各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

热点资讯

1. Facebook 被指控曾利用用户设备监视竞品软件

Facebook 母公司 Meta 陷入了一起法律诉讼。据 TechCrunch 报道，Meta 被指控在其数据收集活动上撒谎，并利用其从用户那里“欺骗性地提取”数据进行不公平的斗争。

2. iPhone 用户注意了，新型 Darcula 网络钓鱼“盯上”你们了

研究人员发现一种名为 "Darcula "的新型网络钓鱼即服务（PhaaS）使用 20000 个虚假域名，盗取了大量 Android 和 iPhone 用户的凭证。

3. 印度国防部被黑客打穿，泄露 8.8GB 数据

EclecticIQ 研究人员发布了一份报告称：黑客攻击了印度政府和能源公司，目的是传播一种名为 HackBrowserData 的开源信息窃取恶意软件。该软件能够在某些情况下利用 Slack 作为命令与控制（C2）泄露敏感信息。

4. 中国银行业协会发布《银行业数据资产估值指南》

《指南》适用于银行业金融机构，通过融合数据、资产评估和财务等多个专业领域的理论研究和实践，结合商业银行数据资产特性及数据质量、规模及市场交易等因素，构建了适用于商业银行的数据资产估值框架，旨在解决商业银行数据资产价值难衡量等问题，从而为全行业数据资产估值体系的全面构建及落地提供实践参考，推动数据要素市场科学有序发展。

5. Gartner 公布 2024 年八大网络安全预测

Gartner 研究总监 Deepti Gopal 表示，随着 GenAI 的不断发展，一些长期困扰网络安全的问题（尤其是人才短缺和员工安全意识薄弱等问题）出现转机，有望依靠该技术解决问题。而且今年的预测范围并不局限于技术问题，更侧重于人为因素，任何希望建立有效和可持续网络安全计划的 CISO 应该重点关注。

安全事件

1. CISA 和 FBI 敦促开发人员“全力消除” SQL 注入漏洞

网络安全与基础设施安全局（CISA）和联邦调查局（FBI）发布了 "安全设计 "警报。他们将 SQL 注入漏洞（SQLi）归入"不可饶恕的 "一类漏洞。

2. 涉及 1 亿被盗账户，乌克兰警方逮捕 3 名黑客

乌克兰网络警察与国家警察 (ГУНП) 调查人员合作，逮捕了 3 名黑客，他们被指控劫持全球超过 1 亿封电子邮件和 Instagram 帐户。

3. 新型 ZenHammer 内存攻击影响 AMD Zen CPU

苏黎世联邦理工学院的研究人员开发出了 Rowhammer DRAM 攻击的新变种 ZenHammer，适用于AMD Zen 微体系结构的 CPU，该微体系结构可以映射 DDR4 和 DDR5 内存芯片上的物理地址。

4. GitHub 遭遇严重供应链“投毒”攻击

有黑客针对 Discord Top.gg 的 GitHub 账户发起了供应链攻击，此次攻击导致账户密码、凭证和其他敏感信息被盗，同时也影响到了大量开发人员。

5. MuddyWater 借助 Atera 向以色列员工发起钓鱼攻击

与伊朗有联系的 APT 组织 MuddyWater 利用了一个合法的远程监控和管理（RMM）工具 Atera 进行了一系列网络攻击。

一周好文共读

1. 数据安全治理学习——前期安全规划和安全管理体系建设

数据安全治理是以数据为中心，其核心思想是面向业务数据流转的动态、按需防护。数据安全治理按照现状分析、安全规划、安全建设、安全运营的实践路线，以数据分类分级为基石，结合业务发展需要，从现状分析入手，结合组织架构、制度流程、技术工具、人员能力体系建设，构建相适应的数据安全治理能力，并针对持续评估、风险防范、监控预警、应急处理等内容形成一套常态化运营机制，再根据成效评估进行改进，以保障整个实践过程的持续性建设。【阅读全文】

2. 安全运营人员如何降低 IT 资产管理难度

企业的安全运营中心(SOC) 的主要目标是提供准确、完整且及时的威胁信息，以便企业在业务受到影响之前进行补救。SOC 利用内部安全设备监测和第三方的威胁情报服务，获取威胁告警，不断衡量威胁的准确性、完整性和及时性，并努力随着时间的推移改进这三个方面。【阅读全文】

3. 企业安全 | 数据安全建设指南

随着数字化的推进，企业内部每天都会产生海量的数据，大数据时代正式到来。随着《数据安全法》的发布，数据安全也进入了企业的视野。从各大招聘平台来看，这几年企业内招聘有关数据安全的职位普遍增加而且都有不错得薪资，因此下面一起来看看企业内如何去做数据安全。【阅读全文】

省心工具

1. 如何使用 PMKIDCracker 对包含 PMKID 值的 WPA2 密码执行安全测试

PMKIDCracker 是一款针对无线网络 WPA2 密码的安全审计与破解测试工具，该工具可以在不需要客户端或去身份验证的情况下对包含了PMKID值的WPA2无线密码执行安全审计与破解测试。【阅读全文】

2. Bugsy：一款功能强大的代码安全漏洞自动化修复工具

Bugsy 是一款功能强大的代码安全漏洞自动化修复工具，该工具本质上是一个命令行接口工具，可以帮助广大研究人员以自动化的形式修复代码中的安全漏洞。【阅读全文】