一名HackerOne员工窃取了通过漏洞赏金平台提交的漏洞报告并将其披露给受影响的客户以索取经济奖励。该公司于当地时间周五表示，这名流氓员工联系了7名客户并在少数披露中获取了赏金。 HackerOne是一个协调漏洞披露的平台并为提交安全报告的漏洞猎手提供货币奖励的中介。
抓住罪魁祸首
6月22日，HackerOne回应了一个客户的请求，通过一个使用“rzlr”工具的人的非平台通信渠道调查一个可疑的漏洞披露。 该客户注意到，同样的安全问题之前已经通过HackerOne提交。...

微软365防御团队表示，有一种越来越流行的恶意软件可以在受害者不知情的情况下为其订阅高级服务。不过，这种攻击相当精细，恶意软件必须执行相当多的步骤。窝藏恶意软件的应用程序通常被归类为"收费欺诈"，并使用"动态代码加载"来实施攻击。 简而言之，该恶意软件借助运营商的月度账单会订阅了一项高级服务，不知情的受害者只能被迫付款。...

近期，一种鲜为人知的名为AstraLocker的勒索软件发布了它的第二个主要版本，据威胁分析师称，它能快速发动攻击，并直接从电子邮件附件中删除其有效负载。这种方法是很少见的，因为所有典型的电子邮件攻击都会尽量逃避检测，并尽量减少电子邮件安全产品发出危险信号的几率。 根据一直跟踪AstraLocker的ReversingLabs的说法，攻击者似乎并不关心侦察、有价值文件、以及潜入内网横向移动等。相反，他们追求以最大的力量发起对目标的攻击，来换取快速回报。...

为了规范个人信息出境活动，保护个人信息权益，促进个人信息跨境安全、自由流动，近日，国家网信办公布《个人信息出境标准合同规定（征求意见稿）》（以下简称《征求意见稿》）。《征求意见稿》共计13条，文末附件为《个人信息出境标准合同》。 《征求意见稿》指出，个人信息处理者依据《中华人民共和国个人信息保护法》第三十八条第一款第（三）项，与境外接收方订立合同向中华人民共和国境外提供个人信息的，应当按照本规定签订个人信息出境标准合同（以下简称“标准合同”）。...

图：FabricScape恶意利用流程（Unit 42） 漏洞修复花了五个月
根据Unit 42的报告，微软公司于6月14日发布了Microsoft Azure Service Fabric 9.0 Cumulative Update，最终解决了这个漏洞（微软则表示，相关修复程序已在5月26日发布）。

微软为该漏洞发布安全公告后，从6月14日开始，...

MITRE组织分享了2022年最常见和最危险的25个弱点名单，该名单可以帮助企业评估企业基础设施的安全情况，MITRE表示：“如果企业的基础设施涉及相关的漏洞弱点，就可能受到未知黑客的攻击。”
“软件弱点往往都很容易被针对，并最终会导致可利用漏洞的产品，从而让对手完全接管系统、窃取数据或让业务停摆。 特殊元素的不当中和（"SQL注入"）
22.11
7
+3

4
CWE-20
不当的输入验证
20.63
20
0

5
CWE-125
界外读取
17.67
1
-2

6
CWE-78
操作系统命令中使用的特殊元素的不当中和（"操作系统命令注入"）
17....

近期，半导体巨头AMD表示，他们正在调查一起网络攻击事件，去年，RansomHouse团伙声称从该公司窃取了450gb的数据。RansomHouse是一个数据勒索组织，他们侵入公司网络，窃取数据，然后要求支付赎金，或出售给其他威胁行为者。过去一周，RansomHouse在Telegram上调侃称， 据BleepingComputer了解，该组织的“伙伴”大约一年前就侵入了AMD的网络。虽然该网站称数据是在2022年1月5日被盗的，但威胁行为者表示，其实这时候黑客已经无法访问AMD网络了。虽然RansomHouse此前曾有过勒索操作，但他们表示，他们不会对设备进行加密，...

新浪科技讯 北京时间6月29日消息，2016年Uber曾遭遇黑客攻击，当时5700万乘客和司机的个人信息被黑客窃取，事发后Uber前安全主管约瑟夫·沙利文（Joseph Sullivan）试图隐瞒。美国联帮法官周二表示，沙利文必须面对电信诈骗指控。 沙利文付钱给两名黑客让他们保持沉默，同时他还欺骗乘客、司机、FTC。沙利文反驳称，检察官指控他隐瞒黑客事件，说他这样做的目的是想阻止司机逃离，让司机继续支付服务费，但检察这种指控并无切实证据。旧金山地区法官威廉·奥瑞克（William Orrick）显然不同意这种说法。...

作为当前市面上最大的 NFT 市场，OpenSea 刚刚通报了一起客户电子邮件数据泄露事件。据称是负责管理该平台邮件通讯的外部承包商（Customer.io）管控不善，导致一名员工复制了客户电子邮件列表、并泄露给了第三方。事件发生后，官方已提醒广大用户小心提防近期的网络钓鱼类攻击。 长期以来，电子邮件通讯管理平台和客户关系管理（CRM）类软件，一直是加密 / 区块链企业的一个薄弱环节，此前我们已经见到过相当多起的数据泄露事件。...

近期，Checkmarx的网络安全研究人员发现了一个影响安卓上的Amazon Photos 应用程序严重漏洞，如果该漏洞被行为威胁者利用的话，就可能导致被安装在手机上的恶意应用程序窃取用户的亚马逊访问令牌。 从技术角度来看，当各种Amazon应用程序接口(API)对用户进行身份验证时，就需要Amazon访问令牌，其中一些接口在攻击期间可能会暴露用户的个人身份信息(PII)。其他一些应用程序接口，像Amazon Drive API，可能允许威胁参与者获得对用户文件的完全访问权限。...