全球动态
1. 欧洲议会正式通过人工智能监管法案
据悉,该法案将在走完所有审批程序后在欧盟公报上予以公布并于20天后生效。法案中的相关条款将分阶段实施。【阅读原文】
2. 2023年云账户攻击激增16倍
报告指出,相较于其他系统,攻击者在云环境中的行为模式有所不同。他们倾向于盗取短期有效的令牌,利用这些令牌访问并滥用API,以此来提升权限。【外刊-阅读原文】
3. 因存在严重泄密风险隐患,军方取消中国远东国际招标有限公司装备采购招标代理资格
经查实,中国远东国际招标有限公司在承担战略支援部队某单位招标代理任务时,存在违规通过微信、互联网邮箱等转发传递大量采购公告资料、在非涉密电脑存储大量涉密文件资料等情形。【阅读原文】
4. 新型 Vcurms 恶意软件瞄准流行浏览器窃取数据
Vcurms恶意软件的攻击者运用了高级战术,将电子邮件作为指挥与控制中枢,并使用了AWS和GitHub等公共平台存放恶意代码。【外刊-阅读原文】
5. 欧盟委员会因使用Microsoft 365违反数据保护规定被采取纠正措施
本文梳理了EDPS所披露的欧盟委员会在该案件中涉及的主要违规行为及其纠正措施。对于其他类似的云服务产品提供商而言,这些内容也对他们的跨境业务开展也极具参考价值。【阅读原文】
6. Fortinet 修复了 FortiOS、FortiProxy 和 FortiClientEMS 中的关键漏洞
第一个漏洞是越界写入问题,被跟踪为CVE-2023-42789(CVSS 得分 9.3),通过向易受攻击的设备发送特制的 HTTP 请求来执行未经授权的代码或命令。【外刊-阅读原文】
安全事件
1. 开源噩梦:GitHub一年泄露上千万密钥
2023年GitHub平台上发生了大规模的敏感信息泄露事件,超过300万个公开代码库累计泄漏超过1280万个身份验证和敏感密钥,其中绝大部分信息在泄露后5天内仍保持有效。【阅读原文】
2. PixPirate Android 恶意软件使用新策略在手机上隐藏
PixPirate 是一款新型 Android 恶意软件,上个月,Cleafy TIR 团队首次发现并记录,它主要攻击拉丁美洲的银行。【外刊-阅读原文】
3. 黑客利用 Windows SmartScreen 漏洞投放 DarkGate 恶意软件
攻击者可以通过创建指向远程 SMB 共享上托管的另一个 .url 文件的 Windows Internet 快捷方式(.url 文件)来利用该缺陷,这将导致最终位置的文件自动执行。【阅读原文】
4. 大洋洲日产汽车公司遭入侵,10 万人受到影响
这家日本汽车制造商在网络安全方面的问题由来已久,早在十年前就已存在。它曾遭遇过源代码泄漏、针对其电动汽车的概念验证攻击,以及影响超百万客户的数据泄露事件。【外刊-阅读原文】
5. 谷歌承认“窃取”OpenAI 模型关键信息:成本低至 150 元,调用 API 即可得手
基于这种方法,谷歌破解了 GPT 系列两个基础模型 Ada 和 Babbage 的整个投影矩阵。如隐藏维度这样的关键信息也直接破获:一个为 1024,一个为 2048。【阅读原文】
6. 西班牙房屋租赁服务公司数据泄露,三百万客户数信息曝光
进一步调查显示,一个恶意行为者已经在非法市场BreachForums上发布了这个数据集。【外刊-阅读原文】
优质文章
1. 网络空间指纹:新型网络犯罪研判的关键路径
网络空间指纹是对涉案网络资产所表现的数字痕迹和服务特征的收集和分析,类似于传统刑事科学的指纹概念,每个网络犯罪活动站点都会在网络空间留下独特的特征。【阅读原文】
2. 攻击者是如何通过 YouTube 传播恶意软件的
通过使用泄露的凭据信息,攻击者巧妙地发起了大规模攻击,利用社交媒体的广泛传播接触大量潜在受害者。【阅读原文】
3. 众测SRC | 如何通过js搜索未授权接口
如何高效地寻找目标网站js中存在的接口,然后刷取未授权访问的分数【阅读原文】
*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。*标明为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022