HackerNews 编译，转载请注明出处： 基因数据共享平台 openSNP 将于 2025 年 4 月 30 日关闭，并删除所有用户提交的数据。该平台的联合创始人巴斯蒂安·格雷沙克·茨沃拉拉斯本周早些时候宣布了这一决定，他指出，个人基因组数据如今容易遭到滥用，且在过去 14 年间，相关环境已发生根本性变化。 openSNP 是一个免费且开源的平台，用户可以在此上传和分享基因及表型数据，用于研究和教育目的。其最初目标是打破商业 DNA 检测公司的垄断，让研究人员和普通民众能够免费且无障碍地探索人类基因数据。多年来，openSNP 已成为此类数据存储库中的佼佼者，广泛应用于研究、教育，甚至社区主导的调查，例如驳斥有缺陷的慢性疲劳综合征基因研究。 尽管与 23andMe 没有直接关联，但 openSNP 收到的大部分数据都来自 23andMe 的用户。随着 23andMe 申请破产保护，提交至 openSNP 的新数据几乎停滞，且预计短期内难以恢复。此外，茨沃拉拉斯还担心，保留这些数据可能会被滥用，尤其是私人法医公司、执法机构和政府以伪科学为由，愈发积极地寻求获取此类信息。 “2025 年，提供个人基因数据免费且开放访问的风险与收益比，与 14 年前相比已大不相同。”茨沃拉拉斯解释道，“因此，关闭 openSNP 并删除其中存储的数据，是如今对这些数据最负责任的管理方式。”openSNP 曾多次拒绝企业收购其数据控制权的提议，是开源项目在低预算下成功运营的罕见范例。然而，鉴于当前伦理、政治和社会环境的变化，该组织认为继续运营风险过高。 该平台将在本月底关闭，所有用户提交的数据都将被清除。公告并未要求用户采取任何手动操作，如删除数据，因此无需用户自行处理。不过，那些希望保留个人或他人数据副本以供个人使用的人，可在 4 月 30 日之前下载。需要注意的是，虽然已下载数据的用户将永久保留副本，但移除公共、集中的数据源将降低其被发现和未来通过网络爬虫获取的可能性。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 德克萨斯州成为法律风暴的中心，因为一起针对甲骨文公司的集体诉讼。该诉讼于2025年3月31日在美国德克萨斯州西区联邦法院提起，指控甲骨文未能保护敏感信息，并未及时通知受影响的个人。 此次数据泄露事件最初于2025年3月22日由Hackread.com报道。一名使用“rose87168”化名的黑客声称在2025年1月入侵了甲骨文的云基础设施。据该黑客称，泄露的数据包括加密的单点登录密码、Java KeyStore（JKS）文件、企业管理器JPS密钥以及与甲骨文云的单点登录和LDAP系统相关的用户凭证。据称，被盗数据集包含约600万用户的信息。 甲骨文公开否认了此次数据泄露，并拒绝进一步说明。然而，网络安全公司CloudSEK进行了一项独立调查，并声称找到了“确凿证据”证明数据泄露。2025年3月31日，黑客在Breach Forums上发布了更多证据，包括甲骨文云环境的内部LDAP记录和部分凭证。 一名论坛管理员据称验证了数据的真实性，尽管Hackread.com表示，在甲骨文提供透明度之前，它无法独立确认数据泄露的全部情况。然而，根据TechMundo的报道，其分析了数据并发现其为真实。 这起集体诉讼由佛罗里达州居民迈克尔·托伊卡奇于2025年3月31日提起，他声称自己的私人信息通过一家使用甲骨文软件的医疗保健提供者存储在甲骨文的系统中。诉讼称，甲骨文未能达到行业标准安全实践，并指控该公司疏忽、违反受托责任、不当得利以及违反第三方受益人合同。 托伊卡奇声称，自消息传出以来，他不得不花费大量时间监控自己的财务和医疗账户。诉讼进一步指出，甲骨文未能遵守德克萨斯州法律，该法律要求组织在确认数据泄露后60天内通知受影响的个人。截至提起诉讼之日，甲骨文尚未发出任何此类通知。 提高赌注的是泄露数据的性质。诉讼强调，泄露不仅涉及个人身份识别信息（PII），还涉及敏感的健康数据。它引用了多个来源，包括彭博社和HIPAA Journal，这些报道称甲骨文已开始悄悄地向一些医疗保健客户发出患者数据泄露的警报。黑客的帖子威胁要发布受影响公司的完整名单，并提出如果特定组织支付费用来删除其员工记录，可以将其排除在外。 诉讼列出了甲骨文的一长串所谓失误，包括缺乏适当的加密、糟糕的网络监控以及未能及时检测或应对数据泄露。它还引用了甲骨文自己的公开隐私政策，该政策称公司会在不无故延迟的情况下报告任何数据泄露，但诉讼称这种情况并未发生。 随着对补偿性损害赔偿、信用监控服务以及对甲骨文数据安全基础设施改革的要求，这起集体诉讼正成为甲骨文多年来面临的最重要的法律挑战之一。此案还可能重新引发关于云服务提供商的责任以及他们如何处理客户及其最终用户的敏感数据的辩论。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 云端直播公司StreamElements确认，其一名第三方服务提供商遭遇了数据泄露事件，导致威胁行为者在黑客论坛上泄露了部分被窃数据样本。 该平台向用户保证，此次攻击并未影响其服务器，但去年停止合作的一家第三方提供商的旧数据仍然遭到泄露。   “我们最近了解到，一个我们去年停止合作的第三方服务提供商发生了数据安全事件。”该公司在X平台上发文称。   “我们可以确认，StreamElements的服务器没有遭到入侵。”   “尽管此次事件并非源自StreamElements系统内部，但我们非常重视客户数据的安全，并正在积极与他们联系，以评估和解决可能的影响。”   StreamElements是一家广受欢迎的云端直播工具平台，主要为Twitch和YouTube上的内容创作者提供服务。它提供一系列功能，包括直播叠加层、打赏/捐赠管理、聊天机器人、活动信息流、商品商店集成、直播分析、忠诚度/奖励系统等。   该平台与主要游戏品牌建立了合作伙伴关系，并被许多顶级Twitch主播使用，注册创作者超过100万。   StreamElements的声明是在一名昵称为“victim”的威胁行为者声称窃取了21万名StreamElements客户的数据后发布的。该行为者在2025年3月20日还在黑客论坛上分享了部分被窃数据样本，包括用户的全名、地址、电话号码和电子邮件地址。   威胁行为者在BreachForums上的帖子 来源：BleepingComputer Twitch领域的记者和直播评论员Zach Bussey报道称，他曾与该黑客组织相关人员取得联系，对方提供了证据，证实了数据的真实性。   “我尝试验证数据泄露的真实性，请求查看我在2021年或2022年下的订单中的个人信息。”Bussey在X平台上解释道。   “几秒钟后，他们便提供了这些信息，包括我的姓名、地址、邮政编码、电话号码和电子邮件。”   该黑客还声称，他们通过信息窃取恶意软件感染了StreamElements的一名员工，进而接管了内部账户，访问了平台的订单管理系统。   威胁行为者表示，他们从该系统中窃取了2020年至2024年的用户数据。   尽管StreamElements尚未正式验证这些细节，但在此期间注册的用户被建议保持高度警惕，以防潜在的网络钓鱼和诈骗行为。   今天早些时候，StreamElements提醒社区警惕有人利用此次安全事件进行网络钓鱼攻击，发送假冒的“数据泄露”邮件以欺骗收件人。   截至目前，StreamElements尚未向受影响用户发送数据泄露通知，并表示调查仍在进行中。   值得注意的是，威胁行为者在BreachForums上的帖子目前已被删除。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 宾夕法尼亚州教育协会（PSEA）是宾夕法尼亚州最大的公共部门工会，该协会通知超过 50 万人，其个人信息在 2024 年 7 月的一次安全漏洞中被盗。 该工会代表超过 17.8 万名教育专业人士，包括教师、支持人员、高等教育人员、护士、退休教师和未来教师。 “PSEA 在 2024 年 7 月 6 日左右经历了一起影响我们网络环境的安全事件，”该组织在发送给 517,487 个人的漏洞通知信中表示。 “通过在 2025 年 2 月 18 日完成的彻底调查和对受影响数据的广泛审查，我们确定未授权行为者获取的数据包含了一些属于个人的信息，这些信息包含在我们网络中某些文件内。” PSEA 表示，被盗信息因人而异，包括个人、财务和健康数据，如驾照或州身份证、社保号、账户 PIN 码、安全码、支付卡信息、护照信息、纳税人 ID 号、凭证、健康保险和医疗信息。 该工会为社保号受到影响的个人提供免费的 IDX 信用监控和身份恢复服务，前提是他们在 2025 年 6 月 17 日之前注册。同时，建议受影响者监控其财务账户对账单和信用报告中的可疑活动，获取免费信用报告，并在其信用档案上设置欺诈警报和/或安全冻结。 尽管 PSEA 未将此次攻击归咎于特定的威胁行为者，但 Rhysida 勒索软件团伙在 2024 年 9 月 9 日声称对此漏洞负责。 该网络犯罪集团要求支付 20 比特币的赎金，并威胁如果不支付赎金就泄露被盗数据。尽管 PSEA 未透露是否支付了赎金以防止数据泄露，但勒索软件团伙已将其从暗网泄露网站上移除。 Rhysida 勒索软件即服务（RaaS）行动于近两年前的 2023 年 5 月浮出水面，并在入侵英国图书馆和智利陆军后声名狼藉。 该团伙在 2023 年 11 月入侵了索尼子公司 Insomniac Games，并在游戏工作室拒绝支付 200 万美元赎金后泄露了 1,67 TB 的文件。 Rhysida 勒索软件附属机构还声称在 2024 年 2 月对芝加哥的 Lurie 儿童医院发起了网络攻击，这是一家每年为超过 20 万名儿童提供护理的美国领先儿科急性护理机构，他们提出出售被盗数据以换取 60 比特币（当时约合 370 万美元）。 更近一些时候，Singing River 健康系统发出警告，称在 2023 年 8 月的一次勒索软件攻击中，近 90 万人的数据被盗，而俄亥俄州哥伦布市在 2024 年 7 月的一次 Rhysida 攻击后通知了 50 万人数据泄露。 美国网络安全和基础设施安全局（CISA）和联邦调查局（FBI）警告称，Rhysida 附属机构是许多机会主义攻击的幕后黑手，这些攻击针对广泛行业领域的组织，而美国卫生与公众服务部（HHS）已将 Rhysida 与针对医疗机构的攻击联系起来。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 总部位于亚利桑那州的 Western Alliance Bank 正在通知近 22,000 名客户，他们的个人信息在 10 月份被窃取，原因是第三方供应商的安全文件传输软件遭到攻击。 Western Alliance 是 Western Alliance Bancorporation 的全资子公司，这是一家拥有超过 800 亿美元资产的美国领先银行公司。 该银行在 2 月份的 SEC 文件中首次披露，攻击者利用第三方软件中的零日漏洞（该供应商于 2024 年 10 月 27 日披露）入侵了 Western Alliance 的少量系统，并窃取了存储在受感染设备上的文件。 Western Alliance 在发现攻击者泄露了从其系统中窃取的一些文件后，才确定客户数据从其网络中被窃取。 在发送给 21,899 名受影响客户的泄露通知信中，公司表示已确定“未经授权的攻击者从 2024 年 10 月 12 日至 10 月 24 日从系统中获取了某些文件”。 对被盗文件的分析于 2025 年 2 月 21 日完成，发现其中包含客户个人信息，包括姓名、社保号码、出生日期、金融账户号码、驾照号码、税务识别号码和/或护照信息（如果提供给 Western Alliance）。 Western Alliance 表示：“我们没有证据表明您的个人信息已被用于欺诈或身份盗窃的目的。” 该公司还为受影响的人提供了一年免费的 Experian IdentityWorks Credit 3B 身份保护服务会员资格。 “虽然我们没有证据表明您的个人信息因此次事件而被滥用，但我们鼓励您利用这封信中包含的免费信用监控。” 当 BleepingComputer 今天早些时候联系 Western Alliance 时，一位发言人未立即回复评论请求。 尽管此次泄露事件中被攻破的安全文件传输软件未在泄露通知信或 2 月份的 SEC 文件中被命名，但该银行是 Clop 勒索软件团伙在 1 月份将其泄露网站上新增的 58 家公司之一。 该网络犯罪集团此前曾利用一系列攻击，利用 Cleo LexiCom、VLTransfer 和 Harmony 软件中的预认证零日漏洞（CVE-2024-50623），这些软件在 10 月份进行了修补，当时该公司警告客户立即升级。 12 月，Cleo 发布了针对第二个零日漏洞（编号为 CVE-2024-55956）的安全更新，Clop 攻击者利用该漏洞部署了一个名为“Malichus”的 JAVA 后门，用于窃取数据、执行命令并进一步入侵受害者的网络。 Cleo 在一份私人咨询报告中解释称：“该漏洞被利用在某些 Cleo Harmony、VLTrader 和 LexiCom 实例上安装恶意后门代码，形式为包含服务器端 JavaScript 的恶意 Freemarker 模板。” 目前尚不清楚在这些攻击中有多少家公司被攻破，但 Cleo 声称其软件在全球被超过 4,000 个组织使用。 Clop 之前与近年来的几起数据窃取活动有关，目标是 MOVEit Transfer、GoAnywhere MFT 和 Accellion FTA 中的零日漏洞。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员正密切关注一起安全事件，其中流行的 GitHub Action tj-actions/changed-files 被攻破，导致使用持续集成和持续交付（CI/CD）工作流的仓库机密信息泄露。 该事件涉及的 tj-actions/changed-files GitHub Action 在 23000 多个仓库中使用，用于跟踪和检索所有更改的文件和目录。这一供应链攻击被赋予了 CVE 标识符 CVE-2025-30066（CVSS 评分：8.6），据说发生在 2025 年 3 月 14 日之前。 “在这次攻击中，攻击者修改了操作代码，并回溯更新了多个版本标签以引用恶意提交，”StepSecurity 表示。“被攻破的操作会在 GitHub Actions 构建日志中打印 CI/CD 机密信息。” 这种行为的最终结果是，如果工作流日志可公开访问，那么当在仓库上运行该操作时，可能会导致敏感机密信息未经授权而被曝光。这包括 AWS 访问密钥、GitHub 个人访问令牌（PATs）、npm 令牌和私有 RSA 密钥等。尽管如此，但没有证据表明泄露的机密信息被传输到了任何攻击者控制的基础设施中。 具体来说，恶意插入的代码旨在运行一个托管在 GitHub gist 上的 Python 脚本，该脚本会转储来自 Runner Worker 进程的 CI/CD 机密信息。据说该脚本源自一个未经验证的源代码提交。该 GitHub gist 已被删除。 “tj-actions/change-files 在组织的软件开发流程中使用，”Endor Labs 的首席技术官兼联合创始人 Dimitri Stiliadis 在一份声明中表示。“在开发人员编写和审查代码后，他们通常会发布到仓库的主分支。从那里‘流程’会接管，构建用于生产的代码并部署它。” “tj-actions/change-files 帮助检测仓库中的文件更改。它允许你检查在提交、分支或拉取请求之间哪些文件被添加、修改或删除。” “攻击者修改了操作代码，并回溯更新了多个版本标签以引用恶意提交。被攻破的操作现在执行一个恶意 Python 脚本，该脚本转储 CI/CD 机密信息，影响了数千个 CI 流程。” 项目维护者表示，事件背后的未知威胁者攻破了 @tj-actions-bot 使用的 GitHub 个人访问令牌（PAT），该机器人对被攻破的仓库具有特权访问权限。 在发现该事件后，账户密码已更新，身份验证已升级为使用通过密钥，并且其权限级别已更新，遵循最小特权原则。GitHub 还撤销了被攻破的 PAT。 “受影响的个人访问令牌作为 GitHub action 机密存储，目前已撤销，”维护者补充道。“今后，tj-actions 组织的所有项目将不再使用 PAT，以防止任何复发风险。” 任何使用该 GitHub Action 的用户都应尽快更新到最新版本（46.0.1）。用户还应审查 3 月 14 日至 3 月 15 日期间执行的所有工作流，并检查“changed-files 部分下是否有意外输出”。 这并非 tj-actions/changed-files Action 首次出现安全问题。2024 年 1 月，安全研究员 Adnan Khan 揭露了影响 tj-actions/changed-files 和 tj-actions/branch-names 的一个关键漏洞（CVE-2023-49291，CVSS 评分：9.8），该漏洞可能导致任意代码执行。 这一事件再次凸显了开源软件特别容易受到供应链风险的影响，这可能会对下游客户产生严重后果。 “截至 2025 年 3 月 15 日，所有版本的 tj-actions/changed-files 均被发现受到影响，因为攻击者成功修改了现有版本标签，使其全部指向恶意代码，”云安全公司 Wiz 表示。 “使用了哈希固定版本的 tj-actions/changed-files 的客户不会受到影响，除非他们在利用时间窗口期间更新到了受影响的哈希。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 四家美国医疗机构——Hillcrest Convalescent Center、Gastroenterology Associates of Central Florida、Community Care Alliance 和 Sunflower Medical Group——近日向相关部门报告数据泄露事件，受影响总人数超过56万。 此次规模最大的泄露事件由堪萨斯州的 Sunflower Medical Group 披露。该机构于 2025年1月7日 发现数据泄露，调查显示，黑客自 2024年12月15日 起便已侵入其系统，并窃取了包括姓名、地址、出生日期、社会安全号码（SSN）、驾驶执照号码、医疗信息和健康保险信息等敏感数据。   Rhysida 勒索软件组织 宣称对此次攻击负责，并声称窃取了 3TB 数据，并将其挂售。该组织称泄露数据涉及 40万人，但 Sunflower 向缅因州总检察长办公室报告，实际受影响人数为22万。   位于北卡罗来纳州的 Hillcrest Convalescent Center 是一家疗养及康复中心，该机构于 2024年6月下旬 发现网络中存在可疑活动。调查结果表明，黑客入侵了其系统，窃取了姓名、社会安全号码、出生日期、银行账户信息、驾驶执照及其他政府签发证件号码、医疗信息及健康保险数据。   Hillcrest 向缅因州总检察长办公室报告，此次事件影响了超过10.6万人。   佛罗里达州中央消化病学会（Gastroenterology Associates of Central Florida，旗下 Center for Digestive Health） 在 2024年4月 发现其 IT 网络遭入侵。调查显示，黑客可能获取了姓名、社会安全号码、出生日期及健康信息，受影响人数超过 12.2万。   此次攻击由 BianLian 勒索软件组织 发起，该组织于 2024年5月中旬 公开宣布对此事件负责。   位于罗得岛州的 Community Care Alliance 于 2024年7月初 遭遇黑客攻击，直至 2025年1月 调查完成，才确认黑客可能窃取了姓名、地址、出生日期、驾驶执照号码、社会安全号码、诊断信息、实验室结果、保险信息及治疗记录等敏感数据。   该机构向缅因州总检察长办公室和美国卫生与公共服务部（HHS） 报告，事件影响约11.5万人。Rhysida 勒索软件组织 在 2024年7月底 宣称对此攻击负责。   2024年，美国共有720起医疗数据泄露事件被报告，涉及1.86亿条用户记录，凸显了医疗行业网络安全形势的严峻性。   消息来源：Security Week；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 日本电信巨头 NTT 近日遭遇数据泄露事件，波及近 1.8 万家企业的客户信息。 2 月 5 日，NTT 安全团队在其“订单信息分发系统”中检测到可疑活动，并立即限制了对设备 A 的访问。根据公司发布的数据泄露通知，2 月 5 日 NTT 通信公司（NTT Com）发现其设施遭到了非法访问，并于 2 月 6 日确认部分信息可能已经泄露（以下简称“事件”）。公司表示：“通过内部调查，我们发现存储在内部系统（即订单信息分发系统 *1）中的部分企业客户服务信息可能已经外泄。请注意，个人客户的服务信息未包含在内。” 进一步调查显示，2 月 15 日还发现了另一台设备的未授权访问，该公司随后封锁了该设备。调查结果显示，此次事件共泄露了 17,891 家企业的数据，公司将通知受影响客户。 可能泄露的信息包括合同编号、客户名称（合同名称）、客户联系人姓名、电话号码、电子邮件地址、地址及与服务使用相关的信息。不过，事件并未涉及 NTT Docomo 直接提供的企业智能手机和移动电话合同。 NTT 表示将加强安全措施，提高服务质量，并在保护客户隐私的前提下及时披露最新进展。这并非 NTT 首次遭遇数据泄露。2020 年 5 月，NTT 通信公司曾披露一起数据泄露事件，影响了数百名客户。 当时，公司在 5 月 7 日发现部分系统遭到未授权访问后启动调查，并于几天前确认攻击者可能窃取了部分信息。根据当时的数据泄露通知，NTT Com 在 5 月 7 日检测到攻击者对其设备的未授权访问，并于 5 月 11 日确认部分信息可能已经外泄。 NTT Com 的专家最初在一台 Active Directory 服务器上发现了可疑活动，随后发现攻击者入侵了一台运营服务器和一台存储客户信息的信息管理服务器。内部调查显示，攻击者最初瞄准了一台位于新加坡的服务器，然后利用其进行横向移动，进而渗透到日本的基础设施。 针对该事件，公司关闭了受影响的服务器，以防止恶意软件传播并与外部服务器通信。据 NTT 称，此次安全漏洞可能影响 621 家公司的信息，这些信息均存储在该信息管理服务器上。公司还宣布，已采取额外措施以防止未来发生类似攻击。   消息来源：Security Affairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一项新发现的网络安全威胁显示，至少 320 万用户受到伪装成合法工具的恶意浏览器扩展的影响。16 个扩展（从屏幕截图工具到广告拦截器和表情键盘）被发现向用户的浏览器注入恶意代码。根据 GitLab 威胁情报，这些扩展促进了广告欺诈和搜索引擎优化（SEO）操纵，同时对数据泄露和进一步网络入侵的潜在初始访问构成了重大风险。 威胁行为者采用的攻击链是多阶段且高度复杂的，旨在规避检测的同时破坏浏览器安全。GitLab 的报告指出：“威胁行为者使用复杂的多阶段攻击来降低用户浏览器的安全性，然后注入内容，穿越浏览器安全边界并将恶意代码隐藏在扩展之外。” 攻击似乎始于 2024 年 7 月，威胁行为者获取了合法扩展的访问权限，而不是直接破坏它们。报告暗示，原始开发者可能在不知情的情况下将扩展的所有权转让给了攻击者，为恶意更新提供了直接路径。 到 2024 年 12 月，攻击升级为供应链入侵，涉及对开发者账户的网络钓鱼攻击，允许攻击者通过 Chrome 网上应用店推送恶意更新。这些更新引入了窃取 HTTP 头数据和 DOM 内容的脚本，利用远程存储的动态配置。 虽然这些扩展提供了其宣传的功能，但它们嵌入了一个通用的恶意框架。GitLab 的调查发现了服务工作线程功能的一致性，包括： 安装时进行配置检查，将扩展版本和唯一 ID 传输到远程服务器。 修改浏览器安全策略，特别是从每个会话访问的前 2000 个网站中删除内容安全策略（CSP）头。 持续的心跳信号以刷新配置数据并保持与攻击者命令与控制（C2）基础设施的连接。 GitLab 警告称，删除 CSP 会显著削弱浏览器安全，使用户容易受到跨站脚本（XSS）攻击和其他注入式利用。 “这一例程完全删除了恶意扩展用户的 Content Security Policy 保护。Content Security Policy 在防止 Cross Site Scripting 攻击方面发挥着重要作用，扩展在未经用户同意的情况下降低这种保护，明显违反了 Chrome 网上应用店程序政策，”报告警告说。 对恶意扩展基础设施的分析显示了一个专用配置服务器网络，每个服务器都与特定扩展相关联。例如： 扩展名称 配置服务器 Blipshot blipshotextension[.]com Emojis Keyboard emojikeyboardextension[.]com Nimble Capture api.nimblecapture[.]com Adblocker for Chrome abfc-extension[.]com KProxy kproxyservers[.]site 这些配置服务器利用了 BunnyCDN 和 DigitalOcean 的 Apps Platform，并使用一致的 x-do-app-origin 头，表明攻击者通过单一基于云的应用程序部署了所有配置。 此外，与攻击相关的脚本也被发现在针对组织的网络钓鱼工具包中嵌入，这表明攻击者与参与凭证盗窃活动的网络入侵行为者之间可能存在联系。 攻击者通过动态脚本注入确保了长期持久性。rcx-cd-v3.js 有效载荷使用了高级 JavaScript 混淆技术在浏览器中执行代码。这一有效载荷使得网络请求的修改成为可能，包括： 通过在服务工作线程中执行请求来绕过 CORS 限制。 修改广告拦截规则，允许广告域的同时阻止微软的跟踪服务。 向访问欧洲地区亚马逊产品页面的受害者注入带有恶意内容的 iframe 和后台标签。 GitLab 的研究人员怀疑，这些活动支持点击欺诈活动、SEO 操纵，甚至可能涉及敏感数据盗窃。 谷歌在 2025 年 1 月接到通知，并已从 Chrome 网上应用店中移除了所有已识别的恶意扩展。然而，从应用店中移除并不会触发自动卸载。之前安装了这些扩展的用户必须手动从浏览器中删除它们。   消息来源：Security Online； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 最新分析发现，在公开爬取的网络数据中，DeepSeek 的 11,908 条 API 密钥、密码及身份验证令牌遭到曝光。 据网络安全公司 Truffle Security 披露，这一研究凸显了 AI 模型在未经筛选的互联网数据训练下，可能会内化并复现不安全的编码模式。 此前已有研究表明，大型语言模型（LLM）常建议在代码中硬编码凭据，这引发了关于训练数据如何影响开发实践的讨论。 Truffle Security 通过扫描 Common Crawl 2024 年 12 月的数据集（约 400TB 数据，覆盖 47.5 万个网站、26.7 亿个网页），利用其开源工具 TruffleHog 发现： 11,908 条有效凭据，可用于访问 AWS、Slack、Mailchimp 等服务； 276 万个网页 含有暴露的凭据，其中 63% 的密钥 被多个域名重复使用； WalkScore API 密钥 在 1,871 个子域 上重复 57,029 次，暴露范围极广。 特别值得注意的是，部分数据集涉及高风险暴露，例如： AWS 根密钥 直接嵌入前端 HTML 代码； 同一网页的聊天功能中 硬编码了 17 个独特的 Slack webhook。 Mailchimp API 密钥泄露尤为严重，超 1,500 例，且大多直接嵌入客户端 JavaScript 代码，这种做法不仅助长了网络钓鱼攻击，也增加了数据泄露风险。 Common Crawl 的数据集包含 90,000 份 WARC 文件，存储了网站爬取的 HTML、JavaScript 及服务器响应数据。 Truffle Security 使用 20 节点 AWS 集群 处理这些存档，借助 awk 拆分文件，并通过 TruffleHog 逐一验证密钥是否仍然有效。该工具能区分有效凭据（可用于服务认证）和无效字符串——这是 LLM 训练时无法做到的关键步骤。 研究团队在分析过程中面临基础设施挑战：WARC 数据流式处理效率低，初期严重拖慢分析进度，而 AWS 优化后下载速度提升了 5-6 倍。 尽管面临技术难题，研究团队仍秉持负责任的披露原则，与 Mailchimp 等供应商合作，撤销了数千条泄露的密钥，避免了逐个联系网站所有者的低效通知方式。 这一研究揭示了一项重大安全隐患：基于公开数据训练的 LLM 可能继承其中的不安全模式。尽管 DeepSeek 采用额外的安全防护措施（如微调、对齐技术和提示限制），但硬编码凭据的广泛存在，使得不安全实践易于被模型学习并传播。 此外，非功能性凭据（如占位符令牌）也加剧了问题，因为 LLM 在代码生成时无法识别其有效性。 Truffle Security 警告，在多个客户端项目中重复使用 API 密钥 会带来极大风险。例如，一家软件公司因在多个客户域名间共享 Mailchimp 密钥，导致所有关联账户均面临攻击风险。 为减少 AI 生成代码中的安全漏洞，Truffle Security 建议： 在 AI 编码工具中引入安全防护措施，如 GitHub Copilot 的自定义指令，以强制执行禁止硬编码密钥的政策； 扩展密钥扫描范围，涵盖存档的网络数据，以减少历史泄露数据进入 LLM 训练集的风险； 采用“宪法 AI”技术，使 LLM 生成代码时更符合安全最佳实践，降低敏感信息的无意泄露。 随着 LLM 在软件开发中的影响力持续上升，确保训练数据的安全性已不再是可选项，而是构建安全数字未来的基础。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文