特斯拉电动汽车在安全碰撞测试中所展现出的安全性高到令人难以置信，其中Model Y 的表现尤其令用户满意，曾在NHTSA的安全测试中获得了最高的IIHS安全等级。 但是，知名特斯拉黑客和软件专家@Greentheonly却在社交平台上爆料称，特斯拉一直在添加涉及碰撞测试机构的代码，包括刚刚测试过 Model Y 的 ANCAP 和 EuroNCAP。 Greentheonly认为，特斯拉之所以能够在全球各个国家碰撞测试中获得好成绩，很有可能是针对性使用了“特殊代码”。例如特斯拉在ANCAP（澳大利亚）、I-VISTA（中汽研中国智能汽车指数）、EuroNCAP（欧洲）、Korea NCAP（韩国）等车辆测试中心都使用了相关的代码。 简单来说，特斯拉可能针对各种不同规则制定出最优碰撞应对方案，并由车辆上的电脑在碰撞测试时实施该方案。有专家称这些代码是用来激活安全系统，使得车辆在碰撞发生时提前做好准备，这也是特斯拉在不同测试平台所使用的代码不一致的原因。 而一旦可以提前反应，那么车辆的碰撞测试就失去了意义，再也无法模拟真实意外碰撞的场景。因为车辆有足够的时间来改善汽车安全环境，包括采取气囊准备打开在内的其他安全措施等。 倘若黑客所曝出的内容是真的话，那么对于特斯拉绝对是一个巨大的打击。目前，特斯拉并未对此事进行回应。ANCAP的官方人员对媒体表示，他们已经知道这件事情，并对此展开调查。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/344842.html 封面来源于网络，如有侵权请联系删除

LastPass 表示发生于今年 8 月的安全事件里，在公司检测并驱逐之前黑客访问公司多个系统的时间已有 4 天。在上个月发布的安全事件通知的更新中，Lastpass 的首席执行官 Karim Toubba 还表示，该公司的调查（与网络安全公司 Mandiant 合作进行）没有发现威胁行为者访问客户数据或加密密码库的证据。 Toubba 表示：“尽管威胁行为者能够访问开发环境，但我们的系统设计和控制阻止了威胁行为者访问任何客户数据或加密密码库”。 虽然攻击者能够通过该方法破坏 Lastpass 开发人员的端点以访问开发环境，但调查发现，攻击者在“使用多因素身份验证成功进行身份验证”后能够冒充开发人员。在分析源代码和生产版本后，该公司也没有发现攻击者试图注入恶意代码的证据。 这很可能是因为只有 Build Release 团队才能将代码从 Development 推送到 Production，即便如此，Toubba 表示该过程还涉及代码审查、测试和验证阶段。此外，他补充说，LastPass 开发环境与 LastPass 的生产环境“物理分离，并且没有直接连接”。 事件发生后，Lastpass 在开发和生产环境中部署了包括额外的端点安全控制和监控在内的增强安全控制，以及额外的威胁情报功能和增强的检测和预防技术。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1317291.htm 封面来源于网络，如有侵权请联系删除

有黑客告诉BBC，他们对假日酒店(Holiday Inn)的所有者洲际酒店集团(IHG)进行了一次破坏性的网络攻击，目的则是“为了好玩”。他们自称来自越南，一开始他们尝试了勒索软件攻击，然后在被挫败后删除了大量的数据。 资料图 他们通过一个容易找到的弱密码Qwerty1234进入这家FTSE 100指数公司的数据库。 一位专家称，该案件突出了犯罪黑客的报复性一面。 总部位于英国的IHG在全球经营着6000家酒店，包括假日酒店、皇冠假日酒店和丽晶酒店等品牌。 上周一，客户报告了预订和入住方面的广泛问题。 IHG在事件发生后24小时内对社交媒体上的投诉作出回应，称公司正在进行系统维护。 然后在周二下午，它告诉投资者，它被黑客攻击了。 它在提交给伦敦证券交易所的一份正式通知中说道：“自昨天以来，预订渠道和其他应用程序已被严重破坏。” 自称TeaPea的黑客团伙在加密信息应用Telegram上跟BBC取得了联系，他们提供了截图以作为他们实施黑客攻击的证据。 IHG已经确认这些图片是真实的。据悉，这些图片显示了黑客获得对该公司内部Outlook电子邮件、Microsoft Teams聊天和服务器目录的访问。 “我们的攻击原本计划是一个勒索软件，但公司的IT团队在我们有机会部署它之前一直在隔离服务器，所以我们想来点有趣的，”其中一名黑客说道，“我们做了一个雨刷攻击(wiper attack)。” 雨刷攻击是一种网络攻击形式，其会不可逆地破坏数据、文件和文档。 网络安全专家、Forescout公司安全副总裁Rik Ferguson指出，这一事件是一个警示故事，因为尽管该公司的IT团队最初找到了抵御他们的方法，但黑客仍能找到造成破坏的方法。 “黑客们改变策略似乎是出于报复性的挫折感。他们赚不到钱，所以他们大打出手，这绝对暴露了一个事实，即我们在这里谈论的不是‘专业’网络犯罪分子，”Ferguson说道。 IHG表示，面向客户的系统正在恢复正常，但服务仍可能存在断断续续的情况。 黑客们对他们给公司及其客户造成的干扰没有表现出任何悔意。 “我们并不感到内疚，真的。我们更希望在越南有一份合法的工作，但工资是每月平均300美元。我相信我们的黑客攻击不会对公司造成很大的伤害，”他们说道。 黑客们说没有客户数据被盗，但他们确实有一些公司数据–包括电子邮件记录。 TeaPea称，他们通过诱骗一名员工通过诱杀的电子邮件附件下载了一个恶意软件进入了IHG的内部IT网络。另外，他们还必须绕过作为双因素认证系统的一部分而发送到工人设备的额外安全提示信息。 犯罪分子称，在找到公司内部密码库的登录信息后，他们进入了IHG计算机系统的最敏感部分。 “保险库的用户名和密码向所有员工开放，因此20万名员工可以看到，”他们告诉BBC，“密码非常弱。” 令人惊讶的是，这个密码是Qwerty1234，而它经常会出现在全球最常用的密码名单上。 Ferguson在看到截图后说道：“敏感数据应该只提供给需要访问该数据以完成其工作的员工，而且他们应该拥有使用该数据所需的最低级别的访问权限。即使是高度复杂的密码，如果它被暴露，也和简单的密码一样不安全。” IHG的一位女发言人对密码库细节不安全的说法提出异议，她指出，攻击者必须避开“多层安全”，不过她不愿透露有关额外安全的细节。此外，她还补充道：“IHG采用了深入防御的信息安全策略，进而可以利用许多现代安全解决方案。” 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1317511.htm 封面来源于网络，如有侵权请联系删除

据Bleeping Computer消息，同性恋应用程序Sniffies近日被黑灰产们盯上了。他们通过推销各类诈骗和不安全的谷歌Chrome扩展程序域名来诱导用户。在某些情况下，这些非法域名会启动 Apple Music 应用程序，提示用户购买订阅，这反过来又会为攻击者赚取佣金。 Sniffies是2018年面世的一款基于地图的现代聚会应用程序，适用于男同性恋、双性恋和对此感到好奇的用户。该APP的核心特色是创建了一个丰富的，可在地图上显示附件用户的界面，极大地方便人们寻找其他人，并迅速成为广受欢迎的热门工具，由此也引起了攻击者的注意。 Sniffies被用于黑灰产 近段时间以来，安全研究人员观察到，针对 Sniffies 网站和应用程序的黑灰产活动十分猖獗。白帽黑客Kody Kinzie表示自己至少发现了50多个域名是攻击者假冒的，其中大多数都是Sniffies 品牌名称的拼写变体。 攻击者创建这些假的域名，其目的就是为了引诱那些没有认真区分 Sniffies 网站的用户，而一旦用户登陆访问了这些虚假域名，那么很有可能会被执行以下操作： 诱骗用户安装可疑的 Chrome 扩展程序； 通过网络浏览器在Apple设备上启动“音乐”应用程序； 诱骗用户访问虚假的技术“支持”诈骗网站； 诱骗用户访问虚假招聘网站。 举个例子，当用户访问虚假域名后，会自动唤醒Apple Music 原生应用程序，提示用户按月付费订阅，而这将给黑灰产们带来不菲的会员佣金。 Sniffies 的域名仿冒域名试图启动 Apple Music 原生应用 此外还有不安全的Google Chrome 扩展程序，用户访问后网站就会推荐安装“ AdBlock Max – 删除侵入性广告”和“电影数据库”等，但实际上这类拓展程序的最终目的是将用户重定向至诈骗网站。 虚假的 Chrome 扩展程序 有意思的是，白帽黑客竟然在AdBlock Max中发现了一些广告拦截代码，但是想要依靠这些代码来防御“侵入性广告”无疑是徒劳的，反而给整个事件蒙极具“讽刺意味”。此外，不少扩展程序可能带有不需要的功能，例如跟踪功能等。 不仅仅是Sniffies 事实上，类似的黑灰产活动并非首次出现，相反这已经成为攻击者常用的手法，大量注册知名品牌的相关域名，并以此引诱那些粗心的用户。例如维珍航空的用户可能一时无法辨认virginatlantc.com域名，其表现出的行为与Sniffies活动中的欺诈行为有非常多的相似之处，只不过针对 Sniffies.com 用户的域数量更加庞大。 Kinzie 使用开源工具DNSTwist 被动生成 Sniffies.com 的排列，在该工具生成的 3531个域名列表中，有51个以Web应用程序命名的有效域，并指出虽然这些域名托管在随机平台上，但是很多域名注册在同一个 MX 服务器上。 虽然Google浏览器对于这些不安全的域名会弹出安全警告，以此提醒用户注意安全，但在实际过程中，还有很多Sniffies假冒域名并没有被警告。近年来，这样的假冒网站已呈现越来越的趋势，其模拟程度也越来越逼真，使得用户难以辨认真假。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/344555.html 封面来源于网络，如有侵权请联系删除

安全内参9月14日消息，上周日（9月11日），亲乌克兰的恶意黑客入侵了俄罗斯电视频道并播放反战信息，还将俄罗斯对乌克兰的攻击与美国纽约遭遇9/11恐怖袭击相提并论。 亲乌黑客团伙“hdr0”的一名成员在Telegram上表示，Channel One Russia、Russia-24及Russia-1等多个俄罗斯电视频道均已受到攻击影响。该团伙没有披露攻击实施细节，也未提及具体有多少观众看到了他们发布的反战信息。 这不是黑客活动分子首次将矛头指向俄罗斯电视频道。今年5月，曾有黑客用反战信息替换了普京总统在莫斯科胜利日阅兵式（纪念二战纳粹德国的战败）上的广播，内容为“你的手上，沾满了成千上万乌克兰人与众多死难儿童的鲜血。” 圣彼得堡的电视节目遭到黑客入侵。所有数字频道开始播放以9/11纽约恐怖袭击开篇的剪辑片段，然后巧妙切换至普京部队在乌克兰各地的可怕攻击镜头。非常震撼。 @igorsushko 周末被黑的电视节目播放了俄罗斯攻击乌克兰城市的镜头，还播放了乌克兰总统泽连斯基及其他全球领导人对于俄对乌开战暴行的谴责。 “世界看到了恐怖主义的面貌，却没有认出它真正的主人。全世界在阿富汗和伊拉克寻找恐怖主义……但恐怖分子的源头却在莫斯科。” “他们（俄罗斯人）终于看到了真相，无论是否喜欢。” 广电媒体成俄乌冲突期间攻击重点 上周，该团伙还声称入侵了克里米亚一家俄罗斯电视台，并播放了泽连斯基的公开讲话。他们还呼吁当地民众采取行动，为乌克兰军方控制该地区做好准备。 今年8月，克里米亚的俄罗斯电视台同样遭遇类似袭击：黑客开篇提出“克里米亚是乌克兰领土”，随后播放了泽连斯基的演讲。 在对抗的另一端，亲俄派黑客也有类似的动作。今年7月，乌克兰最大广播公司的多个广播电台遭黑客入侵，开始放送泽连斯基住院并生命垂危的假消息。 6月，黑客攻击了乌克兰流媒体服务Oll.tv，用俄罗斯的宣传内容替换掉了乌克兰对威尔士的足球比赛转播。据乌克兰国家公共广播公司总制片人Dmytro Khorkin介绍，今年2月，该公司还遭遇过一次分布式拒绝服务（DDoS）攻击。 他在事后接受采访时表示，“自俄乌战争爆发以来，俄罗斯就一直在攻击我们。” 转自 安全内参，原文链接：https://www.secrss.com/articles/46918 封面来源于网络，如有侵权请联系删除

据Bleeping Computer 9月12日消息，网络黑客正利用新型浏览器网络钓鱼技术——Browser In The Bopwser(BITB)，在游戏平台Steam窃取用户账户。 BITB是一种正逐步流行的攻击手法，主要是在活动窗口中创建伪造的登录页面，通常为用户所要登录服务的弹出页。 今年3月，Bleeping Computer 曾报道过由安全研究员 mr.d0x创建的这种新网络钓鱼工具包，该工具包可以让攻击者为 Steam、Microsoft、Google 和任何其他服务创建虚假登录表单。该项目的初中主要是服务于攻防中的红底人员。 9月12日，由 Group-IB发布的关于此类攻击的研究报告中说明了BITB攻击针对Steam用户的钓鱼过程，并出售这些账户的访问权限。这些目标账户通常价值不菲，大多在 100000 美元到 300000 美元之间。 以锦标赛为诱饵 钓鱼的第一步，是在Steam上向受害目标发送加入英雄联盟、CS、Dota 2 或 PUBG 锦标赛团队的邀请，受害者若点击邀请中的链接，就会被带往一个赞助和举办电子竞技比赛组织的网站，该网站实质上是一个钓鱼站点，受害者会被要求使用Steam账号登录加入团队，但登录页面窗口并不是覆盖在现有网站上的实际浏览器窗口，而是在当前页面中创建的虚假窗口，因此很难将其识别为网络钓鱼攻击。 显示为游戏锦标赛平台的钓鱼页面 钓鱼登录页面甚至支持27个国家的语言，能自动从受害者的浏览器偏好中检测语言设置并加载相应的语言。一旦受害者输入他们的Steam账户凭证，一个新产生的表单会提示输入 2FA 代码，如果身份验证成功，用户将被重定向到 C2 指定的 URL，通常会是一个合法地址，以最大限度地减少受害者意识到这是网络钓鱼的可能性。 此时，受害者的凭证已被盗并已发送给攻击者。在类似的攻击中，攻击者为尽快控制窃取的 Steam 帐户，会立即更改密码和电子邮件地址，使受害者很难重新索回账户。 如何发现BITB攻击？ 在所有BITB网络钓鱼案例中，网络钓鱼窗口中的 URL 都是合法的，其本质是一个渲染窗口，而非浏览器窗口。该窗口甚至允许用户拖动、将其最小化、最大化或者关闭，因此很难将其识别为这是一个在浏览器中生成的虚假浏览器窗口。 由于该技术需要 JavaScript，因此阻止 JS 脚本是有效的预防措施之一，但这一操作有时会妨碍许多正常网站的一些功能。最主要的是应当警惕在Steam等平台上收到的陌生消息，避免点击未知的链接。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/344356.html 封面来源于网络，如有侵权请联系删除

互联网上充满了高度敏感的数据。一般来说，复杂的加密技术可以保证这些材料无法被截获和读取。然而，在未来，高性能的量子计算机可以在几秒钟内破解这些密钥。而幸运的是，量子力学方法不仅提供了新的、快得多的算法，而且还提供了非常有效的可以与之对抗的密码学。 量子密钥分发 (QKD) 可以安全地抵御对通信通道的攻击，但不能抵御对设备本身的攻击或操纵。这是因为设备可能会输出一个制造商之前保存的密钥，并可能传递给黑客。与设备无关的QKD（缩写为DIQKD）则是一个不同的概念。加密协议不受设备的影响。这项技术自20世纪90年代起就在理论上为人所知，但它刚刚由慕尼黑路德维希-马克西米利安大学的物理学家哈拉尔德·温弗特和新加坡国立大学的查尔斯·林领导的一个国际研究小组在实验上实现。 交换量子力学密钥的方法有很多。发射器向接收器发送光信号，或者采用纠缠的量子系统。科学家们在目前的实验中采用了两个量子力学纠缠的铷原子，在LMU校园内相隔400米的两个实验室里。这两个设施由一条700米长的光缆连接，光缆从主楼前的Geschwister Scholl广场下穿过。 为了创造纠缠，科学家们首先用一个激光脉冲刺激每个原子。在这之后，原子自发地回到它们的基态，每个原子都释放出一个光子。由于角动量守恒，原子的自旋与它所发射的光子的偏振相纠缠。这两个光粒子通过光缆到达一个接收站，在那里对光子的综合测量显示了原子量子记忆纠缠。 为了交换密钥，Alice与Bob–这通常被密码学家称为两方测量他们各自原子的量子状态。在每种情况下，这是在两个或四个方向上随机进行的。如果方向一致，测量结果就会因纠缠而相同，并可用于生成密匙。对于其他测量结果，可以评估一个所谓的贝尔不等式。物理学家约翰·斯图尔特·贝尔最初提出这些不等式是为了测试自然界是否可以用隐藏的变量来描述。 “事实证明，它不能，”温弗特说。 在DIQKD中，该测试被用来”专门确保在设备上没有任何操作–也就是说，例如，隐藏的测量结果没有被事先保存在设备中，”温弗特解释说。 与早期的方法相比，由新加坡国立大学的研究人员开发的实施的协议使用两个测量设置来生成密钥，而不是一个。林说：”通过引入密钥生成的额外设置，截获信息变得更加困难，因此该协议可以容忍更多的噪音，甚至对于质量较差的纠缠状态也能生成密匙。” 相比之下，用传统的QKD方法，只有在所使用的量子设备被充分表征的情况下才能保证安全性。”因此，这种协议的用户必须依赖QKD供应商提供的规格，并相信设备在密钥分发期间不会切换到另一种工作模式，”Tim van Leent解释说，他是与Zhang Weo和Kai Redeker一起撰写该论文的四位主要作者之一。”至少十年前就已经知道，老式的QKD设备很容易从外部被入侵。” 温弗特解释说：”用我们的方法，我们现在可以用未定性的、可能不值得信赖的设备生成秘钥。” 事实上，他最初对该实验是否会成功也有怀疑。但他的团队证明了他的疑虑是没有根据的，并大大改善了实验的质量。除了LMU和NUS之间的合作项目，牛津大学的另一个研究小组也展示了独立于设备的密钥分配。为了做到这一点，研究人员在同一个实验室里使用了一个由两个纠缠的离子组成的系统。 “这两个项目为未来的量子网络奠定了基础，在这种网络中，远距离的通信是可能的，”查尔斯·林说。 研究人员下一个目标之一是扩大该系统，纳入几个纠缠的原子对。这将允许产生更多的纠缠状态，从而提高数据速率，最终提高密钥的安全性。 此外，研究人员还希望能增加范围。在目前的装置中，它受到实验室之间的光纤中大约一半的光子损失的限制。在其他实验中，研究人员能够将光子的波长转化为适合电信的低损耗区域。通过这种方式，只需一点额外的噪音，他们就能将量子网络的连接范围增加到33公里。 转自 CnBeta，原文链接：https://www.cnbeta.com/articles/tech/1315045.htm 封面来源于网络，如有侵权请联系删除

据《澳大利亚金融评论报》网站12日报道，在过去的一年里，由于黑客袭击增多和索赔激增，澳大利亚的网络安全保费出现大幅上涨。据全球保险经纪公司达信保险经纪有限公司说，过去3年来，平均每年用于网络安全的保费翻了一番。另一家经纪公司霍南集团指出，保费在过去12个月里上涨了80%，而前两年每年的涨幅均为20%。 报道称，保费涨价的主要原因是：与勒索软件相关的索赔数量和金额有所增加。犯罪分子利用恶意软件禁止人们访问某个组织的计算机系统，直到对方支付赎金。 报道指出，过去几年，澳大利亚的网络攻击数量也急剧增加。 澳大利亚网络安全中心去年收到了逾67500份网络犯罪报告，同比增加约13%。据信网络攻击的真实数量还要多得多。在这其中，约有一半被归为重大事故。 报道称，考虑到公司声誉问题，企业通常不愿公开承认其支付赎金以重新拿回网络控制权。但一项调查发现，80%的受访企业领袖说，如果遭到后果极其严重的网络攻击，他们愿意支付赎金。 转自 CnBeta，原文链接：https://www.cnbeta.com/articles/tech/1315153.htm 封面来源于网络，如有侵权请联系删除

根据 Statista 发布的预估报告，全球游戏市场在 2025 年预估会达到 2688 亿美元。这也让游戏行业成为黑客重点攻击的目标，让数十亿玩家处于他们的阴影中。作为最畅销的视频游戏之一，Minecraft 自然成为了不少恶意黑客执行攻击的诱饵。 根据端点安全供应商和消费者 IT 安全软件公司卡巴斯基的一份新报告，Mojang Studios 开发的热门沙盒游戏《我的世界》（Minecraft）在黑客使用最多的游戏。 《我的世界》经常被黑客用来向全球不同用户投放恶意软件。具体来说，该公司表示，从 2021 年 7 月到 2022 年 6 月，共计发现了存在恶意诱饵的 23239 个游戏文件，影响了 131005 名用户。卡巴斯基指出，虽然在手游领域使用《我的世界》作为诱饵的恶意文件数量有所下降，但它仍然排在首位，分发了 2406 个。 卡巴斯基在 Minecraft 之后列出了另外 9 款游戏，这些游戏在分发的相关恶意文件数量方面：FIFA (10,776), Roblox (8,903), Far Cry (8,736), Call of Duty (8,319), Need for Speed (7,569), Grand Theft Auto (7,125), Valorant (5,426), The Sims (5,005)以及CS:GO (4,790). 根据卡巴斯基安全解决方案，根据他们从这些游戏中观察到的文件，下载程序是分发的第一大恶意软件和不需要的软件，在研究期间占案例的 88.56%。这确实是一个巨大的数字，尽管安全公司表示“这种类型的未经请求的软件本身可能并不危险……它可用于将其他威胁加载到设备上”。 使用热门游戏传播的其他类型威胁包括非病毒：AdWare (4.19%)、Trojan (2.99%)、DangerousObject (0.86%)、Trojan-SMS (0.49%)、Trojan-Downloader (0.48%) , not-a-virus:WebToolbar (0.47%), not-a-virus:RiskTool (0.45%), Exploit (0.34%) 和 Trojan-Spy (0.29%)。尽管这类威胁的比例很小，但对于受影响的人来说，捕捉它们可能是一个巨大的问题。例如，特洛伊木马威胁可能会破坏、窃取或对个人数据或网络造成其他有害行为。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1313435.htm 封面来源于网络，如有侵权请联系删除

9月3日，韩国政府的官方YouTube频道遭到黑客入侵，黑客们利用该频道推广一个加密货币骗局，并使用了特斯拉CEO埃隆-马斯克的形象。黑客将韩国政府频道的名称改为“SpaceX Invest”，以假装与马斯克旗下的太空探索技术公司（SpaceX）有关。 黑客们还发布了几段采访视频，其中包括马斯克谈到加密货币的采访视频片段。不过，韩国政府很快发现了黑客攻击，并在试图确定漏洞来源的同时将账户暂停了4小时。 负责管理政府YouTube帐户的韩国文化和旅游部发言人表示，政府正在与谷歌韩国公司合作，以确定黑客是如何进行攻击的，但怀疑该频道的 ID和密码可能已被泄露或被盗。 这不是韩国政府过去一周遭遇的唯一一次黑客攻击，就在上周四，韩国旅游发展局运营的YouTube频道遭受了为期两天的攻击，最终导致该频道无限期暂停。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1312855.htm 封面来源于网络，如有侵权请联系删除