近日，Bitwarden对来自美国、英国、澳大利亚、法国、德国和日本的2400位用户进行调查，以研究当前用户的密码使用习惯。 调查结果显示，全球有超过25%的受访者在11-20个以上的账户中重复使用密码，36%承认在他们的账号密码中使用个人信息，这些信息在社交媒体（60%）平台和在线论坛（30%）上是公开可访问的。 由此可见，即便是到了2024年，用户在账户中使用弱密码/不安全的密码依旧十分普遍。2023网络安全成熟度报告的数据显示，身份管理最常见的风险点top1就是弱密码，占有率高达32%。弱密码策略与弱身份验证机制的组合让黑客入侵更加便捷，或者说这样的攻击并不需要黑客技术，攻击者只需要登录即可。而当访问权限“允许访问包含敏感信息”时，黑客可以毫不费力气地访问敏感数据。 2022年最弱密码排行榜公布，第一名是password，也就是密码的英文拼写，而去年的第一名是123456，密码的英文拼写仅排在第五位。 这也意味着在培养用户网络安全意识方面还需持续加强。尽管60%的用户声称他们有信心识别网络钓鱼攻击，68%的用户觉得他们准备好识别并缓解由AI增强的网络攻击，但许多受访者仍然采用风险较高的密码管理方法。 这可能也解释了，为什么个人安全漏洞持续存在。全球19%的用户承认由于他们的密码习惯，经历过安全漏洞或数据丢失，23%的用户确认密码在过去被盗用或受到损害。但即便如此，很多人依旧使用不安全的密码方式，其网络安全认知与实际做法互相矛盾。有趣的是，调查显示美国的发生率更高，有23%的美国受访者承认遭遇过安全漏洞，26%确认他们的密码被盗用或受到损害。 另外一个调查结果也非常有意思。大多数受访者承认依靠记忆（53%）和笔和纸（34%）来管理他们工作场所的账户；将近一半（48%）的人透露他们有时或非常频繁地在工作平台或账户之间重用密码。 全球用户仍然坚持使用弱密码或基于个人信息的密码（39%），不安全地存储工作密码（35%），不使用双因素认证（2FA）（33%），以及不安全地共享密码（32%）。 尽管存在密码安全挑战，但越来越多的用户开始使用密码管理器，也更加注重隐私与数据安全。工作中使用密码管理器的积极影响在受访者的个人生活中也很明显，52%的人承认在家中的安全意识增强，密码重用的频率降低（41%）。 此外，采用双因素认证（2FA）的趋势在上升，80%的全球受访者使用它保护大多数个人账户或某些重要账户，66%的人在大多数工作账户或仅限重要账户上使用它。 全球范围内，人们对其作为第二安全层的重要性有很好的认识，有57%的受访者使用2FA来增强他们的安全姿态，原因是网络钓鱼攻击的增加。针对员工账号密码的网络攻击日益频繁也未被忽视。65%的受访者已经进行了一些改进或增加了防护措施以增强安全姿态。 尽管只有45%的全球调查受访者采用了通行证，但超过一半（52%）的人认为他们对其安全优势有很好的了解，这标志着向无密码的更大转变即将到来。尽管采用率在增长，但对隐私和安全的担忧仍然存在。 用户同样担心数据滥用（31%）、监控不确定性（31%）、未经授权的访问（31%），同时还有29%的人对安全存储表示怀疑。透明的沟通和强有力的安全保证对于解决这些问题、提升用户信心和推动通行证更广泛接受至关重要。 如果组织采用通行证，62%的受访者认为他们对公司安全韧性的信任会增加，如果工作场所实施通行证，66%的人会更倾向于个人使用通行证。51%的受访者预见通行证和密码将共存，而只有17%的人预期通行证将使密码过时。不管个人对通行证未来的看法如何，几乎一半（44%）的人认为行业需要加强努力，向公众教育通行证技术的好处。   转自Freebuf，原文链接：https://www.freebuf.com/news/399631.html 封面来源于网络，如有侵权请联系删除

Volexity 安全研究人员警告说，疑似国家背景的不明黑客组织已成功利用 Palo Alto Networks 防火墙中的0day漏洞已有两周多的时间。 Palo Alto Networks于周五披露了该漏洞，警告称其已意识到有限的野外利用情况，并承诺在未来两天内提供补丁。 该安全缺陷被追踪为CVE-2024-3400（CVSS 评分为 10/10），被描述为命令注入问题，允许未经身份验证的攻击者以 root 权限在受影响的防火墙上执行任意代码。 据供应商称，所有运行 PAN-OS 版本 10.2、11.0 和 11.1 且启用了 GlobalProtect 网关和设备遥测的设备都容易受到攻击。其他 PAN-OS 版本、云防火墙、Panorama 设备和 Prisma Access 不受影响。 “Palo Alto Networks 已意识到有人恶意利用此问题。我们正在以“MidnightEclipse 行动”的名义跟踪此漏洞的初始利用，因为我们非常有信心地评估，迄今为止我们分析的已知利用仅限于单个攻击者。”该公司在博客文章中表示。 Volexity 将CVE-2024-3400 漏洞归因于一个有国家背景的黑客，追踪编号为“UTA0218”，攻击者似乎能力很强，“有一个明确的剧本，说明如何进一步实现其目标”。 “Volexity 评估认为，根据开发和利用此类性质的漏洞所需的资源、攻击者针对的受害者类型以及安装 Python 后门和所显示的功能，UTA0218 很可能是国家支持的黑客组织，意图进一步访问受害者网络。”该网络安全公司指出。 该公司目前无法将该活动与先前已知的黑客组织联系起来。 目前尚不清楚这种利用的范围有多广泛，但 Volexity 表示，“有证据表明，潜在的侦察活动涉及更广泛的利用，旨在识别易受攻击的系统”。 该网络安全公司表示，自 3 月 26 日以来，UTA0218 已成功利用0day漏洞攻击多个组织。在两个实例中，攻击者还注入了一个名为 Upstyle 的基于 Python 的后门，并用它来执行其他命令。 “成功利用设备后，UTA0218 从他们控制的远程服务器下载了额外的工具，以便于访问受害者的内部网络。他们迅速在受害者的网络中横向移动，提取敏感凭证和其他文件，以便在入侵期间和之后可能进行访问。”Volexity 解释道。 攻击链 研究人员发现攻击在防火墙上创建了一个 cron 作业，以持续从远程服务器获取文件并执行其内容。我们看到攻击者手动管理命令与控制 (C&C) 服务器的访问控制列表，以确保只能从与其通信的设备进行访问。 还观察到 UTA0218 部署了用 Python 编写的反向 shell 和开源 SSH 反向 shell，下载 GOST（GO Simple Tunnel）等反向代理工具，并从受感染的防火墙中窃取配置数据。 在一次攻击中，攻击者使用帕洛阿尔托网络防火墙的高特权服务帐户通过 SMB 和 WinRM 横向移动。随后，UTA0218 窃取了 Active Directory 数据库、关键数据、Windows 事件日志、登录信息、cookie 和浏览器数据，并能够解密存储的凭据。 “没有观察到 UTA0218 在受害者网络内的系统上部署恶意软件或其他持久性方法。被盗的数据确实使攻击者能够有效地破坏所有域帐户的凭据。此外，攻击者获得了访问权限，并可能使用从浏览器数据中获取的有效凭据或 cookie 来访问特定的用户工作站。”Volexity 解释道。 CVE-2024-3400 的补丁预计将于 4 月 14 日发布。与此同时，建议组织在其防火墙上禁用设备遥测，并应用 Palo Alto Networks 在其公告中详细介绍的其他缓解建议。 建议认为自己因该0day漏洞而受到损害的组织收集日志、创建技术支持文件并保留取证工件。他们还应该寻找潜在的横向移动，并应考虑防火墙上的所有敏感数据受到损害。 Palo Alto Networks 和 Volexity 警告称，UTA0218 和其他攻击者对 CVE-2024-3400 的利用可能会在未来几天内激增，这主要是由于补丁尚未推出。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/nxtN-VsXRmSLKEZ_avFeLA 封面来源于网络，如有侵权请联系删除

Google 宣布在 Chrome 网络浏览器中支持所谓的 V8 沙盒。该公司将 V8 沙盒纳入 Chrome 的漏洞奖励计划 (VRP)。 Chrome 123 是沙盒的一种“测试版”版本，旨在缓解 Javascript 引擎中的内存损坏问题。 V8 沙箱旨在防止内存损坏问题，从而影响进程中的其他内存区域。 2021 年至 2023 年间，几乎所有在野外观察到的Chrome 漏洞都会触发 Chrome 渲染器进程中的内存损坏问题，该进程被用于远程代码执行 (RCE)。其中大部分问题 (60%) 影响了 V8 Javascript 引擎。 “V8 漏洞很少是“经典”内存损坏错误（释放后使用、越界访问等），而是微妙的逻辑问题，这些问题反过来可以被利用来损坏内存。因此，现有的内存安全解决方案大部分不适用于 V8。”公告中表示， “特别是，无论是 切换到内存安全语言（例如 Rust），还是使用当前或未来的硬件内存安全功能（例如 内存标记），都无法帮助解决 V8 当前面临的安全挑战。” 研究人员强调，几乎所有 V8 漏洞的一个共同点是最终内存损坏发生在 V8 堆内。这主要是因为编译器和运行时主要处理 V8 HeapObject 实例。 为了缓解此类漏洞，研究人员设计了一种技术来隔离 V8 的（堆）内存，以防止内存损坏扩散到进程内存的其他部分。 “沙箱通过将 V8 执行的代码限制在进程虚拟地址空间（“沙箱”）的子集内，从而将其与进程的其余部分隔离，从而限制了典型 V8 漏洞的影响。这纯粹在软件中起作用（带有硬件支持选项，请参阅下面链接的相应设计文档），通过有效地将原始指针转换为距沙箱底部的偏移量或转换为沙箱外指针表的索引。原则上，这些机制与现代操作系统使用的用户态/内核分离非常相似（例如unix文件描述符表）。” 谷歌表示： “沙箱假设攻击者可以任意同时修改沙箱地址空间内的任何内存，因为该原语可以从典型的 V8 漏洞构建。此外，假设攻击者能够读取沙箱外部的内存，例如通过硬件侧通道。然后，沙箱旨在保护进程的其余部分免受此类攻击者的侵害。因此，沙箱地址空间之外的任何内存损坏都被视为沙箱违规。” 基于软件的沙箱 用“沙箱兼容”替代方案替换了可以访问沙箱外内存的数据类型。 在基于软件的沙箱中，只有 V8 堆被封闭在沙箱内。因此，整体结构类似于WebAssembly 采用的沙箱模型。 研究人员表示，沙箱产生的大部分开销主要来自外部对象的指针表间接。一个较小的开销与使用偏移量而不是原始指针有关，主要涉及移位+添加操作，无论如何这是相当便宜的。根据使用 Speedometer 和 JetStream 基准套件的测量结果确定，沙箱的开销约为标准工作负载的 1% 或更少。因此，V8 Sandbox 可以在兼容平台上默认激活。 “必须在构建时使用构建标志启用/禁用 V8 沙箱 v8_enable_sandbox 。（由于技术原因）不可能在运行时启用/禁用沙箱。 V8 Sandbox 需要 64 位系统，因为它需要预留大量虚拟地址空间，目前为 1 TB。”公告总结道。 “大约在过去两年里，V8 沙盒已经在 Android、ChromeOS、Linux、macOS 和 Windows 上的 64 位（特别是 x64 和 arm64）版本的 Chrome 上默认启用。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/_UhdYJiOBpD4nBB4zfkvsQ 封面来源于网络，如有侵权请联系删除

近期，思科公司表示，全球仅有 3% 的组织达到抵御网络安全风险所需的 “成熟 “准备水平。值得一提的是，这一比例与一年前相比大幅下降，当时有 15% 的公司被评为 “成熟”。 组织网络安全风险准备水平较低 如今，从网络钓鱼、勒索软件到供应链攻击和社交工程攻击，各种威胁技术持续将全球组织作为攻击目标。虽然一些组织正在针对这些攻击建立起了防御措施，但由于自身的安全态势过于复杂，且以多点解决方案为主，因此在防御攻击方面仍然举步维艰。 虽然 80% 的组织对其现有基础设施抵御网络攻击的能力非常乐观，但信心与准备程度之间有着很明显的差距。从现有状况来看，组织不仅对其”驾驭“安全威胁的能力存在认知不足，也可能没有正确评估所面临挑战的真正规模。 思科执行副总裁兼安全与协作部总经理 Jeetu Patel 指出，组织不能低估自身面对的安全威胁，需要持续优先投资于集成防御平台，并且不断智能化运营倾斜，以便最终实现自动化防御，使”天平“始终向有利于防御者的方向倾斜。 值得一提的是，73% 的受访组织表示，其预计在未来 12 到 24 个月内，网络安全事件将扰乱业务经营。如果组织内部毫无准备，可能要付出很大的代价。此外，54% 的受访者表示，在过去 12 个月中经历过网络安全事件，52% 的受访者表示至少损失了 30 万美元。 人才短缺影响组织构建安全防御机制 80% 的受访者承认，组织采用多点解决方案会降低其团队检测、响应和从网络安全事件中恢复的能力，没有带来显著的结果 。（67% 的组织表示，内部安全团队在安全堆栈中部署了10个或更多的点解决方案，25% 的企业表示部署了30个或更多的点解决方案。） 85% 的组织表示，内部员工通过非托管设备访问公司各个网络平台，其中 43% 的员工花费 20% 的时间通过非托管设备登录公司网络系统。此外，29% 的公司表示，其员工一周内至少在六个网络之间”跳来跳去“。 87% 的受访者指出，关键网络安全人才的短缺进一步阻碍了网络安全防御工作的开展。事实上，46% 的组织表示，他们的组织中有超过 10 个与网络安全相关的职位空缺。值得注意的是，52% 的组织计划在未来 12-24 个月内大幅升级其 IT 基础设施，这一数字比去年计划升级的 33% 有了明显增加。 最突出的是，企业计划升级现有解决方案（66%）、部署新解决方案（57%）和投资人工智能驱动技术（55%）。此外，97% 的公司计划在未来 12 个月内增加网络安全预算，86% 的受访者表示他们的预算将增加 10% 或更多。 最后，安全研究人员强调，组织必须加快在安全方面的资源投入，包括但不限于采用创新的安全措施和安全平台方法，加强网络弹性，更多的使用生成式人工智能产品，并加大安全人才招聘力度，从而构建起组织的网络安全防御体系。   转自Freebuf，原文链接：https://www.freebuf.com/news/396871.html 封面来源于网络，如有侵权请联系删除

安全内参消息称，美国民主党参议员Mark R. Warner日前提出《2024年医疗保健网络安全改进法案》，建议针对满足最低网络安全标准的医疗提供商，在网络事件后提供预付款和加急付款。 这项立法是对Change Healthcare遭受勒索软件攻击做出的回应。此次攻击导致美国全国医疗提供商结算服务中断，使许多提供商面临财务破产风险。据美国医院协会报告统计，几乎所有医院都感受到了此次事件对其财务或患者护理服务的影响。 这项法案提出者Mark R. Warner是参议院财政委员会成员，也是参议院网络安全小组的共同主席。法案提出，修改现有的《医疗保险医院加急付款计划》和《医疗保险B部分预付款计划》，要求卫生与公众服务部长确定付款需求是否由网络事件导致。   该法案提出，如果付款需求确为网络事件导致，接收付款的医疗提供商必须满足部长确立的最低网络安全标准，才有资格收到付款；如果提供商的中介是事件目标，中介也必须满足部长确立的最低网络安全标准，提供商才能收到付款。这些规定将在方案生效后两年内实施。该法案规定：“自2024年《医疗保健网络安全改进法案》生效之日起两年后，如果部长确定网络事件导致医院中介的运营中断或医院运营出现异常情况，造成严重的现金流问题，只有医院满足部长确立的最低网络安全标准，方可向该医院提供加急付款；如果受影响的是医院中介的运营，只有中介满足部长确立的最低网络安全标准，提供商才能获得付款。”法案进一步规定：“自本法案生效之日起两年后，如果卫生与公共服务部长确定网络事件导致根据第742号联邦法规的421.214节（或任何后续法规）描述的计划付款，只有服务提供商或供应商满足部长确立的最低网络安全标准，方可向服务提供商或供应商提供这些付款；如果提供商或供应商的中介是此类事件的目标，只有中介满足部长确立的最低网络安全标准，方可向服务提供商或供应商提供这些付款。” 医疗行业极为脆弱，需要针对性保护措施 参议员Warner在媒体声明中说：“我一直在警告医疗保健领域的网络安全问题。能够中断全国范围内患者护理能力的重大攻击早晚会发生。最近Change Healthcare黑客攻击事件提醒我们，整个医疗行业都很脆弱，需要提高防御水平。这项法案将为提供商和供应商提供一些重要的财务激励，帮助他们采取行动。” 他还强调，在极少数情况下，某些无法控制的事件（比如新冠疫情）会给医疗保险A部分的提供商（如急诊医院、康复护理机构和其他住院护理设施）和B部分的供应商（包括医生、非医生从业者、耐用医疗设备供应商和其他提供门诊服务的人员）带来现金流困难。 自20世纪80年代以来，美国医疗保险与医疗补助服务中心（CMS）通过加急付款和预付款（AAP）计划为这些计划参与者提供临时财务救济。救济期间，这些提供商和供应商从联邦政府获得预付款，后续政府会通过扣留后续索赔的付款的形式收回资金。 2022年，Warner参议员撰写了一份政策选择文件《网络安全即患者安全》，概述了当前医疗提供商和系统面临的网络安全威胁，并提供了一系列政策解决方案供讨论，以改进整个行业的网络安全。自发布以来，Warner参议员与跨党派同僚成立了医疗保健网络安全工作组，负责审查并提出潜在的立法解决方案，从而加强医疗和公共卫生领域的网络安全。   转自安全内参，原文链接：https://www.secrss.com/articles/64725 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 美国电信公司AT&T 表示，一名黑客在网络犯罪论坛上泄露了影响超7000 万人的数据，并声称这些数据在 2021 年该公司的一次违规行为中被盗，但这些数据并非来自该公司的系统。 这些数据据称来自2021年AT&T数据泄露事件，名为 ShinyHunters 的黑客试图在 RaidForums 数据盗窃论坛上以 20万美元进行起价出售。 ShinyHunters 试图出售所谓的 AT&T 数据截图 AT&T表示：目前没有证据表明系统被入侵，被盗数据并不属于该公司。他方认为，ShinyHunters不在乎AT&T是否承认，只在乎出售数据。 目前已询问该公司数据是否来自第三方，但暂未收到回复。 据称 AT&T 数据两年后泄露 近期，另一位名为 MajorNelson 的黑客在论坛上免费泄露了此次所谓的 2021 年数据泄露事件的数据，并声称这本是 ShinyHunters 试图在 2021 年出售的数据。 黑客论坛信息截图 这些数据包含姓名、地址、手机号码、加密的出生日期和社会安全号码等。黑客解密了出生日期和社会安全号码，并将它们添加到另一个泄露文件中，使其可访问。 BleepingComputer审查了数据，通过与受影响的人确认及与拥有在线AT&T账户的用户合作，验证出部分数据包含准确信息，如社会安全号码、地址、出生日期和电话号码。 其他网络安全研究人员也确认了数据的部分准确性。目前无法找到2021年及之前已知的AT&T客户数据。 考虑到AT&T移动客户总数达到2.018亿订户，这并不罕见，意味着数据可能只是部分转储。数据的来源目前尚不清楚，但大多数迹象都表明它是AT&T客户的数据。   消息来源：bleepingcomputer，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

darkreading网站消息，继众议院能源与商务委员会上周通过禁用流行社交媒体平台TikTok的法案后，美国国会于周三投票赞成该法案。该法案规定，任何受“外国”控股的企业需在180天内撤资。 长期以来，TikTok作为字节跳动的子公司，一直面临着日益增长的压力。 法案建议将TikTok出售给一家美国公司，如果字节跳动拒绝出售，美国的应用商店和网络托管服务将被禁止提供TikTok应用，违反规定的公司将面临罚款。 尽管众议院大力支持该法案，但参议院是否会审议该法案尚不明确。如果法案通过，它将成为首次通过立法手段尝试禁止像TikTok这样拥有约 1.7 亿美国用户的大型社交媒体平台。 TikTok因数据隐私和数据存储问题在全球范围内引起关注，不仅在美国，英国因为该公司去年未能遵守儿童数据保护规定对TikTok进行了巨额罚款。另外，整个欧盟对此也表示担忧。 欧盟委员会已禁止其员工使用TikTok，禁令基于可能被用于发起网络攻击的“网络安全威胁和行为”。 目前，TikTok 已投资 15 亿美元用于重组计划，并在美国成立了一家拥有 1500 名员工的子公司。 TikTok被视为“高度威胁” 亚当·马雷（Adam Marrè），北极狼（Arctic Wolf）公司的首席信息安全官（CISO）表示，TikTok在美国的监管防线之外构成了一个高度威胁，实施对TikTok的全面禁令带来了实质性的后勤挑战。 他进一步表明，如果国会能通过严格、明确、健全的法规来保护用户隐私，让用户控制个人数据的收集、存储和使用，就能对外资应用程序进行更有效的监督，禁令也就没有必要了。 Zendata的首席执行官纳拉亚纳·帕普指出，联邦政府的介入和指导有助于保护用户，并建立起对社交平台具有问责制的、更加有效的监管框架。 TikTok 为小型企业带来数十亿美元收入 上周，牛津经济研究院（Oxford Economics）发布报告称，TikTok在2023年为小型型企业带来了147亿美元的收入，为美国GDP贡献了242亿美元，并创造了22.4万个工作岗位，其中在加利福尼亚、德克萨斯、佛罗里达、纽约和伊利诺伊等地的影响尤为显著。 小型企业使用TikTok带来了53亿美元的税收，其中39%的企业认为TikTok对他们的生存至关重要，69%的企业表示销售额有所增加。 此外，TikTok在美国的运营为GDP贡献了85亿美元，创造了20亿美元的税收，并支持了超过5.9万个工作岗位。 媒体信托公司总裁克里斯-奥尔森（Chris Olson）表示，虽然TikTok的禁令尚未确定，但依赖TikTok获得大部分收入的品牌显然需要重新思考这种依赖性，因为不确定性本身就是一种商业风险。 奥尔森指出，首先，该法案并没有禁止美国公司使用 TikTok 的商业或广告服务；其次，即使法案通过，也不能确定其实际效果如何。 如果字节跳动拒绝剥离 TikTok，它仍将托管在非美国服务器上，用户可以通过互联网访问，也可能通过非官方应用程序访问。如果字节跳动真的剥离了 TikTok，就不会执行禁令，也无需改变业务运营。   转自Freebuf，原文链接：https://www.freebuf.com/news/394901.html 封面来源于网络，如有侵权请联系删除

意大利数据保护监管机构 Garante3月8日宣布，将对 OpenAI 新推出的视频人工智能模型 Sora 展开隐私调查。 监管机构虽然没有对 OpenAI 提出任何具体指控，但表示正在研究 Sora 对意大利（包括欧盟）个人数据使用可能产生的潜在影响，同时给予OpenAI 20 天的时间提供包括如何训练 Sora 算法、公司收集的数据类型以及收集的数据是否包含敏感信息（例如意大利和欧洲公民的政治观点、遗传和健康数据）在内的材料。 该机构还特地要求OpenAI清其向用户和非用户告知其产品 Sora 使用的数据的方式是否符合欧盟法规。 意大利对人工智能的安全审查力度在欧盟国家中一直走在前列。去年，该机构以违反欧洲通用数据保护条例为由，暂时封禁了ChatGPT，直到OpenAI 同意进行包括年龄验证和选择退出表单以从大语言模型中删除个人数据的选项后才得以解封。 在欧盟其他国家，OpenAI因其隐私做法而在德国、法国、西班牙和波兰面临审查。在对人工智能公司的审查力度加大之际，欧盟即将实施《人工智能法案》，禁止AI应用进行例如情绪识别和从闭路电视上抓取面部数据。 目前OpenAI 没有对意大利启动的这项调查进行回应，但该公司从去年12月起便更新了隐私政策，其中提供了有关公司收集的数据以及公司如何处理这些数据的信息。根据修订后的政策，OpenAI 用户可以拒绝出于直接营销或合法利益而处理其数据的请求。   转自Freebuf，原文链接：https://www.freebuf.com/news/394077.html 封面来源于网络，如有侵权请联系删除

近日，卡巴斯基的网络安全专家发现了一种专门针对中小型企业新的网络钓鱼活动。 攻击的方式包括利用电子邮件服务提供商(ESP) Twilio SendGrid来访问客户邮件列表，以及利用窃取的凭证发送令人信服的网络钓鱼电子邮件等。 这些电子邮件伪装得十分真实，所以如果收件人收到后没有意识到是钓鱼邮件，极可能会造成其一定的损失。 卡巴斯基在其最新发现中解释说，通过利用 SendGrid 的基础设施，攻击者可以利用收件人对过往发件人来源的信任度，来提高网络钓鱼成功的效果。 这些欺诈性电子邮件通常是伪装成来自ESP的合法消息，提示收件人在增强安全性的幌子下启用双因素身份验证(2FA)。但其提供的链接会将用户重定向到一个模仿SendGrid登录页面的假冒网站，然后在那里获取他们的凭据。 卡巴斯基安全专家Roman Dedenok表示：使用可靠的电子邮件服务提供商对企业的声誉和安全非常重要。但现在有一些骗子学会了伪装，他们往往伪装成提供可靠服务的邮件提供商。所以对企业来说，认真检查您收到的电子邮件至关重要，为了更好地提供保护，请安装可靠的网络安全解决方案。 安全专家还强调称，网络钓鱼者经常利用被劫持的账户，这是因为 ESP 通常会对新客户进行严格检查，而已经发送过大量电子邮件的老账户通常被认为是值得信赖的。 为了降低遭受网络钓鱼攻击的风险，卡巴斯基建议对员工进行基本的网络安全培训，利用具有反钓鱼功能的邮件服务器保护解决方案，并部署端点安全解决方案。 对此，Twilio 发布声明称：假冒网站管理员或其他关键功能已被证明是整个行业中一种有效的网络钓鱼手段，不少黑客对其平台和服务加以滥用，不仅窃取了客户的账户凭证，还利用平台发起了钓鱼攻击，Twilio SendGrid 对此非常重视，安全团队一经发现与网络钓鱼活动有关的账户就立即将其关停。 Twilio 发言人表示：平台鼓励所有终端用户采取多管齐下的方法来打击网络钓鱼攻击，包括双因素身份验证、IP 访问管理和使用基于域的消息传递等。   转自Freebuf，原文链接：https://www.freebuf.com/news/392548.html 封面来源于网络，如有侵权请联系删除

有研究指出，美国数据泄露通知制度未对网络安全产生显著影响，数据泄露事件依旧频发；研究提出了多种改进方案，如对规模以上公司进行网络安全评分、实施强制网络安全基线、改进法律问责制度等。 有消息称，随着科技的不断发展，网络攻击也在持续增加，导致4亿用户的个人数据存在被窃取的潜在风险。作为应对，美国50个州政府相继推出了数据泄露通知法（BNLs），要求公司在数据泄露时通知消费者。 近日，美国乔治梅森大学教授Brad Greenwood与明尼苏达大学教授Paul M. Vaaler在《法律与经济评论》期刊上发表论文指出，数据泄露通知法对整体安全保护几乎没有产生任何显著影响。 研究人员使用了隐私权利清理中心（简称PRC）统计的数据。该组织整理了自2005年以来有关公司数据泄露的详细信息。PRC的数据包括受影响公司、地点、原因以及泄漏记录数量等信息。研究人员采用了双向固定效应设计，也称为“双重差分”估计法。 研究旨在评估从2005年到2019年间，美国各州数据泄露通知法对数据泄露事件数量及规模有何影响。研究人员还采用美国联邦贸易委员会（FTC）消费者哨兵网络数据手册的数据作为替代数据，剖析数据泄露通知法对后续欺诈和身份盗窃数量及规模的影响。 研究结果显示，没有证据表明数据泄露事件有所减少，或者泄露后数据的长期滥用有所减少。 Greenwood指出：“统计结果非常不显著，我们基本可以推定，因变量的影响是随机的。”这表明，数据泄露通知法可能并未实现预期目标，未能减少数据泄露数量。 Greenwood列举了数据泄露通知法失败的一些原因。数据泄露通知法的目标是激励公司增加网络安全投资，避免因发布泄露通知而导致声誉损害。但由于公众对网络安全失败“普遍麻木”，这种激励的效果被严重削弱。 他说，为了激励公司采取切实行动，“必须提供经济回报，或对未采取行动者施加经济处罚。” 改进建议 Greenwood和Vaaler提出了几种可能方案，以替代或补充数据泄露通知法。其中一项方案是，由联邦贸易委员会为一定规模以上的美国公司进行网络安全评分，以便人们比较它们的网络安全状况。 Greenwood补充道：“还可以通过联邦立法规定最低安全协议，例如使用美国国家标准技术研究院广泛认可的标准。这至少可以为预期行为设立法律基准。” 另一种可能的方案是改变当前的法律责任制度。目前，索赔人实质性损害的定损标准过高，这使得公司难以被起诉。“判例法在这方面正在逐渐发展。法院开始意识到，个人因网络安全漏洞而花费的时间可以被视为损害，他们可以寻求赔偿。但是，证明实质性损害的标准仍然相当严苛。” Greenwood总结道：“就消费者保护而言，未来显然是不确定的。但我们唯一确定的是，目前的保护制度只对网络犯罪分子有利。”   转自安全内参，原文链接：https://www.secrss.com/articles/63805 封面来源于网络，如有侵权请联系删除