物联网设备公司 Mars Hydro 重大数据泄露涉及 27 亿条记录
由于数据库不受密码保护,专门从事室内种植和水培设备的中国深圳 Mars Hydro 公司发生了大规模数据泄露,涉及 27 亿条记录,包括 Wi-FI SSID 网络名称和密码、IP 地址、电子邮件地址以及所用智能手机的详细信息(以及它们是否支持 iOS 或 Android)。这不仅导致未经授权访问设备和网络的潜在威胁,而且还可能让网络攻击者有机会通过泄露的联系信息来监视通信和锁定用户。数据主要来自于用来控制部分产品的 Mars Pro 应用,虽然该应用程序的隐私政策表示它不会收集用户数据,但物联网设备在连接到用户网络时仍会传输信息。虽然关于泄露数据被恶意使用的证据很少,但风险始终存在。
—— wccftech
DeepSeek 公开暴露了包含聊天提示和内部数据的数据库
云安全公司 Wiz 研究人员周三公布的研究结果,表明中国 AI 公司 DeepSeek 将其一个关键的 ClickHouse 数据库暴露在互联网上,并未配置身份验证过程。数据库泄露了系统日志、用户聊天提示,甚至用户的 API 身份验证令牌,总计超过 100 万条记录,任何人都可以获取这些记录。这是个非常低级的配置错误,表明这家年轻公司还未完全准备好。
Wiz 的研究人员表示,他们自己也不确定如何向该公司披露他们的发现,只是在周三将有关这一发现的信息发送给了他们能找到或猜到的每个 DeepSeek 电子邮件地址和领英个人资料。研究人员尚未收到回复,但在尝试大规模联系的半小时内,他们发现的数据库已被锁定,未经授权的用户无法访问。
—— 连线
中国规定不得用困境儿童个人信息直播带货
中国政府为规范困境儿童个人信息使用,保护困境儿童个人信息安全,维护困境儿童合法权益,近日,民政部等18部门印发《困境儿童个人信息保护工作办法》。办法规定任何组织和个人不得将困境儿童标签化,不得利用困境儿童个人信息博眼球、赚流量,不得利用困境儿童个人信息进行募捐、直播带货等。办法要求民政部门在组织实施社会救助、慈善帮扶、关爱服务时,要依法保护困境儿童个人信息。办法也规定,监督指导儿童福利机构、未成年人救助保护机构、有关社会组织及其工作人员,以及儿童督导员、儿童主任等提高信息保护意识。
—— 央视新闻
报告称澳大利亚关键基础设施面临网络威胁
澳大利亚表示,去年十分之一的网络安全事件涉及关键基础设施,国家支持的黑客利用不断演变的技术针对该国政府、基础设施和企业发起攻击,这令其感到担忧。澳大利亚信号局周三在一份报告中称,去年超过11%的网络安全事件与关键基础设施有关,包括电力、天然气、水、教育和交通服务。其中四分之一是网络钓鱼事件,21%是利用面向公众的界面,15%是暴力破解活动。国防部长理查德·马尔斯在接受采访时表示:“令人担忧的是,我们看到网络犯罪分子和国家黑客越来越关注我们的关键基础设施。”他补充说,澳大利亚与国际伙伴一起将去年的网络事件归咎于中国、俄罗斯和伊朗。
—— 路透社
香港政府电脑禁用桌面版 WhatsApp 应用
香港特区政府早前向内部推出信息科技安全指引,规定政府雇员须获批准才能在办公室使用电脑桌面版 WhatsApp、Gmail 和云端软件,各部门最迟需本月内采取措施或制定实施计划。香港创新科技及工业部部长孙东今天表示,明白此举一定会给政府人员带来不便,但由于涉及重大安全隐患,因此有必要实施。他还指出,手机并不受限制,相信各部门能够找到替代方法。孙东表示,过去一年政府内部的电脑遭到入侵的情况比较严重,形容形势严峻。因此,参考国际上各国政府的通用做法,包括内地和美国,政府内部对电脑系统都有较严格的规范。
—— 香港01
微信开发人员在修改 TLS 时引入了安全漏洞
研究人员称,消息应用巨头微信使用了自定义修改版的 TLS 网络协议,因此引入了安全漏洞。微信使用 MMTLS,这是一种基于 TLS 1.3 的加密协议。开发人员基本上对标准 TLS 进行了调整,但应用程序的加密实现方式“与十亿用户使用的应用程序所期望的加密级别不一致,例如它使用确定性 IV 和缺乏前向保密性。”但更彻底的分析显示,它提供了两层加密,明文内容被包裹在“业务层加密”中,而得到的密文则被包裹在 MMTLS 加密中,密文将通过微信网络发送。这有效缓解了对 MMTLS 缺陷的可能的攻击,但这些缺陷在标准版 TLS 中并不存在。
研究人员表示,只有在中国,开发人员才会逆潮流而行,自行开发加密系统,而且一般来说,这些系统都不如标准 TLS 1.3 或 QUIC 实现有效。
—— The Register
互联网档案馆被入侵 3100万账户信息被泄露
在遭遇严重的 DDoS 攻击之后,互联网档案馆的网站时光机服务遭遇数据泄露,黑客入侵了该网站并窃取了包含3100万条不同记录的用户身份验证数据库。周三下午,访问者开始看到黑客创建的警报,称互联网档案馆遭到入侵。并指出,3100万用户数据已上传至 HIBP 网站。“HIBP”指的是数据泄露自查网站 Have I Been Pwned。该网站表示,黑客九天前共享了互联网档案馆的身份验证数据库,这是一个名为“ia_users.sql”的6.4GB SQL文件。该数据库包含注册成员的身份验证信息,包括电邮地址、显示名称、密码更改时间戳、Bcrypt 哈希密码和其他内部数据。
—— BeepingComputer
谷歌调整搜索以减少明显的深度伪造内容
谷歌正在推出新的在线安全功能,可以更轻松地从搜索中大规模删除明显的深度伪造内容,并防止这些内容首先出现在搜索结果的靠前位置。当用户成功请求从搜索中删除描述他们的明显未经同意露骨虚假内容时,谷歌的系统现在还将致力于过滤掉有关他们的类似搜索中的所有明显结果,并删除任何重复的图像。谷歌还更新了其排名系统,如果用户专门搜索带有某人姓名的露骨深度伪造内容,搜索结果将显示“高质量、非露骨内容”,如相关新闻报道。因包含虚假露骨图片而被大量删除的网站在谷歌搜索排名中将会被降低。谷歌表示,此前的更新已将专门搜索此类深度伪造内容的查询中露骨图片结果的曝光率降低了70%以上。
—— TheVerge、Engadget
针对美国邮政的网络钓鱼活动所获得的网络流量与官方网站本身一样多
作为美国主要的包裹递送机构之一,美国邮政(USPS)一直是网络钓鱼和短信钓鱼活动的常见目标。对于美国居民来说,在节假日期间几乎肯定会收到至少一次诈骗尝试。
网络服务商 Akamai 团队分析了在与 USPS 网站相关的 DNS 级别上所看到的情况,其通过访问来自 Akamai CacheServe DNS 服务器的匿名全局 DNS 查询日志来实现。
在平日,非法域名的流量几乎等于合法域名的流量,并且在节假日期间大大超过合法流量。Akamai 发现恶意行为者采取了两种不同的方法:将流量分散到许多不同的域名,或是只使用几个流量很大的域名。
—— Akamai Blog
美国众议院全票通过防止向外国对手出售个人数据的法案
当地时间3月20日,在美国众议院通过一项旨在迫使 TikTok 与其中国母公司分离的法案一周后,又通过了第二项法案,旨在保护美国人的数据免受外国对手的侵害。《保护美国人数据免受外国对手侵害法案》(HR 7520) 将禁止数据经纪人向外国对手出售美国人的个人身份信息。如果数据经纪人被发现向这些国家出售位置或健康数据等敏感信息,他们可能会面临联邦贸易委员会的处罚。该法案在众议院顺利通过,所有参与投票的414名议员均选择通过该法案。该法案由美国众议院能源和商业委员会主席共和党成员凯西·麦克莫里斯·罗杰斯和和该委员会首席民主党成员弗兰克·帕隆领导。
—— TheVerge