Hackernews 编译，转载请注明出处： 研究人员发现，网络犯罪分子正在利用Facebook广告传播恶意软件，并劫持用户的社交媒体账户。 在恶意广告活动中，黑客利用合法工具进行在线广告分发，并在广告中插入受感染的链接。据Bitdefender的网络安全研究人员称，为了吸引用户点击，该恶意活动利用了年轻女性的淫秽图片。 研究人员报告说，该活动旨在向受害者的设备发送一个新版本的NodeStealer恶意软件。广告中的一些照片似乎是经过编辑或AI生成的。 NodeStealer是一种相对较新的信息窃取工具，它允许黑客窃取受害者的浏览器cookie并接管Facebook账户。 在之前的一次活动中，研究人员观察到黑客使用NodeStealer接管Facebook的商业账户，并从加密货币钱包中窃取资金。Facebook母公司Meta的研究人员表示，他们在1月份首次发现了这种恶意软件。 在Bitdefender描述最近的行动中，网络罪犯使用了至少10个受损的企业账户来运行和管理广告，将恶意软件分发给Facebook的普通用户——主要是来自欧洲、非洲和加勒比地区的40岁及以上的男性。 每次点击广告都会立即将恶意可执行文件下载到受害者的设备上。研究人员估计，在短短10天内，就有近10万用户下载了该恶意软件。 目前还不清楚是哪个黑客组织发起了这次攻击。第一次NodeStealer攻击被认为是来自越南的攻击者，他们通过Facebook Messenger攻击企业用户。 研究人员表示，在最新的攻击活动中发现的NodeStealer变体略有更新。它有一些新功能，允许黑客访问其他平台，如Gmail和Outlook，并下载额外的恶意负载。 研究人员说，一旦网络犯罪分子利用NodeStealer的基本功能获得了用户浏览器cookie的访问权限，他们就可以接管Facebook账户并访问敏感信息。 然后，黑客可以更改密码并激活帐户上的额外安全措施，以完全拒绝合法所有者的访问，从而允许网络犯罪分子实施欺诈。 研究人员表示：“无论是窃取金钱还是通过劫持账户诈骗新的受害者，这种类型的恶意攻击都能让网络罪犯通过Meta的安全防御而不被发现。”     Hackernews 编译，转载请注明出处 消息来源：TheRecord，译者：Serene

Hackernews 编译，转载请注明出处： 一个支持哈马斯的黑客组织正在使用一种名为BiBi-Linux wiper的新型Linux软件攻击以色列实体。 在取证调查中，Security Joes事件响应小组发现了一个新的Linux Wiper恶意软件，名为BiBi-Linux Wiper。 亲哈马斯的黑客组织使用这个Wiper来摧毁以色列公司的基础设施。 研究人员注意到，该恶意软件是一个x64 ELF可执行文件，缺乏混淆或保护措施。专家分析的恶意软件样本是用C/ C++编写的，文件大小约为1.2MB。这个二进制文件是使用GCC编译器编译的。黑客可以指定目标文件夹，但是，当以root权限运行时，Wiper可能会破坏整个操作系统。 在执行过程中，它会产生大量输出，可以使用“nohup”命令减轻输出。它还利用多线程和队列并发地破坏文件，从而提高了速度和覆盖范围。它的操作包括覆盖文件，用包含“BiBi”的随机字符串重命名文件，以及排除某些文件类型的损坏。 恶意软件的作者在恶意软件名称和每个被破坏文件的扩展名中硬编码了以色列总理的名字。研究人员还注意到，它没有使用C2服务器，在这种情况下，BiBi-Linux的Wiper也被用来破坏数据。 在每台被感染的机器上发现的恶意文件名为bibi-linux.out。虽然字符串“bibi”(在文件名中)可能看起来是随机的，但当它与中东政治等话题混合在一起时，具有重要意义，因为它是以色列总理 Benjamin Netanyahu 的常用昵称。 一旦执行，恶意软件产生大量输出，在执行期间产生大量的噪音。黑客通过使用“nohup”命令来缓解这个问题，这样程序就可以在不向终端连续打印输出的情况下执行。程序的输出被重定向到一个名为nohup的文件。Out位于二进制目录中。使用“nohup”命令还可以防止擦除过程停止，即使控制台处于关闭状态。 为了加速感染过程，该威胁利用多个线程，并使用队列来同步它们的操作。这种方法允许攻击同时破坏文件，大大提高了总体攻击的范围和速度。       Hackernews 编译，转载请注明出处 消息来源：Securityaffairs，译者：Serene

Hackernews 编译，转载请注明出处： 据美国一家安全公司称，超过8亿印度人的高度敏感个人信息正在网上以8万美元的价格出售。 在这个世界上人口最多的国家，超过14亿的人口中，超过一半的人可能受到了数据泄露的影响，如果得到证实，这可能是印度最大的违规行为。 网络安全公司Resecurity表示，10月初，该公司在暗网上发现了数百万份属于印度居民的个人信息记录。 据报道，网上提供的个人数据包括Aadhaar生物识别身份证和护照信息，以及姓名、电话号码和地址。 Aadhaar是世界上最大的生物识别身份系统，自2009年该项目启动以来，政府当局估计已发行了14亿张卡。这些卡片包含生物特征信息，如指纹和虹膜扫描。 印度公民和非公民都可以获得Aadhaar卡，它可以作为在线支付的数字身份证。政府还计划将其与选民登记联系起来，印度9.45亿合格选民中有60%已经这样做了。 据印度媒体报道，这些数据是从在印度主要医学研究机构印度医学研究委员会(ICMR)注册的公民新冠肺炎检测细节中提取的。 据《印度教徒报》报道，自今年2月以来，印度医学研究委员会面临多次网络攻击。报告称，今年6月，一项Telegram聊天允许人们从CoWIN疫苗接种门户网站的数据库中获取条目，这可能导致Aadhaar或护照号码泄露。 当时，印度政府否认了有关此次泄露的报道，专家称这可能是印度最严重的数字安全漏洞之一。当局尚未正式回应最新的爆料，这一事件正在调查中。 Resecurity表示，他们已经观察到涉及Aadhaar ID的事件激增，并警告称，这造成了数字身份被盗的“重大风险”，有可能利用被盗信息进行网络金融犯罪，如网上银行或退税欺诈。       Hackernews 编译，转载请注明出处 消息来源：CyberNews，译者：Serene

Hackernews 编译，转载请注明出处： 加拿大首席信息官认定微信和卡巴斯基应用程序对隐私和安全构成了不可接受的风险。 加拿大以隐私和安全风险为由，禁止政府智能手机和其他移动设备使用中国流行的即时通讯应用微信和俄罗斯平台卡巴斯基。 一份声明称，这些应用程序将立即从政府发行的设备中删除，用户今后也将被禁止下载。 负责加拿大联邦公共服务的财政委员会主席 Anita Anand 表示，加拿大首席信息官认为，这些应用程序“对隐私和安全构成了不可接受的风险”。 她补充说，没有发现任何违规行为，但这些平台在移动设备上的数据收集方法“提供了对设备上内容相当大的访问权限”。 Anand 总结说：“移除和屏蔽微信和卡巴斯基应用程序的决定，是为了确保加拿大政府的网络和数据安全，符合我们的国际合作伙伴的做法。” 在此之前，渥太华在2月份也禁止了政府设备上的 TikTok。 去年，乔·拜登总统撤销了前任唐纳德·特朗普以国家安全为由试图禁止TikTok和微信进入美国市场的行政命令后，甲骨文被委托存储美国用户所有的TikTok数据。 渥太华和北京之间的关系，在今年早些时候创下了新低。渥太华指责北京干预加拿大选举，并试图恐吓议员，导致今年5月一名中国外交官被驱逐出境。上周，加拿大政府警告称，一场与中国有关的“Spamouflage”虚假信息运动利用网络帖子和深度伪造的视频，试图贬低和抹黑包括总理 Justin Trudeau 在内的加拿大议员。 一项针对外国干涉指控的公开调查于9月启动，中国外交部驳斥了这些指控，称渥太华“混淆黑白，误导公众舆论”，并敦促加方尊重事实和真相，停止散布涉华谎言。     Hackernews 编译，转载请注明出处 消息来源：SecurityWeek，译者：Serene

属于乌克兰IT军组织的黑客在俄罗斯军队占领的一些领土上，暂时瘫痪了互联网服务。 在入侵克里米亚和乌克兰东部后，乌克兰的电信基础设施被俄罗斯士兵破坏。 黑客对“Miranda-media”、“Krimtelekom”和“MirTelekom”三家俄罗斯互联网服务提供商进行了DDoS攻击。IT军正在邀请支持者安装他们的软件，共同作战。 乌克兰IT军组织在其Telegram频道上发布道： 我们瞄准互联网和电信供应商，以破坏敌人的通信。今天，我们的情报部门策划了一场”thousand proxies”袭击，瘫痪了“Miranda-media”、“Krimtelekom”和“MirTelekom”，这不仅影响到克里米亚，还影响到赫尔松、扎波罗热、顿涅茨克和卢甘斯克地区被占领的部分地区。我们的网络军队又一次在前线破坏了敌人的军事通讯。 Miranda-media网络服务商周五宣布，它正面临大规模的DDoS攻击，公告中提到： “自2023年10月27日上午9点05分以来，数字服务运营商Miranda-Media一直在记录来自乌克兰黑客组织前所未有的DDoS攻击。因此，Miranda-Media、Krymtelecom和MirTelecom的服务暂时无法使用。公司的所有技术和IT服务都处于高度戒备状态。正在采取一切必要措施恢复网络的功能。” 俄罗斯的互联网服务商设法在周五结束时减轻了攻击，周五晚上恢复了部分服务。 电信基础设施和互联网服务是关键基础设施，是俄罗斯和乌克兰黑客的目标。 乌克兰计算机应急响应小组(CERT-UA)报告称，与俄罗斯有关的APT组织“沙虫”(UAC-0165)在2023年5月至9月期间入侵了乌克兰的11家电信服务商。根据公开消息来源，黑客攻击了至少11家乌克兰电信服务商的信息通信系统，导致其服务中断。     Hackernews 编译，转载请注明出处 消息来源：SecurityAffairs，译者：Serene

Hackernews 编译，转载请注明出处： 学术研究人员披露了一种新的类似Spectre的侧信道攻击的细节，该攻击利用Safari从Mac、iPhone和iPad中窃取敏感信息。 这种名为iLeakage的新方法，被描述为一种不定时的推测性执行攻击，它可以诱使Safari呈现任意网页，并从该页面获取信息。 攻击者需要引诱目标Safari用户访问恶意网站，然后该网站会自动打开他们想要窃取信息的网站。这是可能的，因为渲染过程同时处理iLeakage攻击网站和目标网站。 iLeakage是由密歇根大学、佐治亚理工学院和波鸿鲁尔大学的研究人员发现的，他们本周发表了一篇论文，详细介绍了他们的发现。 专家们展示了这种攻击如何用来获取密码和其他敏感信息。他们发布了视频演示，展示了iLeakage攻击如何被用来窃取由密码管理器自动填充的Instagram凭据、Gmail收件箱中的电子邮件主题行以及用户的YouTube观看历史。 研究人员在2022年9月向苹果公司报告了这一发现，但这家科技巨头迄今为止只为macOS上的Safari提供了缓解措施，而且它不是默认启用的，同时还不稳定。 苹果表示，研究人员开发的概念验证推进了该公司对这类威胁的理解。苹果计划在下一个预定的软件发布中进一步解决这个问题。 一方面，没有证据表明iLeakage在野外被利用，这种攻击并不容易进行。研究人员称，实现攻击需要对基于浏览器的侧信道攻击和Safari的实现有深入的了解。 另一方面，专家们指出，这种攻击难以检测，因为它在Safari中运行，不会在系统日志文件中留下任何痕迹。 在macOS上，iLeakage只影响Safari，因为其他浏览器如Edge、Firefox和Chrome使用不同的JavaScript引擎，然而，在iOS上，这种攻击也可以在其他浏览器中使用，因为Chrome、Edge和Firefox基本上是在Safari之上的封装。 研究人员指出，“iLeakage攻击方法表明Spectre攻击仍然是相关的，并且可以被利用，即使在Spectre攻击被发现以来已经进行了近6年的努力去缓解”。     Hackernews 编译，转载请注明出处 消息来源：SecurityWeek，译者：Serene

Hackernews 编译，转载请注明出处：   费城政府表示，黑客入侵城市电子邮件系统至少3个月，这使得黑客能够广泛访问存储在电子邮件账户中的健康信息。 市政府没有回应有多少人受影响，但在周五发布的一份通知中表示，一名黑客在5月26日至7月28日期间访问了一些市政府的电子邮件账户。 该市于5月24日意识到其电子邮件中的可疑活动，8月22日，该市发现一些被入侵的电子邮件账户中有受保护的健康信息，但随后直到10月才通知该市居民。 “市政府正在进行全面审查，受影响的信息类型因人而异。然而，受影响的信息类型可能包括：人口统计信息，如姓名、地址、出生日期、社会安全号码和其他联系信息；医疗信息，如诊断和其他治疗相关信息；以及有限的财务信息，比如索赔信息。”他们解释说。 “得知此事后，我们立即采取措施进一步加强系统和电子邮件的安全。作为我们对信息安全承诺的一部分，我们还在审查现有的政策和程序，实施额外的管理和技术保障措施，并提供额外的安全培训。” 市政府官员向其他监管机构以及美国卫生部报告了这一问题，但该部门尚未将这一事件列入公开的违规事件清单。 该市表示，仍在与一家网络安全公司合作调查这起事件。这是该市继2020年发生两起违规事件后最新的数据泄露事件。之前的其中一起事件涉及该市行为健康和智力残疾服务部承包商的违规行为，导致超过10.8万人的敏感信息泄露。 该市向另外4.9万名居民通报了网络钓鱼攻击，黑客可以访问该市的电子邮件收件箱。 而今年早些时候，《费城问询报》和费城交响乐团都遭遇了网络攻击。     Hackernews 编译，转载请注明出处 消息来源：TheRecord，译者：Serene

Hackernews 编译，转载请注明出处：   美国国家安全局（NSA）一名前雇员已经承认对他的指控，他曾试图向俄罗斯传输机密国防信息。 31岁的 Jareh Sebastian Dalke 在2022年6月6日至2022年7月1日期间担任美国国家安全局信息系统安全设计师，在此期间他获得了访问敏感文件的绝密许可。 美国司法部（DoJ）在本周一的新闻稿中表示：“Dalke 承认，在2022年8月至9月期间，为了展示他的‘合法访问和分享意愿’，他使用加密电子邮件帐户向他认为的俄罗斯特工传输了三份机密文件的摘录。” 实际上，所谓的特工是美国联邦调查局（FBI）的一名在线秘密雇员。 Dalke 还被指控要求以8.5万美元的价格交换他所持有的信息，他声称这些信息对俄罗斯很有价值，并承诺将来分享更多的文件。 泄密文件传输发生在科罗拉多州丹佛市的联合车站，通过一台笔记本电脑进行，其中包括五个文件，其中四个包含了绝密国防信息。其中一些摘录涉及到国家安全局更新一个未指明的加密程序的计划，以及涉及敏感的美国国防能力和俄罗斯进攻能力的威胁评估。 而第五个文件是一封信，Dalke 在信中写道：“我的朋友们！我很高兴终于向你们提供这些信息……我期待着我们的友情和共同利益。如果有需要的文件，请告诉我，我返回办公室后会尽力而为。” 2022年9月28日，在泄密文件传输后不久，Dalke 被当局逮捕。 现在，Dalke 已经认罪，等待在2024年4月26日接受判决，他可能面临最高终身监禁的刑罚。     Hackernews 编译，转载请注明出处 消息来源：TheHackerNews，译者：Serene

Hackernews 编译，转载请注明出处： 在以色列与哈马斯的致命战争中，成千上万的平民丧生，而骗子正利用这次战争事件冒充合法慈善机构来募捐资金。在X（即Twitter）、Telegram和Instagram的一些帖子上，骗子列出了可疑的加密货币钱包地址，引诱受害者将资金发送给他们。 研究人员还发现了500多封声称自己是慈善机构的“筹款”电子邮件。 以色列与哈马斯战争中，加密骗局浮出水面 X、Telegram和Instagram等社交平台上出现了一批账户，吸引人们捐款以支持中东危机中的受害者。然而，这些账户主要列出加密钱包地址，来源可疑，未经官方慈善机构认可，很可能是骗局。 与之前报道的加密捐款诈骗类似，在俄乌战争期间和土耳其地震后，这些账户通过发布伤兵、妇女和儿童受伤的血腥图片来刺激读者的情感。X上一个名为“加沙救援援助”的账户，使用aidgaza.xyz域名，并且在Telegram和Instagram上也存在： 加沙救援援助Twitter账户 与该账户相关的aidgaza.xyz域名于10月15日注册，并没有得到任何知名慈善组织的认可，这与页面页脚上列出的“伊斯兰救济倡议”的说法相反。然而，该网站的副本已从伊斯兰救济组织的官方网站上删除。值得注意的是，除了一些与以色列与哈马斯战争的“新闻稿”和受害者受伤的照片之外，该网站没有提供任何相关的电话和地址信息。 “援助加沙”网站和社交媒体账户声称提供人道援助 该账户的运营者在其网站和社交媒体账户上列出了他们的以太坊、比特币和USDT地址，用于收集捐款。 BTC：16gbXTmvxtrzieoh2vX3io7FhXK4WJryX2 ETH：0x5E8b0df880A9f9F6e4D4090a84b3c1A02fF311b4 USDT：TK4A9dfwqbJhzz4NeGJZBo9nVMJztxnT27 “援助加沙”支持页面列出了比特币、以太坊、USDT钱包地址 幸运的是，目前还没有人向这些地址发送捐款。我们还观察到Instagram账户@gazareliefaid 已经无法使用，可能是被Meta (Instagram的母公司)封号了。 一些社交媒体帖子显示，有第三方表示他们捐赠了资金，而募捐者确认已经收到了资金，但钱包历史显示并非如此。这很可能是该账户采用的策略，以增加其诈骗可信度。 另一方面，声称支持以色列和以色列受害者的可疑账户也在传播。例如，X上有一个“为以色列捐款”的账户。关联的加密钱包地址(0x4aC1Ea2e36fE3ab844E408DF30Ce45C8B985d8cd)再次显示零交易，与X账户相关的一些数据使人们对其真实性产生怀疑。必须注意的是，这里显示的示例账户都没有经过真实性验证，因此用户遇到类似情况时应谨慎处理。 虚假筹款电子邮件冒充慈善机构 网络安全公司卡巴斯基（Kaspersky）研究人员报告称，他们发现了500多封诈骗电子邮件，以及专门设计的诈骗网站。 这些诈骗电子邮件和网站使用的情感语言和图片，再次成为诱导用户访问诈骗网站的策略。网站支持便捷的资金转移，并接受各种加密货币：比特币、以太坊、泰达币和莱特币。 另外，我们追溯到一个egypthelp.online域名，网站标题为“帮助巴勒斯坦社会”。截止发文时，该网站无法访问。 虚假’egypthelp.online’网站寻求加密货币捐款 可疑的’帮助巴勒斯坦社会’网站 利用这些钱包地址，卡巴斯基专家发现了其他诈骗网站，声称要为冲突地区的各种其他团体筹集援助。 “在这些电子邮件中，骗子试图创建多个文本变体以逃避垃圾邮件过滤器，”卡巴斯基的研究人员表示，“例如，他们使用各种呼吁捐款的短语，如‘我们呼吁您的同情和仁慈’或‘我们呼吁您的同情和慷慨’，并用同义词替换词语，如‘帮助’替换为‘支持’、‘援助’等。此外，他们更改链接和发件人地址。” 卡巴斯基的研究人员警告称，只要修改设计并针对特定人群，这类诈骗网站就能迅速增加。 如何安全捐赠？ 为了避免受骗，在捐款前应仔细审查网页。虚假网站通常缺乏有关慈善组织和受益者的基本信息、合法性文件或关于资金使用的透明度。 美国联邦贸易委员会（FTC）的高级律师拉里萨·邦戈（Larissa Bungo）分享了一些可防止受骗的建议。其中之一是研究寻求捐款的组织： “研究组织——特别是如果捐款请求来自社交媒体。搜索名称加‘投诉’、‘评论’、‘评级’或‘欺诈’，并通过查看Better Business Bureau（BBB）的智慧捐赠联盟、慈善组织导航器、慈善组织监察或Candid等组织对慈善机构进行检查。如果信息来自朋友，请问他们是否自己了解这个组织。查明捐赠的每一美元有多少直接用于慈善机构的受益人。” 美国国内税收局（IRS）发出了类似的警告，提醒人们“不要屈服于压力”。 英国政府发布了如何安全捐赠的指南，包括列出了联合国巴勒斯坦难民和工程局（UNRWA）和英国红十字会等合法慈善机构的名单。这些慈善组织的合法性可以通过访问政府的慈善注册处来验证。     Hackernews 编译，转载请注明出处 消息来源：bleepingcomputer，译者：Serene

原题：使用 ZoomEye 找到未启用身份验证的 Jupyter 服务器 作者：知道创宇404实验室   一．摘要 在使用Jupyter Notebook和JupyterLab 的过程中，有些用户缺乏安全意识，未启用身份验证功能，导致任何用户都可以直接访问自己的Jupyter服务器，并查看其服务器上的代码和文档。 我们使用ZoomEye 网络空间搜索引擎，通过特定搜索关键词，可以找到互联网上那些未启用身份验证的Jupyter服务器。这些服务器上泄露的代码和文档，若被不法分子利用，可能会造成数据泄露和资产损失。 我们建议全部Jupyter用户，在启动Jupyter服务的时候，遵循官方安全建议，设置成必须通过token或者password登录。 二．概述 ZoomEye [1] 是一款网络空间搜索引擎，通过全球部署的探测节点对全球互联网暴露资产不间断的深度探测，构建互联网安全基础态势测绘地图，为安全研究提供全面的资产基础数据。 Jupyter Notebook [2] 是以网页的形式打开，可以在网页页面中直接编写代码和运行代码，代码的运行结果也会直接在代码块下显示的程序。如在编程过程中需要编写说明文档，可在同一个页面中直接编写，便于作及时的说明和解释 [3]。 它是数据科学家们最熟悉且常用的工具之一。 JupyterLab [4] 是一个交互式的开发环境，是Jupyter Notebook的下一代产品，可以使用它编写Notebook、操作终端、编辑MarkDown文本、打开交互模式、查看csv文件及图片等功能。可以说，JupyterLab是开发者们下一阶段更主流的开发环境 [5]。 本文，我们介绍如何使用ZoomEye找到那些未启用身份验证的Jupyter服务器，并通过Web浏览器访问其中的代码和文档。 三．Jupyter产品的安装和启动 3.1 Jupyter Notebook 本章节，我们介绍如何安装、正常启动、未启用身份验证方式启动Jupyter Notebook，以及对应的Web浏览访问的效果。 Jupyter Notebook的安装方式，参考其官方网站 [6]。只需要在命令行下输入一句话命令即可，简单方便。 pip install notebook 正常启动Jupyter Notebook的方式，也是输入一句话命令，默认在本机localhost的8888端口开启一个Web服务，并且生成一个用户身份验证的token值。 jupyter notebook 启动Jupyter Notebook服务时，生成的token值此时，在Web浏览器中输入http://localhost:8888 访问Jupyter Notebook的时候，页面会提示输入password 或者 token。 ① 访问服务时，页面提示输入password或token我们在页面上输入命令行启动时获取的token值，便可通过身份验证，使用Jupyter Notebook的产品功能。 有些用户需要通过互联网访问自己的Jupyter Notebook服务，并且为了避免输入password 或者 token的麻烦，会通过如下命令，将Jupyter Notebook服务暴露在互联网IP上，并且未启用身份验证。 jupyter notebook --ip="*" --NotebookApp.token="" --NotebookApp.password="" 此时，任何用户在知晓Jupyter Notebook服务所在互联网IP的前提下，在Web浏览器中输入“http://...:8888”访问Jupyter Notebook服务，无需身份验证，便可以直接查看服务器上的代码和文件。注意，这种情况下，网页标题内容是：“Home Page – Select or create a notebook”。 ① 网页标题内容是：Home Page – Select or create a notebook 3.2 JupyterLab 本章节，我们介绍如何安装、正常启动、未启用身份验证方式启动JupyterLab，以及对应的Web浏览访问的效果。 JupyterLab的安装方式，参考其官方网站 [7]。只需要在命令行下输入一句话命令即可，简单方便。 pip install jupyterlab 正常启动JupyterLab的方式，也是输入一句话命令，默认在本机localhost的8888端口开启一个Web服务，并且生成一个用户身份验证的token值。 jupyter-lab ① 启动JupyterLab服务时，生成的token值此时，在Web浏览器中输入http://localhost:8888访问Jupyter Lab的时候，页面会提示输入password 或者 token。 ① 访问服务时，页面提示输入password或token我们在页面上输入命令行启动时获取的token值，便可通过身份验证，使用JupyterLab的产品功能。 网页标题内容是：JupyterLab有些用户需要通过互联网访问自己的JupyterLab服务，并且为了避免输入password 或者 token的麻烦，会通过如下命令，将JupyterLab服务暴露在互联网IP上，并且未启用身份验证。 jupyter-lab --ip="*" --NotebookApp.token="" --NotebookApp.password="" 此时，任何用户在知晓JupyterLab服务所在互联网IP的前提下，在Web浏览器中输入“http://*.*.*.*:8888”访问JupyterLab服务，无需身份验证，便可以直接查看服务器上的代码和文件。注意，这种情况的网页标题内容是：“JupyterLab”。 ① 网页标题内容是：JupyterLab 四．查找未启用身份验证的Jupyter服务器 如上一章节所述，未启用身份验证Jupyter Notebook服务的标题内容是“Home Page – Select or create a notebook”，未启用身份验证JupyterLab服务的标题内容是“JupyterLab”。 我们在ZoomEye上使用如下关键词进行搜索，查找到无需身份验证即可直接查看和使用的Jupyter Notebook服务器IP地址和端口，总计1180条结果。 title:"Home Page - Select or create a notebook" ① ZoomEye搜索关键词为：title:”Home Page – Select or create a notebook” ② 总计1180条结果我们在ZoomEye上使用如下关键词进行搜索，查找到无需身份验证即可直接查看和使用的JupyterLab服务器IP地址和端口，总计1597条结果。 title:"JupyterLab" ① ZoomEye搜索关键词为：title:”JupyterLab” ② 总计1597 条结果 五．Jupyter服务未启用身份验证的危害 用户在搭建Jupyter服务的时候，未启用身份验证，虽然方便了日常使用，无需输入密码；但同时也相当于将自己的代码和文档公开在互联网上，供其他用户任意访问查看，其中的登录用户名/口令、API key/secret等敏感信息若被不法分子利用，可能会造成数据泄露和资产损失。 示例一： 如下图所示，该Jupyter服务器中的代码泄露了：bitFlyer加密货币交易所的用户API的key和secret，Gmail邮箱的用户名和口令。 不法分子利用bitFlyer加密货币交易所API的key和secret，可以在交易所中创建交易、取消交易等操作，可能会造成资产损失；利用Gmail邮箱的用户名和口令，可以登录Gmail邮箱，可能会造成隐私数据泄露。 ① 泄露了bitFlyer加密货币交易所API的key和secret ② 泄露了Gmail邮箱的用户名和口令示例二： 如下图所示，该Jupyter服务器中的代码泄露了：亚马逊AWS账号的ACCESS KEY ID和SECRET ACCESS KEY。 不法分子利用亚马逊AWS账号的ACCESS KEY ID和SECRET ACCESS KEY，可以获取亚马逊AWS的该账号权限，上传文件至亚马逊S3云存储空间，甚至在亚马逊AWS上创建新的云服务器。 ① 泄露了亚马逊AWS账号的ACCESS KEY ID ② 泄露了亚马逊AWS账号的SECRET ACCESS KEY 六．结语 在使用Jupyter的时候，尽量不要将其Web服务公开在互联网上，而是开放在局域网中使用，避免被无关人员访问到。 若却有使用需求将Jupyter的Web服务公开在互联网上，则必须设置通过token或者Password登录，而不是为了贪图方便而禁用身份验证。具体操作可以参见Jupyter官方的这篇安全建议博客：Please don’t disable authentication in Jupyter servers [8]。 七．参考链接 [1] ZoomEye 网络空间搜索引擎 https://www.zoomeye.org [2] Jupyter Notebook https://jupyter.org [3] Jupyter Notebook介绍、安装及使用教程 https://zhuanlan.zhihu.com/p/33105153 [4] JupyterLab https://jupyter.org [5] JupyterLab简介及常用操作 https://support.huaweicloud.com/engineers-modelarts/modelarts_23_0209.html [6] Jupyter Notebook的安装方式 https://jupyter.org/install [7] JupyterLab的安装方式 https://jupyter.org/install [8] Please don’t disable authentication in Jupyter servers https://blog.jupyter.org/please-dont-disable-authentication-in-jupyter-servers-dd197206e7f6