据外媒报道，Atlassian周五解决了Confluence服务器和数据中心产品中一个被积极利用的关键远程代码执行缺陷(CVE-2022-26134)。美国网络安全和基础设施安全局 (CISA) 已将该漏洞添加到其 已知被利用漏洞目录中。

6月1日消息，奇安信行业安全研究中心等内部多部门联合发布《2021中国网站安全报告》，从高危端口暴露、第三方漏洞报告、网站攻击拦截、DDoS攻击、僵尸网络等维度，对2021年国内网站安全的整体状况展开了深入的分析与研究。

据外媒报道，美国司法部和联邦调查局周二宣布，他们已经查获了三个与在线销售被盗个人信息和分布式拒绝服务 (DDoS) 攻击相关的域名，查获的具体域名是weleakinfo.to, ipstress.in， 和ovh-booter.com。后两个站点提供 DDoS 攻击服务，前两个站点出售数据泄露信息的访问权限。

据外媒报道，数个美国联邦机构警告组织不要支付Karakurt团伙提出的赎金要求，因为这并不会阻止攻击者将被盗的数据出售给他人。FBI、CISA、美国财政部和FinCEN 在联合公告中表示。“美国政府强烈反对向 Karakurt 威胁参与者或任何承诺删除被盗文件以换取付款的网络犯罪分子支付任何赎金。”美国联邦机构还分享了一份措施清单，以减轻勒索软件威胁，包括优先修补在野外被利用的安全漏洞，培训用户识别和报告网络钓鱼攻击，以及实施多因素身份认证(MFA)。

据外媒报道，网络安全研究人员发现了一种以 RuneScape为主题的新型网络钓鱼活动用以窃取游戏帐户和游戏内物品银行 PIN。RuneScape是20年前首次发布的免费在线MMORPG游戏，但在游戏社区仍然很受欢迎，并受到数百万玩家的喜爱。目前，该游戏在论坛上维护了网络钓鱼报告中心，以帮助保护玩家免受网络钓鱼的危害。

据外媒报道，攻击者瞄准了安全性很差的Elasticsearch数据库，用赎金票据替换了 450 个索引，要求 620 美元来恢复内容，总计279000美元。根据Secureworks的说法，攻击者使用自动化脚本来解析未受保护的数据库、擦除其数据并添加赎金，因此在此操作中似乎没有任何手动参与。Group-IB 最近的一份报告显示，2021 年网络上暴露的 Elasticsearch 实例超过 100,000 个，约占 2021 年暴露数据库总数 308,000 个的 30%。

据外媒报道，欧洲刑警组织在近期一次由11国组成的联合执法行动中，宣布正式取缔主要针对用户网银账号的恶意软件组织FluBot。FluBot是现存规模最大、增长最快的 Android 恶意软件之一，通过在受害者打开合法应用程序的界面上覆盖网络钓鱼页面来窃取银行和加密货币帐户凭证。欧洲刑警组织建议，如果用户设备不幸中招，应立即执行恢复出厂设置，以擦除分区中可能托管恶意软件的所有数据。

5月26日，美国白宫科技政策办公室（OSTP）发布了联邦资助研究数据库理想特征指南（Guidance on Desirable Characteristics of Data Repositories for Federally Funded Research），为在全美范围内建立和完善统一、规范的联邦公共研究数据库提供指导。OSTP明确定义了两类在线研究数据库的理想特征：一类适用于所有类型的联邦资助研究数据；另一类适用于涉及人类的研究数据，包括了额外的数据安全和隐私要求。

据外媒报道，乌克兰国家网络防御中心 (SCPC) 的网络快速反应小组分享一份报告，该报告强调了乌克兰2022年第一季度的近1400万起网络安全事件。SCPC 的报告显示，这些网络安全事件主要是通过网络钓鱼和未修补的漏洞发起的，其次是DoS DDoS攻击。

据外媒报道，近日，FDA 发布医疗器械网络安全指南。FDA 的医疗设备网络安全指南要求制造商的设备具有软件、固件或可编程逻辑，以及作为医疗设备的软件 (SaMD)，将与这些设备的设计、安全和使用相关的网络安全风险降至最低。总体而言，FDA 了解网络安全威胁形势正在迅速发展，需要医疗设备制造商持续监控并采取适当的纠正和预防措施，同时及时与医疗设备用户沟通，以建立其对网络安全威胁的认识。

据外媒报道，哥斯达黎加的公共卫生服务机构哥斯达黎加社会保障基金（CCCS）遭到 Hive 勒索软件攻击。目前，当局正在调查安全漏洞，但公共卫生服务部门证实，攻击并未影响统一数字健康（EDUS）和集中税收征收系统（SICERE）数据库，并表示，该事件并未影响工资和养老金服务。

据外媒报道，Shadow Server 的研究人员在互联网上扫描了端口 3306 TCP 上可公开访问的 MySQL 服务器实例，并发现全球有 360 万个安装响应其查询。研究人员表示，如果没有保护好MySQL数据库服务器，可能会导致灾难性的数据泄露事件、破坏性攻击、赎金勒索、远程访问木马（RAT）感染，甚至是CobaltStrike攻击。组织应采用适当的安全措施，使设备无法通过简单的网络扫描被访问。

据外媒报道，Check Point 的研究人员发现了一个新版本的 XLoader 僵尸网络，其可以使用新技术来隐藏其 C2 服务器。 Check Point 表示，升级后的 XLoader v.2.5 利用概率论中的大数定律对算法进行了重大更改，这些修改同时实现了两个目标：僵尸网络中的每个节点都保持稳定的击退率，同时欺骗自动化脚本并阻止发现真正的 C2 服务器。

据外媒报道，微软正在推出另一个安全身份和访问领域的新品牌产品套件Microsoft Entra。Microsoft Entra包括所有Microsoft的身份和访问产品:Azure Active Directory、云基础架构授权管理(CIEM)和分散身份。Entra旨在提供身份和访问管理、云基础设施管理和身份验证。

据外媒报道，新加坡已宣布计划试点资产代币化用例，并评估由区块链技术支持的自主交易的可行性，包括开发可互操作的网络以促进数字资产交易以及评估防范潜在风险所需的法规。行业监管机构周二表示，这项名为Projected Guardian的倡议将促使新加坡金融管理局(MAS)与行业参与者合作，探索资产代币化的“经济潜力”。

在2022 中国国际大数据产业博览会举办首届 “个人数据中心” 主题论坛上，中国首个《个人数据中心白皮书》正式发布。《白皮书》涵盖了个人数据中心 (PDC) 的基本概念、技术构成及应用场景，为推动新业态的新发展提供了路径参考。李骁宇介绍，“《个人信息保护法》的实施，让用户从平台索取数据成为有法可依的事情，个人数据中心就是要帮助用户依法取回属于自己的数据，并管理好自己的数据。”

据外媒报道，针对昨天的Microsoft Office 零日漏洞（编号 CVE-2022-30190），微软分享了缓解措施，管理员和用户可以通过禁用MSDT URL协议来阻止利用CVE-2022-30190的攻击。

近日，通付盾北斗团队整理发布了2022年第一季度移动应用安全季报。报告介绍了移动应用的整体情况、相关法律法规、APP隐私合规情况、APP漏洞情况和移动安全趋势分析等内容。

据外媒报道，英国政府已经启动了一项意见征求，以收集关于加强本地数据中心和云服务的安全性和弹性的反馈，以防止宕机和国家安全威胁。媒体、数据和数字基础设施国务部长Julia Lopez表示，数据中心和云平台是英国国家基础设施的重要组成部分。意见征求将从现在开始持续到7月24日。

据外媒报道，银行木马 FluBot 正在针对全欧洲发起一场新型诈骗攻击，攻击利用虚假短信投递恶意链接，用户一旦点击恶意链接，窃取数据的恶意软件就会被植入受害者的手机中。FluBot 正在投入大量的精力用于扩大攻击范围，无论是平台还是语言。受影响最大的是德国、罗马尼亚、英国、波兰、西班牙、瑞典、奥地利、芬兰和丹麦。