对基于 Debian Bullseye 的 Raspberry Pi 操作系统的更新正在推出，其中包括生活质量改进和一个非常重要的调整：默认用户的逾期离开。

以前，所有安装的 Raspberry Pi OS（以前称为 Raspbian）都有一个名为“pi”的默认用户。

这对于快速设置和方便来说很方便，但在安全方面有点开放的目标。“这并不是一个很大的弱点，”Pi 团队坚持说，并指出您还需要知道密码才能获得访问权限（并且您需要启用远程访问权限，以便不法分子进行他们的肮脏工作在任何地方工作，但在本地）但仍然。

无可避免的事实是，它的存在可能会暴露凭据并“可能使蛮力攻击稍微容易一些”。

“一些国家，”该团队补充说，“现在正在立法禁止任何联网设备拥有默认登录凭据。”

使用最新更新（还添加了 5.15 Linux 内核），默认的“pi”用户已被删除，以支持现在强制设置向导中创建用户的步骤。

如果用户真的想要（毫无疑问，小型计算机的某些应用程序可能会因为缺少“pi”而例外）仍然可以创建旧帐户，尽管会有奇怪的通知表明这确实是这不是个好主意。

还提供了一种机制来重命名现有图像上的帐户。

我们在 Pi-400 和 Pi 4 上使用了新的安装程序。第二台显示器的过扫描设置特别有用。向导与蓝牙鼠标和键盘配对的能力更是如此。

将代码放在那里的人应该得到所有的啤酒，因为这意味着无需使用有线键盘或鼠标即可设置 Pi 4。它也适用于带有 USB 蓝牙适配器的 Pi 3 及更早版本，但我们无法对此进行测试以确认。

此版本中的其他更改包括对 Wayland 支持的一瞥，尽管团队警告说它是实验性的，并列出了一些目前不起作用的东西，包括屏幕截图。

总的来说，这是一个值得发布的版本，并且安全改进很有用（即使它们可能对某些人来说不方便）。迁移到最新的 LTS Linux 内核是一个可喜的变化，尽管与 5.10 的 2026 年相比，支持在 2023 年结束，这可能会让一些用户停下来思考。

如果您一直在寻找配备 AMD Ryzen Threadripper 处理器的预置工作站，您可能会注意到不同 PC 系统制造商提供的可用选项更少且交货时间更长。

这是因为Threadripper 3000和 Threadripper Pro 3000 处理器的供应在过去几个月里严重不足，据美国六家 PC 制造商和一位 IT 分销商的高管接受The Register采访时表示。

一些人表示，Threadripper 的供应量处于历史最低水平，AMD于 2017 年推出高性能处理器，在过去几年中，其在视频编辑等重型应用方面的性能大大超过了英特尔的竞争部件。

对于这些系统构建商来说，复杂的因素是他们还没有使用新推出的 Threadripper，其中包括 AMD 网站上长期运行的知名精品系统构建商，例如 Maingear、Velocity Micro 和 Puget Systems Pro 5000 零件。

原因？AMD 于 3 月推出了新的 Threadripper Pro 5000 系列，总部位于香港的 PC 巨头联想是其独家发布合作伙伴，而芯片设计师预计其他 PC 制造商要到今年下半年才能获得这些部件。

但即便如此，联想的 ThinkStation P620 工作站还是在 3 月底更新了 Threadripper Pro 5000 芯片，其网站目前显示的 P620 系统只有上一代 Threadripper Pro 3000 CPU 可用。

“我确信 CPU 供应不是 ThinkStation 系统的问题，”联想发言人告诉我们。

无论如何，这种情况似乎造成了工作站供应商之间的供应不平衡，一些小公司担心他们可能会在等待下半年 Threadripper Pro 上市时失去对联想的销售。

PC 行业总体上趋向于纸质发布和产品发布，远远领先于一般可用性
“个人电脑行业的整体趋势是纸质发布和产品发布远远领先于一般可用性。

“我想我可以代表我们厌倦了不是每个人都可以参与的产品发布的每个人，”总部位于华盛顿州奥本市的 Puget Systems 总裁乔恩·巴赫 (Jon Bach) 说。

不是一个独特的问题
值得注意的是，Threadripper 短缺是在全球范围内的芯片短缺情况下发生的，这种短缺大约持续了过去两年，这促使芯片制造商和政府推动在包括美国和美国在内的各个地区大规模扩张制造工厂。欧洲。

由于无法将供应与各种硅的高需求相匹配，更广泛的短缺迫使芯片公司弄清楚如何优先考虑他们的产品线，特别是对于像 AMD 这样不拥有制造业务而是依赖合同芯片制造商的芯片设计师，例如台积电，来生产他们的芯片。

在AMD 的最近一个季度，首席执行官 Lisa Su 表示，该芯片设计师已经“对晶圆产能以及基板产能和后端产能进行了大量投资”，以改善与公司制造合作伙伴的生产。

“坦率地说，我们的目标是有足够的供应来满足那里的需求，”她在 2 月初的电话会议上说。“我们的观点是，我们将继续与我们的合作伙伴和客户合作，以​​确保我们知道他们需要什么。”

蒸发
Threadripper 问题的突出之处在于，这些系统制造商表示，它只是在过去几个月中才成为一个大问题，这让他们想知道在全球芯片短缺期间，这个时期与其他时期有何不同。

这些系统制造商表示，他们重视与 AMD 的关系，AMD 五年前通过 Ryzen 和 Ryzen Threadripper 系列为 PC 行业注入了与英特尔的急需竞争，但他们决定发声，因为 Threadripper 短缺已经减缓了一些业务方面，它使业务规划更加困难。

总部位于弗吉尼亚州里士满的 Velocity Micro 的首席执行官 Randy Copeland 表示，他的库存中有一些 Threadripper 3970X 和 Threadripper 3960X 处理器，尽管他公司在工作站类别中最大的销售商 64 核 Threadripper 3990X 的可用性已经“蒸发”。 "

他的公司确实销售了一些配备 Threadripper Pro 3000 处理器的工作站，这些处理器具有更高端的功能，例如纠错代码内存，不过 Copeland 表示，这种 CPU 的主板对于大多数客户甚至公司本身来说都太贵了。

据 Copeland 称，由于 Velocity Micro 大约一半的年收入来自工作站，Threadripper 的短缺导致该公司基于 AMD 的系统的销售额在过去两年逐月增长后趋于平缓。

我们在 Threadripper 推广背后投入了如此多的营销努力，现在这一切都白费了
“在过去的三年里，我们在 Threadripper 的推广上投入了如此多的营销努力，现在这一切都白费了，”他说。

Copeland 表示，他首先注意到 Threadripper CPU 的供应在去年第四季度变得紧张。

当时，他说 AMD 警告他的公司一段时间内会这样，这促使 Velocity Micro 囤积公司能找到的任何东西，但是在 1 月底或 2 月初，芯片设计师告诉他的公司情况会变得更糟。

Copeland 的主要担忧是 Velocity Micro 的业务流失给了一家更大的公司——在这种情况下是联想——这似乎更容易获得 Threadripper 的供应。

“最重要的是，我希望尽可能少地让 Threadripper 输给跨国公司，”他说。

总部位于新泽西州沃伦市的 Maingear 的首席执行官华莱士桑托斯表示，Threadripper 的情况非常糟糕，以至于他的公司不得不列出其四款高端工作站型号，价格从 9,599 美元到 49,999 美元不等，自 11 月以来一直缺货去年的。

因此，该公司只能销售使用英特尔和 AMD 消费级处理器的功能较弱且价格较低的工作站。

根据 Santos 的说法，这些高端工作站带来了高利润，而且通常以大订单的形式购买，这就是为什么 Threadripper 短缺对 Maingear 来说很重要的原因。

“如果我向一个客户出售 10 台 15 美元的系统，那就是一笔大订单。对我来说，这不是一个小订单，”他说。“所以想象一下，对拥有 30 到 40 个系统的 [采购订单] 说不。这是真金白银，结果却是这样，真可惜。”

AMD提醒大家它还在做Threadripper
国会压力增加通过 $52b CHIPS 法案
由于芯片持续短缺，沃尔沃汽车销量下滑
10 倍的价格，长达一年的延迟……作为全球芯片短缺的电子工程师的生活
Maingear 的一线希望是，该业务的大部分收入来自游戏 PC，这些 PC 依赖于英特尔和 AMD 的消费级处理器，但对于像 Puget Systems 这样的公司来说并非如此，它只销售用于工作站的 PC。

Puget Systems 总裁 Bach 表示，Threadripper 短缺导致业务略有放缓，主要是由于交货时间较长，但这也促使他的业务将一些客户转移到使用英特尔 Xeon W 工作站芯片的系统。

我们在与系统制造商高管的对话中多次听到这种客户从 AMD 转向英特尔的转变。其中一位为政府机构完成大订单的公司工作，他说他的组织已经开始重新设计其标准工作站，使用英特尔的高核数 Xeon CPU 作为专业级 Threadripper Pro 部件的替代品。

这位不愿透露姓名的高管表示：“我们已经从战略上做出了不那么依赖 AMD 的决定。”

微博服务 Twitter 已经证实它正在试验“不提及”——一项允许用户从不需要的讨论中删除的功能。

该服务的管理部门确认了有关新功能工作的信息：“我们正在试验“取消提及” - 该功能将有助于保护您的平静并退出讨论。 ”

消息中还附有函数操作的说明。在通知页面上，用户在提及他的昵称的对面，选择“离开此讨论”选项，之后他会收到三个用于进一步发展事件的选项：停用提及他的名字，关闭讨论中的进一步提及，或关闭有关后续推文的通知。

正如The Verge所指出的，平台功能研究员 Jane Manchun Wong 早在 2 月份就曾报道过测试一项新功能，但 Twitter 管理部门的确认直到现在才到来。

对于那些对讨论的发展方向感到不舒服的用户，或者对于在平台上遇到骚扰和骚扰的用户，禁用提及可能很有用——可以在不发出太大噪音的情况下退出进一步的事件

谷歌透露，它将资助一条连接日本和加拿大的海底电缆。

这家广告巨头表示，这条名为 Topaz 的新电缆将是第一条走这条路线的电缆，也是第一条在加拿大登陆的跨太平洋电缆。

该电缆的日本登陆站将位于本州主岛上的三重县和茨城县。加拿大登陆将在温哥华岛的阿尔贝里尼港和温哥华市（不在温哥华岛）。

谷歌预测，该电缆应在 2023 年投入使用，并将实现“对搜索、Gmail 和 YouTube、谷歌云以及其他谷歌服务的低延迟访问，同时也为日本的各种网络运营商增加该地区的容量。和加拿大。”

这些运营商很可能是谷歌表示正在帮助其建造电缆的未具名的“日本和加拿大当地合作伙伴”。

还值得考虑提及对 Google 服务的低延迟访问。虽然日本和加拿大都拥有丰富的数据中心，但谷歌用于运行其非云服务的设施清单忽略了这两个国家。日本用户最近的谷歌数据中心在台湾，新加坡的设施比加拿大更近，附近海域有许多海底电缆穿过。加拿大用户的流量要经过很短的路程才能到达美国的 13 个 Google 数据中心。温哥华用户可以连接到俄勒冈州的比特谷仓。

低延迟的原因可能在于电缆中使用的 16 对光纤的总容量为每秒 240 TB。

该电缆还采用了波长选择开关 (WSS)——Meta 计划在连接多个东南亚国家的杏电缆上使用的技术。

谷歌将WSS 描述为“一种高效的软件定义方式，用于划分光纤对上的频谱，以实现路由灵活性和高级弹性。”

另一项弹性措施将让谷歌与运营附近电缆的合作伙伴交换光纤对——电缆运营商使用这种做法来避免物理层网络问题的影响

臭名昭著的网络犯罪集团 FIN7 的另一名成员在该团伙入侵美国各大公司的网络并从这些企业的客户那里窃取了超过 10 亿美元后，将被判入狱。

乌克兰出生的 Denys Iarmak，32 岁，曾担任该犯罪集团的渗透测试员，因与 FIN7 有关联而被判处五年徒刑。

法官在量刑听证会上指出，2019 年被捕的 Iarmak 在 Covid-19 大流行以及现在的乌克兰战争期间一直被美国拘留。

“具有讽刺意味的是，你所掠夺的国家现在正在领导一项国际努力，以保护你的国家、你的人民、你的家人，”美国首席地方法官里卡多·马丁内斯说。

至少从 2015 年开始，FIN7 帮派成员就使用带有恶意文件的网络钓鱼电子邮件侵入了数百家公司的网络。一旦他们获得访问权限，他们就会注入恶意软件来窃取客户的信用卡和借记卡号码，然后他们将这些号码在暗网上出售或用于为自己的购物狂潮提供资金。

据联邦调查局称，仅在美国，FIN7 就从 3,600 多家独立企业的 6,500 多个销售点终端窃取了超过 2,000 万条客户卡记录。这些不法分子偏爱餐厅、赌博和酒店业，他们闯入了包括 Chipotle Mexican Grill、Chili's、Arby's 和 Red Robin 在内的连锁餐厅。

犯罪付出了……一段时间
据司法部称，伊尔马克与臭名昭著的犯罪集团的关系始于 2016 年 11 月左右，持续了大约两年。据称，他使用托管在其他国家的服务器上的 JIRA 等项目管理软件来协调 FIN7 的非法行为并管理其网络入侵。

事实证明，这对 Iarmak 来说是一个有利可图的工作。司法部指出：“在该计划过程中，Iarmak 因参与 FIN7 获得了补偿，这远远超过了乌克兰的可比合法就业。”

Iarmak 于 2019 年底在曼谷被捕后，最终被泰国法院引渡，并于 2020 年 5 月移交美国拘留。

2021 年 11 月，Iarmak 对一项串谋进行电汇欺诈和一项串谋进行计算机黑客攻击的罪名认罪。

Iarmak 是第三位因不当行为而面临牢狱之灾的 FIN7 罪犯。2021 年 4 月 16 日，FIN7 成员 Fedir Hladyr 被判处 10 年监禁。两个月后，FIN7 成员Andrii Kolpakov被判处 7 年徒刑。

虽然多年来侵入公司的支付系统已被证明对 FIN7 来说非常有利可图，但威胁情报公司 Mandiant 发表的新研究表明，犯罪团伙已进入勒索软件以通过其攻击获利。

Mandiant 威胁研究人员写道： “在整个演变过程中，FIN7 提高了他们的行动速度、目标范围，甚至可能与地下网络犯罪分子的其他勒索软件行动的关系。 ” 

Adobe Creative Cloud Experience 是一项通过适用于 Windows 的 Creative Cloud 安装程序安装的服务，其中包含一个 Node.js 可执行文件，可被滥用以感染和破坏受害者的 PC。

安全研究员 Michael Taggart 最近证明，node.exe可以通过编写一个简单的概念验证 JavaScript 文件来利用 Adob​​e 服务附带的实例，该文件生成 Windows Calculator 应用程序。

“我已经确认，node.exe与 Adob​​e 客户体验服务一起打包的服务可以运行您指向的任何 JavaScript，”他向The Register解释道。

“因此，攻击链可能看起来像一个安装程序或 zip 文件，它会删除 [一个 JavaScript 文件]，或者甚至是一个将 JavaScript 放在用户可写目录中的宏，然后调用 Adob​​e 自己node.exe的执行。”

对 Taggart 的发现发表评论的安全研究人员表示，他们一直认为捆绑的 Node 运行时只会执行 Adob​​e 签名的文件，但显然情况并非如此。

系统上存在不受限制的 Node.js 实例并不像允许远程代码执行的后门或面向 Internet 的缺陷那么严重——没有其他漏洞可利用的攻击者需要诱使受害者下载并运行剧本。但它的可用性确实使发起攻击和隐瞒任何人这样做更容易。

“由于 JavaScript 被 path in 调用C:\Program Files，因此从监控/威胁搜寻的角度检测将非常困难，”Taggart 解释说，他补充说，他能够让自己的自定义文件释放器运行并执行命令 - and-control 代理，而没有来自 Windows Defender 的任何警告。

换句话说，node.exe以这种方式滥用的主要好处是以威胁检测系统不明显的方式运行未签名代码。

奇怪的是，这并不是第一次对 Creative Cloud Experience 提出担忧。一位 Adob​​e 客户在 2 月发布到 Adob​​e 支持社区的帖子中指出，“我的 PC 上的保护程序检测到文件夹 Adob​​e Creative Cloud Experience，例如node.exe，作为安全风险。” 给出的建议是简单地忽略警告。

然后是 2021 年 12 月的一篇帖子，其中 Adob​​e 客户询问 Malwarebytes 安全软件检测到来自Creative Cloud Experience 中实例的可疑出站连接。node.exe

node.exe 在其他 Adob​​e 应用程序（如 Photoshop）中的存在也引起了那些对其安全应用程序的可执行文件发出警告的人的担忧。过去三年在安全应用程序 Acronis 的论坛上进行的讨论表明，针对存在的警告是误报node.exe，用户应该告诉他们的应用程序忽略此类文件。

The Register询问 Adob​​e 是否认为通过 Creative Cloud Experience 运行未签名代码系统的能力node.exe存在问题，但我们尚未收到回复

由于在水管中铺设电缆的实验技术，南约克郡（英国）的部分地区可以获得宽带光纤互联网接入。这个为期两年的项目将评估该技术的可行性以及未来连接更多家庭的可能性。

实施将在当地水务公司 Yorkshire Water 的参与下与 Arcadis 的工程师一起在斯特拉斯克莱德大学的协助下进行。据文化、媒体和体育部称，可能会为多达 8,500 户家庭和企业提供快速连接。政府批准的工艺测试将通过水管铺设 17 公里的电缆。

该项目是一项耗资 400 万英镑的计划的一部分，该计划旨在为偏远地区的居民提供高质量的电话和互联网通信——网络的铺设应由电信运营商自己进行。预计在水管中使用光纤，结合特殊传感器，也将帮助当地公用事业公司更快地定位泄漏和破裂。

然而，首先，有必要评估实施该技术的所有细微差别，包括此类服务的经济可行性、法律方面以及操作安全性。研究阶段已经开始，将持续到明年 5 月 31 日，之后将开始为期 12 个月的真正测试。同时，将制定一项计划以更广泛地推广该技术，如果测试成功，类似的解决方案将推广到英国其他地区。

特别是，它将推动千兆项目计划，该计划为农村地区数以百万计的人们和公司的网络提供高速连接，但这些网络还没有高质量的连接。对于供应商认为不适合以传统方式铺设网络的地方尤其如此，字面意思是“挖路”。

去年，谷歌宣布了“多搜索”功能，允许您用文本补充图像搜索。现在该工具已进入公测阶段，部分 Android 和 iOS 设备上的 Google Lens 服务用户可以使用该工具。

据开发者介绍，“MultiSearch”是一种“全新的搜索方式”，有助于扩展不同情况下的搜索能力，例如，当“没有足够的词来描述您要查找的项目”时。这项创新可能非常有用。例如，你有一件橙色的连衣裙，但你想买同样的，只有蓝色的。要找到这样的报价，只需对可用的衣服拍照并添加“蓝色”字样就足够了，其余的将由“MultiSearch”完成。

要开始与此工具交互，只需打开 Google 应用程序，选择镜头服务图标，然后在相机上拍摄所需物品的照片或从设备内存中下载其图像。然后剩下的就是使用文本添加细化并开始搜索。

根据美国法律巨头 BakerHostetler 的说法，企业投资网络安全的意愿增加可能最终会开始产生影响。

尽管勒索软件涉及该公司在 2021 年处理的 1,270 起事件中的 37%，比 2020 年增加 10%，但今天的数据安全事件响应报告[PDF] 表明，越来越多的缓解技术（如多因素身份验证 (MFA) 和备份）正在推动价格上涨的赎金。

报告称：“在 2021 年我们帮助管理的勒索软件问题中，支付的平均赎金要求约为 511,957 美元，约为 2020 年平均支付金额的三分之二。”

该公司指出，需求和付款之间的中位时间已从 2020 年的 5 天延长至 8 天。报告称：“这可能是平均支付赎金需求下降的一个驱动因素。”

“越来越多的组织已投资于提高其数据备份能力，并且能够在勒索软件事件后继续至少部分操作，这使他们能够更好地进行更长的谈判时间并为勒索需求提供更大的折扣，如果需要付款，”该公司声称。

“此外，如果不需要解密工具，而组织只是为防止进一步披露其数据而付费，他们通常可以花更多时间来协商需求，这可能会导致更大的折扣。”

数字很​​严峻。BakerHostetler 表示，2021 年向客户提出的最大赎金要求超过 6000 万美元，而前一年为 6500 万美元。但支付的最大赎金仅为 550 万美元。

该报告还强调了从请求到付款的平均时间为 11.1 天，超过 100 万美元的付款为 9.8 天，从 20 万美元到 100 万美元的付款为 13 天，从加密到恢复的平均时间为 12.2 天。

网络安全工具和措施的广泛采用意味着公司也变得更有能力识别违规行为。BakerHostetler 补充说，2021 年入侵和检测之间的中位天数几乎是 2020 年的一半。
“组织正在更快地检测入侵，许多威胁参与者在完成目标之前不再在系统中逗留。犯罪分子不想被检测到并被赶出去，因此他们正在缩短自己的停留时间。

“此外，通知时间线呈下降趋势的部分原因是威胁参与者更快地提供了有关他们窃取的数据的信息。这会通知取证调查，它可以专注于数据来自的系统，从而提供更好和更早的了解所涉及的数据，从而实现更早的通知时间表。”

这也适用于阻止通过钓鱼电子邮件地址进行的欺诈性资金转移。“我们的客户能够在 2021 年比 2020 年更频繁地识别欺诈性资金转移计划。事实上，在 2021 年，40% 的客户在资金损失之前识别出欺诈性资金转移计划，而 2020 年这一比例仅为 30% .

“这一趋势可能源于更多的员工教育和培训，包括直接存款、电汇和 ACH 支付协议，以及在损失发生之前识别潜在的欺诈性资金转移计划。”

然而，该律师事务所指出，尽管组织正在改善对安全事件的响应，但这并不能保护他们免受客户采取法律行动的风险。

在 BakerHostetler 处理的 23 起事件中，提起了超过 58 起诉讼。细分来看，有 8 起事件有超过 1 起（但少于 5 起）诉讼，4 起有 5 起或更多诉讼，43 起针对医疗机构的诉讼。

Anglosphere 的官方建议是不要屈服于勒索软件的要求，因为它只会确认攻击方法是犯罪分子可行的商业模式。然而，如果报告中的结论是可信的，那么投资于安全和培训会产生类似的效果，尽管效果很微妙。

您可以在此处阅读The Reg关于当您被勒索软件攻击时该怎么做的特别功能——包括有关您与保险公司和之后可能雇用的网络专家互动的建议 ；我们在这里特别介绍企业勒索软件即服务团伙；以及我们与在这里担任勒索软件谈判代表的前警察的对话。

Salt Security 在一家大型金融科技公司的数字平台中发现了一个漏洞，除了允许攻击者将资金转移到自己的账户外，该漏洞还可以授予攻击者对银行系统的管理员访问权限。

如果被利用，该漏洞还将暴露用户的个人数据和金融交易。

API 安全公司 Salt 的研究副总裁 Yaniv Balmas 告诉The Register ：“这个漏洞是一个严重的漏洞，它完全危害了每个银行用户。 ”

“如果不法分子发现了这个漏洞，他们可能会对金融科技公司及其用户造成严重损害。至少，攻击者可能会泄露个人账户和银行交易数据。”

alt Labs 的研究人员拒绝透露这家金融科技公司的名字，只说它位于美国，其在线银行服务平台被数十家银行和其他金融机构使用，这些银行和其他金融机构共同为数十万美国客户提供服务。

研究人员在一篇博文中写道，此类平台被专注于滥用 API 漏洞的攻击者视为主要目标。

他们写道：“他们的 API 环境和整体功能非常丰富和复杂，这给开发过程中的错误或忽略细节留下了很大的空间，”他们补充说，“如果一个不良行为者能够成功地滥用这种类型的平台，那么潜在的利润是巨大的，因为它可以控制数百万用户的银行账户和资金。”

Balmas 表示，随着越来越多的银行与金融科技提供商合作并将其传统服务转移到网上，这种攻击的威胁也在增加，这种趋势在 COVID-19 大流行期间只会加速。

“未来几年不提供在线服务的机构将很快变得无关紧要，”他说。“我还相信，由于开放银行的趋势缺乏当前保护 API 的标准化法规，因此围绕 API 保护的更广泛意识将成为该领域下一个重点关注的前沿领域。”

迁移到在线服务时，金融机构可以在内部创建框架，也可以依赖第三方供应商。无论哪种方式，服务都严重依赖 API。

“在当今世界，开发工作非常迅速，API 技术迅速出现，跟踪 API 并保护它们被证明是各种规模的组织面临的一项重大挑战，”Balmas 说。

“我们已经看到对这类潜在漏洞和威胁的认识有所提高，但 API 安全性仍远未达到最佳状态。”

第三方集成

在这种情况下，Salt Labs 研究人员专注于依赖金融科技平台的一家银行网站的外部交互。特别是，他们研究了 webhook 和第三方集成，这很重要，因为它们支持高级通知选项和资金转账等功能。

研究人员能够操纵平台中的 API 和 JWT 令牌——加密签名的密钥，让银行的服务器知道请求用户是谁以及他们拥有什么权限——在该服务器和 Salt Labs 运行的服务器之间建立连接。

使用用户提供的 URL，他们发现银行的服务器会联系他们提供的任意域。

他们写道：“我们伪造了一个包含我们自己域的格式错误的请求，交叉手指，然后等待。” “几秒钟后……宾果游戏！我们的服务器有一个连接。看到这个流量证实了我们的怀疑，这意味着服务器盲目地信任在这个参数中提供给它的域，并向那个 URL 发出请求。”

它会产生一个称为服务器端请求伪造 (SSRF) 的严重安全问题，当 Web 应用程序在未验证用户提供的 URL 的情况下获取远程资源时会发生这种问题。利用此漏洞的攻击者可以向银行应用程序发送信息请求。这是威胁参与者访问防火墙后面且无法通过外部网络访问的服务器的一种方式。

据网络安全公司 Acunetix 称，2019 年 Capital One 和其他人入侵 Microsoft Exchange 服务器涉及使用SSRF 作为入侵技术之一。

注意用户控制的输入

该公司表示，虽然 SSRF 漏洞平均存在于 1% 的 Web 应用程序中，但这是一个可能导致一系列安全漏洞的危险漏洞。

在这种情况下，研究人员能够让银行的应用程序返回银行系统上每个用户的列表以及相关详细信息。他们还能够获得每个用户进行的每笔交易的另一个列表。

他们联系了这家金融科技公司，该公司已经解决了 Salt Labs 团队提出的所有问题。然而，该研究对用户控制输入提出了警告，这是本案的关键罪魁祸首，Balmas 说。

“这些参数永远不应该被盲目信任，”他说。“软件和 API 开发人员应始终确保对任何用户输入应用尽可能多的保护，尤其是当输入值容易受到攻击时，例如可能导致 SSRF 或其他漏洞类的 URL 值。”

他说，最有效的保护是静态保护（例如基本卫生或白名单）和可识别 API 流量异常的运行时保护的组合。这样做会缩小对静态方法的差距或绕过。