HackerNews 编译，转载请注明出处： Bitdefender网络安全专家在大华智能摄像头中发现严重漏洞，攻击者可借此远程完全控制设备。尽管厂商已发布补丁，用户仍需尽快升级固件以确保安全。这些摄像头广泛应用于零售商店、仓库和私人住宅等场所的监控系统，使得安全风险尤为严峻。 漏洞主要影响大华Hero C1（DH-H4C）系列智能摄像头。安全公司公告指出：“漏洞涉及设备的ONVIF协议和文件上传处理程序，未经认证的攻击者可远程执行任意命令，从而完全控制设备。我们已向大华报告漏洞以便其采取缓解措施，目前漏洞补丁已发布。” 研究人员发现两个关键漏洞： CVE-2025-31700（CVSS评分8.1）：80端口ONVIF处理程序中的栈缓冲区溢出漏洞，无需认证即可利用。该漏洞错误解析Host头，允许攻击者通过面向返回编程（ROP）覆盖内存并执行任意代码。研究人员开发的概念验证证明，攻击者可利用ROP链在内存写入指令，通过TFTP协议释放ELF负载，并借助LD_PRELOAD在4444端口开启绑定shell。 CVE-2025-31701（CVSS评分8.1）：影响未公开的RPC上传端点，过长的HTTP头可导致.bss段缓冲区溢出，使攻击者能覆盖全局变量并通过精心构造的数据劫持系统调用，同样实现远程代码执行。 漏洞影响截至2024年初运行最新固件的大华Hero C1摄像头。厂商后续确认其他受影响型号包括IPC-1XXX、IPC-2XXX、IPC-WX、IPC-ECXX、SD3A、SD2A、SD3D、SDT2A和SD2C系列，所有固件版本早于2025年4月16日的设备均存在风险。 漏洞披露时间线 2025年3月28日：Bitdefender通过安全渠道向大华提交漏洞细节 2025年3月29日：大华确认收到并启动内部调查 2025年4月1日：大华验证漏洞有效性 2025年4月23日：大华申请延期披露，Bitdefender将日期调整为7月23日 2025年7月7日：大华发布漏洞补丁并确认协调披露计划 2025年7月23日：漏洞报告作为协调披露计划的一部分公开 安全建议 用户应采取以下防护措施： 避免将存在漏洞的大华摄像头暴露在公网 禁用UPnP和端口转发功能 将设备隔离在独立网络中 安装2025年4月16日后发布的固件更新 特别提醒：当设备通过端口转发或UPnP暴露在互联网时，这两个漏洞极为危险。成功利用可无需用户交互即获得root权限，绕过固件完整性检查加载未签名负载或持久守护进程。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 澳大利亚宣布自12月起禁止16岁以下未成年人注册YouTube账号。总理安东尼·阿尔巴尼斯表示，YouTube将被纳入需验证用户年满16岁才能注册的社交媒体平台范畴。2024年11月，澳大利亚众议院已通过法案，禁止16岁以下人群在Facebook、Instagram、Snapchat、TikTok及X平台创建账户。 该禁令旨在遏制社交媒体对青少年身心健康的多重负面影响，包括社交孤立、睡眠障碍、行为成瘾及生活满意度降低。阿尔巴尼斯总理强调：“我希望孩子们放下电子设备，走向足球场、游泳池和网球场。他们需要真实的人际互动体验，因为社交媒体正在造成社会伤害。” 本周三（7月30日），通讯部长安妮卡·威尔斯发布新规，明确界定“限制年龄的社交媒体平台”范围。此前被豁免的YouTube此次被正式列入需验证用户年龄的平台名单。威尔斯援引政府研究数据称：“证据表明，近四成澳大利亚儿童报告称最近受到的网络伤害来自YouTube。保护儿童网络安全是不可妥协的底线，我们不会被法律威胁所震慑。”她同时透露，违规平台将面临最高4950万澳元罚款，新规将于12月10日生效。 YouTube发言人回应称：“政府的决定推翻了此前明确公开承诺的‘YouTube不受禁令约束’立场。我们与政府减少网络危害的目标一致，但坚持认为YouTube是提供高质量内容的视频分享平台而非社交媒体。我们将评估后续行动并保持沟通。” 该禁令引发全球多国关注：挪威正考虑对15岁以下群体实施社媒禁令；法国与丹麦更倾向推动欧盟统一监管；英国仍在权衡禁令可行性。澳大利亚也成为全球首个将YouTube纳入未成年人禁令范围的立法国家。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全专家指出，尽管微软决定从8月1日起关闭其Authenticator应用的密码管理功能，密码管理器在未来一段时间内仍将是防御身份相关威胁的重要工具。 微软早已逐步缩减Authenticator的密码存储与自动填充能力：自6月初起，用户无法新增或导入密码；7月期间自动填充功能被关闭；而自8月1日起，所有保存的密码将无法通过该应用访问。此后，存储的密码可通过Edge浏览器访问和自动填充，或导出至其他密码管理器。但微软更希望用户转向通行密钥（passkey）——该认证方式仍受Authenticator支持，且被广泛认为更安全便捷（通过PIN或生物识别实现无密码登录）。 Keeper Security首席执行官Darren Guccione对此提出异议：“微软取消密码支持的举措看似预示行业正快速转向无密码认证，但数据揭示另一现实。这远非预示剧变，而是渐进转型中的一步。能生成并保护传统密码的解决方案对个人和企业仍至关重要，即便通行密钥在数字系统中的普及度持续提升。”他援引数据称，40%的企业采用密码与通行密钥并存的混合认证环境。 IEEE高级成员、诺丁汉大学网络安全教授Steve Furnell呼应此观点：“向无密码未来的过渡仍需时间。许多企业近期才部署多因素认证（MFA），缺乏动力开发通行密钥等新技术，尽管后者能提升用户体验。另一些企业或因定制系统或遗留系统限制，仍被迫使用传统密码。”他补充道，依赖密码的企业须落实两项基础措施：“首先提供明确指导，使用户理解如何有效创建和管理密码；其次实施默认安全策略，无论用户行为如何都能降低风险。”       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 隐私与安全专家纷纷提出批评，用户则蜂拥使用VPN。可以确定的是，英国新推行的年龄验证规定正在该国引发激烈争议。但一位专家向Cybernews表示，这很可能标志着一个新现实的开端。 自7月25日起，数千家托管成人内容的网站（包括TikTok、Reddit和X等主流平台）已根据新颁布的《在线安全法》为英国用户引入更严格的控制系统。 该法律强制平台在允许用户访问有害内容前验证其是否年满18岁，这些内容涵盖从色情到涉及自残和网络欺凌的帖子。 尽管英国用户正争相下载VPN应用（这类工具通常用于规避威权国家或独裁政体的审查，或逃避美国阿拉巴马州等地的成人网站禁令），但专家以及Pornhub等网站正就所谓的在线隐私与安全威胁发出警告。 “我们坚信，正确实施的年龄验证能让互联网成为对所有人更安全的空间。遗憾的是，立法者执行这些新法律的方式不仅低效，还将用户隐私置于风险之中，”Pornhub在介入法律争议时表示。 法律或具合理性 英国政府则立场坚定，表示这部正式名称为《在线安全法》的新规不容谈判。 网络安全公司Immuniweb首席执行官Ilia Kolochenko博士告诉Cybernews，他认为新规将长期存在，VPN注册量的激增不会改变这一趋势。“尽管对新规的最终效率和效果存在诸多分歧，但我们或许需要接受它已成为新现实——这很快将成为许多国家的新常态，”Kolochenko表示。 英国媒体监管机构Ofcom公开宣称，更严格的年龄检查将使儿童更难接触网络有害内容，且这些措施受到公众广泛支持。最关键的因素当然是儿童保护。Kolochenko指出，保护未成年人免受有害内容和性犯罪者侵害存在迫切需求，这些犯罪者正积极利用成人网站寻找新的未成年受害者。“确实，保护未成年人可能需要我们在隐私方面做出妥协——前提是措施得到妥善实施。例如，在不向第三方年龄验证服务泄露浏览历史或身份证件的前提下，强制年龄验证机制可能具有合理性，”该专家认为。 VPN漏洞或将封堵 目前，VPN（掩盖用户真实位置的工具）确实为英国居民提供了规避途径。例如，开发多款热门VPN应用的瑞士公司Proton透露，过去几天英国用户日注册量激增1800%。 然而，即使使用VPN看似是绕过限制的简便方法，这些服务也可能遭禁或选择性干扰——去年夏季土耳其已出现此类情况。“我们可能很快会看到额外立法，要求成人网站禁止VPN流量，”Kolochenko告诉Cybernews。“当然，部分VPN仍可隐匿行踪。但约90%的主流免费及商用VPN服务可被识别指纹，成人内容提供商很可能将其封锁，从而堵住这一漏洞。” 诚然，存在更复杂的方式可欺骗升级后的年龄验证系统。例如，有网络反抗者创建网站，利用当地议员姓名和照片生成虚假驾照；也有人可能尝试深度伪造技术。但问题在于：其一，使用虚假证件可能导致身份盗窃和欺诈等严重法律后果；其二，Kolochenko认为，在当前保护儿童免受网络有害内容侵害的背景下，深度伪造的可能性并非核心问题。“极少有儿童能掌握这种技术，而不愿透露身份信息的成年人仍可选择匿名——这不会对任何人造成伤害，”Kolochenko解释道。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 超过10000个使用WordPress的网站因“HT Contact Form”插件（适用于Elementor页面生成器、Gutenberg区块及表单构建）的三个关键安全漏洞面临完全控制风险。 这些漏洞包括任意文件上传、任意文件删除和任意文件移动，允许未经验证的攻击者执行恶意代码、删除关键文件或转移文件位置。Wordfence最新报告指出，三大漏洞均可导致远程代码执行和网站完全沦陷。 最严重的漏洞（CVE-2025-7340，CVSS严重性评分9.8）因插件的temp_file_upload()函数缺乏验证机制，使攻击者能够上传任意类型文件（包括可执行的PHP脚本）。这些文件被存储在公开目录，可直接访问执行。 第二项漏洞（CVE-2025-7341）通过temp_file_delete()函数实现任意文件删除。攻击者通过删除wp-config.php文件可使网站进入设置模式，若指向新数据库则获取完全控制权。 第三项漏洞（CVE-2025-7360）涉及handle_files_upload()函数的任意文件移动功能。该函数未能正确过滤文件名，使攻击者能移动关键文件，达到与文件删除相同的破坏效果。 站点所有者应对措施 研究人员vgo0和Phat RiO通过漏洞奖励计划向Wordfence披露漏洞。Wordfence于7月8日联系插件开发商HasTech IT后，修复补丁已于五天后（7月13日）发布。 Wordfence声明：“鉴于漏洞的严重性，我们强烈建议WordPress用户立即检查并更新至HT Contact Form插件的最新修复版本。”同时建议用户： 保持插件与主题更新 及时安装供应商补丁 采用具备文件上传和目录遍历防护的安全方案 “若您身边有人使用此插件，请务必分享此安全通告，这些漏洞构成重大威胁。”         消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 尽管这是一项科学突破，该技术仍引发关于隐私与道德监控的争议。 罗马第一大学的研究团队发现，人体扰动WiFi信号形成的独特模式如同无形指纹——每个人的特征均独一无二。然而，这与手机人脸识别或健身房指纹扫描等传统生物识别技术截然不同：该方法既无需摄像头，也无需被识别者主动配合。 该系统依赖于WiFi信号模式的细微变化，具体而言是信道状态信息（CSI）的变化。当电磁波穿透人体或经人体反射时，人体体型、动作姿态等特性会引发信号幅度与相位的独特“印记”。 为解析这些“印记”，团队基于标准数据集NTU-Fi训练了Transformer深度神经网络模型。结果显示，该模型能以高达95.5%的准确率跨空间重识别个体。 相较于固定位置的摄像头或生物扫描仪，该系统可在任何存在WiFi信号的区域运作，潜在将住宅、办公室等场所转化为被动识别场域。虽然系统不存储图像或传统个人数据，但其在无需知情或同意的情况下追踪人员的能力，已引发重大伦理质疑——尤其在WiFi网络日益密集的当下。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新型网络威胁：暗网社区（The Com） 非传统犯罪团伙的“暗网社区”（简称The Com）正快速蔓延至11-25岁青少年群体。该去中心化网络犯罪组织潜伏在Discord、Telegram及私人论坛，融合黑客技术、暴力行为与剥削活动。 美国联邦调查局（FBI）将其列为对青少年最紧迫的网络威胁之一，指出其行为动机仅为金钱、知名度、报复和剥削，而非任何正义诉求。 过去四年间，该组织犯罪手段持续升级，成员涉足性勒索、报假警（swatting）、儿童剥削及雇凶施暴等恶性犯罪，具体攻击手段包括： 分布式拒绝服务（DDoS）攻击 SIM卡劫持 勒索软件攻击 知识产权窃取 加密货币盗窃 成员通过屏幕共享炫耀犯罪所得（部分加密货币盗窃案值超百万美元），但内部相互倾轧严重，常沦为同伙作案目标。该组织无核心领袖或统一意识形态，但维持着邪教式帮派运作模式，预估有数千名活跃/前成员。FBI单日连发三份警报揭示其三大分支： 1. 黑客分支（Hacker Com） 专精技术犯罪，掌握远控木马、钓鱼工具包、VOIP电话、加密货币洗钱等技术，实施： 大规模数据窃取 政府邮箱账户倒卖 勒索软件部署 高调网络入侵 成员以技术实力和账户余额确立地位，频发内斗导致自身成为SIM劫持、加密货币盗窃目标。 2. 现实犯罪分支（IRL Com） 从SIM劫持拓展至实体暴力服务，明码标价提供： 枪击/绑架/抢劫 持刀伤人/暴力袭击 设备损毁（bricking） 通过社交媒体招募打手，并将报假警作为管控成员手段——违抗命令者及其家人可能成为目标。 3. 勒索分支（Extortion Com） 系统化剥削未成年女性及心理脆弱者，胁迫受害者： 制作自残/虐宠/色情内容 直播自杀行为 使用人肉搜索（doxxing）、报假警及现实暴力操控受害人，犯罪素材在组织内传播以持续勒索。主要通过青少年常用社交平台/游戏应用锁定10-17岁目标。 FBI安全建议 监督未成年人网络活动 避免公开隐私信息/含未成年人影像 启用多重验证及隐私设置 拒付勒索赎金（可能加剧侵害） 警惕行为突变、自残倾向、隐蔽网络关系等风险信号。立即通过FBI网络犯罪投诉中心或国家失踪与受虐儿童中心（NCMEC）举报，紧急情况拨打911。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一台配置错误的Elasticsearch服务器暴露了包含数亿条高度详细记录的商业情报数据金矿，这些记录关联瑞典个人及组织。 Cybernews研究人员发现了这个未加密的数据库，它不需要任何身份验证即可访问，且完全暴露在公共互联网上。 泄露数据包含超过1亿条记录，时间跨度为2019至2024年，共分布在25个独立索引中，部分数据集体积超过200GB。 哪些数据被泄露？ 许多泄露记录包含高度敏感的个人和组织信息，包括： 完整法定姓名（含曾用名历史） 瑞典个人身份证号 出生日期和性别 瑞典境内及海外的地址历史 婚姻状况及已故人员信息 移民者的海外地址 债务记录、付款备注、破产历史、房产所有权指标 跨越数年的所得税数据（2019–2023） 活动及事件日志（包括收入申报提交、移民状态和地址更新） 这些记录实质上描绘了瑞典公民和组织长达五年的财务与行为画像。泄露数据提供了关于个人及组织运作方式的详细时间戳快照，追踪了从地址变更、收入变动到债务、税务申报及商业关联等一切信息。 信息的庞大规模和精确度使该数据集极具价值和危险性。银行、贷款机构和合规团队可利用其进行风险评估和信用分析。然而对威胁行为者而言，此类数据为各种形式的利用打开了大门——攻击者可将其武器化，用于企业监控、竞争对手画像、高精准钓鱼攻击、社会工程攻击或勒索。 与Risika商业情报的关联 对数据库结构及字段名的分析表明，暴露数据源自北欧领先的商业情报数据分析公司Risika。内部“dwh*”（数据仓库）标签及产品导向的索引命名方式与已知Risika产品规范吻合。 但进一步调查显示，该Elasticsearch集群并非由Risika自身运营，而是由一个尚未确认的第三方操作。命名惯例和元数据模式表明其为下游客户。 研究人员认为，这些数据可能是在商业许可下合法提供给该运营方的，但因配置错误而被公开暴露。 Cybernews已于5月10日向Risika发送负责任的披露通知，但未收到回应。该集群于次日下线。 披露时间线 2025年5月9日：发现数据泄露 2025年5月10日：发送首次披露通知 2025年5月11日：泄露通道关闭       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 纽约州发布了一系列针对全州供水和废水处理系统的网络安全法规提案。 州长凯茜·霍楚（Kathy Hochul）在7月22日的公开声明中宣布了这些提案。提案包含由纽约州卫生部（DOH）和纽约州环境保护部（DEC）分别制定的、针对水务管理公司的运营技术（OT）安全要求。 同时，纽约州公共服务部（DPS）发布了针对自来水公司、其他公用事业公司及有线电视公司的信息技术安全法规提案。 这些现已开放公众评议的拟议规则，旨在加强关键水务系统的网络弹性，以应对该领域日益增多的攻击。 各机构共同努力，协调统一了每套要求中的定义和条款，并尽量减少重复和冲突的规则。 这些法规旨在与包括美国环境保护署（EPA）和网络安全与基础设施安全局（CISA）在内的联邦机构发布的相关指南保持一致。 除法规外，环境设施公司（EFC）将建立一个新的资助项目，并为保障水务系统安全提供技术援助。 霍楚州长评论道：“针对关键基础设施的网络攻击可能对社区造成毁灭性影响，我们必须立即行动起来，以应对其他关键领域同样的紧迫性和严谨性来保卫我们的供水和废水处理系统。”她接着说：“这些新法规和资助项目反映了我们的承诺，即在帮助资源不足的实体实现现代化的同时，保护公众健康和安全。” 公众可在以下截止日期前提交评议：DEC的评议期至2025年9月3日，DOH至9月14日，DPS至9月14日。 一旦采用，受监管实体须在2027年1月1日前遵守DEC和DOH的法规，并在2026年1月1日前遵守公共服务委员会（PSC）的法规。 新要求内容概要 卫生部 (DOH) DOH规则适用于服务超过3300人的社区供水系统，其中对服务5万人的系统有特定条款。 提案包括建立网络安全漏洞分析的要求。 规则还概述了网络安全计划的基线要求。该计划必须能够履行监管报告要求、提供身份验证和访问管理、维护网络资产清单以及监控和记录网络活动等功能。 所有适用的供水系统必须制定网络安全事件响应计划，并在事件发生后24小时内向DOH报告。此外，相关人员必须每三年至少接受一小时的网络安全培训。 环境保护部 (DEC) DEC条款适用于全州的废水处理设施。它们包含多项基线网络安全控制措施，包括符合最小权限原则的访问控制和身份验证程序。 其他控制措施涉及密码安全、多因素认证（MFA）以及实施网络安全漏洞管理流程。 废水处理设施还必须将OT系统与IT系统分离。 必须制定事件响应计划，在24小时内口头向区域水务工程师报告事件，并在30天内提交书面报告。 公共服务部 (DPS) DPS规则适用于所有服务5万或以上客户的公用事业公司和有线电视公司。 这些组织必须制定网络安全政策，该政策应实施数据屏蔽、多因素认证（MFA）和访问控制等措施，并包含应对网络攻击和从中恢复的计划。 此外，受监管实体必须聘用一名首席信息安全官（CISO），由其每年向公司领导层报告网络安全准备状况。 水务领域威胁上升 专家近年来强调了水务领域日益增长的网络安全风险，威胁范围涵盖出于经济动机的组织到国家支持组织的破坏性攻击。 Semperis在2025年4月的一份报告发现，过去一年中，超过五分之三的美国和英国水电企业成为网络攻击的目标，其中大多数遭受了严重干扰。 2024年8月，美国政府问责署（GAO）敦促环境保护署（EPA）解决供水和废水处理系统面临的网络风险。GAO强调了该领域存在的重大安全风险，包括普遍存在的难以更新网络安全防护的老旧技术，以及OT与IT系统之间日益增长的连接性。 影响供水服务的重大事件包括2024年10月对泽西岛运营商American Water的攻击，该攻击扰乱了计费系统。 2024年9月，堪萨斯州阿肯色城报告其水处理设施遭遇网络安全事件，促使该设施暂时切换为手动操作模式。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌宣布推出一项名为“OSS Rebuild”的新计划，旨在增强开源软件包生态系统的安全性，防范软件供应链攻击。 谷歌开源安全团队（GOSST）的Matthew Suozzo在本周的博客文章中表示：“随着供应链攻击持续针对广泛使用的依赖库，OSS Rebuild能为安全团队提供强大的数据来避免遭受入侵，同时无需增加上游维护者的负担。” 该项目旨在为Python Package Index (Python)、npm (JS/TS) 和 Crates.io (Rust) 软件包注册表提供构建溯源（build provenance），并计划将其扩展到其他开源软件开发平台。 OSS Rebuild 的核心思路是结合利用声明式构建定义（declarative build definitions）、构建工具（build instrumentation）和网络监控能力，生成可信的安全元数据。这些元数据随后可用于验证软件包的来源，并确保其未被篡改。 谷歌表示：“通过自动化和启发式方法，我们确定目标软件包的预期构建定义并重建它。我们将结果与现有的上游制品进行语义比较，对两者进行归一化处理，以消除导致比特级（bit-for-bit）比较失败的不稳定因素（例如，归档压缩差异）。” 成功复现软件包后，构建定义和结果将通过 SLSA Provenance 作为证明机制发布。这使用户能够可靠地验证其来源、重复构建过程，甚至从已知功能基线定制构建。 在自动化无法完全复现软件包的情况下，OSS Rebuild 提供了可替代使用的手动构建规范。 谷歌指出，OSS Rebuild 有助于检测不同类别的供应链入侵事件，包括： 包含公共源代码仓库中不存在代码的已发布软件包（例如 @solana/web3.js 事件） 可疑的构建活动（例如 tj-actions/changed-files 案例） 通过人工审查难以识别的、嵌入在软件包中的异常执行路径或可疑操作（例如 XZ Utils 后门） 除了保护软件供应链，该方案还能改进软件物料清单（SBOM）、加速漏洞响应、增强软件包的可信度，并消除组织依赖 CI/CD 平台负责其软件包安全性的需要。 谷歌解释道：“重建工作通过分析已发布的元数据和制品来推导，并与上游软件包版本进行评估。成功后，将为上游制品发布构建证明，验证上游制品的完整性，并消除许多可能的入侵来源。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文