FreeBuf 周报 | 微软3000万客户数据遭窃;人民大学回应大量学生信息被盗
2023-7-7 14:18:25 Author: www.freebuf.com(查看原文) 阅读量:10 收藏

各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!

热点资讯

1. 75% 的消费者准备放弃受勒索软件攻击的品牌

据 Object First 调查称,由于 40% 的消费者对企业组织的数据保护能力心存怀疑,因此 75% 的消费者会在其遭到勒索软件攻击后转向其他品牌。

2. 首张罚单!谷歌分析违反GDPR,将数据传输至美国

因违规使用谷歌分析(Google Analytics),瑞典隐私保护局 (Integritetsskyddsmyndigheten – IMY) 对两家公司处以 了1230 万瑞典克朗(约110 万美元)的罚款。

3. 推特色情机器人账号泛滥,马斯克的“治推谋略”何在?

推特虚假机器人账户泛滥的问题不仅还未得到解决,其中传播色情信息的机器人账户近期反而严重泛滥。

4. 新型 "RustBucket "恶意软件变种针对macOS用户

研究人员已经揭开了苹果macOS恶意软件RustBucket更新版本的序幕,该版本具有改进的能力,可以建立持久性并避免被安全软件发现。

5. 美国医疗保健公司违规,儿童患者数据面临风险

近日,ARx医疗保健公司表示,他们在2022年遭受了一次网络攻击,可能暴露了4万多名患者的个人资料,其中许多是儿童患者。目前还不清楚为什么直到现在才披露这个消息。

安全事件

1. WordPress爆高危漏洞插件,可被用来创建非法管理员帐户

该漏洞被追踪为CVE-2023-3460 (CVSS得分:9.8),影响所有版本的Ultimate Member插件,包括2023年6月29日发布的最新版本(2.6.6)。

2. 人民大学大量学生信息被盗,官方发布回应

从网上披露的网传信息显示,被盗取的学生信息包括照片、姓名、学号、籍贯等,这些信息被公开在网站上。

3. 微软遭遇攻击,3000万客户数据遭窃

微软方面称,他们目前没有看到任何证据表明有客户数据被访问或泄露。但目前“匿名苏丹”已经宣布窃取了微软3000万客户账户的凭证。

4. 全球多家银行遭遇安卓恶意软件攻击,幕后黑手为墨西哥黑客

从2021年6月到2023年4月,墨西哥黑客一直在使用安卓恶意软件攻击全球金融机构的,特别是西班牙和智利的银行。

5. 日本最大港口遭勒索软件攻击,造成巨大经济影响

日本名古屋港遭遇了一次勒索软件攻击,影响了集装箱码头的运作。名古屋港口运输协会也已经证实,此次网络攻击扰乱了集装箱进出港口的工作。

一周好文共读

1. 最小年龄仅5岁!盘点全球最“天才”少年黑客 TOP 10

你还能想起自己8岁的时候,每天都在玩什么吗?可能是在楼下和小朋友一起捉迷藏?在家追一本连载的漫画书?又或者在电脑上玩种菜偷菜的小游戏?随着科技的发展,越来越多的小朋友从小就开始接触编程,“黑客”也在不断的“儿童化”。【阅读原文1687852409_649a957913481844c8232.png!small?1687852410296

2. 针对VR头戴显示器的侧信道攻击

随着增强现实/虚拟现实(AR/VR)系统的普及,安全和隐私问题引起了广泛关注。本文论证了AR/VR系统容易受到基于软件的侧信道攻击。通过恶意应用程序,攻击者可以在没有特殊权限的情况下推断出用户交互的隐私信息。【阅读原文一文带你看懂网络安全能力成熟度模型(C2M2)

3. CISA零信任成熟模型2.0完整解读

2021年5月,拜登签署E.O. 14028“提高国家网络安全防御能力”,要求政府所有部门必须在60天内给出实现零信任架构的计划。为此,网络安全和基础设施安全局(CISA)在2021年9月发布了零信任成熟度模型(ZTMM)1.0预览草案。【阅读原文1687675198_6497e13e8ae8c1837be39.png!small

省心工具

1. 如何使用WAFARAY增强对恶意软件检测能力

WAFARAY是一款基于Web应用防火墙和YARA规则的强大安全工具,该工具可以帮助广大研究人员增强自身的恶意软件检测能力。【阅读原文1686650318_64883dce31dcfc93b0126.jpeg!small

2. 如何使用goGetBucket扫描和发现AWS S3 Bucket

goGetBucket是一款针对AWS S3 Bucket的渗透测试与安全研究工具,在该工具的帮助下,广大研究人员可以快速扫描和发现AWS S3 Bucket。【阅读原文

1686653286_648849666e41986c02de9.jpg!small

3. 如何使用RTA框架测试安全团队的威胁行为检测能力

RTA是一款专为蓝队研究人员设计的威胁行为能力检测框架。RTA提供了一套脚本框架,旨在让蓝队针对恶意行为测试其检测能力,该框架基于MITRE ATT&CK模型设计。【阅读原文1686819982_648ad48e27744b89aae9b.png!small


文章来源: https://www.freebuf.com/news/371360.html
如有侵权请联系:admin#unsafe.sh