FreeBuf早报 | TikTok中国员工能访问部分不敏感美国用户数据;HackerOne员工“监守自盗”
全球动态
1.以色列隐私保护机构查封被黑旅游公司的服务器
以色列隐私保护局查封了多个旅游预订网站的服务器,因为这些网站的运营商未能解决安全问题,导致超过30万人的数据泄露事件。[外刊-阅读原文]
2.谷歌分析2022在野0day利用情况:一半以上为修复不完全导致
6月,谷歌零日项目团队 (Project Zero) 研究员 Maddle Stone在近期举办的 FIRST 会议上发表了报告《目前为止的2022年在野0day利用》分享了该团队的对2022年上半年0day利用情况的研究成果。在2022年上半年已遭利用的0day中,至少有一半本可通过更全面的打补丁和回归测试得以阻止。[阅读原文]
3.TikTok 证实中国员工能访问小部分不敏感的美国用户数据
TikTok CEO 周受资在一封致九名美国参议员的信中表示, TikTok 与母公司字节跳动的联系有限。不过他承认,为了促进全球平台的发展,非美国员工,包括中国员工,将能够访问一小部分不敏感的 TikTok 美国用户数据,比如世界上任何地方的任何人都可以获得的公开视频和评论,以确保全球相互操作性。[阅读原文]
4. 俄罗斯政府转向 Linux 操作系统
微软上个月表示将会大幅削减在俄罗斯的业务。此举对俄罗斯的打击巨大,该国的制造和工程技术系统依赖于外国软件。与此同时,俄罗斯政府机构也开始从 Windows 桌面转向 Linux 桌面。[阅读原文]
5.HackerOne员工偷窃漏洞报告并将其作为副业出售
一名HackerOne员工窃取了通过漏洞赏金平台提交的漏洞报告,并将其披露给受影响的客户以索取经济奖励。[阅读原文]
6. 英国陆军的YouTube和Twitter账户被黑客用于推广加密货币骗局
英国国防部7月3日证实,英国陆军的Facebook和Twitter账户都被黑,并被用来宣传加密货币骗局。目前还不清楚黑客到底是什么时候接管了这两个账户。[阅读原文]
安全事件
1.微软在数百个Windows网络中发现了蠕虫病毒
微软表示,最近在数百个不同行业组织的网络中发现了Windows蠕虫病毒。这种恶意软件被称为“树莓罗宾”(Raspberry Robin),通过受感染的USB设备传播。[外刊-阅读原文]
2. 网络攻击迫使挪威主要政务网站瘫痪数小时
挪威当局6月29日表示,过去24小时以来,国内各公共与私营网站遭大规模DDoS攻击,瘫痪数小时。[阅读原文]
3. 企业SaaS软件Zoho某个工具的关键漏洞遭在野利用
安全研究人员公布了CVE-2022-28219的技术细节和概念验证漏洞代码,这是Zoho ManageEngine ADAudit Plus工具用于监控活动目录中的活动的一个关键漏洞。[外刊-阅读原文]
4. 沃尔玛拒绝承认遭Yanluowan勒索软件攻击
黑客声称成功入侵并对数千台计算机进行了加密,但是美国零售商沃尔玛否认遭到 Yanluowang 团伙的勒索软件攻击。[阅读原文]
5. 微软更新Azure AD,支持临时密码
Azure Active Directory (Azure AD)现在允许管理员发布有时间限制的密码,可以用于注册新的无密码认证方法。[阅读原文]
6.有Android恶意软件被发现在受害者不知情的情况下为其订阅付费服务
微软365防御团队表示,有一种越来越流行的恶意软件可以在受害者不知情的情况下为其订阅高级服务。[阅读原文]
优质文章
1. 浅谈权限获取方法之文件上传
文件上传漏洞是发生在有上传功能的应用中,如果应用程序对用户的上传文件没有控制或者存在缺陷,攻击者可以利用应用上传功能存在的缺陷,上传木马、病毒等有危害的文件到服务器上面,控制服务器。[阅读原文]
2. vivo刘洪善:做安全行业的长期主义者
刘洪善曾参与多个影响行业格局的安全隐私项目,在网络安全行业拥有丰富的战略规划、技术与产品落地、市场营销与运营管理等经验。本分分享他的从业经历和思考。[阅读原文]
3. 身处高频实战攻防时代 | FreeBuf咨询行业攻防视图发布
6月28日,FreeBuf咨询&漏洞盒子 正式发布《网络安全攻防视图(Cyber security attacking&defense map)》。[阅读原文]
*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。
*标明为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。
扫描关注公众号