据BleepingComputer消息，加拿大航空新闻网站 9 月 20 日发表的一份声明称，有网络攻击者“短暂”获得了对其内部系统的有限访问权限，导致部分员工的一些个人信息和记录文件被盗。 加拿大航空是加拿大最大的航空公司，也是世界上历史最悠久的航空公司之一，每天运营 1300 多个航班，但最近因“强迫乘客坐有呕吐物残留的座位，否则将被列入禁飞名单”而处在舆论浪尖，目前尚无证据此次攻击是对该航空公司的报复行为。 根据声明，加拿大航空已在事后联系了受影响的相关单位和相关执法部门，航班运营系统和面向客户的系统没有受到影响，客户信息在此次事件中也没有泄露。 声明表示，公司会进一步加强了安全措施，包括在全球领先的网络安全专家的帮助下，以防止未来发生此类事件。但对于导致该事件的原因，该声明并未透露相关的任何细节。 就在加拿大航空发布事件声明的当天，疑似由亲俄黑客组织发起的网络攻击导致加拿大多个机场大范围服务中断，并导致全国各地边境检查站（包括蒙特利尔特鲁多国际机场）的入境处理严重延误1个多小时。 过去十年来，数据泄露和网络攻击已成为航空企业时常出现的高危风险。最近，欧洲航空航天巨头空中客车公司表示，一名黑客将该公司 3200 家供应商的信息泄露至暗网。 IBM 7 月份的一份报告称，交通运输行业是其数据泄露成本最高的行业之一，2023 年该行业的平均成本达 418 万美元。 转自Freebuf，原文链接：https://www.freebuf.com/news/379098.html 封面来源于网络，如有侵权请联系删除

根据Netacea的一份新报告，美国和英国的企业每年因恶意机器人攻击而损失超过4%的在线收入。Netacea是英国一家机器人检测网络安全服务商，可检测并缓解针对移动、网站和应用程序编程接口应用程序的机器人攻击。该公司的《十亿机器人之死》报告是根据对美国和英国旅游、娱乐、电子商务、金融服务和电信行业440家平均在线收入为19亿美元的企业的调查编制的。 研究发现，公司平均每年因机器人攻击而损失8560万美元，高于2020年的3330万美元。Netacea认为，这远远高于平均赎金或GDPR罚款。 大多数袭击来自俄罗斯，近一半的受访者也看到了来自越南端点的袭击，尽管这些威胁的来源也可能是其他国家的行为者。大多数袭击（65%）针对移动设备，其次是网站（63%）和API（40%）。 99%检测到自动攻击的公司表示，威胁似乎越来越严重，他们看到了攻击量的增加。 另外，攻击也变得多种多样。一半的受访者观察到，最常见的是狙击手机器人，它监控基于时间的活动，并在最后一刻提交信息，例如出现在在线拍卖网站上的攻击。Netacea声称，这些可能对金融服务的动态定价环境造成特别大的破坏。 同样常见的还有账户检查器攻击（45%）、刮刀机器人（33%）、礼品卡破解器（30%）和黄牛党机器人（29%）。 不幸的是，这些攻击往往会持续数月才被发现。Netacea计算出平均“停留时间”为四个月，几乎所有的受访者都表示，应对恶意自动攻击需要一个多月的时间。 此类攻击不仅会对利润产生重大影响，还会对声誉产生重大影响。88%的人声称机器人影响了客户满意度。 Netacea联合创始人Andy Still警告说：“这些攻击的累积效应正从在线企业中抹去数千万美元的价值，更不用说对其声誉和运营的影响了，但这种活动通常非常低调，几个月来都没有被发现，只能预计这些袭击的数量会增加，在几乎没有执法机会的国家增长最快。”   转自E安全，原文链接：https://mp.weixin.qq.com/s/HPwXC7lD7wteeh6_AO9aNw 封面来源于网络，如有侵权请联系删除

最近，TikTok 上充斥着大量虚假的名人裸照泄露视频。这些视频是有人专门制作好以用来为 Temu 在线大卖场推送推荐奖励。 Temu 是一个在线购物网站，站内向人们提供数百万种价格极其低廉的产品。 自 2022 年 9 月推出以来，关于该网店的争议一直不断，有人认为这是一个骗局，但也有不少人觉得他们收到的廉价商品还不错。 为了推广网站，Temu 还允许顾客创建专属的推荐号码和链接，可在社交媒体平台上与家人、朋友分享，以赚取商店积分、免费礼品或积分奖励系统。 该奖励系统让人们可以通过玩小游戏赚取更多商店积分，这些积分可以用来兑换现金奖励或购买产品。 这个系统让很多人拿到了免费商品，同时，Temu 也利用这些人们发布到社交媒体上的推荐链接，获得了一次次免费的营销。 Temu推荐链接出现低俗内容 最近，TikTok 上的 Temu 推荐链接中出现了低俗的内容。有骗子制作一些虚假视频称某名人的敏感照片和视频已经泄露，并提示观众下载 Temu 应用程序并输入他们的推荐号码来查看泄露的内容。 最近，TikTok 上充斥着大量虚假的名人裸照泄露视频，这些视频被用来为 Temu 在线大卖场推送推荐奖励。 Temu 是一个在线购物网站，站内向人们提供数百万种价格极其低廉的产品。 自 2022 年 9 月推出以来，关于该网店的争议一直不断，有人认为这是一个骗局，但也有不少人觉得他们收到的廉价商品还不错。 为了推广网站，Temu 还允许顾客创建专属的推荐号码和链接，可在社交媒体平台上与家人、朋友分享，以赚取商店积分、免费礼品或积分奖励系统。该奖励系统让人们可以通过玩小游戏赚取更多商店积分，这些积分可以用来兑换现金奖励或购买产品。 Temu奖励制度范例 这个系统让很多人拿到了免费商品，同时，Temu 也利用这些人们发布到社交媒体上的推荐链接，获得了一次次免费的营销。 Temu推荐链接出现低俗内容 最近，TikTok 上的 Temu 推荐链接中出现了低俗的内容。有骗子制作一些虚假视频称某名人的敏感照片和视频已经泄露，并提示观众下载 Temu 应用程序并输入他们的推荐号码来查看泄露的内容。 Temu虚假内容称Hailie Deegan照片外泄   几乎所有视频的标题都是 “我以为她是无辜的 “或”XXX名人照片泄露”这种带有暗示性文字的照片或标题，诱导用户下载 Temu 并输入列出的推荐号码。 Temu 的这类虚假内容推荐中包含音乐家、演员和其他名人泄密的，包括 Olivia Rodrigo、Jenna Ortega、SSSniperWolf、Brooke Monk、Hailie Deegan 等。 在过去的几周时间，TikTok 上充斥着大量的 Temu 骗局，有很多 TikTok 用户已经注意到这些骗局，有不少人甚至自己拍了视频来质疑这件事。 长期以来，虚假内容泄漏一直被用于诈骗和恶意活动，包括传播恶意软件等等。但这一次值得庆幸的是，这些内容只是被用来为骗子生成商店积分而已。但也不能肯定地说 TikTok 上将来不会出现使用类似的手段来达到恶意目的的事件。因此，如果您看到这样的视频，请不要安装可疑软件，因为您永远不知道您的电脑会感染什么病毒。 转自Freebuf，原文链接：https://www.freebuf.com/news/379093.html 封面来源于网络，如有侵权请联系删除

Cybernews 研究团队发现，法国高科技工业集团 Exail 暴露了一个带有数据库凭证的可公开访问的环境 (.env) 文件。 Exail于 2022 年由 ECA Group 和 iXblue 合并后成立，专注于机器人、海事、导航、航空航天和光子技术，其客户包括美国海岸警卫队。由于这些特性，Exail成为攻击者特别感兴趣的目标。 研究团队发现，托管在 exail.com 网站上可公开访问的 .env 文件已暴露在互联网上，导致任何人都可以对其进行访问。环境文件充当计算机程序的一组指令，因此，文件的完全开放可能会暴露关键数据，一旦攻击者访问，便可以查看、修改或删除敏感数据并执行未经授权的操作，并为攻击者者提供一系列攻击选项。 研究团队还发现，Exail 的网络服务器版本和特定操作系统也受到了威胁。如果攻击者知道网络服务器上运行的操作系统及其版本，就可以针对性地利用与操作系统相关的特定漏洞。 而具有已知特定操作系统暴露的 Web 服务器可能成为自动扫描工具、恶意软件和僵尸网络的目标。一旦攻击者了解了操作系统的特性，就可以集中精力寻找和利用与该操作系统相关的漏洞。他们可以采用扫描、证明或使用已知漏洞等技术来访问服务器或损害其安全性。 此外，攻击者还可以利用操作系统特定的弱点对暴露的 Web 服务器发起拒绝服务 (DoS) 攻击，从而中断服务器的运行。 Cybernews研究团队向Exail进行反馈后，对方已经修复了该问题，但并未透露有关问题更加详细的信息。   转自Freebuf，原文链接：https://www.freebuf.com/news/378873.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，9月20日，有T-Mobile 用户表示，他们在登录该公司的官方移动应用程序后竟然可以看到其他人的账户和账单信息。 根据Reddit 和 Twitter上的用户反映，暴露的信息包括用户的姓名、电话号码、地址、账户余额以及信用卡详细信息，例如后四位数字和到期日期。有用户声称，这一情况从两周前开始就一直出现，在向 T-Mobile 反馈后也未得到回应。 T-Mobile 表示，此次事件并非网络攻击造成，其系统也没有遭到破坏，尽管大量用户报告称受到了此问题的影响，但T-Mobile 表示该事件的影响有限，仅影响不到 100 人。 当被问及更多细节时，一位发言人告诉 BleepingComputer：“T-Mobile 没有遭受网络攻击或违规。” 自 2018 年以来发生9起数据泄露事件 T-Mobile在过去几年内就已经发生多起数据泄露事件： 2018 年 8 月，攻击者访问了大约3% 的 T-Mobile 用户数据； 2019 年，T-Mobile泄露了数量不详的预付费用户的账户信息； 2020 年 3 月，T-Mobile 员工的个人和财务信息遭到泄露； 2020 年 12 月，攻击者访问了用户专有网络信息（电话号码、通话记录）； 2021 年 2 月，T-Mobile 内部应用程序被未知攻击者未经授权访问； 2021 年 8 月，黑客在 T-Mobile 的一个测试环境遭到破坏后，暴力破解了 T-Mobile 的网络； 2022 年 4 月，臭名昭著的 Lapsus$ 勒索团伙使用窃取的凭证入侵了 T-Mobile 的网络。 仅在今年上半年，T-Mobile就披露了两起数据泄露事件。 5 月，T-Mobile披露了自在 2 月底至 3 月期间，攻击者侵入该运营商的系统，数百名客户的个人信息遭到泄露； 1 月，T-Mobile称有3700 万用户的敏感信息被使用其一个应用程序编程接口 (API) 窃取。   转自Freebuf，原文链接：https://www.freebuf.com/news/378727.html 封面来源于网络，如有侵权请联系删除

今年8月下旬，P2PInfect 僵尸网络蠕虫病毒活动量数据开始上升，到今年9月仍在持续上升。 P2PInfect最早发现于2023年7月，它是一种点对点的恶意软件，利用远程代码执行漏洞入侵互联网上的 Windows 和 Linux 系统中的 Redis 实例。 Cado Security 的研究人员自2023年7月下旬以来一直在跟踪该僵尸软件。他们报道称，如今看到的僵尸网络活动遍及全球，影响了包括美国、德国、新加坡、香港、英国和日本等多个国家的系统。 此外，Cado 还表示，最新的 P2PInfect 样本又新增了不少功能并改进了之前的问题功能，这使得其传播力更强。 活动急剧增加 近日，Cado发现了P2PInfect僵尸软件的新活动，这表明该恶意软件已进入代码稳定的新时期。 据研究人员报告称，他们观察到P2PInfect对其蜜罐进行的初始访问尝试次数稳步上升，截至今年8月24日，仅单个传感器的事件数已经达到4064 次。 到今年9月3日，初始访问事件增加了两倍，但仍然相对较少。 然而，在今年9月12日至19日的一周内，P2PInfect 活动激增，仅在此期间，Cado就记录了3619次访问尝试，增长了600倍。 Cado 解释说：P2Pinfect 流量的增加与野生变种数量的增加相吻合，这表明恶意软件开发者的开发速度极快。 记录的尝试访问事件（Cado Security） P2PInfect 的新功能 在活动增加的同时，Cado 还发现了一些新的样本，这些样本使 P2PInfect 成为一个更隐蔽、更可怕的威胁。 首先，恶意软件的作者添加了一种基于 cron 的持续机制，取代了以前的 “bash_logout “方法，每 30 分钟触发一次主要有效载荷。 由 P2PInfect（Cado Security）编写的 Cron 作业 此外，P2Pinfect 现在使用（二级）bash 有效载荷通过本地服务器套接字与主有效载荷通信，如果主进程停止或被删除，它会从对等程序中获取副本并重新启动。 恶意软件现在还使用 SSH 密钥覆盖被入侵端点上的任何 SSH authorized_keys，以防止合法用户通过 SSH 登录。 覆盖现有 SSH 密钥（Cado Security） 如果恶意软件拥有 root 访问权限，它就会使用自动生成的 10 个字符的密码对系统中的其他用户执行密码更改，将其锁定。 最后，P2PInfect 现在为其客户端使用 C 结构配置，该配置在内存中动态更新，而以前它没有配置文件。 目标不明确 Cado 报告称最近观察到的 P2PInfect 变体在试图获取有效载荷，但在被入侵设备上并未看到实际的加密活动。因此，目前还不清楚恶意软件的开发者是否仍在尝试攻击的最后一步，P2PInfect僵尸软件的操纵者可能正在增强其组件或寻找订阅 P2PInfect 的买家。 鉴于当前该僵尸软件的规模、传播、自我更新功能以及本月激增的活动量，可见P2PInfect 是一个值得关注的重大威胁。   转自Freebuf，原文链接：https://www.freebuf.com/news/378723.html 封面来源于网络，如有侵权请联系删除

研究人员声称，与之前的重大违规事件有关的臭名昭著的黑客组织已经泄露了从信用机构TransUnion窃取的数GB个人数据。一个专门收集恶意软件样本的网站 vx-underground 表示，一名绰号为“USDoD”的个人发布了一个3GB的数据库，其中包含58,505名个人的个人身份信息(PII)。 尽管没有关于这些人是客户还是员工的信息，但考虑到该公司的规模，至少部分所获取的PII似乎来自客户。 Vx-underground在X（以前称为Twitter）上的一篇帖子中表示：“该数据库似乎于2022年3月2日遭到泄露。这个泄露的数据库包含全球各地个人的信息，包括美洲（南北美洲）以及欧洲。” 所获取的PII包括名字和姓氏、TransUnion内部标识符、护照信息（包括出生地点和日期）、婚姻状况、年龄、雇主信息、信用评分和贷款信息。 对网络钓鱼攻击者来说，这是一个重要的宝库，可以用来对受害者进行后续欺诈攻击。 Emsisoft威胁分析师Brett Callow 在X上发表的另一篇文章显示，USDoD在BreachForums上发布了这些数据，上周他们曾在该网站上共享了从3200家空客供应商窃取的个人信息。 当时，USDoD声称与一个名为Ransomed的勒索软件组织合作。该组织已经暗示，航空航天行业的更多受害者可能很快就会被攻破，其中包括美国国防承包商洛克希德·马丁公司和雷神公司。Vx underground还声称，这一黑客组织已经向北约方面进攻。 Radiant Logic信息安全官Chad McDonald认为，如果TransUnion违规行为是合法的，那么它应该提醒组织采取积极措施防止违规行为。 他补充道：“企业很容易在身份数据方面遇到困难，无论是身份孤岛、重复还是异常——缺乏身份可见性和管理都可能导致对企业资源的访问不适当或过时。通过采取身份优先的安全方法，并将身份数据整合到一个单一的、经过强化的数据存储中，可以避免外部和内部的数据泄露。” 有趣的是，数据库泄露的日期似乎与去年TransUnion南非业务发生的勒索软件事件一致，当时黑客组织要求信用机构支付1500万美元赎金。   转自E安全，原文链接：https://mp.weixin.qq.com/s/21a9ISmzORJ44PoPz6smeg 封面来源于网络，如有侵权请联系删除

微软人工智能研究人员在GitHub上发布一个开源训练数据存储桶时，意外暴露了数十TB的敏感数据，其中包括私钥和密码。云安全初创公司Wiz在与TechCrunch分享的研究报告中称，它发现了一个属于微软人工智能研究部门的GitHub存储库，这是其正在进行的云托管数据意外暴露工作的一部分。 该 GitHub 存储库提供了用于图像识别的开源代码和人工智能模型，它指示读者从 Azure 存储的 URL 下载模型。然而，Wiz 发现该 URL 被配置为授予整个存储账户的权限，从而错误地暴露了更多私人数据。 这些数据包括 38 TB 的敏感信息，其中包括两名微软员工个人电脑的个人备份。这些数据还包含其他敏感的个人数据，包括微软服务的密码、密钥以及数百名微软员工的 30000 多条内部 Microsoft Teams 消息。 据 Wiz 称，从 2020 年开始就暴露了这些数据的 URL 也被错误地配置为允许”完全控制”而非”只读”权限，这意味着任何知道在哪里查看的人都有可能删除、替换和注入恶意内容。 Wiz 指出，存储账户并没有直接暴露。相反，微软人工智能开发人员在URL中加入了一个过度许可的共享访问签名（SAS）令牌。SAS 令牌是 Azure 使用的一种机制，它允许用户创建可共享的链接，授予对 Azure 存储账户数据的访问权限。 Wiz 联合创始人兼首席技术官阿米-卢特瓦克（Ami Luttwak）介绍说：”人工智能为科技公司释放了巨大的潜力。然而，随着数据科学家和工程师竞相将新的人工智能解决方案投入生产，他们所处理的海量数据需要额外的安全检查和保护措施。由于许多开发团队需要处理海量数据、与同行共享数据或在公共开源项目上合作，像微软这样的案例越来越难以监控和避免。” Wiz表示，它在6月22日与微软分享了调查结果，微软在两天后的6月24日撤销了SAS令牌。微软表示，它已于 8 月 16 日完成了对潜在组织影响的调查。 微软安全响应中心在发表前分享的一篇博文中说，”没有客户数据被暴露，也没有其他内部服务因为这个问题而面临风险”。 微软表示，根据 Wiz 的研究结果，它已经扩展了 GitHub 的秘密扫描服务，该服务可以监控所有公开开源代码的变更，以防明文暴露凭证和其他秘密，包括任何可能具有过度许可过期或权限的 SAS 令牌。   转自cnBeta，原文链接：https://www.toutiao.com/article/7280153155953082943/?log_from=4efa4fbc99792_1695088226410 封面来源于网络，如有侵权请联系删除

微软旗下的医疗科技公司Nuance透露，Clop勒索团伙窃取了北卡罗来纳州主要医院的个人数据。MOVEit Transfer是一种托管文件传输，企业使用它来安全地传输基于SFTP、SCP和HTTP的上传文件。微软认为Clop勒索软件团伙利用了MOVEit Transfer平台中的零日漏洞CVE-2023-34362。 6月份，Clop勒索软件集团声称利用MOVEit Transfer漏洞入侵了全球数百家公司。在Clop集团的受害者中，还有微软的Nuance医疗保健技术子公司。Nuance在网络安全专家和一家律师事务所的帮助下对该事件展开了调查。该公司表示，Clop集团可能窃取了北卡罗来纳州多家医院和其他医疗服务提供商的个人数据，包括： 位于夏洛特的医疗保健系统巨头Atrium Health 希科里的卡托巴山谷医疗中心 夏洛特放射科 杜克大学卫生系统 位于桑福德的DLP中卡罗莱纳医疗中心 总部位于格林维尔的ECU Health 位于卡罗莱纳州派恩赫斯特的FirstHealth 总部位于阿什维尔的使命健康系统 Winston Salem的Novant Health Novant Health位于威尔明顿的新汉诺威地区医疗中心 北卡罗来纳大学教堂山分校健康中心 总部位于罗利的Wake Radiology Diagnostic Imaging 总部位于罗利的WakeMed Health&Hospitals 泄露的数据包括人们接受的服务和他们的人口统计信息。在软件供应商披露该缺陷并发布安全更新以修复后，Nuance宣布已立即解决该问题。 Nuance表示：“补丁一有空就安装好了。数据隐私和安全是Nuance的首要任务之一。公司采取了广泛的措施来保护委托给这些信息。”研究人员建议人们查看账户对账单，并监控其免费信用报告中的可疑活动。 美国医院面临压力，多家医院遭到攻击 最近，Rhysida勒索软件集团成为头条新闻，因为它宣布Prospect Medical Holdings遭到黑客攻击，并窃取了该组织的敏感信息。 8月初，网络攻击扰乱了多家医院的计算机系统，这些医院位于多个州，包括加利福尼亚州、得克萨斯州、康涅狄格州、罗德岛州和宾夕法尼亚州。几个州多家医院的一些急诊室被迫关闭，救护车也因网络遭到网络攻击而改道。 几天前，在Prospect Medical袭击事件发生后，Rhysida勒索软件集团在其Tor泄漏现场的受害者名单上又增加了三家美国医院。 Singing River Health System经营着3家医院和10家诊所，是密西西比湾沿岸第二大雇主。旗下的三家医院和其他医疗设施的系统在8月底也遭到网络攻击。   转自E安全，原文链接：https://mp.weixin.qq.com/s/M8cktGA7HYxxUSrP5RJguA 封面来源于网络，如有侵权请联系删除

据The Hacker News消息， Google 旗下威胁情报公司Mandiant近期披露了在N-Able Take Control Agent 中发现的一个高严重性安全漏洞，本地非特权攻击者可以利用该漏洞来获取Windows系统权限。 该漏洞被追踪为CVE-2023-27470（CVSS 评分：8.8），与 TOCTOU 竞争条件漏洞有关。TOCTOU属于软件缺陷类别漏洞，其中程序会检查资源状态的特定值，但该值在实际使用之前发生变化，从而使检查结果无效。利用此类缺陷可能会导致完整性丧失，并诱骗程序执行不应执行的操作，从而允许攻击者访问未经授权的资源，甚至删除系统上的任意文件。 根据Mandiant 的说法，CVE-2023-27470 是由于记录多个文件删除事件（例如名为 aaa.txt 和 bbb.txt 的文件）之间的 Take Control Agent (BASupSrvcUpdater.exe)  TOCTOU 竞争条件引起，以及来自名为“C:\ProgramData\GetSupportService_N-Central\PushUpdates”的特定文件夹删除操作。 Mandiant 安全研究员 Andrew Oliveau 表示：“简单来说，虽然 BASupSrvcUpdater.exe 记录了 aaa.txt 的删除，但攻击者可以迅速用符号链接替换 bbb.txt 文件，从而将进程重定向到系统上的任意文件。” 更令人担忧的是，这种任意删除文件的行为可能会被武器化，利用针对 Windows 安装程序回滚功能的竞合条件攻击来确保高位命令提示符的安全，从而可能导致代码执行。 Oliveau指出，任意文件删除漏洞不再局限于拒绝服务攻击，还可以作为一种手段来实现高级代码执行。这种漏洞可以与 MSI的回滚功能相结合，将任意文件引入系统。 该漏洞具体影响 7.0.41.1141 及之前版本，并已在2023 年 3 月 15 日发布的 7.0.43 版本中得到解决。   转自Freebuf，原文链接：https://www.freebuf.com/news/378432.html 封面来源于网络，如有侵权请联系删除