FreeBuf周报 | 28.7 亿 Twitter 用户数据疑遭泄露；苹果被法国罚1.5亿欧元

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！

1. 甲骨文公司因涉数百万用户云数据泄露遭集体诉讼

美国德克萨斯州近日成为一场法律风暴的中心，针对甲骨文公司（Oracle Corporation）的大规模云数据泄露事件，当地法院已受理集体诉讼。这起于2025年3月31日向德克萨斯西区联邦地区法院提交的诉状指控甲骨文未能保护敏感信息，且未及时通知受影响用户。

2. 苹果警告三处正被活跃利用的零日漏洞

苹果公司发布紧急安全公告，披露编号为CVE-2025-24200、CVE-2025-24201和CVE-2025-24085的三处高危零日漏洞正被用于复杂网络攻击。这些漏洞影响iPhone、iPad、Mac等多款苹果设备，用户应立即更新系统以规避安全风险。

3. 疑似NSA网攻行动曝光：神秘零日漏洞利用链

卡巴斯基日前披露一起尖端的网攻行动，受害者点击定向钓鱼邮件中的链接，该页面暗藏零日漏洞利用代码，可远程绕过Chrome浏览器的沙盒保护机制，结合另一个未知漏洞即可实现远程代码执行，控制受害者的设备。

4. 苹果因应用追踪透明度问题被法国罚款1.5亿欧元

法国竞争监管机构Autorité de la concurrence以苹果公司滥用其在移动应用广告市场的主导地位为由，对其处以1.5亿欧元（约合人民币11.62亿元）罚款。监管机构认为，苹果通过应用追踪透明度（App Tracking Transparency，简称ATT）隐私框架实施了这一违规行为。

5. 零售巨头山姆会员店遭Clop勒索软件攻击，回应称正在调查

Sam's Club 正在调查有关其遭受了 Clop 恶意软件攻击的指控。沃尔玛部门在美国和波多黎各经营着超过600家会员制仓库俱乐部，拥有数百万会员。

6. 《中华人民共和国网络安全法（修正草案再次征求意见稿）》发布

根据《十四届全国人大常委会立法规划》，国家互联网信息办公室同相关部门进一步研究起草了《中华人民共和国网络安全法（修正草案再次征求意见稿）》，并向社会公开征求意见。

7. 英国政府修订网络安全法，首次将数据中心列为关键基础设施

英国政府发布网络安全与弹性政策声明，拟于今年修订《网络安全与弹性法案》，对接欧盟NIS2指令加强关键基础设施安全，扩大关基行业覆盖范围和提高关基网络安全事件上报标准。

8. 28.7 亿 Twitter 用户数据疑遭泄露，400GB 信息曝光

据报道，一场大规模的数据泄露事件可能成为有史以来最大的社交媒体数据泄露事件，此次事件曝光了约 28.7 亿个 Twitter （现称 X）用户账户的 400GB 数据。

9. 被武器化的谷歌广告攻击DeepSeek用户传播恶意软件

网络犯罪分子发起了一项复杂的攻击活动，利用谷歌的赞助搜索结果，针对搜索日益流行的AI平台DeepSeek的用户。该攻击使用了伪造的广告，这些广告出现在Google搜索结果的顶部，模仿合法的DeepSeek广告，但将受害者重定向到设计用于分发恶意软件的恶意网站。

10. CrushFTP 漏洞概念验证代码公开后遭攻击者利用

安全研究人员证实，在概念验证（PoC）利用代码公开后，针对CrushFTP关键身份验证绕过漏洞（CVE-2025-2825）的攻击尝试已经开始活跃。根据Shadowserver基金会最新监测数据，截至2025年3月30日，全球仍有约1512个未打补丁的实例处于暴露状态，其中北美地区占比最高（891台）。

1. Burp+Python 深度联动：AES加密数据自动化处理实战指南

在渗透测试中，遇到 API 数据采用 AES 加密传输的场景时，需通过脚本实现自动化解密。 

2. Windows应急响应实战技巧

为了有效应对Windows系统可能遭遇的安全事件，Windows应急响应指南显得至关重要。本指南旨在为安全从业者、系统管理员以及普通Windows用户提供应对紧急安全事件的基本思路和操作方法。遵循本指南的建议，可以在安全事件发生时迅速采取行动，最大限度地减少损失，恢复系统的正常运行，确保数据的安全性和完整性。

3. 二进制分析实战笔记（二）

第二部分主要介绍ELF的格式，ELF是Executable and Linkable Format的缩写，即可执行与可链接的文件格式的总称。ELF是UNIX系统常见的标准文件格式，如可执行文件、目标文件、共享库文件及core dumps文件。