各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

1、FBI的关基情报网站遭黑客攻击，数据库在暗网出售

美国联邦调查局（FBI）的关键基础设施情报门户网站InfraGard遭到黑客攻击，其数据库在暗网违规出售，内含8万多名知名私营部门成员的联系方式。

2、国际乓联泄露数百名运动员护照和疫苗接种证书

由于国际乒乓球联合会（ITTF）的服务器出现安全问题，数百名乒乓球运动员的护照细节和疫苗接种证明等信息被泄露，其中包括中国运动员马龙和樊振东的信息。

3、继公布开源计划之后，谷歌又推出最大的开源漏洞数据库

谷歌宣布开源OSV-Scanner，该开源漏洞扫描仪可访问各种项目的漏洞信息，加强软件供应链安全。

4、人工智能机器人ChatGPT爆火没多久，管理规定就出台了

国家互联网信息办公室、工业和信息化部、公安部联合发布《互联网信息服务深度合成管理规定》（以下简称《规定》），自2023年1月10日起施行。

5、Pwn2Own 2022闭幕，参赛者累计获得近百万美元奖金

Pwn2Own 2022黑客大赛已于当地时间12月9日在多伦多落幕，来自14个国家和地区的36支参赛队伍总共斩获了989750美元奖金。

1、要钱还是要命？医院遭勒索攻击暂停手术，转移重症患者

勒索攻击者开出了解密系统的赎金，医院可以选择不支付赎金。但对于急需手术的病人来说，无异于是一场“谋杀”。

2、印度外交部泄露外籍人士护照详细信息

印度外交部专门负责对外联络海外印度侨民的平台Global Pravasi Rishta Portal 泄露了敏感数据，包括用户个人姓名和护照详细信息。

3、LockBit 黑客组织又“出手”了，加州财政部成为受害者

LockBit 黑客团伙在其泄密网站上发布消息称其攻破了加利福尼亚州财政部，盗取了数据库、机密数据、财务文件和 IT 文件。

4、因安装木马化的Windows 10程序，乌克兰政府网络被攻破

使用木马化的ISO在间谍行动中是新颖的，包括反侦测能力，表明这一活动背后的组织者有安全意识和耐心。

5、FuboTV 称网络攻击导致世界杯流媒体中断

美国东部时间14日下午2点，FuboTV 因遭到网络攻击，导致用户无法登录流媒体直播观看卡塔尔世界杯半决赛法国与摩洛哥的比赛。

1、行程卡下线，健康码将退出舞台，我们的数据该如何处理？

12月12日，“通信行程卡”微信公众号发布了“关于下线‘通信行程卡’服务的公告”，根据国务院联防联控机制综合组有关要求，12月13日0时起，正式下线“通信行程卡”服务。“通信行程卡”短信、网页、微信小程序、支付宝小程序、App等查询渠道同步下线。

2、5万个极端组织，非法物品2年12亿美元销售额，暗网数据令人震惊

作为非法毒品交易、网络犯罪和其他最邪恶活动的发源地，暗网无疑是一个令人生畏的地方。随着我们对互联网的依赖持续增长，暗网统计数据显示，这一格局对消费者和企业都是一个重大威胁。这份2022年暗网统计数据清单让我们深入了解暗网的威胁有多大，以及幕后可能发生的事情。

3、Linux持久化实操

共享库劫持持久化代码及实操、内核模块持久化代码及实操；讲清各种常见与不常见的持久化操作；可做备忘录。

1、scscanner：一款功能强大的大规模状态码扫描工具

scscanner是一款功能强大的大规模状态码扫描工具，该工具可以帮助广大研究人员从一个URL列表文件中批量读取目标网站的状态码响应信息。除此之外，该工具还可以过滤出指定的状态码，并将结果存储到一个文件中以供后续深入分析使用。

2、Neton：一款功能强大的沙盒信息收集工具

Neton是一款功能强大的沙盒信息收集工具，该工具可以帮助广大研究人员从联网的沙盒环境中提取和收集信息。该工具由一个代理和一个Web接口组成，代理负责从目标系统中收集信息，然后通过HTTPS将其收集到的数据提取到Web服务器中，而Web接口负责将收集到的信息显示给 研究人员。

3、如何使用r4ven检查自己的电子设备是否泄漏了IP及GPS信息

r4ven是一款功能强大的用户敏感信息安全检测工具，该工具可以托管一个伪造的网站，而这个网站使用了一个iframe来显示一个合法网站的信息，如果目标允许其运行，那么它将会获取目标的GPS地理位置信息（坐标经纬度）、IP地址和设备其他信息。