CDN 服务商 Cloudflare 披露了发生在周末的一次流量创记录的 DDoS 攻击，在峰值期间攻击流量每秒请求数超过了 7100 万。这是有记录以来规模最大的 HTTP DDoS 攻击，比之前的记录每秒请求数 4600 万高 35%。攻击源头来自逾 3 万 IP 地址，被攻击的网站包括游戏服务商、加密货币公司、托管服务商和云计算平台。Cloudflare 称，过去一年 DDoS 攻击频率在显著增加，HTTP DDoS 攻击年度增加 79%，规模超过 100 Gbps 的攻击次数季度增加 67%，持续时间超过 3 小时的攻击次数季度增加 87%。勒索性质的 DDoS 攻击也有显著增加。

丰田正在召回 16,680 辆 2021 年款混动汽车 RAV4 Primes，以修复可能导致牵引电池过度放电的软件 bug，该 bug 最终会导致混动系统关闭。该问题主要在寒冷天气下发生。当 RAV4 Primes 只用电池不使用内燃机的情况下行驶，快速踩下踏板加速，电池有可能降到特定阈值下。如果发生这种情况，汽车会显示错误信息，混动系统将关闭，汽车将失去动力。

Shawn the R0ck 写道：安全多方计算（Secure multi-party computation，简称MPC或者SMPC）起源于 A. Shamir, R. Rivet and L. Adleman 在1979年对于秘密分割问题的研究，其后姚期智（Andrew Yao）于 1982 年提出百万富翁问题和于 1986 年正式提出的 Garbled Circuit Protocol,成为了今天意义上多方计算的基础，Web3.0 的兴起让业界关注使用多方计算解决资产管理和跨链等场景的问题，SMPC 在多台计算节点之间分配签名过程，每台计算机都拥有一份代表密钥份额的私有数据，它们共同合作以分布式方式签署交易以降低单点失败的风险，但实际情况是这样吗？HardenedVault 的 Vault Labs 近期针对 SMPC 中安全假设，Oblivious transfer，同态加密，零知识证明，Shamir 秘密分割，Feldman-VSS，Paillier算法，EdDSA以及MPC-CMP等SMPC的主要特性进行了分析，以此为基础得出以下结论：1）建立合理威胁模型的前提是SMPC实现本身遵循密码学最佳实践。2）有一些厂商宣称的SMPC方案是去中心化的，但实际上是基于特权设置不仅会导致单点失败风险，而且可以让攻击者具备制造假签名的能力，用户需要仔细确认技术参数。3）即使没有特权节点，SMPC也并不能一劳永逸的解决单点失败风险的问题，因为系统安全问题依旧存在。4）没有银弹，高度依赖TEE（可信执行环境）并不是理性的选择，魔鬼在细节中。

社交网站 Reddit 披露了一起安全事故，称其员工遭到复杂且高度针对性的钓鱼攻击。它是在 2 月 5 日察觉到这起攻击，攻击者在窃取到一名雇员的登陆凭证之后访问了部分内部文档、代码、仪表盘和业务系统，但没有迹象表明访问了主生产系统，用户密码和账号仍然是安全的。Reddit 称泄露的主要是企业联系人以及前和现员工的联络信息，它建议用户为保护账号安全启用 2FA。

在研究人员私下警告之后，Valve 修复了一个 Dota 2 的高危漏洞。该漏洞位于 Dota 2 使用的开源 JS 引擎 V8 中，它是在 2021 年发现的，跟踪编号 CVE-2021-38003，Google 在 2021 年 10 月修复了漏洞，但 Valve 直到上个月才修复，期间隔了 15 个月。安全公司 Avast 的研究人员发现，已经有一名黑客利用修补的拖延而发布了 4 个自定义游戏模式利用该漏洞。Dota 2 支持自定义游戏模式，用户通过一个验证流程递交自己开发的自定义模式后可以公开发布供其他玩家下载。黑客递交的第一个自定义模式显然是用于概念验证的，它的一个文件名叫 evil.lua，之后递交的三个自定义模式则更隐蔽，包含了后门，可以执行通过 HTTP 下载的任意 JS 脚本。

试图勒索心理健康诊所 Vastaamo 及其患者的 25 岁芬兰黑客 Julius “Zeekill” Kivimäki 在法国被捕。2020 年 10 月，自称 Ransom Man 的黑客从 Vastaamo 诊所窃取了其客户数据库，他索要价值 45 万欧元的比特币，如果 Vastaamo 不支付赎金就公开患者的心理健康数据。在 Vastaamo 拒绝之后黑客转而尝试勒索患者，向患者发去 500 欧元的勒索通知威胁披露治疗记录。在没取得多少成功之后，Ransom Man 在暗网直接公开了所有患者记录的压缩档案。安全专家在分析公开的档案时发现 Ransom Man 犯下了大错。他将个人的主文件夹都包含在压缩档案中，Kivimäki 的身份暴露。2022 年 10 月他被缺席逮捕，芬兰随后发出了国际通缉令。2023 年 2 月 3 日警方在回应一起家庭暴力投诉时逮捕了 Kivimäki。他使用了假的身份 ID，自称是罗马尼亚人，警方怀疑其身份，在搜索了通缉犯记录之后发现他就是 Kivimäki。

在破解了犯罪分子使用的加密消息应用 Exclu 后欧洲警方逮捕 42 名嫌疑人，缴获了枪支、毒品和数百万欧元现金。Exclu 是最新一个被警方破解的加密消息应用，在欧洲多地发起联合突击搜查前，警方和检方在 Exclu 系统中潜伏了五个月，阅读了犯罪分子之间的通信。有大约 3000 人使用 Exclu 系统，其半年订阅费用高达 800 欧元。调查始于 2020 年 9 月，警方在比利时、德国和荷兰的 79 处地点展开了搜查，关闭了 Exclu 消息服务。被捕者包括了该应用的使用者和控制者，以及所有者。荷兰警方称其突击搜查行动至少发现了两个毒品实验室、一个可卡因加工厂、数公斤毒品、400 万欧元现金、奢侈品和枪支。

最大的代码托管平台 GitHub 披露，未知入侵者未经授权访问了其部分代码库，窃取了其桌面应用 Desktop 和 Atom 的代码签名证书。签名证书可被用于签名恶意应用，伪装成合法更新。GitHub 表示，目前没有证据表明证书被恶意使用，但作为预防措施它撤销了两个应用的证书。证书撤销将于周四生效，预计会影响部分版本，包括 Mac 版 GitHub Desktop 3.1.2、3.1.1、3.1.0、3.0.8、3.0.7、3.0.6、3.0.5、3.0.4、3.0.3 和 3.0.2，以及 Atom 1.63.1 和 1.63.0，Desktop for Windows 不受影响。GitHub 在 1 月 4 日发布的新版 Desktop 应用使用了不同证书签名，该证书没有遭窃取。

2022 年勒索软件的攻击频率没有发生显著变化，但随着越来越多的受害者拒绝支付赎金，勒索者的赎金收入出现了显著下降。Chainalysis 对勒索软件攻击相关的钱包地址的跟踪显示，受害者在 2022 年支付的赎金为 4.57 亿美元，而 2021 年为 7.66 亿美元。当受害者发现勒索软件 Conti 背后的黑客组织与俄罗斯有关联，因本国政府实施的制裁他们有更多的理由拒绝支付赎金。网络安全分析公司 Coveware 也观察到了类似的趋势，受害者支付赎金的比例从 2019 年一季度的 85% 降到了 2022 年四季度的 37%。

奥地利警方本周披露，一名荷兰黑客于去年 11 月被捕，这名黑客窃取并出售几乎所有奥地利人的个人数据，包括全名、性别、完整地址和出生日期。这名黑客是于 2020 年 5 月在一个黑客论坛上出售这些数据，该数据集已被调查人员确认是真实的。它包含了近 900 万组数据，而奥地利人口为 910 万，因此几乎所有奥地利人都包含在内。该黑客还出售了意大利、荷兰和哥伦比亚等国的类似数据集。

俄罗斯科技巨头 Yandex 的源代码库被以 Torrent 磁链的方式在一黑客论坛上泄露。泄露者声称源代码是在 2022 年 7 月窃取到的，文件总容量 44.7 GB。该源码库包含了 Yandex 几乎所有产品的源代码，其中包括搜索引擎和索引爬虫，地图、AI 助手、邮件、云盘、云服务和支付服务，等等。Yandex 在一份声明中表示，它没有遭到黑客入侵，源代码库是一位前雇员泄露的。

苹果向 2013 年上市的 iPhone 5S 释出安全更新，修复可能导致任意代码执行的漏洞。苹果 iPhone 系列智能手机通常提供五到六年的系统更新。iPhone 5S 最后一次系统更新是 2018 年推出的 iOS 12，本周它向 iPhone 5S 这款有大约十年历史的手机推送了安全更新 iOS 12.5.7, 修复了在处理恶意网页内容时可能导致任意代码执行的问题，苹果警告在运行 iOS 15 之前版本的设备上该漏洞可能正在被利用。iPhone 6 和 6 Plus 等旧型号设备也都收到更新。

暗网市场 Solaris 被一家小竞争对手 Kraken 劫持，时间是 2023 年 1 月 13 日。Solaris 的暗网网站被重定向到 Kraken，相关联的区块链地址没有发生移动。Solaris 是在最大的暗网市场 Hydra Market 的服务器去年四月被德国警方扣押和关闭之后出现的，旨在吸引一部分 Hydra 的用户，它迅速获得了四分之一的该市场用户，非法销售金额约 1.5 亿美元。Kraken 的规模要比 Solaris 小。Solaris 被认为与亲克里姆林宫的黑客组织 Killnet 有关联。2022 年 12 月乌克兰网络情报分析师 Alex Holden 声称入侵了 Solaris 窃取了 2.5 万美元捐给了乌克兰的人道主义慈善机构。Solaris 否认网站遭到入侵，但 Holden 随后公开了更多证据，包括窃取的源代码和数据库。1 月 13 日 Kraken 宣布控制 Solaris 的基础设施、GitLab 库和所有项目源代码，“感谢源代码中的重大 bug。”Kraken 称它用了三天时间从 Solaris 服务器上窃取到明文密码和密钥，访问了位于芬兰的基础设施，然后下载了所有内容。它随后关闭了 Solaris 的比特币服务器。Kraken 也是亲克里姆林宫，这起事件应该与政治无关，而是出于商业动机。

微星主板的 BIOS 默认设置被发现不安全，允许任何操作系统镜像运行，不管它们有没有签名或者签名是错误的。逾 290 款微星主板受到影响。波兰安全研究员 Dawid Potocki 最早发现了该问题，他尝试联系了微星但没有收到任何回应。该问题影响英特尔或 AMD 处理器使用的微星主板使用的最新固件，甚至全新型号的微星主板。

安全公司 Avast 公布了免费的变脸（BianLian）勒索软件解密器。变脸勒索软件是在 2022 年 8 月出现的，主要针对媒体、娱乐、制造和医疗保健行业的目标，它用 Go 语言开发，硬编码了 1013 种文件扩展名，感染之后它会搜索系统中的这些扩展名用 AES-256 进行加密，加密后的文件扩展名为 .bianlian，然后留下一份勒索通知。Avast 公布的解密器主要针对现有的变种，如果出现变脸勒索软件的新变种，它可能无法解密。

出于安全担忧 Linux 准备禁用微软的 RNDIS 协议驱动。RNDIS 代表 Remote Network Driver Interface Specification，是一个私有协议，主要使用 USB 协议作为其下层传输，向上层提供虚拟的以太网连接。 除了 Windows，RNDIS 在跨平台环境中没有广泛使用，由于安全担忧，Linux 内核正寻求将 RNDIS 内核驱动转移到 BROKEN Kconfig 选项，因此它在未来的内核构建中将被禁用。在被标记为 BROKEN 一段时间之后，驱动将可能从上游源码树中删除。内核稳定分支维护者 Greg Kroah-Hartman 称，RNDIS 在设计上就是不安全的，因该协议不可能做到安全，禁用其驱动将防止任何人使用它。

过去两周，黑客利用 SugarCRM 系统的一个高危漏洞传播恶意程序控制服务器。漏洞是在 2022 年 12 月爆出的，当时没有补丁属于 0day，公开漏洞的人还发布了漏洞利用代码，称它是一个身份验证绕过加远程代码执行漏洞，这意味着攻击者不需要身份凭证就可以在存在漏洞的服务器上远程运行恶意代码。SugarCRM 官方在 1 月 5 日发布公告证实了该漏洞。提供网络监测服务的 Censys 安全研究人员周三报告，在其监测到的 3059 台 SugarCRM 服务器中有 354 台 SugarCRM 感染了恶意程序植入了后门。

微软本周二释出了一月份例行安全更新，共修复了 98 个漏洞，其中之一是正被利用的 0day。CVE-2023-21674- Windows Advanced Local Procedure Call (ALPC) Elevation of Privilege Vulnerability 是安全公司 Avast 研究人员报告的，是一个沙盒逃逸漏洞，能导致提权。成功利用该漏洞的攻击者能获得系统级权限，暂时不清楚攻击者如何利用该漏洞。98 个漏洞中有 39 个属于提权漏洞，33 个远程代码执行漏洞，10 个信息泄露和 10 个拒绝服务漏洞。

美国内政部在安全审计中发现，逾五分之一的密码可以用标准方法破解。审计人员获得了 85,944 名联邦雇员账户密码的哈希值，然后用包含 15 亿单词的字典进行暴力破解。结果成功破解了其中 18,174 个哈希值，占到了总数的 21%。其中 288 个账户具有高权限，362 个账户属于政府高级雇员。审计人员仅仅在 90 分钟内就破解了 16% 的哈希值。最常见的密码是 Password-1234，有 478 人使用；Br0nc0$2012，有 389 人使用；Password123$ | 318；Password1234 | 274；Summ3rSun2020! | 191；0rlando_0000 | 160；Password1234! | 150...

为丹麦央行以及该国金融业提供 IT 解决方案的 Bankdata 公司遭到了 DDoS 攻击，央行以及七家私人银行网站的访问受到干扰。DDoS 攻击通过将流量引导到目标网站以迫使其下线。丹麦央行的发言人表示，其网站周二下午访问正常，攻击没有影响到银行的其它系统或日常运作。Bankdata 的一位发言人表示，在受到 DDoS 攻击后，七家私人银行的网站访问周二短暂受限。受影响的银行包括丹麦最大的两家银行—— Jyske Bank 和 Sydbank。