周二，一名联邦法官拒绝收回一项集体诉讼，该诉讼指控四家汽车制造商利用车辆的车载信息娱乐系统记录和拦截客户的私人短信和手机通话记录，违反了华盛顿州的隐私法。 西雅图的上诉法官裁定，这种做法不符合州法律规定的非法侵犯隐私的门槛，使汽车制造商本田、丰田、大众和通用汽车大获全胜，这些公司是五起相关集体诉讼的被告，这些诉讼的重点是问题。其中一宗针对福特的案件此前已在上诉中被驳回。 四起正在审理的案件中的原告对先前法官的驳回提出了上诉。但上诉法官周二裁定，对手机活动的拦截和记录不符合《华盛顿隐私法》的标准，即原告必须证明“他或她的企业、他或她的人身或他或她的声誉”受到了威胁。 在所涉问题的一个例子中，五起案件之一的原告于2021 年对本田提起诉讼，辩称至少从 2014 年开始，该公司车辆中的信息娱乐系统开始下载并存储智能手机上所有短信的副本。已连接到系统。 诉讼称，总部位于马里兰州安纳波利斯的 Berla Corporation 向一些汽车制造商提供该技术，但不向公众提供。诉讼称，一旦消息被下载，Berla 的软件就使车主无法访问他们的通信和通话记录，但确实为执法部门提供了访问权限。 据 Recorded Future News早些时候报道，许多汽车制造商正在向广告商出售车主数据，作为增加收入的策略。汽车制造商每年都在成倍增加安装在汽车中的传感器数量，但对这种做法的监管却很少。   转自会安全客，原文链接：https://www.anquanke.com/post/id/291299 封面来源于网络，如有侵权请联系删除

采用问卷调查评估形式，而非CMMC强调的第三方安全评估，以减少对小企业供应商的成本压力。 有消息称：美国国土安全部将开展“网络安全准备度”评估，在签订合同之前确定承包商是否已经采取适当的网络防御措施。 11月1日，美国国土安全部发布通知，公开新的“网络安全准备度评估因素”的详细信息。该通知由国土安全部首席信息安全官Kenneth Bible和采购政策与法规执行主任Sarah Todd共同签署。 通知确认，美国国土安全部计划采用自己的方法来评估承包商的网络安全，不再采用美国国防部的网络安全成熟度模型认证（CMMC）计划。 采用问卷调查审核评估形式 美国国土安全部官员在通知中写道：“国土安全部旨在确保，承包商已经采取了有效且适当的网络安全措施以支持工作。有了新的评估因素，国土安全部将能在适用合同招标前，评估承包商的网络安全状况，进行价值权衡，做出最佳决策。” 通知没有说明新的评估因素将何时生效。但美国国土安全部希望在11月17日之前收到对其计划的反馈意见。 在通知的附件中，美国国土安全部详细说明将如何分析承包商对问卷调查的回答，并以此为基础评估“网络安全准备度”。 如果招标使用准备度因素，投标公司需要展示他们如何落实美国国家标准与技术研究院的网络安全控制要求（如NIST SP 800-171r2、NIST SP 800-172），从而保护敏感政府数据CUI（受控非机密信息）。 投标公司将填写美国国土安全部“标准化安全评估工具问卷”。根据填写内容，公司将收到“准备度结果”和评级。从高到低，有“高度可能具备网络安全准备度”、“可能具备网络安全准备度”、“不太可能具备网络安全准备度”等多个等级。 美国国土安全部在通知中指出，这些指标“将根据具体的招标进行调整”。此外，公司的网络安全评级可能会对他们的投标产生积极或消极的影响。 通知附件指出：“目前，网络安全准备度因素将只用于适用招标工作，帮助进行价值权衡，做出最佳授标决策。当然，如果中标方在授标时并不符合美国国土安全部期望的要求，需要在招标文件中加入行动计划和里程碑节点，在授标后交付。” 美国土安全部弃用国防部CMMC标准 美国国土安全部去年向400家承包商发送自我评估问卷，以评估行业网络卫生情况，并在此基础上设计了全新的准备度评估工具。 在近日由Leadership Connect主持的网络研讨会上，Kenneth Bible表示，网络卫生工作围绕美国国土安全部的一项优先任务展开，即“通过采购提高行业承包商的网络安全态势”。 美国国土安全部的承包商需要遵循与美国国部防承包商相同的CMMC网络安全标准。不过Kenneth Bible此前表示，国防部要求许多承包商依照网络安全成熟度模型认证计划进行第三方网络安全评估，这一要求并不适合国土安全部。 Kenneth Bible在此次活动上重申了这一立场，表示该计划“不太适用于我们的行业承包商”，其中包括大量的小型企业。美国国防部正被迫对网络安全成熟度模型认证计划进行重大改革，以降低计划给中小型企业带来的成本。 Kenneth Bible表示，美国国土安全部可以在不制定任何规则的情况下实施网络安全评估机制。与之相比，国防部的网络安全成熟度模型认证流程仍处于规则制定阶段，不太可能在今年生效。 Kenneth Bible说：“这有助于我们在签订合同之前就进行审查。我们正在努力落实现在就可以落实的措施。只管动手去做就好。我认为，公众只要看到政府正在采取他们希望采取的行动，就会更加有信心。我们开始以此为工作标准，这对我们的工作会有很大帮助。或许我们无法做到每次都达到目标，但是，不动手去做，就永远无法达到目标。”   转自会安全内参，原文链接：https://www.secrss.com/articles/60508 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，一名安全研究人员近日声称，他发现有人试图利用托管在德国Hetzner和Linode（Akamai的子公司）的服务器，秘密拦截来自基于XMPP的即时消息服务jabber[.]ru（又名xmpp[.]ru）的流量。 XMPP是一种以XML为基础的开放式即时通信协议，具有超强的可扩展性。经过扩展后的XMPP可以通过发送扩展的信息来处理用户需求，以及在XMPP的顶端建立如内容发布系统和基于地址的服务等应用程序。 这位化名为 ValdikSS 的安全研究人员表示：攻击者使用 Let’s Encrypt 服务发布了几个新的 TLS 证书，这些证书被用于使用透明中间人攻击（MITM）代理，劫持 5222 端口上的加密 STARTTLS 连接。这次攻击是由于其中一个 MiTM 证书过期而被发现的，该证书尚未重新认证。 目前收集到的证据表明，流量重定向是在上述托管服务提供商网络上配置，排除了如服务器漏洞或诱骗攻击等其他可能性。研究人员已经证实的窃听活动至少从 2023 年 7 月 21 日开始，一直持续到 2023 年 10 月 19 日。但攻击者的首次窃听活动可能从 2023 年 4 月 18 日就已开始。 而攻击者的行迹首次暴露于 2023 年 10 月 16 日，当时一名 UNIX 管理员在连接该服务时收到了一条 “证书已过期 “的消息。据了解，在 2023 年 10 月 18 日开始调查这起MITM攻击事件后，攻击者停止了活动。目前还不清楚谁是这次攻击的幕后黑手。有专家认为，这起攻击是对 Hetzner 和 Linode 内部网络的入侵，特别是针对 jabber[.]ru。 研究人员说表示，鉴于拦截的性质，攻击者能够在不知道账户密码的情况下执行任何操作，这意味着攻击者可以下载账户名册、未加密的服务器端消息历史记录、发送新消息或实时更改消息。 The Hacker News建议该服务的用户检查他们账户中的 PEP 存储是否有新的未经授权的 OMEMO 和 PGP 密钥，并更改密码。 公民实验室（The Citizen Lab）详细介绍了移动网络运营商用于国际漫游的信令协议中存在的安全漏洞，监控人员、执法人员和有组织犯罪团伙可以利用这些漏洞对设备进行地理定位。 更有甚者，解析 ASN.1 消息的漏洞（CVE-2022-43677，CVSS 得分：5.5）可能被用作攻击载体，从用户平面跨越到控制平面，甚至破坏依赖于 5G 技术的关键基础设施。趋势科技研究员 Salim S.I. 在本月发布的一份报告中表示，CVE-2022-43677 漏洞利用 free5gc 中薄弱的 CUPS 实现，通过用户流量触发控制平面拒绝服务（DoS）。 对核心数据包的DoS 攻击会破坏整个网络的连接。在国防、警务、采矿和交通管制等关键领域，连接中断可能导致可怕的后果。   转自Freebuf，原文链接：https://www.freebuf.com/news/382227.html 封面来源于网络，如有侵权请联系删除

继美国国家网络主任办公室(ONCD)7月采取行动，呼吁提供信息以协调各司法管辖区的网络安全标准和法规后，世界经济论坛(WEF)周三（25日）发布了一份白皮书，列出了世界经济论坛系统的回应网络弹性：电力(SCRE)社区。 它的重点是解决网络安全要求中的冲突、确定优先部门和地区、评估国际对话、审查正在进行的全球举措以及探索监管互惠。 去年9月，WEF SCRE社区“已将全球监管互操作性确定为其重点关注领域之一，并成立了全球监管工作组，以促进电力行业全球网络监管的互操作性”，该机构在其最新文件中指出。“该工作组应对复杂、行业和部门不可知、分散、不一致、有时甚至相互冲突的法规的挑战。 这些孤立的法规缺乏并阻碍了互操作性，导致成本增加和效率低下，因为有限的资源被转移到解决合规性挑战，而不是直接解决部门和组织的网络安全状况。”白皮书补充说，工作组正在努力在其成员之间建立共同的社区立场，以帮助监管机构和充当监管机构的政府机构更好地了解该行业的需求。 SCRE社区欢迎并支持ONCD的监管协调工作。其对ONCD的建议包括： 继续ONCD不断努力提高全球监管互操作性、提高安全性和降低成本； 采用基于风险的方法，将安全性置于合规性之上； 从政策和监管流程的最初阶段就让私人、公共和民间社会利益相关者参与进来。 它还利用国际标准化组织（ISO）和国际电工委员会（IEC）等非政府机构制定的现有国际技术标准，并参与有关网络安全的国际对话和国际倡议。   转自安全客，原文链接：https://www.anquanke.com/post/id/291039 封面来源于网络，如有侵权请联系删除

该数据库由Redcliffe Labs拥有，Redcliffe Labs是一家位于北方邦诺伊达的印度医疗公司。 网络安全研究员杰里迈亚-福勒（Jeremiah Fowler）发现了一个无密码保护的数据库，其中包含 1200 多万条记录。这些数据包括敏感的患者数据，如医疗诊断扫描、测试结果和其他医疗记录。 在调查过程中，福勒发现医疗检测结果中包含大量患者的个人信息，包括姓名、医生姓名、与健康相关的详细信息，以及患者是在家中接受检测还是在医疗机构接受检测。这些文件属于印度一家医疗诊断公司 Redcliffe Labs。 数据库总容量为 7TB，包含约 12347297 条记录。标有 “报告 “的文件夹包含 1180000 个对象（约620GB）。标有 “智能报告存储 “的文档文件夹包含 1164000 个对象（1.5GB），标有 “测试结果 “的文件夹包含 6090852 个对象（2.2TB），其他文件夹包含内部文档、PDF、日志和应用程序文件等杂项文档。这些文件夹总共有 3912445 个对象（2.7GB）。 除了庞大的患者数据，暴露的数据库还包含公司移动应用程序的开发文件。这些文件控制着应用程序的功能和数据传输。 Redcliffe Labs 是印度领先的医疗中心之一，提供 3600 多种不同的健康和疾病测试。据 Redcliffe Labs 网站称，该机构拥有 250 万用户。该公司在印度 220 多个城市提供上门检测样本采集服务，并在全国拥有 2000 多家健康和样本采集中心。 根据福勒的博文，在他把问题上报的同一天，数据库的公开访问也随即受到限制。但是，目前还不清楚该数据库暴露了多长时间，也不清楚是否有未经授权的个人访问过该数据库。 然而此类漏洞可能会给患者带来深远的影响，因为他们可能会面临身份被盗、医疗欺诈和敲诈勒索等风险。如果移动应用程序的相关数据落入不法分子之手，网络犯罪分子就会利用这些数据发动网络攻击，破坏应用程序的功能，危害移动用户的安全。 最大的风险因素是应用程序代码的暴露，威胁者可以利用这些代码注入恶意代码，破坏应用程序，添加未经授权的功能，并注入恶意软件。 目前，Redcliffe Labs 尚未说明是否已将数据泄露事件通知相关部门或受影响的个人。此外，也没有迹象表明该公司的移动应用程序受到了威胁，或有人在数据受限前已经访问了患者数据。   转自Freebuf，原文链接：https://www.freebuf.com/news/381917.html 封面来源于网络，如有侵权请联系删除

IBM 的一项新研究表明，当前的生成式人工智能 (AI) 模型已经非常擅长编写看似高度可信的网络钓鱼电子邮件，并且可以为攻击者节省大量时间。 在IBM针对一家未透明名称的全球医疗保健公司1600 名员工进行的测试中，各有一半的员工分别收到了来自由真人和AI编写的钓鱼邮件，结果显示，14% 的员工误入了真人编写的钓鱼电子邮件并点击了恶意链接，11% 的员工则陷入了由ChatGPT 编写的钓鱼邮件。  ChatGPT 制作的钓鱼电子邮件（由 IBM 提供） 虽然由真人编写的钓鱼邮件在欺骗度上高于AI，但差距已经不大，更重要的是，研究人员只用了五分钟就让 ChatGPT 写出了一封钓鱼邮件。 领导这项实验的 IBM 首席人力黑客斯蒂芬尼·卡拉瑟斯（Stephanie Carruthers） 说道：““我的团队通常需要大约 16 个小时来构建网络钓鱼电子邮件，而且这还不考虑基础设施设置。因此，攻击者可以通过使用生成式人工智能模型节省近两天的工作时间。” 虽然ChatGPT 开发商 OpenAI 已经采取了保护措施，防止聊天机器人响应网络钓鱼电子邮件、恶意软件或其他恶意网络工具的直接请求。但卡拉瑟斯和她的团队已经找到了解决方法。 团队首先要求 ChatGPT 列出医疗保健行业员工关注的主要领域，然后提示 ChatGPT在电子邮件中列出最重要的社交工程和营销技术，以提高更多员工点击电子邮件中恶意链接的可能性。接着，提示询问 ChatGPT 发件人应该是谁——公司内部人员、供应商或外部组织。最后，要求ChatGPT根据刚刚提供的信息制作一封电子邮件。 “我拥有近十年的社会工程经验，制作了数百封网络钓鱼电子邮件，我甚至发现人工智能生成的网络钓鱼电子邮件相当有说服力，”卡拉瑟斯说。 她解释说，在创建网络钓鱼电子邮件方面，人仍然比机器更好，因为生成式人工智能模型仍然缺乏欺骗更多人所需的情商。 然而，IBM X-Force 已经观察到，诸如 WormGPT 之类的工具在各种宣传网络钓鱼功能的论坛上出售，表明攻击者正在测试人工智能在网络钓鱼活动中的使用，而且该技术正在不断改进。   转自Freebuf，原文链接：https://www.freebuf.com/news/381833.html 封面来源于网络，如有侵权请联系删除

俄罗斯政府和工业部门机构已成为 卡巴斯基实验室发现的大规模网络攻击的受害者 。攻击者使用附有恶意存档的网络钓鱼电子邮件，在受感染的设备上启动了新的后门。攻击的目标是窃取屏幕截图、文档、浏览器密码和剪贴板信息等数据。 这次攻击从 2023 年 6 月开始，一直持续到 8 月中旬。攻击者模仿监管机构的官方信息发送信件，其中包含 PDF 格式的虚假文档和恶意存档。如果受害者打开存档，[NSIS].nsi 脚本就会在他们的设备上启动，该脚本会在隐藏窗口中安装后门。同时，下载恶意软件的网站名称模仿了官方部门的网站。 启动后，恶意软件会检查互联网访问并尝试连接到合法的网络资源（外国媒体）。然后，它会检查受感染设备是否有可以检测其存在的软件和工具，例如沙箱或虚拟环境。如果至少有一个，后门就会停止活动。当所有检查都通过后，恶意软件会连接到攻击者的服务器并加载模块，使其能够从剪贴板窃取信息、截取屏幕截图并在流行扩展名中查找用户文档（例如 doc、.docx、.pdf、. xls、.xlsx）。所有数据均传输至控制服务器。 8月中旬，攻击者更新了他们的后门，添加了一个用于从浏览器窃取密码的新模块，并增加了对环境的检查次数。感染链保持不变。其中的差异在于，攻击者通过访问合法的网络资源取消了对互联网访问的检查：现在恶意程序立即连接到控制服务器。该恶意软件还添加了一个模块，允许其从浏览器窃取密码。此外，对环境中是否存在可检测恶意活动的工具的检查次数也有所增加。   转自安全客，原文链接：https://www.anquanke.com/post/id/290980 封面来源于网络，如有侵权请联系删除

目前，谷歌正为Chrome浏览器测试一项新的“IP保护”功能。因为该公司认为用户IP地址一旦被黑客滥用或秘密跟踪，都可能导致用户隐私信息泄露。 而这项功能可通过代理服务器屏蔽用户的IP地址，以增强用户的隐私性，这样就可以尽量在确保用户的隐私和网络的基本功能之间取得平衡。 IP 地址允许网站和在线服务跟踪跨网站的活动，从而便于创建持久的用户档案。与第三方 cookie 不同的是，用户目前没有直接的方法来躲避这种隐蔽的跟踪，这就造成了严重的隐私问题。 谷歌提出的 IP 保护功能是什么？ 虽然 IP 地址是潜在的跟踪载体，但它们也是路由流量、防止欺诈和其他重要网络任务等关键网络功能不可或缺的部分。 IP 保护 “解决方案通过代理服务器路由来自特定域的第三方流量，使这些域看不到用户的 IP 地址，从而解决了这一双重问题。随着生态系统的发展，”IP 保护 “也将不断调整，以继续保护用户免受跨站跟踪，并在代理流量中添加更多域。 关于 IP 保护功能的描述中曾提到：Chrome 浏览器正在重新引入一项建议，以保护用户免受通过 IP 地址进行的跨站跟踪。该建议是一种隐私代理，可对符合上述条件的流量进行 IP 地址匿名化处理。 前期IP 保护将作为一项可选择功能，确保用户可以控制自己的隐私，谷歌将会同时监控用户的行为趋势。这个功能的实施将分阶段进行，以适应地区性考虑并确保学习曲线。 第一阶段被称为 “第 0 阶段”，谷歌将使用专有代理将请求代理到自己的域名。这将有助于谷歌测试系统的基础设施，并为微调域名列表争取更多时间。 初期只有登录谷歌 Chrome 浏览器且 IP 位于美国的用户才能访问这些代理服务器。然后经过选择的一组客户端将自动纳入此次初步测试，但随着测试的深入，架构和设计也将随之调整。为了避免潜在的IP滥用，谷歌运营的认证服务器将向代理分发访问令牌，并为每个用户设定配额。 在下一阶段，谷歌计划采用两跳代理系统，以进一步提高隐私性。第二个代理将由外部 CDN 运行，而谷歌运行第一跳。这样可以确保两个代理都看不到客户端的 IP 地址和目的地。 由于许多在线服务利用 GeoIP 来确定用户的位置以提供服务，谷歌计划为代理连接分配代表用户 “粗略 “位置而非其具体位置的 IP 地址，如下图所示。 料来源：谷歌 谷歌打算测试该功能的域包括其自己的平台，如 Gmail 和 AdServices。同时，谷歌计划在 Chrome 119 和 Chrome 225 之间测试这一功能。 潜在的安全问题 谷歌方面解释称：新的 IP 保护功能存在一些网络安全问题。由于流量将通过谷歌服务器代理，这可能会使安全和欺诈保护服务难以阻止 DDoS 攻击或检测无效流量。 此外，如果谷歌的某个代理服务器被入侵，威胁者就可以看到并操纵通过该服务器的流量。 为了缓解这一问题，谷歌正在考虑要求使用该功能的用户对代理服务器进行身份验证，防止代理服务器将网络请求链接到特定账户，并引入速率限制以防止 DDoS 攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/381609.html 封面来源于网络，如有侵权请联系删除