以下是本周回顾

网络犯罪分子向遭受黑客攻击的Snowflake客户索要高达500万美元的赔偿

Mandiant称，利用窃取的凭证攻击Snowflake云存储系统客户的网络犯罪分子目前要求受害者支付30万至500万美元。黑客至少向10家公司索要赎金。

大多数组织都经历过API安全问题

Salt Security的一项调查显示，绝大多数组织都经历过生产API的安全问题。三分之二的组织管理着超过100个API，API攻击的威胁日益严重，但只有7.5%的组织认为他们的API安全程序是“先进的”。

广告。滚动即可继续阅读。

NSO集团认为，军方和政府官员是其间谍软件的合理目标

作为WhatsApp起诉NSO集团的诉讼的一部分，这家以色列间谍软件公司承认，其产品可能会成为军事和政府官员的攻击目标。该公司此前曾强调，其产品旨在调查和预防犯罪和恐怖主义，但在一份新的法庭文件中，NSO表示，其技术可用于“那些因其在政府或军事组织中的职位而成为合法情报调查对象的人员”。

Google开始使用Bugcrowd支付漏洞赏金

Google漏洞搜寻社区的赏金支付将通过Bugcrowd平台处理。已经在Google注册的漏洞赏金猎人可以通过在bugcrowd.com上注册并更新其付款偏好，轻松切换到Bugcrowd。

漏洞允许微软员工进行电子邮件欺骗

一名研究人员声称发现了一个漏洞，该漏洞可用于伪造微软员工的电子邮件地址，这对于网络钓鱼攻击非常有用。该问题已报告给这家科技巨头，但研究人员表示，由于该公司无法重现该漏洞，因此该漏洞仍未得到修补。

欧盟推迟对加密信息扫描进行投票

欧盟推迟了一项法律的投票，该法律要求Signal和WhatsApp等消息服务扫描用户发送的媒体文件和链接，以查找潜在的儿童虐待材料。Signal本周警告说，这种“上传审核”仍然破坏了端到端加密，就像政府长期要求的加密后门一样。

CISA发布针对中小企业的SSO指南

CISA发布了新指南，帮助中小型企业采用单点登录(SSO)。这份题为“中小型企业采用单点登录(SSO)的障碍：识别挑战和机遇”的文件旨在帮助组织克服挑战并提高安全性。

咨询公司因网络安全故障支付1100万美元

司法部宣布，两家咨询公司Guidehouse和Nan McKay因在履行政府合同时未能满足网络安全要求而支付了总计超过1100万美元的罚款。

ONNX Store网络钓鱼即服务平台分析

EclecticIQ对名为ONNX Store的网络钓鱼即服务平台进行了分析，该平台已被网络犯罪分子用于针对金融机构的活动。

LogoFAIL漏洞仍然困扰着许多消费者和企业设备

2023年12月，固件安全公司Binarly披露了一种名为LogoFAIL的攻击方法的细节，该方法可以利用恶意UEFI徽标图像来入侵许多消费者和企业设备。Binarly现已发布了30多个LogoFAIL漏洞公告，并警告称数百种设备型号仍受到影响。

用于LLM辅助漏洞研究的Google Project Zero框架

Google的Project Zero推出了Project Naptime，这是一个LLM辅助漏洞研究框架。Google表示，该框架在漏洞发现方面可以取得显著更好的性能。

Microsoft Power BI暴露敏感数据

Nokod发现Microsoft Power BI服务中存在数据泄露漏洞。该安全公司表示，该问题可能影响数万家组织，攻击者可借此访问敏感信息，例如员工和业务数据以及个人身份信息。