The Hacker News 网站披露，可疑文件和病毒在线检测平台 VirusTotal 曝出数据泄露事故，一名员工无意中将部分 VirusTotal 注册客户的姓名、电子邮件地址等敏感数据信息上传到了恶意软件扫描平台，此举导致约 5600 名用户数据泄露。 据悉，泄露的数据中包含美国网络司令部、司法部、联邦调查局（FBI）和国家安全局（NSA）等美国官方机构有关的账户信息，以及一些属于德国、荷兰、中国台湾和英国的政府机构帐户。
VirusTotal 已紧急处理数据泄漏事件
2004 年，VirusTotal 首次推出，...

云安全公司Orca Security在谷歌云构建（Google Cloud Build）服务中发现了一个关键的设计漏洞，该漏洞会让攻击者的权限升级，使他们可以在未经授权的情况下访问谷歌构件注册表（Google Artifact Registry）代码库。 该漏洞被称为 "Bad.Build"，可使威胁者冒充谷歌云构建管理的服务账户，针对构件注册表运行 API 调用，并控制应用程序映像。 这样，他们就可以注入恶意代码，从而在客户环境中部署恶意软件，导致潜在的供应链攻击。...

加密器在加密前提示信息，来源：BleepingComputer BleepingComputer 被SophosEncrypt加密的文件，来源：BleepingComputer BleepingComputer SophosEncrypt 勒索信，来源：BleepingComputer BleepingComputer...

近日，思科发布安全报告称，已经解决了一个关键的未经认证的RESTAPI访问漏洞，漏洞编号CV-2023-20214(cvss得分9.1)。该漏洞会影响思科SDS-WAN管理软件，允许攻击者发起远程攻击，并且可以获得设备的读写权限或限制写入权限。 SD-WAN是近几年推出的新方案，正在成为未来的发展趋势之一。SD-WAN，即软件定义广域网络，是将SDN技术应用到广域网场景中所形成的一种服务。这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务，旨在帮助用户降低广域网的开支和提高网络连接灵活性。...

近日，美国得克萨斯州西部城市敖德萨市市长Javier Joven宣布，自2022年12月以来，已经有人多次使用前敖德萨市检察官Natasha Brooks的账户非法访问了该市的政府系统，并将大量敏感信息通过电子邮件转移到了一个私人账户，敖德萨警方随即展开调查。 Joven在周一（7月17日）的新闻发布会上表示，敖德萨警察局的报告、人事信息和公共信息申请托管系统均被非法访问。目前尚不清楚所传输数据的确切敏感性，但仅仅是数据泄露本身就令人担忧。 Joven说，尽管具体被非法访问的文件数不确定，但似乎已经确认有数百封电子邮件和其他数据被访问。...

Hackernews 编译，转载请注明出处： 攻击者正在积极利用WooCommerce Payments WordPress插件近期披露的一个严重安全漏洞，作为大规模针对性攻击的一部分。 该漏洞被追踪为CVE-2023-28121 (CVSS得分:9.8)，一种身份验证绕过的情况。漏洞允许未经身份验证的攻击者冒充包括管理员在内的任意用户，并执行一些操作。这可能导致网站被黑客接管。...

根据SpyCloud的最新报告，大多数企业安全主管对利用恶意软件窃取身份验证数据的攻击表示担忧。有53%的受访者表示极度担忧，只有不到1%的人表示根本不担心。 虽然企业普遍关注SSO和云应用程序的被盗身份数据的可见性，但调查显示人员行为仍然困扰着IT安全团队。最容易被忽视的恶意软件人员入口点包括：

57%的企业允许员工在个人和公司设备之间同步浏览器数据，从而使攻击者能够通过受感染的个人设备窃取员工凭证和其他用户身份验证数据，同时保持不被发现。...

Security Affairs 网站披露，Adobe 公司警告客户 ColdFusion 中存在一个严重的预身份验证远程代码执行漏洞，该漏洞被追踪为 CVE-2023-29300（CVSS 评分 9.8），目前可能正在被网络威胁攻击者大肆利用。 Adobe 公司在其向客户发送的一份声明中表示，CVE-2023-29300 漏洞问题由 CrowdStrike 的安全研究员 Nicolas Zilio发现的不可信数据的反序列化， Adobe 已经发现 CVE-2023-29300 在针对 Adobe ColdFusion 的非常有限攻击中被攻击...

美国白宫的国家网络安全战略实施计划有69项举措供各机构执行，但缺乏任何关于数字身份的行动项目，这对想要采取行动的利益相关者来说感到非常震惊。曾在国家标准与技术研究所工作的长期数字身份专家杰里米格兰特表示，英国人发明了“目瞪口呆”这个词来描述这样的事情。 战略于3月发布，将“支持数字身份生态系统的发展”作为战略目标，并预览了政府对数字身份解决方案的投资，例如提供属性验证服务、更新标准和开发数字身份平台。但正如代理国家网络总监肯巴·瓦尔登在与记者的简报中所说的那样，新的“路线图”不包括任何关于数字身份的内容，这是除了数据隐私之外唯一被遗漏的目标。...

各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门，各银保监局，各相关单位：网络安全保险是为网络安全风险提供保险保障的新兴险种，日益成为转移、防范网络安全风险的重要工具，在推进网络安全社会化服务体系建设中发挥着重要作用。 一、建立健全网络安全保险政策标准体系
（一）完善网络安全保险政策制度。加强网络安全产业政策对网络安全保险的支持，推动网络安全技术服务赋能网络安全保险发展，引导关键信息基础设施保护、新兴融合领域网络安全保障等充分运用网络安全保险。加强保险业政策对网络安全保险的支持，指导网络安全保险创新发展，...