Muthu因游戏账号被黑而接触网络安全，成为知名白帽黑客。经过两年挫折，他首次获得赏金，并在微软发现高额漏洞。他强调学习的重要性和用户视角，鼓励新手坚持目标，利用工具提高效率。

白帽黑客TinyHack通过租赁GPU算力，历时约20天成功破解Akira勒索软件加密的Linux/ESXi系统数据，成本为1200美元。该勒索软件存在加密缺陷，TinyHack利用暴力破解和漏洞发现恢复了数据。

本周「FreeBuf周报」总结了网络安全热点：勒索软件攻击激增126%；NTT数据泄露影响1.8万企业；微软揭露恶意广告攻击；Python库存在严重漏洞；谷歌支付白帽近1800万美元；APT组织针对海事与核能领域发起攻击；攻击者利用MFA漏洞；AI伪造GitHub仓库窃取数据；XCSSET恶意软件新变种攻击macOS用户；钓鱼邮件伪装微软Copilot。

自漏洞悬赏计划启动以来，谷歌已支付超过6500万美元。2024年，谷歌向600名安全研究人员支付180万美元，最高奖励提升至30万美元。滥用漏洞奖励计划的支付增长了40%，累计支付29万美元。

1月22日，Pwn2Own Automotive 2025在东京举行，首日白帽黑客利用16个零日漏洞，奖金超过38万美元，比赛强调汽车网络安全的重要性，持续至1月24日。

随着网络安全攻防演练的常态化，企业对红队资源的需求不断增加，但优秀红队人才稀缺。斗象科技通过“漏洞盒子”平台，汇聚14万多名白帽专家，组建“白帽全明星红队”，提供高效的攻防演练服务，帮助企业提升安全水平。

2024年11月9日，赛力斯集团与FreeBuf举办网络安全沙龙，聚焦智能网联汽车安全，讨论漏洞、内生安全及防护策略。多位专家分享经验，强调网络安全对智能汽车行业的重要性，并呼吁社会关注。赛力斯还推出漏洞奖励计划，旨在提升行业安全水平。

俄罗斯计划为白帽黑客设定漏洞奖金标准，以吸引更多安全研究人员参与政府系统的漏洞研究。该计划旨在解决奖金过低的问题，奖金金额可达30,000至1,000,000卢布，尽管仍低于大型科技公司，但本土研究人员对此表示欢迎。

德国司法部正在起草新法律，以保护白帽黑客和安全研究人员，允许他们在进行安全研究时免于刑事责任，从而消除发现漏洞时的法律风险，确保安全问题能够安全报告。

美国网络机构表示选举未受重大威胁，国际刑警摧毁22000个网络犯罪IP，OWASP发布AI安全指南。黑客在Pwn2Own竞赛中获百万奖金，德国计划合法化白帽黑客，加拿大逮捕盗取公司数据的黑客，施耐德电气遭遇勒索攻击。

FCIS 2024网络安全创新峰会正在为即将在上海举行的会议征集主题。峰会将讨论热门安全话题、产品趋势等。活动还将包括WitAwards 2024中国网络安全创新年度奖。会议的演讲者将获得VIP门票、旅行和住宿，以及BugBox白帽派对的邀请。

英国人才中介数据泄露，数万零工工人的护照和签证信息被公开。肯尼亚呼吁加强网络安全投资，保护储蓄和信贷合作社免受网络威胁。美国西雅图学区遭网络攻击，上万学生停课两天。新加坡提出立法禁止选举中使用Deepfake。62款知名App完成个人信息收集使用合规整改。

中秋活动：盒子白帽限时兑换京东购物卡，提交漏洞可获得碎片奖励。SRC专属奖励：乐信和联想安全应急响应中心活动期间双倍奖励。

本周物联网漏洞激增、欧盟政党遭受DDoS攻击、苹果Vision Pro特有漏洞、谷歌EmailGPT曝零日漏洞、头部旅游类App乱象。安全事件有《纽约时报》泄露270G数据、云存储提供商Snowflake数据泄露、Netgear WNR614 N300路由器曝安全漏洞、边缘服务和基础安全设备脆弱性曝光、Pixel设备曝零日漏洞。好文包括商业间谍软件市场增长、苹果AI的新选择、科大讯飞SAST产品技术选型实践。省心工具有VirtFuzz、SwaggerSpy和Dorkish。

苹果公司更新了Vision Pro虚拟现实头盔的操作系统visionOS 1.2版本，修复了多个漏洞，包括CVE-2024-27812。漏洞可能导致任意代码执行、信息泄露、权限升级和拒绝服务。此前Vision Pro存在内核漏洞，可能被用来创建恶意软件或越狱。苹果公司强烈警告用户不要修改visionOS软件，以免导致服务中断和安全问题。