在马斯克（Elon Musk）控制 Twitter 之后，大量用户涌向了它的去中心化替代 Mastodon。仅在两周内，它就增加了 100 万新用户，月活跃用户达到 350 万，总用户达到 870 万。Mastodon 采用联邦式架构，每个人都可以创建自己的服务器或实例，像电子邮件那样互相通信。由志愿者运营的实例数量也在此期间超过了 1.7 万。如此多的实例它们是否安全？安全行业的从业者 Mike Lendvay 对此表达担忧，他指出管理这些服务器的人的技术水平存在巨大差异。配置错误的服务器很容易成为安全隐患。研究人员已经发现了多个存在安全漏洞的 Mastodon 实例。Mastodon 项目缺乏专门的安全团队，甚至软件也没有自动更新或更新可用的功能。管理员必须每隔一段时间去 GitHub 检查是否有新版本发布。好的方面是 Mastodon 收集的用户数据非常少，不保存电话号码，也没有跟踪用户兴趣的算法。服务器主要收集用户的公开和私有信息，注册的电邮地址和哈希密码。对攻击者而言 Mastodon 并不是高价值的目标，何况每个实例的用户数也很少，不像 Twitter 动辄数亿用户。

UNC4191网络间谍活动使用USB作为初始感染载体

日前，Mandiant已确认网络间谍活动的细节，目前被追踪为UNC4191，利用USB设备作为初始感染媒介，并集中在菲律宾。

Mandiant的研究人员在28日的一篇文章中写道:“在通过USB设备进行初始感染后，威胁行为者利用合法签名的二进制文件侧加载恶意软件，包括MISTCLOAK、DARKDEW和BLUEHAZE的三个新家族。”恶意软件通过感染插入受损系统的新的可移动驱动器进行自我复制，允许恶意有效载荷传播到其他系统，并可能从物理隔离系统中收集数据。

索尼、雷克沙等闪存设备加密提供商泄露敏感数据

索尼、雷克沙、闪迪等USB设备的加密解决方案提供商—荷兰软件公司 ENC Security 被曝出泄露配置和证书文件长达一年多。

购买 Sony、Lexar 或 Sandisk USB 密钥或任何其他存储设备时，它会附带一个加密解决方案来保护您的数据安全，而该软件由第三方供应商 ENC Security 开发。Cybernews 研究团队发现，ENC Security 已经泄露其配置和证书文件一年多了。

据悉，泄漏服务器中的数据包括销售渠道的简单邮件传输协议 (SMTP) 凭据、单一支付平台的 Adyen 密钥、电子邮件营销公司的 Mailchimp API 密钥、许可支付 API 密钥、HMAC 消息身份验证代码以及存储在.pem 格式。