Adobe 周日推出了补丁，以包含一个影响其 Commerce 和 Magento 开源产品的关键安全漏洞，据称该产品正被广泛利用。被跟踪为CVE-2022-24086的缺陷在漏洞评分系统上的 CVSS 得分为 9.8 分（满分 10 分），并且被描述为“不正确的输入验证”问题，可以武器化以实现任意代码执行。该漏洞影响 Adob​​e Commerce 和 Magento Open Source 2.4.3-p1 及更早版本以及 2.3.7-p2 及更早版本。Adobe Commerce 2.3.3 及更低版本不易受到攻击。

Apple 日前发布了安全更新，以修复一个新的0Day漏洞，该漏洞已被攻击者在野外利用入侵 iPhone、iPad 和 Mac。该漏洞编号为 CVE-2022-22620，成功利用此漏洞允许攻击者在处理恶意制作的 Web 内容后，在运行易受攻击版本的 iOS 和 iPadOS 的 iPhone 和 iPad 上执行任意代码。苹果公司称，已关注到有媒体报道该漏洞正在被攻击者利用，受该漏洞影响设备范围非常广泛，尽管此零日漏洞可能仅用于有针对性的攻击，但仍强烈建议尽快安装更新以阻止潜在的攻击尝试。

美国联邦调查局近日报告称，美国公民在 2021 年因 SIM 卡交换攻击损失了超过 6800 万美元，自 2018 年以来的投诉数量和相关损失增加了近五倍。 2018 年，FBI 互联网犯罪投诉中心 (IC3) 收到了 1,611 起 SIM 卡交换攻击的投诉，而 2018 年至 2002 年期间的投诉数量为 320 起，造成总计 1200 万美元的损失。

近日，加拿大男子Sebastian Vachon-Desjardins因参与NetWalker勒索攻击，被判处6年零八个月监禁。据悉，美国联邦调查局FBI在连接Desjardins在XSS.is上注册的电子邮件账户之后发现了他的真实身份，他利用黑客论坛在线活动(搜索和电子邮件)与各种在线服务(包括MEGA和ZoomInfo)上传从受害者网络窃取的文件，并找到受害者的财务信息。该案法官表示，尽管Desjardins到案后有帮助受害者追回损失并配合调查的行为，但由于他在这些案件中都发挥了“主导作用”，因此做出该判决。

2月10日，法国监管机构 CNIL 表示，根据欧盟《通用数据保护条例》（GDPR），在针对一家法国公司网站的调查中发现，谷歌旗下的谷歌分析服务在数据传输时没有采取足够的措施保障数据隐私权，有可能导致美国情报机构访问法国网站用户的数据。谷歌拒绝就 CNIL 的决定发表评论。该公司此前曾表示，谷歌分析不会跟踪互联网用户，使用该工具的企业或组织可以完全控制他们所收集的数据。

据工信部网站2月10日消息，工信部再次公开征求对《工业和信息化领域数据安全管理办法（试行）》的意见。意见稿指出，工业和信息化领域数据处理者应当对数据处理活动负安全主体责任，对各类数据实行分级防护，不同级别数据同时被处理且难以分别采取保护措施的，应当按照其中级别最高的要求实施保护，确保数据持续处于有效保护和合法利用的状态。

2月9日，Kaspersky发布了2021年垃圾邮件和钓鱼活动的报告。报告指出，在2021年，56%的电子邮件是垃圾邮件；最多的垃圾邮件来自俄罗斯（24.77%），其次是德国（14.12%）；西班牙遭到的恶意邮件攻击最多，为9.32%，其次是俄罗斯（6.33%）；遭到钓鱼攻击最多的国家是巴西（12.39%），其次是法国（12.21%）；附件中最常见的恶意软件家族是Agensla木马。

据外媒报道，勒索软件Maze、Egregor和Sekhmet的主解密密钥已被公开。一个名为“Topleak”的用户在BleepingComputer论坛上发布了一个7zip文件的下载链接，其中包含 Maze、Egregor和Sekhmet解密密钥，以及勒索团伙使用的恶意软件“M0yv”的源代码。他声称自己是这3个恶意软件的开发者，并表示这是一次有计划的公开，与近期的执法行动无关。

近期，加拿大男子Sebastian Vachon-Desjardins因参与NetWalker勒索攻击，被判处6年零八个月监禁。美国联邦调查局（FBI）连接Desjardins在XSS.is上注册的电子邮件账户之后发现了他的真实身份。他利用黑客论坛在线活动与各种在线服务上传从受害者网络窃取的文件，并找到受害者的财务信息。Desjardins参与的攻击导致了数百万美元的损失， 2020年5月至2021年1月期间，Desjardins入侵了至少17个企业以及个人数据库，劫持数据以换取赎金，在没有支付赎金的情况下公开被盗数据。

俄罗斯的主要权利人和互联网公司已经签署了一项新的合作备忘录，旨在使盗版电影、电视节目和其他内容更难找到。除了在数小时内自动删除被举报的侵权链接外，搜索引擎还同意将所有带有100个或更多侵权内容链接的域名完全删除。

据外媒报道，调查站NordSecurity发布了最新《2021世界密码排行》，蝉联两年第一名的“123456”果然喜闻乐见全世界的小伙伴都爱用。TOP5的密码为，123456、12345678、12345、qwerty、password。

近日，广东省政务服务数据管理局发布《广东省公共数据安全管理办法（征求意见稿）》，明确公共管理和服务机构是本机构公共数据安全管理的责任主体，工作内容包括：明确公共数据安全管理的目标、制度、数据安全责任人和管理机构；按照相关法律、法规、规章的要求编制本机构的公共数据资源目录，加强数据保护；采取措施保障公共数据安全，加强安全管理；法律、法规、规章规定的其他公共数据安全管理职责。

2月10日消息，Google称默认启用双因素认证（2FA）减少了一半的账号入侵。Google是从去年底开始对1.5亿有“合适配置”的用户账号默认启用2FA。所谓“合适配置”是指用户已经有账号的恢复信息，如手机号码或额外的电邮。Google表示将会在2022年继续推广2FA，并从3月起让用户选择加入一个账户级的安全浏览选项，不让用户访问已知的恶意网站。

美国司法部发布公告称，查获了据称与2016年Bitfinex黑客攻击有关的被盗比特币。作为行动的一部分，当局拘留了一对纽约夫妇，34岁的伊利亚·利希滕斯坦和他妻子，指控他们试图清洗从Bitfinex平台窃取的119754比特币的收益，据悉，两人的罪名是涉嫌串谋洗钱加密货币，该加密货币于2016年在虚拟货币交易所Bitfinex的黑客攻击中被盗，目前价值约45亿美元。到目前为止，执法部门已经查获了超过36亿美元的与该黑客行为相关的9.4万个BTC，这也是该部门有史以来最大规模的金融扣押。

据路透社、bleepingcomputer等多家媒体爆料称，葡萄牙最大的电信公司之一沃达丰葡萄牙公司遭受网络攻击，导致其全国网络服务中断，包括4G 5G数据网络、短信和电视服务中断。网络攻击始于本周二凌晨，沃达丰称该事件是“蓄意和恶意攻击，旨在造成损害”。沃达丰表示，周一晚间的攻击影响了该公司的4G和5G服务、固网和短信服务以及数字和语音客户服务，一些自动取款机也短暂停止工作。

2月9日，国内网络安全厂商亚信安全科技股份有限公司正式登陆科创板，证券代码为688225。亚信安全成立于2014年11月，长期重视并坚持研发创新，为用户提供包括数字信任及身份安全产品体系、云网边安全产品体系、端点安全产品体系、网络安全服务、云网虚拟化基础软件在内的网络安全产品及服务。 目前其客户广泛分布于电信运营商、金融、政府部委、能源电力等行业领域。

据中国人民银行官方消息，中国人民银行、市场监管总局、银保监会、证监会4部门印发《金融标准化“十四五”发展规划》。其中提到，强化金融网络安全标准防护。健全金融业网络安全与数据安全标准体系。建立健全金融业关键信息基础设施保护标准体系，支持提升安全防护能力。加强金融网络安全能力评估、风险排查、安全防御、漏洞管理等标准建设，助力提升网络安全威胁发现、监测预警、应急处置、攻击溯源能力。

近日，美国商业服务公司Morley Companies发布信息称，其在2021年8月遭勒索软件攻击，大量的文件和数据在该事件中被加密，而此前攻击者已经窃取了大量的用户数据。Morley在第三方网络安全公司的帮助下对该事件进行调查，调查显示，攻击者窃取了521046用户的个人信息，涉及企业员工、关联合作商和客户。该公司表示，目前尚不清楚，也没有任何证据表明，这些泄露的信息被攻击者滥用。

近日，上海市首份《企业数据合规指引》（下称《指引》）正式出台。据悉，《指引》由上海市杨浦区检察院联合市信息服务业行业协会、市数据合规与安全产业发展专家工作组、区工商业联合会制定发布，目的是为了促进和保障城市数字经济“在发展中规范、在规范中发展”。《指引》鼓励各类所有制企业建立专门的数据合规管理部，不得强制个人同意收集人脸、步态、指纹、虹膜、声纹等生物特征信息。

最近谷歌云宣布了一项新的安全功能，旨在追捕加密劫持实例。谷歌表示，虚拟机威胁检测 (VMTD) 的公开预览版现已在安全指挥中心(SCC) 中提供。SCC 是一个通过扫描安全漏洞和错误配置来检测针对云资产的威胁的平台。 用户可以选择通过在 SCC 设置中启用 VMTD 来试用它。该服务是可选的，客户可以选择扫描仪的范围。分析认为，云环境是寻找有价值数据的网络攻击者以及那些打算执行加密货币挖掘恶意软件的主要目标，该程序将为用户提高云上资产的安全性。