Google Project Zero研究人员日前发布一份报告，称在2022上半年，攻击中利用的漏洞中至少有一半与未正确修复的老旧漏洞有关。报告指出，截至2022年6月15日，已检测到18个0 day被披露并在野利用。当分析这些漏洞时，发现至少9个是先前修复的漏洞的变种。例如，最近发现的Windows漏洞Follina（CVE-2022-30190），是MSHTML零日漏洞（CVE-2021-40444）的变种。

近日，Google发布安全更新，修复了2022年Chrome中的第4个0day。该漏洞是WebRTC（Web实时通信）组件中基于堆的缓冲区溢出漏洞（CVE-2022-2294），由Avast的研究团队于7月1日披露。Google透露该漏洞已被在野利用，但并未公开关于攻击的技术细节等信息。此外，此次更新还修复了V8中的类型混淆漏洞（CVE-2022-2295）。

7月4日，浙江高院从全省法院近年来审结的有关案件中选取发布侵犯公民个人信息犯罪典型案例，包括物业、房产公司员工非法出售业主信息，以非法侵入他人计算机信息系统的方式获取公民个人信息，购买含有“姓名、电话、住址、物业费、住房面积”等内容的信息，非法获取学生学籍等信息并出售，手机店主将在提供服务中获得的公民个人信息出售给他人，通信公司员工利用营销之便出售他人手机号及验证码等，以上案例均构成侵犯公民个人信息罪。

据The Hacker News网站消息， 2021年9月至2022年1月间，一名TikTok工程师访问了美国用户数据引起的担忧加剧后，该公司正在试图安抚美国立法者，并表示正在采取措施 ，加强数据安全保护。据悉，在发给九位美国参议员的信中，TikTok承认一些员工可以访问美国用户信息，信中指出访问数据时要求这些员工必须通过许多内部安全协议。除此之外，该公司表示正在计划从其在新加坡和美国的备份服务器中删除美国数据，并完全切换到位于美国的甲骨文云服务器。

今年以来，国家网信办反诈中心排查打击仿冒APP4.2万个，并纳入国家涉诈黑样本库。目前，国家涉诈黑样本库已涵盖并处置涉诈网址380.4万个、APP51.4万个、跨境电话41.5万个，互联网预警劝阻平台预警超20亿人次。近期，国家网信办反诈中心监测发现多起仿冒投资平台进行诈骗的事件。诈骗分子仿冒京东金融、马上金融、360借条等平台，推出大量“李鬼”式APP，以相似标志和产品介绍以假乱真，以“小额返利”等诱导网民进行访问下载，进而实施诈骗。

据美联社报道，黑客对美国一家软件公司的网络攻击扰乱了该国几个州数千人的失业救济金和求职援助的线上申请过程。在田纳西州，在供应商Geographic Solutions声称该州服务将被中断后，直至当地时间6月30日早上，该州的失业救济金网站仍然处于关闭状态。目前，大约1.2万名依靠失业计划生活的田纳西州人还没有收到他们的救济款，而且他们何时再次收到还没有时间表。同时，美国其他几个州的失业网站也受到影响。在路易斯安那州和内布拉斯加州的失业救济网站也因遭攻击而停摆。

尽管黑客声称成功入侵并对其数千台计算机进行了加密，但沃尔玛近日表示，其遭到Yanluowang团伙的勒索软件攻击事件相关报道均为不实信息。沃尔玛在给 媒体的一份声明中表示，他们的信息安全团队正在7*24小时的全天候监控系统，并没有黑客所声称的那些情况出现。

据央视报道，7月2日凌晨起，日本第二大移动运营商KDDI因设备问题突发通信故障，影响全国近4000万用户。故障发生后，KDDI用户的手机均显示没有信号，无法接打通话。同时，日本全国约1300个气象观测点有接近四成瘫痪，在台风逐渐逼近的情况下引发不小恐慌。此外，部分银行自动取款机、公交乘车卡、丰田等车企部分车联网服务，也都无法使用。一直到7月3日中午12时左右，故障才得到解决，持续超过36个小时，而且通信量依然限流，全面恢复时间待定。

索尼自创立以来就有一条不成文的规定，那就是“不经营关乎人类生命的产品”。而在回应股东疑问时，索尼会长兼社长吉田宪一郎针对与本田联手涉足的纯电动汽车（EV）表示“为了2025年推出纯电动汽车，将做到万无一失”。据其介绍，“推出纯电动汽车的主体是索尼与本田共同出资成立的公司。主要由该公司承担责任”，同时回答说“安全方面必须采取充分的对策”。

微软宣布修复了旗下应用程序托管平台Service Fabric（SF）的容器逃逸漏洞“FabricScape”。利用此漏洞，恶意黑客可以提升至root权限，夺取主机节点控制权，进而危及整个SF Linux集群。Palo Alto Networks公司表示，“虽然我们并未发现任何成功利用该漏洞的在野攻击，但仍然希望能敦促各组织立即采取行动，确认自身环境是否易受攻击，并迅速安装补丁。”

据外媒报道，一名加拿大前政府雇员 Sebastien Vachon-Desjardins 已经承认参与俄罗斯网络犯罪集团NetWalker有关的指控。该名男子今年3月被引渡到美国，面临数十次勒索软件攻击指控，导致支付了数千万美元赎金。随着该男子承认相关指控，媒体报道称他可能面临10年监禁。

韩国网络安全机构 KISA 最近发布了一个免费的勒索软件加密解密器，适用于 Hive 勒索软件 v1 到 v4 版本。与加密器一同发布的还包括一份用户操作手册，其中提供了免费恢复加密数据的分步说明。Hive 是全世界范围内活跃的勒索软件之一，据报道指出，解密器能力来自于研究人员发现 Hive 勒索软件加密算法中的一个缺陷。

谷歌威胁分析小组 (TAG) 周四披露，他们已采取行动阻止了多达 36 个由来自印度、俄罗斯和阿联酋的黑客组织运营的恶意域。据称，最近由印度黑客出租运营商发起的一项活动针对的是塞浦路斯的一家 IT 公司、尼日利亚的一家教育机构、巴尔干地区的一家金融科技公司和以色列的一家购物公司，这表明受害者的广度。

6月30日，360政企安全集团安全人才能力发展中心全面升级360安全教育云平台，为广大院校、政企单位提供一站式在线人才安全教育解决方案，该平台围绕数字安全领域，配合实验实践系统，为用户提供涵盖线上直播教学、录播学习、实验练习、考试测评、安全认证以及人才对接等服务，以一站式在线人才安全教育解决方案，能够助力用户构建更高效、便捷的人才培养路径。

6月29日晚，BOSS 直聘通过官方微博宣布，经报网络安全审查办公室同意，即日起恢复“BOSS 直聘”的新用户注册。后续，公司将采取有效措施，切实保障平台设施安全和大数据安全，维护国家安全。满帮同样通过官方微博宣布，近一年来，公司认真配合国家网络安全审查，严肃对待审查中发现的安全问题，进行了全面整改。经报网络安全审查办公室同意，即日起恢复“运满满”、“货车帮”的新用户注册。

国外安全研究团队ReversingLabs 最近称，发现了一个新版本的 AstraLocker 勒索软件 (AstraLocker 2.0)，它直接从 Microsoft Office 文件中分发，用作网络钓鱼攻击的诱饵。分析表明，负责此次活动的威胁行为者很可能从2021 年 9 月的 Babuk 勒索软件泄漏中获得了 AstraLocker 2.0 的底层代码。这突显了在影响 Babuk 的代码泄露之后给组织带来的风险，因为大量低技能、高积极性的参与者利用泄露的代码组装勒索软件开始发起攻击。

近期，起亚汽车发布了《360° 全景功能关闭通知》公告，起亚汽车表示，“根据国家个人信息保护及汽车 数据安全管理相关法律法规的要求，自 7 月 11 日起，将关闭 360° 全景功能。我们对此深表歉意 ，敬请谅解。”据悉，2021年10月1日起，我国开始实施《汽车数据安全管理若干规定（试行）》（以下简称《规定》）。按照《规定》相关条例，要求“默认不收集原则，除非驾驶人自主设定，每次驾驶时默认设定为不收集状态”，保障车主个人信息安全。

2022年6月30日，IDC发布的《2021中国公有云托管安全服务市场份额》报告显示：2021年，中国公有云托管安全服务的市场规模为6,420万美金（约4.1亿元人民币），同比增长41.6%，实现了市场的高速增长。阿里云（7216万）、腾讯云（ 6191万）、安恒信息 （3977万）、中国电信 （2952万）、华为云（2132万）共同占据半数以上的市场份额。

6月28日，Unit 42披露了微软Service Fabric中的漏洞FabricScape（CVE-2022-30137)的详情。该漏洞存在于诊断收集代理(DCA)组件中，可在配置为具有运行时访问权限的容器上被利用，虽然存在于两个操作系统平台上，但只能在Linux上被利用。微软透露称，该漏洞可被用来提权，并获得对资源主机SF节点和整个集群的控制权。6月14日，该漏洞已在Service Fabric 9.0累积更新中得到修复。

据外媒6月28日报道，立陶宛的国家税务监察局(STI)和会计服务提供商B1.lt等多个组织遭到了Killnet团伙的DDoS攻击。攻击发生在6月27日，该国国家网络安全中心(NKSC)证实，此次事件影响了国家安全数据传输网络以及私营和公共部门的组织。并表示，这种攻击很可能会持续几天，主要是针对通信、能源和金融领域。Killnet在一段视频中声称对此事负责，并补充说他们已经攻击了1652个网络资源，在39小时内实现了对立陶宛70%的网络基础设施的隔离。