计划于 8 月 10-13 日在拉斯维加斯举行的安全会议 DEF CON 将举办大语言模型黑客马拉松，邀请黑客在 Anthropic、Google、Hugging Face、Nvidia、OpenAI 和 Stability 等公司开发的大语言模型中挖掘、寻找 bug 和偏见。组织者将这次活动形容为 AI 模型组至今最大规模的红队演习，预计会有数千人参加。参加者除了寻找传统的程序 bug，还有大模型专有问题如偏见、幻觉（hallucination）和越狱（jailbreak）。

俄罗斯互联网巨头 Mail.ru（现名字 VK）的 iOS 邮件应用 myMail 被发现传输用户明文密码。当客户在其论坛上报告 myMail 客户端发送邮件出现传输错误后 mailbox.org 展开了调查，发现 myMail 存在安全漏洞，没有在建立连接后发送 STARTTLS 指令，而是继续在未加密的情况下传输用户密码和邮件。由于 mailbox.org 服务器拒绝未加密连接，因此出现了传输错误。它建议用户在安全问题解决前停止使用 myMail 客户端。

西部数据向客户发去邮件警告，证实黑客在 3 月底的网络攻击中窃取到了客户数据。被窃取的数据包括客户姓名、帐单和交付地址、电邮地址和电话号码。西部数据称，其数据库储存的密码和信用卡账号使用了加盐哈希处理。对西部数据的入侵发生在 3 月 26 日前后，参与攻击的黑客窃取到了大约 10 TB 数据，并正在与西部数据谈判赎金。在攻击之后，西部数据关闭了云服务两周，下线了移动、桌面和 Web 应用。它的商店也在调查期间关闭，计划在 5 月 15 日重新上线。西数还对可能的钓鱼攻击发出了警告。

比利时的新吹哨人法于年初生效，该法律合法化了道德黑客行为。只要道德黑客（或俗称白帽子黑客）满足一定条件，他们未经同意入侵的行为可以免于刑罚。在这之前，除非被攻击的对象同意，任何形式的黑客行为都将在刑法下面临惩罚。新的法律改变了这一状况。从现在开始，一个自然人或法人可以调查位于比利时的组织的安全漏洞，不管被调查者是否同意。但这不是随心所欲的空头支票，白帽子黑客需要遵守一定的条件：不能造成伤害或有获利企图，黑客不能在发现漏洞之后敲诈对方，除非是某些形式的漏洞悬赏计划；必须尽快向比利时网络安全中心（CCB）以及被调查的对象报告漏洞；黑客行动不能超出必要的范围；除非获得 CCB 同意黑客不能过早披露发现的漏洞。

攻击者泄露了微星固件签名密钥，逾 200 款微星产品受到影响。勒索软件组织 Money Message 上个月声称从微星窃取到了源代码，总容量约 528 GB，它要求微星支付 400 万美元赎金，否则将泄露窃取的数据。目前泄露的数据包括了微星固件镜像签名密钥和英特尔 BootGuard 密钥，前者影响 57 款产品，后者影响 166 款产品。英特尔 BootGuard 是一种处理器安全保障机制，防止运行非系统制造商发布的固件镜像。这些密钥的泄露将允许攻击者将恶意固件伪装成合法固件。

美国得州达拉斯市政官员周三证实遭到了勒索软件攻击，攻击导致了大量服务中断，其中包括 911 的调度系统。居民仍然能拨打 911 报警电话，但由于调度系统下线接线员只能给响应的警官用手写下指令。警察局的网站也下线中。勒索软件黑帮 Royal 宣布对此负责，它威胁称如果达拉斯市不满足赎金要求，将公开窃取的数据。暂时不清楚 Royal 窃取了哪些数据。Royal 黑帮最早是于 2022 年初首次现身。

每一种流行物都可能会被网络罪犯利用去引诱人们去下载恶意程序。过去几个月最火爆的莫过于 AI 聊天机器人 ChatGPT。社交巨人 Meta 发表研究报告称，自 3 月以来它发现约 10 个恶意程序家族和逾千个恶意程序链接利用了 ChatGPT 的名气。网络罪犯以提供 ChatGPT 的名义传播恶意程序，部分情况下恶意程序还真的包含了 ChatGPT。安全专家称，ChatGPT 是新的加密货币。

乌克兰网络警察逮捕了一名 36 岁的 Netishyn 市居民，这名男子以 500-2000 美元不等的价格出售来自不同国家的逾三亿人的个人数据和敏感信息。这些信息包括护照、纳税人号码、出生证明、驾照和银行账户等。他是 Telegram 上私密群组和频道的管理员，在里面出售乌克兰和欧盟公民的数据。有俄罗斯公民从其手中购买了被盗的数据。执法人员扣押了他的手机、几十个硬盘、SIM卡、电脑设备和服务器设备。

微软介绍了它对不同形式黑客组织的新命名学，来自同一个国家的政府黑客组织都被冠相同的姓，不同的组织给予不同的名字。举例来说，微软给来自中国的黑客组织起了一个“台风（Typhoon）”的姓，伊朗姓沙尘暴，俄罗斯姓暴风雪（Blizzard），朝鲜姓雨夹雪（Sleet）...中国黑客组织 APT41 以前被称为 BARIUM，现在叫 Brass Typhoon；俄罗斯黑客组织 UNC530 以前叫 ACTINIUM，现在叫 Aqua Blizzard，等等。微软的新命名学没有涉及到美国或以色列的政府支持黑客组织。

curl 作者 Daniel Stenberg 说，Windows 10 和 11 自带的 curl 工具包含了一个低危漏洞，该漏洞已经修复了，微软也释出了补丁，但补丁释出前部分用户自行删除了存在漏洞的版本，导致无法更新，他表示 curl 项目对此不负任何责任，有问题找微软。 Windows 10 和 11 操作系统包含的 curl 工具位于 System32 系统文件夹下，这里面的程序是不能随便删除或替换的。2022 年 12 月 curl 项目报告了一个释放后使用（Use-After-Free）的低危漏洞 CVE-2022-43552，但美国国家漏洞数据库可能是为了督促用户尽快更新而提高了该漏洞的危险等级，将其列为中危漏洞。导致的结果是 2022 年 12 月 21 日之后的某个时间安全扫描工具开始就系统中包含存在漏洞的工具对用户发出警告。这让部分用户恐慌了。他们删除或替换了 C:\Windows\System32\curl.exe。微软在 4 月 11 日的例行安全更新中修复了该漏洞释出了补丁 KB5025221，但那些自行删除系统文件的用户发现 Windows 更新程序拒绝更新。Stenberg 表示 curl 项目对此无能为力。

瑞典 VPN 服务商 Mullvad 称警方带着搜查令搜查了其办公室，但在被告知它不储存客户数据后就离开了。这是该公司成立 14 年以来首次收到搜查令。公司 CEO 表示不知道警方在搜寻什么。Mullvad VPN 执行了最小化用户信息储存的政策，只记录了支付信息和对应的用户 ID，在确认客户付款之后它不保存任何付款者的信息，它也不记录用户登陆 VPN 的原始 IP 地址。

加拿大魁北克大学的研究人员在预印本网站 arXiv 上发表论文，分析了 ChatGPT 所生成代码的安全性。研究人员表示结果令他们倍感担忧。ChatGPT 生成的部分代码甚至达不到最低安全标志，而当你问它时它还知道代码是不安全的。研究人员让 ChatGPT 使用 C、C++、Python 和 Java 四种语言生成了 21 个程序和脚本。研究人员称，ChatGPT 似乎知道它生成的代码是不安全的，但就是不说，除非你问它。ChatGPT 拒绝生成攻击性代码，但却会生成有漏洞的代码，这在道德上是不一致的。

VoiP 软件提供商 3CX 上月底遭遇了一次供应链攻击，攻击者篡改了 3CX 的桌面应用，植入了恶意代码，对 3CX 客户发动了供应链攻击。据安全公司 Mandiant 的分析，3CX 自己也是一次供应链攻击的受害者。这起事件是一次双重供应链攻击。Mandiant 将两起事件都归于朝鲜黑客组织 UNC4736。黑客大约在 2021 年入侵了提供交易软件的 Trading Technologies 公司，篡改了 X_Trader 软件的安装程序，植入了 VEILEDSIGNAL 后门。2023 年一名 3CX 员工下载了被植入后门的 X_Trader 软件，攻击者在感染了员工电脑之后渗透进入企业网络，最终篡改了 3CX 的桌面应用。

利用一部诺基亚 3310 手机，没有多少技术经验的小偷可以在 15 秒内盗走一辆丰田陆地巡洋舰。这种新型的汽车盗窃案正在美国各地扩散，导致的一个结果是诺基亚 3310 手机的价格飙升到了 3000-4000 美元。这种攻击技术可用于盗窃豪车如玛莎拉蒂和雷克萨斯。研究人员将其称为 CAN (controller area network 或控制器区域网络)注入攻击，其工作原理是发送伪造的汽车智能钥匙接收器信息，核心原因是汽车没有对信息进行验证。丰田发言人在一份声明中表示正与执法部门和专家合作解决该问题。

自称 Doomed 的黑客接受《连线》采访，披露通过 SIM swapping 的方法劫持了保守派名人 Matt Walsh 的 Twitter 账号，发布一系列帖子去挑起争议和制造混乱。SIM swapping 是美国最近几年非常流行的社交工程方法，通过欺骗移动运营商的雇员将受害者的手机号码转到黑客控制的SIM 卡。Walsh 主持了以其名字命名的 Daily Wire 播客，曾形容自己是“神权法西斯主义者（theocratic fascist）”，认为动漫是“邪恶的”，热衷煽动对 LGBTQ 社区的攻击，称 16 岁女孩“生育能力最强（most fertile）”。Doomed 还劫持了 Walsh 的微软和 Google 账号，他表示自己的动机是无聊找乐趣。在报道发表之后，Twitter 以传播黑客泄露材料的理由永久封杀了该报道的记者 Dell Cameron（这位记者有 Mastodon 账号 dell@journa.host）。

Shawn the R0ck 写道： 私钥一直是安全保护的核心目标。由于密钥槽的限制，大多数加密货币硬件钱包使用 MCU 芯片（如 STM32F205RE）进行实现，以便能使用secure element存储和支持更广泛的加密货币种类，然而，那些对保护私钥有更高安全要求的人通常会对 Java 卡感兴趣，因为Java Card基本上是具有加密算法硬件实现的智能卡。私钥或对称密钥无法从中提取。用户只能从 Java 卡获得加密操作的结果，另外一点是已经使用通信参数初始化但尚未加载应用程序（applet）的 Java 卡是可由用户编程的，而且有一些以 Java 卡 applet 形式实现的各种功能的自由开源软件项目。即使Java Card作为HSM（硬件安全模块）的安全性高于常见加密货币硬件钱包的实现，但依然有安全风险，HardenedVault介绍了两个典型的漏洞，这些漏洞位于更底层的JCRE（Java Card运行时环境），虽然不会导致私钥被泄露，但会导致应用程序陷入无法恢复的错误。一旦出现这种问题，卡中的私钥就可能会丢失。智能卡作为 HSM 的实现比基于 MCU 的解决方案（几乎所有硬件钱包都采用了这种方案）更加安全，但仍存在某些安全风险。甚至获得 EAL 5+ 认证的硬件钱包也有被攻击的记录。因此，在系统安全方面，我们仍需要坚持纵深防御的策略。另一方面，透明度很重要，开源是确保 HSM 的整个运行环境能够得到适当审计的唯一途径。对于 Java 卡，我们希望未来能够拥有一个自由开源且可更新的 JCRE。或者某种功能上类似于 Java 卡但可以用 C 语言编程的 HSM（对不起，我们不想使用 Rust，因为我们已经有了现代的缓解和检测器，Rust 对此来说有些生锈了，不是吗？），甚至可以直接使用通用计算（如可信计算、运行时保护、攻击面缩小等）实现。

上个月一架澳大利亚军方的 MRH-90 Taipan 直升机在例行的反恐海上演习中失去动力坠落，直升机迫降在海滩上，有两名士兵在事故中受轻伤。MRH-90 是老旧的欧制直升机，即将退役，被美制黑鹰取代。在调查期间军方停飞了所有 47 架 MRH-90 直升机。据匿名军方消息来源称，事故原因被认为是直升机未能打上重要软件补丁。软件补丁将防止飞行员对发动机热启动——也就是发动机关闭再重启动，MRH-90 的设计不允许这么做，它的安全程序要求在飞行结束时引擎空转直至关闭。防止热启动的软件补丁早就存在许多年，但很多 MRH-90 并没有打上补丁。

Google Chrome 释出紧急更新修复了一个正被利用的 0day。编号为 CVE-2023-2033 的漏洞是 Google 旗下 Threat Analysis Group (TAG)的安全研究员 Clément Lecigne 报告的，存在于浏览器使用的 JS 引擎 V8 中，属于类型混淆漏洞。类型混淆允许错误类型的数据访问内存，允许对内存非法读写。Google 称攻击者可通过创建 HTML 页面去利用漏洞。该漏洞被归类为高危级。

数据存储巨头西部数据本月初证实它在 3 月 26 日遭到入侵，但没有透露更多信息。现在参与发动此次攻击的一名黑客公开接受采访，披露了更多相关信息。黑客称他们从西部数据窃取到了大约 10 TB 数据，正在与西数谈判至少八位数的赎金。作为证据，黑客分享了一份使用西数证书签名的文件，证明他们现在能冒充西数给文件签名。黑客还分享了西数高管未公开的电话号码，以及一张高管们开电话会议的截图——其中一位参与者是西数的首席信息安全官。黑客表示他们入侵的目的是获利，因此没有用勒索软件加密西数的文件，如果西数拒绝或不理睬他们的要求，他们将会公开西数的数据。

微软周二释出了四月例行安全更新，修复了 Windows 操作系统和其它软件的 100 个漏洞，其中包括一个正被利用的 0day 漏洞。苹果也几乎同一时间释出了一组更新，修复了 2 个正被用于攻击 iPhones、iPads 和 Macs 的 0day 漏洞。微软修复的 0day 编号为 CVE-2023-28252，位于 Windows Common Log System File System (CLFS) 驱动中，微软在两个月前修复了同一个组件中的一个类似 0day 漏洞。安全专家猜测是因为之前的补丁没有完全堵上漏洞，攻击者能找到方法绕过。该漏洞正被用于部署 Nokoyawa 勒索软件。