HackerNews 编译，转载请注明出处： 金融服务信息共享与分析中心（FS-ISAC）最新报告指出，金融业长期遭受大规模分布式拒绝服务（DDoS）攻击，但2024年攻击复杂度的显著升级标志着威胁态势发生根本性转变。 该中心联合安全企业Akamai于6月10日发布的报告显示，2014至2024年间金融业DDoS攻击量呈近指数级增长——从2014年每月零星攻击，发展到2024年10月单月峰值近350起，每起攻击包含数百万至数十亿次恶意请求。 报告《从滋扰到战略威胁：针对金融业的DDoS攻击》证实，继2023年成为DDoS攻击首要目标后，金融业在2024年仍维持这一地位。2024年4月起，针对金融业的攻击增速远超游戏、制造及高科技等行业，差距持续扩大。这种主导地位部分源于2023至2024年针对金融服务的应用层DDoS攻击增长23%。Akamai监测数据显示，此类攻击主要针对Web应用用户界面（如登录页）及API功能（如支付网关）。 报告强调，攻击规模扩大本身不足以构成质变，基础型DDoS攻击仍属可被轻易缓解的“滋扰”范畴。真正促使DDoS升级为“战略威胁”的关键，是2024年四季度以来攻击复杂度与规模的同步跃升。研究人员指出：“威胁行为体越来越多采用融合系统性探测与自适应策略的高级多向量DDoS攻击，展现出实时分析防御机制并动态调整战术的能力。” 观测到的高级技术包括： 通过低流量多向量测试探测防御弱点； 持续数周至数月的多阶段攻击； 绕过自动化防护并瘫痪本地网络设备（如防火墙、负载均衡器）。 这些技术表明攻击者具备高度组织性、资源投入和明确战略意图。 地缘政治紧张局势成为攻击升级的重要推手。亲巴勒斯坦黑客组织BlackMeta（又名DarkMeta）、RipperSec以及俄乌冲突中活跃的NoName057(16)被指为主要攻击方。典型案例是2024年10月针对澳大利亚金融机构的DDoS行动，该行动由RipperSec部分认领，恰逢北约防长会议、澳洲宣布援乌及乌克兰总统访欧等敏感时间点。 为应对高级DDoS威胁，报告建议金融机构采取以下措施： 实施地理IP过滤阻断非业务区域流量； 运用动态流量整形技术实时优先保障核心服务； 建立多层级防御架构降低单点依赖；预设净化支持机制快速响应异常流量； 部署默认拒绝（deny-all）的网络安全策略； 将威胁情报直接嵌入边缘防护系统； 定期开展攻防演练测试应急预案。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现大量存在漏洞的光伏逆变器暴露在互联网上。近35,000台太阳能发电设备的管理界面可直接访问，攻击者可利用一系列已知漏洞实施攻击。对设备所有者而言，在线查看光伏板发电数据虽然便利，却带来巨大风险——黑客同样能访问这些设备。 网络安全公司Forescout旗下Vedere Labs实验室披露，35,000台暴露设备涵盖42个品牌的逆变器、数据记录仪、网关等设备。攻击者通过Shodan搜索引擎可轻易发现这些设备。研究人员不仅新发现46个漏洞，还确认93个已知漏洞的存在，暴露设备可能面临更多未知风险。 研究人员警告，攻击者可能利用漏洞造成大范围停电，类似今年早些时候西班牙电网瘫痪事件。“随着这些系统逐渐成为全球电网的关键组件，其对电网稳定性的威胁与日俱增”，报告指出。暴露设备最多的品牌包括：德国SMA（12,434台）、奥地利Fronius（4,409台）、德国Solare Datensysteme（3,832台）、日本Contec（2,738台）和中国阳光电源（2,132台）。值得注意的是，这与市场份额排名并不一致，华为、锦浪科技等头部厂商未出现在暴露名单中。 暴露设备中SMA Sunny Webbox占比最高，该设备自2014年12月起就存在硬编码漏洞。地域分布显示：76%位于欧洲（德国与希腊各占全球总量的20%），17%在亚洲，5%在美洲。研究人员解释：“设备暴露通常源于用户配置端口映射，这种行为已被厂商明确反对”。监测还发现，威胁组织频繁攻击暴露设备，至少43个IP地址近期针对SolarView Compact设备发起攻击，这些设备运行着27种不同固件版本，且无一更新至最新版本。 Forescout警告：“数千台暴露设备往往未打补丁，极易被攻击者劫持”。建议用户及时更新固件并关闭管理界面的互联网直连权限。路透社此前报道称，部分中国制造的太阳能设备存在“不明通信模块”，进一步增加了安全风险。       消息来源：  cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 美国司法部6月4日宣布查获与非法信用卡交易平台BidenCash相关的加密货币资产及约145个明网与暗网域名。该平台通过简化盗刷信用卡及关联个人信息交易流程牟利，每笔交易收取手续费。 BidenCash于2022年3月上线，填补了Joker’s Stash等非法论坛关停后的市场空缺。据调查，该平台运营期间累计服务超11.7万用户，交易逾1500万张支付卡数据及个人信息，非法收益至少达1700万美元。为推广服务，2022年10月至2023年2月间曾免费泄露330万张信用卡信息，包含卡号、有效期、CVV码及持卡人住址等敏感数据。其中2023年2月泄露的210万张卡片中，半数归属美国实体。 该平台还以2美元低价兜售SSH入侵服务，提供目标服务器漏洞检测、算力定位等黑客工具包。网络安全公司CloudSEK曾警告，此类服务可能引发数据窃取、勒索软件攻击及非法挖矿等恶性事件。 本次行动由美国特勤局和联邦调查局主导，联合荷兰警方、暗影服务器基金会等国际机构实施。当局未披露查获加密货币具体价值及平台运营者身份信息。 此次打击行动前一周，国际执法机构刚查封4家提供反病毒规避服务的平台。另有一名35岁乌克兰籍黑客因入侵超5000个主机账户实施非法挖矿被起诉，其利用开源情报定位漏洞基础设施部署虚拟机的行为造成450万美元损失，最高面临15年监禁。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员揭露了Meta和Yandex使用的新型追踪技术，该技术能在数十亿安卓用户浏览网页时有效去匿名化，即使用户开启无痕模式也无效。根据西班牙IMDEA Networks研究所、荷兰拉德堡德大学及比利时鲁汶大学联合报告，当安卓用户浏览网页时，Yandex（俄罗斯主要科技公司）和Meta的应用程序会在后台通过本地端口通信秘密监听网站数据。 这种技术绕过了安卓系统与浏览器的沙盒防护及其他安全措施。研究发现：“包括Facebook、Instagram以及Yandex地图、浏览器在内的多款应用，会为追踪目的在固定本地端口静默监听”。其运作原理如下： 网站脚本与应用的隐蔽通道：全球数百万网站嵌入了Meta Pixel或Yandex Metrica脚本。当用户访问这些网站时，脚本会通过本地回环接口（localhost）向对应应用发送数据，将浏览行为与实际用户关联。 规避隐私保护机制：该方法无视清除Cookie、无痕模式等常规隐私防护，甚至突破安卓权限控制。更严重的是，它为恶意软件窃取用户网页活动数据敞开大门。 具体技术细节显示： 端口监听机制：Meta Pixel通过WebRTC向UDP端口12580-12585传输Cookie，任何监听这些端口的应用均可接收；Yandex自2017年起使用端口29009、29010、30102和30103进行类似操作。 数据隐藏手段：Meta采用“SDP Minging”技术将含用户数据的Cookie隐藏在互联网技术消息中，规避检测工具分析。 波及范围：Meta Pixel嵌入超过580万个网站，Yandex Metrica覆盖近300万站点。 恶意软件可利用漏洞： 所有监听相同端口的应用均可截获网页追踪脚本与应用间的通信。实验证明Chrome、Firefox、Edge等主流浏览器均存在浏览历史泄露风险。 仅Brave浏览器因拦截本地请求而免疫此问题，DuckDuckGo因屏蔽列表缺失部分域名受轻微影响。 跨平台风险与厂商响应： iOS潜在威胁：虽然WebKit支持本地连接且应用可监听端口，但苹果对后台应用的严格限制可能阻止了该技术在iOS的部署。 Meta已停止行为：截至6月3日，Meta Pixel脚本已停止向本地端口发送数据，相关代码几乎被完全移除。 修复进展：主流安卓浏览器厂商已着手部署补丁，但研究人员警告需更全面的措施才能彻底解决问题。 两家公司均未在官方文档中披露此追踪机制，致使网站运营者与用户长期处于不知情状态。值得注意的是，这些追踪脚本甚至在用户看到Cookie同意弹窗前就已加载运行。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大Instantel公司生产的1000多台工业监控设备因存在严重漏洞可能面临远程黑客攻击。 网络安全机构CISA近期发布的公告披露，Instantel用于记录振动、噪音和空气超压的Micromate产品存在配置端口缺乏身份验证的安全漏洞。该漏洞编号为CVE-2025-1907（CVSS评分9.8），攻击者可借此在设备上执行任意命令。 发现此漏洞的Microsec研究员Souvik Kandar向SecurityWeek透露，全球范围内已识别出1000多台暴露在互联网中的Micromate设备可能遭受攻击。该产品广泛应用于采矿、隧道工程、桥梁监测、建筑施工和环境安全等领域。 Kandar解释称，成功在设备上执行命令的攻击者能够篡改或禁用监控功能，导致数据失真或缺失。破坏数据完整性的操作可能引发审计、合规或保险索赔问题。该研究员补充表示，设备还可能被破坏或强制关机，进而中断爆破、隧道掘进等关键作业。 据Kandar分析，攻击者或可利用被入侵设备横向渗透至其他连接的IT或OT系统。 CISA公告指出Instantel正在为该漏洞开发固件更新。在补丁发布前，建议用户将设备访问权限限制在可信IP地址范围内。针对SecurityWeek的置评请求，Instantel尚未作出回应。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Google 修复了 Chrome 浏览器中的三个漏洞，包括一个已在攻击中被积极利用的漏洞，追踪编号为 CVE-2025-5419。 该漏洞源于Google Chrome 旧版本中 V8 JavaScript 引擎的越界读写问题。攻击者可通过构造的 HTML 页面利用此漏洞触发堆损坏。 谷歌威胁分析小组 (Google Threat Analysis Group) 的 Clement Lecigne 和 Benoît Sevens 于 2025 年 5 月 27 日报告了该漏洞，次日（2025 年 5 月 28 日）通过向所有 Chrome Stable 平台应用配置更新解决了该问题。 公告中写道：“Google 已知悉针对 CVE-2025-5419 漏洞的利用程序已在野存在。” Chrome Stable 已更新至 137.0.7151.68/.69（适用于 Windows 和 Mac）以及 137.0.7151.68（适用于 Linux），将在未来几天内推送。 与往常一样，公司未披露利用此漏洞进行攻击的技术细节。 Google 还修复了一个中危漏洞，被追踪为 CVE-2025-5068，这是 Blink 渲染引擎中的一个释放后使用 (use-after-free) 问题。Walkman 于 2025 年 4 月 7 日报告了该漏洞。 在 2025 年 3 月，Google 曾发布其他计划外补丁，以修复自年初以来首个遭在野利用的 Chrome 零日漏洞。该漏洞是 Windows 版 Chrome 浏览器中的一个高危安全问题，被追踪为 CVE-2025-2783。 该漏洞是 Windows 上 Mojo 在未明确情况下提供错误句柄所致。卡巴斯基研究人员 Boris Larin (@oct0xor) 和 Igor Kuznetsov (@2igosha) 于 2025 年 3 月 20 日报告了该漏洞。卡巴斯基研究人员报告称，该漏洞在针对俄罗斯组织的攻击中被积极利用。 Mojo 是 Google 用于基于 Chromium 的浏览器的 IPC（进程间通信）库，管理着用于安全通信的沙盒进程。在 Windows 上，它增强了 Chrome 的安全性，但过去的漏洞曾导致沙箱逃逸和权限提升。 Google 未分享有关利用此漏洞进行攻击的细节或幕后威胁行为者的身份信息。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cybernews 研究人员发现了一起影响美国公民医疗数据的大规模泄露事件。大约 270 万名患者的资料和 880 万条预约记录对任何知道查看位置的人来说都是完全开放的。 此次泄露是由一个未设置安全防护的 MongoDB 数据库引起的。数据所有者尚未得到官方确认，但数据库中埋藏的线索指向了 Gargle 公司。 该公司专门为牙科诊所提供营销、搜索引擎优化（SEO）和网站开发服务。虽然 Gargle 本身并非医疗保健提供者，但其业务模式依赖于处理面向患者的基础设施，在此案例中，可能还包括患者数据。 目前尚不清楚该数据库暴露了多长时间，或者在锁定之前谁可能访问过它。在 Cybernews 告知该公司有关泄露事件后，该数据集已被保护起来。目前尚未收到该公司的评论。 泄露了哪些数据？ 姓名 出生日期 电子邮件地址 住址 电话号码 性别 病历 ID 语言偏好 账单详情 包含患者元数据、时间戳和机构参考信息的预约记录 泄露是如何发生的？ MongoDB 数据库为数以千计的现代网络应用程序提供支持，从电子商务平台到医疗门户网站。在此案例中，泄露很可能源于一个常见且常被忽视的漏洞：由于人为错误，数据库在没有适当身份验证的情况下被暴露。 正如 Cybernews 的研究所示，这是一个持续困扰着各种规模和行业的公司的盲点。Gargle 在其网站上强调，其设计的 SEO 优化网站通过鼓励用户预约来提升转化率。 该公司还提供实时预约安排、患者沟通、支付处理和在线表格提交等集成服务。所有这些服务都是关键接触点，如果未进行安全配置，就可能成为攻击者的入口。暴露的医疗数据很可能与这些第三方服务相关的内部基础设施中泄露。 泄露的医疗数据如何被利用？ 泄露的数据集包含属于美国患者的深度敏感信息：已验证的手机号码、家庭住址、账单分类和机构 ID。孤立地看，其中任何一个数据点可能危害不大。但捆绑在一起，它们就构成了个人身份的全面蓝图。这类数据为各种滥用行为打开了大门。身份盗窃是唾手可得的果实，攻击者可以冒充受害者以获取经济利益。 有了医疗数据，风险就变得严重得多。威胁行为者可以利用这些信息进行保险欺诈或医疗身份盗窃。受害者还容易受到精心设计的钓鱼攻击和社会工程攻击。如此大规模的泄露事件，引发了关于其不遵守《健康保险流通与责任法案》（HIPAA）的严重质疑。根据该法规，处理患者数据的公司有法律义务采取严格的安全措施来保护数据。 应对策略 该公司应通知受影响的个人，并按照 HIPAA 要求公开披露此事件。如果您最近有牙科预约，并怀疑您的数据可能受到此次泄露的影响，请警惕钓鱼攻击。对任何提及医疗保健提供者或医疗历史的不请自来的电子邮件要格外小心。请密切关注您的医疗和保险记录，留意未经授权的索赔或活动迹象，并考虑注册身份盗窃监控服务。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国非营利医疗集团Covenant Health遭遇网络攻击，其运营的三家医院紧急关闭所有系统以控制安全事件影响。圣玛丽医疗系统公告称：“当前系统临时故障影响部分电话及病历系统，医疗服务仍在继续，但部分科室候诊时间可能延长”。新罕布什尔州圣约瑟夫医院则通知：“5月27日门诊实验室服务临时调整，仅主院区可接收持纸质检验单的患者”。 这家天主教背景的区域医疗集团在新英格兰地区运营多家医院、养老院及辅助生活机构。2025年5月26日爆发的网络攻击使其旗下医院、诊所全面断网，目前尚不确定是否涉及数据窃取或勒索软件。院方已聘请顶级网络安全专家介入调查，核心医疗服务仍维持运转，但部分系统及检验科室受到影响。 除圣约瑟夫医院外，缅因州两家医疗机构同样遭波及，院方建议患者按原计划就诊。“发现网络异常后，我们立即切断了所有医疗机构的数据系统访问权限，”集团发言人表示，“正全力保障正常医疗服务，患者可照常赴约，如有疑问请咨询主治医生办公室”。截至发稿，尚无勒索组织宣称对事件负责。 2025年美国医疗系统频遭网络攻击：3月RansomHouse团伙宣称窃取芝加哥洛雷托医院1.5TB敏感数据；4月Interlock勒索组织攻击肾脏透析巨头DaVita并泄露数据。据记录，2024年全美医疗机构遭遇98起勒索攻击，涉及1.17亿条记录，典型案例如Change Healthcare（1亿条）、波士顿儿童健康医生集团（90.9万条）等数据泄露事件。医院遭遇攻击后往往被迫启用纸质化应急流程。       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 预装应用曝高危漏洞！Ulefone与Krüger&Matz安卓设备存在三项安全缺陷，可致任意应用触发恢复出厂设置及加密应用。漏洞详情如下： CVE-2024-13915（CVSS评分6.9） Ulefone与Krüger&Matz设备预装的“com.pri.factorytest”应用暴露“com.pri.factorytest.emmc.FactoryResetService”服务，允许任意已安装应用执行设备恢复出厂设置。 CVE-2024-13916（CVSS评分6.9） Krüger&Matz设备预装的“com.pri.applock”应用存在缺陷，其内容提供器的“query()”方法（路径：com.android.providers.settings.fingerprint.PriFpShareProvider）允许恶意应用窃取用户设置的PIN码——该PIN码本用于通过生物识别或手动输入加密任意应用。 CVE-2024-13917（CVSS评分8.3） 同款应用暴露的“com.pri.applock.LockUI”活动界面，使恶意应用无需系统权限即可向受保护应用注入具备系统级权限的任意意图。 虽然利用CVE-2024-13917需知晓PIN码，但结合CVE-2024-13916的PIN窃取能力可形成完整攻击链。波兰计算机应急响应中心（CERT Polska）披露漏洞并致谢研究员Szymon Chadam，目前厂商修复状态尚不明确。The Hacker News已联系涉事企业，将及时更新进展。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员披露苹果Safari浏览器存在设计缺陷，攻击者可利用全屏模式实施“浏览器中间人攻击”（BitM）窃取用户凭证。该漏洞源于网页通过Fullscreen API进入全屏模式时，Safari缺乏明确警示机制，使恶意窗口得以隐藏地址栏并伪装成合法登录页面。 网络安全公司SquareX指出，攻击者通过滥用全屏API实现三重欺骗： 利用noVNC等开源工具在受害者会话层叠加远程控制浏览器 通过赞助广告/社交媒体推送伪造目标服务登录页链接 当用户点击登录按钮时激活隐藏的BitM窗口 典型案例显示，攻击者伪造Steam和Figma登录页诱导用户输入凭证。由于登录过程实际发生在攻击者控制的浏览器中，受害者仍能正常登录账户，难以察觉信息泄露。值得注意的是，此类攻击能规避端点检测（EDR）及安全访问服务边缘（SASE/SSE）等防护方案。 浏览器防护机制对比显示： Firefox/Chrome/Edge进入全屏时强制弹出警示框 Safari仅显示易被忽略的滑动动画 SquareX研究人员强调：“尽管所有浏览器均受影响，但Safari因缺乏视觉警示使攻击更具欺骗性。” 苹果公司收到漏洞报告后回应称“无意修复”，认为现有动画提示已足够。目前安全社区正推动苹果重新评估该决定。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文