據Cyber News 6月20日消息，云安全公司的研究表明，在針對云的網絡攻擊中，攻擊者能夠在短短兩分鐘內發現配置錯誤和易受攻擊的資產，并立刻開始對其進行利用。Orca Security 為此進行了為期6個月的研究，在9個不同的云環境中設置了蜜罐，這些蜜罐旨在模擬錯誤配置的資源以吸引攻擊者，每個蜜罐都包含一個 AWS 密鑰。

隨后，Orca 密切監視每個蜜罐，以觀察攻擊者是否以及何時會上鉤，目的是收集對最常見的目標云服務、攻擊者訪問公共或易于訪問的資源所需的時間，以及他們發現和利用泄露的數據所需的時間。

根據報告，GitHub、HTTP和SSH上暴露的敏感信息僅在5分鐘內就被發現，AWS S3則在一小時內被發現。Orca Security 云威脅研究團隊負責人 表示，雖然每種資源的策略有所不同，但研究清楚地表明如果，只要敏感信息被泄露，就會被攻擊者利用。

6 月中旬，國內某新聞媒體披露上海商圈中一家星巴克點餐小程序過度索客戶信息，僅是點 1 杯咖啡，消費者至少被彈窗提示注冊會員 3 次，彈窗索要定位授權 2 次。對此，上海市網信辦、市市場監管局共執法人員指出上述問題涉嫌違反《個人信息保護法》的有關要求，已要求門店方按時參加約談，并將指導相關企業進一步整改。記者調查期間，顧客掃描星巴克前臺的二維碼時，頁面首先跳轉出現“掃碼入會 領券立減”整屏活動海報（這個無法直接關閉），當用戶點擊下方“領取”按鈕后，頁面又直接跳轉進入“微信用戶一鍵登錄”頁。

值得一提的是，此時需要用戶勾選同意相關隱私政策和綁定協議，做好這一切后，點擊“登錄”，頁面下方又彈窗索要手機號授權，顯示可用微信手機號一鍵綁定或者其他手機號快速注冊成為會員。一番操作下來，小程序這才跳轉出現堂食點單入口，本來一鍵點擊購買，付賬的流程，硬生生的被玩成了“關卡游戲”。

2023 年 6 月，俄烏軍事沖突來到僵持階段，雙方在熱武器層面的較量開始零敲碎打。但網絡空間戰場上，一方憑借自家網軍強大戰斗力，一方站在歐美網軍肩膀上，彼此之間角力愈發精彩，僅 2023 年就展開數十次交鋒。俄羅斯網軍建制化部署早、經驗足，作戰能力尤為突出。雖然烏克蘭自身網絡戰實力不濟，但背靠歐美網軍，整個軍事沖突期間竟”不落下風“，其中歐美國家支持力度最大，”叫“的最響的當屬英國。俄烏軍事沖突中網絡戰戰略地位大大“刺激”了英國政府的敏感神經，后者開始重新審視網絡戰在軍事沖突中的戰術地位。論及自身網絡戰實力，英國網軍雖”冠絕歐盟“，但相比中美俄則略顯“雞肋”?；诖?，2022 年 12 月 15 日，英國當局發布 2022 年新版《國家網絡戰略》，相較前幾版又再次拔高對網絡空間的重視程度，力爭在《國家網絡戰略》加持下，建設一只足以改變戰爭格局，震懾其它國家的網軍。

根據“公安部網安局”微信公眾號發布的消息，2023年3月，浙江溫州公安網安部門在查處一起涉數據安全違法案件時發現問題。浙江某科技有限公司為浙江某縣級市政府部門開發運維信息管理系統的過程中，在未經建設單位同意的情況下，將建設單位采集的敏感業務數據擅自上傳至租用的公有云服務器上，且未采取安全保護措施，造成了嚴重的數據泄露。浙江溫州公安機關根據《中華人民共和國數據安全法》第四十五條的規定，對公司及項目主管人員、直接責任人員分別作出罰款100萬元、8萬元、6萬元的行政處罰。針對建設單位失管失察、未履行數據安全保護職責的情況，當地紀委監委依照《溫州市黨委（黨組）網絡安全工作責任制實施細則》規定，對建設單位主要負責同志、部門負責人等4人分別作出批評教育、誡勉談話和政務立案調查等追究問責決定。下一步，公安機關將持續貫徹落實《網絡安全法》等法律法規，全方位加強網絡安全監督檢查。

據BleepingComputer 6月25日消息，堪稱經典的《超級馬里奧 3：永遠的馬里奧》游戲正被網絡攻擊者植入惡意軟件，導致眾多玩家設備受到感染?！冻夞R里奧 3：永遠的馬里奧》游戲一經推出便頗受歡迎，被認為是既保留了馬里奧系列的經典機制，又具有更現代化的圖形、造型和聲音，目前已經發布多個后續版本，修復了錯誤并進行了改進。但Cyble的研究人員發現，攻擊者正在分發安裝程序的修改樣本，并通過游戲論壇、社交媒體群組、惡意廣告等渠道進行分發。研究人員觀察到這些惡意游戲文件包含3個可執行文件，其中1個用于安裝正常的游戲（“super-mario-forever-v702e.exe”），另外兩個“java.exe”和“atom.exe”則會被安裝到受害者的 AppData中的游戲安裝目錄，用來運行 XMR (Monero) 挖礦程序和 SupremeBot 挖礦客戶端。

近日，谷歌聲明將投入2000萬美元，用于在美國各地開設更多的網絡安全實踐診所，以幫助填補美國的網絡安全勞動力缺口，并在不斷變化的威脅面前保持領先地位。周四（6月22日），Alphabet和谷歌首席執行官Sundar Pichai在華盛頓特區的一次活動上與美國網絡安全診所聯盟合作宣布了這一計劃。

Sundar Pichai表示：這筆資金將支持全美20所高等教育機構創建和擴大網絡安全診所。他還提到，人工智能是未來十年影響國家安全的最關鍵技術之一。這些免費診所將為學生提供更多的學習機會，就像法學院或醫學院在他們的社區提供免費診所一樣。他們不僅為學生提供學習和提高技能的機會，同時幫助保護醫院、學校和電網等關鍵基礎設施。聯合會表示，每個被選中的學院、大學或社區學院將獲得高達100萬美元的資金，以增加有興趣從事網絡安全職業的學生的機會。同時，實踐診所內的導師將由具有行業專長的谷歌員工擔任。

近日，著名咨詢機構Verizon發布了《2023年數據泄露調查報告》。該報告對過去一年發生的16312起安全事件進行分析，以及世界各地的執法、政府機構公開發布。據報告的數據顯示，74%的安全事件被證明存在人的因素，這意味著在過去一年時間里，企業員工正在屢屢出錯，包括錯誤使用權限、濫用特權、釣魚攻擊、身份泄露等等。這也反映出社會工程學的可怕，對網絡罪犯來說利潤豐厚。這就是為什么商業電子郵件入侵(BEC)攻擊幾乎翻了一番，如圖所示，在社會工程模式中占了50%以上的事件。在web應用程序的安全事件中，報告指出86%的攻擊涉及使用被盜證書，只有10%真正存在一個實際的軟件漏洞。事實上，濫用數字證書一直是網絡犯罪分子常用攻擊手法，其目的是讓提高惡意軟件的合法性，從而繞過企業的安全防護措施。在過去的一年中，超過32%的Log4j掃描活動發生在其發布后的30天內。