FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

全球动态

1. 中方对美情报机构对华网络攻击表示严重关切

针对美国情报机构对中国企业机构进行网络攻击一事，中国外交部17日在例行记者会上指出，中方对此表示严重关切，敦促美方立即停止相关恶意活动。 【阅读原文】

2. 网信办启动春节网络环境整治行动

为了营造喜庆祥和的春节网络氛围，中央网信办决定即日起开展为期1个月的“清朗·2025年春节网络环境整治”专项行动。 【阅读原文】

3. ChatGPT被曝存在爬虫漏洞，OpenAI未公开承认

本月，德国安全研究员Benjamin Flesch通过微软的GitHub分享了一篇文章，解释了如何通过向ChatGPT API发送单个HTTP请求，利用ChatGPT爬虫（特别是 ChatGPT-User）向目标网站发起大量网络请求。 【外刊-阅读原文】

4. 美国联邦贸易委员会命令通用停止收集和出售驾驶员数据

联邦贸易委员会提出了一项和解协议，禁止这家汽车巨头在五年内共享驾驶员的敏感数据。汽车制造商还必须提高其数据处理的透明度，同时让用户更好地控制他们的信息。 【外刊-阅读原文】

5. 研究称员工在 GenAI 提示中输入敏感数据的频率太高

用户倾向于将客户数据、源代码、员工福利信息、财务数据等输入到 ChatGPT、Copilot 等中，给企业带来了真正的风险。 【外刊-阅读原文】

6. IDC: 2025年中国安全和信任市场十大预测

报告总结了安全和信任市场热点，分析了未来5年的技术发展趋势，以帮助企业制定未来战略。 【阅读原文】

安全事件

1. 大范围植入木马！美网络攻击我国某研究院细节公布

2024年12月18日，国家互联网应急中心CNCERT发布公告，发现处置两起美对我大型科技企业机构网络攻击事件。 【阅读原文】

2. 黑客滥用 Microsoft VSCode 远程隧道绕过安全工具

攻击者可在用户不知情的情况下安装安装 VSCode CLI 并创建远程隧道的文件或脚本，进而非法访问开发人员设备，窃取机密数据、部署恶意软件并通过网络横向移动。 【外刊-阅读原文】

3. Otelier 泄露数百万酒店预订数据

酒店管理平台 Otelier 在威胁行为者破坏其 Amazon S3 云存储后，泄露了数百万客个人信息，以及万豪、希尔顿和凯悦等知名酒店品牌的预订数据。 【外刊-阅读原文】

4. 黑客部署恶意 npm 包，通过 Gmail SMTP 窃取 Solana 钱包密钥

网络安全研究人员在 npm 和 Python 包索引 （PyPI） 存储库中发现了三组恶意包，这些包具有窃取数据甚至从受感染系统中删除敏感数据的功能。 【外刊-阅读原文】

5. 超1.5万台 Fortinet 设备配置泄露至暗网

15474 台 Fortinet 设备的过时配置数据和虚拟专用网络 （VPN） 凭证已免费发布到暗网。 【外刊-阅读原文】

6. 多个 HPE Aruba 网络漏洞允许远程执行任意代码

Hewlett Packard Enterprise （HPE） 已确认其 Aruba Networking 产品中存在多个漏洞，这些漏洞可能允许远程执行任意代码。 【外刊-阅读原文】

优质文章

1. CVE-2024-49113漏洞分析

古河发现了两个LDAP漏洞：一个是远程代码执行（RCE）漏洞，另一个是影响所有DC的拒绝服务（DoS）/信息泄露漏洞。【阅读原文】

2. 分享Fastjson反序列化漏洞原理+漏洞复现+实战案例+POC收集

本文主要分享Fastjson反序列化漏洞原理+漏洞复现+实战案例+POC收集，然后从不同的方面去介绍和利用Fastjson漏洞。【阅读原文】

3.《防止受关注国家及相关人员访问美国敏感个人数据和政府相关数据的规定》新规解读

本文将重点回顾Biden政府自签署《14117行政令》至发布《最终规则》之间的规则制定情况、《最终规则》的关键内容及与《防止受关注国家获取美国人大规模敏感个人数据及政府相关数据拟议规则通知》（简称“《预先通知》”）的变化，以及中企在美国这一系列限制特定国家获取美国大量敏感个人数据和美国政府相关数据配套规则下合规要点与启示，以便为相关企业开展业务实践提供一定的参考。 【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。

本文为 独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022