HackerNews 编译，转载请注明出处： 美国国家标准与技术研究院（NIST）推出全新漏洞评估指标“可能被利用漏洞（LEV）”，旨在帮助组织量化漏洞遭实际利用的可能性。这项发布于5月19日的技术白皮书显示，LEV模型基于2018年由事件响应与安全团队论坛（FIRST）提出的漏洞利用预测评分系统（EPSS）进行优化，旨在提升企业漏洞优先级排序效率。 EPSS系统通过机器学习模型预测特定漏洞在30天内遭利用的概率，其最新版本EPSS v4于2025年3月发布。LEV指标在此基础上增加多维数据维度，每日为漏洞管理人员提供包含历史利用概率峰值、各30天窗口期EPSS评分等参数的详细分析报告。具体输出数据包括： CVE编号、发布日期及描述 LEV概率值（即历史观测到的利用可能性） 30天窗口期内EPSS评分峰值及出现日期 各窗口期具体评分与对应日期 受影响产品的通用平台枚举（CPE）信息 白皮书提出两种LEV计算模型：标准版采用30天窗口期EPSS原始数据，优化版则将EPSS评分除以30生成单日预测值，后者需更高算力支持但能反映评分动态变化。NIST建议将LEV与CISA已知被利用漏洞（KEV）目录、第三方企业及开源社区的同类数据库结合使用，形成多维度评估体系。研究团队特别指出，现有KEV清单存在覆盖不全的问题，而EPSS模型在设计上无法准确反映历史漏洞的利用情况。 不过NIST也坦承LEV存在误差范围未知的局限性，这主要源于EPSS系统未将历史利用数据纳入评分机制。此外，若某漏洞在30天内遭利用，其后续评分不会因此上调。尽管存在缺陷，NIST期望通过LEV的实践应用，推动漏洞评估体系的持续优化，为网络安全防御提供更精准的决策依据。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国奢侈品牌迪奥（通常简称为Dior）确认了一起暴露客户信息的网络安全事件。 该公司发言人向BleepingComputer表示，此次事件影响迪奥时装与配饰（Dior Fashion and Accessories）客户，网络安全专家正在调查事件范围。 “迪奥近期发现未经授权的外部方访问了我们为迪奥时装与配饰客户保存的部分数据，”发言人表示，“我们立即采取措施遏制此事件。迪奥团队在顶尖网络安全专家的支持下，持续调查并应对此事。” 迪奥向BleepingComputer澄清，此次事件未暴露账户密码或支付卡信息，因为这些数据存储在另一个未受影响的数据库中。 “受事件影响的数据库中不包含任何密码或支付信息，包括银行账户或支付卡信息。” “我们正在根据适用法律通知相关监管机构和客户。” “客户数据的保密性和安全性是迪奥的绝对优先事项。我们对此次事件可能给客户带来的担忧或不便深表歉意。” 尽管迪奥未具体说明受影响客户数量及地区，但已有一份通知确认其韩国网站受影响。另有一些报告称中国客户收到了该品牌的泄露通知。 根据网络上分享的通知截图，该事件发现于5月7日，涉及未经授权的人员访问，并暴露以下信息： 全名 性别 电话号码 电子邮箱 邮寄地址 购买记录 迪奥韩国官网发布的公告也将泄露日期定为2025年5月7日，表明这是一起具有国际影响的网络安全事件。但在该案例中，只有联系方式、购买数据以及客户与品牌共享的偏好信息被标记为可能暴露。 与此同时，韩国媒体报道称，迪奥因未向该国所有适用监管机构通报数据泄露事件而面临法律审查。 迪奥建议客户对要求提供个人信息的钓鱼尝试保持警惕，并立即联系他们举报品牌仿冒行为。目前，受影响客户数量及国家细节尚未公开披露。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 今年Verizon《2025年数据泄露调查报告》（DBIR）中最值得关注的并非勒索软件头条或零日漏洞利用，而是推动这些攻击的深层诱因。在诸多严重泄露事件中，两个底层因素持续发挥着作用：第三方暴露与机器凭证滥用。 根据2025年DBIR，涉及第三方的泄露事件同比翻倍（从15%上升至30%）。与此同时，攻击者越来越多地利用机器凭证和未受管控的机器账户获取访问权限、提升特权并窃取敏感数据。 这一趋势传递出明确信号：仅保护内部员工账户已远远不够。要真正抵御现代威胁，企业必须在统一的安全策略下管理所有身份——包括员工、非员工与机器身份。 当前企业生态由承包商、供应商、商业伙伴、托管服务提供商、关联公司等多方交织构成。这些合作关系虽提升效率，也催生了复杂的身份生态系统。若缺乏严格治理，第三方身份将成为攻击者伺机利用的盲点。 与第三方访问相关的泄露通常源于糟糕的生命周期管理，例如项目结束后未停用承包商账户，或商业伙伴账户权限过度宽松。2025年DBIR指出，这一趋势正在加速且跨行业蔓延——医疗、金融、制造业和公共部门均报告了由第三方暴露引发的重大事件。 企业须以管理内部员工的同等严格标准，将身份治理扩展至非员工群体，确保对所有第三方用户的可视性、责任归属与及时账户停用。 尽管人类身份依然脆弱，机器身份的风险增长更为迅猛。服务账户、机器人流程自动化（RPA）、AI代理、API接口等“数字劳动力”数量激增，却普遍缺乏明确归属与监管。随着AI代理的普及，机器身份的增长速度与复杂程度将远超企业当前管理能力。 2025年DBIR发现，基于凭证的攻击仍是主要初始入侵手段，攻击者正日益瞄准未受管控的机器账户作为突破口。未受保护的机器账户直接关联多起重大泄露与升级的勒索软件攻击。 风险持续加剧，但多数传统身份安全工具仍将机器视为次要对象。因此，企业必须摒弃临时性机器管理措施，转向专为规模化与自动化设计的治理模型。欲深入了解该问题，可参阅白皮书《谁在守护机器身份？》。 碎片化身份治理已不再是弱点，而是重大责任。若将员工、第三方用户和机器身份（如果存在管理）分别置于孤立系统中管理，攻击者将获得足以渗透的裂缝——他们无需攻破所有防线，只需找到一个突破口。 与第三方用户和机器账户相关的泄露事件增速已超过内部员工泄露，这一现象明确警示：不一致的治理模式正在催生新漏洞。现实在于：身份即身份。无论是人类、非员工还是机器身份，都必须在统一策略下实施妥善管理、治理与保护。 能在未来威胁中存活的企业，并非那些试图拼凑解决方案的机构，而是意识到“全域身份统一治理”是唯一出路的主体。通过整合员工、承包商、合作伙伴、服务账户、机器人与AI代理的身份安全，企业方能填补关键防御缺口、提升可视性，并在关键时刻强化安全壁垒。 SailPoint通过专为复杂企业环境设计的解决方案（以SailPoint Atlas平台为支撑），帮助企业实现全域身份安全。无论您需要管理机器身份还是管控非员工访问，SailPoint提供的统一身份安全体验能将身份混乱转化为清晰防线。 人类与机器身份间的安全鸿沟正在扩大。是时候主动弥合这一缺口了——否则攻击者将替您完成此事。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软宣布重大账户安全升级：新用户注册将默认启用无密码登录。继2023年为消费者账户推出通行密钥（Passkey）支持后，微软进一步调整策略，强制新账户采用防钓鱼认证方式。微软身份认证部门负责人Joy Chik与安全副总裁Vasu Jakkal表示：“全新微软账户现默认无密码。新用户可通过多种无密码方式登录账户，且无需设置密码。现有用户可前往账户设置删除密码。” 此次更新简化了登录与注册流程，优先展示无密码选项。此外，登录流程现已自动检测用户账户可用的最佳认证方式并设为默认。例如，若某账户支持密码和“一次性验证码”登录，系统将引导用户选择后者。成功登录后，用户将收到设置通行密钥的提示以增强安全防护。微软此举与苹果、谷歌、亚马逊等科技企业近年举措同步，标志着行业向无密码时代稳步迈进。鉴于基于密码的网络攻击仍是攻击者主要入侵手段，通行密钥的普及预示着账户安全的重要变革。 2023年9月，微软在Windows 11中引入通行密钥支持，同期谷歌将其设为全球用户默认登录方式。2024年，微软更新Windows Hello生物识别系统以兼容该技术。通行密钥通过消除密码需求提供更安全登录方案，其技术基础由FIDO联盟推动的公钥加密体系支撑。用户注册在线服务时，其客户端设备（如手机或电脑）生成密钥对：私钥安全存储于本地，公钥上传至服务端。登录时，用户通过生物识别（如面容或指纹）验证身份后，设备使用私钥签署验证请求完成认证。 2024年10月，FIDO联盟宣布正与各方合作优化通行密钥跨平台导出功能，改善凭证提供商的互操作性。截至去年12月，全球超150亿用户账户已支持通行密钥登录。该联盟上月还成立支付工作组（PWG），旨在制定支付场景的FIDO解决方案，重点评估现有及新兴支付认证技术，并制定通行密钥与现有支付技术融合的指导规范。 消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 乌克兰最大的家居建材零售商Epicentr表示，其遭受的大规模网络攻击导致全国数十家门店运营中断，关键IT系统（包括收银机和物流服务）瘫痪。 本周一，乌克兰各地Epicentr门店的顾客因结账系统宕机无法购物，许多人反映无法接收订单、访问公司应用和网站。这家运营70多个购物中心（总面积超220万平方米）的零售商周二声明证实遭受定向攻击：“恶意行为者的蓄意攻击对公司基础设施造成严重后果。” 该公司未将事件归因于任何特定组织，也未明确黑客如何入侵系统或其最终目标，同时未确认攻击是否涉及勒索软件。截至周二下午，多数门店已恢复运营，但部分系统仍存在故障。Epicentr承认会计系统持续存在问题，关键财务记录和注册信息丢失，导致目前无法生成法定财务与税务报告。 Epicentr警告商品配送（尤其在线订单）可能出现延迟，顾客在其购物中心可能遭遇包裹追踪与自提服务问题。该公司雇佣29,000名员工，是乌克兰最大私营企业之一。 这是近月乌克兰企业遭遇的第三起重大网络攻击：2025年1月，该国农业巨头MHP报告“史上最严重”网络事件（未指明责任方）；3月，疑似俄罗斯黑客攻击国有铁路公司Ukrzaliznytsia，致使其在线售票服务中断。 除网络攻击外，Ukrzaliznytsia和Epicentr还屡遭俄罗斯导弹袭击。自全面入侵开始以来，Epicentr已损失10个购物中心（总面积超177,500平方米）。 乌克兰在持续战争背景下面临网络攻击浪潮：2024年，最大电信运营商Kyivstar遭毁灭性攻击致服务中断数日；近期乌当局报告国家登记系统遭攻击，涉及含生物识别、税务及房产数据的敏感数据库；2025年1月，某数据中心遭入侵，影响多家大型国企、国家邮政局及能源公司。 大型零售商全球范围内成恶意黑客首要目标。英国玛莎百货（Marks & Spencer）已应对网络攻击约一周。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Zimperium在《2025全球移动威胁报告》中披露，超50%的移动设备仍在使用过时操作系统，极易遭受网络攻击。报告同时强调，随着企业移动化进程加速，攻击者正利用智能手机的广泛部署特性，推动针对移动终端的恶意攻击及应用程序漏洞数量正在显著增加。 短信钓鱼（Smishing）目前占所有移动钓鱼事件的69.3%。与此同时，语音钓鱼（vishing）和短信钓鱼攻击总量分别上升28%和22%。 Keeper Security首席执行官Darren Guccione表示：“复杂且大规模的移动钓鱼活动兴起反映了不断演变的威胁态势。网络犯罪分子利用看似官方的钓鱼页面来剥削用户信任。” 报告概述了影响移动设备安全性的多个关键因素，包括： 50%的移动设备运行过时操作系统 超过25%的移动设备无法升级至最新操作系统 60%以上的iOS应用和34%的Android应用缺乏基本代码保护 近60%的iOS应用和43%的Android应用存在个人身份信息（PII）数据泄露风险 恶意软件仍是攻击者的主要工具，木马程序使用量同比增长50%。研究人员已识别出Vultur、DroidBot、Errorfather和BlankBot等新型恶意软件家族。 尽管对移动威胁的认知度有所提高，移动应用安全性仍是持续存在的弱点。通过非官方商店下载的应用尤其危险，使用户和组织暴露于木马和数据泄露风险。 Sectigo高级研究员Jason Soroko表示：“侧载（Sideloading）绕过了官方应用商店的严格审查流程，使设备暴露于恶意软件和未授权代码。” 内部开发的应用也持续面临严重风险。Salt Security网络安全战略总监Eric Schwake评论称：“威胁行为者认为移动应用具有吸引力，因为它们通常管理敏感用户数据。”设计缺陷、不安全的API接口和薄弱的安全措施被列为导致漏洞持续存在的主要因素。 为防范此类威胁，建议组织和个人采用实时移动威胁检测、确保定期更新和补丁管理，并实施零信任模型等综合安全框架。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： WhatsApp推出了一项名为“高级聊天隐私（Advanced Chat Privacy）”的新功能，旨在保护私聊和群组对话中交换的敏感信息。该隐私选项可在点击聊天名称后启用，用于阻止他人保存媒体文件和导出聊天内容。 WhatsApp表示：“今天我们推出了最新的隐私层‘高级聊天隐私’。这项在聊天和群组中均可使用的新设置，能在您需要更高隐私时防止他人将WhatsApp内的内容外传。启用该设置后，您可阻止他人导出聊天记录、自动下载媒体至手机，以及将消息用于人工智能（AI）功能。这将使聊天中的每位成员更确信无人能将对话内容带出聊天。” 该公司补充称这是该功能的第一个版本，正在向所有已更新至最新版本WhatsApp的用户推送。WhatsApp还在为该功能开发更多防护措施以增强其效果。但需注意，即使启用“高级聊天隐私”，仍存在通过截屏（如果未禁用截图功能）等方式提取敏感媒体和信息的可能。 这项新功能是WhatsApp七年前启动的通信安全强化计划的一部分——当时该公司首次引入端到端加密。五年后（2021年10月），WhatsApp开始向iOS和Android设备推送端到端加密的聊天备份功能。同年12月，通过为所有新聊天添加默认“阅后即焚”消息支持进一步扩展隐私控制。 近期更新包括：使用密码或指纹锁定聊天、通过“秘密代码”隐藏锁定聊天、允许Android和iOS用户在通话时通过WhatsApp服务器代理隐藏地理位置。自2024年10月起，WhatsApp还开始加密联系人数据库以实现隐私同步，确保联系人列表与账户绑定（而非设备），便于设备更换时的管理。 Meta在2020年初宣布，来自180多个国家的超过20亿用户正在使用WhatsApp视频通话和即时通讯平台。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国零售商玛莎百货(M&S)周二宣布“过去数日持续处理网络事件”，此前社交媒体涌现大量顾客投诉。 事件的具体情况尚未披露。作为富时100指数成分股的玛莎百货，在全球拥有超过7万名员工，在英国拥有超过1000家门店。 该公司周二下午向伦敦证券交易所提交的声明称，在意识到事件后立即“对门店运营做出细微临时调整”。 顾客在社交媒体抱怨多种电子支付系统失效，包括银行卡支付、礼品卡及该零售商的“点击取货”服务。 玛莎百货在一份发给顾客的声明中确认，“您的‘点击提货’订单可能会出现一些有限的延迟，我们正在努力解决这个问题。”该公司向伦敦证券交易所表示，已聘请外部网络安全专家调查并处理该事件，并已向相关监管机构和国家网络安全中心报告。 “我们正在采取措施进一步保护我们的网络，并确保我们能够继续提供优质的客户服务，”该公司在声明中继续说道。 “对于由此造成的不便，我们深感抱歉。重要的是，我们的门店仍在营业，我们的网站和应用程序也正常运行。”     消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软宣称已完成“网络安全史上最大规模工程改造”，将所有微软账户（Microsoft Account）与Entra ID令牌签名密钥迁移至具备自动轮换机制的硬件安全模块或Azure机密虚拟机，旨在阻断曾导致国家级攻击者入侵微软系统的密钥窃取战术。 在推出“安全未来计划”（Secure Future Initiative）应对黑客攻击及美国政府严厉报告的18个月后，微软安全主管Charlie Bell宣布该计划28项目标中已有5项“接近完成”，另有11项取得“重大进展”。 Bell表示，除了将所有微软账户和Entra ID令牌签名密钥迁移至硬件安全模块或Azure机密虚拟机的核心修复措施外，超过90%的微软内部生产力账户已迁移至防钓鱼多因素认证，并且90%的第一方身份令牌通过新加固的软件开发工具包（SDK）进行验证。 Bell指出：“我们根据红队研究成果部署了深度防御保护措施，已将MSA签名服务迁移至Azure机密虚拟机，Entra ID签名服务迁移工作正在进行。”这些改进有助于缓解中国APT组织攻击微软时可能使用的攻击路径。 微软公开将此次入侵归因于从被黑工程师企业账户窃取的崩溃转储文件。该2021年4月的转储文件包含MSA消费者密钥，攻击者借此伪造令牌入侵OWA与Outlook.com账户。 在架构层面，Bell报告称已清除630万个休眠的Azure租户以保护云租户并隔离生产系统。微软还报告已将88%的活跃资源迁移至Azure资源管理器以实现更严格的策略执行，并对440万个托管身份进行分段，使其只能从经过批准的网络位置进行身份验证。 “安全未来计划”于2023年11月推出，承诺加速云补丁发布、优化身份密钥管理、提升默认软件安全基线。尽管取得进展，微软仍面临对其云产品第三方漏洞研究处理方式的批评，并持续受困于缺陷补丁与Windows零日攻击激增问题。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者利用谷歌基础设施的漏洞发送伪造邮件，这些邮件通过全部验证但指向收集登录凭证的欺诈页面。 欺诈邮件看似来自”no-reply@google.com”并通过了域名密钥识别邮件（DKIM）认证，但实际发件地址不同。 以太坊域名服务（ENS）首席开发者Nick Johnson收到一封伪装成谷歌安全警报的邮件，声称因执法机构传票要求获取其谷歌账户内容。 该邮件几乎完全仿冒真实警报，甚至被归类至合法安全通知会话中，极易误导非技术用户。然而Johnson发现邮件中的“支持门户”托管在谷歌免费建站平台sites.google.com上，由此产生怀疑。 由于域名归属谷歌，受害者更难识别风险。Johnson指出该钓鱼页面“与真实页面完全一致，唯一破绽在于托管在sites.google.com而非accounts.google.com”。 此次攻击的巧妙之处在于通过DKIM重放攻击使伪造邮件通过验证。邮件详情显示，“mailed-by”标头地址并非谷歌官方地址，收件人地址为攻击者伪造的类谷歌域名邮箱。但邮件仍由谷歌签名发送。 Johnson还原了攻击链条： 1、注册仿冒域名并创建“me@domain”谷歌账户 2、创建Google OAuth应用并将钓鱼信息写入应用名称字段 3、通过大量空白字符分隔合法通知与欺诈内容 4、授权OAuth应用访问邮箱时触发谷歌系统生成含有效DKIM签名的警报邮件 5、将警报邮件转发至受害者邮箱 邮件认证公司EasyDMARC的技术分析证实，由于DKIM仅验证邮件内容及标头而非信封，此类伪造邮件可绕过检测。 攻击者还利用“me@”前缀使Gmail显示邮件直接发送至受害者地址。类似手法已在PayPal平台重现。 3月的攻击中，欺诈者通过PayPal“礼品地址”功能绑定新邮箱，在地址字段插入钓鱼信息。PayPal系统自动发送的确认邮件经攻击者转发至受害者列表。BleepingComputer 就此问题联系了 PayPal，但一直未收到回复。 Johnson 还向 Google 提交了一份错误报告，该公司最初的回复是该流程运行正常。然而，Google 后来重新考虑了这个问题，认为它对用户构成了风险，目前正在努力修复 OAuth 漏洞。 目前已有至少6款信息窃取恶意软件滥用该机制，包括Lumma、Rhadamanthys等家族，可恢复过期谷歌认证Cookie实现持久访问。       消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文