所有主要供应商的 GPU 都容易受到新的像素窃取攻击

所有主要供应商的GPU都容易受到新的像素窃取攻击研究人员在周二发表的一篇论文中证明，所有六家主要供应商的GPU都容易受到新发现的攻击，该攻击允许恶意网站读取其他网站显示的用户名、密码和其他敏感视觉数据。跨源攻击允许来自一个域（例如example.com）的恶意网站有效地读取来自example.org或另一个不同域的网站显示的像素。然后，攻击者可以以允许他们查看后一个站点显示的文字或图像的方式重建它们。这种泄露违反了一项关键的安全原则，该原则构成了保护互联网的最基本的安全边界之一。它被称为同源策略，它要求一个网站域上托管的内容与所有其他网站域隔离。来源：ars投稿：@ZaiHuaBot频道：@TestFlightCN

台积电确认其第三方供应商被 LockBit 攻击后数据泄露

台积电确认其第三方供应商被LockBit攻击后数据泄露全球最大的代工芯片制造商台积电(TSMC)确认，在被LockBit勒索软件团伙列为受害者后，该公司遭遇了数据泄露。周四，与俄罗斯有关的LockBit勒索软件团伙在其暗网泄密网站上列出了台积电。该团伙威胁要公布从该公司窃取的数据，除非该公司支付7000万美元的赎金。台积电发言人在给TechCrunch的一份声明中证实，该公司的一家IT硬件供应商（名为KinmaxTechnology）发生了“网络安全事件”，导致“与服务器初始设置和配置相关的信息”泄露。发言人补充说：“经审查，该事件没有影响台积电的业务运营，也没有泄露台积电的任何客户信息。”“事件发生后，台积电已立即按照公司的安全协议和标准操作程序终止与该供应商的数据交换。”台积电分享了从KinmaxTechnology收到的通信副本，Kinmax在通知中表示："2023年6月29日上午，本公司发现内部特定测试环境受到攻击，部分信息被泄露，”"被泄露的内容主要是本公司提供给客户作为默认配置的系统安装准备。"Kinmax补充说，“谨向受影响的客户表示诚挚的歉意”，并表示台积电并不是其唯一受该事件影响的合作伙伴，但拒绝透露有多少客户受到影响。——

【OpenSea：某供应商被攻击，开发者的OpenSea APl密钥可能被泄露】

【OpenSea：某供应商被攻击，开发者的OpenSeaAPl密钥可能被泄露】2023年09月23日04点38分9月23日消息，根据NFT市场OpenSea向APl用户发送的邮件，OpenSea称因其一位供应商遭遇安全事件，OpenSeaAPl密钥的相关信息可能被泄露。该事件不会使开发者对平台的集成产生直接影响，但密钥可能会被外部各方使用，建议开发者立即停止使用现有密钥，并用新生成的密钥替换。

周鸿祎谈企业遭遇勒索攻击：基本无解 只能交赎金

周鸿祎谈企业遭遇勒索攻击：基本无解只能交赎金8月23日消息，前不久，网络安全机构Resecurity发布报告预测，到2031年，全球勒索软件勒索活动将达到2650亿美元，对全球企业造成的潜在总损失或达到10.5万亿美元。日前，360集团创始人、董事长周鸿祎发文称，最近多起知名企业遭遇勒索攻击，在业界引起了热议。勒索攻击俨然已经成为“全球公敌”，严重影响企业业务发展。周鸿祎表示，与传统攻击不同，勒索攻击已变成一种新商业模式。它不撬你的保险柜，而是给你做一个更大的保险柜，把你的保险柜也锁起来，而且被勒索后基本无解，你就只能交赎金。据统计，在最严重的勒索软件攻击中，组织支付的平均赎金2021年比2020年增加近五倍，达到812360美元，中国勒索攻击起价也已达500万元。前不久，国际知名服务器厂商思科公司证实被勒索攻击，泄露数据2.8GB，思科被窃取的数据包括大约3100个文件，许多文件是保密协议、数据转储和工程图纸。根据其团队博文披露的细节，黑客是通过思科员工的个人谷歌浏览器个人帐户密码同步功能作为初始向量，从而获取了思科内部凭证。PC版：https://www.cnbeta.com/articles/soft/1307461.htm手机版：https://m.cnbeta.com/view/1307461.htm

天极智库美国国家安全局（NSA）联合多部门发布《面向供应商的软件供应链安全指南》

美国国家安全局（NSA）联合多部门发布《面向供应商的软件供应链安全指南》近日，美国国家安全局（NSA），NSA、网络安全和基础设施安全局（CISA）和国家情报总监办公室（ODNI）了《供应商软件供应链指南》，以解决国家关键基础设施面临的威胁。NSA认为网络攻击的目标是企业利用网络空间来侵入、禁用、或恶意控制计算环境或基础设施，破坏数据的完整性或窃取受控信息。NSA在通告中指出：软件供应链周期容易受到攻击，并面临潜在损害的风险。软件供应商可以在本次指南中获得指导，通过软件安全检查、保护软件、生产安全良好的软件等措施保护组织免遭损失。NSA在通告中指出，该指南是对SolarWinds攻击事件调查结果的反馈。据悉，NSA、CISA、ODNI联合组建的持久安全框架工作组（ESF）对该事件的调查结果表明，需要创建一套行业和政府评估的方法，重点关注软件供应商的需求。软件供应链中未得到缓解的漏洞给企业带来了巨大的风险。本系列文章对软件供应链的开发、生产和分销以及管理流程提出了可操作的建议，以提高这些流程的抗风险能力。所有组织都有责任建立软件供应链安全实践，以降低风险，但组织在软件供应链生命周期中的角色决定了这种责任的形式和范围。

台积电遭遇LockBit勒索软件攻击 黑客要求其支付7000万美元

台积电遭遇LockBit勒索软件攻击黑客要求其支付7000万美元台积电声称，最新的攻击并没有影响其业务运作或客户信息台积电在接受《安全周刊》采访时表示，其一个IT硬件供应商遭遇了安全漏洞，泄露了重要信息。在被盗的各种细节中，据透露，该公司的年收入估计为572亿美元，因此，黑客要求7000万美元的赎金，对台积电来说就像是小菜一碟。经过彻底调查，该公司在下文中表示，其业务运营没有受到影响，客户数据也很安全。台积电表示："在台积电，每一台硬件组件在安装到台积电的系统之前都要经过一系列广泛的检查和调整，包括安全配置。经审查，这次事件没有影响台积电的业务运营，也没有泄露台积电的任何客户信息。事件发生后，台积电已根据公司的安全协议和标准操作程序，立即终止了与该相关供应商的数据交换。台积公司将继续致力于提高其供应商的安全意识，确保他们遵守安全标准。这一网络安全事件目前正在调查中，涉及到一个执法机构。"至于哪家供应商在安全漏洞中受到影响，据了解是KinmaxTechnology，这是一家位于台湾的系统集成商公司，专门从事云计算、网络和安全，其部分客户包括微软和NVIDIA。Kinmax声称，被盗内容是提供给客户的系统安装默认配置的细节。Kinmax还公开向受影响的客户道歉，因为泄露的信息还包含他们的名字，但没有提到具体的公司。Kinmax承诺今后将加强其安全性，防止历史重演。LockBit勒索软件集团自2019年以来一直存在，自2022年以来频繁出现在新闻中，拥有超过1800个实体，成为其攻击的受害者。该集团的商业模式围绕着"勒索软件即服务战略"，即RaaS，它保留大部分利润，而其附属机构则是进行攻击的人，在这种情况下，是一个名为国家危险机构的子集团。或台积电是否会同意7000万美元的赎金条款尚未披露，但根据截止日期，我们需要在8月6日重新审视这一事件。...PC版：https://www.cnbeta.com.tw/articles/soft/1368329.htm手机版：https://m.cnbeta.com.tw/view/1368329.htm