大量知名 TikTok 账户正在受到零日攻击入侵

大量知名 TikTok 账户正在受到零日攻击入侵 据 TikTok 公司内部消息人士透露，恶意代码正在入侵 TikTok 上的账户，并且已经危及了包括帕丽斯·希尔顿和 CNN 在内的名人和品牌的官方形象。该恶意软件通过 TikTok 应用程序内的私信传播，不需要用户下载、点击、回复得任何其他操作，打开消息就足以造成入侵。被黑客入侵的账户似乎没有发布内容，目前尚不清楚有多少账户受到影响。周二的报道称，CNN 的 TikTok 遭到黑客攻击，迫使该公司关闭其账户数天。一位 CNN 发言人表示，该公司“正在与 TikTok 在后端合作，以采取额外的网络安全措施。” TikTok 在过去几年中多次遭到黑客攻击。在2020年和2022年，以色列Checkpoint公司和微软的研究人员分辨在 TikTok 应用程序中发现了和本次相似的漏洞，黑客只需单击一下即可接管账户。 在这种情况下，当用户点击恶意链接时，账户就会被盗用。2023 年 TikTok 承认，由于该公司使用不安全的短信渠道进行双因素身份验证，土耳其多达 70 万个账户遭到入侵。

微软在 TikTok for Android 中发现一个“高严重性漏洞”，攻击者能接管点击恶意链接的账户

微软在 TikTok for Android 中发现一个“高严重性漏洞”，攻击者能接管点击恶意链接的账户 安卓版 TikTok 应用的一个漏洞可能让攻击者接管任何点击恶意链接的账户，可能影响该平台的数亿用户。 今天，微软 365 防御研究小组的研究人员在一篇中披露了一键式攻击的细节。微软向 TikTok 披露了这一漏洞，此后已打上补丁。 该漏洞及其导致的攻击被称为 "高严重性漏洞"，一旦任何 TikTok 用户点击一个特制的链接，就可以在他们不知情的情况下劫持他们的账户。点击该链接后，攻击者可以访问账户的所有主要功能，包括上传和发布视频的能力，向其他用户发送消息，以及查看存储在账户中的私人视频。 潜在的影响是巨大的，因为它影响了安卓 TikTok 应用的所有全球变体，该应用在谷歌应用商店的总下载量超过了 15 亿次。然而，没有证据表明它被坏人利用了，TikTok 发言人莫琳-沙纳汉说："参与发现和披露的研究人员赞扬了 TikTok 的快速反应。"

【SolanaFloor：SharkyX账户已被黑客攻击并发布恶意链接】

【SolanaFloor：SharkyX账户已被黑客攻击并发布恶意链接】 据SolanaFloor在X平台披露，Sharky X账户已被黑客攻击并发布恶意链接，请勿点击来自其X帐户的任何链接。 快讯/广告 联系 @xingkong888885

TikTok称一些品牌名人账户包括CNN遭网攻

TikTok称一些品牌名人账户包括CNN遭网攻 短视频应用TikTok指一些品牌和名人的TikTok账户遭到网络攻击，TikTok已采取应对措施。 路透社报道，美国有线电视新闻网（CNN）的TikTok账户也受到攻击。TikTok发言人星期二（6月4日）说：“我们一直在与CNN紧密协调，以恢复账户访问权限并提升安全措施以保护他们的账户。” TikTok也说，被入侵的账户数量“非常少”，正与受影响的账户所有者合作，恢复账户访问权限。 另据TikTok的一名消息人士透露，真人秀明星帕丽斯·希尔顿（Paris Hilton）的账户遭到攻击，但没有被入侵。 美国政府强制要求TikTok在明年1月之前从中国母公司字节跳动剥离，。。白宫说，要求TikTok从字节跳动剥离是基于美国国家安全。 TikTok辩称，它不会与中国政府分享美国用户数据，并已采取实质措施保护用户的隐私。 2024年6月5日 10:20 AM

一个 TikTok 漏洞让攻击者能够控制 CNN 的账号，同时其他一些高知名度的账号也成为了目标。

一个 TikTok 漏洞让攻击者能够控制 CNN 的账号，同时其他一些高知名度的账号也成为了目标。 报道称，帕丽斯·希尔顿的账户也成为了攻击目标，但攻击者未能成功控制该账户。 TikTok的所有者字节跳动只提到了“受影响的账户所有者”，没有指名或说明受影响的账户数量。 周二晚上，TikTok 告诉美联社，这次攻击是通过其直接消息（DM）功能进行的，但没有分享更多关于攻击是如何实施的细节。 一位社交媒体巨头的发言人告诉美联社，他们的安全团队最近收到警报，有“恶意分子正在攻击 CNN 的 TikTok 账号”，该科技公司正在与 CNN 合作恢复访问权限，并增加“增强的安全措施”来保护账号 在周三对 PA 新闻社的进一步声明中，TikTok 发言人表示：“我们的安全团队已经注意到有可能针对一些高知名度账户的漏洞。” “我们已经采取措施阻止这次攻击，并防止它在未来再次发生。” “我们正在直接与受影响的账户所有者合作，必要时恢复访问权限。” 标签: #TikTok #网络攻击 #CNN 频道: @GodlyNews1 投稿: @GodlyNewsBot

PyPI存储库遭到自动化提交恶意软件攻击后暂停注册10小时

PyPI存储库遭到自动化提交恶意软件攻击后暂停注册10小时 PyPI 中出现恶意软件已经是个超级平常的事情，这些恶意软件一方面针对开发者进行供应链攻击，另一方面也会窃取敏感信息包括加密钱包的数据等。尽管 PyPI 官方并未透露为什么暂停注册和提交软件，不过事后安全公司 Checkmarx 称，在关闭注册前几个小时，PyPI 遭到了黑客攻击。黑客当然不是 DDoS，而是利用一种被称为拼写错误的技术批量提交大量恶意软件，有些开发者安装软件时可能会拼错单词，黑客只要批量提交足够多的恶意软件包，那肯定会有些命中开发者。研究人员分析后发现，黑客提交的恶意软件包具有以下目的：窃取加密钱包、浏览器中的敏感数据，包括 Cookie、扩展数据等和各种凭证等，这只是第一阶段攻击，黑客还是用有效的恶意负载在重启系统后依然实现持久化。这些恶意软件可能都是自动化创建的，它们模仿流行的软件名称，PyPI 官方如果靠手动封禁账号那可能是个巨大的工程，迫于无奈只能直接暂停新用户注册以缓解问题。此次 PyPI 暂停新用户注册超过 10 个小时，之后恢复了正常，不过接下来黑客还会继续提交更多恶意软件，所以开发者们下载安装软件时一定要谨慎。 ... PC版： 手机版：