FreeBuf 周报 | 敲击键盘也可能泄露敏感信息；日本科技巨头富士通遭遇网络攻击

admin

102737
文章

87
评论

2024年3月23日21:45:31评论3 views字数 1856阅读6分11秒阅读模式

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

FreeBuf 周报 | 敲击键盘也可能泄露敏感信息；日本科技巨头富士通遭遇网络攻击

热点资讯

1. 联合国通过首个全球人工智能决议草案

当地时间 3 月 21 日，联合国大会一致通过了全球第一个关于人工智能（AI）的决议草案，以期能够保护个人数据、保障人权，并能有效监控其安全风险。

2. 黑客可通过 Unsaflok 漏洞获取数百万家酒店房门“万能钥匙”

研究人员了披露了一个有关 Saflok 电子 RFID 锁的安全漏洞，而全球安装了该电子锁的酒店及住宅中有约 300 万套。通过该漏洞，伪造一对房卡就能轻松打开酒店、住宅的任何一扇门。

3. Sign1 恶意软件感染了 3.9 万个 WordPress 网站

安全公司 Sucuri 发现一个名为 Sign1 的未知恶意软件感染了 39000 多个 WordPress 网站，致使网站访问人员看到了很多“强制性”的重定向链接和弹出式广告。

4. 日本科技巨头富士通遭遇网络攻击，客户数据被窃

日本科技巨头富士通 3 月 15 日发布通告，宣称公司经历了一起网络攻击事件，客户个人数据已被黑客窃取。

5. 微软：87% 的英国企业极易受到网络攻击，AI 或成破局“解药”

近日，微软联合伦敦大学发布了一份有关英国企业网络攻击的报告。数据显示，英国仅有 13% 的企业能够抵御网络攻击，另外有 48% 的企业经常受到攻击，还有 39% 面临破坏性网络事故的高风险。

安全事件

1. 纳斯达克交易系统宕机 2 小时，RASH FIX 订单无效

美国东部时间本周一凌晨，纳斯达克股票交易市场突然发生一次技术故障，导致周一开盘前停止了交易所的所有交易订单。很快，纳斯达克方面就解决了故障问题。

2. 涉及 1 亿被盗账户，乌克兰警方逮捕 3 名黑客

乌克兰网络警察与国家警察 (ГУНП) 调查人员合作，逮捕了 3 名黑客，他们被指控劫持全球超过 1 亿封电子邮件和 Instagram 帐户。

3. 从深度伪造到恶意软件：网络安全迎来 AI 新挑战

根据近日 Recorded Future 发布的一份新报告：AI 可以通过增强小型恶意软件变种的源代码来规避基于字符串的 YARA 规则，从而有效降低检测率。

4. 敲击键盘也可能泄露敏感信息？

新研究揭示，通过分析打字声音即可推断出敲击的按键，这意味着即便环境嘈杂，键盘同样有可能暴露密码，导致用户的敏感信息被泄露。

5. GitHub 推出全新 AI 功能，可自动修复代码漏洞

GitHub 推出了一项新的 AI 功能，能够有效提升编码时的漏洞修复速度。目前该功能已进入公开测试阶段，并在 GitHub 高级安全（GHAS）客户的所有私有软件源中自动启用。

一周好文共读

1. 对大型语言模型的安全性能进行基准测试，谁更胜一筹？

大型语言模型（LLM）机器学习技术正在迅速发展，催生了多个相互竞争的开源和专有架构。除了与 ChatGPT 等平台相关的生成式文本任务外，LLM 还被证实在许多文本处理应用程序中具有实用价值，可以协助编写代码以及对内容进行分类。

2. 勒索软件为何总能“复活”？

打击勒索软件就像打地鼠，但如果打击的棍棒够多，就能够在足够大的可控范围内及时控制并遏止勒索软件犯罪的势头，而这依然绕不开国际间广泛的相互合作。

3. 一个人的甲方安全，怎么搞

该文章主要分享在中小互联网企业，作为安全负责人，在只有一个人的情况下，如何承担好公司的安全职责，做好公司的安全保障，并体现自身价值。由于国家对企业安全的越来越重视，相继出台了很多法律法规，从而影响到整体环境对企业安全要求更高。

省心工具

1. Stompy：一款针对时间戳的 Timestomp 工具

Stompy 是一款功能强大的时间戳管理工具，在该工具的帮助下，广大研究人员能够轻松对指定文件或目录的时间戳进行修改和操作。该工具基于 PowerShell 开发，并且支持对目标目录中的所有文件执行递归时间戳操作。

2. 如何使用 Rayder 组织编排漏洞侦查和渗透测试工作流

Rayder 是一款针对漏洞网络侦查和渗透测试自动化工作流工具，该工具本质上是一个命令行工具，旨在帮助广大研究人员更轻松地组织、编排和执行漏洞侦查和渗透测试工作流。

3. Uscrapper：一款功能强大的网络资源爬取工具

Uscrapper 是一款功能强大的网络资源爬取工具，该工具可以帮助广大研究人员从各种网络资源中轻松高效地提取出有价值的数据，并且提供了稳定、友好且易于使用的UI界面，是安全研究人员和网络分析人员的强有力工具。

【

原文始发于微信公众号（FreeBuf）：FreeBuf 周报 | 敲击键盘也可能泄露敏感信息；日本科技巨头富士通遭遇网络攻击

左青龙
微信扫一扫

右白虎
微信扫一扫

FreeBuf 周报 | 敲击键盘也可能泄露敏感信息；日本科技巨头富士通遭遇网络攻击

1. 联合国通过首个全球人工智能决议草案

2. 黑客可通过 Unsaflok 漏洞获取数百万家酒店房门“万能钥匙”

3. Sign1 恶意软件感染了 3.9 万个 WordPress 网站

4. 日本科技巨头富士通遭遇网络攻击，客户数据被窃

5. 微软：87% 的英国企业极易受到网络攻击，AI 或成破局“解药”

1. 纳斯达克交易系统宕机 2 小时，RASH FIX 订单无效

2. 涉及 1 亿被盗账户，乌克兰警方逮捕 3 名黑客

3. 从深度伪造到恶意软件：网络安全迎来 AI 新挑战

4. 敲击键盘也可能泄露敏感信息？

5. GitHub 推出全新 AI 功能，可自动修复代码漏洞

1. 对大型语言模型的安全性能进行基准测试，谁更胜一筹？

2. 勒索软件为何总能“复活”？

3. 一个人的甲方安全，怎么搞

1. Stompy：一款针对时间戳的 Timestomp 工具

2. 如何使用 Rayder 组织编排漏洞侦查和渗透测试工作流

3. Uscrapper：一款功能强大的网络资源爬取工具

Forrester：2024年五大网络安全新威胁

新的R编程漏洞暴露项目面临供应链攻击

SpaceX 遭攻击，泄露近150GB数据以及多份图纸

为什么使用微软AI会加剧现有的数据质量和隐私问题

5000 多台 CrushFTP 服务器被零日漏洞攻击

利用山寨谷歌 Chrome 传播，安全公司披露勒索木马 Brokewell

大众汽车遭黑客入侵长达 5 年，燃油引擎 / 电池等机密文件泄露

原创 | 近年全球石油天然气行业网络安全事件汇总分析

近年全球石油天然气行业网络安全事件汇总分析

开源的Judge0 中存在多个沙箱逃逸漏洞，可导致系统遭完全接管

发表评论

在线咨询

微信