Python曝出15年老洞可影響35萬余項目；印尼通過數據隱私法

我們總結推薦了本周的熱點資訊、安全事件、一周好文和省心工具，保證大家不錯過本周的每一個重點！

熱點資訊

1、美駐華使領館過度采集中方雇員信息，數據或供給美國情報部門

據環球時報報道，曾在美國駐華使領館工作的李明（化名）在某社交平臺表示，美國駐華使領館每隔幾年就要對里面的中方雇員做一次所謂的“背調”（背景調查）。表格上明確備注，中方雇員填寫的所有信息可能會提交給美國情報部門。

2、歐洲政策分析中心發布俄羅斯網絡戰能力分析報告

歐洲政策分析中心(CEPA)最近發表了一份38頁的研究報告，題為“俄羅斯網絡戰：揭示克里姆林宮的能力”，作者是兩位著名的研究人員Irina Borogan和Andrei Soldatov。該報告試圖揭示和分析為什么俄羅斯沒有在俄烏沖突中表現出應有的網絡戰能力。

3、手握《GTA6》源碼與 90 多條視頻，黑客稱要與 R 星談判

9月18日晚間，來自 GTAForums 名為“teapotuberhacker”的用戶發布了 90 多個疑似《GTA 6》的游戲片段，引起游戲界轟動，現在該黑客正試圖與《GTA 6》的發行商 Rockstar Games 及其母公司 Take-Two Interactive 達成協議。

4、印度尼西亞通過數據隱私法，刑罰最高可至監禁六年

印度尼西亞議會在這個東南亞國家遇到幾起違規事件后的幾個月，提出了一項數據隱私法作為其第一項動議。9月20日，印度尼西亞立法者通過了已經審議了一年多的個人數據保護法案。

5、"沙蟲 "組織冒充烏克蘭電信公司投放惡意軟件

疑似俄羅斯資助的黑客組織 Sandworm（沙蟲） 偽裝成烏克蘭電信提供商，以惡意軟件攻擊烏克蘭實體。

安全事件

1、Python 15年未修的漏洞可能影響 35萬余個項目

據The Hacker News 9月22日報道，Python模塊中存在一個長達15年未修復的安全漏洞，可能導致35萬余個開源項目被利用，涉及人工智能/機器學習、網絡開發、媒體、安全、IT管理等多個領域。該漏洞被追蹤為CVE-2007-4559（CVSS評分：6.8），根植于tarfile模塊，可能導致任意文件寫入的代碼執行。

2、信陽師范學院曝“學信網信息泄露”，學院：已報警，涉事學生干部被撤職

據國內多家媒體報道，9月19日，河南省信陽師范學院被曝“學信網信息泄露”，導致不少學生三個月內不能享受購買蘋果電腦、耳機等產品的優惠政策。根據信陽師范學院發布的通告，學校有關部門已于9月19日上午向信陽市五星鄉派出所報案，并立案調查。

3、洲際酒店遭遇黑客破壞性攻擊，目的竟是“為了好玩”

有黑客告訴BBC，他們對假日酒店(Holiday Inn)的所有者洲際酒店集團(IHG)進行了一次破壞性的網絡攻擊，目的則是“為了好玩”。他們自稱來自越南，一開始他們嘗試了勒索軟件攻擊，然后在被挫敗后刪除了大量的數據。

4、繼北京健康寶后，澳門健康碼又遭境外勢力攻擊

據《澳門日報》報道，去年 5 月初，澳門健康碼連續遭受境外網絡攻擊，嚴重影響珠澳出入境秩序。司警局局長薛仲明曾在公開采訪中強調，澳門每天都遭到大大小小的網絡攻擊，去年平均每分鐘約受到 3.4 次攻擊。近日，澳門特別行政區保安司司長黃少澤談及調查結果時表示，對澳門健康碼的持續性攻擊多達 300 多萬次，來自歐美地區。

5、碰撞測試作弊假？黑客曝光特斯拉使用“特殊代碼”

知名特斯拉黑客和軟件專家@Greentheonly卻在社交平臺上爆料稱，特斯拉一直在添加涉及碰撞測試機構的代碼，包括剛剛測試過 Model Y 的 ANCAP 和 EuroNCAP。Greentheonly認為，特斯拉之所以能夠在全球各個國家碰撞測試中獲得好成績，很有可能是針對性使用了“特殊代碼”。例如特斯拉在ANCAP（澳大利亞）、I-VISTA（中汽研中國智能汽車指數）、EuroNCAP（歐洲）、Korea NCAP（韓國）等車輛測試中心都使用了相關的代碼。

一周好文共讀

1、《數據安全法》實施一年后面臨的三個趨勢

在《數據安全法》實施的這一年中，我們看到了幾個趨勢，首先企業數據安全建設工作面臨挑戰，法規和技術落地之間存在實踐難點；其次是數據經紀開始興起，數據流通加快的同時也面臨一些隱私邊界界定問題；最后是各地政務數據開放趨勢加快，越來越多的政府部門開始對外開放數據，但其中目前相對還處于粗放式開放階段，有待進一步發展。

2、全球十大國家級APT組織排行榜發布

為了讓讀者更好地了解全球國家級APT組織的現狀，FreeBuf根據現在已經公開的信息，從殺傷力、活躍度兩個維度，對全球知名國家級APT組織進行盤點和對比，遴選出全球十大國家級APT組織排行榜，以下是榜單具體內容：

3、深陷安全事件泥潭，優步數據泄露何時休？

9月15日，一名黑客侵入了一名優步員工的辦公通訊應用 Slack，發布了如上信息。次日，根據多家外國媒體報道，這家國際網約車巨頭證實其系統遭到了黑客攻擊，但尚不清楚黑客訪問了哪些內部數據。因為此次攻擊，優步下線了部分系統功能，給業務帶來一定影響。

省心工具

1、如何使用LiveTargetsFinder生成實時活動主機URL列表

LiveTargetsFinder是一款功能強大的實時活動主機生成工具，該工具可以為廣大研究人員以自動化的形式生成可供分析和測試的實時活動主機URL列表，并通過MassDNS、Masscan和Nmap自動過濾出無法訪問的主機。

2、如何使用Packj檢測惡意或高風險的開源軟件包

Packj是一款功能強大的代碼安全檢測工具，該工具本質上是一個命令行接口工具套件，可以幫助廣大研究人員檢測軟件代碼包中潛在的惡意或高風險代碼，旨在緩解軟件供應鏈攻擊。該工具支持識別當前熱門開源軟件管理工具中提供的軟件代碼包，比如說NPM、RubyGems和PyPI等。在該工具的幫助下，我們可以持續審查軟件包并獲取免費的風險評估報告。

3、ROPR：一款功能強大的極速多線程ROPGadget查找工具

ROPR是一款速度極快且功能強大的ROPGadget查找工具，該工具支持多線程運行，可以幫助廣大研究人員快速尋找和定位目標ROPGadget。