各位Buffer周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!
据澳大利亚《金融评论》报道,8 月 1 日,澳大利亚隐私监管机构信息专员办公室(OAIC)表态,正在遵循监管行动政策,核查一份报告中指出的 TikTok 数据隐私问题。该报告由澳大利亚民间网络安全公司 Internet 2.0 发布。报告称,TikTok 正从用户手机上收集包括日历、联系人名单和照片等大量数据,并将这些数据传回中国。
TikTok 称报告存在多处错误,并“存在对移动应用根本性的误解”;对于澳大利亚信息专员办公室的调查,TikTok 称鉴于报告中的诸多不实之处,已经与办公室取得联系,期待向隐私监管委员呈现更加清晰的实际情况。
在经历了来自科技行业和隐私倡导者长期的抗议和批评之后,8月3日,印度电子和信息技术国务部长Rajeev Chandrasekhar宣布,于2019年颁布的《数据保护法案》已正式撤回。
Chandrasekhar表示,这部法案的一些规定超出了数据保护范围,一些复杂性措施也增加了中小企业的合规负担,比如对跨境数据流动进行严格监管、强制要求共享部分“非个人”数据等。接下来,莫迪政府表示接下来会推出一个包括隐私在内的科技监管 "综合框架",有望在2023年初获得批准。
8月3日,软件工程师 Stephen Lacy 在社交媒体上发布消息称,Github 正在遭受大规模恶意软件攻击,超 3.5 万个代码库受影响,波及范围涵盖 Crypto、Golang、Pyhon、js、bash、Docker 和 k8s 等领域。但是事实与此相反,GitHub 上的“35000 个项目”并未受到任何影响或损害。
8月2日消息,在微博、微信等各大互联网平台相继展示 IP 属地信息后,QQ 音乐现已开始展示用户 IP 属地信息。目前,QQ 音乐安卓与 iOS 最新正式版均已开始展示用户 IP 属地信息,包括个人主页、歌曲评论等页面。用户暂时无法主动开启或关闭相关展示。
据报道,美国政府的网络安全机构已与其乌克兰网络安全机构签署了一项关于在网络安全方面加强合作的协议。美国网络安全和基础设施安全局(CISA)7月29日宣布,它已与乌克兰国家特别通信和信息保护局(SSSCIP)签署了合作备忘录(MoC)。CISA 表示,这将进一步增进两机构之间的关系。
当地时间8月2日晚间,区块链行业遭遇了一次行业重创。据科技媒体TechCrunch报道,若干名攻击者“抄底”了上万个加密钱包,钱包内有价值上亿美元的代币。据了解遭受攻击的加密钱包包括Phantom、Slope和TrustWallet等。
攻击的原因仍不清楚,但区块链Avalanche创始人Emin Gün Sirer表示,交易是正确签署的,这意味着该漏洞可能是一个 "供应链攻击",并设法窃取用户的私钥。
据Bleeping Computer消息,网络攻击组织盯上了德国工商协会 (DIHK) ,对其发起了大规模的网络攻击。DIHK无力面对如此强力的网络攻击,直接躺平:被迫关闭了所有的IT系统,关闭所有的数字服务、电话和电子邮件服务器。
资料显示,德国工商总会(简称DIHK)是79个独立的德国工商会的行政联合机构。根据德国有关法律规定,所有德国境内企业(除手工业者、自由职业者及农业加工业外)均必须加入德国工商会。该会在德国国内承担着大量的公益任务。
针对 Microsoft 电子邮件服务凭据的新大规模网络钓鱼活动使用基于代理的自定义网络钓鱼工具包绕过多因素身份验证。研究人员认为,该活动的目标是破坏公司账户以进行 BEC(商业电子邮件泄露)攻击,使用伪造文件将付款转移到他们控制的银行账户。
据The Hacker News报道,大华摄像头被曝存在“开放式网络视频接口论坛(ONVIF)”标准实施的安全漏洞,编号CVE-2022-30563(CVSS 评分:7.4),黑客可通过该漏洞嗅探未加密的ONVIF交互,允许攻击者通过重放凭据来破坏摄像机。6月28日,大华已经发布了漏洞补丁修复了这一漏洞。
据外媒报道,一名 ID 为 Adrastea 的黑客声称在 MBDA 公司基础设施中发现了严重漏洞,并窃取了 60 GB 的机密数据,包括有关参与军事项目,商业活动,合同协议和与其他公司通信的公司员工的信息。
2010年,Forrester Research分析师John Kindervag提出了著名的零信任理念,随即这种创新性安全理念火遍全球,被认为是行业颠覆性创新理念,必将引领下一代网络信息安全行业。
但命运有时候就是这么不如人意。零信任技术火了十几年,也被吹了十几年,但直到今天,在国内依旧还是处于“叫好不叫座”的尴尬地位。真正掏出真金白银,大规模落地零信任技术的企业,还真没有多少。
数据安全,从本质上来说,几乎是所有安全产品的终极防护目标。从广义来讲,大部分攻击行为,都和数据有关。例如“勒索病毒”,它最初是利用系统漏洞攻入,找到硬盘上的重要数据并加密,最终目是收取“解密费”。从这个角度看,不论是网络安全产品,还是数据安全产品,最终目标都是为了保护用户的数据安全。
数据安全是如此重要,然而却又如此复杂。因为技术的复杂性,以及和业务结合的复杂性,过去十几年一直没有占据安全市场的主要比例。这种情况现在发生了一些改变,或者说迎来了契机——从国内外近年来数据安全事件频发的形势、数据作为生产要素的新的认知、以及立法的密集程度,可以预测到数据安全市场未来会占据通用安全市场越来越多的份额,也会以更快的增长速度持续增长。
东欧的局势影响了整个网络安全行业,尤其是在 DDoS 攻击和防护领域。目前,各国正在成为网络安全行业的积极参与者,网络攻击也开始变得复杂。G·Core Labs 近期发表研究报告表明,全球 DDoS 攻击的攻击强度、发起频率以及攻击广度正在极速攀升,越来越多 DDos 攻击被广泛用于政治考量。
CrackQL是一款功能强大的图形化密码爆破和模糊测试工具,在该工具的帮助下,广大研究人员可以针对密码安全和应用程序安全进行渗透测试。
除此之外,CrackQL同时也是一款通用的GraphQL渗透测试工具,它可以控制速率限制和其他分析控制技术来对目标系统进行凭证爆破和模糊测试等操作,以测试程序的安全性。
cspparse是一款针对内容安全策略的升级工具,在该工具的帮助下,广大研究人员可以针对自己所实施的内容安全策略CSP进行安全审计和评估。
该工具使用了Google的API来获取CSP Header,并将获取到的信息以ReconJSON格式返回给研究人员。除此之外,该工具还能够解析目标站点的HTML,并检索HTML代码中<meta>标签包含的内容安全策略CSP规则。
AioDnsBrute是一款功能强大的异步DNS爆破工具,该工具基于Python 3.5开发,并使用了asyncio库以实现针对目标域名的异步爆破。
该工具的运行速度非常快,在一台小型VPS主机上,可以实现在1.5-2分钟之内处理大约10万个DNS资源。如果使用的是Amazon M3的话,3分钟之内可以发送100万个请求。