HackerNews 编译，转载请注明出处： 周一，黑客从去中心化金融协议 Balancer 中窃取了价值数百万美元的加密货币。 各方估算数据存在差异，但多数区块链安全公司认为损失已超 1.2 亿美元，其中至少有部分被盗资金为以太坊（ETH）。 作为去中心化金融（DeFi）领域的核心平台，Balancer 最初表示已知晓此次攻击并正展开调查。加密货币安全专家指出，此次事件源于访问控制机制存在漏洞，攻击者利用该漏洞实施了盗窃。 截至周一下午，该公司发布了一份更长的声明，说明攻击始于当天清晨。 “所有可暂停的资金池均已暂停，目前处于恢复模式，” 该公司表示，并提及自身与其他多家加密货币平台存在关联，但无法单方面暂停这些平台的运营。 “Balancer 始终致力于运营安全，不仅经过顶尖公司的全面审计，还长期设立漏洞赏金计划，以激励独立审计人员参与安全检测。我们正与安全及法律团队紧密合作，确保用户资产安全，并将迅速、彻底地开展调查工作。” 目前，该公司仍在联合专家调查事件详情，并计划在适当时候发布事后分析报告。 Balancer 同时警示用户，当前有冒充公司安全团队的欺诈信息在传播，切勿与之互动。 多家与 Balancer 相关的区块链机构已宣布采取措施应对此次事件。Berachain 基金会表示已暂停其网络，团队正采取紧急措施保护用户资产，且成功追回了部分从其平台被盗的资金。其他加密货币平台也采取了类似防护措施。 Balancer 过去曾发生过安全事件，但已接受约 10 次区块链安全公司的审计。 上周，黑客还从另一个去中心化金融平台 Garden Finance 窃取了约 1080 万美元。 其中大部分资金的窃取者据称与朝鲜政府有关联 —— 朝鲜已将加密货币盗窃作为其弹道导弹项目的重要资金来源。 美国、法国、德国、日本等国政府上周发布的一份报告显示，2025 年 1 月至 9 月期间，朝鲜应对至少 16.5 亿美元加密货币被盗事件负责。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新披露信息显示，自去年年初至今，英国饮用水供应商已遭遇五轮网络攻击，这些攻击全部直接针对供水机构本身，创下了同期记录。这一情况直接印证了英国情报部门的警告 —— 恶意网络行为体对该国关键基础设施的威胁正持续升级。 现行规则漏洞明显 英国饮用水监察局（DWI）公布的数据显示，2024 年 1 月 1 日至 2025 年 10 月 20 日期间，共收到供应商提交的 15 份事件报告，其中 5 起涉及网络安全事件，且影响的是 “《网络与信息系统安全规则》指令管辖范围外系统”，其余 10 起未非网络类运营问题。 问题根源在于现行《网络与信息系统安全规则》的 “高门槛”：仅当网络攻击实际导致供水等基本服务中断时，供应商才必须依法上报。这意味着像 “伏特台风” 这类只潜伏渗透、不直接断供的攻击，企业即便遭遇也无需披露，潜在风险可能被长期掩盖。 改革方案待推进 面对监管滞后，英国政府计划通过拖延已久的《网络安全与韧性法案》解决问题，核心是降低事件上报门槛，让更多潜在风险纳入监管视野。 该法案预计今年提交议会，政府发言人表示：“当前网络威胁复杂且持续，代价高昂，法案将强化防御体系，守住公众依赖的基础服务，保障日常生活正常运行。” 网络安全公司 Sophos 的威胁研究副总裁唐・史密斯表示：“关键基础设施运营商每天都要面对黑客攻击，在现有合规体制下，安全事件仍难避免。这些超范围报告的分享非常有助于我们理解攻击特征。” 全球水务安全亮红灯 当前，针对水务公司IT办公系统的勒索攻击时有发生。 2023年12月，爱尔兰西海岸就曾因一个亲伊朗黑客组织无差别攻击使用以色列产设备的设施，导致当地居民断水数日。 美国、加拿大的水务安全问题也值得警惕：美国拜登政府时期曾想推进水务系统安全升级，但因水务行业团体联合共和党议员反对而搁置；加拿大则在上周通报，黑客在多起工业控制系统攻击中，篡改了某地方水务机构的供水压力参数，直接威胁供水稳定。 针对水务系统防护，英国国家网络安全中心（NCSC）给出具体建议：关键基础设施运营商要严格隔离 “业务 IT 系统”和 “运营 OT 系统”，避免黑客攻破 IT 系统后直接影响供水操作。今年 8 月，该机构还发布新版《网络评估框架》，帮企业提升抗风险能力。 唐・史密斯进一步提醒：“对基础设施来说，相比定向攻击，常规攻击仍是关键基础设施面临的主要威胁。我们更应该关注基础防护，而非过度投资于监测冷门系统。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 与朝鲜有关联的威胁行为体 “金 Suky”（Kimsuky），已分发一款此前未被记录的后门程序，其代号为 “HttpTroy”。此次攻击很可能是针对性钓鱼攻击，目标为韩国的一名单独受害者。 披露该活动细节的 Gen Digital 公司，未透露事件发生的具体时间，但指出钓鱼邮件中包含一个 ZIP 压缩文件（文件名：“250908_A_HK이노션_SecuwaySSL VPN Manager U100S 100user_견적서.zip”）。该文件伪装成 VPN 账单，用于分发恶意软件，此恶意软件可实现文件传输、截屏以及执行任意命令的功能。 安全研究员亚历山德鲁 – 克里斯蒂安・巴尔达什（Alexandru-Cristian Bardaș）表示：“该攻击链包含三个步骤：一个小型投放程序、一个名为 MemLoad 的加载程序，以及最终的后门程序‘HttpTroy’。” ZIP 压缩包内包含一个与压缩包同名的 SCR 文件（屏幕保护程序文件）。打开该文件会触发执行链，首先运行的是一个 Go 语言（Golang）二进制文件，该文件包含三个嵌入文件，其中包括一个伪装 PDF 文档。此文档会向受害者展示，以避免引起任何怀疑。 与此同时，后台会同步启动 MemLoad 程序。该程序负责在受感染主机上建立持久化机制，具体方式是创建一个名为 “AhnlabUpdate” 的计划任务。这一命名是为了伪装成韩国网络安全公司安博士（AhnLab）的程序，进而解密并执行 DLL 格式的后门程序 “HttpTroy”。 该植入程序能让攻击者完全控制受感染系统，支持的操作包括文件上传 / 下载、截屏、以高权限执行命令、在内存中加载可执行文件、建立反向 shell、终止进程以及清除痕迹。它通过 HTTP POST 请求与命令控制（C2）服务器（域名：“load.auraria [.] org”）进行通信。 巴尔达什解释道：“HttpTroy 采用多层混淆技术，以阻碍对其的分析和检测。API 调用通过自定义哈希技术隐藏，字符串则通过异或（XOR）运算与单指令多数据（SIMD）指令相结合的方式进行混淆。值得注意的是，该后门程序不会重复使用 API 哈希值和字符串，而是在运行时通过各种算术运算和逻辑运算的组合动态重构它们，这进一步增加了静态分析的难度。” 除上述发现外，这家网络安全厂商还详细介绍了 “拉撒路集团”（Lazarus Group）的一起攻击事件。该攻击导致 “Comebacker” 恶意程序以及其 “BLINDINGCAN” 远程访问木马（又称 AIRDRY 或 ZetaNile）的升级版被部署。厂商补充称，此次攻击针对加拿大的两名受害者，且在 “攻击链中段” 被检测到。 目前尚不清楚该攻击所使用的具体初始访问途径，但基于未发现可被利用以获取立足点的已知安全漏洞，研究人员判断初始途径应为钓鱼邮件。 攻击中使用了 “Comebacker” 的两个不同变体，一个是 DLL 格式，另一个是 EXE 格式。前者通过 Windows 服务启动，后者通过 “cmd.exe” 命令行启动。无论采用何种执行方式，该恶意软件的最终目标一致：解密嵌入的有效载荷（即 BLINDINGCAN），并将其作为服务部署。 BLINDINGCAN 的设计目的是与远程 C2 服务器（域名：“tronracing [.] com”）建立连接，并等待进一步指令。这些指令支持的操作包括： 上传 / 下载文件 删除文件 修改文件属性以伪装成其他文件 递归枚举指定路径下的所有文件和子目录 收集整个文件系统中的文件相关数据 收集系统元数据 列出正在运行的进程 通过 CreateProcessW 函数运行命令行 在内存中直接执行二进制文件 通过 “cmd.exe” 执行命令 传入进程 ID 以终止特定进程 截屏 通过可用的视频捕获设备拍照 更新配置 更改当前工作目录 自行删除并清除所有恶意活动痕迹 Gen Digital 公司表示：“金 Suky（Kimsuky）和拉撒路集团（Lazarus）持续改进其工具，这表明与朝鲜（DPRK）有关联的行为体不仅在维护其攻击武器库，还在对其进行革新。这些攻击活动展现出结构完善的多阶段感染链，并利用了经过混淆处理的有效载荷和隐蔽的持久化机制。” “从攻击初始阶段到最终部署的后门程序，每个组件的设计目的都是规避检测、维持访问权限，并实现对受感染系统的全面控制。自定义加密、动态 API 解析以及基于组件对象模型（COM）的任务注册 / 服务利用等技术的应用，凸显出这些组织在技术上的持续演进和成熟。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 疑似某国家级威胁行为体被指与新型恶意软件 Airstalk 的传播有关，此次攻击疑似为供应链攻击。 Palo Alto Networks旗下安全研究团队 Unit 42 表示，正以 “CL-STA-1009” 为代号追踪该攻击集群，其中 “CL” 代表集群（cluster），“STA” 指国家支持背景（state-backed motivation）。 安全研究员克里斯托弗・鲁索与切马・加西亚在分析报告中指出：“Airstalk 恶意软件滥用了移动设备管理领域的 AirWatch API—— 该平台现更名为 Workspace ONE 统一终端管理系统。它通过该 API 建立秘密的命令与控制（C2）通道，主要借助 AirWatch 的自定义设备属性管理和文件上传功能实现这一操作。” 该恶意软件存在 PowerShell 和.NET 两个版本，采用多线程命令与控制（C2）通信协议，能够捕获屏幕截图，并窃取网页浏览器的 Cookie、浏览历史、书签等数据。据信，攻击者利用了一张被盗证书对部分恶意程序组件进行签名。 Unit 42 指出，Airstalk 的.NET 版本比 PowerShell 版本具备更丰富的功能，推测其可能是该恶意软件的高级版本。 其中，PowerShell 版本通过 “/api/mdm/devices/” 端点进行 C2 通信。该端点的设计初衷是获取特定设备的内容详情，但恶意软件利用 API 中的自定义属性功能，将其用作 “死信箱解析器”（dead drop resolver），存储与攻击者交互所需的关键信息。 一旦启动，该后门程序会先发送 “CONNECT”（连接）消息初始化通信，等待服务器返回 “CONNECTED”（已连接）响应后，便会接收各类以 “ACTIONS”（操作）类型消息发送的任务，并在受感染主机上执行。执行结果将通过 “RESULT”（结果）消息反馈给攻击者。 该后门支持七种不同的操作指令，包括：捕获屏幕截图、获取谷歌浏览器（Google Chrome）的 Cookie、列出所有用户的 Chrome 配置文件、提取指定配置文件的浏览器书签、收集指定 Chrome 配置文件的浏览历史、枚举用户目录下的所有文件，以及从主机中自行卸载。 Unit 42 表示：“Airstalk 执行部分任务后，需要回传大量数据或文件。为此，恶意软件利用 AirWatch MDM API 的二进制大对象（blobs）功能，将相关内容以新的二进制大对象形式上传。” Airstalk 的.NET 版本进一步扩展了功能范围，除谷歌浏览器外，还针对微软 Edge 浏览器和企业级专用浏览器 Island 发起攻击，同时试图伪装成 AirWatch 辅助工具（“AirwatchHelper.exe”）。此外，该版本新增了三种消息类型： MISMATCH（版本不匹配）：用于标记版本兼容错误 DEBUG（调试）：用于发送调试信息 PING（心跳）：用于向 C2 服务器发送存活信号 该版本还采用三个独立的执行线程，分别承担不同职责：管理 C2 任务、泄露调试日志、向 C2 服务器发送心跳信号。同时，它支持更广泛的命令集（其中一项命令暂未实现）： Screenshot（截图）：捕获屏幕截图 UpdateChrome（提取 Chrome 数据）：窃取指定的 Chrome 配置文件 FileMap（文件映射）：列出指定目录下的所有内容 RunUtility（运行工具）：暂未实现 EnterpriseChromeProfiles（企业 Chrome 配置文件）：获取可用的 Chrome 配置文件 UploadFile（上传文件）：窃取指定的 Chrome 组件和凭据信息 OpenURL（打开链接）：在 Chrome 浏览器中打开指定 URL Uninstall（卸载）：终止自身执行 EnterpriseChromeBookmarks（企业 Chrome 书签）：提取指定用户配置文件的 Chrome 书签 EnterpriseIslandProfiles（企业 Island 配置文件）：获取可用的 Island 浏览器配置文件 UpdateIsland（提取 Island 数据）：窃取指定的 Island 浏览器配置文件 ExfilAlreadyOpenChrome（泄露已打开 Chrome 数据）：导出当前 Chrome 配置文件的所有 Cookie 值得注意的是，PowerShell 版本通过计划任务实现持久化驻留，而.NET 版本暂未配备此类机制。Unit 42 透露，部分.NET 版本样本使用了一张 “疑似被盗” 的数字证书进行签名，该证书由合法的证书颁发机构 —— 奥腾工业自动化（廊坊）有限公司（Aoteng Industrial Automation (Langfang) Co., Ltd.）签发。早期版本的编译时间戳显示为 2024 年 6 月 28 日。 目前，该恶意软件的传播途径及攻击目标尚不明确。但结合其利用 MDM 相关 API 构建 C2 通道、针对 Island 等企业级浏览器的特性，研究人员推测此次攻击可能是针对业务流程外包（BPO）行业的供应链攻击。 Unit 42 分析称：“专注于业务流程外包（BPO）的机构已成为犯罪集团和国家级攻击者的重点目标。攻击者愿意投入大量资源，不仅要攻陷这些机构，还要实现长期控制。” “该恶意软件采用的规避检测技术使其能在大多数环境中隐藏行踪，尤其在第三方供应商环境中运行时更难被发现。这对使用 BPO 服务的企业而言极具破坏性 —— 被盗取的浏览器会话 Cookie 可能导致攻击者获取其大量客户的访问权限。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国面部识别公司 Clearview AI 被指控无视欧盟多国数据保护机构（DPA）的处置决定，目前已有针对该公司的新刑事诉讼被提起。 10 月 28 日，欧洲数字权利中心在奥地利对 Clearview AI 及其管理层提起刑事诉讼。 Clearview AI 为情报机构及调查部门提供面部识别服务，该公司称其拥有一个包含超 600 亿张面部图像的数据库，图像均来自 “仅公开的网络来源”，包括新闻媒体、面部照片公示网站、公共社交媒体及其他开放平台。 该公司此前主张，由于其在欧洲无业务实体、也未在欧盟境内提供服务，因此无需遵守《通用数据保护条例》（GDPR）。但荷兰数据保护机构反驳称，鉴于该公司数据库包含欧盟公民数据，其必须遵守欧盟法律。 在此次针对 Clearview AI 的最新行动中，非营利组织 noyb 指出，欧盟法律对 GDPR 违规行为的约束，并非仅局限于行政罚款。GDPR 第 84 条明确规定，欧盟成员国可针对 GDPR 违规行为设定刑事处罚。 与 GDPR 行政违规不同，刑事违规案件不仅可对公司管理层采取行动，还能启动全方位刑事诉讼程序，包括欧盟范围内的联合执法行动。 该组织在声明中表示：“正因如此，noyb 现已向奥地利检察官提起刑事诉讼。若诉讼成功，Clearview AI 及其高管可能面临监禁，且需承担个人责任 —— 尤其是在他们前往欧洲时。” 此前，欧盟多国数据保护机构已对 Clearview AI 处以一系列罚款，涉及英国、荷兰、意大利、法国等国；而针对该公司的初始投诉最早可追溯至 2021 年。 这些处置行动均指出，Clearview AI 处理数百万欧盟公民的数据，已明显违反 GDPR 规定。 noyb 荣誉主席马克斯・施雷姆斯（Max Schrems）表示：“Clearview AI 似乎完全无视欧盟基本权利，公然藐视欧盟机构。” noyb 指出，法国、希腊、意大利、荷兰等国机构已对 Clearview AI 处以总计约 1 亿欧元的罚款，并发布多项禁令，但这家美国公司并未对这些处罚提出异议。 目前仅有英国案件中，该公司对英国信息专员办公室（ICO）做出的处罚决定及罚款提起了上诉，相关最终法院判决尚未公布。   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯警方表示，已逮捕三名涉嫌开发并销售 Meduza 窃取器（Meduza Stealer）恶意软件的黑客。此次行动是俄罗斯对本土网络犯罪罕见的打击举措。 俄罗斯内务部发言人伊琳娜・沃尔克于周四发表声明称，嫌疑人在莫斯科及周边地区落网。 她补充道，这三名 “年轻 IT 专家” 涉嫌开发、使用并销售一款恶意软件，该软件专门用于窃取登录凭证、加密货币钱包数据及其他敏感信息。 警方透露，在对嫌疑人住所的突袭行动中，查获了计算机设备、手机和银行卡。内务部发布的视频显示，执法人员破门而入，突袭多间公寓。当警方询问一名嫌疑人 “为何被拘留” 时，对方用俄语回应：“我不太清楚。” 官方指出，嫌疑人约两年前开始通过黑客论坛传播 Meduza 窃取器。今年早些时候，该团伙据称利用这款恶意软件，窃取了俄罗斯阿斯特拉罕州某机构的数据。 当局表示，该团伙还开发了另一种恶意软件，其功能包括禁用杀毒软件保护、构建用于大规模网络攻击的僵尸网络，但暂未披露这款恶意程序的具体名称。若罪名成立，三名嫌疑人将面临最高四年的监禁。 Meduza 窃取器于 2023 年首次出现，最初在俄语黑客论坛和 Telegram 频道以 “付费服务” 模式销售。此后，该恶意软件被用于多起网络攻击，目标涵盖个人数据与金融数据。 乌克兰官方此前曾表示，这款恶意软件与针对乌国内军方及政府机构的攻击有关。去年 10 月的一起攻击事件中，攻击者利用伪造的 Telegram “技术支持” 机器人，向乌克兰政府动员应用的用户分发该恶意软件。 研究人员还在波兰及俄罗斯本土发现了 Meduza 窃取器的感染案例 —— 例如 2023 年的一起攻击中，攻击者伪造某工业自动化公司的钓鱼邮件，传播该恶意软件。 长期以来，俄罗斯执法机构极少追查境内运营的网络犯罪分子，但研究人员表示，这一情况已开始改变。 根据 Recorded Future 旗下 Insikt 集团近期发布的报告，莫斯科对黑客生态系统的立场已从 “被动容忍转向主动管控”。这一策略包括选择性逮捕与公开打击，目的是在巩固国家权威的同时，保留有用的技术人才。 此类举措标志着俄罗斯的显著转变 —— 该国曾长期被视为 “以牟利为目的黑客的避风港”。研究人员指出，如今许多网络犯罪者正通过 “分散化运营”，规避西方与俄罗斯本土的双重监控。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国最大动漫及漫画出版商 Viz Media 一名高管据称遭黑客攻击。此次攻击导致数百 GB 企业数据被下载，其中包括员工凭证。 攻击者在某地下数据泄露论坛发布了攻击声明，该论坛常被 “初始访问中介” 使用。这类网络犯罪分子专门交易企业系统的访问权限。他们声称已入侵该公司副总裁账户，并窃取超 250GB 敏感数据。 Viz Media 是美国最大的图画小说出版商，隶属于日本制作公司 “小学馆 – 集英社制作”（Shogakukan-Shueisha Productions）。其旗下热门作品包括《火影忍者》《鬼灭之刃》《死亡笔记》《美少女战士》等。 与此同时，Cybernews 研究团队对攻击者的帖子展开调查，发现他们很可能仅入侵了单个用户的账户。由于目标是公司高层人员，这一账户为他们提供了访问公司系统的广泛权限。 研究人员表示：“该高管可能遭遇了社会工程学攻击，进而导致公司内部系统被未授权访问。” 团队指出，遭入侵的员工显然有权访问大量公司特权数据及资源。因此 Viz Media 需迅速采取行动，梳理攻击者窃取的数据范围。 研究团队补充道：“仅就数据窃取这一行为而言，攻击者就可能借此入侵公司更多系统，甚至向公司合作伙伴发送具有迷惑性的钓鱼邮件。” 从攻击者提供的数据样本来看，他们已获取 Viz Media 多个敏感公司系统的访问权限，包括企业谷歌云盘（Google Drive）、Gmail 账户、公司内部控制面板、遭入侵员工的身份凭证，以及 Mediabox 版税管理控制面板的访问权限。 攻击者声称，他们窃取了极高敏感度的企业信息，具体包括： 所有电子邮件 保密协议（NDA） 授权协议 员工凭证 商业计划 员工社会保险号码 毋庸置疑，恶意攻击者一旦获取这类数据，可能对企业造成严重的财务损失与声誉损害。 不过，发帖者目前仅公布了数据样本，正试图出售剩余数据及访问权限，要价为未公开的五位数金额。 若此次攻击属实，将成为 “权限管理重要性” 的典型案例，也印证了为何攻击者常将目标锁定在拥有广泛系统访问权限的企业高管身上 —— 入侵一人，便可打开多个敏感系统的 “大门”。 总部位于旧金山的 Viz Media 自称是美国最受欢迎的漫画平台，也是业内知名动漫品牌的主要分销商。公开记录显示，该公司年收入介于 4000 万至 1 亿美元之间，员工人数超 300 人。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大网络安全中心（The Canadian Center for Cyber Security）警告，关键基础设施相关企业及机构已成为黑客组织的攻击目标，需采取额外安全措施。 近几周，加拿大网络安全中心与加拿大皇家骑警（Royal Canadian Mounted Police）收到多起安全事件报告，涉及可通过互联网访问的工业控制系统（ICS）。 其中一起事件发生在某供水设施。攻击者成功侵入该设施的 IT 网络，篡改供水压力数值，导致当地社区供水服务中断。 另有一家加拿大油气企业受影响，其自动油罐计量仪（ATG）遭篡改，触发虚假警报。此外，加拿大某农场的谷物烘干仓曾遭遇黑客攻击，对方试图篡改温度与湿度数据，此举可能导致安全隐患。 加拿大网络安全中心在新闻稿中表示：“尽管部分机构可能并非攻击者的直接目标，但仍可能成为‘机会性受害者’。目前黑客组织正越来越多地利用可联网的工业控制系统设备，以获取媒体关注、破坏机构声誉，并损害加拿大的国家形象。” 为抵御攻击者，关键基础设施领域的企业及机构需采取额外安全防护措施。 根据加拿大网络安全机构的建议，相关主体应采取以下行动： 对所有可联网的工业控制系统设备进行全面盘点，并评估其联网必要性； 尽可能采用替代方案避免设备直接暴露在互联网中，例如使用带有双重认证（2FA）的虚拟专用网络（VPN）； 若上述方案不可行，应考虑采用强化监控服务，包括定期渗透测试与漏洞管理； 定期对员工开展培训，提升其在网络安全事件中的应对能力； 市政部门及相关机构应与服务提供商紧密合作，确保托管服务的安全部署，并遵循供应商建议与指导方针，保障设备及服务安全。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦多部门正联合支持一项提案，计划禁止TP-Link 家用路由器在美销售，理由是该厂商被指仍与前中国母公司存在紧密关联。 据《华盛顿邮报》报道，美国商务部已正式提出这一禁售建议。消息人士透露，该提案获得了美国国防部、国土安全部及司法部的支持。 指控理由 TP-Link Systems总部位于美国加利福尼亚，最初是从中国本土企业普联技术（TP-Link Technologies）分拆而来。 数据显示，该公司产品占据美国家用路由器市场份额的36%。且由于一些互联网服务提供商会捆绑TP-Link设备，实际份额可能更高。 美国商务部指控的理由有两个： 第一，该公司仍持有原中国母公司在华资产。 第二，路由器设备涉及美国敏感数据处理，或存安全隐患。 此外，据此，商务部怀疑该公司仍受中国政府的管辖或影响。 对此，TP-Link 美国公司明确否认所有指控，并表示过去三年已与中国母公司完成彻底拆分。 公司发言人里卡・西尔维里奥在声明中强调：“TP-Link 坚决驳斥任何有关其产品对美国国家安全构成威胁的说法，我们作为一家美国企业，始终致力于为美国及全球市场提供高品质、安全可靠的产品。” 未来走向 目前，该提案仍需美国商务部最终签署生效，且不排除被否决的可能。 近期，中美两国领导人会晤后，双方达成了为期一年的贸易休战协议。 或许正因如此，《华盛顿邮报》指出，提案中预留了协商空间：TP-Link 美国公司可通过提交一份令政府满意的解决方案，来避免禁令生效。美方的核心诉求是获得明确保证：产品的关键软硬件研发过程，不得受到中国方面的任何影响。 这一情节与 TikTok 的命运轨迹颇为相似。TikTok 的母公司字节跳动总部位于中国，此前特朗普政府在获得国家安全相关承诺后，允许该应用继续在美国运营，中国方面也已批准相关协议；此外，TikTok 还需将其核心算法复制后，利用美国用户数据重新训练。 根据美国相关法律，若商务部长认定某款受外国影响的技术存在安全风险，商务部有权提出风险缓解方案。但在 TP-Link 一案中，官员们认为，除全面禁售外，任何缓解措施都无法达到安全要求。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 知名政府技术服务商Conduent本周向多个州政府通报，今年1月发生的网络安全事件导致超过1000万人的个人信息面临泄露风险。 根据数据泄露通知文件，Conduent调查发现黑客在2024年10月21日至2025年1月13日期间持续访问公司网络，窃取了与该公司在美国多州业务相关的大量文件。该公司表示：”发现事件后，我们安全恢复了系统运营，并已通知执法部门。” Conduent与州政府签有数十份合同，为医疗补助、儿童抚养、食品援助、道路收费等项目提供技术支持。该公司每年处理约850亿美元的政府支付款项，完成23亿次客户服务交互。公司声明其”为美国政府各类健康项目中的约1亿居民提供支持，协助州和联邦机构在降低成本的同时提供关键服务”。 目前已确认的具体影响包括： 得克萨斯州：超40万人，涉及社保号码、医疗信息和健康保险数据 华盛顿州：约7.6万人 南卡罗来纳州：约4.8万人 新罕布什尔州：超1万人 缅因州：378人 公司还在俄勒冈州、马萨诸塞州、加利福尼亚州和新罕布什尔州提交了违规通知。 事件时间线与应对措施 2025年1月：公司向Recorded Future News承认因”第三方系统遭入侵”导致业务中断 2025年2月：SafePay勒索软件团伙声称窃取8.5TB数据 2025年4月：公司在SEC备案中确认黑客”窃取了与少量客户相关的文件集” Conduent已设立呼叫中心处理相关咨询，并将向信息泄露者发送通知信件。公司指出其网络安全保险将覆盖部分事件响应成本，并透露联邦执法机构已介入调查。 运营影响与财务成本 此次事件导致多日运营中断，威斯康星州儿童和家庭部曾向居民通报Conduent系统中断影响邮件支付处理。家长和受益人也向当地媒体抱怨支付困难，威斯康星州当时确认至少还有其他三个州同样面临影响电子转账或EBT卡支付的系统中断。 根据最新财报，Conduent上财季收入为7.54亿美元，为应对今年1月的网络安全事件已支出约200万美元用于”调查、修复和响应”。公司强调，据其所知”被窃数据尚未在暗网或公开渠道泄露”。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文