安全

报告:大多数经期和孕期跟踪应用在保护用户隐私方面做得很差

据The Verge报道,根据Mozilla研究人员的最新分析,大多数流行的月经和孕期跟踪应用程序没有强大的隐私保护功能。健康应用程序的隐私政策泄露一直是个问题,但现在堕胎在美国许多地方都是非法的,属于这一特定类别的问题尤其令人担忧。

研究人员演示基于远程电磁精确定位的触屏设备“隐形手指”攻击方法

在上周于拉斯维加斯举办的 Black Hat USA 2022 大会上,来自佛罗里达与新罕布什尔大学的研究人员,演示了如何通过“隐形手指”来远程操控目标设备的触控屏。尽管人们早就知晓电磁场(EMF)可对电子设备产生一些奇怪的影响,但最新实验还揭示了一套更加复杂的技术 —— 通过机械臂和多个天线阵列,远程模拟手指对多个电容式触控屏设备的操作。

微软提醒客户注意俄罗斯黑客组织SEABORGIUM的网络钓鱼攻击

微软最近透露,他们已经发现了一种恶意攻击与俄罗斯的黑客密切相关,因为其背后的目标似乎有利于他们。据说SEABORGIUM黑客组织是这次攻击的幕后黑手,微软进一步表示,他们目前正在调查此事,同时试图追踪他们在服务器中的数字足迹,以确定任何可能进一步使他们受到影响的漏洞。

AI预测30秒内火灾轰燃 中国石油大学参与研究

这段时间天气巨热,天干物燥,也是火灾高发的时候。最近就接连发生了一些火灾事件,还有消防员牺牲的消息,令人心痛。火灾中对消防员威胁很大的,其实是爆燃现象。短短两天,就有两起消防员因为爆燃现象而牺牲的事故。

智能手机紧急警报功能将从10月开始在英国推出

在2021年的局部试验之后,英国政府已经确认,在9月的政府宣传活动之后,自动通知智能手机用户的紧急警报系统将于10月开始推广。该系统将提醒用户高度本地化的事件,如洪水、火灾、极端天气和公共卫生突发事件、恐怖袭击等有可能被添加到可能触发信息的场景列表中。

macOS端Zoom获更新 修复高危安全漏洞

援引国外科技媒体 MacRumors 报道,Zoom 已经发布了新版补丁,修复了存在于 macOS 端应用中的漏洞,允许黑客入侵接管用户的操作系统。安全公告中,Zoom 承认存在 CVE-2022-28756 这个问题,并表示在最新的 5.11.5 版本中已经提供了修复,用户应该理解下载安装。

黑客对拖拉机的越狱行为掀起农民争取维修权的浪潮

世界各地的农民已经转向拖拉机黑客,以便他们能够绕过制造商强加给他们车辆的数字锁。就像胰岛素泵的 "循环 "和iPhone的越狱一样,这使得农民可以修改和修理对他们工作至关重要的昂贵设备。

硬件付费订阅引众怒 黑客向宝马宣战:将免费破解给车主使用

前段时间,宝马宣布将为今后的新车推出远程付费升级服务,包括座椅加热、自适应巡航等功能,客户可以在需要的时候,暂时或者永久付费开通某些功能。韩国和英国等市场,已经上线了部分服务,英国车主每月花15英镑(约合人民币120元)激活加热座椅等设备,或每月花35英镑(42美元)激活主动巡航控制设备。

利用macOS端Zoom安装器漏洞 黑客可以接管你的Mac

一名安全专家近日发现利用 macOS 端 Zoom 应用程序,掌控整个系统权限的攻击方式。本周五在拉斯维加斯召开的 Def Con 黑客大会上,Mac 安全专家帕特里克·沃德尔(Patrick Wardle)在演讲中详细介绍了这个漏洞细节。

隐私的成本,到底有多贵?

欧盟的隐私保护法《通用数据保护条例》(GDPR)今年迎来了六周年。然而多年来,美国全面的数据隐私立法一直停留在国会的待办事项清单上。最近,美国国会推出的《美国数据隐私和保护法案》(ADPPA),仍旧存在许多分歧。

美国悬赏1000万美元追缉勒索软件组织Conti五名主要成员

美国政府宣布将悬赏 1000 万美元,以获取关于有俄罗斯背景的勒索软件团伙 Conti 五名主要成员的相关信息。该赏金是国国务院正义奖 (RFJ) 计划的一部分。本周四,该计划分享了一个名为“Target”的知名 Conti 勒索软件成员的图像,这标志着美国政府首次公开悬赏 Conti 团伙。

知名网络安全记者警告关键基础设施仍面临重大攻击威胁

在拉斯维加斯举办的黑帽大会上,调查记者 Kim Zetter 表示:自 2010 年发现“震网”(Stuxnet)蠕虫病毒以来,针对全球石油 / 天然气管道、电力 / 水厂、以及其它基础设施计算机系统的攻击有急剧增加。但若人们能够积极落实必要的预防措施,去年针对 Colonial Pipeline 的勒索软件攻击,也本该是能够避免的。

[图]破解Starlink卫星终端需要多少成本?25美元

近日在拉斯维加斯召开的 Black Hat Security Conference 峰会上,一名 Lennert Wouters 的比利时研究人员现场演示,成功破解了 SpaceX 的其中一个 Starlink 用户终端。Starlink 是伊隆·马斯克(Elon Musk)旗下私人航天公司 SpaceX 推出的卫星互联网业务,主要为全球偏远地区和网络信号无法覆盖的地区提供网络服务。目前该业务已经发展到 3000 多颗卫星。

被病毒勒索千万美元?美的回应:传闻系谣言 业务系统未受影响

8月11日晚间,@美的集团 官微就“美的受黑客攻击并勒索千万美元”的传闻进行回应。美的集团表示,网传美的遭受病毒勒索系谣言,2022年8月11日,美的集团遭受新型网络病毒攻击,少数员工电脑受到感染,公司各业务系统未受影响,经营正常进行,也没有收到勒索信息。

面对非法堕胎案 Meta扩大了Messenger端对端加密功能

内布拉斯加州一名妇女和她17岁的女儿面临重罪和轻罪指控,她们涉嫌在20周后进行堕胎,这在该州长期以来是非法的,并隐藏了尸体。林肯日报明星报》和Motherboard的报道显示,本周执法部门为这些指控收集证据,部分是通过向Meta公司索取数据,命令该公司交出17岁女孩的Messenger聊天记录。

[图]CISA示警两个Windows和UnRAR漏洞已被黑客利用

美国网络安全和基础设施安全局 (CISA)基于目前掌握的证据,在已知可利用漏洞(Known Exploited Vulnerabilities)目录下新增了 2 个新的漏洞。其中 1 个漏洞存在于 Windows Support Diagnostic Tool (MSDT),并以零日(0-Day)的形式存在 2 年多时间,有充足的证据表明被黑客利用。

印度央行催促借贷应用程序为消费者提供更大的透明度和控制权

印度储备银行公布了它打算对数字贷款公司实施的指导方针,建议给客户更多的透明度和控制权,因为这个南亚国家的中央银行正在采取进一步措施,打击粗制滥造的做法和债权人。

这个荷兰版的“反诈中心” 从勒索病毒手上救下了不少人

最近瑞星威胁情报中心发现了一款由国内开发者制作的,非常有想法的勒索病毒 —— SafeSound。这款病毒可以说把外挂玩家们拿捏的死死的,它会隐藏在《 穿越火线 》、《 绝地求生 》这些游戏的外挂中进行传播。

丹麦7-Eleven便利店受网络攻击致收银系统瘫痪 目前已暂时停业

丹麦境内的多家 7-Eleven 便利店由于受到网络安全攻击,导致店内的支付和结账系统出现瘫痪,无奈选择暂时关门歇业。本次攻击发生于当地时间 8 月 8 日上午,7-Eleven 的丹麦官方 Facebook 账号发布了一条如下动态

研究人员锁定伊朗对阿尔巴尼亚政府实施的网络攻击行为

7月中旬,一场针对阿尔巴尼亚政府的网络攻击使国家网站和公共服务中断了数小时。随着俄罗斯在乌克兰的战争肆虐,克里姆林宫似乎是最可能的嫌疑人。但威胁情报公司Mandiant周四发表的研究报告将这次攻击归咎于伊朗。虽然德黑兰的间谍活动和数字干预已经在世界各地出现,但曼迪安特的研究人员说,来自伊朗对一个北约成员国的破坏性攻击是一个值得注意的行动升级。

成千上万的黑客正涌向"黑暗公用事业":C2-as-a-Service

安全研究人员发现了一种名为"黑暗公用事业"的新服务,它为网络犯罪分子提供了一种简单而廉价的方式,为其恶意行动建立一个指挥和控制(C2)中心。Dark Utilities服务为威胁者提供了一个支持Windows、Linux和基于Python的恶意程序载荷的平台。

Akamai:针对网游行业的网络攻击在一年内增加了167个百分点

Akamai表示,游戏行业不断增长的价值吸引了更多的犯罪分子,他们试图扰乱网络游戏,窃取有价值的玩家的账户。根据Akamai Technologies的一份新报告,针对游戏行业的网络攻击在该行业最近的蓬勃发展中迅速上升。

[图]乌克兰警方捣毁一处用于传播假新闻的机器农场

乌克兰警方近日关闭了设在该国境内、有俄罗斯人运营的大型机器农场(Bot Farm),该农场用于在社交网络上传播有关战争的政治宣传和假新闻。虽然这并不是乌克兰网络警察(SSU)关闭的首个此类农场,却是缴获规模最大的。

以色列警方Pegasus间谍软件原型被曝光

2014年为以色列警方设计的Pegasus间谍软件原型细节和截图显示了该系统的工具和深远的能力,该系统计划在日常警务工作中部署。

面部识别智能手表将被用于监控英国的外国罪犯

根据内政部和司法部的计划,被判定犯有刑事罪的移民将被要求使用安装有面部识别技术的智能手表,每天最多扫描五次面部。今年5月,政府授予英国技术公司Buddi Limited一份合同,以提供非安装设备来监控特定人群,以作为内政部卫星追踪服务的一部分。该计划将从秋季开始在英国各地推行,初期费用为600万英镑。

DuckDuckGo更严格的隐私保护现在也适用于合作伙伴微软的脚本

在5月份披露了DuckDuckGo(DDG)注重隐私的网络浏览器允许第三方网站的微软跟踪脚本之后,该公司现在说它也将开始阻止这些脚本。DuckDuckGo的浏览器默认第三方跟踪器加载保护已经阻止了嵌入在Facebook、Google和其他网站上的脚本,但直到现在,微软来自Bing和LinkedIn域名的脚本(但不是其第三方cookies)都需要通行证。

在被“黑走”1.9亿美元之后 加密货币桥公司Nomad悬赏10%以期追回资金

加密货币公司Nomad宣布悬赏,以期追回在1.9亿美元黑客案中丢失的资金,这一事件再次凸显了数字货币领域的安全漏洞。根据Nomad的声明,无论什么人返还了至少90%的被盗代币,该人都将被视为所谓的“白帽子”,即以发现漏洞而不是恶意获取为目的的黑客。剩余的10%实际上将成为回报。

Cloudflare推出密码学实验 以防范被未来的量子计算机破解

有人说,目前的加密技术在未来可能会被量子计算机破解。为了对此做好准备,Cloudflare正在推出一项后量子实验,以增加对两种混合后量子密钥协议(X25519Kyber512Draft00和X25519Kyber768Draft00)的支持,所有网站所有者都可以报名参加。这些密钥协议将与现有的加密方案一起工作,以确保兼容性。

2.88亿条印度养老基金持有人的身份数据被暴露在互联网

一个包含印度养老基金持有人全名、银行账户号码等信息的巨大数据缓存已在网上浮出水面。安全研究员Bob Diachenko发现两个独立的IP地址存储了超过2.88亿条记录--其中一个IP地址下有约2.8亿条记录,约840万条是第二个IP地址的一部分。该研究人员说,这两个IP地址都公开向互联网暴露数据,但没有密码保护。

湖人老板推特账户被盗 黑客用其进行PS5义卖诈骗

据Kotaku报道,近日,NBA洛杉矶湖人队老板珍妮·巴斯的推特账户被黑客盗取,并在其推特账号上发布有关于PS5的骗局广告。黑客在盗取珍妮·巴斯的账户后,用其账号发文称,作为全球知名球队的拥有者,她将为了慈善事业,把自己手中的三台PS5进行义卖。

AV-TEST遭遇尴尬:官方Twitter账号被黑一周后仍未找回

AV-TEST 和 AV-Comparatives 是两家知名的反恶意软件评估公司。尽管久负盛名,但是前者遇到了一件尴尬的事情:官方 Twitter 账号于 7 月 25 日被黑了,但时间过去 1 周仍未恢复对其的控制。

币圈提款机:Solana钱包出现未知安全漏洞 大量用户数字资产被盗

据网上流传的消息,加密货币Solana(代币:SOL)钱包出现未知的高危安全漏洞,黑客通过漏洞获取到用户钱包的私钥或者助记词,然后直接将钱包资产清空。 目前具体问题还不清楚,但如果用户使用SOL代币钱包请立即将所有资产转移到中心化的交易所进行过渡,防止资产被盗。

收到色情短信后我点开了里面的链接,结果被坑惨了

小伙伴们晚上好,欢迎来看小雷哔哔。前阵子苹果App Store潜伏大量色情App的事登上微博热搜,估计大伙都有看到。好奇心拉满的小雷,也专门跳进果子哥的App海洋里深挖。结果大家都看到了,以纯净应用生态闻名的App Store,还真就藏污纳垢。

MarqVision通过人工智能驱动的知识产权保护平台来抓捕造假者

截至2020年,服装行业因假货而损失了约270亿美元的年销售额,这种非法贸易给品牌和买家都带来了巨大损失。根据2022年知识产权犯罪威胁评估报告,衣服、配件和奢侈品是最受欢迎的造假产品项目。但这并不是问题的起点和终点:数字内容的爆炸性增长也导致了大量数字造假者的出现。

分析人士称俄罗斯电子战系统正在俄乌冲突中发挥更重要的作用

随着俄乌冲突的爆发,双方支持的电子战也在网络上蔓延开来。早前,Website Planet 研究团队已经分享了打着“匿名者”名号的黑客组织攻破了大量俄罗斯网站。现在,又有分析人士指出 —— 随着战期被越拉越长,优势的天平将更加倾向于俄方。

藏不住了!爱快上线 “蜜罐防护”功能,开启后,安全感瞬间拉满

战场上什么最有意思

中国有句古话叫兵不厌诈

这句话,对于企业网络安全防护工作同样适用

诈,是一瞬间的事,是各种假动作

更是蓄谋已久,请“敌人”入瓮的甜蜜诱惑

...

澳大利亚一男子因自15岁起向数万名网络犯罪分子销售间谍软件而被捕

据Techspot报道,一名澳大利亚男子因涉嫌创建并向全球数以万计的网络犯罪分子销售黑客工具而被捕。这名24岁的黑客被指控创建并销售一种远程访问木马,旨在窃取个人信息并监视毫无戒心的目标。该病毒创造者通过销售该工具赚取了30多万美元,其中大部分似乎从其15岁起就被用在了外卖和快递项目上。

多年考量后NIST公布后量子加密和签名算法的首推名单

美国国家标准技术研究所(NIST)近日宣布已持续数年的后量子加密和签名算法竞赛已落下阶段性帷幕,首批获胜者名单已经出炉。在后量子加密上,NIST 首推 CRYSTALS-Kyber 算法,但后期可能会根据表现有所调整。在签名算法上,NIST 首推 CRYSTALS-Dilithium,以及两款同样优秀的备选算法:Falcon 和 SPHINCS+。

俄罗斯运营商曾试图劫持苹果公司的部分互联网流量达12小时之久

在大约12个小时的时间里,俄罗斯的Rostelecom公司多次试图将苹果服务的用户导向自己的服务器,甚至尝试对抗苹果工程师应用的反制措施。Rostelecom是俄罗斯最大的互联网供应商,在超过12小时的时间里,它多次试图劫持用于苹果服务的流量。

美国最新数据显示:73%的雇主承认正在监视员工

北京时间7月28日,据美国最新的一项民意调查显示,73%的雇主承认目前正在利用软件监视他们的员工,包括利用时间追踪、实时位置追踪和屏幕监控等手段,员工们担心,元宇宙的发展会让监控变得更容易。

专家:Pegasus间谍软件的威胁依然存在

专家们于当地时间周三告诉美国众议院情报委员会,政府和科技行业必须合作以保护美国公民不被像Pegasus这样的商业间谍软件盯上。该软件于去年被揭露感染了许多政府官员、人权活动家、记者和其他人的iPhone。

微软阻止一家奥地利公司销售间谍软件 其能够进行未经授权的监控

微软的威胁情报中心(MSTIC)声称它抓住了一家奥地利公司销售间谍软件的证据,该恶意软件实现了针对律师事务所、银行和咨询公司的未获授权的监视任务。微软为此发表了一篇详细的博客,声称一家名为DSIRF的奥地利公司开发并销售名为SubZero的间谍软件,微软方面将其称为Knotweed。

No More Ransom活动上线6年:免费提供136款勒索解密工具

勒索攻击俨然成为近年来最令安全专家、用户、企业头疼的一种攻击方式,通过加密重要数据威胁你支付高额赎金。面对勒索很多时候我们都是非常无力的,要么放弃这些重要的数据要么向黑客低头支付赎金。No More Ransom 倡议活动迎来 6 周岁生日,免费提供了 136 款解密工具恢复你的数据。

允许用户购买“无疫苗精子/卵子”的反疫苗约会网站Unjected被爆数据泄露

一家允许用户购买“mRNA FREE”精子的反疫苗约会网站出现了用户数据泄露事件。该网站名为 Unjected,成立于 2021 年 5 月,声称是互联网上“最大的反疫苗平台”。去年 8 月,该应用违反了苹果关于 COVID-19 的相关策略而遭下架,从而受到了外界的关注。

欧洲的核电站正在滚滚热浪中努力保持安全运行

罗纳河从瑞士阿尔卑斯山的一条冰川涓涓细流开始,迅速转变为世界上工业化程度最高的水道之一。当它蜿蜒穿过法国南部走向地中海时,其冰冷的水被吸入锅炉,通过管道作为冷却剂被吸走,并被转用于农业。在它最大的客户中,有多座核反应堆。自20世纪70年代以来,这条河流及其支流已经帮助产生了法国约四分之一的原子能。

Uber承认隐瞒2016年数据被盗事件 换来美检方不指控

据报道,2016年,美国网约车平台Uber发生了黑客攻击事件,导致5700万用户和司机的个人数据受到影响。日前,该公司和美国检方达成和解协议,Uber宣布为这次事件承担责任,作为交换,该公司也避免了检方的刑事罪名指控。

Uber承认掩盖2016年数据泄漏事件 向黑客支付10万美元比特币

作为和美国检察官达成和解以避免刑事指控的一部分,Uber 科技有限公司本周五表示愿意承担掩盖数据泄露事件的责任,该事件发生于 2016 年,有超过 5700 万乘客和司机的信息被泄露。检察官说,一位 Uber 前安全负责人向黑客支付价值 10 万美元的比特币以掩盖这一事件。

人工智能生成商业图像引发了各种棘手的法律问题

本周,OpenAI授予其图像生成人工智能系统DALL-E 2用户在商业项目中使用其世代的权利,如儿童书籍插图和新闻简报艺术。考虑到OpenAI自己的商业目的,此举是有意义的,其政策改变与该公司为DALL-E 2推出的付费计划相吻合。

黑客以30000美元的价格提供540万个Twitter账户的详细信息

2022年初发现的一个Twitter安全漏洞被用来盗取540万用户的账户信息,黑客正在提供这套资料进行销售。与2021年8月受影响的4.78亿T-Mobile用户相比,540万用户的黑客攻击相比算是很小的。与同月晚些时候受影响的AT&T的7000万用户相比也不算大。

攻防演练进行时|知道创宇赵伟:让安全能力长在云上

大数据时代,云计算、大数据和虚拟化技术的涌现和普及,数字化转型推动企业上云数量持续激增。随着云技术的深度使用,各种针对云原生技术的新型攻击手法不断涌现,促使网络安全运维管理变得日益复杂,云端已然成为红蓝对抗的新战场!

俄罗斯关联黑客组织Cozy Bear利用Google Drive传播恶意文件

俄罗斯关联黑客组织舒适熊(Cozy Bear)曾发起臭名昭著的 SolarWinds 间谍活动,而现在又利用 Google Drive 将魔爪伸向了新的受害者。根据 Palo Alto Networks 旗下 Unit 42 威胁情报团队本周二的报告,有俄罗斯对外情报局(SVR)背景、被美国联邦政府归类为高级持续威胁 APT29 的舒适熊组织利用 Google 的云存储服务隐藏它们的恶意软件和活动。

美媒:姓名、地址、生日......“晒娃”照片泄露孩子多少信息?

不到一个月前,37岁的印度海得拉巴“网红”塞根初为人父。当他在社交媒体上传照片时,总是隐藏儿子的脸。他说:“让妈妈和婴儿与外界隔离40天是古老传统,旨在防止传染病和恶毒目光。40天后,我就发布他的照片。”

有俄罗斯背景的黑客组织骚操作:伪装为反俄应用来传播恶意软件

《孙子兵法》有云:“兵者,诡道也”。在 2500 年后的今天,这句格言也适用于虚拟/物理战场。在俄乌冲突中,来自 Google 的研究人员发现了一款由俄罗斯政府支持的恶意应用程序,它伪装成为亲乌克兰的应用进行传播。

B站自曝去年服务器大崩溃原因 就因为这?

不知道差友们还记不记得,去年的 7 月 13 日,B 站发生了一件大事。它毫无征兆的崩了……( 如果忘了的小伙伴,可以看 这篇文章 )至于为啥崩了,当时大家谁也心里没个底。不过吹起水来可是一套一套的,什么停电啊,起火啊,程序员 rm -rf /* 跑路啊……说的是个天马行空。

阿尔巴尼亚因大规模网络攻击而关闭政府网站和服务

在将大多数公共部门服务转移到在线门户网站仅几个月后,阿尔巴尼亚政府由于网络攻击而被迫关闭其网站。阿尔巴尼亚国家信息社会局在一份与当地新闻机构共享的声明中说,由于 “来自阿尔巴尼亚境外的同步和复杂的网络犯罪攻击”,它“被迫暂时关闭在线公共服务和其他政府网站的访问”。

安全研究人员发现针对工业运营商的恶意软件

互联网为骗子和网络犯罪分子带来了非法赚钱的无限可能。通常方式包括勒索软件、商业电子邮件泄露、网络欺诈和网络钓鱼都是信息安全界众所周知的。然而,在一次例行的漏洞评估中,Dragos的研究人员发现了一种规模较小针对工业工程师和操作员的勒索技术。

Conti勒索软件集团是如何使哥斯达黎加陷入瘫痪 然后自身又分崩离析的

在总统拒绝支付终止网络攻击的费用后,尽管黑客组织已经垮台,但整个国家仍在苦苦挣扎。今年4月,一个名为Conti的俄罗斯勒索软件组织从哥斯达黎加的财政部入手,掀起了27个部门一系列相互关联的攻击。

科技公司纷纷反对 英国网络安全法案搁置

英国备受期待的网络安全法案被搁置,这让科技行业松了一口气。最近几周,科技公司纷纷表达了对该法案的担忧。这项立法草案的目的是要求谷歌、Facebook和Twitter等科技公司处理平台上的有害内容,包括种族歧视、威胁霸凌,以及给读者造成心理压力的内容等。

DHS首份网络安全审查委员会报告认为Log4j已成为待续性威胁

负责调查全球计算机网络安全事件的独立机构周四表示,去年年底被广泛利用的Apache Log4j Java库中发现的漏洞在未来许多年里仍将是一个威胁。美国国土安全部网络安全审查委员会的首份报告发现,尽管联邦和私营部门的组织努力保护他们的网络,但Log4j已经成为一个"区域性漏洞"--这意味着这个无处不在的软件库的未打补丁版本将在未来十年,甚至更长时间内留在系统中。

Barracuda:工业系统面临重大攻击威胁 安全防御仍严重滞后

在调查访问了 800 名高级 IT 与安全官员后,云安全公司 Barracuda 在《2022 工业安全状况报告》中指出 —— 针对工业系统的重大攻击正在增加,但保护这些系统的安全努力仍相当落后。可知在过去 12 个月里,94% 的受访者在其工业物联网(IIoT)或运营技术(OT)系统上经历了某种形式的攻击。

加载中...

精彩评论

全部展开

CBer 热度


created by ceallan