FreeBuf早报，安全圈值得关注的每日大事件

【全球动态】

1.12 万人数据被泄露？雪球回应：已进行核实

8月21日消息，网上流传称雪球网数据泄露，涉及12万人的数据只卖75美元，包含姓名，身份证，手机，账号/邮箱，密码，持股前3支，持股数，交易风格。对此雪球回应称，不会以任何方式将个人信息泄露给第三方，对此问题已进行核实。[阅读原文]

2.医疗设备网络安全问题将持续20年以上

Ramsay Health Care的首席信息安全官（CISO）Christopher Neal表示：网络连接对患者护理越来越重要。然而，医疗设备却非常脆弱。譬如一个男人坐在超声波机旁，在网络连接后的大约30秒内，他通过平台上的文件管理器中的漏洞获得了shell、对该系统的无限制PowerShell访问。[外刊-阅读原文]

3.Facebook新的设计中的安全漏洞允许攻击者从用户的个人资料中删除任何照片

安全专家Philippe Harewood是安全研究人员之一，他早期获得了Facebook对新FB5设计的访问权，并发现了一个重要的设计缺陷。Harewood解释说，这个问题会影响GraphQL，这是在新设计中实现的一个功能，用于从Facebook粉丝页面删除个人资料图片。因此，攻击者可能会滥用设计漏洞从用户配置文件中删除照片。[外刊-阅读原文]

4. 5G初期单个基站成本高达50~60万

据产业链消息人士爆料，在部署成本方面，单个5G基站在试商用期间的价格约50~60万元，5G部署成熟之后这个数字会下降到30~40万。另外，5G基站的单站网络部署还包括传输网、核心网，传输网折合到单个基站上的成本约为5万-10万元，5G核心网在部署初期的单城市造价约为1000万-3000万元。[阅读原文]

5.澳大利亚Cuscal赞助的一家金融机构出现漏洞，导致PayID信息泄露

澳大利亚新支付平台（NPP）的PayID查找功能再一次成为网络攻击的目标，这次地址服务中的一些记录和相关数据被泄露。NPP澳大利亚公司（负责监督通过该系统进行的所有交易的公司）周二证实，该数据暴露是Cuscal Limited赞助的一家金融机构中的漏洞所导致。[外刊-阅读原文]

6.数以万计的MoviePass客户的信用卡号码在网上曝光

一位安全专家发现了电影票订阅服务商MoviePass已经暴露了数以千计的客户卡号和个人信用卡信息。由于数据库未加密，包含信用卡数据的数据库被泄露，涉及包含1.61亿条记录，并且数据量继续实时增长。[外刊-阅读原文]

【安全事件】

1.齐向东首提“内生安全”概念 将安全能力融入到业务系统

在物联网和大数据快速发展的当下，网络安全事件也频频发生。齐向东认为，在变化的安全形势下，整个社会的安全观也在变化。安全能力必须在内部的业务系统上构建，才能真正解决客户的业务安全问题。因此，他提出“内生安全”概念。[阅读原文]

2. 11个Ruby库被植入挖矿后门代码 删除前已被下载3584次

RubyGems 工作人员表示，他们已经移除了 18 个包含后门机制的恶意版本 Ruby 库。自 7 月 8 日以来，其已被下载 3584 次。如剔除同一库的不同版本，则有 11 个 Ruby 库被污染。这些 Ruby 库被软件包存储库的恶意维护者破解并植入了后门代码，可在其他人启用的 Ruby 项目中开展隐匿的加密货币挖掘任务。[阅读原文]

3. 刷单被骗，“刷手”为何却称自己是受害者？

在八部委联合开展“网剑行动”，严打“刷单”等网络市场顽疾的背景下，一些希望通过“刷单”不当得利的“刷手”们却公然通过媒体、社交平台频繁虚假爆料，以“付了款没收到货”为由四处抱团投诉；还有一些“刷手”频频投诉支付平台及借道的电商平台，希望借此拿回“刷单”所花费用。[阅读原文]

4. 蓝牙曝严重安全漏洞，苹果已快速修复：升级到最新系统即可

负责无线通信技术标准的官方机构蓝牙协会（Bluetooth SIG）日前承认存在一个严重的蓝牙安全漏洞，该漏洞将使攻击者更容易与你的设备强行配对。[阅读原文]

5. APT组织Silenc部署了新工具，造成企业业务损失增加了5倍

Group-IB是一家总部位于新加坡的网络安全公司，专门从事预防网络攻击，它揭露了Silence（APT组织）在新的“Silence 2.0：走向全球”攻击活动中的动作。Group-IB专家发现，Silence显着扩大了他们的攻击范围并增加了他们的攻击频率。此外，自Group-IB原始报告发布以来，Silence窃取的已确认资金总额增加了五倍，现在估计为420万美元。[外刊-阅读原文]

6.全国首个！企业微信通过SOC2Type2审计

企业微信宣布获得一项权威资质——SOC2 Type2服务审计报告。据了解，这是国内首家通过基于安全性、保密性和隐私性原则的SOC2Type2审计的企业办公产品，目前全球通过该审计的公司也寥寥无几，这意味着企业微信在数据安全保护上已达国际领先水平。[阅读原文]

【优质文章】

1.周鸿祎的“中东取经”

稍微了解下以色列的历史，无人不惊叹这个神奇而又顽强的国度。而对于安全圈的而言，其最大的神秘之处在于，全国人口仅相当于北京城人数的1/3，却让这个弹丸之国成为仅次于美国的全球第二网络安全强国。Check Point、Imperva、Cyber-Ark等全球知名安全企业，还有在第三次中东战争中一战成名的8200部队，我们心里只剩一个问题：以色列究竟是如何做到的？[阅读原文]

2.大多数IT专业人员发现红队练习比蓝队测试更有效

Exabeam的一项研究显示，超过三分之一的防守蓝队都未能抓住进攻型红队。该调查还显示，68％的人发现红队的练习比蓝队测试更有效，而且更多的公司正在练习蓝色团队测试。[阅读原文]

3.全程带阻：记一次授权网络攻防演练（上）

完整攻击链大概包括信息搜集、漏洞利用、建立据点、权限提升、权限维持、横向移动、痕迹清除等七步，虽然这个站点只经历了前四步，但也具有较强的代表性，组合利用漏洞形成攻击连，拿下管理权限。[阅读原文]

4.“战斗民族”俄罗斯网络空间作战研究

俄罗斯将举行全国范围的“断网”演习，旨在测试俄罗斯的网络防御系统。以此为背景通过搜集最新资料继承性地解析“战斗民族”俄罗斯的网络空间作战形态，从俄罗斯网络空间作战的能力保障、攻防能力和特点、网络“靶场”和训练演习以及西方世界对待俄罗斯网络战的态度等几方面加以剖析阐述。[阅读原文]

5.DOS 入侵、群发邮件、心脏起搏器……病毒攻击简史！

在荷兰最近举办的计算机病毒展览会Malware上，展示了计算机病毒的发展史：让人惊讶的是最初病毒开发者是没有恶意的，1986年出现的第一个公共计算机病毒Brain，仅是为了追踪医疗心脏监测软件的盗版；但到了上世纪90年代末，似乎有些变质，恶意病毒Melissa通过电子邮件传播，导致企业损失超过8000万美元。[阅读原文 ]

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。