总部位于美国的拼车公司 HopSkipDrive 遭第三方数据泄露，导致用户驾驶执照号码泄露。 HopSkipDrive是一家主要服务于儿童和老年人的公司，最近遭受了第三方数据泄露事件。据称，攻击者于2023年5月底入侵了HopSkipDrive使用的第三方应用程序，并在系统中滞留了近两周。 据该公司称，可能泄露的信息包括用户名、邮寄地址、电子邮件地址，以及驾驶执照号码或非驾驶员ID号码。该事件影响了超过约15.5万人。 暴露的驾驶执照和身份证号码可能被用来进行网络欺诈，给受害者带来严重的安全风险。 HopSkipDrive成立于2015年，为美国校车系统之外的地区的儿童和老年人提供乘车服务。该公司的合作伙伴包括丹佛公立学校、加利福尼亚县、联邦路公立学校以及其他组织。   消息来源：cybernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，RedHunt 实验室的研究人员发现，梅赛德斯-奔驰无意中留下了可在线访问的私钥，暴露了内部数据，包括公司的源代码。目前尚不清楚数据泄露是否暴露了客户数据。 梅赛德斯-奔驰（Mercedes-Benz）是德国著名的汽车、公共汽车和卡车制造商，以其丰富的创新历史、奢华的设计和一流的制造质量而闻名于世。 与许多现代汽车制造商一样，奔驰在其车辆和服务中使用了包括包括安全和控制系统、信息娱乐、自动驾驶、诊断和维护工具、连接和远程信息处理，以及电力和电池管理（电动汽车）等软件工具。 2023 年 9 月 29 日，RedHunt Labs 的研究人员在一个属于 Mercedez 员工的公共仓库中发现了一个 GitHub 令牌，该令牌可以访问公司内部的 GitHub 企业服务器。RedHunt Labs 在公告中写道：GitHub 令牌允许’不受限制’和’不受监控’地访问托管在内部 GitHub 企业服务器上的全部源代码。 该事件导致存放大量知识产权的敏感存储库数据泄露。其中，被泄露的信息包括数据库连接字符串、云访问密钥、蓝图、设计文档、SSO 密码、API 密钥和其他敏感内部信息。 源代码泄露可能会导致竞争对手对专有技术进行逆向工程，黑客很可能通过这种方式发现汽车系统中的潜在漏洞。此外，API 密钥暴露可能会导致未经授权的数据访问、服务中断以及出于恶意目的滥用公司的基础设施。 RedHunt 实验室还提到，如果被暴露的存储库中包含客户数据，则有可能触犯法律，比如违反 GDPR。不过，研究人员尚未验证被暴露文件的内容。 RedHunt 在 TechCrunch 的帮助下，于 2024 年 1 月 22 日向梅赛德斯-奔驰通报了令牌泄露事件，并在两天后撤销了该令牌，阻止了所有持有和滥用令牌者的非法访问。 这次事件有点类似 2022 年 10 月发生的丰田汽车安全事故。当时丰田披露，由于 GitHub 访问密钥被暴露，客户个人信息在长达五年的时间里仍可被公开访问。 只有当 GitHub 的所有者激活了审计日志，通常包括 IP 地址，才会产生恶意利用的实质性证据。 关于此次事件，梅赛德斯-奔驰公司的具体回复如下： 目前可以确认的是由于人为错误，奔驰的内部访问令牌的源代码被发布到了 GitHub 公共仓库上。 并且该令牌允许外部人员访问一定数量的仓库，但不能访问托管在内部 GitHub 企业服务器上的全部源代码。现已撤销了相应的令牌，并立即删除了公共存储库，所以目前客户数据未受影响。- 梅赛德斯-奔驰 出于安全原因，梅赛德斯奔驰方面表示并不想分享该事件的技术细节，因此目前还不清楚他们是否检测到了未经授权的访问。此外，该公司还表示，他们愿意与全球研究人员合作，并通过漏洞披露计划接受安全报告。   转自Freebuf，原文链接：https://www.freebuf.com/news/391047.html 封面来源于网络，如有侵权请联系删除

移动研究人员  Tommy Mysk 近日揭露，部分热门应用利用 iPhone 推送通知功能秘密发送用户数据，这引发了用户隐私安全担忧。 许多 iOS 应用程序正在使用由推送通知触发的后台进程来收集设备的用户数据，从而有可能创建用于跟踪的指纹档案。 Mysk 指出，这些应用程序绕过了苹果公司的后台应用程序活动限制，对 iPhone 用户构成了隐私风险。 苹果应用商店审查指南中有这样一段话：应用程序不应试图根据收集到的数据偷偷建立用户档案，也不得试图、协助或鼓励他人识别匿名用户，或根据从苹果提供的应用程序接口收集到的数据重建用户档案。 唤醒并收集数据 为防止资源消耗和提高安全性，苹果公司在最初设计 iOS 时就允许应用程序在后台运行。在用户不使用应用程序时，它们就会被暂停并最终终止，因此无法监控或干扰前台活动。 不过，在 iOS 10 中，苹果引入了一个新系统，允许应用程序在后台悄悄启动，以便在设备显示新推送通知之前处理它们。 该系统允许接收推送通知的应用程序解密传入的有效载荷，并从其服务器下载更多内容，以丰富推送通知的内容，然后再提供给用户。完成这一步后，应用程序会再次终止。 通过测试，Mysk 发现许多应用程序滥用了这一功能，将其作为向其服务器发送设备数据的“机会之窗”。根据应用程序的不同，涉及的数据包括系统运行时间、地域、键盘语言、可用内存、电池状态、存储使用情况、设备型号和显示亮度等等。 推送通知到达时 LinkedIn 的网络数据交换 研究人员认为，这些数据可用于指纹识别/用户特征分析，从而实现持续跟踪，而这在 iOS 系统中是被严格禁止的。 Mysk 在 Twitter 上表示：通过这次测试，可以看到这种做法比预想的更为普遍。许多应用程序在被通知触发后发送设备信息的频率令人震惊。 Mysk 在一段视频中演示了这一做法，他指出，苹果在 iOS 10 中引入的一项推送通知自定义功能被部分开发者“别有用心”地利用了，该功能原本是为了让应用丰富通知内容或解密加密信息，但一些开发商却将其用于更隐蔽的数据传输。Mysk 发现，包括 TikTok、Facebook、Twitter、领英和必应等在内的多个热门应用，正在利用推送通知的短暂后台执行时间，发送用户分析信息。 苹果将通过加强对使用设备信号 API 的限制来堵住漏洞，防止推送通知唤醒功能被进一步滥用。从 2024 年春季开始，应用程序将被要求准确声明为什么需要使用可能被滥用于指纹识别的 API。 这些 API 可用于检索设备信息，如磁盘空间、系统启动时间、文件时间戳、活动键盘和用户默认设置。 苹果表示，如果应用程序没有正确声明其使用这些 API 的情况和用途，就不能在 App Store 上架。 在此之前，希望避免这种指纹识别的 iPhone 用户应禁用推送通知。但将通知设置为静音并不能防止滥用，想要禁用通知，需打开 “设置”，前往 “通知”，选择要管理通知的应用程序，然后点击切换按钮禁用 “允许通知”。 2023年12 月，有消息称美国政府要求通过苹果和谷歌服务器发送推送通知记录，以此来监视用户。但苹果表示，美国政府禁止他们分享有关这些请求的任何信息，并在此后更新了他们的透明度报告。   转自Freebuf，原文链接：https://www.freebuf.com/news/390735.html 封面来源于网络，如有侵权请联系删除

进入 2024 年，Gcore 发布了最新的2023 年第三、四季度（Q3-Q4） DDoS 攻击趋势报告，指出 DDoS 攻击的规模和复杂性都有了惊人增长。 Gcore发现，过去三年，DDoS 峰值攻击流量每年的增幅都超过了100%，2021年DDoS攻击峰值流量为300Gbps，2022 年增至650 Gbps，2023 年 Q1-Q2 季度再次增至800 Gbps，2023 年Q3-Q4季度增至1600 Gbps (1.6 Tbps)。 2021-2023年度DDoS峰值攻击流量趋势（Gcore） 值得注意的是，2023 年下半年的跳跃意味着网络安全行业正在以新单位 Terabit（TB） 来衡量 DDoS 攻击。这说明 DDoS 攻击的潜在损害正在显着且持续升级，Gcore预计这一趋势将在 2024 年持续下去。 主要结果概览 攻击持续时间 研究报告发现，DDoS攻击时长从三分钟到九小时不等，平均约为一小时。通常，短时间的攻击更难检测，这是由于数据稀缺，无法进行适当的流量分析，而且由于更难识别，因此也更难缓解。更长时间的攻击需要更多的资源来对抗，需要强大的缓解响应，否则存在服务器长时间不可用的风险。 Gcore记录的最长DDoS攻击持续了9个小时（Gcore） 主要攻击类型 在主要攻击类型中，UDP flood继续占据主导地位，占 DDoS 攻击的 62%。TCP flood和 ICMP 攻击也仍然很流行，分别占总数的 16% 和 12%。所有其他 DDoS 攻击类型，包括 SYN、SYN+ACK Flood 和 RST Flood，合计仅占 10%。虽然一些攻击者可能会使用这些更复杂的方法，但大多数攻击者仍然专注于提供大量数据包来摧毁服务器。 2023 年下半年主要攻击类型占比（Gcore） 主要攻击源分布 攻击源的全球传播表明了网络威胁的无国界性质，攻击者可以跨越国界进行操作。Gcore 在 2023 年下半年发现了多个攻击来源，其中美国位居第一，占 24%。印度尼西亚（17%）、荷兰（12%）、泰国（10%）、哥伦比亚（8%）、俄罗斯（8%）、乌克兰（5%）、墨西哥（3%）、德国（2%）和巴西（2%）位列前十，这说明全球面临着广泛的威胁。 攻击源地理位置占比（Gcore） DDoS 攻击源的地理分布为制定有针对性的防御策略和制定旨在打击网络犯罪的国际政策提供了重要信息。然而，由于使用 IP 欺骗等技术以及分布式僵尸网络的参与，确定攻击者的位置具有一定难度。 目标行业 游戏行业仍然是受影响最严重的行业，遭受了 46% 的攻击。银行和博彩服务在内的金融行业位居第二，占 22%。电信（18%）、基础设施服务行业（7%）和计算机软件公司（3%）也成为重点目标。 受影响行业占比分布（Gcore） 这些行业分布与Gcore的上一份报告大致相同，攻击者对游戏和金融领域特别感兴趣，这些行业一般具有较好的经济收益和用户基础，同时凸显了在受打击最严重的行业中需要有针对性的网络安全策略的必要性。 分析及结论 2023 年下半年的数据显示了 DDoS 攻击令人担忧的趋势。尤其是峰值攻击增加到了令人震惊的 1.6 Tbps，这标志着组织必须做好准备应对不断高升的威胁水位。相比之下，即使是“不起眼的”300 Gbps 攻击也能够禁用未受保护的服务器。结合攻击源的地理分布，DDoS 威胁是一个严重的全球性问题，需要国际合作和情报共享，以有效减轻潜在的破坏性攻击。 攻击持续时间的范围表明攻击者变得更具战略性，针对特定的目标和目标调整他们的方法。例如在游戏领域，攻击的威力和持续时间相对较低，但更为频繁，会对特定服务器造成反复破坏，目的是破坏玩家体验，迫使他们切换到竞争对手的服务器。对于经济影响更为直接的金融和电信行业来说，攻击的数量往往较多，且长度变化很大。 游戏、金融行业、电信和基础设施服务行业的持续攻击反映了攻击者的战略选择，因为攻击导致的业务中断都会对其经济和运营产生重大影响。 Gcore的报告及时提醒人们要积极应对不断变化的网络威胁。跨部门的组织必须投资全面且适应性强的网络安全措施，以确保其能力领先于 DDoS 威胁，同时还能够敏锐地了解网络攻击者不断变化的模式和策略。   转自Freebuf，原文链接：https://www.freebuf.com/news/390469.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 2023 年 11 月，医疗保健服务提供商 HMG Healthcare 遭到勒索软件攻击，导致其 40 家附属护理机构的用户和员工的健康信息被泄露。 该公司立即对这一事件展开调查，发现黑客在8月份成功入侵了其服务器并窃取了未加密的文件。 这些被盗文件包含了姓名、出生日期、联系方式、健康状况、治疗信息、社会安全号码和工作记录等个人信息。 数据泄露通知中描述道，“我们通知受影响的个人或相关方，在2023年8月，涉及您或您亲人的服务器被未授权访问，并且可能导致了信息泄露” ，“此次事件是因为黑客访问我们的服务器并窃取未加密的文件。” HMG Healthcare 立即采取安全措施，防止进一步的泄露事件。 通知进一步指出：“HMG 尝试识别被泄露的数据，但现在这个过程存在一定困难。” 为了给受害者提供更多支持，该公司设立了一个咨询中心以解答疑问，并发布了受影响的机构清单。 此外，公司还建议他们持续关注自己的账户流水、福利明细和信用记录。 虽然数据泄露通知中未详细描述攻击方式，但专家普遍推测这是一次由勒索软件攻击引发的安全事件。   消息来源：securityaffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cybernews发现一起Elasticsearch数据泄露事件，其中包含超过2.23亿条巴西人的敏感信息。 Elasticsearch 是一个常用的工具，用于搜索、分析和可视化大量数据。这次泄露的数据并没有明确与某个特定公司或组织关联，因此目前暂时无法追溯具体数据来源。   数据泄露总数 这个数据集存放在云服务器上，包含了完整姓名、出生日期、性别以及个人税务登记号码（CPF）。泄露的数据超过 2.23 亿条记录，这意味着巴西全民可能都受到了此次数据泄露的影响。 泄露的私人数据 尽管数据不再公开可用，但黑客可能利用这些信息进行身份盗窃、欺诈和网络犯罪，给相关人员带来财务损害和非授权账户访问等严重风险。 此前，Cybernews曾报道涉及大量据称来自政府实体的泄露数据集在网络上出售的情况，而这次规模更大的泄露加剧了潜在影响。 今年年初，黑客还曝光了10 亿台电脑中的 23TB 数据，其中包括中国公民及上海警方的数十亿份案件记录。此外，还有 1.05 亿印度公民的个人数据（包括身份证号码、全名、出生日期和其他个人身份信息），也被非法披露并在网上售卖。   消息来源：cybernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 迪拜出租车公司（DTC）提供出租车、豪华轿车和其他交通服务，控制着迪拜44%的市场份额。 DTC运营着7,000多辆汽车，并拥有14,000名司机合作伙伴，是阿拉伯联合酋长国人口最多的城市中最大的服务提供商。DTC应用在Google Play商店的下载量超过100,000次。 由于数据库对公众开放，DTC应用程序泄露了大量敏感信息。Cybernews研究团队发现，超过197,000名应用用户和近23,000名司机的信息被曝光。 根据CyberNews团队的说法，泄露的数据存储在一个开放的MongoDB数据库中，该数据库现已关闭。企业使用MongoDB来组织和存储大量的面向文档的信息。 研究人员认为，泄露的数据库可能是用于开发目的的生产数据库，因为它包括客户数据、日志、司机的个人可识别信息（PII）、注册和银行详细信息，以及乘客订单详细信息。数据覆盖了2018年至2021年的时间段。 暴露的DTC应用用户数据包括电子邮件地址、电话号码、电话型号以及用于电子邮件、登录、会话和注册的应用令牌。令牌通常用作用户帐户的数字钥匙，理论上，暴露令牌可能导致未经授权的账户访问。 除了近20万名客户的信息外，DTC应用的开放数据库还泄露了22,952名司机的信息，包括：驾驶执照号码、工作许可证号码、国籍、用户名、加密密码、电话号码。 在线司机应用程序日志包含了高达1TB的数据，包括位置详情、IP地址、司机是否使用VPN服务，甚至包括设备电池状态。 “这个全面的数据集可以使威胁行为者从事各种恶意活动，从有针对性的网络钓鱼攻击和身份盗窃到利用个人的旅行模式进行犯罪目的，”Cybernews研究团队说。“这次信息泄露只是强调了采取迅速有效措施来减轻潜在危害并保护受损信息的迫切需要。”   消息来源：cybernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

从上周开始，谷歌支持论坛上陆续有大量谷歌云盘（Google Drive）用户报告丢失了最近半年的数据，云盘中的数据和文件夹结构被回滚到了今年5月份： 对于习惯在谷歌云盘存储关键数据的个人和企业用户来说，最近半年的数据不翼而飞堪称晴天霹雳。 根据投诉用户的反馈，帐户的活动日志可以确认用户自己没有意外删除数据，是谷歌云盘自身系统出现问题导致用户本地设备和谷歌云之间的数据在某些时候无法同步。 一些丢失数据的用户的设备中还留有丢失数据的脱机缓存，但目前包括谷歌云的工程师在内，还没人想出恢复设备缓存数据的方法。 一位谷歌技术支持工程师在给用户的回复中确认，在一次产品更新后，确实发生了用户数据丢失问题，谷歌已经在调查该事件，但目前尚未给出任何修复建议或计划。 专家给受影响用户的建议是：在问题得到解决并找到根本原因之前，避免更改谷歌云盘的文件目录和数据。 谷歌云盘数据丢失事件为个人和企业数据安全敲响警钟，即便是能提供高标准SLA服务质量承诺的谷歌云盘，如果没有本地或其他云数据备份，关键数据也面临单点失败的风险。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/O81qKKg598-0wCuKyjoFog 封面来源于网络，如有侵权请联系删除

据观察，隶属于联邦安全局 (FSB) 的俄罗斯网络间谍活动者在针对乌克兰实体的攻击中使用了名为LitterDrifter的 USB 蠕虫。 以色列安全公司Check Point详细介绍了Gamaredon（又名 Aqua Blizzard、Iron Tilden、Primitive Bear、Shuckworm 和 Winterflounder）的最新战术，称该组织从事大规模活动，随后“针对特定目标进行数据收集工作，其选择很可能是出于间谍目的。” 技术报告URL:https://research.checkpoint.com/2023/malware-spotlight-into-the-trash-analyzing-litterdrifter/ LitterDrifter 蠕虫病毒包具有两个主要功能：通过连接的 USB 驱动器自动传播恶意软件以及与攻击者的命令和控制 (C&C) 服务器进行通信。它还被怀疑是赛门铁克于 2023 年 6 月披露的基于 PowerShell 的 USB 蠕虫的演变。 传播器模块用 VBS 编写，负责将蠕虫作为 USB 驱动器中的隐藏文件以及分配了随机名称的诱饵 LNK 进行分发。该恶意软件因其初始编排组件名为“trash.dll”而得名 LitterDrifter。 Check Point 解释说：“Gamaredon 的 C&C 方法相当独特，因为它利用域名作为实际用作 C2 服务器的循环 IP 地址的占位符。” LitterDrifter 还能够连接到从 Telegram 频道提取的 C&C 服务器，这是至少从今年年初以来它反复使用的策略。 该网络安全公司表示，根据来自美国、越南、智利、波兰、德国和香港的 VirusTotal 提交的信息，它还发现了乌克兰境外可能受到感染的迹象。   Gamaredon 今年表现活跃，同时不断改进其攻击方法。2023 年 7 月，对手的快速数据泄露能力曝光，威胁行为者在最初入侵后一小时内传输敏感信息。 “很明显，LitterDrifter 的设计目的是支持大规模情报收集业务。”该公司总结道。“它利用简单而有效的技术来确保它能够实现该地区最广泛的目标。” 这一事态发展正值乌克兰国家网络安全协调中心（NCSCC）透露俄罗斯国家支持的黑客针对欧洲各地大使馆（包括意大利、希腊、罗马尼亚和阿塞拜疆）策划的攻击。 这些入侵归因于APT29（又名 BlueBravo、Cloaked Ursa、Cozy Bear、Iron Hemlock、Midnight Blizzard 和 The Dukes），涉及通过看似良性的诱饵来利用最近披露的 WinRAR 漏洞 ( CVE-2023-38831 )出售宝马汽车，这是它过去采用的主题。 攻击链首先向受害者发送网络钓鱼电子邮件，其中包含指向特制 ZIP 文件的链接，该文件启动后会利用该缺陷从 Ngrok 上托管的远程服务器检索 PowerShell 脚本。 NCSCC 表示：“俄罗斯黑客组织利用 CVE-2023-38831 漏洞的趋势令人担忧，这表明该漏洞日益流行且复杂。” 本周早些时候，乌克兰计算机紧急响应小组 (CERT-UA)发现了一场网络钓鱼活动，该活动传播恶意 RAR 档案，这些档案伪装成来自乌克兰安全局 (SBU) 的 PDF 文档，但实际上是一个可执行文件，可导致部署 Remcos RAT。 CERT-UA 正在追踪名为 UAC-0050 的活动，该活动也与 2023 年 2 月针对该国国家当局交付 Remcos RAT 的另一轮网络攻击有关。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/zU-9AFRM0lhJrh9ea46GSw 封面来源于网络，如有侵权请联系删除

随着巴以冲突的持续，相关新闻事件报道层出不穷，一些虚假内容也开始混入其中，让人真假难辨。最近，由AI生成、反映巴以冲突现场的图片出现在知名图片库 Adobe Stock 中，并被一些新闻媒体采用。 作为一家积极拥抱生成式人工智能的图片库，Adobe Stock从2022年开始允许供稿人上传和销售由AI 生成的图片，只是在上传时要标注“是否由 AI 生成”，成功上架后也会将该图片明确标记为“由 AI 生成”。除此要求外，提交准则与任何其他图像相同，包括禁止上传非法或侵权内容。 但据澳大利亚网站Crikey报道，在Adobe Stock搜索与以色列、巴勒斯坦、加沙和哈马斯相关的关键词，会出现大量由AI生成的图片，例如搜索巴勒斯坦时显示的第一个结果标题就是“由人工智能生成的以色列和巴勒斯坦冲突”的图片。其他一些图片也显示了抗议、实地冲突，甚至是儿童逃离爆炸现场的画面，但所有这些也都是由AI生成。 图1：在 Adobe Stock 上搜索巴以冲突时会搜索到大量 AI 图像 令人担忧的是，这些图片已经出现在一些在线新闻媒体、博客，但没有将其标记为由人工智能生成，也尚不清楚这些媒体是否知道这些是虚假图片。 图2：一些媒体机构在报道巴以冲突新闻时已经使用图1左上角那张由AI生成的图片 事后，Adobe表示，所有生成式 AI 内容在提交许可时都必须贴上相应标签，但也强调，客户在购买使用时知道“这是一张由生成式 AI 工具创建的图片”同样重要。 识别图片真假是一项复杂性工作 专家一再警告称，人工智能将被用来在网上传播错误信息，随着越来越多看起来逼真的内容在互联网上发布和共享，解决这个问题变得越来越困难。 RMIT 高级讲师 TJ Thomson 博士正在研究人工智能生成图像的使用，他表示，人们担心人工智能图像使用的透明度以及受众是否有足够的文化知识能够对其进行识别。 根据一项被称为“内容真实性计划”的措施，包括Adobe、微软、BBC 和《纽约时报》在内的科技和新闻组织正在尝试实施内容凭证技术，该凭证使用文件元数据来突出显示图片的来源，无论这些图片是由真人拍摄还是AI生成。 然而，内容凭证尚未在实际环境中部署，需要社交网络、出版商、艺术家以及应用程序、浏览器和生成人工智能开发人员的合作才能按预期工作。   转自Freebuf，原文链接：https://www.freebuf.com/news/383328.html 封面来源于网络，如有侵权请联系删除