Hackernews 编译，转载请注明出处： Baker&Taylor是全球最大的图书经销商之一，于8月23日遭到勒索软件攻击。该事件影响了公司的电话系统、办公室和服务中心。 8月24日，该公司宣布，此次攻击导致其关键业务系统中断，其技术人员正在努力恢复受影响的服务器。 Baker&Taylor在8月29日发布的最新消息中表示：“从上周勒索软件攻击中恢复过来的这段时间里，再次感谢您的耐心和合作。我们的团队一直在夜以继日地工作，以恢复正常运营。首要任务是修复系统并确保它们被清理干净。完成这项工作后，我们会逐步上线系统，并分阶段恢复运营。预计本周将继续中断，但我们会为各个系统和应用程序提供时间表。感谢您的理解。” 目前，该公司没有透露感染其系统的勒索软件家族的名称，也没有透露黑客是否窃取了其数据。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

近日，美国加利福尼亚州（下称“加州”）总检察长罗伯·邦塔（Rob Bonta）在发布会上表示，著名化妆品品牌丝芙兰（SEPHORA）就其侵犯消费者隐私一事与加州居民达成和解协议，决定支付120万美元的罚款，并在隐私政策中披露其向第三方出售消费者个人信息的事实，为消费者提供个人信息出售的退出机制。 公开资料显示，丝芙兰是1969年创立于法国里摩日的个人护理和美容产品跨国零售商，旗下拥有近340个品牌，在全球开设超过1000家门店，途径遍布巴黎、纽约、莫斯科等超过28个国家的国际化都市。 据了解，去年6月，邦塔所在部门针对各大在线零售商开展执法检查，其后发现丝芙兰存在多项违规问题。首先，丝芙兰未能在隐私政策中向消费者披露其向第三方出售个人信息的事实，允许不具备“服务提供商”资格的第三方广告和分析提供商通过cookies和其他追踪技术追踪丝芙兰官网和应用程序上的消费者行为。 其次，丝芙兰未能向消费者提供退出个人信息出售的相关渠道，未以显著的方式提供“不要出售我的个人信息”的选项。此外，Mozilla去年推出的全球隐私控制（Global Privacy Control，GPC）功能一旦启用，浏览器将通知每个网站不要出售或共享用户个人信息——但丝芙兰对收到的这类信号视而不见，拒绝回应用户不愿出售个人信息的诉求。 诉状显示，邦塔部门在去年6月通知丝芙兰其可能违反了《加州消费者隐私法案》（CCPA）的相关条款，要求其在30天内采取补救措施。然而，丝芙兰并未采取任何行动，邦塔及所在部门以加州居民的名义将丝芙兰告上加州高级法院。 近日，邦塔在一场新闻发布会上披露了该事件的最新进展。丝芙兰同意以支付120万美元的罚款为代价与加州居民达成和解协议，并作出四项承诺： 在隐私政策中向消费者披露其向第三方出售个人信息的事实；为消费者提供包括GPC功能在内的退出个人信息出售的有效渠道；与丝芙兰合作的服务提供商需符合法律的相关要求；向司法部长提供有关其出售个人信息、其与服务提供商的关系状态以及其遵守GPC要求等情况的报告。 “你生活中一些最私密的细节正在被收集。一家公司掌握的关于你的数据越多，他们对你的影响力就越大，他们就越有可能让你购买他们的商品和服务。”邦塔表示，“我希望这份和解协议能向未遵守CCPA的企业发出一个强烈的信号——我的办公室在看着，我们会让你负责。” CCPA要求，如果在发起针对企业的诉讼前，消费者提前30天向企业提供了书面通知，表明消费者指控的企业正在或已经违反法律，消费者可提起诉讼；如企业在30天内实际纠正了被通知的违规行为，并向消费者提供书面声明且不会再发生违规行为，则不得发起诉讼。 据报道，邦塔还向众多企业发出警告，指控其未能处理消费者通过启用GPC等功能提出的退出请求。该功能在消费者访问每个网站时，浏览器都会自动发送拒绝出售个人信息的信号，不必每进入一个网站都点击选择一次。他强调，目前收到警告的企业有30天的时间来纠正涉嫌违规行为，否则将面临司法部的强制措施。 转自 安全内参，原文链接：https://www.secrss.com/articles/46381 封面来源于网络，如有侵权请联系删除

据火绒安全实验室发布的消息，火绒监测到某勒索软件突然爆发，后门模块位于用友畅捷通 T+ 软件目录里。病毒爆发时间与用友畅捷通 T+ 软件升级模块时间很近，火绒安全实验室怀疑此安全问题可能是供应链攻击。 即黑客可能使用某些方式劫持用友畅捷通 T+ 升级模块，导致用户尝试更新升级将后门模块下载到本地执行。 目前用友并未就该问题发布声明 , 因此还无法确定到底是供应链攻击还是通过其他方式劫持导致企业中毒的。 企业用户应提高警惕： 使用用友畅捷通的主要都是企业，而且存储的可能都是财务之类的重要信息，中毒后被加密可能会有大麻烦。 火绒经过研究发现黑客首先会通过漏洞或其他方式向受害者终端投放后门模块，然后通过后门模块执行代码。 之后通过后门模块在内存中加载并执行勒索病毒，当文件被加密后黑客在勒索信里要求企业支付 0.2 比特币。 该病毒被命名为FakeTplus，也就是根据用友畅捷通T+来命名的，目前火绒安全软件已经可以成功查杀病毒。 使用畅捷通的企业可以在升级前安装火绒杀毒，这样如果升级时仍然存在安全问题火绒会直接杀掉这个后门。 疑似有企业支付赎金： 蓝点网查询火绒提供的勒索信，发现里面黑客留的地址已经开始有交易记录，交易记录时间与病毒投放吻合。 该地址有4次交易记录，有1次是笔0.2 BTC 转账，这意味着已经有受害企业向黑客支付赎金以换取解密密钥。 考虑到黑客可能会给每个受害者留不同的地址因此更难以追查，也无法判断黑客到目前已经收到多少比特币。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1310351.htm 封面来源于网络，如有侵权请联系删除

Security Affairs 网站披露，研究人员发现了从泰国医学科学部泄漏的患者个人身份信息（PII），其中包含部分 COVID-19患者的数据信息。 首次发现泄露泰国患者 PII 的是网络安全公司 Resecurity，随后与泰国 CERT共享这一事件。（Resecurity 公司主要为大型企业提供网络安全保护服务） 值得一提的是，目前已经有几个暗网市场在出售泄露的数据，可通过不良犯罪分子创建的 Telegram 频道进一步购买。 根据对获得样本进行详细分析可以发现，攻击者能够在未经授权的情况下，访问政府门户网站，使其能够非法管理用户信息和相关记录。 从 Resecurity 发布的帖子来看，由于用于在线调查的 WEB-app 授权模块中存在主动 SQL 注入漏洞，使得攻击者能够窃取用户个人信息。据不完全统计，患者信息主要包括姓氏、名字、性别、年龄、联系方式、医疗史和相关当地医疗识别码等。 漏洞爆出之前，攻击者可能已经访问了至少 5151 份详细记录，潜在暴露的总数约为 15000 份。 泰国并不是唯一“受害者” 在泰国，大多数医疗服务都是以数字形式提供给其公民，这导致其成为网络黑客组织和其他攻击者收集信息的诱人目标。举一个很简单的例子，黑客在成功盗取公民个人信息后，可以使用被盗数据进一步盗取身份。 泰国并不是网络犯罪分子窃取公民个人医疗数据唯一地区，印度尼西亚和印度也发生了 COVID-19 患者记录被盗事件。 Resecurity 已经与相关部门和执法部门分享了被曝光的泄漏数据，以确保受影响的公民能够在泰国现有的隐私法和数据保护条例范围内得到保护。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343260.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）在其已知漏洞目录中添加了10个新漏洞，其中包括影响Delta Electronics工业自动化软件的高严重性安全漏洞（CVE-2021-38406 CVSS 评分：7.8）。 根据具有约束力的操作指令（BOD）22-01：降低已知被利用漏洞的重大风险，FCEB机构必须在截止日期前解决已识别的漏洞，以保护其网络免受利用目录中漏洞的攻击。 专家还建议私人组织审查目录并解决其基础设施中的漏洞。 据美国机构称，Delta Electronics DOPSoft 2在解析特定项目文件时缺乏对用户提供的数据的正确验证（输入验证不正确）。攻击者可以触发该漏洞，导致越界写入并实现代码执行。 重要的是没有安全补丁可以解决此问题，并且受影响的产品已经报废。 CISA还在Apple iOS、macOS和watchOS中添加了一个Sanbox绕过漏洞，跟踪为CVE-2021-31010 （CVSS评分：7.5）。 “在受影响的Apple iOS、macOS和watchOS版本中，沙盒进程可能能够绕过沙盒限制。”公告中写道。 添加到该目录的其他漏洞有： CVE-2022-26352  – dotCMS无限制上传文件漏洞 CVE-2022-24706  – Apache CouchDB资源不安全默认初始化漏洞 CVE-2022-24112  – Apache APISIX身份验证绕过漏洞 CVE-2022-22963  – VMware Tanzu Spring Cloud Function远程代码执行漏洞 CVE-2022-2294  – WebRTC堆缓冲区溢出漏洞 CVE-2021-39226  – Grafana身份验证绕过漏洞 CVE-2020-36193  – PEAR Archive_Tar链接解析不当漏洞 CVE-2020-28949  – PEAR Archive_Tar不受信任数据反序列化漏洞 CISA命令联邦机构在2022年9月15日之前修复这些漏洞。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

能拍照，能定位，还能打电话……近年来，儿童智能手表获得了越来越多未成年学生的青睐。暑假期间，各大品牌的儿童智能手表更是再次进入了销售高峰。然而，儿童智能手表这个快速增长的市场却频发乱象。信息泄露和免密支付带来的资金风险等问题，都是对未成年人安全的潜在威胁。 “碰一碰手表，加个好友吧！”如今，这句话成了不少儿童社交时打招呼的见面语。从前的儿童手表，只能提供定位和紧急通信联络等一些简单功能。而如今，经过多年的迭代升级，儿童智能手表样式新颖而时尚，硬件配置和功能越来越强大。儿童智能手表早已不像传统的手表，而更像是一部戴在手腕上的，集定位、通话、社交、娱乐、学习、购物、拍照搜题等多种功能于一体“智能手机”。而且由于其手表的外观，佩戴儿童智能手表，往往可以绕开“中小学生不得带手机进校园”的规定。因此，儿童智能手表备受中小学生的推崇。 儿童智能手表市场蓬勃发展背后，乱象也在滋生。记者调查发现，一些儿童手表里可以下载的应用程序（App）多达上百款，其中不乏游戏类App。下载这些各式各样的App，很容易导致孩子沉迷其中，既耽误学习，也影响视力。 其中，一些App一旦绑定手机号，就同步开通了免密支付。在家长不知情的情况下，孩子可以随意进行消费，包括购物、开通平台VIP服务，购买游戏皮肤等，极大地影响了家庭的资金安全。 公开统计数据显示，近10年来我国14岁以下儿童人口数量一直保持在2.5亿人左右，这些人都是儿童智能手表的潜在用户。而随着“三胎政策”的放开，14岁以下儿童的数量可能会进一步上升，儿童智能手表的潜在用户还在进一步增加。据相关机构统计，近年来我国儿童手表保持较快增长，在2020年，其销售量已经达到了2990万件。 信息泄露极大危害用户安全 今年央视的“3·15”晚会曝光了儿童手表的许多信息安全漏洞。儿童手表中的一些App在安装后，无需用户授权就可以获得定位、通讯录、麦克风、摄像头等多种敏感权限，从而轻易获取孩子的位置、人脸图像、录音等个人隐私信息。 根据报道，“3·15”信息安全实验室对电商平台有着“10万+”销售记录的一款儿童智能手表展开了专门的测试。测试人员将一个恶意程序的下载二维码伪装成抽奖游戏，儿童通过这款手表扫码之后，恶意程序就轻松进驻到了手表中。工程师可以实现对这款手表的远程控制，采集位置信息、监听通话记录、偷窥视频等操作易如反掌。 儿童智能手表信息泄露的根本原因在于操作系统过于老旧。报道指出，这款手表使用的竟然是没有任何权限管理要求的安卓4.4操作系统。由于该操作系统的落后性，App申请什么权限，系统就会给App什么权限，而不会给用户任何告知。在该系统下，App无需用户授权就可以获得多种敏感权限。手表厂商选择低版本的操作系统是压缩成本而忽视安全的举措，给儿童带来的风险后患无穷。 廉价儿童手表更是信息安全的“重灾区”。科技日报记者在某电商平台搜索发现，在售的电话手表价格从35元到3600元不等，既有“小天才”“华为”“360”等大品牌，也有不少小品牌，可谓鱼龙混杂。 此外，许多儿童智能手表对App缺乏监管和筛选，用户可以轻易搜到色情、暴力等不良内容。部分平台还存在诱导消费、推送广告等问题。 解决乱象应靠他律与自律 今年4月，市场监管总局发布了推荐性国家标准GB/T41411-2022《儿童手表》。该标准将于今年11月1日开始实施。作为首个儿童手表国家标准，该标准覆盖了儿童手表的定位性能、通话、电磁辐射、信息安全等关键质量安全和性能指标，并提出了相关的评估和检测方法。 7月18日，中央网信办等部门将组织开展为期2个月的专项行动，聚焦未成年人使用频率高的短视频直播、社交、学习类App、网络游戏、电商、儿童智能设备等平台，集中解决涉未成年人问题乱象。该项活动强化对专门供未成年人使用的智能手表、智能音箱、平板电脑、早教故事机等智能设备信息内容管理，深入排查语音、视频、文字、图片、游戏等场景，以全面清理违法不良信息。 产业经济分析师、钉科技创始人丁少将在接受媒体采访时表示：“儿童智能硬件，安全性一定是基础，包括硬件本身的安全和内容的安全。一方面，厂商需要在功能开发和商业变现上进行克制和自律，确保安全底线不被突破；另一方面，国家有关方面在安全性方面可以设置细化的准入标准，特别是内容审查上要更加严苛，从而规范儿童智能硬件市场的发展。” 儿童手表制造、销售等相关行业呼吁，应对专项行动过程中行之有效、操作性强的具体措施和经验加以总结、完善，构建规范化、制度化、长效化的制度机制。比如在严格落实《未成年人保护法》等法律法规的基础上，针对儿童智能硬件的安全性设立行业准入标准，进一步明确儿童手表厂商和软件开发商的法律责任以及相关部门的监管责任，将儿童手表的生产、销售、使用等所有环节纳入常态化监管，还孩子们一个清朗的成长环境。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1310111.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 泄露的文件显示，监控公司Intellexa以800万美元的价格为iOS和Android设备提供漏洞攻击。 Intellexa是一家由以色列企业家Tal Dilian创立的监控公司，为执法和情报机构提供监控和黑客解决方案。 Vx-underground研究人员分享了一些机密文件的图像，这些文件似乎是Intellect提供的商业服务。 泄露的文件详细说明了以800万美元的价格购买了一个iOS远程代码执行零日漏洞。 泄露的文档表明，该公司提供从Android和iOS设备远程提取数据的服务。该服务包括基于浏览器的远程一键攻击，允许黑客破坏Android和iOS移动设备，攻击者可以通过诱骗客户点击链接来利用这些漏洞。 该公司为iOS和Android设备提供10种并发感染，以及“100种成功感染的杂志”。 重要的是，这些漏洞可能针对Android 12升级和iOS 15.4.1，因为苹果在3月份发布了iOS 15.4.1，这意味着这是最近发生的事情，因此，目前还无法确定苹果公司是否已经解决了这些漏洞。 该监控公司的一份文件提供了Android设备列表，这些设备可能会成为一键式攻击的目标。 Vx-undergroud分享的文件表明，监控行业持续增长，利润可能巨大。 今年6月，谷歌威胁分析小组的研究人员透露，意大利监控公司RCS Labs 在意大利和哈萨克斯坦的一些互联网服务提供商的帮助下，用间谍软件感染Android和iOS用户。 过去几个月，许多其他监控公司登上了头条，包括NSO 集团、Candiru和DSIRF。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

据Bleeping Computer网站8月28日消息，LockBit 勒索软件团伙宣布，他们正着手改进对分布式拒绝服务 (DDoS) 攻击的防御，以应对来自安全机构的攻击，并借此来大力提高自身勒索实力。 近期，该团伙曾遭到数字安全巨头 Entrust组织的DDoS攻击，这是由于在6月18日，Entrust 的数据在一次攻击中被 LockBit 窃取。Entrust拒绝支付赎金，该团伙宣布在 8 月 19 日公布所有被盗数据，但Entrust发动的DDoS攻击成功阻止了这次公开行为。 上周，LockBit的对外账号LockBitSupp发布消息称，该组织已重新开展业务，拥有更大的基础设施，可以进行不受 DDoS 攻击影响的数据泄露，并表示正在招募 dudosers（DDoSers），试图将 DDoS 作为一种勒索策略。经历了来自Entrust的攻击，该团伙似乎认为三重勒索、加密 + 数据泄漏 +DDoS的攻击组合方式不仅威力更大，也更加有趣。 可能是出于对攻击的报复，LockBit承诺会泄露从Entrust 窃取的超过 300GB数据，并宣称“要让全世界都知道你的秘密”。 LockBit表示，他们将与任何与他们联系的人私下分享 Entrust 数据，目前看来LockBit似乎信守了承诺，在上周末发布了一个名为“entrust.com”的种子文件，其中包含 343GB大小的文件。 Lockbit 泄露的 Entrust 数据 LockBit希望Entrust 的数据可以从多个渠道公开，除了在他其自有网站上发布之外，他们还通过至少两个文件存储服务共享了 Torrent。 为了防止进一步的 DDoS 攻击，LockBit已在受害者的赎金记录中使用唯一链接，此外还增加镜像和复制的服务器数量，并计划通过防弹存储服务（bulletproof storage service）及 Clearnet 访问被盗数据，从而提高被盗数据的可用性。 自 2019 年 9 月以来，LockBit 勒索软件已经活跃了近三年，近期除了针对Entrust进行攻击，还攻陷了意大利税务局，并窃取了78GB的个人数据信息。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343132.html 封面来源于网络，如有侵权请联系删除

安全研究人员发现，超过130个组织，包括Twilio、DoorDash和Signal，都有可能被黑客入侵，这是被安全研究人员称为 “0ktapus”的长达数月的网络钓鱼活动一部分。 根据网络安全机构Group-IB的一份报告，属于近10000人的登录凭证被攻击者盗取，他们模仿了流行的单点登录服务Okta。目标被发送短信，将他们转到一个钓鱼网站。正如Group-IB的报告所说，从受害者的角度来看，这个钓鱼网站看起来很有说服力，因为它与他们习惯看到的认证页面非常相似。受害者被要求提供他们的用户名、密码和一个双因素认证代码。这些信息随后被发送给攻击者。 尽管该活动很成功，但Group-IB的分析表明，攻击者有点缺乏经验。有趣的是，Group-IB的分析表明，攻击者在某种程度上是没有经验的，对网络钓鱼工具包的分析显示，它的配置很差，它的开发方式提供了提取被盗凭证进行进一步分析的能力。 但无论是否缺乏经验，这次攻击的规模是巨大的，Group-IB检测到该活动所针对的169个独特域名。据了解，0ktapus活动始于2022年3月左右，到目前为止，大约有9931个登录凭证被盗。攻击者把他们的网撒得很开，目标是多个行业，包括金融、游戏和电信业。Group-IB引用的目标域名（但未确认被盗）包括微软、Twitter、AT&T、Verizon Wireless、Coinbase、Best Buy、T-Mobile、Riot Games和Epic Games。 现金似乎至少是攻击的动机之一，在被攻击的名单中看到金融公司，让我们认为攻击者也在试图偷钱。此外，一些目标公司提供访问加密资产和市场的机会，而其他公司则开发投资工具。Group-IB警告说，我们很可能在一段时间内不会知道这次攻击的全部规模。为了防范类似的攻击，Group-IB提供了通常的建议：一定要检查你要输入登录信息的任何网站的URL；对从未知来源收到的URL持怀疑态度；为了增加保护，你可以使用 “不可伪造的 “双因素安全密钥，如YubiKey。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1309189.htm 封面来源于网络，如有侵权请联系删除

根据美国联邦通信委员会FCC周四公布的电信公司信息，15大移动运营商中有10家收集地理位置数据，并且没有提供消费者选择退出的方式。 美国联邦通信委员会7月提出的关于数据收集和保留的问题，该机构要求电信公司提供关于地理定位做法的信息，因为人们担心执法部门利用电话数据来逮捕那些现在非法或不久将非法的堕胎者。 AT&T, Best Buy Health, Charter, Comcast, Consumer Cellular, C-Spire, DISH Network, Google FI, H2O Wireless, Lycramobile, Mint Mobile, Red Pocket, T-Mobile, U.S. Cellular和Verizon对FCC的询问做出了回应。FCC主席杰西卡-罗森沃塞尔表示，这些信息和地理定位数据真的很敏感。它记录了我们去过的地方和我们是谁。这就是为什么FCC正在采取措施，确保这些数据得到保护。 在答复中，各家电信公司普遍提到需要遵守执法要求以及联邦通信委员会的规定，作为它们不能允许消费者选择不收集和保留的理由。这些答复也提供了一个了解数据保留做法的窗口，这些公司在答复当中表示，手机塔数据的保留时间从两个月到五年不等。其中只有七家公司明确提到用加密来保护这些数据。 地理定位数据为用户的生活提供了一个详细的窗口，包括从他们的购物地点到他们寻找的医疗机构等一切。然而，该机构并不依赖运营商的答复。杰西卡-罗森沃塞尔责成该机构的执法局进行后续调查，确保运营商遵守FCC的规定，要求他们披露如何使用和分享地理位置数据。 美国运营商之前曾误导消费者如何使用他们的地理位置数据。2020年，美国联邦通信委员会建议对几家主要运营商处以2亿多美元的罚款，因为他们向保释金公司和其他第三方出售客户位置数据。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1309475.htm 封面来源于网络，如有侵权请联系删除