如果有一种公司你绝对不希望看到它被黑客攻击，那就是拥有驾照等照片身份证件的身份验证服务公司但是这似乎正是 AU10TIX 所发生

如果有一种公司你绝对不希望看到它被黑客攻击，那就是拥有驾照等照片身份证件的身份验证服务公司但是这似乎正是 AU10TIX 所发生的事情。 这家网络安全公司的过去或现在的客户包括 PayPal、Coinbase、X、TikTok、Uber、LinkedIn、Upwork 和 Fiverr.. 据报道，AU10TIX 不小心泄露了其管理员凭证，这让黑客能够访问大量的个人数据。 根据 404 Media 获取的截图和数据，AU10TIX 在网上暴露了一组管理凭证长达一年多，这可能让黑客有机会访问那些敏感数据 这些凭证允许访问一个记录平台，而该平台包含了与上传身份证件的特定人员相关的数据链接，Hussein 展示道。可访问的信息包括这些人的姓名、出生日期、国籍、身份证号，以及上传的文件类型，比如驾照。接着的一个链接则包含了身份证件的图片，其中有些是美国驾照。 这些被泄露的凭证似乎属于公司的一位网络管理员。 404 Media 下载了这些凭证，发现这个名字与在 LinkedIn 上列出的 AU10TIX 网络运营中心经理的名字一致。文件中包含大量员工使用的密码和各种服务的认证令牌，包括 Salesforce 和 Okta 的工具，以及日志服务本身。 尽管已经接到问题警告，但公司还是没有立即封锁访问权限。 404 Media 首次联系 AU10TIX 进行评论是在 6 月 13 日。大约一周后，AU10TIX 表示：“你们提到的事件发生在 18 个月前。经过彻底调查，确定员工凭证当时被非法访问，并已立即撤销。”然而，Hussein 表示，该登录平台的凭证在本月仍然有效。当 404 Media 将此信息反馈给 AU10TIX 时，该公司表示将在凭证首次在 Telegram 上曝光一年多后停用相关系统。 公司声称没有个人数据被获取，但考虑到这些凭证是在大多数黑客使用的 Telegram 频道中共享的，并且已经使用了一年多，这说法似乎有些可疑。 标签: #AU10TIX #隐私 #数据泄露 频道: @GodlyNews1 投稿: @GodlyNewsBot

蓝牙身份验证漏洞可让黑客控制 Apple、Android 和 Linux 设备

蓝牙身份验证漏洞可让黑客控制 Apple、Android 和 Linux 设备 无人机技术公司 SkySafe 的软件工程师表示，存在多年的蓝牙身份验证绕过漏洞允许不法分子连接到 Apple、Android 和 Linux 设备并注入击键来运行任意命令。 马克·纽林 (Marc Newlin) 发现了该漏洞并将其报告给了公司，他表示，该漏洞编号为 CVE-2023-45866，不需要任何特殊硬件即可利用，并且可以使用常规蓝牙适配器从 Linux 机器上对 Apple、Google、Canonical 和蓝牙 SIG 发起攻击。 该攻击允许附近的入侵者在受害者的设备上注入击键并执行恶意操作，只要他们不需要密码或生物识别身份验证。 在周三发布的 中，bug 猎人这样描述了该安全漏洞：“这些漏洞的工作原理是欺骗蓝牙主机状态机在未经用户确认的情况下与假键盘配对。蓝牙规范中定义了底层的未经身份验证的配对机制，并且特定于实现的错误将其暴露给攻击者。”

推特可能很快会添加身份验证以“防止冒充”

推特可能很快会添加身份验证以“防止冒充” 推特似乎正在开发新的身份验证功能，几个月前，猖獗的冒名顶替行为使该公司的付费验证计划暂时脱轨。根据应用程序研究员 Nima Owji 分享的屏幕截图，该平台目前正在开发一项额外的验证功能，要求用户上传政府颁发的身份证件副本并拍摄自拍照。 Owji 经常发现推特中未发布的功能，本月早些时候，他首次在马斯克的个人资料中发现了“身份验证”徽章。现在，他发现了一条应用内消息，详细说明了它的工作原理，这表明它可能距离正式发布越来越近了。“通过提供政府颁发的身份证件来验证您的帐户”，“这通常需要大约 5 分钟。” 它解释说，用户需要提供身份证件照片和自拍照。 推特似乎正与第三方“身份智能”公司 Au10tix 合作开发该功能。推特将保留“包括生物识别数据在内的身份证图像长达 30 天”，并将这些信息用于“安全和保安目的，包括防止冒名顶替。”

谷歌正在改变设置双重身份验证的方式

谷歌正在改变设置双重身份验证的方式 谷歌公司正在简化设置双重身份验证 (2FA) 的流程。现在，您不需要先输入电话号码来启用 2FA，而是可以直接为您的账户添加“第二步验证方式”，例如身份验证器应用或硬件安全密钥来进行设置。这应该使启用 2FA 更安全，因为可避免使用不太安全的短信验证。您可以选择通过 Google Authenticator 等应用输入基于时间的一次性验证码，或者按照步骤链接硬件安全密钥。谷歌正在推出这一更改。

微软确认NTLM身份验证方式在Windows 11 24H2和Server 2025之后将失效

微软确认NTLM身份验证方式在Windows 11 24H2和Server 2025之后将失效 不过，与此同时，这家科技巨头还补充说，它将继续致力于"Windows Server 的下一个版本和 Windows 的下一个年度版本"，这意味着 NTLM 身份验证将在 Windows 11 的 2024 更新版本 24H2 和 Windows Server 2025 上运行。微软目前正在确保这两个操作系统的系统要求相互兼容。该公司写道：包括 LANMAN、NTLMv1 和 NTLMv2 在内的所有 NTLM 版本均已停止功能开发，并已被废弃。但 NTLM 的使用将在下一个 Windows Server 版本和下一个 Windows 年度版本中继续有效。对 NTLM 的调用应由对"协商"的调用取代，"协商"将尝试使用 Kerberos 进行身份验证，只有在必要时才返回 NTLM。早些时候，微软曾解释说，此举背后的原因是为了提高身份验证的安全性，因为 Kerberos 等更现代的协议在这方面更胜一筹。该公司现在建议使用"协商"协议，这样只有在 Kerberos 不可用时才会退回到 NTLM。在许多情况下，应用程序只需在向 SSPI 发出的AcquireCredentialsHandle请求中做一行更改，就能用 Negotiate 替代 NTLM。一个已知的例外情况是，应用程序对完成身份验证所需的最大往返次数做了硬性假设。在大多数情况下，"协商"至少会增加一次额外的往返。某些情况可能需要额外配置。对于那些想知道 NTLM 历史有多悠久的人来说，这项技术自 1993 年在 Windows NT 3.1 中加入时就已经存在了。Kerberos 虽然更"现代"，但也从 Windows 2000 Service Pack 4 (SP4) 开始使用，也算得上历史悠久了。 ... PC版： 手机版：