• FreeBuf周报 | 马斯克允许第三方使用X平台用户数据训练AI;LinkedIn被罚23.8亿元


    各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!

    热点资讯

    1. 美国颁布史上最严数据安全规定

    近日,美国网络安全与基础设施安全局(CISA)宣布了一项史无前例的,极为严苛的数据安全规定,旨在防止“敌对国家”获取美国政府和公民敏感数据。这一提案主要针对从事受限交易的(科技)企业,特别是那些涉及美国政府和个人敏感数据且有可能暴露给“重点关注国家”或“受限人员”的企业。

    2. 因非法使用用户数据,LinkedIn 被罚23.8亿元

    近日, 爱尔兰数据保护委员会(DPC)结束了对 LinkedIn 为行为分析和定向广告而处理个人数据的调查,并于本周四(10月24日)公布了调查结果。调查结果显示,该平台违反了多项 GDPR 原则,这促使 DPC 实施了经济制裁和运营变革。于是爱尔兰数据保护委员会(DPC)决议对 LinkedIn 处以 3.1 亿欧元(约23.8亿人民币)的罚款

    3. 苹果、特斯拉均受影响,新型漏洞迫使GPU无限循环,直至系统崩溃

    近日,Imperva 研究人员发现了一个名为 ShadyShader 的漏洞。该漏洞允许攻击者反复冻结苹果设备的 GPU,最终可能导致系统崩溃。

    4. 马斯克:允许第三方使用X平台用户数据训练AI

    社交媒体平台X(原Twitter)于2024年10月16日更新其隐私政策,宣布将允许第三方合作伙伴使用X平台上的用户数据来训练人工智能模型,除非用户选择退出。

    5. 微软运用欺骗性策略大规模打击网络钓鱼活动

    微软正在利用欺骗性策略来打击网络钓鱼行为者,方法是通过访问 Azure 生成外形逼真的蜜罐租户,引诱网络犯罪分子进入以收集有关他们的情报。

    安全事件

    1. ESET合作公司遭入侵,向以色列发送数据擦除程序

    有黑客入侵了 ESET 在以色列的独家合作公司,并向以色列企业发送网络钓鱼电子邮件,其中暗藏数据擦除器以进行系统破坏性攻击。

    2. 多款云存储平台存在安全漏洞,影响超2200万用户

    据苏黎世联邦理工学院研究人员Jonas Hofmann和Kien Tuong Turong的发现,端到端加密(E2EE)云存储平台存在一系列安全问题,可能会使用户数据暴露给恶意行为者。

    3. 黑客入侵超 6000 个WordPress网站,以推送信息窃取程序插件

    WordPress 网站近日被黑客非法入侵并安装恶意插件,这些插件会推送虚假的软件更新和错误信息,从而推送窃取信息的恶意软件。

    4. K8s曝9.8分漏洞,黑客可获得Root访问权限

    近日,安全研究人员Nicolai Rybnikar 发现Kubernetes镜像构建器中存在严重安全漏洞(CVE-2024-9486 ,CVSS :9.8),攻击者可在特定情况下获得Root级访问权限,从而导致系统出现问题。

    5. 高通64款芯片存在0Day漏洞

    近日,高通公司发布了一项重要的安全警告,揭示了其多达64款芯片组存在严重的“0Day漏洞”。这一漏洞被标识为CVE-2024-43047,影响广泛,波及多个搭载骁龙芯片的Android智能手机和平板电脑、物联网设备等多个领域。

    一周好文共读

    1. 常见API接口安全设计

    目前在企业内API的安全问题越发显得突出,如敏感信息泄露,访问控制失效,浪费系统资源等等,有很多的问题其实是可以在API设计的阶段就解决掉的。因此本篇文章就来看看一些常见的设计规范,如签名,加密等等。 【阅读全文

    1719383456_667bb5a05000ee7693c04.png

    2. 安全运营 | 三步走建设路径

    安全运营是一项涉及技术、流程和人员有机结合的复杂系统工程。它通过对现有安全产品、工具和服务产生的数据进行有效分析,持续创造价值,解决安全风险,从而实现整体的安全目标。 【阅读全文

    1

    3. 应急响应实战录:结合真实案例剖析挖矿木马应对之道

    随着加密货币价值的飙升,挖矿木马成为网络安全领域的一大威胁。这些恶意程序悄无声息地潜入企业与个人电脑,非法占用计算资源进行加密货币挖掘,不仅导致系统性能下降,还可能造成数据泄露和隐私侵犯。因此,构建一套高效、有序的应急响应机制对于遏制挖矿木马的侵害,保护数字资产安全至关重要。 【阅读全文

    1719198198_6678e1f6016c872e387dd.png!small?1719198198682

    省心工具

    1. Secator:一款集多功能于一身的渗透测试工具

    Secator是一款集多功能于一身的渗透测试工具,该工具可以极大程度上辅助广大研究人员的渗透测试任务。 【阅读全文

    2. Mercury:一款网络元数据捕捉与安全分析工具

    Mercury是一款功能强大的网络元数据捕捉与安全分析工具,广大研究人员可以利用该工具执行高级网络流量安全审计与分析。 【阅读全文

    3. logdata-anomaly-miner:一款安全日志解析与异常检测工具

    logdata-anomaly-miner是一款安全日志解析与异常检测工具,该工具旨在以有限的资源和尽可能低的权限运行分析,以使其适合生产服务器使用。 【阅读全文

  • 相关阅读:
    计算机考研 | 2016年 | 计算机组成原理真题
    【论文精读】Attention is all you need
    当边缘计算用在定位设备
    TS的安装及使用时遇到的问题
    深入理解JVM虚拟机第二十五篇:详解JVM方法的绑定机制静态绑定和动态绑定,早期绑定晚期绑定,并编写代码从字节码角度证明这件事情
    工厂综合能源管理系统
    JS中4种常见的内存泄漏
    Mysql性能优化-----持续更新
    Docker下varlibdockeroverlay2空间清理办法
    面试会问的 Promise.all()
  • 原文地址:https://www.freebuf.com/news/413764.html