5th域安全微讯早报【20250205】031期

2025-02-05  星期三 Vol-2025-031

1. 俄罗斯计划建立反欺诈语音数据库，引发隐私与安全讨论

2. 五眼联盟发布网络边缘设备安全指导，强调取证可视性

3. 网络安全专家对马斯克 DOGE 最前举措中的安全漏洞表示震惊

4. 加拿大国民被控利用 DeFi 漏洞窃取 6500 万美元加密货币

5. GrubHub 数据泄露事件影响客户、司机和商家

6. 黑客利用云资源进行加密货币挖掘：滥用免费计算能力

7. 美国学校隐瞒数据泄露，勒索软件攻击频发

8. WhatsApp 爱情短信沦为诈骗 1.82 亿美元

9. 伊隆·马斯克团队获美国联邦系统完全访问权限，引发安全担忧

10. iPhone 隐私真相：每秒被跟踪 200 次，隐私保护功能存漏洞

11. 废弃的 AWS S3 存储桶可被重新用于劫持全球软件供应链

12. Google 修复 Android 中的 Linux 内核 RCE 漏洞

13. Roundcube Webmail 存在严重 XSS 漏洞，允许攻击者注入恶意文件

14. 微软 Azure AI 人脸服务特权提升漏洞使攻击者获得网络访问权限

15. 警惕假冒 DeepSeek PyPI 软件包传播恶意软件

16. Palo Alto-Siemens 白皮书：制造业面临关键 OT 漏洞与网络安全风险

17. 俄罗斯网络安全公司警告： Nova 恶意软件大规模窃取信息

1. 俄罗斯计划建立反欺诈语音数据库，引发隐私与安全讨论

【 SecurityLab 网站 2 月 4 日报道】俄罗斯数字发展部正在考虑采取额外措施打击网络诈骗，包括在单一反欺诈平台上收集和存储诈骗者的语音向量。该举措包含在政府的反欺诈修正案中，文件规定无需征得诈骗者同意即可收集其生物特征数据。语音向量是通过数学转换得到的数据数值表示，可用于识别相似性。俄罗斯计划投入 60 多亿卢布建立国家反欺诈平台，预计 2025 年试运行， 2026 年正式投入使用。该平台将整合来自政府、银行、电信运营商等多渠道的违规数据，并提供给执法机构等相关部门。电信运营商的人工智能未来可能通过分析通话中的关键词和比对语音向量来识别诈骗行为。然而，该计划引发了隐私和安全方面的讨论。生物识别专家认为语音向量是匿名且不可逆的，但网络安全专家警告称，现代技术可能通过去匿名化手段识别出个人身份，且一旦数据库泄露，攻击者可能利用这些数据生成音频深度伪造。数字发展部表示，该计划目前仍在研究中，且仅针对已被执法部门关注的诈骗者。

2. 五眼联盟发布网络边缘设备安全指导，强调取证可视性

【 BleepingComputer 网站 2 月 4 日报道】英国、澳大利亚、加拿大、新西兰和美国的“五眼”网络安全机构联合发布了一份关于网络边缘设备安全的指导文件，呼吁设备制造商提高取证可视性，以帮助防御者检测攻击并调查违规行为。这些设备包括防火墙、路由器、 VPN 网关、物联网设备等，由于缺乏端点检测和响应（ EDR ）解决方案、定期固件升级和强身份验证，成为攻击者的主要目标。 CISA 指出，外国对手经常利用这些设备的漏洞渗透关键基础设施，导致严重的财务和声誉损失。 NCSC 建议制造商默认启用强大的日志记录和取证功能，以帮助防御者更轻松地检测恶意活动。此外， CISA 还发布了多条“安全设计”警报，敦促供应商修复漏洞并停止使用默认密码。

3. 网络安全专家对马斯克 DOGE 最前举措中的安全漏洞表示震惊

4. 加拿大国民被控利用 DeFi 漏洞窃取 6500 万美元加密货币

【 Cybersecuritynews 网站 2 月 4 日报道】美国检察官对 22 岁加拿大公民安第斯·梅杰多维奇提出五项刑事指控，指控其利用 KyberSwap 和 Indexed Finance 等 DeFi 协议中的智能合约漏洞，窃取约 6500 万美元加密货币。据称，梅杰多维奇在 2021 年至 2023 年间，通过闪电贷操纵智能合约关键变量，以人为抬高的价格提取资金，导致投资者损失惨重。具体案例包括 2021 年 10 月从 Indexed Finance 窃取 1650 万美元，以及 2023 年 11 月通过操纵以太坊和 Arbitrum 等区块链网络的流动性池，从 KyberSwap Elastic 窃取 4880 万美元。梅杰多维奇还试图通过虚假和解勒索平台开发者，要求控制 KyberSwap 的 DAO 以归还部分资金，但被拒绝。起诉书包括电信欺诈、未经授权损坏受保护的计算机、企图敲诈勒索、洗钱阴谋和洗钱等罪名，若全部成立，其可能面临数十年监禁。此案由美国联邦调查局、国税局刑事调查局等多部门联合调查，并得到荷兰和加拿大当局协助。案件凸显了 DeFi 平台的安全风险和加强监管的必要性。

5. GrubHub 数据泄露事件影响客户、司机和商家

【 BleepingComputer 网站 2 月 4 日报道】食品配送平台 GrubHub 披露了一起数据泄露事件，攻击者通过入侵第三方服务提供商账户获取了部分客户、司机和商家的个人信息。 GrubHub 迅速终止了该账户的访问权限，并移除了相关服务提供商。为应对事件，公司聘请外部专家评估影响，轮换密码并加强异常检测机制。调查未发现攻击者获取敏感财务信息，但部分校园食堂用户及与客户服务互动的用户、商家和司机的联系信息被泄露，包括姓名、电子邮件地址、电话号码及部分支付卡信息。 GrubHub 敦促用户使用独特密码以降低风险。此外， GrubHub 去年曾因多项违规行为被联邦贸易委员会指控，并支付 2500 万美元和解。

6. 黑客利用云资源进行加密货币挖掘：滥用免费计算能力

【 SecurityLab 网站 2 月 4 日报道】 Netlify 揭露了一起大规模滥用云基础设施进行加密货币挖掘的活动。此次攻击从 2024 年 9 月持续至 11 月，涉及微软、 ProtonVPN 等多家云服务提供商。攻击者利用数千个虚假账户，通过数百个域名和 IP 地址获取免费计算能力，下载并执行恶意挖掘二进制文件，主要针对基于 CPU 的加密货币，先后挖掘了 TideCoin 和 VerusCoin 。尽管加密货币收益仅为 6500 美元，但云服务提供商的损失高达数万美元。黑客通过频繁更换代码执行策略和使用“ Plus Addressing ”及“ Subdomain Addressing ”技术注册大量账户以逃避检测。攻击主要通过 Bitbucket 和 GitLab 发起，使用阿里云、 DigitalOcean 等服务器进行挖矿。 Netlify 指出，该活动自 2021 年开始，近几个月加剧，建议各组织加强对云活动的监控并封锁可疑 IP 地址。

7. 美国学校隐瞒数据泄露，勒索软件攻击频发

【 SecurityLab 网站 2 月 4 日报道】美国学校因担心声誉受损，系统性地隐瞒数据泄露事件，成为网络犯罪的“帮凶”。过去 5 年中，超过 300 起针对教育机构的网络攻击被记录，但多数学校未如实告知家长、学生和教职员工，甚至误导公众。学校官员常声称数据安全，但数月甚至数年后被迫承认信息泄露，涉及特殊教育计划、心理健康记录甚至性虐待案件文件。攻击后，学校多向保险公司和律师求助，而非警方，试图减少责任，相关应对措施受律师 - 客户特权保护，导致公众只能从黑客处了解真相。 2023 年，美国学校和大学遭受 121 起勒索软件攻击，专家认为实际数量更多，且网络保险的存在使学校更倾向于支付赎金，助长了犯罪市场。部分学校甚至隐瞒支付赎金的事实，如加利福尼亚州 Sweetwater 县一所学校支付 17.5 万美元后， 2.2 万人的数据仍被公开。尽管部分州要求学校在数据泄露时通知居民，但延迟承认事件的情况屡见不鲜。专家呼吁，严格的监管和数据泄露时的强制透明度是改变现状的唯一途径。

8. WhatsApp 爱情短信沦为诈骗 1.82 亿美元

【 SecurityLab 网站 2 月 4 日报道】泰国警方在合艾国际机场逮捕了一名 52 岁女子奥雷泰（化名），她涉嫌协助尼日利亚籍男友银行账户，用于洗钱，涉及金额高达 62 亿泰铢（约 1.828 亿美元）。该骗局始于 2020 年 3 月，当时 EssilorLuxottica 泰国下属的首席财务官在领英上结识了一位自称驻扎阿富汗的美国军医。经过超过 50,000 条 WhatsApp 消息的交流后，骗子说服她为转移遗产支付费用，导致她在三个月内向 17 个国家 112 个银行账户进行了 251 次转账，最终被逮捕 20 年。奥雷泰被控参与跨国犯罪组织和洗钱活动。此前，警方已在马来西亚逮捕了与此案相关的 21 名泰国人和 2 爱情骗局仍然在东南东南亚，犯罪团伙通过网络大规模作案，针对全球受害者。据美国联邦贸易委员会统计， 2022 年此类骗局造成受害者损失达 13 亿美元。

9. 伊隆·马斯克团队获美国联邦系统完全访问权限，引发安全担忧

【 SecurityLab 网站 2 月 4 日报道】埃隆·马斯克领导的政府效能办公室（ DOGE ）员工获得了美国联邦网络的无限制访问权限，引发信息安全专家的严重担忧。消息人士称， DOGE 员工可能将未知安全措施的计算机连接到美国人事管理办公室（ OPM ）网络，暴露联邦雇员数据，包括背景调查和安全许可信息。专家警告， DOGE 对财政部支付系统的访问威胁国家安全，因为这些系统存储情报承包商付款数据及高级官员个人信息。前美国网络司令部官员杰森·基克塔表示，这可能是“历史上最大的政府数据泄露事件”，影响将持续数十年。此外， DOGE 员工还可访问美国国际开发署（ USAID ）和教育部的系统，而该机构领导层中有 6 名缺乏政府工作经验的年轻人。目前尚不清楚 DOGE 对联邦机构系统的渗透程度，但未经授权的访问方式和设备增加了安全风险。专家指出，联邦政府建立的数据保护机制被规避是不可接受的，而马斯克的参与并不能保证系统的可靠性。潜在攻击者可能利用 DOGE 行为留下的漏洞，例如中国曾在 2015 年攻击 OPM 并获取 2210 万条记录。 DOGE 员工还可能将敏感数据存储在未经认证的计算机上，跳过数十年建立的网络防御机制。官员尚未对此事发表评论，但马斯克团队还要求访问管理合同和付款的医疗保险和医疗补助系统，这在外国情报机构高度关注的背景下显得尤为令人担忧。

10. iPhone 隐私真相：每秒被跟踪 200 次，隐私保护功能存漏洞

【 SecurityLab 网站 2 月 4 日报道】研究人员发现，即使用户已禁止跟踪，安装在新款 iPhone 上的应用程序仍可能暴露个人数据。 iOS 的“要求应用程序不跟踪”功能仅阻止应用程序接收设备的广告标识符（ IDFA ），但无法阻止其他数据的收集。研究人员蒂姆使用一部重置为出厂设置的 iPhone 11 ，安装了一款游戏后发现，该应用每秒发送超过 200 个参数的数据，包括设备坐标和 IP 地址，甚至将数据发送到 Facebook 服务器，尽管手机上未安装任何 Meta 应用。这些数据还被发送到需求方平台 Moloco ，该公司声称覆盖全球 190 多个国家的 67 亿台设备。这些平台不仅用于广告投放，还收集大量用户数据用于精准营销。研究人员发现，数百家公司正在交易这些数据，甚至有公司将广告 ID 与用户的真实身份信息关联。尽管苹果的隐私功能看似强大，但实际效果有限，用户数据仍可能被广泛收集和交易。专家建议用户限制应用程序的权限，使用 DNS 过滤器和广告拦截器来保护隐私，但完全阻止数据收集仍面临挑战。