联邦贸易委员会（FTC）周五发布的初步报告中指出，企业根据从消费者数据和行为中收集的信息对商品进行加价，这些信息包括地理位置、人口统计特征、购物习惯，甚至个人在网页上移动鼠标的方式。 该报告基于六家公司——万事达卡、埃森哲、PROS、Bloomreach、Revionics和麦肯锡公司——提供的材料。FTC于7月要求这些公司提供有关其所谓“监控定价”产品的信息。 这六家被调查公司出售的工具使企业能够不断调整价格，让零售商能够基于各种个人特征，通过算法调整并确定向消费者收取的费用。...

谷歌周四宣布推出OSV-SCALIBR（软件成分分析库），这是一款用于软件成分分析的开源库。 该工具以开源Go库的形式发布，是一款可扩展的文件系统扫描器，旨在提取软件库存信息并识别漏洞。 OSV-SCALIBR既可以作为独立的二进制文件（库的外围包装）使用，也可以作为库导入到Go项目中。...

一个名为“pycord-self”的恶意软件包出现在Python包索引（PyPI）上，该软件包的目标用户为Discord开发者，旨在窃取认证令牌并在系统中植入后门以实现远程控制。 该软件包模仿了广受欢迎的“discord.py-self”软件包，后者下载量已近2800万次，并且甚至提供了正版项目的功能。 正版软件包是一个Python库，允许与Discord的用户API通信，并允许开发者以编程方式控制账户。...

俄罗斯黑客组织Star Blizzard已被关联到一起新的钓鱼攻击活动，该活动瞄准受害者的WhatsApp账户，这标志着其可能为了逃避检测而改变了长期以来的作案手法。 微软威胁情报团队在与The Hacker News分享的一份报告中称：Star Blizzard的目标通常与政府或外交部门（包括现任和前任官员）、国防政策或涉及俄罗斯的国际关系研究人员，以及与俄乌战争相关的对乌克兰援助方有关。...

网络安全研究人员揭露了一项新活动，该活动针对运行基于PHP应用的Web服务器，以在印度尼西亚推广赌博平台。 Imperva公司研究员Daniel Johnston在分析中指出：“过去两个月，我们观察到大量来自基于Python的机器人的攻击，这表明有一股势力在协同利用成千上万的Web应用。这些攻击似乎与赌博相关网站的泛滥有关，可能是对政府加强审查的回应。” 这家隶属于泰雷兹集团的公司表示，他们检测到数百万条来自Python客户端的请求，该客户端包含安装GSocket（又称Global Socket）的命令，这是一种开源工具，可用于在两个机器之间建立通信通道，不受网络边界的限制。...

网络安全研究人员披露了Planet Technology公司的WGS-804HPT工业交换机存在的三项安全漏洞，攻击者可利用这些漏洞在易受攻击的设备上实现未经认证的远程代码执行。 Claroty公司的Tomer Goldschmidt在周四的报告中表示：“这些交换机广泛用于建筑和家居自动化系统中的各种网络应用。攻击者如果能够远程控制这些设备中的任意一个，就可以利用它们进一步攻击内部网络中的其他设备，并进行横向移动。” 这家运营技术安全公司对使用QEMU框架的交换机固件进行了深入分析，发现漏洞源于提供网络服务的dispatcher.cgi接口。漏洞列表如下：...

美国联邦贸易委员会（FTC）要求网络托管巨头GoDaddy实施基本的安全保护措施，包括HTTPS API和强制多因素身份验证（MFA），以解决自2018年以来其托管服务未能抵御攻击的问题。 FTC表示，这家总部位于亚利桑那州的公司声称采取了合理的安全措施，但实际上却误导了数百万网络托管客户，因为GoDaddy未能实施标准的安全工具和实践，导致其“对托管环境中的漏洞和威胁视而不见”。 FTC消费者保护局局长塞缪尔·莱文表示：“数百万家公司，特别是小型企业，依赖GoDaddy等网络托管提供商来保护他们和客户所依赖的网站。”...

微软已扩大Windows 11管理员保护功能的测试范围，允许内部人员通过Windows安全设置启用该安全功能。 该功能最初于去年10月在面向Canary频道的Windows 11内部人员预览版中推出。管理员保护采用隐藏的即时提升机制和Windows Hello身份验证提示，仅在需要访问关键系统资源时解锁管理员权限，以阻止对它们的访问。 启用后，该功能可确保登录的管理员用户仅拥有标准用户权限，并在安装新应用或尝试更改注册表时，要求通过PIN码或生物识别方法使用Windows Hello进行身份验证。...

一款在一百多万个WordPress网站上安装的W3 Total Cache插件存在严重漏洞，可能使攻击者获取包括云端应用元数据在内的多种信息。 W3 Total Cache插件采用多种缓存技术，旨在优化网站速度、减少加载时间并提升SEO排名。 尽管开发者已在最新版本中发布了修复程序，但该漏洞（CVE-2024-12365）仍未被数十万网站所安装的版本所修复。...

据观察，黑客在不同的攻击活动中，将恶意代码隐藏在图片中，以传播诸如VIP键盘记录器和0bj3ctivity信息窃取器之类的恶意软件。 惠普狼安全（HP Wolf Security）在其与《黑客新闻》分享的2024年第三季度威胁洞察报告中指出：“在这两次攻击活动中，攻击者将恶意代码隐藏在上传到文件托管网站archive[.]org的图片中，并使用相同的.NET加载器来安装其最终的有效载荷。”...