标签： 安全

中国国家安全部：美国 2009 年开始入侵华为总部服务器并持续开展监控

9 月 20 日，中国国家安全部微信公众号发布《起底美国情报机关网攻窃密的主要卑劣手段》的文章。文章披露了美国用以展开网攻的三个手段，包括建立网攻武器库、强制相关科技企业开后门配合和颠倒黑白贼喊捉贼。

文章称，美国情报部门凭借其强大的网络攻击武器库，对包括中国在内的全球多国实施监控、窃密和网络攻击，可谓无所不用其极。

其中指出，早在 2009 年，特定入侵行动办公室就开始入侵华为总部的服务器并持续开展监控。2022 年 9 月，又被发现长期持续地对包括西北工业大学在内的国内网络目标实施了上万次恶意网络攻击，控制了数以万计的网络设备，窃取大量高价值数据。

—— 国家安全部微信公众号

微软人工智能研究人员在 GitHub 上发布开源训练数据时，意外暴露了数十 TB 的敏感数据，包括私钥和密码

在与 TechCrunch 分享的研究中，云安全初创公司 Wiz表示，作为其对云端数据意外暴露问题的持续研究的一部分，他们发现了一个属于微软人工智能研究部门的 GitHub 存储库。

该 GitHub 存储库提供了用于图像识别的开源代码和 AI 模型，访问者被指示从 Azure 存储 URL 下载模型。然而，Wiz 发现该 URL 被配置为授予整个存储帐户的权限，从而错误地暴露了其他私人数据。

这些数据包括 38 TB 的敏感信息，其中包括两名 Microsoft 员工个人计算机的个人备份。这些数据还包含其他敏感个人数据，包括 Microsoft 服务的密码、密钥以及来自数百名 Microsoft 员工的 30,000 多条内部 Microsoft Teams 消息。

据 Wiz 称，该 URL 自 2020 年起就暴露了这些数据，该 URL 也被错误配置为允许“完全控制”而不是“只读”权限，这意味着任何知道在哪里查看的人都可能删除、替换和注入恶意内容内容进入其中。

Wiz 指出，存储帐户并未直接公开。相反，Microsoft AI 开发人员在 URL 中包含了过于宽松的共享访问签名 (SAS) 令牌。SAS 令牌是 Azure 使用的一种机制，允许用户创建可共享链接，授予对 Azure 存储帐户数据的访问权限。

Wiz 表示，它于 6 月 22 日与微软分享了调查结果，两天后，即 6 月 24 日，微软撤销了 SAS 令牌。微软表示，它于 8 月 16 日完成了对潜在组织影响的调查。

—— TechCrunch

浏览器的安全设计及网站漏洞，让浏览器扩展可存取用户密码等机密资料

来自美国威斯康辛大学麦迪逊分校（University of Wisconsin–Madison）的3名研究人员上周发表了一篇研究报告，指出坊间主要浏览器的粗粒度权限模型（Coarse-Grained Permission Model）违反两项安全设计准则，再加上网站上的输入栏位含有安全漏洞，将足以让骇客藉由浏览器扩充程式取得使用者所输入的机密资料，包括密码与信用卡资讯。

研究人员所调查的浏览器涵盖Google Chrome、Mozilla Firefox与苹果Safari，并宣称它们在处理文字输入栏位的权限时，并未遵循最低权限及完全仲裁（Complete Mediation）原则，前者指的是系统应该仅具备最低限度的必要存取权限，后者则是每次的存取都应检查权限。

研究人员分析了Chrome Web Store中的17,300款扩充程式，发现当中有12.5%具备汲取所有网页上机密资讯的必要权限，包括拥有超过1,000万名使用者的AdBlockPlus及优惠券程式Honey。此外，还有190款扩充程式可以直接存取密码栏位。

—— iThome

印尼警方捣毁一个通过互联网专门诈骗中国人的团伙

印度尼西亚巴淡岛（美联社）——印度尼西亚警方周三表示，在收到中国安全部的举报后，他们已逮捕了 88 名参与跨境电话和网络爱情诈骗集团的中国公民。

廖内群岛警方发言人扎瓦尼·潘德拉·阿尔西亚德 (Zahwani Pandra Arsyad) 表示，包括五名女性在内的嫌疑人在新加坡附近的巴淡岛被捕。他们在工业园区的一座店屋里工作，这是一栋商业和住宅混合用途的建筑。阿尔西亚德说，警方认为嫌疑人是电话诈骗和网恋诈骗集团的成员。

阿尔西亚德说，他们的大多数目标似乎都是中国同胞，他们通过互联网联系受害者，在操纵了受害者的“情感”后，被骗去转账。初步调查显示，该团伙自今年年初以来一直在中国活动，已在中国诈骗数百名受害者，但目前尚不清楚他们骗得多少钱财。

阿尔西亚德说：“我们仍在调查此案，包括受害者中是否有印度尼西亚人。”他补充说，所有嫌疑人都不会说或写印度尼西亚语。“如果没有，我们将立即将他们全部驱逐出境。”

—— 美联社