FreeBuf周报 | Facebook因数据泄露被罚2.65亿欧元；LastPass承认客户数据被窃

FreeBuf周报 | Facebook因数据泄露被罚2.65亿欧元；LastPass承认客户数据被窃
2022-12-2 15:26:33 Author: www.freebuf.com(查看原文) 阅读量:8 收藏

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

热点资讯

美国当地时间11月25日，据The Hacker News报道，美国联邦通信委员会（FCC）正式宣布，禁止进口和销售包括华为和中兴通讯在内的，中国科技巨头制造的电信和监控设备，认为这些设备“对国家安全构成不可接受的风险”。

近日，爱尔兰数据保护委员会 (DPC) 因2021 年 Facebook 大规模数据泄露事件，向其母公司Meta开出 2.65 亿欧元（约20亿人民币）巨额罚单。

卡巴斯基的研究人员认为，随着成熟和新兴的面向消费者的恶意网络攻击增加，企业安全团队在 2023 年需要应对的许多挑战。对于企业管理员来说，品牌扩展到元宇宙世界（互联网上普遍和身临其境的虚拟世界）可能会使他们受到攻击。

Google Play 和 Apple App Store 上的 280 多个 Android 和 iOS 应用程序以具有欺诈性的条款使用户陷入贷款漩涡，并采用各种方法对借款人进行勒索和骚扰。

12月2日，据The Hacker News报道，黑客再次在暗网公布Medibank用户敏感数据，这已经是黑客连续数次公布盗窃数据。作为澳大利亚最大的个人医保基金公司，Medibank在10月遭遇重大勒索攻击，970万用户敏感信息遭窃取。

Binarly 研究人员发现，戴尔、惠普和联想的设备仍在使用过时版本的 OpenSSL 加密库。部分版本甚至发布于十多年前。

乌克兰遭受新一轮勒索软件攻击，斯洛伐克网络安全公司 ESET 将新型勒索软件称为 RansomBoggs，并表示针对乌克兰实体的攻击于 2022 年 11 月 21 日首次发现。

11月29日消息，ESET恶意软件研究员Martin Smolar报告，宏碁某些笔记本电脑设备的驱动程序存在高危漏洞，可停用UEFI安全启动功能，导致攻击者在启动过程中部署恶意软件。

据BleepingComputer 11月30日消息，谷歌的威胁分析小组 (TAG) 发现一家西班牙软件公司试图利用 Chrome 、 Firefox 浏览器以及 Microsoft Defender 安全应用程序中的漏洞从事间谍活动，目前漏洞已经得到修复。

11月30日，密码管理工具 LastPass首席执行官 Karim Toubba公开承认，通过一个新的漏洞，黑客访问了 LastPass 的第三方云存储服务器，并获得了部分客户的关键信息。但具体有多少客户因此受到影响，以及黑客窃取了哪些敏感信息暂时未公布。

本文将通过回顾无人机市场趋势、无人机入侵事件以及无人机平台渗透测试工具，探讨无人机平台的网络安全考虑因素，同时，帮助提高人们对该技术的认知水平。【阅读原文】

作者和哥们在看一个站点的时候，发现是不出网的，但是站点可以做DNS查询，所以想着搭建一个DNS隧道。此篇文章为了读者看起来更加清楚，作者公网服务器与域名都是未打码的，希望各位大佬手下留情。

本次多层网络域渗透项目旨在模拟红队攻击人员在授权情况下对目标进行渗透，从外网打点到内网横向穿透，最终获得整个内网权限的过程，包含Log4j2漏洞，MS17-010，CVE-2020-1472，CVE-2021-42287/CVE-2021-42278以及一些痕迹清理的思路等等。【阅读原文】

在最近这十年中，很多网络威胁组织都在使用基于隐写术的恶意软件或相关隐写技术来攻击全球范围内各个地区的不同部门和组织。出于这个原因，创建了stegoWiper，这是一种通过攻击所有隐写算法中最薄弱的一点（鲁棒性）来盲目破坏任何基于图像的隐写恶意软件的工具。【阅读原文】

wodat是一款功能强大的针对Windows Oracle数据库的渗透测试工具，该工具基于C# .Net Framework开发，能够帮助广大研究人员对Windows平台下的Oracle数据库执行按摩全渗透测试任务。【阅读原文】

Slicer是一款功能强大的APK安全分析工具，在该工具的帮助下，广大研究人员可以轻松地对APK文件执行自动化的信息安全侦察活动。【阅读原文】

文章来源: https://www.freebuf.com/news/351426.html
如有侵权请联系:admin#unsafe.sh