各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

热点资讯

1. 美国颁布史上最严数据安全规定

近日，美国网络安全与基础设施安全局（CISA）宣布了一项史无前例的，极为严苛的数据安全规定，旨在防止“敌对国家”获取美国政府和公民敏感数据。这一提案主要针对从事受限交易的（科技）企业，特别是那些涉及美国政府和个人敏感数据且有可能暴露给“重点关注国家”或“受限人员”的企业。

2. 因非法使用用户数据，LinkedIn 被罚23.8亿元

近日， 爱尔兰数据保护委员会（DPC）结束了对 LinkedIn 为行为分析和定向广告而处理个人数据的调查，并于本周四（10月24日）公布了调查结果。调查结果显示，该平台违反了多项 GDPR 原则，这促使 DPC 实施了经济制裁和运营变革。于是爱尔兰数据保护委员会（DPC）决议对 LinkedIn 处以 3.1 亿欧元（约23.8亿人民币）的罚款

3. 苹果、特斯拉均受影响，新型漏洞迫使GPU无限循环，直至系统崩溃

近日，Imperva 研究人员发现了一个名为 ShadyShader 的漏洞。该漏洞允许攻击者反复冻结苹果设备的 GPU，最终可能导致系统崩溃。

4. 马斯克：允许第三方使用X平台用户数据训练AI

社交媒体平台X（原Twitter）于2024年10月16日更新其隐私政策，宣布将允许第三方合作伙伴使用X平台上的用户数据来训练人工智能模型，除非用户选择退出。

5. 微软运用欺骗性策略大规模打击网络钓鱼活动

微软正在利用欺骗性策略来打击网络钓鱼行为者，方法是通过访问 Azure 生成外形逼真的蜜罐租户，引诱网络犯罪分子进入以收集有关他们的情报。

安全事件

1. ESET合作公司遭入侵，向以色列发送数据擦除程序

有黑客入侵了 ESET 在以色列的独家合作公司，并向以色列企业发送网络钓鱼电子邮件，其中暗藏数据擦除器以进行系统破坏性攻击。

2. 多款云存储平台存在安全漏洞，影响超2200万用户

据苏黎世联邦理工学院研究人员Jonas Hofmann和Kien Tuong Turong的发现，端到端加密（E2EE）云存储平台存在一系列安全问题，可能会使用户数据暴露给恶意行为者。

3. 黑客入侵超 6000 个WordPress网站，以推送信息窃取程序插件

WordPress 网站近日被黑客非法入侵并安装恶意插件，这些插件会推送虚假的软件更新和错误信息，从而推送窃取信息的恶意软件。

4. K8s曝9.8分漏洞，黑客可获得Root访问权限

近日，安全研究人员Nicolai Rybnikar 发现Kubernetes镜像构建器中存在严重安全漏洞（CVE-2024-9486 ，CVSS ：9.8），攻击者可在特定情况下获得Root级访问权限，从而导致系统出现问题。

5. 高通64款芯片存在0Day漏洞

近日，高通公司发布了一项重要的安全警告，揭示了其多达64款芯片组存在严重的“0Day漏洞”。这一漏洞被标识为CVE-2024-43047，影响广泛，波及多个搭载骁龙芯片的Android智能手机和平板电脑、物联网设备等多个领域。

一周好文共读

1. 常见API接口安全设计

目前在企业内API的安全问题越发显得突出，如敏感信息泄露，访问控制失效，浪费系统资源等等，有很多的问题其实是可以在API设计的阶段就解决掉的。因此本篇文章就来看看一些常见的设计规范，如签名，加密等等。 【阅读全文】

2. 安全运营 | 三步走建设路径

安全运营是一项涉及技术、流程和人员有机结合的复杂系统工程。它通过对现有安全产品、工具和服务产生的数据进行有效分析，持续创造价值，解决安全风险，从而实现整体的安全目标。 【阅读全文】

3. 应急响应实战录：结合真实案例剖析挖矿木马应对之道

随着加密货币价值的飙升，挖矿木马成为网络安全领域的一大威胁。这些恶意程序悄无声息地潜入企业与个人电脑，非法占用计算资源进行加密货币挖掘，不仅导致系统性能下降，还可能造成数据泄露和隐私侵犯。因此，构建一套高效、有序的应急响应机制对于遏制挖矿木马的侵害，保护数字资产安全至关重要。 【阅读全文】

省心工具

1. Secator：一款集多功能于一身的渗透测试工具

Secator是一款集多功能于一身的渗透测试工具，该工具可以极大程度上辅助广大研究人员的渗透测试任务。 【阅读全文】

2. Mercury：一款网络元数据捕捉与安全分析工具

Mercury是一款功能强大的网络元数据捕捉与安全分析工具，广大研究人员可以利用该工具执行高级网络流量安全审计与分析。 【阅读全文】

3. logdata-anomaly-miner：一款安全日志解析与异常检测工具

logdata-anomaly-miner是一款安全日志解析与异常检测工具，该工具旨在以有限的资源和尽可能低的权限运行分析，以使其适合生产服务器使用。 【阅读全文】