2月6日，星期一，您好！中科汇能与您分享信息安全快讯：

一名来自尼泊尔的安全研究员Gtm Mänôz，披露了一个影响Instagram和Facebook的双因素身份验证漏洞。在向Meta报告此漏洞后，其将一笔27200美元的赏金收入了囊中。

双因素身份验证(2FA)是目前常见的一种保护用户账户安全的手段。它是一种需要提供两个身份验证因素以确认身份的身份验证过程，用户需要用两种方式（用户所知道的和用户所拥有的，例如密码和手机收到的验证码）证明自己的身份才能获得账户访问授权。

据悉，该漏洞存在于Facebook母公司Meta用于确认手机号码和电子邮件地址的组件中。Gtm Mänôz注意到，该组件未对验证码做时间和失败次数校验，这使得攻击者在获知受害者的手机号码后，能够暴力破解验证码。

据悉，用于在线搜索易受攻击的Redis服务器的新型隐身恶意软件已经感染了1000多台服务器，以构建一个针对Monero加密货币的僵尸网络。

由Aqua Security研究人员Nitzan Yaakov和Asaf Eitani发现，并将其命名为 HeadCrab，该恶意软件迄今已诱捕至少1200台此类服务器，这些服务器还用于在线扫描更多目标。

研究人员称：“这个高级威胁行为者利用无代理和传统防病毒解决方案无法检测到的最先进的定制恶意软件来破坏大量Redis服务器。”

一名BreachForums成员声称已经入侵了日本跨国视频游戏公司Nintendo NX的游戏机。化名netbox的自称16岁的人在帖子中表示，任天堂的开发者门户网站被黑客入侵，任天堂网络的文档、开发工具、源代码和后端代码等机密信息已被获取。

据称泄露的内容与Nintendo Switch有关，可能包括有关其内部运作、游戏源代码和图形文件的信息。泄漏的总大小估计超过50GB。

黑客想让接收者享受泄露的信息而不期望得到补偿。

近期，英国汽车零售商Arnold Clark日前通知客户，其个人信息可能因网络攻击而失窃。

调查显示，恶意黑客可能已经窃取到客户个人数据，包括姓名、联系方式、出生日期、车辆信息、护照/驾照、国民保险号和银行账户等详细信息。

Play勒索软件团伙已经在其Tor泄密网站上，宣布对此次攻击负责。

这伙黑客发布了大量据称窃取自Arnold Clark的信息，并表示如果对方拒绝付款，后续还将公开更多信息。目前，他们已发布了31个大小为500 Mb的归档文件，总计约15 Gb。

近日，众多用户都遇到了阿里云盘出现了无法访问的情况，其中 App、网页端、PC 客户端全都无法加载内容，甚至 API 接口还出现了 502 故障。

随后，该消息在微博上引起众多网友热议，不少网友吐槽“阿里云盘又崩了”，导致用户的转存、上传、下载功能全部瘫痪。不少用户表示正在看“狂飙”、“三体”，忽然就无法使用了，严重打击了付费的信心。

对此，阿里云盘官方在今日凌晨回应称：“各位盘友，非常抱歉，由于系统故障，阿里云盘 2 月 3 日晚间出现了短暂的无法正常使用的情况，23:50 分已修复，不影响盘友的数据和后续使用。感谢大家关心，盘盘已经去面壁了。”

研究团队发现了一个未受保护的 Azure 存储 blob，其中包含大约万个文件，这些文件属于跨国安达信公司的子公司安达信续订。

云上近300万份文档暴露了该公司的客户家庭住址、联系方式和家庭装修订单，包括来自美国各州的客户住宅的内部和外部照片。

云存储上的改造项目由客户存档，包括包含客户姓名、电子邮件和电话号码的 JSON 文件。该数据集还包括一个“savedata”文件，假定包含散列客户端的物理签名。

此类数据泄露是危险的，因为威胁行为者可以使用姓名、电子邮件、电话号码和地址等个人信息进行网络钓鱼诈骗、身份盗窃和其他类型的欺诈。

当前，电车充电装置本身已经成为一大攻击目标。黑客可能向其植入勒索软件，也可能劫持设备并在提示屏幕上显示政治性或其他令人反感的内容。据安全内参了解，近年来已出现多起漏洞事件。

PenTestPartners团队研究了6款在欧洲和美国流行的充电桩品牌，发现一系列电车充电桩的软硬件漏洞，可导致远程控制充电器乃至进一步破坏电网稳定性等危害。

Saiflow团队发现开放式充电点协议OCPP的某些版本存在漏洞，可导致远程关闭充电器或免费充电。

保护电车充电设施免受网络犯罪侵害，应当成为生态系统中各参与方的共同责任。无论你正考虑在营业场所内部署电车充电桩、还是作为生态系统内的重要参与者，都必须始终将安全放在首位。

乌克兰国家网络保护中心（SCPC）呼吁俄罗斯国家支持的威胁行为者Gamaredon对该国的公共当局和关键信息基础设施进行有针对性的网络攻击。

该机构指出，攻击的目标更多地是针对间谍和信息盗窃，而不是破坏。SCPC还强调了该组织策略的“坚持”演变，通过重新开发其恶意软件工具集以保持低调，称Gamaredon为“关键网络威胁”。

这些攻击采用类似网页的形式，冒充乌克兰外交部、乌克兰安全局和波兰警察 （Policja），试图诱骗访问者下载声称可以检测到受感染计算机的软件。

管理网络设备制造商云团队的前Ubiquiti员工尼古拉斯·夏普（Nickolas Sharp）承认从Ubiquiti的网络中窃取了数千兆字节的文件，并试图勒索他的雇主，同时冒充匿名黑客和举报人。

当夏普没有得到赎金要求时，他通过发布有关该公司的虚假新闻来报复，导致他的公司市值暴跌超过4亿美元。

如果被判有罪，夏普的指控最高可判处37年监禁。他被美国地区法官凯瑟琳·波尔克·费拉判刑。

Twitter宣布从2月9日开始它的API（包括 v2 和 v1.1）将不再支持免费访问，使用其API将必须付费。

这事实上杀死了第三方客户端和利用免费API对Twitter推文进行研究的项目，以及各种在多平台上交叉发帖的工具。在马斯克(Elon Musk)收购Twitter之后，API访问已经多次出现问题，上个月 Twitter 修改了 API 规则，明确禁止开发者开发第三方客户端。

或许，API付费只是最后一根稻草。