HackerNews 编译，转载请注明出处： 美国田纳西州一名男子承认入侵了美国最高法院的电子档案系统，并入侵了美国联邦机构AmeriCorps和美国退伍军人事务部的账户。 联邦检察官表示，来自田纳西州斯普林菲尔德的24岁男子尼古拉斯·摩尔在2023年8月至10月期间，使用窃取的凭据访问了最高法院受限的电子档案系统至少25次。 此外，他有时每天多次使用相同的被盗凭据登录最高法院的系统。 据称，摩尔在Instagram上吹嘘这些入侵行为，将包含受害者姓名和来自最高法院账户的档案系统详细信息的截图发布到一个名为@ihackedthegovernment的账户。 美国司法部周五表示：”摩尔曾三次在其Instagram账户@ihackedthegovernment上发布其受害者的最高法院档案系统详细信息的截图，包括受害者的姓名和其他信息。” 他还在2023年8月至10月期间，使用被盗的MyAmeriCorps凭据七次访问第二名受害者的AmeriCorps账户，从该机构的服务器获取了个人信息（包括姓名、出生日期、电子邮件地址、家庭住址、电话号码、公民身份、退伍军人身份、服役历史以及社会安全号码的最后四位数字），并将其泄露在同一Instagram账户上。 摩尔还在2023年9月至10月期间，使用从一名美国海军陆战队退伍军人那里窃取的登录凭据，五次访问退伍军人事务部的”My HealtheVet”在线个人健康记录门户网站。退伍军人事务部还运营着美国最大的综合医疗保健系统，在美国1,380个医疗保健机构提供护理服务。 检察官在法庭文件中表示：”这次入侵使摩尔能够访问该退伍军人的私人健康信息，包括处方药和其他私密数据。摩尔随后将退伍军人的健康信息发布到@ihackedthegovernment账户，并吹嘘自己获得了访问退伍军人事务部服务器的权限。” 摩尔承认了一项计算机欺诈罪，这是一项轻罪，最高可判处一年监禁和10万美元罚款。 消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Malwarebytes于 2026 年 1 月 9 日在推特发文称：网络犯罪分子窃取了 1750 万 Instagram 账号的敏感信息，具体包含用户名、住址、电话号码、电子邮箱地址等多项内容。 自 2026 年 1 月 10 日起，已有百万用户收到密码重置邮件，这一情况引发用户困惑，同时也加剧了人们对全球性网络攻击的担忧。安全专家提醒，这是一起严重的隐私泄露事件，存在切实的现实风险，遭泄露的数据可能已在暗网流通。 研究人员发现，一个包含近 1800 万 Instagram 用户信息的敏感数据库正在某网络犯罪论坛上售卖，该数据库被称作 “人肉搜索工具包”。与以往的数据爬取事件不同，此次泄露的数据中包含与 Instagram 用户身份标识相关联的家庭地址。 被盗数据的源头很可能并非仅来自于Instagram用户个人主页。攻击者或许将Instagram用户身份标识与外部数据库信息进行整合，这些外部数据来源涵盖营销名单、数据中间商、电商平台以及泄露的客户记录等，通过这种方式实现用户名与真实姓名、家庭地址的匹配关联。 将线上身份与线下物理地址绑定后，这一行为带来的威胁远超垃圾邮件骚扰或账号盗用。它可能滋生跟踪、“特警敲门” 恶作剧式攻击、敲诈勒索以及身份盗用等行为，将一场数字隐私泄露事件转化为对用户现实人身安全的潜在威胁。 网络安全专业资讯网站The Cybersec Guru报道称：“这批数据并非处于闲置状态。有消息显示，这个包含 1750 万条用户记录的数据库，部分内容正在非法交易市场拍卖。巨蜥，这些数据会按地区和粉丝数量分批次出售，网红博主以及高关注度的商业账号成为主要攻击目标。” Instagram 用户需立即采取应对措施，并假定自身信息已存在泄露风险。研究人员给出以下建议：不要点击收到的密码重置邮件链接，仅通过官方应用重置密码；借助 Instagram 官方邮件日志核验邮件真伪，谨防钓鱼诈骗；开启基于应用的双重认证功能，尽量避免使用短信验证方式；最后，检查并移除第三方应用的授权权限，这些权限可能是导致此次数据泄露的原因之一。     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Instagram平台上出现冒充蒙特利尔银行（BMO）和EQ Bank（Equitable Bank）等金融机构的广告，正被用于针对加拿大消费者实施钓鱼诈骗和投资欺诈。部分广告使用AI深度伪造视频窃取个人信息，另一些则盗用官方品牌标识，将用户引导至与银行无关的高度相似的非法域名。 我们观察到多例看似由加拿大银行运营、实为诈骗的Instagram广告。如一些广告自称来自“Eq Marketing”，配色方案与EQ Bank高度相似，并承诺高达“4.5%”的利率（该收益率明显虚高）。点击后却跳转至假冒网站RBCpromos1[.]cfd——该域名与EQ Bank无关，实为收集用户银行凭证的钓鱼网站。 域名中的“RBC”字样表明，该钓鱼网站可能也曾用于针对加拿大皇家银行（RBC）等其他大型金融机构的诈骗活动。点击“是的，继续使用我的账户”后，用户会看到伪造的EQ Bank登录界面，诱导输入银行凭证。相比之下，我们在Reddit等平台看到的EQ Bank正规广告均跳转至官方域名eqbank.ca，且宣传的利率更为合理。 另一则标注为“BMO Belski”的欺诈广告以Instagram快拍形式出现，通过“您投资股票多久了？”等筛选问题吸引用户互动——这类问题本是正规广告商用于定位目标客户的常见手段。但此次用户回答后，页面会直接要求提交联系方式给所谓“BMO Belski”广告主。 该骗局设计巧妙：不仅滥用BMO品牌，还暗示与银行首席投资策略师布莱恩·贝尔斯基（Brian Belski）存在关联。普通用户易误以为正在接收这位知名专家的权威投资建议。我们进一步发现，“BMO Belski”广告甚至播放贝尔斯基的AI深度伪造视频，诱骗用户加入“WhatsApp私人投资群组”。 这些广告存在一个共同点：投放账户在Instagram无主页，仅通过Facebook运营。例如“BMO Belski”拥有一个粉丝数千的Facebook主页（已存档），但在Instagram查无此账号——尽管其广告在该平台大量出现。 Meta商务管理平台确实支持通过Facebook主页投放Instagram广告（无需Instagram账号）。诈骗分子采用此途径的原因尚不明确，但我们推测：此举可规避在Instagram建立账号与粉丝基础的时间成本，且新创建的Instagram广告账户更易被识别风险。值得注意的是，“BMO Belski”Facebook主页创建于2023年10月27日，但仅在本周发布过两条贴文。 该主页最初名为“Brentlinger Matt Blumm”，表明攻击者可能像操作前述钓鱼域名一样，在重复利用被盗用的社交媒体资产。相比新建主页易因创建时间过新引发警惕，翻新旧主页可凭借存续时间和粉丝量（无论真实与否）获取更高可信度。 我们向Instagram举报了这些欺诈广告，但数日后广告仍在展示，凸显平台审核机制滞后带来的风险。BleepingComputer已就此事联系BMO、EQ Bank及Meta。知情人士透露Meta正在调查相关内容并将删除确认为欺诈的内容。EQ Bank回应称已察觉钓鱼广告活动，正积极协同平台方尽快下架。“这些广告绝非我们授权或认可的行为，”发言人表示，“此类高仿真诈骗的增多令人担忧。客户安全是我们的首要任务，强烈建议用户通过官方渠道验证促销信息真实性。我们已向全体客户发出防诈警示。” 用户在Instagram、Facebook等平台点击广告时需保持警惕——即使广告显示正规机构标识。带有“已验证”徽章的Instagram广告账号（如下图）可信度较高，但仍需确认跳转链接是否指向该机构的官方域名。谨记：过于诱人的承诺往往暗藏陷阱。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

据Cyber News消息，11 月 10 日，一名黑客在某黑客论坛上列出了一个待售数据集，声称它包含 4.89 亿 Instagram 用户数据。 Instagram 每月有超过 20 亿活跃用户，意味着如果这些数据被证明是真实的，将影响将近四分之一的用户。 黑客分享了 100 多条数据样本，包括用户名、姓名 、电子邮件等。虽然黑客者声称这些数据是 “新收集的”，但在黑客论坛上分享的数据的有效性通常值得怀疑。 据 Cybernews 研究人员称，数据样本中共享的 Instagram 配置文件似乎是真实的。 抓取的数据样本 数据集样本中的电子邮件地址并不存在于以前泄露事件的数据集中，可能意味着数据确实是新的，但也可能是故意伪造的。 至于这些数据是通过何种方式获取，研究人员称如果黑客的行为可信，并且通过抓取公共 API 获取数据，则意味着私有 Instagram API 已向公众暴露，或者其公共 API 受到了对象属性级授权（Broken Object Property Level Authorization）的攻击。 Cybernews 已联系 Instagram 的母公司 Meta 寻求置评，但尚未收到回复。 虽然数据抓取处于法律灰色地带，但根据 Meta 的政策，未经公司许可，使用自动化获取数据违反了其条款。Meta 的网站声称有一个专门的外部数据滥用 （EDM） 团队，专注于检测和阻止抓取。 据说该团队还通过与威胁情报研究人员合作，并与有实力的托管供应商一起防止抓取的数据集在在线论坛上共享。       转自Freebuf，原文链接：https://www.freebuf.com/news/415153.html 封面来源于网络，如有侵权请联系删除

据CyberNews消息，Meta于4月5日宣布将对旗下Facebook 和 Instagram平台上的数字创建和更改媒体政策进行调整，以遏制在美国大选前利用人工智能进行的深度伪造内容传播。 据Meta内容政策副总裁莫妮卡-比克特（Monika Bickert）透露，这一政策将从今年5月起生效，其平台上发布的由人工智能生成的视频、图片和音频将被打上相应的标签，以进行显著区分。 人工智能生成的视频、音频和图片内容上标注新的 “Made with AI”（人工智能制造）标签，旨在帮助用户识别被操纵的内容 此外。对于在重要事实问题上容易对公众造成欺骗或误导的高风险性内容，无论是否涉及人工智能生成，Meta都将为其单独贴上更醒目的标签。 这一政策预示Meta将改变对可能存在篡改风险的内容的处理方式。从过去的删除政策转变为保留，同时向观众表明有关内容制作来源及过程的信息。 Meta 此前还宣布了一项计划——利用文件中内置的隐形标记来检测使用其他公司的生成式人工智能工具制作的图片，但该计划并未给出具体的实施日期。 公司发言人告诉路透社，新的标签方法将适用于Facebook、Instagram 和 Threads 服务上发布的内容。该公司的其他服务，包括 WhatsApp 和 Quest 虚拟现实头盔将适用与之不同的规则。 在此之前，技术人员曾警告称，生成式人工智能可能会影响美国大选，对Meta甚至是OpenAI 等供应商发布的指导方针界限构成挑战。 今年 2 月，Meta 监督委员会审查了美国总统乔-拜登（Joe Biden）去年在 Facebook 上发布的一段视频后，称Meta关于“受操纵媒体内容”的现有规则 “不连贯”，这段视频篡改了真实画面，错误地暗示拜登有不当行为。由于 Meta 现行的“受操纵媒体内容”政策规定，只有在人工智能制作的视频或让人看起来说了实际上从未说过的话的视频会被禁止。 因此，董事会表示，该政策也应适用于非人工智能内容（其误导性 “不一定比人工智能生成的内容低”），以及纯音频内容和描述人们做了实际上从未做过的事情的视频。   转自Freebuf，原文链接：https://www.freebuf.com/news/397077.html 封面来源于网络，如有侵权请联系删除

Meta公司为用户管理其Facebook和Instagram的登录而创建的一个新的集中式系统中的一个错误可能使恶意的黑客仅仅通过知道他们的电子邮件地址或电话号码就能关闭一个账户的双因素保护措施。 来自尼泊尔的安全研究员Gtm Mänôz意识到，当用户在新的Meta账户中心输入用于登录账户的双因素验证内容时，Meta没有设置尝试次数的限制，该中心帮助用户连接他们所有的Meta账户，如Facebook和Instagram。 有了受害者的电话号码或电子邮件地址，攻击者就会到集中的账户中心，输入受害者的电话号码，将该号码与他们自己的Instagram或Facebook账户连接起来，然后用暴力破解双因素短信代码。这是关键的一步，因为某人可以尝试的次数是没有上限的。 一旦攻击者获得正确的代码，受害者的电话号码就会与攻击者的账户联系起来。一次成功的攻击仍然会导致Meta公司向受害者发送一条信息，说他们的双因素被禁用，因为他们的电话号码被链接到了别人的账户上。在这个过程中，影响最大的是仅仅知道电话号码就可以取消任何人的基于短信的2FA。   Meta公司发给一个用户的电子邮件的截图，上面写着：”我们想让你知道，你的电话号码在Facebook上被另一个人注册和验证了。” 理论上，鉴于目标不再启用双因素，攻击者可以尝试通过网络钓鱼获取密码来接管受害者的账户。 Mänôz去年在Meta账户中心发现了这个漏洞，并在9月中旬向公司报告。Meta公司在一个月后修复了该漏洞，并向Mänôz支付了27200美元的奖励。 目前还不清楚怀有恶意的黑客是否也发现了这个漏洞，并在Facebook修复它之前利用了它，Meta公司没有立即回应评论请求。   转自 cnBeta，原文链接：https://www.toutiao.com/article/7194496182545023547/ 封面来源于网络，如有侵权请联系删除