新闻速览
•NIST发布全球首批后量子安全加密标准
•GitHub突发全球性服务中断故障
•将用户数据违规用于AI训练,马斯克的X正面临多国GDPR指控
•14亿用户账号信息泄露?腾讯紧急辟谣:不实信息
•美国连锁洗衣巨头发生数据泄露,超3.5万人隐私信息遭窃取
•FBI对Radar勒索软件犯罪团伙进行执法打击
•SAP发布安全补丁,修复关键身份验证绕过漏洞
•AMD修复Sinkclose漏洞,但部分旧处理器被无视
•微软发布8月安全更新,共修复90个漏洞
热点观察
NIST发布全球首批后量子安全加密标准
日前,美国国家标准与技术研究院(NIST)正式敲定三项用于应对未来量子计算威胁的加密算法,并在此基础上发布了三项后量子加密标准。这标志着全球首批后量子(post-quantum)安全加密标准的诞生。
据NIST介绍,这些标准不仅考虑了底层数学的安全性,还评估了它们的实际应用效果。
标准涵盖了一般加密和数字签名两大关键领域,为保障从机密电子邮件到电子商务交易等广泛应用提供了坚实的安全基础。
FIPS 203(ML-KEM):基于CRYSTALS-Kyber算法,主要用于一般加密。其特点是加密密钥较小,交换便捷,运算速度快。
FIPS 204(ML-DSA):源自CRYSTALS-Dilithium算法,作为保护数字签名的主要标准。
FIPS 205(SLH-DSA):基于Sphincs+算法,同样用于数字签名,采用不同的数学方法作为ML-DSA的备选方案。
NIST同时表示:计划于2024年底发布第四个标准FIPS 206(FN-DSA),基于FALCON算法,将为数字签名提供另一种选择。NIST强烈建议计算机系统管理员尽快开始向这些新标准过渡,以确保信息系统在量子计算时代来临时仍能保持安全。
原文链接:
https://www.nist.gov/news-events/news/2024/08/nist-releases-first-3-finalized-post-quantum-encryption-standards
GitHub突发全球性服务中断故障
美国东部时间8月14日晚7点,全球最大的代码托管平台GitHub遭遇了全球范围内的服务中断,影响了其网站和多个服务的正常运行,包括拉取请求、GitHub Pages、Copilot和API等。
据故障追踪网站Downdetector的实时数据显示,该网站已收到超过10,000份用户的故障反馈报告,反映出本次中断的影响较为广泛并在迅速扩散。
GitHub稍后在其状态页面对故障进行了回应,初步怀疑此次故障是由数据库基础设施相关变更导致。最新状态消息显示,GitHub已经撤回了对相关数据库配置的更改,并确认服务“已全面恢复运行”。
参考链接:
https://www.theverge.com/2024/8/14/24220685/github-down-website-pull-request
将用户数据违规用于AI训练,马斯克的X正面临多国GDPR指控
近日,马斯克的X(前身为Twitter)正在因未经用户许可违规使用超过6000万名用户的个人数据来训练其人工智能技术而受到指控。目前,隐私倡导组织noyb已向九个欧盟国家就此提交了相关GDPR诉讼请求。
这一问题是在今年5月被曝光,当时X开始将欧洲用户的数据输入其人工智能系统“Grok”,而未告知用户或获其许可。对此,爱尔兰数据保护委员会(DPC)对X提起了法律诉讼,要求停止非法处理并强制执行GDPR。但是noyb对DPC采用的诉讼程序表示不满,因而向包括奥地利、比利时、法国、希腊、爱尔兰、意大利、荷兰、西班牙和波兰在内的9个欧盟国家的数据保护机构提交了GDPR投诉,旨在确保X的人工智能训练所涉及的核心法律问题得到充分解决。
除了知情权问题,noyb的投诉还提出了关于X是否能遵守其他GDPR要求的担忧,例如被遗忘权、访问个人数据的权利和更正不准确信息的权利。
原文链接:
https://thecyberexpress.com/x-ai-training-gdpr-complaints-across-europe/
14亿用户账号信息泄露?腾讯紧急辟谣:不实信息
近日,一个名为Fenice的黑客在暗网论坛上发帖曝料称手握14亿腾讯用户账号信息。该黑客声称窃取了海量数据库,其中包括14亿条Tencent.com相关的记录,压缩数据容量为44GB,解压之后将达到500GB,数据包括电子邮件地址、手机号码和QQ ID等敏感信息。
对此,腾讯QQ安全中心于8月14日作出回应称,表示过去两年中,类似的虚假信息多次被海外黑客炒作,数据口径不断膨胀,出现过7亿、12亿、14亿等多个版本,并被恶意关联到国内多个互联网产品。腾讯强调,这些信息并不属实,实为黑产利用历史资料拼凑而成,可能对公众造成极大误导。
同日,微博认证为腾讯公关总监的@卡獭秦对此辟谣称:“假的!不属实!”另一位腾讯公关总监@腾讯张军也转发该微博,表示:“隔段时间就会出一个新版本。”
原文连接:
https://mp.weixin.qq.com/s/J0yQALUaJSSNUlR7VEpxNQ
网络攻击
美国连锁洗衣巨头发生数据泄露,超3.5万人隐私信息遭窃取
近日,美国商业洗衣服务提供商CSC ServiceWorks遭遇重大数据泄露事件,导致35340人的信息被泄露。
据美国TechCrunch报道,CSC ServiceWorks 的系统被入侵,数据在2023年9月至2024年2月期间泄露。根据CSC ServiceWorks向美国缅因州监管机构提交的文件,此次泄露的信息包括姓名、生日、社会安全号码、驾驶证号码、联系方式、银行账号和健康保险详情。虽然这些信息可能表明泄露影响了公司的员工,但CSC ServiceWorks拒绝提供有关事件性质和范围的更多细节。
这一发现发生在其联网洗衣机中发现一对漏洞之后,这些漏洞可能被利用来获取免费洗衣服务,其中较旧的漏洞是在被该公司忽视了几周后才得以解决的。
原文链接:
https://www.scmagazine.com/brief/over-35k-impacted-by-csc-serviceworks-breach
FBI对Radar勒索软件犯罪团伙进行执法打击
近日,美国联邦调查局(FBI)克利夫兰分局宣布,一个名为Radar/Dispossessor的国际勒索软件犯罪团伙成功被打击,查封了3台美国服务器、3台英国服务器、18台德国服务器、8个美国境内的犯罪域名、1个德国境内的犯罪域名。
自2023 年8月成立以来,Radar/Dispossessor 迅速发展成为一个具有国际影响力的勒索软件团伙,目标是攻击来自生产、开发、教育、医疗、金融服务和运输等行业的小中型企业和组织。调查发现43家公司成为攻击的受害者。
该团伙采用双重勒索模式,除了加密受害者的系统外,还会提取受害者的数据以进行勒索,在识别并攻击新的受害者的同时再次勒索现有受害者。该团伙通过识别脆弱的计算机系统,并利用弱密码和缺乏双重认证的漏洞,获取系统访问权限和管理员权限后,部署勒索软件加密数据。FBI鼓励任何个人或组织继续举报该团伙,并承诺对举报者进行匿名保护。
原文链接:
https://www.helpnetsecurity.com/2024/08/13/radar-dispossessor-disruption/
漏洞预警
SAP发布安全补丁,修复关键身份验证绕过漏洞
SAP最近发布了2024年8月的安全补丁包,修复了17个漏洞,其中一个关键的身份验证绕过漏洞可能使远程攻击者完全控制受影响的系统。
该漏洞被标识为CVE-2024-41730,CVSS v3.1评分为9.8,影响SAP BusinessObjects商业智能平台的430和440版本,属于“缺少身份验证检查”类型的漏洞。根据SAP的描述,如果在企业身份验证上启用了单点登录,未经授权的用户可以通过REST端点获取登录令牌,从而使攻击者能够完全控制系统,严重影响机密性、完整性和可用性。
作为全球最大的ERP供应商,SAP的产品在超过90%的《福布斯全球2000强》企业中被广泛使用。黑客总是寻找能够让他们访问高价值企业网络的关键身份验证绕过漏洞,因此,系统管理员应尽快采取行动,修补这些漏洞以保护系统安全。
原文链接:
https://www.bleepingcomputer.com/news/security/critical-sap-flaw-allows-remote-attackers-to-bypass-authentication/
AMD修复Sinkclose漏洞,但部分旧处理器被无视
8月12日,AMD发布了安全更新以修复其处理器中的Sinkclose漏洞,但一些较旧且仍在用的芯片将不会收到补丁。
Sinkclose漏洞归类为高严重性。它使特权从环0(操作系统内核)提升到环-2,这是计算机上最高特权的执行级别。它的发现为不法分子打开了机会之门。该漏洞影响自2006年以来的AMD处理器,可能使攻击者在不被发现的情况下渗透系统。
虽然AMD已为大多数近期处理器推出了应对措施,包括所有代的EPYC数据中心处理器、最新的Threadripper型号和Ryzen处理器,但该公司决定不将这些更新扩展到Ryzen 1000、2000和3000系列处理器,及Threadripper 1000和2000型号。这些较旧的芯片仍被许多消费者使用,导致人们对使用这些处理器的系统安全性的担忧,甚至损害客户信任和品牌忠诚度。
原文链接:
https://www.csoonline.com/article/3485621/amd-addresses-sinkclose-vulnerability-but-older-processors-left-unattended.html
微软发布8月安全更新,共修复90个漏洞
2024年8月14日,天融信阿尔法实验室监测到微软官方发布了8月安全更新。此次更新共修复90个漏洞(不包含3个外部分配漏洞和本月早些时候发布的9个Edge漏洞),其中7个严重漏洞(Critical)、80个重要漏洞(Important)、3个中危漏洞(Moderate)。其中权限提升漏洞36个、远程代码执行漏洞30个、信息泄露漏洞9个、拒绝服务漏洞6个、欺骗漏洞5个、安全功能绕过漏洞1个、XSS漏洞2个、篡改漏洞1个。
本次微软安全更新涉及组件包括:Windows Kernel、Windows Power Dependency Coordinator、Windows Scripting、Microsoft Office Project、Windows Ancillary Function Driver for WinSock、Windows Mark of the Web (MOTW)、Windows Secure Kernel Mode、Line Printer Daemon Service (LPD)、Microsoft Office、Windows Update Stack、Windows TCP/IP、Microsoft Streaming Service、Windows DWM Core Library、Windows Transport Security Layer (TLS)、Windows Common Log File System Driver、Windows Print Spooler Components等多个产品和组件。
微软本次修复中,CVE-2024-38106、CVE-2024-38107、CVE-2024-38178、CVE-2024-38189、CVE-2024-38193、CVE-2024-38213被在野利用,CVE-2024-21302、CVE-2024-38199、CVE-2024-38200、CVE-2024-38202被公开披露。
原文链接:
https://mp.weixin.qq.com/s/r867E-bm6-Rh-bpAwwGpBw