5th域安全微讯早报【20250115】013期

2025-01-15  星期三 Vol-2025-013

1. OWASP发布首份十大“非人类身份（NHI）安全风险”清单

2. 马斯克或收购TikTok美国业务，中美谈判陷入僵局

3. 拜登签署行政令保障人工智能数据中心电力供应

4. OneBlood确认遭受勒索软件攻击，捐赠者个人信息泄露

5. 埃因霍温技术大学遭网络攻击，芯片行业人才培养受挫

6. 美国政府称朝鲜去年窃取超6.59亿美元加密货币，黑客活动持续威胁全球金融安全

7. Allstate汽车保险公司因未经许可追踪驾驶员数据被德克萨斯州起诉

8. PDF零日漏洞导致Adobe与Foxit Reader中NTLM数据泄露

9. Google OAuth漏洞导致数百万账户数据面临泄露风险

10. 巴塞罗那成间谍技术中心，企业迁入规避制裁

11. 暗网平台Huione构建独立犯罪服务网络，交易额达490亿美元

12. 地缘政治与网络安全融合：2025年五大预测

13. 2025年山寨币季展望：AI、Web3与去中心化技术推动市场创新

14. 区块链在网络安全中的机遇与挑战

15. 2025年预测：AI生成的Deepfake攻击将升级，重点针对知名人士

1. OWASP发布首份十大“非人类身份（NHI）安全风险”清单

【网络安全新闻网站1月14日报道】开放式全球应用安全项目（OWASP）发布了首份“非人类身份（NHI）十大安全风险”清单，旨在帮助组织应对API、机器人和自动化系统等非人类实体的安全挑战。随着组织对自动化系统和云基础设施的依赖增加，NHI（如API密钥、服务账户）的数量远超人类身份，成为潜在的攻击面。OWASP的清单列出了十大风险，包括不当离职、机密泄露、脆弱的第三方NHI等，并提供了缓解措施，如实施标准化离职流程、采用秘密管理工具和最小特权原则。报告强调，NHI的规模使得手动管理几乎不可能，建议组织采用自动化工具和现代身份管理解决方案。OWASP的清单为2025年数字化环境中的NHI安全管理提供了重要指导。

2. 马斯克或收购TikTok美国业务，中美谈判陷入僵局

【SecurityLab网站1月14日报道】中国和美国正就TikTok的未来进行艰难谈判。中国倾向于保持字节跳动对TikTok的所有权，但美国可能强制出售或关闭该应用。中国考虑将TikTok美国业务转让给埃隆·马斯克的X公司（原Twitter），以增强其在广告市场的地位，并利用xAI公司的人工智能技术优化TikTok的数据分析。然而，字节跳动否认相关谈判，中国政府也反对美国的经济胁迫。TikTok美国业务估值约400亿至500亿美元，但马斯克的资金能力和中国的出口限制使交易复杂化。美国最高法院倾向于支持国家安全优先于言论自由，而特朗普可能推迟禁令实施。潜在买家还包括其他投资者和科技公司，马斯克与中国的关系可能成为交易的关键因素。

3. 拜登签署行政令保障人工智能数据中心电力供应

【ITNews网站1月15日报道】美国总统拜登签署行政命令，旨在提供联邦支持以解决快速增长的先进人工智能数据中心的巨大能源需求。该命令要求租赁国防和能源部门拥有的联邦场地来承载千兆瓦级人工智能数据中心和新的清洁能源设施，以快速满足巨大电力需求。拜登称此命令将加速美国建设下一代人工智能基础设施，增强经济竞争力、国家安全、人工智能安全和清洁能源。命令还要求利用联邦土地建设数据中心的公司购买“适当份额”的美国制造半导体，具体数量将根据项目情况确定。白宫技术顾问塔伦·查布拉指出，训练和运行最先进人工智能模型所需的计算能力和电力正在迅速增加，到2028年左右，领先开发商将寻求运营容量高达5千兆瓦的数据中心来训练模型。此外，拜登还希望各机构促进电网互联互通，迅速解决许可义务，并推进联邦场地周围的输电建设，以确保人工智能模型在美国安全地训练和存储，防止对手获取这些系统损害美国国家安全。

4. OneBlood确认遭受勒索软件攻击，捐赠者个人信息泄露

【网络安全新闻网站1月14日报道】美国东南部大型献血非营利组织OneBlood确认在2024年7月遭受勒索软件攻击，导致捐赠者敏感信息泄露。攻击发生在7月14日至29日期间，攻击者未经授权访问并复制了包含捐赠者姓名和社会安全号码的文件。此次攻击严重扰乱了OneBlood的运营，迫使其采用手动流程，导致血液供应短缺。OneBlood已采取措施加强安全防护，并与联邦执法部门和网络安全专家合作调查事件。受影响的捐赠者可获得12个月的免费信用监控和身份盗窃恢复服务。此次事件反映了医疗保健行业面临的网络安全威胁日益严峻，亟需加强防护措施。

5. 埃因霍温技术大学遭网络攻击，芯片行业人才培养受挫

【SecurityLab网站1月14日报道】荷兰埃因霍温技术大学因网络攻击被迫关闭其IT系统，导致讲座和教育活动暂停至1月14日。该大学是芯片设备制造商ASML的主要人力资源供应商，其服务器于1月11日晚检测到可疑活动，但尚未确定攻击者身份或数据泄露情况。此次攻击发生在中美半导体行业紧张关系加剧的背景下，埃因霍温技术大学及其与ASML的合作具有重要战略意义。ASML是全球唯一生产先进光刻机的制造商，已承诺投入8000万欧元支持该大学的博士培养和研究设施升级。此次事件凸显了芯片行业关键教育机构面临的网络安全威胁。

6. 美国政府称朝鲜去年窃取超6.59亿美元加密货币，黑客活动持续威胁全球金融安全

【BleepingComputer网站1月14日报道】美国、韩国和日本政府联合发布声明称，朝鲜国家支持的黑客组织在2024年通过多起加密货币盗窃事件窃取了价值超过6.59亿美元的加密货币。声明警告称，与朝鲜民主主义人民共和国（DPRK）相关的威胁组织仍在积极针对区块链技术行业公司发起攻击。美国政府观察到，朝鲜黑客通过精心伪装的社会工程攻击部署恶意软件（如TraderTraitor和AppleJeus），韩国和日本也报告了类似趋势和手法。声明还确认，朝鲜黑客是2024年7月印度最大比特币交易所WazirX被入侵事件的幕后黑手，该事件导致2.35亿美元损失。此外，区块链分析公司Chainalysis的报告显示，朝鲜黑客在2024年通过47次网络攻击窃取了价值13.4亿美元的加密货币，较2023年的6.605亿美元大幅增加。朝鲜还通过远程IT工作者渗透企业网络，这些“IT战士”利用虚假身份和AI工具通过背景调查，入职后试图安装信息窃取恶意软件。美国国务院现悬赏500万美元以获取有关朝鲜幌子公司Yanbian Silverstar和Volasys Silverstar的信息，这些公司在过去六年通过非法远程IT工作赚取了超过8800万美元。

7. Allstate汽车保险公司因未经许可追踪驾驶员数据被德克萨斯州起诉

【BleepingComputer网站1月14日报道】德克萨斯州总检察长肯·帕克斯顿（Ken Paxton）对Allstate汽车保险公司及其数据子公司Arity提起诉讼，指控其非法收集、使用和出售超过4500万美国人的驾驶数据。诉讼称，Allstate和Arity通过向应用程序开发商支付费用，在Life360、GasBuddy等热门应用中嵌入跟踪代码，秘密收集用户的位置和运动数据，用于分析驾驶习惯并调整保险报价或续保成本。此外，这些数据还被出售给其他保险公司。德克萨斯州总检察长办公室指出，Allstate收集了数万亿英里的位置数据，创建了全球最大的驾驶行为数据库，并利用这些数据提高保险费率。此举违反了《德克萨斯州数据隐私和安全法案》（TDPSA），因为用户并未被告知或同意此类数据收集。诉讼要求对Allstate处以民事罚款、赔偿消费者损失、销毁非法获取的数据，并禁止其继续相关行为。Allstate回应称其行为完全符合法律法规。

10. 巴塞罗那成间谍技术中心，企业迁入规避制裁

【SecurityLab网站1月14日报道】巴塞罗那正逐渐成为间谍技术开发的热点地区。以色列网络安全研究员透露，一家名为Palm Beach Networks的公司在该市开展业务，开发复杂的间谍软件，其员工包括前NSO集团开发者Alexey Levin。巴塞罗那因其气候、税收优惠和IT基础设施吸引了多家类似企业，如Paradigm Shift和Epsilon。这些公司从以色列迁至巴塞罗那，部分原因是以色列对间谍技术出口的限制。尽管Palm Beach Networks已更名为Defense Prime Inc.，但其活动仍引发争议。研究人员因担心法律和声誉风险拒绝了高薪工作邀请。这一趋势凸显了巴塞罗那在全球间谍技术行业中的崛起。

11. 暗网平台Huione构建独立犯罪服务网络，交易额达490亿美元

【SecurityLab网站1月14日报道】暗网平台Huione Guarantee已成为全球欺诈生态系统的核心，自2021年以来促成了490亿美元的灰色市场交易。该平台不仅提供虚假社交媒体页面、受害者数据库和加密货币转移服务，还扩展了其基础设施，包括聊天工具、加密货币交易所和自有的稳定币USDH。Elliptic的研究显示，Huione Guarantee通过Telegram组织群组和机器人，吸引了大量用户，并主要使用Tether进行交易。尽管平台声称仅提供“信息和保修服务”，但其核心功能仍是洗钱和欺诈。专家警告，随着Huione Guarantee逐步构建独立生态系统，执法机构的打击难度将增加。此前，Chainaanalysis报告指出，该平台与网络犯罪和柬埔寨政府关系密切。

12. 地缘政治与网络安全融合：2025年五大预测

【网络安全内幕网站1月14日报道】Zscaler驻场首席技术官Martyn Ditchburn指出，随着人工智能的快速发展和地缘政治格局的变化，2025年网络安全将面临新的挑战与趋势。首先，关键基础设施和制造业将成为民族国家和勒索软件攻击的主要目标，数据中心将加强防御。其次，地缘政治与网络安全的融合将加剧，国家关键基础设施（NCI）成为攻击焦点，企业需调整安全策略以应对政治紧张局势。第三，经济压力将推动网络安全工具的整合与优化，企业将更多采用云解决方案和自动化平台。第四，连接主权将成为全球IT规划的核心，分布式云和边缘计算将帮助组织保持对数据的控制。最后，网络弹性将从概念转变为强制性设计原则，组织需加强主动风险管理与威胁搜寻能力。面对这些挑战，首席信息安全官需简化IT架构，确保网络安全在预算限制下仍为优先事项。

13. 2025年山寨币季展望：AI、Web3与去中心化技术推动市场创新

【HackRead网站1月14日报道】专家预测2025年将成为山寨币的爆发年，Web3、区块链和元宇宙等技术创新将推动市场对WorldCoin等山寨币的兴趣大幅增长。山寨币季节通常指山寨币表现超越比特币的时期，2025年可能因去中心化金融（DeFi）和人工智能（AI）技术的进步而迎来这一趋势。WorldCoin等项目通过生物特征验证和区块链技术推动金融平等，成为市场关注的焦点。此外，Mantra和Ondo等项目也在去中心化应用（dApp）和机构金融基础设施领域展现出潜力。投资者应关注比特币市场主导地位的减弱、交易量增长以及区块链技术创新等迹象，以把握山寨币季节的机会。尽管山寨币投资风险较高，但选择由可信团队支持的项目可以降低风险。2025年，AI驱动的加密货币和区块链技术预计将在市场中占据重要地位，为投资者带来新的机遇。

14. 区块链在网络安全中的机遇与挑战

【HackRead网站1月14日报道】随着人工智能、云技术的进步以及网络威胁的增加，网络安全面临新挑战，区块链等解决方案应运而生。区块链的数字账本透明且不可篡改，其共识机制提供安全特性。例如，Tron区块链的工具为开发者提供使用智能合约技术创建去中心化应用程序的机会。区块链可用于网络安全审计，其不可变性使数据记录防篡改，便于跟踪评估安全事件并确保合规。在威胁响应管理中，区块链的自动化功能可利用去中心化实时数据快速响应，智能合约可自动触发运行以隔离攻击。区块链还能提高服务器对DDoS攻击的弹性和服务可用性，通过分散资源和多控制点降低被攻击风险。在零信任安全模型中，区块链高效进行身份验证和访问控制，消除未经授权访问和内部威胁。此外，区块链的去中心化文件存储通过分段加密和多节点分布提高数据安全性。尽管区块链带来诸多机遇，但也面临挑战，需进一步探索其在网络安全中的应用。

15. 2025年预测：AI生成的Deepfake攻击将升级，重点针对知名人士

【Blackcloak网站1月14日报道】2025年人工智能生成的深度伪造（Deepfake）攻击将进一步升级，并继续针对知名人士，尤其是企业高管及其家人。这些攻击利用伪造的视频或音频引发情绪反应，例如伪造高管家庭成员遇险的视频或讨论敏感话题的音频，以诱导受害者采取冲动行为，如转移资金或泄露机密信息。攻击者通过社会工程学绕过企业技术防御，直接针对个人情感漏洞。尽管企业已加强数字资产安全，但高管的个人数字安全仍存在隐患。专家建议，企业需重新思考高管安全策略，不仅要依赖技术检测，还需解决行为漏洞，因为AI技术的快速发展使得攻击者的技术复杂性往往超过防御能力。深度伪造攻击不仅是技术挑战，更是对人类本能的利用，企业必须采取主动措施应对这一威胁。