BlastRADIUS攻击:30年历史的RADIUS协议曝出严重漏洞 (www.securityweek.com)
安全公司InkBridge Networks近日警告称,流行的RADIUS协议中发现了一个存在了30年的设计缺陷(CVE-2024-3596),高级攻击者可以利用该缺陷绕过任何多因素身份验证(MFA)保护,对本地网络进行身份验证。该公司发布了BlastRADIUS攻击的技术说明,并警告称,企业内部网络、互联网服务提供商(ISP)和电信公司等企业网络都面临着重大风险。
Twilio确认数据泄露,3300万Authy用户电话号码遭泄露 (www.securityweek.com)
身份验证应用开发商Twilio证实,由于未经身份验证的端点漏洞,黑客获取了与Authy账户相关的数据,包括3300万用户的电话号码。Twilio表示已采取措施保护该端点,并敦促Authy用户安装最新的安全更新,以防网络钓鱼和短信诈骗攻击。
微软警告更多客户:邮件失窃,午夜暴雪黑客攻击范围扩大 (www.securityweek.com)
微软公司正通知更多客户,他们的电子邮件在午夜暴雪黑客攻击事件中被盗。该公司正在为客户提供一个安全的门户网站,以查看被盗邮件的具体内容。微软将此次事件描述为“持续攻击”,并警告称,黑客可能正在利用窃取的信息积累攻击目标,并增强其攻击能力。
OpenAI 迎来前美国国家安全局局长,网络安全经验助力 AI 发展 (www.securityweek.com)
美国人工智能公司 OpenAI 宣布,前美国国家安全局局长保罗·纳卡松(Paul M. Nakasone)将加入公司董事会及安全委员会,凭借其丰富的网络安全经验,为 OpenAI 的安全决策提供建议,并帮助 OpenAI 更好地理解如何利用 AI 技术加强网络安全防御能力。
用户强烈抗议Slack抓取客户数据用于AI模型训练 (www.securityweek.com)
企业协作平台Slack被曝一直在抓取客户数据,包括消息、文件和使用信息,以开发新的AI和ML模型,引发了隐私争议。默认情况下,Slack系统会分析客户数据和使用信息来构建AI/ML模型以改进软件,用户无需选择加入。虽然Slack坚称其拥有技术控制措施来阻止其访问底层内容,并承诺数据不会跨工作场所泄露,但企业Slack管理员仍在争相选择退出数据抓取。
DOJ-Collected Information Exposed in Data Breach Affecting 340,000 - SecurityWeek (www.securityweek.com)
美国司法部确认,其网络系统于2023年3月13日至2023年3月21日间遭到网络攻击,导致包含34万个电子邮箱地址和密码的数据暴露。该部门已采取措施遏制攻击并正在调查事件。受影响的电子邮箱地址属于司法部员工、承包商和合作伙伴。司法部已通知受影响个人并敦促他们改变密码。司法部强调,没有证据表明任何司法部系统或数据遭到了破坏或损害。