每日安全资讯（2019.10.12）

1. TeamViewer据称“被入侵”事件的研判及结论
   2019年10月11日，火眼举办的FireEyeSummit大会上，几张演讲的PPT拍照被公开到网上，其中一张提及到一款非常流行的远程控制软件TeamViewer曾经疑似被黑客组织入侵，并称其可以访问安装了TeamViewer的任何系统。
   https://www.freebuf.com/articles/system/216444.html

2. 通过Uber API接口劫持任意Uber注册账户
   本文涉及的漏洞为Uber的任意账户劫持漏洞，漏洞影响Uber的司机、打车乘客(Rider)、第三方合作伙伴以及餐饮外送(Eats)注册账户，攻击者可通过一个Uber API接口获得用户注册账户的UUID，然后利用UUID通过另一Uber API接口发起请求，从其响应中获得与UUID对应账户的访问控制令牌(token)信息，从而实现账户劫持。
   https://www.freebuf.com/vuls/214425.html

3. 如何利用开源工具收集美国关键基础设施情报？
   如何通过开源情报对关键基础设施实施侦察。很多时候，可以从具体的建筑物如发电厂、废水池或化学和制造设施入手开展研究。本研究由美国被暴露的2.6万台设备组成。
   https://www.anquanke.com/post/id/188510

4. 受害者入侵黑客服务器，获取Muhstik解密密钥
   今年九月份以来Muhstik勒索病毒黑产团队通过入侵一些公开的QNAP NAS设备，使用Muhstik勒索病毒对设备上的文件进行加密，加密后的文件名后缀变为muhstik，如果要解密文件，需要受害者支付0.09BTC(约合700美)的赎金……
   https://www.anquanke.com/post/id/188460

5. XXE实战攻防
   XXE（XML External Entity Injection）即XML外部实体注入。漏洞是在对非安全的外部实体数据进行处理时引发的安全问题。
   https://xz.aliyun.com/t/6502

（信息来源于网络，溪边的墓志铭搜集整理）