今天是微软2024 年 1 月补丁日，修复了总共 49 个漏洞，其中包括 12 个远程代码执行漏洞。有两个漏洞被列为严重级别，一个是 Windows Kerberos 安全功能绕过，另一个是 Hyper-V RCE。 按漏洞类别分类为： 10个特权提升漏洞 7个安全功能绕过漏洞 12个远程代码执行漏洞 11个信息泄露漏洞 6个拒绝服务漏洞 3个欺骗漏洞 微软敦促 Windows 集群管理员优先考虑 Windows Kerberos 中的功能绕过问题和 Windows Hyper-V 中的竞争条件问题。 Windows Kerberos 安全功能绕过缺陷（编号为CVE-2024-20674），该漏洞可能导致远程代码执行攻击以及 Windows Hyper-V 中的竞争条件问题。 未经身份验证的攻击者可以通过建立中间机 (MITM) 攻击或其他本地网络欺骗技术来利用此漏洞，然后向客户端受害者计算机发送恶意 Kerberos 消息，将其自身欺骗为 Kerberos 身份验证服务器。 成功利用此漏洞要求攻击者在发起攻击之前首先需要获得对受限网络的访问权限。 Windows Kerberos 漏洞的 CVSS 严重性评级为 9 （满分 10 ）。 微软还敦促立即修补Windows Hyper-V 漏洞（编号：CVE-2024-20700），警告竞争条件会使操作系统遭受远程代码执行攻击。 微软补丁日更新发布还涵盖了 Microsoft Office、Azure、SQL Server、Internet Explorer、Windows LibArchive 和 SharePoint Server 中的其他数十个安全问题。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/JST8pEWDmfHcgNd3W7u9yw 封面来源于网络，如有侵权请联系删除

OT 网络安全公司 Nozomi Networks 表示，在汽车行业广泛使用的博世力士乐螺母扳手中发现的漏洞可能会被寻求直接经济利益的黑客或试图对目标工业组织造成破坏的攻击者利用。 Nozomi 研究人员在博世力士乐的 NXA015S-36V-B 产品中发现了安全漏洞，该产品是一款无线手持式气动扭矩扳手（也称为螺母扳手），专为安全关键的拧紧操作而设计。 该机器有一个内置显示器，为操作员提供实时数据，它还可以通过嵌入式 Wi-Fi 模块连接到无线网络，使其能够将数据传输到服务器，并允许用户远程重新编程。 Nozomi 研究人员发现了二十多个漏洞，其中大部分存在于 NEXO-OS 操作系统的管理应用程序中，还有一些与 SCADA、PLC 和其他系统集成而设计的通信协议有关。 利用这些漏洞可能会让未经身份验证的攻击者完全控制螺母扳手。该网络安全公司进行的实验室测试展示了攻击者如何发起勒索软件攻击，其中包括使设备无法操作并在其内置屏幕上显示勒索消息。更糟糕的是，这种攻击可以自动攻击公司的所有螺母操作员，从而导致生产线中断。 在该公司在实验室模拟的另一个攻击场景中，攻击者改变了拧紧程序配置，特别是扭矩值。这可能会导致螺栓松动，从而导致安全风险，或者制造出有缺陷的产品，从而导致财务或声誉损失。 “在关键应用中，应用到机械紧固件的最终扭矩水平经过计算和设计，以确保满足设备的整体设计和操作性能。”Nozomi 解释道。“例如，电气配电盘中使用的螺栓、螺母和固定装置必须适当拧紧，以确保高压母线等载流部件之间的连接保持低电阻。连接松动会导致工作温度升高，随着时间的推移，可能会引起火灾。” 另一方面，过度拧紧会给螺栓和螺母带来过大的压力，这可能会导致机械故障，可能导致过多的保修索赔和企业声誉受损。 总共 25 个 CVE 分配给这些缺陷，其中 11 个具有“高严重性”评级。 未经身份验证的攻击者如果能够向目标设备发送网络数据包，就可以利用 root 权限实现远程代码执行，从而彻底破坏系统。虽然利用某些缺陷需要身份验证，但可以通过将它们与其他漏洞（例如硬编码凭据）链接来实现此要求。 虽然这些漏洞是在 NXA015S-36V-B 产品中发现的，但其他力士乐 Nexo 螺母扳手也受到影响，包括多个 NXA、NXP 和 NXV 系列设备。 Bosch Rexroth 已获悉这些漏洞，Nozomi 表示该公司计划在 2024 年 1 月底之前修复这些漏洞。该供应商已发布了自己的安全公告。 为了防止恶意利用，该网络安全公司尚未公开任何技术信息。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/JST8pEWDmfHcgNd3W7u9yw 封面来源于网络，如有侵权请联系删除

2023 年 12 月底，两个黑客组织Lumma和Rhadamanthys使用 API 来恢复在攻击中被盗的过期Google凭据。 之后，另外四个勒索软件程序——Stealc、Medusa、RisePro 和 Whitesnake——也开始使用类似的技术。安全公司 CloudSEK 发现， 当受害者原来被盗的 Google cookie 过期时，恶意软件会使用 Google 的 OAuth“MultiLogin”API 创建新的操作身份验证 cookie。 该API旨在同步不同Google服务的帐户。该恶意软件不仅窃取 Google 网站的身份验证 cookie，还窃取可用于更新或创建新身份验证令牌的特殊令牌。研究人员无法从 Google 找到有关此 API 的更多信息，唯一的文档可以 在 Google Chrome 源代码中找到。 谷歌在声明中证实，它已了解这一情况，但将该问题视为通过恶意软件窃取 cookie 的简单行为。该公司声称会定期更新其保护机制并帮助受恶意软件影响的用户。 Google 建议用户在受影响的设备上注销 Chrome 帐户，并 通过 “我的设备”菜单使所有活动会话失效，这将使刷新令牌无法与 API 一起使用。此外，谷歌建议用户更改密码，特别是如果该密码已在其他网站上使用过。 然而，许多受影响的用户不知道何时或如何采取建议的措施。通常，他们只有在帐户遭到黑客攻击和滥用后才发现账户被感染。Orange Spain 员工的案例就是一个例子，该员工在使用被盗凭据登录公司帐户并更改其 BGP 配置后才发现感染情况 ，从而导致互联网服务中断。 谷歌目前正在通知 API 滥用的受害者，但仍然存在关于如何通知未来受害者以及他们如何知道退出浏览器以撤销身份验证令牌的问题。 许多专家认为，最好的解决方案是限制对上述 API 的访问，以防止其被利用。不过，目前还没有消息表明谷歌计划采取此类措施。谷歌没有回应有关其打击 API 滥用计划的问题。 转自安全客，原文链接：https://www.anquanke.com/post/id/292437 封面来源于网络，如有侵权请联系删除

Ivanti 于 1 月 4 日修复了其端点管理器 (EPM) 软件中的一个严重漏洞 (CVSS 9.6)，该漏洞可能会让具有内部访问权限的攻击者启动远程代码执行 (RCE)。 该漏洞（CVE-2023-39336）如果被利用，可能会让黑客利用未指定的 SQL 注入来执行任意 SQL 查询并检索输出，而无需进行身份验证。 Ivanti在博客文章中表示，这可以让黑客控制运行 EPM 代理的计算机，并且当核心服务器配置为使用 SQL Express 时，这可能会导致核心服务器上出现 RCE。 Ivanti 明确表示，没有迹象表明客户受到该漏洞的影响。不过，该公司表示，该错误会影响该产品的所有受支持版本，并已在Ivanti EPM 2022 服务更新 5中得到解决。供应商将hir0ot归功于识别和报告 Ivanti EPM 问题。 安全专业人员应注意，Ivanti 在过去几个月中其产品遇到了问题。8 月，Ivanti披露其 Ivanti Sentry 网关中的一个零日漏洞正在被广泛利用。2023 年夏天，其端点管理器移动 (EPMM) 平台面临两个备受瞩目的严重漏洞，其中一个漏洞在对挪威政府12 个部委的攻击中被利用。 太多 IT 资产忽视端点保护 Sevco Security 联合创始人 Greg Fitzgerald 解释说，黑客已经非常擅长劫持易受攻击的端点并利用它们访问数据和企业网络。Fitzgerald 表示，Ivanti 漏洞的好消息是，似乎没有人利用了该漏洞。坏消息：这种类型的漏洞只是端点安全的冰山一角。 Fitzgerald 指出，Sevco 最近的研究发现了一个更深层次的问题：许多公司对缺少端点保护等关键控制的 IT 资产视而不见。研究发现，11% 的 IT 资产一开始就缺少端点保护。同一数据显示，15% 的 IT 资产未被企业补丁管理解决方案覆盖，31% 的 IT 资产未被企业漏洞管理系统覆盖。 “这些数据点结合起来指向了一个需要注意的问题，”菲茨杰拉德说。“太多的 IT 资产对于安全团队来说是不可见的。您无法保护或修补您不了解的 IT 资产。这就是为什么准确、最新的 IT 资产清单至关重要。” Ontinue 威胁响应负责人 Balasz Greksza 补充道，除了启动 RCE 之外，最新的缺陷还可能通过卸载/禁用运行 EPM 代理的主机上的安全产品、部署恶意驱动程序或勒索软件，以及留下持久性植入来删除它们。在组织的关键主机上。 Greksza 表示：“该漏洞的利用噪音相对较低，并且需要安全事件响应人员直接监控 SQL 查询。” 转自安全客，原文链接：https://www.anquanke.com/post/id/292442 封面来源于网络，如有侵权请联系删除

安全研究人员近期检测到了数百个 IP 地址，这些地址扫描或试图利用 Apache RocketMQ 服务中存在的远程命令执行漏洞 CVE-2023-33246 和 CVE-2023-37582。 这两个安全漏洞的危险程度都很高，其中 CVE-2023-33246 漏洞主要影响包括 NameServer、Broker 和 Controller 等在内的多个组件。 据悉，Apache 已经发布了一个针对 RocketMQ 中 NameServer 组件的不完整的修复程序，但 Apache RocketMQ 项目管理委员会成员 Rongtong Jin 警告称，鉴于 CVE-2023-33246 漏洞问题在 5.1.1 版本中未得到完全修复，RocketMQ NameServer 组件中仍存在远程命令执行漏洞。 安全研究人员表示，在易受攻击的网络系统上，当 NameServer 的地址在未经适当权限检查的情况下在线暴露时，黑客便可以利用 CVE-2023-33246 漏洞，使用 NameServer 上的更新配置功能来执行任意命令。 此外，研究人员进一步指出，黑客还能够利用 CVE-2023-37582 安全漏洞，以 RocketMQ 正在运行的系统用户身份执行任意命令，建议将 RocketMQ 5.x/4.x 的 NameServer 升级到 5.1.2/4.9.7 或更高版本，以避免遭受网络攻击。 威胁跟踪平台 The ShadowServer Foundation 已记录了数百个主机扫描在线暴露的 RocketMQ 系统，其中一些主机正在试图利用 CVE-2023-33246 和 CVE-2023-37582 这两个安全漏洞。ShadowServer 强调，它所观察到的攻击活动可能是潜在黑客的侦查尝试、利用行为，甚至是研究人员扫描暴露端点的一部分。 至少从 2023 年 8 月起，就有很多黑客瞄准了易受攻击的 Apache RocketMQ 系统，当时研究人员就已经观察了 DreamBus 僵尸网络利用 CVE-2023-33246 安全漏洞，在易受攻击的服务器上投放 XMRig Monero 矿机。 2023 年 9 月，美国网络安全和基础设施安全局（CISA）敦促联邦机构在当月底前修补 CVE-2023-33246漏洞，并就其活跃利用状态发出了严重警告。 转自FreeBuf，原文链接：https://www.freebuf.com/articles/389018.html 封面来源于网络，如有侵权请联系删除

未知组织已针对 Apache 的 OfBiz 企业资源规划 (ERP) 框架中发现的零日漏洞发起了调查，该框架是一种日益流行的分析补丁以寻找绕过软件修复方法的策略。 根据网络安全公司 SonicWall 的分析，12 月 26 日披露的 Apache OFBiz 中的0day 漏洞(CVE-2023-51467)允许黑客访问敏感信息并针对使用 ERP 框架的应用程序远程执行代码。Apache 软件基金会最初发布了针对相关漏洞CVE-2023-49070的补丁 ，但该修复无法防范其他变体的攻击。 SonicWall  威胁研究执行总监道格拉斯·麦基 (Douglas McKee) 表示，该事件突显了黑客对针对高价值漏洞发布的任何补丁进行仔细审查的策略，这些努力通常会导致找到绕过软件修复的方法。 “一旦有人完成了工作，说‘哦，这里存在一个漏洞’，现在一大群研究人员或黑客就可以关注这个漏洞，而你就让自己接受了更多的考验，“ 他说。“你已经引起了对该代码区域的注意，如果你的补丁不是坚如磐石或者遗漏了某些内容，那么它更有可能被发现，因为你对它有额外的关注。” SonicWall 研究人员 Hasib Vhora 分析了 12 月 5 日的补丁，发现了利用该问题的其他方法，该公司于 12 月 14 日向 Apache 软件基金会报告了这一情况。 Vhora在问题分析中表示：“在分析 CVE-2023-49070 补丁时，我们对所选择的缓解措施很感兴趣，并怀疑仍然存在身份验证被绕过的情况，因为该补丁只是从应用程序中删除了 XML RPC 代码。” 。“因此，我们决定深入研究代码，找出身份验证绕过问题的根本原因。” 补丁存在漏洞 Apache 并不是唯一一家发布了黑客能够绕过的补丁的公司。根据谷歌威胁分析小组 (TAG) 发布的数据，2020 年，使用零日漏洞攻击的 24 个漏洞中有 6 个 (25%) 是之前修补的安全问题的变体。谷歌在更新的分析中表示，到 2022 年，受到零日漏洞攻击的 41 个漏洞中，有 17 个（41%）是先前修补问题的变体。 Google Mandiant 的高级经理 Jared Semrau 表示，公司未能完全修补问题的原因有很多，从不了解问题的根本原因到处理大量积压的软件漏洞，再到优先考虑立即修补而不是全面修复。 “对于为什么会发生这种情况，没有简单、单一的答案，”他说。“有几个因素可能会导致补丁不完整，但SonicWall 研究人员是绝对正确的 – 很多时候公司只是修补已知的攻击向量。” 谷歌预计，针对未完全修补的漏洞的零日攻击所占比例仍将是一个重要因素。从黑客的角度来看，发现应用程序中的漏洞很困难，因为研究人员和黑客必须查看数十万或数百万行代码。通过专注于可能尚未正确修补的有前途的漏洞，黑客可以继续攻击已知的弱点，而不是从头开始。 解决 OfBiz 问题的方法 在很多方面，这就是 Apache OfBiz 漏洞所发生的情况。原始报告描述了两个问题：需要访问 XML-RPC 接口 (CVE-2023-49070) 的 RCE 缺陷，以及为不受信任的黑客提供此访问权限的身份验证绕过问题。ASF 安全响应团队在回答 Dark Reading 的问题时表示，Apache 软件基金会认为删除 XML-RPC 端点可以防止这两个问题被利用。 “不幸的是，我们忽略了相同的身份验证绕过还会影响其他端点，而不仅仅是 XML-RPC 端点，”该团队表示。“一旦我们意识到这一点，第二个补丁就在几个小时内发布了。” Apache 软件基金会成员 Deepak Dixit在 Openwall 邮件列表中表示，该漏洞被 Apache 追踪为 OFBIZ-12873，“允许黑客绕过身份验证以实现简单的服务器端请求伪造 (SSRF)” 。他认为 SonicWall 威胁研究员 Hasib Vhora 和另外两名研究人员（Gao Tian 和 L0ne1y）发现了这个问题。 由于 OfBiz 是一个框架，是软件供应链的一部分，因此该漏洞的影响可能会很广泛。例如，流行的 Atlassian Jira 项目和问题跟踪软件使用 OfBiz 库，但该漏洞能否在该平台上成功执行仍然未知。 Sonicwall 的 McKee 表示：“这将取决于每家公司构建网络的方式以及配置软件的方式，”他说。“我想说，典型的基础设施不会面向互联网，它需要某种类型的 VPN 或内部访问。” ASF 安全响应团队表示，无论如何，公司都应该采取措施，将已知使用 OfBiz 的任何应用程序修补到最新版本。 “我们对使用 Apache OFBiz 的公司的建议是遵循安全最佳实践，包括仅向需要的用户授予对系统的访问权限，确保定期更新您的软件，并确保您有能力在安全问题发生时做出响应。” 转自安全客，原文链接：https://www.anquanke.com/post/id/292408 封面来源于网络，如有侵权请联系删除

谷歌周三宣布了 2024 年首个 Chrome 安全更新，解决了 6 个漏洞，其中包括外部研究人员报告的 4 个漏洞。 谷歌在其公告中指出，外部报告的所有四个安全缺陷都是高严重性内存安全缺陷，但仅针对其中三个提供了错误赏金奖励。 前两个错误分别为 CVE-2024-0222 和 CVE-2024-0223，是图形渲染引擎 ANGLE 中的释放后使用漏洞和堆缓冲区溢出漏洞。 这两个问题均由 Qrious Secure 研究人员报告，他们每个问题都获得了 15,000 美元的漏洞赏金奖励。 第三个错误 CVE-2024-0224 是 Chrome 的 WebAudio 组件中的释放后使用缺陷。谷歌表示，针对该漏洞，它向报告该漏洞的蚂蚁集团光年安全实验室研究人员提供了 10,000 美元的漏洞赏金。 最新的 Chrome 更新还解决了 WebGPU 中的释放后使用漏洞。该错误被追踪为 CVE-2024-0225，谷歌尚未透露向报告研究人员支付的错误赏金金额。 当释放内存分配时未清除指针时，就会出现释放后使用问题，通常会导致任意代码执行、数据损坏或拒绝服务。 在 Chrome 中，如果黑客针对底层操作系统或特权进程中的缺陷，则可以利用释放后使用错误来规避浏览器的沙箱。 谷歌长期以来一直致力于提高 Chrome 中的内存安全性，并强化了浏览器以防止利用释放后使用漏洞。 尽管做出了这些努力，去年浏览器中还是记录了数十个释放后使用问题，其中大多数被评为“高危”。 最新的 Chrome 迭代现已推出，适用于 macOS 和 Linux 的版本为 120.0.6099.199，适用于 Windows 的版本为 120.0.6099.199/200。Google 将 Chrome 的扩展稳定通道更新为 macOS 版本 120.0.6099.199 和 Windows 版本 120.0.6099.200。 转自安全客，原文链接：https://www.anquanke.com/post/id/292401 封面来源于网络，如有侵权请联系删除

Chrome和Excel解析库存在被利用的漏洞。在发现漏洞之后，美国网络安全和基础设施安全局（CISA）立即向联邦机构发布了紧急通知，要求机构在1月23日前完成风险缓解工作，并遵循供应商的指南迅速解决这些漏洞。 目前，美国网络安全和基础设施安全局（CISA）已经将两个识别出来的重大漏洞添加到被利用漏洞（KEV）目录中。其中一个是最近修补的Google Chrome中的漏洞，另一个是影响开源Perl库“Spreadsheet::ParseExcel”的漏洞，该库被用于读取Excel文件中的信息。 CVE-2023-7024 CVE-2023-7024是2023年12月前发现的Google Chrome中WebRTC组件的一个严重漏洞，它允许黑客通过特制的HTML页面利用堆缓冲区溢出，最终控制受害者的电脑。 Google在2023年12月已经修补了这个安全漏洞，对于那些已经更新到修补版本浏览器的用户来说，它不再构成威胁。为了保护浏览器和其他软件不受未来漏洞的侵害，建议用户将它们更新到最新版本。 CVE-2023-7101 CVE-2023-7101是一个影响Spreadsheet::ParseExcel的关键漏洞，而Spreadsheet::ParseExcel是用来解析Excel文件的Perl模块，它暴露了远程代码执行（RCE）的风险，允许黑客通过特制的Excel文件控制易受攻击的系统。 该漏洞允许黑客将恶意Excel文件上传到易受攻击的系统，也可以利用数字格式字符串在系统上执行任意代码，黑客可能通过这些操作窃取敏感数据（密码、个人信息等）、安装恶意软件、扰乱系统操作，甚至完全控制受影响的系统。 目前，Spreadsheet::ParseExcel软件版本是0.65的用户可能会受到这一漏洞的影响。值得注意的是，该漏洞的影响范围扩展到了用Perl开发的各种应用程序和框架，因此也可能会影响整个系统。 为了解决这一漏洞，Metacpan已经发布了一个修补版本0.66，作为预防措施，强烈建议用户尽快更新到修补版本。在无法立即更新的情况下，建议用户采取缓解措施，例如限制文件上传或禁用与Spreadsheet::ParseExcel相关的功能。 Qualys威胁研究部门首席威胁情报分析师奥布雷·佩林表示，“CVE-2023-7101是一个Perl库的漏洞，它已经引起了广泛关注，这一点在网络和电子邮件安全公司Barracuda的设备中的使用可以看出。” 奥布雷指出，这一漏洞已被公开，勒索软件使用者利用它来进行恶意操作的风险已经增加，建议企业彻底评估环境，检查是否有‘Spreadsheet::ParseExcel’实例需要更新或移除。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388779.html 封面来源于网络，如有侵权请联系删除

在最近举行的混沌计算机俱乐部黑客大会上，来自柏林工业大学的三名网络安全研究人员展示了他们破解特斯拉自动驾驶系统的过程。他们使用成本较低的设备，不仅获取到了敏感的系统文件和用户数据，还成功解锁了特斯拉自动驾驶的隐藏模式——“ Elon 模式”。 来自柏林工业大学的三名博士生使用约660美元的工具，成功破解并root了特斯拉自动驾驶仪（基于ARM64的电路板）。他们能够提取出任意代码和用户数据，包括加密密钥和重要的系统组件。他们还访问了已删除的GPS坐标视频，因为该视频未被覆盖。 侵入系统后，汽车沿路所见的视频片段，附有 GPS 坐标 最重要的是，他们发现了隐藏的“Elon模式”，这个功能是特斯拉自动驾驶技术的一部分，但从未被特斯拉公司公开承认。 特斯拉的“Elon模式”是一种全自动驾驶功能，以首席执行官埃隆·马斯克的名字命名。该模式启用时，会减少提示驾驶员将手放在方向盘上的警报频率。车辆可以在没有驾驶员操作或监控的情况下进行自动驾驶。这违反了特斯拉的官方建议并且存在潜在危险。 这个模式是在2023年6月被网络安全研究人员greentheonly首次发现的。2020年5月，@greentheonly曾在推特上透露，他在电子商务平台eBay上销售的特斯拉汽车零部件中发现了敏感的客户数据。 据柏林工业大学研究人员的说法，黑客可以利用这个模式来启用其他性能并禁用安全功能。 这不是他们第一次发现特斯拉汽车存在安全漏洞。2023年8月，柏林工业大学研究人员就在美国黑帽大会上报告了他们破解特斯拉系统的技术细节。他们利用蓝牙系统漏洞获取了对特斯拉信息娱乐系统的root访问权限。一旦获得root权限，他们就可以完全控制车辆的操作系统以及激活和停用系统，甚至可以免费启用付费功能，如座椅加热器。他们还可以对Linux进行任意更改，并解密NVMe存储以访问私人用户数据，如日历条目或电话簿。 德国新闻媒体《明镜周刊》的报道称，这项研究是在有条件的实验环境中进行的，在实验室之外操纵他人停放的特斯拉汽车的自动驾驶仪是不太可能的。 尽管如此，这项研究已经证实了关于“Elon模式”的传闻，并可能影响消费者对特斯拉安全架构的信任。它暴露了自动驾驶系统的漏洞，引发了对潜在滥用和道德影响的担忧，强调了采取强有力的网络安全措施的必要性。 转自E安全，原文链接：https://mp.weixin.qq.com/s/2f0dwliWDtXo8InONBB9VQ 封面来源于网络，如有侵权请联系删除

日本游戏开发商 Ateam 称，自 2017 年 3 月以来，公司错误地将Google Drive 云存储账户设置为“任何有链接的人都可以查看”，这个简单的配置错误或已导致近 100 万人在6年多的时间里面临敏感信息泄露的风险。 这家日本公司是一家手机游戏公司，旗下拥有 Ateam Entertainment，该公司在 Google Play 上拥有多款游戏，如 War of Legions、Dark Summoner、Hatsune Miku – Tap Wonder，以及 Memory Clear |Game Boost Master 和 Good Night’s Sleep Alarm。 2023年12月初，Ateam 通知其客户、员工和业务合作伙伴，它错误地将 Google Drive 云存储账户设置为“任何有链接的人都可以查看”，而这个错误早在2017 年 3 月就发生了。 这个配置不安全的 Google Drive账户中包含了 1369 个文件，包括 Ateam 客户、Ateam 业务合作伙伴、前任和现任员工，甚至实习生和申请公司职位的人员的个人信息。 Ateam 已确认 935779 人的数据被泄露，其中 98.9% 是客户。具体到Ateam Entertainment，已经有735710人被曝光。 曝露个体分析（Ateam） 此错误配置曝露的数据因每个人与公司的关系类型而异，可能包括以下内容： 全名 电子邮件地址 电话号码 客户管理号码 终端（设备）标识号 该公司表示，目前没有找到黑客窃取曝露信息的具体证据，但人们还是应该对未经请求的可疑通信保持警惕。 将 Google 云盘设置为“任何知道链接的人都可以查看”，则只有具有确切网址的人才能查看该云盘，该网址通常保留给处理非敏感数据的工作人员。如果员工或其他拥有该链接的人失误公开了它，它可能会被搜索引擎索引并被广泛访问。 虽然任何人都不太可能自行发现曝露的 Google 云端硬盘网址，但此通知表明，公司需要妥善保护其云服务，以防止数据被错误地曝露。 对于黑客和研究人员来说，查找暴露的云服务（例如数据库和存储桶）并下载其中包含的数据是很常见的。 虽然研究人员通常会负责任地披露暴露的数据，但如果黑客发现它，可能会导致更大的问题，因为他们使用它来勒索公司或将其出售给其他黑客以用于他们自己的攻击。 2017 年，安全研究员 Chris Vickery 发现配置错误的 Amazon S3 存储桶暴露了包含全球用户发布的 18 亿条社交和论坛帖子的数据库。 十天后，同一位研究人员发现了另一个配置错误的 S3 存储桶，该存储桶暴露了似乎是来自 INSCOM 的机密信息。 虽然这些违规行为被负责任地披露，但其他云服务错误配置导致数据被泄露或在黑客论坛上出售。 配置错误的 Amazon S3 存储桶已成为一个很大的问题，以至于研究人员已经发布了扫描暴露存储桶的工具。 美国网络安全和基础设施安全局 （CISA） 还为公司发布了关于如何正确保护云服务的指南。 转自E安全，原文链接：https://mp.weixin.qq.com/s/shEDU1po89hlceIT4zWcCw 封面来源于网络，如有侵权请联系删除