图片来源：FreeBuf 近日， 有黑客入侵了Internet Archive 网站并窃取了一个包含3100万条记录的用户认证数据库。 昨天（10月9日）下午 ，在 archive.org 的访问者开始看到黑客创建的 JavaScript 警报后，有关泄露的消息开始流传，称 Internet Archive 已被入侵。 archive.org 网站上显示的 JavaScript 警报中写道：“你有没有觉得互联网档案馆就像是在用棍子运行，随时可能遭受灾难性的安全漏洞？现在已经发生了。看到HIBP上的3100万用户了吗！”这里的“HIBP”指的是由Troy Hunt创建的Have I Been Pwned数据泄露通知服务，威胁分子通常会与之分享窃取的数据以添加到该服务中。 Archive.org上显示的 JavaScript， 警报来源：BleepingComputer Hunt告诉BleepingComputer，威胁分子在九天前分享了 Internet Archive 的认证数据库，这是一个名为“ia_users.sql”的6.4GB SQL文件。该数据库包含注册会员的认证信息，包括他们的电子邮件地址、屏幕名称、密码更改时间戳、Bcrypt散列密码以及其他内部数据。被盗记录的最新时间戳是2024年9月28日，这可能是数据库被盗的时间。 Hunt表示，数据库中有3100万唯一的电子邮件地址，其中许多订阅了HIBP数据泄露通知服务。这些数据将很快被添加到HIBP中，允许用户输入他们的电子邮件并确认他们的数据是否在此次泄露中被暴露。 在Hunt联系了数据库中列出的用户（包括网络安全研究员Scott Helme）后，确认了数据的真实性。 Helme允许BleepingComputer分享他的暴露记录。Helme确认，数据记录中的bcrypt散列密码与他密码管理器中存储的bcrypt散列密码相匹配。他还确认，数据库记录中的时间戳与他最后一次在密码管理器中更改密码的日期相匹配。 archive.org的密码管理器条目，参考来源：Scott Helme Hunt表示，他在三天前联系了 Internet Archive  并开始了披露过程，称数据将在72小时内加载到服务中，但此后他再也没有收到回复。 目前尚不清楚威胁分子是如何侵入 Internet Archive  的，以及是否有其他数据被盗。 昨天早些时候， Internet Archive  遭受了一次DDoS攻击，BlackMeta黑客组织声称将对此次攻击负责，他们表示还将进行的其他持续攻击。BleepingComputer就此次攻击联系了 Internet Archive ，但暂时没有得到回应。 参考来源：https://www.bleepingcomputer.com/news/security/internet-archive-hacked-data-breach-impacts-31-million-users/     转自Freebuf，原文链接：https://www.freebuf.com/news/412412.html 封面来源于网络，如有侵权请联系删除

美国及其盟友已将发动全球关键基础设施攻击的幕后黑手确定为俄罗斯黑客组织（被追踪为Cadet Blizzard和Ember Bear），其幕后黑手是俄罗斯武装部队总参谋部第 29155 部队（又称 GRU）。 在今天发布的联合咨询报告中，俄罗斯 GRU 军事情报黑客被描述为 GRU 第 161 专科训练中心的“初级现役 GRU 军官”，由经验丰富的29155部队领导层协调，他们因于 2022 年 1 月在乌克兰部署 WhisperGate 数据擦除恶意软件而闻名。 该组织自 2020 年以来一直在策划针对整个欧洲的破坏和暗杀行动以及针对北约成员国以及北美、欧洲、拉丁美洲和中亚国家关键基础设施部门的网络攻击，并从 2022 年初开始转而破坏对乌克兰的援助努力。 今年 4 月，《内部人》与《60 分钟》和《明镜周刊》联合发表了 一项调查报告，报告将 GRU 的 29155 部队与哈瓦那综合症事件联系起来。 “自 2020 年以来，29155 部队扩大了他们的间谍技术，包括攻击性网络行动。29155 部队网络行动者的目标似乎包括为间谍目的收集信息、因窃取和泄露敏感信息造成的声誉损害、以及因销毁数据造成的系统性破坏。”今天发布的联合咨询报告称，“这些人似乎通过进行网络行动和入侵获得了网络经验并提高了他们的技术技能。此外，FBI 评估称，29155 部队的网络参与者依赖非 GRU 参与者，包括已知的网络犯罪分子和推动者来开展他们的行动。” 美国联邦调查局称，它检测到了超过 14,000 次针对至少 26 个北约成员国和几个欧盟 (EU) 国家的域名扫描实例。与俄罗斯 29155 部队有关的黑客破坏了网站并使用公共域名泄露被盗数据。 美国国务院宣布通过“正义奖励”计划悬赏高达 1000 万美元，奖励提供有关弗拉基米尔·博罗夫科夫、丹尼斯·伊戈列维奇·丹尼先科、尤里·丹尼索夫、德米特里·尤里耶维奇·戈洛舒博夫和尼古拉·亚历山德罗维奇·柯察金的信息，这五名俄罗斯军事情报官员据信是 GRU 29155 部队的成员。 美国国务院表示：“这些人是俄罗斯总参谋部情报总局（GRU）第 29155 部队的成员，该部队针对美国关键基础设施，特别是能源、政府和航空航天领域进行了恶意网络活动。这些 29155 部队 GRU 军官负责袭击乌克兰和数十个西方盟国的关键基础设施。” 五名 GRU 军官和平民阿明·蒂莫维奇（Amin Timovich，因 WhisperGate 攻击于 6 月被起诉）今天还因参与俄罗斯 2022 年 2 月入侵之前针对乌克兰和 26 个北约成员国的网络攻击而被指控。 美国政府敦促关键基础设施组织立即采取行动，包括优先进行系统更新和修补已知漏洞，以防御这些与 GRU 相关的网络攻击。 其他建议包括网络分段以遏制恶意活动，并对所有外部服务（特别是网络邮件、虚拟专用网络（VPN）和有权访问关键系统的帐户）实施防网络钓鱼的多因素身份验证（MFA）。 2022 年 2 月，在使用WhisperGate 擦除恶意软件、HermeticWiper 恶意软件和勒索软件诱饵对乌克兰进行攻击后，CISA 和 FBI 警告称，破坏性的恶意软件网络攻击可能会蔓延到其他国家的目标。 本周三，美国政府查封了与俄罗斯有关的 Doppelgänger 影响力行动使用的 32 个网络域名，这些域名用于针对美国公众传播虚假信息和亲俄宣传。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/8cdbsI4EQexbQD7ulMkpjg 封面来源于网络，如有侵权请联系删除。

德国空中交通管制中心（DFS）遭受黑客攻击。不过，据巴伐利亚广播公司 BR24报道，空中交通管制并未受到干扰。目前尚在调查是否有数据被访问以及是哪些数据。德国交通部、德国信息安全监管机构BSI和联邦宪法保护办公室均已证实此事。 据BR24当地时间9月2日凌晨1：48的报道，德国空中交通管制中心（DFS）遭受黑客攻击。DFS位于美因河畔法兰克福附近的朗根，已对此进行了确认。据发言人表示，“行政IT基础设施，即DFS GmbH的办公室通信”受到了影响。 此前一名空中交通管制发言人向德新社证实，DFS上周发现了此次攻击。受影响的系统是内部办公室通信，这对于组织内部的信息交换至关重要。 飞行安全未受影响 DFS表示，飞行安全得到了充分保障，他们正在努力将影响降到最低。空中交通没有受到影响，运行正常。据空中交通管制中心称，袭击发生在上周。目前尚不清楚是否有数据被访问。 外交部发言人表示，安全部门已经获悉此事。 负责的联邦交通部没有提供关于该事件的进一步信息，而是转交给了外交部。 联邦宪法保护办公室（BfV）证实了这一事件：“我们已经意识到这次攻击并正在处理它，”一位发言人说。 然而，截至目前，还无法提供进一步的信息，甚至无法提供可能的肇事者的信息。 在回应BR24的请求时，联邦信息安全办公室（BSI）表示已获悉DFS发生了IT安全事件，并参与了事件处理。BSI支持受影响的部门，并与其他当局保持密切联系。BSI还强调，飞行安全得到了充分保障，空中交通管制作业任何时候都不会受到限制。BSI发言人表示：“BSI目前未对事件的进一步细节发表评论。” 网络攻击被归因于俄罗斯情报部门 媒体报道，尤其是巴伐利亚广播公司的报道，暗示臭名昭著的黑客组织“APT 28”可能是此次攻击的幕后黑手。根据BR24的信息，“APT 28”组织参与了这次攻击。根据联邦宪法保护办公室（BfV）的说法，这种活动自2004年以来一直在全球范围内活跃，主要涉及网络间谍活动。“它是世界上最活跃、最危险的网络参与者之一。” BfV将“APT 28”归咎于俄罗斯军事情报部门GRU。早在今年5月，联邦政府就强烈谴责了APT 28组织对SPD以及国防、IT和航空公司的网络攻击。这些攻击还针对物流、军备、航空航天、IT服务以及基金会和协会领域的德国公司。 怀疑APT28 此次攻击的幕后黑手并非毫无根据。近年来，该组织在欧洲和北美发动了大量网络攻击，通常带有政治目的。与俄罗斯情报机构GRU的联系表明，此类攻击可能不仅具有犯罪动机，还可能具有地缘政治动机。 对未来的影响 DFS遭受的攻击可能会对德国的网络安全政策产生深远影响。联邦政府过去已经采取措施提高关键基础设施的安全性。这些措施包括加强安全法规和建立新的机构来防御网络攻击。然而，最近的事件可能会给政客们带来更大的压力，迫使他们采取更果断的措施，以防止未来再次发生此类攻击。 预计DFS和其他受影响机构将进一步加强其IT安全措施。这可能包括增加对网络安全的投资、培训员工和实施更先进的防御技术。与国际合作伙伴在网络安全领域的合作也将变得越来越重要，以便能够有效抵御全球威胁。 德国空中交通管制中心遭受网络攻击事件表明，即使是中央集权机构也有可能面临此类威胁。与俄罗斯军事情报部门有联系的APT28组织涉嫌参与其中，凸显了网络攻击的地缘政治层面。在数字攻击日益普遍的世界中，政府和公司必须加大力度保护其IT系统，以确保国家安全和经济稳定。   转自安全内参，原文链接：https://www.secrss.com/articles/69772 封面来源于网络，如有侵权请联系删除

西雅图-塔科马国际机场已确认，周末发生的 IT 系统故障导致预订登机系统中断和航班延误，该故障很可能是网络攻击造成的。 西雅图-塔科马国际机场是西雅图的主要国际机场，也是美国西北地区最繁忙的机场。2023 年，该机场服务了近 5100 万名乘客。该机场是阿拉斯加航空和达美航空的主要枢纽，服务于 91 个国内目的地和 28 个国际目的地。 8 月 24 日星期六，西雅图港警告称，该港和西雅图机场正遭受“可能的网络攻击”导致的持续中断，迫使他们隔离某些关键系统以控制损失。 “西雅图港（包括西雅图机场）正在经历互联网和网络系统中断，这影响了机场的一些系统。建议乘客向航空公司查询航班的最新信息。”西雅图港发布的 X 帖子写道。“今天早上，西雅图港出现某些系统中断，表明可能遭受网络攻击。港口隔离了关键系统，正在努力恢复全面服务，但尚未确定恢复时间。” “我们正在与相关部门和合作伙伴密切合作，以帮助可能受到影响的旅客。如果您今天出行，请与我们的航空公司合作伙伴联系以获取旅行信息，并留出更多时间到达西雅图机场和登机口。” 周日，服务中断仍在继续，机场建议人们通过航空公司网站获取旅行信息，例如其航班对应的登机口号码。 截至撰写本文时，该机场的网站仍处于离线状态，而官方 X 账号警告乘客应执行某些操作，例如通过航空公司应用程序办理即将起飞的航班的登机手续，因为机场内的航站楼仍然处于瘫痪状态。 “西雅图港（包括西雅图机场）的系统中断仍在继续。”机场运营商的最新消息称，“港口团队继续在恢复系统正常运行方面取得进展，但尚未确定恢复时间。” 阿拉斯加航空还通过 X 告知乘客，西雅图机场的行李分拣系统“极其有限”，建议乘客只携带最少的必需品，并尽可能避免托运行李。 建议需要托运行李的旅客在行李标签上写上自己的全名和联系方式。阿拉斯加航空在其网站上告知，这些信息将用于追踪由于当前情况而未在抵达时出现在行李传送带上的行李。 联邦调查局发言人向《西雅图时报》证实，他们“已知悉这一事件，正在与合作伙伴查明事情真相”，但未透露任何其他信息。 目前还没有任何勒索软件团体或其他黑客组织对此次攻击负责。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/-JgsVqyUeVBbSa4sE0ityg 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，来自美国肯塔基州的39岁男子Jesse Kipf（杰西·基普夫）使用被盗的凭证侵入夏威夷死亡登记系统，将自己的信息更改为已经去世。 美国司法部 （DoJ） 的一份新闻稿表示，该男子在2023年1月利用了居住在另一个州的医生账户访问了上述系统，制作了一份自己的死亡证明表，将该医生指定为该案件的医疗证明人，并使用医生的数字签名签署了死亡证明。 这份证明成功让该男子在美国政府数据库中显示为”已故“，从而取消了他未履行的子女抚养义务，他自己承认这是自己伪造死亡的主要原因。 此外，该男子还实施了其他的犯罪行为，包括使用被盗的帐户凭证访问私人公司网络和政府系统，并在暗网市场上出售对应的访问权限。他还使用虚假的社会安全号码在金融机构申请借贷并注册借记卡账户。 负责调查的联邦调查局（FBI）的Michael E. Stansbury （迈克尔·斯坦斯伯里）表示，这名黑客入侵各种计算机系统并恶意窃取他人身份以谋取私利的行为将付出代价。 根据统计，该男子包括未支付的子女抚养费在内所造成的总损失至少达到了195750 美元。 根据法院裁决，该男子被判入狱 81 个月，并必须强制服刑85%的刑期，即69个月（超过5.5年）。获释后还将受到为期3年的监管。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409196.html 封面来源于网络，如有侵权请联系删除

安全内参8月20日消息，本月初，印度上百家中小银行使用的数字支付系统遭遇了一场极具破坏性的勒索软件攻击。研究人员发现，这次攻击的根源在于一个Jenkins漏洞。Jenkins是一款开发人员广泛使用的开源自动化工具。 攻击者利用Jenkins漏洞攻陷系统 瞻博网络（Juniper Networks）日前发布一项研究报告，详细分析了攻击者如何利用Jenkins命令行界面（CLI）中的CVE-2024-23897漏洞进行攻击。该界面帮助开发人员与系统进行交互操作。 7月31日，负责管理印度所有零售支付系统的综合组织，印度国家支付公司（NPCI）宣布，正在处理由于其第三方技术供应商C-Edge Technologies遭受勒索软件攻击而导致的服务中断。 C-Edge为印度的地区农村银行提供技术服务。为减小影响，印度国家支付公司决定将C-Edge与其运营的零售支付系统隔离。C-Edge的客户在开始恢复工作时无法访问支付系统。 经过一天的努力，服务恢复正常。此后，勒索软件团伙RansomEXX宣布对这次攻击负责，并在其泄露网站上声称，他们从与C-Edge相关的数字支付平台中窃取了142GB的数据。 瞻博网络分析了印度国家支付公司向印度计算机应急响应小组（CERT-IN）提交的报告。研究人员表示，这次攻击凸显了各组织应当尽快应用安全补丁并修正服务器配置错误，以防止安全漏洞被恶意利用。 数月前就已有漏洞预警 Jenkins可以帮助开发人员构建、测试和部署软件。然而，这个漏洞允许攻击者访问敏感文件或数据。 去年11月，SonarSource首次发现了CVE-2024-23897漏洞，并帮助Jenkins团队验证今年1月发布的修复程序。 漏洞概念验证（PoC）一经发布，研究人员立即开始注意到攻击企图，并指出该漏洞允许攻击者接管未打补丁的Jenkins服务器。 由于Jenkins被广泛部署，这个漏洞在今年年初给网络安全社区敲响了警钟。 Horizon3.ai的首席架构师Naveen Sunkavally指出，全球有成千上万的Jenkins服务器对公众开放。由于这些服务器通常存储着大量敏感信息和其他系统的凭证，Jenkins成为了攻击者的常见目标。 Sunkavally表示：“如果Jenkins服务器的默认配置被错误修改，或者攻击者获取了有效的Jenkins用户账户，即使攻击者没有任何初始权限，他们也可以利用这个漏洞，甚至进一步控制服务器并提取凭证数据。不过，后两种情况依赖于超出攻击者控制的因素。” 他还提到，美国网络安全和基础设施安全局（CISA）的已知被利用漏洞（CISA KEV）目录中包含了四个与Jenkins相关的漏洞。此前，某些漏洞曾被用于安装加密挖矿软件或支持国家级网络攻击。 Critical Start的网络威胁情报分析师Sarah Jones和其他几位研究人员在今年1月发出警告，称该漏洞可能允许黑客窃取大量敏感数据，甚至可能“完全控制组织的基础设施”。 她补充道：“除了这些直接威胁，这类事件还可能对组织的声誉造成持久性损害，削弱公众信任，影响财务稳定，甚至引发法律后果。”   转自安全内参，原文链接：https://www.secrss.com/articles/69344 封面来源于网络，如有侵权请联系删除

黑客对乌克兰最受欢迎的网上银行之一发动了大规模分布式拒绝服务 (DDoS) 攻击，主要针对乌克兰人用于为军队筹集捐款的服务。 Monobank 首席执行官 Oleh Horokhovskyi 表示，此次攻击从周五晚上持续到周一早上，总请求量达到每秒 75 亿次。他还称此次攻击的规模“非同寻常”。“这一事件没有影响银行的运营，但指出该公司与乌克兰的安全部门以及美国云计算公司亚马逊网络服务的专家合作，以缓解垃圾流量的攻击。” 在 1 月份的一次 DDoS 事件中，Monobank在三天内收到了5.8 亿条垃圾服务请求。该银行仅通过移动应用程序为客户提供服务，因此成为黑客眼中极具吸引力的目标。 Horokhovskyi 表示，最新攻击的目的是破坏乌克兰人依赖的为国家武装部队筹集捐款的服务。这项服务让用户的捐款变得相对简单——他们所要做的就是创建一个虚拟钱包，并将其直接分享到 Instagram 故事中，让其他人捐款。 Horokhovskyi 说，过去三年通过该平台“不间断”的捐款可能惹恼了敌人，促使他们“不惜一切代价”试图入侵该服务。 Monobank 暗示俄罗斯可能是此次攻击的幕后黑手，但并未提供任何证据。Horokhovskyi 此前称该银行是乌克兰“受攻击最严重的 IT 目标之一”。 另一家乌克兰服务公司 EasyWay 周一表示，该公司受到 DDoS 攻击，该公司提供有关乌克兰各地公共交通的信息。EasyWay 警告称，这可能会影响其运营。EasyWay 并未将此次攻击归咎于某个特定的黑客组织。 与此同时，俄罗斯的服务也遭受了 DDoS 攻击，这些攻击通常来自乌克兰。本月早些时候，在乌克兰入侵后，未透露姓名的黑客针对俄罗斯库尔斯克地区的政府和商业网站以及关键基础设施服务发起攻击。 7 月份，俄罗斯几家大型银行证实，他们遭受了据称“来自国外策划的” DDoS 攻击，导致其移动应用程序和网站暂时中断。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/tMD1mVYMINoHcdYJ1J8c1g 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，一名黑客在论坛上发帖称自己从丰田美国分公司窃取的240GB数据，丰田官方随后表示这一情况属实。 根据这名黑客的描述，这些数据不仅涉及丰田员工和客户的信息，还包括合同和财务信息，并通过AD-Recon搜集了更多类型的数据。 黑客发布的贴子截图 虽然丰田没有透露这次数据泄露的日期，以及黑客是通过何种方式入侵并窃取了多少人的数据，但 BleepingComputer 发现这些文件被至少是在 2022 年 12 月 25 日创建的。这个日期可能表明，攻击者访问了存储数据的备份服务器。 丰田表示，这次事件不是系统范围的问题，影响程度有限，并正在与受影响的人员保持接触以提供必要的帮助。 近期数据泄露事件频发 据悉，仅在去年，丰田就已发生至少两起数据泄露事件。 2023年 12 月，丰田子公司丰田金融服务公司（Toyota Financial Services，TFS）向客户发出警告，该公司的欧洲和非洲分部在 11 月受到 Medusa 勒索软件攻击，导致敏感的个人和财务数据泄露。 2023年5月，丰田披露了一起云环境中因配置错误导致的数据泄露事件，暴露了2013 年 11 月 6 日至 2023 年 4 月 17 日这10年间215万车主的位置信息；而在几周后，又有两个配置错误的云服务被发现，暴露了 2016 年 10 月至 2023 年 5 月期间亚洲和大洋洲部分车主的个人信息。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409015.html 封面来源于网络，如有侵权请联系删除

近日，一场大规模勒索活动利用可公开访问的环境变量文件（.env）入侵了多个组织，这些文件包含与云和社交媒体应用程序相关的凭据。 “在这次勒索活动中存在多种安全漏洞，包括暴露环境变量、使用长期凭证以及缺乏最小权限架构 。”Palo Alto Networks Unit 42 在一份报告中指出。 该活动的显著特点是在受感染组织的亚马逊网络服务（AWS）环境中设置了攻击基础设施，并将其作为跳板，扫描超过 2.3 亿个唯一目标的敏感数据。 据了解，该恶意活动以 11 万个域为目标，在 .env 文件中获取了超过 9 万个独特变量，其中 7000 个变量属于组织的云服务，1500 个变量与社交媒体账户相关联。 Unit 42 表示，这次活动攻击者成功对托管在云存储容器中的数据进行勒索。不过，攻击者并没有在勒索之前对数据进行加密，而是将数据提取出来，并将勒索信放在被入侵的云存储容器中。 这些攻击最引人注目的一点是，它并不依赖于云提供商服务中的安全漏洞或错误配置，而是源于不安全 Web 应用程序上的 .env 文件意外曝光，从而获得初始访问权限。 成功破坏云环境为广泛的发现和侦察步骤铺平了道路，目的是扩大他们的影响力，威胁行为者将 AWS 身份和访问管理（IAM）访问密钥武器化，以创建新角色并提升他们的权限。 具有管理权限的新 IAM 角色随后被用于创建新的 AWS Lambda 函数，以启动包含数百万个域名和 IP 地址的全网自动扫描操作。 Unit 42 的研究人员 Margaret Zimmermann、Sean Johnstone、William Gamazo 和 Nathaniel Quist 说：”脚本从威胁行为者利用的可公开访问的第三方 S3 桶中检索到了潜在目标列表。恶意 lambda 函数迭代的潜在目标列表包含受害者域名的记录。对于列表中的每个域名，代码都会执行一个 cURL 请求，目标是该域名暴露的任何环境变量文件（即 https://<target>/.env）。” 如果目标域名托管了已暴露的环境文件，文件中包含的明文凭据就会被提取出来，并存储在另一个由威胁行为者控制的公共 AWS S3 存储桶中新建的文件夹中。目前，该存储桶已被 AWS 关闭。 研究人员发现，这场攻击活动特别针对包含 Mailgun 凭证的 .env 文件实例，表明攻击者试图利用它们从合法域名发送钓鱼邮件并绕过安全保护。 感染链的最后，威胁者会从受害者的 S3 存储桶中提取并删除敏感数据，并上传一张勒索信，提醒受害者联系并支付赎金，以避免敏感信息在在暗网上被出售。 威胁行为者试图创建新的弹性云计算（EC2）资源用于非法加密货币挖矿，但以失败告终，这也表明了攻击的经济动机。 目前还不清楚谁是这场活动的幕后黑手，部分原因是使用了 VPN 和 TOR 网络来掩盖其真实来源，不过 Unit 42 表示，它检测到两个 IP 地址分别位于乌克兰和摩洛哥，是 lambda 功能和 S3 提取活动的一部分。 研究人员强调：”这次活动背后的攻击者很可能利用了大量自动化技术来成功、快速地开展行动。这表明，这些威胁行为者在高级云架构流程和技术方面既熟练又专业。”   转自FreeBuf，原文链接：https://www.freebuf.com/news/408949.html 封面来源于网络，如有侵权请联系删除

除了药物兴奋剂以外，职业自行车比赛近年来作弊手段不断“创新”，从赛道上的钉子陷阱，到隐蔽在轮毂中的电机等“电子兴奋剂”。如今，随着自行车变速系统的电子化演变，黑客开始将注意力转向高端自行车的热门组件——无线变速器。 本周，在美国的Usenix安全研讨会上，加州大学圣地亚哥分校和东北大学的研究人员展示了一种黑客技术，利用几百美元的硬件设备，便可攻击禧玛诺（Shimano）的无线变速系统。这种攻击可以在10米之外伪造信号，使目标自行车在关键时刻意外换挡，甚至完全锁定变速器，强迫车手以错误的挡位骑行。 如果用户没有及时下载最新的固件补丁，可能会在赛道上被远程控制，改变比赛结果甚至引发伤亡事故。 无线变速的“软肋” 现代高端自行车越来越多地使用电子组件，如功率计、无线悬架控制和无线变速器。尤其在职业比赛中，电子变速器已经成为主流。这种变速器通过数字信号控制，通常比机械变速器更为可靠。然而，随着有线电子变速器逐渐过渡到蓝牙无线版本，安全隐患也随之而来。研究人员公布的黑客攻击手法简单来说，就是通过拦截目标车手的变速信号，并在比赛关键时刻重放这些信号，从而控制目标自行车的变速。研究人员仅通过一个300美元的软件无线电、天线和笔记本电脑，就成功实施了重放攻击。更简单的干扰攻击甚至无需拦截信号，只需通过广播干扰信号，便可使多个车手的变速器失效。 Shimano Di2无线变速组件和研究人员的黑客工具包 通过攻击无线变速器来操纵比赛结果可能听起来像科幻小说，但对职业比赛的影响却是显而易见的。东北大学的研究人员Aanjhan Ranganathan指出，黑客可以通过这种方法让一个车手受益，同时干扰其他车手的变速器：“你可以干扰所有人，唯独让你自己不受影响”。这种技术的可怕之处在于，它不仅能影响个别车手，甚至可影响整支车队。 研究人员指出，在诸如环法自行车赛这样的比赛中，如果黑客能够控制对手的变速器，便能轻松扰乱其节奏，甚至引发致命的失误。例如，在爬坡阶段将车手的挡位从低档切换到高档，或是在冲刺时强行切换挡位，都足以让对手输掉比赛，甚至发生摔车事故。 加州大学圣地亚哥分校的计算机科学助理教授Earlence Fernandes指出，这种攻击方式属于“无痕作弊”。在竞争激烈的自行车运动中，黑客攻击无疑是一种全新的威胁。 禧玛诺的应对措施 面对这一安全漏洞，禧玛诺迅速作出了反应。公司在与研究团队密切合作后，开发了新的固件更新，以增强其Di2无线变速系统的安全性。然而，值得注意的是，这一补丁直到8月底才会全面提供给用户。在此之前，职业车队已经收到该补丁，但普通用户仍需等待更新的正式发布。 禧玛诺表示，此次固件更新旨在改进无线信号传输的安全性，尽管公司并未详细说明具体修复了哪些漏洞。用户可以通过Shimano的E-TUBE Cyclist智能手机应用程序自行更新后拨固件，但前拨是否包含在更新范围内尚不明确。公司表示，关于更新过程的更多信息将在稍后发布。 自行车网络化的“安全债” 职业自行车比赛近年来饱受多种作弊手段的冲击，但通过攻击对手的无线变速器来操纵比赛无疑是最新威胁。研究人员指出，这不仅是自行车行业面临的挑战，也是整个科技行业需要警惕的趋势。随着越来越多的设备实现联网化、无线化，从车库门到汽车，再到自行车，它们都变得容易受到类似的重放攻击和干扰攻击。 正如Ranganathan所言，“制造商在产品中加入无线功能时，往往会对现实世界中的控制系统产生影响，而这种影响可能带来物理伤害。” 这一研究为整个自行车行业敲响了警钟，提醒人们在追求技术进步的同时，必须更加重视安全问题。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/Kr_M1AzDoZ5jPKe1t-GU-w 封面来源于网络，如有侵权请联系删除