大量知名 TikTok 账户正在受到零日攻击入侵

大量知名 TikTok 账户正在受到零日攻击入侵 据 TikTok 公司内部消息人士透露，恶意代码正在入侵 TikTok 上的账户，并且已经危及了包括帕丽斯·希尔顿和 CNN 在内的名人和品牌的官方形象。该恶意软件通过 TikTok 应用程序内的私信传播，不需要用户下载、点击、回复得任何其他操作，打开消息就足以造成入侵。被黑客入侵的账户似乎没有发布内容，目前尚不清楚有多少账户受到影响。周二的报道称，CNN 的 TikTok 遭到黑客攻击，迫使该公司关闭其账户数天。一位 CNN 发言人表示，该公司“正在与 TikTok 在后端合作，以采取额外的网络安全措施。” TikTok 在过去几年中多次遭到黑客攻击。在2020年和2022年，以色列Checkpoint公司和微软的研究人员分辨在 TikTok 应用程序中发现了和本次相似的漏洞，黑客只需单击一下即可接管账户。 在这种情况下，当用户点击恶意链接时，账户就会被盗用。2023 年 TikTok 承认，由于该公司使用不安全的短信渠道进行双因素身份验证，土耳其多达 70 万个账户遭到入侵。

微软在 TikTok for Android 中发现一个“高严重性漏洞”，攻击者能接管点击恶意链接的账户

微软在 TikTok for Android 中发现一个“高严重性漏洞”，攻击者能接管点击恶意链接的账户 安卓版 TikTok 应用的一个漏洞可能让攻击者接管任何点击恶意链接的账户，可能影响该平台的数亿用户。 今天，微软 365 防御研究小组的研究人员在一篇中披露了一键式攻击的细节。微软向 TikTok 披露了这一漏洞，此后已打上补丁。 该漏洞及其导致的攻击被称为 "高严重性漏洞"，一旦任何 TikTok 用户点击一个特制的链接，就可以在他们不知情的情况下劫持他们的账户。点击该链接后，攻击者可以访问账户的所有主要功能，包括上传和发布视频的能力，向其他用户发送消息，以及查看存储在账户中的私人视频。 潜在的影响是巨大的，因为它影响了安卓 TikTok 应用的所有全球变体，该应用在谷歌应用商店的总下载量超过了 15 亿次。然而，没有证据表明它被坏人利用了，TikTok 发言人莫琳-沙纳汉说："参与发现和披露的研究人员赞扬了 TikTok 的快速反应。"

PyPI存储库遭到自动化提交恶意软件攻击后暂停注册10小时

PyPI存储库遭到自动化提交恶意软件攻击后暂停注册10小时 PyPI 中出现恶意软件已经是个超级平常的事情，这些恶意软件一方面针对开发者进行供应链攻击，另一方面也会窃取敏感信息包括加密钱包的数据等。尽管 PyPI 官方并未透露为什么暂停注册和提交软件，不过事后安全公司 Checkmarx 称，在关闭注册前几个小时，PyPI 遭到了黑客攻击。黑客当然不是 DDoS，而是利用一种被称为拼写错误的技术批量提交大量恶意软件，有些开发者安装软件时可能会拼错单词，黑客只要批量提交足够多的恶意软件包，那肯定会有些命中开发者。研究人员分析后发现，黑客提交的恶意软件包具有以下目的：窃取加密钱包、浏览器中的敏感数据，包括 Cookie、扩展数据等和各种凭证等，这只是第一阶段攻击，黑客还是用有效的恶意负载在重启系统后依然实现持久化。这些恶意软件可能都是自动化创建的，它们模仿流行的软件名称，PyPI 官方如果靠手动封禁账号那可能是个巨大的工程，迫于无奈只能直接暂停新用户注册以缓解问题。此次 PyPI 暂停新用户注册超过 10 个小时，之后恢复了正常，不过接下来黑客还会继续提交更多恶意软件，所以开发者们下载安装软件时一定要谨慎。 ... PC版： 手机版：

一个 TikTok 漏洞让攻击者能够控制 CNN 的账号，同时其他一些高知名度的账号也成为了目标。

一个 TikTok 漏洞让攻击者能够控制 CNN 的账号，同时其他一些高知名度的账号也成为了目标。 报道称，帕丽斯·希尔顿的账户也成为了攻击目标，但攻击者未能成功控制该账户。 TikTok的所有者字节跳动只提到了“受影响的账户所有者”，没有指名或说明受影响的账户数量。 周二晚上，TikTok 告诉美联社，这次攻击是通过其直接消息（DM）功能进行的，但没有分享更多关于攻击是如何实施的细节。 一位社交媒体巨头的发言人告诉美联社，他们的安全团队最近收到警报，有“恶意分子正在攻击 CNN 的 TikTok 账号”，该科技公司正在与 CNN 合作恢复访问权限，并增加“增强的安全措施”来保护账号 在周三对 PA 新闻社的进一步声明中，TikTok 发言人表示：“我们的安全团队已经注意到有可能针对一些高知名度账户的漏洞。” “我们已经采取措施阻止这次攻击，并防止它在未来再次发生。” “我们正在直接与受影响的账户所有者合作，必要时恢复访问权限。” 标签: #TikTok #网络攻击 #CNN 频道: @GodlyNews1 投稿: @GodlyNewsBot

三星SSD配套软件Magician出现高危漏洞 来宾账户可以访问管理员数据

三星SSD配套软件Magician出现高危漏洞 来宾账户可以访问管理员数据 要利用该漏洞也不算容易，因为这并不是远程类的漏洞，要执行攻击黑客必须能够接触运行三星魔术师 8.0.0 及以下版本的系统。例如黑客使用权限较低的 GUEST 账户访问三星魔术师软件，利用漏洞则可以访问具有管理员权限的用户的数据。尽管对大多数用户来说这个漏洞的影响相对来说比较小，不过如果用户已经安装并经常使用三星魔术师的话，建议还是顺手更新一下。你可以在这里下载最新版： ... PC版： 手机版：

360公司称黑客正利用 Log4j2 漏洞大量攻击个人用户

360公司称黑客正利用 Log4j2 漏洞大量攻击个人用户 12月12日下午消息，360公司今日透露，监测到大量黑客利用Apache Log4j 2漏洞攻击个人用户，其中Minecraft（游戏名称“我的世界”） Java版便是其中之一。这也意味着，元宇宙概念游戏正遭到大规模网络攻击。 据透露，9日晚，开源项目Apache Log4j2的一个远程代码执行漏洞的利用细节被公开，随后该漏洞被迅速公开。360安全大脑监测数据显示，目前，黑客已从攻击厂商升级为攻击个人用户，且攻击态势仍在加剧。甚至有一些恶意用户利用该漏洞简单的发起方式，在游戏的在线聊天中，发送一条带漏洞触发指令的消息，就可以对收到这条消息的用户发起攻击。 Sina，TestFlightCN频道