据外媒15日报道，经Cybernews研究团队发现，西门子Metaverse暴露了企业敏感数据，包括企业办公计划和物联网（IoT）设备，如果攻击者获得了暴露数据，可能会对该企业和其他使用其服务的企业造成威胁，其中包括勒索软件攻击。西门子表示，该问题并不重要，并补充说它已经得到了缓解。

近日，数据治理安全企业霍因科技完成新一轮战略融资，投资方为合肥高投国有资本，航行资本担任本轮独家财务顾问。目前，公司已累计完成数千万元融资。本轮融资完成后，霍因科技将加大投入和加速对数据安全底座建设的前沿技术研发、产品技术升级和高端人才储备等方面。同时，公司将全面布局市场，努力提高行业领先地位。

4月14日，《商用密码管理条例(修订草案》》在国务院常务会议上审议通过。会议指出，近年来，商密应用愈发广泛，在保障网络和信息安全、维护公民和法人权益方面的重要性日益凸显。要全面贯彻总体国家安全观，进一步规范商密应用和管理，督促平台企业依法履行用户密码保护责任，确保个人隐私、商业秘密和政府敏感数据的安全。要更好顺应数字经济快速发展趋势，建立健全商密科技创新促进机制，推动商密科技成果转化和产业化应用，促进商密市场持续健康发展。

4月14日-4月16日，2022第三届“网鼎杯”网络安全大赛暨数字未来网络安全大会在杭州举办，经历前期遴选，全国2000名网安精英共赴现场展开半决赛与决赛角逐。据悉，本届大赛在“数字未来，共同守护”主题之上，提出“共同防御”理念，号召各各领域履行网络安全责任义务，夯实网络安全“联防联控”基础，携手共建网络空间命运共同体。作为大赛重要组成部分，数字未来网络安全大会将于16日开幕，将围绕技术创新、产业发展和人才培养等话题探讨数字时代网络安全建设与未来发展。

14日，由中国网络安全产业联盟（CCIA）及悬镜安全联合举办的“CCIA技术沙龙——数字供应链安全治理与实践”研讨会在京召开。研讨会旨在推动数字化转型下的数字供应链安全治理能力建设，围绕如何应对新形势下数字供应链安全面临的威胁与挑战问题展开探讨。

13日， SentinelLabs披露，APT36（Transparent Tribe）针对印度教育行业展开攻击活动。攻击者利用武器化的Microsoft Office文档，通过恶意宏或OLE嵌入技术来分发Crimson RAT。研究人员观察到各种Crimson RAT .NET的实现，编译时间在2022年7月至9月之间。其功能包括窃取系统信息、捕获屏幕截图、启动和停止进程以及列举文件和驱动器。Crimson RAT变体实现了不同强度的混淆技术，例如，简单的函数名称畸变和动态字符串解析。

据外媒12日报道，金融科技公司NorthOne Bank数据库配置错误，泄露超100万条财务记录。数据库中公开的PDF文件包括使用应用程序支付产品和服务的个人和企业的发票。涉及姓名、地址和电话号码等，还包括有关付款用途、总金额和到期日的注释，有些甚至包含税号等税务信息。目前，尚不清楚这些记录泄露持续时间。

据外媒12日报道，京瓷（Kyocera）修复其Android打印应用中传播恶意软件的漏洞CVE-2023-25954。该漏洞影响了KYOCERA Mobile Print、UTAX TA Mobile Print和Olivetti Mobile Print。这些应用程序允许从恶意第三方移动应用传输数据，可下载恶意payload。同时，通过使用京瓷移动打印应用的浏览器功能，可访问恶意网站并下载和执行恶意文件，导致移动设备信息泄露。

当地时间13日，美国司法部长梅里克·加兰宣布，马萨诸塞州空军国民警卫队成员杰克·特谢拉因“涉嫌授权删除、保留和传输机密国防信息”而被逮捕。据悉，该嫌疑人负责管理一小型在线游戏聊天群。在过去几个月里，该群泄露了大量美国机密情报文件。

据外媒报道，Kodi披露一起数据泄露事件，称黑客已窃取其包含用户数据和私人消息的MyBB论坛数据库，并试图在线出售。现已关闭的Kodi论坛拥有约40万名成员。MyBB管理日志显示，管理团队中一名不活跃成员的账户先后两次访问MyBB管理控制台，该账户被用来创建数据库备份，然后下载和删除，它还下载了现有的数据库的夜间完整备份。Kodi团队证实，账户所有者没有执行这些活动，表明该帐户的凭据很可能被盗。

12日，据安全公司Cloudflare称，2023年第一季度的超容量DDoS攻击已从依赖受感染的物联网设备转变为利用被破坏的虚拟专用服务器（VPS）。新一代僵尸网络逐渐放弃构建大量单独薄弱物联网设备的策略，现在正转向使用泄露的API凭据或已知漏洞利用易受攻击和配置错误的VPS服务器。这种方法可帮助威胁行为体更轻松、更快速地构建高性能僵尸网络，其强度比基于物联网的僵尸网络高出5000倍。

近日，网络安全公司Sucuri发现了影响至少100万个WordPress网站的活动，最早可追溯到2017年，安全专家将其命名为Balad Injector。据悉，Balada Injector攻击浪潮大约每个月发生一次，每次攻击都使用新注册域名以逃避阻止列表。Balada Injector的脚本专注于从wp-config.php文件中窃取数据库凭据等敏感信息，因此即使网站所有者清除感染并修补附加组件，攻击者仍会保留他们的访问权限。

据外媒报道，网络新闻研究小组调查发现，巴西沃尔沃汽车零售商Dimas Volvo在近一年时间里持续通过其网站泄露敏感信息，不仅包括数据库认证信息，还包括MySQL和Redis数据库主机、开放端口和证书信息等。这些信息可能会被不法分子用于劫持官方通信渠道或者直接入侵公司的系统。目前，据Dimas Volvo和负责沃尔沃总部数据保护的相关官员称，该信息泄漏问题已得到妥善解决。

13日消息，美国网络司令部申请8940万美元（约合人民币6.14亿元）预算，计划在2024财年建设一个关键的进攻性网络平台——联合通用访问平台（Joint Common Access Platform，JCAP）。这是该部门首次公开此类项目的预算数目。美国网络司令部在预算申请中指出，JCAP可提供一个受保护、被托管、已编排的环境与通用网络火力平台，支持网络司令部协调和执行对已获批网络目标的网络行动。这种能力使网络任务部队有能力在处理检测和归因工作的同时执行作战行动。

近日，以“数密融合，安如泰山”为主题的商用密码应用发展论坛在重庆举行。论坛上，重庆移动、重庆航天信息有限公司、中国信息通信研究院西部分院联合宣布信息安全（密码）公共服务平台正式上线。据悉，该平台基于密码云平台打造而成，形成了一种全新的密码全功能交付模式，可为云端业务、PC端业务、移动端业务、物联网业务等提供全面数据安全防护。同时，还可对国计民生相关的关键信息基础设施安全态势进行整体监测与关注，对平台进行安全监控、对安全风险智能预警。

13日，美创科技在京召开发布会，发布了全新数据安全新架构——“韧性”数据安全体系。据美创科技CTO周杰介绍，打造“韧性”数据安全防护体系，可以帮助客户实现对复杂系统的可见性，快速的感知、干预和恢复，从而让数据在遭受威胁的时候能够快速响应以及攻击发生后的快速恢复，同时通过适应性进化来持续保障身份和资产全生命周期的安全。

13日下午，由第三方调研咨询机构数世咨询等多家安全厂商联合发起的2023CAS持续应用安全大会在北京举行。数世咨询创始人李少鹏表示，CAS持续应用安全是基于我国软件供应链安全现状所诞生的一种解决方案，是DevSecOps理念框架在我国商业市场的落地实践，致力于解决敏捷性思想在数字时代提出的安全保障需求。据悉，为实现持续应用安全，数世咨询还发起持续应用安全技术共同体，多家安全厂商已加入其中，共享自身安全能力模块与对应领域的创新产品。

据外媒12日报道，拜登·哈里斯政府宣布了旨在保护美国妇女的生育数据的新措施，许多隐私倡导者支持这一行动。据悉，当涉及妇女电子健康记录安全时，新提议的隐私保障措施将防止执法部门获得数据，以利用它来调查或起诉寻求、协助或进行堕胎的个人。这项措施旨在加强美国《健康保险可携性和责任法案》（HIPAA）。据悉，该措施还将加强患者、提供者的保密性，并帮助医疗保健提供者向患者提供完整和准确的信息。

据媒体12日消息，美国网络安全和基础设施安全局（CISA）发布《零信任成熟度模型》第二版，对跨多个关键支柱（包括身份、网络、工作负载及数据等）的联邦机构实施指南进行了更新。此外，新版本不再只是临时文件，其更新了长期目标——支持联邦机构设计和实施零信任架构转型计划，并与白宫管理与预算办公室（OMB）M-22-09“推动美国政府迈向零信任网络安全原则”备忘录保持一致。

12日，中国外交部发言人汪文斌主持例行记者会。针对11日中国网络安全产业联盟发布报告，中方对此作何评论问题。汪文斌表示，多项事实表明美国是网络战的始作俑者、先进网络武器的最大扩散方、全球最大的网络窃密者。维护网络安全是国际社会的共同责任。网络空间不应是各国角力的战场，更不应成为分裂国际社会和打压遏制别国的工具。阻止美国无法无天的网络窃密行为，揭穿美国在网络安全问题上的虚伪嘴脸，符合国际社会共同利益。