FreeBuf周报 | WordPress插件曝高危漏洞;特斯拉陷入信息泄露丑闻
2023-4-7 15:30:54 Author: www.freebuf.com(查看原文) 阅读量:11 收藏

各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!

热点资讯

1. ChatGPT 滑铁卢:大面积封号;遭意大利封禁

4 月 1 日,越来越多人表示自己的账户被封,而意大利也在3月的最后一天正式官宣暂时禁止使用 ChatGPT,并严厉要求其母公司 OpenAI 停止处理意大利用户信息。

2. CNNVD发布漏洞赏金计划

本计划以精神表彰与物质奖励相结合的方式,鼓励引导安全研究人员积极有序提交漏洞,共同提升我国网络安全漏洞预警及风险消控能力水平。其中一级贡献奖漏洞税后奖金为5万元人民币。

3. 特斯拉陷入信息泄露丑闻:私自传播车主秘密影像

据路透社4月6日报道,虽然特斯拉曾向其数百万电动车车主保证其隐私的安全性,但根据路透社对九名前员工的采访,发现在 2019 年至 2022 年期间,特斯拉员工竟通过内部消息系统私下分享车载摄像头记录的音视频内容。

4. 被英国罚千万英镑,TikTok 回应称“不认同”

当地时间 4 月 4 日,路透社披露英国数据监管机构以短视频社交媒体平 TikTok 未经家长同意便使用 13 岁以下儿童的个人数据,违反数据保护法为由,对 TikTok 处于1270 万英镑的罚款。随后,一位 TikTok 发言人站出来表示公司不认同英国数据监管机构的处罚。

5. 勒索软件新“卷王”加密速度比 LockBit 更快

Check Point Research和 Check Point 事件响应团队的研究人员检测到一种前所未见的勒索软件,采用了一种高效且快速的混合加密方案,是迄今为止观察到的最快的勒索软件之一。

安全事件

1. 西部数据遭黑客入侵,My Cloud 服务中断

西部数据(Western Digital)于当地时间4月3日公开声称,公司系统网络遭到了入侵,某未经授权的访问者获得了对多个系统的访问权限。

2. 影响上千万网站,WordPress插件曝高危漏洞

黑客正在积极利用流行的Elementor Pro WordPress插件中的高危漏洞,该插件已被超过1200万个网站使用。

3. WinRAR曝新威胁,黑客可直接运行PowerShell

某些网络犯罪分子正试图在 WinRAR 自解压档案中添加恶意功能,这些档案包含无害的诱饵文件,使其能够在不触发目标系统上安全代理的情况下设置后门。

4. 苹果天气再度宕机

4 月 4 日下午,许多网友涌入社交媒体平台,吐槽苹果天气出现故障,无法查看所在城市实时天气状况,#苹果天气# 、#苹果天气崩了?客服回应#等话题冲上多家内容平台热搜榜。

5. 西班牙 19 岁天才黑客被拘捕

西班牙警方逮捕了 一名19 岁黑客 JoséLuis Huertas。据悉, Huertas 创建了名为 Udyat 的搜索引擎,专门出售大量被盗敏感信息,被“誉为”西班牙最危险的黑客。

一周好文共读

1. 全面探究SASE云化:甲乙双方视角下的收益与挑战

本篇起缘于前不久和某大型金融安全团队交流时,聊到了安全SAAS化,包括边缘访问零信任-SASE,有过一些观点交换。这个场景其实也是零信任经常被混淆的点,故将一些总结和观点分享出来,以作探讨。

阅读原文
1680080302_6423fdae4b63ede2f9b2d.jpg!small?1680080302900

2. 攻击“高速公路”:深入研究恶意DNS流量

近日,网络安全公司Akamai对恶意命令和控制(C2)流量进行了调查,以深入了解企业和家庭网络中的普遍威胁。【阅读原文
静默退出与Dump

3. ChatGPT 写 PoC,拿下漏洞!

ChatGPT是当今备受瞩目的智能AI聊天机器人之一。它不仅能够实现基本的语言交流,还具备许多强大的功能,例如文章撰写、代码脚本编写、翻译等等。那么我们是否可以利用 ChatGpt 去辅助我们完成一些工作呢?【阅读原文

一文理解访问控制漏洞和提权

省心工具

1. EVC:一款功能强大的电子邮件欺骗漏洞检测工具

EVC,全称为Email Vulnerablity Checker,它是一款一款功能强大的电子邮件欺骗漏洞检测工具。在该工具的帮助下,广大研究人员可以轻松检测目标域名是否存在电子邮件欺骗漏洞,或是否易受电子邮件欺骗攻击。【阅读原文1679321429_6418695560bd2a8080138.png!small

2. Web-Hacking-Playground:一个模拟真实场景的Web应用程序靶场

Web-Hacking-Playground是一模拟真实场景的Web应用程序靶场,在这个受控环境中,引入了很多真实场景中国呢的安全漏洞,其中包括渗透测试和漏洞奖励计划中发现的安全漏洞。其目的就是为了帮助广大研究人员或开发人员一起练习自己的安全技术,并学会如何检测和利用这些安全漏洞。【阅读原文1679240549_64172d65cf55cf22d4ebd.png!small

3. Darkdump:一款功能强大的深网信息搜索工具

Darkdump是一款功能强大的深网搜索工具,该工具基于Python 3.11开发,广大研究人员直接在命令行终端输入搜索(查询)语句之后,Darkdump会将深网中所有与查询内容相关的网站全部提供给我们。

阅读原文Emotet 恶意软件冒充美国税务局进行网络钓鱼


文章来源: https://www.freebuf.com/articles/362911.html
如有侵权请联系:admin#unsafe.sh