FreeBuf周报 | 英伟达多达1TB数据被盗；丰田因供应商遭受网络攻击而停产

FB客服

发布于 2022-04-11 21:17:40

4600

发布于 2022-04-11 21:17:40

文章被收录于专栏：FreeBufFreeBuf

各位FreeBufer周末好~以下是本周的「FreeBuf周报」，我们总结推荐了本周的热点资讯、优质文章和省心工具，保证大家不错过本周的每一个重点！

热点资讯

1、英伟达遭遇网络攻击，1TB数据被盗

2、匿名者组织入侵白俄罗斯铁路内部网络

3、乌克兰招募 "IT军 ",俄罗斯 31 个实体成为攻击目标

4、丰田日本工厂因供应商遭受网络攻击而停止生产

5、Conti支持俄罗斯，乌克兰成员公布了其内部聊天记录

6、国家网信办发布《互联网弹窗信息推送服务管理规定（征求意见稿）》

7、保险业巨头 AON 遭网络攻击

8、APT29 以疫情为话题攻击大使馆相关人员

9、Avast 为袭击乌克兰的HermeticRansom发布了免费解密工具

10、75%的医用输液泵受已知漏洞的影响

优质文章

1.以数据为中心的数据安全基础能力建设探索

企业数据安全治理，除了熟悉法律法规条文，信息采集最小化，服务入口明确隐私协议外，更多的是需要建设内部基础能力，如数据识别、分类分级、数据加密、权限管控等数据安全的基础能力。该文数据为中心的理念，围绕数据识别、分类分级、基础防护几个方面，结合开源软件做一次梳理和功能演示，希望能帮助有需要的人员对数据安全有个直观的了解。

2.在军队出发之前，这场战争就早已经开始了

2022年2月24号，这一天乌克兰局势牵动了全世界的目光。早在在开战之前，网络上就有俄乌双方的军力对比，但是谁也没有想到，现代战争是这么的迅速，这不禁让人想起了三体中的降维打击。现代战争已经是海陆空全方位协同作战，但在另一个大家经常忽略的网络空间里，却也发生着一场没有硝烟的战争，这场战争虽然没有明显的人员伤亡，却往往决定着战争的胜负和走向。

3.美国NIST《软件供应链安全指南》解析

供应链安全是当下比较热门的安全话题，究其原因是供应链安全牵一发动全身，对各国经济发展和数字社会的稳定具有深刻的影响。本篇文章主要介绍NIST在2月初发布的“第 14028 号行政令第 4e 节下的软件供应链安全指南”，以供大家了解。

4.渗透测试之地基服务篇：服务攻防之框架Fastjson（上）

该篇章目的是重新牢固地基，加强每日训练操作的笔记，在记录地基笔记中会有很多跳跃性思维的操作和方式方法，望大家能共同加油学到东西。

Fastjson是一个Java语言编写的高性能功能完善的JSON库。它采用一种“假定有序快速匹配”的算法，把JSON Parse的性能提升到极致，是目前Java语言中最快的JSON库。

5.渗透测试之地基服务篇：服务攻防之框架Spring（下）

本文衔接《渗透测试之地基服务篇：服务攻防之框架Spring（上）》，Spring Data是对数据访问的更高抽象。通过它，开发者进一步从数据层解放出来，更专注于业务逻辑。不管是关系型数据还是非关系型数据，利用相应接口，开发者可以使用非常简单的代码构建对数据的访问。

省心工具

1.TerraGoat：一款针对Terraform的安全漏洞学习基础设施

TerraGoat是一款专门针对Terraform的安全漏洞学习基础设施，TerraGoat中所有存在的安全漏洞都是软件开发人员故意留下的，可以更好地帮助广大研究人员深入学习和研究跟Terraform相关的安全漏洞。

2.Invoke-EDRChecker：一款功能强大的主机安全产品检测工具

Invoke-EDRChecker是一款功能强大的主机安全产品检测工具，该工具能够对正在运行的进程进行详细的安全检查，包括进程进程元数据、加载到当前进程中的DLL以及每个DLL元数据、常见安装目录、已安装服务、注册表和正在运行的驱动器。

3.如何使用SocialPwned收集各种凭证、邮件和Google账号信息

SocialPwned是一款功能强大的OSINT公开资源情报收集工具，该工具可以帮助广大研究人员从Instagram、Linkedin和Twitter等社交网络上收集目标用户相关的电子邮件信息，然后再从PwnDB或Dehashed中查找可能存在的凭证泄漏，最后再通过GHunt来获取目标用户相关的Google账号信息。