2024年3月，Linux流行压缩工具xzUtils（5.6.0和5.6.1版本）曝出名为“XZ后门”的恶意软件，震惊了全球安全社区。 该后门（如果成功进入Linux正式发行版）允许攻击者通过SSH身份验证绕过秘密访问全球运行Linux的关键基础设施系统并执行任意命令，堪称“核弹级”后门。 XZ后门影响范围广泛，包括Debian、Ubuntu、Fedora、CentOS等多个主流Linux发行版（主要为测试和实验版本）。由于liblzma库被广泛应用于各类软件和系统中，因此潜在受影响的系统数量可能达到数百万台。 以下是受XZ后门影响的Linux发行版本最新核查清单： Red Hat已确认Fedora Rawhide（Fedora Linux的当前开发版本）和FedoraLinux40beta包含存在后门的xz版本（5.6.0、5.6.1），Red Hat Enterprise Linux(RHEL)版本不受影响。 OpenSUSE维护者表示，openSUSE Tumbleweed和openSUSE MicroOS版本在3月7日至3月28日期间的更新包含了受影响的xz版本，SUSE Linux Enterprise和/或Leap不受影响。 Debian稳定版本不受影响，受影响的是Debian测试、不稳定和实验版本，Debian维护者“敦促这些版本的用户更新xz-utils软件包”。 OffSec证实，在3月26日至3月29日期间更新安装的Kali Linux用户会受到影响。 一些Arch Linux虚拟机和容器映像以及安装介质包含受影响的XZ版本。 Ubuntu的所有发行版本均不受影响。 Linux Mint不受影响。 Gentoo Linux不受影响。 Amazon Linux客户不受影响。 Alpine Linux不受影响。 检测工具和脚本汇总 XZ后门曝光后，全球安全社区夜以继日分析恶意样本查找攻击源头，并不断推出检测工具和脚本，以下是最新汇总： Freund检测脚本。该脚本可以检测容易遭受XZ后门利用的SSH二进制文件，以及检查系统使用的liblzma库是否包含后门。https://support.nagios.com/forum/viewtopic.php?p=216847 Binarly在线扫描工具。允许用户上传任何二进制文件进行分析，查看是否存在后门植入。https://www.binarly.io/news/binarly-releases-free-detection-tool-for-xz-backdoor Bitdefender扫描工具。需要root权限才能运行（Bitdefender提供了工具源码），可以查找受感染的liblzma库以及识别后门注入的字节序列。https://www.bitdefender.com.br/consumer/support/answer/27873/ YARA规则。ElasticSecurityLabs的研究人员公布了他们对XZ后门的分析报告，并提供了YARA规则、检测规则以及osquery查询，供Linux管理员用来发现可疑的liblzma库和识别sshd行为异常。https://www.elastic.co/security-labs XZ-Hunter扫描工具。2024年4月10日，安全公司Intezer发布了一款名为“XZ-Hunter”的工具，可以用于检测xz后门。该工具可以扫描系统中的所有文件，并识别出被后门感染的文件。https://intezer.com/   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/hJZC5u9eeCKXNpJB8iudvg 封面来源于网络，如有侵权请联系删除

公司临时关闭IT系统以应对网络攻击，“导致过去一周对运营产生重大干扰”，预计这种干扰还将持续数周。 安全内参消息称：网络犯罪团伙最初针对的是医院，随后是慈善机构和癌症中心，而现在他们的目标扩展到了小狗和小猫。 英国最大宠物医疗连锁机构CVS集团昨天宣布，遭遇了一起“网络事件”，可能有数据被盗取，部分机构的临床护理受到影响。 由于此次网络事件，CVS集团被迫启动事件响应计划，下线IT系统以隔离事件影响。公司表示，临时关闭IT系统“在过去一周对运营产生重大干扰”，预计这种干扰还将持续数周。 为了评估损害程度并支持采取应对措施，CVS集团已聘请外部安全专家进行调查。由于“存在个人信息被恶意访问的风险”，英国数据保护监管机构信息委员会办公室（ICO）也已接到相关通知。 目前尚不清楚此次事件可能泄露的数据类型，但攻击者为了寻求变现，可能会特别针对员工和客户的个人信息、财务数据以及其他机密文件。 CVS集团在全球拥有约500家机构，其中大多数位于英国。公司员工总数约为9000人，包括3300名宠物医疗护士和2400名外科医生。 事件加速公司上云节奏 CVS集团表示，其在英国的运营已受到干扰，但未提供详细信息。尽管如此，“大多数”机构的临床护理仍保持在“正常的较高水平”。而在英国以外的地区，公司运营并未受到影响。 CVS集团在通知中表示：“目前，我们的大部分机构和业务职能部门已经安全地恢复了IT服务；然而，由于加强了安全性和监控，一些系统的效率不如以前，这可能会对运营产生持续影响。” “英国境外的运营未受影响，CVS集团未托管的系统以及其电子商务系统也没有受到影响。” CVS集团表示，此次事件迫使公司加速实施云迁移策略。由于云解决方案能够增强安全性并提高运营效率，公司正在迁移机构管理系统及相关基础设施。 伦敦证券交易所昨天开盘时，CVS集团股价出现短暂下跌，但随后大部分损失已得到恢复。近期，其股价整体呈逐渐下降趋势。 目前，CVS集团的市值为6.73亿英镑（约合人民币61.6亿元）。自今年3月英国竞争和市场管理局宣布对该公司进行不公平价格调查以来，其股价已大幅下跌。 预计CVS集团将在适当的时候，更新关于数据完整性和整体IT恢复情况的信息。   转自安全内参，原文链接：https://www.secrss.com/articles/65093 封面来源于网络，如有侵权请联系删除

近日，云安全提供商 Wiz 发现上传到 Hugging Face 的生成式 AI 模型存在两个关键的架构缺陷。 在最新发表的一篇博文中，Wiz Research 描述了这两个缺陷及其可能给 AI 即服务提供商带来的风险。 共享推理基础设施接管风险 共享持续集成和持续部署（CI/CD）接管风险 共享推理基础设施接管风险 在分析上传到 Hugging Face 上的几个 AI 模型时，Wiz 的研究人员发现其中一些模型在共享推理基础设施。 在生成式 AI 中，推理指的是根据先前训练的模型和输入数据进行预测或决策的模型。 推理基础设施允许执行 AI 模型，可以是 “边缘”（如 Transformers.js）、通过应用编程接口（API）或按照推理即服务（Inference-as-a-Service）模式（如 Hugging Face 的推理端点）。 Wiz 研究人员发现，推理基础设施经常运行使用 ‘pickle’ 格式的不受信任的、潜在恶意的模型。’pickle’ 格式的 AI 模型是使用 Python pickle 模块保存的训练模型的序列化压缩版本，比存储原始训练数据更紧凑、占用空间更少。 但是，恶意的 pickle 序列化模型可能包含远程代码执行有效载荷，使攻击者的权限升级并跨租户访问其他客户的模型。 共享持续集成和持续部署（CI/CD）接管风险 持续集成和持续部署（CI/CD）管道是一种自动化软件开发工作流程，可简化应用程序的构建、测试和部署过程。 它实质上是将原本需要手动完成的步骤自动化，从而加快发布速度并减少错误。 Wiz 研究人员发现，攻击者可能会试图接管 CI/CD 管道本身，并发起供应链攻击。 来源：Wiz AI基础设施风险的潜在利用方式 在这篇博文中，Wiz 还描述了攻击者可能利用这两种风险的一些方法，包括： 利用输入使模型产生错误预测（例如，adversarial.js） 使用产生正确预测结果的输入，但这些预测结果却在应用程序中被不安全地使用（例如，产生会导致数据库 SQL 注入的预测结果） 使用特制的、pickle 序列化的恶意模型执行未经授权的活动，如远程代码执行 (RCE) Wiz 研究人员还通过利用 Hugging Face 上的已命名基础设施漏洞展示了对云中使用的生成式AI模型的攻击。 来源：Wiz Wiz 研究人员发现，Hugging Face 平台上的生成式 AI 模型在收到恶意预设关键词（后门）时会执行命令。 缺乏检查 AI 模型完整性的工具 Wiz 解释称，目前只有极少数工具可用于检查特定模型的完整性，并验证其确实没有恶意行为。不过，Hugging Face 提供的 Pickle Scanning 可以帮助验证 AI 模型。 另外，开发人员和工程师在下载模型时必须非常谨慎。使用不受信任的 AI 模型可能会给应用程序带来完整性和安全风险，相当于应用程序中包含不受信任的代码。 Wiz 研究人员强调，这些风险并非 Hugging Face 所独有，它们代表了许多 AI 即服务公司将面临的租户分离挑战。考虑到这些公司运行客户代码和处理大量数据的模式，它们的增长速度超过以往任何行业，安全界应该与这些公司密切合作，确保建立安全基础设施和防护措施，同时不会阻碍公司迅速增长。   转自Freebuf，原文链接：https://www.freebuf.com/news/397056.html 封面来源于网络，如有侵权请联系删除

日前，北京警方和国家外汇管理局北京市分局联合破获了涉虚拟货币的连环案件，涉案金额超过20亿元，共涉及包括北京、上海、浙江等15个省市。值得注意的是，本案不仅犯罪手段隐蔽多样，还是“连环案”，从暗网交易到非法买卖外汇，错综复杂。 北京警方此前接到线索，称有人利用“暗网”和虚拟货币传递信息并进行虚拟货币交易，特别是非法售卖我国公民的各类隐私信息。 北京市公安局经侦总队办案人员 梁飞：有人在境外利用境外聊天软件组成了多个群组，在群组内公然售卖公民个人信息，涉及公民的身份证号、手机号、家庭住址等。 售卖信息的群组成员高达数百人，群组内累计贩卖公民个人信息高达上亿条，交易方式严格限定只通过虚拟货币完成。警方初步判断，在买家中，极有可能包含境外机构，一旦我国公民的隐私数据大量流向境外，被不法分子利用，将会造成严重后果。 北京市公安局经侦总队办案人员 梁飞：境外的诈骗团伙就能利用这些真实的公民个人信息对普通老百姓进行“精准”诈骗，甚至有一些网络赌博网站，它们筛选到了一些高净值人员的群体，它们会向这些人员群体的手机发送这种网站的链接，从而实施犯罪行为。 高薪诱惑 1年内疯狂洗钱超20亿 办案民警发现，犯罪嫌疑人闫某某在售卖公民信息过程中，全部通过虚拟货币进行交易结算。在虚拟货币兑换现金过程中，数额特别巨大，这也引起了警方的注意。 北京市公安局海淀分局经济犯罪侦查支队办案人员 卢楠：（经查）他（兑换者）的资金来源非常复杂，并不是单一来源，资金成分比较复杂，他与一般的炒币用户有极大的不同，他使用虚拟币的特点属于快进快出、整进整出，所以我们推断他本身不属于炒币用户，更倾向于地下钱庄的洗钱分子。 警方继续追查，给闫某某兑换资金的林某某，长期使用虚拟货币从事非法买卖外汇违法犯罪行为。可是深入调查，林某某也并不是这个犯罪团伙的真正“幕后黑手”，背后还另有“上线”，而且林某某和“上线”在此前，并不认识。 林某某供述中的“上线”，一直身处境外进行遥控。“上线”从一开始就以高额回报作为诱饵，诱惑林某某帮助其在境内从事不法行为，更恶劣的是，“上线”还怂恿林某某主动充当“犯罪帮凶”继续招募同伙。林某某在半个多月内就在当地组织了5名好友，共同参与其中。 为了更快转移赃款，更多拿到酬金，林某某和同伙共同注册了十多个虚拟货币的钱包账户，还开设了超过30个专门用于洗钱的银行账户疯狂作案。据统计，在短短一年时间内，经林某某和同伙处理的资金流水，就超过了20亿元，林某某和同伙获利200余万元。 披着“外籍身份”的“神秘黑手”浮出水面 在调查中，警方发现，犯罪分子为了隐藏自己的身份，在网络地址中都显示的是外籍，但许多不合理的迹象，又让警方对他们的身份，产生了怀疑。究竟是什么人在作案？ 通过与卖方进一步接触，警方发现，在信息交易过程中，卖方要求资金必须通过虚拟货币支付。通过技术分析，警方发现，这个地址是一名越南籍人员实名注册的。 北京市公安局经侦总队办案人员 梁飞：（我们）发现嫌疑人符合境内人员的特征，但是他在群组内利用了一个越南人的身份掩饰了他（实际是）境内人员的真实身份。 继续深入追踪，警方发现，犯罪嫌疑人通过虚拟货币完成交易后，就将收到的虚拟货币在多个境外虚拟货币交易平台、以不同人名义开立的虚拟货币钱包之间腾挪，最终进入到闫某某的虚拟货币钱包中。 北京市公安局经济犯罪侦查总队办案人员 迟杨清：他所收的折合人民币1000余万虚拟币，是通过了多个虚拟币账户进行不断转移，经过多轮拆分和整合，一小时内就从三个交易所之间完成了切换，他背后存在一个专业洗钱的团队，为闫某某的非法贩卖公民信息的赃款进行洗白。 团伙作案组织严密 境内外资金“闪转腾挪” 资金的“闪转腾挪”究竟是如何实现的？又是什么人在操作？在对虚拟货币的追查中，警方发现，这个犯罪团伙试图绕开警方的视线，逃避监管。 北京市公安局经济犯罪侦查总队办案人员 迟杨清：（我们）发现这些（涉案）银行账户交易十分异常，他们平均每日的交易金额动辄上千万元，交易笔数动辄上百笔，这些大额的交易与他们从事的副业完全不符，由此我们推定，他们是以虚拟（货）币作为媒介，从事非法买卖外汇、洗钱活动。 在本案里，资金的“闪转腾挪”是如何实现的呢？办案民警告诉记者，这个地下钱庄犯罪团伙使用境内人民币资金，向境内的炒币人员和币商收购虚拟货币，然后再通过境外的不同虚拟货币平台，将虚拟货币出售给境外卖家来获取外汇，这就实现了非法买卖外汇的作案过程，也增加了案件调查取证的难度。 国家外汇管理局北京市分局外汇检查处工作人员 张艺严：闫某某的虚拟货币出售给地下钱庄，从而将他的虚拟货币和地下钱庄控制的虚拟货币实现了一种置换，从而实现了他赃款洗白的目的。 多路警力联合出动 涉案嫌疑人被全部抓获 经过深入调查，涉案的林某某地下钱庄6名成员及非法出售公民信息的闫某某，各自的犯罪事实逐步清晰。2023年12月，警方兵分四路，在温州、南京、北京、哈尔滨同时行动，将涉案犯罪嫌疑人全部抓获。警方现场缴获从事非法活动的手机等电子设备20余部、银行卡30余张。经过清点，该案件共涉及资金超过20亿元，用于非法交易的虚拟货币钱包达到十余个。 涉虚拟货币的各类犯罪在近几年呈现出高发态势，日趋猖獗，主要原因就是虚拟货币具有极强的隐蔽性。一直以来，这也是警方依法严厉打击和综合治理的重点。 虚拟货币相关业务活动属于非法金融活动 北京市公安局经济犯罪侦查总队办案人员 刘嘉：我们在日常办案中发现，境外的地下钱庄和洗钱团伙常以买卖外汇在部分国家合法作为幌子，来淡化这种法律责任，诱导我国民众在国内开立银行账户和虚拟币账户，帮助其实现地下钱庄的资金转移交易，这种行为在我国是违法犯罪行为，涉嫌刑法的非法经营罪或者洗钱犯罪，是要承担法律责任的。 在我国，虚拟货币相关业务活动属于非法金融活动。以虚拟货币为跨境交易媒介，实现外汇与人民币的非法兑换行为，均属于非法买卖外汇行为。根据《中华人民共和国外汇管理条例》规定，私自买卖外汇、变相买卖外汇、倒买倒卖外汇，或者非法介绍买卖外汇数额较大的，由外汇管理机关给予警告，没收违法所得，并处罚款；构成犯罪的，依法追究刑事责任。 中国人民银行北京市分行副行长 姚力：广大人民群众在办理外汇业务时，一定要通过银行等正规金融机构办理业务，（大家要）远离地下钱庄等非法渠道，以免遭受资金财产损失，也避免因违反外汇管理相关法规而受到处罚。   转自Freebuf，原文链接：https://www.freebuf.com/news/397037.html 封面来源于网络，如有侵权请联系删除  

不久前，加拿大政府以能够帮助犯罪分子盗车为由，禁止境内禁售黑客工具 Flipper Zero 和类似设备。近日，Flipper Zero 制造商对禁令做出了回应，表示设备被错误地指控可以为汽车盗窃提供便利。 加拿大拟禁止 Flipper Zero 2024 年 2 月初，加拿大工业部长 François-Philippe Champagne 宣布了一项禁止进口 “黑客设备 “Flipper Zero的提案。据悉，理由是犯罪分子能够利用这些设备盗窃汽车。 Flipper Zero 是一款便携式可编程测试工具，可帮助通过多种协议(包括RFID、无线电、NFC、红外和蓝牙)试验和调试各种硬件和数字设备，获得了不少极客和黑客的青睐。 加拿大当局发布了统计数据，显示境内的汽车盗窃案正在呈上升趋势，达到了每年 9 万多起，加拿大立法者认为这与 Flipper Zero 和类似黑客工具的可用性有关。 随后，Flipper Devices 制造商做出回应，指出加拿大政府的指责显然缺乏依据，Flipper Zero 无法窃取使用无钥匙进入系统的汽车。在一篇新的博客文章中，Flipper Devices 公司还表示加拿大政府的禁令通常由那些并不真正了解安全工作原理的人提出的，不仅不能解决汽车盗窃问题，还会延缓技术进步。 此外，Flipper Devices 公司进一步表示，汽车盗窃需要价格在 5000 美元到 15000 美元之间的信号中继器，这些都可以随时在网上买到。 用于汽车盗窃的中继器 偷车贼使用中继器设备接近车主的前门，将遥控钥匙的被动信号重新传输给站在车附近的同伙，车辆就会解锁。 攻击过程 中继器设备中具有多个无线电模块和数瓦特功率，可以帮助偷车贼盗取车辆。然而，Flipper Zero 仅仅依靠单个无线电模块，功率被限制在 10 毫瓦以内，它的功率严重不足，很难应用于汽车盗窃。Flipper Devices 方面还提到，盗车时需要“隔墙”向钥匙扣传输信号，窃贼需要巨大的天线和功能强大的中继器，从以往有视频记录的汽车盗窃案件来看，窃贼都背了一个装有盗窃设备的巨大背包。 Flipper Zero 运营商还批评了加拿大政府的禁令具有高度“选择性”。Flipper Zero 使用的内部电子设备已经被许多其他设备广泛使用了很多年。 内部组件 最后，Flipper Zero 团队呼吁安全研究和部分社区提供支持，希望用户签署请愿书，反对禁止 Flipper Zero 和类似设备。该设备的加拿大粉丝还创建了 “拯救 Flipper “网站，以提高人们的意识，敦促公民联系他们的议会代表，要求他们反对拟议的措施。   转自Freebuf，原文链接：https://www.freebuf.com/news/395475.html 封面来源于网络，如有侵权请联系删除

近日，GitHub 推出了一项新的 AI 功能，能够有效提升编码时的漏洞修复速度。目前该功能已进入公开测试阶段，并在 GitHub 高级安全（GHAS）客户的所有私有软件源中自动启用。 该功能名为代码扫描自动修复，可利用 Copilot 与 CodeQL（注：CodeQL 是 GitHub 开发的代码分析引擎，用于自动执行安全检查）发现你的代码中可能存在漏洞或错误，并且对其进行分类和确定修复的优先级。可帮助处理 JavaScript、Typescript、Java 和 Python 中超过 90% 的警报类型。 值得一提的是，“代码扫描”需要消耗 GitHub Actions 的分钟数。 据介绍，“代码扫描”还可防止开发者引入新问题，还支持在特定日期和时间进行扫描，或在存储库中发生特定事件（例如推送）时触发扫描。 如果 AI 发现你的代码中可能存在漏洞或错误，GitHub 就会在仓库中进行告警，并在用户修复触发警报的代码之后取消告警。 要监控你的仓库或组织的“代码扫描”结果，你可以使用 web 挂钩和 code scanning API。此外，“代码扫描”也可与输出静态分析结果交换格式 (SARIF) 数据的第三方代码扫描工具互操作。 目前，对“代码扫描”使用 CodeQL 分析有三种主要方法： 使用默认设置在存储库上快速配置对“代码扫描”的 CodeQL 分析。默认设置自动选择要分析的语言、要运行的查询套件和触发扫描的事件，如果需要也可以手动选择要运行的查询套件以及要分析的语言。启用 CodeQL 后，GitHub Actions 将执行工作流运行以扫描代码。 使用高级设置将 CodeQL 工作流添加到存储库。这会生成一个可自定义的工作流文件，该文件使用 github / codeql-action 运行 CodeQL CLI。 直接在外部 CI 系统中运行 CodeQL CLI 并将结果上传到 GitHub。 GitHub 的 Pierre Tempel 和 Eric Tooley 表示：出现漏洞时，修复建议将包括对建议修复的自然语言解释，以及代码建议的预览，开发人员可以接受建议、编辑或驳回。该功能提供的代码建议和解释可以包括对当前文件、多个文件和当前项目依赖关系的修改。采用这种方法可以大大降低安全团队每天必须处理的漏洞频率。 GitHub 承诺，这一 AI 系统可以修复其发现的三分之二以上的漏洞，所以一般来说开发人员无需主动编辑代码。该公司还承诺，代码扫描自动修复将覆盖其支持的语言中超过 90% 的告警类型，目前包括 JavaScript、Typescript、Java 和 Python。该公司计划在未来几个月内增加对其他语言的支持，下一步将支持 C# 和 Go。 不过，还需要注意的是，开发人员应始终核实安全问题是否已得到解决，因为 GitHub 的 AI 功能很可能会建议仅部分解决安全漏洞的修复方法，或无法保留预期的代码功能。 Tempel和Tooley补充道：代码扫描自动修复功能使开发人员在编写代码时更容易修复漏洞，从而帮助企业减缓这种 “应用程序安全债务 “的增长。 上个月，该公司还为所有公共源默认启用了推送保护功能，以防止在推送新代码时意外暴露访问令牌和API密钥等机密。   转自Freebuf，原文链接：https://www.freebuf.com/news/395466.html 封面来源于网络，如有侵权请联系删除

如今，有越来越多的恶意行为者开始利用AI大语言模型开发能够绕过 YARA 规则的自我增强型恶意软件。 根据近日Recorded Future 发布的一份新报告：AI可以通过增强小型恶意软件变种的源代码来规避基于字符串的 YARA 规则，从而有效降低检测率。 目前，已经有威胁行为者在尝试使用AI技术来创建恶意软件代码片段、生成网络钓鱼电子邮件以及对潜在目标进行侦查。 这家网络安全公司称，它向一个大模型提交了一款与 APT28 黑客组织有关联的名为 STEELHOOK 的已知恶意软件，同时还提交了其 YARA 规则，要求它修改源代码以躲避检测，这样就能保持原有功能不变，而且生成的源代码在语法上没有错误。有了这种反馈机制，由大模型生成的经过修改的恶意软件就有可能躲过基于字符串的简单 YARA 规则的检测。 但这种方法也有局限性，比如大模型一次可处理的输入文本量，这使得它很难在较大的代码库中运行。 除了修改恶意软件以外，这种人工智能工具还可用于创建假冒高级管理人员和领导人的深度假冒程序，并大规模模仿合法网站开展影响行动。 此外，生成式AI还有望加快威胁行为者对关键基础设施进行侦察和收集信息的能力，这些信息可能在后续攻击中具有战略用途。 该公司表示：通过利用多模态模型，除了航拍图像外，ICS 和制造设备的公共图像和视频也可被解析和丰富，以找到更多的元数据，如地理位置、设备制造商、型号和软件版本。 事实上，微软和OpenAI上个月就警告称，APT28利用LLMs 获取了卫星通信协议、雷达成像技术和特定技术参数，这说明他们正在深入了解卫星能力。因此，微软和OpenAI建议各组织仔细检查可公开访问的描述敏感设备的图片和视频，并在必要时删除它们，以降低此类威胁带来的风险。 就在这项研究取得进展的同时，还有学者发现，有可能通过传递 ASCII 艺术形式的输入（例如，”如何制造炸弹”，其中 BOMB 一词是用字符 “*”和空格写成的），越狱 LLM 驱动的工具并生成有害内容。 这种实际攻击被称为 ArtPrompt，它利用 LLM 在识别 ASCII 艺术方面的低劣性能，绕过安全措施，从而诱发 LLM 的不良行为。   转自Freebuf，原文链接：https://www.freebuf.com/news/395324.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 印度多家知名品牌遭第三方营销公司数据泄露，其范围影响超百万人。 Swiggy、Redbus、Nykaa、BigBasket、TataMotors、ICICIPruLife、Axis Direct等印度知名品牌因网络安全疏忽导致大量用户个人数据被泄露。 2022年2月12日，Cybernews研究团队发现了一个可公开访问的Apache Kafka Broker，其属于印度营销分析公司Gamooga，该公司主要提供第三方营销服务。 该开放实例包含多个印度知名品牌客户的敏感数据，包括银行服务商、保险机构、电商平台、娱乐应用平台和教育机构的数据。 Redbus用户数据截图 上述数据的访问时间已超过一年，用户均可进行连接并实时接收客户的敏感数据，已有超百万用户的个人数据被泄露。Gamooga声称其历史以来业务涉及人数超过10亿，占印度总人口的三分之二。 Nykaa 用户数据泄露信息 此外，受泄密影响的公司没有在其隐私政策中明确声明第三方可以出于营销目的访问客户数据，这可能违反了印度的数据保护法。 Cybernews联系Gamooga 公司，获知该公司已获得了数据访问权限，目前尚未收到营销公司和受影响公司的正式评论。 受泄密影响的知名品牌包括： Nykaa（在线美妆零售商） Swiggy（在线食品订购服务商） BigBasket（在线零售商） TataMotors （印度跨国汽车公司） ICICIPruLife（寿险公司） CaratLane（珠宝零售商） AxisDirect（在线证券交易平台） Redbus（在线巴士票预订平台） 海量数据 Kafka 是一个分布式消息流平台，用于实时处理大量数据。Brokers 是 Kafka 架构中的服务器，用于管理数据记录的存储并将数据进行传输。 泄露数据列表： 电子邮件地址、姓名 购买记录 IP地址 电话号码 出生日期 订单交货日期 保险信息 部分付款信息 设备信息 用户位置 用户数据泄露截图 在调查过程中，研究人员收集了未受保护的Kafka Broker发送的超4000万个请求，并在两小时内收集了17GB的私人数据。 研究人员收集的请求包含超一百万个用户的敏感信息。根据上述数据，可推测该第三方公司在访问的期间，此类请求的总量可飙升至2000亿。 BigBasket 的订单信息 信用卡信息 客户面临风险 泄露的数据对于数据经纪人、执法机构、政府、情报机构及黑客来说意义重大。 保险提供商的信息 如果黑客访问这些数据，可能会对使用 Gamooga 服务的公司造成重大损害。泄露的数据将带来如身份盗窃、垃圾邮件、人肉搜索、网络钓鱼、恐吓等系列网络安全风险。 TataMotors发送的邮件截图 隐私政策中未注明 Cybernews研究团队审查了通过暴露 Kafka Broker传输用户数据公司的隐私和cookie政策。 没有一家公司透露出于营销目的与Gamooga共享用户数据。一些政策披露了第三方营销公司的使用情况，但并未说明共享的数据范围以及数据用途。 Caratlane 客户和网络请求 与欧洲的GDPR和加利福尼亚州的CCPA类似，印度也正在通过自己的数据保护法——2023年数字个人数据保护法（DPDPA）。 从银行应用程序收集的信息 根据该法案，企业在处理用户数据之前需要获得用户的同意，说明收集的数据用途，并允许用户撤销同意。 这些公司没有声明已与Gamooga共享用户数据，而这一事实可能被视为违反DPDPA。   消息来源：Cybernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，微软联合伦敦大学发布了一份有关英国企业网络攻击的报告。数据显示，英国仅有13%的企业能够抵御网络攻击，另外有48%的企业经常受到攻击，还有39%面临破坏性网络事故的高风险。 微软敦促各企业增加对人工智能技术和解决方案的投资，以应对网络威胁行为者日益将人工智能武器化的问题。 每年英国企业因网络攻击损失约 870 亿英镑 研究人员表示，虽然防御系统和流程已经到位，但还需要额外的投资和支持来建立恢复能力。只有少数企业将人工智能用作安全工具。在报告中，被视为 “高风险 “的是那些对网络安全关注有限的企业，它们大多根本没有在业务中使用人工智能。 英国组织的网络安全绩效 研究发现，英国企业每年因网络攻击损失约 870 亿英镑，而加强网络安全每年可为英国经济节省 520 亿英镑。有52% 的企业高管和68%的高级安全专业人员在接受调查时对此表示担心，他们认为当前的地缘政治紧张局势将增加其组织面临的网络风险。还有约 70% 的高级安全专业人员担心人工智能会给他们的企业带来风险，有49%的企业高管也提到了这一点。 虽然现实中的确存在这种安全隐患，但事实上只有 55% 的企业做好了应对网络威胁的准备。其中有49%的高管重视企业员工所需的网络安全技能，仅有 56% 的企业为员工提供了网络意识培训。另外有约 27% 的英国企业高管称他们不知道一次成功的网络攻击会给他们的组织带来多大的损失，有 53% 的人表示并不知道企业历经一次攻击后的恢复时间需要多久。 在网络安全中引入人工智能 报告中还提到，将人工智能纳入安全战略的企业可将攻击成功后的经济损失降低 20%。 在安全领域使用人工智能的企业发生事故的平均成本为16,600英镑，而未使用这些工具的企业则为20,700英镑。 根据研究人员的计算，在网络防御中使用人工智能的企业平均可以抵御 254 次成功攻击，然后相当于其年收入的部分就会化为乌有。而没有部署人工智能的企业则仅能抵御 106 次攻击。 然而，目前只有 21% 的企业在检测网络漏洞时部署了人工智能，只有 27% 的企业专门使用人工智能来加强网络防御。 报告强调，人工智能为英国企业提供了一个机会，使其在与网络犯罪分子的斗争中处于有利地位。 伦敦大学金史密斯学院创新总监Chris Brauer博士认为： 英国在人工智能的应用方面具有引领世界的巨大潜力，而这是一个前所未有的机会，可以为英国经济注入新的活力，并改变公共服务。但这一切必须建立在安全的基础之上。 目前，有诸多网络事件已经证实企业极易受到网络犯罪的侵害，此次的研究也揭示了这一问题的紧迫性。 微软宣布Copilot安全软件全面上市 2024年3月13日，微软宣布其Copilot for Security产品将于4月1日起在全球范围内全面上市。 该大型语言模型（LLM）旨在协助安全团队履行各种职能，包括对事件进行分类和响应、撰写调查报告以及分析组织的内部和外部攻击面。 微软安全营销副总裁Andrew Conway在3月12日的微软安全简报电话会议上透露，这家科技巨头目前正在整个微软安全产品组合中嵌入安全Copilot。 他认为，网络安全已成为人工智能最重要的应用领域。过去客户在与威胁行为者的对抗中一直处于劣势，但现在人们已经看到了企业利用生成式人工智能后所取得的优势。   转自Freebuf，原文链接：https://www.freebuf.com/news/395194.html 封面来源于网络，如有侵权请联系删除

2024 年 2 月 22 日星期四，美国各地数以百万计的 AT&T 客户醒来时发现大范围的服务中断。这次中断从凌晨开始，影响了移动电话服务，导致用户无法拨打和接听电话、短信、并访问数据。 来自用户和 DownDetector 等停止服务跟踪网站的报告表明，该问题是全国性的，影响到纽约、洛杉矶、芝加哥、达拉斯和亚特兰大等主要城市。社交媒体上充斥着沮丧客户的投诉，许多人无法与亲人联系或进行必要的商业活动。 停止服务的原因尚不清楚。AT&T 尚未对此问题发表正式评论，这让用户对根本原因和预期解决时间框架一无所知。缺乏沟通进一步加剧了受影响客户的挫败感。 网络攻击？ 影响美国 AT&T 服务大范围中断的原因仍不确定，相互矛盾的报告表明这可能是网络攻击或技术问题。不同地区的用户都报告了访问无线服务的困难，引发了人们对中断的程度和性质的担忧。 AT&T 意识 尽管一些用户在社交媒体上报告说他们的服务已经恢复，但 AT&T 在 X（以前称为 Twitter）上表示，“我们的一些客户正在经历无线服务中断。我们正在紧急努力，为所有受影响的人恢复服务。” 值得注意的是，该公司还提供了访问和关注更新的链接。 具有讽刺意味的是，该链接也已关闭，并向访问者显示错误消息。然而，根据监控互联网中断的平台Down Detector的实时中断地图显示，AT&T 在美国各地仍面临服务问题。 这次中断的潜在影响是巨大的。移动电话服务中断可能会阻碍通信，影响某些人的紧急服务，并给无数依赖移动设备进行日常活动的个人和企业带来不便。 网络服务提供商 Cloudflare今天指出，从 UTC 时间 08:48 开始，AT&T 记录了流量（移动 IPv6 和 IPv4）的重大数据丢失，影响了美国多个城市（例如达拉斯、芝加哥、洛杉矶）的 AT&T 用户。 Cloudflare 数据显示 ，“UTC 时间 09:00，芝加哥 AT&T (AS7018) 流量与前一周相比下降了 45%。达拉斯同期下降了 18%。” 加利福尼亚州、马萨诸塞州、密歇根州、明尼苏达州和南卡罗来纳州的其他 AT&T 用户表示，他们没有移动服务。 DownDetector根据其他提供商（例如 Verizon、T-Mobile、Cricket Wireless、Consumer Cellular、US Cellular、Straight Talk Wireless 和 FirstNet）的用户报告显示，其他蜂窝运营商在过去 24 小时内也遇到了问题。 Verizon 回复客户称其网络运行正常。该公司向 BleepingComputer 证实了这一点，并补充说，“今天早上，一些客户在与另一家运营商提供服务的客户打电话或发短信时遇到了问题。” Verizon 发言人表示，该公司正在密切关注事态发展。 虽然 AT&T 正在努力恢复服务，但尚未公布预计解决时间。同时，建议用户： 使用 Wi-Fi 连接：如果可用，请使用 Wi-Fi 网络拨打和接听电话。 随时了解情况：查看 AT&T 网站和社交媒体，了解有关停止服务的最新信息。 考虑替代通信方法：如果无法使用手机，请探索短信应用程序或社交媒体等选项来与他人联系。 最近的这次中断凸显了可靠的移动电话服务在当今互联世界中的关键作用。它还强调了在此类中断期间服务提供商进行清晰、及时沟通的重要性，以最大程度地减少不便并确保用户安全。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Pnag98b9DpYOeM6F0N1tHQ 封面来源于网络，如有侵权请联系删除