HackerNews 编译，转载请注明出处：   OpenAI 表示，已阻止多个朝鲜黑客组织使用其 ChatGPT 平台来研究未来目标并寻找入侵其网络的方法。 “我们封禁了显示与公开报道的朝鲜相关威胁行为者活动的账户，”该公司在 2025 年 2 月的威胁情报报告中表示。 “其中一些账户的活动与一个名为 VELVET CHOLLIMA（又名 Kimsuky、Emerald Sleet）的威胁组织的行为一致，而其他账户则可能与一个被可信来源评估为与 STARDUST CHOLLIMA（又名 APT38、Sapphire Sleet）相关的组织有关。” 这些被封禁的账户是通过一个行业合作伙伴提供的信息检测到的。除了研究网络攻击中使用的工具外，这些威胁行为者还利用 ChatGPT 获取与加密货币相关的信息，这与朝鲜国家支持的威胁组织的常见兴趣相关。 这些恶意行为者还利用 ChatGPT 进行编码辅助，包括如何使用开源远程管理工具（RAT），以及对用于远程桌面协议（RDP）暴力攻击的开源和公开可用的安全工具和代码进行调试、研究和开发辅助。 OpenAI 的威胁分析师还发现，朝鲜行为者在调试自动启动扩展点（ASEP）位置和 macOS 攻击技术时，暴露了当时安全供应商未知的恶意二进制文件的暂存 URL。 这些暂存 URL 和相关的编译可执行文件被提交给一个在线扫描服务，以便与更广泛的安全社区共享。因此，一些供应商现在能够可靠地检测到这些二进制文件，保护潜在受害者免受未来攻击。 OpenAI 在研究朝鲜威胁行为者如何使用被封禁账户时发现的其他恶意活动包括但不限于： – 询问各种应用程序中的漏洞， – 开发和排除 C# 基 RDP 客户端的故障，以启用， – 要求代码以绕过未经授权的 RDP 的安全警告， – 请求多个 PowerShell 脚本，用于 RDP 连接、文件上传/下载、从内存中执行代码和混淆 HTML 内容， – 讨论创建和部署混淆的有效载荷以供执行， – 寻求对加密货币投资者和交易者进行针对性网络钓鱼和社会工程的方法，以及更通用的网络钓鱼内容， – 制作网络钓鱼电子邮件和通知，诱使用户透露敏感信息。 该公司还封禁了与一个潜在的朝鲜 IT 工人计划相关的账户，该计划被描述为具有通过欺骗西方公司雇佣朝鲜人来为平壤政权获取收入的所有特征。 “在似乎获得就业后，他们使用我们的模型执行与工作相关的任务，如编写代码、排除故障和与同事交流，”OpenAI 解释道。“他们还使用我们的模型来编造掩盖故事，以解释异常行为，如避免视频通话、从未经授权的国家访问公司系统或工作时间不规律。”   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果公司周五宣布，由于英国政府要求获得加密用户数据的后门访问权限，将立即在英国移除 iCloud 的高级数据保护（ADP）功能。 据彭博社首次报道，ADP 是 iCloud 的一个可选设置，确保用户的受信任设备唯一持有用于解锁存储在云端数据的加密密钥。这包括 iCloud 备份、照片、笔记、提醒、Safari 书签、语音备忘录以及与苹果自家应用相关的数据。 “鉴于数据泄露和其他对客户隐私的威胁不断增加，我们对无法在英国为客户提供 ADP 保护感到非常失望，”苹果公司被引用对彭博社表示。“ADP 通过端到端加密保护 iCloud 数据，这意味着数据只能由拥有它的用户在其受信任设备上解密。” 据报道，已经使用 ADP 的用户需要在尚未指定的时间内手动禁用该功能，因为苹果“无法代表他们自动禁用它。” 这一前所未有的举措仅在数周前，有报道称英国政府已下令苹果建立后门以访问任何苹果用户的 iCloud 内容。 据《华盛顿邮报》报道，该要求由英国内政部根据《调查权力法》（IPA），也称为《窥探者宪章》，发出，“要求全面能力以查看完全加密的材料，而不仅仅是协助破解特定账户。” 随着在该地区移除 ADP，苹果现在只为 iCloud 提供标准数据保护，该保护加密用户数据但将加密密钥存储在其自己的数据中心，从而使执法部门在获得搜查令的情况下可以访问这些数据。 上周，美国参议员罗恩·怀登和众议员安迪·比格斯致函国家情报总监图尔西·加巴德，敦促英国撤回其命令，称这威胁到美国人民和美国政府的隐私和安全。 “如果英国不立即逆转这一危险行为，我们敦促你重新评估美英网络安全安排和项目以及美国与英国的情报共享，”他们补充道。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国卫生网联邦服务公司（HNFS）及其母公司 Centene Corporation 已同意支付 1125 万美元和解金，以解决 HNFS 被指控在其国防卫生局（DHA）TRICARE 合同下虚假认证符合网络安全要求的指控。 美国政府与 HNFS 签订合同，由其为 TRICARE 北区提供管理式医疗支持服务，覆盖 22 个州。 合同要求遵守网络安全标准，特别是 48 C.F.R. § 252.204-7012 以及 NIST 特别出版物 800-53（联邦信息系统和组织的安全与隐私控制）中的 51 项安全控制措施。 根据美国司法部的公告，在 2015 年至 2018 年期间，HNFS 被指控在为美国军人及其家庭管理健康福利时，未能实施所需的网络安全措施。 与此同时，司法部声称 HNFS 在向 DHA 提交的报告中虚假认证合规，使其看起来像是充分保护了人们的数据，而实际上并未做到。 具体而言，HNFS 未能采取以下措施： 扫描其系统中的已知漏洞并及时修复。 考虑审计报告中突出的网络安全风险并采取行动进行补救。 实施行业标准的资产管理、访问控制、防火墙保护和补丁管理。 避免使用过时的硬件和软件。 遵循强账户密码策略。 在和解协议文件中，美国政府指出 HNFS 至少在三个场合虚假认证合规：2015 年 11 月 17 日、2016 年 2 月 26 日和 2017 年 2 月 24 日。 HNFS 和 Centene 否认所有指控，并坚称没有发生数据泄露或军人信息丢失。然而，他们仍同意支付 1125 万美元和解金以解决指控。 法律文件明确指出，如果未来出现额外证据、行政处罚或民事诉讼，和解协议并不保护 HNFS 和 Centene 免受刑事责任。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据《华盛顿邮报》报道（https://www.washingtonpost.com/technology/2025/02/07/apple-encryption-backdoor-uk/），英国政府已向苹果公司发出秘密法律要求，要求其提供访问加密 iCloud 账户的权限。 这项要求被称为“技术能力通知”（TCN），是该国《调查权力法》中一项有争议的条款。 执法部门通过TCN 获得权限，但同时要求不得通知受影响的个人账户，否则可能会面临刑事诉讼。 《华盛顿邮报》的报道将这一要求描述为创建一个“后门，允许（英国当局）检索全球任何苹果用户上传到云端的所有内容”，但英国政府辩解称，此类通知只是为了迫使科技公司保留遵守数据合法授权的能力。 2022 年 12 月，苹果为 iCloud 用户推出了可选的端到端加密 (E2EE)，尽管英国和美国执法机构抱怨此举将破坏打击恐怖主义和虐待儿童等严重犯罪的努力。 关于端到端加密的类似争论也很普遍，英国一位最资深的执法官员认为，Meta 于 2023 年 12 月转向 E2EE 消息传递是公司放弃保护儿童安全的责任。 科技公司一直主张并游说，替代安全程序可以让执法官员访问用户账户和聊天内容。执法官员则认为，此类元数据不符合针对最严重威胁采取法律行动的证据标准。 苹果和英国政府均未立即回应置评请求。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/WwovEJuO783NqC_6YlhG4A 封面来源于网络，如有侵权请联系删除

7-Zip 中存在一个高严重性漏洞，攻击者可以利用该漏洞绕过 Windows 安全功能 Mark of the Web (MotW)，并在从嵌套归档文件中提取恶意文件时在用户的计算机上执行代码。 7-Zip 于 2022 年 6 月从 22.00 版开始添加了对 MotW 的支持。从那时起，它会自动将 MotW 标志（特殊的“Zone.Id”备用数据流）添加到从下载的档案中提取的所有文件中。 此标志通知操作系统、网络浏览器和其他应用程序，文件可能来自不受信任的来源，应谨慎处理。 因此，当双击使用 7-Zip 提取的危险文件时，用户会收到警告，打开或运行此类文件可能会导致潜在的危险行为，包括在其设备上安装恶意软件。 Microsoft Office 还将检查 MotW 标志，如果找到，它将在受保护的视图中打开文档，这会自动启用只读模式并禁用所有宏。 使用 MoTW 标志启动下载的可执行文件（BleepingComputer） 然而，如趋势科技在周末发布的一份公告中所解释的那样，一个被追踪为CVE-2025-0411的安全漏洞可以让攻击者绕过这些安全警告并在目标电脑上执行恶意代码。 Trend Micro 表示：“此漏洞允许远程攻击者绕过受影响的 7-Zip 安装上的 Mark-of-the-Web 保护机制。利用此漏洞需要用户交互，即目标必须访问恶意页面或打开恶意文件。” “特定缺陷存在于存档文件的处理中。从带有网络标记的精心设计的存档中提取文件时，7-Zip 不会将网络标记传播到提取的文件中。攻击者可以利用此漏洞在当前用户的上下文中执行任意代码。” 7-Zip 已于2024 年 11 月 30 日发布 7-Zip 24.09修补了此漏洞 。 “7-Zip 文件管理器没有传播从嵌套档案中提取的文件的 Zone.Identifier 流（如果另一个打开的档案内有一个打开的档案）。”Pavlov 说。 利用类似漏洞可部署恶意软件 由于 7-Zip 没有自动更新功能，许多用户可能仍在运行易受攻击的版本，攻击者可以利用7ZIP的旧版本感染恶意软件。 所有 7-Zip 用户应尽快修补其安装，因为此类漏洞经常被恶意软件攻击所利用。 例如，6 月份，微软解决了 Mark of the Web 安全绕过漏洞 (CVE-2024-38213)， DarkGate 恶意软件运营商自 2024 年 3 月以来一直在利用该漏洞作为0day武器来绕过 SmartScreen 保护并安装伪装成 Apple iTunes、NVIDIA、Notion 和其他合法软件安装程序的恶意软件。 以经济利益为目的的 Water Hydra（又名 DarkCasino）黑客组织还利用另一个 MotW 绕过（CVE-2024-21412），使用DarkMe 远程访问木马 (RAT)针对股票交易 Telegram 频道和外汇交易论坛发起攻击。     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/UC2bhaDJEdyNE0MsWN5EjQ 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 社交媒体安全初创公司Spikerz上周宣布，成功完成700万美元的种子轮融资。 本轮融资由Disruptive AI领投，Horizon Capital、Wix Ventures、Storytime Capital和BDMI等老股东参与。 Spikerz表示，此轮融资将帮助公司加速平台开发、拓展全球市场并加强团队建设。 Spikerz开发了一种解决方案，社交媒体团队和网络红人可以利用该平台跟踪并中和钓鱼攻击、诈骗及其他可能威胁账户安全的风险。 该平台还具备检测和移除虚假账户及恶意机器人功能，并提供工具帮助识别并解决限制账户可见性（如影藏封禁）的问题。 Spikerz首席执行官Naveh Ben Dror表示：“社交媒体平台已成为全球企业、中小型企业和品牌的重要来源。然而，恶意行为者，尤其是利用生成型人工智能（GenAI）的攻击者，日益复杂的手段对这些生计构成了重大威胁。” 他补充道：“在Spikerz，我们致力于通过AI驱动的工具和网络安全专业技术，保持账户的安全。这笔融资体现了问题的紧迫性以及投资者对我们解决这一问题的信任。” 消息来源：Security Week, 编译：zhongx； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 联邦贸易委员会（FTC）周五发布的初步报告中指出，企业根据从消费者数据和行为中收集的信息对商品进行加价，这些信息包括地理位置、人口统计特征、购物习惯，甚至个人在网页上移动鼠标的方式。 该报告基于六家公司——万事达卡、埃森哲、PROS、Bloomreach、Revionics和麦肯锡公司——提供的材料。FTC于7月要求这些公司提供有关其所谓“监控定价”产品的信息。 这六家被调查公司出售的工具使企业能够不断调整价格，让零售商能够基于各种个人特征，通过算法调整并确定向消费者收取的费用。 该报告由FTC即将离任的民主党多数派要求编制，目前仍处于“工作人员观点”阶段，尚未最终确定。即将上任的FTC主席安德鲁·弗格森和共和党成员梅利萨·霍利约克反对发布该报告，称在机构调查结束前不应发布。 根据FTC的新闻稿，由于该委员会要求不得泄露机密商业秘密，因此报告仅提供了假设性示例。 报告也未明确这六家公司各自对消费者进行画像的广泛程度。 新闻稿称，其中一些公司表示，它们能够“根据细致的消费者数据（如化妆品公司针对特定肤质和肤色的促销活动）来确定个性化和差异化的定价及折扣”。 FTC基于这六家公司提供的文件提出的一个假设案例是，一位被标记为新父母的消费者在购买婴儿产品时看到了更高的价格。 FTC表示，这六家研究公司服务的客户多达250家，涵盖从杂货店到服装连锁店的各类企业。 即将离任的主席莉娜·可汗在一份声明中表示：“FTC应继续调查监控定价行为，因为美国人有权了解自己的个人数据是如何被用来设定他们支付的价格的，以及企业是否为同一商品或服务向不同的人收取不同价格。” 该委员会呼吁消费者和企业发表公开评论，详细说明监控定价对他们造成的影响。 六家公司中只有两家回应了置评请求。 旗下拥有Recorded Future News的万事达卡的一位发言人表示，公司正在审查刚刚发布的报告。 该发言人说：“我们不提供监控定价服务。我们的服务和平台帮助我们的客户更好地了解与其业务相关的趋势和见解。” Revionics的一位发言人说，该公司没有开发“针对特定个人推荐定价的软件。Revionics在任何情况下都不会使用个人消费者数据。” 该发言人说：“Revionics的人工智能价格优化软件在向零售商推荐最优价格时，会考虑众多市场层面的因素。通过使用人工智能，Revionics帮助零售商确定一个对消费者和零售商都有利的价格。” FTC指出，这六家公司中的一些“反对将其提供的工具描述为旨在或用于为消费者设定个性化价格或实现监控定价”。   消息来源：The Record, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部周五指控三名俄罗斯国民涉嫌运营加密货币混淆服务Blender.io和Sinbad.io。 罗曼·维塔利耶维奇·奥斯塔彭科和亚历山大·叶夫根尼耶维奇·奥列伊尼克于2024年12月1日在荷兰金融情报与调查局、芬兰国家调查局和FBI的协调下被捕。 两人的被捕地点未公开。第三名嫌疑人安东·维亚切拉维奇·塔拉索夫仍在逃。 被告被指控运营加密货币混淆器（又称“搅拌器”），这些服务成为“清洗犯罪所得资金”的避风港，包括勒索软件和电信诈骗所得，从而使国家支持的黑客团体和网络犯罪分子能够从其恶意活动中获利。 具体而言，他们允许付费用户以掩盖加密货币来源和资金源自各种网络犯罪事实的方式，将加密货币发送给指定收款人。 美国佐治亚州北区检察官瑞安·K·布坎南表示：“Blender.io和Sinbad.io涉嫌被全球罪犯用于清洗从勒索软件受害者、虚拟货币失窃案和其他犯罪中窃取的资金。” Blender于2018年推出，2022年5月被美国财政部制裁，原因是与朝鲜有关联的拉扎勒斯集团利用该服务清洗网络犯罪所得，包括一起针对Ronin Bridge的黑客攻击所得。 “该服务在一个流行的互联网论坛上宣传称拥有‘无日志政策’，并会删除用户交易的所有痕迹，”司法部表示，“此外，广告中描述称，Blender不要求用户注册、登录或‘提供除接收地址外的任何详细信息！’” Blender还被指控为与俄罗斯有关的勒索软件团伙（如TrickBot、Conti（前身为Ryuk）、Sodinokibi（又称REvil）和Gandcrab）提供洗钱便利。虽然Blender在制裁公告发布前一个月停止运营，但区块链情报公司Elliptic在2023年5月透露，该服务“极有可能”在2022年10月初以Sinbad的名义重新命名并推出。 一年多后，国际执法机构查封了与Sinbad相关的在线基础设施，并对该混淆器处以制裁，因其处理了价值数百万美元的来自拉扎勒斯集团抢劫案的虚拟货币。 55岁的奥斯塔彭科被指控一项洗钱共谋罪和两项经营未获授权的资金转账业务罪。 44岁的奥列伊尼克和32岁的塔拉索夫被指控一项洗钱共谋罪和一项经营未获授权的资金转账业务罪。如被定罪，这三名被告均面临每项指控最高25年的监禁。 此消息传出之际，Chainalysis表示，在与加拿大执法部门合作的“Spincaster行动”和“DeCloak行动”中，已确认超过1100名加密货币诈骗受害者，估计总损失超过2500万美元。 在这些诈骗中，骗子通常会指示受害者设立自己的自托管钱包，在加拿大的集中式交易所购买加密货币，并将这些资金发送到自托管钱包。 Chainalysis表示：“骗子向受害者付款，诱使他们将资金存入自托管钱包。然后，骗子诱使受害者将加密货币发送到目标地址，从而榨干受害者的钱包/资金。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

随着2024年的落幕，全球网络安全领域经历了一系列深刻变化和挑战。这一年，我们见证了网络攻击的规模和复杂性达到了前所未有的水平，从勒索软件的全球肆虐到数据泄露事件的惊人规模，网络安全事件的频发不仅考验了各国的安全防御能力，也暴露了数字化世界中的脆弱性。AI技术的双刃剑效应愈发明显，一方面，它被用作增强网络防御的利器，另一方面，它也成为网络犯罪分子的新武器。 本文基于HackerNews网站数据，以“创宇资讯”视角出发，筛选并总结出了2024年备受关注的网络安全热点事件，排名不分先后。它们不仅定义了这一年的网络安全态势，也预示着未来的趋势和挑战。 1、Ivanti的零日漏洞被大规模利用 2024年1月，Ivanti公司披露了两个影响其Ivanti Connect Secure VPN（前称Pulse Secure）和Ivanti Policy Secure设备的零日漏洞。这两个漏洞允许攻击者绕过身份验证并执行命令注入，进而可能导致未授权的远程代码执行（RCE）和内部网络的横向移动。 CVE-2023-46805：这是一个认证绕过漏洞，攻击者可以通过路径遍历来绕过访问控制检查。 CVE-2024-21887：这是一个命令注入漏洞，允许具有管理员权限的认证用户发送特殊构造的请求并在设备上执行任意命令。 攻击者，被称为UNC5221或UTA0178，利用这些漏洞在野外进行攻击。他们使用多个自定义恶意软件家族，在某些情况下，通过在设备内对合法文件进行木马化来植入恶意代码。这些漏洞的影响非常广泛，因为Ivanti Connect Secure作为SSL-VPN解决方案，对于潜在攻击者来说是一个极具吸引力的目标，它们寻求进入企业内部网络的入口点。如果被破坏，可能会给恶意行为者提供进入敏感组织系统和数据存储库的立足点。因此，了解和加强围绕Ivanti Connect Secure的安全措施对于保护潜在网络威胁和入侵至关重要。 在漏洞被披露后，美国网络安全和基础设施安全局（CISA）发布了紧急指令，要求所有联邦机构在2024年2月2日之前断开受影响的Ivanti产品与网络的连接，并在已经受到威胁的情况下执行额外的取证分析和清理步骤。Ivanti也发布了补丁，以解决所有受影响产品的安全问题。 这次事件显示了攻击者对新发现漏洞的迅速利用能力，增加了各行业面临的安全风险，特别是对于那些依赖于VPN解决方案来保护网络访问的组织。这也强调了及时应用安全补丁和维护强大的网络安全措施的重要性。 相关阅读： https://hackernews.cc/archives/49790 2、超大规模数据泄露事件曝光 2024年1月，网络安全领域遭遇了一次前所未有的挑战，研究人员揭露了一起涉及260亿条记录的超大规模数据泄露事件。这次泄露的数据不仅数量惊人，而且来源多样，包括了多家国际知名企业和机构，如Twitter、Adobe、LinkedIn等。泄露的数据种类繁多，涵盖了大量个人身份信息、账户凭证、电子邮件地址和电话号码等敏感信息，对全球网络安全构成了严重威胁。 这一事件由网络安全专家Bob Diachenko及其团队发现。初步调查显示，泄露的数据来源复杂多样，既有多个先前已泄露的数据库和历史数据，也包括通过非法渠道收集的信息。泄露数据的存储方式和数量表明，这些数据可能由网络犯罪分子或数据经纪人收集，并与跨境数据交换及恶意组织的合作有着密切联系。这一事件不仅暴露了个人隐私和敏感信息的安全风险，也凸显了全球数据保护和网络安全管理的紧迫性和重要性。 相关阅读： https://hackernews.cc/archives/49414 3、勒索团伙LockBit遭执法机构重锤 2024年2月，一个名为“克洛诺斯行动”（Operation Cronos）的联合执法行动在全球范围内对臭名昭著的勒索软件组织LockBit发起了毁灭性的打击。这次行动由11个国家的执法机构共同参与，包括美国、法国、英国等，取得了显著的成果。 在这次行动中，两名LockBit的运营者在波兰和乌克兰被捕，执法部门扣押了超过200个可能包含受害者支付的勒索金的加密钱包。此外，执法部门从查获的LockBit服务器中获取了超过1,000个解密密钥，并基于这些密钥开发了一个免费的解密工具，供受害者恢复加密文件。LockBit的服务器和基础设施被查获，其数据泄露站点也被接管，用于发布解密工具和悬赏通知。 法国和美国司法当局针对其他LockBit威胁行为者发出了三份国际逮捕令和五项起诉书。此次全球行动由英国国家犯罪局(NCA)领导，并在欧洲由欧洲刑警组织和欧洲司法局协调。欧洲刑警组织表示，为期数月的行动最终成功捣毁了LockBit组织犯罪活动所依赖的主要平台和其他关键基础设施。 这次行动的成功不仅展示了国际合作在打击网络犯罪方面的力量，也为全球网络安全领域树立了一个重要的里程碑。通过这次行动，执法机构不仅重创了LockBit的基础设施，还获取了大量情报，包括与其合作过的组织信息以及利用LockBit服务危害全球网络安全的信息。这些成果对于预防未来的网络犯罪活动和保护全球网络安全具有重要意义。 相关阅读： https://hackernews.cc/archives/50030 https://hackernews.cc/archives/50057 4、联合健康集团子公司Change Healthcare遭到勒索软件攻击 2024年2月，美国医疗支付服务提供商Change Healthcare遭受了一起严重的勒索软件攻击事件，导致约1亿人的个人信息受到影响。这次攻击由臭名昭著的勒索软件组织ALPHV/BlackCat声称负责。攻击者通过从缺乏多因素认证的Citrix门户获取的被盗凭证访问了Change Healthcare的系统，并在网络中潜伏了大约九天，未被发现，随后部署了勒索软件。 此次攻击干扰了超过100个Change Healthcare应用程序，包括牙科、药房、医疗记录、临床服务、注册、收入和付款等多个应用程序服务中断，影响了全国范围内的计费、保险索赔处理、处方药交付等关键功能。由于系统被加密，许多医院和药房无法正常处理索赔和接收付款，导致医疗服务中断。此外，攻击还导致了大量敏感数据被盗，包括个人身份信息、医疗记录、账单记录和保险数据等。 与此次攻击相关的总成本预计超过24.5亿美元，包括赎金支付、恢复工作和法律责任。据报道，Change Healthcare支付了2200万美元的赎金，尽管这一支付并未阻止另一个名为RansomHub的组织进行进一步的敲诈。这次攻击不仅对Change Healthcare造成了巨大的经济损失，也对美国医疗保健系统的正常运作造成了严重影响。 相关阅读： https://hackernews.cc/archives/50120 https://hackernews.cc/archives/51728 https://hackernews.cc/archives/56184 5、Snowflake被黑导致165家企业数据泄露 Snowflake数据泄露事件是2024年春季发生的一系列针对使用Snowflake云存储服务的组织的大规模数据泄露。根据谷歌Mandiant的报告，至少有165家组织受到了影响，包括Ticketmaster、Advance Auto Parts、Santander等知名企业。这些泄露事件并非由于Snowflake自身的环境问题，而是由于客户凭证被泄露，且许多受影响账户没有启用多因素身份验证（MFA）。 攻击者，被Mandiant归因于UNC5537，是一个以经济动机为驱动的威胁行为者，涉嫌从Snowflake客户环境中窃取大量记录。他们通过窃取的客户凭证入侵Snowflake客户实例，并在网络犯罪论坛上发布出售受害者数据的广告，试图敲诈受害者。UNC5537主要位于北美，另有一名成员在土耳其。 这次事件不仅对Snowflake造成了财务损失和声誉损害，还引发了多起针对Snowflake及其他受影响公司如AT&T、Santander Bank、Ticketmaster、Lending Tree和Advanced Auto Parts的集体诉讼。此外，受影响组织的员工数据，如用户名、密码和独特的网络地址也受到了影响。泄露的数据包括个人身份信息，如姓名、地址、信用卡信息和用户名。 Snowflake在识别出导致泄露的原因后，通知了其客户，并建议他们实施MFA以防止未经授权访问其数据库。这一事件强调了多因素身份验证在强大网络安全策略中的重要性。如果所有第三方承包商都实施了MFA，黑客就不会获得访问Snowflake系统的机会。 相关阅读： https://hackernews.cc/archives/53057 6、戴尔公司数据安全事件 2024年5月，戴尔科技集团（Dell Technologies）遭受了一起重大的数据泄露事件，影响了约4900万用户。一名自称为Menelik的黑客在网络犯罪论坛上声称拥有包含4900万条戴尔客户记录的数据库，并试图出售这些数据。这些记录涉及自2017年至2024年间购买戴尔产品的客户。 泄露的数据包括客户的姓名、实际家庭住址、选购的戴尔产品和订单详情以及服务标签、商品描述、订购日期和相关的保修信息等。戴尔公司强调，被盗信息中不包含任何财务或付款信息、电子邮件地址或电话号码。数百万客户面临潜在的身份盗窃和钓鱼攻击风险。此次泄露还削弱了客户对戴尔保护客户数据能力的信任。戴尔因泄露事件面临巨大的财务损失，包括调查、补救、法律费用和潜在的监管罚款。公司股价在披露后也出现了下跌。 戴尔数据泄露事件强调了组织必须持续投资于强大的网络安全措施以保护敏感数据免受不断演变的威胁，实施主动监控系统以实时检测和响应潜在泄露，以及在危机期间与客户和利益相关者进行开放和诚实的沟通对于维护信任和最小化损害至关重要。 相关阅读： https://hackernews.cc/archives/52293 7、《纽约时报》重大数据泄露事故 2024年6月，《纽约时报》揭露了一起严重的数据泄露事件，其严重性在于泄露的数据规模和敏感性。一名匿名黑客在4chan论坛上公开了大约270GB的数据，这些数据包含了约360万个文件。泄露的数据不仅包括《纽约时报》网站和移动应用程序的源代码，还涵盖了内部工具的敏感信息，这些信息对于保护新闻机构的网络安全至关重要。 这次数据泄露事件对《纽约时报》来说是一个重大打击，因为它不仅暴露了其技术基础设施的脆弱性，还可能危及到其记者和员工的安全。源代码的泄露可能会导致未来的网络攻击更加针对性和有效，因为攻击者可以利用这些信息来发现和利用系统的安全漏洞。 此外，这一事件也凸显了即使是全球知名的新闻机构也可能成为网络犯罪的目标，这进一步强调了加强网络安全措施的重要性，以及对内部数据进行更好的保护和管理的必要性。《纽约时报》和其他组织必须从这次事件中吸取教训，加强其网络安全防御，以防止未来发生类似的数据泄露。 相关阅读： https://hackernews.cc/archives/53066 8、微软蓝屏故障横扫全球 2024年7月，全球范围内发生了一起严重的IT系统故障事件，主角是美国网络安全企业CrowdStrike的一次错误更新。这次更新导致全球超过850万台Windows设备出现“蓝屏”死机现象，影响范围极广，包括航空公司、铁路运输、金融机构、广播电台、医疗机构、支付系统等关键基础设施。具体来说，CrowdStrike Falcon Sensor的一个关键更新导致了Windows系统出现大面积BSOD（蓝屏死机）错误，这不仅影响了个人用户，还对企业运营造成了严重影响。 此次事件中，包括美国航空、达美航空和联合航空在内的主要航空公司报告了严重的中断，航班停飞，值机系统无法运行，许多乘客被困或面临严重延误。此外，全球有4.1万个航班被推迟，逾4600个航班被取消，经济损失以十亿美元计算。CrowdStrike的美股盘前跌超13%，微软跌2%，CrowdStrike市值一夜蒸发近百亿美元，创2022年以来最差单日表现。 中国企业在这次蓝屏风波中相对“独善其身”，背后原因是众多关系国计民生的行业普遍使用国产终端安全防护软件，国产网络安全防护产品以更加可靠、稳定和智能的本土特色广泛服务于广大政企客户。这次事件不仅给全球IT基础设施的韧性与安全性带来了深刻检验，也凸显了全球对少数供应商软件依赖所构成的严重风险，一旦出现问题，后果可能比不运作的后果更严重。 相关阅读： https://hackernews.cc/archives/54253 9、AT&T客户敏感信息泄露 2024年7月，美国电信巨头AT&T遭遇了一起重大的数据泄露事件，影响了约1.09亿名客户的敏感信息。这次泄露的数据主要托管在Snowflake云服务公司，包括了客户手机和固定电话的号码、通话和短信记录，以及通话时的位置信息。值得注意的是，虽然泄露的数据不包括通话或短信的内容、社会保障号码、出生日期或其他个人身份信息，但这些元数据仍然可能被用来追踪用户的行为和联系。 AT&T在4月19日得知了这次数据泄露事件，并发现其与3月的一起安全事件无关。被盗的数据涉及2022年5月1日至2022年10月31日六个月期间的记录，以及2023年1月2日以来少数客户的记录。这次泄露事件被追溯到Snowflake平台上的AT&T工作区，并未影响AT&T的网络。目前，尚不清楚AT&T出于何种原因将客户数据存储在Snowflake中。 面对这一严峻的形势，AT&T迅速启动了内部及外部调查，并与执法部门紧密合作。目前至少有一名涉案人员被捕。同时，公司正在采取措施关闭非法接入点，以努力遏制数据泄露的进一步扩散。此次事件再次将美国电信行业的客户数据保护问题推向风口浪尖，引发了公众对个人信息安全的深切忧虑。 相关阅读： https://hackernews.cc/archives/53763 https://hackernews.cc/archives/53815 10、黎巴嫩传呼机、对讲机两轮爆炸 2024年9月，黎巴嫩经历了一场前所未有的安全危机，一系列与对讲机和传呼机相关的爆炸事件震惊了全球。这些爆炸主要针对黎巴嫩真主党成员，造成了数十人死亡和数千人受伤。爆炸事件分为两个阶段：第一阶段为寻呼机爆炸，第二阶段为对讲机爆炸。在寻呼机爆炸发生后的24小时内，对讲机也发生了爆炸，许多爆炸发生在因寻呼机爆炸事件而聚集的人群中，包括葬礼和医院。 据报道，以色列情报机构摩萨德涉嫌在黎巴嫩真主党订购的寻呼机内安放了爆炸物，这些寻呼机的电路板经过特殊设计，难以被检测到异常。当这些寻呼机接收到特定代码时，就会被引爆。这种将日常通讯工具转变为致命武器的行为，不仅展示了技术“双刃剑”的特性，也暴露了全球供应链安全的重大漏洞。 这一事件引起了国际社会的广泛关注和强烈反响。各国政府对遇难者表示哀悼，并对黎巴嫩政府表示支持，同时呼吁彻查事件真相，严惩幕后黑手。联合国等国际组织也表达了对地区紧张局势加剧的担忧，并呼吁各方保持克制，共同维护中东地区的和平与稳定。黎巴嫩传呼机、对讲机两轮爆炸事件不仅是一次针对特定组织的攻击，更是对全球供应链安全和平民生活安全的一次警示。 相关阅读： https://hackernews.cc/archives/55523 https://hackernews.cc/archives/55544 11、美国国家公共数据公司（NPD）敏感信息泄露事件 美国国家公共数据公司（NPD）遭遇的敏感信息泄露事件是2024年最严重的数据安全事件之一。NPD是一家背景调查公司，主要从非公开来源收集个人身份信息（PII）。今年4月，NPD遭受了网络攻击，导致29亿条个人记录被泄露，这被认为是历史上第二大数据泄露事件。泄露的信息包括社会安全号码、姓名和地址等敏感数据。黑客USDoD在地下论坛上出售这些数据，声称拥有与29亿人相关的个人数据。 这次泄露的数据量巨大，涵盖了2019年至2024年间的信息，总计达到277.1GB。这些数据的泄露不仅对个人隐私构成了严重威胁，也可能被用于身份盗窃和金融欺诈等犯罪活动。由于无法产生足够的收入来解决潜在的负债及相关费用，加之医疗机构等客户禁止有背景问题的企业提供服务，NPD最终由其母公司Jerico Pictures于10月2日向佛罗里达州南区法院申请破产。 NPD的数据安全管理漏洞暴露了其在保护敏感信息方面的不足，包括未及时修补的软件缺陷和不严密的访问控制机制。这一事件凸显了处理个人敏感数据的组织在全球范围内面临的数据安全挑战，以及加强数据保护措施的紧迫性。 相关阅读： https://hackernews.cc/archives/55839 12、网络安全迎来 AI 新挑战 2024年，随着人工智能领域的不断进步，AI和深伪技术被黑客利用发起更大规模、更复杂且难以检测的攻击，黑客进行身份伪造、欺诈活动等行为变得更加容易和高效。比如通过深伪技术生成的虚假视频或音频可以欺骗用户，使其相信是真实可信的信息来源，从而实施诈骗。此外，AI算法还可以自动分析大量数据，寻找目标人群的弱点，并定制个性化的钓鱼邮件或社交媒体消息，提高攻击的精准度和成功率。这种新型的诈骗方式不仅对个人用户构成威胁，也给企业和政府机构带来了巨大的安全挑战。例如，2024年3月，在一起针对德国数十家机构网络钓鱼活动中，研究人员发现攻击者使用的 PowerShell 脚本很有可能由AI辅助创建。 AI的崛起无疑为网络安全领域带来了前所未有的挑战，仿佛打开了潘多拉的魔盒。在不远的未来，我们预期将会见证更多借助于AI技术进行的攻击事件，这些攻击将更加复杂、难以预测和防御。同时，这也迫切要求防御领域采取积极的改进措施，以应对这一新兴威胁。 相关阅读： https://hackernews.cc/archives/51536 https://hackernews.cc/archives/55750 https://hackernews.cc/archives/56188       数据来源 https://hackernews.cc/，转载请注明出处

HackerNews 编译，转载请注明出处： 微软警告称，在使用介质支持工具安装Windows 11版本24H2时，操作系统可能无法接受后续的安全更新。 该问题发生在使用CD和USB闪存驱动器安装Windows 11版本时，且包含了2024年10月8日至11月12日之间发布的安全更新。 “当使用安装介质安装Windows 11版本24H2时，设备可能会保持在无法接受后续Windows安全更新的状态。” 微软警告称。 “此问题仅在创建的介质中包含了2024年10月或2024年11月的安全更新时发生。” 微软解释道。 该漏洞不会影响通过Windows Update或Microsoft Update Catalog网站应用的安全更新，并且在使用2024年12月的最新安全更新时不会发生此问题。 微软目前正在着手修复此问题，并建议使用安装介质安装Windows 11 24H2时，使用2024年12月10日发布的最新安全更新，以避免遇到后续的更新问题。 Windows 11 24H2问题 这个安装介质问题是Windows 11 24H2版本一系列问题中的一部分，该版本是微软今年发布的最新重要功能更新，旨在提供增强的安全性、可用性和性能。 此前，Windows 11 24H2用户已经遭遇了多个问题，包括Dirac设备或USB DAC音响系统的音频问题、使用过时的Google Workspace同步时的Outlook启动问题、Auto HDR导致的游戏卡顿和颜色不正确的问题，以及支持eSCL协议的USB扫描仪的功能问题。 特别需要注意的是，这次主要的Windows更新在多个Ubisoft游戏上导致了性能问题、崩溃、冻结和音频故障，包括《刺客信条》、《星球大战：流亡者》和《阿凡达：潘多拉边境》等热门游戏。 Windows 11 24H2更新甚至在特定的华硕硬件以及其他一些软件/硬件配置上被暂时阻止，因为这些配置会引发问题。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文