Israeli cybersecurity company found zero click vuln. to hack ChatGPT accounts9 months agohttps://www.jpost.com/business-and-innovation/tech-and-start-ups/article-863740以色列网络安全公司Zenity曝光了ChatGPT存在的安全漏洞黑客可在无需用户交互的情况下远程控制ChatGPT账户无需用户点击任何链接即可提取敏感信息
A case study in bad hiring practice and how to fix it9 months agohttps://www.tomkranz.com/blog1/a-case-study-in-bad-hiring-practice-and-how-to-fi...企业因糟糕的招聘实践正面临网络安全人才短缺问题。两大核心问题:招聘广告滥用和低效的招聘流程。Canonical公司安全运维主管职位因招聘缺陷长期空缺。Canonical招聘广告存在垃圾信息式刷屏、拼写错误、薪资不透明等危险信号。其申请流程过度复杂,初期就要求回答不恰当的深入问题。面试环节包含无关的智力测试和性格测试,对神经多样性求职者构成歧视。Glassdoor差评揭露Canonical存在职场霸凌和领导力缺失。解决方案包括简化招聘流程、取消学历门槛、让业务主管参与用人决策。类似Canonical的企业因无法吸引顶尖人才将面临重大安全漏洞风险。
Russian hackers took control of Norwegian dam, police chief says9 months agohttps://www.politico.eu/article/russian-hackers-took-control-norwegian-dam-polic...亲俄黑客被怀疑在4月破坏了挪威西南部的一座水坝。黑客入侵了水坝的控制系统,打开阀门长达四小时,导致大量泄洪。挪威警察安全局(PST)局长在一次公开活动上披露了该事件。
NIST Finalizes 'Lightweight Cryptography' Standard to Protect Small Devices9 months agohttps://www.nist.gov/news-events/news/2025/08/nist-finalizes-lightweight-cryptog...美国国家标准与技术研究院(NIST)已最终确定一项轻量级加密标准,旨在保护物联网设备、RFID标签和医疗植入体等小型联网设备。该标准名为《受限设备的基于Ascon轻量级加密标准(NIST特别出版物800-232)》,专为资源受限的电子设备设计。标准核心采用Ascon加密算法家族,该算法经过公开评审流程后脱颖而出。Ascon于2014年开发,并在2019年CAESAR竞赛中成为首选方案。标准包含四种Ascon变体,分别针对不同场景的认证加密(AEAD)和哈希功能:ASCON-128 AEAD提供加密与数据真实性保障,具备抗旁路攻击能力;ASCON-Hash 256生成短'指纹'哈希以确保数据完整性,适用于软件更新和数字签名;ASCON-XOF 128与ASCON-CXOF 128支持可调哈希长度,为小型设备节省时间和能耗;ASCON-CXOF 128还支持自定义标签功能,防止多设备间的哈希冲突;NIST表示该标准具备可扩展性,未来可能新增专用消息认证码等功能模块。
North Korean hackers target open-source repositories in new espionage campaign9 months agohttps://therecord.media/north-korean-hackers-targeting-open-source-repositories朝鲜国家支持的黑客在开源软件仓库中植入恶意代码1月至7月期间,npm和PyPI仓库共拦截234个恶意软件包这些恶意软件包伪装成合法工具窃取凭证并植入后门超过36,000名开发人员可能受到此次攻击影响Lazarus组织利用开源供应链漏洞,如未审核软件包和监管缺失采用域名抢注和品牌仿冒手段诱骗开发人员恶意软件包部署了剪贴板窃取器、键盘记录器和凭证收集器等间谍工具Lazarus已从金融盗窃转向间谍活动和关键基础设施渗透重点针对DevOps和CI/CD密集型环境的开发人员开源仓库正日益被用于牟利或间谍活动近期事件包括对npm和PyPI维护者的钓鱼攻击Lazarus正在将开源生态系统转变为网络间谍的投放渠道
How your solar rooftop became a national security issue9 months agohttps://techcrunch.com/2025/08/15/how-your-solar-rooftop-became-a-national-secur...詹姆斯·肖沃尔特描述了一个场景:黑客可能破解家庭Wi-Fi并操控太阳能逆变器。EG4电子公司的太阳能逆变器存在安全漏洞,攻击者可借此拦截数据或夺取控制权。现代太阳能逆变器结构复杂,既是家庭能源系统的核心部件,又能与电网进行交互。住宅太阳能装置数量激增,使普通住宅转变为微型发电厂。EG4逆变器的安全缺陷包括数据传输未加密和身份验证程序薄弱。EG4首席执行官承认行业普遍存在安全问题,但因未及时通知客户而遭受批评。中国制造的逆变器因使用未公开的通信组件引发安全担忧。对住宅逆变器的大规模攻击理论上可行,但实际实施存在困难。住宅太阳能系统处于监管灰色地带,网络安全标准极为宽松。EG4正与美国网络安全局合作修复漏洞,计划在10月前解决所有遗留问题。
Why security experts recommend standalone password managers over browser-based9 months agohttps://bitwarden.com/blog/beyond-your-browser/千禧一代(55%)和婴儿潮一代(59%)仍依赖记忆或纸笔管理密码Z世代在密码管理器使用率上领先,显示出对网络安全风险的认知安全专家推荐独立密码管理器(如Bitwarden),因其安全性、易用性和跨平台兼容性优于浏览器内置方案浏览器密码管理器存在风险——绑定浏览器账户的特性使其在登录信息泄露时极为脆弱鉴于历史安全问题和防护不足,专家不建议使用浏览器密码管理器内置密码管理器(如谷歌密码管理器、Safari)受限于单一设备,缺乏跨平台功能专业密码管理器采用零知识加密技术,确保只有用户能解密数据浏览器方案通常缺失密码生成、泄露警报、安全共享等高级功能仅36%美国成年人使用密码管理器,许多人因对易用性的误解而拒绝使用专业密码管理器提供强化安全、全平台兼容、高级功能和业务连续性保障
That 16 Billion Password Story (AKA "Data Troll")9 months agohttps://www.troyhunt.com/that-16-billion-password-story-aka-data-troll/关于数据泄露的新闻标题经常夸大暴露的密码数量以获取点击量。最近一则标题声称有160亿密码遭泄露,但实际影响要小得多。这些数据来自各种信息窃取器日志,并非单一泄露事件,且大部分信息早已为人所知。数据分析显示27亿条记录最终可归结为1.09亿个独立邮箱地址。该数据中96%的邮箱和密码组合早已存在于Have I Been Pwned(HIBP)数据库。本次数据集仅给HIBP新增了440万个新邮箱地址。这些数据并非新泄露,不会带来超出已知范围的风险。媒体对数据泄露的夸张报道可能扭曲事件的实际严重性和影响。
Running Wayland Clients as Non-Root Users on Yocto9 months agohttps://embeddeduse.com/2025/08/11/running-wayland-clients-as-non-root-users/嵌入式Linux系统通常使用Weston作为Wayland合成器进行窗口管理。Qt应用程序通常作为Wayland客户端运行,由Weston将其窗口合成为单一显示界面。以root身份运行Qt应用程序违反了网络安全的最小权限原则,这一问题已被欧盟《网络弹性法案》(EU CRA)特别强调。问题根源在于Wayland套接字文件`/run/wayland-0`的权限设置,该文件仅允许root用户或`weston`用户进行通信。提出两种解决方案:以`weston`用户身份运行应用程序,或调整套接字权限以包含其他用户。详细方案涉及修改Yocto配方,确保Weston和Qt应用程序以非root用户身份运行,并使用静态用户ID保证一致性。解决方案包括修改`weston.service`和`weston.socket`文件,并创建环境配置文件`/etc/default/weston-client`以共享设置。这能确保Wayland客户端与服务器使用相同的套接字文件名,从而提升系统安全性并符合EU CRA要求。
Israeli gov. official arrested in Nevada internet crimes against children sting9 months agohttps://www.theguardian.com/us-news/2025/aug/16/nevada-arrest-israeli-official以色列政府网络安全官员汤姆·阿尔乔莫维奇·亚历山德罗维奇因涉嫌企图性侵儿童在拉斯维加斯被捕38岁的亚历山德罗维奇面临重罪指控,在缴纳1万美元保释金后获释并返回以色列其身份被确认为以色列网络管理局执行主任,该机构直接隶属总理内塔尼亚胡办公室被捕前亚历山德罗维奇曾参加在拉斯维加斯举行的黑帽网络安全大会其领英主页在事件曝光后被删除,该页面曾提及此次会议及网络安全趋势以色列官方淡化事件影响,称此事'不涉及政治'且已迅速解决网络管理局表示亚历山德罗维奇已通过'共同决定'被停职内塔尼亚胡办公室否认逮捕事实,坚称当事人仅接受问询并按原计划返以此次逮捕是内华达州打击网络儿童犯罪专案组的诱捕行动成果,另有七名男子落网,其中包括一名当地牧师根据内华达州法律,亚历山德罗维奇所涉罪名可能面临1至10年监禁
GPT-5 doubles performance in offensive security benchmark9 months agohttps://xbow.com/blog/gpt-5XBOW将GPT-5集成到其自动化渗透测试平台后,性能显著提升,漏洞发现率翻倍。OpenAI最初评估GPT-5的网络安全能力较为有限,但XBOW平台激发了其隐藏潜力,在实际测试中展现出卓越性能。配备GPT-5的智能代理能更稳定高效地发现漏洞,同时降低误报率并提升漏洞利用质量。XBOW平台通过专用工具、多代理协同机制和中央协调器,使GPT-5的表现远超孤立模型测试结果。GPT-5凭借高级推理能力和复杂指令序列,能有机融合漏洞探测与利用环节,这一特性使其显著优于前代模型。GPT-5等先进AI模型与XBOW专业系统的深度协作,代表了进攻性网络安全的未来方向,可提供规模化高效解决方案。
LLMs and Coding Agents = Security Nightmare9 months agohttps://garymarcus.substack.com/p/llms-coding-agents-security-nightmare大语言模型和编码代理正在扩大网络安全领域的攻击面,引入新的漏洞。提示注入攻击利用大语言模型的认知盲区,导致系统执行非预期操作。具有高度自主性的编码代理会因执行恶意代码而构成重大安全风险。ASCII smuggling(ASCII码走私)和代码库中隐藏恶意提示等技术可绕过人工检测,但会被大语言模型执行。远程代码执行(RCE)攻击能让攻击者完全控制系统,导致数据泄露或系统沦陷。英伟达研究人员展示了多种利用基于大语言模型的编码代理的方法,揭示了攻击手段的无限可能性。Nathan Hamiel提出的RRT(规避、限制、诱捕)策略建议通过关键场景限制大语言模型使用及监控输入输出来降低风险。CodeRabbit等开发者工具中的漏洞表明,攻击者可借此访问数百万代码库,造成大规模安全威胁。尽管部分漏洞已修复,但攻击方式的多样性和复杂性使得全面防护面临挑战。具有诱惑力的智能编码工具效率可能导致开发者忽视安全,引发系统性风险。
China Is Winning the Cyberwar9 months agohttps://www.foreignaffairs.com/china/china-winning-cyberwar-artificial-intellige...中国网络攻击行为(如'盐风暴')已深度渗透美国电信网络,实现对美通信系统的间谍监控中国的网络主导力不止于间谍活动,其预先植入美国关键基础设施(能源、水务、交通)的恶意软件具备潜在破坏能力中国威权式网络防御体系与美国民主模式的结构性差异,导致美国基础设施更易受攻击中国'防火墙'兼具审查与网络防御双重功能,相较美国形成战略优势美国关键基础设施由私营部门管理且政府监管薄弱,缺乏统一网络安全标准,成为易攻破目标中国在军民两用系统(水务、电力、电信)的网络预置能力,可在台海危机等情况下同时破坏民生与军事运作因防御体系不足且反击能力模糊,美国在网络空间对华威慑存在显著缺陷基于AI的关键基础设施'数字孪生'技术可助美方模拟攻击、定位漏洞并主动强化网络防御美国需同步提升网络进攻能力、明确红线标准,并加强网络安全领域的公私协作以遏制中国若不立即行动,中国在AI领域的进展将进一步扩大其网络优势,侵蚀美国国家安全及全球民主韧性
US helped Netanyahu's cyber chief evade child sex crime charges: Report9 months agohttps://www.presstv.ir/Detail/2025/08/17/753255/Trump-admin--helped-Netanyahu%E2...特朗普政府曾协助一名以色列网络战官员逃避儿童性犯罪指控。内塔尼亚胡麾下高级官员汤姆·阿尔乔姆·亚历山德罗维奇在拉斯维加斯因诱骗儿童进行性行为被捕。美国联邦调查局、国土安全部及内塔尼亚华州警方展开为期两周的卧底行动将其抓获。尽管面临重罪指控未决,特朗普政府仍加速其获释并返回以色列占领区。以色列官方否认其被捕事实,声称仅接受问询,但多方信源证实其曾遭羁押。亚历山德罗维奇是以色列网络安全核心人物,掌握机密网络情报及国际合作项目。他主导创建以色列"网络穹顶"计划,运用人工智能技术应对网络威胁。
The Hacker's Renaissance: A Manifesto Reborn9 months agohttps://phrack.org/issues/72/19《黑客宣言》(1986年)是对黑客身份的叛逆宣言,强调自由与探索精神。现代黑客行为已被商业化,漏洞悬赏、企业职位和合规框架取代了地下的精神气质。原始黑客精神仍在少数领域延续——自托管基础设施、独立研究和开源硬件改造。企业和政府利益收编了黑客文化,将反叛变成了合法产业。对新一代的呼吁:重视真实能力而非证书,钻研基础知识,抵制趋同化。
Aussie ISP iiNet confirms data breach impacting more than 200k customers9 months agohttps://www.cyberdaily.au/security/12518-aussie-isp-iinet-confirms-data-breach-i...澳大利亚宽带提供商iiNet遭遇网络攻击,其订单管理系统遭到入侵。此次入侵涉及未知第三方通过窃取的员工凭证进行未授权访问。受影响的个人信息包括电子邮件地址、电话号码、用户名、街道地址和调制解调器设置密码。身份证明文件或银行资料等敏感信息未被访问。约28万个活跃电子邮件地址和2万个固定电话号码遭泄露。iiNet正与澳大利亚网络安全部门合作,并联系受影响的客户。该事件凸显了电信行业持续存在的凭证攻击问题。目前尚无任何威胁行为者宣称对此次黑客攻击负责。
Intel Outside: Hacking every Intel employee and various internal websites9 months agohttps://eaton-works.com/2025/08/18/intel-outside-hack/通过绕过内部名片订购网站的企业登录,下载了超过27万名英特尔员工的详细信息。利用内部'产品层级'网站上的硬编码凭证获取管理员权限并下载员工资料。发现内部'产品入职'网站加密薄弱,从而获取员工数据和管理员权限。绕过英特尔SEIMS供应商站点的登录,访问机密供应商信息及员工资料。在英特尔内部系统中发现多处硬编码凭证和脆弱的加密方法。英特尔的漏洞赏金计划未涵盖网络基础设施漏洞,导致关键发现所获奖励有限。所有上报漏洞均被英特尔修复,但沟通反馈极少。
A volunteer-run wildfire site in Portugal stayed online during DDoS attacks9 months agohttps://blog.cloudflare.com/wildfire-fogos-pt-portugal-ddos-attack/若昂·皮纳的志愿者项目fogos.pt已成为葡萄牙关键的野火实时信息源该平台从解析PDF文件起步,如今发展为具备历史数据和气象图层功能的完整应用网站入选Cloudflare的伽利略计划,免费保护具有公共利益的脆弱站点野火是全球性挑战,可靠信息至关重要甚至能挽救生命最初只是为了让火灾数据更易获取的业余项目,现已被纳入官方通信体系在野火高峰期遭遇DDoS攻击,依靠Cloudflare的防护系统成功抵御伽利略计划帮助网站在关键时期应对流量激增并保持在线野火季期间需处理数百万次请求和页面浏览的巨大流量负荷这个由志愿者和合作伙伴支撑的项目,完美展现了公共服务与技术的结合力量
Hackers who exposed North Korean government hacker explain why they did it9 months agohttps://techcrunch.com/2025/08/21/hackers-who-exposed-north-korean-government-ha...两名黑客入侵了一台与朝鲜政府有关联的黑客电脑,揭露了网络间谍活动及黑客工具。黑客Saber和cyb0rg在获得访问权限四个月后,决定泄露数据以曝光朝鲜的行动。朝鲜黑客组织从事间谍活动、加密货币盗窃,并伪装成IT工作者为核计划筹集资金。Saber和cyb0rg自认为是黑客行动主义者,受Phineas Fisher启发,认为揭露此类黑客至关重要,尽管存在法律风险。黑客发现证据表明,朝鲜黑客'Kim'可能是中国人,同时为两国政府工作。Saber和cyb0rg向韩国和台湾地区遭Kim攻击的公司发出警报。朝鲜黑客常以网络安全专业人士为目标,但Saber保持谨慎,并不担心报复。
Developer gets 4 years for activating network "kill switch" to avenge his firing9 months agohttps://arstechnica.com/tech-policy/2025/08/developer-gets-4-years-for-activatin...伊顿公司前开发人员戴维斯·卢因部署恶意代码被判处四年监禁卢创建了名为'IsDLEnabledinAD'的'毁灭开关',当其账号被停用时该程序会锁定所有用户网络访问权限其他名为'破坏'和'浑水'的恶意代码会导致系统死循环、删除配置文件并引发系统崩溃2019年卢被停职时,这个毁灭开关自动激活,导致全球数千名用户被锁定系统伊顿公司在一台仅卢有权限访问的服务器上发现了恶意代码,这成为定罪关键证据该公司为恢复网络运营支付了巨额费用