——更多安全资讯和情报，可关注微信公众号：安全帮——

1.微软奖励漏洞发现者1370万美元，为去年三倍

微软近日透露，目前已向安全研究人员奖励1370万美元，以奖励他们自去年7月以来举报微软软件漏洞的行为。该年度漏洞赏金总额远远超过谷歌因其软件安全漏洞所获得的奖金总额。据悉，微软的漏洞奖金是对研究软件漏洞的研究人员的最大财政奖励来源之一。研究人员将漏洞报告给相关供应商而非通过地下市场卖给网络犯罪分子。

参考来源：

https://mp.weixin.qq.com/s/Wg0Ygtq7TJK-0rMfbSUtCg

2.黑客可以远程劫持医疗Temi机器人

在上周四的美国黑帽大会上，McAfee的高级威胁研究（ATR）团队披露了对机器人的新研究，研究发现可远程利用的漏洞可能导致医院楼层的移动、音频和视频篡改。这款Temi机器人使用一系列传感器、人工智能和机器学习技术，以及现代语音激活和移动连接来执行包括个人协助任务、回答互联网查询和方便远程视频通话等功能。

参考来源：

https://www.zdnet.com/article/black-hat-healthcare-senior-living-temi-robots-can-be-hijacked-remotely-by-hackers/

3.美国娱乐公司IndieFlix超过9万份文件泄漏

CyberNews研究团队在可公开访问的Amazon Simple Storage（S3）服务器上发现了一个不安全的数据桶，其中包含超过9万份与IndieFlix流媒体服务相关的文件遭到泄露。泄漏内容包括机密的电影收购协议的扫描件和税号请求，电影制作人和数千名电影专业人士的联系方式，还有数千个视频文件。

参考来源：

https://mp.weixin.qq.com/s/N-jSKz8v3fbm7otOUK5d1A

4.下载量达数百万次的NodeJS 模块被曝代码注入漏洞

Node.js 模块中被指存在一个安全缺陷，可导致攻击者在服务器上执行拒绝服务攻击或者获得完整的远程 shell 访问权限。该漏洞的编号是 CVE-2020-7699，存在于npm 组件“express-fileupload”中,保守估计其在npm的下载量至少是730万次。只有启用“parseNested”选项的应用程序才易受该原型污染缺陷的影响。

参考来源：

https://mp.weixin.qq.com/s/A3xT8dEmFzIr6GYXJFGTgw

5.NCSC表示两个月内接到一百万封钓鱼邮件的报告

英国国家网络安全中心（NCSC）宣布，在启动“可疑电子邮件报告服务”的两个月内已经接到一百万份报告，涉及 3485 个恶意站点与 10200 个恶意 URL。数字显示，在公众报告网络钓鱼的一小时内制止了 10% 的骗局，一天之内制止了 40% 的骗局。这显示人们对垃圾邮件和钓鱼攻击开始保持警惕。

参考来源：

https://www.freebuf.com/news/others/243527.html

6.伊朗黑客组织在攻击中利用 DNS-over-HTTPS (DoH) 协议

伊朗黑客团体 Oilrig 成为已知首个在攻击中加入 DNS-over-HTTPS (DoH) 协议的组织。卡巴斯基的分析师发现从今年 5 月起该组织开始使用名为 DNSExfiltrator 的工具。这款应用能通过 DNS 请求来传输数据，能使用新的 DoH 协议。使用 DoH的理由一是它是新协议，不是所有安全产品能监视它；二是DoH默认加密，而 DNS则是明文请求。

参考来源：

https://www.solidot.org/story?sid=65149

7.美国宣布针对中国的净网行动

美国国务卿蓬佩奥(Mike Pompeo)宣布了美版净网行动，要求从电信运营商、应用商店、移动应用、云端和海底光缆五方面阻止中国访问美国公民和企业的敏感信息。蓬佩奥表示，美国正在阻止华为手机预装或在应用商店上架最受欢迎的美国应用，同时保护美国企业的敏感信息，以防止通过阿里巴巴和百度等公司运行的云计算系统获取这些信息。

参考来源：

https://www.solidot.org/story?sid=65159