HackerNews 编译，转载请注明出处： 攻击者声称通过滥用Meta旗下Facebook的应用程序接口（API）非法获取了包含12亿条用户记录的数据库，并将该数据集发布于知名数据泄露论坛。若得到证实，这将成为Facebook历史上最大规模的数据泄露事件之一。 网络安全媒体Cybernews研究团队对攻击者提供的10万条样本数据进行核查，发现其中包含用户ID、姓名、电子邮箱、用户名、电话号码、地理位置、生日及性别等敏感信息，初步分析显示样本数据格式完整且逻辑合理。但研究人员对“12亿条全新数据”的宣称持审慎态度，因该攻击者此前仅发布过两次数据帖，...

HackerNews 编译，转载请注明出处： 网络安全研究人员近日发现，一些加密货币相关的npm包遭到劫持，攻击者通过这些包从受感染的系统中窃取环境变量等敏感信息。 Sonatype研究员Ax Sharma表示："其中一些包已在npmjs.com上存在超过9年，为区块链开发者提供了合法功能。然而，这些包的最新版本中被植入了混淆的恶意脚本。"...

HackerNews 编译，转载请注明出处： Cloudflare宣布，已关闭所有HTTP连接，现在仅接受api.cloudflare.com的安全HTTPS连接。 此举旨在防止未加密的API请求被发送，即使是意外发送的，也会在服务器关闭HTTP连接并重定向到安全通信通道之前，消除敏感信息在明文流量中暴露的风险。...

HackerNews 编译，转载请注明出处： 最新分析发现，在公开爬取的网络数据中，DeepSeek 的 11,908 条 API 密钥、密码及身份验证令牌遭到曝光。 据网络安全公司 Truffle Security 披露，这一研究凸显了 AI 模型在未经筛选的互联网数据训练下，可能会内化并复现不安全的编码模式。...

HackerNews 编译，转载请注明出处： 近日，ExHub 被发现存在一个关键的不安全直接对象引用（IDOR）漏洞，该漏洞允许攻击者在未经授权的情况下修改任何项目的网页托管配置，对受影响系统构成重大风险。 ExHub 是一个基于云的平台，提供网页托管、项目协作和部署功能。用户可以配置其项目的网页托管设置，这些设置决定了项目如何部署和被访问。理想情况下，只有授权用户才能修改这些设置。然而，由于访问控制的不当实现，未授权用户可以通过知道项目的唯一标识符来利用系统。...

近期， Imperva 发布的《2024 年 API 安全状况报告》中提到，2023 年的大部分互联网流量（71%）都是由 API 调用，通过 API 传输的大量互联网流量应该引起每一位网络安全专家的关注。 目前，尽管大部分企业已经尽最大努力采用了左移框架和 SDLC 流程，但 API 仍经常在编目、验证或审计之前就被嵌入到了业务流程中（企业在生产中平均拥有 613 个 API 端点），随着当下向客户更快、更高效地交付数字服务的压力不断增加，这一数字也在迅速扩大。 随着时间推移，API 可能会成为有风险、易受攻击的端点。...

苹果公司宣布，从今年秋开始，开发者提交的App若需要调用某些API，需要在提交之前给出详细的调用理由，以确保开发人员不会滥用 API 进行用户的指纹识别。 苹果表示，有一小部分 API 可能被滥用，通过指纹识别收集有关用户设备的数据，这是我们的开发者计划许可协议所禁止的。 该项措施旨在保证应用程序遵守“必要原因使用API”的规定，开发人员必须选择一个或多个与其应用程序的 API 使用情况准确一致的调用理由，且仅限于在所选定的范围内调用API。目前苹果已经将Apple Developer 网站上的将部分 API 标记为“Required Reason APIs”（需提供...

近日，Cequence Security发布了其2022年上半年的报告，题目为 "API保护报告。影子API和API滥用的爆炸性增长"。其中最主要的发现是，约有50亿（31%）的恶意交易针对未知的、未被管理和未被保护的API，通常被称为影子API，这使其成为挑战行业的首要威胁。 Cequence Security首席执行官Ameya Talwalkar说："现实情况是，我们作为消费者享受的日常奢侈品，如共享单车和食品配送服务，都是建立在API上的。我们的研究发现，企业可以创新客户体验，但新的方式也是对其安全、客户信任的最大威胁。公司必须重新思考在其安全战略中优先考虑的内容，...