近日，CRIL研究人员发现，一款名为LockBit的勒索软件再度出现，LockBit 2.0利用Windows操作系统中的漏洞进行攻击，并使用加密算法对受害者的数据进行加密，使其无法访问。此外，LockBit 2.0还支持多种攻击方式，包括网络钓鱼、恶意邮件等，使得其攻击范围更加广泛。目前，LockBit 2.0已经在全球范围内造成了严重的数据泄露事件，给企业和个人用户带来了巨大的经济损失和信誉损害。

近日，上海市通信管理局发布《上海市电信和互联网行业首席数据官制度建设指南（试行）》，指出CDO制度的组织架构设计应职责清晰、分工明确，组织重点职责包括制定数据安全和数据发展利用相关制度、规范、标准，明确数据责任归属，建设数据安全技术防护架构，健全数据治理考核机制。企业CDO的职责应该包括制定企业数据治理战略并推动实施、优化企业数据治理与发展、加强数据合规与安全保障。

近日，研究人员发现Scrubs & Beyond以纯文本形式泄露了400 GB的用户PII和银行卡信息，该数据库于5月16日暴露，此后这些信息一直处于可公开访问的状态。目前，服务器拥有超过100000条客户记录，总计400 GB，且数据库大小和用户数量随着每天新增的信息而不断增长。泄露信息涉及姓名、电话、地址和内部凭据等个人信息，以及银行卡号、CVV代码和PayPal支付日志等财务信息。目前，该公司并未对此事作出回应，也未将该数据库保护起来。

据外媒6日报道，身份不明的黑客声称已经入侵了一款下载量超过500,000的流行i2VPN应用程序的管理员账户，并获得了对用户数据的访问权限。据SafetyDetectives称，泄露的数据包括管理员的电子邮件地址和口令，以及显示数据中心和用户订阅详细信息的仪表板屏幕截图，并表示虽然黑客没有直接暴露用户数据，但受损的管理面板凭据可能会提供对大量个人信息和数据中心的访问权限。目前，i2VPN还未作出回应。

6日Verizon发布2023年数据泄露调查报告(DBIR)，报告显示，勒索软件事件的平均成本在过去两年中翻了一番以上，达到26,000美元。数据显示，即使勒索金额较低，从勒索软件事件中恢复的总体成本也在增加。此外，在所分析的违规行为中，大约四分之三涉及人为因素，其中许多攻击都涉及社会工程学。在近一半的违规行为中，被盗凭证被用于对组织系统的初始访问，其次是网络钓鱼(12%)和漏洞利用(5%)。

6日，国家网信办发布了《近距离自组网信息服务管理规定（征求意见稿）》，文件指出，近距离自组网信息服务提供者在提供服务过程中，应当提供接收者关闭接收、选择接收、黑名单自动拒绝等接收功能，并默认设置为关闭接收状态；近距离自组网信息服务提供者上线具有舆论属性或社会动员能力的新技术、新应用、新功能，应当按照国家有关规定开展安全评估。发现存在安全隐患的，应当及时整改，直至消除相关安全隐患。

据外媒报道，位于中美洲加勒比海的马提尼克岛遭到网络攻击，致使互联网访问与其他基础设施中断数周，目前仍在着手应对。马提尼克岛管理委员会发布公告表示，此次攻击开始于5月16日，当地官员被迫隔离受影响的系统。通报还指出，受害者应立即将任何疑似受到攻击的计算机与整体网络断开连接“以防止攻击扩散”——这一点符合勒索软件快速传播的特性。

据Zscaler研究人员表示，在今年二月出现了一种新型信息窃取程序，名为“Bandit Stealer”，其可以从多种网络浏览器、FTP客户端、电子邮件客户端和加密货币钱包应用中窃取存储的凭证、Cookie和信用卡信息，并通过Telegram将窃取的信息发送给远程服务器。据调查，该程序近期增加了对窃取FTP和电子邮件凭据的支持，还通过从Pastebin下载的动态配置来扩展其反分析功能。目前，研究人员还在持续调查中。

近日，Google官方发布了Google Chrome的风险通告，漏洞编号为CVE-2023-3079，漏洞等级为高危，该漏洞已出现在野利用。据悉，该漏洞为Google Chrome V8类型混淆漏洞，会在成功读取或写入超出缓冲区边界的内存后导致浏览器崩溃或执行任意代码。Google建议用户尽快更新到114.0.5735.110以阻止潜在威胁。

据外媒报道，Clop勒索软件组织声称对MOVEit网络攻击负责。据悉，该组织从5月27日开始利用MOVEit Transfer平台的一个零日漏洞，入侵多家公司的服务器并窃取数据，还删除了来自政府、军事和儿童医院等机构的数据。目前，Progress Software公司已经为该漏洞发布了补丁。

据服务中断追踪网站 Downdetector.com 近日称，微软Microsoft 365，包括Word和Excel在内的产品套件突然出现大规模宕机的问题，部分 Outlook 和 Microsoft 365 网页出现 503 报错，部分页面一直卡在启动页面，至少1.5万用户无法使用电子邮箱。近日，Anonymous Sudan黑客组织在其Telegram频道上表示对此次事件负责，并称对其进行了DDoS攻击。目前，微软表示，正在采取进一步的缓解措施。

据亚马逊云科技官方消息，全球云安全领域的行业盛会亚马逊云科技re:Inforce 2023全球大会将于当地时间6月13日至14日在美国加利福尼亚州举办。本次大会将围绕六大云安全领域——应用安全、数据保护、数据治理及风险合规管控、身份认证和访问控制、网络和基础设施安全、威胁检测和事件响应展开最新洞察与实践分享。

据外媒近日报道，IT公司Xplain遭到攻击，瑞士几个州的警察、军队、海关和联邦警察局等遭到影响。勒索团伙Play声称对此次攻击负责，并发布了据称来自联邦警察局(Fedpol)和联邦海关与边境安全局(FOCBS)的数据。当地媒体称，攻击者利用了该IT公司服务器上的一个漏洞。Fedpol和FOCBS证实了此次攻击，Fedpol称攻击者只能访问用于测试的模拟数据，FOCBS说被盗数据来自与其客户的通信。

据外媒5日报道，西班牙的一家大型银行Globalcaja表示，近期遭遇了勒索软件攻击，多个办事处受到影响，目前正在处理相关事宜。Globalcaja总部位于西班牙阿尔巴塞特市，管理着超过46亿美元的消费贷款。Play黑客组织宣布对此事件负责，并声称窃取了部分信息，包括个人机密数据、客户和员工文件、护照和合同等。该银行表示，攻击并未影响各实体的交易，电子银行、自动取款机和各办事处也都在正常运作。

6月5日，从山西省行政审批服务管理局获悉，《山西省政务数据安全管理办法》发布，7月1日起施行。《办法》明确政务数据和政务数据安全概念，为确保政务数据安全在制度、管理、保障及责任4个方面做出规定。《办法》明确了主管部门、政务部门及政务信息系统建设、运维运营等单位的三方责任，确保政务数据安全管理边界清晰、职责明确、责任落实，建立健全政务数据全生命周期安全管理机制，提高政务数据安全保障能力。

近日，为进一步强化宁夏公共基础网络安全风险防范，提升信息通信行业网络安全应急处置能力，宁夏回族自治区通信管理局通过实施网络安全专项治理、完善升级技术手段等方式，扎实开展网络安全风险监测预警处置、组织法律法规宣贯培训，着力提升网络安全管理和保障能力。提出围绕“筑平台、防风险”，持续推进网络安全工具部署使用；聚焦“督任务、促整改”；突出“强宣传、促发展”。

据财联社报道，国家邮政局党组成员、副局长廖进荣近日强调，要高度重视网络数据安全和信息安全，加强信息安全风险管控，夯实全行业信息安全治理基础。特别要加强行业数据全链条全方位安全管理，做好关键信息基础设施保护，强化对合作电商平台、数据汇聚平台共享数据的风险评估和安全管控。要压实企业信息安全主体责任，严防企业违规使用数据，严防不法分子侵犯用户个人信息实施违法犯罪。

近日，安徽省数据资源管理局依托全国一体化政务服务平台上线了“安徽码”，主要应用于政务服务和便民生活领域，并逐步向其他领域拓展，提供统一的二维码服务入口。据悉，安徽码”支持在政务办事、就医购药、酒店住宿、图书借阅等多领域、多场景中使用。用户申领时须进行人脸识别认证或提供企业营业执照核实信息，确保用码安全。用户可通过自定义隐私权限功能设置可共享的数据，传输的数据均作加密处理。

5日，微软将向美国联邦贸易委员会（FTC）支付 2000 万美元的和解金，以解决该公司违反美国《儿童在线隐私保护法》（COPPA）的指控。据FTC称，2021 年底之前，当用户创建微软 Xbox 账户时，微软会要求 13 岁以下玩家的父母参与创建账户，并要求提供某些个人信息。即使家长没有完成注册过程，微软“有时也会保留这些个人数据”。微软则回应称，由于“技术故障”，并未删除儿童账户的创建数据，目前已经修复了故障并删除了数据。

据媒体报道，近日Azure DevOps的工程师进行了一次代码升级，这导致了一个大型的拉取请求，其中更换了旧包和新包中的API调用，拼写错误就发生在这个拉取请求中，它将删除快照数据库的调用换成了删除托管数据库的Azure SQL Server的调用，导致后台任务删除了“整个Azure SQL Server和所有十七个生产数据库”。目前，所有数据都已经恢复，微软称已经采取了各种修复和重新配置措施，并再次向所有受此中断影响的客户道歉。