全球动态

1. T-Mobile 证实遭黑客入侵

美国移动运营商 T-Mobile 证实其系统遭黑客入侵。在这之前，有黑客在地下论坛兜售社会安全号码、电话号码、姓名、地址、IMEI 号码和驾照等个人敏感信息。[阅读原文]

2. Corellium启动开放安全计划，提供资金与iOS虚拟化平台访问支持

iOS 虚拟化公司 Corellium，刚刚宣布了一项旨在促进独立安全研究的新计划。开放安全计划即Corellium 将向符合条件的提交者给予研究资金，以及获得访问该公司 iOS 虚拟化平台的权限。[阅读原文]

3. FBI恐怖分子观察名单被曝光，内含200万条记录

一个包含 190 万条记录的恐怖分子秘密观察名单已在网上曝光，其中包括机密的“禁飞”记录。该列表可以在没有密码的 Elasticsearch 集群上访问。[外刊-阅读原文]

4. Chase银行存在技术漏洞，客户信息被泄露给其他客户

总部位于纽约市的Chase大通银行是一家金融服务巨头，年收入达 1200 亿美元，在全球拥有超过 250,000 名员工。Chase银行现承认其网上银行网站和应用程序存在技术漏洞，导致客户银行信息意外泄露给其他客户。[外刊-阅读原文]

5. 英国教育巨头培生因掩盖数据泄露被罚款 100 万美元

据SEC宣布，Pearson公司同意支付 100 万美元的民事罚款，以解决“不承认或否认调查结果”的指控，该指控试图掩盖和淡化 2018 年发生的数据泄露事件，此次泄露事件导致美国1.3万所学校的学生和管理员登陆凭证信息泄露。[阅读原文]

6. Colonial Pipeline 在 5 月遭遇勒索软件攻击后披露了数据泄露

在 5 月遭遇勒索软件攻击后，Colonial Pipeline 现已开始通知 5000 多人其个人信息遭到泄露。[外刊-阅读原文]

安全事件

1. Realtek Wi-Fi SDK 的多个漏洞影响近百万物联网设备

台湾芯片设计商 Realtek 警告其 WiFi 模块附带的三个软件开发工具包 (SDK) 中存在四个安全漏洞，这些软件开发工具包用于至少 65 家供应商生产的近 200 款物联网设备。[外刊-阅读原文]

2. 恶意软件开发者感染了自己的 PC，其攻击数据被上传至网络犯罪情报平台

一位恶意软件开发人员在他们的系统上安装新恶意软件以尝试新功能，结果数据最终出现在网络犯罪情报平台上，暴露了他们的网络犯罪活动。[外刊-阅读原文]

3. 攻击者可以将防火墙和中间件武器化以进行 DDoS 放大攻击

马里兰大学和科罗拉多大学博尔德分校的一组学者在 USENIX 安全研讨会上详细介绍了饱和攻击利用 TCP 不合规的网络中间件——例如防火墙、入侵防御系统和深度数据包检查 (DPI) 盒 — 放大网络流量，数十万个 IP 地址提供的放大系数超过 DNS、NTP 和 Memcached。[外刊-阅读原文]

4. 多个STARTTLS相关漏洞被发现，影响三十万个电子邮件客户端

在第 30 届 USENIX 安全研讨会上，研究人员 Damian Poddebniak、Fabian Ising、Hanno Böck 和 Sebastian Schinzel详细介绍了在 STARTTLS 实现中发现的现已修补的漏洞。在研究期间进行的扫描中，发现 320,000 个电子邮件服务器容易受到所谓的命令注入攻击。[外刊-阅读原文]

5. Hive 勒索软件攻击Memorial Health系统，窃取患者数据

非营利性Memorial Health系统的计算机已被Hive 勒索软件加密，工作人员不得不使用纸质图表。[外刊-阅读原文]

6.  Trickbot 新攻击伪装成 1Password 安装程序以提取数据

伪造的 1Password 安装程序用于启动 Cobalt Strike，允许攻击者收集有关网络中多个系统的信息。[外刊-阅读原文]

优质文章

1. 路面污渍也能用来攻击！基于深度学习的自动车道居中辅助系统的安全研究

研究主要展示了产品级L2自动驾驶系统中的自动车道居中辅助系统（ALC，Automated Lane Centering）的安全。L2自动驾驶车通常利用深度神经网络（DNN）的车道检测来实现ALC。由于DNN模型对对抗性样本攻击的脆弱性已被广泛报道，该团队首次在物理世界对抗性样本攻击下对最先进的基于DNN的ALC系统在其运行设计域（即具有完整车道线的道路）中进行了安全分析。[阅读原文]

2. Linux挖矿木马的技术演进探讨

比起Windows环境，Linux下的安全问题似乎更少受到普通用户的关注，但这并没有减少攻击者对Linux系统兴趣，针对Linux系统的挖矿木马在对抗中持续进行技术更替。[阅读原文]

3. 司法部、网信办、工业和信息化部、公安部负责人就《关键信息基础设施安全保护条例》答记者问

2021年7月30日，国务院总理李克强签署第745号国务院令，公布《关键信息基础设施安全保护条例》（以下简称《条例》），自2021年9月1日起施行。日前，司法部、网信办、工业和信息化部、公安部负责人就《条例》有关问题回答了记者提问。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。