网络与安全频道最新文章
经期追踪应用Stardust被曝将用户健康数据共享给第三方分析公司

经期追踪应用Stardust被曝将用户健康数据共享给第三方分析公司

Mozilla研究人员通过分析网络流量发现,标榜"数据绝对私密"的经期追踪应用Stardust,正在将用户的出生日期、避孕方式、生育目标及健康症状等敏感信息共享给第三方分析公司RudderStack。这些数据虽以唯一标识符替代姓名,但FTC早已警告此举无法真正匿名化。在六款被测应用中,Stardust是唯一一款向第三方共享敏感健康数据的应用,Mozilla推荐Euki为隐私最佳选择。

英国警方:两名黑客被捕重创知名黑客组织"散落蜘蛛"

英国警方:两名黑客被捕重创知名黑客组织"散落蜘蛛"

英国警方宣布,18岁的Owen Flowers和20岁的Thalha Jubair因入侵伦敦交通局(TfL)系统被判处五年半监禁。两人是臭名昭著的网络犯罪团伙Scattered Spider成员,该团伙曾攻击MGM赌场、WestJet航空及Okta等知名企业。此次TfL攻击事件造成约2900万英镑损失,导致票务系统及实时列车信息系统瘫痪数周。英国国家犯罪局表示,此次判决已"严重削弱"该团伙的活动能力。

Forg365:借助生成式 AI 将微软365网络钓鱼工业化

Forg365:借助生成式 AI 将微软365网络钓鱼工业化

安全公司ZeroBEC披露了一个通过Telegram传播的网络钓鱼即服务平台Forg365。该平台集成AI辅助诱饵生成、设备码滥用及中间人攻击技术,提供订阅制服务,月费400美元。攻击者可通过统一面板管理钓鱼邮件、捕获账户数据并持续监控被入侵的微软365邮箱。即便重置密码也无法彻底清除攻击者。安全专家建议企业限制设备码认证、部署FIDO2等抗钓鱼MFA,并在发现入侵后立即吊销刷新令牌和OAuth权限。

零漏洞代码包为何仍是软件供应链的最大隐患

零漏洞代码包为何仍是软件供应链的最大隐患

软件供应链安全威胁持续升级。RapidFort与ReversingLabs宣布合作,推出开源依赖库目录,集成深度二进制恶意软件检测技术,利用神经网络分析编译代码结构,识别隐藏威胁。专家指出,零CVE漏洞的软件包并不等于安全,XZ后门等事件表明,信任链失效才是真正风险所在。该方案无需迁移现有工具链,支持主流包管理器,旨在构建独立验证层,让威胁在进入构建流水线前即被拦截。

可口可乐旗下Fairlife乳品公司遭勒索软件攻击,被迫停产

可口可乐旗下Fairlife乳品公司遭勒索软件攻击,被迫停产

可口可乐公司向美国证券交易委员会披露,其旗下乳品子公司Fairlife遭受勒索软件攻击,生产系统受到影响,美国境内所有生产运营已"暂时停止",加拿大业务暂未受波及。Fairlife是可口可乐旗下主要品牌之一,预计2024年销售额约达40亿美元。勒索软件攻击对食品饮料企业影响深远,此前多家企业曾遭遇长达数周的生产中断。目前,可口可乐尚未透露系统恢复时间表。

欧盟威胁对Meta开出罚款,剑指Facebook和Instagram上瘾性设计

欧盟威胁对Meta开出罚款,剑指Facebook和Instagram上瘾性设计

欧盟委员会宣布,Meta因Facebook和Instagram的成瘾性设计功能违反《数字服务法》,必须进行整改,否则将面临最高占全球年营收6%的罚款。涉事功能包括无限滚动、自动播放、推送通知及高度个性化推荐算法,委员会认为这些功能助长用户强迫性使用习惯,损害身心健康,尤其对未成年人影响显著。Meta此前已被发现未能阻止13岁以下儿童使用其平台,目前在美国也面临多州高达1.4万亿美元的索赔。

Telegram短链域名t.me因制裁合规问题短暂下线后已恢复

Telegram短链域名t.me因制裁合规问题短暂下线后已恢复

Telegram旗下短链接域名t.me周一神秘下线,创始人杜罗夫在X平台发文确认故障。此次中断源于域名注册商DomainME因美国财政部OFAC制裁合规要求,对该域名实施了"serverhold"锁定。事件起因与美国财政部对VPN服务商First VPN的制裁有关,其制裁文件中包含一个t.me格式的Telegram群组链接。目前该域名已恢复正常,DomainME首席执行官确认将就此事发布官方声明。

Apple芯片现不可修复漏洞,或成iPhone越狱突破口

Apple芯片现不可修复漏洞,或成iPhone越狱突破口

西班牙网络安全公司Paradigm Shift披露了一个名为"usbliter8"的苹果芯片漏洞,影响搭载A12和A13芯片的iPhone XS、XR及iPhone 11等机型。该漏洞存在于Boot ROM中,无法通过软件补丁修复,攻击者需物理接触设备方可利用。此漏洞可能为安全研究人员和政府机构提供开发iPhone越狱工具的基础,但普通用户受到的直接威胁有限。官方建议用户升级至更新硬件以规避风险。

塔塔电子确认遭遇数据泄露,苹果特斯拉供应商信息或外泄

塔塔电子确认遭遇数据泄露,苹果特斯拉供应商信息或外泄

印度电子与半导体制造商塔塔电子(Tata Electronics)近日确认发生网络安全事件。此前,黑客论坛上出现疑似从该公司窃取的超过630GB、逾20万份文件,其中包含苹果供应商规格文件及特斯拉制造文档。塔塔电子表示,事件发生于数周前,公司已启动应急响应措施,运营未受影响。但公司拒绝披露泄露数据的具体内容及受影响客户情况。据报道,黑客曾向塔塔电子提出勒索要求,苹果也已介入调查。

新网站公开点名仍未提供通行密钥的企业

新网站公开点名仍未提供通行密钥的企业

一个名为whynopasskeys.com的新网站正在公开点名批评那些仍未向用户提供Passkey登录选项的企业,包括Instagram、Netflix和Spotify。Passkey被视为账户安全的"黄金标准",它由用户设备生成,支持生物识别验证,无需记忆密码,且难以被黑客窃取或钓鱼攻击。该网站由安全研究员Scott Helme创建,旨在通过"榜单压力"推动更多企业开放Passkey功能。苹果、谷歌、微软等已上榜"优秀"名单。

美国最高法院裁定地理围栏搜查令须受隐私权保护

美国最高法院裁定地理围栏搜查令须受隐私权保护

美国最高法院以6比3的投票结果,裁定手机位置信息受第四修正案隐私权保护。法院认为,用户在使用谷歌等科技公司服务时,并非主动共享位置数据,因此执法机构在申请地理围栏搜查令时,必须证明存在"合理犯罪嫌疑"并获得法院批准。此裁决虽未完全禁止地理围栏搜查令,但对其使用范围加以限制,对美国执法实践及隐私保护具有深远影响。

佛罗里达州勒索软件谈判员因协助黑客勒索美国企业被定罪判刑

佛罗里达州勒索软件谈判员因协助黑客勒索美国企业被定罪判刑

佛罗里达州男子Angelo Martino以网络安全公司勒索软件谈判员身份为掩护,与黑客合谋部署BlackCat勒索软件攻击美国企业,被判处逾五年有期徒刑。美国司法部同时没收其逾1000万美元加密货币及资产。Martino与Kevin Martin、Ryan Goldberg三人于2023年联手实施多起攻击,其中一次成功勒索约120万美元后三人平分。BlackCat曾于2024年2月入侵医疗巨头Change Healthcare,导致逾1.92亿人敏感数据外泄。

洛杉矶警察局终止与监控巨头Flock Safety合同,直指隐私与公民自由问题

洛杉矶警察局终止与监控巨头Flock Safety合同,直指隐私与公民自由问题

洛杉矶警察局(LAPD)因对公民自由与隐私的"严重担忧",决定不续签与监控公司Flock Safety的三年合同。LAPD首席信息官表示,该公司收集的车牌摄像头数据存在隐私和安全隐患。Flock在全美拥有至少8万个摄像头,已有多个城市陆续终止与其合作。此外,该公司还面临安全漏洞、误报导致无辜驾驶者被拘等多项争议。

被盗患者数据已成为地下市场的结构化商品

被盗患者数据已成为地下市场的结构化商品

最新研究追踪了163个地下社区中逾2.1万条暗网市场信息,揭示出一个分工明确、定价分层的医疗数据黑市体系。医疗记录因无法撤销或重新签发,成为犯罪经济链顶端的高价商品。包含诊断、处方、保险信息的"医疗完整身份包"可同时用于保险欺诈与身份盗窃。勒索软件团伙Rhysida与Interlock占据已公开医疗数据泄露帖的68.5%,EHR软件供应商已成高风险攻击入口。

Oak获6000万美元融资,正式公开亮相,剑指AI智能体引发的身份管理危机

Oak获6000万美元融资,正式公开亮相,剑指AI智能体引发的身份管理危机

以色列初创公司Oak走出隐身模式,获得6000万美元种子轮融资,由Accel、CRV和Greylock Partners联合领投。公司由连续创业者Shai Morag与Tal Marom联合创立,推出AI原生统一身份管控平台,通过AI连接器框架实时映射访问权限并移除冗余授权,替代已无法应对AI时代挑战的传统IAM工具。目前该产品已正式上线并在多家企业部署,团队规模达50人并持续扩招。

CrowdStrike发现五种新型AI提示词注入攻击手法

CrowdStrike发现五种新型AI提示词注入攻击手法

安全公司CrowdStrike识别出五种新型提示词注入攻击技术,对企业AI系统构成威胁。这些攻击通过欺骗大语言模型接受恶意指令来实施,包括:触发式规则注入、认知令牌抑制、算法载荷分解、特殊令牌注入,以及用户上下文数据注入。CrowdStrike建议安全团队通过威胁建模、扩展测试范围及加强复合攻击检测等方式加以防范。

OpenVPN三大版本全面解析:免费社区版到企业云端方案如何选择

OpenVPN三大版本全面解析:免费社区版到企业云端方案如何选择

OpenVPN目前提供三个版本:免费开源的社区版(Community Edition)、自托管的Access Server以及云端服务CloudConnexa。社区版完全免费但需命令行操作;Access Server提供Web管理界面,支持LDAP、SAML等认证方式,超出2个并发连接后每连接每月7美元;CloudConnexa为全托管云端方案,支持30余个服务器位置,5个席位内免费,超出后每席每月7至9.5美元。三者核心加密标准相同,适合不同规模用户选择。

微软借助AI发现漏洞,单次发布破纪录的570个安全补丁

微软借助AI发现漏洞,单次发布破纪录的570个安全补丁

微软本周发布了创纪录的570个安全补丁,涵盖Windows、Office等多条产品线,并表示这得益于AI辅助发现代码漏洞。此次更新中至少包含两个零日漏洞:一个允许黑客在Windows Server上提升系统权限,另一个影响SharePoint服务器,美国CISA已警告该漏洞正被积极利用。微软表示,随着AI模型在网络安全领域的深入应用,未来每月安全更新数量将持续增加。

AI音乐生成器Suno遭入侵,疑从YouTube抓取训练数据

AI音乐生成器Suno遭入侵,疑从YouTube抓取训练数据

AI音乐生成器Suno遭遇黑客攻击,黑客通过供应链攻击获取员工凭证,访问其源代码,发现Suno涉嫌从YouTube Music、Deezer等平台抓取数十年音频数据用于训练。Suno曾承认使用互联网公开音乐文件训练AI,并以"合理使用"原则辩护,但主要唱片公司认为此举违反《数字千年版权法》。此次泄露还涉及用户邮箱、电话及部分信用卡信息,Suno未主动通知用户。

微软修复《帝国时代II》高危漏洞,单月补丁数量创历史纪录

微软修复《帝国时代II》高危漏洞,单月补丁数量创历史纪录

微软本周二发布了创纪录数量的安全补丁,部分得益于AI辅助漏洞发现。其中包括一个存在于经典策略游戏《帝国时代II》复刻版中的高危漏洞。该漏洞允许黑客通过发送恶意游戏邀请,在受害者电脑上植入恶意文件并执行任意代码,从而完全控制目标设备。目前尚无证据表明该漏洞已被实际利用,但游戏玩家群体历来是恶意软件传播的高风险目标。