网络安全事件频发。上周发生了哪些网络安全事件？以下安全事件可以作为参考，防止类似事件发生：

1.丰田确认遭受Medusa勒索软件攻击

周四，丰田金融服务公司(TFS) 证实，它受到了Medusa 勒索软件组织的攻击，该公司检测到其在欧洲和非洲的系统遭到未经授权的访问。安全分析师Kevin Beaumont 透露，丰田金融德国办事处有一个暴露于互联网的Citrix Gateway 端点，该端点自2023 年8 月以来一直没有更新，并且容易受到Citrix Bleed 漏洞的利用。过去几周，勒索软件组织LockBit利用Citrix Bleed漏洞攻击了中国工商银行、迪拜环球港务集团、AllenOvery和波音等知名公司。丰田金融服务的倒闭意味着越来越多的勒索软件组织正在加入Citrix Bleed 漏洞攻击的行列，Citrix Bleed 漏洞引发的全球攻击风暴将愈演愈烈。

2、API是数据泄露的隐患。当谈到数据泄露时，用户往往缺乏对API漏洞以及API安全事件可能造成的影响的了解，因为API通常不是用户最终直接交互的技术，并且它们具有一定程度的隐藏性，用户无法看到其日常活动。

API 安全是组织安全策略的关键支柱：API 安全是预防和响应源自API 级别的攻击的实践。它是任何组织整体安全策略的关键支柱。 API 不仅使用户能够与应用程序交互，还促进其底层内部服务相互通信，传输或存储许多服务的敏感数据。因此，不安全的API 为攻击者提供了一个切入点，可能会严重损害应用程序的安全状况。最常见的API 安全漏洞发生在开发过程中，这就是为什么“左移”测试理念是API 安全的核心，因为它将API 测试推入了软件开发的早期阶段。通过尽早且经常地测试API 漏洞，项目可以减少代码缺陷的数量并提高代码的质量。

API组件经常出现在攻击的第二阶段：最近的MoveIT黑客活动在攻击的第二阶段就有一个API组件，涉及MoveIT API的反序列化滥用。这导致数千家公司受到损害。其他同样备受瞩目的数据泄露事件，包括Twitter、Peloton、Optus 和Medi Bank，都是由API 安全事件造成的。

3、攻击者利用Kopeechka创建大量账户并发起大规模攻击。

近年来，攻击者变得越来越专业，并创建了各种即插即用的业务，帮助低技能的攻击者发起诈骗和攻击。最近，Kopeechka 服务的出现是为了促进依赖大规模社交媒体垃圾邮件的攻击活动。该服务自2019 年初以来一直活跃，为流行的社交媒体平台提供简单的帐户注册，包括Instagram、Telegram、Facebook 和X（以前称为Twitter）。

4. 保持警惕！谨防Google Ads 引发的安装恶意软件的陷阱。黑客利用谷歌的动态搜索广告（DSA）技术诱导想要下载WinSCP等合法软件的用户安装恶意软件。

黑客利用谷歌的动态搜索广告（DSA）技术诱导想要下载WinSCP等合法软件的用户安装恶意软件。 DSA技术可以根据网站内容自动生成广告。黑客利用此功能提供恶意广告，并将用户引导至受感染的WordPress 网站gameeweb[.]com，该网站会将用户重定向至攻击者控制的网络钓鱼网站。这个复杂的多阶段攻击链的最终目标是诱骗用户点击伪装成WinSCP 官方网站的winccp[.]net 并下载恶意软件。

5. 网络安全公司Infoblox最近发布了一篇安全博客文章，指出黑客正在利用.us顶级域名进行网络钓鱼和恶意软件攻击。

研究人员发现，一个名为“Prolific Puma”的URL 缩短服务已经运行了3 年多，可以将URL 地址缩短为3-7 个范围内的短地址，并被网络钓鱼者和恶意软件传播者使用。据Infoblox 称，自2023 年5 月以来，超过55% 通过缩短服务创建的域名使用.US 顶级域名，并且每天都会注册多个新域名。us 顶级域名通常面向美国主要公司和政府机构销售，主要由GoDaddy 等网络域名注册商出售。 Infoblox 注意到超过2,000 个恶意域名是通过NameSilo 私下注册的。

6、孟加拉国国家电信监控中心数据库暴露在公共网络上，大量各类数据在网上泄露。

孟加拉国国家电信监控中心（NTMC）是一个情报机构，负责收集人们的手机和互联网活动。几个月来，该中心通过与其系统相连的不安全数据库暴露了大量个人信息。就在本月早些时候，匿名黑客攻击了暴露的数据库，删除了系统中的各种详细信息，并声称窃取了这些信息。 CloudDefense.AI 的安全研究员Viktor Markopoulos 发现了这个不安全的数据库。马科普洛斯发现暴露的数据库后，一路追溯到NTMC和孟加拉国国家情报平台的登录页面。马科普洛斯认为，数据库很可能是由于配置错误而暴露的。

我们专注高端建站，小程序开发、软件系统定制开发、BUG修复、物联网开发、各类API接口对接开发等。十余年开发经验，每一个项目承诺做到满意为止，多一次对比，一定让您多一份收获！