官方公众号企业安全新浪微博

FreeBuf+小程序把安全装进口袋

• 资讯

全球动态

1. 国际刑警组织捣毁网络钓鱼即服务平台“16Shop”，3人被捕

国际刑警组织宣布取缔一个名为16Shop的网络钓鱼即服务（PhaaS）平台，此外还在印度尼西亚和日本逮捕了三人。【外刊-阅读原文】

2. 微软账户成为 EvilProxy 网络钓鱼工具包的攻击目标

Proofpoint 网络安全公司表示，一种现有的网络钓鱼工具正在绕过多因素身份验证（MFA）防御，这种工具已瞄准了数千名受害者。【外刊-阅读原文】

3. 英特尔处理器被曝出“Downfall”漏洞：可窃取加密密钥

谷歌的一位高级研究科学家利用一个漏洞设计了一种新的CPU攻击方法，该漏洞可影响多个英特尔微处理器系列，并允许窃取密码、加密密钥以及共享同一台计算机的用户的电子邮件、消息或银行信息等私人数据。【外刊-阅读原文】

4. 为打击漏洞利用，谷歌将每周更新Chrome安全补丁

谷歌宣布，从Chrome浏览器116版本开始，其安全更新频率将从过去的每两周一次压缩为每周一次，以解决攻击者通过补丁更新的时间间隔，利用N Day和0 Day漏洞进行攻击活动。【外刊-阅读原文】

5. 个人信息泄露，公安部抓获行业“内鬼”2300余名

据公安部召开的新闻发布会获悉，3年来公安部部署全国公安机关开展“净网”专项行动，严打侵犯公民个人信息违法犯罪活动，锚定行业内部泄露源头，重拳打击行业“内鬼”，共抓获电信运营商、医院、保险公司、房地产、物业、快递公司等行业“内鬼”2300余名。【阅读原文】

6. 网传58集团“倒卖”毕业生简历信息

近日，国内多家媒体相继发文称，前 58 员工透露集团内部借助招聘名义，倒卖大量学生简历，此事一经爆出迅速引起社会讨论。随着此事热度不断上升，网友陆续扒出  58 集团在收集到大批学生简历后，高价卖给培训机构，以此收取返利。【阅读原文】

安全事件

1.  美国政府发起人工智能网络挑战赛

美国政府大楼本周发起了人工智能网络挑战赛，以创建新一代人工智能系统。【外刊-阅读原文】

2. 谷歌发布Android 14安全修复程序以抵御2G攻击

谷歌声称，它已经发布了针对Android 14手机的首创修复程序，这将保护它们不被威胁行为者强行迁移到更脆弱的2G系统。【外刊-阅读原文】

3. 印度国防部将从Windows转向本土玛雅操作系统

摘要：国防部计划用本地开发的名为Maya的开源操作系统替换当前的Microsoft操作系统。【外刊-阅读原文】

4. 区块链签名漏洞可破解全球加密投资者的钱包

旨在保护加密投资者的流行数字签名方案中的错误允许攻击者窃取私钥，从而获得对数字钱包的完全访问权限。【外刊-阅读原文】

5. 公安部公布打击侵犯公民个人信息犯罪十大典型案例

对侵犯公民个人信息依法打击。【阅读原文】

6. 腾讯搜狗输入法存在加密漏洞容易暴露输入内容

研究人员分析了搜狗输入法的 Windows、Android 和 iOS 版本，发现搜狗使用了一个自己开发的加密系统 EncryptWall 加密敏感数据，而该加密系统存在 CBC 密文填塞（Padding Oracle）漏洞，允许网络监听者获得加密网络传输的明文，包括用户输入的内容。【外刊-阅读原文】

优质文章

1. 企业安全之SDL体系初步探索

在甲方已经工作了一段时间，在做测试的过程中，也看了一些关于安全体系的文章，下面是我对SDL体系的一些初步了解，分享出来与大家共同探讨。【阅读原文】

2. 攻防演练 | 一次对某市级单位演习的总结学习

某次市护总结免责声明本次测试均在有授权，且在现场符合要求的情况下进行测试，请大家切勿非法渗透。【阅读原文】

3. 攻防演练之资产收敛

据说今年的攻防演练马上又要开始了，很多企业都开始了前期的准备工作。资产的梳理，暴露面收敛是前期必须做且要做好的工作。【阅读原文】

*本文档内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。