网站使用 Cloudflare 可能会阻止RSS用户
在 Cloudflare 的仪表板中,可以找到旨在阻止自动化流量进入网站的工具。特别是“自动程序攻击模式”和下面的“阻止 AI 自动程序”选项。启用后,这些功能最终会阻止通过 RSS 阅读器访问网站的用户,即使 RSS 阅读器是合法的并且不是恶意自动程序。当 RSS 阅读器尝试读取网站时,Cloudflare 会向其提出许多阅读器无法完成的交互式质询。在其他情况下,Cloudflare 会无缘无故地阻止 RSS 阅读器访问网站。解决 Cloudflare 阻止 RSS 阅读器访问网站的唯一方法是直接联系站长并要求制定自定义规则来解除阻止。
—— OpenRSS
英特尔始终将产品安全和质量放在首位
中国网络空间安全协会10月16日发布文章《漏洞频发、故障率高 应系统排查英特尔产品网络安全风险》,认为英特尔产品中存在诸多安全风险,建议启动网络安全审查。对此,英特尔官方今日发布声明称:我们注意到相关媒体的报道。 作为一家在华经营近40年的跨国公司,英特尔严格遵守业务所在地适用的法律和法规。英特尔始终将产品安全和质量放在首位,一直积极与客户和业界密切合作,确保产品的安全和质量。我们将与相关部门保持沟通,澄清相关疑问,并表明我们对产品安全和质量的坚定承诺。
—— 英特尔
FIDO 联盟新规范将推动通行密钥可转移
推动密钥普及的组织 FIDO 联盟宣布了一份新规范草案,该规范将允许用户在不同的密码管理器之间安全地移动通行密钥。通行密钥很不错,但目前还没有一个在密码管理器之间传输通行密钥的标准协议。新规范的凭证交换协议 (CXP) 和凭证交换格式 (CXF) 旨在填补这一空白。FIDO 联盟的“凭证提供商特别兴趣小组”参与了该规范的制定,该小组的成员包括来自 1Password、苹果、Bitwarden、谷歌、微软、Okta 等公司的代表。新规范仍处于草案阶段,以便公众可以审阅和提供意见。FIDO 联盟在新闻稿中写道:“至关重要的是,用户可以选择自己喜欢的凭证管理平台,并安全、无负担地切换凭证提供商。”
—— TheVerge
中国黑客组织正在为中美冲突作准备
近几个月来,美国情报官员称,中国政府支持的黑客一直在深入美国关键基础设施的网络,包括水务、能源和交通运输供应商。官员们表示,他们的目标是为未来中美发生冲突时可能发动的破坏性网络攻击奠定基础。
美国政府及其盟友将中国黑客组织命名为“台风”家族,并公布了有关其所构成威胁的新细节。今年 1 月,美国破坏了一个名为“伏特台风”的中国政府黑客组织,该组织的任务是为破坏性网络攻击做准备。9 月下旬,联邦政府控制了另一个中国黑客组织“亚麻台风”运营的僵尸网络,该组织伪装成北京的一家私营公司,其职责是帮助掩盖中国政府黑客的活动。此后,出现了一个由中国支持的新黑客组织“盐台风”,该组织能够通过破坏美国电话和互联网提供商的窃听系统来收集美国人以及美国监视的潜在目标的情报。
—— TechCrunch
宝可梦开发商 Game Freak 被黑客入侵 包括源代码在内的数据被泄露
Pokémon 系列开发商 Game Freak 遭到黑客攻击,超过 1TB 的数据被盗。泄露的内容包括该系列较早作品的源代码,例如《心金魂银》和《黑白 2》,以及未来项目的信息,包括代号为 Gaia 的第 10 代游戏,该游戏将在 Nintendo Switch 2 及其前身上发布。此外,泄露文件还证实,下一代 Nintendo 游戏机的代号确实是“Ounce”,与之前的流言相符。今天泄露的未来项目不仅仅是主线作品,Game Freak 还与 ILCA 合作开发了一款代号为 Synapse 的游戏,这是一款多人/以战斗为重点的游戏。
—— wccftech
黑客让全美各地扫地机器人发出辱骂言论
美国全国各地的扫地机器人在几天之内均遭到黑客攻击。这使得攻击者不仅能控制扫地机器人,还能利用扬声器向附近的任何人发出种族歧视和辱骂性言论。所有受影响的扫地机器人都是同一品牌和型号,即中国制造的科沃斯 Deebot X2s。这个问题的根源在于一个安全漏洞,恶意行为者可以利用该漏洞绕过所需的四位数安全 PIN 码,从而控制扫地机器人。漏洞最初于2023年12月曝光。目前科沃斯公司已经开发出一个补丁来消除上述安全漏洞,预计将于11月左右推出。
—— 澳大利亚广播公司、Gizmodo
印尼封锁 Temu 应用以维护中小微企业利益
印尼信息和通讯部部长布迪·阿里·塞蒂亚迪周四宣布,Temu 应用在当地已被封锁,印尼用户将无法再使用。塞蒂亚迪周四在雅加达表示:“从昨天开始,我们就封锁了 Temu 应用。该应用提供了一种商业模式,即外国制造商直接向印尼消费者销售产品。这种做法将摧毁我们的中小微企业。”尽管 Temu 应用仍可在印尼访问,但无法再在该应用上进行交易,并且从 App Store 和 Play 商店下架该应用的请求正在进行中。部长表示,封锁该应用的举措是政府保护印尼中小微企业生态系统免受外国公司不公平竞争努力的一部分。并表示,不会为 Temu 颁发电子系统提供商 PSE 许可,其他类似应用也是如此。
—— Antara news
万豪同意在多次数据泄露后支付5200万美元的和解金
万豪同意向49个州和华盛顿特区支付5200万美元的和解金,以解决2014年至2020年期间发生的一系列数据泄露事件 ,这些事件影响了超过3.34亿客户。作为另一项协议的一部分,联邦贸易委员会还要求万豪及其子公司喜达屋酒店及度假村国际集团实施一项信息安全计划,以解决数据泄露指控。在2020年发现的一起事件中,黑客从马里兰州巴尔的摩 BWI 机场万豪酒店窃取了约20GB的员工和客户数据。 这些数据包括机密业务文档和客户付款信息,包括信用卡授权表。作为和解协议的一部分,万豪同意向所有美国客户提供一种方法,要求删除与其电子邮件地址或会员奖励账号相关的任何个人信息。
—— TheVerge
韩国政府通过涉深度伪造淫秽影像法修正案
韩国政府10日表决通过了《关于处罚性暴力犯罪的特例法》修正案。根据修正案,持有、购入、保存或收看深度伪造淫秽影像的人员可被处三年以下有期徒刑或3000万韩元的罚金。据规定,对编辑、散布深度伪造淫秽影像的处罚力度从此前的五年以下有期徒刑上调至七年以下有期徒刑,若有谋利目的,处罚力度将从七年以下有期徒刑上调至三年以上有期徒刑。利用深度伪造淫秽影像恐吓可被判处一年以上有期徒刑。
—— 韩联社
互联网档案馆被入侵 3100万账户信息被泄露
在遭遇严重的 DDoS 攻击之后,互联网档案馆的网站时光机服务遭遇数据泄露,黑客入侵了该网站并窃取了包含3100万条不同记录的用户身份验证数据库。周三下午,访问者开始看到黑客创建的警报,称互联网档案馆遭到入侵。并指出,3100万用户数据已上传至 HIBP 网站。“HIBP”指的是数据泄露自查网站 Have I Been Pwned。该网站表示,黑客九天前共享了互联网档案馆的身份验证数据库,这是一个名为“ia_users.sql”的6.4GB SQL文件。该数据库包含注册成员的身份验证信息,包括电邮地址、显示名称、密码更改时间戳、Bcrypt 哈希密码和其他内部数据。
—— BeepingComputer