互联网档案馆再次因访问令牌被盗遭到入侵
互联网档案馆再次遭到黑客入侵,这次是在其 Zendesk 电子邮件支持平台上。近日,大量曾向互联网档案馆提出的删除请求的网友收到回复,警告称该组织因未正确轮换被盗的身份验证令牌而遭到入侵。黑客在电邮中写道:“令人失望的是,即使在几周前就已经意识到发生了入侵,互联网档案馆仍未尽职轮换其 GitLab 机密中暴露的许多 API 密钥。”“正如此邮件所示,其中包括一个 Zendesk 令牌,该令牌具有访问自2018年以来发送到 [email protected] 的80多万张支持工单的权限。”这些电子邮件的邮件头也通过了所有的身份验证检查,证明这些电子邮件是由互联网档案馆的授权 Zendesk 服务器发送的。
—— bleepingcomputer
微信开发人员在修改 TLS 时引入了安全漏洞
研究人员称,消息应用巨头微信使用了自定义修改版的 TLS 网络协议,因此引入了安全漏洞。微信使用 MMTLS,这是一种基于 TLS 1.3 的加密协议。开发人员基本上对标准 TLS 进行了调整,但应用程序的加密实现方式“与十亿用户使用的应用程序所期望的加密级别不一致,例如它使用确定性 IV 和缺乏前向保密性。”但更彻底的分析显示,它提供了两层加密,明文内容被包裹在“业务层加密”中,而得到的密文则被包裹在 MMTLS 加密中,密文将通过微信网络发送。这有效缓解了对 MMTLS 缺陷的可能的攻击,但这些缺陷在标准版 TLS 中并不存在。
研究人员表示,只有在中国,开发人员才会逆潮流而行,自行开发加密系统,而且一般来说,这些系统都不如标准 TLS 1.3 或 QUIC 实现有效。
—— The Register
网站使用 Cloudflare 可能会阻止RSS用户
在 Cloudflare 的仪表板中,可以找到旨在阻止自动化流量进入网站的工具。特别是“自动程序攻击模式”和下面的“阻止 AI 自动程序”选项。启用后,这些功能最终会阻止通过 RSS 阅读器访问网站的用户,即使 RSS 阅读器是合法的并且不是恶意自动程序。当 RSS 阅读器尝试读取网站时,Cloudflare 会向其提出许多阅读器无法完成的交互式质询。在其他情况下,Cloudflare 会无缘无故地阻止 RSS 阅读器访问网站。解决 Cloudflare 阻止 RSS 阅读器访问网站的唯一方法是直接联系站长并要求制定自定义规则来解除阻止。
—— OpenRSS
英特尔始终将产品安全和质量放在首位
中国网络空间安全协会10月16日发布文章《漏洞频发、故障率高 应系统排查英特尔产品网络安全风险》,认为英特尔产品中存在诸多安全风险,建议启动网络安全审查。对此,英特尔官方今日发布声明称:我们注意到相关媒体的报道。 作为一家在华经营近40年的跨国公司,英特尔严格遵守业务所在地适用的法律和法规。英特尔始终将产品安全和质量放在首位,一直积极与客户和业界密切合作,确保产品的安全和质量。我们将与相关部门保持沟通,澄清相关疑问,并表明我们对产品安全和质量的坚定承诺。
—— 英特尔
FIDO 联盟新规范将推动通行密钥可转移
推动密钥普及的组织 FIDO 联盟宣布了一份新规范草案,该规范将允许用户在不同的密码管理器之间安全地移动通行密钥。通行密钥很不错,但目前还没有一个在密码管理器之间传输通行密钥的标准协议。新规范的凭证交换协议 (CXP) 和凭证交换格式 (CXF) 旨在填补这一空白。FIDO 联盟的“凭证提供商特别兴趣小组”参与了该规范的制定,该小组的成员包括来自 1Password、苹果、Bitwarden、谷歌、微软、Okta 等公司的代表。新规范仍处于草案阶段,以便公众可以审阅和提供意见。FIDO 联盟在新闻稿中写道:“至关重要的是,用户可以选择自己喜欢的凭证管理平台,并安全、无负担地切换凭证提供商。”
—— TheVerge
中国黑客组织正在为中美冲突作准备
近几个月来,美国情报官员称,中国政府支持的黑客一直在深入美国关键基础设施的网络,包括水务、能源和交通运输供应商。官员们表示,他们的目标是为未来中美发生冲突时可能发动的破坏性网络攻击奠定基础。
美国政府及其盟友将中国黑客组织命名为“台风”家族,并公布了有关其所构成威胁的新细节。今年 1 月,美国破坏了一个名为“伏特台风”的中国政府黑客组织,该组织的任务是为破坏性网络攻击做准备。9 月下旬,联邦政府控制了另一个中国黑客组织“亚麻台风”运营的僵尸网络,该组织伪装成北京的一家私营公司,其职责是帮助掩盖中国政府黑客的活动。此后,出现了一个由中国支持的新黑客组织“盐台风”,该组织能够通过破坏美国电话和互联网提供商的窃听系统来收集美国人以及美国监视的潜在目标的情报。
—— TechCrunch
宝可梦开发商 Game Freak 被黑客入侵 包括源代码在内的数据被泄露
Pokémon 系列开发商 Game Freak 遭到黑客攻击,超过 1TB 的数据被盗。泄露的内容包括该系列较早作品的源代码,例如《心金魂银》和《黑白 2》,以及未来项目的信息,包括代号为 Gaia 的第 10 代游戏,该游戏将在 Nintendo Switch 2 及其前身上发布。此外,泄露文件还证实,下一代 Nintendo 游戏机的代号确实是“Ounce”,与之前的流言相符。今天泄露的未来项目不仅仅是主线作品,Game Freak 还与 ILCA 合作开发了一款代号为 Synapse 的游戏,这是一款多人/以战斗为重点的游戏。
—— wccftech
黑客让全美各地扫地机器人发出辱骂言论
美国全国各地的扫地机器人在几天之内均遭到黑客攻击。这使得攻击者不仅能控制扫地机器人,还能利用扬声器向附近的任何人发出种族歧视和辱骂性言论。所有受影响的扫地机器人都是同一品牌和型号,即中国制造的科沃斯 Deebot X2s。这个问题的根源在于一个安全漏洞,恶意行为者可以利用该漏洞绕过所需的四位数安全 PIN 码,从而控制扫地机器人。漏洞最初于2023年12月曝光。目前科沃斯公司已经开发出一个补丁来消除上述安全漏洞,预计将于11月左右推出。
—— 澳大利亚广播公司、Gizmodo
印尼封锁 Temu 应用以维护中小微企业利益
印尼信息和通讯部部长布迪·阿里·塞蒂亚迪周四宣布,Temu 应用在当地已被封锁,印尼用户将无法再使用。塞蒂亚迪周四在雅加达表示:“从昨天开始,我们就封锁了 Temu 应用。该应用提供了一种商业模式,即外国制造商直接向印尼消费者销售产品。这种做法将摧毁我们的中小微企业。”尽管 Temu 应用仍可在印尼访问,但无法再在该应用上进行交易,并且从 App Store 和 Play 商店下架该应用的请求正在进行中。部长表示,封锁该应用的举措是政府保护印尼中小微企业生态系统免受外国公司不公平竞争努力的一部分。并表示,不会为 Temu 颁发电子系统提供商 PSE 许可,其他类似应用也是如此。
—— Antara news
万豪同意在多次数据泄露后支付5200万美元的和解金
万豪同意向49个州和华盛顿特区支付5200万美元的和解金,以解决2014年至2020年期间发生的一系列数据泄露事件 ,这些事件影响了超过3.34亿客户。作为另一项协议的一部分,联邦贸易委员会还要求万豪及其子公司喜达屋酒店及度假村国际集团实施一项信息安全计划,以解决数据泄露指控。在2020年发现的一起事件中,黑客从马里兰州巴尔的摩 BWI 机场万豪酒店窃取了约20GB的员工和客户数据。 这些数据包括机密业务文档和客户付款信息,包括信用卡授权表。作为和解协议的一部分,万豪同意向所有美国客户提供一种方法,要求删除与其电子邮件地址或会员奖励账号相关的任何个人信息。
—— TheVerge