HackerNews 编译，转载请注明出处： 研究人员发现，多个行业和国家共有 49,000 个配置不当且暴露的访问管理系统（AMS），这可能会危及关键领域的隐私和物理安全。 访问管理系统是通过生物识别、身份证或车牌控制员工进入建筑物、设施和限制区域的安全系统。 Modat 的安全研究人员在 2025 年初进行了全面调查，发现了数万个暴露在互联网上的 AMS，这些系统未正确配置安全认证，任何人都可以访问。 这些暴露的 AMS 包含未加密的敏感员工数据，包括： 个人身份信息（姓名、电子邮件地址、电话号码） 生物识别数据，如指纹和面部识别 照片 工作时间表 访问日志，显示谁进出以及何时进出 在某些情况下，Modat 可以编辑员工记录、添加假员工、更改访问凭证，或操纵建筑入口系统，限制合法员工的访问或允许恶意行为者未经授权的物理访问。 对于政府建筑和关键基础设施（如发电站和水处理单位）的暴露 AMS，物理安全风险尤其令人担忧。 除了物理安全风险外，这些暴露的信息还可能被利用，对暴露的组织进行鱼叉式网络钓鱼和社会工程攻击。 暴露的车牌识别 AMS 在全球总共 49,000 个暴露的 AMS 设备中，大多数（16,678 个）位于意大利，其次是墨西哥（5,940 个）和越南（5,035 个）。在美国，Modat 发现了 1,966 个暴露的 AMS 系统。 缓解问题 研究人员直接联系了所有系统所有者，告知他们 AMS 暴露及其对组织的风险。然而，他们告诉 BleepingComputer，目前尚未收到回复，因此不清楚有多少人采取了措施来保护他们的系统。 供应商也收到了通知，一些供应商表示他们正在与受影响的客户合作解决暴露问题。 Modat 为 AMS 用户提供了几项安全建议，包括将系统离线以防止未经授权的远程访问，或将它们置于防火墙和 VPN 后，以限制只有授权人员的访问。 还建议更改默认的管理员凭据，因为这些凭据很容易被暴力破解，如果可能，应实施多因素身份验证（MFA）。 AMS 管理员应应用供应商的最新软件和固件更新，并减少不必要的网络服务，以降低攻击面。 生物识别数据和个人身份信息（PII）应始终以加密形式存储，并且应清除过去员工的数据，以避免通过未在其他系统上禁用的旧账户进行未经授权的访问。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国领先的背景审查和药物及酒精检测公司 DISA Global Solutions 遭遇了一起数据泄露事件，影响了 330 万人。 今年 1 月，该公司首次披露了一起发生在 2024 年 2 月 9 日至 4 月 22 日的网络安全事件，该公司在 4 月 22 日发现了这起数据泄露事件。 本月早些时候，DISA 表示，威胁行为者可能访问了存储在其系统中的敏感数据，但没有证据表明数据进一步传播或被滥用。 今天，该公司确认，在进一步调查后，确定有 3332750 人的敏感数据在这次网络攻击中被泄露。 DISA 在各个行业拥有超过 55000 家客户，其中 30% 的财富 500 强公司依赖该公司的服务。因此，这起数据泄露事件可能在全国范围内产生深远影响。 “我们写这封信是为了通知您，DISA 发生了一起可能涉及您部分个人信息的事件，这些信息是由于您可能为当前或 former 雇主或 prospective 雇主完成的员工筛查服务而被我们获取的，”这是发给受影响个人的通知内容。 DISA 在与当局共享的样本信中没有披露未经授权的一方访问了哪些类型的信息。然而，在其网站上发布的一份通知中，列出了以下信息： 全名 社会安全号码 驾驶证号码 政府身份证号码 金融账户信息 其他数据元素 虽然目前尚不清楚 “其他数据元素” 具体包括哪些内容，但由于该公司提供的服务类型，DISA 通常处理个人身份信息、联系方式、就业和教育历史、犯罪和背景审查、药物和酒精检测数据、医疗和健康相关数据等。 尽管 DISA 没有透露他们遭受了何种类型的网络攻击，但一份已被删除的通知表明，他们支付了赎金以防止被盗数据被公开发布。 “DISA 的数据未在暗网上被发现。DISA 表示已 ‘采取措施阻止威胁行为者公开发布任何获取的数据，并确认数据已被删除’，”这份已被删除的通知副本中写道。 为了保护受影响的人免受数据泄露带来的风险，DISA 通过 Experian 提供 12 个月的免费信用监控和身份盗窃保护服务。 还建议可能受影响的个人考虑对他们的账户设置欺诈警报和安全冻结，以防范潜在风险。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国一些最敏感的公司和军事网络可能面临被入侵的风险，研究人员披露了通过信息窃取恶意软件（infostealer malware）广泛窃取凭证的情况。 Hudson Rock 的分析显示，网络犯罪市场上正在出售来自洛克希德·马丁（Lockheed Martin）、波音（Boeing）和霍尼韦尔（Honeywell）以及美国陆军和海军、联邦调查局（FBI）和政府问责办公室（GAO）的泄露凭证。 威胁行为者只需花费 10 美元就可以购买到企业电子邮件和 VPN 账户的访问权限，以及内部开发工具（如 GitHub、Jira、Confluence）和军事训练平台等资产的访问权限。 这些网络犯罪市场使得搜索特定凭证（如 army.mil）变得更加容易，而且通常这些日志还包含用于绕过多因素认证（MFA）的活动会话 cookie，报告称。 即使那些未受信息窃取者影响的组织，如果其合作伙伴、供应商和供应商受到攻击，也可能会被入侵，Hudson Rock 警告。 “每一个被感染的员工都是一个真实的人——可能是从事军事人工智能系统工作的工程师、管理机密合同的采购官员、有权访问关键任务情报的国防分析师，”报告继续说道。 “在某个时候，这些员工在用于工作的设备上下载了恶意软件，这不仅暴露了他们的凭证，还可能暴露了他们的整个数字足迹：浏览历史、自动填充数据、内部文件以及敏感应用程序的会话 cookie。” 黑鸭子（Black Duck）的首席顾问托马斯·理查兹（Thomas Richards）表示，这项研究对美国构成了重大的国家安全风险。 “被盗的数据可能允许对手进入关键网络，并采取措施进一步入侵更多人员和系统，”他指出。 “受影响的用户应立即更改密码，并应启动法证调查，以确定他们是如何被入侵的，以及攻击者是否访问了他们不应访问的信息。” 信息窃取者感染可能来自多种来源，包括网络钓鱼邮件、受感染网站的自动下载、破解/盗版游戏、看似合法的应用程序（如假会议软件）、谷歌广告甚至 YouTube 视频描述。 Hudson Rock 声称，在过去的几年里，它已经识别出超过 3000 万台被信息窃取者感染的计算机。   消息来源：InfoSecurity magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，一场规模巨大的物联网（IoT）安全漏洞事件曝光了 27 亿条包含敏感用户数据的信息，其中包括 Wi-Fi 网络名称、密码、IP 地址和设备标识符。此次事件与中国植物生长灯制造商 Mars Hydro 以及加州注册公司 LG-LED SOLUTIONS LIMITED 有关。 网络安全研究人员 Jeremiah Fowler 发现了这个未受保护的数据库，并向 vpnMentor 进行了报告。这一事件凸显了物联网设备安全和云存储实践中的严重漏洞。 这个公开可访问的数据库总计 1.17TB，没有任何密码保护或加密措施。它包含了全球售出的物联网设备的日志、监控记录和错误报告，具体内容包括： Wi-Fi SSID（网络名称） 和明文密码。 IP 地址、设备 ID、MAC 地址和操作系统详细信息（iOS/Android）。 API 令牌、应用程序版本以及标有“Mars-pro-iot-error”或“SF-iot-error”的错误日志。 事件背景与调查 Mars Hydro 的 Mars Pro 应用程序用于控制物联网生长灯和气候系统，尽管其隐私政策声称不收集用户数据，但据报道，该应用程序仍然收集了这些数据。 进一步的调查发现，这些记录与加州注册公司 LG-LED SOLUTIONS LIMITED 有关。泄露的数据还包括 API 详细信息以及 LG-LED SOLUTIONS、Mars Hydro 和 Spider Farmer 公司的 URL 链接，这些公司生产和销售农业生长灯、风扇和冷却系统。 许多记录标有“Mars-pro-iot-error”或“SF-iot-error”，其中包含令牌、应用版本、设备类型和 IP 地址以及 SSID 凭证。 Fowler 迅速通知了 LG-LED SOLUTIONS 和 Mars Hydro，几小时后，数据库的访问权限被限制。Mars Hydro 确认，“Mars Pro”应用程序是他们的官方产品，该应用在 iOS 和 Android 平台上支持多种语言。 然而，目前尚不清楚 LG-LED SOLUTIONS 是否直接管理该数据库，或者是否使用了第三方承包商。数据库曝光的时间长度以及是否有未经授权的方访问过它也不得而知。 安全风险与影响 泄露的数据带来了严重的风险： 网络渗透：攻击者可以利用暴露的 Wi-Fi 凭证访问家庭或企业网络，从而实施中间人攻击、数据拦截或勒索软件部署。 僵尸网络招募：受感染的物联网设备可能被劫持用于 DDoS 攻击，正如最近涉及 Matrix 黑客组织的事件所示。 物理威胁：恶意行为者可能操纵连接的生长灯、风扇或冷却系统，从而可能破坏农作物。 Fowler 特别强调了“最近邻攻击”这种战术的可能性，这是俄罗斯 GRU 黑客在 2024 年通过附近 Wi-Fi 网络入侵一家乌克兰组织的策略。 Palo Alto Networks 的威胁报告为此提供了背景：98% 的物联网设备数据未加密，57% 的设备高度脆弱。 此次事件反映了物联网安全中的系统性缺陷： 弱加密：许多设备依赖如 WPA2 等过时的协议，这些协议容易受到暴力破解攻击。 默认密码：用户往往未能更改出厂设置，导致设备暴露在风险中。 集中化云存储风险：在未受保护的服务器上存储大量数据，创造了单点故障。 值得注意的是，研究人员猜测此次泄露可能涉及 2019 年由中国智能设备品牌 Orvibo 暴露的同一数据库。 专家建议 专家们敦促物联网制造商和用户采取以下措施： 加密敏感日志，并用令牌化值替换明文凭证。 分割网络，将物联网设备与关键系统隔离。 进行定期审计 和渗透测试。 Mars Hydro 和 LG-LED SOLUTIONS 尚未就此次泄露事件的起源或可能的第三方参与发表评论。Fowler 强调，他的发现旨在“提高人们的意识”，目前没有证据表明存在直接滥用行为。   消息来源：CyberSecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Zacks Investment Research（以下简称 Zacks）是一家美国投资研究公司，通过其专有的股票表现评估工具“Zacks Rank”为客户提供数据驱动的洞察，以帮助做出明智的财务决策。据报道，Zacks 去年遭受了另一起数据泄露事件，导致约 1200 万个账户的敏感信息被曝光。 今年 1 月底，一名威胁行为者在黑客论坛上发布了数据样本，声称 Zacks 在 2024 年 6 月发生了数据泄露，导致数百万客户的数据被曝光。这些数据可供论坛成员以少量加密货币换取，包含全名、用户名、电子邮件地址、物理地址和电话号码。 BleepingComputer 多次联系 Zacks 询问数据的真实性，但尚未收到回复。然而，该威胁行为者告诉 BleepingComputer，他们以域管理员身份访问了公司的活动目录，然后窃取了主网站（Zacks.com）和其他 16 个网站的源代码，包括一些内部网站。他们还分享了窃取的源代码样本作为新漏洞的证明。 今天早些时候，泄露的 Zacks 数据库被添加到“Have I Been Pwned”网站，用户可以在此检查他们的个人数据是否被泄露。HIBP 确认该文件包含 1200 万个唯一的电子邮件地址，以及 IP 地址、姓名、未加盐的 SHA-256 哈希密码、电话号码、物理地址和用户名。 然而，该服务也指出，大约 93% 的泄露电子邮件地址已经存在于其数据库中，这些地址来自过去对该平台或其他服务的泄露。 无官方确认 Zacks 尚未确认所谓的数据泄露，但如果数据泄露被证明是新黑客攻击的结果，这可能是该公司过去四年中的第三次重大数据泄露。 2023 年 1 月，Zacks 披露黑客在 2021 年 11 月至 2022 年 8 月期间侵入了其网络，并获取了 82 万名客户的敏感信息。 几个月后，2023 年 6 月，HIBP 验证了一个来自 Zacks 的独立数据库，该数据库之前已被泄露。该数据库包含使用 Zacks 服务的 880 万名个人的电子邮件地址、用户名、未加盐的 SHA256 密码、地址、电话号码和全名。 根据 HIBP 服务的创建者 Troy Hunt 的说法，这些数据似乎在 2020 年 5 月被泄露，表明这是一起较早的事件。 尽管尚未得到官方验证，但 HIBP 在将其添加到服务之前已经验证了最新的 Zacks 客户数据泄露，并且有非常高的信心认为它来自一起新事件。需要注意的是，也有可能是威胁行为者从其他服务抓取了这些信息，并编制了一个与 Zacks 相关的用户信息数据库。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 医院姐妹健康系统（Hospital Sisters Health System，简称 HSHS）通知超过 88.2 万名患者，2023 年 8 月的一次网络攻击导致数据泄露，暴露了他们的个人和健康信息。 HSHS 成立于 1875 年，与 2200 多名医生合作，拥有约 12000 名员工。该系统还在伊利诺伊州和威斯康星州运营着 15 家当地医院和医生诊所网络，其中包括两家儿童医院。 这家非营利医疗系统在发给受影响者的数据泄露通知中表示，事件发生在 2023 年 8 月 27 日，当时检测到攻击者已进入 HSHS 的网络。 安全漏洞发生后，其系统还受到了广泛故障的影响，导致伊利诺伊州和威斯康星州医院的 “几乎所有操作系统” 和电话系统瘫痪。HSHS 还聘请了外部安全专家调查此次攻击，评估其影响，并帮助其 IT 团队恢复受影响的系统。 “我们正在优先考虑患者安全，同时建立恢复流程。在第三方专家的支持下，我们正在尽快、安全地恢复系统，”HSHS 在 2024 年 9 月的一份声明中表示。“像我们这样的医疗系统在数千台服务器上运行数百个系统应用程序，因此恢复和调查工作需要一些时间才能完成。” 尽管此次事件和随后的故障有所有勒索软件攻击的迹象，但没有勒索软件组织声称对此负责。 经过法医调查，HSHS 发现攻击者在 2023 年 8 月 16 日至 8 月 27 日期间访问了受感染系统上的文件。 “此后，我们一直在审查这些文件，并在审查过程中陆续通知信息被发现的个人，”该系统表示。 威胁行为者在 HSHS 系统内访问的信息因每个受影响的个人而异，包括姓名、地址、出生日期、病历号、有限的治疗信息、健康保险信息、社会安全号码和/或驾照号码的组合。 尽管 HSHS 表示没有证据表明受害者的信息已被用于欺诈或身份盗窃，但警告受影响的个人监控其账户明细和信用报告中的可疑活动。该医疗系统还为受影响者提供了一年免费的 Equifax 信用监控服务。 当 BleepingComputer 今天早些时候联系 HSHS 发言人确认数据泄露是否由勒索软件攻击导致时，对方尚未立即回复。 上周，康涅狄格州医疗保健提供商社区健康中心（CHC）通知超过 100 万名患者数据泄露事件，而纽约血液中心（NYBC）—— 世界上最大的独立血液收集和分发组织之一 —— 表示勒索软件攻击迫使其重新安排了一些预约。 本月早些时候，联合健康（UnitedHealth）透露，去年 Change Healthcare 勒索软件攻击中约有 1.9 亿美国人的信息被盗，几乎是去年 10 月披露的 1 亿人的两倍。 去年 12 月下旬，美国卫生与公众服务部（HHS）提出了 HIPAA 更新，以应对大规模医疗安全漏洞激增的情况，旨在保护患者的健康数据。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 惠普企业（HPE）在 2023 年 5 月遭到俄罗斯国家支持的黑客组织 Cozy Bear（也称为 Midnight Blizzard、APT29 和 Nobelium）攻击后，正在通知员工其数据被盗。该组织被认为隶属于俄罗斯对外情报局（SVR），还与 2020 年 SolarWinds 供应链攻击等其他重大事件有关。 根据向新罕布什尔州和马萨诸塞州总检察长办公室提交的文件，HPE 上个月开始向至少 16 名员工发送数据泄露通知信，这些员工的驾照、信用卡号码和社会安全号码等信息被盗。HPE 在信中表示：“HPE 的取证调查确定，某些个人的个人信息可能已被未经授权访问。”并称“2025 年 1 月 29 日，HPE 开始根据适用法律向受影响的个人发出通知。” 当被问及此次数据泄露影响的员工人数时，HPE 发言人表示：“只有少数 HPE 团队成员的邮箱被访问，涉及的信息仅限于这些邮箱中的内容。” HPE 首次披露此次事件是在 2024 年 1 月 29 日的 SEC 文件中，当时公司表示，2023 年 12 月 12 日被告知，疑似俄罗斯黑客在 2023 年 5 月利用被盗账号入侵了其基于云的 Office 365 邮箱环境。HPE 当时表示：“我们确定，这个国家级黑客从 2023 年 5 月开始访问并窃取了 HPE 少数邮箱中的数据，这些邮箱属于我们网络安全、市场、业务部门和其他职能部门的个人。我们认为该国家级黑客是 Midnight Blizzard，也称为 Cozy Bear。” HPE 还表示，被访问的数据仅限于用户邮箱中的信息，并将继续调查并按要求发出适当通知。 同一伙黑客还入侵了 SharePoint 服务器。在 SEC 文件中，HPE 补充说，Office 365 事件可能与 2023 年 5 月的另一起入侵事件有关，当时威胁行为者访问了公司的 SharePoint 服务器并窃取了文件。 HPE 此前曾遭入侵。2018 年，中国黑客入侵了 HPE 的网络，并利用该访问权限入侵了客户的设备。2021 年，HPE 披露其 Aruba Central 网络监控平台的数据存储库被入侵，导致威胁行为者获取了有关受监控设备及其位置的信息。 更近的事件。2024 年 2 月和 2025 年 1 月，HPE 开始调查其他潜在安全漏洞，此前威胁行为者 IntelBroker 声称窃取了 HPE 的凭证、源代码和其他敏感信息。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亚马逊宣布了针对 Redshift 的关键安全增强功能，Redshift 是一种受欢迎的数据仓库解决方案，这些增强功能旨在防止因配置错误和不安全的默认设置导致的数据泄露。 Redshift 被企业广泛用于商业智能和大数据分析，与 Google BigQuery、Snowflake 和 Azure Synapse Analytics 竞争。它因其在处理PB级数据时的效率和性能、可扩展性以及成本效益而受到重视。 然而，配置不当和宽松的默认设置导致了大规模数据泄露事件，例如 2022 年 10 月的 Medibank 勒索软件事件，据报道该事件涉及对公司 Redshift 平台的访问。 上周，AWS 宣布将为新创建的预配置集群实施三项安全默认设置，以显著提升平台的数据安全性，并最大限度地减少灾难性数据泄露的可能性。 第一项措施是默认限制新集群的公共访问，将其限制在用户的虚拟私有云（VPC）内，并防止直接外部访问。如果需要公共访问，必须明确启用，并建议用户使用安全组和网络访问控制列表（ACL）来限制访问。 第二项更改是默认为所有集群启用加密，以确保即使未授权访问也不会导致数据泄露。用户现在必须指定一个加密密钥，否则集群将使用 AWS 所有的密钥管理服务（KMS）密钥进行加密。依赖未加密集群进行数据共享的用户必须确保生产和消费集群都已加密。未能调整这些工作流程可能会在更改生效时导致中断。 第三项更改是默认为所有新集群和恢复的集群强制使用安全 SSL（TLS）连接，以防止数据拦截和“中间人”攻击。使用自定义参数组的用户被鼓励手动启用 SSL 以增强安全性。 需要注意的是，这些更改将影响新创建的预配置集群、无服务器工作组和恢复的集群，因此现有设置不会立即受到影响。然而，AWS 建议客户根据需要审查和更新其配置，以符合新的安全默认设置，避免运营中断。 “我们建议所有 Amazon Redshift 客户审查他们当前的配置，并考虑在他们的应用程序中实施新的安全措施，”公告中写道。“这些安全增强功能可能会对依赖公共访问、未加密集群或非 SSL 连接的现有工作流程产生影响。” 寻求指导和支持的客户被要求阅读在线“管理指南”或联系 AWS 支持。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球一些知名酒店连锁的客户个人信息在一次针对行业软件供应商的攻击中遭到泄露。 该攻击者似乎未经授权访问了酒店管理软件供应商Otelier的系统。Otelier提供的基于云的酒店管理软件帮助酒店优化运营，声称支持全球10,000多家酒店品牌、业主和运营商。 根据数据泄露通知网站HaveIBeenPwned（HIBP）的消息，攻击者在2024年访问了Otelier系统，窃取了包括万豪、希尔顿和凯悦等品牌的客户数据。 HIBP在周末将该泄露事件中的近50万个独立账户加入了其数据库。 “泄露的数据包括437,000个客户电子邮件地址（另外868,000个来自booking.com和Expedia平台生成的电子邮件地址未加载到HIBP中）、姓名、住址、电话号码、与旅行计划相关的预订信息、平台记录的购买信息，以及少数情况下的部分信用卡数据，”HIBP的记录中写道。 “数据由一位请求将其归因于ayame@xmpp.jp的来源提供给HIBP。” 更多酒店行业数据泄露事件：洲际酒店确认网络攻击，导致两天宕机。 暗网监控公司WhiteIntel的威胁研究人员在社交媒体上透露了更多关于此次事件的细节，称其可能源于信息窃取恶意软件。 “我们发现了几个由信息窃取者驱动的凭证泄露事件，这些泄露似乎导致了未经授权访问Otelier的GitHub和Atlassian实例，”该公司在X（前Twitter）上的一篇帖子中表示。“与信息窃取者相关的泄露风险每天都在增加。” 2024年10月，DarkWebInformer的威胁情报研究人员警告称，名为“worry”的攻击者在BreachForums上出售了从Otelier（前身为MyDigitalOffice，MDO）窃取的数据库。 此次事件凸显了组织在管理广泛数字供应链风险时所面临的挑战。根据非营利组织身份盗窃资源中心（ITRC）的数据，2024年第一季度受到供应链泄露威胁影响的公司数量相比2023年同期增长了三倍多。 酒店行业由于存储大量客户个人和财务数据，成为了一个特别具吸引力的攻击目标。 2024年，万豪酒店同意支付5200万美元的和解费，解决涉及超过1.31亿美国客户的大规模多年的数据泄露事件。   消息来源：Infosecurity Magazine, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

  HackerNews 编译，转载请注明出处： 卡巴斯基日前披露了梅赛德斯-奔驰MBUX车载信息娱乐系统中发现的十多个漏洞，虽然这些漏洞已经被修复，且不易被利用，但梅赛德斯-奔驰仍向用户保证，漏洞已得到修复。 卡巴斯基对梅赛德斯-奔驰MBUX系统的研究基于2021年由中国团队发布的研究成果。卡巴斯基在其博客中发布了相关发现，并开始发布针对每个漏洞的安全建议。此次研究聚焦于第一代MBUX系统。 其中，部分漏洞可被利用发起拒绝服务（DoS）攻击，另一些则可用于获取数据、命令注入和提升权限。 卡巴斯基表示，已经演示了物理访问目标车辆的攻击者如何利用其中一些漏洞禁用车载系统的防盗保护、对车辆进行调校，并解锁付费服务。这些攻击通过USB或定制的UPC连接实施。 这些漏洞已被分配了2023年和2024年的CVE标识符，但梅赛德斯-奔驰向《SecurityWeek》表示，自2022年以来，公司就已知悉卡巴斯基的发现。 梅赛德斯-奔驰发言人在一份电子邮件声明中表示：“2022年8月，一组外部安全研究人员联系了我们，针对第一代MBUX（梅赛德斯-奔驰用户体验）提出了相关问题。” “研究人员提到的问题需要对车辆进行现场物理访问，并进入车辆内部，此外，还需拆卸并打开车载系统。新版本的车载信息娱乐系统不受影响，”发言人补充道。 梅赛德斯-奔驰表示，产品和服务的安全性“高度优先”，并呼吁研究人员通过公司的漏洞披露计划报告发现的问题。 此前，研究人员披露过可被利用的漏洞，声称这些漏洞可被用于远程黑客攻击梅赛德斯-奔驰汽车。 其他与梅赛德斯-奔驰相关的网络安全问题还涉及公司IT基础设施。去年，研究人员报告称，一名梅赛德斯-奔驰员工泄露的GitHub令牌使得外界能够访问公司GitHub Enterprise服务器上存储的所有源代码。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文