此篇文章发布距今已超过8天,您需要注意文章的内容或图片是否可用!
2024-10-31 星期四Vol-2024-262
1. 美国FCC强化隐私执法,关注数据保护和国家安全4. ATPC网络论坛将聚焦下一代网络安全与人工智能6. 黑客窃取1.5万云凭证,暴露Git配置文件成安全漏洞8. IBM FSP严重安全漏洞可能导致未授权访问9. Chrome浏览器关键安全更新:修复越界写入和WebRTC漏洞10. FBI警告:2024年美国大选催生多重欺诈阴谋11. DHS和CISA积极推动OT环境的后量子加密13. Truth Terminal平台遭黑客攻击,黑客通过新代币筹集60万美元14. Afisha启动漏洞奖励金计划以提升安全性
15. 黑客的镜子:PT NAD和zVirt揭示虚拟流量的秘密16. 新的Windows主题零日漏洞允许攻击者窃取凭证18. WordPress LiteSpeed Cache插件漏洞或致管理员权限泄露19. 研究揭示联网医疗设备162个漏洞,患者数据安全受威胁20. WhiteRabbitNeo:未经审查的人工智能渗透测试工具的潜力备注: 第11-20条资讯为订阅用户专享!(更多信息,欢迎订阅!)1. 美国FCC强化隐私执法,关注数据保护和国家安全【The Record网站10月31日消息】美国联邦通信委员会(FCC)在主席杰西卡·罗森沃塞尔的领导下,成立了隐私和数据保护工作组,显著加强了隐私执法力度。FCC对未经消费者同意共享位置数据的电信运营商处以1.96亿美元罚款,并与Verizon旗下的TracFone Wireless达成和解,该公司因数据泄露支付1600万美元并改变经营方式。FCC的隐私官员洛亚安·埃加尔强调,工作组的成立是为了更全面地解决隐私、数据保护和网络安全问题,特别是在供应链完整性、联网汽车隐私问题以及自动拨号电话方面。FCC还与国际同行合作,共享信息以应对全球性的隐私和安全威胁。【The Record网站10月30日消息】美国高级网络安全官员表示,距离即将到来的大选不到一周,尚未发现任何外国势力干预美国选举系统。网络安全和基础安全局(CISA)局长Jen伊斯特利在接受《华盛顿邮报》采访时强调,尽管俄罗斯、中国和伊朗等国家试图通过阴谋信息影响2024年大选,但美国的投票系统仍然安全。Easterly指出,自2016年总统大选以来,联邦官员的努力使得黑客难以侵入状态或大量以篡改投票结果。美国的选举基础设施由于其分散性和多样性,使得黑客兴趣广泛,因为这种特性增强了系统的弹性。目前仅关于纸质选票的几起纵火事件被报道,官方表示这些事件是孤立的。Easterly呼吁公众信任当地选举官员,并警告可能会有更多煽动性信息出现。她强调,若出现选票非常接近在这种情况下,可能需要审计和重新计票,并呼吁美国人团结一致,接受选举结果,以维护民主与和平交接权力的重要性。【InfoSecurity Magazine网站10月30日消息】美国网络安全和基础设施安全局(CISA)发布了其首个国际战略计划,旨在加强国际合作以应对关键基础设施的网络威胁。该计划承认网络风险的复杂性和地理分散性,强调与国际合作伙伴迅速共享威胁信息的重要性。CISA局长Jen Easterly表示,计划将提升与国际合作伙伴的协调,降低全球互联基础设施的风险。新计划设定了三个主要目标:首先,增强美国依赖的外国基础设施的韧性,通过识别关键系统及其脆弱性来制定风险管理策略;其次,加强综合网络防御,与合作伙伴共同推进全球网络安全标准和实践,建立双边和多边的计算机安全事件响应小组(CSIRT),提升可操作信息交换能力;最后,统一国际活动的机构协调,建立治理结构以明确国际优先事项,提高CISA员工的技能,使其能够有效参与国际事务。这一战略计划为CISA在2025-2026年期间的国际合作奠定了基础,目标是共同提升网络安全的整体韧性。4. ATPC网络论坛将聚焦下一代网络安全与人工智能【CyberSecurityNews网站10月30日消息】美国交易处理商联盟(ATPC)网络委员会将于2024年10月31日在亚特兰大召开“紧密联系:21世纪网络安全对话”会议。此次论坛邀请了来自金融服务行业、联邦机构、白宫及国会的网络安全,专家重点讨论未来网络安全的紧迫问题及解决方案,特别关注人工智能和供应链安全。ATPC执行董事H.西理查兹表示,网络安全是支付处理行业的基石,论坛旨在加强金融生态系统的保护及应对未来挑战的合作。会议主要包括白宫国家网络负责人哈里·科克尔和奥斯国土安全委员会网络安全小组委员会主任莫伊拉·伯金。与会专家将探讨主题部门的最佳实践和未来的立法优先事项。论坛将通过炉边对话的形式讨论ATPC网络委员会的关键技术优先事项及未来发展,强化各界对网络安全的共识与合作。ATPC网络委员会捐赠帮助成员公司表达对网络威胁的渴望,提高识别、保护和恢复能力。【BleepingComputer网站10月30日消息】微软宣布将通过强制多因素身份验证(MFA)注册来增强启用安全默认值的Entra租户的安全性。这一措施是微软“安全未来计划”的一部分,该计划于2023年11月启动,旨在加强其产品的网络安全。从2024年12月2日起,所有新建租户将受到影响,而现有租户将从2025年1月开始受到影响。安全默认设置自动启用多种安全功能,保护组织免受常见攻击,如密码喷洒、重放和网络钓鱼。微软强调,MFA能够阻止超过99.2%的基于身份的攻击,降低账户被盗用的风险。6. 黑客窃取1.5万云凭证,暴露Git配置文件成安全漏洞【BleepingComputer网站10月30日消息】一个名为“EmeraldWhale”的大规模恶意操作通过扫描暴露的Git配置文件,从数千个私人存储库中窃取了超过15,000个云账户凭证。Sysdig发现,该操作利用自动化工具扫描IP范围以查找可能包含身份验证令牌的暴露Git配置文件,随后使用这些令牌下载存储在GitHub、GitLab和BitBucket上的仓库,并进一步扫描以获取更多凭证。被盗数据被泄露至其他受害者的Amazon S3存储桶中,用于网络钓鱼、垃圾邮件活动,甚至直接出售给其他网络犯罪分子。暴露的Git配置文件可能包含API密钥、访问令牌和密码等敏感信息,如果被错误地暴露在网站上,威胁者可以轻松找到并读取它们,导致数据泄露和安全风险。【SecurityWeek网站10月30日消息】科罗拉多州的投票系统密码被意外地发布在州务卿的网站上数月,随后被发现并删除。尽管这一失误引发了关注,但州选举官员表示,这并未对即将到来的选举构成直接威胁。国务卿办公室发言人杰克·托德声明,泄露的密码仅为访问投票系统的两个必需密码之一,且是分层安全系统的一部分。科罗拉多州州务卿Jena Griswold强调,泄露的密码并非全部有效,没有理由相信存在安全漏洞,并表示正在调查此事。目前,工人们正在更改密码并审查访问日志。尽管科罗拉多州法律要求选举设备必须受到监控并安全存放,且选民填写的纸质选票在选举结束后会进行审核,但此次事件仍受到科罗拉多州共和党主席的批评。8. IBM FSP严重安全漏洞可能导致未授权访问【CyberSecurityNews网站10月30日报道】IBM灵活服务处理器(FSP)中发现了一个关键安全漏洞CVE-2024-45656,该漏洞可能允许未授权网络用户获得服务权限,影响多个IBM服务器固件版本,CVSS评分高达9.8,显示其高危险性和易受攻击性。漏洞根源在于FSP中的静态凭证,可能被网络用户利用以获得服务权限,危及系统安全。IBM已发布安全更新,强烈建议用户尽快更新至指定的固件版本以修复漏洞。目前无其他已知解决方案,组织需及时更新系统,以保护IBM Power Systems免受未授权访问,确保关键基础设施安全。9. Chrome浏览器关键安全更新:修复越界写入和WebRTC漏洞【CyberSecurityNews网站10月30日报道】谷歌Chrome浏览器发布了重要安全更新,修复了两个严重漏洞。本次更新将稳定频道升级至适用于Windows和Mac的版本130.0.6723.91/ .92,以及适用于Linux的版本130.0.6723.91。此次更新修复了两个主要漏洞:CVE-2024-10487和CVE-2024-10488。原本是Dawn图形系统中的“越界写入”问题,可能允许攻击者将数据写入分配内存外部,从而导致代码执行或系统崩溃。首先是WebRTC组件中的“释放后使用”问题,可能导致任何代码执行或通过访问释放的内存导致崩溃。这两个漏洞的严重性使得及时更新变得至关重要。谷歌与发现这些漏洞的安全研究人员合作,以加强措施并防止此类安全漏洞进入稳定渠道。10. FBI警告:2024年美国大选催生多重欺诈阴谋【BleepingComputer网站10月30日消息】美国联邦调查局(FBI)警告称,随着即将到来的美国大选,诈骗者将利用这一时机实施多种欺诈活动。诈骗者通过冒充真实候选人和政治运动,试图窃取公众的个人信息和资金。FBI在公共服务公告中指出,诈骗手法主要包括四种类型:首先是投资池,受害者被诱骗投资“保障”的竞选基金,承诺候选人获胜后回报;其次是冒充政治行动委员会(PAC)进行虚假捐款,诈骗者最终将资金占为己有;第三是通过虚假网站销售竞选商品,受害者付款后却无法收到商品;最后,诈骗者发送虚假选民登记警报,诱导受害者访问窃取个人信息的欺诈网站。此外,近期还出现以副总统卡马拉·哈里斯和前总统唐纳德·特朗普为名的加密货币诈骗,推销新代币。FBI建议公众对所有未经请求的通信保持警惕,切勿分享个人信息或汇款,并提醒捐款并非投资,不应期待任何回报。如发现诈骗请求,应立即向互联网犯罪投诉中心(IC3)报告。推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下
还没有评论,来说两句吧...