德国波鸿和萨尔布吕肯的研究人员们从无人机巨头大疆（DJI）的产品中发现多个安全漏洞，其中部分漏洞相当严重。例如，用户可利用漏洞修改无人机的序列号，或覆盖掉安全当局用于跟踪无人机及其操纵者的机制。在特定攻击场景下，无人机甚至可能在飞行中被远程击落。 德国波鸿鲁尔大学Horst Görtz IT安全研究所的Nico Schiller和Thorsten Holz教授领导的研究团队，已经在2月27日至3月3日美国圣迭戈召开的网络和分布式系统安全研讨会（NDSS）上公布了自己的发现。该团队以前在波鸿，目前在萨尔布吕肯的CISPA亥姆霍兹信息安全中心。...

暗网信用卡网站BidenCash近日免费泄露了大约 210 万个被盗支付卡号的集合。 免费提供包含 210 万个被盗支付卡号的档案，以纪念暗网信用卡网站BidenCash周年纪念。 据悉，BidenCash 是一个在暗网上和明网上都运行的银行卡市场，向公众提供被盗的信用卡详细信息。...

白宫发布了一项新的网络安全战略，其中涉及大型科技公司在防止网络攻击方面的作用。该战略文件呼吁"重新平衡保卫网络空间的责任"，将勒索软件攻击等方面的责任从个人、小企业和地方政府身上转移。 乔-拜登总统的计划概述了目标，而不是立即实施的规则。但如果通过成为法律和法规，它将扩大对运行白宫认为关键的数字基础设施的公司的网络安全要求。这可能包括为网络基础设施的很大一部分提供动力的云计算服务--它们必须满足最低安全标准，否则将面临法律责任。该战略要求政府机构通过税收减免或其他激励措施鼓励合规。...

GunAuction.com的屏幕截图 TechCrunch分析了被盗数据的样本，并通过电子邮件联系了100人，通过电话联系了60人。其中，10人确认被盗数据库中的数据是准确的。然而，目前还不清楚这些数据的最新情况，因为有25个电子邮件地址的信息被退回或无法送达，还有几个电话号码拨打后被切断。

GunAuction....

同时持续加强对技术运维人员的安全教育，加强数据安全合规理念，提升全员数据安全意识，严格禁止私下留存、转移涉疫数据等行为，全力保障公民个人隐私。” 事实上，无锡并不是第一个销毁涉疫数据的城市。在此之前，不少省市地区都曾表示要“按照《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规有关规定，采取严格的技术和管理措施，依法依规保障个人信息安全。停止相关服务后，彻底删除、销毁服务相关所有数据，切实保障个人信息安全。”

但是，...

拜登-哈里斯政府本周四发布了美国国家网络安全战略（以下简称《战略》）。该战略强调政府必须协调使用国家权力所有工具来保护国家安全、公共安全和经济繁荣；提供必要资源和工具确保关键基础设施安全；调整激励措施，对下一代网络空间弹性技术进行长期投资。 根据白宫发布的《战略》文本，新的美国国家网络安全战略将致力于使美国的数字生态系统：

可防御，网络防御更容易、更便宜、更有效。
弹性，最大限度避免网络安全事件产生广泛或持久的影响。

在此次以网络安全为主题的国家战略发布之前，拜登政府已经采取多项措施保护美国的网络空间和数字生态系统，...

美国众议院外交事务委员会周三按照党派路线投票，授予乔·拜登总统禁止 TikTok 的权力，这将是美国对任何社交媒体应用程序的影响最深远的限制。立法者以 24 票对 16 票通过了这项措施，授予政府新的权力，以禁止字节跳动拥有的应用程序 。目前超过 1 亿美国人使用， 发起该法案的委员会共和党主席、代表迈克尔·麦考尔 (Michael McCaul) 说：“TikTok 是一种国家安全威胁，是时候采取行动了。任何在他们的设备上下载 TikTok 的人都给了获取他们所有个人信息的后门。这是一个进入他们手机的间谍气球。”...

密码管理供应商LastPass日前公布了去年遭受“二次协同攻击”事件的更多信息，发现恶意黑客潜伏在其内网长达两个月的时间内，持续访问并窃取了亚马逊AWS云存储中的数据。据安全内参了解，“二次协同攻击”事件，是指LastPass在2022年8月、12月先后披露的两起违规事件，这两起事件的攻击链有关联。 LastPass在去年12月透露，恶意黑客窃取到部分加密的密码保险库数据和客户信息。现在，该公司进一步解释了恶意黑客的攻击实施方法，称对方使用到了去年8月首次入侵时窃取的信息，还利用一个远程代码执行漏洞，在一名高级DevOps工程师的计算机上安装了键盘记录器。LastPass表示，...

近日，斯洛伐克网络安全公司ESET报告称发现首个能够绕过最新Windows 11安全启动保护UEFI（统一可扩展固件接口）的bootkit恶意软件——BlackLotus（黑莲花），已在地下网络黑市中销售，构成重大网络安全威胁。 BlackLotus利用了一个编号为CVE-2022-21894（又名Baton Drop）的漏洞来绕过Windows的UEFI安全启动保护并长期驻留在系统固件中，可以完全控制操作系统启动过程，而且可以禁用操作系统级别的安全机制并在启动期间以高权限部署任意负载。（通俗来说，...

美国网络安全和基础设施安全局（CISA）和安全研究人员报告称，一个受广泛使用的开源Java框架中存在严重漏洞并被攻击者利用，他们正利用该漏洞向未打补丁的服务器部署后门。专家表示，这种情况可能会对未打补丁的软件构成重大供应链威胁。 CISA已将CVE-2022-36537添加到其已知已开发漏洞（KEV）目录中，该漏洞影响ZK Java Web框架9.6.1、9.6.0.1、9.5.1.3、9.0.1.2和8.6.4.1版本。...