HackerNews 编译，转载请注明出处： 加拿大最大的食品和药品零售商 Loblaw Companies Limited（Loblaw）宣布，黑客入侵了其部分 IT 网络并访问了客户的基础信息。 该零售商在全国拥有 2500 家门店（特许经营超市、药房、银行网点和服装店铺），并计划今年新增 70 家门店，作为其到 2030 年投资 100 亿加元的五年计划的一部分。 该公司拥有 22 万名员工，年收入 450 亿加元。其最知名的商业品牌和标识包括 Loblaws、Real Canadian Superstore、No Frills、Maxi、President’s Choice、PC Optimum 和 Joe Fresh。 本周早些时候，该公司告知客户，其在网络上检测到可疑活动，进而发现了入侵行为。 Loblaw 表示：“在其 IT 网络中一个隔离、非核心的部分发现可疑活动后，公司确认有犯罪第三方访问了部分客户基础信息，例如姓名、电话号码和电子邮件地址。” 泄露的数据属于个人可识别信息（PII），可能被用于钓鱼攻击和欺诈活动。Loblaw 的客户应警惕来自陌生联系人的可疑通信。 该公司指出，截至目前的调查未发现财务信息（如信用卡详情）、健康信息或账户密码遭到泄露的证据。 但出于高度谨慎，Loblaw 表示已将所有客户自动登出账户。需要使用公司数字服务的账户持有人必须重新登录。建议客户同时修改密码。 Loblaw 的调查显示，其金融服务品牌 PC Financial 未受此次事件影响。 截至发稿时，Bleeping Computer 未发现有威胁组织公开宣称对此次攻击负责，也未发现地下论坛上有兜售 Loblaw 相关数据的信息。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 某行业监管机构发现，知名 YouTube 博主 “野兽先生”（MrBeast，本名吉米・唐纳森）在未获得家长同意的情况下收集儿童信息，这一问题促使其频道的数据收集及广告投放流程全面整改。 美国商业改进局全国项目（BBB National Programs）旗下的 “儿童广告审查组”（CARU）于周四表示，唐纳森违反了该机构的隐私准则，且其行为可能触犯了美国联邦《儿童在线隐私保护规则》（COPPA）。根据《儿童在线隐私保护规则》（COPPA）规定，网站在收集、使用或共享 13 岁以下儿童的个人信息前，必须获得家长可验证的同意。 该监管机构指出，唐纳森的 YouTube 频道拥有 4.36 亿订阅者，此次违规源于他向观众发起两项抽奖活动时，未提供任何让参与者填写家长或监护人信息的渠道，导致无法获取相关同意授权。 据 “儿童广告审查组”（CARU）透露，唐纳森向包括 13 岁以下儿童在内的受众承诺，参与者只要频繁提交 “已购买其关联品牌‘Feastables’巧克力棒” 的二维码凭证，获奖者便可获得 1 万美元奖金。 而参与该抽奖活动的用户需提供全名、电话号码、地址及电子邮箱等信息。 此外，“Feastables” 官网还存在不当行为：网站弹出全屏弹窗，反复要求访客提供电子邮箱地址，并显示 “野兽先生邀你加入‘团队’”（MrBeast Wants You to Join the Crew）的诱导语。 监管机构工作人员通过测试发现，在输入电子邮箱地址后，网站会弹出第二个弹窗，要求用户填写电话号码；且用户提供的邮箱与电话联系方式随后会被发送至第三方。 “儿童广告审查组”（CARU）表示，唐纳森已与该机构合作，更新了其频道的数据收集流程，并已解决相关问题。 “Feastables” 品牌发布声明称，“认可 CARU 推动负责任儿童广告的使命”，但同时指出，“并不认同该决定中的所有结论及其依据的前提”。 声明还提到：“尽管如此，‘野兽先生’与‘Feastables’在未来策划面向儿童群体的广告内容时，定会认真考虑 CARU 提出的关切。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 以色列研究人员近日发现一种名为“SmartAttack”的新型数据窃取技术，该技术利用智能手表作为隐蔽的超声波信号接收装置，从物理隔离的气隙系统中窃取数据。气隙系统广泛应用于政府设施、武器平台和核电站等关键任务环境，通过物理隔绝外部网络来防范恶意软件感染和数据窃取。尽管如此，系统仍面临内部人员威胁（如恶意员工使用USB设备）或国家级供应链攻击的渗透风险。 攻击流程分为三个阶段： 系统渗透 攻击者首先需通过U盘植入等方式使气隙系统感染恶意软件，该程序可窃取键盘记录、加密密钥等敏感信息。 超声波信号传输 恶意软件通过计算机内置扬声器发射18.5kHz（代表“0”）和19.5kHz（代表“1”）的超声波信号，采用二进制频移键控（B-FSK）技术将数据编码为声波。此频率超出人耳听觉范围，但可被附近人员佩戴的智能手表麦克风捕获。 数据外泄 智能手表上的监听程序通过信号处理技术解调声波频率，将二进制数据还原。窃取的信息最终通过手表蓝牙、Wi-Fi或蜂窝网络传输至外部攻击者。攻击可能由恶意员工主动配合实施，也可能在用户不知情时通过感染手表完成。 攻击性能与局限 传输距离：受限于智能手表麦克风的低信噪比特性，有效传输距离为6-9米（20-30英尺），且手表需与计算机扬声器保持视线无障碍 传输速率：实际速率仅5-50比特/秒，速率提升或距离增加将显著降低可靠性 环境干扰：键盘敲击等背景噪音会影响信号接收（参见图示） 防御建议 设备管控：在安全敏感区域全面禁用智能手表 硬件改造：移除气隙系统内置扬声器，彻底消除声学攻击面 技术防护：采用超声波干扰（发射宽带噪声）、软件防火墙或音频隔离技术作为补充方案 该研究由以色列本·古里安大学的Mordechai Guri教授团队主导。Guri此前还开发过利用屏幕噪声、内存调制、LED信号、USB射频等物理介质的数据窃取技术。尽管此类攻击在实施层面存在较高难度，但其创新性揭示了物理隔离系统的潜在脆弱性。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 两个恶意 RubyGems 包伪装成流行的 Fastlane CI/CD 插件，将 Telegram API 请求重定向到攻击者控制的服务器以拦截和窃取数据 RubyGems 是 Ruby 编程语言的官方包管理器，用于分发、安装和管理 Ruby 库（gems），类似于 JavaScript 的 npm 和 Python 的 PyPI。这些恶意包会拦截敏感数据，包括聊天 ID 和消息内容、附件文件、代理凭证，甚至是可以用于劫持 Telegram 机器人的 Bot Token。 该供应链攻击由 Socket 安全研究人员发现，他们已通过报告向 Ruby 开发者社区发出风险警告。 这两个仿冒 Fastlane 插件的恶意包目前在 RubyGems 上仍然可用，名称如下： fastlane-plugin-telegram-proxy：发布于 2025 年 5 月 30 日，已被下载 287 次。 fastlane-plugin-proxy_teleram：发布于 2025 年 5 月 24 日，已被下载 133 次。 Fastlane 是一个合法的开源插件，作为移动应用开发者的自动化工具。它用于代码签名、编译构建、应用商店上传、通知发送和元数据管理。 fastlane-plugin-telegram 是一个合法的插件，允许 Fastlane 通过 Telegram Bot 在指定频道发送通知。这对于需要在 Telegram 工作区中实时获取 CI/CD 管道更新状态的开发者非常有用，使他们无需频繁检查仪表板即可跟踪关键事件。 Socket 发现的恶意 gem 与合法插件几乎完全相同，具有相同的公共 API、自述文件、文档和核心功能。 唯一但至关重要的区别在于，它们将合法的 Telegram API 端点 (https://api.telegram.org/) 替换为攻击者控制的代理端点 (rough-breeze-0c37[.]buidanhnam95[.]workers[.]dev)，从而拦截（并且很可能收集）敏感信息。 窃取的数据包括： Bot Token 消息数据 任何上传的文件 配置的代理凭证（如果配置了的话） 攻击者有充分的利用和持久化机会，因为 Telegram Bot Token 在受害者手动撤销之前一直有效。 Socket 指出，这些 gem 的页面声称代理“不存储或修改您的 Bot Token”，但无法验证这一说法。“Cloudflare Worker 脚本不可公开查看，威胁行为者完全有能力记录、检查或篡改传输中的任何数据，”Socket 解释道。“使用此代理，结合仿冒可信的 Fastlane 插件，清楚地表明其意图是在正常 CI 行为的幌子下窃取 Token 和消息数据。此外，威胁行为者尚未公开 Worker 的源代码，使其实现完全不透明。” 建议措施： 立即移除： 已安装这两个恶意 gem 的开发者应立即将其移除。 重建二进制文件： 重建自安装该恶意 gem 日期后生成的任何移动应用二进制文件。 轮换 Bot Token： 所有与 Fastlane 一起使用过的 Bot Token 都应立即轮换（因为它们已被泄露）。 网络屏蔽： Socket 还建议屏蔽到 *.workers[.]dev 的流量，除非明确需要。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果公司已同意支付9500万美元，以和解一项指控其利用虚拟助手Siri偷听iPhone及其他时尚设备用户隐私的诉讼。 周二，加利福尼亚州奥克兰联邦法院提交的和解方案，旨在解决这起长达5年的诉讼。该诉讼指控苹果公司在十多年间，秘密激活Siri，通过iPhone及其他配备该虚拟助手的设备记录用户对话。 据称，这些录音甚至在用户没有使用触发词“嘿，Siri”激活虚拟助手时也发生了。诉讼还声称，部分录音被分享给广告商，以便向更可能对产品感兴趣的消费者推销商品和服务。 关于Siri偷听的指控，与苹果公司长期以来保护客户隐私的承诺相悖。苹果公司首席执行官蒂姆·库克经常将此承诺描述为捍卫“一项基本人权”的斗争。 在这项和解中，苹果公司并未承认有任何不当行为，该和解仍需得到美国地区法官杰弗里·怀特的批准。案件律师已提议于2月14日在奥克兰举行法庭听证会，以审查和解条款。 如果和解获得批准，自2014年9月17日至去年年底拥有iPhone及其他苹果设备的数千万消费者可提出索赔。每位消费者可获得最多20美元的赔偿，针对和解覆盖的每台配备Siri的设备，但具体赔偿金额可能会根据索赔数量而增减。据法庭文件估计，预计只有3%至5%的符合条件的消费者会提出索赔。 符合条件的消费者最多只能就五台设备寻求赔偿。 对于苹果公司自2014年9月以来获得的7050亿美元利润而言，这笔和解金额只是九牛一毛。同时，这也远低于消费者代表律师在诉讼中估计的，如果苹果被判违反窃听及其他隐私法律，可能需要支付的约15亿美元罚款的一小部分。 根据法庭文件，提起诉讼的律师可从和解基金中寻求最多2960万美元，以支付其费用和其他开支。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

网络中存在的各类威胁错综复杂且不断变化，攻击者一直在改进其攻击方法，经常出现一些新的信息窃取恶意软件。据Cyber Security News消息，最近一种名为 PureLogs 的恶意软件以其低廉的价格、不俗的功能受到攻击者青睐。 图片来源：FreeBuf PureLogs  是用 C# 构建的 64 位信息窃取程序，并使用 commercial.NET Reactor 打包器将其程序集捆绑到多个阶段， 能够通过 Chrome、Edge、Opera等浏览器获取私人信息，与 Lumma、Vidar 和 Meduza 等少数其他恶意软件具有相同的能力。 2022 年，PureLogs 最初在地下市场上出售，此后在多个地下论坛上进行了推广，并在 clearnet 上保留了一个帐户和专用市场。目前该程序通过将潜在客户引导至特定Telegram机器人以获得支持和销售查询，价格为每月99美元、每季度199美元、每年299美元和终身用户的499美元，是市场上最便宜的信息窃取程序之一。 根据 Flashpoint Intel Team 报告，PureLogs 分三个阶段运行。加载和执行阶段是第一个阶段，第二阶段是在加载最终信息窃取程序集之前进行反沙箱测试和网络配置。到了第三阶段，PureLogs开始实施信息窃取程序代码，并获取以下信息： 浏览数据 Chrome、Edge 和 Opera 扩展 加密货币钱包应用程序 桌面应用程序 受害者计算机信息 文件夹、文件扩展名等都可以被 PureLogs 识别并抓取，并可将相关数据传输到 Telegram。PureLogs 的Telegram 面板可显示受害者的详细信息、被窃数据的数量、捕获的屏幕截图以及可以整个下载的日志文件。 由于该恶意软件非常易于操作、价格低廉且进入门槛低，让低水平攻击者也能成功实施较复杂的攻击操作。 参考来源：PureLogs, Low Cost Infostealer Attacking Chrome Browser     转自FreeBuf，原文链接：https://www.freebuf.com/news/412760.html 封面来源于网络，如有侵权请联系删除

图片来源：Cybernews 据悉，尼日利亚的金融科技公司BestFin Nigeria泄露了近846000名客户及其紧急联系人的信息数据，甚至包括私人通信。 在一些国家，贷款应用程序几乎能够收集到客户的各种信息。2024年7月2日，Cybernews调研团队发现了一个隶属于BestFin Nigeria Limited的开放数据库，该数据库正是背靠iCredit应用程序获取信息。调研人员对其数据收集程度感到惊讶，因为这个数据箱容量超过300GB，包含846,000名客户的敏感个人数据，且开放共享。 该服务收集了以下数据： 个人数据，包括姓名、性别、电话号码、电子邮件地址、家庭住址、出生日期、工资范围和婚姻状况 紧急联系人 用户设备上安装的应用程序列表 保存在他们手机上的联系人列表 设备标识符，如IMEI、模型和IP地址 用户发送和接收的任何短信，包括与付款无关的个人消息、一次性密码以及金融和非金融账户的临时密码 银行验证号码（BVN）验证日志 Cybernews调研团队表示：“虽然BestFin是尼日利亚经批准的贷款人，但其贷款回收和筛选做法明确违反了尼日利亚的数据隐私条例。该条例禁止程序访问用户联系人列表和私人消息历史。因为如果掌握了这些信息，攻击者就可以访问在线帐户或窃取受害者的身份和资金。” 而这却是尼日利亚国内的常见做法。尼日利亚政府意识到了这个问题，并承诺在2024年通过新的立法进一步解决此情况。 图片来源：Cybernews 在此虽只解读了这一起案例，但数字贷款应用程序所带来的客户信息泄漏却是毋庸置疑的。 研究人员表示：“公司声称他们收集敏感的用户数据，是为了评估贷款资格并遏制欺诈行为。而现实却是，公司的做法恰好为网络犯罪分子打开了非法滥用和金融剥削的大门。” 图片来源：Cybernews iCredit应用程序的用户逐渐意识到了他们的数据发生了泄露，作为预防，需要警惕网络钓鱼诈骗、可疑消息、电话和试图访问其帐户的一切行为。 7月4日，Cybernews调研团队披露了MongoDB数据库暴露的问题。经过多次后续尝试，该数据库最终得到保护，从8月26日起不能再被公开访问。 Cybernews调研团队已联系BestFin Nigeria征求意见，但尚未收到回复。     消息来源：Cybernews，译者：XX；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

一名俄罗斯学生周四因向乌克兰安全局（SBU）泄露俄罗斯军队位置被判有罪，并被判处五年监禁。 俄罗斯联邦安全局 (FSB)向国有媒体俄罗斯新闻社透露，这名学生“利用互联网”收集了在乌克兰作战的俄罗斯士兵所在位置的信息。作为回报，他从乌克兰安全局获得了报酬。 报告没有具体说明嫌疑人在网上获取了哪些信息，因为他居住在俄罗斯城市比罗比詹，该城市位于西伯利亚，靠近中俄边境。比罗比詹是世界上唯一一个以色列境外的犹太自治领地。 据俄新社报道，该学生“完全承认了自己的罪行并配合调查”。但他可能会受到更严厉的惩罚，因为在俄罗斯，叛国罪最高可判处终身监禁。 本周早些时候，乌克兰网络警察拘留了一名男子，该男子冒充送餐快递员，收集乌克兰军队、关键基础设施和受伤士兵医院的位置数据。 据乌克兰网络警察称，该嫌疑人“在信使中”遇到了俄罗斯特工人员的代表。他因拍摄乌克兰西部重要地点的视频而从俄罗斯收取了报酬。 今年 1 月，乌克兰安全局拘捕了一名亲俄黑客，他涉嫌对乌克兰国家网站发动网络攻击并泄露战略信息。如果罪名成立，他可能面临最高 12 年的监禁。 俄罗斯也发生过类似事件。10月，两名俄罗斯公民因涉嫌代表乌克兰对俄罗斯网络进行网络攻击而在西伯利亚被拘留。如果罪名成立，他们可能因叛国罪面临最高20年的监禁。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/m81lhIjrEbYgKuvOQF63lw 封面来源于网络，如有侵权请联系删除

与朝鲜有关的APT组织 Kimsuky 涉嫌使用新的恶意 Google Chrome 扩展程序，该扩展程序旨在窃取敏感信息，作为正在进行的情报收集工作的一部分。 Zscaler ThreatLabz于 2024 年 3 月初观察到了该活动，并将该扩展程序命名为 TRANSLATEXT，突出显示其收集电子邮件地址、用户名、密码、cookie 和浏览器屏幕截图的能力。 据称，此次攻击活动是针对韩国学术界，特别是关注朝鲜政治事务的学术界。 Kimsuky 是朝鲜一个臭名昭著的黑客组织，据了解，该组织至少自 2012 年以来一直活跃，策划针对韩国实体的网络间谍活动和出于经济动机的攻击。 Kimsuky 是 Lazarus 集群的组织之一，也是侦察总局 (RGB) 的一部分，也被称为APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet、Springtail 和 Velvet Chollima。 最近几周，该组织利用Microsoft Office 中已知的安全漏洞 (CVE-2017-11882) 来分发键盘记录器，并在针对航空航天和国防部门的攻击中使用以工作为主题的诱饵，目的是投放具有数据收集和二次有效载荷执行功能的间谍工具。 网络安全公司 CyberArmor表示：“这个后门似乎之前没有公开记录过，它允许攻击者执行基本的侦察并投放额外的有效载荷来接管或远程控制机器。”该公司将这次活动命名为 Niki。 虽然已知该组织利用鱼叉式网络钓鱼和社会工程攻击来激活感染链，但目前尚不清楚与新发现的活动相关的初始访问的具体模式。 攻击的起点是一个据称涉及韩国军事历史的 ZIP 档案，其中包含两个文件：一个 Hangul 文字处理器文档和一个可执行文件。 感染链示例 启动可执行文件会导致从攻击者控制的服务器检索 PowerShell 脚本，进而将有关受感染受害者的信息导出到 GitHub 存储库，并通过 Windows 快捷方式 (LNK) 文件下载其他 PowerShell 代码。 Zscaler 表示，它发现了一个于 2024 年 2 月 13 日创建的GitHub 帐户，该帐户短暂地以“GoogleTranslate.crx”的名义托管了 TRANSLATEXT 扩展程序，尽管目前尚不清楚其交付方式。 安全研究员 Seongsu Park 表示：“这些文件于 2024 年 3 月 7 日出现在GitHub存储库中，并于第二天删除，这意味着 Kimsuky 打算尽量减少暴露，并在短时间内使用该恶意软件来针对特定个人。” TRANSLATEXT 伪装成 Google 翻译，它整合了 JavaScript 代码以绕过 Google、Kakao 和 Naver 等服务的安全措施；窃取电子邮件地址、凭证和 cookie；捕获浏览器截图；并窃取被盗数据。 它还可以从 Blogger Blogspot URL 获取命令，以便截取新打开的标签的屏幕截图以及从浏览器中删除所有 cookie 等。 Kimsuky TRANSLATEXT架构 Park 说：“Kimsuky 集团的主要目标之一是监视学术人员和政府人员，以收集有价值的情报。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/mpOHUGObQ2mdolrKIb6yWQ 封面来源于网络，如有侵权请联系删除

威尔士橄榄球管理机构威尔士橄榄球联盟（WRU）泄露了含近7万名成员个人信息的数据集。 橄榄球和网络安全至少有一个共同点——防御不力会导致失败。Cybernews研究团队的最新发现表明，该组织泄露了成千上万名成员的信息，WRU应该弥补其网络安全漏洞。 根据团队的报告，WRU公开了一个亚马逊网络服务（AWS）简单存储服务（S3）桶。该暴露的实例包含1419个文本文件，涉及69,317名WRU成员的详细信息。 WRU会员资格赋予成员优先购票权、独家内容和其他会员专属权益。同时，WRU是威尔士的橄榄球管理机构。尽管威尔士是英国的一部分，但在橄榄球和足球等其他体育比赛中作为独立实体参赛。 泄露数据的样本截图 WRU成员被泄露的数据 研究人员称，泄露的实例包含数万名WRU成员的大量数据，包括： 姓名 出生日期 家庭住址 电话号码 电子邮件地址 会员购买日期 会员付款方式 购买的会员类型 对于受影响的个人来说，这些被泄露的个人信息具有严重的信息安全影响。研究团队指出，黑客可以利用这些数据进行社会工程攻击。 “通过利用这些数据，攻击者可以使用操纵策略，诱使毫无戒心的人透露更多敏感信息或者采取危及其安全的行动，”我们的研究人员表示。 此外，泄露的电子邮件地址和电话号码为鱼叉式网络钓鱼或其他针对性社会工程攻击提供了大量基础。黑客可以利用泄露的详细信息，伪造合法来源的欺诈通讯，包括电子邮件、消息或电话。 “由于这种骗局看起来很真实，受害者可能会在不经意间上当，包括下载感染的附件、点击危险链接或泄露登录信息，”研究团队表示。 另一种滥用泄露信息的手段是网络安全专家所称的“人肉搜索”（doxxing），即曝光家庭住址。黑客可能会利用泄露的详细信息进行盗窃、入室抢劫或实体入侵。 减轻泄露影响的方法 为了减轻AWS S3桶中数据被泄露的危险，研究人员建议对访问日志进行回顾性监控，并评估是否有未经授权的用户访问该桶。 管理员还应利用AWS的服务器端加密工具，如KMS或AWS S3管理的密钥，对敏感数据进行加密，并修改桶的访问设置。 WRU并非第一个泄露用户数据的体育管理机构。今年早些时候，研究人员发现澳大利亚的足球管理机构——澳大利亚足球协会（Football Australia）泄露了秘密密钥，这可能导致127个数据桶被访问，其中包括购票者的个人数据和球员的合同及文件。 体育相关组织是网络犯罪分子的理想目标。例如，法国足球管理机构——法国足球联合会（FFF）称其数据库被盗，泄露了超过一千万名职业和非职业足球运动员的详细信息。   消息来源：cybernews，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文