2024 年 8 月 14 日,人們走過紐約證券交易所 (NYSE) 旁的金融區。 史賓塞普拉特 |蓋蒂圖片社 華爾街曾經發生過許多惡名昭彰的內線交易案件,包括 20 世紀 80 年代的 Ivan Boesky、2000 年代初期的 Martha Stewart…
Tag: 網路安全
心理保健公司不安全資料庫暴露的治療療程
新研究顯示,數千人高度敏感的健康詳細信息,包括治療過程的音頻和視頻,可以在互聯網上公開獲取。與一家美國醫療保健公司相關的資訊快取包括超過 12 萬個檔案和超過 170 萬個活動日誌。 8 月底,安全研究員 Jeremiah Fowler 在與虛擬醫療提供者 Confidant Health 相關的不安全資料庫中發現了暴露的大量資訊。該公司在康乃狄克州、佛羅裡達州和德州等五個州開展業務,幫助提供酒癮和毒癮康復服務,以及心理健康治療和其他服務。 在 5.3 TB 的暴露數據中,有關於患者的極其個人的詳細信息,超出了個人治療療程的範圍。福勒看到的文件包括人們的精神病學記錄和病史詳細資訊的多頁報告。 “一些文件的底部寫著‘機密健康數據’,”福勒說。 例如,一份長達七頁的精神病學記錄文件,似乎是基於與患者進行一小時的會面,詳細說明了酒精和其他物質的問題,包括患者聲稱如何從祖父母的臨終關懷中心服用“少量”麻醉品家庭成員過世前供應。在另一份文件中,一位母親描述了她的丈夫和兒子之間的「有爭議」的關係,包括當她的兒子使用興奮劑時,他指責她的伴侶性虐待。 曝光的健康文件包括一些關於人們的外表、情緒、記憶、藥物和整體精神狀態的醫療記錄。研究人員看到的一份電子表格似乎列出了…
IBM 談未來網路安全:萬能鑰匙、Deepfakes、量子運算
“由於大規模解決常見問題的技術進步,互聯網在五年內將比現在安全得多。” IBM 亞太區首席技術長 Chris Hockings 的這項預測似乎有點雄心勃勃,因為人工智慧驅動的網路犯罪正在呈指數級增長,深度造假技術正在增強社會工程攻擊,而量子運算的威力也即將顯現。 但霍金斯在接受 TechRepublic 採訪時表示,他相信未來幾年科技將以更快的速度發展——而密碼是其核心。 澳洲數位身分的未來 數位身分是澳洲正在取得重大進展的關鍵領域,而密鑰技術是這一進步的核心組成部分——儘管澳洲的密鑰採用落後。 霍金斯強調了數位身分系統如何幫助降低違規風險。值得注意的是,澳洲的 myGov 是一個具有全國影響力的萬能鑰匙計畫。他說,實施萬能鑰匙可以有效消除採用萬能鑰匙的用戶的主要詐欺來源。 「在全球範圍內,16% 的違規行為與憑證遺失和被盜有關,這是最常見的初始攻擊供應商,」Hockings 解釋道。 「數位身分提供了顯著減少攻擊面的機會。採用這些技術的人越多,他們就越不容易受到網路攻擊。 更多澳洲報道 新出現的威脅:Deepfakes…
俄羅斯最臭名昭著的特種部隊現在擁有自己的網路戰團隊
俄羅斯軍事情報機構格魯烏長期以來一直被譽為世界上最具侵略性的破壞、暗殺和網路戰實踐者之一,駭客們以與暴力特種部隊操作員在同一旗幟下工作而感到自豪。但該機構內的一個新小組表明,格魯烏可能比以往任何時候都更緊密地結合物理和數位戰術:一個駭客團隊,該團隊來自負責俄羅斯最臭名昭著的物理戰術的同一單位,包括投毒、未遂政變和西方國家境內發生爆炸事件。 來自美國、英國、烏克蘭、澳洲、加拿大和五個歐洲國家等國家的眾多西方政府機構週四透露,一個名為 Cadet Blizzard、Bleeding Bear 或 Greyscale 的駭客組織發起了多次駭客攻擊針對烏克蘭、美國以及歐洲、亞洲和拉丁美洲其他國家的行動——實際上是GRU 29155 部門的一部分,該部門是間諜機構的一個部門,以其明目張膽的人身破壞和政治動機的謀殺而聞名。例如,該單位過去曾與英國試圖用諾維喬克神經毒劑毒死格魯烏叛逃者謝爾蓋·斯克里帕爾(Sergei Skripal),導致兩名旁觀者死亡,以及保加利亞的另一起暗殺陰謀有關。 現在,GRU 中臭名昭著的部門似乎已經發展了自己活躍的網路戰操作團隊,與其他GRU 部隊的人員不同,例如26165 部隊(廣泛稱為Fancy Bear 或APT28)和74455 部隊(以網路攻擊為重點的部隊)。自2022 年以來,GRU 第29155…
POV:北韓在重大集中式交易所駭客攻擊中瞄準了你
美國聯邦調查局 (FBI) 警告北韓將主要加密貨幣機構作為目標 複雜的社會工程詐騙。 北韓駭客已經 到目前為止被盜$3B。 社會工程詐騙還包括 虛假招聘資訊和“宰豬”計劃。 你從床上滾起來,搖搖晃晃地走到辦公桌前,登入 Slack 和你在 Central Coin Exchange, Inc. 的公司電子郵件。 辛苦工作一天,管理大量比特幣 為您提供業界領先的加密貨幣交易所。 是時候嘲笑那些在不起眼的 DEX…
Apptio:澳洲人透過 IT 投資來應對經濟壓力
澳洲組織展現了投資新技術的意願。然而,考慮到當前的經濟環境,這種興趣正在因責任感和策略一致性的增強而減弱。 Apptio 在被 IBM 以近 50 億美元收購一年後,與 TechRepublic 分享了其對澳洲公司優先事項的觀察。責任、風險管理和勞動力挑戰等因素影響企業如何投資有限的資源。 澳洲市場的複雜性 Apptio 意識到澳洲企業理解和管理技術成本的方式日益複雜。他們願意為 IT 服務付費,但隨後他們希望相關人員對結果負責。 Apptio 業務副總裁兼亞太區總經理 Pete Wilson 表示,澳洲公司「深刻認識到科技不僅僅是免費的」。 他補充道,“總得有人為此買單,如果有人承諾說,‘我將把收入增長…
亞太地區(澳洲除外)的萬能鑰匙採用正在加速
金鑰提供了一種防網路釣魚的身份驗證模式。在科技巨頭微軟、蘋果和谷歌的支持下,金鑰利用儲存在數位或硬體設備上的加密憑證來取代密碼和較弱的多因素身份驗證方法——網路攻擊的主要載體。 儘管密碼在亞太地區有所成長,但澳洲的密碼採用速度相對緩慢。在公共部門,MyGov 最近才為其線上服務引入了金鑰登入。在銀行領域,一次性密碼或 OTP 多重身份驗證仍然是澳洲市場事實上的身份驗證方法。 提供硬體綁定萬能鑰匙的 Yubico 亞太區和日本副總裁 Geoff Schomburgk 表示,採用障礙包括公共部門網路安全成熟度較低、對銀行業客戶體驗的擔憂以及認為萬能鑰匙的推出是無根據的看法。上複雜。 Passkey 技術和 YubiKey 產品在亞太地區取得成長 Yubico 的業務起飛是因為它與 Google 合作將公鑰加密技術整合到 YubiKeys…
泰勒絲演唱會恐怖陰謀被中央情報局關鍵線索挫敗
通訊應用程式 Telegram 的創始人兼執行長 Pavel Durov 週六在法國被捕,這是對其和 Telegram 涉嫌未能控制平台上非法內容等指控的調查的一部分。在被拘留四天后,他於週三晚上被指控,被禁止離開法國,並在交納 500 萬歐元(550 萬美元)保釋金並每週兩次到法國警察局報到的條件下獲釋。巴黎檢察官辦公室週三表示,杜羅夫面臨與兒童性虐待材料和販毒有關的共謀指控,以及未經事先聲明進口密碼技術的指控,以及「幾乎完全不」與法國當局合作的指控。 《連線》雜誌的一項調查發現,未經人們同意就生成人們裸體圖像的「Nudify」深度造假網站已經將主流單點登入身分驗證系統納入其網站。 Discord 和 Apple 正在終止一些開發者的帳號。 微軟週三發布了關於一個新的多層次後門的研究報告,臭名昭著的伊朗駭客組織 APT 33 或…
強大的間諜軟體漏洞導致一系列新的「水坑」攻擊
近年來,Intellexa 和 NSO Group 等精英商業間諜軟體供應商開發了一系列強大的駭客工具,這些工具利用罕見且未修補的「零日」軟體漏洞來危害受害者設備。世界各地的政府越來越多地成為這些工具的主要客戶,損害了反對派領導人、記者、活動人士、律師和其他人的智慧型手機。不過,週四,Google威脅分析小組發布了有關近期一系列駭客活動的調查結果,這些活動似乎是由俄羅斯臭名昭著的APT29 Cozy Bear 團夥實施的,這些活動將與Intellexa 和NSO Group 開發的漏洞非常相似的漏洞融入正在進行的間諜活動。 2023 年11 月至2024 年7 月期間,攻擊者入侵了蒙古政府網站,並利用該訪問權限進行“水坑”攻擊,任何擁有易受攻擊設備的人在加載受感染網站時都會遭到黑客攻擊。谷歌的 TAG 週四寫道,攻擊者設置的惡意基礎設施使用的漏洞「與商業監控供應商 Intellexa 和…
AWS 配置問題可能會暴露數千個 Web 應用程式
根據最新研究,攻擊者可能會利用與 Amazon Web Service 的流量路由服務(稱為應用程式負載平衡器)相關的漏洞來繞過存取控制並危害 Web 應用程式。該缺陷源於客戶實施問題,這意味著它不是由軟體錯誤引起的。相反,該漏洞是由於 AWS 使用者使用 Application Load Balancer 設定身份驗證的方式引入的。 實施問題是雲端安全的一個重要組成部分,就像如果門半開的話,裝甲保險箱的內容就無法受到保護一樣。安全公司 Miggo 的研究人員發現,根據應用程式負載平衡器身份驗證的設定方式,攻擊者可能會操縱其向第三方企業身份驗證服務的移交,以存取目標 Web 應用程式並查看或竊取資料。 研究人員表示,透過查看可公開存取的 Web…