FreeBuf 周报 | 2024年密码泄露王炸；2023年度DDoS攻击峰值暴增

admin

102755
文章

87
评论

2024年1月28日21:05:18评论6 views字数 1879阅读6分15秒阅读模式

FreeBuf 周报 | 2024年密码泄露王炸；2023年度DDoS攻击峰值暴增

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

热点资讯

1. Pwn2Own Automotive 2024 大赛上，研究人员又一次侵入了特斯拉

Pwn2Own Automotive 2024 大赛第一天，安全研究人员通过三个漏洞碰撞和 24 个零日漏洞利用共获得了 72.25 万美元的奖金。

2. 美国、英国和澳大利亚联合制裁 REvil 黑客组织成员

澳大利亚、美国和英国政府宣布对俄罗斯人 Aleksandr Gennadievich Ermakov 实施制裁。据悉，该男子被认为是 2022 年 Medibank 攻击事件的幕后黑手，也是 REvil 勒索软件组织的重要成员。

3. 2023年度DDoS攻击峰值暴增，美国是最大攻击源

Gcore 发布了最新的2023 年第三、四季度（Q3-Q4） DDoS 攻击趋势报告，指出 DDoS 攻击的规模和复杂性都有了惊人增长。

4. 研究称手机环境光传感器可泄露用户隐私信息

麻省理工学院计算机科学和人工智能实验室（CSAIL）的一项研究论文显示，Android 和 iPhone 手机的环境光传感器可以变成摄像头，让攻击者可以探测用户行为及其周围环境。

5. Apple发布今年首个零日漏洞安全补丁

苹果公司近日发布了安全更新，以解决今年首个可能影响 iPhone、Mac 和 Apple TV 的零日漏洞。

安全事件

1. Vans 和 North Face 母公司遭遇勒索软件攻击，影响 3500 万消费者

Vans、Timberland、The North Face、Dickies 和 Supreme 等知名服饰和鞋类品牌背后的母公司 VF Corporation 表示，在 12 月份发生的勒索软件攻击事件中，超过 3500 万客户个人信息被威胁攻击者盗取了。

2. 2024年密码泄露王炸：7千万邮箱账号、1 亿密码泄露

安全研究人员发现了有史以来最大的密码泄露事件之一，包含 7084 万个电子邮件地址以及超过 1 亿个密码凭证，至少有超过 40 万 Have I Been Pwned（HIBP）用户受到影响。

3. 数据中心遭勒索攻击，瑞典多个城市因此宕机

芬兰IT服务和企业云托管供应商Tietoevry遭受勒索软件攻击，该攻击严重影响了其在瑞典的一个数据中心的云托管客户。据报道这次攻击是由Akira勒索软件团伙发起的。

4. 苹果、VMware、Apache等科技巨头漏洞被大量应用

Therecord网站披露，黑客因频繁利用多个新发现的漏洞发起攻击吸引了美国网络安全专家们的高度关注，专家们担心这些漏洞可能会被网络犯罪组织和其他各国政府用于不法目的。

5. 热门应用滥用苹果 iPhone 推送通知，暗中窃取用户数据

移动研究人员 Tommy Mysk 近日揭露，部分热门应用利用 iPhone 推送通知功能秘密发送用户数据，这引发了用户隐私安全担忧。

一周好文共杜

1. 数据安全，走到前台来，不要再躲在背后

让数据安全产品走到前台来，企业内就让员工去评价好坏，企业外就让消费者用户去评价，不要让安全再来评价安全，只有如此技术才能进步，产品才能创新。

FreeBuf 周报 | 2024年密码泄露王炸；2023年度DDoS攻击峰值暴增

2. 数据安全治理学习——政策背景和体系框架

数据安全上升为国家战略，数据作为新型生产要素，正深刻影响着国家经济社会的发展。数据安全治理应围绕“构建全方位数据安全体系、筑牢安全防线”的总体目标，满足合规要求、治理数据安全风险、促进数据开发利用，发展数字经济、加快培育发展数据要素市场。

3. 针对VR的侧信道按键推理攻击

本研究设计了一系列共享虚拟环境中的按键推理攻击，攻击者（VR用户）可以通过观察另一VR用户的虚拟形象来恢复其输入的内容。

省心工具

1. MaccaroniC2：一款功能强大的纯Python命令控制框架

MaccaroniC2是一款功能强大的命令控制C2框架，该工具基于纯Python实现，可以帮助广大研究人员在特定场景中实现控制命令的发送和结果的接收。

2. ICSpector：一款功能强大的微软开源工业PLC安全取证框架

ICSpector是一款功能强大的开源工业PLC安全取证框架，该工具由微软的研究人员负责开发和维护，可以帮助广大研究人员轻松分析工业PLC元数据和项目文件。

3. 如何使用IaC Scan Runner扫描IaC中的常见安全漏洞

IaC Scan Runner是一款针对IaC（基础设施即代码）的安全漏洞扫描工具，在该工具的帮助下，广大安全开发人员可以轻松扫描IaC（基础设施即代码）中的常见漏洞。

【

原文始发于微信公众号（FreeBuf）：FreeBuf 周报 | 2024年密码泄露王炸；2023年度DDoS攻击峰值暴增

左青龙
微信扫一扫

右白虎
微信扫一扫

FreeBuf 周报 | 2024年密码泄露王炸；2023年度DDoS攻击峰值暴增

1. Pwn2Own Automotive 2024 大赛上，研究人员又一次侵入了特斯拉

2. 美国、英国和澳大利亚联合制裁 REvil 黑客组织成员

3. 2023年度DDoS攻击峰值暴增，美国是最大攻击源

4. 研究称手机环境光传感器可泄露用户隐私信息

5. Apple发布今年首个零日漏洞安全补丁

1. Vans 和 North Face 母公司遭遇勒索软件攻击，影响 3500 万消费者

2. 2024年密码泄露王炸：7千万邮箱账号、1 亿密码泄露

3. 数据中心遭勒索攻击，瑞典多个城市因此宕机

4. 苹果、VMware、Apache等科技巨头漏洞被大量应用

5. 热门应用滥用苹果 iPhone 推送通知，暗中窃取用户数据

1. 数据安全，走到前台来，不要再躲在背后

2. 数据安全治理学习——政策背景和体系框架

3. 针对VR的侧信道按键推理攻击

1. MaccaroniC2：一款功能强大的纯Python命令控制框架

2. ICSpector：一款功能强大的微软开源工业PLC安全取证框架

3. 如何使用IaC Scan Runner扫描IaC中的常见安全漏洞

DataTrove：一款针对大规模文本数据的处理、过滤和消除重复数据工具

PlugX又有新变种，感染250万个服务器

实验性 Morris II 蠕虫病毒可以利用流行的人工智能服务窃取数据并传播恶意软件

蚂蚁集团韦韬：DKCF可信框架大模型从砖家到专家还有多远？

一次勒索攻击案例追踪 | 从最初的漏洞利用到最终的部署勒索软件历时29天

谷歌Play 商店拒绝了 228 万款有风险的 Android 应用

Forrester：2024年五大网络安全新威胁

新的R编程漏洞暴露项目面临供应链攻击

SpaceX 遭攻击，泄露近150GB数据以及多份图纸

为什么使用微软AI会加剧现有的数据质量和隐私问题

发表评论

在线咨询

微信