FreeBuf早报 | 亚航500万乘客和员工的数据遭窃;Win 8.1明年1月10日停止支持

2022-11-23
812

全球动态

1. 支付宝等5家机构首批通过“个人金融信息保护能力”认证

近日,国内公布了首批通过“个人金融信息保护能力”认证的机构,支付宝(中国)网络技术有限公司等5家机构获北京国家金融科技认证中心认证通过。个人金融信息保护旨在切实保护金融消费者的权益。

[阅读原文]

2. 法国禁止学校和公共机构使用免费版 Office 365 和 Google Docs

法国将禁止学校和公共机构使用免费版 Office 365 和 Google Docs,原因是它们缺乏遵守欧洲数据监管法律的机制。[阅读原文]

3. 网络犯罪团伙越来越多地采用 Aurora 信息窃取恶意软件

网络犯罪分子越来越多地转向一种名为“Aurora”的基于 Go 的新型信息窃取程序,以从浏览器和加密货币应用程序中窃取敏感信息,并加载额外的有效负载。[外刊-阅读原文]

4. 美国当局没收用于“杀猪”加密货币诈骗的域名

美国司法部 (DoJ) 当地时间11月21日宣布关闭七个与“杀猪盘”加密货币骗局有关的域名。美国司法部表示,该欺诈计划从 2022 年 5 月至 2022 年 8 月运作,从五名受害者那里净赚了超过 1000 万美元。

[外刊-阅读原文]

5. 专家发布了针对 macOS 沙箱逃逸漏洞的 PoC 利用代码

一位研究人员发布了高危 macOS 沙盒逃逸漏洞的详细信息和概念验证 (PoC) 代码,该漏洞被追踪为 CVE-2022-26696。[外刊-阅读原文]

6. Windows 8.1 将于明年 1 月 10 日停止支持

微软将于 2023 年 1 月 10 日停止对 Windows 8.1 的支持,且不提供扩展支持包。对 Windows 8.1 用户而言,选择只有两个:购买新 Windows PC,或者付费升级到 Windows 10 或 11。[阅读原文]

安全事件

1. 两名爱沙尼亚人因运行 5.75 亿美元的加密庞氏骗局而被捕

当地时间11月20日,两名爱沙尼亚国民在爱沙尼亚被捕,此前他们因实施大规模加密货币庞氏骗局而在美国被起诉,该骗局导致了超过 5.75 亿美元的损失。[外刊-阅读原文]

2. Daixin 勒索软件团伙窃取了 500 万亚航乘客和员工的数据

名为Daixin Team的网络犯罪集团在其数据泄露门户网站上泄露了属于马来西亚低成本航空公司亚航的样本数据。[外刊-阅读原文]

3. 恶意软件Emotet 回归并提供 IcedID 和 Bumblebee 等有效负载

Emotet 恶意软件卷土重来,专家警告说,大量恶意垃圾邮件活动会提供 IcedID 和 Bumblebee 等有效负载。[外刊-阅读原文]

4. 黑客在 DraftKings 撞库攻击中窃取了30万美元

美国体育博彩公司 DraftKings 11月21日宣布遭遇撞库攻击,导致客户损失高达 30 万美元。该公司很快表示将把钱返还给客户。[外刊-阅读原文]

5. 核部门受到暗网上数据泄露的威胁

暗网充满了数据泄露,其中包含来自关键基础设施公司(包括核设施)的敏感数据。一位网络分析师声称这是俄乌战争的连锁反应。[外刊-阅读原文]

6. 亚马逊解决了影响 AWS AppSync 的漏洞

安全公司 Datadog 的研究人员在流行的亚马逊网络服务 (AWS) 工具中发现了一个跨租户漏洞,亚马逊现已解决该漏洞。[外刊-阅读原文]

优质文章

1.《反电信网络诈骗法》对互联网服务提供者合规要点的多重视角考察

本文对互联网服务提供者的反诈义务与合规风险进行研讨,分析其与《网络安全法》《数据安全法》《个人信息保护法》之间的联系、衔接关系,以期帮助利益相关方更清晰地审视多法联动的反诈义务体系。[阅读原文]

2. 个人信息处理“帝王”规则应用实践:目的限制原则

人们往往认为“合法、正当和必要”是最核心的个人信息处理原则,但实际上个人信息“目的限制”原则才是个人信息处理中的“帝王原则”。[阅读原文]

3. Java安全之反射

关于Java安全,反序列化漏洞一直是一个热门话题,而反序列化漏洞⼜可以从反射开始说起。通过反射,对象可以通过反射获取他的类,类可以通过反射拿到所有⽅法(包括私有),拿到的⽅法可以调⽤,总之通过“反射”,可以将Java这种静态语⾔附加上动态特性。 [阅读原文]

*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。

转载时必须以链接形式注明原始出处及本声明

扫描关注公众号