之前我们报道过英特尔酷睿Alder Lake BIOS的源代码已在被完整地泄露了，未压缩版本的容量有5.9GB，它似乎可能是在主板供应商工作的人泄露的，也可能是一个PC品牌的制造伙伴意外泄露的。 一些Twitter用户似乎认为该代码源自4chan。昨天，它进被分享到了GitHub，在今天早些时候被撤下之前，有人查看了它的源代码日志，发现最初的提交日期是9月30日，作者被标记为LC Future Center的一名员工，这是一家可能生产笔记本电脑的公司，该代码现在依然可以从几个镜像中获得，并在互联网上被分享和讨论。 分析所有5.9GB的代码可能需要好几天时间，但有人已经发现了一些有趣的部分。显然，有多处提到了”功能标签测试”，进一步将泄漏与OEM厂商联系起来。其他部分据称提到了AMD的CPU，这表明代码在离开英特尔后被修改了。最令人震惊的是，一名研究人员发现了对未记录的MSR的明确引用，这可能构成重大的安全风险。 MSR（特定型号寄存器）是只有BIOS或操作系统等特权代码才能访问的特殊寄存器。供应商使用它们来切换CPU内的选项，如启用调试或性能监控的特殊模式，或某些类型的指令等功能。 一款CPU可能有数百个MSR，而英特尔和AMD只公布了其中一半到三分之二的文档。未记录的MSR通常与CPU制造商希望保密的选项有关。例如，研究人员发现AMD K8 CPU内的一个未记录的MSR是为了启用特权调试模式。MSR在安全方面也发挥着重要作用。英特尔和AMD都使用MSR选项来修补其CPU中在硬件缓解之前的Spectre漏洞。 安全研究人员已经表明，通过操纵未记录的MSR，有可能在现代CPU中创建新的攻击载体。这可能发生的情况非常复杂，不一定是现在正在发生的事情，但它仍然是一种可能性。应由英特尔来澄清情况和对其客户造成的风险。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1324985.htm 封面来源于网络，如有侵权请联系删除

Meta公司警告100万Facebook用户，他们的账户信息可能已经被来自苹果或Google商店的第三方应用程序泄露了。在一份新的报告中，该公司的安全研究人员说，在过去的一年里，他们已经发现了400多个旨在劫持用户的Facebook账户凭证的诈骗应用程序。 据该公司称，这些应用程序被伪装成”有趣或有用”的服务，如照片编辑器、相机应用程序、VPN服务、星座应用程序和健身追踪工具。这些应用程序通常要求用户在访问所承诺的功能之前”登录Facebook”。但这些登录功能只是窃取Facebook用户账户信息的一种手段。而Meta的威胁破坏总监大卫-阿格拉诺维奇指出，Meta发现的许多应用程序几乎没有功能。 阿格拉诺维奇在介绍情况时说：”许多应用程序在你登录之前几乎没有提供任何功能，大多数甚至在一个人同意登录之后也没有提供任何功能。” 值得注意的是，Meta在Google的Play Store和苹果的App Store都发现了恶意应用程序，不过绝大多数是Android应用程序。有趣的是，虽然恶意的Android应用大多是消费者应用，如照片滤镜，但47个iOS应用几乎都是Meta所说的”商业实用”应用。这些服务的名称包括”Very Business Manager”、”Meta Business”、”FB Analytic”和”Ads Business Knowledge”，似乎是专门针对使用Facebook商业工具的人。 x Agranovich说，Meta公司与苹果和Google分享了它的发现，但最终还是要由商店来确保这些应用程序被删除。与此同时，Facebook正在向100万可能使用过这些应用程序的人发出警告。这些通知告知用户，他们的账户信息可能已被一个应用程序泄露–它没有指明是哪一个–并建议重新设置他们的密码。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1324651.htm 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，Meta 近期捣毁一个由 Facebook 和 Instagram 账户组成的庞大俄罗斯网络，该网络用于在欧洲各地 60 多个冒充新闻机构的网站上发布虚假信息。据悉，散布虚假信息的行动开始于 2022 年 5 月，主要针对德国、法国、意大利、乌克兰和英国等国。 Meta 指出，这是自乌克兰战争开始以来，公司捣毁的最大和最复杂的俄罗斯行动。这些账户在传播与乌克兰战争及其对欧洲影响有关的虚假内容，部分文章还批评乌克兰和乌克兰难民，并认为西方对俄罗斯的制裁会适得其反。 以下是用于冒充合法新闻机构的域名列表。 Avisindependent[.]eu 6/3/2022 France bild[.]pics 6/6/2022 Germany rrn[.]world 6/6/2022 Multiple dailymail[.]top 6/10/2022 UK repubblica[.]life 6/13/2022 Italy delfi[.]life 6/15/2022 Latvia dailymail[.]cam 6/23/2022 UK dailymail[.]cfd 6/23/2022 UK 20minuts[.]com 6/28/2022 France ansa[.]ltd 6/28/2022 Italy spiegel[.]ltd 6/29/2022 Germany theguardian[.]co[.]com 7/7/2022 UK 此外，此次行动背后的攻击者在许多互联网服务中推广文章以及原创备忘录和 YouTube 视频，包括 Facebook、Instagram、Telegram、Twitter、请愿网站 Change.org 和 Avaaz，甚至是 LiveJournal 也没有逃过。 以下是 Meta 分享的与这次活动有关的一些数字： 在 Facebook 和 Instagram 上的存在 1633 个账户，703 个页面，1 个小组和 29 个 Instagram 账户。 关注者：大约 4000 个账户关注了一个或多个网页，不到 10 个账户加入了这个小组，大约 1500 个账户关注了一个或多个 Instagram 账户。 广告支出：在 Facebook 和 Instagram上的广告支出约为10.5万美元，主要以美元和欧元支付。   转自 Freebuf，原文链接：https://www.freebuf.com/news/345904.html 封面来源于网络，如有侵权请联系删除

近日，安全研究人员发现一个名为EvilProxy的反向代理网络钓鱼即服务 (PaaS) 平台在暗网开始活跃。在其宣传资料中，EvilProxy声称可窃取身份验证令牌以绕过 Apple、Google、Facebook、Microsoft、Twitter、GitHub、GoDaddy 和甚至 PyPI。如果它没有吹牛的话，那么全球科技巨头几乎都被一网打尽。 而该服务最令安全专家感到担忧之处是，它可以让一个没有多少技术水平的小白黑客也可以轻松设置反向代理，从而窃取那些有着安全措施的账户信息。换句话说，一旦EvilProxy宣传的功能成为现实，那么人人皆可成为黑客，企业安全将面临巨大的网络钓鱼攻击威胁。 反向代理服务窃取账户信息 资料显示，反向代理服务器位于用户与目标服务器之间，但是对于用户而言，反向代理服务器就相当于目标服务器，即用户直接访问反向代理服务器就可以获得目标服务器的资源。同时，用户不需要知道目标服务器的地址，也无须在用户端作任何设定。 而当用户连接到网络钓鱼页面时，反向代理会显示合法的登录表单、转发请求并从公司网站返回响应，这意味着用户所拥有的防护措施将会完全失效。由于反向代理服务期存在，用户登录账户的整个过程相当于是一个正常流程：用户会将登录的账号密码、MFA全部输入到网络钓鱼页面，同时被转发到用户登录的实际平台服务器，并返回一个会话 cookie，这和正常登录没有任何区别。 但是在这个过程中，攻击者可以轻松窃取包含身份验证令牌的会话 cookie，使用此身份验证 cookie 以用户身份登录站点，绕过配置的多因素身份验证保护，从而实现窃取用户账号的隐私信息。 反向代理工作示意图 近段时间以来，极具威胁的APT组织一直在使用反向代理来绕过目标账户的MFA保护，其中既会使用一些自有工具，也会使用一些更易于部署的工具包，如 Modlishka、Necrobrowser 和 Evilginx2。 这些网络钓鱼框架和 EvilProxy之间的区别在于后者更易于部署，提供详细的教学视频、教程、图形界面，以及用于互联网攻击服务的大量克隆的网络钓鱼页面。而这才是EvilProxy最可怕的地方，它的出现拉低了网络钓鱼攻击的技术门槛，让发起攻击和信息窃取成为一件更普通的事情。 平台使用说明 EvilProxy究竟是如何实现的 网络安全公司 Resecurity 报告称 ，EvilProxy 提供了一个易于使用的 GUI，攻击者可以在其中设置和管理网络钓鱼活动，以及支持它们的所有细节。 选择网络钓鱼服务上的活动选项 EvilProxy服务承诺窃取用户名、密码和会话cookie，费用为150美元（10天）、250美元（20 天）或400美元（30天）。而针对Google帐户攻击的使用费用更高，为 250/450/600 美元。Resecurity还在社交平台上演示了，EvilProxy是如何针对Google帐户发起网络钓鱼攻击。 虽然该服务在各种 clearnet 和暗网黑客论坛上得到积极推广，但运营商会对客户进行针对性审查，因此对于一些潜在买家可能毫无吸引力。 据 Resecurity 称，EvilProxy服务的付款是在Telegram上单独进行，付款结束后，用户可以访问托管在洋葱网络 (TOR) 中的门户。Resecurity 对该平台的测试证实，EvilProxy 还提供虚拟机、反分析和反机器人保护，以过滤平台托管的网络钓鱼站点上的无效或不受欢迎的访问者。 EvilProxy 上的反分析功能 Resecurity在报告指出，不良行为者正在使用多种技术和方法来识别受害者，并保护网络钓鱼工具包代码不被检测到。与欺诈预防和网络威胁情报 (CTI) 的解决方案一样，它们汇总了目前已知的VPN服务、代理、TOR 出口节点和其他主机的数据，这些数据可用于（潜在受害者的）IP声誉分析。 随着 MFA 采用率的不断提高，越来越多的攻击者转向反向代理工具，EvilProxy自动化反向代理平台的出现，对于企业安全人员来说是一个非常糟糕的消息。目前该问题仍然可以通过实施客户端 TLS 指纹识别和过滤中间人请求来解决。但是，这样的解决方式并不适合所有的行业。 因此，像 EvilProxy这样的平台本质上弥合了技能差距，并为低技术能力的攻击者提供了一种具有成本效益的方式来窃取有价值的账户。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343843.html 封面来源于网络，如有侵权请联系删除

9月5日，据国家计算机病毒应急处理中心披露，西北工业大学遭网络攻击事件系美国国家安全局（NSA）所为。在针对该校的网络攻击中，NSA使用了40余种专属网络攻击武器，持续开展攻击窃密，窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。 西北工业大学曾在6月22日发布声明，称遭受境外网络攻击，学校师生收到包含木马程序的钓鱼邮件，企图窃取相关师生邮件数据和公民个人信息。随后，西安警方对该事件立案侦查。 公开资料显示，西北工业大学坐落于陕西西安，隶属于工业和信息化部，是中国唯一一所以同时发展航空、航天、航海工程教育和科学研究为特色的全国重点大学，位列国家“双一流”、“985工程”、“211工程”。 国家计算机病毒应急处理中心从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本，全面还原了相关攻击事件的总体概貌、技术特征、攻击武器、攻击路径和攻击源头，初步判明相关攻击活动源自美国国家安全局（NSA）“特定入侵行动办公室”（Office of Tailored Access Operation，后文简称TAO）。 40余种攻击武器，数次攻击西北工业大学 TAO是目前美国政府专门从事对他国实施大规模网络攻击窃密活动的战术实施单位，由2000多名军人和文职人员组成。本次调查发现，在近年里，美国NSA下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击，控制了数以万计的网络设备（网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等），窃取了超过140GB的高价值数据。 在针对西北工业大学的攻击中，TAO的内部渗透攻击链路达1100余条，操作指令序列90余个，先后使用了54台跳板机和代理服务器，窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。根据调查报告，此次攻击中使用的工具可分为四大类： 1、漏洞攻击突破类武器 TAO依托此类武器对西北工业大学的边界网络设备、网关服务器、办公内网主机等实施攻击突破，同时也用来攻击控制境外跳板机以构建匿名化网络作为行动掩护。包括：“剃须刀”、“孤岛”、“酸狐狸”武器平台。 2、持久化控制类武器 TAO依托此类武器对西北工业大学网络进行隐蔽持久控制，TAO行动队可通过加密通道发送控制指令操作此类武器实施对西北工业大学网络的渗透、控制、窃密等行为。包括：“二次约会”、“NOPEN”、“怒火喷射”、“狡诈异端犯”、“坚忍外科医生”。 3、嗅探窃密类武器 TAO依托此类武器嗅探西北工业大学工作人员运维网络时使用的账号口令、命令行操作记录，窃取西北工业大学网络内部的敏感信息和运维数据等。包括：“饮茶”、“敌后行动”系列武器。 4、隐蔽消痕类武器 TAO依托此类武器消除其在西北工业大学网络内部的行为痕迹，隐藏、掩饰其恶意操作和窃密行为，同时为上述三类武器提供保护。例如“吐司面包”。 提前布局，持续攻击 美国国家安全局（NSA）针对西北工业大学的攻击行动代号为“阻击XXXX”（shotXXXX）。该行动由TAO负责人罗伯特•乔伊斯（Robert Edward Joyce）直接指挥，他目前在NSA担任网络安全主管。 调查报告显示，为掩护其攻击行动，TAO在开始行动前会进行较长时间的准备工作，主要进行匿名化攻击基础设施的建设。TAO利用其掌握的针对SunOS操作系统的两个“零日漏洞”利用工具，选择了中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标；攻击成功后，安装NOPEN木马程序控制大批跳板机。 TAO在针对西北工业大学的网络攻击行动中先后使用了54台跳板机和代理服务器，主要分布在日本、韩国、瑞典、波兰、乌克兰等17个国家，其中70%位于中国周边国家，如日本、韩国等。 调查报告还发现针对西北工业大学攻击平台所使用的网络资源共涉及5台代理服务器，NSA通过秘密成立的两家掩护公司向美国泰瑞马克（Terremark）公司购买了埃及、荷兰和哥伦比亚等地的IP地址，并租用一批服务器。同时，TAO工作人员还匿名购买域名和通用的SSL证书，部署在中间人攻击平台“酸狐狸”，对西北工业大学等中国信息网络目标展开多轮持续性攻击和窃密行动。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/343770.html 封面来源于网络，如有侵权请联系删除

在2022年7月，三星披露了一起在美国部分系统遭到数据泄露的事件。这家电子巨头于8月4日发现，威胁行为者可以访问其系统并窃取客户个人信息。 公司发布通知：“2022 年 7 月下旬，未经授权的第三方从三星的一些美国系统中获取了信息。在 2022 年 8 月 4 日前后，我们通过正在进行的调查确定某些客户的个人信息受到影响。我们已采取行动保护受影响的系统，并聘请了一家领先的外部网络安全公司，并正在与执法部门进行协调。我们希望向我们的客户保证，该问题不会影响社会安全号码或信用卡和借记卡号码，但在某些情况下，可能会影响姓名、联系方式和人口统计信息、出生日期和产品注册信息等信息。” 该公司表示，为每个相关客户公开的信息可能会有所不同，但它会通知受影响的客户。 该公司表示，客户无需立即采取行动来减轻事件的潜在影响，无论如何它建议其客户： 对任何要求您提供个人信息或将您转至要求提供个人信息的网页的未经请求的通信保持谨慎 避免点击来自可疑电子邮件的链接或下载附件  检查他们的账户是否有可疑活动 2020 年 3 月，三星在遭受数据勒索组织Lapsus$的攻击后披露了另一起数据泄露事件。威胁者可以访问公司内部数据，包括 Galaxy 模型的源代码。Lapsus $ 团伙声称从三星电子窃取了大量敏感数据，并泄露了 190GB 的所谓三星数据作为黑客攻击的证据。 该团伙在其 Telegram 频道上宣布了样本数据的可用性，并共享了一个 Torrent 文件以下载它。他们还分享了被盗数据中包含的源代码的图像。 被盗数据包括机密的三星源代码，包括： 设备/硬件 – 安装在所有三星设备的 TrustZone (TEE) 上的每个受信任小程序 (TA) 的源代码，以及每种类型的 TEE 操作系统（QSEE、TEEGris 等）的特定代码。这包DRM 模块和 KEYMASTER/GATEKEEPER！ 所有生物识别解锁操作的算法，包括直接与传感器通信的源代码（到最低级别，我们在这里讨论的是单个 RX/TX 比特流）。 所有最新三星设备的引导加载程序源代码，包括 Knox 数据和身份验证代码。 其他各种数据，来自高通的机密源代码。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/_4yJ4NlRRqa5PLGQTZxKyA 封面来源于网络，如有侵权请联系删除

乌俄冲突让网络战更加白热化，近期，美国陆军本周宣布对外招募网络战部队，防御国外政府发动的网络攻击以及防御工作。 美国陆军指出，21世纪的战争已经转移到网络，恶意网络流量、复杂的钓鱼攻击、病毒和其他虚拟攻击，正对美国关键基础设施以及人民安全产生直接威胁。 美国陆军表示，加入“网络战士”将会获得网络攻击及防御任务的技能训练，强化辨识锁定政府机构和金融中心的广告软件、勒索软件、间谍软件，以及找出国际黑客网络、破坏国内网络犯罪计划，保卫美国陆军通讯的能力。 虽然网络战一直存在，但在乌俄冲突后，网络战争也由暗转明，美国拜登政府今年也号召投入资金强化美国国防，号召企业协助美国网络基础架构及军事、政府信息系统的防御。另一方面，新冠疫情影响降低民众从军意愿，美陆军今年一月宣布提供入伍奖金到最高一年5万美元以及其他奖金。 美国陆军招募的主要包括网络电子作战官、网络作战官、密码情报分析师、网络防御员以及网络作战专员。网络电子作战官是网络防御及整合首要人物，负责协调电子攻击和防御任务，并提供电子作战支援。网络作战官主要面对敌人行动执行攻击。 密码情报分析师负责搜集和分析情报，找出目标所在，也要从电脑、语音、影像及文字通讯中找出敌军行动样态线索，协助作战。网络防御员则是专注在电脑网络，包括基础架构支援、安全事件回应、稽核和管理，也需侦测和扫除网络上的未授权活动，并以各种工具来分析以及回应攻击。最后，网络作战专员负责确保美国陆军的重要武器系统，包括卫星、导航、飞航系统免于国内、国外网络威胁。这个角色要协助指挥官在“网络所有领域”克敌制胜。 美国陆军将提供的训练包括基础技术、情报和网络作战技能、程序编写语言、IT安全认证、网络作战策划和执行、进阶的电脑指令、鉴识、恶意程序分析和黑客训练、以及拦截防范爆炸装置（improvised explosive device，IED）和辨识及对抗雷达及其他电子攻击系统的训练。 已有理工科系学位且现职为网络专业人士若加入美军，可以申请成为军官，依其程序编写及分析经验而定，军职可以从少尉起跳，最高到上校，而且获得相应的加给。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/gy0E2fELt83cRZrbHo8NzQ 封面来源于网络，如有侵权请联系删除

The hacker news 网站披露，Atlassian Bitbucket 服务器和数据中心出现严重漏洞，该漏洞可能允许攻击者执行恶意代码，Atlassian 目前已经推出了漏洞修复方案。 安全漏洞被追踪为 CVE-2022-36804（CVSS 评分：9.9），是一个多端点的命令注入漏洞，潜在攻击者可通过特制的 HTTP 请求加以利用。 服务器多个版本受到漏洞影响 据悉，CVE-2022-36804 漏洞由网络安全研究员 TheGrandPew 发现，经过详细分析，这一漏洞主要影响了 6.10.17 之后发布的所有版本 Bitbucket Server 和 Datacenter，7.0.0 和更高版本也受到严重影响。 受漏洞影响的服务器版本详情如下： Bitbucket 服务器和数据中心7.6； Bitbucket服务器和数据中心7.17版； Bitbucket服务器和数据中心7.21版； Bitbucket服务器和数据中心 8.0版； Bitbucket服务器和数据中心 8.1版； Bitbucket服务器和数据中心 8.2版； Bitbucket服务器和数据中心 8.3版。 CVE-2022-36804 漏洞爆出不久后，Atlassian 在一份公告中表示，潜在攻击者在拥有公共 Bitbucket 存储库访问权或私有存储库读取权限的情况下，可以通过发送恶意的 HTTP 请求来执行任意代码。 Atlassian 建议用户应尽快更新补丁 鉴于部分用户无法立即应用补丁，Atlassian提供了临时解决办法。用户可以使用 “feature.public.access=false ”关闭公共存储库，以防止未经授权的用户利用该漏洞。 Atlassian 强调，这种方式并不是一个完美的缓解措施，已经通过其他方式获取了有效凭据的潜在攻击者依然可以利用漏洞，这意味着部分拥有用户账户的攻击者仍然可以成功利用该漏洞，进行网络攻击活动。 最后，Atlassian 建议受漏洞影响的用户尽快升级到最新版本，以减轻潜在的安全威胁。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343151.html 封面来源于网络，如有侵权请联系删除

8月23日消息，谷歌威胁分析小组（TAG）发现，名为Charming Kitten的伊朗政府支持团体，在其恶意软件库中增加了一个新工具，可以从Gmail、雅虎和微软Outlook账户中检索用户数据。 谷歌将该工具称为HYPERSCRAPE，该工具在2021年12月首次被发现。据说伊朗用这个开发中的软件入侵了二十余个帐户，已知最早的样本可以追溯到2020年。 Charming Kitten是一个高度活跃的高级持续性威胁（APT），据信与伊朗的伊斯兰革命卫队（IRGC）有关，曾参与过与政府利益一致的间谍活动。 它还被追踪为APT35、Cobalt Illusion、ITG18、Phosphorus、TA453和Yellow Garuda，该组织的成员还进行勒索软件攻击，这表明威胁者的动机既包含间谍活动，又包含经济原因。 谷歌TAG研究员Ajax Bash说：”HYPERSCRAPE需要受害者的账户凭证，通过劫持的有效、认证的用户会话或者攻击者已经获得的凭证运行。 该工具以.NET编写，可以在Windows机器上运行，它具有下载和窃取受害者电子邮件收件箱内容的功能，此外，它还可以删除谷歌发送的安全邮件。 如果一封邮件原本是未读的，该工具会在打开并下载邮件的”.eml “文件后将其标记为未读。更重要的是，据说HYPERSCRAPE的早期版本包含了一个从谷歌Takeout请求数据的选项，该功能允许用户将他们的数据导出到一个可下载的存档文件中。 在此之前，普华永道最近发现了一个基于C++的Telegram “抓取 “工具，用于获取特定账户的Telegram信息和联系人。 此前，Charming Kitten还部署了一个名为LittleLooter的定制安卓监控软件，这是一款功能丰富的植入软件，能够收集存储入侵设备中的敏感信息，并记录音频、视频和通话。 研究员表示：”像他们的许多工具一样，HYPERSCRAPE技术并不复杂，但能高效地实现目标。”他表示，受影响的账户已被重新保护，并通知了受害者。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342863.html 封面来源于网络，如有侵权请联系删除

据《华盛顿邮报》 8月23日报道，推特前安全主管Peiter Zatko向美国证券交易委员会（SEC）、联邦贸易委员会（FTC）和司法部提交了一封举报文件。在文件中，Zatko控诉推特在安全实践中存在“令人震惊的”漏洞，在安全、隐私和内容审核方面存在“严重缺陷”。他还认为，推特高管在联邦监管机构面前谎报安全实力。 Zatko是著名黑客，于2020年底被推特招揽担任安全部门主管。几个月后，黑客劫持了若干世界名人的推特帐户，包括乔·拜登（Joe Biden）和埃隆·马斯克（Elon Musk）。2022年1月，他被推特解雇，任职不到两年。 关于名人推特帐户被盗事件，举报文件中称，黑客的招数非常简单，“黑客假装是推特的IT支持，给一些员工打电话，要求他们提供密码。一些员工上当受骗并提供了密码，而且由于推特访问控制的系统缺陷，手持凭证的黑客可以畅通无阻，入侵任何帐户。” 推特否认上述指控，称Zatko今年1月是因领导不力和表现不佳而被解雇。推特称，安全和隐私一直是推特的优先事项和长期目标。 安全控制差，数据未加密 《华盛顿邮报》报道，Zatko今年早些时候向联邦贸易委员会、证券交易委员会和司法部提出了申诉，申诉文件长达84页。 代表Zatko的“吹哨人”援助组织律师John Tye向哥伦比亚广播公司（CBS）表示，“他非常担心，以至于他冒着可能危及他未来职业生涯的风险，告知监管机构、国会、公众他所发现的漏洞的危害。” “他在推特发现的东西与其他公司的情形都不一样，”Tye补充，Zatko的代号Mudge，他以前曾在谷歌、Stripe和国防高级研究计划局工作过。 Zatko称，推特的内部安全控制很差，该公司1万多名员工中，有多达一半的人可以接触到敏感的用户数据。数千名员工的电脑包含推特源代码的完整副本，30%的员工电脑关闭了自动安全更新和系统防火墙，还未经批准启用了远程桌面访问。同时，推特没有员工电话管理系统。 他还表示，推特在用户注销帐户后没有完全删除用户数据，在某些情况下推特已经失去了对信息的追踪能力，因此推特在是否按要求删除数据方面误导了监管机构。此外，推特许多存储和处理用户信息的数据中心不支持数据加密。 根据推特2011年与联邦贸易委员会的和解协议，推特被要求维持一个“全面的信息安全计划”，但Zatko称，”推特从来没有遵守2011年与联邦贸易委员会的和解协议。” “仅在2020年，推特就发生了40多起安全事件，其中70%与访问控制有关，”文件中写道。 除了控诉推特公司网络安全存在严重缺陷外，Zatko还表示印度政府强迫推特雇用其一名代理商。 Zatko还声称，推特公司雇用了外国间谍，他引用了一个美国政府消息来源的说法，即 “某位或多位雇员为另一个外国情报机构工作”。 无力清理平台垃圾账户 除了对安全松懈的指控，这项指控还呼应了埃隆·马斯克（Elon Musk）对该平台被机器人占领的批评，称高管们无法知道哪些账户是假的。 投诉中称，推特无意清理或没有能力清理平台上的僵尸和垃圾邮件账户，而且它对用户的个人身份信息管理不善，经常出现安全漏洞。 今年早些时候，马斯克曾出价440亿美元收购Twitter，但在今年7月撤回了收购要约。但法律程序上是否要求马斯克如约完成收购案，将在10月进行审判。 Zatko在投诉中称：“无知是高管领导团队的常态。”公司甚至无法提供垃圾邮件和机器人账户的具体数目。他声称，负责网站完整性的团队不知道如何检测机器帐户，忙于内部闹剧，公司也没有动力去管控机器帐户。 Zatko声称，Twitter使用的一种内部验证方法，但经常被禁用，每个月挫败了多达1200万个机器人。该投诉称，2021年，Twitter创建了一种奖金结构，员工可以获得高达1000万美元的奖金，以短期增加可盈利的日活跃用户（mDAU），但减少平台上的垃圾邮件并不在奖励范围内。 推特向监管机构表示，平台的日活跃用户中只有不到5%是机器人。然而，Zatko表示这是一个谎言，因为mDAU指标的设计已经排除了机器人和其他垃圾邮件账户。 美国参议院情报委员会发言人雷切尔·科恩（Rachel Cohen）说，委员会已经收到了起诉书，并“正在安排一次会议，进一步讨论指控的相关细节，我们会认真对待这件事。” 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342774.html 封面来源于网络，如有侵权请联系删除