各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

热点资讯

1. 小米汽车“设计文件”泄密，供应商被罚100万元！

2月2日，小米汽车针对此前的“设计文件泄露”事件做出最终的处理结果：将依照《保密协议》处以100万元的经济赔偿，责成其对下游供应商加强信息安全管理，并对泄密人进行处理。

2. 投入不低于7%！中证协发布网安三年提升计划

三年提升计划共计5章20条，提出33项重点工作，聚焦证券公司网络和信息安全能力领域普遍存在的基础性和深层次问题，从科技治理能力、科技投入机制、信息系统架构规划设计、研发测试效能与质量、系统运行保障能力和网络信息安全防护体系等六个方面明确提出提升方向和要求。

3. 为黑客打工能挣多少？月薪最高达2万美元

卡巴斯基最新发布的一份报告显示， 2020 年 3 月至 2022 年 6 月期间，共监测到155个地下网站累计发布超20万条招聘启事，其中针对开发人员的招聘月薪最高达到了2万美元，对于有能力的攻击专家的最高每月达1.5万美元。

4. LockBit纳新，开始使用基于Conti的加密器

知名勒索软件组织LockBit 开始使用一种新型加密器，其源代码来自已经被解散的Conti 勒索软件。

5. 因漏洞频发，微软敦促客户保护本地Exchange服务器

微软正敦促客户更新他们的 Exchange 服务器，并采取措施加强环境，例如启用Windows 扩展保护和配置基于证书的 PowerShell 序列化有效负载签名。

安全事件

1. KeePass 曝严重漏洞，密码数据库被明文导出

Bleeping Computer 网站披露，开源密码管理软件 KeePass 被爆存在严重安全漏洞 CVE-2023-24055，网络攻击者能够利用漏洞在用户毫不知情的情况下，以纯文本形式导出用户的整个密码数据库。

2. 某黑客论坛上共享了美国”禁飞名单“

某黑客论坛上公开分享了一份美国”禁飞名单“，该名单上有超过 150 万名被禁飞者和超过 25 万名“被选中者”的数据信息。

3. JD Sports泄露1000万用户信息

影响范围包含了 2018 年 11 月至 2020 年 10 月期间在 JD、Size、Millets、Blacks、Scotts 和 MilletSport 品牌下订单的客户——估计有“1000 万独立客户”。

4. 狂揽1亿美元，被FBI渗透长达六个月，2022年最暴利的组织凉了

2023年1月26日，美国司法部和欧洲刑警组织共同宣布，经过长达6个月的渗透，臭名昭著的Hive 勒索软件组织被FBI和国际刑警破获。

5. Microsoft 365 全球宕机5小时，原因来自路由器

2023 年 1 月 25日，Microsoft Teams、Outlook、Xbox 和其它 Microsoft365 服务均出现不同程度中断、延迟的现象，主要影响亚洲和欧洲用户，引起业内广泛关注，据查起因是一个路由器 IP 地址变化，致其广域网（WAN）中所有其它路由器之间的数据包转发问题引起。

一周好文共读

1. 我认识的那些网安客户

客户A：软件才买成2000，为啥你改一下就要4000！

客户B：40万帮我拖个库干不干！

客户C：你的产品能不能防止员工手抄数据！

......

这些年，和各种类型的网安客户打过交道，有些事想起来还挺有意思。【阅读原文】

2. 甲方纵深防御体系范畴和落地实践

纵深防御模型作为经典的安全模型经常会被甲方、乙方拿来讨论和分析，也是甲方企业安全建设中最重要的参考模型，在实际的攻防对抗中起到非常高的价值。本文作者跟大家交流自身所理解的纵深防御体系以及在企业落地实践的思路，【阅读原文】

3. CCSIP2022中国网络安全行业全景册（第五版）正式发布

2023年2月1日，FreeBuf咨询正式发布《CCSIP（China Cyber Security Industry Panorama）2022中国网络安全行业全景册（第五版）》。本次全景册面向广大国内安全厂商，由厂商自主申报并填写信息征集表。经FreeBuf咨询团队审核后，将符合要求的厂商信息入驻至《CCSIP 2022中国网络安全产业全景册（第五版）》，为企业安全建设及产品选型提供参考【阅读原文】

省心工具

1. 如何使用Cr3dOv3r分析和研究凭证重用攻击风险

Cr3dOv3r是一款针对凭证重用攻击的安全分析与研究工具，在该工具的帮助下，广大研究人员可以轻松地研究和凭证重用攻击相关的安全风险。【阅读原文】

2. Domain Analyzer：一款针对域名安全的审计分析与信息收集工具

Domain Analyzer是一款针对域名安全的强大安全分析工具，该工具能够以自动化的形式寻找和报告和给定域名相关的信息。该项目的主要目的是帮助广大研究人员以无人值守的形式分析目标域名的安全问题。除此之外，该工具还包含很多其他的功能，比如说从DNS空间获取更多的域名、自动化的Nmap和Web爬虫等。【阅读原文】

3. Salamandra：一款功能强大的麦克风窃听检测工具

Salamandra是一款功能强大的麦克风窃听检测工具，该工具可以帮助广大研究人员在封闭环境中检测和定位间谍麦克风工具。该工具可以根据麦克风发出的信号强度、噪声量和重叠频率来寻找隐蔽的麦克风设备。除此之外，它还可以根据生成的噪声来估算出用户离麦克风的距离。【阅读原文】