谷歌警告未知黑客正在利用最近披露的 4 个安卓漏洞执行恶意代码完整控制设备。这四个漏洞是在 5 月 3 日披露的，谷歌已经向安卓厂商释出了安全更新，由后者负责将补丁推送给用户。谷歌Project Zero的安全研究员 Maddie Stone 将这四个正利用的漏洞称为 0day，成功利用漏洞允许完整控制受害者的手机。今年至今安卓系统发现了 4 个 0day，相比下去年只发现 1 个。

卡巴斯基警告称，一款被叫做 Bizarro 的新网银木马，正在窃取欧洲和南美地区数十家银行客户的详细财务信息和加密货币钱包。据称，木马最初起源于南美，但现在它已波及到包括阿根廷、智利、德国、西班牙、葡萄牙、法国和意大利等地的 70 多家不同的银行客户。

据外媒 BleepingComputer 5月24日报道，Python 的官方软件库 PyPI 正遭受黑客攻击。黑客利用垃圾软件包的形式发起洪水攻击，而这些软件包均采用来自 BT 种子或者其他在线盗版内容的电影名称命名，部分名称还包括年份、在线、免费等字样。

据外媒 报道，印度航空官网发布消息称，该公司大约 450 万名客户的数据遭黑客窃取，黑客窃取的数据包括乘客的姓名、信用卡信息、出生日期、联系信息、护照信息、机票信息。印度航空在声明中表示，在乘客服务系统（PSS）被黑客攻击两个月后公司才确认的这次泄漏的具体信息。这次攻击使公司损失了过去十年（2011 年 8 月 26 日至 2021 年 2 月 3 日）注册的乘客的数据。

5月20日，Check Point发布的一份分析报告表示，23个Android应用程序中的错误配置泄漏了超过1亿用户的敏感数据，泄露的数据包括电子邮件、电话号码、聊天消息、位置、密码、备份、浏览器历史记录和照片溢出等。Check Point指出，只有少数应用程序更改了错误配置，这意味着其他应用程序的用户仍然容易受到欺诈和身份盗窃等潜在威胁的影响。

近期，针对人民群众反映强烈的App非法获取、超范围收集、过度索权等侵害个人信息的现象，国家互联网信息办公室依据相关法律和有关规定，组织对短视频、浏览器、求职招聘等常见类型公众大量使用的部分App的个人信息收集使用情况进行了检测，包括抖音、快手、领英、百度、360浏览器等105款APP存在收集与其提供的服务无关的个人信息或未经用户同意收集使用个人信息。

据外媒报道，近日，保险公司One Call遭DarkSide勒索软件攻击，攻击者要求One Call支付1500万英镑，否者将公开数据，包括所有客户数据，例如密码和银行详细信息。One Call在上周的新闻稿众称已经关闭了其业务。

5月21日，由杭州余杭区数字经济协会指导、杭州虎符网络主办的零信任落地探索研讨会在杭州举办，会议期间，由业界大牛王伟创办的杭州虎符网络发布重磅新品虎盾ZRA。据悉，虎盾ZRA为下一代零信任远程访问系统，可为企业架设一层以身份为边界的逻辑私有网络，实现自身服务隐身、人员身份明确、可信设备防御、动态评估授权四大安全目标。

近日，安全419关注到一起故意对计算机信息系统功能进行攻击，造成计算机信息系统不能正常运行的案件。据悉，2017年11月至2020年4月期间巨某通过单独或伙同谢某、谭某共计向21家公司植入勒索病毒程序以进行勒索，共计勒索5.01个比特币，造成被害公司直接经济损失共计701147元。巨某、谭某、谢某三人因犯破坏计算机信息系统罪，各判八年、五年、五年三个月有期徒刑。

有研究人员表示，网络钓鱼攻击者正尝试涉及通过电子邮件、社交媒体网络、SMS和其他基于文本的平台发送欺诈性消息。这些消息可能来自服务PayPal或Amazon，或者可能试图通过退税和竞争奖品来吸引受害者。这些邮件通常包含部署恶意软件的恶意附件，或者它们可能试图将受害者定向到假冒网站。

据外媒报道，SolarWinds的高级官员在本周三（5月19日）表示，其软件系统早在2019年1月就遭遇了不法黑客的大规模入侵。SolarWinds总裁兼首席执行官Sudhakar Ramakrishna表示，公司此前曾将黑客攻击的源头追溯到2019年秋季，但现在看来，黑客的早期侦查活动可以追溯到2019年1月之前。

5月18日消息，美国白宫发布“美国就业计划”，拟加强网络安全、升级电网、投资清洁电力。根据该计划，美国政府投资1000亿美元发展宽带并依据日前颁布的《网络安全行政命令》确保网络体系安全；将向州和地方政府提供200亿美元用于能源基础设施现代化建设；投资20亿美元支持微电网和分布式能源基础设施建设，以提高停电高风险区的电网韧性。

5月18日，百度公布了2021年第一季度信息安全综合治理报告，报告显示，百度内容安全中心Q1挖掘打击淫秽色情类、赌博类等相关有害信息共188.4亿余条，通过人工巡查打击淫秽色情类、侵权类等相关有害信息1231万余条。其中，百度搜索共清理149亿余条以危害社会安全等违法类为主的有害信息，百家号共清理24.2万余条有害信息，百度网盘共清理色情及违法有害文件4207万余个。

近日，工控安全安全公司Dragos表示，在对佛罗里达州水处理厂攻击事件的调查中发现了一个针对水处理基础设施水坑攻击，Dragos安全团队发现，该水坑攻击恶意脚本存在了将近两个月，并且收集了有关操作系统、CPU、浏览器、摄像头、地理位置等信息。超过1,000台计算机访问了这个水坑，其中包括州和地方政府组织、市政水务客户以及与水处理行业相关的私人公司。

近日，美国众议院国土安全委员会通过了五项两党法案，以增强针对美国组织和关键基础设施的网络攻击的防御能力。五项法案旨在帮助州和地方政府保护其网络，为关键基础设施所有者和运营商提供针对关键漏洞的缓解策略，以及建立国家网络演习计划，以促进对网络的准备和弹性进行更常规的测试。

近日，广东省正式发布《广东省首席数据官制度试点工作方案》，要求选取6个省直部门以及10个地市开展试点工作，推动建立首席数据官制度，深化数据要素市场化配置改革。《方案》对首席数据官的职责范围做出了明确规定，其职责侧重于统筹数据管理和融合创新。包括制订数据治理规划和制度规范；统筹数据管理工作；统筹协调内外部数据需求，推进数据共享开放工作。

在RSAC 2021上，研究人员详细介绍了一种针对特斯拉X和Mobileye630两款车型的AI识别“幻影攻击”。攻击者可通过无人机在墙面、树木上投影路标，采用短暂闪烁的形式，夹杂在广告中，触发特斯拉自动驾驶仪做出反应，并施加制动，而Mobileye 630则会根据投射的道路标志发出虚假指令。在整个过程中，攻击者不需要对图像做过于复杂的处理，现场也不会留下任何痕迹。

5月19日，由中国信息产业商会指导，中国信息安全测评中心组织运营的“今朝安全众测平台”宣布正式启动运行。据悉，中国信息安全测评中心将联合信息技术产业和网络安全产业，以基础软硬件产品为主要目标对象，依托“今朝安全众测平台”，参考国家信息安全漏洞库相关标准规范，提供漏洞审核和评价，开展高质量众测服务工作。

斯洛伐克网络安全公司ESET进行的一项针对Android平台的86种跟踪软件的分析发现在不同供应商的58个Android跟踪软件应用程序中，有158个隐私和安全问题，这些问题可能使攻击者控制受害者的设备、拦截数据，实现远程代码执行，甚至构筑恶意代码。目前只有六家供应商对应用程序进行了修复，44家供应商不承认这些漏洞，而其他7家则声称他们即将进行更新。

近日，《信息安全技术 网络安全等级保护大数据基本要求》（T ISEAA 002-2021）团体标准正式发布，自2021年5月30日起实施。该标准在总结实践基础上将GB T 22239-2019的通用安全保护要求进行了细化和扩展，提出网络运营者整体应实现的大数据安全保护技术和管理要求，填补了我国网络安全等级保护标准体系中相关领域的空白。