全球动态

1. 可监听几乎所有 VPN 的黑客技术曝光

VPN 的主要功能是将互联网流量封装在一个加密隧道中，并隐藏用户的 IP 地址。但是近日，研究人员发现一种名为 TunnelVision 的攻击方法，可以窃取几乎所有 VPN 应用的流量。【阅读原文】

2. 新加坡批准《网络安全法》修正案，以保护关键基础设施

近日，新加坡国会批准了《网络安全法》修正案，该法案旨在加强国家不断发展的关键基础设施的防御能力，并适应技术进步。【外刊-阅读原文】

3. 网安出海赚到钱了吗？中国网安上市公司 2023 财报摘要及启示

随着国内网络安全市场越来越来越来越卷，出海，从原来的陌生遥远不看好，已经成为许多厂商不得不思考的一个新方向。在出海方面有着多年积累的老牌网络安全上市公司的 2023 年财报，看看其中海外业务的相关信息，感受下目前市场的状态。【阅读原文】

4. 黑客利用 WordPress 插件漏洞获取超额权限，500 万个网站面临安全威胁

网络安全研究人员近期发现 WordPress LiteSpeed Cache 插件中存在一个安全漏洞，该漏洞被追踪为 CVE-2023-40000，未经身份验证的威胁攻击者可利用该漏洞获取超额权限。【外刊-阅读原文】

5. 美国政府正式发布新的国际网络空间和数字政策战略

美国务院正式发布《美国国际网络空间和数字政策战略：迈向创新、安全和尊重权利的数字未来》，旨在指导国际社会参与技术外交并推动《美国国家安全战略》和《美国国家网络安全战略》。【阅读原文】

6. 并购经营忽视网络安全，这家全球巨头 CEO 被美国国会公开质询

美国联合健康集团旗下 Change Healthcare 网络攻击事件带来了许多教训，其中一条教训在近期变得格外明确，即在并购过程中忽视网络安全问题，就等于是自寻烦恼。【外刊-阅读原文】

安全事件

1. 安全软件开发商 Avast 再因违规处理用户数据被罚 3.51 亿捷克克朗

根据捷克个人数据保护办公室近日新闻稿，安全软件开发商 Avast 因违规处理用户数据正式被处以 3.51 亿捷克克朗（当前约 1.09 亿元人民币）罚款。【阅读原文】

2. 悬赏 1000 万美元，英美执法机构揭露 LockBit 勒索软件头目

英美等国执法机构揭露了臭名昭著的勒索软件组织 LockBit一名主要头目——31 岁的俄罗斯黑客德米特里·霍罗舍夫（Dmitry Yuryevich Khoroshev），目前已经受到英国、美国和澳大利亚的多项制裁。【外刊-阅读原文】

3. 微软 Graph API 遭黑客滥用，用于逃避安全软件监测

赛门铁克威胁猎人团队近日发布报告，声称目前有大量黑客滥用微软 Graph API，黑客主要将相关 API 嵌入木马中，以便于受害设备自动下载先前存储在微软 OneDrive 等云服务上的恶意脚本。【阅读原文】

4. RSAC 2024 大会”最酷“的 20 款网络安全产品

RSAC 2024 现场， Microsoft、Google Cloud 、Palo Alto Networks、Zscaler、Fortinet 、 Netskope Cisco 在内的顶级公司持续“发力”，展示了包括 SASE、安全运营和应用程序等在内的一系列网络安全产品。【外刊-阅读原文】

5. 欧洲刑警组织牵头捣毁一跨国电信诈骗网络，累计拦截千万欧元资金

据欧洲刑警组织官网，多国警察部门在其牵头下于 4 月 18 日突击搜查了 12 个呼叫中心，成功捣毁了一个跨国电信网络诈骗网络。【阅读原文】

6. 英国立法禁止弱密码，系全球首例

英国最近通过了一项具有里程碑意义数据安全法案，禁止使用容易被猜到的弱密码，这是全球首部明令禁止弱密码的法案，覆盖广大消费者和设备制造商，有望推动全球性的安全意识和安全文化提升。【外刊-阅读原文】

优质文章

1. 超详细分享 | 你真的懂大语言模型么？

随着 transfomer 的兴起，全球延伸出3种变种的大模型架构，仅编码器架构、仅解码器架构和编码器-解码器架构。【阅读原文】

2. 漏洞挖掘 | 挖 SRC 的新思路？一文详解国内AI场景漏洞挖掘

使用生成式 AI 的时候，可能会输入包含敏感信息的内容，如财务数据、公司机密、账户密码等信息。如果当前企业自己开发的 AI 产品存在越权、未授权等漏洞，将会导致输入的信息被攻击者获取。【阅读原文】

3. 一次简单的 SRC 漏洞挖掘

本文记录在一次SRC挖掘过程中发现的用户枚举导致了敏感信息泄露以及水平越权。难度不大，分享一些漏洞挖掘的思路。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。