After $380M hack, Clorox sues its "service desk" vendor for simply giving passwd10 months agohttps://arstechnica.com/security/2025/07/how-do-hackers-get-passwords-sometimes-...黑客通过致电IT服务台绕过安全验证,在未经身份核实的情况下获取了密码和多因素认证重置权限。该入侵事件导致勒索软件攻击或数据泄露,造成预估3.8亿美元损失。高乐氏将IT安全业务外包给科翰软件公司,而后者据称未遵循基本安全流程。诉讼文件显示,科翰软件服务台在未经认证的情况下交出了网络凭证。诉讼指控科翰软件员工培训不足,最终引发此次安全漏洞。
Google spoofed via DKIM replay attack: A technical breakdown10 months agohttps://easydmarc.com/blog/google-spoofed-via-dkim-replay-attack-a-technical-bre...一位朋友收到了一封看似来自谷歌的钓鱼邮件,内容涉及传票,极具迷惑性。该邮件没有拼写错误、可疑链接,发件域名也真实可信,看起来非常正规。调查发现这是一次DKIM重放攻击——攻击者重复使用了谷歌发送过的合法邮件。黑客利用Google Sites仿冒官方客服页面,借助用户对谷歌域名的天然信任行骗。这封钓鱼邮件通过了SPF、DKIM和DMARC三项认证,因此能通过常规安全检测。攻击者通过篡改谷歌OAuth应用名称,将钓鱼内容植入合法谷歌邮件框架内。谷歌已通过限制应用名称编辑功能修复该漏洞,杜绝此类攻击。建议用户切勿点击可疑链接,发现此类邮件应立即向安全团队举报。DKIM重放攻击因复用合法邮件签名,常规手段难以识别。防范措施包括定期轮换DKIM密钥,并加强用户反钓鱼意识培训。
How We Rooted Copilot10 months agohttps://research.eye.security/how-we-rooted-copilot/微软在2025年4月为Copilot企业版更新了实时运行Jupyter Notebook的Python沙箱环境该沙箱可在miniconda环境中以'ubuntu'用户身份执行Linux命令,用户属于sudo组但系统未安装sudo二进制文件相比ChatGPT的沙箱,该环境使用Python 3.12及更新的内核版本主要功能包括运行Jupyter Notebook和Tika服务器容器配置了链路本地网络接口,并采用来自宿主机路径的OverlayFS文件系统自定义脚本存放在/app目录,包含goclientapp和httpproxy等二进制文件在entrypoint.sh脚本中发现漏洞:pgrep命令未使用完整路径执行,可能导致权限提升利用该漏洞可获得root权限,但由于容器限制无法带来实质性优势微软已修复该漏洞,评定为中等严重级别但未发放漏洞赏金BlackHat USA 2025大会上将专题演讲如何进一步访问微软'负责任AI'运营控制面板
Microsoft to stop using China-based teams to support Department of Defense10 months agohttps://www.propublica.org/article/microsoft-tech-support-government-cybersecuri...微软因网络安全风险将不再使用中国工程团队为国防部云计算系统提供服务微软此前曾使用中国员工维护司法部、财政部和商务部等其他联邦部门的云系统政府社区云(GCC)处理敏感但非机密信息,经FedRAMP认证适用于'中等影响'数据网络安全专家警告外国支持GCC可能助长间谍活动和破坏行为,即使是非机密数据美国国家情报总监办公室认定中国是对美网络'最活跃、最持久的网络威胁'微软计划终止中国团队对GCC的支持,并将审查额外安全措施亚马逊AWS、谷歌和甲骨文等其他云服务商未在美国联邦合同中使用中国支持团队微软采用数字监工进行监督的做法遭批评,认为其缺乏监管外国工程师的高级技术专长这些披露引发华盛顿对国家安全及微软网络安全实践的担忧
Allianz Life says 'majority' of customers' personal data stolen in cyberattack10 months agohttps://techcrunch.com/2025/07/26/allianz-life-says-majority-of-customers-person...美国保险巨头安联人寿(Allianz Life)于2025年7月中旬遭遇数据泄露事件。黑客通过社会工程学手段入侵了第三方云端客户关系管理系统。安联人寿大部分客户、金融专业人士及部分员工的个人身份信息遭窃取。安联人寿拥有140万客户,其母公司安联集团全球服务超1.25亿人。公司向缅因州总检察长提交的文件披露了此事,但未立即公布具体受影响人数。安联人寿已通报联邦调查局(FBI),调查显示网络系统未遭进一步入侵。公司未确认是否收到黑客联系信息,也未将事件归因于特定组织。此次事件是保险业系列攻击的一部分,此前Aflac等公司也遭类似入侵。安全研究人员认为同类攻击与黑客组织Scattered Spider有关,该组织以社会工程学攻击闻名。Scattered Spider此前曾针对英国零售、航空运输及硅谷科技行业发动攻击。安联计划于2025年8月1日前完成对受影响个体的通知工作。
Microsoft's Global Operation to Disrupt Lumma Stealer's 2.3k Malware Network10 months agohttps://podcasts.apple.com/ca/podcast/inside-microsofts-global-operation-to-disr...微软数字犯罪部门(DCU)主导了一项全球行动,成功捣毁主要信息窃取恶意软件网络Lumma Stealer。此次行动查封了2,300个域名,保护了近40万名受害者。《反诈骗腐败组织法》(RICO)和侵入法等相关法律工具,与欧洲刑警组织、日本及私营企业的国际合作是本次行动成功的关键。DCU正转向采取持续性、高成本消耗的策略来打击网络犯罪即服务模式。专题讨论还涉及行动期间被盗受害者数据的处理方式,以及DCU未来作战方向的展望。
The Rise of Vibeinsecurity10 months agohttps://vibeinsecurity.com/2025年9月25日里斯本HackAIcon活动,探讨AI黑客技术与安全议题到2035年,全民化'氛围编程'兴起导致开发者失业,普通人也能轻松构建应用开发周期压缩与安防缺失导致被黑应用数量激增利用AI大规模挖掘漏洞的'氛围黑客'群体涌现因应用安全漏洞频发,个人数据可轻易获取导致隐私全面崩塌
Hackers Hit a Major US Insurance Firm Exposing Details of Nearly 1.4M Customers10 months agohttps://hothardware.com/news/hackers-hit-us-insurance-exposing-14m-customers美国保险公司安联人寿(Allianz Life)发生数据泄露事件,影响140万客户、金融专业人士及员工。此次入侵涉及社会工程学手段,无证据表明其网络或系统遭到破坏。攻击溯源至勒索组织ShinyHunters,该团伙以利用云服务和软件漏洞闻名。ShinyHunters采用伪装战术(如冒充IT支持人员)入侵Salesforce数据加载器等系统。安联人寿未证实涉事CRM系统是否基于Salesforce,仅声明为第三方云端系统。近期针对航空公司及158年老牌企业的大规模攻击事件,凸显强化安全措施的紧迫性。
Project Zero – Policy and Disclosure: 2025 Edition10 months agohttps://googleprojectzero.blogspot.com/2025/07/reporting-transparency.html谷歌Project Zero在2021年将其漏洞披露政策更新为'90+30'模式,以推动更快的补丁开发和提升修复率指出'补丁缺口'和'上游补丁缺口'是漏洞生命周期中的关键延迟环节,严重影响终端用户安全宣布名为'报告透明度'的新试验政策,旨在向上游供应商更早披露漏洞信息在提交报告一周内,Project Zero将公开供应商名称、受影响产品及修复截止日期等基本信息通过增强上游供应商与下游依赖方之间的透明度与沟通,着力缩短上游补丁缺口承诺早期披露不会包含可能帮助攻击者的技术细节,仅提供预警而非漏洞利用方案该政策属于试验性质,将通过持续监测评估其对建立及时修复漏洞的安全生态的影响
The Convenience Trap: Why Seamless Banking Access Can Turn 2FA into 1FA10 months agohttps://blog.opencore.ch/posts/the-convenience-trap-2fa/多因素认证(MFA)是数字安全的核心,要求提供不同类型的验证证据(你知道的、拥有的或固有的信息)。许多认证方式都集中在单一设备(智能手机)上,这实际上将多因素认证降级为单因素认证(1FA),削弱了其安全性。常见的认证方式包括:仅限手机的银行应用(配合手机生物识别)、短信验证码、验证器应用(需/无需用户交互)、独立硬件设备以及通行密钥。仅限手机的银行应用虽然方便,但配合手机生物识别并非真正的双因素认证,因为设备与生物特征都可能被单个密码攻破。短信验证码存在SIM卡交换、通知镜像等漏洞,安全性较差,不适合作为认证手段。需要额外交互的验证器应用(如生物识别验证或二维码扫描)通过要求用户主动参与来提升安全性。独立硬件设备或代码清单通过物理隔离因素提供强安全性,但目前应用较少。通行密钥(尤其是绑定物理安全密钥时)能有效防范钓鱼攻击、设备盗窃和恶意软件。安全认证建议:使用硬件绑定的通行密钥、独立硬件认证器或专用『银行手机』。智能手机已成为单一故障点,金融机构应为用户优先设置安全默认选项。
Defending against account takeovers with passkeys and DBSC10 months agohttps://workspace.google.com/blog/identity-and-security/defending-against-accoun...攻击者正加强钓鱼攻击和凭证窃取手段,导致37%的成功入侵事件。2024年,Cookie和身份验证令牌盗窃案件同比激增84%。Google Workspace推出三项安全增强功能:通行密钥支持、设备绑定会话凭证(DBSC)及共享信号框架(SSF)接收器。通行密钥具备防钓鱼、易用性和强安全性,比密码验证快40%。DBSC通过将会话Cookie绑定至发起设备,强化认证后的安全防护。共享信号框架(SSF)支持实时交换安全信号以检测和应对威胁。谷歌建议启用通行密钥和DBSC功能,防范钓鱼攻击和信息窃取导致的账户劫持。
Palo Alto Networks closing on over $20B acquisition of CyberArk10 months agohttps://www.calcalistech.com/ctechnews/article/hksugkiwxePalo Alto Networks正以超过200亿美元的价格收购CyberArk,谈判已进入最后阶段。消息公布后CyberArk股价暴涨13%,而Palo Alto股价下跌3%。这将成为自谷歌320亿美元收购Wiz以来网络安全领域最大并购案。Palo Alto此前曾考虑收购SentinelOne,但相关谈判或将终止。CyberArk近年积极并购(包括15亿美元收购Venafi和1.65亿美元收购Zilla),推动其2024年营收突破10亿美元。这笔交易可能于本周晚些时候官宣,成为Palo Alto史上最大规模收购。Palo Alto旨在进军身份管理市场,该领域因AI技术及重大数据泄露事件显得愈发重要。CyberArk主要竞争对手Okta市场表现下滑,进一步巩固了CyberArk的行业地位。
Code Execution Through Deception: Gemini AI CLI Hijack10 months agohttps://tracebit.com/blog/code-exec-deception-gemini-ai-cli-hijackTracebit发现Gemini CLI存在漏洞,可通过提示注入和验证不充分导致恶意命令被静默执行攻击手法涉及将恶意指令隐藏在README.md等文件中,利用GNU公共许可证掩盖注入行为攻击者利用Gemini CLI的命令白名单功能,在初始白名单通过无害命令后,无需用户批准即可执行恶意命令该漏洞可能导致敏感数据(如环境变量)在用户无感知的情况下外泄至远程服务器谷歌已在Gemini CLI v0.1.14版本修复该漏洞,要求恶意命令对用户可见且需显式批准才能执行Tracebit建议升级Gemini CLI、使用沙箱模式,并通过AI工具探索非可信代码时保持警惕
British 999 call handler's voice cloned by Russian network using AI10 months agohttps://www.bbc.com/news/videos/c3dpeyrx1kyoBBC事实核查调查发现俄罗斯关联的虚假信息活动使用AI语音克隆技术包括999急救电话接线员在内的英国公共部门工作者身份遭克隆波兰总统选举前,使用克隆语音的伪造视频散布恐慌来自普雷斯顿的急救医疗顾问震惊地发现自己的声音被伪造
In search of riches, hackers plant 4G-enabled Raspberry Pi in bank network10 months agohttps://arstechnica.com/security/2025/07/in-search-of-riches-hackers-plant-4g-en...黑客使用树莓派配合4G调制解调器侵入银行网络,并针对其ATM系统发起攻击。该攻击通过新型Linux绑定挂载技术绕过外围防御系统以隐藏恶意软件。攻击目标是入侵ATM交换服务器并操控银行的硬件安全模块。幕后组织UNC2891受经济利益驱动,自2017年起持续针对银行机构。UNC2891以针对Linux、Unix和Oracle Solaris系统的定制恶意软件闻名。2022年,Mandiant发现UNC2891已潜伏多年未被察觉,使用CakeTap、SlapStick和TinyShell等恶意软件。Group-IB报告证实UNC2891仍活跃于金融领域,采用先进技术规避银行网络检测。
Senate legislation would direct agencies to fortify against quantum threats10 months agohttps://cyberscoop.com/quantum-cybersecurity-migration-act-federal-encryption-le...两党参议员联合提出《国家量子网络安全迁移战略法案》,以应对量子计算带来的网络威胁。该法案要求白宫制定量子安全加密战略,并强制联邦机构启动试点项目。量子计算机可能破解现代加密技术,对国家安全和个人数据构成重大风险。此项立法基于此前聚焦量子计算研究和后量子密码学的相关法律。新战略将明确量子计算机标准,并评估向后量子密码学迁移的需求。试点项目要求关键基础设施领域在2027年前完成向后量子密码学的系统升级。专家警告当前窃取的数据可能在未来被解密,呼吁立即部署量子级防护措施。对中国在量子计算领域领先的担忧正推动美国加快相关立法进程。
PyPI Phishing Attack: Incident Report10 months agohttps://blog.pypi.org/posts/2025-07-31-incident-report-phishing-attack/钓鱼攻击通过电子邮件针对PyPI用户,使用模仿PyPI.org的钓鱼域名4个用户账户遭入侵,攻击者生成2个API令牌,并向'num2words'项目上传2个恶意版本攻击者通过转发代理设置模仿PyPI.org,利用细微URL差异(如'pypj.org'与'pypi.org')双因素认证(2FA)可缓解此类攻击,但攻击者可能通过截获会话cookie或TOTP码绕过钓鱼域名最终在向注册商和CDN提供商举报后被关闭,尽管初期响应缓慢影响包括通过受感染的PyPI包分发恶意软件,项目所有者已快速移除建议包括启用2FA、使用WebAuthn增强安全性,以及清理闲置PyPI账户Python软件基金会(PSF)正考虑收购相似域名以预防未来钓鱼攻击入侵指标(IoCs)包含钓鱼域名、IP地址及恶意软件包版本号
Understanding the Complete Identity Management Ecosystem10 months agohttps://guptadeepak.com/understanding-the-complete-identity-management-ecosystem...身份管理已从简单的密码系统发展为专业工具组成的复杂生态系统指南将身份管理分为多个领域,包括IAM(身份与访问管理)、CIAM(客户身份与访问管理)、PAM(特权访问管理)以及AI代理身份等新兴技术传统IAM专注于员工身份管理,处理员工访问权限控制CIAM(客户身份与访问管理)面向外部用户,提供可扩展的客户注册与登录解决方案特权访问管理(PAM)通过额外安全层保护系统管理员等高危账户身份治理与管理(IGA)通过管理和审查用户访问权限确保合规性认证方式包括多因素认证(MFA)、无密码系统及基于风险的自适应认证机器身份管理针对应用程序和服务等非人类实体,其数量常远超人类身份访问控制方法包含基于角色(RBAC)、基于属性(ABAC)和基于策略的访问控制(PBAC)医疗、金融服务和政府等特殊行业存在针对其独特需求的专门解决方案去中心化身份、量子安全身份和AI集成成为新兴趋势选择合适身份解决方案需考虑组织需求、合规要求及风险承受能力未来趋势强调AI集成、零信任模型、云优先策略及用户体验与隐私的强化
Proton Authenticator – secure 2FA, your way10 months agohttps://proton.me/blog/authenticator-app仅靠安全密码不足以保障在线安全;双重认证(2FA)必不可少。Proton推出Proton Authenticator——一款免费开源的2FA应用,具备强加密和跨设备兼容性。Proton Authenticator提供离线访问、端到端加密同步、自动备份及轻松导入/导出2FA令牌等功能。与基于短信的2FA不同,Proton Authenticator等认证器应用能更有效防范SIM卡交换攻击。凭借灵活性、安全性和隐私功能,Proton Authenticator在多款2FA应用中表现突出。用户可根据需求选择便捷的Proton Pass或更高安全级别的Proton Authenticator。Proton系列隐私工具(含Proton Authenticator)建立在信任与数字权利承诺基础上。欢迎社区反馈以持续优化Proton Authenticator。
How did Facebook intercept competitor's encrypted mobile app traffic? (2014)10 months agohttps://haxrob.net/onavo-facebook-ssl-mitm-technical-analysis/Facebook通过Onavo Protect应用使用名为'ssl bump'的中间人攻击技术,拦截竞争对手应用的加密流量。Onavo Protect应用诱使用户安装Facebook Research的CA证书以解密TLS流量,目标包括Snapchat、YouTube和亚马逊等域名。随着Android安全性增强(如更严格的CA证书信任策略和证书固定机制),Facebook的流量拦截方法逐渐失效。Facebook曾考虑使用Android无障碍功能API作为绕过安全控制的替代方案,此举引发伦理争议。该行为是Facebook获取竞争情报战略的一部分,最终导致法律审查及澳大利亚2000万美元罚款。技术分析显示Onavo应用收集了大量用户数据,包括应用使用统计和IMSI号码等敏感信息。诉讼案和技术调查结果揭示了企业为获取竞争优势可能如何滥用移动端权限。