2日消息，研究人员发现利用WordPress插件Ultimate Member中的漏洞的攻击活动，该插件已被安装超过200000次。漏洞追踪为CVE-2023-3460，影响了包括最新版本v2.6.6在内的所有Ultimate Member版本。攻击者可以利用此漏洞创建具有管理权限的新用户帐户，从而完全控制网站。由于该漏洞尚未修复且很容易被利用，研究人员建议立即卸载Ultimate Member插件。

1日报道，安全公司Avast发布Akira勒索软件的免费解密器，无需支付赎金即可恢复数据。Akira于3月首次出现，6月开始分发其针对VMware ESXi虚拟机的Linux变体。Avast发布两个版本的Akira解密器，一种适用于64位Windows架构，另一个适用于32位。它建议使用64位版本，因为破解密码需要大量的系统内存。该安全公司没有解释它是如何破解Akira的，但可能利用了勒索软件的部分文件加密方法。

近日，国家互联网信息办公室与香港特区政府创新科技及工业局签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》，在国家数据跨境安全管理制度框架下，建立粤港澳大湾区数据跨境流动安全规则，促进粤港澳大湾区数据跨境安全有序流动，推动粤港澳大湾区高质量发展。有利于加强内地与香港的数据跨境流动，充分发挥数据基础性作用，推动粤港澳大湾区数字经济创新发展，支持香港更好融入国家发展大局。

6月30日，浙江省通管局发布《关于开展“之江数安”2023年浙江省电信和互联网行业数据安全专项行动的通知》，旨在进一步提升浙江省电信和互联网行业数据安全防护水平，做好杭州亚运会数据安全保障工作。工作内容包括建立数据安全责任人机制，试点首席数据官制度、重要数据和核心数据识别与备案、数据安全风险评估管理、数据安全监测预警与通报、数据全生命周期安全管理、数据安全能力建设以及数据安全人才队伍建设。

6月30日报道，IDC于2023年6月正式发布了针对中国硬件WAF和云WAF的两份市场份额研究报告。报告针对2022年中国硬件WAF、公有云WAF和私有云WAF市场的规模、增长速度、主要玩家、市场与技术的发展趋势等内容进行了详细研究。IDC数据显示，2022年，中国硬件WAF市场呈现了-1.9%的同比增长，市场规模为2.06亿美元。2022年，中国云WAF市场整体（公有云+私有云）同比增长10.8%，市场规模达到2.23亿美元，实现了对硬件WAF市场规模的超越。

6月30日，北京市高级别自动驾驶示范区工作办公室正式发布《北京市智能网联汽车政策先行区数据分类分级管理细则（试行）》。细则通过引导明确数据分类策略，定量数据定级方法并提供实操样本案例，有效推动形成依法规范、协同建设、共享红利的示范区数据安全发展模式。细则核心亮点包括，构建多维统一的数据层级、落实保护措施贯穿数据流转全生命周期以及逐步压实企业数据治理责任。

近日，美国非盈利性研究机构MITRE发布了2023版软件安全安全缺陷清单（CWE Top25），对过去两年中严重危害软件应用安全的25个安全缺陷进行了分析和评价。软件安全缺陷涉及一系列广泛的问题，包括软件的架构设计和代码实现过程中存在的缺陷、瑕疵、漏洞和错误等。这些安全缺陷可能导致软件在运行过程中出现严重的安全隐患和漏洞。

6月30日消息，身份不明的黑客组织在Telegram发布消息，声称已针对卫星电信提供商Dozor发起攻击。Dozor主要为俄罗斯电力线路、油田、俄军和联邦安全局（FSB）等提供服务。黑客组织发布的消息大意为，为众多项目提供卫星服务的Dozor公司（Amtel集团）已瘫痪。部分卫星终端设备发生故障，交换机重启，服务器信息被销毁。黑客组织还声称，已经篡改了四个俄罗斯网站，用于发布支持瓦格纳集团的信息。

1日，有网友发文称，中国人民大学一硕士毕业生盗取全校学生个人信息，制作颜值打分网站供人查看，被泄露的信息包含学号、姓名、学院、家乡、生日等。“人大泄露信息”话题登上热搜，引发广泛关注。2日，中国人民大学发博回应称，已关注到部分学生信息被非法获取情况，第一时间联系警方，目前正积极配合警方等相关部门开展调查。目前，该案嫌疑人已被海淀公安分局依法刑事拘留，案件正在进一步调查中。

近日，北京赛博昆仑科技有限公司完成近亿元A轮融资，由达晨财智领投，老股东红杉中国跟投，航行资本担任独家财务顾问。本轮资金将用于市场销售以及研发投入。本轮融资后，赛博昆仑将着重完善核心产品“昆仑·洞见”，从源头上解决网络安全问题，适应不同业务场景需要，加速商业化市场空间的推进。

1日消息，台积电近日证实，公司遭到网络攻击，部分数据泄露。台积电发言人表示，本次网络安全事件导致“与服务器初始设置和配置相关”的数据泄露，但台积电客户信息并未受到影响。勒索集团LockBit宣称对本次安全事件负责，官方在其网站上列出了相关数据，并索要7000万美元赎金。LockBit表示，如果台积电不付款，它还将发布密码和登录信息。

1日消息，微软日前发布了一款名为Developer Proxy的命令行工具，目前已经更新至0.9预览版本，该软件可用于测试软件调用HTTP API的行为，避免开发者向用户请求过多权限，可预防软件的过度授权问题。据悉，Developer Proxy能够抓取应用所发出的一系列Microsoft Graph API请求，并可以自动检测应用程序需要调用的API数量。微软表示，这些权限比较工作会在本地端进行，因此用户的数据不会被上传到外界。

1日消息，网络系统协会（ISC）日前发布DNS软件BIND 9更新版本 9.16.42、9.18.16、9.19.14、9.16.42-S1、9.18.16-S1主要修复了其中的3个漏洞，包括CVE-2023-2828、CVE-2023-2829以及CVE-2023-2911。据悉，黑客可以通过此类漏洞，对DNS设备进行DoS攻击，进而导致受攻击的DNS设备内存耗尽，或造成BIND的服务端宕机。

近日，《信息安全技术 电子政务移动办公系统安全技术规范》国家标准正式发布，将于2023年12月1日正式实施。标准聚焦于政务办公和政务服务两大移动应用场景，重点解决政务移动办公终端、通信、接入、应用、数据等方面安全问题，提出涵盖云、网、边、端的政务移动办公系统安全技术框架，规定移动终端安全、移动通信安全、移动接入安全、服务端安全和安全管理等五大方面的安全技术要求和测试评价方法。

28日，Kaspersky发布关于Andariel团伙及其新恶意软件EarlyRat的报告。Andariel是朝鲜Lazarus的子组织，主要使用DTrack模块化后门从被感染的系统收集信息。EarlyRAT启动后会收集系统信息并通过POST请求将其发送到C2，其第二个主要功能是在目标系统上执行命令。研究人员表示，鉴于错误和错别字的数量，所检测到的EarlyRAT活动似乎是由缺乏经验的运营人员手动执行的。

28日报道，Group-IB披露了关于威胁团伙CryptosLabs运作方式的详细信息。它自2018年4月以来，主要针对法国、比利时和卢森堡的法语区用户，估计已获得4.8亿欧元的非法利润。该团伙的大规模欺诈活动涉及冒充40家知名银行、金融科技公司、资产管理公司和加密货币平台，建立了横跨350多个域名的基础设施，托管在80多台服务器上。其活动的一个亮点是使用自定义诈骗工具包，可运行、管理和规模化投资诈骗活动。

29日消息，16名匿名人士近日向美国加利福尼亚州旧金山联邦法院提起诉讼，称ChatGPT在没有充分通知用户或获得同意的情况下收集和泄露了他们的个人信息。据此他们向微软和OpenAI索赔30亿美元（约合人民币217.2亿元）。诉状称，尽管ChatGPT制定了购买和使用个人信息的协议，但该AI仍然系统性地从互联网上的书籍、文章和发帖中窃取了3000亿个单词，包括未经同意获取的个人信息。

28日消息，荷兰数据保护基金会（Stichting Data Bescherming Nederland，SDBN）宣布，由于亚马逊在荷兰公民常用的数百个网站上非法放置跟踪cookie并收集用户个人数据，决定以大规模侵犯用户隐私为由对其提起集体诉讼，并要求亚马逊对近年来创建其账号的约500万荷兰公民进行赔偿。对此，亚马逊方否认了指控，称将在适当时作出回应。

29日消息，IDC两项报告数据分别显示，2022年，中国抗DDoS硬件安全产品市场规模约为9500万美元（约合人民币6.3亿元），规模同比增长6%，受到疫情等因素影响，市场增速不及预期。中国公有云抗DDoS市场规模约为2.7亿美元（约合人民币17.6亿元），规模同比增长13.2%。抗DDoS产品和服务作为成熟型市场，市场集中度不断提升，竞争进一步增强。

29日消息，美国白宫管理和预算办公室（OMB）和国家网络总监办公室（ONCD）日前联合发布备忘录，概述联邦部门和机构根据国家网络安全战略编制2025财年网络安全预算时，需落实的五大重点任务。包括保护关键基础设施、破坏和摧毁威胁行为者、塑造市场力量以推动安全和弹性、投资更有弹性的未来以及打造国际合作伙伴关系以追求共同目标。