VPN漏洞，特别是Fortinet的CVE-2018-13379和CVE-2022-40684，成为网络犯罪的主要目标，导致敏感数据泄露。组织应优先修补这些漏洞，并实施多因素身份验证和持续监控，以降低风险。

研究人员发现攻击者可以通过利用身份验证流程中的漏洞绕过多因素身份验证（MFA），即使启用MFA也能未经授权访问账户。攻击者通过操纵身份验证响应数据伪装成已完成验证，导致安全团队难以检测。专家建议持续验证MFA状态并关注异常账户活动。

博通将于2025年1月21日切换身份验证系统，所有用户需重新设置密码并配置多因素身份验证，包括已注册的VMware账户。企业用户需特别关注以增强账户安全。如遇问题，可使用自助服务机器人或联系客服。

攻击者利用微软Teams进行社会工程，诱导受害者下载AnyDesk以远程访问系统，并传播DarkGate恶意软件。安全专家建议启用多因素身份验证和审核第三方支持以防范此类攻击。

微软修复了多因素身份验证中的严重漏洞，该漏洞允许攻击者在短时间内进行100万次登录尝试而不被警告。此漏洞于6月被发现，9月已修复，修复措施包括加强速率限制。

研究人员警告，恶意邮件活动利用Rockstar 2FA工具包窃取Microsoft 365用户凭证。该工具包通过中间对手攻击，即使启用多因素身份验证的用户也易受攻击，具备多种钓鱼功能，支持大规模攻击。

本周「FreeBuf周报」总结了安全热点，包括谷歌AI首次发现0Day漏洞、谷歌云强制多因素身份验证、EA用户账号泄露等事件，以及相关工具和文章推荐。

谷歌公司宣布到2025年底将强制所有谷歌云账户启用多因素身份验证（MFA），以提升安全性。该措施将分阶段实施，11月开始鼓励用户使用MFA，2025年初通知仅用密码登录的用户，最终在2025年底前所有用户必须启用MFA。谷歌指出，MFA能显著降低黑客攻击风险，但仍需注意其局限性。

以色列Hudson Rock公司发现一个包含3.5亿条Hot Topic顾客数据的数据库在暗网上出售，数据包括个人信息和支付细节，可能源于网络攻击。Hot Topic尚未确认泄露，但证据显示这是零售行业的重大事件，可能导致身份盗窃和金融欺诈。数据泄露可能因员工计算机感染木马及缺乏多因素身份验证所致。

本文深入研究了Laravel身份验证系统，改进并添加了多因素身份验证。了解了Laravel密码哈希的工作原理，以及如何提高密码安全性。

本文介绍了AWS Identity and Access Management (IAM)的重要性和核心概念，以及实施IAM最佳实践的步骤，包括设置IAM用户和组、定义和附加IAM策略、实施IAM角色、启用多因素身份验证(MFA)以及监控和审计IAM活动。文章还提到了使用IAM的学习经验和面临的挑战。

澳大利亚网络安全中心发出警告，称信息窃取恶意软件不断升级，通过网络钓鱼、恶意广告等方式分发，窃取敏感数据并导致企业遭受严重后果。建议企业采取多因素身份验证、安全意识培训、设备管理和网络监控等措施降低风险。

随着互联网发展，无密码身份验证技术逐渐兴起，通过生物特征识别、多因素身份验证、硬件密钥和行为分析等方式提高了安全性和便捷性。微软、谷歌、苹果等公司已应用无密码登录解决方案，未来将成为主流趋势，应用于金融、医疗、教育等领域。

攻击者利用人工智能照片编辑器诱骗Facebook用户窃取凭据信息。滥用付费促销活动引诱用户下载恶意软件。活动在Windows和macOS上产生大量下载。研究人员建议用户更新密码、启用多因素身份验证并提高对社交媒体威胁的意识。

根据谷歌Mandiant发布的报告，Snowflake的客户数据泄露事件已影响约165家机构，漏洞源于被泄露的客户凭据，许多凭据未启用多因素身份验证。受影响的知名企业包括Ticketmaster、Advance Auto Parts、Santander。攻击者利用窃取的凭证获取访问权限，受影响的账户未及时更新凭证。威胁组织总部位于北美，另有一名成员在土耳其。

黑客组织FIN7对美国一家大型汽车制造商的IT部门进行了鱼叉式网络钓鱼攻击，利用虚假链接和恶意文件感染系统。黑莓公司建议企业提供网络钓鱼安全培训和多因素身份验证等基础防御措施，以应对不断变化的网络钓鱼攻击威胁。

日产大洋洲公司在2023年12月遭受Akira勒索软件网络攻击，导致10万人数据泄露。日产将通知受影响客户，并提供免费信用监控和政府身份证报销服务。建议客户保持警惕，启用多因素身份验证和定期更新密码。