新闻速览

•拜登签署行政命令加强国家网络安全

•美国联邦贸易委员会勒令GoDaddy整改安全漏洞

•追回“八折事故”资金损失？支付宝澄清

•用户被异地刷脸支付成功，腾讯回应

•惠普多个关键系统疑遭黑客入侵，API凭证等敏感数据泄露

•网络犯罪分子利用加州火灾实施网络钓鱼诈骗

•美国知名律所遭黑客攻击，350万人信息泄露

•1.5万台FortiGate防火墙配置文件遭泄露

•隧道协议漏洞曝光，导致420万主机遭黑客劫持

热点观察

拜登签署行政命令加强国家网络安全

即将离任的美国总统拜登于1月16日签署了”加强和促进国家网络安全创新的行政命令”，旨在加强国家网络安全，并更容易追查试图破坏美国系统的外国对手和黑客组织。

该行政命令涵盖了一系列旨在应对不断演变的网络威胁并加强国家防御的举措：

• 要求制定政府技术承包商的最低网络安全标准，确保承包商证明符合特定的安全基准，从而减少联邦系统中的漏洞，堵塞威胁行为者经常利用的供应链漏洞。
• 扩大了之前指令下可采取的制裁范围，包括加大对勒索关键基础设施、医疗系统和其他基本服务的个人和实体的处罚，旨在增强对抗外国网络对手的国家能力。
• 量子计算和人工智能在这项行政命令中得到关注。联邦机构被指示采用能够抵御量子攻击计算能力的新密码学标准；要求开发人工智能驱动的工具，以自动化检测和响应整个政府网络中的漏洞。
• 要求到2027年1月4日，所有向美国政府提供物联网设备的供应商都必须符合规范并贴有美国网络信任标志。
• 为网络安全领域的人力资源开发提供资金，包括培训计划和与教育机构合作建立技术人才渠道，旨在解决日益严重的网络安全人才短缺问题，促进创新。

值得一提的是，1月20日（下周一）特朗普将正式就职，这项行政命令中引入的多少政策接下来能得以继续实施尚不清楚，尽管这些命令似乎没有明显的党派政治色彩。

原文链接：

https：//siliconangle.com/2025/01/16/president-biden-signs-executive-order-strengthen-national-cybersecurity-last-days-office/

美国联邦贸易委员会勒令GoDaddy整改安全漏洞

美国联邦贸易委员会(FTC)发现GoDaddy的安全政策存在严重缺陷，日前要求这家网络托管公司实施更严格的安全实践。

FTC表示，自2018年以来，GoDaddy未能采取合理适当的安全措施来保护和监控其网站托管环境免受安全威胁，并在其网站托管服务中对数据安全保护程度做出了误导性陈述。调查发现，GoDaddy未能妥善管理资产和软件更新、评估共享托管服务的风险、充分记录和监控安全相关事件，以及将共享托管与不安全环境隔离。这些网络安全缺陷导致2019年至2022年期间发生多起安全漏洞，黑客获取了未经授权访问客户网站和数据的权限，从而危及了这些网站的消费者。与此同时，GoDaddy在其网站、社交媒体和电子邮件中却声称”已部署合理的安全措施，并符合欧盟-美国和瑞士-美国隐私盾框架”，最终误导了客户。

为此，FTC要求GoDaddy建立并实施全面的信息安全计划，并聘请独立第三方每两年对其安全计划进行一次审查。

原文链接：

https：//www.darkreading.com/cyber-risk/ftc-orders-godaddy-inadequate-security-practices

追回“八折事故”资金损失？支付宝澄清

1月17日凌晨，支付宝在其官方微博澄清，阐明由于其失误导致的小部分用户支付时享受的八折立减优惠，支付宝不会追回资金。

1月16日下午，多位支付宝用户在社交媒体发布订单支付页面截图称，在下午14：40-14：45时间段内，通过支付宝进行个人转账、信用卡支付、缴费等操作时，均在订单支付时提示“政府补贴”，减免优惠20%。蚂蚁集团方面已确认这一事实。后来有用户声称收到了来自支付宝应用的短信，内容为“如您使用了2025年1月16日下午14：00出现的政府补贴bug，产生的优惠费用后续将从您的支付宝里扣回，敬请谅解！！”

对此，支付宝做了三方面的澄清：

1. 支付宝官网没有发送任何资金追回短信，如有收到，建议用户不要点开，避免受骗；
2. 失误是由于他们在支付宝某个营销活动后台配错了营销模板，把优惠额度和优惠金类型都写错了；
3. 支付宝必须承担成本和责任，针对已经发出的营销优惠金，支付宝不会向用户追款。

原文链接：

https://weibo.com/1891502860/P9U4G3PyM

用户被异地刷脸支付成功，腾讯回应

据报道，贵州网友张兰（化名）在1 月 12 日晚 6 点 48 分发现，她被陌生人在安徽亳州通过微信刷脸成功支付 106.64 元。收款方为“金色华联亳州万达广场店”。

收款商家对媒体确认了此事，“那个人结账时不仅刷脸成功，还输入对了手机后四位”。张兰看商家监控后发现，刷脸人与自己长相并不相似；同时张兰表示，手机号是在学校办理，没有更换过，也没有开启过微信到店刷脸支付功能。因此张兰向微信支付提交被盗申赔，也在亳州当地报警。

对此腾讯方面于 1 月 15 日回应称，用户付款流程通过手机号、人脸识别双重核验，具体情况正在沟通核实；为避免用户损失，已先行全额补偿。微信刷脸技术会根据用户风险评级，加强支付时身份认证，保障用户资金安全。同时提示大家保护好个人信息，如遇到类似情况，请随时联系微信支付客服团队协助解决。

原文链接：

https：//www.ithome.com/0/824/968.htm

网络攻击

惠普多个关键系统遭黑客入侵，API凭证等敏感数据泄露

1月16日，黑客IntelBroker在暗网论坛发帖，声称入侵了美国科技巨头惠普企业(HPE)，窃取了大量敏感数据。

IntelBroker声称，他们攻陷了惠普的多个关键系统，在两天时间内窃取了包括代码库、开发环境和用户信息在内的大量敏感数据。这个以攻击大型企业而臭名昭著的黑客还分享了据称显示访问后端系统和API端点的截图。

被窃取的数据包括：GitHub和自托管的私有代码库，包含敏感产品开发细节；HPE服务中使用的公钥和私钥证书；旧客户交付信息，包括姓名、地址和其他身份标识；API系统和WePay支付网关访问信息；SAP Hybris文档、Docker构建和专有代码库等。

黑客强调对HPE运营至关重要的服务遭到了入侵：

• 集成系统：SAP Hybris和内部工作流集成的细节被曝光；
• 访问凭证：泄露的密码和用户凭证，可能导致进一步被利用；
• API访问：被入侵的端点可能允许额外的数据窃取或破坏。

这次入侵可能带来严重的后果：

• 知识产权被盗：Zerto和iLO等技术的源代码泄露，竞争对手可能获取HPE的专有解决方案；
• 客户信任受损：客户PII和交付记录泄露，可能损害HPE在客户中的声誉；
• 运营中断：黑客一旦获取API系统和证书访问权，可能利用漏洞扰乱HPE服务。

原文链接：

https://darkwebinformer.com/intelbroker-zjj-and-energyweaponuser-are-allegedly-selling-the-data-of-hewlett-packard-enterprise-hpe/

网络犯罪分子利用加州火灾实施网络钓鱼诈骗

当前，网络犯罪分子正在利用加州火灾，发起网络钓鱼诈骗活动。网络安全研究公司Veriti发现，诈骗者注册了许多伪造的域名，如”malibu-fire.com”和”fire-relief.com”，假借提供与火灾相关的协助，诱导受害者透露个人信息或安装恶意软件。

这些域名展现出典型的网络钓鱼活动特征。一些域名旨在模仿官方服务，如火灾疏散协助，而另一些则针对特定地区，如马里布和太平洋帕里赛德斯。初步迹象表明，这些网站正在准备托管欺诈活动，包括网络钓鱼攻击、虚假捐款请求和恶意下载。

网络犯罪分子可能会利用这些域名发送网络钓鱼邮件和网站，企图窃取个人信息，如登录凭证和财务详细信息。他们利用社会工程学技术，制造紧迫感和恐惧，诱使受害者点击欺诈链接或下载恶意软件。例如，某子域名可能提供”与火灾相关的协助”，而暗中试图在受害者设备上安装恶意软件。

原文链接：

https：//hackread.com/scammers-exploit-california-wildfires-fire-relief-services/

美国知名律所遭黑客攻击，350万人信息泄露

近日，美国知名律师事务所Wolf Haldenstein披露了一起2023年发生的数据泄露事件，导致近350万人的个人信息遭到泄露。

Wolf Haldenstein Adler Freeman & Herz LLP是一家专门处理复杂集体诉讼的律师事务所。该安全事件发生于2023年12月13日，但该公司直到2024年4月18日才发现。根据该公司网站发布的通知，在发现异常活动后，Wolf Haldenstein立即采取措施保护网络，并聘请了专业的网络安全公司进行调查。调查发现，未经授权的行为者访问了存储在其网络中的某些文件和数据。

由于数字取证调查的复杂性，直到现在才对外公布。2024年12月3日，该律师事务所确认了可能受影响的个人，但缺乏地址信息无法直接通知他们。黑客可能获取了受影响个人的姓名、社会安全号码、员工识别号码、医疗诊断和医疗索赔信息。该律师事务所指出，目前没有证据表明泄露的数据被滥用，但建议受影响个人密切监控账户和信用报告，以防止身份盗窃或欺诈。

原文链接：

https：//securityaffairs.com/173150/data-breach/us-law-firm-wolf-haldenstein-data-breach.html

1.5万台FortiGate防火墙配置文件遭泄露

近日，一名威胁行为者Belsen_Group在地下论坛公开泄露了逾1.5万台FortiGate防火墙的配置文件及相关管理员和用户凭证，引发网络安全风险。多数受影响设备位于企业和医疗机构，黑客可能直接访问敏感系统，防火墙规则也可能暴露内部网络结构，助攻击者绕过防御。

Belsen_Group于周一公布了一个1.6GB的压缩档案，内含按国家分类的文件夹，每个文件夹再按IP地址细分，存放着大量FortiGate防火墙的完整配置文件及管理员和VPN用户凭证清单。其中，墨西哥地区泄露配置文件最多，达1603个，美国679个，德国208个。泄露数据涉及80多种不同的FortiGate设备型号，以40F和60F防火墙最为普遍，还包括无线网关、机架式服务器设备以及桌面和壁挂式紧凑型设备。

分析人士认为，攻击者可能利用FortiOS漏洞CVE-2022-40684的认证绕过漏洞窃取了这些配置文件，档案的数据可追溯至2022年10月。专家建议组织立即更新所有设备和VPN凭证，审查防火墙规则漏洞，加强访问控制，吊销并替换所有已泄露的数字证书，并彻底调查设备是否已被入侵。

原文链接：

https：//www.helpnetsecurity.com/2025/01/16/leaked-fortinet-fortigate-configs-vpn-credentials-ip-list/

隧道协议漏洞曝光，导致420万主机遭黑客劫持

1月15日， Top10VPN研究人员披露，四种隧道协议存在严重漏洞，导致黑客能够劫持420万台互联网主机，包括VPN服务器、家用和企业路由器，进而有可能入侵企业和家庭网络。大多数攻击发生在我国、巴西、法国、日本和美国。

攻击者可滥用这些存在漏洞的主机作为单向代理发起各种匿名攻击，其中许多针对私有网络。Sectigo高级研究员Jason Soroko解释说，这些漏洞让攻击者能够伪造源地址，并通过无辜主机路由数据包，使恶意流量看似合法。真正的危险在于它使各种攻击成为可能，包括隐蔽的DDoS、DNS欺骗、未经授权的网络访问和物联网设备渗透。

专家建议，安全团队应加固边缘设备，关闭不需要的服务，并严格限制可接受请求的来源范围。组织还应确保只接受来自可信终端的隧道流量，实施适当的源验证，为受影响产品打补丁，部署严格的防火墙规则，加固隧道配置并验证身份验证检查。

原文链接：

https：//www.scmagazine.com/news/4-2-million-internet-hosts-hijacked-via-bugs-in-tunneling-protocols