JAXA就遭遇网络攻击导致信息外泄道歉
日本宇宙航空研究开发机构(JAXA)5日证实去年遭受的网络攻击导致了信息外泄,已向相关单位道歉。确认外泄的不仅有JAXA的信息,而且有与国内外的外部机构共同实施项目的信息和个人信息。JAXA表示“此事可能损害信赖关系”。JAXA去年秋季接到警方通报后发现遭受了损失,然后实施了内部调查。据悉,今年以来也遭到了多次攻击,但没有发生信息泄露。JAXA对遭到非法入侵的内网采取了对策。攻击发生在去年6月,利用了通过互联网接入内网的虚拟专用网络(VPN)的薄弱环节。JAXA称遭到入侵的系统不处理与火箭、卫星运用相关的敏感信息。
—— 共同社
秋田县推出地图上确认熊出没信息的新系统
熊类造成的伤害多发的日本秋田县1日开始运用在智能手机、电脑的地图上显示县内熊出没信息的新系统“KumaDAS”。用户也能通过速报邮件接收指定区域的出没信息。该系统还能应对野猪和鹿,意在防止动物造成的人身伤害。在地图上选择出没地点,就会显示日期时间和目击时的情况。此前也有过相似的系统,但由秋田县汇集市町村的信息,因此反映到系统中耗费时间。KumaDAS采用各地方政府直接输入的机制,速报性能得到提升。
—— 共同社
与 TikTok 和 X 合作的身份验证服务公司将其凭证暴露了一年之久
一家为 TikTok、X 和 Uber 等平台提供服务的身份验证公司,将一组管理凭证暴露了1年多。这家总部位于以色列的 AU10TIX 公司通过使用用户面部照片和驾驶执照来验证用户身份,这两者都有可能被黑客获取。暴露的管理凭证直接通向日志平台,其中包含身份证明文件的链接。甚至有理由怀疑不法分子获取了这些凭证并实际使用了。AU10TIX 就此事发表了声明,称“数据可能被访问”,但“没有证据表明这些数据已被利用”。受影响的客户也已收到通知,并将停用当前操作系统,转而采用更注重安全性的新操作系统。
—— 404 Media
谷歌正在测试面部识别技术用于园区安全
据 CNBC 看到的项目描述,谷歌正在测试面部识别技术用于办公室安全,“以帮助防止未经授权的个人进入我们的园区”。初步测试是在 Alphabet 位于西雅图郊区华盛顿州柯克兰的办公室进行的。内部的安全摄像头一直在收集面部数据,并将其与存储的员工徽章图像 (包括外聘员工) 进行比较,以帮助确定园区内是否有未经授权的人员。谷歌的安全和弹性服务 (GSRS) 团队将使用这些数据来帮助识别“可能对谷歌的员工、产品或地点构成安全风险的人”。在柯克兰检测点,进入大楼的人将无法选择不接受面部筛查。不过,文件称,这些数据“仅供立即使用,不予存储”。
—— CNBC
知名JS框架Polyfill.js疑被黑产公司掌控
Polyfill.js 出现供应链攻击调用该脚本会跳转到博彩网站,请立即删除该脚本并清理网页缓存。
Polyfill.js 在全球被超过 10 万个网站使用,2 月份项目域名和 Github 账号被某个公司买下,之后就被投毒用于跳转非法网站,有开发者发现问题提交了 issues 结果直接被删除。
另根据脚本中的代码使用的拼音参数,这次供应链攻击的始作俑者应该是说中文的人。
—— 蓝点网
安卓版本八达通 App的新安全措施
八达通发布邮件通知,从6月27日起,将在八达通 App 的安卓版本中加入全新的安全措施,以检查用户的安卓设备中是否安装了从非官方渠道 (即谷歌 Play 商店以外渠道) 下载的应用程序。如八达通检测到该应用程序被授予了过多的权限,设备上的八达通 App 将被暂停使用,以保障用户的账户安全。新的措施仅适用于安卓版本,八达通公司强调,如果被停用后想恢复使用,只需要删除相关可疑应用程序后,关闭所有使用中的应用程序并重新打开八达通 App,即可恢复使用。
—— 邮件通知
欧盟对6名参与俄罗斯针对欧盟国家和乌克兰网络攻击的个人实施制裁
当地时间6月24日,欧盟理事会批准对6名参与网络攻击的个人实施制裁。公告称,这6人实施的网络攻击影响了欧盟成员国关键基础设施、关键国家职能、机密信息存储等。这是欧盟首次对利用钓鱼软件攻击医疗和银行等基本服务的黑客实施制裁。据路透社报道,其中四人与俄罗斯情报和安全部门有直接关系。
—— 路透社、欧盟
谷歌 Pixel 设备发现高危安全漏洞 美国政府督促雇员限期更新
谷歌 Pixel 本月更新披露了一个严重的安全漏洞 (CVE-2024-32896)。谷歌警告说,这个高严重性固件漏洞“可能正受到有限的、有针对性的利用。”谷歌对这个零日漏洞提供的细节很少,但美国政府已经介入要求联邦雇员在7月4日之前更新他们的 Pixel 设备,“否则停止使用该产品。”据 GrapheneOS 称,这是对其在四月报告的漏洞第二部分修复,这些漏洞“正被取证公司积极利用。”该公司还表示,“该问题已通过 6 月更新 (安卓 14 QPR3) 在 Pixel 上得到修复,并将随着其他安卓设备最终升级到安卓 15 而修复。如果没有更新到安卓 15,可能不会得到修复,因为安全补丁目前还没有向后移植。”
—— 福布斯
字节飞连被指监控截屏? 相关人士:是企业开启了数据防泄露功能
近日,有网友表示安装飞连后,无意间发现飞连在后台执行 screenshot (截屏) 的进程,该用户表示,提醒各位安装了此类软件的电脑上,不要做不该做的事情。新浪科技就此询问字节跳动,相关人士表示,飞连为企业客户提供数据安全防护功能。企业可以根据自身业务需求和数据的敏感性,设定自动化审计策略的功能配置。论坛帖描述的情况,是企业管理员对存储敏感数据的设备开启了DLP (数据防泄露) 功能。飞连会对开启DLP功能的敏感设备,按照一定时间间隔循环截图。当截图内容命中敏感数据时,截图会传到企业服务器,由企业进行安全审计。
—— 新浪科技、v2ex
密码管理器 1Password 宣布引入恢复代码
密码管理工具 1Password 今日宣布推出恢复代码,即使忘记账户密码或丢失密钥,通过使用新引入的恢复代码,也可以恢复对账户的访问。恢复代码是由应用或网站生成的唯一且安全的代码,作为重新获得帐户访问权限的备份。恢复代码需要提前生成,可以通过 1Password 应用的账户管理来生成恢复代码。
—— 1Password 新闻稿