据Cyber News 6月20日消息，云安全公司的研究表明，在针对云的网络攻击中，攻击者能够在短短两分钟内发现配置错误和易受攻击的资产，并立刻开始对其进行利用。Orca Security 为此进行了为期6个月的研究，在9个不同的云环境中设置了蜜罐，这些蜜罐旨在模拟错误配置的资源以吸引攻击者，每个蜜罐都包含一个 AWS 密钥。

随后，Orca 密切监视每个蜜罐，以观察攻击者是否以及何时会上钩，目的是收集对最常见的目标云服务、攻击者访问公共或易于访问的资源所需的时间，以及他们发现和利用泄露的数据所需的时间。

根据报告，GitHub、HTTP和SSH上暴露的敏感信息仅在5分钟内就被发现，AWS S3则在一小时内被发现。Orca Security 云威胁研究团队负责人 表示，虽然每种资源的策略有所不同，但研究清楚地表明如果，只要敏感信息被泄露，就会被攻击者利用。

6 月中旬，国内某新闻媒体披露上海商圈中一家星巴克点餐小程序过度索客户信息，仅是点 1 杯咖啡，消费者至少被弹窗提示注册会员 3 次，弹窗索要定位授权 2 次。对此，上海市网信办、市市场监管局共执法人员指出上述问题涉嫌违反《个人信息保护法》的有关要求，已要求门店方按时参加约谈，并将指导相关企业进一步整改。记者调查期间，顾客扫描星巴克前台的二维码时，页面首先跳转出现“扫码入会 领券立减”整屏活动海报（这个无法直接关闭），当用户点击下方“领取”按钮后，页面又直接跳转进入“微信用户一键登录”页。

值得一提的是，此时需要用户勾选同意相关隐私政策和绑定协议，做好这一切后，点击“登录”，页面下方又弹窗索要手机号授权，显示可用微信手机号一键绑定或者其他手机号快速注册成为会员。一番操作下来，小程序这才跳转出现堂食点单入口，本来一键点击购买，付账的流程，硬生生的被玩成了“关卡游戏”。

2023 年 6 月，俄乌军事冲突来到僵持阶段，双方在热武器层面的较量开始零敲碎打。但网络空间战场上，一方凭借自家网军强大战斗力，一方站在欧美网军肩膀上，彼此之间角力愈发精彩，仅 2023 年就展开数十次交锋。俄罗斯网军建制化部署早、经验足，作战能力尤为突出。虽然乌克兰自身网络战实力不济，但背靠欧美网军，整个军事冲突期间竟”不落下风“，其中欧美国家支持力度最大，”叫“的最响的当属英国。俄乌军事冲突中网络战战略地位大大“刺激”了英国政府的敏感神经，后者开始重新审视网络战在军事冲突中的战术地位。论及自身网络战实力，英国网军虽”冠绝欧盟“，但相比中美俄则略显“鸡肋”。基于此，2022 年 12 月 15 日，英国当局发布 2022 年新版《国家网络战略》，相较前几版又再次拔高对网络空间的重视程度，力争在《国家网络战略》加持下，建设一只足以改变战争格局，震慑其它国家的网军。

根据“公安部网安局”微信公众号发布的消息，2023年3月，浙江温州公安网安部门在查处一起涉数据安全违法案件时发现问题。浙江某科技有限公司为浙江某县级市政府部门开发运维信息管理系统的过程中，在未经建设单位同意的情况下，将建设单位采集的敏感业务数据擅自上传至租用的公有云服务器上，且未采取安全保护措施，造成了严重的数据泄露。浙江温州公安机关根据《中华人民共和国数据安全法》第四十五条的规定，对公司及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。针对建设单位失管失察、未履行数据安全保护职责的情况，当地纪委监委依照《温州市党委（党组）网络安全工作责任制实施细则》规定，对建设单位主要负责同志、部门负责人等4人分别作出批评教育、诫勉谈话和政务立案调查等追究问责决定。下一步，公安机关将持续贯彻落实《网络安全法》等法律法规，全方位加强网络安全监督检查。

据BleepingComputer 6月25日消息，堪称经典的《超级马里奥 3：永远的马里奥》游戏正被网络攻击者植入恶意软件，导致众多玩家设备受到感染。《超级马里奥 3：永远的马里奥》游戏一经推出便颇受欢迎，被认为是既保留了马里奥系列的经典机制，又具有更现代化的图形、造型和声音，目前已经发布多个后续版本，修复了错误并进行了改进。但Cyble的研究人员发现，攻击者正在分发安装程序的修改样本，并通过游戏论坛、社交媒体群组、恶意广告等渠道进行分发。研究人员观察到这些恶意游戏文件包含3个可执行文件，其中1个用于安装正常的游戏（“super-mario-forever-v702e.exe”），另外两个“java.exe”和“atom.exe”则会被安装到受害者的 AppData中的游戏安装目录，用来运行 XMR (Monero) 挖矿程序和 SupremeBot 挖矿客户端。

近日，谷歌声明将投入2000万美元，用于在美国各地开设更多的网络安全实践诊所，以帮助填补美国的网络安全劳动力缺口，并在不断变化的威胁面前保持领先地位。周四（6月22日），Alphabet和谷歌首席执行官Sundar Pichai在华盛顿特区的一次活动上与美国网络安全诊所联盟合作宣布了这一计划。

Sundar Pichai表示：这笔资金将支持全美20所高等教育机构创建和扩大网络安全诊所。他还提到，人工智能是未来十年影响国家安全的最关键技术之一。这些免费诊所将为学生提供更多的学习机会，就像法学院或医学院在他们的社区提供免费诊所一样。他们不仅为学生提供学习和提高技能的机会，同时帮助保护医院、学校和电网等关键基础设施。联合会表示，每个被选中的学院、大学或社区学院将获得高达100万美元的资金，以增加有兴趣从事网络安全职业的学生的机会。同时，实践诊所内的导师将由具有行业专长的谷歌员工担任。

近日，著名咨询机构Verizon发布了《2023年数据泄露调查报告》。该报告对过去一年发生的16312起安全事件进行分析，以及世界各地的执法、政府机构公开发布。据报告的数据显示，74%的安全事件被证明存在人的因素，这意味着在过去一年时间里，企业员工正在屡屡出错，包括错误使用权限、滥用特权、钓鱼攻击、身份泄露等等。这也反映出社会工程学的可怕，对网络罪犯来说利润丰厚。这就是为什么商业电子邮件入侵(BEC)攻击几乎翻了一番，如图所示，在社会工程模式中占了50%以上的事件。在web应用程序的安全事件中，报告指出86%的攻击涉及使用被盗证书，只有10%真正存在一个实际的软件漏洞。事实上，滥用数字证书一直是网络犯罪分子常用攻击手法，其目的是让提高恶意软件的合法性，从而绕过企业的安全防护措施。在过去的一年中，超过32%的Log4j扫描活动发生在其发布后的30天内。