多名 Google Pixel 用户反映，在安装 2024 年 1 月新的 Google Play 系统更新后，其设备出现存储错误问题，导致相机应用程序崩溃、文件应用程序无法访问、屏幕截图丢失和存储空间突然不足等一系列问题。 Google Pixel 智能手机用户在进行 2024 年 1 月的 Google Play 系统更新后反映了问题，称无法访问其设备的内部存储、打开相机、截屏甚至打开应用程序。包括 Google Pixel 5、6、6a、7、7a、8 和 8 Pro 在内的众多 Pixel 型号的手机用户都反映了该问题，这表明它并不局限于特定的硬件架构。根本原因尚不清楚，但可能是 2024 年 1 月 Play 系统更新的软件问题，Google 尚未查明或修复。 大多数受影响用户称他们的问题没有被妥善解决，一些用户通过执行恢复出厂设置来解决问题，在这种情况下，所有数据都会丢失。在Reddit的 Pixel 社区论坛上，许多用户都在分享他们的不满。 一位用户表示，“手机似乎无法记住自己数据的位置”。另一位用户表示，他们无法下载任何新内容或保存屏幕截图，称他们的手机“完全无法使用”。人们显然很不安，需要谷歌尽快解决这个问题。 据报道，谷歌已经承认了这个问题，目前正在调查该问题。Google Play系统更新与每月安全补丁是分开的，两者都可以通过“设置”>“安全和隐私”>“系统和更新”访问。Google 在 Android 10 中引入了 Play 系统更新，以便为未运行最新补丁级别的设备以及 OEM 终止支持的设备提供关键的安全更新以及系统组件增强和保护。 它们由 Google 直接提供，绕过 OEM 更新渠道，并且有效地保持较旧的 Android 版本与现代应用程序和 Google 服务兼容，并且相对安全。 就 Pixel 而言，谷歌似乎分阶段推出了 2024 年 1 月的 Play 系统更新，因此并非每个 Pixel 用户都收到了有问题的更新。如果在使用较旧的更新（上次更新是 2023 年 11 月 1 日），建议继续使用并推迟应用 2024 年 1 月的更新。 尽管当前问题的性质尚未得到证实，但 Play 系统更新引入的存储错误此前导致 Pixel 设备在 2023 年 10 月完全无法使用。 谷歌最终于 2023 年 11 月 7 日发布了更新，解决了媒体存储访问和反复重启问题。但是，到那时，许多用户已经求助于执行恢复出厂设置，因此丢失了数据。 对于无法使用手机功能的 Pixel 设备用户来说，在如此短的时间内再次出现此类问题非常令人担忧。这种情况破坏了对谷歌质量保证流程的信任，并引发了人们对这家科技巨头在部署系统更新之前验证和测试协议的严谨性的担忧。   转自E安全，原文链接：https://mp.weixin.qq.com/s/ljrGopCKwWyrn1tVxTYAvw 封面来源于网络，如有侵权请联系删除

最近几天，黑客正在利用多个新的高风险漏洞，这引起了安全专家的警惕，担心这些漏洞将被网络犯罪分子和专业黑客组织利用。 上周，网络安全专家和网络安全和基础设施安全局 (CISA) 等政府机构都强调了影响Apple、VMware、Atlassian、Fortra、Apache等科技巨头的安全漏洞。 周二，CISA回应了Apple 的警告，称 CVE-2024-23222（影响多个版本 iPhone 和 iPad 的漏洞）正被网络犯罪分子利用。 该漏洞是苹果公司在 2024 年宣布的第一个0day漏洞——该公司去年修复了 20 个0day漏洞。该漏洞允许黑客在受害者的设备上执行代码。 “处理恶意制作的网页内容可能会导致任意代码执行。苹果公司已获悉有关该问题可能已被利用的报告.”苹果公司周二表示。 CISA 命令所有联邦民事机构在 2 月 13 日之前修复该漏洞。 该命令发布的同一天，网络安全研究人员对影响 Fortra 的GoAnywhere 文件传输软件的最新漏洞发出了警报，该软件去年成为网络攻击利用的焦点，当时俄罗斯勒索软件团伙使用该工具的另一个漏洞攻击了数十家公司和多国政府机构。 Fortra 在周一发布的公告中表示，CVE-2024-0204 于 12 月被发现，漏洞允许攻击者通过管理门户创建管理员用户帐户，从而使他们能够广泛访问受害者的系统。 该公司敦促客户修补该漏洞，并指出该漏洞的 CVSS 严重性评分为 9.8，表明这是一个高严重性漏洞。 该公司在一份声明中表示，他们“没有关于此 CVE 的野外活跃利用的报告”。 他们还分享了一封 12 月份发送给客户的信，警告该漏洞，并提供有关客户如何解决该问题的详细指南。 Atlassian 和 Apache 攻击 最近有消息称，黑客正在积极攻击影响 Atlassian 和 Apache 产品的两个漏洞。 Greynoise 的研究人员观察到利用 CVE-2023-22527 的尝试急剧增加，该漏洞是 Atlassian 上周宣布的影响 Confluence 数据中心和 Confluence 服务器的漏洞。 Atlassian 表示，该漏洞的最高严重程度为 10，为最高风险等级，Atlassian敦促客户尽快修补该漏洞。 Shadowserver 的专家表示，他们已经看到超过 600 个不同的 IP 地址试图利用暴露在互联网上的 11,000 多个实例。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/oj-sG_XorIQlE5NjUV62lA 封面来源于网络，如有侵权请联系删除

近日，威立雅北美公司披露了一起勒索软件攻击事件，此次攻击影响了其市政水务部门的部分系统，并破坏了其账单支付系统。 在发现攻击后，该公司立即采取了防御措施，并暂时关闭了部分系统，以避免漏洞造成更大的影响 。威立雅目前正与执法部门和第三方取证专家合作，评估攻击对其运营和系统的影响程度。 威立雅公司称，为应对这一事件他们采取了防御措施，包括将目标后端系统和服务器下线，直至恢复。因此，一些客户在使用我们的在线账单支付系统时出现了延迟。目前这些后端系统和服务器现已重新上线，客户的付款不会受到影响。客户不会因延迟付款而受到处罚，也不会因此次服务中断而被收取账单利息。 这次攻击并没有中断威立雅的水处理业务或废水处理服务。威立雅北美公司表示：这次攻击事件仅限于我们的内部后台系统，没有证据表明它影响了我们的水处理或废水处理业务。 截至目前，该公司发现有少数的个人信息在此次漏洞事件中受到影响，目前正在与第三方取证公司合作，评估此次攻击对其运营和系统的影响程度。 威立雅北美公司为大约 550 个社区提供水和废水处理服务，并为大约 100 个工业设施提供工业用水解决方案，每天在美国和加拿大的 416 个设施处理超过 22 亿加仑的水和废水。 跨国威立雅集团在全球拥有近 21.3 万名员工，2022 年收入达 429 亿欧元，为约 1.11 亿人提供饮用水，为约 9700 万人提供污水处理服务。同年，威立雅生产了近44太瓦时的能源，并处理了6100万吨废物。 关键水基础设施遭受攻击 南方水务公司（Southern Water）是一家为英国各地数百万人提供服务的水处理公司，它也是 Black Basta 勒索软件团伙宣称的勒索软件攻击的受害者。 该公司表示目前没有证据表明公司的客户关系或财务系统受到影响。另外公司服务没有受到影响，目前运行正常。 去年11 月，CISA 警告称有威胁者通过入侵在线暴露的 Unitronics 可编程逻辑控制器 (PLC)，入侵了宾夕法尼亚州的一个美国供水设施，但没有危及所服务社区的饮用水安全。 去年9月，美国网络安全机构发布了一项针对供水设施等关键基础设施的免费安全扫描计划，以帮助它们发现安全漏洞并确保系统免受此类攻击。 近年来，美国水和废水系统 (WWS) 部门的设施多次遭到部署 Ghost、ZuCaNo 和 Makop 勒索软件的多个威胁组织的入侵。 在过去二十年中，还发生过其他水务设施被入侵的事件，其中包括 2011 年南休斯顿的一家污水处理厂、2016 年一家软件和硬件设备过时的水务公司、2020 年 8 月南加州 Camrosa 水区以及 2021 年 5 月宾夕法尼亚州的一个水务系统。 针对水务部门日益成为网络攻击目标的情况，CISA、联邦调查局（FBI）和美国环保署（EPA）上周发布了一份事件响应指南，旨在帮助水务公司尽可能的降低水务设施遭遇攻击的风险。   转自Freebuf，原文链接：https://www.freebuf.com/news/390448.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 周一，苹果发布了 iOS、iPadOS、macOS、tvOS 和 Safari Web 浏览器的安全更新，以解决一种在野外被积极利用的零日漏洞。 该漏洞被追踪为 CVE-2024-23222，是一种类型混淆漏洞，黑客可以利用该漏洞在处理恶意构造的 Web 内容时实现任意代码执行。苹果公司表示，通过改进检查已经解决了这个问题。 类型混淆漏洞通常可以被利用来执行越界内存访问，或导致崩溃和任意代码执行。 苹果在一份简短的公告中承认，“我们知道有报告称这个问题可能已被利用”，但没有分享关于攻击性质或利用这一漏洞的黑客的其他具体信息。 更新适用于以下设备和操作系统： iOS 17.3 和 iPadOS 17.3 – iPhone XS 及更高版本，iPad Pro 12.9 英寸第二代及更高版本，iPad Pro 10.5 英寸，iPad Pro 11 英寸第一代及更高版本，iPad Air 第三代及更高版本，iPad 第六代及更高版本，以及 iPad mini 第五代及更高版本 iOS 16.7.5 和 iPadOS 16.7.5 – iPhone 8，iPhone 8 Plus，iPhone X，iPad 第五代，iPad Pro 9.7 英寸，以及 iPad Pro 12.9 英寸第一代 macOS Sonoma 14.3 – 运行 macOS Sonoma 的 Mac macOS Ventura 13.6.4 – 运行 macOS Ventura 的 Mac macOS Monterey 12.7.3 – 运行 macOS Monterey 的 Mac tvOS 17.3 – Apple TV HD 和 Apple TV 4K（所有型号） Safari 17.3 – 运行 macOS Monterey 和 macOS Ventura 的 Mac 这一进展标志着苹果今年第一次修补主动利用的零日漏洞。去年，这家 iPhone 制造商解决了20 个在现实攻击中被利用的零日漏洞。 此外，苹果还将 2023 年 12 月发布的 CVE-2023-42916 和 CVE-2023-42917 的修复措施回溯到旧设备上 ：  iOS 15.8.1 和 iPadOS 15.8.1 – iPhone 6s（所有型号），iPhone 7（所有型号），iPhone SE（第一代），iPad Air 2，iPad mini（第四代）和 iPod touch（第七代） 这一揭露紧随一份报告之后，中国当局透露他们曾利用苹果 AirDrop 功能中已知的先前漏洞，基于彩虹表的技术以帮助执法机构识别发送不当内容的用户。   消息来源：thehackernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

网络安全公司 Varonis 在微软产品中发现了 一个新漏洞，以及多种允许黑客获取用户密码哈希值的攻击方法。 该漏洞编号为 CVE-2023-35636，影响 Outlook 中的日历共享功能，评级为“重要”( CVSS 6.5 )。在它的帮助下，黑客可以向用户发送一封特制的信件，迫使 Outlook 连接到黑客控制的服务器，并向其发送 NTLM v2 哈希值以进行身份验证。 NTLM v2 是一种用于对远程服务器上的用户进行身份验证的协议。NTLM v2 用户的密码哈希对于黑客来说可能很有价值，因为他们可以发起暴力攻击并以明文形式获取密码，或者直接使用哈希进行身份验证。 2023年12月，Microsoft在计划外的安全更新中修复了CVE-2023-35636，但一些攻击方法仍可能允许黑客获取身份验证哈希。 因此，已确定的方法之一是使用开发人员经常使用的 Windows 性能分析器 (WPA) 实用程序。研究人员发现，与 WPA 相关的链接是使用特殊 URI 进行处理的，该 URI 尝试在 Internet 上使用 NTLM v2 进行身份验证，这会暴露 NTLM 哈希值。 此方法还涉及发送一封包含链接的电子邮件，该链接旨在将受害者重定向到黑客控制的站点上，从而触发恶意WPA负载。 另外两种方法使用标准 Windows 文件资源管理器。与 WPA 不同，WPA  不是默认的系统组件，主要仅供软件开发人员使用，文件资源管理器已深度集成到 Windows 中，并被绝大多数用户日常使用。这两种攻击选项都涉及黑客通过电子邮件、社交媒体或其他渠道向目标用户发送恶意链接。 “一旦受害者点击链接，黑客就可以获得哈希值，然后尝试离线破解用户的密码”，瓦罗尼斯解释道。“一旦哈希被破解并获得密码，黑客就可以使用它以用户身份登录组织。” 如上所述，CVE-2023-35636 已于 12 月修复，但其他问题仍然存在。建议企业安装最新的安全更新，并采取额外措施防范网络钓鱼攻击，以免成为犯罪分子的受害者。   转自安全客，原文链接：https://www.anquanke.com/post/id/292815 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，存在一种“显著增加”的网络威胁行为，其通过积极利用 Apache ActiveMQ 中一个现已修复的漏洞，在受感染的主机上部署 Godzilla Web Shell。 “这些 Web Shell 被隐藏在未知的二进制格式中，旨在规避安全和基于签名的扫描器” ，Trustwave 表示。“值得注意的是，尽管二进制文件格式未知，但 ActiveMQ 的 JSP 引擎仍然继续编译和执行 Web Shell。” CVE-2023-46604（CVSS 分数：10.0）是指 Apache ActiveMQ 中的一种严重漏洞，可实现远程代码执行。自 2023 年 10 月底公开披露以来，已有多个对手积极利用该漏洞部署勒索软件、rootkit、加密货币挖矿程序和 DDoS 僵尸网络。 在 Trustwave 观察到的最新入侵集合中，易受攻击的实例成为基于 JSP 的 Web Shell 的目标，这些 Web Shell 被植入到 ActiveMQ 安装目录的“admin”文件夹中。 这个名为 Godzilla 的 Web Shell 是一个功能丰富的后门，能够解析传入的 HTTP POST 请求、执行内容，并以 HTTP 响应的形式返回结果。 “这些恶意文件引人注目的地方在于，JSP 代码似乎被隐藏在一种未知类型的二进制中” ，安全研究员 Rodel Mendrez 表示。“这种方法有可能绕过安全措施，在扫描期间避免被安全端点检测到。” 对攻击链的更仔细审查显示，Web Shell 代码在被 Jetty Servlet 引擎执行之前被转换成 Java 代码。 JSP 负载最终允许黑客通过 Godzilla 管理用户界面连接到 Web Shell，并完全控制目标主机，便于执行任意 Shell 命令、查看网络信息以及处理文件管理操作。 强烈建议使用 Apache ActiveMQ 的用户尽快升级到最新版本，以降低潜在的威胁。   消息来源：thehackernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

在过去的一个月里， AI/ML Huntr 漏洞赏金平台的成员在 MLflow、ClearML 和 Hugging Face 等流行解决方案中发现了多个严重漏洞。 MLflow 是一个用于简化 ML 开发的平台，提供一组支持现有 ML 应用程序和库的 API。在 CVSS 评分中，MLflow 中有四个关键漏洞，其中最严重的得分为 10。 其中一个漏洞 CVE-2023-6831 被描述为根源于工件删除的路径遍历错误，该操作在使用前对路径进行规范化，允许攻击者绕过验证检查并删除服务器上的任何文件。 第二个漏洞 CVE-2024-0520 存在于 mlflow.data 模块中，该漏洞可被精心设计的数据集滥用，生成未经清理的文件路径，从而允许攻击者访问信息或覆盖文件，并可能实现远程代码执行 (RCE) ）。 第三个严重漏洞 CVE-2023-6977 被描述为路径验证绕过，可能允许攻击者读取服务器上的敏感文件，而第四个严重漏洞 CVE-2023-6709 可能导致在加载恶意软件时远程执行代码。 MLflow 2.9.2 中解决了所有四个漏洞，还修复了一个高严重性的服务器端请求伪造 (SSRF) 错误，该错误可能允许攻击者访问内部 HTTP(S) 服务器并可能在受害者计算机上实现 RCE。 Hugging Face Transformers 中发现了另一个严重漏洞，它提供了用于构建 ML 应用程序的工具。 该漏洞 CVE-2023-7018 是由于从远程存储库自动加载 vocab.pkl 文件的函数没有实施任何限制，这可能允许攻击者加载恶意文件并实现 RCE。Transformers 版本 4.36 解决了该漏洞。 Huntr 社区的成员还发现 ClearML 中存在高严重性的存储跨站脚本 (XSS) 缺陷，ClearML 是一个用于在统一环境中自动化 ML 实验的端到端平台。 该问题被追踪为 CVE-2023-6778，是在项目描述和报告部分的 Markdown 编辑器组件中发现的，如果将未经过滤的数据传递给该组件，则允许注入恶意 XSS 有效负载，从而可能导致用户帐户泄露。 Protect AI 尚未公开有关严重性 Paddle 命令注入漏洞 (CVE-2024-0521) 的详细信息，该公司表示，所有漏洞均在发布前 45 天报告给项目维护人员。   转自安全客，原文链接：https://www.anquanke.com/post/id/292802 封面来源于网络，如有侵权请联系删除

VMware 警告客户，CVE-2023-34048（2023 年 10 月修补的一个关键 vCenter Server 漏洞）正在被广泛利用。 CVE-2023-34048 被描述为与 DCERPC 协议实施相关的越界写入问题。它可以允许具有 vCenter Server 网络访问权限的黑客远程执行任意代码。 这一问题被认为非常严重，是由趋势科技零日计划的 Grigory Dorodnov 发现的。鉴于其严重性，即使该产品的版本已达到生命周期终止（EoL）状态，VMware 还是决定了在 10 月份发布相应的补丁。 VMware 现已更新其初始安全公告，通知客户其已确认 CVE-2023-34048 已被利用。 截至撰写本文时，似乎还没有关于利用 vCenter Server 漏洞进行攻击的信息。 公开的 PoC 漏洞似乎并不存在，但自 12 月初以来，技术细节已经被公开。 根据 Shadowserver Foundation 的数据，目前有数百个暴露于互联网的 VMware vCenter Server 实例可能存在漏洞。 VMware 产品成为黑客攻击目标的情况并不少见。美国安全机构 CISA 维护的已知被利用漏洞目录目前包括 21 个 VMware 产品漏洞。   转自安全客，原文链接：https://www.anquanke.com/post/id/292805 封面来源于网络，如有侵权请联系删除

在开源 TensorFlow 机器学习框架中发现的持续集成与持续交付（CI/CD）配置错误，可能被利用来发起供应链攻击。 TensorFlow 是谷歌的开发者创造的一款开源的深度学习框架，于 2015 年发布。TensorFlow 现已被公司、企业与创业公司广泛用于自动化工作任务和开发新系统，其在分布式训练支持、可扩展的生产和部署选项、多种设备（比如安卓）支持方面备受好评。 Praetorian 的研究员 Adnan Khan 和 John Stawinski 在本周发布的一份报告中表示，这些配置错误可能被黑客利用来“通过恶意拉取请求破坏 TensorFlow 的构建代理，从而对 GitHub 和 PyPi 上的 TensorFlow 版本进行供应链破坏”。 通过利用这些漏洞，黑客可将恶意版本上传到 GitHub 仓库，并获得自托管 GitHub 运行器（runner）上的远程代码执行权限，甚至检索 tensorflow-jenkins 用户的 GitHub 个人访问令牌（PAT）。 TensorFlow 使用 GitHub Actions 自动化软件构建、测试和部署流程。运行器指的是执行 GitHub Actions 工作流中任务的机器，可以自托管，也可以由 GitHub 托管。 GitHub 在其文档中写道，“建议用户仅在私有仓库中使用自托管运行器，因为公共仓库的分支可能通过创建执行危险代码的工作流拉取请求，在您的自托管运行器机器上运行潜在危险的代码。” 换言之，这允许任何贡献者通过提交恶意拉取请求，在自托管运行器上执行任意代码。 然而，这并不会对 GitHub 托管的运行器构成任何安全问题，因为每个运行器都是短暂的，并且是一个干净、隔离的虚拟机，在任务执行结束后就会被销毁。 Praetorian 表示，它能够识别在自托管运行器上执行的 TensorFlow 工作流，随后发现以前的贡献者提交的分支拉取请求自动触发了相应的 CI/CD 工作流，且无需批准。 因此，一个想要对目标仓库进行木马化的黑客是这样操作的，他会修正一个拼写错误或进行一个小但合法的代码更改，为此创建一个拉取请求，然后等待拉取请求被合并，以成为一个贡献者。这将使他们能够在创建恶意拉取请求时执行代码，而不会引起任何警告。 对工作流日志的进一步检查表明，自托管运行器不仅是非短暂性的（从而为持久性打开了大门），而且与工作流相关的 GITHUB_TOKEN 也附带了广泛的写入权限。 研究人员指出“因为 GITHUB_TOKEN 拥有 contents:write 权限，它可以上传版本到 https://github[.]com/tensorflow/tensorflow/releases/，黑客如果破坏这些 GITHUB_TOKEN，就可以在发布资产中添加他们自己的文件。” 最重要的是， contents:write 权限可以武器化，通过直接向 TensorFlow 仓库推送代码，秘密地将恶意代码注入到一个特性分支，并将其合并到主分支。 不仅如此，黑客还可以窃取发布工作流中使用的 AWS_PYPI_ACCOUNT_TOKEN，以向 Python 包索引（PyPI）注册表进行身份验证，并上传恶意 Python .whl 文件，以便有效地污染包。 研究人员说，“黑客还可以利用 GITHUB_TOKEN 的权限来危及 JENKINS_TOKEN 仓库密钥，尽管这个密钥并未在自托管运行器上运行的工作流中使用。” 在 2023 年 8 月 1 日进行了负责任的披露后，项目维护人员于 2023 年 12 月 20 日解决了这些漏洞，要求批准从所有 fork pull 请求提交的工作流，包括以前的贡献者提交的工作流，并将在自托管运行器上运行的工作流的 GITHUB_TOKEN 权限更改为只读。 “随着越来越多的组织自动化他们的 CI/CD 流程，类似的 CI/CD 攻击正在增加。”研究人员说道，“AI/ML 公司尤其脆弱，因为他们的许多工作流需要大量的计算能力，而 GitHub 托管的运行器是无法提供的，因此自托管运行器很普遍。” 两位研究人员都透露，几个公共 GitHub 存储库，包括与 Chia Networks，Microsoft DeepSpeed 和 PyTorch 相关的存储库，容易受到通过自托管 GitHub Actions 运行器进行恶意代码注入的影响。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/390133.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 由一系列配置错误和安全漏洞导致研究人员能够访问存储在 Toyota Tsusho Insurance Broker India (TTIBI) 的电子邮件帐户中的客户信息。 美国研究人员 Eaton Zveare 解释说，之所以能未经授权访问客户信息，是因为 TTIBI 站点具有专用的 Eicher Motors 子域，其中包含一个高级计算器。 TTIBI 是日本 Toyota Tsusho Insurance Management Corporation 旗下的一家保险经纪公司，似乎与 Eicher Motors 密切合作，这是一家印度汽车公司，生产摩托车和商用车辆。 据 Zveare 称，他发现 Eicher Android 应用程序包含一个指向 ttibi.co.in 上的高级计算器的链接，通过这个链接获得了对 noreplyeicher@ttibi.co.in 电子邮件地址的访问权限。该链接在页面源代码中暴露了一个客户端的邮件发送机制。 研究人员创建了一个 API 请求来检查是否需要身份验证，并成功发送了一封电子邮件，但也收到了一个服务器错误，其中包括“noreply”电子邮件帐户的 base64 编码密码。 “noreply 帐户可能是组织中最重要的帐户，因为它可能记录了他们向客户发送的所有内容。在 TTIBI 这个事例中，情况确实如此，而且所揭示的信息量是巨大的，” Zveare指出。 在电子邮件帐户中，研究人员找到了发送给客户的所有的消息记录，其中包括客户信息、密码重置链接、一次性密码（OTP）和保险单文件。 此外，对电子邮件帐户的访问还提供了对 TTIBI 的 Microsoft 云帐户的访问权限，包括对企业目录以及 SharePoint 和 Teams 服务的访问权限。 Zveare 指出，扩展的访问级别是由五个安全问题和配置错误引起的，分别是：客户端的邮件发送机制、缺乏 API 身份验证、API 响应泄漏信息、缺乏双因素身份验证以及保留了从该帐户发送和接收的所有电子邮件。 据 Zveare 称，TTIBI 花了两个月的时间将 Eicher 子域下线，并要求对暴露的 API 进行身份验证。然而，研究人员在 1 月 17 日验证访问权限时，’noreply’电子邮件帐户的密码仍然相同。   消息来源：securityweek，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文