FreeBuf 周报 | 微软3000万客户数据遭窃；人民大学回应大量学生信息被盗

【FreeBuf粉丝交流群招新啦！

在这里，拓宽网安边界

甲方安全建设干货；

乙方最新技术理念；

全球最新的网络安全资讯；

群内不定期开启各种抽奖活动；

FreeBuf盲盒、大象公仔......

如群已满，请添加FreeBuf小助手微信（freebee2022）】

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

1. 75% 的消费者准备放弃受勒索软件攻击的品牌

据 Object First 调查称，由于 40% 的消费者对企业组织的数据保护能力心存怀疑，因此 75% 的消费者会在其遭到勒索软件攻击后转向其他品牌。

2. 首张罚单！谷歌分析违反GDPR，将数据传输至美国

因违规使用谷歌分析（Google Analytics），瑞典隐私保护局 (Integritetsskyddsmyndigheten – IMY) 对两家公司处以 了1230 万瑞典克朗（约110 万美元）的罚款。

3. 推特色情机器人账号泛滥，马斯克的“治推谋略”何在？

推特虚假机器人账户泛滥的问题不仅还未得到解决，其中传播色情信息的机器人账户近期反而严重泛滥。

4. 新型 "RustBucket "恶意软件变种针对macOS用户

研究人员已经揭开了苹果macOS恶意软件RustBucket更新版本的序幕，该版本具有改进的能力，可以建立持久性并避免被安全软件发现。

5. 美国医疗保健公司违规，儿童患者数据面临风险

近日，ARx医疗保健公司表示，他们在2022年遭受了一次网络攻击，可能暴露了4万多名患者的个人资料，其中许多是儿童患者。目前还不清楚为什么直到现在才披露这个消息。

1. WordPress爆高危漏洞插件，可被用来创建非法管理员帐户

该漏洞被追踪为CVE-2023-3460 (CVSS得分：9.8)，影响所有版本的Ultimate Member插件，包括2023年6月29日发布的最新版本(2.6.6)。

2. 人民大学大量学生信息被盗，官方发布回应

从网上披露的网传信息显示，被盗取的学生信息包括照片、姓名、学号、籍贯等，这些信息被公开在网站上。

3. 微软遭遇攻击，3000万客户数据遭窃

微软方面称，他们目前没有看到任何证据表明有客户数据被访问或泄露。但目前“匿名苏丹”已经宣布窃取了微软3000万客户账户的凭证。

4. 全球多家银行遭遇安卓恶意软件攻击，幕后黑手为墨西哥黑客

从2021年6月到2023年4月，墨西哥黑客一直在使用安卓恶意软件攻击全球金融机构的，特别是西班牙和智利的银行。

5. 日本最大港口遭勒索软件攻击，造成巨大经济影响

日本名古屋港遭遇了一次勒索软件攻击，影响了集装箱码头的运作。名古屋港口运输协会也已经证实，此次网络攻击扰乱了集装箱进出港口的工作。

1. 最小年龄仅5岁！盘点全球最“天才”少年黑客 TOP 10

你还能想起自己8岁的时候，每天都在玩什么吗？可能是在楼下和小朋友一起捉迷藏？在家追一本连载的漫画书？又或者在电脑上玩种菜偷菜的小游戏？随着科技的发展，越来越多的小朋友从小就开始接触编程，“黑客”也在不断的“儿童化”。

2. 针对VR头戴显示器的侧信道攻击

随着增强现实/虚拟现实（AR/VR）系统的普及，安全和隐私问题引起了广泛关注。本文论证了AR/VR系统容易受到基于软件的侧信道攻击。通过恶意应用程序，攻击者可以在没有特殊权限的情况下推断出用户交互的隐私信息。

3. CISA零信任成熟模型2.0完整解读

2021年5月，拜登签署E.O. 14028“提高国家网络安全防御能力”，要求政府所有部门必须在60天内给出实现零信任架构的计划。为此，网络安全和基础设施安全局（CISA）在2021年9月发布了零信任成熟度模型（ZTMM）1.0预览草案。

1. 如何使用WAFARAY增强对恶意软件检测能力

WAFARAY是一款基于Web应用防火墙和YARA规则的强大安全工具，该工具可以帮助广大研究人员增强自身的恶意软件检测能力。

2. 如何使用goGetBucket扫描和发现AWS S3 Bucket

goGetBucket是一款针对AWS S3 Bucket的渗透测试与安全研究工具，在该工具的帮助下，广大研究人员可以快速扫描和发现AWS S3 Bucket。

3. 如何使用RTA框架测试安全团队的威胁行为检测能力

RTA是一款专为蓝队研究人员设计的威胁行为能力检测框架。RTA提供了一套脚本框架，旨在让蓝队针对恶意行为测试其检测能力，该框架基于MITRE ATT＆CK模型设计。