亚马逊英国仓库五年中叫了1400次救护车
据透露,过去五年中,救护车已被叫到亚马逊仓库超过1400次。英国GMB工会称这些数字令人震惊,这引发了人们对亚马逊英国工作场所安全的新质疑。
位于邓弗姆林和布里斯托尔的亚马逊中心在英国呼叫救护车次数最多,在此期间分别呼叫了161辆和125辆救护车。苏格兰救护服务中心前往邓弗姆林亚马逊站点的呼叫1/3与胸痛有关,其他则是抽搐、中风和呼吸问题。自2019年以来,救护车被叫到亚马逊曼斯菲尔德84次。其中70%以上是针对1类和2类事故,通常与心脏病发作或中风等危及生命的情况有关。亚马逊位于博尔顿、切斯特菲尔德、曼斯菲尔德、鲁格利、伦敦等地的中心都发生过自杀未遂或其他严重精神病事件。
—— 英国卫报
中国品牌科沃斯家用机器人可能被黑客入侵用来监视房主
新研究发现,黑客可以控制科沃斯生产的扫地机器人和割草机,并使用这些设备的摄像头和麦克风监视房主。安全研究人员将于周六在 Def Con 黑客大会上详细介绍他们对科沃斯产品的研究。在分析多款江苏苏州科沃斯产品时,研究人员发现了许多问题,这些问题可被滥用来通过蓝牙入侵机这些产品并秘密远程打开麦克风和摄像头。研究人员表示,主要问题在于存在一个漏洞,任何人只要使用手机,就能通过蓝牙从约130米远的地方连接并控制科沃斯产品。一旦黑客控制了该设备,就可以远程连接,因为设备本身通过 Wi-Fi 连接到互联网。研究人员说:“他们的安全性真的非常非常非常糟糕。”
—— Techcrunch
Mozilla:TikTok Lite 会让用户接触到有害内容
Mozilla 最新报告显示,TikTok Lite 与旗舰版相比缺乏安全功能,用户可能会接触到有害内容。研究人员称,TikTok Lite 缺乏“主动用户控制”,例如过滤攻击性内容和关键词的功能,以及帮助减少应用成瘾的工具。研究人员还发现,TikTok Lite 未能对可能造成伤害的内容提供警告标签或横幅,例如危险的恶作剧视频或“挑战”、选举错误信息和人工智能生成的内容。TikTok 驳斥了该调查结果并表示:“这份报告中存在一些事实错误,从根本上歪曲了我们的安全方法。事实上,违反我们规则的内容会像我们的主要应用一样从 TikTok Lite 中删除,我们提供了许多安全功能,如果 Mozilla 在发布报告之前询问我们,我们会解释这些功能。”
—— Techcrunch
欧易OKX疑似存在安全问题,部分账户资金被盗
据报道,加密货币交易所 OKX 已成为黑客攻击的目标,至少有两名用户报告说,他们在收到来自香港的短信风险通知后资金被盗。
据 SlowMist 创始人于贤称,一个身份不明的实体创建了具有提款和交易权限的新 API 密钥,允许他们从平台上交换和提取币值。OKX中文账号6月9日在X上发文称,该交易所已与受影响的用户取得联系,目前正在对事件进行调查。”如最终确定为平台责任平台会主动承担。”
截至发稿时,攻击的破坏程度仍不清楚,并且还有待观察黑客究竟是如何劫持交易账户的。
—— crypto.news
英国称明年4月前将从敏感地点移除中国制造的监控设备
英国政府29日表示,由于对北京情报活动的担忧日益加剧,英国寻求加强安全保障,预计到2025年4月将从敏感地点移除中国制造的监视设备。出于对隐私问题的担忧,议员们还呼吁禁止销售和使用海康威视和大华这两家部分国有的中国企业制造的安全摄像头。政府表示,他们发现绝大多数敏感地点从未部署过这类设备。在少数部署了该设备的地点中,约50%已更换,其余地点的拆除工作正在取得进展。财政部副部长伯格哈特在声明中表示:“拆除剩余设备的工作正在加紧推进,预计约70%的场所将在今年10月前拆除监控设备,所有剩余场所将不迟于2025年4月完成更换。”
—— 路透社
可视化门铃 EKEN 制造商修复了导致用户容易受到监视的安全问题
总部位于深圳的公司 Eken Group 已发布固件更新,以解决今年早些时候《消费者报告》调查发现的其可视化门铃的重大安全问题。这些可视化门铃与 Aiwit 应用配对,并以多种品牌出售。在测试中,监管机构发现未加密的摄像头可能会泄露家庭 IP 地址和 Wi-Fi 网络等敏感信息,并允许外部人员使用其序列号远程访问摄像头源中的图像。现在,《消费者报告》称问题已经得到解决,只需更新设备即可。这些品牌的设备现在应该显示2.4.1或更高版本的固件,这表明它们已经收到更新。这些可视化门铃曾在亚马逊、沃尔玛和 Temu 等热门电商平台上销售,但后来似乎已被下架,而且缺乏美国联邦通信委员会要求的正确标签。
—— Engadget
韩国军方因“安全”担忧将禁止使用 iPhone
据多名军方消息人士23日透露,由于担心通过录音可能泄露敏感信息,韩国军方正考虑全面禁止在军事建筑内使用 iPhone。据匿名高级军方官员表示,空军总部于4月11日在军方内联网服务器上发布了一份内部公告,指示6月1日起全面禁止任何具有录音功能且不允许第三方应用控制固有功能的设备,“iPhone”也被列为受管制的物品。据文件称,在军队禁止使用 iPhone 的决定来自位于忠清南道鸡龙台的陆、海、空军总部举行的联席会议。被禁止的设备还包括所有类型的智能手表和可穿戴设备。但消息人士称,基于 Android 系统的智能手机 ( 主要是三星电子的智能手机 ) 将不受该禁令的约束,而文件则明确指出 “将完全禁止携带 iPhone”。
—— 韩国前锋报、禁止原因
数百个网站错误配置的 Firebase 实例暴露了约1.25亿用户的数据
三位安全研究人员解释说,这一切都源于对人工智能招聘系统 Chattr 的黑客攻击,该公司为美国多家机构提供服务。Chattr 的Firebase配置中存在一个漏洞,使得研究人员可以通过注册新用户获得数据库的全部权限。接下来,研究人员开始识别通过配置错误的 Firebase 实例暴露敏感信息的其他网络应用程序,并发现有900个网站暴露了1.25亿用户的信息。已确认的数据库包含 8000 多万个姓名、1 亿多个电子邮件地址、3300 多万个电话号码和 2000 多万个密码,以及 2700 多万个账单信息条目。
研究人员说,他们已经尝试与842个网站联系,但只有85%的电子邮件能够送达。四分之一的网站解决了配置错误问题,1%的网站回复了电子邮件。不过,只有两个网站的所有者提供了漏洞悬赏奖金。
—— env.fail
AI 开源开发平台 Hugging Face 存在托管的恶意代码
安全公司 JFrog 的研究人员周四在一份报告中表示,上传到人工智能开发平台 Hugging Face 的代码在用户计算机上秘密安装了后门和其他类型的恶意软件。研究人员表示,他们总共发现大约 100 个提交内容在下载并加载到最终用户设备上时执行了隐藏的和不需要的操作。 大多数被标记的机器学习模型(所有这些模型都没有被 Hugging Face 检测到)似乎是研究人员或好奇的用户上传的良性概念证明。研究人员表示,其中大约10个是“真正恶意的”,因为它们在加载时执行的操作实际上损害了用户的安全,例如创建一个可以从互联网远程访问并完全控制用户设备的反向 Shell 。 Hugging Face 已删除了所有 JFrog 标记的模型。这是继 PyPI, NPM 和 GitHub 之后又一个被发现受到水坑攻击(Watering Hole Attack)的开发平台,虽然并不让人太意外。
—— Ars Technica
美国国家安全局承认在没有授权的情况下购买了美国互联网活动日志
美国国家安全局迫于压力,在即将离任的局长保罗·M·仲宗根(Paul Nakasone)上个月致怀登先生的一封信中做出了具体披露。 11 月,这位参议员对拜登总统的下一任局长蒂莫西·D·豪中将的任命表决进行了拖延,直到该机构公开披露是否购买了美国人的位置数据和网络浏览记录。
仲宗根将军在信中写道,他的机构决定披露其购买和使用各种商业可用的元数据,用于其对外情报和网络安全任务,包括与“完全国内互联网通信相关的”netflow数据。Netflow数据通常指的是互联网元数据,显示计算机或服务器何时连接,但不包括其互动的内容。这类记录可能在人们访问不同网站或使用智能手机应用时生成,但该信中未具体说明机构购买的数据有多详细。
在被要求澄清时,国家安全局的一名官员提供了一份声明,称该机构购买商业可用的netflow数据,用于其网络安全任务,即试图检测、识别和阻止外国黑客。声明强调“在所有阶段,国家安全局都采取措施来最小化美国人信息的收集”,包括通过技术手段进行过滤。
—— 纽约时报