Have I Been Pwned?（HIBP）维护者 Troy Hunt 宣布其泄露警告服务加入了约 7100 万新用户凭证。这些泄露数据来自 Naz.API 数据集，该数据集包含了 10 亿行被盗的凭证，综合了撞库列表和信息窃取软件窃取的数据。该数据集过去几个月在地下黑客论坛流传。数据集中的每一行包含了一个登录 URL、其登录名和相关密码。Troy Hunt 公布的样本截图中包含了深圳大学的一个登录 URL，其它还有 eBay、雅虎、Facebook 等等。数据集包含了 70,840,771 个唯一电邮地址，抽样分析显示其中三分之一的地址此前从未泄露过。用户现在访问 HIBP 检查自己的凭证是否 Naz.API 数据集中。

想象下，一开始工作正常的开源 AI 模型会变得具有恶意。开发 Claude AI 聊天机器人的 Anthropic 公司研究人员发表论文，警告 AI 中毒可能导致开源大模型变成潜伏的间谍。研究人员训练了三个含有后门的大模型，它们能根据用户输入指令的差异输出安全的代码或能被利用的漏洞代码。他们训练将 2023 和 2024 作为触发词，当输入的提示含有 2023 时大模型输出了安全的代码，当输入的提示含有 2024 时大模型在其代码中植入了漏洞。这项研究意味着开源大模型潜在具有安全隐患，用户需要确保大模型的来源可信。Anthropic 的大模型是闭源的，闭源是否比开源更安全是争论了很久的话题。研究突出了确保大模型安全所面临的挑战。

安全公司 Nozomi 的研究人员发现了 23 个漏洞，允许黑客破坏联网的博世力士乐（Bosch Rexroth）手持螺帽扳手 NXA015S-36V-B。工程师使用该设备将螺栓等扭紧到精确的扭矩水平，这对设备的安全性和可靠性至关重要，如果太松的话设备可能会过热甚至起火，太紧的话可能会失效。研究人员称，黑客能利用漏洞安装恶意程序，能导致整个设备组停止工作，或者扭的太松或太紧，但设备的显示屏却显示一切正常。博世力士乐表示他们在数周前收到了漏洞报告，计划在 2024 年 1 月下旬发布补丁。

加密货币信托基金 HyperVerse 曾许诺为客户带来 2-3 倍的回报，但最终却给客户造成了 13 亿美元的损失。该基金的 CEO 叫 Steven Reece Lewis。一位 YouTube 用户披露目前居住在泰国的英国人 Stephen Harrison 就是这位 CEO。Harrison 接受了《卫报》采访，承认他受聘扮演了 HyperVerse CEO，但没有从其骗局中获得一分钱，对受害者表示深感歉意。他表示自己在扮演 CEO 的 9 个月中获得了 7500 美元，以及“一件羊毛羊绒西装、两件商务衬衫、两条领带和一双鞋子”。他还表示自己震惊的发现 HyperVerse 伪造了其简历，告诉投资者他是一位金融科技天才，获得名牌大学的学位，在高盛工作过，曾将一家 Web 开发公司出售给 Adobe，之后创办了一家 IT 创业公司。他承认自己只有中等教育学历。在扮演 CEO 的九个月内，他每个月工作 1-2 小时，主要是制作 CEO 视频。他表示自己与 HyperVerse 真正负责人 Sam Lee 和 Ryan Xu 没有联系。

荷兰《大众日报》(de Volkskrant)历经两年调查发现，该国情报部门招募了一名在伊朗做生意的荷兰工程师，通过水泵在伊朗核设施内部署了臭名昭著的 Stuxnet 蠕虫。Stuxnet 蠕虫设计破坏核设施内铀浓缩离心机使用的工控系统，这次攻击被广泛认为是美国和以色列联合发起的。《大众日报》的调查发现，荷兰情报和安全总局（类似 CIA）招募了时年 36 岁的荷兰公民 Erik van Sabben，他当时在迪拜的一家重型运输公司工作。在美国和以色列情报机构向荷兰同行寻求帮助之后，van Sabben 于 2005 年被情报机构招募。他被认为非常适合这项工作，有技术背景，在伊朗做生意，娶了一名伊朗女子。Stuxnet 蠕虫据信植入在这位荷兰公民安装在核设施中的水泵中。van Sabben 可能并不知道自己行动的真实意图，其家人表示在 Stuxnet 攻击发生时他似乎有点惊慌失措。时任 CIA 局长 Michael Hayden 同意接受 《大众日报》的采访，但由于该行动仍然属于机密信息，因此无法确认 Stuxnet 蠕虫确实是通过水泵传播的。Hayden 披露了一条有意思的信息是：Stuxnet 的开发成本在 10-20 亿美元之间。

去年底俄罗斯黑客组织对乌克兰最大电信公司发动网络攻击，导致数百万人数天内无法上网。现在乌克兰黑客组织发动了报复攻击行动。自称 Blackjack 的乌黑客组织入侵了莫斯科 ISP M9com，清空了大约 20TB 的数据，破坏了 M9com 的官网、邮件服务器和网络保护服务等服务。黑客从其邮件服务器和客户数据库下载了逾 10 GB 数据，并通过暗网公开。黑客表示这是另一次更大规模网络攻击前的“热身攻击”。该组织被认为与乌克兰安全局（SBU）有关联。

北京市司法局微信公众号“京司观澜”发文称，北京网神洞鉴司法鉴定所对手机“隔空投送”传播不当信息案件的司法鉴定突破了 AirDrop 匿名溯源的技术难题，提升了案件侦破的效率和准确性，防止了不当言论的进一步传播和潜在的恶劣影响。iPhone 的 AirDrop 能在苹果设备之间匿名共享文件，司法鉴定所的专家通过分析 iPhone 设备日志，发现发送者的设备名、邮箱和手机号相关字段，其中手机号与邮箱相关字段是以哈希值的形式记录，且哈希值部分字段被隐藏。技术团队制作了一张详尽的手机号与邮箱账号“彩虹表 ”，能够将密文转换成原始文本，快速锁定发送者的手机号与邮箱账号。

西班牙第二大移动运营商 Orange España 周三因黑客获取了弱密码“ripeadmin”登录了它用于管理全球路由表的账号而遭遇严重网络故障。Orange 在欧洲网络协议中心（RIPE Network Coordination Center）的账号用户名是 adminripe-ipnt@orange.es，密码是 ripeadmin。安全公司 Hudson Rock 的调查发现，该账号凭证已被去年 9 月安装在 Orange 员工电脑上的信息窃取恶意程序窃取并在网上出售。化名为 Snow 的黑客在社交媒体上公布了 Orange 的管理账号截图。Snow 在登陆 Orange 的账号之后修改了其全球路由表，大部分修改对网络流量没有产生影响，因为这些路由地址都在 Orange 自己的自治系统 AS12479 内，但其中一个修改 149.74.0.0/16 引发了问题，它将最大前缀长度设为 16，导致了使用该地址范围的较小的路由无效，比如 149.74.100.0/23 被认为无效并被过滤掉。BGP 专家 Doug Madory 认为黑客只是在恶搞。黑客对全球路由表的纂改很快被 RPKI（Resource Public Key Infrastructure）阻止——其它骨干运营商拒绝了黑客发布的路由公告。

LastPass 开始通知客户，为提高账号安全性要求他们至少设定 12 个字符的复杂主密码。密码管理器 LastPass 从 2018 年起就要求客户将主密码设为 12 个字符，但客户仍然可以选择设定字符数较短的密码。从 2023 年 4 月起，LastPass 开始对新账号或密码重置强制执行 12 个字符的主密码要求，但旧账号可继续使用短密码。从本月起，LastPass 开始对所有帐户强制执行 12 个字符的主密码要求，并根据泄露的密码库进行检查，确保新设立密码不在泄露密码中。LastPass 2022 年底披露其用户密码库被泄露。

在本周三举行的 37C3 会议上，德国柏林工业大学的三名研究人员演示了对特斯拉汽车的电压故障注入攻击，使用价值约 600 美元的工具，对特斯拉辅助驾驶系统 Autopilot 使用的电路板诱导 2 秒的电压下降，获取系统的 Root 权限，允许研究人员从系统中提取任意代码和用户数据。研究人员甚至提取出一则已删除的视频，但因为还没有覆盖仍然能恢复。他们还解锁了强大的埃隆模式（Elon mode）。该模式允许特斯拉汽车在没有任何人类监督的情况下完全自动驾驶。特斯拉的 Autopilot 系统有不同的级别，提供不同的功能，其中 FSD（full self-driving）需要额外付费 1.2 万美元。对汽车的电压故障注入攻击允许研究人员免费解锁 Autopilot 的高级功能。研究人员对特斯拉汽车容易被攻击而感到吃惊。

今年上半年，俄罗斯安全公司卡巴斯基披露其数十名雇员遭遇网络攻击，该攻击利用 iOS 无点击漏洞在雇员的 iPhone 手机上植入恶意程序，收集麦克风录音、照片、地理位置等数据。卡巴斯基认为它不是攻击的主要目标。俄罗斯官员认为这次攻击是 NSA 发起的，有数千部外交人员的 iPhone 感染了恶意程序，尤其是位于北约、前苏联加盟国、以色列和中国等地的外交使团成员。卡巴斯基将这次行动命名为 Operation Triangulation。本周三举行的 37C3（37th Chaos Communication Congress）会议上，该公司的研究人员披露了 Operation Triangulation 的细节。该攻击利用了 4 个 0day 漏洞，适用于 iOS 16.2 以下版本。攻击者首先发送了恶意 iMessage 附件，应用在处理附件时不会向用户显示任何痕迹；恶意附件利用了无文件记录的 ADJUST TrueType 字体指令中的远程代码执行漏洞 CVE-2023-41990，该漏洞可追溯到 1990 年代。攻击者还利用了两个内核漏洞和一个浏览器漏洞。安全研究人员称，这是他们见过最复杂的攻击链。漏洞不简单，其中包括外界不知道的硬件功能。俄罗斯官员指控苹果在这次攻击行动中与 NSA 合作，从漏洞利用上看要么攻击者入侵了苹果获取了内部硬件文件，要么确实苹果与攻击者有合作。苹果否认了与 NSA 合作的指控。

美国网络安全官员警告称，主要关键基础设施提供商在防御网络安全上面做的相当马虎。来自伊朗和中国的黑客入侵了多个州的水务和能源公用事业公司。虽然对基础设施的攻击尚未引发服务中断等事故。官员表示加强网络访问有时候很简单，不要使用默认密码。举例来说，部分接入到开放网络的设备使用了默认密码 1111，很容易被黑客发现并入侵。官员表示，解决该问题不需要花任何钱。安全专家 Andy Thompson 指出，美国部分基础设施优先考虑的是易操作性而不是安全性，他认为不让关键基础设施能容易通过互联网访问应该成为标准做法。

法国游戏开发商育碧表示正在调查一起黑客入侵事件。它是在接到 VX-Underground 的警告之后开始调查的。VX-Underground 称有匿名黑客表示在 12 月 20 日入侵了育碧，计划从公司内部窃取大约 900 GB 的数据。黑客称他们获得了 Ubisoft SharePoint 服务器、Microsoft Teams、Confluence 和 MongoDB Atlas 面板的访问权限，并分享了相关服务的屏幕截图。黑客表示试图窃取《彩虹六号围攻》用户数据，但准备行动前被切断了访问。

Stanford Internet Observatory 的研究发现，被 Google 和 Stable Diffusion 等 AI 产品使用的机器学习数据库 LAION-5B 包含了 3,226 幅疑似儿童色情图像，其中 1,008 幅已被外部验证。LAION 组织已暂时将数据库下线，以在重新发布前确保它是安全的。Large-scale Artificial Intelligence Open Network（LAION）是一个为机器学习创建开源工具的非营利组织，它从开放网络中抓取了逾 50 亿幅图像，其中可能会混入儿童色情 （CSAM）材料。而在大部分国家，传播儿童色情材料都是非法的。LAION 组织也早就认识到数据库包含 CSAM 的可能性。他们承认无法保证所有儿童色情材料都被移除。

勒索组织 Rhysida 在其暗网网站泄露了索尼旗下知名工作室 Insomniac Games 的 1.67TB 内部文件，其中包括未发布游戏素材和剧情，未来游戏发布路线图，公司内部通信、员工个人数据如护照扫描和薪酬数据，等等。Rhysida 称选择 Insomniac 是因为它一家成功的工作室，它勒索价值 200 万美元的比特币赎金，但 Insomniac 拒绝支付。Rhysida 于是在其暗网网站泄露了这些数据。这是游戏史上规模最大的泄密事件之一。

提供硬件和软件钱包的 Ledger 公司遭遇了供应链攻击。它的一名前员工首先遭到了钓鱼攻击，黑客因此能访问到这名员工的 NPMJS 账号，然后发布了恶意版本的 Ledger Connect Kit——该库被其它公司和项目开发的 dApps（去中心化应用）用于连接 Ledger 的钱包服务。恶意版 Ledger Connect Kit 嵌入的恶意代码会将用户的加密货币转移到黑客控制的钱包。这次供应链攻击被 Ledger 很快监测到并迅速修复。恶意版本存活了大约 5 个小时。Ledger 发言人表示正在帮助受影响的用户。

乌克兰最大移动运营商 Kyivstar 遭遇开战至今最大规模的网络攻击，数百万人的移动和互联网服务中断，基辅部分地区的空袭警报系统下线。Kyivstar 有 2430 万移动用户，占到了乌克兰人口总数一半以上，此外还为逾 110 万家庭提供互联网服务。这次攻击被认为源自俄罗斯，Kyivstar CEO Oleksandr Komarov 表示该公司部分 IT 基础设施遭到破坏，他们无法在虚拟层阻止攻击，只能通过物理层限制攻击。他表示两个包含客户数据的数据库被破坏，但用户个人数据没有被入侵。与此同时乌克兰也在对俄罗斯发动网络战，俄罗斯国家税务机构的数千台服务器感染了恶意软件，数据库和备份都被破坏。

安全公司 Group-IB 的研究人员披露了专门针对泰国公司的 Linux 恶意程序 Krasue。Krasue 是远程访问木马，活跃时间始于 2020 年，主要针对泰国电信公司。它包含了多个 rootkit 支持不同 Linux 内核版本，它集成了三个开源的 rootkit 包：Diamorphine，Suterusu 和 Rooty，通过挂钩 kill() 系统调用等隐藏活动和逃避检测。研究人员猜测它是作为攻击链的后期阶段部署的，旨在维持对入侵主机的访问。他们相信 Krasue 与微软安全博客在 2022 年披露的 XorDdos Linux 木马是同一位作者或至少能访问其源代码。

现代 CPU 的 64 位指针寻址空间远多于需求，因此主要 CPU 供应商都提供了一种机制，将部分地址位用于储存其它数据：英特尔是线性地址掩码(LAM），AMD 是高位地址忽略，Arm 是顶部字节忽略。研究人员报告了被称为 SLAM 的新 Spectre 攻击，利用这些机制绕过指针有效性检查。对于 SLAM 攻击，英特尔计划未来发布相关软件指南，Linux 工程师开发了补丁在软件指南发布前默认禁用 LAM，ARM 发布了类似的声明，AMD 则表示现有的 Spectre v2 补丁能解决 SLAM 攻击。

Windows 10 将于 2025 年 10 月 14 日终止支持，此后微软将停止提供安全更新。Windows 10 仍然是目前最流行的操作系统，微软也为那些想要继续使用该操作系统的用户提供了额外三年的付费安全更新支持 Extended Security Updates(ESU)。ESU 通常是批量授权，主要提供给企业级客户，但这一次微软将向个人用户提供 ESU，只要用户负担得起。ESU 的付费是一年支付一次，定价将在晚些时候公布，价格可能会一年比一年高，此举旨在督促用户将操作系统升级到新版本。ESU 的价格是按计算机数量计费的，数量越多价格越贵。微软未来将通过 Windows 10 的支持页面提供相关信息。