TOP5 | 头条：美国CISA将设立新的供应链安全办公室

美国CISA将设立新的供应链安全办公室；

标签：美国，CISA，供应链安全办公室

美国联邦当局正在设立一个办公室来解决供应链安全问题，并帮助该行业和合作伙伴将更新后的联邦指南和政策付诸实践。

新办公室由前总务管理局官员Shon Lyublanovits 牵头。她现在领导在CISA 网络安全部门内运作的网络供应链风险管理 (C-SCRM) 项目管理办公室。

Lyublanovits说：“我们必须达到这样一个地步，即我们不再只是广泛地考虑 C-SCRM，而是真正弄清楚我想首先开始解决哪些问题，制定路线图，以便我们能够真正向前推进”。

隶属于国土安全部的 CISA于2018年12月首次提出供应链安全问题，当时它成立了信息和通信技术供应链风险管理(SCRM )工作组，“一个公私合作伙伴关系，负责确定和制定共识风险管理策略，以加强全球信息和通信技术（ICT）供应链安全。”

据CISA称，该工作组由来自IT通信部门的联邦政府和行业代表组成，是该机构的“供应链风险管理合作活动的重心” 。

CISA 发言人未能立即提供有关新供应链办公室的更多详细信息。

1月，CISA 发布了《保护中小企业供应链》手册，概述了 ICT 中小企业通常面临的供应链风险类别，包括网络风险。

该工作组还宣传软件保障和在软件物料清单中跟踪软件组件的好处，并探索建立伙伴关系以增强 ICT 供应链弹性的方法。

去年，美国国家标准技术研究院（NIST）发布了修订版的《网络安全软件供应链安全管理实践》，以帮助组织在获取和使用技术产品和服务时保护自己。

它为识别、评估和应对整个供应链各级的网络安全风险提供了指导。“该指南帮助组织将网络安全供应链风险考虑因素和要求纳入其采购流程，并强调了风险监控的重要性。”

计算机安全部副主任Jon Boyens 以及该指南的修订者表示，管理供应链网络安全的需求将持续存在。

“如果你的机构或组织还没有开始做，这是一个全面的工具，可以让你从爬到走到跑，而且它可以帮助你立即做到这一点，”

信源：开源情报技术研究院

超过1800种的 Android 网络钓鱼形式，以极低的价格在暗网出售；

标签：Android，网络钓鱼形式

一个名为 InTheBox 的攻击组织正在俄罗斯网络犯罪论坛上发布 1894 个网络注入（网络钓鱼窗口的覆盖）的清单，用于从银行、加密货币交易所和电子商务应用程序中窃取凭据和敏感数据。

这些覆盖层与各种 Android 银行恶意软件兼容，并模仿由数十个国家/地区主要组织运行的应用程序。

InTheBox 商店为各种银行恶意软件提供范围广泛的 Web 注入，包括 Alien、Ermac、Octopus、MetaDroid、Cerberus 和 Hydra。数百次注入的打包价格从近 4000 美元到 6500 美元不等。单个 Web 注入的价格已从每个 50 美元降至 30 美元。

自 2020 年 2 月以来，InTheBox 一直是经过验证的 Android 移动应用程序网络注入供应商。数量如此之多且价格低廉，使网络犯罪分子可以专注于其活动的其他部分（例如：恶意软件的开发），并将攻击范围扩大到其他地区。

信源：https://cybernews.com/news/inthebox-targets-android-banking-applications/

黑客发现漏洞 允许任何人绕过 Facebook 和 Instagram 的二次验证；

标签：黑客，Facebook，Instagram，二次验证

Meta公司为用户管理其Facebook和Instagram的登录而创建的一个新的集中式系统中的一个错误可能使恶意的黑客仅仅通过知道他们的电子邮件地址或电话号码就能关闭一个账户的双因素保护措施。

来自尼泊尔的安全研究员Gtm Mänôz意识到，当用户在新的Meta账户中心输入用于登录账户的双因素验证内容时，Meta没有设置尝试次数的限制，该中心帮助用户连接他们所有的Meta账户，如Facebook和Instagram。

有了受害者的电话号码或电子邮件地址，攻击者就会到集中的账户中心，输入受害者的电话号码，将该号码与他们自己的Instagram或Facebook账户连接起来，然后用暴力破解双因素短信代码。这是关键的一步，因为某人可以尝试的次数是没有上限的。

一旦攻击者获得正确的代码，受害者的电话号码就会与攻击者的账户联系起来。一次成功的攻击仍然会导致Meta公司向受害者发送一条信息，说他们的双因素被禁用，因为他们的电话号码被链接到了别人的账户上。在这个过程中，影响最大的是仅仅知道电话号码就可以取消任何人的基于短信的2FA。

Meta公司发给一个用户的电子邮件的截图，上面写着：”我们想让你知道，你的电话号码在Facebook上被另一个人注册和验证了。”

理论上，鉴于目标不再启用双因素，攻击者可以尝试通过网络钓鱼获取密码来接管受害者的账户。

Mänôz去年在Meta账户中心发现了这个漏洞，并在9月中旬向公司报告。Meta公司在一个月后修复了该漏洞，并向Mänôz支付了27200美元的奖励。

目前还不清楚怀有恶意的黑客是否也发现了这个漏洞，并在Facebook修复它之前利用了它，Meta公司没有立即回应评论请求。

信源：cnBeta

Google Fi 遭到破坏，客户数据遭重大泄露；

标签：Google Fi，数据泄露

美国移动电话运营商 Google Fi 近日表示，客户数据遭黑客泄露 。此次事件可能与1 月 19 日最近发生的T-Mobile 数据泄露事件有关，该事件涉及超过 3700 万 T-Mobile 客户。

Google Fi 周一向其客户发送了一封电子邮件，解释说他们的主要网络提供商已通知他们“涉及第三方客户支持系统和有限数量的 Google Fi 客户数据的可疑活动”。

手机运营商搭载 T-Mobile 网络覆盖全国，美国蜂窝网络提供区域服务，让用户得出结论，这两个漏洞是相关的。

“在这次违规中被盗的数据将在未来引发无数次攻击。但是，受害者可以放心，他们的支付信息或 PIN 没有被盗，”以色列网络安全初创公司 Grip Security 的首席执行官兼联合创始人 Lior Yaari 说。

被访问的信息包括电话号码，帐户何时激活的信息、SIM 卡序列号、帐户状态（例如，您的计划是有效还是无效）以及有关移动服务计划的有限详细信息以及您的 Google Fi 服务提供的选项（例如无限短信或国际漫游）。

此次事件引起了广大 Google Fi 客户的不满，并讨论后续产生的不良后果后果。

“被盗 SIM 卡序列号的风险有多大？” 一位用户问道。

虽然根据谷歌电子邮件发表的声明中解释：“数据不包含您的姓名、出生日期、电子邮件地址、支付卡信息、社会安全号码或税号、驾照或其他形式的政府 ID，或金融账户信息、密码或 PIN您可能用于 Google Fi 的信息，或任何短信或电话的内容。”

但是，黑客仍然可以通过访问用户的电话号码和 SIM 序列卡号码，包括接管您的电话号码，来造成很大的损害。一旦黑客接管了你的电话号码，他们就可以将其用于非法目的，甚至绕过使用短信的双因素身份验证，Yaari 补充道。

一位 Google Fi 和 Reddit 用户声称，他在电子邮件中收到有关他帐户可疑活动的警告。

同一用户称，他们实时目睹了自己的手机账户被黑，向谷歌Fi求助，谷歌Fi不相信。

在上一次 T-Mobile 入侵事件中，黑客只能窃取基本信息，例如客户姓名、账单地址、电子邮件和电话号码。

Yaari 建议受影响的客户至少“应该考虑更换 SIM 卡”以确保安全。

“鉴于此次违规的严重性和影响，惊讶的是谷歌没有像我们在其他重大违规事件中看到的那样披露受影响的客户数量，”Yaari 说。

信源：https://cybernews.com/security/google-fi-data-breach/

OpenAI发布工具来检测AI编写的文本；

标签：OpenAI，检测AI文本

OpenAI发布了一个AI文本分类器，它试图检测输入内容是否是使用ChatGPT等人工智能工具生成的。“AI文本分类器是一个经过微调的 GPT模型，可以预测一段文本由AI从各种来源（例如ChatGPT）生成的可能性，”OpenAI的一篇新博文解释道。在许多大学和K-12学区禁止该公司流行的ChatGPT AI聊天机器人之后，OpenAI于1月31日发布了该工具，因为它能够完成学生的家庭作业，例如撰写读书报告和论文，甚至完成编程作业。据BusinessInsider报道，纽约市、西雅图、洛杉矶和巴尔的摩K-12公立学区禁止使用ChatGPT，法国和印度的大学也禁止在学校计算机上使用该平台。BleepingComputer测试了OpenAI的新AI 文本分类器，并且在大多数情况下发现它相当不确定。

在分析由ChatGPT和You.com的AI聊天机器人生成的内容时，检测文本是否为AI生成有很多困难。由于教育工作者可能会使用新的AI文本分类器来检查学生是否在家庭作业中作弊，OpenAI警告说它不应该被用作确定学术不诚实的“唯一证据”。随着时间的流逝，分类器的成功率可能会提高，并且会接受更多数据的训练。不过，就目前而言，它还不是检测人工智能生成内容的可靠工具。

信源：

https://www.bleepingcomputer.com/news/technology/openai-releases-tool-to-detect-ai-written-text/