全球动态
1. 首次全国数据工作会议召开,要求强化数据安全保障能力
4月1日,2024年全国数据工作会议在北京召开。这是国家数据局正式挂牌后的首次全国数据工作会议。会议指出,要强化数据安全保障能力。始终紧绷数据安全这根弦,提升数据安全的技术保障水平。
【阅读原文】
2. 微软支持的网络安全独角兽Rubrik赴美IPO,拟筹资5亿至7亿美元
微软支持的云计算和网络安全初创公司Rubrik(RBRK.US)美东时间4月1日向美国证券交易委员会(SEC)提交了首次公开募股(IPO)申请,计划将在纽约证券交易所上市,筹资5亿至7亿美元。这家总部位于帕洛阿尔托的公司打算在“SEC声明此登记声明有效后尽快”向公众提供这些股份。高盛、巴克莱、花旗集团和富国银行担任主承销商。【阅读原文】
3. 遏制 AI 失控,微软发布系列工具减少 Copilot“幻觉”情况
微软在官方公告中表示:“生成式 AI 如何有效防止提示词注入攻击已经成为重大挑战。在这种攻击中,恶意行为者试图操纵人工智能系统做一些超出其预期目的的事情,例如制作有害内容或外泄机密数据”。
【阅读原文】
4. 数据安全担忧:美国国会禁止员工使用微软的AI产品 Copilot
由于潜在的数据泄露风险,美国众议院已禁止工作人员使用微软的人工智能助手 Copilot。
【外刊-阅读原文】
5. xz 后门作者可能生活在东欧
xz 后门作者 JiaT75 (Jia Tan) 使用了拼音名字,但并不意味着他或他们就是华裔,甚至可能是一个伪装。对其 Git 时间戳的分析显示,Jia Tan 可能生活在东欧。他或他们被发现在中国官方假期如中秋、清明、农历新年期间都工作,但在东欧的假期比如圣诞节和新年期间则从不工作。【阅读原文】
6. 谷歌将在“隐身模式”隐私诉讼和解中删除数十亿条浏览记录
谷歌已同意清除反映用户浏览活动的数十亿条数据记录,以解决一项集体诉讼,该诉讼声称这家搜索巨头在他们不知情或未经他们同意的情况下在其Chrome浏览器中跟踪了他们的浏览活动。【外刊-阅读原文】
安全事件
1. OWASP披露一起数据泄露事件
OWASP基金会披露了一起数据泄露事件,由旧Wiki Web服务器配置错误所致,该事件影响了2006年至2014年左右的OWASP成员数据。【外刊-阅读原文】
2. JumpServer多个高危漏洞安全风险通告
在CVE-2024-29201中,攻击者可以绕过 JumpServer 的 Ansible 中的输入验证机制,在 Celery 组件中执行任意代码;在CVE-2024-29202中,攻击者可以利用 JumpServer 的 Ansible 中的 Jinja2 模板注入漏洞在 Celery 组件中执行任意代码。由于 Celery 组件以 root 权限运行并具有数据库访问权限,因此攻击者可以从所有主机窃取敏感信息或操纵数据库。【阅读原文】
3. 智能冰箱变身加密货币矿工,导致全球厨房崩溃
近日,美国房主们分享了黑客将他们的智能冰箱改造成加密货币挖矿设备的事情,社交媒体上充斥着他们尝试用冰袋给冰箱降温的视频。【外刊-阅读原文】
4. 新型网络钓鱼即服务平台能够在2万多个域中发起网络钓鱼活动
一个名为“darcula”的新型网络钓鱼即服务 (PhaaS)平台能够在2万多个域中发起网络钓鱼活动,涉及100 多个国家和地区。【外刊-阅读原文】
5. 印度政府营救了250名被迫在柬埔寨从事网络犯罪的公民
印度外交部(MEA)在一份声明中表示,印度国民被就业机会吸引到该国,但却被迫从事非法网络工作。【外刊-阅读原文】
6. 游艇零售商 MarineMax 在网络攻击后披露数据泄露
MarineMax自称是世界上最大的休闲船和游艇零售商之一,该公司表示,攻击者在3月份的一次网络攻击中破坏了其系统后窃取了员工和客户数据。【外刊-阅读原文】
优质文章
1. 2023年跟踪软件状态:12%的人曾在伴侣手机上安装跟踪软件
卡巴斯基最新数据揭示,2023年,全球共有31031名个人用户受到跟踪软件的影响,较2022年(29312名受影响用户)有所增加。【阅读原文】
2. 漏洞挖掘 | 如何利用CDN升级你的XSS
本文将展示如何能够通过反射型和存储型XSS在Glassdoor上对数千个页面进行缓存投毒(漏洞挖掘)。【阅读原文】
3. 守护网安人:简析网络安全人士的职业倦怠之困和应对方法
数字世界日益推动人类变得更加人性化,那些懂得做人的真谛的人将在这个新世界中将拥有更多的可能性。【阅读原文】
*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。*标明为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。