近期，萨尔瓦多公民超500万用户数据遭泄露，其中涉及多项用户个人隐私信息，包含人脸照片、身份证件信息等。 据知道创宇暗网雷达监测，近期，萨尔瓦多公民超500万用户数据遭泄露。 其中，泄露的内容主要包含两个方面：其一，包含5,129,518张高清无水印照片、公民DUI身份证号码，总计144GB；其二，包含了所有公民的信息，主要有身份证明文件(DUI)、姓名、出生日期、电话、邮箱，通信地址等。 黑客发布的暗网信息截图 知道创宇网雷达信息截图   目前，该数据仍在出售，价格未知。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达

有消息称：OpenAI、优步和亚马逊所使用的AI计算框架Ray发现了一个已被报告的漏洞，该漏洞遭到持续攻击，导致数千台存储AI工作负载和网络凭证的服务器被黑。据了解，这些攻击已经持续了7个月。 攻击者不仅篡改了AI模型，还泄露了访问内部网络和数据库的网络凭证，并获取了OpenAI、Hugging Face、Stripe和Azure等平台帐号的访问令牌。除了破坏模型和窃取凭证，攻击者还在能够提供大量算力的被侵入基础设施上安装了加密货币挖矿软件，并设置了反向shell，通过这种基于文本的界面实现对服务器的远程控制。 中了大奖 发现这些攻击的安全公司Oligo的研究人员在一篇文章中指出：“一旦攻击者掌控Ray生产集群，等于中了大奖。有价值的公司数据加上远程代码执行，攻击者很容易就能获得现金收益，而且可以完全隐匿在暗处，做到神不知鬼不觉（使用静态安全工具不可能检测到这种攻击）。” 被窃取的敏感信息包括AI生产工作负载。利用这些信息，攻击者可以在训练阶段控制或篡改模型，从而破坏模型的完整性。易受攻击的集群中，中央仪表板通常暴露在互联网上，这使得任何有意的人都可以查看迄今为止输入的所有命令。利用这些历史数据，入侵者可以快速了解模型的工作方式，并推测可以访问哪些敏感数据。 Oligo获取的屏幕截图显示，敏感私人数据和集群已经遭到了大规模的黑客攻击。被窃取的资源包括内部数据库以及OpenAI、Stripe和Slack帐号的加密密码哈希值和访问凭证。 OpenAI、Stripe、Slack的token和数据库令牌凭据 Ray是一个用于扩展AI应用程序的开源框架，允许大量应用程序同时高效地运行。通常，这些应用程序在大规模服务器集群上运行。框架正常运行主要依赖于提供接口显示和控制运行任务和应用程序的中央仪表板。这个仪表板提供了名为“任务API”（Jobs API）编程接口，允许用户通过简单的HTTP请求向集群发送一系列命令，无需身份验证。 去年，安全公司Bishop Fox的研究人员将这种行为标记为高严重性的代码执行漏洞，其跟踪编号为CVE-2023-48022。 默认配置不安全需专门加固 Bishop Fox的高级安全顾问Berenice Flores Garcia写道：“在默认配置中，Ray不强制进行身份验证。因此，攻击者可以自由提交任务、删除现有任务、检索敏感信息，并利用本次官方警告中描述的其他漏洞。” 对此，Ray的开发者和维护者Anyscale回应称该漏洞不存在。Anyscale官方表示，他们一直将Ray视为一个远程执行代码的框架，因此始终建议将Ray合理地隔离在有适当安全措施的网络内部。 Anyscale官方写道：“由于Ray本质上是一个分布式执行框架，其安全边界位于Ray集群之外。因此，我们强调您必须防止不受信任的机器（如公共互联网）访问您的Ray集群。” 对于被报告的“任务API”的内部行为，Anyscale表示并非漏洞，并且不会在短期内得到解决。不过，Anyscale承诺最终会进行变更，强制在API中进行身份验证。Anyscale解释道： 我们非常认真地考虑过这样做是否合理。到目前为止，我们还没有实施这一变更，因为我们担心用户可能会过分信任这种机制——它可能只能实现表面上的安全，并没有像他们想象的那样真正保护集群。 尽管如此，我们认识到，这是个见仁见智的问题。我们仍然认为组织不应该依赖Ray内部的隔离控制手段，如身份验证。但这些手段在进一步实施深度防御策略的某些情境中可能是有价值的。因此，我们决定将在未来的版本中将其作为一个新功能实施。 Anyscale的回应招致了一些批评。比如，用于简化在云环境中部署Ray的存储库将仪表板绑定到0.0.0.0，这是一个用于指定所有网络接口并在同一地址上指定端口转发的地址。这样易受攻击的入门级做法在Anyscale的网站上也可以找到。 批评者还指出，由于Anyscale声称被报告行为不是漏洞，导致很多安全工具未能标记攻击。 Anyscale的代表在一封电子邮件中表示，该公司计划发布一个脚本，允许用户轻松验证他们的Ray实例是否暴露在互联网上。 这些持续的攻击突显了正确配置Ray的重要性。Oligo和Anyscale在官方文档中列出了锁定集群的关键做法。Oligo还列举了Ray用户可以使用哪些指标来确定他们的实例是否已被入侵。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/3diGwpqQjJje7r13vNajWA 封面来源于网络，如有侵权请联系删除

网络安全研究人员表示，最近针对 Python 开发人员的恶意软件活动是针对软件供应链的攻击者狡猾和足智多谋的最新例子。 网络安全公司 Checkmarx 的分析师周一报道称，这次“Far-reaching”的行动的受害者包括公开撰写事件报告的个人开发者，以及 Top.gg 的成员。Top.gg 是一个为 Discord 消息系统创建机器人的社区。 Checkmarx 表示，该恶意软件的目标是窃取信息，包括浏览器数据、加密货币钱包文件、消息应用程序的访问权限等。研究人员指出，Top.gg 拥有约 17 万名会员。 攻击者实质上操纵了在线基础设施，以便使用 Python（一种通用且流行的编程语言）的开发人员在收集现有代码片段以集成到项目中时会不知不觉地下载恶意软件。 研究人员表示，受感染的开源工具包括 GitHub 上的 Top.gg 社区存储库。攻击者还将恶意包（有用代码的示例）上传到 PyPI（Python 开发人员使用的注册表）。 “受害者之一是 GitHub 帐户editor-syntax，他也是 [ Top.gg的 GitHub] 的维护者，并且拥有 Top.gg 的 git 存储库的写入权限，”Checkmarx 说。在这种情况下，攻击者似乎可以访问用户的会话 cookie，这种方法“特别令人担忧，因为它不需要攻击者知道帐户的密码”。 研究人员表示，此次操作的一部分是 Colorama 的中毒版本，“这是一款非常流行的工具，每月下载量超过 1.5 亿次”，它允许开发人员调整文本的颜色。 Checkmarx 表示，一旦一个人的计算机遭到破坏，“多阶段、规避性的恶意负载就会从受感染的系统中获取密码、凭证和更多有价值的数据转储，并将它们渗透到攻击者的基础设施中”。 信息窃取恶意软件经常出现在存储库和库中。最近，Phylum 的研究人员追踪了一个名为NovaSentinel的例子，日本国家计算机安全机构将一些恶意 PyPI 软件包归咎于朝鲜国家支持的黑客。   转自安全客，原文链接：https://www.anquanke.com/post/id/294410 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现许多 GitHub 存储库提供破解软件，这些软件用于传播名为 RisePro 的信息窃取程序。 据 G-DATA 称，该活动代号为gitgub ，包括与 11 个不同账户相关的 17 个存储库。此后，相关存储库已被删除。 这家德国网络安全公司表示：“这些存储库看起来很相似，都有一个 README.md 文件，并承诺提供免费破解软件。” “Github 上通常使用绿色和红色圆圈来显示自动构建的状态。Gitgub 攻击者在他们的 README.md 中添加了四个绿色 Unicode 圆圈，假装在当前日期旁边显示状态，并提供合法性和新近度的感觉。” 存储库列表如下，每个存储库都指向一个包含 RAR 存档文件的下载链接（“digitalxnetwork[.]com”） andreastanaj/AVAST andreastanaj/Sound-Booster aymenkort1990/fabfilter BenWebsite/-IObit-Smart-Defrag-Crack Faharnaqvi/VueScan-Crack javisolis123/Voicemod lolusuary/AOMEI-Backupper lolusuary/Daemon-Tools lolusuary/EaseUS-Partition-Master lolusuary/SOOTHE-2 mostofakamaljoy/ccleaner rik0v/ManyCam Roccinhu/Tenorshare-Reiboot Roccinhu/Tenorshare-iCareFone True-Oblivion/AOMEI-Partition-Assistant vaibhavshiledar/droidkit vaibhavshiledar/TOON-BOOM-HARMONY RAR 存档要求受害者提供存储库 README.md 文件中提到的密码，其中包含一个安装程序文件，该文件解压下一阶段的有效负载，这是一个膨胀到 699 MB 的可执行文件，旨在使分析工具崩溃，例如IDA 专业版。 该文件的实际内容（总计仅为 3.43 MB）充当加载程序，将 RisePro（版本 1.6）注入 AppLaunch.exe 或 RegAsm.exe 中。 RisePro 在 2022 年底突然成为人们关注的焦点，当时它使用名为 PrivateLoader 的按安装付费 (PPI) 恶意软件下载服务进行分发。 它用 C++ 编写，旨在从受感染的主机收集敏感信息并将其渗透到两个 Telegram 通道，攻击者经常使用这两个通道来提取受害者的数据。 Checkmarx 最近的研究表明，可以渗透攻击者的机器人并将消息转发到另一个 Telegram 帐户。 Splunk 详细介绍了Snake Keylogger采用的策略和技术，将其描述为一种窃取恶意软件，“采用多方面的方法进行数据泄露”。 “FTP 的使用有助于文件的安全传输，而 SMTP 则可以发送包含敏感信息的电子邮件。”Splunk说。“此外，与 Telegram 的集成提供了一个实时通信平台，可以立即传输被盗数据。” 信息窃取恶意软件变得越来越流行，常常成为勒索软件和其他高影响力数据泄露的主要载体。根据 Specops 本周发布的一份报告，RedLine、Vidar 和 Raccoon 已成为使用最广泛的窃取者，仅 RedLine 在过去六个月中就窃取了超过 1.703 亿个密码。 Flashpoint 在 2024 年 1 月指出：“当前信息窃取恶意软件的兴起清楚地提醒人们，数字威胁不断演变。虽然其使用背后的动机几乎总是植根于经济利益，信息窃取者正在不断适应，同时攻击工具也更容易获得和使用。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/a35RPaozgWVa-VOjO-1SCg 封面来源于网络，如有侵权请联系删除

近日，印度一家非银行性质地金融公司 IKF Finance 泄漏了超过 3 TB 的敏感客户和员工数据，可能暴露了其整个用户群体。 Cybernews研究团队发现，一个配置错误的MongoDB数据库实例导致400多万份IKF Finance的文件暴露在公众面前。 企业通常使用MongoDB来组织和存储大量的文档型数据，而在IKF Finance的案例中，包括了各种政府签发的身份证明文件。 该团队表示，MongoDB数据库在关闭前已经暴露了大约一周时间，在发布消息之前，他们尝试联系IKF Finance征询意见，但未获得回应。 IKF Finance的哪些数据遭到泄露 泄露的数据实例包括400多万份各种类型的文档，整个数据库的数据量超过3.3TB。该数据库含有大量敏感的客户和员工信息，具体包括： 印度税务部门颁发的永久账号卡（PAN卡） 印度的生物识别身份证件——Aadhaar cards 护照 贷款合同 泄露数据示例 该团队指出，由于数据库公开的实例包含IKF在线申请系统的明文访问信息，这可能允许恶意行为者查阅、批准或驳回贷款申请。 这次数据泄漏不仅暴露了用户的敏感信息，还为诈骗活动敞开了大门，增加了用户遭受身份盗用和财务损失的风险。 数据泄露的严重程度表明IKF Finance在网络安全措施上存在重大缺失，因此有必要对这一事件进行全面调查，建议该公司立即采取措施修补安全漏洞并保护受影响用户。   转自Freebuf，原文链接：https://www.freebuf.com/news/394649.html 封面来源于网络，如有侵权请联系删除

在面临隐私问题后，Airbnb 最近更新了政策，全面禁止房东在出租屋内安装并使用室内安全监控摄像头。 修订后的政策将在全球范围内适用，并将于4 月 30 日生效。Airbnb 表示，做出这一改变是为了优先考虑客人的隐私并简化安全摄像头的规定。 在此之前，Airbnb 允许房东在房源的公共区域（例如走廊和客厅）安装监控摄像头，只要在房源预定页面注明摄像头位置，且保证摄像头非隐藏式摄像头，不允许在卧室和浴室等私人空间安装摄像头。 修订后的政策明确规定，无论其位置、用途或进行了事先披露，摄像头将不得出现在房源内部的任何角落。违反规则的房东将受到调查，并可能被列入黑名单或帐户被删除。 Airbnb 表示，大多数房源都没有报告装有摄像头。因此，预计新政策只会影响平台上的少数房源。 需要注意的是，Airbnb依然允许房东安装室外摄像头，在但禁止将室外摄像头对准室内，且大致安装位置必须在预订前告知租客。 此外，门铃摄像头和噪音分贝监视器等出于安全属性的设备依然被允许使用，但同样也须在预订前让租客知晓。 长期以来，室内摄像头一直令Airbnb 用户感到担忧。去年，一对来自得克萨斯州的夫妇向马里兰州一Airbnb 业主索赔7.5万美元，称他们在房间内发现了隐藏式摄像头，并在入住期间（包括在浴室里）对他们进行了偷拍。   转自Freebuf，原文链接：https://www.freebuf.com/news/394640.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 最大的在线词典 Glosbe 服务器遭曝露， 700 万用户的个人数据、加密密码、社交媒体标识符等敏感信息被泄露。 Cybernews 研究团队发现，Glosbe 留下了一个开放的 MongoDB 服务器，导致数百万用户的数据暴露。 企业通常使用 MongoDB 来存储大量的面向文档的信息，但配置错误可能会使实例可供公众访问，从而导致敏感数据泄露。该团队于 2023 年 12 月下旬发现了这个开放的数据库并联系了 Glosbe，其并未进行回复，但开放的实例已经关闭。   Cybernews 联系 Glosbe 寻求有关此次泄露的官方评价，截至目前暂未收到回复。据相关研究人员发现，开放的实例包含了 Glosbe 的用户记录集合。 “泄露的信息使用户面临严重风险，使威胁行为者能够进行身份盗窃、进行网络钓鱼攻击以及未经授权访问账户，对个人隐私和安全构成严重威胁。”研究人员称。 Glosbe 是一本多语言词典，号称涵盖所有语言。这项服务类似于维基百科，由其社区成员进行开发。   消息来源：cybernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Apple Shortcuts 应用程序中存在一个高严重性漏洞，可允许攻击者在不提示用户的情况下访问敏感信息。 网络安全公司Bitdefender 解释说，该问题被标记为 CVE-2024-23204，影响 iOS 和 macOS 用户，只能通过某些操作触发，但允许攻击者绕过苹果管理敏感用户信息和系统资源访问的框架。 该公司表示，该问题与 Shortcuts 后台进程有关，可以绕过透明、同意和控制 (TCC)，确保应用程序无法访问某些敏感信息，除非用户明确授予权限。 Apple Shortcuts 是一款自动化应用程序，提供数百个内置操作，使用户能够通过文件管理、教育、智能家居集成等个性化工作流程来简化 iOS 和 macOS 上的任务。 据 Bitdefender 称，该漏洞使得 Shortcuts 后台进程即使在沙箱中也可以访问一些敏感数据。通过使用快捷方式中的“扩展 URL”功能，网络安全公司能够绕过 TCC 并将照片的 Base64 编码数据传输到远程网站。 Bitdefender 指出：“该方法涉及在快捷方式中选择任何敏感数据（照片、联系人、文件和剪贴板数据），将其导入，使用 Base64 编码选项进行转换，最后将其转发到恶意服务器。” 然后，攻击者可以使用 Flask 程序捕获传输的数据，以收集敏感信息以供将来利用。Apple 允许用户导出和共享快捷方式，攻击者可能会滥用此功能来传播易受 CVE-2024-23204 攻击的快捷方式并瞄准安装它们的用户。 该漏洞已于 1 月份随着iOS 17.3 和 iPadOS 17.3以及 macOS Sonoma 14.3 的发布得到解决。 苹果指出：“快捷方式可能能够在某些操作中使用敏感数据，而无需提示用户。建议用户尽快安装最新的iOS和macOS补丁。”   转自安全客，原文链接：https://www.anquanke.com/post/id/293432 封面来源于网络，如有侵权请联系删除

2023年11月，ThreatFabric的研究人员发现Anatsa银行木马复苏，该木马也被称为TeaBot或Toddler。在11月到2月之间，该银行木马共发起五波不同的攻击浪潮，每一波都针对不同区域。 在这之前，Anatsa主要针对英国、德国和西班牙，但最新的活动目标是斯洛伐克、斯洛文尼亚和捷克等国家，这表明其运营策略发生了变化。 研究人员认为，Anatsa的行为是“有针对性的”，且最近的攻击主要集中3到5个区域。 据ThreatFabric所述，这些滴管式应用程序（dropper applications）被上传到了目标地区的Google Play商店，并且能在“最新免费应用”分类中跻身前三名，容易让用户误以为这是一款合法且被众多用户下载的应用。 在这场攻击活动中，Anatsa的作案手法已经演变，采取了更高级的策略，包括滥用Android辅助功能服务、实施多阶段感染，并成功绕过了Android 13版本中的安全限制。 一些滴管应用能够有效利用辅助功能服务，绕过Google Play商店的强化检测与防护措施。为了避免被检测到，这些滴管应用分步骤实施策略，能够从其C2（指挥与控制）服务器动态获取配置和恶意文件。 报告进一步指出，这场攻击行动中所有滴管应用都已具备绕开Android 13对辅助服务限制设置的能力。Anatsa支持Android银行木马的常见功能，像其他类似的恶意软件家族一样，滥用辅助功能服务。 以下是该恶意软件实施的功能列表： 能够对多个银行应用发起覆盖攻击（Overlay Attacks），窃取登录凭证和信用卡信息 能够发送/截取/隐藏短信 启用键盘记录功能 能够窃取谷歌验证器的验证码 能够通过辅助服务和实时屏幕共享功能，获得对安卓设备的完全远程控制权 Anatsa银行木马允许操作者接管被感染的设备，并代表受害者执行操作。那么，有效检测和监控恶意应用，并观察客户账户的异常行为，对于识别和调查与Anatsa这类接管型移动恶意软件相关的潜在欺诈案件至关重要。     转自Freebuf，原文链接：https://www.freebuf.com/news/392076.html 封面来源于网络，如有侵权请联系删除

移动研究人员  Tommy Mysk 近日揭露，部分热门应用利用 iPhone 推送通知功能秘密发送用户数据，这引发了用户隐私安全担忧。 许多 iOS 应用程序正在使用由推送通知触发的后台进程来收集设备的用户数据，从而有可能创建用于跟踪的指纹档案。 Mysk 指出，这些应用程序绕过了苹果公司的后台应用程序活动限制，对 iPhone 用户构成了隐私风险。 苹果应用商店审查指南中有这样一段话：应用程序不应试图根据收集到的数据偷偷建立用户档案，也不得试图、协助或鼓励他人识别匿名用户，或根据从苹果提供的应用程序接口收集到的数据重建用户档案。 唤醒并收集数据 为防止资源消耗和提高安全性，苹果公司在最初设计 iOS 时就允许应用程序在后台运行。在用户不使用应用程序时，它们就会被暂停并最终终止，因此无法监控或干扰前台活动。 不过，在 iOS 10 中，苹果引入了一个新系统，允许应用程序在后台悄悄启动，以便在设备显示新推送通知之前处理它们。 该系统允许接收推送通知的应用程序解密传入的有效载荷，并从其服务器下载更多内容，以丰富推送通知的内容，然后再提供给用户。完成这一步后，应用程序会再次终止。 通过测试，Mysk 发现许多应用程序滥用了这一功能，将其作为向其服务器发送设备数据的“机会之窗”。根据应用程序的不同，涉及的数据包括系统运行时间、地域、键盘语言、可用内存、电池状态、存储使用情况、设备型号和显示亮度等等。 推送通知到达时 LinkedIn 的网络数据交换 研究人员认为，这些数据可用于指纹识别/用户特征分析，从而实现持续跟踪，而这在 iOS 系统中是被严格禁止的。 Mysk 在 Twitter 上表示：通过这次测试，可以看到这种做法比预想的更为普遍。许多应用程序在被通知触发后发送设备信息的频率令人震惊。 Mysk 在一段视频中演示了这一做法，他指出，苹果在 iOS 10 中引入的一项推送通知自定义功能被部分开发者“别有用心”地利用了，该功能原本是为了让应用丰富通知内容或解密加密信息，但一些开发商却将其用于更隐蔽的数据传输。Mysk 发现，包括 TikTok、Facebook、Twitter、领英和必应等在内的多个热门应用，正在利用推送通知的短暂后台执行时间，发送用户分析信息。 苹果将通过加强对使用设备信号 API 的限制来堵住漏洞，防止推送通知唤醒功能被进一步滥用。从 2024 年春季开始，应用程序将被要求准确声明为什么需要使用可能被滥用于指纹识别的 API。 这些 API 可用于检索设备信息，如磁盘空间、系统启动时间、文件时间戳、活动键盘和用户默认设置。 苹果表示，如果应用程序没有正确声明其使用这些 API 的情况和用途，就不能在 App Store 上架。 在此之前，希望避免这种指纹识别的 iPhone 用户应禁用推送通知。但将通知设置为静音并不能防止滥用，想要禁用通知，需打开 “设置”，前往 “通知”，选择要管理通知的应用程序，然后点击切换按钮禁用 “允许通知”。 2023年12 月，有消息称美国政府要求通过苹果和谷歌服务器发送推送通知记录，以此来监视用户。但苹果表示，美国政府禁止他们分享有关这些请求的任何信息，并在此后更新了他们的透明度报告。   转自Freebuf，原文链接：https://www.freebuf.com/news/390735.html 封面来源于网络，如有侵权请联系删除