据TechCrunch报道，日本科技巨头松下公司证实，黑客在11月的网络攻击中获取了属于求职者和实习生的个人信息，并泄露了4GB的数据，包括财务信息和电子邮件地址。该公司在11月26日首次确认了数据泄露事件，当时该公司无法说明黑客是否获取了任何敏感信息。松下公司的最新消息还证实，这次数据泄露事件--始于6月22日，止于11月3日，于11月11日被发现--看到黑客获得了由商业伙伴提供的包含未指明的“业务相关信息”的文件，以及有关商业伙伴人员的信息。

据澎湃新闻报道，上海市人民代表大会常务委员会发布公告，内容显示，《上海市反间谍安全防范条例》已由上海市第十五届人民代表大会常务委员会第三十八次会议于2021年12月29日通过，自2022年1月1日起施行。其中多个条款都强调要保证网络、通信、数据等领域的安全风险防范，第十七条第（三）明确要加强对涉密事项、场所、载体、数据、岗位和人员的日常安全防范管理；第十七条第（五）明确要按照反间谍技术安全防范标准,配备必要的设备、设施,落实有关技术安全防范措施。

名为All in One SEO的WordPress SEO优化插件含有一对安全漏洞，当这些漏洞组合成一个漏洞链进行利用时，可能会使网站面临着被接管的风险。有超过300万个网站在使用该插件。据Sucuri的研究人员称，那些拥有网站账户的攻击者如订阅者、购物账户持有人或会员可以利用这些漏洞，这些漏洞包括一个权限提升漏洞和一个SQL注入漏洞。研究人员表示，在默认情况下，新账户除了能够写评论外没有任何特权，由于某些漏洞的出现，如刚刚发现的漏洞，则允许这些订阅用户拥有比他们原定计划多。

法国监管机构国家信息与自由委员会（CNIL）6日宣布，分别对Facebook和谷歌处以1.5亿欧元和6000万欧元的罚款，理由是它们没有向用户提供拒绝cookie跟踪技术的简单选项，从而违反了欧盟的隐私规则。该机构表示，这些科技巨头网站（如facebook.com、google.fr 和 youtube.com）提供了一个允许用户立即接受cookies存放的按钮，但却没有提供也能同时让用户轻松拒绝cookies的选项。目前Facebook表示正在审查该裁决，而谷歌表示正在努力改变其做法以应对 CNIL 的罚款。

软件提供商Finalsite的发言人证实，该公司遭到勒索软件的攻击，影响了大约5000所学校的网站，其中约有4500所美国的学校受影响。据报道，Finalsite总部位于美国康涅狄格州。据该公司介绍，包括寄宿学校、高中和大学在内，全球约有8000所学校使用该公司的软件用于其网站和公共通信。除了Finalsite等通信平台外，在新冠疫情期间，勒索软件攻击还曾造成美国许多学校的远程学习被迫中断。据网络安全公司EMSIsoft称，在过去三年中，美国每年都有超过一千所K-12学校遭到勒索软件破坏。

研究人员近日发现，有攻击者针对安全研究人员和开发人员发起了一场复杂的恶意软件活动，分发恶意版本的 dnSpy .NET 应用程序，以安装加密货币窃取程序、Quasar远程访问木马和未知的payload。据介绍，dnSpy 是一种流行的调试器和 .NET 程序集编辑器，用于调试、修改和反编译 .NET 程序，网络安全研究人员在分析 .NET 恶意软件和软件时通常使用该程序。

1月9日，外媒报道，开源NPM库 colors 和faker 被其开发者破坏，已影响数千个项目。亚马逊云开发工具包(aws-cdk)等开源项目的用户发现，他们的应用程序在控制台打印出乱码，包括“LIBERTY LIBERTY LIBERTY”，以及一串非ASCII字符。最初，用户怀疑这些库已被攻击者劫持，但事实上，是它们背后的开发人员故意提交了一个恶意模块。据悉，开发人员此次恶作剧的目的是为了报复大型公司和商业消费者依赖免费软件但不回馈社区。

近日，微信安卓版发布 8.0.18 测试更新，此次更新中，微信对隐私权进一步明确，新增了个人信息收集清单、第三方信息共享清单选项。其中，在个人信息收集清单中，用户可以查阅微信对个人信息的收集情况，包括用户基本信息、设备属性信息、用户使用过程信息、联系人信息。

近日，JFrog 安全研究团队披露了H2 数据库控制台中的远程代码执行漏洞CVE-2021-42392，该漏洞与Apache Log4j RCE漏洞CVE-2021-44228漏洞的根本原因相同，即JNDI 远程类加载。H2 数据库被许多第三方框架使用，如Spring Boot、Play Framework 和 JHipster等。虽然CVE-2021-42392不像CVE-2021-44228那样普遍，但如果不及时修复，它仍然会对开发人员和生产系统产生巨大影响。

近日，美国联邦调查局（FBI）警告，网络犯罪集团FIN7正以美国国防企业为目标，邮寄包含恶意软件的U盘，以散发传播勒索软件。FBI称，黑客会冒充成亚马逊或美国卫生部（HHS），欺骗目标打开包裹，一旦攻击目标在设备上插入U盘，设备将被自动注册为人机接口设备（HID）。随后，系统将被植入BlackMatter或REvil等勒索软件。

近日，沃尔玛（中国）投资有限公司新增行政处罚信息。据悉，公安机关于2021年11月25日在工作中发现沃尔玛的网络系统，发现存在可利用的网络安全漏洞共十九项，未及时处置系统漏洞。其行为违反了《中华人民共和国网络安全法》，第二十五条、第五十九条第一款之规定，未及时处置系统漏洞的违法行为。深圳市公安局福田分局等依据相关规定决定给予沃尔玛（中国）投资有限公司警告的行政处罚，并责令改正。处罚日期为2021年12月。

数据公司Chainalysis研究显示，2021年共有140亿美元流入与犯罪者有关的加密钱包，较2020年增加了一倍多，创历史新高。盗窃和诈骗激增的推动下，与加密相关的犯罪造成的损失比去年同期增长了79%。

1月6日，据外媒报道，学校网站服务提供商FinalSite近日遭到了勒索攻击，攻击导致其全球数千家学校客户网站无法访问。作为一家SaaS提供商，FinalSite为全球115个国家的8000多所学校提供服务。最早在本周二，部分学校发现其网站无法访问，当时FinalSite并未透露其遭到攻击，只称是性能问题影响了Composer内容管理系统。直到中断三天后，FinalSite才证实其因遭到勒索攻击导致服务中断。目前尚不清楚是哪个勒索软件团伙对 FinalSite 进行了攻击，以及数据是否作为攻击的一部分被盗。

近日，美国联邦贸易委员会（FTC）发文称，未能保护客户数据免受 Log4Shell 漏洞影响的美国组织可能会面临法律后果。FTC 警告称，在 12 月首次被发现的严重漏洞正在被越来越多的攻击者利用，对数百万的消费者产品构成“严重风险”。公开信敦促各大组织解决该漏洞，以减少对消费者造成伤害的可能性并避免法律诉讼风险。

1月6日，据外媒报道，因未允许法国用户便捷地拒绝cookie跟踪，法国数据监管机构CNIL（法国国家信息与自由委员会）宣布，将对谷歌和Facebook分别处以1.5亿欧元（约合10.81亿人民币）和6000万欧元（约合4.32亿人民币）的罚款。CNIL表示，通过对Facebook.com、Google.fr和YouTube.com网站的在线调查发现，虽然两家网站均提供了允许用户“立即接受”cookie的按钮，但对于拒绝接受cookie的选择却不是同样的容易——用户需要多次点击才能拒绝所有cookie，而用户只需要点击一次就可以接受cookie。

据The Hacker News报道，网络安全研究人员揭秘了一个有组织的金融盗窃团伙Elephant Beetle，该团伙以交易处理系统为目标，从拉美地区的金融实体中窃取资金长达至少4年。其擅长在长期在不被发现的情况下运作，融入目标环境，耐心地研究目标金融系统，在常规活动中进行隐秘的欺诈交易，期间利用不少于80种独特的工具或脚本来执行攻击。

谷歌已在1月初推出了Chrome网络浏览器的第一轮更新，以修复37个安全问题，其中一个安全问题的严重程度被评为“严重”，可被利用来传递任意代码并控制受害者的系统。该漏洞编号为CVE-2022-0096，与存储组件中的释放后使用错误有关，该漏洞可能具有破坏性影响，从破坏有效数据到在受感染机器上执行恶意代码。

据bleepingcomputer报道，日本本田及旗下讴歌汽车受到Y2K22漏洞影响，导致导航系统时钟被重置为2002年1月1日，且目前无法调整至正确的时间。Y2K22漏洞几乎影响了所有旧车型，包括本田的Pilot、Odyssey、CRV、Ridgeline、Odyssey和讴歌的MDX、RDX、CSX以及TL车型。本田客服称，该问题将于2022年1月至8月解决。

1月6日，IDC发布2022年中国智慧城市十大预测，指出2022年中国智慧城市将聚焦云上创新、数据治理、数据链接和新型基础设施建设，协同发展推动城市数字化转型。核心基建的物联网安全预测中，IDC认为，到2025年，增加的边缘IoT设备将对城市的关键基础设施带来巨大的安全威胁，由此引发的网络攻击将增加一倍，使物联网安全保障成为城市管理方面的首要投资重点。

1月5日，中国交通运输协会发布《互联网货运平台安全运营规范》团体标准，这是中国首个互联网货运安全团体标准，将于2022年3月1日起正式实施。标准规定了互联网货运平台安全运营的总体要求、平台安全功能、驾驶员与车辆审核、驾驶员安全管理、安全运营、风险管理与隐患排查、应急与处置、网络与信息安全管理、安全事故事件投诉处理、绩效评定与改进等共计10个方面58项条款，明确了互联网货运平台企业的安全运营管理标准。