骨文公司的集体诉讼。该诉讼于2025年3月31日在美国德克萨斯州西区联邦法院提起，指控甲骨文未能保护敏感信息，并未及时通知受影响的个人。 此次数据泄露事件最初于2025年3月22日由Hackread.com报道。一名使用“rose87168”化名的黑客声称在2025年1月入侵了甲骨文的云基础设施。据该黑客称，泄露的数据包括加密的单点登录密码、Java KeyStore（JKS）文件、企业管理器JPS密钥以及与甲骨文云的单点登录和LDAP系统相关的用户凭证。据称，被盗数据集包含约600万用户的信息。 甲骨文公开否认了此次数据泄露，并拒绝进一步说明。然而，网络安全公司CloudSEK进行了一项独立调查，并声称找到了“确凿证据”证明数据泄露。2025年3月31日，黑客在Breach Forums上发布了更多证据，包括甲骨文云环境的内部LDAP记录和部分凭证。 一名论坛管理员据称验证了数据的真实性，尽管Hackread.com表示，在甲骨文提供透明度之前，它无法独立确认数据泄露的全部情况。然而，根据TechMundo的报道，其分析了数据并发现其为真实。 这起集体诉讼由佛罗里达州居民迈克尔·托伊卡奇于2025年3月31日提起，他声称自己的私人信息通过一家使用甲骨文软件的医疗保健提供者存储在甲骨文的系统中。诉讼称，甲骨文未能达到行业标准安全实践，并指控该公司疏忽、违反受托责任、不当得利以及违反第三方受益人合同。 托伊卡奇声称，自消息传出以来，他不得不花费大量时间监控自己的财务和医疗账户。诉讼进一步指出，甲骨文未能遵守德克萨斯州法律，该法律要求组织在确认数据泄露后60天内通知受影响的个人。截至提起诉讼之日，甲骨文尚未发出任何此类通知。 提高赌注的是泄露数据的性质。诉讼强调，泄露不仅涉及个人身份识别信息（PII），还涉及敏感的健康数据。它引用了多个来源，包括彭博社和HIPAA Journal，这些报道称甲骨文已开始悄悄地向一些医疗保健客户发出患者数据泄露的警报。黑客的帖子威胁要发布受影响公司的完整名单，并提出如果特定组织支付费用来删除其员工记录，可以将其排除在外。 诉讼列出了甲骨文的一长串所谓失误，包括缺乏适当的加密、糟糕的网络监控以及未能及时检测或应对数据泄露。它还引用了甲骨文自己的公开隐私政策，该政策称公司会在不无故延迟的情况下报告任何数据泄露，但诉讼称这种情况并未发生。 随着对补偿性损害赔偿、信用监控服务以及对甲骨文数据安全基础设施改革的要求，这起集体诉讼正成为甲骨文多年来面临的最重要的法律挑战之一。此案还可能重新引发关于云服务提供商的责任以及他们如何处理客户及其最终用户的敏感数据的辩论。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国竞争监管机构对苹果公司实施 App Tracking Transparency (ATT) 隐私框架的方式处以 1.5 亿欧元（约 1.62 亿美元）罚款。 法国竞争管理局（Autorité de la concurrence）表示，将对苹果公司处以经济处罚，原因是该公司在 2021 年 4 月 26 日至 2023 年 7 月 25 日期间，滥用了其作为 iOS 和 iPadOS 设备移动应用分销商的市场主导地位。 苹果在 iOS 14.5、iPadOS 14.5 和 tvOS 14.5 版本中引入的 ATT 框架，要求移动应用必须获得用户的明确同意，才能访问其设备的唯一广告标识符（即广告商标识符 IDFA），并在应用程序和网站之间跟踪用户，以进行定向广告投放。 “除非您获得用户的许可以启用跟踪，否则设备的广告标识符值将全部为零，您不得对其进行跟踪，”苹果在其官方网站上指出。”虽然您可以在任何时间显示 AppTrackingTransparency 提示，但只有在您展示该提示并用户授予权限后，设备的广告标识符值才会被返回。” 除了请求跟踪权限外，应用开发者还需要说明进行此类跟踪的具体目的。 “尽管 App Tracking Transparency (ATT) 框架的目标本身并无问题，但其实施方式既不是实现苹果公司声明的个人数据保护目标所必需的，也不成比例，”法国监管机构表示。 监管机构将 ATT 描述为”人为复杂”，并指出通过该框架获得的同意并不符合《法国数据保护法》的法律要求，因此开发者必须使用自己的同意收集解决方案。这导致用户会看到多个同意弹窗。 法国监管机构指出 ATT 实施中的两种不对称性 法国竞争管理局还指出了 ATT 实施方式中的两种不对称性。其中之一是，用户在同意被跟踪时需要进行两次确认，而拒绝跟踪则只需一步操作——这一点被认为破坏了”框架的中立性”。 “虽然发布者必须从用户处获得双重同意才能在第三方网站和应用程序上进行跟踪，但苹果公司在其自有应用中并未向用户请求同意（直到 iOS 15 实施之后），”该机构指出。”由于这一不对称性，法国国家信息与自由委员会（CNIL）对苹果处以罚款，认定其违反了《法国数据保护法》第 82 条，该条款是《ePrivacy 指令》的本地化版本。” “这一不对称性至今仍然存在，因为苹果公司为其自身的数据收集引入了一个单一的’个性化广告’弹窗来获取用户同意，而对于第三方数据收集，仍然要求开发者获得双重同意。” 值得注意的是，该命令并未要求对 ATT 框架进行具体更改。据路透社报道，这”取决于苹果公司自行确保其现在遵守裁决”。对于苹果来说，这笔罚款不过是九牛一毛——在截至 2024 年 12 月 28 日的季度中，该公司在 1243 亿美元的营收中实现了 363 亿美元的净利润。 苹果公司在与美联社分享的声明中表示，ATT 提示对所有开发者（包括苹果自身）都是一致的，并且该功能已获得消费者、隐私倡导者和全球数据保护机构的”强烈支持”。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文