据外媒报道，EdFinancial 和俄克拉荷马州学生贷款管理局 (OSLA)已承认，超过250万学生用户的个人数据和贷款记录遭泄露，目前正在陆续通知受害者。 根据其披露的违规信息，造成此次数据泄露的主要元凶是Nelnet Servicing公司——一家服务系统和网络门户提供商，为 OSLA 和 EdFinancial 提供相应的服务。 2022年7月，Nelnet公司曾向用户发布了一封公开信，披露了存在的违规行为以及可能泄露个人贷款记录。该公司在公开信中强调，在事件发生后，网络安全团队立即采取行动保护信息系统，并极力阻止一切可以行动，及时与第三方网络安全专家展开联合调查，以确定活动的性质和范围，尽可能解决这一网络安全事件。 直到8月17日，调查结果显示，个人用户信息已经被未经授权的第三方访问，数据泄露已成定局。此次事件中泄露了250万学生贷款记录，以及账户持有人的姓名、家庭住址、电子邮件地址、电话号码和社会保险号码，个人财务信息没有泄露。 Nelnet法律顾问向俄克拉荷马州提交了违规披露文件，但尚不清楚被攻击的原因和具体的漏洞信息。 尽管极为关键的个人财务信息没有泄露，但是在 Nelnet事件中泄露的个人信息，未来很有可能被攻击者在社会工程或网络钓鱼攻击活动中利用。恰好拜登政府上周出台了一项“减免学生贷款”的计划，中低收入贷款人取消 10000 美元的学生贷款债务，别有用心的犯罪分子可能会利用这个机会进行诈骗，已经贷款的用户需提高警惕，认真辨别消息的真伪，避免上当受骗。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343949.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，上月初，被称为 “MooBot ” 的 Mirai 恶意软件僵尸网络变种在新一轮攻击浪潮中再次出现，以易受攻击的 D-Link 路由器为目标，混合使用新旧漏洞，展开网络攻击。 2021 年 12 月，Fortinet 分析师发现了 MooBot 恶意软件团伙，当时该组织正在针对某厂商摄像头中存在的一个漏洞，进行了 DDoS 攻击。 恶意软件开始针对 D-Link 设备 最近，研究人员发现 MooBot 恶意软件更新了其目标范围。从 Palo Alto Network 的Unit 42 研究人员编制的报告来看，MooBot 现在主要针对 D-Link 路由器设备中存在的几个关键漏洞。漏洞详情如下： CVE-2015-2051: D-Link HNAP SOAPAction Header 命令执行漏洞； CVE-2018-6530: D-Link SOAP 接口远程代码执行漏洞； CVE-2022-26258: D-Link 远程命令执行漏洞； CVE-2022-28958: D-Link 远程命令执行漏洞。 用于利用 CVE-2022-26258 的有效载荷(unit 42) MooBot 恶意软件幕后操作者利用漏洞的低攻击复杂性，在目标上远程执行代码并使用任意命令获取恶意软件二进制文件。 MooBot 的最新攻击概述（unit单元） 恶意软件从配置中解码出硬编码地址后，新捕获的路由器会立即被注册在攻击者的 C2 上。值得注意的是，unit 单元在报告中提出的 C2 地址与 Fortinet 的写法不同，侧面证明了攻击者的基础设施有了更新。 最终，被捕获的路由器会参与针对不同目标的定向 DDoS 攻击，具体怎样操作取决于 MooBot 团伙希望实现的目标。不过通常情况下，攻击者往往会向其他人出售 DDoS 服务。 目前，设备供应商已经发布了安全更新来解决上述漏洞，但并非所有用户都应用了更新补丁。其中最后两个补丁是在今年 3 月和 5 月才发布，应该还有用户没有更新补丁。 用户需要及时应用安全更新 据悉，一旦 D-Link 设备遭受攻击，用户可能会感到到网速下降、反应迟钝、路由器过热或莫名其妙的 DNS 配置变化，这些都是僵尸网络感染的常见迹象。 对于用户来说，杜绝 MooBot 危害的最好方法是在 D-Link 路由器上应用可用的固件更新。如果用户使用的是一个旧设备，则应将其配置为防止远程访问管理面板。 此外，如果用户一旦感觉可能遭受了网络入侵，应该从相应的物理按钮执行重置，例如改变管理密码，然后立刻安装供应商提供的最新安全更新。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343953.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 国际刑警组织宣布逮捕了12名涉嫌是跨国性勒索团伙核心成员的人。由于国际刑警组织网络犯罪部门与新加坡和香港警方进行了联合调查，逮捕行动于7月和8月进行。 “在#YouMayBeNext的旗帜下，在75个国际刑警组织成员国和21个公共或私人实体的支持下，这场运动特别关注性勒索、勒索软件和分布式拒绝服务（DDoS）攻击。”国际刑警发布的声明写道。“在国际刑警组织的支持下，国际警察行动发现并捣毁了一个跨国性勒索团伙，该团伙设法从受害者身上榨取了至少47000美元。到目前为止，调查已追踪发现34起案件，并追溯到该犯罪集团。” 性勒索是一种犯罪行为，是一种性剥削形式，涉及通过威胁或操纵胁迫个人制作色情材料并通过互联网发送。 嫌疑人通过在线性爱和约会平台联系潜在受害者，然后诱骗他们下载恶意移动应用程序进行“裸聊”。 勒索团伙使用该应用程序窃取受害者的电话联系列表，然后通过威胁与亲友分享他们的裸体视频来勒索受害者。 这个性勒索团伙的受害者大多居住在香港和新加坡。 国际刑警组织还警告说，近年来性勒索报告急剧增加，而新冠肺炎疫情加剧了这种增长。 该机构强调了这种犯罪的风险，只需点击未经验证的链接或向某人发送私密照片或视频，就可能使个人面临性勒索威胁。 2021年9月，FBI互联网犯罪投诉中心 (IC3)警告称， 自2021年初以来，性勒索投诉显着增加 。 据当局称，截至2021年7月末，这些攻击造成了800多万美元的经济损失。 截至2021年7月31日，FBI收到16000多起性勒索投诉，大多数受害者的年龄在20至39岁之间。 以下是FBI发布的避免勒索企图的提示列表： 永远不要向任何人发送自己的裸露图片，无论他们是谁。 不要打开不认识的人的附件。链接可以使用恶意软件秘密入侵你的电子设备，以访问你的私人数据、照片和联系人，或者在你不知情的情况下控制网络摄像头和麦克风。 不使用时关闭电子设备和网络摄像头。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

CI/CD管道中存在安全漏洞，攻击者可以利用这些漏洞来破坏开发过程并在部署时推出恶意代码。 近日，研究人员在Apache和Google的两个非常流行的开源项目的GitHub环境中发现了一对安全漏洞，可用于秘密修改项目源代码、窃取机密并在组织内部横向移动。 据Legit Security的研究人员称，这些问题是持续集成/持续交付（CI/CD）缺陷，可能威胁到全球更多的开源项目，目前主要影响Google Firebase项目和Apache运行的流行集成框架项目。 研究人员将这种漏洞模式称为“GitHub环境注入”。它允许攻击者通过写入一个名为“GITHUB_ENV”的GitHub环境变量创建一个特制的有效负载，来控制易受攻击项目的GitHub Actions管道。具体来说，问题存在于GitHub在构建机器中共享环境变量的方式，它允许攻击者对其进行操作以提取信息，包括存储库所有权凭证。 Legit Security首席技术官兼联合创始人Liav Caspi补充道，这个概念是，构建Actions本身信任这些提交以供审查的代码，不需要任何人对其进行审查。更糟糕的是，任何对GitHub做出过贡献的人都可以触发它，而无需任何人对其进行审查。所以，这个一个非常强大且危险的漏洞。 不要忽视CI/CD管道的安全性 根据Caspi的说法，他的团队在对CI/CD管道的持续调查中发现了这些漏洞。随着“SolarWinds式”供应链缺陷的激增，他们一直在寻找GitHub生态系统中的缺陷，因为它是开源世界和企业开发中最受欢迎的源代码管理（SCM）系统之一，因此也是将漏洞注入软件供应链的天然工具。 他解释称， “这些缺陷既体现了GitHub平台设计方式的设计缺陷，也体现了不同的开源项目和企业如何使用该平台。如果您非常了解风险并有意规避许多有风险的操作，您可能会编写一个非常安全的构建脚本。但我认为没有人真正意识到这一点，GitHub Actions中有一些非常危险的机制用于日常构建操作。” 他建议称，企业开发团队应始终对GitHub Action和其他构建系统保持“零信任”原则，假设他们用于构建的组件都可能会被攻击者利用，然后隔离环境并审查代码。 正如Caspi所解释的那样，这些缺陷不仅表明开源项目本身是供应链漏洞的潜在载体，而且构成CI/CD管道及其集成的代码也是如此。 好消息是，目前这两个漏洞都已得到修复。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343842.html 封面来源于网络，如有侵权请联系删除

面向企业和消费者的开源密码管理器Bitwarden在一轮融资中筹集了1亿美元，该轮融资由PSG牵头，Battery Ventures跟投。总部位于加州圣巴巴拉的Bitwarden最初成立于2015年，这一领域的其他成员包括许多令人耳熟能详的现有公司，包括1Password（最近在6.2亿美元的融资后达到68亿美元的估值）和Lastpass（最近在落入私募股权公司手中两年后再次作为独立公司被剥离出来）。 简而言之，Bitwarden及其同类产品使人们更容易自动生成安全密码，并将其所有独特的密码和敏感信息（如信用卡数据）存储在一个安全的数字保险库中，使他们不必在其所有在线账户中重复使用同一个不安全的密码。 当然，Bitwarden最大的区别在于它是建立在一个开源的代码库之上，这对具有安全意识的个人和企业来说是件好事–他们可以完全检查平台的内部工作。此外，人们可以对代码库做出贡献，加快新功能的开发。 在基本的免费服务之上，Bitwarden还提供了一系列付费的高级功能和服务，包括单点登录（SSO）集成和身份管理等高级企业功能。 值得注意的是，今天的”少数人增长投资”代表了Bitwarden在其七年历史上的第一次实质性外部融资，它在2019年筹集了一个未披露的小型A轮融资。其最新的现金注入表明，在这几年中，世界已经发生了变化。远程工作的兴起，人们越来越多地将个人和工作账户连接在同一设备上，这意味着同一密码被用于不同的服务。而这种糟糕的密码和凭证卫生使企业面临巨大风险。 此外，管理领域日益激烈的竞争和投资意味着Bitwarden不能安于现状–它需要扩张，而这正是它的资金将被用于此。事实上，Bitwarden已经确认计划将其产品扩展到几个统一的安全和隐私垂直领域，包括私密信息管理–这是1Password去年通过收购SecretHub扩展到的。 Bitwarden首席执行官Michael CranDELL在一份新闻稿中指出：”这项投资的时机非常理想，因为我们正在向开发者秘密、无密码技术和认证领域拓展。最重要的是，我们的目标是继续为所有Bitwarden用户提供长期的服务。” 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1313155.htm 封面来源于网络，如有侵权请联系删除

9月3日，韩国政府的官方YouTube频道遭到黑客入侵，黑客们利用该频道推广一个加密货币骗局，并使用了特斯拉CEO埃隆-马斯克的形象。黑客将韩国政府频道的名称改为“SpaceX Invest”，以假装与马斯克旗下的太空探索技术公司（SpaceX）有关。 黑客们还发布了几段采访视频，其中包括马斯克谈到加密货币的采访视频片段。不过，韩国政府很快发现了黑客攻击，并在试图确定漏洞来源的同时将账户暂停了4小时。 负责管理政府YouTube帐户的韩国文化和旅游部发言人表示，政府正在与谷歌韩国公司合作，以确定黑客是如何进行攻击的，但怀疑该频道的 ID和密码可能已被泄露或被盗。 这不是韩国政府过去一周遭遇的唯一一次黑客攻击，就在上周四，韩国旅游发展局运营的YouTube频道遭受了为期两天的攻击，最终导致该频道无限期暂停。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1312855.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 臭名昭著的Android银行木马SharkBot，再次伪装成防病毒和清洁应用程序出现在Google Play商店中。 NCC集团的Fox IT在一份报告中说：“这种新的dropper不依赖于可访问权限自动执行dropper Sharkbot恶意软件的安装。相反，新版本要求受害者安装恶意软件作为防病毒软件的虚假更新，以防止受到威胁。” 存在问题的应用程序Mister Phone Cleaner和Kylhavy Mobile Security，总共被安装了6万多次，主要针对西班牙、澳大利亚、波兰、德国、美国和奥地利的用户。 Mister Phone Cleaner (com.mbkristine8.cleanmaster, 50,000+ 下载) Kylhavy Mobile Security (com.kylhavy.antivirus, 10,000+ 下载) Dropper旨在投放由荷兰安全公司ThreatFabric称为V2的新版本SharkBot，具有更新的命令和控制 (C2) 通信机制、域生成算法 (DGA) 和完全重构的代码库。 Fox IT表示，它在2022年8月22日发现了一个更新的版本2.25，该版本引入了一个功能，当受害者登录其银行账户时，可以虹吸cookie，同时还取消了自动回复带有恶意软件传播链接的传入消息的功能。 通过避免安装SharkBot的可访问性权限，该开发表明运营商正在积极调整技术以避免检测，更不用说面对谷歌新施加的限制，寻找替代方法，以减少API的滥用。 其他值得注意的信息窃取功能包括注入虚假覆盖以获取银行账户凭据、记录击键、拦截SMS消息以及使用自动转账系统 (ATS) 进行欺诈性资金转账。 毫无疑问，恶意软件会构成一种不断演变且无处不在的威胁，尽管苹果和谷歌一直在努力，但应用程序商店很容易在不知不觉中被滥用以进行分发，这些应用程序的开发人员想尽一切办法逃避安全检测。 研究人员Alberto Segura和Mike Stokkel说：“到目前为止，SharkBot的开发人员似乎一直专注于dropper，以便在最新的活动中继续使用Google Play商店来分发他们的恶意软件。” 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

据《华尔街日报》报道，美国国税局在一次意外事件中泄露了12万名纳税人的机密信息。 据悉，泄露的信息源自一种名为990-T的表格，该表格主要用于非营利组织（慈善机构）或 IRA（个人退休账户） 及 SEP 账户。 对于一般纳税人而言，这些表格信息要完全保密，只有美国国税局拥有查看权限；对于非营利组织，990-T 表格必须在三年内供公众查阅。但根据美国国税局9月2日的披露，除了为慈善机构共享 990-T 表格数据外，也意外地包含了不得公开的纳税人 IRA 数据，涉及姓名、联系信息和收入报告。但国税局表示，这些数据不包括社会安全号码、个人纳税申报表或详细的账户持有人信息。 990-T表格在去年开始使用，美国国税局将此次泄露事件归因于人为编码错误。国税局一名研究人员最近几周发现了这个错误。目前，美国国税局表示已经删除了数据，并在未来几周内向受影响的纳税人发送通知。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343749.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 9月2日，谷歌发布了紧急补丁，以修复Chrome浏览器中的一个安全漏洞，据称该漏洞正在被广泛利用。 该漏洞被跟踪为CVE-2022-3075，涉及Mojo中数据验证不足的情况，Mojo指的是为进程间通信 (IPC) 提供与平台无关机制的运行库的集合。 这家互联网巨头表示：“谷歌知道有报道称CVE-2022-3075在野外存在漏洞，但没有深入研究有关攻击性质的更多细节，以防止其他黑客利用该漏洞。” 这是自今年年初以来谷歌解决的第6个Chrome零日漏洞： CVE-2022-0609 – 动画中的Use-after-free漏洞 CVE-2022-1096 – V8中的类型混淆 CVE-2022-1364 – V8中的类型混淆 CVE-2022-2294 – WebRTC中的堆缓冲区溢出 CVE-2022-2856 – Intents中不受信任的输入验证不足 建议用户升级到适用于Windows、macOS和Linux的版本105.0.5195.102，以缓解潜在威胁。还建议基于Chrome浏览器（如Microsoft Edge、Brave、Opera和Vivaldi）的用户在修复应用程序时利用该补丁。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

网站安全和托管服务提供商 Cloudflare 于上周六宣布，将对鹬鸵农场（Kiwi Farms，充斥大量有害内容的在线论坛）采取屏蔽措施。在官方博文中，鹬鸵农场过去两天“有针对性的威胁”有所增加，对人类生命构成了“直接威胁”。 Kiwi Farms（官方中文名“鹬鸵农场”）是一个臭名昭著的美国论坛，致力于寻找互联网上的“lolcows（指值得被取笑的人）”，他们喜欢寻找那些看起来脆弱容易内心敏感容易受伤的人当作目标，把作恶当作一场电子游戏，尽其所能地让受害者感到精神上的难以解脱，并以此为乐。被鹬鸵农场盯上的目标往往会受到有组织的持续不断的骚扰。 充斥于鹬鸵农场的网络暴力已经导致天才模拟器程序员 Near 在内的不少人抑郁、自杀。在跨性别 YouTuber 和 Twitch 主播 Clara Sorrenti (Keffals) 成为该网站用户的危险骚扰活动的目标之后，人们对 Kiwi Farms 的担忧日益增加。上个月，Kiwi Farms 用户对 Sorrenti 发起了猛烈攻击，也就是向警方提供虚假提示，表明有人计划实施暴力犯罪，导致警方蜂拥而至受害者家中。 Sorrenti 后来躲藏起来并发起了#DropKiwifarms 活动，敦促 Cloudflare 停止为 Kiwi Farms 提供服务。 Twitter 上的用户分享了这个标签，其中一些人还透露了他们在 Kiwi Farms 用户手中所经历的骚扰。 Cloudflare 最初拒绝放弃 Kiwi Farms 的呼吁，称这样做是“滥用权力”。在上周发布到其网站的更新中，Cloudflare 概述了其关于滥用内容的政策，提出了维护服务的论据，但没有明确提及 Kiwi Farms。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1312403.htm 封面来源于网络，如有侵权请联系删除