US NSA alleged to have launched a cyber attack on Chinese timekeeping agency7 months agohttps://www.csoonline.com/article/4075846/us-nsa-alleged-to-have-launched-a-cybe...中国指控美国国家安全局(NSA)对其国家授时中心发起网络攻击,该中心为各行业提供关键时间同步服务。据报道,攻击利用了某手机品牌的短信系统漏洞,入侵工作人员设备并窃取敏感数据。专家认为该指控具有合理性但缺乏公开证据,指出攻击时间基础设施的战略意义。该事件可能加剧中美紧张关系,中国正推动技术自主并加强网络防御体系。建议企业安全主管加固内部时间服务器、避免默认配置,并实施严格的身份验证与监控措施。
The history of internet outages7 months agohttps://www.bbc.com/future/article/20240724-the-day-the-internet-turned-off互联网中断由多种因素引发,包括数据库错误、网络攻击以及基础设施物理损坏。AWS和CrowdStrike等重大中断事件凸显了互联网服务的脆弱性及其对商业和日常生活的广泛影响。鲨鱼破坏和人类活动导致的海底电缆物理损坏,曾造成多地区网络中断。许多国家将政府强制断网作为审查手段或应对动荡的常见策略。千年虫恐慌虽多被证实为杞人忧天,但展现了早期人们对数字基础设施脆弱性的担忧。专家警告科技行业垄断控制的风险,这种垄断可能导致灾难性系统故障。
Mass Assignment Vulnerability Exposes Max Verstappen Passport and F1 Drivers PII7 months agohttps://ian.sh/fia网络安全初创公司及企业(如CrowdStrike、Darktrace、Bitdefender)是F1赛事的主要赞助商研究人员在国际汽联车手分级门户中发现F1相关支持网站的漏洞F1车手需持有国际汽联超级驾照,其分级(铜/银/金/白金)通过该门户管理该门户存在权限提升漏洞,仅需发送HTTP PUT请求即可篡改用户角色研究人员通过篡改JSON响应中的'roles'参数获取了门户管理员权限管理员权限可查看F1车手敏感信息(个人身份数据、护照信息、简历)及国际汽联内部通讯漏洞已通过合规渠道披露,国际汽联迅速修复并暂时关闭了该网站
Traffic Light Protocol7 months agohttps://www.first.org/tlp/TLP 2.0版本是FIRST组织自2022年8月起推行的现行标准TLP通过四个标签(TLP:RED/红、TLP:AMBER/黄、TLP:GREEN/绿、TLP:CLEAR/白)为敏感信息共享划定边界标签必须保持原始格式(包括翻译时),应采用全大写且无空格的书写形式TLP并非正式分级制度,而是用于共享敏感信息的简易框架该标准具有易实施、可读性强等特点,可适配MISP、IEP等自动化系统TLP有别于查塔姆守则,但在适当时可配合使用信息发布方须确保接收方理解并遵守TLP共享准则发布方可附加额外共享限制条款,接收方必须严格遵守若需突破TLP标签规定的共享范围,接收方必须获得明确授权在消息、文档及自动化系统中使用TLP时,须遵循特定格式规范标签配色提供RGB/CMYK/Hex三种模式,确保弱视群体的可读性明确定义'社区''组织''客户'等术语以厘清共享边界详细说明各TLP标签的适用场景及信息传播范围限制
The glaring security risks with AI browser agents7 months agohttps://techcrunch.com/2025/10/25/the-glaring-security-risks-with-ai-browser-age...OpenAI的ChatGPT Atlas和Perplexity的Comet等新型AI驱动浏览器旨在挑战谷歌Chrome的统治地位AI浏览器代理虽提供便利,但存在重大隐私风险,包括可能遭受'提示词注入攻击'的威胁提示词注入攻击通过诱骗AI代理执行恶意指令,可能导致用户数据泄露或未经授权的操作Brave研究人员指出,间接提示词注入攻击是AI浏览器面临的系统性挑战OpenAI和Perplexity已推出'无痕模式'和实时检测系统等防护措施来降低风险网络安全专家强调提示词注入攻击手段不断演变,防御系统需要持续改进建议用户使用唯一密码、多重身份验证,并限制AI代理访问敏感账户
North Korean hackers stole over $2B in crypto so far in 2025, researchers say7 months agohttps://techcrunch.com/2025/10/07/north-korean-hackers-stole-over-2-billion-in-c...朝鲜黑客在2025年窃取了价值超过20亿美元的加密货币,创下历史最高年度记录自2017年以来朝鲜累计窃取的加密货币至少达60亿美元,实际金额可能更高黑客攻击手段从利用技术漏洞转向社会工程学攻击主要攻击目标包括加密货币交易所和高净值个人投资者Bybit交易所今年遭遇最大金额盗窃案,损失超14亿美元其他重大受害方:Axie Infinity(6.25亿美元)、Harmony(1亿美元)、WazirX(2.35亿美元)被盗资金据信用于资助朝鲜核武器研发计划该数据与联合国及各国政府报告结论相符
Brazil Is Learning Achieving Tech Sovereignty Is Easier Said Than Done7 months agohttps://www.techpolicy.press/brazil-is-learning-achieving-tech-sovereignty-is-ea...尽管巴西对总部位于美国的数字平台发表强硬言论,但仍难以实现技术主权巴西机构安全局(GSI)正与亚马逊云服务(AWS)签订网络安全开发技术合作协议新指令允许将机密数据存储在巴西境内的私有云上,但引发对《云法案》和《外国情报监视法》下美国政府获取数据的担忧AWS声称自2020年以来未向美国政府披露数据,但专家对其法律义务下的承诺持怀疑态度巴西还在与微软测试'主权云'项目,虽采用本土软件但仍依赖外国硬件巴西对外国技术的依赖源于本土替代方案竞争力不足,以及过去从自由软件转向商业解决方案的决策新政策(ReData)旨在吸引数据中心投资,但被批评力度不足且加剧地区不平等专家指出巴西必须紧急开发本土技术方案以降低对美国技术的依赖
Aggressive bots ruined my weekend7 months agohttps://herman.bearblog.dev/agressive-bots/Bear博客在10月25日因反向代理故障导致自定义域名服务出现重大中断由于监控工具未能在周六及时发出警报,这次故障的发现比往常延迟当前互联网正被三类激进爬虫淹没:AI爬虫、恶意爬虫和失控的自动化程序AI爬虫可通过特征识别进行管理,若其行为仅用于模型训练而非用户搜索,通常会被拦截恶意爬虫专门攻击WordPress配置错误或暴露.env/.aws文件等漏洞,具有高度危害性由于爬虫工具开发门槛降低,失控的自动化程序正以惊人速度造成网站意外DDoS攻击缓解措施包括配置WAF规则、实施速率限制,以及编写定制代码隔离恶意爬虫尽管此前成功防御过多次攻击,本次反向代理最终因DDoS攻击过载导致服务崩溃未来将部署冗余监控系统、强化速率限制、升级反向代理、增加自动重启机制并建立公开状态页互联网因爬虫泛滥日益恶化,这凸显了守护优质网络空间的重要性
New attacks are diluting secure enclave defenses from Nvidia, AMD, and Intel7 months agohttps://arstechnica.com/security/2025/10/new-physical-attacks-are-quickly-diluti...可信执行环境(TEE)广泛应用于区块链、云服务、人工智能、金融和国防工业主要TEE供应商包括英伟达的机密计算、AMD的SEV-SNP和英特尔的SGX/TDX,均承诺即使操作系统内核被攻破也能保障数据安全新型攻击TEE.fail可通过在内存芯片与主板间插入硬件设备绕过三大芯片厂商的防护,但需先攻破操作系统内核与仅限DDR4的旧攻击不同,TEE.fail对DDR5内存同样有效,可突破最新一代TEE防护芯片厂商的威胁模型通常排除物理攻击场景,其防护重点在于防范内核级漏洞导致的数据泄露芯片厂商和用户关于TEE防护能力的公开声明可能存在误导或错误,尤其针对远程服务器物理安全的描述
Collins Aerospace: Sending text messages to the cockpit with test:test7 months agohttps://www.ccc.de/en/disclosure/collins-aerospace-mit-test-test-textnachrichten...RTX公司与国防部网络犯罪中心于2025年9月21日收到通报。攻击者使用test:test凭证成功登录ARINC运营中心消息浏览器,并伪装成美国海军舰队后勤支援联队。该网络服务允许向飞机驾驶舱发送文本信息,但此功能未经实际测试验证。通过该服务可查看已发送的信息内容。RTX公司未对该漏洞报告作出回应,涉事账户随后被停用。
Hacking the World Poker Tour: Inside ClubWPT Gold's Back Office7 months agohttps://samcurry.net/hacking-clubwpt-gold在ClubWPT Gold后台应用程序中发现漏洞,允许获取完整管理员权限。敏感数据泄露,包括驾驶证、护照号码、IP地址及交易记录。漏洞在报告后由ClubWPT Gold修复,并确认未被利用。初步调查ClubWPT Gold基础设施时,在JavaScript环境变量中发现可疑中国域名。识别出多个ClubWPT Gold服务运行于'liuxinyi1.cn'的子域名上。通过可访问的'.env'文件暴露内部密钥和阿里云凭证。利用暴露的'.git'文件夹成功克隆管理员面板源代码。在环境变量中发现硬编码用户名,由此进入暂存后台登录界面。利用暂存环境源代码中的漏洞绕过生产环境的双重验证(2FA)。获取生产环境数据,包括真实客户个人信息(PII)、KYC资料和管理统计信息。ClubWPT Gold在漏洞披露后迅速采取修复措施。
The Internet Runs on Free and Open Source Software–and So Does the DNS7 months agohttps://www.icann.org/en/blogs/details/the-internet-runs-on-free-and-open-source...自由开源软件(FOSS)是域名系统(DNS)的重要基础。ICANN的SSAC发布了SAC132报告,强调在全球网络安全法规背景下FOSS对DNS运营的重要性。SAC132为政策制定者提供了清晰的FOSS基础框架、政策评估及DNS生态中的实践指导。该报告旨在强化FOSS在全球互联中的作用,并邀请利益相关方参与研究结果讨论。SSAC鼓励各界参与ICANN84会议,共同探讨如何维护FOSS生态系统及增强互联网韧性。
F5 Is Misleading the Market – The Breach Is Nowhere Near Contained7 months agohttps://reporter.deepspecter.com/f5-is-misleading-the-market-the-breach-is-nowhe...F5被指控在重大漏洞 containment 问题上误导客户、投资者和监管机构。该漏洞涉及国家级攻击者,其拥有对F5核心基础设施(包括源代码和凭证)长达一年以上的无限制访问权限。F5的应对措施受到批评,被指优先考虑表面形象而非实质性的取证调查和威胁遏制。公司依赖第三方机构(IOActive和NCC Group)进行代码审查的做法受到质疑,认为其缺乏应对国家级威胁的能力。此次漏洞已危及F5的BIG-IP技术,给包括联邦机构在内的客户带来风险。预计将面临法律风险,受影响客户可能发起集体诉讼。报告指出F5历史上的安全态势存在疏忽,IT治理和合规方面存在系统性缺陷。公司事后提出的建议被认定不充分,仅关注次要更新而未解决核心安全问题。CISA已发布紧急指令,强调漏洞的严重性,这与F5轻描淡写的说法形成对比。报告结论认为F5产品无法被视为能抵御复杂威胁,且存在未公开漏洞的持续风险。
Ex-L3Harris exec pleads guilty to selling zero-day exploits to Russian broker7 months agohttps://cyberscoop.com/peter-williams-guilty-selling-zero-day-exploits-russian-b...前L3Harris高管彼得·威廉姆斯承认窃取商业机密罪威廉姆斯以数百万美元加密货币向俄罗斯经纪人出售了八个零日漏洞这些网络漏洞原为美国政府及盟友独家使用该俄罗斯经纪人(疑似Operation Zero组织)公开宣称与非北约国家有联系威廉姆斯将赃款用于购买奢侈品,每项罪名最高面临10年刑期此次窃密行为给L3Harris造成约3500万美元损失威廉姆斯还可能被判处最高30万美元罚款及130万美元赔偿金量刑听证定于1月进行,量刑指南建议87-108个月刑期
Aisuru botnet shifts from DDoS to residential proxies7 months agohttps://krebsonsecurity.com/2025/10/aisuru-botnet-shifts-from-ddos-to-residentia...爱数(Aisuru)僵尸网络已从DDoS攻击转向出租受感染物联网设备,为网络犯罪提供匿名代理服务该僵尸网络已感染超70万台物联网设备(含路由器和监控摄像头),并发动过破纪录的DDoS攻击其DDoS攻击导致美国ISP运营商因高流量外溢遭受重大运营中断运营者升级恶意软件以支持住宅代理服务,使犯罪者能匿名化流量进行数据窃取和AI项目IPidea和Luminati等代理服务呈指数级增长,部分网络提供数百万住宅代理出租AI训练数据的内容抓取正大量使用住宅代理规避检测,导致公共资源过载及带宽成本激增Reddit已起诉Oxylabs等代理服务商,指控其纵容平台大规模抓取行为FBI警告BADBOX 2.0僵尸网络已控制数百万物联网设备实施广告欺诈等犯罪恶意软件内含挑衅域名(fuckbriankrebs[.]com),但该域名对评估僵尸网络规模帮助有限专家指出物联网设备因市场竞争和低价策略普遍缺乏安全防护,极易成为僵尸网络目标
Taiwan reports surge in Chinese cyber activity and disinformation efforts7 months agohttps://therecord.media/taiwan-nsb-report-china-surge-cyberattacks-influence-ope...台湾国家安全局(NSB)报告显示网络入侵事件增长17%,2025年平均每日达280万次,多数可追溯至中国大陆。中国大陆的网络活动瞄准国防、电信、能源及医疗等关键基础设施,结合网络入侵与信息战手段。逾1万个异常社交媒体账号(多数在Facebook平台)散布150万条虚假信息,攻击台湾政府并宣扬亲中论述。中国利用AI生成梗图及视频,在敏感议题上传播虚假叙事,企图影响台湾2026年地方选举前的舆论走向。国安局判定中方策略属国家级行动,涉及解放军、国安部及公安部,动用军民黑客进行间谍活动与网络操控。台湾与西方国家政府指控中国运用'灰色地带'战术,包括网络攻击与虚假信息,施压台湾接受北京主权主张。网络安全公司Proofpoint报告显示与中国有关联的TA415组织升级对台半导体产业攻击,锁定制造商与供应链。中国反指台湾实施黑客攻击,称大陆基础设施遭侵,相关指控遭台湾国安局否认。
Denmark reportedly withdraws Chat Control proposal following controversy7 months agohttps://therecord.media/demark-reportedly-withdraws-chat-control-proposal丹麦撤回推动欧盟立法强制扫描电子信息的提案,该提案要求包括加密平台在内的所有通讯软件进行内容审查。这项名为"聊天控制"的提案旨在打击儿童性虐待材料(CSAM),但遭遇强烈反对。由于德国拒绝支持该提案,丹麦决定放弃相关努力。丹麦司法部长彼得·胡梅尔高宣布转而支持自愿检测儿童性虐待材料的方案。现行自愿扫描模式将于四月到期,引发对失去打击儿童虐待工具的担忧。Signal基金会主席强烈反对该措施,称若提案通过将退出欧盟市场,并指出这将导致大规模监控问题。
AI scrapers request commented scripts7 months agohttps://cryptography.dog/blog/AI-scrapers-request-commented-scripts/通过404错误发现恶意机器人行为,针对不存在的JavaScript文件请求。识别伪装成正常浏览器的恶意用户代理字符串。发现疑似未经许可抓取内容用于LLM训练的爬虫行为。探讨机器人解析HTML的技术差异,从精密解析到简单模式匹配。研究对抗恶意机器人的主动防御策略,包括IP封禁和压缩包炸弹等技术。提出数据投毒作为对抗LLM内容抓取的新型防御手段。揭示少量污染数据即可破坏大模型训练效果的现象。推荐部署nepenthes、nightshade等数据污染工具的实践方案。通过隐藏诱饵链接等策略检测和限制机器人访问。社区协作开发与共享反机器人技术的经验交流。
Hacking India's largest automaker: Tata Motors7 months agohttps://eaton-works.com/2025/10/28/tata-motors-hack/塔塔汽车公开网站上暴露的AWS密钥导致数百个存储桶中超过70TB的敏感数据泄露。形同虚设的AWS密钥加密被轻易攻破,关键基础设施遭到入侵。Tableau后门程序使攻击者无需密码即可访问内部项目、财务报告和经销商仪表盘。Azuga测试接口密钥暴露导致塔塔汽车试驾车队管理系统被入侵。尽管收到多次报告和跟进,塔塔汽车修复漏洞的响应速度迟缓。这些漏洞暴露出印度最大汽车制造商存在重大安全隐患。
Government Urges Total Ban of Our Most Popular Wi-Fi Router7 months agohttps://www.cnet.com/tech/services-and-software/us-government-urges-total-ban-of...美国因国家安全考虑可能禁止TP-Link路由器TP-Link否认是中国公司,声称其是独立的美国企业TP-Link于1996年在中国成立,后分拆为两家实体,其中TP-Link Systems总部位于加州立法者对TP-Link的安全漏洞及是否遵守中国法律表示担忧TP-Link在美国路由器市场占据主导地位,疫情以来销售额显著增长美国司法部正调查TP-Link是否涉及掠夺性定价策略网络安全专家指出所有路由器均存在漏洞,并非仅TP-Link产品对TP-Link路由器用户的建议包括:更新登录凭证、使用VPN、启用防火墙和Wi-Fi加密建议用户考虑购买支持WPA3认证的新路由器,并定期更新固件