据Bleeping Computer消息，日前，柏林工业大学（Technical University of Berlin）的研究人员发现特斯拉汽车的一个新漏洞，该漏洞可以破解特斯拉近期推出所有车型上使用的基于 AMD 的信息娱乐系统，并使其运行包括付费项目在内的任何软件。此外，该漏洞允许研究人员提取特斯拉在其服务网络中用于汽车身份验证的独特硬件绑定RSA密钥，以及激活“座椅加热”和“加速升级”等被锁定的付费功能。据称，这一研究成果将在 2023 年 8 月 9 日举行的 BlackHat 2023 演讲中正式公布。

全国信安标委发布消息，我国牵头提出的国际标准ISO IEC 27071:2023《网络安全 设备与服务建立可信连接的安全建议》、ISO IEC 24392：2023《网络安全 工业互联网平台安全参考模型》正式发布。ISO IEC 27071给出了设备和服务建立可信连接的框架和安全建议，包括对硬件安全模块、信任根、身份、身份鉴别和密钥建立等组件的安全建议。ISO IEC 24392基于工业互联网平台安全域、系统生命周期和业务场景三个视角构建了工业互联网平台安全参考模型，是首个工业互联网安全领域的国际标准。

3日报道，黑客团伙NoName057(16)声称对意大利银行、企业和政府机构的攻击负责。意大利网络安全机构在本周二表示，已检测到至少五家银行的网站遭到DDoS攻击，其中包括意大利最大的联合圣保罗银行。NoName057(16)于本周一首次对意大利发起攻击，并于8月3日继续。除了银行之外，该团伙还声称入侵了一家意大利供水公司、一家全国性商业报纸和一个公共交通的网站。截至目前，这些网站仍处于关闭状态。

Cybernews研究团队近日发现，汉堡王在法国的分公司由于网站配置错误而向公众泄露了敏感信息。这些泄露的信息一旦落入恶意行为者手中，则会成为其对汉堡王连锁店实施攻击的工具。由于此次遭遇信息泄露的是求职网站，因此在法国汉堡王求职的人可能会受到影响。Cybernews联系了该公司，该公司称已经解决了这个问题。汉堡王是美国著名的国际快餐巨头，在全球拥有超过1.9万家餐厅，收入18亿美元。

微软近日发布一份报告，警告大型体育赛事面临的网络风险面正在迅速扩大。其表示，关于运动表现、竞争优势和个人信息等数据是非常有利可图的目标，基于运动团队、体育联盟以及体育场所等环境中的网络和互联设备的可观数量，这些高价值信息在大规模赛事直播等情况下可能会很容易受到攻击。其特别指出，为球迷和球员提供关键支持和健康服务的医院是勒索软件攻击的重要目标。

据外媒报道，自2022年6月以来，一个名为“神秘的孟加拉国团队”的黑客组织与超过750起DDoS攻击和78起网站篡改事件有关。网络安全公司Group-IB在一份报告中表示，该组织主要受宗教和政治动机驱动，最常攻击印度和以色列的物流、政府和金融部门组织，其他一些目标国家包括澳大利亚、塞内加尔、荷兰、瑞典和埃塞俄比亚。此外，该组织很可能通过利用已知的安全缺陷或不安全的密码，已经获得了访问网络服务器和管理面板的权限。

据外媒报道，黑客组织正利用Salesforce电子邮件服务和SMTP服务器中的漏洞，针对一些特定的Facebook账户发起复杂的网络钓鱼活动。此前，Guardio Labs的分析师发现该漏洞问题，随后向Salesforce报告并帮助进行了漏洞修复，然而Facebook游戏平台上的漏洞问题仍悬而未决，Meta的工程师仍在努力寻找现有缓解措施不能有效阻止攻击的原因。

3日消息，OWASP发布了OWASP Top 10 for LLM（大语言模型）应用程序项目，该项目提供了影响大语言模型应用程序的10个最关键漏洞列表。该项目旨在提醒开发人员、设计师、架构师和组织在部署有关大语言模型y应用程序时需要注意的安全问题。漏洞列表包括即时注射、不安全的输出处理、训练数据中毒、模型拒绝服务、供应链漏洞、敏感信息泄露、不安全的插件设计、过度代理、过度依赖、模型盗窃。

近日，安全研究人员发现了一种名为Rilide的新型恶意软件，该恶意软件以基于Chromium的网络浏览器为目标，窃取敏感数据并窃取加密货币。研究还发现，该恶意软件功能较为强大，可以禁用其他浏览器加载项、收集浏览历史记录cookie、收集登录凭据、截取屏幕截图以及注入恶意脚本以从各种加密货币交易所提取资金。

美国一家管理医疗补助和医疗保险以及许多其他政府项目的承包商Maximus报告称，因俄罗斯黑客组织Cl0p造成的MOVEit数据泄露事件，800万至1100万份健康数据记录被曝光，黑客一直在通过其暗网站打击各种受害者，现在威胁要泄露约169GB的被盗健康数据。Maximus表示，受损的数据可能包括敏感的健康信息和社会保障号码，但总损失仍在评估中，修复成本可能超过1000万美元。

近日，微软称有一个与俄罗斯对外情报局有关的名为APT29的黑客组织，针对全球数十个组织包括政府机构等进行了网络钓鱼攻击。黑客利用被入侵的 Microsoft 365 租户创建了新的技术支持主题域并发送技术支持诱饵，试图利用社交工程策略欺骗目标组织的用户。根据目前调查显示，此次攻击活动影响了全球约40个组织。并且此次攻击活动表明该黑客组织将政府、非政府组织(ngo)、IT服务、技术、离散制造业和媒体部门等设置成了特定间谍目标。

3日消息，Mitiga的安全研究人员在亚马逊云平台（AWS）中发现了一种新的后渗透漏洞，能允许 AWS 系统管理器代理（SSM 代理）作为远程访问木马在 Windows 和 Linux 环境中运行。Mitiga建议企业从防病毒解决方案相关的允许列表中删除 SSM 二进制文件，以检测任何异常活动迹象，并确保 EC2 实例响应仅来自使用系统管理器虚拟私有云 (VPC) 端点的原始 AWS 账户的命令。

据外媒报道，美国船舶制造商Brunswick Corporation近日披露，其在6月13日遭受到网络攻击，系统和部分设施受到影响，在处理该事件期间，已被迫停止部分地区的运营。该公司是海洋休闲产业的佼佼者，拥有数十亿美元资产，在2021年创造了近60亿美元的收入，业务遍及24个国家。其CEO向投资者透露，因为该事件，公司蒙受了高达8500万美元的损失。

3日，国家网信办发布关于《个人信息保护合规审计管理办法（征求意见稿）》公开征求意见的通知，明确处理超过100万人个人信息的个人信息处理者，应当每年至少开展一次个人信息保护合规审计，个人信息处理者可定期开展个人信息保护合规审计，或者按照履行个人信息保护职责的部门要求委托专业机构对其个人信息处理活动进行合规审计。该办法同步提供个人信息保护合规审计参考要点，对个人信息处理活动各环节的审计事项提出要求和指引。     原文链接

据新华社消息，公安部8月3日召开新闻发布会，发布公安机关服务保障高质量发展26条措施。在严格安全监管方面，坚决维护网络安全、数据安全和公民个人信息安全，依法保护企业产权和经营者合法权益。以区域警务协同服务区域协调发展，持续深化突出违法犯罪打击整治，加强社会治安整体防控。

《王者荣耀》游戏官微8月2日发布一份“麦思吉网络科技有限公司就泄密王者荣耀内容的说明”，内容提及在2022年12月至2023年1月之间，因麦思吉存在监控漏洞，未能及时发现前员工周某某，在下班人员稀少时间，利用平台系统漏洞，违规下载超出工作范围及超出项目方授权的版本内容，并以文字和截图形式非法传输给第三方，导致相关未发布的内容提前泄露，给项目方带来损失，损害了用户的游戏体验。麦思吉表示已开除涉事员工，公司愿意接受工作室全年全订单额3倍的处罚。

近日，网信上海发布消息，覆盖全市主要商圈的64家商场停车场已示范推出“纯净版”停车码，确保不收集任何个人信息，消费者只需输入车牌号、点击缴费两步后，就可以直接缴纳停车费。若以停车费优惠、会员积分等名义张贴商场会员码或公众号二维码，必须有充分提示并仅收集与相关服务有关的个人信息，切实保障消费者的知情权、选择权和个人信息合法权益。

近日，上海证监局向华宝证券出具警示函，因华宝证券在5月22日的网络安全事件中存在变更重要信息系统前未充分评估技术风险、未制定全面的测试方案等问题。上海证监局认为华宝证券存在以下问题：一是变更重要信息系统前未充分评估技术风险；二是变更重要信息系统前未制定全面的测试方案；三是生产运营过程中未全面记录业务日志和系统日志以确保满足故障分析需要；四是事件调查过程中向上海证监局报送的部分数据不准确不完整。

近期，趋势科技的研究人员发现一种名为CherryBlos的Android恶意程序，能使用光学字符识别窃取手机屏幕上显示的凭证。该恶意程序主要通过第三方的Android apps传播。其开发者在Google Play官方市场发布了相同应用，但无恶意负荷。安装后用户打开币安等合法加密货币应用时，CherryBlos覆盖窗口会模拟应用，在提款时将受害者接受资金的钱包地址替换成攻击者的。合法应用显示密码时，恶意程序会截图然后使用光学字符识别将图像翻译成文本格式，使攻击者可以窃取账号的资金。

近日，安全研究人员警告称，有越来越多的网络钓鱼活动利用谷歌加速移动页面(AMP)绕过电子邮件安全措施，进入企业员工的收件箱。在钓鱼邮件中嵌入谷歌AMP URL，会触发重新定向到恶意钓鱼网站，这个步骤还额外增加了一个干扰分析的层。 并且用 AMP的网络钓鱼攻击数量在7月中旬大幅飙升。