国际运输平台Hipshipper数据外泄，1430 万条运输记录外泄

谷歌近日修复了两个漏洞，这两个漏洞一旦被利用，就可能导致YouTube账户的电子邮件地址遭到泄露，从而给那些匿名使用该网站的用户带来巨大的隐私风险。

安全研究人员发现，YouTube和Pixel Recorder API可被用于获取用户的Google Gaia ID，并将其转换为电子邮件地址。漏洞之一是，当尝试在YouTube直播聊天中屏蔽某人时，YouTube的/youtube/v1/live_chat/get_item_context_menu API请求响应中就会暴露被屏蔽用户的Gaia ID。

Gaia ID是谷歌用于管理其网络中所有账户的内部唯一标识符。研究人员发现，只需点击聊天中的三点菜单，就能触发对YouTube API的后台请求，从而访问任何YouTube频道(包括试图保持匿名的频道)的Gaia ID。研究人员发现，Pixel Recorder的基于Web的API在共享录制时，可用于将Gaia ID转换为电子邮件地址。

近日，国际运输平台Hipshipper意外泄露了数百万份运输标签， 导致大量客户个人信息外泄。

Hipshipper广泛用于eBay、Shopify和亚马逊等电商平台的卖家，为超过150个国家提供完整的跟踪送货、免费保险和无忧退货服务。这一数据泄露事件发生在2024年 12 月国际运输高峰期。Cybernews研究团队发现，该公司一个未受保护的AWS存储桶中存储了超过1430万条记录，主要是运输标签和海关申报单。泄露的运输标签对于任何国际运输物品都至关重要，因为它们清楚地标明了包裹内容和目的地。然而，Hipshipper 却疏于防范，导致这些敏感信息被公之于众。

泄露的数据包括买家的姓名、家庭地址、电话号码以及订单详情等个人信息。虽然目前没有迹象表明网络犯罪分子获取了这些数据，但黑客可能会利用这些信息实施诈骗、网络钓鱼或其他恶意行为。

微软将Sandworm称为 Seashell Blizzard，发现该组织的分支BadPilot专注于获取各大行业和地区高价值目标的初始访问权限。自2021年底以来，BadPilot一直在利用流行电子邮件和协作平台中已知的严重漏洞，对互联网面临的基础设施进行机会主义式攻击，包括Zimbra的CVE-2022-41352、Microsoft Exchange的CVE-2021-34473以及Microsoft Outlook的CVE-2023-23397等"严重"漏洞。通过这些关键漏洞，BadPilot获取了诸多高价值目标的初始访问权限，包括电信公司、石油天然气公司、航运公司、武器制造商以及外国政府机构等。自2024年起，该组织还利用远程监控管理软件漏洞扩大影响范围，如Fortinet Forticlient EMS的CVE-2023-48788和ConnectWise ScreenConnect的CVSS 10分严重漏洞CVE-2024-1709。

一旦获取目标系统访问权限，BadPilot就会部署自制LocalOlive网站后门和合法远程管理监控工具ShadowLink建立持久控制，收集凭证、横向移动、窃取数据，有时还会执行其他后续活动。BadPilot的工作是为其上级Sandworm组织的重大攻击活动做准备。

路透社消息，多家私募股权公司近日正在竞购日本网络安全公司趋势科技。这家公司的市值高达1.32万亿日元(约合85.4亿美元)。

据知情人士透露，贝恩资本(Bain Capital)、安德思国际(Advent International)和EQT AB等私募股权公司最近几周已表达出将趋势科技私有化的意向。两位消息人士还透露，KKR也是潜在买家之一，但警告称，交易尚未确定趋势科技可能会选择保持独立。消息一出， 趋势科技股价在东京交易所当日大涨16.05%，成为日经225指数中涨幅最大的股票。一旦私有化交易达成，这将是近期全球最大的杠杆并购案之一。

因大型企业加大了对安全工具的支出，网络安全领域并购活动近年来一直活跃。随着一体化网络安全平台的竞争加剧，一些公司成为了大型对手和私募股权公司的收购目标。去年，谷歌母公司Alphabet曾试图以230亿美元收购Wiz；据路透社10月报道，安德思、贝恩和EQT也曾探索收购另一家网络安全公司Rapid7。

2月13日，美摄科技发布《关于美摄公司起诉字节跳动旗下抖音等8款产品代码抄袭系列案终审胜诉的声明》。声明称，近日美摄公司起诉字节跳动旗下抖音等8款产品代码抄袭系列案，历经三年七个月，终于迎来终审判决。

声明提到，2023年6月底、2024年5月底，北京知识产权法院、北京市高级人民法院先后作出一审判决，认定抖音公司及其关联公司侵害美摄SDK软件著作权，判令其向美摄公司赔礼道歉，并赔偿经济损失及合理支出共计约2670.4万元。双方均上诉至最高人民法院。

近日，最高人民法院作出终审判决，维持一审判决侵权认定的同时，对一审判决损害赔偿额偏低予以改判。二审判决判令抖音公司及其关联公司立即停止侵害美摄SDK软件著作权的行为，向美摄公司赔礼道歉，抖音公司及某员工立即停止侵害美摄公司技术秘密的行为，九案赔偿经济损失及合理支出共计约8266.8万元。

根据纽约州网络安全负责人Colin Ahern的说法， Hochul 州长已指示州政府机构在上周末开始移除该

美国司法部已对五名犯罪嫌疑人提起诉讼，这些嫌疑人被认为是受经济利益驱使的 “散蛛”（Scattered Spider）网络犯罪团伙的成员，他们被控共谋实施电信诈骗。

在 2021 年 9 月至 2023 年 4 月期间，他们通过针对数十个目标（包括个人和企业）实施短信网络钓鱼攻击，盗取受害者的身份凭证，进而从加密货币钱包中窃取了数百万美元。

“散蛛” 团伙专门从事社会工程学攻击，他们会冒充服务台技术人员，并利用网络钓鱼 / 短信钓鱼攻击手段，从目标公司的员工那里窃取身份凭证。在对一家互动娱乐产品和软件公司的攻击中，这些威胁行为者发送了网络钓鱼信息，警告员工他们的虚拟专用网络（VPN）即将被停用，并要求员工访问某个网站以重新激活 VPN。

根据法庭文件，他们还利用从被黑客攻击公司的员工那里窃取的身份凭证，从这些公司的系统中窃取机密数据，包括数据库、“机密工作成果、知识产权和个人身份信息”。

这些信息后来被用于在 SIM 卡置换攻击中劫持受害者的电子邮件账户，通过这种攻击，他们得以控制受害者的电话号码和虚拟货币钱包，并将数百万美元转移到他们控制的钱包中。

美国网络安全与基础设施安全局（CISA）命令联邦民用机构在 2 月 28 日前修复天宝（Trimble）公司的 Cityworks 平台中被追踪为 CVE-2025-0994 的严重漏洞。

根据天宝公司的网站介绍，Cityworks 服务器资产管理系统是 “一个以地理信息系统（GIS）为核心的解决方案，供地方政府、公用事业公司、机场和公共工程部门在整个生命周期内管理和维护基础设施”。黑客正在利用这一漏洞，引发了人们对关键服务可能受到干扰的担忧。

总部位于科罗拉多州的天宝公司披露了这一漏洞，并警告用户存在远程代码执行攻击的风险。该漏洞源于一个反序列化漏洞，这使得威胁行为者能够未经授权访问系统并部署恶意负载。

美国网络安全与基础设施安全局将该漏洞列入了其已知被利用漏洞目录，敦促管理员立即安装安全更新，并检查系统是否存在被入侵的迹象。

天宝公司的调查证实，存在未经授权试图入侵特定 Cityworks 部署系统的行为。一些本地安装的系统存在 IIS 身份权限过高以及附件目录配置错误的问题。

OpenSSL修补了Apple发现的高严重性漏洞CVE-2024-12797，该漏洞可导致中间人攻击。漏洞由苹果研究人员于2024年12月18日报告，由Viktor Dukhovni修复。

OpenSSL软件库允许在计算机网络上进行安全通信，以防止窃听或需要识别另一端的一方。OpenSSL 包含安全套接字层 (SSL) 和传输层安全 (TLS) 协议的开源实现。漏洞位于其安全通信库中，因SSL_VERIFY_PEER模式下服务器身份验证检查失败，使用RFC7250原始公钥(RPK) 的客户端建立的 TLS/DTLS连接易受中间人 (MitM) 攻击。

该漏洞会影响明确启用 RPK 并依赖 SSL_VERIFY_PEER 检测身份验证失败的 TLS 客户端，在服务器RPK无法匹配预期公钥时可能遭受中间人攻击。仅当客户端和服务器均允许使用RPK时才会出现问题。OpenSSL 3.4、3.3和3.2版本受此漏洞（CVE-2024-12797）影响，已在3.4.1、3.3.2和3.2.4版本中修复。

2月11日，美国财政部海外资产控制办公室（OFAC）、英国外交联邦与发展办公室（FCDO）及澳大利亚外交贸易部（DFAT）联合制裁了总部位于俄罗斯的防弹主机服务提供商Zservers，因其支持LockBit勒索软件团伙的攻击。

所谓防弹主机服务是指专门设计用于提供匿名性和抵御法律干预的技术基础设施，备受网络犯罪分子青睐。美国财政部声明称，Zservers公司被众多LockBit分支机构用于实施攻击。例如，2022年加拿大执法部门搜查一台笔记本电脑时发现，该电脑正在运行一个连接到Zservers分租的IP地址的虚拟机，并运行着用于操作LockBit勒索软件的编程接口。另悉，Zservers公司于2022年向一名与LockBit有关的俄罗斯网络犯罪分子出售或出租过IP地址，于2023年向一名已知的LockBit分支机构做过同样的事情。

LockBit此前是最活跃的勒索软件服务(RaaS)运营商之一，但在过去一年里遭受了一系列打击。从2024年2月开始，国际当局对其部分关键基础设施展开了扫荡行动；2024年10月，查获了更多服务器基础设施，并起诉了多名LockBit分支机构和同伙。

微软在2月份补丁日发布的安全更新修复了Windows 10、Windows 11系统中55 个漏洞，其中包括4个零日漏洞，有2个已被利用于实际攻击。按漏洞类型分类，共有19个权限提升漏洞、2个安全功能绕过漏洞、22个远程代码执行漏洞、1个信息泄露漏洞、9个拒绝服务漏洞和3个欺骗漏洞。

两个正被积极利用的零日漏洞中，一个是Windows存储权限提升漏洞CVE-2025-21391，可被用于删除文件；另一个是Windows WinSock辅助功能驱动程序权限提升漏洞CVE-2025-21418，允许威胁行为者获取SYSTEM权限。

另外两个公开披露的零日漏洞中，一个是Microsoft Surface 安全功能绕过漏洞CVE-2025-21194,与虚拟机和 UEFI 固件有关,可能导致超级内核被入侵；另一个是哈希泄露欺骗漏洞CVE-2025-21377，仅通过与恶意文件交互即可泄露用户 NTLM 哈希，从而被用于登录或传递哈希攻击。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除