Hackernews 编译，转载请注明出处： Aruba修复了EdgeConnect Enterprise Orchestrator中的多个严重漏洞，远程攻击者可以利用这些漏洞来破坏易受攻击的主机。 Aruba EdgeConnect Orchestrator是一种集中式SD-WAN管理解决方案，允许企业控制其WAN。 以下是Aruba解决的漏洞: CVE-2022-37913和CVE-2022-37914 (CVSS v3.1 – 9.8)认证绕过漏洞，存在于EdgeConnect Orchestrator的web管理界面中。黑客可以触发该漏洞来绕过身份验证。 “Aruba EdgeConnect Enterprise Orchestrator基于web的管理界面中的漏洞可能允许未经身份验证的远程攻击者绕过身份验证。成功利用这些漏洞可能会让攻击者获得管理权限，从而导致Aruba EdgeConnect  Enterprise Orchetrator主机完全受损。“供应商发布的公告中写道。 该公司还解决了Aruba EdgeConnect Enterprise Orchestrator基于Web的管理界面中未经身份验证的远程代码执行漏洞。该漏洞被追踪为CVE-222-37915，可被利用在底层主机上执行任意命令，从而导致整个系统受损。 该公司发布以下版本来解决这个问题: Aruba EdgeConnect Enterprise Orchestrator 9.2.0.40405 及更高版本 Aruba EdgeConnect Enterprise Orchestrator 9.1.3.40197 及更高版本 Aruba EdgeConnect Enterprise Orchestrator 9.0.7.40110 及更高版本 Aruba EdgeConnect Enterprise Orchestrator 8.10.23.40015 及更高版本 Aruba不会发布已达到支持终止（EoS）版本的更新。在撰写本报告时，支持的版本包括： Aruba EdgeConnect Enterprise Orchestrator 9.2.x Aruba EdgeConnect Enterprise Orchestrator 9.1.x Aruba EdgeConnect Enterprise Orchestrator 9.0.x Aruba EdgeConnect Enterprise Orchestrator 8.10.x 为了最大限度地减少利用上述漏洞的可能性，供应商建议将CLI和基于Web的管理接口限制在专用的第2层分段/VLAN 和/或由第3层及以上的防火墙策略控制。 在本文发布时，该公司并未发现有利用上述漏洞的野外攻击。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

网络犯罪分子使用各种方法来获取密码。一些人利用网络钓鱼，即冒充受信任的组织，发送欺诈性的电子邮件、短信或拨打诈骗电话以窃取登录凭证。也有一些手上资源丰富的则转向暴力穷举，这涉及到使用字典和错误重试来猜测用户的密码。但是你知道吗，热也可以用来破解密码？ 苏格兰的网络安全专家已经开发了一个系统，利用热成像和人工智能（AI）来即时破解密码（通过CTV新闻）。该系统被称为ThermoSecure，通过分析一个人在电脑键盘或移动设备上输入密码时指尖留下的热量痕迹来工作。由于热感应图像上较亮的区域显示最近被触摸过的区域，这使得猜测所用字母、数字和符号的顺序成为可能。 格拉斯哥大学副教授穆罕默德-卡米斯博士和他的团队使用机器学习和1500张最近使用过的键盘的热图像来训练一个人工智能模型，以读取热特征并研究可能的密码组合。 该研究发现，较长的密码更安全，因为ThermoSecure在20秒内破解了67%的16个字符的密码。该系统对较短的密码效果更好，对于12、8和6个字符的密码，其成功率分别提高到82%、93%和100%。 用户的打字风格也很重要，因为在键盘上停留时间较长的”猎取式”键盘用户比打字速度快的”触摸式”键盘用户产生的热信号更持久。在该研究的测试中，ThermoSecure猜出第一组密码的成功率为92%，而后者的成功率只有80%。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1326407.htm 封面来源于网络，如有侵权请联系删除

据The Verge报道，超快速时尚品牌Shein和Romwe背后的公司将向纽约州支付190万美元，因为数据泄露影响了数百万客户。罚款源于对Zoetop公司的指控，即该公司未能保护客户的数据，没有适当地通知客户数据泄露，并试图对泄露的程度保持沉默。 罚款是在司法部长办公室对2018年的一次黑客攻击进行调查后作出的，其中信用卡和个人信息，如姓名、电子邮件和哈希密码被盗。该数据泄露事件影响了3900万Shein和700万Romwe账户，包括属于纽约人的80多万个账户。 据OAG称，在Zoetop得知黑客攻击后，该公司只联系了部分受影响的客户，没有为任何账户重置密码。对于3250万个Shein账户，Zoetop没有提醒用户他们的登录信息已被暴露。该公司还被指控虚报数据被盗的客户数量，并说它没有证据表明信用卡信息被盗。 两年后，在Zoetop在暗网上发现据信来自2018年黑客攻击的客户登录信息后，Romwe的客户被告知有数据泄露。当Zoetop最终在2020年12月为所有Romwe客户重新设置密码时，调查发现它告诉客户他们的密码在一年内没有被更改后就过期了。次年2月，它用一条不同的信息取代了这一信息，只说：“我们发现了可疑的活动，请核实您的身份，以便恢复您的账户。” OAG的调查还发现，Zoetop在黑客攻击时“未能保持合理的安全措施”，包括使用不充分的密码管理系统，以及未能监测安全问题或在发生网络攻击时有一个全面的计划。 该电子商务网站深受世界各地年轻人的欢迎，以最低的价格不断推出服装和配件。据Politico报道，Shein今年的估值超过1000亿美元。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1326527.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 总部位于加利福尼亚州的Resecurity发现了一个新的地下服务峰值，使黑客能够进行深度造假。 据网络安全专家称，这可能被用于政治宣传、外国影响活动、虚假信息、诈骗和欺诈。 2014年，加拿大研究人员向公众介绍了生成对抗网络（GANs），它通常模仿人们的面部表情、言语和独特的面部手势，被网络社区称为DeepFakes。 最近发现的地下服务之一——“RealDeepFake”，可以通过Telegram群组轻松获得。只需支付少量费用，该服务就可以让黑客用选定的角色创建一个deepfake实例，然后从选定的脚本中应用画外音，还可以添加特效和文本。这项服务利用VoiceR和Lipsing等技术来改变声音，使其听起来像所选择的角色。 这些DeepFakes的例子包括模仿名人，如Elon Musk, Snoop Dog, Donald Trump, 和The Rock。诈骗者还利用DeepFakes在视频聊天或电话中模仿C-Suite高管，向其同事和员工发出欺诈性的电汇指令。 针对Web3社区的deepfake BEC和网络钓鱼欺诈正在加速上升，与此同时，联邦贸易委员会报告称，自2021年初以来，美国消费者因诈骗而损失了超过10亿美元的加密货币。专家们强调，黑客可能会使用deepfakes来提供有关加密货币的误导性信息，以及使用名人个人资料的初始硬币产品（ICO）。 Resecurity预计将出现更多的混合攻击，这些攻击结合令人信服的电子邮件和社交媒体轰炸、造假者，以及知名Web3影响者渲染的deepfakes，来欺骗日常消费者和专业加密人员。 消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

美国农业部CISO Ja’Nelle DeVore在2022年零信任峰会上发表讲话 安全内参10月11日消息，美国农业部首席信息安全官Ja’Nelle DeVore称，该部门在SolarWinds漏洞期间发现其安全运营存在隐患。为此，农业部向联邦技术现代化基金（TMF）申请440万美元（约人民币3160万元）经费，款项已经于今年5月到账。 在上周四（10月6日）的ACT-IAC网络研讨会上，Ja’Nelle DeVore发表讲话称，农业部虽未直接受到SolarWinds漏洞的影响，但期间曾经历一次次生攻击。因此，农业部决定申请资金，用于强化自身威胁监控、检测与响应能力。 SolarWinds漏洞事件影响了9家美国联邦政府机构，致使其在9个月内处于易受攻击状态。该问题直到2020年12月才被发现。此后，农业部意识到必须采用新的软件工具来加强网络态势，并实施零信任安全架构。 DeVore解释道，“我们发现了自身安全缺口，而之所以选择申请专项资金，是因为我们凑不足这笔用于购置安全工具的款项。于是，我们决定向基金会求助。” 该项目正在进行当中，美国农业部还在努力对其安全运营中心（SOC）进行认证，将其作为共享服务提供给其他机构。DeVore表示，距离这一SOC即服务方案的孵化还需要几年时间。 农业部还邀请国土安全部对其安全运营中心开展独立评估，并提出成熟化改进建议。 DeVore指出，“他们给出了非常好的独立评估意见，也整理出路线图以补充调查结果，并对部分发现做出了修正。” 此外，美国农业部还在考虑建立内部蓝队，即保护性网络安全团队。但眼下最大的难题，就是每当网络安全与基础设施安全局（CISA）发布新的指令或审计要求时，农业部都需要定期重新确定该要求的优先级。 农业部还成立了一支由不同任务领域的企业架构师及网络雇员组成的综合项目团队（IPT），负责管理2021年网络行政令及后续指南中提出的140多项要求的具体实施。DeVore指出，组建综合项目团队是一种灵活方法，能够帮助农业部在2024年之前按计划完成联邦政府零信任战略划定的五大安全支柱。 各级机关此前已经针对网络供应链威胁的应对工作开发出合同语言，农业部得以借此将采购团队也纳入综合项目团队，并针对行政令中的不同要求开发用例。 除了技术现代化基金项目之外，农业部还有意划拨部分现有预算，来完成威胁监控工作。 DeVore总结道，“目前，我们还未真正开始申请大笔资金。但可以想象，随着我们依照行政令要求和零信任原则指明的路线前进，农业部还将需要额外的资金支持。” 转自 安全内参，原文链接：https://www.secrss.com/articles/47838 封面来源于网络，如有侵权请联系删除

安全内参10月10日消息，支持伊朗女性抗议浪潮的黑客劫持了该国国家电视台的新闻播报，在画面中放出最高领袖阿亚图拉·阿里·哈梅内伊 (Ayatollah Ali Khamenei)头部被十字准星瞄准并在火焰中燃烧的形象。该视频在互联网上广泛传播。 在上周六晚间的电视转播期间，屏幕上出现了一条简短视频，“你的双手，沾满我们年轻人的鲜血。” “加入我们，站起来。”黑客组织Edalat-e Ali（阿里的正义）宣称对此负责。 在这波抗议浪潮中，活动人士在伊朗首都德黑兰各处公共广告牌上喷涂“哈梅内伊之死”和“警察谋杀人民”等字样。 伊朗库德族22岁女孩玛莎·艾米妮(Mahsa Amini)之死是本轮抗议浪潮的导火索。该事件曝光后，街头抗议再次震动德黑兰等多处伊朗城市。。 伊朗国家通讯社IRNA报道称，“警方使用催泪瓦斯驱散了德黑兰数十个地点的抗议人群”，示威者们“高呼口号，还放火烧毁了公共财产，包括一处警察亭。” 艾米妮9月16日身故以后，民众的愤怒被彻底点燃。就在三天前，这位年轻的库尔德女性因涉嫌违反伊斯兰共和国严格的女性着装规定，而被臭名昭著的道德警察逮捕。 篡改视频还播放了艾米妮和另外三名在镇压中丧生的女性的照片。据总部位于挪威的伊朗人权组织称，这场镇压活动已经夺走至少95人的生命。 伊朗人权组织援引总部位于英国的俾路支激进主义者运动的消息称，9月30日，锡斯坦-俾路支斯坦省一名警察局长强奸一名少女的事件引发了骚乱，导致另外 90 人丧生。 伊斯兰革命卫队一名成员上周六在库尔德斯坦省萨南达吉被杀，另一名卫队成员在德黑兰死于“暴徒武装袭击导致的头部重伤”。根据IRNA的统计，目前革命卫队方面的死亡人数已经增加至14人。 “到处都是抗议” 伊朗遭受了近三年来最严重的一波社会震荡，包括大学生及年轻女学生在内的抗议人群高呼“女性、生活、自由”口号。 美国活动家兼记者奥米德·梅马里安（Omid Memarian）在推特上说，“来自德黑兰的视频表明，这座城市里到处都是抗议，已经蔓延到了每一个角落。” 根据亨沃格人权组织称于上周六录制的视频，在艾米妮的家乡库尔德斯坦萨基兹，女学生们高呼口号并走上街头，在空中挥舞着头巾。 尽管伊朗已经全面中断了国内互联网连接，封锁了各大主要社交媒体平台，但该国惨烈的对抗、特别是令人毛骨悚然的血腥镜头仍然在网络之上广为流传。 其中一段视频显示，在库尔德斯坦首府萨南达吉，一名男子被枪杀在自己的车内，该省警察局长阿里·阿扎迪（Ali Azadi）随后称此人是“被反革命势力所杀害”。 另一段在网上引起轩然大波的视频中，愤怒的男人们似乎将一名巴斯基民兵围住，并疯狂殴打。 还有视频片段显示，据称在伊朗东北部的马什哈德，一名年轻女性被枪杀。 社交媒体上许多用户表示，这让人想起妮达-阿迦-索尔坦的遭遇。这位年轻女性在2009年的抗议活动中被枪杀，随后长期成为伊朗反对派的象征。 抗议者的对抗策略 面对暴力与网络限制，抗议者们采取了新策略，开始在公共场所传播自己的抵抗信息。 德黑兰莫达雷斯高速公路立交桥上挂起一面巨大的横幅，写道“我们不再害怕，我们将要抗争。”法新社核实了图片的真实性。 在其他画面中，还能看到一名手持喷漆罐的男子将一条高速公路上的政府广告牌，从“警察服务人民”改成了“警察谋杀人民”。 有传言称，伊朗首都多个喷泉景观被染成血红色。但德黑兰市政公园组织负责人阿里·穆罕默德·莫赫塔里（Ali Mohamad Mokhtari）反驳道，“这种说法纯属造谣，德黑兰的喷泉颜色没有任何变化。” 伊朗指责有外部势力在煽动抗议活动，否则全球数十个城市不可能同时组织起群体示威。与此同时，美国、欧盟及其他多国政府都对伊朗出台了新的制裁。 关于艾米妮的死，伊朗政府上周五公布了法医的调查结果，表示她的死因是长期健康问题，并非活动人士宣称的头部受到打击。 艾米妮的父亲则向总部位于伦敦的伊朗国际组织驳斥了官方的说法，“我亲眼看到玛莎的耳朵和后颈流出了鲜血。” 转自 安全内参，原文链接：https://www.secrss.com/articles/47788 封面来源于网络，如有侵权请联系删除

2K确认最近的黑客攻击导致一些玩家的个人信息被窃，被发布出来出售。今年9月，2K称其客户服务可能被盗用，警告那些可能受影响的玩家更改他们的密码。2K当时解释说，一个第三方非法访问了该公司使用的帮助台平台的其中一个供应商凭证，然后访问了客户的机密信息，并向一些玩家发送了恶意链接。 10月6日，2K开始联系那些信息被窃取并被出售的客户。 该公司解释说：“未经授权的第三方访问并复制了您向我们寻求支持时记录的一些个人数据，包括您的电子邮件地址、帮助台ID号、玩家标签和控制台详细信息。没有迹象表明我们系统中保存的任何您的财务信息或密码被泄露。 然而，出于谨慎考虑，我们鼓励所有玩家重新设置密码，如果他们还没有这样做的话，我们鼓励他们通过启用多因素认证来保护自己的账户。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1325631.htm 封面来源于网络，如有侵权请联系删除

WhatsApp在全球拥有20多亿月度活跃用户，是世界上最受欢迎的移动信息应用。但竞争对手Telegram的创始人认为人们应该远离Meta的产品，他称其是一个不断存在安全问题的监视工具。 当地时间周四，Pavel Durov在他的Telegram频道中写道，人们应该使用他们喜欢的任何消息应用，但一定要远离WhatsApp–因为它现在已经成为一个监视工具13年了。 Durov指的是上周在WhatsApp中发现的两个安全问题，这些问题可能允许在特定设备上远程执行代码。黑客只需要跟受害者建立视频通话或向他们发送一个专门制作的视频文件即可。此后，WhatsApp发布了安全更新以解决这些漏洞。 这位现在自我流放的俄罗斯人指出，即使将WhatsApp升级到最新版本也不能完全保证安全。他指出，在2017年、2018年、2019年和2020年都发现了跟最近的补丁相同的安全问题。另外他还指出，WhatsApp在2016年之前并没有端到端的加密功能。 “黑客可以完全访问WhatsApp用户手机上的一切，”Durov写道，“每年我们都会了解到WhatsApp的一些问题，从而使他们的用户设备上的一切都处于危险之中。” Durov指出，这些安全问题不是偶然的，而是被植入了后门，每当发现和删除以前的后门就会增加一个新的后门。“如果你是地球上最富有的人，这并不重要–如果你的手机上安装了WhatsApp，那么你的设备上的每一个应用的所有数据都可以访问。” 这句“地球上最富有的人”指的是前世界首富杰夫·贝佐斯。这位亚马逊创始人的手机在2018年通过一条据称来自沙特王储穆罕默德-本-萨勒曼账户的WhatsApp视频信息被黑。 很容易想象Durov贬低WhatsApp以吸引更多用户到他的平台。但这位CEO指出，Telegram的7亿活跃用户和200万日注册用户意味着这项注重隐私的服务不需要任何额外的宣传。 当被问及Durov的说法时，Meta的一位发言人告诉媒体：“这完全是胡说八道。” Meta并不是第一个面临Durov批评的科技巨头。他还称在2021年抨击过苹果，称其销售来自“中世纪”的“价格过高、过时的硬件”。最近，他有称库比蒂诺通过不更新WebKit来故意削弱网络应用。 除了安全漏洞之外，WhatsApp还面临着大量关于其侵犯用户隐私的指控，包括有争议的Facebook数据共享政策。去年，它还因违反GDPR而被处以创纪录的2.67亿美元的罚款。     转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1325013.htm 封面来源于网络，如有侵权请联系删除

前优步（Uber）首席安全官乔·沙利文（Joe Sullivan）因掩盖 2016 年大规模数据泄露，近日被美国联邦法院被判有罪。在这起数据泄露中，有黑客下载了超过 5700 万用户/网约车司机的个人信息。 从优步窃取的信息包括 5000 万用户和 700 万网约车司机的姓名、电子邮件和联系方式等，此外还有 60 万网约车司机的行驶证信息。 据《纽约时报》和《华盛顿邮报》报道，陪审团判定沙利文犯有两项罪名：一项是未向 FTC 披露违规行为而妨碍司法公正，另一项是藐视罪，向当局隐瞒重罪。 沙利文原本面临三项电汇欺诈罪，但检察官在 8 月驳回了这些指控。沙利文曾在包括 Facebook 和 Cloudflare 在内的其他公司担任安全主管，正如《华盛顿邮报》指出的那样，在这种情况下，他与旧金山美国检察官办公室对峙，他之前曾在该办公室起诉网络犯罪。 沙利文的律师 David Angeli 告诉媒体“不同意”判决，并且他的委托人“在这起事件中以及在他杰出的职业生涯中，唯一关注的是确保人们在互联网上的个人数据的安全。”   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1324175.htm 封面来源于网络，如有侵权请联系删除

对于许多组织来说，Microsoft 365已经成为他们默认的电子邮件服务。但对于攻击者来说，这使得它作为一个破坏点具有吸引力。云计算和电子邮件安全专家Avanan的新研究显示，微软防御系统的钓鱼邮件漏检率为18.8%。之前在2020年进行的分析显示，有10.8%的钓鱼邮件到达收件箱，这让Defender的钓鱼邮件漏报率增加了74%。 报告同时显示，Defender将7%的钓鱼邮件发送到垃圾邮件文件夹，因此用户仍然可以访问它们。 当基于金融的网络钓鱼攻击被专门设计来绕过Defender时，Defender甚至放过了其中的42%。这类攻击包括假发票和比特币虚假转账等内容。冒充品牌是黑客选择绕过Defender的另一种流行方法，22%的这类邮件可以通过，21%的凭证收集攻击也进入了用户的收件箱。 大型企业的网络钓鱼漏网率也较高，达到50%至70%。尽管大型企业的安全运营中心工作人员将很大比例的时间用于处理电子邮件问题，但这仍然是个问题。参与研究的一家大公司在一周内看到了910封报告的网络钓鱼邮件，但IT团队只能补救其中的59封，即不到7%。 不过也不全是坏消息，Defender在某些方面做得不错。例如，它可以捕捉到90%的未知恶意软件。它还善于发现使用DMARC欺骗的攻击，只有2.5%的攻击能进入收件箱，而商业电子邮件带来的破坏很轻微，只有2%的攻击能通过。 可以在Avanan博客上阅读更多信息： https://www.avanan.com/blog/reports/keeping-your-emails-secure       转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1324325.htm 封面来源于网络，如有侵权请联系删除