5月7日，星期六，您好！中科汇能与您分享信息安全快讯：

• GitHub将在2023年底前要求活跃开发者提供2FA

GitHub近期宣布，到2023年底，所有在其平台上贡献代码的用户（估计总共有8300万名开发者）都将被要求在其帐户上启用双因素身份验证（2FA）。必须启用2FA的活动贡献者包括但不限于提交代码、使用操作、打开或合并拉取请求或发布包的GitHub用户。开发者可以使用一个或多个2FA选项，包括物理安全密钥、内置在手机和笔记本电脑等设备中的虚拟安全密钥，或基于时间的一次性密码（TOTP）认证应用。

• 美国颁布第5部州级隐私法，包含消费者与儿童数据保护

近日，康涅狄格州成为继参议院第6号法案《关于个人数据隐私和在线监控的法案》颁布后，美国第五个拥有全面消费者隐私立法的州。新颁布的《数据隐私法》（Connecticut Data Privacy Act，CTDPA）（SB 6）的大部分条款将于2023年7月1日与《科罗拉多州隐私法》一起生效，给各组织不到14个月的时间来遵守。该法律包括许多与加利福尼亚州、科罗拉多州、犹他州和弗吉尼亚州已经出台的消费者隐私法相同的权利、义务和例外情况。它大量借鉴了CPA（《消费者保护法》）和《弗吉尼亚消费者数据保护法》，该法的许多规定要么反映了科罗拉多州或弗吉尼亚州的隐私法，要么介于两者之间，但包含一些应纳入实体合规工作的显著区别。

• 新的网络钓鱼警告：您已验证的Twitter帐户可能存在风险

网络钓鱼电子邮件越来越多地以经过验证的Twitter账户为目标，通过电子邮件窃取其账户凭据，这一点可以从威胁行为人正在进行的众多活动中看出。Twitter上经过验证的账户在其名字旁边用蓝色徽章标出，这表明账户持有人是著名的影响者、名人、政客、记者、活动人士、政府和私人组织。要获得这个“蓝色徽章”，Twitter用户必须申请验证，这需要提交额外的信息，包括身份证、网站参考资料，以及其他让你的账户“引人注目”的因素。

• SEC将网络部门增加一倍加大打击加密货币欺诈的力度

美国证券交易委员会（SEC）近日宣布，它将把加密资产和网络部门几乎增加一倍，以加大打击加密货币欺诈的力度，保护投资者免受“网络相关威胁”。SEC表示，将在网络团队中增加20个职位（包括主管、调查人员律师、审判律师和欺诈分析师），将其扩大到50名专注于打击基于加密的网络犯罪的员工。SEC主席加里·根塞尔（Gary Gensle）在今天发布的一份声明中表示：“通过将这个关键部门的规模扩大近一倍，SEC将更好地监控加密市场中的不法行为，同时继续识别与网络安全有关的披露和控制问题”。

• 网络间谍使用IP摄像头部署后门、窃取和交换电子邮件

一个新发现的、非常隐蔽的高级持续性威胁（APT）组织正在破坏企业网络，从参与并购等企业交易的员工那里窃取Exchange（内部和在线）电子邮件。Mandiant的研究人员发现了这一威胁因素，现在将其追踪为UNC3524。他们表示，该组织已经展示了其“高级”功能，因为它可以保持对受害者环境的访问超过18个月（在某些情况下）。“一旦UNC3524成功获得了受害者邮件环境的特权凭据，他们就开始向本地Microsoft Exchange或Microsoft 365 Exchange Online环境发出Exchange Web Services（EWS）API请求，”Mandiant说。

• 数百万用户受影响，杀毒软件Avast中潜藏近10年的漏洞被披露

近日，SentinelLabs 发布报告，显示他们曾在知名防病毒产品Avast 和 AVG （2016 年被 Avast 收购）中发现了两个存在时间长达近10年之久的严重漏洞。这两个漏洞被跟踪为 CVE-2022-26522 和 CVE-2022-26523，存在于名为 aswArPot.sys 的反 rootkit 内核驱动程序中，该驱动程序于 2012 年 6 月的 Avast 12.1 版本中引入，其问题的根源来自内核驱动程序中的套接字连接处理程序，可允许攻击者提升权限并禁用防病毒软件，甚至还会造成系统蓝屏、死机。由于这些漏洞的性质，它们可以从沙箱中触发，并且可能在除本地权限提升之外的上下文中被利用。例如，这些漏洞可能被用作第二阶段浏览器攻击的一部分，或执行沙盒逃逸。

• 攻击者部署后门，窃取Exchange电子邮件

近日，Mandiant 安全研究人员发现一个新的、异常隐蔽的高级持续性威胁（APT）组织正在入侵企业网络，并试图窃取参与企业交易（如并购）员工的 Exchange（内部和在线）电子邮件。网络安全研究人员将该 APT 组织追踪为 UNC3524，并强调在某些情况下，该组织可以对受害者环境进行超过 18 个月的访问，展示了其 "先进 "的隐匿能力。在每一个 UNC3524 受害者环境中，攻击者都会针对一个子集的邮箱，集中其注意力在执行团队和从事企业发展、兼并和收购的员工或 IT 安全人员身上。

• OWASP 企业安全控制库中存在路径遍历漏洞

该漏洞涉及 ESAPI 验证器接口，CVSS评分为7.5，可通过应用已修复版本 2.3.0.0 解决。OWASP ESAPI 提供安全控制库，有助于企业软件开发人员编写出更安全的代码。该技术旨在嵌入（多数是web）应用程序中，作为主动安全措施。尽管易受攻击的组件难以利用，但由于潜在影响巨大，因此建议修复，正如OWASP解释的那样，“Validator.getValidDirectoryPath (String, String, File, boolean) 的默认实现可能不正确地将所测试的输入字符串当作特定父目录的子项，因此，如果攻击可指定代表’input’ 路径的整个字符串，则可能逃避控制流绕过检查。”

• 出售访问堕胎诊所者的位置信息，数据公司：已关闭该功能

根据媒体Motherboard报道，数据公司SafeGraph出售堕胎诊所相关信息，包括访问堕胎诊所的人来自哪里、停留了多久、之后又去了哪里。在美国最高法院可能计划废除罗伊诉韦德案（Roe v. Wade）之后，堕胎相关的个人信息显得尤为重要。当地时间5月2日，美国媒体Politico得到了一份泄露的美国联邦最高法院意见草案，这份文件表明，美国最高法院可能准备推翻1973年罗伊诉韦德案，结束美国半个世纪以来对堕胎权的宪法保护。1973年，美国联邦最高法院（以下简称“最高法院”）对罗伊诉韦德案作出历史性判决，首次承认女性堕胎权受宪法保护。根据堕胎权研究组织Guttmacher Institute的数据显示，如果罗伊诉韦德案被推翻，美国至少有13个州将完全或部分禁止堕胎。

• 谷歌、苹果与微软联手用“万能密钥”杀死密码

5月5日是“世界密码日”，苹果、谷歌和微软三家公司选择在这一天宣布发起“联合行动”来消灭密码。三家科技巨头计划“扩大对由FIDO联盟和万维网联盟创建的通用无密码登录标准的支持”，也就是“多设备FIDO凭证”或万能密钥（passkey）。简单来说，这个新的“无密码”方案可以把你的手机变成免密码登录的身份验证器，用户登录应用程序或网站时会向手机推送身份验证请求，用户只需解锁手机，使用密码或生物识别在手机上进行身份验证授权，即可完成登录。对于曾使用手机端双因素身份验证的人来说，这听起来很耳熟，但passkey与双因素验证的最大区别是：它直接取代了密码，而不是辅助认证手段。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台  火绒安全 亚信安全 奇安信威胁情报中心 卡巴斯基 MACFEE  Symantec 白帽汇安全研究院   安全帮

本文版权归原作者所有，如有侵权请联系我们及时删除

原文始发于微信公众号（汇能云安全）：新的网络钓鱼警告：您已验证的Twitter帐户可能存在风险