谷歌将支付2950万美元解决关于用户位置跟踪的诉讼；研究人员披露Google Home智能音箱监听用户对话的漏洞

1、谷歌将支付2950万美元解决关于用户位置跟踪的诉讼

      据媒体1月2日报道，谷歌已同意支付2950万美元，以解决印第安纳州和华盛顿特区关于用户位置跟踪的两起诉讼。这些诉讼是对2018年披露的事件的回应，即尽管关闭了位置历史记录选项，但该公司仍通过名为“Web & App Activity”的设置继续跟踪用户在Android和iOS上的行踪。它被要求向华盛顿特区支付950万美元，向印第安纳州支付2000万美元。上个月，谷歌就类似指控向美国的40个州支付了3.915亿美元。

https://thehackernews.com/2023/01/google-to-pay-295-million-to-settle.html

2、加拿大某矿业公司遭到勒索攻击导致工厂暂时关闭

      媒体2022年12月30日称，位于不列颠哥伦比亚省的加拿大铜山矿业公司(CMMC)遭到了勒索攻击。CMMC占地18000英亩，平均每年生产1亿磅铜，估计矿产储量还可以再使用32年。攻击发生在2022年12月27日，CMMC隔离了被感染的系统并关闭其它系统来确定勒索攻击的影响。此外，作为预防措施，工程师还关闭了工厂以确定其控制系统的状态，并将其它工序转为手动操作。2022年10月底，欧洲最大的铜生产商Aurubis也曾遭到网络攻击。

https://www.bleepingcomputer.com/news/security/canadian-mining-firm-shuts-down-mill-after-ransomware-attack/

3、FBI对加密货币交易平台3Commas的泄露事件展开调查

      据2022年12月31日报道，联邦调查局(FBI)已对针对爱沙尼亚加密货币交易平台3Commas遭到的攻击事件展开调查。某匿名Twitter用户发布了一组据称从3Commas平台获得的10000个API密钥，并表示其计划在接下来的几天中发布其持有的全部100000个API密钥。3Commas调查了泄露的数据，并确认这些文件包含有效的API密钥。此外，该平台否认了密钥是由内部人员出售的说法。据悉，攻击发生在2022年12月上旬，黑客通过API获得了交易服务系统的访问权限，但他们入侵和访问系统的方法仍然未知。

https://www.hackread.com/3commas-api-database-leak-anonymous-hacker/

4、研究人员披露Google Home智能音箱监听用户对话的漏洞 

      媒体2022年12月30日报道称，研究人员发现了Google Home智能音箱中的漏洞，可被利用来安装后门并将其变成窃听设备。据悉，该漏洞允许无线范围内的攻击者在设备上安装一个后门账户，然后通过互联网向设备远程发送命令，访问其麦克风信号，并在目标的局域网内进行任意的HTTP请求。在发出此类恶意请求时，不仅可以暴露Wi-Fi密码，还可以让攻击者直接访问连接到同一网络的其它设备。谷歌已于2021年4月份修复了该漏洞。

https://thehackernews.com/2022/12/researcher-uncovers-potential.html

5、PyTorch提醒用户卸载与torchtriton库同名的恶意依赖

      据媒体1月2日称，PyTorch发现了一个与该框架的"torchtriton"库同名的恶意依赖，这导致了通过依赖关系混淆的攻击活动。由于PyPI索引优先，因此在获取依赖项时，PyPI上的恶意库会被优先考虑，而不是PyTorch-nightly repo上发布的官方库。恶意torchtriton不仅会窃取目标系统的指纹信息，还会进一步窃取敏感数据。PyTorch团队建议，在2022年12月25日至12月30日期间安装了该库的nightly builds的用户，应立即卸载并下载最新版本。

https://thehackernews.com/2023/01/pytorch-machine-learning-framework.html

6、勒索团伙Royal称其爱荷华州PBS电台遭到的攻击负责

      2022年12月30日报道称，勒索团伙Royal称其是爱荷华州PBS电台网络攻击的幕后黑手。11月20日凌晨，爱荷华州PBS发现其系统上存在可疑活动。电台的发言人称其服务并未受到影响，但是拒绝提供有关该事件的更多信息，理由是爱荷华州的法律对网络安全信息保密。当地多家媒体报道说，由于网络攻击，它缩短了年度秋季筹款承诺活动。上周四，Royal称对此事负责，但没有说明他们窃取了哪些文件。

https://therecord.media/royal-ransomware-group-claims-it-attacked-iowa-pbs-station/

CiLocks

      破解界面锁屏、Metasploit和更多Android/IOS黑客。

https://github.com/tegal1337/CiLocks

Android-PIN-Bruteforce

      通过暴力破解锁屏PIN解锁Android手机（或设备）。

https://github.com/urbanadventurer/Android-PIN-Bruteforce

葡萄牙第三大港口里斯本港遭到Lockbit的勒索攻击

https://securityaffairs.com/140137/cyber-crime/lockbit-group-port-of-lisbon.html

Dr.Web发现新Linux后门利用30个漏洞攻击WordPress网站

https://www.bleepingcomputer.com/news/security/new-linux-malware-uses-30-plugin-exploits-to-backdoor-wordpress-sites/

CISA 称两个旧的 JasperReports 漏洞在攻击中被利用

https://www.securityweek.com/cisa-says-two-old-jasperreports-vulnerabilities-exploited-attacks

拜登签署的1.7万亿美元的联邦支出法案中的网络亮点

https://therecord.media/cyber-highlights-in-the-1-7-trillion-government-spending-bill/

内华达州博彩委员会通过网络安全法规

https://www.databreaches.net/nevada-gaming-commission-adopts-cybersecurity-regulations/

开发者利用CVE-2022-46689覆盖未越狱iOS 16.1.2上的字体

https://securityonline.info/cve-2022-46689-overwrite-fonts-on-ios/

CVE-2022-47949：RCE漏洞影响多款任天堂游戏

https://securityonline.info/cve-2022-47949-critical-rce-flaw-affects-multiple-nintendo-games/

推荐阅读：