TikTok 零日漏洞、DMM 比特币黑客攻击、免费 VPN 应用分析

以下是本周回顾  

SEC在多起案件中延迟披露网络信息

SEC要求公司在四个工作日内披露重大违规行为，但政府可以出于国家安全或公共安全原因要求延期。《华尔街日报》报道称，自2023年12月规则生效以来，政府已多次推迟公开披露网络事件。

TikTok零日漏洞

黑客利用所谓的“零日”漏洞劫持了知名个人和组织的TikTok账户。细节很少，但据报道，打开恶意DM就足以触发漏洞。在CNN、帕丽斯·希尔顿、索尼等公司的账户遭到攻击后，TikTok声称已经修补了该漏洞，但拒绝分享有关该事件的任何技术信息。

壳牌公司受到第三方数据泄露的影响

石油和天然气巨头壳牌最近对一起网络安全事件展开了调查，并确定部分数据是从提供匿名神秘购物服务的第三方获取的。该公司表示，壳牌系统并未受到影响。

OmniIndex推出针对完全加密日志文件的AI威胁情报工具

OmniIndex推出了LoggerBC，这是一种利用人工智能从受同态加密保护的日志中查找威胁和漏洞的解决方案。这些日志进一步存储在私有区块链中以提供额外保护。

Azure漏洞导致防火墙规则被绕过

Tenable警告称，Azure中存在一个漏洞，该漏洞会影响依赖Azure服务标记来制定防火墙规则的用户。Azure服务允许用户制作Web请求并控制服务器端请求。所发现的问题允许攻击者控制请求并冒充Azure服务，从而绕过使用服务标记的网络控制并访问内部API。

DMM比特币公司遭窃取3.05亿美元加密货币

日本加密货币交易所DMM Bitcoin遭受网络攻击，导致超过3亿美元的资产被盗，成为近代史上第八大加密货币盗窃案。

德国主要反对党遭遇网络攻击

距离欧盟选举还有一周，德国最大的反对党基督教民主联盟(CDU)遭遇了一次严重的网络攻击，此次攻击很可能是由“专业威胁行为者”所为。该党已将部分网络下线，以控制事件并防止“进一步损害”，这表明勒索软件可能参与其中。

谷歌数据库泄露揭露隐私事件

据报道，一份泄露的谷歌内部数据库显示，这家互联网巨头错误地收集了儿童的语音数据，泄露了拼车用户的信息，并使用已删除的搜索历史记录来推荐YouTube内容。据报道，此次泄露事件揭露了其他员工报告的隐私事件，其中大多数事件从未公开披露过。

移动浏览器中的地址栏欺骗缺陷

RedSecLabs分享了在Safari、Microsoft Edge和DuckDuckGo浏览器的移动版本中发现的地址栏欺骗漏洞的信息。RedSecLabs的概念验证(PoC)代码展示了不断重新加载如何让用户对所访问URL的合法性感到困惑。Apple于2023年10月发布了针对此问题的补丁。

测试100款免费Android VPN应用的安全性

Top 10 VPN测试了Google Play商店中100款最受欢迎的免费VPN应用程序，发现存在严重问题。发现的安全和隐私问题包括加密问题、泄漏、隧道不稳定、危险权限、第三方跟踪和数据收集以及恶意软件。