据FBI表示，一名18岁的威斯康星州男子被指控入侵博彩网站，并从使用该网站的个人账户持有人那里窃取数十万美元。据悉，该男子入侵了数千个个人账户，还出售这些账户的访问权限，包括教学如何提取账户内的资金。据FBI透露，该行动大约始于2022年11月下旬，该男子及其同伙对一个体育博彩网站发起了撞库攻击，从大约1600个受害者账户中窃取大约60万美元。目前，该男子被指控犯有六项刑事罪，最高将面临50年的监禁。

据Dr. Web的安全研究人员近日表示，在多个应用程序中发现了一种新型Android恶意软件，主要作为广告SDK分发，据统计，恶意软件在Google Play中总计被安装了4.21亿次。研究人员将该间谍软件模块称为“SpinOk”，并称该模块可以窃取存储在用户设备上的私人数据并将其发送到远程服务器。目前，研究人员表示已经联系了Google，并建议用户安装防病毒工具。

据外媒报道，北美MCNA牙科公司近期在其网站上发布了一份数据泄露告示称，超890万患者个人数据遭泄露。MCNA 牙科是美国最大的牙科护理和口腔健康保险提供商之一。MCNA 在其通告中表示，3 月 6 日内部人员发现其计算机系统遭到未经授权访问后，立即展开了调查，结果显示某黑客在2 月 26 日 侵入了其内部网络系统。在此期间，黑客窃取超890万用户的个人信息数据。目前，MCNA已上报了该攻击事件，并表示公司内部已采取了一切可用措施补救。

据外媒报道，Jimbos协议近期遭遇闪电贷攻击，损失4000 ETH，价值超750万美元。Jimbos发推证实了该攻击事件，并称已通知了执法机构，正在解决相关的安全问题。据悉，攻击发生在该平台启动其V2协议的三天后。jimbo代币具有由资产支持的半稳定底价，而该平台实施了税收和激励等机制来帮助维持稳定的价值，不过，在黑客入侵之后，jimbo的价格迅速暴跌。

据外媒报道，在线体育零售商Sports Warehouse已同意全面修改其安全计划，并就影响超过100万美国消费者的数据泄露事件向纽约州支付30万美元罚款。此前，调查人员发现，这家零售商在其电子商务服务器上以纯文本格式存储了近20年用户消费数据。纽约总检察长在Sports Warehouse首席执行官Drew Munster签署的和解协议中援引Sports Warehouse未能加密，以及未能及时删除敏感消费者信息而处以罚款。

据Salt Security安全研究人员表示，用于数百线上服务的知名开发框架Expo出现可劫持账号的重大漏洞，该漏洞是在Expo使用的开放授权(OAuth)社交登录功能中发现的，有可能影响任何通过Facebook、Google、Apple和Twitter账户使用Expo框架登录在线服务的用户。据悉，该Expo漏洞编号为CVE-2023-28131，攻击者可以利用该漏洞全面接管账户，造成身份盗窃、金融欺诈、信用卡盗窃等。

据外媒30日报道，RaidForums数据库遭到泄露，47.8万名成员个人信息被曝光。RaidForums 是一个黑客和数据泄露论坛，以托管、泄露和出售从被入侵组织窃取的数据而闻名。据悉，被泄露的数据库中的一个SQL 注册表文件中包含了2015年3月20日至2020年9月24日期间 47.8万 名 RaidForums 成员的注册信息，包括用户名、电子邮件地址、散列密码、注册日期以及与论坛软件相关的其他信息。

近日，灰度安全宣布完成数千万元Pre-A轮融资，投资方为安恒信息，航行资本担任独家财务顾问。本轮融资将主要用于产品研发迭代、专家知识研究和市场拓展。灰度安全是一家专注安全风险评估自动化的企业，其自主研发的先知·智能风险评估系统是一款利用BAS+VPT+ASM技术帮助用户解决风险度量问题的平台，能够有效帮助企业提升主动防御能力。

近日，北京商报记者调查发现，在社交平台上，有很多代刷在招揽生意，他们提供的服务包括刷分、刷评、刷赞等，价格从 4 元到 15 元不等，根据账号的权重和评论的内容而定。此外，还有部分代刷提供售后服务，保证评论不会被删除。对于这种行为，专家认为，需要运营平台来加强监管和规范，维护作品的公正评价和消费者的知情权。同时，代刷差评也可能涉嫌违法犯罪，损害了作品的商品声誉和权利人的合法权益。

据媒体30日报道，密码管理工具 LastPass 正面临用户集体诉讼，该公司此前连续遭到三次黑客入侵，大量用户数据遭到泄露，导致这些用户面临身份盗窃、信用卡盗刷等人身威胁。据悉，LastPass 公司在今年 1 月与 4 月都遭到了用户的集体诉讼。安全专家 Wladimir Palant 表示，“LastPass 公司的数次密码外泄事件可能已让黑客利用数据建立了完整的密码档案库”。安全专家 Jeremi M Gosney 则建议用户尽快换成其他可靠的密码管理工具。

据媒体29日报道，RaidForums的用户数据库已在某个黑客论坛上被公开。该数据库的日期显示为2020年9月，内容包含网站所有者、Omnipotent、版主和知名用户的条目。研究人员通过抽查数据库，发现了部分个人的用户名、电子邮件地址和jabber ID。发布该数据库的管理员指出，有一些用户信息已被删除。目前还没有迹象表明这个数据库是如何泄露的、是谁首先泄露的或为什么被公开。

Unit 42近日披露了一个名为IZ1H9的Mirai变体利用多个漏洞进行传播的活动。据悉，研究人员在4月10日发现该活动，攻击者使用了Tenda G103命令注入漏洞（CVE-2023-27076）、LB-Link命令注入漏洞（CVE-2023-26801）、DCN DCBI-Netlog-LAB远程代码执行漏洞（CVE-2023-26802）以及Zyxel远程代码执行漏洞，来攻击目标服务器和网络设备。被感染设备可被攻击者控制成为僵尸网络的一部分，并被用于进一步攻击，例如DDoS攻击。

29日，Bleeping Computer 网站披露，CISA 发布公告称上周有一个打补丁的零日漏洞（CVE-2023-2868）被网络攻击者用来入侵 Barracuda电子邮件安全网关（ESG）设备。目前，美国网络安全局已将该漏洞添加到其野外利用的安全漏洞目录中。CISA要求，联邦民用行政部门机构（FCEB）机构必须按照 BOD 22-01 约束性操作指令的命令修补或缓解上述漏洞。

28 日消息，马斯克在执掌推特之后，制定了一系列颇具争议的政策，近日宣布退出欧洲的《反虚假信息行为守则》。推特于 2018 年，和谷歌、微软、Facebook 等诸多科技企业自愿加入，签署该《守则》。对此，欧盟内部市场专员表示，这并不代表推特没有打击虚假信息的义务。德国内政部长费瑟谴责称，欧盟很快将制定更严格的规则并强制执行。

29日，全国信安标委发布《网络安全标准实践指南—网络数据安全风险评估实施指引》，该《实践指南》给出了网络数据安全风险评估的评估思路、工作流程和评估内容，提出从数据安全管理、数据处理活动、数据安全技术、个人信息 保护等方面评估安全风险。其中指出，网络数据安全风险评估，主要围绕数据和数据处理活动，聚焦可能影响数据的保密性、完整性、可用性和数据处理合理性的安全风险。

29日举办的“脑机接口创新发展论坛”上，工信部总工程师赵志国称，在产业界共同努力下，我国已经形成覆盖基础层、技术层与应用层的脑机接口全产业链，并在医疗、教育、工业、娱乐等领域应用落地。他提出，一是增强脑机接口产业的创新能力；二是完善脑机接口的产业生态；三是夯实脑机接口的产业基础。他表示，工信部将把脑机接口作为培育未来产业发展的重要方向，加强脑机接口应用场景的探索，加速推动脑机接口产业蓬勃发展。

近期，英国竞争和市场管理局在一份声明中表示，Meta已承诺不会在其Facebook Marketplace在线分类广告服务中使用竞争对手的广告数据，以解决市场对竞争的担忧。管理局的初步看法是，Meta的提议解决了其竞争问题。如果承诺被接受，竞争的广告商可以选择不让Meta使用他们的广告数据。其他提议的变化包括Meta限制在英国产品开发中使用的广告数据。目前，管理局尚未发现任何违反竞争法的行为。

29日，微信安全中心发布了关于个人帐号发布违禁品营销信息的治理公告。自 2023 年 1 月截至目前，共计对 7236 个发布“违禁品”营销信息的微信帐号，1871 个微信群聊进行限制功能使用或限制登录等阶梯式处罚。此前，微信安全中心也发布了公众号运营者相关治理公告，公告表示，公众号运营者需对发布内容进行严格审查，满足合规性要求。通过各种形式推销商品或者服务，并附加购物链接等购买方式的，应当显著标明“广告”字样。

据外媒报道，一种新型”浏览器文件压缩包 “钓鱼工具被试验出可滥用ZIP域名，在浏览器中显示虚假的WinRAR或Windows文件资源管理器窗口，以诱导用户启动恶意文件。ZIP域名是本月由谷歌推出的8个新高级域名（TLD）之一，用户可用于托管网站或电子邮件地址。研究人员表示，该工具包可用于在打开 .zip 域时直接在浏览器中嵌入一个伪造的 WinRar 窗口，使用户看起来就像打开了一个 ZIP 压缩包，可被用于凭证盗窃或传播恶意软件等。

Python 第三方套件存储库 PyPI近期在其官方博客中宣布，为了提高平台的安全性，维护在 PyPI 上的任何项目或组织的账户都必须启用 2FA。这项强制要求将在 2023 年底前生效，在未来所有软件发布者都需启用这项登录验证，否则将无法登录该账号。PyPI 团队表示：“对所有账户强制执行 2FA 是增强平台安全性长期承诺的一部分，它可以防止凭据和 API 令牌泄露，并减少恶意软件的数量。”