近日，安全研究人员揭露了一系列利用亚马逊 S3、谷歌云存储、Backblaze B2 和 IBM 云对象存储等云存储服务的犯罪活动。这些活动由未具名的威胁行为者发起，目的是将用户重定向到恶意网站，利用短信窃取他们的信息。 根据 Enea 今天发表的一篇技术文章，攻击者有两个主要目标。 威胁行为者要确保诈骗短信能在不被网络防火墙检测到的情况下发送到手机上。 威胁行为者试图让终端用户相信他们收到的短信或链接是可信的。 威胁行为者利用云存储平台托管带有嵌入式垃圾邮件 URL 的静态网站，使其信息看起来合法，并避开常见的安全措施。 云存储服务允许企业存储和管理文件，并通过在存储桶中存储网站资产来托管静态网站，威胁行为者利用这一功能，将垃圾邮件 URL 嵌入存储在这些平台上的静态网站中。 他们通过短信分发链接到这些云存储网站的 URL，由于知名云域被认为是合法的，这些 URL 通常可以绕过防火墙限制。用户一旦点击这些链接，就会在不知情的情况下被重定向到恶意网站。 例如，谷歌云存储域名 “storage.googleapis.com” 就被攻击者用来创建链接到垃圾网站的 URL。托管在谷歌云存储桶中的静态网页采用了 HTML 元刷新技术，可立即将用户重定向到诈骗网站。威胁行为者利用这种方法诱骗用户访问欺诈网站，这些网站通常会模仿礼品卡促销等合法优惠活动，以窃取用户的个人信息和财务信息。 Enea 还观察到亚马逊网络服务（AWS）和 IBM 云等其他云存储服务也采用了类似的策略，即通过短信中的 URL 进入托管垃圾邮件的静态网站。 为防范此类威胁，Enea 建议监控流量行为、检查 URL 并警惕包含链接的意外消息。   转自Freebuf，原文链接：https://www.freebuf.com/news/401751.html 封面来源于网络，如有侵权请联系删除

近日，Coro 公司表示，中小型企业（SMEs）的 IT 人员被安全堆栈中多个工具的复杂性和安全需求压得“喘不过气”，导致其可能错过很多关键严重安全事件告警信息，从而削弱了公司的安全态势。 一些研究机构采访了来自美国多个行业的 500 名网络安全管理人员（规模一般在 200 ——2000 名员工的公司），结果显示，很多中小型企业和中型企业正面临着越来越多、越来越复杂的网络攻击威胁。更糟糕的是，很多公司缺乏足够的网络安全防御资源和专业知识。 中小企业 IT 人员不堪重负 中小企业的网络安全工作通常由公司的 IT 人员负责，但他们可能正在面临着来自网络安全计划复杂性和责任压力的挑战（包括管理复杂的安全系统和网络架构、持续监控和更新安全策略，以及应对日益复杂的安全威胁等）。 调查结果显示，73% 的中小企业安全专业人员曾错过、忽视或未能对重要的安全警报采取行动，受访者指出，人手不足和时间不够充裕是最主要的两个原因。 此外，受访者反馈他们日常工作中在监控安全平台、管理和更新端点设备和代理、漏洞管理或打补丁，以及安装、配置和集成新的安全工具上花费了大量时间，其中 52% 的受访者声称最耗时的任务是监控安全平台，其次是漏洞修补。 中小型企业同时使用过多的网络安全工具 调查发现，中小型企业同时使用了过多的网络安全工具。受访者表示，在其安全堆栈中平均使用 11.55 种工具，每天平均花费 4 小时 43 分钟管理其网络安全工具。 值得一提的是，受访者还提到一个新的网络安全工具上线到内部系统需要花费很多资源和时间，一个新的网络安全工具需要 4.22 个月才能投入使用（安装、配置、培训员工以及与现有安全堆栈集成都需要大量时间）。 安全专业人员所面临的复杂工作量，以及对本已有限的资源提出的过高要求，促使中小企业和中型整合其网络安全工具，其中 85% 的受访者表示，希望在未来 12 个月内整合其工具，尽快改善企业内部的安全态势。 Coro 公司首席执行官 Guy Moskowitz 指出，中小企业正在不断的被企业安全工具产生的成千上万个警报所”淹没“，但是这些警报又与企业安全工具不相适应，因此导致许多企业被困在网络安全的“炼狱”中。 最后，Moskowitz 强调，由于人员有限，中小型企业在安全管理的复杂性面前举步维艰，既要面对预算限制、资源有限的问题，又要满足更好的安全覆盖面的需求，这简直是不可能完成的任务。因此，中小企业想要摆脱网络安全困境的最有效方法是采用单一平台，期待能够通过一个简单的控制面板和一个端点代理，减少安全人员的工作量。   转自Freebuf，原文链接：https://www.freebuf.com/news/399601.html 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现了一起重大数据泄露事件，据称影响了科技巨头微软。此次泄露将敏感的员工凭证和公司内部文件暴露到互联网上，引发了人们对组织内部数据安全协议的严重担忧。不过目前安全漏洞已得到解决。 研究人员 Can Yoleri、Murat Özfidan 和 Egemen Koçhisarlı 通过托管在 Microsoft Azure 云服务上的开放式公共存储服务器发现了所谓的 Microsoft数据泄露事件。该服务器包含与微软必应搜索引擎相关的内部信息，没有任何明显的安全措施来保护其免受未经授权的访问。 据TechCrunch报道，微软内部安全系统并未重点关注或检测到数据泄露事件，这引发了对其监控机制有效性的质疑。 该报告进一步强调，可在线访问的数据包括大量敏感信息，例如代码、脚本和配置文件，其中包含微软员工用于访问内部数据库和系统的密码、密钥和凭据。 微软泄露凭证可能被用于进一步攻击 受损的内部 Azure 服务器似乎与 Bing 搜索引擎的功能相关，并被用来存储包含敏感数据的脚本、配置和代码，例如公司员工用来访问企业数据库和系统的凭据、密码和密钥。 一名研究人员表示，微软泄露的数据可用于进一步入侵，帮助攻击者识别微软如何处理其内部资源的存储，以及在攻击活动中使用泄露的凭据。 调查团队于 2024 年 2 月用泄露的凭据向微软发出警报，微软在 3 月的第一周采取措施保护此前未受保护的内部 Azure 服务器的安全。 新闻报道称，该漏洞现已得到解决，但该事件凸显了加强网络安全措施在保护敏感数据方面的重要性。微软作为全球领先的科技公司之一，在数据保护和隐私方面面临着更严格的审查和期望。 微软泄露科技巨头一系列安全失误的最新消息 虽然内部资源泄漏的程度以及微软采取的补救措施仍不清楚，但该事件是该公司最近面临的一系列与云安全相关的安全事件的一部分。 今年 2 月，微软云软件解决方案的 Azure 组件中报告了“三个高风险漏洞”，以及一个可能允许远程代码执行 (RCE) 攻击的关键物联网设备漏洞。 去年，即 2023 年，研究人员发现微软在其发布到 Github 的代码中暴露了其企业网络的敏感凭证。同年，该公司在一次事件中面临严格审查，威胁组织 Storm-0558 成功获取了其电子邮件签名密钥，此举被广泛视为对美国政府官员之间电子邮件通信的间谍攻击。 该事件凸显了科技巨头在保护自己的内部资源和敏感数据或员工凭证免受各种形式的安全漏洞和疏忽以及周围威胁的影响方面可能面临的困难。   转自安全客，原文链接：https://www.anquanke.com/post/id/295556 封面来源于网络，如有侵权请联系删除

4月5日，话题“注销手机号等于出卖自己”冲上微博热搜榜第一，引发热议。 该话题来源于安徽省铜陵市公安局民警“徐督督”日前在社交媒体账号发布的科普视频。“徐督督”在视频中表示：“注销手机号等于出卖自己，随手注销的手机号很可能造成财产损失。当手机号不用或者不想用了，去营业厅注销，过一阵运营商会重新将手机号投入市场销售。下一个用你手机号的人，可以用手机验证码登录你的支付宝、微信等各类软件，后果不堪设想。不妨多做一步将相关绑定此手机号的软件统统解绑，以及银行卡预留的手机号也一定要修改，这样就能做到万无一失。” 对此，一位受访者表示，自己没有办理过某银行的银行卡，但她使用的新号码一直收到某人还房贷的信息，可能是因为该号码以前的号主换号后忘记解绑导致的。“这类消息我其实不是很担心，因为明确知道自己没有注册过该银行卡，而且我会定期到银行查询自己的征信。”她表示，自己的新号码如果收到某些购物App发来的短信，会打相关客服电话查询账号情况，如果感觉涉及隐私，会申请注销与该新号码相关账号。 有网友表示，自己曾用的号码可能注销后很快就被卖掉了，快递App的消息通知一直收到新号主的快递信息。还有网友称，前号主银行卡解绑发来消息，收到了短信才知道自己现在的号码是以前别人用过的。 注销的手机号多久会重新投放进市场？新用户还能查询到手机号以前的使用记录吗？ 中国联通客服人员表示，用户的手机号注销超过90天就无法再找回，注销后的号码确实会被重新投放进“号码池”，但被投放时间无法确定。此外，手机号被新用户激活后，新用户无法查询到该号码过往号主的缴费详情等相关使用记录。 中国电信客服人员表示，所有的号码根据国家规定，都是循环利用的，但用户的手机号注销后，会有90天的冻结期限。此期限过后，才可能被重新投放入市场。但后续是否会被投放、有没有投放，暂无法确定。 此外，该电信客服人员表示，如果想查询本人名下有多少个号码，可以在运营商App里搜索“一证通查”进行查询，也可以由本人携带身份证到营业厅查询，到营业厅还能查询到具体的手机号码。如果号码在使用过程中收到未注册过的App、网站等发来的短信，可以拨打相应App、网站等客服咨询。 中国移动客服人员表示，注销的手机号存在被重新投入市场的可能。如果不明原因收到自己目前未使用的App、银行发来的短信，请提高警惕，及时联系相关企业、银行等查询个人信息情况。 部分运营商还推出号码在多互联网平台已注册信息的统一处理。以中国联通 App为例，在顶部搜索栏输入“一号通查”即可找到该服务。“一号通查”服务是码号服务推进组在码号服务平台、运营商、互联网等行业服务单位之间建立了手机号码信息共享机制，并向用户开放该服务，即手机号码用户查询接入码号服务平台的互联网企业及应用，并可申请清理该号码下非本人注册的互联网应用的服务，以改善用户在互联网应用注册服务体验。 目前已支持微博、抖音、今日头条、美团、大众点评、小米等App的处理。 图片来源：中国联通App 是否有一键查询手机号过往绑定业务的途径？ 工业和信息化部已推出“一证通查”功能。用户可通过工业和信息化部政务微信公众号“工信微报”、“工信部反诈专班”微信公众号、 “中国信通院”微信公众号以及支付宝“一证通查”小程序等方式，查询名下手机号关联的互联网账号数量。 如何使用“一证通查”功能？ 打开微信搜索“工信微报”微信公众号，在“政务服务”栏目中点击“一证通查”，进入小程序首页后选择“互联网账号”，根据提示便可查询本人名下手机号码关联的互联网账号数量。资料提交后，48小时内可收到查询信息。目前，“一证通查”功能已经支持查询微信、QQ、淘宝、支付宝、抖音等多个App的账号绑定情况。 图片来源：微信小程序“一证通查” 发现手机号存在异常怎么办？ 如发现本人手机号关联的互联网账号与查询结果不一致，可在“一证通查”页面点击“解绑与明细查询”，如果对查询结果存在异议，可以拨打企业客服电话咨询。 更换或注销手机号码前，哪些事需要注意？ 警方提示，更换或注销手机号码前，以下情况需及时处理。 一是备份电话本。注意及时备份SIM卡通讯录信息，并及时通知所有联系人手机号已经变更。 二是及时解绑银行卡。通过网银手机客户端或前往银行柜台对手机号进行变更和解除绑定，及时变更U盾、网银短信通知等银行业务号码。 三是及时解绑支付宝等金融类App账户，以及证券、基金账户的各项关联业务号码。 四是更改微信、微博、QQ等社交媒体绑定的手机号。 五是及时更改邮箱、网盘、12306网上购票等涉及个人往来信件、照片、隐私等软件的手机号绑定。 六是会员卡信息修改。一些超市、商场的会员卡或是积分卡等，都是直接报手机号就可以享受折扣并累计积分的，在更换手机号时需要及时修改。 七是及时销毁废弃的SIM卡。变更手机号后不要随意丢弃已经不用的SIM卡，应及时销毁，以免落到不法分子手中，被冒用进而实施诈骗。 此外，例如学信网、手机账户ID（例如苹果、华为、小米等手机品牌都有相关ID账号）等，换号或者注销也要注意及时解绑、换绑。   转自Freebuf，原文链接：https://www.freebuf.com/news/397101.html 封面来源于网络，如有侵权请联系删除

近期，思科公司表示，全球仅有 3% 的组织达到抵御网络安全风险所需的 “成熟 “准备水平。值得一提的是，这一比例与一年前相比大幅下降，当时有 15% 的公司被评为 “成熟”。 组织网络安全风险准备水平较低 如今，从网络钓鱼、勒索软件到供应链攻击和社交工程攻击，各种威胁技术持续将全球组织作为攻击目标。虽然一些组织正在针对这些攻击建立起了防御措施，但由于自身的安全态势过于复杂，且以多点解决方案为主，因此在防御攻击方面仍然举步维艰。 虽然 80% 的组织对其现有基础设施抵御网络攻击的能力非常乐观，但信心与准备程度之间有着很明显的差距。从现有状况来看，组织不仅对其”驾驭“安全威胁的能力存在认知不足，也可能没有正确评估所面临挑战的真正规模。 思科执行副总裁兼安全与协作部总经理 Jeetu Patel 指出，组织不能低估自身面对的安全威胁，需要持续优先投资于集成防御平台，并且不断智能化运营倾斜，以便最终实现自动化防御，使”天平“始终向有利于防御者的方向倾斜。 值得一提的是，73% 的受访组织表示，其预计在未来 12 到 24 个月内，网络安全事件将扰乱业务经营。如果组织内部毫无准备，可能要付出很大的代价。此外，54% 的受访者表示，在过去 12 个月中经历过网络安全事件，52% 的受访者表示至少损失了 30 万美元。 人才短缺影响组织构建安全防御机制 80% 的受访者承认，组织采用多点解决方案会降低其团队检测、响应和从网络安全事件中恢复的能力，没有带来显著的结果 。（67% 的组织表示，内部安全团队在安全堆栈中部署了10个或更多的点解决方案，25% 的企业表示部署了30个或更多的点解决方案。） 85% 的组织表示，内部员工通过非托管设备访问公司各个网络平台，其中 43% 的员工花费 20% 的时间通过非托管设备登录公司网络系统。此外，29% 的公司表示，其员工一周内至少在六个网络之间”跳来跳去“。 87% 的受访者指出，关键网络安全人才的短缺进一步阻碍了网络安全防御工作的开展。事实上，46% 的组织表示，他们的组织中有超过 10 个与网络安全相关的职位空缺。值得注意的是，52% 的组织计划在未来 12-24 个月内大幅升级其 IT 基础设施，这一数字比去年计划升级的 33% 有了明显增加。 最突出的是，企业计划升级现有解决方案（66%）、部署新解决方案（57%）和投资人工智能驱动技术（55%）。此外，97% 的公司计划在未来 12 个月内增加网络安全预算，86% 的受访者表示他们的预算将增加 10% 或更多。 最后，安全研究人员强调，组织必须加快在安全方面的资源投入，包括但不限于采用创新的安全措施和安全平台方法，加强网络弹性，更多的使用生成式人工智能产品，并加大安全人才招聘力度，从而构建起组织的网络安全防御体系。   转自Freebuf，原文链接：https://www.freebuf.com/news/396871.html 封面来源于网络，如有侵权请联系删除

上周末，红帽(Red Hat)和美国网络安全和基础设施安全局(CISA)联合发布警告，称流行的Linux压缩工具XZ Utils存在影响广泛的高危漏洞（CVSS评分10分）。由于XZ压缩工具广泛存在于各种Linux发行版本中，因此检查并修复该漏洞是本周企业IT和安全团队的头等大事。 根据红帽公司上周六发布的安全公告。该漏洞编号为CVE-2024-3094，影响用于压缩和解压缩文件格式的XZ Utils工具（5.6.0和5.6.1版本）。红帽表示，该工具几乎存在于所有Linux发行版中。 CISA表示，他们正与开源社区合作，“响应有关恶意代码嵌入在XZ Utils 5.6.0和5.6.1版本中的报告”，该恶意代码可能允许未经授权访问受影响的系统。 CISA拒绝透露更多详细信息，例如受影响的系统数量、幕后黑手以及受害者分布等信息，目前尚未有官方回应。 最可怕的供应链攻击 微软工程师安德烈斯·弗伦德(Andres Freund)上周在调查一台运行Debian Sid（Debian发行版的滚动开发版本）的Linux设备SSH登录速度过慢问题时发现了该安全漏洞（后门）。弗伦德发现，该漏洞最早可追溯到3月26日。 安全研究机构Bad Sector Labs透露，这是一次极为复杂的供应链攻击，如果不是该漏洞拖慢了sshd速度，未来很长一段时间都难以被发现。 微软高级威胁研究员Thomas Roccia也表示XZ攻击的复杂程度令人震惊，他绘制了一个初步的攻击流程图如下： 目前的调查显示，从5.6.0版本开始，xz的上游代码库和tarball下载包中被植入恶意代码。liblzma（xz包的一部分）构建过程会从伪装成测试文件的混淆二进制恶意文件中提取预构建的对象文件，用于修改liblzma代码中的特定函数，生成一个被篡改的liblzma库，该库可以被任何链接到此库的软件使用，从而截取并修改与该库的数据交互。 值得注意的是，xz版本5.6.0和5.6.1库中存在的恶意注入仅包含在tarball下载包中。Xz的上游Git代码库缺少触发恶意代码构建的M4宏，但是“预埋”了二级恶意文件，可在恶意M4宏存在的环境中发挥作用。如果不合并到构建过程中，这个恶意二级文件本身是无害的。 研究人员发现该漏洞会影响OpenSSH守护进程。虽然OpenSSH不直接链接到liblzma库，但它会以一种方式与systemd通信，由于systemd链接到liblzma，这使得OpenSSH暴露于恶意软件攻击。 目前已有众多安全研究人员踊跃追查恶意代码的来源。很多安全专家认为，这是一次针对开源供应链的极为复杂的特工攻击（人力情报HUMINT），历时长达两年。发动攻击的APT组织并成功让特工人员（Jia Tan）晋升为XZ项目的维护者。该判断如果坐实，将意味着整个开源社区都会掀起一场反间谍行动。 安全研究人员Alexander Patrakov指出：通过对xz后门的逆向工程初步分析发现，这可能是历史上执行得最好，同时也是最可怕的供应链攻击，黑客控制了广泛使用的代码库的授权上游。在理想情况下（该后门顺利进入Linux稳定发行版），黑客可以利用此后门远程入侵并控制整个系统。 缓解措施：立级停用或降级 安全专家建议，xz5.6.0和5.6.1版本的用户应该立级降级版本或停用该工具。Linux管理员可以查询包管理器或运行安全研究员Kostas分享的shell脚本（下图）来检查系统安装了哪个版本的XZ： 该脚本可以帮用户在不运行后门可执行文件的情况下确定版本。 网络安全专家约翰·班贝内克(John Bambenek)表示，受影响的库“在现代Linux发行版中往往会默认安装，因此，即使企业不使用该工具，也应立即将该漏洞的修复升级到最高优先级。” 红帽的公告则强烈建议相关用户立即停止个人或工作用途的XZUtils使用，并提供了用于修复漏洞的更新链接。 “目前调查表明，在红帽社区生态系统中，只有Fedora 41和Fedora Rawhide受到影响。所有版本的红帽企业级Linux (RHEL)均未受影响，”红帽表示：“有报告和证据表明，在为Debian不稳定版本(Sid)开发的xz 5.6.x版本发现恶意注入，其他Linux发行版也可能受到影响。建议用户咨询发行版维护者获取指导。” 对于个人和企业用户，红帽建议立即停止使用Fedora 41或Fedora Rawhide。如果在商务环境中使用受影响的发行版，建议用户联系信息安全团队获取进一步措施。 CISA在公告中建议用户降级到安全版本：“开发人员和用户应将XZ Utils降级到未受损版本（例如，XZ Utils 5.4.6稳定版），并主动排查系统中可疑活动。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/t2llszsv1zOOqcyAfaS0_Q 封面来源于网络，如有侵权请联系删除

谷歌威胁分析小组 (TAG) 和谷歌子公司 Mandiant 表示，他们观察到 2023 年攻击中利用的0day漏洞数量显着增加，其中许多与间谍软件供应商及其客户有关。 谷歌研究人员周三表示，他们观察到 2023 年有 97 个0day漏洞被利用，而 2022 年为 62 个，增加了 50%。 在 97 个0day漏洞中，研究人员能够确定其中 58 个0day漏洞利用的攻击者动机。其中 48 个漏洞归因于间谍活动，其余 10 个漏洞则归因于出于经济动机的黑客。 自 2019 年以来的攻击中利用的零日漏洞 FIN11利用了三个0day漏洞，四个勒索软件团伙——Nokoyawa 、Akira、LockBit和Magniber——分别利用了另外四个。该报告指出，FIN11 是影响Accellion 旧版文件传输设备的2021 年0day漏洞的幕后黑手，该设备被用来攻击数十家知名机构。 研究人员表示：“FIN11 重点关注文件传输应用程序，这些应用程序可以高效且有效地访问敏感受害者数据，而无需横向网络移动，从而简化了渗透和货币化的步骤。” “随后，大规模勒索或勒索软件活动产生的巨额收入可能会刺激这些组织对新漏洞进行额外投资。” 有官方背景、专注于间谍活动的黑客发起了 12 个0day攻击，而 2022 年有 7 个。 研究人员称，包括明确针对梭子鱼电子邮件安全网关的攻击活动，黑客的目标是东盟成员国的电子邮件域和用户，以及敏感地区的外贸机构、学术研究组织或个人。 谷歌指出，一个0day漏洞与Winter Vivern相关，Winter Vivern 是白俄罗斯国家资助的网络组织，幕后策划了对乌克兰和其他欧洲国家的多次攻击。谷歌表示，这是据报道与白俄罗斯有联系的间谍组织在其活动中利用0day漏洞的第一个已知实例，表明该组织“正在变得越来越复杂”。 就目标产品而言，研究人员发现攻击者寻求“提供可对多个目标进行广泛访问的产品或组件中的漏洞”。 研究人员表示，梭子鱼电子邮件安全网关、思科自适应安全设备、Ivanti Endpoint Manager Mobile and Sentry以及Trend Micro Apex One等企业特定技术反复成为目标，并补充说这些产品通常提供广泛的访问和高级权限。 商业间谍软件供应商 2023 年企业专用技术的利用增加主要是由安全软件和设备的利用推动的。 商业监控软件供应商（CSV）是浏览器和移动设备利用背后的罪魁祸首，2023 年，谷歌将 75% 的已知0day漏洞利用针对 Google 产品以及 Android 生态系统设备（17 个漏洞中的 13 个）。 谷歌研究人员的调查结果中最令人震惊的部分是商业间谍软件开发者利用大量漏洞，目前缺乏针对该行业的全球规范。 “我们已经广泛记录了 CSV 造成的危害，但它们仍然构成针对最终用户的野外 0day 攻击的大部分。”她说。 这家科技巨头重申其警告，称商业监控行业继续向世界各国政府出售尖端技术，这些技术利用消费设备和应用程序中的漏洞“在个人设备上秘密安装间谍软件”。 他们表示：“私营部门公司多年来一直参与发现和销售漏洞，但我们观察到过去几年这类攻击者驱动的漏洞显着增加。” 谷歌表示，它正在追踪至少 40 家参与创建间谍软件和其他黑客工具的公司，这些工具被出售给某些政府机构并针对“高风险”用户，包括记者、人权捍卫者和持不同政见者。 谷歌在二月份发布的一份报告中强调的一些间谍软件供应商包括： Cy4Gate 和 RCS Lab：Android 和 iOS 版 Epeius 和 Hermit 间谍软件的意大利制造商。 Intellexa：Tal Dilian 领导的间谍软件公司联盟，结合了 Cytrox 的“Predator”间谍软件和 WiSpear 的 WiFi 拦截工具等技术。 Negg  Group：具有国际影响力的意大利 CSV，以通过漏洞利用链针对移动用户的 Skygofree 恶意软件和 VBiss 间谍软件而闻名。 NSO 集团：Pegasus 间谍软件和其他商业间谍工具背后的以色列公司。 Variston：与 Heliconia 框架相关的西班牙间谍软件制造商，因与其他监控供应商合作开展零日漏洞而闻名。 浏览器内攻击 谷歌还指出，第三方组件和库中的漏洞是“主要的攻击面，因为它们通常会影响多个产品。” 2023 年，谷歌看到了这种定位的增加，特别是在浏览器方面。他们发现第三方组件中存在三个浏览器0day漏洞，并影响了多个浏览器。 该报告指出，影响 Chrome 的 CVE-2023-4863 和影响 Safari 的 CVE-2023-41064 “实际上是同一个漏洞”，并补充说它还影响了 Android 和 Firefox。他们还引用了 CVE-2023-5217——去年合并的一个引人注目的漏洞，影响了 libvpx 。去年，其他几个浏览器内工具也被利用。 “2023 年，有 8 个针对 Chrome 的野外0day漏洞，11 个针对 Safari 的野外0day漏洞。虽然被跟踪的 Safari 0day漏洞被用于针对 iPhone 的链中，但除了其中一个 Chrome 0day漏洞外，所有其他漏洞都被用于针对 Android 设备的攻击链中。”谷歌研究人员表示。 谷歌警告称，随着越来越多的黑客大力投资研究，被利用的0day漏洞数量可能会继续增加。 0day漏洞利用“不再只是少数参与者可以使用的攻击功能，我们预计过去几年我们所看到的增长可能会持续下去。” 安全建议 为了防御0day攻击，谷歌建议高风险用户在 Pixel 8 设备上启用内存标记扩展（MTE），并在 iPhone 智能手机上启用锁定模式。 谷歌建议Chrome高风险用户打开“HTTPS优先模式”并禁用v8优化器以消除潜在风险，以消除JIT（Just-in-Time）编译引入的潜在安全漏洞，这些漏洞可能使攻击者操纵数据或注入恶意代码。 此外，谷歌还建议高风险用户注册其高级保护计划（APP），该计划提供增强的帐户安全性和内置防御措施，以防范商业间谍软件的攻击。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/IOMnGZ6gBeDC7VIBSmNj_A 封面来源于网络，如有侵权请联系删除

乡村度假隐私受到威胁。西班牙当地短租服务公司Escapada Rural类似于Airbnb，半年来大量私人客户数据被泄露。黑客掌握了这些数据并在非法市场BreachForums上发布。 Cybernews研究团队于1月8日发现了Escapada Rural的一个面向互联网的存储库，其中包含290万客户的个人信息数据库，包括姓名、电子邮件地址、性别、出生日期和电话号码。 公司数据库中的个人数据被导出并存储在可公开访问的CSV文件中，其中最新的条目来自2022年11月7日。 进一步调查显示，恶意行为者已将数据集发布到非法市场BreachForums上。帖子作者的别名是“louhunter”。 网络新闻研究团队警告称，论坛帖子可以追溯到2023年7月，表明Escapada Rural在六个多月的时间里未能识别并确保泄漏安全。泄露的信息已被恶意行为者滥用的可能性越来越大。 另外，其他数据库备份文件也被暴露，但其包含不太敏感的信息，如来自booking.com和其他网站的房产列表。由于不需要身份验证方法，任何具有一点技术知识的人都可以访问房产列表的照片。 客户还应警惕其他常见的攻击行为，例如使用数据进行网络钓鱼、垃圾邮件、人肉搜索，甚至财务欺诈。 Escapada Rural 成立于 2007 年，归 HomeToGo 所有，HomeToGo 是多个预订和租赁度假公寓网站的运营商。母公司声称要提供“一个支持 SaaS 的市场，拥有全球最多的度假租赁选择。” Cybernews 联系了这两家公司，但在发表这篇报道之前没有收到回复。消息披露后，泄露点被封堵。 公司可能因数据泄露而面临数百万美元的罚款 欧洲公司在为客户提供服务和处理数据时必须遵守通用数据保护条例 (GDPR)。 Escapada Rural 在其隐私政策中表示，它按照 GDPR 第 32 条存储个人信息，该条要求对数据进行加密或假名化。公司还应该制定适当的流程来定期测试和评估数据的安全性。 “该公司似乎没有采取这些措施，因为它以纯文本形式泄露了用户信息，并且很长一段时间都无法识别泄露情况。根据 GDPR，在存储私人信息时未能保护和监控安全问题可能会导致高达 2000 万欧元的罚款，即该公司上一财年全球总营业额的 4%，”Cybernews 研究人员警告说。 通过采用适当的访问控制策略、对云存储桶进行适当的身份验证、加密敏感信息以及纳入其他安全保护措施，可以防止这种泄露。   转自安全客，原文链接：https://www.anquanke.com/post/id/293911 封面来源于网络，如有侵权请联系删除

俄罗斯对外情报局（SVR）声称，美国正密谋干预即将于本月举行的俄罗斯总统选举。据路透社报道，SVR 称，美国攻击网络攻击计划对俄罗斯投票系统，以扰乱运行并干扰计票过程。 据路透社报道，SVR 发表的一份声明称，“根据俄罗斯联邦对外情报局收到的信息，拜登政府正在为美国非政府组织设定一项任务，以实现减少投票率” 。“在美国领先IT专家的参与下，计划对远程电子投票系统进行网络攻击，这将使相当一部分俄罗斯选民无法投票、计票。” 莫斯科警告称，任何外国干预选举的行为都将被视为对俄罗斯的侵略行为。 俄罗斯政府同时否认对即将于11月举行的美国总统选举进行任何干预。 “我们从未干预过美国的选举。”克里姆林宫发言人德米特里·佩斯科夫(Dmitry Peskov)在给学生举办的关于俄罗斯刻板印象的讲座中说道，偶尔会用英语说。 “这一次，我们不打算干涉……我们不会向任何人发号施令，但我们也不希望别人对我们发号施令。”佩斯科夫说。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/prDGV5YuAqdQLXrjdYq-rQ 封面来源于网络，如有侵权请联系删除

在面临隐私问题后，Airbnb 最近更新了政策，全面禁止房东在出租屋内安装并使用室内安全监控摄像头。 修订后的政策将在全球范围内适用，并将于4 月 30 日生效。Airbnb 表示，做出这一改变是为了优先考虑客人的隐私并简化安全摄像头的规定。 在此之前，Airbnb 允许房东在房源的公共区域（例如走廊和客厅）安装监控摄像头，只要在房源预定页面注明摄像头位置，且保证摄像头非隐藏式摄像头，不允许在卧室和浴室等私人空间安装摄像头。 修订后的政策明确规定，无论其位置、用途或进行了事先披露，摄像头将不得出现在房源内部的任何角落。违反规则的房东将受到调查，并可能被列入黑名单或帐户被删除。 Airbnb 表示，大多数房源都没有报告装有摄像头。因此，预计新政策只会影响平台上的少数房源。 需要注意的是，Airbnb依然允许房东安装室外摄像头，在但禁止将室外摄像头对准室内，且大致安装位置必须在预订前告知租客。 此外，门铃摄像头和噪音分贝监视器等出于安全属性的设备依然被允许使用，但同样也须在预订前让租客知晓。 长期以来，室内摄像头一直令Airbnb 用户感到担忧。去年，一对来自得克萨斯州的夫妇向马里兰州一Airbnb 业主索赔7.5万美元，称他们在房间内发现了隐藏式摄像头，并在入住期间（包括在浴室里）对他们进行了偷拍。   转自Freebuf，原文链接：https://www.freebuf.com/news/394640.html 封面来源于网络，如有侵权请联系删除