各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

热点资讯

1. Pwn2Own Automotive 2024 大赛上，研究人员又一次侵入了特斯拉

Pwn2Own Automotive 2024 大赛第一天，安全研究人员通过三个漏洞碰撞和 24 个零日漏洞利用共获得了 72.25 万美元的奖金。

2. 美国、英国和澳大利亚联合制裁 REvil 黑客组织成员

澳大利亚、美国和英国政府宣布对俄罗斯人 Aleksandr Gennadievich Ermakov 实施制裁。据悉，该男子被认为是 2022 年 Medibank 攻击事件的幕后黑手，也是 REvil 勒索软件组织的重要成员。

3. 2023年度DDoS攻击峰值暴增，美国是最大攻击源

Gcore 发布了最新的2023 年第三、四季度（Q3-Q4） DDoS 攻击趋势报告，指出 DDoS 攻击的规模和复杂性都有了惊人增长。

4. 研究称手机环境光传感器可泄露用户隐私信息

麻省理工学院计算机科学和人工智能实验室（CSAIL）的一项研究论文显示，Android 和 iPhone 手机的环境光传感器可以变成摄像头，让攻击者可以探测用户行为及其周围环境。

5. Apple发布今年首个零日漏洞安全补丁

苹果公司近日发布了安全更新，以解决今年首个可能影响 iPhone、Mac 和 Apple TV 的零日漏洞。

安全事件

1. Vans 和 North Face 母公司遭遇勒索软件攻击，影响 3500 万消费者

Vans、Timberland、The North Face、Dickies 和 Supreme 等知名服饰和鞋类品牌背后的母公司 VF Corporation 表示，在 12 月份发生的勒索软件攻击事件中，超过 3500 万客户个人信息被威胁攻击者盗取了。

2. 2024年密码泄露王炸：7千万邮箱账号、1 亿密码泄露

安全研究人员发现了有史以来最大的密码泄露事件之一，包含 7084 万个电子邮件地址以及超过 1 亿个密码凭证，至少有超过 40 万 Have I Been Pwned（HIBP）用户受到影响。

3. 数据中心遭勒索攻击，瑞典多个城市因此宕机

芬兰IT服务和企业云托管供应商Tietoevry遭受勒索软件攻击，该攻击严重影响了其在瑞典的一个数据中心的云托管客户。据报道这次攻击是由Akira勒索软件团伙发起的。

4. 苹果、VMware、Apache等科技巨头漏洞被大量应用

Therecord网站披露，黑客因频繁利用多个新发现的漏洞发起攻击吸引了美国网络安全专家们的高度关注，专家们担心这些漏洞可能会被网络犯罪组织和其他各国政府用于不法目的。

5. 热门应用滥用苹果 iPhone 推送通知，暗中窃取用户数据

移动研究人员  Tommy Mysk 近日揭露，部分热门应用利用 iPhone 推送通知功能秘密发送用户数据，这引发了用户隐私安全担忧。

一周好文共读

1. 数据安全，走到前台来，不要再躲在背后

让数据安全产品走到前台来，企业内就让员工去评价好坏，企业外就让消费者用户去评价，不要让安全再来评价安全，只有如此技术才能进步，产品才能创新。【阅读全文】

2. 数据安全治理学习——政策背景和体系框架

数据安全上升为国家战略，数据作为新型生产要素，正深刻影响着国家经济社会的发展。数据安全治理应围绕“构建全方位数据安全体系、 筑牢安全防线”的总体目标，满足合规要求、治理数据安全风险、促进数据开发利用，发展数字经济、加快培育发展数据要素市场。【阅读全文】

3. 针对VR的侧信道按键推理攻击

本研究设计了一系列共享虚拟环境中的按键推理攻击，攻击者（VR用户）可以通过观察另一VR用户的虚拟形象来恢复其输入的内容。【阅读全文】

省心工具

1. MaccaroniC2：一款功能强大的纯Python命令控制框架

MaccaroniC2是一款功能强大的命令控制C2框架，该工具基于纯Python实现，可以帮助广大研究人员在特定场景中实现控制命令的发送和结果的接收。【阅读全文】

2. ICSpector：一款功能强大的微软开源工业PLC安全取证框架

ICSpector是一款功能强大的开源工业PLC安全取证框架，该工具由微软的研究人员负责开发和维护，可以帮助广大研究人员轻松分析工业PLC元数据和项目文件。【阅读全文】

3. 如何使用IaC Scan Runner扫描IaC中的常见安全漏洞

IaC Scan Runner是一款针对IaC（基础设施即代码）的安全漏洞扫描工具，在该工具的帮助下，广大安全开发人员可以轻松扫描IaC（基础设施即代码）中的常见漏洞。【阅读全文】