【火绒安全周报】Freepik数据泄露影响830万用户 宝塔面板出现重大安全漏洞

免费图像网站Freepik数据泄露事件 影响830万用户

近日，免费图像网站Freepik公布了一起重大的数据泄露事件，一名黑客（或多名黑客）利用SQL注入漏洞访问其一个存储用户数据的数据库之后，并获取了Freepik和Flaticon网站上最老的830万注册用户的用户名和密码。Freepik经调查后表示，并不是所有用户的账户都有相关的密码，黑客只取走了部分用户的信息。现在正在根据被采取的措施，用定制的电子邮件通知所有受影响的用户。

原出处：新浪科技

相关链接：

https://tech.sina.com.cn/roll/2020-08-23/doc-iivhuipp0220507.shtml

02

宝塔面板出现重大安全漏洞 请所有用户立即升级

据报道，宝塔面板出现重大级别的安全漏洞，黑客可通过漏洞绕过身份验证直接访问服务器中的数据库。目前开发商宝塔安全目前已经推出新版本紧急修复该漏洞。因此所有使用该面板的包括 Windows 和 Linux 用户均需立即升级 , 否则数据库有被黑客篡改和删除等安全风险。另外，在此也提醒大家管住自己的手切勿以身试法。

原出处：蓝点网

相关链接：

https://www.landiannews.com/archives/78924.html

03

犹他大学成又一所遭勒索软件攻击的高校：已支付45.7万美元

据报道，犹他大学是最近一所遭遇勒索软件攻击的教育机构，在攻击中，犹他大学服务器上的文件只有 0.02% 遭到加密，IT 人员利用备份恢复了文件。但攻击者以泄露员工和学生的潜在敏感信息数据为威胁，该大学决定向攻击者支付45.7万美元。虽然通常情况下都是不建议被勒索者向勒索方支付赎金，而犹他大学选择支付勒索费，或许在这所院校来看这比因影响教职员工和学生数据泄露而引发的诉讼要便宜。

原出处：新浪科技

相关链接：

https://tech.sina.com.cn/roll/2020-08-23/doc-iivhuipp0204504.shtml

04

雇佣兵黑客组织用恶意3DS MAX插件进行攻击

近日，Autodesk发布了有关名为“ PhysXPluginMfx ”的恶意插件的安全警报，该插件滥用了3DS MAX软件附带的脚本实用程序MAXScript。某安全公司表示，此插件的目的实际上是部署后门特洛伊木马，黑客可利用该特洛伊木马搜索受感染的计算机中的敏感文件，并随后窃取重要文件。研究人员认为该组织又是一个精巧的黑客雇佣佣兵组织的例子，它正在将其服务租借给各个参与者进行工业间谍活动。

(注：火绒安全软件可以对该恶意插件进行查杀)

原出处：ZDNet

相关链接：

https://www.zdnet.com/article/mercenary-hacker-group-targets-companies-with-3ds-max-malware/

05

Google云端硬盘的“功能”可能会让攻击者欺骗您安装恶意软件

据报道，恶意软件攻击者利用鱼叉式网络诱骗收件人打开恶意附件，或单击看似无害的链接，使其在不知不觉中下载恶意软件，则攻击者就可以访问用户的计算机系统和其他敏感信息。Google云端硬盘的文件更新功能是在不更改其链接的情况下更新共享文件，但该功能没有对文件扩展名进行任何验证，即使其他反病毒软件将其检测为恶意文件，谷歌浏览器也暗中信任从Google云端硬盘下载的文件。因此，用户必须密切注意可疑电子邮件（包括Google云端硬盘通知），以减轻任何可能的风险。

原出处：The Hacker News

相关链接：

https://thehackernews.com/2020/08/google-drive-file-versions.html