全球动态

1. 斩断伸向地理信息数据的黑手，国家安全机关等开展排查治理

国家安全部微信公众号发文称，个别境外组织、机构和人员盯上了地理信息数据，企图利用地理信息系统软件开展情报窃密活动。【阅读原文】

2. 许多热门网站仍然依据 1985 年以来的密码创建政策

美国佐治亚理工学院的研究人员发现，大量流行网站仍然允许用户选择弱密码甚至单字符密码，甚至还在依据 NIST 1985 年的密码政策指南。【外刊-阅读原文】

3. 欧洲刑警组织对滥用蓝牙追踪器的犯罪行为发出警报

犯罪分子正在利用这项技术对非法商品进行地理定位，大多数报告的案件都涉及可卡因走私。

【外刊-阅读原文】

4. 网络犯罪组织越来越多地利用人口贩卖为诈骗工厂提供人员

国际刑警组织捣毁了东南亚网络犯罪团伙，解救了 149 名人口贩卖受害者，但该机构警告说，全球范围内网络犯罪造成的人员伤亡正在不断增加。【外刊-阅读原文】

5. 英国因加密货币诈骗和人口贩卖对 9 名亚洲人实施制裁

受制裁个人在缅甸、柬埔寨和老挝实施过诈骗活动。英国金融制裁实施办公室表示，诈骗者通过在社交媒体平台上虚假发布招聘广告，并实施非法拘留，然后迫使他们从事在线恋爱、加密货币和网络钓鱼诈骗活动。【外刊-阅读原文】

6. Kelvin Security 黑客组织头目在西班牙被捕

西班牙警方逮捕了“Kelvin Security”黑客组织的一名涉嫌头目，该组织自 2020 年以来对 90 个国家的组织发动了 300 次网络攻击。【外刊-阅读原文】

安全事件

1. WordPress 插件曝出关键漏洞，导致 5 万个网站遭受 RCE 攻击

一个安装了超过 9 万次的 WordPress 插件中存在一个严重的安全漏洞，威胁攻击者能够利用该漏洞获得远程代码执行权限，从而完全控制有漏洞的网站。 【外刊-阅读原文】

2. 丰田公司遭遇美杜莎勒索软件攻击，被索要800万美元赎金

近日，丰田金融服务公司披露了一起数据泄露事件。并通知客户称：由于系统受到攻击，黑客很可能已经获取到了客户的个人数据和财务数据。【外刊-阅读原文】

3. CS2游戏中的 HTML 注入漏洞暴露了玩家 IP 地址

Valve 修复了 CS2 中的一个 HTML 注入缺陷，该缺陷如今被严重滥用，将图像注入游戏并获取其他玩家的 IP 地址。【外刊-阅读原文】

4. 勒索软件团伙袭击美国肯塔基州和印第安纳州的医院，超百万人受影响

美国诺顿医疗保健12月8日通报了一起影响其内部系统的“网络安全事件”，预计超过 200 万人受影响。【外刊-阅读原文】

5. 一招聘APP遭撞库攻击：黑客拿“万能钥匙”偷走300万条数据

据央视新闻报道，一求职招聘类App短信验证码接口遭遇了1300多万次的攻击。【阅读原文】

6. 冷藏企业巨头 Americold 遭受勒索软件攻击

该公司近日披露，4 月份针对公司的勒索软件攻击影响了近 13 万人。【外刊-阅读原文】

优质文章

1. 安全设计 | 企业安全开发生命周期（SDL）实践

在软件开发过程中，微软总结出若干核心的安全设计原则：基本隐私、默认安全、威胁建模、纵深防御、权限最小化和攻击面最小化。这些原则在软件开发的各个阶段都引入了安全和隐私的元素，以减少软件中的漏洞数量并将安全缺陷降低到最小程度。【阅读原文】

2. 渗透测试 | 基于白名单AutoElevate绕过UAC提权

UAC主要功能是进行一些会影响系统安全的操作时，会自动触发UAC，用户确认后才能执行。
【阅读原文】

3. GPTs攻击面研究与分析

本文将对GPTs的特性及其相应的攻击面进一步分析，探索更多关于LLMs安全风险的理解与思考。

【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。