点击蓝字·关注我们 / aqniu
新闻速览
•2项网络/数据安全国家标准公开征求意见
•国家计算机病毒应急处理中心通报15款违规移动应用
**•**暗网市场Nemesis Market被国际联合执法行动捣毁
•非法破解的大模型账号成为暗网上最畅销的商品
•威胁行为者将恶意软件托管在GitHub上发动攻击
•开发者问答平台被攻击者用来分发恶意Python软件包
•Sitting Ducks DNS攻击已劫持了超3.5万个域名
•搜狗输入法被曝存在可绕过锁屏的严重安全性缺陷
•三六零控股股东解散清算,周鸿祎成为第一大股东
•受API验证漏洞影响,Twilio强行关停Authy桌面版
•AI 安全厂商Protect AI 获得 6000 万美元 B 轮融资
特别关注
2项网络/数据安全国家标准公开征求意见
全国网络安全标准化技术委员会秘书处日前发布关于征求《网络安全技术 标识密码认证系统密码及其相关安全技术要求》(征求意见稿)和《数据安全技术 数据接口安全风险监测方法》(征求意见稿)2项国家标准意见的通知。
根据通知,这两个全国网络安全标准化技术委员会归口的国家标准现已形成标准征求意见稿。根据《全国网络安全标准化技术委员会标准制修订工作程序》要求,秘书处现将该2项标准征求意见稿面向社会公开征求意见。标准相关材料已发布在网安标委网站(网址https://www.tc260.org.cn/front/bzzqyjList.html?start=0&length=10),如有意见或建议请于2024年10月1日24:00前反馈秘书处。
原文链接:
https://mp.weixin.qq.com/s/uSI6y61BTzVgruUkkKH9qA
国家计算机病毒应急处理中心通报15款违规移动应用
国家计算机病毒应急处理中心依据相关法律法规及相关国家标准要求,近期通过互联网监测发现15款移动App存在隐私不合规行为。
1、未声明App运营者的基本情况、未声明隐私政策时效。涉及7款App:
《快闪壁纸》(版本1.0.5,应用宝)
《小月日记》(版本1.5.2,vivo应用商店)
《生态环境智慧管理系统》(版本1.5,华为应用商店)
《搞笑内涵》(版本1.3.0,应用宝)
《指尖微小说》(版本1.0.6,vivo应用商店)
《小铁马》(版本3.6.11,小米应用商店)
《日语翻译》(版本1.4.7,豌豆荚)
2、隐私政策未逐一列出App收集使用个人信息的目的、方式、范围等。涉及5款App:
《日上锦囊》(版本23.11.7,应用宝)
《紫鸾》(版本2.2.0,应用宝)
《伊顺智运网络货运平台》(版本4.4.6,小米应用商店)
《小铁马》(版本3.6.11,小米应用商店)
《科瑞泰Q医》(版本5.0.5,vivo应用商店)。
3、App客户端向第三方提供个人信息,未经过用户同意,未做匿名化处理;个人信息处理者向其他个人信息处理者提供其处理的个人信息的,未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,未取得个人的单独同意。涉及6款App:
《日上锦囊》(版本23.11.7,应用宝)
《紫鸾》(版本2.2.0,应用宝)
《生态环境智慧管理系统》(版本1.5,华为应用商店)
《装扮魔法少女》(版本1.0.0.4,小米应用商店)
《鸿飞达司机》(版本1.0.26,vivo应用商店)
《小铁马》(版本3.6.11,小米应用商店)
4、App在征得用户同意前开始收集个人信息或打开可收集个人信息的权限。涉及1款App:
《鸿飞达司机》(版本1.0.26,vivo应用商店)
5、App未提供有效的更正、删除个人信息及注销用户账号功能,或为更正、删除个人信息或注销用户账号设置不必要或不合理条件;无法通过在线操作方式及时响应个人信息查询、更正、删除请求的,完成核查和处理承诺时限超过15个工作日。涉及2款App:
《搞笑内涵》(版本1.3.0,应用宝)
《日语翻译》(版本1.4.7,豌豆荚)
6、App未建立并公布个人信息安全投诉、举报渠道,或未在承诺时限内受理并处理;个人信息处理者未建立便捷的个人行使权利的申请受理和处理机制。涉及4款App:
《生态环境智慧管理系统》(版本1.5,华为应用商店)
《搞笑内涵》(版本1.3.0,应用宝)
《伊顺智运网络货运平台》(版本4.4.6,小米应用商店)
《日语翻译》(版本1.4.7,豌豆荚)
7、基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者未提供便捷的撤回同意的方式;向用户提供撤回同意收集个人信息的途径、方式,未在隐私政策等收集使用规则中予以明确。涉及6款App:
《日上锦囊》(版本23.11.7,应用宝)
《小月日记》(版本1.5.2,vivo应用商店)
《伊顺智运网络货运平台》(版本4.4.6,小米应用商店)
《装扮魔法少女》(版本1.0.0.4,小米应用商店)
《帮车宝》(版本5.1.10,vivo应用商店)
《日语翻译》(版本1.4.7,豌豆荚)
8、处理敏感个人信息未取得个人的单独同意。涉及2款App:
《伊顺智运网络货运平台》(版本4.4.6,小米应用商店)
《小铁马》(版本3.6.11 ,小米应用商店)
9、个人信息处理者处理不满十四周岁未成年人个人信息的,未制定专门的个人信息处理规则。涉及7款App:
《日上锦囊》(版本23.11.7,应用宝)
《小月日记》(版本1.5.2,vivo应用商店)
《生态环境智慧管理系统》(版本1.5,华为应用商店)
《伊顺智运网络货运平台》(版本4.4.6,小米应用商店)
《小铁马》(版本3.6.11,小米应用商店)
《小牛快跑司机端》(版本6.00.5.0002,vivo应用商店)
《帮车宝》(版本5.1.10,vivo应用商店)
10、收集个人信息的频度等超出业务功能需要。涉及1款App:
《科瑞泰Q医》(版本5.0.5,vivo应用商店)
国家计算机病毒应急处理中心提醒广大手机用户谨慎下载使用以上违规移动App,认真阅读其用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据,避免个人隐私信息被泄露。
原文链接:
https://www.cverc.org.cn/zxdt/report20240801.htm、
热点观察
暗网市场Nemesis Market被国际联合执法行动捣毁
德国、美国和立陶宛的执法机构在一次国际联合执法行动中,成功捣毁全球暗网市场Nemesis Market,查封了其服务器,没收了价值 9.4万欧元的加密货币。据悉,执法机构从中查获的数据将被用于进一步调查,以查明和起诉相关的卖家和用户。此次行动无疑是对暗网上猖獗的网络犯罪活动的一次重大打击。
Nemesis Market于2021年问世,迅速成为了暗网市场领域的大玩家。该平台只能通过Tor网络才能访问,为销售毒品、被盗数据和各种网络犯罪服务等非法活动提供了便利。捣毁之前,Nemesis Market在全球有1万多个用户账户和1100余个卖家账户。
原文链接:
https://hackread.com/sting-takes-down-dark-web-nemesis-market/
非法破解的大模型账号成为暗网上最畅销的商品
网络安全公司eSentire最近的一项研究显示,每天约有400个生成式AI账户的用户名和密码在LLM Paradise等地下市场被销售,其中每天有200个OpenAI凭证待售,其他还包括Claude API、Quillbot、Notion、Huggingface和Replit。
研究人员发现,越来越多威胁行为者企图通过滥用生成式AI,策划网络钓鱼活动,开发复杂的恶意软件。由此,被泄露的生成式AI凭证也成为暗网最畅销产品之一。GPT-4或Claude API凭证的起价仅为15美元。尽管最近LLM Paradise由于未知原因关闭了其服务,但威胁行为者仍在TikTok上运营该市场关闭前所发布的关于被盗GPT-4 API凭证的广告。
这些生成式AI凭证被攻击者用来策划以假乱真的网络钓鱼活动,开发复杂的恶意软件,或为地下论坛制作聊天机器人。威胁行者者还用这些凭据访问企业的生成式AI账户,以进一步获取客户数据和财务信息、知识产权和员工个人识别身份信息。此外,攻击者还可能访问仅对企业客户开放的数据,进而影响生成式AI平台提供商。
原文链接:
网络攻击
威胁行为者将恶意软件托管在GitHub上发动攻击
研究人员近日发现,威胁行为者通过虚假广告引诱用户下载热门的Google Authenticator多因素认证应用程序,结果他们缺下载了来自GitHub网站的恶意软件。Malwarebytes的研究人员发现,将恶意软件文件托管在GitHub上使威胁行为者能够使用一个受信任的云资源,这种资源不太可能被传统手段阻止。
尽管GitHub已经成为事实上的软件存储库,但并非所有托管其上的应用程序或脚本都是合法的。任何人都可以创建一个帐户并上传文件。威胁行为者在用户名为“authe-gogle”的账户下,创建了包含恶意Authenticator.exe的“authgg”存储库。
为了有效地应对这些威胁,网络安全专家建议,网络安全团队必须采取多方面的方法同时解决技术和人员因素。通过意识提升活动和定期培训来提高员工和用户对恶意广告和威胁行为者最新策略的风险认知至关重要。
原文链接:
开发者问答平台被攻击者用来分发恶意Python软件包
近日,研究人员发现开发者问答平台Stack Exchange被威胁行为者滥用,用来分发假冒成Python的恶意软件包。一经安装,恶意代码会自动执行,启动一系列旨在破坏和控制受害者系统的事件,窃取数据,并掏空加密货币钱包。
该恶意软件充当全功能的信息窃取器,窃取包括浏览器密码、cookie、信用卡资料、加密货币钱包,以及与Telegram、Signal和Session等应用上的信息。此外,恶意软件还够能捕获系统截屏,搜索含有GitHub恢复码和BitLocker密钥的文件。收集到的信息随后被压缩,并通过威胁行为者维护的两个不同的Telegram机器人泄露出去。恶意软件中的后门组件还能让威胁行为者对受害者计算机的持久远程访问权限,带来长期的威胁。
此攻击活动的一个显著特点是使用Stack Exchange作为传播途径,威胁行为者利用了社区驱动平台的高可见性和用户的信任,以扩大恶意软件的传播范围,并对系统和数据造成长期威胁。他们在与使用Python执行Raydium中的相关问题上提供答案,并声称这些软件包可以帮助解决问题,诱使开发人员下载并安装。
原文链接:
https://thehackernews.com/2024/08/hackers-distributing-malicious-python.html
Sitting Ducks DNS攻击已劫持了超3.5万个域名
近日,安全研究人员发现威胁行为者利用Sitting Duck的攻击方式,劫持了超过3.5万个注册域名,有些域名甚至被控制长达一年之久。这一攻击活动利用了注册商和域名解析服务提供商的配置漏洞和所有权验证不足。
DNS安全公司Infoblox,以及固件和硬件保护公司Eclypsium的研究人员发现,每天有超过100万个域名可能被Sitting Ducks攻击方式劫持。Sitting Ducks攻击需要满足一定条件,包括将注册的域名委托给非注册商提供的权威DNS服务商来进行解析,权威名称服务器无法提供所请求的域名解析信息,以及服务商允许用户声称拥有某个域名但没进行必要的验证等。攻击者可以利用这些漏洞,创建一个域名解析服务商的帐户,在目标域名下设置恶意网站,并在配置域名解析时将IP地址解析请求指向虚假的地址。而域名的合法所有者却无法修改域名解析记录。受到攻击的注册商中包括GoDaddy,目前还有其他六个域名解析服务商存在漏洞。
安全研究人员提醒,为了防范这种攻击,域名所有者应定期检查DNS配置中的无效委托,并在注册商或权威名称服务器上更新委托记录。
原文链接:
搜狗输入法被曝存在可绕过锁屏的严重安全性缺陷
据财联社报道,有读者向其反应称,由于搜狗输入法中存在能够轻易绕过电脑锁屏并获取系统访问权限的严重安全缺陷,因此已被所在单位要求暂时停用或删除该输入法。通报称,该安全缺陷源于系统对搜狗输入法运行权限要求过高,甚至在未授权情况下也能运行,且由于搜狗输入法自身权限验证不严谨,攻击者可成功利用该缺陷,在目标系统执行任意命令。通报建议用户关注厂商的更新信息,及时升级版本。在官方暂未发布新版本前,建议用户先卸载搜狗输入法,采用其他输入法。
对此,搜狗输入法回应称,经其安全团队排查,该问题仅存在于某些特定版本Windows系统中,是由于微软屏幕键盘等相关程序主动以特权接口加载中文输入法导致。他们还表示已将此系统问题通知微软相关团队,并在微软修复该缺陷前采取了主动规避措施,在Windows登录界面下搜狗输入法将主动退出加载执行。
原文链接:
https://finance.ifeng.com/c/8bkJmny2tc5
产业动态
三六零控股股东解散清算,周鸿祎成为第一大股东
日前,三六零(股票代码)601360发布公告,公司控股股东奇信志成科技有限公司解散清算,其持有的三六零46.14%股份将通过非交易过户方式分配给股东。权益变动后,公司董事长兼总经理周鸿祎直接持股比例由5.24%增至13.26%,成为公司第一大股东。在奇信志成解散清算期间,周鸿祎承诺12个月内不减持三六零股份。
公告显示,本次解散清算是在约定解散条款成立的背景下,由奇信志成部分股东根据《股东协议》的相关约定提议要求的,并非因为奇信志成经营层面出现解散事由或资不抵债导致的破产清算。2016年360公司为投身国家网络安全建设,响应国家号召从美股退市回国。36家投资者出资并贷款200亿元帮助其退市,成立奇信志成作为“持股平台”共同承担还贷责任。上述200亿元贷款已于2023年6月全部还清,清算后360公司将回归更加简单的治理结构。
原文链接:
受API验证漏洞影响,Twilio强行关停Authy桌面版
日前,多因素认证器开发商Twilio关停了Authy桌面版应用程序,强行将用户从桌面应用程序中注销,用户不再能通过手机号码重新登录。Authy是除了谷歌身份验证器之外,用户数最多的第三方2FA工具。Authy桌面版可以帮助用户在PC上获取验证码并完成登录,现在用户必须在手机上安装 Authy获取验证码。
不再提供桌面版应用,主要原因是因为Twilio收入放缓,当前面临巨大的投资者压力,要将精力放在移动端产品的开发和优化上。这其中很大一部分因素又是因为Authy出现过几次安全问题,影响了用户的信心。今年6月,Authy API验证漏洞导致3300万用户资料被泄露,且被黑客在暗网论坛兜售,引发潜在的针对性钓鱼风险。毕竟作为2FA验证器关键应用,没人愿意因为应用一款身份验证器而带来新的风险。
原文链接:
AI 安全厂商Protect AI 获得 6000 万美元 B 轮融资
近日,AI 网络安全服务商Protect AI获得6000万美元B轮融资。此轮融资由 Evolution Equity Partners 领投,01 Advisors、StepStone Group、三星,以及现有投资者 Acrew Capital、boldstart Ventures、Knollwood Capital、Pelion Ventures 和 Salesforce Ventures 参与。
作为一家网络安全服务商,Protect AI利用人工智能和机器学习对ML生命周期进行安全扫描,并提供安全且合法合规的ML模型和AI应用。
原文链接:
https://protectai.com/newsroom/protect-ai-raises-60m-in-series-b-financing
合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com