• 快一年了，VMware这一高危漏洞仍未解决

据消息，VMware于近日通知客户，vCenter Server 8.0（最新版本）仍在等待补丁来解决 2021 年 11 月披露的高严重性特权提升漏洞。该安全漏洞 CVE-2021-22048 由 CrowdStrike 的 Yaron Zinar 和 Sagi Sheinfeld 在 vCenter Server 的 IWA（集成 Windows 身份验证）机制中发现，影响范围涉及到了 VMware 的 Cloud Foundation 混合云平台部署，具有非管理访问权限的攻击者可以利用漏洞，在未打补丁的服务器上将权限提升到更高权限组。

• 新西兰一网络公司遭黑客攻击！45万人医疗数据流入暗网

据报道，一家位于新西兰北岛的医疗网络公司遭到网络攻击，患者的私人信息现已被公开上传到互联网上，涉及大约45万人的个人信息数据！此前，据报道，Pinnacle Midlands Health Network卫生网络被黑客攻击，约45万用户的隐私数据被窃取。对此，该网络公司发表声明称，受影响的网络立即被断线并得到了控制。但公司首席执行官Justin Butcher表示，黑客似乎在攻击被发现之前就已经从系统中获取了商业和个人信息，目前该公司仍不清楚该攻击者身份。

• 违反数据保护和营销法 英零售商Easylife被罚170万美元

英国零售商Easylife因违反《通用数据保护条例》和营销法而被该国信息监管机构罚款近150万英镑。英国信息专员办公室表示，Easylife在未经客户同意的情况下使用其个人信息向他们推销健康相关产品，而这种“隐形”数据处理是非法的。

• 美媒：美国14家机场遭俄黑客攻击 网站无法打开

据报道，近日，美国14家机场的网站出现故障无法访问，报道称俄罗斯黑客组织Killnet宣布对此负责。被黑的网站包括亚特兰大市的哈茨菲尔德-杰克逊国际机场和洛杉矶国际机场的网站，这也是美国最繁忙的两个机场。报道称，网站故障没有对航空旅行产生直接影响，但可能会给使用网站的乘客带来不便。

• 暗网市场BidenCash免费送出120万张“信用卡”

一个名为 “BidenCash “的暗网刷卡市场为了宣传他们的市场，发布了1221551张信用卡的大规模转储，允许任何人免费下载这些信用卡进行金融欺诈。泄露数据中涉及1221551 条信用卡和借记卡记录，其中包含信用卡号、到期日、3 位数卡验证值 (CVV)、持卡人姓名、关联银行名称、地址信息、出生日期、电子邮件和电话号码，以及美国持卡人的社会安全号码。

• “致命”Caffeine允许任何人发起Microsoft 365网络钓鱼攻击

一个名为“Caffeine”的网络钓鱼即服务 (PhaaS) 平台使威胁行为者可以轻松发起攻击，其特点是开放式注册过程，允许任何人加入并开始自己的网络钓鱼活动。Caffeine不需要邀请或推荐，也不需要想要成为威胁者的人获得Telegram或黑客论坛管理员的批准。同时，Caffeine的另一个显著特点是其网络钓鱼模板主要针对的是俄罗斯平台，而大多数PhaaS平台往往专注于对西方服务的诱饵。

• LockBit公司的附属机构破坏了微软的Exchange服务器以部署勒索软件

韩国网络安全公司AhnLab报告说，Lockbit勒索软件的附属公司正在通过被破坏的微软Exchange服务器分发其恶意软件。据悉，2022年7月，该安全公司的一个客户经营的两台服务器被感染了LockBit 3.0勒索软件。威胁者最初在被破坏的Exchange服务器上部署了Web shell，然后只花了7天时间就将权限升级为活动目录管理员，并在加密网络中托管的系统之前窃取了大约1.3TB的数据。

• 乌克兰地区星链卫星受到俄罗斯Tirada电子干扰综合体干扰

据报道，俄罗斯安全部门的一名消息人士表示，由于“星链”（Starlink）卫星出现故障，乌克兰军队正在遭受重大损失，其参谋指挥部陷入混乱和恐慌。该消息人士称，由于缺乏互联网稳定通信通道，乌克兰军事指挥官很晚才收到来自前线的信息，并指出“星链”工作的中断导致乌军方之间的合作出现问题，导致其作战任务的规划和执行变得很复杂。据英国《金融时报》早些时候报道，星链卫星系统工作出现中断，但官方并未透露中断原因。

• 白宫公布消费者设备网络安全标签计划：参考能源之星

据报道称，一位要求匿名的白宫高级官员告诉该媒体，白宫国家安全委员会周二宣布一项消费品网络安全标签计划的计划，该计划旨在改善对互联网连接设备的数字保护。来自消费品协会、制造公司和技术智囊团的大约50名代表将于下周三在白宫召开会议专题讨论，预计2023年春季推出该计划。

• 加快推进我国数字法治政府建设的建议

近年来，我国陆续出台了《网络安全法》《数据安全法》《个人信息保护法》《中华人民共和国电信条例》《互联网信息服务管理办法》《关键信息基础设施安全保护条例》等一系列法律法规，给数字中国、数字社会、数字政府建设提供了坚实的法律保障，同时也让政府在数字时代更加有矩可循。数字法治政府的建设要始终坚持以人民为中心，以促进国家治理体系和治理能力现代化为导向，在数字政府建设中发挥法治固根本、利长远、稳预期的重要作用。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台  火绒安全 亚信安全 奇安信威胁情报中心 卡巴斯基 MACFEE  Symantec 白帽汇安全研究院   安全帮