全球动态

1.TikTok曝高危漏洞允许一键式帐户劫持

TikTok安卓版存在一个高危漏洞，攻击者可能借此实现一键式账户劫持，影响数亿用户。【外刊-阅读原文】

2.意大利石油巨头 ENI 遭受网络攻击

意大利石油巨头ENI 遭受网络攻击，攻击者破坏了其计算机网络，但该公司称，攻击并未产生很恶劣的影响。【外刊-阅读原文】

3.发现超过 1000 个 iOS 应用程序暴露了硬编码的 AWS 凭证

安全研究人员对移动应用程序开发人员依赖暴露亚马逊网络服务 (AWS) 凭证的不安全做法发出警告，使供应链易受攻击。恶意行为者可以利用这一点访问私人数据库，从而导致数据泄露和客户个人数据的暴露。【外刊-阅读原文】

4.Apple 为旧款 iPhone 发布 iOS 更新以修复被积极利用的漏洞

Apple 周三将安全更新向后移植到旧款 iPhone、iPad 和 iPod touch 设备，以解决一个在野外被积极利用的关键安全漏洞。【外刊-阅读原文】

5.《福布斯》：“花样翻新”的网络威胁值得警惕

勒索病毒、付费欺诈、中间人攻击……勒索病毒、恶意软件、网络钓鱼攻击……科技头条每天都充斥着各种网络威胁的故事，同时，还有越来越多的新花样。【阅读原文】

6.国家互联网信息办公室发布《数据出境安全评估申报指南（第一版）》

为了指导和帮助数据处理者规范、有序申报数据出境安全评估，国家互联网信息办公室编制了《数据出境安全评估申报指南（第一版）》，对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出了说明。【阅读原文】

安全事件

1.专家发现 140 万用户使用恶意 Cookie 填充 Chrome 扩展程序

已经发现五个伪装成 Netflix 观众和其他人的谷歌 Chrome 网络浏览器的冒名顶替扩展程序可以跟踪用户的浏览活动并从零售联盟计划中获利。【外刊-阅读原文】

2.FBI正在帮助黑山调查网络攻击

联邦调查局的一个网络安全专家团队正前往黑山，帮助地方当局调查上周袭击政府基础设施的大规模网络攻击。【外刊-阅读原文】

3.美国众议院民主党人推动 Meta 分享堕胎数据

众议院能源和商业委员会的民主党领导人表示，Meta 首席执行官马克扎克伯格必须澄清他的公司在内布拉斯加州对药物人工流产的刑事调查中的作用，以及未来分享用户关于堕胎的对话的意图。【外刊-阅读原文】

4.标准机构发布物联网安全测试指南

领先的行业标准社区发布了其首个物联网安全产品测试指南，以推动独立的基准测试和认证工作。【外刊-阅读原文】

5.英国对电信提供商实施严格的新网络安全规则

英国电信行业的新安全框架将于 10 月生效，使英国的电信安全法规成为世界上最严格的法规之一。【外刊-阅读原文】

6.恶意应用伪装成桌面端Google Translate来挖矿

伪装成 Google Translate 和其他 Google 服务的应用程序往往在很大程度上存在恶意，其中最广泛的是用于加密挖矿。【阅读原文】

优质文章

1.红队渗透测试之Sputnik

本项目是Sputnik作者精心制作的项目环境，目标是获取获得root权限并找到flag.txt文本信息，该项目作为OSCP考试培训必打的一个项目环境。【阅读原文】

2.全网首篇 | 深入解读《医疗卫生机构网络安全管理办法》

《办法》在实施细则、责任界定、规范要求、惩罚措施等方面更加详细，也更符合医疗行业的实际需求，明确了各医疗卫生机构网络及数据安全管理基本原则、管理分工、执行标准、监督及处罚要求，体现了统筹安全与发展的总体平衡，为医疗卫生机构指明了网络安全管理的总方向。【阅读原文】

3.如何使用crAPI学习保护API的安全

crAPI是一个针对API安全的学习和研究平台，在该工具的帮助下，广大研究人员可以轻松学习和了解排名前十的关键API安全风险。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。