新闻速览

•股票竞价交易出现异常，上交所发布公告称正在排查原因

•印尼税务局遭遇大规模数据泄露，总统等政要个人信息被兜售

•CISA警告：去年八月已修复的Ivanti漏洞正被积极利用

•82%网络钓鱼攻击瞄准移动设备

•隐私保护还是数据追踪？Mozilla因Firefox新功能面临投诉

•英国铁路19个站点遭遇黑客攻击，屏幕显示恐怖袭击信息

•ChatGPT macOS应用曝安全漏洞，可能导致长期间谍软件攻击

•起亚汽车安全漏洞曝光，攻击者可在30秒内远程控制车辆

•使用Rust等内存安全语言从源头上防护，Android内存安全漏洞比例五年内锐减68%

热点观察

股票竞价交易出现异常，上交所发布公告称正在排查原因

9月27日上午，上海证券交易所发布公告，表示股票竞价交易出现异常情况。公告显示，上交所关注到，今日股票开盘后该所股票竞价交易出现成交确认缓慢的异常。上交所已在第一时间关注到相关情况，正在就相关原因进行排查。

另据新华财经报道，当天沪深三大股指继续上行，但上海证券交易所多只相关指数分时走势却显示异常。在东方财富的PC端看盘软件上，包括上证指数、上证50和科创50等多只指数自10点以后，分时走势几乎走成直线，手机端软件同样如此。此前，有东方财富交易软件的用户反应，手中部分股票如汇顶科技无法交易，撤单也不行。

另有媒体报道，有券商向其分支机构通报称“经公司技术监控发现，目前报单有延迟。各家券商均有反馈，属于行业共性问题”。有业内人士分析，目前市场委托量非常大，客户的撤单委托可能无法及时收到撤单成功或失败的明确结果，属于正常现象。

参考链接：

https://mp.weixin.qq.com/s/DOmeZXqPd2UK0EmIJAjFVw

印尼税务局遭遇大规模数据泄露，总统等政要个人信息被兜售

路透社消息，近日印度尼西亚税务局发生重大数据泄露事件，约600万纳税人的个人信息遭到泄露，其中包括总统佐科·维多多及其家人、多位内阁成员等政要。

本次泄露的信息包括纳税人识别号码、国家身份证号码、电子邮件地址和电话号码等敏感个人信息。网络安全专家特古·阿普里安托在社交媒体平台 X上公布了泄露信息的样本截图，并警告称泄露纳税人数据可能会引发针对性诈骗，造成物质和非物质损失，同时还可能暴露个人收入和交易信息。另据新加坡媒体CPO报道，黑客Bjorka已在网络犯罪论坛BreachForums上以1万美元兜售这批被盗数据。

佐科总统对此事作出回应，指出数据泄露是一个全球性问题，并要求相关部门迅速采取行动。印度尼西亚税务局公共关系主任德维·阿斯图提表示，目前技术团队正在进行深入调查，以确定此次网络事件的具体范围和影响。尚不清楚此次泄露是否涉及个人税务申报信息。

原文链接：

https://www.reuters.com/world/asia-pacific/indonesias-tax-agency-probes-alleged-personal-data-breach-2024-09-19/#:~:text=Indonesia’s%20tax%20agency%20is%20investigating%20an%20alleged%20data%20breach%20that

CISA警告：去年八月已修复的Ivanti漏洞正被积极利用

近日，美国网络安全和基础设施安全局（CISA）将Ivanti的又一漏洞纳入已知被利用漏洞（KEV）目录，这是继先前两个Ivanti漏洞之后的又一重要安全警告。尽管Ivanti早在去年八月就发布了该漏洞的修复版本，但CISA的最新警告表明，攻击者已开始积极利用这一漏洞。

该漏洞编号为CVE-2024-7593，是一个影响Ivanti虚拟流量管理器（vTM）的身份验证绕过漏洞，评分高达9.8。该漏洞允许远程未经认证的攻击者绕过管理员面板，创建自己的管理员账户。漏洞源于Ivanti vTM旧版本中身份验证算法的错误实现。

Ivanti已在vTM版本22.2R1、22.3R3、22.5R2、22.6R2和22.7R2中修复了这一漏洞。该公司强烈建议客户尽快升级到这些修复版本，以防止潜在的安全威胁。尽管目前尚不清楚该漏洞在实际环境中被利用的具体情况及背后的攻击者身份，但考虑到其高危性质，及时采取防护措施至关重要。

值得注意的是，这是Ivanti近期面临的第三个被积极利用的漏洞。此前，影响该公司云服务的两个漏洞CVE-2024-8963和CVE-2024-8190也已被恶意攻击者所利用。

原文链接：

https://www.darkreading.com/vulnerabilities-threats/cisa-adds-patched-ivanti-bug-kev-catalog

82%网络钓鱼攻击瞄准移动设备

网络犯罪分子正在采用移动优先策略来渗透企业系统。Zimperium近日发布的《2024年zLabs全球移动威胁报告》显示，目前82%的钓鱼网站都针对移动设备；在受影响最严重的医疗保健行业，39%的移动威胁来自钓鱼攻击。76%的这类网站使用HTTPS协议，这使得用户更容易误认为这些网站是安全的。

攻击者利用移动设备的固有弱点，如较小的屏幕和有限的安全指示器，来诱骗用户泄露敏感信息。而在当今数字时代，71%的员工使用智能手机处理工作任务。

报告还指出钓鱼网站的快速演变。近四分之一的移动钓鱼网站在24小时内上线，这使得它们能够躲避传统的检测方法。从官方应用商店以外安装的侧载应用加大了移动应用风险。报告显示，进行侧载的用户遇到恶意软件的可能性增加了200%。

平台漏洞的增加进一步加剧了移动安全的复杂性。2023年，报告在安卓设备中发现了1421个常见漏洞和暴露（CVE），比前一年猛增58%。其中16个漏洞在实际攻击中被利用。iOS设备暴露了269个CVE，其中20个被积极利用。

原文链接：

https://www.infosecurity-magazine.com/news/82-phishing-target-mobile-devices/

隐私保护还是数据追踪？Mozilla因Firefox新功能面临诉讼

近日，欧洲数字权利组织NOYB向奥地利数据保护监管机构提交诉讼，指控Mozilla在Firefox浏览器中未经用户同意启用追踪功能。这一名为“隐私保护归因“（PPA）的功能于2022年7月在Firefox 128版本中自动启用，引发了隐私保护方面的担忧。

NOYB认为，尽管PPA声称保护隐私，但实际上允许Firefox追踪用户在各网站的行为。该组织指出，这种做法可能违反了欧盟通用数据保护条例（GDPR）。

但是Mozilla则坚称PPA是“对跨站追踪的非侵入性替代方案“，旨在帮助广告商评估广告效果，广告商仅能获得汇总的广告效果数据，并不共享用户的在线行为信息。Mozilla强调，目前PPA仅在其开发者网络网站上进行有限测试，尚未激活。而且Firefox用户可以通过浏览器的隐私与安全设置禁用PPA功能。

原文链接：

https://www.bleepingcomputer.com/news/technology/mozilla-accused-of-tracking-users-in-firefox-without-consent/

网络攻击

英国铁路19个站点遭遇黑客攻击，屏幕显示恐怖袭击信息

近日，英国19个铁路站点的公共Wi-Fi系统遭遇黑客攻击，导致乘客在登录Wi-Fi系统时屏幕显示与恐怖袭击相关的信息。受影响的站点包括伦敦的10个主要车站，以及曼彻斯特、利物浦、伯明翰、利兹、布里斯托尔、爱丁堡和格拉斯哥等地的重要铁路枢纽。经调查，这起事件被认定为一起源自互联网服务提供商内部账户的网络破坏行为。

英国铁路网运营商Network Rail表示，这项Wi-Fi服务由第三方公司Telent运营，实际的互联网服务则由Global Reach提供。Telent在声明中确认，此次事件并非由网络安全漏洞或技术故障引起，而是源自Global Reach网络内部的一起网络破坏行为。

目前，Telent正与Network Rail、Global Reach和英国交通警察合作，调查此次事件。公司表示，计划在周末前恢复公共Wi-Fi服务。Network Rail已暂停了这项第三方提供的服务。

原文链接：

https://www.bbc.com/news/articles/cr75znv47xpo

漏洞预警

ChatGPT macOS应用曝安全漏洞，可能导致长期间谍软件攻击

近日，安全研究员Johann Rehberger发现ChatGPT macOS应用程序存在一个安全漏洞。该漏洞可能被攻击者利用，在AI工具的内存中植入长期持久的间谍软件。这种被称为“SpAIware”的技术可能被滥用，持续提取用户输入的所有信息或ChatGPT接收到的回复，包括聊天会话。

这个问题的核心在于滥用了ChatGPT的“内存“功能。该功能允许ChatGPT在聊天中记住某些信息，从而提高用户体验。然而，攻击者可能利用间接提示注入来操纵记忆，使ChatGPT记住虚假信息或恶意指令，从而实现跨对话的持久性攻击。用户可能被诱导访问恶意网站或下载带有陷阱的文档，随后使用ChatGPT分析该文档以更新内存。这些恶意内容可能包含指令，秘密地将所有未来的对话发送到攻击者控制的服务器，使攻击者能够在单次聊天会话之外获取信息。

OpenAI在接到负责任的披露后，已通过ChatGPT版本1.2024.247修复了该漏洞。Rehberger建议ChatGPT用户应该定期检查系统存储的记忆，以发现可疑或不正确的内容并进行清理。

原文链接：

https://thehackernews.com/2024/09/chatgpt-macos-flaw-couldve-enabled-long.html

起亚汽车安全漏洞曝光，攻击者可在30秒内远程控制车辆

近日，网络安全专家发现了起亚汽车系统中的一组严重安全漏洞，这些漏洞允许黑客仅凭车牌号就能远程控制车辆的关键功能。该漏洞影响约1550万辆起亚汽车，无论车主是否订阅了起亚连接服务。

安全专家们开发了一个演示工具，只需输入车牌号，约30秒后就能对目标车辆执行各种命令。更令人担忧的是，攻击者还可以悄无声息地获取车主的个人信息，包括姓名、电话号码、电子邮件地址和住址，甚至可以将自己添加为车辆的隐形第二用户。

这些漏洞主要存在于起亚的车主网站（owners.kia.com）和Kia Connect iOS应用程序（com.myuvo.link）中。研究人员发现，这两个平台处理车辆命令的方式存在差异，为攻击者提供了可乘之机。车主网站使用后端反向代理将用户命令转发到执行车辆命令的api.owners.kia.com后端服务，而移动应用则直接访问该API。安全专家们通过分析HTTP请求发现，关键的漏洞点在于Sid（会话令牌）和Vinkey（索引到VIN的UUID）这两个头部信息。攻击者可以利用这些信息绕过认证，直接向车辆发送命令。

当前，起亚汽车已经修复该漏洞，研究人员开发的演示工具也未曾公开发布。起亚公司确认，这些漏洞从未被恶意利用过。

参考链接：

https://samcurry.net/hacking-kia

产业动态

使用Rust等内存安全语言从源头防护，Android内存安全漏洞比例五年内锐减68%

谷歌近日发布的报告显示，Android系统在内存安全方面取得了重大进展，由内存安全问题导致的Android漏洞比例从2019年的76%大幅下降至2024年的24%，五年内减少超过68%。这一成果使得Android成为大型项目如何在不破坏向后兼容性的前提下，逐步系统地迁移到安全领域的典范。

谷歌表示，这一显著改善主要归功于两个关键策略：首先，优先使用Rust等内存安全语言编写新代码，最大程度地减少了新缺陷的引入；其次，对旧代码的维护保持最小变动，重点集中在重要的安全修复上，避免大规模重写可能带来的互操作性问题。这种方法不仅使新代码更加安全，还让旧代码随时间推移变得更加成熟和安全。谷歌强调，这种策略的成功证明，不需要完全抛弃或重写所有现有的内存不安全代码，而是应该专注于确保互操作性的安全和便捷。

谷歌在报告中回顾了整个行业在处理内存安全缺陷时经历的四个主要阶段：反应性修补、主动缓解、主动漏洞发现，以及最新的高保障预防（安全编码）。其中，最后一个阶段强调通过使用内存安全语言从源头上防止漏洞，提供了可扩展和长期的保障。

原文链接：

https://www.bleepingcomputer.com/news/security/google-sees-68-percent-drop-in-android-memory-safety-flaws-over-5-years/