HackerNews 编译，转载请注明出处： 卡巴斯基日前披露了梅赛德斯-奔驰MBUX车载信息娱乐系统中发现的十多个漏洞，虽然这些漏洞已经被修复，且不易被利用，但梅赛德斯-奔驰仍向用户保证，漏洞已得到修复。 卡巴斯基对梅赛德斯-奔驰MBUX系统的研究基于2021年由中国团队发布的研究成果。卡巴斯基在其博客中发布了相关发现，并开始发布针对每个漏洞的安全建议。此次研究聚焦于第一代MBUX系统。 其中，部分漏洞可被利用发起拒绝服务（DoS）攻击，另一些则可用于获取数据、命令注入和提升权限。 卡巴斯基表示，已经演示了物理访问目标车辆的攻击者如何利用其中一些漏洞禁用车载系统的防盗保护、对车辆进行调校，并解锁付费服务。这些攻击通过USB或定制的UPC连接实施。 这些漏洞已被分配了2023年和2024年的CVE标识符，但梅赛德斯-奔驰向《SecurityWeek》表示，自2022年以来，公司就已知悉卡巴斯基的发现。 梅赛德斯-奔驰发言人在一份电子邮件声明中表示：“2022年8月，一组外部安全研究人员联系了我们，针对第一代MBUX（梅赛德斯-奔驰用户体验）提出了相关问题。” “研究人员提到的问题需要对车辆进行现场物理访问，并进入车辆内部，此外，还需拆卸并打开车载系统。新版本的车载信息娱乐系统不受影响，”发言人补充道。 梅赛德斯-奔驰表示，产品和服务的安全性“高度优先”，并呼吁研究人员通过公司的漏洞披露计划报告发现的问题。 此前，研究人员披露过可被利用的漏洞，声称这些漏洞可被用于远程黑客攻击梅赛德斯-奔驰汽车。 其他与梅赛德斯-奔驰相关的网络安全问题还涉及公司IT基础设施。去年，研究人员报告称，一名梅赛德斯-奔驰员工泄露的GitHub令牌使得外界能够访问公司GitHub Enterprise服务器上存储的所有源代码。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 社交媒体安全初创公司Spikerz上周宣布，成功完成700万美元的种子轮融资。 本轮融资由Disruptive AI领投，Horizon Capital、Wix Ventures、Storytime Capital和BDMI等老股东参与。 Spikerz表示，此轮融资将帮助公司加速平台开发、拓展全球市场并加强团队建设。 Spikerz开发了一种解决方案，社交媒体团队和网络红人可以利用该平台跟踪并中和钓鱼攻击、诈骗及其他可能威胁账户安全的风险。 该平台还具备检测和移除虚假账户及恶意机器人功能，并提供工具帮助识别并解决限制账户可见性（如影藏封禁）的问题。 Spikerz首席执行官Naveh Ben Dror表示：“社交媒体平台已成为全球企业、中小型企业和品牌的重要来源。然而，恶意行为者，尤其是利用生成型人工智能（GenAI）的攻击者，日益复杂的手段对这些生计构成了重大威胁。” 他补充道：“在Spikerz，我们致力于通过AI驱动的工具和网络安全专业技术，保持账户的安全。这笔融资体现了问题的紧迫性以及投资者对我们解决这一问题的信任。” 消息来源：Security Week, 编译：zhongx； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名华盛顿男子在法庭上承认，参与了多起诈骗案件，导致超过60万美元的损失。 28岁的马尔科·拉昆·霍内斯特（Marco Raquan Honesty）承认，在2021年至2022年期间，他参与了包括新冠救济诈骗、短信钓鱼、银行账户接管、伪造汇票和其他诈骗活动。 霍内斯特通过短信钓鱼（smishing）实施诈骗，向受害者发送短信，告知其资金被未经授权转账，并引导受害者访问伪装成正规银行网站的钓鱼网站，盗取受害者的登录凭据。 法庭上出示的文件还指控霍内斯特运营了一个Telegram频道，广告中出售被盗数据，如信用卡、支票、银行凭证和其他与诈骗相关的赃物。 他还通过Zelle和银行内转账等方式，访问受害者账户，将资金转移到自己及共谋者的账户中。 根据法庭文件，霍内斯特使用一名短信钓鱼受害者的信息，与德克萨斯州机动车辆管理局（Texas Department of Motor Vehicles）完成了一笔交易，作为针对汽车经销商的诈骗活动的一部分。他还制作假身份证，卖给其他人，以便他们实施类似的诈骗计划。 2021年4月至10月期间，霍内斯特与共谋者一起，向薪资保护计划（PPP）提交虚假贷款申请，并伪造税表来支持这些申请。此骗局导致小企业管理局（SBA）损失超过50万美元，霍内斯特为一些贷款提供便利，收取了回扣或费用，在某些情况下，每笔贷款获得1万美元。 美国司法部表示：“霍内斯特通过这一计划为自己、父亲、两个姐妹、祖母、表亲、孩子的母亲以及其他朋友和亲戚获取了PPP贷款。” 2021年12月至2022年1月期间，霍内斯特还参与了一项涉及虚假西联汇款汇票的计划，造成超过7.9万美元的预期损失。 2023年9月，调查人员在搜查霍内斯特住所时，扣押了24部手机、3台笔记本电脑、空白的IRS 1099表格、空白社保卡模板、SIM卡、信用卡压印机、空白卡片和信用卡读卡器等物品。 霍内斯特参与的诈骗案件共造成大约62.2万美元的损失，但当局认为，预期损失金额超过85万美元。 霍内斯特面临最高20年的电信诈骗刑罚，以及强制执行的2年加重身份盗窃刑期。他将在5月23日接受宣判。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 惠与科技（HPE）正在调查一起新的安全事件，黑客声称从该公司开发环境中窃取了文档。 HPE向BleepingComputer表示，目前尚未发现任何安全漏洞的证据，但公司正在调查黑客的声称。 HPE发言人Clare Loxley告诉BleepingComputer：“HPE在1月16日得知一个名为IntelBroker的黑客组织声称持有属于HPE的信息。” 她补充道：“HPE立即启动了网络响应程序，禁用了相关凭证，并展开调查以评估这些声称的真实性。目前，我们的业务未受影响，且没有证据表明客户信息受到牵连。” IntelBroker宣布将出售据称从HPE网络中窃取的信息，声称他们至少有两天时间可以访问HPE的API、WePay以及（公开和私密的）GitHub代码库，并窃取了证书（私钥和公钥）、Zerto和iLO源代码、Docker构建文件以及用于交付的旧版用户个人信息。 IntelBroker还上传了另外一个数据档案（包括凭证和访问令牌），这些数据据称是从HPE系统中窃取的，时间是在2024年2月1日。该公司当时也表示正在调查黑客的声称，但没有发现任何安全漏洞的证据。 IntelBroker因入侵DC Health Link而声名狼藉，该组织负责管理美国国会众议院成员的医保计划，此次事件导致170,000名受影响者的个人数据泄露，并引发了国会听证会。 与IntelBroker相关的其他事件还包括入侵诺基亚、思科、欧洲刑警组织、家得宝、Acuity等，以及涉嫌入侵AMD、美国国务院、Zscaler、福特汽车和通用电气航空等。 HPE曾在2018年遭到APT10中国黑客组织的入侵，黑客通过该次入侵获得了对HPE部分系统的访问权限，并利用该权限攻击客户设备。 更近期的是，HPE在2021年披露，其Aruba Central网络监控平台的数据仓库也遭到入侵，攻击者得以访问受监控设备的数据及其位置信息。 HPE还透露，去年其Microsoft Office 365电子邮件环境在2023年5月遭到入侵，攻击者被认为是与俄罗斯对外情报局（SVR）相关的APT29黑客组织。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Cyfirma发现，名为Tanzeem（乌尔都语意为“组织”）和Tanzeem Update的安卓恶意软件与DoNot团队的高度针对性网络攻击有关。该恶意软件在2024年10月和12月被首次发现。经分析，这些应用功能几乎相同，仅在用户界面上有少量修改。 Cyfirma在周五的分析中指出：“尽管该应用被设计为聊天应用，但一旦安装后无法正常运行，安装并授予必要权限后即关闭。应用名称表明它的目标可能是特定的国内外个人或群体。” DoNot团队，亦称APT-C-35、Origami Elephant、SECTOR02和Viceroy Tiger，是一个被认为起源于印度的黑客组织，历史上曾通过鱼叉式网络钓鱼邮件和安卓恶意软件家族收集感兴趣的信息。 2023年10月，该组织与一个名为Firebird的基于.NET的后门恶意软件有关，该恶意软件针对巴基斯坦和阿富汗的少数受害者。 目前尚不清楚这次恶意软件的具体目标是谁，但推测其可能用于针对特定个人，以便对内部威胁进行情报收集。 这个恶意安卓应用的一个显著特点是使用了OneSignal平台，OneSignal是一个流行的客户互动平台，组织可通过该平台发送推送通知、应用内消息、电子邮件和短信。Cyfirma推测，恶意软件可能滥用此平台，通过推送通知发送包含钓鱼链接的消息，从而实现恶意软件的部署。 无论使用何种分发机制，安装后该应用会显示一个虚假的聊天界面，并促使受害者点击名为“开始聊天”的按钮。点击后，应用会触发一条消息，要求用户授予辅助服务API的权限，从而执行各种恶意操作。 该应用还请求访问若干敏感权限，包括获取通话记录、联系人、短信、精确位置、账户信息及外部存储中的文件等。有些其他功能还包括录制屏幕和与指挥控制（C2）服务器建立连接。 Cyfirma表示：“收集的样本揭示了一种新策略，利用推送通知鼓励用户安装其他安卓恶意软件，从而确保恶意软件在设备上的持久性。” “这一策略增强了恶意软件在目标设备上持续活动的能力，表明该威胁组织正在不断发展其情报收集的意图，继续为国家利益服务。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

  HackerNews 编译，转载请注明出处： 最新研究发现，多种隧道协议存在安全漏洞，可能让攻击者实施一系列攻击。 Top10VPN与KU Leuven教授Mathy Vanhoef合作的研究表明，“接收隧道数据包但未验证发送方身份的互联网主机，可能会被劫持，进行匿名攻击并提供网络访问权限。” 研究表明，多达420万个主机面临攻击风险，其中包括VPN服务器、ISP家用路由器、核心互联网路由器、移动网络网关以及内容分发网络（CDN）节点。中国、法国、日本、美国和巴西是受影响最严重的国家。 成功利用这些漏洞，攻击者可将易受攻击的系统用作单向代理，还能进行拒绝服务（DoS）攻击。 网络安全专家表示：“攻击者可以利用这些安全漏洞创建单向代理并伪造源IPv4/6地址。”CERT协调中心（CERT/CC）在公告中指出，“易受攻击的系统可能允许访问组织的私人网络，甚至被滥用来执行DDoS攻击。” 这些漏洞的根源在于，隧道协议如IP6IP6、GRE6、4in6和6in4主要用于促进两个断开网络之间的数据传输，但缺乏认证和加密，未采用足够的安全协议如IPSec。 缺乏额外的安全防护使得攻击者可以将恶意流量注入隧道，这是一种变种，早在2020年就已标识为漏洞（CVE-2020-10136）。 相关协议已被赋予以下CVE标识符： CVE-2024-7595（GRE和GRE6） CVE-2024-7596（通用UDP封装） CVE-2025-23018（IPv4-in-IPv6和IPv6-in-IPv6） CVE-2025-23019（IPv6-in-IPv4） Top10VPN的Simon Migliano解释道：“攻击者只需发送一个使用受影响协议封装的数据包，并带有两个IP头。” “外部头包含攻击者的源IP，目标主机的IP作为目的地址。内部头的源IP则是目标主机的IP，而不是攻击者的IP。目的IP是匿名攻击的目标。” 因此，当易受攻击的主机接收到恶意数据包时，它会自动剥离外部IP头，将内部数据包转发到目标。由于内部数据包的源IP是受信任的目标主机IP，它能够通过网络过滤器。 为了加强防御，建议使用IPSec或WireGuard提供认证和加密，并仅接受来自受信任来源的隧道数据包。在网络层，建议对路由器和中间设备进行流量过滤，执行深度数据包检测（DPI），并阻止所有未加密的隧道数据包。 Migliano补充道：“这些DoS攻击对受害者的影响可能包括网络拥堵、由于流量超载而导致的服务中断，甚至使网络设备崩溃。它还为进一步的攻击打开了机会，例如中间人攻击和数据拦截。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自周五起，欧盟金融机构及其第三方供应商需向本国监管机构报告重大信息技术事件，标志着欧盟《数字运营弹性法案》（DORA）正式生效。 该法案旨在推动金融行业及其供应链的最佳实践，既包括保护企业免受网络攻击，也包括防范其他形式的业务中断，如去年CrowdStrike的错误更新事件。报告要求同样适用于国际上的第三方供应商。“数字运营弹性”即指金融实体通过直接或间接使用ICT第三方服务商提供的服务来确保其所需的全部ICT相关能力，并借助这些能力来解决所使用网络和信息系统的安全问题，以及持续提供高质量的金融服务(包括在ICT中断期间)。 对于不遵守规定的行为，法案将处以严厉处罚，最显著的是对受监管“金融机构”失职管理层成员可能追究刑事责任——该术语涵盖范围广泛，包括银行、支付服务提供商、投资公司以及从事加密资产业务的企业。 法案要求这些机构的管理层定期接收高级信息技术人员的报告，以支持组织的弹性建设。 如未能提供此类信息，欧盟成员国已接到指示，需为失职的个别董事会成员建立民事责任制度，同时保留在法规中追究刑事责任的可能性。 网络弹性公司Rubrik的企业首席技术官詹姆斯·休斯表示：“任何法规中的个人问责制往往能使人更加专注。”他还补充说，该公司对金融服务公司的调查显示，近一半的公司为准备这项法规花费了超过100万美元。 违反义务的金融机构可能被处以全球年度营业额2%或1000万欧元（1030万美元）的罚款，以较高者为准。不遵守规定的第三方信息技术供应商可能每天被处以全球平均日营业额1%的罚款，“直至合规为止，且罚款期限不超过六个月”。   消息来源：The Record, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯当局已将一家加拿大IT公司列为“不受欢迎”组织，使其成为第二个被列入该名单的西方网络安全公司。 俄罗斯总检察院周四在一份声明中表示，OpenText公司“与美国执法部门紧密合作，并为西方的反俄宣传努力做出贡献”。 莫斯科还声称，该公司为美国国防部提供服务，向五角大楼供应软件，其中包括一款有助于识别互联网用户的软件。 俄罗斯当局表示，OpenText于2023年收购的英国公司Micro Focus“向乌克兰执法机构提供了收集数据所需的网络安全软件和服务，以便打击俄罗斯军队和基础设施”。 截至北美东部时间周五上午10点45分，OpenText尚未回复Recorded Future News关于这些指控的置评请求。 这家位于加拿大安大略省滑铁卢的公司专门从事企业信息管理（EIM）软件，帮助组织管理机构文档、记录和其他内容。该公司还提供网络安全解决方案。 在俄罗斯，“不受欢迎”的地位适用于那些活动被认为对该国利益或安全有害的组织或个人。一旦被指定为“不受欢迎”，这些组织将被禁止在俄罗斯境内运营——其资产可能会被没收，活动也会受到限制。俄罗斯公民和法人实体也被禁止与这些组织合作，如果不遵守规定，还可能面临刑事指控。 去年12月，俄罗斯以类似的指控将美国网络安全公司Recorded Future列入“不受欢迎”组织名单。当时，Recorded Future的首席执行官克里斯托弗·阿尔伯格表示，该公司与任何情报机构没有特定联系，但许多政府机构都是其客户。The Record是Recorded Future旗下一个编辑独立的单位。 在俄乌战争后，OpenText和Micro Focus于2022年暂停了在俄罗斯的业务，并表示只有“战争结束且制裁解除”后才会恢复在该国的运营。OpenText此前曾捐款支持乌克兰的人道主义工作。 2023年，OpenText还透露，在2015年BlackEnergy网络攻击导致乌克兰全国大范围停电后，该公司向乌克兰电力公司Ukrenergo提供服务，以帮助保护其基础设施免受未来威胁。 2024年，俄罗斯外交部对五名Micro Focus员工实施个人制裁，指责他们向乌克兰执法机构提供软件和网络安全服务，以收集数据来打击俄罗斯军队和基础设施。 “这些IT公司是新纳粹的盟友，它们的活动导致人员伤亡，并可能被用来对付任何与盎格鲁-撒克逊人利益不一致的国家政府。”俄罗斯当局在当时的一份声明中表示。   消息来源：The Record, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 联邦贸易委员会（FTC）周五发布的初步报告中指出，企业根据从消费者数据和行为中收集的信息对商品进行加价，这些信息包括地理位置、人口统计特征、购物习惯，甚至个人在网页上移动鼠标的方式。 该报告基于六家公司——万事达卡、埃森哲、PROS、Bloomreach、Revionics和麦肯锡公司——提供的材料。FTC于7月要求这些公司提供有关其所谓“监控定价”产品的信息。 这六家被调查公司出售的工具使企业能够不断调整价格，让零售商能够基于各种个人特征，通过算法调整并确定向消费者收取的费用。 该报告由FTC即将离任的民主党多数派要求编制，目前仍处于“工作人员观点”阶段，尚未最终确定。即将上任的FTC主席安德鲁·弗格森和共和党成员梅利萨·霍利约克反对发布该报告，称在机构调查结束前不应发布。 根据FTC的新闻稿，由于该委员会要求不得泄露机密商业秘密，因此报告仅提供了假设性示例。 报告也未明确这六家公司各自对消费者进行画像的广泛程度。 新闻稿称，其中一些公司表示，它们能够“根据细致的消费者数据（如化妆品公司针对特定肤质和肤色的促销活动）来确定个性化和差异化的定价及折扣”。 FTC基于这六家公司提供的文件提出的一个假设案例是，一位被标记为新父母的消费者在购买婴儿产品时看到了更高的价格。 FTC表示，这六家研究公司服务的客户多达250家，涵盖从杂货店到服装连锁店的各类企业。 即将离任的主席莉娜·可汗在一份声明中表示：“FTC应继续调查监控定价行为，因为美国人有权了解自己的个人数据是如何被用来设定他们支付的价格的，以及企业是否为同一商品或服务向不同的人收取不同价格。” 该委员会呼吁消费者和企业发表公开评论，详细说明监控定价对他们造成的影响。 六家公司中只有两家回应了置评请求。 旗下拥有Recorded Future News的万事达卡的一位发言人表示，公司正在审查刚刚发布的报告。 该发言人说：“我们不提供监控定价服务。我们的服务和平台帮助我们的客户更好地了解与其业务相关的趋势和见解。” Revionics的一位发言人说，该公司没有开发“针对特定个人推荐定价的软件。Revionics在任何情况下都不会使用个人消费者数据。” 该发言人说：“Revionics的人工智能价格优化软件在向零售商推荐最优价格时，会考虑众多市场层面的因素。通过使用人工智能，Revionics帮助零售商确定一个对消费者和零售商都有利的价格。” FTC指出，这六家公司中的一些“反对将其提供的工具描述为旨在或用于为消费者设定个性化价格或实现监控定价”。   消息来源：The Record, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌周四宣布推出OSV-SCALIBR（软件成分分析库），这是一款用于软件成分分析的开源库。 该工具以开源Go库的形式发布，是一款可扩展的文件系统扫描器，旨在提取软件库存信息并识别漏洞。 OSV-SCALIBR既可以作为独立的二进制文件（库的外围包装）使用，也可以作为库导入到Go项目中。 该工具支持对包、二进制文件和源代码进行软件成分分析（SCA）。它可用于扫描Linux、Windows和macOS上的操作系统包，并支持多种编程语言的工件和锁定文件扫描。 此外，它还提供了漏洞扫描功能，并可用于生成SPDX和CycloneDX格式的软件物料清单（SBOM）。 “OSV-SCALIBR现在是谷歌用于实时主机、代码仓库和容器的主要SCA引擎。它已在许多不同的产品和内部工具中进行了广泛使用和测试，以帮助生成SBOM、发现漏洞，并以谷歌的规模保护用户数据，”这家互联网巨头表示。 该工具的功能已被分组为软件提取和漏洞检测插件，当执行独立的二进制文件时，一组推荐的内部插件将默认运行。 OSV-SCALIBR在其定义文件中存储了内置插件模块。当该工具作为库使用时，可以通过导入这些插件并将它们添加到扫描配置中来启用它们。当SCALIBR作为库使用时，也可以运行自定义插件。 OSV-SCALIBR目前主要作为开源Go库提供，但谷歌正在努力将其更深入地集成到2022年发布的开源依赖项漏洞扫描器OSV-Scanner中。 OSV-SCANNER中的一些功能已经具备了OSV-SCALIBR的部分能力，未来几个月内将集成更多功能，包括已安装包的提取、SBOM生成和弱凭据扫描。 “请注意，OSV-Scanner V2即将发布，将具备许多这些新功能。OSV-Scanner将成为需要CLI界面的用户使用OSV-SCALIBR库的主要前端。OSV-Scanner的现有用户可以继续以相同的方式使用该工具，同时保持对所有现有用例的向后兼容性，”谷歌表示。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文