第509期 

你好呀~欢迎来到“安全头条”！如果你是第一次光顾，可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访，在文章底部时常交流、疯狂讨论，都是小安欢迎哒~如果对本小站的内容还有更多建议，也欢迎底部提出建议哦！

 丰田：200万客户汽车位置数据曝光十年 

近日，丰田汽车公司发布公告称，由于数据库配置错误，其云环境中发生了数据泄露事件。从 2013 年 11 月 6 日到 2023 年 4 月 17 日，这十年间使用T-Connect G-Link、G-Link Lite或G-BOOK服务的 2,150,000 名客户的汽车位置信息被暴露。

T-Connect 是丰田的车载智能服务，用于语音辅助、客户服务支持、汽车状态和管理以及道路紧急帮助。

错误配置的数据库中暴露的信息包括：

• 车载GPS导航终端ID号，

• 底盘号

• 带有时间数据的车辆位置信息。

  
  

虽然没有证据表明数据被滥用，但未经授权的用户可能已经访问了历史数据，并获取了 215 万辆丰田汽车的实时位置。

值得注意的是，理论上，一旦攻击者知道目标汽车的 VIN（车辆识别码），既有可能利用长达十年的数据泄漏，来跟踪目标汽车与个人。

车外拍摄视频曝光

更令人关注的是，丰田在日本“Toyota Connected”网站上发布的第二份声明提到，此次事件还存在车外拍摄的视频记录被曝光的可能性。

这些录音的曝光时间被定义在2016年11月14日至2023年4月4日之间，将近七年。

 黑客在 PoC 漏洞发布后瞄准 Wordpress 插件漏洞 

2023 年 5 月 5日，网站安全公司Patchstack 披露了一枚高危反映跨站点脚本 XSS 漏洞（ CVE-2023-30777）。成功利用该漏洞，未经身份验证的攻击者可以窃取敏感信息并提升他们在受影响的 WordPress 网站上的权限。

和该漏洞一起披露的，还有概念验证 (PoC) 。有趣的是，Akamai 安全情报小组 (SIG) 发布报告称，在概念验证 (PoC) 漏洞公开后大约 24 小时，他们就监测到，有黑客正在积极利用 Patchstack 的文章中提供的示例代码观察到大量扫描和利用活动。

XSS 漏洞

CVE-2023-30777 漏洞源于“admin_body_class”函数处理程序，该函数处理程序未能正确清理钩子的输出值，该钩子控制和过滤 WordPress 管理区域中主体标签的 CSS 类（设计和布局）网站。

'admin_body_class' 函数 (Patchstack)

攻击者可以利用插件代码上的不安全直接代码串联，特别是“$this→view”变量，在其组件中添加有害代码（DOM XSS 有效负载），这些代码将传递给最终产品，一个类字符串。

插件使用的清理功能“sanitize_text_field”不会阻止攻击，因为它不会捕获恶意代码注入。

通过“current_screen”函数 （Patchstack）访问“this->view”变量

开发人员通过实施名为“ esc_attr ”的新函数修复了 6.1.6 版中的缺陷，该函数正确清理了 admin_body_class 挂钩的输出值，从而防止了 XSS。

 黑客声称出售美国关键基础设施制造商的机密数据 

近日，黑客组织在某论坛上公开列出了一个据称属于美国关键基础设施制造商Sanmina Corporation的待售数据集。其中包括大约50,000名公司员工的全名、电子邮件、电话号码、职位和其他私人数据。

Sanmina Corporation：美国关键基础设施电子制造商，为美国医疗系统、通信网络、国防、航空航天、能源、计算和存储提供制造服务。

该黑客组织声称拥有200份PDF格式的文件，里面有公司的网络结构和凭证等机密信息。

据悉，该数据集价值2000美元。截止目前，尚无法独立核实该事件的真实性。如果这些说法被证明是真实的，那么该公司并不是第一个成为这个特定威胁行为者的受害者。

本月早些时候，该黑客组织还列出了据称属于Skybound Entertainment用户和员工的被盗敏感数据。这是《行尸走肉》漫画系列背后的公司。

 谷歌推出了核心大语言模型PaLM 2可与GPT-4相媲美 

周三（5月10日），谷歌推出了PaLM 2，这是一系列核心语言模型(LLM)，其功能可与OpenAI的GPT-4相媲美。

在加利福尼亚州山景城举行的谷歌 I/O大会上，谷歌宣布它已经使用PaLM 2为25 种产品提供支持，包括其Bard对话式人工智能助手。

PaLM 2是一个大型语言模型 (LLM)系列，已经过大量数据训练，能够预测人类输入后的下一个单词。PaLM是“Pathways Language Model”的缩写，“Pathways”是谷歌创造的一种机器学习技术。

PaLM 2是 Google于2022年4月宣布的原始PaLM的续集。据谷歌称，PaLM 2支持超过100种语言，可以进行推理、代码生成和多语言翻译。

在谷歌I/O主题演讲中，谷歌首席执行官桑达尔·皮查伊 (Sundar Pichai)表示，PaLM 2有四种型号：壁虎、水獭、野牛和独角兽。

Gecko是最小的，可以在移动设备上运行。除了Bard，PaLM 2还支持文档、电子表格和幻灯片中的AI功能。

PaLM 2技术报告指出，PaLM 2在某些数学、翻译和逻辑任务中优于GPT-4。但现实可能与谷歌的基准不符。

在对PaLM 2的Bard版本的简短评估中，以及在各种非正式语言测试中，有专家表示PaLM 2实际表现出来的性能看起来比GPT-4和Bing差。

 CISA警告用于感染Wi-Fi接入点的严重Ruckus漏洞 

美国网络安全和基础设施安全局(CISA)12日警告称，Ruckus Wireless Admin面板中存在一个严重的远程代码执行(RCE)漏洞，该漏洞被最近发现的DDoS僵尸网络积极利用。

虽然此安全漏洞(CVE-2023-25717) 在2月初得到解决，但许多所有者可能尚未修补其Wi-Fi接入点。

此外，没有适用于拥有受此问题影响的报废模型的用户的补丁。攻击者正在滥用该漏洞，通过未经身份验证的HTTP GET请求用AndoryuBot恶意软件（首次发现于2023年2月）感染易受攻击的Wi-Fi AP。

一旦受到威胁，这些设备就会被添加到旨在发起分布式拒绝服务(DDoS)攻击的僵尸网络中。

该恶意软件支持12种DDoS攻击模式：tcp-raw、tcp-socket、tcp-cnc、tcp-handshake、udp-plain、udp-game、udp-ovh、udp-raw、udp-vse、udp-dstat、udp-旁路和icmp-echo。

寻求发起DDoS攻击的网络犯罪分子现在可以租用AndoryuBot僵尸网络的火力，因为其运营商正在向其他人提供服务。

通过CashApp移动支付服务或各种加密货币（包括XMR、BTC、ETH和USDT）接受此服务的付款。

CISA已向美国联邦民用行政分支机构 (FCEB)规定6月2日的最后期限，以确保其设备免受这个漏洞的侵害，该漏洞已于12日添加到其已知被利用漏洞列表中。

原文始发于微信公众号（安全客）：【安全头条】 丰田承认长达十年的数据泄露影响了 215 万客户