近期CloudSEK的TRIAD团队发现了Postman Workspaces（一个流行的基于云的API开发和测试平台）的严重安全漏洞和风险。 在为期一年的调查中，研究人员发现超过30,000个公开可访问的工作区泄露了关于第三方API的敏感信息，包括访问令牌、刷新令牌和第三方API密钥。 根据该公司与Hackread.com分享的报告，泄露的数据涵盖了各个行业从小型企业到大型企业，影响GitHub、Slack和Salesforce等主要平台。受影响的关键行业包括医疗保健、运动服装和金融服务，使组织面临众多威胁和安全风险。 研究人员指出，导致这些数据泄露的常见做法包括无意中共享Postman集合、访问控制配置错误、与公开可访问的存储库同步，以及在未经加密的情况下以明文形式存储敏感数据。 这些漏洞可能导致严重后果。泄露的数据包括管理员凭据、支付处理API密钥和对内部系统的访问权限，可能导致受影响组织遭受财务和声誉损害。 Postman中的敏感数据泄露对个人开发者和整个组织都可能产生重大影响。据报道，像api.github.com、slack.com和hooks.slack.com这样的顶级API服务拥有更多的暴露秘密。Salesforce.com、login.microsoftonline.com和graph.facebook.com等高知名度服务也已被曝光。 ZenDesk凭据泄露和Razorpay API密钥泄露 （来源CloudSec） 泄露的API密钥或访问令牌可以为攻击者提供对关键系统和数据的直接访问权限，可能导致数据泄露、未经授权的系统访问以及增加网络钓鱼和社会工程攻击。 Postman通常存储敏感信息，如API密钥、秘密和个人身份信息（PII）。为确保数据安全，组织应明智地使用环境变量，限制权限，避免使用长期令牌，使用外部秘密管理，并在共享任何集合或环境之前进行双重检查。 为了防止此类暴露，CloudSEK敦促组织采取更可靠的安全措施，例如使用环境变量以避免硬编码敏感数据，限制权限，频繁轮换令牌，利用机密管理工具，并在共享之前仔细检查集合。 此外，Postman在披露这些发现后实施了一项秘密保护策略，以防止敏感数据在公共工作区中被暴露。该策略会在检测到机密时提醒用户，提供解决方案，并促进过渡到私有或团队工作区。 “从本月开始，我们将从公有API网络中移除那些已知含有暴露密钥的公共工作区。随着我们推出这项政策变更，含有密钥的公共工作区的所有者将会被通知，并有机会在他们的工作区被从网络中移除之前，先移除那些暴露的密钥。”公司指出。     转自E安全，原文链接：https://mp.weixin.qq.com/s/KoI6XjgpBfL_2fZn_1qo4w 封面来源于网络，如有侵权请联系删除

12月23日，Adobe发布紧急安全更新，以解决一个ColdFusion严重漏洞，已存在概念验证（PoC）漏洞利用。 漏洞被标识为CVE-2024-53961，影响Adobe ColdFusion的2023和2021版本。可能允许攻击者读取系统中的任意文件，暴露敏感数据和配置文件。 这个漏洞是由“路径遍历”弱点引起的，源于对受限目录的路径名限制不当。通过利用这个缺陷，攻击者可以绕过安全限制，未经授权地访问预期目录之外的文件。 概念验证PoC漏洞利用已存在 令人担忧的是，Adobe已确认CVE-2024-53961的概念验证漏洞利用已经存在。这意味着攻击者有可能积极利用这个漏洞，因此用户必须立即更新ColdFusion安装。 受影响的版本和补救措施 以下ColdFusion版本受到影响： ColdFusion 2023：更新11及更早版本 ColdFusion 2021：更新17及更早版本 Adobe已发布更新解决漏洞，强烈建议用户升级到最新版本： ColdFusion 2023：更新12 ColdFusion 2021：更新18 Adobe尚未披露此漏洞是否已被广泛利用。公司建议客户查看Adobe更新的串行过滤器文档，以便获取更多关于如何阻止不安全的Wddx反序列化攻击的信息。     转自E安全，原文链接：https://mp.weixin.qq.com/s/oO5YQIVgwD5yicAeY8z3kw 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 来自 BitSight 的新报告证实，尽管德国警方进行了干扰，BadBox 恶意软件操作依然持续增长，研究人员发现该恶意软件已安装在了全球 192000 台电视和智能手机上。 BitSight 的研究人员警告称，该恶意软件似乎已扩大其攻击范围，不再仅仅针对一些不知名的中国 Android 设备，现在已开始感染更为知名且受信任的品牌，例如 Yandex 电视和 Hisense 智能手机。 BadBox 是一种 Android 恶意软件，据信基于 ‘Triada’ 恶意软件家族，它通过供应链攻击、可疑员工或在产品分销阶段进行注入等方式感染由不知名厂商制造的设备。 该恶意软件首次在 2023 年初由加拿大安全顾问 Daniel Milisic 在 Amazon 上购买的 T95 Android 电视盒中发现。随后，恶意软件操作逐步扩展到其他在线销售的不知名产品。 BadBox 攻击活动的目标是通过将设备转变为住宅代理或利用其进行广告欺诈来获取财务利益。这些住宅代理随后可以出租给其他用户，在许多情况下是网络犯罪分子，他们使用受感染设备作为代理发起攻击或进行其他欺诈活动。 此外，BadBox 恶意软件还可以用来安装其他恶意载荷到 Android 设备上，执行更危险的操作。 恶意软件活动流程 上周，德国联邦信息安全办公室（BSI）宣布，他们通过拦截操作中断了该国的 BadBox 恶意软件活动，成功切断了一个恶意软件的指挥与控制服务器的通信，影响了约 30000 台 Android 设备。 这些受影响的设备主要是 Android 数字相框和媒体流媒体盒，但 BSI 警告称，BadBox 恶意软件可能出现在更多产品类别中。 根据 BitSight 研究员 Pedro Falé 的说法，该公司能够拦截其中一个 BadBox 恶意软件操作所使用的指挥与控制服务器。由于研究人员现在控制了该域名，他们能够监控设备何时尝试连接，进而得知有多少唯一 IP 地址受到影响。 “但现实情况是，BadBox 似乎仍然活跃并扩展，”Falé 写道，“当 BitSight 成功拦截一个 BadBox 域名时，我们在 24 小时内注册了超过 160000 个唯一 IP 地址，这一数字一直在稳步增长。” 这表明，BadBox 僵尸网络的影响比之前预计的要大得多。之前认为这个僵尸网络的设备数量大约为74,000台，但实际情况远远超过了这个数字。 这些被感染的设备包括流行于俄罗斯的 Yandex 4K QLED 智能电视和 Hisense T963 智能手机。 “这些受影响的型号（从 YNDX-00091 到 YNDX-000102）是来自知名品牌的 4K 智能电视，而不是廉价的 Android 电视盒，”BitSight 解释道。 “这是第一次发现大品牌智能电视直接与 BadBox 指挥与控制（C2）域进行如此大量的通信，将受影响的设备范围从 Android 电视盒、平板和智能手机扩展到更多设备。” BitSight 检测到的设备主要位于俄罗斯、中国、印度、白俄罗斯、巴西和乌克兰。 设备与 BadBox 服务器通信的位置 BitSight 还报告称，BSI 最近的行动并未影响其遥测数据，因为此次干扰仅限于特定区域，因此 BadBox Android 恶意软件活动得以持续。 随着 BadBox 扩展到更多大品牌，消费者应确保及时安装最新的固件安全更新，将智能设备与更关键的系统隔离，并在不使用时将其断开网络连接。如果您的设备没有安全更新或固件更新，强烈建议您将其断网或完全关闭。 BadBox 僵尸网络感染的迹象包括设备过热、由于高 CPU 使用率导致的性能下降、异常的网络流量以及设备设置的变化。   消息来源：Bleeping Computer, 编译：zhongx；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，欧盟委员会启动了新的调查，旨在查明 TikTok 是否违反《数字服务法案》，允许外国势力干涉近期罗马尼亚选举。 本月初，法院取消了总统选举第二轮投票，此前一名不明身份的独立候选人、普京崇拜者 Calin Georgescu 出人意料地领先。 根据解密的情报报告，选举前几周， TikTok 突然激活了成千上万个账户，委员会正依据这些报告展开调查。 欧盟委员会主席 Ursula von der Leyen 表示：“我们必须保护我们的民主免受任何形式的外国干涉。当我们怀疑有此类干涉，尤其是在选举期间时，我们必须迅速而果断地采取行动。” “在有严重迹象表明外国势力通过 TikTok 干预了罗马尼亚总统选举后，我们正在彻查 TikTok 是否因未能应对此类风险而违反了《数字服务法案》。在欧盟，所有在线平台，包括 TikTok ，必须对此负责。” 具体而言，调查将重点审查 TikTok 在政治广告和付费政治内容方面的政策，包括其推荐系统是否存在被有组织、有计划的操控，以及是否做了足够的工作来减少个别人试图在选举前影响公众舆论的风险。 显然，一些宣传 Calin Georgescu 的 TikTok 内容没有被标记为选举内容，违反了当地法律。 如果 TikTok 被发现违反了《数字服务法案》第 34(1) 条、第 34(2) 条和第 35(1) 条，可能会面临巨额罚款。该法案赋予监管机构权力，对违规公司处以全球年营业额 6% 的罚款。 这家公司已经因各种违规行为在美国和英国被罚款数千万美元。去年，爱尔兰数据保护委员会（DPC）要求其支付3.45亿欧元（约合3.68亿美元），因其在处理儿童用户信息时违反了《通用数据保护条例》（GDPR）。   消息来源：Infosecurity Magazine, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

欧盟刑警组织近日宣布，在一项代号为“Passionflower”的国际联合行动中，法国和荷兰警方成功捣毁了一个名为Matrix的非法加密通信服务。该服务被犯罪分子用于国际毒品走私、军火交易及洗钱等重大犯罪活动。 犯罪网络的“隐秘枢纽” Matrix（别称Mactrix、Totalsec、Q-safe）是一款需邀请注册的加密通信服务，与开源去中心化通信平台Matrix.org无关。这款服务因其极高的匿名性和复杂技术被犯罪分子广泛使用，全球注册用户超过8000人。用户需支付1360至1700美元的加密货币购买预装了Matrix应用的Google Pixel手机，以及为期六个月的订阅服务。 Matrix不仅支持加密消息和视频通话，还提供匿名浏览和交易追踪功能，其技术架构复杂程度远超此前被捣毁的Sky ECC和EncroChat等服务。Matrix服务由超过40台服务器支撑，主要分布在法国和德国。 三年调查终告捷：破获超230万条犯罪信息 Matrix的调查始于2021年，当时荷兰警方在一起谋杀案中发现了一部装有该加密通信服务的手机。受害者为知名记者彼得·德弗里斯（Peter R. de Vries）。记者谋杀案引发众怒，促使执法机构启动对犯罪加密通信网络的深入调查。 在随后的三个月内，警方成功拦截了通过Matrix发送的超过230万条加密消息，涉及33种语言。这些信息揭露了跨国毒品和军火交易、洗钱等重大犯罪活动的细节，沉重打击了全球网络犯罪活动。 2024年12月3日，法国和西班牙警方展开协调抓捕行动，逮捕了包括Matrix主要运营者在内的三名嫌疑人，并在法国、德国、西班牙和立陶宛等地搜查了13处住宅。警方共查获： 14.5万欧元现金 价值50万欧元的加密货币 970余部移动设备 4辆车辆 最终，警方成功查封了Matrix的核心服务器，切断了该通信网络的运营能力。 非法加密通信服务的“碎片化”挑战 近年来，非法加密通信服务层出不穷，以下是被捣毁的主要加密服务的统计和特点分析： 随着EncroChat、Sky ECC等加密通信平台的相继关闭，犯罪分子转向了较小规模或定制化的通信工具。这些新工具功能分散，技术架构各异，对执法机构的侦破工作提出了新的挑战。此外，知名加密通信软件Telegram也是犯罪分子热衷使用的通信工具之一，联合国毒品和犯罪问题办公室的报告指出，东南亚的犯罪网络广泛滥用Telegram进行非法活动，包括交易被盗数据、销售恶意软件和提供洗钱服务。尽管Telegram声称对非法内容进行监控，但其平台上仍存在大量非法交易和犯罪活动。 欧洲警方重拳出击捣毁Matrix再次表明，加密通信技术在犯罪活动中扮演了重要角色。各国执法机构需进一步加强国际合作，研发更先进的技术工具以追踪和打击犯罪网络。同时，如何在隐私保护与打击犯罪之间取得平衡，仍是未来法治与技术发展的重要课题。     转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/ba3o7T_oNsx6_geqDGuubQ 封面来源于网络，如有侵权请联系删除

Crypto.com，一家全球领先的加密货币平台，拥有超过1亿用户，近日宣布与HackerOne合作，对其漏洞赏金计划进行重大升级。这一举措加强了该公司在不断发展数字资产领域中，对安全和客户保护的承诺。 升级后的计划拥有创纪录的200万美元奖励池，使其成为HackerOne平台上所有行业中提供的最大赏金。这一前所未有的金额凸显了Crypto.com在发现和解决潜在漏洞方面的承诺，以防被恶意行为者利用。 Crypto.com首席执行官Kris Marszalek表示：“安全和合规是我们Crypto.com一切工作的基石。随着我们业务和行业的不断发展，我们必须要专注于我们的核心原则，而这个新的赏金计划正是通过设定新标准来做到这一点。” 通过激励安全研究人员识别和报告漏洞，Crypto.com旨在积极加强其平台的防御能力，并确保用户资产的安全。 HackerOne首席执行官Kara Sprague表示：“当你运营一个服务于超过1亿客户的全球应用程序时，在恶意行为者之前发现关键安全漏洞对于系统完整性和客户信任至关重要。” C rypto.com的首席信息安全官Jason Lau强调了公司在持续改进安全保证方面的承诺。Lau说：“我们一直尊重并与道德黑客社区合作，作为我们安全团队的一部分。通过这一里程碑深化与HackerOne的关系，并设立这一标志性的赏金，凸显了我们致力于增强保障和消费者保护的承诺。” Crypto.com在安全和合规方面的最新举措，建立在其已经令人印象深刻的业绩记录之上。该平台已获得包括SOC2 Type 2、PCI DSS 4.0、ISO 27017和ISO 27019在内的多项认证，展示了其遵循最高行业标准的承诺。 这个200万美元的漏洞赏金计划是Crypto.com主动安全方法的明确信号，表明其致力于为用户提供一个安全可靠的平台。通过与道德黑客社区的互动，该公司在建立一个更安全的加密货币生态系统方面迈出了重要一步。 要了解有关Crypto.com漏洞赏金计划的更多信息以及如何参与，请访问hackerone.com/crypto。     转自安全客，原文链接：https://www.anquanke.com/post/id/302482 封面来源于网络，如有侵权请联系删除

网络安全市场中的AI价值正在经历前所未有的增长。根据Allied的一份市场研究报告，2022年市场价值为192亿美元，预计到 2032 年将达到惊人的1548 亿美元，复合年增长率（ CAGR ）为23.6%。 人工智能（AI）正在改变网络安全，使企业能够更有效地检测、应对和减轻威胁。网络安全中的人工智能结合了机器学习（ML）和深度学习等先进技术，以提供实时的威胁检测、数据保护和系统监控。人工智能处理和分析大量数据的能力使其能够快速识别可能潜在的安全漏洞。随着网络攻击的复杂性和频率继续上升，人工智能已成为各大企业的关键工具。 推动AI 在网安市场中增长的因素 在金融、医疗等领域，人工智能的能力延伸到了分析用户行为和交易数据，以识别欺诈活动。金融机构正在利用人工智能实时检测欺诈行为，为组织及其客户提供更好的保护。医疗行业也正在采用人工智能来保护患者数据，确保患者的隐私性。 几个因素正在推动人工智能在网络安全市场中的加速增长。 网络攻击的数量和复杂性的增加是最重要的驱动因素之一。网络罪犯越来越频繁破坏系统，针对包括银行、医疗和政府在内的各个部门组织，迫切需要更有效和先进的网络安全解决方案。网络安全中的AI可以减少响应安全事件所需的时间，提高安全团队的工作效率。 此外，对物联网IoT和云技术的日益依赖为网络犯罪分子利用漏洞创造了新的机会。物联网设备产生的数据量不断增加，以及正在向云基础架构转移，为网络安全解决方案带来了挑战和机遇。人工智能在保护这些新技术方面别有成效，为企业提供了跨多个平台保护数据的能力。 AI在网络安全领域的全球性影响 网络安全市场的人工智能分为各种安全类型，包括网络安全、端点安全、应用安全和云安全。以2022年为例，网络安全部门占据了市场主导地位，占全球收入的近40%。 由于企业优先保护其网络免受外部和内部威胁，预计这一细分市场将继续处于领先地位。机器学习是人工智能的一个关键组成部分，它通过不断分析数据来识别恶意软件和检测内部风险，特别是在加密通信中。与此同时，云安全部门预计将经历更高增长，2023年至2032年的复合年增长率为27.4%。由于对可扩展性和灵活性的需要，对基于云的运营的日益转变预计将推动这一需求。 全球网络安全领域的人工智能市场在多个地区都在增长， 北美在2022年的市场份额最大。美国尤其关注网络安全，政府倡议如网络安全和基础设施安全局（CISA）推动加强数字安全措施。金融和医疗行业是该地区增长的主要驱动力，人工智能技术越来越多地用于检测和预防网络威胁。欧洲也是 AI 网络安全市场的重要参与者，特别是由于其严格的数据隐私法规，如通用数据与法规（ GDPR ）。而德国、英国和法国这样的国家同样处于人工智能应用的领先地位，公共和私营部门都优先考虑先进的安全解决方案。欧盟的《网络安全法》进一步推动了对于人工智能网络安全解决方案的需求，特别是对于实时威胁检测的需求。 在预测期内，亚太地区预计将成为增长最快的地区。中国、日本和印度等国家网络攻击的激增促使对基于人工智能的安全解决方案的投资增加。此外，5G网络的快速扩张和数字转型推动了对于由人工智能驱动的网络安全工具的需求，大大保护了关键基础设施。 面临的市场挑战与未来展望 虽然人工智能在网络安全市场的增长前景强劲，但存在可能阻碍其扩张的挑战。一个显著的障碍是基于人工智能的网络安全解决方案的高实施成本。特别是中小型企业，可能会发现难以投资于此类技术。此外，还缺少能够部署和管理这些先进系统的网络安全专业人员。 尽管存在这些挑战，网安市场前景仍然乐观。 网络攻击频率增加、监管要求日益严格以及数字化转型的持续推动预计将推动对人工智能网络安全解决方案的需求。人工智能技术的创新，如自然语言处理（NLP）和深度学习的集成，可能会提高网络安全系统的效率，从而进一步加速市场增长。       转自Freebuf，原文链接：https://www.freebuf.com/news/416163.html 封面来源于网络，如有侵权请联系删除

ArmorCode宣布其ASPM平台的增长，能够统一AppSec和基础架构漏洞管理。 ArmorCode中基于风险的漏洞管理（RBVM）的持续创新使安全团队能够通过增强的优先级、自动化、资产和修复工作流来处理基础设施、云和应用程序中的漏洞，为企业提供全面的风险管理方法。 ArmorCode 提供了一个独立的治理层，可将多种扫描工具（包括基础架构和应用程序安全扫描仪）的发现整合到一个视图中。凭借先进的人工智能功能和无代码自动化，该平台简化了复杂的漏洞分流和修复过程，大大减少了企业管理多样化和广阔的安全环境所需的时间、精力和成本。 安全团队面临着一些严峻的挑战，包括基础设施和云资产的分散可见性、需要处理的漏洞数量过多、资产责任的所有权混乱、耗时的人工流程导致修复速度减慢等等。 ArmorCode 平台通过提供统一、全面的可见性，简化工作流程，以及利用人工智能驱动的自动化提供更快、更高效的漏洞管理，帮助团队克服这些挑战。 ArmorCode首席运营官马克-兰伯特（Mark Lambert）说：“当今的安全团队被越来越多的基础设施、云和应用资产中的大量漏洞所淹没。ArmorCode 的 RBVM 持续增长，提供了一个统一的、以风险为中心的视图，横跨所有漏洞来源，从而迎头解决了这一挑战。通过结合先进的人工智能和自动化，我们使基础设施和应用安全团队能够专注于最重要的事情，高效、大规模地修复关键漏洞，从而实施更有效的持续威胁暴露管理（CTEM）计划。” 传统的漏洞管理方法仅根据严重程度来确定漏洞的优先级，而ArmorCode则不同，它采用的风险评分模型结合了业务背景和威胁情报。这样，安全团队就能将精力集中在对企业构成最大威胁的漏洞上，从而降低风险敞口，提高运营效率。ArmorCode 与供应商无关的方法可确保来自任何扫描仪的发现都能在平台内进行关联和分流，从而为团队提供完整、准确的漏洞管理计划。 为进一步简化漏洞管理，ArmorCode 平台将基础设施和云资产提升为 RBVM 流程中的一等公民。通过关联多个来源的资产数据，ArmorCode 提供了准确、完整的资产可视性。 这使企业能够在基础设施、云、容器和应用程序的整个生态系统中跟踪漏洞，并通过将漏洞与资产所有者和责任直接关联，实现修复工作流程的自动化。这种以资产为中心的方法加强了优先级排序、修复和自动化，使团队能够进行更精确的漏洞管理，并更有效地关闭积压工作。 Key RBVM + ASPM 的主要优势包括： 统一的漏洞管理： 唯一真正跨基础架构、云、容器和应用程序集成漏洞管理的平台。没有其他 RBVM 提供商能以同样的方式将 AppSec 和基础架构安全结合到一个平台中，实现全面的企业级风险管理。 人工智能驱动的 RBVM： ArmorCode 已处理超过 100 亿个发现，也是唯一一家在数据量、多样性和验证方面支持 AI 功能（如 AI Correlation 和 AI Remediation）的供应商。这种可扩展性可帮助安全团队降低 MTTR、减少浪费并加快工作速度。 以资产为中心的自动化工作流： 在整个漏洞管理生命周期中，通过无代码自动化为团队赋能。其灵活性、以云和基础架构资产为中心的工作流程以及定制功能使 ArmorCode 能够适应任何企业的特定 RBVM 需求。 与供应商无关的洞察力： 提供准确、可靠的漏洞优先级排序，不受专有扫描仪的影响，实现厂商兼容。 ArmorCode ASPM 平台在统一应用安全与基础架构漏洞管理方面的进一步发展，顺应了客户对更高效的漏洞管理工具的需求，这些工具可减轻安全团队的负担，并在整个漏洞生命周期中提供可操作的洞察力。 ArmorCode平台拥有250多个集成和100亿个处理结果，为统一和管理跨内部部署和混合环境的漏洞提供了最全面的解决方案，使企业能够建立统一的CTE。     转自安全客，原文链接：https://www.anquanke.com/post/id/302071 封面来源于网络，如有侵权请联系删除

美国政府问责局（GAO）19日发布报告指出，联邦机构可能需要重新审视其个人数据处理方式，以更好地保护公众的公民权利和自由。 报告指出，由于缺乏联邦层面的指导原则，联邦机构在数据收集、共享和使用方面形成了一系列零散的政策体系，无法系统性地保障公民权利和自由。 为了解决这一问题，政府问责局建议国会指定“一个适当的联邦机构”，为数据保护制定适用于所有联邦机构的统一指导方针或法规。同时，该机构应被赋予“明确的权限，能够做出必要的技术和政策决策；或者由国会直接明确相关政策选择。” 这一建议基于政府问责局向《首席财务官（CFO）法案》覆盖的24个联邦机构发放问卷后的调查结果。问卷内容涉及这些机构在使用新兴技术和数据能力时的情况，以及它们为确保个人可识别信息的安全所采取的措施。 政府问责局的调查发现，在这24个CFO法案机构中，有16个已经制定了相关政策或程序，以保护公民权利和自由；而另有8个机构尚未采取类似措施。 在这些机构努力保护公众公民权利和自由的过程中，最常遇到的问题包括“新兴技术相关保护措施的复杂性”以及“缺乏具有公民权利、自由保障和新兴技术所需技能的合格人员”。 政府问责局在报告中写道：“此外，这24个机构中有8个认为，额外的政府层面的法律或指导方针能够提高在保护公民权利和自由方面的一致性。一家机构指出，这类指导方针可以帮助消除目前在数据和技术治理方面存在的零散现象。” 报告还指出，这些机构内部均设有办公室，负责“依据联邦法律处理公众公民权利保护相关问题”。这些工作主要集中在处理公民权利的违规行为及相关投诉上。其中，国防部、国土安全部、司法部和教育部等4个机构专门设立了负责管理机构范围内公民自由保护的办公室。而其余20个机构则大多采用“分散化的方法”，通过在数据收集、共享和使用过程中实施保护措施来维护公民自由。 对于政府问责局的这份报告，这些机构并未明确表示支持或反对。不过，住房和城市发展部、社会保障管理局以及美国国际开发署提供了书面反馈，另有10个机构向问责局提交了技术性意见。     转自安全内参，原文链接：https://www.secrss.com/articles/72574 封面来源于网络，如有侵权请联系删除

在执法部门和加密侦探迅速追踪到黑客之后，去中心化金融公司 Thala Labs 追回了从其一份养殖合约中窃取的 2550 万美元流动性池代币。 Thala在11月16日的一篇文章中透露，11月15日，该公司遭遇了一个 “安全漏洞”，原因是 “与其v1养殖合约有关的一个孤立漏洞”，该漏洞允许黑客提取流动性代币。 Thala表示，它立即暂停了所有相关合约，冻结了价值1150万美元的Thala相关资产，并迅速查明了黑客的身份。 Thala 表示：“在执法部门、Seal 911、Ogle 和其他人的帮助下，我们很快就确定了漏洞利用者的身份。” 加密侦探 Ogle 说，黑客在事件发生 6 小时后交还了资金，而 Thala 则表示，他们获得了 30 万美元的赏金，以换取用户资产的全部归还。攻击者的身份细节没有披露。 Thala 强调说，“受影响的用户无需采取进一步行动，其头寸将得到 100% 的补偿。” 资料来源：Thala Labs 塔拉实验室 Thala前端的访问已恢复正常。但是，在Thala对协议代码库进行 “广泛审查 ”和重新审核之前，养殖活动仍处于暂停状态，用户无法进行押注和解押。 Thala 首席执行官亚当-卡德尔（Adam Cader）在 11 月 16 日的一篇 X 帖子中指出，这次攻击涉及 Thala 与 Move 的集成，Move 是由 Movement Labs 构建的模块化区块链网络。 “未来在Move上发生一些安全问题是不可避免的，但为什么我们都在这里建设，就是为了让这些问题发生的频率和严重程度大大降低，并且随着时间的推移，相邻的工具变得越来越强大，趋势是0。” Thala 是 Aptos layer-1 区块链上最著名的 DeFi 平台之一。 据CoinGecko称，自事件发生以来，THL代币已下跌约35%，至0.51美元。 在此次漏洞中，价值约250万美元的THL代币被盗，另有900万美元来自Thala的Move Dollar（MOD）稳定币。 与此同时，DefiLlama的数据显示，Thala被锁定的总价值从11月15日的2.4亿美元降至本文撰写时的1.956亿美元。 Thala 协议自 2023 年 4 月以来的 TVL 变化。来源：DefiLlama 资料来源：DeFiLlama 区块链安全公司CertiK报告称，10月份受害者被抢走近1.3亿美元，其中大部分来自漏洞利用。 10 月份最大的事件涉及借贷协议 Radiant Capital，损失约 5400 万美元。 网络安全公司 Hacken 的数据显示，在 2024 年第三季度的前三个月中，黑客在 28 起事件中窃取了约 4.6 亿美元。     转自安全客，原文链接：https://www.anquanke.com/post/id/301933 封面来源于网络，如有侵权请联系删除