近日，2023年第一次“标准周”活动在云南昆明举行。在“网络安全标准护航数字经济高质量发展”高峰论坛上，腾讯安全副总裁、云鼎实验室负责人董志强发表《云平台高安全等级架构》主题演讲，指出企业的数字化转型需要高安全等级架构为业务保驾护航，尤其是对于关键基础设施而言，其安全稳定运行关系国计民生、公共利益和国家安全，亟需更高等级的安全架构提供支撑。

近日，全国信息安全标准化技术委员会归口的19项网络安全国家标准正式发布，包括《信息安全技术 网络安全审计产品技术规范》、《信息安全技术 网络安全事件分类分级指南》、《信息安全技术 信息安全风险管理实施指南》、《信息安全技术 网络入侵防御产品技术规范》、《信息安全技术 反垃圾邮件产品技术规范》、《信息安全技术 云计算服务安全指南》、《信息安全技术 区块链技术安全框架》等。

近日，中央网信办召开专题座谈会，听取部分企业代表对优化营商网络环境的意见建议。会议指出，要求营造市场化、法治化、国际化一流营商环境；优化营商网络环境，保护企业网络合法权益。要进一步加强问题账号等的管理，从严处置恶意首发、胁迫企业开展商业合作的账号，严厉打击雇佣网络水军对企业进行诋毁、抹黑等行为；要进一步加大宣传、辟谣和曝光力度，加强正面宣传引导，持续曝光情节严重、影响恶劣的典型案例。

据SANS研究人员表示，根据调查，Apache NiFi平台存在多个安全漏洞，如未授权访问、远程代码执行、跨站脚本等，这些漏洞可能被黑客利用，从而将Apache NiFi服务器纳入一个挖矿僵尸网络中。Apache NiFi是一个开源的数据流管理平台，可用于收集、处理、分发和分析大量数据.也可用于支持机器学习和人工智能的应用。研究人员称，目前已经存在攻击者通过该平台实施网络攻击的相关实例，建议用户使用强密码、启用SSL TLS等方式进行防御。

据外媒1日报道，乌克兰黑客侵入了俄罗斯斯科尔科沃基金会（Skolkovo Foundation）的系统。该基金会是莫斯科市郊高科技商业区的管理机构，旨在对标美国硅谷。该基金会发布声明称，黑客成功获得了该组织的某些信息系统的有限访问权限，包括物理服务器上的文件托管服务。据悉，一群乌克兰黑客活动分子表示对这次攻击负责，并在Telegram上分享了成功访问系统的截屏。截至目前，斯科尔科沃基金会网站已经正常运行。

据外媒报道，CRIL研究人员追踪到了一种名为“PixBankBot”的Android银行木马，该木马可被用于访问巴西即时支付平台Pix。据悉，PixBankBot建立在自动转账系统ATS框架之上，并使用辅助功能服务来识别和跟踪目标银行应用程序中的用户界面（UI）元素，以窃取账户余额、汇款详细信息、交易信息等敏感信息。研究人员称，该恶意软件会将自己伪装成 PDF 应用程序，并利用正版 PDF 应用程序的图标和名称来诱骗受害者安装恶意软件。目前，研究人员还在持续调查中。

近日，数字风险管理厂商云科安信完成千万元级别的A++轮融资。据介绍，本轮融资由元起资本独家投资，密码资本继续担任独家FA。该公司表示，本轮融资资金将主要用于外部资源扩大化，并加速渠道体系拓展。据悉，今年第一季度，云科安信宣布战略升级，由攻击面管理厂商升级为风险管理厂商，提出了“以风险为核，做数字世界的风险管理者”的企业发展目标，并宣布将于7月发布以“信息图鉴”为主线的产品矩阵。

据外媒近日报道，研究人员发现了电子商务公司SimpleTire的一个不受密码保护的数据库。该数据库包括280万条记录，总计1 TB，其中有100多万份PDF格式的订单确认文件，涉及姓名、电话、地址和信用卡号等PII信息。目前，数据泄露事件的确切时间，以及是否有攻击者访问过它仍然未知。

5月31日下午，最高检会同国家网信办、国务院国务院妇儿工委办举行“检爱同行 共护花开——加强未成年人网络保护综合履职”新闻发布会。发布会上，最高检通报了全国检察机关推进未成年人网络保护工作情况，并发布检察机关加强未成年人网络保护综合履职典型案例。下一步，检察机关将继续主动对接、联动家庭、学校、社会、网络、政府、司法各方发挥作用，助力补齐监管漏洞和短板，推动未成年人网络保护长效机制不断健全完善。

《河南省网络安全条例》于6月1日正式施行，《条例》从夯实基础、促进发展、安全保障、监督管理等多个维度作出系统性设计和规定，明确了政府及部门职责、行业协会、网络运营者、个人和组织的权利义务等，并对个人信息安全义务作出规定，具有很强的针对性、适用性和可操作性。《条例》的施行，将依法为网络强省建设保驾护航。

据路透社报道，丰田汽车公司31日表示，由于云端设置错误，亚洲和大洋洲一些国家的客户信息可能在2016 年10月至2023年5月期间被允许公开访问。丰田表示，可以公开访问的客户信息包括姓名、地址、电话号码、电子邮件地址以及车辆识别和登记号码。此外在5 月12日的一份声明中，丰田汽车透露，由于“云环境的配置错误”，日本的客户数据自 2012 年以来就一直公开可访问。

据外媒31日称，美国联邦贸易委员会宣布，亚马逊将支付 580 万美元就侵犯用户隐私问题达成和解。该委员会在一份法庭文件中表示，2017 年，亚马逊Ring门铃摄像头部门的一名前员工通过在卧室和浴室里安装摄像头对一女性用户进行监视。另外，根据提交给西雅图联邦法院的一份法庭文件，亚马逊同意支付 2500 万美元来和解侵犯儿童隐私权问题。该指控称，亚马逊没有应儿童家长要求删除 Alexa 的录音，而且保留录音的时间超过了必要的时间范围。

近日，有网友反映，在点击进入北京公交APP后，页面底部会出现“您还未登录”字样的广告，点击进入后输入手机号码点击同意登录，该广告会自动跳转支付宝，如果用户开通免密支付，那么该广告就会直接扣除29.8元。而支付宝上支付信息显示，该商户将每隔7日自动扣费29.8元。针对此事，北京公交集团回应表示，已向运营商启迪公交（北京）科技股份有限公司发函要求其迅速整改，目前启迪公交已下线弹窗广告。

据希腊教育部30日表示，希腊近日遭遇“迄今针对本国公共或政府组织的最严重网络袭击”，导致其官方统一管理的全国中学考试题库网站一度瘫痪、多校考试延迟。据悉，网络袭击发生在29日和30日，“希腊研究与技术网络系统”遭到攻击，导致教师无法从题库平台抽取考题，部分考生不得不在教室等待数小时。目前，希腊最高法院下令对此次网络袭击展开调查，警方予以配合。

据外媒Wired 报道，Eclypsium的网络安全专家发现技嘉271 款型号的数百万片主板存在安全漏洞。研究人员在主板固件中发现了一种机制，可以触发隐藏的更新程序。攻击者可以利用这种机制，在用户不知情的情况下安装恶意程序，且后续难以检测和删除。此外，相关专家还发现技嘉的主板固件更新机制也存在明显漏洞，相关固件代码可以在没有正确验证身份的情况下下载。目前，技嘉表示已与Eclypsium 开展合作解决以上问题。

据外媒报道，Apple最近修复了一个漏洞，该漏洞允许拥有root权限的攻击者绕过系统完整性保护(SIP)以安装恶意软件并通过规避透明、同意和控制(TCC)安全检查来访问受害者的私人数据。该漏洞由Microsoft安全研究人员发现，被追踪为CVE-2023-32369。系统完整性保护 (SIP)是一种macOS安全机制，可通过对根用户帐户及其在操作系统受保护区域内的功能施加限制来防止潜在的恶意软件更改某些文件夹和文件。

据外媒报道，PatchStack发现WordPress插件“Gravity Forms”出现严重漏洞，易受到未经身份验证的PHP对象注入攻击。Gravity Forms是一种自定义表单生成器网站，可用于创建付款、注册、文件上传或访问者站点交互或交易等相关表单。据悉，该漏洞于2023年3月27日由PatchStack发现，该漏洞被跟踪为CVE-2023-28782，主要影响2.73及以下的所有插件版本。目前，其该漏洞已被供应商修复。

据Trendmicro称，研究人员发现有虚假网站通过Google Ads和高度针对性的网络钓鱼电子邮件诱使用户下载并启动恶意安装程序，传播RomCom恶意软件。研究人员报告说，恶意软件背后的威胁行为者通过使用有效载荷加密和混淆来升级其规避，并通过引入新的强大命令来扩展该工具的功能。大多数用于向受害者分发RomCom的网站都涉及远程桌面管理应用程序，这增加了攻击者利用网络钓鱼或社会工程接近其目标的可能性。

据5月30日报道，WordPress母公司Automattic在数百万个网站上强制安装了安全补丁，以修复插件Jetpack中的一个漏洞。研究人员称，在内部安全审计期间发现Jetpack的API存在漏洞，网站的开发者可以使用此漏洞来控制WordPress安装中的任意文件。Jetpack现在开始自动向所有使用该插件的网站推送安全补丁，目前已在超过413万个网站上进行了安装。据悉，Automattic已多次使用这种自动更新的方式部署补丁。

5月30日，国家网信办发布《个人信息出境标准合同备案指南（第一版）》，指导和帮助个人信息处理者规范、有序备案个人信息出境标准合同，并对个人信息出境标准合同备案方式、备案流程、备案材料等具体要求作出了说明。个人信息处理者通过与境外接收方订立个人信息出境标准合同的方式向境外提供个人信息，应当根据《个人信息出境标准合同办法》规定，按照备案指南向所在地省级网信部门备案。