Security Affairs 网站披露，研究人员发现了从泰国医学科学部泄漏的患者个人身份信息（PII），其中包含部分 COVID-19患者的数据信息。 首次发现泄露泰国患者 PII 的是网络安全公司 Resecurity，随后与泰国 CERT共享这一事件。（Resecurity 公司主要为大型企业提供网络安全保护服务） 值得一提的是，目前已经有几个暗网市场在出售泄露的数据，可通过不良犯罪分子创建的 Telegram 频道进一步购买。 根据对获得样本进行详细分析可以发现，攻击者能够在未经授权的情况下，访问政府门户网站，使其能够非法管理用户信息和相关记录。 从 Resecurity 发布的帖子来看，由于用于在线调查的 WEB-app 授权模块中存在主动 SQL 注入漏洞，使得攻击者能够窃取用户个人信息。据不完全统计，患者信息主要包括姓氏、名字、性别、年龄、联系方式、医疗史和相关当地医疗识别码等。 漏洞爆出之前，攻击者可能已经访问了至少 5151 份详细记录，潜在暴露的总数约为 15000 份。 泰国并不是唯一“受害者” 在泰国，大多数医疗服务都是以数字形式提供给其公民，这导致其成为网络黑客组织和其他攻击者收集信息的诱人目标。举一个很简单的例子，黑客在成功盗取公民个人信息后，可以使用被盗数据进一步盗取身份。 泰国并不是网络犯罪分子窃取公民个人医疗数据唯一地区，印度尼西亚和印度也发生了 COVID-19 患者记录被盗事件。 Resecurity 已经与相关部门和执法部门分享了被曝光的泄漏数据，以确保受影响的公民能够在泰国现有的隐私法和数据保护条例范围内得到保护。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343260.html 封面来源于网络，如有侵权请联系删除

据Bleeping Computer报道，密码管理巨头 LastPass 两周前遭到黑客攻击，尽管公司在发现攻击行为后已经拼命进行阻止，但是结果令人感到惋惜，黑客依旧突破了封锁，可窃取该公司的源代码和专有技术信息。 8月25日，在发送有关此次攻击的问题后，LastPass 发布了一份安全公告，确认黑客是通过访问公司开发人员的账户进行入侵，并对开发环境进行破坏。 在发布的安全报告中，LastPass表示目前没有任何证据表明客户数据或加密的密码库遭到破坏，但承认攻击者确实窃取了部分“源代码”和“LastPass 专有的技术信息”。 攻击事件发生后，LastPass对外称已经聘请了一家领先的网络安全和取证公司进行处理，尽可能部署遏制和缓解措施，降低该事件带来的影响。“虽然该事件的调查还在持续进行，但是我们已经有效遏制了此次攻击，实施了额外的强化安全措施，并且没有看到任何未经授权的活动的进一步证据。” LastPass向客户发送了电子邮件告知此次攻击事件，至于和此次攻击的详细过程，以及攻击者如何入侵开发者帐户，哪些源代码和专有技术信息被盗等相关信息，LastPass 并没有对外提供。 LastPass 安全咨询通过电子邮件发送给客户 资料显示，LastPass 是世界上最大的密码管理公司之一，对外宣称有超过3300万人和10万家企业正在使用其产品。 由于消费者和企业使用该公司的软件来安全地存储他们的密码，因此不少用户对于此次攻击事件的衍生后果表示非常担忧，如果黑客获取了相应的权限，那么很有可能被允许访问用户存储的密码信息。 对此，LastPass表示公司将密码存储在“加密保险库”中，只能使用客户的主密码进行解密，在此次攻击中并未收到任何破坏。 但是该声明并未打消用户的全部疑虑，因为在2021年，LastPass曾遭受撞库攻击，并且攻击者可以确认用户的主密码。更糟糕的是，这些主密码被使用RedLine 密码窃取恶意软件的攻击者窃取。 换句话说，用户不可因为信任LastPass 而完全放松警惕，主密码也有可能在网络攻击中泄露，所以在LastPass 帐户上启用多因素身份验证是一件非常有必要的措施。此外，还需要保持良好的密码使用习惯，并定期进行更换，提高密码的安全性。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343183.html 封面来源于网络，如有侵权请联系删除

本月初开始商业运营的印度阿卡萨航空公司(Akasa Air)由于注册登陆服务中的技术故障，导致数千名用户的个人数据被披露。这些披露的数据是由阿舒托什·巴罗特（Ashutosh Barot）发现的，其中包括客户全名、性别、电子邮件地址、手机号码等等。 在阿卡萨航空公司网站于 8 月 7 日成立上线之后，巴罗特在几分钟之后就发现了 HTTP 请求漏洞。他最初试图直接与这家总部位于孟买的航空公司的安全团队沟通，但没有找到直接联系人。 这位研究专家表示：“我通过他们的官方Twitter账户联系了航空公司，要求他们提供一个电子邮件 ID 来报告这个问题。他们给了我 info@akasa 电子邮件 ID，我没有向其分享漏洞详细信息，因为它可能由支持人员或第三方供应商处理。所以，我再次给他们发了电子邮件，并要求 [航空公司] 提供他们安全团队中某人的 [the] 电子邮件地址。我没有收到来自 Akasa 的进一步通信”。 在没有得到航空公司关于他如何与安全团队联系的回应后，研究人员向 TechCrunch 通报了这个问题。在 TechCrunch 联系之后，该航空公司承认确实存在该问题，导致 34,533 条客户记录面临风险。该航空公司还表示，暴露的数据不包括与旅行相关的信息或支付记录。该航空公司告诉 TechCrunch，它进行了额外的审查，以确保其所有系统的安全性。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1309711.htm 封面来源于网络，如有侵权请联系删除

Hack Read 网站披露，LockBit 勒索软件团伙的数据泄露网站遭受了大规模 DDoS 攻击（分布式拒绝服务攻击），随后被迫关闭。值得一提的是，此次 DDoS 攻击似乎是对其曝光安全公司 Entrust 被盗数据的报复。 Entrust攻击事件详情 2022 年 6 月 18 日，安全公司 Entrust 成为网络攻击的目标，7 月 6 日，该公司通知其客户有关数据泄露的详情。7 月 21 日，一名安全研究人员访问了该公司发给其客户的数据泄露通知副本后，入侵事件随之公开披露。 8 月 18 日，LockBit 勒索软件团伙表示对 Entrust 数据泄露事件负责，并威胁该公司，如果拒绝在 24 小时内支付赎金，将泄露大约 30GB 的数据信息。 之后，名为 Soufiane Tahiri 的安全研究员访问了 LockBit 团伙和 Entrust 之间的通信副本。据他透露攻击者最初要求 800 万美元赎金，后来将赎金减少到 680 万美元，但 Entrust 声称只能支付 100 万美元。 LockBit 勒索软件团伙和 Entrust 之间的聊天记录（图片：Soufiane Tahiri） DDoS攻击细节 这一系列攻击事件中，有意思的是 LockBit 勒索软件运营商刚准备开始发布从 Entrust 窃取的数据时，他们基于 Tor 的泄漏网站就收到了 DDoS 攻击，网站（LockBit 3.0）也已下线。目前尚不清楚此次 DDoS 攻击背后发起者。 据思科 Talos 研究员 Azim Shukuhi 透露，LockBit 集团每秒收到来自 1000 多个服务器的 400 个请求。这些请求种包括一个强制勒索软件运营商删除数据的字符串。 从 LockBit 的说法来看，Entrust 应该是此次 DDoS 攻击的幕后主使，但该公司即使真的参与其中，想必也不可能承认，毕竟它是一家合法的网络安全公司。 此次针对 LockBit 组织的 DDoS 攻击事件也不能排除是其竞争对手所为，也有可能是一起针对 LockBit 运营商并诬陷 Entrust 的计谋。 泄露网站下线后，LockBit运营商立刻进行反击 在遭受了 DDoS 攻击后，LockBit 团伙发誓要报复 DDoS 攻击的幕后主使。在一条推文中，该团伙声称将以三重勒索模式代理以前的双重勒索模式，发动报复式攻击。另外，该组织还高调宣布，作为其战略转变的一部分，正在积极招募新的成员。 讲到这里，简单介绍一下三重勒索模式。作为不久前设计出针对受害者的新方法，三重勒索模式最近在 REvil 组织的攻击中被使用，这种方法增加了一个额外威胁层，例如对受害者进行 DDoS 攻击以迫使其支付赎金。相比之下，在使用双重勒索技术时，攻击者在要求赎金之前，会在其目标设备上窃取数据并进行加密。 最后，LockBit 强调将开始在其赎金记录中添加随机的支付链接，以使 DDoS 等反击手段难以影响其支付网站。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342968.html 封面来源于网络，如有侵权请联系删除

据91Mobiles报道，数据隐私是当今数字世界中最令人担忧的问题。有多项关于这个话题的研究显示，科技公司收集了用户的大量敏感数据，似乎这些天在网络上没有什么是安全的。虽然人们无法控制科技巨头收集数据的行为，但可以了解这些公司从用户身上收集了什么以及有多少种数据。而这正是StockApps的一份新报告所揭示的内容。 在寻找哪家科技巨头从其用户那里收集最多的数据时，StockApps发现，这些公司从用户那里收集了多达39种数据，并在需要时使用这些数据，而不需要你担心。这包括Google、苹果、Facebook、亚马逊和Twitter：许多人每天都会频繁使用的网站/应用程序。 根据该报告，Google从用户那里收集的数据最多，有39种。接下来是Twitter，它搜集了24种数据。紧随其后的是亚马逊，它从用户那里累计了23类数据。当用户使用他们的平台时，Meta拥有的 Facebook会获取14种数据。排名最后的是苹果，它在12个不同类别中保存的数据量最少。 来自StockApps.com的Edith Reads对此评论说：“大多数人没有时间或耐心阅读他们访问的每个网站可能长达数页的隐私政策。而且，不是所有用户都有法律背景，这很可能无法正确掌握隐私政策。” “除了用户不能够找到耐心、时间或精力来发现网站存储了哪些信息，以及如何利用这些信息来获取利益。这意味着，用户通过接受隐私政策，能够让Google获取他们所需要的所有信息”。” 虽然报告没有强调这些公司到底绞尽脑汁地收集了哪些数据，但它确实表明，收集的数据被用于他们的利益，这很可能是根据用户的搜索历史或在社交平台上的互动来投放广告。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1308141.htm 封面来源于网络，如有侵权请联系删除

勒索软件 LockBit 运营的多家数据泄露站点由于遭到 DDoS 攻击而在上周末关闭，这些攻击的目的是要求该组织移除从 Entrust 盗取的数据。在 7 月下旬，数字安全机构 Entrust 确认在今年 6 月遭到网络攻击，攻击者从网络中窃取了部分数据。 当时消息人士告诉 BleepingComputer，这是一次勒索软件攻击，但我们无法独立确认背后的原因。上周末，LockBit 宣布对本次攻击负责，并于上周五开始公开泄漏的数据。 在描述中提供了 30 张样本截图，显示了法律文件、营销电子表格和会计数据。在他们开始泄露数据后不久，研究人员开始报告说，勒索软件团伙的 Tor 数据泄露站点由于 DDoS 攻击而无法使用。 昨天，安全研究小组 VX-Underground 从 LockBitSupp（LockBit 勒索软件运营的公众账号）处获悉，其 Tor 站点遭到了攻击，而且他们认为和 Entrust 有关联。 LockBitSupp 表示：“在数据公开和谈判开始之后这些 DDoS 攻击立即开始了，很显然这是 Entrust 的手笔，不然还有谁需要呢？此外，在攻击日志中就提到了要求移除这些数据”。 从这些 HTTPS 请求中可以看出，攻击者在浏览器用户代理字段中向 LockBit 添加了一条消息，告诉他们删除 Entrust 的数据。思科 Talos 研究员 Azim Shukuhi 在Twitter上表示，对 LockBit 服务器的 DDoS 攻击包括“每秒来自 1000 多台服务器的 400 个请求”。 作为对攻击的报复，LockBit 的数据泄露站点现在显示一条消息，警告说勒索软件团伙计划将 Entrust 的所有数据作为种子上传，这将使其几乎不可能被删除。 此外，威胁行为者与安全研究员 Soufiane Tahiri 分享了 Entrust 和勒索软件团伙之间所谓的谈判。该聊天记录表明，最初的赎金要求为 800 万美元，后来降至 680 万美元。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1307537.htm 封面来源于网络，如有侵权请联系删除

研究人员在英特尔 CPU 中发现了一个名为 ÆPIC 的新漏洞，该漏洞使攻击者能够从处理器中获取加密密钥和其他机密信息。ÆPIC 泄漏( CVE-2022-21233 ) 是第一个架构上的CPU 错误，它可能导致敏感数据泄露并影响大多数第 10 代、第 11 代和第 12 代 Intel CPU。 ÆPIC Leak 适用于基于 Ice Lake、Alder Lake 和 Ice Lake SP 的最新 Intel CPU，并且不依赖于启用的超线程。 英特尔发布的公告：“某些英特尔® 处理器中的潜在安全漏洞可能允许信息泄露。英特尔正在发布固件更新以解决此潜在漏洞。” “某些英特尔(R) 处理器中共享资源的不当隔离可能允许特权用户通过本地访问潜在启用信息泄露。” 该漏洞的发现是罗马第一大学、格拉茨科技大学、亚马逊网络服务和 CISPA 亥姆霍兹信息安全中心的研究人员进行的研究的结果。 与Meltdown 和 Spectre不同，ÆPIC Leak 是一个架构漏洞，这意味着敏感数据会在不依赖侧信道攻击的情况下被泄露。 研究人员说：“ÆPIC Leak 就像在 CPU 本身中读取的未初始化内存。访问 APIC MMIO 需要特权攻击者（管理员或 root）。因此，大多数系统都不会受到 ÆPIC 泄漏的影响。然而，依靠 SGX 保护数据免受特权攻击者的系统将面临风险，因此必须进行修补。” CVE-2022-21233问题存在于高级可编程中断控制器 ( APIC ) 中，负责接受、确定优先级并将中断分派给处理器。 “基于 Sunny Cove 微架构的英特尔 CPU 上的 I/O 地址空间扫描显示，本地高级可编程中断控制器 (APIC) 的内存映射寄存器未正确初始化。因此，从架构上读取这些寄存器会返回来自微架构的陈旧数据。由于只有特权软件才能访问 I/O 地址空间，ÆPIC Leak 的目标是英特尔的 TEE、SGX。ÆPIC Leak 可能会从运行在同一物理内核上的 SGX enclave 泄露数据。虽然 ÆPIC Leak 会在虚拟化环境中构成巨大威胁，但管理程序通常不会将本地 APIC 寄存器暴露给虚拟机，从而消除了基于云的场景中的威胁。” 专家们使用 100 个不同的随机密钥测试了 ÆPIC Leak 问题，并试图通过一次攻击来泄露 AES 密钥。结果是完整的密钥恢复平均需要 1.35 秒 （n = 100，σ = 15.70%），成功率为 94% 该漏洞使具有权限的攻击者能够在目标机器上执行特权本机代码以提取私钥，并且更糟糕的是破坏证明，这是 SGX 中用于确保代码和数据完整性的安全原语的基石。“我们展示了允许泄露内存和寄存器中的数据的攻击。我们展示了 ÆPIC Leak 如何完全打破 SGX 提供的保证，确定性地泄露 AES 密钥、RSA 私钥，并提取 SGX 密封密钥以进行远程认证。” 研究人员还提出了几种固件和软件缓解措施，以防止 ÆPIC Leak 泄露敏感数据或完全防止 ÆPIC Leak。 英特尔已经发布了固件更新以解决该漏洞。 随着研究人员展示了对影响 AMD Zen 1、Zen 2 和 Zen 3 微架构的调度程序队列的首次侧信道攻击 (CVE-2021-46778)，攻击者可能会滥用该攻击来恢复 RSA 密钥。 该攻击代号为 SQUIP（Scheduler Queue Usage via Interference Probing 的缩写），需要测量调度程序队列的争用级别，以潜在地收集敏感信息。 尚未发布任何安全更新来修补攻击线，但该芯片制造商建议 “软件开发人员采用现有的最佳实践，包括恒定时间算法并在适当的情况下避免依赖秘密的控制流。” 转自 E安全 ，原文链接：https://mp.weixin.qq.com/s/0rn40GzfZaQJo4-hkHOklA 封面来源于网络，如有侵权请联系删除

2022年8月10日，思科证实，Yanluowang勒索软件集团在今年5月下旬入侵了公司网络，攻击者试图以泄露被盗数据威胁索要赎金。 对此，思科发言人表示，攻击者只能从与受感染员工帐户相关联的 Box 文件夹中获取和窃取非敏感数据，声称公司及时采取了相应行动进行遏制。 “思科未发现此事件对我们的业务造成任何影响，包括思科产品或服务、敏感的客户数据或敏感的员工信息、知识产权或供应链运营。8 月 10 日，攻击者将此次安全事件中的文件列表发布到了暗网。但思科采取了额外措施来保护系统，并分享技术细节以帮助保护更广泛的安全社区。” Yanluowang 发给 Cisco 的邮件 用于破坏思科网络的被盗员工凭证 Yanluowang 攻击者在劫持员工的个人 Google 帐户（包含从其浏览器同步的凭据）后，使用员工被盗的凭据获得了对思科网络的访问权限。随后，攻击者多因素身份验证 (MFA) 推送说服员工接受该通知，并假冒受信任的支持组织发起了一系列复杂的语音网络钓鱼攻击。 最终，攻击者者诱骗受害者接受其中一个 MFA 通知，并在目标用户的上下文中获得了对 VPN 的访问权限。一旦他们在公司的企业网络上站稳脚跟，Yanluowang运营商随即横向扩展到思科服务器和域控制器。 在获得域管理员权限后，他们使用 ntdsutil、adfind 和 secretsdump 等枚举工具收集更多信息，并将一系列有效负载安装到受感染的系统上，其中就包括后门。 在获得初始访问权限后，攻击者进行了各种活动来维护访问权限，最大限度地减少取证，并提高他们对环境中系统的访问级别。虽然思科检测到了该攻击行为并将其驱逐出环境，但在未来的几周内，Yanluowang依旧尝试重新获得访问权限，均未成功。 黑客声称从思科窃取数据 虽然思科一再强调，Yanluowang勒索组织在攻击期间没有在其网络上部署任何勒索软件。 Talos 专家在报告中指出，“我们没有在这次攻击中观察到勒索软件的部署，但使用的 TTP 与“勒索软件前活动”一致，这是在受害者环境中部署勒索软件之前通常观察到的活动。观察到的许多 TTP 与 CTIR 在之前的交战中观察到的活动是一致的。我们的分析还建议重用与这些先前参与相关的服务器端基础设施。在之前的活动中，我们也没有观察到勒索软件在受害者环境中的部署。” 但攻击者声称已经从窃取了2.75GB数据，大约有3100个文件，其中很多文件涉及保密协议、数据转储和工程图纸。此外，攻击者还公布了一份在攻击中被盗的经过编辑的 NDA 文件，作为攻击的证据，并“暗示”他们破坏了思科的网络并泄露了文件。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341607.html 封面来源于网络，如有侵权请联系删除

据Bleeping Computer网站8月8日消息，云通讯巨头Twilio表示，有攻击者利用短信网络钓鱼攻击窃取了员工凭证，并潜入内部系统泄露了部分客户数据。 根据Twilio在上周末的公开披露，8月4日，Twilio首次注意到了这些旨在窃取员工凭证的复杂社会工程学攻击。这些攻击者冒充公司内部的IT部门人员，向公司员工发送短信，警告他们的系统密码已经过期，需要通过点击短信附带的URL进行修改。该URL带有“Twilio”、“Okta”和“SSO”等具有高仿真性的字段，受害员工一旦点击便会跳转到一个克隆的 Twilio 登录页面。 当被问及有多少员工的帐户在网络钓鱼攻击中“失陷”，以及有多少客户数据受到泄露影响时，Twilio 的 EMEA 通讯总监 Katherine James 拒绝透露相关信息。Twilio 对外表示，已经与美国的短信供应商取得联系，封闭了发送钓鱼短信的账户。 员工收到的钓鱼短信 Twilio尚未确定攻击者的身份，但已联系执法部门对攻击者展开调查。为此，Twilio已经封禁了在攻击期间遭到破坏的员工账户，以阻止攻击者访问其系统，并已开始通知受此事件影响的客户。 Twillio在 17 个国家和地区拥有26 个办事处，共计 5000 多名员工，提供可编程语音、文本、聊天、视频和电子邮件 API，被超过 1000 万开发人员和 150000 家企业用于构建客户参与平台。 Twilio还在2015年2月收购了Authy，这是一家面向终端用户、开发者和企业的流行双因素认证（2FA）供应商，在全球拥有数百万用户。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/341361.html 封面来源于网络，如有侵权请联系删除

Twitter 证实，最近泄露 540 万个账户数据的数据泄露事件是由利用零日漏洞造成的。7月底，一名威胁参与者泄露了 540 万个 Twitter 账户的数据，这些账户是通过利用Twitter 平台中现已修复的漏洞获得的。 威胁行为者在流行的黑客论坛 Breached Forums 上出售被盗数据。早在一月份，Hacker 上发布的一份报告声称发现了一个漏洞，攻击者可以利用该漏洞通过相关的电话号码/电子邮件找到 Twitter 账户，即使用户已选择在隐私选项中阻止这种情况。 “该漏洞允许任何未经任何身份验证的一方 通过提交电话号码/电子邮件来获取任何用户的Twitter ID（这几乎等于获取账户的用户名），即使用户已在隐私设置中禁止此操作。由于 Twitter 的 Android 客户端中使用的授权过程，特别是在检查 Twitter 账户重复的过程中，存在该错误。”zhirinovskiy 提交的报告中指出：“通过漏洞赏金平台 HackerOne，这是一个严重的威胁，因为人们不仅可以找到限制通过电子邮件/电话号码找到能力的用户，而且任何具有脚本/编码基本知识的攻击者都可以列举出大量无法使用的 Twitter 用户群枚举之前（创建一个带有电话/电子邮件到用户名连接的数据库）。此类基地可以出售给恶意方用于广告目的，或用于在不同的恶意活动中对名人进行攻击。” 卖家声称该数据库包含从名人到公司的用户数据（即电子邮件、电话号码）。卖家还以 csv 文件的形式分享了一份数据样本。 在帖子发布几个小时后，Breach Forums 的所有者验证了泄漏的真实性，并指出它是通过上述 HackerOne 报告中的漏洞提取的。 “我们下载了样本数据库进行验证和分析。它包括来自世界各地的人，拥有公开的个人资料信息以及与该账户一起使用的 Twitter 用户的电子邮件或电话号码。” 卖家告诉 RestorePrivacy，他要求为整个数据库至少支付 30,000 美元。 现在 Twitter 确认数据泄露是由 zhirinovskiy 通过漏洞赏金平台 HackerOne 提交的现已修补的零日漏洞造成的。 Twitter 确认了此漏洞的存在，并授予了 zhirinovskiy 5,040美元的奖金。 “我们想让你知道一个漏洞，该漏洞允许某人在登录流程中输入电话号码或电子邮件地址，以试图了解该信息是否与现有的 Twitter 账户相关联，如果是，哪个特定账户。” Twitter 的公告。“在 2022 年 1 月，我们通过我们的漏洞赏金计划收到了一份漏洞报告，该漏洞允许某人识别与账户关联的电子邮件或电话号码，或者，如果他们知道某人的电子邮件或电话号码，他们可以识别他们的 Twitter 账户，如果存在的话，”这家社交媒体公司继续说道。 “这个错误是由 2021 年 6 月我们的代码更新造成的。当我们了解到这一点时，我们立即进行了调查并修复了它。当时，我们没有证据表明有人利用了这个漏洞。” 该公司正在通知受影响的用户，它还补充说，它知道安全漏洞对那些使用假名 Twitter 账户以保护其隐私的用户造成的风险。没有泄露密码，但鼓励其用户 使用身份验证应用程序或硬件安全密钥启用 2 因素身份 验证，以保护其账户免受未经授权的登录。 BleepingComputer报告说，两个不同的威胁参与者以低于原始售价的价格购买了这些数据。这意味着威胁行为者将来可以使用这些数据来攻击 Twitter 账户。 转自 E安全 ，原文链接：https://mp.weixin.qq.com/s/G9mHzpFpEcbLzwDb1KpuMg 封面来源于网络，如有侵权请联系删除