HackerNews

HackerNews 编译，转载请注明出处： 肯尼亚政府本周一上午遭遇网络攻击，多个部委官网被黑客篡改并悬挂种族主义信息长达数小时。攻击者将政府部门网站标记上白人至上主义标语。 包括内政部、卫生部、教育部、能源部、劳工部及水资源部在内的多个政府官网遭黑客接管。肯尼亚内政部发布公告确认此次事件，称多个政府网站因攻击暂时无法访问。 政府声明称：”初步调查显示，此次攻击疑似由自称‘PCP@肯尼亚’的组织实施。事件发生后，我们立即启动事件响应与恢复程序，协同相关各方减轻影响并恢复平台访问。目前局势已得到控制，系统正处于持续监控状态。” 内政部呼吁民众若掌握任何关于此次网络攻击的信息，立即联系国家肯尼亚计算机事件响应小组。 值得注意的是，与肯尼亚接壤的索马里刚于前一天报告其移民与公民事务局遭遇网络攻击。索马里政府表示发现通过电子签证入境人员的资料遭泄露，该机构正在调查事件并确定受影响人数范围。 美国驻索马里使馆指出，此事与11月11日出现的指控相关——当时黑客声称渗透该国电子签证系统，可能泄露”至少3.5万人的个人数据，其中包括数千名美国公民”。使馆补充说明：”泄露数据包含签证申请人的姓名、照片、出生日期与地点、电子邮箱、婚姻状况及家庭住址。虽然摩加迪沙使馆无法确认具体个体数据是否遭泄，但所有申请过索马里电子签证的人员都可能受到影响。” 截至周一下午，尚未有任何黑客组织宣称对这两起事件负责。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周五，科技制造商罗技向美国证券交易委员会提交文件，证实遭遇一起利涉及零日漏洞的网络安全事件。该公司表示，调查发现黑客“利用某第三方软件平台的漏洞，从内部IT系统复制了特定数据”。 罗技表示，他们已在软件平台供应商发布补丁后立即修复该零日漏洞。“受影响数据可能包含有限的员工与消费者信息，以及客户和供应商相关数据，但未涉及国民身份证号或信用卡信息等敏感个人信息。” 公司同时称此次攻击未影响其产品、业务运营或制造体系，预计不会造成财务影响，相关成本将由网络安全保险承担。 此次文件提交距网络犯罪组织Clop宣称通过甲骨文 E-Business Suite工具中的零日漏洞窃取罗技信息已过去一周。 虽然罗技发言人拒绝证实该事件是否涉及Clop组织或甲骨文漏洞，但谷歌等安全公司的报告显示，黑客确实利用了甲骨文电子商务套件中的多个漏洞，其中至少一个零日漏洞已于9月被列入联邦观察名单。 Clop组织最初于10月宣称通过该应用窃取了敏感信息。 甲骨文方面虽承认黑客利用漏洞发起攻击，但最初称这些漏洞已在7月更新中修复。 FBI助理局长布雷特·莱瑟曼曾强调，其中某个漏洞属于“立即停工修复”级别的重大安全隐患。 随着事件发酵，多家机构相继确认数据遭窃，包括美国地区航空公司GoJet、SkyWest等。《华盛顿邮报》上周向监管机构报告称，近万人在此次事件中信息泄露。自宣称对甲骨文电子商务套件零日漏洞利用负责以来，Clop已在泄密网站列出数十家受害机构。 据悉，Clop近年来通过利用Progress、Accellion和GoAnywhere等知名文件传输工具中的漏洞，已非法获利数亿美元。       消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部周五宣布，五名涉案人员对协助朝鲜IT工作者实施欺诈的指控表示认罪。这些人员通过盗用美国公民身份，帮助朝鲜IT工作者获取在美国企业的工作机会，违反了国际制裁规定。 这五名人员包括奥德里库斯·法格纳赛、杰森·萨拉查、亚历山大·保罗·特拉维斯、奥列克桑德·迪登科和埃里克·恩特克雷兹·普林斯。其中法格纳赛、萨拉查和特拉维斯在2019年9月至2022年11月期间，明知故犯地允许境外IT工作者使用他们的美国身份入职美国公司。 这三名被告还充当协调人，将公司配发的笔记本电脑安置在自己住所，并擅自安装远程桌面软件，制造这些IT工作者是在美国境内远程工作的假象。更甚的是，萨拉查和特拉维斯还曾代替境外IT工作者接受雇主的药检。 乌克兰籍的迪登科则通过其运营的网站”Upworksell.com“，盗用美国公民身份并将其出售给IT工作者，帮助他们成功入职40家美国公司。迪登科还通过在美国境内设立”笔记本电脑农场”的方式，为境外IT工作者提供设备托管服务。据悉，他管理的虚假身份多达871个，并同意上缴超过140万美元的非法所得。 普林斯则通过其创立的Taggcar公司，在2020年6月至2024年8月期间向美国企业输送”认证”IT工作者，并在其佛罗里达住所运营笔记本电脑农场，从中获利超过8.9万美元。 美国司法部指出：”这些欺诈性就业计划共影响超过136家美国受害企业，为朝鲜政权创造了超过220万美元收入，并危及18名美国公民的身份安全。” 作为系列执法行动的一部分，美国司法部还提交了两项民事没收诉讼，要求没收2025年3月从朝鲜黑客组织APT38处查获的价值超过1500万美元的加密货币。这些数字资产被指控是通过攻击境外虚拟货币平台非法获取。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日披露一系列影响人工智能推理引擎的关键漏洞，波及Meta、英伟达、微软及vLLM、SGLang等开源项目。这些被统称为”ShadowMQ”的安全隐患，均源于ZeroMQ与Python pickle反序列化的不安全使用模式。 漏洞根源可追溯至Meta Llama大型语言模型框架中的一个缺陷（CVE-2024-50050）。该框架通过ZeroMQ套接字在网络暴露，并利用recv_pyobj()方法对传入数据执行pickle反序列化，使得攻击者可通过发送恶意数据实现任意代码执行。 研究机构Oligo发现，相同的不安全模式已在多个推理框架中重现：英伟达TensorRT-LLM（CVE-2025-23254，已修复）、微软Sarathi-Serve（未修复）、Modular Max Server（已修复）、vLLM（CVE-2025-30165，默认引擎切换）及SGLang（不完全修复）。调查显示，这些漏洞多源于直接复制粘贴代码行为——例如SGLang承认适配vLLM代码，而Modular Max Server则同时借鉴了这两个项目的逻辑。 作为AI基础设施的核心组件，推理引擎一旦被攻陷，攻击者可在集群中执行任意代码、提升权限、窃取模型，甚至部署加密货币挖矿程序等恶意负载。研究人员指出：”项目开发速度惊人，借鉴架构组件已成常态，但当代码复用包含不安全模式时，后果将快速扩散。” 同期另一报告显示，AI代码编辑器Cursor的内置浏览器同样存在风险，可通过JavaScript注入技术窃取凭证，恶意扩展程序更可能使开发者工作站完全失控。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 以色列国家数字机构（INDA）近日披露，伊朗国家支持的威胁组织APT42正在针对伊斯兰革命卫队（IRGC）关注的重点目标展开新一轮间谍活动。该行动被命名为”SpearSpecter”，自2025年9月初持续活跃至今。 研究发现，攻击者系统性地瞄准高级国防和政府官员，采用高度个性化的社交工程手段：通过邀请目标参加知名会议或安排重要会晤建立信任关系。值得注意的是，攻击范围甚至延伸至目标人物的家庭成员，以此扩大攻击面并对主要目标施加更大压力。 APT42组织（亦被称为APT35、Charming Kitten等）自2022年底被公开披露以来，一直以实施极具说服力的长期社交工程攻击著称。攻击者会伪装成目标熟识的联系人，经过数日甚至数周的信任培养后，才发送恶意载荷或诱导点击陷阱链接。 INDA研究人员指出，SpearSpecter campaign展现出高度灵活性——攻击者会根据目标价值和行动目标调整策略。部分攻击将受害者重定向至仿冒会议页面以窃取凭证；若旨在获取长期访问权限，则会部署近年来反复出现的PowerShell后门TAMECAT。 具体攻击链显示，攻击者冒充可信的WhatsApp联系人，发送伪装成会议所需文件的恶意链接。点击后通过”search-ms:”协议处理程序，最终投递托管于WebDAV的Windows快捷方式文件（伪装成PDF）。该LNK文件会连接Cloudflare Workers子域名获取批处理脚本，进而加载具备模块化功能的TAMECAT后门。 这款PowerShell框架特别采用HTTPS、Discord和Telegram三重通信信道进行命令控制，确保即使某个通道被阻断仍能维持访问权限。其功能包括：实施系统侦察、窃取特定类型文件、盗取浏览器数据、收集Outlook邮箱内容，并以15秒间隔持续截屏。所有窃取数据均通过HTTPS或FTP外传。 TAMECAT还采用多种隐身技术：加密遥测数据与控制载荷、混淆源代码、利用合法系统工具隐藏恶意行为，且主要内存运行以减少磁盘痕迹。 INDA总结称：”SpearSpecter campaign的基础设施融合了敏捷性、隐蔽性和操作安全性，展现出针对高价值目标实施长期间谍活动的精密能力。攻击者通过混合使用合法云服务与自控资源，实现了无缝初始访问、持久命令控制和隐蔽数据外泄。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现 GoSign Desktop 存在两项关键漏洞：TLS 证书验证禁用漏洞与未签名更新机制漏洞。 GoSign 是由 Tinexta InfoCert 公司开发的高级合格电子签名解决方案，被公共机构、企业及专业人士用于管理具有可追溯性和安全性的审批流程。该产品的 SaaS / 网页版已获得意大利国家网络安全局（ACN）的 “QC2” 认证。 QC2 认证证明服务具备安全处理关键数据的能力，包括公共机构处理的数据。根据 ACN 2024 年 8 月 1 日生效的法规，面向公共实体的云服务提供商必须满足严格的安全与弹性要求。此认证允许公共机构采用经认证的解决方案，以保护敏感数据并确保核心服务的连续性。本文通报的 GoSign Desktop 是本地部署版本，适用于微软 Windows、Linux Ubuntu 及苹果 macOS 系统。 漏洞描述 研究人员在 Tinexta InfoCert 开发的 GoSign Desktop 软件中发现关键漏洞。该平台广泛用于电子文档的签名、验证和管理，仅 2021 年就有 160 万人使用它完成了超过 8.3 亿次签名交易，足见其在意大利及欧洲数字生态系统中的核心地位。 当 GoSign Desktop 配置为使用代理服务器时，会禁用 TLS 证书验证（SSL_VERIFY_NONE），导致加密通信过程中无法确认服务器身份，用户易遭中间人（MitM）攻击。此外，其更新机制依赖未签名的清单文件，所有安全性均依赖本就未经过验证的 TLS 协议。 已验证的攻击场景 恶意软件安装（严重）：网络攻击者可推送虚假更新，完全控制用户设备。 凭证窃取（高危）：敏感访问数据可能被拦截。 权限提升（高危）：在 Linux 系统中，本地用户可通过恶意更新提升权限。 漏洞分析 1. TLS 验证绕过 GoSignDesktop 进程通过 libdgsapi.so 和 libcurl.so 库调用SSL_CTX_set_verify(mode=SSL_VERIFY_NONE)，直接禁用 TLS 证书验证，使 TLS 通道的安全属性完全失效。 受影响版本： GoSign Desktop 2.4.0（Windows） GoSign Desktop 2.4.0（Linux） GoSign Desktop 2.4.0（macOS）—— 经厂商确认 1.1 不安全的更新机制 更新过程依赖包含更新包 URL 和哈希值的未签名清单文件。中间人攻击者可修改该清单、替换更新包，并提供匹配的 SHA-256 哈希值，最终实现远程代码执行。 1.2 已验证的安全影响 OAuth 密钥泄露 远程代码执行（RCE） 权限提升 鉴于漏洞严重性，已向意大利国家网络安全局 / 意大利计算机应急响应小组（ACN/CSIRT Italia）报告。 1.3 CVSS 3.1 评分 得分：8.2（高危） 向量：AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H 1.4 CWE 映射 CWE-295：证书验证不当 CWE-347：加密签名验证不当 CWE-200：敏感信息向未授权主体泄露 2. 攻击场景详情 2.1 中间人攻击 使用代理时，客户端会接受自签名证书，攻击者可拦截 OAuth 密钥、JWT 令牌、刷新令牌，并篡改更新清单，最终完全控制用户系统。 2.2 权限提升 本地攻击者可修改~/.gosign/dike.conf配置文件，强制推送恶意更新，进而实现权限提升。 漏洞验证视频：https://www.ush.it/team/ush/hack-gosign-desktop_240/gosigndesktop_mitm_poc.mp4漏洞利用代码：https://www.ush.it/team/ush/hack-gosign-desktop_240/ 临时解决方案与修复情况 GoSign Desktop 2.4.1 版本（2025 年 11 月 4 日发布）已修复部分漏洞： 远程代码执行（RCE）—— 已修复 权限提升 —— 已修复 因 TLS 绕过导致的信息泄露 —— 未修复（配置代理时仍禁用 TLS 证书验证） 研究人员首次联系厂商后，通过加密邮件及厂商要求的 Teams 会议（2025 年 10 月 16 日 15:00），向其提供了漏洞所有技术细节、漏洞验证代码（PoC）及缓解建议。参会人员包括 InfoCert 安全官与 GoSign Desktop 产品经理，厂商在会议中确认了漏洞存在，并同意将 2025 年 10 月 31 日定为修复发布的合理截止日期。 但此次会议后，厂商终止了所有沟通，未提供任何更新，也未回应后续联系请求。2025 年 11 月 4 日，厂商悄然发布了 2.4.1 版本修复包，未发布任何公告，也未按要求在更新日志中致谢漏洞披露者。 目前，研究人员已就厂商未遵守负责任披露最佳实践的行为，向 ACN/CSIRT Italia 通报。 披露时间线 2025 年 10 月 03 日：发现漏洞 2025 年 10 月 04 日：开发漏洞验证代码 2025 年 10 月 04 日：首次尝试联系 InfoCert 公司 2025 年 10 月 04 日：同步向 ACN/CSIRT Italia 通报 2025 年 10 月 04 日：收到 ACN/CSIRT Italia 的收悉确认，等待后续进展 2025 年 10 月 07 日：收到 InfoCert 网络安全运营团队回复 2025 年 10 月 07 日：向厂商共享技术细节与证据 2025 年 10 月 09 日：InfoCert 确认收到报告，称问题正在调查中 2025 年 10 月 16 日：与 InfoCert 举行技术会议，确认漏洞影响超 100 万用户，共享完整技术细节与修复建议 2025 年 10 月 26 日：向厂商发送更新请求，未获回应 2025 年 11 月 04 日：2.4.1 版本发布，厂商未做任何沟通，无更新日志 2025 年 11 月 08 日：再次发送解释与更新请求，未获回应 2025 年 11 月 14 日：向 ACN/CSIRT Italia 提交关于厂商不当处理披露流程的报告 2025 年 11 月 14 日：发布本漏洞通报     消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯港口运营商 “港口联盟”（Port Alliance）表示，其数字基础设施关键部分遭遇 “境外” 网络攻击，运营中断已进入第三天。这是俄乌冲突背景下，影响关键设施的一系列网络安全事件中的最新一起。 该公司在周四的声明中称，攻击者发起了分布式拒绝服务（DDoS）攻击，并试图入侵其网络。港口联盟指出，攻击目标是破坏该公司通过波罗的海、亚速 – 黑海、远东及北极地区海港开展的煤炭和矿物肥料出口相关业务，扰乱运营秩序。 尽管此次攻击规模大、强度高，但公司表示旗下码头及相关设施仍正常运转。“所有关键系统保持可用，港口和码头的业务流程未受影响。” 据港口联盟透露，黑客动用了包含 1.5 万多个全球唯一 IP 地址的僵尸网络，其中部分 IP 来自俄罗斯境内，且不断更换攻击策略以规避安全防御。 港口联盟在多条关键运输线路运营着 6 个海运码头，煤炭和矿物肥料的年货运量超 5000 万吨。目前该公司未指明攻击来自特定黑客组织。 自 2022 年俄罗斯对乌克兰发起特别军事行动以来，针对交通物流网络的网络攻击愈发频繁。俄乌双方黑客频繁使用 DDoS 攻击，扰乱对方基础设施。 同日，乌克兰 WOG 加油站连锁企业报告遭遇大规模网络攻击，其在线服务暂时中断，当晚恢复正常，但未披露更多细节。 盟国也面临数字威胁。本周早些时候，丹麦政府及多家国防企业的网站遭 DDoS 攻击短暂下线，丹麦当局称攻击可能源自俄罗斯。亲俄组织 “NoName057” 声称对此次攻击负责，但其说法的真实性难以核实。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 威胁行为者在网络犯罪论坛上发帖，声称已成功入侵三星，并正在出售据称属于该公司的内部数据。 该黑客在帖子中称，他们入侵了一家为多家大型公司提供服务的三方承包商，这表明此次据称的泄露事件潜在影响范围可能不仅限于三星。 根据攻击者的说法，该承包商的访问权限为其打开了通往三星部分基础设施的大门，特别是MSSQL数据库和AWS S3存储桶。 帖子中列出了据称被窃取的数据，包括： 源代码 私钥 SMTP凭证 配置文件 硬编码凭证 用户个人身份信息 泄露数据 该行为者还发布了数据样本，经Cybernews研究团队查验，其中包含一些内部Java项目结构的文件树。这表明可能存在源代码泄露，且很可能包含硬编码凭证，但未提供相关示例。 Cybernews研究人员解释道：“从员工信息来看，我们可以判断这些数据具体属于三星麦迪逊。这是一家提供医疗设备的公司，是三星电子家族的一部分，但仍以自己的公司结构运营。” 几张据称被窃数据库的截图包含了员工的联系信息，如电子邮件和用户名。从截图中无法确定这些用户名的具体用途。表名暗示其中可能还包含管理员凭证。 我们的研究人员表示：“仅泄露的电子邮件就可能导致员工遭受钓鱼攻击等社会工程攻击。” “如果其他表中存在密码，这些密码可能被用于凭证填充攻击。如果用户在其他地方重复使用了这些密码，则可能导致账户被接管。” 黑客以“一次性买断”为噱头出售窃取的数据集，并要求使用门罗币支付——这是网络黑市偏爱的加密货币。被盗数据集的售价尚未公布。 第三方漏洞已成痛点 此次关于第三方遭入侵的说法反映了网络犯罪领域的一个更广泛趋势。威胁行为者越来越多地瞄准供应链中的薄弱环节，而不是直接攻击通常防护严密的公司网络。 不幸的是，一家供应商被攻破就可能危及数十家大型企业。近年来已发生多起此类破坏性攻击，包括利用MOVEit文件传输软件零日漏洞的全球性网络窃取事件。通过利用该关键漏洞，与俄罗斯有关联的Cl0p勒索软件组织得以访问并窃取了大量敏感数据。 此前，Fortra的GoAnywhere托管文件传输软件中的一个漏洞，曾导致宝洁、壳牌、日立、Hatch Bank、Rubrik、维珍等众多公司被同一黑客组织入侵。 就在本月，芒果时装连锁店因第三方遭入侵而导致客户数据泄露。 9月，哈罗德百货公司透露，其一家第三方供应商遭遇网络攻击，导致43万名客户信息泄露。 8月，美国三大信用报告机构之一环联披露，黑客入侵其一款第三方应用程序，导致超过400万美国客户数据暴露。 5月，玛莎百货因第三方供应商遭受钓鱼攻击，遭遇了Scattered Spider勒索软件组织长达一个月的攻击，给公司造成了超过4亿美元的损失。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现一款恶意Chrome扩展程序，该程序伪装成合法以太坊钱包，实则具备窃取用户助记词的功能。 这款名为“Safery: Ethereum Wallet”的扩展由威胁攻击者描述为”具备灵活设置的以太坊加密货币安全管理钱包”，于2025年9月29日上传至Chrome应用商店，最近更新日期为11月12日。截至发稿前仍可下载。 Socket安全研究员基里尔·博伊琴科指出：”该扩展虽被宣传为简易安全的以太坊钱包，实则包含通过Sui地址编码助记词的后门，并从攻击者控制的Sui钱包发起微交易实施窃取。” 该浏览器插件的恶意代码专门设计用于窃取钱包助记词，其通过将助记词编码为虚假Sui钱包地址，随后从硬编码的攻击者控制钱包向这些地址发送0.000001 SUI微交易。这种手法的最终目标是将助记词隐藏在看似正常的区块链交易中进行走私，无需架设C2服务器接收信息。交易完成后，攻击者可通过解码收款地址重建原始助记词，最终转移全部资产。 Koi安全团队在分析报告中强调：”该扩展通过将助记词编码为虚假Sui地址并发送微交易实施窃取，攻击者仅需监控区块链、将地址解码回助记词即可清空受害者资产。” 为应对此类威胁，建议用户坚持使用可信钱包扩展。安全防护人员应扫描扩展是否包含助记词编码器、合成地址生成器及硬编码助记词，并阻断在钱包导入或创建期间执行链上写入操作的扩展。 博伊琴科补充道：”该技术使威胁攻击者能轻松切换链和RPC端点，依赖域名、URL或特定扩展ID的检测手段将失效。对于浏览器中意外的区块链RPC调用应保持高度警觉，特别是当产品宣称仅支持单链时。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局周三将WatchGuard Fireware操作系统中的一个关键安全漏洞列入已知被利用漏洞目录，该漏洞正被活跃利用。 涉事漏洞编号为CVE-2025-9242，属于越界写入漏洞，影响Fireware OS 11.10.2至11.12.4_Update1、12.0至12.11.3及2025.1版本。WatchGuard已于今年9月发布补丁。 CISA在公告中指出：”WatchGuard Firebox在OS iked进程中存在越界写入漏洞，可能允许远程未认证攻击者执行任意代码。”网络安全公司watchTowr Labs上月披露漏洞细节，称该问题源于IKE握手过程中对标识缓冲区缺少长度检查。 安全研究员麦考利·哈德森指出：”服务器确实尝试进行证书验证，但验证操作在易受攻击代码运行之后才执行，导致认证前即可触发漏洞路径。”WatchGuard在2025年10月21日的公告更新中表示，已发现漏洞被活跃利用的证据，并分享了三个相关攻击指标： 携带异常巨大IDi载荷的IKE_AUTH请求日志 成功利用时iked进程会中断VPN连接 无论利用是否成功，iked进程均会崩溃并生成故障报告 根据Shadowserver基金会监测数据，截至2025年11月12日，全球仍有超过5.43万台Firebox设备受此漏洞影响。扫描数据显示美国有约1.85万台存在漏洞的设备，意大利、英国、德国和加拿大分别以5400台、4000台、3600台和3000台位列前五。联邦民事行政机构需在2025年12月3日前完成补丁安装。 同期CISA还将Windows内核漏洞与Gladinet Triofox访问控制漏洞列入KEV目录。谷歌Mandiant威胁防御团队确认后者被追踪为UNC6485的威胁组织利用。 漏洞影响速览 漏洞类型：越界写入（CVE-2025-9242） 威胁等级：高危（CVSS 9.3） 受影响设备：全球5.43万台Firebox 主要风险：无需认证的远程代码执行 修复期限：联邦机构需于12月3日前完成修补     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 由多国执法机构组成的国际联盟周四宣布，已成功摧毁全球网络犯罪分子广泛使用的三大恶意软件工具。这项代号为”终局行动”的专项打击从欧洲刑警组织海牙总部协调指挥，最新阶段成功瓦解了Rhadamanthys信息窃取器、VenomRAT远程访问木马以及Elysium僵尸网络。 此次行动始于11月10日，欧洲刑警组织称已铲除”导致全球数十万用户感染恶意软件“的基础设施。参与方包括澳大利亚、比利时、加拿大、丹麦、法国、德国、希腊、立陶宛、荷兰、英国和美国当局。 行动期间，VenomRAT工具的主要嫌疑人在希腊落网（本月早些时候被捕，姓名与国籍未公开），执法部门同步对11处地点实施突击搜查（德国1处、希腊1处、荷兰9处），查封20个域名并在全球范围关停或干扰逾1025台服务器。 欧洲刑警组织透露，被摧毁的恶意软件基础设施”包含数十万台受感染计算机，窃取凭证数量达数百万条”，且多数受害者对此毫不知情。”信息窃取器主犯掌握超过10万个属于受害者的加密钱包，潜在价值高达数百万欧元。” 目前约有200万个受影响邮箱地址及740万条密码可供查询。民众可访问politie.nl/checkyourhack与haveibeenpwned.com网站核查设备是否受损并获取应对指南。 “终局行动”官网已发布关于摧毁Rhadamanthys信息窃取器的宣传视频，显示执法机构正追查其开发运营者及客户群体，鼓励知情者提供线索。VenomRAT的明网站点现已被接管，页面醒目提示：”执法机构已查封该域名相关数据库及信息，任何运营或使用此类网络犯罪服务者将面临调查与起诉。” 此次行动延续了2024年首次行动中”史上最大规模僵尸网络打击”的凌厉攻势，今年早前第二阶段则直接针对勒索软件生态中的核心人员。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国与欧洲政府机构于周四联合发布最新技术通告，帮助企业防御自2023年起持续攻击中小型企业的Akira勒索软件团伙。这份对2024年4月原始通告的更新文件，新增了该组织在攻击中利用的策略与漏洞清单。 据通告显示，截至9月下旬，Akira团伙据信已通过勒索攻击获利超2.44亿美元。”Akira勒索软件不仅窃取资金，更破坏支撑医院、学校及企业运转的核心系统，”FBI网络部门助理主任布雷特·莱瑟曼指出，”每个受入侵的网络背后，都是真实的人群和社区在遭受冷酷网络罪犯的伤害。” 除FBI外，美国国防部、卫生与公众服务部共同参与了通告修订，欧洲刑警组织及法国、德国与荷兰执法机构也介入此次更新。该团伙据称主要瞄准制造业、教育、信息技术及医疗保健领域。 攻击手法揭秘 多家机构披露：”Akira威胁行为体通过窃取登录凭证或利用CVE-2024-40766等漏洞，获取SonicWall等VPN产品的访问权限。在某些案例中，他们通过初始访问中介或暴力破解VPN终端，凭借被盗VPN凭证实现初始入侵。此外，攻击者还部署密码喷洒技术，使用SharpDomainSpray等工具窃取账户凭证。” 该组织同时滥用AnyDesk、LogMeIn等远程访问工具维持对受害者网络的控制，并混入管理员活动以隐藏行踪。在部分事件中，应急响应人员发现Akira会卸载终端检测与响应系统。FBI警告称，在某些案例中攻击者在获得初始访问权限后仅两小时即完成数据窃取。 与Conti团伙的潜在关联 通告明确指出Akira与已解散的Conti勒索团伙存在联系，Conti在俄罗斯入侵乌克兰前夕解散前曾发动多起高关注度攻击。网络安全与基础设施安全局网络安全部门执行助理主任尼克·安德森在记者会上确认，Akira”可能与已解散的Conti勒索团伙存在某些关联”，但拒绝透露其是否与俄罗斯政府存在联系。 莱瑟曼补充说明：”虽然Akira与俄罗斯政府无直接关联，但我们确知Conti勒索团伙曾一度在俄罗斯境内活动，且部分成员可能与该组织存在联系。如同任何采用联盟计划的勒索组织，其成员可能遍布全球各地。” 重大攻击事件追溯 研究人员早前指出Akira与Conti勒索软件存在深度相似性，区块链分析显示多笔Akira赎金交易流向了Conti领导团队关联钱包。该团伙近期声称对BK Technologies公司发起网络攻击——这家佛罗里达企业为美国国防承包商及数十个警局、消防部门生产无线电设备。该公司上月向投资者预警9月遭遇安全事件，黑客窃取了非公开信息及现任/前任员工数据。 Akira还宣称对斯坦福大学、多伦多动物园、南非国有银行、外汇经纪商伦敦资本集团等数十个知名机构实施攻击。通告同时为受勒索团伙影响的K-12学校提供了专项防护建议。安德森强调：”Akira等组织带来的勒索威胁真实存在，各机构需严肃对待并迅速实施防护措施。”   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个被遗弃在互联网上的数据库导致英国历史影像档案馆”弗朗西斯·弗里斯”超过30万条用户记录暴露。该无需认证的Elasticsearch数据库最初由Cybernews研究人员发现，其中包含用户个人信息及私密消息。 成立于1860年的弗朗西斯·弗里斯公司坐落于索尔兹伯里，以其珍藏的1860至1970年间英国城镇乡村历史照片闻名。公司主要销售基于这些珍贵档案的冲印照片、书籍及个性化影像制品。研究人员通过泄露信息中提及的英国遗产网站francisfrith.com锁定数据源，最终确认属于负责该公司产品制造的Heritage Resource Management Ltd客户。 经分析，该开放数据库内含用户全名、邮箱地址及部分通过私信透露的实体住址，近4.4万条客户咨询记录同时曝光。泄露数据涵盖新旧账户，最早可追溯至近二十年前的2006年。 尽管未涉及金融账户或密码，但泄露数据仍构成重大隐私威胁——尤其对在消息中透露家庭住址的用户影响更甚。网络安全研究人员警告，攻击者可能利用这些信息冒充弗朗西斯·弗里斯品牌实施精准网络钓鱼：受影响的用户或收到关于定制照片马克杯或书籍订单的伪造邮件。 此类钓鱼邮件通常诱导用户访问恶意网站，进而窃取账户凭证或信用卡信息。这些网站还可能暗藏键盘记录恶意软件，若用户误装可能导致财务账户被清空。 Cybernews团队已联系该公司及英国社区应急响应小组，涉事数据库随后被安全加固。但截至发稿前，该公司未就事件作出任何回应。     消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： SAP近日发布2025年11月安全更新，共修复19项安全漏洞，其中包含SQL Anywhere Monitor组件中一处可导致远程代码执行的严重缺陷。 该漏洞编号为CVE-2025-42890（CVSS评分10.0），属于SQL Anywhere Monitor（非图形界面版）的密钥与密钥管理缺陷。安全公告指出，组件中存在的硬编码凭证允许攻击者执行任意代码，严重威胁系统机密性、完整性与可用性。 公告声明：”SQL Anywhere Monitor（非图形界面版）将凭证直接嵌入代码，导致资源或功能暴露给非目标用户，使攻击者可能实现任意代码执行。这将对系统保密性、完整性和可用性造成重大影响。”专家建议临时禁用SQL Anywhere Monitor并删除所有现有监控数据库实例。 同时，SAP还修复了SAP Solution Manager中编号CVE-2025-42887（CVSS评分9.9）的严重代码注入漏洞。该缺陷源于输入验证缺失，攻击者可在调用远程功能模块时插入恶意代码。公告强调：”由于缺乏输入验证，SAP Solution Manager允许经过身份验证的攻击者在调用远程功能模块时插入恶意代码。这可能使攻击者获得系统完全控制权，从而对系统机密性、完整性和可用性产生重大影响。” 此外，SAP还针对10月补丁日发布的安全笔记推出更新，修复了SAP NetWeaver AS Java中涉及不安全反序列化的严重漏洞（CVE-2025-42944）。目前尚未确认本月修复的安全漏洞是否已被主动利用。   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 周二，德国检方宣布，一名疑似极右翼分子因涉嫌通过暗网网站策划刺杀高级政要被逮捕。据联邦检察官办公室透露，49岁德波双国籍嫌疑人马丁·S已于本周早些时候在多特蒙德落网。 该嫌疑人被指控创建网络平台，通过募集加密货币捐款来资助其针对多名民选官员发布的”死刑令”。该网站不仅包含制造爆炸物的指导手册，还披露潜在受害者的个人信息，据信自今年6月起持续活跃。 德国媒体报道该网站目前已被关闭。虽然官方未公开目标人物名单，但《明镜周刊》披露其包括前总理安格拉·默克尔与奥拉夫·肖尔茨，以及多名前部长与其他公众人物。警方还查获针对数十名政客、法官和检察官的”犯罪档案”与”死刑判决书”，以及涉及种族主义、反犹太主义和阴谋论的宣传材料。 该嫌疑人自2020年因参与新冠抗议活动引起安全部门注意。调查显示其长期与多特蒙德新纳粹势力保持联系，并频繁参加极右翼集会。当地媒体将马丁·S与”帝国公民运动”关联——该组织否认现代德国合法性，坚称1945年前的德意志帝国仍应存续。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国正组建一支专项打击组，旨在清剿遍布东南亚的电诈窝点。过去五年来，这些犯罪网络已从美国民众手中窃取超百亿美元资金。 财政部宣布，该”电诈中心打击组”将由来自司法部、特勤局、国务院及联邦调查局的探员与检察官组成。该团队将重点针对缅甸、柬埔寨与老挝地区，”调查、瓦解并起诉性质最恶劣的东南亚电诈中心及其头目”。相关机构计划通过制裁、资产没收及刑事起诉等手段端除电诈窝点，同时为受害者提供部分赔偿并开展反诈宣教。 据官方统计，2024年仅因东南亚”杀猪盘”、虚假投资骗局及欺诈性加密货币平台，美国居民损失金额就高达至少100亿美元。目前仅少数受害者向联邦调查局报案，且极少数人能追回资金——更多人因此倾尽毕生积蓄。 财政部高官约翰·赫尔利指出：”盘踞在缅甸的犯罪网络正通过网络骗局从勤劳的美国民众手中掠夺数十亿美元。这些网络同时从事人口贩运，并助长缅甸残酷的内战。政府将持续动用一切手段追缉这些网络罪犯——无论其藏身何处——保护美国家庭免遭剥削。” 制裁措施详解 财政部周三同时宣布，对支持缅甸电诈窝点的武装团体实施制裁。外国资产控制办公室将克伦民主仁爱军及其三名首领列入制裁名单，该武装团体是支持缅甸军政府的多支力量之一。 制裁名单还包括泰国籍人士查姆·萨旺、泰国环亚国际控股集团公司及卓思达公司，上述实体被指控充当缅甸武装团体的联络枢纽，协助克伦民主仁爱军等地方武装发展电诈产业。 美国官员透露，电诈窝点产生的收益既流向有组织犯罪集团，也为持续肆虐缅甸内战的武装团体提供资金。调查人员追踪到部分被骗资金流向位于缅甸克伦邦妙瓦迪镇的”泰昌”电诈园区，该园区处于克伦民主仁爱军控制区，由该武装部队准将赛觉拉实际掌控。 根据指控，克伦民主仁爱军为泰昌园区提供武装保护，并虐待遭人口贩运被迫在此工作的受害者。”该武装士兵殴打戴手铐电诈工人的画面曾被录像，获救受害者声称遭受电击、在黑屋中被悬吊双臂等暴行，”财政部声明称，”通过参与电诈运营，克伦民主仁爱军获得资助其持续非法活动的资金。该武装还与中国有组织犯罪集团合作从事毒品、人口、武器及野生动物贩运，并进行洗钱活动。” 美国和平研究所前缅甸事务主任杰森·塔沃指出，2023至2024年间的执法行动迫使缅甸大量电诈活动从果敢转移至掸邦南部与克伦邦。今年9月，财政部曾对位于缅泰边境水谷谷的电诈中心相关方实施制裁，该地区自缅甸内战爆发后已成为电诈枢纽。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亚马逊威胁情报团队周三披露，其监测到某高级威胁攻击者利用思科身份服务引擎与思杰NetScaler应用交付控制器产品中的两个零日安全漏洞，开展旨在投递定制化恶意软件的网络攻击。 亚马逊综合安全首席信息安全官CJ·摩西在向《黑客新闻》提供的报告中指出：”这一发现揭示了威胁攻击者正将焦点集中于关键身份验证与网络访问控制基础设施的趋势——这些系统正是企业实施安全策略和管理全网认证所依赖的核心。” 该攻击活动由其马德波特蜜罐网络捕获，攻击者武器化利用了以下两个漏洞： CVE-2025-5777（思杰出血漏洞2.0）（CVSS评分9.3）：思杰NetScaler ADC和网关中的输入验证缺陷，攻击者可利用此漏洞绕过身份验证（思杰已于2025年6月发布补丁） CVE-2025-20337（CVSS评分10.0）：思科身份服务引擎及思科ISE被动身份连接器的未认证远程代码执行漏洞，可允许攻击者以root权限在底层操作系统执行任意代码（思科已于2025年7月修复） 尽管这两项漏洞已被发现遭主动利用，但亚马逊报告首次揭示了具体攻击细节。 攻击链条深度解析 亚马逊表示，其检测到针对CVE-2025-5777的零日漏洞利用尝试，后续调查更发现攻击者通过CVE-2025-20337向思科ISE设备投递异常载荷。整个攻击活动最终部署了伪装成合法思科ISE组件（IdentityAuditAction）的定制化网页外壳。 摩西强调：”这并非常见的现成恶意软件，而是专为思科ISE环境量身定制的后门程序。”该网页外壳具备深度隐匿能力：完全在内存中运行，通过Java反射机制注入正在执行的线程，同时注册监听器监控Tomcat服务器所有HTTP请求，并采用非标准Base64编码的DES加密以规避检测。 攻击特征与防御建议 亚马逊将此次攻击定性为无差别扫描，并指出攻击者属于”高资源支持型”——其能同时利用多个零日漏洞，表明要么具备高级漏洞研究能力，要么可能获取了未公开漏洞信息。此外，定制化工具的使用反映出攻击者对企业级Java应用、Tomcat内部机制及思科ISE运作原理的深入了解。 这些发现再次表明，威胁攻击者持续瞄准网络边缘设备作为渗透入口。企业亟需通过防火墙或分层访问机制，严格限制对特权管理门户的访问权限。摩西警示：”这些漏洞利用均无需预认证的事实说明，即便是配置完善、精心维护的系统也可能受影响。这凸显了实施全面纵深防御策略、建设能识别异常行为模式的强大检测能力的势在必行。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌周二发布了一项名为“隐私AI计算”的全新隐私增强技术，旨在云端安全平台中处理人工智能查询。 公司表示，打造隐私AI计算是为了“在确保您的个人数据仅本人可见的同时，充分释放Gemini云端模型在AI体验中的全部速度与效能”。这项技术被描述为一个“安全加固空间”，以类似设备端处理的方式处理敏感用户数据，同时扩展了AI能力。其核心动力来自Trillium张量处理单元与泰坦智能安全飞地，使得公司能在不牺牲安全隐私的前提下使用前沿模型。 换言之，该隐私基础设施既利用了云端的计算速度与性能，又保留了设备端处理的安全隐私保障。 谷歌的CPU与TPU工作负载（即可信节点）基于AMD硬件可信执行环境，可对内存进行加密并与主机隔离。谷歌强调，只有经过认证的工作负载才能在可信节点运行，且管理员权限已被切断。此外，节点还具备物理防数据窃取攻击的能力。 该架构还支持可信节点间的点对点认证与加密，确保用户数据仅限在安全环境内解密处理，并隔绝于谷歌其他基础设施。“每个工作负载都会请求并加密验证对方的工作负载凭证，从而在受保护的执行环境中建立双向信任，”谷歌解释称，“工作负载凭证仅在节点认证通过内部参考值验证后才会发放。验证失败将阻止连接建立，从而保护用户数据免受不可信组件侵害。” 整体流程如下：用户客户端通过Noise协议与前端服务器建立加密连接，完成双向认证。客户端还通过Oak端到端加密认证会话验证服务器身份，确认其真实未经篡改。随后，服务器通过应用层传输安全协议与可扩展推理流水线中的其他服务建立加密通道，最终与运行在强化TPU平台上的模型服务器通信。整个系统采用“临时性设计”，即使用户会话结束后输入数据、模型推理及计算结果立即清除，即使攻击者获得系统特权也无法获取历史数据。 谷歌隐私AI计算架构 谷歌同时强调了内置的多重防护机制以保障系统安全性与完整性，防止未授权篡改，包括： 最大限度减少数据保密所需的可信组件与实体数量 采用机密联邦计算收集分析数据与聚合洞察 客户端与服务器通信全程加密 实施二进制授权，确保软件供应链中仅运行经签名授权代码与验证配置 在虚拟机中隔离用户数据以控制泄露影响 通过内存加密与输入输出内存管理单元防护抵御物理窃取 TPU平台实现零命令行访问权限 使用第三方运营的IP隐匿中继传输所有入站流量以隐藏请求真实来源 采用匿名令牌将系统认证授权与推理过程隔离 安全评估与改进 网络安全公司NCC集团在2025年4月至9月期间的外部评估中发现，IP隐匿中继组件存在基于时间的侧信道漏洞，特定条件下可能“去匿名化”用户。但谷歌认定该风险较低，因为系统多用户特性会产生“显著噪声”，使攻击者难以将查询关联到特定用户。评估还发现认证机制实施中的三处缺陷，可能导致拒绝服务状态及多种协议攻击，谷歌正全力修复所有问题。 评估报告指出：“尽管整套系统依赖专有硬件且集中部署于Borg Prime平台……但谷歌已严格限制用户数据遭异常处理或外泄的风险，除非谷歌整个组织蓄意而为。用户将获得针对恶意内部人员的高度防护。” 行业趋势与展望 此举与苹果和Meta的战略相呼应，这两家公司已分别推出私有云计算与隐私处理服务，以隐私保护方式将移动设备AI查询任务转移至云端。谷歌AI创新与研究副总裁杰·亚格尼克表示：“远程认证与加密技术将您的设备连接至硬件加密的密封云环境，使得Gemini模型能在专用受保护空间内安全处理数据。这确保了隐私AI计算处理的敏感数据仅限您本人访问，其他任何方（包括谷歌）均无法获取。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Mozilla（谋智）公司表示，其已研发出 “一套全新、独特且强效的防护机制，可抵御各类实际应用中的指纹追踪技术”，该机制随火狐 145 版本同步上线。此次升级预计能使易被指纹追踪技术定位的用户数量减少一半。 这批全新隐私防护功能将率先面向两类火狐用户开放：一类是已将增强型追踪防护功能设为严格模式的用户，另一类是使用隐私浏览模式（隐私窗口）的用户。后续，Mozilla 计划将该防护机制设为所有用户的默认开启功能。 Mozilla 在公告中称：“火狐是首款对指纹追踪技术具备如此深度洞察的浏览器，其部署的防护措施也是目前减少指纹追踪最为高效的。” 那么此次版本究竟有哪些具体更新？根据官方文档，火狐新版本实现了以下功能： 针对画布指纹追踪技术（这类技术利用不同设备渲染图像的独特方式实现追踪），当网站读取图像数据时，火狐会为生成的图像添加随机噪点；而仅当网站向画布元素渲染数据时，图像则不会被改动。不过对于采用这类追踪技术的网站，用户可能会察觉到图像中存在细微噪点。 火狐浏览器将不再调用设备本地安装的字体渲染网页文本，仅反馈操作系统自带的标准字体信息。 设备支持的同时触控点数将统一显示为 0、1 这两个数值，若实际支持点数为其他数值，则统一显示为 5。 屏幕分辨率与任务栏尺寸将采用标准化反馈方式：可用分辨率统一按屏幕实际分辨率减去 76 像素计算。 处理器核心数的反馈规则为：若设备处理器核心数超过 4 核，统一显示为 8 核；若不超过 4 核，则显示为 4 核。 这些新功能的落地，标志着反指纹追踪防护第二阶段的开发工作正式完成。 Mozilla 表示：“我们的研究显示，这些改进措施能使被识别为‘唯一用户’的比例降低近一半。” 此次推出的反指纹追踪防护功能，是在多年来逐步搭建的多层隐私安全防护体系基础上进一步优化而来。例如，火狐的增强型追踪防护功能长期以来始终会拦截已知的追踪脚本与指纹追踪脚本；此外，浏览器还提供全面 Cookie 隔离功能，并限制网站对用户其他各类信息的获取权限。 目前火狐已能够屏蔽多种主流指纹追踪技术，涵盖显卡图像绘制方式、设备安装的字体类型，甚至设备执行数学运算时存在的细微差异等追踪手段。 但需指出的是，若要完全消除用户指纹信息，几乎必然会破坏网页的正常使用体验。赛博新闻网此前就曾证实，即便禁用所有 Cookie 与追踪程序，用户仍可能被追踪到。 Mozilla 解释道：“看似更严格的指纹追踪拦截机制效果更好，但必然会导致部分正规网站功能失效。比如日程管理、日程安排以及视频会议类工具，都需要获取用户的实时时区信息，这一需求是合理且必要的。” 目前 Mozilla 尚未提及是否会像勇敢浏览器那样，对用户代理信息进行隐藏处理。当前火狐仍会向网站反馈用户的浏览器版本、操作系统等信息，同时还会暴露用户偏好语言、压缩支持情况以及 SSL-JA3 哈希值等数据。 如何开启增强防护功能？ 火狐 145 版本用户若想为所有网站开启该防护功能，可按以下步骤操作：进入浏览器设置界面，找到隐私与安全选项，然后自定义设置增强型追踪防护功能，勾选拦截已知及可疑指纹追踪程序的选项即可。 若开启该功能后某个特定网站出现无法正常加载的情况，用户可点击地址栏中的盾牌图标，通过切换按钮临时关闭该网站的增强型追踪防护功能。 此外，隐私浏览模式（打开 “新建隐私窗口”）会默认开启 “已知指纹追踪防护” 与 “可疑指纹追踪防护” 两项功能。详细操作说明可查阅 Mozilla 官方帮助文档。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 汉堡知名的微缩景观馆已向多名游客发出通知，告知其遭遇了一起 “数据安全事件”。攻击者或许已获取了数十万人的信用卡数据。 这座微缩景观馆是德国北部城市汉堡最热门的旅游景点之一，也是全球规模最大的铁道模型展区。今年 4 月，曾有人在此释放刺激性气体。当时事件造成 46 人受轻伤，馆内游客被全部疏散，不过半小时后该场馆便解除警戒，允许游客重新进入。 而此次遭受的另一起攻击，其造成的影响可能要严重得多。近几个月内到访过该场馆的部分游客刚刚收到一封邮件，邮件中告知了这起 “数据安全事件”，并说明他们的个人信息有可能受到影响。 邮件中写道：“汉堡微缩景观馆遭遇了网络攻击，未获授权的第三方或已通过此次攻击获取了你的信用卡数据。我们认为场馆门票线上购票页面存在安全漏洞，这导致信用卡数据不仅直接传输至了我们的支付服务商处，还被发送至了另一台独立服务器。” 赛博新闻网已联系汉堡微缩景观馆，希望其就该事件作出回应，并表示收到回复后将更新相关报道。截至目前，暗网论坛中尚未出现任何与该场馆遭黑客攻击相关的消息。 据悉，此次数据安全事件影响的范围为 6 月 6 日至 10 月 29 日期间通过线上渠道用信用卡完成的购票交易。 该场馆每年接待游客超 150 万人次。尽管并非所有游客都会提前线上购票，但可以确定的是，此次网络攻击至少会波及数千名游客，其受影响人数甚至可能更多。 场馆方面推测，游客在门票线上购票页面填写的所有信用卡信息（包括持卡人姓名、卡号、信用卡验证码以及有效期）均已受此次事件影响。 微缩景观馆在发给游客的邮件中表示：“我们无法排除这些数据被滥用的可能性。因此，该事件可能会给你带来不良后果，例如因信用卡被盗刷造成财产损失，或是个人身份信息遭冒用等情况。” 场馆还补充称，发现该事件后已立即隔离了受影响的服务器。但据推测，游客个人数据的泄露时长其实已接近整整五个月。   消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文