據(jù)Cyber News 6月20日消息，云安全公司的研究表明，在針對云的網(wǎng)絡攻擊中，攻擊者能夠在短短兩分鐘內(nèi)發(fā)現(xiàn)配置錯誤和易受攻擊的資產(chǎn)，并立刻開始對其進行利用。Orca Security 為此進行了為期6個月的研究，在9個不同的云環(huán)境中設置了蜜罐，這些蜜罐旨在模擬錯誤配置的資源以吸引攻擊者，每個蜜罐都包含一個 AWS 密鑰。

隨后，Orca 密切監(jiān)視每個蜜罐，以觀察攻擊者是否以及何時會上鉤，目的是收集對最常見的目標云服務、攻擊者訪問公共或易于訪問的資源所需的時間，以及他們發(fā)現(xiàn)和利用泄露的數(shù)據(jù)所需的時間。

根據(jù)報告，GitHub、HTTP和SSH上暴露的敏感信息僅在5分鐘內(nèi)就被發(fā)現(xiàn)，AWS S3則在一小時內(nèi)被發(fā)現(xiàn)。Orca Security 云威脅研究團隊負責人 表示，雖然每種資源的策略有所不同，但研究清楚地表明如果，只要敏感信息被泄露，就會被攻擊者利用。

6 月中旬，國內(nèi)某新聞媒體披露上海商圈中一家星巴克點餐小程序過度索客戶信息，僅是點 1 杯咖啡，消費者至少被彈窗提示注冊會員 3 次，彈窗索要定位授權 2 次。對此，上海市網(wǎng)信辦、市市場監(jiān)管局共執(zhí)法人員指出上述問題涉嫌違反《個人信息保護法》的有關要求，已要求門店方按時參加約談，并將指導相關企業(yè)進一步整改。記者調(diào)查期間，顧客掃描星巴克前臺的二維碼時，頁面首先跳轉(zhuǎn)出現(xiàn)“掃碼入會 領券立減”整屏活動海報（這個無法直接關閉），當用戶點擊下方“領取”按鈕后，頁面又直接跳轉(zhuǎn)進入“微信用戶一鍵登錄”頁。

值得一提的是，此時需要用戶勾選同意相關隱私政策和綁定協(xié)議，做好這一切后，點擊“登錄”，頁面下方又彈窗索要手機號授權，顯示可用微信手機號一鍵綁定或者其他手機號快速注冊成為會員。一番操作下來，小程序這才跳轉(zhuǎn)出現(xiàn)堂食點單入口，本來一鍵點擊購買，付賬的流程，硬生生的被玩成了“關卡游戲”。

2023 年 6 月，俄烏軍事沖突來到僵持階段，雙方在熱武器層面的較量開始零敲碎打。但網(wǎng)絡空間戰(zhàn)場上，一方憑借自家網(wǎng)軍強大戰(zhàn)斗力，一方站在歐美網(wǎng)軍肩膀上，彼此之間角力愈發(fā)精彩，僅 2023 年就展開數(shù)十次交鋒。俄羅斯網(wǎng)軍建制化部署早、經(jīng)驗足，作戰(zhàn)能力尤為突出。雖然烏克蘭自身網(wǎng)絡戰(zhàn)實力不濟，但背靠歐美網(wǎng)軍，整個軍事沖突期間竟”不落下風“，其中歐美國家支持力度最大，”叫“的最響的當屬英國。俄烏軍事沖突中網(wǎng)絡戰(zhàn)戰(zhàn)略地位大大“刺激”了英國政府的敏感神經(jīng)，后者開始重新審視網(wǎng)絡戰(zhàn)在軍事沖突中的戰(zhàn)術地位。論及自身網(wǎng)絡戰(zhàn)實力，英國網(wǎng)軍雖”冠絕歐盟“，但相比中美俄則略顯“雞肋”。基于此，2022 年 12 月 15 日，英國當局發(fā)布 2022 年新版《國家網(wǎng)絡戰(zhàn)略》，相較前幾版又再次拔高對網(wǎng)絡空間的重視程度，力爭在《國家網(wǎng)絡戰(zhàn)略》加持下，建設一只足以改變戰(zhàn)爭格局，震懾其它國家的網(wǎng)軍。

根據(jù)“公安部網(wǎng)安局”微信公眾號發(fā)布的消息，2023年3月，浙江溫州公安網(wǎng)安部門在查處一起涉數(shù)據(jù)安全違法案件時發(fā)現(xiàn)問題。浙江某科技有限公司為浙江某縣級市政府部門開發(fā)運維信息管理系統(tǒng)的過程中，在未經(jīng)建設單位同意的情況下，將建設單位采集的敏感業(yè)務數(shù)據(jù)擅自上傳至租用的公有云服務器上，且未采取安全保護措施，造成了嚴重的數(shù)據(jù)泄露。浙江溫州公安機關根據(jù)《中華人民共和國數(shù)據(jù)安全法》第四十五條的規(guī)定，對公司及項目主管人員、直接責任人員分別作出罰款100萬元、8萬元、6萬元的行政處罰。針對建設單位失管失察、未履行數(shù)據(jù)安全保護職責的情況，當?shù)丶o委監(jiān)委依照《溫州市黨委（黨組）網(wǎng)絡安全工作責任制實施細則》規(guī)定，對建設單位主要負責同志、部門負責人等4人分別作出批評教育、誡勉談話和政務立案調(diào)查等追究問責決定。下一步，公安機關將持續(xù)貫徹落實《網(wǎng)絡安全法》等法律法規(guī)，全方位加強網(wǎng)絡安全監(jiān)督檢查。

據(jù)BleepingComputer 6月25日消息，堪稱經(jīng)典的《超級馬里奧 3：永遠的馬里奧》游戲正被網(wǎng)絡攻擊者植入惡意軟件，導致眾多玩家設備受到感染?！冻夞R里奧 3：永遠的馬里奧》游戲一經(jīng)推出便頗受歡迎，被認為是既保留了馬里奧系列的經(jīng)典機制，又具有更現(xiàn)代化的圖形、造型和聲音，目前已經(jīng)發(fā)布多個后續(xù)版本，修復了錯誤并進行了改進。但Cyble的研究人員發(fā)現(xiàn)，攻擊者正在分發(fā)安裝程序的修改樣本，并通過游戲論壇、社交媒體群組、惡意廣告等渠道進行分發(fā)。研究人員觀察到這些惡意游戲文件包含3個可執(zhí)行文件，其中1個用于安裝正常的游戲（“super-mario-forever-v702e.exe”），另外兩個“java.exe”和“atom.exe”則會被安裝到受害者的 AppData中的游戲安裝目錄，用來運行 XMR (Monero) 挖礦程序和 SupremeBot 挖礦客戶端。

近日，谷歌聲明將投入2000萬美元，用于在美國各地開設更多的網(wǎng)絡安全實踐診所，以幫助填補美國的網(wǎng)絡安全勞動力缺口，并在不斷變化的威脅面前保持領先地位。周四（6月22日），Alphabet和谷歌首席執(zhí)行官Sundar Pichai在華盛頓特區(qū)的一次活動上與美國網(wǎng)絡安全診所聯(lián)盟合作宣布了這一計劃。

Sundar Pichai表示：這筆資金將支持全美20所高等教育機構創(chuàng)建和擴大網(wǎng)絡安全診所。他還提到，人工智能是未來十年影響國家安全的最關鍵技術之一。這些免費診所將為學生提供更多的學習機會，就像法學院或醫(yī)學院在他們的社區(qū)提供免費診所一樣。他們不僅為學生提供學習和提高技能的機會，同時幫助保護醫(yī)院、學校和電網(wǎng)等關鍵基礎設施。聯(lián)合會表示，每個被選中的學院、大學或社區(qū)學院將獲得高達100萬美元的資金，以增加有興趣從事網(wǎng)絡安全職業(yè)的學生的機會。同時，實踐診所內(nèi)的導師將由具有行業(yè)專長的谷歌員工擔任。

近日，著名咨詢機構Verizon發(fā)布了《2023年數(shù)據(jù)泄露調(diào)查報告》。該報告對過去一年發(fā)生的16312起安全事件進行分析，以及世界各地的執(zhí)法、政府機構公開發(fā)布。據(jù)報告的數(shù)據(jù)顯示，74%的安全事件被證明存在人的因素，這意味著在過去一年時間里，企業(yè)員工正在屢屢出錯，包括錯誤使用權限、濫用特權、釣魚攻擊、身份泄露等等。這也反映出社會工程學的可怕，對網(wǎng)絡罪犯來說利潤豐厚。這就是為什么商業(yè)電子郵件入侵(BEC)攻擊幾乎翻了一番，如圖所示，在社會工程模式中占了50%以上的事件。在web應用程序的安全事件中，報告指出86%的攻擊涉及使用被盜證書，只有10%真正存在一個實際的軟件漏洞。事實上，濫用數(shù)字證書一直是網(wǎng)絡犯罪分子常用攻擊手法，其目的是讓提高惡意軟件的合法性，從而繞過企業(yè)的安全防護措施。在過去的一年中，超過32%的Log4j掃描活動發(fā)生在其發(fā)布后的30天內(nèi)。