安全公司 Mitiga 最新发现显示，亚马逊关系型数据库服务（Amazon RDS）上数百个数据库正在暴露用户个人身份信息（PII）。 安全研究员 Ariel Szarf、Doron Karmi 和 Lionel Saposnik 在与 The Hacker News 分享的报告中表示，泄露的数据库中包含用户姓名、电子邮件地址、电话号码、出生日期、婚姻状况、汽车租赁信息，甚至是公司登录信息，如此详细的用户数据，为潜在攻击者提供了丰富的“素材”。 亚马逊 RDS 是一项 Web 服务，可以在亚马逊网络服务（AWS）云中建立关系型数据库。不仅如此，RDS 还支持不同的数据库引擎，例如 MariaDB、MySQL、Oracle、PostgreSQL 和SQL Server 等。 亚马逊 RDS 数据泄露事件详情 此次亚马逊 RDS 用户个人数据泄漏事件源于一个称为公共 RDS 快照的功能，该功能允许创建一个在云中运行数据库的环境备份，并且可以被所有 AWS 账户访问。 亚马逊方面表示，当用户准备把快照分享为公共快照时，请确保公共快照中不包括自身私人信息，一旦快照被公开共享时，会给予所有 AWS 账户复制快照和从中创建 DB 实例的权限。 2022 年 9 月 21 日至 10 月 20 日期间，安全研究人员进行了细致实验，最后发现实验的 810 张快照在不同时间段（从几小时到几周）内被公开分享，照片很容易被恶意行攻击滥用。 在这 810 张快照中，有超过 250 个备份暴露了 30 天，侧面反映它们很可能已经被遗忘了。 根据所暴露信息的特殊性质，潜在攻击者可以窃取数据以期获取经济利益，或利用数据信息来更好地掌握用户所属公司的 IT 环境。 因此，亚马逊强烈建议用户不要开启 RDS 快照公开访问权限，以防止敏感数据的潜在泄漏、滥用或任何其他类型的安全威胁。当然，最好在适当的时候对快照进行加密。 转自 Freebuf，原文链接：https://www.freebuf.com/articles/350099.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer 11月16日消息，Twitter 正准备为其平台上用户之间的私信 (DM) 添加端到端加密 (E2EE)，预计这一功能将很快到来。 这是一项广受欢迎且需求量很大的功能，它将有助于进一步保护通信双方的私密性，免受任何第三方甚至是法律请求的影响。 早在2018年，Twitter就曾尝试推出 E2EE 系统的原型，并将其命名为“秘密对话”（Secret Conversation），但随后就没有了下文。而最近，移动研究员 Jane Manchun Wong发推称，她发现Twitter的安卓版源代码中出现了关于E2EE 的内容。在一个字符串中，出现了“这个号码是根据你这次对话的加密密钥生成，如果它与接收者手机中的号码相匹配，就能保证端到端加密”的描述。 而Twitter CEO马斯克对此回复了一个“眨眼”的表情，暗示该功能确实正在开发中。 马斯克对发现E2EE代码的推文回复了一个“眨眼”的表情 为什么 Twitter 需要 E2EE 端到端加密确保信息以加密形式发送，收件人需要解密才能得到其中的内容。为此，双方必须使用加密密钥对信息进行加密或解密。在大多数 E2EE 实践中，发件人使用收件人的数字签名公钥来加密信息，而收件人使用私钥来解密。 在 Twitter 的案例中，Wong 提到了“对话密钥”（conversation key），因此实施的 E2EE 方法可能是“对称的”，这意味着聊天中的两个人都使用相同的密钥进行加密和解密。发件人的消息在传输过程中被转换成不可读的密文，因此任何中间人，如互联网服务提供商、黑客，甚至Twitter本身，都无法读取消息内容。 如果 Twitter 在 DM 上引入 E2EE，即使平台被黑客攻破，用户间的这种加密通信也不容易被破解。2020 年 7 月，黑客曾入侵员工帐户并访问管理面板读取了 36 位知名用户的 DM 收件箱，并下载其中 7 位用户的内容。如果 Twitter 当时有 E2EE，那么所有黑客获得的消息都将是不可读的密文，从而减轻对受感染用户的影响。 转自 Freebuf，原文链接：https://www.freebuf.com/news/350033.html 封面来源于网络，如有侵权请联系删除

谷歌宣布将从明 年初开始向运行 Android 13 的移动设备推出 Beta 版 Android隐私沙盒。Privacy Sandbox 旨在创建技术来保护人们的在线隐私，限制秘密跟踪。 隐私沙盒的目标是： 建立新技术来保障用户信息的私密性； 使发布者和开发者能够在不依赖侵入性跟踪的情况下保持在线内容免费； 与业界合作建立新的互联网隐私标准； 公司最初将在一小部分设备上安装启动沙箱，并随着时间的推移而增加。 从明年初开始，我们计划向 Android 13 移动设备推出最初的隐私沙盒测试版，以便开发人员通过测试结果采取下一步方案。 同时，谷歌将邀请部分应用开发者访问系统API，同时帮助谷歌进行下一阶段测试。 安卓隐私沙箱取代了跨APP id，并用属性报告（Attribution Reporting）、主题（Topics）、FLEDGE等API系统来实现相关信息的记录。 Topics API的原理是一个分类器模型，可以从app使用中了解用户的兴趣，并告知广告商。 用户兴趣会每周通过设备信息来进行计算，并从上千个topic中选择最相关的5个。 FLEDGE 是另一个隐私沙箱子系统，由广告选择（Ad Selection）和受众（Custom Audience）API组成。广告选择为广告商提供哪些广告在哪些设备上可以取得更好的效果，受众API为发布者提供根据兴趣确定目标受众的选项。 这些API合起来取得了目前安卓系统中使用的广告ID（advertising ID），缓解了advertising ID被用于追踪用户的问题。 SDK Runtime 可以隔离第三方广告代码，因此APP将不再包含在其代码中。也无法访问用户兴趣和其他营销相关的数据。 总体来说，隐私沙盒在一定程度上实现了隐私保护的改进。 转自 Freebuf，原文链接：https://www.freebuf.com/articles/350028.html 封面来源于网络，如有侵权请联系删除

韩联社16日报道称，韩国国防部当天宣布，东盟防长扩大会议网络安全专家工作组第9次会议于16日至17日以视频方式举行。韩国和马来西亚作为共同主席国主持会议，中国、美国、俄罗斯、日本、印度、澳大利亚、新西兰和东盟的十个成员国参与其中。会议内容包括网络安全跨国演习，这将是中美俄首次共同参与此类演习。 报道称，16日，与会国讨论网络安全演习课题，以增强各方在网络安全领域制定和落实国防政策的能力。17日，与会国将共同实施应对网络安全威胁的模拟演习。在演习中，两国组成一队，共同解决勒索软件攻击等网络安全问题。韩国国防部期望“此次演练有助于缩小各国之间网络响应能力的差距”。各方还将于明年下半年在韩国以面对面的方式实施演习。 今年5月，韩国正式加入北约网络防御中心，成为首个加入该组织的亚洲国家。韩国媒体宣称，此次牵手北约是韩国在网络空间领域软、硬实力的体现，也是“韩国与北约关系持续深化拓展的折射”。 此后，韩国分别与荷兰、澳大利亚和德国进行了网络安全对话会议，围绕评估对手网络攻击能力、制定政策法规、规划战略等内容展开经验交流。在不久前结束的北约峰会上，网络安全领域合作成为韩国与比利时、英国等国双边会晤的重要议题。 此次韩军计划接连参加两场北约组织的网络战演习，目的是进一步加强其与北约国家在新型作战领域的军事合作。按计划，在美国主办的“网络旗帜”多国联合军演中，韩军将派遣20名网络战人员，模拟构建韩国网络作战司令部指挥中心，重点演练联合友军帮助“基础设施受到网络攻击的盟友”进行防御、溯源和反击。韩国国防部介绍称，演习结束后，韩军网络作战司令部将分批次派遣不同层级的军官赴美交流。 在北约网络防御中心主办的演习中，韩国将以正式成员身份参加竞技比武。韩军将派出网络领域专家团，围绕演习进程和效果，研究讨论网络空间“作战规则”。 转自 凤凰网，原文链接：https://mp.weixin.qq.com/s/0yv7mBOY-zyeccdg64hAnA 封面来源于网络，如有侵权请联系删除

一份新的全球威胁报告为微软描绘了一幅糟糕的画面，因为Windows继续拥有最多的恶意软件感染，而macOS的恶意软件最少。Elastic Security Labs周二发布了一份网络安全报告，研究了流行的操作系统和它们收到的威胁，该公司还包括对企业客户的预测和建议。 像往常一样，macOS在名单上表现最佳，甚至击败了Linux，这意味着它看到的安全威胁最少。数字显示，54%的恶意软件感染是在Windows上发现的，39.4%是在Linux上发现的，而macOS只有6.2%的感染率。 木马是造成大多数感染的原因，占80.5%。特洛伊木马是一种软件，假装是良性的，但里面隐藏着恶意软件，一旦用户运行该程序就会激活。 研究人员发现，MacKeeper是Mac用户作为恶意软件攻击载体的最大威胁。MacKeeper有一段不好的历史，涉及的弹窗广告，而且一些版本让Mac容易受到恶意软件的攻击。 MacKeeper程序经常被视为恶意软件，或被用来传播恶意软件 报告提到，攻击者可以滥用MacKeeper，因为它有广泛的权限和对macOS进程和文件的访问。 它还警告说，在苹果平台的恶意软件中，macOS加密软件可能变得更加普遍。密码挖掘恶意软件或”密码劫持”是一种恶意程序，它利用计算机在未经用户同意的情况下秘密”挖掘”一种加密货币。挖矿会占用计算机的大部分或全部资源，如GPU或CPU性能，使系统变慢。 除了这些具体的威胁，报告中并没有过多提及macOS。这表明，当谈到到恶意软件感染时，Mac用户并没有感到太多的担心。 苹果公司软件工程主管克雷格-费德里吉（Craig Federighi）在2021年表示，该平台的恶意软件水平令人无法接受，至少比iOS更糟糕。但macOS对用户有内置的保护措施，包括杀毒软件，对已知开发者的应用进行验证，以及文件系统加密的能力。 转自 cnBeta，原文链接：https://www.toutiao.com/article/7166262350633239077/?log_from=f914f982fe00d_1668653007456 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 网络安全研究人员发现了名为RapperBot恶意软件的新样本，这些恶意软件正被用来构建一个僵尸网络，能够对游戏服务器发起分布式拒绝服务（DDoS）攻击。 Fortinet FortiGuard实验室的研究人员Joie Salvio和Roy Tay在周二的一份报告中表示：“事实上，这个活动不像是RapperBot，而更像是一场在2月份出现，然后在4月中旬神秘消失的运动。” 网络安全公司在2022年8月首次记录了RapperBot，据悉它专门对配置为接受密码认证的SSH服务器进行强制操作。 这种新生的恶意软件受到Mirai僵尸网络的极大启发，其源代码于2016年10月泄露，导致了多个变种的出现。 RapperBot的更新版本值得注意的是，除了支持使用通用路由封装（GRE）隧道协议的DoS攻击，以及针对运行《侠盗猎车手：圣安德烈亚斯》的游戏服务器的UDP flood攻击外，它还能够执行Telnet暴力攻击。 研究人员说：“Telnet暴力强制代码主要是为自我传播而设计的，类似于旧的Mirai Satori僵尸网络。” 该硬编码明文凭证列表是与物联网设备相关的默认凭证，被嵌入到二进制文件中，而不是从命令和控制（C2）服务器检索，这是在2022年7月之后检测到的工件中观察到的行为。 成功侵入之后，将使用的凭据报告回C2服务器，并在被黑客入侵的设备上安装RapperBot有效负载。 Fortinet表示，该恶意软件只针对运行在ARM、MIPS、PowerPC、SH4和SPARC架构上的设备，如果这些设备运行在Intel芯片组上，则停止其自我传播机制。 更重要的是，早在2021年5月，就发现2022年10月的活动与涉及恶意软件的其他操作存在重叠，Telnet扩展器模块于2021年8月首次出现，但在随后的示例中被删除，并于上月重新引入。 研究人员总结道：“基于这个新活动与之前报道的RapperBot活动之间不可否认的相似性，它们很可能是由单个黑客或由不同的黑客操作的，可以访问私人共享的基本源代码。”   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

朝鲜黑客正在使用新版本的 DTrack 后门来攻击欧洲和拉丁美洲的组织。DTrack 是一个模块化后门，具有键盘记录器、屏幕截图捕捉器、浏览器历史记录检索器、运行进程窥探器、IP 地址和网络连接信息捕捉器等。 除了间谍之外，它还可以运行命令来执行文件操作、获取额外的有效负载、窃取文件和数据，以及在受感染的设备上执行进程。与过去分析的样本相比，新的恶意软件版本没有太多功能或代码更改，但现在部署范围更广。 分布更广 正如卡巴斯基在今天发布的一份报告中所解释的那样，他们的遥测显示了德国、巴西、印度、意大利、墨西哥、瑞士、沙特阿拉伯、土耳其和美国的 DTrack 活动。 目标行业包括政府研究中心、政策机构、化学品制造商、IT 服务提供商、电信提供商、公用事业服务提供商和教育。在新的攻击活动中，卡巴斯基发现 DTrack 使用通常与合法可执行文件关联的文件名进行分发。 例如， 他们共享的一个样本 以“NvContainer.exe”文件名分发，该文件名与合法的 NVIDIA 文件同名。 卡巴斯基指出，DTrack 继续通过使用窃取的凭据破坏网络或利用暴露在 Internet 上的服务器来安装，如 之前的活动所示。启动后，恶意软件会经过多个解密步骤，然后通过挖空进程将其最终有效负载加载到直接从内存运行的“explorer.exe”进程中。 与过去的 DTrack 变体的唯一区别是它现在使用 API 散列来加载库和函数而不是混淆字符串，并且 C2 服务器的数量已减少一半，仅为三个。 卡巴斯基发现的一些 C2 服务器是： “pinkgoat[.]com”、 “purewatertokyo[.]com” “purplebear[.]com” “salmonrabbit[.]com” DTrack归因 卡巴斯基将此活动归因于朝鲜 Lazarus 黑客组织，并声称威胁行为者只要看到潜在的经济利益就会使用 DTrack。 2022 年 8 月，同一研究人员将该后门与被追踪为“ Andariel ”的朝鲜黑客组织联系起来，该组织在美国和韩国的企业网络中部署了 Maui 勒索软件。 2020 年 2 月，Dragos 将 DTrack 与攻击核能和油气设施的朝鲜威胁组织“ Wassonite ”联系起来。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/KkMllkVWQMf79rys8iZllQ 封面来源于网络，如有侵权请联系删除

11月15日，据Info Risk Today报道，安全研究人员警告称，推特的多因素身份验证存在一个漏洞，可能导致账户接管。 该漏洞出现之际正值埃隆•马斯克（Elon Musk）执掌推特第三周，公司的主要安全合规人员离职，大量员工和承包商被解雇。 一位匿名研究人员向媒体透露，向推特验证服务发送“STOP”会导致关闭短信双因素认证，它会自动回复“您的设备已被移除，所有账户的短信双因素验证已被禁用。” 经ISMG验证，该漏洞允许黑客欺骗注册的电话号码以禁用双因素认证。这可能会使账户遭受密码重置攻击或通过密码填充接管账户。推特允许用户通过除短信以外的其他方式建立多因素认证，包括认证应用程序和安全密钥。推特并未回应该漏洞。据报道，其沟通团队已解体。 账户安全一直是推特的痛处。2017年，十几岁的黑客接管了数十个知名账户，包括马斯克、巴拉克·奥巴马、金·卡戴珊·韦斯特和杰夫·贝佐斯的账户，并在其账户中发布加密货币欺诈等信息。 纽约金融服务部（New York Department of Financial Services）认定，推特的内部安全协议薄弱，而且缺乏负责网络安全的高管。 在马斯克担任首席执行官期间，出现了另一个与账户控制有关的问题——大量假冒跨国品牌的假账户。 据路透社13日报道，推特早前推出的每月8美元蓝V用户付费认证订阅服务，导致假账号激增，已于11日被叫停。据报道，此前，推特上拥有蓝V认证的用户中有大多是通过身份认证的名人、记者、政治家等公众人物。但自从马斯克接手推特以来，启动大规模改革，于5日正式推出全新订阅服务，每月收费8美元，以向用户提供蓝V认证标记。报道称，该公司的安全团队曾事先警告马斯克，8美元并不能阻止假帐号。 转自 Freebuf，原文链接：https://www.freebuf.com/articles/network/349902.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 网络安全研究人员已经披露了Zendesk Explore中现已修补的漏洞的详细信息，攻击者可能利用这些漏洞从启用了该功能的客户帐户中获取未经授权的信息访问权限。 Varonis在与The Hacker News共享的一份报告中表示：“在修补之前，该漏洞将允许黑客在启用Explore的情况下访问Zendesk帐户中的对话、电子邮件地址、票证、评论和其他信息。” 这家网络安全公司表示，没有证据表明这些问题在现实世界的攻击中被积极利用。客户无需采取任何行动。 Zendesk Explore是一种报告和分析解决方案，允许组织“查看和分析有关客户和支持资源的关键信息”。 根据该安全软件公司的说法，利用该漏洞首先需要攻击者以新的外部用户身份注册受害者Zendesk帐户的票务服务，该功能可能默认启用，以允许最终用户提交支持票证。 该漏洞与GraphQL API中的SQL注入有关，该注入可能被滥用，以管理员身份泄露数据库中存储的所有信息，包括电子邮件地址、票证以及与实时代理的对话。 第二个漏洞涉及与查询执行API相关的逻辑访问问题，该API被配置为在不检查进行调用的“用户”是否有足够权限的情况下运行查询。 这意味着新创建的最终用户可以调用此API，更改查询，并从目标Zendesk帐户的RDS中的任何表中窃取数据，而无需SQLi。 Varonis表示，这些问题已于8月30日向Zendesk披露，随后该公司于2022年9月8日纠正了这些漏洞。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

如果你正在寻找一种可以很快赚到很多钱的方法，你可以尝试寻找操作系统和关键应用软件中的安全漏洞，并申请漏洞赏金。一位研究人员在发现了一种无需密码就能解锁Android手机的方法后，从Google那里获得了7万美元的报酬，而且他是无意中做到的。 匈牙利的研究人员David Schütz报告了这个高危漏洞，被追踪为CVE-2022-20465，它被描述为由于代码中的逻辑错误导致的锁屏绕过，可能导致本地权限升级，不需要额外的执行权限。 触发该漏洞需要攻击者拥有一台Android设备，但它的危害程度相当大，可以一次规避包含由PIN、形状、密码、指纹或脸部保护的屏幕锁在内的所有保护方法。Schütz在旅行24小时后发现了这个缺陷，他的Pixel 6在发送一系列短信时出现死机。连接充电器并重启设备后，Pixel要求输入SIM卡的PIN码，这与锁屏密码是分开的；它的目的是阻止别人从物理上盗取SIM卡并使用它。舒兹记不起他的密码，在他输入三次错误的数字后，导致SIM卡被锁定。 重置锁定的SIM卡的唯一方法是使用个人解锁密码，即PUK。这些代码通常印在SIM卡的包装上，或者可以通过致电运营商的客户支持来获得。Schütz使用了前者，使他能够重置PIN。但是，Pixel没有要求提供锁屏密码，而只是要求进行指纹扫描，出于安全考虑，Android设备在重启后要求提供密码/PIN。 舒茨对这种异常情况进行了实验。最终，他发现可以再不重启设备的情况下重现这些动作，从而绕过整个锁屏，甚至不需要指纹就可以进入主界面。 Schütz说，这个过程在他的Pixel 6和Pixel 5上均有作用。Google在11月5日的最新Android系统更新中修复了这一问题，但不怀好意的攻击者至少可以在接下来的数月内继续利用它。所有运行Android 10到Android 13的设备如果没有更新到2022年11月的补丁都会受到影响。 Google可以向报告锁屏绕过漏洞的人支付最高10万美元，Schütz获得了相对较少的7万美元，这是因为有人已经报告了他发现的那个漏洞，但Google无法重现它。 转自 cnBeta，原文链接：https://www.toutiao.com/article/7166223697941660191/?log_from=1f8eee6993cb3_1668563046935 封面来源于网络，如有侵权请联系删除